NO328320B1 - Abonnent autentisering - Google Patents
Abonnent autentisering Download PDFInfo
- Publication number
- NO328320B1 NO328320B1 NO20051424A NO20051424A NO328320B1 NO 328320 B1 NO328320 B1 NO 328320B1 NO 20051424 A NO20051424 A NO 20051424A NO 20051424 A NO20051424 A NO 20051424A NO 328320 B1 NO328320 B1 NO 328320B1
- Authority
- NO
- Norway
- Prior art keywords
- subscriber
- authentication
- communication system
- message
- access
- Prior art date
Links
- 238000000034 method Methods 0.000 claims abstract description 14
- 230000007246 mechanism Effects 0.000 claims abstract description 13
- 238000004891 communication Methods 0.000 claims description 23
- 238000010295 mobile communication Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 235000013601 eggs Nutrition 0.000 description 1
- 230000006870 function Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/24—Accounting or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
Oppfinnelsen omhandler en metode for å autentisere en abonnent, hvor nevnte metode omfatter: å motta (C) en autentiserings-melding fra en abonnent, og sjekke autentiteten til abonnenten. For å kunne sørge for at abonnenten, som i henhold til operatørens mening er en uautorisert abonnent, ikke vil få tilgang til systemet, omfatter metoden: å motta (E, F) status- informasjon for nevnte abonnent fra en abonnentsdatabase, sende (G) en beskjed som indikerer at autentiseringen har feilet, dersom en eller flere av de følgende forhold opptrer: autentisering av nevnte abonnent basert på autentiseringsbeskjeden har feilet, status-informasjon indikerer at abonnenten har tilgang til systemet via andre autentiserings- mekanismer, eller kontoen til abonnenten har blitt kansellert.
Description
Introduksjon
Den foreliggende oppfinnelsen omhandler abonnentautentisering. Oppfinnelsen kan fordelaktig bli brukt i et WLAN (Wireless Local Area Network) system for å kunne autentisere en abonnent. Imidlertid er det viktig å observere at den foreliggende oppfinnelsen også kan bli brukt i andre typer av systemer.
Tidligere kjent teknikk
Det er tidligere kjent løsninger hvor en abonnent blir autentisert eller respektivt re-autentisert slik at en autentiseringsserver blir tilveiebragt med nødvendig autentiseringsinformasjon for å kunne autentisere en abonnent. Autentiseringsserveren kan dermed, ved å bruke autentiseringsinformasjonen og autentiseringsmeldingen mottatt fra abonnenten, verifisere om autentiseringsmeldingen blir sendt fra en autentisk abonnent. Dersom dette er tilfelle, har autentiseringen vært vellykket, ellers har autentiseringen feilet. Dersom autentisering har vært vellykket, blir abonnenten tilveiebragt med tilgang til tjenesten tilbudt av kommunikasjonssystemet.
Et problem med tidligere kjent teknikk for autentiseringsmetoder av den ovenfor beskrevne typen er at tidligere kjent teknikk for autentiseringsmetoder kan under noen omstendigheter tilveiebringe abonnenten med tilgang til kommunikasjonssystemet, selv om operatøren for øyeblikket vurderer denne abonnenten som en uautorisert bruker av kommunikasjonssystemet. En situasjon av denne typen kan oppstå, f.eks. når operatøren nylig har kansellert en konto for abonnenten, og abonnenten nettveksler (eng: roaming) til et annet nettverk. I et slikt tilfelle kan en ny autentisering av abonnenten være vellykket og abonnenten kan gis tilgang til det besøkte nettverket. En situasjon av denne typen kan også oppstå når autentisering er basert på en brukeridentitet og et passord tastet inn av brukeren via et brukergrensesnitt på abonnentens stasjon. I dette tilfellet kan en situasjon oppstå hvor to ulike abonnentstasjoner blir brukt for å få tilgang til kommunikasjonssystemet samtidig ved å bruke samme brukeidentitet og passord.
Fra WO 2004/002073 er det kjent å bruke en IWF (Inter-Working Function) i et kommunikasjonssystem. I denne løsningen autentiserer en IWF en WLAN abonnent basert på informasjon i en autentiseringsvektor (AV). Dersom IWF har AV når WLAN abonnenten forsøker å få tilgang til WLAN, utfører IWF en selvstendig autentisering. I en slik situasjon kan autentisering være vellykket og abonnenten kan få tilgang til WLAN også selv om operatøren nylig har kansellert kontoen til en abonnent. Kun i det tilfellet hvor IWF ikke har AV når WLAN abonnenten forsøker å få tilgang til WLAN, sender IWF en forespørsel til AV fra et autentiseringssenter, i hvilket tilfelle det kan bli detektert at kontoen til abonnenten har blitt kansellert. En slik løsning er imidlertid ikke tilstrekkelig for å kunne hindre abonnenter, som i henhold til operatøren, ikke er autoriserte brukere av systemet, i å få tilgang til et kommunikasjonssystem.
Sammendrag av oppfinnelsen
En hensikt med den foreliggende oppfinnelsen er å løse de ovenfor nevnte ulemper og tilveiebringe en løsning som gjør det mulig å hindre at abonnenter som, i henhold til vurderingen til operatøren, er uautoriserte brukere av systemet, fra å få tilgang til kommunikasjonssystemet. Disse og andre hensikter med oppfinnelsen blir oppnådd med metoden i henhold til selvstendig krav 1, kommunikasjonssystemet ved selvstendig krav 5 og server i henhold til selvstendig krav 9.
Den foreliggende oppfinnelsen forbedrer tidligere kjente autentiseringsløsninger ved å introdusere en tilleggssjekk til autentiseringen av abonnenten. Denne ti 11 eggs sjekken blir utført ved å hente statusinformasjon fra en abonnentdatabase i forbindelse med autentiseringen. Dermed er det ikke lenger tilstrekkelig at abonnenten er i stand til å tilveiebringe korrekt autentiseringsmelding til systemet for å kunne få tilgang til systemet. T stedet må også en statussjekk bli utført på den aktuelle abonnenten. Denne statussjekken vil tilveiebringe tilleggsinformasjon om abonnenten slik at en situasjon kan bli unngått hvor tilgang blir tilveiebragt til en abonnent, selv om operatøren for øyeblikket vurderer denne abonnenten som en uautorisert bruker.
Den største fordelen som oppnås med oppfinnelsen er at den forbedrer operatørens mulighet til å begrense uautoriserte abonnenter fra å få tilgang til nettverket, ettersom operatøren kan forandre statusinformasjonen til disse abonnentene i abonnentdatabasen på en slik måte at tilgang blir nektet i forbindelse med autentisering. En annen signifikant fordel med den foreliggende oppfinnelsen er at en kan unngå situasjoner hvor to abonnentstasjoner samtidig får tilgang til systemet ved å bruke den samme brukeridentitet og passord i autentiseringen.
Foretrukne utførelser av metoden, kommunikasjonssystem og server i henhold til oppfinnelsen er fremlagt i de avhengige kravene 2 til 4, 6 til 8 og 10.
Kort beskrivelse av tegningene
I det følgende vil oppfinnelsen bli beskrevet i mer detalj i form av eksempler og med henvisning til de vedlagte tegningene hvor: Fig. 1 er et blokkskjema som illustrerer en første utførelse av den foreliggende oppfinnelsen, og Fig. 2 er et blokkskjema som illustrerer en annen utførelse av den foreliggende oppfinnelsen.
Beskrivelse av foretrukne utførelser
Fig. 1 er et blokkskjema som illustrerer en første foretrukket utførelse av den foreliggende oppfinnelsen. Det er antatt i form av eksemplet i fig. 1 at en abonnent 1 er en WLAN-abonnent, som får tilgang til et kommunikasjonssystem via en radio-sti tilveiebragt av et tilgangspunkt 2 (en basestasjon i dette eksemplet) og en tilgangsserver 3.
Terminalen brukt av abonnenten 1 er antatt å være en terminal med en EAP SIM-klient (Extensible Authentication Protocol IEEE 802.lx, Subscriber Identity Module). Terminalen innbefatter dermed en SIM som gjør brukeren i stand til å utnytte WLAN-tjenester og til å ha kostnadene av tjenestene brukt lagt til regningen på abonnentens mobiltelefon.
Systemet i fig. 1 innbefatter også en server, som er antatt å være en RADIUS-server (Remote Authentication Dial In User Service). RADIUS-servere blir brukt for å koble sammen WLAN-nettverk tilhørende ulike operatører til hverandre. Denne sammenkoblingen gjør det mulig, f.eks. å tilby roaming tjenester for abonnentene. Systemet i fig. 1 innbefatter også autentiseringsmidler 5 arrangert i en autentiseringsserver. Denne serveren tjener som en EAP SIM-server, som gjør det mulig å autentisere abonnenter med EAP SIM-klienter. For å kunne utføre en slik autentisering kommuniserer autentiseringsmidlene med et mobilt kommunikasjonssystem, slik som et hjemmelokasjonsregister 6 til GSM-systemet (Global System for Mobile communications).
En abonnentdatabase 7 innbefatter informasjon om WLAN-abonnentene. Abonnentdatabasen 7 er i dette eksemplet til fig. 1 forbundet til en operatørkunde-behandler og faktureringssystem 8, som blir brukt av operatøren for å oppdatere abonnentinformasjonen i abonnentdatabasen 7 og hjemmelokasjons-registeret 6 f.eks. Når en ny abonnent med en EAP SIM-klient blir lagt til WLAN-systemet, legger operatøren abonnentinformasjonen til om denne nye abonnenten til abonnentsdatabasen 7 og hjemmelokasjonsregisteret 6. Dersom på den annen side den eksisterende kontoen til WLAN-abonnenten blir kansellert, så utnytter operatøren kundebehandling og faktureringssystem 8 for å taste inn denne informasjonen inn i abonnentsdatabasen 7.
Abonnentautentisering av en EAP SIM-klient er basert på en autentiseringsinformasjon tilegnet fra det mobile kommunikasjonssystemet. EAP SIM-autentisering er tidligere kjent og vil derfor ikke bli forklart i detalj. Kort fortalt mottar, når abonnenten 1 har blitt identifisert, autentiseringsmidlene 5 autentiseringsinformasjon fra det mobile kommunikasjonssystemet. Som i dette tilfellet er et GSM-system. Autentiseringen er basert på en utfordringsrespons-mekanisme. EAP SIM-klienten mottar en utfordring RAND og bruker en forhåndsbestemt algoritme for å beregne responsen SRES ved å utnytte en hemmelig nøkkel, som er unik for den aktuelle SIM. Autentiseringsinformasjonen som innbefatter GSM-tripletter blir mottatt av autentiseringsmidlene 5 fra det mobile kommunikasjonssystemet. Denne autentiseringsinformasjonen innbefatter RAND- og SRES-par. RAND blir sendt til abonnenten 1 som utnytter en hemmelig nøkkel til SIM, for å beregne responsen med autentiseringsalgoritmen. Denne responsen blir returnert i en autentiseringsmelding til autentiseringsmidlene, som sammenligner responsen med SRES. Dersom responsen matcher SRES, så har autentiseringen vært vellykket. I EAP SIM-autentisering, er imidlertid flere GSM-tripletter kombinert for å kunne utføre én autentisering. EAP SIM-autentisering forbedrer også den primære GSM-autentiseringen ved å ledsage RAND-utfordringer og andre meldinger med "Message Authentication Code" for å kunne tilveiebringe gjensidig autentisering. 1 det følgende blir autentisering i henhold til den foreliggende oppfinnelsen forklart. Figurene viser ikke alle beskjedene som omhandler autentisering, men kun de beskjedene som er viktige for å kunne forstå den foreliggende oppfinnelsen. For å være i stand til å autentisere abonnenten 1, sender autentiseringsmidlene en forespørsel A til autentiseringstriplettene til hjemmelokasjonsregisteret 6 til GSM-systemet. Hjemmelokasjonsregisteret responderer til denne forespørselen ved å sende B autentiseringsinformasjon til autentiseringsmidlene 5. Denne autentiseringsinformasjonen innbefatter flere tripletter for abonnenten 1, som betyr at autentiseringsmidlene kan autentisere abonnenten 1 flere ganger før den trenger å forespørre flere tripletter fra hjemmelokasjonsregisteret.
Når abonnenten 1 i forbindelse med autentiseringen sender en autentiseringsmelding C via radiostien, blir denne meldingen mottatt av tilgangspunktet 2 og videreformidlet gjennom nettverket til autentiseringsmidlene 5. Uttrykket autentiseringsmelding viser her til en melding som innbefatter den nødvendige informasjonen som gjør det mulig å autentisere abonnenten. Dersom abonnenten tidligere allerede har blitt autentisert og autentiseringsmeldingen omhandler re-autentisering, så kan autentiseringsmidlene allerede ha den nødvendige autentiseringsinformasjonen for den aktuelle abonnenten, og meldingene indikert av A og B blir ikke sendt før mottak av autentiseringsmeldingen. Straks autentiseringsmeldingen har blitt mottatt, sammenligner autentiseringsmidlene innholdet av autentiseringsmeldingen C med autentiseringsinformasjonen tidligere tilegnet for abonnenten 1. Avhengig av denne sammenligningen informerer D autentiseringsmidlene 5 serveren 4 slik at autentiseringen har blitt vellykket eller at den har feilet.
Dersom serveren 4 mottar informasjon som indikerer vellykket autentisering, så sender sjekkemidlene 9 til serveren en beskjed E til abonnentdatabasen 7 for å kunne tilegne statusinformasjon for den aktuelle abonnenten. Sjekkemidlene kan bli implementert som en krets, et datamaskinprogram, eller en kombinasjon av disse. Denne statusinformasjonen blir mottatt av en server i en beskjed F. Den mottatte statusinformasjonen blir brukt av serveren 4 for å utføre en sjekk, hvor det blir bestemt om brukerens konto har blitt kansellert.
Dersom sjekkemidlene 9 detekterer at brukerens konto har blitt kansellert, så sender serveren 4 via nettverket til et tilgangspunkt 2 en beskjed G som indikerer at autentiseringen har feilet. Ellers indikerer denne beskjeden G at autentisering har vært vellykket. Dersom tilgangspunktet 2 mottar en beskjed G som indikerer at autentisering har feilet, blir ikke abonnenten 1 lenger tilveiebragt med tilgang til nettverket.
Den foreliggende oppfinnelsen har blitt beskrevet over i forbindelse med "full autentisering", med andre ord når autentiseringsinformasjonen blir tilegnet fra det mobile kommunikasjonssystemet. Den foreliggende oppfinnelsen kan imidlertid fordelaktig også bli brukt for re-autentisering, hvor en tidligere autentisert abonnent blir autentisert igjen. I dette tilfellet forespør ikke autentiseringsmidlene 5 eller mottar noen ny "oppdatert" autentiseringsinformasjon fra det mobile kommunikasjonssystemet. I stedet blir de tidligere tilegnede triplettene, som har blitt lagret i minnet til autentiseringsmidlene 5 brukt for re-autentisering, ellers blir re-autentiseringen utført som beskrevet over. 1 dette tilfellet sørger den ekstra statussjekken for at "gammel" autentiseringsinformasjon kan bli brukt uten noen risiko, fordi dersom forandringer har oppstått nylig for abonnenten, slik som kansellering av konto, så vil disse forandringene kunne bli detektert i statussjekken, som er basert på foreliggende statusinformasjon.
Fig. 2 er et blokkdiagram som illustrerer en annen foretrukket utførelse av den foreliggende oppfinnelsen. Utførelsen i fig. 2 er svært lignende til den som er beskrevet over i forbindelse med fig. 1. Dermed vil utførelsen i fig. 2 i det følgende hovedsakelig bli beskrevet ved å forklare forskjellene sammenlignet med utførelsen ifig. 1.
I fig. 2 er ikke abonnenten 1' en abonnent med en EAP SIM-klient, men i stedet blir autentiseringen av abonnenten 1' utført basert på en brukeridentitet og et passord som er kjent av brukeren av WLAN-terminalen. Nettverkdelen av systemet er stort sett identisk til det som er beskrevet over i forbindelse med fig. 1, fordi sammenføringselementer kan håndtere begge abonnentene med EAP SIM-klienter og abonnenter som blir autentisert med en brukeridentitet og passord. Imidlertid blir i dette tilfellet autentiseringsmidlene 5' arrangert i serveren 4', som dermed er i stand til å autentisere abonnenten 1'. Autentiseringsmidlene 5' kan være implementert som en krets, som et datamaskinprogram, eller en kombinasjon av disse. Hjemmelokasjonsregisteret og autentiseringsserveren i henhold til fig. 1 er ikke vist i fig. 2, fordi de ikke er nødvendige for å autentisere en abonnent, hvilken autentisering er basert på en brukeridentitet og passord. Systemet i fig. 2 kan imidlertid fordelaktig innbefatte også hjemmelokasjonsregisteret 6 og autentiseringsserveren 5 i fig. 1, for å være i stand til å autentisere både abonnenter med EAP SIM-klienter og abonnenter hvilken autentisering er basert på brukeridentitet og passord.
I utførelsen i fig. 2 er det ikke nødvendig å tilegne noen autentiseringsinformasjon fra et mobilt kommunikasjonssystem. I stedet kan autentiseringsinformasjonen som består av brukeridentiteter og passord av abonnentene bli lagret i forkant i autentiseringsmidlene 5', når abonnentkontoene blir åpnet i systemet.
Autentiseringsmeldingen C sendt av abonnenten i fig. 2 innbefatter dermed et passord eller en brukeridentitet og et passord. Autentiseringsmidlene 5' i serveren 4' mottar denne beskjeden, og sjekker om passordet for den aktuelle abonnenten er korrekt. Dersom dette er tilfelle indikerer autentiseringsmidlene 5' at autentiseringen har vært vellykket. Sjekkemidlene 9' til serveren 4' blir arrangert for å forespørre E statusinformasjon for den aktuelle abonnenten fra abonnentdatabasen 7. Den mottatte F statusinformasjonen blir brukt for å sjekke om den autentiserte abonnenten 1 har eller ikke har tilgang til systemet via en annen autentiseringsmekanisme. Dersom dette er tilfelle vil en situasjon oppstå hvor den samme abonnenten, som blir autentisert, allerede har tilgang til systemet fra en annen terminal. Dersom en slik situasjon blir detektert, blir en melding G sendt til tilgangspunktet for å indikere at autentiseringen har feilet. Ellers blir denne beskjeden G brukt for å indikere til tilgangspunktene at en autentisering har vært vellykket. Dersom autentiseringen har vært vellykket, sender serveren 4' en beskjed H til abonnentsdatabasen 7 for å kunne lagre inn abonnentsdatabaseinformasjon som indikerer at brukeren har blitt vellykket autentisert og blir tilveiebragt med tilgang til systemet. Denne lagrede informasjonen vil bli hentet ut i en mulig senere statussjekk for å indikere at abonnenten har tilgang til systemet via en annen autentiseringsmekanisme. Det kan dermed bli unngått at samme abonnent vil få tilgang til systemet fra en annen terminal.
Når den autentiserte abonnenten av en eller annen grunn bryter forbindelsen for å kunne stoppe å bruke tjenesten som er tilgjengelig i nettverket, vil tilgangspunktet 2 og/eller tilgangsserver 3 detektere dette og sende, f.eks. en "kontostopp" beskjed til serveren 4', for å kunne indikere at abonnenten ikke lenger har tilgang til nettverket. Serveren 4' videreformidler denne informasjonen for å kunne stoppe kontoen, og sender også en melding til abonnentdatabasen 7 for å indikere at abonnenten ikke lenger har tilgang til systemet. Denne informasjonen blir lagret i abonnentens database for å kunne bli hentet ut som en indikasjon om at abonnenten ikke lenger har tilgang til systemet via en annen autentiseringsmekanisme når abonnenten er autentisert neste gang.
I beskrivelsen av utførelsene over har det blitt beskrevet at i utførelsen i henhold til fig. 1 blir statussjekk brukt for å sørge for at kontoen til abonnenten ikke har blitt kansellert, og i utførelsen i henhold til fig. 2 for å sjekke at abonnenten ikke lenger har tilgang til systemet med en annen autentiseringsmekanisme. Imidlertid er det fordelaktig å tilveiebringe samme autentiseringsprosedyre for begge disse sjekkene. Dermed blir statussjekken gjort for å sørge for at abonnentskonto ikke har blitt kansellert og at abonnenten ikke har tilgang til systemet via en annen autentiseringsmekanisme. 1 dette tilfellet blir en beskjed som indikerer at autentiseringen har feilet sendt, om én eller begge av disse sjekkene har et positivt utfall, med andre ord har kontoen blitt kansellert eller abonnenten har tilgang via en annen autentiseringsmekanisme.
Claims (10)
1. Metode for å autentisere en abonnent i et kommunikasjonssystem, hvor metoden omfatter: å motta (C, C) en autentiseringsmelding fra en abonnent, og sjekke autentisiteten til abonnenten ved å utnytte innhold av nevnte autentiseringsmelding, karakterisert ved: å hente (E, F) statusinformasjon for nevnte abonnent fra en abonnentdatabase, når nevnte sjekk indikerer at abonnenten har blitt vellykket autentisert; å sende (G) en beskjed som indikerer at autentiseringen av nevnte abonnent har feilet, dersom ett eller flere av de følgende forhold gjelder: - autentiseringen av nevnte abonnent basert på innholdet av nevnte autentiseringsmelding har feilet, - statusinformasjon indikerer at abonnenten har tilgang til systemet via en annen autentiseringsmekanisme, eller - statusinformasjon indikerer at kontoen til abonnenten har blitt kansellert.
2. Metode i henhold til krav 1,
karakterisert ved at nevnte autentiseringsmelding er en re-autentiseringsmelding.
3. Metode i henhold til krav 1,
karakterisert ved at nevnte kommunikasjonssystem er et WLAN-system og nevnte metode videre omfatter: å sende (A) fra nevnte WLAN-system en forespørsel etter autentiseringsinformasjon til et mobilt kommunikasjonssystem, å motta (B) autentiseringsinformasjonen fra det mobile kommunikasjonssystemet, og sjekke autentiseringen av abonnenten ved å utnytte innholdene av nevnte autentiseringsbeskjed og autentiseringsinformasjon mottatt fira det mobile kommunikasjonssystemet.
4. Metode i henhold til et av kravene 1-3,
karakterisert ved at nevnte abonnent er en EAP SIM-klient.
5. Kommunikasjonssystem omfattende: et tilgangspunkt (2) som tilveiebringer tilgang til systemet for autentiserte abonnenter, en abonnentsdatabase (7) som inneholder informasjon om abonnentene av systemet, og autentiseringsmidler (5, 5') for autentisering av en abonnent (1, 1') ved å utnytte innholdet av en autentiseringsmelding mottatt fra nevnte abonnent (1, 1'), karakterisert ved at nevnte kommunikasjonssystem videre omfatter: sjekkemidler (9, 9') for å hente fra abonnentdatabasen (7) statusinformasjon fra nevnte abonnent (l, 1') når autentiseringsmidler indikerer at nevnte abonnent (1, 1') har blitt vellykket autentisert, for å utføre sjekken basert på nevnte mottatte statusinformasjon, og for å sende til tilgangspunktet (2): - en beskjed som indikerer at autentisering av nevnte abonnent (1, 1') har feilet, når sjekken indikerer at abonnenten har tilgang til systemet via andre autentiseringsmekanismer, og/eller at kontoen til abonnenten har blitt kansellert, eller - en beskjed som indikerer at autentisering av abonnenten (1, 1') har vært vellykket, når sjekken indikerer at abonnenten ikke har tilgang til systemet via andre autentiseringsmekanismer og at kontoen til abonnenten ikke har blitt kansellert.
6. Kommunikasjonssystem i henhold til krav 5,
karakterisert ved at nevnte tilgangspunkt (2) er en basestasjon som tilveiebringer autentiserte abonnenter med tilgang til kommunikasjonssystemet over et radiogrensesnitt,
hvor nevnte autentiseringsmidler (5) er arrangert for å sende en forespørsel etter autentiseringsinformasjonen til et mobilt radiosystem, til å motta autentiseringsinformasjonen fra det mobile radiosystemet og for å autentisere nevnte abonnent (l) basert på innholdet av autentiseringsmeldingen og autentiseringsinformasjonen.
7. Kommunikasjonssystem i henhold til krav 5 eller 6,
karakterisert ved at nevnte autentiseringsmelding er en re-autentiseringsmelding.
8. Kommunikasjonssystem i henhold til et av kravene 5-7, karakterisert ved at nevnte kommunikasjonssystem er et WLAN-system, hvor abonnenten er en EAP SIM-klient og nevnte sjekkemidler (9, 9') er arrangert i en RADIUS-server (4, 4').
9. En server (4, 4') til et kommunikasjonssystem, hvor nevnte server er responderbar til autentiseringsmidler til kommunikasjonssystemet, karakterisert ved at nevnte server omfatter sjekkmidler (9, 9') som, når autentiseringsmidlene (5, 5') indikerer at autentiseringen av en abonnent (1, 1') har vært vellykket, blir arrangert for å hente statusinformasjon fra nevnte abonnent fra en abonnentsdatabase (7), for å utføre en sjekk basert på nevnte statusinformasjon, og sende: - en beskjed som indikerer at autentisering av abonnenten (1, 1') har feilet, når resultatet av sjekken indikerer at abonnenten har tilgang til kommunikasjonssystemet via andre autentiseringsmekanismer, og/eller at kontoen til abonnenten har blitt kansellert, eller - en melding indikerer at autentiseringen av abonnenten (1, 1') har vært vellykket, når sjekken indikerer at abonnenten ikke har tilgang til kommunikasjonssystemet via andre autentiseringsmekanismer, og at kontoen til abonnenten ikke har blitt kansellert.
10. Server i henhold til krav 9,
karakterisert ved at nevnte server (4, 4') er en RADIUS-server.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FI20045094A FI116182B (fi) | 2004-03-23 | 2004-03-23 | Tilaajan autentikointi |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| NO20051424D0 NO20051424D0 (no) | 2005-03-18 |
| NO20051424L NO20051424L (no) | 2005-09-26 |
| NO328320B1 true NO328320B1 (no) | 2010-01-25 |
Family
ID=32039522
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| NO20051424A NO328320B1 (no) | 2004-03-23 | 2005-03-18 | Abonnent autentisering |
Country Status (7)
| Country | Link |
|---|---|
| EP (1) | EP1580936B1 (no) |
| AT (1) | ATE398368T1 (no) |
| DE (1) | DE602005007406D1 (no) |
| DK (1) | DK1580936T3 (no) |
| ES (1) | ES2307108T3 (no) |
| FI (1) | FI116182B (no) |
| NO (1) | NO328320B1 (no) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DK2797348T3 (en) * | 2013-04-26 | 2015-11-16 | Teliasonera Ab | Subscription Data Management |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6370373B1 (en) * | 1994-11-23 | 2002-04-09 | Lucent Technologies Inc. | System and method for detecting cloning fraud in cellular/PCS communications |
| US6421714B1 (en) * | 1997-10-14 | 2002-07-16 | Lucent Technologies | Efficient mobility management scheme for a wireless internet access system |
| US8630414B2 (en) * | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| US8108916B2 (en) * | 2003-05-21 | 2012-01-31 | Wayport, Inc. | User fraud detection and prevention of access to a distributed network communication system |
| JP4563385B2 (ja) * | 2003-07-22 | 2010-10-13 | トムソン ライセンシング | 無線ネットワークのクレジットに基づくアクセスを制御する方法及び装置 |
-
2004
- 2004-03-23 FI FI20045094A patent/FI116182B/fi not_active IP Right Cessation
-
2005
- 2005-03-01 DK DK05101535T patent/DK1580936T3/da active
- 2005-03-01 EP EP05101535A patent/EP1580936B1/en active Active
- 2005-03-01 DE DE602005007406T patent/DE602005007406D1/de active Active
- 2005-03-01 ES ES05101535T patent/ES2307108T3/es active Active
- 2005-03-01 AT AT05101535T patent/ATE398368T1/de not_active IP Right Cessation
- 2005-03-18 NO NO20051424A patent/NO328320B1/no not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| FI20045094A0 (fi) | 2004-03-23 |
| ATE398368T1 (de) | 2008-07-15 |
| DE602005007406D1 (de) | 2008-07-24 |
| FI116182B (fi) | 2005-09-30 |
| NO20051424D0 (no) | 2005-03-18 |
| NO20051424L (no) | 2005-09-26 |
| EP1580936B1 (en) | 2008-06-11 |
| ES2307108T3 (es) | 2008-11-16 |
| EP1580936A1 (en) | 2005-09-28 |
| DK1580936T3 (da) | 2008-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1430640B1 (en) | A method for authenticating a user in a terminal, an authentication system, a terminal, and an authorization device | |
| US8533798B2 (en) | Method and system for controlling access to networks | |
| US8589675B2 (en) | WLAN authentication method by a subscriber identifier sent by a WLAN terminal | |
| KR101038229B1 (ko) | 통신 시스템에서의 인증 실행 | |
| JP4786190B2 (ja) | 認証ベクトル生成装置、加入者認証モジュール、無線通信システム、認証ベクトル生成方法、演算方法及び加入者認証方法 | |
| CN101032142B (zh) | 通过接入网单一登录访问服务网络的装置和方法 | |
| DK2924944T3 (en) | Presence authentication | |
| US20070165582A1 (en) | System and method for authenticating a wireless computing device | |
| EP2206400A1 (en) | Systems and methods for wireless network selection | |
| WO2010151692A1 (en) | Systems and methods for obtaining network credentials | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
| US20050102519A1 (en) | Method for authentication of a user for a service offered via a communication system | |
| KR102558821B1 (ko) | 사용자 및 디바이스 통합 인증 시스템 및 그 방법 | |
| NO328320B1 (no) | Abonnent autentisering | |
| JP4759621B2 (ja) | 移動通信システム、加入者認証方法、加入者認証モジュール、移動機システム、認証エラー検出方法、認証ベクトル生成装置、及び認証ベクトル生成方法 | |
| CN102014385A (zh) | 移动终端的认证方法及移动终端 | |
| CN101228769B (zh) | 在通用引导架构(gba)中结合认证偏好来提供移动节点标识的装置、方法和计算机程序产品 | |
| KR101395835B1 (ko) | 단말장치 및 인증관리장치와, 그 장치의 동작 방법 | |
| Latze et al. | Strong mutual authentication in a user-friendly way in eap-tls | |
| US20230048689A1 (en) | Network access authentication processing method and device | |
| KR20130085500A (ko) | 인증 실패 후 응급 호 지원시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM1K | Lapsed by not paying the annual fees |