CN101499959B - 配置密钥的方法、装置及系统 - Google Patents
配置密钥的方法、装置及系统 Download PDFInfo
- Publication number
- CN101499959B CN101499959B CN2008100068032A CN200810006803A CN101499959B CN 101499959 B CN101499959 B CN 101499959B CN 2008100068032 A CN2008100068032 A CN 2008100068032A CN 200810006803 A CN200810006803 A CN 200810006803A CN 101499959 B CN101499959 B CN 101499959B
- Authority
- CN
- China
- Prior art keywords
- mih
- aaav
- key
- dsrk
- visit territory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000004891 communication Methods 0.000 claims description 21
- 238000000605 extraction Methods 0.000 claims description 12
- 238000012795 verification Methods 0.000 abstract description 9
- 239000000463 material Substances 0.000 description 14
- 238000004364 calculation method Methods 0.000 description 6
- 239000000284 extract Substances 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000009795 derivation Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 2
- 101100400452 Caenorhabditis elegans map-2 gene Proteins 0.000 description 1
- 101150064138 MAP1 gene Proteins 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/005—Control or signalling for completing the hand-off involving radio access media independent information, e.g. MIH [Media independent Hand-off]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种配置密钥的方法,包括:在MN和家乡AAA服务器AAAH上,分别生成拜访域特定根密钥DSRK,所述AAAH将所述DSRK发送给拜访域AAA服务器AAAV;在MN和AAAV上,分别利用所述DSRK生成拜访域MIH业务根密钥DS-MIH-RK,并且,所述AAAV将所述DS-MIH-RK发送给拜访域MIH验证实体。本发明避免了手工配置验证口令存在的繁琐以及易出错的问题,使得MIH业务的大规模安全部署成为可能。与上述方法相对应,本发明还提供在MN和MIH验证实体间配置密钥的装置及系统。
Description
技术领域
本发明涉及移动通信技术领域,尤其涉及配置密钥的方法、装置及系统。
背景技术
介质无关切换(Media Independent Handover,MIH)是一套用于辅助和优化异构网络移动服的业务框架。MIH业务与其它网络层次协议的关系如图1所示。在图1中,MIH业务处于L3层(ISO模型中的网络层)和L2层(ISO模型中的数据链路层)之间。MIH为三层以上的移动性协议(移动互联网协议MIP、会话发起协议SIP等)提供业务支撑;同时MIH需要使用L2层及以下的业务。MIH可以提供三种类型的业务,分别是MIH事件服务(Event Service,ES)、MIH命令服务(Command Service,CS)和MIH信息服务(Information Service,IS)服务等。MIH ES提供链路层以下或远端链路下事件的即时传输服务;MIHCS提供改变底层链路状态或连接点的命令传输服务;MIH IS提供网络拓扑和位置相关信息的信息传输服务。
MIH服务可能用于移动节点(Mobile Node,MN)或网络基础设施之间,也可能用于网络基础设施网络节点之间。在一般情况下,MN漫游到外地网络时,需要通过拜访域的接入认证系统和家乡域的接入认证系统之间的交互才能够接入拜访网络域;为完成快速的切换,MN需要访问拜访域MIH业务实体,这其中就涉及如何在MN和拜访域MIH验证实体之间保证信息安全性的问题。
目前,通常采用手工方式在MN和拜访域MIH验证实体上配置验证口令,从而保证MN和拜访域MIH验证实体间信息的安全性。然而,这种原始的手工配置验证口令的方式不但繁琐,而且容易出错,不利于MIH业务的推广和部署。
发明内容
有鉴于此,本发明实施例提供一种配置密钥的方法、装置及系统,以解决现有方案手工配置验证口令存在的繁琐及不可靠的问题。
为此,本发明实施例采用如下技术方案:
一种配置密钥的方法,包括:在MN和家乡AAA服务器AAAH上,分别生成拜访域特定根密钥DSRK,所述AAAH将所述DSRK发送给拜访域AAA服务器AAAV;在MN和AAAV上,分别利用所述DSRK生成域特定MIH业务根密钥DS-MIH-RK,并且,所述AAAV将所述DS-MIH-RK发送给拜访域MIH验证实体。
一种配置密钥的装置,位于MN侧,用于向所述MN配置密钥,所述密钥为所述MN与拜访域MIH验证实体间的密钥;所述装置包括:DSRK生成单元(6011),用于利用预计算出的EMSK、预获知的拜访域ID和AAAV ID以及随机数据计算出DSRK;DS-MIH-RK生成单元(6012),用于利用所述DSRK以及预获知的MIH ID、MN ID和随机数据计算出DS-MIH-RK。
一种配置密钥的装置,位于拜访域MIH验证实体侧,用于向所述拜访域MIH验证实体配置密钥,所述密钥为MN与所述拜访域MIH验证实体间的密钥;所述装置包括:DS-MIH-RK接收单元(6041),用于从AAAV接收DS-MIH-RK。
一种配置密钥的装置,位于AAAH侧,包括:DSRK生成单元(6021),用于利用预计算出的EMSK、预获知的拜访域ID和AAAV ID以及随机数据计算出DSRK;DSRK发送单元(6022),用于向AAAV发送所述DSRK。
一种配置密钥的装置,位于AAAV侧,包括:DSRK接收单元(6031),用于从AAAH接收DSRK;DS-MIH-RK生成单元(6032),用于利用所述DSRK以及预获知的MIH ID、MN ID和随机数据计算出DS-MIH-RK,并将所述DS-MIH-RK发送给拜访域MIH验证实体。
一种配置密钥的系统,包括MN、AAAH、AAAV以及拜访域MIH验证实体;所述MN包括:DSRK生成单元(6011),用于利用预计算出的主密钥EMSK、预获知的拜访域ID和AAAV ID以及随机数据计算出DSRK;DS-MIH-RK生成单元(6012),用于利用所述DSRK以及预获知的MIH ID、MN ID和随机数据计算出DS-MIH-RK;所述AAAH包括:DSRK生成单元(6021),用于利用预计算出的主密钥EMSK、预获知的拜访域ID和AAAV ID以及随机数据计算出DSRK;DSRK发送单元(6022),用于向AAAV发送所述DSRK;所述AAAV包括:DSRK接收单元(6031),用于从AAAH接收DSRK;DS-MIH-RK生成单元(6032),用于利用所述DSRK以及预获知的MIH ID、MN ID和随机数据计算出DS-MIH-RK,并负责将DS-MIH-RK发送给MIH验证实体;所述拜访域MIH验证实体包括:DS-MIH-RK接收单元(6041),用于从AAAV接收DS-MIH-RK。
可见,本发明实施例通过动态建立MN和MIH验证实体之间的认证材料和安全联盟密钥材料,保证MN和MIH验证实体间信息的安全性,避免了手工配置验证口令存在的繁琐以及易出错的问题,而且,使得MIH业务的大规模安全部署成为可能。另外,由于这些密钥材料是在MN接入拜访域网络验证时建立的,从而大大缩短了后续的动态协商时间。
附图说明
图1为现有技术MIH网络层次架构图;
图2为MIH业务部署示意图;
图3为层次化密钥关系示意图;
图4为本发明实施例MIH业务密钥自动派生示意图;
图5为本发明实施例方法流程图;
图6为本发明各装置内部结构关系示意图1;
图7为本发明各装置内部结构关系示意图2。
具体实施方式
本发明实施例应用层次化密钥(hokey)技术,实现在MN和拜访域MIH验证实体间配置密钥,从而保证MN和MIH验证实体间信息的安全性,需要说明的是,本发明实施例所述配置密钥包含了生成密钥和分发密钥两层含义。下面结合附图对本发明实施例作详细介绍。
图2为MIH业务部署的基本场景。在图2中,AAAH(AuthenticationAuthorization Accounting Home Server)表示家乡域的认证、授权、计费服务器,AAAV(AAA Visited Server)表示拜访域AAA服务器。本实施例中,默认AAAH和AAAV之间,AAAV和拜访域MIH验证实体之间,AAAV和拜访域认证实体(Authenticator)之间已经建立了可以信任的安全通道。
MN在外部网络移动的过程当中,可能会跨越不同的网络管理域(不同的AAA服务器),或跨越不同的网络验证者(不同的Authenticator,但在同一个AAA服务器下面)。一般而言,网络的接入认证时间是比较长的。对于时延敏感的业务,MN在移动切换重验证所导致的时延可能会急剧降低用户对时延敏感业务的感知。
目前主要有两种方案对MN的切换认证进行优化。一种方案是预验证方案;另一种方案是重验证方案。预验证的方案在MN切换前完成验证,生成安全相关的密钥材料,MN切换后直接使用相关的密钥材料来访问网络;重验证方案在MN切换后完成验证。
不论是预验证还是重验证,都需要层次化的密钥技术,层次化密钥技术的关系如图3。在图3中,扩展主会话密钥(Extensible Master Session Key,EMSK)是从扩展认证协议(Extensible Authentication Protocol,EAP)方法导出的密钥,应用特定根密钥(Usage Specific Root Key,USRK)和域特定根密钥(Domain Specific Root Key,DSRK)是从EMSK派生的子密钥,域应用特定根密钥(Domain Specific Usage Specific Root Key,DSUSRK)是从DSRK派生出的子密钥。
从EMSK派生出USRK和DSRK的方法如下:
USRK=KDF(EMSK,Usage Label,optional data,length)
DSRK=KDF(EMSK,Domain label,optional data,length)
从DSRK派生出DSUSRK的方法如下:
DSUSRK=KDF(DSRK,Usage label,optional data,length)
在上面所描述的方法中,KDF(key derivation function)是指密钥派生函数,常见的密钥派生函数有HMAC-SHA-256和HMAC-MD5;Usage label和DomainLabel主要是指可读写的字符串。
另外,还可以派生出USRK、DSRK及DSUSRK的key name,具体的方法如下:
USRK name=PRF(EAP session ID,usage label)
DSRK name=PRF(EAP session ID,Domain label)
DSUSRK name=PRF(DSRK name,usage label)
在以上的三个等式中,PRF(Pseudo Random Function)是指伪随机函数。
参见图4,为本发明实施例MIH业务密钥自动派生示意图。
(1)密钥派生前的准备
MN获知拜访域ID(以下称为Domain ID)、拜访域验证者ID(以下称为Authenticator ID),以及拜访域MIH验证实体的ID(以下称为MIH ID)。这些ID为唯一表示这些对象的标识,具体可以体现为IP地址,媒体接入控制(Media Access Control,MAC)地址或者可读写的字符串等。
(2)MN接入拜访网络
MN通过EAP认证的方法,经过AAAV的桥接完成对AAAH的接入认证。在认证过程中,AAAV获知MN ID和MIH ID,这些信息由MN通过安全的方法传递给AAAV;并且,AAAV向AAAH告知自己的Domain ID和AAAV ID。在接入认证过程中,MN也会向AAAH告知MN ID、Authentication ID和MIH ID。
(3)MSK和EMSK的生成
MN根据Domain ID、Authentication ID和MIH ID等参数利用EAP方法,分别计算出MSK和EMSK两个密钥;
AAAH根据Domain ID、Authentication ID和MIH ID等参数利用EAP方法,分别计算出MSK和EMSK两个密钥。
(4)MN和AAAH间安全通道的建立
MN和AAAH根据EMSK和MN ID等参数计算完整性检查密钥(IntegntyKey)和加密密钥(Encryption Key)。具体的生成方法如下:
IK=PRF(EMSK,“Integrity key”|MN ID|optional data)............公式1
EK=PRF(EMSK,“Encryption key”|MN ID|optional data)..........公式2
其中,“optional data”表示随机数据。
通过生成IK和EK,AAAH和MN之间建立了通信的安全通道;MN和AAAH可以使用IK和EK保护通信的数据内容。所述安全通道建立后,AAAH通过所述安全通道将AAAV ID发送给MN。
(5)DSRK的生成和传输
MN和AAAH根据EMSK、Domain ID以及AAAV ID等参数计算拜访域特定根密钥DSRK,AAAH将DSRK传递给AAAV。DSRK的派生方法如下:
DSRK=PRF(EMSK,Domain ID|AAAV ID|optional data).....公式3
(6)DS-MIH-RK的生成和传输
MN和AAAV根据MN ID、MIH ID和DSRK等参数计算域特定MIH业务根密钥DS-MIH-RK,AAAV将DS-MIH-RK传递给拜访域MIH验证实体。
DS-MIH-RK的派生方法如下:
DS-MIH-RK=PRF(DSRK,MIH ID|MN ID|optional data).....公式4
(7)通信密钥材料的生成
MN和拜访域MIH验证实体已经拥有了共享的密钥材料DS-MIH-RK。双方可以按照约定抽取DS-MIH-RK相关的信息生成MN和拜访域MIH验证实体之间通信的密钥,例如:验证密钥(Key-auth),数据通道的加密密钥(Key-enc)和完整性保护密钥(Key-integrity)等等。
Key-auth=Extract(DS-MIH-RK,Position-auth).....................公式5
Key-enc=Extract(DS-MIH-RK,Position-Encryption)................公式6
Key-integrity=Extract(DS-MIH-RK,Position-integrity)...........公式7
其中,Extract表示提取函数;Position表明密钥提取位置。
验证密钥的生成,为MN和拜访域MIH验证实体之间的安全联盟建立提供了密钥材料。当然,MN和拜访域MIH验证实体之间的通信密钥并不限于上述三种。本领域的普通技术人员可以理解,根据实际应用的情况,利用DS-MIH-RK还可以生成其他MN和拜访域MIH验证实体之间的通信密钥,此处不再赘述。
参见图5,为本发明方法实施例流程图,包括:
X500:MN获知Domain ID、Authentication ID和MIH ID;
X501:MN经过AAAV与AAAH进行接入认证,在认证过程中,AAAV获知MN ID和MIH ID,AAAH获知MN ID、Authentication ID和MIH ID;并且,AAAV向AAAH告知Domain ID和AAAV ID;
X502:MN和AAAH根据Domain ID、Authentication ID和MIH ID等参数利用EAP方法计算出MSK和EMSK;
X503:MN和AAAH根据EMSK和MN ID等参数计算出IK和EK(参见公式1和公式2),从而在MN和AAAH之间建立安全通道;
X504:AAAH通过X503建立的安全通道将AAAV ID发送给MN;
X505:MN和AAAH根据EMSK、Domain ID和AAAV ID等参数计算出拜访域特定根密钥DSRK(参见公式3);
X506:AAAH将DSRK发送给AAAV;
X507:MN和AAAV利用DSRK、MIH ID及MN ID等参数计算出拜访域MIH业务根密钥DS-MIHS-RK(参见公式4);
X508:AAAV将DS-MIHS-RK发送给拜访域MIH证实体;
X509:MN和拜访域MIH验证实体根据约定从DS-MIHS-RK抽取相关信息生成通信密钥。
通过本发明实施例,可动态建立MN和拜访域MIH验证实体之间的认证材料和安全联盟密钥材料,保证MN和拜访域MIH验证实体间信息的安全性,避免了手工配置验证口令存在的繁琐以及易出错的问题,而且,使得MIH业务的大规模安全部署成为可能;而且由于这些密钥材料是在MN接入拜访域网络验证时建立的,从而大大缩短了后续的动态协商时间。
与上述方法实施例相对应,本发明实施例还提供在MN和拜访域MIH验证实体间配置密钥的各种装置,其中,包括位于MN侧的装置、位于拜访域MIH验证实体侧的装置、位于AAAH侧的装置,以及位于AAAV侧的装置。
参见图6,为各装置内部结构关系示意图。
位于MN侧的装置601,包括DSRK生成单元6011和DS-MIH-RK生成单元6012:
DSRK生成单元6011,用于利用预计算出的EMSK、预获知的Domain ID和AAAV ID以及随机数据计算出DSRK;
DS-MIH-RK生成单元6012,用于利用所述DSRK以及预获知的MIH ID、MN ID和随机数据计算出DS-MIH-RK。
优选地,参见图7,位于MN侧的配置装置601还包括:
密钥确定单元6013,用于按照与所述拜访域MIH验证实体的约定,从所述DS-MIH-RK抽取信息生成所述MN与所述拜访域MIH验证实体间通信密钥,具体通信密钥可包括多种,例如:验证密钥、加密密钥或完整性保护密钥,在具体应用中,可同时利用多个通信密钥对数据加密。
参数获取单元6014,用于获取生成相关密钥所需要的参数;包括:
第一参数获取子单元60141,用于获取Domain ID、Authenticator ID和MIH ID;
第二参数获取子单元60142,用于通过所述AAAH与所述MN之间建立的安全通道,从所述AAAH接收所述AAAV ID。
MSK/EMSK生成单元6015,用于利用所述第一参数获取子单元60141获取的Domain ID、Authenticator ID和MIH ID生成MSK和EMSK。
安全通道建立单元6016,用于利用所述MSK/EMSK生成单元6015生成的EMSK和MN ID,生成IK和EK,在所述AAAH与所述MN之间建立安全通道。
所述位于MN侧的配置装置601,可以是一个独立的设备,也可以是集成在其他设备上,例如,集成在所述MN上。
位于AAAH侧的装置602,包括DSRK生成单元6021和DSRK发送单元6022:
DSRK生成单元6021,用于利用预计算出的EMSK、预获知的Domain ID和AAAV ID以及随机数据计算出DSRK;
DSRK发送单元6022,用于向AAAV发送所述DSRK。
参见图7,位于AAAH侧的装置602还包括:
参数获知单元6023,用于在MN通过AAAV与所述AAAH进行接入认证过程中,从所述AAAV获知Domain ID和AAAV ID,从所述MN获取所述MN ID、Authenticator ID和MIH ID;
MSK/EMSK生成单元6024,用于利用从AAAV获取的所述Domain ID、从MN获取的Authenticator ID和MIH ID生成MSK和EMSK。
安全通道建立单元6025,用于利用所述MSK/EMSK生成单元6024生成的EMSK和MN ID,生成IK和EK,在所述AAAH与所述MN之间建立安全通道。
参数发送单元6026,用于通过与MN之间建立的安全通道,将获知的所述AAAV ID发送给MN。
所述位于AAAH侧的装置602,可以是一个独立的设备,也可以是集成在其他设备上,例如,集成在所述AAAH上。
位于AAAV侧的装置603,包括DSRK接收单元6031和DS-MIH-RK生成单元6032:
DSRK接收单元6031,用于从AAAH接收DSRK;
DS-MIH-RK生成单元6032,用于利用所述DSRK以及预获知的MIH ID、MN ID和随机数据计算出DS-MIH-RK,并将所述DS-MIH-RK发送给拜访域MIH验证实体。。
参见图7,位于AAAV侧的中间装置603还包括:
参数获知单元6033,用于在MN通过所述AAAV与AAAH进行接入认证过程中,获取MIH ID和MN ID;
参数发送单元6034,用于在所述MN通过所述AAAV与所述AAAH进行接入认证过程中,向所述AAAH发送Domain ID和AAAV ID。
所述位于AAAV侧的中间装置603,可以是一个独立的设备,也可以是集成在其他设备上,例如,集成在所述AAAV上。
位于拜访域MIH验证实体侧的装置604,包括DS-MIH-RK接收单元6041和密钥确定单元6042:
DS-MIH-RK接收单元6041,用于从AAAV接收DS-MIH-RK;
密钥确定单元6042,用于按照与MN的约定,从所述DS-MIH-RK抽取信息生成MN与MIH验证实体间通信密钥,具体通信密钥可包括多种,例如:验证密钥、加密密钥或完整性保护密钥,在具体应用中,可同时利用多个通信密钥对数据加密。
所述位于拜访域MIH验证实体侧的配置装置604,可以是一个独立的设备,也可以是集成在其他设备上,例如,集成在所述拜访域MIH验证实体上。
通过本发明实施例,可动态建立MN和拜访域MIH验证实体之间的认证材料和安全联盟密钥材料,保证MN和拜访域MIH验证实体间信息的安全性,避免了手工配置验证口令存在的繁琐以及易出错的问题,而且,使得MIH业务的大规模安全部署成为可能;而且由于这些密钥材料是在MN接入拜访域网络验证时建立的,从而大大缩短了后续的动态协商时间。
与上述方法及装置相对应,本发明实施例还提供一种配置密钥的系统,该系统包括MN、AAAH、AAAV以及拜访域MIH验证实体。
仍可参见图6,所述MN包括:DSRK生成单元6011,用于利用预计算出的EMSK、预获知的拜访域ID和AAAV ID以及随机数据计算出DSRK;DS-MIH-RK生成单元6012,用于利用所述DSRK以及预获知的MIH ID、MNID和随机数据计算出DS-MIH-RK;
所述AAAH包括:DSRK生成单元6021,用于利用预计算出的EMSK、预获知的拜访域ID和AAAV ID以及随机数据计算出DSRK;DSRK发送单元6022,用于向AAAV发送所述DSRK;
所述AAAV包括:DSRK接收单元6031,用于从AAAH接收DSRK;DS-MIH-RK生成单元6032,用于利用所述DSRK以及预获知的MIH ID、MNID和随机数据计算出DS-MIH-RK,并负责将DS-MIH-RK发送给;
所述拜访域MIH验证实体包括:DS-MIH-RK接收单元6041,用于从AAAV接收DS-MIH-RK。
参见图7,所述MN还包括:
密钥确定单元(6013),按照与所述拜访域MIH验证实体的约定,从所述DS-MIH-RK抽取信息生成所述MN与所述拜访域MIH验证实体间的通信密钥;
参数获取单元(6014),用于获取生成相关密钥所需要的参数;
MSK/EMSK生成单元(6015),用于利用所述第一参数获取子单元(60141)获取的拜访域ID、Authenticator ID和MIH ID生成MSK和EMSK;
安全通道建立单元(6016),用于利用所述MSK/EMSK生成单元(6015)生成的EMSK和MN ID,生成IK和EK,在所述AAAH与所述MN之间建立安全通道。
所述AAAH还包括:
参数获知单元(6023),用于在MN通过AAAV与AAAH进行接入认证过程中,从AAAV获知拜访域ID和AAAV ID,从所述MN获取所述MN ID、Authenticator ID和MIH ID;
MSK/EMSK生成单元(6024),用于利用获取的所述拜访域ID、Authenticator ID和MIH ID生成MSK和EMSK;
安全通道建立单元(6025),用于利用所述MN ID和MSK/EMSK生成单元(6024)生成的EMSK,生成IK和EK,在所述AAAH与所述MN之间建立安全通道;
参数发送单元(6026),用于通过与MN之间建立的安全通道,将获知的所述AAAV ID发送给MN。
所述AAAV还包括:
参数获知单元(6033),用于在MN通过AAAV与AAAH进行接入认证过程中,获取MIH ID和MN ID;
参数发送单元(6034),用于在MN通过AAAV与AAAH进行接入认证过程中,向AAAV发送拜访域ID和AAAV ID。
所述拜访域MIH验证实体还包括:
密钥确定单元(6042),按照与MN的约定,从所述DS-MIH-RK抽取信息生成所述MN与所述拜访域MIH验证实体间的通信密钥。
对于本发明实施例提供的各装置及系统的具体实现细节可参见方法实施例,在此不再赘述。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (16)
1.一种配置密钥的方法,其特征在于,包括:
在移动节点MN和家乡AAA服务器AAAH上,分别生成拜访域特定根密钥DSRK,所述AAAH将所述DSRK发送给拜访域AAA服务器AAAV;
在MN和AAAV上,分别利用所述DSRK生成域特定MIH业务根密钥DS-MIH-RK,所述AAAV将所述DS-MIH-RK发送给拜访域介质无关切换MIH验证实体;
在所述MN和所述拜访域MIH验证实体上,按照约定从所述DS-MIH-RK提取信息,生成所述MN和所述拜访域MIH验证实体之间的通信密钥;
其中,生成所述DSRK包括:
所述MN和AAAH,分别利用扩展主会话密钥EMSK、拜访域ID和AAAVID以及随机数据计算出所述DSRK;
生成所述DS-MIH-RK包括:
所述MN和AAAV,分别利用所述DSRK以及预获知的MIH ID、MN ID和随机数据计算出所述DS-MIH-RK。
2.根据权利要求1所述方法,其特征在于,所述MN和AAAH,分别利用扩展主会话密钥EMSK、拜访域ID和AAAV ID以及随机数据计算出所述DSRK包括:
所述MN预先获知所述拜访域ID、拜访域验证者Authenticator ID和拜访域MIH ID;
所述MN通过所述AAAV与所述AAAH进行接入认证,所述AAAH获知所述拜访域ID、Authentication ID、MIH ID、AAAV ID和MN ID;
所述MN和所述AAAH利用所述拜访域ID、Authentication ID和MIH ID生成所述EMSK;
在所述MN和AAAH间建立安全通道,所述AAAH通过所述安全通道将所述AAAV ID发送给MN;
所述MN和AAAH,分别利用所述EMSK、拜访域ID、AAAV ID以及随机数据计算出DSRK。
3.根据权利要求2所述方法,其特征在于,利用所述EMSK、所述MN ID以及随机数据生成完整性密钥IK和加密密钥EK,在所述MN和AAAH间建立所述安全通道。
4.根据权利要求1所述方法,其特征在于,所述MN和AAAV,分别利用所述DSRK以及预获知的MIH ID、MN ID和随机数据计算出所述DS-MIH-RK包括:
MN预先获知拜访域ID和MIH ID;
所述MN通过所述AAAV与所述AAAH进行接入认证,所述AAAV获知MIH ID和MN ID;
在生成DSRK后,所述AAAH将所述DSRK发送给所述AAAV;
所述MN和AAAV,分别利用所述DSRK、MIH ID和MN ID以及随机数据计算出所述DS-MIH-RK。
5.根据权利要求1所述方法,其特征在于,所述MN和所述拜访域MIH验证实体之间的通信密钥包括:验证密钥、数据通道的加密密钥或完整性保护密钥。
6.一种配置密钥的装置,其特征在于,位于移动节点MN侧,用于向所述MN配置密钥,所述密钥为所述MN与拜访域介质无关切换MIH验证实体间的密钥;
所述装置包括:DSRK生成单元(6011),用于利用预计算出的扩展主会话密钥EMSK、预获知的拜访域ID和拜访域AAA服务器AAAV ID以及随机数据计算出拜访域特定根密钥DSRK;
DS-MIH-RK生成单元(6012),用于利用所述DSRK以及预获知的MIHID、MN ID和随机数据计算出域特定MIH业务根密钥DS-MIH-RK;
密钥确定单元(6013),按照与所述拜访域MIH验证实体的约定,从所述DS-MIH-RK抽取信息生成所述MN与所述拜访域MIH验证实体间的通信密钥。
7.根据权利要求6所述装置,其特征在于,还包括:
参数获取单元(6014),用于获取生成相关密钥所需要的参数。
8.根据权利要求7所述装置,其特征在于,所述参数获取单元(6014)包括:
第一参数获取子单元(60141),用于获取拜访域ID、Authenticator ID和MIH ID;
第二参数获取子单元(60142),用于通过家乡AAA服务器AAAH与所述MN之间建立的安全通道,从所述AAAH接收所述AAAV ID。
9.根据权利要求8所述装置,其特征在于,还包括:
MSK/EMSK生成单元(6015),用于利用所述第一参数获取子单元(60141)获取的拜访域ID、Authenticator ID和MIH ID生成主会话密钥MSK和EMSK;
安全通道建立单元(6016),用于利用所述MSK/EMSK生成单元(6015)生成的EMSK和MN ID,生成完整性密钥IK和加密密钥EK,在所述AAAH与所述MN之间建立安全通道。
10.一种配置密钥的装置,其特征在于,位于拜访域介质无关切换MIH验证实体侧,用于向所述拜访域MIH验证实体配置密钥,所述密钥为移动节点MN与所述拜访域MIH验证实体间的密钥;所述装置包括:
DS-MIH-RK接收单元(6041),用于从拜访域AAA服务器AAAV接收域特定MIH业务根密钥DS-MIH-RK,所述DS-MIH-RK由所述AAAV利用拜访域特定根密钥DSRK以及预获知的MIH ID、MN ID和随机数据计算出,所述DSRK由家乡AAA服务器AAAH利用扩展主会话密钥EMSK、拜访域ID和AAAV ID以及随机数据计算并发送给所述AAAV;
密钥确定单元(6042),按照与MN的约定,从所述DS-MIH-RK抽取信息生成所述MN与所述拜访域MIH验证实体间的通信密钥。
11.一种配置密钥的装置,其特征在于,位于家乡AAA服务器AAAH侧,包括:
DSRK生成单元(6021),用于利用预计算出的扩展主会话密钥EMSK、预获知的拜访域ID和拜访域AAA服务器AAAV ID以及随机数据计算出拜访域特定根密钥DSRK;
DSRK发送单元(6022),用于向AAAV发送所述DSRK,以便所述AAAV利用所述DSRK、预获知的MIH ID、MN ID和随机数据计算出域特定MIH业务根密钥DS-MIH-RK并发送给拜访域MIH验证实体,进而所述拜访域MIH验证实体按照与移动节点MN的约定,从所述DS-MIH-RK提取信息,生成所述MN和所述拜访域MIH验证实体之间的通信密钥。
12.根据权利要求11所述装置,其特征在于,还包括:
参数获知单元(6023),用于在移动节点MN通过AAAV与AAAH进行接入认证过程中,从AAAV获知拜访域ID和AAAV ID,从所述MN获取所述MN ID、Authenticator ID和介质无关切换MIH ID。
13.根据权利要求11或12所述装置,其特征在于,还包括:
MSK/EMSK生成单元(6024),用于利用获取的所述拜访域ID、Authenticator ID和MIH ID生成主会话密钥MSK和扩展主会话密钥EMSK;
安全通道建立单元(6025),用于利用所述MN ID和MSK/EMSK生成单元(6024)生成的EMSK,生成完整性密钥IK和加密密钥EK,在所述AAAH与所述MN之间建立安全通道;
参数发送单元(6026),用于通过与MN之间建立的安全通道,将获知的所述AAAV ID发送给MN。
14.一种配置密钥的装置,其特征在于,位于拜访域AAA服务器AAAV侧,包括:
DSRK接收单元(6031),用于从家乡AAA服务器AAAH接收拜访域特定根密钥DSRK,所述DSRK由所述AAAH利用扩展主会话密钥EMSK、拜访域ID和AAAV ID以及随机数据计算出;
DS-MIH-RK生成单元(6032),用于利用所述DSRK以及预获知的介质无关切换MIH ID、移动节点MN ID和随机数据计算出域特定MIH业务根密钥DS-MIH-RK,并将所述DS-MIH-RK发送给拜访域MIH验证实体,以便所述拜访域MIH验证实体按照与移动节点MN的约定从DS-MIH-RK提取信息,生成所述MN和所述拜访域MIH验证实体之间的通信密钥。
15.根据权利要求14所述装置,其特征在于,还包括:
参数获知单元(6033),用于在MN通过AAAV与AAAH进行接入认证过程中,获取MIH ID和MN ID;
参数发送单元(6034),用于在MN通过AAAV与AAAH进行接入认证过程中,向AAAV发送拜访域ID和AAAV ID。
16.一种配置密钥的系统,包括移动节点MN、家乡AAA服务器AAAH、拜访域AAA服务器AAAV以及拜访域介质无关切换MIH验证实体;其特征在于,
所述MN包括:
DSRK生成单元(6011),用于利用预计算出的扩展主会话密钥EMSK、预获知的拜访域ID和AAAV ID以及随机数据计算出域特定根密钥DSRK;
DS-MIH-RK生成单元(6012),用于利用所述DSRK以及预获知的MIHID、MN ID和随机数据计算出域特定MIH业务根密钥DS-MIH-RK;
密钥确定单元(6013),按照与所述拜访域MIH验证实体的约定,从所述DS-MIH-RK抽取信息生成所述MN与所述拜访域MIH验证实体间的通信密钥;
所述AAAH包括:
DSRK生成单元(6021),用于利用预计算出的EMSK、预获知的拜访域ID和AAAV ID以及随机数据计算出DSRK;
DSRK发送单元(6022),用于向AAAV发送所述DSRK;
所述AAAV包括:
DSRK接收单元(6031),用于从AAAH接收DSRK;
DS-MIH-RK生成单元(6032),用于利用所述DSRK以及预获知的MIHID、MN ID和随机数据计算出DS-MIH-RK,并负责将DS-MIH-RK发送给MIH验证实体;
所述拜访域MIH验证实体包括:
DS-MIH-RK接收单元(6041),用于从AAAV接收DS-MIH-RK;
密钥确定单元(6042),按照与MN的约定,从所述DS-MIH-RK抽取信息生成所述MN与所述拜访域MIH验证实体间的通信密钥。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100068032A CN101499959B (zh) | 2008-01-31 | 2008-01-31 | 配置密钥的方法、装置及系统 |
| EP09709512.9A EP2237473B1 (en) | 2008-01-31 | 2009-01-22 | Configuring a key for Media Independent Handover (MIH) |
| PCT/CN2009/070281 WO2009100665A1 (zh) | 2008-01-31 | 2009-01-22 | 配置密钥的方法、装置及系统 |
| US12/846,455 US8656171B2 (en) | 2008-01-31 | 2010-07-29 | Method, apparatus, and system for configuring key |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100068032A CN101499959B (zh) | 2008-01-31 | 2008-01-31 | 配置密钥的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101499959A CN101499959A (zh) | 2009-08-05 |
| CN101499959B true CN101499959B (zh) | 2012-08-08 |
Family
ID=40946845
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100068032A Expired - Fee Related CN101499959B (zh) | 2008-01-31 | 2008-01-31 | 配置密钥的方法、装置及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8656171B2 (zh) |
| EP (1) | EP2237473B1 (zh) |
| CN (1) | CN101499959B (zh) |
| WO (1) | WO2009100665A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110574406A (zh) * | 2017-05-06 | 2019-12-13 | 华为技术有限公司 | 密钥配置方法、装置以及系统 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101815295B (zh) * | 2010-03-16 | 2013-02-27 | 东南大学 | 一种pmip6中LMA和MAG之间的密钥分发方法 |
| KR101981229B1 (ko) * | 2011-04-15 | 2019-05-22 | 삼성전자주식회사 | 머신-대-머신 노드 소거 절차 |
| CN104469759B (zh) * | 2013-09-23 | 2018-12-21 | 株式会社理光 | 管理区域受限网络、接收区域密钥的方法和设备 |
| JP6555258B2 (ja) * | 2013-10-30 | 2019-08-07 | 日本電気株式会社 | 移動通信システム、ProSe Function、UE及び方法 |
| CN104852891B (zh) * | 2014-02-19 | 2018-07-20 | 华为技术有限公司 | 一种密钥生成的方法、设备及系统 |
| CN104883339B (zh) * | 2014-02-27 | 2019-06-21 | 华为技术有限公司 | 一种用户隐私保护的方法、设备和系统 |
| CN105554028A (zh) * | 2016-01-22 | 2016-05-04 | 合肥学院 | 基于二维码的移动手持设备间的安全通信通道建立方法 |
| MX2018010057A (es) | 2016-02-23 | 2019-01-21 | Nchain Holdings Ltd | Metodo de registro y de manejo automatico para contratos inteligentes de cumplimiento obligado por cadenas de bloques. |
| JP7114469B2 (ja) | 2016-02-23 | 2022-08-08 | エヌチェーン ホールディングス リミテッド | セキュアな投票及び配布に利用されるブロックチェーンが実装された計数システム及び方法 |
| WO2017145016A1 (en) | 2016-02-23 | 2017-08-31 | nChain Holdings Limited | Determining a common secret for the secure exchange of information and hierarchical, deterministic cryptographic keys |
| EP3862956B1 (en) * | 2016-02-23 | 2024-01-03 | nChain Licensing AG | Secure multiparty loss resistant storage and transfer of cryptographic keys for blockchain based systems in conjunction with a wallet management system |
| US9779405B1 (en) * | 2016-09-26 | 2017-10-03 | Stripe, Inc. | Systems and methods for authenticating a user commerce account associated with a merchant of a commerce platform |
| US20230177173A1 (en) * | 2021-12-05 | 2023-06-08 | PUFsecurity Corporation | Electronic device and method for performing permission management of storage device |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7298847B2 (en) * | 2002-02-07 | 2007-11-20 | Nokia Inc. | Secure key distribution protocol in AAA for mobile IP |
| US7882346B2 (en) * | 2002-10-15 | 2011-02-01 | Qualcomm Incorporated | Method and apparatus for providing authentication, authorization and accounting to roaming nodes |
| US7475241B2 (en) * | 2002-11-22 | 2009-01-06 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
| US7602918B2 (en) * | 2005-06-30 | 2009-10-13 | Alcatel-Lucent Usa Inc. | Method for distributing security keys during hand-off in a wireless communication system |
| US7596225B2 (en) * | 2005-06-30 | 2009-09-29 | Alcatl-Lucent Usa Inc. | Method for refreshing a pairwise master key |
| US7561692B2 (en) * | 2006-02-27 | 2009-07-14 | Alvarion Ltd. | Method of authenticating mobile terminal |
| US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
| CN101079691A (zh) * | 2006-05-22 | 2007-11-28 | 华为技术有限公司 | 无线通信网络中确定移动ip密钥的方法 |
| WO2007148909A1 (en) | 2006-06-19 | 2007-12-27 | Lg Electronics, Inc. | Method and apparatus for processing a vedeo signal |
| US20080072047A1 (en) * | 2006-09-20 | 2008-03-20 | Futurewei Technologies, Inc. | Method and system for capwap intra-domain authentication using 802.11r |
| US8099597B2 (en) * | 2007-01-09 | 2012-01-17 | Futurewei Technologies, Inc. | Service authorization for distributed authentication and authorization servers |
| US8667151B2 (en) * | 2007-08-09 | 2014-03-04 | Alcatel Lucent | Bootstrapping method for setting up a security association |
-
2008
- 2008-01-31 CN CN2008100068032A patent/CN101499959B/zh not_active Expired - Fee Related
-
2009
- 2009-01-22 WO PCT/CN2009/070281 patent/WO2009100665A1/zh active Application Filing
- 2009-01-22 EP EP09709512.9A patent/EP2237473B1/en not_active Not-in-force
-
2010
- 2010-07-29 US US12/846,455 patent/US8656171B2/en active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110574406A (zh) * | 2017-05-06 | 2019-12-13 | 华为技术有限公司 | 密钥配置方法、装置以及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2237473A4 (en) | 2011-05-18 |
| CN101499959A (zh) | 2009-08-05 |
| US20100299524A1 (en) | 2010-11-25 |
| EP2237473B1 (en) | 2013-04-10 |
| WO2009100665A1 (zh) | 2009-08-20 |
| US8656171B2 (en) | 2014-02-18 |
| EP2237473A1 (en) | 2010-10-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101499959B (zh) | 配置密钥的方法、装置及系统 | |
| CN101194529B (zh) | 用于协商至少一个第一通信用户和第二通信用户之间的安全密钥以保护通信连接的安全的方法 | |
| KR101158956B1 (ko) | 통신 시스템에 증명서를 배분하는 방법 | |
| CN101189827B (zh) | 综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端 | |
| CN103491540B (zh) | 一种基于身份凭证的无线局域网双向接入认证系统及方法 | |
| CN108270571A (zh) | 基于区块链的物联网身份认证系统及其方法 | |
| US20100011220A1 (en) | Authentication and key agreement method, authentication method, system and device | |
| Kuo et al. | An efficient and secure anonymous mobility network authentication scheme | |
| JP5290323B2 (ja) | 無線アクセス技術及び移動ip基盤の移動性制御技術が適用された次世代のネットワーク環境のための統合ハンドオーバー認証方法 | |
| CN102404347A (zh) | 一种基于公钥基础设施的移动互联网接入认证方法 | |
| CN105656901B (zh) | 对双栈操作进行互通授权的方法和装置 | |
| CN101499904A (zh) | 一种安全接口调用方法、装置及系统 | |
| CN101039181B (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN101426190A (zh) | 一种服务访问认证方法和系统 | |
| CN103313242A (zh) | 密钥的验证方法及装置 | |
| CN101162999A (zh) | 基于身份的公钥密码系统与加密地址在网络中的认证方法 | |
| CN103391286A (zh) | 一种应用于全ip远程监控网络系统及安全认证方法 | |
| CN103220673A (zh) | Wlan用户认证方法、认证服务器及用户设备 | |
| CN101394395B (zh) | 一种认证方法和系统、及装置 | |
| CN100450305C (zh) | 一种基于通用鉴权框架的安全业务通信方法 | |
| CN104270756A (zh) | 身份与位置分离网络中的域内映射更新认证方法 | |
| Ciou et al. | A handover security mechanism employing the Diffie-Hellman key exchange approach for the IEEE802. 16e wireless networks | |
| Moon et al. | An AAA scheme using ID-based ticket with anonymity in future mobile communication | |
| CN102665204B (zh) | 一种定位服务安全防护方法及系统 | |
| JP4663315B2 (ja) | 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120808 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |