JP2008236754A - 移動通信ネットワークと移動通信ネットワークにおける移動ノードの認証を遂行する方法及び装置 - Google Patents
移動通信ネットワークと移動通信ネットワークにおける移動ノードの認証を遂行する方法及び装置 Download PDFInfo
- Publication number
- JP2008236754A JP2008236754A JP2008072448A JP2008072448A JP2008236754A JP 2008236754 A JP2008236754 A JP 2008236754A JP 2008072448 A JP2008072448 A JP 2008072448A JP 2008072448 A JP2008072448 A JP 2008072448A JP 2008236754 A JP2008236754 A JP 2008236754A
- Authority
- JP
- Japan
- Prior art keywords
- key
- srnc
- mobile station
- base station
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/14—Backbone network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/04—Interfaces between hierarchically different network devices
- H04W92/14—Interfaces between hierarchically different network devices between access point controllers and backbone network device
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】移動通信システムの初期呼の設定過程で機器認証及びユーザー認証を効率的に遂行する方法及びその移動通信ネットワークを提供する。
【解決手段】本方法は、SRNCと移動局との間に接続を確立する段階と、基地局によってEAP認証がトリガされると、移動局の機器認証のためのD−MSKを、EAP折衝を完了した認証サーバからSRNCに受信して格納する段階と、移動局のユーザー認証のために認証サーバから受信したU−MSKを用いてアクセスゲートウェイで生成されたR−MSKをSRNCに受信して格納する段階と、D−MSK及びR−MSKのうち少なくとも一つを用いてPMKを生成する段階と、PMKを用いてデータ暗号化、データインテグリティ検査、及びセッション管理のうち少なくとも一つに使用するキーセットをSRNC及び基地局のうちいずれか一つによって生成する段階とを有する。
【選択図】図2B
【解決手段】本方法は、SRNCと移動局との間に接続を確立する段階と、基地局によってEAP認証がトリガされると、移動局の機器認証のためのD−MSKを、EAP折衝を完了した認証サーバからSRNCに受信して格納する段階と、移動局のユーザー認証のために認証サーバから受信したU−MSKを用いてアクセスゲートウェイで生成されたR−MSKをSRNCに受信して格納する段階と、D−MSK及びR−MSKのうち少なくとも一つを用いてPMKを生成する段階と、PMKを用いてデータ暗号化、データインテグリティ検査、及びセッション管理のうち少なくとも一つに使用するキーセットをSRNC及び基地局のうちいずれか一つによって生成する段階とを有する。
【選択図】図2B
Description
本発明は移動通信システムに関するもので、特に移動通信ネットワークにおける移動ノードの認証(authentication)及び認可(authorization)を提供する方法及びその移動通信ネットワークに関するものである。
3GPP2(3rd Generation Partnership Project 2)CDMA(Code Division Multiple Access)1x及びEV−DO(Evolution Data Only)のような移動通信システムにおいて、多くの無線関連資源の管理を基地局(Base Station:以下“BS”とする)が担当し、コアネットワーク(core network)内のネットワークエンティティ(network entity)であるパケットデータサービスノード(Packet Data Serving Node:以下、“PDSN”とする)でパケットデータの通信に関連した手順を遂行する。
この移動通信システムは、ポイントツーポイントプロトコル(Point to Point Protocol:以下、“PPP”とする)を通じて動作するため、PPPの上位で動作可能なフレームワーク(framework)である、CHAP(Challenge Handshake Authentication Protocol)又はパスワード認証プロトコル(Password Authentication Protocol:以下、“PAP”とする)がユーザー認証(user authentication)又は機器(device)認証のために使われた。しかしながら、これら認証方法は、より多くのデータをより速い速度で送信するために3GPP2によって改善されたUMB(Ultra Mobile Broadband)システムには不適合である。したがって、UMBをより効率的にサポートできる認証及びセキュリティ(security)方案が論議される必要がある。
1xEV−DOシステムで使われた従来の認証及びセキュリティ技術は、チャンネルハイジャッキング(channel hijacking)を完全に遮断せず、通信に対する正当なコスト支払いなしでサービスの盗用を可能にするなどの問題点を有する。また、従来のシステムでは、無線周波数(Radio Frequency:以下、“RF”とする)レベルだけでなくプロトコルレベルでメッセージ攻撃によるサービス拒否(denial of service)に脆弱であるという問題点もある。したがって、より安全な通信が可能なシステム及び通信ネットワークが求められる。
韓国特許出願公開第2006−0042045号明細書
したがって、上記した従来技術の問題点を解決するために、本発明の目的は、移動通信システムの初期呼の設定過程で機器認証及びユーザー認証を効率的に遂行する方法及びその移動通信ネットワークを提供することにある。
また、本発明の目的は、移動通信ネットワークにおいて、PPPフリー(PPP-free)に基づいてEAP(Extensible Authentication Protocol)を用いて認証及びセキュリティを遂行する方法及びその移動通信ネットワークを提供することにある。
さらに、本発明の目的は、3GPP2 UMBのように進化した移動通信システムにおいて、移動ノードのシグナリング制御を担当するネットワークノードが論理的又は物理的に分離された場合にも機器認証及びユーザー認証をより安全で効率的に遂行するための方法及びその移動通信ネットワークを提供することにある。
また、本発明の目的は、移動通信ネットワークにおいて、PPPフリー(PPP-free)に基づいてEAP(Extensible Authentication Protocol)を用いて認証及びセキュリティを遂行する方法及びその移動通信ネットワークを提供することにある。
さらに、本発明の目的は、3GPP2 UMBのように進化した移動通信システムにおいて、移動ノードのシグナリング制御を担当するネットワークノードが論理的又は物理的に分離された場合にも機器認証及びユーザー認証をより安全で効率的に遂行するための方法及びその移動通信ネットワークを提供することにある。
上記のような目的を達成するために、本発明の一態様は、移動通信ネットワークにおける移動局(MS)の機器認証及びユーザー認証を遂行するための方法であって、移動局の通信を制御するシグナリング無線網制御器(SRNC)と移動局との間に基地局(BS)を通じて接続を確立する段階と、接続が確立された後に、基地局によってEAP(Extensible Authentication Protocol)認証がトリガされると、移動局の機器認証のための機器マスターセッションキー(D−MSK)を、移動局とのEAP折衝を完了した認証、認可、及び課金(AAA)サーバからSRNCによって受信して格納する段階と、接続が確立された後に、移動局のユーザー認証のためにAAAサーバから提供されたユーザーマスターセッションキー(U−MSK)を用いてアクセスゲートウェイ(AG)によって生成されたルートMSK(R−MSK)をAGからSRNCに受信して格納する段階と、D−MSK及びR−MSKのうちの少なくとも一つを用いて、セッション途中で使用するためのPMK(Pairwise Master Key)をSRNCによって生成する段階と、PMKを使用してセッション中にデータ暗号化、データインテグリティ検査、及びセッション管理のうちの少なくとも一つのために使用するためのキーセットをSRNC及び基地局のうちのいずれか一つによって生成する段階とを有することを特徴とする。
本発明の他の態様は、移動局(MS)の機器認証及びユーザー認証を遂行するための移動通信ネットワークであって、無線リンクプロトコル(RLP)によって移動局に接続される基地局(BS)と、基地局を通じて前記移動局との間に接続を確立した後に、基地局がEAP認証をトリガすると、移動局の機器認証のための機器マスターセッションキー(D−MSK)を、MSとのEAP折衝を完了した認証、認可、及び課金(AAA)サーバから受信して格納し、移動局のユーザー認証のためにAAAサーバから受信したユーザーマスターセッションキー(U−MSK)を用いてアクセスゲートウェイ(AG)によって生成されたルートMSK(R−MSK)をAGから受信して格納し、D−MSK及びR−MSKのうちの少なくとも一つを用いて、セッション中に使用するためのPMK(Pairwise Master Key)を生成するシグナリング無線網制御器(SRNC)とから構成され、PMKを用いて前記セッション中にデータ暗号化、データインテグリティ検査、及びセッション管理のうちの少なくとも一つのために使用するためのキーセットが、SRNC及び基地局のうちのいずれか一つによって生成されることを特徴とする。
本発明は、3GPP2の次世代進化技術であるUMBネットワークにおいて、認証及びセキュリティを提供する効果を有する。すなわち、本発明は、3GPP2 1xEV−DOにおける認証及びセキュリティ上の問題点、すなわちチャンネルハイジャッキングが容易であり、正当なコスト支払いなしでサービスを用いることが可能なセキュリティ上の問題点を解消し、かつRFレベルだけでなくプロトコルレベルでメッセージ攻撃によるサービス拒否をより安全に防止する。
また、本発明は、機器認証及びユーザー認証をより安全に遂行して通信を効率的に遂行可能であり、PPPフリー環境でも認証を効率的に遂行する効果がある。
また、本発明は、機器認証及びユーザー認証をより安全に遂行して通信を効率的に遂行可能であり、PPPフリー環境でも認証を効率的に遂行する効果がある。
以下、本発明の好ましい実施形態を添付の図面を参照して詳細に説明する。
下記の図面の説明において、同一の構成要素はできるだけ同一の参照番号及び参照符号を付して示す。また、本発明に関連した公知の機能又は構成に関する具体的な説明が本発明の要旨を不明にすると判断された場合に、その詳細な説明を省略する。
本発明の好ましい実施形態は、移動通信ネットワークのための認証、認可(authorization)及びセキュリティ技術を提供する。本発明は、3GPP2に基づいたUMBシステムについて説明するが、本発明による移動通信ネットワークのための認証及びセキュリティ方法は、類似した技術的背景及びチャンネル構造を有するその他の移動通信システムでも、本発明の範囲及び思想を逸脱しない範囲内で変形が可能であることは、この技術分野に熟練した者には明らかである。
下記の図面の説明において、同一の構成要素はできるだけ同一の参照番号及び参照符号を付して示す。また、本発明に関連した公知の機能又は構成に関する具体的な説明が本発明の要旨を不明にすると判断された場合に、その詳細な説明を省略する。
本発明の好ましい実施形態は、移動通信ネットワークのための認証、認可(authorization)及びセキュリティ技術を提供する。本発明は、3GPP2に基づいたUMBシステムについて説明するが、本発明による移動通信ネットワークのための認証及びセキュリティ方法は、類似した技術的背景及びチャンネル構造を有するその他の移動通信システムでも、本発明の範囲及び思想を逸脱しない範囲内で変形が可能であることは、この技術分野に熟練した者には明らかである。
図1は、本発明の実施形態による移動通信ネットワーク環境を示すブロック構成図である。移動通信ネットワークは、例えば3GPP2 UMBシステムのネットワークである。
図1を参照すると、BS(Base Station)105は、それぞれのサービス領域であるセル内に位置する移動局(Mobile Station:以下、“MS”とする)(図示せず)と無線接続を確立し、その無線接続を通じてMSと通信を遂行する。MSがアイドル(idle)モードである場合に、SRNC(Signaling Radio Network controller)104は、BS105を通じてMSのシグナリングを制御する。BS105は、アクセスゲートウェイ(Access Gateway:以下、“AG”とする)103を通じてインターネットのようなパケットデータネットワークにMSを接続させる。図1に、パケットデータネットワークの主要なネットワークエンティティとしてホームエージェント(Home Agent:以下、“HA”とする)102と認証、認可、及び課金(Authentication、Authorization and Accounting:以下、“AAA”と称する)サーバ101とを示す。後述のように、MSの機器認証のための認証部(authenticator)がSRNC104に位置する場合に、AAAサーバ101とのインターフェースを有するSNRC104は、機器認証のために使用される。
BS105とSRNC104との間及びAG103とSRNC104との間にはアイドル状態であるMSの移動性を管理するためのインターフェースが存在し、AG103とBS105との間にはデータ経路が存在する。移動局の認証のために、SRNC104には機器認証のための認証部(図示せず)が、AG103にはユーザー認証のための認証部(図示せず)が、各々提供される。このような認証を遂行するために、ここではAG103及びSRNC104が一つの物理的エンティティで実現される場合について説明するが、SRNC104が単独の物理的なエンティティで構成される場合でも、AG103とSRNC104との間に適切なインターフェースが提供されていれば、上記の場合と同一に動作する。
図2A及び図2Bは、本発明の実施形態によるSRNCの動作を示すフローチャートである。ここで、点線ブロックは選択的ステップ、すなわち省略可能なステップを意味する。
図2A及び図2Bを参照すると、SRNCは、ステップ201で、コンテキスト要求(context request)又はセッションフェッチ要求(session fetch request)を含む要求メッセージをBSから受信し、コンテキスト応答メッセージ又はセッションフェッチ応答メッセージをBSに送信する。ここで、コンテキスト要求メッセージ及びセッションフェッチ要求メッセージは、通信経路の確立のためにセッション関連情報を含むコンテキストを要求する。ステップ203で、BSから認証を要求するためのAR(Authentication Relay) EAP開始メッセージを受信すると、SRNCは、ステップ205で、ネットワークアクセス識別子(Network Access Identifier:以下、“NAI”とする)を含むEAP要求メッセージがカプセル化された(capsulated)AR EAPペイロード(payload)メッセージをBSに伝送する。NAIを含むEAPメッセージは、AR EAPペイロードメッセージ内にカプセル化されている。ここで、NAIを含むEAP要求メッセージはEAP要求/IDとして表記し、IDはEAP要求メッセージの識別子フィールドを意味する。
ステップ207で、BSからカプセル化されたNAIを含むEAP応答メッセージを有するAR EAPペイロードメッセージが受信されると、SRNCは、ステップ209で、EAP認証手順を遂行するためにEAP応答メッセージを含むAAAアクセス要求メッセージをAAAサーバに伝送する。以下、NAIを含むEAP応答メッセージは、EAP応答/IDと表記する。ステップ210で、SRNCとAAAサーバとの間にEAP方式によるEAP対話(conversation)が遂行できる。EAP対話が完了すると、SRNCは、ステップ211で、AAAアクセス許可(Access Accept)メッセージによってEAP認証の成功を示すEAP成功(Success)メッセージと機器認証に関連したD−MSK(Device Master Session Key)とをAAAサーバから受信し、ステップ213に進む。EAP成功メッセージ及びD−MSKは、AAAアクセス許可メッセージ内にカプセル化(encapsulation)されている。このD−MSKは、機器認証のために使用されるマスターキーである。SRNCは、PMK(Pairwise Master Key)を生成するためにD−MSKを使用できる。
SRNCが、ステップ203で、BSからAR EAP開始メッセージを直接に受信しない場合にはステップ213に進む。ステップ213で、BSからNAIを含むEAP応答/IDで構成されたAR EAPペイロードメッセージを受信すると、SRNCは、ステップ215で、EAP応答/IDを有するAR EAPペイロードメッセージをAGに中継(relay)する。ここで、EAP応答/IDは、AGから直接受信したEAP要求/IDに応答してBSによって生成される。
SRNCは、ステップ217で、AGからEAP応答/IDに関連したEAP成功メッセージがカプセル化されたEAPペイロードメッセージを受信する。EAP成功メッセージがカプセル化されているEAPペイロードメッセージは、AGがU−MSK(User-MSK)を用いて生成したR−MSK(Root-MSK)が含まれている。U−MSKは、ユーザー認証のために使用される。AAAサーバは、R−MSKを生成するために、長期証明書(long-term credential)に基づいてU−MSKを生成してAGに提供する。また、R−MSKは、以後PMKを生成するために使用できる。SRNCは、ステップ219で、EAP成功メッセージがカプセル化されたEAPペイロードメッセージをBSに中継する。SRNCは、ステップ221で、R−MSKを用いてPMKを生成する。PMKは、セッション途中で使用されるようにデータ暗号化関連キーを生成するため、データインテグリティ検査のために使用されるキーを生成するため、又はセッションルートキー(Session Root Key:以下、SRKとする)を生成するために使用される。他の例として、SRKは、セッション中に使用されるようにデータ暗号化関連キーを生成するため、又はデータ統合(integration)キーを生成するために使用されることができる。
本発明では、D−MSK及びU−MSKを各々機器認証及びユーザー認証のために使用する。D−MSK及びU−MSKは、長期証明書から、又は長期証明書から導かれたE−MSK(Extended MSK)から導かれる。U−MSKが使用されると、SRNCは、U−MSKから生成されたR−MSKをAGから受信し、R−MSKを用いてPMKを生成し、PMKを用いてデータ暗号化関連キーを生成する。
データ暗号化関連キーは、データ暗号化及びデータインテグリティ検査(data integrity check)のうちの少なくとも一つのために使用される。本発明では、データ暗号化関連キーを生成するための実施形態を4つの場合(case)として提示する。図2Bに、これら4つの実施形態を区分して示す。
データ暗号化関連キーは、データ暗号化及びデータインテグリティ検査(data integrity check)のうちの少なくとも一つのために使用される。本発明では、データ暗号化関連キーを生成するための実施形態を4つの場合(case)として提示する。図2Bに、これら4つの実施形態を区分して示す。
第1の場合において、SRNCは、ステップ230で、ステップ221で生成されたPMKを用いてセッション中に使用されるキーを生成するために利用されるルートキーであるSRK(Session Root Key)を生成する。SRNCは、ステップ231で、BSがキー交換(key exchange)を遂行するようにトリガリングするためのキー交換開始(key exchange start)メッセージにSRKを含んでBSに伝送する。ステップ232で、SRNCは、キー交換のための2個の臨時値(nonce)、すなわち第1及び第2の臨時値(nonce1,nonce2)をBSから受信する。SRNCは、ステップ233で、PMKを用いてデータ暗号化及びデータインテグリティ検査のために使われるキーセット(key set)を生成する。SRNCは、ステップ235で、キーセットを含むキー分配(key distribution)メッセージをBSに伝送する。これに対する応答としてステップ237でBSからセッションアップデート(Session update)メッセージを受信すると、SRNCは、ステップ239で、キーセットをMSとのデータ通信のために確立されるセッション中に使用可能なように格納する。
第2の場合において、SRNCは、ステップ241で、キー交換のための第1の臨時値を生成し、BSにこの臨時値を含むキー要求メッセージを伝送する。キー要求メッセージは、BSによってMSに中継される。SRNCは、ステップ243で、BSから第1の臨時値に対応して生成された第2の臨時値を含むキー応答メッセージを受信し、ステップ245で、キー交換が完了したことを表すためのキー完了メッセージをBSに伝送する。SRNCは、ステップ247で、ステップ221で生成されたPMKを用いてデータ暗号化及びデータインテグリティ検査のために使用されるキーセットを生成する。SRNCは、ステップ249で、キーセットが含まれるキー分配メッセージをBSに伝送する。ステップ251で、キー分配メッセージに応答してBSからセッションアップデートメッセージを受信すると、SRNCは、ステップ253でキーセットを格納する。
第3の場合において、SRNCは、ステップ255で、ステップ221で生成されたPMKをBSに伝送し、ステップ257でBSからデータ暗号化及びデータインテグリティ検査のために使用するためのキーセットを受信する。すなわち、SRNCがキーセットを生成するのではなく、BSがPMKを用いてキーセットを生成してSRNCに提供する。SRNCは、ステップ259で、MSとのデータ通信においてデータ暗号化及びデータインテグリティ検査のために使用可能なようにキーセットを格納する。
第4の場合において、SRNCは、ステップ261で、ステップ221で生成されたPMKを用いてSRKを生成する。SRNCは、ステップ263でBSにSRKを伝送する。すると、BSがSRKを用いてキーセットを生成する。SRNCは、ステップ265で、BSからキーセットを受信し、ステップ267でキーセットを格納する。
全体的に、本発明は、(1)接続設定及びセッション折衝(session negotiation)に関連した手順、(2)機器認証手順、(3)ユーザー認証手順、(4)データ暗号化及びデータインテグリティ検査に関連したキーセットの生成、セッションアップデート、及びキーを格納するための手順、(5)データ経路設定(bearer setup)に関連した手順、及び(6)IPアドレス割り当てのために単純(simple)IPを使用する場合に、DHCP関連手順を提供する。以下に、手順(1),(2)は図3を参照して、手順(3)は図4を参照して、手順(4),(5),(6)は、4つの実施形態に分けて図5〜図8を参照して、各々説明する。これら本発明の4つの実施形態は、PMKを直接に使用するか、又はPMKから導かれたSRKを使用するかによって、かつPMK又はSRKを用いてSRNC又はBSがデータ暗号化及びデータインテグリティ検査に関連したキーを生成するかによって区分される。
図3は、本発明の実施形態による接続及び機器認証手順に対するメッセージの流れを示す。ここで、機器認証はSRNCで遂行されることで、選択的(optional)に遂行される。すなわち、機器認証及びユーザー認証は、サービス供給者の決定により独立的に遂行されるが、機器認証とユーザー認証とが共に遂行される場合にはユーザー認証のために使用されるMSKを全体認証のルートキーとして使用する。一方、SRNCがAG内に構成される場合には、論理的にはSRNCの機器認証とAGの機器認証とは同一の手順で遂行される。
図3を参照すると、ステップ301で、MSから接続要求メッセージ、例えば経路要求(route request)メッセージを受信すると、BSは、ステップ303でセッションを要求するためにコンテキスト要求メッセージをSRNCに伝送する。コンテキスト要求メッセージに応答して、ステップ305で、SRNCがセッション情報を含むコンテキスト応答メッセージをBSに伝送すると、BSは、ステップ307でMSの接続要求に対する接続応答メッセージを伝送する。すると、セッション折衝及び構成がステップ308で遂行される。
接続設定及びセッション折衝が完了した後に、機器認証がステップ309〜329で遂行される。ステップ309で、BSは、AR EAP開始メッセージをSRNCに伝送する。これは、SRNCがEAP要求メッセージを伝送することをトリガ(trigger)するためである。SRNCが、ステップ311で、カプセル化されたEAP要求/IDを有するAR EAPペイロードメッセージをBSに伝送する場合に、BSは、ステップ313で、無線リンクプロトコル(Radio Link Protocol:以下、“RLP”とする)によってEAP要求/IDを含むEAP要求/ID RLPメッセージをMSに伝送する。
MSが、ステップ315で、EAP要求/IDに応答してRLPによってNAIを含むEAP応答/IDで構成されたEAP応答/ID RLPメッセージをBSに伝送すると、BSは、ステップ317で、EAP応答/IDで構成されるAR EAPペイロードメッセージをSRNCに伝送する。SRNCは、ステップ319で、RADIUS(Remote Authentication Dial-In User Service)プロトコルによるアクセス要求メッセージ又はダイアメータ(Diameter)AAAプロトコルによるアクセス要求メッセージのようなAAAアクセス許可メッセージに、EAP応答/IDを含めてAAAサーバに伝送する。すると、EAP折衝は、ステップ321で、SRNCを通じてMSとAAAサーバとの間にEAP方式により遂行される。多様な手順が、ステップ321に関与するが、本発明の範囲から外れるので、ここでは、その具体的な説明を省略する。
EAP折衝が完了すると、ステップ323で、AAAサーバは、AAAアクセス許可メッセージによってEAP成功メッセージ及びD−MSKをSRNCに伝送し、SRNCは、ステップ325でAAAサーバによって生成されたD−MSKを格納する。他の実施形態として、サービス供給者の運営方針によりSRNCは、D−MSKを用いてPMKを生成して格納することができる。SRNCは、ステップ327で、EAP成功メッセージがカプセル化されているAR EAPペイロードメッセージをBSに伝送する。EAP成功メッセージは、ステップ329で、RLPメッセージによってBSからMSに伝送される。
図4は、本発明の実施形態によるユーザー認証手順に対するメッセージの流れを示す。
図4を参照すると、BSは、ステップ431で、AGが伝送するEAP要求メッセージをトリガするためにAR EAP開始メッセージをAGに伝送する。また、SRNCは、AR EAP開始メッセージを、BSから受信してAGに中継することができる。AGは、ステップ433で、EAP要求/IDで構成されるAR EAPペイロードメッセージをBSに伝送する。また、SRNCは、AR EAPペイロードメッセージをAGから受信してBSに中継する。ステップ435で、BSは、RLPによってEAP要求/IDを含むEAP要求/ID RLPメッセージをMSに伝送する。
図4を参照すると、BSは、ステップ431で、AGが伝送するEAP要求メッセージをトリガするためにAR EAP開始メッセージをAGに伝送する。また、SRNCは、AR EAP開始メッセージを、BSから受信してAGに中継することができる。AGは、ステップ433で、EAP要求/IDで構成されるAR EAPペイロードメッセージをBSに伝送する。また、SRNCは、AR EAPペイロードメッセージをAGから受信してBSに中継する。ステップ435で、BSは、RLPによってEAP要求/IDを含むEAP要求/ID RLPメッセージをMSに伝送する。
MSは、EAP要求/IDに応答して、ステップ437で、NAIを含むEAP応答/ID RLPメッセージをBSに伝送すると、ステップ439で、BSは、NAIを含むEAP応答/IDで構成されるAR EAPペイロードメッセージをSRNCに伝送する。SRNCは、ステップ441で、NAIを含むEAP応答/IDで構成されるAR EAPペイロードメッセージをAGに中継する。AGとSRNCとが一つの物理的エンティティで構成されると、ステップ439及び441は物理的エンティティの内部インターフェースで行われる一つのプロセスとなることができる。ステップ443で、AGは、RADIUSアクセス要求メッセージ又はダイアメータアクセス要求メッセージのようなAAAアクセス要求メッセージにNAIを含むEAP応答/IDをカプセル化してAAAサーバに伝送する。すると、EAP折衝が、ステップ445で、MSとAAAサーバとの間にEAP方式によりSRNCを通じて遂行される。
EAP折衝が完了すると、AAAサーバは、ステップ447で、AAAアクセス許可メッセージによってEAP成功メッセージ及びU−MSKをAGに伝送する。ユーザー認証及び機器認証はサービス供給者の選択によりすべて使用されるか、又はいずれか一つが使用されることができる。本発明では、機器認証以後にユーザー認証を遂行する場合に、ユーザー認証で使用されたキーを以後の手順のためのルートキーとして使用する。したがって、AGは、ステップ449で、AAAサーバから受信されたU−MSKからR−MSKを導き、ステップ451でEAP成功メッセージで構成されるAR EAPペイロードメッセージによってSRNCにR−MSKを伝送する。
SRNCは、ステップ453で、EAP成功メッセージとR−MSKで構成されるAR EAPペイロードメッセージとをBSに中継する。PMKの生成のためにU−MSKを使用する場合に、ステップ455で、SRNCは、U−MSKから生成されたR−MSKからPMKを導き、ステップ457で、EAP成功メッセージをRLPメッセージによってMSに伝送する。MSは、EAP成功メッセージから獲得したPMKをセッション中に使用するために格納する。
図5は、本発明の実施形態によるSRNCのキー生成動作に対するメッセージの流れを示す。ここでは、図2Bに示したステップ230〜239によるメッセージの流れを示す(第1の場合)。
図5を参照すると、ステップ561で、SRNCはキー交換(key exchange)、すなわち3ウェイハンドシェイク(3way handshake)が必要であることをBSに知らせる。このとき、SRNCは、3ウェイハンドシェイク検証(verification)のために使われる、PMKから生成されたキー、すなわちSRKをBSに伝送する。ここで、ステップ561は省略可能である。
BSは、ステップ563で、MSにキー要求メッセージによって第1の臨時値を伝送し、ステップ565で、MSからキー応答メッセージを通じて第1の臨時値に対応して第2の臨時値を受信する。ステップ567で、BSは、第1及び第2の臨時値が検証されたと判断して、3ウェイハンドシェイクの成功を意味するキー完了(key complete)メッセージをMSに伝送する。BSは、ステップ569で、検証された第1及び第2の臨時値をSRNCに伝送する。
ステップ571−1及び571−2で、MS及びSRNCは、ステップ455で生成されたPMK又はステップ325で生成されたPMK及び前記臨時値に基づいて、セッション中にデータ暗号化及びデータインテグリティ検査のうちの少なくとも一つに使用されるキーセットを同一のアルゴリズムによって各々生成する。ステップ573で、SRNCは、BSにキーセットを含むキー分配メッセージを伝送する。BSは、ステップ575で、SRNCにセッションアップデートメッセージを伝送して応答する。それによって、SRNCは、BSでセッション関連キーに対するアップデートが成功したことを認知し、ステップ577で、今後セッションの管理のために使用されるようにキーセットを格納する。
一方、ステップ579で、BSがAGにベアラ設定(bearer setup)のための経路設定要求メッセージを伝送すると、ステップ581で、AGは、BSに経路設定応答(path setup response)メッセージを伝送してベアラ設定のためのシグナリングを完了する。IPアドレス割り当てのために単純IP方式が使用される場合には、以後のステップ583〜589を通じてMSはAGとの間にDHCP発見(discovery)、DHCP提案(offer)、DHCP要求(request)、DHCP承認(acknowledgement)のような既知の一連のメッセージを交換することによって、DHCPを通じてMSのIPアドレスを獲得するようになる。
図6は、本発明の実施形態によるBSのキー生成動作に対するメッセージの流れを示す。ここで、図2Bに言及したステップ255〜259によるメッセージの流れを示す(第3の場合)。
図6を参照すると、ステップ661で、SRNCは、BSにステップ455又はステップ325で生成されたPMKを伝送する。BSは、ステップ663で、MSにキー要求メッセージによって第1の臨時値を伝送し、ステップ665でMSからキー応答メッセージによって第1の臨時値に対応する第2の臨時値を伝送する。ステップ667で、BSは、第1及び第2の臨時値が検証されたと判断して3ウェイハンドシェイクの成功を意味するキー完了メッセージをMSに伝送する。ステップ669−1及び669−2で、MS及びBSは、各々PMK及び臨時値に基づいてデータ暗号化及びデータインテグリティ検査のうちの少なくとも一つに使われるキーセットを同一のアルゴリズムによって生成する。このとき、MSは、長期証明書を用いてU−MSK及びD−MSKを獲得することができ、U/D−MSKを用いてPMKを獲得する。キーセットを生成した後に、BSは、ステップ670で、SRNCにキーセットを伝送する。SRNCは、ステップ671で、今後セッションの管理のために使用可能にキーセットを格納する。
一方、ステップ673で、BSがベアラ設定のための経路設定要求メッセージをAGに伝送すると、ステップ675で、AGは、経路設定応答メッセージをBSに伝送してベアラ設定のためのシグナリングを完了する。IPアドレス割り当てのために単純IP方式が使用される場合には、ステップ677〜683でMSはAGとの間にDHCP発見、DHCP提案、DHCP要求、DHCP承認のような一連のメッセージを交換することによって、DHCPによってMSのIPアドレスを獲得する。
図7は、本発明の実施形態によるSRNCのキー生成動作に対するメッセージの流れを示す。ここで、図2Bに示したステップ241〜253によるメッセージの流れを示す(第2の場合)。
図7を参照すると、SRNCは、ステップ761で、直接キー交換の検証を遂行するためにBSに第1の臨時値を含むキー要求メッセージを伝送し、BSは以後ステップ763〜768の中継役割を遂行する。すなわち、BSは、ステップ763で、MSにキー要求メッセージを中継し、ステップ765でMSから第1の臨時値に対応する第2の臨時値を含むキー応答メッセージを受信し、ステップ766で第2の臨時値を含むキー応答メッセージをSRNCに中継する。すると、ステップ767及び768で、SRNCは、3ウェイハンドシェイクの成功を意味するキー完了メッセージをMSに伝送してキー交換を完了する。
ステップ771−1及び771−2で、MS及びSRNCは、ステップ455又は325で生成されたPMK及び臨時値に基づいて、データ暗号化及びデータインテグリティ検査に使用されるキーセットを同一のアルゴリズムによって各々生成する。キーセットを生成した後、ステップ773で、SRNCは、BSにキーセットを含むキー分配メッセージを伝送する。ステップ775で、BSは、SRNCにセッションアップデートメッセージを伝送して応答する。それによって、SRNCは、今後セッションに関連した情報及びセッション関連キーに対するアップデートが成功したことを認知し、ステップ777でキーセットを格納する。
一方、ステップ779で、BSがAGにベアラ設定のための経路設定要求メッセージを伝送すると、ステップ781で、AGは、BSに経路設定応答メッセージを伝送してベアラ設定のためのシグナリングを完了する。IPアドレス割り当てのために単純IP方式が使用される場合に、MSは、DHCP発見、DHCP提案、DHCP要求、DHCP承認のような一連のメッセージをAGとの間に交換することによって、DHCPを通じてMSのIPアドレスを獲得する。
図8は、本発明の他の実施形態によるBSのキー生成動作に対するメッセージの流れを示す。ここで、図2に示したステップ261〜267によるメッセージの流れを示す(第4の場合)。
図8を参照すると、ステップ861で、SRNCは、ステップ455又はステップ325で生成したPMKからSRKを生成してBSに伝送する。ステップ863で、BSは、MSに第1の臨時値を含むキー要求メッセージを伝送し、ステップ865で第1の臨時値に対応する第2の臨時値を含むキー応答メッセージをMSから受信する。ステップ867で、BSは、3ウェイハンドシェイクが成功したことを意味するキー完了メッセージをMSに伝送する。すると、ステップ869−1及び869−2で、MS及びBSは、各々SRK及び臨時値に基づいてデータ暗号化及びデータインテグリティ検査に使用されるキーセットを同一のアルゴリズムによって生成して格納する。BSは、ステップ870で、SRNCにキーセットを伝送する。ステップ871で、SRNCは、受信されたキーセットを以後セッションの管理のために使用されるように格納する。
一方、ステップ873で、BSがAGにベアラ設定のための経路設定要求メッセージを伝送する場合に、ステップ875で、AGは、BSに経路設定応答メッセージを伝送してベアラ設定のためのシグナリングを完了する。IPアドレス割り当てのために単純IP方式が使用される場合には、ステップ877〜883でMSはAGとの間にDHCP発見、DHCP提案、DHCP要求、DHCP承認のような一連のメッセージを交換することによってDHCPを通じてMSのIPアドレスを獲得する。
以上、本発明の詳細な説明においては具体的な実施形態に関して説明したが、特許請求の範囲を外れることなく、様々な変更が可能であることは、当該技術分野における通常の知識を持つ者には明らかである。したがって、本発明の範囲は、前述の実施形態に限定されるものではなく、特許請求の範囲の記載及びこれと均等なものに基づいて定められるべきである。
101 認証、認可、及び課金サーバ
102 ホームエージェント
103 アクセスゲートウェイ
104 シグナリング無線網制御器
105 ベースステーション
102 ホームエージェント
103 アクセスゲートウェイ
104 シグナリング無線網制御器
105 ベースステーション
Claims (16)
- 移動通信ネットワークにおける移動局(MS)の機器認証及びユーザー認証を遂行するための方法であって、
移動局の通信を制御するシグナリング無線網制御器(SRNC)と前記移動局との間に基地局(BS)を通じて接続を確立する段階と、
前記接続が確立された後に、前記基地局によってEAP(Extensible Authentication Protocol)認証がトリガされると、前記移動局の機器認証のための機器マスターセッションキー(D−MSK)を、前記移動局とのEAP折衝を完了した認証、認可、及び課金(AAA)サーバから前記SRNCによって受信して格納する段階と、
前記接続が確立された後に、前記移動局のユーザー認証のために前記AAAサーバから提供されたユーザーマスターセッションキー(U−MSK)を用いてアクセスゲートウェイ(AG)によって生成されたルートMSK(R−MSK)を前記AGから前記SRNCに受信して格納する段階と、
前記D−MSK及び前記R−MSKのうちの少なくとも一つを用いて、セッション途中で使用するためのPMK(Pairwise Master Key)を前記SRNCによって生成する段階と、
前記PMKを使用して前記セッション中にデータ暗号化、データインテグリティ検査、及びセッション管理のうちの少なくとも一つのために使用するためのキーセットを前記SRNC及び前記基地局のうちのいずれか一つによって生成する段階と、
を有することを特徴とする方法。 - 前記PMKを用いて前記セッション中にデータ暗号化、データインテグリティ検査、及びセッション管理のうちの少なくとも一つのために使用するための第2のキーセットを前記移動局によって生成する段階をさらに有することを特徴とする請求項1に記載の方法。
- 前記キーセットを生成する段階は、
前記基地局によって第1の臨時値をキー要求メッセージを通じて前記移動局に伝送し、前記移動局からキー応答メッセージを通じて前記第1の臨時値に対応する第2の臨時値を受信する段階と、
前記基地局によって前記第1及び第2の臨時値が検証されたことを意味するキー完了メッセージを前記移動局に伝送し、前記第1及び第2の臨時値を前記SRNCに伝送する段階と、
前記移動局及び前記SRNCによって前記PMK及び前記臨時値に基づいて前記キーセットを各々生成する段階と、
前記SRNCによって前記基地局に前記キーセットを含むキー分配メッセージを伝送し、前記基地局からセッションアップデートメッセージを受信すると前記キーセットを格納する段階と、
を有することを特徴とする請求項1に記載の方法。 - 前記キーセットを生成する段階は、
前記SRNCによって前記PMKを前記基地局に伝送する段階と、
前記基地局によって第1の臨時値をキー要求メッセージを通じて前記移動局に伝送し、前記移動局からキー応答メッセージを通じて前記第1の臨時値に対応する第2の臨時値を受信する段階と、
前記基地局によって前記第1及び第2の臨時値が検証されたことを表すキー完了メッセージを前記移動局に伝送する段階と、
前記移動局及び前記基地局によって前記PMK及び前記臨時値に基づいて前記キーセットを生成する段階と、
前記基地局によって前記キーセットを前記SRNCに伝送し、前記SRNCによって前記キーセットを格納する段階と、
を有することを特徴とする請求項1に記載の方法。 - 前記キーセットを生成する段階は、
前記SRNCによって第1の臨時値をキー要求メッセージに含めて前記基地局を通じて前記移動局に伝送し、前記移動局からキー応答メッセージを通じて前記第1の臨時値に対応する第2の臨時値を受信する段階と、
前記SRNCによって前記第1及び第2の臨時値が検証されたことを表すキー完了メッセージを前記移動局に伝送する段階と、
前記移動局及び前記SRNCによって前記PMK及び前記臨時値に基づいて前記キーセットを各々生成する段階と、
前記SRNCによって前記基地局に前記キーセットを含むキー分配メッセージを伝送し、前記基地局からセッションアップデートメッセージを受信すると、前記キーセットを格納する段階と、
を有することを特徴とする請求項1に記載の方法。 - 前記キーセットを生成する段階は、
前記SRNCによって前記PMKを用いてセッションルートキー(SRK)を生成して前記基地局に伝送する段階と、
前記基地局によって第1の臨時値をキー要求メッセージを通じて前記移動局に伝送し、前記移動局からキー応答メッセージを通じて前記第1の臨時値に対応する第2の臨時値を受信する段階と、
前記基地局によって前記第1及び第2の臨時値が検証されたことを意味するキー完了メッセージを前記移動局に伝送する段階と、
前記移動局及び前記基地局によって前記SRK及び前記臨時値に基づいて前記キーセットを生成する段階と、
前記基地局によって前記キーセットを前記SRNCに伝送し、前記SRNCが前記キーセットを格納する段階と、
を有することを特徴とする請求項1に記載の方法。 - 前記キーセットを生成した後に、前記基地局によって前記AGにベアラ設定のための経路設定要求メッセージを伝送する段階と、
前記経路設定メッセージに応答してベアラ設定のためのシグナリングを完了し、前記AGによって前記基地局に経路設定応答メッセージを伝送する段階と、
をさらに有することを特徴とする請求項1に記載の方法。 - 前記ベアラ設定のためのシグナリングを完了した後に、前記移動局と前記AGとの間にDHCP(Dynamic Host Configuration Protocol)手順を通じて前記移動局のインターネットプロトコル(IP)アドレスを獲得する段階をさらに有することを特徴とする請求項7に記載の方法。
- 移動局(MS)の機器認証及びユーザー認証を遂行するための移動通信ネットワークであって、
無線リンクプロトコル(RLP)によって前記移動局に接続される基地局(BS)と、
前記基地局を通じて前記移動局との間に接続を確立した後に、前記基地局がEAP認証をトリガすると、前記移動局の機器認証のための機器マスターセッションキー(D−MSK)を、前記MSとのEAP折衝を完了した認証、認可、及び課金(AAA)サーバから受信して格納し、前記移動局のユーザー認証のために前記AAAサーバから受信したユーザーマスターセッションキー(U−MSK)を用いてアクセスゲートウェイ(AG)によって生成されたルートMSK(R−MSK)を前記AGから受信して格納し、前記D−MSK及び前記R−MSKのうちの少なくとも一つを用いて、セッション中に使用するためのPMK(Pairwise Master Key)を生成するシグナリング無線網制御器(SRNC)とから構成され、
前記PMKを用いて前記セッション中にデータ暗号化、データインテグリティ検査、及びセッション管理のうちの少なくとも一つのために使用するためのキーセットが、前記SRNC及び前記基地局のうちのいずれか一つによって生成されることを特徴とする移動通信ネットワーク。 - 前記移動局は、前記PMKを用いて前記セッション中にデータ暗号化、データインテグリティ検査、及びセッション管理のうちの少なくとも一つのために使用するための第2のキーセットを生成することを特徴とする請求項9に記載の移動通信ネットワーク。
- 前記基地局は、第1の臨時値をキー要求メッセージを通じて前記移動局に伝送し、前記移動局からキー応答メッセージを通じて前記第1の臨時値に対応する第2の臨時値を受信し、前記第1及び第2の臨時値が検証されたことを意味するキー完了メッセージを前記移動局に伝送し、前記第1及び第2の臨時値を前記SRNCに伝送し、
前記移動局及び前記SRNCは、前記PMK及び前記臨時値に基づいて前記キーセットを生成し、
前記SRNCは、前記基地局に前記キーセットを含むキー分配メッセージを伝送し、前記基地局からセッションアップデートメッセージを受信すると、前記キーセットを格納することを特徴とする請求項9に記載の移動通信ネットワーク。 - 前記SRNCは、前記PMKを前記基地局に伝送し、
前記基地局は、第1の臨時値をキー要求メッセージを通じて前記移動局に伝送し、前記移動局からキー応答メッセージを通じて前記第1の臨時値に対応する任意に生成された第2の臨時値を受信し、前記第1及び第2の臨時値が検証されたことを意味するキー完了メッセージを前記移動局に伝送し、
前記移動局及び前記基地局は、前記PMK及び前記臨時値に基づいて前記キーセットを生成し、
前記基地局が前記SRNCに前記キーセットを伝送すると、前記SRNCは、前記キーセットを格納することを特徴とする請求項9に記載の移動通信ネットワーク。 - 前記SRNCは、第1の臨時値をキー要求メッセージに含めて前記基地局を通じて前記移動局に伝送し、前記移動局からキー応答メッセージを通じて前記第1の臨時値に対応する第2の臨時値を受信し、前記第1及び第2の臨時値が検証されたことを意味するキー完了メッセージを前記移動局に伝送し、
前記移動局及び前記SRNCは、前記PMK及び前記臨時値に基づいて前記キーセットを生成し、
前記SRNCは、前記基地局に前記キーセットを含むキー分配メッセージを伝送し、前記基地局からセッションアップデートメッセージを受信すると、前記キーセットを格納することを特徴とする請求項9に記載の移動通信ネットワーク。 - 前記SRNCは、前記PMKを用いてセッションルートキー(SRK)を生成して前記基地局に伝送し、
前記基地局は、第1の臨時値をキー要求メッセージを通じて前記移動局に伝送し、前記移動局からキー応答メッセージを通じて前記第1の臨時値に対応する第2の臨時値を受信し、前記第1及び第2の臨時値が検証されたことを表すキー完了メッセージを前記移動局に伝送し、
前記移動局及び前記基地局は、前記SRK及び前記臨時値に基づいて前記キーセットを生成し、
前記基地局が前記キーセットを前記SRNCに伝送すると、前記SRNCは、前記キーセットを格納することを特徴とする請求項9に記載の移動通信ネットワーク。 - 前記キーセットを生成した後に、前記基地局がベアラ設定のための経路設定要求メッセージを前記AGに伝送すると、前記AGは、前記経路設定メッセージに応答してベアラ設定のためのシグナリングを完了し、前記基地局に経路設定応答メッセージを伝送することを特徴とする請求項9に記載の移動通信ネットワーク。
- 前記ベアラ設定のためのシグナリングを完了した後に、前記移動局及び前記AGは、DHCP手順を通じて前記移動局のインターネットプロトコル(IP)アドレスを獲得することを特徴とする請求項15に記載の移動通信ネットワーク。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070027865A KR101002799B1 (ko) | 2007-03-21 | 2007-03-21 | 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008236754A true JP2008236754A (ja) | 2008-10-02 |
Family
ID=39908908
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008072448A Withdrawn JP2008236754A (ja) | 2007-03-21 | 2008-03-19 | 移動通信ネットワークと移動通信ネットワークにおける移動ノードの認証を遂行する方法及び装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8433286B2 (ja) |
JP (1) | JP2008236754A (ja) |
KR (1) | KR101002799B1 (ja) |
CN (1) | CN101304319A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013530549A (ja) * | 2010-01-29 | 2013-07-25 | 華為技術有限公司 | Mtc装置認証方法、mtcゲートウェイおよび関係する装置 |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101038096B1 (ko) * | 2010-01-04 | 2011-06-01 | 전자부품연구원 | 바이너리 cdma에서 키 인증 방법 |
US8566926B1 (en) * | 2010-03-18 | 2013-10-22 | Sprint Communications Company L.P. | Mobility protocol selection by an authorization system |
CN102244652B (zh) * | 2010-05-13 | 2014-03-12 | 阿里巴巴集团控股有限公司 | 会话信息生成方法、系统及应用服务器 |
CN102480727B (zh) * | 2010-11-30 | 2015-08-12 | 中兴通讯股份有限公司 | 机器与机器通信中的组认证方法及系统 |
CN102843233B (zh) * | 2011-06-21 | 2017-05-31 | 中兴通讯股份有限公司 | 一种机器到机器通信中组认证的方法和系统 |
CN102547688B (zh) * | 2012-02-13 | 2014-04-09 | 江苏博智软件科技有限公司 | 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法 |
US9801052B2 (en) * | 2012-06-13 | 2017-10-24 | Samsung Electronics Co., Ltd. | Method and system for securing control packets and data packets in a mobile broadband network environment |
CN103490887B (zh) * | 2012-06-14 | 2017-06-13 | 中兴通讯股份有限公司 | 一种网络设备及其认证和密钥管理方法 |
US9578548B2 (en) | 2012-06-22 | 2017-02-21 | Futurewei Technologies, Inc. | System and method for configuring multiple IP connections |
US9173095B2 (en) * | 2013-03-11 | 2015-10-27 | Intel Corporation | Techniques for authenticating a device for wireless docking |
US10791093B2 (en) * | 2016-04-29 | 2020-09-29 | Avago Technologies International Sales Pte. Limited | Home network traffic isolation |
US10367792B2 (en) * | 2016-08-25 | 2019-07-30 | Orion Labs | End-to end encryption for personal communication nodes |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030235305A1 (en) * | 2002-06-20 | 2003-12-25 | Hsu Raymond T. | Key generation in a communication system |
KR20050109685A (ko) | 2004-05-17 | 2005-11-22 | 에스케이 텔레콤주식회사 | 휴대 인터넷 시스템에서 단말기 인증과 공존하는 확장된인증 프로토콜 기반의 사용자 인증 방법 및 시스템 |
KR100704675B1 (ko) * | 2005-03-09 | 2007-04-06 | 한국전자통신연구원 | 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법 |
WO2007000179A1 (en) * | 2005-06-29 | 2007-01-04 | Telecom Italia S.P.A. | Short authentication procedure in wireless data communications networks |
KR100770928B1 (ko) | 2005-07-02 | 2007-10-26 | 삼성전자주식회사 | 통신 시스템에서 인증 시스템 및 방법 |
KR20070051233A (ko) | 2005-11-14 | 2007-05-17 | 삼성전자주식회사 | 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법 |
US8218530B2 (en) * | 2006-01-05 | 2012-07-10 | Qualcomm Incorporated | Seamless handoff between access networks with saved session information |
US7715562B2 (en) * | 2006-03-06 | 2010-05-11 | Cisco Technology, Inc. | System and method for access authentication in a mobile wireless network |
US20080072047A1 (en) * | 2006-09-20 | 2008-03-20 | Futurewei Technologies, Inc. | Method and system for capwap intra-domain authentication using 802.11r |
-
2007
- 2007-03-21 KR KR1020070027865A patent/KR101002799B1/ko active IP Right Grant
-
2008
- 2008-03-19 JP JP2008072448A patent/JP2008236754A/ja not_active Withdrawn
- 2008-03-21 US US12/053,217 patent/US8433286B2/en active Active
- 2008-03-21 CN CNA200810127729XA patent/CN101304319A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013530549A (ja) * | 2010-01-29 | 2013-07-25 | 華為技術有限公司 | Mtc装置認証方法、mtcゲートウェイおよび関係する装置 |
US8769283B2 (en) | 2010-01-29 | 2014-07-01 | Huawei Technologies Co., Ltd. | MTC device authentication method, MTC gateway, and related device |
Also Published As
Publication number | Publication date |
---|---|
US20080311906A1 (en) | 2008-12-18 |
CN101304319A (zh) | 2008-11-12 |
KR20080086127A (ko) | 2008-09-25 |
KR101002799B1 (ko) | 2010-12-21 |
US8433286B2 (en) | 2013-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101002799B1 (ko) | 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치 | |
US11463874B2 (en) | User profile, policy, and PMIP key distribution in a wireless communication network | |
KR100762644B1 (ko) | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 | |
JP4921557B2 (ja) | インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法 | |
US8887251B2 (en) | Handover method of mobile terminal between heterogeneous networks | |
JP5042834B2 (ja) | 無線携帯インターネットシステムでeapを利用する保安関係交渉方法 | |
WO2019017837A1 (zh) | 网络安全管理的方法及装置 | |
KR20090027299A (ko) | 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치 | |
WO2011127774A1 (zh) | 一种用户终端接入互联网方式的控制方法及装置 | |
US7715562B2 (en) | System and method for access authentication in a mobile wireless network | |
WO2008110099A1 (fr) | Procédé, système et dispositif associé pour accès d'un appareil d'authentification à un réseau de communication | |
CN101785343A (zh) | 快速转换资源协商 | |
JP2012520601A (ja) | 通信システムにおける認証方法及びそのシステム | |
US8571211B2 (en) | Method and apparatus for generating security key in a mobile communication system | |
CN110226319B (zh) | 用于紧急接入期间的参数交换的方法和设备 | |
US20130191635A1 (en) | Wireless authentication terminal | |
US9485652B2 (en) | Method and system for managing mobility of mobile station in a mobile communication system using mobile IP | |
US9602493B2 (en) | Implicit challenge authentication process | |
WO2013104301A1 (zh) | 发送消息的方法、建立安全连接的方法、接入点和工作站 | |
WO2012022212A1 (zh) | 用户设备接入方法、装置及系统 | |
WO2011029313A1 (zh) | PMIP中HA获取MN-HA key的方法、设备及系统 | |
WO2024060626A1 (zh) | 鉴权方法、通信装置及通信系统 | |
WO2009051405A2 (en) | Method of establishing security association in inter-rat handover | |
CN116132983A (zh) | 接入认证方法、装置、终端及核心网 | |
WO2008151569A1 (fr) | Procédé, dispositif et système d'acquisition de clé |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20090202 |