[go: up one dir, main page]

BRPI0715736B1 - método e equipamento para autorização de interfuncionamento de operação de pilha dual - Google Patents

método e equipamento para autorização de interfuncionamento de operação de pilha dual Download PDF

Info

Publication number
BRPI0715736B1
BRPI0715736B1 BRPI0715736A BRPI0715736A BRPI0715736B1 BR PI0715736 B1 BRPI0715736 B1 BR PI0715736B1 BR PI0715736 A BRPI0715736 A BR PI0715736A BR PI0715736 A BRPI0715736 A BR PI0715736A BR PI0715736 B1 BRPI0715736 B1 BR PI0715736B1
Authority
BR
Brazil
Prior art keywords
authorization
authorized
pdif
fact
protocol
Prior art date
Application number
BRPI0715736A
Other languages
English (en)
Inventor
Tah-Sheng Hsu Raymond
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=39107603&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=BRPI0715736(B1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Priority claimed from US11/840,735 external-priority patent/US8978103B2/en
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of BRPI0715736A2 publication Critical patent/BRPI0715736A2/pt
Publication of BRPI0715736B1 publication Critical patent/BRPI0715736B1/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • H04W80/045Network layer protocols, e.g. mobile IP [Internet Protocol] involving different protocol versions, e.g. MIPv4 and MIPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

método e equipamento para autorização de interfuncionamento de operação de pilha dual é provido um método de permitir autorização interfuncionamento de operação de pilha dual. o método permite operação simultânea em ambos, ipv4 e ipv6 se um terminal estiver autorizado e autenticado para usar ambas as versões. o método utiliza as seguintes etapas: solicitar autenticação a partir de uma entidade de autorização em um sistema de comunicação sem fio; e receber uma mensagem de autenticação a partir da entidade de autorização se a autenticação for bem-sucedida, em que a mensagem de autenticação contém uma autorização para usar ao menos uma versão de protocolo internet para estabelecer ao menos um túnel seguro para comunicação.

Description

MÉTODO E EQUIPAMENTO PARA AUTORIZAÇÃO DE INTERFUNCIONAMENTO DE OPERAÇÃO DE PILHA DUAL FUNDAMENTOS
CAMPO DA INVENÇÃO
A presente invenção refere-se de modo geral aos sistemas de comunicação, e mais especificamente, a um método e equipamento para autorização de interfuncionamento de operação de pilha dual.
DESCRIÇÃO DA TÉCNICA ANTERIOR
As tecnologias de comunicação sem fio têm tido um imenso crescimento nos últimos anos. Esse crescimento tem sido alimentado em parte pela liberdade de movimento oferecida pelas tecnologias sem fio e a qualidade grandemente aperfeiçoada das comunicações de voz e dados através do meio sem fio. Qualidade aperfeiçoada dos serviços de voz em conjunto com a adição dos serviços de dados tem tido e continuarão a ter um efeito significativo sobre o público que se comunica. Os serviços adicionais incluem acesso à Internet utilizando um dispositivo móvel enquanto em deslocamento.
A capacidade de manter uma sessão de dados enquanto se desloca é importante não só para os usuários como também para os operadores do sistema. À medida que um número maior de usuários utiliza as operações de protocolo Internet móvel, um usuário pode desejar ter acesso simultâneo a mesma função de interfuncionamento de dados de pacote utilizando operação de pilha dual, o que permite o uso simultâneo de duas versões de um protocolo Internet móvel. A função de interfuncionamento de dados de pacote (PDIF) atua como um portal de segurança protegendo a rede celular.
A Figura 1 mostra uma arquitetura de interf uncionamento para uma rede de área local sem fio
2/21 (WLAN) . A rede pode ser parte de um sistema de comunicação sem fio operando no padrão 3GPP2 definido pelo padrão oferecido por um consórcio denominado “Projeto 2 de Parceria de 3a Geração, referido aqui como 3GPP2. A arquitetura, 100, inclui uma estação móvel (MS), 102, conectada a um sistema WLAN, 104. O sistema WLAN 104 inclui o ponto de acesso (AP) 106, e Roteador de Acesso (AR) 108. O sistema WLAN é conectado à Rede Nativa 3G 110. O sistema WLAN se conecta à Rede Nativa 3G 110 por intermédio da Função de Interfuncionamento de dados de pacote (PDIF) 122. A PDIF 114 é conectada ao dispositivo de Autenticação, Autorização e Contabilidade Nativo (H-AAA) 112.
A MS estabelece um túnel IP seguro com a PDIF, que atua como um portal de segurança na Rede Nativa 3G. O estabelecimento do túnel é autenticado e autorizado pelo HΆΆΆ 112. Após o túnel ter sido estabelecido, a MS pode acessar os serviços na Rede Nativa 3G 110. A linha tracejada na Figura 1 indica o percurso para informação de Autenticação, Autorização e Contabilidade e indica a transferência de informação entre o H-AAA 112 e a PDIF 114. As linhas cheias mostram o percurso de portadora para tráfego de dados de usuário e o encadeamento indica o túnel seguro protegendo o tráfego de dados de usuário entre a MS 102 e a PDIF 114.
A MS é pré-configurada com a informação de endereço PDIF, seja um endereço IP ou um Nome de Domínio Completamente Qualificado (FQDN). Se a MS for configurada com o FQDN da PDIF, a MS retransmitirá no Sistema de Nome de Domínio (DNS) para resolver o endereço IP associado com o FQDN. A MS utiliza a Troca de Chaves na Internet versão 2 (IKEv2) para estabelecer túneis seguros, conhecidos como túneis IP-sec para transferência de dados, com a PIDF. Parte do estabelecimento de um túnel seguro requer que a MS
3/21 seja autenticada e autorizada pelo H-AAA, 112 na Figura 1. A MS pode usar um número de procedimentos para autenticação mútua. A informação de autenticação, incluindo credenciais e desafios aleatórios, é transportada em mensagens de Protocolo de Autenticação Extensível (EAP) permutadas entre a MS e o H-AAA. As mensagens EAP são transportadas nas mensagens IKEv2 entre a MS e a PDIF, e também nas mensagens RADIUS permutadas entre a PDIF e o H-AAA.
A MS pode desejar acesso simultâneo à mesma PDIF utilizando ambos, IPv4 e IPv6. Essa operação de pilha dual apresenta problema de autorização para a PDIF, isto é, a PDIF precisa ter conhecimento se a MS está autorizada para IPv4 e/ou IPv6. Adicionalmente, a PDIF precisa indicar para a MS que a MS não está autorizada para uma das versões IP, no caso de uma MS solicitando operação de pilha dual que não está autorizada para ambos, IPv4 e IPv6. Existe a necessidade de um método e equipamento para indicar autorização IP para uma MS e também para indicar para uma MS que a MS não está autorizada para ambas as versões IP.
RESUMO DA INVENÇÃO
Um método para autorização e operação de pilha dual em um sistema de comunicação incorporando solicitar autenticação a partir de uma entidade de autorização no sistema de comunicação e então receber uma mensagem de autenticação a partir da entidade de autorização se a autenticação for bem-sucedida, em que a mensagem de autenticação contém uma autorização para usar pelo menos uma versão de Protocolo Internet para estabelecer pelo menos um túnel seguro para comunicação.
Uma modalidade adicional provê um método compreendendo: solicitar operação de pilha dual utilizando mais do que uma versão de Protocolo Internet; receber autorização para operação de pilha dual utilizando mais do
4/21 que uma versão de protocolo Internet; estabelecer uma autorização de segurança subordinada separada para cada versão de Protocolo Internet, em que a autorização de segurança subordinada é subordinada à autorização de segurança de troca de chaves na Internet; estabelecer pelo menos um túnel seguro para comunicação; e acessar simultaneamente ambas as versões de protocolo Internet utilizando pelo menos um túnel seguro para comunicação.
Ainda outra modalidade provê um método compreendendo: solicitar operação de pilha dual utilizando mais do que uma versão de Protocolo Internet; receber autorização para uma versão de protocolo Internet em uma mensagem, em que a mensagem identifica pelo menos uma versão de protocolo Internet que é autorizada e adicionalmente em que a mensagem identifica pelo menos uma versão de protocolo Internet que não é autorizada; estabelecer uma autorização de segurança para a versão de protocolo Internet autorizada, em que a autorização de segurança para a versão de protocolo Internet autorizada é subordinada a uma autorização de segurança de troca de chave de Internet; estabelecer um túnel seguro para comunicação; e comunicar-se utilizando o túnel seguro.
Outra modalidade provê um equipamento composto dos seguintes elementos: um transmissor para solicitar autenticação a partir de uma entidade de autorização em um sistema de comunicação sem fio; e um receptor para receber uma mensagem de autenticação a partir da entidade de autenticação se a autenticação for bem-sucedida, em que a mensagem de autenticação contém uma autorização para usar pelo menos uma versão de protocolo Internet para estabelecer pelo menos um túnel seguro para comunicação.
Uma modalidade adicional provê um equipamento composto dos seguintes elementos: um transmissor para
5/21 solicitar operação de pilha dual utilizando mais do que uma versão de protocolo Internet; um receptor para receber autorização para operação de pilha dual utilizando mais do que uma versão de protocolo Internet; uma memória para armazenar uma autorização de segurança subordinada separada para cada versão de protocolo Internet, em que a autorização de segurança subordinada é subordinada à autorização de segurança de troca de chave Internet; um processador para estabelecer pelo menos um túnel seguro para comunicação utilizando o transmissor; e um transmissor para acessar simultaneamente mais do que uma versão de protocolo Internet utilizando o pelo menos um túnel seguro para comunicação.
Ainda outra modalidade provê um equipamento que inclui os seguintes elementos: um transmissor para solicitar operação de pilha dual utilizando mais do que uma versão de protocolo Internet; um receptor para receber autorização para uma versão de protocolo Internet em uma mensagem, em que a mensagem identifica pelo menos uma versão de protocolo Internet que é autorizada e adicionalmente em que a mensagem identifica pelo menos uma versão de protocolo Internet que não é autorizada; um processador para estabelecer uma autorização de segurança para a versão de protocolo Internet autorizada, em que a autorização de segurança para a versão de protocolo Internet autorizada é subordinada a uma autorização de segurança de troca de chave de Internet; uma memória para armazenar a autorização de segurança para a versão de protocolo Internet autorizada; um transmissor para estabelecer um túnel seguro para comunicação; e um transmissor para comunicação utilizando o túnel seguro.
Outra modalidade provê um equipamento composto dos seguintes elementos: meios para solicitar autenticação
6/21 a partir de uma entidade de autorização em um sistema de comunicação sem fio; e meios para receber uma mensagem de autenticação a partir da entidade de autorização se a autenticação for bem-sucedida, em que a mensagem de autenticação contém uma autorização para usar pelo menos uma versão de protocolo Internet para estabelecer pelo menos um túnel seguro para comunicação.
Uma modalidade adicional provê um método composto das etapas: meios para solicitar operação de pilha dual utilizando mais do que uma versão de protocolo Internet; meios para receber autorização para operação de pilha dual usando mais do que uma versão de protocolo Internet; meios para estabelecer uma autorização de segurança subordinada separada para cada versão de Protocolo Internet, em que a autorização de segurança subordinada é subordinada à autorização de segurança de troca de chave de Internet; meios para estabelecer pelo menos um túnel seguro para comunicação; e meios para acessar simultaneamente ambas as versões de protocolo Internet utilizando o pelo menos um túnel seguro para comunicação.
Uma modalidade adicional provê um equipamento compreendendo: meios para solicitar operação de pilha dual utilizando mais do que uma versão de protocolo Internet; meios para receber autorização para uma versão de protocolo Internet em uma mensagem, em que a mensagem identifica pelo menos uma versão de protocolo Internet que é autorizada e adicionalmente em que a mensagem identifica pelo menos uma versão de protocolo Internet que não é autorizada; meios para estabelecer uma autorização de segurança para a versão de protocolo Internet autorizada, em que a autorização de segurança para a versão de protocolo Internet autorizada é subordinada a uma autorização de segurança de troca de chave de Internet; meios para estabelecer um túnel seguro
7/21 para comunicação; e meios para comunicar-se utilizando ο túnel seguro.
Uma modalidade de produto de programa de computador é provida, compreendendo: um meio legível por computador compreendendo: instruções para fazer com que um computador solicite autenticação a partir de uma entidade de autorização em um sistema de comunicação sem fio; e instruções para fazer com que um computador receba uma mensagem de autenticação a partir da entidade de autorização se a autenticação for bem-sucedida, em que a mensagem de autenticação contém uma autorização para usar pelo menos uma versão de protocolo Internet para estabelecer pelo menos um túnel seguro para comunicação.
Uma modalidade adicional prove um produto de programa de computador compreendendo: um meio legível por computador compreendendo: instruções para fazer com que um computador solicite operação de pilha dual utilizando mais do que uma versão de protocolo Internet; instruções para fazer com que um computador receba autorização para operação de pilha dual utilizando mais do que uma versão de protocolo Internet; instruções para fazer com que um computador estabeleça uma autorização de segurança subordinada separada para cada versão de protocolo Internet, em que a autorização de segurança subordinada é subordinada à autorização de segurança de troca de chave de Internet; instruções para fazer com que um computador estabeleça pelo menos um túnel seguro para comunicação; e instruções para fazer com que um computador acesse simultaneamente as duas versões de protocolo Internet utilizando o pelo menos um túnel seguro para comunicação.
Uma modalidade adicional provê um produto de programa de computador compreendendo: um meio legível por computador compreendendo: instruções para fazer com que um
8/21 computador solicite operação de pilha dual utilizando mais do que uma versão de protocolo Internet; instruções para fazer com que um computador receba autorização para uma versão de protocolo Internet em uma mensagem, em que a mensagem identifica pelo menos uma versão de protocolo
Internet que é autorizada e adicionalmente em que a mensagem identifica pelo menos uma versão de protocolo
Internet que não é autorizada; instruções para fazer com que um computador estabeleça uma autorização de segurança para a versão de protocolo Internet autorizada, em que a autorização de segurança para a versão de protocolo Internet autorizada é subordinada a uma autorização de segurança de troca de chave de Internet; instruções para fazer com que um computador estabeleça um túnel sequro para comunicação; e instruções para fazer com que um computador ser comunique utilizando o túnel seguro.
BREVE DESCRIÇÃO DAS FIGURAS
A Figura 1 é um diagrama de blocos que mostra uma arquitetura de interfuncionamento para suportar a autorização de interfuncionamento de operação de pilha dual de acordo com uma modalidade da invenção.
A Figura 2 mostra o conteúdo da solicitação CREATE_CHILD_SA de acordo com uma modalidade da invenção.
A Figura 3 mostra o conteúdo da resposta CREATE_CHILD_SA de acordo com uma modalidade da invenção.
A Figura 4A mostra o Estabelecimento de Túnel IPsec de acordo com uma modalidade da invenção.
A Figura 4B mostra o Fluxo de Estabelecimento de Túnel de acordo com uma modalidade da invenção.
A Figura 5 mostra a estrutura da RADIUS VSA de IP-Versão-Autorizada de acordo com uma modalidade da invenção.
9/21
A Figura 6 ilustra um fluxograma da operação de pilha dual IPv4-IPv6 autorizada de acordo com uma modalidade da invenção.
A Figura 7 ilustra um fluxograma da operação quando apenas IPv4 é autorizado de acordo com uma modalidade da invenção.
A Figura 8 ilustra um fluxograma da operação quando apenas IPv6 é autorizado de acordo com uma modalidade da invenção.
DESCRIÇÃO DETALHADA DA INVENÇÃO
O termo exemplar é usado aqui significando servindo como um exemplo, instância ou ilustração. Qualquer modalidade descrita aqui como exemplar não deve ser necessariamente considerada como preferida ou vantajosa em relação a outras modalidades.
Uma MS desejando acesso aos serviços de dados de pacote precisa obter acesso para a rede de acesso IP. A MS inicia o estabelecimento de túnel como parte do processo de acesso. Esses túneis são estabelecidos entre a MS e a PDIF e requerem várias etapas antes de um túnel ser estabelecido e os serviços de dados de pacote possam ser iniciados.
Na primeira etapa uma MS começa um processo de autenticação, autorização e contabilidade. Autenticação é o processo de identificar um indivíduo, mais frequentemente, por intermédio de um nome de usuário e senha. O processo de autenticação supõe que um nome de usuário e senha identifique singularmente um assinante.
A autorização permite que um usuário acesse os recursos de rede após autenticação. Vários níveis de acesso podem ser possíveis e os usuários podem ter permissão concedida ou negada aos recursos de rede dependendo do nível de autorização.
10/21
Contabilidade é a monitoração de uma atividade do usuário enquanto acessando os recursos de rede e inclui a quantidade de tempo gasto na rede, os serviços usados enquanto na rede, e a quantidade de dados transferidos durante a sessão de rede.
Autenticação e autorização para acessar os recursos da rede são realizadas quando a MS tenta acessar os serviços de dados de pacote. Autorização de serviço normalmente é independente de autenticação e autorização da WLAN. 0 servidor H-AAA realiza autenticação e autorização utilizando um protocolo de acesso, tal como o Serviço de Usuário de Discagem de Autenticação remota (RADIUS) ou DIAMETER. RADIUS é um sistema de autenti cação e contabilidade usado por muitos provedores de serviço da Internet.
Segurança IP (IPsec) provê confidencialidade, integridade de dados, controle de acesso e autenticação de fonte de dados para datagramas IP. Esses serviços são providos mediante manutenção de um estado compartilhado entre a fonte e um depósito de um datagrama IP. Esse estado define os serviços específicos providos ao datagrama e cujos algoritmos criptográficos serão usados para prover os serviços, e as chaves usadas como entrada para os algoritmos criptográficos. Um protocolo, conhecido como Troca de Chaves na Internet (IKE) é usado para estabelecer esse estado compartilhado.
IKE realiza autenticação mútua entre as duas partes e também estabelece uma associação de segurança IKE (SA) que inclui informação secreta compartilhada que pode ser usada para eficientemente estabelecer as SAs para Carga Útil de Segurança de Encapsulamento (ESP) e/ou Cabeçalho de Autenticação (AH) e um conjunto de algoritmos criptográficos a serem usados pelas SAs para proteger o
11/21 tráfego que eles transportam. Um iniciador propõe o conjunto de algoritmos criptográficos usados para proteger uma SA. Uma IKE (SA) é denominada IKE_SA. As SAs para ESP e/ou AH que são estabelecidas através da IKE_SA são conhecidas como CHILD_SAs.
Todas as comunicações IKE consistem em pares de mensagens: uma solicitação e uma resposta. O par é conhecido como uma troca. As primeiras mensagens que estabelecem a IKE_SA são a troca inicial IKE_SA_INIT e IKE_AUTH. Trocas subsequentes que estabelecem uma SA secundária são conhecidas como CREATE_CHILD_SA ou trocas informacionais. Em um caso comum, primeiramente ocorre uma única troca IKE_SA_INIT e uma única troca IKE_AUTH utilizando um total de quatro mensagens para estabelecer a IKE_SA e a primeira CHILD_SA. Em alguns casos mais do que uma dessas trocas pode ser necessária. Em todos os casos, as trocas IKE_SA_INIT devem ser completadas antes de qualquer outro tipo de troca. A seguir, todas as trocas IKE_AUTH devem ser completadas. Após qualquer número de trocas CREATE_CHILD_SA e trocas INFORMATIONAL podem vir em seguida em qualquer ordem. Trocas subsequentes podem estabelecer CHILD_SA adicionais entre o mesmo par autenticado de pontos terminais.
fluxo de mensagem IKE consiste em uma solicitação seguida de uma resposta. É obrigação do solicitante a garantia da confiabilidade. Se a resposta não for recebida dentro de um intervalo de tempo de espera, o solicitante precisa retransmitir a solicitação ou abandonar a conexão.
A primeira solicitação/resposta de uma sessão IKE negocia os parâmetros de segurança da IKE_SA, envia números utilizáveis uma só vez, e valores Diffie-Hellman.
12/21
A segunda resposta de solicitação, IKE_AUTH, transmite identidades, comprova conhecimento dos segredos correspondendo às duas identidades, e estabelece uma SA para a primeira AH e/ou ESP CHILD_SA.
Trocas subsequentes podem criar CHILD SAs (CREATE_CHILD_SA) e INFORMATIONAL, as quais podem deletar uma SA, reportar condições de erro ou outras funções de administração interna. Cada solicitação requer uma resposta. Trocas subsequentes podem não ocorrer até o término das trocas iniciais.
A troca CREATE_CHILD consiste em um único par de solidtação/resposta e pode ser iniciada por qualquer extremidade da IKE_SA após as trocas iniciais serem concluídas. Todas as mensagens após a troca inicial são protegidas criptograficamente utilizando o conjunto criptográfico negociado das primeiras duas mensagens da troca IKE. Qualquer ponto terminal pode iniciar uma troca CREATE_CHILD_SA. Uma CHILD_SA é criada mediante envio de uma solicitação CREATE_CHILD_SA. A solicitação CREATE_CHILD_SA pode conter uma carga útil para uma troca Diffie-Hellman adicional para possibilitar garantias mais robustas para enviar segredo para a CHILD_SA. O material de chaveamento para a CHILD_SA é uma função estabelecida durante o estabelecimento da IKE_SA, os números usados uma só vez trocados durante a troca CREATE_CHILD_SA, e o valor Diffie-Hellman (se as cargas úteis de troca de chave forem incluídas na troca CREATE_CHILD_SA).
Na CHILD—SA que foi criada durante a troca inicial, uma segunda carga útil de troca de chave e número usado uma só vez, não devem ser enviados. Os números usados uma só vez a partir da troca inicial são usados para computar as chaves para a CHILD_SA.
13/21
A Figura 2 ilustra o conteúdo da CREATE_CHILD_SA. O iniciador envia uma oferta(s) de SA na carga útil SA. Um número usado uma só vez é enviado na carga útil Ni. Esse número usado uma só vez, e outros contidos nas mensagens IKE_SA_INIT são usados como entradas para funções criptográficas. Na solicitação CREATE_CHILD_SA e resposta, os números usados uma só vez são usados para adicionar novidade à técnica de derivação de chave usada para obter chaves para a CHILD_SA, e para garantir a criação de bits pseudo-aleatórios fortes a partir da chave Diffie-Hellman. Os números usados uma só vez utilizados em IKEv2 são escolhidos aleatoriamente, e são de pelo menos 128 bits de tamanho e têm pelo menos metade do tamanho de chave da função pseudo-aleatória negociada. Um valor Diffie-Hellman pode ser enviado na carga útil KEi. Os seletores de tráfego propostos são enviados nas cargas úteis TSi e TSr. Se as ofertas de SA incluem grupos Diffie-Hellman diferentes, KEi
deve ser um elemento do grupo que o iniciador espera que o
respondedor aceite. Se a suposição estiver errada a troca
CREATE_CHILD _SA falhará e precisará ser outra vez tentada
com uma diferente KEi.
A mensagem após o cabeçalho é cr: iptografada e a
mensagem incluindo o cabeçalho é protegida em sua integridade utilizando os algoritmos criptográficos negociados para a IKE_SA.
A Figura 3 mostra o conteúdo da resposta CREATE_CHILD_SA. O respondedor responde utilizando o mesmo identificador de mensagem com a oferta aceita em uma carga útil de SA e um valor Diffie-Hellman na carga útil KEr se KEi tiver sido incluída na solicitação e o conjunto criptográfico negociado incluir aquele grupo. Se o respondedor selecionar um conjunto criptográfico com um grupo diferente, ele deve rejeitar a solicitação. O
14/21 iniciador deve então repetir a solicitação, mas com uma carga útil KEi a partir do grupo que o respondedor selecionou. Os seletores de tráfego para o tráfego a ser enviado naquela SA são especificados nas cargas úteis de seletor de tráfego (TS), o qual pode ser um subconjunto do iniciador da CHILD_SA proposta. Seletores de tráfego podem ser omitidos se a solicitação CREATE_CHILD_SA estiver sendo usada para mudar a chave da IKE_SA.
Uma vez que a CHILD_SA foi criada, a próxima etapa é a de estabelecer o túnel IPsec. Os procedimentos de estabelecimento de túnel são detalhados abaixo.
A MS pode ou ser pré-fornecida com o endereço IP da PDIF ou deverá usar mecanismos DNS para recuperar o endereço IP da PDIF. Ao construir uma FQDN para a solicitação DNS a MS deve identificar a rede do operador. Para facilitar acesso à rede, a MS pode ser pré-fornecida com as FQDNs de múltiplas PDIFs. Uma vez que uma MS recebe uma resposta contendo um ou mais endereços IP de PDIF, a MS seleciona um endereço IP de PDIF com a mesma versão IP que o seu endereço IP local que é o endereço IP alocado pela WLAN em associação bem-sucedida. Essa seleção pode ser realizada pelo usuário ou pode ser realizada automaticamente pela MS. Vários mecanismos podem ser usados para se descobrir a PDIF e são dependentes de implementação.
Uma troca de mensagem é usada para estabelecer o túnel IPsec entre a MS e a PDIF. A Figura 4 mostra essa troca de mensagem. Na etapa 1 a MS autentica para a Rede de Acesso WLAN e obtém acesso à Internet. Isso pode envolver a WLAN verificando com a H-AAA no sentido de autorização.
Na etapa 2 a MS obtém um endereço IP a partir da rede de acesso. A MS também descobre o roteador padrão e o endereço(s) de servidor DNS.
15/21
Na etapa 3 a MS começa uma troca IKEv2 com a PDIF. O primeiro conjunto de mensagens enviadas nessa troca é a troca inicial, designada IKE_SA_INIT.
Na etapa 4 a MS inicia a troca IKE_AUTH com a PDIF. Essas mensagens são criptografadas e protegidas em termos de integridade com as chaves estabelecidas durante a troca IKE_SA_INIT.
A MS solicita um endereço IP interno de túnel (TIA) na etapa 5, mediante estabelecimento da carga útil CONFIGURATION na solicitação IKE_AUTH. A MS inclui seu Identificador de Acesso à Rede (NAI) na carga útil. Se a MS desejar utilizar o Protocolo de Autenticação Extensível (EAP) ela não inclui a carga útil de autorização (AUTH) na mensagem IKE_AUTH.
Na etapa 6 a PDIF recebe a solicitação IKE_AUTH sem a carga útil AUTH e contata a H-AAA para solicitar autorização de serviço e informação de autenticação de usuário mediante envio da mensagem de identidade/respostaEAP na mensagem Solicitação de Acesso RADIUS ou comando de Solicitação Diameter-EAP (DER).
Na etapa 7 as mensagens EAP são trocadas entre a MS e a H-AAA. A H-AAA envia a mensagem de solicitação EAP no Desafio-Acesso RADIUS ou em um comando Resposta Diameter-EAP (DEA) para a PDIF. A PDIF envia a mensagem de resposta IKE_AUTH incluindo a mensagem de solicitação EAP para a MS.
A MS responde na etapa 8 com a mensagem de solicitação IKE_AUTH incluindo a mensagem de resposta EAP. A PDIF envia a mensagem de resposta EAP na mensagem Solicitação de Acesso RADIUS ou no Comando Solicitação Diameter-EAP para a H-AAA. As etapas 7 e 8 podem ocorrer um número de vezes.
16/21
Se a autenticação for bem-sucedida, na etapa 9 a H-AAA envia a EAPSuccess na mensagem Aceitar-Acesso RADIUS ou, um comando DEA com um código indicando autenticação bem-sucedida.
Na etapa 10, a partir do recebimento de uma mensagem de Aceitar-Acesso RADIUS ou um comando DEA com um código de resultado que indica autenticação bem-sucedida, a
PDIF envia uma mensagem de resposta IKE_AUTH que inclui o
sucesso de EAP. Se a PDIF receber uma mensagem de Re j eitar-
RADIUS ou um comando DEA com um código de resultado
indicando falha de autorização, a PDIF rejeita o
estabelecimento de túnel em direção a MS e envia uma mensagem de resposta IKE_AUTH com a carga útil Notificar definida para AUTENTICAÇÃO FALHOU.
A MS então envia a mensagem de solicitação IKE_AUTH na etapa 11, incluindo a carga útil AUTH calculada a partir da Chave de Sessão Mestre (MSK) a qual é gerada a partir da autenticação EAP bem-sucedida.
A PDIF responde com a mensagem de resposta IKE_AUTH na etapa 12, incluindo uma TIA atribuída, carga útil AUTH, e autorizações de segurança. A PDIF utiliza a MSK para computar a carga útil AUTH. A PDIF obtém a MSK a partir da H-AAA na etapa 9, acima.
Na etapa 13, quando a troca IKE_AUTH é completada, um túnel IPsec é estabelecido entre a MS e a PDIF.
A Figura 4B ilustra as etapas no fluxo normal de estabelecimento de túnel. Isso pode ser utilizado ao estabelecer múltiplos túneis conforme discutido adicionalmente abaixo.
É possível estabelecer múltiplos túneis para a mesma PDIF. Uma vez que a Associação de Segurança (SA) IKE foi autenticada, mais do que uma SA secundária pode ser
17/21 negociada com a IKE SA. A troca é conhecida como CREATE_CHILD_SA e é protegida e utiliza os algoritmos e chaves criptográficas negociados nas primeiras duas mensagens da troca IKE, conforme descrito acima. Como resultado, a criação das CHILD_SAs adicionais entre a MS e a PDIF não aciona trocas adicionais de mensagens de autenticação para a H-AAA.
A MS pode desejar ter simultaneamente acesso IPv4 e IPv6 para a mesma PDIF. Embora o padrão IKEv2 permita tal acesso simultâneo nos mesmos ou túneis IPsec separados, a autorização não é endereçada e a PDIF precisa ter conhecimento se a MS solicitando autorização de pilha dual está autorizada para IPv4 e IPv6.
A primeira modalidade trata da questão da PDIF sabendo se a MS solicitante está autorizada para IPv4 e/ou IPv6. Durante o estabelecimento de túnel IPsec conforme descrito acima, se a autorização EAP for bem-sucedida, a HAAA retorna a VSA de IP-Versão-Autorizada na mensagem Aceitar Acesso RADIUS para indicar se IPv4 e/ou IPv6 são autorizadas. Se a VSA de IP-Versão-Autorizada não estiver presente na mensagem de Aceitar Acesso RADIUS, a PDIF deve aplicar sua política local para a autorização da operação de pilha dual. A Figura 5 mostra a estrutura da VSA RADIUS de IP-Versão-Autorizada.
Outra modalidade é usada quando a MS deseja utilizar IPv4 e IPv6 simultaneamente e é autorizada a utilizar ambas. A Fiqura 6 ilustra o método dessa modalidade. O método, 600, começa quando a MS solicita operação de pilha dual ΙΡν4-ΙΡνβ na etapa 602. Essa solicitação está na forma de uma mensagem enviada ao servidor AAA através da PDIF. Na etapa 604, o servidor AAA determina se a MS está autorizada a utilizar ambos: IPv4 e IPv6. Na etapa 606 o servidor ΑΆΆ informa a PDIF que a MS
18/21 solicitante está autorizada a utilizar ambos IPv4 e IPv6. A PDIF informa a MS na etapa 608 que a solicitação para operação de pilha dual IPv4 e IPv6 está autorizada. Na etapa 610, a MS e a PDIF estabelecem CHILD_SAs separadas sob o mesmo IKE_SA para IPv4 e IPv6. Se a MS não estiver autorizada para ambos IPv4 e IPv6, o servidor AAA informa a PDIF na etapa 612. Por sua vez, a PDIF informa a MS na etapa 604 da não-autorização e também informa a MS qual versão IP não está autorizada.
Ainda outra modalidade é usada quando a MS pode desejar usar ambos, IPv4 e IPv6 simultaneamente, mas pode ser autorizado apenas para IPv4. A Figura 7 ilustra o método de operação dessa modalidade. O método, 700, começa com a etapa 702 quando a MS solicita operação de pilha dual IPv4-IPv6. Na etapa 704 o servidor AAA verifica se a MS está autorizada para ambos, IPv4 e IPv6. Se a MS estiver autorizada para ambos, IPv4 e IPv6, o método retorna à etapa 606 do método da Figura 6. Se a MS estiver autorizada apenas para IPv4, o servidor ΆΆΆ informa à PDIF que a MS está autorizada apenas para IPv4. A PDIF envia uma Carga
Útil Notificar com o Tipo de Mensagem Notificar estabelecido para um tipo de mensagem especifico que indica que apenas IPv4 está autorizado na etapa 710. Se o sistema de comunicação sem fio opera utilizando o padrão 3GPP2, o Tipo de Mensagem é definido para 8193 na mensagem de Resposta IKE_AUTH. Outros sistemas operacionais podem usar diferentes tipos de mensagem, mas não afetam a operação dessa modalidade. Nesse caso, na etapa 712 apenas o túnel IPsec para IPv4 será estabelecido. Para impedir que a MS estabeleça uma sessão IPv6 com a rede, a MS estabelece o atributo INTERNAL_IP6_ADDRESS t 0::0 na carga útil de solicitação CFG. A PDIF define o comprimento do atributo INTERNAL_IP6_ADDRESS para zero na carga útil de resposta
19/21
CFG. A PDIF pode notificar a MS de que a MS não está autorizada para acesso IPv6 mediante envio de uma Carga Útil Notificar com um tipo de mensagem especifico indicando erros. Se a MS tentar adquirir um prefixo IPv6 a partir da PDIF, a PDIF descarta a mensagem sem notificar a MS.
A Figura 8 ilustra uma modalidade usada quando a MS deseja utilizar operação de pilha dual IPv4 e IPv6, mas está autorizada apenas para IPV6. O método, 800, começa com a etapa 802 quando a MS solicita operação de pilha dual IPv4-IPv6. O servidor ΑΆΆ verifica se a MS está autorizada para IPv4 e IPv6 na etapa 804. Se a MS estiver autorizada para ambos, IPv4 e IPv6, o método retorna à etapa 606 da Figura 6. Se a MS não estiver autorizada para IPv4 e IPv6 e estiver autorizada apenas para IPv6 na etapa 808 o servidor AAA informa à PDIF de que a MS está autorizada apenas para IPv6. Na etapa 810, a PDIF envia a Mensagem de Carga Útil Notificar com o Tipo de Mensagem Notificar definido para um tipo especifico de mensagem que indica que a MS está autorizada apenas para IPv6 na mensagem de Resposta IKE_AUTH. Se o sistema de comunicação sem fio operar utilizando o padrão 3GPP2, o Tipo de Mensagem é definido para 8194. Na etapa 812 o túnel IPsec para IPv6 é estabelecido. A MS é impedida de estabelecer uma sessão IPv4 interna com a rede por ter a MS estabelecendo o atributo INTERNAL_IP4_ADDRESS para 0.0.0.0 na carga útil de solicitação CFG. Similarmente, a PDIF estabelece o comprimento do atributo INTERNAL_IP4_ADDRESS para zero na carga útil de resposta CFG. A PDIF pode notificar a MS de que a MS não está autorizada para acesso IPv4 mediante envio de uma Carga Útil Notificar com um tipo de mensagem especifico. Se a MS tenta adquirir um prefixo IPv4 a partir da PDIF a PDIF descarta a mensagem sem notificar à MS.
20/21
Em modalidades adicionais, aqueles versados na técnica considerarão que os métodos anteriormente mencionados podem ser implementados por intermédio da execução de um programa incorporado em um meio legível por computador, tal como a memória de uma plataforma de computador. As instruções podem residir em vários tipos de meios portadores de sinal ou meios primários, secundários ou terciários de armazenamento de dados. Os meios podem compreender, por exemplo, RAM acessível por, ou residindo dentro do dispositivo de cliente e/ou servidor. Se contidas em RAM, em um disquete, ou outros meios secundários de armazenamento, as instruções podem ser armazenadas em uma variedade de meios de armazenamento de dados legíveis por máquina, tal como meio de armazenamento DASD (por exemplo, uma unidade de disco rígido convencional ou um arranjo RAID), fita magnética, memória somente de leitura eletrônica (por exemplo, ROM ou EEPROM), cartões de memória flash, dispositivos de armazenamento ótico (por exemplo, CD-ROM, WORM, DVD, fita ótica digital), cartões perfurados, ou outros meios de armazenamento de dados adequados incluindo meios de transmissão digitais e analógicos.
Embora a revelação anterior mostre modalidades ilustrativas da invenção, deve ser observado que várias operações e modificações poderiam ser feitas nas mesmas sem se afastar do escopo da invenção conforme definido nas reivindicações anexas. As atividades ou etapas das reivindicações do método de acordo com as modalidades da invenção aqui descritas não precisam ser realizadas em qualquer ordem específica. Adicionalmente, embora elementos da invenção possam ser descritos ou reivindicados no singular, o plural é considerado a menos que limitação ao singular seja explicitamente declarada.
21/21
Modalidades preferidas da presente invenção desse modo foram mostradas e descritas. Seria evidente para aqueles versados na técnica, contudo, que várias alterações podem ser feitas nas modalidades aqui reveladas sem se 5 afastar do conceito inventivo ou escopo da invenção.
Portanto, a presente invenção não deve ser limitada exceto de acordo com as reivindicações a seguir.

Claims (4)

REIVINDICAÇÕES
1. Método (600) compreendendo:
solicitar (602) operação de pilha dual compreendendo enviar uma solicitação para usar mais do que uma versão de protocolo Internet para acessar uma Função de Interfuncionamento de Dados de Pacote, PDIF;
receber (608) uma resposta compreendendo autorização para operação de pilha dual usando mais do que uma dentre as versões de protocolo Internet solicitadas;
o método caracterizado pelo fato de que compreende adicionalmente:
estabelecer uma associação de segurança subordinada separada para cada versão de protocolo Internet autorizado, em que a associação de segurança subordinada é subordinada a uma associação de segurança de troca de chave de Internet;
estabelecer pelo menos um túnel seguro para comunicação; e acessar a PDIF simultaneamente sobre cada versão de protocolo Internet autorizado utilizando o pelo menos um túnel seguro.
2/4 autorização para operação de pilha dual utilizando ambos os protocolos IPv4 e IPv6.
5. Método, de acordo com a reivindicação 3, caracterizado pelo fato de que a resposta compreende autorização para o protocolo IPv4 somente, e compreende adicionalmente uma indicação de que o protocolo IPv6 não está autorizado.
6. Método, de acordo com a reivindicação 3, caracterizado pelo fato de que a resposta compreende autorização para o protocolo IPv6 somente, e compreende adicionalmente uma indicação de que o protocolo IPv4 não está autorizado.
7 . Método, de acordo com a reivindicação 1, caracterizado pelo fato de que um tipo de mensagem da resposta indica qual dentre as mais de uma versões de protocolo de internet está autorizada para uso.
8. Equipamento, compreendendo:
meios para solicitar operação de pilha dual compreendendo meios para enviar uma solicitação para usar mais do que uma versão de protocolo Internet para acessar uma Função de Interfuncionamento de Dados de Pacote, PDIF;
meios para receber uma resposta compreendendo autorização para operação de pilha dual usando mais do que uma versão de protocolo Internet;
o equipamento caracterizado pelo fato de que compreende adicionalmente:
meios para estabelecer uma associação de segurança subordinada separada para cada versão de protocolo Internet autorizado, em que a associação de segurança subordinada é subordinada a uma autorização de
segurança de troca de chave de Internet;
meios para estabelecer pelo menos um túnel seguro para comunicação; e
Petição 870190085463, de 30/08/2019, pág. 7/10
2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que mais do que uma versão de protocolo Internet acessam a PDIF simultaneamente utilizando um mesmo túnel seguro ou em túneis seguros separados.
3/4 meios para acessar a PDIF simultaneamente sobre cada versão de protocolo Internet autorizado utilizando o pelo menos um túnel seguro.
9. Equipamento, de acordo com a reivindicação 8, caracterizado pelo fato de que mais do que uma versão de protocolo Internet acessam a PDIF simultaneamente utilizando um mesmo túnel seguro ou em túneis seguros separados. 10 . Equipamento, de acordo com a reivindicação 8,
caracterizado pelo fato de que a solicitação compreende uma solicitação para uso dos protocolos IPv4 e IPv6 para acessar a PDIF.
11. Equipamento, de acordo com a reivindicação
10, caracterizado pelo fato de que a resposta compreende autorização para operação de pilha dual utilizando ambos os protocolos IPv4 e IPv6.
12. Equipamento, de acordo com a reivindicação
10, caracterizado pelo fato de que a resposta compreende autorização para o protocolo IPv4 somente, e compreende adicionalmente uma indicação de que o protocolo IPv6 não está autorizado.
13. Equipamento, de acordo com a reivindicação
10, caracterizado pelo fato de que a resposta compreende autorização para o protocolo IPv6 somente, e compreende adicionalmente uma indicação de que o protocolo IPv4 não está autorizado.
14. Equipamento, de acordo com a reivindicação 8, caracterizado pelo fato de que um tipo de mensagem da resposta indica qual dentre as mais de uma versões de protocolo de internet está autorizada para uso.
15. Memória legível por computador caracterizada pelo fato de que compreende instruções armazenadas na mesma, as instruções sendo executáveis por um computador
Petição 870190085463, de 30/08/2019, pág. 8/10
3. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a solicitação compreende um solicitação para uso dos protocolos IPv4 e IPv6 para acessar a PDIF.
4. Método, de acordo com a reivindicação 3, caracterizado pelo fato de que a resposta compreende
Petição 870190085463, de 30/08/2019, pág. 6/10
4/4 para realizar o método conforme definido em qualquer uma das reivindicações 1 a 7.
BRPI0715736A 2006-08-21 2007-08-21 método e equipamento para autorização de interfuncionamento de operação de pilha dual BRPI0715736B1 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US83921206P 2006-08-21 2006-08-21
US11/840,735 US8978103B2 (en) 2006-08-21 2007-08-17 Method and apparatus for interworking authorization of dual stack operation
PCT/US2007/076432 WO2008024782A2 (en) 2006-08-21 2007-08-21 Method and apparatus for interworking authorization of dual stack operation

Publications (2)

Publication Number Publication Date
BRPI0715736A2 BRPI0715736A2 (pt) 2013-09-24
BRPI0715736B1 true BRPI0715736B1 (pt) 2020-02-04

Family

ID=39107603

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0715736A BRPI0715736B1 (pt) 2006-08-21 2007-08-21 método e equipamento para autorização de interfuncionamento de operação de pilha dual

Country Status (9)

Country Link
US (1) US9548967B2 (pt)
EP (1) EP2055078B1 (pt)
JP (3) JP5133992B2 (pt)
KR (1) KR100973118B1 (pt)
CN (1) CN105656901B (pt)
BR (1) BRPI0715736B1 (pt)
CA (1) CA2661328C (pt)
RU (1) RU2424628C2 (pt)
WO (1) WO2008024782A2 (pt)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8769257B2 (en) * 2008-12-23 2014-07-01 Intel Corporation Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing
US9215220B2 (en) 2010-06-21 2015-12-15 Nokia Solutions And Networks Oy Remote verification of attributes in a communication network
CA2801960C (en) * 2010-09-17 2018-02-13 Nokia Siemens Networks Oy Remote verification of attributes in a communication network
EP2890091B1 (en) 2012-09-29 2018-07-11 Huawei Technologies Co., Ltd. Address allocation method, device and system
JP2016063234A (ja) * 2014-09-12 2016-04-25 富士通株式会社 通信装置の通信制御方法,通信装置,通信制御システム
US10805298B2 (en) * 2015-12-18 2020-10-13 Juniper Networks, Inc. Result reporting for authentication, authorization and accounting protocols
US9877198B1 (en) * 2016-09-08 2018-01-23 Alcatel-Lucent Usa Inc. Network access backoff mechanism
US11463527B2 (en) * 2016-11-11 2022-10-04 Telefonaktiebolaget L M Ericsson (Publ) User plane model for non-3GPP access to fifth generation core network
US11882119B2 (en) * 2018-07-31 2024-01-23 Panasonic Intellectual Property Management Co., Ltd. Communication system, cryptographic key distribution method, management communication apparatus, and communication apparatus
US11863514B2 (en) * 2022-01-14 2024-01-02 Vmware, Inc. Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs

Family Cites Families (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6122246A (en) 1996-08-22 2000-09-19 Tellabs Operations, Inc. Apparatus and method for clock synchronization in a multi-point OFDM/DMT digital communications system
KR100566040B1 (ko) 1998-03-19 2006-03-30 가부시끼가이샤 히다치 세이사꾸쇼 방송 정보 공급 시스템
JP3822997B2 (ja) 1998-03-19 2006-09-20 株式会社日立製作所 放送情報配信システム
US6721337B1 (en) 1999-08-24 2004-04-13 Ibiquity Digital Corporation Method and apparatus for transmission and reception of compressed audio frames with prioritized messages for digital audio broadcasting
WO2002082207A2 (en) 2001-04-06 2002-10-17 Nortel Networks Limited Method and system for discovering an adress of a name server
US7023928B2 (en) 2001-08-06 2006-04-04 Lucent Technologies Inc. Synchronization of a pilot assisted channel estimation orthogonal frequency division multiplexing system
KR100790114B1 (ko) 2002-03-16 2007-12-31 삼성전자주식회사 직교주파수 분할다중 접속 시스템에서 적응적 파일럿반송파 할당 방법 및 장치
JP2004056489A (ja) 2002-07-19 2004-02-19 Sharp Corp 基地局、移動局及びコンテンツ配信システム
US8077681B2 (en) 2002-10-08 2011-12-13 Nokia Corporation Method and system for establishing a connection via an access network
KR100464319B1 (ko) 2002-11-06 2004-12-31 삼성전자주식회사 차세대 이동통신시스템용 네트워크 구조 및 이를 이용한데이타 통신방법
US7284062B2 (en) 2002-12-06 2007-10-16 Microsoft Corporation Increasing the level of automation when provisioning a computer system to access a network
US20040184425A1 (en) 2003-03-17 2004-09-23 Inventec Appliances Corp. Method for accessing data from a company over the internet by cellular phone
KR20040082655A (ko) * 2003-03-19 2004-09-30 삼성전자주식회사 이중 스택 변환 메커니즘을 이용한 모바일 아이피 통신시스템 및 방법
DE60305869T2 (de) 2003-03-27 2006-10-05 Motorola, Inc., Schaumburg Kommunikation zwischen einem privatem Netzwerk und einem mobilem Endgerät
US7746891B2 (en) * 2003-05-29 2010-06-29 Kddi Corporation Enabling mobile IPv6 communication over a network containing IPv4 components using ISATAP
EP1489807B1 (en) 2003-06-11 2007-11-14 NTT DoCoMo, Inc. OFDM signal frame generator with adaptive pilot and data arrangement
KR100505968B1 (ko) 2003-08-27 2005-08-03 삼성전자주식회사 직교분할다중접속에서의 무선망 구축 방법 및직교분할다중접속 방식을 채용한 단말
RU2316126C2 (ru) * 2003-08-29 2008-01-27 Нокиа Корпорейшн Персональный удаленный межсетевой экран
US20050099976A1 (en) * 2003-09-23 2005-05-12 Shu Yamamoto Enabling mobile IPv6 communication over a network containing IPv4 components using a tunnel broker model
US7242722B2 (en) 2003-10-17 2007-07-10 Motorola, Inc. Method and apparatus for transmission and reception within an OFDM communication system
US7660275B2 (en) 2003-10-24 2010-02-09 Qualcomm Incorporated Local and wide-area transmissions in a wireless broadcast network
EP1542488A1 (en) 2003-12-12 2005-06-15 Telefonaktiebolaget LM Ericsson (publ) Method and apparatus for allocating a pilot signal adapted to the channel characteristics
US20070008924A1 (en) 2004-01-15 2007-01-11 Padraig Moran Device to facilitate the deployment of mobile virtual private networks for medium/large corporate networks
US7046647B2 (en) * 2004-01-22 2006-05-16 Toshiba America Research, Inc. Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff
KR100929091B1 (ko) 2004-02-14 2009-11-30 삼성전자주식회사 이동통신 시스템에서 제어 정보 전송 장치 및 방법
US7920884B2 (en) 2004-06-04 2011-04-05 Qualcomm Incorporated Frame structures for a wireless communication system with multiple radio technologies
US7710964B2 (en) * 2004-06-22 2010-05-04 Nokia Corporation Discovering a network element in a communication system
GB2415872B (en) 2004-06-30 2007-09-05 Samsung Electronics Co Ltd Multicarrier transmission systems
US8005093B2 (en) * 2004-09-23 2011-08-23 Nokia Corporation Providing connection between networks using different protocols
US20060067284A1 (en) * 2004-09-28 2006-03-30 Utstarcom, Inc. Prepaid internet protocol-based services facilitation method and apparatus
EP1807993A1 (en) 2004-11-03 2007-07-18 Qinetiq Limited Wireless link communications between computer and receiving network each running vpn security software and wireless-link security software
KR100735231B1 (ko) 2004-11-11 2007-07-03 삼성전자주식회사 이동통신 시스템에서 파일럿 톤 배치 방법 및 장치
KR100666987B1 (ko) * 2004-11-15 2007-01-10 삼성전자주식회사 이중스택 전환 메커니즘을 이용한 IPv4-IPv6 전환시스템 및 그 방법
US20060130136A1 (en) * 2004-12-01 2006-06-15 Vijay Devarapalli Method and system for providing wireless data network interworking
US8831115B2 (en) 2004-12-22 2014-09-09 Qualcomm Incorporated MC-CDMA multiplexing in an orthogonal uplink
KR100608838B1 (ko) 2004-12-30 2006-08-08 엘지전자 주식회사 이동 통신 단말기의 pdp 컨텍스트 설정 및 해제 방법
KR100866210B1 (ko) 2005-01-03 2008-10-30 삼성전자주식회사 무선 통신 시스템에서 동일 주파수를 이용한 서비스 제공 시스템 및 방법
KR100594086B1 (ko) 2005-01-04 2006-06-30 삼성전자주식회사 채널 추정을 위한 적응적 파일럿 할당 방법 및 장치
US9143305B2 (en) 2005-03-17 2015-09-22 Qualcomm Incorporated Pilot signal transmission for an orthogonal frequency division wireless communication system
US9461859B2 (en) 2005-03-17 2016-10-04 Qualcomm Incorporated Pilot signal transmission for an orthogonal frequency division wireless communication system
EP1705859A1 (en) 2005-03-24 2006-09-27 Orange SA Packet radio network and method for activation of a packet data protocol context
US20060280113A1 (en) 2005-06-10 2006-12-14 Huo David D Method and apparatus for dynamic allocation of pilot symbols
US7826555B2 (en) 2005-08-24 2010-11-02 Panasonic Corporation MIMO-OFDM transmission device and MIMO-OFDM transmission method
CN101366307A (zh) 2005-09-28 2009-02-11 Lg电子株式会社 频域信号处理的预处理方法和装置
US20070189219A1 (en) 2005-11-21 2007-08-16 Mruthyunjaya Navali Internet protocol tunneling on a mobile network
US20070248037A1 (en) 2006-04-19 2007-10-25 Motorola, Inc. Apparatus and method for frequency hopping in a broadcast network
US7684512B2 (en) 2006-04-21 2010-03-23 Alcatel-Lucent Usa Inc. Method of scheduling mobile user transmissions and methods of decoding mobile user transmissions
US7783293B2 (en) 2006-04-26 2010-08-24 Beceem Communications Inc. Method of training a communication system
US8174995B2 (en) 2006-08-21 2012-05-08 Qualcom, Incorporated Method and apparatus for flexible pilot pattern
US8978103B2 (en) 2006-08-21 2015-03-10 Qualcomm Incorporated Method and apparatus for interworking authorization of dual stack operation

Also Published As

Publication number Publication date
WO2008024782A2 (en) 2008-02-28
RU2424628C2 (ru) 2011-07-20
CA2661328A1 (en) 2008-02-28
EP2055078A2 (en) 2009-05-06
US20150207779A1 (en) 2015-07-23
RU2009110196A (ru) 2010-09-27
JP5133992B2 (ja) 2013-01-30
JP2010502119A (ja) 2010-01-21
CN105656901B (zh) 2019-10-01
CN105656901A (zh) 2016-06-08
EP2055078B1 (en) 2017-03-08
JP2012109994A (ja) 2012-06-07
CA2661328C (en) 2014-09-02
BRPI0715736A2 (pt) 2013-09-24
WO2008024782A3 (en) 2008-05-29
JP6067651B2 (ja) 2017-01-25
JP2015065677A (ja) 2015-04-09
KR20090042867A (ko) 2009-04-30
US9548967B2 (en) 2017-01-17
KR100973118B1 (ko) 2010-07-29

Similar Documents

Publication Publication Date Title
CA2546553C (en) System and method for provisioning and authenticating via a network
BRPI0715736B1 (pt) método e equipamento para autorização de interfuncionamento de operação de pilha dual
Aboba et al. Extensible authentication protocol (EAP)
EP1880527B1 (en) Method for distributing certificates in a communication system
US8978103B2 (en) Method and apparatus for interworking authorization of dual stack operation
US7707412B2 (en) Linked authentication protocols
Aboba et al. RFC 3748: Extensible authentication protocol (EAP)
BRPI0807096B1 (pt) Método compreendendo iniciação de uma sessão de um terminal de assinante e aparelho
CN101437022A (zh) 服务器发起的安全网络连接
TWI448128B (zh) 用於雙堆疊操作互通授權的方法及裝置
Dahm et al. RFC 8907: The Terminal Access Controller Access-Control System Plus (TACACS+) Protocol
Asokan et al. Man-in-the-middle in tunnelled authentication
KR102558364B1 (ko) 5g lan 서비스 제공 방법
Kovačić et al. Improving the security of access to network resources using the 802.1 x standard in wired and wireless environments
Aura et al. RFC 9140: Nimble Out-of-Band Authentication for EAP (EAP-NOOB)
Latze Towards a secure and user friendly authentication method for public wireless networks
Hoeper Channel Binding Support for EAP Methods draft-ietf-emu-chbind-16. txt
HK1136123A (en) Method and apparatus for interworking authorization of dual stack operation
Hoeper EMU Working Group S. Hartman, Ed. Internet-Draft Painless Security Intended status: Standards Track T. Clancy Expires: May 2, 2012 Electrical and Computer Engineering
Aboba et al. EAP Working Group L. Blunk Internet-Draft Merit Network, Inc Obsoletes: 2284 (if approved) J. Vollbrecht Expires: August 14, 2004 Vollbrecht Consulting LLC
Vollbrecht et al. Network Working Group B. Aboba Request for Comments: 3748 Microsoft Obsoletes: 2284 L. Blunk Category: Standards Track Merit Network, Inc

Legal Events

Date Code Title Description
B06F Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette]
B06T Formal requirements before examination [chapter 6.20 patent gazette]
B15K Others concerning applications: alteration of classification

Free format text: AS CLASSIFICACOES ANTERIORES ERAM: H04L 29/06 , H04L 12/22

Ipc: H04L 29/06 (1990.01), H04W 12/08 (2009.01), H04W 8

B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 10 (DEZ) ANOS CONTADOS A PARTIR DE 04/02/2020, OBSERVADAS AS CONDICOES LEGAIS.