TWI602446B - 處理認證程序的裝置及方法 - Google Patents

處理認證程序的裝置及方法 Download PDF

Info

Publication number
TWI602446B
TWI602446B TW105122233A TW105122233A TWI602446B TW I602446 B TWI602446 B TW I602446B TW 105122233 A TW105122233 A TW 105122233A TW 105122233 A TW105122233 A TW 105122233A TW I602446 B TWI602446 B TW I602446B
Authority
TW
Taiwan
Prior art keywords
local area
wireless local
area network
communication device
authentication
Prior art date
Application number
TW105122233A
Other languages
English (en)
Other versions
TW201703558A (zh
Inventor
吳志祥
Original Assignee
宏達國際電子股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 宏達國際電子股份有限公司 filed Critical 宏達國際電子股份有限公司
Publication of TW201703558A publication Critical patent/TW201703558A/zh
Application granted granted Critical
Publication of TWI602446B publication Critical patent/TWI602446B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/27Transitions between radio resource control [RRC] states
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/681Types of network addresses using addresses for wireless personal area networks or wireless sensor networks, e.g. Zigbee addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

處理認證程序的裝置及方法
本發明相關於一種用於無線通訊系統的通訊裝置及方法,尤指在無線通訊系統中,一種處理認證程序的通訊裝置及方法。
長期演進(Long Term Evolution,LTE)系統提供高資料傳輸率、低延遲時間、封包最佳化以及改善系統容量和覆蓋範圍,包含有由至少一演進式基地台(evolved Node-Bs,eNBs)所組成的演進式通用陸地全球無線存取網路(Evolved Universal Terrestrial Radio Access Network,E-UTRAN),其一方面與多個用戶端(user equipments,UEs)進行通訊,另一方面與處理非存取層(Non Access Stratum,NAS)控制的核心網路進行通訊,而核心網路包含伺服閘道器(serving gateway)及行動管理單元(Mobility Management Entity,MME)等實體。
當用戶端連結到無線區域網路(wireless local area network,WLAN)時,無線區域網路可對用戶端執行第一認證程序。另一方面,當用戶端連結到無線區域網路及演進式基地台時,演進式基地台可對用戶端執行第二認證程序。當網路端支持第一認證程序及第二認證程序,以及用戶端連結到網路端時,根據第三代合作夥伴計畫(3rd Generation Partnership Project,3GPP)標準,網路端尚不知如何決定對用戶端執行第一認證程序或第二認證程序,其中網路端包含有無線區域網路及演進式通用陸地全球無線存取網路。
因此,如何處理網路端對用戶端執行認證程序為亟欲解決的問題。
因此,本發明提供了一種通訊裝置及方法,用來處理認證程序,以解決上述問題。
本發明揭露一種網路端,其包含有一細胞網路(cellular network)及一無線區域網路(wireless local area network,WLAN),用來處理與一通訊裝置的一認證程序(authentication procedure),該網路端包含有一儲存單元及一處理裝置,耦接於該儲存單元。該處理裝置被設定用來執行儲存在該儲存單元的指令。該指令包含有該細胞網路執行一第一連結到該通訊裝置;該無線區域網路執行一第二連結到該通訊裝置;若該通訊裝置未被設定具有該無線區域網路上複數個細胞協定資料單元(protocol data units,PDUs)的一通訊,該無線區域網路對該通訊裝置啟動(initiate)一延伸的認證協定(extensible authentication protocol,EAP)認證及金鑰協議(authentication and key agreement,AKA)程序到該通訊裝置;以及若該通訊裝置被設定具有該無線區域網路上該複數個細胞協定資料單元的該通訊,該細胞網路對該通訊裝置執行一演進式基地台(evolved Node-B,eNB)輔助認證(assisted authentication)程序。
本發明另揭露一種通訊裝置,用來處理與包含有一細胞網路及一無線區域網路的一網路端的一認證程序,該通訊裝置包含有一儲存單元及一處理裝置,耦接於該儲存單元。該處理裝置被設定用來執行儲存在該儲存單元的指令。該指令包含有執行一第一連結到該細胞網路的一演進式基地台;執行一第二連結到該無線區域網路;若該通訊裝置未被設定具有該無線區域網路上複數個細胞協定資料單元的一通訊,與該無線區域網路執行一延伸的認證協定認證及金鑰協議程序;以及若該通訊裝置被設定具有該無線區域網路上該複數個細胞協定資料單元的該通訊,與該演進式基地台執行一演進式基地台輔助認證程序。
第1圖為本發明實施例一無線通訊系統10的示意圖。無線通訊系統10可簡略地由細胞網路(cellular network)100,無線區域網路(wireless local area network,WLAN)102和通訊裝置104所組成。細胞網路100可為一演進式通用陸地全球無線存取網路(evolved universal terrestrial radio access network,E-UTRAN),其可包含有至少一演進式基地台(evolved NB,eNB)及/或至少一中繼站(relay)。細胞網路100可為第五代(fifth generation,5G)網路,其包含有至少一第五代演進式基地台。第五代演進式基地台可利用正交分頻多工(orthogonal frequency-division multiplexing,OFDM)及/或非正交分頻多工(non-OFDM),以及用於與通訊裝置通訊的傳送時間區間(transmission time interval,TTI)小於1毫秒(millisecond,ms)。一般而言,基地台(base station,BS)可為演進式基地台及第五代演進式基地台中的任一者。在一實施例中,用於無線區域網路中的無線區域(WiFi)標準可包含有IEEE 802.11ac、IEEE 802.11n、IEEE 802.11g、IEEE 802.11b及IEEE 802.11a,無線區域標準可在2.4 GHz或5 GHz頻帶中運作。
通訊裝置104可為用戶端(user equipment,UE)、行動電話、筆記型電腦、平板電腦、電子書、可攜式電腦系統、車輛及飛機等裝置。此外,根據傳輸方向,可將細胞網路100及通訊裝置104分別視為傳送端或接收端。舉例來說,對於一上鏈路(uplink,UL)而言,通訊裝置104為傳送端而細胞網路100(或無線區域網路102)為接收端;對於一下鏈路(downlink,DL)而言,細胞網路100(或無線區域網路102)為傳送端而通訊裝置104為接收端。
第2圖為本發明實施例一通訊裝置20的示意圖。通訊裝置20可為第1圖中的通訊裝置104、細胞網路100或無線區域網路102,包括一處理裝置200、至少一儲存單元210以及一通訊介面單元220。處理裝置200可包含有至少一處理器或一特定應用積體電路(Application-Specific Integrated Circuit,ASIC)。至少一儲存單元210可為任一資料儲存裝置,用來儲存一程式代碼214,處理裝置200可通過儲存單元210讀取及執行程式代碼214。舉例來說,儲存單元210可為用戶識別模組(Subscriber Identity Module,SIM)、唯讀式記憶體(Read-Only Memory,ROM)、隨機存取記憶體(Random-Access Memory,RAM)、硬碟(hard disk)、光學資料儲存裝置(optical data storage device)、非揮發性儲存單元(non-volatile storage unit)、非暫態電腦可讀取介質(non-transitory computer-readable medium)(例如具體媒體(tangible media))等,而不限於此。通訊介面單元220可包含有至少一無線收發器,其是根據處理裝置200的處理結果,用來傳送及接收訊號(例如資料、訊號、訊息或封包)。舉例來說,該至少一處理器可包含有第一處理器及第二處理器,以及至少一無線收發器可包含有第一無線收發器及第二無線收發器。第一無線收發器根據第一處理器的處理結果,傳送訊號到細胞網路100或接收來自細胞網路100的訊號。第二無線收發器根據第二處理器的處理結果,傳送訊號到無線區域網路102或接收來自無線區域網路102的訊號。至少一儲存單元210可包含有第一儲存單元及第二儲存單元。第一儲存單元儲存第一程式代碼,第一處理器可通過第一儲存單元讀取及執行第一程式代碼。第二儲存單元儲存第二程式代碼,第二處理器可通過第二儲存單元讀取及執行第二程式代碼。
為簡化說明,在以下的實施例中,以用戶端來代表在第1圖中的通訊裝置104。
第3圖為本發明實施例一流程30之流程圖,用於第1圖中的一網路端中,用來處理認證程序,其中該網路端包含有一細胞網路(例如第1圖中的細胞網路100)及一無線區域網路(例如第1圖中的無線區域網路102)。流程30可被編譯成程式代碼214,其包含有以下步驟:
步驟300:開始。
步驟302:該細胞網路執行一第一連結到該用戶端。
步驟304:該無線區域網路執行一第二連結到該用戶端。
步驟306:若該用戶端未被設定具有該無線區域網路上複數個細胞協定資料單元(protocol data units,PDUs)的一通訊,該無線區域網路對該用戶端啟動(initiate)一延伸的認證協定(extensible authentication protocol,EAP)認證及金鑰協議(authentication and key agreement,AKA)程序到該用戶端。
步驟308:若該用戶端被設定具有該無線區域網路上該複數個細胞協定資料單元的該通訊,該細胞網路對該用戶端執行一演進式基地台輔助認證(assisted authentication)程序。
步驟310:結束。
根據流程30,細胞網路執行第一連結到用戶端。無線區域網路執行第二連結到用戶端。接著,若用戶端未被設定具有無線區域網路上複數個細胞協定資料單元的通訊(例如傳送及/或接收)(例如根據長期演進系統(long-term evolution,LTE)及無線區域網路集成),無線區域網路對用戶端啟動延伸的認證協定認證及金鑰協議程序到用戶端。若用戶端被設定具有無線區域網路上複數個細胞協定資料單元的通訊,細胞網路對用戶端執行演進式基地台輔助認證程序。也就是說,根據用戶端是否被設定具有無線區域網路上複數個細胞協定資料單元,網路端可決定以啟動延伸的認證協定認證及金鑰協議程序或演進式基地台輔助認證程序。因此,若用戶端被設定具有無線區域網路上複數個細胞協定資料單元的通訊,網路端可決定省略延伸的認證協定認證及金鑰協議程序。
流程30的實現方式有很多種,不限於以上所述。以下實施例可用於流程30。
在一實施例中,當無線區域網路執行延伸的認證協定認證及金鑰協議程序時,無線區域網路可傳送第一延伸的認證協定請求訊息到用戶端。用戶端可傳送第一延伸的認證協定回應訊息,以回應無線區域網路所傳送的該第一延伸的認證協定請求訊息。網路端可傳送第二延伸的認證協定請求訊息,以回應第一延伸的認證協定回應訊息。延伸的認證協定認證及金鑰協議程序的細節被陳述於IEEE 802.1x及第三代合作夥伴計畫中,在此不贅述。
在一實施例中,流程30中的複數個細胞協定資料單元可包含有複數個長期演進或第五代媒體存取控制(media access control,MAC)協定資料單元、複數個長期演進或第五代無線鏈路控制(radio link control,RLC)協定資料單元、複數個長期演進或第五代封包資料整合協定(packet data convergence protocol,PDCP)協定資料單元、或被定義用於無線區域網路上通訊(例如傳送或接收)的新版複數個長期演進或第五代協定資料單元。在一實施例中,細胞網路可傳送組態訊息到用戶端,其用於設定無線區域網路上複數個細胞協定資料單元的通訊予用戶端。在一實施例中,當細胞網路為長期演進網路時,組態訊息可包含有RRCConnectionReconfiguration訊息。透過使用該組態訊息,細胞網路對用戶端可執行演進式基地台輔助認證程序。換言之,組態訊息可被用於設定用戶端以應用演進式基地台輔助認證程序。在一實施例中,當用戶端應用演進式基地台輔助認證程序時,組態訊息包含有認證組態(例如計數器(counter)),用戶端可使用該認證組態以獲得具有金鑰KeNB的共享成對主要金鑰(pairwise master key,PMK)。進一步地,組態訊息可用於辨識無線區域網路,組態訊息包含有一無線區域網路組態,無線區域網路組態可包含有無線區域網路的服務設定識別符(service set identifier,SSID)、無線區域網路的基礎服務設定識別符(basic SSID,BSSID)、無線區域網路的延伸服務設定識別符(extended SSID,ESSID)及/或無線區域網路的同質延伸服務設定識別符(homogeneous ESSID,HESSID)。
在一實施例中,細胞網路決定設定無線區域網路上複數個細胞協定資料單元的通訊予用戶端;以及細胞網路傳送一訊息,該訊息是用來啟動無線區域網路上複數個細胞協定資料單元的通訊的一組態,其用於該用戶端,以回應該決定。也就是說,細胞網路的演進式基地台透過傳送該訊息到無線區域網路,可設定無線區域網路上複數個細胞協定資料單元的通訊(例如長期演進及無線區域網路集成)予用戶端。在一實施例中,當無線區域網路接收訊息時,無線區域網路可決定不啟動延伸的認證協定認證及金鑰協議程序。也就是說,當無線區域網路接收訊息時,無線區域網路可不傳送延伸的認證協定認證及金鑰協議請求訊息到用戶端,以不啟動延伸的認證協定認證及金鑰協議程序。在一實施例中,若演進式基地台及無線區域網路的存取點(access point,AP)/無線區域網路終端(WLAN termination,WT)是被組合在一起(例如在一相同的裝置中),演進式基地台可傳送內部指示(internal indication)而不是該訊息到無線區域網路。演進式基地台可從組態訊息中的認證組態以及金鑰KeNB,來自行取得或透過網路端來取得共享成對主要金鑰。演進式基地台可在訊息(例如存取點額外請求)或另一訊息(例如內部指示、存取點重組完成)中傳送共享成對主要金鑰到無線區域網路。接著,根據共享成對主要金鑰,無線區域網路可獲得(例如推導出)用於與用戶端的四向交握程序(four-way handshake procedure)中資料加密及/或解密的一加密金鑰。根據共享成對主要金鑰,用戶端可導出用於四向交握程序中的加密金鑰。在四向交握程序後,用戶端及無線區域網路可使用加密金鑰,以加密彼此間所傳送的複數個細胞協定資料單元,以及解密彼此間所接收的複數個細胞協定資料單元。
在一實施例中,在細胞網路設定無線區域網路上複數個細胞協定資料單元的通訊(長期演進及無線區域網路集成)之前,無線區域網路可啟動延伸的認證協定認證及金鑰協議程序到用戶端。在此情況下,因為用戶端已被無線區域網路認證,無線區域網路可不應用用於資料加密及/或解密的共享成對主要金鑰。無線區域網路可通知(例如指示)演進式基地台,用戶端已透過存取點額外請求確認訊息被認證。因此,演進式基地台所傳送的組態訊息不會被用來設定用戶端執行演進式基地台輔助認證程序。也就是說,當用戶端被無線區域網路認證時,細胞網路可不對用戶端執行演進式基地台輔助認證程序。組態訊息可不包含有認證組態。
此外,以下實施例可提供數種使用(例如應用)用於用戶端及無線區域網路的共享成對主要金鑰的方法。在一實施例中,用戶端及無線區域網路可直接使用用於資料加密及/或解密的共享成對主要金鑰。在一實施例中,根據共享成對主要金鑰以及用於資料加密及/或解密(例如媒體存取控制服務資料單元(service data unit,SDU))的至少一參數(例如在四向交握程序中存取點nonce值(ANonce)及/或站台(station,STA)nonce值(SNonce)、用戶端的媒體存取控制位址(address)及/或無線區域網路存取點的媒體存取控制位址),用戶端及無線區域網路可獲得(例如導出)加密金鑰,其中該資料加密及/或解密可包含有在802.11媒體存取控制協定資料單元中複數個細胞協定資料單元。
在一實施例中,若演進式基地台傳送到無線區域網路的訊息指示無線區域網路啟動延伸的認證協定認證及金鑰協議程序,或者該訊息不指示無線區域網路啟動演進式基地台輔助認證程序,無線區域網路可對用戶端啟動延伸的認證協定認證及金鑰協議程序。在一實施例中,若訊息未包含有共享成對主要金鑰,或者該訊息指示不執行演進式基地台輔助認證程序,無線區域網路可對用戶端執行延伸的認證協定認證及金鑰協議程序。也就是說,訊息可用來指示無線區域網路是否啟動延伸的認證協定認證及金鑰協議程序。
在一實施例中,演進式基地台傳送到無線區域網路的訊息可包含有用戶端的一媒體存取控制位址;無線區域網路儲存有用戶端的媒體存取控制位址。或者,在一實施例中,無線區域網路在存取點額外程序期間,可接受來自演進式基地台的另一訊息,其包含有媒體存取控制位址。在一實施例中,細胞網路可接收來自用戶端的媒體存取控制位址協定資料單元或無線資源控制(radio resource control,RRC)訊息中的媒體存取控制位址。在一實施例中,細胞網路的核心網路(例如行動管理單元(mobility management entity,MME))在非存取層(non-access stratum,NAS)訊息中,可接收用戶端的媒體存取控制位址,以及可傳送用戶端的媒體存取控制位址予演進式基地台。用戶端可使用媒體存取控制位址於複數個802.11訊框的傳送及/或接收。進一步地,當無線區域網路接收複數個802.11訊框中一802.11訊框(例如在複數個802.11訊框的一802.11訊框的媒體存取控制標頭的資源位址欄位中),其包含有用戶端所傳送的媒體存取控制位址時,無線區域網路可辨識用戶端具有儲存的媒體存取控制位址,以及可決定不啟動延伸的認證協定認證及金鑰協議程序。在一實施例中,當無線區域網路接收一802.11訊框,其包含有另一用戶端的媒體存取控制位址,以及無線區域網路未儲存該另一用戶端的媒體存取控制位址時,無線區域網路可對該另一用戶端啟動延伸的認證協定認證及金鑰協議程序。也就是說,當無線區域網路接收來自用戶端的一802.11訊框,其包含有用戶端的媒體存取控制位址時,根據無線區域網路是否儲存有演進式基地台所傳送的用戶端的媒體存取控制位址,無線區域網路可啟動或不啟動延伸的認證協定認證及金鑰協議程序。
第4圖為本發明實施例一流程40之流程圖,用於第1圖中的一用戶端中,用來處理與一網路端的認證程序,其中該網路端包含有一細胞網路(例如第1圖中的細胞網路100)及一無線區域網路(例如第1圖中的無線區域網路102)。流程40可被編譯成程式代碼214,其包含有以下步驟:
步驟400:開始。
步驟402:執行一第一連結到該細胞網路的一演進式基地台。
步驟404:執行一第二連結到該無線區域網路。
步驟406:若該用戶端未被設定具有該無線區域網路上複數個細胞協定資料單元的一通訊,與該無線區域網路執行一延伸的認證協定認證及金鑰協議程序。
步驟408:若該用戶端被設定具有該無線區域網路上該複數個細胞協定資料單元的該通訊,與該演進式基地台執行一演進式基地台輔助認證程序。
步驟410:結束。
根據流程40,用戶端可執行第一連結到細胞網路的演進式基地台。用戶端可執行第二連結到無線區域網路。接著,若用戶端未被設定具有無線區域網路上複數個細胞協定資料單元的通訊,用戶端可與無線區域網路執行延伸的認證協定認證及金鑰協議程序。若用戶端被設定具有無線區域網路上複數個細胞協定資料單元的通訊,用戶端可與演進式基地台執行演進式基地台輔助認證程序。也就是說,根據用戶端是否被設定具有無線區域網路上複數個細胞協定資料單元的通訊,用戶端可執行延伸的認證協定認證及金鑰協議程序或演進式基地台輔助認證程序。因此,習知技術中的認證程序問題可被解決。
流程40的實現方式有很多種,不限於以上所述。流程30中關於複數個細胞協定資料單元,用於設定無線區域網路上複數個細胞協定資料單元的通訊的組態訊息等的實施例可用於流程40,不在此贅述。以下實施例可用於流程40。
在一實施例中,若用戶端被設定具有無線區域網路上複數個細胞協定資料單元的通訊,以及組態訊息未包含有用於設定用戶端執行演進式基地台輔助認證程序的組態,用戶端可與無線區域網路執行延伸的認證協定認證及金鑰協議程序。在一實施例中,步驟408可進一步包含有若用戶端被設定具有無線區域網路上複數個細胞協定資料單元的通訊,以及組態訊息包含有用於設定用戶端執行該演進式基地台輔助認證程序的組態,用戶端可與演進式基地台執行演進式基地台輔助認證程序。也就是說,根據細胞網路所傳送的組態訊息是否包含有組態,用戶端可執行延伸的認證協定認證及金鑰協議程序或演進式基地台輔助認證程序。如流程30所述,該組態包含有計數器,其用於用戶端以獲得(例如導出)共享成對主要金鑰。根據該計數器及金鑰KeNB,用戶端可獲得(例如導出)共享成對主要金鑰,其中金鑰KeNB為用於細胞通訊中用戶端與演進式基地台間通訊的一金鑰。用戶端及無線區域網路如何使用共享成對主要金鑰已於流程30中陳述,在此不贅述。
在一實施例中,透過傳送訊息(例如區域網路上的延伸的認證協定(EAP over LAN,EAPOL)開始訊息)到無線區域網路,其用於啟動延伸的認證協定認證及金鑰協議程序,用戶端可執行延伸的認證協定認證及金鑰協議程序。當網路端接收訊息時,網路端可傳送延伸的認證協定請求訊息。在一實施例中,透過不傳送該訊息(例如區域網路上的延伸的認證協定開始訊息)到無線區域網路,以不啟動延伸的認證協定認證及金鑰協議程序,用戶端與演進式基地台可執行延伸的認證協定認證及金鑰協議程序。也就是說,根據用戶端是否傳送訊息到無線區域網路,用戶端可執行延伸的認證協定認證及金鑰協議程序或演進式基地台輔助認證程序。
本領域具通常知識者當可依本發明的精神加以結合、修飾或變化以上所述的實施例,而不限於此。上述流程的任一流程可被編譯成程式代碼214。前述的陳述、步驟及/或流程(包含建議步驟)可透過裝置實現,裝置可為硬體、軟體、韌體(為硬體裝置與電腦指令與資料的結合,且電腦指令與資料屬於硬體裝置上的唯讀軟體)、電子系統、或上述裝置的組合,其中裝置可為通訊裝置20。
綜上所述,本發明提供了一種裝置及方法,用來處理認證程序。根據用戶端是否被設定具有無線區域網路上複數個細胞協定資料單元的通訊,網路端可對用戶端啟動(例如執行)延伸的認證協定認證及金鑰協議程序或演進式基地台輔助認證程序。因此,習知技術中的認證程序問題可被解決。   以上所述僅為本發明之較佳實施例,凡依本發明申請專利範圍所做之均等變化與修飾,皆應屬本發明之涵蓋範圍。
10‧‧‧無線通訊系統
20‧‧‧通訊裝置
200‧‧‧處理裝置
210‧‧‧儲存單元
214‧‧‧程式代碼
220‧‧‧通訊介面單元
30、40‧‧‧流程
300、302、304、306、308、310、400、402、404、406、408、410‧‧‧步驟
第1圖為本發明實施例一無線通訊系統的示意圖。 第2圖為本發明實施例一通訊裝置的示意圖。 第3圖為本發明實施例一流程的流程圖。 第4圖為本發明實施例一流程的流程圖。
30‧‧‧流程
300、302、304、306、308、310‧‧‧步驟

Claims (15)

  1. 一種網路端,其包含有一細胞網路(cellular network)及一無線區域網路(wireless local area network,WLAN),用來處理與一通訊裝置的一認證程序(authentication procedure),該網路端包含有: 一儲存單元,用來儲存以下指令: 該細胞網路執行一第一連結到該通訊裝置; 該無線區域網路執行一第二連結到該通訊裝置; 若該通訊裝置未被設定具有該無線區域網路上複數個細胞協定資料單元(protocol data units,PDUs)的一通訊,該無線區域網路對該通訊裝置啟動(initiate)一延伸的認證協定(extensible authentication protocol,EAP)認證及金鑰協議(authentication and key agreement,AKA)程序到該通訊裝置;以及 若該通訊裝置被設定具有該無線區域網路上該複數個細胞協定資料單元的該通訊,該細胞網路對該通訊裝置執行一演進式基地台(evolved Node-B,eNB)輔助認證(assisted authentication)程序;以及 一處理裝置,耦接於該儲存單元,被設定用來執行儲存在該儲存單元的該指令。
  2. 如請求項1所述的網路端,其中該複數個細胞協定資料單元包含有複數個長期演進(long-term evolution,LTE)或第五代(fifth generation,5G)媒體存取控制(media access control,MAC)協定資料單元、複數個長期演進或第五代無線鏈路控制(radio link control,RLC)協定資料單元、複數個長期演進或第五代封包資料整合協定(packet data convergence protocol,PDCP)協定資料單元、或被定義用於該無線區域網路上一通訊的新版複數個長期演進或第五代協定資料單元。
  3. 如請求項1所述的網路端,其中若該細胞網路傳送一組態訊息到該通訊裝置,其用於設定該無線區域網路上該複數個細胞協定資料單元的該通訊予該通訊裝置,該通訊裝置被設定具有該無線區域網路上該複數個細胞協定資料單元的該通訊。
  4. 如請求項1所述的網路端,其中該儲存單元另儲存有以下指令: 該細胞網路決定設定該無線區域網路上該複數個細胞協定資料單元的該通訊予該通訊裝置;以及 該細胞網路傳送一訊息,該訊息是用來啟動該無線區域網路上該複數個細胞協定資料單元的該通訊的一組態,其用於該通訊裝置,以回應該決定。
  5. 如請求項4所述的網路端,其中在該細胞網路設定該無線區域網路上該複數個細胞協定資料單元的該通訊之前,該無線區域網路啟動該延伸的認證協定認證及金鑰協議程序到該通訊裝置。
  6. 如請求項4所述的網路端,其中若該訊息未包含有一共享成對主要金鑰(pairwise master key,PMK),或者該訊息指示不執行該演進式基地台輔助認證程序,該無線區域網路執行該延伸的認證協定認證及金鑰協議程序到該通訊裝置。
  7. 如請求項4所述的網路端,其中該訊息包含有該通訊裝置的一媒體存取控制位址(address);該無線區域網路儲存有該通訊裝置的該媒體存取控制位址;該細胞網路接收來自該通訊裝置的一媒體存取控制位址協定資料單元或一無線資源控制(radio resource control,RRC)訊息中的該媒體存取控制位址;以及該通訊裝置使用該媒體存取控制位址於複數個802.11訊框的一傳送及/或一接收。
  8. 如請求項7所述的網路端,其中當該無線區域網路接收該複數個802.11訊框中一802.11訊框,其包含有來自該通訊裝置的該媒體存取控制位址時,該無線區域網路辨識該通訊裝置具有該儲存的媒體存取控制位址,以及決定不啟動該延伸的認證協定認證及金鑰協議程序。
  9. 一種通訊裝置,用來處理與包含有一細胞網路(cellular network)及一無線區域網路(wireless local area network,WLAN)的一網路端的一認證程序(authentication procedure),該通訊裝置包含有: 一儲存單元,用來儲存以下指令: 執行一第一連結到該細胞網路的一演進式基地台(evolved Node-B,eNB); 執行一第二連結到該無線區域網路; 若該通訊裝置未被設定具有該無線區域網路上複數個細胞協定資料單元(protocol data units,PDUs)的一通訊,與該無線區域網路執行一延伸的認證協定(extensible authentication protocol,EAP)認證及金鑰協議(authentication and key agreement,AKA)程序;以及 若該通訊裝置被設定具有該無線區域網路上該複數個細胞協定資料單元的該通訊,與該演進式基地台執行一演進式基地台輔助認證(assisted authentication)程序;以及 一處理裝置,耦接於該儲存單元,被設定用來執行儲存在該儲存單元的該指令。
  10. 如請求項9所述的通訊裝置,其中該複數個細胞協定資料單元包含有複數個長期演進(long-term evolution,LTE)或第五代(fifth generation,5G)媒體存取控制(media access control,MAC)協定資料單元、複數個長期演進或第五代無線鏈路控制(radio link control,RLC)協定資料單元、複數個長期演進或第五代封包資料整合協定(packet data convergence protocol,PDCP)協定資料單元、或被定義用於該無線區域網路上一通訊的新版複數個長期演進或第五代協定資料單元。
  11. 如請求項9所述的通訊裝置,其中若該通訊裝置接收來自該細胞網路的一組態訊息,其用於設定該無線區域網路上該複數個細胞協定資料單元的該通訊,該通訊裝置被該細胞網路設定具有該無線區域網路上該複數個細胞協定資料單元的該通訊。
  12. 如請求項11所述的通訊裝置,其中該組態訊息包含有一無線區域網路組態,該無線區域網路組態包含有該無線區域網路的一服務設定識別符(service set identifier,SSID)、該無線區域網路的一基礎服務設定識別符(basic SSID,BSSID)、該無線區域網路的一延伸服務設定識別符(extended SSID,ESSID)及/或該無線區域網路的一同質延伸服務設定識別符(homogeneous ESSID,HESSID)。
  13. 如請求項11所述的通訊裝置,其中若該通訊裝置被設定具有該無線區域網路上該複數個細胞協定資料單元的該通訊,與該演進式基地台執行該演進式基地台輔助認證程序的該指令包含有: 若該通訊裝置被設定具有該無線區域網路上該複數個細胞協定資料單元的該通訊,以及該組態訊息包含有用於設定該通訊裝置執行該演進式基地台輔助認證程序的一組態,與該演進式基地台執行該演進式基地台輔助認證程序。
  14. 如請求項9所述的通訊裝置,其中與該無線區域網路執行該延伸的認證協定認證及金鑰協議程序的該指令包含有: 傳送一訊息到該無線區域網路,其用於啟動該延伸的認證協定認證及金鑰協議程序。
  15. 如請求項14所述的通訊裝置,其中與該演進式基地台執行該演進式基地台輔助認證程序的該指令包含有: 不傳送該訊息到該無線區域網路,以不啟動該延伸的認證協定認證及金鑰協議程序。
TW105122233A 2015-07-14 2016-07-14 處理認證程序的裝置及方法 TWI602446B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US201562192078P 2015-07-14 2015-07-14

Publications (2)

Publication Number Publication Date
TW201703558A TW201703558A (zh) 2017-01-16
TWI602446B true TWI602446B (zh) 2017-10-11

Family

ID=56740810

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105122233A TWI602446B (zh) 2015-07-14 2016-07-14 處理認證程序的裝置及方法

Country Status (4)

Country Link
US (1) US9980316B2 (zh)
EP (1) EP3119117B1 (zh)
CN (1) CN106358187B (zh)
TW (1) TWI602446B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140181904A1 (en) * 2012-12-21 2014-06-26 Qualcomm Incorporated Deriving a wlan security context from a wwan security context

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7908484B2 (en) * 2003-08-22 2011-03-15 Nokia Corporation Method of protecting digest authentication and key agreement (AKA) against man-in-the-middle (MITM) attack
US20050271209A1 (en) * 2004-06-07 2005-12-08 Meghana Sahasrabudhe AKA sequence number for replay protection in EAP-AKA authentication
WO2012148446A1 (en) * 2011-04-29 2012-11-01 Intel Corporation System and method of managing wireless communications with multiple transmission points
WO2012171184A1 (zh) * 2011-06-15 2012-12-20 华为技术有限公司 基于mac地址的wlan认证方法和装置
CN103139768B (zh) * 2011-11-28 2017-03-01 上海贝尔股份有限公司 融合无线网络中的认证方法以及认证装置
US9615388B2 (en) * 2012-03-19 2017-04-04 Samsung Electronics Co., Ltd Communication method and apparatus using wireless LAN access point
EP2853117B1 (en) * 2012-05-21 2018-03-07 Telefonaktiebolaget LM Ericsson (publ) A mobile station and a wireless access point and methods therein in a wireless communications network
US10412666B2 (en) * 2012-12-19 2019-09-10 Telefonaktiebolabet Lm Ericsson (Publ) UE accessibility indication for WI-FI integration in RAN
CN103906056B (zh) * 2012-12-26 2018-01-09 中国电信股份有限公司 混合组网下统一认证方法及***
US9603192B2 (en) * 2013-01-16 2017-03-21 Ncore Communications, Inc. Methods and apparatus for hybrid access to a core network
US9819469B2 (en) * 2013-07-01 2017-11-14 Qualcomm Incorporated Techniques for enabling quality of service (QoS) on WLAN for traffic related to a bearer on cellular networks
CN106105132A (zh) * 2014-03-19 2016-11-09 瑞典爱立信有限公司 用于授权网络接入的方法和节点
US9936428B2 (en) * 2014-05-09 2018-04-03 Qualcomm Incorporated Wireless local area network offloading through radio access network rules
US10098172B2 (en) * 2015-05-15 2018-10-09 Qualcomm Incorporated Techniques for managing communication links of a plurality of radio access technologies (RATS)

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140181904A1 (en) * 2012-12-21 2014-06-26 Qualcomm Incorporated Deriving a wlan security context from a wwan security context

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Huawei, HiSilicon, "Authentication and encryption between UE and WLAN for aggregation", 3GPP TSG-RAN WG2 Meeting #90, R2-152655, Fukuoka, Japan, 25 – 29 May, 2015 *
Huawei, HiSilicon, "User plane architecture and associated key aspects for 3GPP/WLAN aggregation ",3GPP TSG-RAN2 Meeting #89bis, R2-151569, Bratislava, Slovakia, 20 – 24 April, 2015 *

Also Published As

Publication number Publication date
EP3119117B1 (en) 2020-11-25
CN106358187A (zh) 2017-01-25
CN106358187B (zh) 2019-10-18
EP3119117A1 (en) 2017-01-18
US20170019947A1 (en) 2017-01-19
TW201703558A (zh) 2017-01-16
US9980316B2 (en) 2018-05-22

Similar Documents

Publication Publication Date Title
US11412376B2 (en) Interworking and integration of different radio access networks
US10798082B2 (en) Network authentication triggering method and related device
US20170359719A1 (en) Key generation method, device, and system
US20180184428A1 (en) Associating and securitizing distributed multi-band link aggregation devices
US10624009B2 (en) Device and method of handling cellular-WLAN aggregation after handover
US20170339626A1 (en) Method, apparatus and system
US10659370B2 (en) Wireless local area network (WLAN) node, a wireless device, and methods therein
US9775181B2 (en) Reducing re-association time for STA connected to AP
US10172027B2 (en) Device and method of reporting a WLAN connection status
JP6702595B2 (ja) アクセス認証の方法および装置
US10278068B2 (en) Device and method of handling cellular-wireless local area network aggregation
EP3228152B1 (en) Method performed by a wlan node in an integrated wireless communications network, for applying security to received traffic data.
EP3046362B1 (en) Distribution method, base station and user equipment
CN109196897B (zh) 用于5g mc的优化的安全密钥刷新过程
US10560870B2 (en) Device and method of handling cellular-WLAN aggregation
TWI602446B (zh) 處理認證程序的裝置及方法
TWI635754B (zh) 處理安全驗證的裝置及方法
CN112154682A (zh) 密钥更新方法、设备和存储介质
TWI619401B (zh) 處理蜂巢無線區域網路集成的裝置及方法