TWI376905B - Key generation in a communication system - Google Patents
Key generation in a communication system Download PDFInfo
- Publication number
- TWI376905B TWI376905B TW099142508A TW99142508A TWI376905B TW I376905 B TWI376905 B TW I376905B TW 099142508 A TW099142508 A TW 099142508A TW 99142508 A TW99142508 A TW 99142508A TW I376905 B TWI376905 B TW I376905B
- Authority
- TW
- Taiwan
- Prior art keywords
- network
- server
- authentication
- data
- cellular communication
- Prior art date
Links
- 238000004891 communication Methods 0.000 title claims description 28
- 238000000034 method Methods 0.000 claims description 32
- 230000001413 cellular effect Effects 0.000 claims description 3
- 230000010267 cellular communication Effects 0.000 claims 10
- 230000004044 response Effects 0.000 description 14
- 229910052737 gold Inorganic materials 0.000 description 13
- 230000006870 function Effects 0.000 description 12
- 239000010931 gold Substances 0.000 description 12
- 230000007246 mechanism Effects 0.000 description 12
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 10
- 238000013475 authorization Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000010295 mobile communication Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 210000004271 bone marrow stromal cell Anatomy 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000002245 particle Substances 0.000 description 2
- 235000017166 Bambusa arundinacea Nutrition 0.000 description 1
- 235000017491 Bambusa tulda Nutrition 0.000 description 1
- 241001330002 Bambuseae Species 0.000 description 1
- 235000015334 Phyllostachys viridis Nutrition 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 239000011425 bamboo Substances 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000739 chaotic effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 229910052751 metal Inorganic materials 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000010422 painting Methods 0.000 description 1
- 230000008929 regeneration Effects 0.000 description 1
- 238000011069 regeneration method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 235000012431 wafers Nutrition 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Description
1376905 六、發明說明: 【發明所屬之技術領域】 本發明係關於一通信系統之互通功能,尤其是關於透過 無線區域網珞(WLAN)中使用之一互通功能之共同鑑認與 金錄交換機制。 【先前技術】 無線區域網路(WLAN)允許使用者實質上無限制存取網 際網路協定(IP)服務與資料網路。使用一 WLAN並不限於 膝上型電腦及其他計算裝置,而是迅速擴大包括行動電 話、個人數位助理(PDA)以及由外部網路或載波所支援之 其他小型無緣裝置。例如,經由一行動系統載波(cellular carrier)通信之無線裝置可在網路咖啡店或工作室漫遊在 WLAN之中。按此情況,無線裝置已獲得行動系統存取 權,但希望進一步存取WLAN。WLAN存取需要鑑認。因 為無線裝置業已獲得行動系統存取權,所以需要進一步鑑 認是多餘的。因此,需要一種允許存取一行動系統且存取 一 WLAN之共同鑑認機制。而且,需要一種用於產生在通 信期間所使用之加密金鑰的共同機制。 【發明内容】 一種產生一主控會期金鑰(MSK)之通信系統,該MSK係 用於存取不提供通信流量加密之系統實體。本方伺服器和 使用者兩者均產生相同MSK。該MSK係用以產生通信流量 之加密金錄。在一項實施例中,使用一雜湊函數及請求者 特定之資訊來產生該MSK。本方伺服器根據一存取請求訊 152449.doc 1376905 息内所含之資訊來決定產生MSK之需求。—旦產纟,即將 該MSK提供給系統實體,使該實體能夠加密通信流量。 【實施方式】 。" 本文中專用的術語「示範」係、表示「當作範例、實例或 圖例:明」。本文中當作「示範」說明的任何具體實施例 不足被視為較佳具體實施例或優於其他具體實施例。 一職用戶台(本文令稱為一存取終端機(at》可為行動 或固接式’且可與—個或多個職基地台(本文中稱為數 據機集區收發機(MPT))通信一存取終端機可透過一個或 多個數據機集區收發機發送及接收資料封包至一hdr基地 。控制益(本文中稱為數據機集區控制台。數據機 集區收發機和數據機集區控制器屬於稱為存取網路之網路 的部件。-存取網路傳輸介於多個存取終端機之間的資料 封包。存取網路可進一步被連接至存取網路外部之額外網 路(諸如企業内部網路或網際網路),並且可傳輸介於每一 存取終端機與此種外部網路之間的資料封包。已建立與一 個或多個數據機集區收發機連線之啟用中通信流量頻道連 接之存取終端機係稱為啟用中存取終端機,且表示其係處 於通k中狀態。正在建立與一個或多個數據機集區收發機 連線之啟用巾通信流f頻道連接過程巾的存取終端機表示 其係處於一連接建立狀態。存取終端機可為透過無線頻道 或有線頻道(光纖或同軸纜線)通信之任一資料裝置。一疒 取終端機進一步可為任一眾多類型之裝置,包括但不受= 於pc卡、小型快閃記憶體、外接式或内建數據機、無線: 152449.doc 1376905 有線電話。存取終端機發送信號至數據機集區收發機所使 用之通信鏈路係稱為反向鏈路。數據機集區收發機發送信 號至存取終端機所使用之通信鏈路係稱為正向鏈路。 圖1描繪一種具有一含多個存取點(AP)之無線區域網路 . (WLAN)104的通信系統。一AP係一集線器或橋接器,用於 . 提供WLAN 104無線端之一星形樸拓控制,以及存取一有 線網路。 φ 每一 AP 110以及圖未示之其他AP都可支援一連線至一資 料服務(諸如網際網路)的連線。一MS 1〇2(諸如一膝上型電 腦或其他數位計算裝置)可經由空中介面而與Ap通信因 此稱為「無線LAN」。該AP然後與一鑑認伺服器(AS)或鑑 6忍中心(AC)通彳g。AC是一種針對要求進入網路之裝置執 打鑑認服務之元件。實施包括遠端鑑認撥接使用者服務 (Remote Authentication Dial-in User Service ; RADIUS) 伺服器(1997年4月公佈由C· Rigney等人所著「遠端鑑認 Φ 撥接使用者服務(RADIUS)」,這是在RFC 2138中所述之一 網際網路使用者鑑認),以及鑑認、授權及帳戶處理 (Authentication,Authorization,and Accounting ; AAAM司服 . 器。 • 無線網路正顯現為網際網路之一重要層面。一無線網路 之唯一邊界是無線電信號強度之事實,使得無線網路呈現 一組獨特問題。沒有任何佈線來界定一網路中的成員。沒 有任何實質方法將一無線電範圍内之系統限制為一無線網 路之一會員。無線網路比任何其他網路技術更需要一鑑認 152449.doc 1^/6905 和存取控制機制。不同團體目前正在研發一標準鑑認機 制°目前可接受之標準是IEEE 802」i。 —RF基礎網路之性質造成處於開放藉由發射機範圍内無 線電進行封包攔戴之狀態。藉使用高增益天線,就可在遠 離使用者"工作”範圍之外進行攔截。利用很容易獲得之工 具,竊聽者並非限於僅收集封包供以後分析,而且還能夠 實際知道互動會期,例如有效無線使用者所檢視之資訊網 頁。一竊聽者亦能獲取低安全保護鑑認交換,像某些網站 登入。竊聽者爾後可複製登入並獲得存取權。 旦攻擊者已獲得一 WLAN如何控制存取許可之知識 時,就能夠自行獲得網路的存取許可權,或者竊取一有效 用者之存取權。若攻擊者能模擬該有效使用者之mac位 址,且使用其指定IP位址,就可輕而易舉地竊取一使用者 之存取權。攻擊者一直等待有效系統停止使用網路然後 ,管其在_内之位置。$會允許-攻擊者直接存取在-網路内之所有裝置,或使用該網路來獲得存取較寬頻之網 際網路’始終就像是受攻擊網路的—有效使用纟。因此, 在WLAN實施中,鑑認及加密變成主要考量點。 鐘認係證明通信中之個人或應用程式之識別身分的程 序。此種鑑認允許服務業者確認定實體為一有效使用者, 還針對特定服務要求來確認使用者。鑑認及授權實際 八有十刀特定意義,雖然兩名稱常被交換使用,且實質 上中難加以清楚區別。 鑑_係種使用者證實識別身分之權利的程序一本質 152449.doc 1376905
上’使用名稱之權利°現有大量技術可使用來鑑認使用 者例如在碼、生物測定技術、_ ^ + H 名稱或識別身分具有與其關聯之屬性(athib咖)。屬 (生可在切繫-名稱(例如,在一憑證酬載内),戒依據一 . 相對應m稱之金靖將屬性儲存在目錄或其他資料庫 . 内。屬性可能會隨時間改變。 授權係用於決定是否容許一識別身分(加上與該識別身 鲁分相關聯之一纽屬性)執行某動作(例如,存取-資源)之程 序應/主思,谷许執行一動作並非保證能執行該動作。請 /主^可由不同實體在不同點進行鑑認及授權。 在订動通尨網路内,鑑認特徵係一用於允許行動通信 '網路驗證無線裝置之識別身分的網路能力,藉以減少未經 授權使用行動通信網路。此程序不會被用戶察覺到。當用 戶打電話時並不需要任何動作來鑑認其電話之識別身分。 ^ 典型上包括—密碼編譯(cryptographic)機制,其中 .· i務提供者和制者具有-些共用資訊和-些私人資訊。 共用資訊典型上稱為"共用秘密"。 A-金鑰 釔 < 金鑰(A-金鑰)係對每一個人之行動電話所唯一的秘 ' 岔值。A_金鑰係向行動通信服務提供者註冊且係儲存在電 話及鑑認中心(AC)中。製造商將A-金錄程式規劃在電話 内°使用者也可以從無線裝置功能表手動輸入A-金錄,或 由銷售點的特殊終端機輸入A-金鑰。 ”、、線裝置和AC必須有相同A-金錄才能產生相同計算結 152449.doc 1376905 果。A-金鑰之主要功能係當做用來計算共用秘密資料 (SSD)之一參數。 共用祕密資料(SSD) SSD係當做在無線裝置和AC内鑑認計算的一輸入,且被 儲存在這兩個地點。不同於A-金鑰,可透過網路修改 8 30。入(:及無線裝置可共用參與880計算之三個要素:1) 電子序號(ESN) ; 2)鑑涊金鑰(A-金鑰);及3)「共用秘密資 料」計算(RANDSSD)之RANDom數。 ESN和RANDSSD係透過網路和透過空中介面發送。當一 裝置進行第一次系統存取時會更新SSD,且此後定期更 新。當計算SSD時,其結果是兩個獨立值SSD-A和SSD-B。SSD-A係用於鑑認。SSD-B係用於加密及語音隱密。 視伺服方系統之能力而定,AC與伺服方行動交換中心 (MSC)之間可以共用或不共用SSD。若要共用秘密資料, 則表示AC會將秘密資料發送至伺服方MSC,並且伺服方 MSC必須能夠執行細胞式鑑認語音譯密(CAVE)。若不要共 用秘密資料,AC可保持資料並執行鑑認。 共用之類型會影響如何引導一鑑認詢問(authentication challenge)。一鑑認詢問係詢問無線裝置之識別身分所發 送之一訊息。基本上,鑑認詢問可發送使用者所要處理的 一些資訊,典型上即亂數資料。然後,該使用者處理該資 訊且發送一回應。分析該回應以確認使用者。配合共用之 秘密資料,由伺服方MSC處理一詢問。配合非共用之秘密 資料,由AC處理一詢問。藉由共用秘密資料,該系統可 152449.doc 1376905 使發送之通信流量減至最少,並且允許在伺服方交換機處 更快發生詢問。 鑑認程序 在一已知系統内’藉由將〆本方位置暫存器(HLR)當作 介於MSC與AC間之中間裝置來控制鑑認程序。可設定伺 服方MSC用行動台的HLR來支援鑑認,反之亦然。 裝置起始鑑認程序的方式為’設定添加信號訊息串 (overhead message train)中的一授權欄位’藉以向伺服方 MSC通知其能夠具有鑑認能力。在回應中’伺服方MSC使 用一鑑認請求來開始註冊/鑑認程序。 藉由發送鑑認請求,伺服方MSC即告知HLR/AC它是否 能執行CAVE計算。AC可控制可用的伺服方MSC能力與裝 置能力中所要使用的能力。當伺服方MSC並未具有CAVE 能力時,在AC與MSC之間不能共用SSD且因此在AC内執 行所有鑑認程序。 鑑認請求(AUTHREQ)之用途為鑑認電話並所請求之 SSD。AUTHREQ包含兩個鑑認參數AUTHR和RAND參數。 當AC獲得AUTHREQ時,隨即使用RAND與最後獲知之SSD 來計算AUTHR。若符合在AUTHREQ内所發送之AUTHR, 則鑑認成功。如果可共用SSD,則AUTHREQ的傳回結果會 包含SSD。 詢問 鐘認程序係由一詢問與回應對話所組成。若是共用 SSD,則會在MSC與該裝置之間進行對話。若是未共用 152449.doc 1376905 =,則會在賴AC與該裝置之間進行對話。視交換機 之類型而疋,職可能具有唯一性詢問、全域性詢問戍兩 者之能力。有些MSC目前不具有全域性詢問之能力。因為 唯-性詢問使用語音頻道’所以僅在呼叫嘗試期間才會發 生唯-性詢問。在呼叫起始與呼叫傳遞期,唯—性詢問 將-鑑認呈遞給-單-裝置。全域性詢問係在註冊、呼叫 起始及呼叫傳遞期間發生之詢問。全域性詢問將一鑑認詢 問呈遞給正在使用-特殊無線電控制頻道的所有MS。因 為會在無線電控制頻道上廣播全域性詢問,並且正在存取 該控制頻道的所有電話都會使用該詢問,心稱為全域性 詢問。 在一詢問期間,裝置可回應由Msc或Ac所提供之亂 數。該裝置使用該亂數及裝置内儲存之共用秘密資料來計 算對該MSC之一回應。MSC亦使用該亂數及共用秘密資料 來計算所來自該裝置之回應。經由CAVE演算法即可完成 此等計算。若回應並不相同,則拒絕服務。詢問程序不會 增加連接呼叫所花之時間量。事實上,可在某些情況下進 行此呼叫’僅當鑑認失敗時才斷線。 無線區域網路(WLAN)已獲非常普及作為提供使用者開 放存取IP資料網路之一裝置。還設計出提供高速資料存取 的高資料率(HDR)網路,諸如1 χΕV-DO網路和其他第三代 (3G)網路;雖然這些網路支援之資料率典型上低於WLAN 之資料率,但是3G網路提供更廣的資料涵蓋範圍。雖然 WLAN及HDR網路被視為競爭對手,但是WLAN及HDR網 152449.doc -10- 路可互補;WLAN在公共場所(諸如機場接待室及旅館候客 廳)提供高容量作用點(hot-spot)涵蓋範圍,而HDR網路可 為移動中使用者提供近乎無所不在之資料服務。因此,相 同載波可依據一單一使用者訂購同時提供HDR與WLAN兩 種存取服務。此表示MS可針對這兩種類型之存取鑑認使 用相同鑑認方法及秘密。 HDR網路及WLAN存取鑑認兩者可使用一項協定,諸如 「詢問信號交換鑑認協定」(Challenge Handshake Authentication Protocol ; CHAP),.亦稱為 MD5 詢問。 CHAP明確使用RADIUS協定來鑑認終端機,而不需要發送 安全保護資料。MS係由其本方RADIUS伺服器予以鑑認, 其中本方RADIUS伺服器與MS可共用一根秘密(root secret)。在經由一 CHAP詢問成功地鑑認MS後,MS和本方 或HDR網路可推導出相同加密金鑰,以便使用加密金鑰來 保護介於MS與WLAN存取點(AP)間所交換之通信流量。 在經由一 CHAP詢問成功的WLAN存取鑑認後,本方 RADIUS伺服器與MS可從共用根秘密產生相同之主控會期 金鑰(MSK)。使用MSK來推導出加密金鑰,以便使用加密 金鑰來保護介於MS與WLAN之AP間的實際通信流量。共 用根秘密係配置給MS且係靜態的。會以每封包資料會期 為基礎來產生MSK,並且僅在該會期期間固定不變。若是 一新的會期,則使用一不同亂數從共用根秘密產生一新 MSK。 因為當MS存取HDR網路時並不需要MSK,所以一項實 152449.doc 1376905 施例提供一種允許本方RADIUS伺服器決定MS是否正在存 取WLAN或HDR網路的機制。 圖1描繪一通信系統100,包括一 HDR網路106,一 WLAN 104,及一MS 102。MS 102係能夠存取HDR網路106,且已 漫遊至一 WLAN 104之涵蓋區内。MS 102經由WLAN 104内 的AP 110試圖存取WLAN 104。請注意,WLAN 104可包括 任何數量之AP(圖未示)。WLAN 1 04亦包括一鑑認、授權 及帳戶處理(AAA)實體或伺服器112。請注意,HDR網路 106亦包括一 AAA伺服器108。 圖2描繪當在通信系統1 00内使用CHAP或MD5詢問時為 存取鑑認一 WLAN之訊息流程圖。MS 1 02使用一識別用之 「網路存取識別碼」(NAI)。NAI的格式為使用名稱@網 域,其中網域識別MS之本方網路,在實例中,本方網路 即係HDR網路106。在WLAN網路104内之AAA伺服器112可 啟始一RADIUS存取請求訊息,以發送給位於MS 102本方 網路之AAA伺服器1 08,亦即發送給HDR網路1 06。請注 意,HDR網路106可能是支援高資料率傳輸的任一網路。 然後,AAA 108經由WLAN 104將一 CHAP詢問發出至MS 102。MS 102根據該詢問(例如一亂數)來計算一回應,且 將該回應當做一「RADIUS存取請求」請求以經由WLAN 104載送至AAA 108。若鑑認成功,則本方AAA伺服器108 用一 RADIUS存取接受訊息授予MS 102存取WLAN網路104 來認可鑑認成功。如以上論述,本方AAA伺服器108和MS 102都會利用一共用根秘密來產生一相同的主控會期金鑰 152449.doc -12· 1376905 (MSK)。 如上述,行動通信普遍使用CAVE演算法,因此,已妥 善使用和分配CAVE演算法。亦可使用替代之鑑認演算 法。具體而言,在資料通信中有不同複雜性和應用的各種 演算法。為協調此等機制,已發展出可擴展鑑認協定 (ΕΑΡ),用以當做支援多重鑑認及金餘分配機制之一通用 協定構架。在1998年3月公佈之RFC 2284,由L. Blunk等 人所著"PPP可擴展鑑認協定(ΕΑΡ)”内即說明ΕΑΡ。 按照2002年2月被公佈為一網際網路草案之由J. Ackko 等人所著"ΕΑΡ AKA鑑認”中的定義,由ΕΑΡ所支援之一項 此類機為ΑΚΑ演算法。因此需要擴充ΕΑΡ以納入行動通信 演算法CAVE。此乃期望能提供新系統及網路之回溯相容 性。 ΕΑΡ 可擴展鑑認協定(ΕΑΡ)係一種支援多重鑑認機制的一通 用鑑認協定。ΕΑΡ並非在鏈路建置和控制期間選擇一特定 鑑認機制,反而是延緩到鑑認程序開始。此可讓鑑認器在 決定特定鑑認機制以前請求更多資訊。鑑認器被定義為需 要鑑認之鏈珞的末端。鑑認器指定要在鏈路建置期間使用 的鑑認協定。 金餘產生 金输階層架構(key hierarchy)是用於從一根金输來產生 一組加密金鑰的步驟序列,而加密金鑰則是用來加密/解 密訊息,或者鑑認訊息。一金鑰階層架構應包括某時間變 152449.doc -13· 1376905 化資訊,促使每次使用該階層架構時不致產生同一組加密 金鑰。一金鑰階層架構還應該建置成,如果所推導出的加 密金錄已變成已知的金鑰,則不能自加密金錄獲得根金 鑰。 在一項實施例中’整個金鑰階層架構係由三個較小型之 分層式金鑰階層架構所組成:主控金鑰階層架構(master key hierarchy);金鑰重新產生金鑰階層架構(rekeying key hierarchy);及每封包金鑰階層架構(per_packet key hierarchy)。視該階層架構及鑑認方法而定,主控金鑰階 層架構可包括ΕΑΡ金錄產生、預先共用金输或亂數。若 ΕΑΡ金鑰產生係用於主控金鑰階層架構,則主控金鑰階層 架構通常係駐在RADIUS伺服器上。 金鑰重新產生階層架構具有稱為成對式(pairwise)金鑰 階層架構及群組(Group)金鑰階層架構的兩種類型。此兩 種類型階層架構内之步驟類似;僅兩種類型之輸入不同。 每封包金鑰階層架構可用於TKIp(使用一 RC4加密引 擎),或者用於AES。 成對式金錄階層架構係用來推導出在一無線網路之兩個 實體之間所使用的金鑰(AP與相關聯之工作站,或在一網 路内的一對工作站)。 群組金錄階層架構係用來推導 守及傳运在一無線群組 所有實體所使用的金鑰(AP及— 、夂網路内與該AP相關聯之 有工作站,或在一網路内之所有實體 在正使用成對式金鑰的兩個實 回貫體上,以平行方式產生 J52449.doc 1376905 對式金賴層架構例項(lnstantiaticm),其中每個實體都會 使用共同資訊來計算同-組加密讀。兩個實體之一可驅 動對成位置金㈣層架構’該實體稱為成對式金錄擁有 者。針對-已知網路,該成對式金繪擁有者即係Ap ;針對 其他網路’則每—可能成對的工作站將具有-成對式金餘 階層架構,1賴式金難有者㈣紅㈣中擁有較低 層媒體存取控制層位址之工作站。 _
僅會在-個實體上產生群組金錄階層架構例項,並且合 將推導出之加密金鑰公佈給所有其他實體;驅動群组金‘ p白層架構之實體係群組金鑰擁有者。針對—已知網路(例 如稱為一基本服務組(BSS)之網路),冑組金输擁有者即係 AP;針對一獨立基本服務組(IBSS)網路,群組金錄擁有者 :現行信標發送機。請注意,一 BSS網路係由一 Ap和相關 ^之工作站所組成’然而一1BSS網路係由一組工作站所組 成,所有工作站係相互對等體。本文所使用之用詞「工作 站」包括一行動台或能夠存取一區域網路之其他無線裝 每個工作台都具有至少兩個金鑰階層架構例項,且十分 可月b有更多金鑰階層架構例項。在一 BSS網路内,AP具有 用於每個相關聯工作站的_成對式金鑰階層架構例項,並 且具有至少一群組金鑰階層架構;ΛΡ係所有此等階層架構 之金錄擁有者。每—相關聯之卫作站都具有—個成對式金 ㈣層架_項’且具有至少—群組金錄階層架構。針對 ’周路’每個工作站都具有一適用於網路内每個其他工 152449.doc •15- 1376905 作站的成對式金鑰階層架構例項,以及一單一群組金鑰階 層架構。 金鑰擁有者具有用於群組金鑰的一單一群組金鑰重新產 生階層架構例項,及適用於每一關聯的一成對式金鑰重新 產生階層架構例項。一金鑰擁有者具有一按照群組及成對 式暫時金鑰(若有)之「臨時金鑰完整性協定」(TKIP)之暫 時金鑰的每封包金鑰階層架構。一非金鑰擁有者具有一依 照關聯之用於群組金鑰及成對式金鑰的金鑰重新產生階層 架構例項,以及具有一依照群組及成對式的暫時金鑰(若 有)之TKIP暫時金鑰的每封包金鑰階層架構。
MSK 依據示範性實施例,MSK包括「行動通信訊息加密演算 法」(CMEA)金鑰(用於保護如傳送至WLAN的MS通信流 量)及一密碼金鑰(CK)。 圖3描繪產生加密金鑰之金鑰階層架構以保護介於MS 1 02與WLAN網路104間之通信流量。程序開始於協商MS 102識別身分。然後WLAN 104發送一 RADIUS存取請求訊 息至AAA 108,而AAA 108會回應一 RADIUS存取詢問訊 息。WLAN 104將詢問傳給MS 102,而MS 102從該詢問計 算出一回應。然後將MS 102的詢問回應提供給WLAN 104。在步驟4a中,在MS 102發送鑑認回應給WLAN 104 後,MS 102即使用根秘密來產生主控會期金鑰(MSK)。 WLAN 104發送RADIUS存取請求訊息至AAA 108,包括 詢問回應。在步驟5a中,若成功鑑認MS 102,本方AAA伺 152449.doc *16- 1376905 服器108可使用MS 102根秘密來產生相同於在步驟4a中由 MS 102所產生的MSK。在步驟6中,本方AAA伺服器108使 用一屬性(例如MS-MPPE-Recv-Key屬性),將MSK納入 RADIUS存取接受訊息内。在步驟7中,MS 102及WLAN網 路104使用適用於從MSK產生加密金鑰的程序,例如, 2002年 3 月 IEEE 標準 802.lli/D2_0 標題為「Draft Supplement to Standards for Telecommunications and Information Exchange Between Systems - LAN/MAN Specific Requirements--Part 11: Wireless Medium Access Control (MAC) and Physical Layer (PHY) Specifications: Specifications for Enhanced Security」(本文中稱為"802.lli 標準")文件中所指定的程序。 以下提供在MS 102及本方AAA伺服器108中用以產生MSK 的演算法及參數之兩個範例。按第一實施例,MSK係定義 為: MSK=雜湊函數(秘密,詢問,NAI,秘密) (1) 其中MSK妹使用以下參數應用一雜湊函數(例如,CHAP, HMAC)之結果: • MS 102根秘密; •在圖3中之步驟4至步驟5中用以鑑認MS 102的詢問; • MS 102 NAI ;及 • MS 102根秘密再來
根據本實施例,MS 102和本方AAA伺服器108具有用於獨 立產生相同MSK所必需之所有金鑰資料。換言之,在MS 152449.doc 17 1376905 102與本方AAA伺服器108之間不需要交換用於MSK產生的 額外金鑰資料。請注意,MSK和MS 102存取從一相同詢問 值所產生的鑑認回應。一替代實施例可從一不同亂數值產 生 MSK。 按照另一實施例,一第二範例將MSK定義為: MSK=雜湊函數(秘密,NAI,亂數) (2) 其中MSK係使用以下參數應用一雜湊函數(例如,CHAP, HMAC)之結果: • MS 102根秘密; • MS 102 NAI ;及 •由本方AAA伺服器所產生之一亂數, 其中該亂數不同於詢問值。依據此實施例,會從一不同 於在MS 102存取鑑認過程中所使用之詢問值的亂數來產生 MSK。使用獨立詢問值可降低介於MSK與MS 102存取鑑認 之間的關聯性,且因此可改進安全性。請注意,會將亂數 發送至MS 102,並且從該亂數產生MSK。會經由一 RADIUS存取接受(圖3中的步驟6)及802.11i標準(圖3中的步 驟7)中定義之機制,將亂數發送至MS 1 02。 當MS 102正存取一 WLAN 104時會使用用於產生MSK之 程序,而當MS正存取lxEV-DO或其他HDR網路時則不會使 用此程序。這是因為HDR系統提供了無線通信加密(over the air encryption)。當MS啟始存取WLAN網路104或存取 HDR網路106時,MS 102能夠決定是否需要MSK產生。然 而,本方AAA伺服器亦必須決定何時產生MSK。 152449.doc -18· 1376905 在一項實施例中,實施一特定RADIUS屬性以通知AAA 108產生一 MSK。在圖3之步驟2及步驟5中,WLAN網路 104所發送的RADIUS存取請求訊息中包含一用於指示MS 102希望或正請求WLAN 104存取的特定或指定之屬性。此 屬性狀態會觸發本方AAA伺服器108執行MSK產生(若MS 102鑑認已成功)。當RADIUS存取請求訊息中沒有指定之 屬性時,本方AAA伺服器108就不會執行MSK產生。請注 意,為實施與3GPP2 —致之系統,該指定之屬性係3GPP2 所特有且因此可被定義為具有3GPP2廠商ID的廠商特定屬 性。 圖4描繪在2000年6月公佈之RFC 2865,由C. Rigney等 人所著標題為遠端鑑認撥接使用者服務(RADIUS)"中所述 之RADIUS格式。資料格式200包括:一代碼攔位202,用 於識別RADIUS封包之類型(例如存取請求,存取拒絕,等 等);一 ID欄位204,用於協調相符之請求及回應;及一長 度欄位206,用於指示相關聯封包之長度。圖中還描繪一 屬性220,其包括:一類型欄位222,用於識別該值攔位 226之内容;一長度攔位224,用於提供該屬性之長度;及 一值欄位226,用於提供該屬性之特定資訊。請注意, RADIUS可支援廠商特定之屬性,其中該值欄位226係用於 提供廠商識別,之後接著屬性資訊。按照1999年3月公佈 之RFC 2548,由G. Zorn所著標題為"微軟廠商特定RADIUS 屬性"中所述,廠商特定類型可應用於CHAP訊息。 一替代實施例在RADIUS存取請求訊息中實施一稱為網 152449.doc -19- 1376905 路存取伺服器(NAS)網際網路協定(IP)位址的標準屬性。 標準屬性識別起始RADIUS存取請求訊息之RADIUS用戶端 的IP位址。本方AAA伺服器係配置有一資料庫,該資料庫 中含有在WLAN網路104内所有RADIUS用戶端的IP位址。 如果在NAS IP位址屬性内所指示之IP位址相符於資料庫内 之一位址,則RADIUS存取請求訊息係源自於WLAN網路 104,且本方AAA伺服器108即執行MSK產生(若MS鑑認已 成功)。否則,本方AAA伺服器108即不會執行MSK產生。 圖5描繪標準屬性之格式,以及一疊加在值欄位上之範 例。屬性格式300包括:一類型欄位302,用於識別一值欄 位3 06之内容;一長度欄位304,用於提供該屬性之長度; 及一值欄位306,其内含屬性資訊。請注意,在修改RFC 2865内所供之說明的情況下,值欄位306可被分割成多個 顯著性攔位,包括:類型322,用於指示次屬性類型,諸 如一MSK產生指令;一長度欄位324,用於提供次屬性之 長度;及一值欄位326,其内含次屬性資訊,諸如一 MSK 產生指示項。舉例而言,若要傳送一訊息至AAA 108以向 AAA 108指示MSK產生,則類型欄位322可使用一相對應之 預先定義代碼而將此次屬性識別為一 MSK產生指令。然 後,值欄位326的值為:1 —指示AAA 108產生一 MSK ;或2 一指示AAA 108不產生該MSK。 圖6描繪一無線裝置,例如MS 102。該裝置600包括分別 用接收傳輸及發送傳輸的接收電路602及發送電路604。接 收電路602及發送電路604都被耦合至一通信匯流排612。 152449.doc •20- 1376905 該裝置600亦包括—中央處理器(CPU)6〇6,用於控制該裝 置6〇〇内之操作。CPU 606回應儲存在裝置6〇〇之記憶體儲 存裝置内的電腦可讀型指令。圖中將兩個此類儲存裝置描 繪成用於儲存鑑認程序608及MSK產生61〇。請注意替代 •實施例可在硬體、軟體、韌體或其組合内實施該程序。然 .後CPU 606回應來自鑑認程序6〇8之鑑認處理指令。cpu 606可將該鑑認程序6〇8訊息置入於一傳送格式内諸如一 • ΕΑΡ格式。一旦對WLAN鑑認時,CPU 606回應MSK產生器 61〇以產生MSK。CPU 6〇6進一步處理所接收到之傳送格^ 訊息以從該傳送格式訊息擷取鑑認訊息。 凊注意,雖本文内所述實施例詳述WLAN,但本文内所 ' 述方法及裝置亦可適用於其他系統實體。本發明可提供一 種促使一系統實體能夠提供通信加密之方法。藉由使用本 方伺服器來產生MSK,並將MSK提供給一系統實體,即提 供該實體足夠資訊,而得以保護傳輸給一使用者(諸如一 | MS)的安全性。 熟習此項技術者應明白,可使用各種不同術語或技術的 任一種來代表資訊及信號。例如,資料、指♦、命令、資 訊、信號、位元、符號及晶片有利於以電壓、電流、電磁 波、磁場或粒子、光場或粒子、或其任何組合來表示。 熟習此項技術者應進一步明白, 配合本文所發表之具體 實施例說明的各種圖解邏輯方換、p a _ 卜 <竹/7呢、杈組、電路及演算法步 驟可實施為電子硬體、電腦軟體式 粒或其組合。為了清楚解說 硬體與軟體的互換性,前文中p钟4 &仏 J入Y匕就功能而論作廣泛說明各 152449.doc -21 . 1376905 種圖解的組件、區塊 '掇έΒ „ 棋組、電路及步驟。視特定應用及 影響整個系統的設計限制修杜=—, 制條件而疋,將功能實施成硬體或 軟體。熟悉本技藝者可以用息4^4±CF|Bfe Λ用母種特別應用的不同方法來實 施所述的功能,但這葙音A 4 a 貫知決疋不能視為背離本發明之範 圍 可使用-般用途處理器、數位信號處理器(Dsp)、專用 積體電路(ASIC)、場可程式規劃閘極陣% (FpGA)或其 他可程式規劃邏輯裝f fPT τ^、 (PLD)、離散閘極或電晶體邏輯、 離散硬體組件或其任何的組合以執行本文所說明的功能, 以實施或執行配合本文所發表之具體實施例說明的各種圖 解邏輯方塊、模組及電路。—般用途處理器可能是微處理 器,但是在替代方案中,處理器可能是任何傳統處理器、 控制器、微控制器或狀態機器。處理器可實施為電腦裝置 的組口 ’例如DSP和微處理器的組合、複數個微處理 @ '連接DSP核心'的—個或—個以上微處理器或任何其 他此類的組態。 、 配合本文巾揭示之具體實施财說明时法或演算法步 驟可直接用硬體、處理器執行的軟體模組或軟硬體組合具 體化。軟體模組可駐存於RAM記憶體、㈣記憶體、汉⑽ 記憶體、EPROM記憶體、EEpR〇M記憶體 '暫存器、硬 碟、,可抽取磁碟、CD.R〇M、或此技藝中所熟知之^何其 他形式的儲存媒體中。-種示範性儲存媒體係麵合處理 器,以致於處理器可自儲存媒體中讀取資訊,以及寫入資 訊到儲存媒體。在替代方案中,儲存媒體可被整合至處理 152449.doc -22· ^76905 =中°處理器和儲存媒體可駐存I ASIC中。該八沉可 ^在於—使用者終端機中。在替代方案中,處理n㈣存 媒體可當作散離組件駐存在使用者終端機中。
前文中提供所揭示具體實施例的說明,讓熟習此項技術 可運用或利用本發明。熟習此項技術者應明白這些具體 實施例的各種修改,並且本文中定義的一般原理可二 其他具體實施例’而不會脫離本發明的精神或範於。因 此’本發明不受限於本文中提出的具體實施例,而是符人 與本文中所說明的原理及新賴竺能—致的最廣泛 ;1 【圖式簡單說明】 圖1係一通信系統其包括一 —無線區域網路(WLAN)。 高資料率或HDR類型網路及 圖2係在一通信系統内鑑認程序之時序圖。 圖3係在一通信系統内一鑑認程序之時序圖 圖4及5係存取請求訊息格式。
主控會期金鑰 圖6係一無線裝置其包括功能性以產生— (MSK) 〇 【主要元件符號說明】 102 行動台 104 無線區域網路 106 高資料率 108,112 鑑認授權說明 110 存取點 602 接收電路 152449.doc -23- 1376905 604 發送電路 606 中央處理器 608 鑑認程序 610 MSK產生 152449.doc -24
Claims (1)
1376905 七
第099142508號專利申請案 中文申請專利範圍替換本(ιοί年7月) 一種用於共享多重無線 網路之間之一鑑認金鑰之方法 每一網路使用一不同空中介面,其包含: 自一行動站台(MS)傳輸一識別符至一第一網路; 自该第一網路傳輸一存取要求至一第二網路; 藉由該第二網路在該第一網路與該MS之間觸發一詢問 協定;
於該MS及該第二網路產生該鑑認金鑰;及 藉由該第二網路提供該鑑認金鑰至該第一網路。 2,如喷求項1之方法,其進一步包含對於一主網路檢查該 識別符,在其上該主網路為該第二網路,該存取要求被 傳輸至該第二網路。 3.如請求項1之方法,其中觸發該第一網路及該ms之間之 該詢問協定包含在該第一網路及該Ms之間觸發一詢問信 號交換鑑認協定(CHAP)通話。
4·如凊求項3之方法,其中在該第—網路及該MS之間觸發 该CHAP通話進一步包含該第二網路於該cHAp通話期間 提供被使用該第一網路使用之一詢問。 5. 如請求们之方法’其中該鑑認金鑰被使用於加密該第 一網路及該MS之間之通信。 6. 如請求項丨之方法,其中該第一網路係一非蜂巢式網路 及該第二網路係一蜂巢式網路。 7. 如請求項6之方法,其中該第一網路係一網際網路協定 (ip)資料網路及該第二網路係-第三代(3G)通訊網路。 152449-I0l0710.doc 1376905 —種用於使用跨越一網際網路協定(ip)資料網路及一蜂 巢式通訊網路所產生之一鑑認金鑰之裝置,其包含·· 在該蜂巢式通訊網路内之一伺服器,其經組態以: 判定一已接收行動站台(MS)識別符是否包含一主網 路資訊; 右該M S識別符包含該主網路資訊,則傳輸一存取要 求至與該主網路資sfl相關之一蜂巢式通訊網路彳司服 器;
對該MS執行源自該MS辨識符之一詢問協定,其中 該詢問協定使用由該蜂巢式通訊網路伺服器所提供之 詢問資訊; 遞送執行該詢問協定之結果至該蜂巢式通訊網路词 服器;及 使用由該蜂巢式通訊網路伺服器所提供之一鋥認金 錄加密該IP資料網路伺服器及該MS之間之通信。
9.如請求項8之裝置,其中該”資料網路係一無線區域網路 (WLAN)。 。月求項8之裝置,其中該詢問協定為一詢問信號交換 鑑遂協定(CHAP)。 、 比如請求項8之裝置,其中該蜂巢式通訊網路為一 (3G)網路。 一代 12.二種用於在被使用於一網際網路協定(ιρ)資料網路内之 一蜂巢式通訊網路產生一鑑認金鑰之裝置,其包含. 在該蜂巢式通訊網路内之-祠服器,其經組態以·· 152449-1010710.doc 1376905 自一ip資料網路伺服器接收一存取要求; 觸發介於該IP資料網路伺服器及一行動站台(MS)之 間之一詢問協定,其中該MS***作於該蜂巢式通訊網 路及該IP資料網路; 提供詢問資訊至該IP資料網路伺服器,該詢問資訊 被使用於該詢問協定内; 自該IP資料網路伺服器接收該詢問協定之該等結 果; 根據該詢問協定之該等結果產生一鑑認金鑰;及 傳遞該鑑認金鑰至該IP資料網路伺服器。 152449-1010710.doc
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/177,017 US20030235305A1 (en) | 2002-06-20 | 2002-06-20 | Key generation in a communication system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201123763A TW201123763A (en) | 2011-07-01 |
| TWI376905B true TWI376905B (en) | 2012-11-11 |
Family
ID=29734262
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW101126108A TWI388180B (zh) | 2002-06-20 | 2003-06-20 | 通信系統中之金鑰產生 |
| TW092116837A TWI360975B (en) | 2002-06-20 | 2003-06-20 | Key generation in a communication system |
| TW099142508A TWI376905B (en) | 2002-06-20 | 2010-06-20 | Key generation in a communication system |
Family Applications Before (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW101126108A TWI388180B (zh) | 2002-06-20 | 2003-06-20 | 通信系統中之金鑰產生 |
| TW092116837A TWI360975B (en) | 2002-06-20 | 2003-06-20 | Key generation in a communication system |
Country Status (12)
| Country | Link |
|---|---|
| US (2) | US20030235305A1 (zh) |
| EP (1) | EP1525706A4 (zh) |
| JP (3) | JP4897215B2 (zh) |
| KR (1) | KR101062781B1 (zh) |
| CN (3) | CN103532939B (zh) |
| AU (1) | AU2003243680B2 (zh) |
| BR (1) | BR0311994A (zh) |
| CA (3) | CA2862069C (zh) |
| HK (1) | HK1203706A1 (zh) |
| RU (1) | RU2333607C2 (zh) |
| TW (3) | TWI388180B (zh) |
| WO (1) | WO2004002056A1 (zh) |
Families Citing this family (88)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8140845B2 (en) * | 2001-09-13 | 2012-03-20 | Alcatel Lucent | Scheme for authentication and dynamic key exchange |
| US8630414B2 (en) * | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| WO2004017617A1 (en) * | 2002-08-14 | 2004-02-26 | Thomson Licensing S.A. | Session key management for public wireless lan supporitng multiple virtual operators |
| US7046989B2 (en) * | 2002-09-12 | 2006-05-16 | Broadcom Corporation | Controlling and enhancing handoff between wireless access points |
| US20040203602A1 (en) * | 2002-09-12 | 2004-10-14 | Broadcom Corporation | Enabling and controlling access to wireless hot spots |
| US7853788B2 (en) | 2002-10-08 | 2010-12-14 | Koolspan, Inc. | Localized network authentication and security using tamper-resistant keys |
| US7325134B2 (en) | 2002-10-08 | 2008-01-29 | Koolspan, Inc. | Localized network authentication and security using tamper-resistant keys |
| US7574731B2 (en) * | 2002-10-08 | 2009-08-11 | Koolspan, Inc. | Self-managed network access using localized access management |
| KR100479260B1 (ko) * | 2002-10-11 | 2005-03-31 | 한국전자통신연구원 | 무선 데이터의 암호 및 복호 방법과 그 장치 |
| US7310307B1 (en) * | 2002-12-17 | 2007-12-18 | Cisco Technology, Inc. | System and method for authenticating an element in a network environment |
| US20040162998A1 (en) * | 2003-02-14 | 2004-08-19 | Jukka Tuomi | Service authentication in a communication system |
| US7787497B1 (en) * | 2003-03-03 | 2010-08-31 | Cisco Technology, Inc. | System for grouping attributes in packets in a radius protocol |
| KR20050119119A (ko) * | 2003-03-14 | 2005-12-20 | 톰슨 라이센싱 | 내장 플랫폼을 위한 보안성 웹 브라우저 기반 시스템 관리 |
| US7506370B2 (en) * | 2003-05-02 | 2009-03-17 | Alcatel-Lucent Usa Inc. | Mobile security architecture |
| JP2004343448A (ja) * | 2003-05-15 | 2004-12-02 | Matsushita Electric Ind Co Ltd | 無線lanアクセス認証システム |
| US20040235468A1 (en) * | 2003-05-19 | 2004-11-25 | Luebke Charles J. | Wireless network clustering communication system, wireless communication network, and access port for same |
| US20050044363A1 (en) * | 2003-08-21 | 2005-02-24 | Zimmer Vincent J. | Trusted remote firmware interface |
| US7299354B2 (en) * | 2003-09-30 | 2007-11-20 | Intel Corporation | Method to authenticate clients and hosts to provide secure network boot |
| US7325133B2 (en) * | 2003-10-07 | 2008-01-29 | Koolspan, Inc. | Mass subscriber management |
| WO2005038608A2 (en) * | 2003-10-15 | 2005-04-28 | Koolspan, Inc. | Mass subscriber management |
| JP2005210193A (ja) * | 2004-01-20 | 2005-08-04 | Matsushita Electric Works Ltd | 共通秘密鍵生成装置 |
| JP3918827B2 (ja) * | 2004-01-21 | 2007-05-23 | 株式会社日立製作所 | セキュアリモートアクセスシステム |
| US20060173981A1 (en) * | 2004-03-11 | 2006-08-03 | Junbiao Zhang | Secure web browser based system administration for embedded platforms |
| JP4009273B2 (ja) * | 2004-05-19 | 2007-11-14 | 松下電器産業株式会社 | 通信方法 |
| US20060019635A1 (en) * | 2004-06-29 | 2006-01-26 | Nokia Corporation | Enhanced use of a network access identifier in wlan |
| US20060046690A1 (en) * | 2004-09-02 | 2006-03-02 | Rose Gregory G | Pseudo-secret key generation in a communications system |
| US7734280B2 (en) * | 2004-10-29 | 2010-06-08 | Motorola, Inc. | Method and apparatus for authentication of mobile devices |
| EP1657943A1 (en) * | 2004-11-10 | 2006-05-17 | Alcatel | A method for ensuring secure access to a telecommunication system comprising a local network and a PLMN |
| US7992193B2 (en) * | 2005-03-17 | 2011-08-02 | Cisco Technology, Inc. | Method and apparatus to secure AAA protocol messages |
| US20060259759A1 (en) * | 2005-05-16 | 2006-11-16 | Fabio Maino | Method and apparatus for securely extending a protected network through secure intermediation of AAA information |
| US7394800B2 (en) | 2005-06-30 | 2008-07-01 | Intel Corporation | Reservation with access points |
| US7596225B2 (en) * | 2005-06-30 | 2009-09-29 | Alcatl-Lucent Usa Inc. | Method for refreshing a pairwise master key |
| KR100770928B1 (ko) * | 2005-07-02 | 2007-10-26 | 삼성전자주식회사 | 통신 시스템에서 인증 시스템 및 방법 |
| US20070097934A1 (en) * | 2005-11-03 | 2007-05-03 | Jesse Walker | Method and system of secured direct link set-up (DLS) for wireless networks |
| CN101496387B (zh) | 2006-03-06 | 2012-09-05 | 思科技术公司 | 用于移动无线网络中的接入认证的***和方法 |
| US7715562B2 (en) * | 2006-03-06 | 2010-05-11 | Cisco Technology, Inc. | System and method for access authentication in a mobile wireless network |
| US8118214B2 (en) * | 2006-03-24 | 2012-02-21 | Atmel Corporation | Method and system for generating electronic keys |
| KR101161258B1 (ko) | 2006-04-14 | 2012-07-02 | 삼성전자주식회사 | 프라이버시 키 관리 버전 2 인증 방식을 사용하는 통신시스템에서 인증 시스템 및 방법 |
| US7945053B2 (en) * | 2006-05-15 | 2011-05-17 | Intel Corporation | Methods and apparatus for a keying mechanism for end-to-end service control protection |
| CN101106452B (zh) * | 2006-07-12 | 2010-12-08 | 华为技术有限公司 | 移动ip密钥的产生及分发方法和*** |
| KR100739809B1 (ko) | 2006-08-09 | 2007-07-13 | 삼성전자주식회사 | Wpa-psk 환경의 무선 네트워크에서 스테이션을관리하는 방법 및 이를 위한 장치 |
| DE102006038037A1 (de) * | 2006-08-14 | 2008-02-21 | Siemens Ag | Verfahren und System zum Bereitstellen eines zugangsspezifischen Schlüssels |
| EP1892913A1 (de) | 2006-08-24 | 2008-02-27 | Siemens Aktiengesellschaft | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks |
| CN101155092B (zh) * | 2006-09-29 | 2010-09-08 | 西安电子科技大学 | 一种无线局域网接入方法、设备及*** |
| US8176327B2 (en) * | 2006-12-27 | 2012-05-08 | Airvana, Corp. | Authentication protocol |
| CN100456726C (zh) * | 2007-03-15 | 2009-01-28 | 北京安拓思科技有限责任公司 | 基于wapi的互联网接入认证的实现方法 |
| CN100456725C (zh) * | 2007-03-15 | 2009-01-28 | 北京安拓思科技有限责任公司 | 用于wapi的获取公钥证书的网络***和方法 |
| KR101002799B1 (ko) * | 2007-03-21 | 2010-12-21 | 삼성전자주식회사 | 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치 |
| US7913085B2 (en) * | 2007-06-15 | 2011-03-22 | Koolspan, Inc. | System and method of per-packet keying |
| US7907735B2 (en) | 2007-06-15 | 2011-03-15 | Koolspan, Inc. | System and method of creating and sending broadcast and multicast data |
| US8265281B2 (en) | 2007-07-09 | 2012-09-11 | Qualcomm Incorporated | IP service authorization in wireless communications networks |
| US8509440B2 (en) * | 2007-08-24 | 2013-08-13 | Futurwei Technologies, Inc. | PANA for roaming Wi-Fi access in fixed network architectures |
| CN101378591B (zh) * | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、***及装置 |
| CN101399767B (zh) | 2007-09-29 | 2011-04-20 | 华为技术有限公司 | 终端移动时安全能力协商的方法、***及装置 |
| CN101145913B (zh) * | 2007-10-25 | 2010-06-16 | 东软集团股份有限公司 | 一种实现网络安全通信的方法及*** |
| JP2009130726A (ja) * | 2007-11-26 | 2009-06-11 | Kyocera Mita Corp | 画像読取装置、及び画像形成装置 |
| US20090217038A1 (en) * | 2008-02-22 | 2009-08-27 | Vesa Petteri Lehtovirta | Methods and Apparatus for Locating a Device Registration Server in a Wireless Network |
| US8660268B2 (en) * | 2008-04-29 | 2014-02-25 | Red Hat, Inc. | Keyed pseudo-random number generator |
| US8156333B2 (en) * | 2008-05-29 | 2012-04-10 | Red Hat, Inc. | Username based authentication security |
| US9258113B2 (en) * | 2008-08-29 | 2016-02-09 | Red Hat, Inc. | Username based key exchange |
| US8695082B2 (en) * | 2008-10-27 | 2014-04-08 | Nokia Siemens Networks Oy | Method and communication system for accessing a wireless communication network |
| US20100106971A1 (en) * | 2008-10-27 | 2010-04-29 | Domagoj Premec | Method and communication system for protecting an authentication connection |
| ES2539267T3 (es) * | 2008-11-04 | 2015-06-29 | Huawei Technologies Co., Ltd. | Método y aparato para determinar índices de recursos |
| US9106426B2 (en) | 2008-11-26 | 2015-08-11 | Red Hat, Inc. | Username based authentication and key generation |
| US20100251330A1 (en) * | 2009-03-12 | 2010-09-30 | Kroeselberg Dirk | Optimized relaying of secure network entry of small base stations and access points |
| CN102026092B (zh) * | 2009-09-16 | 2014-03-12 | 中兴通讯股份有限公司 | 一种移动多媒体广播业务密钥同步的方法及网络 |
| CN102056159B (zh) * | 2009-11-03 | 2014-04-02 | 华为技术有限公司 | 一种中继***的安全密钥获取方法、装置 |
| US9225526B2 (en) * | 2009-11-30 | 2015-12-29 | Red Hat, Inc. | Multifactor username based authentication |
| JP2012044327A (ja) * | 2010-08-16 | 2012-03-01 | Ntt Docomo Inc | 移動通信方法、リレーノード及び無線基地局 |
| BR112014006225B1 (pt) * | 2011-09-20 | 2022-05-10 | Koninklijke Philips N.V. | Método de adição de um novo dispositivo em um grupo de dispositivo, e, método de gerenciamento de associação de um grupo de dispositivo |
| KR101172876B1 (ko) | 2011-10-19 | 2012-08-10 | 인포섹(주) | 사용자 단말기와 서버 간의 상호 인증 방법 및 시스템 |
| US20130254125A1 (en) * | 2011-12-30 | 2013-09-26 | VideoiGames, Inc. | Remote Execution of and Transfer of Rights in Registered Applications |
| CN103428690B (zh) | 2012-05-23 | 2016-09-07 | 华为技术有限公司 | 无线局域网络的安全建立方法及***、设备 |
| US9537663B2 (en) | 2012-06-20 | 2017-01-03 | Alcatel Lucent | Manipulation and restoration of authentication challenge parameters in network authentication procedures |
| US20140153722A1 (en) * | 2012-12-03 | 2014-06-05 | Semyon Mizikovsky | Restricting use of mobile subscriptions to authorized mobile devices |
| US9173095B2 (en) * | 2013-03-11 | 2015-10-27 | Intel Corporation | Techniques for authenticating a device for wireless docking |
| US9392458B2 (en) * | 2013-03-15 | 2016-07-12 | Qualcomm Incorporated | Authentication for relay deployment |
| KR102349605B1 (ko) * | 2014-11-17 | 2022-01-11 | 삼성전자 주식회사 | 사용자 기기의 식별자에 기반하여 서비스를 제공하는 방법 및 장치 |
| KR102314917B1 (ko) * | 2015-03-19 | 2021-10-21 | 삼성전자주식회사 | 통신 시스템에서 디바이스들 간의 연결 설정 방법 및 장치 |
| EP3297206B1 (en) * | 2015-05-08 | 2020-04-22 | Panasonic Intellectual Property Management Co., Ltd. | Authentication method, authentication system, and controller |
| CN106330445B (zh) * | 2015-06-19 | 2019-11-12 | 中兴新能源汽车有限责任公司 | 车辆认证方法及装置 |
| US9980133B2 (en) | 2015-08-12 | 2018-05-22 | Blackberry Limited | Network access identifier including an identifier for a cellular access network node |
| CN105451245B (zh) * | 2015-11-16 | 2020-02-21 | 上海斐讯数据通信技术有限公司 | 一种无线设备管理方法 |
| SG10201609449SA (en) * | 2016-11-11 | 2018-06-28 | Huawei Int Pte Ltd | System and method for constructing a self-authenticating message using identity-based crytography |
| US11172359B2 (en) * | 2017-08-09 | 2021-11-09 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for attach procedure with security key exchange for restricted services for unauthenticated user equipment |
| RU2726144C1 (ru) * | 2019-11-25 | 2020-07-09 | Валерий Алексеевич Степанов | Устройство криптографической защиты информации, передаваемой по сетям связи |
| EP3916600A1 (en) | 2020-05-27 | 2021-12-01 | Mettler-Toledo (Albstadt) GmbH | Method for operating an electronic data processing system and electronic data processing system |
| CN113268722B (zh) * | 2021-05-17 | 2022-04-26 | 时昕昱 | 一种个人数字身份管理***与方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3526688B2 (ja) * | 1996-03-29 | 2004-05-17 | 富士通株式会社 | コネクションレスな通信における従量制課金システムおよび方法 |
| EP1040691B1 (en) * | 1997-12-10 | 2007-04-04 | XIRCOM Wireless, Inc. | Communication system and method for addressing multiple capacity wireless trunk |
| JPH11215116A (ja) * | 1998-01-27 | 1999-08-06 | Nippon Telegr & Teleph Corp <Ntt> | 鍵管理方法およびシステム |
| DE19822795C2 (de) * | 1998-05-20 | 2000-04-06 | Siemens Ag | Verfahren und Anordnung zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer ersten Computereinheit und einer zweiten Computereinheit |
| US6178506B1 (en) * | 1998-10-23 | 2001-01-23 | Qualcomm Inc. | Wireless subscription portability |
| ES2263474T3 (es) * | 1999-05-21 | 2006-12-16 | International Business Machines Corporation | Metodo y aparato para inicializar comunicaciones seguras entre dispositivos inalambricos y para emparejarlos en forma exclusiva. |
| FI19991733A (fi) * | 1999-08-16 | 2001-02-17 | Nokia Networks Oy | Autentikointi matkaviestinjärjestelmässä |
| JP3570310B2 (ja) * | 1999-10-05 | 2004-09-29 | 日本電気株式会社 | 無線lanシステムにおける認証方法と認証装置 |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| JP2002009762A (ja) * | 2000-06-26 | 2002-01-11 | Sony Corp | 情報処理システム、情報処理方法、および情報処理装置、並びにプログラム提供媒体 |
| JP2002124952A (ja) * | 2000-10-12 | 2002-04-26 | Furukawa Electric Co Ltd:The | 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム |
| US8140845B2 (en) * | 2001-09-13 | 2012-03-20 | Alcatel Lucent | Scheme for authentication and dynamic key exchange |
-
2002
- 2002-06-20 US US10/177,017 patent/US20030235305A1/en not_active Abandoned
-
2003
- 2003-06-20 CA CA2862069A patent/CA2862069C/en not_active Expired - Lifetime
- 2003-06-20 TW TW101126108A patent/TWI388180B/zh not_active IP Right Cessation
- 2003-06-20 CN CN201310460165.2A patent/CN103532939B/zh not_active Expired - Lifetime
- 2003-06-20 BR BRPI0311994-7A patent/BR0311994A/pt not_active Application Discontinuation
- 2003-06-20 CN CNA038192977A patent/CN1720688A/zh active Pending
- 2003-06-20 WO PCT/US2003/019465 patent/WO2004002056A1/en active Application Filing
- 2003-06-20 EP EP03761176A patent/EP1525706A4/en not_active Withdrawn
- 2003-06-20 RU RU2005101217/09A patent/RU2333607C2/ru active
- 2003-06-20 KR KR1020047020774A patent/KR101062781B1/ko active IP Right Grant
- 2003-06-20 AU AU2003243680A patent/AU2003243680B2/en not_active Expired
- 2003-06-20 CA CA2490131A patent/CA2490131C/en not_active Expired - Lifetime
- 2003-06-20 TW TW092116837A patent/TWI360975B/zh not_active IP Right Cessation
- 2003-06-20 CN CN201410439953.8A patent/CN104243145A/zh active Pending
- 2003-06-20 JP JP2004516007A patent/JP4897215B2/ja not_active Expired - Lifetime
- 2003-06-20 CA CA2792490A patent/CA2792490C/en not_active Expired - Lifetime
-
2004
- 2004-08-06 US US10/912,898 patent/US7190793B2/en not_active Expired - Lifetime
-
2006
- 2006-04-12 HK HK15103526.0A patent/HK1203706A1/zh unknown
-
2010
- 2010-04-13 JP JP2010092578A patent/JP5313200B2/ja not_active Expired - Lifetime
- 2010-06-20 TW TW099142508A patent/TWI376905B/zh not_active IP Right Cessation
-
2012
- 2012-01-24 JP JP2012012031A patent/JP5512709B2/ja not_active Expired - Lifetime
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI376905B (en) | Key generation in a communication system | |
| US8094821B2 (en) | Key generation in a communication system | |
| US7370350B1 (en) | Method and apparatus for re-authenticating computing devices | |
| KR101068424B1 (ko) | 통신시스템을 위한 상호동작 기능 | |
| US11019037B2 (en) | Security improvements in a wireless data exchange protocol | |
| KR101068426B1 (ko) | 통신시스템을 위한 상호동작 기능 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MK4A | Expiration of patent term of an invention patent |