DE60121393T2 - Schlüsselverwaltungsverfahren für drahtlose lokale Netze - Google Patents

Schlüsselverwaltungsverfahren für drahtlose lokale Netze Download PDF

Info

Publication number
DE60121393T2
DE60121393T2 DE60121393T DE60121393T DE60121393T2 DE 60121393 T2 DE60121393 T2 DE 60121393T2 DE 60121393 T DE60121393 T DE 60121393T DE 60121393 T DE60121393 T DE 60121393T DE 60121393 T2 DE60121393 T2 DE 60121393T2
Authority
DE
Germany
Prior art keywords
certificate
access point
mobile terminal
ipsec
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60121393T
Other languages
English (en)
Other versions
DE60121393D1 (de
Inventor
Jorma Stenman
Juha Salvela
Harri Hansen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Conversant Wireless Licensing SARL
Original Assignee
Nokia Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Inc filed Critical Nokia Inc
Application granted granted Critical
Publication of DE60121393D1 publication Critical patent/DE60121393D1/de
Publication of DE60121393T2 publication Critical patent/DE60121393T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/14Backbone network devices

Description

  • BEREICH DER ERFINDUNG
  • Diese Erfindung betrifft im Allgemeinen Verfahren und Systeme zum Bereitstellen von Datenkommunikationen durch ein Netzwerk. Ein spezieller Aspekt der Erfindung betrifft Schlüsselverwaltungsverfahren für drahtlose lokale Netzwerke.
  • BESCHREIBUNG DES STANDES DER TECHNIK
  • Im Allgemeinen gleichen drahtlose lokale Netzwerke (WLAN) herkömmlichen verdrahteten Ethernet lokalen Netzwerken (LANs) in vielen Punkten. Der vordergründigste Unterschied besteht natürlich darin, dass Kommunikationen und Zugang zu dem Netzwerk für mobile Endgeräte in einem WLAN keine physische Verbindung erfordern. In der Tat können mehrere Mobile Endgeräte (MTs) über die gleiche Frequenz und den gleichen Luftraum auf das Netzwerk zugreifen.
  • Es gibt zwei verschiedene WLAN-Typen. Ein ad-hoc WLAN ist ein einfaches Netzwerk, in dem Kommunikationen zwischen mehreren mobilen Endgeräten ohne die Verwendung eines Zugangspunkt oder Servers aufgebaut werden. Der andere WLAN-Typ Client-Server-Netzwerke hat eine grundlegende Architektur, die allgemein in 1 dargestellt ist. Ein Zugangspunkt (AP) dient als eine Basisstation zum Steuern und Koordinieren der Übertragungszustände der verschiedenen mobilen Endgeräte mit einem Basisdienstsatz (BSS). Der Zugangspunkt überwacht sie normalerweise, wenn sie sich von Zelle zu Zelle bewegen. Die Zugangspunkte stellen den mobilen Endgeräten Zugang zu dem WLAN bereit und handhaben den Datenverkehr zwischen dem verdrahteten und drahtlosen Basisnetz (BB).
  • Die Zugangspunkte routen und steuern auch den Fluss des Verkehrs zwischen den mobilen Endgeräten in dem WLAN- und anderen Netzwerken. So wie in verdrahteten Netzwerken verwendet eine Internetworking-Einheit (IWU) Protokollmanipulation, um das WLAN mit einem Netzwerk mit einem unterschiedlichen Protokoll zu verbinden. Einige Internetworking-Einheiten sind relativ verbreitet wie beispielsweise IP-Router, die verwendet werden, um LANs mit dem Internet über einen Internetdienstanbieter (ISP)?zu verbinden.
  • Der Schichtstapel für eine typische Internetverbindung über einen WLAN-IP-Router ist in 2 dargestellt. Wie in jedem Netzwerk definiert die untere physische Schicht (PHY) die Modulation und Signalisierungseigenschaften für das Übertragen der Daten. In einem WLAN definiert die physische Schicht Eigenschaften wie Übertragungsfrequenz, Bandbreite und Datengeschwindigkeiten, Leistungsausgabegrenzen und Spreizspektrumtechniken.
  • Größtenteils so wie in einem Ethernet-Netzwerk ist es die primäre Funktion der zweiten Schicht von unten, Medienzugangssteuerung (MAC), Kollisionen zwischen mobilen Endgeräten zu verhindern, die versuchen, Daten zur gleichen Zeit zu übertragen. Eine zusätzliche Funktion der MAC-Schicht ist Leistungsverwaltung und Batteriebetrieb der mobilen Endgeräte.
  • Aktuell ist eine große Anzahl verschiedener WLAN-Produkte erhältlich. Leider werden diese Produkte von verschiedenen Herstellern produziert und sind normalerweise nicht miteinander kompatibel. Das Institute for Electrical and Electronic Engineers (IEEE) hat vor kurzem die Entwicklung seines WLAN-Standards 802.11 abgeschlossen, der Optionen für physische Schichten zum Übertragen von Datenframes bei 2,4 GHz festlegt und MAC-Schicht-Protokolle festschreibt. Der Standard 802.11 beinhaltet auch bestimmte Netzwerkverwaltungsdienste, Registrierungs- und Authentifikationsdienste. Ein weiterer aufkommender WLAN-Standard ist High Performance Radio Local Area Network (HIPERLAN2) für Breitband-Datenübertragung bei 5 GHz.
  • Ungeachtet der physischen Schichten und der MAC-Schicht-Spezifikationen, ist die Sicherheit der Datenübertragung ein wichtiger Bestandteil der WLAN-Entwicklung. Da keine physischen Verbindungen benötigt werden und die mobilen Endgeräte drahtlose Verbindungen zum Zugreifen auf das WLAN über Zugangspunkte verwenden, werden zusätzliche Funktionen zum Schutz der übertragenen Daten und der Netzwerkelemente verwendet. Diese Funktionen beinhalten Daten- und Signalisierungsverschlüsselung an der MAC-Schicht, Authentifikation des mobilen Endgeräts, wenn es sich mit dem Netzwerk verbindet, und die Authentifikation jedes Datenpakets um sicherzustellen, dass das Paket von dem geforderten mobilen Endgerät gesendet wurde. Das mobile Endgerät kann auch das Netzwerk (das heißt den Zugangspunkt) und die empfangenen Pakete authentifizieren.
  • Einige Sicherheitsvorkehrungen sind als optionaler Teil der WLAN-Standards IEEE 802.11 beinhaltet. Im Besonderen kann Datensicherheit auf der Schicht der drahtlosen Verbindung durch eine komplexe Verschlüsselungstechnik erreicht werden, die als Wired Equivalent Privacy (WEP) bekannt ist. WEP schützt die Daten, die über die gemeinsame Frequenz und den gemeinsamen Luftraum gesendet werden, mittels eines 64-Bit Seed-Key und den RC4-Verschlüsselungsalgorithmus. Ein pseudo-zufälliger Zahlenerzeuger wird durch einen gemeinsamen Geheimschlüssel initialisiert und gibt eine Schlüsselsequenz mit pseudo-zufälligen Bits von gleicher Länge an das größtmögliche Paket aus, das mit dem ausgehenden/eingehenden Paket kombiniert wird, wodurch das Paket erzeugt wird, das in der Luft übertragen wird.
  • Wenn aktiviert schützt WEP die Datenpaketinformationen nur vor dem Abgefangen werden durch andere mobile Endgeräte (oder ähnliche Geräte) zum Abhören oder anderen Zwecken und schützt nicht den physischen Schicht-Header. Obwohl die anderen mobilen Endgeräte in dem Netzwerk die Datenteile des Pakets nicht entschlüsseln können, können sie die Steuerdaten abhören, die zum Verwalten des Netzwerks benötigt werden. WEP schützt ebenso wenig vor nicht autorisiertem Zugriff auf das Netzwerk.
  • Ähnlich wie verdrahtete LANs benötigen drahtlose WLANs ein mobiles Endgerät, das sich in dem Netzwerk zum Beispiel durch einen Zugangspunkt registriert, um sich als autorisierten Benutzer durch Bereitstellen eines Passworts zu authentifizieren. Als weitere Sicherheitsmaßnahme kann ein WLAN zusätzlich oder alternativ von dem mobilen Endgerät verlangen, einen aktuellen Chiffrierungsschlüssel zu verwenden, bevor es Zugang zu dem Netzwerk erhält.
  • Aktuell verfügbare WLAN-Produkte verwenden normalerweise symmetrische vorverteilte Schlüssel. Anders ausgedrückt ist der Chiffrierungsschlüssel des mobilen Endgeräts in dem mobilen Endgerät selbst gespeichert und wird durch den Netzwerkverwalter an alle Zugangspunkte verteilt. Diese Produkte haben den Nachteil, dass es unpraktisch ist, den Schlüssel regelmäßig zu ändern. Gewöhnlich wird der Schlüssel durch den Netzwerkmanager erzeugt, wenn das mobile Endgerät erstmals verwendet wird, und danach wird er nicht mehr geändert. Außerdem wird es schwierig, die Schlüssel zu verwalten, wenn das drahtlose Netzwerk auf eine große Größe anwächst.
  • Die Veröffentlichung US 5.371.794 legt ein Verfahren für Datenschutz und Authentifizierung in einem drahtlosen lokalen Netzwerk mit einem mobilen Endgerät, einem Zugangspunkt und einem Server offen. In dem Verfahren wird ein erstes Zertifikat von einer Zertifikatstelle bezogen und das mobile Endgerät wird an den Zugangspunkt angeschlossen. Ein WLAN-Verbindungsschichtschlüssel wird erzeugt und das mobile Endgerät und der Zugangspunkt werden unter Verwendung eines Zertifikats von der Zertifikatstelle, eines Zertifikats des Zugangspunkts, eines öffentlichen Schlüssels des mobilen Endgeräts und eines öffentlichen Schlüssels des Zugangspunkts gegenseitig authentifiziert. Die Veröffentlichung US 5.371.794 lehrt nicht die Verwendung von Sicherheitsmechanismen der IPsec-Schicht bei der Bereitstellung von WLAN-Verbindungsschichtsicherheit.
  • Die Veröffentlichung "Security solutions in Ericsson Wireless LAN Systems", Ericsson Radio Systems AB, Dokumentnummer XP-002263321, legt eine Sicherheitslösung für WLAN-Systeme offen. Das System verwendet die IETF-Standards IKE und IPsec zum Bereitstellen von Authentifikation, automatischer Sicherheitszuweisungsverwaltung und drahtlosem Verkehrsschutz. Zum Verbessern der Übergabeleistung verwendet das System etablierte Sicherheitsattribute zwischen den WLAN-Einheiten wieder. Die Veröffentlichung lehrt nicht die Verwendung von Sicherheitsmechanismen der IPsec-Schicht bei der Bereitstellung von WLAN-Verbindungsschichtsicherheit.
  • KURZDARSTELLUNG
  • Gemäß einem Aspekt der Erfindung wird ein Verfahren zum Managen von Sicherheitsschlüsseln in einem drahtlosen lokalen Netzwerk mit einem mobilen Endgerät, einem Zugangspunkt und einem Server bereitgestellt, wobei das Verfahren folgende Schritte umfasst:
    am mobilen Endgerät das Beziehen eines ersten Zertifikats des Zugangspunktes und ein zweites Zertifikat des Servers von einer Zertifikatsstelle,
    das Anschließen des mobilen Endgerätes an den Zugangspunkt,
    das Verwenden eines Zertifikats einer Zertifikatsstelle, des ersten Zertifikats und eines privaten Schlüssels mit dem Internet-Key-Exchange-Protokoll (IKE), um einen WLAN-Verbindungsschichtschlüssel auf einer IPsec-Schicht zu erzeugen,
    das Bilden von Authentifizierungsdaten auf der IPsec-Schicht,
    das Ausgeben der Authentifizierungsdaten an die WLAN-Verbindungsschicht,
    das Senden der Authentifizierungsdaten in einer Nachricht der MAC-Schicht an den Zugangspunkt,
    das gegenseitige Authentifizieren des mobilen Endgerätes und des Zugangspunktes mittels IKE auf der IPsec-Schicht über Authentifizierungsdaten, die auf einer MAC-Schicht weitergeleitet werden, und
    das Benutzen eines Zertifikats einer Zertifikatsstelle, des zweiten Zertifikats und des privaten Schlüssels mit Internet-Key-Exchange-Protokoll (IKE), um IPsec-Authentifizierungs-, Verschlüsselungs- und
    Entschlüsselungsschlüssel für Datenpakete zu erzeugen, die zwischen dem mobilen Endgerät und dem Zugangspunkt übertragen werden.
  • Gemäß einem anderen Aspekt der Erfindung wird ein mobiles Endgerät bereitgestellt, umfassend: eine IPsec-Instanz, die konfiguriert ist, um ein erstes Zertifikat des Zugangspunktes und ein zweites Zertifikat des Servers von einer Zertifikatsstelle zu beziehen, um das mobile Endgerät an den Zugangspunkt anzuschließen, um ein Zertifikat einer Zertifikatsstelle, ein erstes Zertifikat und einen privaten Schlüssel mit dem Internet-Key-Exchange-Protokoll (IKE) zu benutzen, um einen WLAN-Verbindungsschichtschlüssel auf der IPsec-Schicht zu erzeugen, um Authentifizierungsdaten zu bilden, um die Authentifizierungsdaten an eine WLAN-Steuerinstanz auszugeben, um das mobile Endgerät und den Zugangspunkt mittels IKE über Authentifizierungsdaten gegenseitig zu authentifizieren und um ein Zertifikat einer Zertifikatsstelle, das zweite Zertifikat und den privaten Schlüssel mit dem Internet-Key-Exchange-Protokoll (IKE) zu benutzen, um IPsec-Authentifizierungs-, Verschlüsselungs- und Entschlüsselungsschlüssel für Datenpakete zu erzeugen, die zwischen dem mobilen Endgerät und dem Zugangspunkt übertragen werden, und die WLAN-Steuerinstanz, die konfiguriert ist, um die Authentifizierungsdaten in einer Nachricht der MAC-Schicht an den Zugangspunkt zu senden.
  • Die vorliegende Erfindung richtet sich an Verfahren zum Erzeugen, Einsetzen und Verwalten von Sicherheitsschlüsseln für Kommunikationssitzungen zwischen einem mobilen Endgerät und einem Zugangspunkt in einem drahtlosen lokalen Netzwerk. Es adressiert und löst die oben beschriebenen Nachteile von drahtlosen Netzwerken. Im Speziellen richtet es sich an den Bedarf nach effizientem Schlüsselmanagement, um die Funktionen der Verbindungsschichtsicherheit aktuell verfügbarer WLANs zu unterstützen, um unautorisierten Zugriff auf das Netzwerk zu verhindern.
  • Die Sitzungsschlüssel werden für jede Kommunikationssitzung zwischen einem mobilen Endgerät und einem der Zugangspunkte des Netzwerks erzeugt, anstatt vordefiniert und in dem mobilen Endgerät gespeichert zu sein. Somit löst die Erfindung mindestens einen oben beschriebenen Nachteil dahingehend, dass keine Netzwerkwartung erforderlich ist, wenn neue mobile Endgeräte oder Zugangspunkte zu dem drahtlosen Netzwerk hinzugefügt werden, und dass keine mögliche Verletzung der Sicherheit in Bezug auf diesen Bedarf an Wartung auftreten kann. Das Ausführungsbeispiel der Erfindung erzielt eine viel bessere Sicherheit als herkömmliche drahtlose Netzwerke, indem es neue Schlüssel für jede Kommunikationssitzung verwendet.
  • Andere wichtige Aspekte, die durch Anusführungsformen der Erfindung in Betracht gezogen werden, sind Datenvertraulichkeit, Datenauthentizität und Dienstverfügbarkeit. Die Erfindung bezieht zum Beispiel ein weit verwendetes Schlüsselmanagementverfahren in dem Netzwerk ein, um beim Standortwechsel durchgehenden Dienst bereitzustellen. Die Verwendung eines standardmäßigen öffentlichen Schlüsselprotokolls ermöglicht den Wechsel in andere Netzwerke. Somit ist selbst globaler Standortwechsel mit einem globalen Schlüsselmanagementverfahren und einer globalen Zertifikathierarchie möglich.
  • Die IP- (Endpunkt) Sicherheitsfunktionen und der Verbindungsschicht-Sicherheitsschutz sind eng integriert. Sowohl Verschlüsselung als auch Authentifizierung werden auf der IPsec-Schicht angewendet, um die Verwendung von WEP zu vermeiden. Wenn der gesamte Nutzdatenverkehr des mobilen Endgeräts den Schutz der IP-Sicherheitsfunktionen gemäß diesem Ausführungsbeispiel empfängt, dann wird die WLAN-Verbindungsschicht-Verschlüsselung des Nutzdatenverkehrs unnötig.
  • In einer anderen Ausführungsform der Erfindung werden die IP-Sicherheitsfunktionen verwendet, um die Nachrichtenelemente in der MAC-Schicht zu authentifizieren. Diese Verwendung von Standardprotokollen und Schnittstellen, die in den IP-Sicherheitsfunktionen verfügbar sind, verringert die Arbeit in Verbindung mit der Aktualisierung der WLAN-Sicherheitsfunktionen.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Das Vorangegangene und ein besseres Verständnis der vorliegenden Erfindung werden durch die folgende detaillierte Beschreibung der Ausführungsbeispiele und der Ansprüche deutlich, wenn diese in Verbindung mit den dazugehörigen Zeichnungen gelesen wird, wobei alles zusammen einen Teil der Beschreibung der Erfindung bildet. Während sich die vorangegangene und folgende geschriebene und dargestellte Beschreibung auf das Offenlegen eines Ausführungsbeispiels der Erfindung konzentriert, sollte deutlich sein, das dies nur darstellend und beispielhaft geschieht und nicht, um als Beschränkung verstanden zu werden, da der Bereich des Schutzes der vorliegenden Erfindung nur durch die Begriffe der Ansprüche in dem Patent beschränkt wird, das aus dieser Patentanmeldung hervor geht.
  • 1 ist ein Blockdiagramm, das die Architektur eines drahtlosen lokalen Netzwerks darstellt.
  • 2 zeigt den Schichtstapel einer typischen Internetverbindung über einen WLAN-IP-Router, wie er in dem Netzwerk verwendet werden kann, das in 1 gezeigt wird.
  • 3 ist ein Ablaufdiagramm, das die Kombination der IP-Endpunktsicherheitsfunktionen und der WLAN-Verbindungsschichtsicherheit in einem ersten Ausführungsbeispiel der Erfindung darstellt.
  • 4 ist ein Ablaufdiagramm, das die Verwendung der Paketauthentifikation auf der Aufwärtsstrecke in einem Zugangspunkt ohne Verbindungsschichtverschlüsselung in einem zweiten Ausführungsbeispiel der Erfindung darstellt.
  • 5 ist ein verallgemeinertes Blockdiagramm, das eine IP-Authentifikationsnachricht als Teil einer Nachricht in der WLAN-MAC-Schicht darstellt.
  • DETAILLIERTE BESCHREIBUNG
  • Die hierin beschriebenen Ausführungsbeispiele der vorliegenden Erfindung richten sich an spezielle Verfahren zum Erzeugen, Verwenden und Verwalten von Sicherheitsschlüsseln für Kommunikationssitzungen zwischen einem mobilen Endgerät und einem Zugangspunkt in einem drahtlosen lokalen Netzwerk. Die Erfindung ist natürlich nicht auf solche speziellen Ausführungsformen beschränkt. Sie richtet sich allgemein an eine breite Vielfalt von Schlüsselmanagementverfahren und Systeme für drahtlose Netzwerke. Obwohl die Ausführungsbeispiele der Erfindung zum Beispiel mit Bezug auf die WLAN-Standards IEEE 802.11 beschrieben werden, könnten sich alternative Ausführungsformen an HIPERLAN2 lokale Funknetzwerke richten.
  • Die Ausführungsbeispiele, die nachfolgend mit Bezug auf 35 beschrieben werden, verwalten Sicherheitsschlüssel in den mobilen Endgeräten und den Zugangspunkten eines drahtlosen Netzwerks durch Integrieren des Schlüsselmanagements der IP-Sicherheitsfunktionen und des Verbindungsschicht-Sicherheitsschutzes effektiv. Der Hauptaspekt der Ausführungsformen besteht darin, dass sowohl der WLAN-Verbindungsschicht-Sicherheitsschutz als auch die IP-Sicherheit das gleiche Schlüsselmanagementprotokoll und die gleiche Zertifikathierarchie verwenden (das heißt, beide weisen die gleiche Hauptzertifikatstelle auf).
  • Im Besonderen verbinden die Ausführungsbeispiele die Verwendung des IKE- (Internet Key Exchange) Schlüsselmanagementprotokolls und Verknüpfung der WLAN- und IP-Schichtschlüssel. IKE wird in RFC 2409 von D. Harkins et al mit dem Titel "The Internet Key Exchange" und veröffentlicht von der Internet Engineering Task Force (IETF) im November 1998 ausführlich beschrieben. IKE ist inzwischen ein allgemein verwendetes Schlüsselmanagementprotokoll und seine Verwendung für das Management von Verbindungsschichtschlüsseln ist vorteilhaft.
  • Wie oben beschrieben können in die WLAN-Verbindungsschicht zusätzliche Sicherheitsfunktionen wie Verschlüsselung und Authentifizierung eingeschlossen werden. In dem WLAN-Standard IEEE 802.11 können diese Funktionen durch die in WEP verwendete Verschlüsselung umgesetzt werden. Die Beseitigung eines separaten (eventuell proprietären)?WLAN-Verbindungsschichtschlüssel-Managementprotokolls vereinfacht die mobilen Endgeräte und erleichtert ihre Wartung.
  • 3 zeigt ein spezielles Beispiel der Verwendung des IKE und der verbundenen Zertifikathierarchie sowohl für IP-Schichtsicherheit und die WLAN-Verbindungsschichtsicherheit. Wie gezeigt kommuniziert das mobile Endgerät (MT)?mit einem Server, der IPsec authentifizierte und verschlüsselte Datenpakete verwendet. Das IPsec-Protokoll wird detailliert in Request for Comments 2401 von S. Kent et al unter dem Titel "Security Architecture for the Internet Protocol" und veröffentlicht von der Internet Engineering Task Force im November 1998 beschrieben. Es ist ein IP-Schicht basiertes Sicherheitsprotokoll zum Bereitstellen sicherer Endpunktkommunikation von Nutzdatenpaketen zwischen zwei IP-Hosts nach Wahl der Hosts, wenn diese der Meinung sind, dass zusätzliche Sicherheit nötig ist, durch Authentifizierung und/oder Verschlüsselung der Datenpakete, die zwischen den Hosts übertragen werden.
  • Obwohl sich die Authentifikations- und/oder Verschlüsselungsmechanismen, die in dem Ausführungsbeispiel der 3 gezeigt werden, nicht von denen unterscheiden, die im Protokoll beschrieben werden, werden die Datenpakete stattdessen als Teil des standardmäßigen (sicheren)?Betriebs des WLAN immer authentifiziert und verschlüsselt, wenn sie zwischen einem mobilen Endgerät und einem Zugangspunkt über die gemeinsame Frequenz und den gemeinsamen Luftraum übertragen werden, und nicht nur dann, wenn das mobile Endgerät oder der Zugangspunkt die gesicherte Kommunikation wählen. Diese Übertragung kann unter Verwendung des WEP durchgeführt werden, muss jedoch nicht.
  • IPsec verwendet symmetrische Kryptografie, die an beiden Enden die gleichen Verschlüsselungs- oder Authentifikationsschlüssel erfordert. Ein skalierbares Schlüsselmanagementprotokoll wie IKE wird verwendet, um die gleichen symmetrischen Schlüssel für den IP-Stapel zu erzeugen. Der Schlüsselaustausch basiert auf der öffentlichen Schlüsselkryptografie und auf Zertifikaten, die von einer zuverlässigen dritten Stelle (häufig als Zertifikatstelle (CA) bezeichnet) ausgegeben werden. Die bekannteste aktuelle Anwendung des IPsec-Protokolls ist die zum Aufbau Virtueller Privater Netzwerke (VPN)?in IPv4.
  • In dem Ausführungsbeispiel der 3 empfangen das mobile Endgerät, der Zugangspunkt und der Server zunächst jeweilige Zertifikate (Schritt 1) von einer Zertifikatstelle, die derselben Zertifikathierarchie angehören (in 3 wird aus Gründen der Einfachheit nur eine CA gezeigt).
  • Die Zertifikate können in einem Zertifikatserver, in einem Zugangspunkt, in dem mobilen Endgerät selbst oder in einer getrennten Smart-Card, die mit dem mobilen Endgerät verwendet werden kann, gespeichert sein. Optional können ein Zugangspunkt oder eine Mobilstation das Zertifikat das anderen speichern, um es nicht während jedes Zuweisungsprozesses austauschen zu müssen, wodurch Bandbreite eingespart wird und die Verzögerung beim Einschalten des mobilen Endgeräts zur Übertragung verringert wird. Vorzugsweise können das Zertifikat der Zertifikatstelle, das eigene Zertifikat und der private Schlüssel in den Zugangspunkten und den mobilen Endgeräten zum Zeitpunkt der Herstellung eingeschlossen werden. In diesem Fall besteht kein Bedarf an der Durchführung von Wartung oder Netzwerkeinrichtung, wenn ein Zugangspunkt oder ein mobiles Endgerät zu einem Netzwerk hinzugefügt werden. Alternativ weist der Netzwerkmanager dem mobilen Endgerät oder dem Zugangspunkt die Zertifikate zu.
  • Eine Mobilstation kann Datenframes nur dann senden oder empfangen, wenn die Zuweisung zu einem entsprechenden Zugangspunkt vollständig ist. Der Zuweisungsprozess umfasst die Übertragung von Informationen über die Mobilstation und ihren Fähigkeiten an das Netzwerk, so dass es bestimmen kann, welcher der verschiedenen Zugangspunkte mit der Mobilstation kommunizieren werden. Wenn sich das mobile Endgerät erstmals einem bestimmten Zugangspunkt zuweist, verwendet es die IKE mit privatem Schlüssel und die Zertifikate, um die WLAN-Verbindungsschichtschlüssel mit diesem Zugangspunkt zu erzeugen (Schritt 2). Dieser Prozess führt zu gegenseitiger Authentifikation sowohl des mobilen Endgeräts als auch des Zugangspunktes. Wenn Endpunkt-IPsec-Sicherheit gemäß dem Ausführungsbeispiel der Erfindung eingesetzt wird, verwendet das mobile Endgerät die IKE, um die Authentifikationsschlüssel und Chiffrierungsschlüssel mit dem Netzwerkserver zu erzeugen (Schritt 3). Beim Übertragen von Paketen erzeugt das IPsec-Kernel in dem mobilen Endgerät den Authentifikations-Header (AH) und verschlüsselt die Pakete. In dem Server werden die Pakete authentifiziert und entschlüsselt (Schritt 4). Verbindungsschicht-Sitzungsschlüssel (zum Beispiel mit WEP) werden verwendet, um Verkehr über die gemeinsame Frequenz und den gemeinsamen Luftraum zu verschlüsseln (Schritt 5).
  • Obwohl in 3 nicht gezeigt, besteht eine optionale Funktion der Ausführungsform darin, die WLAN-Sicherheit zu veranlassen, sich der standardmäßigen Schlüsselmanagementschnittstelle des IPsec-Kernels anzupassen (das heißt die in RFC 2367 von D. McDonald et al unter dem Titel "PF_KEY Key Management API. Version 2" und veröffentlicht von der Internet Engineering Task Force (IETF) im Juli 1998 beschriebene PF_KEY Socket-Schnittstelle). Dadurch müssen keine Änderungen an dem IKE-Protokoll vorgenommen werden, wodurch jede IKE-Umsetzung verwendet werden kann. Wenn eine standardmäßige IKE für WLAN-Schichtschlüsselmanagement verwendet wird, wird sie vorzugsweise so erweitert, dass sie weiß, dass die ausgehandelten Schlüssel nicht an den IPsec-Stapel gegeben werden. Doch die Verbindungsschicht- und IPsec-Sicherheitszuweisungen (SAs), die von der IKE ausgehandelt wurden, können in der gleichen Sicherheitszuweisungs- (SA-) Datenbank gespeichert werden, so dass sie der WLAN-Teil des Kernelstapels leicht finden kann.
  • Das zweite Ausführungsbeispiel, das in 4 gezeigt wird, ist eine Variante der in 3 gezeigten ersten Ausführungsform. Viele Funktionen der zweiten Ausführungsform stimmen daher mit denen der ersten Ausführungsform überein und aus Gründen der Einfachheit werden diese nicht wiederholt. Die zweite Ausführungsform unterscheidet sich von der ersten Ausführungsform zumindest darin, dass der IPsec-Authentifikations-Header (AH) für die Authentifikation der Datenpakete (auf der Aufwärtsstrecke), die von dem mobilen Endgerät an den Zugangspunkt gesendet werden, verwendet wird. Im Speziellen zeigt das mobile Endgerät dem Zugangspunkt die IPsec-Authentifikationsschlüssel (das heißt die Authentifikationssicherheitszuweisung) an (Schritt 3a). Da an dem Zugangspunkt Nutzdatenpaketauthentifikation für Zugangssteuerung und -berechnung erforderlich ist, werden die Pakete in dem Zugangspunkt basierend auf der IP-Endpunktsicherheitsauthentifiaktion authentifiziert. Im Speziellen authentifiziert der Zugangspunkt die Nutzdatenpakete basierend auf dem IPsec-Authentifikations-Header (Schritt 5). Dadurch wird der Bedarf an zusätzlichen Authentifikationsfunktionen auf der WLAN-Verbindungsschicht für den Nutzdatenverkehr vermieden. Dieses Verfahren erfordert, dass das IPsec-Sicherheitsprotokoll für den gesamten Verkehr des mobilen Endgeräts auf der Aufwärtsstrecke verwendet wird. Vorzugsweise sind entweder AH oder ESP mit seiner eigenen Authentifikationserweiterung der äußerste IPsec-Header in dem übertragenen Paket (angewendet zumindest von den sendenden Seite und zunächst von der empfangenden Seite), so dass der Authentifikations-Header des Pakets nicht verschlüsselt und für den Zugangspunkt nicht verfügbar ist.
  • In der zweiten Ausführungsform der 4 müssen das mobile Endgerät und die Zugangspunkte alle Datenpakete, die für gegenseitige Authentifikations- und Zugangssteuerzwecke gesendet werden, authentifizieren. Die benötigten kryptografischen Funktionen können als Teil der WLAN-Schicht umgesetzt werden, wie in 5 gezeigt, doch die erforderlichen Funktionen bestehen bereits in dem IPsec-Kernel. In einigen Fällen ist es möglich, dass die Verwendung dieser Kernel-IPsec-Funktionen, die gelegentlich als „Paketzirkulation" bezeichnet werden, zum Senden und Empfangen der authentifizierten Nachricht in der WLAN-Verbindungsschicht von Vorteil ist. In anderen Fällen ist das auf Grund schlechter Leistung nicht vorteilhaft. Manchmal ist es wegen fehlender Funktionen des Betriebssystems nicht einmal möglich. In diesen Fällen besteht eine bessere Alternative darin, die benötigten Authentifikationsfunktionen in dem WLAN-Steuerprozess umzusetzen.
  • In dem dritten Ausführungsbeispiel, das in 5 gezeigt wird, sendet ein WLAN-Steuerprozess in einem mobilen Endgerät eine IPsec-authentifizierte Nachricht als Teil der Nachricht in der WLAN-MAC-Schicht an den Zugangspunkt. Der WLAN-Steuerprozess in dem Zugangspunkt empfängt die Nachricht und authentifiziert sie unter Verwendung seines IPsec-Kernels. Die folgenden Phasen sind in 5 dargestellt:
    • 1) Der Steuerprozess in dem mobilen Endgerät reicht ein zu authentifizierendes Datenpaket an den IPsec-Kernel.
    • 2) Der IPsec-Kernel ist eingerichtet, um ein Authentifikations-Header- (AH-) Paket aufzubauen und es an den Steuerprozess zu reichen. Die Pakete, die diese spezielle Behandlung empfangen sollen, können basierend auf der Portnummer, die für den WLAN-Steuerprozess umgekehrt wird, bestimmt werden.
    • 3) Der WLAN-Steuerprozess baut die Nachricht in der MAC-Schicht auf und sendet sie an den Zugangspunkt.
    • 4) Durch eine Netzwerkschnittstelle empfängt der Zugangspunkt die Nachricht in der MAC-Schicht, die die Authentifikationsdaten enthält.
    • 5) Die Nachricht in der MAC-Schicht wird durch die Netzwerkschnittstelle an den Steuerprozess des Zugangspunktes gereicht.
    • 6) Der Steuerprozess des Zugangspunktes bestimmt, dass die Nachricht in der MAC-Schicht IPsec-Authentifikationsdaten enthält und extrahiert die IPsec-Nutzdaten aus der WLAN-Nachricht. Die extrahierten IPsec-Nutzdaten werden zur Authentifikation durch die Netzwerkschnittstelle an den Kernel gesendet (die Portnummer wird für den WLAN-Wert umgekehrt).
    • 7) Die Nutzdaten bestehen den Authentifikationsprozess in dem IPsec-Kernel und werden an den Steuerprozess zurückgereicht. Der Empfang der Nachricht bestätigt dem Steuerprozess die Authentifikation (der Steuerprozess erkennt das Paket an der umgekehrten WLAN-Portnummer).
  • Alle oben beschriebenen Ausführungsformen können umgesetzt werden, um beim Roaming Schlüsselmanagement zuzulassen. Tatsächlich kann globales Roaming durch Verwendung der globalen Zertifikathierarchie, die für die IPsec erzeugt wurde, erzielt werden. Roaming ist der Prozess eines mobilen Endgeräts, das sich von einem Zugangspunkt in einem WLAN zu einem anderen bewegt, ohne seine Verbindung mit dem Netzwerk zu verlieren. Beim Roaming wird normalerweise an jedem neuen Zugangspunkt eine Neuzuweisung durchgeführt. Da in dem Ausführungsbeispiel bei jeder Sitzung zwischen dem mobilen Endgerät und dem Zugangspunkt gegenseitige Authentifikation ausgeführt wird, kann das Ergebnis in einer nachfolgenden Neuzuweisung verwendet werden, um das Weiterreichen eines mobilen Endgeräts an einen neuen Zugangspunkt beim Roaming zu authentifizieren.
  • Globales WLAN-Roaming wird möglich, sobald die IPsec-Hierarchie weltweit verfügbar wird.
  • Obwohl das Vorangegangene beschrieben hat, was als Ausführungsbeispiele der Erfindung betrachtet wird, ist es verständlich, dass verschiedene Anpassungen daran vorgenommen werden können und dass die Erfindung in verschiedenen Formen und Ausführungsformen umgesetzt werden kann und dass sie in zahlreichen Anwendungen eingesetzt werden kann, von denen hierin nur einige beschrieben wurden. Die folgenden Ansprüche beabsichtigen, all solche Anpassungen und Variationen zu beanspruchen.

Claims (12)

  1. Verfahren zum Managen von Sicherheitsschlüsseln in einem lokalen Netzwerk mit einem mobilen Endgerät, einem drahtlosen Zugangspunkt und einem Server, wobei das Verfahren folgende Schritte umfasst: am mobilen Endgerät das Beziehen eines ersten Zertifikats des Zugangspunktes und eines zweiten Zertifikats des Servers von einer Zertifikatsstelle, das in Verbindungbringen des mobilen Endgerätes mit dem Zugangspunkt, das Verwenden eines Zertifikats einer Zertifikatsstelle, des ersten Zertifikats und eines privaten Schlüssels mit dem Internet-Key-Exchange-Protokoll (IKE), um einen WLAN-Verbindungsschichtschlüssel auf der IPsec-Schicht zu erzeugen, das Bilden von Authentifizierungsdaten auf der IPsec-Schicht, das Ausgeben der Authentifizierungsdaten an die WLAN-Schicht, das Senden der Authentifizierungsdaten in einer Nachricht der MAC-Schicht an den Zugangspunkt, das gegenseitige Authentifizieren des mobilen Endgerätes und des Zugangspunktes mittels IKE auf der IPsec-Schicht über Authentifizierungsdaten, die auf der MAC-Schicht weitergeleitet werden, und das Benutzen des Zertifikats einer Zertifikatsstelle, des zweiten Zertifikats und des privaten Schlüssels mit Internet-Key-Exchange-Protokoll (IKE), um IPsec-Authentifizierungs-, Verschlüsselungs- und Entschlüsselungsschlüssel für Datenpakete zu erzeugen, die zwischen dem mobilen Endgerät und dem Zugangspunkt übertragen werden.
  2. Verfahren nach Anspruch 1, wobei das Zertifikat einer Zertifikatsstelle, der private Schlüssel und das erste und zweite Zertifikat in dem mobilen Endgerät gespeichert werden.
  3. Verfahren nach Anspruch 2, wobei das Zertifikat einer Zertifikatsstelle, der private Schlüssel und das erste und zweite Zertifikat zum Zeitpunkt der Herstellung des mobilen Endgerätes in dem mobilen Endgerät gespeichert werden.
  4. Verfahren nach Anspruch 1, wobei das mobile Endgerät einen Authentifizierungsheader für die Datenpakete erzeugt, die mit Hilfe des IPsec-Verschlüsselungsschlüssels zwischen dem mobilen Endgerät und dem Server übertragen werden.
  5. Verfahren nach Anspruch 1, wobei der Server mit Hilfe der IPsec-Authentifierungs- und Entschlüsselungsschlüssel Datenpakete authentifiziert und entschlüsselt, die vom mobilen Endgerät übertragen werden.
  6. Verfahren nach Anspruch 5, wobei die Datenpakete mit Hilfe von WLAN-Verbindungsschichtverschlüsselung, zusätzlich zur IPsec-Verschlüsselung vom mobilen Endgerät zum Zugangspunkt übertragen werden.
  7. Verfahren nach Anspruch 6, wobei die WLAN-Verbindungsschichtverschlüsselung eine Verschlüsselung über Wired Equivalent Privacy(WEP) umfasst.
  8. Verfahren nach Anspruch 1, wobei die Datenpakete mittels WLAN-Verbindungsschichtverschlüsselung vom mobilen Endgerät zum Zugangspunkt übertragen werden.
  9. Verfahren nach Anspruch 8, wobei das mobile Endgerät den IPsec-Authentifizierungsschlüssel zum Zugangspunkt weiterleitet.
  10. Verfahren nach Anspruch 9, wobei der Zugangspunkt Datenpakete authentifiziert, die mit Hilfe des IPsec-Verschlüsselungsschlüssels vom mobilen Endgerät zum Zugangspunkt übertragen werden.
  11. Verfahren nach Anspruch 1, wobei das mobile Endgerät eine über IPsec authentifizierte Nachricht als Teil einer Nachricht der MAC-Schicht des drahtlosen lokalen Netzwerks zum Zugangspunkt sendet.
  12. Mobiles Endgerät, umfassend: eine IPsec-Instanz, die konfiguriert ist, um ein erstes Zertifikat eines Zugangspunktes und ein zweites Zertifikat eines Servers von einer Zertifikatsstelle zu beziehen, um das mobile Endgerät an den Zugangspunkt anzuschließen, um ein Zertifikat einer Zertifikatsstelle, das erste Zertifikat und einen privaten Schlüssel mit dem Internet-Key-Exchange-Protokoll (IKE) zu benutzen, um einen WLAN-Verbindungsschichtschlüssel auf der IPsec-Schicht zu erzeugen, um Authentifizierungsdaten zu bilden, um die Authentifizierungsdaten an eine WLAN-Steuerinstanz auszugeben, um das mobile Endgerät und den Zugangspunkt mittels IKE über Authentifizierungsdaten gegenseitig zu authentifizieren und um ein Zertifikat einer Zertifikatsstelle, das zweite Zertifikat und den privaten Schlüssel mit dem Internet-Key-Exchange-Protokoll (IKE) zu benutzen, um IPsec-Authentifizierungs-, Verschlüsselungs- und Entschlüsselungsschlüssel für Datenpakete zu erzeugen, die zwischen dem mobilen Endgerät und dem Zugangspunkt übertragen werden, und die WLAN-Steuerinstanz, die konfiguriert ist, um die Authentifizierungsdaten in einer Nachricht der MAC-Schicht an den Zugangspunkt zu senden.
DE60121393T 2000-02-11 2001-02-06 Schlüsselverwaltungsverfahren für drahtlose lokale Netze Expired - Lifetime DE60121393T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US502567 2000-02-11
US09/502,567 US7028186B1 (en) 2000-02-11 2000-02-11 Key management methods for wireless LANs

Publications (2)

Publication Number Publication Date
DE60121393D1 DE60121393D1 (de) 2006-08-24
DE60121393T2 true DE60121393T2 (de) 2007-07-05

Family

ID=23998394

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60121393T Expired - Lifetime DE60121393T2 (de) 2000-02-11 2001-02-06 Schlüsselverwaltungsverfahren für drahtlose lokale Netze

Country Status (3)

Country Link
US (1) US7028186B1 (de)
EP (1) EP1178644B1 (de)
DE (1) DE60121393T2 (de)

Families Citing this family (109)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7814212B1 (en) 2000-04-28 2010-10-12 Chan Hark C Data delivery system using local and remote communications
US7571308B1 (en) * 2000-06-28 2009-08-04 Microsoft Corporation Method for controlling access to a network by a wireless client
US7596223B1 (en) * 2000-09-12 2009-09-29 Apple Inc. User control of a secure wireless computer network
WO2002042890A1 (fr) * 2000-11-22 2002-05-30 Fujitsu Limited Systeme de securite pour processeur d'informations
US7308263B2 (en) * 2001-02-26 2007-12-11 Kineto Wireless, Inc. Apparatus for supporting the handover of a telecommunication session between a licensed wireless system and an unlicensed wireless system
US20040205248A1 (en) * 2001-07-10 2004-10-14 Herbert A Little System and method for secure message key caching in a mobile communication device
CN101232504B (zh) 2001-08-06 2012-09-19 捷讯研究有限公司 用于处理已编码消息的系统和方法
US7389412B2 (en) * 2001-08-10 2008-06-17 Interactive Technology Limited Of Hk System and method for secure network roaming
KR100882033B1 (ko) * 2001-11-29 2009-02-09 지멘스 악티엔게젤샤프트 네트워크 오퍼레이터 및 사업 파트너들에 대한 원격통신 가입자의 인증 및 허가를 위한 단말기 내의 공개키 키 쌍의 사용
US7188364B2 (en) 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
US7986937B2 (en) * 2001-12-20 2011-07-26 Microsoft Corporation Public access point
CN1268093C (zh) * 2002-03-08 2006-08-02 华为技术有限公司 无线局域网加密密钥的分发方法
FR2838586B1 (fr) 2002-04-11 2004-09-24 Cit Alcatel Procede pour securiser une liaison entre un terminal de donnees et un reseau local informatique, et terminal de donnees pour la mise en oeuvre de ce procede
KR100458955B1 (ko) * 2002-04-18 2004-12-03 (주) 시큐컴 무선랜 보안 방법
CN1215386C (zh) * 2002-04-26 2005-08-17 St微电子公司 根据量子软计算控制过程或处理数据的方法和硬件体系结构
TWI220625B (en) * 2002-05-01 2004-08-21 Nec Corp Service data multicasting system and method therefor and security key generating system
US7355994B2 (en) * 2002-05-06 2008-04-08 Extricom Ltd. CDMA messaging between wireless LAN access points
US7319688B2 (en) * 2002-05-06 2008-01-15 Extricom Ltd. LAN with message interleaving
US20030206532A1 (en) 2002-05-06 2003-11-06 Extricom Ltd. Collaboration between wireless lan access points
US6799054B2 (en) * 2002-05-06 2004-09-28 Extricom, Ltd. Collaboration between wireless LAN access points using wired lan infrastructure
JP4340626B2 (ja) 2002-05-13 2009-10-07 トムソン ライセンシング シームレスな公衆無線ローカル・エリア・ネットワーク・ユーザ認証
US6954793B2 (en) 2002-05-13 2005-10-11 Thomson Licensing S.A. Pre-paid data card authentication in a public wireless LAN access system
US7127428B2 (en) 2002-05-13 2006-10-24 Thomson Licensing Dynamic business relationship establishment in a public wireless LAN environment
US6965674B2 (en) 2002-05-21 2005-11-15 Wavelink Corporation System and method for providing WLAN security through synchronized update and rotation of WEP keys
KR101002471B1 (ko) 2002-06-06 2010-12-17 톰슨 라이센싱 계층적 인증을 이용하는 브로커-기반 연동
US7697549B2 (en) * 2002-08-07 2010-04-13 Extricom Ltd. Wireless LAN control over a wired network
US20060209771A1 (en) * 2005-03-03 2006-09-21 Extricom Ltd. Wireless LAN with contention avoidance
US20050195786A1 (en) * 2002-08-07 2005-09-08 Extricom Ltd. Spatial reuse of frequency channels in a WLAN
US7421266B1 (en) 2002-08-12 2008-09-02 Mcafee, Inc. Installation and configuration process for wireless network
AU2003258184A1 (en) * 2002-08-14 2004-03-03 Thomson Licensing S.A. Session key management for public wireless lan supporitng multiple virtual operators
US6725044B2 (en) 2002-08-15 2004-04-20 Thomson Licensing S.A. Technique seamless handoff of a mobile terminal user from a wireless telephony network to a wireless LAN
US7330448B2 (en) 2002-08-21 2008-02-12 Thomson Licensing Technique for managing quality of services levels when interworking a wireless local area network with a wireless telephony network
US7574731B2 (en) * 2002-10-08 2009-08-11 Koolspan, Inc. Self-managed network access using localized access management
US7853788B2 (en) 2002-10-08 2010-12-14 Koolspan, Inc. Localized network authentication and security using tamper-resistant keys
US8077681B2 (en) * 2002-10-08 2011-12-13 Nokia Corporation Method and system for establishing a connection via an access network
US7607015B2 (en) * 2002-10-08 2009-10-20 Koolspan, Inc. Shared network access using different access keys
US7325134B2 (en) 2002-10-08 2008-01-29 Koolspan, Inc. Localized network authentication and security using tamper-resistant keys
KR100479260B1 (ko) * 2002-10-11 2005-03-31 한국전자통신연구원 무선 데이터의 암호 및 복호 방법과 그 장치
CN100499538C (zh) * 2002-10-11 2009-06-10 松下电器产业株式会社 无线局域网互连中的识别信息保护方法
US7885644B2 (en) * 2002-10-18 2011-02-08 Kineto Wireless, Inc. Method and system of providing landline equivalent location information over an integrated communication system
US7349698B2 (en) 2002-10-18 2008-03-25 Kineto Wireless, Inc. Registration messaging in an unlicensed mobile access telecommunications system
CN101730180A (zh) * 2002-10-18 2010-06-09 卡耐特无线有限公司 扩展有执照无线通信系统覆盖区域的装置与方法
US7471655B2 (en) * 2003-10-17 2008-12-30 Kineto Wireless, Inc. Channel activation messaging in an unlicensed mobile access telecommunications system
US7606190B2 (en) 2002-10-18 2009-10-20 Kineto Wireless, Inc. Apparatus and messages for interworking between unlicensed access network and GPRS network for data services
CN1191696C (zh) 2002-11-06 2005-03-02 西安西电捷通无线网络通信有限公司 一种无线局域网移动设备安全接入及数据保密通信的方法
US7346772B2 (en) * 2002-11-15 2008-03-18 Cisco Technology, Inc. Method for fast, secure 802.11 re-association without additional authentication, accounting and authorization infrastructure
US7698550B2 (en) 2002-11-27 2010-04-13 Microsoft Corporation Native wi-fi architecture for 802.11 networks
FR2848754B1 (fr) * 2002-12-12 2005-03-11 Ucopia Comm Procede d'authentification dans un reseau sans fil et architecture pour la mise en oeuvre du procede
US7571469B2 (en) * 2002-12-24 2009-08-04 Nokia Corporation Method for communication control in a communication network, communication control entity, key management entity, terminal and gateway entity
KR100493885B1 (ko) * 2003-01-20 2005-06-10 삼성전자주식회사 공개키 기반 구조(pki) 도메인간의 이동 사용자를 위한스마트카드 인증서 등록 및 검증 시스템 및 방법
US7620027B2 (en) * 2003-03-14 2009-11-17 Canon Kabushiki Kaisha Communication system, information processing device, connection device, and connection device designation method for designating connection device for communication device to connect to
US20060179305A1 (en) * 2004-03-11 2006-08-10 Junbiao Zhang WLAN session management techniques with secure rekeying and logoff
KR20050116821A (ko) * 2003-03-14 2005-12-13 톰슨 라이센싱 보안 리키잉과 로그 오프를 이용한 wlan 세션 관리기술
US7490348B1 (en) 2003-03-17 2009-02-10 Harris Technology, Llc Wireless network having multiple communication allowances
US7774828B2 (en) * 2003-03-31 2010-08-10 Alcatel-Lucent Usa Inc. Methods for common authentication and authorization across independent networks
US7320073B2 (en) 2003-04-07 2008-01-15 Aol Llc Secure method for roaming keys and certificates
EP1629655A1 (de) 2003-06-05 2006-03-01 Wireless Security Corporation Methoden und systeme zur fernauthentisierung für computernetze
EP1494395A1 (de) * 2003-07-01 2005-01-05 Alcatel Verfahren und Zugangsauthentifizierungsmodul zu einem Zielnetzwerk mittels einem WLAN
JP5080080B2 (ja) * 2003-07-15 2012-11-21 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ Wlanにおける高速アクティブスキャニングを行う方法、アクセスポイント、高速アクティブスキャニングシステム及び第1局
US7325133B2 (en) * 2003-10-07 2008-01-29 Koolspan, Inc. Mass subscriber management
WO2005038608A2 (en) * 2003-10-15 2005-04-28 Koolspan, Inc. Mass subscriber management
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
KR100744531B1 (ko) * 2003-12-26 2007-08-01 한국전자통신연구원 무선 단말기용 암호키 관리 시스템 및 방법
US7466678B2 (en) * 2003-12-29 2008-12-16 Lenovo (Singapore) Pte. Ltd. System and method for passive scanning of authorized wireless channels
US7957348B1 (en) 2004-04-21 2011-06-07 Kineto Wireless, Inc. Method and system for signaling traffic and media types within a communications network switching system
US9094429B2 (en) 2004-08-10 2015-07-28 Blackberry Limited Server verification of secure electronic messages
ATE486428T1 (de) * 2004-08-20 2010-11-15 Telecom Italia Spa Verfahren zur registrierung von nutzer- endeinrichtungen in einem drahtlosen lokalen kommunikationsnetz
US7940746B2 (en) 2004-08-24 2011-05-10 Comcast Cable Holdings, Llc Method and system for locating a voice over internet protocol (VoIP) device connected to a network
US7631183B2 (en) 2004-09-01 2009-12-08 Research In Motion Limited System and method for retrieving related certificates
US7549043B2 (en) 2004-09-01 2009-06-16 Research In Motion Limited Providing certificate matching in a system and method for searching and retrieving certificates
US7640428B2 (en) 2004-09-02 2009-12-29 Research In Motion Limited System and method for searching and retrieving certificates
US20060072761A1 (en) * 2004-09-30 2006-04-06 Bruce Johnson Access point that wirelessly provides an encryption key to an authenticated wireless station
US20060085850A1 (en) * 2004-10-14 2006-04-20 Microsoft Corporation System and methods for providing network quarantine using IPsec
US7843900B2 (en) * 2005-08-10 2010-11-30 Kineto Wireless, Inc. Mechanisms to extend UMA or GAN to inter-work with UMTS core network
US7813738B2 (en) * 2005-08-11 2010-10-12 Extricom Ltd. WLAN operating on multiple adjacent bands
CN100459568C (zh) * 2005-09-22 2009-02-04 武汉思为同飞网络技术有限公司 在应用层实现vpn协议的系统及其方法
US7653813B2 (en) * 2006-02-08 2010-01-26 Motorola, Inc. Method and apparatus for address creation and validation
US8165086B2 (en) 2006-04-18 2012-04-24 Kineto Wireless, Inc. Method of providing improved integrated communication system data service
US7814161B2 (en) 2006-06-23 2010-10-12 Research In Motion Limited System and method for handling electronic mail mismatches
US7852817B2 (en) * 2006-07-14 2010-12-14 Kineto Wireless, Inc. Generic access to the Iu interface
US20080039086A1 (en) * 2006-07-14 2008-02-14 Gallagher Michael D Generic Access to the Iu Interface
US20080076425A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for resource management
US7912004B2 (en) * 2006-07-14 2011-03-22 Kineto Wireless, Inc. Generic access to the Iu interface
US20090059848A1 (en) * 2006-07-14 2009-03-05 Amit Khetawat Method and System for Supporting Large Number of Data Paths in an Integrated Communication System
US8036664B2 (en) * 2006-09-22 2011-10-11 Kineto Wireless, Inc. Method and apparatus for determining rove-out
US8073428B2 (en) 2006-09-22 2011-12-06 Kineto Wireless, Inc. Method and apparatus for securing communication between an access point and a network controller
US8204502B2 (en) 2006-09-22 2012-06-19 Kineto Wireless, Inc. Method and apparatus for user equipment registration
US7995994B2 (en) * 2006-09-22 2011-08-09 Kineto Wireless, Inc. Method and apparatus for preventing theft of service in a communication system
US20080076392A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for securing a wireless air interface
US8245284B2 (en) 2006-10-05 2012-08-14 Microsoft Corporation Extensible network discovery
US8433312B2 (en) * 2006-10-23 2013-04-30 Research In Motion Limited Methods and apparatus for scanning radio frequency bands in wireless local area networks
US20080112373A1 (en) * 2006-11-14 2008-05-15 Extricom Ltd. Dynamic BSS allocation
US8418241B2 (en) * 2006-11-14 2013-04-09 Broadcom Corporation Method and system for traffic engineering in secured networks
TWI320282B (en) * 2006-11-17 2010-02-01 Mobile communication system and device, network access device and key setting method thereof
CN101212465B (zh) * 2006-12-26 2011-10-26 中兴通讯股份有限公司 因特网密钥交换协议第二版证书有效性验证的方法
US8320567B2 (en) * 2007-01-05 2012-11-27 Cisco Technology, Inc. Efficient data path encapsulation between access point and access switch
US8019331B2 (en) * 2007-02-26 2011-09-13 Kineto Wireless, Inc. Femtocell integration into the macro network
US7907735B2 (en) 2007-06-15 2011-03-15 Koolspan, Inc. System and method of creating and sending broadcast and multicast data
US8050230B2 (en) * 2007-07-07 2011-11-01 Wipro Limited VoWLAN roaming controller with station pre-authentication
US20090047964A1 (en) 2007-08-17 2009-02-19 Qualcomm Incorporated Handoff in ad-hoc mobile broadband networks
US9398453B2 (en) 2007-08-17 2016-07-19 Qualcomm Incorporated Ad hoc service provider's ability to provide service for a wireless network
US8041335B2 (en) * 2008-04-18 2011-10-18 Kineto Wireless, Inc. Method and apparatus for routing of emergency services for unauthorized user equipment in a home Node B system
US9179367B2 (en) 2009-05-26 2015-11-03 Qualcomm Incorporated Maximizing service provider utility in a heterogeneous wireless ad-hoc network
CN101583083B (zh) * 2009-06-01 2011-11-30 中兴通讯股份有限公司 一种实时数据业务的实现方法和实时数据业务系统
US8588844B2 (en) 2010-11-04 2013-11-19 Extricom Ltd. MIMO search over multiple access points
KR101931601B1 (ko) * 2011-11-17 2019-03-13 삼성전자주식회사 무선 통신 시스템에서 단말과의 통신 인증을 위한 보안키 관리하는 방법 및 장치
WO2015022701A2 (en) * 2013-08-12 2015-02-19 Ciphergraph Networks Private Limited Method and system of routing and handover of secure communication without knowledge of private/secret key
EP3163832A1 (de) * 2015-10-27 2017-05-03 Thomson Licensing Verfahren und vorrichtung für sicheren zugriff eines dienstes über ausrüstungen am kundenstandort
JP7273523B2 (ja) * 2019-01-25 2023-05-15 株式会社東芝 通信制御装置および通信制御システム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5237612A (en) * 1991-03-29 1993-08-17 Ericsson Ge Mobile Communications Inc. Cellular verification and validation system
US5371794A (en) 1993-11-02 1994-12-06 Sun Microsystems, Inc. Method and apparatus for privacy and authentication in wireless networks
US5890075A (en) * 1996-10-21 1999-03-30 Lucent Technologies Inc. Method for remotely updating data stored in a mobile terminal by a wireless telecommunications system
US6453159B1 (en) * 1999-02-25 2002-09-17 Telxon Corporation Multi-level encryption system for wireless network
US6223291B1 (en) * 1999-03-26 2001-04-24 Motorola, Inc. Secure wireless electronic-commerce system with digital product certificates and digital license certificates

Also Published As

Publication number Publication date
EP1178644B1 (de) 2006-07-12
EP1178644A3 (de) 2004-02-04
EP1178644A2 (de) 2002-02-06
US7028186B1 (en) 2006-04-11
DE60121393D1 (de) 2006-08-24

Similar Documents

Publication Publication Date Title
DE60121393T2 (de) Schlüsselverwaltungsverfahren für drahtlose lokale Netze
DE60302882T2 (de) Sicherheitsübertragungsprotokoll für ein mobilitäts-ip-netzwerk
DE60035953T2 (de) Wiederverwendung von sicherheitsbeziehungen zur verbesserung der durchführung eines handovers
DE102006038591B4 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
DE60031878T2 (de) Schlüsselaustausch für eine netzwerkarchitektur
DE60132591T2 (de) Arrangieren der datenchiffrierung in einem drahtlosen telekommunikationssystem
DE60013588T2 (de) Sim authentifizierungsmechanismus für dhcrv4/v6 nachrichten
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
DE69831974T2 (de) Verfahren zur paketauthentifizierung in gegenwart von netzwerkadressübersetzungen und protokollumwandlungen
CA2602581C (en) Secure switching system for networks and method for secure switching
US20060031936A1 (en) Encryption security in a network system
DE112006000618T5 (de) System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
EP1891768A1 (de) Verfahren und anordnung zum sicheren übertragen von daten in einem ad hoc netzwerk
DE10297362T5 (de) Auswählen einer Sicherheitsformatumwandlung für drahtgebundene und drahtlose Vorrichtungen
DE102006038592A1 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
DE602004001606T2 (de) Return-Routability-Verfahren zur sicheren Kommunikation
DE60203277T2 (de) Verfahren und system zur authentifizierung eines personal security device gegenüber mindestens einem fernrechnersystem
DE102021209124A1 (de) Systeme und verfahren zum datenschutz einer multilink-vorrichtung
EP1593253B1 (de) Verfahren und anordnung zur transparenten vermittlung des datenverkehrs zwischen datenverarbeitungseinrichtungen sowie ein entsprechendes computerprogamm-erzeugnis und ein entsprechendes computerlesbares speichermedium
EP1406464B1 (de) Verfahren sowie Kommunikationsendgerät zum gesicherten Aufbau einer Kommunikationsverbindung
EP1920575A1 (de) Verfahren und anordnung zum übertragen von daten in einem ein mehrsprungverfahren nutzenden kommunikationssystem
WO2005004433A1 (de) Verfahren und einrichtung zum bilden und entschlüsseln einer verschlüsselten nachricht mit kommunikations-konfigurationsdaten
DE60124258T2 (de) System und verfahren zur sicheren mobilen kommunikation
DE102016218758B4 (de) Vorrichtung und verfahren zur durchgängigen und medienübergreifenden übertragung von kommunikationsprotokollen ohne protokollumsetzung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R082 Change of representative

Ref document number: 1178644

Country of ref document: EP

Representative=s name: TBK, DE

R081 Change of applicant/patentee

Ref document number: 1178644

Country of ref document: EP

Owner name: CORE WIRELESS LICENSING S.A.R.L., LU

Free format text: FORMER OWNER: 2011 INTELLECTUAL PROPERTY ASSET TRUST, WILMINGTON, US

Effective date: 20120801

R082 Change of representative

Ref document number: 1178644

Country of ref document: EP

Representative=s name: TBK, DE

Effective date: 20120801