Nothing Special   »   [go: up one dir, main page]

DE602004007708T2 - Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke - Google Patents

Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke Download PDF

Info

Publication number
DE602004007708T2
DE602004007708T2 DE602004007708T DE602004007708T DE602004007708T2 DE 602004007708 T2 DE602004007708 T2 DE 602004007708T2 DE 602004007708 T DE602004007708 T DE 602004007708T DE 602004007708 T DE602004007708 T DE 602004007708T DE 602004007708 T2 DE602004007708 T2 DE 602004007708T2
Authority
DE
Germany
Prior art keywords
user
network
networks
authentication
authorization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE602004007708T
Other languages
English (en)
Other versions
DE602004007708D1 (de
Inventor
David Somerset Benenati
Peretz Moshes Englewood Feder
Nancy Yushan Morristown Lee
Silvia Middleleaze Martin-Leon
Reuven Berkeley Heights Shapira
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia of America Corp
Original Assignee
Lucent Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lucent Technologies Inc filed Critical Lucent Technologies Inc
Publication of DE602004007708D1 publication Critical patent/DE602004007708D1/de
Application granted granted Critical
Publication of DE602004007708T2 publication Critical patent/DE602004007708T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Communication Control (AREA)

Description

  • HINTERGRUND DER ERFINDUNG
  • Erfindungsgebiet
  • Die vorliegende Erfindung betrifft Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unabhängige Netze mit ungleichen Zugangstechnologien.
  • Stand der Technik
  • Zu den Benutzern hochratiger Paketdatendienste können Benutzer gehören, die, obwohl sie stationär sind, während sie verbunden sind, mobil (d.h. von unterschiedlichen Standorten aus verbindbar) sind, wie auch Benutzer, die sich bewegen und dabei verbunden sind. Einige Zugangstechnologien (z.B. IEEE 802.11b) konzentrieren sich auf relativ stationäre aber mobile drahtlose Benutzer in relativ kleinen (städtischen) Versorgungsbereichen. Auf diesen Zugangstechnologien basierende Netze oder Kommunikationssysteme können als drahtlose LAN (Wireless LAN-WLAN) bezeichnet werden. Andere drahtlose Technologien wie solche, die CDMA-Technologien (Code Division Multiple Access) einsetzen, sind typischerweise für Weitverkehrsversorgung ausgelegt und dienen Datenbenutzern, die sich mit hohen Geschwindigkeiten (z.B. in einem Fahrzeug oder Zug) über große Entfernungen (zwischen Städten, über Land, über den Ozean hinweg) bewegen können.
  • Systeme mit Weitverkehrstechnologien wie beispielsweise GPRS (General Packet Radio Service), CDMA2000 oder UMTS (Universal Mobile Telecommunication System) können allgemein als 2.5 G- oder 3 G-Systeme bezeichnet werden. Drahtlose 2.5 G- und 3 G-Kommunikationssysteme (dritte Generation) führen gegenwärtig Technologien ein, damit sie spektral wirkungsvoll sein können und dabei Kapazität und unterstützende Datendienste vermehren. Das Ergebnis dieser Bemühungen war die Entwicklung beispielsweise der Standards 3 G-1x, 1xEV-DO und 1xEV-DV. Auf ähnliche Weise sind durch den UMTS-Standard mehrere fortschrittliche Technologien oder Erweiterungen als Teil der HSDPA-Spezifikation (High Speed Downlink Packet Access) eingeführt worden, um Datenbenutzer zu berücksichtigen, die bedeutsame Entfernungen mit hohen Geschwindigkeiten zurücklegen. Die durch die Anbeter von 2.5 G/3 G-Weitverkehrs-Zellularnetzen gegenwärtig erreichbaren Datenraten sind jedoch typischerweise nicht so hoch wie in WLAN erreichbare Datenraten.
  • Da 2.5 G/3 G-Systeme (z.B. GPRS, CDMA, UMTS) und WLAN (z.B. IEEE 802.11b implementierende Systeme) sich gegenseitig ergänzende Stärken aufweisen, können Benutzer demnach wünschen, beide zu benutzen. Ein Bereich, auf dem der Wunsch, beide Systeme zu benutzen, einen Einfluß hat, ist die Authentifizierung und Berechtigung (AA – Authentication and Authorization), um Zugang zu beiden Netzen zu erlangen. Authentifizierung ist ein Verfahren, mit dem ein Netz oder System überprüft, daß ein zugreifender Benutzer oder Teilnehmer derjenige ist, der er angibt, zu sein. Berechtigung ist ein Verfahren zum Überprüfen, daß ein bestimmter Teilnehmer ein gültiges Konto aufweist, Dienst bezahlen kann und/oder berechtigt ist, einen bestimmten Dienst zu benutzen. Gegenwärtig erfordert ein Benutzer jedoch getrennte Konten und Berechtigungsreferenzen für jedes System, auf das zugegriffen wird. So ist ein nahtloser Übergang des Benutzers zwischen Netzen nicht möglich, da der Benutzer (bzw. die Klientensoftware des Benutzers) wiederholt authentifizieren und Berechtigung erhalten muß, um Zugang über die mehreren ungleichen Netze zu erlangen.
  • In Benenati D et al.: "A seamless Mobile VPN Data Solution for CDMA2000, UMTS and WLAN Users" (Nahtlose Lösung für mobile VPN-Daten für CDMA2000, UMTS und WLAN-Benutzer), Bell Labs Technical Journal, Band 7, Nr. 2, 2. Dezember 2002, Seiten 143–165, wird Teilnehmerauthentifizierung unter Verwendung einer gemeinsamen Menge von Authentifizierungsreferenzen für zwei unabhängige Netze offenbart und richtet sich auf ein Netzanpassungsverfahren zur Bereitstellung von Kommunikationen zwischen zwei unabhängigen Netzen. Ein Benutzer kann beispielsweise zwischen zwei Netzen wechseln, während Sicherheit durch Authenfizieren eines Benutzerversuchs zum Zugreifen auf ein Zielnetz aufrechterhalten wird.
  • Ein Beweis dafür ist die PCT-Veröffentlichung WO 01/76134 A1 von Haverinen et al. Haverinen et al. offenbaren ein Authentifizierungsverfahren zur Authentifizierung eines Mobilknotens für ein Paketdatennetz, in dem sowohl für den Mobilknoten als auch das Paketdatennetz ein gemeinsames Geheimnis benutzt wird. Haverinen et al. offenbaren hauptsächlich, daß das Paketdatennetz Authenfizierungstriplets zum Bilden eines Sitzungsschlüssels unter Verwendung einer Teilnehmeridentität des Mobilknotens benutzt, der Mobilknoten unter Verwendung von Abfragen von dem Paketdatennetz weitere Authenfizierungstriplets bildet und die Weiterleitung kryptographischer Antworten zwischen dem Paketdatennetz und dem Mobilknoten (Haverinen et al., Zusammenfassung)
  • Kurze Beschreibung der Erfindung
  • Ein erfindungsgemäßes Verfahren entspricht dem unabhängigen Anspruch. Bevorzugte Ausführungsformen sind in den abhängigen Ansprüchen aufgeführt.
  • Verfahren zur Bereitstellung gemeinsamer Authentifizierung und Berechtigung (AA – Authentication and Authorization) zwischen unabhängigen Netzen mit ungleichen Zugangstechnologien können einen nahtlosen Benutzerübergang zwischen den Netzen ermöglichen. Es kann eine Menge von AA-Referenzen von einem Benutzer empfangen werden, der versucht, Zugang zu einem der Netze zu erlangen, und es kann zur Überprüfung der Menge von AA-Referenzen eine Teilnehmerdatenbank eines anderen der Netze benutzt werden. Es kann ein den Netzen gemeinsames Kommunikationsprotokoll benutzt werden. Zusätzlich kann der Benutzer eine einzelne Menge von AA-Referenzen (Authentication and Authorization) benutzen, die über mehrere Kommunikationsprotokollschichten hinweg benutzt werden können. Weiterhin kann ein Benutzer beim Wechseln über zwei oder mehr Netze eine einzelne AA-Operation (Authentication and Authorization) durch Einsammeln von Schlüsselmaterial des Benutzers während einer AA-Abfrage- und Antwortsitzung auf einer Sicherungsschicht durchführen. Das eingesammelte Material kann für eine AA-Abfrage auf einer oberen Netzschicht oder einem anderen Netz bei Übergang des Benutzer zwischen Netzen benutzt werden.
  • In einer weiteren beispielhaften Ausführungsform kann die Menge von AA-Referenzen des Benutzers als Teil einer Authentifizierungsanforderung von einem besuchten Netz an einen unabhängigen Proxy-AAA-Server weitergeleitet werden und die Authentifizierungsanforderung vom Proxy-AAA-Server kann zum Zellulardienstanbieter des Benutzers weitergeleitet werden. Der Zellulardienstanbieter des Benutzers kann die Menge von AA-Referenzen des Benutzers als Teil einer Authentifizierungsanforderung direkt zum privaten Heimatnetz des Benutzers weiterleiten oder kann die Anforderung stellvertretend zu einem anderen Proxy-AAA-Server leiten, der die die Menge von AA-Referenzen des Benutzers enthaltende Anforderung wiederum an das private Heimatnetz des Benutzers weiterleitet.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Beispielhafte Ausführungsformen der vorliegenden Erfindung werden aus der hier unten erteilten ausführlichen Beschreibung und den beiliegenden Zeichnungen verständlicher, in denen gleiche Elemente durch gleiche Bezugsziffern dargestellt sind, die nur beispielhafterweise erteilt werden und daher für die beispielhaften Ausführungsformen der vorliegenden Erfindung nicht begrenzend wirken und in denen:
  • 1 eine Netzkonfiguration zwischen einem Benutzer und dem Heimatnetz des Benutzers gemäß einer beispielhaften Ausführungsform der Erfindung darstellt;
  • 2 ein Flußdiagramm eines Verfahrens gemäß einer beispielhaften Ausführungsform der Erfindung ist;
  • 3 ein Flußdiagramm eines Verfahrens gemäß einer weiteren beispielhaften Ausführungsform der Erfindung ist; und
  • 4 eine Netzkonfiguration zwischen einem Benutzer und dem Heimatnetz des Benutzers gemäß einer weiteren beispielhaften Ausführungsform der Erfindung darstellt.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Obwohl Grundsätze der vorliegenden Erfindung im Zusammenhang mit der Integration von zellularen drahtlosen Weitverkehrskommunikationssystemen wie 2.5 G/3 G-Systemen mit WLAN-Systemen (Wireless Local Area Network) für gemeinsame Authentifizierung und Berechtigung (AA – Authentication and Authorization) beschrieben sind und in diesem beispielhaften Zusammenhang beschrieben werden, ist zu bemerken, daß die hier gezeigten und beschriebenen beispielhaften Ausführungsformen nur Erläuterungszwecken dienen sollen und auf keine Weise begrenzt sein sollen. Als solche werden dem Fachmann verschiedene Abänderungen zur Anwendung auf andere Übertragungssysteme offenbar sein und werden durch die hiesige Lehre in Betracht gezogen. Beispielsweise könnten die beispielhaften Ausführungsformen zum Integrieren beliebiger zwei Systeme für gemeinsame AA konfiguriert sein, wo das System 1 und das System 2 unterschiedliche Zugangsnetztechnologien sind, d.h. das System 1 könnte ein drahtgebundenes xDSL-System sein und das System 2 könnte ein 3 G-CDMA2000-System sein.
  • Wenn sie hier benutzt werden, können die jeweiligen Begriffe Basisstation, Zugangsnetz, Funkzugangsnetz (RAN – Radio access Netzwork) oder Funknetz (RN – Radio Network), Systemeinrichtung oder Node-B, als Beispiel, synonym sein. Jeder Begriff kann eine Einrichtung beschreiben, die Datenkonnektivität zwischen einem Paketdatennetz (PDN) wie beispielsweise dem Internet und beispielsweise einer oder mehreren Mobilstationen bereitstellt. Zusätzlich können die Begriffe Mobilstation, Mobilbenutzer, Benutzer, Benutzereinrichtung (UE – User Equipment), Handy, Fernstation, Mobilteilnehmer oder Teilnehmer, sofern sie hier benutzt werden, als synonym angesehen werden und können einen entfernten Benutzer von drahtlosen Ressourcen in einem drahtlosen Kommunikationsnetz oder eine beispielsweise Datenkonnektivität für einen Benutzer bereitstellendes Gerät beschreiben.
  • Beispielhafte Ausführungsformen der vorliegenden Erfindung richten sich auf Verfahren zur Bereitstellung gemeinsamer Authentifizierung und Berechtigung (AA – Authentication and Authorization) zwischen unabhängigen Netzen. In einer beispielhaften Ausführungsform wird eine Menge von AA-Referenzen von einem Benutzer empfangen, der versucht, Zugang zu einem von mindestens zwei Netzen zu erlangen, und es wird auf eine Teilnehmerdatenbank im Besitz eines der zwei Netze zugegriffen, um die Menge von AA-Referenzen zu überprüfen.
  • Eine weitere beispielhafte Ausführungsform benutzt ein den zwei Netzen gemeinsames Kommunikationsprotokoll zum Authentifizieren und Berechtigen der AA-Referenzen des Benutzers. Eine weitere beispielhafte Ausführungsform richtet sich auf ein Verfahren, mit dem ein Benutzer auf zwei oder mehr unabhängige Netze zugreift, wobei der Benutzer eine einzelne Menge von über mehrere Kommunikationsprotokollschichten hinweg benutzbaren Authentifizierungs- und Berechtigungs-(AA-)Referenzen zum Zugreifen auf eines der Netze benutzt. Eine weitere beispielhafte Ausführungsform richtet sich auf ein Verfahren, mit dem ein Benutzer eine einzelne AA-Operation (Authentication and Authorization) beim Bereichswechsel über mindestens zwei unabhängige und ungleiche Zugangsnetze durchführt, wobei Benutzerauthentifizierungs- und Schlüsselmaterial während einer AA-Abfrage auf einer Sicherungsschicht eingesammelt wird und das eingesammelte Schlüsselmaterial beim Wechsel des Benutzers von einem Zugangsnetz zu einem anderen Zugangsnetz für eine AA-Abfrage auf einer oberen Netzschicht übermittelt wird.
  • 1 zeigt eine Netzkonfiguration zwischen einem Benutzer und dem Heimatnetz des Benutzers gemäß einer beispielhaften Ausführungsform der Erfindung. Bezugnehmend auf 1 kommuniziert ein Benutzer 110 über eine Strecke 115 mit einem Funknetz 120, das einen bestimmten Sektor bedient, in dem sich beispielsweise der Benutzer 110 befindet. Der Benutzer 110 kann eine Authentifizierungsanforderungsnachricht zum Zugreifen auf das Heimatnetz des Benutzers 110 senden. In der 1 bildet das RN 120 einen Teil eines besuchten Zugangsanbieternetzes 130.
  • Ein V-AAA-Server (Visited Authentication, Authorization and Accounting server) 132 ist der AAA-Server, der im besuchten Zugangsanbieternetz 130 residiert. Der besuchte Diensteanbieter bietet Zugangsdienste für einen Benutzer durch Herstellung einer Dienstvereinbarung mit einem Heimatdienstanbieter. In der 1 kann das besuchte Zugangsanbieternetz 130 beispielsweise als besuchtes Netz eines WLAN-Systems verkörpert sein.
  • Der V-AAA-Server 132 kann als RADIUS-Server (Remote Authentication Dial-In User Service) verkörpert sein, der beispielsweise gemäß dem RADIUS-Protokoll fungiert; die beispielhaften Ausführungsformen sind jedoch nicht darauf begrenzt, da der V-AAA-Server 132 für den Betrieb auf Grundlage anderer Protokolle wie beispielsweise des Diameter-Protokolls konfiguriert sein kann. Diese Protokolle sollen einen AAA-Rahmen für Anwendungen wie beispielsweise Netzzugriff, IP-Mobilität usw. bereitstellen. Der V-AAA 132 kann mit einem Router 135 wie beispielsweise einem PDSN-Knoten (packet data serving node – Paketdaten-Abnehmerknoten) oder einem GGSN-Knoten (gateway GPRS support node – GPRS-Zugangsnetzknoten) kommunizieren.
  • Im MIP-Protokoll (Mobile Internet Protocol) dient ein Router im besuchten Netz als fremder Mobilitätsagent für den mobilen Knoten. Nach Spezifikation im IETF (Internet Engineering Task Force) RFC 3344 kann beispielsweise ein Fremdagent (FA – Foreign Agent) in Verbindung mit einer anderen Art von als Heimatagent (HA – Home Agent) bekannten Mobilitätsagent zur Unterstützung von Internet-Verkehrsweiterleitung für ein Gerät arbeiten, das von einem beliebigen anderen Ort als sein Heimatnetz an das Internet angeschlossen ist. Vom HA werden für den mobilen Knoten bestimmte Datagramme (Pakete) zu einer Gastadresse getunnelt, die entweder die IP-Adresse für den FA oder eine durch irgendein externes Mittel wie beispielsweise ein DHCP (Dynamic Host Configuration Protocol) erfaßte IP- Adresse ist. Vom FA werden die Pakete enttunnelt und an den mobilen Knoten abgegeben.
  • Ein PDSN befindet sich beispielsweise in jedem CDMA2000-Datennetz. Für mobile Teilnehmer ist ein PDSN der Eintrittspunkt in das drahtlose Paketdatennetz. Vom PDSN werden zwei Grundfunktionen durchgeführt: (1) Pakete mit der Mobilstation über das Funknetz ausgetauscht; und (2) Pakete mit anderen IP-Netzen ausgetauscht. Zur Durchführung dieser Funktionen kann das PDSN an einen (häufig eine Paketsteuerungsfunktion bzw. PCF – Packet Control Funktion genannten) Funknetzknoten angeschlossen sein, mit einem (zur Benutzerauthentifizierung, Berechtigung und Sitzungsberechnung benutzten) RADIUS-AAA-Server und mit HA beispielsweise für mobile IP-Anwendungen. Ein GGSN ist ein Gateway in einem UMTS-Netz, der mobilen Benutzern Zugriff auf ein öffentliches Datennetz (PDN – public data network) oder angegebene private IP-Netze erlaubt. Die durch den GGSN durchgeführten Funktionen sind den durch den PDSN durchgeführten analog. während ein PDSN FA-Funktionalität enthält, kann der GGSN sie enthalten oder nicht.
  • Im Fall von mobiler IP kann der einen FA enthaltende Router 135 und der HA 155 über das Internet 140 kommunizieren, während der V-AAA-Server 132 und ein H-AAA-Server (Home Authentication Authorization and Accounting Server) 152 über einen Proxy-AAA-Server 145 kommunizieren kann. Es ist eine Funktion des Proxy-AAA-Servers 145, den H-AAA-Server 152 des Benutzers 110 zu finden. Wie ausführlicher unten besprochen wird, kann der H-AAA-Server 152 eine LDAP-Datenbank (Lightweight Directory Access Protocol) 156 genannte Teilnehmerdatenbank besitzen. Die LDAP-Datenbank 156 kann sowohl vom Heimatnetz 150 als auch dem besuchten Netz 130 zur Authentifizierung und Berechtigung (AA – Authentication and Authorization) benutzt werden.
  • Der Proxy-AAA-Server 145 kann nützlich sein, da das besuchte Netz 130 möglicherweise die Heimatdomäne des Benutzers nicht erkennt. Beispielsweise erkennt ein ISP (besuchtes Netz 130) in Australien möglicherweise nicht ein durch die Benutzergebietskennung user@verizon.com angezeigtes Verizon-Netz und leitet daher die Gebietskennungsinformationen zu einem Proxy-AAA-Server weiter, so daß der Proxy-AAA-Server 145 die Anforderung an das richtige Heimatnetz des Benutzers 110 weitergeben kann, wo die AA-Referenzen des Benutzers gespeichert sind.
  • Der H-AAA-Server 152 residiert im Heimat-IP-Netz 150. Das Heimat-IP-Netz 150 ist das Heimatnetz, das IP-basierende Datendienste für den Benutzer 110 bereitstellt. Das Netz 150 kann entsprechend der NAI (network access identifier – Netzzugangskennung) des Benutzers 110 zugänglich sein. Die NAI ist eine user@domain-Ausbildung, die den Benutzer und sein Heimat-IP-Netz identifiziert. Das Heimat-IP-Netz 150 kann ein Privatnetz, Firmennetz, öffentlich zugängliches ISP-Netz, drahtloses CDMA2000 Netz usw. sein. In der 1 kann das Heimat-IP-Netz 150 beispielsweise als Heimatnetz eines zellularen drahtlosen 2.5 G/3 G-Systems verkörpert sein.
  • Der H-AAA-Server 152 kann beispielsweise als RADIUS-Server (Remote Authentication Dial-In User Service) verkörpert sein. Die beispielhaften Ausführungsformen sind jedoch nicht darauf begrenzt, da der H-AAA-Server 152 konfiguriert sein kann, das Diameter-Protokoll zu verstehen und auf dessen Grundlage zu fungieren. Der H-AAA-Server 152 kommuniziert mit einem Heimatagenten (HA) 155. Im mobilen Internet-Protokoll (Mobile IP) ist ein HA ein Router in einem Heimatnetz eines mobilen Knotens, der Informationen über den in seiner Gastadresse identifizierten gegenwärtigen Standort des Geräts unterhält. Wie der FA ist der HA 155 eine Art Mobilitätsagent, so wie er beispielsweise in der IETF-Spezifikation RFC 3344 definiert ist.
  • Damit der Zellularfunkanbieter den Benutzer 110 anerkennt und belastet, wenn der Benutzer nahtlos zwischen Zugangstechniken wechselt, sollte eine einzige Menge von Authenfizierungsreferenzen an den Authorisierungs- und Berechtigungsagenten (H-AAA 152/V-AAA 132) in jedem der Netze, auf die zugegriffen wird, angelegt werden. Anders gesagt muß sich die Authenfizierungsinstanz des WLAN (besuchtes Netz 130) möglicherweise an eine im voraus bereitgestellte Authenfizierungsdatenbank im Besitz des Zellularfunkdienstanbieter anschließen (in dieser beispielhaften Ausführungsform kann dies zum Beispiel das Heimat-IP-Netz 150 sein, das als 2.5 G/3 G-CDMA oder UMTS-Netz verkörpert sein kann). Durch Ermöglichen von Kommunikation zwischen WLAN- und 3 G-Infrastrukturen zur Authentifizierung und Berechtigung wird dem Heimat-ISP 150 des Benutzers ermöglicht, den Benutzer 110 sowohl im WLAN-System 130 als auch dem 2.5 G/3 G-System 150 zu authentifizieren.
  • Beispielsweise kann die bestehende Back-Office-Infrastruktur des Weitverkehrs-Zellularfunkdiensteanbieters weiterhin zur Bereitstellung von Berechtigung und Authentifizierung für ein unabhängiges besuchtes Netz 130 benutzt werden. Im Zusammenhang mit AA kann sich die bestehende Back-Office-Infrastruktur des Weitbereichs-Zellularfunkdiensteanbieters (WSP – wide area cellular wireless service provider) auf die Einrichtung beziehen, die zur Durchführung von Berechtigung und Authentifizierung von Paketdatendienst für drahtlose Benutzer benutzt wird. Die Einzelheiten können sich in Abhängigkeit vom Diensteanbieter ändern, können aber aus irgendeiner Art Datenbank bestehen, die zur Versorgung aller Teilnehmer benutzt wird, wie beispielsweise einer LDAP-Datenbank (Lightweight Directory Access Protocol). LDAP ist ein durch die IETF (Internet Engineering Task Force) definiertes Online-Verzeichnisdienstprotokoll, das eine Vereinfachung des DAP-Protokolls (Directory Access Protocol) darstellt. Ein LDAP-Verzeichniseintrag ist eine Sammlung von Attributen mit einer DN (distinguished name – eindeutiger Name) genannten einmaligen Kennung. Das Verzeichnissystem kann beispielsweise eine hierarchische Struktur aufweisen. In der vorliegenden beispielhaften Ausführungsform kann gesagt werden, daß das Heimat-IP-Netz 150 das LDAP 156 besitzt.
  • Der H-AAA-Server 152 und LDAP 156 kann, wie in der 1 gestrichelt dargestellt, ein Beispiel von Back-Office-Infrastrukturen 151 sein, obwohl die vorliegende Erfindung nicht darauf begrenzt ist. Eine bestehende Back-Office-Infrastruktur kann durch ein beliebiges CDMA2000-Paketdatennetz dargestellt werden, das einen AAA-Server aufweist, der Benutzer für Paketdatendienst authentifiziert und berechtigt. 3 G-Paketdatendienst wird weiterhin von Diensteanbietern wie beispielsweise VERIZON WIRELESS und SPRINT PCS angeboten; eine solche Back-Office-Infrastruktur besteht daher bereits. In einer beispielhaften Ausführungsform können die Netze 130 und 150 im Besitz von unterschiedlichen Diensteanbietern sein und in einer weiteren beispielhaften Ausführungsform können sie beide im Besitz des gleichen Dienstanbieters sein.
  • 2 ist ein Flußdiagramm, das ein Verfahren gemäß einer beispielhaften Ausführungsform der Erfindung beschreibt. Nunmehr auf 2 Bezug nehmend kann der H-AAA-Server 152 eine einzelne Benutzerkennung und Berechtigungsschlüssel (z.B. Paßwort) vom Benutzer 110 empfangen (Schritt S10). Dieser Satz AA-Referenzen ist dem Benutzer 110 zugewiesen worden und kann zur Authentifizierung und oder Verschlüsselung in beiden Netzen 130 oder 150 benutzt werden. Anders gesagt können die AA-Referenzen gemeinsam in unterschiedlichen Zugangstechnologien benutzt werden. Die einzelne Benutzerkennung und das Paßwort können zur bestehenden Back-Office-Infrastruktur 151 des Heimatnetzes des Benutzers 110 geleitet werden (Schritt S20). In dieser beispielhaften Ausführungsform wird die bestehende Back-Office-Infrastruktur 151 des Heimat-IP-Netzes 150 (3 G-System) benutzt oder darauf zugegriffen (Schritt S30), um den Satz AA-Referenzen des Benutzers 110 mit einer gespeicherten Menge von AA-Referenzen zu vergleichen. So kann die LDAP-Datenbank 156 und der H-AAA-Server 152 eine Anordnung bieten, die für unabhängige besuchte Netze mit Vereinbarung über die Verbindungsgüte mit dem Heimatnetz die Fähigkeit zur Authentifizierung und Beschaffung von Berechtigung von der bestehenden Back-Office-Infrastruktur eines bestimmten Diensteanbieters bereitstellt.
  • Durch Verlaß auf die AAA-Infrastruktur kann der Weitverkehrs-Zellularfunkanbieter den Teilnehmer 110 unter Verwendung der gleichen Authentifizierungsreferenzen in beiden Netzen 130 und 150 authentifizieren. Die WLAN- und 2.5 G/3 G-Systeme können beide ein gemeinsames AAA-Protokoll wie beispielsweise RADIUS oder Diameter zur Authentifizierung des Benutzers bei einem AAA-Server benutzen, möglicherweise über einen Proxy-AAA-Server 145. Die Authentifizierungsserver H-AAA-Server (152/252 und V-AAA-Server 132) können die gleichen oder unterschiedlich sein, solange wie jeder AAA-Server auf die LDAP-Datenbank 156 zugreifen kann, um den gemeinsamen Authentifizierungsschlüssel und/oder das Paßwort des Benutzers 110 abzurufen.
  • Es kann jedoch ein Szenario geben, wo ein Netz den Satz AA-Referenzen des Benutzers an ein anderes Netz weiterleiten muß, das die Referenzen nicht aufweist, aber sie für AA benötigt. Aus diesem Grund könnte ein auf AAA-Proxy basierender Ansatz für diese Anwendung geeigneter sein. Wenn ein AAA-Proxy-Server 145 eine Authentifizierungsanforderungsnachricht empfängt, benutzt er die NAI des Benutzers 110 zum Ermitteln des maßgebenden AAA-Servers (z.B. H-AAA-Server 152) und zum Weiterleiten der Authentifizierungsanforderungsnachricht zum entsprechenden H-AAA-Server. Die Verbindung zwischen AAA-Infrastrukturen unterschiedlicher Diensteanbieter kann direkt oder über den AAA-Proxy-Server 145 hergestellt werden.
  • Beispielsweise kann ein Benutzer 110 auf ein besuchtes Netz 130 zugreifen, das möglicherweise unterschiedliche Attribute (beispielsweise herstellerspezifische Attribute in RADIUS) in dem gemeinsamen Kommunikationsprotokoll benutzt, um den Satz AA-Referenzen und Kennzeichnungsinformationen des Benutzers 110 (z.B. Netzart, Identität usw.) des besuchten Netzes 130 zum Proxy-AAA-Server 145 weiterzuleiten. AAA-Proxy-Operationen können im allgemeinen Attributumsetzung erfordern, um die in den RADIUS-Nachrichten benutzten proprietären herstellerspezifischen Attribute auf die von Heimat-IP-Netz 150 des Benutzers benutzten Attribute abzubilden. Es gibt eine Anzahl Initiativen zur Standardisierung dieser Attribute, so wie sie zwischen verschiedenen Diensteanbietern gesendet werden, wie beispielsweise im WISPr-Komitee (Wireless Internet Service Provider roaming) in der Wi-Fi-Allianz und dem 3 GPP2 (Third Generation Partnership Project 2).
  • In einer weiteren beispielhaften Ausführungsform muß der Benutzer 110 nur einmal authentifizieren, selbst wenn er über mehrere Netze roamt. Gegenwärtige WLAN-Authentifizierungsverfahren können zwei getrennte Authentifizierungen erfordern: erstens Authentifizierung des Geräts (z.B. PDA, PC, Zellulartelefon usw.) auf der Datenschicht (Schicht 2) und zweitens Authentifizierung des Benutzers (Benutzer-Kennung und Paßwort) auf der Netzschicht (Schicht 3). Authentifizierung über mehrere Kommunikationsschichten oder über mehrere Netze unterschiedlicher Technologien (z.B. Weitverkehrs-Zellularfunknetz und WLAN) in einem Gang ist gegenwärtig nicht durchführbar, da mehrere Datenbanken an der Geräteauthentifizierung auf Schicht 1 und Schicht 2 gefolgt von Benutzerauthentifizierung auf Schicht 3 beteiligt sind. Wenn der Benutzer auch IPSec-Protokoll (IP Security Protocol) oder SIP-Protokoll (Session Initiation Protocol) ablaufen läßt, ist auch eine zusätzliche Authentifizierungsschicht (Anwendungsschicht) erforderlich. Diese Mehrschichtauthentifizierungen können bewirken, daß eine Datensitzung anhält, während das Endgerät mit Authentifizierungsanforderungen beschäftigt ist, sowohl bei Anfangsverbindung als auch bei Weiterschaltung zwischen Technologien. Dadurch wird die Benutzer← und/oder Klientensoftware belastet und Verzögerungen und Bereitstellungsaufwand erhöht.
  • Für MIP-Protokolle (Mobile IP) in CDMA2000 können Authentifizierungsverfahren bereits als Authentifizierungsverfahren in einem Gang erachtet werden. Wenn in CDMA2000 ein Benutzer eine MIP-Registrierung erfordert, zeigt Verhandlung auf Schicht 2 mit dem Authentifizierungsagenten (H-AAA, V-AAA oder Proxy-Server) an, daß der Benutzer ein Mobile-IP-Benutzer ist. Unter diesen Bedingungen wird Authentifizierung auf Schicht 2 übergangen und es kann eine Sicherungsschichtverbindung ohne AA hergestellt werden. Dementsprechend ist es bei MIP für CDMA2000 der Schicht 3 überlassen, die AA-Aushandlung abzuschließen. Diese Art von Herstellung auf Schicht 2 stellt keine anderen Dienste für den Benutzer bereit, als die Möglichkeit, AA auf Schicht 3 auszuhandeln. Ein gleichwertiges Verfahren ist gegenwärtig nicht für WLAN- und UMTS Netze verfügbar.
  • Die beispielhaften Ausführungsformen der vorliegenden Erfindung ersetzen die Authentifizierung in zwei Gängen mit einem Authentifizierungsverfahren in einem Gang, wobei der gleiche Satz Referenzen für mehrere Schichten benutzt werden kann und wobei mehrfacher Zugriff auf die AAA-Infrastruktur dadurch vermieden wird und Verzögerungen und Latenzzeit verringert wird. In den beispielhaften Ausführungsformen der vorliegenden Erfindung können mehrere Ansätze zur Bereitstellung von Authentifizierung in einem Gang in WLAN-Systemen wie beispielsweise besuchten Netz 130 benutzt werden. Ein Ansatz kann sein, die gleichen Referenzen und das gleiche Schlüsselmaterial zur Authentifizierung auf Schichten 2 und 3 zu benutzen. Ein weiterer Ansatz kann sein, direkt zur Schicht 3 fortzuschreiten und Authentifizierung auf Schicht 2 vollständig wegzulassen. Dies ähnelt dem oben mit MIP für CDMA2000-Netze beschriebenen Verfahren.
  • 3 ist ein Flußdiagramm eines Verfahrens gemäß einer weiteren beispielhaften Ausführungsform der Erfindung. Bezugnehmend auf 3 könnten mehrfache Zugriffe auf die AAA-Infrastruktur (AAA-Server) erforderlich sein, aber Durchlaufen des Netzes nach Schlüsselmaterial könnte nur einmal geschehen. Dieses während der erfolgreichen Antwort am Ende der AA-Aushandlungsabfrage auf Schicht 2 eingesammelte Schlüsselmaterial (Schritt S300) kann von einer im Endgerät des Benutzers 110 residierenden Klientensoftware benutzt werden, um beispielsweise die Nutzlast zu verschlüsseln oder auf dem Benutzer 110 durch die AAA-Instanz gebotene zukünftige AA-Abfragen beantworten (d.h. V-AAA, H-AAA, usw.).
  • Während der Abfragestufe auf Schicht 3 wird dem Benutzer 110 vom Netz ein Keim bereitgestellt (Schritt S310). Vom Benutzer 110 oder der Klientensoftware des Benutzers wird der Keim mit einem im voraus bereitgestellten Schlüssel verarbeitet (Schritt S300a in gestrichelter Linie) oder mit dem vorher vom Schritt S300 erhaltenen Schlüsselmaterial und eine für dieses Schlüsselmaterial einmalige Signatur erzeugt (Schritt S320). Beispiele von Algorithmen, die zur Erzeugung der einmaligen Signatur benutzt oder implementiert werden können, umfassen MD5 (Message Digest version 5), SHA (Secure Hash Algorithm) usw. Eine einmalige Signatur wird auf ähnliche Weise von der AAA-Instanz, wo sich der gleiche Benutzerschlüssel befindet, berechnet (Schritt S330) und das Ergebnis wird mit der vom Benutzerklienten berechneten einmaligen Signatur verglichen. Bei Überprüfung der Signatur berechtigt die AAA-Instanz (Schritt 340) den Benutzer 110 und kann einen Schlüssel zur Verschlüsselung und neues Schlüsselmaterial zur Verwendung in einem zukünftigen Authentifizierungsvorgang senden (Schritt S350).
  • Das gleiche Authentifizierungsverfahren in einem Gang kann sowohl für das WLAN als auch 3 G-Systeme benutzt werden; es wird daher möglich, daß Klientensoftware am Benutzer 110 automatisch die Authentifizierungsreferenzen des Benutzers 110 jedesmal dann zuführt, wenn der Benutzer 110 sich zwischen Luftschnittstellentechnologien bewegt (z.B. vom WLAN zu 3 G und umgekehrt). Die Klientensoftware des Benutzers 110 kann Authentifizierungsreferenzen bereitstellen, um Zugang zur Domäne zu erhalten, und wenn sich der Benutzer 110 in einer besuchten Domäne befindet, kann möglicherweise eine Security Association mit dem Heimatnetz 150 des Benutzers 110 herstellen.
  • Die Gebietskennung in der NAI des Benutzers kann für den besuchten AAA-Server (z.B. V-AAA-Server 132) die Domäneninformationen bereitstellen, die zur Bestimmung der Heimatdomäne benutzt werden, die zur Authentifizierung des Benutzers 110 benutzt wird. Die Klientensoftware kann damit das während der vorhergehenden AA-Authentifizierung auf Schicht 2 gesammelte Schlüsselmaterial zur Schicht 3 übermitteln. So muß der Benutzer 110 möglicherweise während der anfänglichen AA-Stufe ein einmaliges Paßwort oder Schlüsselmaterial eintippen, aber es nicht neu eintippen müssen, wenn er zu einer neuen Domäne umwechselt, und kann gegen die zugrundeliegenden Authentifizierungsaktivitäten abgeschirmt sein, wodurch eine ununterbrochene transparente Datensitzungsbewegung erleichtert wird. Dementsprechend kann Authentifizierung in einem Gang die Menge an AAA-Kommunikation verringern und möglicherweise Verzögerungen, Latenz und die Menge an zum Eingeben von Paßwort und/oder einmaligen Schlüsselinformationen auf jeder Schicht erforderlichen Nutzereingriffen verringern.
  • 4 zeigt eine Netzkonfiguration zwischen einem Benutzer und dem Heimatnetz des Benutzers gemäß einer weiteren beispielhaften Ausführungsform der Erfindung. Wie schon in bezug auf 1 besprochen, muß sich die Authentifizierungsinstanz des WLANs möglicherweise an eine im voraus bereitgestellte Authentifizierungsdatenbank im Besitz des Zellularfunkdienstanbieters anschließen. Durch Ermöglichen von Kommunikation zwischen WLAN und 3 G-Infrastrukturen zur Authentifizierung und Berechtigung kann der Heimat-ISP 150 des Benutzers den Benutzer 110 sowohl im WLAN-System 130 als auch dem 2.5 G/3 G-System 150 authentifizieren. 4 zeigt eine beispielhafte Ausführungsform, wo der (gelegentlich auch als öffentliches Heimatnetz des Benutzers bezeichnete) zellulardienstanbieter des Benutzers für die Außenwelt der Heimat-ISP des Benutzers zu sein scheint, aber das private Heimat-IP-Netz des Benutzers die Firma des Benutzers anstatt des WLANs oder des Zellulardienstanbieters des Benutzers ist.
  • 4 ähnelt der 1 und es werden daher nur die Unterschiede der Deutlichkeit halber besprochen. Bezugnehmend auf 4 kann das öffentliche Heimatnetz 480 des Benutzers als ein Zellularnetz verkörpert sein und das private Heimat-IP-Netz des Benutzers kann als Firmennetz 460 verkörpert sein. In dieser beispielhaften Ausführungsform muß sich die Authentifizierungsinstanz des WLANs (besuchtes Netz 430) möglicherweise an eine im voraus bereitgestellte Authentifizierungsdatenbank (LDAP-Datenbank 456) im Besitz des Firmennetzes 460 anschließen. Der V-AAA-Server 432 oder ein Proxy-AAA-Server 145 können Teil der NAI des Benutzers 410 zum Ermitteln des AAA-Servers 482 des Zellulardienstanbieters (öffentliches Heimatnetz 480) und zum Weiterleiten der Authentifizierungsanforderung an das öffentliche Heimatnetz 480 des Benutzers benutzen. Der AAA-Server 482 des Zellulardienstanbieters muß weiterhin möglicherweise stellvertretend die AAA-Anforderung über einen Proxy-AAA-Server 475 senden. Er kann dies durch Verwendung eines anderen Teils der NAI des Benutzers 410 zum Ermitteln des im Firmennetz 460 befindlichen H-AAA-Servers 452 durchführen.
  • Wie in der 4 kann die Back-Office-Infrastruktur 451 des Firmennetzes 460 beispielsweise den H-AAA-Server 452 und die LDAP-Datenbank 456 umfassen. Dementsprechend und wie in der beispielhaften Ausführungsform der 4 gezeigt kann die NAI des Benutzers 410 user@lucent.verizon.com sein, wobei auf den AAA-Server 482 von Verizon (Verizon ist der Zellulardienstanbieter des Benutzers) (möglicherweise über den Proxy Server 445) vom WLAN 430 zugegriffen wird. Der AAA-Server 482 von Verizon kann wiederum die Anforderung stellvertretend über den Proxy-AAA-Server 475 zum H-AAA-Server 452 im Firmennetz 460 des Benutzers (d.h. Lucent) senden.
  • Nach dieser Beschreibung der beispielhaften Ausführungsformen der vorliegenden Erfindung wird klar sein, daß diese auf viele Weisen verändert werden kann. Solche Veränderungen sind nicht als Abweichung von dem Sinn und Rahmen der beispielhaften Ausführungsformen der vorliegenden Erfindung anzusehen, und alle derartigen Abänderungen, die dem Fachmann offenbar sein würden, sollen im Rahmen der nachfolgenden Ansprüche enthalten sein.

Claims (3)

  1. Verfahren mit dem ein Benutzer (110) eine AA-Operation (authentication and authorization – Authentifizierung und Berechtigung) bei Bereichswechsel zwischen mindestens zwei Netzen in einem Gang durchführt, wobei diese Netze eine AAA-Infrastruktur zur Authentifizierung und Berechtigung über mehrere Kommunikationsprotokollschichten benutzen, gekennzeichnet durch: Einsammeln (S300) von Schlüsselmaterial des Benutzers während einer AA-Abfrage- und -Antwort-Sitzung auf einer Sicherungsschicht eines ersten Netzes; und Benutzen (S320) des Schlüsselmaterials für eine Antwort auf eine nachfolgende AA-Abfrage bei Übergang des Benutzers vom ersten Netz zu einem anderen Netz durch Durchführen dieser AA-Operation in einem Gang.
  2. Verfahren nach Anspruch 1, wobei die nachfolgende Abfrage auf einer der gleichen Schicht und einer höheren Schicht stattfindet und keine Benutzerbeteiligung erfordert, wobei das Benutzen das Benutzen des Schlüsselmaterials für Datenverschlüsselung oder Benutzen des eingesammelten Schlüsselmaterials des Benutzers während einer anderen Netzabfrage einschließt, und die mindestens zwei Netze ein besuchtes Netz und das Heimatnetz des Benutzers einschließen und unterschiedliche Attribute eines gemeinsamen Protokolls benutzen.
  3. Verfahren nach Anspruch 1, wobei die mindestens zwei Netze ein drahtloses lokales Netz (WLAN – wireless local area network) und ein Weitverkehrs-Zellularkommunikationssystem einschließen, wobei das Weitverkehrs-Zellularkommunikationssystem eines von einem GPRS-, cdma 2000-System und UMTS ist.
DE602004007708T 2003-03-31 2004-02-20 Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke Expired - Lifetime DE602004007708T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US401595 1999-09-22
US10/401,595 US7774828B2 (en) 2003-03-31 2003-03-31 Methods for common authentication and authorization across independent networks

Publications (2)

Publication Number Publication Date
DE602004007708D1 DE602004007708D1 (de) 2007-09-06
DE602004007708T2 true DE602004007708T2 (de) 2008-04-30

Family

ID=32850549

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004007708T Expired - Lifetime DE602004007708T2 (de) 2003-03-31 2004-02-20 Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke

Country Status (7)

Country Link
US (1) US7774828B2 (de)
EP (1) EP1465385B1 (de)
JP (1) JP4615239B2 (de)
KR (1) KR101268892B1 (de)
CN (1) CN1534921B (de)
AT (1) ATE368347T1 (de)
DE (1) DE602004007708T2 (de)

Families Citing this family (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100523403B1 (ko) * 2003-07-02 2005-10-25 주식회사 케이티프리텔 무선 모뎀과 무선 랜 장치간의 심리스 수직 로밍 제어방법 및 프로그램을 기록한 기록매체
US8571222B1 (en) * 2003-08-13 2013-10-29 Verizon Corporate Services Group Inc. System and method for wide area wireless connectivity to the internet
US7536464B1 (en) * 2003-09-25 2009-05-19 Cisco Technology, Inc. Methods and apparatus for performing layer 2 authentication and service selection in SSG based networks
US20050132075A1 (en) * 2003-12-15 2005-06-16 International Business Machines Corporation Authentication of mobile communication devices using mobile networks, SIP and Parlay
US20050135622A1 (en) * 2003-12-18 2005-06-23 Fors Chad M. Upper layer security based on lower layer keying
EP1709808B1 (de) * 2004-01-29 2018-09-19 Ngna, Llc System und verfahren zur unterstützung des transport und des abspielen von signalen
US9729321B2 (en) * 2015-04-29 2017-08-08 Citrix Systems, Inc. Autonomous private key recovery
US20060002329A1 (en) * 2004-07-01 2006-01-05 Lila Madour Method and system for providing backward compatibility between protocol for carrying authentication for network access (PANA) and point-to-point protocol (PPP) in a packet data network
US20060174127A1 (en) * 2004-11-05 2006-08-03 Asawaree Kalavade Network access server (NAS) discovery and associated automated authentication in heterogenous public hotspot networks
EP1836860A4 (de) * 2004-11-18 2009-03-18 Azaire Networks Inc Dienstautorisierung in einem mit einem 3g/gsm-netzwerk interagierendem wi-fi-netzwerk
KR100762644B1 (ko) * 2004-12-14 2007-10-01 삼성전자주식회사 Wlan-umts 연동망 시스템과 이를 위한 인증 방법
KR100703149B1 (ko) * 2005-03-23 2007-04-05 에스케이 텔레콤주식회사 이종 무선랜 사업자 서비스 영역에서의 무선랜 서비스 제공방법 및 시스템
WO2006103536A1 (en) * 2005-03-31 2006-10-05 Nokia Corporation Authentication mechanism for unlicensed mobile access
US20060225128A1 (en) * 2005-04-04 2006-10-05 Nokia Corporation Measures for enhancing security in communication systems
JP4984020B2 (ja) * 2005-08-19 2012-07-25 日本電気株式会社 通信システム、ノード、認証サーバ、通信方法及びそのプログラム
US20070047477A1 (en) * 2005-08-23 2007-03-01 Meshnetworks, Inc. Extensible authentication protocol over local area network (EAPOL) proxy in a wireless network for node to node authentication
US8924459B2 (en) * 2005-10-21 2014-12-30 Cisco Technology, Inc. Support for WISPr attributes in a TAL/CAR PWLAN environment
DE102006008745A1 (de) 2005-11-04 2007-05-10 Siemens Ag Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels
DE102005055147A1 (de) * 2005-11-18 2007-05-24 Siemens Ag Verfahren zum Aufbau zumindest einer geschützten Datenverbindung nach einem Wechsel des Zugangsnetzes in einem mobilen Kommunikationssystem
US7917142B2 (en) * 2006-03-03 2011-03-29 Samsung Electronics Co., Ltd. Comprehensive registration method for wireless communication system
US8280982B2 (en) 2006-05-24 2012-10-02 Time Warner Cable Inc. Personal content server apparatus and methods
US9386327B2 (en) 2006-05-24 2016-07-05 Time Warner Cable Enterprises Llc Secondary content insertion apparatus and methods
US9265022B2 (en) * 2006-06-02 2016-02-16 Qualcomm Incorporated Multiple registrations with different access networks
US8024762B2 (en) 2006-06-13 2011-09-20 Time Warner Cable Inc. Methods and apparatus for providing virtual content over a network
US8094817B2 (en) * 2006-10-18 2012-01-10 Telefonaktiebolaget Lm Ericsson (Publ) Cryptographic key management in communication networks
JP5007564B2 (ja) * 2006-12-28 2012-08-22 株式会社ニコン 画像転送システム
WO2008080637A1 (en) * 2007-01-04 2008-07-10 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for determining an authentication procedure
KR101405743B1 (ko) * 2007-01-05 2014-06-12 삼성전자주식회사 이종 망 간의 핸드오프 방법 및 그 시스템
US8181206B2 (en) 2007-02-28 2012-05-15 Time Warner Cable Inc. Personal content server apparatus and methods
US9455969B1 (en) 2007-06-18 2016-09-27 Amazon Technologies, Inc. Providing enhanced access to remote services
US8312154B1 (en) * 2007-06-18 2012-11-13 Amazon Technologies, Inc. Providing enhanced access to remote services
US8265281B2 (en) * 2007-07-09 2012-09-11 Qualcomm Incorporated IP service authorization in wireless communications networks
US8130722B1 (en) * 2007-08-08 2012-03-06 Sprint Communications Company L.P. Access technology agnostic foreign agent
KR100936530B1 (ko) * 2007-11-13 2010-01-13 주식회사 케이티 네트워크 장치 및 네트워크 장치의 인증 정보 공유 방법
US20100318806A1 (en) * 2008-02-08 2010-12-16 Dick Hardt Multi-factor authentication with recovery mechanisms
EP2248296A4 (de) * 2008-02-21 2017-06-21 Alcatel Lucent Authentifikationsmechanismus mit einem durchgang und system für heterogene netzwerke
US8279872B1 (en) 2008-04-25 2012-10-02 Clearwire Ip Holdings Llc Method for obtaining a mobile internet protocol address
US8036222B1 (en) 2008-04-25 2011-10-11 Clear Wireless Llc Method for obtaining a mobile internet protocol address
US8023484B1 (en) 2008-04-25 2011-09-20 Clear Wireless Llc Method for obtaining a mobile internet protocol address
ES2332492B1 (es) * 2008-05-29 2011-02-10 Let's Gowex S.A. Plataforma de itinerancia de servicios wireless en redes que utilizanla tecnologia wi-fi (ieee 802.11x) y wimax (ieee 802.16x).
US8880067B2 (en) * 2008-08-08 2014-11-04 Qualcomm Incorporated Correlating registrations originating from a device
US20110002298A1 (en) * 2009-07-06 2011-01-06 Muthaiah Venkatachalam Reducing Overhead in Wireless Communications
US20110030039A1 (en) * 2009-07-31 2011-02-03 Eric Bilange Device, method and apparatus for authentication on untrusted networks via trusted networks
US8958306B2 (en) 2009-10-16 2015-02-17 Tekelec, Inc. Methods, systems, and computer readable media for providing diameter signaling router with integrated monitoring functionality
US8750126B2 (en) 2009-10-16 2014-06-10 Tekelec, Inc. Methods, systems, and computer readable media for multi-interface monitoring and correlation of diameter signaling information
IN2012CN07525A (de) 2010-02-12 2015-05-29 Tekelec Inc
WO2011100603A2 (en) 2010-02-12 2011-08-18 Tekelec Methods, systems, and computer readable media for providing peer routing at a diameter node
US8601569B2 (en) * 2010-04-09 2013-12-03 International Business Machines Corporation Secure access to a private network through a public wireless network
US20110264530A1 (en) 2010-04-23 2011-10-27 Bryan Santangelo Apparatus and methods for dynamic secondary content and data insertion and delivery
CN102244857B (zh) * 2010-05-14 2015-05-27 中国移动通信集团公司 无线局域网漫游用户的控制方法及其装置和网络系统
US8973125B2 (en) * 2010-05-28 2015-03-03 Alcatel Lucent Application layer authentication in packet networks
KR101556046B1 (ko) * 2010-12-30 2015-09-30 인터디지탈 패튼 홀딩스, 인크 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정
CN102547702B (zh) * 2010-12-31 2015-04-22 中国移动通信集团安徽有限公司 用户认证方法、系统及密码处理装置
EP2681940B1 (de) 2011-03-03 2016-05-25 Tekelec, Inc. Verfahren, systeme und computerlesbare medien zur anreicherung einer durchmessersignalisierungsmeldung
JP5632102B2 (ja) * 2011-03-14 2014-11-26 クゥアルコム・インコーポレイテッドQualcomm Incorporated ハイブリッドネットワーキングマスターパスフレーズ
GB2509278B (en) * 2011-09-22 2020-02-26 Stuart Goodwin Russell Network user identification and authentication
ES2617506T3 (es) * 2011-09-28 2017-06-19 Smith Micro Software, Inc. Agente de aplicación de políticas de plataforma móvil de autoajuste para controlar el acceso de red, la movilidad y el uso eficaz de recursos locales y de red
KR101957462B1 (ko) * 2011-12-28 2019-03-13 삼성전자주식회사 무선 이동 통신 시스템에서 제3자 사이트 인증 및 결제 대행 서비스 제공 방법 및 장치
US9143498B2 (en) * 2012-08-30 2015-09-22 Aerohive Networks, Inc. Internetwork authentication
US20140282786A1 (en) 2013-03-12 2014-09-18 Time Warner Cable Enterprises Llc Methods and apparatus for providing and uploading content to personalized network storage
US9769056B2 (en) 2013-03-15 2017-09-19 Aerohive Networks, Inc. Gateway using multicast to unicast conversion
US9762679B2 (en) 2013-03-15 2017-09-12 Aerohive Networks, Inc. Providing stateless network services
US9537775B2 (en) 2013-09-23 2017-01-03 Oracle International Corporation Methods, systems, and computer readable media for diameter load and overload information and virtualization
US9888001B2 (en) 2014-01-28 2018-02-06 Oracle International Corporation Methods, systems, and computer readable media for negotiating diameter capabilities
US9992619B2 (en) 2014-08-12 2018-06-05 Aerohive Networks, Inc. Network device based proximity beacon locating
US9667437B2 (en) * 2014-10-23 2017-05-30 Verizon Patent And Licensing Inc. Billing multiple packet flows associated with a client router
US10009329B2 (en) * 2015-06-23 2018-06-26 Microsoft Technology Licensing, Llc Learned roving authentication profiles
WO2020143965A1 (en) * 2019-01-11 2020-07-16 Telefonaktiebolaget Lm Ericsson (Publ) 5g-4g authentication data coexistence
US11403849B2 (en) 2019-09-25 2022-08-02 Charter Communications Operating, Llc Methods and apparatus for characterization of digital content
US11438824B2 (en) * 2020-02-27 2022-09-06 Cisco Technology, Inc. Wireless authorization and access network-neutral advice of charge techniques

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10173665A (ja) * 1996-12-06 1998-06-26 Nippon Telegr & Teleph Corp <Ntt> 仮想無線lanシステム
JP2000010045A (ja) 1998-06-19 2000-01-14 Matsushita Electric Ind Co Ltd プリズム装置及び投写型表示装置
US7028186B1 (en) * 2000-02-11 2006-04-11 Nokia, Inc. Key management methods for wireless LANs
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
JP4567173B2 (ja) 2000-11-07 2010-10-20 エヌ・ティ・ティ・コミュニケーションズ株式会社 集線・接続システム、集線・接続方法及び集線・接続装置
US6879690B2 (en) * 2001-02-21 2005-04-12 Nokia Corporation Method and system for delegation of security procedures to a visited domain
JP3930258B2 (ja) * 2001-02-27 2007-06-13 株式会社日立製作所 インターネットローミング方法
US20020147820A1 (en) * 2001-04-06 2002-10-10 Docomo Communications Laboratories Usa, Inc. Method for implementing IP security in mobile IP networks
CN1241366C (zh) * 2001-06-19 2006-02-08 中兴通讯股份有限公司 一种宽带接入用户配置方法
US7231521B2 (en) * 2001-07-05 2007-06-12 Lucent Technologies Inc. Scheme for authentication and dynamic key exchange
US20030031151A1 (en) * 2001-08-10 2003-02-13 Mukesh Sharma System and method for secure roaming in wireless local area networks
US20030084287A1 (en) * 2001-10-25 2003-05-01 Wang Huayan A. System and method for upper layer roaming authentication
ES2274358T3 (es) * 2002-01-18 2007-05-16 Nokia Corporation Metodo y aparato para el control del acceso de un dipositivo terminal inlambrico en una red de comunicaciones.
US6785256B2 (en) * 2002-02-04 2004-08-31 Flarion Technologies, Inc. Method for extending mobile IP and AAA to enable integrated support for local access and roaming access connectivity
US20030208602A1 (en) * 2002-04-08 2003-11-06 Cisco Technology, Inc. System and method for pushing data in an internet protocol network environment
US20040001468A1 (en) * 2002-06-28 2004-01-01 Guillaume Bichot Technique for interworking a wlan with a wireless telephony network
US7539309B2 (en) * 2002-08-16 2009-05-26 Togewa Holding Ag Method and system for GSM authentication during WLAN roaming
US20040203752A1 (en) * 2002-11-18 2004-10-14 Toshiba America Information Systems, Inc. Mobility communications system
US20040122959A1 (en) * 2002-12-19 2004-06-24 Lortz Victor B. Automatic wireless network login using embedded meta data

Also Published As

Publication number Publication date
CN1534921B (zh) 2010-07-07
US7774828B2 (en) 2010-08-10
JP2004304804A (ja) 2004-10-28
DE602004007708D1 (de) 2007-09-06
JP4615239B2 (ja) 2011-01-19
EP1465385B1 (de) 2007-07-25
CN1534921A (zh) 2004-10-06
KR20040086587A (ko) 2004-10-11
US20040193712A1 (en) 2004-09-30
EP1465385A1 (de) 2004-10-06
KR101268892B1 (ko) 2013-05-30
ATE368347T1 (de) 2007-08-15

Similar Documents

Publication Publication Date Title
DE602004007708T2 (de) Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke
EP1529374B1 (de) Verfahren und system für gsm-authentifizierung bei wlan-roaming
EP1749367B1 (de) Verfahren und system für content-basiertes billing in ip-netzwerken
DE602004011573T2 (de) Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
DE60313445T2 (de) Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang
DE60209858T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
EP1989853B1 (de) Vermittlungssystem und entsprechendes verfahren für unicast oder multicast end-to-end daten- und/oder multimediastreamübertragungen zwischen netzwerknodes
EP2052517B1 (de) Verfahren und system zum bereitstellen eines zugangsspezifischen schlüssels
DE60223951T2 (de) System, Apparat und Methode zur SIM basierten Authentifizierung und Verschlüsselung beim Zugriff auf ein drahtloses lokales Netz
DE102006004868B4 (de) Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels
DE102006031870B4 (de) Verfahren und System zum Bereitstellen eines Mobile IP Schlüssels
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
EP1943856B1 (de) Verfahren und server zum bereitstellen eines mobilitätsschlüssels
EP1961168A1 (de) Mobile station als gateway für mobile endgeräte zu einem zugangsnetz sowie verfahren zur netzanmeldung der mobilen station und der mobilen endgeräte
DE102006038591A1 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
DE112006000618T5 (de) System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk
WO2007051776A1 (de) Verfahren und server zum bereitstellen eines mobilitätsschlüssels
WO2007051793A1 (de) Teilnehmerspezifisches erzwingen von proxy-mobile-ip (pmip) anstelle von client-mobile-ip (cmip)
DE60038678T2 (de) Mobiler internetzugriff
CH694678A5 (de) Verfahren und System für GSM-Authentifizierung bei WLAN Roaming.
DE102013106851A1 (de) Schaltungsanordnung und verfahren zum roaming zwischen einem besuchten netz und einer mobilstation
EP1424825B1 (de) Verfahren und Vorrichtungen zum Aufbauen eines virtuellen privaten Kommunikationsnetzes zwischen Kommunikationsendgeräten
DE60215978T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk

Legal Events

Date Code Title Description
8364 No opposition during term of opposition