MÉTODO DE AUTENTICAÇÃO EM UM SISTEMA DE COMUNICAÇÃO E
ESTAÇÃO BASE
ANTECEDENTES DA INVENÇÃO
1. Campo da Invenção de
A presente comunicação autenticação e invenção se refere geralmente e, um a um sistema em particular, a um método do mesmo em um sistema sistema de de comunicação.
2.
Descrição da
Técnica Relacionada
Os sistemas de comunicação estão sendo desenvolvidos para a provisão a usuários de um níveis de Qualidade de Serviço andamento para suporte de um pela garantia de mobilidade comunicação de
Acesso
Sem Fio e
de
serviço |
que |
tem vários |
(QoS). |
Há |
estudos |
em |
viço de |
alta |
velocidade |
QoS em |
um |
sistema |
de |
Banda Larga |
(BWA), |
tal |
uma Rede de como uma Rede de Área
Local Sem Fio (WLAN) e
Área Metropolitana Sem
Fio (WMAN). O 802.16a/d do Institute of
Electrical and Electronics Engineers (IEEE) e o 802.16e do
IEEE são esses sistemas principais.
Com referência à FIG. 1, uma autenticação, particularmente pelo Protocolo de Autenticação Extensível (EAP) duplo em um sistema de comunicação típico 802.16e do IEEE será descrita aqui. Por simplicidade de notação, o EAP duplo é denominado 'EAP em EAP' e um modo de operação de EAP em EAP é denominado um 'modo de EAP em EAP'.
A FIG. 1 é um diagrama que ilustra um fluxo de sinal para uma autenticação de EAP em EAP em um sistema de comunicação típico 802.16e do IEEE.
Com referência à FIG. 1, o sistema de comunicação 802.16e do IEEE inclui uma Estação Móvel (MS) 100, uma
Petição 870190004065, de 14/01/2019, pág. 8/55
2/16
Estação Base (BS) 140, e um servidor de Autorização, Autenticação e Contabilidade (AAA) 180. Uma vez que o sistema de comunicação típico 802.16e do IEEE opera em EAP em EAP, ele autentica no esquema de EAP duplo. Em nome da conveniência, uma autenticação baseada no esquema de EAP é referida como uma 'autenticação de EAP'. A primeira das duas autenticações de EAP é uma autenticação de dispositivo 120 e a segunda é uma autenticação de usuário 160, após a primeira autenticação de EAP ser bem sucedida.
Quando uma autenticação de dispositivo é requerida, a BS 140 transmite uma mensagem EAP-REQUEST/IDENTITY para a MS 100, requisitando uma autenticação de EAP. Devido ao fato de mensagens de EAP serem trocadas entre a MS 100 e a BS 140 pelo Gerenciamento de Chave de Privacidade (PKM)_EAP_TRANSFER no sistema 802.16e do IEEE, a BS 140 transmite uma mensagem PKM_EAP/EAP-REQUEST/IDENTITY para a MS 100 na etapa 101. A MS 100 responde pela transmissão de uma mensagem PKM_EAP/EAP-RESPONSE/IDENTITY na etapa 103.
A BS 140 encaminha a mensagem PKM_EAP/EAPRESPONSE/IDENTITY para o servidor de AAA 180. As mensagens de EAP são trocadas entre a BS 140 e o servidor de AAA 180 por mensagens de protocolo de Serviço de Usuário de Discagem de Autenticação Remota (RADIUS) ou mensagens de protocolo de DIAMETER. No caso ilustrado da FIG. 1, as mensagens de protocolo de RADIUS são usadas entre a BS 140 e o servidor de AAA 180. Daí, a BS 140 transmite uma mensagem RADIUS ACCESS REQUEST/IDENTITY para o servidor de
AAA 180 na etapa 105 |
AAA |
180 |
realiza uma autenticação de |
O servidor |
de |
dispositivo na |
MS |
100 |
pela |
autenticação das mensagens |
Petição 870190004065, de 14/01/2019, pág. 9/55
3/16
PKM_EAP usando uma Segurança de Nível de Transporte de EAP (TLS), uma Chave Pré-compartilhada de Segurança de Nível de Transporte de EAP (TLSPSL) , uma Autenticação de EAP e Acordo de Chave (AKA) ou EAP-PSK na etapa 107. Como conseqüência da autenticação de dispositivo, o servidor de AAA 180 e a MS 100 compartilham uma Chave de Sessão Mestra (MSK) nas etapas 109 e 111.
O servidor de AAA 180 transmite uma mensagem RADIUS ACCEPT como uma mensagem EAP-SUCCESS para a BS 140 na etapa 113. A mensagem RADIUS ACCEPT inclui a MSK. Na etapa 115, a BS 140 transmite uma mensagem PKM_EAP/EAP-SUCCESS para a MS 100, notificando o sucesso da autenticação de EAP.
Nas etapas 117 e 119, a MS 100 e a BS 140 geram uma Chave de Integridade de EAP (EIK) e uma Chave Mestra em Par (PMK) a partir da MSK, durante a autenticação de dispositivo 120. A EIK gerada criada através da autenticação de dispositivo 120 é usada para proteção das mensagens de EAP transmitidas durante a segunda autenticação de EAP, isto é, a autenticação de usuário 160.
Durante a autenticação de usuário 160, a BS 140 transmite uma mensagem PKM_EAP/EAP-REQUEST/IDENTITY para a MS 100, quando a autenticação de usuário for necessária, na etapa 161. A MS 100 responde pela transmissão de uma mensagem PKM_EAP/EAP-RESPONSE/IDENTITY na etapa 163.
Na etapa 165, a BS 140 converte a mensagem PKM_EAP/EAP-RESPONSE/IDENTITY na forma de uma mensagem RADIUS ACCESS REQUEST/IDENTITY e a transmite para o servidor de AAA 180.
O servidor de AAA 180 realiza uma autenticação de usuário na MS 100 pela autenticação de mensagem PKM_EAP
Petição 870190004065, de 14/01/2019, pág. 10/55
4/16 usando EAP-Message-Digest5 (MD5) ou um
Protocolo de
Autenticação de Desafio da Microsoft de
EAP versão (MSCHAPv2) na etapa 167. Diferentemente da autenticação de dispositivo
120, nenhuma MSK adicional é gerada, mesmo quando a autenticação de usuário for completada. A propósito, mediante a recepção de uma mensagem RADIUS
ACCEPT na etapa 169,
BS 140 transmite uma mensagem
PKM_EAP/EAP-SUCCESS para a
MS 100 na etapa 171. Nas etapas
173 e 175, a MS 100 e
BS
140 geram uma Chave de
Autorização (AK) usando
PMK.
criação da AK será descrita em maiores detalhes mais tarde, com referência à
FIG. 2.
Conforme descrito acima, em uma autenticação de EAP em
EAP do sistema de comunicação 802.16e do IEEE, uma MSK é gerada durante apenas a primeira autenticação de EAP.
A FIG. 2 é um fluxograma ilustrando um procedimento de criação de uma AK em um sistema de comunicação 802.16e do
IEEE típico. Esta operação ocorre na MS e na BS, cada uma, e a criação da AK será descrita aqui no contexto da BS.
Com referência à FIG. 2, a BS recebe uma MSK gerada durante a primeira autenticação de EAP, isto é, a autenticação de dispositivo a partir do servidor de AAA na etapa 211, e gera uma EIK e uma PMK usando a MSK na etapa 213. Especificamente, a BS gera uma EIK e uma PMK com um número predeterminado de bits, por exemplo, uma EIK de 160 bits e uma PMK de 160 bits pelo truncamento da MSK.
Na etapa 215, a BS gera uma AK pela aplicação da PMK a uma função predeterminada. Especificamente, a BS usa a PMK em uma função Dot16KDF, por exemplo. A função Dot16KDF é expressa e estabelecida na Equação (1) abaixo como:
Petição 870190004065, de 14/01/2019, pág. 11/55
5/16
AK = Dot16KDF(PMK, SSID|BSID| 'AK',160) .... (1) onde SSID é o Identificador (ID) da MS para a qual a autenticação de EAP é realizada, BSID é o ID da BS, 'AK' é a AK criada pela Dot16KDF, e 160 denota o comprimento da
AK, 160 bits. Daí, a função Dot16KDF gera uma AK de 160 bits usando a PMK e um parâmetro do SSID e do BSID em concatenação.
A FIG. 3 é um diagrama que ilustra um fluxo de sinal para um procedimento de intercâmbio de indicativos e sinais 10 de controle (handshake) de 3 vias de Chave de Associação de
Segurança & Encriptação de Tráfego (SA-TEK) para uma autenticação de EAP em EAP no sistema de comunicação típico 802.16e do IEEE.
Com referência à FIG. 3, o sistema de comunicação 15 802.16e do IEEE inclui uma MS 300, uma MS adversária (ADV)
320, uma BS 340 e um servidor de AAA 360. A MS 300 e a BS
340 são dispositivos / usuários normais e a ADV 320 é um dispositivo / usuário adversário o qual tem uma chave válida para a primeira autenticação de EAP e intercepta uma 20 mensagem de EAP a partir da MS 300 durante a segunda autenticação de EAP.
A primeira autenticação de EAP é realizada entre a MS
300, a BS 340 e o servidor de AAA 360 da maneira ilustrada com referência à FIG. 1, na etapa 311. Nas etapas 313 e 25 315, a MS 300 e a BS 340 adquirem uma EIK (EIKMS) e uma PMK (PMKms) .
A propósito, a ADV 320 também realiza uma autenticação de EAP com a BS 340 e o servidor de AAA 360 na etapa 317.
Nas etapas 319 e 321, assim, a ADV 320 e a BS 340 adquirem 30 uma EIK (EIKADV) e uma PMK (PMKADV).
Petição 870190004065, de 14/01/2019, pág. 12/55
6/16
Quando uma autenticação de usuário é necessária, a BS 340 então transmite uma mensagem PKM_EAP/EAPREQUEST/IDENTITY para a MS 300 e a ADV 320 nas etapas 323 e 325. A MS 300 responde pela transmissão de uma mensagem 5 PKM_EAP/EAP-RESPONSE/IDENTITY na etapa 327. A ADV 320 monitora a mensagem PKM_EAP/EAP-RESPONSE/IDENTITY, a copia e transmite a cópia usando a EIKadv na etapa 329.
Mediante a recepção das mensagens PKM_EAP/EAPREQUEST/IDENTITY da MS 300 e da ADV 320, a BS 340 converte 10 as mensagens PKM_EAP/EAP-REQUEST/IDENTITY na forma de mensagens RADIUS REQUEST/IDENTITY e as encaminha para o servidor de AAA 360 nas etapas 331 e 333.
O servidor de AAA 360 transmite mensagens ACCESS CHALLENGE para a MS 300 e a ADV 320 nas etapas 335 e 337.
As mensagens ACCESS CHALLENGE, cada uma, incluem parâmetros de autenticação para tentativa de acesso, CHALLENGE e SECRETE.
A MS 300 gera um parâmetro VALUE usando CHALLENGE e SECRETE incluídos na mensagem ACCESS CHALLENGE. VALUE é 20 criado por uma função predeterminada, por exemplo, uma função MD5 expressa conforme estabelecido abaixo na Equação (2) :
VALUE = MD5(ID, SECRET, CHALLENGE) .... (2) onde ID representa o ID da MS 300.
Na etapa 341, o MS 300 transmite uma mensagem
PKM_EAP/EAP-RESPONSE/RESPONSE incluindo seu ID e VALUE para a BS 340. Contudo, a ADV 320 intercepta a mensagem PKM_EAP/EAP-RESPONSE/RESPONSE e transmite uma mensagem PKM_EAP/EAP-RESPONSE/RESPONSE incluindo o ID da ADV 320 e 30 VALUE criado pela MS 300 usando EIKadv para a BS 340 na
Petição 870190004065, de 14/01/2019, pág. 13/55
7/16 etapa 343.
A BS 340 então converte a mensagem PKM_EAP/EAPRESPONSE/RESPONSE recebida a partir da ADV 320 na forma de uma mensagem RADIUS ACCESS REQUEST/RESPONSE e a encaminha para o servidor de AAA 360 na etapa 345.
O servidor de AAA 360 autentica a ADV 320 usando um
ID, SECRET, e VALUE que ele tem na etapa 347. Conforme a autenticação é bem sucedida, o servidor de AAA 360 transmite uma mensagem RADIUS ACCEPT notificando a autenticação de EAP 349. Na etapa 351, autenticação de EAP, é realizado dentre a bem sucedida para assim, a ADV 320 quando o handshake ADV 320, a BS 340 a BS 340 na etapa é bem sucedida na de 3 vias de SA-TEK e o servidor de AAA
360. O fenômeno do dispositivo / usuário adversário interceptar a AK do dispositivo / usuário normal e realizar uma autenticação de EAP é denominado o ataque do homem no meio (Man-in-the-middle).
Conforme descrito acima devido ao fato de na autenticação de EAP em EAP, o sistema de comunicação típico 802.16e do IEEE gera uma MSK durante a primeira autenticação de EAP apenas e uma AK é criada usando-se uma PMK derivada da MSK, o fenômeno do ataque do homem no meio ocorre. Como resultado, um serviço normal é impossível de se prover para um dispositivo / usuário normal, desse modo se diminuindo a QoS geral do sistema. Assim sendo, há uma necessidade de um desenvolvimento de um novo método de autenticação para eliminação do fenômeno do ataque do homem no meio.
SUMÁRIO DA INVENÇÃO
Um objetivo da presente invenção é resolver
Petição 870190004065, de 14/01/2019, pág. 14/55
8/16 substancialmente pelo menos os problemas acima e/ou as desvantagens e prover pelo menos as vantagens abaixo. Assim sendo, a presente invenção provê um sistema de autenticação de EAP em EAP e um método em um sistema de comunicação. A 5 presente invenção também provê um sistema e um método para a realização de uma autenticação de forma confiável em EAP em EAP usando PMKs duplas.
De acordo com um aspecto da presente invenção, em um sistema de autenticação em um sistema de comunicação, uma 10 MS adquire uma primeira MSK pela realização de uma primeira autenticação de EAP que é uma autenticação de dispositivo em um esquema de EAP em EAP com uma BS e um servidor de AAA, e adquire uma segunda MSK ao realizar uma segunda autenticação de EAP que é uma autenticação de usuário em um 15 esquema de EAP em EAP com uma BS e um servidor de AAA, após a primeira autenticação de EAP. O servidor de AAA adquire a primeira MSK pela realização de uma primeira autenticação de EAP com a MS e a BS e adquire a segunda MSK pela realização de uma primeira autenticação de EAP com a MS e a 20 BS. A BS adquire a primeira MSK pela realização de uma primeira autenticação de EAP com a MS e o servidor de AAA e adquire a segunda MSK pela realização de uma segunda autenticação de EAP com a MS e o servidor de AAA.
De acordo com um outro aspecto da presente invenção, em um método de autenticação em um sistema de comunicação, uma primeira MSK é adquirida por uma primeira autenticação de EAP para uma MS em um esquema de EAP em EAP pela MS, uma BS e um servidor de AAA. A primeira autenticação de EAP é uma autenticação de dispositivo. Uma segunda MSK é 30 adquirida por uma segunda autenticação de EAP para a MS em
Petição 870190004065, de 14/01/2019, pág. 15/55
9/16 um esquema de EAP em EAP pela MS, pela BS e pelo servidor de AAA, após a primeira autenticação de EAP. A segunda autenticação de EAP é uma autenticação de usuário.
BREVE DESCRIÇÃO DOS DESENHOS
Os objetivos acima, recursos, vantagens e outros da presente invenção tornar-se-ão mais evidentes a partir da descrição detalhada a seguir, quando tomada em conjunto com os desenhos associados, nos quais:
a FIG. 1 é um diagrama que ilustra um fluxo de sinal para uma autenticação de EAP em EAP em um sistema de comunicação típico 802.16e do IEEE;
a FIG. 2 é um fluxograma que ilustra uma operação de geração de AK no sistema de comunicação típico 802.16e do IEEE;
a FIG. 3 é um digrama que ilustra um fluxo de sinal em um procedimento de handshake de 3 vias de SA-TEK na autenticação de EAP em EAP no sistema de comunicação típico 802.16e do IEEE;
a FIG. 4 é um diagrama que ilustra um fluxo de sinal para autenticação de EAP em EAP usando PMKs duplas em um sistema de comunicação 802.16e do IEEE de acordo com a presente invenção;
a FIG. 5 é um fluxograma que ilustra um procedimento para geração de uma AK no sistema de comunicação 802.16e do IEEE de acordo com a presente invenção; e a FIG. 6 é um digrama que ilustra um fluxo de sinal em um procedimento de handshake de 3 vias de SA-TEK na autenticação de EAP em EAP no sistema de comunicação 802.16e do IEEE de acordo com uma modalidade da presente invenção.
Petição 870190004065, de 14/01/2019, pág. 16/55
10/16
DESCRIÇÃO DETALHADA DAS MODALIDADES PREFERIDAS
As modalidades preferidas da presente invenção serão descritas aqui abaixo com referência aos desenhos associados. Na descrição a seguir, funções ou construções bem conhecidas não são descritas em detalhes, uma vez que eles obscureceriam a invenção com detalhes desnecessários.
A presente invenção provê um sistema de autenticação e um método em um sistema de comunicação, por exemplo, um sistema 802.16e do Institute of Electrical and Electronics Engineers (IEEE). Particularmente, a presente invenção é dirigida a um sistema e a um método para uma autenticação de Protocolo de Autenticação Extensível (EAP) duplo denominado autenticação de EAP em EAP. Aqui, um modo de operação em EAP em EAP é denominado um modo de EAP em EAP. Embora a presente invenção seja descrita no contexto do sistema de comunicação 802.16e do IEEE em nome da conveniência, é para ser claramente compreendido que a presente invenção é aplicável a qualquer outro sistema de comunicação.
A FIG. 4 é um diagrama que ilustra um fluxo de sinal para autenticação de EAP em EAP usando Chaves Mestras em Pares (PMKs) em um sistema de comunicação 802.16e do IEEE de acordo com a presente invenção.
Com referência à FIG. 4, o sistema de comunicação 802.16e do IEEE inclui uma Estação Móvel (MS) 400, uma Estação Base (BS) 440, e um servidor de Autorização, Autenticação e Contabilidade (AAA) 480. Uma vez que o sistema de comunicação 802.16e do IEEE opera em EAP em EAP, ele realiza autenticações duplas. Em nome da conveniência, uma autenticação baseada no esquema de EAP é referida como
Petição 870190004065, de 14/01/2019, pág. 17/55
11/16 uma 'autenticação de EAP'. A primeira das duas autenticações de EAP é uma autenticação de dispositivo 420 e a segunda é uma autenticação de usuário 460, realizada após a primeira autenticação de EAP ser bem sucedida.
Quando uma autenticação de dispositivo 420 é requerida, a BS 440 transmite uma mensagem EAPREQUEST/IDENTITY para a MS 400, requisitando uma autenticação de EAP. Devido ao fato de mensagens de EAP serem trocadas entre a MS 400 e a BS 440 pelo Gerenciamento de Chave de Privacidade (PKM)_EAP_TRANSFER no sistema 802.16e do IEEE, a BS 440 transmite uma mensagem PKM_EAP/EAP-REQUEST/IDENTITY para a MS 400 na etapa 401.
A MS 400 responde pela transmissão de uma mensagem PKM_EAP/EAP-RESPONSE/IDENTITY na etapa 403.
A BS 440 encaminha a mensagem PKM_EAP/EAPRESPONSE/IDENTITY para o servidor de AAA 480. As mensagens de EAP são trocadas entre a BS 440 e o servidor de AAA 480 por mensagens de protocolo de Serviço de Usuário de Discagem de Autenticação Remota (RADIUS) ou mensagens de protocolo de DIAMETER. No caso ilustrado da FIG. 4, as mensagens de protocolo de RADIUS são usadas entre a BS 440 e o servidor de AAA 480. Daí, a BS 440 transmite uma mensagem RADIUS ACCESS REQUEST/IDENTITY para o servidor de AAA 480 na etapa 405.
O servidor de AAA 480 realiza uma autenticação de dispositivo na MS 400 pela autenticação da mensagem PKM_EAP usando uma Segurança de Nível de Transporte de EAP (TLS), uma Chave Pré-compartilhada de Segurança de Nível de Transporte de EAP (TLSPSL), uma Autenticação de EAP e Acordo de Chave (AKA) ou EAP-PSK na etapa 407. Como
Petição 870190004065, de 14/01/2019, pág. 18/55
12/16 conseqüência da autenticação de dispositivo, o servidor de
AAA 480 e a MS 400 compartilham uma Chave de Sessão Mestra (MSK) nas etapas 409 e 411.
O servidor de AAA 480 transmite uma mensagem RADIUS ACCEPT como uma mensagem EAP-SUCCESS para a BS 440 na etapa 413. A mensagem RADIUS ACCEPT inclui a MSK. Na etapa 415, a BS 440 transmite uma mensagem PKM_EAP/EAP-SUCCESS para a MS 400, notificando o sucesso da autenticação de EAP. Na etapa 417, a BS 440 gera uma Chave de Integridade de EAP (EIK) e uma Chave Mestra em Par (PMK) a partir da MSK.
A EIK é usada para proteção das mensagens de EAP transmitidas durante a segunda autenticação de EAP, isto é, a autenticação de usuário 460. Então, a autenticação de usuário 460 se segue à autenticação de dispositivo 420.
A BS 440 transmite uma mensagem PKM_EAP/EAPREQUEST/IDENTITY para a MS 400, quando a autenticação de usuário for necessária, na etapa 461. A MS 400 responde pela transmissão de uma mensagem PKM_EAP/EAPRESPONSE/IDENTITY na etapa 463.
Na etapa 465, a BS 440 converte a mensagem PKM_EAP/EAP-RESPONSE/IDENTITY na forma de uma mensagem RADIUS ACCESS REQUEST/IDENTITY e a transmite para o servidor de AAA 480.
O |
servidor |
de AAA 480 realiza |
uma |
autenticação de |
usuário |
na MS |
400 pela autenticação |
de |
mensagem PKM_EAP |
usando |
EAP-TLS, |
EAP-TLSPSK, EAP-AKA, |
ou |
EAP-PSK na etapa |
467. Assim, o servidor de AAA 480 e a MS 400 compartilham uma segunda MSK, a MSK2, conforme a autenticação de usuário é completada nas etapas 469 e 471. Desse modo, duas MSKs, incluindo MSK e MSK2 são criadas durante a autenticação de
Petição 870190004065, de 14/01/2019, pág. 19/55
13/16 dispositivo e a autenticação de usuário, respectivamente, na autenticação de EAP em EAP da presente invenção.
Na etapa 473, o servidor de AAA 480 transmite uma mensagem RADIUS ACCEPT para a BS 440, notificando o sucesso 5 da autenticação de EAP. A BS 440 então transmite uma mensagem PKM_EAP/EAP-SUCCESS para a MS 400 na etapa 475. Através da autenticação de usuário 460, a BS 440 gera uma segunda PMK, PMK2 a partir de MSK2 e gera uma Chave de Autorização (AK) usando PMK e PMK2 na etapa 477. A criação 10 da AK a partir de PMK e PMK2 na MS 400 e na BS 440 será descrita em maiores detalhes com referência à FIG. 5.
A FIG. 5 é um fluxograma que ilustra um procedimento para a geração da AK no sistema de comunicação 802.16e do IEEE de acordo com a presente invenção. Este procedimento 15 na MS, e a geração da MS e a AK serão descritas aqui no contexto da BS.
Com referência à FIG. 5, a BS adquire uma MSK pela primeira autenticação de EAP, isto é, a autenticação de dispositivo na etapa 511, e geralmente cria uma EIK e uma 20 PMK usando a MSK na etapa 513. Especificamente, a BS gera uma EIK e uma PMK com um número predeterminado de bits, por exemplo, uma EIK de 160 bits e uma PMK de 160 bits pelo truncamento da MSK.
Na etapa 515, a BS adquire uma segunda MSK, MSK2, 25 através da segunda autenticação de EAP, isto é, da autenticação de usuário. A BS gera uma segunda PMK, PMK2, por exemplo, uma PMK2 de 160 bits pelo truncamento de MSK2 na etapa 517.
A BS gera uma AK pela aplicação da PMK e da PMK2 a uma função de geração de AK. Especificamente, a BS usa a PMK e
Petição 870190004065, de 14/01/2019, pág. 20/55
14/16 a PMK2 em uma função Dot16KDF, por exemplo. A função Dot16KDF pode ser expressa como a Equação (3) ou a Equação (4) abaixo.
AK = Dot16KDF(PMK ® PMK2, SSID|BSID| 'AK',160)... (3)
Na Equação (3) acima, SSID é o ID da MS para a qual a autenticação de EAP é realizada, BSID é o ID da BS, 'AK' é a AK criada pela Dot16KDF, e 160 denota o comprimento da AK, 160 bits. Daí, a função Dot16KDF gera uma AK de 160 bits usando um XOR de PMK e PMK2 e um parâmetro do SSID e do BSID em concatenação.
AK = Dot16KDF(PMK, SSID|BSID|PMK2| 'AK',160) .... (4)
Na Equação (4) acima, SSID é o ID da MS para a qual a autenticação de EAP é realizada, BSID é o ID da BS, 'AK' é a AK criada pela Dot16KDF, e 160 denota o comprimento da AK, 160 bits. Daí, a função Dot16KDF gera uma AK de 160 bits usando a PMK e um parâmetro do SSID, do BSID e PMK2 em concatenação.
Conforme descrito acima, uma AK é gerada usando-se uma PMK resultante da primeira autenticação de EAP e uma PMK2 resultante da segunda autenticação de EAP durante uma autenticação de EAP em EAP usando PMKs duplas no sistema de comunicação 802.16e do IEEE de acordo com a modalidade da presente invenção. Portanto, o fenômeno de ataque do homem no meio, o qual é encontrado no sistema de comunicação típico 802.16e do IEEE, pode ser eliminado.
A FIG. 6 é um diagrama que ilustra um fluxo de sinal para um procedimento de handshake de 3 vias de Chave de Associação de Segurança & Encriptação de Tráfego (SA-TEK) para uma autenticação de EAP em EAP no sistema de comunicação 802.16e do IEEE de acordo com a presente
Petição 870190004065, de 14/01/2019, pág. 21/55
15/16 invenção.
Com referência à FIG. 6, o sistema de comunicação 802.16e do IEEE inclui uma MS 600, uma MS adversária (ADV) 620, uma BS 640 e um servidor de AAA 660. A MS 600 e a BS 640 são dispositivos / usuários normais e a ADV 620 é um dispositivo / usuário adversário o qual tem uma chave válida para a primeira autenticação de EAP e intercepta uma mensagem de EAP a partir da MS 600 durante a segunda autenticação de EAP.
A primeira autenticação de EAP é realizada entre a MS 600, a BS 640 e o servidor de AAA 660 da maneira ilustrada com referência à FIG. 4, na etapa 611. Nas etapas 613 e 615, a MS 600 e a BS 640 adquirem uma EIK (EIKMS) e uma PMK (PMKms) .
A propósito, a ADV 620 também realiza uma autenticação de EAP com a BS 640 e o servidor de AAA 660 na etapa 617. Nas etapas 619 e 621, assim, a ADV 620 e a BS 640 adquirem uma EIK (EIKADV) e uma PMK (PMKADV).
Após a primeira autenticação de EAP, a segunda autenticação de EAP é realizada dentre a MS 600, a BS 640 e o servidor de AAA 660 no procedimento ilustrado na FIG. 4, na etapa 623. Assim, a MS 600 e a BS 640 adquirem uma outra PMK, PMK2MS, através da segunda autenticação de EAP nas etapas 627 e 627. A MS 600 pode gerar uma AK usando PMKMS e PMK2ms .
Portanto, quando um handshake de 3 vias de SA-TEK é realizado entre a MS 600 e a BS 640, a MS 600 é bem sucedida no handshake de 3 vias de SA-TEK usando a AK na etapa 629.
Após a primeira autenticação de EAP, a segunda
Petição 870190004065, de 14/01/2019, pág. 22/55
16/16 autenticação de EAP também é realizada entre a ADV 620, a BS 640 e o servidor de AAA 660 na etapa 631. Contudo, uma vez que a ADV 620 é um dispositivo / usuário adversário, ela não pode adquirir a PMK2 na etapa 633. Como uma 5 conseqüência, a ADV 620 não pode gerar a AK.
Portanto, quando um handshake de 3 vias de SA-TEK é realizado entre a ADV 620 e a BS 640, a ADV 620 falha no handshake de 3 vias de SA-TEK, porque ela não pode gerar a AK na etapa 635.
Conforme descrito acima, a presente invenção aumenta a confiabilidade de autenticação de uma autenticação de EAP em EAP em um sistema de comunicação 802.16e do IEEE, porque uma AK é gerada usando-se PMKs duplas, isto é, PMK e PMK2. A eliminação resultante do fenômeno de ataque do homem no 15 meio melhora a performance do sistema em geral.
Embora a invenção tenha sido mostrada e descrita com referência a certas modalidades preferidas da mesma, será compreendido por aqueles versados na técnica que várias mudanças na forma e nos detalhes podem ser feitas ali, sem 20 se desviar do espírito e do escopo da invenção, conforme definido pelas reivindicações em apenso.