CN1596028A - 基于与峰窝系统有关的安全数值的对无线局域网的接入的鉴权 - Google Patents
基于与峰窝系统有关的安全数值的对无线局域网的接入的鉴权 Download PDFInfo
- Publication number
- CN1596028A CN1596028A CNA2004100770027A CN200410077002A CN1596028A CN 1596028 A CN1596028 A CN 1596028A CN A2004100770027 A CNA2004100770027 A CN A2004100770027A CN 200410077002 A CN200410077002 A CN 200410077002A CN 1596028 A CN1596028 A CN 1596028A
- Authority
- CN
- China
- Prior art keywords
- network
- private key
- portable terminal
- key
- relevant
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/065—Continuous authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
提供了一种用于根据与第二网络有关的至少一个安全数值确定私钥的方法。方法还包括根据私钥建立在移动终端与第一网络之间的多个会话。
Description
技术领域
本发明总体上涉及电信,更具体地,涉及无线通信。
背景技术
最近几年来蜂窝通信系统已变得越来越流行。某些熟知的蜂窝技术包括:高级移动电话业务(AMPS)、全球移动通信系统(GSM)、时分多址(TDMA)、码分多址(CDMA)和正交频分多址(OFDMA)。像蜂窝通信系统一样,近年来,无线局域网(WLAN)也很流行。已变得流行的某些WLAN标准包括由电气与电子工程协会IEEE)批准的802.11x标准。示例的IEEE 802.11x标准包括802.11,802.11a,802.11b(也称为Wi-Fi),和802.11g。
从蜂窝通信和WLAN通信的广泛使用看来,最近的趋势是开发合并的移动终端,它允许在蜂窝与WLAN运行模式之间共存。合并的移动终端因此与现有的蜂窝网基础结构(用于语音和或数据)和用于高速数据应用的WLAN网通信。虽然合并的移动终端可被使用来接入蜂窝网和WLAN网,但这两个网络很大地保持为独立的,因此它们典型地是互相独立地被接入的。
把蜂窝和WLAN技术汇合到普通的移动终端的优点可能是存在的。然而,这些合并愿望引起安全性问题,诸如确定在两个不同的网络(例如,蜂窝网和WLAN网)内鉴权移动终端的有效的和安全的方式。当前,使用合并移动终端的WLAN用户必须对于蜂窝接入和WLAN接入被鉴权。
然而,对于蜂窝和WLAN接入鉴权移动终端的现有的程序过程可能是不经济的,因为对于每个支持的网络(例如,蜂窝和WLAN)使用分开的、独立的鉴权密钥来鉴权移动终端。也就是,用户必须对于蜂窝网使用第一密钥被鉴权,以及必须对于WLAN使用不同的、独立的密钥被鉴权。管理用于不同的网络的不同的鉴权密钥的分布会引起对于业务提供商或网络管理商的行政挑战。当移动终端被设计成支持与两个以上的网络通信时,这种行政问题还进一步加剧。
本发明针对解决以上所述的一个或多个问题。
发明内容
在本发明的一个实施例中,提供了用于根据第二系统的安全数值来鉴权接入到第一网络的方法。该方法包括根据与第二网络有关的至少一个安全数值确定用于第一网络的私钥。方法还包括根据私钥建立在移动终端与第一网络之间的多个会话。
在本发明的另一个实施例中,提供了用于根据蜂窝系统的安全数值来鉴权接入到无线局域网的方法。该方法包括接收与蜂窝网有关的至少一个安全数值,根据与蜂窝网有关的安全数值确定用于无线局域网的私钥,以及根据私钥允许建立在移动终端与无线局域网之间的多个会话。
在本发明的一个实施例中,提供了用于根据蜂窝系统的安全数值来鉴权接入到无线局域网的方法。该方法包括在服务器处接收与蜂窝网有关的至少一个安全数值;通过使用服务器,根据至少一个安全数值确定私钥;在移动终端处,根据与蜂窝网有关的至少一个安全数值确定私钥;以及根据由移动终端确定的私钥允许建立在移动终端与无线局域网之间的多个会话。
附图说明
通过参照以下结合附图给出的说明,可以明白本发明,其中相同的标注数字表示相同的单元,以及其中:
图1是按照本发明的一个实施例的、包括蜂窝网和无线局域网的通信系统的方框图;
图2显示按照本发明的一个实施例的、接入终端的方框图;
图3显示按照本发明的一个实施例的、确定用来鉴权用户接入到图1的无线局域网的WKEY的程序过程的示例性消息流图;以及
图4显示按照本发明的另一个实施例的、确定用来鉴权用户接入到图1的无线局域网的WKEY的程序过程的示例性消息流图。
虽然本发明可以有各种修正和替换形式,但本发明的具体实施例作为例子在附图上显示,以及在这里详细地描述。然而,应当看到,这里阐述的具体实施例的说明不打算把本发明限制于所揭示的具体形式,而是相反,本发明打算覆盖属于如附属权利要求规定的本发明的精神和范围内的所有的修正、等价物、和替换。
具体实施方式
下面描述本发明的示例性实施例。为了简明起见,在本技术说明中不描述实际的实施方案的所有的特性。当然,将会看到,在任何这样的实际的实施例的开发中,必须作出多种实施方案特定的决定来达到开发者的具体的目标,诸如遵从系统有关的和事务有关的约束条件,它们是随不同的实施方案而变化。而且,将会看到,这样的开发的努力可能是复杂的和费时的,但无论如何,这是从本揭示内容获益的本领域技术人员担负的例行工作。
现在转到附图,具体地参照图1,图上显示按照本发明的一个实施例的通信系统100。图1的通信系统100允许移动终端102的用户接入蜂窝系统105和或无线局域网(WLAN)系统110。虽然没有这样限制,在显示的实施例中,蜂窝系统105是码分多址(CDMA)系统。CDMA是“扩频”技术,允许许多用户在给定的频带/空间中占用相同的时间和频率分配。正如它的名称所暗示的,CDMA指定独特的代码给每个通信,以便在相同的频谱中互相区分开。CDMA包括第二代(2G)和第三代(3G)业务。2G CDMA标准通常称为CDMAONE,它包括IS-95A和IS-95B标准。用于3G业务的两个主要的标准包括CDMA2000和宽带CDMA(CDMA2000代表包括CDMA2000-1X和CDMA2000-1xEV的一组技术)。为了说明起见,这里假设图1的CDMA网络105是CDMA2000网络,虽然本发明的一个或多个实施例可被应用于其他蜂窝方案,包括但不限于,OFDMA,TDMA,GSM和ASM。
通信系统100包括控制到CDMA网络105的接入的原籍位置寄存器/鉴权中心(HLR/AC)120,以及还包括控制到WLAN网络110的接入的服务器130。具体地,HLR/AC 120鉴权想要接入CDMA网络105的远端终端102的身份,以及服务器130鉴权想要接入WLAN网络110的远端终端102的身份。正如下面更详细地描述的,按照本发明的一个或多个实施例,根据由(正如提到的)与CDMA网络105有关的HLR/AC 120提供的安全数值,鉴权寻求接入WLAN网络110的移动终端102。因此,在一个实施例中,在蜂窝网(例如,CDMA网络105)中可提供的保密措施或数值可被利用来鉴权想要接入WLAN网络110的用户。这样,被利用来鉴权到CDMA网络105的接入的安全数值(或这些参数的某个形式)也可被利用来鉴权想要接入WLAN网络110的用户。这个能力允许业务提供商容易地行政监管或管理用于它的CDMA和WLAN用户的密钥分布。
CDMA网络保密协议典型地依赖于64比特鉴权密钥和移动终端102的电子序列号(ESN)。在HLR/RAC 120中生成的、被称为RANDSSD的随机二进制数也在鉴权程序过程中起作用。A-密钥被编程到移动终端102,以及被存储在与CDMA网络105有关的HLR/AC120中。CDMA使用标准化的蜂窝鉴权和语音加密(CAVE)算法,来生成被称为“共享秘密数据”(SSD)的128比特子密钥。A-密钥,ESN和网络提供的RANDSSD被输入到生成SSD密钥的CAVE算法。SSD密钥可以被漫游的业务提供商共享,允许位置鉴权。当移动终端102返回到原籍网络或漫游到不同的系统时,可以生成新式的SSD密钥。
在所说明的实施例中,想要接入到WLAN网络110的移动终端102经由可扩展的鉴权协议(EAP)通过使用在移动终端102与服务器130之间建立的通用长期密钥(称为“WKEY”)被鉴权。正如下面更详细地描述的,私钥,WKEY,是根据由CDMA网络105的HLR/AC120生成的安全数值被建立的。专用的WKEY密钥一旦被计算,典型地就不被其他的远端设备共享(级,不通过空中发送)。因为在说明性实施例中,到WLAN网络110的接入是通过使用EAP协议达到的,图1所示的服务器130是EAP服务器。EAP协议是在对于注解的请求(RFC)2284中描述的。为了通过使用CDMA网络105的安全数值来鉴权到WLAN网络110的接入,可能希望有EAP协议的某些修正。应当指出,本发明仅仅为了说明起见是结合EAP协议描述的,以及在替换实施例中,也可以利用任何其他适当的鉴权协议,而不背离本发明的精神和范围。
在一个实施例中,正如下面更详细地描述的,EAP服务器130可以通过支持信令系统7(SS7)协议的连接150,通信地耦合到HLR/AC 120。由电报技术国际咨询委员会(CCITT)(现在是国际电信联盟)开发的信令系统7是通用信道信令系统,以及被使用于传送信令信息。
正如这里利用的,“网络”可以指一个或多个通信网络,信道,链路,或路径,和被使用来通过这样的网络,信道,链路,或路径来路由数据的系统或设备(诸如路由器)。
应当看到,图1的通信系统100的配置在性质上是示例性的,在通信系统100的其他实施例中可以采用较少的附加的或不同的部件。例如,虽然未示出,通信系统100可包括移动业务交换中心和一个或多个基站。作为另一个例子,在一个实施例中,系统100可包括鉴权、授权和记帐(AAA)服务器(未示出),和网络管理系统(未示出),提供运行、行政管理、维护、和供应功能。
除非专门阐述,否则,正如从讨论中看到的,诸如“处理”或“计算”或“计算”或“确定”或“显示”等等的术语是指计算机系统或类似的电子计算设备的行动和处理,操纵和把作为在计算机系统的寄存器和存储器内的物理的、电子的量被代表的数据变换成类似地作为在计算机系统的寄存器和存储器或其他这样的信息贮存、传输或显示设备内的物理量代表的其他数据。
现在参照图2,图上显示按照本发明的一个实施例的、图1的移动终端102的方框图。移动终端102可以取以下的各种设备之一的形式,包括蜂窝电话、个人数字助理(PDA)、笔记本电脑、数字寻呼器、无线卡、和能够与蜂窝网(在显示的例子中是CDMA网络105)和WLAN网络110通信的任何其他设备。在图2的说明性实施例中,移动终端102包括两个模块,蜂窝模块205和WLAN模块210。术语“模块”,正如这里利用的,可以以软件、硬件、或它们的组合来实施。为了说明起见,移动终端102被显示为包括两个分开的模块205,210,虽然在替换实施例中,移动终端102可包括把这两个模块205,210的功能合并在一起的一个模块。
蜂窝模块205通常负责执行通过CDMA网络105进行通信所必不可少的行动,包括一旦会话被建立就执行呼叫处理功能。在说明性实施例中,蜂窝模块205包括CDMA鉴权(CA)应用230,用于鉴权到CDMA网络105的移动终端用户。CA应用230可包括CAVE算法(以上讨论的)来生成SSD密钥(即,被使用来计算CDMA会话密钥的二次鉴权密钥)。蜂窝模块205可包括通信地耦合到贮存单元235的控制单元232。在一个实施例中,CA应用,如果用软件实施的话,是可以存储在贮存单元235的,以及可由控制单元232执行。在替换实施例中,CA应用230可以以硬件或通过使用硬件与软件的组合被实施。
移动终端102的WLAN模块210通常负责允许用户通过使用任何适当的协议,诸如IEEE 802.11x协议之一,与WLAN网络110通信。WLAN模块210的一个例子可以是网络接口卡(NIC)。在说明性实施例中,WLAN模块210包括WLAN鉴权(WA)应用250,用于鉴权到CDMA网络105的移动终端用户。WLAN模块210可包括通信地耦合到贮存单元255的控制单元252。在一个实施例中,WA鉴权应用,如果用软件实施的话,是可以存储在贮存单元255的,以及可由控制单元252执行。在替换实施例中,WA鉴权应用250可以以硬件或通过使用硬件与软件的组合被实施。
在说明性实施例中的移动终端102包括发送/接收逻辑260和天线265,用于通过无线链路发送和接收数据。在一个实施例中,发送/接收逻辑260可以在模块205,210中实施。
现在参照图3,图上显示按照本发明的一个实施例的、确定可被使用来鉴权进到图1的WLAN网络的用户的、WKEY的程序过程。正如下面更详细地描述的,图3显示本发明的一个实施例,其中在CDMA鉴权过程期间被建立的SSD密钥也被利用来鉴权进到WLAN网络110的移动终端102。为了描述图3的鉴权过程,这里假设移动终端102的蜂窝模块205(见图2)在鉴权进到CDMA网络的用户的过程中生成“共享秘密数据”(SSD)密钥。因此,为了描述图3的鉴权过程,假设移动终端102以及HLR/AC 120(见图1)已接入SSD密钥。
鉴权处理过程从EAP服务器130提供身份请求(在305)到移动终端102开始。移动终端102响应(在310)以唯一地标识移动终端102的识别号。例如,移动终端102可以提供包括国际移动用户识别号(IMSI)或临时识别号(伪)的识别号。
在由移动终端102提供响应(在310)后,移动终端102接收来自EAP服务器130的启动请求(在315)(即,“Request/AUTH/Start”消息)。为了这个讨论起见,在词组“Request/AUTH/Start”中的术语“AUTH”表示,新的事务子识别号可以附着到现有的EAP协议支持想要的功能。在接收启动请求(在315)后,移动终端102的WLAN模块210通过发起本地请求到蜂窝模块205,而得到(在317)SSD密钥,如上所述,蜂窝模块205接入到SSD密钥,因为它是在以前与CDMA鉴权过程相联系时生成的。SSD密钥可被WLAN模块210使用,例如,用作为用于鉴权目的的它的根密钥(WKEY),以及如果想要的话,生成会话密钥。在一个实施例中,WLAN模块210在图3的方块317,可以在使用WKEY用于打算的用途之前给该WKEY填充以SSD密钥的密码变换。
WKEY可被移动终端102使用来建立与WLAN 110的呼叫会话(见图1)。在一个实施例中,WKEY可被重复使用来建立不同的呼叫会话。也就是,每次建立不同的呼叫会话时,不需要新的WKEY。例如,WLAM模块210可以使用WKEY来确定结合第一(呼叫或数据)会话使用的第一会话密钥,然后,对于另一个会话,确定第二会话密钥(根据WKEY)。尤其是,会话密钥可被利用来加密发送的数据和解密接收数据。虽然不必要,但WKEY例如可以在所选择的事件发生后或在预先选择的时间量过期后,被更新或按想要的进行修订。
移动终端102提供响应/AUTH/开始消息(在320)到EAP服务器。在接收到来自移动终端102的开始响应后,EAP服务器130经由SS7 AUTHREQ消息发起询问请求到HLR/AC 120。在这个请求消息中,EAP服务器130可以以移动识别号(MIN)和或电子序列号(ESN)的形式提供移动终端识别号。HLR/AC 120根据接收的请求消息,通过在AUTHREQ消息中提供SSD密钥(与想要鉴权到WLAN网络110的移动终端102有关)而响应(在350)EAP服务器130。
EAP服务器130接收(在360)由HLR/AC 120发送的SSD密钥。在一个实施例中,EAP服务器130通过给该WKEY填充以SSD密钥的密码变换,而确定WKEY,基本上是与以前由移动终端102所做的相同的方式。这时,EAP服务器130和移动终端102每个接入到WKEY,在本实施例中,该WKEY是基于与CDMA网络105有关的SSD密钥。移动终端102的WLAN模块210此后可使用WKEY来鉴权到WLAN网络110的用户和或也可使用WKEY来生成会话密钥,如果想要的话。鉴权的行动可包括发送一个或多个随机挑战和接收与随机挑战有关的一个或多个响应,其中响应是根据加到随机挑战的WKEY被确定的。
现在参照图4,图上显示显示按照本发明的另一个实施例的、确定被使用来鉴权用户到图1的WLAN网络的接入的WKEY的程序过程。正如下面更详细地描述的,图4显示本发明的一个实施例,其中使用由HLR/AC 120提供的随机挑战来生成密钥WKEY,该WKEY可被使用来鉴权进到WLAN网络110的移动终端102的接入和或生成会话密钥,如果想要的话。在这个替换的实施例中,SSD密钥不需要与EAP服务器130共享。
鉴权处理过程从EAP服务器130提供身份请求(在405)到移动终端102开始。移动终端102响应(在410)以唯一地标识移动终端102的识别号。例如,移动终端102可以提供包括国际移动用户识别号(IMSI)或临时识别号(伪)的识别号。
在由移动终端102提供响应(在410)后,EAP服务器130通过SS7 AUTHREQ消息发起挑战请求(在415a)到HLR/AC 120,以及HLR/AC 120以包括一个挑战RANDU和一个响应AUTHU的AUTHREQ消息响应该请求(在420a)。每个RAMDU挑战典型地是24比特数值,以及每个AUTHU响应是18比特数值。虽然不限于此,在示例性实施例中,EAP服务器130从HLR/AC 120请求多个挑战(见415a和415x)。在响应中,HLR/AC 120对于每个请求提供一对RANDU和AUTH值(见420a和420x)。
根据接收到一系列AUTHU响应,EAP服务器130确定(在430)一个WKEY。在一个实施例中,EAP服务器130按照预先选择的算法组合接收的AUTHU响应,以确定WKEY。由EAP服务器130提供给HLR/AC 120的(在415)、对于挑战的请求的数目可能取决于各种各样的因素,包括WKEY的长度、AUTHU响应的长度、和或被采用来生成WKEY的预先选择的算法。例如,如果想要128比特WKEY以及预先选择的算法根据级联多个18比特AUTHU响应而生成WKEY,则需要至少8个请求,从而有8个AUTHU响应来生成128比特WKEY(即,18×8=144(其中某些比特可能被丢弃或截断))。当然,在其他实施例中,可以作出较少的或附加的请求,取决于具体的实施方案。应当指出,AUTHU响应可以以任何想要的方式被组合而达到WKEY,只要该组合也可以由移动终端102导出。
EAP服务器130提供(在450)多个接收的RANDU挑战给移动终端102。在一个实施例中,RANDU挑战可以分开地发送到移动终端102,在另一个实施例中,RANDU挑战在发送到移动终端102之前被组合(例如,通过级联或某些其他的想要的方法)。如果作为一个组合被发送,则移动终端102如果想要的话可以分析接收的字符串来恢复多个RANDU挑战。根据接收的RANDU挑战,移动终端102通过使用SSD密钥确定各个AUTHU响应(在455)。如上所述,SSD密钥是能够由移动终端102的CA应用(见图2)计算的,因此可提供给WA应用250。根据计算的AUTHU响应,移动终端102的WLAN模块210通过使用与由EAP服务器130采用的相同的算法确定WKEY(在460)。在说明性实施例中,AUTHU响应一旦由移动终端102生成,就不发送到鉴权系统,诸如EAP服务器130,因为它们否则可以是在传统的唯一地挑战程序过程。而是,在说明性实施例中,所生成的AUTHU响应被移动终端102内部使用,例如用于确定(在460)WKEY。
在图4的方块460,EAP服务器130和移动终端102接入到WKEY。移动终端102的WLAN模块210此后可以使用WKEY,例如作为根密钥来鉴权用户到WLAN网络110的接入和或也使用WKEY来生成会话密钥,如果想要的话。
按照本发明的一个或多个实施例,提供了用于根据由CDMA网络105的HLR/AC 120生成的一个或多个安全数值确定WKEY的程序过程。通过使用WKEY作为根密钥,例如,移动终端102可以鉴权本身到WLAN网络110的接入,以及如果想要的话,生成一个或多个会话密钥。因为WKEY是根据蜂窝系统105中早已可提供的安全数值生成的,网络运营商或业务提供商的行政管理任务被简化,因为运营商或提供商不必管理用于不同的网络的不同的密钥。
为了说明起见,在无线通信系统方面描述了本发明的一个或多个实施例。然而,应当看到,在替换实施例中,本发明也可以在有线网络中实施。另外,本发明也可以应用于只支持语音的通信或语音与数据通信。
术语“安全数值”,正如这里利用的,是指具有某个保护水平的一个或多个安全数值,虽然不一定是绝对水平。虽然不限于此,但“安全数值”的例子可包括SSD密钥,与随机挑战有关的加正负号的响应,通过使用不共享的密钥(例如,根密钥)或对于有限的用途可共享的密钥(例如,SSD密钥)而计算的密码数值。作为一个例子,SSD密钥可以是通过使用根密钥(A-密钥)计算的密码数值,以及作为另一个例子,RAND/AUTHU(在CDMA情形下)可以是通过使用SSD密钥计算的密码数值。
术语“私钥”,正如这里利用的,是指一旦被计算,一般就不与另外的设备共享密钥。正如指出的,“私钥”的一个例子可以是WKEY。私钥可被利用来鉴权移动终端102到网络(WLAN 110)的接入;它可被利用来通过加密/解密而提供会话密钥。在一个实施例中,“私钥”可被用作为根密钥,如果想要的话。
“根据”特定的密钥或数值计算或确定的行动打算包括直接或间接基于该密钥或数值的使用的行动。因此,术语“根据”,正如这里利用的,打算覆盖所执行的任何中间步骤,或从正在被使用的密钥或数值最终得出的数值。
本领域技术人员将会看到,这里在各种实施例中说明的各种系统层,例行程序,或模块可以是可执行的控制单元(诸如控制单元232和252(图2))。控制单元232,252可包括微处理器,微控制器,数字信号处理器,处理器卡(包括一个或多个微处理器或控制器),或其他控制或计算设备。在本讨论中涉及到的贮存装置235,255可包括一个或多个用于存储数据和指令的机器可读的贮存媒体。贮存媒体可包括存储器的不同的形式,包括半导体存储器装置,诸如动态或静态随机存取存储器(DRAM或SRAM),可擦除和可编程只读存储器(EPROM),电可擦除和可编程只读存储器(EEPROM),和快闪存储器;磁盘,诸如硬盘、软盘、可拆卸盘;其他磁媒体,包括磁带;以及光媒体,诸如紧凑盘(CD),或数字视盘(DVD)。组成各种系统中的各种软件层,例行程序,或模块可被存储在各种贮存装置。指令在被各个控制单元232,252执行时使得相应的系统执行所编程的行动。
上述的具体的实施例仅仅是说明性的,因为本发明可以以对于从这里的教导获益的本领域技术人员来说显而易见的、不同的但等价的方式被修正和实践。而且,不打算对于这里显示的结构或设计的细节加以限制,除了在下面权利要求中描述的。所以,显然,以上揭示的具体的实施例可以改变或修正,以及所有这样的变化认为是在本发明的精神或范围内。因此,这里寻求的保护是如在下面权利要求中阐述的。
Claims (10)
1.一种方法,包括:
根据与第二网络有关的至少一个安全数值确定用于第一网络的私钥;以及
根据所述私钥建立在移动终端与第一网络之间的多个会话。
2.权利要求1的方法,其中第一网络是蜂窝网以及第二网络是无线局域网,以及其中确定私钥包括根据与蜂窝网有关的共享的秘密数据密钥确定私钥。
3.权利要求2的方法,其中根据共享的秘密数据密钥确定私钥包括把根密钥、与移动终端有关的电子序列号、和网络供给的随机值施加到蜂窝鉴权和语音加密(CAVE)算法,来生成私钥。
4.权利要求1的方法,其中第一网络是具有相关的鉴权中心的蜂窝网以及第二网络是无线局域网,以及其中确定私钥包括根据由与蜂窝网有关的鉴权中心生成的一个或多个随机挑战确定私钥。
5.权利要求4的方法,其中蜂窝网是码分多址(CDMA)网络,其中确定私钥包括根据与CDMA网络有关的共享的秘密数据密钥确定与一个或多个挑战有关的一个或多个响应和组合该确定的一个或多个响应,形成私钥。
6.权利要求1的方法,还包括根据确定的私钥来确定至少一个会话密钥。
7.权利要求1的方法,其中建立多个会话包括为多个会话中的每一个向第一网络鉴权移动终端。
8.权利要求7的方法,其中向第一网络鉴权移动终端包括:
从第一网络接收挑战;以及
发送与接收的挑战有关的响应,其中响应是根据私钥计算的。
9.权利要求1的方法,其中建立多个会话包括根据私钥确定对于多个会话的每一个的会话密钥。
10.一种方法,包括:
在服务器处接收与蜂窝网有关的至少一个安全数值;
使用服务器,根据至少一个安全数值确定私钥;
在移动终端处,根据与蜂窝网有关的至少一个安全数值确定私钥;以及
根据由移动终端确定的私钥允许建立在移动终端与无线局域网之间的多个会话。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/661,715 | 2003-09-12 | ||
| US10/661,715 US7593717B2 (en) | 2003-09-12 | 2003-09-12 | Authenticating access to a wireless local area network based on security value(s) associated with a cellular system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1596028A true CN1596028A (zh) | 2005-03-16 |
Family
ID=34136797
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2004100770027A Pending CN1596028A (zh) | 2003-09-12 | 2004-09-09 | 基于与峰窝系统有关的安全数值的对无线局域网的接入的鉴权 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7593717B2 (zh) |
| EP (1) | EP1515516B1 (zh) |
| JP (1) | JP4652754B2 (zh) |
| KR (1) | KR101097709B1 (zh) |
| CN (1) | CN1596028A (zh) |
| DE (1) | DE602004004844T2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11184165B2 (en) | 2015-09-02 | 2021-11-23 | Huawei Technologies Co., Ltd. | System and method for channel security |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8140845B2 (en) * | 2001-09-13 | 2012-03-20 | Alcatel Lucent | Scheme for authentication and dynamic key exchange |
| US20030236980A1 (en) * | 2002-06-20 | 2003-12-25 | Hsu Raymond T. | Authentication in a communication system |
| US8630414B2 (en) | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| US20050096048A1 (en) * | 2003-10-30 | 2005-05-05 | Cellco Partnership | Optimized network employing seamless and single sign on capabilities for users accessing data applications on different networks |
| US7801093B2 (en) * | 2003-11-20 | 2010-09-21 | Tekelec | Signal transfer point with wireless signaling link interface |
| US20050138355A1 (en) * | 2003-12-19 | 2005-06-23 | Lidong Chen | System, method and devices for authentication in a wireless local area network (WLAN) |
| US20050149740A1 (en) * | 2003-12-31 | 2005-07-07 | Kotzin Michael D. | Method and apparatus for device authentication |
| US7546459B2 (en) * | 2004-03-10 | 2009-06-09 | Telefonaktiebolaget L M Ericsson (Publ) | GSM-like and UMTS-like authentication in a CDMA2000 network environment |
| US20060019635A1 (en) * | 2004-06-29 | 2006-01-26 | Nokia Corporation | Enhanced use of a network access identifier in wlan |
| US7706343B2 (en) * | 2004-09-10 | 2010-04-27 | Tekelec | Methods and systems for wireless local area network (WLAN)-based signaling network monitoring |
| US20060143132A1 (en) | 2004-11-30 | 2006-06-29 | Valenti William L | Method and apparatus to enable a market in used digital content |
| WO2006103536A1 (en) * | 2005-03-31 | 2006-10-05 | Nokia Corporation | Authentication mechanism for unlicensed mobile access |
| US20070043947A1 (en) * | 2005-08-19 | 2007-02-22 | Mizikovsky Semyon B | Providing multimedia system security to removable user identity modules |
| KR100750153B1 (ko) * | 2006-01-03 | 2007-08-21 | 삼성전자주식회사 | Wusb 보안을 위한 세션 키를 제공하는 방법 및 장치,이 세션 키를 획득하는 방법 및 장치 |
| US8189544B2 (en) * | 2006-06-26 | 2012-05-29 | Alcatel Lucent | Method of creating security associations in mobile IP networks |
| EP1965595B1 (en) * | 2007-02-27 | 2009-10-28 | Lucent Technologies Inc. | Wireless communication techniques for controlling access granted by a security device |
| KR100936530B1 (ko) * | 2007-11-13 | 2010-01-13 | 주식회사 케이티 | 네트워크 장치 및 네트워크 장치의 인증 정보 공유 방법 |
| JP4694586B2 (ja) * | 2008-02-28 | 2011-06-08 | 京セラ株式会社 | 携帯端末装置および通信システム |
| KR101069442B1 (ko) * | 2009-08-14 | 2011-09-30 | 주식회사 케이티 | 이종 통신 네트워크에 통신 서비스를 제공하는 방법 및 장치, 통신 서비스 제공에 따른 과금 방법. |
| US8280351B1 (en) | 2010-02-04 | 2012-10-02 | Cellco Partnership | Automatic device authentication and account identification without user input when application is started on mobile station |
| US20110228752A1 (en) * | 2010-03-22 | 2011-09-22 | Shiquan Wu | System and method to pack cellular systems and WiFi within a TV channel |
| US8677451B1 (en) | 2010-06-22 | 2014-03-18 | Cellco Partnership | Enabling seamless access to a domain of an enterprise |
| US8955154B2 (en) * | 2011-07-08 | 2015-02-10 | Credibility Corp. | Single system for authenticating entities across different third party platforms |
| CN103139768B (zh) * | 2011-11-28 | 2017-03-01 | 上海贝尔股份有限公司 | 融合无线网络中的认证方法以及认证装置 |
| CN103428690B (zh) * | 2012-05-23 | 2016-09-07 | 华为技术有限公司 | 无线局域网络的安全建立方法及系统、设备 |
| US9258704B2 (en) * | 2012-06-27 | 2016-02-09 | Advanced Messaging Technologies, Inc. | Facilitating network login |
| GB2512082A (en) * | 2013-03-19 | 2014-09-24 | Vodafone Ip Licensing Ltd | WLAN application access control |
| US10034168B1 (en) * | 2013-04-25 | 2018-07-24 | Sprint Spectrum L.P. | Authentication over a first communication link to authorize communications over a second communication link |
| US10620855B2 (en) * | 2016-09-06 | 2020-04-14 | Samsung Electronics Co., Ltd. | System and method for authenticating critical operations on solid-state drives |
| US10433163B2 (en) * | 2016-09-19 | 2019-10-01 | Qualcomm Incorporated | Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure |
| BR112019014670A2 (pt) | 2017-01-27 | 2020-05-26 | Ericsson Telefon Ab L M | autenticação secundária de um equipamento de usuário |
| KR102515902B1 (ko) * | 2020-10-30 | 2023-03-31 | 이화여자대학교 산학협력단 | 물리적 복제 방지 기술을 이용한 인증 장치 |
| US11825389B2 (en) | 2021-07-02 | 2023-11-21 | Cisco Technology, Inc. | Mechanism to deliver SMS meant for user's public or private 5G identity over WLAN network |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI20000761A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Mobile Phones Ltd | Laskutus pakettidataverkossa |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| US7200750B1 (en) | 2000-09-15 | 2007-04-03 | Lucent Technologies Inc. | Method for distributing encryption keys for an overlay data network |
| US7804961B2 (en) * | 2000-12-19 | 2010-09-28 | Qualcomm Incorporated | Method and apparatus for fast crytographic key generation |
| FI115098B (fi) | 2000-12-27 | 2005-02-28 | Nokia Corp | Todentaminen dataviestinnässä |
| US7039027B2 (en) * | 2000-12-28 | 2006-05-02 | Symbol Technologies, Inc. | Automatic and seamless vertical roaming between wireless local area network (WLAN) and wireless wide area network (WWAN) while maintaining an active voice or streaming data connection: systems, methods and program products |
| US20020174335A1 (en) * | 2001-03-30 | 2002-11-21 | Junbiao Zhang | IP-based AAA scheme for wireless LAN virtual operators |
| US7426393B2 (en) * | 2001-11-19 | 2008-09-16 | Nokia Corporation | Method and system of identifying network services |
| MXPA04010624A (es) * | 2002-04-26 | 2004-12-13 | Thomson Licensing Sa | Cuenta, autorizacion y autentificacion transitoria en el interfuncionamiento entre redes de acceso. |
| CN1215386C (zh) * | 2002-04-26 | 2005-08-17 | St微电子公司 | 根据量子软计算控制过程或处理数据的方法和硬件体系结构 |
| US20040203800A1 (en) * | 2002-10-24 | 2004-10-14 | John Myhre | System and method for content delivery using alternate data paths in a wireless network |
-
2003
- 2003-09-12 US US10/661,715 patent/US7593717B2/en not_active Expired - Fee Related
-
2004
- 2004-08-27 EP EP04255196A patent/EP1515516B1/en not_active Expired - Lifetime
- 2004-08-27 DE DE602004004844T patent/DE602004004844T2/de not_active Expired - Lifetime
- 2004-09-03 KR KR1020040070417A patent/KR101097709B1/ko active IP Right Grant
- 2004-09-09 CN CNA2004100770027A patent/CN1596028A/zh active Pending
- 2004-09-10 JP JP2004263155A patent/JP4652754B2/ja not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11184165B2 (en) | 2015-09-02 | 2021-11-23 | Huawei Technologies Co., Ltd. | System and method for channel security |
Also Published As
| Publication number | Publication date |
|---|---|
| DE602004004844T2 (de) | 2007-10-25 |
| JP4652754B2 (ja) | 2011-03-16 |
| KR101097709B1 (ko) | 2011-12-23 |
| KR20050027015A (ko) | 2005-03-17 |
| EP1515516A1 (en) | 2005-03-16 |
| EP1515516B1 (en) | 2007-02-21 |
| DE602004004844D1 (de) | 2007-04-05 |
| JP2005094758A (ja) | 2005-04-07 |
| US7593717B2 (en) | 2009-09-22 |
| US20050113067A1 (en) | 2005-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1596028A (zh) | 基于与峰窝系统有关的安全数值的对无线局域网的接入的鉴权 | |
| JP5597676B2 (ja) | 鍵マテリアルの交換 | |
| EP3410758B1 (en) | Wireless network connecting method and apparatus, and storage medium | |
| EP0982965B1 (en) | Method for establishing session key agreement | |
| CN101406021B (zh) | 基于sim的认证 | |
| US5943425A (en) | Re-authentication procedure for over-the-air activation | |
| US20190149329A1 (en) | Network authentication method, and related device and system | |
| US20190289463A1 (en) | Method and system for dual-network authentication of a communication device communicating with a server | |
| US20070157022A1 (en) | Security in a mobile communications system | |
| US8190124B2 (en) | Authentication in a roaming environment | |
| WO2020177591A1 (zh) | 密钥的确定方法、装置、存储介质及电子装置 | |
| CN112566119A (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
| CN112235799B (zh) | 终端设备入网鉴权方法及系统 | |
| Farhat et al. | Private identification, authentication and key agreement protocol with security mode setup | |
| CN111800788B (zh) | 用于Wi-Fi连接管理的方法、终端及系统 | |
| Saxena et al. | BAS-VAS: A novel secure protocol for value added service delivery to mobile devices | |
| Lee et al. | Improved authentication scheme in W-CDMA networks | |
| Ahn et al. | Improved Security Mechanism over Mobile WIMAX Initial Networks | |
| Bansal et al. | SECURITY PROTOCOL BY USING MUTUAL |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20050316 |