CN1720688A - 通信系统中的密钥生成 - Google Patents
通信系统中的密钥生成 Download PDFInfo
- Publication number
- CN1720688A CN1720688A CNA038192977A CN03819297A CN1720688A CN 1720688 A CN1720688 A CN 1720688A CN A038192977 A CNA038192977 A CN A038192977A CN 03819297 A CN03819297 A CN 03819297A CN 1720688 A CN1720688 A CN 1720688A
- Authority
- CN
- China
- Prior art keywords
- msk
- key
- access
- authentication
- communication system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access, e.g. scheduled or random access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
通信系统生成主阶段密钥(MSK),用于到不提供对话务加密的系统实体的接入。本地服务器和用户都生成相同的MSK。所述MSK被用于为话务生成加密密钥。在一个实施例中,使用哈希函数和对于所述请求者的特定信息来生成MSK。所述本地服务器根据接入请求消息所包含的信息来确定生成MSK的需要。一旦生成MSK,它被提供给系统实体,使得该实体能够加密通信。
Description
背景
领域
本发明涉及用于通信系统的交互工作功能,尤其涉及在无线局域网(WLAN)中使用的经由交互工作功能的通用认证和密钥交换的机制。
背景
无线局域网(WLAN)允许用户可以实际上不受限制地使用Internet协议(IP)服务和数据网络。对WLAN的使用不仅限于膝上型计算机和其它计算设备,而是迅速地扩展到蜂窝电话、个人数字助理(PDA)和其它由外部网络或载体支持的小型无线设备。例如,在网吧或工作区中,经由蜂窝载体通信的无线设备会漫游到WLAN中。在这种情况下,无线设备有权接入蜂窝系统,但期望访问WLAN。WLAN访问要求认证。由于无线设备已经获取了接入蜂窝系统的权力,进一步认证的要求是多余的。因此,需要一种允许对蜂窝系统和WLAN的接入通用认证的机制。而且,需要一种生成通信过程中使用的加密密钥的通用机制。
附图说明
图1是包含高数据速率(HDR)或HDR类型网络和无线局域网(WLAN)的通信系统。
图2是通信系统中认证程序的时序图。
图3是通信系统中认证程序的时序图。
图4和5是接入请求消息格式。
图6是包含生成主阶段密钥(MSK)功能的无线装置。
具体实施方式
本发明使用“示例性”一词意指“充当示例、实例或说明”。这里描述为“示例性”的任何实施例都不必被理解为比其它实施例更为优选或有利。
HDR订户站,这里被称为接入终端(AT),可以是移动的或固定的,并且可以与一个或多个HDR基站通信,这里被称为调制解调器池收发机(MPT)。接入终端通过一个或多个调制解调器池收发机发送和接收数据分组至HDR基站控制器,这里被称为调制解调器池控制器(MPC)。调制解调器池收发机和调制解调器池控制器是网络的部分,被称为接入网络。接入网络在多个接入终端之间传输数据分组。接入网络可以进一步连接到该接入网络之外的另外的网络,诸如公司内部互联网或因特网,并且可以在每个接入终端和这样的外部网络之间传输数据分组。与一个或多个调制解调器池收发机建立起活动话务信道连接的接入终端被称为活动接入终端,并且被称为处于话务状态。在与一个或多个调制解调器池收发机建立活动话务信道连接的过程中的接入终端被称为处于连接建立状态。接入终端可以是任何通过无线信道或通过诸如使用光纤或同轴电缆等有线信道通信的数据设备。此外,接入终端可以是多种类型的设备中的任何一种,所述多种类型的设备包括但不限于PC卡、紧凑式闪存、外置或内置调制解调器,或无线或有线电话。接入终端将信号发送至调制解调器池收发机所通过的通信链路被称为反向链路。调制解调器池收发机将信号发送至接入终端所通过的通信链路被称为前向链路。
图1示出了含有带有多个接入点(AP)的无线局域网(WLAN)104的通信系统。AP是集线器或桥,提供对WLAN104的无线方面的星型拓扑控制和对有线网络的接入。
每个AP110,同其它未示出的一样,支持到数据服务的连接,诸如因特网。MS102,诸如膝上型计算机或其它数字计算设备,经由无线电接口与AP通信,由此得出术语无线LAN。AP接着与认证服务器(AS)或认证中心(AC)通信。AC是为请求准入网络的设备执行认证服务的组件。实施包括远程身份验证拨入用户服务(RADIUS)和其它认证授权计费(AAA)服务器,所述RADIUS是RFC 2138中,C.Rigneyet al.的“Remote Authentication Dial In User Service(RADIUS)”(于1997年4月出版)中所描述的因特网用户认证。
无线连网成为了网络互连的重要方面。基于无线网络的唯一界限就是无线电信号强度的事实,它呈现出一组独特的问题。没有线路来定义网络中的成员资格。没有物理方法来限制无线电范围内的系统成为无限网络的成员。无线连网,更甚于任何其它的网络技术,需要一种认证和接入控制机制。当前,各个团体正致力于开发一种标准的认证机制。当前,公认的标准是IEEE 802.11。
基于RF的网络的性质使得它对于收发机范围内任何无线电的分组侦听是开放的。通过使用高增益天线,侦听可以在远远超过用户“工作范围外发生。使用容易的可用工具,偷听者不限于仅仅收集分组用于以后的分析,而是可以实际上看到交互式会话,如同网页被合法的无线用户看到一样。偷听者也可以抓住不牢靠的认证交换,如同一些网站登陆。之后,该偷听者可以复制该登陆并获取接入。
一旦攻击者获取了WLAN如何控制准入的消息,他可以能够靠自己获取准入该网络或窃取合法用户的接入。如果攻击者可以模拟合法用户的MAC地址并使用分配给它的IP地址,窃取用户的接入是简单的。攻击者等待直至合法系统停止使用网络,接着接任网络中所述合法系统的位置。这将允许攻击者直接接入网络中所有的设备,或使用该网络来获取到更广阔的Internet的接入,在所有的这些时候看上去是被攻击网络的合法用户。因此,在WLAN的实施中,认证和加密成为了主要关心的问题。
认证是校验通信中个体或应用程序身份的过程。这样的标识使得服务供应者可以验证实体为合法用户,并且也可以为特定服务的请求验证用户。认证和授权实际上具有非常特定的含义,虽然这两个名称经常可交换地使用,并且常常在实践中不被清楚地区分。
认证是用户为某一身份建立权利,——实际上是使用某个名称的权力的过程。有许多技术可被用于认证用户——密码、生物遗传技术、智能卡、证书。
名称或身份具有与它相关联的属性。属性会紧密地与名称相关联(例如,在认证净载中)或者它们会被存储在对应于该名称的密钥下的目录或其它数据库中。属性会随着时间变化。
授权是确定身份(加上与该身份相关联的一组属性)是否被允许执行某些动作的过程,所述某些动作诸如接入资源。注意允许执行一动作并不保证该动作可以被执行。注意认证和授权的决定可以由不同的实体在不同的点作出。
在蜂窝网络中,认证特性是允许蜂窝网络验证无线设备身份,由此减少对蜂窝网络未经授权使用的网络性能。该过程对订户是透明的。用户在打电话时无需做任何事来认证他们电话的身份。
认证一般涉及密码方案,其中服务供应商和用户由一些共享的信息和一些私有的信息。所述共享信息一般被称为“共享密钥(shared secret)”。
A-密钥
认证密钥(A-密钥)是一秘密的值,它对于每个个别的蜂窝电话是唯一的。它在蜂窝服务供应商处登记,并存储在电话和认证中心(AC)中。A-密钥由制造商编程到电话中。它也可以由用户从无线设备菜单或销售点的特定终端手动地输入。
无线设备和AC必须具有相同的A-密钥以作出相同的计算。A-密钥的主要功能是被用作计算共享密钥数据(SSD)的参数。
共享密钥数据(SSD)
SSD被用作无线设备和AC中认证计算的输入,并被同时存储在这两个地方。不同于A-密钥,SSD可以通过网络来修改。AC和无线设备共享三个参与SSD计算的元素:1)电子序列号(ESN);2)认证密钥(A-密钥);以及3)用于共享密钥数据计算的随机数字(RANDSSD)。
ESN和RANDSSN通过网络和无线电接口发送。SSD在设备第一次系统接入时被更新,并且在此后周期性地更新。当计算SSD时,结果是两个分开的值,SSD-A和SSD-B。SSD-A被用于认证,SSD-B被用于加密和语音保密。
根据服务系统的性能,SSD在AC和服务移动交换中心(MSC)之间可以是共享的或不共享的。如果密钥数据是共享的,它意味着AC将把它发送到服务MSC,且该服务MSC必须能够执行CAVE。如果它不是共享的,AC将保存该数据并执行认证。
共享的类型影响到如何处理认证询问。认证询问是被发送用于询问无线设备身份的消息。基本上,认证询问发送一些供用户执行的信息,一般为随机数字数据。接着,用户处理该信息并发送响应。分析所述响应以验证该用户。对于共享的密钥数据,询问在服务MSC处处理。对于非共享的密钥数据,询问由AC处理。系统可以通过共享密钥数据来最小化所发送话务的量,并允许询问在服务交换处更快地发生。
认证程序
在给定的系统中,归属位置寄存器(HLR)通过充当MSC和AC之间的中介来控制认证过程。服务MSC被配置成用移动的HLR支持认证,反之亦然。
如果设备能够认证,它通过在管理消息列中设置授权字段来通知服务MSC以开始该过程。在响应中,服务MSC使用认证请求来开始注册/认证过程。
通过发送认证请求,服务MSC告诉HLR/AC它是否能够做CAVE计算。AC控制从那些可用的服务MSC中及设备性能中选择哪些将被使用。当服务MSC不具有CAVE性能时,SSD不能在AC和MSC之间共享,由此所有的认证过程都在AC中执行。
认证请求(AUTHREQ)的目的是认证电话和请求SSD。AUTHREQ包含两个用于认证的参数,AUTHR和RAND参数。当AC得到AUTHREQ时,它使用RAND和上次已知的SSD来计算AUTHR。如果它符合在AUTHREQ中发送的AUTHR,那么认证是成功的。如果SSD可以被共享,返回到AUTHREQ的结果中将包含SSD。
询问
认证过程由询问和响应会话组成。如果SSD被共享,会话在MSC和设备之间运行。如果SSD不被共享,会话在HLR/AC和设备之间运行。根据交换类型,MSC会能够作唯一询问、总体询问或两者兼有。当前,一些MSC不能够作全体询问。唯一询问是只在呼叫尝试期间才发生的询问,因为它使用音频信道。唯一询问在呼叫开始和呼叫递送期间向单个设备出示认证。全体询问是在注册、呼叫开始和呼叫递送期间发生的询问。全体询问向所有使用特定无线电控制信道的MS出示认证询问。之所以称之为全体询问是因为它在无线电控制信道上广播,且该询问被所有接入那个控制信道的电话使用。
在询问期间,设备响应由MSC或AC提供的随机数字。设备使用该随机数字和设备中存储的共享密钥数据来计算向MSC的响应。MSC也使用随机数字和共享密钥数据来计算应该从设备获得什么响应。这些计算通过CAVE算法完成。如果响应不相同,服务被拒绝。询问程序不会增加连接到呼叫所需花费的时间量。实际上,在某些情况下,呼叫会进行,只在认证失败时被拆下。
作为向用户提供非限制地接入IP数据网络的方法,无线局域网(WLAN)获得了极大的普及。诸如1xEV-DO网络等高数据数率(HDR)网络和其它第三代(3G)网络也被设计成提供高速数据接入;虽然他们支持的数据率一般低于WLAN的数据率,但是3G网络提供了宽广得多的区域的数据覆盖。虽然WLAN和HDR网络会被当作竞争对手,但是它们会是互补的:WLAN提供在诸如机场休息室和宾馆大厅等公共场所中提供高容量的“热点”覆盖,而HDR网络可以向用户提供移动时几乎随处存在的数据服务。因此,相同的载体在单一用户定购下会同时提供HDR和WLAN接入服务。这意味着MS对于两种接入认证类型都使用相同的认证方法和密钥。
一个协议,诸如询问握手认证协议(CHAP),也被称为MD5-Challenge,会既被用于HDR网络,又被用于WLAN接入认证。CHAP特别地使用RADIUS协议来认证终端而不发送安全数据。MS由它的本地RADIUS服务器认证,其中所述本地RADIUS服务器和MS共享根密钥。在MS经由CHAP询问被成功地认证之后,MS和本地或HDR网络导出相同的用于保护MS和WLAN接入点(AP)之间交换话务的加密密钥。
在经由CHAP询问成功的WLAN接入认证后,本地RADIUS服务器和MS从共享的根密钥生成相同的主阶段密钥(MSK)。该MSK会被用于导出加密密钥,用于保护MS和WLAN的AP之间实际的话务。共享根密钥被配置到MS,且是静态的。MSK在每个分组数据会话时生成,且只在该会话期间保持不变。对于新的会话,会使用不同的随机数字从共享根密钥生成新的MSK。
因为在MS接入HDR网络时不需要MSK,一个实施例提供了允许本地RADIUS服务器确定MS是接入WLAN还是HDR网络的机制。
图1说明了包括HDR网络106、WLAN104和MS102的通信系统100。MS102能够接入HDR网络106,并且漫游到WLAN104覆盖区域中。MS102在WLAN104中寻找经由AP110到WLAN104的通道。注意WLAN104会包括任意数量的AP(未示出)。WLAN104也包括认证授权和计费实体或服务器112。注意该HDR网络106也包括AAA服务器108。
图2说明了在通信系统100中使用CHAP或MD5-Challenge时,用于到WLAN的接入认证的消息流。MS102使用网络接入标识符(NAI)用于标识。NAI具有username@realm的格式,其中realm标识MS的本地网络,在此例中为HDR网络106。WLAN网络104中的AAA服务器112发起到MS102本地网络,即向HDR网络106,的AAA服务器108的RADIUS接入-请求消息。诸如所述HDR网络106可以是任何支持高速数据数率传输的网络。接着,AAA108经由WLAN104向MS102发出CHAP询问。MS102基于该询问计算响应,所述询问诸如随机数字,并且该响应作为RADIUS接入-请求请求经由WLAN104向AAA108传送。如果认证成功,本地AAA服务器108使用RADIUS接入-接受消息来确认这个,所述RADIUS接入-接受消息准予MS102接入WLAN网络104。如上文所述的,本地AAA服务器108和MS102都从共享根密钥生成相同的主阶段密钥(MSK)。
如上文所述的,CAVE算法普遍用于蜂窝通信,因此被很好地使用和散布。也使用其它用于认证的算法。特别在数据通信中,多种算法存在不同的复杂性和应用。为了协调这些机制,开发出扩展认证协议(EAP)作为支持多种认证和密钥分配机制的一般协议框架。L.Blunk et al在RFC 2284(发表于1998年三月)的“PPPExtensible Authentication Protocol(EAP)”中描述了EAP。
EAP支持的一个这样的机制,如由J.Arkko et al.在“EAP AKA认证”中所定义的(于2002年2月作为因特网草案发表),是AKA算法。因此需要扩展EAP以包含蜂窝算法CAVE。所期望的是为新的系统和网络提供向后兼容。
EAP
扩展认证协议(EAP)是用于认证的一般协议,它支持多种认证机制。EAP不在链接建立和控制期间选择特定的认证机制,而是将其延迟到直至认证程序开始。这允许认证者在确定特定的认证机制之前请求更多的信息。认证者被定义为需要认证的链路的结束。认证者规定链接建立期间所使用的认证协议。
密钥生成
密钥分级结构是用于从根密钥生成一组用于加密/解密消息或认证消息的加密密钥步骤的顺序。密钥分级结构应该包含一段时间变化的消息,这样每次使用该分级结构时,不会生成相同组的加密密钥。密钥分级结构也应该被配置成:如果导出的加密密钥变得已知,不能从加密密钥获得根密钥。
在一个实施例中,总的密钥分级结构由三个较小的分层密钥分级结构组成:主密钥分级结构、密钥再生成密钥分级结构和每一分组密钥分级结构。主密钥分级结构根据分级结构和认证方法会包括EAP密钥生成(keying)、预共享密钥或随机数字。如果EAP密钥生成被用于主密钥分级结构,主密钥分级结构将一般驻留在RADIUS服务器上。
密钥再生成密钥分级结构有两种类型,被称为成对密钥分级结构和组密钥分级结构。这两种类型的密钥分级结构中的步骤是类似的;只有到这两种类型的输入是不同的。
每一分组密钥分级结构。这会用于动态密钥完整性协议(TKIP) (使用RC4加密引擎)或用于高级加密标准(AES)。
对偶密钥分级结构被用于导出用在无线网络两个实体之间的密钥(AP和相关联的站,或网络中一对站)。
组密钥分级结构被用于导出和传递无线组中所有实体(AP和网络中与那个AP相关联的所有的站,或网络中所有的实体)使用的密钥。
对偶密钥分级结构在两个使用成对密钥的实体上平行地实体化,每个实体使用共享信息计算相同组的加密密钥。两个实体中的一个驱动该成对密钥分级结构,那个实体称为成对密钥所有者。对于给定的网络,成对密钥所有者是AP;对于其它网络,每个可能的站对将有成对的密钥分级结构,且该成对密钥所有者是具有较低媒体访问控制层地址的对的站。
组密钥分级结构只在一个实体上实体化(instantiaied),并且所导出的加密密钥被传播给所有其它的实体;驱动组密钥分级结构的实体是组密钥的所有者。对于给定的网络,诸如被称作为基本服务组(BSS),组密钥的所有者是该AP;对于独立基本服务组(IBSS)网络,组密钥的所有者是当前信标的发送者。注意BBS网络是由AP和相关联的站组成,而IBSS网络是由一组站组成,所有所述的站互相成对。如这里所使用的站是工作站,且包括移动站或其它能够接入局域网的无线设备。
每个站会至少有两个实体化的密钥分级结构,并且完全可能更多。在BBS网络中,AP会有为每个相关联的站实体化的成对密钥分级结构,并且也至少有一个组密钥分级结构;AP会是所有这些分级结构的密钥所有者。每个相关联的站会有一个实体化的成对密钥分级结构,且至少一个组密钥分级结构。对于IBBS网络,每个站会有为网络中的每个其它站实体化的成对密钥分级结构以及单个的组密钥分级结构。
密钥所有者会有用于组密钥的单个组密钥再生成分级结构实例和用于每个关联的成对密钥再生成分级结构实例。密钥所有者对于组和成对临时密钥(若有的话),都会每个动态密钥完整性协议(TKIP)临时密钥有一每个分组密钥分级结构。非密钥所有者对组密钥和成对密钥,每个关联会有一密钥再生成分级结构实例,并且对于组和成对临时密钥(若有的话),都会每个TKIP临时密钥有一每个分组密钥分级结构。
MSK
根据示例性实施例,MSK包括蜂窝信息加密算法(CMEA)密钥和加密密钥(CK),所述的CMEA密钥用于保护诸如到WLAN的MS话务。
图3说明了用于生成用于保护MS102和WLAN网络104之间话务的加密密钥。这个过程由MS201身份谈判开始。接着,WLAN104发送RADIUS接入请求消息到AAA108,AAA108以RADIUS接入询问消息响应。WLAN104将该询问传递到MS102,所述MS102从那里计算响应。接着,MS102对该询问的响应被提供给WLAN104。在步骤4a中,在MS102发送认证响应到WLAN104之后,MS102使用根密钥来生成主阶段密钥(MSK)。
WLAN104发送RADIUS接入请求消息到AAA108,包括询问响应。在步骤5a中,如果MS102成功地被认证,本地AAA服务器108使用MS102根密钥来生成与MS102在步骤4a所生成的相同的MSK。在步骤6中,本地AAA服务器108使用属性将MSK包含在RADIUS接入-接受消息中,所述属性诸如MS-MPPE-Recv-Key属性。在步骤7中,MS102和WLAN网络104使用程序来从MSK生成加密密钥,所述程序诸如于2002年3月发表的IEEE Std 802.11i/D2.0中题为“Draft Supplement toStandard for Telecommunicat ions and Information Exchange Between Systems-LAN/MAN Specific Requirements-Part 11:Wireless Medium Access Control(MAC)and physical layer(PHY)specifications:Specification for EnhancedSecurity”(这里称为“802.11i标准”)的文件中所指定的。
以下提供了在MS102和本地AAA服务器108中用于生成MSK的算法和参数的两个例子。在第一实施例中,MSK被定义为:
MSK=哈希函数(密钥,询问,NAI,密钥) (1)
其中所述MSK是使用以下参数应用哈希函数(例如,CHAP、HMAC)的结果:
●MS102根密钥;
●用于在图3的步骤4-5中认证MS102的询问;
●MS102 NAI;以及
●再一次MS102根密钥。
根据这个实施例,MS102和本地AAA服务器108具有需要独立生成相同MSK的所有密钥材料。换而言之,没有另外的密钥材料需要在MS102和本地AAA服务器108之间交换用于MSK生成。注意MSK和MS102接入认证响应是从相同的询问值生成的。可替换实施例从不同的随机值生成MSK。
第二个例子,根据另一实施例,将MSK定义为:
MSK=哈希函数(密钥,NAI,随机数字) (2)
其中所述MSK是将哈希函数(例如,CHAP、HMAC)应用到以下参数上的结果:
●MS102根密钥;
●MS102 NAI;以及
●由本地AAA服务器生成的随机数字,
其中所述随机数字与询问值不同。根据这个实施例,MSK由随机数字生成,所述随机数字不同于在MS102接入认证中使用的询问值。独立询问值的使用提供了MSK和MS102接入认证之间较少的联系,并且由此提供了改进的安全性。诸如所述随机数字被发送到MS102且MSK在那里生成。随机数字经由RADIUS接入-接受(图3的步骤6)和在802.11i标准(图3的步骤7)中定义的机制被发送到MS102。
生成MSK的程序在MS102接入WLAN104时使用,并且在MS接入1xEV-DO或其它HDR网络时不使用。这是由于由HDR系统提供的无线电加密。当MS开始到WLAN网络104或HDR网络106的接入时,MS102能够确定是否需要MSK生成。然而,本地AAA服务器必须也确定何时生成MSK。
在一个实施例中,实施特定RADIUS属性来通知AAA108生成MSK。在图3的步骤2和5中,WLAN网络104发送包含指示MS102期望或请求WLAN104接入的特定或指定属性的RADIUS接入-请求消息。该属性状态会触发本地AAA服务器108来执行MSK生成(如果MS102认证是成功的)。当所指定的属性在RADIUS接入-请求消息中不存在时,本地AAA服务器108不会执行MSK生成。注意在符合3GPP2的系统中实施,指定属性是特定于3GPP2的,这样可被定义成使用3GPP2的卖方ID的卖方-特定属性。
图4说明了发表于2000年6月,C.Rigney et al的题为“RemoteAuthentication Dial In User Service(RADIUS)”的RFC 2865中描述的RADIUS格式。数据格式200包括:编码字段202用于标识RADIUS分组的类型(例如,接入请求、接入拒绝等等);ID字段204用于调整匹配请求和响应;以及长度字段206用于指示相关联的分组的长度。也说明了属性220,包含:类型字段222标识值字段226的内容;长度字段224给出属性的长度;以及值字段提供这个属性的特定信息。注意RADIUS支持卖方-特定属性,其中值字段226被用于提供卖方标识,后接属性信息。卖方-特定类型会如同在发表于1999年,由G.Zorn写的题为”Microsoft Vendor-specific RADIUS Attributes”的RFC2548中所描述的,用于应用到CHAP消息。
可替换实施例在RADIUS接入-请求消息中实施名为网络接入服务器(NAS)Internet协议(IP)地址的标准属性。该标准属性标识发起RADIUS接入-请求消息的RADIUS客户端的IP地址。本地AAA服务器108被配置为带有包含WLAN网络104中所有RADIUS客户端IP地址的数据库。如果NAS IP地址属性中所指示的IP地址与数据库中的地址相匹配,那么该RADIUS接入-请求消息是从WLAN网络104发起的,并且本地AAA服务器108会执行MSK生成(如果MS认证是成功的)。否则,本地AAA服务器108将不会执行MSK生成。
图5中说明了标准属性的格式以及加在值字段上的例子。属性格式300包含类型字段302,用于指示值字段306的内容;长度字段304,给出属性的长度;以及值字段306,包含属性信息。注意对RFC 2865中给出的描述不作修改,值字段306会被分成重要的字段:类型322,用于指示子属性的类型,诸如MSK生成指令;长度字段324,给出子属性的长度;以及值字段326,包含子属性信息,诸如MSK生成指示符。作为例子,为了传达消息到AAA108来指示AAA108 MSK生成,类型字段322会使用相应的预定义编码将该子属性标识为MSK生成指令。接着,值字段326会具有一个值:1-指示AAA108生成MSK;或2-指示AAA108不生成MSK。
图6说明了无线设备,诸如MS102。设备600包含接收电路602和发送电路604,分别用于接收传输和发送传输。接收电路602和发送电路604都被耦合到通信总线612上。设备600也包含中央处理器(CPU)606,用于控制设备600内的操作。CPU606对设备600内存储器存储设备600中存储的计算机可读指令响应。两个这样的存储设备被显示为存储认证程序608和MSK生成610。注意可替换实施例会在硬件、软件、固件或其组合中实施该程序。接着,CPU606响应来自认证程序608的认证处理指令。CPU606将认证程序608消息置于传输格式,诸如EAP格式。当向WLAN认证时,CPU606对MSK生成单元610作出响应以生成MSK。CPU606进一步处理接收到的传输格式消息,以从中提取认证消息。
注意虽然这里所描述的实施例详述了WLAN,这里所描述的方法和装置也可应用于其它系统实体。本发明提供了使系统实体能够向通信提供加密的方法。通过使用本地服务器来生成MSK,并向系统实体提供该MSK,向该实体提供了足够的消息来保护给用户的传输,所述用户诸如MS。
本领域的技术人员可以理解,信息和信号可以用多种不同技术和工艺中的任一种来表示。例如,上述说明中可以涉及的数据、指令、命令、信息、信号、比特、码元和码片可以用电压、电流、电磁波、磁场或其粒子、光场或其粒子或它们的任意组合来表示。
本领域的技术人员能进一步理解,结合这里所公开的实施例所描述的各种说明性的逻辑块、模块、电路和算法步骤可以为电子硬件、计算机软件或两者的组合来实现。为了清楚说明硬件和软件间的互换性,各种说明性的组件、框图、模块、电路和步骤一般按照其功能性进行了阐述。这些功能性究竟作为硬件还是软件来实现取决于特定的应用和对总体系统设计上的约束。熟练的技术人员可能对于每个特定应用以不同的方式来实现所述功能,但这种实现决定不应被解释为就此背离本发明的范围。
结合这里所描述的实施例来描述的各种说明性的逻辑块、模块和算法步骤的实现或执行可以用:通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、场可编程门阵列(FPGA)或其它可编程逻辑器件、离散门或晶体管逻辑、离散硬件组件或者为执行这里所述功能而设计的任意组合。通用处理器可能是微处理器,然而或者,处理器可以是任何常规的处理器、控制器、微控制器或状态机。处理器也可以用计算设备的组合来实现,如,DSP和微处理器的组合、多个微处理器、结合DSP内核的一个或多个微处理器或者任意其它这种配置。
结合这里所公开实施例描述的方法或算法的步骤可能直接包含在硬件中、由处理器执行的软件模块中或在两者当中。软件模块可以驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM或本领域中已知的任何其它形式的存储媒质中。示例性存储媒质与处理器耦合,使得处理器可以从存储媒质读取信息,或把信息写入存储媒质。或者,存储媒质可以与处理器整合。处理器和存储媒质可能驻留在ASIC中。ASIC可能驻留在订户单元中。或者,处理器和存储媒质可能作为离散组件驻留在用户终端中。
提供上述对所公开的具体实施方式的描述为了使本领域的技术人员能制造或使用本发明。这些实施例的各种修改对于本领域的技术人员来说是显而易见的,这里定义的总的原则可以被应用于其它实施例中而不背离本发明的精神和范围。因此,本发明并不要限于这里示出的实施例,而要符合与这里揭示的原理和新颖特征一致的最宽泛的范围。
Claims (21)
1.用于在通信系统中密钥生成的方法,所述方法包含:
认证到无线局域网(WLAN)的接入;
生成用于接入的主阶段密钥(MSK);以及
发送包含所述MSK的接入接受消息。
2.如权利要求1所述的方法,其特征在于,所述认证包含:
接收用户标识;
确定询问值;以及
确定共享密钥,
以及所述生成MSK包含:
散列该用户标识、询问值和共享密钥。
3.如权利要求1所述的方法,其特征在于,所述认证包含:
接收用户标识;
确认询问值;以及
确认随机值,
以及所述生成MSK包含:
散列该用户标识、询问值和随机值。
4.如权利要求2或3所述的方法,其特征在于,所述接收用户标识包含接收网络接入标识符(NAI)。
5.用于在通信系统中密钥生成的方法,包含:
请求对到无线局域网(WLAN)的接入的认证;
接收包含用于接入的主阶段密钥(MSK)的接入接受消息;以及
生成至少一个加密密钥作为所述MSK的函数,其中所述至少一个加密密钥被用于加密用于接入的话务。
6.用于在通信系统中密钥生成的装置,所述装置包含:
认证到无线局域网(WLAN)的接入的装置;
生成用于接入的主阶段密钥(MSK)的装置;以及
从所述的MSK确定加密密钥的装置。
7.用于在通信系统中密钥生成的装置,所述装置包含:
请求对到无线局域网(WLAN)的接入认证的装置;
接收包含用于接入的主阶段密钥(MSK)的接入接受消息的装置;以及
生成至少一个加密密钥作为所述MSK的函数的装置,其中所述至少一个加密密钥被用于加密用于接入的话务。
8.装置包含:
处理单元;
认证程序单元,被耦合到处理单元;适用于接入系统的认证,以及适用于计算对为了认证的询问的响应;以及
主阶段密钥(MSK)生成单元,被耦合到处理单元,适用于生成MSK,其中所述的MSK用于生成至少一个加密密钥,以加密用于接入的话务。
9.如权利要求8所述的装置,其特征在于,所述MSK是使用装置标识符、共享密钥和询问生成的。
10.如权利要求8所述的装置,其特征在于,所述MSK是使用装置标识符、共享密钥和随机数字生成的。
11.如权利要求9或10所述的装置,其特征在于,所述装置标识符是网络接入标识符(NAI)。
12.通信系统中的一种方法,所述方法包含:
接收接入请求消息,用于到通信系统的接入,所述接入请求消息具有第一字段;
确定第一字段的状态;以及
如果所述状态是第一值,就生成主阶段密钥(MSK)用于接入。
13.如权利要求12所述的方法,其特征在于,所述方法进一步包含:
发送接入接受消息,其中:
如果所述状态是第一值,所述接入接受消息包含所述MSK。
14.如权利要求12或13所述的方法,其特征在于,所述方法进一步包含:
认证所述接入。
15.如权利要求14所述的方法,其特征在于,所述认证接入包含:
接收用户标识;
确定询问值;以及
确定共享密钥,
以及其中生成所述MSK包含:
散列该用户标识、询问值和共享密钥。
16.如权利要求14所述的方法,其特征在于,所述认证接入包含:
接收用户标识;
确认询问值;以及
确认随机值,
以及所述生成MSK包含:
散列该用户标识、询问值和随机值。
17.如权利要求12-16中任一所述的方法,其中第一字段对应于指示到不支持加密的通信系统实体的接入的属性或对应于指示所述接入请求消息发源的属性。
18.如权利要求17所述的方法,其特征在于,所述实体是无线局域网(WLAN)。
19.通信系统中的基础结构元件,包含:
用于接收到所述通信系统的接入的接入请求消息的装置,所述接入请求消息具有第一字段;
用于确定第一字段状态的装置;以及
如果状态是第一值,用于生成用以接入的主阶段密钥(MSK)的装置。
20.用于到通信系统的接入请求消息格式,所述格式包含:
类型字段,标识用于接入到所述通信系统的属性消息的类型;
值字段,用于所述属性信息,所述值字段包含:
第二类型字段,标识用于接入的子属性信息的类型;以及
第二值字段,用于所述子属性信息。
21.如权利要求20所述的接入请求消息格式,其特征在于,所述子属性信息是主阶段密钥(MSK)生成指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310460165.2A CN103532939B (zh) | 2002-06-20 | 2003-06-20 | 用于通信系统中的密钥生成的方法和设备 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/177,017 | 2002-06-20 | ||
| US10/177,017 US20030235305A1 (en) | 2002-06-20 | 2002-06-20 | Key generation in a communication system |
Related Child Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310460165.2A Division CN103532939B (zh) | 2002-06-20 | 2003-06-20 | 用于通信系统中的密钥生成的方法和设备 |
| CN201410439953.8A Division CN104243145A (zh) | 2002-06-20 | 2003-06-20 | 通信系统中的密钥生成 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1720688A true CN1720688A (zh) | 2006-01-11 |
Family
ID=29734262
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA038192977A Pending CN1720688A (zh) | 2002-06-20 | 2003-06-20 | 通信系统中的密钥生成 |
| CN201310460165.2A Expired - Lifetime CN103532939B (zh) | 2002-06-20 | 2003-06-20 | 用于通信系统中的密钥生成的方法和设备 |
| CN201410439953.8A Pending CN104243145A (zh) | 2002-06-20 | 2003-06-20 | 通信系统中的密钥生成 |
Family Applications After (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310460165.2A Expired - Lifetime CN103532939B (zh) | 2002-06-20 | 2003-06-20 | 用于通信系统中的密钥生成的方法和设备 |
| CN201410439953.8A Pending CN104243145A (zh) | 2002-06-20 | 2003-06-20 | 通信系统中的密钥生成 |
Country Status (12)
| Country | Link |
|---|---|
| US (2) | US20030235305A1 (zh) |
| EP (1) | EP1525706A4 (zh) |
| JP (3) | JP4897215B2 (zh) |
| KR (1) | KR101062781B1 (zh) |
| CN (3) | CN1720688A (zh) |
| AU (1) | AU2003243680B2 (zh) |
| BR (1) | BR0311994A (zh) |
| CA (3) | CA2862069C (zh) |
| HK (1) | HK1203706A1 (zh) |
| RU (1) | RU2333607C2 (zh) |
| TW (3) | TWI388180B (zh) |
| WO (1) | WO2004002056A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101448068A (zh) * | 2007-11-26 | 2009-06-03 | 京瓷美达株式会社 | 图像读取装置以及图像形成装置 |
| CN101145913B (zh) * | 2007-10-25 | 2010-06-16 | 东软集团股份有限公司 | 一种实现网络安全通信的方法及系统 |
| CN101155092B (zh) * | 2006-09-29 | 2010-09-08 | 西安电子科技大学 | 一种无线局域网接入方法、设备及系统 |
| CN103428690A (zh) * | 2012-05-23 | 2013-12-04 | 华为技术有限公司 | 无线局域网络的安全建立方法及系统、设备 |
| CN106415573A (zh) * | 2015-05-08 | 2017-02-15 | 松下知识产权经营株式会社 | 认证方法、认证系统以及控制器 |
Families Citing this family (83)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8140845B2 (en) * | 2001-09-13 | 2012-03-20 | Alcatel Lucent | Scheme for authentication and dynamic key exchange |
| US8630414B2 (en) * | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| CN1685694B (zh) * | 2002-08-14 | 2010-05-05 | 汤姆森特许公司 | 支持多个虚拟操作员的公共无线局域网的会话密钥管理 |
| US7046989B2 (en) | 2002-09-12 | 2006-05-16 | Broadcom Corporation | Controlling and enhancing handoff between wireless access points |
| US20040203602A1 (en) * | 2002-09-12 | 2004-10-14 | Broadcom Corporation | Enabling and controlling access to wireless hot spots |
| US7574731B2 (en) * | 2002-10-08 | 2009-08-11 | Koolspan, Inc. | Self-managed network access using localized access management |
| US7325134B2 (en) | 2002-10-08 | 2008-01-29 | Koolspan, Inc. | Localized network authentication and security using tamper-resistant keys |
| US7853788B2 (en) | 2002-10-08 | 2010-12-14 | Koolspan, Inc. | Localized network authentication and security using tamper-resistant keys |
| KR100479260B1 (ko) * | 2002-10-11 | 2005-03-31 | 한국전자통신연구원 | 무선 데이터의 암호 및 복호 방법과 그 장치 |
| US7310307B1 (en) * | 2002-12-17 | 2007-12-18 | Cisco Technology, Inc. | System and method for authenticating an element in a network environment |
| US20040162998A1 (en) * | 2003-02-14 | 2004-08-19 | Jukka Tuomi | Service authentication in a communication system |
| US7787497B1 (en) * | 2003-03-03 | 2010-08-31 | Cisco Technology, Inc. | System for grouping attributes in packets in a radius protocol |
| CN1784673A (zh) * | 2003-03-14 | 2006-06-07 | 汤姆森特许公司 | 用于嵌入平台的、基于安全网络浏览器的系统管理 |
| US7506370B2 (en) * | 2003-05-02 | 2009-03-17 | Alcatel-Lucent Usa Inc. | Mobile security architecture |
| JP2004343448A (ja) * | 2003-05-15 | 2004-12-02 | Matsushita Electric Ind Co Ltd | 無線lanアクセス認証システム |
| US20040235468A1 (en) * | 2003-05-19 | 2004-11-25 | Luebke Charles J. | Wireless network clustering communication system, wireless communication network, and access port for same |
| US20050044363A1 (en) * | 2003-08-21 | 2005-02-24 | Zimmer Vincent J. | Trusted remote firmware interface |
| US7299354B2 (en) * | 2003-09-30 | 2007-11-20 | Intel Corporation | Method to authenticate clients and hosts to provide secure network boot |
| US7325133B2 (en) * | 2003-10-07 | 2008-01-29 | Koolspan, Inc. | Mass subscriber management |
| WO2005038608A2 (en) * | 2003-10-15 | 2005-04-28 | Koolspan, Inc. | Mass subscriber management |
| JP2005210193A (ja) * | 2004-01-20 | 2005-08-04 | Matsushita Electric Works Ltd | 共通秘密鍵生成装置 |
| JP3918827B2 (ja) * | 2004-01-21 | 2007-05-23 | 株式会社日立製作所 | セキュアリモートアクセスシステム |
| US20060173981A1 (en) * | 2004-03-11 | 2006-08-03 | Junbiao Zhang | Secure web browser based system administration for embedded platforms |
| JP4009273B2 (ja) * | 2004-05-19 | 2007-11-14 | 松下電器産業株式会社 | 通信方法 |
| US20060019635A1 (en) * | 2004-06-29 | 2006-01-26 | Nokia Corporation | Enhanced use of a network access identifier in wlan |
| US20060046690A1 (en) * | 2004-09-02 | 2006-03-02 | Rose Gregory G | Pseudo-secret key generation in a communications system |
| US7734280B2 (en) * | 2004-10-29 | 2010-06-08 | Motorola, Inc. | Method and apparatus for authentication of mobile devices |
| EP1657943A1 (en) * | 2004-11-10 | 2006-05-17 | Alcatel | A method for ensuring secure access to a telecommunication system comprising a local network and a PLMN |
| US7992193B2 (en) * | 2005-03-17 | 2011-08-02 | Cisco Technology, Inc. | Method and apparatus to secure AAA protocol messages |
| US20060259759A1 (en) * | 2005-05-16 | 2006-11-16 | Fabio Maino | Method and apparatus for securely extending a protected network through secure intermediation of AAA information |
| US7596225B2 (en) * | 2005-06-30 | 2009-09-29 | Alcatl-Lucent Usa Inc. | Method for refreshing a pairwise master key |
| US7394800B2 (en) | 2005-06-30 | 2008-07-01 | Intel Corporation | Reservation with access points |
| KR100770928B1 (ko) * | 2005-07-02 | 2007-10-26 | 삼성전자주식회사 | 통신 시스템에서 인증 시스템 및 방법 |
| US20070097934A1 (en) * | 2005-11-03 | 2007-05-03 | Jesse Walker | Method and system of secured direct link set-up (DLS) for wireless networks |
| CN101496387B (zh) * | 2006-03-06 | 2012-09-05 | 思科技术公司 | 用于移动无线网络中的接入认证的系统和方法 |
| US7715562B2 (en) * | 2006-03-06 | 2010-05-11 | Cisco Technology, Inc. | System and method for access authentication in a mobile wireless network |
| US8118214B2 (en) * | 2006-03-24 | 2012-02-21 | Atmel Corporation | Method and system for generating electronic keys |
| KR101161258B1 (ko) | 2006-04-14 | 2012-07-02 | 삼성전자주식회사 | 프라이버시 키 관리 버전 2 인증 방식을 사용하는 통신시스템에서 인증 시스템 및 방법 |
| US7945053B2 (en) * | 2006-05-15 | 2011-05-17 | Intel Corporation | Methods and apparatus for a keying mechanism for end-to-end service control protection |
| CN101106452B (zh) * | 2006-07-12 | 2010-12-08 | 华为技术有限公司 | 移动ip密钥的产生及分发方法和系统 |
| KR100739809B1 (ko) | 2006-08-09 | 2007-07-13 | 삼성전자주식회사 | Wpa-psk 환경의 무선 네트워크에서 스테이션을관리하는 방법 및 이를 위한 장치 |
| DE102006038037A1 (de) * | 2006-08-14 | 2008-02-21 | Siemens Ag | Verfahren und System zum Bereitstellen eines zugangsspezifischen Schlüssels |
| EP1892913A1 (de) * | 2006-08-24 | 2008-02-27 | Siemens Aktiengesellschaft | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks |
| US8176327B2 (en) * | 2006-12-27 | 2012-05-08 | Airvana, Corp. | Authentication protocol |
| CN100456726C (zh) * | 2007-03-15 | 2009-01-28 | 北京安拓思科技有限责任公司 | 基于wapi的互联网接入认证的实现方法 |
| CN100456725C (zh) * | 2007-03-15 | 2009-01-28 | 北京安拓思科技有限责任公司 | 用于wapi的获取公钥证书的网络系统和方法 |
| KR101002799B1 (ko) * | 2007-03-21 | 2010-12-21 | 삼성전자주식회사 | 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치 |
| US7913085B2 (en) * | 2007-06-15 | 2011-03-22 | Koolspan, Inc. | System and method of per-packet keying |
| US7907735B2 (en) | 2007-06-15 | 2011-03-15 | Koolspan, Inc. | System and method of creating and sending broadcast and multicast data |
| US8265281B2 (en) | 2007-07-09 | 2012-09-11 | Qualcomm Incorporated | IP service authorization in wireless communications networks |
| US8509440B2 (en) * | 2007-08-24 | 2013-08-13 | Futurwei Technologies, Inc. | PANA for roaming Wi-Fi access in fixed network architectures |
| CN101378591B (zh) | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| CN101399767B (zh) | 2007-09-29 | 2011-04-20 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| US20090217038A1 (en) * | 2008-02-22 | 2009-08-27 | Vesa Petteri Lehtovirta | Methods and Apparatus for Locating a Device Registration Server in a Wireless Network |
| US8660268B2 (en) * | 2008-04-29 | 2014-02-25 | Red Hat, Inc. | Keyed pseudo-random number generator |
| US8156333B2 (en) * | 2008-05-29 | 2012-04-10 | Red Hat, Inc. | Username based authentication security |
| US9258113B2 (en) * | 2008-08-29 | 2016-02-09 | Red Hat, Inc. | Username based key exchange |
| US20100106971A1 (en) * | 2008-10-27 | 2010-04-29 | Domagoj Premec | Method and communication system for protecting an authentication connection |
| US8695082B2 (en) * | 2008-10-27 | 2014-04-08 | Nokia Siemens Networks Oy | Method and communication system for accessing a wireless communication network |
| EP2648469B1 (en) * | 2008-11-04 | 2015-03-11 | Huawei Technologies Co., Ltd. | Method and apparatus for determining resource indices |
| US9106426B2 (en) | 2008-11-26 | 2015-08-11 | Red Hat, Inc. | Username based authentication and key generation |
| US20100251330A1 (en) * | 2009-03-12 | 2010-09-30 | Kroeselberg Dirk | Optimized relaying of secure network entry of small base stations and access points |
| CN102026092B (zh) * | 2009-09-16 | 2014-03-12 | 中兴通讯股份有限公司 | 一种移动多媒体广播业务密钥同步的方法及网络 |
| CN102056159B (zh) * | 2009-11-03 | 2014-04-02 | 华为技术有限公司 | 一种中继系统的安全密钥获取方法、装置 |
| US9225526B2 (en) * | 2009-11-30 | 2015-12-29 | Red Hat, Inc. | Multifactor username based authentication |
| JP2012044327A (ja) * | 2010-08-16 | 2012-03-01 | Ntt Docomo Inc | 移動通信方法、リレーノード及び無線基地局 |
| BR112014006225B1 (pt) * | 2011-09-20 | 2022-05-10 | Koninklijke Philips N.V. | Método de adição de um novo dispositivo em um grupo de dispositivo, e, método de gerenciamento de associação de um grupo de dispositivo |
| KR101172876B1 (ko) | 2011-10-19 | 2012-08-10 | 인포섹(주) | 사용자 단말기와 서버 간의 상호 인증 방법 및 시스템 |
| US20130254125A1 (en) * | 2011-12-30 | 2013-09-26 | VideoiGames, Inc. | Remote Execution of and Transfer of Rights in Registered Applications |
| US9537663B2 (en) | 2012-06-20 | 2017-01-03 | Alcatel Lucent | Manipulation and restoration of authentication challenge parameters in network authentication procedures |
| US20140153722A1 (en) * | 2012-12-03 | 2014-06-05 | Semyon Mizikovsky | Restricting use of mobile subscriptions to authorized mobile devices |
| US9173095B2 (en) * | 2013-03-11 | 2015-10-27 | Intel Corporation | Techniques for authenticating a device for wireless docking |
| US9392458B2 (en) * | 2013-03-15 | 2016-07-12 | Qualcomm Incorporated | Authentication for relay deployment |
| KR102349605B1 (ko) * | 2014-11-17 | 2022-01-11 | 삼성전자 주식회사 | 사용자 기기의 식별자에 기반하여 서비스를 제공하는 방법 및 장치 |
| KR102314917B1 (ko) * | 2015-03-19 | 2021-10-21 | 삼성전자주식회사 | 통신 시스템에서 디바이스들 간의 연결 설정 방법 및 장치 |
| CN106330445B (zh) * | 2015-06-19 | 2019-11-12 | 中兴新能源汽车有限责任公司 | 车辆认证方法及装置 |
| US9980133B2 (en) * | 2015-08-12 | 2018-05-22 | Blackberry Limited | Network access identifier including an identifier for a cellular access network node |
| CN105451245B (zh) * | 2015-11-16 | 2020-02-21 | 上海斐讯数据通信技术有限公司 | 一种无线设备管理方法 |
| SG10201609449SA (en) * | 2016-11-11 | 2018-06-28 | Huawei Int Pte Ltd | System and method for constructing a self-authenticating message using identity-based crytography |
| US11172359B2 (en) * | 2017-08-09 | 2021-11-09 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for attach procedure with security key exchange for restricted services for unauthenticated user equipment |
| RU2726144C1 (ru) * | 2019-11-25 | 2020-07-09 | Валерий Алексеевич Степанов | Устройство криптографической защиты информации, передаваемой по сетям связи |
| EP3916600A1 (en) * | 2020-05-27 | 2021-12-01 | Mettler-Toledo (Albstadt) GmbH | Method for operating an electronic data processing system and electronic data processing system |
| CN113268722B (zh) * | 2021-05-17 | 2022-04-26 | 时昕昱 | 一种个人数字身份管理系统与方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3526688B2 (ja) * | 1996-03-29 | 2004-05-17 | 富士通株式会社 | コネクションレスな通信における従量制課金システムおよび方法 |
| CN1130088C (zh) * | 1997-12-10 | 2003-12-03 | 西尔可穆无线公司 | 多能力无线中继线寻址的通信系统和方法 |
| JPH11215116A (ja) * | 1998-01-27 | 1999-08-06 | Nippon Telegr & Teleph Corp <Ntt> | 鍵管理方法およびシステム |
| DE19822795C2 (de) * | 1998-05-20 | 2000-04-06 | Siemens Ag | Verfahren und Anordnung zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer ersten Computereinheit und einer zweiten Computereinheit |
| US6178506B1 (en) * | 1998-10-23 | 2001-01-23 | Qualcomm Inc. | Wireless subscription portability |
| PL354839A1 (en) * | 1999-05-21 | 2004-02-23 | Ibm | Method and apparatus for initializing secure communications among, and for exclusively pairing wireless devices |
| FI19991733A (fi) * | 1999-08-16 | 2001-02-17 | Nokia Networks Oy | Autentikointi matkaviestinjärjestelmässä |
| JP3570310B2 (ja) * | 1999-10-05 | 2004-09-29 | 日本電気株式会社 | 無線lanシステムにおける認証方法と認証装置 |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| JP2002009762A (ja) * | 2000-06-26 | 2002-01-11 | Sony Corp | 情報処理システム、情報処理方法、および情報処理装置、並びにプログラム提供媒体 |
| JP2002124952A (ja) * | 2000-10-12 | 2002-04-26 | Furukawa Electric Co Ltd:The | 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム |
| US8140845B2 (en) * | 2001-09-13 | 2012-03-20 | Alcatel Lucent | Scheme for authentication and dynamic key exchange |
-
2002
- 2002-06-20 US US10/177,017 patent/US20030235305A1/en not_active Abandoned
-
2003
- 2003-06-20 CN CNA038192977A patent/CN1720688A/zh active Pending
- 2003-06-20 CN CN201310460165.2A patent/CN103532939B/zh not_active Expired - Lifetime
- 2003-06-20 JP JP2004516007A patent/JP4897215B2/ja not_active Expired - Lifetime
- 2003-06-20 CA CA2862069A patent/CA2862069C/en not_active Expired - Lifetime
- 2003-06-20 RU RU2005101217/09A patent/RU2333607C2/ru active
- 2003-06-20 CA CA2490131A patent/CA2490131C/en not_active Expired - Lifetime
- 2003-06-20 TW TW101126108A patent/TWI388180B/zh not_active IP Right Cessation
- 2003-06-20 WO PCT/US2003/019465 patent/WO2004002056A1/en active Application Filing
- 2003-06-20 CA CA2792490A patent/CA2792490C/en not_active Expired - Lifetime
- 2003-06-20 AU AU2003243680A patent/AU2003243680B2/en not_active Expired
- 2003-06-20 KR KR1020047020774A patent/KR101062781B1/ko active IP Right Grant
- 2003-06-20 EP EP03761176A patent/EP1525706A4/en not_active Withdrawn
- 2003-06-20 TW TW092116837A patent/TWI360975B/zh not_active IP Right Cessation
- 2003-06-20 BR BRPI0311994-7A patent/BR0311994A/pt not_active Application Discontinuation
- 2003-06-20 CN CN201410439953.8A patent/CN104243145A/zh active Pending
-
2004
- 2004-08-06 US US10/912,898 patent/US7190793B2/en not_active Expired - Lifetime
-
2006
- 2006-04-12 HK HK15103526.0A patent/HK1203706A1/zh unknown
-
2010
- 2010-04-13 JP JP2010092578A patent/JP5313200B2/ja not_active Expired - Lifetime
- 2010-06-20 TW TW099142508A patent/TWI376905B/zh not_active IP Right Cessation
-
2012
- 2012-01-24 JP JP2012012031A patent/JP5512709B2/ja not_active Expired - Lifetime
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101155092B (zh) * | 2006-09-29 | 2010-09-08 | 西安电子科技大学 | 一种无线局域网接入方法、设备及系统 |
| CN101145913B (zh) * | 2007-10-25 | 2010-06-16 | 东软集团股份有限公司 | 一种实现网络安全通信的方法及系统 |
| CN101448068A (zh) * | 2007-11-26 | 2009-06-03 | 京瓷美达株式会社 | 图像读取装置以及图像形成装置 |
| CN103428690A (zh) * | 2012-05-23 | 2013-12-04 | 华为技术有限公司 | 无线局域网络的安全建立方法及系统、设备 |
| CN103428690B (zh) * | 2012-05-23 | 2016-09-07 | 华为技术有限公司 | 无线局域网络的安全建立方法及系统、设备 |
| US9826398B2 (en) | 2012-05-23 | 2017-11-21 | Huawei Technologies Co., Ltd. | Secure establishment method, system and device of wireless local area network |
| US10687213B2 (en) | 2012-05-23 | 2020-06-16 | Huawei Technologies Co., Ltd. | Secure establishment method, system and device of wireless local area network |
| CN106415573A (zh) * | 2015-05-08 | 2017-02-15 | 松下知识产权经营株式会社 | 认证方法、认证系统以及控制器 |
| CN106415573B (zh) * | 2015-05-08 | 2021-01-08 | 松下电器(美国)知识产权公司 | 认证方法、认证系统以及控制器 |
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1720688A (zh) | 通信系统中的密钥生成 | |
| US8094821B2 (en) | Key generation in a communication system | |
| US7930553B2 (en) | System and method for extending secure authentication using unique session keys derived from entropy generated by authentication method | |
| US9282455B2 (en) | System and method for user certificate initiation, distribution, and provisioning in converged WLAN-WWAN interworking networks | |
| CN1672368A (zh) | 通信系统的互通功能 | |
| CN1700699A (zh) | 提供用于对数据数字签名、认证或加密的签名密钥的方法和移动终端 | |
| CN1726483A (zh) | 通信系统中的认证 | |
| WO2004034645A1 (ja) | Wlan相互接続における識別情報の保護方法 | |
| CN1929371A (zh) | 用户和外围设备协商共享密钥的方法 | |
| KR100907825B1 (ko) | 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법 | |
| CN1662092A (zh) | 高速分组数据网中接入认证方法以及装置 | |
| US20120254615A1 (en) | Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network | |
| CN1859772A (zh) | 一种基于通用鉴权框架的安全业务通信方法 | |
| CN101272297B (zh) | 一种WiMAX网络用户EAP认证方法 | |
| CN101079786A (zh) | 互连系统、互连系统中的认证方法和终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1084270 Country of ref document: HK |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20060111 |
|
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1084270 Country of ref document: HK |