EA013147B1 - Способ и система для обеспечения специфических для доступа ключей - Google Patents

Способ и система для обеспечения специфических для доступа ключей Download PDF

Info

Publication number
EA013147B1
EA013147B1 EA200970201A EA200970201A EA013147B1 EA 013147 B1 EA013147 B1 EA 013147B1 EA 200970201 A EA200970201 A EA 200970201A EA 200970201 A EA200970201 A EA 200970201A EA 013147 B1 EA013147 B1 EA 013147B1
Authority
EA
Eurasian Patent Office
Prior art keywords
key
mobile terminal
access
network
terminal device
Prior art date
Application number
EA200970201A
Other languages
English (en)
Other versions
EA200970201A1 (ru
Inventor
Райнер Фальк
Гюнтер Хорн
Дирк Кресельберг
Original Assignee
Сименс Акциенгезелльшафт
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Сименс Акциенгезелльшафт filed Critical Сименс Акциенгезелльшафт
Publication of EA200970201A1 publication Critical patent/EA200970201A1/ru
Publication of EA013147B1 publication Critical patent/EA013147B1/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • H04W80/045Network layer protocols, e.g. mobile IP [Internet Protocol] involving different protocol versions, e.g. MIPv4 and MIPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Способ для предоставления специфического для доступа ключа для защиты передачи данных между мобильным оконечным устройством (1) и узлом сети (2) доступа, причем при аутентификации мобильного оконечного устройства (1) сервер (4А) аутентификации генерирует ключ сессии, из которого выводится базовый ключ и передается на прокси-сервер (7) межсетевого взаимодействия, который из переданного базового ключа выводит специфический для доступа ключ и предоставляет его узлу сети (2) доступа.

Description

Изобретение относится к способу и системе для обеспечения специфических для доступа ключей (кодов) для защиты передачи данных между мобильным оконечным устройством и узлом сети доступа.
Интернет с ТСР/1Р-протоколом предоставляет платформу для развития более высоких протоколов для мобильной сферы. Так как Интернет-протоколы широко распространены, можно при соответствующих расширениях протоколов для мобильной среды обеспечивать доступность для большего круга пользователей. Однако обычные Интернет-протоколы не были созданы первоначально для мобильного использования. В пакетной коммутации обычного Интернета производится обмен пакетами между стационарными вычислительными устройствами, которые не изменяют свой сетевой адрес и не перемещаются между различными подсетями. В случае радиосетей с мобильными оконечными устройствами или вычислительными устройствами мобильное вычислительное устройство М8 (мобильная станция) часто связывается с различными сетями. Протокол ЭНСР (протокол динамического конфигурирования хоста) позволяет с помощью соответствующих серверов осуществлять динамическое назначение 1Р-адреса и других конфигурационных параметров в вычислительном устройстве в сети. Вычислительное устройство, которое связано с сетью, получает автоматически свободный 1Р-адрес, присваиваемый протоколом ЭНСР. Если в мобильном вычислительном устройстве инсталлирован протокол ЭНСР, оно должно только войти в пределы дальности действия локальной сети, которая поддерживает конфигурацию по протоколу ЭНСР. В случае протокола ЭНСР возможно динамическое задание адреса, т.е. свободный 1Р-адрес автоматически выделяется на определенное время. По истечении этого времени мобильное вычислительное устройство М8 должно вновь направлять запрос или 1Р-адрес может задаваться иным образом.
С помощью протокола ЭНСР мобильное вычислительное устройство М8 может связываться с сетью без конфигурирования вручную. В качестве предпосылки только ЭНСР-сервер должен предоставляться в распоряжение. Мобильное вычислительное устройство М8 может, таким образом, использовать услуги локальной сети и, например, использовать массивы данных, сохраненные централизованно. Однако если мобильное вычислительное устройство М8 само предоставляет услуги, то потенциальный пользователь услуги может не найти мобильное вычислительное устройство М8, так как его 1Р-адрес в каждой сети, с которой связывается мобильное вычислительное устройство, изменяется. Подобное имеет место, когда 1Р-адрес изменяется во время существующего ТСР-соединения. Это приводит к прерыванию соединения. Поэтому в случае мобильного 1Р-протокола (МоЫ1е-1Р) мобильному вычислительному устройству М8 присваивается 1Р-адрес, который оно сохраняет и в другой сети. При обычной смене 1Рсети необходимо согласовать соответствующим образом установку 1Р-адресов. Постоянное согласование 1Р- и обычных автоматических механизмов конфигурирования будет прерывать существующее соединение при смене 1Р-адреса. М1Р-протокол (ВРС2002, КРС2977, ВРС3344, ВРС3846, ВРС3957, ВРС3775, КРС3776, КРС4285) поддерживает мобильность мобильных оконечных устройств М8. При обычных 1Р-протоколах мобильное оконечное устройство М8 должно каждый раз согласовывать свой 1Р-адрес, когда оно меняет 1Р-подсеть, чтобы пакеты данных, адресованные на мобильное оконечное устройство М8, правильно маршрутизировались. Чтобы существующие ТСР-соединения поддерживать в силе, мобильное оконечное устройство М8 должно поддерживать свой 1Р-адрес, так как смена адреса приводит к прерыванию соединения. М1Р-протокол обеспечивает возможность прозрачного соединения между обоими адресами, а именно постоянного домашнего адреса и второго временного адреса пересылки (Сате-О1-Л6те88е). Адрес пересылки является тем 1Р-адресом, по которому мобильное оконечное устройство М8 является достижимым в текущий момент.
Домашний агент НА является представителем мобильного оконечного устройства М8, пока мобильное оконечное устройство М8 не находится в первоначальной домашней сети. Домашний агент постоянно информируется о текущем местонахождении мобильного вычислительного устройства М8. Домашний агент НА обычно представляет собой компонент маршрутизатора в домашней сети мобильного оконечного устройства. Когда мобильное оконечное устройство М8 находится вне домашней сети, домашний агент НА предоставляет функцию, чтобы мобильное оконечное устройство М8 могло зарегистрироваться. Тогда домашний агент НА направляет пакеты данных, адресованные на мобильное оконечное устройство М8, в текущую подсеть мобильного оконечного устройства М8.
Чужой агент РА находится в подсети, в которой перемещается мобильное оконечное устройство М8. Чужой агент РА направляет входящие пакеты данных на мобильное оконечное устройство М8 или на мобильный компьютер М8. Чужой агент РА находится в так называемой чужой сети (посещаемой сети). Чужой агент РА также обычно представляет собой компонент маршрутизатора. Чужой агент РА маршрутизирует все административные мобильные пакеты данных между мобильным оконечным устройством М8 и его домашним агентом НА. Чужой агент РА распаковывает посланные от домашнего агента НА туннелированные 1Р-пакеты данных и направляет их данные на мобильное оконечное устройство М8.
Домашний адрес мобильного оконечного устройства М8 является адресом, по которому мобильное оконечное устройство М8 является постоянно достижимым. Домашний адрес имеет тот же адресный префикс, что и домашний агент НА. Саге-ОГ-адрес - это тот 1Р-адрес, который мобильное оконечное устройство М8 применяет в чужой сети.
- 1 013147
Домашний агент НА поддерживает так называемую таблицу мобильной привязки (МВТ). Записи в этой таблице служат для того, чтобы оба адреса, т.е. домашний адрес и адрес для пересылки, мобильного оконечного устройства М8 соотнести друг с другом и соответственно переадресовывать пакеты данных.
МВТ-таблица содержит записи о домашнем адресе, адресе пересылки и указание об интервале времени, в котором действительно их соответствие (время жизни).
На фиг. 1 показан пример таблицы мобильной привязки (МВТ) согласно уровню техники.
Чужой агент РА получает список посетителей или список визитеров (УЪ), который содержит информацию о мобильных оконечных устройствах М8, которые находятся непосредственно в ΙΡ-сети чужого агента РА.
Фиг. 2 показывает пример такого списка посетителей согласно уровню техники.
Для того чтобы мобильный компьютер М8 мог быть привязан в сети, он сначала должен получить сведения о том, находится ли он в своей домашней сети или чужой сети. Дополнительно мобильное оконечное устройство М8 должно получить сведения о том, какой компьютер находится в подсети домашнего или чужого агента. Эта информация определяется посредством так называемого агента обнаружения (Э|5С0УСГу).
Посредством последующей регистрации мобильное оконечное устройство М8 может сообщить свое текущее местонахождение своему домашнему агенту НА. Для этого мобильный компьютер или мобильное оконечное устройство М8 посылает домашнему агенту текущий адрес для пересылки. Для регистрации мобильный компьютер М8 посылает запрос регистрации или требование регистрации домашнему агенту. Домашний агент НА заносит адрес для пересылки в свой список и отвечает ответом регистрации. При этом в общем случае существует проблема безопасности. Так как принципиально каждый компьютер может послать своему домашнему агенту НА требование регистрации, то можно было бы домашнему агенту НА просто ложным образом представить, как будто некоторый компьютер перемещается в другой сети. Так, чужой компьютер мог бы получить себе все пакеты данных, предназначавшиеся упомянутому мобильному компьютеру или мобильному оконечному устройству М8, причем отправитель ничего не узнал бы об этом. Чтобы предотвратить это, мобильный компьютер М8 и домашний агент НА имеют общий секретный ключ. Если мобильный компьютер М8 возвращается в свою домашнюю сеть назад, то он отменяет регистрацию в домашнем агенте НА, так как мобильный компьютер М8 теперь может сам принимать все пакеты данных. Мобильная радиосеть должна, в числе прочего, иметь следующие свойства безопасности. Информация может делаться доступной только желательному коммуникационному партнеру, т.е. нежелательные подслушивающие стороны не могут получить никакого доступа к передаваемым данным. Мобильная радиосеть также должна иметь характеристику доверительности (конфиденциальности). Наряду с этим должна иметься аутентичность. Аутентичность позволяет коммуникационному партнеру несомненным образом установить, была ли действительно связь установлена с желательным коммуникационным партнером, или чужая сторона выдает себя за коммуникационного партнера. Аутентификации могут осуществляться на каждое сообщение или на каждое соединение. Если аутентичность устанавливается на основе соединения, то коммуникационный партнер идентифицируется только однократно в начале сессии. Для последующего хода сессии исходят тогда из того, что последующие сообщения исходят из соответствующего отправителя. Даже если идентичность коммуникационного партнера установлена, т. е. коммуникационный партнер аутентифицирован, может возникнуть случай, что этот коммуникационный партнер может получать доступ не ко всем ресурсам или не все услуги может использовать через сеть. Соответствующая авторизация предусматривает в этом случае предшествующую аутентификацию коммуникационного партнера.
При мобильных сетях передачи данных сообщения должны проходить длинные участки через радиоинтерфейс и тем самым являются легко доступными для потенциального взломщика. При мобильных и беспроводных сетях данных аспекты безопасности играют особую роль. Существенное средство для повышения безопасности в сетях передачи данных представляют методы шифрования. За счет шифрования можно передавать данные по различным коммуникационным маршрутам, например, через радиоинтерфейс, не позволяя при этом получить доступ к данным несанкционированной третьей стороне. Для осуществления шифрования данные, т. е. так называемый открытый текст, преобразуются с помощью алгоритма шифрования в зашифрованный текст. Зашифрованный текст может передаваться по незащищенному каналу и затем расшифровываться или дешифроваться.
В качестве одной многообещающей технологии доступа предложен как новый стандарт XVίМах (глобальная совместимость широкополосного беспроводного доступа), который применяется для радиопередачи согласно ΙΕΕΕ 802.16. С помощью V^Маx передающими станциями должна обслуживаться область до 50 км со скоростями передачи данных свыше 100 Мбит в секунду.
На фиг. 3 показана опорная модель для радиосети VI Мах. Мобильное оконечное устройство М8 находится в области сети доступа (Λ8Ν - сеть обслуживания доступа). Сеть Λ8Ν доступа связана по меньшей мере через одну посещаемую сеть (УС8N - посещаемая сеть обслуживания связности) или промежуточную сеть с сетью НС8N (домашняя сеть обслуживания связности). Различные сети связаны через интерфейсы или опорные пункты В друг с другом. Домашний агент НА мобильной станции М8 находится в домашней сети (НС8Ц) или в одной из посещаемых сетей (УС8Ц).
- 2 013147 ^1Мах поддерживает два варианта реализации протокола МоЫ1е ΙΡ, а именно так называемый СТеШ ΜΙΡ (СМ1Р), при котором мобильная станция М8 сама реализует клиентскую функцию ΜΙΡ, и Ргоху-ΜΙΡ (РМ1Р), при котором клиентская функция М1Р реализуется через ^1Мах-сеть Ά8Ν доступа. Предусмотренная для этого в Ά8Ν функциональность обозначается как мобильный узел-посредник (РМ№) или как РМ1Р-клиент. Тем самым М1Р может также применяться с мобильными станциями М8, которые сами не поддерживают М1Р.
На фиг. 4 показано установление соединения при Ргоху-М1Р (РМ1Р), когда домашний агент НА находится в посещаемой сети УС8^ согласно уровню техники.
После установления радиосоединения между мобильным оконечным устройством М8 и базовой станцией В8 сначала проводится аутентификация для доступа. Функция аутентификации, авторизации и учета осуществляется посредством так называемых ААА-серверов (ААА - аутентификация, авторизация и учет). Между мобильным оконечным устройством М8 и ААА-сервером домашней сети (НААА) осуществляется обмен сообщениями аутентификации, посредством которого получают адрес домашнего агента НА и ключ аутентификации. Сервер аутентификации в домашней сети получает данные профиля пользователя. ААА-сервер получает сообщение запроса аутентификации, которое содержит идентификатор пользователя мобильного оконечного устройства М8. ААА-сервер генерирует после успешной аутентификации для доступа М8К-ключ (М8К - эталонный ключ сеанса) для защиты маршрута передачи данных между мобильным оконечным устройством М8 и базовой станцией В8 сети доступа А8К Этот М8К-ключ передается от ААА-сервера домашней сети через промежуточную сеть С8N на сеть А8N доступа.
После аутентификации доступа, как показано на фиг. 4, ИНСР-прокси-сервер конфигурируется в сети доступа А8К Если ΙΡ-адрес и конфигурация хоста уже содержатся в сообщении ААА-ответа, то вся информация сохраняется в ИНСР-прокси-сервере.
После успешной аутентификации и авторизации мобильная станция или мобильное оконечное устройство М8 посылает ЭНСР-сообщение обнаружения, и осуществляется назначение ΙΡ-адреса.
Если мобильное оконечное устройство М8 выполняет привязку в сети, мобильное оконечное устройство М8 должно по возможности быть уведомлено, находится ли оно в домашней сети или в чужой сети. Кроме того, мобильное оконечное устройство М8 должно быть осведомлено, какой компьютер в соответствующей сети является домашним или чужим агентом. Эта информация определяется посредством упомянутого так называемого агента обнаружения. Имеется два типа агента обнаружения, а именно так называемые агент оповещения и агент запрашивания.
В случае агента оповещения агенты, т.е. домашние или чужие агенты, периодически передают широковещательные сообщения на все компьютеры или мобильные оконечные устройства подсети. Каждый компьютер, который в определенном временном интервале прослушивает широковещательные сообщения, может так идентифицировать агентов в соответствующей подсети.
Если мобильное оконечное устройство М8 активировано вновь, в общем случае не является принятой практикой ожидать следующего агента оповещения. Мобильное оконечное устройство М8 должно сейчас же знать, в какой подсети оно находится в данный момент. Поэтому в случае так называемого агента запрашивания мобильное оконечное устройство М8 посылает запрос на все компьютеры соответствующей подсети, чтобы осуществить агента запрашивания. Мобильное оконечное устройство М8 может посредством агента запрашивания обусловить то, что агенты немедленно дали бы о себе знать, так что время ожидания существенно сокращается. Агент запрашивания также выполняется в том случае, если агент оповещения отсутствует, например, при потере пакета или смене сети. С помощью агента обнаружения мобильное оконечное устройство М8 также может установить, находится ли оно в домашней сети или в чужой сети. С помощью пакетной информации внутри сообщения агента оповещения мобильное оконечное устройство М8 распознает своего домашнего агента НА. Если мобильное оконечное устройство М8 получает пакеты сообщений из чужой сети, то оно может дополнительно установить, изменилось ли его местоположение с момента последнего оповещения. Если мобильное оконечное устройство М8 не принимает никакого сообщения оповещения, то мобильное оконечное устройство М8 исходит прежде всего из того, что оно находится в домашней сети и что домашний агент НА испытывает помехи. Мобильное оконечное устройство М8 пытается тогда установить контакт с маршрутизатором сети, чтобы подтвердить это предположение. Если мобильное оконечное устройство М8 не находится в своей домашней сети, то оно пытается после этого отыскать ИНСР-сервер и получить адрес подсети. Если это успешно выполнено, то мобильное оконечное устройство М8 использует этот адрес в качестве так называемого адреса пересылки близкого местоположения и устанавливает контакт с домашним агентом НА. Адрес пересылки близкого местоположения является адресом, назначенным мобильному оконечному устройству М8 в чужой сети, который также передается на домашнего агента НА.
Проводится различие между основанным на сети управлением мобильностью (РМГР) и основанным на оконечном устройстве управления мобильностью (СМГР). В случае основанного на оконечном устройстве управления мобильностью СМГР оконечное устройство поддерживает МоЫ1е-ГР (МГР).
- 3 013147
На фиг. 4 показано установление соединения при обычном основанном на сети управлении мобильностью (ΡΜΙΡ), в то время как на фиг. 5 показано установление соединения при обычном основанном на оконечном устройстве управления мобильностью (СМ1Р).
При установлении соединения между мобильным оконечным устройством Μ8 и сетью сервер аутентификации домашней сети (Н-ААА) посылает после успешной аутентификации пользователя сообщение подтверждения аутентификации (8иССЕ88) (успех). Сообщение подтверждения аутентификации уведомляет клиента аутентификации, что аутентификация пользователя успешно завершена.
В случае Ргоху-ΜΙΡ или основанного на сети управления мобильностью (ΡΜΙΡ) мобильное оконечное устройство Μ8 не поддерживает МоЬИс-ΙΡ или соответствующее программное обеспечение ΜΙΡ в мобильном оконечном устройстве Μ8 не активировано.
В противоположность этому при ΟΙΚηΙ-ΜΙΡ (ΟΜΙΡ) или при основанном на оконечном устройстве управления мобильностью ΜοΝ1ο-ΙΡ поддерживается соответствующим оконечным устройством или мобильной станцией Μ8.
В случае Ργοχ\'-ΜΙΡ мобильное оконечное устройство Μ8 распознает лишь назначенный ЭНСТсервером ΙΡ-адрес. Адрес пересылки мобильного оконечного устройства Μ8 известен не мобильному оконечному устройству, а ΡΜΙΡ-клиенту, чужому агенту РА, а также домашнему агенту НА. В противоположность этому мобильное оконечное устройство Μ8 распознает в случае ΟΊΚηΙ-ΜΙΡ свои оба ΙΡ-адреса, т.е. как домашний адрес, так и адрес пересылки.
Как можно видеть на фиг. 4 и 5, после назначения ΙΡ-адреса осуществляется ΜΙΡ-регистрация. При ΜΙΡ-регистрации домашний агент НА информируется о текущем местоположении мобильного оконечного устройства Μ8. Для своей регистрации посылает мобильное оконечное устройство Μ8 или соответствующий ΡΜΙΡ-клиент запрос регистрации на домашнего агента НА, который содержит текущий адрес пересылки. Домашний агент НА заносит адрес пересылки в управляемый им список и отвечает ответом регистрации. Так как принципиально любой компьютер может послать на домашнего агента НА запрос регистрации, можно было бы простым способом сымитировать домашнему агенту НА, что некоторый компьютер или мобильное оконечное устройство Μ8 перемещается в другой сети. Чтобы предотвратить это, как мобильное оконечное устройство Μ8, так и домашний агент НА располагают общим секретным ключом, а именно так называемым ΜοЬ^1е-IΡ-ключом (ΜΙΡ-ΚΕΥ).
В случае Ργοχ\'-ΜΙΡ (ΡΜΙΡ) запрос регистрации (ΜΙΡΡΕΟ) передается от ΡΜΙΡ-клиента внутри сети доступа Λ8Ν через чужого агента РА на домашнего агента НА. Домашний агент НА поручает соответствующему серверу аутентификации Н-ААА назначить ключ для пользователя и передает его с ответом ΜΙΡ-регистрации, как показано на фиг. 4.
При основанном на оконечном устройстве управления мобильностью (ΟΜΙΡ) сообщение регистрации (ΜΙΡΡΡΟ) направляется непосредственно от мобильного оконечного устройства Μ8 через чужого агента РА на домашнего агента НА, как показано на фиг. 5.
В случае \νίΜαχ сетей доступа, наряду с ΜοΝ1ο-ΙΡ (ΟΜΙΡ). также используется Ργοχ\'-ΜοΝ1ο-ΙΡ (ΡΜΙΡ), чтобы обеспечить возможность управления мобильностью для клиентов, которые сами не располагают функциональностью ΜοЬ^1е-IΡ-клиента. При ΡΜΙΡ в сети доступа предусмотрен прокси-ΜοЬ^1е-IΡ-клиент, который осуществляет ΜΙΡ-сигнализацию за клиента. Эти протоколы мобильности применяются в νίΜαχ для передачи обслуживания между двумя сетями доступа или между двумя провайдерами сетей доступа (NΛΡ). Соответствующий νίΜαχ домашний агент может при этом по выбору находиться в νίΜαχ домашней сети ΗС8N или в посещаемой νίΜαχ сети (ν08Ν). При νίΜαχ исходят из того, что в домашней сети ΗС8N находится домашний ААА-сервер, который знает используемый совместно с пользователем долгосрочный криптографический ключ, а также другие пользовательские параметры.
При регистрации νίΜαχ домашний агент запрашивает у νίΜαχ домашнего ААА-сервера параметры безопасности, например временный криптографический ключ. Они требуются для того, чтобы только уполномоченный клиент мог регистрироваться в домашнем агенте и чтобы защищать ΜΙΡ-сигнализацию. В качестве части протокола аутентификации и согласования ключей, который мобильное оконечное устройство выполняет с сервером аутентификации, мобильное оконечное устройство может вывести эти параметры защиты. При этом в νίΜαχ сети доступа из так называемого ΕΜ8Κ-ключа (ΕΜ8Κ - расширенный эталонный ключ сессии) может выводиться и предоставляться ΛΜ8Κ-ключ или ΜοΜΚ-ΙΡ корневой ключ (ΜΙΡ-ΚΚ). Из этого ΜοΜΚ-ΙΡ корневого ключа затем выводятся другие ключи для защиты различных коммуникационных участков между мобильным узлом или чужим агентом (РА) и домашним агентом НА. Различные варианты ΜοΜΚ-ΙΡ, такие как ΜοΜΚ-ΙΡ ν6 или ΜοΝ1ο-ΙΡ ν4, при этом выводятся соответственно через собственные ключи для случая ΟΊίοηΙ-ΜοΝ1ο-ΙΡ и случая Ργοχ\'-ΜοΝ1ο-ΙΡ.
В обычных νίΜαχ сетях доступа сетевое взаимодействие с сетями других типов не поддерживается.
Фиг. 6 показывает взаимодействие между νίΜαχ сетью доступа и 3ΟΡΡ домашней сетью согласно уровню техники. Как можно видеть из фиг. 6, в νίΜαχ сети доступа предусмотрен прокси-сервер аутентификации (ААА-ретранслятор), который имеет блок Ινυ межсетевого взаимодействия в качестве интерфейса к 3ΟΡΡ домашней сети. Прокси-сервер аутентификации берет на себя в случае сетевого взаи
- 4 013147 модействия с 3СРР сетью генерацию ключей и вывод ключей, которые требуются в рамках сетевой регистрации пользователей, чтобы для пользователя или мобильного оконечного устройства активировать Ртоху-МоЫ1е-1Р. В случае Ргоху-МоЫ1е-1Р клиент Ргоху-МоЫ1е-1Р находится в ΆδΝ-шлюзе или в проксисервере аутентификации \νίΜαχ-ί.’8Ν ^1Мах домашней сети. Этот \νίΜαχ-ί.’8Ν ^1Мах домашней сети связан с 3СРР сетью, как можно видеть на фиг. 6. Поэтому в случае Ргоху-МоЫ1е-1Р возможно, что блок ΐνυ межсетевого взаимодействия генерирует МоЫ1е-1Р-ключ (М1Р-Кеу) при сетевой регистрации для защиты участка между клиентом Ртоху-МоЫ1е-1Р и домашним агентом. Клиент Ртоху-МоЫ1е-1Р находится при этом предпочтительно в ΆδΝ-шлюзе и образует тем самым часть инфраструктуры сети доступа. Поэтому в случае Ртоху-МоЫ1е-1Р не требуется модифицировать 3СРР сервер аутентификации, или 3СРР сервер аутентификации не должен выполнять спецификации ^1Мах сети доступа.
В случае Сйеи1-Ргоху-МоЫ1е-1Р в общем случае сетевое взаимодействие между ^1Мах сетью доступа и 3СРР домашней сетью не поддерживается. В настоящее время не существует подходящего протокола, чтобы параметры защиты маршрутизировать на клиента или мобильное оконечное устройство. Причина этого заключается в том, что мобильное оконечное устройство эти параметры защиты при обычном способе действия выводит из протокола аутентификации и согласования ключей.
Поэтому задачей предложенного изобретения является создание способа и системы для предоставления специфического для доступа ключа для защиты передачи данных между мобильным оконечным устройством и узлом сети доступа, которые также обеспечивают возможность СПеп(-1Р (СМ1Р), если сервер аутентификации домашней сети не поддерживает управления мобильностью.
Изобретение создает способ для предоставления специфического для доступа ключа для защиты передачи данных между мобильным оконечным устройством и узлом сети доступа, причем при аутентификации мобильного оконечного устройства сервер аутентификации генерирует ключ сессии, из которого выводится базовый ключ и передается на прокси-сервер межсетевого взаимодействия, который из переданного базового ключа выводит специфический для доступа ключ и предоставляет его узлу сети доступа.
В предпочтительной форме выполнения соответствующего изобретению способа ключ сессии формируется посредством М8К (эталонный ключ сессии) ключа или посредством ЕМ8К (расширенный эталонный ключ сессии) ключа.
В соответствующем изобретению способе, таким образом, используется локальный задающий ключ сессии (М8К или ЕМ8К), который по причине безопасности не должен покидать сервер аутентификации (ААА) домашней сети, чтобы из него выводить псевдо- или базовый ключ, который затем передается на прокси-сервер межсетевого взаимодействия, причем прокси-сервер межсетевого взаимодействия из принятого базового ключа выводит необходимый специфический для доступа ключ соответственно заданной иерархии ключей и предоставляет его для соответствующего узла сети доступа.
В одной форме выполнения соответствующего изобретению способа сервер аутентификации находится в домашней сети мобильного оконечного устройства.
В одной форме выполнения соответствующего изобретению способа базовый ключ выводится из ключа сессии посредством предварительно определенной первой функции вывода.
Эта первая функция вывода образована предпочтительно посредством НМАС-8НА1-, НМАС-8НА256-, НМАС-МЭ5-, 8НА1-, 8НА-256- или МЭ5-функции вывода.
В предпочтительной форме выполнения соответствующего изобретению способа вывод базового ключа осуществляется в зависимости от ключа сессии и строки символов.
В форме выполнения соответствующего изобретению способа аутентификация мобильного оконечного устройства в сервере аутентификации осуществляется посредством ЕАР-протокола.
В другой форме выполнения соответствующего изобретению способа аутентификация мобильного оконечного устройства в сервере аутентификации осуществляется посредством иМТ8-АКА-протокола.
В альтернативной форме выполнения соответствующего изобретению способа аутентификация мобильного оконечного устройства в сервере аутентификации осуществляется посредством НТТР-Э1де81-АКА-протокола.
В другой форме выполнения соответствующего изобретению способа передача данных между сервером аутентификации и прокси-сервером межсетевого взаимодействия осуществляется посредством Э|ате1ег- или Вайшк-протокола.
В предпочтительной форме выполнения соответствующего изобретению способа сеть доступа образована ^1Мах сетью.
В предпочтительной форме выполнения соответствующего изобретению способа домашняя сеть образована 36РР домашней сетью.
В предпочтительной форме выполнения соответствующего изобретению способа из передаваемого базового ключа посредством прокси-сервера межсетевого взаимодействия с помощью второй функции вывода выводится МоЫ1е-1Р-корневой ключ.
При этом вторая функция вывода предпочтительно образована посредством НМАС-8НА1-, НМАС-8НА256-, НМАС-МЭ5-, 8НА1-, 8НА-256- или МЭ5-функции вывода.
- 5 013147
В предпочтительной форме выполнения соответствующего изобретению способа из выведенного МоЫ1е-1Р-корневого ключа посредством третьей функции вывода выводится специфический для доступа ключ для защиты передачи данных между мобильным оконечным устройством и узлом сети доступа.
В случае этой третьей функции вывода речь идет предпочтительно о НМАС-8НА1-, НМАС-8НА256-, НМАС-МЭ5-, 8НА1-, 8НА-256- или МР5-функции вывода.
В форме выполнения соответствующего изобретению способа для различных участков передачи данных между узлом сети доступа и мобильным оконечным устройством выводится, соответственно, подходящий специфический для доступа ключ.
В форме выполнения соответствующего изобретению способа мобильное оконечное устройство генерирует при аутентификации также ключ сессии и выводит из него специфический для доступа ключ.
Изобретение создает, кроме того, сервер аутентификации для предоставления базового ключа, из которого может быть выведен специфический для доступа ключ для защиты участка передачи данных между мобильным оконечным устройством и узлом сети доступа, причем сервер аутентификации при аутентификации мобильного оконечного устройства генерирует ключ сессии и из него посредством функции вывода выводит базовый ключ и предоставляет его прокси-серверу межсетевого взаимодействия.
Изобретение создает, кроме того, прокси-сервер межсетевого взаимодействия для предоставления специфического для доступа ключа для защиты участка передачи данных между мобильным оконечным устройством и узлом сети доступа, причем прокси-сервер межсетевого взаимодействия из базового ключа, переданного из сервера аутентификации, выводит специфический для доступа ключ и предоставляет его узлу сети доступа.
Изобретение создает, кроме того, систему передачи данных с несколькими сетями доступа и по меньшей мере одной домашней сетью мобильного оконечного устройства, причем сервер аутентификации домашней сети при аутентификации мобильного оконечного устройства генерирует ключ сессии и из него выводит общий базовый ключ, который передается к сети доступа, которая соответственно имеет прокси-сервер межсетевого взаимодействия, который выводит по меньшей мере один специфический для доступа ключ из переданного базового ключа, который предусмотрен для защиты передачи данных между мобильным оконечным устройством и узлом соответствующей сети доступа.
В последующем описании предпочтительные формы выполнения соответствующего изобретению способа и соответствующей изобретению системы для предоставления специфического для доступа ключа для защиты передачи данных между мобильным оконечным устройством и узлом сети доступа будут описаны со ссылками на чертежи для объяснения существенных для изобретения признаков. На чертежах показано следующее:
фиг. 1 - пример таблицы мобильной привязки (МВТ) согласно уровню техники;
фиг. 2 - пример списка посетителей согласно уровню техники;
фиг. 3 - опорная модель для радиосети ^1Мах;
фиг. 4 - установление соединения при Ргоху-М1Р (РМ1Р) согласно уровню техники;
фиг. 5 - установление соединения при С11еи1-М1Р (СМ1Р) согласно уровню техники;
фиг. 6 - блок-схема для представления взаимодействия между \У|Мах сетью доступа и 3СРР сетью согласно уровню техники;
фиг. 7 - блок-схема с возможной формой выполнения соответствующей изобретению системы для предоставления специфического для доступа ключа;
фиг. 8 - диаграмма сигналов для представления возможной формы выполнения соответствующего изобретению способа для предоставления специфического для доступа ключа;
фиг. 9 - другая диаграмма сигналов для представления возможной формы выполнения соответствующего изобретению способа для предоставления специфического для доступа ключа.
Фиг. 7 показывает сетевую архитектуру, при которой может быть использован соответствующий изобретению способ для предоставления специфического для доступа ключа. Мобильное оконечное устройство (М8 - мобильная станция) связано через интерфейс К1 с сетью доступа (Λ8Ν - сеть обслуживания доступа). Сеть 2 доступа связана через интерфейс К.3 с посещаемой сетью 3 (VС8N - посещаемая сеть обслуживания связности). Эта посещаемая сеть 3, со своей стороны, через интерфейс К5 соединена с домашней сетью 4 (НС8N - домашняя сеть обслуживания связности).
Если мобильное оконечное устройство 1 перемещается из первой сети 1 доступа ко второй сети 2' доступа, то осуществляется передача обслуживания между первой и второй сетью доступа. Эта передача обслуживания в ^1Мах-спецификации обозначается как «управление макромобильностью», или как К3-мобильность, или мобильность между А8№'. Посещаемая сеть 3 и домашняя сеть 4 подключены соответственно к сети провайдера обслуживания доступа (А8Р) или к Интернету.
Каждая сеть 2 доступа содержит множество базовых станций 6, которые, со своей стороны, через интерфейс К6 связаны с А8№шлюзовым узлом 5. Показанный на фиг. 6 А8№шлюзовой узел 5 включает в себя аутентификатор 5А, М1Р-чужой агент 5В и факультативно РМ1Р-клиент 5С, а также факультативно прокси-блок 7 сетевого взаимодействия. В каждой посещаемой сети 3 находится ААА-сервер 3А, как представлено на фиг. 6. В домашней сети 4 находится также сервер 4А аутентификации, а также домаш
- 6 013147 ний агент 4В. В возможной альтернативной форме выполнения прокси-блок 7 сетевого взаимодействия находится в домашней сети 4.
На стороне мобильного оконечного устройства 1 следует различать два случая. Мобильное оконечное устройство 1 само поддерживает МоЫ1е-1Р и имеет собственный СМ1Р-клиент или мобильное оконечное устройство 1 не поддерживает МоЫ1е-1Р и требует РМ1Р-клиента в шлюзовом узле 5 сети 2 доступа.
Фиг. 8 показывает диаграмму сигналов для пояснения возможной формы выполнения соответствующего изобретению способа, причем прокси-блок 7 сетевого взаимодействия в первой форме выполнения сети 2 доступа или в альтернативной форме выполнения находится в домашней сети 4. В соответствующем изобретению способе предоставляется специфический для сети доступа ключ для защиты передачи данных между мобильным оконечным устройством 1 и любым узлом сети 2 доступа, причем при аутентификации мобильного оконечного устройства 1 сервер 4А аутентификации, который находится в домашней сети 4 мобильного оконечного устройства 1, генерирует ключ сессии и выводит из этого ключа доступа базовый ключ, который передается на прокси-сервер 7 сетевого взаимодействия, как он представлен на фиг. 7. Прокси-сервер 7 сетевого взаимодействия выводит из принятого базового ключа необходимый специфический для доступа ключ посредством функции вывода и предоставляет ее для соответствующего узла сети 2 доступа. Ключ сессии, из которого выводится передаваемый базовый ключ, представляет собой в одной форме выполнения М8К-ключ (эталонный ключ сессии) или ЕМ8К-ключ (расширенный эталонный ключ сессии). Как представлено на фиг. 8, сервер 4А аутентификации выводит псевдо-М8К-ключ или общий базовый ключ посредством НМАС-8НА1-функции вывода из расширенного эталонного ключа сессии ЕМ8К. В альтернативной форме выполнения функция вывода образуется посредством НМАС-8НА1-, НМАС-8НА256-, НМАС-МЭ5-. 8НА1-, 8НА-256- или МЭ5-функции вывода. Выведенный базовый ключ или псевдоключ передается в ЕАР-сообщении успеха вместе с задающим ключом сессии М8К на прокси-блок 7 сетевого взаимодействия, который, например, выполнен как прокси-сервер сетевого взаимодействия.
В возможной форме выполнения соответствующего изобретению способа осуществляется вывод базового ключа или псевдоключа РЕМ8К в зависимости от ключа сессии М8К и/или ЕМ8К и дополнительно от строки символов, т.е. соответственно одному из вариантов:
РЕМЗК = Н(МЗК, ЕМ5К, строка),
РЕМЗК = Н(М5К, строка),
РЕМЗК = Н(ЕМЗК, строка).
В показанной на фиг. 8 форме выполнения аутентификация мобильного оконечного устройства 1 осуществляется посредством ЕАР-протокола передачи данных. В альтернативной форме выполнения аутентификация мобильного оконечного устройства 1 на сервере 4А аутентификации осуществляется посредством ИМТ8-АКА-протокола или посредством НТТР-О1дей-АКА-протокола. Передача данных между сервером 4А аутентификации и прокси-сервером 7 сетевого взаимодействия осуществляется предпочтительным образом посредством Э|ате1ег- или Кайшк-протокола.
Выведенный базовый ключ или псевдоключ представляет промежуточную ступень в иерархии ключей. Этот базовый ключ может пересылаться как общий базовый ключ также на различные проксисерверы 7 сетевого взаимодействия, которые предусмотрены в сетях 2 доступа. В случае сетей 2 доступа речь идет, например, о сетях \У|Мах. В случае домашней сети 4, в которой находится сервер 4А аутентификации, речь идет, например, о 3СРР-сети.
Как только прокси-сервер 7 сетевого взаимодействия, как можно видеть на фиг. 8, получил переданный базовый ключ РЕМ8К, он образует посредством второй функции вывода МоЫ1е-1Р-корневой ключ 1МР-КК. Вторая функция вывода может также быть образована посредством НМАС-8НА1-, НМАС-8НА256-, НМАС-МП5-, 8НА1-, 8НА-256- или МЭ5-функции вывода. В других формах выполнения могут также применяться другие функции вывода или криптографические функции вывода ключа КЭВ. Из выведенного таким образом МоЫ1е-1Р-корневого ключа М1Р-КК могут выводиться в соответствии с иерархией ключей другие специфические для доступа ключи для защиты передачи данных между мобильным оконечным устройством 1 и узлом сети 2 доступа. Также в случае этой третьей функции вывода речь может идти, например, о НМАС-8НА1-, НМАС-8НА256-, НМАС-МП5-, 8НА1-, 8НА-256- или МЭ5-функции вывода.
МоЫ1е-1Р-корневой ключ М1Р-КК применяется, чтобы из него генерировать ключ приложения или специфический для доступа ключ, например:
ΜΝ-ΗΑ-ΜΙΡ4 = Н(М1Р-КК, строкаIΗΑ-ΙΡ)
МЫ-НА-СМ1Р6 = Н(М1Р-КК, строкаΙΗΑ-ΙΡ)
ΜΝ-ΓΑ = Н(М1Р-КК, строкаIΓΑ-ΙΡ) и
ΜΝ-Η = Н(М1Р-ЙК, строка|ΕΑ-ΙΡ|ΗΑ-ΙΡ|ΝΟΝΟΕ)
Знак | обозначает конкатенацию частичных последовательностей символов.
- 7 013147
При этом вывод ключа может еще модифицироваться тем, что для РМ1РУ4 и СМРУ4 выводятся отдельные ключи, например:
МЦ-НА-СМ1Р4 = ЩМ1Р-КК, СМ1Р4МЫНА|ΗΑ-ΙΡ) ΜΝ-ΗΑ-ΡΜΙΡ4 = Η(ΜΙΡ-ΚΚ, ΡΜΙΡ4ΜΝΗΑ|ΗΑ-ΙΡ)
Для каждого из различных участков передачи данных между узлами сети 2 доступа и мобильным оконечным устройством 1 может выводиться соответственно надлежащий специфический для доступа ключ из МоЫ1е-1Р-корневого ключа М1Р-КК, который, со своей стороны, выводится из переданного базового ключа.
В соответствующем изобретению способе описанный выше вывод ключа в рамках основанной на ЕАР сетевой регистрации пользователя расширяется так, что прокси-сервер 7 сетевого взаимодействия предоставляет сети доступа ключ, присущий СМ1Р, который, при определенных обстоятельствах, может применяться также для РМ1Р. В соответствующем изобретению способе базовый ключ или псевдоключ выводится из М8К, и/или ЕМ8К, и/или другого ввода, например строки символов, посредством функции КОЕ вывода сервером аутентификации.
Фиг. 9 показывает диаграмму сигналов для пояснения принципа, лежащего в основе соответствующего изобретению способа. При аутентификации мобильного оконечного устройства 1 посредством протокола аутентификации и согласования ключей, например ЕАР, базирующегося на К.айш§ или О1ате1ег. сервер защиты или сервер 4А аутентификации в первой сети генерирует базовый ключ или псевдоключ РТ8К или псевдовременный криптографический ключ на основе временного криптографического ключа ТК8, например, эталонного ключа сессии М8К или ЕМ8К. Псевдоключ, выведенный с помощью функции вывода, затем передается на прокси-сервер 7 сетевого взаимодействия, который, например, находится во второй сети, причем, в свою очередь, для каждого сервера приложений или узлов 8, 9 посредством другой функции вывода выводится специфический для доступа ключ. Каждый сервер 8, 9 приложений получает затем от прокси-сервера 7 сетевого взаимодействия выведенный для него специфический для доступа ключ. Посредством переданного ключа затем криптографически защищается участок передачи между оконечным устройство 1 и соответствующим сервером 8, 9 приложений.
С помощью соответствующего изобретению способа можно использовать сервер аутентификации, например, νΤΆΝ- или 3СРР-сервер для ^1Мах-сети доступа, причем сервер аутентификации не должен предоставлять ожидаемую от V^Маx-сети доступа СМ1Р/РМ1Р-функциональность, а только должен быть расширен на функциональность, чтобы выводить базовый ключ из ключа сессии. Соответствующий изобретению способ предоставляет преимущество, состоящее в том, что в случае V^Маx-сети доступа также поддерживается СМ1Р-случай и тем самым можно избежать любого ограничения относительно макромобильности. В соответствующем изобретению способе V^Маx-сеть, за исключением того, что проксисервер сетевого взаимодействия предусматривается в V^Маx-сети, не должен подвергаться никаким другим изменениям или модификациям. Мобильное оконечное устройство 1, сервер аутентификации, а также прокси-сервер 7 сетевого взаимодействия знают, какой базовый ключ или псевдоключ они используют. Тем самым обеспечивается возможность того, что различные М1Р-ключи (варианты самозагрузки) поддерживаются внутри V^Маx-сети. В соответствующем изобретению способе материал ключей, который, например, происходит из ЗСРР-сети, трансформируется в материал ключей для V^Маx-сети, причем V^Маx-сети могут использовать сформированные ключи, не предпринимая настройки.
В варианте осуществления соответствующего изобретению способа функциональность аутентификации согласно изобретению устанавливается вне V^Маx-сети, например в 3СРР-сети. Соответствующий изобретению способ обеспечивает будущее сетевое взаимодействие V^Маx-3СРР-сетей без обуславливаемых этим ограничений в V^Маx-сети. Другое преимущество соответствующего изобретению способа состоит в том, что он может легко распространяться на сетевое взаимодействие между различными сетями, а также на предоставление ключей для любых приложений. В соответствующем изобретению способе прокси-сервер 7 сетевого взаимодействия должен только знать, какие специфические для приложений ключи должны предоставляться и каким образом они должны выводиться. Поэтому в соответствующем изобретению способе не требуется, чтобы уже домашний сервер аутентификации для всех связанных различных сетей мог генерировать соответственно требуемые ключи. В соответствии с этим в соответствующем изобретению способе сравнительно просто различные сети гибким образом привязывать к домашней сети.
В соответствующем изобретению способе мобильное оконечное устройство 1 генерирует при аутентификации также ключ сессии и выводит соответствующим образом специфический для доступа ключ.

Claims (26)

  1. ФОРМУЛА ИЗОБРЕТЕНИЯ
    1. Способ для предоставления специфического для доступа ключа для защиты передачи данных между мобильным оконечным устройством (1) и узлом сети (2) доступа, причем при аутентификации мобильного оконечного устройства (1) сервер (4 А) аутентификации генерирует ключ сессии, из которого выводится базовый ключ и передается на прокси-сервер (7) межсетевого взаимодействия, который из переданного базового ключа выводит специфический для доступа ключ и предоставляет его узлу сети (2) доступа.
  2. 2. Способ по п.1, причем ключ сессии формируется посредством М8К (эталонный ключ сессии)ключа или посредством ЕМ8К (расширенный эталонный ключ сессии)-ключа.
  3. 3. Способ по п.1, причем сервер (4 А) аутентификации находится в домашней сети мобильного оконечного устройства.
  4. 4. Способ по п.1, причем базовый ключ выводится из ключа сессии посредством предварительно определенной первой функции вывода.
  5. 5. Способ по п.4, причем первая функция вывода образована посредством НМАС-8НА1-, НМАС8НА256-, НМАС-МО5-, 8НА1-, 8НА-256- или МЭ5-функции вывода.
  6. 6. Способ по п.1, причем вывод базового ключа осуществляется в зависимости от ключа сессии и строки символов.
  7. 7. Способ по п.1, причем аутентификация мобильного оконечного устройства в сервере аутентификации осуществляется посредством ЕАР-протокола.
  8. 8. Способ по п.1, причем аутентификация мобильного оконечного устройства в сервере аутентификации осуществляется посредством ИМТ8-АКА-протокола.
  9. 9. Способ по п.1, причем аутентификация мобильного оконечного устройства в сервере аутентификации осуществляется посредством НТТР-О|де51-АКА-протокола.
  10. 10. Способ по п.1, причем передача данных между сервером аутентификации и прокси-сервером межсетевого взаимодействия осуществляется посредством Э|ате1ег- или Вабшк-протокола.
  11. 11. Способ по п.1, причем сеть доступа образована \У|Мах сетью.
  12. 12. Способ по п.1, причем домашняя сеть образована 3ОРР домашней сетью.
  13. 13. Способ по п.1, причем из передаваемого базового ключа посредством прокси-сервера межсетевого взаимодействия с помощью второй функции вывода выводится МоЫ1е-1Р-корневой ключ.
  14. 14. Способ по п.13, причем вторая функция вывода образована посредством НМАС-8НА1-, НМАС8НА256-, НМАС-МЭ5-. 8НА1-, 8НА-256- или МО5-функции вывода.
  15. 15. Способ по п.1, причем из выведенного МоЫ1е-1Р-корневого ключа посредством третьей функции вывода выводится специфический для доступа ключ для защиты передачи данных между мобильным оконечным устройством и узлом сети доступа.
  16. 16. Способ по п.15, причем третья функция вывода образована НМАС-8НА1-, НМАС-8НА256-, НМАС-МО5-, 8НА1-, 8НА-256- или МО5-функцией вывода.
  17. 17. Способ по п.1, причем для различных участков передачи данных между узлом сети доступа и мобильным оконечным устройством выводится, соответственно, подходящий специфический для доступа ключ.
  18. 18. Способ по п.1, причем мобильное оконечное устройство при аутентификации также генерирует ключ сессии и выводит из него специфический для доступа ключ.
  19. 19. Сервер (4А) аутентификации для предоставления базового ключа, из которого может быть выведен специфический для доступа ключ для защиты участка передачи данных между мобильным оконечным устройством (1) и узлом сети (2) доступа, причем сервер (4А) аутентификации при аутентификации мобильного оконечного устройства (1) генерирует ключ сессии и из него посредством функции вывода выводит базовый ключ и предоставляет его прокси-серверу (7) межсетевого взаимодействия.
  20. 20. Сервер аутентификации по п.19, причем функция вывода образована посредством НМАС8НА1-, НМАС-8НА256-, НМАС-МО5-, 8НА1-, 8НА-256- или МО5-функции вывода.
  21. 21. Сервер аутентификации по п.19, причем сервер (4А) аутентификации предусмотрен в домашней сети (4) мобильного оконечного устройства (1).
  22. 22. Прокси-сервер (7) межсетевого взаимодействия для предоставления специфического для доступа ключа для защиты участка передачи данных между мобильным оконечным устройством (1) и узлом сети (2) доступа, причем прокси-сервер (7) межсетевого взаимодействия из базового ключа, переданного из сервера (4А) аутентификации, выводит специфический для доступа ключ и предоставляет его узлу сети (2) доступа.
  23. 23. Прокси-сервер межсетевого взаимодействия по п.22, причем прокси-сервер (7) межсетевого взаимодействия предусмотрен в сети (2) доступа.
  24. 24. Прокси-сервер межсетевого взаимодействия по п.22, причем прокси-сервер (7) межсетевого взаимодействия предусмотрен в домашней сети (4) мобильного оконечного устройства (1).
  25. 25. Система передачи данных с несколькими сетями (2) доступа и по меньшей мере одной домаш
    - 9 013147 ней сетью (4) мобильного оконечного устройства (1), причем сервер (4А) аутентификации домашней сети (4) при аутентификации мобильного оконечного устройства (1) генерирует ключ сессии и из него выводит общий базовый ключ, который передается к сети (2) доступа, которая, соответственно, имеет прокси-сервер (7) межсетевого взаимодействия, который выводит по меньшей мере один специфический для доступа ключ из переданного базового ключа, который предусмотрен для защиты передачи данных между мобильным оконечным устройством (1) и узлом соответствующей сети (2) доступа.
  26. 26. Система передачи данных по п.25, причем для каждого узла сети (2) доступа соответствующий специфический для доступа ключ выводится прокси-сервером (7) межсетевого взаимодействия из переданного базового ключа.
EA200970201A 2006-08-14 2007-08-09 Способ и система для обеспечения специфических для доступа ключей EA013147B1 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102006038037A DE102006038037A1 (de) 2006-08-14 2006-08-14 Verfahren und System zum Bereitstellen eines zugangsspezifischen Schlüssels
PCT/EP2007/058284 WO2008019989A1 (de) 2006-08-14 2007-08-09 Verfahren und system zum bereitstellen eines zugangsspezifischen schlüssels

Publications (2)

Publication Number Publication Date
EA200970201A1 EA200970201A1 (ru) 2009-06-30
EA013147B1 true EA013147B1 (ru) 2010-02-26

Family

ID=38686963

Family Applications (1)

Application Number Title Priority Date Filing Date
EA200970201A EA013147B1 (ru) 2006-08-14 2007-08-09 Способ и система для обеспечения специфических для доступа ключей

Country Status (10)

Country Link
US (1) US9197615B2 (ru)
EP (1) EP2052517B1 (ru)
JP (1) JP5054772B2 (ru)
KR (1) KR101401605B1 (ru)
CN (2) CN101502078A (ru)
DE (1) DE102006038037A1 (ru)
EA (1) EA013147B1 (ru)
ES (1) ES2609257T3 (ru)
PL (1) PL2052517T3 (ru)
WO (1) WO2008019989A1 (ru)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9930530B2 (en) 2010-06-18 2018-03-27 Qualcomm Incorporated Methods and apparatuses facilitating synchronization of security configurations
US11356457B2 (en) 2011-09-29 2022-06-07 Amazon Technologies, Inc. Parameter based key derivation

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10181953B1 (en) 2013-09-16 2019-01-15 Amazon Technologies, Inc. Trusted data verification
EP1914960B1 (en) * 2006-10-16 2013-01-09 Nokia Siemens Networks GmbH & Co. KG Method for transmission of DHCP messages
US8769611B2 (en) * 2007-05-31 2014-07-01 Qualcomm Incorporated Methods and apparatus for providing PMIP key hierarchy in wireless communication networks
US8923811B2 (en) * 2008-03-14 2014-12-30 Alcatel Lucent Methods and apparatuses for dynamic management of security associations in a wireless network
US8695082B2 (en) * 2008-10-27 2014-04-08 Nokia Siemens Networks Oy Method and communication system for accessing a wireless communication network
US20100106971A1 (en) * 2008-10-27 2010-04-29 Domagoj Premec Method and communication system for protecting an authentication connection
WO2010090569A1 (en) 2009-02-05 2010-08-12 Telefonaktiebolaget Lm Ericsson (Publ) Apparatuses and a method for protecting a bootstrap message in a network
IT1398518B1 (it) * 2009-09-25 2013-03-01 Colombo Safe milano
WO2011064868A1 (ja) * 2009-11-26 2011-06-03 株式会社 東芝 暗号情報送信端末
EP2591436A4 (en) * 2010-07-08 2014-11-05 Certicom Corp SYSTEM AND METHOD FOR REALIZING DEVICE AUTHENTICATION USING KEY ACCREDITATION
US9237155B1 (en) 2010-12-06 2016-01-12 Amazon Technologies, Inc. Distributed policy enforcement with optimizing policy transformations
KR102051492B1 (ko) * 2011-04-15 2020-01-08 삼성전자주식회사 머신-대-머신 서비스 제공 방법 및 장치
US9106633B2 (en) * 2011-05-26 2015-08-11 First Data Corporation Systems and methods for authenticating mobile device communications
US8769642B1 (en) 2011-05-31 2014-07-01 Amazon Technologies, Inc. Techniques for delegation of access privileges
US9178701B2 (en) 2011-09-29 2015-11-03 Amazon Technologies, Inc. Parameter based key derivation
US9197409B2 (en) 2011-09-29 2015-11-24 Amazon Technologies, Inc. Key derivation techniques
US8892865B1 (en) 2012-03-27 2014-11-18 Amazon Technologies, Inc. Multiple authority key derivation
US9215076B1 (en) 2012-03-27 2015-12-15 Amazon Technologies, Inc. Key generation for hierarchical data access
US8739308B1 (en) 2012-03-27 2014-05-27 Amazon Technologies, Inc. Source identification for unauthorized copies of content
US9130742B2 (en) * 2012-03-30 2015-09-08 California Institute Of Technology Key agreement in wireless networks with active adversaries
US9148173B2 (en) 2012-03-30 2015-09-29 California Institute Of Technology Distributed reed-solomon codes for simple multiple access networks
CN103490887B (zh) * 2012-06-14 2017-06-13 中兴通讯股份有限公司 一种网络设备及其认证和密钥管理方法
US9660972B1 (en) 2012-06-25 2017-05-23 Amazon Technologies, Inc. Protection from data security threats
US9258118B1 (en) 2012-06-25 2016-02-09 Amazon Technologies, Inc. Decentralized verification in a distributed system
US9813449B1 (en) * 2012-08-10 2017-11-07 Lookwise S.L. Systems and methods for providing a security information and event management system in a distributed architecture
KR20140124157A (ko) * 2013-04-16 2014-10-24 삼성전자주식회사 무선 네트워크에서 키 하이어라키 생성 장치 및 방법
US9407440B2 (en) 2013-06-20 2016-08-02 Amazon Technologies, Inc. Multiple authority data security and access
US9521000B1 (en) 2013-07-17 2016-12-13 Amazon Technologies, Inc. Complete forward access sessions
US9311500B2 (en) 2013-09-25 2016-04-12 Amazon Technologies, Inc. Data security using request-supplied keys
US9237019B2 (en) 2013-09-25 2016-01-12 Amazon Technologies, Inc. Resource locators with keys
US10243945B1 (en) 2013-10-28 2019-03-26 Amazon Technologies, Inc. Managed identity federation
US9420007B1 (en) 2013-12-04 2016-08-16 Amazon Technologies, Inc. Access control using impersonization
US9292711B1 (en) 2014-01-07 2016-03-22 Amazon Technologies, Inc. Hardware secret usage limits
US9374368B1 (en) 2014-01-07 2016-06-21 Amazon Technologies, Inc. Distributed passcode verification system
US9369461B1 (en) 2014-01-07 2016-06-14 Amazon Technologies, Inc. Passcode verification using hardware secrets
US9270662B1 (en) 2014-01-13 2016-02-23 Amazon Technologies, Inc. Adaptive client-aware session security
US10771255B1 (en) 2014-03-25 2020-09-08 Amazon Technologies, Inc. Authenticated storage operations
US9413730B1 (en) * 2014-06-04 2016-08-09 Skyhigh Networks, Inc. Encryption in the cloud using enterprise managed keys
US9258117B1 (en) 2014-06-26 2016-02-09 Amazon Technologies, Inc. Mutual authentication with symmetric secrets and signatures
US10326597B1 (en) 2014-06-27 2019-06-18 Amazon Technologies, Inc. Dynamic response signing capability in a distributed system
US10122689B2 (en) 2015-06-16 2018-11-06 Amazon Technologies, Inc. Load balancing with handshake offload
US10122692B2 (en) 2015-06-16 2018-11-06 Amazon Technologies, Inc. Handshake offload
WO2017209367A1 (ko) * 2016-05-31 2017-12-07 엘지전자(주) 무선통신 시스템에서 서비스 별로 단말의 인증을 수행하기 위한 방법 및 이를 위한 장치
US10116440B1 (en) 2016-08-09 2018-10-30 Amazon Technologies, Inc. Cryptographic key management for imported cryptographic keys
US10652236B2 (en) 2017-03-17 2020-05-12 Conduent Business Services, Llc Electronic crowd-based authentication

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020120844A1 (en) * 2001-02-23 2002-08-29 Stefano Faccin Authentication and distribution of keys in mobile IP network
WO2004049672A2 (en) * 2002-11-22 2004-06-10 Cisco Technology, Inc. Methods and apparatus for dynamic session key generation and rekeying in mobile ip
US20060161771A1 (en) * 2002-08-14 2006-07-20 Junbiao Zhang Session key management for public wireless lan supporting multiple virtual operators

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6857075B2 (en) * 2000-12-11 2005-02-15 Lucent Technologies Inc. Key conversion system and method
US20030235305A1 (en) * 2002-06-20 2003-12-25 Hsu Raymond T. Key generation in a communication system
US7350077B2 (en) 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
CN1290362C (zh) * 2003-05-30 2006-12-13 华为技术有限公司 一种无线局域网中用于移动台切换的密钥协商方法
US7325133B2 (en) * 2003-10-07 2008-01-29 Koolspan, Inc. Mass subscriber management
JP4143036B2 (ja) * 2004-01-26 2008-09-03 株式会社エヌ・ティ・ティ・ドコモ 鍵生成システム、鍵生成サーバ及び鍵生成方法
US7624269B2 (en) * 2004-07-09 2009-11-24 Voltage Security, Inc. Secure messaging system with derived keys
WO2006079419A1 (en) * 2005-01-28 2006-08-03 Telefonaktiebolaget Lm Ericsson (Publ) User authentication and authorisation in a communications system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020120844A1 (en) * 2001-02-23 2002-08-29 Stefano Faccin Authentication and distribution of keys in mobile IP network
US20060161771A1 (en) * 2002-08-14 2006-07-20 Junbiao Zhang Session key management for public wireless lan supporting multiple virtual operators
WO2004049672A2 (en) * 2002-11-22 2004-06-10 Cisco Technology, Inc. Methods and apparatus for dynamic session key generation and rekeying in mobile ip

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9930530B2 (en) 2010-06-18 2018-03-27 Qualcomm Incorporated Methods and apparatuses facilitating synchronization of security configurations
US11356457B2 (en) 2011-09-29 2022-06-07 Amazon Technologies, Inc. Parameter based key derivation

Also Published As

Publication number Publication date
KR101401605B1 (ko) 2014-06-02
PL2052517T3 (pl) 2017-05-31
CN101502078A (zh) 2009-08-05
ES2609257T3 (es) 2017-04-19
CN107070846A (zh) 2017-08-18
JP2010500803A (ja) 2010-01-07
US9197615B2 (en) 2015-11-24
JP5054772B2 (ja) 2012-10-24
EA200970201A1 (ru) 2009-06-30
KR20090040912A (ko) 2009-04-27
WO2008019989A1 (de) 2008-02-21
EP2052517A1 (de) 2009-04-29
US20110010538A1 (en) 2011-01-13
DE102006038037A1 (de) 2008-02-21
EP2052517B1 (de) 2016-11-02

Similar Documents

Publication Publication Date Title
EA013147B1 (ru) Способ и система для обеспечения специфических для доступа ключей
JP4832756B2 (ja) Wlanローミングの間にgsm認証を行う方法およびシステム
JP4861426B2 (ja) モビリティキーを提供する方法とサーバ
CN101300889B (zh) 用于提供移动性密钥的方法和服务器
FI105965B (fi) Autentikointi tietoliikenneverkosssa
US8630420B2 (en) Method for auto-configuration of a network terminal address
KR101037844B1 (ko) 이동성 키를 제공하기 위한 방법 및 서버
US20020147820A1 (en) Method for implementing IP security in mobile IP networks
US8611543B2 (en) Method and system for providing a mobile IP key
EP1075123A1 (en) Dynamic home agent system for wireless communication systems
KR100945612B1 (ko) 클라이언트-모바일-ip(cmip) 대신프록시-모바일-ip(pmip)의 가입자-지정 강화
EP2027666A1 (en) Access to services in a telecommunications network
US8615658B2 (en) Dynamic foreign agent—home agent security association allocation for IP mobility systems
WO2006102565A2 (en) Optimized derivation of handover keys in mobile ipv6
Haverinen et al. Authentication and key generation for mobile IP using GSM authentication and roaming
KR100732655B1 (ko) Wlan 로밍 중에 gsm 인증을 위한 방법 및 시스템

Legal Events

Date Code Title Description
MM4A Lapse of a eurasian patent due to non-payment of renewal fees within the time limit in the following designated state(s)

Designated state(s): AM KZ KG MD TJ TM