RU2424628C2 - Способ и устройство межсетевой авторизации для работы в режиме с двумя стеками - Google Patents
Способ и устройство межсетевой авторизации для работы в режиме с двумя стеками Download PDFInfo
- Publication number
- RU2424628C2 RU2424628C2 RU2009110196/09A RU2009110196A RU2424628C2 RU 2424628 C2 RU2424628 C2 RU 2424628C2 RU 2009110196/09 A RU2009110196/09 A RU 2009110196/09A RU 2009110196 A RU2009110196 A RU 2009110196A RU 2424628 C2 RU2424628 C2 RU 2424628C2
- Authority
- RU
- Russia
- Prior art keywords
- authorization
- version
- internet protocol
- authorized
- message
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
- H04W80/045—Network layer protocols, e.g. mobile IP [Internet Protocol] involving different protocol versions, e.g. MIPv4 and MIPv6
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Изобретение относится к системам передачи данных. Технический результат заключается в обеспечении возможности одновременной работы мобильной станции в протоколах IPv4 и IPv6. Сущность изобретения заключается в том, что осуществляют следующие этапы: запрашивание аутентификации из объекта авторизации в системе беспроводной связи; и прием аутентификационного сообщения от объекта авторизации, если аутентификация успешна, при этом аутентификационное сообщение содержит авторизацию использовать, по меньшей мере, одну версию Интернет-протокола, чтобы установить, по меньшей мере, один защищенный туннель для связи. 12 н. и 12 з.п. ф-лы, 9 ил.
Description
Перекрестная ссылка на родственную заявку
По данной заявке испрашивается приоритет предварительной патентной заявки США №60/839212, озаглавленной "WLAN-CDMA2000 INTERWORKING AUTHORIZATION OF IPV4-1PV6 DUAL-STACK OPERATION", поданной 21 августа 2006 года. Вышеупомянутая заявка полностью включена в данный документ посредством ссылки.
Область техники
Настоящее изобретение, в общем, относится к системам связи, а более конкретно, к способу и устройству межсетевой авторизации для работы в режиме с двумя стеками.
Уровень техники
Технологии беспроводной связи получили серьезное развитие за последние несколько лет. Дополнительной причиной для роста частично стала свобода перемещения, предоставляемая беспроводными технологиями, и значительное повышение качества голосовой связи и передачи данных через беспроводную среду. Повышение качества голосовых услуг вместе с добавлением услуг передачи данных оказывали и будут продолжать оказывать значительное влияние на общающихся людей. Дополнительные услуги включают в себя доступ в Интернет с использованием мобильного устройства при нахождении в роуминге.
Возможность поддерживать сеанс передачи данных при передвижении является важной и для пользователей, и для системных операторов. Поскольку все больше пользователей использует операции по протоколу мобильного Интернета, пользователь, возможно, захочет иметь одновременный доступ к той же функции межсетевого обмена пакетными данными, используя работу в режиме с двумя стеками, которая позволяет одновременно использовать две версии протокола мобильного Интернета. Функция межсетевого обмена пакетными данными (PDIF) работает как шлюз безопасности, защищающий сотовую сеть.
Фиг.1 иллюстрирует архитектуру межсетевого взаимодействия для беспроводной локальной вычислительной сети (WLAN). Сеть может быть частью системы беспроводной связи, работающей согласно стандарту 3GPP2, определенному посредством стандарта, предлагаемого консорциумом с названием «Проект партнерства третьего поколения 2», упоминаемым в данном документе как 3GPP2. Архитектура 100 включает в себя мобильную станцию (MS) 102, подключенную к WLAN-системе 104. WLAN-система 104 включает в себя точку доступа (AP) 106 и маршрутизатор доступа (AR) 108. WLAN-система подключается к домашней 3G-сети 110. WLAN-система подключается к домашней 3G-сети 110 через функцию межсетевого обмена пакетными данными (PDIF) 122. PDIF 114 подключается к домашнему устройству 112 аутентификации, авторизации и учета использования сетевых ресурсов (H-AAA).
MS устанавливает защищенный IP-туннель с PDIF, которая выступает в качестве шлюза безопасности в домашней 3G-сети. Установление туннеля аутентифицируется и авторизуется посредством H-AAA 112. После того как туннель установлен, MS может осуществлять доступ к услугам в домашней 3G-сети 110. Пунктирная линия на фиг.1 указывает путь для информации аутентификации, авторизации и учета использования сетевых ресурсов и указывает передачу информации между H-AAA 112 и PDIF 114. Сплошные линии показывают пути однонаправленного канала для трафика пользовательских данных, а трубопровод указывает защищенный туннель, защищающий трафик пользовательских данных между MS 102 и PDIF 114.
MS предварительно конфигурируется с информацией об адресе PDIF, будь то IP-адрес или полностью определенное доменное имя (FQDN). Если MS сконфигурирована с использованием FQDN PDIF, то MS переключается на систему доменных имен (DNS), чтобы разрешить IP-адрес, ассоциативно связанный с FQDN. MS использует протокол обмена ключами по Интернету версия 2 (IKEv2) для того, чтобы устанавливать защищенные туннели, известные как IPsec-туннели, для передачи данных с PDIF. Часть установления защищенного туннеля требует то, чтобы MS была аутентифицирована и авторизована посредством H-AAA 112 на фиг.1. MS может использовать ряд процедур для взаимной аутентификации. Аутентификационная информация, включающая в себя регистрационные данные и случайные вызовы, транспортируется в сообщениях расширяемого протокола аутентификации (EAP), обмениваемых между MS и H-AAA. Сообщения EAP транспортируются в сообщениях IKEv2 между MS и PDIF, а также в сообщениях RADIUS, обмениваемых между PDIF и H-AAA.
MS может требовать одновременного доступа к одной PDIF с помощью и IPv4, и IPv6. Эта работа в режиме с двумя стеками приводит к проблемам авторизации для PDIF, а именно PDIF должна знать, авторизована ли MS для IPv4 и/или IPv6. Дополнительно, PDIF должна указать MS то, что MS не авторизована для одной из версий IP, в случае запрашивания посредством MS операции в режиме с двумя стеками, которая не авторизована как для IPv4, так и для IPv6. Существует потребность в способе и устройстве, чтобы указывать IP-авторизацию для MS и также указывать MS то, что MS не авторизована для обеих версий IP.
Раскрытие изобретения
Раскрыт способ для авторизации и работы в режиме с двумя стеками в системе связи, содержащий запрашивание аутентификации из объекта авторизации в системе связи и последующий прием аутентификационного сообщения от объекта авторизации, если аутентификация успешна, при этом аутентификационное сообщение содержит авторизацию использовать, по меньшей мере, одну версию Интернет-протокола, чтобы установить, по меньшей мере, один защищенный туннель для связи.
Дополнительный вариант осуществления предусматривает способ, содержащий: запрашивание работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола; прием авторизации для работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола; установление отдельной подчиненной авторизации безопасности для каждой версии Интернет-протокола, при этом подчиненная авторизация безопасности подчиняется авторизации безопасности по протоколу обмена ключами в Интернете; установление, по меньшей мере, одного защищенного туннеля для связи; и осуществление доступа одновременно к обеим версиям Интернет-протокола с помощью, по меньшей мере, одного защищенного туннеля для связи.
Еще один вариант осуществления предоставляет способ, содержащий: запрашивание работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола; прием авторизации для одной версии Интернет-протокола в сообщении, при этом сообщение идентифицирует, по меньшей мере, одну версию Интернет-протокола, которая авторизована, и дополнительно при этом сообщение идентифицирует, по меньшей мере, одну версию Интернет-протокола, которая не авторизована; установление авторизации безопасности для авторизованной версии Интернет-протокола, при этом авторизация безопасности для авторизованной версии Интернет-протокола подчиняется авторизации безопасности по протоколу обмена ключами в Интернете; установление защищенного туннеля для связи; и обмен данными с помощью защищенного туннеля.
Другой вариант осуществления предусматривает устройство, составленное из следующих элементов: передатчик для запрашивания аутентификации из объекта авторизации в системе беспроводной связи; и приемник для приема аутентификационного сообщения от объекта аутентификации, если аутентификация успешна, при этом аутентификационное сообщение содержит авторизацию использовать, по меньшей мере, одну версию Интернет-протокола, чтобы установить, по меньшей мере, один защищенный туннель для связи.
Дополнительный вариант осуществления предусматривает устройство, составленное из следующих элементов: передатчик для запрашивания работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола; приемник для приема авторизации для работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола; память для сохранения отдельной подчиненной авторизации безопасности для каждой версии Интернет-протокола, при этом подчиненная авторизация безопасности подчиняется авторизации безопасности по протоколу обмена ключами в Интернете; процессор для установления, по меньшей мере, одного защищенного туннеля для связи с помощью передатчика; и передатчик для осуществления доступа одновременно к нескольким версиям Интернет-протокола с помощью, по меньшей мере, одного защищенного туннеля для связи.
Еще один вариант осуществления предусматривает устройство, которое включает в себя следующие элементы: передатчик для запрашивания работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола; приемник для приема авторизации для одной версии Интернет-протокола в сообщении, при этом сообщение идентифицирует, по меньшей мере, одну версию Интернет-протокола, которая авторизована, и дополнительно при этом сообщение идентифицирует, по меньшей мере, одну версию Интернет-протокола, которая не авторизована; процессор для установления авторизации безопасности для авторизованной версии Интернет-протокола, при этом авторизация безопасности для авторизованной версии Интернет-протокола подчиняется авторизации безопасности по протоколу обмена ключами в Интернете; память для сохранения авторизации безопасности для авторизованной версии Интернет-протокола; передатчик для установления защищенного туннеля для связи; и передатчик для обмена данными с помощью защищенного туннеля.
Другой вариант осуществления предоставляет устройство, составленное из следующих элементов: средство запрашивания аутентификации из объекта авторизации в системе беспроводной связи; и средство приема аутентификационного сообщения от объекта авторизации, если аутентификация успешна, при этом аутентификационное сообщение содержит авторизацию использовать, по меньшей мере, одну версию Интернет-протокола, чтобы установить, по меньшей мере, один защищенный туннель для связи.
Дополнительный вариант осуществления предоставляет устройство, составленное из следующих элементов: средство запрашивания работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола; средство приема авторизации для работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола; средство установления отдельной подчиненной авторизации безопасности для каждой версии Интернет-протокола, при этом подчиненная авторизация безопасности подчиняется авторизации безопасности по протоколу обмена ключами в Интернете; средство установления, по меньшей мере, одного защищенного туннеля для связи; и средство осуществления доступа одновременно к обеим версиям Интернет-протокола с помощью, по меньшей мере, одного защищенного туннеля для связи.
Дополнительный вариант осуществления предусматривает устройство, содержащее: средство запрашивания работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола; средство приема авторизации для одной версии Интернет-протокола в сообщении, при этом сообщение идентифицирует, по меньшей мере, одну версию Интернет-протокола, которая авторизована, и дополнительно, при этом сообщение идентифицирует, по меньшей мере, одну версию Интернет-протокола, которая не авторизована; средство установления авторизации безопасности для авторизованной версии Интернет-протокола, при этом авторизация безопасности для авторизованной версии Интернет-протокола подчиняется авторизации безопасности по протоколу обмена ключами в Интернете; средство установления защищенного туннеля для связи; и средство обмена данными с помощью защищенного туннеля.
Предоставляется вариант осуществления в виде вычислительного программного продукта, содержащего машиночитаемый носитель, содержащий: инструкции для побуждения компьютера запрашивать аутентификацию из объекта авторизации в системе беспроводной связи; и инструкции для побуждения компьютера принимать аутентификационное сообщение от объекта авторизации, если аутентификация успешна, при этом аутентификационное сообщение содержат авторизацию использовать, по меньшей мере, одну версию Интернет-протокола, чтобы установить, по меньшей мере, один защищенный туннель для связи.
Дополнительный вариант осуществления предоставляет вычислительный программный продукт, содержащий машиночитаемый носитель, содержащий: инструкции для побуждения компьютера запрашивать работу в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола; инструкции для побуждения компьютера принимать авторизацию для работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола; инструкции для побуждения компьютера устанавливать отдельную подчиненную авторизацию безопасности для каждой версии Интернет-протокола, при этом подчиненная авторизация безопасности подчиняется авторизации безопасности по протоколу обмена ключами в Интернете; инструкции для побуждения компьютера устанавливать, по меньшей мере, один защищенный туннель для связи; и инструкции для побуждения компьютера осуществлять доступ одновременно к обеим версиям Интернет-протокола с помощью, по меньшей мере, одного защищенного туннеля для связи.
Дополнительный вариант осуществления предоставляет вычислительный программный продукт, содержащий машиночитаемый носитель, содержащий: инструкции для побуждения компьютера запрашивать работу в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола; инструкции для побуждения компьютера принимать авторизацию для одной версии Интернет-протокола в сообщении, при этом сообщение идентифицирует, по меньшей мере, одну версию Интернет-протокола, которая авторизована, и дополнительно при этом сообщение идентифицирует, по меньшей мере, одну версию Интернет-протокола, которая не авторизована; инструкции для побуждения компьютера устанавливать авторизацию безопасности для авторизованной версии Интернет-протокола, при этом авторизация безопасности для авторизованной версии Интернет-протокола подчиняется авторизации безопасности по протоколу обмена ключами в Интернете; инструкции для побуждения компьютера устанавливать защищенный туннель для связи; и инструкции для побуждения компьютера обмениваться данными с помощью защищенного туннеля.
Краткое описание чертежей
Фиг.1 является блок-схемой, которая иллюстрирует архитектуру межсетевого взаимодействия для поддержки межсетевой авторизации работы в режиме с двумя стеками согласно варианту осуществления изобретения.
Фиг.2 иллюстрирует содержимое запроса CREATE_CHILD_SA согласно варианту осуществления изобретения.
Фиг.3 иллюстрирует содержимое ответа CREATE_CHILD_SA согласно варианту осуществления изобретения.
Фиг.4A иллюстрирует установление IPsec-туннеля согласно варианту осуществления изобретения.
Фиг.4B иллюстрирует последовательность операций установления туннеля согласно варианту осуществления изобретения.
Фиг.5 иллюстрирует структуру авторизованной по IP-версии RADIUS VSA согласно варианту осуществления изобретения.
Фиг.6 иллюстрирует блок-схему последовательности операций способа для авторизованной работы в режиме с двумя стеками IPv4-IPv6 согласно варианту осуществления изобретения.
Фиг.7 иллюстрирует блок-схему последовательности операций способа, когда только IPv4 авторизован, согласно варианту осуществления изобретения.
Фиг.8 иллюстрирует блок-схему последовательности операций способа, когда только IPv6 авторизован, согласно варианту осуществления изобретения.
Осуществление изобретения
Слово "примерный" используется в данном документе, чтобы обозначать "служащий в качестве примера, отдельного случая или иллюстрации". Любой вариант осуществления, описанный в данном документе как "примерный", необязательно должен быть истолкован как предпочтительный или выгодный по сравнению с другими вариантами осуществления.
MS, требующая доступа к услугам передачи пакетных данных, должна получить доступ к IP-сети доступа. MS инициализирует установление туннеля как часть процесса осуществления доступа. Эти туннели устанавливаются между MS и PDIF и требуют нескольких этапов прежде, чем туннель будет установлен, и услуги передачи пакетных данных смогут быть запущены.
Первый этап, который осуществляет MS, начинает процесс аутентификации, авторизации и учета использования сетевых ресурсов. Аутентификация - это процесс идентификации человека, чаще всего, посредством имени пользователя и пароля. Процесс аутентификации предполагает, что имя пользователя и пароль однозначно идентифицируют абонента.
Авторизация предоставляет пользовательский доступ к сетевым ресурсам после аутентификации. Различные уровни доступа могут быть возможными и пользователям можно предоставлять или запрещать доступ к сетевым ресурсам в зависимости от уровня авторизации.
Учет использования сетевых ресурсов - это отслеживание действий пользователя при осуществлении доступа к сетевым ресурсам, и он включает в себя количество времени, проведенное в сети, используемые службы при нахождении сети и объем данных, переданных в ходе сетевого сеанса связи.
Аутентификация и авторизация на то, чтобы осуществлять доступ к сетевым ресурсам, выполняется, когда MS пытается обратиться к услугам передачи пакетных данных. Авторизация услуг обычно независима из аутентификации и авторизации WLAN. Сервер H-AAA выполняет аутентификацию и авторизацию с помощью протокола доступа, такого как служба дистанционной аутентификации пользователей по коммутируемым линиям (RADIUS), или DIAMETER. RADIUS - это система аутентификации и учета использования системных ресурсов, применяемая многими провайдерами услуг интернета.
IP Security (IPsec) обеспечивает конфиденциальность, целостность данных, контроль доступа и аутентификацию источника данных для IP-дейтаграмм. Эти службы предоставляются путем поддержания разделенного режима между источником и приемником IP-дейтаграммы. Этот режим задает конкретные услуги, предоставленные дейтаграмме, и то, какие криптографические алгоритмы должны использоваться для того, чтобы предоставлять услуги, а также ключи, используемые в качестве входных данных для криптографических алгоритмов. Протокол, известный как обмен ключами по Интернету (IKE), используется для того, чтобы устанавливать этот разделенный режим.
IKE выполняет взаимную аутентификацию между двумя сторонами и также устанавливает структуру данных, определяющую параметры безопасности канала (SA) для IKE, которая включает в себя информацию о разделенном секрете, которая может использоваться, чтобы эффективно установить SA для протокола безопасного закрытия содержания (ESP) и/или протокола аутентификации заголовка (AH), и набор криптографических алгоритмов, которые должны использоваться посредством SA для того, чтобы защитить трафик, который они переносят. Инициатор предлагает набор криптографических алгоритмов, используемых для того, чтобы защищать SA. IKE SA называется IKE_SA. SA для ESP и/или AH, которые настроены через что IKE_SA, известны как CHILD_SA.
Весь обмен данными согласно IKE состоит из пар сообщений: запрос и ответ. Пара известна как обмен. Первыми сообщениями, которые устанавливают IKE_SA, является начальный обмен IKE_SA_INIT и IKE_AUTH. Последующие обмены, которые устанавливают дочернее SA, известны как обмены CREATE_CHILD_SA или информационные (INFORMATIONAL) обмены. В общем случае, сначала предусмотрен один обмен IKE_SA_INIT и один обмен IKE_AUTH с помощью в общей сложности четырех сообщений, чтобы установить IKE_SA и первое CHILD_SA. В некоторых случаях может быть необходимо несколько таких обменов. Во всех случаях обмены IKE_SA_INIT должны завершиться до любого другого типа обмена. Затем все обмены IKE_AUTH должны быть завершены. Любое число обменов CREATE_CHILD_SA и обменов INFORMATIONAL может следовать в любом порядке. Последующие обмены могут установить дополнительные CHILD_SA между той же самой аутентифицированной парой конечных точек.
Поток сообщений IKE состоит из запроса, за которым следует ответ. Ответственностью запрашивающей стороны является обеспечение надежности. Если ответ не принимается в течение интервала ожидания, запрашивающая сторона должна повторно передать запрос или отказаться от соединения.
Первый запрос/ответ сеанса связи IKE согласовывает параметры безопасности IKE_SA, отправляет одноразовые номера и значения Диффи-Хеллмана.
Второй запрос-ответ, IKE_AUTH, передает идентификационные данные, подтверждает знание секретов, соответствующих этим двум идентификационным данным, и устанавливает SA для первого AH и/или ESP CHILD_SA.
Последующие обмены могут создавать CHILD_SA (CREATE_CHILD_SA) и INFORMATIONAL, которые могут удалять SA, сообщать о состояниях ошибок или других служебных функциях. Каждый запрос требует ответа. Последующие обмены не могут осуществляться до окончания завершения начальных обменов.
Обмен CREATE_CHILD состоит из одной пары запроса/ответа и может быть инициализирован из любого конца IKE_SA после того, как начальные обмены закончены. Все сообщения после начального обмена криптографически защищаются с помощью согласованного криптографического набора первых двух сообщений обмена IKE. Любая конечная точка может инициализировать обмен CREATE_CHILD_SA. CHILD_SA создается посредством отправки запроса CREATE_CHILD_SA. Запрос CREATE_CHILD_SA может содержать рабочие данные для дополнительного обмена Диффи-Хеллмана, чтобы предоставить более надежные гарантии будущей секретности CHILD_SA. Материалом манипуляции с ключами CHILD_SA является функция, установленная в ходе установления IKE_SA, одноразовые номера, обмененные в ходе обмена CREATE_CHILD_SA, и значения Диффи-Хеллмана (если рабочие данные обмена ключами включены в обмен CREATE_CHILD_SA).
В CHILD_SA, которое создано в ходе начального обмена, вторые рабочие данные и одноразовый номер для обмена ключами не должны посылаться. Одноразовые номера из начального обмена используются для вычисления ключей для CHILD_SA.
Фиг.2 иллюстрирует содержимое CREATE_CHILD_SA. Инициатор отправляет SA предложение(я) в рабочих данных SA. Одноразовый номер отправляется в рабочих данных Ni. Этот одноразовый номер и другие, содержавшиеся в сообщениях IKE_SA_INIT, используются в качестве входных данных для криптографических функций. В запросе и ответе CREATE_CHILD_SA одноразовые номера используются, чтобы добавить новизну в метод извлечения ключей, используемый для получения ключей для CHILD_SA, и обеспечить создание строгих сильных псевдослучайных битов из ключа Диффи-Хеллмана. Одноразовые номера, используемые в IKEv2, выбираются произвольно и составляют, по меньшей мере, 128 битов по размеру и равны, по меньшей мере, половине размера ключа согласованной псевдослучайной функции. Значение Диффи-Хеллмана может быть отправлено в полезной нагрузке KEi. Предложенные селекторы трафика отправляются в полезной нагрузке TSi и TSr. Если предложения SA включают в себя различные группы Диффи-Хеллмана, KEi должен быть элементом группы, которую, как ожидает инициатор, примет ответчик. Если предположение является неправильным, обмен CREATE_CHILD_SA завершается ошибкой и должен быть повторен с другим KEi.
Сообщение после заголовка шифруется, и сообщение, включающее в себя заголовок, является защищенным по целостности с помощью согласованных криптографических алгоритмов для IKE_SA.
Фиг.3 иллюстрирует содержимое ответа CREATE_CHILD_SA. Ответчик отвечает с использованием того же идентификатора сообщения с принятым предложением в полезной нагрузке SA и значением Диффи-Хеллмана в полезной нагрузке KEr, если KEi включены в запрос, и согласованный криптографический набор включает в себя эту группу. Если ответчик выбирает криптографический набор с другой группой, он должен отклонить запрос. Инициатор в таком случае должен повторить запрос, но с полезной нагрузкой KEi из группы, которую выбрал ответчик. Селекторы трафика для трафика, который должен быть отправлен по этому SA, указываются в полезной нагрузке селектора трафика (TS), которые могут быть поднабором инициатора предложенного CHILD_SA. Селекторы трафика могут быть опущены, если запрос CREATE_CHILD_SA используется для того, чтобы изменить ключ IKE_SA.
После того как CHILD_SA создан, следующий этап заключается в том, чтобы установить IPsec-туннель. Процедуры установления туннеля подробно поясняются ниже.
Либо MS может быть заранее предоставлен IP-адрес PDIF, либо она должна использовать механизмы DNS, чтобы извлечь IP-адрес PDIF. При создании FQDN для запроса DNS MS должна идентифицировать сеть оператора. Чтобы упростить доступ к сети, в MS могут быть заранее предоставлены FQDN нескольких PDIF. Как только MS принимает ответ, содержащий один или более IP-адресов PDIF, MS выбирает IP-адрес PDIF с такой же версией IP, что и ее локальный IP-адрес, который является IP-адресом, выделяемым посредством WLAN при успешном сопоставлении. Этот выбор может быть выполнен пользователем или может быть выполнен автоматически посредством MS. Несколько способов могут использоваться, чтобы обнаруживать PDIF, в зависимости от реализации.
Обмен сообщениями используется для того, чтобы установить IPsec-туннель между MS и PDIF. Фиг.4 иллюстрирует этот обмен сообщениями. На этапе 1 MS аутентифицируется в сети доступа WLAN и получает доступ к Интернету. Это может влечь за собой сверку WLAN с H-AAA для авторизации.
На этапе 2 MS получает IP-адрес из сети доступа. MS также обнаруживает заданный по умолчанию маршрутизатор и адрес(а) DNS-сервера.
На этапе 3 MS начинает обмен IKEv2 с PDIF. Первый набор сообщений, отправленный в этом обмене, является начальным обменом, обозначенным как IKE_SA_INIT.
На этапе 4 MS инициализирует обмен IKE_AUTH с PDIF. Эти сообщения зашифрованы и защищены по целостности с помощью ключей, установленных в ходе обмена IKE_SA_INIT.
MS запрашивает внутренний IP-адрес туннеля (TIA) на этапе 5 посредством установки полезной нагрузки CONFIGURATION в запросе IKE_AUTH. MS включает свой идентификатор доступа к сети (NAI) в полезную нагрузку. Если MS хочет использовать расширяемый протокол аутентификации (EAP), она не включает полезную нагрузку авторизации (AUTH) в сообщение IKE_AUTH.
На этапе 6 PDIF принимает запрос IKE_AUTH без полезной нагрузки AUTH, с которой она контактирует с H-AAA, чтобы запросить авторизацию услуги и пользовательскую аутентификационную информацию, посредством отправки сообщения EAP-Response/Identity в сообщении RADIUS Access-Request или команде Diameter-EAP-Request (DER).
На этапе 7 сообщения EAP передаются между MS и H-AAA. H-AAA отправляет сообщение запроса EAP в RADIUS Access-Challenge или в команде Diameter-EAP-Answer (DEA) в PDIF. PDIF отправляет сообщение отклика на IKE_AUTH, включающее в себя сообщение запроса EAP, в MS.
MS отвечает на этапе 8 сообщением запроса IKE_AUTH, включающим в себя сообщение ответа EAP. PDIF отправляет сообщение ответа EAP в сообщении RADIUS Access-Request или команде Diameter-EAP-Request в H-AAA. Этапы 7 и 8 могут выполняться несколько раз.
Если аутентификация успешна, на этапе 9 H-AAA отправляет EAPSuccess в сообщении RADIUS Access-Accept или команду DEA с кодом, указывающим успешную аутентификацию.
На этапе 10 при получении сообщения RADIUS Access-Accept или команды DEA с кодом результата, который указывает успешную аутентификацию, PDIF отправляет сообщение ответа IKE_AUTH, которое включает в себя успешное EAP. Если PDIF принимает сообщение RADIUS-Reject или команду DEA с кодом результата, указывающим сбой авторизации, PDIF отклоняет установление туннеля к MS и отправляет сообщение ответа IKE_AUTH с полезной нагрузкой Notify, установленной на 'AUTHENTICATION FAILED'.
Далее MS отправляет сообщение запроса IKE_AUTH на этапе 11, включающее в себя полезную нагрузку AUTH, вычисленную из главного сеансового ключа (MSK), который формируется после успешной аутентификации EAP.
PDIF отвечает сообщением ответа IKE_AUTH на этапе 12, включающем в себя назначенный TIA, полезную нагрузку AUTH и авторизацию безопасности. PDIF использует MSK для вычисления полезной нагрузки AUTH. PDIF получает MSK из H-AAA на этапе 9, описанном выше.
На этапе 13, когда обмен IKE_AUTH завершен, IPsec-туннель устанавливается между MS и PDIF.
Фиг.4B иллюстрирует этапы обычной последовательности операций установления туннеля. Она может быть использована при установлении нескольких туннелей, как дополнительно пояснено ниже.
Можно установить несколько туннелей к одной PDIF. Как только сопоставление безопасности (SA) IKE аутентифицировано, несколько дочерних SA могут быть согласованы в пределах IKE SA. Обмен известен, поскольку CREATE_CHILD_SA защищен и использует криптографические алгоритмы и ключи, согласованные в первых двух сообщениях обмена IKE, как описано выше. В результате, создание дополнительных CHILD_SA между MS и PDIF не запускает дополнительный обмен аутентификационными сообщениями с H-AAA.
MS, возможно, хочет одновременно иметь доступ IPv4 и IPv6 к одной PDIF. Хотя стандарт IKEv2 позволяет такой одновременный доступ в одном или отдельных IPsec-туннелях, авторизация не адресуется, и PDIF должен знать, авторизована ли MS, запрашивающая авторизацию на работу в режиме с двумя стеками, для IPv4 и IPv6.
Первый вариант осуществления разрешает проблему знания PDIF о том, авторизована ли запрашивающая MS для IPv4 и/или IPv6. В ходе установления IPsec-туннеля так, как описано выше, если авторизация EAP успешна, H-AAA возвращает авторизованную по IP-версии VSA в сообщении RADIUS Access-Accept, чтобы указать то, авторизованы ли IPv4 и/или IPv6. Если авторизованная по IP-версии VSA отсутствует в сообщении RADIUS Access-Accept, то PDIF должна применить свою локальную политику для авторизации работы в режиме с двумя стеками. Фиг.5 иллюстрирует структуру авторизованной по IP-версии RADIUS VSA.
Другой вариант осуществления используется, когда MS хочет использовать IPv4 и IPv6 одновременно и авторизована для использования обоих. Фиг.6 иллюстрирует способ согласно этому варианту осуществления. Способ 600 начинается, когда MS запрашивает работу в режиме с двумя стеками IPv4-IPv6 на этапе 602. Этот запрос выполняется в форме сообщения, отправленного AAA-серверу через PDIF. На этапе 604 AAA-сервер определяет, авторизована ли MS использовать и IPv4, и IPv6. На этапе 606 AAA-сервер сообщает PDIF, что запрашивающая MS авторизована использовать и IPv4, и IPv6. PDIF сообщает MS на этапе 608 о том, что запрос на работу в режиме с двумя стеками IPv4-IPv6 авторизован. На этапе 610 MS и PDIF устанавливают отдельные CHILD_SA согласно одному IKE_SA для IPv4 и IPv6. Если MS не авторизована и для IPv4, и для IPv6, AAA-сервер сообщает в PDIF на этапе 612. В свою очередь, PDIF сообщает MS на этапе 614 о не авторизации, и также сообщает MS о том, какая версия IP не авторизована.
Еще один вариант осуществления используется, когда MS может хотеть использовать и IPv4, и IPv6 одновременно, но может быть авторизована только для IPv4. Фиг.7 иллюстрирует способ работы согласно этому варианту осуществления. Способ 700 начинается с этапа 702, когда MS запрашивает работу в режиме с двумя стеками IPv4-lPv6. На этапе 704 AAA-сервер выясняет то, авторизована ли MS и для IPv4, и для IPv6. Если MS авторизована и для IPv4, и для IPv6, способ возвращается к этапу 606 способа по фиг.6. Если MS авторизована только для IPv4, AAA-сервер сообщает PDIF о том, что MS авторизована только для IPv4. PDIF отправляет полезную нагрузку Notify с типом сообщения Notify, установленным на конкретный тип сообщения, который указывает, что только IPv4 авторизован на этапе 710. Если система беспроводной связи работает с использованием стандарта 3GPP2, тип сообщения устанавливается как 8193 в сообщении ответа IKE_AUTH. Другие операционные системы могут использовать другие типы сообщения, но не влияют на работу этого варианта осуществления. В этом случае на этапе 712 будет установлен только IPsec-туннель для IPv4. Чтобы не допустить установление посредством MS сеанса связи IPv6 с сетью, MS присваивает атрибуту IINTERNAL_IP6_ADDRESS значение t 0::0 в полезной нагрузке запроса CFG. PDIF задает длину атрибута INTERNAL_IP6_ADDRESS равной нулю в полезной нагрузке отклика CFG. PDIF может уведомить MS о том, что MS не авторизована для доступа IPv6, посредством отправки полезной нагрузки Notify с конкретным типом сообщения, указывающим ошибки. Если MS пытается запросить префикс IPv6 от PDIF, PDIF отбрасывает сообщение без уведомления MS.
Фиг.8 иллюстрирует вариант осуществления, используемый, когда MS хочет использовать работу в режиме с двумя стеками IPv4 и IPv6, но авторизована только для IPv6. Способ 800 начинается с этапа 802, когда MS запрашивает работу в режиме с двумя стеками IPv4-IPv6. AAA-сервер проверяет то, авторизована ли MS для IPv4 и IPv6, на этапе 804. Если MS авторизована и для IPv4, и для IPv6, способ возвращается к этапу 606 по фиг.6. Если MS не авторизована для IPv4 и IPv6, а авторизована только для IPv6 на этапе 808, AAA-сервер сообщает PDIF о том, что MS авторизована только для IPv6. На этапе 810 PDIF отправляет сообщение полезной нагрузки Notify с типом сообщения Notify, установленным на конкретный тип сообщения, который указывает, что MS авторизована только для IPv6, в сообщении ответа IKE_AUTH. Если система беспроводной связи работает с использованием стандарта 3GPP2, тип сообщения устанавливается на 8194. На этапе 812 устанавливается IPsec-туннель для IPv6. Не допускается установление посредством MS внутреннего сеанса IPv4 с сетью посредством присваивания MS атрибуту INTERNAL_IP4_ADDRESS значения 0.0.0.0 в рабочих данных запроса CFG. Аналогично, PDIF задает длину атрибута INTERNAL_IP4_ADDRESS равной нулю в полезной нагрузке отклика CFG. PDIF может уведомить MS о том, что MS не авторизована для доступа IPv4, посредством отправки полезной нагрузки Notify с конкретным типом сообщения. Если MS пытается запросить префикс IPv4 от PDIF, PDIF отбрасывает сообщение без уведомления MS.
Что касается других вариантов осуществления, специалисты в данной области техники должны иметь в виду, что упомянутые выше способы могут быть реализованы посредством выполнения программы, осуществленной на машиночитаемом носителе, таком как память компьютерной платформы. Инструкции могут постоянно размещаться в различных типах основных, вторичных или третичных носителей передачи сигналов и хранения данных. Носители могут содержать, например, RAM, доступную или находящуюся в клиентском устройстве и/или сервере. Независимо от того, содержатся ли инструкции в RAM, на гибком диске либо на других вторичных носителях хранения, они могут быть сохранены на множестве машиночитаемых носителей хранения данных, таких как DASD-хранилище (к примеру, традиционный жесткий диск или RAID-массив), магнитная лента, электронное постоянное запоминающее устройство (к примеру, ROM или EEPROM), карты флэш-памяти, оптическое устройство хранения (к примеру, CD-ROM, WORM, DVD, цифровая оптическая лента), бумажные "перфорированные" карты или другие подходящие носители хранения данных, включающие в себя цифровую и аналоговую среду передачи.
Хотя вышеприведенное описание показывает иллюстративные варианты осуществления изобретения, следует отметить, что различные изменения и модификации могут быть выполнены в них без отступления от объема изобретения, определяемого посредством прилагаемой формулы изобретения. Действия или этапы пунктов формулы изобретения, относящихся к способу, в соответствии с вариантами осуществления изобретения, описанного в данном документе, не требуется выполнять их в каком-либо особом порядке. Более того, хотя элементы изобретения могут быть описаны или приведены в формуле изобретения в единственном числе, множественное число подразумевается, если ограничение на единственное число не указано в явной форме.
Таким образом, проиллюстрированы и описаны предпочтительные варианты осуществления настоящего изобретения. Тем не менее, специалистам в данной области техники должно быть очевидным то, что многочисленные изменения могут быть сделаны в вариантах осуществления, раскрытых в данном документе, без отклонения от сущности и объема изобретения. Следовательно, настоящее изобретение не должно быть ограничено ничем, кроме как соответствием с прилагаемой формулой изобретения.
Claims (24)
1. Способ межсетевой авторизации, содержащий этапы, на которых:
запрашивают аутентификацию из объекта авторизации в системе беспроводной связи; и
принимают аутентификационное сообщение от объекта авторизации, если аутентификация успешна, при этом аутентификационное сообщение содержит авторизацию использовать по меньшей мере одну версию Интернет-протокола, чтобы установить по меньшей мере один защищенный туннель для связи.
запрашивают аутентификацию из объекта авторизации в системе беспроводной связи; и
принимают аутентификационное сообщение от объекта авторизации, если аутентификация успешна, при этом аутентификационное сообщение содержит авторизацию использовать по меньшей мере одну версию Интернет-протокола, чтобы установить по меньшей мере один защищенный туннель для связи.
2. Способ по п.1, в котором авторизацией использовать по меньшей мере один Интернет-протокол, является авторизованная по IP-версии VSA, отправленная в сообщении RADIUS Access-Accept.
3. Способ по п.2, в котором если авторизованная по IP-версии VSA отсутствует в сообщении RADIUS Access-Accept, функция межсетевого обмена пакетными данными в сети беспроводной связи должна применять локальную политику для авторизации на работу в режиме с двумя стеками.
4. Способ межсетевой авторизации, содержащий этапы, на которых:
запрашивают работу в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
принимают авторизацию для работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
устанавливают отдельную подчиненную авторизацию безопасности для каждой версии Интернет-протокола, при этом подчиненная авторизация безопасности подчиняется авторизации безопасности по протоколу обмена ключами в Интернете;
устанавливают по меньшей мере один защищенный туннель для связи; и осуществляют доступ одновременно к обеим версиям Интернет-протокола с помощью по меньшей мере одного защищенного туннеля для связи.
запрашивают работу в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
принимают авторизацию для работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
устанавливают отдельную подчиненную авторизацию безопасности для каждой версии Интернет-протокола, при этом подчиненная авторизация безопасности подчиняется авторизации безопасности по протоколу обмена ключами в Интернете;
устанавливают по меньшей мере один защищенный туннель для связи; и осуществляют доступ одновременно к обеим версиям Интернет-протокола с помощью по меньшей мере одного защищенного туннеля для связи.
5. Способ по п.4, в котором более чем одна версия Интернет-протокола осуществляет доступ одновременно с помощью одного защищенного туннеля.
6. Способ по п.4, в котором более чем одна версия Интернет-протокола осуществляет доступ одновременно в отдельных защищенных туннелях.
7. Способ межсетевой авторизации, содержащий этапы, на которых:
запрашивают работу в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
принимают авторизацию для одной версии Интернет-протокола в сообщении, при этом сообщение идентифицирует по меньшей мере одну версию Интернет-протокола, которая авторизована, и дополнительно при этом сообщение идентифицирует по меньшей мере одну версию Интернет-протокола, которая не авторизована;
устанавливают авторизацию безопасности для авторизованной версии Интернет-протокола, при этом авторизация безопасности для авторизованной версии Интернет-протокола подчиняется авторизации безопасности по протоколу обмена ключами в Интернете;
устанавливают защищенный туннель для связи; и обмениваются данными с помощью защищенного туннеля.
запрашивают работу в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
принимают авторизацию для одной версии Интернет-протокола в сообщении, при этом сообщение идентифицирует по меньшей мере одну версию Интернет-протокола, которая авторизована, и дополнительно при этом сообщение идентифицирует по меньшей мере одну версию Интернет-протокола, которая не авторизована;
устанавливают авторизацию безопасности для авторизованной версии Интернет-протокола, при этом авторизация безопасности для авторизованной версии Интернет-протокола подчиняется авторизации безопасности по протоколу обмена ключами в Интернете;
устанавливают защищенный туннель для связи; и обмениваются данными с помощью защищенного туннеля.
8. Устройство межсетевой авторизации, содержащее: передатчик для запрашивания аутентификации из объекта авторизации в системе беспроводной связи; и
приемник для приема аутентификационного сообщения от объекта авторизации, если аутентификация успешна, при этом аутентификационное сообщение содержит авторизацию использовать по меньшей мере одну версию Интернет-протокола, чтобы установить по меньшей мере один защищенный туннель для связи.
приемник для приема аутентификационного сообщения от объекта авторизации, если аутентификация успешна, при этом аутентификационное сообщение содержит авторизацию использовать по меньшей мере одну версию Интернет-протокола, чтобы установить по меньшей мере один защищенный туннель для связи.
9. Устройство по п.8, в котором авторизацией использовать по меньшей мере один Интернет-протокол является авторизованная по IP-версии VSA, отправленная в сообщении RADIUS Access-Accept.
10. Устройство по п.9, дополнительно содержащее: процессор для сохранения локальной политики для авторизации работы в режиме с двумя стеками, причем если авторизованная по IP-версии VSA отсутствует в сообщении RADIUS Access-Accept, функция межсетевого обмена пакетными данными в сети беспроводной связи должна применять локальную политику для авторизации работы в режиме с двумя стеками.
11. Устройство межсетевой авторизации, содержащее:
передатчик для запрашивания работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
приемник для приема авторизации для работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
память для хранения отдельной подчиненной авторизации безопасности для каждой версии Интернет-протокола, при этом подчиненная авторизация безопасности подчиняется авторизации безопасности по протоколу обмена ключами в Интернете;
процессор для установления по меньшей мере одного защищенного туннеля для связи с использованием передатчика; и
передатчик для осуществления доступа одновременно к более чем одной версии Интернет-протокола с помощью по меньшей мере одного защищенного туннеля для связи.
передатчик для запрашивания работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
приемник для приема авторизации для работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
память для хранения отдельной подчиненной авторизации безопасности для каждой версии Интернет-протокола, при этом подчиненная авторизация безопасности подчиняется авторизации безопасности по протоколу обмена ключами в Интернете;
процессор для установления по меньшей мере одного защищенного туннеля для связи с использованием передатчика; и
передатчик для осуществления доступа одновременно к более чем одной версии Интернет-протокола с помощью по меньшей мере одного защищенного туннеля для связи.
12. Устройство по п.11, в котором более чем одна версия Интернет-протокола осуществляет доступ одновременно с помощью одного защищенного туннеля.
13. Устройство по п.11, в котором более чем одна версия Интернет-протокола осуществляет доступ одновременно в отдельных защищенных туннелях.
14. Устройство межсетевой авторизации, содержащее:
передатчик для запрашивания работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
приемник для приема авторизации для одной версии Интернет-протокола в сообщении, при этом сообщение идентифицирует по меньшей мере одну версию Интернет-протокола, которая авторизована, и дополнительно при этом сообщение идентифицирует по меньшей мере одну версию Интернет-протокола, которая не авторизована;
процессор для установления авторизации безопасности для авторизованной версии Интернет-протокола, при этом авторизация безопасности для авторизованной версии Интернет-протокола подчиняется авторизации безопасности по протоколу обмена ключами в Интернете;
память для сохранения авторизации безопасности для авторизованной версии Интернет-протокола;
передатчик для установления защищенного туннеля для связи; и передатчик для обмена данными с помощью защищенного туннеля.
передатчик для запрашивания работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
приемник для приема авторизации для одной версии Интернет-протокола в сообщении, при этом сообщение идентифицирует по меньшей мере одну версию Интернет-протокола, которая авторизована, и дополнительно при этом сообщение идентифицирует по меньшей мере одну версию Интернет-протокола, которая не авторизована;
процессор для установления авторизации безопасности для авторизованной версии Интернет-протокола, при этом авторизация безопасности для авторизованной версии Интернет-протокола подчиняется авторизации безопасности по протоколу обмена ключами в Интернете;
память для сохранения авторизации безопасности для авторизованной версии Интернет-протокола;
передатчик для установления защищенного туннеля для связи; и передатчик для обмена данными с помощью защищенного туннеля.
15. Устройство межсетевой авторизации, содержащее: средство запрашивания аутентификации из объекта авторизации в системе беспроводной связи; и
средство приема аутентификационного сообщения от объекта авторизации, если аутентификация успешна, при этом аутентификационное сообщение содержит авторизацию использовать по меньшей мере одну версию Интернет-протокола, чтобы установить по меньшей мере один защищенный туннель для связи.
средство приема аутентификационного сообщения от объекта авторизации, если аутентификация успешна, при этом аутентификационное сообщение содержит авторизацию использовать по меньшей мере одну версию Интернет-протокола, чтобы установить по меньшей мере один защищенный туннель для связи.
16. Устройство по п.15, в котором авторизацией использовать по меньшей мере один Интернет-протокол, является авторизованная по IP-версии VSA, отправленная в сообщении RADIUS Access-Accept.
17. Устройство по п.16, в котором, если авторизованная по IP-версии VSA отсутствует в сообщении RADIUS Access-Accept, функция межсетевого обмена пакетными данными в сети беспроводной связи должна применять локальную политику для авторизации на работу в режиме с двумя стеками.
18. Устройство межсетевой авторизации, содержащее: средство запрашивания работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
средство приема авторизации для работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
средство установления отдельной подчиненной авторизации безопасности для каждой версии Интернет-протокола, при этом подчиненная авторизация безопасности подчиняется авторизации безопасности по протоколу обмена ключами в Интернете;
средство установления по меньшей мере одного защищенного туннеля для связи; и
средство осуществления доступа одновременно к обеим версиям Интернет-протокола с помощью по меньшей мере одного защищенного туннеля для связи.
средство приема авторизации для работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
средство установления отдельной подчиненной авторизации безопасности для каждой версии Интернет-протокола, при этом подчиненная авторизация безопасности подчиняется авторизации безопасности по протоколу обмена ключами в Интернете;
средство установления по меньшей мере одного защищенного туннеля для связи; и
средство осуществления доступа одновременно к обеим версиям Интернет-протокола с помощью по меньшей мере одного защищенного туннеля для связи.
19. Устройство по п.18, в котором более чем одна версия Интернет-протокола осуществляет доступ одновременно с помощью одного защищенного туннеля.
20. Устройство по п.18, в котором более чем одна версия Интернет-протокола осуществляет доступ одновременно в отдельных защищенных туннелях.
21. Устройство межсетевой авторизации, содержащее: средство запрашивания работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
средство приема авторизации для одной версии Интернет-протокола в сообщении, при этом сообщение идентифицирует по меньшей мере одну версию Интернет-протокола, которая авторизована, и дополнительно при этом сообщение идентифицирует по меньшей мере одну версию Интернет-протокола, которая не авторизована;
средство установления авторизации безопасности для авторизованной версии Интернет-протокола, при этом авторизация безопасности для авторизованной версии Интернет-протокола подчиняется авторизации безопасности по протоколу обмена ключами в Интернете;
средство установления защищенного туннеля для связи; и средство обмена данными с помощью защищенного туннеля.
средство приема авторизации для одной версии Интернет-протокола в сообщении, при этом сообщение идентифицирует по меньшей мере одну версию Интернет-протокола, которая авторизована, и дополнительно при этом сообщение идентифицирует по меньшей мере одну версию Интернет-протокола, которая не авторизована;
средство установления авторизации безопасности для авторизованной версии Интернет-протокола, при этом авторизация безопасности для авторизованной версии Интернет-протокола подчиняется авторизации безопасности по протоколу обмена ключами в Интернете;
средство установления защищенного туннеля для связи; и средство обмена данными с помощью защищенного туннеля.
22. Машиночитаемый носитель, содержащий сохраненные на нем исполняемые компьютером инструкции для межсетевой авторизации, причем инструкции содержат:
инструкции для побуждения компьютера запрашивать аутентификацию из объекта авторизации в системе беспроводной связи; и
инструкции для побуждения компьютера принимать аутентификационное сообщение от объекта авторизации, если аутентификация успешна, при этом аутентификационное сообщение содержат авторизацию использовать по меньшей мере одну версию Интернет-протокола, чтобы установить по меньшей мере один защищенный туннель для связи.
инструкции для побуждения компьютера запрашивать аутентификацию из объекта авторизации в системе беспроводной связи; и
инструкции для побуждения компьютера принимать аутентификационное сообщение от объекта авторизации, если аутентификация успешна, при этом аутентификационное сообщение содержат авторизацию использовать по меньшей мере одну версию Интернет-протокола, чтобы установить по меньшей мере один защищенный туннель для связи.
23. Машиночитаемый носитель, содержащий сохраненные на нем исполняемые компьютером инструкции для межсетевой авторизации, причем инструкции содержат:
инструкции для побуждения компьютера запрашивать работу в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
инструкции для побуждения компьютера принимать авторизацию для работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
инструкции для побуждения компьютера устанавливать отдельную подчиненную авторизацию безопасности для каждой версии Интернет- протокола, при этом подчиненная авторизация безопасности подчиняется авторизации безопасности по протоколу обмена ключами в Интернете;
инструкции для побуждения компьютера устанавливать по меньшей мере один защищенный туннель для связи; и
инструкции для побуждения компьютера осуществлять доступ одновременно к обеим версиям Интернет-протокола с помощью по меньшей мере одного защищенного туннеля для связи.
инструкции для побуждения компьютера запрашивать работу в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
инструкции для побуждения компьютера принимать авторизацию для работы в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
инструкции для побуждения компьютера устанавливать отдельную подчиненную авторизацию безопасности для каждой версии Интернет- протокола, при этом подчиненная авторизация безопасности подчиняется авторизации безопасности по протоколу обмена ключами в Интернете;
инструкции для побуждения компьютера устанавливать по меньшей мере один защищенный туннель для связи; и
инструкции для побуждения компьютера осуществлять доступ одновременно к обеим версиям Интернет-протокола с помощью по меньшей мере одного защищенного туннеля для связи.
24. Машиночитаемый носитель, содержащий сохраненные на нем исполняемые компьютером инструкции для межсетевой авторизации, причем инструкции содержат:
инструкции для побуждения компьютера запрашивать работу в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
инструкции для побуждения компьютера принимать авторизацию для одной версии Интернет-протокола в сообщении, при этом сообщение идентифицирует по меньшей мере одну версию Интернет-протокола, которая авторизована, и дополнительно при этом сообщение идентифицирует по меньшей мере одну версию Интернет-протокола, которая не авторизована;
инструкции для побуждения компьютера устанавливать авторизацию безопасности для авторизованной версии Интернет-протокола, при этом авторизация безопасности для авторизованной версии Интернет-протокола подчиняется авторизации безопасности по протоколу обмена ключами в Интернете;
инструкции для побуждения компьютера устанавливать защищенный туннель для связи; и
инструкции для побуждения компьютера обмениваться данными с использованием защищенного туннеля.
инструкции для побуждения компьютера запрашивать работу в режиме с двумя стеками с использованием более чем одной версии Интернет-протокола;
инструкции для побуждения компьютера принимать авторизацию для одной версии Интернет-протокола в сообщении, при этом сообщение идентифицирует по меньшей мере одну версию Интернет-протокола, которая авторизована, и дополнительно при этом сообщение идентифицирует по меньшей мере одну версию Интернет-протокола, которая не авторизована;
инструкции для побуждения компьютера устанавливать авторизацию безопасности для авторизованной версии Интернет-протокола, при этом авторизация безопасности для авторизованной версии Интернет-протокола подчиняется авторизации безопасности по протоколу обмена ключами в Интернете;
инструкции для побуждения компьютера устанавливать защищенный туннель для связи; и
инструкции для побуждения компьютера обмениваться данными с использованием защищенного туннеля.
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US83921206P | 2006-08-21 | 2006-08-21 | |
US60/839,212 | 2006-08-21 | ||
US11/840,735 US8978103B2 (en) | 2006-08-21 | 2007-08-17 | Method and apparatus for interworking authorization of dual stack operation |
US11/840,735 | 2007-08-17 |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2009110196A RU2009110196A (ru) | 2010-09-27 |
RU2424628C2 true RU2424628C2 (ru) | 2011-07-20 |
Family
ID=39107603
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2009110196/09A RU2424628C2 (ru) | 2006-08-21 | 2007-08-21 | Способ и устройство межсетевой авторизации для работы в режиме с двумя стеками |
Country Status (9)
Country | Link |
---|---|
US (1) | US9548967B2 (ru) |
EP (1) | EP2055078B1 (ru) |
JP (3) | JP5133992B2 (ru) |
KR (1) | KR100973118B1 (ru) |
CN (1) | CN105656901B (ru) |
BR (1) | BRPI0715736B1 (ru) |
CA (1) | CA2661328C (ru) |
RU (1) | RU2424628C2 (ru) |
WO (1) | WO2008024782A2 (ru) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2612615C2 (ru) * | 2012-09-29 | 2017-03-09 | Хуавей Текнолоджиз Ко., Лтд. | Способ, устройство и система выделения адреса |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8769257B2 (en) * | 2008-12-23 | 2014-07-01 | Intel Corporation | Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing |
US9215220B2 (en) | 2010-06-21 | 2015-12-15 | Nokia Solutions And Networks Oy | Remote verification of attributes in a communication network |
CA2801960C (en) * | 2010-09-17 | 2018-02-13 | Nokia Siemens Networks Oy | Remote verification of attributes in a communication network |
JP2016063234A (ja) * | 2014-09-12 | 2016-04-25 | 富士通株式会社 | 通信装置の通信制御方法,通信装置,通信制御システム |
US10805298B2 (en) * | 2015-12-18 | 2020-10-13 | Juniper Networks, Inc. | Result reporting for authentication, authorization and accounting protocols |
US9877198B1 (en) * | 2016-09-08 | 2018-01-23 | Alcatel-Lucent Usa Inc. | Network access backoff mechanism |
US11463527B2 (en) * | 2016-11-11 | 2022-10-04 | Telefonaktiebolaget L M Ericsson (Publ) | User plane model for non-3GPP access to fifth generation core network |
WO2020026669A1 (ja) * | 2018-07-31 | 2020-02-06 | パナソニックIpマネジメント株式会社 | 通信システム、暗号鍵配布方法、管理通信装置、及び、通信装置 |
US11863514B2 (en) * | 2022-01-14 | 2024-01-02 | Vmware, Inc. | Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs |
Family Cites Families (50)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6122246A (en) | 1996-08-22 | 2000-09-19 | Tellabs Operations, Inc. | Apparatus and method for clock synchronization in a multi-point OFDM/DMT digital communications system |
EP0944275B1 (en) | 1998-03-19 | 2005-09-14 | Hitachi, Ltd. | Broadcast information delivering system |
JP3822997B2 (ja) | 1998-03-19 | 2006-09-20 | 株式会社日立製作所 | 放送情報配信システム |
US6721337B1 (en) | 1999-08-24 | 2004-04-13 | Ibiquity Digital Corporation | Method and apparatus for transmission and reception of compressed audio frames with prioritized messages for digital audio broadcasting |
CA2442711A1 (en) | 2001-04-06 | 2002-10-17 | Kuntal Chowdhury | Method and system for discovering an address of a name server |
US7023928B2 (en) | 2001-08-06 | 2006-04-04 | Lucent Technologies Inc. | Synchronization of a pilot assisted channel estimation orthogonal frequency division multiplexing system |
KR100790114B1 (ko) | 2002-03-16 | 2007-12-31 | 삼성전자주식회사 | 직교주파수 분할다중 접속 시스템에서 적응적 파일럿반송파 할당 방법 및 장치 |
JP2004056489A (ja) | 2002-07-19 | 2004-02-19 | Sharp Corp | 基地局、移動局及びコンテンツ配信システム |
US8077681B2 (en) * | 2002-10-08 | 2011-12-13 | Nokia Corporation | Method and system for establishing a connection via an access network |
KR100464319B1 (ko) | 2002-11-06 | 2004-12-31 | 삼성전자주식회사 | 차세대 이동통신시스템용 네트워크 구조 및 이를 이용한데이타 통신방법 |
US7284062B2 (en) | 2002-12-06 | 2007-10-16 | Microsoft Corporation | Increasing the level of automation when provisioning a computer system to access a network |
US20040184425A1 (en) | 2003-03-17 | 2004-09-23 | Inventec Appliances Corp. | Method for accessing data from a company over the internet by cellular phone |
KR20040082655A (ko) * | 2003-03-19 | 2004-09-30 | 삼성전자주식회사 | 이중 스택 변환 메커니즘을 이용한 모바일 아이피 통신시스템 및 방법 |
ATE329443T1 (de) | 2003-03-27 | 2006-06-15 | Motorola Inc | Kommunikation zwischen einem privatem netzwerk und einem mobilem endgerät |
US7746891B2 (en) * | 2003-05-29 | 2010-06-29 | Kddi Corporation | Enabling mobile IPv6 communication over a network containing IPv4 components using ISATAP |
EP1489807B1 (en) | 2003-06-11 | 2007-11-14 | NTT DoCoMo, Inc. | OFDM signal frame generator with adaptive pilot and data arrangement |
KR100505968B1 (ko) | 2003-08-27 | 2005-08-03 | 삼성전자주식회사 | 직교분할다중접속에서의 무선망 구축 방법 및직교분할다중접속 방식을 채용한 단말 |
RU2316126C2 (ru) | 2003-08-29 | 2008-01-27 | Нокиа Корпорейшн | Персональный удаленный межсетевой экран |
US20050099976A1 (en) * | 2003-09-23 | 2005-05-12 | Shu Yamamoto | Enabling mobile IPv6 communication over a network containing IPv4 components using a tunnel broker model |
US7242722B2 (en) | 2003-10-17 | 2007-07-10 | Motorola, Inc. | Method and apparatus for transmission and reception within an OFDM communication system |
US7660275B2 (en) | 2003-10-24 | 2010-02-09 | Qualcomm Incorporated | Local and wide-area transmissions in a wireless broadcast network |
EP1542488A1 (en) | 2003-12-12 | 2005-06-15 | Telefonaktiebolaget LM Ericsson (publ) | Method and apparatus for allocating a pilot signal adapted to the channel characteristics |
WO2005069577A1 (en) | 2004-01-15 | 2005-07-28 | Interactive People Unplugged Ab | Device to facilitate the deployment of mobile virtual private networks for medium/large corporate networks |
US7046647B2 (en) * | 2004-01-22 | 2006-05-16 | Toshiba America Research, Inc. | Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff |
KR100929091B1 (ko) | 2004-02-14 | 2009-11-30 | 삼성전자주식회사 | 이동통신 시스템에서 제어 정보 전송 장치 및 방법 |
US8582596B2 (en) | 2004-06-04 | 2013-11-12 | Qualcomm Incorporated | Coding and modulation for broadcast and multicast services in a wireless communication system |
US7710964B2 (en) * | 2004-06-22 | 2010-05-04 | Nokia Corporation | Discovering a network element in a communication system |
GB2415872B (en) | 2004-06-30 | 2007-09-05 | Samsung Electronics Co Ltd | Multicarrier transmission systems |
US8005093B2 (en) * | 2004-09-23 | 2011-08-23 | Nokia Corporation | Providing connection between networks using different protocols |
US20060067284A1 (en) * | 2004-09-28 | 2006-03-30 | Utstarcom, Inc. | Prepaid internet protocol-based services facilitation method and apparatus |
EP1807993A1 (en) | 2004-11-03 | 2007-07-18 | Qinetiq Limited | Wireless link communications between computer and receiving network each running vpn security software and wireless-link security software |
KR100735231B1 (ko) | 2004-11-11 | 2007-07-03 | 삼성전자주식회사 | 이동통신 시스템에서 파일럿 톤 배치 방법 및 장치 |
KR100666987B1 (ko) * | 2004-11-15 | 2007-01-10 | 삼성전자주식회사 | 이중스택 전환 메커니즘을 이용한 IPv4-IPv6 전환시스템 및 그 방법 |
US20060130136A1 (en) | 2004-12-01 | 2006-06-15 | Vijay Devarapalli | Method and system for providing wireless data network interworking |
US8831115B2 (en) | 2004-12-22 | 2014-09-09 | Qualcomm Incorporated | MC-CDMA multiplexing in an orthogonal uplink |
KR100608838B1 (ko) | 2004-12-30 | 2006-08-08 | 엘지전자 주식회사 | 이동 통신 단말기의 pdp 컨텍스트 설정 및 해제 방법 |
KR100866210B1 (ko) | 2005-01-03 | 2008-10-30 | 삼성전자주식회사 | 무선 통신 시스템에서 동일 주파수를 이용한 서비스 제공 시스템 및 방법 |
KR100594086B1 (ko) | 2005-01-04 | 2006-06-30 | 삼성전자주식회사 | 채널 추정을 위한 적응적 파일럿 할당 방법 및 장치 |
US9461859B2 (en) | 2005-03-17 | 2016-10-04 | Qualcomm Incorporated | Pilot signal transmission for an orthogonal frequency division wireless communication system |
US9143305B2 (en) | 2005-03-17 | 2015-09-22 | Qualcomm Incorporated | Pilot signal transmission for an orthogonal frequency division wireless communication system |
EP1705859A1 (en) | 2005-03-24 | 2006-09-27 | Orange SA | Packet radio network and method for activation of a packet data protocol context |
US20060280113A1 (en) | 2005-06-10 | 2006-12-14 | Huo David D | Method and apparatus for dynamic allocation of pilot symbols |
EP2790331B1 (en) | 2005-08-24 | 2019-01-09 | Wi-Fi One, LLC | MIMO-OFDM transmission device and MIMO-OFDM transmission method |
CN101390298B (zh) | 2005-09-28 | 2011-12-14 | Lg电子株式会社 | 用于信道估计的方法和装置 |
US20070189219A1 (en) | 2005-11-21 | 2007-08-16 | Mruthyunjaya Navali | Internet protocol tunneling on a mobile network |
US20070248037A1 (en) | 2006-04-19 | 2007-10-25 | Motorola, Inc. | Apparatus and method for frequency hopping in a broadcast network |
US7684512B2 (en) | 2006-04-21 | 2010-03-23 | Alcatel-Lucent Usa Inc. | Method of scheduling mobile user transmissions and methods of decoding mobile user transmissions |
WO2007127450A2 (en) | 2006-04-26 | 2007-11-08 | Beceem Communications, Inc. | A method of training a communication system |
US8978103B2 (en) | 2006-08-21 | 2015-03-10 | Qualcomm Incorporated | Method and apparatus for interworking authorization of dual stack operation |
US8174995B2 (en) | 2006-08-21 | 2012-05-08 | Qualcom, Incorporated | Method and apparatus for flexible pilot pattern |
-
2007
- 2007-08-21 EP EP07841174.1A patent/EP2055078B1/en active Active
- 2007-08-21 BR BRPI0715736A patent/BRPI0715736B1/pt active IP Right Grant
- 2007-08-21 CN CN201610016421.2A patent/CN105656901B/zh active Active
- 2007-08-21 JP JP2009525738A patent/JP5133992B2/ja active Active
- 2007-08-21 KR KR1020097005875A patent/KR100973118B1/ko active IP Right Grant
- 2007-08-21 WO PCT/US2007/076432 patent/WO2008024782A2/en active Application Filing
- 2007-08-21 RU RU2009110196/09A patent/RU2424628C2/ru active
- 2007-08-21 CA CA2661328A patent/CA2661328C/en active Active
-
2011
- 2011-12-21 JP JP2011280377A patent/JP2012109994A/ja not_active Withdrawn
-
2014
- 2014-11-10 JP JP2014228452A patent/JP6067651B2/ja not_active Expired - Fee Related
-
2015
- 2015-02-13 US US14/621,453 patent/US9548967B2/en active Active
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2612615C2 (ru) * | 2012-09-29 | 2017-03-09 | Хуавей Текнолоджиз Ко., Лтд. | Способ, устройство и система выделения адреса |
US9882866B2 (en) | 2012-09-29 | 2018-01-30 | Huawei Technologies Co., Ltd. | Address allocating method, apparatus, and system |
Also Published As
Publication number | Publication date |
---|---|
EP2055078A2 (en) | 2009-05-06 |
EP2055078B1 (en) | 2017-03-08 |
JP5133992B2 (ja) | 2013-01-30 |
JP2010502119A (ja) | 2010-01-21 |
KR20090042867A (ko) | 2009-04-30 |
CN105656901A (zh) | 2016-06-08 |
BRPI0715736B1 (pt) | 2020-02-04 |
WO2008024782A3 (en) | 2008-05-29 |
CA2661328A1 (en) | 2008-02-28 |
US20150207779A1 (en) | 2015-07-23 |
JP2012109994A (ja) | 2012-06-07 |
BRPI0715736A2 (pt) | 2013-09-24 |
JP2015065677A (ja) | 2015-04-09 |
US9548967B2 (en) | 2017-01-17 |
JP6067651B2 (ja) | 2017-01-25 |
RU2009110196A (ru) | 2010-09-27 |
CA2661328C (en) | 2014-09-02 |
CN105656901B (zh) | 2019-10-01 |
KR100973118B1 (ko) | 2010-07-29 |
WO2008024782A2 (en) | 2008-02-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2424628C2 (ru) | Способ и устройство межсетевой авторизации для работы в режиме с двумя стеками | |
CA2482648C (en) | Transitive authentication authorization accounting in interworking between access networks | |
US8978103B2 (en) | Method and apparatus for interworking authorization of dual stack operation | |
US20030028763A1 (en) | Modular authentication and authorization scheme for internet protocol | |
WO2003077572A1 (en) | Accessing cellular networks from non-native local networks | |
US20070022476A1 (en) | System and method for optimizing tunnel authentication procedure over a 3G-WLAN interworking system | |
US8769281B2 (en) | Method and apparatus for securing communication between a mobile node and a network | |
WO2006003631A1 (en) | Domain name system (dns) ip address distribution in a telecommunications network using the protocol for carrying authentication for network access (pana) | |
Sharma et al. | Improved IP multimedia subsystem authentication mechanism for 3G-WLAN networks | |
US20020178356A1 (en) | Method for setting up secure connections | |
KR20040001329A (ko) | 공중 무선랜 서비스를 위한 망 접속 방법 | |
Ventura | Diameter: Next generations AAA protocol | |
KR100527632B1 (ko) | Ad-hoc 네트워크의 게이트웨이에서 사용자 인증시스템 및 그 방법 | |
TWI448128B (zh) | 用於雙堆疊操作互通授權的方法及裝置 | |
KR102558364B1 (ko) | 5g lan 서비스 제공 방법 | |
Xenakis et al. | Alternative Schemes for Dynamic Secure VPN Deployment in UMTS |