CN102484790B - 多技术互通中的预注册安全支持 - Google Patents
多技术互通中的预注册安全支持 Download PDFInfo
- Publication number
- CN102484790B CN102484790B CN201080037644.8A CN201080037644A CN102484790B CN 102484790 B CN102484790 B CN 102484790B CN 201080037644 A CN201080037644 A CN 201080037644A CN 102484790 B CN102484790 B CN 102484790B
- Authority
- CN
- China
- Prior art keywords
- access technology
- communication system
- access
- communicator
- safe context
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000005516 engineering process Methods 0.000 title claims abstract description 132
- 238000004891 communication Methods 0.000 claims abstract description 79
- 238000000034 method Methods 0.000 claims abstract description 62
- 230000008569 process Effects 0.000 claims description 26
- 238000004364 calculation method Methods 0.000 claims description 22
- 238000012795 verification Methods 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 6
- 238000007726 management method Methods 0.000 claims description 2
- 238000012423 maintenance Methods 0.000 claims 4
- 230000000977 initiatory effect Effects 0.000 claims 1
- 230000006870 function Effects 0.000 description 12
- 230000011664 signaling Effects 0.000 description 10
- 230000000694 effects Effects 0.000 description 9
- 230000002708 enhancing effect Effects 0.000 description 6
- 101000945093 Homo sapiens Ribosomal protein S6 kinase alpha-4 Proteins 0.000 description 4
- 102100033644 Ribosomal protein S6 kinase alpha-4 Human genes 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 101000945096 Homo sapiens Ribosomal protein S6 kinase alpha-5 Proteins 0.000 description 2
- 102100033645 Ribosomal protein S6 kinase alpha-5 Human genes 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 238000005728 strengthening Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0016—Hand-off preparation specially adapted for end-to-end data sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
- H04W36/144—Reselecting a network or an air interface over a different radio air interface technology
- H04W36/1446—Reselecting a network or an air interface over a different radio air interface technology wherein at least one of the networks is unlicensed
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了多接入技术环境中的预注册安全支持。例如,公开了一种用于在通信系统的计算装置中使用的方法。通信系统支持允许通信装置接入通信系统的两个或多个接入技术,并且在计算装置处为给定的通信装置生成允许所述给定的通信装置经由第一接入技术接入所述通信系统的第一安全上下文的至少一部分。所述方法包括:在所述计算装置处为所述给定的通信装置生成至少第二安全上下文的至少一部分,使得在保持所述第一安全上下文的同时,所述给定的通信装置被预注册以便经由至少第二接入技术接入所述通信系统,并且使得所述给定的通信装置继续经由所述第一接入技术接入所述通信系统并被预注册,以便所述给定的通信装置随后经由所述第二接入技术接入所述通信系统。
Description
相关申请的交叉引用
本申请要求2009年8月24日提交的标识序号为61/275,008、名称为“用于多技术互通中预注册安全支持的方法”的美国临时专利申请的优先权,此处通过引用并入其公开内容。
技术领域
本发明一般涉及通信系统中的安全,并且更具体地,涉及多接入技术环境中的预注册安全支持。
背景技术
在近些年中,所提供的具有类似性能的通信系统接入技术的数量显著地增加,使得稳健地制造多模式无线接入终端。也就是说,遇到能够运行于下列协议的移动终端并不罕见,所述协议如3GPP2-第三代合作伙伴计划2定义的CDMA(码分多址)和1xEV-DO(演进数据优化),3GPP-第三代合作伙伴计划定义的GSM(全球移动通信系统)、也被称为WCDMA的UMTS(通用移动通信系统)、用于UMTS的GPRS(通用分组无线服务)、EDGE(增强数据速率GSM演进),WiMAX论坛定义的Wi-Fi(无线保真-基于IEEE 802.11标准的无线局域网(WLAN)装置类),WiMAX(全球微波互联接入)等。两个或多个接入技术间的互通对于无线核心网运营商来说是至关重要的,因为他们能够将公共核心网服务提供给拥有多模式终端的用户。
当无线终端接入网络时,对其就合法性进行认证。这种认证可以特定于给定的接入技术,但是随着封装认证协议(EAP)的兴起,对接入技术透明的公共认证框架变得流行起来。EAP被详细公开于IETF RFC 5247,“可扩展认证协议(EAP)密钥管理框架”,2008年8月,这里通过引用并入其公开内容。
然而,现有的EAP认证操作不允许有效地保持与给定通信装置相关的用于多个接入技术的多个安全上下文。因此,存在克服上述以及现有认证方案的其它限制的需求。
发明内容
本发明的原理在多接入技术环境中提供了预注册安全支持。
例如,一方面,提供了一种用于在通信系统的计算装置中使用的方法,其中,所述通信系统支持两个或多个允许通信装置接入通信系统的接入技术,并且在所述计算装置处为给定通信装置生成允许所述给定通信装置经由第一接入技术接入通信系统的第一安全上下文的至少一部分。所述方法包括,在所述计算装置处为所述给定通信装置生成至少第二安全上下文的至少一部分,使得所述给定通信装置被预注册以便经由至少第二接入技术接入所述通信系统且保持第一安全上下文,使得所述给定通信装置能够继续经由第一接入技术来接入所述通信系统并被预注册,以便随后经由第二接入技术接入所述通信系统。所述计算装置可包括由通信系统中的网络服务提供商管理的认证服务器。
此外,另一方面,提供了一种用于在通信系统的通信装置中使用的方法,其中,所述通信系统支持两个或多个允许通信装置接入所述通信系统的接入技术,并且其中,在所述通信装置处生成允许所述通信装置经由第一接入技术接入所述通信系统的第一安全上下文的至少一部分。所述方法包括,在所述通信装置处为所述给定通信装置生成至少第二安全上下文的至少一部分,使得所述给定通信装置被预注册以便经由至少第二接入技术来接入所述通信系统且保持第一安全上下文,使得所述给定通信装置能够继续经由所述第一接入技术来接入通信系统并被预注册,以便随后经由第二接入技术来接入所述通信系统。
有利地,本发明的示例性原理提供了用于保留多个活动(active)的、清晰可辨的安全关联,以允许在多个接入技术上的同时移动注册的技术。
通过结合附图来阅读,根据下文本发明的示例性实施例的详细描述,本发明的这些和其它目标、特征和优点将变得明显。
附图说明
图1示例性示出根据本发明的一个或多个实施例的多接入技术环境中并入了预注册安全支持的网络参考模型。
图2A示例性示出根据本发明的实施例的关于第一接入技术的网络进入方法;
图2B示例性示出根据本发明实施例的关于第二接入技术的网络进入方法;
图2C示例性示出根据本发明实施例的用于多接入技术环境中预注册安全支持的方法;
图2D示例性示出根据本发明另一实施例的用于多接入环境中预注册安全支持的方法;
图3示例性示出根据本发明一个或多个实施例的适于实现多接入技术环境中预注册安全支持的通信系统的一部分的概略硬件架构。
具体实施方式
应当了解的是,用语“通信系统”通常被定义为包括一个或多个通信网络,所述通信网络允许通信装置和/或网络节点与其它通信装置和/或网络节点进行通信/交互,并且可通过通信装置和/或网络节点来传输一种或多种类型的媒体。此类一种或多种类型的媒体(即,多媒体)可包括但不限于,基于文本的数据、基于图形的数据、基于语音的数据(更一般地,音频类型数据)以及基于视频的数据。
此外,虽然下面就作为两个示例性接入技术的WiMAX和WiFi描述了对多接入技术提供预注册支持的本发明示例性实施例,但是,应当理解,本发明既不限于这两种接入技术,也不限于仅仅使用两种接入技术。也就是说,本发明的原理可应用于许多且不同的其他接入技术,例如但不限于,CDMA、GSM、UMTS、1xEV-DO、GPRS和EDGE。还应当理解,本发明的原理不限于在EAP框架中使用。
此外,这里,用语“安全上下文”和“安全关联”可交换地使用,并且一般被定义为指的是出于将实体认证到通信系统这一目的而生成的密码或安全数据(例如,一个或多个密钥)。
同样,如这里使用的,“服务器”通常被定义为一个或多个计算装置。应当进一步理解的是,“节点”可以指通信系统中的专用计算装置,或者可以指执行一个或多个其它功能的计算装置的功能部分。
根据示例性实施例,通信装置(例如,移动终端)可使用EAP以便认证到其当前接入的网络,并且预料到向另一可用且支持的技术的可能的切换,通信装置可提前在该接入技术上进行预注册和预认证。这种方式中,当作出将通信会话从一个接入技术切换到另一接入技术的判决时,目标技术上的资源已经是经过授权的,并且大幅降低了切换过程的等待时间。
我们现在介绍示例性实施例,其中,讨论的多接入技术包括WiFi和WiMAX。根据所述示例性实施例,在交叠的时段针对同一HoA(归属地址)会话在两个根本不同的接入网(接入技术)上并发执行相同的EAP认证方案是可行的。为了保持无缝HO(切换),方案涉及两网络的三个公共实体,即,MS(移动站)及其客户端(supplicant),AAA(认证、授权和记账)服务器以及HA(归属代理)服务器。
可以理解的是,这里使用的“客户端”指的是执行安全接入支持功能的那部分MS(通信装置),即,MS中参与对用于接入通信系统的安全上下文的创建的功能实体。如下面将介绍的,根据本发明的原理,通信装置可以例示多于一个的客户端,由此每个客户端都创建并保持单独的安全上下文。例如,一个客户端可创建与第一接入技术关联的第一安全上下文,并且第二客户端可创建与第二接入技术关联的第二安全上下文。可以在MS中将一个或多个客户端实现为可执行指令代码、硬件或其组合。
图1示出了用于在WiMAX和WiFi网络间互通(interworking)的网络参考模型(NRM)100的实例。可以理解的是,虽然这里就特定的接入技术使用了术语“网络”或“通信网络”,但是,可考虑将多种接入技术看作整体“通信系统”的一部分。
在NRM 100中,假设相同的多模无线终端(通信装置)MS 102支持对WiMAX和WiFi技术两者的接入,并且对WiMAX网络的接入通过R1无线电接口。属于网络接入提供商(NAP)106的接入服务网络(ASN)104通过基于回程IP(互联网协议)的R3接口,提供到属于网络服务提供商(NSP)110的核心服务网络(CSN)108的互连性。
IP会话通过MS 102和CSN 108中的归属AAA服务器112之间的成功认证来授权。作为该成功认证的结果,AAA服务器112和MS 102相互生成用于接入和移动性安全的一组安全关联(安全上下文),即,安全密钥。在一个实施例中,像WiMAX NWG级3规范WMF-T33-001-R015v01Network-stage3-base中定义的那样生成此类安全关联,这里通过引用并入其公开内容。然而,本发明不限于使用这些特定的安全关联或上下文。
接入安全关联以主会话密钥(MSK)为基础,该主会话密钥由AAA服务器112递送到ASN-GW(接入服务网络网关)服务器114中的认证器功能。认证器使用MSK来生成用于R1无线电接口上的加密和完整性保护的一组特殊密钥。
除了MSK,MS 102和AAA服务器112还生成从不离开AAA服务器的扩展主会话密钥(EMSK)。该EMSK用来生成保护移动性的特殊根密钥——MIP-RK(移动IP根密钥)。MIP-RK于是用来通过生成移动IP节点间移动IP消息的安全签名,来保护移动IP信令(如2002年8月的IETFRFC 3344“IPv4的IP移动性支持”所定义的,这里通过引用并入其公开内容)。注意,IPv6的IP移动支持定义在2004年6月的RFC 3775“IPv6的IP移动性支持(MIPv6)”中,这里通过引用并入其公开内容。
具体地,通过使用从MIP-RK生成的MH-HA密钥的MH-HA认证扩展,来保护MS 102中移动节点(MN)和CSN 108中归属代理(HA)116之间的消息。通过使用从MIP-RK产生的MN-FA密钥等的MN-FA认证扩展,来保护MN和ASN-GW服务器114中的外地代理(FA)间的消息。
为了支持“简单的”IP移动终端,MN功能还可以被放置在接入网的节点中。这种所谓的代理移动IP功能(PMIP)跟随移动终端,随着移动终端从一个ASN移动到另一个ASN,将移动终端重新注册到HA,并因此保持HA上IP会话的连续性。通常用指示EAP接入认证的成功结果的AAA信令将用于PMIP MN的MN-HA密钥递送到ASN中的PMIP MN。
图2A示例性示出在接入技术是WiMAX的情况下初始网络进入过程(network entry procedure)200的一个实施例。如所示出的,参考过程200中列举的步骤:
1、WiMAX MS(通信装置)201连接到WiMAX BS(基站)202,并建立WiMAX连接,例如根据WiMAX论坛网络架构规范,版本1.5,这里通过引用并入其公开内容。
2、MS 201使用PKMv2和EAP方法(可包括任意的EAP-TLS/TTLS/CHAPv2/AKA)来与WiMAX ASN 203进行认证。MS 201在接入认证期间用NAI来标识自己。WiMAX ASN 203在AAA请求中包括NAS类型,以便标识接入技术。在该EAP认证和授权步骤的末尾,在MS 201处生成MSK,并将其从AAA 205递送到WiMAX ASN 203(ASN-GW认证器)。
3、于是MS 201注册到802.16(WiMAX)网络。
4、于是MS 201使用DSA(动态服务添加)请求/响应来建立服务流并完成与ASN 203的数据路径注册。
5、MS发送DHCPDISCOVER消息,以发现用于主机IP配置的DHCP(动态主机配置协议)服务器。
6、触发ASN 203中移动性接入网关(MAG)中的PMIPv4客户机(client)或PMIPv6客户机,以便发起注册过程。在MIP RRQ或绑定更新消息中,使用与EAP认证过程期间使用的NAI相同的NAI。除非可选的同时绑定得到支持并被调用,否则在PMIPv4RRQ消息中,“S”位被设置为“0”。对于PMIPv6PBU消息,切换指示符选项可以被设置为值“1”(新接口上的附连)并且接入技术类型选项可以被设置为值“5”(IEEE802.16e),这与RFC 5213中规定的一样,这里通过引用并入其公开内容。剩余的字段按照WiMAX论坛网络架构,版本1.5,PMIPv6级3规范来初始化,这里通过引用并入其公开内容。通常,如相对于MIPv4术语所知的,存在MIPv4客户机、外地代理(FA)和归属代理(HA)。在MIPv6术语中,存在MIPv6客户机和归属代理(HA),但是没有FA。在代理MIPv4中,MIPv4客户机与FA位于同地(co-located)。在PMIPv6中,PMIPv6客户机放置在称为MAG的网络元件中,并且HA被称为本地移动性代理(LMA)。
7、如果SPI(安全参数索引)所标识的MN-HA密钥不可用,则HA 204从AAA 205请求MN-HA密钥。
8、与MN-HA SPI关联的MN-HA密钥被返回给HA 204,用于MN-HAAE验证。
9、HA/LMA 204用PMIP RRP或PMIP PBU消息进行响应。一旦MN-AAE被验证为有效,则HA/LMA 204向MS 201指派IP地址。如果MIP RRQ/PBU中所指派的HoA值是0.0.0.0,那么HA 204指派HoA,否则,使用PMIP注册请求/PBU中的HoA。如果这对于MS 201来说是初始进入,则HA/LMA 204为MS 201创建绑定缓存。就此,在ASN 203与HA/LMA 204之间建立PMIP隧道。
10、ASN 203中的记账客户机向AAA 205发送Acct-请求(开始)消息。
11、基于收到记账请求消息,AAA 205向记账客户机发送Acct-响应消息。
12、ASN 203中的DHCP代理向MS 201发送DHCPOFFER消息。
13、MS 201用去往DHCP代理的DHCPREQUEST消息(连同在DHCPOFFER中接收的地址信息一起)对接收的第一DHCPOFFER消息进行响应。
14、DHCP代理通过发送DHCPACK消息来确认对该IP地址以及其它配置参数的使用(如RFC 2131中定义的,这里通过引用并入其公开内容)。
15、MS 201现在连接到WiMAX网络,从而可交换上行链路/下行链路业务。
在MS 102通过另外的接入技术来运行时,例如在本实例中是IEEE802.11WiFi协议,使用类似的概念。仍然在MS 102和AAA服务器112之间执行EAP认证,除非作为EAP接入认证的结果而生成的MSK被递送到位于称为IWK功能120的特定接口节点的无线接口功能(WIF)118中的认证器功能。用于位于IWK120中的PMIP功能的MN-HA密钥也被经过R3+接口从AAA112进行递送。
图2B示例性示出在接入技术是WiFi时,初始网络进入过程220的一个实施例。如所示的,参考过程220中列举的步骤:
1、WiFi STA(通信装置)221被通电并捕获WiFi信令,然后执行网络发现和选择。
2、STA 221建立与WiFiAN 222的802.11关联。
3、STA 221使用802.1X/EAPOL和各种EAP方法,例如EAP-TLS和EAP-AKA,来与WiFiAN 222进行认证。WiFiAN 222将EAP消息转发给WIF 223中的AAA代理,所述WIF 223于是代表WiFi STA 221来协助认证。来自WIF 223的AAA请求包括标识了接入技术的NAS类型。在认证期间,在AAA服务器225中生成的MSK被传递给WiFiAN 222,并且然后在WiFi 认证的末尾,在WiFi AN 222从MSK得出PMK或成对主密钥(用于空中接口安全的辅助密钥)。
WiMAX-会话-ID和CUI(可收费用户身份)被递送给WIF 223处的记账客户机。
4、STA 221于是与WiFi AN 222中的认证器进行四路握手(four-wayhandshake)。在四路握手过程期间,从PMK得到新的成对临时密钥(PTK)。基于成功完成四路握手,802.1x端口被解除阻塞。
5、STA 221发送DHCPDICOVER消息,以便发现用于主机IP配置的DHCP服务器。
6、WIF 223中的FA/MAG被触发,以便发起PMIP注册过程。在RRQ/绑定更新消息中使用与EAP认证过程期间使用的NAI相同的NAI。除非可选同时绑定得到支持并被调用,否则在RRQ消息中,“S”位被设置为“0”。对于PBU消息,切换指示符选项可被设置为值“1”(新接口上的附连(attachment))并且接入技术类型选项可被设置为值“4”(指示IEEE802.11a/b/g),如RFC 5213中所规定的。剩余字段以与上文所述相同的方式被初始化。
7、如果SPI所标识的MN-HA密钥不可用,则HA 224从AAA 225请求MN-HA密钥。
8、与MN-HA SPI关联的MN-HA密钥被返回给HA 224,用于MN-HAAE验证。
9、HA/LMA 224用RRP/PMIP PBU消息进行响应。一旦MN-A AE被验证为有效,则HA/LMA 224向STA 221指派IP地址。如果MIPRRQ/PBU中所指派的HoA值是0.0.0.0,则HA 224指派HoA,否则,PMIP注册请求/PBU中的HoA被使用。如果这对于STA 221来说是初始进入,则HA/LMA 224为STA 221创建绑定缓存。就此,在WIF 223和HA/LMA224之间建立PMIP隧道。
10、WIF 223处的记账客户机向AAA 225发送Acct-请求(开始)消息。
11、基于收到记账请求消息,AAA 225向WIF 223处的记账客户机Acct-响应消息。
12、WIF 223中的DHCP代理向STA 221发送DHCPOFFER消息。
13、STA 221用去往DHCP代理的DHCPREQUEST消息(连同在DHCPOFFER中收到的地址信息一起),对收到的第一DHCPOFFER消息进行响应。
14、WIF 223中的DHCP代理确认对该IP地址以及其它配置参数的使用。
15、STA 221现在连接到WiFi网络,从而可交换上行链路/下行链路业务。
意识到可能希望通信装置(MS/STA)在仍然通过另一接入技术运行时在一个接入技术上进行预注册。这可以通过在当前提供服务的接入技术的信令封装中用隧道传送目标接入技术的信令,并通过IWK功能将该经过封装的信令递送给目标接入技术来实现。
然而,根据现有EAP操作,随着该信令到达目标接入技术,其尝试对接入进行认证,在进行这样的操作时,生成包括新MSK和新EMSK的新安全关联。新MSK被递送给IWK并可被保留在其认证器中,直到MS/STA真正执行到目标技术的切换为止。但是,在现有EAP操作中,AAA中的EMSK将替换与当前会话关联的当前活动EMSK,并且从EMSK计算的所有辅助密钥,例如MIP-RK等,也将被重新计算。
这将导致网络所假设的安全关联与移动所处理的安全关联之间的不一致,并且连接将因此断开。
为了解决该问题,本发明的原理有利地运行以便保持多个活动、清晰可辨的安全关联(上下文),以允许多个接入技术上的同时移动注册。
根据本发明的示例性实施例,当AAA服务器112收到对接入认证的请求时,其检查指示该请求来自什么接入技术的认证器(ASN-GW服务器114或WIF 118中)的NAS类型(网络接入服务器)。NAS类型是AAARADIUS(IETF RFC 2865,用户服务中的远程认证拨号,2000年6月,这里通过引用并入其公开内容)和Diameter(IETF RFC 4005,Diameter网络接入服务器应用,2005年8月,这里通过引用并入其公开内容)信令的标准属性。一些利用技术专用信息来增强AAA信令的供应商专用属性(VSA)分别定义在相应的接入技术标准中。例如,WiMAX论坛在其级3文档WMF-T33-00x-R015v01-J_Network-Stage3_V&V中定义了其专用VSA,这里通过引用并入其公开内容。
运行中,如果这是初始网络接入,并且AAA服务器没有任何关于该移动的当前活动的安全上下文,则AAA服务器进行通常的EAP认证过程并将得到的安全上下文存储为活动的。也就是说,如上面解释的,生成MSK且将其递送给认证器,生成且存储EMSK,生成且存储与EMSK关联的专用安全参数索引(SPI),生成并存储MIP-RK及其SPI,生成且存储MN-HA及其关联的MN-HA SPI,等等。
运行中,如果AAA服务器已经具有关于该接入技术的安全上下文,则其进行重新认证,并将旧的上下文替换为新的上下文。
然而,在根据本发明实施例的增强操作中,如果AAA服务器已经具有关于该接入技术的安全上下文,则其进行重新认证,并且仅针对该接入技术将旧的上下文替换为新的上下文,而不损坏其它可用安全上下文。
在根据本发明实施例的进一步增强操作中,如果AAA服务器已经具有关于该移动的安全上下文,但是请求来自另一接入技术,则AAA服务器检查该移动的订阅记录,以核实移动能够并被授权从目标接入技术的接入,否则拒绝该请求。
在根据本发明实施例的另一增强操作中,如果请求与多模式MS关联,并且针对该移动接入技术得到了支持并且被授权,则AAA服务器进行EAP接入认证并在用于当前提供服务的技术的已有上下文旁存储该新上下文。
在根据本发明实施例的进一步增强操作中,当对上下文相关参数(例如,HA所请求的MN-HA密钥等)的请求来到AAA服务器时,AAA服务器将基于包含在请求中的相关联的SPI来确定使用哪个上下文。
在根据本发明实施例的进一步增强操作中,当特定的安全上下文由于其有效期到期、特定接入技术上的去除注册或任何策略相关的限制而到期时,AAA服务器删除该特定的上下文但将其它活动的上下文保持为有效。
在根据本发明实施例的进一步增强操作中,当会话终止时,所有相关的安全上下文都被删除。
类似的功能逻辑被应用到多模式移动装置(MS),当移动装置接入特定接入技术、在其上预注册并被针对该特定接入技术进行认证时,移动装置生成用于该特定的接入技术的安全上下文。
因此,本发明的示例性原理提供了一种方法,所述方法用于在任意给定时间针对相同会话在MS(通信装置)和通信系统之间生成并保持多个活动的安全关联,清楚地区分这些上下文、其使用、其替换及其不推荐使用(deprecation)。同样地,其允许多个目标技术上的预注册,而不牺牲从一个技术切换到另一技术的性能。
因此,根据本发明的示例性原理,处于活动模式并连接到WiMAX或WiFi接入网的情况下,WiMAX/WiFi通信装置可在替代性接入技术(即,WiFi或WiMAX)上进行预注册和预认证。为了保留活动服务网络上的安全上下文,AAA为同一装置生成第二安全上下文,该第二安全上下文与执行预注册和预认证的根本不同的接入技术关联。
为了使用相同的NAI(网络接入标识符)生成针对每个接入技术的唯一安全上下文,各NAS在AAA请求消息中将其类型报告给认证网络。当AAA收到AAA请求消息时,其检查所报告的接入网类型,例如,网络接入服务器(NAS)类型,并基于移动的NAI,确定请求是关于初始网络接入还是关于请求装置的附加安全上下文的预注册。
对于初始网络接入,AAA进行EAP认证过程,并将得到的安全上下文及其关联的安全参数索引(SPI)存储为装置的活动上下文和索引。类似地,MS将所计算的安全上下文与初始网络接入关联。
在根本不同的接入技术上的预注册期间,双模装置中的客户端创建与根本不同的接入技术关联的第二安全上下文(这也可由第二客户端处理)。类似地,AAA针对相同会话创建与接入技术(装置已经在该接入技术上进行过预注册)关联的第二安全上下文。
如果在活动会话期间,AAA收到来自与已有安全上下文关联的相同接入技术的AAA请求,即,相同的NAI和相同的接入技术(通过NAS类型来指示的),则AAA进行重新认证并用新生成的安全上下文替换安全上下文。
如果AAA已经具有关于该装置的安全上下文,但是AAA请求来自根本不同的接入技术,则AAA检查装置的订阅记录,以核实其被授权从目标接入技术进行接入,在这种情况中,AAA进行EAP接入预认证。基于成功完成EAP认证,AAA生成具有其关联的一(多)个SPI的第二安全上下文,并将其存储在活动安全上下文旁。
如果移动未被授权来接入根本不同的接入技术,则AAA拒绝AAA请求。
对于可接入多个网络类型(多模装置)的装置,当特定的安全上下文由于其有效期到期或接入技术中的一个接入技术上去除注册而到期时,AAA和MS/STA删除过期的上下文但保留其它有效的上下文。
对于多模装置,当会话终止时,所有相关的安全上下文都在AAA、NAS和MS上被删除。
图2C示例性示出从WiMAX网络到802.11i WiFi网络的切换过程240的一个实施例。在该场景中,假设MS/STA双模单无线电(注意:单无线电表示在任意给定时间只有一个发射器WiFi或WiMAX可以发射)最初连接到WiMAX网络。还假设MS知道WiFi网络和互通功能性的可用性。就此,MS/STA基于一个或多个判决标准来决定切换到WiFi网络。对于基于IEEE 802.11i的WiFi网络的WiMAX到WiFi的切换过程包括多个阶段(注意,对于其它类型的WiFi网络,可以按直接的方式调用类似步骤),如过程240所示:
阶段零:初始WiMAX网络进入。移动装置(MS/STA 241)最初连接到WiMAX接入网络242。初始WiMAX网络进入过程在上文图2A环境中有详细介绍。在初始网络进入期间以及成功EAP过程之后,生成MSK。我们将其称为MSK1(部分第一安全上下文)。
阶段一:目标网络检测和WiFi-SFF(信令转发功能)发现。MS/STA241检测WiFi网络信号以便确定目标AP(接入点),并通过DHCP或DNS过程发现WiFi-SFF 243的地址。
阶段二:隧道建立以及EAP认证:
1、在MS/STA 241发现WiFi-SFF 243的地址之后,MS/STA 241建立到WiFi-SFF 243的IP隧道。
2、隧道上的EAP认证过程按照IEEE 802.11i规范,这里通过引用并入其公开内容,并如下所述:
●MS/STA 241用开放系统算法向目标AP发送认证请求帧,并接收来自目标AP的认证响应帧。帧中的BSSID必须是所确定的目标AP的BSSID。WiFi-SFF 243基于认证请求帧中的BSSID来发现目标WiFi接入,并将该帧转发给目标网络。
●MS/STA 241通过向AP发送关联请求帧以及接收来自AP的关联响应帧来关联到目标AP。
●MS/STA 241向目标WiFi接入网络发送EAPOL-开始消息,以便发起IP隧道上的EAP认证。WiFi SFF将该消息转发给位于WiFi接入网络244中的认证器。
●MS/STA 241和认证服务器(AAA)247得到MSK。我们将其称为MSK2(部分第二安全上下文)。认证服务器247向目标WiFi网络244中的认证器发送MSK2,并向WIF243处的PMIP客户机发送任何移动密钥。认证器根据802.11i规范从MSK2得到PMK。
3、MS/STA 241释放早期与WiFi SFF 243创建的IP隧道。
阶段三:切换到WiFi:
1、MS/STA 241决定切换到WiFi接入网。WiFi接口通电且WiMAX接口可进入空闲模式。
2、双模单无线电MA/STA 241向具有RSN(鲁棒安全网络)信息中的一(多)个PMKID的目标WiFi AN 244发送重新关联消息,以便与早期得到的PMK进行映射。
阶段四:IP会话连续性。MS/STA 241请求并接收锚定在HA 246的IP地址。在这种情况中,由互通功能WIF 245中的DHCP代理&PMIP客户机/MAG来代理请求和答复消息。
图2D示例性示出了从WiFi网络到WiMAX网络的切换过程260的一个实施例。在该情景中,假设MS/STA最初连接到WiFi网络。进一步假设MS知道WiMAX网络以及互通功能性的可用性。就此,MS/STA基于一个或多个判决标准来决定切换到WiMAX网络。WiFi到WiMAX的切换过程包括多个阶段,如过程260所示:
阶段零:初始WiFi网络进入(步骤1如图2D所示)。MS/STA 261最初连接到WiFi网络。初始WiFi网络进入过程如上文图2B环境中所述。在初始网络进入期间以及在成功的EAP过程之后,生成MSK。我们将其称为MSK1(部分第一安全上下文)。之后,MS/STA 261检测WiMAX网络的可用性并获知互通支持。就此,MS/STA基于一个或多个判决标准来决定切换到WiMAX网络。关于WiFi到WiMAX单无线电切换的整体过程包括四个阶段。
阶段一:目标网络检测和WiFi-SFF发现(如图2D所示的步骤2)。MS/STA 261检测WiMAX网络信号并发现WiMAX SFF 263的地址。
阶段二:隧道建立以及预初始网络进入,即,预注册阶段(图2D中所示的步骤3至15)。在MS/STA 261发现WiMAX-SFF 263的地址之后,其建立到WiMAX网络中WiMAX-SFF 263的隧道。MS/STA 261于是在MS/STA 261和WiMAX-SFF 263之间的隧道上进行初始WiMAX网络进入过程。在成功EAP过程之后,AAA 267生成并发送MSK。我们将这称为MSK2(部分第二安全上下文)。
阶段三:无线切换动作包括活动或空闲到活动(图2D中示出的步骤16到32)。MS/STA 261执行到存在于ASN 265中的目标BS 264的切换过程。当MS/STA 261决定切换到ASN 265中的目标BS 264时,其执行向WiMAX的“SR切换动作”过程。
阶段四:释放网络资源。在上述阶段中MS/STA从HA 266得到IP地址之后,之前的网络释放网络资源。
注意,在一个或多个示例性实施例中,标准步骤和呼叫流可能与WiMAX论坛的网络工作组定义的3G-WiMAX切换过程/呼叫流类似类似和一致。
图3示例性示出根据本发明适于实现多接入技术环境中的预注册安全支持的通信系统的一部分的概略性硬件架构。尽管图3仅示出两个实体,但是应当理解,其它实体可具有相同或类似的配置。因此,就上述预注册安全支持而言,两实体可以是移动订户通信装置(图1的MS 102以及图2A到2D的MS/STA)和AAA服务器(图1的AAA服务器112以及图2A到2D的AAA)。然而,可以用与图3的计算装置所示相同或类似的架构实现图1所示的其它组件。因此,为了简明的目的,没有在图3中示出可参与本发明的方法的所有装置。
如图所示,标为302的通信装置和标为304的AAA服务器通过与通信系统部分306关联的至少两个接入网来耦接。这可包括图1所示其它组件中的一个或多个,并且可包括公共可接入广域通信网络,例如由网络运营商运行的蜂窝通信网络。然而,本发明不限于特定类型的网络。典型地,通信装置可以是但不限于蜂窝电话、智能手机、桌面电话、个人数字助理、膝上型电脑、个人电脑等。
如所属领域普通技术人员明了的,服务器和通信装置可实现为在计算机程序代码的控制下运行的已编程计算机。计算机程序代码可存储在计算机可读存储介质(例如,存储器)中,并且代码可由计算机的处理器来执行。对于本发明给出的公开内容,所属领域技术人员将易于制作适当的计算机程序代码以实现此处介绍的协议。
尽管如此,图3概略地示例性示出关于在与通信系统306关联的至少两个接入网络上通信的每个装置/服务器的示例性架构。如图所示,通信装置302包括I/O装置308-A、处理器310-A以及存储器312-A。AAA服务器304包括I/O装置308-B、处理器310-B以及存储器312-B。应当理解,这里使用的用语“处理器”旨在包括含有中央处理单元(CPU)或其它处理电路的一个或多个处理装置,包括但不限于一个或多个信号处理器,一个或多个集成电路等。同样,这里使用的术语“存储器”旨在包括与处理器或CPU关联的存储器,例如RAM、ROM、固定存储器装置(例如,硬盘)、或可移除存储装置(例如,磁盘或CDROM)。此外,这里使用的术语“I/O装置”旨在包括一个或多个用于向处理单元输入数据的输入装置(例如,键盘、鼠标),以及一个或多个用于提供与处理单元关联的结果的输出装置(例如,CRT显示器)。
因此,此处介绍的用于实现本发明方法的软件指令或代码可存储在一个或多个相关联的存储器装置中,例如ROM、固定或可移除存储器,并且当准备使用时,被加载到RAM并由CPU来执行。
尽管这里参照附图介绍了本发明的示例性实施例,但应当理解的是,本发明不限于这些精确的实施例,并且在不脱离本发明的范围或精神的情况下,所属领域技术人员可以进行各种其它改变和修改。
Claims (10)
1.一种用于在通信系统的计算装置中使用的方法,其中,所述通信系统支持两个或多个允许给定的通信装置接入所述通信系统的接入技术,并且其中,在所述计算装置处为所述给定的通信装置生成允许所述给定的通信装置经由第一接入技术接入所述通信系统的第一安全上下文的至少一部分,所述方法包括:
在所述计算装置处为所述给定的通信装置生成至少第二安全上下文的至少一部分,使得在保持所述第一安全上下文的同时,所述给定的通信装置被预注册以便经由至少第二接入技术接入所述通信系统,并且使得所述给定的通信装置能够继续经由所述第一接入技术接入所述通信系统并被预注册,以便所述给定的通信装置随后经由所述第二接入技术接入所述通信系统;
其中,所述第二安全上下文在做出执行从第一接入技术到第二接入技术的切换的判决之前生成。
2.如权利要求1所述的方法,进一步包括,所述计算装置:
接收要求针对所述给定的通信装置发起从所述第一接入技术的重新认证过程的请求;
响应于成功的重新认证过程,为所述给定的通信装置生成关于所述第一接入技术的新安全上下文的至少一部分;以及
用所述新安全上下文替换所述第一安全上下文。
3.如权利要求1所述的方法,进一步包括,在生成所述第二安全上下文之前,所述计算装置核实所述给定的通信装置是否被授权从第二接入技术进行接入。
4.如权利要求1所述的方法,进一步包括,所述计算装置在以下的至少一个情况下,删除一个或多个安全上下文:(i)一个或多个安全上下文过期;以及(ii)一个或多个安全上下文在所述接入技术中的一个或多个上被去除注册。
5.如权利要求1所述的方法,进一步包括,在所述通信装置接入所述通信系统所处的会话终止的情况下,所述计算装置删除任何对应的安全上下文。
6.如权利要求1所述的方法,其中,所述通信装置经由所述第二接入技术在与所述通信装置经由所述第一接入技术接入所述通信系统所在的通信会话相同的通信会话中,接入所述通信系统。
7.如权利要求1所述的方法,其中,所述计算装置包括受所述通信系统中的网络服务提供商管理的认证服务器。
8.一种用于在通信系统的计算装置中使用的设备,其中,所述通信系统支持两个或多个允许给定的通信装置接入所述通信系统的接入技术,并且其中,在所述计算装置处为所述给定的通信装置生成允许所述给定的通信装置经由第一接入技术接入所述通信系统的第一安全上下文的至少一部分,所述设备包括:
用于在所述计算装置处为所述给定的通信装置生成至少第二安全上下文的至少一部分,使得在保持所述第一安全上下文的同时,所述给定的通信装置被预注册以便经由至少第二接入技术接入所述通信系统,并且使得所述给定的通信装置能够继续经由所述第一接入技术接入所述通信系统并被预注册,以便所述给定的通信装置随后经由所述第二接入技术接入所述通信系统的装置;
其中,所述第二安全上下文在做出执行从第一接入技术到第二接入技术的切换的判决之前生成。
9.一种用于在通信系统的通信装置中使用的方法,其中,所述通信系统支持两个或多个允许所述通信装置接入所述通信系统的接入技术,并且其中,在计算装置处生成允许所述通信装置经由第一接入技术接入所述通信系统的第一安全上下文的至少一部分,所述方法包括:
在所述计算装置处为所述给定的通信装置生成至少第二安全上下文的至少一部分,使得在保持所述第一安全上下文的同时,所述给定的通信装置被预注册以便经由至少第二接入技术接入所述通信系统,并且使得所述给定的通信装置能够继续经由所述第一接入技术接入所述通信系统并被预注册,以便所述给定的通信装置随后经由所述第二接入技术接入所述通信系统;
其中,所述第二安全上下文在做出执行从第一接入技术到第二接入技术的切换的判决之前生成。
10.一种用于在通信系统的通信装置中使用的设备,其中,所述通信系统支持两个或多个允许所述通信装置接入所述通信系统的接入技术,并且其中,在计算装置处生成允许所述通信装置经由第一接入技术接入所述通信系统的第一安全上下文的至少一部分,所述设备包括:
用于在所述计算装置处为所述给定的通信装置生成至少第二安全上下文的至少一部分,使得在保持所述第一安全上下文的同时,所述给定的通信装置被预注册以便经由至少第二接入技术接入所述通信系统,并且使得所述给定的通信装置能够继续经由所述第一接入技术接入所述通信系统并被预注册,以便所述给定的通信装置随后经由所述第二接入技术接入所述通信系统的装置;
其中,所述第二安全上下文在做出执行从第一接入技术到第二接入技术的切换的判决之前生成。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US27500809P | 2009-08-24 | 2009-08-24 | |
| US61/275,008 | 2009-08-24 | ||
| US12/652,315 | 2010-01-05 | ||
| US12/652,315 US8429728B2 (en) | 2009-08-24 | 2010-01-05 | Pre-registration security support in multi-technology interworking |
| PCT/US2010/046118 WO2011028442A2 (en) | 2009-08-24 | 2010-08-20 | Pre-registration security support in multi-technology interworking |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102484790A CN102484790A (zh) | 2012-05-30 |
| CN102484790B true CN102484790B (zh) | 2015-03-18 |
Family
ID=43606348
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080037644.8A Active CN102484790B (zh) | 2009-08-24 | 2010-08-20 | 多技术互通中的预注册安全支持 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8429728B2 (zh) |
| EP (1) | EP2471289B1 (zh) |
| JP (1) | JP5378603B2 (zh) |
| KR (1) | KR101395416B1 (zh) |
| CN (1) | CN102484790B (zh) |
| WO (1) | WO2011028442A2 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8429728B2 (en) | 2009-08-24 | 2013-04-23 | Alcatel Lucent | Pre-registration security support in multi-technology interworking |
| US20110255465A1 (en) * | 2010-04-16 | 2011-10-20 | Chang Hong Shan | Wimax voip service architecture |
| JP5378296B2 (ja) * | 2010-05-10 | 2013-12-25 | 株式会社東芝 | 通信装置および通信方法 |
| US8700782B2 (en) * | 2010-08-18 | 2014-04-15 | Microsoft Corporation | Directing modalities over different networks in multimodal communications |
| US9210660B2 (en) * | 2011-01-10 | 2015-12-08 | Lg Electronics Inc. | Method and device for transceiving data in a radio access system supporting multi-radio access technology |
| US9137742B1 (en) * | 2011-02-23 | 2015-09-15 | Sprint Communications Company L.P. | Selective authentication of user devices in wireless communication networks |
| CN104041098A (zh) * | 2012-01-11 | 2014-09-10 | 交互数字专利控股公司 | 用于ieee 802.11网络的sta和接入点之间的加速的链路设置的方法和装置 |
| US9307470B2 (en) * | 2012-07-10 | 2016-04-05 | Futurewei Technologies, Inc. | System and method for single radio handover |
| US9655012B2 (en) * | 2012-12-21 | 2017-05-16 | Qualcomm Incorporated | Deriving a WLAN security context from a WWAN security context |
| US9392458B2 (en) | 2013-03-15 | 2016-07-12 | Qualcomm Incorporated | Authentication for relay deployment |
| US9338136B2 (en) * | 2013-12-05 | 2016-05-10 | Alcatel Lucent | Security key generation for simultaneous multiple cell connections for mobile device |
| US10433163B2 (en) * | 2016-09-19 | 2019-10-01 | Qualcomm Incorporated | Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure |
| US10904757B2 (en) | 2018-12-20 | 2021-01-26 | HCL Technologies Italy S.p.A. | Remote pre-authentication of a user device for accessing network services |
| WO2021223862A1 (en) * | 2020-05-06 | 2021-11-11 | Lenovo (Singapore) Pte. Ltd. | Gateway function reauthentication |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009051400A2 (en) * | 2007-10-17 | 2009-04-23 | Lg Electronics Inc. | Method for handover between heterogeneous radio access networks |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3854930B2 (ja) * | 2003-01-30 | 2006-12-06 | 松下電器産業株式会社 | 一元管理認証装置及び無線端末認証方法 |
| EP1782575A1 (en) * | 2004-08-26 | 2007-05-09 | NTT DoCoMo, Inc. | Method and apparatus for supporting secure handover |
| US8462742B2 (en) * | 2006-03-31 | 2013-06-11 | Samsung Electronics Co., Ltd | System and method for optimizing authentication procedure during inter access system handovers |
| JP4793826B2 (ja) * | 2006-10-19 | 2011-10-12 | Kddi株式会社 | 移動端末のハンドオーバにおける認証方法及びシステム |
| KR101490243B1 (ko) | 2007-07-10 | 2015-02-11 | 엘지전자 주식회사 | 이종망간 핸드오버시 빠른 보안연계 설정방법 |
| WO2009051405A2 (en) | 2007-10-18 | 2009-04-23 | Lg Electronics Inc. | Method of establishing security association in inter-rat handover |
| US8166527B2 (en) * | 2007-11-16 | 2012-04-24 | Ericsson Ab | Optimized security association database management on home/foreign agent |
| TWI410105B (zh) * | 2008-12-01 | 2013-09-21 | Inst Information Industry | 無線網路架構之行動台、存取台、閘道裝置、基地台及其握手方法 |
| US8094621B2 (en) * | 2009-02-13 | 2012-01-10 | Mitsubishi Electric Research Laboratories, Inc. | Fast handover protocols for WiMAX networks |
| US8429728B2 (en) | 2009-08-24 | 2013-04-23 | Alcatel Lucent | Pre-registration security support in multi-technology interworking |
-
2010
- 2010-01-05 US US12/652,315 patent/US8429728B2/en active Active
- 2010-08-20 WO PCT/US2010/046118 patent/WO2011028442A2/en active Application Filing
- 2010-08-20 CN CN201080037644.8A patent/CN102484790B/zh active Active
- 2010-08-20 JP JP2012526858A patent/JP5378603B2/ja active Active
- 2010-08-20 EP EP10748181.4A patent/EP2471289B1/en active Active
- 2010-08-20 KR KR1020127004755A patent/KR101395416B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009051400A2 (en) * | 2007-10-17 | 2009-04-23 | Lg Electronics Inc. | Method for handover between heterogeneous radio access networks |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5378603B2 (ja) | 2013-12-25 |
| EP2471289A2 (en) | 2012-07-04 |
| US8429728B2 (en) | 2013-04-23 |
| KR101395416B1 (ko) | 2014-05-14 |
| WO2011028442A3 (en) | 2011-04-28 |
| US20110047592A1 (en) | 2011-02-24 |
| EP2471289B1 (en) | 2019-09-25 |
| CN102484790A (zh) | 2012-05-30 |
| WO2011028442A2 (en) | 2011-03-10 |
| KR20120051039A (ko) | 2012-05-21 |
| JP2013502879A (ja) | 2013-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102484790B (zh) | 多技术互通中的预注册安全支持 | |
| EP2174444B1 (en) | Methods and apparatus for providing pmip key hierarchy in wireless communication networks | |
| KR101122996B1 (ko) | 무선 통신 네트워크에서의 사용자 프로파일, 정책, 및 pmip 키 분배 | |
| US9729523B2 (en) | Method, network element, and mobile station for negotiating encryption algorithms | |
| Dutta et al. | Media-independent pre-authentication supporting secure interdomain handover optimization | |
| US20120005731A1 (en) | Handover method of mobile terminal between heterogeneous networks | |
| US8645695B2 (en) | System and method for managing security key architecture in multiple security contexts of a network environment | |
| US8331287B2 (en) | Method and system for managing mobility in a mobile communication system using mobile internet protocol | |
| US20070191014A1 (en) | Authentication mechanism for unlicensed mobile access | |
| US20110271117A1 (en) | User equipment (ue), home agent node (ha), methods, and telecommunications system for home network prefix (hnp) assignment | |
| US20070124587A1 (en) | Re-Keying in a Generic Bootstrapping Architecture Following Handover of a Mobile Terminal | |
| CA2716291C (en) | System and method for managing security key architecture in multiple security contexts of a network environment | |
| KR101467784B1 (ko) | 이기종망간 핸드오버시 선인증 수행방법 | |
| Lee et al. | Secure handover for Proxy Mobile IPv6 in next‐generation communications: scenarios and performance | |
| WO2008052470A1 (fr) | Procédé d'établissement de mécanisme de sécurité d'appareil ip mobile, système de sécurité et dispositif correspondant | |
| Krichene et al. | Securing roaming and vertical handover in fourth generation networks | |
| Chen et al. | Fast handoff in mobile virtual private networks | |
| Liu et al. | The untrusted handover security of the S-PMIPv6 on LTE-A | |
| Noaman et al. | Improved EAP-SIM based authentication protocol with Pre-Authorization for FMIPv6 handover |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |