JP4875679B2 - Method and device for establishing security associations and performing handoff authentication in a communication system - Google Patents
Method and device for establishing security associations and performing handoff authentication in a communication system Download PDFInfo
- Publication number
- JP4875679B2 JP4875679B2 JP2008227438A JP2008227438A JP4875679B2 JP 4875679 B2 JP4875679 B2 JP 4875679B2 JP 2008227438 A JP2008227438 A JP 2008227438A JP 2008227438 A JP2008227438 A JP 2008227438A JP 4875679 B2 JP4875679 B2 JP 4875679B2
- Authority
- JP
- Japan
- Prior art keywords
- station
- mobile station
- key
- relay
- relay station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 98
- 238000000034 method Methods 0.000 title claims description 89
- 230000011664 signaling Effects 0.000 claims description 99
- 238000012795 verification Methods 0.000 claims description 46
- 230000004044 response Effects 0.000 claims description 43
- 230000005540 biological transmission Effects 0.000 claims description 28
- 238000013475 authorization Methods 0.000 claims description 23
- 238000010586 diagram Methods 0.000 description 60
- 230000008569 process Effects 0.000 description 32
- 238000012546 transfer Methods 0.000 description 23
- 230000006870 function Effects 0.000 description 11
- 238000004590 computer program Methods 0.000 description 10
- 239000000463 material Substances 0.000 description 9
- VIEYMVWPECAOCY-UHFFFAOYSA-N 7-amino-4-(chloromethyl)chromen-2-one Chemical compound ClCC1=CC(=O)OC2=CC(N)=CC=C21 VIEYMVWPECAOCY-UHFFFAOYSA-N 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 230000008859 change Effects 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 230000001934 delay Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000009365 direct transmission Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Radio Relay Systems (AREA)
Description
[優先権]
この出願は、2007年9月4日に出願された米国仮特許出願第60/969,773号、2007年10月22日に出願された米国仮特許出願第60/981,767号、および2007年11月5日に出願された米国仮特許出願第60/985,538号の優先権の利益を主張するものであり、これら仮特許出願の全てが、あらゆる目的のためにここに参照として全体として取り込まれる。
[priority]
This application includes US Provisional Patent Application No. 60 / 969,773, filed Sep. 4, 2007, US Provisional Patent Application No. 60 / 981,767, filed Oct. 22, 2007, and 2007. Which claims the benefit of priority of US Provisional Patent Application No. 60 / 985,538, filed November 5, 2005, all of which are hereby incorporated by reference in their entirety for all purposes. Is taken in as.
[技術分野]
本開示は通信の分野に関し、より詳細には、通信システムにおいてセキュリティーアソシアーションを確立する、およびハンドオフ認証を実行するシステムおよび方法に関するものである。
[Technical field]
The present disclosure relates to the field of communications, and more particularly to systems and methods for establishing security associations and performing handoff authentication in a communication system.
一般的な無線ネットワーク環境では携帯電子機器はサービスプロバイダに接続される。より具体的には、WiMAX(Worldwide Interoperability for Microwave Access)ネットワーク環境では、中間コネクション(intermediate connections)を介し、クライアント装置が例えばインターネットに接続される。WiMAXは、無線機器に、かなりの距離にわたり通信させることのできる無線ネットワークテクノロジーである。しかしながら、認証および再認証の遅れは、クライアント装置との通信の速度を低下させ、かつWiMAX環境の効率を下げ得る。 In a typical wireless network environment, the portable electronic device is connected to a service provider. More specifically, in a WiMAX (Worldwide Interoperability for Microwave Access) network environment, a client device is connected to, for example, the Internet via an intermediate connection. WiMAX is a wireless network technology that allows wireless devices to communicate over considerable distances. However, delays in authentication and re-authentication can reduce the speed of communication with client devices and reduce the efficiency of the WiMAX environment.
図1は、IEEE 802.16d/802.16e WiMAX無線通信システムに用いられる例示的な従来技術の無線通信システムのブロック図である。少なくとも1つの認証、許可、およびアカウンティング(authentication、authorization、and accounting, AAA)サーバー104によって、少なくとも1つのコネクティビティサービスネットワーク(connectivity service network, CSN)102に、インターネット100へのアクセスが提供される。CSN102はゲートウェイ(GW)106および108に接続される。ゲートウェイ106および108は通常いくつかの基地局(BS)110〜115、かかるBSの数は所定のエリアのネットワークの需要による、に接続されるが、そうではなくて、単一の基地局のみに接続される場合もある。2つのゲートウェイ106および108だけが示されているが、必要な基地局の数に応じて、より多いまたはより少ないゲートウェイであってもよい。
FIG. 1 is a block diagram of an exemplary prior art wireless communication system for use in an IEEE 802.16d / 802.16e WiMAX wireless communication system. At least one connectivity service network (CSN) 102 is provided access to the Internet 100 by at least one authentication, authorization, and accounting (AAA)
図1には例示的なWiMAX環境として6個の基地局が示されているが、利用可能なゲートウェイの数とWiMAX環境におけるネットワークの需要に応じて、より多いまたは少ない基地局が提供されていてもよい。基地局、例えば基地局110および基地局114は、1つまたはそれ以上のクライアント装置と通信する。クライアント装置は、基地局が無線ネットワークサービスを提供する例えば移動局120、122および124である移動局(MS)と、基地局が有線または無線ネットワークサービスを提供する例えば加入者局126および128である加入者局(subscriber stations, SS)と、を含む。いくつかのクライアント装置のネットワークの要求は単一の基地局によって満たされ、また、単一の基地局は移動局および加入者局両方のネットワークの要求を満たすことができる。
Although FIG. 1 shows six base stations as an exemplary WiMAX environment, more or fewer base stations are provided depending on the number of available gateways and network demands in the WiMAX environment. Also good. Base stations, eg, base station 110 and base station 114, communicate with one or more client devices. Client devices are mobile stations (MS), for example,
図1に示されるような一般的なWiMAX環境では、移動局120が、接続された(associated)基地局、例えば基地局110を介して、ゲートウェイ、例えばゲートウェイ106に初めてサービスされる度に、移動局120を認証することが要される。かかる認証の後、移動局120が、元の認証ゲートウェイによる継続してのサービスが可能なエリア内で移動している限り、さらなるゲートウェイの認証は必要ない。しかし、移動局120が、異なるゲートウェイ、例えばゲートウェイ108によりサービスされるエリアに移動した場合、移動局120は該異なるゲートウェイにハンドオーバーされるため、サービスが提供される前にハンドオフ処理の一環としてその異なるゲートウェイは移動局120を再認証する必要がある。クライアント装置が認証または再認証されたら、セキュリティーアソシエーション、または、例えば移動局120と基地局110のような2つのネットワークエンティティ間のセキュリティー情報の共有、が確立され、それら2つのエンティティ間の通信は安全であるということが確保される。
In a typical WiMAX environment as shown in FIG. 1, every time a
認証プロトコルスタンダードは、先進の認証技術を標準化するために創出された。これらの標準化プロトコルには、例えばIEEE 802.1X認証、モバイル通信用グローバルシステム(GSM)加入者識別(subscriber identity)の拡張認証プロトコル(extensible authentication protocol, EAP)メソッド(EAP−SIM) およびユニバーサルモバイルテレコミュニケーションシステム(UMTS)認証とキー合意の拡張認証プロトコルメソッド(EAP−AKA)、ならびに/または拡張認証プロトコル(EAP)と遠隔認証ダイヤルインユーザーサービス(RADIUS)プロトコルとの組み合わせ、が含まれ得る。さらに、例えばセキュリティーアソシエーションおよびトラフィック暗号化キー(SA−TEK)スリーウェイハンドシェイク、 ならびにトラフィック暗号化キー(TEK)スリーウェイハンドシェイクなどのセキュリティーアソシエーションシグナリングプロトコルのような標準化ハンドシェイクプロトコルは、通信リンク上でセキュリティーアソシエーションを確立するために用いることができる。 Authentication protocol standards were created to standardize advanced authentication technologies. These standardized protocols include, for example, IEEE 802.1X authentication, global system for mobile communications (GSM) subscriber identity, extensible authentication protocol (EAP) method (EAP-SIM) and universal mobile telephony. Communication system (UMTS) authentication and key agreement extended authentication protocol method (EAP-AKA) and / or a combination of extended authentication protocol (EAP) and remote authentication dial-in user service (RADIUS) protocol may be included. In addition, standardized handshake protocols such as security association and traffic encryption key (SA-TEK) three-way handshake, and security association signaling protocols such as traffic encryption key (TEK) three-way handshake are Can be used to establish security associations.
IEEE 802.16d/802.16e WiMAX無線通信システムでは、これらの標準化技術は基地局と移動局との間で実行される。各標準化認証技術には多重伝送が要されるが、これは認証時間と処理オーバーヘッドを要する。 In an IEEE 802.16d / 802.16e WiMAX wireless communication system, these standardization techniques are performed between a base station and a mobile station. Each standardized authentication technique requires multiplex transmission, which requires authentication time and processing overhead.
図2は、IEEE 802.16dおよび802.16e WiMAX無線通信システムにおける例示的な従来技術の認証および許可のシグナリング図(signaling diagram)である。初期化プロセス200は、ネットワークサービスを要求する移動局が確実にネットワークへのアクセスを許可されるようにすると共に、移動局と基地局との間にセキュリティーアソシエーションを提供して安全なメッセージ伝送を可能にするために用いられる。例えば、初期化プロセス200は、先に基地局110の範囲内に在圏しており、その後、基地局111の範囲内に移動した直後に、移動局120との間にセキュリティーアソシエーションを提供するのに用いられる。
FIG. 2 is an exemplary prior art authentication and authorization signaling diagram in an IEEE 802.16d and 802.16e WiMAX wireless communication system. The
初期化プロセス200の第1ステップにおいて、移動局120は、例として、例えばレンジング要求(ranging request)202であるシグナリングメッセージおよび例えばレンジング応答(ranging response)204であるシグナリングメッセージを含むリンクアップ(link up)プロセスにより、基地局111に無線で接続される。次いで、移動局120は、ゲートウェイ106を介し、AAAサーバー104と、例えばIEEE 802.1X完全認証206のような複数ステップの認証プロセスを行う必要がある。そして、AAAサーバー104は移動局120のマスターセッションキー(master session key, MSK)(図示せず)を計算してから該MSKをゲートウェイ106へ転送し、該ゲートウェイはそのキャッシュに該MSKを保管する。例えばEAPメソッドまたはその他の認証メソッドによる認証の結果、AAAサーバー104、ゲートウェイ106、および移動局120が知っているMSKの転送がなされる。ゲートウェイ106は移動局120のためにペアワイズマスターキー210および認証キー(AK)212を生成し、AK212を基地局111に転送することになる。
In the first step of the
移動局120は単独でそのメモリにMSKを保持および格納することもでき、かつAK212を生成することもできる。続いて、基地局111は、SA−TEKスリーウェイハンドシェイク手続214を実行して、移動局120に保持されているAKが、基地局111に保持されているのと同じAK212であることを確認する。基地局111と移動局120に共通して保持されているAK212を使用することにより、基地局111と移動局120の両者が、例えば移動局120を識別する共通のメッセージ認証コードキー(MACK)215および共通のキー暗号化キー(KEK)218のような検証キー(verification key)をそれぞれ計算することができるようになる。MACK215は、移動局120および基地局111によって生成された認証メッセージ(authenticated message)を識別することができる。KEK218は、基地局111から移動局120へのトラフィックキーの配送を保護することができる。基地局111および移動局120はMACK215を用いSA−TEKスリーウェイハンドシェイク手続214を行って、相互に認証することができる。SA−TEKスリーウェイハンドシェイク手続214が成功裏に完了したとき、基地局111は、例えばトラフィック暗号化キー(traffic encryption key, TEK)220のようなトラフィックキーを生成してから、KEK218を用いTEKスリーウェイハンドシェイク手続216を実行して、移動局120とのセキュリティーアソシエーションを確立することができる。TEK220は通常、基地局111によって無作為に生成され、移動局120が認証されネットワークへのアクセスを許可された後に移動局120と基地局111との間で伝送されるデータを暗号化するのに用いられる。SA−TEKスリーウェイハンドシェイク214およびTEKスリーウェイハンドシェイク216は当該分野では周知であるので、これ以上は論じない。
The
図2に示されるようなIEEE 802.16dおよび802.16e WiMAX無線通信システムに用いられる初期化プロセス200では、基地局111および移動局120はいずれも同じTEK220、KEK218、MACK215、およびAK212を保持するため、基地局111は、基地局111および移動局120間のチャネル上でデータ伝送が行われるようにするかを制御する。移動局が基地局とセキュリティーアソシエーションを確立した後、あるいは、換言すると、移動局がネットワーク上で通信してもよいという許可が与えられた後、移動局と基地局との間で、TEKを用いて暗号化されたデータ伝送が行われる。
In the
再度図1を参照すると、オペレーションにおいて、ネットワーク信号がゲートウェイ106またはゲートウェイ108から基地局110〜115へ、そしてクライアント装置120、122、124、126、および128へ移るにつれ、信号の強度と伝送品質は低下することがある。さらに、移動局がそのサービング基地局か らより遠くへ移動するにつれて、信号および伝送の品質は下がる。信号の品質とカバレッジは、例えば物理的構造、信号干渉、天候ならびに伝送条件およびフォーマットなどの要因の影響を受ける場合もある。よって、カバレッジギャップまたはホールが存在することがあり、それらのエリアでユーザーはネットワークアクセスが制限されるまたはできない可能性がある。
Referring again to FIG. 1, in operation, as the network signal moves from the
カバレッジギャップを回避するまたは減らすための1つの解決策は、より多くの基地局を提供することであるが、この解決策はコストがかかる。あるいは、例えばIEEE 802.16jに示されているマルチホップ中継(multi-hop relaying, MR)のコンセプトを実施するなど、中継局(RS)を利用することによって、ネットワークは、カバレッジギャップが回避されるもしくは減る、および/またはそのネットワークカバレッジが広がり得る。通常、基地局はそれら中継局と通信し、それら中継局は移動局と基地局への、および、移動局と基地局からの信号を増強および中継するが、それ以外については、認証および/またはセキュリティーアソシエーションの確立には関与しない。 One solution to avoid or reduce the coverage gap is to provide more base stations, but this solution is costly. Alternatively, the network avoids coverage gaps by utilizing relay stations (RS), eg, implementing the multi-hop relaying (MR) concept shown in IEEE 802.16j. Or it may be reduced and / or its network coverage may be expanded. Usually, the base stations communicate with these relay stations, which augment and relay signals to and from the mobile station and base station, but otherwise authentication and / or Not involved in establishing security associations.
図3は、MRアーキテクチャを有するIEEE802.16j WiMAX無線通信システムに用いられる例示的な従来技術の無線通信システムのブロック図である。IEEE 802.16dおよび802.16e WiMAX無線通信システムと同じように、インターネット100へのアクセスは、例えばAAAサーバー104である少なくとも1つのAAAサーバーにより、例えばゲートウェイ106である少なくとも1つのゲートウェイを介して実現される。便宜上、インターネット100、CSN102、AAAサーバー104およびゲートウェイ106をコアネットワーク300と呼ぶ。ネットワーク300、具体的にはゲートウェイ106は、主として有線コネクション上で基地局310〜313と通信する。
FIG. 3 is a block diagram of an exemplary prior art wireless communication system for use in an IEEE 802.16j WiMAX wireless communication system having an MR architecture. Similar to the IEEE 802.16d and 802.16e WiMAX wireless communication systems, access to the
図3には4つの基地局310〜313が示されているが、より多いまたは少ない基地局が提供されてもよい。例えば基地局310である基地局は、無線伝送により、例えば移動局320である1つまたはそれ以上の移動局と直接通信することができる。例えば基地局311および基地局312である基地局は、例えば移動局322、324、および326である1つまたはそれ以上の移動局と間接的に通信することができる。基地局は通常無線伝送により、例えば中継局328、330、および332である1つまたはそれ以上の中継局と通信するが、これらは有線コネクション上で通信することもできる。中継局328、330、および332は無線伝送により移動局322へ/からの信号を増強および中継する。図示されるように、中継局328、330、および332は固定中継局である。しかし、基地局は、例えば移動中継局334である移動中継局(MRS)と通信することもできる。移動中継局は、例えば列車、飛行機または自動車上にあり、移動局を持つその乗客に対し、移動中継局の移動にしたがって異なる基地局および/または中継局への移動ネットワークアクセスを提供することができる。図3に示されるように、移動中継局334は移動局324および326に無線サービスを提供するが、1つのみの移動局または数個の移動局のネットワークの要求は、単一の移動中継局によって満たされ得る。図示されてはいないが、例えば基地局310〜313である基地局は、1つまたはそれ以上の加入者局と通信することもできる。数個のクライアント装置のネットワークの要求は、直接または1つもしくはそれ以上の中継局を介し、単一の基地局により満たされ得る。また、中継局328、330、および332は、追加の中継局、追加の移動中継局、および/または追加の移動局に無線サービスを提供することができる。
Although four base stations 310-313 are shown in FIG. 3, more or fewer base stations may be provided. A base station, eg,
一部の応用おいては、中継局の使用により、局から局への(station-to-station)(基地/中継)ハンドオフの必要性が高まり、かつ各中継局(移動中継局を含む)の限られたカバレッジエリアのために、かかるハンドオフの処理オーバーヘッドの増加が要されることがある。その上、安全な通信がかかわってくる場合、ある基地/中継局から別の基地/中継局へのハンドオフプロセスにはさらなるオーバーヘッドが要され、通信コネクションの効率、帯域幅または品質が低下することとなり得る。 In some applications, the use of relay stations increases the need for station-to-station (base / relay) handoffs and for each relay station (including mobile relay stations). Due to the limited coverage area, such handoff processing overhead may be required to increase. In addition, when secure communication is involved, the handoff process from one base / relay station to another base / relay station requires additional overhead, reducing the efficiency, bandwidth or quality of the communication connection. obtain.
開示される実施形態は、上述した1つまたはそれ以上の問題を克服をすることに関する。 The disclosed embodiments are directed to overcoming one or more of the problems as set forth above.
1態様において、本開示は、通信ネットワークにおいて基地局、中継局、および移動局間に安全な通信を提供する方法に関する。該方法では、中継局が、基地局から未承諾の(unsolicited)セキュリティーキーを受信し、かつ、中継局が、移動局からシグナリングメッセージを受信する。また該方法では、中継局が、セキュリティキーを用いて移動局を認証をする。 In one aspect, the present disclosure relates to a method for providing secure communication between a base station, a relay station, and a mobile station in a communication network. In the method, the relay station receives an unsolicited security key from the base station, and the relay station receives a signaling message from the mobile station. In this method, the relay station authenticates the mobile station using the security key.
別の態様において、本開示は、通信ネットワークにおいて基地局、中継局、および移動局間に安全な通信を提供する方法に関する。該方法では、中継局が、移動局からシグナリングメッセージを受信し、かつ、中継局が、シグナリングメッセージを受信した後、セキュリティーキー要求を基地局に伝送する。また該方法では、中継局が、先に送ったセキュリティーキー要求に応じた基地局からのセキュリティキーを受信し、かつ、中継局が、受信したセキュリティーキーを用いて移動局を認証する。 In another aspect, the present disclosure relates to a method for providing secure communication between a base station, a relay station, and a mobile station in a communication network. In the method, the relay station receives a signaling message from the mobile station, and the relay station transmits a security key request to the base station after receiving the signaling message. Further, in this method, the relay station receives a security key from the base station corresponding to the security key request sent earlier, and the relay station authenticates the mobile station using the received security key.
別の態様において、本開示は、通信ネットワークにおいてターゲット基地局、移動中継局、および少なくとも1つの移動局間に安全な通信を提供する方法に関する。該方法では、移動中継局が、シグナリングメッセージをターゲット基地局へ伝送し、該シグナリングメッセージは少なくとも1つの移動局に対応するメッセージ認証コード(MAC)を含んでいる。また該方法では、移動中継局が、ターゲット基地局から応答シグナリングメッセージ(responsive signaling message)を受信し、かつ、移動中継局が、ターゲット基地局から、少なくとも1つの移動局に対応する少なくとも1つのセキュリティーキーを受信する。さらに、該方法では、移動中継局が、対応するセキュリティーキーを用いて少なくとも1つの移動局を認証する。 In another aspect, the present disclosure is directed to a method for providing secure communication between a target base station, a mobile relay station, and at least one mobile station in a communication network. In the method, a mobile relay station transmits a signaling message to a target base station, the signaling message including a message authentication code (MAC) corresponding to at least one mobile station. In the method, the mobile relay station receives a responsive signaling message from the target base station, and the mobile relay station receives at least one security corresponding to at least one mobile station from the target base station. Receive key. Furthermore, in this method, the mobile relay station authenticates at least one mobile station using a corresponding security key.
さらに別の態様において、本開示は、通信ネットワークにおいて安全な通信を提供するための中継局に関する。該中継局は、データおよび命令を格納する少なくとも1つの記憶装置と、記憶装置にアクセスするよう構成された少なくとも1つのプロセッサとを含む。少なくとも1つのプロセッサは、命令を実行するときに、移動局から受信したシグナリングメッセージに応じ、基地局から受信した未承諾のセキュリティーキーを用いて移動局を認証するよう構成されている。 In yet another aspect, the present disclosure relates to a relay station for providing secure communication in a communication network. The relay station includes at least one storage device that stores data and instructions and at least one processor configured to access the storage device. At least one processor is configured to authenticate the mobile station using an unsolicited security key received from the base station in response to a signaling message received from the mobile station when executing the instructions.
別の態様において、本開示は、通信ネットワークにおいて安全な通信を提供するための中継局に関する。該中継局は、データおよび命令を格納する少なくとも1つの記憶装置と、記憶装置にアクセスするよう構成された少なくとも1つのプロセッサとを含む。少なくとも1つのプロセッサは、命令を実行するときに、移動局からシグナリングメッセージを受信した後、セキュリティーキー要求を基地局に伝送し、かつ、先に伝送したセキュリティーキー要求に応じた、基地局から受信したセキュリティーキーを用いて、移動局を認証するよう構成されている。 In another aspect, the present disclosure is directed to a relay station for providing secure communication in a communication network. The relay station includes at least one storage device that stores data and instructions and at least one processor configured to access the storage device. When at least one processor executes the instruction, it receives a signaling message from the mobile station, then transmits a security key request to the base station and receives from the base station in response to the previously transmitted security key request. The mobile station is configured to authenticate using the security key.
さらに別の態様において、本開示は、通信ネットワークにおいて安全な通信を提供するための基地局に関する。該基地局は、データおよび命令を格納する少なくとも1つの記憶装置と、記憶装置にアクセスするよう構成された少なくとも1つのプロセッサとを含む。少なくとも1つのプロセッサは、命令を実行するときに、移動局が基地局のカバレッジエリアに入ったという指示(indication)に応じ、認証、許可、およびアカウンティングサーバーから受信した未承諾の認証キー(AK)の中継局への伝送を発生させるように構成されている。 In yet another aspect, the present disclosure relates to a base station for providing secure communication in a communication network. The base station includes at least one storage device that stores data and instructions, and at least one processor configured to access the storage device. When the at least one processor executes the instructions, an unsolicited authentication key (AK) received from the authentication, authorization, and accounting server in response to an indication that the mobile station has entered the coverage area of the base station Is configured to generate a transmission to the relay station.
さらに別の態様において、本開示は、通信ネットワークにおいて安全な通信を提供するための基地局に関する。該基地局は、データおよび命令を格納する少なくとも1つの記憶装置と、記憶装置にアクセスするよう構成された少なくとも1つのプロセッサとを含む。少なくとも1つのプロセッサは、命令を実行するときに、中継局から受信したセキュリティーキー要求に応じ、セキュリティーキーの中継局への伝送を発生させるように構成されている。 In yet another aspect, the present disclosure relates to a base station for providing secure communication in a communication network. The base station includes at least one storage device that stores data and instructions, and at least one processor configured to access the storage device. The at least one processor is configured to generate a transmission of the security key to the relay station in response to the security key request received from the relay station when executing the instructions.
さらに別の態様において、本開示は、安全な通信を提供するシステムに関する。該システムは、通信ネットワークへのアクセスを提供し、ネットワーク上で移動局を認証し、少なくとも1つのセキュリティーキーを受信し、かつ少なくとも1つのセキュリティーキーを事前配布(pre-distribute)するよう構成された基地局を含む。該システムはさらに、基地局と通信して、事前配布された少なくとも1つの未承諾のセキュリティーキーを受信し、かつセキュリティーキーを用いて認証された移動局に安全なデータ伝送を提供する中継局を含む。 セキュリティーキーは認証キー(AK)および検証キーのうちの少なくとも1つを含む。 In yet another aspect, the present disclosure is directed to a system that provides secure communication. The system is configured to provide access to a communication network, authenticate a mobile station on the network, receive at least one security key, and pre-distribute at least one security key Includes base stations. The system further includes a relay station that communicates with the base station to receive the pre-distributed at least one unsolicited security key and to provide secure data transmission to the mobile station authenticated using the security key. Including. The security key includes at least one of an authentication key (AK) and a verification key.
別の態様において、本開示は、安全な通信を提供するシステムに関する。該システムは、通信ネットワークへのアクセスを提供し、ネットワーク上で移動局を認証し、少なくとも1つのセキュリティーキーを受信し、少なくとも1つのセキュリティーキー要求を受信し、かつセキュリティーキー要求に応じて少なくとも1つのセキュリティーキーを伝送するよう構成された基地局を含む。該システムはさらに、基地局と通信して、少なくとも1つのセキュリティーキー要求を基地局へ伝送し、セキュリティーキー要求に応じた基地局からの少なくとも1つのセキュリティーキーを受信し、かつセキュリティーキーを用いて移動局に安全なデータ伝送を提供する中継局を含む。セキュリティーキーは認証キー(AK)および検証キーのうちの少なくとも1つを含む。 In another aspect, the present disclosure is directed to a system that provides secure communication. The system provides access to a communication network, authenticates a mobile station on the network, receives at least one security key, receives at least one security key request, and at least one in response to the security key request. Including a base station configured to transmit one security key. The system further communicates with the base station, transmits at least one security key request to the base station, receives at least one security key from the base station in response to the security key request, and uses the security key. Includes a relay station that provides secure data transmission to the mobile station. The security key includes at least one of an authentication key (AK) and a verification key.
別の態様において、本開示は、通信ネットワークにおいて基地局、中継局、および移動局間に安全な通信を提供する方法に関する。該方法では、中継局からキー要求を受信してからキー配布を実行して、移動局に対応する検証キーを中継局に配布し、かつ中継局がキー検証を実行して移動局を識別する。 In another aspect, the present disclosure relates to a method for providing secure communication between a base station, a relay station, and a mobile station in a communication network. In this method, after receiving a key request from a relay station, key distribution is performed, a verification key corresponding to the mobile station is distributed to the relay station, and the relay station performs key verification to identify the mobile station .
別の態様において、本開示は、通信ネットワークにおいて基地局、中継局、および移動局間に安全な通信を提供する方法に関する。該方法では、キー事前配布を実行して、移動局に対応する未承諾の検証キーを中継局に配布し、かつ、かつ中継局がキー検証を実行して移動局を識別する。 In another aspect, the present disclosure relates to a method for providing secure communication between a base station, a relay station, and a mobile station in a communication network. In this method, key pre-distribution is performed to distribute an unsolicited verification key corresponding to the mobile station to the relay station, and the relay station performs key verification to identify the mobile station.
さらに別の態様において、本開示は、通信ネットワークにおいて基地局、中継局、および移動局間に安全な通信を提供する方法に関する。該方法では、中継局がキー検証を実行して移動局を識別し、かつ、移動局がキー検証を実行して中継局を識別する。 In yet another aspect, the present disclosure relates to a method for providing secure communication between a base station, a relay station, and a mobile station in a communication network. In the method, the relay station performs key verification to identify the mobile station, and the mobile station performs key verification to identify the relay station.
[図面の簡単な説明]
図1は、IEEE 802.16d/802.16e WiMAX無線通信システムに用いられる例示的な従来技術の無線通信システムのブロック図である。
[Brief description of drawings]
FIG. 1 is a block diagram of an exemplary prior art wireless communication system for use in an IEEE 802.16d / 802.16e WiMAX wireless communication system.
図2は、IEEE 802.16dおよび802.16e WiMAX無線通信システムにおける例示的な従来技術の認証および許可のシグナリング図である。 FIG. 2 is an exemplary prior art authentication and authorization signaling diagram in an IEEE 802.16d and 802.16e WiMAX wireless communication system.
図3は、マルチホップ中継アーキテクチャを備えるIEEE 802.16j無線通信システムに用いられる例示的な従来技術の無線通信システムのブロック図である。 FIG. 3 is a block diagram of an exemplary prior art wireless communication system used in an IEEE 802.16j wireless communication system with a multi-hop relay architecture.
図4は、選択された中継局が認証中継の中継局(authenticator relay-relay stations)として機能するIEEE 802.16j無線通信システムに用いられる例示的な無線通信システムのブロック図である。 FIG. 4 is a block diagram of an exemplary wireless communication system used in an IEEE 802.16j wireless communication system in which the selected relay station functions as an authenticator relay-relay station.
図5Aは基地局の例示的な構造を説明するブロック図である。 FIG. 5A is a block diagram illustrating an exemplary structure of a base station.
図5Bは移動局の例示的な構造を説明するブロック図である。 FIG. 5B is a block diagram illustrating an exemplary structure of a mobile station.
図5Cは中継局または移動中継局の例示的な構造を説明するブロック図である。 FIG. 5C is a block diagram illustrating an exemplary structure of a relay station or mobile relay station.
図6は、選択された中継局が認証中継の中継局として機能するIEEE 802.16j無線通信システムにおける例示的な認証および許可のシグナリング図である。 FIG. 6 is an exemplary authentication and authorization signaling diagram in an IEEE 802.16j wireless communication system in which a selected relay station functions as a relay station for authentication relay.
図7は、同じ基地局に接続されている現認証中継の中継局およびターゲット認証中継の中継局間の例示的な移動局ハンドオフのシグナリング図であり、ここでターゲット認証中継の中継局は現在、必要な認証キーを保持していない。 FIG. 7 is a signaling diagram of an exemplary mobile station handoff between a current authentication relay relay station and a target authentication relay relay station connected to the same base station, where the target authentication relay relay station is currently You do not have the required authentication key.
図8は、同じ基地局に接続されている現認証中継の中継局およびターゲット認証中継の中継局間の例示的な移動局ハンドオフのシグナリング図であり、ここでターゲット認証中継の中継局は未承諾のキー事前配布(unsolicited key pre-distribution)により認証キーを受信する。 FIG. 8 is a signaling diagram of an exemplary mobile station handoff between a current authentication relay relay station and a target authentication relay relay station connected to the same base station, where the target authentication relay relay station is unsolicited. An authentication key is received by unsolicited key pre-distribution.
図9は、同じ基地局に接続されている現認証中継の中継局およびターゲット認証中継の中継局間の例示的な移動局ハンドオフのシグナリング図であり、ここでターゲット認証中継の中継局はオンデマンド(on-demand)キー配布により認証キーを受信する。 FIG. 9 is a signaling diagram of an exemplary mobile station handoff between a current authentication relay relay station and a target authentication relay relay station connected to the same base station, where the target authentication relay relay station is on demand. (On-demand) An authentication key is received by key distribution.
図10は、同じ基地局に接続されている現認証中継の中継局およびターゲット認証中継の中継局間の例示的な移動局ハンドオフのシグナリング図であり、ここでターゲット認証中継の中継局は現在、ハンドオフが行われている移動局に対応する認証キーを有している。 FIG. 10 is a signaling diagram of an exemplary mobile station handoff between a current authentication relay relay station and a target authentication relay relay station connected to the same base station, where the target authentication relay relay station is currently It has an authentication key corresponding to the mobile station that is being handed off.
図11は、同じ基地局に接続されている現認証中継の中継局およびターゲット認証中継の中継局間の例示的な移動局ハンドオフのシグナリング図であり、ここでターゲット認証中継の中継局は現在、ハンドオフが行われている移動局に対応する認証キーAKを有している。 FIG. 11 is a signaling diagram of an exemplary mobile station handoff between a current authentication relay relay station and a target authentication relay relay station connected to the same base station, where the target authentication relay relay station is currently It has an authentication key AK corresponding to the mobile station that is handing off.
図12は、同じ基地局に接続されている現認証中継の中継局およびターゲット認証中継の中継局間の例示的な移動局ハンドオフのシグナリング図であり、ここでターゲット認証中継の中継局は現在、ハンドオフが行われている移動局に対応していない認証キーを有している。 FIG. 12 is a signaling diagram of an exemplary mobile station handoff between a current authentication relay relay station and a target authentication relay relay station connected to the same base station, where the target authentication relay relay station is currently It has an authentication key that is not compatible with the mobile station that is handing off.
図13は、同じ基地局に接続されている現認証中継の中継局およびターゲット認証中継の中継局間の例示的な移動局ハンドオフのシグナリング図であり、ここでターゲット認証中継の中継局は現在、ハンドオフが行われている移動局に対応していない認証キーを有している。 FIG. 13 is a signaling diagram of an exemplary mobile station handoff between a current authentication relay relay station and a target authentication relay relay station connected to the same base station, where the target authentication relay relay station is currently It has an authentication key that is not compatible with the mobile station that is handing off.
図14は、異なる基地局に接続されている現認証中継の中継局およびターゲット認証中継の中継局間の例示的な移動局ハンドオフのシグナリング図である。 FIG. 14 is a signaling diagram of an exemplary mobile station handoff between a current authentication relay relay station and a target authentication relay relay station connected to different base stations.
図15は、現基地局およびターゲット基地局間の例示的な移動中継局ハンドオフのシグナリング図である。 FIG. 15 is a signaling diagram of an exemplary mobile relay station handoff between a current base station and a target base station.
図16は、現基地局およびターゲット基地局間の例示的な移動中継局ハンドオフのシグナリング図であり、ここでターゲット基地局は異なるゲートウェイと通信し、かつ移動中継局は認証キーを受信すると共に移動局の認証装置(authenticator)として機能できる。 FIG. 16 is a signaling diagram of an exemplary mobile relay station handoff between the current base station and the target base station, where the target base station communicates with a different gateway and the mobile relay station receives the authentication key and moves It can function as a station authentication device (authenticator).
図17は、現基地局およびターゲット基地局間の例示的な移動中継局ハンドオフのシグナリング図であり、これら基地局は同じゲートウェイに接続されている。 FIG. 17 is a signaling diagram of an exemplary mobile relay station handoff between a current base station and a target base station, which are connected to the same gateway.
図18は、現基地局およびターゲット基地局間の例示的な移動中継局ハンドオフのシグナリング図であり、これら基地局は同じゲートウェイに接続されている。 FIG. 18 is a signaling diagram of an exemplary mobile relay station handoff between a current base station and a target base station, which are connected to the same gateway.
[詳細な説明]
本開示の実施形態は、IEEE 802.16j WiMAX無線通信システムまたは中継局を採用するその他の無線通信ネットワークシステムにおいて、上述のセキュリティーアソシエーションを提供することができる。移動局と安全なコネクションを確立する、および、移動局にネットワークへのアクセスを提供する能力を、中継局(RS)に与えることによって、処理オーバーヘッドを大幅に低減することができる。具体的には、ネットワークへのアクセスを求める移動局に対応したセキュリティー材料(security material)を中継局に与えることによって、中継局は、移動局のハンドオフが行われるときに、移動局と迅速にセキュリティーアソシエーションを確立すると共に、移動局の認証および許可を行うことができるようになる。
[Detailed description]
Embodiments of the present disclosure can provide the above-described security association in an IEEE 802.16j WiMAX wireless communication system or other wireless communication network system employing a relay station. By providing the relay station (RS) with the ability to establish a secure connection with the mobile station and provide the mobile station with access to the network, processing overhead can be significantly reduced. Specifically, by providing the relay station with security material corresponding to the mobile station seeking access to the network, the relay station can quickly secure with the mobile station when the mobile station is handed off. As well as establishing the association, the mobile station can be authenticated and authorized.
図4は、選択された中継局が認証中継の中継局(authenticator relay-relay station, AR−RS)として機能するIEEE 802.16j WiMAX無線通信システムに用いられる例示的な無線通信システムのブロック図である。図4において、基地局400は有線上でネットワーク300に接続され、受信した信号を増強してAR−RS406〜409に中継する1つまたはそれ以上の中継局402および404と無線で通信する。図4に示されるように、AR−RS408は移動中継局である。中継局402および404、ならびにAR−RS406〜409がネットワーク300に対するそれらの初期化において認証された後に、基地局400により、基地局400のカバレッジエリア内における選択された中継局、例えば中継局402および404、ならびにAR−RS406〜409に、中継キー(RK)410が配布される。中継キー(RK)410はデータと信号の保護を提供するのに用いられるもので、IEEE 802.16jネットワークにおける中継局間および/または中継局と基地局との間の通信チャネルのデータおよび/または管理メッセージ(management messages)を保護するために用いることができる。セキュリティーゾーンキーと称される共通の特定のタイプの中継キー410を保持する基地局400、中継局402および404、ならびにAR−RS406〜409によって提供されるネットワークカバレッジエリアは、安全中継ゾーン(SRZ)412と呼ぶことができる。図4では、AR−RS406によりサービスされる単一の移動局414、ならびにAR−RS408によりサービスされる2つの移動局416および418が示されているが、数個の移動局のネットワークの要求は、単一のAR−RSにより満たされ得る。さらに、AR−RS408のみが移動中継局として示されているが、SRZ412内における追加のAR−RSが移動中継局であってもよい。
FIG. 4 is a block diagram of an exemplary wireless communication system used in an IEEE 802.16j WiMAX wireless communication system in which the selected relay station functions as an authenticator relay-relay station (AR-RS). is there. In FIG. 4,
移動局414は、基地局400により初めてサービスされる度に、ネットワーク300とセキュリティーアソシエーションを確立する必要がある。移動局414がSRZ412内で移動している限り、さらなるセキュリティーアソシエーションの確立および認証は省くことができる。しかし、移動局414が異なる基地局によりサービスされるエリアへ移動するとき、移動局414は該異なる基地局へハンドオーバーされるため、その異なる基地局は移動局414と別のセキュリティーアソシエーションを確立し、かつ、該異なる基地局がゲートウェイ106を介して接続されているかによって、ハンドオフ処理の一環として移動局414を認証する必要がある場合がある。かかる再認証および/またはセキュリティーアソシエーションの確立は、移動局414へのサービスの提供を遅らせる。
Each time the
図5aは、例えば基地局400である基地局の例示的な構造を説明するブロック図である。基地局400は、無線通信システムにおいてデータおよび/または伝達される情報(communications)を、1つまたはそれ以上の例えば移動局414である移動局、例えば中継局402および404である中継局、ならびに/または例えばAR−RS406〜409であるAR−RSへ、および、これらから、伝送および/または受信するよう構成された任意のタイプの通信装置であってよい。図5aに示されるように、各基地局400は、下記する構成要素のうちの1つまたはそれ以上を含むものとすることができる。コンピュータプログラム命令を実行することで、各種の処理とメソッドを実行するよう構成された少なくとも1つの中央処理装置(CPU)500と、情報およびコンピュータプログラム命令にアクセスしこれらを格納するよう構成されたランダムアクセスメモリ(RAM)502およびリードオンリーメモリ(ROM)504と、データおよび情報を格納する記憶装置506と、テーブル、リスト、またはその他のデータ構造を格納するデータベース508と、I/O装置510と、インターフェース512と、アンテナ514、などである。これら各構成要素は当該分野において周知であるので、これ以上は論じない。
FIG. 5 a is a block diagram illustrating an exemplary structure of a base station, eg,
図5bは、例えば移動局414である移動局の例示的な構造を説明するブロック図である。図5bに示されるように、各移動局414は、下記する構成要素のうちの1つまたはそれ以上を含むものとすることができる。コンピュータプログラム命令を実行することで、各種の処理とメソッドを実行するよう構成された少なくとも1つのCPU520と、情報およびコンピュータプログラム命令にアクセスしこれらを格納するよう構成されたRAM522およびROM524と、データおよび情報を格納する記憶装置526と、テーブル、リスト、またはその他のデータ構造を格納するデータベース528と、I/O装置530と、インターフェース532と、アンテナ534、などである。これら各構成要素は当該分野において周知であるので、これ以上は論じない。
FIG. 5 b is a block diagram illustrating an exemplary structure of a mobile station, eg,
図5cは、例えばAR−RS/移動中継局406である中継局または移動中継局の例示的な構造を説明するブロック図である。図5cに示されるように、各中継局/移動中継局406は、下記する構成要素のうちの1つまたはそれ以上を含むものとすることができる。コンピュータプログラム命令を実行することで各種の処理とメソッドを実行するよう構成された少なくとも1つのCPU540と、情報およびコンピュータプログラム命令にアクセスしこれらを格納するよう構成されたランダムアクセスメモリRAM542およびリードオンリーメモリROM544と、データおよび情報を格納する記憶装置546と、テーブル、リスト、またはその他のデータ構造を格納するデータベース548と、I/O装置550と、インターフェース552と、アンテナ554、などである。これら各構成要素は当該分野において周知であるので、これ以上は論じない。
I.初期化
FIG. 5 c is a block diagram illustrating an exemplary structure of a relay station or mobile relay station, eg, AR-RS /
I. Initialization
図6は、選択された中継局が認証中継の中継局として機能するIEEE 802.16j WiMAX無線通信システムにおける例示的な認証および許可のシグナリング図である。初期化プロセス600は、ネットワークサービスを要求する移動局が確実にネットワークへのアクセスを許可されるようにすると共に、安全なメッセージ伝送のために移動局、基地局およびAR−RSの間にセキュリティーアソシエーションを提供するのに用いられる。例えばプロセス600は、移動局414がオンとされた直後、またはゲートウェイ108に接続された基地局により提供されるカバレッジエリアからAR−RS406により提供されるカバレッジエリア内へ移動した後に、移動局414と認証を行い、かつセキュリティーアソシエーションを確立するために用いることができる。先ず、IEEE 802.16プロトコルにしたがい、移動局414が例えばレンジング要求(ranging request)602であるシグナリングメッセージをAR−RS406へ送信して、移動局414がAR−RS406の範囲内に在圏していることを示す。次に、同じくIEEE 802.16プロトコルにしたがい、AR−RS406が移動局認証要求604によって基地局400に認証を要求すると共に、レンジング応答(ranging response)606を移動局414に伝送して移動局414の信号範囲(signal range)およびレンジング要求602の受信を確認する。移動局414は先に、あるいは、最近、基地局400およびゲートウェイ106を介してネットワーク300に接続されたことがなかったため、移動局414はAAAサーバー104とIEEE 802.1X完全認証(full authentication)206を実行する。IEEE 802.1X完全認証プロトコル206の結果、ゲートウェイ106は、AAAサーバー104からMSKを受信し、次いで移動局414のMSKからPMK608およびマスターキー、例えばAK610を導出し、格納することとなる。マスターキー、例えばAK610は、他のセキュリティー材料および/またはセキュリティーキーを導出することのできるキーである。続いて、ゲートウェイ106がAK610を基地局400へ安全に転送する。ゲートウェイ106からAK610を受信した後、基地局400は、移動局414と中継局406との間にセキュリティーアソシエーショを確立するために、AK610を直接AR−RS406へ転送することができる。移動局414は単独でMSK、PMK608およびAK610を計算することができる。
FIG. 6 is an exemplary authentication and authorization signaling diagram in an IEEE 802.16j WiMAX wireless communication system in which a selected relay station functions as a relay station for authentication relay. The
1つの例示的実施形態において、 AR−R406が将来の認証プロトコルを実行し、かつ移動局414とセキュリティーアソシエーションを確立できるようにするため、基地局400は、AK610を含むキー応答(key response)614をAR−RS406に伝送する。AR−RS406は先ず、AK610からKEK218および例えばMACK618である検証キーを導出することができる。次に、AR−RS406は、移動局414と、MACK618に保護されたSA−TEKスリーウェイハンドシェイク手続214を局所的に(locally)実行することができる。SA−TEKスリーウェイハンドシェイク手続214が成功裏に完了したとき、AR−RS406は、TEK616として用いる乱数を生成すると共に、KEK218に保護された、例えばTEK616であるトラフィックキーを移動局414へ安全に転送することができる。最終的に、AR−RS406と移動局414は、TEK616を用いてそれらの間のデータ伝送を保護し、かつMACK618を用いて相互に認証を行うことができるようになる。
In one exemplary embodiment,
図6は、選択された中継局がAR−RSとして機能するIEEE 802.16j無線通信システムにおける例示的な認証および許可を説明している。当業者は、図6のAR−RSが例えばAR−RS408である移動中継局であってよいことを理解するであろう。また当業者は、AK610をAR−RS406に送信するかわりに、基地局400は異なるセキュリティー材料を例えばAR−RS406である中継局に送信できることも理解するであろう。例えば、AK610を受信した後、基地局400は、AK610を送信するかわりに、AK610を用いてMACK618を生成し、MACK618を中継局406へ送信することができる。中継局406はMACK618を用いて移動局のアイデンティティー(identity)を認証または検証することができる。移動局414およびAR−RS406は、MACパケットのペイロードまたはデータコンポーネント内のMACをチェックして、互いに認証を行うことができ、これにより相互に識別することができる。
II.基地局内ハンドオフ(Intra-Base Station Handoffs)
FIG. 6 illustrates exemplary authentication and authorization in an IEEE 802.16j wireless communication system in which a selected relay station functions as an AR-RS. One skilled in the art will appreciate that the AR-RS of FIG. 6 may be a mobile relay station, eg, AR-RS408. One skilled in the art will also appreciate that instead of sending
II. Intra-Base Station Handoffs
図7は、同じ基地局に接続された現AR−RSおよびターゲットAR−RS間の例示的な移動局ハンドオフのシグナリング図であり、ここでターゲットAR−RSは現在、必要なAKを保持していない。ハンドオフプロセス700は、ターゲットAR−RSにネットワークサービスを要求する移動局が確実にネットワークへのアクセスを許可されるようにすると共に、移動局とAR−RSとの間にセキュリティーアソシエーションを提供することで安全なメッセージ伝送を可能とするために用いられる。例えば、ハンドオフプロセス700は、図6にて上述したプロセスを通し、AR−RS406によってすでに認証された移動局414を、AR−RS406からAR−RS407へハンドオフするのに用いることができ、ここで、AR−RS407は、移動局414に関連したAK、すなわちAK610を、そのメモリ(例えば記憶装置546、ROM544、RAM542またはデータベース548)に現在有していないが、AR−RS406およびAR−RS407はいずれも基地局400を介してネットワーク300に接続されている。
FIG. 7 is a signaling diagram of an exemplary mobile station handoff between a current AR-RS and a target AR-RS connected to the same base station, where the target AR-RS currently holds the required AK. Absent. The
ハンドオフプロセス700において、移動局414は先ず、例えばレンジング要求602であるシグナリングメッセージをAR−RS407に送信し、移動局414がAR−RS407のカバレッジエリア内に在圏していることを示す。レンジング要求602は、移動局414を、要求している移動局であると識別する、例えば移動局メッセージ認証コード、HMACおよび/またはCMACなどのセキュリティー材料アイデンティフィケーション(security material identification)を含んでいてもよい。あるいは、レンジング要求602は、例えば、AKIDを含んでいてもよい。AKID、MS MAC、HMAC、および/またはCMACの各々は、AR−RS407に移動局414の識別情報を提供し、かつAR−RS407がAK610を保持していない場合に基地局400にAK610を要求するのに用いることができる。例えば、 AKIDが含まれている場合に、AR−RS407がアクティブなAKを保持していれば、AR−RS407は対応する移動局を認証すると決定することができ、またはAR−RS407がアクティブなAKを保持していなければ、基地局400にアクティブなAKを要求することができる。AKIDがレンジング要求602に含まれていない場合は、他のセキュリティー材料アイデンティフィケーションが、移動局414に保持されているAKを検証するのに用いられ得る。AR−RS407は現在そのメモリ(例えば記憶装置546、ROM544、RAM542またはデータベース548)にAK610を有していないため、 AR−RS407はキー要求704を基地局400に伝送する。キー要求704は、移動局414に対応するMAC/HMAC/CMACを含む。AR−RS407はレンジング応答606を移動局414に伝送して、移動局414の存在とレンジング要求602の受信を確認する。
In the
キー要求704を受信すると、基地局400は移動局414のクレデンシャル(credentials)を検証する。基地局400はそのメモリ(例えば、記憶装置506、ROM504、RAM502またはデータベース508)からAK610を取り出し、かつ、移動局414がAR−RS406に接続されていたときにゲートウェイ106はすでに移動局414とIEEE 802.1X完全認証206を行ってAK610を得ているため、基地局400および移動局414が再度このプロセスを行う必要はない。よって、基地局400はAK610を含むキー応答612をAR−RS407に伝送し、これによりAR−RS407に、移動局414とさらなる認証および安全な通信を行う権限が与えられる。
Upon receiving the
レンジング応答606を受信すると、移動局414は、 拡張認証プロトコル(EAP)を用いて認証を開始し、IEEE 802.1X完全認証206を始めようと試みることができる。AR−RS407がそのような要求、例えばIEEE 802.16dをサポートするプライバシーキー管理拡張認証プロトコル(privacy key management extended authentication protocol, PKM−EAP)、またはIEEE 802.16eをサポートするPKMv2−EAP開始要求708を受信した場合、AR−RS407は、IEEE 802.1X完全認証206を実際に行うことなくIEEE 802.1X完全認証206が成功したことを移動局414に示す、移動局414に対するPKMv2−EAP完了メッセージ710を伝送することができる。
Upon receipt of the ranging
AR−RS407は、AK610を有した後、移動局414とSA−TEKスリーウェイハンドシェイク214および/またはTEKスリーウェイハンドシェイク216を行い、移動局414との安全なコネクションを確立することができる。TEKスリーウェイハンドシェイク216において、AR−RS407は、AR−RS407により生成されかつKEK218を用いて暗号化された、例えばTEK712である新たなトラフィックキーを移動局414に伝送することができる。その結果、AR−RS407および移動局414は安全な通信チャネル上で通信できるようになる。
After having the
図8は、同じ基地局に接続されている現AR−RSおよびターゲットAR−RS間の例示的な移動局ハンドオフのシグナリング図であり、ここでターゲットAR−RSは未承諾のキー事前配布(unsolicited key pre-distribution)によりAKを受信する。図8に示されるように、基地局400は、移動局414がAR−RS407のカバレッジエリアに入ろうとしている、または最近入ったという指示(indication)を受信する。基地局400は、追加のシグナリングメッセージまたは例えば全地球測位システム(GPS)などの予測技術(prediction technique)を用い、BS−BSまたはBS−ゲートウェイ通信によって、別の基地局またはゲートウェイ106からこの指示を受信することができる。移動局414は、移動局414がAR−RS406と接続していたときに、すでにIEEE 802.1X完全認証206を行ってAK610を得ているため、基地局400および移動局414が再度このプロセスを行う必要はない。よって、基地局400はAR−RS407へ、AK610を、また任意でTEK616を含む未承諾のキー事前配布信号802を伝送し、これにより、AR−RS407に、移動局414と認証および安全な通信を行う権限が与えられる。これは、移動局414がシグナリングメッセージを送信するおよびAR−RS407がキー要求を伝送する前に、またはその代わりに、行われてもよい。そして、移動局414がレンジング要求602を送信するとき、AR−RS407は、すでにAK610を保持しており、MACチェック804のみを実行して移動局414に保持されたキーを検証し、これにより移動局414のアイデンティティー(identity)を検証すればよい。次いで、 AR−RS407はHMACまたはCMACを含むレンジング応答806を送信することができる。
FIG. 8 is a signaling diagram of an exemplary mobile station handoff between a current AR-RS and a target AR-RS connected to the same base station, where the target AR-RS is an unsolicited key pre-distribution (unsolicited AK is received by key pre-distribution). As shown in FIG. 8, the
図8に示されるような例示的な実施形態において、現AR−RSおよびターゲットAR−RS間のハンドオフは、IEEE 802.1X完全認証のみならず、SA−TEKスリーウェイハンドシェイク214およびTEKスリーウェイハンドシェイク216をも省くことで、効率が高まった。SA−TEKスリーウェイハンドシェイク214およびTEKスリーウェイハンドシェイク216は、すでに認証された移動局については、これらすでに認証された移動局のTEKをAR−RSに提供することによって、省略することができる。具体的には、1実施形態において、ターゲットAR−RSは、移動局414との伝送のためすでにTEKを生成していた現AR−RSからTEKを受信することができ、別の実施形態においては、ターゲットAR−RSは、移動局との直接の伝送を通してすでにTEKを生成していた、または、前のAR−RSからTEKを受信していた基地局から、TEKを受信することができる。よって、図8に示されるように、基地局400は、未承諾のキー事前配布802の一環として、または、別個の伝送によって、TEK616をAR−RS407に送信することができる。あるいは、AR−RS407は、AR−RS406からTEK616を受信することができる。AR−RS407がTEK616を保持しているときは、SA−TEKスリーウェイハンドシェイク214およびTEKスリーウェイハンドシェイク216を省略することができ、これによりAR−RS407からのハンドオフの効率を高めることができる。AR−RS407が、AR−RS406、基地局400から、または、新たなTEKを自身で生成することにより、SA−TEKスリーウェイハンドシェイク214およびTEKスリーウェイハンドシェイク216を通してTEKを得ると、AR−RSは、TEKを用いてデータが暗号化された安全な通信を移動局414と行うことができるようになる。
In the exemplary embodiment as shown in FIG. 8, handoff between the current AR-RS and the target AR-RS is not only IEEE 802.1X full authentication, but also SA-TEK three-
図9は、同じ基地局に接続されている現AR−RSおよびターゲットAR−RS間の例示的な移動局ハンドオフのシグナリング図であり、ここでターゲットAR−RSはオンデマンドキー配布(on-demand key distribution)によりAKを受信する。図9に示されるように、移動局414は、例えばレンジング要求602であるシグナリングメッセージをAR−RS407へ伝送し、基地局400は、キー要求704を受信すると、移動局414のクレデンシャルを検証する。移動局414はすでにIEEE 802.1X完全認証206を行ってAK610を得ているため、基地局400および移動局414が再度このプロセスを行う必要はない。よって、基地局400は、AK610を、また任意でTEK616を含むキー応答612をAR−RS407に伝送し、これによりAR−RS407に、移動局414と認証および安全な通信を行う権限が与えられる。次いで、AR−RS407は、MACチェック804のみを実行して移動局414に保持されたキーを検証し、これにより移動局414のアイデンティティー(identity)を検証すればよい。続いて、AR−RS407はHMACまたはCMACを含むレンジング応答806を移動局414に送信することができる。
FIG. 9 is a signaling diagram of an exemplary mobile station handoff between a current AR-RS and a target AR-RS connected to the same base station, where the target AR-RS is an on-demand key distribution (on-demand key distribution). AK is received by key distribution). As shown in FIG. 9, the
図8に関して上述したように、AR−RS407が基地局400からTEK616を受信する、あるいはその代わりにAR−RS406からTEK616を受信する場合、AR−RS407はSA−TEKスリーウェイハンドシェイク214およびTEKスリーウェイハンドシェイク216を省略することができ、これによりAR−RS407からのハンドオフの効率を高めることができる。
As described above with respect to FIG. 8, if AR-
図10は、同じ基地局に接続されている現AR−RSおよびターゲットAR−RS間の例示的な移動局ハンドオフのシグナリング図であり、ここでターゲットAR−RSは現在、ハンドオフが行われている移動局に対応するAKを有している。例えば、移動局414が、図6について説明したようにAR−RS406と認証を行い、AR−RS406のカバレッジエリアを離れ、AR−RS407のカバレッジエリアに入ってから、AR−RS406のカバレッジエリアに戻る場合、AR−RS406はそのメモリ(例えば記憶装置546、ROM544、RAM542またはデータベース548)にAK610を保持したままでいてもよい。よって、移動局414が、AK610に対応した認証キーアイデンティフィケーション(authentication key identification, AKID)を含む、例えばレンジング要求1002であるシグナリングメッセージを送信するとき、AR−RS406はAKID検証要求(Verify request)1004を基地局400に送信して移動局414の位置を確認する。
FIG. 10 is a signaling diagram of an exemplary mobile station handoff between a current AR-RS and a target AR-RS connected to the same base station, where the target AR-RS is currently undergoing handoff. AK corresponding to the mobile station. For example, the
AKID検証要求1004を受信すると、基地局400は移動局414の位置を確認する。移動局414はすでにIEEE 802.1X完全認証206を行ってAK610を得ているため、基地局400および移動局414が再度このプロセスを行う必要はない。よって、基地局400は、AR−RS406がAK610を保持している場合に、AK610を含むキー応答1006をAR−RS407に伝送し、これによりAR−RS407に移動局414と認証を行い、かつセキュリティーアソシエーションを確立する権限が与えられる。AR−RS406がAK610を保持していない場合またはAR−RS406が正確なAK610を保持していることを確認する必要がある場合は、基地局400からキー応答1006を受信した後に、AR−RS406はRNG応答606を送信することができる。
When receiving the
レンジング応答1008を受信すると、移動局414は、図7に関して上述したように、拡張許可プロトコルを開始してIEEE 802.1X完全認証を始めようと試みることができる。上述したように、AR−RS407はすでにAK610を有しているため、AR−RS407は、IEEE 802.1X認証のための処理を実際に行うことなく、拡張許可プロトコル完了メッセージを移動局414に伝送することができる。
Upon receipt of the ranging
AR−RS407は、AK610を有しているとき、データ伝送に備えて、移動局414とSA−TEKスリーウェイハンドシェイク214およびTEKスリーウェイハンドシェイク216の一方または両方を実行することができる。図10に示されるように、移動局414が認証された後に、AR−RS407は新たなTEK1010を生成して、AR−RS407と移動局414との間で伝送されるデータを暗号化することができる。上述したように、AR−RS406がすでにTEK616を有している場合、AR−RS406はSA−TEKスリーウェイハンドシェイク214およびTEKスリーウェイハンドシェイク216を省略することができ、これによりAR−RS407からのハンドオフの効率を高めると共に、AR−RS406と移動局414との間にセキュアアソシエーションを確立することができる。
When the AR-
図11は、同じ基地局に接続されている現AR−RSおよびターゲットAR−RS間の例示的な移動局ハンドオフのシグナリング図であり、ここでターゲットAR−RSは現在、ハンドオフが行われている移動局に対応するAKを有している。かかる効率が高められたハンドオフにおいて、移動局414がレンジング要求602を送信するとき、AR−RS406はAK610をすでに保持しており、MACチェック804のみを実行して移動局414に保持されているキーを検証し、これにより移動局414のアイデンティティー(identity)を検証すればよい。次いで、AR−RS406はHMACまたはCMACを含むレンジング応答806を送信することができる。
FIG. 11 is a signaling diagram of an exemplary mobile station handoff between a current AR-RS and a target AR-RS connected to the same base station, where the target AR-RS is currently undergoing handoff. AK corresponding to the mobile station. In such an increased efficiency handoff, when the
図12は、同じ基地局に接続されている現AR−RSおよびターゲットAR−RS間の例示的な移動局ハンドオフのシグナリング図であり、ここでターゲットAR−RSは現在、ハンドオフが行われている移動局に対応していないAKを有している。例えば、AR−RS408がそのメモリ(例えば記憶装置546、ROM544、RAM542またはデータベース548)に、移動局414に対応するAK610ではなく、移動局414以外の移動局に対応するAK1202を保持している場合、移動局414はAR−RS408のカバレッジエリアに入ることができる。よって、AR−RS408がAKID検証要求1004を基地局400へ送信して移動局414の位置を確認すると、基地局400は、移動局414に対応する正しいAK、すなわちAK610で応答する。
FIG. 12 is a signaling diagram of an exemplary mobile station handoff between a current AR-RS and a target AR-RS connected to the same base station, where the target AR-RS is currently undergoing handoff. Has an AK that does not support mobile stations. For example, when the AR-
レンジング応答1008を受信すると、移動局414は図7に関して上述したように、拡張許可プロトコルを開始してIEEE 802.1X完全認証を始めようと試みることができる。上述したように、AR−RS408は今AK610を有しているので、AR−RS408は、IEEE 802.1X認証のための処理を実際に行うことなく、拡張許可プロトコル完了メッセージを移動局414に伝送することができる。
Upon receipt of the ranging
AR−RS408は、AK610有しているとき、データ伝送に備えて、移動局414とSA−TEKスリーウェイハンドシェイク214およびTEKスリーウェイハンドシェイク216の一方または両方を実行することができる。図12に示されるように、AR−RS408は、移動局414が認証された後に、例えばTEK1204である新たなトラフィックキーを生成して、AR−RS408と移動局414との間で伝送されるデータを暗号化することができる。
When the AR-
図13は、同じ基地局に接続されている現AR−RSおよびターゲットAR−RS間の例示的な移動局ハンドオフのシグナリング図であり、ここでターゲットAR−RSは現在、ハンドオフが行われている移動局に対応していないAKを有している。移動局414が例えばレンジング要求602であるシグナリングメッセージを送信するときにAR−RS408がAK1202を保持しており、かつ、AR−RS408がMACチェック804を実行して移動局414に保持されたキーを検証することにより移動局414のアイデンティティー(identity)を検証するとき、そのMACチェックは失敗である。AR−RS408がAKID検証要求1004を基地局400に送信して移動局414の位置を確認すると、基地局400は正しいAK、すなわちAK610で応答する。その結果、AR−RS408は、HMACまたはCMACを含むレンジング応答806を送信することができる。AR−RS408がすでにTEK616を有している場合は、AR−RS408はSA−TEKスリーウェイハンドシェイク214およびTEKスリーウェイハンドシェイク216を省略することができる。
FIG. 13 is a signaling diagram of an exemplary mobile station handoff between a current AR-RS and a target AR-RS connected to the same base station, where the target AR-RS is currently undergoing handoff. Has an AK that does not support mobile stations. When the
図7〜13は、同じ基地局に接続されている現AR−RSおよびターゲットAR−RS間の例示的な移動局ハンドオフを説明するものである。図12および13に関して上述したシナリオは、中継局、つまり、AR−RS408に関連して記載されているが、当業者は、図12および13における現AR−RSまたはターゲットAR−RSが固定中継局であってもよいことを理解するであろう。また、当業者は、図7〜11に関して上に説明した各シナリオにおける現AR−RSまたはターゲットAR−RSが、例えばAR−RS408のような移動中継局であってよいことも理解するであろう。
7-13 illustrate an exemplary mobile station handoff between a current AR-RS and a target AR-RS connected to the same base station. Although the scenario described above with respect to FIGS. 12 and 13 has been described in connection with a relay station, ie, AR-
また、当業者は、図7〜13に関して上に説明した各シナリオにおいて、AK610をAR−RS406〜409に送信する代わりに、基地局400は異なるセキュリティー材料を中継局に送信してもよいということを理解するであろう。 例として、基地局400は、AK610を用いて例えばMACK618のような検証キー、および例えばTEK616のようなトラフィックキーを生成し、AK610を送信する代わりに、該検証キーおよびトラフィックキーを中継局407に事前配布することができる。
Also, those skilled in the art will note that, in each scenario described above with respect to FIGS. 7-13, instead of transmitting
同様に、キー要求704を受信すると、基地局400はAK610を用いて例えばMACK618のような検証キーを生成し、MACチェック804での使用のために、キー応答612において該MACKをAR−RS407へ送信することができる。さらに、AR−RS406が移動局414に対応するMACK618をそのメモリ(例えば、記憶装置546、ROM544、RAM542またはデータベース548)にすでに有している場合、例えばレンジング要求602のようなシグナリングメッセージを受信すると、AR−RS406はMACチェック804を実行することができ、中継局406が誤ったMACK1206をそのメモリに有している場合は、例えばレンジング要求602のようなシグナリングメッセージを受信すると、AR−RS408はAKID検証信号1004を伝送すると共に、基地局400からのキートランスファー(key transfer)1008においてMACK618を受信することができる。
Similarly, upon receiving
AR−RS406〜409は、MACK618を用いて認証を行う、またはMACチェック804の一環として移動局のアイデンティティー(identity)を検証することができる。移動局414およびAR−RS405〜409は、MACパケットのペイロードまたはデータコンポーネント内のMACをチェックして相互に認証を行う、あるいは、換言すると、相互に識別することができる。
III.基地局間ハンドオフ(Inter-Base Station Handoffs)
The AR-RSs 406-409 can authenticate using the
III. Inter-Base Station Handoffs
図14は、異なる基地局に接続されている現AR−RSおよびターゲットAR−RS間の例示的な移動局ハンドオフのシグナリング図である。初期化プロセス1400は、ネットワークサービスを要求する移動局が確実にネットワーク300へのアクセスを許可されるようにすると共に、移動局とAR−RSとの間にセキュリティーアソシエーションを提供することで安全なメッセージ伝送を可能とするために用いられる。例えば、プロセス1400は、移動局414が、AR−RS408から、ターゲットAR−RS1404により中継されるターゲット基地局1402に提供されるカバレッジエリア内へ移った直後、移動局414を認証および許可するのに用いられ得るものである。AK610は現在、移動局414に格納されており、一方、ターゲット基地局1402およびターゲットAR−RS1404はそれらの記憶装置にそれぞれAK1406が格納されている。図14に示されるように、ターゲット基地局1402は、移動局414をハンドオフしてくるAR−RS408と同じゲートウェイに接続されているが、ターゲット基地局1402がAR−RS408とは異なるゲートウェイに接続されていても、初期化プロセス1400が変わることはない。
FIG. 14 is a signaling diagram of an exemplary mobile station handoff between a current AR-RS and a target AR-RS connected to different base stations. The
移動局414は、認証キーアイデンティフィケーションを含む例えばレンジング要求1002であるシグナリングメッセージをターゲットAR−RS1404に送信して、移動局414がターゲットAR−RS1404の範囲内に在圏していることを示す。ターゲットAR−RS1404は、認証キーアイデンティフィケーションを含む移動局認証要求1407をターゲット基地局1402に伝送する。ターゲット基地局1402は移動局認証要求1407を受信するが、ターゲット基地局1402はAK610を認識しないため、移動局414を検証することができない。よって、ターゲット基地局1402は認証失敗応答1408をターゲットAR−RS1404に伝送することができ、これによりレンジング応答1409が移動局414に伝送されるようになる。次いで、ターゲット基地局1402は移動局414に、IEEE 802.1X完全認証プロトコル206を用いてAAAサーバー104と認証を行うことを要求することができる。IEEE 802.1X完全認証プロトコル206の結果として、ゲートウェイ106はPMK1410を移動局414に配布する。ゲートウェイ106はまた、AKトランスファー612により、AK1412をターゲット基地局1402に伝送する。移動局414は単独でPMK1410からAK1412を計算する。
The
1つの例示的な実施形態では、ターゲットAR−RS1404がさらなる認証ステップを実行することで、移動局414とのネットワークコネクションにさらなるセキュリティーを提供できるようにするため、 基地局400は、AK1412を含むキー応答614をターゲットAR−RS1404に伝送する。ターゲットAR−RS1404は、AK1412を有しているとき、移動局414とSA−TEKスリーウェイハンドシェイク214およびTEKスリーウェイハンドシェイク216の一方または両方を行って、移動局414とのネットワークコネクションにさらなるセキュリティーを提供することができる。TEKスリーウェイハンドシェイク216において、AR−RS1404は、KEK1416を用いて暗号化された例えばTEK1414であるトラフィックキーを移動局414に伝送する。TEK1414はターゲットAR−RS1404によって無作為に生成されるものであってよい。
In one exemplary embodiment, to allow the target AR-
図14は、異なる基地局に接続されている現AR−RSおよびターゲットAR−RS間の例示的な移動局ハンドオフを説明するものである。当業者は、現AR−RSまたはターゲットAR−RSが、例えばAR−RS408のような移動中継局であってもよいことを理解するであろう。
FIG. 14 illustrates an exemplary mobile station handoff between a current AR-RS and a target AR-RS connected to different base stations. One skilled in the art will appreciate that the current AR-RS or target AR-RS may be a mobile relay station, such as AR-
当業者はまた、図14に関して上に説明したシナリオにおいて、AK610をAR−RS406〜409に送信する代わりに、基地局400が異なるセキュリティー材料を中継局406〜409に送信してもよいことを理解するであろう。例として、AK1412を受信すると、基地局1402はAK610を用いて検証キー、例えばMACK618を生成することができると共に、AK1412を送信する代わりに、該検証キーをAR−RS1404へ送信することができる。
IV.移動中継局ハンドオフ
Those skilled in the art also understand that, in the scenario described above with respect to FIG. 14, instead of transmitting
IV. Mobile relay station handoff
初期化およびハンドオフに関して上述したプロセスは移動中継局にも同じように適用されるが、移動中継局および移動中継局の範囲内からネットワークにアクセスする移動局は、基地局が変わることに対する準備もしなければならず、ここでAR−RS(具体的には移動中継局)は変わらない。 The process described above for initialization and handoff applies equally to mobile relay stations, but mobile stations that access the network from within the mobile relay stations and mobile relay stations must also be prepared for changing base stations. Here, AR-RS (specifically, mobile relay station) does not change.
図15は、現基地局およびターゲット基地局間の例示的な移動中継局ハンドオフのシグナリング図である。図15において、AR−RS408がターゲット基地局1502のカバレッジエリアに入った、または入ろうとしているときに、移動中継局AR−RS408はターゲット基地局1502と接続することができる。移動局416および418はAR−RS408に接続され、好ましくは、これらのAR−RS408とのコネクションがターゲット基地局1502への移行の間中維持されているとよい。移動局416および418のAKを更新するため、AR−RS408は、AR−RS408がターゲット基地局1502のカバレッジエリアに在圏するまたは近づいていることを基地局1502に示す、ターゲット基地局1502に対するレンジングメッセージ1504を発することができる。レンジングメッセージ1504の受信後、AR−RS408は、ゲートウェイ106およびAAAサーバー104と、IEEE 802.1X認証206、SA−TEKスリーウェイハンドシェイク214、およびTEKスリーウェイハンドシェイク216のうちの1つまたはいくつかを行う。よって、AR−RS408はAKを受信し、かつ移動局の認証と同じ方法で認証されなければならない。ゲートウェイ106は、AKトランスファー1506において、移動中継局のAKを転送することができる。
FIG. 15 is a signaling diagram of an exemplary mobile relay station handoff between a current base station and a target base station. In FIG. 15, the mobile relay station AR-
AR−RS408は再認証トリガメッセージ1508を移動局416および418に伝送する。再認証トリガメッセージ1508を受信すると、移動局416および418は、ゲートウェイ106およびAAAサーバ104とIEEE 802.1X完全認証206を実行する。ゲートウェイ106は、 ターゲット基地局1502のために、ゲートウェイ中に既存のPMKから得た新たなAKを計算することができる。ゲートウェイ106は、AKトランスファー1510において、AR−RS408に接続された移動局のAK全てを転送し、また、AR−RS408に接続する全移動局のパラメータ(例えばAK)の全てが一度に伝送されるトンネルモード(tunnel mode)でそうすることも可能である。トンネルモードでは、2つのノード、例えばAR−RS408とゲートウェイ106との間の論理コネクションは専用(dedicated)であり、中間ノード(例えばターゲット基地局1502)はトンネルパケットを処理せずに、それらを転送するだけである。そして、移動局416および418はターゲット基地局1502とSA−TEKスリーウェイハンドシェイク214を行う。ターゲット基地局1502は、TEKトランスファー1512において、移動局それぞれのトラフィックキーおよびAKをAR−RS408に提供することとなり、また、トンネルモードを用いてそうすることもできる。1実施形態では、移動局416および418へのサービスの切断を避けるため、基地局間ハンドオフに先立って、AKが基地局1502ならびに移動局416および418で受信される。
The AR-
当業者は、図15はゲートウェイ106を介してネットワークおよびAAAサーバー104と通信するターゲット基地局1502を示しているが、ターゲット基地局1502は、図15で説明したのと同じ処理により、ゲートウェイ108または別のゲートウェイを介してネットワークおよびAAAサーバー104と通信することもできる、ということを理解するであろう。
Those skilled in the art will appreciate that FIG. 15 shows a target base station 1502 that communicates with the network and
図16は、現基地局およびターゲット基地局間の例示的な移動中継局ハンドオフのシグナリング図であり、ここでターゲット基地局1600は異なるゲートウェイ、すなわちゲートウェイ1602と通信し、かつAR−RS408はAKを受信できると共に移動局416および418の認証装置(authenticator)として機能することができる。移動局416および418のAKを更新するため、AR−RS408は、AR−RS408がターゲット基地局1600のカバレッジエリアに在圏するまたは近づいていることを基地局1600に示す、ターゲット基地局1600に対するレンジングメッセージ1504を発することができる。AR−RS408がゲートウェイ1602と802.1X認証206を行った後、ゲートウェイ1602は、AKトランスファー1606において、移動中継局のAKを転送する。AR−RS408はSA−TEK−スリーウェイハンドシェイク214を行って、例えばトンネルパケットのさらなるデータ伝送のためのトラフィックキーを獲得する、または移動局のメッセージを中継することもできる。
FIG. 16 is a signaling diagram of an exemplary mobile relay station handoff between the current base station and the target base station, where the
AR−RS408は、再認証トリガメッセージ1508を移動局416および418に伝送する。再認証トリガメッセージ1508を受信すると、移動局416および418はゲートウェイ1602およびAAAサーバー104と802.1X認証を実行する。ゲートウェイ1602は移動局416および418それぞれの新たなAKを計算し、AR−RS408に接続されたそれら移動局のAK全てを、AKトランスファー1608においてAR−RS408に転送する。1実施形態では、AR−RS408はAR−RSとして動作し、移動局を直接認証する能力を備える。 ゲートウェイ1602はトンネルモードで移動局416および418に対応するAKを伝送することができる。そして、移動局416および418はAR−RS408とSA−TEKスリーウェイハンドシェイク214を行う。AR−RS408は、SA-TEKスリーウェイトランスファーを利用して、移動局それぞれのためのトラフィックキーを移動局416および418に提供することとなる。あるいは、AR−RS408は、別のAR−RSまたはターゲット基地局1600からトラフィックキーを受信する場合は、任意で、移動局416および418のための新たなトラフィックキーを生成しないようにすることができる。
The AR-
図17は、現基地局およびターゲット基地局間の例示的な移動中継局ハンドオフのシグナリング図であり、これら基地局は同じゲートウェイに接続されている。図17において、AR−RS408は、基地局1502(図15)のカバレッジエリアからターゲット基地局1702のカバレッジエリア内に入ったまたは入ろうとしている。 ターゲット基地局1702は現基地局1502と同じゲートウェイ106にサービスされる。AR−RS408は、AR−RS408がターゲット基地局1702のカバレッジエリアに在圏しているまたは近づいていることを基地局1702に示す、ターゲット基地局1702に対するレンジングメッセージ1504を発する。AR−RS408はゲートウェイ106と認証を行い、例えばSA−TEKスリーウェイハンドシェイク214である認証プロトコルを実行しなければならない。AR−RS408が認証された後、ゲートウェイ106は、AKトランスファー1706において、移動局416および418のAKをAR−RS408に伝送する。多数のAKがゲートウェイ106からAR−RS408へ送信されるとき、ゲートウェイ106は、それらAKをAKトランスファー1706においてトンネルモードで伝送することができる。AR−RS408は再認証トリガメッセージ1508を移動局416および418に伝送する。再認証トリガメッセージ1508を受信すると、移動局416および418はAR−RS408とSA−TEKスリーウェイハンドシェイク214を実行して、それら各々のAKを更新し、また、それら各々のトラフィックキーも更新して、あるいは更新せずに、そうすることもできる。1実施形態では、移動局416および418へのサービスの切断を避けるため、基地局間ハンドオフに先立って、AKがAR−RS408で受信される。
FIG. 17 is a signaling diagram of an exemplary mobile relay station handoff between a current base station and a target base station, which are connected to the same gateway. In FIG. 17, AR-
図18は、現基地局およびターゲット基地局間の例示的な移動中継局ハンドオフのシグナリング図であり、これら基地局は同じゲートウェイに接続されている。図18において、AR−RS408は、基地局1502のカバレッジエリアからターゲット基地局1702のカバレッジエリア内に入ったまたは入ろうとしている。AR−RS408は、AR−RS408がターゲット基地局1702のカバレッジエリアに在圏しているまたは近づいていることを基地局1702に示す、ターゲット基地局1702に対するレンジングメッセージ1504を発する。レンジングメッセージ1504を受信すると、ターゲット基地局1702は、移動局416および418それぞれのAKをAR−RS408に伝送する。これは、ゲートウェイ106の範囲内における基地局1502とのそれらの先の認証のために、移動局416および418のAKに基地局1702がアクセスしていることから、可能なのである。多数のAKがターゲット基地局1702からAR−RS408へ送信されるとき、ターゲット基地局1702は、それらAKをAKトランスファー1802においてトンネルモードで伝送することができる。AR−RS408は再認証トリガメッセージ1508を移動局416および418に伝送する。再認証トリガメッセージ1508を受信すると、移動局416および418はAR−RS408とSA−TEKスリーウェイハンドシェイク214を実行してそれら各々のAKを更新し、また、それら各々のトラフィックキーも更新して、または更新しないでそうすることもできる。1実施形態では、移動局416および418へのサービスの切断を避けるため、基地局間ハンドオフに先立って、AKがAR−RS408で受信される。
FIG. 18 is a signaling diagram of an exemplary mobile relay station handoff between a current base station and a target base station, which are connected to the same gateway. In FIG. 18, AR-
当業者は、図15〜18に関して上に説明した各シナリオにおいて、ターゲット基地局1502にAKを送信する代わりに、ゲートウェイ106が異なるセキュリティー材料、例えばAR−RS408に対応する検証キーなどを送信してもよいことを理解するであろう。同様に、AR−RS408に移動局416および418のAKを送信する代わりに、ターゲット基地局1502が異なるセキュリティー材料、例えば移動局416および418に対応する検証キーなどを送信してもよい。
VI.結論
In each scenario described above with respect to FIGS. 15-18, one of ordinary skill in the art may send a different security material, such as a verification key corresponding to AR-
VI. Conclusion
ここに開示したシステムおよび方法は、デジタル電子回路、またはコンピュータハードウェア、ファームウェア、ソフトウェア、またはそれらの組み合わせによって実施することができる。本発明を具現化する装置は、プログラマブルプロセッサプロセッサが実行するよう機械可読な(machine-readable)ストレージデバイスにおいて明確に具体化されたコンピュータプログラム製品によって実施することができる。本発明に合致する方法のステップは、入力データに基づいて動作することにより、および出力データを生成することにより、本発明の機能を実行するための命令のプログラムを実行するプログラマブルプロセッサによって実行され得る。本発明に合致する実施形態は、ストレージシステムからデータを受信し、かつストレージシステムへデータを伝送するよう接続された少なくとも1つのプログラマブルプロセッサと、少なくとも1つの入力装置と、少なくとも1つの出力装置と、をそれぞれ含むプログラマブルシステムにおいて実行可能な1または数個のコンピュータプログラムにより実施することができる。コンピュータプログラムは、高水準もしくはオブジェクト指向プログラミング言語により、および/または、アセンブリもしくはマシンコードにより実施することができる。これら言語またはコードは、コンパイルまたはインタプリタされた言語またはコードであってよい。プロセッサには汎用および専用マイクロプロセッサが含まれ得る。プロセッサはメモリからの命令およびデータを受信する。コンピュータプログラム命令およびデータを明確に具体化するのに適したストレージデバイスには、例として、EPROM、EEPROM、およびフラッシュメモリデバイスのような半導体記憶装置、内臓ハードディスクおよびリムーバブルディスクのような磁気ディスク、磁気光学ディスク、ならびにCD−ROMディスク、などのあらゆる形式の不揮発性メモリが含まれる。前記のいずれもが、ASIC(特定用途向け集積回路)に補完される、または組み込まれ得る。 The systems and methods disclosed herein may be implemented by digital electronic circuitry, or computer hardware, firmware, software, or combinations thereof. An apparatus embodying the invention can be implemented by a computer program product that is clearly embodied in a machine-readable storage device for execution by a programmable processor processor. Method steps consistent with the present invention may be performed by a programmable processor that executes a program of instructions to perform the functions of the present invention by operating on input data and generating output data. . An embodiment consistent with the present invention includes at least one programmable processor connected to receive data from and transmit data to a storage system, at least one input device, and at least one output device; Can be implemented by one or several computer programs that can be executed in a programmable system. The computer program can be implemented by a high level or object oriented programming language and / or by assembly or machine code. These languages or codes may be compiled or interpreted languages or codes. Processors can include general purpose and special purpose microprocessors. The processor receives instructions and data from the memory. Storage devices suitable for unequivocally embodying computer program instructions and data include, by way of example, semiconductor storage devices such as EPROM, EEPROM, and flash memory devices, magnetic disks such as internal hard disks and removable disks, magnetic All types of non-volatile memory are included, such as optical discs, as well as CD-ROM discs. Any of the foregoing may be supplemented or incorporated into an ASIC (Application Specific Integrated Circuit).
無線通信システムにおいてセキュリティーアソシエーションを確立するシステムおよび方法に、各種の修飾や変更が施され得ることは、当業者には明らかであろう。例えば、当業者は、レンジング要求および応答がシグナリングメッセージの一種であること、ならびにその他のシグナリングメッセージも使用可能であることを理解するであろう。さらに、当業者は、トラフィック暗号化キーがトラフィックキーの一種であることおよびその他のトラフィックキーも使用可能であること、ならびにMACKが検証キーの一種であることおよびその他の検証キーも使用可能であることを理解するであろう。当業者はまた、基地局と中継局との間の通信が無線または有線であってよいことも理解するであろう。上記の基準および実施例は例としてのみ見なされることが意図されており、開示された実施形態の真の範囲は下記の特許請求の範囲およびそれらに均等物により示される。 It will be apparent to those skilled in the art that various modifications and variations can be made in the system and method for establishing a security association in a wireless communication system. For example, those skilled in the art will understand that ranging requests and responses are a type of signaling message, and that other signaling messages can be used. Further, those skilled in the art can use a traffic encryption key as a type of traffic key and other traffic keys, and can also use a MACK as a type of verification key and other verification keys. You will understand that. Those skilled in the art will also understand that the communication between the base station and the relay station may be wireless or wired. The above standards and examples are intended to be considered as examples only, with the true scope of the disclosed embodiments being indicated by the following claims and their equivalents.
100 インターネット
102 コネクティビティサービスネットワーク(CSN)
104 AAAサーバー
106、108 ゲートウェイ
110、111、112、113、114、115 基地局
120、122、124 移動局
126、128 加入者局
200 初期化プロセス
202 レンジング要求
204 レンジング応答
206 IEEE802.1X完全認証
210 ペアワイズマスターキー
211 AKトランスファー
212 認証キー
214 SA−TEKスリーウェイハンドシェイク
215 メッセージ認証コードキー
216 TEKスリーウェイハンドシェイク
218 キー暗号化キー
220 トラフィック暗号化キー
300 ネットワーク
310、311、312、313 基地局
320、322、324、326 移動局
328、330、332 中継局
334 移動中継局
400 基地局
402、404 中継局
406、407、409 認証中継の中継局
408 認証中継の中継局(移動中継局)
410 中継キー
412 安全中継ゾーン
414、416、418 移動局
500、520、540 中央処理装置
502、522、542 ランダムアクセスメモリ
504、524、544 リードオンリーメモリ
506、526、546 記憶装置
508、528、548 データベース
510、530、550 I/O装置
512、532、552 インターフェース
514、534、554 アンテナ
600 初期化プロセス
602 レンジング要求
604 移動局認証要求
606 レンジング応答
608 ペアワイズマスターキー
610 認証キー
612 AKトランスファー
614 キー応答
616 トラフィック暗号化キー
618 メッセージ認証コードキー
700 ハンドオフプロセス
704 キー要求
708 PKMv2−EAP開始要求
710 PKMv2−EAP完了メッセージ
712 トラフィック暗号化キー
802 未承諾のキー事前配布信号
804 MACチェック
806 レンジング応答
1002 レンジング要求
1004 検証要求
1006 キー応答
1010 トラフィック暗号化キー
1202 認証キー
1204 トラフィック暗号化キー
1206 メッセージ認証コードキー
1400 初期化プロセス
1402 基地局
1404 認証中継の中継局
1406 認証キー
1407 移動局認証要求
1408 認証失敗応答
1409 レンジング応答
1410 ペアワイズマスターキー
1412 認証キー
1414 トラフィック暗号化キー
1416 キー暗号化キー
1502 基地局
1504 レンジングメッセージ
1506 AKトランスファー
1508 再認証
1510 AKトランスファー
1512 TEK/AKトランスファー
1600 基地局
1602 ゲートウェイ
1606 AKトランスファー
1608 AKトランスファー
1702 基地局
1706 AKトランスファー
100
104
410 Relay key 412
Claims (41)
前記中継局が前記基地局から未承諾の(unsolicited)セキュリティーキーを受信することと、
前記中継局が前記移動局からシグナリングメッセージを受信することと、を含み、
前記シグナリングメッセージを送信した移動局が、AAAサーバー(認証、許可およびアカウンティングサーバー)と認証を行なうことにより、AAAサーバーからセキュリティーキーを既に取得しており、かつ、前記シグナリングメッセージを受信した中継局が、前記移動局を認証するためのセキュリティーキーを有していない場合に、
前記中継局は、前記未承諾のセキュリティーキーを用いて前記移動局を認証することを特徴とする
方法。 A method for providing secure communication between a base station, a relay station, and a mobile station in a communication network, comprising:
The relay station receives an unsolicited security key from the base station;
The relay station receiving a signaling message from the mobile station , and
The mobile station that has transmitted the signaling message has already obtained a security key from the AAA server by performing authentication with the AAA server (authentication, authorization and accounting server), and the relay station that has received the signaling message If you do not have a security key to authenticate the mobile station,
The relay station, wherein the authenticating the mobile station by using a security key of the unsolicited.
前記中継局が前記移動局からシグナリングメッセージを受信すること、を含み、
前記シグナリングメッセージを送信した移動局が、AAAサーバー(認証、許可およびアカウンティングサーバー)と認証を行なうことにより、AAAサーバーからセキュリティーキーを既に取得しており、かつ、前記シグナリングメッセージを受信した中継局が、前記移動局を認証するためのセキュリティーキーを有していない場合に、
前記シグナリングメッセージを受信した中継局が前記シグナリングメッセージを受信した後、前記移動局を認証するためのセキュリティーキー要求を前記基地局に伝送し、
前記中継局が、先に送った前記セキュリティーキー要求に応じた前記基地局からの前記移動局を認証するためのセキュリティキーを受信し、
前記中継局が、受信した前記前記移動局を認証するためのセキュリティーキーを用いて前記移動局を認証することを特徴とする
方法。 A method for providing secure communication between a base station, a relay station, and a mobile station in a communication network, comprising:
Said relay station comprises a receiving child a signaling message from the mobile station,
The mobile station that has transmitted the signaling message has already obtained a security key from the AAA server by performing authentication with the AAA server (authentication, authorization and accounting server), and the relay station that has received the signaling message If you do not have a security key to authenticate the mobile station,
After the relay station has received the signaling message receives the signaling message and transmits the security key request to authenticate the mobile station to the base station,
The relay station receives the security key for authenticating the mobile station from the base station in accordance with the security key request sent earlier,
Wherein said relay station, and wherein the authenticating the mobile station by using a security key for authenticating the received said mobile station.
前記中継局が前記トラフィックキーを用いて前記移動局に暗号化データを伝送することと、
をさらに含む請求項1から7のいずれか1項に記載の方法。 The relay station generates a traffic key;
The relay station transmits encrypted data to the mobile station using the traffic key;
The method according to any one of claims 1 to 7, further comprising:
前記中継局が前記移動局からシグナリングメッセージを受信すること、を含み、
前記シグナリングメッセージを送信した移動局が、AAAサーバー(認証、許可およびアカウンティングサーバー)と認証を行なうことにより、AAAサーバーからセキュリティーキーを既に取得しており、かつ、前記シグナリングメッセージを受信した中継局が、前記移動局を認証するためのセキュリティーキーを有していない場合に、
前記中継局は前記基地局にキー要求を送信し、
前記基地局は前記キー要求に応じて、前記移動局を認証するためのセキュリティーキーに基づいて、前記移動局に対応する検証キーを生成し、前記移動局に対応する検証キーを前記中継局に送信し、
前記中継局は、前記移動局に対応する検証キーを用いて、キー検証を実行して前記移動局を識別することを特徴とする
方法。 A method for providing secure communication between a base station, a relay station, and a mobile station in a communication network, comprising:
The relay station receives a signaling message from the mobile station, and
The mobile station that has transmitted the signaling message has already obtained a security key from the AAA server by performing authentication with the AAA server (authentication, authorization and accounting server), and the relay station that has received the signaling message If you do not have a security key to authenticate the mobile station,
The relay station sends a key request to the base station;
In response to the key request, the base station generates a verification key corresponding to the mobile station based on a security key for authenticating the mobile station, and sends the verification key corresponding to the mobile station to the relay station. Send
The relay station, wherein said using the verification key corresponding to the mobile station, characterized by identifying the mobile station to perform a key verification.
キー事前配布(key pre-distribution)を実行して、前記移動局に対応する未承諾の検証キーを前記中継局に配布することと、
前記中継局が前記移動局からシグナリングメッセージを受信すること、を含み、
前記シグナリングメッセージを送信した移動局が、AAAサーバー(認証、許可およびアカウンティングサーバー)と認証を行なうことにより、AAAサーバーからセキュリティーキーを既に取得しており、かつ、前記シグナリングメッセージを受信した中継局が、前記移動局を認証するためのセキュリティーキーを有していない場合に、
前記中継局は、前記移動局に対応する未承諾の検証キーを用いて、キー検証を実行して前記移動局を識別することを特徴とする
方法。 A method for providing secure communication between a base station, a relay station, and a mobile station in a communication network, comprising:
Performing a key pre-distribution to distribute an unsolicited verification key corresponding to the mobile station to the relay station;
The relay station receives a signaling message from the mobile station, and
The mobile station that has transmitted the signaling message has already obtained a security key from the AAA server by performing authentication with the AAA server (authentication, authorization and accounting server), and the relay station that has received the signaling message If you do not have a security key to authenticate the mobile station,
The relay station, wherein said using the verification key of unsolicited corresponding to the mobile station, characterized by the this identifies the mobile station to perform a key verification.
前記中継局が前記移動局からシグナリングメッセージを受信すること、を含み、
前記シグナリングメッセージを送信した移動局が、AAAサーバー(認証、許可およびアカウンティングサーバー)と認証を行なうことにより、AAAサーバーからセキュリティーキーを既に取得しており、かつ、前記シグナリングメッセージを受信した中継局が、前記移動局を認証するためのセキュリティーキーを有していない場合に、
前記中継局は前記基地局にキー要求を送信し、
前記基地局は前記キー要求に応じて、前記移動局を認証するためのセキュリティーキーに基づいて、前記移動局に対応する検証キーを生成し、前記移動局に対応する検証キーを前記中継局に送信し、
前記中継局は、前記移動局に対応する検証キーを用いて、キー検証を実行して前記移動局を識別し、
前記移動局は、前記移動局が備える検証キーを用いて、キー検証を実行して前記中継局を識別することを特徴とする
方法。 A method for providing secure communication between a base station, a relay station, and a mobile station in a communication network, comprising:
The relay station receives a signaling message from the mobile station, and
The mobile station that has transmitted the signaling message has already obtained a security key from the AAA server by performing authentication with the AAA server (authentication, authorization and accounting server), and the relay station that has received the signaling message If you do not have a security key to authenticate the mobile station,
The relay station sends a key request to the base station;
In response to the key request, the base station generates a verification key corresponding to the mobile station based on a security key for authenticating the mobile station, and sends the verification key corresponding to the mobile station to the relay station. Send
The relay station identifies the mobile station by performing key verification using a verification key corresponding to the mobile station ;
The mobile station uses the verification key which the mobile station is provided, wherein the identifying the relay station to perform a key verification.
データおよび命令を格納する少なくとも1つの記憶装置と、
前記記憶装置にアクセスするよう構成されていると共に、前記命令を実行するときに、移動局から受信したシグナリングメッセージに応じ、前記移動局を認証するためのセキュリティーキーを用いて、前記移動局を認証するよう構成されている少なくとも1つのプロセッサと、を備え、
前記プロセッサは、前記シグナリングメッセージを送信した移動局が、AAAサーバー(認証、許可およびアカウンティングサーバー)と認証を行なうことにより、AAAサーバーからセキュリティーキーを既に取得しており、かつ、前記記憶装置に、前記移動局を認証するためのセキュリティーキーが記憶されていない場合には、基地局から受信した未承諾のセキュリティーキーを用いて、前記移動局を認証することを特徴とする
中継局。 A relay station for providing secure communication in a communication network,
At least one storage device for storing data and instructions;
The mobile station is configured to access the storage device and authenticates the mobile station using a security key for authenticating the mobile station in response to a signaling message received from the mobile station when executing the command at least one processor is configured to include a,
The processor has already acquired a security key from the AAA server by authenticating with the AAA server (authentication, authorization and accounting server) by the mobile station that has transmitted the signaling message, and in the storage device, When a security key for authenticating the mobile station is not stored, the relay station authenticates the mobile station using an unapproved security key received from a base station.
データおよび命令を格納する少なくとも1つの記憶装置と、
前記記憶装置にアクセスするよう構成されていると共に、前記命令を実行するときに、移動局から受信したシグナリングメッセージに応じ、前記移動局を認証するためのセキュリティーキーを用いて、前記移動局を認証するよう構成されている少なくとも1つのプロセッサと、を備え、
前記プロセッサは、前記シグナリングメッセージを送信した移動局が、AAAサーバー(認証、許可およびアカウンティングサーバー)と認証を行なうことにより、AAAサーバーからセキュリティーキーを既に取得しており、かつ、前記記憶装置に、前記移動局を認証するためのセキュリティーキーが記憶されていない場合には、セキュリティーキー要求を基地局に伝送し、前記移動局を認証するためのセキュリティーキーを基地から取得し、取得した前記移動局を認証するためのセキュリティーキーを用いて、前記移動局を認証することを特徴とする
中継局。 A relay station for providing secure communication in a communication network,
At least one storage device for storing data and instructions;
The mobile station is configured to access the storage device and authenticates the mobile station using a security key for authenticating the mobile station in response to a signaling message received from the mobile station when executing the command And at least one processor configured to:
The processor has already acquired a security key from the AAA server by authenticating with the AAA server (authentication, authorization and accounting server) by the mobile station that has transmitted the signaling message, and in the storage device, When a security key for authenticating the mobile station is not stored, a security key request is transmitted to the base station, a security key for authenticating the mobile station is acquired from the base, and the acquired mobile station A relay station that authenticates the mobile station using a security key for authenticating the mobile station.
前記移動局とセキュリティーアソシエーションシグナリングプロトコルおよびトラフィック暗号化キー(TEK)スリーウェイハンドシェイクのうちの少なくとも1つを実行するよう構成されている請求項19から24のいずれか1項に記載の中継局。 When the processor further executes the instruction,
25. A relay station according to any one of claims 19 to 24 , configured to perform at least one of the mobile station and a security association signaling protocol and a traffic encryption key (TEK) three-way handshake.
トラフィックキーを生成し、かつ
前記トラフィックキーを用いた前記移動局への暗号化データの伝送を発生させるよう構成されている請求項19から27のいずれか1項に記載の中継局。 When the processor further executes the instruction,
The relay station according to any one of claims 19 to 27 , configured to generate a traffic key and generate transmission of encrypted data to the mobile station using the traffic key.
データおよび命令を格納する少なくとも1つの記憶装置と、
前記記憶装置にアクセスするよう構成されていると共に、前記命令を実行するときに、移動局が基地局のカバレッジエリアに入ったという指示(indication)に応じ、認証、許可、およびアカウンティングサーバーから受信した未承諾のマスターキーの中継局への伝送を発生させるよう構成されている少なくとも1つのプロセッサと、を備え、
前記中継局が、AAAサーバー(認証、許可およびアカウンティングサーバー)と認証を行なうことにより、AAAサーバーからセキュリティーキーを既に取得している移動局からシグナリングメッセージを受信し、かつ、前記中継局が、前記移動局を認証するためのセキュリティーキーを備えていない場合には、前記中継局に、前記未承諾のマスターキーを使用して、前記移動局の認証を行なわせることを特徴とする
基地局。 A base station for providing secure communication in a communication network,
At least one storage device for storing data and instructions;
Received from an authentication, authorization, and accounting server in response to an indication that the mobile station has entered the coverage area of the base station when executing the instructions, and configured to access the storage device At least one processor configured to generate transmission of an unsolicited master key to a relay station ;
The relay station authenticates with an AAA server (authentication, authorization and accounting server) to receive a signaling message from a mobile station that has already obtained a security key from the AAA server, and the relay station A base station characterized in that, when a security key for authenticating a mobile station is not provided, the relay station uses the unsolicited master key to authenticate the mobile station.
データおよび命令を格納する少なくとも1つの記憶装置と、
前記記憶装置にアクセスするよう構成されていると共に、前記命令を実行するときに、
中継局から受信したセキュリティーキー要求に応じ、セキュリティーキーの中継局への伝送を発生させるよう構成されている少なくとも1つのプロセッサと、を備え、
前記中継局が、AAAサーバー(認証、許可およびアカウンティングサーバー)と認証を行なうことにより、AAAサーバーからセキュリティーキーを既に取得している移動局からシグナリングメッセージを受信し、かつ、前記中継局が、前記移動局を認証するためのセキュリティーキーを備えていない場合には、前記中継局に、前記セキュリティーキー要求に応じて送信したセキュリティーキーを使用して、前記移動局の認証を行なわせることを特徴とする
基地局。 A base station for providing secure communication in a communication network,
At least one storage device for storing data and instructions;
When configured to access the storage device and execute the instructions,
At least one processor configured to generate a transmission of the security key to the relay station in response to a security key request received from the relay station ;
The relay station authenticates with an AAA server (authentication, authorization and accounting server) to receive a signaling message from a mobile station that has already obtained a security key from the AAA server, and the relay station When the mobile station is not provided with a security key for authenticating the mobile station, the relay station is made to authenticate the mobile station using a security key transmitted in response to the security key request. base station.
通信ネットワークへのアクセスを提供し、前記ネットワーク上で移動局を認証し、少なくとも1つのセキュリティーキーを受信し、かつ前記少なくとも1つのセキュリティーキーを事前配布(pre-distribute)するよう構成された基地局と、
前記基地局と通信して、事前配布された未承諾のセキュリティーキーを受信する中継局と、を含み、
前記中継局が、AAAサーバー(認証、許可およびアカウンティングサーバー)と認証を行なうことにより、AAAサーバーからセキュリティーキーを既に取得している移動局からシグナリングメッセージを受信し、かつ、前記中継局が、前記移動局を認証するためのセキュリティーキーを備えていない場合には、前記未承諾のセキュリティーキーを用いて、前記移動局を認証し、前記移動局に安全なデータ伝送を行ない、
前記セキュリティーキーがマスターキーを含むシステム。 A system that provides secure communication,
A base station configured to provide access to a communication network, authenticate a mobile station on the network, receive at least one security key, and pre-distribute the at least one security key When,
Communicating with the base station, comprising: a relay station for receiving a security key unsolicited which is pre-distributed and,
The relay station authenticates with an AAA server (authentication, authorization and accounting server) to receive a signaling message from a mobile station that has already obtained a security key from the AAA server, and the relay station If the security key for authenticating the mobile station is not provided, the unauthenticated security key is used to authenticate the mobile station and perform secure data transmission to the mobile station,
A system in which the security key includes a master key.
通信ネットワークへのアクセスを提供し、前記ネットワーク上で移動局を認証し、少なくとも1つのセキュリティーキーを受信し、少なくとも1つのセキュリティーキー要求を受信し、かつ前記セキュリティーキー要求に応じて前記少なくとも1つのセキュリティーキーを伝送するよう構成された基地局と、
AAAサーバー(認証、許可およびアカウンティングサーバー)と認証を行なうことにより、AAAサーバーからセキュリティーキーを既に取得している移動局からシグナリングメッセージを受信し、かつ、前記移動局を認証するためのセキュリティーキーを備えていない場合に、前記基地局と通信して、前記少なくとも1つのセキュリティーキー要求を前記基地局へ伝送し、前記セキュリティーキー要求に応じた前記基地局からの前記少なくとも1つのセキュリティーキーを受信し、かつ受信した前記移動局を認証するためのセセキュリティーキーを用いて移動局に安全なデータ伝送を提供する中継局と、を含み、
前記セキュリティーキーが認証キー(AK)および検証キーのうちの少なくとも1つを含むシステム。 A system that provides secure communication,
Providing access to a communication network, authenticating a mobile station on the network, receiving at least one security key, receiving at least one security key request, and in response to the security key request, the at least one one A base station configured to transmit a security key;
By performing authentication with an AAA server (authentication, authorization and accounting server), a signaling message is received from a mobile station that has already obtained a security key from the AAA server, and a security key for authenticating the mobile station is obtained. If not , communicating with the base station, transmitting the at least one security key request to the base station, and receiving the at least one security key from the base station in response to the security key request. A relay station that provides secure data transmission to the mobile station using a security key for authenticating the received mobile station, and
The system wherein the security key includes at least one of an authentication key (AK) and a verification key.
The system according to claim 33, 35 , 36 or 38 , wherein communication between the base station and the relay station is wireless.
Applications Claiming Priority (10)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US96977307P | 2007-09-04 | 2007-09-04 | |
US60/969,773 | 2007-09-04 | ||
US98176707P | 2007-10-22 | 2007-10-22 | |
US60/981,767 | 2007-10-22 | ||
US98553807P | 2007-11-05 | 2007-11-05 | |
US60/985,538 | 2007-11-05 | ||
US12/203,671 | 2008-09-03 | ||
US12/203,652 | 2008-09-03 | ||
US12/203,671 US9313658B2 (en) | 2007-09-04 | 2008-09-03 | Methods and devices for establishing security associations and performing handoff authentication in communications systems |
US12/203,652 US20090271626A1 (en) | 2007-09-04 | 2008-09-03 | Methods and devices for establishing security associations in communications systems |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009171543A JP2009171543A (en) | 2009-07-30 |
JP4875679B2 true JP4875679B2 (en) | 2012-02-15 |
Family
ID=40693444
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008227438A Active JP4875679B2 (en) | 2007-09-04 | 2008-09-04 | Method and device for establishing security associations and performing handoff authentication in a communication system |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP4875679B2 (en) |
KR (1) | KR100983796B1 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110110289A1 (en) * | 2009-11-06 | 2011-05-12 | Muthaiah Venkatachalam | Distributed control architecture for relays in broadband wireless networks |
US8806042B2 (en) * | 2011-02-18 | 2014-08-12 | Telefonaktiebolaget L M Ericsson (Publ) | Mobile router in EPS |
EP2849492B1 (en) | 2012-04-09 | 2017-08-02 | Nec Corporation | Base station gateway device, wireless communication system and communication method |
KR102146001B1 (en) * | 2013-03-13 | 2020-08-20 | 주식회사 케이티 | Method and system for recover service continuity of M2M device |
EP2930535A1 (en) * | 2014-04-08 | 2015-10-14 | The European Union, represented by the European Commission | Method and system to optimise the authentication of radionavigation signals |
JP7446926B2 (en) * | 2020-06-05 | 2024-03-11 | 株式会社東海理化電機製作所 | Control device and control method |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3854930B2 (en) * | 2003-01-30 | 2006-12-06 | 松下電器産業株式会社 | Centralized management authentication apparatus and wireless terminal authentication method |
KR101137340B1 (en) * | 2005-10-18 | 2012-04-19 | 엘지전자 주식회사 | Method of Providing Security for Relay Station |
KR101171311B1 (en) * | 2005-12-30 | 2012-08-10 | 엘지전자 주식회사 | Method of authenticating relay station in broadband wireless access system |
KR100740863B1 (en) * | 2006-02-28 | 2007-07-19 | 포스데이타 주식회사 | Authentication method and system based on eap in wireless telecommunication system |
JP4432986B2 (en) * | 2007-03-12 | 2010-03-17 | ブラザー工業株式会社 | Wireless station |
-
2008
- 2008-09-04 JP JP2008227438A patent/JP4875679B2/en active Active
- 2008-09-04 KR KR1020080087483A patent/KR100983796B1/en active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
JP2009171543A (en) | 2009-07-30 |
KR20090024655A (en) | 2009-03-09 |
KR100983796B1 (en) | 2010-09-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9313658B2 (en) | Methods and devices for establishing security associations and performing handoff authentication in communications systems | |
RU2669780C2 (en) | Interaction and integration of various networks of radio access | |
KR100762644B1 (en) | WLAN-UMTS Interworking System and Authentication Method Therefor | |
US7793103B2 (en) | Ad-hoc network key management | |
JP5775174B2 (en) | Configuring authentication and secure channels for communication handoff scenarios | |
KR101061899B1 (en) | Fast Authentication Method and Device for Heterogeneous Network Handover | |
JP4624785B2 (en) | Interworking function in communication system | |
KR100755394B1 (en) | Method for fast re-authentication in umts for umts-wlan handover | |
US20090217033A1 (en) | Short Authentication Procedure In Wireless Data Communications Networks | |
US20080162939A1 (en) | Multi-hop wireless network system and authentication method thereof | |
JP2017535989A (en) | Certificate-based authentication | |
EP3700162B1 (en) | Systems and methods for authentication | |
JP4875679B2 (en) | Method and device for establishing security associations and performing handoff authentication in a communication system | |
WO2010065008A1 (en) | Method and system for pre-authentication | |
WO2006003859A1 (en) | Communication handover method, communication message processing method, and communication control method | |
US7961684B2 (en) | Fast transitioning resource negotiation | |
KR20070051233A (en) | System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system | |
US20170223531A1 (en) | Authentication in a wireless communications network | |
WO2012028043A1 (en) | Method, device and system for authentication | |
KR20180124076A (en) | System and method for relaying data over a communication network | |
CN100558187C (en) | A kind of radio switch-in method and access controller | |
CN101436931B (en) | Methods, system, base station and relay station for providing security communication in wireless communication systems | |
WO2019017839A1 (en) | Data transmission method, and device and system related thereto | |
US20100189258A1 (en) | Method for distributing an authentication key, corresponding terminal, mobility server and computer programs | |
US20170353856A1 (en) | Mobile communication system and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110518 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110531 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110825 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111115 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111125 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141202 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4875679 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |