DE60317753T2 - Verfahren und Vorrichtung zur automatischen Client-Authentifizierung in einem drahtlosen Netzwerk, das durch PEAP, EAP-TLS oder andere erweiterbare Authentifizierungsprotokolle geschützt wird - Google Patents

Verfahren und Vorrichtung zur automatischen Client-Authentifizierung in einem drahtlosen Netzwerk, das durch PEAP, EAP-TLS oder andere erweiterbare Authentifizierungsprotokolle geschützt wird Download PDF

Info

Publication number
DE60317753T2
DE60317753T2 DE60317753T DE60317753T DE60317753T2 DE 60317753 T2 DE60317753 T2 DE 60317753T2 DE 60317753 T DE60317753 T DE 60317753T DE 60317753 T DE60317753 T DE 60317753T DE 60317753 T2 DE60317753 T2 DE 60317753T2
Authority
DE
Germany
Prior art keywords
user
authentication
network
client device
protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60317753T
Other languages
English (en)
Other versions
DE60317753D1 (de
Inventor
Ray Sun
Zeke Koch
Yu Zhang
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Application granted granted Critical
Publication of DE60317753D1 publication Critical patent/DE60317753D1/de
Publication of DE60317753T2 publication Critical patent/DE60317753T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)

Description

  • Die vorliegende Erfindung bezieht sich im allgemeinen auf die Authentifizierung und insbesondere auf die Authentifizierung für ein Drahtlosnetzwerk.
  • Drahtlosnetzwerke, wie etwa 802.11b (auch als Wi-Fi oder Drahtlosethernet bekannt) sind für Eindringlinge stärker anfällig als drahtgebundene Netzwerke, da die Eindringlinge sich mit dem Netzwerk nicht physikalisch verbinden müssen. In Erwiderung auf die Anfälligkeit für Eindringlinge wurde eine Vielfalt von Frameworks erzeugt, um die Authentifizierung der Benutzer von Drahtlosnetzwerken, insbesondere für Firmen, sicherzustellen. Eines dieser Frameworks wird 802.1x genannt. Innerhalb von 802.1x gibt es zahlreiche mögliche Authentifizierungsprotokolle, wobei zwei von diesen EAP-TLS (Extensible Authentication Protocol – Transport Layer Security) und PEAP (Protected Extensible Authentication Protocol) enthalten. Um ein Drahtlosnetzwerk zu benutzen, das durch 802.1x geschützt ist, muss der Drahtlos-Client das richtige Authentifizierungs-Protokoll wählen. Darüber hinaus muss der Benutzer das korrekte Authentifizierungs-Protokoll wählen, bevor er eine Verbindung herstellt.
  • "Protected EAP Protocol (PEAP)" draft-josefson-pptext-eap-tls-eap-05 repräsentiert ein Arbeitsdokument der Internet Engineering Task Force (IETF) dar und bezieht sich auf das Protected EAP Protocol (PEAP). Es ist beschrieben, dass im PEAP die Konversation zwischen einem EAP-Peer (EAP – Extensible Authentication Protocol) und einem Backend-Server innerhalb eines TLS-Kanals (TLS – Transport Level Security) verschlüsselt und integritätsgeschützt ist, und dass eine wechselseitige Authentifizierung zwischen dem EAP-Peer und dem Backend-Server erforderlich ist.
  • US-A-6 055 575 beschreibt einen Authentifizierungsvorgang, bei dem ein entfernter Client und ein Host aushandeln, welcher Authentifizierungstyp für die Kommu nikation verwendet wird. Der Host sendet eine Authentifizierungsanfrage, die ein oder mehrere Authentifizierungstyp-/Authentifizierungsanforderungsdaten-Paare beinhaltet. In Erwiderung auf die Authentifizierungsanfrage übermittelt der entfernte Client eine Authentifizierungsantwort zurück zum Host, die ein Authentifizierungstyp-/Antwortdaten-Paar beinhaltet. War die Antwort erfolgreich, d. h. dass eine geeignete Nachricht auf die Anforderung empfangen wurde, die die Identität des entfernten Clients bestätigt, wird eine Erfolgsdatenstruktur zum entfernten Client gesendet.
  • Das Ziel der vorliegenden Erfindung besteht darin, ein verbessertes Verfahren und eine verbesserte Vorrichtung zum automatischen Authentifizieren eines Benutzers an einem Drahtlosnetzwerk anzugeben, das durch ein Authentifizierungsprotokoll geschützt ist.
  • Dieses Ziel wird mit dem Gegenstand der unabhängigen Ansprüche erreicht.
  • Bevorzugte Ausführungsformen sind durch die abhängigen Ansprüche definiert.
  • Die vorliegende Erfindung bezieht sich auf die Bereitstellung eines Systems und eines Verfahrens zur automatischen Client-Authentifizierung für ein Drahtlosnetzwerk, das durch PEAP, EAP-TLS oder andere erweiterbare Authentifizierungsprotokolle geschützt ist.
  • Gemäß einem Aspekt der Erfindung muss ein Benutzer nicht den Unterschied zwischen den Protokollen verstehen, um eine Verbindung zum Netzwerk herzustellen.
  • Gemäß einem weiteren Aspekt der Erfindung wird mit einem Standardauthentifizierungsprotokoll versucht, eine Verbindung zum Netzwerk herzustellen. Ist das Authentifizierungsverfahren nicht erfolgreich, dann erfolgt ein Wechsel zu einem weiteren Authentifizierungsverfahren, sofern das Netzwerk dies verlangt.
  • Kurze Beschreibung der Zeichnungen
  • 1 ist ein Funktionsblockschaltbild einer Berechnungsvorrichtung, die dazu eingerichtet ist, eine Ausführungsform der Erfindung einzusetzen;
  • 2 zeigt eine mobile Berechnungsvorrichtung, die bei einer beispielhaften Ausführungsform der vorliegenden Erfindung verwendet werden kann;
  • 3 ist ein Funktionsblockschaltbild eines Authentifizierungssystems;
  • 4 zeigt einen Vorgang zum Einloggen in ein Netzwerk mit PEAP;
  • 5 zeigt einen Vorgang eines versuchten PEAP-Einloggens in einem TLS-Netzwerk (Fehlerfall);
  • 6 zeigt einen Vorgang für die TLS-Authentifizierung und das Wählen von Zertifikaten; und
  • 713 zeigen beispielhafte Bildschirmaufnahmen gemäß Aspekten der Erfindung.
  • Detaillierte Beschreibung der bevorzugten Ausführungsform
  • Die vorliegende Erfindung bezieht sich auf die Bereitstellung eines Systems und eines Verfahrens für die automatische Client-Authentifizierung für ein Drahtlosnetzwerk, das durch PEAP, EAP-TLS oder andere erweiterbare Authentifizierungsprotokolle geschützt ist. Ein Standardauthentifizierungsprotokoll wird automatisch ausprobiert. Ist das Authentifizierungsverfahren nicht erfolgreich, dann erfolgt ein Wechsel zu einem weiteren Authentifizierungsverfahren, sofern das Netzwerk dies verlangt.
  • Im Verlauf dieser Beschreibung ist der Begriff "Wi-Fi" die Abkürzung für Wireless Fidelity und soll allgemein verwendet werden, wenn man sich auf einen beliebigen Typ eines 802.11-Netzwerkes, wie etwa 802.11b, 802.11a, Dual-Band und dergleichen bezieht. Der Begriff "AP" bezieht sich auf einen Zugangspunkt, der verwendet wird, um Drahtlosnetzwerkvorrichtungen mit einem Netzwerk zu verbinden. Der Begriff "SSID" bezieht sich auf einen Service-Set-Identifier.
  • Unter Bezugnahme auf 1 enthält ein beispielhaftes System für die Ausführung der Erfindung eine Berechnungsvorrichtung, wie etwa die Berechnungsvorrichtung 100. In einer Basiskonfiguration enthält die Berechungsvorrichtung 100 normalerweise wenigstens eine Verarbeitungseinheit 102 und einen Systemspeicher 104. In Abhängigkeit der exakten Konfiguration und des Typs der Berechnungsvorrichtung kann der Systemspeicher 104 flüchtig (wie etwa ein RAM), nicht flüchtig (wie etwa ein ROM, ein Flash-Speicher und dergleichen) oder eine bestimmte Kombination aus beiden sein. Der Systemspeicher 104 enthält normalerweise ein Betriebssystem 105, ein oder mehrere Programmmodule 106 und kann Programmdaten 107 enthalten. Diese Basiskonfiguration ist in 1 mit jenen Bestandteilen dargestellt, die sich innerhalb der Strichlinie 108 befinden.
  • Die Berechungsvorrichtung 100 kann zudem zusätzliche Merkmale oder Funktionalitäten aufweisen. Beispielsweise kann die Berechungsvorrichtung 100 ebenfalls zusätzliche Datenspeichervorrichtungen (entnehmbar und/oder nicht entnehmbar), wie etwa magnetische Platten, optische Platten oder ein Band, enthalten. Derartiger zusätzlicher Speicher ist in 1 mit einem entnehmbaren Speicher 109 und einem nicht entnehmbaren Speicher 110 dargestellt. Computerspeichermedien können flüchtige und nicht flüchtige, entnehmbare und nicht entnehmbare Medien beinhalten, die bei einem beliebigen Verfahren oder einer beliebigen Technologie zur Speicherung von Informationen, wie etwa computerlesbarer Anweisungen, Datenstrukturen, Programmmodulen oder anderer Daten verwendet werden. Der Systemspeicher 104, der entnehmbare Speicher 109 und der nicht entnehmbare Speicher 110 sind allesamt Beispiele von Computerspeichermedien. Computerspeichermedien beinhalten, ohne darauf beschränkt zu sein, einen RAM, einen ROM, einen EEPROM, einen Flash-Speicher oder eine andere Speichertechnologie, ein CD-ROM, DVDs oder anderen optischen Speicher, Magnetkassetten, ein Magnetband, einen Magnetplattenspeicher oder andere magnetische Speichervorrichtungen, oder ein beliebiges anderes Medium, das verwendet werden kann, um die gewünschten Informationen zu speichern, und auf das von der Berechungsvorrichtung 100 zugegriffen werden kann. Ein beliebiges dieser Computerspeichermedien kann Teil der Vorrichtung 100 sein. Die Berechungsvorrichtung 100 kann zudem über Eingabevorrichtungen 112, wie etwa eine Tastatur, eine Maus, einen Stift, eine Spracheingabevorrichtung, eine Tast eingabevorrichtung und dergleichen verfügen. Ausgabevorrichtungen 114, wie etwa eine Anzeigeeinrichtung, Lautsprecher, ein Drucker und dergleichen, können ebenfalls enthalten sein. Alles diese Vorrichtungen sind nach dem Stand der Technik bekannt, und müssen hier nicht ausführlich erläutert werden.
  • Die Berechungsvorrichtung 100 enthält darüber hinaus Kommunikationsverbindungen 116, die es der Vorrichtung gestatten, mit anderen Berechungsvorrichtungen 118 etwa über ein Netzwerk zu kommunizieren. Das Netzwerk kann drahtlos oder drahtgebunden sein. Kommunikationsverbindungen 116 sind ein Beispiel für Kommunikationsmedien. Kommunikationsmedien enthalten normalerweise computerlesbare Anweisungen, Datenstrukturen, Programmmodule oder andere Daten in einem modulierten Datensignal, wie etwa einer Trägerwelle oder einem anderen Transportmechanismus, und enthalten beliebige Informationszustellungsmedien. Der Begriff "moduliertes Datensignal" bezeichnet ein Signal, bei dem eine oder mehrere seiner Eigenschaften derart eingestellt oder geändert werden, dass die Informationen im Signal geändert werden. Beispielsweise, und ohne dabei einschränkend zu sein, beinhalten Kommunikationsmedien drahtgebundene Medien, wie etwa ein drahtgebundenes Netzwerk oder eine direkt verdrahtete Verbindung, und drahtlose Medien, wie etwa Schall-, Hochfrequenz-, Infrarot- oder andere Drahtlos-Medien. Der Begriff computerlesbare Medien, wie er hier verwendet wird, beinhaltet sowohl Speichermedien als auch Kommunikationsmedien.
  • 2 zeigt eine mobile Berechnungsvorrichtung, die bei einer beispielhaften Ausführungsform der vorliegenden Erfindung verwendet werden kann. Unter Bezugnahme auf 2 enthält ein beispielhaftes System zur Ausführung der Erfindung eine mobile Berechnungsvorrichtung, wie etwa die mobile Berechungsvorrichtung 200. Die mobile Berechnungsvorrichtung 200 hat einen Prozessor 260, einen Speicher 262, eine Anzeigeeinrichtung 228 und ein Tastenfeld 232. Der Speicher 262 enthält normalerweise sowohl einen flüchtigen Speicher (z. B. einen RAM) als auch einen nicht flüchtigen Speicher (z. B. einen ROM, einen Flash-Speicher oder dergleichen). Die mobile Berechnungsvorrichtung 200 enthält ein Betriebssystem 264, wie etwa das Windows CE Betriebssystem von der Microsoft Corporation oder ein anderes Betriebssystem, das sich im Speicher 262 befindet und auf dem Prozessor 260 ausgeführt wird. Das Tastenfeld 232 kann ein numerisches Drucktasterwählfeld (wie etwa auf einem typischen Telefon) und eine Mehrtastentastatur (wie etwa eine herkömmliche Tastatur) sein. Die Anzeigeeinrichtung 228 kann eine Flüssigkristallanzeigeeinrichtung oder ein beliebiger anderer Typ einer Anzeigeinrichtung sein, die normalerweise bei mobilen Berechungsvorrichtungen verwendet wird. Die Anzeigeeinrichtung 228 kann berührungsempfindlich sein und würde dann als Eingabevorrichtung arbeiten.
  • Ein oder mehrere Anwendungsprogramme 266 werden in den Speicher 262 geladen und laufen unter dem Betriebssystem 264. Beispiele von Anwendungsprogrammen beinhalten Telefonwählprogramme, E-Mail-Programme, Terminplanungsprogramme, PIM-Programme (PIM – Persönliche Informationsverwaltung), Textverarbeitungsprogramme, Tabellenkalkulationsprogramme, Internetbrowserprogramme und dergleichen. Die mobile Berechungsvorrichtung 200 enthält zudem einen nicht flüchtigen Speicher 268 innerhalb des Speichers 262. Der nicht flüchtige Speicher 268 kann verwendet werden, um beständige Informationen zu speichern, die nicht verlorengehen sollten, wenn die mobile Berechnungsvorrichtung 200 abgeschaltet wird. Die Anwendungen 266 können Informationen im Speicher 268 verwenden und speichern, wie etwa E-Mail oder andere Nachrichten, die von einer E-Mail-Anwendung verwendet werden, Kontaktinformationen, die von einer PIM verwendet werden, Verabredungsinformationen, die von einem Terminplanungsprogramm verwendet werden, Dokumente, die von einer Textverarbeitungsanwendung verwendet werden, und dergleichen. Eine Authentifizierungsanwendung befindet sich ebenfalls in der mobilen Berechnungsvorrichtung 200 und ist für die Authentifizierung in einem Drahtlosnetzwerk programmiert.
  • Die mobile Berechnungsvorrichtung 200 hat eine Stromversorgung 270, die als eine oder mehrere Batterien ausgeführt sein kann. Die Stromversorgung 270 kann weiterhin eine externe Stromquelle, wie etwa einen Wechselstromadapter oder eine mit Spannung versorgte Ladestation beinhalten, die die Batterien ersetzt oder neu auflädt.
  • Die mobile Berechnungsvorrichtung 200 ist mit zwei Typen externer Meldemechanismen dargestellt: einer LED 240 und einer Audioschnittstelle 274. Diese Vor richtungen können direkt mit der Stromversorgung 270 gekoppelt sein, so dass, wenn sie aktiviert sind, diese für eine Dauer eingeschaltet bleiben, die durch den Meldemechanismus vorgegeben ist, selbst wenn der Prozessor 260 oder andere Komponenten abschalten, um Batterieleistung zu sparen. Die LED 240 kann derart programmiert sein, dass sie unbestimmt eingeschaltet bleibt, bis der Benutzer eine Tätigkeit ausführt, um den eingeschalteten Zustand der Vorrichtung zu kennzeichnen. Die Audioschnittstelle 274 wird verwendet, um für den Benutzer hörbare Signale bereitzustellen und hörbare Signale von diesem zu empfangen. Beispielsweise kann die Audioschnittstelle 274 mit einem Lautsprecher, um eine hörbare Ausgabe bereitzustellen, und mit einem Mikrofon verbunden sein, um eine hörbare Eingabe zu empfangen, um so ein Telefongespräch zu ermöglichen.
  • Die mobile Berechungsvorrichtung 200 enthält zudem eine Drahtlosschnittstellenebene 272, die die Funktion des Sendens und Empfangens von Kommunikationen, wie etwa Hochfrequenzkommunikationen, ausführt. Die Drahtlosschnittstellenebene 272 ermöglicht eine drahtlose Konnektivität zwischen der mobilen Berechnungsvorrichtung 200 und der Außenwelt, über einen Kommunikationsträger oder einen Dienstanbieter. Sendungen zu oder von der Drahtlosschnittstellenebene 272 werden unter Steuerung des Betriebssystems ausgeführt. Mit anderen Worten können Kommunikationen, die von der Drahtlosschnittstellenebene 272 empfangen werden, an die Anwendungsprogramme 266 über das Betriebssystem verteilt werden und umgekehrt.
  • 3 ist ein Funktionsblockschaltbild, das im allgemeinen eine Ausführungsform für ein Authentifizierungssystem 300 gemäß der vorliegenden Erfindung zeigt. Bei dieser Anwendung ist der Server 340 eine Berechnungsvorrichtung, wie etwa jene, die oben in Verbindung mit 1 beschrieben wurde, und die Mobilvorrichtung 320 eine mobile Berechnungsvorrichtung, wie etwa jene, die oben in Verbindung mit 2 beschrieben wurde. Die Authentifizierungsanwendung 342 ist so eingerichtet, dass sie den Authentifizierungsvorgang zwischen dem Server 340 und der Mobilvorrichtung 320 ausführt. Bei der dargestellten Ausführungsform befinden sich die Authentifizierungsanwendungen 342 und 344 auf dem Server 340 und der Mobilvorrichtung 320.
  • Die Mobilvorrichtung 320 hält Mobildaten 322 lokal in ihrem Speicher 268 (gezeigt in 2). Während einer Authentifizierungssession tauschen die Mobilvorrichtung 320 und der Server Informationen aus, die sich auf die Authentifizierung beziehen.
  • Beispielhafter Einlogg-Vorgang
  • Die meisten Firmen, die derzeit Wi-Fi nutzen, verwenden 802.1x und unterstützen eine Vielfalt von Authentifizierungsalgorithmen. Drei dieser Authentifizierungsalgorithmen umfassen EAP-TLS (Zertifikate), PEAP und Wi-Fi-geschützten Zugriff WPA. Die EAP-TLS-Authentifizierung verwendet Zertifikate und RADIUS-Server. Die PEAP-Authentifizierung verwendet keine Zertifikate, jedoch RADIUS-Server. WPA wird als sicherer als WEP angesehen, da es die TKIP-Verschlüsselung verwendet, wobei sie jedoch in der Praxis in 802.1x beide als sicher erscheinen, da die Schlüssel rotieren. WPA hat einen zusätzlichen Vorteil gegenüber PEAP/EAP-TLS, da WPA keine Backend-RADIUS-Server verwendet. WPA verwendet weiterhin PEAP oder EAP-TLS für die Authentifizierung.
  • Gemäß einem Aspekt der Erfindung wird der Wi-Fi-Einlogg-Vorgang für Netzwerke verbessert, die 802.1x verwenden. Das Folgende sind beispielhafte Beschreibungen gemäß Aspekten der Erfindung.
  • Beispiel einer erstmaligen Verbindung (802.1x-PEAP-Netzwerk)
  • Ray führt seine Wi-Fi-Vorrichtung in den Bereich seines Firmen-Wi-Fi-Netzwerks (CORPSSID) mit, das 802.1x verwendet. Eine Dialogblase erscheint auf Rays Vorrichtung, die Ray fragt, ob er eine Verbindung zum CORPSSID herstellen möchte (Siehe 7 für eine beispielhafte Blase). Ray klickt Verbinden. Es erscheint ein Dialog, der nach den Informationen fragt, die verwendet werden, um sich in dem Netzwerk einzuloggen. Gemäß einer Ausführungsform enthalten diese Informationen den Benutzernamen, das Passwort und die Domäne (siehe 8 für einen beispielhaften Dialog). Ray gibt diese Informationen ein und loggt sich im Netzwerk ein.
  • Erstmalige Verbindung (802.1x-EAP-TLS-Netzwerk, weniger üblich)
  • Ray führt seine integrierte Wi-Fi-Vorrichtung in den Bereich seines Firmen-Wi-Fi-Netzwerkes (CORPSSID) mit, das 802.1x verwendet. Es erscheint eine Blase, die Ray fragt, ob er eine Verbindung zu CORPSSID herstellen möchte. Ray klickt Verbinden. Es erscheint ein Dialog, der nach seinem Benutzernamen/Passwort/Domäne fragt. Ray gibt diese Informationen ein und drück OK. Der AP erwartet eine EAP-TLS Authentifizierung und sendet somit einen Fehler zurück. Rays Vorrichtung erkennt diesen Fehler und schaltet den EAP-Typ zu TLS für diese SSID um, ohne dass Ray davon in Kenntnis gesetzt wird, worauf die Vorrichtung eine erneute Zuordnung/Verbindung mit Hilfe von TLS versucht. Benutzername/Domain, die zuvor eingegeben wurden, werden dem AP erneut zugestellt. Es erfolgt eine automatische Auswahl eines Zertifikates für Ray, das zum AP gesendet wird. Ray loggt sich im Netzwerk ein.
  • Erstmalige Verbindung (802.1x konfiguriert für das EAP-TLS-Netzwerk, der Benutzer verfügt über mehrere mögliche Zertifikate)
  • Ray führt seine integrierte Wi-Fi-Vorrichtung in den Bereich seines Firmen-Wi-Fi-Netzwerkes (CORPSSID) mit, das 802.1x verwendet. Es erscheint eine Blase, die Ray fragt, ob er eine Verbindung zu CORPSSID herstellen möchte. Ray klickt Verbinden. Es erscheint ein Dialog, der nach Benutzername/Domain fragt. Ray gibt diese Informationen ein und tippt OK. Es erscheint ein Dialog, der den Benutzer auffordert, ein Zertifikat zu wählen (siehe 10 für einen beispielhaften Zertifikatsbildschirm). Ray wählt das nicht abgelaufene Zertifikat, das von seiner Firma ausgegeben wird. Ray loggt sich im Netzwerk ein.
  • Erstmalige Verbindung (802.1x konfiguriert für das EAP-TLS-Netzwerk, Benutzer hat keine Zertifikate)
  • Ray führt seine integrierte Wi-Fi-Vorrichtung in den Bereich seines Firmen-Wi-Fi-Netzwerkes (CORPSSID) mit, das 802.1x verwendet. Es erscheint eine Blase, die Ray fragt, ob er eine Verbindung zu CORPSSID herstellen möchte. Ray klickt Verbinden. Es erscheint ein Dialog, der nach Benutzername/Domain fragt. Ray gibt diese Informationen ein und tippt OK. Es erscheint eine Fehlernachricht, die Ray mitteilt, dass er ein Zertifikat benötigt und er seinen Administrator kontaktieren sollte. Wenn der AP PEAP zurücksendet zeigt, alternativ die Fehlernachricht nicht an, dass ein Zertifikat vom Benutzer benötigt wird.
  • Anschließende Verbindungen an beliebiger Stelle
  • Benutzer mit Wi-Fi geht in den Bereich eines Wi-Fi-Netzwerkes und stellt ohne Verwendung einer Benutzerschnittstelle (UI) eine Verbindung her.
  • PEAP-(standard) im Vergleich zur EAP-TLS-Authentifizierung
  • Gemäß einer weiteren Ausführungsform der Erfindung ist PEAP das vorherrschende Authentifizierungsverfahren. PEAP erfordert keine Zertifikate. Die vorliegende Erfindung ist auf andere Authentifizierungsverfahren erweiterbar.
  • Gemäß einer Ausführungsform legt das Betriebssystem Registrierungseinstellungen mit Kennzeichen dar, die kennzeichnen, ob ein spezielles Authentifizierungsverfahren einen Aufruf in die Benutzernamen-/Passwort-/Domain-Benutzerschnittstelle (für PEAP) oder die Benutzernamen-/Domäne-UI (für TLS) verlangt.
  • Gemäß einer Ausführungsform verwenden nach einem erfolgreichen Einloggen zukünftige Einloggvorgänge keine UI. Gemäß einer Ausführungsform kann der Benutzername/die Domäne auch vorgefüllt und UI-los sein.
  • Vorgangsabläufe
  • 4 zeigt einen Vorgang zum Einloggen in ein Netzwerk mit PEAP gemäß Aspekten der Erfindung. Nach dem Beginn schreitet der Vorgang zu Block 405 fort, bei dem ein neues Drahtlosnetzwerk erfasst wird. Mit einem Fortschreiten zu Block 410 klickt der Benutzer Verbinden, um eine Verbindung zum Netzwerk zu beginnen. Bei dem Entscheidungsblock 415 erfolgt eine Bestimmung, ob die Einlogg-Informationen für die Domäne gesichert wurden. Wurden die Informationen nicht gesichert, kehrt der Vorgang zu Block 420 zurück, bei dem der Benutzer aufgefordert wird, sich für die erforderlichen Informationen im Netzwerk einzuloggen. Gemäß einer Ausführungsform enthalten diese Informationen einen Benutzernamen, ein Passwort und eine Domäne. Wurden die Informationen gesichert, kehrt der Vorgang zu Block 425 zurück, bei dem der Benutzername und die Domäne zum AP gesendet werden. Der Vorgang schreitet anschließend zum Entscheidungsblock 430 fort, bei dem eine Bestimmung erfolgt, ob der Benutzername/die Domäne akzeptiert wird. Wird der Benutzername/die Domäne nicht akzeptiert, kehrt der Vorgang zu Block 435 zurück, um die Informationen erneut anzufordern. Werden die Informationen akzeptiert, kehrt der Vorgang zu Block 440 zurück, bei dem die Informationen für die PEAP-Autorisierung gesendet werden. Übergehend zu Block 445 erfolgt eine Bestimmung, ob Berechtigungsnachweise akzeptiert werden. Werden sie nicht akzeptiert, schreitet der Vorgang zu Block 450 fort, bei dem eine Fehlernachricht gesendet wird. Werden die Berechtigungsnachweise akzeptiert, ist das Einloggen erfolgreich (Block 455) und der Vorgang kehrt zur Verarbeitung anderer Aktionen zurück.
  • 5 zeigt einen Vorgang eines versuchten PEAP-Einloggens in einem TLS-Netzwerk (Fehlerfall) gemäß Aspekten der Erfindung. Nach dem Beginn schreitet der Vorgang zu Block 505 fort, bei dem ein neues Drahtlosnetzwerk erfasst wird. Mit einem Fortschreiten zu Block 510 klickt der Benutzer Verbinden, um eine Verbindung zum Netzwerk zu beginnen. Mit einem Fortschritt zum Entscheidungsblock 515 erfolgt eine Bestimmung, ob die Einlogg-Informationen für die Domäne gesichert wurden. Wurden die Informationen nicht gesichert, schreitet der Vorgang zu Block 520 fort, bei dem von einem Benutzer die Informationen angefordert werden, die für ein Einloggen im Netzwerk erforderlich sind. Gemäß einer Ausfüh rungsform enthalten diese Informationen einen Benutzernamen, ein Passwort und eine Domäne. Wurden die Informationen gesichert, schreitet der Vorgang zu Block 525 fort, bei dem der Benutzername und die Domäne zum AP gesendet werden. Der Vorgang schreitet anschließend zu einem Entscheidungsblock 530 fort, bei dem eine Entscheidung erfolgt, ob der Benutzername/die Domäne akzeptiert wird. Wird der Benutzername/die Domäne nicht akzeptiert, schreitet der Vorgang zu Block 535 fort, um die Informationen erneut anzufordern. Erfolgt eine nicht erfolgreiche Autorisation, schaltet der AP automatisch die Authentifizierungsprozedur zur TLS-Autorisation ohne Eingreifen durch den Benutzer um, und der Autorisationsvorgang wird mit Hilfe von TLS anstelle von PEAP neu gestartet (Block 540). Der Vorgang kehrt dann zur Verarbeitung anderer Vorgänge zurück.
  • 6 zeigt einen Vorgang für die TLS-Authentifizierung und das Wählen von Zertifikaten gemäß Aspekten der Erfindung. Nach dem Beginn schreitet der Vorgang zu Block 605 fort, bei dem ein Drahtlosnetzwerk erfasst wird. Fortschreitend zu Block 610 klickt der Benutzer Verbinden, um ein Verbinden zum Netzwerk zu beginnen. Bei Block 615 wird eine Entscheidung getroffen, ob die Einlogg-Informationen gesichert wurden. Wurden die Informationen nicht gesichert, kehrt der Vorgang zu Block 620 zurück, bei dem von einem Benutzer die Informationen angefordert werden, die erforderlich sind, um sich im Netzwerk einzuloggen. Gemäß einer Ausführungsform enthalten diese Informationen einen Benutzernamen und eine Domäne. Wurden die Informationen gesichert, schreitet der Vorgang zu Block 625 fort, bei dem der Benutzername und die Domäne zum AP gesendet werden. Der Vorgang schreitet dann zu Block 630 fort, bei dem eine Bestimmung erfolgt, ob der Benutzername/die Domäne akzeptiert wird. Werden der Benutzername/die Domäne nicht akzeptiert, schreitet der Vorgang zu Block 635 fort, um die Informationen abzufragen. Beim Entscheidungsblock 640 wird eine Entscheidung getroffen, ob der Benutzer Client-Zertifikate hat. Hat der Benutzer keine Client-Zertifikate, schreitet der Vorgang zu Block 645 fort, bei dem eine Fehlernachricht gesendet wird und der Benutzer möglicherweise dabei unterstützt wird, ein Zertifikat zu beziehen. Hat der Benutzer ein Zertifikat, schreitet der Vorgang zu Schritt 650 fort, bei dem eine Entscheidung getroffen wird, ob dem Benutzer mehr als ein Zertifikat für den Benutzernamen und die Domäne zugeführt wurde. Hat der Benutzer nicht mehr als ein Zertifikat, schreitet der Vorgang zu Block 655 fort, bei dem das Zertifikat automatisch gewählt wird. Hat der Benutzer mehr als ein Zertifikat, kehrt der Vorgang zu Block 660 zurück und der Benutzer wählt ein Zertifikat aus einer Auswahl von Zertifikaten. Bei Block 665 erfolgt eine Bestimmung, ob das Zertifikat akzeptiert wird. Wird das Zertifikat nicht akzeptiert, schreitet der Vorgang zu Block 670 fort, bei dem eine Fehlernachricht zum Benutzer zurückgesendet wird und dem Benutzer Hilfe zur Verfügung gestellt wird, um das Problem mit dem Zertifikat zu korrigieren. Wird das Zertifikat akzeptiert, schreitet der Vorgang zu Block 675 fort, bei dem das Einloggen erfolgreich ist. Der Vorgang kehrt dann zur Verarbeitung anderer Aktionen zurück.
  • 7 bis 13 zeigen beispielhafte Bildschirmfotos gemäß Aspekten der Erfindung.
  • 7 zeigt ein beispielhaftes Bildschirmfoto für ein neues erfasstes Netzwerk gemäß Aspekten der Erfindung. Wie dargestellt, erscheint eine Blase für ein erfasstes Wi-Fi-Netzwerk. Gemäß dieser Ausführungsform wählt der Benutzer eine Verbindung zum Internet.
  • 8 zeigt ein beispielhaftes Bildschirmfoto für das Einloggen an einem Netzwerk-Server unter Verwendung von PEAP gemäß Aspekten der Erfindung. Wie gezeigt, wird der Benutzer nach den Informationen gefragt, die verwendet werden, um sich im Netzwerk einzuloggen. Gemäß einer Ausführungsform enthalten die Informationen den Benutzernamen, das Passwort und die Domäne. Nachdem der Benutzer OK geklickt hat, sendet die Vorrichtung den/die Benutzernamen-/Domänen-Informationen zum AP. Der Benutzername/die Domäne werden gesichert, wenn sie akzeptiert werden; andernfalls wird dieser Dialog mit dem/der zuvor typisierten Benutzernamen/Domäne wiederholt. Der AP fragt anschließend nach der PEAP-Authentifizierung. Sind Benutzername/Passwort/Domäne akzeptiert, ist der Benutzer fertig. Das Passwort ist gesichert, wenn der Benutzer das Kontrollkästchen markiert hat. Gemäß einer Ausführungsform beendet, sofern das Passwort abgelehnt wird, der AP die Zuordnung und wird eine Fehlernachricht angezeigt. Fragt der AP nach einem alternativen Typ einer Authentifizierung, wird der Einlogg-Vorgang neugestartet und das SSID umgeschaltet, um diesen neuen Autorisationstyp zu verwenden.
  • 9 zeigt ein beispielhaftes Bildschirmfoto für das Einloggen an einem Netzwerk-Server unter Verwendung von TLS gemäß Aspekten der Erfindung. Wie gezeigt, werden, wenn TLS verwendet wird, der Benutzername/die Domäne angefordert. Ist dies ein erstmaliges Einloggen und hat der Benutzer keine Einstellungen angeklickt, um TLS zu wählen, ist PEAP die Voreinstellung und der Benutzer erhält den PEAP-Eindruck, gefolgt von einem Fehler, da er nicht einloggen kann. Nachdem der Benutzer OK geklickt hat, sendet die Vorrichtung Benutzernamen-/Domänen-Informationen zum AP. Der Benutzername/die Domäne werden gesichert, wenn sie akzeptiert werden; andernfalls wird dieser Dialog mit dem/der zuvor typisierten Benutzernamen/Domäne wiederholt. Wenn der AP nach einem alternativen Typ der Authentifizierung fragt, wird der Einloggvorgang automatisch neugestartet und diese SSID umgeschaltet, um einen neuen Autorisationstyp zu verwenden.
  • 10 zeigt ein beispielhaftes Bildschirmfoto, wenn TLS nicht automatisch das Zertifikat wählt, gemäß Aspekten der Erfindung. Der Benutzername/die Domäne gestattet im allgemeinen das automatische Wählen eines geeigneten Client-Zertifikates. Funktioniert dieses, gibt es nicht länger eine UI. Sind keine geeigneten Client-Zertifikate verfügbar, wird eine Fehlernachricht angezeigt und kann ein Angebot gemacht werden, den Benutzer zur Zertifikatsverwaltungs-UI zu überführen.
  • Gemäß einer Ausführungsform zeigt die Wähle-ein-Zertifikat-UI, die in 10 gezeigt ist, lediglich geeignete Client-Zertifikate und nicht alle Client-Zertifikate. Gemäß einer Ausführungsform wählt das Tasten auf ein Zertifikat dieses Zertifikat. Tasten&Halten zeigt einen Menüpunkt: Eigenschaften. Das Wählen der Eigenschaften geht zur Zertifikats-Eigenschaftsseite. Wird das gewählte Zertifikat abgelehnt, wird eine Fehlermeldung ("das Zertifikat wurde nicht akzeptiert") angezeigt.
  • 11 zeigt beispielhafte Eigenschaften eines Zertifikates gemäß Aspekten der Erfindung. Ist das Netzwerk nicht geschützt, hat der Client Zeitgrenzen, den AP nach der 802.1x-Unterstützung fragen. Dies kann bis zu 9 Sekunden (3 Neuversuche mit jeweils 3 Sekunden) dauern. Sobald eine Verbindung zum ungeschützten Netzwerk hergestellt ist, wird die Benutzereinstellung geändert, um eine Verbindung zu diesem SSID herzustellen, ohne das 802.1x aktiviert ist. Gemäß einer Ausführungsform dieser Erfindung werden infolge der Arbeitsweise der APs nicht alle geeigneten Zertifikate automatisch durchlaufen. Nachdem das Zertifikat fehlgeschlagen ist, beendet der AP die Zuordnung. Anstelle dessen führt das System eine Neuzuordnung aus, und versucht es erneut.
  • 12 zeigt eine beispielhafte Fortschritts-UI gemäß Aspekten der Erfindung. Gemäß einer Ausführungsform ist der Fortschritt in zwei Fällen gezeigt. Unmittelbar nachdem der Benutzer Verbinden auf der Blase klickt, bis zu dem Punkt, an dem eine Einlogg-UI dargestellt wird (z. B. Benutzername/Passwort, Zertifikatswähler). Dies ist hilfreich dabei, sicherzustellen, dass dieser Zustand während potentieller Verzögerungen angezeigt wird (z. B. Ausprobieren von 802.1x in einem ungeschützten Netzwerk).
  • Sofern der AP nach einem anderen Typ der Authentifizierung fragt, als jenem, der momentan versucht wird, wird die Fortschrittsblase gezeigt, wenn das System auf eine Neuzuordnung wartet (dies kann bis zu 60 Sekunden dauern). Für den Fall, bei dem beispielsweise zuerst die PEAP-Authentifizierung und anschließend TLS versucht wird, klickt der Benutzer Verbinden, worauf die Fortschritts-UI gezeigt wird. Benutzername/Passwort/Domäne wird angefragt, der AP fragt nach TLS, der Vorgang wird neugestartet, die Fortschritts-UI wird erneut gezeigt und der Benutzer loggt sich im Netzwerk ein.
  • Das Klicken der Einstellungsverknüpfung bricht die momentane Verbindung ab und geht zu den Drahtlosnetzwerkeinstellungen über. Abbruch bricht die Wi-Fi-Verbindung ab. Verbergen verbirgt die Blase.
  • 113 zeigt einen beispielhaften Netzwerkkonfigurations-Authentifizierungsdialog gemäß Aspekten der Erfindung. Die Authentifizierung, die Datenverschlüsselung, die Tasteneinstellungen und die Zugriffssteuerungen können gemäß einer Ausführungsform der Erfindung konfiguriert werden.
  • Die obige Beschreibung, Beispiele und Daten stellen eine vollständige Beschreibung der Herstellung und der Verwendung des Aufbaus der Erfindung bereit. Da zahlreiche Ausführungsformen der Erfindung möglich sind, ohne vom Geltungsbereich der Erfindung abzuweichen, liegt die Erfindung in den Ansprüchen, die im folgenden angefügt sind.

Claims (20)

  1. Verfahren für eine Clientvorrichtung für automatische Benutzerauthentifizierung in einem drahtlosen Netzwerk, das durch ein Authentifizierungsprotokoll geschützt ist, umfassend: Erkennen eines drahtlosen Netzwerks durch die Clientvorrichtung und Auffordern eines Benutzers der Clientvorrichtung zu einer Netzwerkverbindungsbestätigung, nach Empfangen der Netzwerkverbindungsbestätigung, Versuchen durch die Clientvorrichtung, den Benutzer in dem erkannten drahtlosen Netzwerk mit Hilfe eines Standardauthentifizierungsprotokolls zu authentifizieren, und Bestimmen durch die Clientvorrichtung, ob die Authentifizierung erfolglos ist, und, wenn erfolglos, automatisches Wechseln zu einem anderen Authentifizierungsprotokoll, das das drahtlose Netzwerk anfordert, und Versuchen von Authentifizierung mit Hilfe des anderen Authentifizierungsprotokolls.
  2. Verfahren nach Anspruch 1, wobei das Versuchen, den Benutzer mit Hilfe des Standardauthentifizierungsprotokolls zu authentifizieren, des Weiteren das Beziehen von Information, die verwendet wird, um den Benutzer zu authentifizieren, umfasst.
  3. Verfahren nach Anspruch 2, wobei das Beziehen der Information, die verwendet wird, um den Benutzer zu authentifizieren, des Weiteren das Beziehen eines Benutzernamens und einer Benutzerdomain umfasst.
  4. Verfahren nach Anspruch 2, wobei das Beziehen von Information, die verwendet wird, um den Benutzer zu authentifizieren, des Weiteren das Verwenden einer Benutzerschnittstelle (UI), um die Information zu beziehen, umfasst.
  5. Verfahren nach Anspruch 1, wobei das Beziehen der Information, die verwendet wird, um den Benutzer zu authentifizieren, des Weiteren das Abrufen der Information aus einem Datenspeicher umfasst.
  6. Verfahren nach Anspruch 3, das des Weiteren das Beziehen eines Passwortes umfasst.
  7. Verfahren nach Anspruch 1, wobei das Standardauthentifizierungsprotokoll das PEAP ist.
  8. Verfahren nach Anspruch 7, wobei das andere Authentifizierungsprotokoll das TLS-Protokoll ist.
  9. Verfahren nach Anspruch 8, wobei automatisch ein Zertifikat, das mit dem Benutzer und dem TLS-Protokoll assoziiert ist, ausgewählt wird.
  10. Verfahren nach Anspruch 8, wobei der Benutzer ein Zertifikat auswählt.
  11. Verfahren nach Anspruch 1, wobei das Bestimmen, ob die Authentifizierung erfolglos ist, des Weiteren das Empfangen eines Fehlers umfasst, der anzeigt, dass die Authentifizierung erfolglos ist.
  12. Verfahren nach Anspruch 1, das des Weiteren das Bestimmen, wann der Benutzer Verbindung mit einem WEP-Netzwerk wünscht, und wenn, das Beziehen eines WEP-Schlüssels und das Deaktivieren von 802.1x für das WEP-Netzwerk, wenn die Verbindung mit dem Netzwerk erfolgreich ist, umfasst.
  13. Clientvorrichtung für automatische Authentifizierung eines Benutzers in einem drahtlosen Netzwerk, das durch ein Authentifizierungsprotokoll geschützt ist, umfassend: Mittel zum Erkennen eines drahtlosen Netzwerks und zum Auffordern eines Benutzers der Clientvorrichtung zu einer Netzwerkverbindungsbestätigung, Mittel zum Versuchen, nach dem Empfang der Netzwerkverbindungsbestätigung, den Benutzer in dem erkannten drahtlosen Netzwerk mit Hilfe eines Standardauthentifizierungsprotokolls zu authentifizieren, und Mittel zum Bestimmen, ob die Authentifizierung erfolglos ist, und, wenn erfolglos, automatisches Wechseln zu einem anderen Authentifizierungsprotokoll, das das drahtlose Netzwerk anfordert, und Versuchen von Authentifizierung mit Hilfe des anderen Authentifizierungsprotokolls.
  14. Clientvorrichtung nach Anspruch 13, die des Weiteren eine Anzeige zum Anfordern von Information, die verwendet wird, um den Benutzer zu authentifizieren, umfasst.
  15. Clientvorrichtung nach Anspruch 13, die des Weiteren so eingerichtet ist, dass sie Information, die verwendet wird, um den Benutzer zu authentifizieren, aus einem Datenspeicher bezieht.
  16. Clientvorrichtung nach Anspruch 13, wobei das Standardauthentifizierungsprotokoll das PEAP ist.
  17. Clientvorrichtung nach Anspruch 16, wobei das andere Authentifizierungsprotokoll das TLS-Protokoll ist.
  18. Clientvorrichtung nach Anspruch 17, die des Weiteren so eingerichtet ist, dass sie automatisch ein Zertifikat auswählt, das mit dem Benutzer und dem TLS-Protokoll assoziiert ist.
  19. Clientvorrichtung nach Anspruch 13, die des Weiteren so eingerichtet ist, dass sie eine Fehlernachricht von einer anderen Vorrichtung empfängt, wenn die Authentifizierung erfolglos ist.
  20. Clientvorrichtung nach Anspruch 13, die des Weiteren Mittel zum Bestimmen, wann der Benutzer Verbindung mit einem WEP-Netzwerk wünscht, und wenn, zum Beziehen eines WEP-Schlüssels und zum Deaktivieren von 802.1x für das WEP-Netzwerk, wenn die Verbindung mit dem Netzwerk erfolgreich ist, umfasst.
DE60317753T 2002-10-21 2003-10-14 Verfahren und Vorrichtung zur automatischen Client-Authentifizierung in einem drahtlosen Netzwerk, das durch PEAP, EAP-TLS oder andere erweiterbare Authentifizierungsprotokolle geschützt wird Expired - Lifetime DE60317753T2 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US427034 1995-04-24
US42036502P 2002-10-21 2002-10-21
US420365P 2002-10-21
US10/427,034 US7448068B2 (en) 2002-10-21 2003-04-29 Automatic client authentication for a wireless network protected by PEAP, EAP-TLS, or other extensible authentication protocols

Publications (2)

Publication Number Publication Date
DE60317753D1 DE60317753D1 (de) 2008-01-10
DE60317753T2 true DE60317753T2 (de) 2008-07-17

Family

ID=32073528

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60317753T Expired - Lifetime DE60317753T2 (de) 2002-10-21 2003-10-14 Verfahren und Vorrichtung zur automatischen Client-Authentifizierung in einem drahtlosen Netzwerk, das durch PEAP, EAP-TLS oder andere erweiterbare Authentifizierungsprotokolle geschützt wird

Country Status (4)

Country Link
US (1) US7448068B2 (de)
EP (1) EP1414214B1 (de)
AT (1) ATE379913T1 (de)
DE (1) DE60317753T2 (de)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7698550B2 (en) 2002-11-27 2010-04-13 Microsoft Corporation Native wi-fi architecture for 802.11 networks
JP2004274310A (ja) 2003-03-07 2004-09-30 Sony Ericsson Mobilecommunications Japan Inc 移動端末装置
US7505596B2 (en) * 2003-12-05 2009-03-17 Microsoft Corporation Automatic detection of wireless network type
US20050160287A1 (en) * 2004-01-16 2005-07-21 Dell Products L.P. Method to deploy wireless network security with a wireless router
US7379904B2 (en) * 2004-02-12 2008-05-27 At&T Delaware Intellectual Property, Inc. Method and storage medium for obtaining an offer for a sale of a product or a service
US7426550B2 (en) * 2004-02-13 2008-09-16 Microsoft Corporation Extensible wireless framework
US20050278778A1 (en) * 2004-05-28 2005-12-15 D Agostino Anthony Method and apparatus for credential management on a portable device
KR20050122343A (ko) * 2004-06-24 2005-12-29 엑서스테크놀러지 주식회사 네트워크 통합 관리 시스템
DE602004029826D1 (de) 2004-08-20 2010-12-09 Telecom Italia Spa Verfahren zur registrierung von nutzer-endeinrichtungen in einem drahtlosen lokalen kommunikationsnetz
US8127136B2 (en) 2004-08-25 2012-02-28 Samsung Electronics Co., Ltd Method for security association negotiation with extensible authentication protocol in wireless portable internet system
US7587393B2 (en) * 2004-12-20 2009-09-08 Microsoft Corporation Long running requests
US20060271485A1 (en) * 2005-03-12 2006-11-30 Jiwire, Inc. Wireless connectivity security technique
US20060218393A1 (en) * 2005-03-23 2006-09-28 Hernandez Hendrich M Systems and methods for adaptive authentication
US8286223B2 (en) 2005-07-08 2012-10-09 Microsoft Corporation Extensible access control architecture
US10764264B2 (en) 2005-07-11 2020-09-01 Avaya Inc. Technique for authenticating network users
US8707395B2 (en) * 2005-07-11 2014-04-22 Avaya Inc. Technique for providing secure network access
WO2007063196A1 (fr) * 2005-12-02 2007-06-07 Sebban Mickael Procede d'acces a internet par un reseau sans fil depuis une station mobile
US8005459B2 (en) * 2005-12-16 2011-08-23 Research In Motion Limited System and method of authenticating login credentials in a wireless communication system
KR100740863B1 (ko) * 2006-02-28 2007-07-19 포스데이타 주식회사 무선통신 시스템에서 확장된 인증 프로토콜 기반의 인증방법 및 시스템
US9408077B1 (en) 2006-06-16 2016-08-02 Nokia Corporation Communication action bar in a multimodal communication device
US7966489B2 (en) * 2006-08-01 2011-06-21 Cisco Technology, Inc. Method and apparatus for selecting an appropriate authentication method on a client
KR100749720B1 (ko) 2006-08-18 2007-08-16 삼성전자주식회사 다중 인증 정책을 지원하는 접속노드 장치 및 방법
US7707415B2 (en) * 2006-09-07 2010-04-27 Motorola, Inc. Tunneling security association messages through a mesh network
US8578159B2 (en) * 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network
US20080077972A1 (en) * 2006-09-21 2008-03-27 Aruba Wireless Networks Configuration-less authentication and redundancy
US8412942B2 (en) * 2007-01-22 2013-04-02 Arris Group, Inc. Method and system for seamless SSID creation, authentication and encryption
US20090204725A1 (en) * 2008-02-13 2009-08-13 Microsoft Corporation Wimax communication through wi-fi emulation
JP4881922B2 (ja) * 2008-07-31 2012-02-22 キヤノン株式会社 通信装置、画像入力装置、画像出力装置、無線通信回路、通信装置の制御方法、プログラム
US8467532B2 (en) 2010-01-04 2013-06-18 Tata Consultancy Services Limited System and method for secure transaction of data between a wireless communication device and a server
EP2634993B1 (de) 2012-03-01 2017-01-11 Certicom Corp. Vorrichtungen und Verfahren zum Verbinden von Client-Vorrichtungen mit einem Netzwerk
JP5980961B2 (ja) * 2012-03-08 2016-08-31 インテル コーポレイション マルチファクタ認証局
WO2013168375A1 (ja) * 2012-05-07 2013-11-14 日本電気株式会社 セキュリティ設計装置及びセキュリティ設計方法
US10511448B1 (en) * 2013-03-15 2019-12-17 Jeffrey E. Brinskelle Secure communications improvements
JP6157222B2 (ja) * 2013-05-30 2017-07-05 キヤノン株式会社 通信装置、制御方法、及びプログラム
US9344425B2 (en) 2013-09-25 2016-05-17 Wells Fargo Bank, N.A. Dynamic object creation and certificate management
CN109299010A (zh) * 2018-09-25 2019-02-01 深圳壹账通智能科技有限公司 mock测试方法、装置、计算机设备和存储介质
US11444935B2 (en) * 2019-12-11 2022-09-13 Arris Enterprises Llc Certificate-based client authentication and authorization for automated interface

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6055575A (en) 1997-01-28 2000-04-25 Ascend Communications, Inc. Virtual private network system and method
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
US7050993B1 (en) * 2000-04-27 2006-05-23 Nokia Corporation Advanced service redirector for personal computer
US20020013831A1 (en) 2000-06-30 2002-01-31 Arto Astala System having mobile terminals with wireless access to the internet and method for doing same
US7941669B2 (en) * 2001-01-03 2011-05-10 American Express Travel Related Services Company, Inc. Method and apparatus for enabling a user to select an authentication method
JP3983035B2 (ja) * 2001-11-19 2007-09-26 富士通株式会社 ユーザ端末認証プログラム
US6996714B1 (en) * 2001-12-14 2006-02-07 Cisco Technology, Inc. Wireless authentication protocol
US7206791B2 (en) * 2002-01-17 2007-04-17 International Business Machines Corporation System and method for managing and securing meta data
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
AU2003265434A1 (en) * 2002-08-12 2004-02-25 Wireless Security Corporation Fine grained access control for wireless networks

Also Published As

Publication number Publication date
EP1414214A3 (de) 2005-04-06
US7448068B2 (en) 2008-11-04
US20040078597A1 (en) 2004-04-22
DE60317753D1 (de) 2008-01-10
EP1414214B1 (de) 2007-11-28
EP1414214A2 (de) 2004-04-28
ATE379913T1 (de) 2007-12-15

Similar Documents

Publication Publication Date Title
DE60317753T2 (de) Verfahren und Vorrichtung zur automatischen Client-Authentifizierung in einem drahtlosen Netzwerk, das durch PEAP, EAP-TLS oder andere erweiterbare Authentifizierungsprotokolle geschützt wird
DE60205289T2 (de) System und Verfahren zur gesicherte Funkübertragung von Konfigurationsdaten
DE60314601T2 (de) System und Verfahren zur Dienstbereitsstellung für ein Kommunikationsgerät
DE60027971T2 (de) Einmalige Anmeldung in einem Netzwerksystem, das mehrere gesondert steuerbare Ressourcen mit begrenztem Zugang enthält
DE60308692T2 (de) Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung
DE19722424C5 (de) Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
DE60112374T2 (de) Verfahren und System zur Fernsteuerung eines tragbaren Endgerätes und Computerprodukt
DE60316019T2 (de) Verfahren, systeme und computerprogrammprodukte für nichtinvasive verwaltung einer mobilfunkstation
DE60309553T2 (de) Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang
DE602004012602T2 (de) Verfahren und vorrichtung zur personalisierung und identitätsverwaltung
DE69924631T2 (de) Zugriffsverfahren auf einen server-computer
DE112013002539B4 (de) Validierung mobiler Einheiten
DE102015120902A1 (de) Fernerlaubnissteuerung und -überwachung von Fahrzeuganwendungen
US9213806B2 (en) Managing and providing access to applications in an application-store module
DE10392283T5 (de) System, Verfahren und Vorrichtung für verbündete einzelne Dienstleistungen mit Anmeldeverfahren beziehungsweise Sign-On-Dienstleistungen
DE602004001384T2 (de) Automatischer authentifikationsauswahlserver
DE602004009023T2 (de) Servervorrichtung
DE112017002794T5 (de) Verfahren und vorrichtung zum ausstellen eines berechtigungsnachweises für ein incident area network
DE60219794T2 (de) Multimodale sessionsunterstützung über unterschiedliche mehrkanalprotokolle
EP2835946A1 (de) Verfahren zur Personalisierung von Cloud basierenden Web RCS-Clients
DE102015103357A1 (de) Verbindung von personen und dingen über mobile-messaging-privatsphäre/sicherheit-brokersystem
DE102014204344B4 (de) Authentifizierungsvorrichtung, Authentifizierungssystem und Authentifizierungsverfahren
DE69937718T2 (de) Verfahren zum mobilstationseitigen Zugriff auf von einem Server gelieferte Dienste und zugehöriges Teilnehmeridentitätsmodul und Endgerät
DE102020105061A1 (de) Verfahren und vorrichtung für fahrzeugunterstützte dynamische mehrfaktorauthentifizierung
DE102018105495B4 (de) Verfahren und System zum Ermitteln einer Konfiguration einer Schnittstelle

Legal Events

Date Code Title Description
8364 No opposition during term of opposition