ES2367986T3 - Un procedimiento para el acceso del terminal móvil a la red wlan y para la comunicación de datos a través de la conexión inalámbrica de forma segura. - Google Patents

Un procedimiento para el acceso del terminal móvil a la red wlan y para la comunicación de datos a través de la conexión inalámbrica de forma segura. Download PDF

Info

Publication number
ES2367986T3
ES2367986T3 ES03810359T ES03810359T ES2367986T3 ES 2367986 T3 ES2367986 T3 ES 2367986T3 ES 03810359 T ES03810359 T ES 03810359T ES 03810359 T ES03810359 T ES 03810359T ES 2367986 T3 ES2367986 T3 ES 2367986T3
Authority
ES
Spain
Prior art keywords
certificate
authentication
mobile terminal
access point
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES03810359T
Other languages
English (en)
Inventor
Manxia Tie
Houjian Tang
Bianling Zhang
Ning Zhang
Xumao Ye
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=4750115&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=ES2367986(T3) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Application granted granted Critical
Publication of ES2367986T3 publication Critical patent/ES2367986T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

Un procedimiento para el acceso seguro del terminal móvil a la Red de Área Local Inalámbrica, WLAN, y para la comunicación de datos segura a través de una conexión inalámbrica, en el que cuando el Terminal Móvil (MT) se conecta a un Punto de Acceso (AP) inalámbrico, el certificado del Terminal Móvil (MT) y el certificado del Punto de Acceso (AP) se transmiten a un Servidor de Autenticación (AS) y se autentifican a través del Servidor de Autenticación (AS), después la autenticación resultado del certificado del Terminal Móvil (MT) y el certificado del Punto de Acceso (AP) se devuelve al Punto de Acceso (AP) y el Terminal Móvil (MT) con el fin de conseguir una autenticación de certificado dos vías entre dicho Terminal Móvil (MT) y el Punto de Acceso (AP); y el Terminal Móvil (MT) y el Punto de Acceso (AP) realizan la negociación de la clave secreta para la conversación.

Description

Campo de la Invención
La presente invención se refiere a un procedimiento para el acceso de forma segura del terminal móvil a la Red deÁrea Local Inalámbrica (WLAN) y para la comunicación de datos de forma segura a través de una conexión inalámbrica, un producto de la combinación de la tecnología de comunicación inalámbrica con la tecnología de la encriptación.
Tecnología Antecedente
El objeto de la comunicación personal es permitirnos realizar cualquier comunicación en cualquier momento, en cualquier lugar y con cualquier otra persona, y disfrutar libremente de los múltiples servicios que ofrecen las redes. Incorporando las dos tecnologías populares, tales como la tecnología IP y la tecnología de comunicación inalámbrica, la tecnología WLAN sigue la tendencia del desarrollo de la banda ancha y proporciona una estructura principal móvil o un terminal móvil con los servicios de acceso a Internet convenientes y de alta velocidad para satisfacer la demanda creciente de la red de alta velocidad y los servicios de comunicación multimedia. La WLAN no solo soporta la computación móvil, sino también posee la flexibilidad, agilidad y capacidad de expansión de una infraestructura. La Fig. 1 es un diagrama que muestra la estructura de la red de acceso inalámbrico de banda ancha basada en WLAN que comprende principalmente dispositivos tales como el terminal móvil (MT), punto de acceso (AP) y servidor de acceso inalámbrico (WAS), en la que el MT sigue siendo móvil libremente, el AP realiza las funciones de gestión de las celdas, incluyendo la transferencia entre las celdas, la gestión y el puenteo del MT, y el WAS realiza la gestión de itinerancia del MT entre redes. Desde el acceso fijo al acceso inalámbrico móvil a Internet, la tecnología IP inalámbrica de banda ancha basada en WLAN ha supuesto un concepto completamente nuevo, y ha tenido un impacto tremendo en el entorno de la red en todo el mundo. El sistema, que es de una aplicación extraordinariamente amplia, es muy útil en redes comerciales (principalmente la intranet corporativa), redes de usuarios institucionales (por ejemplo, departamentos de seguridad publica, financieros y gubernamentales), redes de área (por ejemplo, colegios, hospitales, barrios residenciales, monitor remoto o monitor concentrado), redes temporales (por ejemplo, reuniones temporales), suscriptores móviles en exteriores y lugares a los que es difícil tender los cables y que están en cambio constante.
En lo que respecta a la WLAN, el problema de su seguridad es un asunto mucho más serio que para las redes cableadas. Para este asunto, se incorporan varios niveles de medios en la WLAN para abordar el problema. En primer lugar, proporcionar un ID de Conjunto de Servicios (SSID) diferente para cada AP y obligar al MT a presentar el SSID correspondiente en el momento del acceso para permitir a los usuarios de grupos diferentes acceder y restringir de forma diferenciada el derecho de acceso a los recursos. Sin embargo, hacer uso del SSID es una de las maneras más visuales de autenticación y el nivel relativamente bajo de la autenticación de seguridad, ya que cualquiera que conozca el SSID puede acceder a una red. En segundo lugar está la restricción de dirección, es decir, evitar el acceso no autorizado colocando, en el AP, la tabla de dirección de Control de Acceso al Medio (MAC) de la tarjeta inalámbrica del MT autorizado. Sin embargo, la dirección MAC de la tarjeta inalámbrica no es difícil de obtener y es posible falsificarla. Por lo tanto, es también una autenticación de nivel relativamente bajo de autorización. De todos modos, ninguna de las dos maneras puede controlar eficazmente el acceso del MT, y es aún es más imposible garantizar la confidencialidad de la comunicación.
Además de los dos procedimientos anteriores, una medida más ampliamente usada es la introducción, sobre la base de la Norma Internacional (IE-EE802.11) de la WLAN, a la WLAN del mecanismo de confidencialidad de la Privacidad Equivalente a Cables basado en RC-4 (WEP) para el cifrado y la transmisión de datos. El algoritmo WEP usa el sistema de claves individual, es decir, usa la misma clave secreta para el cifrado/descifrado, y la clave secreta es de 64 o 128 bits de longitud, en la que 40 o 104 bits son la parte fija conocida como clave secreta de iniciación, concretamente la dispuesta en el AP y el MT, y los 24 bits restantes son una parte variable conocida como el vector de iniciación, que se va a cambiar por el software controlador de la tarjeta de red en el procedimiento de comunicación. Es decir, la clave de cifrado es variable, lo que garantiza, hasta cierto punto, la confidencialidad de la comunicación inalámbrica. Sin embargo, debido a la regularidad de la variación del vector de iniciación, el algoritmo WEP no es lo bastante seguro. Esto se descubrió por primera vez por un equipo de investigación de la Universidad de California, Estados Unidos en Marzo de 2001. Señalaron que la WLAN del algoritmo WEP puede romperse en 5 horas por este motivo: asumieron que los cambios del vector de iniciación a la velocidad de adición de 1 por marco, cada marco es de 1500 bits de longitud, y la velocidad de transmisión de datos es de 11 megabits, entonces el vector de iniciación se repite en el periodo de 1500 bytes/marco x 8 bits/byte x 1 segundo/(11 x 106 bits) x 224 marco18300 segundos5 horas, es decir, el texto de dos marcos cifrado por la misma clave secreta se obtiene en el intervalo de 5 horas, y por lo tanto es posible adivinar o calcular el valor de la clave secreta de iniciación. Hay que señalar aquí que la longitud de la clave secreta no afecta a su tiempo de descifrado, pero complica el adivinarla o calcularla. En agosto de 2001, tres de los mejores expertos en descifrado del mundo, dos expertos del Weizmann imagen1
Research Institute, Israel y un investigador de la Cisco ( ) Incorporation, realizaron una prueba de seguridad WEP. Descifraron en una hora la clave secreta usada para la WLAN según una pequeña parte de datos tomados dela red. El AT&T Laboratory también ha realizado el descifrado de la misma manera. Éste sabe suficientemente que el WEP no puede garantizar la seguridad de la WLAN. La cuestión de la seguridad se ha convertido en uno de los obstáculos que bloquean la amplia aplicación de la WLAN, y el acceso seguro y la comunicación confidencial han sido la parte más importante en la investigación de la tecnología WLAN.
El documento XP-002392979 de M. Casole, "WLAN security-Status, Problems and Perspective", European Wireless 2002, describe que Hiperlan/2 soporta múltiples procedimientos de autenticación. En el procedimiento de autenticación basado en certificados, las entidades implicadas en la autenticación son el Punto de Acceso (AP) y el Terminal Móvil (MT), y la autenticación mutua realizada entre ellos se basa en un mecanismo de desafío/respuesta.
Según las enseñanzas, el Punto de Acceso (AP) extrae el certificado del Terminal Móvil (MT), y la cadena de certificados del mismo, del depositario de certificados, y verifica directamente si el certificado del Terminal Móvil (MT) y la cadena de certificados, así como la MT_RESPUESTA al AP_DESAFIO son válidos. Dicha verificación se realiza directamente en el dispositivo del Punto de Acceso (AP), por lo que el coste depende del rendimiento de la CPU, memoria, etc. del dispositivo.
Además, el Terminal Móvil (MT) verifica la AP_RESPUESTA al MT_DESAFIO, pero la solución técnica de esta referencia no se pronuncia sobre si el Terminal Móvil (MT) verifica el certificado del Punto de Acceso (AP).
Si el Terminal Móvil (MT) verifica el certificado del Punto de Acceso (AP), el Terminal Móvil (MT) debe inspeccionar la Lista de Revocación de Certificados (CRL) accediendo al depositario de certificados para determinar el estado del certificado del Punto de Acceso (AP). Pero el entorno operativo de la WLAN no tiene acceso directo del Terminal Móvil (MT) al depositario de certificados.
Si el Terminal Móvil (MT) no verifica el certificado del Punto de Acceso (AP), dicho esquema de Hiperlan/2 se convierte realmente en una autenticación de certificados de una vía que no puede evitar un ataque anterior al Punto de Acceso (AP).
El documento XP-002392979 propone una mejora con respecto al defecto de la complejidad de la computación del Punto de Acceso (AP) en Hiperlan/2, es decir, añadir un servidor externo para verificar el certificado del Terminal Móvil (MT) y la respuesta, y se opera un protocolo AAA típico (autenticación, autorización, contabilización) entre el Punto de Acceso (AP) y el servidor (consúltese el documento XP-002392979, 3.1.2 HIPERLAN/2).
Sin embargo, el esquema mejorado todavía tiene los siguientes defectos:
(1)
el protocolo AAA (autenticación, autorización, contabilización) entre el Punto de Acceso (AP) y el servidor muestra que ha de preconfigurarse un canal seguro entre el Punto de Acceso (AP) y el servidor, pero esto aumenta directamente la complejidad de la estructura de la red y restringe la expansibilidad de la red;
(2)
la adición del protocolo AAA hace que se de la autenticación entre el Terminal Móvil (MT) y el servidor, y se establezca una relación de confianza, después la relación de confianza se transfiere al Terminal Móvil (MT) y al Punto de Acceso (AP), pero este es un modo de autenticación indirecto;
(3)
el servidor únicamente verifica el certificado y la respuesta del Terminal Móvil (MT), sin verificar el certificado del Punto de Acceso (AP), por lo que el estado del certificado del Punto de Acceso (AP) se considera naturalmente como válido, ya que el Terminal Móvil (MT) no puede verificar si el certificado del Punto de Acceso (AP) es valido, no puede realizar una autenticación de dos vías real, es decir, el esquema mejorado es todavía un esquema de autenticación de una vía.
El documento XP-002263321 "Security Solution in Ericsson Wireless LAN Systems" de Y. Kim, Ericsson, Mayo de 2001, describe una solución WLG (WLAN Guardián), en la que se añaden los elementos de red de seguridad WLG (WLAN Guardián) y la DBS (base de datos) a la red básica, en la que la WLG (WLAN Guardián) se localiza después del Punto de Accesos (AP), y la base de datos central DBS se localiza después de todas las WLG.
Cuando el Terminal Móvil (MT) accede a la red, la autenticación y la gestión de la clave secreta entre la WLG (WLAN Guardián) y el Terminal Móvil (MT) se realizan a través del IKE (Intercambio de Claves por Internet), a fin de que se construya un canal seguro entre el Terminal Móvil (MT) y la WLG (WLAN Guardián), y los datos pueden protegerse a través del protocolo IPSec.
Dicha solución tiene los siguientes defectos:
(1)
el canal seguro es entre el Terminal Móvil (MT) y la WLG (WLAN Guardián) en lugar de entre el Terminal Móvil (MT) y el Punto de Acceso (AP), por lo que proporciona un servicio de seguridad a la capa de red en lugar de la capa de conexión inalámbrica;
(2)
todas las WLG comparten un certificado, el sistema verifica el certificado del Terminal Móvil (MT) y el estado del mismo por la DBS, y el Terminal Móvil (MT) no verifica el estado del certificado en la WLG a través de la DBS (base de datos); en su lugar, el Terminal Móvil toma naturalmente el certificado del mismo como valido, por lo que este es
de hecho una autenticación de una vía y no puede conseguir la finalidad de seguridad de la autenticación de dos vías;
(3)
las claves secretas han de compartirse entre las WLG y entre la WLG y la DBS, estas sin duda aumentarán la complejidad de la implantación de la red;
(4)
la transmisión de los parámetros de asociación de seguridad entre la WLG y la DBS introduce un nuevo punto de ataque a la seguridad.
El documento EP-A-1 178 644 describe procedimientos de gestión de claves para las WLAN, en los que las claves de seguridad en los terminales móviles y puntos de acceso de una WLAN se crean, utilizan y gestionan para establecer una sesión de comunicación entre un terminal móvil y un punto de acceso. Tanto la protección de seguridad a nivel de una conexión WLAN como las funciones de seguridad en IP de la red usan el mismo protocolo de gestión de claves de Intercambio de Claves por Internet (IKE) y usan certificados en la misma jerarquía de certificados. Cuando el terminal móvil se asocia con la red, usa el protocolo IKE con claves y certificados privados para generar claves a nivel de conexión WLAN con el punto de acceso y proporcionan una autenticación mutua. Además, el documento US-A-5 371 794 describe un esquema de autenticación para garantizar la comunicación segura entre un Punto de Acceso (AP) y un Terminal Móvil (MT), es decir, el Terminal Móvil (MT) y el Punto de Acceso (AP) comprueban la exactitud del formato de los certificados entre sí, verificando los campos de firma de certificados entre sí; y verifican la firma entre ellos para comprobar si existe una clave privada que corresponda con el certificado.
De hecho, ambas partes únicamente han verificado el formato de los certificados y la exactitud de las claves privadas entre ellos, pero no verificaron si el estado actual de los certificados es válido. Por lo tanto, no consiguieron la finalidad de seguridad de autenticación y no pueden garantizar al suscriptor legal el uso de la red legal.
Resumen de la Invención
El objeto de la presente invención es superar las deficiencias técnicas que se han mencionado anteriormente y proporcionar un procedimiento para el acceso seguro del terminal móvil a la Red de Área Local Inalámbrica (WLAN) y para la comunicación de datos segura a través de una conexión inalámbrica. Combina la tecnología de cifrado de claves común y la tecnología de cifrado simétrico, resuelve la incapacidad de la WLAN para proporcionar un control eficaz en el acceso seguro del MT, y supera la confidencialidad limitada de la comunicación de datos a través de una comunicación inalámbrica, de tal forma que no solo ha logrado el control en el acceso del MT, sino que también garantiza la seguridad del acceso del MT y una alta confidencialidad de comunicación.
La presente invención proporciona un procedimiento para el acceso seguro del terminal móvil a la Red de Área Local Inalámbrica (WLAN) y para la comunicación de datos segura a través de una conexión inalámbrica, en el que, cuando el Terminal Móvil (MT) se conecta a un Punto de Acceso inalámbrico (AP), el certificado del Terminal Móvil (MT) y el certificado del Punto de Acceso (AP) se transmiten a un Servidor de Autenticación (AS) y se autentican a través del Servidor de Autenticación (AS), después el resultado de la autenticación se devuelve al Punto de Acceso (AP) y al Terminal Móvil (MT) con el fin de conseguir una autenticación de certificados de dos vías entre dicho Terminal Móvil (MT) y el Punto de Acceso (AP); y el Terminal Móvil (MT) y el Punto de Acceso (AP) realizan la negociación de la clave secreta para la conversación.
Según sus realizaciones preferidas, la presente invención ha proporcionado un procedimiento para el acceso segurodel terminal móvil a la Red de Área Local Inalámbrica (WLAN) y para la comunicación de datos segura a través de una conexión inalámbrica, en el que cuando el MT se conecta a un AP, el MT y el AP realizan dicha autenticación de certificados de dos vías a través del AS; después de que dicha autenticación de certificados de dos vías se realice con éxito, el MT y el AP realizan dicha negociación de la clave secreta para la conversación.
Según sus realizaciones preferidas, la presente invención ha proporcionado un procedimiento para el acceso segurodel terminal móvil a la Red de Área Local Inalámbrica (WLAN) y para la comunicación de datos segura a través de una conexión inalámbrica, en el que, cuando el MT se conecta al AP, el MT y el AP informan el uno al otro de sus respectivos certificados, y después realizan la negociación de la clave secreta para la conversación, y después de que dicha negociación de la clave secreta para la conversación se realiza, el MT y el AP realizan la autenticación de certificados de dos vías a través del AS, y determinan si el certificado usado por la otra parte es el mismo que el informado. Si no es así, la autenticación falla; si es así, el resultado de la autenticación depende del resultado de dicha identificación de certificados de dos vías.
Dicha identificación de certificados de dos vías comprende:
1) cuando el MT se conecta al AP, el MT envía al AP el mensaje de petición de autenticación de acceso que contiene el certificado del MT; 2) después de que el AP reciba dicho mensaje de petición de autenticación de acceso, añade el certificado del AP al mensaje, después envía al AS el mensaje de petición de autenticación de certificado que contiene dicho certificado del MT y el certificado del AP; 3) después de que el AS reciba dicho mensaje de petición de autenticación de certificado, el AS autentica el certificado del AP y el certificado del MT en dicho mensaje, y después envía de vuelta al AP el mensaje de respuesta de autenticación de certificado con la firma del AS; 4) después de que el AP reciba dicho mensaje de respuesta de autenticación de certificado, el AP autentica la firma del AS, con el fin de obtener el resultado de la autenticación del certificado del MT, y después se envía de vuelta al MT el mensaje de respuesta de autenticación de certificado como el mensaje de respuesta de autenticación de acceso; y 5) después de que el MT reciba dicho mensaje de respuesta de autenticación de acceso, el MT autentica la firma del AS y obtiene el resultado de la autenticación del certificado del AP, a fin de completar dicha identificación de certificados de dos vías entre el MT y el AP.
Según sus realizaciones preferidas, la presente invención ha proporcionado un procedimiento para el acceso segurodel terminal móvil a la Red de Área Local Inalámbrica (WLAN) y para la comunicación de datos segura a través de una conexión inalámbrica, en el que 1) cuando el MT se conecta al AP, el MT envía al AP el mensaje de petición de autenticación de acceso que contiene el certificado del MT para realizar dicha autenticación de certificados de dos vías; 2) después de que el AP reciba dicho mensaje de petición de autenticación de acceso, añade el certificado del AP al mensaje, después envía al AS el mensaje de petición de autenticación de certificado que contiene dicho certificado del MT y el certificado del AP para realizar dicha autenticación de certificados de dos vías, y mientras tanto comienza con la negociación del MT de la clave secreta para la conversación; 3) después de que el AS reciba dicho mensaje de petición de autenticación de certificado, el AS autentica el certificado del AP y el certificado del MT en dicho mensaje, y después envía de vuelta al AP el mensaje de respuesta de autenticación de certificado con la firma del AS para realizar dicha autenticación de certificados de dos vías; 4) después de que el AP reciba dicho mensaje de respuesta de autenticación de certificado, el AP autentica la firma del AS, con el fin de obtener el resultado de la autenticación del certificado del MT, y después se envía de vuelta al MT el mensaje de respuesta de autenticación de certificado como el mensaje de respuesta de autenticación de acceso para realizar dicha autenticación de certificados de dos vías; y 5) después de que el MT reciba dicho mensaje de respuesta de autenticación de acceso, el MT autentica la firma del AS y obtiene el resultado de la autenticación del certificado del AP, con el fin de completar el procedimiento de dicha identificación de certificados de dos vías entre el MT y el AP, y después el MT realiza el procesamiento correspondiente para completar dicha negociación de la clave secreta para la conversación.
Según sus realizaciones preferidas, la presente invención ha proporcionado un procedimiento para el acceso segurodel terminal móvil a la Red de Área Local Inalámbrica (WLAN) y para la comunicación de datos segura a través de una conexión inalámbrica, en el que 1) cuando el MT se conecta al AP, el MT envía al AP el mensaje de petición de autenticación de acceso que contiene el certificado del MT para realizar dicha autenticación de certificados de dos vías; 2) después de que el AP reciba dicho mensaje de petición de autenticación de acceso, añade el certificado del AP al mensaje, después envía al AS el mensaje de petición de autenticación de certificado que contiene dicho certificado del MT y el certificado del AP para realizar dicha autenticación de certificados de dos vías; 3) después de que el AS reciba dicho mensaje de petición de autenticación de certificado, el AS autentica el certificado del AP y el certificado del MT en dicho mensaje, y después envía de vuelta al AP el mensaje de respuesta de autenticación de certificado que contiene la firma del AS para realizar dicha autenticación de certificados de dos vías; 4) después de que el AP reciba dicho mensaje de respuesta de autenticación de certificado, el AP autentica la firma del AS, con el fin de obtener el resultado de la autenticación del certificado del MT. El AP determina el resultado de la autenticación. Si la autenticación no tiene éxito, el AP envía de nuevo al MT dicho mensaje de respuesta de autenticación de certificado como el mensaje de respuesta de autenticación de acceso para realizar dicha autenticación de certificados de dos vías; si la autenticación es exitosa, el AP comienza a consultar con el MT la clave secreta para la conversación mientras que envía de vuelta al MT dicho mensaje de respuesta de autenticación de acceso; y 5) después de que el MT reciba dicho mensaje de respuesta de autenticación de certificado, el MT autentica la firma del AS y obtiene el resultado de la autenticación del certificado del AP, a fin de completar dicha identificación de certificados de dos vías entre el MT y el AP, y después el MT realiza el procesamiento correspondiente para completar dicha negociación de la clave secreta para la conversación.
Según sus realizaciones preferidas, la presente invención ha proporcionado un procedimiento para el acceso segurodel terminal móvil a la Red de Área Local Inalámbrica (WLAN) y para la comunicación de datos segura a través de una conexión inalámbrica, en el que 1) cuando el MT se conecta al AP, cada parte informa a la otra de su propio certificado, después completan dicha negociación de la clave secreta para la conversación, y, mientras tanto, el MT también completa la información del AP de la identificación de petición de autenticación de acceso; 2) el AP envía al AS el mensaje de petición de autenticación de certificado que contiene el certificado del MT y el certificado del AP para realizar dicha autenticación de certificados de dos vías; 3) después de que el AS reciba dicho mensaje de petición de autenticación de certificado, el AS autentica el certificado del AP y el certificado del MT en dicho mensaje, y después envía de vuelta al AP el mensaje de respuesta de autenticación de certificado que contiene la firma del AS para realizar dicha autenticación de certificados de dos vías; 4) después de que el AP reciba dicho mensaje de respuesta de autenticación de certificado, el AP autentica la firma del AS, con el fin de obtener el resultado de la autenticación del certificado del MT, y después envía de vuelta al MT dicho mensaje de respuesta de autenticación de certificado como el mensaje de respuesta de autenticación de acceso para realizar dicha autenticación de certificados de dos vías; y 5) después de que el MT reciba dicho mensaje de respuesta de autenticación de acceso, el MT autentica la firma del AS, y después determina si el certificado del AP en el mensaje es el mismo del que ha informado el AP antes de la negociación de la clave secreta para la conversación. Si no es así, la autenticación falla; si es así, el MT obtiene el resultado de la autenticación del certificado del AP del mensaje, con el fin de completar dicho procedimiento de autenticación de certificados de dos vías entre el MT y el AP.
Dicho mensaje de petición de autenticación de acceso también comprende la identificación de petición de autenticación de acceso.
Dicho mensaje de petición de autenticación de certificado también comprende la identificación de petición de autenticación de acceso, o también comprende la identificación de petición de autenticación de acceso y la firma del AP.
Dicho mensaje de respuesta de autenticación de certificado también comprende, antes del registro de la firma del AS, la información del resultado de la autenticación del certificado del MT y la de la autenticación del certificado del AP.
Dicho mensaje de respuesta de autenticación de acceso es idéntico a dicho mensaje de respuesta de autenticación de certificado.
Dicha identificación de petición de autenticación de acceso es una cadena de datos aleatorios o un número de serie de autenticación.
Dicha información del resultado de la autenticación del certificado del MT comprende el certificado del MT, y el resultado de la autenticación del certificado del MT y la firma del AS, o comprende el certificado del MT y el resultado de la autenticación del certificado del MT.
Dicha información del resultado de la autenticación del certificado del AP comprende el certificado del AP, el resultado de la autenticación del certificado del AP, la identificación de petición de autenticación de acceso y la firma del AS, o comprende el certificado del AP, el resultado de la autenticación del certificado del AP y la identificación de petición de autenticación de acceso.
Cuando el MT quiere acceder al AP designado, en primer lugar el MT ha de obtener la información relevante del AP
o el certificado del AP.
Dicha negociación de la clave secreta para la conversación se refiere al MT o al AP usando una clave común del AP
o el MT y su clave privada respectiva para generar la clave secreta para la conversación.
En una de las realizaciones preferidas de la presente invención, la negociación de la clave secreta para la conversación comprende lo siguiente:
1) el MT elige en secreto un número entero a, a partir del cual calcular el número entero f(a), combina el número entero f(a) y la firma del MT en éste en el mensaje de petición de negociación de clave secreta, y lo transmite al AP; dicha f es una función que hace que el número entero a sea incalculable a partir del número entero f(a); 2) después de que reciba dicho mensaje de petición de negociación de clave secreta, el AP elige en secreto un número entero b, a partir del cual calcular el número entero f(b), forma el número entero f(b) y la firma del AP en éste en el mensaje de respuesta de negociación de clave secreta, y lo transmite al MT; dicha f es una función que hace que el número entero b sea incalculable a partir del número entero f(b); y 3) el AP calcula g(b, f(a)), y el MT calcula g(a, f (b)) después de que reciba dicho mensaje de respuesta de negociación de clave secreta, como la clave secreta para la conversación en el procedimiento de comunicación; dicha g es una función que hace posible el cálculo de g(a, f(b)) = g(b, f(a)).
En otra realización preferida de la presente invención, dicha negociación de la clave secreta para la conversación comprende lo siguiente:
1) el AP elige en secreto un número entero b, a partir del cual calcular el número entero f(b), combina el número entero f(b) y la firma del AP en éste en el mensaje de petición de negociación de clave secreta, y lo transmite al MT; dicha f es una función que hace que el número entero b sea incalculable a partir del número entero f(b);
2) después de que reciba dicho mensaje de petición de negociación de clave secreta, el MT elige en secreto un número entero a, a partir del cual calcular el número entero f(a), combina el número entero f(a) y la firma del MT en éste en el mensaje de respuesta de negociación de clave secreta, y lo transmite al AP; dicha f es una función que hace que el número entero a sea incalculable a partir del número entero f(a); y
3) el MT calcula g(a, f(a)), y el AP calcula g(a, f (b)) después de que reciba dicho mensaje de respuesta de clave secreta, como la clave secreta para la conversación en el procedimiento de comunicación; dicha g es una función que hace posible el cálculo de g(a, f(b)) = g(b, f(a)).
En otra realización preferida de la presente invención, la negociación de la clave secreta para la conversación comprende lo siguiente:
1) el MT o el AP genera una cadena de datos aleatorios, y los transmite como el mensaje de petición de negociación de clave secreta al AP o el MT después del cifrado usando la clave común del AP o el MT; 2) después de que reciba dicho mensaje de petición de negociación de clave secreta del MT o el AP, el AP o el MT usa su propia clave privada para el cifrado, obtiene los datos aleatorios generados por la otra parte; después el AP o el MP generan de nuevo una cadena de datos aleatorios; y los envía como el mensaje de respuesta de negociación de clave secreta al MT o al AP después del cifrado usando la clave común del MT o el AP; y 3) Después de que reciba dicho mensaje de respuesta de negociación de clave secreta del AP o el MT, el MT o el AP usa su propia clave privada para el cifrado, obtiene los datos aleatorios generados por la otra parte; tanto el MT como el AP utilizan los datos aleatorios generados por la otra parte y por sí mismos para generar la clave secreta para la conversación.
En otra realización preferida de la presente invención, la negociación de la clave secreta para la conversación comprende lo siguiente:
1) el MT o el AP generan una cadena de datos aleatorios, y, después de utilizar la clave común del AP o el MT para el cifrado, fija su propia firma como el mensaje de petición de negociación de clave secreta, y lo transmite al AP o el MT; y
2) después de que el AP o el MT reciban dicho mensaje de petición de negociación de clave secreta del MT o el AP, utiliza la clave común del MT o el AP para autenticar la firma, y después utiliza su propia clave privada para descifrar el mensaje cifrado recibido; tanto el MT como el AP usan los datos aleatorios como la clave secreta para la conversación.
Además, dicha negociación de la clave secreta para la conversación también puede comprende la negociación del algoritmo de comunicación usado en el procedimiento de comunicación.
La presente invención tiene las siguientes ventajas sobre la técnica anterior:
Ha resuelto el problema del fallo en la WLAN para tener un control eficaz del acceso seguro del MT, y superar la limitación de la confidencialidad de la comunicación de datos a través de la comunicación inalámbrica. Además, combina el sistema de cifrado de claves común y la tecnología de cifrado simétrica, ha realizado la autenticación de certificados de dos vías entre el MT y el AP, y además mejoró la seguridad de acceso; además, ha conseguido, a través de la negociación dinámica de la clave secreta para la conversación, la revisión dinámica de la clave secreta en el procedimiento de cada autenticación, la clave secreta y la comunicación, para conseguir la comunicación de datos segura, y aumentó en gran medida la dificultad del descifrado. En conclusión, el procedimiento no solo ha logrado el control en el acceso del MT, sino también ha garantizado la seguridad del acceso del MT y la alta confidencialidad de la comunicación.
Breve Descripción de los Dibujos
La Fig. 1 es un diagrama que muestra la estructura del sistema IP inalámbrico de banda ancha convencional; La Fig. 2 es un diagrama de bloques que muestra la estructura lógica del sistema de autenticación de seguridad de la banda ancha basado en el AS de la presente invención; La Fig. 3 es un diagrama de flujo de autenticación de la presente invención en el momento del acceso del MT.
Descripción de las Realizaciones Preferidas
La siguiente es una descripción adicional de la presente invención sobre la base de los dibujos y realizaciones.
La Fig. 2 es un diagrama de bloques que muestra la estructura lógica del sistema de autenticación de seguridad de la WLAN basado en el AS (Servidor de Autenticación). Se usa la tecnología de cifrado de claves común. Cuando el MT se conecta al AP, la autenticación de certificados de dos vías ha de realizarse usando el AS. Únicamente el MT que posea el certificado autorizado puede acceder al AP que posea el certificado autorizado, de lo contrario, el AP rechaza el acceso del MT o el MT rechaza la conexión al AP. Después de la autenticación con éxito, el MT y el AP realizan la negociación de la clave común para la conversación, usan la tecnología de cifrado simétrica para realizar la comunicación segura de datos a través de la conexión inalámbrica. El procedimiento completo es como se muestra en la Fig. 3, en la que el contenido del certificado comprende principalmente el número de serie del certificado, el nombre de la persona que autoriza el certificado, periodo de validez del certificado, nombre del titular del certificado, información de la clave común del titular del certificado, algoritmo de firma usado por la persona que autoriza el certificado y firma de la persona que autoriza el certificado en el certificado.
1. Autenticación de Certificados de Dos Vías Cuando el MT se conecta al AP, las dos partes realizan la autenticación de certificados de dos vías a través del AS como se muestra en el siguiente flujo de trabajo:
a) Petición de autenticación de acceso. El MT envía al AP el mensaje de petición de autenticación de acceso, es decir, enviar al AP el certificado del MT y una cadena de datos aleatorios o un numero de serie de autenticación, en el que la cadena de datos aleatorios o el número de serie de autenticación se denominan identificación de petición de autenticación de acceso;
b) Petición de autenticación de certificados. Después de que reciba el mensaje de petición de autenticación de acceso del MT, el AP envía al AS el mensaje de petición de autenticación de certificado, es decir, enviar al AS el certificado del MT, la identificación de petición de autenticación de acceso y el certificado del AP o el certificado del MT, la identificación de petición de autenticación de acceso, y el mensaje de petición de autenticación de certificado constituido por la firma de la clave privada del AP en ellos;
c) Respuesta de la autenticación de certificados. Después de que el AS reciba el mensaje de petición de autenticación de certificado del AP, si el mensaje contiene la firma del AP, en primer lugar el AS autentica la firma en cuanto a su autenticidad. Si no es autentica, el resultado de la autenticación se determina como fallo. Entonces autentica el certificado del AP y el certificado del MT en cuanto a su legitimidad. Cuando la autenticación esté hecha, el AS enviará de vuelta al AP [1] la información del resultado de la autenticación del certificado del MT incluyendo el certificado del MT y el resultado de la autenticación del certificado del MT, y la firma del AS en ellos, o únicamente incluyendo el certificado del MT y el resultado de la autenticación del certificado del MT, [2] la información del resultado de la autenticación del certificado del AP incluyendo el certificado del AP y el resultado de la autenticación del AP y la identificación de petición de autenticación de acceso, y la firma del AS en ellos, o solo incluyendo el certificado del AP y el resultado de la autenticación del certificado del AP, y la identificación de petición de autenticación de acceso, y [3] el mensaje de las respuestas de autenticación de certificados constituidos por las firmas del AS en [1] y [2];
d) Respuesta de la autenticación de acceso. El AP autentica la firma en el mensaje de respuesta de autenticación de certificado enviado de vuelta por el AS, y obtiene el resultado de la autenticación de certificados del MT. El AP envía de nuevo al MT el mensaje de respuesta de autenticación de certificado como el mensaje de respuesta de autenticación de acceso;
e) el MT autentica la firma en el mensaje de respuesta de la autenticación enviado de vuelta por el AP, y obtiene el resultado de la autenticación del certificado del AP.
Ahora, el procedimiento de autenticación de certificados de dos vías se ha completado entre el MT y el AP. Su sus certificados se autentican con éxito, el AP permite al MT acceder, o rechaza su acceso, o el MT rechaza conectarse al AP. Ahora, el MT que tiene el certificado autorizado ha accedido con éxito al AP que tiene el certificado autorizado, y se ha completado la función del AP para controlar el acceso seguro del MT.
2. Negociación de la Clave Secreta para la Conversación
Después de que la autenticación de certificados de dos vías del MT y el AP se realice con éxito, es decir, conseguir la entrada con éxito del MT, entonces las dos partes usan cada clave común del otro y su propia clave privada respectiva para generar en el mismo la clave secreta para la conversación que se va a usar para el cifrado y descifrado de los mensajes de datos de comunicación, con el fin de realizar la comunicación inalámbrica segura y confidencial entre el MT y el AP. Sin embargo, vale la pena señalar que en el periodo de validez del certificado, la clave secreta para la conversación entre el MT y el AT permanece inalterada. Con el fin de realizar cada autenticación de cada clave secreta, es necesaria la negociación dinámica de la clave secreta para la conversación. La negociación dinámica de la clave secreta para la conversación procede como se indica a continuación:
a) La petición de negociación de clave secreta. El MT o el AP genera una cadena de datos aleatorios, y, después del cifrado usando la clave común del AP y el MT, envía al AP o al MT el mensaje de petición de negociación de clave secreta;
b) La respuesta de negociación de clave secreta. Después de que el AP o el MT reciba el mensaje de petición de negociación de clave secreta enviado desde el MT o el AP, el AP o el MT usa su propia clave privada para el cifrado, y obtiene los datos aleatorios generados por la otra parte. Después, genera localmente una cadena de datos aleatorios, y, después del cifrado usando la clave común del MT o el AP, responde al MT o al AP con respecto al mensaje de respuesta de negociación de clave secreta;
c) Después de que el MT o el AP reciba el mensaje de respuesta de negociación de clave secreta enviado desde el AP o el MT, el MT o el AP usa su propia clave privada para el cifrado, y obtiene los datos aleatorios de la otra parte; tanto el MT como el AP usan los dos datos aleatorios generados por sí mismos o la otra parte para generar la clave secreta para la conversación que se va a usar para el cifrado y el descifrado de los mensajes de datos de la comunicación.
Para mejorar adicionalmente la confidencialidad de la comunicación, después de que el MT y el AP realicen la comunicación durante un periodo de tiempo o intercambien una determinada cantidad de mensajes, la negociación de la clave secreta para la conversación puede realizarse una vez más.
La autenticación de certificados de dos vías completa el acceso seguro del MT y la negociación de la clave secreta para la conversación garantiza completamente la comunicación altamente confidencial entre el MT y el AP.
Especialmente se ha señalado que:
(1)
Si el MT intenta acceder al AP designado, el MT debe, antes de la autenticación de certificados de dos vías, conocer aproximadamente la información relevante del AP o cumplir el certificado del AP, con el fin de que el MT determine el mensaje de respuesta de autenticación de acceso que recibe;
(2)
La negociación de la clave secreta para la conversación también puede comprender la negociación de los algoritmos de comunicación, es decir, en el mensaje de petición de negociación de clave secreta se enumeran los algoritmos de comunicación soportados por la parte solicitante. La parte que responde elige uno de los algoritmos de comunicación proporcionados por la parte solicitante, y lo envía de vuelta a la parte solicitante a través del mensaje de respuesta de negociación de clave secreta. Después de que se complete la negociación de la clave secreta para la conversación, las dos partes usan el algoritmo de comunicación de negociación para realizar la comunicación confidencial.
(3)
La negociación dinámica de la clave secreta para la conversación también puede realizarse como se indica a continuación. El MT o el AP genera localmente una cadena de datos aleatorios, fija su propia firma, y la envía a la otra parte después del cifrado, usando la clave común de la otra parte. Después de que el AP o MT la reciban, el AP
o el MT usa la clave común de la otra parte para autenticar si este es el dato enviado por la otra parte, entonces usa su propia clave privada para descifrar el mensaje que recibe. Las dos partes usan los datos aleatorios como clave secreta para la conversación para descifrar los datos de comunicación.
(4) La negociación de la clave secreta para la conversación también puede proceder como se indica a continuación:
a) el MT elige en secreto un número entero a, calcula f(a), envía al AP f(a) y la firma del MT en éste, en el que f es una función que hace que el número entero a sea incalculable a partir del número entero f(a);
b) el AP elige en secreto un número entero b, calcula f(b), envía al MT f(b) y la firma del MT en éste, en el que la definición de la función f es la misma que en a);
c) el MT calcula g(a, f(a)) y el AP calcula g(b, f(a)), como la clave secreta para la conversación en el procedimiento de comunicación, en el que g es una función que hace posible el cálculo de g(a, f(b)) = g(b, f(a)).
(5)
Como se ha mencionado anteriormente, realizar en primer lugar la autenticación de certificados de dos vías y después la negociación de la clave secreta para la conversación, pero en la implementación específica del procedimiento, también puede ser que la negociación de la clave secreta para la conversación se realice antes de la autenticación de certificados de dos vías, o los dos procedimientos se realicen juntos o alternativamente.
(6)
La negociación de la clave secreta para la conversación es primero, y la autenticación de certificados de dos vías se realiza después específicamente como se indica a continuación:
a) Cuando el MT se conecta al AP, las dos partes informan la una a la otra de sus respectivos certificados;
b) Usando dicho procedimiento, el MT y el AP realizan la negociación de la clave secreta para la conversación;
c) Usando dicho procedimiento, el MT y el AP realizan la autenticación de certificados de dos vías, y determinan si el certificado usado por la otra parte es el mismo que el certificado informado por éste en la etapa a). Si no es así, la autenticación falla; o el resultado de la autenticación depende del resultado del proceso de la autenticación de certificados de dos vías.
(7) La autenticación de certificados de dos vías y la negociación de la clave secreta para la conversación se realizan de forma alterna como se indica a continuación:
Los procedimientos de autenticación de certificados de dos vías y la negociación de la clave secreta para la conversación son exactamente los mismos que anteriormente. La diferencia radica únicamente en la alternancia de la secuencia de mensajes. Es decir, cuando el MT se conecta al AP, el MT envía al AP el mensaje de petición de autenticación de acceso. Después de que reciba el mensaje, el AP, mientras envía al AS el mensaje de petición de autenticación de certificado, comienza la negociación con el MT de la clave secreta para la conversación, de tal forma que la autenticación de certificados de dos vías y la negociación de la clave secreta para la conversación se realizan alternativamente a una velocidad mayor que la ejecución por separado.
(8)
La autenticación de certificados de dos vías y la negociación de la clave secreta para la conversación se realizan en combinación como se indica a continuación:
Cuando el MT se conecta al AP, las dos partes en primer lugar realizan la autenticación de certificados de dos vías, y después la negociación de la clave secreta para la conversación. Pero cuando la autenticación está a punto de terminarse, es decir, el AP, mientras que envía de vuelta al MT el mensaje de respuesta de autenticación de acceso, comienza la negociación con el MT de la clave secreta para la conversación, es decir, puede añadir la información de petición de negociación de clave secreta al mensaje de respuesta de autenticación de acceso, de tal forma que la autenticación de certificados de dos vías y la negociación de la clave secreta para la conversación se realizan en combinación a una velocidad mayor que la ejecución por separado.
(9)
La autenticación de certificados de dos vías y la negociación de la clave secreta para la conversación también pueden realizarse de la siguiente manera. Es decir, el procedimiento se simplifique en primer lugar realizando la negociación de la clave secreta para la conversación, y después la autenticación de certificados de dos vías. En el procedimiento en el que el MT y el AP informan el uno al otro de sus respectivos certificados y realizan la negociación de la clave secreta para la conversación, el MT también debe informar al AP de la identificación de petición de autenticación de acceso. Por lo tanto, después de realizar la autenticación de certificados de dos vías, el MT no necesita enviar al AP el mensaje de petición de autenticación de acceso. En su lugar, el AP envía directamente al AS el mensaje de petición de autenticación de certificado y comienza la autenticación de certificados de dos vías. Cuando el procedimiento de autenticación se completa, esto es únicamente necesario para el MT para determinar si el certificado usado por el AP es el mismo que el certificado del que informó el AP antes de la negociación de la clave secreta para la conversación. Si no es así, la autenticación falla; si es así, el resultado de la autenticación depende del resultado del proceso de la autenticación de certificados de dos vías.

Claims (21)

  1. REIVINDICACIONES
    1.
    Un procedimiento para el acceso seguro del terminal móvil a la Red de Área Local Inalámbrica, WLAN, y para la comunicación de datos segura a través de una conexión inalámbrica, en el que cuando el Terminal Móvil (MT) se conecta a un Punto de Acceso (AP) inalámbrico, el certificado del Terminal Móvil (MT) y el certificado del Punto de Acceso (AP) se transmiten a un Servidor de Autenticación (AS) y se autentifican a través del Servidor de Autenticación (AS), después la autenticación resultado del certificado del Terminal Móvil (MT) y el certificado del Punto de Acceso (AP) se devuelve al Punto de Acceso (AP) y el Terminal Móvil (MT) con el fin de conseguir una autenticación de certificado dos vías entre dicho Terminal Móvil (MT) y el Punto de Acceso (AP); y el Terminal Móvil (MT) y el Punto de Acceso (AP) realizan la negociación de la clave secreta para la conversación.
  2. 2.
    El procedimiento de acuerdo con la reivindicación 1, en el que:
    cuando el Terminal Móvil (MT) se conecta a un Punto de Acceso (AP), el Terminal Móvil (MT) y Punto de Acceso (AP) realiza dicha autenticación de certificados de dos vías a través del Servidor de Autenticación (AS); después de que se haya realizado con éxito dicha autenticación de certificados de dos vías, el Terminal Móvil (MT) y el Punto de Acceso (AP) realizan dicha negociación de la clave secreta para la conversación.
  3. 3.
    El procedimiento de acuerdo con la reivindicación 1, en el que:
    cuando el Terminal Móvil (MT) se conecta a un Punto de Acceso (AP), el Terminal Móvil (MT) y el Punto de Acceso (AP) se informan el uno al otro de sus respectivos certificados, y después, realizan la negociación de la clave secreta para la conversación; después de que se haya completado dicha negociación de la clave secreta para la conversación, el Terminal Móvil (MT) y el Punto de Acceso (AP) realizan dicha autenticación de certificados de dos vías a través del Servidor de Autenticación (AS), y mientras tanto determinan si el certificado usado por la otra parte es el mismo del que se ha informado por éste; si no es así, la autenticación falla; si es así, el resultado de la autenticación depende del resultado de dicha identificación de certificado de dos vías.
  4. 4.
    El procedimiento de acuerdo con las reivindicaciones 1, 2 ó 3, en el que: dicha autenticación de certificados de dos vías comprende las etapas de:
    1) cuando el Terminal Móvil (MT) se conecta a un Punto de Acceso (AP), el Terminal Móvil (MT) envía al Punto de Acceso (AP) el mensaje de petición de autenticación de acceso que contiene el certificado del Terminal Móvil (MT);
    2) después de que el Punto de Acceso (AP) reciba dicho mensaje de petición de autenticación de acceso, éste añade el certificado del Punto de Acceso (AP) al mensaje, después envía al Servidor de Autenticación (AS) el mensaje de petición de autenticación de certificado que contiene dicho certificado del Terminal Móvil (MT) y el certificado del Punto de Acceso (AP);
    3) después de que el Servidor de Autenticación (AS) reciba dicho mensaje de petición de autenticación de certificado, el Servidor de Autenticación (AS) autentica el certificado del Punto de Acceso (AP) y el certificado del Terminal Móvil (MT) en dicho mensaje, y después envía de vuelta al Punto de Acceso (AP) el mensaje de respuesta de autenticación de certificado que contiene la firma del Servidor de Autenticación (AS);
    4) después de que el Punto de Acceso (AP) reciba dicho mensaje de respuesta de autenticación de certificado, el Punto de Acceso (AP) autentica la firma del Servidor de Autenticación (AS), para obtener el resultado de la autenticación del certificado del Terminal Móvil (MT), y después envía de vuelta al Terminal Móvil (MT) el mensaje de respuesta de autenticación de certificado como el mensaje de respuesta de autenticación de acceso; y
    5) después de que el Terminal Móvil (MT) reciba dicho mensaje de respuesta de autenticación de acceso, Terminal Móvil (MT) autentica la firma del Servidor de Autenticación (AS) y obtiene el resultado de la autenticación del certificado del Punto de Acceso (AP), con el fin de completar dicha identificación de certificados de dos vías entre el Terminal Móvil (MT) y el Punto de Acceso (AP).
  5. 5. El procedimiento de acuerdo con la reivindicación 1, en el que:
    1) cuando el Terminal Móvil (MT) se conecta a un Punto de Acceso (AP), el Terminal Móvil (MT) envía al Punto de Acceso (AP) el mensaje de petición de autenticación de acceso que contiene el certificado del Terminal Móvil (MT) para realizar dicha autenticación de certificados de dos vías;
    2) después de que el Punto de Acceso (AP) reciba dicho mensaje de petición de autenticación de acceso, éste añade el certificado del Punto de Acceso (AP) al mensaje, después envía al Servidor de Autenticación (AS) el mensaje de petición de autenticación de certificado que contiene dicho certificado del Terminal Móvil (MT) y el certificado del Punto de Acceso (AP) para realizar dicha autenticación de certificados de dos vías, y mientras tanto comienza con el Terminal Móvil (MT) la negociación de la clave secreta para la conversación;
    3) después de que el Servidor de Autenticación (AS) reciba dicho mensaje de petición de autenticación de certificado, el Servidor de Autenticación (AS) autentica el certificado del Punto de Acceso (AP) y el certificado del Terminal Móvil (MT) en dicho mensaje, y después envía de vuelta al Punto de Acceso (AP) el mensaje de respuesta de autenticación de certificado que contiene la firma del Servidor de Autenticación (AS) para realizar dicha autenticación de certificados de dos vías;
    4) después de que el Punto de Acceso (AP) reciba dicho mensaje de respuesta de autenticación de certificado, el Punto de Acceso (AP) autentica la firma del Servidor de Autenticación (AS), para obtener el resultado de la autenticación del certificado del Terminal Móvil (MT), y después envía de vuelta al Terminal Móvil (MT) el mensaje de respuesta de autenticación de certificado como el mensaje de respuesta de autenticación de acceso para realizar dicha autenticación de certificados de dos vías; y
    5) después de que el Terminal Móvil (MT) reciba dicho mensaje de respuesta de autenticación de acceso, el Terminal Móvil (MT) autentica la firma del Servidor de Autenticación (AS) y obtiene el resultado de la autenticación del certificado del Punto de Acceso (AP), para completar el procedimiento de dicha identificación de certificado de dos vías entre el Terminal Móvil (MT) y el Punto de Acceso (AP), y después el Terminal Móvil (MT) realiza el procesamiento correspondiente para completar dicha negociación de la clave secreta para la conversación.
  6. 6. El procedimiento de acuerdo con la reivindicación 1, en el que:
    1) cuando el Terminal Móvil (MT) se conecta a un Punto de Acceso (AP), el Terminal Móvil (MT) envía al Punto de Acceso (AP) el mensaje de petición de autenticación de acceso que contiene el certificado del Terminal Móvil (MT) para realizar dicha autenticación de certificados de dos vías;
    2) después de que el Punto de Acceso (AP) reciba dicho mensaje de petición de autenticación de acceso, éste añade el certificado del Punto de Acceso (AP) al mensaje, después envía al Servidor de Autenticación (AS) el mensaje de petición de autenticación de certificado que contiene dicho certificado del Terminal Móvil (MT) y el certificado del Punto de Acceso (AP) para realizar dicha autenticación de certificados de dos vías;
    3) después de que el Servidor de Autenticación (AS) reciba dicho mensaje de petición de autenticación de certificado, el Servidor de Autenticación (AS) autentica el certificado del Punto de Acceso (AP) y el certificado del Terminal Móvil (MT) en dicho mensaje, y después envía de vuelta al Punto de Acceso (AP) el mensaje de respuesta de autenticación de certificado que contiene la firma del Servidor de Autenticación (AS) para realizar dicha autenticación de certificados de dos vías;
    4) después de que el Punto de Acceso (AP) reciba dicho mensaje de respuesta de autenticación de certificado, el Punto de Acceso (AP) autentica la firma del Servidor de Autenticación (AS), para obtener el resultado de la autenticación del certificado del Terminal Móvil (MT); el Punto de Acceso (AP) determina el resultado de la autenticación; si la autenticación no tiene éxito, el Punto de Acceso (AP) envía de vuelta al Terminal Móvil (MT) dicho mensaje de respuesta de autenticación de certificado como el mensaje de respuesta de autenticación de acceso para realizar dicha autenticación de certificados de dos vías; si la autenticación es exitosa, el Punto de Acceso (AP) empieza a consultar con el Terminal Móvil (MT) la clave secreta para la conversación mientras que envía de vuelta al Terminal Móvil (MT) dicho mensaje de respuesta de autenticación de acceso; y
    5) después de que el Terminal Móvil (MT) reciba dicho mensaje de respuesta de autenticación de certificado, el Terminal Móvil (MT) autentica la firma del Servidor de Autenticación (AS) y obtiene el resultado de la autenticación del certificado del Punto de Acceso (AP), con el fin de completar dicha identificación de certificado de dos vías entre el Terminal Móvil (MT) y el Punto de Acceso (AP), y después el Terminal Móvil (MT) realiza el procesamiento correspondiente para completar dicho procedimiento de negociación de la clave secreta para la conversación.
  7. 7. El procedimiento de acuerdo con la reivindicación 1, en el que:
    1) cuando el Terminal Móvil (MT) se conecta a un Punto de Acceso (AP), cada parte informa a la otra de su propio certificado, después completan dicha negociación de la clave secreta para la conversación, y, mientras tanto, el Terminal Móvil (MT) también completa informando al Punto de Acceso (AP) de la identificación de petición de autenticación de acceso;
    2) el Punto de Acceso (AP) envía al Servidor de Autenticación (AS) el mensaje de petición de autenticación de certificado que contiene el certificado del Terminal Móvil (MT) y el certificado del Punto de Acceso (AP) para realizar dicha autenticación de certificados de dos vías;
    3) después de que el Servidor de Autenticación (AS) reciba dicho mensaje de petición de autenticación de certificado, el Servidor de Autenticación (AS) autentica el certificado del Punto de Acceso (AP) y el certificado del Terminal Móvil (MT) en dicho mensaje, y después envía de vuelta al Punto de Acceso (AP) el mensaje de respuesta de autenticación de certificado que contiene la firma del Servidor de Autenticación (AS) para realizar dicha autenticación de certificados de dos vías;
    4) después de que el Punto de Acceso (AP) reciba dicho mensaje de respuesta de autenticación de certificado, El Punto de Acceso (AP) autentica la firma del Servidor de Autenticación (AS) con el fin de obtener el resultado de la autenticación del certificado del Terminal Móvil (MT), y después envía de vuelta al Terminal Móvil (MT) dicho mensaje de respuesta de autenticación de certificado como el mensaje de respuesta de autenticación de acceso para realizar dicha autenticación de certificados de dos vías; y
    5) después de que el Terminal Móvil (MT) reciba dicho mensaje de respuesta de autenticación de acceso, el Terminal Móvil (MT) autentica la firma del Servidor de Autenticación (AS), y después determina si el certificado del Punto de Acceso (AP) es el mismo del que informó el Punto de Acceso (AP) antes de la negociación de la clave secreta para la conversación; si no es así, la autenticación falla; si es así, el Terminal Móvil (MT) obtiene el resultado de la autenticación del certificado del Punto de Acceso (AP) a partir del mensaje, con el fin de completar dicho procedimiento de autenticación de certificados de dos vías entre el Terminal Móvil (MT) y el Punto de Acceso (AP).
  8. 8.
    El procedimiento de acuerdo con la reivindicación 4, 5 ó 6, en el que: dicho mensaje de petición de autenticación de acceso también comprende la identificación de petición de autenticación de acceso.
  9. 9.
    El procedimiento de acuerdo con la reivindicación 4, 5, 6 ó 7, en el que: dicho mensaje de petición de autenticación de certificado también comprende la identificación de petición de autenticación de acceso, o también comprende la identificación de petición de autenticación de acceso y la firma del Punto de Acceso (AP).
  10. 10.
    El procedimiento de acuerdo con la reivindicación 4, 5, 6 ó 7, en el que: dicho mensaje de respuesta de autenticación de certificado también comprende, antes de la firma registrada del Servidor de Autenticación (AS), la información del resultado de la autenticación del certificado del Terminal Móvil (MT) y la de la autenticación del certificado del Punto de Acceso (AP).
  11. 11.
    El procedimiento de acuerdo con la reivindicación 4, 5, 6 ó 7, en el que: dicho mensaje de respuesta de autenticación de acceso es idéntico al de dicho mensaje de respuesta de autenticación de certificado.
  12. 12.
    El procedimiento de acuerdo con la reivindicación 7, 8 ó 9, en el que: dicha identificación de petición de autenticación de acceso es una cadena de datos aleatorios o un número de serie de autenticación.
  13. 13.
    El procedimiento de acuerdo con la reivindicación 10 u 11, en el que: dicha información del resultado de la autenticación del certificado del Terminal Móvil (MT) comprende el certificado del Terminal Móvil (MT), y el resultado de la autenticación del certificado del Terminal Móvil (MT) y la firma del Servidor de Autenticación (AS), o comprende el certificado del Terminal Móvil (MT) y el resultado de la autenticación del certificado del Terminal Móvil (MT).
  14. 14.
    El procedimiento de acuerdo con la reivindicación 10 u 11, en el que: dicha información del resultado de la autenticación del certificado del Punto de Acceso (AP) comprende el certificado del Punto de Acceso (AP), el resultado de la autenticación del certificado del Punto de Acceso (AP), la identificación de petición de autenticación de acceso y la firma del Servidor de Autenticación (AS), o comprende el certificado del Punto de Acceso (AP), el resultado de la autenticación del certificado del Punto de Acceso (AP) y la identificación de petición de autenticación de acceso.
  15. 15.
    El procedimiento de acuerdo con la reivindicación 1, 2, 3, 5, 6 ó 7, en el que: cuando el Terminal Móvil (MT) intenta acceder al Punto de Acceso (AP) designado, en primer lugar, el Terminal Móvil (MT) ha de obtener la información relevante del Punto de Acceso (AP) o el certificado del Punto de Acceso (AP).
  16. 16.
    El procedimiento de acuerdo con la reivindicación 1, 2, 3, 5, 6 ó 7, en el que: dicha negociación de la clave secreta para la conversación se refiere al Terminal Móvil (MT) o el Punto de Acceso (AP) usando una clave común del Punto de Acceso (AP) o del Terminal Móvil (MT) y sus propias claves privadas respectivas para generar la clave secreta para la conversación.
  17. 17.
    El procedimiento de acuerdo con la reivindicación 1, 2, 3, 5, 6 ó 7, en el que: dicha negociación de la clave secreta para la conversación comprende:
    1) el Terminal Móvil (MT) elige en secreto un número entero a, a partir del cual calcular el número entero f(a), combina el número entero f(a) y la firma del Terminal Móvil (MT) en éste en el mensaje de petición de negociación de clave secreta, y lo transmite al Punto de Acceso (AP); dicha f es una función que hace que el número entero a sea incalculable a partir del número entero f(a);
    2) después de que reciba dicho mensaje de petición de negociación de clave secreta, el Punto de Acceso (AP) elige en secreto un número entero b, a partir del cual calcular el número entero f(b), combina el número entero f(b) y la firma del Punto de Acceso (AP) en éste en el mensaje de respuesta de negociación de clave secreta, y lo transmite al Terminal Móvil (MT); dicha f es una función que hace que el número entero b sea incalculable a partir del número entero f(b); y
    3) el Punto de Acceso (AP) calcula g(b, f(a)), y el Terminal Móvil (MT) calcula g(a, f(b)) que después recibe dicho mensaje de respuesta de negociación de clave secreta, como la clave secreta para la conversación en el procedimiento de comunicación; dicha g es una función que hace posible el calculo de g(a, f(b)) = g(b, f (a)).
  18. 18. El procedimiento de acuerdo con la reivindicación 1, 2, 3, 5, 6 ó 7, en el que: dicha negociación de la clave secreta para la conversación comprende:
    1) el Punto de Acceso (AP) elige en secreto un número entero b, a partir del cual calcular el número entero f(b), combina el número entero f(b) y la firma del Punto de Acceso (AP) en éste en el mensaje de petición de negociación de clave secreta, y lo transmite al Terminal Móvil (MT); dicha f es una función que hace que el número entero b sea incalculable a partir del número entero f(b);
    2) después recibe dicho mensaje de petición de negociación de clave secreta, el Terminal Móvil (MT) elige en secreto un número entero a, a partir del cual calcular el número entero f(a), forma el número entero f(a) y la firma del Terminal Móvil (MT) en éste en el mensaje de respuesta de negociación de clave secreta, y lo transmite al Punto de Acceso (AP); dicha f es una función que hace que el número entero a sea incalculable a partir del número entero f(a); y
    3) el Terminal Móvil (MT) calcula g(a, f(a)), y el Punto de Acceso (AP) calcula g(a, f(b)) que después recibe dicho mensaje de respuesta de clave secreta, como la clave secreta para la conversación en el proceso de comunicación; dicha g es una función que hace posible el calculo de g(a, f(b)) = g(b, f(a)).
  19. 19. El procedimiento de acuerdo con la reivindicación 1, 2, 3, 5, 6 ó 7, en el que: dicha negociación de la clave secreta para la conversación comprende:
    1) el Terminal Móvil (MT) o el Punto de Acceso (AP) genera una cadena de datos aleatorios, y los envía al Punto de Acceso (AP) o el Terminal Móvil (MT) como el mensaje de petición de negociación de clave secreta después de la encriptación usando la clave común del Punto de Acceso (AP) o del Terminal Móvil (MT);
    2) después recibe dicho mensaje de petición de negociación de clave secreta del Terminal Móvil (MT) o del Punto de Acceso (AP), el Punto de Acceso (AP) o el Terminal Móvil (MT) que usa su propia clave privada para el descifrado, obtiene los datos aleatorios generados por la otra parte; después el Punto de Acceso (AP) o el MP genera de nuevo una cadena de datos aleatorios; y los envía al Terminal Móvil (MT) o al Punto de Acceso (AP) como el mensaje de respuesta de negociación de clave secreta después del cifrado usando la clave común del Terminal Móvil (MT) o el Punto de Acceso (AP); y
    3) después recibe dicho mensaje de respuesta de negociación de clave secreta del Punto de Acceso (AP) o el Terminal Móvil (MT), el Terminal Móvil (MT) o el Punto de Acceso (AP), que usa su propia clave privada para el descifrado, obtiene los datos aleatorios generados por la otra parte; tanto el Terminal Móvil (MT) como el Punto de Acceso (AP) utilizan los datos aleatorios generados por la otra parte y por sí mismos para generar la clave secreta para la conversación.
  20. 20. El procedimiento de acuerdo con la reivindicación 1, 2, 3, 5, 6 ó 7, en el que: dicha negociación de la clave secreta para la conversación comprende:
    1) el Terminal Móvil (MT) o el Punto de Acceso (AP) genera una cadena de datos aleatorios y, después utiliza la clave común del Punto de Acceso (AP) o el Terminal Móvil (MT) para el cifrado, adjunta su propia firma como el mensaje de petición de negociación de clave secreta, y lo transmite al Punto de Acceso (AP) o al Terminal Móvil (MT); y
    2) después el Punto de Acceso (AP) o el Terminal Móvil (MT) recibe dicho mensaje de petición de negociación de clave secreta del Terminal Móvil (MT) o el Punto de Acceso (AP), utiliza la clave común del Terminal Móvil (MT) o el Punto de Acceso (AP) para autenticar la firma, y después utiliza su propia clave privada para descifrar el mensaje cifrado recibido tanto en el Terminal Móvil (MT) como en el Punto de Acceso (AP) que usan los datos aleatorios como la clave secreta para la conversación.
  21. 21. El procedimiento de acuerdo con la reivindicación 17, 18 ó 19, en el que: dicha negociación de la clave secreta para la conversación también comprende posiblemente la negociación del algoritmo de comunicación usado en el procedimiento de comunicación.
ES03810359T 2002-11-06 2003-08-05 Un procedimiento para el acceso del terminal móvil a la red wlan y para la comunicación de datos a través de la conexión inalámbrica de forma segura. Expired - Lifetime ES2367986T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CNB02139508XA CN1191696C (zh) 2002-11-06 2002-11-06 一种无线局域网移动设备安全接入及数据保密通信的方法
CN02139508 2002-11-06

Publications (1)

Publication Number Publication Date
ES2367986T3 true ES2367986T3 (es) 2011-11-11

Family

ID=4750115

Family Applications (1)

Application Number Title Priority Date Filing Date
ES03810359T Expired - Lifetime ES2367986T3 (es) 2002-11-06 2003-08-05 Un procedimiento para el acceso del terminal móvil a la red wlan y para la comunicación de datos a través de la conexión inalámbrica de forma segura.

Country Status (9)

Country Link
US (1) US8726022B2 (es)
EP (1) EP1589695B1 (es)
JP (1) JP4286224B2 (es)
KR (1) KR100832893B1 (es)
CN (1) CN1191696C (es)
AT (1) ATE515122T1 (es)
AU (1) AU2003255093A1 (es)
ES (1) ES2367986T3 (es)
WO (1) WO2004043006A1 (es)

Families Citing this family (78)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7624270B2 (en) * 2002-11-26 2009-11-24 Cisco Technology, Inc. Inter subnet roaming system and method
US7525928B2 (en) * 2003-06-16 2009-04-28 Microsoft Corporation System and process for discovery of network-connected devices at remote sites using audio-based discovery techniques
US7443807B2 (en) * 2003-06-16 2008-10-28 Microsoft Corporation System and process for discovery of network-connected devices
US8060745B2 (en) * 2003-12-16 2011-11-15 Seiko Epson Corporation Security for wireless transmission
US20050154889A1 (en) * 2004-01-08 2005-07-14 International Business Machines Corporation Method and system for a flexible lightweight public-key-based mechanism for the GSS protocol
CN1681239B (zh) * 2004-04-08 2012-01-04 华为技术有限公司 在无线局域网系统中支持多种安全机制的方法
CN100370772C (zh) * 2004-06-04 2008-02-20 华为技术有限公司 一种无线局域网移动终端接入的方法
US20060002556A1 (en) * 2004-06-30 2006-01-05 Microsoft Corporation Secure certificate enrollment of device over a cellular network
CN1315287C (zh) * 2004-09-30 2007-05-09 西安西电捷通无线网络通信有限公司 一种柔性ip网络技术体系中移动节点的异常处理方法
CN100340080C (zh) * 2004-09-30 2007-09-26 西安西电捷通无线网络通信有限公司 一种实现移动节点与基本域管理实体密钥协商的方法
US8130718B2 (en) * 2004-12-09 2012-03-06 Interdigital Technology Corporation Method and system for interworking of cellular networks and wireless local area networks
CN100389555C (zh) * 2005-02-21 2008-05-21 西安西电捷通无线网络通信有限公司 一种适合有线和无线网络的接入认证方法
KR100703741B1 (ko) 2005-03-10 2007-04-05 삼성전자주식회사 이동성을 가진 키 생성 전달 장치를 이용한 무선 네트워크관리 방법 및 시스템
CN100358282C (zh) * 2005-03-23 2007-12-26 西安电子科技大学 Wapi认证机制中的密钥协商方法
FR2889780A1 (fr) * 2005-08-10 2007-02-16 Alcatel Sa Controle d'acces d'un equipement mobile a un reseau de communication ip par modification dynamique des politiques d'acces
CN100456884C (zh) * 2005-11-29 2009-01-28 华为技术有限公司 无线通信系统中的重认证方法
KR100755025B1 (ko) * 2006-02-27 2007-09-06 (주)유브릿지 무선데이터 통신인증시스템
CN100448239C (zh) * 2006-02-28 2008-12-31 西安西电捷通无线网络通信有限公司 鉴别服务实体的安全接入协议符合性测试的方法及其系统
CN101064921B (zh) * 2006-04-30 2011-12-21 华为技术有限公司 一种用户设备与网络侧实现加密协商的方法
US10681151B2 (en) 2006-05-15 2020-06-09 Microsoft Technology Licensing, Llc Notification framework for wireless networks
WO2008007884A1 (en) * 2006-07-10 2008-01-17 Samsung Electronics Co., Ltd. Method of providing access rights based on device proximity and central access device used for the method
CN100495963C (zh) 2006-09-23 2009-06-03 西安西电捷通无线网络通信有限公司 一种公钥证书状态的获取及验证方法
CN100463391C (zh) * 2006-09-23 2009-02-18 西安西电捷通无线网络通信有限公司 一种网络密钥管理及会话密钥更新方法
CN100488305C (zh) * 2006-09-23 2009-05-13 西安西电捷通无线网络通信有限公司 一种网络接入鉴别与授权方法以及授权密钥更新方法
US8032753B2 (en) * 2006-11-23 2011-10-04 Electronics And Telecommunications Research Institute Server and system for transmitting certificate stored in fixed terminal to mobile terminal and method using the same
CN101192926B (zh) * 2006-11-28 2011-03-30 北京握奇数据系统有限公司 帐号保护的方法及系统
CN100512312C (zh) 2006-12-18 2009-07-08 西安西电捷通无线网络通信有限公司 一种三元结构的对等访问控制方法
CN101212296B (zh) * 2006-12-28 2010-05-26 中国移动通信集团公司 基于证书及sim的wlan接入认证方法及系统
CN101212297B (zh) * 2006-12-28 2012-01-25 中国移动通信集团公司 基于web的wlan接入认证方法及系统
CN100512111C (zh) * 2006-12-29 2009-07-08 西安西电捷通无线网络通信有限公司 采用分类终端证书实现基于wapi的wlan运营的方法
CN100454876C (zh) * 2007-02-06 2009-01-21 西安西电捷通无线网络通信有限公司 无线局域网wapi安全机制中证书的申请方法
CN100566251C (zh) 2007-08-01 2009-12-02 西安西电捷通无线网络通信有限公司 一种增强安全性的可信网络连接方法
CN100512313C (zh) * 2007-08-08 2009-07-08 西安西电捷通无线网络通信有限公司 一种增强安全性的可信网络连接系统
US8307414B2 (en) * 2007-09-07 2012-11-06 Deutsche Telekom Ag Method and system for distributed, localized authentication in the framework of 802.11
CN100488099C (zh) * 2007-11-08 2009-05-13 西安西电捷通无线网络通信有限公司 一种双向接入认证方法
CN101222328B (zh) 2007-12-14 2010-11-03 西安西电捷通无线网络通信股份有限公司 一种实体双向鉴别方法
CN101217811B (zh) * 2008-01-17 2010-06-02 西安西电捷通无线网络通信有限公司 一种宽带无线多媒体网络广播通信的安全传输方法
US9172713B2 (en) 2008-09-24 2015-10-27 Neustar, Inc. Secure domain name system
CN101369893B (zh) * 2008-10-06 2010-08-18 中国移动通信集团设计院有限公司 一种对临时用户进行局域网络接入认证的方法
CN101420306B (zh) * 2008-12-12 2010-12-08 肖佐楠 一种基于rsa加密和签名算法的汽车车载自动诊断方法
CN101583083B (zh) * 2009-06-01 2011-11-30 中兴通讯股份有限公司 一种实时数据业务的实现方法和实时数据业务系统
CN101616410B (zh) * 2009-06-25 2011-08-10 中兴通讯股份有限公司 一种蜂窝移动通信网络的接入方法和系统
US8359470B1 (en) * 2009-07-20 2013-01-22 Sprint Communications Company L.P. Increased security during network entry of wireless communication devices
CN101674182B (zh) * 2009-09-30 2011-07-06 西安西电捷通无线网络通信股份有限公司 引入在线可信第三方的实体公钥获取、证书验证及鉴别的方法及系统
US8914628B2 (en) * 2009-11-16 2014-12-16 At&T Intellectual Property I, L.P. Method and apparatus for providing radio communication with an object in a local environment
US20130160096A1 (en) * 2011-12-19 2013-06-20 General Electric Company System and method of portable secure access
CN103179086B (zh) * 2011-12-21 2016-05-18 中国电信股份有限公司 数据的远程存储处理方法与系统
CN102869013B (zh) * 2012-08-29 2015-09-30 北京邮电大学 基于无线信道特征的安全通信系统
WO2014047890A1 (zh) * 2012-09-28 2014-04-03 华为技术有限公司 无线局域网接入方法、基站控制器和用户设备
CN104135366A (zh) * 2013-05-03 2014-11-05 北大方正集团有限公司 数据认证系统和数据认证方法
TWI514189B (zh) * 2013-07-22 2015-12-21 Ind Tech Res Inst 網路認證系統及其方法
US9003514B1 (en) 2013-08-29 2015-04-07 General Electric Company System and method to troubleshoot a defect in operation of a machine
US9722984B2 (en) * 2014-01-30 2017-08-01 Netiq Corporation Proximity-based authentication
US20150229475A1 (en) * 2014-02-10 2015-08-13 Qualcomm Incorporated Assisted device provisioning in a network
CN104917741B (zh) * 2014-07-19 2018-10-02 国家电网公司 一种基于usbkey的明文文档公网安全传输系统
CN104158653B (zh) * 2014-08-14 2017-08-25 北京华电天益信息科技有限公司 一种基于商密算法的安全通信方法
CN105635062B (zh) * 2014-10-31 2019-11-29 腾讯科技(上海)有限公司 网络接入设备的验证方法和装置
CN106330828B (zh) * 2015-06-25 2020-02-18 联芯科技有限公司 网络安全接入的方法、终端设备
CN105635095A (zh) * 2015-06-25 2016-06-01 宇龙计算机通信科技(深圳)有限公司 通信方法与接入点设备、通信方法与终端以及通信系统
KR101769829B1 (ko) * 2015-10-27 2017-08-21 현대자동차주식회사 차량의 멀티미디어 재생 시스템 및 방법
US9871794B2 (en) 2015-12-14 2018-01-16 Neustar, Inc. Domain name system and method of operating using restricted channels
CN105828332B (zh) * 2016-04-29 2019-12-10 上海斐讯数据通信技术有限公司 一种无线局域网认证机制的改进方法
CN107040922B (zh) * 2016-05-05 2019-11-26 腾讯科技(深圳)有限公司 无线网络连接方法、装置及系统
CN107360125A (zh) * 2016-05-10 2017-11-17 普天信息技术有限公司 接入认证方法、无线接入点和用户终端
CN109155915A (zh) * 2016-05-18 2019-01-04 华为技术有限公司 通信方法、网络侧设备和用户设备
CN108243001B (zh) * 2016-12-23 2019-04-23 中科星图股份有限公司 一种数据加密通信方法
CN108429726B (zh) * 2017-07-12 2023-09-26 深圳市创想网络系统有限公司 一种安全wifi证书加密验证接入方法及其系统
CN107508804A (zh) * 2017-08-10 2017-12-22 山东渔翁信息技术股份有限公司 一种保护移动终端中密钥和证书的方法、装置及移动终端
CN110876142B (zh) * 2018-09-02 2023-08-18 中城智慧科技有限公司 一种基于标识的wifi认证方法
CN109151806A (zh) * 2018-10-29 2019-01-04 江苏恒宝智能系统技术有限公司 一种更新入网参数的方法
CN109343515A (zh) * 2018-11-30 2019-02-15 深圳市元征科技股份有限公司 车辆故障诊断方法、系统、设备及计算机可读存储介质
JP7273523B2 (ja) * 2019-01-25 2023-05-15 株式会社東芝 通信制御装置および通信制御システム
CN115412272A (zh) * 2021-05-28 2022-11-29 北京京东方技术开发有限公司 认证方法和认证装置
CN114461998B (zh) * 2021-12-23 2024-04-12 中山大学 一种全动态可追踪环境下基于格的秘密握手方法
CN116582554B (zh) * 2022-04-07 2025-11-25 武汉联影医疗科技有限公司 边缘节点接入处理方法、装置、移动终端和边缘节点
CN116132986B (zh) * 2022-12-16 2024-11-26 中国铁塔股份有限公司 一种数据传输方法、电子设备及存储介质
US20250267008A1 (en) * 2024-02-19 2025-08-21 Samsung Electronics Co., Ltd. Secured efficient lightweight rich ui identification of a bss or ess
TWI871236B (zh) * 2024-05-15 2025-01-21 中華電信股份有限公司 基於後量子密碼學的金鑰協商系統及方法

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5203339A (en) * 1991-06-28 1993-04-20 The Government Of The United States Of America As Represented By The Secretary Of The Department Health And Human Services Method and apparatus for imaging a physical parameter in turbid media using diffuse waves
US5371794A (en) 1993-11-02 1994-12-06 Sun Microsystems, Inc. Method and apparatus for privacy and authentication in wireless networks
EP0656708A1 (en) * 1993-12-03 1995-06-07 International Business Machines Corporation System and method for the transmission and validation of an updated encryption key between two users
US6229806B1 (en) 1997-12-30 2001-05-08 Motorola, Inc. Authentication in a packet data system
ATE362295T1 (de) 1998-02-27 2007-06-15 Ericsson Telefon Ab L M Verfahren und vorrichtung zur authentifizierung für gesichterte übertragungen zwischen einem mobilen atm endgerät und einem atm zugriffsknoten in einem drahtlosen atm funkkommunikationsnetzwerk
US6918035B1 (en) 1998-07-31 2005-07-12 Lucent Technologies Inc. Method for two-party authentication and key agreement
US6463534B1 (en) * 1999-03-26 2002-10-08 Motorola, Inc. Secure wireless electronic-commerce system with wireless network domain
JP2000315997A (ja) 1999-04-30 2000-11-14 Toshiba Corp 暗号通信方法及びノード装置
US7213262B1 (en) * 1999-05-10 2007-05-01 Sun Microsystems, Inc. Method and system for proving membership in a nested group using chains of credentials
SG118221A1 (en) 1999-05-21 2006-01-27 Ibm Method and apparatus for initializing secure communications among and for exclusively pairing wireless devices
US6886095B1 (en) * 1999-05-21 2005-04-26 International Business Machines Corporation Method and apparatus for efficiently initializing secure communications among wireless devices
US6772331B1 (en) * 1999-05-21 2004-08-03 International Business Machines Corporation Method and apparatus for exclusively pairing wireless devices
KR20010004791A (ko) 1999-06-29 2001-01-15 윤종용 인터넷 환경의 이동통신시스템에서 사용자 정보 보안 장치 및그 방법
US6816719B1 (en) 1999-11-03 2004-11-09 Nokia Corporation Method and system for making wireless terminal profile information accessible to a network
US6823454B1 (en) * 1999-11-08 2004-11-23 International Business Machines Corporation Using device certificates to authenticate servers before automatic address assignment
US7028186B1 (en) 2000-02-11 2006-04-11 Nokia, Inc. Key management methods for wireless LANs
EP1128597B1 (en) * 2000-02-22 2004-07-07 Telefonaktiebolaget LM Ericsson (publ) Method and arrangement in a communication network
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
JP2001285956A (ja) 2000-04-03 2001-10-12 Toshiba Corp 無線通信ネットワークシステムとその無線局装置
US7058798B1 (en) * 2000-04-11 2006-06-06 Sun Microsystems, Inc. Method ans system for pro-active credential refreshing
US7257836B1 (en) * 2000-04-24 2007-08-14 Microsoft Corporation Security link management in dynamic networks
JP2001313979A (ja) 2000-04-28 2001-11-09 Oki Electric Ind Co Ltd 移動端末接続方法
JP3552648B2 (ja) 2000-06-20 2004-08-11 インターナショナル・ビジネス・マシーンズ・コーポレーション アドホック無線通信用データ送受システム及びアドホック無線通信用データ送受方法
US6976164B1 (en) * 2000-07-19 2005-12-13 International Business Machines Corporation Technique for handling subsequent user identification and password requests with identity change within a certificate-based host session
FR2812509B1 (fr) 2000-07-26 2002-12-27 Gemplus Card Int Procede de reconnaissance securisee entre deux appareils d'un reseau radiofrequence
FI20001837L (fi) * 2000-08-18 2002-02-19 Nokia Corp Autentikointi
US6971005B1 (en) * 2001-02-20 2005-11-29 At&T Corp. Mobile host using a virtual single account client and server system for network access and management
JP3880419B2 (ja) 2002-02-21 2007-02-14 日本電信電話株式会社 無線アクセスネットワーク、無線マルチホップネットワーク、認証サーバ、基地局及び無線端末
US7047405B2 (en) * 2001-04-05 2006-05-16 Qualcomm, Inc. Method and apparatus for providing secure processing and data storage for a wireless communication device
JP2002290480A (ja) 2001-03-26 2002-10-04 Root Inc 通信システムおよびデータ通信方法
US7350076B1 (en) * 2001-05-16 2008-03-25 3Com Corporation Scheme for device and user authentication with key distribution in a wireless network
US7181530B1 (en) * 2001-07-27 2007-02-20 Cisco Technology, Inc. Rogue AP detection
US7389412B2 (en) * 2001-08-10 2008-06-17 Interactive Technology Limited Of Hk System and method for secure network roaming
JP3822555B2 (ja) 2001-11-09 2006-09-20 株式会社エヌ・ティ・ティ・ドコモ 安全なネットワークアクセス方法
US7246236B2 (en) * 2002-04-18 2007-07-17 Nokia Corporation Method and apparatus for providing peer authentication for a transport layer session
US7174021B2 (en) * 2002-06-28 2007-02-06 Microsoft Corporation Systems and methods for providing secure server key operations
JP2010222342A (ja) * 2009-02-26 2010-10-07 Sumitomo Chemical Co Ltd 有害生物防除組成物

Also Published As

Publication number Publication date
JP4286224B2 (ja) 2009-06-24
CN1191696C (zh) 2005-03-02
US8726022B2 (en) 2014-05-13
CN1426200A (zh) 2003-06-25
ATE515122T1 (de) 2011-07-15
JP2006505203A (ja) 2006-02-09
KR20050072789A (ko) 2005-07-12
EP1589695B1 (en) 2011-06-29
EP1589695A4 (en) 2006-09-13
AU2003255093A1 (en) 2004-06-07
KR100832893B1 (ko) 2008-05-28
EP1589695A1 (en) 2005-10-26
WO2004043006A1 (en) 2004-05-21
US20060143458A1 (en) 2006-06-29

Similar Documents

Publication Publication Date Title
ES2367986T3 (es) Un procedimiento para el acceso del terminal móvil a la red wlan y para la comunicación de datos a través de la conexión inalámbrica de forma segura.
CN100558035C (zh) 一种双向认证方法及系统
ES2584862T3 (es) Autenticación en comunicación de datos
ES2706540T3 (es) Sistema de credenciales de equipos de usuario
JP4634612B2 (ja) 改良された加入者認証プロトコル
ES2980203T3 (es) Acceso a dispositivos no 3GPP a la red central
RU2444861C2 (ru) Защищенная беспроводная связь
Dantu et al. EAP methods for wireless networks
CN101371491A (zh) 提供无线网状网络的方法和装置
CN103621127A (zh) 使用信标消息的无线认证
JP2003289301A (ja) 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体
CN101741555A (zh) 身份认证和密钥协商方法及系统
CN112333705A (zh) 一种用于5g通信网络的身份认证方法及系统
Maccari et al. Security analysis of IEEE 802.16
WO2007028328A1 (en) Method, system and device for negotiating about cipher key shared by ue and external equipment
Xu et al. A computationally efficient authentication and key agreement scheme for multi-server switching in WBAN
CN101784048B (zh) 动态更新密钥的身份认证和密钥协商方法及系统
KR100537426B1 (ko) 유비쿼터스 개인 상호인증 보안방법
Cam-Winget et al. IEEE 802.11 i Overview
CN101192927A (zh) 基于身份保密的授权与多重认证方法
Carli et al. Integrated security architecture for WLAN
Singh et al. Security in Wireless Local Area Networks (WLANs)
JP4677784B2 (ja) 集合型宅内ネットワークにおける認証方法及びシステム
Hecker et al. Authentis: Through Incremental Authentication Models to Secure Interconnected Wi-Fi WLANs
Liu et al. The Wi-Fi device authentication method based on information hiding