Способ и устройство для повторной аутентификации в системе сотовой связи
Изобретение относится к области аутентификации в сетях передачи данных. Технический результат заключается в обеспечении гарантированной повторной аутентификации сервером аутентификации, санкционирования и учета (АСУ), отличным от сервера АСУ, выполнявшего полную аутентификацию. Сущность изобретения заключается в том, что после первой полной аутентификации сеанса связи между терминалом (21) и сервером (24) с помощью первого сервера (23 а) аутентификации осуществляют: этап (11), на котором каждому из первого сервера (23а) аутентификации и других серверов (23b) аутентификации назначают соответственное уникальное имя области действия; и этап (13), на котором во время аутентификации между терминалом и первым сервером (23а) аутентификации первый сервер (23а) аутентификации передает в терминал (21) опознавательный код повторной аутентификации, включающий в себя уникальное имя области действия, назначенное первому серверу аутентификации. Затем, во время повторной аутентификации, чтобы сделать возможным, чтобы повторная аутентификация выполнялась с помощью того же самого сервера (23а) аутентификации, который выполнял полную аутентификацию, т.е. с помощью первого сервера (23а) аутентификации, опознавательный код повторной аутентификации включают в запрос повторной аутентификации. 9 н. и 5 з.п. ф-лы, 2 ил.
Настоящая заявка основана на предварительной заявке США, серийный №60/416481, зарегистрированной 3 октября 2002 г. и озаглавленной “Аутентификация САК РПА и МИА”.
Область техники, к которой относится изобретение
Настоящее изобретение относится к механизму расширяемого протокола аутентификации (ЕАР, РПА), предназначенному для аутентификации и распространения ключа сеанса в системе связи, такому как механизм РПА для соглашения об аутентификации и о распространении ключа (сеанса) (АКА, САК) универсальной мобильной телекоммуникационной системы (UMTS, УМТС), а также такому как механизм РПА для САК, как реализован в модуле идентификации абонента (SIM, МИА), используемом в глобальной системе мобильной связи (GSM, ГСМС). Более конкретно, настоящее изобретение относится к повторной аутентификации в системе связи, которая использует механизм РПА для аутентификации МИА ГСМС или САК ГСМС.
Уровень техники
САК основано на механизмах вызова-ответа и симметричной криптографиии и в УМТС является таковым, как представлено в TS (техническая спецификация) 3GPP (Программа проекта партнерства третьего поколения) 33.102 V3.6.0 “Technical Specification Group Services and System Aspects; 3G Security; Security Architecture” (версия 1999 г.), “3rd Generation Partnership Project”, November 2000. САК обычно выполняется в модуле идентификации абонента УМТС (USIM, МИАУ), устройстве подобном смарт-карте. Однако возможность применения САК не ограничена клиентскими устройствами со смарт-картами, например, механизм САК также может быть реализован в программном обеспечении главной машины. САК также обеспечивает обратную совместимость с механизмом аутентификации ГСМС, представленном в GSM 03.20 (ETS 300 534): “Digital cellular telecommunication system (Phase 2); Security related network functions”, European Telecommunications Standards Institute, August 1997. По сравнению с механизмом ГСМС САК обеспечивает, по существу, большие длины ключей, а также аутентификацию стороны сервера (а также стороны клиента).
Для того чтобы для клиентского устройства, такого как беспроводный терминал (более конкретно, такого как подвижная станция), использовать службы, предоставляемые с помощью сервера, такого как сервер в системе связи, обеспечиваемой и управляемой оператором (или, на самом деле, службы сервера любого типа сети, включая, например, Internet), терминал или пользователь должен в некоторых случаях (для некоторых сетей и для некоторых служб этих сетей) аутентифицировать себя в сервере и наоборот (последнее, по меньшей мере, в некоторых сетях, особенно УМТС), т.е. каждая сторона должна доказать другой стороне, что она является тем, кем себя заявляет. В коммутируемых сетях, беспроводных LANs, ЛС (локальная сеть), проводных сетях ЛС и различных сетях цифровых абонентских линий (xDSL, ЦАЛ) оператор сети обычно использует, так называемый, сервер ААА, АСУ (аутентификация, санкционирование и учет), чтобы аутентифицировать клиента и, чтобы аутентифицировать сервер сети оператора, в который клиент направил запрос служб (или, чтобы аутентифицировать сеть оператора независимо от любого конкретного сервера). Сервер АСУ может отвечать за сохранение совместных секретов и другой “верительной” информации, необходимой для аутентификации пользователей (терминалов с компонентами, специфическими для конкретного пользователя и, таким образом, идентифицирующими пользователя), или сервер АСУ может использовать отдельный сервер базы данных пользователя для запоминания “верительной” информации. Расширяемый протокол аутентификации (РПА) часто используется в сетях, которые используют сервер АСУ для аутентификации между сервером АСУ и терминалом. Если оператор сети является оператором сотовой сети сетей УМТС или ГСМС, способ РПА может пакетировать соглашение об аутентификации и о ключе усовершенствованной ГСМС, как в МИА РПА, или соглашение об аутентификации и о ключе усовершенствованной УМТС, как в САК РПА. Терминал обменивается пакетами аутентификации с обслуживающим устройством в локальной сети. Обслуживающее устройство является различным в разных типах сетей, но оно может быть, например, пунктом доступа беспроводной ЛС, коммутатором Ethernet или сервером доступа коммутационной сети (NAS, СДС). Обслуживающее устройство обычно работает как так называемый клиент АСУ, и клиент АСУ и сервер АСУ выполняют аутентификацию с использованием так называемого протокола АСУ.
В начале сеанса связи, который установлен с МИА РПА или САК РПА, терминал и сервер АСУ выполняют так называемую в настоящем описании полную аутентификацию, т.е. аутентификацию, начинающуюся из состояния, в котором ни терминал, ни сервер АСУ не имеют никакого основания для аутентификации другого.
После того как полная аутентификация установлена, может быть, что после некоторого заранее определенного времени или в случае, когда выполняется некоторое другое условие, требуется повторная аутентификация, чтобы уменьшить вероятность того, что злоумышленник либо начал нелегальное проникновение как первоначально аутентифицированный объект с использованием некоторого другого устройства (устройства сервера или клиентского устройства), либо даже каким-либо путем получил физическое управление первоначально аутентифицированным устройством (например, пользователь оставил аутентифицированный терминал и ушел) и начал посылать запросы. Повторная аутентификация также может требоваться, для того чтобы убедиться, что терминал еще использует сетевые ресурсы, как заявлено с помощью сообщений учета, посланных с помощью локальной сети. Также повторная аутентификация может использоваться, для того чтобы согласовать новые ключи защиты в случаях, когда время действия ключей ограничено из-за причин безопасности. Повторная аутентификация является одинаковой в МИА РПА (для ГСМС) и САК РПА (для УМТС).
Протоколы МИА РПА и САК РПА предшествующего уровня техники обеспечивают повторную аутентификацию с использованием отдельной повторной аутентификации опознавательных кодов пользователя, доставленных из сервера АСУ в повторно аутентифицируемый терминал. Повторная аутентификация основана на ключах сеанса и другой контекстной информации, установленной во время полной аутентификации.
Оператор может использовать в сети несколько серверов АСУ для балансировки нагрузки и других причин. Поскольку сервер АСУ может быть выбран случайным образом для аутентификации терминала или может быть выбран с помощью некоторого заранее определенного механизма, такого как механизм циклического обслуживания, терминал (пользователь) не всегда могут аутентифицироваться с помощью одного и того же сервера АСУ. В такой сети повторная аутентификация становится проблемой, заключающейся в том, что контекстная информация запоминается только в сервере АСУ, который выполнял полную аутентификацию. Поскольку повторная аутентификация предполагает наличие некоторой информации, предоставленной во время полной аутентификации, она не будет работать (т.е. она не может быть выполнена), если запрос АСУ терминала для повторной аутентификации передан в другой сервер АСУ, отличный от сервера АСУ, который выполнял полную аутентификацию.
Следовательно, требуется способ, предназначенный для того, чтобы повторная аутентификация работала в сетях, где запрос повторной аутентификации мог бы передаваться в сервер АСУ, отличный от сервера АСУ, который выполнял полную аутентификацию.
Раскрытие изобретения
Таким образом, в первом аспекте изобретения предоставлен способ, предназначенный для осуществления в повторной аутентификации сеанса связи, включающий в себя обмен информацией между терминалом и сервером через сеть аутентификации, причем сеанс связи уже аутентифицирован с помощью терминала и первого сервера аутентификации сети аутентификации, причем способ отличается тем, что содержит: этап, на котором каждому из первого сервера аутентификации и других серверов аутентификации назначают соответственное уникальное имя области действия; и этап, на котором во время аутентификации между терминалом и первым сервером аутентификации первый сервер аутентификации передает в терминал опознавательный код повторной аутентификации, включающий в себя уникальное имя области действия, назначенное первому серверу аутентификации.
В соответствии с первым аспектом изобретения способ также содержит: этап, на котором, чтобы выполнить повторную аутентификацию, терминал передает запрос повторной аутентификации с использованием опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия; и этап, на котором элемент сети аутентификации, принимающий запрос повторной аутентификации, определяет из опознавательного кода повторной аутентификации, включенного в запрос, уникальное имя области действия, указывающее сервер аутентификации, который выполнял полную аутентификацию. Способ дополнительно может отличаться тем, что содержит: этап, на котором элемент сети аутентификации передает запрос в сервер аутентификации, указанный с помощью уникального имени области действия, включенного в качестве части опознавательного кода повторной аутентификации; и этап, на котором терминал и первый сервер аутентификации выполняют повторную аутентификацию.
Во втором аспекте изобретения предоставлен сервер аутентификации в системе сотовой связи, содержащей средство, предназначенное для повторной аутентификации сеанса связи, между терминалом и сервером содержимого, причем сервер аутентификации отличается тем, что содержит: средство, предназначенное для приема назначенного уникального имени области действия; и средство, предназначенное для передачи в терминал опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия.
В соответствии с первым аспектом изобретения сервер аутентификации также содержит: средство, предназначенное для приема запроса повторной аутентификации с использованием опознавательного кода повторной аутентификации, и для определения из опознавательного кода повторной аутентификации уникального имени области действия. Сервер аутентификации дополнительно может отличаться тем, что содержит: средство, предназначенное для передачи запроса в сервер аутентификации, указанный с помощью уникального имени области действия, включенного в качестве части опознавательного кода повторной аутентификации.
В третьем аспекте изобретения предоставлен компьютерный программный продукт, содержащий доступную для чтения с помощью компьютера структуру хранения, осуществляющую находящейся в ней компьютерный программный код, предназначенный для выполнения с помощью компьютерного процессора в сервере аутентификации, причем упомянутый компьютерный программный код отличается тем, что он включает в себя команды, предназначенные для включения средства устройства в соответствии со вторым аспектом изобретения.
В четвертом аспекте изобретения предоставлена система, включающая в себя множество терминалов, множество серверов аутентификации и, по меньшей мере, один сервер содержимого, причем терминалы являются действующими таким образом, чтобы запрашивать содержимое из сервера содержимого после аутентификации и случайной повторной аутентификации с помощью одного или другого из серверов аутентификации, причем система отличается тем, что каждый, по меньшей мере, из двух серверов аутентификации является устройством в соответствии со вторым аспектом изобретения.
Краткое описание чертежей
Вышеприведенные и другие задачи, признаки и преимущества изобретения станут понятными из рассмотрения следующего подробного описания, предоставленного в связи с сопровождающими чертежами, на которых:
фиг.1 представляет блок-схему последовательности операций способа, предназначенного для повторной аутентификации терминала (с помощью сервера аутентификации, действующего в качестве агента аутентификации) в соответствии с изобретением;
фиг.2 - блок-схема/блок-схема последовательности операций аутентификации терминала, а затем повторной аутентификации с помощью сервера аутентификации в соответствии изобретением.
Осуществление изобретения
Это изобретение предоставляет решение проблемы, заключающейся в том, чтобы гарантировать повторную аутентификацию в сетях, где запрос повторной аутентификации мог бы передаваться в сервер АСУ, отличный от сервера АСУ, который выполнял полную аутентификацию. Для того чтобы решить эту проблему, изобретение обеспечивает возможность выбора в качестве сервера АСУ в повторной аутентификации сервер АСУ, который выполнял полную аутентификацию.
Изобретение описано ниже в связи с механизмом расширяемого протокола аутентификации (РПА), предназначенным для аутентификации и распространения ключа сеанса в соглашении об аутентификации и ключе (САК) универсальной мобильной телекоммуникационной системе (УМТС), как представлено в 3GPP TS 33.102 v3.6.0: “Technical Specification Group Services and System Aspects; 3G Security; Security Architecture” (Rlease 1999 г.), “3rd Generation Partnership Project”, November 2000, и в предварительном документе IEFT (оперативный инженерный отряд Internet), “EAP AKA Autentification”, draft-arkko-pppext-eap-aka-04.txt, by J. Arkko and H. Haveriner, June 2002. УМТС является стандартом глобальной мобильной сети третьего поколения. Очевидно, изобретение также используется в связи с механизмом РПА, предназначенным для аутентификации и распространения ключа сеанса с использованием модуля идентификации абонента (МИА) глобальной системы мобильной связи (ГСМС), как представлено в Технической спецификации ГСМС 03.20 (ETS 300 534): “Digital cellular telecommunication system (Phase 2); Security related network functions”, European Telecommunications Standards, Institute, August 1997, и в предварительном документе IEFT, “EAP SIM Autentification”, by Haveriner, draft-haveriner-pppext-eappsim-05.txt, 2 July 2002. Несмотря на то, что изобретение описано, в частности, для использования с расширяемым протоколом аутентификации и его способами для УМТС и ГСМС, следует понимать, что ничего, относящегося к изобретению, не ограничивает его применением к расширяемому протоколу аутентификации или системам сотовой связи в соответствии со стандартами УМТС и ГСМС; фактически, изобретение используется в любой системе связи, обеспечивающей аутентификацию способом, подобным или совместимым с расширяемым протоколом аутентификации в связи с протоколами АСУ. В случае описанного варианта осуществления, изобретение использует так называемый РПА (расширяемый протокол аутентификации), как приведено в RFC 2284, озаглавленном “PPP Extensible Autentification Protocol (EAP)”, опубликованном Рабочей группой по сетям IEFT. РПА (РРР, ПДС (протокол двухточечной связи), являющийся общим протоколом для аутентификации. Он поддерживает множество механизмов аутентификации.
Теперь, ссылаясь на фиг.1 и фиг.2, для того, чтобы гарантировать то, что аутентификация всегда возможна, раскрывается способ, включающий в себя первый этап 11, на котором каждому серверу 23а, 23b АСУ (в одной и той же или в разных сетях операторов) назначают уникальное имя области действия, и в случае УМТС или ГСМС и аутентификации для служб IP оно является именем типа, который может использоваться (в качестве части, т.е. как, например, в user@realm, в котором “realm” является уникальным именем области действия) в идентификаторе доступа к сети (NAI, ИДС), который является идентификатором (терминала), используемым в протоколах АСУ в связи с аутентификацией для доступа к сети. При установлении протоколов РПА и АСУ запрос аутентификации включает в себя идентификатор доступа к сети пользователя. В случае полной аутентификации МИА РПА и САК РПА задают формат опознавательного кода, который должен использовать терминал, для того чтобы запрашивать полную аутентификацию. В соответствии с установленными спецификациями часть имени пользователя ИДС включает в себя либо Международный идентификатор подвижного абонента (IMSI, МИПА), либо временный идентификатор, который в спецификациях МИА РПА и САК РПА называется псевдонимом. Имя области действия, используемое в ИДС, обычно является общепринятым идентификатором собственного оператора. Могут быть использованы несколько серверов АСУ, чтобы обслуживать запросы, которые переданы в это имя области действия. Следовательно, в соответствии с предшествующим уровнем техники, обычно имя области действия в ИДС может совместно использоваться несколькими серверами АСУ. Например, абоненты MyOperator могли бы использовать имя области действия myoperator.com, и сообщения АСУ направлялись бы в один из серверов АСУ myoperator.com. То, что область действия указывает, возможно, группу серверов АСУ, имеет место при полной аутентификации МИА РПА и САК РПА. Однако, в соответствии с изобретением, каждому серверу АСУ также было бы назначено уникальное имя области действия, такое как, например, serverX.myoperator.com, и это является уникальными именами области действия, которые использовались бы в опознавательных кодах повторной аутентификации. В имени области действия имя третьего уровня serverX делает имя области действия serverX.myoperator.com уникальным именем области действия. Структурированный формат имени области действия может давать возможность некоторым элементам АСУ направлять все области действия, которые оканчиваются на myoperator.com, в правильный следующий сетевой элемент, независимо от любого имени третьего уровня, которое могло быть обязательно добавлено, чтобы сделать имя области действия уникальным; например, обслуживающее устройство 21а может не заботиться о полном имени области действия, а вместо этого может использовать простое правило: “Направлять *.myoperator.com в уполномоченный АСУ MyOperator” (где символ * действует как трафаретный символ, т.е. он указывает любое множество символов, допустимых в имени).
На следующем этапе первый сервер 23а из серверов 23а, 23b АСУ принимает запрос из обслуживающего устройства 21а (т.е. клиента АСУ, и, в частности, например, пункта доступа к службе) через уполномоченный сервер 22 АСУ для (полной) аутентификации относительно терминала 21 таким образом, чтобы обслуживающее устройство 21а могло разрешить терминалу 21 доступ к сети 24 (такой как Internet). На фиг.2 не изображены (для ясности) множество элементов одной или более сетей операторов, которые делают возможным беспроводную связь между терминалом 21 и серверами 23а, 23b (т.е., в частности, сети радиодоступа для каждой сети оператора), а также другие элементы, которые направляют передачи в один или другой из серверов 23а, 23b АСУ.
На следующем этапе 13 первый сервер 23а АСУ передает в терминал 21 (через уполномоченный сервер 22 и обслуживающее устройство 21а) опознавательный код повторной аутентификации (для использования терминалом в дальнейшей повторной аутентификации) и включает уникальное имя области действия в опознавательный код повторной аутентификации, который также включает в себя часть имени пользователя. Опознавательный код повторной аутентификации отличается от опознавательного кода, основанного на МИПА, и опознавательного кода псевдонима, которые используются после полной аутентификации. Этап 13 выполняют как часть процедуры полной аутентификации, которая включает в себя другие этапы, которые исключены из фиг.1 для ясности. Часть имени пользователя опознавательного кода повторной аутентификации является одноразовым именем пользователя, выбранным сервером. Оно могло бы быть числом или идентификатором, выбранным случайным образом. Так опознавательный код повторной аутентификации мог бы быть, например таким, как описано ниже.
На следующем этапе 14, чтобы выполнить повторную аутентификацию (обычно на основании некоторого выполняемого условия), терминал 21 посылает запрос повторной аутентификации с использованием опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия. Обычно имеется несколько способов, с помощью которых может быть инициирована повторная аутентификации. Одним способом является способ, в котором вспомогательное устройство 21а может инициировать повторную аутентификаци. В этом случае в беспроводной ЛС, где “запрос повторной аутентификации”, который передается на основании уникального имени области действия, содержит ответный пакет опознавательного кода РПА, обслуживающее устройство 21а посылает пакет запроса опознавательного кода РПА в терминал 21, и терминал 21 отвечает с помощью ответа опознавательного кода РПА, который содержит опознавательный код повторной аутентификации. Затем этот пакет передают через протокол АСУ в правильный сервер АСУ. В качестве альтернативы, сам терминал 21 может инициировать повторную аутентификацию. В беспроводной ЛС терминал 21 посылает пакет EAPOL-Запуск, РПАЧЛС-Запуск) (запуск РПА через ЛС) в обслуживающее устройство 21а. После приема РПАЧЛС-Запуск обслуживающее устройство 21а выдает пакет запроса опознавательного кода РПА в терминал, и процедуры обмена повторной аутентификации продолжаются, как описано ниже.
На следующем этапе 15 любой элемент АСУ сети (обслуживающее устройство 21а, уполномоченный сервер 22 и серверы 23а, 23b АСУ), принимающие запрос, исследуют опознавательный код повторной аутентификации, включенный в запрос, чтобы определить, куда направить запрос (на основании опознавательного кода повторной аутентификации, который указывает первый сервер 23а АСУ через имя области действия). Маршрутизация основана, например, на таблице маршрутизации или другом обычном средстве АСУ маршрутизации, которое подходит. Обычно уполномоченный сервер 22 исследует имя области действия и непосредственно направляет запрос в первый сервер 23а АСУ. Следовательно, запрос, рано или поздно, принимается с помощью сервера АСУ, который выполнял полную аутентификацию, т.е. с помощью первого сервера 23а АСУ.
На следующем этапе 16 первый сервер 23а АСУ отвечает на запрос повторной аутентификации посредством установленного протокола для повторной аутентификации. На следующих этапах 17 передаются следующие передачи из терминала 21 в первый сервер 23а АСУ посредством установленных протоколов АСУ между терминалом 21 и первым сервером 23а АСУ через обслуживающее устройство 21а. Следующие передачи могут быть направлены непосредственно между обслуживающим устройством 21а и первым сервером 23а АСУ или могут быть направлены через промежуточные элементы АСУ. Установленные протоколы АСУ обычно включают в себя средство, предназначенное для гарантирования того, что сервер 23а АСУ, выполняющий повторную аутентификацию, не изменяется во время обмена аутентификацией.
В некоторых случаях терминал 21 может иметь связь одновременно через несколько разных сеансов с использованием процедуры полной аутентификации для каждого сеанса. Сеансы могут быть аутентифицированы с помощью одного и того же сервера АСУ или с помощью разных серверов АСУ и могут использовать одну и ту же или разные технологии радиосвязи и одно и то же или разные приложения для выполнения аутентификации. В соответствии с изобретением, чтобы адаптировать такое разнообразие, терминал 21 поддерживает отдельную информацию состояния для каждого такого сеанса, и затем терминал 21 может выполнять повторную аутентификацию отдельно для каждого такого сеанса, как описано в связи с фиг.1. Таким образом, каждый сервер 23а, 23b АСУ, используемый в аутентификации для одного или более одновременных сеансов, поддерживает отдельную информацию состояния для каждого такого сеанса.
Следует заметить, что, несмотря на то, что изобретение относится к аутентификации беспроводной ЛС, оно также относится к ЦАЛ, коммутируемой сети, Ethernet и другим контекстам аутентификации. Способы расширяемого протокола аутентификации для аутентификации РПА и ГСМС адресованы операторам мобильной связи, которые желают администрировать ГС или другие дополнительные сети доступа; возможно, что изобретение никогда не будет использовано в действительных сетях УМТС или ГСМС.
Следует понимать, что вышеописанные устройства только иллюстрируют приложение принципов настоящего изобретения. Многочисленные модификации и альтернативные устройства могут быть осуществлены специалистами в данной области техники, не выходя за рамки объема настоящего изобретения, и прилагаемая формула изобретения предназначена для того, чтобы включать в себя такие модификации и устройства.
1. Способ повторной аутентификации сеанса связи, содержащий этапы, на которых
принимают запрос на полную аутентификацию терминала;
передают в терминал опознавательный код повторной аутентификации, включающий в себя уникальное имя области действия, уникально идентифицирующее сервер аутентификации; и
принимают от терминала запрос на повторную аутентификацию, причем запрос на повторную аутентификацию включает в себя опознавательный код повторной аутентификации, включающий в себя уникальное имя области действия,
причем запрос на повторную аутентификацию направляют серверу аутентификации в соответствии с уникальным именем области действия, содержащимся в запросе на повторную аутентификацию.
2. Сервер аутентификации, содержащий
средство для приема запроса на полную аутентификацию терминала;
средство для передачи в терминал опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия, уникально идентифицирующее сервер аутентификации; и
средство для приема от терминала запроса на повторную аутентификацию, причем запрос включает в себя опознавательный код повторной аутентификации, включающий в себя уникальное имя области действия, уникально идентифицирующее сервер аутентификации,
причем запрос на повторную аутентификацию направляется серверу аутентификации в соответствии с уникальным именем области действия, содержащимся в запросе на повторную аутентификацию.
3. Машиночитаемый носитель, содержащий компьютерный программный код, который, когда исполняется компьютерным процессором, действует, чтобы обеспечить повторную аутентификацию сеанса связи, причем компьютерный программный код содержит команды для
приема запроса на полную аутентификацию терминала;
передачи в терминал опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия уникально идентифицирующее сервер аутентификации; и
приема от терминала запроса на повторную аутентификацию, причем запрос на повторную аутентификацию включает в себя опознавательный код повторной аутентификации, включающий в себя уникальное имя области действия,
причем запрос на повторную аутентификацию направляется серверу аутентификации в соответствии с уникальным именем области действия, содержащимся в запросе на повторную аутентификацию.
4. Система беспроводной связи, содержащая
первый сервер аутентификации, выполненный с возможностью приема запроса на полную аутентификацию терминала и выполненный с возможностью передачи в терминал опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия, уникально идентифицирующее первый сервер аутентификации; и
второй сервер аутентификации, выполненный с возможностью приема от терминала запроса на повторную аутентификацию, причем запрос на повторную аутентификацию включает в себя опознавательный код повторной аутентификации, включающий в себя уникальное имя области действия, идентифицирующее первый сервер аутентификации, и выполненный с возможностью направления запроса на повторную аутентификацию первому серверу аутентификации в соответствии с уникальным именем области действия, идентифицирующим первый сервер аутентификации.
5. Устройство, содержащее
средство для передачи первому серверу аутентификации запроса на полную аутентификацию;
средство для приема от первого сервера аутентификации опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия, уникально идентифицирующее первый сервер аутентификации; и
средство для передачи второму серверу аутентификации запроса на повторную аутентификацию с использованием опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия.
6. Устройство по п.5, в котором средство для передачи второму серверу аутентификации включает в себя опознавательный код повторной аутентификации в ответном пакете опознавательного кода в соответствии с Расширяемым Протоколом Аутентификации.
7. Сервер аутентификации, содержащий компоненты протокола аутентификации, выполненные с возможностью
приема запроса на полную аутентификацию терминала;
передачи в терминал опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия, уникально идентифицирующее сервер аутентификации; и
прием запроса от терминала на повторную аутентификацию, причем запрос на повторную аутентификацию включает в себя опознавательный код повторной аутентификации, включающий в себя уникальное имя области действия, уникально идентифицирующее сервер аутентификации;
причем запрос на повторную аутентификацию направляется серверу аутентификации в соответствии с уникальным именем области действия, содержащимся в запросе на повторную аутентификацию.
8. Сервер аутентификации по п.7, в котором компоненты протокола аутентификации также сконфигурированы для определения из опознавательного кода повторной аутентификации уникального имени области действия, включенного в запрос, терминалом для повторной аутентификации, при этом запрос включает в себя опознавательный код повторной аутентификации.
9. Сервер аутентификации по п.8, в котором компоненты протокола аутентификации также сконфигурированы для направления запроса в другой сервер аутентификации, если уникальное имя области действия указывает другой сервер аутентификации.
10. Элемент сети аутентификации, содержащий
средство для определения из опознавательного кода повторной аутентификации уникального имени области действия, уникально идентифицирующего сервер аутентификации, включенного в запрос для повторной аутентификации, переданный терминалом, и
средство для подготовки сообщения для направления на сервер аутентификации, указанный в уникальном имени области действия.
11. Терминал, содержащий
средство для запроса повторной аутентификации сеанса связи между терминалом и сервером содержимого,
средство для приема от первого сервера аутентификации опознавательного кода, включающего в себя уникальное имя области действия, назначенное первому серверу аутентификации; и
средство для передачи элементу сети аутентификации запроса на повторную аутентификацию с использованием опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия.
12. Терминал по п.11, в котором средство для передачи элементу сети аутентификации запроса на повторную аутентификацию с использованием опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия, сконфигурировано так, что включает в себя опознавательный код повторной аутентификации в ответном пакете опознавательного кода в соответствии с Расширяемым Протоколом Аутентификации.
13. Терминал, содержащий компоненты протокола аутентификации, сконфигурированные для запроса повторной аутентификации сеанса связи между терминалом и сервером содержимого,
получения из сообщения от первого сервера аутентификации опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия, назначенное первому серверу аутентификации; и
передачи элементу сети аутентификации запроса на повторную аутентификацию с использованием опознавательного кода повторной аутентификации, включающего в себя уникальное имя области действия.
14. Терминал по п.13, в котором компоненты протокола аутентификации также сконфигурированы для включения опознавательного кода повторной аутентификации в ответный пакет опознавательного кода в соответствии с Расширяемым Протоколом Аутентификации.
