NO324810B1 - Procedure for transferring a client from a first wireless LAN to a second wireless LAN - Google Patents
Procedure for transferring a client from a first wireless LAN to a second wireless LAN Download PDFInfo
- Publication number
- NO324810B1 NO324810B1 NO20052689A NO20052689A NO324810B1 NO 324810 B1 NO324810 B1 NO 324810B1 NO 20052689 A NO20052689 A NO 20052689A NO 20052689 A NO20052689 A NO 20052689A NO 324810 B1 NO324810 B1 NO 324810B1
- Authority
- NO
- Norway
- Prior art keywords
- traffic
- authentication
- client
- port
- access
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 230000008569 process Effects 0.000 claims abstract description 28
- 238000012544 monitoring process Methods 0.000 claims description 2
- 238000005259 measurement Methods 0.000 claims 1
- 230000001934 delay Effects 0.000 abstract description 6
- 230000006870 function Effects 0.000 description 19
- 230000004044 response Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 239000000523 sample Substances 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 238000010348 incorporation Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 238000010561 standard procedure Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
En fremgangsmåte og arrangement for handover mellom WLAN er beskrevet. Ved å åpne trafikkanalen (porten) mens autentiseringen prosesseres i parallell, kan handover-forsinkelser minimaliseres. Trafikkanalen/aksessporten vil først bli lukket hvis autentiseringsprosessen mislykkes.A method and arrangement for handover between WLANs is described. By opening the traffic channel (gate) while the authentication is processed in parallel, handover delays can be minimized. The traffic channel / access port will only be closed if the authentication process fails.
Description
Oppfinnelsens område Field of the invention
Foreliggende oppfinnelse vedrører handover-prosedyrer i trådløse lokalnettverk. The present invention relates to handover procedures in wireless local area networks.
Bakgrunn Background
I dag er det en trend å tilby brukere av WLAN (Wireless LAN) mobile fasiliteter. Dette betyr at en WLAN-bruker kan bevege seg fra aksesspunkt til aksesspunkt uten å tape sin etablerte sesjon eller Internett-forbindelser; en såkalt sømløs handover. I eksisterende WLAN-systemer er problemet at brukerinnretningen/klienten må reautentisere til hvert nytt aksesspunkt før trafikkanalen åpnes. Reautentiseringsprosessen er tidkrevende og presenterer en reell hindring, særlig for sanntids applikasjoner slik som streaming og tale, hvor forsinkelser på mer enn 120 ms vil degradere funksjonaliteten betydelig. Today, it is a trend to offer users of WLAN (Wireless LAN) mobile facilities. This means that a WLAN user can move from access point to access point without losing their established session or Internet connections; a so-called seamless handover. In existing WLAN systems, the problem is that the user device/client must reauthenticate to each new access point before the traffic channel is opened. The reauthentication process is time-consuming and presents a real obstacle, especially for real-time applications such as streaming and voice, where delays of more than 120 ms will significantly degrade functionality.
I dag gir det portbaserte sikkerhetssystemet IEEE 802. IX autentisering og åpningen av trafikkanalen som sekvensielle prosesser, det vil si at aksesspolitikken er ikke å tillate noen trafikk før autentiseringsprosessen er vellykket avsluttet, se figur 1 nedenfor. Det er grunner for dette, for det meste relatert til bokføring og debitering: Alt forbruk av WLAN båndbredde og Internett-aksess bør bokføres, men dette er bare mulig hvis brukeren først identifiseres og autentiseres. Problemet er imidlertid at autentiseringsforsinkelsene vanligvis er lange. Autentiseringskrediteringer blir vanligvis frembrakt i en fjerntliggende database/server og autentiseringsprosessen krever vanligvis flere spørringer til denne fjerntliggende database/server. Dette introduserer store forsinkelser som kan være ødeleggende for hurtig handover for mobile brukere, og også bryte opp for sanntids applikasjoner slik som tale og streaming. Dette kan videre minske tiltrekningskraften for mobile brukere og nye tjenester, som igjen er ugunstig for forretningen. Today, the port-based security system IEEE 802. IX provides authentication and the opening of the traffic channel as sequential processes, that is, the access policy is not to allow any traffic until the authentication process is successfully completed, see Figure 1 below. There are reasons for this, mostly related to accounting and billing: All consumption of WLAN bandwidth and Internet access should be accounted for, but this is only possible if the user is first identified and authenticated. However, the problem is that the authentication delays are usually long. Authentication credentials are typically generated in a remote database/server and the authentication process typically requires multiple queries to this remote database/server. This introduces large delays that can be detrimental to fast handover for mobile users, and also break up real-time applications such as voice and streaming. This can further reduce the attractiveness of mobile users and new services, which in turn is unfavorable for the business.
En lignende fremgangsmåte brukes i GSM nett hvor mobilstasjoner konstant beveger seg rundt. Når en mobilstasjon detekterer at den har beveget seg fra et lokasjonsområde inn i et annet (ved å lytte på lokasjonsområdeinformasjon som periodisk kringkastes av basestasjonene), vil den informere nettverket ved å sende en A similar method is used in GSM networks where mobile stations are constantly moving around. When a mobile station detects that it has moved from one location area into another (by listening to location area information periodically broadcast by the base stations), it will inform the network by sending a
lokasjonsoppdateringsmelding. Nettverket vil autentisere mobilstasjonen før signaleringskanalen frigjøres. Denne endring av lokasjonsområde vil introdusere et øyeblikkelig stopp i kommunikasjonen som kan forårsake en degradering av kanalkvaliteten. For å tilveiebringe en sømløs handover mellom lokasjonsområder, beskriver US patent 5483668 til Nokia en fremgangsmåte hvor mobilstasjonen forblir i kontakt med den gamle basestasjonen inntil forbindelsen til den nye basestasjonen er etablert. Dette oppnås ved å sende i to forskjellige tidsluker samtidig. Imidlertid vil denne fremgangsmåten bare virke i GSM systemer som er TDMA-baserte, og med en location update message. The network will authenticate the mobile station before releasing the signaling channel. This change of location range will introduce a momentary stop in the communication which may cause a degradation of the channel quality. To provide a seamless handover between location areas, US patent 5483668 to Nokia describes a method where the mobile station remains in contact with the old base station until the connection to the new base station is established. This is achieved by transmitting in two different time slots at the same time. However, this procedure will only work in GSM systems that are TDMA-based, and with a
komplisert infrastruktur av sammenknyttede basestasjonskontrollere, svitsjesentre for mobile tjenester, hjemmelokasjonsregistre, besøkendelokasjonsregistre, autentiseringssentre osv. Dette gjør denne fremgangsmåten irrelevant for WLAN. complex infrastructure of interconnected base station controllers, switching centers for mobile services, home location registries, visitor location registries, authentication centers, etc. This makes this approach irrelevant for WLAN.
US Patent 5,898,924 til Siemens beskriver forbindelses-handover av trådløst terminalutstyr i et DECT-system. Imidlertid er det ikke beskrevet noen autentiseringsfunksjon, ettersom dette er ikke-eksisterende i DECT-systemer. US Patent 5,898,924 to Siemens describes connection handover of wireless terminal equipment in a DECT system. However, no authentication function is described, as this is non-existent in DECT systems.
Sammenfatning av oppfinnelsen Summary of the Invention
Det er en hensikt med foreliggende oppfinnelse å tilveiebringe en fremgangsmåte og et arrangement for handover i et WLAN som unngår problemene skissert ovenfor, og tilveiebringer en stabil forbindelse ved streifing fra en trådløs sone til en annen. It is an object of the present invention to provide a method and an arrangement for handover in a WLAN which avoids the problems outlined above, and provides a stable connection when roaming from one wireless zone to another.
Den nye ideen er å introdusere et kompromiss mellom sikkerhet og handover-latens. Ved å åpne trafikkanalen (porten) mens autentiseringen prosesseres i parallell kan handover-forsinkelser minimaliseres. Trafikkanalen/aksessporten vil først bli lukket hvis autentiseringsprosessen mislykkes. Kostnaden for dette vil ligge på aksess/nettverksleverandøren (Residential Gateway (RG)/Hotspot-eier, osv.) som må gi noen ressurser/tid uten betaling. Denne "gratistiden" bør være konfigurerbar (forventes å være noen få sekunder). The new idea is to introduce a compromise between security and handover latency. By opening the traffic channel (port) while the authentication is processed in parallel, handover delays can be minimized. The traffic channel/access port will only be closed if the authentication process fails. The cost of this will be on the access/network provider (Residential Gateway (RG)/Hotspot owner, etc.) who will have to provide some resources/time without payment. This "free time" should be configurable (expected to be a few seconds).
Den foreslåtte politikk reflekterer at "alt" er tillatt inntil noe bevises å være galt, i motsetning til den tradisjonelle politikken hvor "ingenting" er tillatt inntil noe bevises å være riktig (det vil si at autentiseringen lykkes). The proposed policy reflects that "everything" is allowed until something is proven wrong, as opposed to the traditional policy where "nothing" is allowed until something is proven right (that is, authentication succeeds).
Den inventive løsning er som definert i de vedføyde selvstendige patentkrav 1 og 8. The inventive solution is as defined in the attached independent patent claims 1 and 8.
Fordelene med parallell prosessering av autentisering og trafikk kan være betydelige, siden det både vil sørge for hurtig handover mellom aksesspunkter som tilhører samme (intra) domene (eier) så vel som interdomener, hvor reautentiseringen representerer de største forsinkelsene. Prisen er at aksesspunktet må gi noen gratis ressurser som ikke kan kontoføres . Trekkene dekket av de ytterligere uselvstendige kravene vil begrense slik "gratis surfing", og også motvirke "denial of service" type atakker hvor falske klienter prøver å utnytte politikken med åpen port. The benefits of parallel processing of authentication and traffic can be significant, since it will both ensure fast handover between access points belonging to the same (intra) domain (owner) as well as inter-domains, where re-authentication represents the biggest delays. The price is that the access point must provide some free resources that cannot be accounted for. The features covered by the additional non-independent requirements will limit such "free surfing", and also counter "denial of service" type attacks where fake clients try to exploit the open port policy.
Kortfattet beskrivelse av tegningene Brief description of the drawings
Fig. 1 illustrerer den tradisjonelle politikken med sekvensiell portaksesspolicy, Fig. 1 illustrates the traditional policy of sequential port access policy,
Fig. 2 viser parallellprosessert aksess ifølge foreliggende oppfinnelse, Fig. 2 shows parallel processed access according to the present invention,
Fig. 3 illustrerer en sikkerhetsforbedring av den inventive prosess i figur 1 som involverer parallellprosessering med timer-kontroll av pågående tilstander, Fig. 4 illustrerer aksesspunktene og portene i et system ifølge foreliggende oppfinnelse, Fig. 5 viser meldingssekvensen under en vellykket klientforbindelse til et WLAN-aksesspunkt, Fig. 6 viser den korresponderende meldingssekvens i tilfelle forbindelsesprosessen skulle feile, Fig. 7 er en skjematisk illustrasjon av hovedbyggeblokkene i et arrangement ifølge oppfinnelsen, for innlemmelse i et WLAN-aksesspunkt. Fig. 3 illustrates a security improvement of the inventive process in Fig. 1 which involves parallel processing with timer control of ongoing states, Fig. 4 illustrates the access points and ports in a system according to the present invention, Fig. 5 shows the message sequence during a successful client connection to a WLAN access point, Fig. 6 shows the corresponding message sequence in case the connection process should fail, Fig. 7 is a schematic illustration of the main building blocks in an arrangement according to the invention, for incorporation into a WLAN access point.
Detaljert beskrivelse av oppfinnelsen Detailed description of the invention
Den tilgjengelige autentiseringsstandard for portaksess som brukes i dag (802. IX) utfører autentiseringsfunksjonene før aksessporten åpnes for normal trafikk. Dette betyr at informasjon må utveksles mellom brukerklienten og RG/Hotspot-aksesspunktet. I noen tilfeller, det vil si når brukeren tilhører et annet domene må RG-en til og med henvende seg til brukerens Internett-tjenesteleverandør (ISP) for å oppnå autentiseringsdata. Dette introduserer enda mer tidsforsinkelse for å avslutte prosessen. Reautentisering betraktes som mest tidkrevende i handover-situasjoner. The available port access authentication standard used today (802.IX) performs the authentication functions before the access port is opened to normal traffic. This means that information must be exchanged between the user client and the RG/Hotspot access point. In some cases, i.e. when the user belongs to another domain, the RG must even contact the user's Internet Service Provider (ISP) to obtain authentication data. This introduces even more time delay to end the process. Re-authentication is considered the most time-consuming in handover situations.
Figur 1 viser sekvensen med autentisering og trafikkhåndtering i dagens WLAN-systemer. Aksesspunktet vil fullføre autentiseringsoppgaven før noen brukertrafikk blir tillatt gjennom dens port(er). Hvis autentiseringen blir vellykket, tillates trafikk og kontoføring blir startet, hvis den svikter blir porten lukket for denne brukeren. Figure 1 shows the sequence of authentication and traffic management in today's WLAN systems. The access point will complete the authentication task before any user traffic is allowed through its port(s). If the authentication is successful, traffic is allowed and account management is started, if it fails the port is closed for this user.
Foreliggende oppfinnelse tilveiebringer en ny fremgangsmåte for å organisere prosessen med portautentisering for aksessnettverk med portbasert aksesskontroll, slik som WLAN og WMAN i forbindelse med trafikkhåndtering, ved at de to prosesser utføres i parallell i stedet for i sekvens. The present invention provides a new method for organizing the process of port authentication for access networks with port-based access control, such as WLAN and WMAN in connection with traffic management, in that the two processes are carried out in parallel instead of in sequence.
Figur 2 viser den nye ideen. Her tillater aksesspunktet brukertrafikk parallelt med den pågående autentiseringsprosessen. Når autentiseringsresultatet er klart, kan to ting skje: Hvis autentiseringen er vellykket, blir kontoføring startet for denne bruker, som fortsetter sin Internett-trafikk med den allerede etablerte sesjonen. Hvis det svikter vil porten bli lukket og brukerens trafikk avvist (det vil si ifølge standard prosedyrer). Figure 2 shows the new idea. Here, the access point allows user traffic in parallel with the ongoing authentication process. When the authentication result is ready, two things can happen: If the authentication is successful, account management is started for this user, who continues his Internet traffic with the already established session. If it fails, the port will be closed and the user's traffic rejected (that is, according to standard procedures).
Aksesspunktet (AP) vil åpne trafikkanalen for enhver ikke-autentisert bruker mens autentiseringsfunksjonen prosesseres for den assosierte linkadresse for klienten (for eksempel WLAN MAC-adresse). Hvis autentiseringen er vellykket, blir kontoføringsfunksjonen aktivert (gjennom for eksempel RADIUS-kontoføring), hvis autentiseringen mislykkes blir trafikken stoppet for denne klienten. I parallell vil terminalen åpne trafikkanalen for ethvert ikke-autentisert aksesspunkt, mens den assosierte linkadresse for aksesspunktet prosesseres. Hvis autentiseringen mislykkes blir trafikken stoppet. For en WLAN-terminal kan en disassosiasjonsmelding sendes til aksesspunktet. The access point (AP) will open the traffic channel to any unauthenticated user while the authentication function is processed for the associated link address for the client (eg WLAN MAC address). If the authentication is successful, the accounting function is enabled (through, for example, RADIUS accounting), if the authentication fails, the traffic is stopped for this client. In parallel, the terminal will open the traffic channel for any unauthenticated access point, while the associated link address for the access point is processed. If the authentication fails, the traffic is stopped. For a WLAN terminal, a disassociation message can be sent to the access point.
Den nye fremgangsmåten kan anvendes i ethvert aksessnettverk med portbasert aksesskontroll som kontrollerer tilgangen til et eksternt nettverk. Det gjelder for eksempel ethvert trådløst lokalområdenettverk (WLAN) som bruker 802. lx-protokollen, slik som WiFi (Wireless Fidelity (IEEE 802.11b wireless networking) beskyttet aksess (WPA), WPA2 og 802.1 li-baserte WLAN, så vel som ethvert Wireless Mertopolitan Area Network (WMAN) som bruker portbasert aksesskontroll, slik som 802.16e. The new method can be used in any access network with port-based access control that controls access to an external network. This applies, for example, to any wireless local area network (WLAN) using the 802. lx protocol, such as WiFi (Wireless Fidelity (IEEE 802.11b wireless networking) protected access (WPA), WPA2 and 802.1 li-based WLANs, as well as any Wireless Metropolitan Area Network (WMAN) that uses port-based access control, such as 802.16e.
For beskyttelsesformål kan den inventive fremgangsmåte forbedres med ytterligere funksjonalitet. Samtidig som autentiseringsfunksjonen startes vil en timer bli satt. Denne timer er konfigurerbar. Timeren kan være konfigurert av (deaktivert), på, og varigheten til timeren kan settes. Hvis autentiseringen mislykkes, eller ikke er vellykket innen den konfigurerbare tidsramme, vil trafikken avvises for denne node (enten terminalen eller aksesspunktet, eller både terminalen og aksesspunktet). Hvis autentiseringen av terminalen er vellykket, vil kontoføringsfunksjonen bli injisert i aksesspunktet. For protection purposes, the inventive method can be enhanced with additional functionality. At the same time as the authentication function is started, a timer will be set. This timer is configurable. The timer can be configured off (disabled), on, and the duration of the timer can be set. If the authentication fails, or is not successful within the configurable time frame, the traffic will be rejected for this node (either the terminal or the access point, or both the terminal and the access point). If the authentication of the terminal is successful, the accounting function will be injected into the access point.
Figur 3 illustrerer sekvenseringen i denne sikkerhetsforbedrede metode. Sammenlignet med figur 2 (basismodellen), er en timer lagt til for å kontrollere latenstiden for en mulig forsinket autentiseringsprosess. Hvis ingen respons mottas fra autentiseringsprosessen i figur 2, kan porten forbli åpen. For å unngå aldri avsluttede pågående tilstander, vil timeren i tilfelle stoppe trafikken ved å lukke porten. Hvis det er en respons fra autentiseringsprosessen før timeren utløper, blir timeren kansellert, og resultatet fra autentiseringsprosessen definerer om porten skal forbli åpen eller lukkes (som i grunnmodellen). Figure 3 illustrates the sequencing in this security-enhanced method. Compared to Figure 2 (the base model), a timer is added to control the latency of a possible delayed authentication process. If no response is received from the authentication process in Figure 2, the port may remain open. To avoid never-ending ongoing states, the timer will eventually stop the traffic by closing the port. If there is a response from the authentication process before the timer expires, the timer is canceled and the result of the authentication process defines whether the port should remain open or close (as in the basic model).
Når en port blir lukket, blir kommunikasjon på den aktuelle linkadresse (for eksempel WLAN MAC-adresse) forhindret. When a port is closed, communication on the relevant link address (e.g. WLAN MAC address) is prevented.
Legg merke til at denne funksjonalitet alene ikke hindrer den forsøkende klient å gjenta sitt tilgangsforsøk. Note that this functionality alone does not prevent the attempting client from repeating its access attempt.
For å redusere falsk "gratis surfing" hvor klienten utnytter tidsvinduet hvor ikke-autentisert tilgang er tillatt, kan fremgangsmåten illustrert i figur 3 til og med forbedres ytterligere. To reduce false "free surfing" where the client exploits the time window where unauthenticated access is allowed, the method illustrated in Figure 3 can be even further improved.
Hvis en klient med angitt (for eksempel MAC) -id avvises et konfigurerbart antall ganger, det vil si å ha opplevd at trafikken har blitt blokkert av aksessporten, skal ytterligere aksessforsøk ikke håndteres av aksesserveren, og denne klienten skal ikke ha ytterligere tilgang til trafikkanalen og policyen med parallell prosessering ifølge denne inventive fremgangsmåte. If a client with the specified (for example, MAC) ID is rejected a configurable number of times, i.e. having experienced that the traffic has been blocked by the access port, further access attempts shall not be handled by the access server, and this client shall not have further access to the traffic channel and the policy of parallel processing according to this inventive method.
For å implementere denne funksjonalitet bør aksesserveren inkludere: To implement this functionality, the access server should include:
En svitsj som lukker porten for enhver kommunikasjon for en avvist klient-MAC-adresse. A switch that closes the port to any communication for a rejected client MAC address.
En cachings-funksjon som lagrer den avviste MAC-adresse. A caching function that stores the rejected MAC address.
En teller for antallet aksessforsøk som enten har vært avviste forsøk eller A counter for the number of access attempts that have either been rejected attempts or
tidsutløpte forsøk. Hver cachet avvist MAC-adresse lagrer den assosierte teller. timed attempts. Each cached rejected MAC address stores the associated counter.
En konfigurerbar maksforsøk-verdi. Hvis den overskrides skal aksesspunktet A configurable max-retry value. If it is exceeded, the access point
ikke lenger håndtere aksessforsøk for denne id. no longer handle access attempts for this id.
En klareringsfunksjon for å fjerne denne MAC-adresse fra cachen etter en A trust function to remove this MAC address from the cache after a
konfigurerbar tid (og slik reåpne hans mulighet for å prøve forbindelse på nytt). configurable time (and thus reopen his opportunity to retry connection).
Styringsfunksjon for å sette det maksimale antall aksessforsøk. Styringsfunksjon for å sette intervallet som resetter cachen for en blokkert MAC-id. Control function to set the maximum number of access attempts. Control function to set the interval that resets the cache for a blocked MAC ID.
Parametere: Timer: Minutter. Parameters: Hours: Minutes.
I tillegg til å begrense det maksimale antall sviktende aksessforsøk for en bestemt MAC-id, forsees også muligheten til å oppnå falsk tilgang ved å med overlegg endre klientens MAC-id. Dette vil hindre funksjonene i fremgangsmåten beskrevet ovenfor i å kontrollere falsk bruk av ressurser, og muligens resultere i aksesser og ressursforbruk som ikke kan bokføres. In addition to limiting the maximum number of failed access attempts for a specific MAC-id, the possibility of obtaining false access by deliberately changing the client's MAC-id is also foreseen. This will prevent the functions in the procedure described above from checking false use of resources, and possibly result in accesses and resource consumption that cannot be accounted for.
Et mottrekk for denne type angrep er å måle forholdet mellom kontoført og ikke-kontoført trafikk i en periode. Hvis forholdet overskrider en bestemt grense, kan policyen med parallell prosessering utveksles med den tradisjonelle policyen illustrert i figur 1. Forutsatt at aksesspunktet er i stand til å svitsje mellom de to policyer, foreslås det en tilstandsmaskin som opererer mellom to tilstander: Tilstand 1: Den gyldige/virkende policy er scenariet med parallellprosessering som i fig. 2, og med forbedringene beskrevet ovenfor. A countermeasure for this type of attack is to measure the ratio between accounted and non-accounted traffic over a period of time. If the ratio exceeds a certain limit, the policy of parallel processing can be exchanged with the traditional policy illustrated in Figure 1. Assuming that the access point is able to switch between the two policies, a state machine is proposed that operates between two states: State 1: The valid/effective policy is the scenario with parallel processing as in fig. 2, and with the improvements described above.
Tilstand 2: Den gyldige/virkende policy er den tradisjonelle sekvensielle prosessering av autentisering og trafikk som i figur 1.1 tilstand 2 er ikke-kontoført trafikk ikke mulig. State 2: The valid/effective policy is the traditional sequential processing of authentication and traffic as in figure 1.1 state 2, non-accounted traffic is not possible.
Endringen av tilstand utføres automatisk etter de følgende hendelser. The change of state is performed automatically after the following events.
Tilstand 1 - > Tilstand 2: Når statistikk basert på forholdet ikke-kontoført/kontoført ressursforbruk når et konfigurerbart reaksjonspunkt. State 1 -> State 2: When statistics based on the ratio non-accounted/accounted resource consumption reach a configurable reaction point.
Tilstand 2 - > Tilstand 1: Når en konfigurerbar timer utløper (styrbar periode). State 2 -> State 1: When a configurable timer expires (controllable period).
Når tilstand endres/settes til tilstand 1 blir statistikktelleren resatt. When the state is changed/set to state 1, the statistics counter is reset.
Det skal også være mulig å sette policyen permanent i tilstand 1 eller i tilstand 2. It must also be possible to set the policy permanently in state 1 or state 2.
Aksesserveren bør inkludere de følgende styringsfunksjoner: The access server should include the following management functions:
• Funksjon for å sette tilstand permanent i tilstand 1 eller tilstand 2 • Function to set state permanently to state 1 or state 2
• Funksjon for å sette tilstandsmaskin aktiv (standard tilstand 1) • Function to set state machine active (default state 1)
• Funksjon for å sette maksstatistikkforholdet for å trigge overgang til tilstand 2 • Funksjon for å sette timeren som kontrollerer overgangen til tilstand 1 fra tilstand 2. • Function to set the max stat ratio to trigger transition to state 2 • Function to set the timer that controls the transition to state 1 from state 2.
Parametere: Timer: Minutter Parameters: Hours: Minutes
Figur 4 viser en systembeskrivelse for to viktige porter. Den venstre porten (A) er under klientens kontroll; klienten kan kontrollere denne porten avhengig av sin egen policy. Figure 4 shows a system description for two important ports. The left port (A) is under the client's control; the client can control this port depending on its own policy.
Den høyre porten (B) til aksessnettverket (normalt aksesspunkt), og er under hans kontroll. For at klienten skal nå det eksterne nettverk må begge porter være åpne for trafikk. Så langt har beskrivelsen fokusert på den høyre porten B: Avhengig av autentisering av klienten, vil B kontrollere hans trafikk. Lignende metoder kan brukes for port A, hvor klienten krever autentisering av aksessnettverket/aksesspunktserveren før porten åpnes, for eksempel for å motta trafikk. Autentisering av både klient og aksesspunkt/server betegnes "innbyrdes autentisering". The right port (B) of the access network (normal access point), and is under his control. For the client to reach the external network, both ports must be open for traffic. So far, the description has focused on the right port B: Depending on the authentication of the client, B will control his traffic. Similar methods can be used for port A, where the client requires authentication by the access network/access point server before opening the port, for example to receive traffic. Authentication of both client and access point/server is called "mutual authentication".
Trafikkporten som skal åpnes kan være mer avansert enn en alt-eller-ingenting-port. Faktisk kan porten på aksesspunktet være åpen bare for tale og/eller videotrafikk, mens web-lesing kan være lukket inntil autentisering er vellykket. The traffic gate to be opened can be more advanced than an all-or-nothing gate. In fact, the port on the access point may be open only for voice and/or video traffic, while web reading may be closed until authentication is successful.
Eksempel på en praktisk implementering av løsningen i sammenheng med WLAN som bruker WPA-sikkerhetsrammeverk for WLAN. Example of a practical implementation of the solution in the context of WLAN using the WPA security framework for WLAN.
Vi beskriver signaleringsflyten i tilfellet av en terminal som assosierer seg for første gang til WLAN nettverket, for det tilfellet av en vellykket autentiseringsprosess (figur 5) og for tilfelle av en mislykket autentisering (figur 6). We describe the signaling flow in the case of a terminal associating for the first time to the WLAN network, for the case of a successful authentication process (figure 5) and for the case of a failed authentication (figure 6).
Tilfell 1 - Vellykket tilfelle Case 1 - Successful case
Policyen i aksesspunktet (AP) er slik at porten åpnes for et gitt tidsvindu som er dimensjonert slik at det dekker to ganger den midlere tid for en autentiseringsprosess. Hvis autentiseringen er vellykket vil porten fortsette å være åpen etter at tidsvinduet har utløpt. Ellers blir porten lukket og hendelsen registreres. The policy in the access point (AP) is such that the port is opened for a given time window which is sized so that it covers twice the average time for an authentication process. If the authentication is successful, the port will remain open after the time window has expired. Otherwise, the gate is closed and the event is recorded.
Figur 5 viser meldingssekvensen for vellykket klientforbindelse til WLAN AP. De forskjellige trinn er indikert i stiplede bokser og linjer. Fremgangsmåten inkluderer de følgende individuelle trinn: Figure 5 shows the message sequence for successful client connection to the WLAN AP. The different steps are indicated in dashed boxes and lines. The procedure includes the following individual steps:
1. Terminalen assosierer seg med et aksesspunkt ved bruk av standard 802.11-mekanismer. 2. WLAN AP sender en aksessanmodning til radiusserveren, og tilveiebringer MAC-adressen til terminalen, og den beordrede tjeneste, for eksempel WLAN-aksess. Dette er del av radiusspesifikasjonen. 3. Radiusserveren svarer positivt på anmodningen. Dette svaret inkluderer IP-adressen som bør allokeres til terminalen som initierte aksessprosessen. Dette er del av radiusspesifikasjonen. 4. Assosiasjonssvaret sendes tilbake. Informasjon i assosiasjonssvaret indikerer at porten kan åpnes før autentiseringen er vellykket. Terminalen vet på dette tidspunkt at den kan motta og sende trafikk selv om autentiseringen ikke er fullført. En alternativ løsning er å inkludere denne informasjon i prøveresponsen (før assosiasjon). 1. The terminal associates with an access point using standard 802.11 mechanisms. 2. The WLAN AP sends an access request to the radius server, providing the MAC address of the terminal, and the ordered service, such as WLAN access. This is part of the radius specification. 3. The radius server responds positively to the request. This response includes the IP address that should be allocated to the terminal that initiated the access process. This is part of the radius specification. 4. The association response is sent back. Information in the association response indicates that the port may be opened before authentication is successful. The terminal knows at this point that it can receive and send traffic even if the authentication is not complete. An alternative solution is to include this information in the sample response (before association).
I assosiasjonsmeldingen kan man enkelt inkludere et nytt informasjonselement. A new information element can easily be included in the association message.
Dette er nøkkelforskjellen med WPA hvor trafikkporten alltid bør være lukket inntil brukeren er autentisert og sesjonsnøklene blir generert. 5. Terminalen kan deretter etablere sin IP-forbindelse ved bruk av mekanismer slik som DHCP. IDHCP er MAC-adressen til terminalen inkludert og DHCP-serveren i AP kan allokere IP-adressen tildelt av AAA/Radiusserveren (se melding 3 i figur 5). 6. På dette punktet er det terminalens ansvar å starte EAP-prosessen ved å sende EAP-start, som spesifisert av WPA. WLAN AP relaterer denne EAP-sekvens med This is the key difference with WPA where the traffic port should always be closed until the user is authenticated and the session keys are generated. 5. The terminal can then establish its IP connection using mechanisms such as DHCP. IDHCP includes the MAC address of the terminal and the DHCP server in the AP can allocate the IP address assigned by the AAA/Radius server (see message 3 in Figure 5). 6. At this point, it is the terminal's responsibility to start the EAP process by sending EAP start, as specified by WPA. The WLAN AP associates this EAP sequence with
radiussekvensen som tidligere ble etablert. the radius sequence that was previously established.
7. AP-en starter autentiseringsprosessen ved å be om identiteten av terminalen, som spesifisert av WPA. 8. EAP-autentiseringsmetodene kjøres, som spesifisert av autentiseringsmetodene som brukes sekvensielt, som spesifisert av WPA. 9. En vellykket melding sendes til terminalen når autentiseringen er vellykket, som spesifisert av WPA. 7. The AP starts the authentication process by requesting the identity of the terminal, as specified by WPA. 8. The EAP authentication methods run, as specified by the authentication methods used sequentially, as specified by WPA. 9. A successful message is sent to the terminal when authentication is successful, as specified by WPA.
10. Masternøkkelen sendes til AP-en, som spesifisert av WPA. 10. The master key is sent to the AP, as specified by WPA.
11. Dette nøkkelmateriale benyttes for å generere sesjonsnøklene, som spesifisert av WPA. På dette punkt er trafikken sikret, og informasjonen for kontoføring er pålitelig og kan brukes for å debitere brukeren. 11. This key material is used to generate the session keys, as specified by WPA. At this point, the traffic is secured and the account information is reliable and can be used to debit the user.
Tilfelle 2 - mislykket tilfelle Case 2 - failed case
Figur 6 ovenfor viser meldingssekvensen for en mislykket klientforbindelse til WLAN AP. De forskjellige trinn indikeres i stiplede bokser og linjer, og hvert trinn inkluderer de følgende handlinger: Figure 6 above shows the message sequence for a failed client connection to the WLAN AP. The different steps are indicated by dashed boxes and lines, and each step includes the following actions:
1. Terminalen assosierer seg med et aksesspunkt ved bruk av standard IEEE 802.11-mekanismer. 2. WLAN AP sender en aksessanmodning til radiusserveren, som tilveiebringer MAC-adressen til terminalen, og den etterlyste tjeneste, for eksempel WLAN-aksess. Dette er del av radiusspesifikasjonen. 3. Radiusserveren reagerer positivt på anmodningen. Denne respons inkluderer IP-adressen som bør allokeres til terminalen som initierte aksessprosessen. Dette er del av radiusspesifikasjonen. 4. Assosiasjonsresponsen sendes tilbake. Informasjon i assosiasjonsresponsen indikerer at porten kan åpnes før autentisering er vellykket. Terminalen vet på dette tidspunkt at den kan motta og sende trafikk selv om autentiseringen ikke er fullført. En alternativ løsning er å inkludere denne informasjon i prøveresponsen (probe response) (før assosiasjon). 1. The terminal associates with an access point using standard IEEE 802.11 mechanisms. 2. The WLAN AP sends an access request to the radius server, which provides the MAC address of the terminal and the requested service, for example WLAN access. This is part of the radius specification. 3. The radius server responds positively to the request. This response includes the IP address that should be allocated to the terminal that initiated the access process. This is part of the radius specification. 4. The association response is sent back. Information in the association response indicates that the port may be opened before authentication is successful. The terminal knows at this point that it can receive and send traffic even if the authentication is not complete. An alternative solution is to include this information in the probe response (before association).
I assosiasjonsmeldingen kan man enkelt inkludere et nytt informasjonselement. A new information element can easily be included in the association message.
Dette er nøkkelforskjellen med WPA hvor trafikkporten alltid bør være lukket inntil brukeren er autentisert og sesjonsnøklene blir generert. 5. Terminalen kan deretter etablere sin IP-forbindelse ved bruk av mekanismer, slik som DHCP. I DHCP er MAC-adressen til terminalen inkludert og DHCP-serveren i AP kan allokere IP-adressen tildelt av AAA/radiusserveren (se melding 3 i figur 6). 6. På dette punkt er det terminalen som er ansvarlig for å starte EAP-prosessen ved å sende EAP-start, som spesifisert av WPA. WLAN AP relaterer denne EAP-sekvensen med radiussekvensen som tidligere er etablert. 7. AP-en starter autentiseringsprosessen ved å be om identiteten til terminalen, som spesifisert av WPA. 8. EAP-metodene for autentisering kjøres, som spesifisert av WPA. I dette tilfellet mislykkes autentiseringen. This is the key difference with WPA where the traffic port should always be closed until the user is authenticated and the session keys are generated. 5. The terminal can then establish its IP connection using mechanisms such as DHCP. In DHCP, the MAC address of the terminal is included and the DHCP server in the AP can allocate the IP address assigned by the AAA/radius server (see message 3 in Figure 6). 6. At this point, it is the terminal that is responsible for starting the EAP process by sending EAP start, as specified by WPA. The WLAN AP relates this EAP sequence with the radius sequence previously established. 7. The AP starts the authentication process by requesting the identity of the terminal, as specified by WPA. 8. The EAP methods of authentication are run, as specified by WPA. In this case, authentication fails.
9. En EAP-feilmelding sendes til terminalen, som spesifisert av WPA. 9. An EAP error message is sent to the terminal, as specified by WPA.
10. Aksesspunktet gir beskjed til terminalen at den har blitt frakoblet ved å sende en disassosiasjonsmelding. 10. The access point informs the terminal that it has been disconnected by sending a disassociation message.
Fig. 7 viser 802. lx port 1 som kan være åpen eller lukket for brukertrafikk. Port 1 er koblet til brukeren gjennom en WLAN-forbindelse 2, og til Internett gjennom en forbindelse 3. Porten 1 kontrolleres primært av en WPA (WiFi (IEEE 802.11b wireless networking) Protected Acess) kontroller 4, og en timer 5. WPA-funksjonen avhenger av kommunikasjon med en RADIUS (AAA) -server 7, som utfører autentiseringen og autoriseringsfunksjonen på vegne av WPA-portkontrolleren 4. WPA-portkontrolleren 4 vil operere avhengig av aksesspolicyvelger 8 (enten lukket inntil autentisering lykkes, eller åpen inntil autentisering mislykkes). Aksesspolicyselektoren 8 kontrolleres av en statistisk overvåkningskontrollfunksjon 6 som måler kvotienten mellom bokført og ikke-bokført trafikk. Timeren 5 vil lukke porten 1 hvis WPA-kontrolleren 4 forblir i pågående tilstand for lenge (konfigurerbar tid). Fig. 7 shows 802. lx port 1 which can be open or closed for user traffic. Port 1 is connected to the user through a WLAN connection 2, and to the Internet through a connection 3. Port 1 is primarily controlled by a WPA (WiFi (IEEE 802.11b wireless networking) Protected Access) controller 4, and a timer 5. WPA- the function depends on communication with a RADIUS (AAA) server 7, which performs the authentication and authorization function on behalf of the WPA port controller 4. The WPA port controller 4 will operate depending on the access policy selector 8 (either closed until authentication succeeds, or open until authentication fails) . The access policy selector 8 is controlled by a statistical monitoring control function 6 which measures the quotient between recorded and unrecorded traffic. The timer 5 will close the port 1 if the WPA controller 4 remains in the ongoing state for too long (configurable time).
Claims (12)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
NO20052689A NO324810B1 (en) | 2005-06-06 | 2005-06-06 | Procedure for transferring a client from a first wireless LAN to a second wireless LAN |
PCT/NO2006/000209 WO2006132540A1 (en) | 2005-06-06 | 2006-06-06 | A method and arrangement for handing over a client from a first wireless lan to a second wireless lan |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
NO20052689A NO324810B1 (en) | 2005-06-06 | 2005-06-06 | Procedure for transferring a client from a first wireless LAN to a second wireless LAN |
Publications (3)
Publication Number | Publication Date |
---|---|
NO20052689D0 NO20052689D0 (en) | 2005-06-06 |
NO20052689L NO20052689L (en) | 2006-12-07 |
NO324810B1 true NO324810B1 (en) | 2007-12-10 |
Family
ID=35295269
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
NO20052689A NO324810B1 (en) | 2005-06-06 | 2005-06-06 | Procedure for transferring a client from a first wireless LAN to a second wireless LAN |
Country Status (2)
Country | Link |
---|---|
NO (1) | NO324810B1 (en) |
WO (1) | WO2006132540A1 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090282251A1 (en) * | 2008-05-06 | 2009-11-12 | Qualcomm Incorporated | Authenticating a wireless device in a visited network |
US8984590B2 (en) * | 2011-11-08 | 2015-03-17 | Qualcomm Incorporated | Enabling access to key lifetimes for wireless link setup |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3647433B2 (en) * | 2002-10-25 | 2005-05-11 | 松下電器産業株式会社 | Wireless communication management method and wireless communication management server |
US7792527B2 (en) * | 2002-11-08 | 2010-09-07 | Ntt Docomo, Inc. | Wireless network handoff key |
GB0315278D0 (en) * | 2003-06-30 | 2003-08-06 | Nokia Corp | A method for optimising handover between communication networks |
-
2005
- 2005-06-06 NO NO20052689A patent/NO324810B1/en not_active IP Right Cessation
-
2006
- 2006-06-06 WO PCT/NO2006/000209 patent/WO2006132540A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
NO20052689L (en) | 2006-12-07 |
NO20052689D0 (en) | 2005-06-06 |
WO2006132540A1 (en) | 2006-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8332912B2 (en) | Method and apparatus for determining an authentication procedure | |
AU2005236981B2 (en) | Improved subscriber authentication for unlicensed mobile access signaling | |
EP3100430B1 (en) | Session and service control for wireless devices using common subscriber information | |
JP4340626B2 (en) | Seamless public wireless local area network user authentication | |
US8036183B2 (en) | Method and system for transporting configuration protocol messages across a distribution system (DS) in a wireless local area network (WLAN) | |
US9603021B2 (en) | Rogue access point detection | |
EP1693995B1 (en) | A method for implementing access authentication of wlan user | |
JP4687788B2 (en) | Wireless access system and wireless access method | |
KR101002799B1 (en) | mobile telecommunication network and method for authentication of mobile node in mobile telecommunication network | |
US20140304777A1 (en) | Securing data communications in a communications network | |
JP2005110112A (en) | Method for authenticating radio communication device in communication system, radio communication device, base station and authentication device | |
WO2010000185A1 (en) | A method, apparatus, system and server for network authentication | |
NO342167B1 (en) | Authentication in mobile collaboration systems | |
KR101460766B1 (en) | Security setting system and the control method for using clurster function in Wireless network system | |
JP2023523679A (en) | Preparing for non-3GPP handover | |
WO2012151905A1 (en) | Method and device for network handover | |
JP2006041594A (en) | Mobile communication system and authentication method of mobile terminal | |
NO324810B1 (en) | Procedure for transferring a client from a first wireless LAN to a second wireless LAN | |
EP3506588A1 (en) | Method of authenticating access to a wireless communication network and corresponding apparatus | |
CN116057982A (en) | Non-3 GPP handover preparation | |
KR101434750B1 (en) | Geography-based pre-authentication for wlan data offloading in umts-wlan networks | |
KR100549918B1 (en) | Roaming service method for public wireless LAN service | |
WO2010026452A2 (en) | Inter-base stations communication using terminal device | |
Chung et al. | A novel (Re) association control scheme for inter-AP security transition in mobile wireless LAN | |
BRPI0902036B1 (en) | AUTHENTICATION SYSTEM AND METHOD FOR INTERCONNECTION OF HETEROGENEOUS WIRELESS NETWORKS |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM1K | Lapsed by not paying the annual fees |