NO324810B1 - Fremgangsmate for a overlevere en klient fra et forste tradlost LAN til et andre tradlost LAN - Google Patents

Fremgangsmate for a overlevere en klient fra et forste tradlost LAN til et andre tradlost LAN Download PDF

Info

Publication number
NO324810B1
NO324810B1 NO20052689A NO20052689A NO324810B1 NO 324810 B1 NO324810 B1 NO 324810B1 NO 20052689 A NO20052689 A NO 20052689A NO 20052689 A NO20052689 A NO 20052689A NO 324810 B1 NO324810 B1 NO 324810B1
Authority
NO
Norway
Prior art keywords
traffic
authentication
client
port
access
Prior art date
Application number
NO20052689A
Other languages
English (en)
Other versions
NO20052689D0 (no
NO20052689L (no
Inventor
Tor Hjalmar Johannesen
Frederic Paint
Original Assignee
Telenor Asa
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telenor Asa filed Critical Telenor Asa
Priority to NO20052689A priority Critical patent/NO324810B1/no
Publication of NO20052689D0 publication Critical patent/NO20052689D0/no
Priority to PCT/NO2006/000209 priority patent/WO2006132540A1/en
Publication of NO20052689L publication Critical patent/NO20052689L/no
Publication of NO324810B1 publication Critical patent/NO324810B1/no

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

En fremgangsmåte og arrangement for handover mellom WLAN er beskrevet. Ved å åpne trafikkanalen (porten) mens autentiseringen prosesseres i parallell, kan handover-forsinkelser minimaliseres. Trafikkanalen/aksessporten vil først bli lukket hvis autentiseringsprosessen mislykkes.

Description

Oppfinnelsens område
Foreliggende oppfinnelse vedrører handover-prosedyrer i trådløse lokalnettverk.
Bakgrunn
I dag er det en trend å tilby brukere av WLAN (Wireless LAN) mobile fasiliteter. Dette betyr at en WLAN-bruker kan bevege seg fra aksesspunkt til aksesspunkt uten å tape sin etablerte sesjon eller Internett-forbindelser; en såkalt sømløs handover. I eksisterende WLAN-systemer er problemet at brukerinnretningen/klienten må reautentisere til hvert nytt aksesspunkt før trafikkanalen åpnes. Reautentiseringsprosessen er tidkrevende og presenterer en reell hindring, særlig for sanntids applikasjoner slik som streaming og tale, hvor forsinkelser på mer enn 120 ms vil degradere funksjonaliteten betydelig.
I dag gir det portbaserte sikkerhetssystemet IEEE 802. IX autentisering og åpningen av trafikkanalen som sekvensielle prosesser, det vil si at aksesspolitikken er ikke å tillate noen trafikk før autentiseringsprosessen er vellykket avsluttet, se figur 1 nedenfor. Det er grunner for dette, for det meste relatert til bokføring og debitering: Alt forbruk av WLAN båndbredde og Internett-aksess bør bokføres, men dette er bare mulig hvis brukeren først identifiseres og autentiseres. Problemet er imidlertid at autentiseringsforsinkelsene vanligvis er lange. Autentiseringskrediteringer blir vanligvis frembrakt i en fjerntliggende database/server og autentiseringsprosessen krever vanligvis flere spørringer til denne fjerntliggende database/server. Dette introduserer store forsinkelser som kan være ødeleggende for hurtig handover for mobile brukere, og også bryte opp for sanntids applikasjoner slik som tale og streaming. Dette kan videre minske tiltrekningskraften for mobile brukere og nye tjenester, som igjen er ugunstig for forretningen.
En lignende fremgangsmåte brukes i GSM nett hvor mobilstasjoner konstant beveger seg rundt. Når en mobilstasjon detekterer at den har beveget seg fra et lokasjonsområde inn i et annet (ved å lytte på lokasjonsområdeinformasjon som periodisk kringkastes av basestasjonene), vil den informere nettverket ved å sende en
lokasjonsoppdateringsmelding. Nettverket vil autentisere mobilstasjonen før signaleringskanalen frigjøres. Denne endring av lokasjonsområde vil introdusere et øyeblikkelig stopp i kommunikasjonen som kan forårsake en degradering av kanalkvaliteten. For å tilveiebringe en sømløs handover mellom lokasjonsområder, beskriver US patent 5483668 til Nokia en fremgangsmåte hvor mobilstasjonen forblir i kontakt med den gamle basestasjonen inntil forbindelsen til den nye basestasjonen er etablert. Dette oppnås ved å sende i to forskjellige tidsluker samtidig. Imidlertid vil denne fremgangsmåten bare virke i GSM systemer som er TDMA-baserte, og med en
komplisert infrastruktur av sammenknyttede basestasjonskontrollere, svitsjesentre for mobile tjenester, hjemmelokasjonsregistre, besøkendelokasjonsregistre, autentiseringssentre osv. Dette gjør denne fremgangsmåten irrelevant for WLAN.
US Patent 5,898,924 til Siemens beskriver forbindelses-handover av trådløst terminalutstyr i et DECT-system. Imidlertid er det ikke beskrevet noen autentiseringsfunksjon, ettersom dette er ikke-eksisterende i DECT-systemer.
Sammenfatning av oppfinnelsen
Det er en hensikt med foreliggende oppfinnelse å tilveiebringe en fremgangsmåte og et arrangement for handover i et WLAN som unngår problemene skissert ovenfor, og tilveiebringer en stabil forbindelse ved streifing fra en trådløs sone til en annen.
Den nye ideen er å introdusere et kompromiss mellom sikkerhet og handover-latens. Ved å åpne trafikkanalen (porten) mens autentiseringen prosesseres i parallell kan handover-forsinkelser minimaliseres. Trafikkanalen/aksessporten vil først bli lukket hvis autentiseringsprosessen mislykkes. Kostnaden for dette vil ligge på aksess/nettverksleverandøren (Residential Gateway (RG)/Hotspot-eier, osv.) som må gi noen ressurser/tid uten betaling. Denne "gratistiden" bør være konfigurerbar (forventes å være noen få sekunder).
Den foreslåtte politikk reflekterer at "alt" er tillatt inntil noe bevises å være galt, i motsetning til den tradisjonelle politikken hvor "ingenting" er tillatt inntil noe bevises å være riktig (det vil si at autentiseringen lykkes).
Den inventive løsning er som definert i de vedføyde selvstendige patentkrav 1 og 8.
Fordelene med parallell prosessering av autentisering og trafikk kan være betydelige, siden det både vil sørge for hurtig handover mellom aksesspunkter som tilhører samme (intra) domene (eier) så vel som interdomener, hvor reautentiseringen representerer de største forsinkelsene. Prisen er at aksesspunktet må gi noen gratis ressurser som ikke kan kontoføres . Trekkene dekket av de ytterligere uselvstendige kravene vil begrense slik "gratis surfing", og også motvirke "denial of service" type atakker hvor falske klienter prøver å utnytte politikken med åpen port.
Kortfattet beskrivelse av tegningene
Fig. 1 illustrerer den tradisjonelle politikken med sekvensiell portaksesspolicy,
Fig. 2 viser parallellprosessert aksess ifølge foreliggende oppfinnelse,
Fig. 3 illustrerer en sikkerhetsforbedring av den inventive prosess i figur 1 som involverer parallellprosessering med timer-kontroll av pågående tilstander, Fig. 4 illustrerer aksesspunktene og portene i et system ifølge foreliggende oppfinnelse, Fig. 5 viser meldingssekvensen under en vellykket klientforbindelse til et WLAN-aksesspunkt, Fig. 6 viser den korresponderende meldingssekvens i tilfelle forbindelsesprosessen skulle feile, Fig. 7 er en skjematisk illustrasjon av hovedbyggeblokkene i et arrangement ifølge oppfinnelsen, for innlemmelse i et WLAN-aksesspunkt.
Detaljert beskrivelse av oppfinnelsen
Den tilgjengelige autentiseringsstandard for portaksess som brukes i dag (802. IX) utfører autentiseringsfunksjonene før aksessporten åpnes for normal trafikk. Dette betyr at informasjon må utveksles mellom brukerklienten og RG/Hotspot-aksesspunktet. I noen tilfeller, det vil si når brukeren tilhører et annet domene må RG-en til og med henvende seg til brukerens Internett-tjenesteleverandør (ISP) for å oppnå autentiseringsdata. Dette introduserer enda mer tidsforsinkelse for å avslutte prosessen. Reautentisering betraktes som mest tidkrevende i handover-situasjoner.
Figur 1 viser sekvensen med autentisering og trafikkhåndtering i dagens WLAN-systemer. Aksesspunktet vil fullføre autentiseringsoppgaven før noen brukertrafikk blir tillatt gjennom dens port(er). Hvis autentiseringen blir vellykket, tillates trafikk og kontoføring blir startet, hvis den svikter blir porten lukket for denne brukeren.
Foreliggende oppfinnelse tilveiebringer en ny fremgangsmåte for å organisere prosessen med portautentisering for aksessnettverk med portbasert aksesskontroll, slik som WLAN og WMAN i forbindelse med trafikkhåndtering, ved at de to prosesser utføres i parallell i stedet for i sekvens.
Figur 2 viser den nye ideen. Her tillater aksesspunktet brukertrafikk parallelt med den pågående autentiseringsprosessen. Når autentiseringsresultatet er klart, kan to ting skje: Hvis autentiseringen er vellykket, blir kontoføring startet for denne bruker, som fortsetter sin Internett-trafikk med den allerede etablerte sesjonen. Hvis det svikter vil porten bli lukket og brukerens trafikk avvist (det vil si ifølge standard prosedyrer).
Aksesspunktet (AP) vil åpne trafikkanalen for enhver ikke-autentisert bruker mens autentiseringsfunksjonen prosesseres for den assosierte linkadresse for klienten (for eksempel WLAN MAC-adresse). Hvis autentiseringen er vellykket, blir kontoføringsfunksjonen aktivert (gjennom for eksempel RADIUS-kontoføring), hvis autentiseringen mislykkes blir trafikken stoppet for denne klienten. I parallell vil terminalen åpne trafikkanalen for ethvert ikke-autentisert aksesspunkt, mens den assosierte linkadresse for aksesspunktet prosesseres. Hvis autentiseringen mislykkes blir trafikken stoppet. For en WLAN-terminal kan en disassosiasjonsmelding sendes til aksesspunktet.
Den nye fremgangsmåten kan anvendes i ethvert aksessnettverk med portbasert aksesskontroll som kontrollerer tilgangen til et eksternt nettverk. Det gjelder for eksempel ethvert trådløst lokalområdenettverk (WLAN) som bruker 802. lx-protokollen, slik som WiFi (Wireless Fidelity (IEEE 802.11b wireless networking) beskyttet aksess (WPA), WPA2 og 802.1 li-baserte WLAN, så vel som ethvert Wireless Mertopolitan Area Network (WMAN) som bruker portbasert aksesskontroll, slik som 802.16e.
For beskyttelsesformål kan den inventive fremgangsmåte forbedres med ytterligere funksjonalitet. Samtidig som autentiseringsfunksjonen startes vil en timer bli satt. Denne timer er konfigurerbar. Timeren kan være konfigurert av (deaktivert), på, og varigheten til timeren kan settes. Hvis autentiseringen mislykkes, eller ikke er vellykket innen den konfigurerbare tidsramme, vil trafikken avvises for denne node (enten terminalen eller aksesspunktet, eller både terminalen og aksesspunktet). Hvis autentiseringen av terminalen er vellykket, vil kontoføringsfunksjonen bli injisert i aksesspunktet.
Figur 3 illustrerer sekvenseringen i denne sikkerhetsforbedrede metode. Sammenlignet med figur 2 (basismodellen), er en timer lagt til for å kontrollere latenstiden for en mulig forsinket autentiseringsprosess. Hvis ingen respons mottas fra autentiseringsprosessen i figur 2, kan porten forbli åpen. For å unngå aldri avsluttede pågående tilstander, vil timeren i tilfelle stoppe trafikken ved å lukke porten. Hvis det er en respons fra autentiseringsprosessen før timeren utløper, blir timeren kansellert, og resultatet fra autentiseringsprosessen definerer om porten skal forbli åpen eller lukkes (som i grunnmodellen).
Når en port blir lukket, blir kommunikasjon på den aktuelle linkadresse (for eksempel WLAN MAC-adresse) forhindret.
Legg merke til at denne funksjonalitet alene ikke hindrer den forsøkende klient å gjenta sitt tilgangsforsøk.
For å redusere falsk "gratis surfing" hvor klienten utnytter tidsvinduet hvor ikke-autentisert tilgang er tillatt, kan fremgangsmåten illustrert i figur 3 til og med forbedres ytterligere.
Hvis en klient med angitt (for eksempel MAC) -id avvises et konfigurerbart antall ganger, det vil si å ha opplevd at trafikken har blitt blokkert av aksessporten, skal ytterligere aksessforsøk ikke håndteres av aksesserveren, og denne klienten skal ikke ha ytterligere tilgang til trafikkanalen og policyen med parallell prosessering ifølge denne inventive fremgangsmåte.
For å implementere denne funksjonalitet bør aksesserveren inkludere:
En svitsj som lukker porten for enhver kommunikasjon for en avvist klient-MAC-adresse.
En cachings-funksjon som lagrer den avviste MAC-adresse.
En teller for antallet aksessforsøk som enten har vært avviste forsøk eller
tidsutløpte forsøk. Hver cachet avvist MAC-adresse lagrer den assosierte teller.
En konfigurerbar maksforsøk-verdi. Hvis den overskrides skal aksesspunktet
ikke lenger håndtere aksessforsøk for denne id.
En klareringsfunksjon for å fjerne denne MAC-adresse fra cachen etter en
konfigurerbar tid (og slik reåpne hans mulighet for å prøve forbindelse på nytt).
Styringsfunksjon for å sette det maksimale antall aksessforsøk. Styringsfunksjon for å sette intervallet som resetter cachen for en blokkert MAC-id.
Parametere: Timer: Minutter.
I tillegg til å begrense det maksimale antall sviktende aksessforsøk for en bestemt MAC-id, forsees også muligheten til å oppnå falsk tilgang ved å med overlegg endre klientens MAC-id. Dette vil hindre funksjonene i fremgangsmåten beskrevet ovenfor i å kontrollere falsk bruk av ressurser, og muligens resultere i aksesser og ressursforbruk som ikke kan bokføres.
Et mottrekk for denne type angrep er å måle forholdet mellom kontoført og ikke-kontoført trafikk i en periode. Hvis forholdet overskrider en bestemt grense, kan policyen med parallell prosessering utveksles med den tradisjonelle policyen illustrert i figur 1. Forutsatt at aksesspunktet er i stand til å svitsje mellom de to policyer, foreslås det en tilstandsmaskin som opererer mellom to tilstander: Tilstand 1: Den gyldige/virkende policy er scenariet med parallellprosessering som i fig. 2, og med forbedringene beskrevet ovenfor.
Tilstand 2: Den gyldige/virkende policy er den tradisjonelle sekvensielle prosessering av autentisering og trafikk som i figur 1.1 tilstand 2 er ikke-kontoført trafikk ikke mulig.
Endringen av tilstand utføres automatisk etter de følgende hendelser.
Tilstand 1 - > Tilstand 2: Når statistikk basert på forholdet ikke-kontoført/kontoført ressursforbruk når et konfigurerbart reaksjonspunkt.
Tilstand 2 - > Tilstand 1: Når en konfigurerbar timer utløper (styrbar periode).
Når tilstand endres/settes til tilstand 1 blir statistikktelleren resatt.
Det skal også være mulig å sette policyen permanent i tilstand 1 eller i tilstand 2.
Aksesserveren bør inkludere de følgende styringsfunksjoner:
• Funksjon for å sette tilstand permanent i tilstand 1 eller tilstand 2
• Funksjon for å sette tilstandsmaskin aktiv (standard tilstand 1)
• Funksjon for å sette maksstatistikkforholdet for å trigge overgang til tilstand 2 • Funksjon for å sette timeren som kontrollerer overgangen til tilstand 1 fra tilstand 2.
Parametere: Timer: Minutter
Figur 4 viser en systembeskrivelse for to viktige porter. Den venstre porten (A) er under klientens kontroll; klienten kan kontrollere denne porten avhengig av sin egen policy.
Den høyre porten (B) til aksessnettverket (normalt aksesspunkt), og er under hans kontroll. For at klienten skal nå det eksterne nettverk må begge porter være åpne for trafikk. Så langt har beskrivelsen fokusert på den høyre porten B: Avhengig av autentisering av klienten, vil B kontrollere hans trafikk. Lignende metoder kan brukes for port A, hvor klienten krever autentisering av aksessnettverket/aksesspunktserveren før porten åpnes, for eksempel for å motta trafikk. Autentisering av både klient og aksesspunkt/server betegnes "innbyrdes autentisering".
Trafikkporten som skal åpnes kan være mer avansert enn en alt-eller-ingenting-port. Faktisk kan porten på aksesspunktet være åpen bare for tale og/eller videotrafikk, mens web-lesing kan være lukket inntil autentisering er vellykket.
Eksempel på en praktisk implementering av løsningen i sammenheng med WLAN som bruker WPA-sikkerhetsrammeverk for WLAN.
Vi beskriver signaleringsflyten i tilfellet av en terminal som assosierer seg for første gang til WLAN nettverket, for det tilfellet av en vellykket autentiseringsprosess (figur 5) og for tilfelle av en mislykket autentisering (figur 6).
Tilfell 1 - Vellykket tilfelle
Policyen i aksesspunktet (AP) er slik at porten åpnes for et gitt tidsvindu som er dimensjonert slik at det dekker to ganger den midlere tid for en autentiseringsprosess. Hvis autentiseringen er vellykket vil porten fortsette å være åpen etter at tidsvinduet har utløpt. Ellers blir porten lukket og hendelsen registreres.
Figur 5 viser meldingssekvensen for vellykket klientforbindelse til WLAN AP. De forskjellige trinn er indikert i stiplede bokser og linjer. Fremgangsmåten inkluderer de følgende individuelle trinn:
1. Terminalen assosierer seg med et aksesspunkt ved bruk av standard 802.11-mekanismer. 2. WLAN AP sender en aksessanmodning til radiusserveren, og tilveiebringer MAC-adressen til terminalen, og den beordrede tjeneste, for eksempel WLAN-aksess. Dette er del av radiusspesifikasjonen. 3. Radiusserveren svarer positivt på anmodningen. Dette svaret inkluderer IP-adressen som bør allokeres til terminalen som initierte aksessprosessen. Dette er del av radiusspesifikasjonen. 4. Assosiasjonssvaret sendes tilbake. Informasjon i assosiasjonssvaret indikerer at porten kan åpnes før autentiseringen er vellykket. Terminalen vet på dette tidspunkt at den kan motta og sende trafikk selv om autentiseringen ikke er fullført. En alternativ løsning er å inkludere denne informasjon i prøveresponsen (før assosiasjon).
I assosiasjonsmeldingen kan man enkelt inkludere et nytt informasjonselement.
Dette er nøkkelforskjellen med WPA hvor trafikkporten alltid bør være lukket inntil brukeren er autentisert og sesjonsnøklene blir generert. 5. Terminalen kan deretter etablere sin IP-forbindelse ved bruk av mekanismer slik som DHCP. IDHCP er MAC-adressen til terminalen inkludert og DHCP-serveren i AP kan allokere IP-adressen tildelt av AAA/Radiusserveren (se melding 3 i figur 5). 6. På dette punktet er det terminalens ansvar å starte EAP-prosessen ved å sende EAP-start, som spesifisert av WPA. WLAN AP relaterer denne EAP-sekvens med
radiussekvensen som tidligere ble etablert.
7. AP-en starter autentiseringsprosessen ved å be om identiteten av terminalen, som spesifisert av WPA. 8. EAP-autentiseringsmetodene kjøres, som spesifisert av autentiseringsmetodene som brukes sekvensielt, som spesifisert av WPA. 9. En vellykket melding sendes til terminalen når autentiseringen er vellykket, som spesifisert av WPA.
10. Masternøkkelen sendes til AP-en, som spesifisert av WPA.
11. Dette nøkkelmateriale benyttes for å generere sesjonsnøklene, som spesifisert av WPA. På dette punkt er trafikken sikret, og informasjonen for kontoføring er pålitelig og kan brukes for å debitere brukeren.
Tilfelle 2 - mislykket tilfelle
Figur 6 ovenfor viser meldingssekvensen for en mislykket klientforbindelse til WLAN AP. De forskjellige trinn indikeres i stiplede bokser og linjer, og hvert trinn inkluderer de følgende handlinger:
1. Terminalen assosierer seg med et aksesspunkt ved bruk av standard IEEE 802.11-mekanismer. 2. WLAN AP sender en aksessanmodning til radiusserveren, som tilveiebringer MAC-adressen til terminalen, og den etterlyste tjeneste, for eksempel WLAN-aksess. Dette er del av radiusspesifikasjonen. 3. Radiusserveren reagerer positivt på anmodningen. Denne respons inkluderer IP-adressen som bør allokeres til terminalen som initierte aksessprosessen. Dette er del av radiusspesifikasjonen. 4. Assosiasjonsresponsen sendes tilbake. Informasjon i assosiasjonsresponsen indikerer at porten kan åpnes før autentisering er vellykket. Terminalen vet på dette tidspunkt at den kan motta og sende trafikk selv om autentiseringen ikke er fullført. En alternativ løsning er å inkludere denne informasjon i prøveresponsen (probe response) (før assosiasjon).
I assosiasjonsmeldingen kan man enkelt inkludere et nytt informasjonselement.
Dette er nøkkelforskjellen med WPA hvor trafikkporten alltid bør være lukket inntil brukeren er autentisert og sesjonsnøklene blir generert. 5. Terminalen kan deretter etablere sin IP-forbindelse ved bruk av mekanismer, slik som DHCP. I DHCP er MAC-adressen til terminalen inkludert og DHCP-serveren i AP kan allokere IP-adressen tildelt av AAA/radiusserveren (se melding 3 i figur 6). 6. På dette punkt er det terminalen som er ansvarlig for å starte EAP-prosessen ved å sende EAP-start, som spesifisert av WPA. WLAN AP relaterer denne EAP-sekvensen med radiussekvensen som tidligere er etablert. 7. AP-en starter autentiseringsprosessen ved å be om identiteten til terminalen, som spesifisert av WPA. 8. EAP-metodene for autentisering kjøres, som spesifisert av WPA. I dette tilfellet mislykkes autentiseringen.
9. En EAP-feilmelding sendes til terminalen, som spesifisert av WPA.
10. Aksesspunktet gir beskjed til terminalen at den har blitt frakoblet ved å sende en disassosiasjonsmelding.
Fig. 7 viser 802. lx port 1 som kan være åpen eller lukket for brukertrafikk. Port 1 er koblet til brukeren gjennom en WLAN-forbindelse 2, og til Internett gjennom en forbindelse 3. Porten 1 kontrolleres primært av en WPA (WiFi (IEEE 802.11b wireless networking) Protected Acess) kontroller 4, og en timer 5. WPA-funksjonen avhenger av kommunikasjon med en RADIUS (AAA) -server 7, som utfører autentiseringen og autoriseringsfunksjonen på vegne av WPA-portkontrolleren 4. WPA-portkontrolleren 4 vil operere avhengig av aksesspolicyvelger 8 (enten lukket inntil autentisering lykkes, eller åpen inntil autentisering mislykkes). Aksesspolicyselektoren 8 kontrolleres av en statistisk overvåkningskontrollfunksjon 6 som måler kvotienten mellom bokført og ikke-bokført trafikk. Timeren 5 vil lukke porten 1 hvis WPA-kontrolleren 4 forblir i pågående tilstand for lenge (konfigurerbar tid).

Claims (12)

1. Fremgangsmåte for å aksessere et eksternt nettverk fra en klient i et trådløst LAN, karakterisert ved åpning av en trafikkanal til det eksterne nettverket som overfører trafikk til og fra klienten, samtidig utføre en autentisering av klienten i det eksterne nettverket, og om autentiseringen lykkes å fortsette å overføre trafikk over nevnte trafikkanal, ellers å lukke nevnte trafikkanal.
2. Fremgangsmåte ifølge krav 1, hvor åpningen av trafikkanalen inkluderer å etablere kontakt med et aksesspunkt i det andre LAN, idet aksesspunktet åpner en trafikkport for klienten som overfører trafikk til og fra klienten, idet autentiseringstrinnet inkluderer at klienten leverer autentiseringsparametere til aksesspunktet og autentiseringspunktet utfører en autentiseringsprosess, og hvis autentiseringsprosessen lykkes, å starte bokføring av klientens bruk av trafikkanalen, ellers å lukke trafikkporten.
3. Fremgangsmåte ifølge krav 2, idet nevnte fremgangsmåte inkluderer det ytterligere trinn å starte en timer når autentiseringsprosessen startes, og hvis timeren utløper og autentiseringsprosessen fremdeles pågår, å lukke trafikkporten.
4. Fremgangsmåte ifølge krav 3, idet nevnte fremgangsmåte inkluderer å lagre en adresse til klienten, å telle aksessforsøk for klienten som har blitt avvist eller utløpt, å sammenligne antall aksessforsøk med en forhåndsbestemt maks-forsøkverdi, og hvis nevnte antall overskrider nevnte verdi, å nekte ytterligere aksessforsøk fra klienten.
5. Fremgangsmåte ifølge krav 4, idet nevnte fremgangsmåte inkluderer det ytterligere trinn å slette nevnte adresse fra lager når en forhåndsbestemt tidsperiode har utløpt.
6. Fremgangsmåte ifølge krav 5, idet nevnte fremgangsmåte inkluderer de ytterligere trinn: å måle ikke-bokført trafikk i en første forhåndsbestemt tidsperiode, å måle bokført trafikk i nevnte første forhåndsbestemte periode, og hvis forholdet mellom ikke-bokført og bokført trafikk overskrider en forhåndsbestemt grense, å lukke nevnte trafikkport for all ikke-bokført trafikk.
7. Fremgangsmåte ifølge krav 6, idet nevnte fremgangsmåte inkluderer det ytterligere trinn: når nevnte trafikkport lukkes, å starte en timer som åpner nevnte port for ikke-bokført trafikk og resetter målingene av ikke-bokført og bokført trafikk når en andre tidsperiode har utløpt.
8. Arrangement i et WLAN-aksesspunkt for å kontrollere tilgang til et eksternt nettverk, nevnte arrangement inkluderer en trafikkport (1), en WLAN-forbindelse (2) for nevnte trafikkport (1), en Internettforbindelse (3) for nevnte trafikkport (1), en beskyttes aksesskontroller (4) for å kontrollere nevnte trafikkport (1), karakterisert ved at den beskyttede aksesskontroller (4) er innrettet til å åpne trafikkporten (1) når den henvendes av en klient gjennom nevnte WLAN-forbindelse, og samtidig utføre en autentisering av klienten, og hvis autentiseringen mislykkes å lukke nevnte trafikkport (1).
9. Arrangement ifølge krav 8, idet nevnte arrangement videre inkluderer en autentiseringsserver (7) koblet til nevnte beskyttede aksesskontroller (4), idet nevnte autentiseringsserver (7) er innrettet til å utføre autentisering på vegne av den beskyttede aksesskontroller (4).
10. Arrangement ifølge krav 8, idet nevnte arrangement videre inkluderer en aksesspolicyvelger (8) innrettet til å kontrollere den beskyttede aksesskontroller (4) til enten å lukke trafikkporten (1) inntil autentisering lykkes, eller åpne trafikkporten (1) inntil autentisering mislykkes.
11. Arrangement ifølge krav 10, idet nevnte arrangement videre inkluderer en statistisk overvåkningskontrollfunksjon (6) som er innrettet til å kontrollere aksesspolicyvelgeren (8) ved å måle kvotienten mellom bokført og ikke-bokført trafikk.
12. Arrangement ifølge krav 8, idet nevnte arrangement videre inkluderer en timer (5) innrettet til å lukke trafikkporten (1) hvis den beskyttede aksesskontroller (4) forblir i en pågående tilstand for lenge.
NO20052689A 2005-06-06 2005-06-06 Fremgangsmate for a overlevere en klient fra et forste tradlost LAN til et andre tradlost LAN NO324810B1 (no)

Priority Applications (2)

Application Number Priority Date Filing Date Title
NO20052689A NO324810B1 (no) 2005-06-06 2005-06-06 Fremgangsmate for a overlevere en klient fra et forste tradlost LAN til et andre tradlost LAN
PCT/NO2006/000209 WO2006132540A1 (en) 2005-06-06 2006-06-06 A method and arrangement for handing over a client from a first wireless lan to a second wireless lan

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
NO20052689A NO324810B1 (no) 2005-06-06 2005-06-06 Fremgangsmate for a overlevere en klient fra et forste tradlost LAN til et andre tradlost LAN

Publications (3)

Publication Number Publication Date
NO20052689D0 NO20052689D0 (no) 2005-06-06
NO20052689L NO20052689L (no) 2006-12-07
NO324810B1 true NO324810B1 (no) 2007-12-10

Family

ID=35295269

Family Applications (1)

Application Number Title Priority Date Filing Date
NO20052689A NO324810B1 (no) 2005-06-06 2005-06-06 Fremgangsmate for a overlevere en klient fra et forste tradlost LAN til et andre tradlost LAN

Country Status (2)

Country Link
NO (1) NO324810B1 (no)
WO (1) WO2006132540A1 (no)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090282251A1 (en) * 2008-05-06 2009-11-12 Qualcomm Incorporated Authenticating a wireless device in a visited network
US8984590B2 (en) * 2011-11-08 2015-03-17 Qualcomm Incorporated Enabling access to key lifetimes for wireless link setup

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3647433B2 (ja) * 2002-10-25 2005-05-11 松下電器産業株式会社 無線通信管理方法及び無線通信管理サーバ
US7792527B2 (en) * 2002-11-08 2010-09-07 Ntt Docomo, Inc. Wireless network handoff key
GB0315278D0 (en) * 2003-06-30 2003-08-06 Nokia Corp A method for optimising handover between communication networks

Also Published As

Publication number Publication date
NO20052689D0 (no) 2005-06-06
WO2006132540A1 (en) 2006-12-14
NO20052689L (no) 2006-12-07

Similar Documents

Publication Publication Date Title
US8332912B2 (en) Method and apparatus for determining an authentication procedure
AU2005236981B2 (en) Improved subscriber authentication for unlicensed mobile access signaling
EP3100430B1 (en) Session and service control for wireless devices using common subscriber information
JP4340626B2 (ja) シームレスな公衆無線ローカル・エリア・ネットワーク・ユーザ認証
US8036183B2 (en) Method and system for transporting configuration protocol messages across a distribution system (DS) in a wireless local area network (WLAN)
US9603021B2 (en) Rogue access point detection
EP1693995B1 (en) A method for implementing access authentication of wlan user
JP4687788B2 (ja) 無線アクセスシステムおよび無線アクセス方法
KR101002799B1 (ko) 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치
US20140304777A1 (en) Securing data communications in a communications network
JP2005110112A (ja) 通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置。
WO2010000185A1 (zh) 一种网络认证的方法、装置、系统及服务器
NO342167B1 (no) Autentisering i mobilsamvirkesystemer
KR101460766B1 (ko) 무선 네트워크 시스템에서 클러스터 기능을 이용한 보안설정 시스템 및 그 제어방법
WO2012151905A1 (zh) 网络切换方法及装置
JP2023523679A (ja) 非3gppハンドオーバの準備
JP2006041594A (ja) 移動通信システムおよび移動端末の認証方法
NO324810B1 (no) Fremgangsmate for a overlevere en klient fra et forste tradlost LAN til et andre tradlost LAN
EP3506588A1 (en) Method of authenticating access to a wireless communication network and corresponding apparatus
KR101434750B1 (ko) 이동통신망에서 지리 정보를 이용한 무선랜 선인증 방법 및 장치
KR100549918B1 (ko) 공중 무선랜 서비스를 위한 무선랜 접속장치간 로밍서비스 방법
WO2010026452A2 (en) Inter-base stations communication using terminal device
CN116057982A (zh) 非3gpp切换准备
Chung et al. A novel (Re) association control scheme for inter-AP security transition in mobile wireless LAN
BRPI0902036B1 (pt) Sistema e método de autenticação para interconexão de redes sem fio heterogêneas

Legal Events

Date Code Title Description
MM1K Lapsed by not paying the annual fees