PT1552646E - Método e aparelho de permissão de nova autenticação num sistema de comunicação celular - Google Patents

Método e aparelho de permissão de nova autenticação num sistema de comunicação celular Download PDF

Info

Publication number
PT1552646E
PT1552646E PT37484029T PT03748402T PT1552646E PT 1552646 E PT1552646 E PT 1552646E PT 37484029 T PT37484029 T PT 37484029T PT 03748402 T PT03748402 T PT 03748402T PT 1552646 E PT1552646 E PT 1552646E
Authority
PT
Portugal
Prior art keywords
authentication
server
identity
new
terminal
Prior art date
Application number
PT37484029T
Other languages
English (en)
Inventor
Henry Haverinen
Kalle Ahmavaara
Original Assignee
Nokia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Corp filed Critical Nokia Corp
Publication of PT1552646E publication Critical patent/PT1552646E/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/301Name conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/30Types of network names
    • H04L2101/345Types of network names containing wildcard characters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

ΕΡ1552646Β1
DESCRIÇÃO
MÉTODO E APARELHO DE PERMISSÃO DE NOVA AUTENTICAÇÃO NUM SISTEMA DE COMUNICAÇÃO CELULAR
CAMPO TÉCNICO A presente invenção pertence a um mecanismo de Protocolo de Autenticação Extensível (EAP - Extensible Authentication Protocol) para a autenticação e distribuição de chave de sessão num sistema de comunicação, tal como o mecanismo EAP para Autenticação e Acordo (de distribuição) de Chave (de sessão) (AKA - Authentication and (session) Key (distribution) Agreement) do Sistema Universal de Telecomunicações Móveis (UMTS - Universal Mobile Telecommunications System), e igualmente tal como o mecanismo EAP para AKA conforme implementado no Módulo de Identidade do Subscritor (SIM - Subscriber Identity Module) utilizado no Sistema Global para Comunicações Móveis (GSM -Global System for Mobile Communications). Mais particularmente, a presente invenção pertence à nova autenticação nos sistemas de comunicação que utilizam os mecanismos EAP para a autenticação SIM GSM ou AKA UMTS.
ANTECEDENTES DA TÉCNICA 0 AKA baseia-se em mecanismos desafio-resposta e na criptografia simétrica, e no UMTS é conforme apresentado na TS (Technical Specification - Especificação Técnica) do 3GPP (Third Generation Partnership Program - Programa de Parceria de Terceira Geração) 33.102 V3.6.0: "Technical
Specification Group Services and System Aspects; 3G
Security; Security Architecture (Release 1999)", 3rd Generation Partnership Project, novembro de 2000. Habitualmente, o AKA é executado num Módulo de Identidade 1 ΕΡ1552646Β1 do Subscritor UMTS (USIM - UMTS Subscriber Identity Module), um dispositivo tipo smart card (cartão inteligente). Contudo, a aplicabilidade de AKA não é limitada a dispositivos cliente com smart cards; por ex. os mecanismos AKA também podem ser implementados em software anfitrião. 0 AKA fornece igualmente compatibilidade com versões anteriores ao mecanismo de autenticação GSM apresentado em GSM 03.20 (ETS 300 534): "Digital cellular telecommunication system (Phase 2); Security related network functions", European Telecommunications Standards Institute, agosto de 1997. Em comparação com o mecanismo GSM, o AKA fornece comprimentos de chave substancialmente maiores e também autenticação do lado do servidor (bem como do lado do cliente).
Relativamente a um dispositivo cliente, tal como um terminal sem fios (mais especificamente, tal como uma estação móvel), para a utilização dos serviços fornecidos por um servidor, tal como um servidor num sistema de comunicação fornecido e gerido por uma operadora (ou, na realidade, os serviços de um servidor de qualquer tipo de rede, incluindo, por ex., a Internet), o terminal ou o utilizador tem, em alguns casos (para algumas redes e para alguns serviços dessas redes), de autenticar-se a si mesmo no servidor e vice-versa (o segundo, pelo menos, em algumas redes, especialmente UMTS), ou seja, cada um tem de provar ao outro que é quem afirma ser. Nas redes de acesso telefónico, LANs sem fios, redes LAN com fios e várias redes de Linha de Subscritor Digital (xDSL - Digital Subscriber Line), a operadora da rede utiliza habitualmente o que é muitas vezes designado por servidor AAA (Authentication, Authorization and Accounting Autenticação, Autorização e Contabilidade) para autenticar um cliente e para autenticar o servidor da rede da operadora à qual o cliente endereçou um pedido de serviços 2 ΕΡ1552646Β1 (ou para autenticar a rede da operadora independentemente de qualquer servidor especifico). Um servidor AAA pode ser responsável pelo armazenamento de informações confidenciais partilhadas e outras informações de credenciais necessárias para a autenticação de utilizadores (terminais com componentes específicos de um determinado utilizador e que, como tal, identificam o mesmo) , ou um servidor AAA pode utilizar um servidor de base de dados de utilizador separado para armazenar as informações de credenciais. 0 Protocolo de Autenticação Extensível (EAP) é frequentemente utilizado em redes que utilizam servidores AAA para a autenticação entre um servidor AAA e um terminal. Se a operadora da rede for uma operadora celular de uma rede UMTS ou GSM, o método EAP pode encapsular uma autenticação GSM e acordo de chave melhores, tal como em EAP SIM, ou uma autenticação UMTS e acordo de chave melhores, tal como em ΕΑΡ AKA. 0 terminal troca pacotes de autenticação com um dispositivo de serviço na rede local. 0 dispositivo de serviço é diferente em tipos diferentes de redes, mas pode ser, por exemplo, um ponto de acesso LAN sem fios, um comutador Ethernet ou um Servidor de Acesso à Rede (NAS -Network Access Server) de acesso telefónico. Normalmente, o dispositivo de serviço funciona como o que é designado por cliente AAA, e o cliente AAA e o servidor AAA realizam a autenticação utilizando o que é designado por protocolo AAA.
No inicio de uma sessão de comunicação estabelecida com EAP SIM ou EAP AKA, o terminal e o servidor AAA realizam o que é aqui designado por autenticação completa, ou seja, a autenticação que começa a partir de um estado no qual nem o terminal nem o servidor AAA têm qualquer base para autenticar o outro.
Depois de estabelecida a autenticação completa, é 3 ΕΡ1552646Β1 possível que, após algum tempo predeterminado ou no caso de ser cumprida alguma outra condição, seja necessária a nova autenticação para reduzir a probabilidade de alguém mal-intencionado ter começado a fazer-se passar pela entidade originalmente autenticada utilizando algum outro dispositivo (um dispositivo servidor ou um dispositivo cliente), ou ter de alguma forma adquirido controlo físico do dispositivo originalmente autenticado (por ex. um utilizador deixou um terminal autenticado ligado e foi-se embora) e ter começado a enviar pedidos. A nova autenticação também pode ser necessária para verificar se o terminal ainda está a utilizar os recursos de rede, conforme exigido pelas mensagens de contabilidade enviadas pela rede local. Igualmente, é possível utilizar uma nova autenticação para negociar novas chaves de segurança nos casos em que a duração das chaves é limitada por razões de segurança. A nova autenticação é idêntica em EAP SIM (para GSM) e ΕΑΡ AKA (para UMTS). 0 estado da técnica dos protocolos EAP SIM e EAP AKA permite a nova autenticação através da utilização das identidades de utilizador de nova autenticação separadas fornecidas a partir do servidor AAA ao terminal que está a ser novamente autenticado. A nova autenticação baseia-se nas chaves de sessão e noutras informações de contexto estabelecidas durante a autenticação completa.
Uma operadora pode implementar diversos servidores AAA numa rede para balanceamento de carga e por outras razões. Uma vez que um servidor AAA pode ser selecionado aleatoriamente para autenticar um terminal, ou pode ser selecionado através de algum mecanismo predeterminado, tal como um mecanismo circular (round-robin), um terminal (utilizador) pode nem sempre autenticar com o mesmo servidor AAA. Numa rede dessas, a nova autenticação torna- 4 ΕΡ1552646Β1 se um problema, uma vez que as informações de contexto só são armazenadas no servidor AAA que efetuou a autenticação completa. Uma vez que a nova autenticação assume a disponibilidade de algumas informações fornecidas durante a autenticação completa, a mesma não irá funcionar (ou seja, não pode ser efetuada) se um pedido AAA de terminal de nova autenticação for transmitido a um servidor AAA diferente do servidor AAA que efetuou a autenticação completa. 0 documento de SCHAEFER, G.; KARL, H.; FESTAG, A.: "Current Approaches to Authentication in Wireless and Mobile Communications Networks", TECHNICAL REPORT TKN-01-002, 26 de março de 2001 (26-03-2001), XP002369479, obtido a partir da Internet: URL:http://www.gallileus.info/gallileus/members/m_HolgerKar l/publications/100859230709/100859303169 [obtido a 24-02-2006] fornece uma visão geral das principais técnicas de autenticação utilizadas para redes móveis e sem fios no momento da respetiva publicação.
Deste modo, é necessária uma forma que permita que a nova autenticação funcione em redes em que um pedido de nova autenticação possa ser transmitido a um servidor AAA diferente do servidor AAA que efetuou a autenticação completa.
DIVULGAÇÃO DA INVENÇÃO A invenção é definida através das reivindicações em anexo.
BREVE DESCRIÇÃO DAS FIGURAS
Os objetos, as características e vantagens acima e outros da invenção tornar-se-ão evidentes a partir de uma 5 ΕΡ1552646Β1 consideração da descrição detalhada subsequente apresentada em conjunto com as figuras em anexo, em que: a Fig. 1 é um fluxograma de um método para a nova autenticação de um terminal (com um servidor de autenticação que funciona como um agente de autenticação), de acordo com a invenção; e a Fig. 2 é um diagrama de blocos/f luxograma de um terminal que autentica e, em seguida, autentica novamente com um servidor de autenticação, de acordo com a invenção.
MODO PREFERENCIAL DE REALIZAÇÃO DA INVENÇÃO
Esta invenção fornece uma solução para o problema de como garantir o funcionamento da nova autenticação em redes em que um pedido de nova autenticação possa ser transmitido a um servidor AAA diferente do servidor AAA que efetuou a autenticação completa. Para resolver o problema, a invenção permite selecionar como servidor AAA na nova autenticação o servidor AAA que efetuou a autenticação completa. A invenção é descrita abaixo em conjunto com o mecanismo de Protocolo de Autenticação Extensível (EAP) para a autenticação e distribuição de chave de sessão na Autenticação e Acordo de Chave (AKA) do Sistema Universal de Telecomunicações Móveis (UMTS), conforme apresentado em 3GPP TS 33.102 V3.6.0: "Technical Specification Group Services and System Aspects; 3G Security; Security Architecture (Release 1999)", 3rd Generation Partnership Project, novembro de 2000, e no documento de rascunho IETF (Internet Engineering Task Force), "EAP AKA Authentication", draft-arkko-pppext-eap-aka-04.txt, de J. Arkko e H. Haverinen, junho de 2002. O UMTS é um padrão de 6 ΕΡ1552646Β1 rede móvel de terceira geração global. A invenção também se destina obviamente à utilização em conjunto com os mecanismos EAP para a autenticação e distribuição de chave de sessão utilizando o Módulo de Identidade do Subscritor (SIM) do Sistema Global para Comunicações Móveis (GSM), conforme apresentado na Especificação Técnica GSM 03.20 (ETS 300 534) : "Digital cellular telecommunication system (Phase 2); Security related network functions", European Telecommunications Standards Institute, agosto de 1997, e no documento de rascunho IETF, "EAP SIM Authentication", de H. Haverinen, draft-haverinen-pppext-eap-sim-05.txt, 2 de julho de 2002. Embora a invenção seja descrita em particular para a utilização com o Protocolo de Autenticação Extensível e respetivos métodos para UMTS e GSM, convém compreender que nada sobre a invenção a restringe à utilização no Protocolo de Autenticação Extensível ou nos sistemas de comunicação celular de acordo com normas UMTS ou GSM; na realidade, a invenção destina-se à utilização em qualquer sistema de comunicação que permita a autenticação de uma forma semelhante ou comparável à utilização do Protocolo de Autenticação Extensível em conjunto com protocolos AAA. A invenção no caso da forma de realização descrita utiliza o chamado EAP (Protocolo de Autenticação Extensível), conforme apresentado em RFC 2284, intitulado "PP Extensible Authentication Protocol (EAP)", publicado pelo Network Working Group do IETF. O (PPP) EAP é um protocolo geral para a autenticação; o mesmo suporta múltiplos mecanismos e autenticação.
Relativamente agora às Figs. 1 e 2, para garantir que a nova autenticação é sempre possível, a invenção fornece um método que inclui uma primeira etapa 11, na qual é atribuído a cada servidor AAA 23a, 23b (nas mesmas ou diferentes redes de operadora) um nome de domínio exclusivo, e no caso de UMTS ou GSM e autenticação para 7 ΕΡ1552646Β1 serviços IP, corresponde a um nome de um tipo que pode ser utilizado (como uma parte, ou seja, como por ex. em utilizador@dominio, em que "domínio" corresponde ao nome de domínio exclusivo) num Identificador de Acesso à Rede (NAI - Network Access Identifier) , que é o identificador (de um terminal) utilizado em protocolos AAA em conjunto com a autenticação para o acesso à rede. Em protocolos EAP e AAA estabelecidos, o pedido de autenticação inclui o Identificador de Acesso à Rede do utilizador. Em caso de autenticação completa, EAP SIM e ΕΑΡ AKA especificam o formato de identidade que o terminal deverá utilizar para pedir a autenticação completa. De acordo com as especificações estabelecidas, a parte do nome de utilizador do NAI inclui o Identificador de Subscritor Móvel Internacional (IMSI - International Mobile Subscriber Identifier) ou um identificador temporário que é designado por pseudónimo nas especificações de EAP SIM e EAP AKA. 0 nome de domínio utilizado no NAI é habitualmente um identificador comum da operadora local. Diversos servidores AAA podem ter sido utilizados para servir pedidos que são transmitidos a este nome de domínio. Deste modo, de acordo com o estado da técnica, em geral, um nome de domínio no NAI pode ser partilhado por diversos servidores AAA. Por exemplo: os subscritores de My-Operator (A Minha Operadora) podem utilizar o nome de domínio myoperator.com, e as mensagens AAA serão encaminhadas para um dos servidores AAA de myoperator.com. Se o domínio indicar possivelmente um grupo de servidores AAA, trata-se da autenticação completa EAP SIM e EAP AKA. Contudo, de acordo com a invenção, será igualmente atribuído a cada servidor AAA um nome de domínio exclusivo, tal como, por exemplo, servidorX.my-operator.com, e estes são os nomes de domínios exclusivos que serão utilizados nas identidades de nova autenticação. Neste caso, o nome de terceiro nível servidorX torna o nome de domínio servidorX.myoperator.com num nome de domínio 8 ΕΡ1552646Β1 exclusivo. 0 formato estruturado do nome de domínio pode permitir que alguns dos elementos AAA encaminhem todos os domínios que terminam com my-operator. com para o salto seguinte correto sem considerar qualquer nome de terceiro nível que possa ter sido necessário adicionar para tornar exclusivo um nome de domínio; por exemplo, o dispositivo de serviço 21a pode não ter necessidade de se preocupar com o nome de domínio completo e, em vez disso, pode utilizar uma regra simples: "Encaminhar *.my-operator.com para o proxy AAA MyOperator" (em que o caráter * funciona como um caráter universal, ou seja, indica qualquer conjunto de carateres permitidos num nome).
Numa etapa seguinte 12, um primeiro 23a dos servidores AAA 23a, 23b recebe um pedido de um dispositivo de serviço 21a (ou seja, um cliente AAA e, em particular, por ex. um ponto de acesso de serviço) através de um servidor AAA de proxy 22 para a autenticação (completa) relativamente a um terminal 21, de modo a que o dispositivo de serviço 21a possa garantir o acesso do terminal 21 a uma rede 24 (tal como a Internet) . A Fig. 2 não ilustra (por motivos de clareza) vários dos elementos de uma ou mais redes de operadora que permitem a comunicação sem fios entre o terminal 21 e os servidores AAA 23a, 23b (ou seja, em particular, as redes de acesso rádio para cada rede de operadora! ) , bem como outros elementos que encaminham as comunicações para um ou outro dos servidores AAA 23a, 23b.
Numa etapa seguinte 13, o primeiro servidor AAA 23a transmite ao terminal 21 (através do servidor proxy 22 e do dispositivo de serviço 21a) uma identidade de nova autenticação (para a utilização pelo terminal numa nova autenticação posterior), e inclui o nome de domínio exclusivo na identidade de nova autenticação, que também inclui uma parte do nome de utilizador. A identidade de 9 ΕΡ1552646Β1 nova autenticação é diferente da identidade baseada em IMSI e da identidade de pseudónimo que são utilizadas na autenticação completa. A etapa 13 é efetuada como parte do procedimento de autenticação completa, que inclui outras etapas que foram omitidas da Fig. 1 por motivos de clareza. A parte de nome de utilizador da identidade de nova autenticação é um nome de utilizador único escolhido pelo servidor. Pode ser um número ou um identificador escolhido aleatoriamente. Como tal, uma identidade de nova autenticação pode ser, por exemplo: [email protected].
Numa etapa seguinte 14, para efetuar a nova autenticação (baseada habitualmente em alguma condição que foi cumprida) , o terminal 21 envia um pedido de nova autenticação utilizando a identidade de nova autenticação, incluindo o nome de domínio exclusivo. Em geral, existem várias formas possíveis de iniciar a nova autenticação. Uma forma é o dispositivo de serviço 21a poder iniciar a nova autenticação. Neste caso, na LAN sem fios, em que o "pedido de nova autenticação" que é reencaminhado com base no nome de domínio exclusivo contém um pacote de resposta de identidade ΕΑΡ, o dispositivo de serviço 21a envia o pacote de pedido de identidade EAP ao terminal 21, e o terminal responde com uma resposta de identidade EAP que contém a identidade de nova autenticação. Em seguida, este pacote é reencaminhado, através de um protocolo AAA, para o servidor AAA correto. Em alternativa, o próprio terminal 21 pode iniciar a nova autenticação. Na LAN sem fios, o terminal 21 envia um pacote EAPOL-Inicio (EAP sobre inicio LAN) ao dispositivo de serviço 21a. Na receção de EAPOL-Inicio, o dispositivo de serviço 21a emite o pacote de pedido de identidade EAP para o terminal, e a troca de nova autenticação avança conforme descrito abaixo. 10 ΕΡ1552646Β1
Numa etapa seguinte 15, qualquer elemento de rede AAA (o dispositivo de serviço 21a, o proxy 22 e os servidores AAA 23a, 23b) que receba o pedido examina a identidade de nova autenticação incluída no pedido para determinar para onde encaminhar o pedido (com base na identidade de nova autenticação, que indica o primeiro servidor AAA 23a através do nome de domínio). 0 encaminhamento baseia-se, por exemplo, numa tabela de encaminhamento ou noutros meios de encaminhamento AAA normais, conforme apropriado. Habitualmente, o servidor proxy 22 examina o nome de domínio e encaminha diretamente o pedido para o primeiro servidor AAA 23a. Deste modo, o pedido é recebido mais cedo ou mais tarde pelo servidor AAA que efetuou a autenticação completa, ou seja, o primeiro servidor AAA 23a.
Numa etapa seguinte 16, o primeiro servidor AAA 23a responde ao pedido de nova autenticação através de um protocolo estabelecido para a nova autenticação. Nas etapas subsequentes 17, as comunicações subsequentes entre o terminal 21 e o primeiro servidor AAA 23a são efetuadas através de protocolos AAA estabelecidos entre o terminal 21 e o primeiro servidor AAA 23a por meio do dispositivo de serviço 21a. As comunicações subsequentes podem ser encaminhadas diretamente entre o dispositivo de serviço 21a e o primeiro servidor AAA 23a ou podem ser encaminhadas através dos elementos AAA intermédios. Os protocolos AAA estabelecidos incluem habitualmente meios para garantir que o servidor AAA 23a que efetua a autenticação não muda durante uma troca de autenticação.
Em alguns casos, o terminal 21 pode ter comunicação através de diversas sessões diferentes em simultâneo, utilizando o procedimento de autenticação completa para cada sessão. As sessões podem ser autenticadas pelo mesmo servidor AAA ou por diferentes servidores AAA, e podem 11 ΕΡ1552646Β1 utilizar as mesmas ou diferentes tecnologias de rádio e as mesmas ou diferentes aplicações para efetuar a autenticação. De acordo com a invenção, para adaptar essa variabilidade, o terminal 21 mantém informações de estado separadas para cada uma dessas sessões, e o terminal 21 pode depois efetuar a nova autenticação separadamente para cada uma dessas sessões, conforme descrito relativamente à Fig. 1. Em conformidade, cada servidor AAA 23a, 23b utilizado na autenticação para uma ou mais sessões simultâneas mantém informações de estado separadas para cada sessão dessas.
Note que, embora a invenção esteja relacionada com a autenticação de LAN sem fios, a mesma é igualmente relevante para xDSL, acesso telefónico, Ethernet e outros contextos de autenticação. Os métodos de Protocolo de Autenticação Extensível para autenticação UMTS e GSM são orientados para operadoras móveis que pretendem administrar WLANs ou outras redes de acesso complementares; é possível que a invenção nunca seja utilizada em redes UMTS ou GSM reais.
Convém compreender que as disposições descritas acima são apenas ilustrativas da aplicação dos princípios da presente invenção. Os peritos na técnica podem inventar diversas modificações e disposições alternativas sem sair do âmbito da presente invenção, e as reivindicações em anexo pretendem abranger essas modificações e disposições. 12 ΕΡ1552646Β1
DOCUMENTOS REFERIDOS NA DESCRIÇÃO
Esta lista de documentos referidos pelo autor do presente pedido de patente foi elaborada apenas para informação do leitor. Não é parte integrante do documento de patente europeia. Não obstante o cuidado na sua elaboração, o IEP não assume qualquer responsabilidade por eventuais erros ou omissões.
Literatura não relacionada com patentes referida na descrição • Technical Specification Group Services and System Aspects; 3G Security; Security Architecture. 3GPP (Third Generation Partnership Program) TS (Technical Specification) 33.102 V3.6.0, 1999 [0002] • 3rd Generation Partnership Project, November 2000 [0002] • Digital cellular telecommunication system (Phase 2); Security related network functions. GSM 03.20 (ETS 300 534. European Telecommunications Standards, Institute, August 1997 [0002] • SCHAEFER, G. ; KARL, H. ; FESTAG, A. Current Approaches to Authentication in Wireless and Mobile Communications Networks. TECHNICAL REPORT TKN-01-002, 26 March 2001 [0008] • Technical Specification Group Services and System Aspects; 3G Security; Security Architecture (Release 1999. 3GPP TS 33.102 V3.6.0, 1999 [0013] • J. ARKKO ; H. HAVERINEN. ΕΑΡ AKA Authentication. IETF, June 2002, draft-arkko-pppext- eap-aka-04.txt [0013] • H. HAVERINEN. EAP SIM Authentication. IETF, 02 July 2002, draft-haverinen-pppext-eap-sim-05.txt [0013] • PPP Extensible Authentication Protocol (EAP. RFC 2284. Network Working Group of the IETF [0013]
Lisboa, 21 de Abril de 2014 13

Claims (12)

  1. ΕΡ1552646Β1 REIVINDICAÇÕES 1. Um método para a utilização na nova autenticação de uma sessão de comunicação, o método caracterizado por envolver a troca de informações entre um terminal (21) e um elemento de rede de autenticação (24) através de uma rede de autenticação (28), na qual são utilizados um primeiro servidor de autenticação (23a) e outros servidores de autenticação (23b) e é atribuído a cada um deles um nome de domínio exclusivo respetivo que identifica exclusivamente o servidor de autenticação respetivo, a sessão de comunicação tendo já sido autenticada pelo terminal (21) e um primeiro servidor de autenticação (23a) da rede de autenticação (28) através de: uma etapa (12), na qual o primeiro servidor de autenticação (23a) recebe um pedido de autenticação do terminal (21); e uma etapa (13), na qual durante a autenticação entre o terminal e o primeiro servidor de autenticação (23a), o primeiro servidor de autenticação (23a) transmite ao terminal (21) uma identidade de nova autenticação, incluindo o nome de domínio exclusivo atribuído ao primeiro servidor de autenticação; a nova autenticação compreendendo uma etapa (14) na qual, para efetuar uma nova autenticação, um elemento de rede de autenticação (21a, 22, 23a, 23b) recebe um pedido de nova autenticação transmitido pelo terminal (21) utilizando a identidade de nova autenticação, incluindo o nome de ΕΡ1552646Β1 domínio exclusivo; e uma etapa (15) na qual o elemento de rede de autenticação (21a, 22, 23a, 23b) determina, a partir da identidade de nova autenticação incluída no pedido, o nome de domínio exclusivo que indica o servidor de autenticação (23a) que efetuou a autenticação completa.
  2. 2. 0 método de acordo com a reivindicação 1, caracterizado ainda por: uma etapa (15) na qual um elemento de autenticação de rede (21a, 22, 23b) reencaminha o pedido para o servidor de autenticação (23a) indicado pelo nome de domínio exclusivo incluído como parte da identidade de nova autenticação; e uma etapa (16, 17) na qual o terminal (21) e o primeiro servidor de autenticação (23a) efetua a nova autenticação.
  3. 3. Um método para a utilização por um servidor de autenticação, caracterizado por compreender: a transmissão a um terminal que pede a autenticação de uma identidade de nova autenticação, incluindo um nome de domínio exclusivo que identifica exclusivamente o servidor de autenticação numa rede de autenticação na qual são utilizados diversos servidores de autenticação; a receção de um pedido de nova autenticação proveniente de outro terminal, o pedido de nova autenticação incluindo outra identidade de nova autenticação, incluindo outro nome de dominio exclusivo que identifica exclusivamente outro servidor de autenticação; e o encaminhamento do pedido de nova autenticação de acordo com o nome de domínio exclusivo incluído no pedido de nova autenticação. 2 ΕΡ1552646Β1
  4. 4. Um método para a utilização por um terminal, caracterizado por compreender: a receção a partir de um primeiro servidor de autenticação de uma identidade de nova autenticação gerada durante uma primeira autenticação, a identidade de nova autenticação incluindo um nome de domínio exclusivo que identifica exclusivamente o primeiro servidor de autenticação numa rede de autenticação, na qual são utilizados diversos servidores de autenticação; e a transmissão a um elemento de rede de autenticação diferente do primeiro servidor de autenticação de um pedido de nova autenticação utilizando a identidade de nova autenticação, incluindo o nome de domínio exclusivo que identifica exclusivamente o primeiro servidor de autenticação.
  5. 5. 0 método de acordo com a reivindicação 4, caracterizado por a transmissão do pedido de nova autenticação compreender a inclusão da identidade de nova autenticação num pacote de resposta de identidade de acordo com um Protocolo de Autenticação Extensível.
  6. 6. Um servidor de autenticação (23a, 23b) num sistema de comunicação celular compreendendo: meios (13) para transmitir a um terminal (21) uma identidade de nova autenticação, incluindo um nome de domínio exclusivo que identifica exclusivamente o servidor de autenticação numa rede de autenticação na qual são utilizados diversos servidores de autenticação; meios para a nova autenticação de uma sessão de comunicação entre um terminal (21) e um servidor de 3 ΕΡ1552646Β1 conteúdo (25), o servidor de autenticação sendo (23a, 23b) caracterizado por: meios (15) para receber um pedido de nova autenticação utilizando outra identidade de nova autenticação que identifica exclusivamente outro servidor de autenticação e para determinar a partir da outra identidade de nova autenticação o nome de domínio exclusivo do outro servidor de autenticação, e meios (16) para reencaminhar o pedido de nova autenticação para o outro servidor de autenticação (23a) indicado pelo nome de domínio exclusivo do outro servidor de autenticação incluído como parte da outra identidade de nova autenticação.
  7. 7. Um terminal configurado para pedir a nova autenticação de uma sessão de comunicação entre o terminal e um servidor de conteúdo, caracterizado por: ser configurado para receber a partir de um primeiro servidor de autenticação uma identidade de nova autenticação gerada durante uma primeira autenticação, a identidade de nova autenticação incluindo um nome de domínio que indica exclusivamente o primeiro servidor de autenticação numa rede de autenticação, na qual são utilizados diversos servidores de autenticação; e ser configurado para transmitir a um elemento de rede de autenticação um pedido de nova autenticação utilizando a identidade de nova autenticação incluindo o nome de domínio exclusivo.
  8. 8. Um terminal de acordo com a reivindicação 7, caracterizado por ser configurado para transmitir a um elemento de rede de autenticação um pedido de nova 4 ΕΡ1552646Β1 autenticação utilizando a identidade de nova autenticação, incluindo o nome de domínio exclusivo que inclui a identidade de nova autenticação num pacote de resposta de identidade de acordo com um Protocolo de Autenticação Extensível.
  9. 9. Um produto de programa de computador compreendendo: uma estrutura de armazenamento legivel por computador que inclui um código de programa de computador na mesma para a execução através de um processador de computador num servidor de autenticação (23a), com o referido código de programa de computador caracterizado por incluir instruções para implementar um aparelho de acordo com a reivindicação 6.
  10. 10. Um produto de programa de computador compreendendo: uma estrutura de armazenamento legível por computador que inclui um código de programa de computador na mesma para a execução através de um processador de computador num servidor de autenticação (23a), com o referido código de programa de computador caracterizado por incluir instruções para efetuar todas as etapas do método de acordo com a reivindicação 3.
  11. 11. Um produto de programa de computador compreendendo: uma estrutura de armazenamento legível por computador que inclui um código de programa de computador na mesma para a execução através de um processador de computador, com o referido código de programa de computador caracterizado por incluir instruções para implementar um aparelho de acordo com a reivindicação 7. 5 ΕΡ1552646Β1
  12. 12. Um sistema incluindo uma diversidade de terminais (21), uma diversidade de servidores de autenticação (23a, 23b) e, pelo menos, um servidor de conteúdo (24), em que os terminais (21) funcionam de modo a pedir conteúdo ao servidor de conteúdo (24) após a autenticação e a nova autenticação com um ou outro dos servidores de autenticação (23a, 23b), o sistema caracterizado por, pelo menos, dois dos servidores de autenticação (23a, 23b) estarem de acordo com a reivindicação 6. Lisboa, 21 de Abril de 2014 6
PT37484029T 2002-10-03 2003-09-30 Método e aparelho de permissão de nova autenticação num sistema de comunicação celular PT1552646E (pt)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US41648102P 2002-10-03 2002-10-03
US10/659,774 US8972582B2 (en) 2002-10-03 2003-09-10 Method and apparatus enabling reauthentication in a cellular communication system

Publications (1)

Publication Number Publication Date
PT1552646E true PT1552646E (pt) 2014-04-30

Family

ID=32073408

Family Applications (1)

Application Number Title Priority Date Filing Date
PT37484029T PT1552646E (pt) 2002-10-03 2003-09-30 Método e aparelho de permissão de nova autenticação num sistema de comunicação celular

Country Status (9)

Country Link
US (1) US8972582B2 (pt)
EP (1) EP1552646B1 (pt)
JP (1) JP4713338B2 (pt)
KR (1) KR100996983B1 (pt)
AU (1) AU2003267708A1 (pt)
DK (1) DK1552646T3 (pt)
PT (1) PT1552646E (pt)
RU (1) RU2372734C2 (pt)
WO (1) WO2004032415A1 (pt)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1714418B1 (en) * 2004-02-11 2017-01-11 Telefonaktiebolaget LM Ericsson (publ) Key management for network elements
JP4558387B2 (ja) * 2004-06-17 2010-10-06 Kddi株式会社 利用者認証システムおよび方法
JP2006011989A (ja) * 2004-06-28 2006-01-12 Ntt Docomo Inc 認証方法、端末装置、中継装置及び認証サーバ
US7590732B2 (en) * 2004-10-08 2009-09-15 Telefonaktiebolaget Lm Ericsson (Publ) Enhancement of AAA routing originated from a local access network involving intermediary network preferences
TWI293844B (en) * 2005-01-11 2008-02-21 Ind Tech Res Inst A system and method for performing application layer service authentication and providing secure access to an application server
WO2006088105A1 (ja) 2005-02-18 2006-08-24 Matsushita Electric Industrial Co., Ltd. 無線通信方法、中継局装置および無線送信装置
US7716724B2 (en) * 2005-06-16 2010-05-11 Verizon Business Global Llc Extensible authentication protocol (EAP) state server
CN100454865C (zh) * 2005-08-23 2009-01-21 华为技术有限公司 实现网络服务提供商域名发现的方法
US7716721B2 (en) * 2005-10-18 2010-05-11 Cisco Technology, Inc. Method and apparatus for re-authentication of a computing device using cached state
GB0523145D0 (en) * 2005-11-14 2005-12-21 Siemens Ag Authentication realm support discovery
KR20070051233A (ko) * 2005-11-14 2007-05-17 삼성전자주식회사 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법
CN1968262B (zh) * 2005-11-15 2011-04-06 华为技术有限公司 一种ims网络中的会话控制方法和装置
US8041339B2 (en) * 2006-01-31 2011-10-18 Alcatel Lucent Method for secure authentication of mobile devices
US8555350B1 (en) * 2006-06-23 2013-10-08 Cisco Technology, Inc. System and method for ensuring persistent communications between a client and an authentication server
KR100837817B1 (ko) * 2006-06-30 2008-06-13 주식회사 케이티 망 접속과 응용서비스 접속 간의 연계를 위한 망/서비스접속 관리 시스템 및 그 방법
CN101056177B (zh) * 2007-06-01 2011-06-29 清华大学 基于无线局域网安全标准wapi的无线网状网重认证方法
WO2009087006A1 (en) * 2008-01-09 2009-07-16 Nokia Siemens Networks Oy Mechanism for authentication and authorization for network and service access
KR100977114B1 (ko) * 2008-02-28 2010-08-23 주식회사 케이티 휴대인터넷 시스템에서 옥내용 기지국을 이용하는휴대인터넷 단말을 위한 재인증 방법 및 그를 위한 옥내용기지국의 인증 방법
US8116735B2 (en) * 2008-02-28 2012-02-14 Simo Holdings Inc. System and method for mobile telephone roaming
CN101621772B (zh) * 2008-07-02 2012-06-06 中国移动通信集团公司 一种会话控制方法及设备
US8800017B2 (en) * 2009-05-29 2014-08-05 Ncomputing, Inc. Method and apparatus for copy protecting a digital electronic device
EP2405622B1 (en) * 2010-07-08 2014-05-14 Mobile Imaging in Sweden AB Device communication
JP4785992B2 (ja) * 2011-01-05 2011-10-05 株式会社エヌ・ティ・ティ・ドコモ 認証方法及び中継装置
US20150039513A1 (en) * 2014-02-14 2015-02-05 Brighterion, Inc. User device profiling in transaction authentications
US10896421B2 (en) 2014-04-02 2021-01-19 Brighterion, Inc. Smart retail analytics and commercial messaging
US20180053114A1 (en) 2014-10-23 2018-02-22 Brighterion, Inc. Artificial intelligence for context classifier
US20150066771A1 (en) 2014-08-08 2015-03-05 Brighterion, Inc. Fast access vectors in real-time behavioral profiling
US20150032589A1 (en) 2014-08-08 2015-01-29 Brighterion, Inc. Artificial intelligence fraud management solution
US20150339673A1 (en) 2014-10-28 2015-11-26 Brighterion, Inc. Method for detecting merchant data breaches with a computer network server
US20160055427A1 (en) 2014-10-15 2016-02-25 Brighterion, Inc. Method for providing data science, artificial intelligence and machine learning as-a-service
US10546099B2 (en) 2014-10-15 2020-01-28 Brighterion, Inc. Method of personalizing, individualizing, and automating the management of healthcare fraud-waste-abuse to unique individual healthcare providers
US20160071017A1 (en) 2014-10-15 2016-03-10 Brighterion, Inc. Method of operating artificial intelligence machines to improve predictive model training and performance
US20160078367A1 (en) 2014-10-15 2016-03-17 Brighterion, Inc. Data clean-up method for improving predictive model training
US11080709B2 (en) 2014-10-15 2021-08-03 Brighterion, Inc. Method of reducing financial losses in multiple payment channels upon a recognition of fraud first appearing in any one payment channel
US20160063502A1 (en) 2014-10-15 2016-03-03 Brighterion, Inc. Method for improving operating profits with better automated decision making with artificial intelligence
US10290001B2 (en) 2014-10-28 2019-05-14 Brighterion, Inc. Data breach detection
US10671915B2 (en) 2015-07-31 2020-06-02 Brighterion, Inc. Method for calling for preemptive maintenance and for equipment failure prevention
US9980133B2 (en) 2015-08-12 2018-05-22 Blackberry Limited Network access identifier including an identifier for a cellular access network node
BR112020008472A2 (pt) 2017-11-03 2020-10-20 Lenovo (Singapore) Pte. Ltd. autenticação de usuário usando informação de conexão fornecida por uma rede de cadeia de blocos
US20190342297A1 (en) 2018-05-01 2019-11-07 Brighterion, Inc. Securing internet-of-things with smart-agent technology
US20200145824A1 (en) * 2018-11-05 2020-05-07 Comcast Cable Communications, Llc Localized Multi-Factor Network Authentication

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5349643A (en) * 1993-05-10 1994-09-20 International Business Machines Corporation System and method for secure initial program load for diskless workstations
US5544322A (en) * 1994-05-09 1996-08-06 International Business Machines Corporation System and method for policy-based inter-realm authentication within a distributed processing system
US5708780A (en) * 1995-06-07 1998-01-13 Open Market, Inc. Internet server access control and monitoring systems
US5740361A (en) * 1996-06-03 1998-04-14 Compuserve Incorporated System for remote pass-phrase authentication
US6088451A (en) * 1996-06-28 2000-07-11 Mci Communications Corporation Security system and method for network element access
US5887251A (en) 1996-10-30 1999-03-23 Ericsson Inc. Authentication key management for mobile stations
JPH1141252A (ja) 1997-07-23 1999-02-12 Nippon Telegr & Teleph Corp <Ntt> クライアント・サーバシステム
US5928363A (en) * 1997-08-27 1999-07-27 International Business Machines Corporation Method and means for preventing unauthorized resumption of suspended authenticated internet sessions using locking and trapping measures
US6263432B1 (en) * 1997-10-06 2001-07-17 Ncr Corporation Electronic ticketing, authentication and/or authorization security system for internet applications
US6651105B1 (en) * 1998-11-12 2003-11-18 International Business Machines Corporation Method for seamless networking support for mobile devices using serial communications
US6662228B1 (en) * 2000-02-01 2003-12-09 Sun Microsystems, Inc. Internet server authentication client
CA2299824C (en) * 2000-03-01 2012-02-21 Spicer Corporation Network resource control system
JP2002198955A (ja) 2000-12-27 2002-07-12 Falcon System Consulting Kk ネットワーク通信の加重的セキュリティシステム
JP3693922B2 (ja) 2001-01-04 2005-09-14 日本電気株式会社 インターネット負荷分散中継接続方式
JP2002207733A (ja) 2001-01-10 2002-07-26 Ip Net Corp ウェブサーバ負荷分散システム
US20020133719A1 (en) * 2001-03-14 2002-09-19 Jay Westerdal Method and apparatus for sharing authentication information between multiple servers
US6785256B2 (en) * 2002-02-04 2004-08-31 Flarion Technologies, Inc. Method for extending mobile IP and AAA to enable integrated support for local access and roaming access connectivity
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
US7266100B2 (en) * 2002-11-01 2007-09-04 Nokia Corporation Session updating procedure for authentication, authorization and accounting

Also Published As

Publication number Publication date
RU2372734C2 (ru) 2009-11-10
DK1552646T3 (da) 2014-05-26
WO2004032415A1 (en) 2004-04-15
US8972582B2 (en) 2015-03-03
JP4713338B2 (ja) 2011-06-29
AU2003267708A1 (en) 2004-04-23
KR100996983B1 (ko) 2010-11-26
RU2005113272A (ru) 2006-01-10
EP1552646A1 (en) 2005-07-13
US20040153555A1 (en) 2004-08-05
KR20050062586A (ko) 2005-06-23
EP1552646A4 (en) 2006-04-26
JP2006515486A (ja) 2006-05-25
EP1552646B1 (en) 2014-03-19

Similar Documents

Publication Publication Date Title
PT1552646E (pt) Método e aparelho de permissão de nova autenticação num sistema de comunicação celular
EP1875707B1 (en) Utilizing generic authentication architecture for mobile internet protocol key distribution
EP3750342B1 (en) Mobile identity for single sign-on (sso) in enterprise networks
JP4801147B2 (ja) 証明を配送するための方法、システム、ネットワーク・ノード及びコンピュータ・プログラム
US9197615B2 (en) Method and system for providing access-specific key
JP4965671B2 (ja) 無線通信ネットワークにおけるユーザ・プロファイル、ポリシー及びpmipキーの配布
KR101123346B1 (ko) 통신 네트워크들 내에서의 인증
WO2005125261A1 (en) Security in a mobile communications system
EP1967032A1 (en) Prioritized network access for wireless access networks
NO337018B1 (no) Fremgangsmåte og system for GSM-autentisering ved WLAN-forflytning
WO2009152749A1 (zh) 一种绑定认证的方法、系统和装置
US20090113522A1 (en) Method for Translating an Authentication Protocol
CN104982053A (zh) 用于获得认证无线设备的永久身份的方法和网络节点
PT1693995E (pt) Um método para implementação de autenticação de acesso de um utilizador de wlan
Chen et al. Transparent end-user authentication across heterogeneous wireless networks
CN103428694A (zh) 一种分离终端单点登录组合鉴权方法和系统
TWI246300B (en) Method and apparatus enabling reauthentication in a cellular communication system
Kostopoulos et al. Security in wireless networks: the FlexiNET approach