BR112013017889B1 - Suporte de autenticação externo através de uma rede não fiável - Google Patents
Suporte de autenticação externo através de uma rede não fiável Download PDFInfo
- Publication number
- BR112013017889B1 BR112013017889B1 BR112013017889-2A BR112013017889A BR112013017889B1 BR 112013017889 B1 BR112013017889 B1 BR 112013017889B1 BR 112013017889 A BR112013017889 A BR 112013017889A BR 112013017889 B1 BR112013017889 B1 BR 112013017889B1
- Authority
- BR
- Brazil
- Prior art keywords
- authentication
- user equipment
- network
- authentication request
- request
- Prior art date
Links
- 238000004891 communication Methods 0.000 claims abstract description 61
- 230000007246 mechanism Effects 0.000 claims abstract description 21
- 238000000034 method Methods 0.000 claims description 38
- 230000004044 response Effects 0.000 abstract description 20
- 238000012986 modification Methods 0.000 description 11
- 230000004048 modification Effects 0.000 description 11
- 238000011161 development Methods 0.000 description 9
- 230000018109 developmental process Effects 0.000 description 9
- 230000015654 memory Effects 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 102100036409 Activated CDC42 kinase 1 Human genes 0.000 description 3
- 102100038192 Serine/threonine-protein kinase TBK1 Human genes 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000011664 signaling Effects 0.000 description 3
- OYYYPYWQLRODNN-UHFFFAOYSA-N [hydroxy(3-methylbut-3-enoxy)phosphoryl]methylphosphonic acid Chemical compound CC(=C)CCOP(O)(=O)CP(O)(O)=O OYYYPYWQLRODNN-UHFFFAOYSA-N 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 229910044991 metal oxide Inorganic materials 0.000 description 1
- 150000004706 metal oxides Chemical class 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/04—Addressing variable-length words or parts of words
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
suporte de autenticação externo através de uma rede não fiável são fornecidas medidas para suporta uma autenticação para uma rede de dados de pacote externa através de uma rede de acesso não fiável, as ditas medidas compreendendo, a título exemplificativo, autenticar um equipamento de utilizador para uma rede de comunicação que proporciona conectividade para o equipamento do utilizador através de uma rede de acesso não segura em resposta a um primeiro pedido de autenticação, em que o pedido de autenticação é um pedido de autenticação de um mecanismo de troca de informação chave e inclui dados de autenticação, recebendo um segundo pedido de autenticação para autenticar o equipamento do utilizador em direção a uma rede de dados de pacote externa para a rede de comunicações. as medidas podem ainda compreender criar uma mensagem de atualização de ligação incluindo os dados de autenticação e a informação de identidade do utilizador recebidos do equipamento do utilizador.
Description
A presente invenção refere-se a aparelhos, métodos e um produto de programa de 5 computador para o suporte de autenticação externo através de uma rede não fiável, por exemplo através de uma rede não-3GPP não fiável.
Os seguintes significados para as abreviaturas utilizadas nesta especificação aplicam-se a:3GPP Projeto de parceria de 3a geraçãoAAA Autenticação, Autorização e ContabilidadeAPN Nome do ponto de acessoCHAP Protocolo de Autenticação de Estabelecimento de uma Ligação deDesafio15 EAP Protocolo de Autenticação ExtensívelEAP-GTC Cartão de dispositivo geral EAPeNode-B Estação de base LTE (também designada por eNB)EPC Núcleo de Pacote DesenvolvidoEPS Sistema de Pacote Desenvolvido20 ePDG Porta de Dados do Pacote DesenvolvidoGGSN Nó de Suporte GPRS da PortaGPRS Serviço de Rádio de Pacote GeralGTPv2 Protocolo de Tunelização GPRS versão 2IDi Identificação - iniciador25 IDr Identificação - respondedorIETF Grupo de Missão de Engenharia da Internet IKEv2 Troca Chave Internet versão 2IP Protocolo da InternetIPSec Segurança do Protocolo da Internet30 LCP Controlo de Controlo de LigaçãoLTE Evolução a longo prazoLTE-A LTE AvançadoMN Nó portátilMSISDN Rede de dados de serviços de estação portátil35 MT Terminal portátilPAP Protocolo de Autenticação de Palavra-PassePCO Opções de Configuração de Protocolo PDG Porta de Dados de PacotePDN Rede de dados de pacotePDP Protocolo de dados de pacote ,PG Porta PDN (PDN GW)PMIPvβ Procuração M IPv6PPP Protocolo ponto para pontoTE Equipamento de terminalUE Equipamento de utilizador
A presente especificação basicamente refere-se ao Sistema de Pacote Desenvolvido (EPS) 3GPP, mais especificamente ao cenário em que um UE é ligado ao EPC via uma Rede de Acesso Não-3GPP nâo fiável. Quando um UE é ligado ao EPC (núcleo de pacote desenvolvido) através de uma Rede de Acesso Nao-3GPP não fiável, existe um túnel de IPSec entre o UE e a rede 3GPP para ter comunicação de segurança. O ponto final do túnel IPSec na rede 3GPP é a ePDG (porta de dados de pacote desenvolvida). A IKEv2 é usada entre o UE e a ePDG para estabelecer o túnel IPSec.
Em GPRS, por exemplo conforme especificado em 3GPP TS 23.060 e em EPS, quando o UE é ligado à rede do Núcleo do Pacote 3GPP através e um acesso 3GPP ou uma Rede de Acesso não-3GPP não fiável, é possível uma autenticação com um servidor AAA externo, usando PAP ou CHAP. Os detalhes desta autenticação externa são especificados por exemplo no 3GPP TS 29.061, A autenticação externa requer a troca de informação de autenticação entre o UE e o servidor externo AAA.
Para este efeito, são especificados os elementos de informação das Opções de Configuração do Protocolo (PCO), que podem ser usados para transportar as credenciais do utilizador entre o UE e a rede de núcleo, quando o UE é anexado a uma rede de acesso 3GPP. As credenciais do utilizador são, por exemplo, o nome e a palavra-passe do utilizador dentro dos parâmetros PAP ou CHAP (PAP: Protocolo de Autenticação da Palavra-Passe, CHAP: Protocolo de Estabelecimento de uma Ligação de Desafio).
Quando um UE é ligado ao EPC através de uma rede de acesso não-3GPP não fiável, existe um túnel de IPSec entre o UE e a rede 3GPP para estabelecer uma comunicação de segurança. O ponto final do túnel de IPSec do lado da rede 3GPP é a ePDG (Rede de Dados de Pacote Desenvolvido). Por exemplo, a IKEv2 (Troca Chave de Internet versão 2) é usada entre o UE e a ePDG para estabelecer o túnel IPSec.
No entanto, atualmente, não há solução sobre como suportar credenciais de utilizador entre o UE, usando o acesso não-3GPP não fiável e a rede de núcleo, e não há mecanismo PCO ou idêntico definido entre o UE e a ePDG.
Tendo em conta o acima referido, nâo há mecanismos viáveis para providenciar a ePDG com dados de autenticação exigidos a usar, quando autenticar um acesso de UE a uma rede externa através de uma rede de acesso não fiável.
Correspondentemente, existe a necessidade de mecanismos para um suporte de autenticação externo através de acesso não fiável, ou seja, para suportar uma autenticação a uma rede de dados de pacote externa através de uma rede de acesso não fiável.
As versões da presente invenção pretendem resolver pelo menos parte das questões e/ou problemas acima referidos.
As versões da presente invenção pretendem fornecer mecanismos para um suporte de autenticação externo através de um acesso nâo fiável, ou seja, para suportar uma 10 autenticação a uma rede de dados de pacote externa através de uma rede de acesso não fiável.
Correspondentemente a um primeiro aspeto exemplificative da presente invenção, é providenciado um método, compreendendocriar um primeiro pedido de autenticação para autenticar um equipamento de 15 utilizador em direção a uma rede de comunicação, proporcionando conectividade ao equipamento do utilizador através de uma rede de acesso não segura, em que o pedido de autenticação é um pedido de autenticação de um mecanismo de troca de informação chave, e os dados de autenticação são inseridos no pedido de autenticação,enviar o primeiro pedido de autenticação para autenticar o equipamento do utilizador 20 com a rede de comunicação baseada nos dados de autenticação,criar, depois da autenticação com a rede de comunicação, um segundo pedido de autenticação para autenticar o equipamento do utilizador em direção a uma rede de dados de pacote externa para a rede de comunicações, eenviar o segundo pedido de autenticação.
De acordo com mais desenvolvimentos ou suas modificações, aplica-se um ou maisdo seguinte:- o método pode ainda compreender receber, antes de enviar o primeiro pedido de autenticação, uma indicação de que são suportadas múltiplas autenticações, e inserindo no pedido de autenticação uma indicação de que são suportadas múltiplas autenticações;- o método pode ainda compreender o envio de um pedido, incluindo uma identidadedo equipamento do utilizador; e/ou- o método pode ainda compreender a receção de uma resposta de autenticação, incluindo parâmetros de configuração.
Correspondentemente a um segundo aspeto exemplificative da presente invenção, é 35 providenciado um método que compreende receber um primeiro pedido de autenticação para autenticar um equipamento de utilizador em direção a uma rede de comunicação, proporcionando conectividade para o equipamento do utilizador através de uma rede de acesso náo segura, em que o pedido de autenticação é um pedido de autenticação de um mecanismo de troca de informação chave e inclui dados de autenticação, autenticando o equipamento do utilizador com a rede de comunicação baseada nos dados de autenticação, receber um segundo pedido de autenticação para autenticar o equipamento do utilizador em 5 direção a uma rede de dados de pacote externa para a rede de comunicações a partir equipamento do utilizador, criando uma mensagem de atualização de ligação que inclui os dados de autenticação e informação de identidade do utilizador recebidos do equipamento do utilizador, e enviar a mensagem de atualização de ligação para um dispositivo de gateway da rede de dados de pacote.
De acordo com mais desenvolvimentos ou suas modificações, aplica-se um ou maisdo seguinte:- os dados de autenticação podem ser incluídos num elemento de informação dedicado na mensagem de atualização de ligação;- os dados de autenticação podem ser incluídos num elemento de informação de 15 opções de configuração de protocolo na mensagem de atualização de ligação;- pode ser fornecida uma pluralidade de elementos de informação na mensagem de atualização de ligação incluindo um elemento de informação de palavra-passe, um elemento de informação de desafio do protocolo de autenticação e/ou um elemento de informação de nome de utilizador;- o método pode ainda compreender enviar, antes de receber o primeiro pedido deautenticação, uma indicação de que são suportadas múltiplas autenticações,em que o primeiro pedido de autenticação inclui uma indicação de que são suportadas múltiplas autenticações;- o método pode ainda compreender receber, a partir do equipamento do utilizador, 25 um pedido incluindo uma identidade do equipamento do utilizador; e/ou- o método pode ainda compreender receber uma resposta de atualização de ligação do dispositivo de gateway, incluindo parâmetros de configuração, e enviar uma resposta de autenticação incluindo parâmetros de configuração para o equipamento do utilizador.
De acordo com um terceiro aspeto exemplificative da presente invenção, é 30 providenciado um método que compreende receber uma mensagem de atualização de ligação, incluindo informação de identidade e dados de autenticação, servindo a informação de identidade e os dados de autenticação para autenticar um equipamento do utilizador em direção a uma rede de dados de pacote, criar um pedido de acesso baseado na informação da identidade e dados de autenticação, e enviar a mensagem de pedido de acesso ao 35 elemento de autenticação da rede.
De acordo com mais desenvolvimentos ou suas modificações, aplica-se um ou mais do seguinte; - os dados de autenticação podem ser incluídos num elemento de informação dedicado na mensagem de atualização de ligação;- os dados de autenticação podem ser Incluídos num elemento de informação de opções de configuração de protocolo na mensagem de atualização de ligação;- pode ser fornecida uma pluralidade de elementos de informação na mensagem deatualização de ligação incluindo um elemento de informação de palavra-passe do protocolo de autenticação, um elemento de informação de desafio do protocolo de autenticação, um elemento de informação de palavra-passe e/ou um elemento de informação de nome de utilizador; e/ou- o método pode compreender enviar uma resposta de atualização de ligação,incluindo parâmetros de configuração em resposta à mensagem de atualização de ligação.
Correspondentemente a um quarto aspeto exemplificative da presente invenção, é providenciado um método que compreende enviar, a partir de um equipamento de utilizador para um primeiro dispositivo de gateway, um primeiro pedido de autenticação para 15 autenticar um equipamento de utilizador em direção a uma rede de comunicação, proporcionando conectividade para o equipamento do utilizador através de uma rede de acesso não segura, em que o primeiro pedido de autenticação é um pedido de autenticação de um mecanismo de troca de informação chave e inclui dados de autenticação, autenticando o equipamento do utilizador com a rede de comunicação baseada nos dados 20 de autenticação, enviando, a partir do equipamento do utilizador para o primeiro dispositivo de gateway, um segundo pedido de autenticação para autenticar o equipamento do utilizador em direção a uma rede de dados de pacote externa para a rede de comunicações, criando uma mensagem de atualização de ligação incluindo os dados de autenticação e informação de identidade do utilizador recebidos do equipamento do utilizador, e enviar a 25 mensagem de atualização de ligação do primeiro dispositivo de gateway para um segundo dispositivo de gateway da rede de dados de pacote.
De acordo com mais desenvolvimentos ou suas modificações, aplica-se um ou mais do seguinte:- o método pode compreender enviar um pedido de acesso baseado na informação 30 de identidade e dados de autenticação do segundo dispositivo de gateway para um elemento de autenticação de rede, e receber, no segundo dispositivo de gateway, uma mensagem de aceitação do acesso do elemento de autenticação da rede; e/ou- o método pode ainda compreender enviar uma resposta de atualização de ligação incluindo parâmetros de configuração do segundo dispositivo de gateway para o primeiro 35 dispositivo de gateway, e enviar uma resposta de autenticação incluindo parâmetros de configuração do primeiro dispositivo de gateway para o equipamento do utilizador.
De acordo com um quinto aspeto da presente invenção, é providenciado um aparelho que compreende um processador configurado para criar um primeiro pedido de autenticação para autenticar um equipamento de utilizador em direção a uma rede de comunicação proporcionando conectividade para o equipamento do utilizador através de uma rede de acesso não segura, em que o pedido de autenticação é um pedido de 5 autenticação de um mecanismo de troca chave e os dados de autenticação são inseridos no pedido de autenticação, uma interface configurada para enviar o primeiro pedido de autenticação para autenticar o equipamento do utilizador com a rede de comunicação baseada nos dados de autenticação, em que o processador é ainda configurado para criar, depois da autenticação com a rede de comunicação, um segundo pedido de autenticação 10 para autenticar o equipamento do utilizador em direção a uma rede de dados de pacote externa para a rede de comunicações, e em que a interface é ainda configurada para enviar o segundo pedido de autenticação.
De acordo com mais desenvolvimentos ou suas modificações, aplica-se um ou mais do seguinte:- o processador pode ser configurado para receber, antes de enviar o primeiro pedidode autenticação, uma indicação de que são suportadas múltiplas autenticações, e o processador por ser configurado para inserir no primeiro pedido de autenticação uma indicação de que são suportadas múltiplas autenticações;- a interface pode ser configurada para enviar um pedido, incluindo uma identidade 20 do equipamento do utilizador; e/ou- a interface pode ser configurada para receber uma resposta de autenticação, incluindo parâmetros de configuração.
Correspondentemente a um sexto aspeto exemplificative da presente invenção, é providenciado um aparelho que compreende uma interface configurada para receber um 25 primeiro pedido de autenticação para autenticar um equipamento de utilizador em direção a uma rede de comunicação, proporcionando conectividade para o equipamento do utilizador através de uma rede de acesso não segura, em que o pedido de autenticação é um pedido de autenticação de um mecanismo de troca de informação chave e inclui dados de autenticação, e um processador configurado para autenticar o equipamento do utilizador 30 com a rede de comunicação baseada nos dados de autenticação, em que a interface está ainda configurada para receber um segundo pedido de autenticação para autenticar o equipamento do utilizador em direção a uma rede de dados de pacote externa para a rede de comunicações do equipamento do utilizador, estando o processador ainda configurado para criar uma mensagem de atualização de ligação incluindo os dados de autenticação e 35 informação de identidade do equipamento do utilizador recebidos do equipamento do utilizador, em que a interface está ainda configurada para enviar a mensagem de atualização de ligação para um dispositivo de gateway da rede de dados de pacote.
De acordo com mais desenvolvimentos ou suas modificações, aplica-se um ou mais do seguinte:- o processador pode ser configurado para incluir os dados de autenticação num elemento de informação dedicado na mensagem de atualização de ligação;- o processador pode ser configurado para incluir os dados de autenticação num elemento de informação de opções de configuração de protocolo na mensagem de atualização de ligação;- pode ser fornecida uma pluralidade de elementos de informação na mensagem de atualização de ligação incluindo um elemento de informação de palavra-passe, um elemento de informação de desafio do protocolo de autenticação e/ou um elemento de informação de nome de utilizador;- o processador pode ser configurado para suportar múltiplas autenticações e a interface pode ser configurada para enviar, antes de receber o primeiro pedido de autenticação, uma indicação de que são suportadas múltiplas autenticações, em que o primeiro pedido de autenticação pode incluir uma indicação de que são suportadas múltiplas autenticações;- a interface pode ainda ser configurada para receber, a partir do equipamento do utilizador, um pedido incluindo uma identidade do equipamento do utilizador; e/ou- a interface pode ainda ser configurada para receber uma resposta de atualização de ligação do dispositivo de gateway, incluindo parâmetros de configuração, o processador por ser configurado para criar uma resposta de autenticação incluindo parâmetros de configuração, e a interface pode ainda ser configurada para enviar a resposta de autenticação ao equipamento do utilizador.
De acordo com um sétimo aspeto exemplifícativo da presente invenção, é providenciado um aparelho que compreende uma interface configurada para receber uma mensagem de atualização de ligação, incluindo informação de identidade e dados de autenticação, servindo a informação de identidade e os dados de autenticação para autenticar um equipamento do utilizador em direção a uma rede de dados de pacote, e um processador configurado para criar um pedido de acesso baseado na informação da identidade e dados de autenticação, em que a interface é ainda configurada para enviar a mensagem de pedido de acesso ao elemento de autenticação da rede.
De acordo com mais desenvolvimentos ou suas modificações, aplica-se um ou mais do seguinte;- os dados de autenticação podem ser incluídos num elemento de informação dedicado na mensagem de atualização de ligação;- os dados de autenticação podem ser incluídos num elemento de informação de opções de configuração de protocolo na mensagem de atualização de ligação; - pode ser fornecida uma pluralidade de elementos de informação na mensagem de atualização de ligação incluindo um elemento de informação de palavra-passe, um elemento de informação de desafio do protocolo de autenticação e/ou um elemento de informação de nome de utilizador; e/ou- o processador pode ainda ser configurado para criar uma resposta de atualizaçãode ligação incluindo parâmetros de configuração, e a interface pode ser configurada para enviar a resposta de atualização de ligação em resposta à mensagem de atualização de ligação.
De acordo com um oitavo aspeto da presente invenção, é providenciado um produto 10 de programa de computador incluindo um programa com partes de código de software dispostas de modo a que, quando funciona num processador ou aparelho, realiza o método de acordo com o quinto, segundo, terceiro e/ou quarto aspetos descritos e/ou desenvolvimentos ou suas modificações.
De acordo com outros desenvolvimentos ou suas modificações, o produto de 15 programa de computador de acordo com o oitavo aspeto compreende um meio de leitura informática onde são guardadas as partes do código de software e/ou onde o programa pode ser diretamente carregado para uma memória do processador.
Estes e outros objetos, características, detalhes e vantagens serão esclarecidos na 20 seguinte descrição detalhada de versões da presente invenção, que deve ser considerada juntamente com os desenhos anexos, em que:as Figuras 1 e 2 mostram diagramas esquemáticos, que ilustram arquiteturas de sistema exemplificativas de um sistema de pacote desenvolvido, onde as versões da presente invenção podem ser aplicadas,a Fig. 3 mostra um diagrama de bloco esquemático que ilustra estruturas de umequipamento de utilizador, uma ePDG e uma PG de acordo com uma versão da invenção;a Fig. 4 mostra um diagrama sinalizador que ilustra a sinalização entre o equipamento do utilizador, o primeiro dispositivo de gateway e o segundo dispositivo de gateway de acordo com uma versão da invenção; e
De seguida, serão descritas as versões da presente invenção. Porém, note-se que a descrição é meramente exemplificativa e que as versões descritas não devem ser entendidas como limitativas da presente invenção.
A presente invenção e as duas versões são principalmente descritas em relação a 35 especificações 3GPP usadas como exemplos não-limitativos para certas configurações e desenvolvimentos de rede exemplificativos. Em particular, o contexto EPS com um EPC (interno) e uma PDN externa acessível por um UE via uma rede de acesso (não-3GPP) não fiável é utilizado como um exemplo não-limitativo para a aplicabilidade das versões exemplificativas assim descritas. Como tal, a descrição de versões exemplificativas aqui especifica mente proporcionada refere-se a terminologia diretamente relacionada, Esta terminologia é unicamente utilizada no contexto dos exemplos não-limitativos apresentados 5 e, naturalmente, nâo limita a invenção de modo algum. Aliás, qualquer outra configuração de rede ou desenvolvimento de sistema, etc. pode ser também utilizado desde que em conformidade com as características aqui descritas.
Geralmente, as versões da presente invenção podem ser aplicadas para/em qualquer tipo de rede de comunicação moderna e, incluindo quaisquer redes de 10 comunicação portáteis/sem fios concebíveis de acordo com especificações 3GPP (Projeto de Parceria de Terceira Geração) ou IETF (Grupo de Missão de Engenharia de Internet),
De seguida, descrevem-se várias versões e implementações da presente invenção e os seus aspetos ou versões, usando várias alternativas. Note-se que, geralmente, de acordo com certas necessidades e limitações, todas as alternativas descritas podem ser fornecidas 15 sozinhas ou em qualquer combinação concebível (também incluindo combinações de características individuais de várias alternativas).
Na descrição de versões exemplificativas da presente invenção, é construída uma autenticação de um equipamento de utilizador (ou seu utilizador) em direção a uma rede (p. ex. EPC, PDN) para ser equivalente a uma autenticação de/para um acesso do 20 equipamento do utilizador (ou seu utilizador) para a respetiva rede p. ex. EPC, PDN).
As versões exemplificativas da presente invenção, conforme a seguir descritas, são particularmente aplicáveis a um sistema de pacote desenvolvido de acordo com padrões 3GPP. '
As Figuras 1 e 2 mostram diagramas esquemáticos, que ilustram arquiteturas de 25 sistema exemplificativas de um sistema de pacote desenvolvido, onde as versões da presente invenção podem ser aplicadas.
Num sistema de pacote desenvolvido destes, conforme apresentado nas Figuras 1 e 2, um equipamento de utilizador, como um LAN UE, pode ser anexado a uma rede de acesso não-3GPP fiável, através da qual é ligada a um núcleo de pacote desenvolvido 30 (EPC) e uma rede de dados de pacote externo (PDN). O EPC e a rede PDN externa (por vezes somente designada por PDN daqui em diante) são ligados através de uma Porta PDN (PGW).
Antes de explorar os detalhes de várias implementações, faz-se referência à Fig. 3 para ilustrar diagramas de bloco simplificados de vários dispositivos eletrônicos adequados 35 ao uso na prática de versões exemplificativas desta invenção.
Como se pode ver na Fig, 3, de acordo com uma versão da invenção, um equipamento de utilizador (UE) 10 compreende um processador 11, uma memória 12 e uma interface 13 que estão ligados via um bus 14. Uma ePDG 20, como exemplo de um primeiro dispositivo de gateway, compreende um processador 21, uma memória 22 e uma interface 23 que estão ligados via um bus 24. Uma PG 30 (PDN GW), como exemplo de um segundo dispositivo de gateway 30, compreende um processador 31, uma memória 32 e uma 5 interface 33 que estão ligados via um bus 34. O equipamento do utilizador 10 e o primeiro dispositivo de gateway estão ligados por uma ligação 17 que pode compreender uma interface SWu apresentada na Fig. 2, e o primeiro dispositivo de gateway 20 e o segundo dispositivo de gateway 30 estão ligados por uma ligação 18 que pode ser uma interface S2b apresentada na Fig.. 2.
As memórias 12, 22 e 32 podem guardar respetivos programas assumidos paraincluir instruções de programa que, quando executado pelos processadores 11, 21 e 31 associados, permitem ao dispositivo eletrônico operar de acordo com as versões exemplificativas desta invenção. Os processadores 11, 21 e 31 podem também incluir um modem para facilitar a comunicação através de ligações (diretas) 17, 18 e 19 via as 15 interfaces 13, 23, e 33. A interface 13 do equipamento do utilizador 10 pode ainda incluir um emissor-receptor (RF) da frequência de rádio adequada acoplado a uma ou mais antenas para comunicações sem fios bidirecionais através de uma ou mais ligações sem fios com uma rede de acesso sem fios.
Várias versões do equipamento de utilizador 10 podem incluir, mas não estão 20 limitadas a, estações portáteis, telefones celulares, assistentes digitais pessoais (PDAs) com capacidades de comunicação sem fios, computadores portáteis com capacidades de comunicação sem fios, dispositivos de captação de imagens, como câmaras digitais com capacidades de comunicação sem fios, dispositivos de jogos com capacidades de comunicação sem fios, armazenamento de música e instrumentos de reprodução com 25 capacidades de comunicação sem fios, instrumentos de Internet que permitem o acesso e pesquisa sem fios à Internet, assim como, unidades ou terminais portáteis que incorporam combinações dessas funções.
De um modo geral, as versões exemplificativas desta invenção podem ser implementadas por software de computador armazenado nas memórias 12, 22 e 32 e 30 executadas pelos processadores 11, 21 e 31 ou por hardware ou por combinação do software e/ou firmware e hardware em qualquer um ou todos os dispositivos apresentados.
Os termos "ligado," "acoplado" ou qualquer variante sua significam qualquer ligação ou acoplamento, direta ou indiretamente, entre dois ou mais elementos e podem abranger a presença de um ou mais elementos intermédios entre dois elementos que estão "ligados" ou 35 "acoplados" entre si. O acoplamento ou ligação entre os elementos pode ser física, lógica ou uma combinação das duas. Tal como aqui, dois elementos podem ser considerados "ligados" ou "acoplados" entre si pelo uso de um ou mais fios, cabos e ligações elétricas impressas, assim como, pelo uso de energia eletromagnética, como a energia eletromagnética com comprimentos de onda na região da frequência de rádio, a região de micro-ondas e a região ótica (ambas visíveis e invisíveis), como exemplos não limitativos.
De acordo com as versões gerais da invenção, o processador 11 do equipamento de 5 utilizador 10 é configurado para criar um primeiro pedido de autenticação para autenticar um equipamento de utilizador em direção a uma rede de comunicação, proporcionando conectividade ao equipamento do utilizador através de uma rede de acesso não segura, em que o pedido de autenticação é um pedido de autenticação de um mecanismo de troca de informação chave e os dados de autenticação são inseridos no pedido de autenticação, A 10 interface 13 do equipamento do utilizador é configurado para enviar o primeiro pedido de autenticação para autenticar o equipamento do utilizador com a rede de comunicação com base nos dados de autenticação. O processador 11 está ainda configurado para criar, depois da autenticação com a rede de comunicação, um segundo pedido de autenticação para autenticar o equipamento do utilizador em direção a uma rede de dados de pacote 15 externa para a rede de comunicações a partir do equipamento do utilizador. Além disso, o processador 11 está configurado para criar uma mensagem de atualização de ligação incluindo os dados de autenticação e a informação de identidade do utilizador recebida a ' partir do equipamento do utilizador. A interface 13 está ainda configurada para enviar a mensagem de atualização de ligação para um dispositivo de gateway (p. ex., ePDG 20).
De acordo com as versões gerais da invenção, a interface 23 do primeiro dispositivode gateway (p. ex. ePDG 20 apresentado na Fig. 3) está configurada para receber um primeiro pedido de autenticação para autenticar um equipamento de utilizador em direção a uma rede de comunicação, proporcionando conectividade ao equipamento do utilizador através de uma rede de acesso não segura, em que o pedido de autenticação é um pedido 25 de autenticação de um mecanismo de troca de informação chave e inclui dados de autenticação, O processador 21 do primeiro dispositivo de gateway está configurado para autenticar o equipamento do utilizador com a rede de comunicação com base nos dados de autenticação.
A interface 23 está ainda configurada para receber um segundo pedido de 30 autenticação para autenticar o equipamento do utilizador em direção a uma rede de dados de pacote externa para a rede de comunicações a partir do equipamento do utilizador. Além disso, o processador 21 está configurado para criar uma mensagem de atualização de ligação incluindo os dados de autenticação e informação de identidade do equipamento do utilizador recebidos peto equipamento do utilizador, e a interface do primeiro dispositivo de 35 gateway está ainda configurada para enviar a mensagem de atualização de ligação para um segundo dispositivo de gateway da rede de dados de pacote (p. ex., PG 30) .
Além disso, de acordo com versões gerais da invenção, a interface 33 do segundo dispositivo de gateway (p. ex., PG 30 apresentado na Fig. 3) está configurada para receber uma mensagem de atualização de ligação, incluindo informação de identidade e dados de autenticação, servindo a informação de identidade e os dados de autenticação para autenticar um equipamento de utilizador em direção a uma rede de dados de pacote, e o 5 processador 31 do segundo dispositivo de gateway está configurado para criar um pedido de acesso com base na informação de identidade e dados de autenticação. Além disso, a interface do segundo dispositivo de gateway está ainda configurado para enviar a mensagem de pedido de acesso para um elemento de autenticação de rede.
Os dados de autenticação podem ser informações de credenciais de utilizador, como 10 uma palavra-passe (p. ex., palavra-passe PAP ou CHAP), um desafio de protocolo de autenticação (p. ex., desafio PAP ou CHAP) e idêntico. Porém, a invenção não está limitada a estes exemplos específicos.
Além disso, o mecanismo de troca de informação chave descrito acima pode ser um mecanismo IKEv2. Porém, a invenção não está limitada a este exemplo específico.
De acordo com versões exemplificativas da presente invenção, propõe-se usar aextensão IKEv2 especificada em RFC 4739 para transferir os parâmetros de autenticação adicionais entre o UE e a ePDG.
O exemplo ilustrado na Fig. 4 apresenta o procedimento, usando CHAP (Protocolo de autenticação de estabelecimento de uma ligação de desafio) com o servidor de 20 autenticação externo. O procedimento com PAP e EAP pode ser muito similar. O exemplo apresentado assume PMIP baseado em S2b, mas pode funcionar com GTP baseado em S2b ou outro protocolo adequado. A invenção não está limitada a estes exemplos específicos.
No passo 1, o UE e a ePDG troca o primeiro par de mensagens conhecido por 25 IKE_SA_INIT. A ePDG inclui a indicação MULT IPLE_AUTH_SUPPORTED no passo lb,
No passo 2, o UE envia o Pedido_IKE_AUTH do utilizador, incluindo uma indicação MULTIPLE_AUTH_SUPPORTED. A ePDG guarda a identidade recebida na carga útil IDi para usar mais tarde durante o passo 9 .
No passo 3 é realizada a autenticação EAP-AKA normal.
No passo 4, o UE envia uma mensagem de Pedido IKE AUTH incluindo uma cargaútil AUTH, que autentica a primeira mensagem IKE_SA_INIT. A carga útil AUTH é calculada usando a chave partilhada estabelecida pela chave que cria o método EAP usado no passo 3. A mensagem também inclui uma carga útil Notificar ANOTHER_AUTH_FOLI_OWS indicando à ePDG que se seguirá outra ronda de autenticação.
No passo 5, a ePDG verifica se a AUTH recebida do UE está correta. A ePDGcalcula a resposta de carga útil AUTH, que autentica a segunda mensagem IKE_SAJNIT usando a chave partilhada estabelecida pela chave que cria o método EAP usado no passo 3 . De seguida, o parâmetro AUTH é enviado para o UE.No passo 6, o UE envia a sua identidade na rede privada na carga útil IDi' e esta identidade tem de ser autenticada e autorizada com o servidor AAA externo (no passo 10).No passo 7, se a APN indicada pela carga útil IDr no passo 2 exigir uma autenticação 5 relativamente a um servidor AAA externo, e o método de autenticação selecionado for um procedimento CHAP, a ePDG envia um pedido de desafio MD5 EAP para o UE para a próxima autenticação.No passo 8, o UE devolva uma resposta de Desafio MD5 EAP à ePDG.No passo 9, a ePDG envia uma mensagem PBU para criar a ligação PDN, incluindo 10 o nome de utilizador que é copiado do IDi' no Pedido IKE AUTH (passo6) , atributos de palavra-passe CHAP e Desafio CHAP para a PG . A opção de identificador MN na PBU contém uma identidade correspondente à identidade recebida na carga útil IDi no passo 2. Isto será descrito em pormenor mais abaixo.No passo 10, o PGW envia a mensagem de pedido de acesso com os parâmetros 15 recebidos na mensagem PBU para o servidor AAA externo como o cliente RADIUS.No passo 11,o servidor AAA externo devolva a aceitação de Acesso à PDG.No passo 12, o PGW envia uma mensagem PBA para a ePDG.No passo 13, a mensagem de sucesso EAP é enviada para o UE através de IKEv2 .No passo 14, o UE cria o parâmetro AUTH para autenticar a primeira mensagem 20 IKE_SA_1NIT. O parâmetro AUTH é enviado para a ePDG.No passo 15, a ePDG verifica se a AUTH recebida do UE está correta. A ePDG envia o endereço IP atribuído e os outros parâmetros de configuração para o UE. A negociação IKEv2 termina com este passo.
Apesar de não ilustrado, se num dos procedimentos de autenticação acima referidos 25 ocorrer uma falha, é enviada uma mensagem correspondente para o UE e o procedimento é terminado.
O processo acima referido pode ser resumido do seguinte modo:- Pode ser realizada uma dupla autenticação; a primeira é entre o UE e a rede, e a segunda é entre o UE e uma AAA externa, que pode ser apenas contactada por PGW.- Os dados de autenticação da segunda autenticação são enviados à ePDG a partirdo UE, usando uma extensão do protocolo utilizado para a primeira autenticação.- Os dados de autenticação da segunda autenticação são reencaminhados da ePDG para a PGW dentro da Atualização de Ligação.- A PGW contacta a AAA externa, usando os dados de autenticação recebidos no 35 passo 2 para autenticar o utilizador.
A seguir descreve-se um detalhe específico relativamente à autenticação CHAP. Em particular, a ePDG é responsável por criar o Desafio CHAP. Se o UE for implementado como um chamado UE dividido (isto é, TE (equipamento terminal) e MT (terminal portátil) são separados e o PPP (protocolo ponto a ponto) é usado para comunicar entre eles), o que teoricamente pode ser possível, são necessárias algumas considerações relativamente ao manuseamento PPP. Quando inicia uma configuração portadora, o TE emite comandos AT 5 para MT, onde são definidos o tipo de APN (nome do ponto de acesso) e PDP (protocolo de dados de pacote) utilizados.
O MT usa a informação de tipo APN e PDP recebida durante a primeira fase de troca IKEv2 (como por RFC-4739) com a ePDG (isto é, durante os passos 1 a 3 apresentados na Fig. 4) para estabelecer uma conectividade a uma PGW, APN/PDN adequada e para 10 determinar como popular cargas úteis de configuração apropriadas para a configuração IP nas mensagens IKEv2 (como o MT preenche p. ex. a configuração de cargas úteis determina se o “portador'1 IPv4, IPv6 ou IPv4v6 fica configurado). A configuração da conectividade PPP entre o TE e o MT inicia a primeira fase de troca IKEv2. O MT sabe que o LCP (protocolo de controlo da ligação) e mais tarde IPCP/IPV6CP têm de ser intercalados 15 seja qual for o método de autenticação levado a cabo durante a segunda fase de troca IKEv2. O MT atua realmente como uma "ponte" entre o iniciador IKEv2 e um NAS em PPP. Por exemplo:• EAP é utilizado e ePDG propõe EAP-MD5. Isto traduz ao MT para enviar o Pedido CHAP auth PPP LCP para o TE. O TE ou ACKs ou NAKs isto ao nível de LCP, que depois 20 no MT converte para uma resposta EAP apropriada dentro de IKEv2.• EAP é utilizado e ePDG propõe EAP-GTC. Isto traduz ao MT para enviar o Pedido PAP auth PPP LCP para o TE. O TE ou ACKs ou NAKs isto ao nível de LCP, que depois no MT converte para uma resposta EAP apropriada dentro de IKEv2.• EAP é utilizado e ePDG propõe um método arbitrário EAP. Isto traduz ao MT para 25 enviar o Pedido EAP auth PPP LCP para o TE. O TE ou ACKs ou NAKs isto ao nível de LCP, que depois no MT converte para uma resposta EAP apropriada dentro de IKEv2.
Assim que as duas fases IKEv2 terminam com sucesso, a negociação IPCP/IPV6CP entre o TE e o MT pode começar. Note que este passo já é completamente local neste ponto de tempo. O MT apenas alimenta o TE com informação de configuração de nível IP 30 que recebeu durante a própria negociação IKEv2 (+PMIPv6).
De acordo com as versões exemplificativas, são fornecidos dois métodos alternativos para transportar a informação de credencial de utilizador (CHAP ou PAP) entre a ePDG e a PG nas mensagens PBU e PBA e correspondentes mensagens GTPv2:1. Em novos elementos de informação.2. A informação de credencial de utilizador é incluída nos elementos de informaçãode Opções de Configuração de Protocolo (PCO) já especificados em PBU/PBA.
O benefício de usar elementos de informação PCO já existentes em PBU/PBA de acordo com a solução 2 é que o elemento de informação PCO já foi especificado em 3GPP tanto em PMIP como GTP. Por conseguinte, a solução 2 pode ser facilmente implementada.
O benefício de usar novos elementos de informação de acordo com a solução 1 é o facto de não serem necessárias mudanças à semântica de PCO. Nomeadamente, de 5 preferência, o elemento de informação PCO deve transportar informação não alterada entre o UE e PGW. De acordo com a solução 2, a ePDG "traduz11 a informação de credencial do utilizador transportada em IKEv2 para a informação de credencial de utilizador em PMIP PCO. Porém, PCO pretende ser uma sinalização extremo a extremo entre o UE e a PGW. Por isso, a criação de PCO pela ePDG pode ser considerada indesejada. Por conseguinte, 10 de acordo com a solução 1, são especificados novos elementos de informação em 3GPP, através dos quais é transportada a informação de credencial do utilizador nas mensagens PBU/PBA trocadas entre a ePDG e PGW. Isto iria requerer alguma extensão de PMIPvβ e GTPv2, que, porém, são fáceis de implementar e posicionar.
Os elementos de informação PMIPvβ e GTP necessários são:Elemento de informação de palavra-passe CHAPElemento de informação de desafio CHAPElemento de informação de palavra-passe PAP
Elemento de informação do nome de utilizador (note que a identidade neste elemento de informação pode p. ex. ser diferente do MNIdentifier utilizado com PMIPvβ) 20 Os elementos de informação de palavra-passe CHAP e PAP podem ser combinados,desde que o elemento de informação possa distinguir entre as funções para as quais tem sido usado.
Além disso, em vez dos elementos de informação de palavra-passe acima descritos, pode ser utilizado um elemento de palavra-passe aumentado que é seguido por uma 25 bandeira a indicar se é utilizada como uma palavra-passe CHAP ou como uma palavra- passe PAP. Esta bandeira é, porém, apenas um exemplo para uma indicação do protocolo de autenticação utilizado para o elemento de informação de palavra-passe.
No caso de ser utilizado outro protocolo de autenticação, pode ser inserida a correspondente palavra-passe no elemento de informação de palavra-passe.
De acordo com um aspeto das versões gerais da presente invenção, é providenciadoum aparelho, que compreendemeios para criar um primeiro pedido de autenticação para autenticar um equipamento de utilizador em direção a uma rede de comunicação, proporcionando conectividade ao equipamento do utilizador através de uma rede de acesso não segura, em 35 que o pedido de autenticação é um pedido de autenticação de um mecanismo de troca de informação chave e os dados de autenticação são inseridos no pedido de autenticação, meios para enviar o primeiro pedido de autenticação para autenticar o equipamento do utilizador com a rede de comunicação baseada nos dados de autenticação,meios para criar, depois da autenticação com a rede de comunicação, urn segundo pedido de autenticação para autenticar o equipamento do utilizador em direção a uma rede de dados de pacote externa para a rede de comunicações, e meios para enviar o segundo 5 pedido de autenticação.
De acordo com um outro aspeto das versões gerais da presente invenção, é providenciado um aparelho, que compreendemeios para receber um primeiro pedido de autenticação para autenticar um equipamento de utilizador em direção a urna rede de comunicação, proporcionando 10 conectividade ao equipamento do utilizador através de uma rede de acesso não segura, em que o pedido de autenticação é um pedido de autenticação de um mecanismo de troca de informação chave e inclui dados de autenticação, , . meios para autenticar o equipamento do utilizador com a rede de comunicação baseada nos dados de autenticação, .meios para receber um segundo pedido de autenticação para autenticar oequipamento do utilizador em direção a uma rede de dados de pacote externa para a rede de comunicações a partir do equipamento do utilizador,meios para criar uma mensagem de atualização de ligação incluindo os dados de autenticação e a informação de identidade do utilizador recebida a partir do equipamento do 20 utilizador, emeios para enviar a mensagem de atualização de ligação para um dispositivo de gateway da rede de dados de pacote. De acordo com um outro aspeto das versões gerais da presente invenção, é providenciado um aparelho, que compreendemeios para receber uma mensagem de atualização de ligação, incluindo informação 25 de identidade e dados de autenticação, servindo a informação de identidade e os dados de autenticação para autenticar um equipamento de utilizador em direção a uma rede de dados de pacote,meios para criar um pedido de acesso com base na informação de identidade e dados de autenticação, emeios para enviar a mensagem do pedido de acesso para um elemento deautenticação de rede.Note-se que qualquer uma das modificações acima referidas pode ser aplicada individualmente ou em combinação com os respetivos aspetos e/ou versões às quais se referem, a não ser que sejam explicitamente declaradas como alternativas exclusivas.
Para o propósito das versões da presente invenção conforme aqui descrita acima,note-se que- os passos do método com probabilidade de serem implementados como partes de código de software e de serem realizados, usando um processador num elemento ou terminal de rede (como exemplos de dispositivos, aparelhos e/ou módulos daqui ou como exemplos de entidades, incluindo seus aparelhos e/ou módulos), são independentes do código de software e podem ser especificados, usando qualquer linguagem de programação 5 conhecida ou futuramente desenvolvida, desde que a funcionalidade definida pelos passosdo método seja preservada;- geralmente, qualquer passo de método é adequado para ser implementado como software ou por hardware sem mudar a ideia da invenção em termos da funcionalidade implementada;os passos do método e/ou dispositivos, unidades ou meios prováveis de seremimplementados como componentes de hardware no aparelho acima referido ou qualquer módulo (s) seu, (p.ex., dispositivos que realizam as funções do aparelho de acordo com as versão acima descritas, como UE, ePDG, PG etc. conforme descrito acima) são independentes do hardware e podem ser implementados usando qualquer tecnologia de 15 hardware conhecida ou futuramente desenvolvida ou qualquer híbrido destes, como MOS(Semicondutor Óxido de Metal), CMOS (MOS Complementar), BiMOS (MOS Bipolar), BiCMOS (CMOS Bipolar), ECL (Lógica de Emissores Acoplados), TTL (Lógica de Transistor Transistor), etc., usando por exemplo componentes ASIC (IC Específico de Aplicação (Circuito Integrado)), componentes FPGA (Portas de campo programável), CPLD 20 (Dispositivo de Lógica Programável Complexo) ou componentes DSP (Processador de Sinal Digital);- os dispositivos, unidades ou meios (p. ex. o aparelho acima definido ou qualquer um dos seus respetivos meios) podem ser implementados como dispositivos, unidades ou meios individuais, mas isto não exclui o facto de eles serem implementados de um modo 25 distribuído pelo sistema, enquanto for preservada a funcionalidade do dispositivo, unidade ou meio;- um aparelho pode ser representado por um chip de semicondutor, um chipset ou um módulo (hardware) que compreende esse chip ou chipset; mas isto não exclui a possibilidade de a funcionalidade de um aparelho ou módulo ser implementado como 30 software, em vez de ser implementado como hardware, num módulo (software) como um programa informático ou um produto de programa de computador que compreende partes do código de software exequível para a execução/funcionamento num processador;- um dispositivo pode ser considerado um aparelho ou um conjunto de mais de um aparelho, quer funcionando em cooperação entre si ou funcionando independentemente um 35 do outro num mesmo dispositivo, por exemplo.Note-se que as versões e exemplos acima descritos são apenas fornecidos com fins ilustrativos e, de modo algum, pretendem restringir a presente invenção a eles. Em vez disso, a intenção é a de incluir todas as variações e modificações dentro do âmbito e do espírito das reivindicações anexas.
Claims (13)
1. Método caracterizado por compreender criar um primeiro pedido de autenticação para autenticar um equipamento de utilizador em direção a uma rede de comunicação, proporcionando conectividade ao equipamento do utilizador através de uma rede de acesso não segura, em que o pedido de autenticação é um pedido de autenticação de um mecanismo de troca de informação chave e os dados de autenticação são inseridos no pedido de autenticação,enviar o primeiro pedido de autenticação para autenticar o equipamento do utilizador com a rede de comunicação baseada nos dados de autenticação,criar, depois da autenticação com a rede de comunicação, um segundo pedido de autenticação para autenticar o equipamento do utilizador em direção a uma rede de dados de pacote externa para a rede de comunicações, eenviar o segundo pedido de autenticação,em que o segundo pedido de autenticação inclui parâmetros de autenticação adicionais em elementos de informação dedicados, diferentes dos elementos de informação de opções de configuração de protocolo, e em que os parâmetros de autenticação adicionais são recebidos do equipamento do utilizador usando a extensão IKEv2 especificada na RFC 4739.
2. Método de acordo com a reivindicação 1, caracterizado por compreender aindareceber, antes de enviar o primeiro pedido de autenticação, uma indicação de que são suportadas múltiplas autenticações, einserir no primeiro pedido de autenticação uma indicação de que são suportadas múltiplas autenticações.
3. Método caracterizado por compreenderreceber um primeiro pedido de autenticação para autenticar um equipamento de utilizador em direção a uma rede de comunicação, proporcionando conectividade ao equipamento do utilizador através de uma rede de acesso não segura, em que o pedido de autenticação é um pedido de autenticação de um mecanismo de troca de informação chave e inclui dados de autenticação,autenticar o equipamento do utilizador com a rede de comunicação baseada nos dados de autenticação,receber um segundo pedido de autenticação para autenticar o equipamento do utilizador em direção a uma rede de dados de pacote externa para a rede de comunicações a partir do equipamento do utilizador,criar uma mensagem de atualização de ligação incluindo os dados de autenticação e a informação de identidade do utilizador recebida a partir do equipamento do utilizador usando a extensão IKEv2 especificada na RFC 4739, eenviar a mensagem de atualização de ligação para um dispositivo de gateway da rede de dados de pacote,em que a mensagem de atualização de ligação contém os dados de autenticação e as informações de identidade do utilizador em elementos de informação dedicados, diferentes dos elementos de informação de opções de configuração de protocolo.
4. Método de acordo com a reivindicação 3, caracterizado por ser providenciada uma pluralidade de elementos de informação na mensagem de atualização de ligação, incluindo um elemento de informação de palavra-passe, um elemento de informação de desafio do protocolo de autenticação e/ou um elemento de informação de nome de utilizador.
5. Método de acordo com as reivindicações 3 ou 4, caracterizado por compreender aindaenviar, antes de receber o primeiro pedido de autenticação, uma indicação de que são suportadas múltiplas autenticações, eem que o primeiro pedido de autenticação inclui uma indicação de que são suportadas múltiplas autenticações.
6. Método caracterizado por compreenderreceber uma mensagem de atualização de ligação, incluindo informação de identidade e dados de autenticação, servindo a informação de identidade e os dados de autenticação para autenticar um equipamento de utilizador em direção a uma rede de dados de pacote,criar um pedido de acesso com base na informação de identidade e dados de autenticação, eenviar a mensagem do pedido de acesso para um elemento de autenticação de rede,em que os dados de autenticação são incluídos em um elemento de informação dedicado, diferentes dos elementos de informação de opções de configuração de protocolo, na mensagem de atualização de ligação.
7. Método caracterizado por compreenderenviar, a partir de um equipamento de utilizador para um primeiro dispositivo de gateway, um primeiro pedido de autenticação para autenticar um equipamento de utilizador em direção a uma rede de comunicação, proporcionando conectividade ao equipamento do utilizador através de uma rede de acesso não segura, em que o primeiro pedido de autenticação é um pedido de autenticação de um mecanismo de troca de informação chave e inclui dados de autenticação,autenticar o equipamento do utilizador com a rede de comunicação baseada nos dados de autenticação,enviar, a partir do equipamento do utilizador para o primeiro dispositivo de gateway, um segundo pedido de autenticação para autenticar o equipamento do utilizador em direção a uma rede de dados de pacote externa para a rede de comunicações,criar uma mensagem de atualização de ligação incluindo os dados de autenticação e informação de identidade do utilizador recebida a partir do equipamento do utilizador usando a extensão IKEv2 especificada na RFC 4739, e enviar a mensagem de atualização de ligação a partir do primeiro dispositivo de gateway para um segundo dispositivo de gateway da rede de dados de pacote, em que a mensagem de atualização de ligação, incluindo os dados de autenticação e informações de identidade do utilizador em elementos de informação dedicados, diferentes dos elementos de informação de opções de configuração de protocolo.
8. Aparelho, caracterizado por compreenderum processador configurado para criar um primeiro pedido de autenticação para autenticar um equipamento de utilizador em direção a uma rede de comunicação, proporcionando conetividade ao equipamento do utilizador através de uma rede de acesso não segura, em que o pedido de autenticação é um pedido de autenticação de um mecanismo de troca de informação chave e os dados de autenticação são inseridos no pedido de autenticação,uma interface configurada para enviar o primeiro pedido de autenticação para autenticar o equipamento do utilizador com a rede de comunicação baseada nos dados de autenticação,em que o processador está ainda configurado para criar, depois da autenticação com a rede de comunicação, um segundo pedido de autenticação para autenticar o equipamento do utilizador em direção a uma rede de dados de pacote externa para a rede de comunicações, eem que a interface está ainda configurada para enviar o segundo pedido de autenticação, eem que o segundo pedido de autenticação inclui parâmetros de autenticação adicionais em elementos de informação dedicados, diferentes dos elementos de informação de opções de configuração de protocolo, e em que os parâmetros de autenticação adicionais são recebidos do equipamento do utilizador usando a extensão IKEv2 especificada na RFC 4739.
9. Aparelho de acordo com a reivindicação 8, caracterizado por o processador estar configurado para receber, antes de enviar o primeiro pedido de autenticação, uma indicação de que são suportadas múltiplas autenticações, eo processador estar configurado para inserir no primeiro pedido de autenticação uma indicação de que são suportadas múltiplas autenticações.
10. Aparelho, caracterizado por compreenderuma interface configurada para receber um primeiro pedido de autenticação para autenticar um equipamento de utilizador em direção a uma rede de comunicação, proporcionando conetividade ao equipamento do utilizador através de uma rede de acesso não segura, em que o pedido de autenticação é um pedido de autenticação de um mecanismo de troca de informação chave e inclui dados de autenticação, eum processador configurado para autenticar o equipamento do utilizador com a rede de comunicação baseada nos dados de autenticação, em quea interface está ainda configurada para receber um segundo pedido de autenticação para autenticar o equipamento do utilizador em direção a uma rede de dados de pacote externa para a rede de comunicações a partir do equipamento do utilizador,o processador está ainda configurado para criar uma mensagem de atualização de ligação incluindo os dados de autenticação e a informação de identidade do equipamento do utilizador recebida a partir do equipamento do utilizador usando a extensão IKEv2 especificada na RFC 4739, e em quea interface está ainda configurada para enviar a mensagem de atualização de ligação para um dispositivo de gateway da rede de dados de pacote, e em que a mensagem de atualização de ligação incluindo os dados de autenticação e informações de identidade do usuário em elementos de informação dedicados, diferentes dos elementos de informação de opções de configuração de protocolo.
11. Aparelho de acordo com a reivindicação 10, caracterizado por ser providenciada uma pluralidade de elementos de informação na mensagem de atualização de ligação incluindo um elemento de informação de palavra- passe, um elemento de informação de desafio do protocolo de autenticação e/ou um elemento de informação de nome de utilizador.
12. Aparelho de acordo com as reivindicações 10 ou 11, caracterizado por o processador estar configurado para suportar múltiplas autenticações, ea interface estar configurada para enviar, antes de receber o primeiro pedido de autenticação, uma indicação de que são suportadas múltiplas autenticações,em que o primeiro pedido de autenticação inclui uma indicação de que são suportadas múltiplas autenticações.
13. Aparelho, caracterizado por compreenderuma interface configurada para receber uma mensagem de atualização de ligação, incluindo informação de identidade e dados de autenticação, servindo a informação de identidade e os dados de autenticação para autenticar um equipamento de utilizador em direção a uma rede de dados de pacote, eum processador configurado para criar um pedido de acesso com base na informação de identidade e dados de autenticação, em quea interface está ainda configurada para enviar a mensagem de pedido de acesso para um elemento de autenticação de rede,em que os dados de autenticação são incluídos em um elemento de informação dedicado, diferentes dos elementos de informação de opções de configuração de protocolo, na mensagem de atualização de ligação.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2011/050475 WO2012095184A1 (en) | 2011-01-14 | 2011-01-14 | External authentication support over an untrusted network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| BR112013017889A2 BR112013017889A2 (pt) | 2020-11-17 |
| BR112013017889B1 true BR112013017889B1 (pt) | 2021-12-07 |
Family
ID=43901410
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| BR112013017889-2A BR112013017889B1 (pt) | 2011-01-14 | 2011-01-14 | Suporte de autenticação externo através de uma rede não fiável |
Country Status (9)
| Country | Link |
|---|---|
| US (2) | US9641525B2 (pt) |
| EP (1) | EP2664100B1 (pt) |
| JP (1) | JP2014507855A (pt) |
| KR (1) | KR101589574B1 (pt) |
| CN (1) | CN103299578A (pt) |
| AU (1) | AU2011355322B2 (pt) |
| BR (1) | BR112013017889B1 (pt) |
| MX (1) | MX2013008150A (pt) |
| WO (1) | WO2012095184A1 (pt) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103024737B (zh) * | 2011-09-23 | 2017-08-11 | 中兴通讯股份有限公司 | 可信任非3gpp接入网元、接入移动网络及去附着方法 |
| US20140071907A1 (en) * | 2012-05-04 | 2014-03-13 | Telefonaktiebolaget L M Ericsson (Publ) | Method and Apparatus for Handling PDN Connections |
| US9538560B1 (en) * | 2012-09-13 | 2017-01-03 | Cisco Technology, Inc. | Protocol configuration options (PCOS) in untrusted WLAN access |
| CN104378333B (zh) * | 2013-08-15 | 2018-09-21 | 华为终端有限公司 | 调制解调器拨号方法及宽带设备 |
| US10091637B2 (en) * | 2014-01-28 | 2018-10-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Providing information to a service in a communication network |
| CN103957152B (zh) * | 2014-04-22 | 2017-04-19 | 广州杰赛科技股份有限公司 | IPv4与IPv6网络通信方法及NAT‑PT网关 |
| US10284524B2 (en) * | 2014-08-21 | 2019-05-07 | James Armand Baldwin | Secure auto-provisioning device network |
| US9332015B1 (en) | 2014-10-30 | 2016-05-03 | Cisco Technology, Inc. | System and method for providing error handling in an untrusted network environment |
| JP6449088B2 (ja) * | 2015-03-31 | 2019-01-09 | 株式会社日立製作所 | 情報収集システム、情報収集システムにおける接続制御方法 |
| EP3277006B1 (en) * | 2015-04-22 | 2020-07-08 | Huawei Technologies Co., Ltd. | Method, apparatus and system for authorizing access point name |
| US9730062B2 (en) * | 2015-04-30 | 2017-08-08 | Intel IP Corporation | AT command for secure ESM information |
| US9602493B2 (en) | 2015-05-19 | 2017-03-21 | Cisco Technology, Inc. | Implicit challenge authentication process |
| JP2017004133A (ja) * | 2015-06-08 | 2017-01-05 | 株式会社リコー | サービス提供システム、情報処理システム、情報処理装置、サービス提供方法、及びプログラム |
| US9967148B2 (en) | 2015-07-09 | 2018-05-08 | Oracle International Corporation | Methods, systems, and computer readable media for selective diameter topology hiding |
| US10237795B2 (en) * | 2015-10-11 | 2019-03-19 | Qualcomm Incorporated | Evolved packet data gateway (EPDG) reselection |
| CN106686589B (zh) * | 2015-11-09 | 2020-04-28 | 中国电信股份有限公司 | 一种实现VoWiFi业务的方法、***及AAA服务器 |
| US10033736B2 (en) | 2016-01-21 | 2018-07-24 | Oracle International Corporation | Methods, systems, and computer readable media for remote authentication dial-in user service (radius) topology hiding |
| US10419994B2 (en) * | 2016-04-08 | 2019-09-17 | Electronics And Telecommunications Research Institute | Non-access stratum based access method and terminal supporting the same |
| KR102088717B1 (ko) * | 2016-04-08 | 2020-03-13 | 한국전자통신연구원 | 비접속계층 기반 액세스 방법 및 이를 지원하는 단말 |
| EP3297222A1 (en) * | 2016-09-15 | 2018-03-21 | Eco-i Limited | Configuration gateway |
| DK3319277T3 (da) * | 2016-11-08 | 2019-08-26 | Telia Co Ab | Tilvejebringelse af adgang til et netværk |
| CN112534851B (zh) * | 2018-08-07 | 2024-04-26 | 联想(新加坡)私人有限公司 | 委托数据连接 |
| US20220141658A1 (en) * | 2020-11-05 | 2022-05-05 | Visa International Service Association | One-time wireless authentication of an internet-of-things device |
| US11558737B2 (en) | 2021-01-08 | 2023-01-17 | Oracle International Corporation | Methods, systems, and computer readable media for preventing subscriber identifier leakage |
| US11888894B2 (en) | 2021-04-21 | 2024-01-30 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks |
| US11627467B2 (en) | 2021-05-05 | 2023-04-11 | Oracle International Corporation | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces |
| US11570689B2 (en) | 2021-05-07 | 2023-01-31 | Oracle International Corporation | Methods, systems, and computer readable media for hiding network function instance identifiers |
| US11638155B2 (en) | 2021-05-07 | 2023-04-25 | Oracle International Corporation | Methods, systems, and computer readable media for protecting against mass network function (NF) deregistration attacks |
| US11695563B2 (en) | 2021-05-07 | 2023-07-04 | Oracle International Corporation | Methods, systems, and computer readable media for single-use authentication messages |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7900242B2 (en) * | 2001-07-12 | 2011-03-01 | Nokia Corporation | Modular authentication and authorization scheme for internet protocol |
| US7441043B1 (en) * | 2002-12-31 | 2008-10-21 | At&T Corp. | System and method to support networking functions for mobile hosts that access multiple networks |
| CN100550955C (zh) | 2003-05-26 | 2009-10-14 | 华为技术有限公司 | 大容量宽带接入方法及*** |
| DE50306750D1 (de) * | 2003-07-31 | 2007-04-19 | Siemens Ag | Verfahren zum Ermitteln eines Abrechnungstarifs für eine Datenübertragung |
| US8341700B2 (en) * | 2003-10-13 | 2012-12-25 | Nokia Corporation | Authentication in heterogeneous IP networks |
| RU2354066C2 (ru) | 2003-11-07 | 2009-04-27 | Телеком Италия С.П.А. | Способ и система для аутентификации пользователя системы обработки данных |
| US8046829B2 (en) * | 2004-08-17 | 2011-10-25 | Toshiba America Research, Inc. | Method for dynamically and securely establishing a tunnel |
| CN101395887B (zh) * | 2006-04-11 | 2013-02-13 | 高通股份有限公司 | 用于绑定多个认证的方法和设备 |
| US8239671B2 (en) * | 2006-04-20 | 2012-08-07 | Toshiba America Research, Inc. | Channel binding mechanism based on parameter binding in key derivation |
| JP4763560B2 (ja) * | 2006-09-14 | 2011-08-31 | 富士通株式会社 | 接続支援装置 |
| US8707416B2 (en) * | 2007-01-19 | 2014-04-22 | Toshiba America Research, Inc. | Bootstrapping kerberos from EAP (BKE) |
| EP2037652A3 (en) * | 2007-06-19 | 2009-05-27 | Panasonic Corporation | Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network |
| CN101330740A (zh) | 2007-06-22 | 2008-12-24 | 中兴通讯股份有限公司 | 一种无线网络中的网关选择方法 |
| JP5291706B2 (ja) * | 2007-06-22 | 2013-09-18 | インターデイジタル テクノロジー コーポレーション | 相異なるワイヤレス通信アーキテクチャ間のモビリティのための資源管理 |
| CN101345998B (zh) | 2007-07-12 | 2011-12-28 | 华为技术有限公司 | 接入网络切换方法、锚点管理设备、移动接入设备 |
| CN101374055B (zh) * | 2007-08-20 | 2012-12-12 | 华为技术有限公司 | 计费处理方法和网络***、分组数据网络网关及计费*** |
| US8335490B2 (en) * | 2007-08-24 | 2012-12-18 | Futurewei Technologies, Inc. | Roaming Wi-Fi access in fixed network architectures |
| GB2453526B (en) | 2007-09-28 | 2009-11-18 | Samsung Electronics Co Ltd | Communication method and apparatus |
| EP2079253A1 (en) * | 2008-01-09 | 2009-07-15 | Panasonic Corporation | Non-3GPP to 3GPP network handover optimizations |
| US8224330B2 (en) * | 2008-08-07 | 2012-07-17 | Futurewei Technologies, Inc. | Method and system for interworking between two different networks |
| EP2166724A1 (en) | 2008-09-23 | 2010-03-24 | Panasonic Corporation | Optimization of handovers to untrusted non-3GPP networks |
| WO2010036611A1 (en) * | 2008-09-24 | 2010-04-01 | Interdigital Patent Holdings, Inc. | Home node-b apparatus and security protocols |
| US8654716B2 (en) * | 2008-11-14 | 2014-02-18 | Futurewei Technologies, Inc. | System and method for name binding for multiple packet data network access |
| WO2010067144A1 (en) * | 2008-12-10 | 2010-06-17 | Nokia Siemens Networks Oy | Assignment of a common network address to multiple network interfaces of a computing device |
| US8566455B1 (en) * | 2008-12-17 | 2013-10-22 | Marvell International Ltd. | Method and apparatus for supporting multiple connections in 3GPP systems |
| US8270978B1 (en) * | 2009-01-06 | 2012-09-18 | Marvell International Ltd. | Method and apparatus for performing a handover between a non-3GPP access and a 3GPP access using Gn/Gp SGSNs |
| US8059643B1 (en) * | 2009-05-11 | 2011-11-15 | Sprint Communications Company L.P. | IPv4 and IPv6 single session on a home agent |
| WO2011137928A1 (en) | 2010-05-04 | 2011-11-10 | Nokia Siemens Networks Oy | Packet data network connection with non-transparent interworking mode |
-
2011
- 2011-01-14 US US13/978,273 patent/US9641525B2/en active Active
- 2011-01-14 MX MX2013008150A patent/MX2013008150A/es unknown
- 2011-01-14 BR BR112013017889-2A patent/BR112013017889B1/pt active IP Right Grant
- 2011-01-14 JP JP2013548756A patent/JP2014507855A/ja active Pending
- 2011-01-14 KR KR1020137021363A patent/KR101589574B1/ko active IP Right Grant
- 2011-01-14 CN CN2011800648875A patent/CN103299578A/zh active Pending
- 2011-01-14 EP EP11700419.2A patent/EP2664100B1/en active Active
- 2011-01-14 WO PCT/EP2011/050475 patent/WO2012095184A1/en active Application Filing
- 2011-01-14 AU AU2011355322A patent/AU2011355322B2/en active Active
-
2017
- 2017-02-08 US US15/427,819 patent/US10581816B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012095184A1 (en) | 2012-07-19 |
| KR20130114727A (ko) | 2013-10-17 |
| JP2014507855A (ja) | 2014-03-27 |
| BR112013017889A2 (pt) | 2020-11-17 |
| AU2011355322A1 (en) | 2013-08-01 |
| US20130290722A1 (en) | 2013-10-31 |
| KR101589574B1 (ko) | 2016-01-28 |
| RU2013137968A (ru) | 2015-02-20 |
| US9641525B2 (en) | 2017-05-02 |
| EP2664100B1 (en) | 2018-12-05 |
| MX2013008150A (es) | 2013-09-13 |
| US20170149751A1 (en) | 2017-05-25 |
| US10581816B2 (en) | 2020-03-03 |
| CN103299578A (zh) | 2013-09-11 |
| EP2664100A1 (en) | 2013-11-20 |
| AU2011355322B2 (en) | 2016-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| BR112013017889B1 (pt) | Suporte de autenticação externo através de uma rede não fiável | |
| US11818566B2 (en) | Unified authentication for integrated small cell and Wi-Fi networks | |
| EP3657834B1 (en) | Method, device and system for accessing network | |
| KR101638908B1 (ko) | 듀얼 모뎀 디바이스 | |
| EP1673916B1 (en) | Apparatuses and method for authentication in heterogeneous ip networks | |
| BR112021002402A2 (pt) | método e aparelho para realização segura de conexões através de redes de acesso heterogêneas | |
| AU2019293046B2 (en) | Handling failure of Non-3GPP access to 5GCN not being allowed | |
| BR112015016050B1 (pt) | Sistemas e métodos para acessar uma rede | |
| BRPI0619097A2 (pt) | método e equipamento para suportar credenciais de autenticação diferentes | |
| ES2806991T3 (es) | Autentificación para sistemas de próxima generación | |
| WO2013004905A1 (en) | Trusted wireless local area network access | |
| ES2703555T3 (es) | Protección de intercambio de mensajes WLCP entre TWAG y UE | |
| WO2012095179A1 (en) | External authentication support over untrusted access | |
| JP6189389B2 (ja) | 信頼できないネットワークを介した外部認証サポート | |
| RU2575682C2 (ru) | Поддержка внешней аутентификации через незащищенную сеть | |
| ES2616499T3 (es) | Aparatos y método para autenticación en redes de IP heterogéneas |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| B06F | Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette] | ||
| B15K | Others concerning applications: alteration of classification |
Free format text: AS CLASSIFICACOES ANTERIORES ERAM: H04L 12/04 , H04L 29/06 Ipc: H04L 12/66 (2006.01), H04L 29/06 (2006.01), H04W 1 |
|
| B25D | Requested change of name of applicant approved |
Owner name: NOKIA SOLUTIONS AND NETWORKS OY (FI) |
|
| B06U | Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette] | ||
| B09A | Decision: intention to grant [chapter 9.1 patent gazette] | ||
| B16A | Patent or certificate of addition of invention granted [chapter 16.1 patent gazette] |
Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 14/01/2011, OBSERVADAS AS CONDICOES LEGAIS. PATENTE CONCEDIDA CONFORME ADI 5.529/DF, QUE DETERMINA A ALTERACAO DO PRAZO DE CONCESSAO. |