JP2008547350A - 通信システムにおける認証システム及びその方法 - Google Patents

通信システムにおける認証システム及びその方法 Download PDF

Info

Publication number
JP2008547350A
JP2008547350A JP2008519176A JP2008519176A JP2008547350A JP 2008547350 A JP2008547350 A JP 2008547350A JP 2008519176 A JP2008519176 A JP 2008519176A JP 2008519176 A JP2008519176 A JP 2008519176A JP 2008547350 A JP2008547350 A JP 2008547350A
Authority
JP
Japan
Prior art keywords
pmk
eap
authentication
base station
mobile terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008519176A
Other languages
English (en)
Other versions
JP4647689B2 (ja
Inventor
イ、ジ‐チョル
ソン、ジン‐ヒュ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of JP2008547350A publication Critical patent/JP2008547350A/ja
Application granted granted Critical
Publication of JP4647689B2 publication Critical patent/JP4647689B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

通信システムにおける認証方法およびそのシステムを提供する。MS、BSおよびAAAサーバーは、EAP-in-EAP方式でMSのための第1のEAP認証によって第1のMSKを得る。第1のEAP認証の後に、それらは、EAP-in-EAP方式で、MSのために第2のEAP認証によって第2のMSKを得る。

Description

本発明は、通信システムに関し、特に通信システムにおける認証システム及びその方法に関する。
多様な水準のサービス品質(Quality of Service;以下、‘QoS’と称する)を有するサービスをユーザに提供するための通信システムの開発が進行している。無線近距離通信ネットワーク(Wireless Local Area Network;以下、‘WLAN’と称する)及び無線都市地域ネットワーク(Wireless Metropolitan Area Network;以下、‘WMAN’と称する)のような広帯域無線接続(BWA)通信システムに移動性(mobility)とサービス品質(QoS:Quality of Service)とを保証することで、高速サービスを支援するようにする研究が活発に進行されており、その主要システムがIEEE(Institute of Electrical and Electronics Engineers)802.16a/d通信システム及びIEEE 802.16e通信システムである。
図1を参照して認証動作、特に一般的なIEEE 802.16e通信システムにおける二重拡張可能認証プロトコル(twice Extensible Authentication Protocol;以下、‘二重EAP’と称する)方式を使用して認証する動作について説明する。以下、説明の便宜のために、二重EAP方式を‘EAP-in-EAP方式’と称し、EAP-in-EAP方式を使用する動作モード(mode)を‘EAP-in-EAPモード’と称する。
図1は、一般的なIEEE 802.16e通信システムにおけるEAP-in-EAP認証に対する信号の流れを示す信号流れ図である。
図1を参照すると、IEEE 802.16e通信システムは、移動端末機(Mobile Station;以下、‘MS’と称する)MS100と、基地局(BS:Base Station)140と、権限・認証・アカウンティング(Authorization、Authentication and Accounting;以下、‘AAA’と称する)サーバー180を含む。IEEE 802.16e通信システムにおいては、EAP-in-EAP方式を使用するので、2回のEAP方式に従う認証が遂行される。以下、説明の便宜のため、EAP方式に基づいた認証を‘EAP認証’と称する。上記2回のEAP認証のうち、第1のEAP認証120は機器認証であり、第2のEAP認証160は第1のEAP認証が成功した後のユーザ認証である。
まず、基地局140は、機器認証を必要とする時点で、MS100にEAP認証を要求するEAP-要求(Request)/識別(Identity)(以下、‘EAP-REQUEST/IDENTITY’と称する)メッセージを送信する。ここで、IEEE 802.16e通信システムでは、MS100と基地局140との間に秘話キー管理(Privacy Key Management;以下、‘PKM’と称する)_EAP_トランスファー(transfer)(以下、‘PKM_EAP_TRANSFER’と称する)メッセージを使用してEAP方式によるメッセージが交換されるので、基地局140はMS100へPKM_EAP/EAP-REQUEST/IDENTITYメッセージを送信する(ステップS101)。MS100は、PKM_EAP/EAP-応答(RESPONSE)/IDENTITY(以下、‘PKM_EAP/EAP-RESPONSE/IDENTITY’と称する)メッセージを送信することにより応答する(ステップS103)。
基地局140は、PKM_EAP/EAP-RESPONSE/IDENTITYメッセージをAAAサーバー180にフォワーディング(forwarding)する。ここで、基地局140とAAAサーバー180との間にRADIUS(Remote Authentication Dial-In User Service)プロトコルメッセージ、あるいはDIAMETERプロトコルメッセージを使用してEAP方式に従うメッセージが交換される。図1に例示された場合において、基地局140とAAAサーバー180との間にRADIUSプロトコルメッセージが使われる。したがって、基地局140はRADIUSアクセス要求(Request)/識別(Identity)(以下、‘RADIUS ACCESS REQUEST/IDENTITY’と称する)メッセージをAAAサーバー180へ送信する(ステップS105)。
AAAサーバー180は、EAP−TLS(Transport Level Security)方式、EAP−TLSPSK(Transport Level Security Pre-Shared Key)方式、EAP−AKA(Authentication and Key Agreement)方式、及びEAP−PSK方式などを使用して上記PKM_EAPメッセージを認証して、MS100に対する機器認証を遂行する(ステップS107)。上記機器認証の結果、AAAサーバー180とMS100は、マスターセッションキー(Master Session Key;以下、‘MSK’と称する)を共有することになる(ステップS109、ステップS111)。
以後、AAAサーバー180は、基地局140へEAP成功(EAP-SUCCESS;以下、‘EAP-SUCCESS’と称する)メッセージとしてRADIUS許可(以下、‘RADIUS ACCEPT’と称する)メッセージを送信する(ステップS113)。RADIUS ACCEPTメッセージは、MSKを含む。基地局140は、MS100へEAP認証に成功したことを知らせるPKM_EAP/EAP-SUCCESSメッセージを送信する(ステップS115)。
機器認証120の遂行の間に、MS100及び基地局140は、MSKからEAP無欠キー(EAP Integrity Key;以下、‘EIK’と称する)とPMKを生成する(ステップS117、ステップS119)。ここで、機器認証120で生成されたEIKは、第2のEAP認証であるユーザ認証160の際、送信されるEAPメッセージを保護するために使われる。
ユーザ認証160を遂行する間に、基地局140は、ユーザ認証が必要とされる場合には、MS100へPKM_EAP/EAP-REQUEST/IDENTITYメッセージを送信する(ステップS161)。MS100は、PKM_EAP/EAP-RESPONSE/IDENTITYメッセージを基地局140へ送信することにより応答する(ステップS163)。
基地局140は、PKM_EAP/EAP-RESPONSE/IDENTITYメッセージをRADIUS ACCESS REQUEST/IDENTITYメッセージ形態に変換して、AAAサーバー180へ送信する(ステップS165)。
AAAサーバー180は、EAP−MD5(Message-Digest 5)方式、または、EAP−MSCHAPv2(Microsoft Challenge Authentication Protocol version 2)方式を使用してPKM_EAPメッセージを認証することで、MS100に対するユーザ認証を遂行する(ステップS167)。機器認証120と異なり、ユーザ認証を完了しても追加的にMSKが生成されない。一方、RADIUS ACCEPTメッセージを受信した場合(ステップS169)には、基地局140は、MS100へPKM_EAP/EAP-SUCCESSメッセージを送信する(ステップS171)。すると、MS100及び基地局140は、PMKを用いて権限キー(Authorization Key;以下、‘AK’と称する)を生成する(ステップS173、及び、ステップS175)。PMKを用いたAKの生成については下記の図2の説明で詳しく後述する。
前述したように、IEEE 802.16e通信システムにおけるEAP-in-EAP認証において、MSKは第1のEAP認証でのみ生成される。
図2は、一般的なIEEE 802.16e通信システムにおけるAKの生成過程を示すフローチャートである。
この動作は、MS及び基地局の各々で遂行される動作であり、以下、基地局の説明に関連してAKの生成を説明することにする。
図2を参照すると、まず、ステップS211で、基地局はAAAサーバーから第1のEAP認証、即ち、機器認証を通じて生成されたMSKを受信する。ステップS213で、基地局はMSKを用いてEIKとPMKを生成する。詳しくは、基地局はMSKを除去(truncation)して予め設定された数のビット、一例として、160ビットのEIKと160ビットのPMKを用いてEIKとPMKを生成する。
ステップS215で、基地局はPMKを所定の関数に適用してAKを生成する。具体的には、基地局は、一例として、Dot16KDF関数にPMKを適用する。Dot16KDF関数は下記の数式1のように表すことができる。
Figure 2008547350
数式1において、SSIDは、EAP認証が遂行されるMSの識別子(ID)を表し、BSIDは、基地局の識別子(ID)を表し、‘AK’はDot16KDF関数により生成されたAKであり、160はAKの長さが160ビットであることを表す。したがって、Dot16KDF関数は、PMKと、SSIDとBSIDを連接(concatenation)したパラメータを使用して、長さ160ビットのAKを生成する。
図3は、一般的なIEEE 802.16e通信システムにおけるEAP-in-EAP認証に対し、SA-TEK 3ウェイハンドシェイク過程に対する信号の流れを示す信号流れ図である。
図3を参照すると、IEEE 802.16e通信システムは、MS300、敵対的MS(以下、‘ADV(adversary)’と称する)320、基地局340、及びAAAサーバー360を含む。MS300と基地局340とは、正常な機器/ユーザであり、ADV320は、第1のEAP認証のための有効なキーを持っており、第2のEAPの認証時にMS300からEAPメッセージを傍受する敵対的機器/ユーザである。
MS300、基地局340、及びAAAサーバー360の間では、図1に例示された方法により、第1のEAP認証が遂行される(ステップS311)。したがって、MS300と基地局340とは、EIK(EIKMS)とPMK(PMKMS)とを獲得する(ステップS313、ステップS315)。
一方、ADV320も、基地局340及びAAAサーバー360とEAP認証を遂行する(ステップS317)。したがって、ADV320と基地局340とは、EIK(EIKADV)とPMK(PMKADV)とを獲得する(ステップS319、ステップS321)。
ユーザ認証を必要とする場合には、基地局340は、MS300及びADV320の全てにPKM_EAP/EAP-REQUEST/IDENTITYメッセージを送信する(ステップS323、ステップS325)。MS300は、PKM_EAP/EAP-RESPONSE/IDENTITYメッセージを送信することにより応答する(ステップS327)。ADV320は、PKM_EAP/EAP-RESPONSE/IDENTITYメッセージをモニタリングしてからコピーをした後、EIKADVを使用して、そのコピーしたメッセージを送信する(ステップS329)。
MS300及びADV320からPKM_EAP/EAP-RESPONSE/IDENTITYメッセージを受信すると、基地局340は、PKM_EAP/EAP-RESPONSE/IDENTITYメッセージをRADIUS REQUEST/IDENTITYメッセージの形態に変換してAAAサーバー360へフォワーディングする(ステップS331、ステップS333)。
AAAサーバー360は、MS300及びADV320へ接続要求(ACCESS CHALLENGE;以下、‘ACCESS CHALLENGE’と称する)メッセージを送信する(ステップS335、ステップS337)。ACCESS CHALLENGEメッセージの各々は、接続要求のための認証パラメータであるCHALLENGEとSECRETEを含む。
MS300は、ACCESS CHALLENGEメッセージに含まれているCHALLENGEとSECRETEを使用してパラメータVALUEを生成する。VALUEは、所定の関数、一例として下記の数式2に表すMD5関数により生成される。
Figure 2008547350
ここで、IDは、MS300のIDを表す。
MS300は、自分のIDとVALUEを含むPKM_EAP/EAP-RESPONSE/ RESPONSEメッセージを基地局340へ送信する(ステップS341)。しかしながら、ADV320は、PKM_EAP/EAP-RESPONSE/RESPONSEメッセージを傍受してEIKADVを使用してADV320のIDとMS300が生成したVALUEを含むPKM_EAP/EAP-RESPONSE/RESPONSEメッセージを基地局340へ送信する(ステップS343)。
すると、基地局340は、ADV320から受信したPKM_EAP/EAP-RESPONSE/ RESPONSEメッセージをRADIUS ACCESS REQUEST/RESPONSEメッセージの形態に変換してAAAサーバー360へフォワーディングする(ステップS345)。
AAAサーバー360は、AAAサーバー360自身が有するIDとSECRETEとVALUEを使用して、ADV320を認証する(ステップS347)。上記の認証に成功することによって、AAAサーバー360は、基地局340へEAP認証に成功したことを表すRADIUS ACCEPTメッセージを送信する(ステップS349)。すると、ADV320、基地局340、及び、AAAサーバー360の間には、SA-TEK 3ウェイハンドシェイクが遂行され、ADV320は、EAP認証に成功する(ステップS351)。正常な機器/ユーザのAKを傍受してEAP認証を遂行する機器/ユーザの上記の現象を、中間者攻撃(Man-in-the-middle-Attack)という。
前述したように、EAP-in-EAP認証において、一般的なIEEE 802.16e通信システムでは、第1のEAP認証でのみMSKを生成し、MSKから生成されたPMKを用いてAKを生成するので、上記のような中間者攻撃が発生する。その結果、正常な機器/ユーザに正常なサービスを提供することが可能でないので、システムの全サービスの品質が低下する。したがって、中間者攻撃を除去できる新たな認証方法を開発する必要がある。
本発明の目的は、通信システムにおけるEAP-in-EAP認証システム及び方法を提供することにある。併せて、本発明の目的は、二重PMKを使用したEAP-in-EAP方式により認証を確実に実行するシステム及び方法を提供することにある。
前述した目的を達成するために本発明は、基地局と、権限・認証・アカウンティング(AAA:Authorization、Authentication and Accounting)サーバーを通じてEAP-in-EAP方式により機器認証である第1のEAP認証を遂行して第1のマスターセッションキー(MSK:Master Session Key)を獲得し、上記第1のEAP認証を遂行した後に、上記基地局と上記AAAサーバーを通じて上記EAP-in-EAP方式によりユーザ認証である第2のEAP認証を遂行して第2のMSKを獲得する移動端末機(MS)と、上記移動端末機と上記基地局を通じて上記第1のEAP認証を遂行して上記第1のMSKを獲得し、上記移動端末機と上記基地局を通じて上記第2のEAP認証を遂行して第2のMSKを獲得する上記AAAサーバーと、上記移動端末機と上記AAAサーバーを通じて上記第1のEAP認証を遂行して上記第1のMSKを獲得し、上記移動端末機とAAAサーバーを通じて上記第2のEAP認証を遂行して第2のMSKを獲得する上記基地局とを含むことを特徴とする。
前述した目的を達成するために本発明は、移動端末機と、基地局と、権限・認証・アカウンティング(AAA:Authorization、Authentication and Accounting)サーバーを含む広帯域無線接続通信システムにおける拡張可能認証プロトコル(EAP:Extensible Authentication Protocol)方式を使用して認証を遂行する方法であって、移動端末機と、基地局とAAAサーバーは、EAP-in-EAP方式を使用して上記移動端末機に対する機器認証である第1のEAP認証を遂行して第1のマスターセッションキー(MSK:Master Session Key)を獲得する過程と、上記第1のEAP認証を遂行した後に、上記移動端末機と上記基地局と上記AAAサーバーは、上記EAP-in-EAP方式を使用して上記移動端末機に対するユーザ認証である第2のEAP認証を遂行して第2のMSKを獲得する過程とを含むことを特徴とする。
本発明によると、二重PMK、即ちPMKとPMK2を使用して、AKが生成されるので、IEEE 802.16e通信システムにおけるEAP-in-EAP方式を使用する認証信頼度を向上させることが可能である。また、中間者攻撃の除去により、結果的に全システムの性能を向上させる効果が得られる。
以下、添付した図面を参照しつつ本発明の実施形態を説明する。なお、本発明を説明するに当たり、関連のある公知の技術あるいは構成についての具体的な説明が本発明の要旨を余計に曖昧にする恐れのあると認められる場合には、その詳細な説明は省かれる。
本発明は、通信システム、一例としてIEEE(Institute of Electrical and Electronics Engineers) 802.16e通信システムにおける認証システム及びその方法を提案する。特に、本発明はEAP-in-EAP認証と呼ばれる二重拡張可能認証プロトコル(twice Extensible Authentication Protocol;以下、‘二重EAP’と称する)方式を使用して認証するシステム及び方法を提案する。以下、EAP-in-EAP方式を使用する動作モードを‘EAP-in-EAPモード’と称する。本発明では便宜のため、IEEE 802.16e通信システムについて説明するが、本発明は他の通信システムにも適用できることは勿論である。
図4は、本発明の実施形態に従うIEEE 802.16e通信システムにおける二重ペアワイズマスターキー(Pairwise Master Key;以下、‘PMK’と称する)を使用するEAP-in-EAP方式の認証に対する信号の流れを示す信号流れ図である。
図4を参照すると、IEEE 802.16e通信システムは、移動端末機(Mobile Station;以下、‘MS’と称する)400と、基地局(BS:Base Station)440と、権限・認証・アカウンティング(Authorization、Authenticationand Accounting;以下、‘AAA’と称する)サーバー480を含む。IEEE 802.16e通信システムでは、EAP-in-EAP方式を使用するので、2回の認証が遂行される。説明の便宜のため、EAP方式を使用して遂行する認証を‘EAP認証’と称する。2回のEAP認証のうち、第1のEAP認証420は、機器認証であり、第2のEAP認証440は、第1のEAP認証が成功した後のユーザ認証である。
機器認証420を必要とする場合には、基地局440は、MS400へEAP−要求(Request)/識別(Identity)(以下、‘EAP-REQUEST/IDENTITY’と称する)メッセージを送信してEAP認証を要求する。IEEE 802.16e通信システムでは、MS400と基地局440との間に秘話キー管理(Privacy Key Management;以下、‘PKM’と称する)_EAP_トランスファー(transfer)(以下、‘PKM_EAP_TRANSFER’と称する)を使用してEAP方式によるメッセージを送受信するので、基地局440はMS400へPKM_EAP/EAP-REQUEST/IDENTITYメッセージを送信する(ステップS401)。
すると、MS400は、PKM_EAP/EAP-応答(RESPONSE)/IDENTITY(以下、‘PKM_EAP/EAP- RESPONSE/IDENTITY’と称する)メッセージを送信して応答する(ステップS403)。
基地局440は、PKM_EAP/EAP-RESPONSE/IDENTITYメッセージをAAAサーバー480へフォワーディング(forwarding)する。基地局440とAAAサーバー480との間にRADIUS(Remote Authentication Dial-In User Service)プロトコルメッセージ、あるいはDIAMETERプロトコルメッセージなどを使用して、EAP方式によるメッセージを送受信する。図4では、基地局440とAAAサーバー480との間にRADIUSプロトコルメッセージが使われる。したがって、基地局440は、RADIUSアクセス要求/識別(RADIUS ACCESS REQUEST/IDENTITY;以下、‘RADIUS ACCESS REQUEST/IDENTITY’と称する)メッセージをAAAサーバー480へ送信する(ステップS405)。
AAAサーバー480は、EAP−TLS(Transport Level Security)方式、EAP−TLSPSK(Transport Level Security Pre-Shared Key)方式、EAP−AKA(Authentication and Key Agreement)方式、またはEAP−PSK方式などを使用してPKM_EAPメッセージを認証して、MS400に対する機器認証を遂行する(ステップS407)。機器認証の結果、AAAサーバー480とMS400は、マスターセッションキー(Master Session Key;以下、‘MSK’と称する)を共有することになる(ステップS409、ステップS411)。
AAAサーバー480は、基地局440へEAP成功(EAP-SUCCESS;以下、‘EAP-SUCCESS’と称する)メッセージであるRADIUS許可(以下、‘RADIUS ACCEPT’と称する)メッセージを送信する(ステップS413)。ここで、RADIUS ACCEPTメッセージはMSKを含む。基地局440は、MS400へ、EAP認証に成功したことを表すPKM_EAP/EAP-SUCCESSメッセージを送信する(ステップS415)。基地局440は、MSKからEAP無欠キー(EAP Integrity Key;以下、‘EIK’と称する)とPMKとを生成する(ステップS417)。
生成されたEIKは、第2のEAP認証であるユーザ認証460時に転送されるEAPメッセージを保護するために使われる。
その後、機器認証420に次いで、ユーザ認証460が遂行される。
基地局440は、ユーザ認証が必要とされる場合には、MS400へPKM_EAP/EAP-REQUEST/IDENTITYメッセージを送信する(ステップS461)。MS400は、PKM_EAP/EAP-RESPONSE/IDENTITYメッセージで応答する(ステップS463)。
基地局440は、PKM_EAP/EAP-RESPONSE/IDENTITYメッセージをRADIUS ACCESS REQUEST/IDENTITYメッセージの形態に変換して、AAAサーバー480へ送信する(ステップS465)。
AAAサーバー480は、EAP−TLS方式、EAP−RLSPSK方式、EAP−AKA方式、又はEAP−PSK方式などを使用して、PKM_EAPメッセージを認証してMS400に対するユーザ認証を行なう(ステップS467)。こうして、MS400のユーザ認証を完了することによって、AAAサーバー480とMS400とは第2のMSKであるMSK2を共有することになる(ステップS469、ステップS471)。このように、本発明のEAP-in-EAP方式を使用して認証を遂行する場合には2つのMSK、即ち、第1のEAP認証である機器認証ではMSKが、第2のEAP認証であるユーザ認証ではMSK2が各々生成される。
AAAサーバー480は、基地局440へ、EAP認証に成功したことを表すRADIUS ACCEPTメッセージを送信する(ステップS473)。基地局440は、MS400へPKM_EAP/EAP-SUCCESSメッセージを送信する(ステップS475)。ユーザ認証460を通じて、基地局440は、MSK2から第2のPMK(すなわち、PMK2)を生成し、PMKとPMK2とを使用して権限キー(Authorization Key;以下、‘AK’と称する)を生成する(ステップS477)。MS400及び基地局440が、PMKとPMK2とから、AKを生成する動作については、下記の図5の説明で詳しく後述するので、ここでは、その詳細な説明を省略する。
図5は、本発明に従うIEEE 802.16e通信システムにおけるAKを生成する過程を示すフローチャートである。
この過程は、基地局での生成及びMS全てで遂行され、ここでは、基地局がAKを生成する場合を説明することにする。
図5を参照すると、ステップS511で、基地局は、第1のEAP認証、即ち機器認証を通じてMSKを獲得し、ステップS513で、一般にMSKを使用してEIKとPMKとを生成する。具体的には、基地局は、MSKを除去(truncation)して所定のビット、一例としては、160ビットのEIKと160ビットのPMKで、EIKとPMKとを生成する。
ステップS515で、基地局は、第2のEAP認証、即ちユーザ認証を通じて第2のMSK(すなわち、MSK2)を獲得し、ステップS517で、第2のPMK(すなわち、PMK2)、一例としては、MSK2の除去により160ビットであるPMK2を生成する。
基地局は、PMKとPMK2をAK生成関数に適用してAKを生成する。具体的には、基地局は、一例として、Dot16KDF関数にPMKとPMK2とを適用する。Dot16KDF関数は、下記数式3または数式4のような関数で表すことができる。
Figure 2008547350
数式3において、SSIDはEAP認証が遂行されるMSの識別子(ID)を表し、BSIDは基地局の識別子(ID)を表し、‘AK’はDot16KDF関数により生成されるAKであることを表し、160はAKの長さが160ビットであることを表す。したがって、Dot16KDF関数は、PMKとPMK2との排他的論理和(XOR)と、SSIDとBSIDを連接(concatenation)したパラメータを使用して、160ビットのAKを生成する。
Figure 2008547350
数式4において、SSIDは、EAP認証が遂行されるMSの識別子(ID)を表し、BSIDは基地局の識別子(ID)を表し、‘AK’は上記Dot16KDF関数により生成されるAKであることを表し、160はAKの長さが160ビットであることを表す。したがって、Dot16KDF関数は、PMKとSSID、BSID及びPMK2を連接したパラメータを使用して、160ビットのAKを生成する。
前述したように、本発明の実施形態に従うIEEE 802.16e通信システムにおいて、二重PMKを使用するEAP-in-EAP方式を使用して認証を遂行する場合に、第1のEAP認証で生成されたPMKと、第2の認証で生成されたPMK2を使用して、AKが生成される。したがって、一般的なIEEE 802.16e通信システムで発生していた中間者攻撃の発生を除去することができる。
ここで、図6を参照して本発明の実施形態に従うIEEE 802.16e通信システムにおいて、EAP-in-EAP方式を使用して認証を遂行する場合について説明する。
図6は、本発明に従うIEEE 802.16e通信システムにおけるEAP-in-EAP方式を使用して認証を遂行するに当たって、SA-TEK 3ウェイハンドシェイク過程に対する信号の流れを示す信号流れ図である。
図6を参照すると、IEEE 802.16e通信システムは、MS600、敵対的MS(以下、‘ADV(adversary)’と称する)620、基地局640、及びAAAサーバー660を含む。MS600と基地局640は、正常な機器/ユーザであり、ADV620は、第1のEAP認証のための有効なキーを有しており、第2のEAP認証時に、MS600からのEAPメッセージを傍受する敵対的機器/ユーザである。
MS600、基地局640、及びAAAサーバー660の間には、図4に例示された過程において、第1のEAP認証が遂行される(ステップS611)。MS600と基地局640は、各々EIK(EIKMS)とPMK(PMKMS)とを獲得する(ステップS613、ステップS615)。
一方、ADV620も、基地局640とAAAサーバー660との間に、EAP認証を遂行する(ステップS617)。ADV620と基地局640は、各々EIK(EIKMS)とPMK(PMKMS)とを獲得する(ステップS619、ステップS621)。
第1のEAP認証の後、MS600、基地局640、及びAAAサーバー660の間には、図4に例示された過程において、第2のEAP認証が遂行される(ステップS623)。したがって、MS600と基地局640は、第2のEAP認証を通じて各々更に他のPMK、PMK2MSを獲得する(ステップS625、ステップS627)。MS600は、PMKMSとPMK2MSを使用してAKを生成することができる。
したがって、MS600と基地局640との間に、SA-TEK 3ウェイハンドシェイクが遂行される場合には、MS600はAKを使用して、SA-TEK 3ウェイハンドシェイクに成功することになる(ステップS629)。
第1のEAP認証の後に、ADV620、基地局640、及びAAAサーバー660の間に、第2のEAP認証がさらに遂行される(ステップS631)。しかしながら、ADV620は、敵対的機器/ユーザであるので、PMK2を獲得することはできない(ステップS633)。その結果、ADV620は、AKを生成することができない。
したがって、ADV620と基地局640との間に、SA-TEK 3ウェイハンドシェイクが遂行される場合には、ADV620は、AKを生成できないので、SA-TEK 3ウェイハンドシェイクに失敗することになる(ステップS635)。
以上、本発明の詳細な説明の欄においては具体的な実施形態について詳述したが、 本発明の範囲を逸脱しない限り、各種の変形が可能である。よって、本発明の範囲は上述の実施形態によって定まるものではなく、特許請求の範囲とその均等物によって定まるべきである。
一般的なIEEE 802.16e通信システムにおけるEAP-in-EAP認証に対する信号の流れを示す信号流れ図である。 一般的なIEEE 802.16e通信システムにおけるAKの生成動作を示すフローチャートである。 一般的なIEEE 802.16e通信システムにおけるEAP-in-EAP認証において、SA-TEK 3ウェイハンドシェイク過程に対する信号の流れを示す信号流れ図である。 本発明の実施形態に従うIEEE 802.16e通信システムにおける二重PMKを使用するEAP-in-EAP認証に対する信号の流れを示す信号流れ図である。 本発明の実施形態に従うIEEE 802.16e通信システムにおけるAKを生成する過程を示すフローチャートである。 本発明の実施形態に従うIEEE 802.16e通信システムにおけるEAP-in-EAP認証において、SA-TEK 3ウェイハンドシェイク過程に対する信号の流れを示す信号流れ図である。

Claims (18)

  1. 通信システムにおける認証方法であって、
    移動端末機と、基地局と、権限・認証・アカウンティング(AAA)サーバーは、二重拡張可能認証プロトコル(EAP-in-EAP)方式を使用して、前記移動端末機に対する機器認証である第1のEAP認証を遂行して、第1のマスターセッションキー(MSK)を獲得する過程と、
    前記第1のEAP認証を遂行した後に、前記移動端末機と、前記基地局と、前記AAAサーバーは、前記EAP-in-EAP方式を使用して、前記移動端末機に対するユーザ認証である第2のEAP認証を遂行して第2のMSKを獲得する過程と、
    を含むことを特徴とする通信システムにおける認証方法。
  2. 前記移動端末機と前記基地局は、前記第1のMSKと前記第2のMSKとを使用して権限キー(AK)を生成する過程をさらに含むことを特徴とする請求項1記載の通信システムにおける認証方法。
  3. 前記AKを生成する過程は、
    前記第1のMSKを使用して第1のペアワイズマスターキー(PMK)を生成する過程と、
    前記第2のMSKを使用して第2のPMKを生成する過程と、
    前記第1のPMKと前記第2のPMKとを使用して前記AKを生成する過程と、
    を含むことを特徴とする請求項2記載の通信システムにおける認証方法。
  4. 前記第1のPMKを生成する過程は、前記第1のMSKを除去して前記第1のPMKを生成する過程を含むことを特徴とする請求項3記載の通信システムにおける認証方法。
  5. 前記第2のPMKを生成する過程は、前記第2のMSKを除去する過程を含むことを特徴とする請求項4記載の通信システムにおける認証方法。
  6. 前記第1のPMKと前記第2のPMKとを使用して前記AKを生成する過程は、前記第1のPMKと前記第2のPMKとの排他的論理和(XOR)並びに前記移動端末機の識別子及び前記基地局の識別子の連接を使用して、前記AKを生成する過程を含むことを特徴とする請求項5記載の通信システムにおける認証方法。
  7. 前記第1のPMKと前記第2のPMKとを使用して前記AKを生成する過程は、前記第1のPMKと第2のPMKとを数式5に適用して、前記AKを生成する過程を含むことを特徴とする請求項5記載の通信システムにおける認証方法。
    Figure 2008547350
    但し、前記数式5において、Dot16KDFは、前記AKを生成する関数を表し、PMKは、前記第1のPMKを表し、PMK2は、前記第2のPMKを表し、SSIDは、前記移動端末機の識別子を表し、BSIDは、前記基地局の識別子を表し、‘AK’は、前記Dot16KDF関数により生成されるAKであることを表し、160は、前記AKの長さが160ビットであることを表す。
  8. 前記第1のPMKと第2のPMKとを使用して前記AKを生成する過程は、前記第1のPMK並びに前記移動端末機の識別子、前記基地局の識別子及び前記第2のPMKの連接を使用して前記AKを生成する過程を含むことを特徴とする請求項5記載の通信システムにおける認証方法。
  9. 前記第1のPMKと前記第2のPMKとを使用して前記AKを生成する過程は、前記第1のPMKと前記第2のPMKを数式6に適用して前記AKを生成する過程を含むことを特徴とする請求項5記載の通信システムにおける認証方法。
    Figure 2008547350
    但し、数式6において、Dot16KDFは、AKを生成する関数を表し、PMKは、前記第1のPMKを表し、PMK2は、前記第2のPMKを表し、SSIDは、前記移動端末機の識別子を表し、BSIDは、前記基地局の識別子を表し、‘AK’は前記Dot16KDF関数により生成されるAKであることを表し、160は、前記AKの長さが160ビットであることを表す。
  10. 通信システムにおける認証システムであって、
    基地局と、権限・認証・アカウンティング(AAA)サーバーとを通じてEAP-in-EAP方式を使用して機器認証である第1の拡張可能認証プロトコル(EAP)認証を遂行して第1のマスターセッションキー(MSK)を獲得し、前記第1のEAP認証を遂行した後に、前記基地局と前記AAAサーバーを通じてEAP-in-EAP方式を使用してユーザ認証である第2のEAP認証を遂行して第2のMSKを獲得する移動端末機と、
    前記移動端末機と前記基地局を通じて前記第1のEAP認証を遂行して前記第1のMSKを獲得し、前記移動端末機と前記基地局を通じて前記第2のEAP認証を遂行して第2のMSKを獲得する前記AAAサーバーと、
    前記移動端末機と前記AAAサーバーを通じて前記第1のEAP認証を遂行して前記第1のMSKを獲得し、前記移動端末機と前記AAAサーバーを通じて前記第2のEAP認証を遂行して第2のMSKを獲得する前記基地局と、
    を含むことを特徴とする通信システムにおける認証システム。
  11. 前記移動端末機と前記基地局とは、前記第1のMSKと前記第2のMSKとを使用して権限キー(AK)を生成することを特徴とする請求項10記載の通信システムにおける認証システム。
  12. 前記移動端末機と前記基地局とは、前記第1のMSKを使用して第1のペアワイズマスターキー(PMK)を生成し、前記第2のMSKを使用して第2のPMKを生成し、前記第1のPMKと前記第2のPMKとを使用して前記AKを生成することを特徴とする請求項11記載の通信システムにおける認証システム。
  13. 前記移動端末機と前記基地局とは、前記第1のMSKを除去して前記第1のPMKを生成することを特徴とする請求項12記載の通信システムにおける認証システム。
  14. 前記移動端末機と前記基地局とは、前記第2のMSKを除去して前記第2のPMKを生成することを特徴とする請求項13記載の通信システムにおける認証システム。
  15. 前記移動端末機と前記基地局とは、前記第1のPMK及び第2のPMKの排他的論理和(XOR)並びに前記移動端末機の識別子及び前記基地局の識別子の連接を使用して前記AKを生成することを特徴とする請求項14記載の通信システムにおける認証システム。
  16. 前記移動端末機と前記基地局とは、前記第1のPMKと前記第2のPMKとを数式7に適用して前記AKを生成することを特徴とする請求項14記載の通信システムにおける認証システム。
    Figure 2008547350
    但し、数式7において、Dot16KDFは、AKを生成する関数を表し、PMKは、前記第1のPMKを表し、PMK2は、前記第2のPMKを表し、SSIDは、前記移動端末機の識別子を表し、BSIDは、前記基地局の識別子を表し、‘AK’は、前記Dot16KDF関数により生成されるAKであることを表し、160は、前記AKの長さが160ビットであることを表す。
  17. 前記移動端末機と前記基地局とは、前記第1のPMK並びに前記移動端末機の識別子、前記基地局の識別子及び前記第2のPMKの連接を使用して前記AKを生成することを特徴とする請求項14記載の通信システムにおける認証システム。
  18. 前記移動端末機と前記基地局は、前記第1のPMKと前記第2のPMKを数式8に適用して前記AKを生成することを特徴とする請求項14記載の通信システムにおける認証システム。
    Figure 2008547350
    但し、数式8において、Dot16KDFは、前記AKを生成する関数を表し、PMKは、前記第1のPMKを表し、PMK2は、前記第2のPMKを表し、SSIDは、前記移動端末機の識別子を表し、BSIDは、前記基地局の識別子を表し、‘AK’は前記Dot16KDF関数により生成されるAKであることを表し、160は前記AKの長さが160ビットであることを表す。
JP2008519176A 2005-07-02 2006-06-30 通信システムにおける認証システム及びその方法 Expired - Fee Related JP4647689B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20050059495A KR100770928B1 (ko) 2005-07-02 2005-07-02 통신 시스템에서 인증 시스템 및 방법
PCT/KR2006/002571 WO2007004824A1 (en) 2005-07-02 2006-06-30 Authentication system and method thereof in a communication system

Publications (2)

Publication Number Publication Date
JP2008547350A true JP2008547350A (ja) 2008-12-25
JP4647689B2 JP4647689B2 (ja) 2011-03-09

Family

ID=36763186

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008519176A Expired - Fee Related JP4647689B2 (ja) 2005-07-02 2006-06-30 通信システムにおける認証システム及びその方法

Country Status (10)

Country Link
US (1) US7724904B2 (ja)
EP (1) EP1739903B1 (ja)
JP (1) JP4647689B2 (ja)
KR (1) KR100770928B1 (ja)
CN (1) CN101208901B (ja)
AU (1) AU2006266651B2 (ja)
BR (1) BRPI0612566B1 (ja)
CA (1) CA2608261C (ja)
RU (1) RU2367098C1 (ja)
WO (1) WO2007004824A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9385862B2 (en) 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
JP2022516165A (ja) * 2019-01-02 2022-02-24 中国移動通信有限公司研究院 鍵生成方法、端末機器及びネットワーク機器

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090063851A1 (en) * 2006-03-20 2009-03-05 Nijdam Mark J Establishing communications
EP1865656A1 (en) * 2006-06-08 2007-12-12 BRITISH TELECOMMUNICATIONS public limited company Provision of secure communications connection using third party authentication
DE102006038592B4 (de) * 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
FI121560B (fi) * 2006-11-20 2010-12-31 Teliasonera Ab Todentaminen matkaviestintäyhteistoimintajärjestelmässä
KR101002799B1 (ko) 2007-03-21 2010-12-21 삼성전자주식회사 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치
US8145905B2 (en) 2007-05-07 2012-03-27 Qualcomm Incorporated Method and apparatus for efficient support for multiple authentications
US8335490B2 (en) * 2007-08-24 2012-12-18 Futurewei Technologies, Inc. Roaming Wi-Fi access in fixed network architectures
US8509440B2 (en) * 2007-08-24 2013-08-13 Futurwei Technologies, Inc. PANA for roaming Wi-Fi access in fixed network architectures
US7941663B2 (en) * 2007-10-23 2011-05-10 Futurewei Technologies, Inc. Authentication of 6LoWPAN nodes using EAP-GPSK
CN101471773B (zh) * 2007-12-27 2011-01-19 华为技术有限公司 一种网络服务的协商方法和系统
US9246679B2 (en) * 2007-12-28 2016-01-26 Intel Corporation Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks
CN101827361B (zh) * 2008-11-03 2012-10-17 华为技术有限公司 身份认证方法、可信任环境单元及家庭基站
US8443431B2 (en) * 2009-10-30 2013-05-14 Alcatel Lucent Authenticator relocation method for WiMAX system
EP2540057A2 (en) * 2010-02-26 2013-01-02 General instrument Corporation Dynamic cryptographic subscriber-device identity binding for subscriber mobility
CN102196438A (zh) 2010-03-16 2011-09-21 高通股份有限公司 通信终端标识号管理的方法和装置
US8839373B2 (en) 2010-06-18 2014-09-16 Qualcomm Incorporated Method and apparatus for relay node management and authorization
US9112905B2 (en) 2010-10-22 2015-08-18 Qualcomm Incorporated Authentication of access terminal identities in roaming networks
US9668128B2 (en) 2011-03-09 2017-05-30 Qualcomm Incorporated Method for authentication of a remote station using a secure element
US9801099B2 (en) * 2013-05-15 2017-10-24 Blackberry Limited Method and system for use of cellular infrastructure to manage small cell access
KR101861216B1 (ko) 2013-09-16 2018-05-28 콘비다 와이어리스, 엘엘씨 Eap/다이어미터를 통한 와이파이 qos의 이동 네트워크 운영자(mno) 제어
CN106162635A (zh) * 2015-04-01 2016-11-23 北京佰才邦技术有限公司 用户设备的认证方法和装置
NO340973B1 (en) 2015-12-22 2017-07-31 Aker Solutions As Subsea methane hydrate production
US10791093B2 (en) * 2016-04-29 2020-09-29 Avago Technologies International Sales Pte. Limited Home network traffic isolation
US20190372973A1 (en) * 2018-05-30 2019-12-05 Cisco Technology, Inc. Device onboarding with automatic ipsk provisioning in wireless networks

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005530277A (ja) * 2002-06-20 2005-10-06 クゥアルコム・インコーポレイテッド 通信システムにおけるキー発生方法及び装置
JP2008541590A (ja) * 2005-05-09 2008-11-20 スパイダー ナビゲイションズ エルエルシー 通信システムにおける証明を分配するための方法
JP2008545337A (ja) * 2005-06-30 2008-12-11 ルーセント テクノロジーズ インコーポレーテッド 無線通信システムにおけるハンドオフ中にセキュリティ・キーを配布する方法
JP2009500913A (ja) * 2005-06-30 2009-01-08 ルーセント テクノロジーズ インコーポレーテッド ペアワイズ・マスタ・キーを更新する方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2183051C2 (ru) 2000-04-12 2002-05-27 Военный университет связи Способ формирования ключа шифрования/дешифрования
US20040010713A1 (en) * 2002-07-12 2004-01-15 Vollbrecht John R. EAP telecommunication protocol extension
GB0221674D0 (en) 2002-09-18 2002-10-30 Nokia Corp Linked authentication protocols
CN1243434C (zh) * 2002-09-23 2006-02-22 华为技术有限公司 基于远程认证的网络中实现eap认证的方法
US7792527B2 (en) * 2002-11-08 2010-09-07 Ntt Docomo, Inc. Wireless network handoff key
CN1549494A (zh) * 2003-05-16 2004-11-24 华为技术有限公司 一种实现用户认证的方法
EP1528718B1 (en) 2003-10-30 2009-12-16 Research In Motion Limited Method for transmitting (receiving) cellular network information (e.g. MNC, NCC) by (from) a wireless local area network in an extensible authentication protocol (EAP)
KR100589677B1 (ko) * 2003-12-03 2006-06-15 삼성전자주식회사 휴대 인터넷 시스템 및 이의 인증 방법
CN1299526C (zh) 2003-12-10 2007-02-07 大唐电信科技股份有限公司 一种基于用户识别模块的无线局域网终端用户认证方法
US20050138355A1 (en) 2003-12-19 2005-06-23 Lidong Chen System, method and devices for authentication in a wireless local area network (WLAN)
KR20050109685A (ko) * 2004-05-17 2005-11-22 에스케이 텔레콤주식회사 휴대 인터넷 시스템에서 단말기 인증과 공존하는 확장된인증 프로토콜 기반의 사용자 인증 방법 및 시스템
KR100813295B1 (ko) * 2004-08-25 2008-03-13 한국전자통신연구원 무선 휴대 인터넷 시스템에서 eap를 이용한 보안 관계협상 방법
KR100704675B1 (ko) * 2005-03-09 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
JP4903792B2 (ja) * 2005-06-22 2012-03-28 エレクトロニクス アンド テレコミニュケーションズ リサーチ インスティチュート 無線携帯インターネットシステム用の認証キー識別子の割り当て方法
US7715562B2 (en) * 2006-03-06 2010-05-11 Cisco Technology, Inc. System and method for access authentication in a mobile wireless network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005530277A (ja) * 2002-06-20 2005-10-06 クゥアルコム・インコーポレイテッド 通信システムにおけるキー発生方法及び装置
JP2008541590A (ja) * 2005-05-09 2008-11-20 スパイダー ナビゲイションズ エルエルシー 通信システムにおける証明を分配するための方法
JP2008545337A (ja) * 2005-06-30 2008-12-11 ルーセント テクノロジーズ インコーポレーテッド 無線通信システムにおけるハンドオフ中にセキュリティ・キーを配布する方法
JP2009500913A (ja) * 2005-06-30 2009-01-08 ルーセント テクノロジーズ インコーポレーテッド ペアワイズ・マスタ・キーを更新する方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9385862B2 (en) 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
JP2022516165A (ja) * 2019-01-02 2022-02-24 中国移動通信有限公司研究院 鍵生成方法、端末機器及びネットワーク機器
JP7329604B2 (ja) 2019-01-02 2023-08-18 中国移動通信有限公司研究院 鍵生成方法、端末機器及びネットワーク機器

Also Published As

Publication number Publication date
RU2367098C1 (ru) 2009-09-10
KR20070003484A (ko) 2007-01-05
BRPI0612566A2 (pt) 2010-11-23
AU2006266651A1 (en) 2007-01-11
AU2006266651B2 (en) 2010-04-22
CA2608261A1 (en) 2007-01-11
CA2608261C (en) 2012-09-25
RU2007149329A (ru) 2009-07-10
CN101208901A (zh) 2008-06-25
BRPI0612566B1 (pt) 2019-05-14
KR100770928B1 (ko) 2007-10-26
JP4647689B2 (ja) 2011-03-09
US7724904B2 (en) 2010-05-25
EP1739903B1 (en) 2012-10-31
EP1739903A1 (en) 2007-01-03
US20070016780A1 (en) 2007-01-18
WO2007004824A1 (en) 2007-01-11
CN101208901B (zh) 2010-09-22

Similar Documents

Publication Publication Date Title
JP4647689B2 (ja) 通信システムにおける認証システム及びその方法
JP6727294B2 (ja) ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム
JP4897215B2 (ja) 通信システムにおけるキー発生方法及び装置
EP1900170B1 (en) Short authentication procedure in wireless data communications networks
CN1836404B (zh) 用于减小越区切换等待时间的方法和系统
CN102726080B (zh) 个人基本服务集中的站对站安全关联
CN103428690B (zh) 无线局域网络的安全建立方法及系统、设备
EP3700162B1 (en) Systems and methods for authentication
EP3767986B1 (en) Wwan-wlan aggregation security
RU2665064C1 (ru) Беспроводная связь, включающая в себя кадр обнаружения быстрого первоначального установления линии связи, fils, для сетевой сигнализации
KR20070051233A (ko) 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법
CN103313242B (zh) 密钥的验证方法及装置
JPWO2006003859A1 (ja) 通信ハンドオーバ方法及び通信メッセージ処理方法並びに通信制御方法
WO2009094942A1 (fr) Procédé et système de réseau de communication pour établir une conjonction de sécurité
WO2019029531A1 (zh) 触发网络鉴权的方法及相关设备
TW201039590A (en) Method for selecting an access point and apparatus for using the same
KR20160086148A (ko) 공중망을 이용한 가상 사설망 서비스를 제공하는 무선 vpn 단말의 인증 방법 및 이를 위한 시스템
WO2009051405A2 (en) Method of establishing security association in inter-rat handover
TW201703558A (zh) 處理認證程序的裝置及方法
KR20070007586A (ko) 광대역 무선 접속 통신 시스템에서 수권 방식 능력 협상시스템 및 방법

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101130

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101208

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131217

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4647689

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees