RU2292648C2 - System, device, and method designed for sim based authentication and for encryption with wireless local area network access - Google Patents

System, device, and method designed for sim based authentication and for encryption with wireless local area network access Download PDF

Info

Publication number
RU2292648C2
RU2292648C2 RU2004135075/09A RU2004135075A RU2292648C2 RU 2292648 C2 RU2292648 C2 RU 2292648C2 RU 2004135075/09 A RU2004135075/09 A RU 2004135075/09A RU 2004135075 A RU2004135075 A RU 2004135075A RU 2292648 C2 RU2292648 C2 RU 2292648C2
Authority
RU
Russia
Prior art keywords
authentication
protocol
point
access controller
wireless terminal
Prior art date
Application number
RU2004135075/09A
Other languages
Russian (ru)
Other versions
RU2004135075A (en
Inventor
РОДРИГЕС Хесус Анхель Де ГРЕГОРИО (ES)
РОДРИГЕС Хесус Анхель Де ГРЕГОРИО
ЛЬЕРЕНТЕ Мигель Анхель МОНХАС (ES)
ЛЬЕРЕНТЕ Мигель Анхель МОНХАС
Original Assignee
Телефонактиеболагет Лм Эрикссон (Пабл)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Телефонактиеболагет Лм Эрикссон (Пабл) filed Critical Телефонактиеболагет Лм Эрикссон (Пабл)
Priority to RU2004135075/09A priority Critical patent/RU2292648C2/en
Publication of RU2004135075A publication Critical patent/RU2004135075A/en
Application granted granted Critical
Publication of RU2292648C2 publication Critical patent/RU2292648C2/en

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

FIELD: communications engineering.
SUBSTANCE: proposed system, device, and method are designed for subscriber identification module (SIM) based authentication concerning user making access to wireless local area network (WLAN) without preliminary connection in compliance with international protocol (IP) jointly with level 2 encryption mechanism to protect communication circuit between equipment terminal and mobile communication system. Proposed method is used to establish tunneling of point-to-point protocol (PPP) for authentication and coordination of keys (AKA) between terminal and access controller to provide SIM-based access to mobile communication system. Proposed access controller (AC) has server for point-to-point over Ethernet (PPPoE) connection to tunnel AKA dialogs from client of PPP installed in terminal for same purpose also incorporating traffic router and client's authentication service protocol for remote users over remote authentication dial-in user service (RADIUS) communication channels. So, AC incorporating RADIUS client is disposed between RADIUS intermediate party accessed by WLAN access point (AP) and mobile communication network wherein SIM-based authentication is made.
EFFECT: enhanced reliability of protecting communication circuit between terminal equipment and mobile communication network.
25 cl

Description

Область техники, к которой относится изобретениеFIELD OF THE INVENTION

Настоящее изобретение в общем относится к механизмам аутентификации и шифрования в сценариях беспроводной локальной сети. Более конкретно, настоящее изобретение относится к средствам, системе и способам для реализации механизмов аутентификации (установления подлинности) на основе SIM (модуля идентификации абонента) и шифрования уровня 2 с целью защиты коммуникационного тракта, направленного от терминального оборудования.The present invention generally relates to authentication and encryption mechanisms in wireless LAN scenarios. More specifically, the present invention relates to means, a system and methods for implementing authentication mechanisms (authentication) based on SIM (Subscriber Identity Identification Module) and Layer 2 encryption in order to protect a communication path directed from terminal equipment.

Предшествующий уровень техникиState of the art

В 1999 Институтом инженеров по электротехнике и электронике (IEEE) была опубликована спецификация 802.11b, описывающая доступ к беспроводным локальным сетям (WLAN) при скорости передачи данных 11 Мбит/с. Этот стандарт получил широкую поддержку в промышленности и имеет широкую базу развернутого оборудования на предприятиях, а также в общественных местах, таких как аэропорты, отели, кафе и т.п.In 1999, the Institute of Electrical and Electronics Engineers (IEEE) published the 802.11b specification describing access to wireless local area networks (WLANs) at a data transfer rate of 11 Mbps. This standard has received wide support in the industry and has a wide base of deployed equipment at enterprises, as well as in public places such as airports, hotels, cafes, etc.

В этой спецификации 802.11b в некоторой степени предложены механизмы аутентификации и управления доступом, а также конфиденциальности, но только в отношении беспроводного тракта. В этом контексте два способа аутентификации определены в данном стандарте, а именно «Открытая Система» ("Open system") и «Совместно Используемый Ключ» ("Shared Key").This 802.11b specification proposes to some extent authentication and access control mechanisms, as well as privacy, but only with respect to the wireless path. In this context, two authentication methods are defined in this standard, namely the “Open System” and the “Shared Key”.

При использовании Открытой Системы карта WLAN в терминальном оборудовании (TE) сообщает, что она желает подсоединиться к точке доступа WLAN (в дальнейшем обозначаемой AP). При этом не выполняется никакой аутентификации, и используются только некоторые базовые механизмы управления доступом, такие как, например, фильтры управления доступом к среде передачи данных (МАС) и идентификаторы наборов услуг (SSID).When using the Open System, a WLAN card in terminal equipment (TE) indicates that it wants to connect to a WLAN access point (hereinafter referred to as AP). No authentication is performed, and only some basic access control mechanisms are used, such as, for example, media access control (MAC) filters and service set identifiers (SSIDs).

Эти фильтры МАС выполнены с возможностью работы таким образом, что только картам WLAN, МАС-адреса которых принадлежат списку, поддерживаемому АР, такому как список управления доступом (ACL), разрешено подсоединяться к упомянутой AP. Этот механизм управления доступом имеет ограниченную полезность, поскольку идентификационные данные объекта, пытающегося подсоединиться, фактически принадлежат не пользователю, но самому оборудованию. Если терминал или карта похищены, то для предотвращения доступа к ресурсам посредством похищенного оборудования отсутствует аутентификация на основе пользователя. Помимо этого, поскольку МАС-адреса всегда появляются в заголовках кадров WLAN, то получение доступа обманным путем посредством перехвата MAC-адреса является тривиальной атакой. Вышесказанное имеет особую значимость, поскольку у большей части находящихся на рынке карт WLAN можно изменить их МАС-адреса просто используя программные средства.These MAC filters are configured to operate in such a way that only WLAN cards whose MAC addresses belong to the list supported by the AP, such as an access control list (ACL), are allowed to connect to said AP. This access control mechanism has limited usefulness, since the identity of the object trying to connect does not actually belong to the user, but to the equipment itself. If a terminal or card is stolen, then user-based authentication is not available to prevent access to resources through stolen equipment. In addition, since MAC addresses always appear in WLAN frame headers, gaining access by fraud by intercepting a MAC address is a trivial attack. The above is of particular importance, since for most of the WLAN cards on the market, you can change their MAC addresses simply using software tools.

Другим механизмом управления доступом является вышеупомянутый идентификатор набора услуг (SSID), который представляет собой буквенно-цифровой код, идентифицирующий экземпляр WLAN, к которому терминальное оборудование (ТЕ) пытается подсоединиться. Заданная АР разрешает подсоединение только тех карт WLAN, которые предоставляют правильный SSID. Однако, поскольку точки доступа АР обычно осуществляют широковещательную рассылку этого идентификатора, и даже без изменения установленного поставщиком значения по умолчанию, этот механизм управления доступом, опять же, в достаточной мере бесполезен, поскольку может иметь место множество широко известных атак.Another access control mechanism is the aforementioned Service Set Identifier (SSID), which is an alphanumeric code identifying the WLAN instance to which terminal equipment (TE) is trying to connect. The specified AP allows only WLAN cards that provide the correct SSID to be connected. However, since AP access points usually broadcast this identifier, and even without changing the vendor’s default value, this access control mechanism is again quite useless, since many well-known attacks can take place.

Второй вышеупомянутый способ аутентификации - это так называемый Совместно Используемый Ключ. Эта процедура встроена в базовый механизм обеспечения конфиденциальности, предоставляемый стандартом конфиденциальности уровня проводной связи (WEP), который представляет собой симметричный алгоритм шифрования на основе RC4. Аутентификация как таковая выполняется посредством использования механизма «опознавательный запрос-ответ», при котором обе стороны, а именно карта WLAN и АР показывают, что обладают одинаковым ключом. Однако этот ключ устанавливается и хранится в терминальном оборудовании (TE) и, таким образом, ему характерны те же самые недостатки, что были описаны выше в отношении фильтров МАС.The second authentication method mentioned above is the so-called Shared Key. This procedure is built into the basic privacy mechanism provided by the Wired Privacy Level (WEP) standard, which is a symmetric RC4-based encryption algorithm. Authentication as such is performed using the authentication request-response mechanism, in which both sides, namely the WLAN card and the AP, show that they have the same key. However, this key is installed and stored in the terminal equipment (TE) and, thus, it has the same disadvantages that were described above in relation to MAC filters.

Помимо этого, некоторое количество недавно опубликованных статей показало фундаментальные недостатки самих механизмов обеспечения конфиденциальности, т.е. недостатки стандартов WEP. Эти недостатки начинаются с использования статических ключей WEP, что позволяет взломщикам самим получить ключи, поскольку векторы инициализации упомянутых алгоритмов посылаются в открытом виде в кадре WEP. Некоторое количество пассивных атак, таких как, например, использование карты WLAN, которая только анализирует трафик, также позволяет определить ключи.In addition, a number of recently published articles have shown the fundamental flaws of the privacy mechanisms themselves, i.e. disadvantages of WEP standards. These shortcomings begin with the use of static WEP keys, which allows crackers to obtain the keys themselves, since the initialization vectors of the mentioned algorithms are sent in clear text in the WEP frame. A number of passive attacks, such as, for example, using a WLAN card that only analyzes traffic, also allows you to identify keys.

Вначале казалось, что посредством простого обновления ключей с помощью более качественного управления ключами и посредством увеличения их длины, например с 40 до 128 битов, алгоритм можно сделать более надежным или, по меньшей мере, достаточно надежным для достижения приемлемого уровня защиты. Однако все большее и большее количество свежих отчетов показывает, что структура алгоритма сама по себе не может обеспечить приемлемый уровень безопасности.At first it seemed that by simply updating the keys using better key management and increasing their length, for example, from 40 to 128 bits, the algorithm could be made more reliable or at least reliable enough to achieve an acceptable level of protection. However, an increasing number of fresh reports shows that the structure of the algorithm alone cannot provide an acceptable level of security.

В настоящее время в промышленности предпринимаются попытки устранить недостатки применяющихся стандартов. В настоящее время IEEE определяет новый стандарт для усовершенствования механизмов аутентификации существующего 802.11b, и результаты могут быть опубликованы в качестве так называемого стандарта 802.1х, озаглавленного "Port-Based Network Access Control" («Управление доступом к сети на основе портов»), но эта работа пока еще не завершена. Более того, в этом подходе учитывается только аутентификация, так что по-прежнему требуется надлежащий алгоритм обеспечения конфиденциальности. В этом отношении современные тенденции предполагают, что WEP можно заменить протоколом, основывающимся на так называемом протоколе усовершенствованной системы шифрования (AES). Тем не менее, механизм аутентификации на основе портов, предлагаемый в 802.1х, имеет существенное воздействие на операционную систему ТЕ и программное обеспечение, применяющееся в АР, поскольку в 802.1х просто пытаются найти замену для механизма аутентификации, основывающегося на WEP, а также для самого WEP.Currently, industry is making efforts to address the shortcomings of applicable standards. IEEE is currently defining a new standard for improving the authentication mechanisms of existing 802.11b, and the results can be published as the so-called 802.1x standard, entitled "Port-Based Network Access Control", but this work has not yet been completed. Moreover, this approach only takes into account authentication, so a proper privacy algorithm is still required. In this regard, current trends suggest that WEP can be replaced by a protocol based on the so-called Advanced Encryption System (AES) protocol. However, the port-based authentication mechanism proposed in 802.1x has a significant impact on the TE operating system and the software used in the AP, since in 802.1x they simply try to find a replacement for the authentication mechanism based on WEP, as well as for the WEP.

За короткие сроки массовый переход на этот новый стандарт 802.1х, с по-прежнему неустраненными вышеупомянутыми недостатками, приведет к новым инвестициям в оборудование WLAN, поскольку все точки доступа заданной WLAN должны быть заменены или, по меньшей мере, модернизированы. Кроме того, и это является очевидным, любой механизм обеспечения конфиденциальности WLAN только обеспечивает защиту беспроводного тракта, т.е. между картой WLAN и АР. Однако соответствующий трафик Ethernet за АР вообще не зашифрован.In a short time, the massive transition to this new 802.1x standard, with the aforementioned disadvantages still not resolved, will lead to new investments in WLAN equipment, since all access points of a given WLAN must be replaced or at least modernized. In addition, and this is obvious, any WLAN privacy mechanism only provides protection for the wireless path, i.e. between WLAN card and AP. However, the corresponding Ethernet traffic for the AP is not encrypted at all.

Таким образом, важной задачей настоящего изобретения на данной стадии является предоставление средств и способов для реализации эффективного механизма аутентификации пользователей WLAN, а также механизма полного шифрования по всему коммуникационному тракту, начинающемуся от терминального оборудования упомянутых пользователей.Thus, an important objective of the present invention at this stage is to provide means and methods for implementing an effective authentication mechanism for WLAN users, as well as a mechanism for full encryption throughout the communication path, starting from the terminal equipment of the said users.

Вкратце, и в соответствии с вышеприведенным подробным описанием, аутентификация в используемых в текущий момент стандартах WLAN, а именно 802.11, либо отсутствует, либо основывается на устройстве, когда для аутентификации ТЕ используется физический МАС-адрес карты WLAN. Это, очевидно, нельзя реализовать для случаев масштабного развертывания при условии, что шифрование, достигаемое посредством использования известного своей слабостью протокола WEP, как в случае WLAN, не считается соответствующим для поддержания приемлемой защиты в различных секторах.Briefly, and in accordance with the above detailed description, authentication in the currently used WLAN standards, namely 802.11, is either absent or device based when the physical MAC address of the WLAN card is used for TE authentication. This, obviously, cannot be implemented for large-scale deployments, provided that the encryption achieved through the use of the WEP protocol, known for its weaknesses, as in the case of WLANs, is not considered appropriate to maintain acceptable security in various sectors.

В качестве контраста, аутентификация в известных и более новых наземных сетях мобильной связи общего пользования, таких как глобальная система мобильной связи (GSM), общая служба пакетной радиопередачи (GPRS) или универсальная система мобильных телекоммуникаций (UMTS), осуществляется посредством карты модуля идентификации абонента (SIM-карты) и набора протоколов с подтвержденным уровнем защиты и алгоритмов, известных как алгоритмы «Аутентификации и Согласования Ключей» (в дальнейшем обозначаемые как АКА). Так называемая аутентификация на основе SIM основывается на пользователе, поскольку SIM предназначен для персонального использования и защищен персональным идентификационным номером (PIN) доступа.In contrast, authentication in known and newer public land mobile networks, such as Global System for Mobile Communications (GSM), General Packet Radio Service (GPRS) or Universal Mobile Telecommunications System (UMTS), is done using a Subscriber Identity Module card ( SIM cards) and a set of protocols with a confirmed level of protection and algorithms known as the “Authentication and Key Negotiation” algorithms (hereinafter referred to as AKA). The so-called SIM-based authentication is user-based because the SIM is for personal use and is protected by a personal access identification number (PIN).

В настоящее время операторы мобильной связи стремятся расширить свои предложения по доступу к сетям посредством включения широкополосного доступа, и благодаря технологии WLAN возможен доступ при скоростях передачи данных до 11 Мбит/с, при этом затраты на развертывание поддерживаются на весьма низком уровне, в основном благодаря использованию нелицензированной полосы частот в WLAN. Оператор мобильной связи может решить эту задачу посредством установки своей собственной WLAN или посредством подписания соглашений с существующими операторами WLAN, но в любом случае требования в отношении защиты будут, по меньшей мере, такими сильными, как в случае мобильного доступа к базовой сети оператора.Currently, mobile operators are seeking to expand their network access offerings by enabling broadband access, and thanks to WLAN technology, access is possible at data rates of up to 11 Mbps, while deployment costs are kept very low, mainly due to the use of unlicensed bandwidth in a WLAN. The mobile operator can solve this problem by setting up its own WLAN or by signing agreements with existing WLAN operators, but in any case, the protection requirements will be at least as strong as in the case of mobile access to the operator’s core network.

Для решения этой задачи оператор WLAN должен обеспечить механизм аутентификации и шифрования, который подразумевает обладание SIM-картой. Эта SIM-карта должна быть выдана оператором и может быть тем же SIM, что используется для мобильного доступа, либо это может быть SIM, выданный исключительно для целей доступа WLAN.To solve this problem, the WLAN operator must provide an authentication and encryption mechanism, which implies the possession of a SIM card. This SIM card must be issued by the operator and may be the same SIM used for mobile access, or it may be a SIM issued exclusively for WLAN access purposes.

Известная WLAN, эксплуатируемая третьей стороной, также может иметь своих собственных локальных пользователей, и аутентификация, выполняемая в отношении упомянутых локальных пользователей, полностью является прерогативой оператора WLAN. Например, эта аутентификация для локальных пользователей может просто основываться на идентификационных данных пользователя и пароле, или какая-либо защита может вообще отсутствовать. Однако, для тех пользователей, которые являются абонентами оператора мобильной связи, аутентификация и другие связанные с безопасностью аспекты должны быть сравнимы с аспектами в сети оператора мобильной связи. С другой стороны, WLAN, развернутая и эксплуатируемая только оператором мобильной связи, должна отказывать в доступе пользователям, не относящимся к этому оператору мобильной связи, и должна только реализовывать механизмы аутентификации, основывающиеся на SIM-карте.A well-known third-party WLAN may also have its own local users, and authentication performed with respect to said local users is entirely the prerogative of the WLAN operator. For example, this authentication for local users may simply be based on user credentials and password, or some kind of protection may not be available at all. However, for those users who are subscribers of a mobile operator, authentication and other security-related aspects should be comparable to those in the mobile operator’s network. On the other hand, a WLAN deployed and operated only by a mobile operator should deny access to users not belonging to that mobile operator, and should only implement authentication mechanisms based on the SIM card.

Тем не менее, любая попытка внедрить новые и более защищенные механизмы аутентификации и шифрования в WLAN должны быть ориентированы на оказание настолько малых воздействий на текущие сценарии WLAN, насколько это возможно.However, any attempt to implement new and more secure authentication and encryption mechanisms in WLANs should be oriented towards having as little impact on current WLAN scenarios as possible.

Весьма интересная попытка решить вышеописанные проблемы изложена в публикации патентной заявки США 2002/0009199, озаглавленной "Arranging Data Ciphering in a Wireless Telecommunication System". Среди основных аспектов этой заявки также представлена схема аутентификации на основе SIM.A very interesting attempt to solve the above problems is set forth in the publication of US patent application 2002/0009199, entitled "Arranging Data Ciphering in a Wireless Telecommunication System". Among the main aspects of this application, a SIM-based authentication scheme is also provided.

Однако, данная схема аутентификации на основе SIM предназначена для получения ключа шифрования, который используется в качестве ключа собственного алгоритма WEP протокола 802.11 для шифрования трафика между ТЕ и АР. Основным преимуществом, обеспечиваемым этой заявкой по отношению к известным возможностям WEP, является добавление нового механизма для обновления ключей один раз за сеанс. Не считая этого, данная заявка в основном представляет собой модифицированную версию текущих стандартов WEP и не решает фундаментальных проблем, поставленных выше для исходной версии WEP.However, this SIM-based authentication scheme is designed to obtain an encryption key, which is used as a key of the WEP algorithm of the 802.11 protocol for encrypting traffic between TE and AP. The main advantage provided by this application in relation to the well-known features of WEP is the addition of a new mechanism for updating keys once per session. In addition, this application is basically a modified version of the current WEP standards and does not solve the fundamental problems posed above for the original version of WEP.

Однако в разных секторах промышленности были сделаны оценки, согласно которым в результате широко известных атак WEP ключ WEP может быть получен менее чем за два часа. Очевидно, что если ключ WEP является статическим и никогда не обновляется, как в исходной версии WEP, эта проблема является значительно более существенной. Следовательно, с помощью подхода, представленного в US 2002/0009199, данная проблема ограничена пределами длительности конкретного сеанса, и, если сеанс растягивается на несколько часов, то возникает та же проблема, что и ранее. Этого, очевидно, является недостаточным для обеспечения уровней защиты, аналогичных тем, что используются в настоящее время в сетях мобильной связи общего пользования.However, estimates have been made across industry sectors that, as a result of well-known WEP attacks, a WEP key can be obtained in less than two hours. Obviously, if the WEP key is static and is never updated, as in the original version of WEP, this problem is much more significant. Therefore, using the approach presented in US 2002/0009199, this problem is limited by the duration of a particular session, and if the session is extended for several hours, then the same problem arises as before. This, obviously, is insufficient to provide protection levels similar to those currently used in public mobile networks.

В этом плане задачей настоящего изобретения является достижение значительно более высокого уровня защиты, позволяющего оператору выбирать алгоритм шифрования, который наилучшим образом соответствует потребностям в отношении защиты. Следует отметить, что обычно имеет место компромисс между уровнем защиты и производительностью. Следовательно, дополнительные функциональные возможности, такие как поддержка ключей с длиной 128, 168, 256 битов и т.д., а также поддержка самых новых наиболее защищенных алгоритмов, например AES, и процедуры обращения ключей, можно считать другой задачей настоящего изобретения.In this regard, the objective of the present invention is to achieve a significantly higher level of protection, allowing the operator to choose the encryption algorithm that best suits the security needs. It should be noted that there is usually a trade-off between the level of protection and performance. Therefore, additional functionality, such as support for keys with a length of 128, 168, 256 bits, etc., as well as support for the latest most secure algorithms, such as AES, and key handling procedures, can be considered another objective of the present invention.

Более того, согласно вышеупомянутой заявке US 2002/0009199 шифрованный тракт идет от мобильного терминала к АР, поскольку WEP применим только для радиотракта. В этом плане, еще одной задачей настоящего изобретения является поддержка шифрованного тракта, подлежащего установлению за АР и также охватывающего проводную часть WLAN.Moreover, according to the aforementioned application US 2002/0009199, the encrypted path goes from the mobile terminal to the AP, since WEP is applicable only to the radio path. In this regard, another objective of the present invention is to support an encrypted path to be established behind the AP and also covering the wired part of the WLAN.

Более того, согласно US 2002/0009199, назначение адреса межсетевого протокола (IP) осуществляется перед выполнением процесса аутентификации, и, следовательно, злоумышленный пользователь потенциально может инициировать целый набор широко известных атак. Однако если бы у пользователя не было средств получить возможность соединения по IP до выполнения в отношении него эффективной аутентификации, то риск бы значительно уменьшился. Таким образом, еще одной задачей настоящего изобретения является обеспечение механизма аутентификации для пользователя, подлежащего выполнению перед предоставлением возможности соединения по IP для данного пользователя.Moreover, according to US 2002/0009199, the assignment of an Internet Protocol (IP) address is done before the authentication process, and therefore, a malicious user can potentially initiate a whole set of well-known attacks. However, if the user did not have the means to obtain an IP connection before performing effective authentication against him, the risk would be significantly reduced. Thus, it is another object of the present invention to provide an authentication mechanism for a user to be executed before providing IP connectivity for a given user.

С другой стороны, в заявках US 2002/012433 и WO 01/76297 раскрыта, посредством ряда общих иллюстративных вариантов осуществления, система, в которой терминал, выполненный с возможностью беспроводной связи, может подсоединяться к опорной сети мобильной связи через сеть беспроводного доступа, поддерживающую IP. Опорная сеть мобильной связи отвечает за выполнение аутентификации пользователя с помощью аутентификации на основе SIM, в то время как сеть беспроводного доступа, поддерживающая IP, позволяет пользователю осуществить доступ к сети Интернет после аутентификации. Терминал беспроводной связи, сеть беспроводного доступа, поддерживающая IP, и сеть мобильной связи сообщаются по протоколу IP для мобильной связи. Система также включает в себя контроллер общего доступа для управления доступом из сети радиодоступа к услугам Интернет. Этот контроллер общего доступа выделяет IP-адрес терминалу беспроводной связи и выполняет аутентификацию этого терминала беспроводной связи перед установлением соединения с Интернет, и ретранслирует сообщения аутентификации между терминалом беспроводной связи и опорной сетью мобильной связи. Более того, интерфейс между терминалом беспроводной связи и контроллером общего доступа представляет собой интерфейс, основывающийся на IP, при этом терминал беспроводной связи и контроллер общего доступа идентифицируются друг по отношению к другу посредством соответствующих IP-адресов. Тот факт, что терминал беспроводной связи и контроллер общего доступа используют протокол, основывающийся на IP, подчеркивает, что терминалу беспроводной связи IP-адрес назначен с самого начала, этот IP-адрес посылается контроллером общего доступа данному терминалу беспроводной связи до установления связи по защищенному каналу. Таким образом, имеет место та же самая проблема, что и связанная с вышеописанной заявкой US 2002/0009199, вследствие того факта, что назначение IP-адреса выполняется перед выполнением процесса аутентификации, и следовательно, злоумышленный пользователь потенциально может инициировать весь набор широко известных атак.US 2002/012433 and WO 01/76297, on the other hand, disclose, through a series of general illustrative embodiments, a system in which a terminal configured to wirelessly connect to a core mobile network via an IP-enabled wireless access network . The core mobile network is responsible for performing user authentication using SIM-based authentication, while the wireless access network that supports IP allows the user to access the Internet after authentication. The wireless terminal, the IP-enabled wireless access network, and the mobile communication network communicate over IP for mobile communications. The system also includes a shared controller for controlling access from the radio access network to Internet services. This shared controller allocates an IP address to the wireless terminal and authenticates the wireless terminal before establishing an Internet connection, and relays authentication messages between the wireless terminal and the core mobile communication network. Moreover, the interface between the wireless terminal and the shared controller is an IP-based interface, wherein the wireless terminal and the shared controller are identified with respect to each other by corresponding IP addresses. The fact that the wireless terminal and the shared controller use the IP-based protocol emphasizes that the wireless terminal has been assigned an IP address from the very beginning, this IP address is sent by the shared controller to this wireless terminal before establishing a secure channel connection . Thus, the same problem occurs as with the above-described application US 2002/0009199, due to the fact that the IP address is assigned before the authentication process, and therefore, an attacker can potentially initiate a whole set of well-known attacks.

Вкратце, важной задачей настоящего изобретения является предоставление системы, средств и способов для обеспечения эффективной аутентификации пользователя на основе SIM и для установления полностью зашифрованного тракта, начинающегося от ТЕ, для пользователей WLAN, которые являются абонентами наземной сети мобильной связи общего пользования. Другая возможная задача состоит в том, что эту аутентификацию пользователя на основе SIM можно выполнить перед предоставлением упомянутому пользователю возможности соединения по IP.Briefly, an important object of the present invention is to provide a system, means and methods for providing effective SIM-based user authentication and for establishing a fully encrypted path starting from TE for WLAN users who are subscribers of a public land mobile network. Another possible task is that this SIM-based user authentication can be performed before providing the mentioned user with IP connectivity.

Еще одной задачей настоящего изобретения является поддержка ключей переменной длины, использование алгоритмов защиты по выбору оператора и предоставление процедуры обращения ключей.Another objective of the present invention is the support of keys of variable length, the use of security algorithms at the choice of the operator and the provision of a procedure for handling keys.

Еще одной задачей настоящего изобретения является решение вышеупомянутых задач с минимальным воздействием на известные сценарии WLAN.Another objective of the present invention is to solve the above problems with minimal impact on known WLAN scenarios.

Сущность изобретенияSUMMARY OF THE INVENTION

Задачи настоящего изобретения решаются посредством способа обеспечения аутентификации на основе SIM для пользователей беспроводной сети, которые являются абонентами наземной сети мобильной связи общего пользования, посредством механизма аутентификации канального уровня (уровня 2). Важным аспектом данного способа является то, что возможность соединения по IP предоставляется пользователю только после успешного завершения процесса аутентификации.The objectives of the present invention are solved by a method for providing SIM-based authentication for users of a wireless network who are subscribers of a public land mobile communication network through a link layer authentication mechanism (layer 2). An important aspect of this method is that IP connectivity is provided to the user only after the authentication process has successfully completed.

Таким образом, задачи настоящего изобретения решаются посредством способа, согласно которому терминал мобильной связи находит доступную точку доступа и запрашивает подсоединение к беспроводной локальной сети, и точка доступа принимает данный запрос. Затем терминал беспроводной связи инициирует обнаружение контроллера доступа, расположенного между точкой доступа и наземной сетью мобильной связи общего пользования.Thus, the objectives of the present invention are solved by the method according to which the mobile communication terminal finds an available access point and requests a connection to a wireless LAN, and the access point receives this request. The wireless terminal then initiates the discovery of an access controller located between the access point and the public land mobile network.

Затем терминал беспроводной связи посылает идентификатор пользователя непосредственно поверх протокола двухточечного соединения уровня 2 контроллеру доступа, который перемещает идентификатор пользователя, принятый поверх протокола двухточечного соединения уровня 2, к вышерасположенному протоколу аутентификации, находящемуся на прикладном уровне.The wireless terminal then sends the user identifier directly over the Layer 2 point-to-point protocol to the access controller, which moves the user ID received over the Layer 2 point-to-point protocol to the upstream authentication protocol at the application level.

Вслед за этим контроллер доступа посылает идентификатор пользователя шлюзу аутентификации в наземной сети мобильной связи для инициирования процедуры аутентификации.Following this, the access controller sends the user ID to the authentication gateway in the land mobile network to initiate the authentication procedure.

После начала процесса аутентификации контроллер доступа принимает опознавательный запрос от наземной сети мобильной связи общего пользования через шлюз аутентификации и перемещает опознавательный запрос аутентификации, принятый по тому же самому протоколу на прикладном уровне, на вершину нижерасположенного протокола двухточечного соединения уровня 2. Опознавательный запрос аутентификации посылается контроллером доступа терминалу беспроводной связи для извлечения ответа аутентификации.After the authentication process begins, the access controller receives the authentication request from the public land mobile network via the authentication gateway and moves the authentication authentication received on the same protocol at the application level to the top of the lower-level Layer 2 point-to-point connection protocol. The authentication request is sent by the access controller a wireless terminal for retrieving an authentication response.

Затем терминал беспроводной связи может послать ответ аутентификации непосредственно поверх протокола двухточечного соединения уровня 2 контроллеру доступа, который перемещает ответ аутентификации, принятый поверх протокола двухточечного соединения уровня 2, к вышерасположенному протоколу аутентификации на прикладном уровне. Ответ аутентификации посылается шлюзу аутентификации от контроллера доступа, который принимает ключ шифрования из наземной сети мобильной связи общего пользования через шлюз аутентификации.The wireless terminal can then send an authentication response directly over the Layer 2 point-to-point protocol to the access controller, which moves the authentication response received over the Layer 2 point-to-point protocol to the upstream authentication protocol at the application layer. An authentication response is sent to the authentication gateway from the access controller, which receives the encryption key from the public land mobile network via the authentication gateway.

Вслед за этим контроллер доступа извлекает ключ шифрования, принятый по протоколу прикладного уровня, для последующего шифрования коммуникационного тракта с помощью терминала беспроводной связи, и контроллер доступа посылает терминалу беспроводной связи назначенный IP-адрес и другие параметры конфигурации сети.Following this, the access controller retrieves the encryption key adopted by the application layer protocol for subsequent encryption of the communication path using the wireless terminal, and the access controller sends the assigned IP address and other network configuration parameters to the wireless terminal.

Это обеспечивает преимущества, состоящие в том, что для мобильного терминала добавлен механизм защищенной аутентификации, аналогичный механизмам, используемым в сети радиосвязи, во всем коммуникационном тракте, что означает, что данный терминал получает конфиденциальность в беспроводном тракте и в проводном тракте. Операторы могут расширять свои сети доступа, предлагая локальный широкополосный доступ (11 Мбит/с) при весьма низкой стоимости.This provides advantages in that a secure authentication mechanism is added for the mobile terminal, similar to the mechanisms used in the radio communication network throughout the communication path, which means that this terminal receives confidentiality in the wireless path and in the wire path. Operators can expand their access networks by offering local broadband access (11 Mbps) at a very low cost.

Также для решения задач настоящего изобретения предоставляется контроллер доступа, который содержит сервер двухточечного соединения, находящийся на уровне 2 модели взаимодействия открытых систем (OSI) и предназначенный для связи с терминалом беспроводной связи, и протокол аутентифкации, находящийся на прикладном уровне модели OSI для связи с наземной сетью мобильной связи общего пользования. Более того, этот контроллер доступа дополнительно содержит средство для перемещения информации, принятой поверх протокола двухточечного соединения уровня 2, к соответствующему вышерасположенному протоколу аутентификации, находящемуся на прикладном уровне. Аналогично, контроллер доступа также содержит средство для перемещения информации, принятой по протоколу аутентификации, находящемуся на прикладном уровне, на вершину нижерасположенного протокола двухточечного соединения уровня 2.Also, to solve the problems of the present invention, an access controller is provided that comprises a point-to-point connection server located at the level 2 of the Open Systems Interaction Model (OSI) and designed to communicate with the wireless communication terminal and an authentication protocol located at the application level of the OSI model for communication with the ground public mobile network. Moreover, this access controller further comprises means for transferring information received over the Layer 2 point-to-point connection protocol to the corresponding upstream authentication protocol located at the application level. Similarly, the access controller also comprises means for transferring information received by the authentication protocol located at the application level to the top of the lower level point-to-point connection protocol 2.

Для наиболее полной реализации задач настоящего изобретения также предоставляется терминал беспроводной связи, имеющий функциональные возможности работы в качестве клиента протокола двухточечного соединения уровня 2 и имеющий расширяемый протокол аутентификации поверх этого протокола двухточечного соединения уровня 2.For the most complete implementation of the objectives of the present invention, a wireless communication terminal is also provided having the functionality of acting as a client of a Layer 2 point-to-point connection protocol and having an extensible authentication protocol over this Layer 2 point-to-point protocol.

Результатом совокупного решения, обеспечиваемого настоящим изобретением, является телекоммуникационная система, содержащая беспроводную локальную сеть, которая включает в себя по меньшей мере одну точку доступа, наземную сеть мобильной связи общего пользования, по меньшей мере один терминал беспроводной связи, аналогичный вышеописанному, и контроллер доступа, аналогичный вышеописанному.The result of the combined solution provided by the present invention is a telecommunication system comprising a wireless local area network, which includes at least one access point, a public land mobile communication network, at least one wireless communication terminal similar to the above, and an access controller, similar to the above.

Перечень чертежейList of drawings

Признаки, задачи и преимущества настоящего изобретения станут более понятными при прочтении этого описания совместно с сопровождающими чертежами, на которых:The signs, objectives and advantages of the present invention will become more clear when reading this description in conjunction with the accompanying drawings, in which:

Фиг.1 - предпочтительный вариант осуществления того, как пользователь обычной сети мобильной связи, осуществляющий доступ через WLAN, доступ к которой могут также осуществить мобильные и немобильные пользователи, может быть аутентифицирован его собственной сетью мобильной связи и может иметь зашифрованный тракт от ТЕ до его собственной сети мобильной связи.Figure 1 is a preferred embodiment of how a user of a conventional mobile network accessing via WLAN, which can also be accessed by mobile and non-mobile users, can be authenticated by his own mobile network and can have an encrypted path from TE to his own mobile networks.

Фиг.2 - упрощенная архитектура, по сравнению с архитектурой по Фиг.1, которая применима для WLAN, доступ к которой осуществляют только пользователи наземной сети мобильной связи общего пользования.FIG. 2 is a simplified architecture compared to the architecture of FIG. 1, which is applicable to a WLAN, accessed only by users of a public land mobile network.

Фиг.3 - схематическое изображение варианта осуществления контроллера доступа, содержащего сервер РРРоЕ и клиент RADIUS (службы аутентификации удаленных пользователей по коммутируемым каналам связи), в котором имеется расширяемый протокол аутентификации.FIG. 3 is a schematic illustration of an embodiment of an access controller comprising a PPPoE server and a RADIUS client (remote user authentication service over dial-up communication channels) in which there is an extensible authentication protocol.

Фиг.4 - общая схема иллюстративной последовательности операций, выполняемой от ТЕ в сеть мобильной связи и по объектам WLAN для выполнения аутентификации пользователя на основе SIM.4 is a general diagram of an illustrative flow of operations performed from TE to a mobile communication network and WLAN entities to perform SIM-based user authentication.

Подробное описание предпочтительных вариантов осуществленияDetailed Description of Preferred Embodiments

Далее описываются предпочтительные на текущий момент варианты осуществления средств, способов и системы для обеспечения эффективной аутентификации на основе SIM и для установления полностью зашифрованного тракта, начинающегося от ТЕ, для пользователей WLAN, которые являются абонентами наземной сети мобильной связи общего пользования. В соответствии с аспектом настоящего изобретения, эта аутентификация пользователя на основе SIM выполняется перед предоставлением упомянутому пользователю возможности соединения по IP.The following describes the currently preferred embodiments of the means, methods and systems for providing effective SIM-based authentication and for establishing a fully encrypted path starting from TE for WLAN users who are subscribers of a public land mobile network. In accordance with an aspect of the present invention, this SIM-based user authentication is performed before allowing said user to have an IP connection.

Таким образом, общий эскиз всего предпочтительного варианта осуществления представлен на Фиг.1, где показан общий сценарий, согласно которому абоненты наземной сети мобильной связи общего пользования (GSM/GPRS/UMTS), а также другие локальные немобильные пользователи, осуществляют доступ к беспроводной локальной сети (WLAN). Согласно этому общему сценарию по Фиг.1 предложена исключительно простая архитектура, нацеленная на минимизацию воздействия на существующую известную WLAN для реализации одной из задач настоящего изобретения. Эта относительно простая архитектура включает в себя различные объекты из WLAN и из наземной сети мобильной связи общего пользования, которые описываются далее. На Фиг.2 представлена еще более упрощенная архитектура согласно другому варианту осуществления настоящего изобретения для WLAN, предоставляющей доступ только абонентам наземной сети мобильной связи общего пользования, исключая локальных пользователей WLAN.Thus, a general sketch of the entire preferred embodiment is presented in FIG. 1, which shows a general scenario according to which subscribers of the public land mobile network (GSM / GPRS / UMTS), as well as other local non-mobile users, access the wireless LAN (WLAN). According to this general scenario, FIG. 1 proposes an exceptionally simple architecture aimed at minimizing the impact on an existing known WLAN to accomplish one of the objectives of the present invention. This relatively simple architecture includes various objects from the WLAN and from the public land mobile network, which are described later. FIG. 2 shows an even more simplified architecture according to another embodiment of the present invention for a WLAN providing access only to subscribers of a public land mobile network, excluding local WLAN users.

Первым объектом на Фиг.1 и 2 является терминальное оборудование (ТЕ), которое оснащено необходимыми аппаратными и программными средствами для непосредственного взаимодействия с SIM-картой пользователя, а также для отправки и приема требующейся сигнальной информации в соответствии с протоколом аутентификации и согласования ключей (АКА). ТЕ также включает в себя программные средства, необходимые для реализации протокола двухточечного соединения поверх Ethernet (PPPoE) на стороне клиента в соответствии с RFC 2516.The first object in Figs. 1 and 2 is terminal equipment (TE), which is equipped with the necessary hardware and software for direct interaction with the user's SIM card, as well as for sending and receiving the required signaling information in accordance with the authentication protocol and key agreement (AKA ) The TE also includes the software necessary to implement a point-to-point protocol over Ethernet (PPPoE) on the client side in accordance with RFC 2516.

Включение такого клиента РРРоЕ обеспечивает возможность установления сеанса протокола двухточечного соединения (РРР) с конкретным сервером в домене WLAN. Это весьма подходящий вариант осуществления для приведения в действие существующих механизмов аутентификации, например расширяемого протокола аутентификации (ЕАР) и протоколов шифрования, таких как соответствующий RFC 1968 протокол управления шифрованием РРР (в дальнейшем называемый «шифрованный РРР»), который распространяет шифрованный тракт на проводную часть WLAN, тем самым предлагая значительно более высокий уровень защиты. Компонент, аналогичный этому клиенту РРРоЕ, является основной частью предлагаемого решения.Enabling such a PPPoE client enables the establishment of a point-to-point connection (PPP) session with a specific server in a WLAN domain. This is a very suitable embodiment for driving existing authentication mechanisms, such as Extensible Authentication Protocol (EAP) and encryption protocols, such as the corresponding RFC 1968 PPP encryption control protocol (hereinafter referred to as “encrypted PPP”), which extends the encrypted path to the wired part WLAN, thereby offering a significantly higher level of protection. A component similar to this PPPoE client is the main part of the proposed solution.

Другие объекты в сценариях по Фиг.1 и 2 - точки доступа, которые функционируют как простые стандартные радиостанции в соответствии со стандартом 802.11b без каких-либо дополнительных логических средств. В отличие от других возможных решений, как было пояснено в отношении стандарта 802.1х, подлежащего скорому введению в действие, предлагаемый в настоящем изобретении подход позволяет повторно использовать недорогие существующие аппаратные средства вместо замены или модернизации всех точек доступа (АР), имеющихся в WLAN. Эти неизмененные АР могут работать в соответствии с этим сценарием с отключенной поддержкой WEP, поскольку сам по себе WEP обеспечивает невысокий уровень защиты по сравнению с механизмами защиты, реализованными поверх уровня РРРоЕ.Other objects in the scenarios of FIGS. 1 and 2 are access points that function as simple standard radio stations in accordance with the 802.11b standard without any additional logical means. Unlike other possible solutions, as explained with respect to the 802.1x standard, which is due to be put into effect soon, the approach proposed in the present invention allows reusing inexpensive existing hardware instead of replacing or upgrading all access points (APs) available in the WLAN. These unchanged APs can work in accordance with this scenario with WEP support disabled, since WEP itself provides a low level of protection compared to protection mechanisms implemented over the PPPoE layer.

В соответствии с этим аспектом настоящего изобретения, предоставляется новый объект, контроллер доступа (в дальнейшем обозначаемый АС), как на Фиг.1, так и на Фиг.2, который включает в себя требующиеся функциональные возможности сервера РРРоЕ. Этот сервер РРРоЕ автоматически обнаруживается терминальным оборудованием (ТЕ) посредством встроенного механизма в протоколе РРРоЕ, а именно посредством квитирования установления связи, инициируемого посредством широковещательного сообщения. Этот контроллер доступа (АС) также содержит функциональные возможности клиента RADIUS, отвечающего за сбор информации о полномочиях клиента, принимаемой посредством атрибутов ЕАР, переносимых поверх РРР, и отправки этой информации обычному серверу аутентификации WLAN (WLAN-AS), также посредством атрибутов ЕАР, теперь переносимых поверх сообщений RADIUS. Такой компонент, как этот контроллер доступа (АС), также является основной частью для целей настоящего изобретения.In accordance with this aspect of the present invention, there is provided a new entity, an access controller (hereinafter referred to as AC), both in FIG. 1 and in FIG. 2, which includes the required functionality of the PPPoE server. This PPPoE server is automatically detected by the terminal equipment (TE) by means of the built-in mechanism in the PPPoE protocol, namely, by handshaking, initiated by a broadcast message. This access controller (AC) also contains the functionality of the RADIUS client, which is responsible for collecting client authority information received through the EAP attributes carried over the PPP and sending this information to a regular WLAN authentication server (WLAN-AS), also through the EAP attributes, now portable over RADIUS messages. A component such as this access controller (AC) is also an essential part for the purposes of the present invention.

Как контроллер доступа, так и вышеупомянутый клиент РРРоЕ, который встроен в терминальное оборудование, являются взаимодействующими объектами, предназначенными для туннелирования процедуры аутентификации, выполняемой по принципу «опознавательный запрос-ответ», а также для установления зашифрованного тракта.Both the access controller and the aforementioned PPPoE client, which is built into the terminal equipment, are interacting objects designed to tunnel the authentication procedure performed on the basis of the "authentication request-response", as well as to establish an encrypted path.

Еще одним объектом, присутствующим только в наиболее общем сценарии, показанном на Фиг.1, является сервер аутентификации WLAN (WLAN-AS), который реализует функциональные возможности локального средства аутентификации для локальных пользователей WLAN, не относящихся к оператору мобильной связи, которые, таким образом, могут быть аутентифицированы другими способами, например, на основе простого совпадения имени и пароля пользователя. Этот WLAN-AS также играет роль посредника RADIUS при приеме сообщений аутентификации от контроллера доступа и пересылке их шлюзу аутентификации (в дальнейшем обозначаемого AG) в домене оператора наземной сети мобильной связи общего пользования.Another object present only in the most general scenario shown in FIG. 1 is a WLAN authentication server (WLAN-AS), which implements the functionality of a local authentication means for local WLAN users other than a mobile carrier, which thus can be authenticated in other ways, for example, based on a simple match of the user name and password. This WLAN-AS also acts as a RADIUS intermediary in receiving authentication messages from an access controller and forwarding them to an authentication gateway (hereinafter referred to as AG) in the domain of a public land mobile network operator.

WLAN-AS в целях настоящего изобретения требуется только для аутентификации собственных пользователей WLAN, которые не являются мобильными абонентами наземной сети мобильной связи общего пользования. Следовательно, в WLAN, предназначенной для предоставления доступа только для абонентов сети мобильной связи, можно исключить подобный объект без воздействия на аутентификацию упомянутых мобильных абонентов и установление зашифрованного тракта, а также на объем настоящего изобретения. В связи с этим, на Фиг.2 представлен вариант осуществления упрощенной архитектуры для WLAN, предоставляющей доступ только абонентам наземной сети мобильной связи общего пользования в соответствии с вышеприведенными пояснениями, в которую WLAN-AS, таким образом, не включен.WLAN-AS, for the purposes of the present invention, is only required to authenticate native WLAN users who are not mobile subscribers of the public land mobile network. Therefore, in a WLAN designed to provide access only to subscribers of a mobile communication network, a similar object can be excluded without affecting the authentication of said mobile subscribers and establishing an encrypted path, as well as the scope of the present invention. In this regard, FIG. 2 shows an embodiment of a simplified architecture for a WLAN providing access only to subscribers of a public land mobile communication network in accordance with the above explanations, in which the WLAN-AS is thus not included.

Еще одним объектом, включенным в сценарии по Фиг.1 и 2, является шлюз аутентификации (в дальнейшем обозначаемый AG), сам по себе или, что более вероятно, во взаимодействии с опорным реестром местоположения (HLR), предназначенным для хранения данных о пользователях, соответствующих мобильным абонентам. Этот шлюз аутентификации (AG), сам по себе или во взаимодействии с HLR, действует в качестве серверов управления базой данных внутри домена оператора и отвечает за формирование векторов аутентификации согласно протоколу АКА для известных и более новых наземных сетей мобильной связи общего пользования, таких как GSM, GPRS и UMTS. Эти компоненты, а именно AG и HLR, могут представлять собой физически разделенные объекты, которые сообщаются друг с другом по протоколу части мобильных приложений (МАР), либо они могут представлять собой единый логический объект, действующий в качестве сервера RADIUS со встроенной базой данных абонентов, совместно с реализацией необходимых алгоритмов АКА, таких как широко известные А5, А8 и т.п. В последнем из двух подходов осуществление связи с HLR, таким образом, необходимым не является, что проиллюстрировано на примере по Фиг.2.Another object included in the scripts of FIGS. 1 and 2 is an authentication gateway (hereinafter referred to as AG), by itself or, more likely, in conjunction with a reference location registry (HLR) for storing user data, relevant to mobile subscribers. This authentication gateway (AG), alone or in conjunction with the HLR, acts as a database management server within the operator’s domain and is responsible for generating authentication vectors according to the AKA protocol for known and newer public land mobile networks, such as GSM , GPRS and UMTS. These components, namely AG and HLR, can be physically separated objects that communicate with each other via the protocol of a part of mobile applications (MAP), or they can be a single logical object that acts as a RADIUS server with an integrated database of subscribers, together with the implementation of the necessary AKA algorithms, such as the well-known A5, A8, etc. In the latter of the two approaches, communication with the HLR is thus not necessary, as illustrated by the example of FIG. 2.

Вкратце, контроллер доступа, вышеупомянутый клиент РРРоЕ, который встроен в терминальное оборудование, и шлюз аутентификации являются основными объектами для цели настоящего изобретения. Конкретное описание функций, которыми обладают такие объекты, является просто иллюстративным и неограничивающим.In short, the access controller, the aforementioned PPPoE client, which is integrated in the terminal equipment, and the authentication gateway are the main objects for the purpose of the present invention. The specific description of the functions that such objects possess is simply illustrative and non-limiting.

На Фиг.3 показаны разные уровни протоколов, включенные в контроллер доступа (АС) со ссылкой на модель взаимодействия открытых систем (OSI). Сервер РРРоЕ, находящийся под уровнем IP, содержит уровень протокола РРРоЕ, который естественным образом располагается поверх уровня Ethernet, и имеет встроенный вышеупомянутый ЕАР. Аналогично, клиент RADIUS имеет уровень протокола RADIUS, имеет встроенный ЕАР и располагается поверх уровня UDP, причем оба упомянутых уровня располагаются поверх уровня IP.Figure 3 shows the different protocol layers included in an access controller (AC) with reference to an open systems interconnection (OSI) model. The PPPoE server located under the IP layer contains the PPPoE protocol layer, which naturally resides on top of the Ethernet layer, and has the aforementioned EAP built-in. Similarly, the RADIUS client has a RADIUS protocol layer, has a built-in EAP and sits on top of the UDP layer, both of which are on top of the IP layer.

В то же время способ, которым разные элементы реализуют некоторые аспекты настоящего изобретения согласно предпочтительными в настоящее время вариантами осуществления, описывается ниже со ссылкой на последовательность операций, изображенную на Фиг.4.At the same time, the manner in which various elements implement some aspects of the present invention according to the currently preferred embodiments is described below with reference to the flowchart shown in FIG.

Вышеупомянутое терминальное оборудование (ТЕ) оснащено адаптером мобильного терминала связи (МТА), который обеспечивает возможность доступа к SIM-карте, которую несет мобильный терминал. Это ТЕ имеет приемопередатчик для осуществления связи (С-401, С-402) с АР из состава WLAN и включает в себя соответствующий программный стек для реализации протокола РРРоЕ в соответствии с RFC 2516.The above terminal equipment (TE) is equipped with a mobile communication terminal adapter (MTA), which provides access to a SIM card carried by a mobile terminal. This TE has a transceiver for communication (C-401, C-402) with the AP from the WLAN and includes an appropriate software stack for implementing the PPPoE protocol in accordance with RFC 2516.

Контроллер доступа (АС) имеет встроенный сервер РРРоЕ. Обнаружение сервера РРРоЕ клиентом РРРоЕ является неотъемлемой частью самого протокола (С-403, С-404, С-405, С-406). Идентификационные данные, используемые ТЕ в линии связи РРР (С-407, С-408) представляют собой идентификатор доступа к сети (NAI), который вводится пользователем для установления требующихся сеансов связи по коммутируемым каналам, и область которого используется для идентификации пользователя как абонента заданного оператора мобильной связи. Никакого пароля не требуется, поскольку аутентификация выполняется другим способом. В качестве альтернативы, вместо посылки NAI IMSI (международный опознавательный код абонента мобильной связи) может быть извлечен из SIM-карты и послан в качестве идентификационных данных пользователя. Это следует использовать только тогда, когда посылка IMSI в виде простого текста является приемлемой, что не всегда выполняется.Access Controller (AC) has a built-in PPPoE server. Detection of the PPPoE server by the PPPoE client is an integral part of the protocol itself (C-403, C-404, C-405, C-406). The identification data used by TE in the PPP communication line (C-407, C-408) is a network access identifier (NAI), which is entered by the user to establish the required communication sessions over dial-up channels, and the area of which is used to identify the user as a subscriber mobile operator. No password is required because authentication is performed in a different way. Alternatively, instead of sending a NAI, an IMSI (International Mobile Subscriber Identity Code) can be retrieved from the SIM card and sent as user credentials. This should only be used when sending plaintext IMSI is acceptable, which is not always the case.

Приняв идентификационные данные пользователя с помощью механизмов ЕАР, контроллер доступа (АС) задействует клиент RADIUS для посылки (С-409) сообщений аутентификации серверу WLAN-AS. Расширяемый протокол аутентификации (ЕАР) исполняется поверх РРР и RADIUS для переноса информации аутентификации между ТЕ и AG. Механизм аутентификации, подлежащий использованию внутри ЕАР, может быть обычным АКА, используемым в наземных сетях мобильной связи общего пользования. Как уже было отмечено ранее, WLAN-AS действует в качестве сервера аутентификации для обычных пользователей WLAN, аутентификация которых не основывается на SIM, и в качестве посредника аутентификации для тех пользователей, часть области NAI которых идентифицирует их как абонентов сети мобильной связи, тем самым используя аутентификацию на основе SIM. Затем, при функционировании в качестве посредника аутентификации, WLAN-AS пересылает (С-410) принятые сообщения аутентификации шлюзу аутентификации (AG).Having accepted the user credentials using EAP mechanisms, the access controller (AC) uses the RADIUS client to send (C-409) authentication messages to the WLAN-AS server. Extensible Authentication Protocol (EAP) runs on top of PPP and RADIUS to transfer authentication information between TE and AG. The authentication mechanism to be used within the EAP may be a conventional AKA used in public land mobile networks. As noted earlier, WLAN-AS acts as an authentication server for ordinary WLAN users whose authentication is not SIM-based and as an authentication intermediary for those users whose part of the NAI area identifies them as mobile network subscribers, thereby using SIM authentication Then, when functioning as an authentication broker, the WLAN-AS forwards (C-410) the received authentication messages to the authentication gateway (AG).

Когда шлюз аутентификации (AG) принимает (С-410) запрос аутентификации, он запрашивает HLR в отношении вектора аутентификации (С-411), триплета или квинтета, посредством использования интерфейса МАР. Для выполнения этой задачи шлюз аутентификации (AG) должен знать IMSI абонента, NAI которого был послан в сообщении RADIUS. Этот IMSI можно обнаружить посредством поиска в базе данных каталога, например. HLR в ответ посылает в обратном направлении запрошенную информацию аутентификации (С-412) для пользователя.When the authentication gateway (AG) receives (C-410) the authentication request, it requests the HLR for the authentication vector (C-411), triplet or quintet, using the MAP interface. To complete this task, the authentication gateway (AG) must know the IMSI of the subscriber whose NAI was sent in the RADIUS message. This IMSI can be detected by searching the directory database, for example. The HLR in response sends back the requested authentication information (C-412) to the user.

Затем AG инкапсулирует компонент RAND вектора аутентификации в атрибут ЕАР и посылает его в обратном направлении через WLAN-AS (С-413) на АС (С-414) внутри сообщения RADIUS. Следует отметить, что для пользователя более новых сетей мобильной связи типа UMTS также может понадобиться посылка сообщения типа AUTN.Then the AG encapsulates the RAND component of the authentication vector in the EAP attribute and sends it back through the WLAN-AS (C-413) to the AC (C-414) inside the RADIUS message. It should be noted that for the user of newer mobile networks such as UMTS, it may also be necessary to send a message of type AUTN.

АС затем пересылает (С-415) принятую информацию ЕАР ТЕ в сообщении РРР. Следует отметить, что АС ведет себя в данном случае как «транзитная пересылка» информации ЕАР между «несущими» протоколами, такими как РРР и RADIUS.The AC then forwards (C-415) the received EAP TE information in the PPP message. It should be noted that the AS behaves in this case as a "transit" of the EAP information between the "carrier" protocols, such as PPP and RADIUS.

Когда ТЕ принимает информацию ЕАР, то извлекает номер RAND и использует его для выполнения опознавательного запроса в отношении SIM и формирования ответа (RES), который посылается в обратном направлении (С-416, С-417, С-418) AG через ЕАР опять же поверх РРР и RADIUS. Как и прежде, для пользователей UMTS ТЕ сначала выполняет аутентификацию сети на основе AUTN. На этом этапе следует отметить, что ТЕ генерирует ключ шифрования, следуя стандартным алгоритмам, определенным в АКА. Этот ключ используется в качестве начального числа, а именно материала для формирования ключей, для получения одного или нескольких сеансовых ключей, подлежащих использованию с протоколом управления шифрованием РРР, заданным в RFC 1968, и любым из существующих алгоритмов шифрования РРР, например, протокол шифрования тройной DES (triple-DES) РРР, RFC 2420.When the TE receives the EAP information, it extracts the RAND number and uses it to complete the authentication request for the SIM and generate a response (RES), which is sent in the opposite direction (C-416, C-417, C-418) AG via the EAP on top of PPP and RADIUS. As before, for UMTS users, TE first authenticates the network based on AUTN. At this stage, it should be noted that TE generates an encryption key, following the standard algorithms defined in the AKA. This key is used as an initial number, namely, key generation material, for obtaining one or more session keys to be used with the PPP encryption control protocol specified in RFC 1968, and any of the existing PPP encryption algorithms, for example, the triple DES encryption protocol (triple-DES) PPP, RFC 2420.

AG принимает (С-418) ответ ЕАР и проверяет действительность опознавательного запроса. Ключ шифрования (Кс) АКА был принят ранее в векторе аутентификации от HLR, скорее всего во взаимодействии с центром аутентификации (AuC) (не показан). AG передает затем ключ шифрования (Кс) АКА на АС (С-419, С-420), на котором размещен сервер РРРоЕ. Это может быть выполнено в сообщении RADIUS Access-Accept (Доступ-Принятие), где передается ЕАР-Success (EAP-Успех), но поскольку эта команда ЕАР не может переносить каких-либо дополнительных данных, атрибут RADIUS, зависящий от поставщика (VSA), может оказаться более целесообразным вариантом выбора.The AG receives (C-418) an EAP response and verifies the validity of the authentication request. The AKA encryption key (Ks) was previously received in the authentication vector from the HLR, most likely in cooperation with an authentication center (AuC) (not shown). The AG then transmits the AKA encryption key (Ks) to the AS (C-419, C-420), on which the PPPoE server is located. This can be done in the RADIUS Access-Accept message, where the EAP-Success (EAP-Success) is transmitted, but since this EAP command cannot carry any additional data, the vendor-specific RADIUS attribute (VSA) may be a more appropriate choice.

На этом этапе АС принимает (С-420) сообщение RADIUS Access-Accept и запрашивает IP-адрес у сервера протокола динамического конфигурирования хоста (DHCP), и этот IP-адрес подлежит последующей отправке ТЕ. АС следует тому же самому алгоритму, что и ТЕ для получения сеансовых ключей на основе ключа (Кс) шифрования АКА, подлежащих использованию с протоколом управления шифрованием РРР и выбранным алгоритмом шифрования РРР (3DES, например). Наконец, АС посылает (С-421) ТЕ сообщение ЕАР-Success совместно с другими конфигурационными параметрами, предназначенными для упомянутого ТЕ, такими как IP-адрес, маска подсети IP, серверы DNS (доменного пространства имен) и т.п. Таким образом, линия связи РРР оказывается полностью установленной и готовой к переводу в сетевую фазу.At this stage, the AS receives (C-420) a RADIUS Access-Accept message and requests an IP address from the Dynamic Host Configuration Protocol (DHCP) server, and this IP address is to be sent to TE. AS follows the same algorithm as TE to obtain session keys based on the AKA encryption key (Ks) to be used with the PPP encryption control protocol and the selected PPP encryption algorithm (3DES, for example). Finally, the AC sends (C-421) the TE EAP-Success message along with other configuration parameters for the TE, such as IP address, IP subnet mask, DNS (domain namespace) servers, etc. Thus, the PPP communication line is fully established and ready for transfer to the network phase.

Claims (25)

1. Способ обеспечения возможности аутентификации на основе модуля идентификации абонента (SIM) для пользователя беспроводной локальной сети, который является абонентом наземной сети мобильной связи общего пользования, при этом способ содержит этапы, на которых1. A method for enabling authentication based on a Subscriber Identity Module (SIM) for a user of a wireless local area network who is a subscriber to a public land mobile network, the method comprising the steps of (a) посредством терминала беспроводной связи осуществляют доступ к беспроводной локальной сети через доступную точку доступа этой беспроводной локальной сети,(a) through a wireless terminal accessing the wireless LAN via an accessible access point of that wireless LAN, (b) обнаруживают контроллер доступа, расположенный между точкой доступа и наземной сетью мобильной связи общего пользования, с терминала беспроводной связи;(b) detecting an access controller located between the access point and the public land mobile network from the wireless terminal; (c) выполняют основывающуюся на SIM процедуру аутентификации по принципу «опознавательный запрос - ответ» между терминалом беспроводной связи и наземной сетью мобильной связи общего пользования через контроллер доступа, при этом терминал беспроводной связи обеспечен SIM-картой и выполнен с возможностью считывания данных с нее,(c) performing a SIM-based authentication procedure on the basis of an "authentication request-response" between the wireless terminal and the public land mobile network via the access controller, the wireless terminal being provided with a SIM card and configured to read data from it, при этом способ отличается тем, что пересылки информации при основывающейся на SIM аутентификации, выполняемой по принципу «опознавательный запрос - ответ», по этапу с) осуществляют перед предоставлением пользователю возможности соединения по межсетевому протоколу (IP) и выполняютthe method is characterized in that the transfer of information based on SIM authentication, performed on the basis of the "authentication request - response", in step c) is carried out before providing the user with the ability to connect via the Internet protocol (IP) and perform поверх протокола двухточечного соединения уровня 2, являющегося протоколом двухточечного соединения поверх Eternet (PPPoE) между терминалом беспроводной связи и контроллером доступа;on top of a Layer 2 point-to-point protocol, which is a point-to-point protocol over Eternet (PPPoE) between the wireless terminal and the access controller; по протоколу аутентификации, размещенному на прикладном уровне, между наземной сетью мобильной связи общего пользования и контроллером доступа,using an authentication protocol located at the application level between the public land mobile network and the access controller, при этом способ дополнительно включает в себя этап, на которомwherein the method further includes the step of (d) предоставляют пользователю возможность соединения по IP на терминале беспроводной связи посредством отправки назначенного IP-адреса и других параметров конфигурации сети после того, как основывающаяся на SIM процедура аутентификации, выполняемая по принципу «опознавательный запрос - ответ», завершена успешно между наземной сетью мобильной связи общего пользования и терминалом беспроводной связи.(d) provide the user with the ability to connect via IP to the wireless terminal by sending the assigned IP address and other network configuration parameters after the SIM-based authentication procedure performed by the authentication request-response principle is completed successfully between the terrestrial mobile network public communications and a wireless terminal. 2. Способ по п.1, отличающийся тем, что этап b) обнаружения контроллера доступа включает в себя этап, на котором устанавливают сеанс протокола двухточечного соединения между клиентом протокола двухточечного соединения поверх Ethernet (PPPoE) в терминале беспроводной связи и сервером протокола двухточечного соединения поверх Ethernet (PPPoE) в контроллере доступа.2. The method according to claim 1, characterized in that the step b) detecting the access controller includes a point-to-point protocol session between the point-to-point over Ethernet protocol client (PPPoE) in the wireless terminal and the point-to-point protocol server on top Ethernet (PPPoE) in the access controller. 3. Способ по п.1, отличающийся тем, что этап с) выполнения основывающейся на SIM процедуры аутентификации по принципу «опознавательный запрос - ответ» включает в себя этапы, на которых3. The method according to claim 1, characterized in that step c) performing the SIM-based authentication procedure on the basis of the "authentication request - response" includes the steps in which (с1) посылают идентификатор пользователя от терминала беспроводной связи в наземную сеть мобильной связи общего пользования через контроллер доступа;(c1) sending a user identifier from a wireless terminal to a public land mobile network via an access controller; (с2) принимают опознавательный запрос аутентификации на терминале беспроводной связи от наземной сети мобильной связи общего пользования через контроллер доступа;(c2) receive an authentication authentication request at a wireless terminal from a public land mobile network via an access controller; (с3) извлекают ключ шифрования и ответ аутентификации на терминале беспроводной связи из принятого опознавательного запроса;(c3) extracting the encryption key and the authentication response at the wireless terminal from the received authentication request; (с4) посылают ответ аутентификации от терминала беспроводной связи в наземную сеть мобильной связи общего пользования через контроллер доступа;(c4) send an authentication response from the wireless terminal to the public land mobile network via the access controller; (с5) принимают на контроллере доступа ключ шифрования от наземной сети мобильной связи общего пользования;(c5) receive, on the access controller, an encryption key from a public land mobile network; (с6) извлекают принятый ключ шифрования для последующего шифрования коммуникационного тракта с помощью терминала беспроводной связи.(c6) retrieving the received encryption key for subsequent encryption of the communication path using the wireless terminal. 4. Способ по п.2, отличающийся тем, что дополнительно содержит этап, на котором перемещают информацию аутентификации, принятую поверх протокола двухточечного соединения уровня 2 (РРРоЕ), к вышерасположенному протоколу аутентификации, находящемуся на прикладном уровне, для пересылки наземной сети мобильной связи общего пользования.4. The method according to claim 2, characterized in that it further comprises the step of transferring authentication information received over the Layer 2 point-to-point connection protocol (PPPoE) to an upstream authentication protocol located at the application level for forwarding a general purpose land mobile network use. 5. Способ по п.4, отличающийся тем, что дополнительно содержит этап, на котором перемещают информацию аутентификации, принятую по протоколу аутентификации, находящемуся на прикладном уровне, на вершину нижерасположенного протокола двухточечного соединения уровня 2 (РРРоЕ) для пересылки терминалу беспроводной связи.5. The method according to claim 4, characterized in that it further comprises the step of transferring the authentication information received by the authentication protocol at the application level to the top of the lower level point-to-point connection protocol (PPPoE) below for forwarding to the wireless communication terminal. 6. Способ по п.3, отличающийся тем, что дополнительно содержит этап, на котором на терминале беспроводной связи устанавливают симметричный шифрованный тракт посредством отправки ранее извлеченных ключей шифрования на контроллере доступа и терминале беспроводной связи.6. The method according to claim 3, characterized in that it further comprises the step of setting up a symmetric encrypted path on the wireless terminal by sending previously extracted encryption keys to the access controller and the wireless terminal. 7. Способ по п.1, отличающийся тем, что этап d) отправки IP-адреса включает в себя предшествующий ему этап, на котором запрашивают этот IP-адрес у сервера протокола динамического конфигурирования хоста.7. The method according to claim 1, characterized in that step d) of sending the IP address includes a step prior to it, at which this IP address is requested from the dynamic host configuration protocol server. 8. Способ по п.1, отличающийся тем, что связь между контроллером доступа и наземной сетью мобильной связи общего пользования осуществляют через шлюз аутентификации упомянутой наземной сети мобильной связи общего пользования.8. The method according to claim 1, characterized in that the communication between the access controller and the public land mobile communication network is carried out through the authentication gateway of said public land mobile communication network. 9. Способ по п.8, отличающийся тем, что связь между контроллером доступа и шлюзом аутентификации наземной сети мобильной связи общего пользования осуществляют через сервер аутентификации беспроводной локальной сети, ответственный за аутентификацию локальных пользователей упомянутой беспроводной локальной сети, которые не являются мобильными абонентами.9. The method according to claim 8, characterized in that the communication between the access controller and the authentication gateway of the public land mobile network is carried out through the authentication server of the wireless local area network, which is responsible for authenticating local users of the mentioned wireless local area network who are not mobile subscribers. 10. Способ по п.3, отличающийся тем, что идентификатор пользователя на этапе с1) содержит идентификатор доступа к сети.10. The method according to claim 3, characterized in that the user identifier in step c1) comprises a network access identifier. 11. Способ по п.3, отличающийся тем, что идентификатор пользователя на этапе с1) содержит международный опознавательный код абонента мобильной связи.11. The method according to claim 3, characterized in that the user identifier in step c1) comprises an international identification code of a mobile subscriber. 12. Способ по п.1, отличающийся тем, что протокол аутентификации, находящийся на прикладном уровне на этапе с), представляет собой расширяемый протокол аутентификации.12. The method according to claim 1, characterized in that the authentication protocol located at the application level in step c) is an extensible authentication protocol. 13. Способ по п.12, отличающийся тем, что транспорт расширяемого протокола аутентификации осуществляют поверх протокола услуги аутентификации удаленных пользователей по коммутируемым каналам связи (RADIUS).13. The method according to p. 12, characterized in that the transport of the expandable authentication protocol is carried out on top of the authentication service protocol of remote users over dial-up communication channels (RADIUS). 14. Способ по п.12, отличающийся тем, что транспорт расширяемого протокола аутентификации осуществляют поверх протокола Diameter.14. The method according to p. 12, characterized in that the transport of the extensible authentication protocol is carried out over the Diameter protocol. 15. Контроллер доступа, предназначенный для обеспечения возможности аутентификации на основе модуля идентификации абонента (SIM) для пользователя беспроводной локальной сети, который является абонентом наземной сети мобильной связи общего пользования, причем беспроводная локальная сеть включает в себя по меньшей мере одну точку доступа, через которую пользователь с помощью терминала беспроводной связи осуществляет доступ к этой беспроводной локальной сети, при этом терминал беспроводной связи обеспечен картой модуля идентификации абонента (SIM-картой) и выполнен с возможностью считывания данных абонента с нее, при этом контроллер доступа отличается тем, что содержит15. An access controller designed to enable authentication based on a Subscriber Identity Module (SIM) for a wireless LAN user who is a subscriber to a public land mobile network, the wireless LAN including at least one access point through which the user uses the wireless terminal to access this wireless LAN, while the wireless terminal is provided with a card of the identification module the tape (SIM card) and is configured to read subscriber data from it, while the access controller is different in that it contains (а) сервер протокола двухточечного соединения уровня 2 (РРРоЕ) для связи с беспроводным терминалом, выполненный с возможностью туннелирования основывающейся на SIM процедуры аутентификации, выполняемой по принципу «опознавательный запрос - ответ»;(a) a Layer 2 point-to-point connection protocol server (PPPoE) for communicating with a wireless terminal, configured to tunnel a SIM-based authentication procedure by the authentication request-response principle; (b) протокол аутентификации, находящийся на прикладном уровне модели взаимодействия открытых систем (OSI), для связи с наземной сетью мобильной связи общего пользования.(b) an authentication protocol at the application level of the Open Systems Interconnection Model (OSI) for communication with a public land mobile network. 16. Контроллер доступа по п.15, отличающийся тем, что дополнительно содержит16. The access controller according to clause 15, characterized in that it further comprises (a) средство для перемещения информации, принятой поверх протокола двухточечного соединения уровня 2 (РРРоЕ), к вышерасположенному протоколу аутентификации, находящемуся на прикладном уровне;(a) means for transferring information received over the Layer 2 point-to-point connection protocol (PPPoE) to an upstream authentication protocol located at the application level; (b) средство для перемещения информации, принятой по протоколу аутентификации, находящемуся на прикладном уровне, на вершину нижерасположенного протокола двухточечного соединения уровня 2 (РРРоЕ).(b) means for transferring information received by the authentication protocol located at the application level to the top of the lower level point-to-point connection protocol 2 (PPPoE) below. 17. Контроллер доступа по п.16, отличающийся тем, что дополнительно содержит средство для выполнения запроса адреса межсетевого протокола (IP-адреса) у сервера протокола динамического конфигурирования хвоста после того, как основывающаяся на SIM процедура аутентификации, выполняемая по принципу« опознавательный запрос - ответ», успешно завершена между наземной сетью мобильной связи общего пользования и терминалом беспроводной связи.17. The access controller according to clause 16, characterized in that it further comprises means for querying the Internet Protocol address (IP address) of the dynamic tail configuration protocol server after the SIM-based authentication procedure, performed on the basis of the "authentication request - response ”, successfully completed between the public land mobile network and the wireless terminal. 18. Контроллер доступа по п.17, отличающийся тем, что выполнен с возможностью осуществления связи с терминалом беспроводной связи через точку доступа беспроводной локальной сети.18. The access controller according to claim 17, characterized in that it is configured to communicate with a wireless terminal through an access point of a wireless local area network. 19. Контроллер доступа по п.17, отличающийся тем, что выполнен с возможностью осуществления связи с наземной сетью мобильной связи общего пользования через шлюз аутентификации.19. The access controller according to claim 17, characterized in that it is configured to communicate with a public land mobile network via an authentication gateway. 20. Контроллер доступа по п.17, отличающийся тем, что выполнен с возможностью осуществления связи со шлюзом аутентификации через сервер аутентификации, отвечающий за аутентификацию локальных пользователей беспроводной локальной сети.20. The access controller according to claim 17, characterized in that it is configured to communicate with the authentication gateway through an authentication server responsible for authenticating local users of the wireless LAN. 21. Контроллер доступа по п.15, отличающийся тем, что протокол аутентификации, находящийся на прикладном уровне, представляет собой расширяемый протокол аутентификации.21. The access controller according to clause 15, wherein the authentication protocol at the application level is an extensible authentication protocol. 22. Контроллер доступа по п.21, отличающийся тем, что транспорт расширяемого протокола аутентификации осуществляется поверх протокола услуги аутентификации удаленных пользователей по коммутируемым каналам связи (RADIUS).22. The access controller according to item 21, wherein the transport of the expandable authentication protocol is carried out over the authentication service protocol of remote users over dial-up communication channels (RADIUS). 23. Контроллер доступа по п.21, отличающийся тем, что транспорт расширяемого протокола аутентификации осуществляется поверх протокола Diameter.23. The access controller according to claim 21, characterized in that the transport of the extensible authentication protocol is carried out over the Diameter protocol. 24. Терминал беспроводной связи, выполненный с возможностью функционирования в качестве клиента протокола двухточечного соединения уровня 2 (РРРоЕ) и имеющий расширяемый протокол аутентификации поверх этого протокола двухточечного соединения уровня 2.24. A wireless terminal configured to operate as a client of a layer 2 point-to-point connection protocol (PPPoE) and having an extensible authentication protocol on top of this layer 2 point-to-point connection protocol. 25. Телекоммуникационная система, содержащая беспроводную локальную сеть, включающую в себя по меньшей мере одну точку доступа, наземную сеть мобильной связи общего пользования и по меньшей мере один терминал беспроводной связи, обеспеченный картой модуля идентификации абонента (SIM-картой) и выполненный с возможностью считывания с нее данных абонента, отличающаяся тем, что дополнительно содержит контроллер доступа по любому из пп.15-23 для обеспечения возможности аутентификации абонента на основе SIM для пользователей беспроводной локальной сети, которые являются абонентами наземной сети мобильной связи общего пользования.25. A telecommunication system comprising a wireless local area network including at least one access point, a public land mobile network and at least one wireless terminal provided with a subscriber identity module card (SIM card) and configured to be read subscriber data from it, characterized in that it further comprises an access controller according to any one of claims 15-23 for enabling SIM-based subscriber authentication for wireless local users th network who are subscribers of a terrestrial network of public mobile communications.
RU2004135075/09A 2002-05-01 2002-05-01 System, device, and method designed for sim based authentication and for encryption with wireless local area network access RU2292648C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2004135075/09A RU2292648C2 (en) 2002-05-01 2002-05-01 System, device, and method designed for sim based authentication and for encryption with wireless local area network access

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2004135075/09A RU2292648C2 (en) 2002-05-01 2002-05-01 System, device, and method designed for sim based authentication and for encryption with wireless local area network access

Publications (2)

Publication Number Publication Date
RU2004135075A RU2004135075A (en) 2005-09-10
RU2292648C2 true RU2292648C2 (en) 2007-01-27

Family

ID=35847698

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2004135075/09A RU2292648C2 (en) 2002-05-01 2002-05-01 System, device, and method designed for sim based authentication and for encryption with wireless local area network access

Country Status (1)

Country Link
RU (1) RU2292648C2 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2428809C2 (en) * 2007-02-06 2011-09-10 Нокиа Корпорейшн Supporting calls without uicc
US8195943B2 (en) 2006-02-10 2012-06-05 Qualcomm Incorporated Signaling with opaque UE identities
US8769611B2 (en) 2007-05-31 2014-07-01 Qualcomm Incorporated Methods and apparatus for providing PMIP key hierarchy in wireless communication networks
RU2541913C2 (en) * 2009-02-19 2015-02-20 Форд Глобал Технолоджис, ЛЛК System and method for providing wireless cellular connection
RU2542933C1 (en) * 2011-08-16 2015-02-27 Зте Корпорейшн Method (versions), apparatus (versions) and system for controlling access
RU2604328C1 (en) * 2015-07-03 2016-12-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method of secured connection forming in network computer system
US9723486B2 (en) 2015-01-29 2017-08-01 Xiaomi Inc. Method and apparatus for accessing network

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102025683B (en) 2009-09-09 2014-12-10 中兴通讯股份有限公司 Service access method and system of user in access gateway control function entity

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8195943B2 (en) 2006-02-10 2012-06-05 Qualcomm Incorporated Signaling with opaque UE identities
RU2428809C2 (en) * 2007-02-06 2011-09-10 Нокиа Корпорейшн Supporting calls without uicc
US8769611B2 (en) 2007-05-31 2014-07-01 Qualcomm Incorporated Methods and apparatus for providing PMIP key hierarchy in wireless communication networks
RU2541913C2 (en) * 2009-02-19 2015-02-20 Форд Глобал Технолоджис, ЛЛК System and method for providing wireless cellular connection
RU2542933C1 (en) * 2011-08-16 2015-02-27 Зте Корпорейшн Method (versions), apparatus (versions) and system for controlling access
US9723486B2 (en) 2015-01-29 2017-08-01 Xiaomi Inc. Method and apparatus for accessing network
RU2640748C2 (en) * 2015-01-29 2018-01-11 Сяоми Инк. Method and device for network access
RU2604328C1 (en) * 2015-07-03 2016-12-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method of secured connection forming in network computer system

Also Published As

Publication number Publication date
RU2004135075A (en) 2005-09-10

Similar Documents

Publication Publication Date Title
US7936710B2 (en) System, apparatus and method for sim-based authentication and encryption in wireless local area network access
EP1770940B1 (en) Method and apparatus for establishing a communication between a mobile device and a network
US7441043B1 (en) System and method to support networking functions for mobile hosts that access multiple networks
US8045530B2 (en) Method and apparatus for authentication in a wireless telecommunications system
Arbaugh et al. Your 80211 wireless network has no clothes
AU2005236981B2 (en) Improved subscriber authentication for unlicensed mobile access signaling
Koien et al. Security aspects of 3G-WLAN interworking
JP3984993B2 (en) Method and system for establishing a connection through an access network
US20020174335A1 (en) IP-based AAA scheme for wireless LAN virtual operators
WO2006024969A1 (en) Wireless local area network authentication method
US20130104207A1 (en) Method of Connecting a Mobile Station to a Communcations Network
US20040133806A1 (en) Integration of a Wireless Local Area Network and a Packet Data Network
WO2006013150A1 (en) Sim-based authentication
RU2292648C2 (en) System, device, and method designed for sim based authentication and for encryption with wireless local area network access
EP1624639A1 (en) Sim-based authentication
GB2417856A (en) Wireless LAN Cellular Gateways
Živković et al. Authentication across heterogeneous networks
El-Sadek et al. Universal mobility with global identity (UMGI) architecture
Caballero et al. Experimental Study of a Network Access Server for a public WLAN access network
Froihofer A survey of WLAN security with focus on HotSpot and enterprise environments
Kizza et al. Security in Wireless Systems
EP2578052A1 (en) Method of connecting a mobile station to a communications network