CN1604520A - 无线通信系统的控制方法,无线通信设备、基站及认证设备 - Google Patents
无线通信系统的控制方法,无线通信设备、基站及认证设备 Download PDFInfo
- Publication number
- CN1604520A CN1604520A CNA2004100807322A CN200410080732A CN1604520A CN 1604520 A CN1604520 A CN 1604520A CN A2004100807322 A CNA2004100807322 A CN A2004100807322A CN 200410080732 A CN200410080732 A CN 200410080732A CN 1604520 A CN1604520 A CN 1604520A
- Authority
- CN
- China
- Prior art keywords
- base station
- telecom equipment
- wireless telecom
- authentication information
- verification process
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 198
- 238000000034 method Methods 0.000 title claims abstract description 168
- 230000008569 process Effects 0.000 claims abstract description 129
- 238000012795 verification Methods 0.000 claims description 113
- 230000005540 biological transmission Effects 0.000 claims description 20
- 230000002123 temporal effect Effects 0.000 claims description 6
- 238000012545 processing Methods 0.000 description 10
- 230000000712 assembly Effects 0.000 description 5
- 238000000429 assembly Methods 0.000 description 5
- 238000009825 accumulation Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000033228 biological regulation Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000000630 rising effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了通信系统中的无线通信设备、基站和认证设备以及用于无线通信系统的控制方法,所述无线通信设备包括:接收来自第一基站的认证信息的控制器,所述认证信息基于第一认证过程,所述第一认证过程对于无线通信设备经由第一基站来启动和网络的通信是必需的;以及耦合到控制器的存储器,所述存储器存储由控制器所接收的认证信息。
Description
技术领域
本发明涉及用于无线通信系统的控制方法,以及通信系统中的无线通信设备、基站以及认证设备,在所述通信系统中无线通信设备通过无线通信来和网络通信。
背景技术
无线通信技术中的新近进展促进了使用无线通信的无线接入系统的广泛使用,所述无线接入系统例如是无线局域网(无线LAN)和移动电话。这些无线接入系统被部署于私有网络和诸如企业内部互联网和家庭网络的公共网络。
虽然无线接入系统具有在网络通信中高度的用户移动性的优点,但是和电缆接入系统相比其具有容易受到拦截和身份盗用的攻击的缺点。因而,安全措施在无线接入系统中比在电缆接入系统中更重要。
下面将通过使用无线LAN接入系统作为示例来描述无线接入系统中的安全措施。
无线LAN接入系统包括网络、基站、认证服务器和移动终端。所述网络是诸如连接到因特网的LAN的电缆网络。这里使用的术语网络涉及网络上包括非基站通信设备的网络和其它网络。基站连接到网络和认证服务器。
认证服务器认证移动终端以准许其接入到网络。移动终端是用户使用的通信终端。移动终端和基站进行无线通信,并且通过基站和网络、认证服务器以及其它移动终端通信。其中移动终端可以和基站无线通信的地理范围被称作无线接入服务区域。
IEEE(电气电子工程师协会)802工作组已开发了无线LAN接入系统的标准规范,该标准规范称为IEEE 802.11(美国国家标准化组织/IEEE标准802.11,1999年版,局域网和城域网特定要求第11部分:无线局域网介质访问控制(MAC)和物理层(PHY)规范)。IEEE 802.11主要定义了无线空间中移动终端和基站之间或者基站和基站之间的LAN连接规范;其安全规范的脆弱性经常被指出来。
为了减轻IEEE 802.11中安全规范的脆弱性,IEEE 802工作组定义了名为IEEE 802.1X(IEEE 802.1X,局域网和城域网标准:基于端口的网络接入控制标准)的安全技术标准。IEEE 802.1X被开发成通信设备的认证技术规范,所述通信设备共享有线LAN介质以彼此连接。名为Wi-Fi联盟的协会定义了名为WPA(Wi-Fi保护接入)的标准,其将IEEE 802.1X扩展到无线LAN(Wi-Fi保护接入(WPA),1.2版本)。除了其它用于无线LAN接入的安全措施外,所有这些规范都被广泛用作移动终端认证方法和过程的标准。
下面将描述根据IEEE 802.1X和WPA的移动终端的认证。移动终端关联到网络上基站中的任一个,以便启动和网络的通信(相应于IEEE802.11中的关联)。当检测到移动终端的关联时,基站问询认证服务器是否应允许已关联的移动终端连接网络。如果认证服务器基于预先注册的身份认证信息(identification information)确定该移动终端是经授权的,则认证服务器通过基站向移动终端发送认证完成或认证成功消息。基站向认证通过后的移动端口打开通信端口。在认证成功之后,移动终端通过基站和网络开始通信。
上述移动终端认证包括在移动终端、基站和认证服务器之间交换许多信息项。如果认证服务器被置于地理上远离网络上基站的位置,则通过电缆或者无线电交换这些信息项。在这种情况下,由于通信中的传输延迟和设备及站中的处理延迟,在认证的开始和完成之间需要相当长的一段认证过程时间。而且,当通信量很高时,因为涉及认证的信息被给予和其它通信量的信息同样的优选权,所以传输延迟增加并且认证过程时间变长。在认证过程完成前,不允许移动终端连接到网络从而移动终端不能和网络通信。结果,这样的延长的认证过程时间段导致下面的问题。
首先,在越区切换(handover)期间出现通信质量问题。考虑移动终端在移动时连接到网络的情况。移动终端从一个基站的无线接入服务区域移出,而被关联到另一基站的无线接入服务区域。若如此,则移动终端必须将其关联切换到新基站,即,移动终端必须进行越区切换。在越区切换期间,移动终端切断和其关联的基站间的关联,并且重新关联到其移动到的基站。根据IEEE 802.1X或WPA,通过其移动到的基站,移动终端同认证服务器执行认证过程。除了在越区切换本身所需的时间即切换关联所需的时间内,还有在认证过程所需时间内,移动终端和网络之间的通信在通信协议的物理层中断。
在越区切换本身所需的时间段内在物理层上的通信中断通常可以利用通信协议更高层的功能来补偿,并且不为通信双方所知。但是,在认证过程期间的物理层中的通信中断可能太长以至于无法在上层补偿。例如,如果移动终端正在进行通信,在所述通信中对要求连续性和实时处理的数据,例如音频和视频数据进行处理,则和越区切换相关联的认证使得上层的通信质量下降。在最坏的情况下,上层通信也将被断开。
其次,存在另一问题,即当移动终端切断和基站间的关联,然后重新关联到同一基站时,必须执行上述的认证过程。对于移动终端的用户来说,仅仅为了重新关联到认证过的移动终端曾经关联过的基站,直到上述认证过程完成才能开始和网络通信是不方便的。
为解决这些问题,必须减少认证过程的时间。而且,考虑无线接入系统的特性,除了仅仅减少认证处理时间外,还必须确保足够安全。此外,鉴于IEEE 802.1X和WPA被广泛用作标准,必须通过使用与基于IEEE802.1X或WPA的系统兼容的方法来解决上述问题。为了解决这些问题,已经提出了下面的现有技术。
例如,日本早期公开的专利No.6-261043、No.2003-5641、No.2003-101545和No.2003-198971公开了如下方法:在该方法中没有使用认证服务器,而是将有关可以关联到基站的所有移动终端的身份认证信息都保持在基站处,并且基站中的每个对移动终端进行认证。根据这些专利文献中所公开的方法,因为可以简单地通过在基站和移动终端间交换信息来进行认证,所以和根据IEEE 802.1X和WPA的方法相比,可以减少认证过程时间。
但是,这些专利文献中所公开的方法具有如下问题。在提供了多个基站,并且大量移动终端具有广阔地理区域内的无线接入的无线接入系统中,身份认证信息量将是巨大的。而且,为改善安全性或者当添加或删除具有接入的无线终端时,必须在系统运行时对所有基站进行身份认证信息的更新、添加和删除。所以,在基站进行认证的方法具有下述问题,即为实现/管理系统需要太多的成本/劳力。这些专利文献中所公开的方法的另一个问题是因为这些方法不使用认证服务器,所以其和基于标准规范IEEE 802.1X或WPA的系统不兼容。
国际专利申请的日本国内公布No.2003-516000公开了一种方法,在该方法中,身份认证信息被从移动终端在越区切换前所关联的基站传递到该移动终端在越区切换后将要关联的基站,并且基站不使用认证服务器来对移动终端进行认证。根据国际专利申请的日本国内公布No.2003-516000所公开的方法,由认证服务器参与所引起的处理延迟和传输延迟可以避免,并且因此和IEEE 802.1X和WPA方法相比较认证过程时间较短。
但是,国际专利申请的日本国内公布No.2003-516000所公开的方法具有如下问题:因为在移动终端越区切换前所关联的基站和移动终端越区切换后将要关联的基站之间发生用于信息交换的通信,所以不能有效地减少认证过程时间。国际专利申请的日本国内公布No.2003-516000所公开的方法的另一个问题是因为该方法不使用认证服务器,所以其和基于标准规范IEEE 802.1X和WPA的系统不兼容。
日本早期公开的专利No.2003-60653公开了一种在无线LAN接入系统中在越区切换期间进行认证的方法。日本早期公开的专利No.2001-144812公开了一种简化的认证方法。日本早期公开的专利No.2001-111544公开了一种具有高级安全性的认证方法。日本早期公开的专利No.2003-60653,No.2001-144812和No.2001-111544提供的认证方法具有如下共性:总是使用认证服务器,即使对于当关联切换时重新连接到网络的情况也是如此,并且没有解决上述的认证过程时间的问题。
发明内容
通信系统中的一种无线通信设备包括:接收来自第一基站的认证信息的控制器,所述认证信息是基于第一认证过程的,第一认证过程对于无线通信设备经由第一基站启动和网络间的通信是必要的;以及耦合到控制器的存储器,所述存储器存储由控制器所接收的认证信息。
通信系统中的一种基站包括:无线发送和接收装置,用于经由无线通信和无线通信设备通信;以及控制装置,用于向无线通信设备发送认证信息,所述认证信息将被存储在无线通信设备中并且是基于第一认证过程的,第一认证过程对于无线通信设备经由基站启动无线通信设备和网络之间的通信是必要的。
通信系统中的一种认证设备包括:发送和接收装置,用于和所述基站通信;以及控制装置,用于经由基站向无线通信设备发送认证信息,所述认证信息将被存储在无线通信设备中并且是基于第一认证过程的,第一认证过程对于无线通信设备经由基站启动和网络的通信是必要的。
附图说明
通过结合附图来参考本发明的如下详细说明,本发明的上述和其他目标、特征和优势将变得更显而易见。在所述附图中:
图1示出了根据本发明第一实施例的无线接入系统的配置;
图2示出了根据本发明第一和第二实施例的移动终端的配置;
图3示出了根据本发明第一实施例的基站的配置;
图4示出了根据本发明第一实施例的认证服务器的配置;
图5示出了根据本发明第一实施例的用于分配认证票证的操作;
图6示出了根据本发明第一实施例的认证票证的结构;
图7示出了根据本发明第一实施例的使用认证票证的认证过程;
图8示出了根据本发明第一实施例的具有额外认证的使用认证票证的认证过程;
图9示出了根据本发明第一实施例的当认证票证变为无效时所执行的操作;
图10示出了根据本发明第二实施例的无线接入系统的配置;
图11示出了根据本发明第二实施例的基站的配置;
图12示出了根据本发明第二实施例的用于分配认证票证的操作;
图13示出了根据本发明第二实施例的认证票证的结构;
图14示出了根据本发明第二实施例的使用认证票证的认证过程;
具体实施方式
将参照附图描述实现本发明的最优方式。但是,这些实施例并不意欲限制本发明的技术范围。
图1示出了根据本发明第一实施例的无线接入系统的配置。图1中仅示出了用于阐明本发明第一实施例所需的那些组件。
根据本发明第一实施例的无线接入系统是包括移动终端10、基站200-204、网络80和认证服务器30的无线LAN接入系统。
网络80是诸如连接到因特网的LAN的有线网络。这里使用的术语网络涉及包括网络80上的通信设备的网络和其它网络。
基站200-204连接到网络80和认证服务器30,并且进行双向有线通信。基站200-204中的每个都具有在其中提供和无线终端10的无线通信的无线接入服务区域。在第一实施例中,基站200和201分别相应于无线接入服务区域700和701。
移动终端10关联到其所属的无线接入区域的基站(相应于IEEE802.11中的关联),并且经由和该基站的无线通信和网络80以及认证服务器30通信。和网络80通信是指和网络80上或者其他连接到网络80的网络上的通信设备通信。网络80上或者其他连接到网络80的网络上的通信设备包括像移动终端10那样通过基站和网络80通信的其他移动终端。
移动终端10可以在不同基站的多个无线接入区域之间移动。在这种情况下,移动终端10可以通过关联到新基站,即通过进行越区切换来继续和网络80通信。例如,如图1所示,当移动终端10从无线接入服务区域700移动到无线接入服务区域701时,其进行越区切换,以和基站200切断关联,并且关联到基站201。
图2示出了根据本发明第一实施例的移动终端的配置。仅示出了用于阐明第一实施例所需的那些组件。移动终端是包括无线收发器11、控制器12和认证票证存储器15的无线通信设备。无线收发器11将从基站接收到的无线电信号的频率下变频,并对结果信号应用A/D转换和解调,并且将该信号发送到控制器12。无线收发器11还调制从控制器12接收到的信号,并对调制后的信号应用D/A转换,将该信号的频率上变频,并且将其作为无线电信号发送到基站。控制器12包括通信控制器13和认证控制器14。通信控制器13向/从无线收发器11发送/接收信号。通信控制器13检测无线电波接收极限点,该点为临界点,即如超过该点则不能进行移动终端10和同移动终端10相关联的基站之间的成功通信。而且,通信控制器13寻找最近的基站。基于所接收的无线电波强度的减小或信号错误率的上升检测无线电波接收极限点。通过使用IEEE 802.11中指定的主动或被动扫描寻找基站。认证控制器14向/从通信控制器13发送/接收信号,并且同认证服务器30执行认证、同基站执行认证,以及关联到基站和切断与基站的关联。这里根据IEEE 802.11中的规范来执行关联和切断关联。响应于来自认证控制器14的请求,认证票证存储器15从/向认证控制器14接收/发送信号,并且存储认证票证或向认证控制器14发送认证票证。稍后将详细描述认证票证。
图3示出了根据本发明第一实施例的基站200-204的配置。仅示出了用于阐明第一实施例所需的那些组件。基站200-204是无线LAN接入系统中的接入点,其包括无线收发器21,控制器22和收发器25。无线收发器21接收来自移动终端10的无线电信号,向该信号应用诸如解调的处理,并将该信号发送到控制器22。无线收发器21还接入来自控制器22的信号,向该信号应用诸如调制的处理,并将该信号作为无线电信号发送到移动终端10。控制器22包括通信控制器23和认证控制器24。通信控制器23从无线收发器21发送信号到认证控制器24和收发器25,将来自收发器25的信号发送到认证控制器24和无线收发器21,并将来自认证控制器24的信号发送到无线收发器21和收发器25。通信控制器23还控制是否应该允许移动终端10和网络80之间的通信。认证控制器24向/从通信控制器23发送/接收信号,并对移动终端10的认证、关联和切断关联进行处理。收发器25调制来自通信控制器23的信号,并将其发送到网络80或认证服务器30。收发器25还解调来自网络80或认证服务器30的信号,并将其发送到通信控制器23。
图4示出了根据本发明第一实施例的认证服务器30的配置。仅示出了用于阐明第一实施例所需的那些组件。认证服务器30是认证设备,其包括收发器31、控制器32和身份认证信息存储器33,并具有认证移动终端的功能。收发器31接收来自基站200-204中任一个的信号,解调该信号,并将解调后的信号发送到控制器32。收发器31还调制来自控制器32的信号,并将调制后的信号发送到基站200-204中任一个。身份认证信息存储器33存储关于移动终端10的预先设置的身份认证信息,控制器32向/从收发器31发送/接收信号并且通过基站200-204中任一个对移动终端10执行认证。所述认证是基于存储在身份认证信息存储器33中的身份认证信息来执行的。控制器32还通过基站200-204中任一个向移动终端10发送认证票证。稍后将描述认证票证。
下面将详细描述根据本发明第一实施例的操作。图5示出了当未和任何基站相关联的移动终端10关联到基站200并且开始和网络80进行数据通信时所进行的操作。
移动终端10的通信控制器13搜索距离移动终端10的位置最近的基站,并且确定要关联到基站200。认证控制器14将关联请求发送到基站200,并且同基站200的认证控制器24执行关联过程。完成关联过程之后,移动终端10和基站200相关联。基站搜索和关联过程是遵从IEEE802.11中的规范来执行的(S10)。
关联到基站200并不足以使得移动终端10被允许和网络80通信。具体而言,基站200的通信控制器23阻止移动终端10和网络80通信。因而,为了开始上述的数据通信,移动终端10通过基站200同认证服务器30执行认证过程。具体而言,已认可移动终端10的关联的基站200的认证控制器24请求来自认证服务器30的控制器32的认证。然后,通过基站200执行移动终端10的认证控制器14同认证服务器30的控制器32之间的认证过程。认证过程是基于所预先设置并存储在认证服务器30的身份认证信息存储器33中的关于移动终端10的身份认证信息来执行的。认证过程遵从IEEE 802.1X或WPA的规范(S11)。
如果认证成功,即移动终端10的有效性已被认证服务器30核实,则加密移动终端10和基站200间的无线通信链路。具体而言,移动终端10根据IEEE 802.1X或WPA中定义的密钥分配协议接收密钥或者使用在移动终端10和基站200中手工预先设置的密钥来加密无线通信链路。IEEE802.11中指定的WEP加密可以用作加密(S12)。
在加密完成之后,移动终端10和网络80之间的通信被基站200的通信控制器23允许,并且通信开始。在移动终端10和网络80之间的通信开始之后(S13),认证服务器30发行认证票证并且发送认证票证到移动终端10。
认证票证是认证信息,该认证信息证明通过认证服务器30认证了移动终端10的有效性,并且该认证信息包括证明信息。认证票证还包括加密信息,用于对其本身进行加密,以用于传输。这样,被允许和网络通信的移动终端10可以在其再次关联到该基站时使用认证票证,以和该基站完成认证过程。这样,本发明提供了和通过认证服务器执行的认证不同,并且可以在短时间内完成的认证过程。
在下文将称呼加密认证票证所需的加密信息为通行字(passphrase)。根据本发明第一实施例,认证票证中所包括的证明信息为认证服务器签名。
图6示出了从认证服务器30发送到移动终端10的认证票证的结构。认证票证包括报头501、用户ID信息502、有效范围信息503、有效期信息504、使用日期和时间信息505、认证服务器签名506和通行字507。
报头501等同于典型通信协议中所使用的消息/分组ID,并且使得在基站中处理认证票证更容易。用户ID信息502指示经认证服务器30认证的移动终端10的身份。有效范围信息503指示认证票证可以有效使用的范围、区域或地域。优选地,有效范围信息503可以是对于认证票证可以有效使用的基站的列表。有效期信息504指示认证票证有效的期间。根据系统的大小和使用设置有效范围信息503和有效期信息504可以设置安全级。使用日期和时间信息505是时间信息,其指示移动终端10使用认证票证的时刻,即移动终端10将认证票证发送到基站的时刻。认证服务器签名506是由认证服务器在其发行认证票证时设置的,并且其指示了认证票证的有效性。
通行字507是一个用于加密的密钥,该密钥当移动终端10向基站发送认证票证时,被应用到该认证票证上。通行字507由认证服务器30以规则的时间间隔更新,并被传递到有效范围信息503中所包含的所有基站。根据本实施例,通行字507的更新时间间隔和认证票证的有效期是同步的;当认证票证失效时,更新并传递通行字507。通行字507被经由安全的通信链路传递到基站,或者被以某种方式加密并传递。
在此示例中,将移动终端10向基站发送认证票证的日期和时间设置为使用日期和时间信息505。除了使用日期和时间信息505外的部分,即用户ID502、有效范围信息503、有效期信息504、认证服务器签名506和通行字507由认证服务器30来设置。
回到图5,将详细描述认证票证的分配和使用。在开始移动终端10和网络80之间的通信之后,认证服务器30向移动终端10发送认证票证(S14)。具体而言,认证服务器30的控制器32向移动终端10的认证控制器14发送已设置了用户ID502、有效范围信息503、有效期信息504、认证服务器签名506和通行字507的认证票证。移动终端10的认证控制器14检查其收到的认证票证中的认证服务器签名506。如果移动终端10的认证控制器14确定其收到的认证票证是从认证服务器30发送的有效认证票证,则认证控制器14将该认证票证存储在认证票证存储器15中。如果移动终端10的认证控制器14确定其接收的认证票证是无效票证,则认证控制器14丢弃该票证,并且视合适执行重发或者重新认证过程。下面将描述有效认证票证存储在认证票证存储器15中的情况。
虽然在本发明的第一实施例中,假定在开始移动终端10和网络80之间的通信之后发送认证票证,但是可以采用在开始通信之前发送认证票证的安排。而且在这种情况下,通过在认证票证经由通信链路发送到移动终端10之前确保安全的通信链路,例如通过对移动终端10和基站200之间的无线通信链路进行加密,可以防止对和认证票证相关联的通行字507的未经授权的使用和拦截。
图7示出了当越区切换发生时所执行的操作,在越区切换中,当移动终端10移动时,和基站200相关联并且和网络80通信的移动终端10从基站200切换到基站201。
如图1所示,在保持和网络80通信期间移动终端在移动。当移动终端10越来越接近移动终端10当前关联的基站200的无线电波接收极限点即无线接入服务区域700的边界时,移动终端10再次执行基站搜索,并且找到距离最近的基站201。然后当移动终端10从无线接入服务区域700移动到无线接入服务区域701时,移动终端10执行越区切换,从而将关联从基站200改变到基站201。
具体而言,移动终端10的通信控制器13从其所接收到的无线电波强度的下降或者信号错误率的上升中认识到,其正在接近无线接入区域700的边界。而且,通信控制器13搜索基站,并且找到最近的基站201。然后,当移动终端10从无线接入区域700移动到无线接入区域701时,移动终端10的认证控制器14完成切断和基站200的认证控制器24的关联的过程。然后,移动终端10的认证控制器14执行同基站201的认证控制器24的关联过程,并且关联到基站201。这里关联过程和切断关联过程是遵从IEEE 802.11中的规范进来执行的(S20)。
在移动终端10已完成和基站200切断关联的时候,在通信协议的上层中保持着移动终端10和网络80之间的通信,但是在通信协议的物理层中的通信已经中断。当移动终端10完成到新基站201的关联过程时,物理层中的通信尚未恢复。根据IEEE 802.1X和WPA中指定的认证,为了使移动终端10恢复物理层中的通信,需要通过认证服务器30执行重新认证。因为延长的认证过程,所以这将导致在上层中的通信也中断。相反,根据本发明第一实施例,如果移动终端10具有认证票证,即认证票证在移动终端10的认证票证存储器中,则基于认证票证同基站201执行认证过程,而不是同认证服务器30执行认证过程。这可以防止上层中的通信中断。如果移动终端10没有认证票证,则如图5所示通过认证服务器30执行重新认证。下面将描述移动终端10具有认证票证的情况。
在完成关联到基站201后,移动终端10向基站201发送不包含通行字507在内的认证票证508。具体而言,移动终端10的认证控制器14从认证票证存储器15中读取认证票证508,并且在使用日期和时间信息505中设置当前的日期和时间。认证控制器14然后从认证票证存储器15中读取通行字507,使用通行字507来加密其中使用日期和时间信息505已设置的认证票证508,并且向基站201的认证控制器24发送经加密的认证票证508(S21)。
基站201核实其收到的认证票证的有效性,以对移动终端10执行认证。具体而言,基站201的认证控制器24接收来自移动终端10的认证票证508,并且通过使用预先从认证服务器30传递的通行字507来解密认证票证508。认证控制器24检查经解密的认证票证中的有效范围信息503和有效期信息504,以判断认证票证是否有效。认证控制器24还检查认证服务器签名506,以判断认证票证是否是由认证服务器30所发行的有效票证。认证控制器24还检查用户ID信息502和使用日期和时间信息505,以判断认证票证是否被未经授权使用。虽然如上所述认证票证用通行字加密并发送,但是因为其已经被发送到无线链路上,所以可以被非移动终端10用户的未经授权的怀有恶意者获得和使用。因而,必须排除这样经未经授权使用的认证票证。具体而言,将在关联过程期间从移动终端10发送的诸如移动终端10的MAC(介质访问控制)地址的ID信息和用户ID信息502相比较,以判断认证票证的用户是否和经关联的移动终端10匹配。如果不匹配,则可以确定该认证票证已被未经授权使用。此外,可以将接收认证票证的日期和时间和使用日期和时间信息505相比较,以判断此是否为未经授权的使用。也就是说,如果在使用日期和时间信息505中所设置的日期和时间和接收认证票证之间过去的时间不在无线传输中延迟的范围内,则可以确定此是由拦截票证的未经授权的第三方未经授权的使用(S22)。
如果通过上述过程确定认证票证是在有效的期间和有效范围内使用、由认证服务器30发行、并且由经授权的用户所使用,即如果确定认证票证是完全有效的,则对移动终端10和基站201间的无线通信链路进行加密。具体而言,移动终端10根据IEEE 802.1X或WPA中定义的密钥分配协议接收密钥,或者使用在移动终端10和基站201中手动预先设置的密钥,以加密无线通信链路。例如,IEEE 802.11中指定的WEP加密可以用于加密。在完成加密之后,基站201的认证控制器24向移动终端10的认证控制器14发送指示允许和网络80通信的通知。同时,基站201的通信控制器23打开移动终端10和网络80之间的通信端口。移动终端10接收允许通信的通知并且恢复物理层中的和网络80的通信(S23)。应该注意,因为在步骤S20到S23期间物理层中的通信中断较短,所以保持了上层中的通信。
如果不能确定认证票证的有效性,则不加密无线通信链路,认证控制器24不发送允许通信的通知,并且通信控制器23不打开移动终端10和网络80之间的通信端口。在这种情况下,需要通过认证服务器30执行重新认证。
虽然无线通信链路加密是在基于认证票证的认证之后进行的,但是因为认证票证用通行字加密了,所以可以确保高的安全级。或者,可以在移动终端10和基站201之间的无线通信链路被加密之后执行基于认证票证的认证。
优选地,如图8所示,在恢复物理层中的移动终端10和网络80之间的通信后,移动终端10可以在通信的同时通过基站21同认证服务器30执行额外的认证过程。图8中示出的步骤S20到S23等同于图7中所示出的步骤S20到S23。额外的认证过程和图5中所示出的认证过程相同并且是遵从IEEE 802.1X或WPA的规范来执行的(S24)。如果额外的认证过程成功,则和额外的认证同时进行的移动终端10和网络80之间的通信被保持。另一方面,如果额外的认证过程失败,则通过基站201的通信控制器终止移动终端10和网络80之间的通信。采取的该额外的认证是用于避免不能通过检查用户ID信息502和使用日期和时间的信息505来排除的认证票证的未经授权的使用,从而进一步改善了安全级。例如,如果不合法获得认证票证者以票证的经授权的用户的名义,在使用日期和时间信息505内设置的日期和时间之后,在短时间内使用认证票证,则基站202可能将该认证票证视为有效票证。额外的认证可以排除这样的不能通过基站202核实的认证票证的未经授权使用。
每次移动终端10在其移动中执行越区切换时,移动终端10进行步骤S20到S23或者优选地进行步骤S20到S24。
根据本发明第一实施例,认证服务器30对于额外的认证不向移动终端10发送认证票证。或者,在额外的认证成功之后可以视合适发行新的认证票证。
上面描述了在移动终端10改变基站的越区切换期间认证票证的使用。在其中使用认证票证的图7中示出的认证过程也可应用于下述情况,所述情况为未和任何基站相关联的移动终端10关联到基站中的任一个。例如,考虑下述情况,所述情况为在认证服务器30发送认证票证到移动终端10后,和基站200相关联的移动终端10切断和基站200的关联。如果移动终端重新关联到基站200,则移动终端10可以通进执行在其中使用了认证票证的,图7所示的认证过程来开始和网络80通信,而不是同认证服务器30来执行认证过程。
考虑当移动终端10在不需越区切换的位置上正在通信时,移动终端10的认证票证已变为无效的情况下的操作,所述不需越区切换的位置即为在无线接入服务区域内并且不接近边界。图9示出了当移动终端10正在基站201的无线接入服务区域701中和网络80进行通信时,移动终端10的认证票证已变为无效的情况下的操作。
当移动终端10当前所关联的基站或者移动终端10在下一越区切换中将要关联的基站不再位于或者不被包括于有效范围信息503中所设置的有效范围内,或者有效期信息504中所设置的有效期已经期满时,认证票证变为无效。通过辨认其当前关联到的基站以及其将要关联到的基站的身份认证信息,移动终端10可以知道由于来自有效范围信息503的原因认证票证已变为无效。通过将有效期信息504中所设置的有效期和当前的日期和时间相比较,移动终端10还可以知道由于来自有效期信息504的原因认证票证已变为无效。
移动终端10在规则的时间间隔或者以某种其他的定时来检查认证票证的有效性。如果移动终端10确定认证票证无效,则其请求认证服务器重新发行认证票证。认证服务器30收到该请求,并且同移动终端执行重新认证过程,使移动终端10有效,然后重新发行认证票证并再次向移动终端10发送认证票证。具体而言,移动终端10的认证控制器14以规则的时间间隔或者某种其他的定时来访问其认证票证存储器15,以判断在那时认证票证是否仍然有效。如果认证票证不再有效,则认证控制器14通过基站201请求认证服务器30的控制器32重新发行认证票证。认证服务器30的控制器32接收重新发行认证票证的请求,并且同移动终端10的认证控制器14执行重新认证过程。该重新认证过程和S11(图5)中的认证过程类似,并且遵从IEEE 802.1X或者WPA中的规定来执行(S30)。在完成重新认证并且认可移动终端10的有效性之后,认证服务器30的控制器32重新发行认证票证并向移动终端10的认证控制器14发送认证票证。无线通信设备10的认证控制器14接收该重新发行的认证票证,核实认证票证的有效性并且将认证票证存储在认证票证存储器15中,正如其在步骤S14接收认证票证时所做的那样(图5)。丢弃无效的旧认证票证(S31)。
上述步骤S30和S31是和移动终端10和网络80之间的通信同时进行的。于是,可以更新认证票证而不中断通信。当移动终端10随后关联到基站时,其使用重新分配的新认证票证同基站执行认证过程。如果认证再次变为无效,则将进行上述的步骤S30和S31。
尽管在本发明第一实施例中无线LAN接入系统被用作无线接入系统,但是也可以使用如上述系统那样包括移动终端、基站、认证服务器和网络的任何其他系统。例如,可以使用诸如移动电话通信系统和PHS(个人手持电话系统)通信系统的系统。
虽然在本发明第一实施例中使用了单个认证服务器,但是无线接入系统可以被配置为具有不止一个认证服务器。
图10示出了根据本发明第二实施例的无线接入系统的配置。仅示出了用于阐明本发明第二实施例所需的那些组件。根据本发明第二实施例的无线接入系统是包括移动终端10、基站400-404和网络80的无线LAN接入系统。本发明第二实施例的无线接入系统和本发明第一实施例的无线接入系统不同处在于其不包括认证服务器30。基站400-404和本发明第一实施例中的基站200-204在配置上不同。基站400-404中的每一个都具有无线接入服务区域,在该区域中基站提供和移动终端10的无线通信。在第二实施例中,基站400和401分别相应于无线接入服务区域900和901。移动终端10和网络80和本发明第一实施例中的无线接入系统中的移动终端10和网络80相同。
图11示出了每个基站400-404的配置。基站400-404包括无线收发器21、控制器41、基站信息存储器43和收发器44。收发器21和本发明第一实施例中的基站200-204中的收发器21相同。控制器41包括通信控制器23和认证控制器42。通信控制器23和本发明第一实施例中的基站200-204中的通信控制器23相同。
认证控制器42和本发明第一实施例中基站200-204中的认证控制器24相同处在于其向/从通信控制器23发送/接收信号。但是,认证控制器42执行与认证控制器24所执行的认证过程不同的认证过程。因为在本发明第二实施例中不存在认证服务器30,所以认证控制器42负责涉及认证的所有操作。具体而言,认证控制器42基于关于移动终端10的身份认证信息执行认证,发行和分配认证票证,并且基于认证票证执行认证。为了使得认证控制器42基于身份认证信息执行认证,认证控制器42必须具有关于移动终端10的身份认证信息。根据本发明第二实施例,仅在基站400-404中的基站400的认证控制器42中预先设置关于移动终端10的身份认证信息。
基站信息存储器43存储预先设置的基站信息,并且响应于来自认证控制器42的请求发送基站信息到认证控制器42。基站信息是用于核实认证票证(图13)中的基站签名601的有效性的信息,稍后将描述所述认证票证。根据本实施例,基站400-404中的每一个都具有关于基站400-404中的所有基站的信息。
不是在每个基站上保持关于可以关联到该基站的所有移动终端的身份认证信息,而是每个基站保持关于其他基站的基站信息,从而节省了用于实现/管理系统的成本/劳力。
收发器44在来自通信控制器23的信号上应用诸如调制的处理并且向网络80发送信号。收发器44还在来自网络80的信号上应用诸如解调的处理并且向通信控制器23发送信号。
下面将描述根据本发明第二实施例的操作。图12示出了在如下情况下的操作,所述情况为未关联到任何基站的移动终端10关联到基站400以开始和网络80的数据通信。
移动终端10的通信控制器13搜索距离移动终端10的位置最近的基站,并且确定要关联到基站400。认证控制器14向基站400发送关联请求。在认证控制器14执行和基站400的认证控制器42的关联过程后,移动终端10关联到了基站400。上述的基站搜索和关联过程是遵从IEEE802.11中的规范来执行的。基于诸如移动终端10的MAC地址等的身份认证信息的认证过程是在基站400的认证控制器42和移动终端10的认证控制器14之间执行的(S40)。
如果基于身份认证信息的认证成功,即如果通过基站400核实了移动终端10的有效性,则加密移动终端10和基站400之间的无线通信链路。具体而言,移动终端10根据IEEE 802.1X或WPA中定义的密钥分配协议接收密钥或者使用在移动终端10和基站400中手动预先设置的密钥以加密无线通信链路。IEEE 802.11中指定的WEP加密可以用作加密。
在完成加密之后,开始移动终端10和网络80之间的通信(S42)。在开始移动终端10和网络80之间的通信之后,从基站400向移动终端10发送认证票证(S43)。
图13示出了根据本发明第二实施例的认证票证的结构。该认证票证包括报头501、用户ID信息502、有效范围信息503、有效期信息504、使用日期和时间信息505和基站签名601。根据本发明第二实施例的认证票证除了将认证服务器签名506变成基站签名601以及删除通行字507外,和第一实施例的认证票证相同。基站签名601是证明信息,该证明信息证明了通过具有身份认证信息的基站证明了的移动终端10的有效性。
回到图12,将详细描述认证票证的分配和使用。基站400的认证控制器42向移动终端10的认证控制器14发送在其中将签名设置为基站签名601的认证票证。移动终端10的认证控制器14检查其接收的认证票证中的基站签名601。如果认证控制器确定所接收的认证票证是自基站400发送的有效票证,则其将认证票证存储在其认证票证存储器15中。如果移动终端10的认证控制器14确定所接收的认证票证是无效票证,则认证控制器14丢弃该票证并且视合适执行重新发送或者重新认证过程。下面将描述有效的认证票证已经被存储在认证票证存储器15中的情况。
尽管在本发明第二实施例中认证票证是在开始移动终端10和网络80之间的通信之后发送的,但是也可以使用在开始通信之前发送认证票证的安排。在这种情况下,可以通过加密无线通信链路来确保移动终端10和网络80之间的安全的通信链路,并且通过通信链路将认证票证发送到移动终端10,以防止中断和认证票证的未经授权的使用。
图14示出了用于越区切换的操作,在所述越区切换中,在移动终端移动时,关联到基站400并且和网络80通信的移动终端10从其关联到的基站切换到另一基站401。
如图10所示,移动终端10在保持和网络80通信期间移动。当移动终端10越来越接近其当前关联的基站400的无线电波接收极限点,即无线接入服务区域900的边界时,移动终端10再次执行基站搜索,并且找到最近的基站401。然后,移动终端10当从无线接入区域900移动到无线接入区域901时,执行越区切换,从而将其关联从基站400切换到基站401。
具体而言,移动终端10的通信控制器13由所接收的无线电波强度的下降或者信号错误率的上升中认识到,其正在接近无线接入区域900的边界。而且,移动终端10搜索基站并且找到最近的基站401。然后,移动终端10的认证控制器14当其从无线接入区域900移动到无线接入区域901时,完成和基站400的认证控制器42切断关联的过程(S50)。遵从IEEE802.11中的规定执行基站搜索和切断关联。在完成切断关联的时间点,移动终端10和网络80之间的通信在通信协议的上层依然继续,但是通信在通信协议的物理层中断。
然后认证控制器14向基站401的认证控制器42发送关联请求。但是,因为基站401没有关于移动终端10的身份认证信息,所以基站401的认证控制器42不能允许移动终端10和网络80之间的通信。
因而,移动终端10的认证控制器14向基站401的认证控制器42发送认证票证(S51)。基站402的认证控制器42接收从移动终端10发送的认证票证,并且检查其接收的认证票证中的有效范围信息503和有效期信息504,以判断认证票证是否有效。基站401的认证控制器42还检查所接收的认证票证中的基站签名601,以判断认证票证是否是由具有关于移动终端10的身份认证信息的基站400所发行的有效票证。而且,基站401的认证控制器42检查所接收的认证票证中的用户ID信息502和使用日期和时间信息505,以判断是否未经授权使用认证票证。因为未经加密发送认证票证,所以非移动终端10经授权的用户的怀有恶意者可以获得并使用该认证票证。因而,必须排除如此未经授权使用的认证票证。具体而言,将与上述关联请求一起从移动终端10发送的诸如移动终端10的MAC地址的ID信息和用户ID信息502相比较,以判断该认证票证的用户是否和试图关联到基站401的移动终端10相匹配。如果不匹配,则可以确定这是未经授权的使用。而且,可以将接收认证票证的日期和时间和使用日期和时间信息505相比较,以判断这是否为未经授权的使用。即,如果在使用日期和时间信息505中设置的日期和时间和接收认证票证之间过去的时间不在无线传输的延迟范围内,则可以确定此是拦截票证的未经授权的第三方未经授权的使用(S52)。
如果通过上述过程确定认证票证是在有效的期间和有效范围内使用、由基站400发行、并且由经授权的用户所使用,即如果确定认证票证是完全有效的,则加密移动终端10和基站401之间的无线通信链路。具体而言,移动终端10根据IEEE 802.1X或WPA中定义的密钥分配协议接收密钥或者使用在移动终端10和基站401中手动预先设置的密钥,以加密无线通信链路。例如,IEEE 802.11中指定的WEP加密可以用于加密。在完成加密之后,基站401的认证控制器42向移动终端10的认证控制器14发送指示允许和网络80通信的通知。同时,基站401的通信控制器23打开移动终端10和网络80之间的通信端口。接收到允许通信的通知的移动终端10恢复物理层中的和网络80的通信(S53)。应该注意,因为在步骤S50到S53期间物理层中的通信中断较短,所以保持了上层中的通信。
如果不能核实认证票证的有效性,则不允许移动终端10的关联并且通信不能恢复。
每次当移动终端10在其移动中执行越区切换时,移动终端10都执行上述的步骤S50到S53。
上面描述了在移动终端10改变基站的越区切换期间认证票证的使用。在其中使用了认证票证的图14所示的认证过程也可应用于下述情况,所述情况为未和任何基站相关联的移动终端10关联到基站中的任一个。例如,考虑下述情况,所述情况为在将认证票证发送到移动终端10之后,与基站400相关联的移动终端10已经切断和基站400的关联。如果移动终端重新关联到基站400,则移动终端10可以通过执行图14所示的认证过程,而不是基于身份认证信息执行认证过程来开始和网络80通信。
虽然在本发明第二实施例中仅一个基站400具有关于移动终端10的身份认证信息,但是可以使用其中不止一个基站具有该身份认证信息的安排。
虽然在本发明第二实施例中未和任何基站关联的移动终端10首先关联到具有身份认证信息的基站400,但是移动终端10也可以首先关联到不具有身份认证信息的基站。在这种情况下,移动终端10可以经由其将要关联的基站,基于其身份认证信息同具有身份认证信息的基站400执行认证过程。
虽然在本发明第一实施例中无线LAN接入系统被用作无线接入系统,但是也可以使用如上述系统那样包括移动终端、基站和网络的其他系统。例如,可以使用诸如移动电话通信系统和PHS(个人手持电话系统)通信系统等的系统。
虽然在本发明第一和第二实施例中网络80是有线网络,但是其可以是无线网络或者包括有线段和无线段两者的网络。
虽然在本发明第一和第二实施例中提供了五个基站,但是可以构建包括少于或多于五个基站的无线接入系统。
虽然在本发明第一和第二实施例中遵从IEEE 802.11中的规范执行关联到基站的操作,但是所述关联操作不是必须遵从IEEE 802.11中的规范。可以使用任何其它操作,所述其它操作允许移动终端转变到其可以和基站通信的状态。类似地,切断关联的操作不必必须遵从IEEE 802.11中的规范。可以使用任何其它操作,所述其它操作允许移动终端切断和基站的关联。例如,如果使用上述的移动电话通信系统或者PHS通信系统,可以使用适于这些系统的关联和切断关联。
虽然在本发明第一和第二实施例中移动终端仅和一个基站相关联,但是可以使用移动终端同时和不止一个基站相关联的实现方法。例如,可以使用像CDMA通信系统中的软越区切换那样的实现方法。在这种情况下,可以使用如下实现方法,在所述实现方法中,已关联到新基站的移动终端基于认证票证同新基站执行认证过程,或者在保持和另一基站通信的同时,通过新基站同认证服务器或者另一基站来执行认证过程。
虽然在本发明第一和第二实施例中每个基站具有一个相应的无线接入服务区域,但是可以使用每个基站具有不止一个无线接入服务区域的实现方法。例如,可以使用如下的实现方法,在所述实现方法中,每个基站具有多个定向天线并且具有由这些天线所覆盖的多个无线接入服务区域。在这种情况下,移动终端在移动时进行越区切换,以在其关联的定向天线间切换。在越区切换期间,移动终端可以执行与在基站间越区切换中的认证过程相类似的认证过程。
虽然第一和第二实施例是关于一个移动终端10来描述的,但是可以使用多个移动终端和一个基站相关联的实现方法。
根据本发明,在关联到基站时,无线通信设备/移动终端可以在更短的时间内启动通信。
根据本发明,可以在确保高安全级的同时减少认证过程时间。
根据本发明,可以根据系统的大小和使用来设置安全级。
根据本发明,本发明可以在确保高安全性的同时,减少认证所需时间而无需用于实现/管理系统的额外成本/劳力。
根据本发明,可以在保持和现有系统兼容的同时,以较低成本来改善系统。
根据本发明,可以在保持高安全级的同时,防止上层中通信的品质下降。这在处理需要连续和实时处理的诸如音频和视频等数据的通信中尤为有效。
根据本发明,当经授权的无线通信设备/移动终端重新关联到基站时,可以增加用户的便利性。
对于本领域的技术人员来说,可以对本发明的优选实施例的上述细节进行许多修改将是显而易见的。因而本发明的范围应通过所附权利要求书来确定。
Claims (37)
1.一种用于通信系统的控制方法,所述通信系统包括无线通信设备、认证设备、网络和多个基站,所述多个基站中的任一个链接所述无线通信设备和所述网络,所述控制方法包括:
在所述无线通信设备和所述认证设备之间执行第一认证过程,所述第一认证过程对于启动所述无线通信设备和所述网络之间的通信是必需的;
经由所述多个基站中的任一个启动所述无线通信设备和所述网络之间的通信;
从所述认证设备向所述无线通信设备发送认证票证,所述认证票证指示,基于所述第一认证过程的结果允许所述无线通信设备和所述网络通信;
将所述认证票证存储在所述无线通信设备中;
如果在中断和所述网络的所述通信之后,所述无线通信设备要恢复和所述网络的通信,则从所述无线通信设备向所述多个基站中的任一个发送所述认证票证;
基于从所述无线通信设备发送的所述认证票证,在所述多个基站中的任一个处执行第二认证过程,所述第二认证过程和所述第一认证过程不同;以及
基于所述第二认证过程的结果恢复所述无线通信设备和所述网络之间的所述通信。
2.通信系统中的一种无线通信设备,所述通信系统包括第一基站和网络,所述第一基站链接着所述无线通信设备和所述网络之间的通信,所述无线通信设备包括:
控制器,其接收来自所述第一基站的认证信息,所述认证信息是基于第一认证过程的,所述第一认证过程对于所述无线通信设备经由所述第一基站启动和所述网络的通信是必需的;以及
耦合到所述控制器的存储器,其存储由所述控制器所接收的所述认证信息。
3.如权利要求2所述的无线通信设备,其中如果所述存储器没有存储有效的所述认证信息,则所述控制器启动所述第一认证过程;并且如果所述存储器存储了有效的所述认证信息,则所述控制器启动所述第二认证过程,所述第二认证过程和所述第一认证过程不同,并且所述控制器基于所述第一和第二认证过程之一的结果启动和所述网络的所述通信。
4.如权利要求3所述的无线通信设备,其中为了启动所述第二认证过程,所述控制器向所述第一基站发送所述认证信息。
5.如权利要求4所述的无线通信设备,其中在基于所述第二认证过程的结果,而启动的和所述网络的所述通信期间,所述控制器启动所述第一认证过程。
6.如权利要求4所述的无线通信设备,其中所述认证信息包括所述无线通信设备的至少一种身份认证信息,所述认证信息的有效期,指示所述认证信息有效的范围的有效范围信息,以及指示所述控制器向所述第一基站发送所述认证信息的时间的时间信息。
7.如权利要求4所述的无线通信设备,其中所述认证信息包括加密信息,并且所述控制器通过使用所述加密信息加密所述认证信息并且向所述第一基站发送所述经加密的认证信息。
8.如权利要求4所述的无线通信设备,其中所述第一认证过程是在所述控制器和同所述第一基站通信的认证设备之间执行的,并且所述控制器经由所述第一基站接收来自所述认证设备的所述认证信息。
9.如权利要求8所述的无线通信设备,其中所述认证信息包括由所述认证设备设置的证明信息。
10.如权利要求4所述的无线通信设备,其中所述第一认证过程是在所述控制器和所述第一基站之间执行的。
11.如权利要求10所述的无线通信设备,其中所述认证信息包括由所述第一基站设置的证明信息。
12.如权利要求4所述的无线通信设备,其中如果当所述控制器和所述网络通信时,存储在所述存储器中的所述认证信息变为无效,则所述控制器启动所述第一认证过程。
13.如权利要求3所述的无线通信设备,其中为了启动所述第二认证过程,所述控制器向第二基站发送所述认证信息,所述第二基站在所述通信系统中并且和所述第一基站不同,所述第二基站链接着所述无线通信设备和所述网络之间的通信。
14.如权利要求13所述的无线通信设备,其中在基于所述第二认证过程的结果,而启动的和所述网络的所述通信期间,所述控制器启动所述第一认证过程。
15.如权利要求13所述的无线通信设备,其中所述认证信息包括所述无线通信设备的至少一种身份认证信息,所述认证信息的有效期,指示所述认证信息有效的范围的有效范围信息,以及指示所述控制器向所述第二基站发送所述认证信息的时间的时间信息。
16.如权利要求13所述的无线通信设备,其中所述认证信息包括加密信息,并且所述控制器通过使用所述加密信息加密所述认证信息,并且向所述第二基站发送所述经加密的认证信息。
17.如权利要求13所述的无线通信设备,其中所述第一认证过程是在所述控制器和同所述第一基站通信的认证设备之间执行的,并且所述控制器经由所述第一基站接收来自所述认证设备的所述认证信息。
18.如权利要求13所述的无线通信设备,其中所述第一认证过程是在所述控制器和所述第一基站之间执行的。
19.通信系统中的一种无线通信设备,所述通信系统包括网络和基站,所述基站链接着所述无线通信设备和所述网络之间的通信,所述无线通信设备包括:
控制装置,用于接收来自所述基站的认证信息,所述认证信息是基于第一认证过程的,所述第一认证过程对于所述无线通信设备经由所述基站来启动和所述网络的通信是必需的;以及
存储装置,用于存储由无线收发器接收的所述认证信息。
20.通信系统中的一种基站,所述通信系统包括网络和无线通信设备,所述基站链接着所述无线通信设备和所述网络之间的通信,所述基站包括:
无线收发器,该无线收发器经由无线通信和所述无线通信设备通信;以及
耦合到所述无线收发器的控制器,该控制器向所述无线通信设备发送认证信息,所述认证信息将被存储在所述无线通信设备中,并且基于第一认证过程,所述第一认证过程对于所述无线通信设备经由所述基站启动所述无线通信设备和所述网络之间的通信是必需的。
21.如权利要求20所述的基站,其中如果所述无线通信设备启动和所述网络的通信而没有向所述基站发送有效的认证信息,则启动所述第一认证过程,如果所述无线通信设备通过向所述基站发送有效的所述认证信息来启动和所述网络的所述通信,则所述控制器启动第二认证过程,并且所述控制器基于所述第一和第二认证过程之一的结果允许所述无线通信设备和所述网络通信。
22.如权利要求21所述的基站,其中所述控制器接收来自所述无线通信设备的,存储于所述无线通信设备中的所述认证信息,并且所述控制器通过核实从所述无线通信设备所接收的所述认证信息来执行所述第二认证过程。
23.如权利要求22所述的基站,还包括和认证设备通信的收发器,其中经由所述基站在所述无线通信设备和所述认证设备之间执行所述第一认证过程,并且经由所述基站从所述认证设备向所述无线通信设备发送所述认证信息。
24.如权利要求23所述的基站,其中所述认证信息包括所述无线通信设备的至少一种身份认证信息,所述认证信息的有效期,指示所述认证信息有效的范围的有效范围信息,指示所述无线通信设备向所述基站发送所述认证信息的时间的时间信息,以及由所述认证设备所设置的证明信息。
25.如权利要求22所述的基站,其中所述控制器同所述无线通信设备执行所述第一认证过程。
26.如权利要求25所述的基站,其中所述认证信息包括所述无线通信设备的至少一种身份认证信息,所述认证信息的有效期,指示所述认证信息有效的范围的有效范围信息,指示所述无线通信设备向所述基站发送所述认证信息的时间的时间信息,以及由所述控制器所设置的证明信息。
27.通信系统中的一种基站,所述通信系统包括网络和无线通信设备,所述基站链接着所述无线通信设备和所述网络之间的通信,所述基站包括:
无线发送和接收装置,用于经由无线通信和所述无线通信设备通信;以及
控制装置,用于向所述无线通信设备发送认证信息,所述认证信息将被存储在无线通信设备中,并且基于所述第一认证过程,所述第一认证过程对于所述无线通信设备经由所述基站启动所述无线通信设备和所述网络之间的通信是必需的。
28.通信系统中的一种认证设备,所述通信系统包括网络、基站和无线通信设备,所述基站链接着所述无线通信设备和所述网络之间的通信,所述认证设备包括:
和所述基站通信的收发器;以及
耦合到所述收发器的控制器,该控制器经由所述基站向所述无线通信设备发送认证信息,所述认证信息将被存储在所述无线通信设备中,并且基于所述第一认证过程,所述第一认证过程对于所述无线通信设备经由所述基站来启动和所述网络的所述通信是必需的。
29.如权利要求28所述的认证设备,其中如果所述无线通信设备启动和所述网络的通信,则从所述无线通信设备向所述基站发送存储在所述无线通信设备中的所述认证信息,并且向所述基站发送的所述认证信息将是所述无线通信设备和所述基站之间的第二认证过程的基础。
30.如权利要求29所述的认证设备,其中所述认证信息包括所述无线通信设备的至少一种身份认证信息,所述认证信息的有效期,指示所述认证信息有效的范围的有效范围信息,指示所述无线通信设备向所述基站发送所述认证信息的时间的时间信息,以及由所述控制器所设置的证明信息。
31.通信系统中的一种认证设备,所述通信系统包括网络、基站和无线通信设备,所述基站链接着所述无线通信设备和所述网络之间的通信,所述认证设备包括:
发送和接收装置,用于和所述基站通信;以及
控制装置,用于经由所述基站向所述无线通信设备发送认证信息,所述认证信息将被存储在所述无线通信设备中,并且基于所述第一认证过程,所述第一认证过程对于所述无线通信设备经由所述基站启动和所述网络的所述通信是必需的。
32.一种包括无线通信设备和基站的通信系统,
所述无线通信设备包括:
第一控制器,其接收来自所述基站的认证信息,所述认证信息基于第一认证过程,所述第一认证过程对于所述无线通信设备经由所述基站启动和所述网络的所述通信是必需的;和
耦合到所述控制器的存储器,所述存储器存储由所述控制器所接收的所述认证信息,以及
所述基站链接着所述无线通信设备和所述网络之间的所述通信,所述基站包括:
耦合到所述无线收发器的第二控制器,所述第二控制器向所述无线通信设备发送所述认证信息。
33.如权利要求32所述的通信系统,还包括和所述基站通信的认证设备,所述认证设备包括:
第三控制器,其经由所述基站向所述无线通信设备发送所述认证信息。
34.如权利要求33所述的通信系统,其中如果所述无线通信设备启动和所述网络的通信而没有向所述基站发送有效的认证信息,则启动所述第一认证过程,如果所述无线通信设备通过向所述基站发送有效的所述认证信息,从而启动和所述网络的所述通信,则所述基站中的所述第二控制器启动第二认证过程,并且所述基站中的所述第二控制器基于所述第一和第二认证过程的结果之一允许所述无线通信设备和所述网络通信。
35.一种用于通信系统的控制方法,所述通信系统包括无线通信设备、基站和网络,所述基站链接着所述无线通信设备和所述网络之间的通信,所述控制方法包括:
接收来自所述基站的基于第一认证过程的认证信息,所述第一认证过程对于经由所述基站来启动所述无线通信设备和所述网络之间的所述通信是必需的;以及
存储从所述基站所接收的所述认证信息。
36.如权利要求35所述的控制方法,还包括:
如果所述无线通信设备通过向所述基站发送有效的认证信息来启动和所述网络的所述通信,则在所述无线通信设备和所述基站之间启动第二认证过程;以及
基于所述第一和第二认证过程之一的结果允许所述无线通信设备和所述网络通信,其中如果所述无线通信设备启动和所述网络的通信而没有向所述基站发送所述认证信息,则启动所述第一认证过程。
37.如权利要求36所述的控制方法,还包括:
经由所述基站从认证设备向所述无线通信设备发送所述认证信息,其中所述第一认证过程是在所述认证设备和所述无线通信设备之间执行的。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003343299A JP2005110112A (ja) | 2003-10-01 | 2003-10-01 | 通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置。 |
| JP343299/2003 | 2003-10-01 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1604520A true CN1604520A (zh) | 2005-04-06 |
Family
ID=34309109
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2004100807322A Pending CN1604520A (zh) | 2003-10-01 | 2004-10-08 | 无线通信系统的控制方法,无线通信设备、基站及认证设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20050076244A1 (zh) |
| EP (1) | EP1521491A2 (zh) |
| JP (1) | JP2005110112A (zh) |
| CN (1) | CN1604520A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104079564A (zh) * | 2006-09-14 | 2014-10-01 | 索尼株式会社 | 无线通信系统、无线通信装置及其认证方法 |
| CN103974247B (zh) * | 2007-12-11 | 2019-04-30 | 爱立信电话股份有限公司 | 生成蜂窝无线电系统中的无线电基站密钥的方法和设备 |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7029702B2 (en) * | 1998-07-07 | 2006-04-18 | Ritter Natural Sciences Llc | Method for increasing lactose tolerance in mammals exhibiting lactose intolerance |
| WO2005086012A1 (ja) * | 2004-03-08 | 2005-09-15 | Global Friendship Inc. | 電子端末装置保護システム |
| DE102004047750A1 (de) * | 2004-09-30 | 2006-04-27 | Siemens Ag | Verfahren und Anordnung zum Verwalten von Dokumenten in elektronischen Dokumentenordnern |
| WO2006056668A2 (fr) * | 2004-11-23 | 2006-06-01 | France Telecom | Delivrance et utilisation de droits au travers d’un reseau de telecommunications |
| ATE465605T1 (de) * | 2005-10-13 | 2010-05-15 | Mitsubishi Electric Corp | Verfahren zur bestimmung ob ein weiterreichungsverfahren eines mobilen terminals ausgeführt werden muss |
| US8462727B2 (en) * | 2006-03-10 | 2013-06-11 | Motorola Mobility Llc | Method and system for streamlined call setup |
| JP2007323186A (ja) * | 2006-05-30 | 2007-12-13 | Canon Inc | 印刷制御データ生成装置、印刷管理装置、及び印刷装置 |
| US8045522B2 (en) * | 2006-10-27 | 2011-10-25 | Futurewei Technologies, Inc. | Method and system for performing handoff in wireless networks |
| JP4777229B2 (ja) * | 2006-12-20 | 2011-09-21 | キヤノン株式会社 | 通信システム、管理装置、管理装置の制御方法、及び当該制御方法をコンピュータに実行させるためのコンピュータプログラム |
| US7974622B1 (en) * | 2007-01-16 | 2011-07-05 | Sprint Communications Company L.P. | Provisioning system for fixed vs. nomadic wireless services |
| GB2448003A (en) * | 2007-03-08 | 2008-10-01 | Siemens Ag | Controlling information requests in a communications network to prevent congestion |
| JP2008236483A (ja) * | 2007-03-22 | 2008-10-02 | Sanyo Electric Co Ltd | 通信方法ならびにそれを利用した端末装置および基地局装置 |
| JP2008270884A (ja) * | 2007-04-16 | 2008-11-06 | Oki Electric Ind Co Ltd | 通信装置収容装置、通信装置、認証状況推定装置、認証システム、認証プログラム及び認証方法 |
| JP5023804B2 (ja) * | 2007-05-16 | 2012-09-12 | コニカミノルタホールディングス株式会社 | 認証方法及び認証システム |
| US8032181B2 (en) | 2007-09-01 | 2011-10-04 | Apple Inc. | Service provider activation with subscriber identity module policy |
| US7929959B2 (en) | 2007-09-01 | 2011-04-19 | Apple Inc. | Service provider activation |
| US20090141661A1 (en) * | 2007-11-29 | 2009-06-04 | Nokia Siemens Networks Oy | Residual traffic state for wireless networks |
| US8548467B2 (en) | 2008-09-12 | 2013-10-01 | Qualcomm Incorporated | Ticket-based configuration parameters validation |
| US8862872B2 (en) * | 2008-09-12 | 2014-10-14 | Qualcomm Incorporated | Ticket-based spectrum authorization and access control |
| US9148335B2 (en) | 2008-09-30 | 2015-09-29 | Qualcomm Incorporated | Third party validation of internet protocol addresses |
| JP5600982B2 (ja) * | 2010-03-23 | 2014-10-08 | 日本電気株式会社 | サーバ装置、機器関連付け方法、機器関連付けプログラム及びインストーラ |
| CN102685746A (zh) * | 2012-05-03 | 2012-09-19 | 中兴通讯股份有限公司 | 一种对移动设备验证的方法、装置及系统 |
| WO2014109409A1 (ja) * | 2013-01-11 | 2014-07-17 | 京セラ株式会社 | 通信端末及び記憶媒体 |
| JP6305005B2 (ja) * | 2013-10-17 | 2018-04-04 | キヤノン株式会社 | 認証サーバーシステム、制御方法、そのプログラム |
| US9971397B2 (en) | 2014-10-08 | 2018-05-15 | Apple Inc. | Methods and apparatus for managing power with an inter-processor communication link between independently operable processors |
| JP6489835B2 (ja) * | 2015-01-09 | 2019-03-27 | キヤノン株式会社 | 情報処理システム、情報処理装置の制御方法、及びプログラム |
| CN104993954B (zh) * | 2015-06-24 | 2019-01-11 | 深圳市金正方科技股份有限公司 | 智能电表识别终端的方法及系统 |
| JP7034682B2 (ja) * | 2017-11-27 | 2022-03-14 | キヤノン株式会社 | 通信装置、通信装置の制御方法、プログラム |
| US11792307B2 (en) | 2018-03-28 | 2023-10-17 | Apple Inc. | Methods and apparatus for single entity buffer pool management |
| US10846224B2 (en) | 2018-08-24 | 2020-11-24 | Apple Inc. | Methods and apparatus for control of a jointly shared memory-mapped region |
| US11558348B2 (en) | 2019-09-26 | 2023-01-17 | Apple Inc. | Methods and apparatus for emerging use case support in user space networking |
| US11829303B2 (en) | 2019-09-26 | 2023-11-28 | Apple Inc. | Methods and apparatus for device driver operation in non-kernel space |
| US11606302B2 (en) | 2020-06-12 | 2023-03-14 | Apple Inc. | Methods and apparatus for flow-based batching and processing |
| US11775359B2 (en) | 2020-09-11 | 2023-10-03 | Apple Inc. | Methods and apparatuses for cross-layer processing |
| US11954540B2 (en) | 2020-09-14 | 2024-04-09 | Apple Inc. | Methods and apparatus for thread-level execution in non-kernel space |
| US11799986B2 (en) | 2020-09-22 | 2023-10-24 | Apple Inc. | Methods and apparatus for thread level execution in non-kernel space |
| US11876719B2 (en) | 2021-07-26 | 2024-01-16 | Apple Inc. | Systems and methods for managing transmission control protocol (TCP) acknowledgements |
| US11882051B2 (en) | 2021-07-26 | 2024-01-23 | Apple Inc. | Systems and methods for managing transmission control protocol (TCP) acknowledgements |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7107051B1 (en) * | 2000-09-28 | 2006-09-12 | Intel Corporation | Technique to establish wireless session keys suitable for roaming |
| FI115098B (fi) * | 2000-12-27 | 2005-02-28 | Nokia Corp | Todentaminen dataviestinnässä |
| US20030084287A1 (en) * | 2001-10-25 | 2003-05-01 | Wang Huayan A. | System and method for upper layer roaming authentication |
| US20030095663A1 (en) * | 2001-11-21 | 2003-05-22 | Nelson David B. | System and method to provide enhanced security in a wireless local area network system |
| JP3870081B2 (ja) * | 2001-12-19 | 2007-01-17 | キヤノン株式会社 | 通信システム及びサーバ装置、ならびに制御方法及びそれを実施するためのコンピュータプログラム、該コンピュータプログラムを格納する記憶媒体 |
| US8942375B2 (en) * | 2002-09-17 | 2015-01-27 | Broadcom Corporation | Method and system for providing multiple encryption in a multi-band multi-protocol hybrid wired/wireless network |
| KR100480258B1 (ko) * | 2002-10-15 | 2005-04-07 | 삼성전자주식회사 | 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법 |
| US20040236939A1 (en) * | 2003-02-20 | 2004-11-25 | Docomo Communications Laboratories Usa, Inc. | Wireless network handoff key |
| US20050076198A1 (en) * | 2003-10-02 | 2005-04-07 | Apacheta Corporation | Authentication system |
-
2003
- 2003-10-01 JP JP2003343299A patent/JP2005110112A/ja active Pending
-
2004
- 2004-09-30 US US10/953,015 patent/US20050076244A1/en not_active Abandoned
- 2004-09-30 EP EP04023338A patent/EP1521491A2/en not_active Withdrawn
- 2004-10-08 CN CNA2004100807322A patent/CN1604520A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104079564A (zh) * | 2006-09-14 | 2014-10-01 | 索尼株式会社 | 无线通信系统、无线通信装置及其认证方法 |
| CN103974247B (zh) * | 2007-12-11 | 2019-04-30 | 爱立信电话股份有限公司 | 生成蜂窝无线电系统中的无线电基站密钥的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005110112A (ja) | 2005-04-21 |
| US20050076244A1 (en) | 2005-04-07 |
| EP1521491A2 (en) | 2005-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1604520A (zh) | 无线通信系统的控制方法,无线通信设备、基站及认证设备 | |
| US8046583B2 (en) | Wireless terminal | |
| CN1310476C (zh) | 无线局域网用户建立会话连接的方法 | |
| US7236477B2 (en) | Method for performing authenticated handover in a wireless local area network | |
| US8442008B2 (en) | Systems and methods for handoff in wireless network | |
| CN1682487A (zh) | 无线局域网接入认证系统 | |
| CN1874271A (zh) | 保护无线设备免受虚假接入点攻击 | |
| CN1512708A (zh) | 无线通信系统、共享密钥管理服务器及终端 | |
| CN1216202A (zh) | 用gsm移动通信交换中心支持pacs的方法和系统 | |
| CN101056456A (zh) | 无线演进网络实现认证的方法及安全系统 | |
| CN1557069A (zh) | 无线信息传输系统,无线通信方法,无线站以及无线终端装置 | |
| WO2011115744A1 (en) | Method for facilitating a handover between different radio access technologies of a communication device, communication device, application server for facilitating a handover of a communication device, and communication system arrangement | |
| CN1481651A (zh) | 移动终端切换过程中的安全性关联的传送 | |
| CN1829179A (zh) | 无线接入装置、无线接入方法以及无线网络 | |
| KR20070034060A (ko) | 통신 핸드오버 방법과 통신 메시지 처리 방법, 및 통신제어 방법 | |
| CN1848994A (zh) | 一种实现微波接入全球互操作系统鉴权的方法 | |
| CN1882128A (zh) | 基站,无线通信系统,计算机可读媒体以及基站控制方法 | |
| US11706823B2 (en) | Communication management and wireless roaming support | |
| CN1283062C (zh) | 无线局域网用户实现接入认证的方法 | |
| EP2661681A2 (en) | Method and system for out-of-band delivery of wireless network credentials | |
| CA2661050C (en) | Dynamic temporary mac address generation in wireless networks | |
| KR20090083211A (ko) | 무선 네트워크 시스템에서 클러스터 기능을 이용한 보안설정 시스템 및 그 제어방법 | |
| CN1254143C (zh) | 一种移动终端在无线局域网接入站间安全切换的方法 | |
| KR20060088409A (ko) | 근거리 무선통신단말의 네트워크 접근방법 및 그네트워크시스템 | |
| CN1852330A (zh) | 虚拟终端临时媒体访问控制地址动态变更的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |