BRPI0612566B1 - Método de autenticação em um sistema de comunicação e estação base - Google Patents

Método de autenticação em um sistema de comunicação e estação base Download PDF

Info

Publication number
BRPI0612566B1
BRPI0612566B1 BRPI0612566-2A BRPI0612566A BRPI0612566B1 BR PI0612566 B1 BRPI0612566 B1 BR PI0612566B1 BR PI0612566 A BRPI0612566 A BR PI0612566A BR PI0612566 B1 BRPI0612566 B1 BR PI0612566B1
Authority
BR
Brazil
Prior art keywords
pmk
authentication
eap
msk
fact
Prior art date
Application number
BRPI0612566-2A
Other languages
English (en)
Inventor
Ji-Cheol Lee
Jun Hyuk Song
Original Assignee
Samsung Electronics Co., Ltd.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co., Ltd. filed Critical Samsung Electronics Co., Ltd.
Publication of BRPI0612566A2 publication Critical patent/BRPI0612566A2/pt
Publication of BRPI0612566B1 publication Critical patent/BRPI0612566B1/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

metodo e sistema de autenticaçao em um sistema de comunicação. um método de autenticaçao e um sistema em um sistema de comunicação são providos. uma ms, uma bs e um servidor de aaa adquirem uma primeira msk por uma primeira autenticação de eap para a ms em um esquema de eap em eap. após a primeira autenticação de eap, eles adquirem uma segunda msk por uma segunda autenticação de em' para a ms no esquema de eap em eap.

Description

MÉTODO DE AUTENTICAÇÃO EM UM SISTEMA DE COMUNICAÇÃO E
ESTAÇÃO BASE
ANTECEDENTES DA INVENÇÃO
1. Campo da Invenção de
A presente comunicação autenticação e invenção se refere geralmente e, um a um sistema em particular, a um método do mesmo em um sistema sistema de de comunicação.
2.
Descrição da
Técnica Relacionada
Os sistemas de comunicação estão sendo desenvolvidos para a provisão a usuários de um níveis de Qualidade de Serviço andamento para suporte de um pela garantia de mobilidade comunicação de
Acesso
Sem Fio e
de
serviço que tem vários
(QoS). estudos em
viço de alta velocidade
QoS em um sistema de
Banda Larga (BWA), tal
uma Rede de como uma Rede de Área
Local Sem Fio (WLAN) e
Área Metropolitana Sem
Fio (WMAN). O 802.16a/d do Institute of
Electrical and Electronics Engineers (IEEE) e o 802.16e do
IEEE são esses sistemas principais.
Com referência à FIG. 1, uma autenticação, particularmente pelo Protocolo de Autenticação Extensível (EAP) duplo em um sistema de comunicação típico 802.16e do IEEE será descrita aqui. Por simplicidade de notação, o EAP duplo é denominado 'EAP em EAP' e um modo de operação de EAP em EAP é denominado um 'modo de EAP em EAP'.
A FIG. 1 é um diagrama que ilustra um fluxo de sinal para uma autenticação de EAP em EAP em um sistema de comunicação típico 802.16e do IEEE.
Com referência à FIG. 1, o sistema de comunicação 802.16e do IEEE inclui uma Estação Móvel (MS) 100, uma
Petição 870190004065, de 14/01/2019, pág. 8/55
2/16
Estação Base (BS) 140, e um servidor de Autorização, Autenticação e Contabilidade (AAA) 180. Uma vez que o sistema de comunicação típico 802.16e do IEEE opera em EAP em EAP, ele autentica no esquema de EAP duplo. Em nome da conveniência, uma autenticação baseada no esquema de EAP é referida como uma 'autenticação de EAP'. A primeira das duas autenticações de EAP é uma autenticação de dispositivo 120 e a segunda é uma autenticação de usuário 160, após a primeira autenticação de EAP ser bem sucedida.
Quando uma autenticação de dispositivo é requerida, a BS 140 transmite uma mensagem EAP-REQUEST/IDENTITY para a MS 100, requisitando uma autenticação de EAP. Devido ao fato de mensagens de EAP serem trocadas entre a MS 100 e a BS 140 pelo Gerenciamento de Chave de Privacidade (PKM)_EAP_TRANSFER no sistema 802.16e do IEEE, a BS 140 transmite uma mensagem PKM_EAP/EAP-REQUEST/IDENTITY para a MS 100 na etapa 101. A MS 100 responde pela transmissão de uma mensagem PKM_EAP/EAP-RESPONSE/IDENTITY na etapa 103.
A BS 140 encaminha a mensagem PKM_EAP/EAPRESPONSE/IDENTITY para o servidor de AAA 180. As mensagens de EAP são trocadas entre a BS 140 e o servidor de AAA 180 por mensagens de protocolo de Serviço de Usuário de Discagem de Autenticação Remota (RADIUS) ou mensagens de protocolo de DIAMETER. No caso ilustrado da FIG. 1, as mensagens de protocolo de RADIUS são usadas entre a BS 140 e o servidor de AAA 180. Daí, a BS 140 transmite uma mensagem RADIUS ACCESS REQUEST/IDENTITY para o servidor de
AAA 180 na etapa 105 AAA 180 realiza uma autenticação de
O servidor de
dispositivo na MS 100 pela autenticação das mensagens
Petição 870190004065, de 14/01/2019, pág. 9/55
3/16
PKM_EAP usando uma Segurança de Nível de Transporte de EAP (TLS), uma Chave Pré-compartilhada de Segurança de Nível de Transporte de EAP (TLSPSL) , uma Autenticação de EAP e Acordo de Chave (AKA) ou EAP-PSK na etapa 107. Como conseqüência da autenticação de dispositivo, o servidor de AAA 180 e a MS 100 compartilham uma Chave de Sessão Mestra (MSK) nas etapas 109 e 111.
O servidor de AAA 180 transmite uma mensagem RADIUS ACCEPT como uma mensagem EAP-SUCCESS para a BS 140 na etapa 113. A mensagem RADIUS ACCEPT inclui a MSK. Na etapa 115, a BS 140 transmite uma mensagem PKM_EAP/EAP-SUCCESS para a MS 100, notificando o sucesso da autenticação de EAP.
Nas etapas 117 e 119, a MS 100 e a BS 140 geram uma Chave de Integridade de EAP (EIK) e uma Chave Mestra em Par (PMK) a partir da MSK, durante a autenticação de dispositivo 120. A EIK gerada criada através da autenticação de dispositivo 120 é usada para proteção das mensagens de EAP transmitidas durante a segunda autenticação de EAP, isto é, a autenticação de usuário 160.
Durante a autenticação de usuário 160, a BS 140 transmite uma mensagem PKM_EAP/EAP-REQUEST/IDENTITY para a MS 100, quando a autenticação de usuário for necessária, na etapa 161. A MS 100 responde pela transmissão de uma mensagem PKM_EAP/EAP-RESPONSE/IDENTITY na etapa 163.
Na etapa 165, a BS 140 converte a mensagem PKM_EAP/EAP-RESPONSE/IDENTITY na forma de uma mensagem RADIUS ACCESS REQUEST/IDENTITY e a transmite para o servidor de AAA 180.
O servidor de AAA 180 realiza uma autenticação de usuário na MS 100 pela autenticação de mensagem PKM_EAP
Petição 870190004065, de 14/01/2019, pág. 10/55
4/16 usando EAP-Message-Digest5 (MD5) ou um
Protocolo de
Autenticação de Desafio da Microsoft de
EAP versão (MSCHAPv2) na etapa 167. Diferentemente da autenticação de dispositivo
120, nenhuma MSK adicional é gerada, mesmo quando a autenticação de usuário for completada. A propósito, mediante a recepção de uma mensagem RADIUS
ACCEPT na etapa 169,
BS 140 transmite uma mensagem
PKM_EAP/EAP-SUCCESS para a
MS 100 na etapa 171. Nas etapas
173 e 175, a MS 100 e
BS
140 geram uma Chave de
Autorização (AK) usando
PMK.
criação da AK será descrita em maiores detalhes mais tarde, com referência à
FIG. 2.
Conforme descrito acima, em uma autenticação de EAP em
EAP do sistema de comunicação 802.16e do IEEE, uma MSK é gerada durante apenas a primeira autenticação de EAP.
A FIG. 2 é um fluxograma ilustrando um procedimento de criação de uma AK em um sistema de comunicação 802.16e do
IEEE típico. Esta operação ocorre na MS e na BS, cada uma, e a criação da AK será descrita aqui no contexto da BS.
Com referência à FIG. 2, a BS recebe uma MSK gerada durante a primeira autenticação de EAP, isto é, a autenticação de dispositivo a partir do servidor de AAA na etapa 211, e gera uma EIK e uma PMK usando a MSK na etapa 213. Especificamente, a BS gera uma EIK e uma PMK com um número predeterminado de bits, por exemplo, uma EIK de 160 bits e uma PMK de 160 bits pelo truncamento da MSK.
Na etapa 215, a BS gera uma AK pela aplicação da PMK a uma função predeterminada. Especificamente, a BS usa a PMK em uma função Dot16KDF, por exemplo. A função Dot16KDF é expressa e estabelecida na Equação (1) abaixo como:
Petição 870190004065, de 14/01/2019, pág. 11/55
5/16
AK = Dot16KDF(PMK, SSID|BSID| 'AK',160) .... (1) onde SSID é o Identificador (ID) da MS para a qual a autenticação de EAP é realizada, BSID é o ID da BS, 'AK' é a AK criada pela Dot16KDF, e 160 denota o comprimento da
AK, 160 bits. Daí, a função Dot16KDF gera uma AK de 160 bits usando a PMK e um parâmetro do SSID e do BSID em concatenação.
A FIG. 3 é um diagrama que ilustra um fluxo de sinal para um procedimento de intercâmbio de indicativos e sinais 10 de controle (handshake) de 3 vias de Chave de Associação de
Segurança & Encriptação de Tráfego (SA-TEK) para uma autenticação de EAP em EAP no sistema de comunicação típico 802.16e do IEEE.
Com referência à FIG. 3, o sistema de comunicação 15 802.16e do IEEE inclui uma MS 300, uma MS adversária (ADV)
320, uma BS 340 e um servidor de AAA 360. A MS 300 e a BS
340 são dispositivos / usuários normais e a ADV 320 é um dispositivo / usuário adversário o qual tem uma chave válida para a primeira autenticação de EAP e intercepta uma 20 mensagem de EAP a partir da MS 300 durante a segunda autenticação de EAP.
A primeira autenticação de EAP é realizada entre a MS
300, a BS 340 e o servidor de AAA 360 da maneira ilustrada com referência à FIG. 1, na etapa 311. Nas etapas 313 e 25 315, a MS 300 e a BS 340 adquirem uma EIK (EIKMS) e uma PMK (PMKms) .
A propósito, a ADV 320 também realiza uma autenticação de EAP com a BS 340 e o servidor de AAA 360 na etapa 317.
Nas etapas 319 e 321, assim, a ADV 320 e a BS 340 adquirem 30 uma EIK (EIKADV) e uma PMK (PMKADV).
Petição 870190004065, de 14/01/2019, pág. 12/55
6/16
Quando uma autenticação de usuário é necessária, a BS 340 então transmite uma mensagem PKM_EAP/EAPREQUEST/IDENTITY para a MS 300 e a ADV 320 nas etapas 323 e 325. A MS 300 responde pela transmissão de uma mensagem 5 PKM_EAP/EAP-RESPONSE/IDENTITY na etapa 327. A ADV 320 monitora a mensagem PKM_EAP/EAP-RESPONSE/IDENTITY, a copia e transmite a cópia usando a EIKadv na etapa 329.
Mediante a recepção das mensagens PKM_EAP/EAPREQUEST/IDENTITY da MS 300 e da ADV 320, a BS 340 converte 10 as mensagens PKM_EAP/EAP-REQUEST/IDENTITY na forma de mensagens RADIUS REQUEST/IDENTITY e as encaminha para o servidor de AAA 360 nas etapas 331 e 333.
O servidor de AAA 360 transmite mensagens ACCESS CHALLENGE para a MS 300 e a ADV 320 nas etapas 335 e 337.
As mensagens ACCESS CHALLENGE, cada uma, incluem parâmetros de autenticação para tentativa de acesso, CHALLENGE e SECRETE.
A MS 300 gera um parâmetro VALUE usando CHALLENGE e SECRETE incluídos na mensagem ACCESS CHALLENGE. VALUE é 20 criado por uma função predeterminada, por exemplo, uma função MD5 expressa conforme estabelecido abaixo na Equação (2) :
VALUE = MD5(ID, SECRET, CHALLENGE) .... (2) onde ID representa o ID da MS 300.
Na etapa 341, o MS 300 transmite uma mensagem
PKM_EAP/EAP-RESPONSE/RESPONSE incluindo seu ID e VALUE para a BS 340. Contudo, a ADV 320 intercepta a mensagem PKM_EAP/EAP-RESPONSE/RESPONSE e transmite uma mensagem PKM_EAP/EAP-RESPONSE/RESPONSE incluindo o ID da ADV 320 e 30 VALUE criado pela MS 300 usando EIKadv para a BS 340 na
Petição 870190004065, de 14/01/2019, pág. 13/55
7/16 etapa 343.
A BS 340 então converte a mensagem PKM_EAP/EAPRESPONSE/RESPONSE recebida a partir da ADV 320 na forma de uma mensagem RADIUS ACCESS REQUEST/RESPONSE e a encaminha para o servidor de AAA 360 na etapa 345.
O servidor de AAA 360 autentica a ADV 320 usando um
ID, SECRET, e VALUE que ele tem na etapa 347. Conforme a autenticação é bem sucedida, o servidor de AAA 360 transmite uma mensagem RADIUS ACCEPT notificando a autenticação de EAP 349. Na etapa 351, autenticação de EAP, é realizado dentre a bem sucedida para assim, a ADV 320 quando o handshake ADV 320, a BS 340 a BS 340 na etapa é bem sucedida na de 3 vias de SA-TEK e o servidor de AAA
360. O fenômeno do dispositivo / usuário adversário interceptar a AK do dispositivo / usuário normal e realizar uma autenticação de EAP é denominado o ataque do homem no meio (Man-in-the-middle).
Conforme descrito acima devido ao fato de na autenticação de EAP em EAP, o sistema de comunicação típico 802.16e do IEEE gera uma MSK durante a primeira autenticação de EAP apenas e uma AK é criada usando-se uma PMK derivada da MSK, o fenômeno do ataque do homem no meio ocorre. Como resultado, um serviço normal é impossível de se prover para um dispositivo / usuário normal, desse modo se diminuindo a QoS geral do sistema. Assim sendo, há uma necessidade de um desenvolvimento de um novo método de autenticação para eliminação do fenômeno do ataque do homem no meio.
SUMÁRIO DA INVENÇÃO
Um objetivo da presente invenção é resolver
Petição 870190004065, de 14/01/2019, pág. 14/55
8/16 substancialmente pelo menos os problemas acima e/ou as desvantagens e prover pelo menos as vantagens abaixo. Assim sendo, a presente invenção provê um sistema de autenticação de EAP em EAP e um método em um sistema de comunicação. A 5 presente invenção também provê um sistema e um método para a realização de uma autenticação de forma confiável em EAP em EAP usando PMKs duplas.
De acordo com um aspecto da presente invenção, em um sistema de autenticação em um sistema de comunicação, uma 10 MS adquire uma primeira MSK pela realização de uma primeira autenticação de EAP que é uma autenticação de dispositivo em um esquema de EAP em EAP com uma BS e um servidor de AAA, e adquire uma segunda MSK ao realizar uma segunda autenticação de EAP que é uma autenticação de usuário em um 15 esquema de EAP em EAP com uma BS e um servidor de AAA, após a primeira autenticação de EAP. O servidor de AAA adquire a primeira MSK pela realização de uma primeira autenticação de EAP com a MS e a BS e adquire a segunda MSK pela realização de uma primeira autenticação de EAP com a MS e a 20 BS. A BS adquire a primeira MSK pela realização de uma primeira autenticação de EAP com a MS e o servidor de AAA e adquire a segunda MSK pela realização de uma segunda autenticação de EAP com a MS e o servidor de AAA.
De acordo com um outro aspecto da presente invenção, em um método de autenticação em um sistema de comunicação, uma primeira MSK é adquirida por uma primeira autenticação de EAP para uma MS em um esquema de EAP em EAP pela MS, uma BS e um servidor de AAA. A primeira autenticação de EAP é uma autenticação de dispositivo. Uma segunda MSK é 30 adquirida por uma segunda autenticação de EAP para a MS em
Petição 870190004065, de 14/01/2019, pág. 15/55
9/16 um esquema de EAP em EAP pela MS, pela BS e pelo servidor de AAA, após a primeira autenticação de EAP. A segunda autenticação de EAP é uma autenticação de usuário.
BREVE DESCRIÇÃO DOS DESENHOS
Os objetivos acima, recursos, vantagens e outros da presente invenção tornar-se-ão mais evidentes a partir da descrição detalhada a seguir, quando tomada em conjunto com os desenhos associados, nos quais:
a FIG. 1 é um diagrama que ilustra um fluxo de sinal para uma autenticação de EAP em EAP em um sistema de comunicação típico 802.16e do IEEE;
a FIG. 2 é um fluxograma que ilustra uma operação de geração de AK no sistema de comunicação típico 802.16e do IEEE;
a FIG. 3 é um digrama que ilustra um fluxo de sinal em um procedimento de handshake de 3 vias de SA-TEK na autenticação de EAP em EAP no sistema de comunicação típico 802.16e do IEEE;
a FIG. 4 é um diagrama que ilustra um fluxo de sinal para autenticação de EAP em EAP usando PMKs duplas em um sistema de comunicação 802.16e do IEEE de acordo com a presente invenção;
a FIG. 5 é um fluxograma que ilustra um procedimento para geração de uma AK no sistema de comunicação 802.16e do IEEE de acordo com a presente invenção; e a FIG. 6 é um digrama que ilustra um fluxo de sinal em um procedimento de handshake de 3 vias de SA-TEK na autenticação de EAP em EAP no sistema de comunicação 802.16e do IEEE de acordo com uma modalidade da presente invenção.
Petição 870190004065, de 14/01/2019, pág. 16/55
10/16
DESCRIÇÃO DETALHADA DAS MODALIDADES PREFERIDAS
As modalidades preferidas da presente invenção serão descritas aqui abaixo com referência aos desenhos associados. Na descrição a seguir, funções ou construções bem conhecidas não são descritas em detalhes, uma vez que eles obscureceriam a invenção com detalhes desnecessários.
A presente invenção provê um sistema de autenticação e um método em um sistema de comunicação, por exemplo, um sistema 802.16e do Institute of Electrical and Electronics Engineers (IEEE). Particularmente, a presente invenção é dirigida a um sistema e a um método para uma autenticação de Protocolo de Autenticação Extensível (EAP) duplo denominado autenticação de EAP em EAP. Aqui, um modo de operação em EAP em EAP é denominado um modo de EAP em EAP. Embora a presente invenção seja descrita no contexto do sistema de comunicação 802.16e do IEEE em nome da conveniência, é para ser claramente compreendido que a presente invenção é aplicável a qualquer outro sistema de comunicação.
A FIG. 4 é um diagrama que ilustra um fluxo de sinal para autenticação de EAP em EAP usando Chaves Mestras em Pares (PMKs) em um sistema de comunicação 802.16e do IEEE de acordo com a presente invenção.
Com referência à FIG. 4, o sistema de comunicação 802.16e do IEEE inclui uma Estação Móvel (MS) 400, uma Estação Base (BS) 440, e um servidor de Autorização, Autenticação e Contabilidade (AAA) 480. Uma vez que o sistema de comunicação 802.16e do IEEE opera em EAP em EAP, ele realiza autenticações duplas. Em nome da conveniência, uma autenticação baseada no esquema de EAP é referida como
Petição 870190004065, de 14/01/2019, pág. 17/55
11/16 uma 'autenticação de EAP'. A primeira das duas autenticações de EAP é uma autenticação de dispositivo 420 e a segunda é uma autenticação de usuário 460, realizada após a primeira autenticação de EAP ser bem sucedida.
Quando uma autenticação de dispositivo 420 é requerida, a BS 440 transmite uma mensagem EAPREQUEST/IDENTITY para a MS 400, requisitando uma autenticação de EAP. Devido ao fato de mensagens de EAP serem trocadas entre a MS 400 e a BS 440 pelo Gerenciamento de Chave de Privacidade (PKM)_EAP_TRANSFER no sistema 802.16e do IEEE, a BS 440 transmite uma mensagem PKM_EAP/EAP-REQUEST/IDENTITY para a MS 400 na etapa 401.
A MS 400 responde pela transmissão de uma mensagem PKM_EAP/EAP-RESPONSE/IDENTITY na etapa 403.
A BS 440 encaminha a mensagem PKM_EAP/EAPRESPONSE/IDENTITY para o servidor de AAA 480. As mensagens de EAP são trocadas entre a BS 440 e o servidor de AAA 480 por mensagens de protocolo de Serviço de Usuário de Discagem de Autenticação Remota (RADIUS) ou mensagens de protocolo de DIAMETER. No caso ilustrado da FIG. 4, as mensagens de protocolo de RADIUS são usadas entre a BS 440 e o servidor de AAA 480. Daí, a BS 440 transmite uma mensagem RADIUS ACCESS REQUEST/IDENTITY para o servidor de AAA 480 na etapa 405.
O servidor de AAA 480 realiza uma autenticação de dispositivo na MS 400 pela autenticação da mensagem PKM_EAP usando uma Segurança de Nível de Transporte de EAP (TLS), uma Chave Pré-compartilhada de Segurança de Nível de Transporte de EAP (TLSPSL), uma Autenticação de EAP e Acordo de Chave (AKA) ou EAP-PSK na etapa 407. Como
Petição 870190004065, de 14/01/2019, pág. 18/55
12/16 conseqüência da autenticação de dispositivo, o servidor de
AAA 480 e a MS 400 compartilham uma Chave de Sessão Mestra (MSK) nas etapas 409 e 411.
O servidor de AAA 480 transmite uma mensagem RADIUS ACCEPT como uma mensagem EAP-SUCCESS para a BS 440 na etapa 413. A mensagem RADIUS ACCEPT inclui a MSK. Na etapa 415, a BS 440 transmite uma mensagem PKM_EAP/EAP-SUCCESS para a MS 400, notificando o sucesso da autenticação de EAP. Na etapa 417, a BS 440 gera uma Chave de Integridade de EAP (EIK) e uma Chave Mestra em Par (PMK) a partir da MSK.
A EIK é usada para proteção das mensagens de EAP transmitidas durante a segunda autenticação de EAP, isto é, a autenticação de usuário 460. Então, a autenticação de usuário 460 se segue à autenticação de dispositivo 420.
A BS 440 transmite uma mensagem PKM_EAP/EAPREQUEST/IDENTITY para a MS 400, quando a autenticação de usuário for necessária, na etapa 461. A MS 400 responde pela transmissão de uma mensagem PKM_EAP/EAPRESPONSE/IDENTITY na etapa 463.
Na etapa 465, a BS 440 converte a mensagem PKM_EAP/EAP-RESPONSE/IDENTITY na forma de uma mensagem RADIUS ACCESS REQUEST/IDENTITY e a transmite para o servidor de AAA 480.
O servidor de AAA 480 realiza uma autenticação de
usuário na MS 400 pela autenticação de mensagem PKM_EAP
usando EAP-TLS, EAP-TLSPSK, EAP-AKA, ou EAP-PSK na etapa
467. Assim, o servidor de AAA 480 e a MS 400 compartilham uma segunda MSK, a MSK2, conforme a autenticação de usuário é completada nas etapas 469 e 471. Desse modo, duas MSKs, incluindo MSK e MSK2 são criadas durante a autenticação de
Petição 870190004065, de 14/01/2019, pág. 19/55
13/16 dispositivo e a autenticação de usuário, respectivamente, na autenticação de EAP em EAP da presente invenção.
Na etapa 473, o servidor de AAA 480 transmite uma mensagem RADIUS ACCEPT para a BS 440, notificando o sucesso 5 da autenticação de EAP. A BS 440 então transmite uma mensagem PKM_EAP/EAP-SUCCESS para a MS 400 na etapa 475. Através da autenticação de usuário 460, a BS 440 gera uma segunda PMK, PMK2 a partir de MSK2 e gera uma Chave de Autorização (AK) usando PMK e PMK2 na etapa 477. A criação 10 da AK a partir de PMK e PMK2 na MS 400 e na BS 440 será descrita em maiores detalhes com referência à FIG. 5.
A FIG. 5 é um fluxograma que ilustra um procedimento para a geração da AK no sistema de comunicação 802.16e do IEEE de acordo com a presente invenção. Este procedimento 15 na MS, e a geração da MS e a AK serão descritas aqui no contexto da BS.
Com referência à FIG. 5, a BS adquire uma MSK pela primeira autenticação de EAP, isto é, a autenticação de dispositivo na etapa 511, e geralmente cria uma EIK e uma 20 PMK usando a MSK na etapa 513. Especificamente, a BS gera uma EIK e uma PMK com um número predeterminado de bits, por exemplo, uma EIK de 160 bits e uma PMK de 160 bits pelo truncamento da MSK.
Na etapa 515, a BS adquire uma segunda MSK, MSK2, 25 através da segunda autenticação de EAP, isto é, da autenticação de usuário. A BS gera uma segunda PMK, PMK2, por exemplo, uma PMK2 de 160 bits pelo truncamento de MSK2 na etapa 517.
A BS gera uma AK pela aplicação da PMK e da PMK2 a uma função de geração de AK. Especificamente, a BS usa a PMK e
Petição 870190004065, de 14/01/2019, pág. 20/55
14/16 a PMK2 em uma função Dot16KDF, por exemplo. A função Dot16KDF pode ser expressa como a Equação (3) ou a Equação (4) abaixo.
AK = Dot16KDF(PMK ® PMK2, SSID|BSID| 'AK',160)... (3)
Na Equação (3) acima, SSID é o ID da MS para a qual a autenticação de EAP é realizada, BSID é o ID da BS, 'AK' é a AK criada pela Dot16KDF, e 160 denota o comprimento da AK, 160 bits. Daí, a função Dot16KDF gera uma AK de 160 bits usando um XOR de PMK e PMK2 e um parâmetro do SSID e do BSID em concatenação.
AK = Dot16KDF(PMK, SSID|BSID|PMK2| 'AK',160) .... (4)
Na Equação (4) acima, SSID é o ID da MS para a qual a autenticação de EAP é realizada, BSID é o ID da BS, 'AK' é a AK criada pela Dot16KDF, e 160 denota o comprimento da AK, 160 bits. Daí, a função Dot16KDF gera uma AK de 160 bits usando a PMK e um parâmetro do SSID, do BSID e PMK2 em concatenação.
Conforme descrito acima, uma AK é gerada usando-se uma PMK resultante da primeira autenticação de EAP e uma PMK2 resultante da segunda autenticação de EAP durante uma autenticação de EAP em EAP usando PMKs duplas no sistema de comunicação 802.16e do IEEE de acordo com a modalidade da presente invenção. Portanto, o fenômeno de ataque do homem no meio, o qual é encontrado no sistema de comunicação típico 802.16e do IEEE, pode ser eliminado.
A FIG. 6 é um diagrama que ilustra um fluxo de sinal para um procedimento de handshake de 3 vias de Chave de Associação de Segurança & Encriptação de Tráfego (SA-TEK) para uma autenticação de EAP em EAP no sistema de comunicação 802.16e do IEEE de acordo com a presente
Petição 870190004065, de 14/01/2019, pág. 21/55
15/16 invenção.
Com referência à FIG. 6, o sistema de comunicação 802.16e do IEEE inclui uma MS 600, uma MS adversária (ADV) 620, uma BS 640 e um servidor de AAA 660. A MS 600 e a BS 640 são dispositivos / usuários normais e a ADV 620 é um dispositivo / usuário adversário o qual tem uma chave válida para a primeira autenticação de EAP e intercepta uma mensagem de EAP a partir da MS 600 durante a segunda autenticação de EAP.
A primeira autenticação de EAP é realizada entre a MS 600, a BS 640 e o servidor de AAA 660 da maneira ilustrada com referência à FIG. 4, na etapa 611. Nas etapas 613 e 615, a MS 600 e a BS 640 adquirem uma EIK (EIKMS) e uma PMK (PMKms) .
A propósito, a ADV 620 também realiza uma autenticação de EAP com a BS 640 e o servidor de AAA 660 na etapa 617. Nas etapas 619 e 621, assim, a ADV 620 e a BS 640 adquirem uma EIK (EIKADV) e uma PMK (PMKADV).
Após a primeira autenticação de EAP, a segunda autenticação de EAP é realizada dentre a MS 600, a BS 640 e o servidor de AAA 660 no procedimento ilustrado na FIG. 4, na etapa 623. Assim, a MS 600 e a BS 640 adquirem uma outra PMK, PMK2MS, através da segunda autenticação de EAP nas etapas 627 e 627. A MS 600 pode gerar uma AK usando PMKMS e PMK2ms .
Portanto, quando um handshake de 3 vias de SA-TEK é realizado entre a MS 600 e a BS 640, a MS 600 é bem sucedida no handshake de 3 vias de SA-TEK usando a AK na etapa 629.
Após a primeira autenticação de EAP, a segunda
Petição 870190004065, de 14/01/2019, pág. 22/55
16/16 autenticação de EAP também é realizada entre a ADV 620, a BS 640 e o servidor de AAA 660 na etapa 631. Contudo, uma vez que a ADV 620 é um dispositivo / usuário adversário, ela não pode adquirir a PMK2 na etapa 633. Como uma 5 conseqüência, a ADV 620 não pode gerar a AK.
Portanto, quando um handshake de 3 vias de SA-TEK é realizado entre a ADV 620 e a BS 640, a ADV 620 falha no handshake de 3 vias de SA-TEK, porque ela não pode gerar a AK na etapa 635.
Conforme descrito acima, a presente invenção aumenta a confiabilidade de autenticação de uma autenticação de EAP em EAP em um sistema de comunicação 802.16e do IEEE, porque uma AK é gerada usando-se PMKs duplas, isto é, PMK e PMK2. A eliminação resultante do fenômeno de ataque do homem no 15 meio melhora a performance do sistema em geral.
Embora a invenção tenha sido mostrada e descrita com referência a certas modalidades preferidas da mesma, será compreendido por aqueles versados na técnica que várias mudanças na forma e nos detalhes podem ser feitas ali, sem 20 se desviar do espírito e do escopo da invenção, conforme definido pelas reivindicações em apenso.

Claims (6)

  1. REIVINDICAÇÕES
    1. Método de autenticação em um sistema de comunicação, caracterizado pelo fato de compreender:
    transmitir, através de uma estação base (BS), uma primeira mensagem requisitando uma primeira autenticação para uma estação móvel (MS);
    receber, através da BS, uma segunda mensagem respondendo a primeira mensagem da MS;
    transmitir, através da BS, a segunda mensagem para um servidor de autorização, autenticação e contabilidade (AAA), a primeira autenticação da MS sendo realizada através da utilização de uma primeira chave de sessão mestra (MSK) com base em uma primeira autenticação de Protocolo de Autenticação Extensível (EAP) no servidor AAA, a primeira MSK sendo compartilhada entre o servidor AAA e a MS;
    transmitir, através da BS, uma terceira mensagem requisitando uma segunda autenticação para a MS;
    receber, através da BS, uma quarta mensagem respondendo a terceira mensagem da MS;
    transmitir, através da BS, a quarta mensagem para o servidor AAA, a segunda autenticação da MS sendo realizada
    através da utilização de uma segunda MSK com base em uma segunda autenticação EAP no servidor AAA, a segunda MSK sendo compartilhada entre o servidor AAA e a MS. 2. Método de autenticação, de acordo com a
    reivindicação 1, caracterizado pelo fato de que compreende ainda:
    gerar, através da BS, uma chave de autorização (AK) utilizando a primeira MSK e a segunda MSK.
    Petição 870190004065, de 14/01/2019, pág. 24/55
  2. 2/6
    3. Método de autenticação, de acordo com a reivindicação 2, caracterizado pelo fato de que a geração da AK compreende: gerar uma primeira chave mestra em par (PMK)
    utilizando a primeira MSK;
    gerar uma segunda PMK utilizando a segunda MSK; e gerar a AK usando a primeira PMK e a segunda PMK.
    4. Método de autenticação, de acordo com a reivindicação 3, caracterizado pelo fato de que a geração da primeira PMK compreende gerar a primeira PMK pelo truncamento da primeira MSK. 5. Método de autenticação, de acordo com a reivindicação 4, caracterizado pelo fato de que a geração da segunda PMK compreende o truncamento da segunda MSK. 6. Método de autenticação, de acordo com a reivindicação 5, caracterizado pelo fato de que a geração
    da AK utilizando a primeira PMK e a segunda PMK compreende gerar a AK utilizando um XOR da primeira PMK e de uma segunda PMK e uma concatenação de um identificador (ID) da MS e de um ID da BS.
    7. Método de autenticação, de acordo com a reivindicação 5, caracterizado pelo fato de que a geração da AK utilizando a primeira PMK e a segunda PMK compreende gerar a AK pela aplicação da primeira PMK e da segunda PMK a:
    AK = Dot16KDF(PMK φ PMK2, SSID|BSID| 'AK',160) onde Dot16KDF é uma função de geração de AK, PMK é a primeira PMK, PMK2 é a segunda PMK, SSID é um identificador (ID) da MS, BSID é um ID da BS, 'AK' é a AK gerada pela Dot16KDF, e 160 denota o comprimento da AK, 160 bits.
    Petição 870190004065, de 14/01/2019, pág. 25/55
  3. 3/6
    8. Método de autenticação, de acordo com a reivindicação 5, caracterizado pelo fato de que a geração da AK utilizando a primeira PMK e a segunda PMK compreende a geração da AK utilizando a primeira PMK e uma concatenação da segunda PMK, um identificador (ID) da MS e um ID da BS.
    9. Método de autenticação, de acordo com a reivindicação 5, caracterizado pelo fato de que a geração da AK utilizando a primeira PMK e a segunda PMK compreende a geração da AK pela aplicação da primeira PMK e da segunda PMK a:
    AK = Dot16KDF(PMK, SSID|BSID|PMK2| 'AK',160) onde Dot16KDF é uma função de geração de AK, PMK é a primeira PMK, PMK2 é a segunda PMK, SSID é um identificador (ID) da MS, BSID é um ID da BS, 'AK' é a AK gerada pela Dot16KDF, e 160 denota o comprimento da AK, 160 bits.
    10. Método de autenticação, de acordo com a reivindicação 1, caracterizado pelo fato de que a primeira autenticação é um dispositivo de autenticação, e a segunda autenticação é uma autenticação de usuário.
    11. Estação base (BS) em um sistema de comunicação, caracterizada pelo fato de compreender:
    um transceptor configurado para transmitir uma primeira mensagem solicitando uma primeira autenticação para uma estação móvel (MS), para receber uma segunda mensagem respondendo para a primeira mensagem da MS, para transmitir a segunda mensagem para um servidor de autorização, autenticação e contabilidade (AAA), para transmitir uma terceira mensagem solicitando uma segunda autenticação para a MS, para receber uma quarta mensagem
    Petição 870190004065, de 14/01/2019, pág. 26/55
  4. 4/6 respondendo a terceira mensagem da MS, e para transmitir a quarta mensagem para o servidor AAA, em que a primeira autenticação da MS é realizada através da utilização de uma primeira chave de sessão 5 mestra (MSK) com base em uma primeira autenticação de Protocolo de Autenticação Extensível (EAP) no servidor AAA, a primeira MSK sendo compartilhada entre o servidor AAA e a MS, e a segunda autenticação da MS é realizada através da utilização de uma segunda MSK com base em uma segunda 10 autenticação EAP no servidor AAA, a segunda MSK sendo compartilhada entre o servidor AAA e a MS.
    12. Estação base, de acordo com a reivindicação 11, caracterizada pelo fato de que compreende ainda:
    pelo menos um processador configurado para gerar uma 15 chave de autorização (AK) utilizando a primeira MSK e a segunda MSK.
    13. Estação base, de acordo com a reivindicação 12, caracterizada pelo fato de que o pelo menos um processador é configurado para gerar uma primeira chave mestra em par
    20 (PMK) utilizando a primeira MSK, gerar uma segunda PMK utilizando a segunda MSK, e gerar a AK utilizando a primeira PMK e a segunda PMK.
    14. Estação base, de acordo com a reivindicação 13, caracterizada pelo fato de que o pelo menos um processador
    25 é configurado para gerar a primeira PMK pelo truncamento da primeira MSK.
    15. Estação base, de acordo com a reivindicação 14, caracterizada pelo fato de que o pelo menos um processador é configurado para gerar a segunda PMK através do
    30 truncamento da segunda MSK.
    Petição 870190004065, de 14/01/2019, pág. 27/55
  5. 5/6
    16. Estação base, de acordo com a reivindicação 15, caracterizada pelo fato de que o pelo menos um processador é configurado para gerar a AK utilizando um XOR da primeira PMK e uma segunda PMK e uma concatenação de um
    5 identificador (ID) da MS e de um ID da BS.
    17. Estação base, de acordo com a reivindicação 15, caracterizada pelo fato de que o pelo menos um processador é configurado para gerar a AK pela aplicação da primeira PMK e da segunda PMK a:
    10 AK = Dot16KDF(PMK φ PMK2, SSID|BSID| 'AK',160) onde Dot16KDF é uma função de geração de AK, PMK é a primeira PMK, PMK2 é a segunda PMK, SSID é um identificador (ID) da MS, BSID é um ID da BS, 'AK' é a AK gerada pela Dot16KDF, e 160 denota o comprimento da AK, 160 bits.
    15 18. Estação base, de acordo com a reivindicação 15, caracterizada pelo fato de que o pelo menos um processador é configurado para gerar a AK utilizando a primeira PMK e uma concatenação da segunda PMK, um identificador (ID) da MS, e um ID da BS.
    20 19. Estação base, de acordo com a reivindicação 15, caracterizada pelo fato de que o pelo menos um processador é configurado para gerar a AK pela aplicação da primeira PMK e da segunda PMK a:
    AK = Dot16KDF(PMK, SSID|BSID|PMK2| 'AK',160)
    25 onde Dot16KDF é uma função de geração de AK, PMK é a primeira PMK, PMK2 é a segunda PMK, SSID é um identificador (ID) da MS, BSID é um ID da BS, 'AK' é a AK gerada pela Dot16KDF, e 160 denota o comprimento da AK, 160 bits.
    20. Estação base, de acordo com a reivindicação 11,
    30 caracterizada pelo fato de que a primeira autenticação é
    Petição 870190004065, de 14/01/2019, pág. 28/55
  6. 6/6 uma autenticação de dispositivo, e a segunda autenticação é uma autenticação de usuário.
BRPI0612566-2A 2005-07-02 2006-06-30 Método de autenticação em um sistema de comunicação e estação base BRPI0612566B1 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR20050059495A KR100770928B1 (ko) 2005-07-02 2005-07-02 통신 시스템에서 인증 시스템 및 방법
KR10-2005-0059495 2005-07-02
PCT/KR2006/002571 WO2007004824A1 (en) 2005-07-02 2006-06-30 Authentication system and method thereof in a communication system

Publications (2)

Publication Number Publication Date
BRPI0612566A2 BRPI0612566A2 (pt) 2010-11-23
BRPI0612566B1 true BRPI0612566B1 (pt) 2019-05-14

Family

ID=36763186

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0612566-2A BRPI0612566B1 (pt) 2005-07-02 2006-06-30 Método de autenticação em um sistema de comunicação e estação base

Country Status (10)

Country Link
US (1) US7724904B2 (pt)
EP (1) EP1739903B1 (pt)
JP (1) JP4647689B2 (pt)
KR (1) KR100770928B1 (pt)
CN (1) CN101208901B (pt)
AU (1) AU2006266651B2 (pt)
BR (1) BRPI0612566B1 (pt)
CA (1) CA2608261C (pt)
RU (1) RU2367098C1 (pt)
WO (1) WO2007004824A1 (pt)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007107708A2 (en) * 2006-03-20 2007-09-27 British Telecommunications Public Limited Company Establishing communications
EP1865656A1 (en) * 2006-06-08 2007-12-12 BRITISH TELECOMMUNICATIONS public limited company Provision of secure communications connection using third party authentication
DE102006038592B4 (de) * 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
FI121560B (fi) * 2006-11-20 2010-12-31 Teliasonera Ab Todentaminen matkaviestintäyhteistoimintajärjestelmässä
KR101002799B1 (ko) 2007-03-21 2010-12-21 삼성전자주식회사 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치
US8145905B2 (en) 2007-05-07 2012-03-27 Qualcomm Incorporated Method and apparatus for efficient support for multiple authentications
US8509440B2 (en) * 2007-08-24 2013-08-13 Futurwei Technologies, Inc. PANA for roaming Wi-Fi access in fixed network architectures
US8335490B2 (en) * 2007-08-24 2012-12-18 Futurewei Technologies, Inc. Roaming Wi-Fi access in fixed network architectures
US7941663B2 (en) * 2007-10-23 2011-05-10 Futurewei Technologies, Inc. Authentication of 6LoWPAN nodes using EAP-GPSK
CN101471773B (zh) * 2007-12-27 2011-01-19 华为技术有限公司 一种网络服务的协商方法和系统
US9246679B2 (en) * 2007-12-28 2016-01-26 Intel Corporation Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks
CN101827361B (zh) * 2008-11-03 2012-10-17 华为技术有限公司 身份认证方法、可信任环境单元及家庭基站
US8443431B2 (en) * 2009-10-30 2013-05-14 Alcatel Lucent Authenticator relocation method for WiMAX system
EP2540057A2 (en) * 2010-02-26 2013-01-02 General instrument Corporation Dynamic cryptographic subscriber-device identity binding for subscriber mobility
CN102196438A (zh) 2010-03-16 2011-09-21 高通股份有限公司 通信终端标识号管理的方法和装置
US9385862B2 (en) * 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
US8839373B2 (en) 2010-06-18 2014-09-16 Qualcomm Incorporated Method and apparatus for relay node management and authorization
US9112905B2 (en) 2010-10-22 2015-08-18 Qualcomm Incorporated Authentication of access terminal identities in roaming networks
US9668128B2 (en) 2011-03-09 2017-05-30 Qualcomm Incorporated Method for authentication of a remote station using a secure element
US9801099B2 (en) * 2013-05-15 2017-10-24 Blackberry Limited Method and system for use of cellular infrastructure to manage small cell access
EP3047625A1 (en) * 2013-09-16 2016-07-27 Convida Wireless, LLC Mobile network operator (mno) control of wifi qos via eap/diameter
CN106162635A (zh) * 2015-04-01 2016-11-23 北京佰才邦技术有限公司 用户设备的认证方法和装置
NO340973B1 (en) 2015-12-22 2017-07-31 Aker Solutions As Subsea methane hydrate production
US10791093B2 (en) * 2016-04-29 2020-09-29 Avago Technologies International Sales Pte. Limited Home network traffic isolation
US20190372973A1 (en) * 2018-05-30 2019-12-05 Cisco Technology, Inc. Device onboarding with automatic ipsk provisioning in wireless networks
CN111404666A (zh) * 2019-01-02 2020-07-10 中国移动通信有限公司研究院 一种密钥生成方法、终端设备及网络设备

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2183051C2 (ru) 2000-04-12 2002-05-27 Военный университет связи Способ формирования ключа шифрования/дешифрования
US20030235305A1 (en) * 2002-06-20 2003-12-25 Hsu Raymond T. Key generation in a communication system
US20040010713A1 (en) * 2002-07-12 2004-01-15 Vollbrecht John R. EAP telecommunication protocol extension
GB0221674D0 (en) 2002-09-18 2002-10-30 Nokia Corp Linked authentication protocols
CN1243434C (zh) * 2002-09-23 2006-02-22 华为技术有限公司 基于远程认证的网络中实现eap认证的方法
US7792527B2 (en) * 2002-11-08 2010-09-07 Ntt Docomo, Inc. Wireless network handoff key
CN1549494A (zh) * 2003-05-16 2004-11-24 华为技术有限公司 一种实现用户认证的方法
EP1528718B1 (en) 2003-10-30 2009-12-16 Research In Motion Limited Method for transmitting (receiving) cellular network information (e.g. MNC, NCC) by (from) a wireless local area network in an extensible authentication protocol (EAP)
KR100589677B1 (ko) * 2003-12-03 2006-06-15 삼성전자주식회사 휴대 인터넷 시스템 및 이의 인증 방법
CN1299526C (zh) 2003-12-10 2007-02-07 大唐电信科技股份有限公司 一种基于用户识别模块的无线局域网终端用户认证方法
US20050138355A1 (en) 2003-12-19 2005-06-23 Lidong Chen System, method and devices for authentication in a wireless local area network (WLAN)
KR20050109685A (ko) * 2004-05-17 2005-11-22 에스케이 텔레콤주식회사 휴대 인터넷 시스템에서 단말기 인증과 공존하는 확장된인증 프로토콜 기반의 사용자 인증 방법 및 시스템
WO2006022469A1 (en) * 2004-08-25 2006-03-02 Electronics And Telecommunications Research Institute Method for security association negociation with extensible authentication protocol in wireless portable internet system
KR100704675B1 (ko) * 2005-03-09 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
FI20050491A0 (fi) * 2005-05-09 2005-05-09 Nokia Corp Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä
WO2006137624A1 (en) * 2005-06-22 2006-12-28 Electronics And Telecommunications Research Institute Method for allocating authorization key identifier for wireless portable internet system
US7596225B2 (en) * 2005-06-30 2009-09-29 Alcatl-Lucent Usa Inc. Method for refreshing a pairwise master key
US7602918B2 (en) * 2005-06-30 2009-10-13 Alcatel-Lucent Usa Inc. Method for distributing security keys during hand-off in a wireless communication system
US7715562B2 (en) * 2006-03-06 2010-05-11 Cisco Technology, Inc. System and method for access authentication in a mobile wireless network

Also Published As

Publication number Publication date
AU2006266651A1 (en) 2007-01-11
KR100770928B1 (ko) 2007-10-26
US20070016780A1 (en) 2007-01-18
US7724904B2 (en) 2010-05-25
RU2367098C1 (ru) 2009-09-10
RU2007149329A (ru) 2009-07-10
EP1739903A1 (en) 2007-01-03
JP2008547350A (ja) 2008-12-25
JP4647689B2 (ja) 2011-03-09
CN101208901A (zh) 2008-06-25
AU2006266651B2 (en) 2010-04-22
EP1739903B1 (en) 2012-10-31
BRPI0612566A2 (pt) 2010-11-23
KR20070003484A (ko) 2007-01-05
WO2007004824A1 (en) 2007-01-11
CA2608261A1 (en) 2007-01-11
CN101208901B (zh) 2010-09-22
CA2608261C (en) 2012-09-25

Similar Documents

Publication Publication Date Title
BRPI0612566B1 (pt) Método de autenticação em um sistema de comunicação e estação base
KR102112542B1 (ko) 디피 헬먼(Diffie-Hellman) 절차를 이용한 세션 키 생성 방법 및 시스템
JP6023152B2 (ja) ダイレクトリンク通信のための拡張されたセキュリティ
US7275157B2 (en) Facilitating 802.11 roaming by pre-establishing session keys
US8855603B2 (en) Local security key update at a wireless communication device
JP6732095B2 (ja) 異種ネットワークのための統一認証
EP1900170B1 (en) Short authentication procedure in wireless data communications networks
ES2624656T3 (es) Método y sistema para punto de acceso inalámbrico portátil para acceder en forma segura a teléfonos inteligentes
JP5422835B2 (ja) ネットワークのアクセス認証及び承認の方法、及び承認鍵のアップデート方法
BRPI0716621A2 (pt) Gerenciamento de chave de rede ad-hoc
US20070112967A1 (en) Re-authentication system and method in communication system
BRPI0710765A2 (pt) método e sistema para a propagação de dados de autenticação mútua em redes de comunicação sem fio
BR112012003848B1 (pt) método e aparelho para redução de sobrecarga para verificação de integridade de dados em sistema de comunicação sem fio
KR101023605B1 (ko) 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득방법
Hur et al. An efficient pre-authentication scheme for IEEE 802.11-based vehicular networks
Zhao et al. Security and seamless mobility based architecture for hybrid network of enterprise
PT107993B (pt) Método e sistema de autenticação de um domínio de operador 3gpp

Legal Events

Date Code Title Description
B15K Others concerning applications: alteration of classification

Free format text: A CLASSIFICACAO ANTERIOR ERA: H04L 9/14

Ipc: H04L 9/08 (1990.01), H04L 29/06 (1990.01), H04W 12

B06T Formal requirements before examination [chapter 6.20 patent gazette]
B06F Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette]
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 10 (DEZ) ANOS CONTADOS A PARTIR DE 14/05/2019, OBSERVADAS AS CONDICOES LEGAIS. (CO) 10 (DEZ) ANOS CONTADOS A PARTIR DE 14/05/2019, OBSERVADAS AS CONDICOES LEGAIS

B21F Lapse acc. art. 78, item iv - on non-payment of the annual fees in time

Free format text: REFERENTE A 16A ANUIDADE.

B24J Lapse because of non-payment of annual fees (definitively: art 78 iv lpi, resolution 113/2013 art. 12)

Free format text: EM VIRTUDE DA EXTINCAO PUBLICADA NA RPI 2677 DE 26-04-2022 E CONSIDERANDO AUSENCIA DE MANIFESTACAO DENTRO DOS PRAZOS LEGAIS, INFORMO QUE CABE SER MANTIDA A EXTINCAO DA PATENTE E SEUS CERTIFICADOS, CONFORME O DISPOSTO NO ARTIGO 12, DA RESOLUCAO 113/2013.