BRPI0612566A2 - método e sistema de autenticação em um sistema de comunicação - Google Patents

método e sistema de autenticação em um sistema de comunicação Download PDF

Info

Publication number
BRPI0612566A2
BRPI0612566A2 BRPI0612566-2A BRPI0612566A BRPI0612566A2 BR PI0612566 A2 BRPI0612566 A2 BR PI0612566A2 BR PI0612566 A BRPI0612566 A BR PI0612566A BR PI0612566 A2 BRPI0612566 A2 BR PI0612566A2
Authority
BR
Brazil
Prior art keywords
pmk
authentication
eap
msk
generation
Prior art date
Application number
BRPI0612566-2A
Other languages
English (en)
Inventor
Ji-Cheol Lee
Jun Hyuk Song
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of BRPI0612566A2 publication Critical patent/BRPI0612566A2/pt
Publication of BRPI0612566B1 publication Critical patent/BRPI0612566B1/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

METODO E SISTEMA DE AUTENTICAçAO EM UM SISTEMA DE COMUNICAçãO. Um método de autenticaçao e um sistema em um sistema de comunicação são providos. Uma MS, uma BS e um servidor de AAA adquirem uma primeira MSK por uma primeira autenticação de EAP para a MS em um esquema de EAP em EAP. Após a primeira autenticação de EAP, eles adquirem uma segunda MSK por uma segunda autenticação de EM' para a MS no esquema de EAP em EAP.

Description

MÉTODO E SISTEMA DE AUTENTICAÇÃO EM UM SISTEMA DECOMUNICAÇÃO
ANTECEDENTES DA INVENÇÃO
1. Campo da Invenção
A presente invenção se refere geralmente a um sistemade comunicação e, em particular, a um sistema deautenticação e um método do mesmo em um sistema decomunicação.
2. Descrição da Técnica Relacionada
Os sistemas de comunicação estão sendo desenvolvidospara a provisão a usuários de um serviço que tem váriosniveis de Qualidade de Serviço (QoS). Há estudos emandamento para suporte de um serviço de alta velocidadepela garantia de mobilidade e QoS em um sistema decomunicação de Acesso Sem Fio de Banda Larga (BWA), talcomo uma Rede de Área Local Sem Fio (WLAN) e uma Rede deÁrea Metropolitana Sem Fio (WMAN). O 8 02.16a/d do Instituteof Electrical and Electronics Engineers (IEEE) e o 802.16edo IEEE são esses sistemas principais.
Com referência à FIG. 1, uma autenticação,particularmente pelo Protocolo de Autenticação Extensível(EAP) duplo em um sistema de comunicação típico 802.16e doIEEE será descrita aqui. Por simplicidade de notação, o EAPduplo é denominado ' EAP em EAP' e um modo de operação deEAP em EAP é denominado um 'modo de EAP em EAP'.
A FIG. 1 é um diagrama que ilustra um fluxo de sinalpara uma autenticação de EAP em EAP em um sistema decomunicação típico 802.16e do IEEE.
Com referência à FIG. 1, o sistema de comunicação802.16e do IEEE inclui uma Estação Móvel (MS) 100, umaEstação Base (BS) 14 0, e um servidor de Autorização,Autenticação e Contabilidade (AAA) 180. Uma vez que osistema de comunicação típico 802.16e do IEEE opera em EAPem EAPi ele autentica no esquema de EAP duplo. Em nome daconveniência, uma autenticação baseada no esquema de EAP éreferida como uma ^ autenticação de EAP'. A primeira dasduas autenticações de EAP é uma autenticação de dispositivo120 e a segunda é uma autenticação de usuário 16 0, após aprimeira autenticação de EAP ser bem sucedida.
Quando uma autenticação de dispositivo é requerida, aBS 140 transmite uma mensagem EAP-REQUEST/IDENTITY para aMS 100, requisitando uma autenticação de ΕΑΡ. Devido aofato de mensagens de EAP serem trocadas entre a MS 100 e aBS 14 0 pelo Gerenciamento de Chave de Privacidade(PKM) EAP_TRANS FER no sistema 802.16e do IEEE, a BS 140transmite uma mensagem PKM_EAP/EAP-REQUEST/IDENTITY para aMS 100 na etapa 101. A MS 100 responde pela transmissão deuma mensagem PKM_EAP/EAP-RESPONSE/IDENTITY na etapa 103.
A BS 14 0 encaminha a mensagem PKM_EAP/EAP-RESPONSE/IDENTITY para o servidor de AAA 180. As mensagensde EAP são trocadas entre a BS 140 e o servidor de AAA 180por mensagens de protocolo de Serviço de Usuário deDiscagem de Autenticação Remota (RADIUS) ou mensagens deprotocolo de DIAMETER. No caso ilustrado da FIG. 1, asmensagens de protocolo de RADIUS são usadas entre a BS 14 0e o servidor de AAA 180. Daí, a BS 140 transmite umamensagem RADIUS ACCESS REQUEST/IDENTITY para o servidor deAAA 180 na etapa 105.
O servidor de AAA 180 realiza uma autenticação dedispositivo na MS 100 pela autenticação das mensagensPKM_EAP usando uma Segurança de Nível de Transporte de EAP(TLS), uma Chave Pré-compartilhada de Segurança de Nível deTransporte de EAP (TLSPSL) , uma Autenticação de EAP eAcordo de Chave (AKA) ou EAP-PSK na etapa 107. Comoconseqüência da autenticação de dispositivo, o servidor deAAA 180 e a MS 100 compartilham uma Chave de Sessão Mestra(MSK) nas etapas 109 e 111.
O servidor de AAA 180 transmite uma mensagem RADIUSACCEPT como uma mensagem EAP-SUCCESS para a BS 14 0 na etapa113. A mensagem RADIUS ACCEPT inclui a MSK. Na etapa 115, aBS 14 0 transmite uma mensagem PKM_EAP/EAP-SUCCESS para a MS100, notificando o sucesso da autenticação de ΕΑΡ.
Nas etapas 117 e 119, a MS 100 e a BS 14 0 geram umaChave de Integridade de EAP (EIK) e uma Chave Mestra em Par(PMK) a partir da MSK, durante a autenticação dedispositivo 120. A EIK gerada criada através daautenticação de dispositivo 120 é usada para proteção dasmensagens de EAP transmitidas durante a segundaautenticação de ΕΑΡ, isto é, a autenticação de usuário 160.
Durante a autenticação de usuário 160, a BS 14 0transmite uma mensagem PKM_EAP/EAP-REQUEST/IDENTITY para aMS 100, quando a autenticação de usuário for necessária, naetapa 161. A MS 100 responde pela transmissão de umamensagem PKM_EAP/EAP-RESPONSE/1DENTITY na etapa 163.
Na etapa 165, a BS 140 converte a mensagemPKM_EAP/EAP-RESPONSE/IDENTITY na forma de uma mensagemRADIUS ACCESS REQUEST/IDENTITY e a transmite para oservidor de AAA 180.
O servidor de AAA 18 0 realiza uma autenticação deusuário na MS 100 pela autenticação de mensagem PKM_EAPusando EAP-Message-Digest5 (MD5) ou um Protocolo deAutenticação de Desafio da Microsoft de EAP versão 2(MSCHAPV2) na etapa 167. Diferentemente da autenticação dedispositivo 12 0, nenhuma MSK adicional é gerada, mesmoquando a autenticação de usuário for completada. Apropósito, mediante a recepção de uma mensagem RADIUSACCEPT na etapa 169, a BS 14 0 transmite uma mensagemPKM_EAP/EAP-SUCCESS para a MS 100 na etapa 171. Nas etapas173 e 175, a MS 100 e a BS 140 geram uma Chave deAutorização (AK) usando a PMK. A criação da AK serádescrita em maiores detalhes mais tarde, com referência àFIG. 2.
Conforme descrito acima, em uma autenticação de EAP emEAP do sistema de comunicação 802.16e do IEEE, uma MSK égerada durante apenas a primeira autenticação de ΕΑΡ.
A FIG. 2 é um fluxograma ilustrando um procedimento decriação de uma AK em um sistema de comunicação 802.16e doIEEE típico. Esta operação ocorre na MS e na BS, cada uma,e a criação da AK será descrita aqui no contexto da BS.
Com referência à FIG. 2, a BS recebe uma MSK geradadurante a primeira autenticação de ΕΑΡ, isto é, aautenticação de dispositivo a partir do servidor de AAA naetapa 211, e gera uma EIK e uma PMK usando a MSK na etapa213. Especificamente, a BS gera uma EIK e uma PMK com umnúmero predeterminado de bits, por exemplo, uma EIK de 160bits e uma PMK de 160 bits pelo truncamento da MSK.
Na etapa 215, a BS gera uma AK pela aplicação da PMK auma função predeterminada. Especificamente, a BS usa a PMKem uma função Dotl6KDF, por exemplo. A função Dotl6KDF éexpressa e estabelecida na Equação (1) abaixo como:AK = DotlôKDF(PMK, SSID|BSID| iAK',160) ---- (1)
onde SSID é o Identificador (ID) da MS para a qual aautenticação de EAP é realizada, BSID é o ID da BSi 1AK' éa AK criada pela Dotl6KDF, e 160 denota o comprimento daAK, 160 bits. Daí, a função Dotl6KDF gera uma AK de 160bits usando a PMK e um parâmetro do SSID e do BSID emconcatenação.
A FIG. 3 é um diagrama que ilustra um fluxo de sinalpara um procedimento de intercâmbio de indicativos e sinaisde controle (handshake) de 3 vias de Chave de Associação deSegurança & Encriptação de Tráfego (SA-TEK) para umaautenticação de EAP em EAP no sistema de comunicação típico802.16e do IEEE.
Com referência à FIG. 3, o sistema de comunicação802.16e do IEEE inclui uma MS 300, uma MS adversária (ADV)320, uma BS 340 e um servidor de AAA 360. A MS 300 e a BS340 são dispositivos / usuários normais e a ADV 320 é umdispositivo / usuário adversário o qual tem uma chaveválida para a primeira autenticação de EAP e intercepta umamensagem de EAP a partir da MS 300 durante a segundaautenticação de ΕΑΡ.
A primeira autenticação de EAP é realizada entre a MS300, a BS 340 e o servidor de AAA 360 da maneira ilustradacom referência à FIG. 1, na etapa 311. Nas etapas 313 e315, a MS 300 e a BS 340 adquirem uma EIK (EIKms) e uma PMK(PMKms).
A propósito, a ADV 320 também realiza uma autenticaçãode EAP com a BS 340 e o servidor de AAA 360 na etapa 317.Nas etapas 319 e 321, assim, a ADV 320 e a BS 340 adquiremuma EIK (EIKadv) e uma PMK (PMKadv) .Quando uma autenticação de usuário é necessária, a BS-340 então transmite uma mensagem PKM_EAP/EAP-REQUEST/IDENTITY para a MS 300 e a ADV 320 nas etapas 323 e325. A MS 300 responde pela transmissão de uma mensagemPKM_EAP/EAP-RESPONSE/IDENTITY na etapa 327. A ADV 320monitora a mensagem PKM_EAP/EAP-RESPONSE/IDENTITY, a copiae transmite a cópia usando a EIKadv na etapa 329.
Mediante a recepção das mensagens PKM_EAP/EAP-REQUEST/IDENTITY da MS 300 e da ADV 320, a BS 340 converteas mensagens PKM_EAP/EAP-REQUEST/IDENTITY na forma demensagens RADIUS REQUEST/IDENTITY e as encaminha para oservidor de AAA 360 nas etapas 331 e 333.
O servidor de AAA 3 60 transmite mensagens ACCESSCHALLENGE para a MS 300 e a ADV 320 nas etapas 335 e 337.As mensagens ACCESS CHALLENGE, cada uma, incluem parâmetrosde autenticação para tentativa de acesso, CHALLENGE eSECRETE.
A MS 3 00 gera um parâmetro VALUE usando CHALLENGE eSECRETE incluídos na mensagem ACCESS CHALLENGE. VALUE écriado por uma função predeterminada, por exemplo, umafunção MD5 expressa conforme estabelecido abaixo na Equação(2) :
VALUE = MD5(ID, SECRET, CHALLENGE) ---- (2)
onde ID representa o ID da MS 300.
Na etapa 341, o MS 300 transmite uma mensagemPKM EAP/EAP-RESPONSE/RESPONSE incluindo seu ID e VALUE paraa BS 340. Contudo, a ADV 320 intercepta a mensagemPKM_EAP/EAP-RESPONSE/RESPONSE e transmite uma mensagemPKM EAP/EAP-RESPONSE/RESPONSE incluindo O ID da ADV 320 eVALUE criado pela MS 3 00 usando EIKadv para a BS 34 0 naetapa 343.
A BS 340 então converte a mensagem PKM_EAP/EAP-RESPONSE/RESPONSE recebida a partir da ADV 320 na forma deuma mensagem RADIUS ACCESS REQUEST/RESPONSE e a encaminhapara o servidor de AAA 360 na etapa 345.
O servidor de AAA 360 autentica a ADV 320 usando umID, SECRET, e VALUE que ele tem na etapa 347. Conforme aautenticação é bem sucedida, o servidor de AAA 360transmite uma mensagem RADIUS ACCEPT notificando aautenticação de EAP bem sucedida para a BS 34 0 na etapa349. Na etapa 351, assim, a ADV 320 é bem sucedida naautenticação de ΕΑΡ, quando o handshake de 3 vias de SA-TEKé realizado dentre a ADV 320, a BS 340 e o servidor de AAA360. O fenômeno do dispositivo / usuário adversáriointerceptar a AK do dispositivo / usuário normal e realizaruma autenticação de EAP é denominado o ataque do homem nomeio (Man-in-the-middle).
Conforme descrito acima devido ao fato de naautenticação de EAP em ΕΑΡ, o sistema de comunicação típico802.16e do IEEE gera uma MSK durante a primeiraautenticação de EAP apenas e uma AK é criada usando-se umaPMK derivada da MSK, o fenômeno do ataque do homem no meioocorre. Como resultado, um serviço normal é impossível dese prover para um dispositivo / usuário normal, desse modose diminuindo a QoS geral do sistema. Assim sendo, há umanecessidade de um desenvolvimento de um novo método deautenticação para eliminação do fenômeno do ataque do homemno meio.
SUMÁRIO DA INVENÇÃO
Um objetivo da presente invenção é resolversubstancialmente pelo menos os problemas acima e/ou asdesvantagens e prover pelo menos as vantagens abaixo. Assimsendo, a presente invenção provê um sistema de autenticaçãode EAP em EAP e um método em um sistema de comunicação. Apresente invenção também provê um sistema e um método paraa realização de uma autenticação de forma confiável em EAPem EAP usando PMKs duplas.
De acordo com um aspecto da presente invenção, em umsistema de autenticação em um sistema de comunicação, umaMS adquire uma primeira MSK pela realização de uma primeiraautenticação de EAP que é uma autenticação de dispositivoem um esquema de EAP em EAP com uma BS e um servidor deAAA, e adquire uma segunda MSK ao realizar uma segundaautenticação de EAP que é uma autenticação de usuário em umesquema de EAP em EAP com uma BS e um servidor de AAA, apósa primeira autenticação de ΕΑΡ. O servidor de AAA adquire aprimeira MSK pela realização de uma primeira autenticaçãode EAP com a MS e a BS e adquire a segunda MSK pelarealização de uma primeira autenticação de EAP com a MS e aBS. A BS adquire a primeira MSK pela realização de umaprimeira autenticação de EAP com a MS e o servidor de AAA eadquire a segunda MSK pela realização de uma segundaautenticação de EAP com a MS e o servidor de AAA.
De acordo com um outro aspecto da presente invenção,em um método de autenticação em um sistema de comunicação,uma primeira MSK é adquirida por uma primeira autenticaçãode EAP para uma MS em um esquema de EAP em EAP pela MS, umaBS e um servidor de AAA. A primeira autenticação de EAP éuma autenticação de dispositivo. Uma segunda MSK éadquirida por uma segunda autenticação de EAP para a MS emum esquema de EAP em EAP pela MS, pela BS e pelo servidorde AAA, após a primeira autenticação de ΕΑΡ. A segundaautenticação de EAP é uma autenticação de usuário.
BREVE DESCRIÇÃO DOS DESENHOS
Os objetivos acima, recursos, vantagens e outros dapresente invenção tornar-se-ão mais evidentes a partir dadescrição detalhada a seguir, quando tomada em conjunto comos desenhos associados, nos quais:
a FIG. 1 é um diagrama que ilustra um fluxo de sinalpara uma autenticação de EAP em EAP em um sistema decomunicação típico 802.16e do IEEE;
a FIG. 2 é um fluxograma que ilustra uma operação degeração de AK no sistema de comunicação típico 802.16e doIEEE ;
a FIG. 3 é um digrama que ilustra um fluxo de sinal emum procedimento de handshake de 3 vias de SA-TEK naautenticação de EAP em EAP no sistema de comunicação típico802.16e do IEEE;
a FIG. 4 é um diagrama que ilustra um fluxo de sinalpara autenticação de EAP em EAP usando PMKs duplas em umsistema de comunicação 802.16e do IEEE de acordo com apresente invenção;
a FIG. 5 é um fluxograma que ilustra um procedimentopara geração de uma AK no sistema de comunicação 802.16e doIEEE de acordo com a presente invenção; e
a FIG. 6 é um digrama que ilustra um fluxo de sinal emum procedimento de handshake de 3 vias de SA-TEK naautenticação de EAP em EAP no sistema de comunicação802.16e do IEEE de acordo com uma modalidade da presenteinvenção.DESCRIÇÃO DETALHADA DAS MODALIDADES PREFERIDAS
As modalidades preferidas da presente invenção serãodescritas aqui abaixo com referência aos desenhosassociados. Na descrição a seguir, funções ou construçõesbem conhecidas não são descritas em detalhes, uma vez queeles obscureceriam a invenção com detalhes desnecessários.
A presente invenção provê um sistema de autenticação eum método em um sistema de comunicação, por exemplo, umsistema 802.16e do Institute of Electrical and ElectronicsEngineers (IEEE). Particularmente, a presente invenção édirigida a um sistema e a um método para uma autenticaçãode Protocolo de Autenticação Extensível (EAP) duplodenominado autenticação de EAP em ΕΑΡ. Aqui, um modo deoperação em EAP em EAP é denominado um modo de EAP em ΕΑΡ.
Embora a presente invenção seja descrita no contexto dosistema de comunicação 802.16e do IEEE em nome daconveniência, é para ser claramente compreendido que apresente invenção é aplicável a qualquer outro sistema decomunicação.
A FIG. 4 é um diagrama que ilustra um fluxo de sinalpara autenticação de EAP em EAP usando Chaves Mestras emPares (PMKs) em um sistema de comunicação 802.16e do IEEEde acordo com a presente invenção.
Com referência à FIG. 4, o sistema de comunicação802.16e do IEEE inclui uma Estação Móvel (MS) 400, umaEstação Base (BS) 440, e um servidor de Autorização,Autenticação e Contabilidade (AAA) 480. Uma vez que osistema de comunicação 802.16e do IEEE opera em EAP em ΕΑΡ,ele realiza autenticações duplas. Em nome da conveniência,uma autenticação baseada no esquema de EAP é referida comouma x autenticação de EAP' . A primeira das duasautenticações de EAP é uma autenticação de dispositivo 420e a segunda é uma autenticação de usuário 460, realizadaapós a primeira autenticação de EAP ser bem sucedida.
Quando uma autenticação de dispositivo 420 érequerida, a BS 440 transmite uma mensagem EAP-REQUEST/IDENTITY para a MS 400, requisitando umaautenticação de ΕΑΡ. Devido ao fato de mensagens de EAPserem trocadas entre a MS 400 e a BS 440 pelo Gerenciamentode Chave de Privacidade (PKM)_EAP_TRANSFER no sistema802.16e do IEEE, a BS 440 transmite uma mensagemPKM_EAP/EAP-REQUEST/IDENTITY para a MS 400 na etapa 401.
A MS 400 responde pela transmissão de uma mensagemPKM_EAP/EAP-RESPONSE/IDENTITY na etapa 403.
A BS 44 0 encaminha a mensagem P KM_EAP/EAP-RESPONSE/IDENTITY para o servidor de AAA 480. As mensagensde EAP são trocadas entre a BS 440 e o servidor de AAA 4 80por mensagens de protocolo de Serviço de Usuário deDiscagem de Autenticação Remota (RADIUS) ou mensagens deprotocolo de DIAMETER. No caso ilustrado da FIG. 4, asmensagens de protocolo de RADIUS são usadas entre a BS 44 0e o servidor de AAA 4 80. Daí, a BS 44 0 transmite umamensagem RADIUS ACCESS REQUEST/IDENTITY para o servidor deAAA 480 na etapa 405.
0 servidor de AAA 480 realiza uma autenticação dedispositivo na MS 4 00 pela autenticação da mensagem PKM_EAPusando uma Segurança de Nível de Transporte de EAP (TLS),uma Chave Pré-compartilhada de Segurança de Nível deTransporte de EAP (TLSPSL) , uma Autenticação de EAP eAcordo de Chave (AKA) ou EAP-PSK na etapa 407. Comoconseqüência da autenticação de dispositivo, o servidor deAAA 480 e a MS 400 compartilham uma Chave de Sessão Mestra(MSK) nas etapas 409 e 411.
O servidor de AAA 48 0 transmite uma mensagem RADIUSACCEPT como uma mensagem EAP-SUCCESS para a BS 44 0 na etapa413. A mensagem RADIUS ACCEPT inclui a MSK. Na etapa 415, aBS 440 transmite uma mensagem PKM_EAP/EAP-SUCCESS para a MS400, notificando o sucesso da autenticação de ΕΑΡ. Na etapa417, a BS 440 gera uma Chave de Integridade de EAP (EIK) euma Chave Mestra em Par (PMK) a partir da MSK.
A EIK é usada para proteção das mensagens de EAPtransmitidas durante a segunda autenticação de ΕΑΡ, isto é,a autenticação de usuário 460. Então, a autenticação deusuário 460 se segue à autenticação de dispositivo 420.
A BS 440 transmite uma mensagem PKM_EAP/EAP-REQUEST/IDENTITY para a MS 400, quando a autenticação deusuário for necessária, na etapa 461. A MS 400 respondepela transmissão de uma mensagem P KM_EAP/EAP-RESPONSE/IDENTITY na etapa 463.
Na etapa 465, a BS 440 converte a mensagemPKM_EAP/EAP-RESPONSE/IDENTITY na forma de uma mensagemRADIUS ACCESS REQUEST/IDENTITY e a transmite para oservidor de AAA 48 0.
O servidor de AAA 480 realiza uma autenticação deusuário na MS 400 pela autenticação de mensagem PKM_EAPusando EAP-TLS, EAP-TLSPSK, EAP-AKA, ou EAP-PSK na etapa467. Assim, o servidor de AAA 480 e a MS 400 compartilhamuma segunda MSK, a MSK2, conforme a autenticação de usuárioé completada nas etapas 469 e 471. Desse modo, duas MSKs,incluindo MSK e MSK2 são criadas durante a autenticação dedispositivo e a autenticação de usuário, respectivamente,na autenticação de EAP em EAP da presente invenção.
Na etapa 473, o servidor de AAA 480 transmite umamensagem RADIUS ACCEPT para a BS 44 0, notificando o sucessoda autenticação de ΕΑΡ. A BS 44 0 então transmite umamensagem PKM_EAP/EAP-SUCCESS para a MS 400 na etapa 475.
Através da autenticação de usuário 460, a BS 440 gera umasegunda PMK, PMK2 a partir de MSK2 e gera uma Chave deAutorização (AK) usando PMK e PMK2 na etapa 477. A criaçãoda AK a partir de PMK e PMK2 na MS 400 e na BS 44 0 serádescrita em maiores detalhes com referência à FIG. 5.
A FIG. 5 é um fluxograma que ilustra um procedimentopara a geração da AK no sistema de comunicação 802.16e doIEEE de acordo com a presente invenção. Este procedimentona MS, e a geração da MS e a AK serão descritas aqui nocontexto da BS.
Com referência à FIG. 5, a BS adquire uma MSK pelaprimeira autenticação de ΕΑΡ, isto é, a autenticação dedispositivo na etapa 511, e geralmente cria uma EIK e umaPMK usando a MSK na etapa 513. Especificamente, a BS gerauma EIK e uma PMK com um número predeterminado de bits, porexemplo, uma EIK de 160 bits e uma PMK de 160 bits pelotruncamento da MSK.
Na etapa 515, a BS adquire uma segunda MSK, MSK2,através da segunda autenticação de ΕΑΡ, isto é, daautenticação de usuário. A BS gera uma segunda PMK, PMK2,por exemplo, uma PMK2 de 160 bits pelo truncamento de MSK2na etapa 517.
A BS gera uma AK pela aplicação da PMK e da PMK2 a umafunção de geração de AK. Especificamente, a BS usa a PMK ea PMK2 em uma função Dotl6KDF, por exemplo. A funçãoDotl6KDF pode ser expressa como a Equação (3) ou a Equação(4) abaixo.
AK = Dotl6KDF(PMK θ PMK2, SSID|BSID| 1AK',160)... (3)
Na Equação (3) acima, SSID é o ID da MS para a qual aautenticação de EAP é realizada, BSID é o ID da BS, iAK' éa AK criada pela Dotl6KDF, e 160 denota o comprimento daAK, 160 bits. Daí, a função Dotl6KDF gera uma AK de 160bits usando um XOR de PMK e PMK2 e um parâmetro do SSID edo BSID em concatenação.
AK = Dotl6KDF(PMK, SSID|BSID|PMK2| 1AK',160) ---- (4)
Na Equação (4) acima, SSID é o ID da MS para a qual aautenticação de EAP é realizada, BSID é o ID da BS, iAK' éa AK criada pela Dotl6KDF, e 160 denota o comprimento daAK, 160 bits. Daí, a função Dotl6KDF gera uma AK de 160bits usando a PMK e um parâmetro do SSID, do BSID e PMK2 emconcatenação.
Conforme descrito acima, uma AK é gerada usando-se umaPMK resultante da primeira autenticação de EAP e uma PMK2resultante da segunda autenticação de EAP durante umaautenticação de EAP em EAP usando PMKs duplas no sistema decomunicação 8 02.16e do IEEE de acordo com a modalidade dapresente invenção. Portanto, o fenômeno de ataque do homemno meio, o qual é encontrado no sistema de comunicaçãotípico 802.16e do IEEE, pode ser eliminado.
A FIG. 6 é um diagrama que ilustra um fluxo de sinalpara um procedimento de handshake de 3 vias de Chave deAssociação de Segurança & Encriptação de Tráfego (SA-TEK)para uma autenticação de EAP em EAP no sistema decomunicação 802.16e do IEEE de acordo com a presenteinvenção.
Com referência à FIG. 6, o sistema de comunicação802.16e do IEEE inclui uma MS 600, uma MS adversária (ADV)620, uma BS 640 e um servidor de AAA 660. A MS 600 e a BS640 são dispositivos / usuários normais e a ADV 620 é umdispositivo / usuário adversário o qual tem uma chaveválida para a primeira autenticação de EAP e intercepta umamensagem de EAP a partir da MS 600 durante a segundaautenticação de ΕΑΡ.
A primeira autenticação de EAP é realizada entre a MS600, a BS 64 0 e o servidor de AAA 660 da maneira ilustradacom referência à FIG. 4, na etapa 611. Nas etapas 613 e615, a MS 600 e a BS 640 adquirem uma EIK (EIKms) e uma PMK(PMKms).
a propósito, a ADV 620 também realiza uma autenticaçãode EAP com a BS 640 e o servidor de AAA 660 na etapa 617.Nas etapas 619 e 621, assim, a ADV 620 e a BS 640 adquiremuma EIK (EIKadv) e uma PMK (PMKadv) .
Após a primeira autenticação de ΕΑΡ, a segundaautenticação de EAP é realizada dentre a MS 600, a BS 64 0 eo servidor de AAA 660 no procedimento ilustrado na FIG. 4,na etapa 623. Assim, a MS 600 e a BS 640 adquirem uma outraPMK, PMK2ms, através da segunda autenticação de EAP nasetapas 627 e 627. A MS 600 pode gerar uma AK usando PMKms ePMK2ms.
Portanto, quando um handshake de 3 vias de SA-TEK érealizado entre a MS 600 e a BS 640, a MS 600 é bemsucedida no handshake de 3 vias de SA-TEK usando a AK naetapa 629.
Após a primeira autenticação de ΕΑΡ, a segundaautenticação de EAP também é realizada entre a ADV 620/ aBS 640 e o servidor de AAA 660 na etapa 631. Contudo, umavez que a ADV 620 é um dispositivo / usuário adversário,ela não pode adquirir a PMK2 na etapa 633. Como umaconseqüência, a ADV 620 não pode gerar a AK.
Portanto, quando um handshake de 3 vias de SA-TEK érealizado entre a ADV 620 e a BS 640, a ADV 620 falha nohandshake de 3 vias de SA-TEK, porque ela não pode gerar aAK na etapa 635.
Conforme descrito acima, a presente invenção aumenta aconfiabilidade de autenticação de uma autenticação de EAPem EAP em um sistema de comunicação 802.16e do IEEE, porqueuma AK é gerada usando-se PMKs duplas, isto é, PMK e PMK2.A eliminação resultante do fenômeno de ataque do homem nomeio melhora a performance do sistema em geral.
Embora a invenção tenha sido mostrada e descrita comreferência a certas modalidades preferidas da mesma, serácompreendido por aqueles versados na técnica que váriasmudanças na forma e nos detalhes podem ser feitas ali, semse desviar do espírito e do escopo da invenção, conformedefinido pelas reivindicações em apenso.

Claims (18)

1. Método de autenticação em um sistema decomunicação, caracterizado pelo fato de compreender:a aquisição de uma primeira chave mestra de sessão(MSK) em uma primeira autenticação de Protocolo deAutenticação Extensível (EAP) para uma estação móvel (MS)em um esquema de EAP em EAP pela MS, uma estação base (BS)e um servidor de autorização, autenticação e contabilidade(AAA), a primeira autenticação de EAP sendo umaautenticação de dispositivo; ea aquisição de uma segunda MSK por uma segundaautenticação de EAP para a MS no esquema de EAP em EAP pelaMS, pela BS e pelo servidor de AAA, após a primeiraautenticação de ΕΑΡ, a segunda autenticação de EAP sendouma autenticação de usuário.
2. Método de autenticação, de acordo com areivindicação 1, caracterizado pelo fato de aindacompreender a geração de uma chave de autorização (AK)usando-se a primeira MSK e a segunda MSK pela MS e pela BS.
3. Método de autenticação, de acordo com areivindicação 2, caracterizado pelo fato de a geração da AKcompreender:a geração de uma primeira chave mestra em par (PMK)usando-se a primeira MSK;a geração de uma segunda PMK usando a segunda MSK; ea geração da AK usando a primeira PMK e a segunda PMK.
4. Método de autenticação, de acordo comreivindicação 3, caracterizado pelo fato de a etapa degeração da primeira PMK compreender a geração da primeiraPMK pelo truncamento da primeira MSK.
5. Método de autenticação, de acordo com areivindicação 4, caracterizado pelo fato de a geração dasegunda PMK compreender o truncamento da segunda MSK.
6. Método de autenticação, de acordo com areivindicação 5, caracterizado pelo fato de a etapa degeração da AK usando a primeira PMK e a segunda PMKcompreender a geração da AK usando um XOR da primeira PMK eda segunda PMK e uma concatenação do identificador (ID) daMS e do ID da BS.
7. Método de autenticação, de acordo com areivindicação 5, caracterizado pelo fato de a etapa degeração da AK usando a primeira PMK e a segunda PMKcompreender a geração da AK pela aplicação da primeira PMKe da segunda PMK a:AK = DotlGKDF(PMK Θ PMK2, SSID|BSID| »AK',160)onde Dotl6KDF é uma função de geração de AK, PMK é aprimeira PMK, PMK2 é a segunda PMK, SSID é o ID da MS, BSIDé o ID da BS, 'AK' é a AK gerada pela Dotl6KDF, e 160denota o comprimento da AK, 160 bits.
8. Método de autenticação, de acordo com areivindicação 5, caracterizado pelo fato de a geração da AKusando a primeira PMK e a segunda PMK compreende a geraçãoda AK usando-se a primeira PMK e uma concatenação dasegunda PMK, o ID da MS e o ID da BS.
9. Método de autenticação, de acordo com areivindicação 5, caracterizado pelo fato de a geração da AKusando a primeira PMK e a segunda PMK compreende a geraçãoda AK pela aplicação da primeira PMK e da segunda PMK a:AK = Dotl6KDF(PMK, SSID|BSID|PMK2| 1AK',160)onde Dotl6KDF é uma função de geração de AK, PMK é aprimeira PMK, PMK2 é a segunda PMK, SSID é o ID da MS, BSIDé o ID da BSi 1AK' é a AK gerada pela Dotl6KDF, e 160denota o comprimento da AK, 160 bits.
10. Sistema de autenticação em um sistema decomunicação, caracterizado pelo fato de compreender:uma estação móvel (MS) para a aquisição de umaprimeira chave mestra de sessão (MSK) pela realização deuma primeira autenticação de Protocolo de AutenticaçãoExtensível (EAP) em um esquema de EAP em EAP com umaestação base (BS) e um servidor de autorização,autenticação e contabilidade (AAA), a primeira autenticaçãode EAP sendo uma autenticação de dispositivo, e a aquisiçãode uma segunda MSK pela realização de uma segundaautenticação de EAP no esquema de EAP em EAP pela MS com aBS e o servidor de AAA, após a primeira autenticação deΕΑΡ, a segunda autenticação de EAP sendo uma autenticaçãode usuário,o servidor de AAA para a aquisição da primeira MSKpela realização da primeira autenticação de EAP com a MS ea BS e pela aquisição da segunda MSK pela realização dasegunda autenticação de EAP com a MS e a BS; ea BS para a aquisição da primeira MSK pela realizaçãoda primeira autenticação de EAP com a MS e o servidor deAAA e a aquisição da segunda MSK pela realização da segundaautenticação de EAP com a MS e o servidor de AAA.
11. Sistema de autenticação, de acordo com areivindicação 10, caracterizado pelo fato de a MS e a BSgerarem uma chave de autorização (AK) usando-se a primeiraMSK e a segunda MSK.
12. Sistema de autenticação, de acordo com areivindicação 11, caracterizado pelo fato de a MS e a BSgerarem uma primeira chave mestra em par (PMK) usando aprimeira MSK; gerarem uma segunda PMK usando a segunda MSK,e gerarem a AK usando a primeira PMK e a segunda PMK.
13. Sistema de autenticação, de acordo com areivindicação 12, caracterizado pelo fato de a MS e a BSgerarem a primeira PMK pelo truncamento da primeira MSK.
14. Sistema de autenticação, de acordo com areivindicação 13, caracterizado pelo fato de a MS e a BSgerarem a segunda PMK pelo truncamento da segunda MSK.
15. Sistema de autenticação, de acordo com areivindicação 14, caracterizado pelo fato de a MS e a BSgerarem a AK usando um XOR da primeira PMK e de uma segundaPMK e uma concatenação do identificador (ID) da MS e do IDda BS.
16. Sistema de autenticação, de acordo com areivindicação 14, caracterizado pelo fato de a MS e a BSgerarem a AK pela aplicação da primeira PMK e da segundaPMK a:AK = Dotl6KDF(PMK θ PMK2, SSID|BSID| 'AK',160)onde Dotl6KDF é uma função de geração de AK, PMK é aprimeira PMK, PMK2 é a segunda PMK, SSID é o ID da MS, BSIDé o ID da BS, xAK' é a AK gerada pela Dotl6KDF, e 160denota o comprimento da AK, 160 bits.
17. Sistema de autenticação, de acordo com areivindicação 14, caracterizado pelo fato de a MS e a BSgerarem a AK usando a primeira PMK e uma concatenação dasegunda PMK, o ID da MS e o ID da BS.
18. Sistema de autenticação, de acordo com areivindicação 14, caracterizado pelo fato de a MS e a BSgerarem a AK pela aplicação da primeira PMK e da segundaPMK a:AK = Dotl6KDF(PMK, SSID|BSID|PMK2| 'AK',160)onde Dotl6KDF é uma função de geração de AK, PMK é aprimeira PMK, PMK2 é a segunda PMK, SSID é o ID da MS, BSIDé o ID da BS, xAK' é a AK gerada pela DotlGKDF, e 160denota o comprimento da AK, 160 bits.
BRPI0612566-2A 2005-07-02 2006-06-30 Método de autenticação em um sistema de comunicação e estação base BRPI0612566B1 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR10-2005-0059495 2005-07-02
KR20050059495A KR100770928B1 (ko) 2005-07-02 2005-07-02 통신 시스템에서 인증 시스템 및 방법
PCT/KR2006/002571 WO2007004824A1 (en) 2005-07-02 2006-06-30 Authentication system and method thereof in a communication system

Publications (2)

Publication Number Publication Date
BRPI0612566A2 true BRPI0612566A2 (pt) 2010-11-23
BRPI0612566B1 BRPI0612566B1 (pt) 2019-05-14

Family

ID=36763186

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0612566-2A BRPI0612566B1 (pt) 2005-07-02 2006-06-30 Método de autenticação em um sistema de comunicação e estação base

Country Status (10)

Country Link
US (1) US7724904B2 (pt)
EP (1) EP1739903B1 (pt)
JP (1) JP4647689B2 (pt)
KR (1) KR100770928B1 (pt)
CN (1) CN101208901B (pt)
AU (1) AU2006266651B2 (pt)
BR (1) BRPI0612566B1 (pt)
CA (1) CA2608261C (pt)
RU (1) RU2367098C1 (pt)
WO (1) WO2007004824A1 (pt)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090063851A1 (en) * 2006-03-20 2009-03-05 Nijdam Mark J Establishing communications
EP1865656A1 (en) * 2006-06-08 2007-12-12 BRITISH TELECOMMUNICATIONS public limited company Provision of secure communications connection using third party authentication
DE102006038592B4 (de) * 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
FI121560B (fi) * 2006-11-20 2010-12-31 Teliasonera Ab Todentaminen matkaviestintäyhteistoimintajärjestelmässä
KR101002799B1 (ko) 2007-03-21 2010-12-21 삼성전자주식회사 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치
US8145905B2 (en) 2007-05-07 2012-03-27 Qualcomm Incorporated Method and apparatus for efficient support for multiple authentications
US8509440B2 (en) * 2007-08-24 2013-08-13 Futurwei Technologies, Inc. PANA for roaming Wi-Fi access in fixed network architectures
US8335490B2 (en) * 2007-08-24 2012-12-18 Futurewei Technologies, Inc. Roaming Wi-Fi access in fixed network architectures
US7941663B2 (en) * 2007-10-23 2011-05-10 Futurewei Technologies, Inc. Authentication of 6LoWPAN nodes using EAP-GPSK
CN101471773B (zh) * 2007-12-27 2011-01-19 华为技术有限公司 一种网络服务的协商方法和系统
US9246679B2 (en) * 2007-12-28 2016-01-26 Intel Corporation Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks
CN101827361B (zh) * 2008-11-03 2012-10-17 华为技术有限公司 身份认证方法、可信任环境单元及家庭基站
US8443431B2 (en) * 2009-10-30 2013-05-14 Alcatel Lucent Authenticator relocation method for WiMAX system
EP2540057A2 (en) * 2010-02-26 2013-01-02 General instrument Corporation Dynamic cryptographic subscriber-device identity binding for subscriber mobility
CN102196438A (zh) 2010-03-16 2011-09-21 高通股份有限公司 通信终端标识号管理的方法和装置
US9385862B2 (en) 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
US8839373B2 (en) 2010-06-18 2014-09-16 Qualcomm Incorporated Method and apparatus for relay node management and authorization
US9112905B2 (en) 2010-10-22 2015-08-18 Qualcomm Incorporated Authentication of access terminal identities in roaming networks
US9668128B2 (en) 2011-03-09 2017-05-30 Qualcomm Incorporated Method for authentication of a remote station using a secure element
US9801099B2 (en) * 2013-05-15 2017-10-24 Blackberry Limited Method and system for use of cellular infrastructure to manage small cell access
KR102064099B1 (ko) * 2013-09-16 2020-02-17 콘비다 와이어리스, 엘엘씨 Eap/다이어미터를 통한 와이파이 qos의 이동 네트워크 운영자(mno) 제어
CN106162635A (zh) * 2015-04-01 2016-11-23 北京佰才邦技术有限公司 用户设备的认证方法和装置
NO340973B1 (en) * 2015-12-22 2017-07-31 Aker Solutions As Subsea methane hydrate production
US10791093B2 (en) * 2016-04-29 2020-09-29 Avago Technologies International Sales Pte. Limited Home network traffic isolation
US20190372973A1 (en) * 2018-05-30 2019-12-05 Cisco Technology, Inc. Device onboarding with automatic ipsk provisioning in wireless networks
CN111404666A (zh) * 2019-01-02 2020-07-10 中国移动通信有限公司研究院 一种密钥生成方法、终端设备及网络设备

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2183051C2 (ru) 2000-04-12 2002-05-27 Военный университет связи Способ формирования ключа шифрования/дешифрования
US20030235305A1 (en) * 2002-06-20 2003-12-25 Hsu Raymond T. Key generation in a communication system
US20040010713A1 (en) * 2002-07-12 2004-01-15 Vollbrecht John R. EAP telecommunication protocol extension
GB0221674D0 (en) 2002-09-18 2002-10-30 Nokia Corp Linked authentication protocols
CN1243434C (zh) * 2002-09-23 2006-02-22 华为技术有限公司 基于远程认证的网络中实现eap认证的方法
US7792527B2 (en) * 2002-11-08 2010-09-07 Ntt Docomo, Inc. Wireless network handoff key
CN1549494A (zh) * 2003-05-16 2004-11-24 华为技术有限公司 一种实现用户认证的方法
EP1528718B1 (en) 2003-10-30 2009-12-16 Research In Motion Limited Method for transmitting (receiving) cellular network information (e.g. MNC, NCC) by (from) a wireless local area network in an extensible authentication protocol (EAP)
KR100589677B1 (ko) * 2003-12-03 2006-06-15 삼성전자주식회사 휴대 인터넷 시스템 및 이의 인증 방법
CN1299526C (zh) 2003-12-10 2007-02-07 大唐电信科技股份有限公司 一种基于用户识别模块的无线局域网终端用户认证方法
US20050138355A1 (en) 2003-12-19 2005-06-23 Lidong Chen System, method and devices for authentication in a wireless local area network (WLAN)
KR20050109685A (ko) * 2004-05-17 2005-11-22 에스케이 텔레콤주식회사 휴대 인터넷 시스템에서 단말기 인증과 공존하는 확장된인증 프로토콜 기반의 사용자 인증 방법 및 시스템
US8127136B2 (en) * 2004-08-25 2012-02-28 Samsung Electronics Co., Ltd Method for security association negotiation with extensible authentication protocol in wireless portable internet system
KR100704675B1 (ko) * 2005-03-09 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
FI20050491A0 (fi) * 2005-05-09 2005-05-09 Nokia Corp Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä
US7978855B2 (en) * 2005-06-22 2011-07-12 Samsung Electronics Co., Ltd. Method for allocating authorization key identifier for wireless portable internet system
US7596225B2 (en) * 2005-06-30 2009-09-29 Alcatl-Lucent Usa Inc. Method for refreshing a pairwise master key
US7602918B2 (en) * 2005-06-30 2009-10-13 Alcatel-Lucent Usa Inc. Method for distributing security keys during hand-off in a wireless communication system
US7715562B2 (en) * 2006-03-06 2010-05-11 Cisco Technology, Inc. System and method for access authentication in a mobile wireless network

Also Published As

Publication number Publication date
JP2008547350A (ja) 2008-12-25
KR100770928B1 (ko) 2007-10-26
CA2608261A1 (en) 2007-01-11
RU2007149329A (ru) 2009-07-10
EP1739903A1 (en) 2007-01-03
JP4647689B2 (ja) 2011-03-09
CA2608261C (en) 2012-09-25
AU2006266651B2 (en) 2010-04-22
EP1739903B1 (en) 2012-10-31
US7724904B2 (en) 2010-05-25
AU2006266651A1 (en) 2007-01-11
US20070016780A1 (en) 2007-01-18
CN101208901A (zh) 2008-06-25
CN101208901B (zh) 2010-09-22
RU2367098C1 (ru) 2009-09-10
KR20070003484A (ko) 2007-01-05
BRPI0612566B1 (pt) 2019-05-14
WO2007004824A1 (en) 2007-01-11

Similar Documents

Publication Publication Date Title
BRPI0612566A2 (pt) método e sistema de autenticação em um sistema de comunicação
US9628481B2 (en) Method of providing fresh keys for message authentication
EP1900170B1 (en) Short authentication procedure in wireless data communications networks
CA2520772C (en) Facilitating 802.11 roaming by pre-establishing session keys
US8855603B2 (en) Local security key update at a wireless communication device
ES2548868T3 (es) Métodos y aparatos para generar una clave de estación base de radio y un autentificador de identidad de terminal en un sistema de radio celular
US20070112967A1 (en) Re-authentication system and method in communication system
BRPI0716621A2 (pt) Gerenciamento de chave de rede ad-hoc
KR20180066899A (ko) 디피 헬먼(Diffie-Hellman) 절차를 이용한 세션 키 생성 방법 및 시스템
KR20090066116A (ko) 무선 액세스 기술과 이동ip 기반 이동성 제어 기술이적용된 차세대 네트워크 환경을 위한 통합 핸드오버 인증방법
BR112012003848B1 (pt) método e aparelho para redução de sobrecarga para verificação de integridade de dados em sistema de comunicação sem fio
JP5399509B2 (ja) 通信システムにおける競り下げ攻撃の防止
CN101568107A (zh) 票据分发装置、快速认证装置、接入点及其方法
KR101023605B1 (ko) 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득방법
Hur et al. An efficient pre-authentication scheme for IEEE 802.11-based vehicular networks
Nakhjiri Use of EAP-AKA, IETF HOKEY and AAA mechanisms to provide access and handover security and 3G-802.16 m interworking
US20110093711A1 (en) Method and system for encrypting data in a wireless communication system
Zhao et al. Security and seamless mobility based architecture for hybrid network of enterprise
PT107993B (pt) Método e sistema de autenticação de um domínio de operador 3gpp
KR20110041963A (ko) 무선 통신 시스템에서 데이터 암호화 방법 및 시스템

Legal Events

Date Code Title Description
B15K Others concerning applications: alteration of classification

Free format text: A CLASSIFICACAO ANTERIOR ERA: H04L 9/14

Ipc: H04L 9/08 (1990.01), H04L 29/06 (1990.01), H04W 12

B06T Formal requirements before examination [chapter 6.20 patent gazette]
B06F Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette]
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 10 (DEZ) ANOS CONTADOS A PARTIR DE 14/05/2019, OBSERVADAS AS CONDICOES LEGAIS. (CO) 10 (DEZ) ANOS CONTADOS A PARTIR DE 14/05/2019, OBSERVADAS AS CONDICOES LEGAIS

B21F Lapse acc. art. 78, item iv - on non-payment of the annual fees in time

Free format text: REFERENTE A 16A ANUIDADE.

B24J Lapse because of non-payment of annual fees (definitively: art 78 iv lpi, resolution 113/2013 art. 12)

Free format text: EM VIRTUDE DA EXTINCAO PUBLICADA NA RPI 2677 DE 26-04-2022 E CONSIDERANDO AUSENCIA DE MANIFESTACAO DENTRO DOS PRAZOS LEGAIS, INFORMO QUE CABE SER MANTIDA A EXTINCAO DA PATENTE E SEUS CERTIFICADOS, CONFORME O DISPOSTO NO ARTIGO 12, DA RESOLUCAO 113/2013.