DE112006001707T5 - Verfahren und Vorrichtung zur Bereitstellung von Authentifizierungscode - Google Patents

Verfahren und Vorrichtung zur Bereitstellung von Authentifizierungscode Download PDF

Info

Publication number
DE112006001707T5
DE112006001707T5 DE112006001707T DE112006001707T DE112006001707T5 DE 112006001707 T5 DE112006001707 T5 DE 112006001707T5 DE 112006001707 T DE112006001707 T DE 112006001707T DE 112006001707 T DE112006001707 T DE 112006001707T DE 112006001707 T5 DE112006001707 T5 DE 112006001707T5
Authority
DE
Germany
Prior art keywords
message
authentication code
authenticator
frame
transport layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE112006001707T
Other languages
English (en)
Inventor
Pawel Rumia Matusz
Artur Miron
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE112006001707T5 publication Critical patent/DE112006001707T5/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Vorrichtung, umfassend:
einen Authentifikator, um einer Header-Erweiterung eines Frames einen Nachrichtenauthentifizierungscode bereitzustellen; und
einen Sender, um eine Nachricht, die den Frame aufweist, auf einer Transportschicht eines Kommunikationskanals zu übertragen.

Description

  • ALLGEMEINER STAND DER TECHNIK
  • Funktelefonkommunikationssysteme wie zum Beispiel zellulare Kommunikationssysteme können gemäß formellen und öffentlichen Standards betrieben werden. Die Standards können nach Generationen klassifiziert sein, zum Beispiel erste Generation (1G), zweite Generation (2G), dritte Generation (3G) oder dergleichen. 3G-Standards können einen Standard für ein universelles mobiles Telekommunikationssystem (UMTS) aufweisen. Das UMTS-System kann funktionell in drei Hauptteile aufgeteilt werden: das Benutzergerät (UE), das terrestrische UMTS-Funkzugangsnetz (UTRAN) und das Kernnetz (CN), falls gewünscht. Das UE kann ein oder mehrere mobile Benutzerendgeräte aufweisen, die als ein mobiles Gerät (ME) bezeichnet werden können; das UTRAN kann alle funkbezogenen Funktionalitäten handhaben; und das CN kann Anrufe und Datenverbindungen zu externen Netzen umschalten oder dorthin leiten, falls gewünscht.
  • Einige der Systemeinheiten wie zum Beispiel UTRAN und CN können betrieblich durch Schnittstellen verbunden sein. Die Schnittstellen können physikalische Verbindungen, zum Beispiel Mietleitungen aufweisen, die sich durch öffentliche Bereiche und/oder Netzinfrastrukturen erstrecken, die schwer zu steuern sind. Benutzerdaten und einige UMTS-Signalisierungsrahmen, die auf einigen Schnittstellen verfügbar sein können, können möglicherweise durch Authentifizierungs- und Integritätsmittel nicht angemessen geschützt werden.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Der Gegenstand der vorliegenden Erfindung wird in dem abschließenden Abschnitt der Beschreibung besonders hervorgehoben und deutlich beansprucht. Die Erfindung ist jedoch sowohl im Hinblick auf den Aufbau als auch auf das Betriebsverfahren zusammen mit Merkmalen, Aufgaben und Vorteilen davon am besten mit Bezug auf die folgende ausführliche Beschreibung zusammen mit den beiliegenden Zeichnungen zu verstehen. Die Figuren zeigen:
  • 1 eine schematische Darstellung eines drahtlosen Kommunikationssystems gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;
  • 2 eine schematische Darstellung eines Blockdiagramms eines Netzprozessors gemäß einigen Ausführungsbeispielen der vorliegenden Erfindung;
  • 3 eine schematische Darstellung eines Frames einer Nachricht, die für die Beschreibung eines Authentifizierungsverfahrens gemäß mindestens einem Ausführungsbeispiel der vorliegenden Erfindung hilfreich ist; und
  • 4 eine schematische Darstellung eines Frames einer Nachricht, die für die Beschreibung eines Authentifizierungsverfahrens gemäß mindestens einem anderen Ausführungsbeispiel der vorliegenden Erfindung hilfreich ist.
  • Man wird zu schätzen wissen, daß aus Gründen der Einfachheit und Klarheit der Darstellung Elemente in den Figuren nicht unbedingt maßstabsgetreu dargestellt sind. Zum Beispiel können die Ausmaße einiger der Elemente bezüglich anderer Elemente aus Gründen der Klarheit übertrieben dargestellt sein. Ferner können Bezugszeichen innerhalb der Figuren wiederholt werden, wo dies als angemessen betrachtet wird, um entsprechende oder analoge Elemente anzuzeigen.
  • AUSFÜHRLICHE BESCHREIBUNG VON AUSFÜHRUNGSFORMEN DER ERFINDUNG
  • In der folgenden ausführlichen Beschreibung der vorliegenden Erfindung werden zahlreiche spezifische Details dargestellt, um ein gründliches Verständnis der Erfindung bereitzustellen. Für den Durchschnittsfachmann wird es sich jedoch verstehen, daß die vorliegende Erfindung ohne diese spezifischen Details in die Praxis umgesetzt werden kann. An anderen Stellen sind gut bekannte Verfahren, Vorgehensweisen, Bestandteile und Schaltungen nicht im Detail beschrieben worden, um die vorliegende Erfindung nicht zu verdunkeln.
  • Einige Teile der folgenden ausführlichen Beschreibung sind in Bezug auf Algorithmen und symbolische Darstellungen von Vorgängen auf Datenbits oder binären digitalen Signalen innerhalb eines Computerspeichers dargestellt. Diese algorithmischen Beschreibungen und Darstellungen können die Techniken sein, die von Fachleuten auf dem Gebiet der Datenverarbeitung angewendet werden, um anderen Fachleuten das Wesen ihrer Arbeit zu vermitteln.
  • Sofern nicht spezifisch anderweitig angegeben und wie aus den folgenden Erläuterungen ersichtlich, wird man zu schätzen wissen, daß in der gesamten Spezifikation Erläuterungen, die Ausdrücke wie zum Beispiel „Verarbeiten", „Rechnen", „Berechnen", „Bestimmen", „Erstellen", „Senden", „Austauschen" oder dergleichen verwenden, sich auf die Handlung und/oder Prozesse eines Computers oder Rechensystems oder eine ähnliche elektronische Rechenvorrichtung beziehen, die Daten, die als physikalische wie elektronische Größen innerhalb der Register und/oder Speicher des Rechensystems dargestellt werden, in andere Daten, die in ähnlicher Weise als physikalische Größen innerhalb der Speicher, Register oder einem anderen solchen Informationsspeichermedium dargestellt werden, das Anweisungen speichern kann, um, falls gewünscht, Handlungen und/oder Prozesse auszuführen, manipulieren und/oder umwandeln.
  • Der Ausdruck "Knoten", wie hier verwendet, kann sich auf jedes beliebige Element, Modul, Komponente, Platte, Vorrichtung oder System beziehen, das ein Signal, welches Information darstellt, verarbeiten kann. Das Signal kann zum Beispiel ein elektrisches Signal, optisches Signal, akustisches Signal, chemisches Signal und so fort sein. Die Ausführungsformen sind in diesem Kontext nicht eingeschränkt.
  • Es ist zu beachten, daß jeglicher Bezug in der Spezifikation auf "eine bestimmte Ausführungsform" oder „eine Ausführungsform" bedeutet, daß ein bestimmtes Merkmal, eine bestimmte Struktur oder Eigenschaft, das oder die in Verbindung mit der Ausführungsform beschrieben wird, in mindestens einer Ausführungsform enthalten ist. Das Vorkommen des Ausdrucks „in einer Ausführungsform" an verschiedenen Stellen in der Spezifikation bezieht sich nicht unbedingt auf die gleiche Ausführungsform.
  • Es verstehet sich, daß die vorliegende Erfindung in verschiedenen Anwendungen benutzt werden kann. Wenngleich die vorliegende Erfindung diesbezüglich nicht eingeschränkt ist, können die hierin offenbarten Schaltungen und Techniken in vielen Vorrichtungen wie Netzknoten und Schnittstellen eines Funksystems benutzt werden. Typen von zellularen Funktelefonsystemen, die innerhalb des Schutzbereichs der vorliegenden Erfindung fallen sollen, umfassen, ohne darauf beschränkt zu sein, zellulare tragbare Funktelefonsysteme mit Mehrfachzugriff im Codemultiplex (CDMA) und Breitband-CDMA (WCDMA), um Spreizspektrumsignale zu senden und zu empfangen, ein zellulares Funktelefon mit dem globalen System für Mobilkommunikation (GSM), der allgemeine paketorientierte Funkdienst (GPRS), der erweiterte GPRS und dergleichen.
  • Zunächst mit Bezug auf 1 ist ein drahtloses Kommunikationssystem 100, zum Beispiel ein zellulares Kommunikationssystem dargestellt. Wenngleich der Schutzbereich der vorliegenden Erfindung in dieser Hinsicht nicht eingeschränkt ist, kann das beispielhafte zellulare Kommunikationssystem 100 einige Komponenten aufweisen, die durch einen ITU 3 GPP/UMTS-Standard definiert sind. Gemäß einigen Ausführungsformen der Erfindung kann das zellulare Kommunikationssystem 100 Einheiten wie zum Beispiel ein UE 110, ein UTRAN 120, ein CN 130, das Internet 140 und ein öffentliches Fernsprechnetz (PSTN) 150 aufweisen. Gemäß dieser Ausführungsform der Erfindung können Schnittstellen 105, 125 und 127 benutzt werden, um die Einheiten 110, 120 und 130 des zellularen Kommunikationssystems 100 zu verbinden, falls gewünscht. Die Schnittstelle 105 kann benutzt werden, um das UE 110 betrieblich mit dem UTRAN 120 zu verbinden; die Schnittstelle 125, die eine paketvermittelte Verkehrs-(PST)Schnittstelle sein kann, kann benutzt werden, um Daten zwischen dem UTRAN 120, CN 130, Internet 140 und/oder PSTN 150 zu übertragen; und eine Schnittstelle 127, die eine leitungsvermittelte Verkehrs-(CST)Schnittstelle sein kann, kann benutzt werden, um zum Beispiel Sprache von/an CN 130 und/oder PSTN 150 zu übertragen, falls gewünscht.
  • Während des Betriebs kann das zellulare Kommunikationssystem 100 Sprache und Daten von/an mindestens einem/ein ME 103 an/von das/dem Internet 140 und/oder PSTN 150 über die Schnittstellen 105, 125 und 127 übertragen. Das UTRAN 120 kann eine oder mehrere Funknetzsteuerungen (RNC) 170 und Netzknoten 160, zum Beispiel den Knoten-B aufweisen. Gemäß einigen Ausführungsbeispielen der vorliegenden Erfindung kann die RNC 170 Daten, die zwischen Netzelementen ausgetauscht werden, verwalten und/oder signalisieren, wobei die Daten durch die Schnittstellen 105, 125 und 127 in Form von Daten-Frames gesendet werden können. Darüber hinaus kann die RNC 170 Sprach- und Datennachrichten authentifizieren und die authentifizierten Sprach- und Datennachrichten, falls gewünscht, auf eine Transportschicht, zum Beispiel eine unterste Schicht einer Transportschicht eines Kommunikationskanals übertragen.
  • Gemäß einigen Ausführungsformen der Erfindung kann das ME 103 authentifizierte Nachrichten von den zellularen Kommunikationssystemeinheiten empfangen. Darüber hinaus können manche MEs die authentifizierten Nachrichten deauthentifizieren und manche andere MEs können die authentifizierten Nachrichten nicht deauthentifizieren.
  • Gemäß Ausführungsformen der Erfindung kann die Transportschicht die unterste Schicht des Kommunikationskanals sein. Die Nachrichten können durch Transportschichtprotokolle wie zum Beispiel den asynchronen Transfermodus (ATM), Internetprotokoll (IP) oder dergleichen übertragen werden.
  • Gemäß einigen Ausführungsformen der vorliegenden Erfindung kann ein Nachrichtenauthentifizierungscode (MAC) über die Transportschicht (zum Beispiel unterste Kommunikationsschicht) übertragen werden und benutzt werden, um Nachrichten von höheren Kommunikationsschichten zu authentifizieren. Netzknoten und/oder andere Kommunikationssystemeinheiten können zur Authentifizierung von Nachrichten höherer Schichten Authentifizierungsschlüssel bereitstellen, wenngleich der Schutzbereich der vorliegenden Erfindung in dieser Hinsicht nicht eingeschränkt ist.
  • Mit Bezug auf 2 ist eine Darstellung eines schematischen Blockdiagramms eines Netzprozessors 200 gemäß einigen Ausführungsbeispielen der Erfindung dargestellt. Wenngleich der Schutzbereich der vorliegenden Erfindung in dieser Hinsicht nicht eingeschränkt ist, kann der Netzprozessor 200 mit den Kommunikationskanälen 280 und 290 betrieblich verbunden sein. Der Kommunikations-(COMM)Kanal 280 kann eine oder mehrere Kommunikationsschichten 285 aufweisen. Der Kommunikationskanal 290 kann eine oder mehrere Kommunikationsschichten aufweisen und eine Transport-(TR)Schicht 295 kann die unterste Schicht des Kommunikationskanals 290 sein.
  • Gemäß diesem Ausführungsbeispiel der vorliegenden Erfindung kann der Netzprozessor 200 einen Authentifikator 210 aufweisen, um Sprach- und/oder Datennachrichten, die von einer oder mehreren Kommunikationsschichten 285 empfangen werden, zu authentifizieren. Der Authentifikator 210 kann dem Sender (TX) 230 authentifizierte Nachrichten, zum Beispiel eine Nachricht 220 liefern. Der TX 230 kann die authentifizierten Nachrichten an die Transportschicht 295 des Kommunikationskanals 290 übertragen, falls gewünscht. Ein Schlüsselgenerator 240 kann dem Authentifikator 210 einen Schlüssel bereitstellen. Der Authentifikator 210 kann mindestens einem Frame von Nachricht 220 gemäß dem Schlüssel einen Nachrichtenauthentifizierungscode (MAC) zuführen. Man muß verstehen, daß der Authentifikator 210 zur Authentifizierung von Nachricht 220 jeden beliebigen MAC benutzen kann, der im Stand der Technik bekannt ist.
  • Wenngleich der Schutzbereich der vorliegenden Erfindung in dieser Hinsicht nicht eingeschränkt ist, kann der Netzprozessor 200 einen Empfänger (RX) 250 aufweisen, der eine authentifizierte Nachricht von der Transportschicht 295 empfangen kann. Ein Deauthentifikator 260 kann die authentifizierte Nachricht gemäß Schlüssel 265 deauthentifizieren, falls gewünscht. Der Deauthentifikator 260 kann der Kommunikationsschicht 285 deauthentifizierte Nachrichten, zum Beispiel eine deauthentifizierte Nachricht 270 zuführen.
  • Wenngleich der Schutzbereich der vorliegenden Erfindung in dieser Hinsicht nicht eingeschränkt ist, wird man verstehen, daß bei einigen Ausführungsformen der Erfindung eine RNC (zum Beispiel RNC 170 aus 1) einen Netzprozessor 200 aufweisen kann. Zum Beispiel kann die RNC eine Verschlüsselungs-/Entschlüsselungseinheit (nicht dargestellt) aufweisen, um Sprach- und Datennachrichten zu verschlüsseln. Außerdem muß man verstehen, daß Funktionen des Netzprozessors 200 durch Hardware, durch Software oder jede beliebige Kombination von Hardware und/oder Software umgesetzt sein können. Darüber hinaus kann in Ausführungsformen der Erfindung der Netzprozessor 200, falls gewünscht, in einen oder mehrere Netzknoten oder beliebige anderen Netzeinheiten eingebettet sein kann.
  • Mit Bezug auf 3 ist ein konzeptuelles Diagramm des Frames 300 einer Nachricht dargestellt, das für die Beschreibung eines Verfahrens zur Authentifizierung gemäß mindestens einem Ausführungsbeispiel der Erfindung hilfreich ist. Gemäß einem Ausführungsbeispiel der Erfindung kann der Frame 300 ein Frame eines GPRS-Tunneling-Protokoll-Benutzers (GPT-U) sein und kann von einer PST-Schnittstelle (zum Beispiel PST-Schnittstelle 125 aus 1) transportiert werden. Zum Beispiel kann der Frame 300 einen GTP-U-Header 310, ein MAC-Header-Typ 320, eine MAC-Header-Länge 330, ein MAC 340, ein Header-Typ 350 und ein Datenpaket 360 sein.
  • Gemäß einigen Ausführungsformen der Erfindung können Vorrichtungen, die MAC unterstützen, den Frame 300 empfangen und das Datenpaket 360 gemäß MAC 340 authentifizieren. Vorrichtungen, die MAC nicht unterstützen, können MAC-bezogene Felder von Frame 300 ignorieren, falls gewünscht. Gemäß einigen Ausführungsformen der Erfindung kann der MAC 340 jeden beliebigen Authentifizierungs- und Integritätsschutzalgorithmus aufweisen, wie zum Beispiel Kasumi f9, Keyed-Hashing für Nachrichtenauthentifizierungscode-Message Digest Version 5 (HMAC-MD5), HMAC-Secured Hash Algorithm(HMAC-SHA) oder dergleichen.
  • Gemäß einigen Ausführungsformen der Erfindung kann ein Netzknoten (zum Beispiel Knoten-B aus 1) und/oder eine RNC (zum Beispiel RNC 170 aus 1) einen Authentifizierungsschlüssel und/oder Satz von Schlüsseln benutzen, um einen MAC für eine übertragene Nachricht zu erzeugen, und kann, falls gewünscht, einen MAC in Nachrichten verifizieren, die von anderen Netzelementen empfangen werden. Wenn die MAC-Verifizierung zum Beispiel fehlschlägt, kann der gegenwärtig verifizierte Frame (zum Beispiel Frame 300) als unauthentifiziert und/oder modifiziert erachtet werden und kann nicht weiter verarbeitet werden.
  • Mit Bezug auf 4 ist ein konzeptuelles Diagramm eines Frames 400 einer Nachricht dargestellt, das für die Beschreibung eines Verfahrens zur Authentifizierung gemäß mindestens einem anderen Ausführungsbeispiel der Erfindung hilfreich ist. Wenngleich der Umfang der vorliegenden Erfindung in dieser Hinsicht nicht eingeschränkt ist, kann der Frame 400 über eine CST-Schnittstelle (zum Beispiel CST-Schnittstelle 127 aus 1) benutzt werden und kann, falls gewünscht, das UTRAN-Benutzerprotokoll (UP) tragen. Gemäß diesem Ausführungsbeispiel der Erfindung kann der Frame 400 einen Frame-Steuerungsteil 410, einen Frame-Prüfsummenteil 420, Frame-Nutzdatenfelder 430 und einen MAC 440 aufweisen.
  • Gemäß dieser Ausführungsform der Erfindung können Netzknoten (zum Beispiel Knoten-B 160 aus 1), die MAC nicht unterstützen, den MAC 440 von Frames 400 ignorieren. Im Gegensatz dazu können Netzknoten, die MAC unterstützen, den MAC 440 benutzen, um Felder (zum Beispiel alle Felder) von Frames 400 zu authentifizieren, zum Beispiel einschließlich des Headers, wenngleich der Schutzbereich der vorliegenden Erfindung in dieser Hinsicht nicht eingeschränkt ist.
  • Wenngleich bestimmte Merkmale der Erfindung hierin dargestellt und beschrieben worden sind, werden für den Fachmann viele Modifikationen, Ersetzungen, Änderungen und Äquivalente ersichtlich sein. Man muß folglich verstehen, daß die beiliegenden Ansprüche all solche Modifikationen und Änderungen abdecken sollen und innerhalb des wahren Wesens der Erfindung fallen.
  • Zusammenfassung
  • Kurz gefaßt ein Verfahren und eine Vorrichtung zum Authentifizieren von Nachrichten gemäß einem Nachrichtauthentifizierungscode, der mit einem Frame über eine Transportschicht eines Kommunikationskanals bereitgestellt wird.

Claims (20)

  1. Vorrichtung, umfassend: einen Authentifikator, um einer Header-Erweiterung eines Frames einen Nachrichtenauthentifizierungscode bereitzustellen; und einen Sender, um eine Nachricht, die den Frame aufweist, auf einer Transportschicht eines Kommunikationskanals zu übertragen.
  2. Vorrichtung nach Anspruch 1, umfassend: einen Authentifizierungsschlüsselgenerator, um einen Authentifizierungsschlüssel bereitzustellen, wobei der Authentifikator eine Nachricht gemäß dem Authentifizierungsschlüssel authentifizieren kann.
  3. Vorrichtung nach Anspruch 1, wobei die Nachricht ein authentifiziertes Datenpaket umfaßt.
  4. Vorrichtung nach Anspruch 1, wobei der Sender Nachrichten auf einer oder mehreren Schichten übertragen kann, die höher als die Transportschicht sind, und wobei der Authentifikator Nachrichten, die über die Transportschicht empfangen werden, gemäß dem Nachrichtenauthentifizierungscode authentifizieren kann.
  5. Vorrichtung nach Anspruch 1, wobei der Authentifikator den Frame mit Folgendem bereitstellen kann: einem Nachrichtenauthentifizierungscode-Header-Typ; einer Nachrichtenauthentifizierungscode-Header-Länge; und dem Nachrichtenauthentifizierungscode.
  6. Vorrichtung nach Anspruch 1, wobei die Vorrichtung ein Netzprozessor ist.
  7. Verfahren, umfassend: Authentifizieren einer Nachricht gemäß einem Nachrichtenauthentifizierungscode, der mit einer Header-Erweiterung eines Frames der Nachricht empfangen wird; und Übertragen der authentifizierten Nachricht über eine Transportschicht eines Kommunikationskanals.
  8. Verfahren nach Anspruch 7, wobei das Authentifizieren Folgendes umfaßt: Authentifizieren der Nachricht gemäß einem Authentifizierungsschlüssel.
  9. Verfahren nach Anspruch 7, ferner umfassend: Authentifizieren anderer Nachrichten gemäß dem Nachrichtenauthentifizierungscode der authentifizierten Nachricht; und Übertragen der anderen Nachrichten in einer oder mehreren Schichten, die höher als die Transportschicht sind.
  10. Zellulares Kommunikationssystem, umfassend: eine Funknetzsteuerung mit einem Netzprozessor, wobei der Netzprozessor Folgendes umfaßt: einen Authentifikator, um einer Header-Erweiterung eines Frames einen Nachrichtenauthentifizierungscode bereitzustellen; und einen Sender, um eine Nachricht, die den Frame aufweist, auf einer Transportschicht eines Kommunikationskanals zu übertragen.
  11. Zellulares Kommunikationssystem nach Anspruch 10, wobei der Netzprozessor Folgendes umfaßt: einen Authentifizierungsschlüsselgenerator, um einen Authentifizierungsschlüssel bereitzustellen, wobei der Authentifikator eine Nachricht gemäß dem Authentifizierungsschlüssel authentifizieren kann.
  12. Zellulares Kommunikationssystem nach Anspruch 10, wobei die Nachricht ein authentifiziertes Datenpaket umfaßt.
  13. Zellulares Kommunikationssystem nach Anspruch 10, wobei der Sender Nachrichten auf einer oder mehreren Schichten übertragen kann, die höher als die Transportschicht sind, und wobei der Authentifikator Nachrichten, die über die Transportschicht empfangen werden, gemäß dem Nachrichtenauthentifizierungscode authentifizieren kann.
  14. Zellulares Kommunikationssystem nach Anspruch 10, wobei der Authentifikator den Frame mit Folgendem bereitstellen kann: einem Nachrichtenauthentifizierungscode-Header-Typ; einer Nachrichtenauthentifizierungscode-Header-Länge; und dem Nachrichtenauthentifizierungscode.
  15. Zellulares Kommunikationssystem nach Anspruch 10, umfassend: ein mobiles Gerät, das die authentifizierte Nachricht empfangen kann.
  16. Zellulares Kommunikationssystem nach Anspruch 10, umfassend: eine Schnittstelle, die zwischen einer oder mehreren Einheiten des zellularen Kommunikationssystems verbunden werden kann.
  17. Funknetzsteuerung, umfassend: einen Netzprozessor, der einen Authentifikator aufweist, um einer Header-Erweiterung eines Frames einen Nachrichtenauthentifizierungscode bereitzustellen, und einen Sender, um eine Nachricht, die den Frame aufweist, auf einer Transportschicht eines Kommunikationskanals zu übertragen.
  18. Funknetzsteuerung nach Anspruch 17, wobei der Netzprozessor Folgendes umfaßt: einen Authentifizierungsschlüsselgenerator, um einen Authentifizierungsschlüssel bereitzustellen, wobei der Authentifikator eine authentifizierte Nachricht gemäß dem Authentifizierungsschlüssel bereitstellen kann.
  19. Funknetzsteuerung nach Anspruch 17, wobei der Sender Nachrichten auf einer oder mehreren Schichten übertragen kann, die höher als die Transportschicht sind, und wobei der Authentifikator Nachrichten, die über die Transportschicht empfangen werden, gemäß dem Nachrichtenauthentifizierungscode authentifizieren kann.
  20. Funknetzsteuerung nach Anspruch 17, wobei der Authentifikator den Frame mit Folgendem bereitstellen kann: einem Nachrichtenauthentifizierungscode-Header-Typ; einer Nachrichtenauthentifizierungscode-Header-Länge; und dem Nachrichtenauthentifizierungscode.
DE112006001707T 2005-06-28 2006-06-28 Verfahren und Vorrichtung zur Bereitstellung von Authentifizierungscode Withdrawn DE112006001707T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/167,125 2005-06-28
US11/167,125 US7681031B2 (en) 2005-06-28 2005-06-28 Method and apparatus to provide authentication code
PCT/US2006/025914 WO2007002936A1 (en) 2005-06-28 2006-06-28 Method and apparatus to provide authentication code

Publications (1)

Publication Number Publication Date
DE112006001707T5 true DE112006001707T5 (de) 2008-05-15

Family

ID=37072952

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112006001707T Withdrawn DE112006001707T5 (de) 2005-06-28 2006-06-28 Verfahren und Vorrichtung zur Bereitstellung von Authentifizierungscode

Country Status (5)

Country Link
US (1) US7681031B2 (de)
CN (1) CN101199184B (de)
DE (1) DE112006001707T5 (de)
GB (1) GB2439893B (de)
WO (1) WO2007002936A1 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7869590B2 (en) * 2005-04-12 2011-01-11 Broadcom Corporation Method and system for hardware accelerator for implementing f9 integrity algorithm in WCDMA compliant handsets
US7752449B1 (en) * 2006-02-22 2010-07-06 Avaya, Inc. System and method for generating a non-repudiatable record of a data stream
TWI481263B (zh) * 2006-10-20 2015-04-11 Interdigital Tech Corp Lte增強b節點自行配置方法及裝置
TWI493952B (zh) 2006-12-27 2015-07-21 Signal Trust For Wireless Innovation 基地台自行配置方法及裝置
CN102105883A (zh) * 2008-06-23 2011-06-22 Nxp股份有限公司 电子装置以及电子装置的软件或固件更新的方法
CN112203281B (zh) * 2017-06-15 2023-07-21 维沃移动通信有限公司 一种数据无线承载完整性保护配置方法、终端及网络设备
CN113366800A (zh) * 2019-01-29 2021-09-07 谷歌有限责任公司 用具有不同长度的消息认证码的完整性保护

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7174452B2 (en) * 2001-01-24 2007-02-06 Broadcom Corporation Method for processing multiple security policies applied to a data packet structure
GB0004178D0 (en) 2000-02-22 2000-04-12 Nokia Networks Oy Integrity check in a communication system
CN100373845C (zh) * 2002-05-02 2008-03-05 中兴通讯股份有限公司 一种在会话发起协议网络中对终端进行认证及鉴权的方法
WO2009018512A1 (en) * 2007-08-02 2009-02-05 Imagineer Software, Inc. Systems and methods for implementing a mutating transport layer security protocol

Also Published As

Publication number Publication date
CN101199184A (zh) 2008-06-11
CN101199184B (zh) 2015-12-02
US7681031B2 (en) 2010-03-16
GB2439893A (en) 2008-01-09
GB2439893B (en) 2010-12-08
GB0721289D0 (en) 2007-12-12
US20060294361A1 (en) 2006-12-28
WO2007002936A1 (en) 2007-01-04

Similar Documents

Publication Publication Date Title
DE60209475T2 (de) Datensicherungs-kommunikationsvorrichtung und -verfahren
DE60207869T2 (de) Verfahren und system zum verarbeiten von informationen in einem elektronischen gerät
DE60126236T2 (de) Verfahren zum Ermöglichen der Prüfung und Fehlerbeseitigung von Software an einem mobilen Kommunikationsgerät in einem sicheren Umfeld
DE102017212994B3 (de) INSTALLATION UND TESTEN EINES ELEKTRONISCHEN TEILNEHMERIDENTITÄTSMODULS (eSIM)
DE69433771T2 (de) Verfahren und Vorrichtung zur Geheimhaltung und Authentifizierung in einem mobilen drahtlosen Netz
DE602004000695T2 (de) Erzeugung von asymmetrischen Schlüsseln in einem Telekommunicationssystem
DE60035953T2 (de) Wiederverwendung von sicherheitsbeziehungen zur verbesserung der durchführung eines handovers
DE69826609T2 (de) Verfahren und Vorrichtung zum Aufbau einer authentifizierten und sicheren Kommunikationssession über ein drahtloses Datennetzwerk
DE60209379T2 (de) Techniken zur abladung kryptographischer verarbeitung für mehrfachnetzwerkverkehrsströme
DE112006001707T5 (de) Verfahren und Vorrichtung zur Bereitstellung von Authentifizierungscode
EP1080557B1 (de) Verfahren und anordnung zum rechnergestützten austausch kryptographischer schlüssel zwischen einer ersten computereinheit und einer zweiten computereinheit
JP2010505284A (ja) 入れ子状のインターネットプロトコルセキュリティトンネルを処理するための方法およびネットワーク装置
CN110224976B (zh) 一种加密通信方法、装置及计算机可读存储介质
DE60013099T2 (de) Funkkommunikationsgerät
US20090320104A1 (en) Communications Network with Smart Card
DE102004004799B4 (de) Hardware/Software-Partitionierung für verschlüsselte WLAN-Verbindungen
CN106302422A (zh) 业务加密、解密方法和装置
US7904717B2 (en) Method, apparatus, and manufacture for decryption of network traffic in a secure session
EP3759958B1 (de) Verfahren, vorrichtung und computerprogrammprodukt zur überwachung einer verschlüsselten verbindung in einem netzwerk
EP0923826B1 (de) Anordnung und verfahren zur kryptographischen bearbeitung eines digitalen datenstroms, der eine beliebige anzahl von daten aufweist
CN114785524A (zh) 电子印章生成方法、装置、设备和介质
EP3556071B1 (de) Verfahren, vorrichtung und computerlesbares speichermedium mit instruktionen zum signieren von messwerten eines sensors
EP1240794A1 (de) Verfahren zur verschlüsselung von daten und telekommunikationsendgerät und zugangsberechtigungskarte
CN111356178B (zh) 一种传输方法、发送端pdcp实体和接收端pdcp实体
EP2528364B1 (de) Verfahren und Vorrichtung zum Bereitstellen einer Identifikationskennung eines elektronischen Endgeräts

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee