RU2372734C2 - Способ и устройство для повторной аутентификации в системе сотовой связи - Google Patents

Способ и устройство для повторной аутентификации в системе сотовой связи Download PDF

Info

Publication number
RU2372734C2
RU2372734C2 RU2005113272/09A RU2005113272A RU2372734C2 RU 2372734 C2 RU2372734 C2 RU 2372734C2 RU 2005113272/09 A RU2005113272/09 A RU 2005113272/09A RU 2005113272 A RU2005113272 A RU 2005113272A RU 2372734 C2 RU2372734 C2 RU 2372734C2
Authority
RU
Russia
Prior art keywords
authentication
request
reauthentication
terminal
server
Prior art date
Application number
RU2005113272/09A
Other languages
English (en)
Other versions
RU2005113272A (ru
Inventor
Хенри ХАВЕРИНЕН (FI)
Хенри ХАВЕРИНЕН
Калле АХМАВААРА (FI)
Калле АХМАВААРА
Original Assignee
Нокиа Корпорейшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Нокиа Корпорейшн filed Critical Нокиа Корпорейшн
Publication of RU2005113272A publication Critical patent/RU2005113272A/ru
Application granted granted Critical
Publication of RU2372734C2 publication Critical patent/RU2372734C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/301Name conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/30Types of network names
    • H04L2101/345Types of network names containing wildcard characters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Изобретение относится к области аутентификации в сетях передачи данных. Технический результат заключается в обеспечении гарантированной повторной аутентификации сервером аутентификации, санкционирования и учета (АСУ), отличным от сервера АСУ, выполнявшего полную аутентификацию. Сущность изобретения заключается в том, что после первой полной аутентификации сеанса связи между терминалом (21) и сервером (24) с помощью первого сервера (23 а) аутентификации осуществляют: этап (11), на котором каждому из первого сервера (23а) аутентификации и других серверов (23b) аутентификации назначают соответственное уникальное имя области действия; и этап (13), на котором во время аутентификации между терминалом и первым сервером (23а) аутентификации первый сервер (23а) аутентификации передает в терминал (21) опознавательный код повторной аутентификации, включающий в себя уникальное имя области действия, назначенное первому серверу аутентификации. Затем, во время повторной аутентификации, чтобы сделать возможным, чтобы повторная аутентификация выполнялась с помощью того же самого сервера (23а) аутентификации, который выполнял полную аутентификацию, т.е. с помощью первого сервера (23а) аутентификации, опознавательный код повторной аутентификации включают в запрос повторной аутентификации. 9 н. и 5 з.п. ф-лы, 2 ил.

Description

Настоящая заявка основана на предварительной заявке США, серийный №60/416481, зарегистрированной 3 октября 2002 г. и озаглавленной “Аутентификация САК РПА и МИА”.
Область техники, к которой относится изобретение
Настоящее изобретение относится к механизму расширяемого протокола аутентификации (ЕАР, РПА), предназначенному для аутентификации и распространения ключа сеанса в системе связи, такому как механизм РПА для соглашения об аутентификации и о распространении ключа (сеанса) (АКА, САК) универсальной мобильной телекоммуникационной системы (UMTS, УМТС), а также такому как механизм РПА для САК, как реализован в модуле идентификации абонента (SIM, МИА), используемом в глобальной системе мобильной связи (GSM, ГСМС). Более конкретно, настоящее изобретение относится к повторной аутентификации в системе связи, которая использует механизм РПА для аутентификации МИА ГСМС или САК ГСМС.
Уровень техники
САК основано на механизмах вызова-ответа и симметричной криптографиии и в УМТС является таковым, как представлено в TS (техническая спецификация) 3GPP (Программа проекта партнерства третьего поколения) 33.102 V3.6.0 “Technical Specification Group Services and System Aspects; 3G Security; Security Architecture” (версия 1999 г.), “3rd Generation Partnership Project”, November 2000. САК обычно выполняется в модуле идентификации абонента УМТС (USIM, МИАУ), устройстве подобном смарт-карте. Однако возможность применения САК не ограничена клиентскими устройствами со смарт-картами, например, механизм САК также может быть реализован в программном обеспечении главной машины. САК также обеспечивает обратную совместимость с механизмом аутентификации ГСМС, представленном в GSM 03.20 (ETS 300 534): “Digital cellular telecommunication system (Phase 2); Security related network functions”, European Telecommunications Standards Institute, August 1997. По сравнению с механизмом ГСМС САК обеспечивает, по существу, большие длины ключей, а также аутентификацию стороны сервера (а также стороны клиента).
Для того чтобы для клиентского устройства, такого как беспроводный терминал (более конкретно, такого как подвижная станция), использовать службы, предоставляемые с помощью сервера, такого как сервер в системе связи, обеспечиваемой и управляемой оператором (или, на самом деле, службы сервера любого типа сети, включая, например, Internet), терминал или пользователь должен в некоторых случаях (для некоторых сетей и для некоторых служб этих сетей) аутентифицировать себя в сервере и наоборот (последнее, по меньшей мере, в некоторых сетях, особенно УМТС), т.е. каждая сторона должна доказать другой стороне, что она является тем, кем себя заявляет. В коммутируемых сетях, беспроводных LANs, ЛС (локальная сеть), проводных сетях ЛС и различных сетях цифровых абонентских линий (xDSL, ЦАЛ) оператор сети обычно использует, так называемый, сервер ААА, АСУ (аутентификация, санкционирование и учет), чтобы аутентифицировать клиента и, чтобы аутентифицировать сервер сети оператора, в который клиент направил запрос служб (или, чтобы аутентифицировать сеть оператора независимо от любого конкретного сервера). Сервер АСУ может отвечать за сохранение совместных секретов и другой “верительной” информации, необходимой для аутентификации пользователей (терминалов с компонентами, специфическими для конкретного пользователя и, таким образом, идентифицирующими пользователя), или сервер АСУ может использовать отдельный сервер базы данных пользователя для запоминания “верительной” информации. Расширяемый протокол аутентификации (РПА) часто используется в сетях, которые используют сервер АСУ для аутентификации между сервером АСУ и терминалом. Если оператор сети является оператором сотовой сети сетей УМТС или ГСМС, способ РПА может пакетировать соглашение об аутентификации и о ключе усовершенствованной ГСМС, как в МИА РПА, или соглашение об аутентификации и о ключе усовершенствованной УМТС, как в САК РПА. Терминал обменивается пакетами аутентификации с обслуживающим устройством в локальной сети. Обслуживающее устройство является различным в разных типах сетей, но оно может быть, например, пунктом доступа беспроводной ЛС, коммутатором Ethernet или сервером доступа коммутационной сети (NAS, СДС). Обслуживающее устройство обычно работает как так называемый клиент АСУ, и клиент АСУ и сервер АСУ выполняют аутентификацию с использованием так называемого протокола АСУ.
В начале сеанса связи, который установлен с МИА РПА или САК РПА, терминал и сервер АСУ выполняют так называемую в настоящем описании полную аутентификацию, т.е. аутентификацию, начинающуюся из состояния, в котором ни терминал, ни сервер АСУ не имеют никакого основания для аутентификации другого.
После того как полная аутентификация установлена, может быть, что после некоторого заранее определенного времени или в случае, когда выполняется некоторое другое условие, требуется повторная аутентификация, чтобы уменьшить вероятность того, что злоумышленник либо начал нелегальное проникновение как первоначально аутентифицированный объект с использованием некоторого другого устройства (устройства сервера или клиентского устройства), либо даже каким-либо путем получил физическое управление первоначально аутентифицированным устройством (например, пользователь оставил аутентифицированный терминал и ушел) и начал посылать запросы. Повторная аутентификация также может требоваться, для того чтобы убедиться, что терминал еще использует сетевые ресурсы, как заявлено с помощью сообщений учета, посланных с помощью локальной сети. Также повторная аутентификация может использоваться, для того чтобы согласовать новые ключи защиты в случаях, когда время действия ключей ограничено из-за причин безопасности. Повторная аутентификация является одинаковой в МИА РПА (для ГСМС) и САК РПА (для УМТС).
Протоколы МИА РПА и САК РПА предшествующего уровня техники обеспечивают повторную аутентификацию с использованием отдельной повторной аутентификации опознавательных кодов пользователя, доставленных из сервера АСУ в повторно аутентифицируемый терминал. Повторная аутентификация основана на ключах сеанса и другой контекстной информации, установленной во время полной аутентификации.
Оператор может использовать в сети несколько серверов АСУ для балансировки нагрузки и других причин. Поскольку сервер АСУ может быть выбран случайным образом для аутентификации терминала или может быть выбран с помощью некоторого заранее определенного механизма, такого как механизм циклического обслуживания, терминал (пользователь) не всегда могут аутентифицироваться с помощью одного и того же сервера АСУ. В такой сети повторная аутентификация становится проблемой, заключающейся в том, что контекстная информация запоминается только в сервере АСУ, который выполнял полную аутентификацию. Поскольку повторная аутентификация предполагает наличие некоторой информации, предоставленной во время полной аутентификации, она не будет работать (т.е. она не может быть выполнена), если запрос АСУ терминала для повторной аутентификации передан в другой сервер АСУ, отличный от сервера АСУ, который выполнял полную аутентификацию.
Следовательно, требуется способ, предназначенный для того, чтобы повторная аутентификация работала в сетях, где запрос повторной аутентификации мог бы передаваться в сервер АСУ, отличный от сервера АСУ, который выполнял полную аутентификацию.
Раскрытие изобретения
Таким образом, в первом аспекте изобретения предоставлен способ, предназначенный для осуществления в повторной аутентификации сеанса связи, включающий в себя обмен информацией между терминалом и сервером через сеть аутентификации, причем сеанс связи уже аутентифицирован с помощью терминала и первого сервера аутентификации сети аутентификации, причем способ отличается тем, что содержит: этап, на котором каждому из первого сервера аутентификации и других серверов аутентификации назначают соответственное уникальное имя области действия; и этап, на котором во время аутентификации между терминалом и первым сервером аутентификации первый сервер аутентификации передает в терминал опознавательный код повторной аутентификации, включающий в себя уникальное имя области действия, назначенное первому серверу аутентификации.
В соответствии с первым аспектом изобретения способ также содержит: этап, на котором, чтобы выполнить повторную аутентификацию, терминал передает запрос повторной аутентификации с использованием опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия; и этап, на котором элемент сети аутентификации, принимающий запрос повторной аутентификации, определяет из опознавательного кода повторной аутентификации, включенного в запрос, уникальное имя области действия, указывающее сервер аутентификации, который выполнял полную аутентификацию. Способ дополнительно может отличаться тем, что содержит: этап, на котором элемент сети аутентификации передает запрос в сервер аутентификации, указанный с помощью уникального имени области действия, включенного в качестве части опознавательного кода повторной аутентификации; и этап, на котором терминал и первый сервер аутентификации выполняют повторную аутентификацию.
Во втором аспекте изобретения предоставлен сервер аутентификации в системе сотовой связи, содержащей средство, предназначенное для повторной аутентификации сеанса связи, между терминалом и сервером содержимого, причем сервер аутентификации отличается тем, что содержит: средство, предназначенное для приема назначенного уникального имени области действия; и средство, предназначенное для передачи в терминал опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия.
В соответствии с первым аспектом изобретения сервер аутентификации также содержит: средство, предназначенное для приема запроса повторной аутентификации с использованием опознавательного кода повторной аутентификации, и для определения из опознавательного кода повторной аутентификации уникального имени области действия. Сервер аутентификации дополнительно может отличаться тем, что содержит: средство, предназначенное для передачи запроса в сервер аутентификации, указанный с помощью уникального имени области действия, включенного в качестве части опознавательного кода повторной аутентификации.
В третьем аспекте изобретения предоставлен компьютерный программный продукт, содержащий доступную для чтения с помощью компьютера структуру хранения, осуществляющую находящейся в ней компьютерный программный код, предназначенный для выполнения с помощью компьютерного процессора в сервере аутентификации, причем упомянутый компьютерный программный код отличается тем, что он включает в себя команды, предназначенные для включения средства устройства в соответствии со вторым аспектом изобретения.
В четвертом аспекте изобретения предоставлена система, включающая в себя множество терминалов, множество серверов аутентификации и, по меньшей мере, один сервер содержимого, причем терминалы являются действующими таким образом, чтобы запрашивать содержимое из сервера содержимого после аутентификации и случайной повторной аутентификации с помощью одного или другого из серверов аутентификации, причем система отличается тем, что каждый, по меньшей мере, из двух серверов аутентификации является устройством в соответствии со вторым аспектом изобретения.
Краткое описание чертежей
Вышеприведенные и другие задачи, признаки и преимущества изобретения станут понятными из рассмотрения следующего подробного описания, предоставленного в связи с сопровождающими чертежами, на которых:
фиг.1 представляет блок-схему последовательности операций способа, предназначенного для повторной аутентификации терминала (с помощью сервера аутентификации, действующего в качестве агента аутентификации) в соответствии с изобретением;
фиг.2 - блок-схема/блок-схема последовательности операций аутентификации терминала, а затем повторной аутентификации с помощью сервера аутентификации в соответствии изобретением.
Осуществление изобретения
Это изобретение предоставляет решение проблемы, заключающейся в том, чтобы гарантировать повторную аутентификацию в сетях, где запрос повторной аутентификации мог бы передаваться в сервер АСУ, отличный от сервера АСУ, который выполнял полную аутентификацию. Для того чтобы решить эту проблему, изобретение обеспечивает возможность выбора в качестве сервера АСУ в повторной аутентификации сервер АСУ, который выполнял полную аутентификацию.
Изобретение описано ниже в связи с механизмом расширяемого протокола аутентификации (РПА), предназначенным для аутентификации и распространения ключа сеанса в соглашении об аутентификации и ключе (САК) универсальной мобильной телекоммуникационной системе (УМТС), как представлено в 3GPP TS 33.102 v3.6.0: “Technical Specification Group Services and System Aspects; 3G Security; Security Architecture” (Rlease 1999 г.), “3rd Generation Partnership Project”, November 2000, и в предварительном документе IEFT (оперативный инженерный отряд Internet), “EAP AKA Autentification”, draft-arkko-pppext-eap-aka-04.txt, by J. Arkko and H. Haveriner, June 2002. УМТС является стандартом глобальной мобильной сети третьего поколения. Очевидно, изобретение также используется в связи с механизмом РПА, предназначенным для аутентификации и распространения ключа сеанса с использованием модуля идентификации абонента (МИА) глобальной системы мобильной связи (ГСМС), как представлено в Технической спецификации ГСМС 03.20 (ETS 300 534): “Digital cellular telecommunication system (Phase 2); Security related network functions”, European Telecommunications Standards, Institute, August 1997, и в предварительном документе IEFT, “EAP SIM Autentification”, by Haveriner, draft-haveriner-pppext-eappsim-05.txt, 2 July 2002. Несмотря на то, что изобретение описано, в частности, для использования с расширяемым протоколом аутентификации и его способами для УМТС и ГСМС, следует понимать, что ничего, относящегося к изобретению, не ограничивает его применением к расширяемому протоколу аутентификации или системам сотовой связи в соответствии со стандартами УМТС и ГСМС; фактически, изобретение используется в любой системе связи, обеспечивающей аутентификацию способом, подобным или совместимым с расширяемым протоколом аутентификации в связи с протоколами АСУ. В случае описанного варианта осуществления, изобретение использует так называемый РПА (расширяемый протокол аутентификации), как приведено в RFC 2284, озаглавленном “PPP Extensible Autentification Protocol (EAP)”, опубликованном Рабочей группой по сетям IEFT. РПА (РРР, ПДС (протокол двухточечной связи), являющийся общим протоколом для аутентификации. Он поддерживает множество механизмов аутентификации.
Теперь, ссылаясь на фиг.1 и фиг.2, для того, чтобы гарантировать то, что аутентификация всегда возможна, раскрывается способ, включающий в себя первый этап 11, на котором каждому серверу 23а, 23b АСУ (в одной и той же или в разных сетях операторов) назначают уникальное имя области действия, и в случае УМТС или ГСМС и аутентификации для служб IP оно является именем типа, который может использоваться (в качестве части, т.е. как, например, в user@realm, в котором “realm” является уникальным именем области действия) в идентификаторе доступа к сети (NAI, ИДС), который является идентификатором (терминала), используемым в протоколах АСУ в связи с аутентификацией для доступа к сети. При установлении протоколов РПА и АСУ запрос аутентификации включает в себя идентификатор доступа к сети пользователя. В случае полной аутентификации МИА РПА и САК РПА задают формат опознавательного кода, который должен использовать терминал, для того чтобы запрашивать полную аутентификацию. В соответствии с установленными спецификациями часть имени пользователя ИДС включает в себя либо Международный идентификатор подвижного абонента (IMSI, МИПА), либо временный идентификатор, который в спецификациях МИА РПА и САК РПА называется псевдонимом. Имя области действия, используемое в ИДС, обычно является общепринятым идентификатором собственного оператора. Могут быть использованы несколько серверов АСУ, чтобы обслуживать запросы, которые переданы в это имя области действия. Следовательно, в соответствии с предшествующим уровнем техники, обычно имя области действия в ИДС может совместно использоваться несколькими серверами АСУ. Например, абоненты MyOperator могли бы использовать имя области действия myoperator.com, и сообщения АСУ направлялись бы в один из серверов АСУ myoperator.com. То, что область действия указывает, возможно, группу серверов АСУ, имеет место при полной аутентификации МИА РПА и САК РПА. Однако, в соответствии с изобретением, каждому серверу АСУ также было бы назначено уникальное имя области действия, такое как, например, serverX.myoperator.com, и это является уникальными именами области действия, которые использовались бы в опознавательных кодах повторной аутентификации. В имени области действия имя третьего уровня serverX делает имя области действия serverX.myoperator.com уникальным именем области действия. Структурированный формат имени области действия может давать возможность некоторым элементам АСУ направлять все области действия, которые оканчиваются на myoperator.com, в правильный следующий сетевой элемент, независимо от любого имени третьего уровня, которое могло быть обязательно добавлено, чтобы сделать имя области действия уникальным; например, обслуживающее устройство 21а может не заботиться о полном имени области действия, а вместо этого может использовать простое правило: “Направлять *.myoperator.com в уполномоченный АСУ MyOperator” (где символ * действует как трафаретный символ, т.е. он указывает любое множество символов, допустимых в имени).
На следующем этапе первый сервер 23а из серверов 23а, 23b АСУ принимает запрос из обслуживающего устройства 21а (т.е. клиента АСУ, и, в частности, например, пункта доступа к службе) через уполномоченный сервер 22 АСУ для (полной) аутентификации относительно терминала 21 таким образом, чтобы обслуживающее устройство 21а могло разрешить терминалу 21 доступ к сети 24 (такой как Internet). На фиг.2 не изображены (для ясности) множество элементов одной или более сетей операторов, которые делают возможным беспроводную связь между терминалом 21 и серверами 23а, 23b (т.е., в частности, сети радиодоступа для каждой сети оператора), а также другие элементы, которые направляют передачи в один или другой из серверов 23а, 23b АСУ.
На следующем этапе 13 первый сервер 23а АСУ передает в терминал 21 (через уполномоченный сервер 22 и обслуживающее устройство 21а) опознавательный код повторной аутентификации (для использования терминалом в дальнейшей повторной аутентификации) и включает уникальное имя области действия в опознавательный код повторной аутентификации, который также включает в себя часть имени пользователя. Опознавательный код повторной аутентификации отличается от опознавательного кода, основанного на МИПА, и опознавательного кода псевдонима, которые используются после полной аутентификации. Этап 13 выполняют как часть процедуры полной аутентификации, которая включает в себя другие этапы, которые исключены из фиг.1 для ясности. Часть имени пользователя опознавательного кода повторной аутентификации является одноразовым именем пользователя, выбранным сервером. Оно могло бы быть числом или идентификатором, выбранным случайным образом. Так опознавательный код повторной аутентификации мог бы быть, например таким, как описано ниже.
На следующем этапе 14, чтобы выполнить повторную аутентификацию (обычно на основании некоторого выполняемого условия), терминал 21 посылает запрос повторной аутентификации с использованием опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия. Обычно имеется несколько способов, с помощью которых может быть инициирована повторная аутентификации. Одним способом является способ, в котором вспомогательное устройство 21а может инициировать повторную аутентификаци. В этом случае в беспроводной ЛС, где “запрос повторной аутентификации”, который передается на основании уникального имени области действия, содержит ответный пакет опознавательного кода РПА, обслуживающее устройство 21а посылает пакет запроса опознавательного кода РПА в терминал 21, и терминал 21 отвечает с помощью ответа опознавательного кода РПА, который содержит опознавательный код повторной аутентификации. Затем этот пакет передают через протокол АСУ в правильный сервер АСУ. В качестве альтернативы, сам терминал 21 может инициировать повторную аутентификацию. В беспроводной ЛС терминал 21 посылает пакет EAPOL-Запуск, РПАЧЛС-Запуск) (запуск РПА через ЛС) в обслуживающее устройство 21а. После приема РПАЧЛС-Запуск обслуживающее устройство 21а выдает пакет запроса опознавательного кода РПА в терминал, и процедуры обмена повторной аутентификации продолжаются, как описано ниже.
На следующем этапе 15 любой элемент АСУ сети (обслуживающее устройство 21а, уполномоченный сервер 22 и серверы 23а, 23b АСУ), принимающие запрос, исследуют опознавательный код повторной аутентификации, включенный в запрос, чтобы определить, куда направить запрос (на основании опознавательного кода повторной аутентификации, который указывает первый сервер 23а АСУ через имя области действия). Маршрутизация основана, например, на таблице маршрутизации или другом обычном средстве АСУ маршрутизации, которое подходит. Обычно уполномоченный сервер 22 исследует имя области действия и непосредственно направляет запрос в первый сервер 23а АСУ. Следовательно, запрос, рано или поздно, принимается с помощью сервера АСУ, который выполнял полную аутентификацию, т.е. с помощью первого сервера 23а АСУ.
На следующем этапе 16 первый сервер 23а АСУ отвечает на запрос повторной аутентификации посредством установленного протокола для повторной аутентификации. На следующих этапах 17 передаются следующие передачи из терминала 21 в первый сервер 23а АСУ посредством установленных протоколов АСУ между терминалом 21 и первым сервером 23а АСУ через обслуживающее устройство 21а. Следующие передачи могут быть направлены непосредственно между обслуживающим устройством 21а и первым сервером 23а АСУ или могут быть направлены через промежуточные элементы АСУ. Установленные протоколы АСУ обычно включают в себя средство, предназначенное для гарантирования того, что сервер 23а АСУ, выполняющий повторную аутентификацию, не изменяется во время обмена аутентификацией.
В некоторых случаях терминал 21 может иметь связь одновременно через несколько разных сеансов с использованием процедуры полной аутентификации для каждого сеанса. Сеансы могут быть аутентифицированы с помощью одного и того же сервера АСУ или с помощью разных серверов АСУ и могут использовать одну и ту же или разные технологии радиосвязи и одно и то же или разные приложения для выполнения аутентификации. В соответствии с изобретением, чтобы адаптировать такое разнообразие, терминал 21 поддерживает отдельную информацию состояния для каждого такого сеанса, и затем терминал 21 может выполнять повторную аутентификацию отдельно для каждого такого сеанса, как описано в связи с фиг.1. Таким образом, каждый сервер 23а, 23b АСУ, используемый в аутентификации для одного или более одновременных сеансов, поддерживает отдельную информацию состояния для каждого такого сеанса.
Следует заметить, что, несмотря на то, что изобретение относится к аутентификации беспроводной ЛС, оно также относится к ЦАЛ, коммутируемой сети, Ethernet и другим контекстам аутентификации. Способы расширяемого протокола аутентификации для аутентификации РПА и ГСМС адресованы операторам мобильной связи, которые желают администрировать ГС или другие дополнительные сети доступа; возможно, что изобретение никогда не будет использовано в действительных сетях УМТС или ГСМС.
Следует понимать, что вышеописанные устройства только иллюстрируют приложение принципов настоящего изобретения. Многочисленные модификации и альтернативные устройства могут быть осуществлены специалистами в данной области техники, не выходя за рамки объема настоящего изобретения, и прилагаемая формула изобретения предназначена для того, чтобы включать в себя такие модификации и устройства.

Claims (14)

1. Способ повторной аутентификации сеанса связи, содержащий этапы, на которых
принимают запрос на полную аутентификацию терминала;
передают в терминал опознавательный код повторной аутентификации, включающий в себя уникальное имя области действия, уникально идентифицирующее сервер аутентификации; и
принимают от терминала запрос на повторную аутентификацию, причем запрос на повторную аутентификацию включает в себя опознавательный код повторной аутентификации, включающий в себя уникальное имя области действия,
причем запрос на повторную аутентификацию направляют серверу аутентификации в соответствии с уникальным именем области действия, содержащимся в запросе на повторную аутентификацию.
2. Сервер аутентификации, содержащий
средство для приема запроса на полную аутентификацию терминала;
средство для передачи в терминал опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия, уникально идентифицирующее сервер аутентификации; и
средство для приема от терминала запроса на повторную аутентификацию, причем запрос включает в себя опознавательный код повторной аутентификации, включающий в себя уникальное имя области действия, уникально идентифицирующее сервер аутентификации,
причем запрос на повторную аутентификацию направляется серверу аутентификации в соответствии с уникальным именем области действия, содержащимся в запросе на повторную аутентификацию.
3. Машиночитаемый носитель, содержащий компьютерный программный код, который, когда исполняется компьютерным процессором, действует, чтобы обеспечить повторную аутентификацию сеанса связи, причем компьютерный программный код содержит команды для
приема запроса на полную аутентификацию терминала;
передачи в терминал опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия уникально идентифицирующее сервер аутентификации; и
приема от терминала запроса на повторную аутентификацию, причем запрос на повторную аутентификацию включает в себя опознавательный код повторной аутентификации, включающий в себя уникальное имя области действия,
причем запрос на повторную аутентификацию направляется серверу аутентификации в соответствии с уникальным именем области действия, содержащимся в запросе на повторную аутентификацию.
4. Система беспроводной связи, содержащая
первый сервер аутентификации, выполненный с возможностью приема запроса на полную аутентификацию терминала и выполненный с возможностью передачи в терминал опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия, уникально идентифицирующее первый сервер аутентификации; и
второй сервер аутентификации, выполненный с возможностью приема от терминала запроса на повторную аутентификацию, причем запрос на повторную аутентификацию включает в себя опознавательный код повторной аутентификации, включающий в себя уникальное имя области действия, идентифицирующее первый сервер аутентификации, и выполненный с возможностью направления запроса на повторную аутентификацию первому серверу аутентификации в соответствии с уникальным именем области действия, идентифицирующим первый сервер аутентификации.
5. Устройство, содержащее
средство для передачи первому серверу аутентификации запроса на полную аутентификацию;
средство для приема от первого сервера аутентификации опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия, уникально идентифицирующее первый сервер аутентификации; и
средство для передачи второму серверу аутентификации запроса на повторную аутентификацию с использованием опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия.
6. Устройство по п.5, в котором средство для передачи второму серверу аутентификации включает в себя опознавательный код повторной аутентификации в ответном пакете опознавательного кода в соответствии с Расширяемым Протоколом Аутентификации.
7. Сервер аутентификации, содержащий компоненты протокола аутентификации, выполненные с возможностью
приема запроса на полную аутентификацию терминала;
передачи в терминал опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия, уникально идентифицирующее сервер аутентификации; и
прием запроса от терминала на повторную аутентификацию, причем запрос на повторную аутентификацию включает в себя опознавательный код повторной аутентификации, включающий в себя уникальное имя области действия, уникально идентифицирующее сервер аутентификации;
причем запрос на повторную аутентификацию направляется серверу аутентификации в соответствии с уникальным именем области действия, содержащимся в запросе на повторную аутентификацию.
8. Сервер аутентификации по п.7, в котором компоненты протокола аутентификации также сконфигурированы для определения из опознавательного кода повторной аутентификации уникального имени области действия, включенного в запрос, терминалом для повторной аутентификации, при этом запрос включает в себя опознавательный код повторной аутентификации.
9. Сервер аутентификации по п.8, в котором компоненты протокола аутентификации также сконфигурированы для направления запроса в другой сервер аутентификации, если уникальное имя области действия указывает другой сервер аутентификации.
10. Элемент сети аутентификации, содержащий
средство для определения из опознавательного кода повторной аутентификации уникального имени области действия, уникально идентифицирующего сервер аутентификации, включенного в запрос для повторной аутентификации, переданный терминалом, и
средство для подготовки сообщения для направления на сервер аутентификации, указанный в уникальном имени области действия.
11. Терминал, содержащий
средство для запроса повторной аутентификации сеанса связи между терминалом и сервером содержимого,
средство для приема от первого сервера аутентификации опознавательного кода, включающего в себя уникальное имя области действия, назначенное первому серверу аутентификации; и
средство для передачи элементу сети аутентификации запроса на повторную аутентификацию с использованием опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия.
12. Терминал по п.11, в котором средство для передачи элементу сети аутентификации запроса на повторную аутентификацию с использованием опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия, сконфигурировано так, что включает в себя опознавательный код повторной аутентификации в ответном пакете опознавательного кода в соответствии с Расширяемым Протоколом Аутентификации.
13. Терминал, содержащий компоненты протокола аутентификации, сконфигурированные для запроса повторной аутентификации сеанса связи между терминалом и сервером содержимого,
получения из сообщения от первого сервера аутентификации опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия, назначенное первому серверу аутентификации; и
передачи элементу сети аутентификации запроса на повторную аутентификацию с использованием опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия.
14. Терминал по п.13, в котором компоненты протокола аутентификации также сконфигурированы для включения опознавательного кода повторной аутентификации в ответный пакет опознавательного кода в соответствии с Расширяемым Протоколом Аутентификации.
RU2005113272/09A 2002-10-03 2003-09-30 Способ и устройство для повторной аутентификации в системе сотовой связи RU2372734C2 (ru)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US41648102P 2002-10-03 2002-10-03
US60/416,481 2002-10-03
US10/659,774 US8972582B2 (en) 2002-10-03 2003-09-10 Method and apparatus enabling reauthentication in a cellular communication system
US10/659,774 2003-09-10

Publications (2)

Publication Number Publication Date
RU2005113272A RU2005113272A (ru) 2006-01-10
RU2372734C2 true RU2372734C2 (ru) 2009-11-10

Family

ID=32073408

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2005113272/09A RU2372734C2 (ru) 2002-10-03 2003-09-30 Способ и устройство для повторной аутентификации в системе сотовой связи

Country Status (9)

Country Link
US (1) US8972582B2 (ru)
EP (1) EP1552646B1 (ru)
JP (1) JP4713338B2 (ru)
KR (1) KR100996983B1 (ru)
AU (1) AU2003267708A1 (ru)
DK (1) DK1552646T3 (ru)
PT (1) PT1552646E (ru)
RU (1) RU2372734C2 (ru)
WO (1) WO2004032415A1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2549521C2 (ru) * 2010-07-08 2015-04-27 Мобайл Имэджин Ин Свиден Аб Косвенная связь между устройствами

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005078988A1 (en) * 2004-02-11 2005-08-25 Telefonaktiebolaget Lm Ericsson (Publ) Key management for network elements
JP4558387B2 (ja) * 2004-06-17 2010-10-06 Kddi株式会社 利用者認証システムおよび方法
JP2006011989A (ja) * 2004-06-28 2006-01-12 Ntt Docomo Inc 認証方法、端末装置、中継装置及び認証サーバ
US7590732B2 (en) * 2004-10-08 2009-09-15 Telefonaktiebolaget Lm Ericsson (Publ) Enhancement of AAA routing originated from a local access network involving intermediary network preferences
TWI293844B (en) * 2005-01-11 2008-02-21 Ind Tech Res Inst A system and method for performing application layer service authentication and providing secure access to an application server
US7725074B2 (en) 2005-02-18 2010-05-25 Panasonic Corporation Wireless communication method, relay station apparatus, and wireless transmitting apparatus
US7716724B2 (en) * 2005-06-16 2010-05-11 Verizon Business Global Llc Extensible authentication protocol (EAP) state server
CN100454865C (zh) * 2005-08-23 2009-01-21 华为技术有限公司 实现网络服务提供商域名发现的方法
US7716721B2 (en) * 2005-10-18 2010-05-11 Cisco Technology, Inc. Method and apparatus for re-authentication of a computing device using cached state
GB0523145D0 (en) * 2005-11-14 2005-12-21 Siemens Ag Authentication realm support discovery
KR20070051233A (ko) * 2005-11-14 2007-05-17 삼성전자주식회사 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법
CN1968262B (zh) * 2005-11-15 2011-04-06 华为技术有限公司 一种ims网络中的会话控制方法和装置
US8041339B2 (en) * 2006-01-31 2011-10-18 Alcatel Lucent Method for secure authentication of mobile devices
US8555350B1 (en) * 2006-06-23 2013-10-08 Cisco Technology, Inc. System and method for ensuring persistent communications between a client and an authentication server
KR100837817B1 (ko) * 2006-06-30 2008-06-13 주식회사 케이티 망 접속과 응용서비스 접속 간의 연계를 위한 망/서비스접속 관리 시스템 및 그 방법
CN101056177B (zh) * 2007-06-01 2011-06-29 清华大学 基于无线局域网安全标准wapi的无线网状网重认证方法
WO2009087006A1 (en) * 2008-01-09 2009-07-16 Nokia Siemens Networks Oy Mechanism for authentication and authorization for network and service access
KR100977114B1 (ko) * 2008-02-28 2010-08-23 주식회사 케이티 휴대인터넷 시스템에서 옥내용 기지국을 이용하는휴대인터넷 단말을 위한 재인증 방법 및 그를 위한 옥내용기지국의 인증 방법
US8116735B2 (en) * 2008-02-28 2012-02-14 Simo Holdings Inc. System and method for mobile telephone roaming
CN101621772B (zh) * 2008-07-02 2012-06-06 中国移动通信集团公司 一种会话控制方法及设备
US8800017B2 (en) * 2009-05-29 2014-08-05 Ncomputing, Inc. Method and apparatus for copy protecting a digital electronic device
JP4785992B2 (ja) * 2011-01-05 2011-10-05 株式会社エヌ・ティ・ティ・ドコモ 認証方法及び中継装置
US20150039513A1 (en) * 2014-02-14 2015-02-05 Brighterion, Inc. User device profiling in transaction authentications
US20180053114A1 (en) 2014-10-23 2018-02-22 Brighterion, Inc. Artificial intelligence for context classifier
US10896421B2 (en) 2014-04-02 2021-01-19 Brighterion, Inc. Smart retail analytics and commercial messaging
US20160055427A1 (en) 2014-10-15 2016-02-25 Brighterion, Inc. Method for providing data science, artificial intelligence and machine learning as-a-service
US20150032589A1 (en) 2014-08-08 2015-01-29 Brighterion, Inc. Artificial intelligence fraud management solution
US20150339673A1 (en) 2014-10-28 2015-11-26 Brighterion, Inc. Method for detecting merchant data breaches with a computer network server
US20150066771A1 (en) 2014-08-08 2015-03-05 Brighterion, Inc. Fast access vectors in real-time behavioral profiling
US20160071017A1 (en) 2014-10-15 2016-03-10 Brighterion, Inc. Method of operating artificial intelligence machines to improve predictive model training and performance
US20160063502A1 (en) 2014-10-15 2016-03-03 Brighterion, Inc. Method for improving operating profits with better automated decision making with artificial intelligence
US10546099B2 (en) 2014-10-15 2020-01-28 Brighterion, Inc. Method of personalizing, individualizing, and automating the management of healthcare fraud-waste-abuse to unique individual healthcare providers
US11080709B2 (en) 2014-10-15 2021-08-03 Brighterion, Inc. Method of reducing financial losses in multiple payment channels upon a recognition of fraud first appearing in any one payment channel
US20160078367A1 (en) 2014-10-15 2016-03-17 Brighterion, Inc. Data clean-up method for improving predictive model training
US10290001B2 (en) 2014-10-28 2019-05-14 Brighterion, Inc. Data breach detection
US10671915B2 (en) 2015-07-31 2020-06-02 Brighterion, Inc. Method for calling for preemptive maintenance and for equipment failure prevention
US9980133B2 (en) 2015-08-12 2018-05-22 Blackberry Limited Network access identifier including an identifier for a cellular access network node
US11621959B2 (en) * 2017-11-03 2023-04-04 Lenovo (Singapore) Pte. Ltd. User authentication using connection information provided by a blockchain network
US20190342297A1 (en) 2018-05-01 2019-11-07 Brighterion, Inc. Securing internet-of-things with smart-agent technology
US20200145824A1 (en) * 2018-11-05 2020-05-07 Comcast Cable Communications, Llc Localized Multi-Factor Network Authentication

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5349643A (en) * 1993-05-10 1994-09-20 International Business Machines Corporation System and method for secure initial program load for diskless workstations
US5544322A (en) * 1994-05-09 1996-08-06 International Business Machines Corporation System and method for policy-based inter-realm authentication within a distributed processing system
US5708780A (en) * 1995-06-07 1998-01-13 Open Market, Inc. Internet server access control and monitoring systems
US5740361A (en) * 1996-06-03 1998-04-14 Compuserve Incorporated System for remote pass-phrase authentication
US6088451A (en) * 1996-06-28 2000-07-11 Mci Communications Corporation Security system and method for network element access
US5887251A (en) 1996-10-30 1999-03-23 Ericsson Inc. Authentication key management for mobile stations
JPH1141252A (ja) 1997-07-23 1999-02-12 Nippon Telegr & Teleph Corp <Ntt> クライアント・サーバシステム
US5928363A (en) * 1997-08-27 1999-07-27 International Business Machines Corporation Method and means for preventing unauthorized resumption of suspended authenticated internet sessions using locking and trapping measures
US6263432B1 (en) * 1997-10-06 2001-07-17 Ncr Corporation Electronic ticketing, authentication and/or authorization security system for internet applications
US6651105B1 (en) * 1998-11-12 2003-11-18 International Business Machines Corporation Method for seamless networking support for mobile devices using serial communications
US6662228B1 (en) * 2000-02-01 2003-12-09 Sun Microsystems, Inc. Internet server authentication client
CA2299824C (en) * 2000-03-01 2012-02-21 Spicer Corporation Network resource control system
JP2002198955A (ja) 2000-12-27 2002-07-12 Falcon System Consulting Kk ネットワーク通信の加重的セキュリティシステム
JP3693922B2 (ja) 2001-01-04 2005-09-14 日本電気株式会社 インターネット負荷分散中継接続方式
JP2002207733A (ja) 2001-01-10 2002-07-26 Ip Net Corp ウェブサーバ負荷分散システム
US20020133719A1 (en) * 2001-03-14 2002-09-19 Jay Westerdal Method and apparatus for sharing authentication information between multiple servers
US6785256B2 (en) * 2002-02-04 2004-08-31 Flarion Technologies, Inc. Method for extending mobile IP and AAA to enable integrated support for local access and roaming access connectivity
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
US7266100B2 (en) * 2002-11-01 2007-09-04 Nokia Corporation Session updating procedure for authentication, authorization and accounting

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2549521C2 (ru) * 2010-07-08 2015-04-27 Мобайл Имэджин Ин Свиден Аб Косвенная связь между устройствами

Also Published As

Publication number Publication date
EP1552646A1 (en) 2005-07-13
JP4713338B2 (ja) 2011-06-29
US20040153555A1 (en) 2004-08-05
US8972582B2 (en) 2015-03-03
RU2005113272A (ru) 2006-01-10
JP2006515486A (ja) 2006-05-25
EP1552646B1 (en) 2014-03-19
KR100996983B1 (ko) 2010-11-26
AU2003267708A1 (en) 2004-04-23
EP1552646A4 (en) 2006-04-26
DK1552646T3 (da) 2014-05-26
PT1552646E (pt) 2014-04-30
WO2004032415A1 (en) 2004-04-15
KR20050062586A (ko) 2005-06-23

Similar Documents

Publication Publication Date Title
RU2372734C2 (ru) Способ и устройство для повторной аутентификации в системе сотовой связи
EP1515516B1 (en) Authenticating access to a wireless local area network based on security value(s) associated with a cellular system
US7539309B2 (en) Method and system for GSM authentication during WLAN roaming
US8589675B2 (en) WLAN authentication method by a subscriber identifier sent by a WLAN terminal
EP1875707B1 (en) Utilizing generic authentication architecture for mobile internet protocol key distribution
US6950660B1 (en) Provisioning a mobile device in a wireless communication system
US20040162998A1 (en) Service authentication in a communication system
JP4687788B2 (ja) 無線アクセスシステムおよび無線アクセス方法
WO2006095265A1 (en) Method and apparatuses for authenticating a user by comparing a non-network originated identities
JP2005524255A (ja) 移動無線システムにおけるキー更新
WO2005099221A1 (en) A method of configuring a mobile node
WO2005002165A1 (en) Apparatus and method for a single sign-on authentication through a non-trusted access network
EP1992185A2 (en) Fast re-authentication method in umts
KR100670791B1 (ko) Aaa 서버에서의 확장형 권한 검증 방법
US20020042820A1 (en) Method of establishing access from a terminal to a server
JP2007053674A (ja) 通信システム、ノード、認証サーバ、通信方法及びそのプログラム
KR100578375B1 (ko) 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증방법 및 시스템
TWI246300B (en) Method and apparatus enabling reauthentication in a cellular communication system
CN107770067B (zh) 消息发送方法和装置
KR100388062B1 (ko) 3세대 지피알에스망에서 아이에스피 이동 가입자의 망접속시 씨에이치에이피 인증방법

Legal Events

Date Code Title Description
PC41 Official registration of the transfer of exclusive right

Effective date: 20160602