JP2014123979A - 無線通信システム用のグループ鍵の配布および管理のシステムおよび方法 - Google Patents

無線通信システム用のグループ鍵の配布および管理のシステムおよび方法 Download PDF

Info

Publication number
JP2014123979A
JP2014123979A JP2014033276A JP2014033276A JP2014123979A JP 2014123979 A JP2014123979 A JP 2014123979A JP 2014033276 A JP2014033276 A JP 2014033276A JP 2014033276 A JP2014033276 A JP 2014033276A JP 2014123979 A JP2014123979 A JP 2014123979A
Authority
JP
Japan
Prior art keywords
access
access node
active set
group key
access terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014033276A
Other languages
English (en)
Inventor
Tinnakornsrisuphap Peerapol
ピーラポル・ティンナコルンスリスプハプ
Fatih Ulupinar
ファティ・ウルピナー
Parag Arun Agashe
パラグ・アルン・アガシェ
Patwardhan Ravindra
ラビンドラ・パトワードハン
Prakash Rajat
ラジャット・プラカシュ
Narajanan Vid'ja
ビドヤ・ナラヤナン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of JP2014123979A publication Critical patent/JP2014123979A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/189Arrangements for providing special services to substations for broadcast or conference, e.g. multicast in combination with wireless systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】アクセス端末がグループ鍵を用いて暗号化されたブロードキャストメッセージの単一のコピーを送信することを可能にする、ブロードキャストメッセージセキュリティのための新規のグループ鍵配布および管理方式を提供する。
【解決手段】アクセス端末のアクセスノードのアクティブセットのメンバであるアクセスノードは、メッセージを復号し、理解することができる。グループ鍵が、アクセス端末によって生成され、配布中にグループ鍵を保護するために一時ユニキャスト鍵を使用して、アクセス端末のアクティブセット内のアクセスノードに配布される。アクセスノードがアクセス端末のアクセスノードのアクティブセットから除去されるたびに、新しいグループ鍵が提供される。
【選択図】図1

Description

さまざまな特徴は、無線通信システムに関係する。少なくとも1つの態様は、ブロードキャストメッセージセキュリティのためのグループ鍵の配布および管理のシステムおよび方法に関係する。
無線通信網は、通信デバイスが移動中に情報を伝送し、かつ/または受信することを可能にする。移動体アクセス端末との間での情報の転送を可能にするために、これらの無線通信網を他の公衆網または私有網に通信的に結合することができる。そのような通信網は、通常、アクセス端末(たとえば、移動体通信デバイス、携帯電話、無線ユーザ端末)に無線通信リンクを提供する複数のアクセスノード(たとえば、基地局)を含む。アクセスノードは、静止(たとえば、地面に固定される)または、可動(たとえば、衛星に取り付けられるなど)とし、アクセス端末が異なるカバレージエリアにまたがって移動する時に大面積カバレージを提供するように位置決めすることができる。
従来技術の集中無線網システムでは、中央ネットワークコントローラは、加入者を認証し、通信を確立し、通信を第1アクセスノードから第2アクセスノードにハンドオフするマネージャとして機能する。ネットワークコントローラは、通常、1つまたは複数のアクセス端末にサービスを提供する複数のアクセスノードを制御する。ハンドオフがアクセスノードの間で発生する時に、アクセス端末は、それが通信する各アクセスノードと共に一意のセキュリティ鍵を維持する。その結果、アクセス端末からの追加の無線シグナリングが、各アクセスノードとの通信を保護するために必要になる場合がある。
より高い柔軟性を実現するために、分散無線通信網システムまたは分配無線通信網システム(distributive wireless communication network system)を使用することができ、ここで、集中ネットワークコントローラは、除去されるか、通信管理におけるその役割が減らされるかのいずれかになる。しかし、そのような分散無線網アーキテクチャは、いくつかのセキュリティリスクを許す。たとえば、アクセス端末が、エアインターフェースメッセージなどのブロードキャストメッセージを、そのアクティブアクセスノードセット内のすべてのアクセスノードに送信することができる。しかし、攻撃者が、ブロードキャストメッセージを捏造し、捏造されたメッセージをアクセスノードに送信することができるが、アクセスノードは、そのようなブロードキャストメッセージの送信側の真正性またはアイデンティティを検証することができず、セキュリティリスクが生じる。
さらに、分配無線通信網システムでの集中ネットワークコントローラの減らされた役割または除去に伴って、あるアクセスノードから別のアクセスノードへの通信の安全なハンドオフが、セキュリティリスクを生じる可能性がある。
従来技術の上記の短所を考慮すると、ブロードキャストメッセージの受信者は、ブロードキャストメッセージを認証できることを必要とし、アンカアクセスノードは、要求するノードが現在アクティブセットの有効なメンバであることを検証できることを必要とする。その結果、グループ鍵が、アクティブセット内のアクセスノードの間のブロードキャストメッセージおよびバックホールメッセージの暗号化/認証のためにアクセス端末およびアクティブセット内のアクセスノードの間で共有される分配グループ鍵管理方式を提供する方法が必要である。言い換えると、アクセス端末がメッセージの単一のコピーをブロードキャストすることを可能にし、グループのメンバだけがそのメッセージを復号でき、理解できる方法が必要である。
1つの特徴は、アクセス端末(たとえば、移動体端末、無線ユーザ端末など)およびそのアクセス端末に関連するアクティブセット内の1つまたは複数のアクセスノード(たとえば、基地局など)の間でのグループ鍵の生成、配布、および管理のシステムおよび方法を提供する。具体的に言うと、アクセス端末がグループ鍵を1つまたは複数のアクセスノードに安全に送達する方法が提供される。グループ鍵は、アクセス端末によって生成し、アクティブセット内のアクセスノードに配布することができる。アクセスノードがアクセス端末に関連する信頼されるアクセスノードのアクティブセットから除去されるたびに、新しいグループ鍵を生成し、配布することができる。
通信インターフェースとプロセッサとを備えるアクセス端末を提供する。通信インターフェースを、少なくとも1つのアクセスノードと通信するように構成することができる。プロセッサを、(a)アクセスノードのアクティブセットリストを維持し、(b)アクティブセット内の各アクセスノードの一時ユニキャスト鍵を入手し、(c)アクティブセットの第1グループ鍵を生成し、(d)アクティブセット内の第1アクセスノードの第1一時ユニキャスト鍵を用いて第1グループ鍵を暗号化し、かつ/または(e)暗号化された第1グループ鍵を第1アクセスノードに送信するように構成することができる。プロセッサを、(a)アクティブセット内の他のアクセスノードの他の一時ユニキャスト鍵を用いて第1グループ鍵を暗号化し、かつ/または(b)暗号化された第1グループ鍵のそれぞれを、その一時ユニキャスト鍵を用いて第1グループ鍵のそれぞれを暗号化した対応するアクセスノードに送信するようにさらに構成することができる。一時ユニキャスト鍵のそれぞれは、アクセス端末と対応するアクセスノードとの両方に既知の対ごとの一時ユニキャスト鍵とすることができる。プロセッサを、第1グループ鍵を用いて暗号化されかつ/または署名されたマルチキャストメッセージを送信するようにさらに構成することができる。
プロセッサを、(a)通信インターフェースを介してアクセスノードについてスキャンし、(b)1つまたは複数のアクセスノードが識別される時に、1つまたは複数のアクセスノードをアクセスノードのアクティブセットに追加し、かつ/または(c)アクセスノードがアクティブセットに追加される時に、アクセスノードのそれぞれと共に一意の一時ユニキャスト鍵を確立するようにさらに構成することができる。
プロセッサを、(a)アクセスノードがそのアクティブセットから除去される時に、第1グループ鍵を第2グループ鍵に置換し、かつ/または(b)第2グループ鍵の暗号化された版をそのアクティブセット内のアクセスノードに配布し、第2グループ鍵の暗号化された版は、アクティブセット内の各アクセスノードの一時ユニキャスト鍵を用いて暗号化されるようにさらに構成することができる。
プロセッサを、(a)通信インターフェースを介して無線通信サービスに関する現在のサービングアクセスノード(serving access node)としてアクティブセットからアクセスノードを選択し、アクセス端末との間の無線通信は、サービングアクセスノードを介してルーティングされ、(b)アクティブセット内の異なるアクセスノードが現在のサービングアクセスノードよりよい無線通信サービスを提供できるかどうかを判定し、かつ/または(c)新しいサービングアクセスノードが現在のサービングアクセスノードよりよい無線通信サービスを提供する場合に、現在のサービングアクセスノードから新しいサービングアクセスノードに通信サービスを切り替えるようにさらに構成することができる。
アクセス端末上で動作する方法も提供される。アクセスノードのアクティブセットリストが、アクセス端末によって維持される。アクセス端末は、アクティブセット内の各アクセスノードの一時ユニキャスト鍵を入手し、アクティブセットの第1グループ鍵を生成することができる。第1グループ鍵を、アクティブセット内の第1アクセスノードの第1一時ユニキャスト鍵を用いて暗号化することができ、暗号化された第1グループ鍵は、アクセス端末によって第1アクセスノードに送信される。この方法は、第1グループ鍵を用いて暗号化/署名されたマルチキャストメッセージを送信することをさらに備えることができる。
この方法は、(a)アクティブセット内の他のアクセスノードの他の一時ユニキャスト鍵を用いて第1グループ鍵を暗号化すること、および/または(b)暗号化された第1グループ鍵のそれぞれを、その一時ユニキャスト鍵を用いて第1グループ鍵のそれぞれを暗号化した対応するアクセスノードに送信することをさらに備えることができる。
この方法は、(a)アクセスノードについてスキャンすること、(b)1つまたは複数のアクセスノードが識別される時に、1つまたは複数のアクセスノードをアクセスノードのアクティブセットに追加すること、および/または(c)アクセスノードがアクティブセットに追加される時に、アクセスノードのそれぞれと共に一意の一時ユニキャスト鍵を確立することをさらに備えることができる。
この方法は、(a)アクセスノードがそのアクティブセットから除去される時に、第1グループ鍵を第2グループ鍵に置換すること、および/または(b)第2グループ鍵の暗号化された版をそのアクティブセット内のアクセスノードに配布することであって、第2グループ鍵の暗号化された版は、アクティブセット内の各アクセスノードの一時ユニキャスト鍵を用いて暗号化される、配布することをさらに備えることができる。
この方法は、(a)無線通信サービスに関する現在のサービングアクセスノードとしてアクティブセットからアクセスノードを選択することであって、アクセス端末との間の無線通信は、サービングアクセスノードを介してルーティングされる、選択すること、(b)アクティブセット内の異なるアクセスノードが現在のサービングアクセスノードよりよい無線通信サービスを提供できるかどうかを判定すること、および/または(c)新しいサービングアクセスノードが現在のサービングアクセスノードよりよい無線通信サービスを提供する場合に、現在のサービングアクセスノードから新しいサービングアクセスノードに通信サービスを切り替えることをさらに備えることができる。
その結果、(a)アクセスノードのアクティブセットリストを維持するための手段、(b)アクティブセット内の各アクセスノードの一時ユニキャスト鍵を入手するための手段、(c)アクティブセットの第1グループ鍵を生成するための手段、(d)アクティブセット内の第1アクセスノードの第1一時ユニキャスト鍵を用いて第1グループ鍵を暗号化するための手段、および/または(e)暗号化された第1グループ鍵を第1アクセスノードに送信するための手段を備えるアクセス端末が提供される。
アクセス端末は、(a)アクティブセット内の他のアクセスノードの他の一時ユニキャスト鍵を用いて第1グループ鍵を暗号化するための手段、および/または(b)暗号化された第1グループ鍵のそれぞれを、その一時ユニキャスト鍵を用いて第1グループ鍵のそれぞれを暗号化した対応するアクセスノードに送信するための手段をさらに備えることができる。
アクセス端末は、(a)アクセスノードについてスキャンするための手段、(b)1つまたは複数のアクセスノードが識別される時に、1つまたは複数のアクセスノードをアクセスノードのアクティブセットに追加するための手段、および/または(c)アクセスノードがアクティブセットに追加される時に、アクセスノードのそれぞれと共に一意の一時ユニキャスト鍵を確立するための手段をさらに備えることができる。
アクセス端末は、(a)アクセスノードがそのアクティブセットから除去される時に、第1グループ鍵を第2グループ鍵に置換するための手段、および/または(b)第2グループ鍵の暗号化された版をそのアクティブセット内のアクセスノードに配布するための手段であって、第2グループ鍵の暗号化された版は、アクティブセット内の各アクセスノードの一時ユニキャスト鍵を用いて暗号化される、配布するための手段をさらに備えることができる。
アクセス端末および/またはアクセス端末上で動作する方法を、ソフトウェアおよび/またはプロセッサもしくは処理回路内で実施することもできる。
無線通信インターフェースおよび処理回路を備えるアクセスノードも提供される。無線通信インターフェースを、少なくとも1つのアクセス端末と通信するように適合させることができる。処理回路を、(a)一時ユニキャスト鍵を生成し、(b)アクセス端末のアクセスノードのアクティブセットに参加するために、一時ユニキャスト鍵をアクセス端末に送信し、かつ/または(c)アクセス端末のアクセスノードのアクティブセットに関連するグループ鍵を受信するように構成することができる。アクセスノードは、他のアクセスノードと通信するためのネットワーク通信インターフェースであって、転送されるブロードキャストメッセージは、ネットワーク通信インターフェースを介して送信される、ネットワーク通信インターフェースをさらに備えることができる。処理回路を、グループ鍵を使用して、それ自体をアンカアクセスノードに対して認証するようにさらに構成することができる。
処理回路を、(a)グループ鍵を用いて暗号化されたブロードキャストメッセージをアクセス端末から受信し、(b)グループ鍵を使用してブロードキャストメッセージを復号し、かつ/または(c)アクセス端末のアクセスノードのアクティブセット内の他のアクセスノードにブロードキャストメッセージを転送するようにさらに構成することができる。
処理回路を、(a)グループ鍵を用いて署名されたブロードキャストメッセージをアクセス端末から受信し、かつ/または(b)グループ鍵を使用してブロードキャストメッセージを認証するようにさらに構成することができる。
処理回路を、(a)アクセス端末との間で通信をルーティングするための第1サービングアクセスノードとして働くために、無線通信インターフェースを介してアクセス端末との無線通信サービスを確立し、(b)無線通信サービスを第2サービングアクセスノードにハンドオーバする要求をアクセス端末から受信し、(c)アクセス端末との無線通信サービスを終了し、かつ/または(d)ネットワーク通信インターフェースを介してアクセス端末のアンカアクセスノードとのデータトンネルを確立するようにさらに構成することができる。
アクセスノード上で動作する方法も提供される。一時ユニキャスト鍵が、生成され、アクセス端末のアクセスノードのアクティブセットに参加するために、アクセス端末に送信される。アクセス端末のアクセスノードのアクティブセットに関連するグループ鍵が受信される。
ブロードキャストメッセージを、アクセス端末から受信することができ、ブロードキャストメッセージは、グループ鍵を用いて暗号化される。次にブロードキャストメッセージを、グループ鍵を使用して復号することができる。ブロードキャストメッセージを、アクセス端末のアクセスノードのアクティブセット内の他のアクセスノードに転送することができる。
代替の方法では、ブロードキャストメッセージが、アクセス端末から受信され、ブロードキャストメッセージは、グループ鍵を用いて署名される。ブロードキャストメッセージを、グループ鍵を使用して認証することができる。
この方法は、(a)アクセス端末との間で通信をルーティングするための第1サービングアクセスノードとして働くために、無線通信インターフェースを介してアクセス端末との無線通信サービスを確立すること、(b)無線通信サービスを第2サービングアクセスノードにハンドオーバする要求をアクセス端末から受信すること、(c)アクセス端末との無線通信サービスを終了すること、および/または(d)ネットワーク通信インターフェースを介してアクセス端末のアンカアクセスノードとのデータトンネルを確立することをさらに備えることができる。アクセスノードは、グループ鍵を使用して、それ自体をアンカアクセスノードに対して認証することもできる。
その結果、(a)一時ユニキャスト鍵を生成するための手段、(b)アクセス端末のアクセスノードのアクティブセットに参加するために、一時ユニキャスト鍵を無線通信インターフェースを介してアクセス端末に送信するための手段、(c)アクセス端末のアクセスノードのアクティブセットに関連するグループ鍵を受信するための手段、および/または(d)アクセス端末との間で通信をルーティングするための第1サービングアクセスノードとして働くために、アクセス端末との無線通信サービスを確立するための手段を備えるアクセスノードが提供される。
さらに、アクセスノードは、(a)グループ鍵を用いて暗号化されたマルチキャストメッセージをアクセス端末から受信するための手段、(b)グループ鍵を使用してマルチキャストメッセージを復号するための手段、および/または(c)アクセス端末のアクセスノードのアクティブセット内の他のアクセスノードにマルチキャストメッセージを転送するための手段をさらに備えることができる。
アクセスノードは、(a)無線通信サービスを第2サービングアクセスノードにハンドオーバする要求をアクセス端末から受信するための手段、および/または(b)アクセス端末との無線通信サービスを終了するための手段をさらに備えることができる。
アクセスノードおよび/またはアクセスノード上で動作する方法を、ソフトウェアおよび/またはプロセッサもしくは処理回路内で実施することもできる。
本特徴の特徴、性質、および利益は、図面と共に解釈される時の下に示された詳細な説明からより明白にすることができ、図面では、同様の符号が、全体を通じて一致して同一になる。
グループ鍵配布および/またはグループ鍵管理をマルチキャストメッセージセキュリティのために実施できる無線通信システムを示す図。 図1の無線通信システムの代替構成を示す図。 マルチキャストメッセージセキュリティのためのグループ鍵の配布および管理を伴う無線通信システムの動作の一例を示す流れ図。 マルチキャストメッセージセキュリティのためのグループ鍵の配布および管理を伴う無線通信システムの動作の一例を示す流れ図。 マルチキャストメッセージセキュリティのためのグループ鍵の配布および管理を伴う無線通信システムの動作の一例を示す流れ図。 マルチキャストメッセージセキュリティのためのグループ鍵の配布および管理を伴う無線通信システムの動作の一例を示す流れ図。 マルチキャストメッセージを認証し、要求するアクセスノードが現在アクティブセットの有効なメンバであることを検証するのに使用できるグループ鍵配布方式を示す図。 マルチキャストメッセージセキュリティのためのグループ鍵の配布および管理を実行するように構成されたアクセス端末を示すブロック図。 アクセスノードのアクティブセットにアクセスノードを追加するためにアクセス端末内で動作する方法を示す流れ図。 アクセスノードのアクティブセットからアクセスノードを除去し、グループ鍵を置換するためにアクセス端末内で動作する方法を示す流れ図。 マルチキャストメッセージをアクセスノードのアクティブセットにブロードキャストするためにアクセス端末内で動作する方法を示す流れ図。 第1サービングアクセスノードから第2サービングアクセスノードまたは新しいサービングアクセスノードに変更するためにアクセス端末内で動作する方法を示す流れ図。 アクセス端末から1つまたは複数のアクセスノードへの安全なマルチキャストメッセージ配布を容易にするためにアクセス端末内で動作する方法を示す流れ図。 グループ鍵配布および/またはグループ鍵管理を容易にするように構成されたアクセスノードを示すブロック図。 アクセス端末に関連するアクセスノードのアクティブセットに参加するためにアクセスノード内で動作する方法を示す流れ図。 アクセス端末に関連するアクティブセットのグループ鍵を置換するためにアクセスノード内で動作する方法を示す流れ図。 アクセス端末からマルチキャストメッセージを受信し、復号するためにアクセスノード内で動作する方法を示す流れ図。 新しいサービングアクセスノードへの通信サービスの安全なハンドオーバを容易にするために現在のサービングアクセスノード内で動作する方法を示す流れ図。 特定のアクセス端末に関する異なるサービングアクセスノードへの安全な通信転送を容易にするためにアンカアクセスノード内で動作する方法を示す流れ図。 アクセス端末から1つまたは複数のアクセスノードへの安全なマルチキャストメッセージ配布を容易にするためにアクセスノード上で動作する方法を示す流れ図。
次の説明では、実施形態の完全な理解を提供するために、特定の詳細を与える。しかし、当業者は、これらの特定の詳細なしで実施形態を実践できることを理解するであろう。たとえば、回路が、不必要な詳細で実施形態を不明瞭にしないようにするために、ブロック図で示される場合がある。他の場合に、周知の回路、構造、および技法が、実施形態を不明瞭にしないようにするために、詳細に示される場合がある。
また、実施形態が、フローチャート、流れ図、構造図、またはブロック図として示されるプロセスとして説明される場合があることに留意されたい。フローチャートは、順次プロセスとして動作を説明することができるが、動作の多くを、並列にまたは同時に実行することができる。さらに、動作の順序を配置しなおすことができる。プロセスは、動作が完了した時に打ち切られる。プロセスは、メソッド、関数、手続き、サブルーチン、サブプログラムなどに対応することができる。プロセスが関数に対応する時には、その終了は、呼出し側関数またはメイン関数へのその関数のリターンに対応する。
さらに、記憶媒体は、読取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気ディスク記憶媒体、光記憶媒体、フラッシュメモリデバイス、および/または情報を格納する他の機械可読媒体を含む、データを格納する1つまたは複数のデバイスを表すことができる。用語「機械可読媒体」は、ポータブルまたは固定式のストレージデバイス、光ストレージデバイス、無線チャネル、ならびに命令(1つまたは複数)および/またはデータを格納し、含み、あるいは担持することのできるさまざまな他の媒体を含むが、これらに限定はされない。
さらに、実施形態を、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、またはこれらの任意の組合せによって実施することができる。ソフトウェア、ファームウェア、ミドルウェア、またはマイクロコードで実施される時に、必要なタスクを実行するためのプログラムコードまたはコードセグメントを、記憶媒体または他のストレージ(1つまたは複数)などの機械可読媒体に格納することができる。プロセッサが、必要なタスクを実行することができる。コードセグメントは、手続き、関数、サブプログラム、プログラム、ルーチン、サブルーチン、モジュール、ソフトウェアパッケージ、クラス、または命令、データ構造、もしくはプログラムステートメントの任意の組合せを表すことができる。コードセグメントを、情報、データ、引数、パラメータ、またはメモリ内容を渡すことおよび/または受け取ることによって、別のコードセグメントまたはハードウェア回路に結合することができる。情報、引数、パラメータ、データなどを、メモリ共用、メッセージパッシング、トークンパッシング、網伝送などを含む任意の適切な手段を介して渡し、転送し、または伝送することができる。
本明細書で開示される例に関連して説明されるさまざまな例示的な論理ブロック、モジュール、回路、エレメント、および/またはコンポーネントを、汎用プロセッサ、ディジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)もしくは他のプログラマブルロジックコンポーネント、ディスクリートゲートまたはトランジスタロジック、ディスクリートハードウェアコンポーネント、または本明細書で説明される機能を実行するように設計された、これらの任意の組合せを用いて実施しまたは実行することができる。汎用プロセッサは、マイクロプロセッサとすることができるが、代替案では、プロセッサを、従来のプロセッサ、コントローラ、マイクロコントローラ、または状態機械とすることができる。プロセッサを、コンピューティングコンポーネントの組合せ、たとえば、DPSおよびマイクロプロセッサの組合せ、複数のマイクロプロセッサ、DSPコアに関連する1つまたは複数のマイクロプロセッサ、あるいは任意の他のそのような構成として実施することもできる。
本明細書で開示される例に関連して説明される方法またはアルゴリズムを、ハードウェアで直接に、プロセッサによって実行可能なソフトウェアモジュールで、もしくはこの両方の組合せで、処理ユニット、プログラミング命令、または他の指示の形で実施することができ、単一のデバイスに含めるか、複数のデバイスにまたがって分散させることができる。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバブルディスク、CD−ROM、または当技術分野で既知の任意の他の形の記憶媒体に常駐することができる。プロセッサが記憶媒体から情報を読み取り、記憶媒体に情報を書き込むことができるように、記憶媒体をプロセッサに結合することができる。代替案では、記憶媒体を、プロセッサに一体化することができる。
無線通信では、アクセス網を、インターネットなどの広域ネットワーク(WAN)または公衆交換電話網(PSTN)に任意の個数のアクセス端末を接続するのに使用することができる。アクセス網は、通常、ある地理的領域全体に散在する複数の固定サイトアクセスノードを用いて実施される。地理的領域は、一般に、セルに分割される。各アクセスノードは、セル内のアクセス端末にWANへのアクセスの点を提供するように構成される。用語「アクセス網」は、1つまたは複数のアクセス端末(たとえば、有線または無線の)がそれを用いて通信できるアクセスノード(AN)の集合を指す場合がある。アクセス網は、複数のアクセス端末(AT)の間でデータパケットを輸送することができる。さらに、アクセス網を、会社イントラネットまたはインターネットなどのアクセス網の外部の追加網に通信的に結合することができ、アクセス網は、各アクセス端末とそのような外部網との間でデータパケットを輸送することができる。
本明細書で説明される伝送技法を、符号分割多元接続(CDMA)システム、時割多元接続(TDMA)システム、周波数分割多元接続(FDMA)システム、直交周波数分割多元接続(OFDMA)システム、SC−FDMA(single carrier FDMA)システムその他などのさまざまな無線通信システムに使用することもできる。OFDMAシステムは、直交周波数分割多重(OFDM)を使用し、このOFDMは、全体的なシステム帯域幅を複数(K個)の直交副搬送波に区分する変調技法である。これらの副搬送波(SC)は、トーン、ビンなどとも呼ばれる。OFDMを用いると、各副搬送波を、データを用いて独立に変調することができる。SC−FDMAシステムは、システム帯域幅にまたがって分散する副搬送波上で伝送するのにIFDMA(interleaved FDMA)を、隣接する副搬送波の1つのブロックで伝送するのにLFDMA(localized FDMA)を、隣接する副搬送波の複数のブロックで伝送するのにEFDMA(enhanced FDMA)を利用することができる。一般に、変調記号は、OFDMでは周波数領域、SC−FDMAでは時間領域で送信される。
本明細書で使用される時に、アクセスノードは、アクセス端末と通信するのに使用される固定局とすることができ、基地局、Node B、またはある他の用語法と称する場合もあり、それらの機能性の一部またはすべてを含むことができる。アクセス端末を、ユーザ機器(UE)、無線通信デバイス、端末、移動体端末、移動局、携帯電話、またはある他の用語法と称する場合もあり、それらの機能性の一部またはすべてを含むことができる。用語「ブロードキャスト」および「マルチキャスト」は、1対多伝送を指すのに交換可能に使用される場合がある。一方、用語「ユニキャスト」は、特定の受信者宛のターゲティングされた伝送が中間中継器を通過する場合であっても、そのような伝送を指すことができる。
1つの特徴は、アクセス端末(たとえば、移動体端末、無線ユーザ端末など)と、そのアクセス端末に関連するアクティブセット内の1つまたは複数のアクセスノード(たとえば、基地局など)との間でグループ鍵を生成し、配布し、管理するシステムおよび方法を提供する。具体的に言うと、アクセス端末が1つまたは複数のアクセスノードにグループ鍵を安全に送達する方法が提供される。グループ鍵を、アクセス端末によって生成し、そのアクティブセット内のアクセスノードに配布することができる。アクセスノードが、アクセス端末に関連する信頼されるアクセスノードのアクティブセットから除去されるたびに、新しいグループ鍵を生成し、配布することができる。
グループ鍵を各アクセスノードに配布するために、一意の一時ユニキャスト鍵を、アクセス端末とアクティブセット内のアクセスノードとの間で確立することができる。これは、たとえば、アクセスノードがアクセス端末のアクティブセットに追加される時に行うことができる。アクセス端末は、アクティブセット内のアクセスノードのそれぞれに関連する一意の一時ユニキャスト鍵のそれぞれを使用して、新しいグループ鍵を暗号化する。暗号化された後に、アクセス端末は、新しいグループ鍵を含む各個々の暗号化されたメッセージを、そのメッセージがそれのために暗号化されたアクセスノードに送信しまたはユニキャストする。各アクセスノードは、新しいグループ鍵を入手するために、それ自体の一意の一時ユニキャスト鍵を使用してそのメッセージを復号する。
その後、アクセス端末は、アクティブセット内のアクセスノードのうちの1つまたは複数が以前に配布されたグループ鍵を使用してメッセージを復号できるようにするために、グループ鍵を使用して新しいメッセージを暗号化し、そのメッセージをブロードキャストすることができる。グループ鍵によって暗号化されたメッセージを、アクセス端末によって1回だけブロードキャストしまたはマルチキャストすることができるので、異なる鍵を用いて暗号化された同一のメッセージの複数のコピーまたは版は、不要である。アクティブセット内のアクセスノードに宛てられた、グループ鍵を用いて暗号化されたメッセージを、ブロードキャストメッセージまたはマルチキャストメッセージとすることができる。マルチキャストメッセージを送信することによって、メッセージを1回だけ送信することができるので、エアリソースが節約される。一例では、そのようなマルチキャストメッセージは、アクティブセット内のすべてのアクセスノードへのアクセス端末の状況の更新を含むことができる。これは、アクセス端末が任意の所与の時にアクセスノードのうちの1つだけと通信する従来技術の手法より効率的な、アクセス端末からアクセスノードへのフィードバックをもたらす。その結果、これは、アクセスノードがより自律的に動作することを可能にすることができる。
もう1つの特徴では、アクティブセットのアクセスノードの間での認証を容易にするために、前記アクセスノードの間でグループ鍵を利用することができる。これは、アクセスノードが、それらの間で情報またはメッセージを送信する前に互いを認証することを可能にすることができる。たとえば、第1のアクセスノードを、任意の所与の時にアクセス端末によってサービングアクセスノードとして選択することができる。サービングアクセスノードは、アクセス端末に関する通信が他の網によってそれを介して送信されるアンカノードとして動作する第2アクセスノードとのデータトンネルを要求することができる。アクセス端末にデータを送達するために、アンカノードは、まず、グループ鍵を使用してサービングアクセスノードを認証する(たとえば、アンカノードは、要求するノードがアクセス端末のアクティブセットの有効なメンバであることを認証する)。要求する/サービングアクセスノードが成功して認証される場合には、データトンネルが、アンカノードと、アクセス端末へおよび/またはアクセス端末からの通信がそれを介して発生し得るサービングアクセスノードとの間で確立される。この形で、グループ鍵を、アクセスノードの間でアクセス端末に関する通信を転送するトンネリングを容易にするのに使用することができる。
図1に、グループ鍵配布および/またはグループ鍵管理をマルチキャストメッセージセキュリティのために実施できる無線通信システム100を示す。無線通信システム100は、複数のセル、たとえばセル102、104、106、および108を含むことができる。各セル102、104、106、および108は、セル内の複数のセクタにカバレージを提供するアクセスノード(たとえば、1つまたは複数の基地局)110、112、114、および116を含むことができる。セル102、104、106、および108内のアクセスノード110、112、114、および116は、1つまたは複数のアクセス端末に網接続サービスを提供することができる。各アクセスノード110、112、114、および116は、セル内の複数のセクタにまたがって移動体端末(たとえば、ユーザ端末)に網カバレージを提供する1つまたは複数のアンテナ120を含むことができる。たとえば、セル102内では、アクセスノード110が、アンテナ120のグループを含み、各アンテナは、セル102内の異なるセクタに網カバレージを提供する。同様に、セル104、106、および108内では、アクセスノード112、114、および116が、アンテナのグループを含むことができ、各アンテナは、セル内の異なるセクタに網カバレージを提供する。本明細書で使用される時に、アクセスノードからアクセス端末への伝送を、順方向リンクまたはダウンリンクと称する場合があり、アクセス端末からアクセスノードへの伝送を、逆方向リンクまたはアップリンクと称する場合がある。
一特徴によれば、アクティブセット内のアクセスノードのうちの1つは、アクセス端末118のアンカノードすなわち、他の網との通信を容易にし、直接にまたは他のアクセスノードを介してのいずれかでアクセス端末118に通信を転送する責任を負うインターフェース(たとえば、ゲートウェイ)として動作しまたは機能することができる。アンカノードは、アクセス端末118が、異なるアクセスノードによってサービスされ得る異なるセル(たとえば、異なる無線カバレージエリア)を通ってローミングしまたは移動することができる時の、他の網がそれを介してアクセス端末118と通信できる共通インターフェース点を提供することができる。その結果、アンカノードは、従来技術の通信システムでネットワークコントローラによって実行された機能のうちのいくつか(たとえば、呼セッション転送、データルーティングなど)を実行することができる。
図1の例では、アクセスノードA(AN−A)110は、アクセス端末118へ/からのトラヒックまたは通信を管理するためにアンカノードとして働くことができる。アクセス端末118へのトラヒックまたは通信は、現在のサービングアクセスノードへのトラヒック/通信を転送するアンカノード110を通過する。サービングアクセスノードとは、アクセス端末118に関する他の網へ/からの無線ゲートウェイとして機能する、アクティブセット内のノードである。サービングアクセスノードは、アクセス端末へ/からのトラヒックまたは通信をアンカノード110を介して送達する。サービングアクセスノードは、アクセス端末からアクセス端末118のアクティブセット内の各アクセスノードへの暗号化されたマルチキャストメッセージをも転送することができる。サービングアクセスノードは、メッセージの事前の復号なしに、単に暗号化されたメッセージを転送することができる。アクティブセット内の任意のアクセスノードを、任意の所与の時に、サービングアクセスノードとして選択することができる。この例では、アクセスノードB(AN−B)112は、特定の時刻ti+1にアクセス端末118に最も近い場合があり、サービングアクセスノードとして選択される。選択された後に、サービングアクセスノード112は、データ/通信をアクセス端末118に送達できるようにアンカノード110とのデータトンネル122を確立することを要求することができる。アンカノード110は、サービングアクセスノードとして働くためのアクセスノード要求が、アクセス端末118のアクティブセットの現在有効なメンバであることを検証することができる。同様に、時刻ti+2に、アクセス端末118がセル106に移動しまたはローミングすることができる時に、アクセスノードC 114が、アンカノード110との通信データトンネル124を確立することによって、アクセス端末118のサービングアクセスノードになることができる。より後の時刻ti+3に、アクセス端末118がセル108に移動しまたはローミングすることができる時に、アクセスノードD 116が、アンカノード110との通信データトンネル126を確立することによって、アクセス端末118のサービングアクセスノードになることができる。その結果、アンカノードA 110は、アクセス端末118への着信通信をそれを介して現在のサービングアクセスノードに転送でき、アクセス端末118からの発信通信がそれを介して他の網に通ることができる、ゲートウェイである。
アクセス端末118が、異なるセルまたはセクタの間で移動しまたはローミングする時に、ローカルアクセスノードは、サービングアクセスノードになることを要求することができる。各アクセスノード110、112、114、および116は、アクセス端末118との関連付けのためのそれ自体の一意の一時ユニキャスト鍵(TUK)を有することができる。TUKは、アクセスノードおよび/またはアクセス端末のいずれかによって生成でき、アクセスノードとアクセス端末との間で維持される。たとえば、時刻tに、アクセス端末118aは、アクセス端末118とアクセスノード110との間の通信リンクに一意に関連する保護された一時ユニキャスト鍵A(TUK_A)を使用して、アクセスノードA(AN−A)110との通信を当初に保護することができる。鍵TUK_Aは、たとえばアクセスノードA 110が初めてアクティブセットに追加される時に、アクセス端末118とアクセスノードA 110との間でネゴシエートすることができる。より後の時刻ti+1に、アクセス端末118bが異なるセクタまたはセル104に移動するかローミングする時に、その無線通信サービス(たとえば、通信セッション)を、アクセスノードB(AN−B)112にハンドオフすることができる。アクセス端末118bは、アクセス端末118とアクセスノードB 112との間の通信リンクに一意に関連する保護された一時ユニキャスト鍵B(TUK_B)を使用して、アクセスノードB(AN−B)112との通信を保護することができる。同様に、時刻ti+2に、アクセス端末118cがセル106に移動する時に、アクセス端末118cは、アクセス端末118とアクセスノードC 114との間の通信リンクに一意に関連する保護された一時ユニキャスト鍵C(TUK_C)を使用して、アクセスノードC(AN−C)114との通信を保護することができる。より後の時刻ti+3に、アクセス端末118dは、アクセス端末118とアクセスノードD(AN−D)116との間の通信リンクに一意に関連する保護された一時ユニキャスト鍵D(TUK_D)を使用して、アクセスノードD(AN−D)116との通信を保護することができる。
グループ鍵GKをそのアクティブセット内のアクセスノードに配布するために、アクセス端末118は、特定のTUKに関連するアクセスノードに送信されまたはユニキャストされるグループ鍵GKを含むメッセージを暗号化するのに各アクセスノードの一意TUKを利用することができる。すなわち、アクセス端末は、新しいグループ鍵を含む各個々の暗号化されたメッセージを、そのメッセージがそれのために暗号化されるアクセスノードに送信しまたはユニキャストする。たとえば、アクセス端末118は、グループ鍵GKを安全に暗号化し、アクセスノードA 110に送信するのに、TUK_Aを利用することができる。同様に、アクセス端末118は、グループ鍵GKを暗号化し、直接にまたは別のアクセスノードを介してのいずれかでアクセスノードB 112、C 114、およびD 116に送信するのに、それぞれTUK_B、TUK_C、およびTUK_Dを利用することができる。その結果、各アクセスノードは、同一のグループ鍵GKを受信するが、グループ鍵GKを復号するのに異なるTUKを利用することができる。
グループ鍵GKが配布された後に、アクセス端末118は、そのアクセス端末のアクティブセット内のアクセスノード(たとえば、アクセスノードA 110、B 112、C 114、および/またはD 116)にメッセージ(たとえば、状況情報など)を送信し、ブロードキャストし、かつ/またはマルチキャストすることができる。いくつかの場合に、無線ブロードキャストを受信するためにはアクセス端末118から遠すぎるアクセスノードは、その無線ブロードキャストをアクティブセット内の別のアクセスノードから中継器を介して受信することができる。
いくつかの例では、アクセス端末118は、1つまたは複数のセルの複数のセクタと通信している場合がある。これは、アクセス端末118が移動する時、正しい容量管理のため、および/または他の理由から、通信セッションを異なるセクタまたはセルの間でハンドオフすることを可能にするために行うことができる。その結果、アクセス端末118が異なるセル102、104、106、および108にまたがって移動する時に、アクセス端末118は、アクセスノード110、112、114、および116と通信している場合がある。
もう1つの特徴によれば、グループ鍵GKを、アクセス端末118に関連するアクティブセット内のアクセスノードの間で、互いを認証するのに使用することができる。たとえば、アクセス端末があるセルから別のセルに移動する時に、そのサービングアクセスノードが、現在のサービングアクセスノードから新しいサービングアクセスノードに変化する場合がある。アンカアクセスノードは、新しいアクセスノードへの通信の転送を開始するために、まず、新しいアクセスノードがアクセス端末118のアクティブセットに属することを検証するために新しいアクセスノードを認証することができる。一例では、アクセス端末118cは、セル106に移動する時に、そのサービングアクセスノードとしてアクセスノードCを介して通信することを望む場合がある。アクセス端末118cの通信を新しいサービングアクセスノード114に転送し始めるために、要求をアンカノード110に送信することができる。アンカアクセスノード110は、たとえば、新しいサービングアクセスノード114がそのアクセス端末のアクティブセットに属することを検証するために、新しいサービングアクセスノード114を認証することができる。そのような認証は、新しいサービングアクセスノード114もアクティブセットのグループ鍵GKを知っていることを検証することを含むことができる。
図2に、図1の無線通信システム100の代替構成を示す。この構成では、アクセス端末の通信は、図1のように集中アンカアクセスノードではなく、以前のサービングアクセスノードから新しいサービングアクセスノードに転送される。この例では、通信を複数のアクセスノードの間で転送できる転送特徴が示されている。アクセス端末118が異なるセルの間でローミングしまたは移動する時に、アクセス端末118は、そのサービングアクセスノードを変更することができる。アンカノード110と現在のサービングアクセスノードとの間の直接通信リンクを確立する(図1に示されているように)のではなく、現在のサービングアクセスノードは、その通信を以前のサービングアクセスノードを介して受信することができる。たとえば、特定の時刻ti+1に、アクセスノードB 112が、アクセス端末118bのサービングアクセスノードである場合があり、アンカアクセスノードA 110との通信データトンネル222を有する。時刻ti+2に、アクセス端末118cが、セル106に移動し、アクセスノードC 114をそのサービングアクセスノードにしようと努める場合がある。したがって、アクセスノードB 112との通信データトンネル224が、確立される。同様に、時刻ti+3に、アクセス端末118cが、セル108に移動し、アクセスノードD 116をそのサービングアクセスノードにしようと努める場合がある。したがって、アクセスノードC 114との通信データトンネル226が、確立される。各ステージでは、以前のサービングアクセスノードは、通信データトンネルを確立する前に、新しいサービングアクセスノードを認証することができる(たとえば、グループ鍵GKを使用することによって)。
さまざまな例で、無線通信システム100(図1および2の)を、たとえば、とりわけultra mobile broadband(UMB)網、universal mobile telecommunications systems(UMTS)、Wideband CDMA網を含む、2G網および3G網で実施することができる。
図3(図3A、3B、3C、および3Dを含む)は、マルチキャストメッセージセキュリティのためのグループ鍵の配布および管理を伴う無線通信システムの動作の一例を示す流れ図である。この例では、図1のアクセス端末118、アクセスノードA(AN−A)110、アクセスノードB(AN−B)112、アクセスノードC(AN−C)114、およびアクセスノードD(AN−D)116が、例示のために使用される。
第1の特徴によれば、アクセス端末は、アクセスノードのその端末のアクティブセットに新しいアクセスノードを追加し、グループ鍵を新しいアクセスノードに安全に配布することができる。当初に、アクセスノード110、112、および114は、アクティブセット内にあり、各アクセスノードは、アクセス端末118と共に、一意の一時ユニキャスト鍵(TUK)、たとえばそれぞれTUK_A 302、TUK_B 304、およびTUK_C 306を確立済みとすることができる。アクティブセットの各メンバは、第1グループ鍵GK1を有することができる。一例では、アクセス端末118は、そのアクティブセットにアクセスノードD(AN−D)116などの別のアクセスノードを追加することができる。これは、たとえば、アクセス端末が新しいアクセスノードD(AN−D)116の無線接続範囲内に来る時に発生する可能性がある。新しいアクセスノードを追加するために、アクセス端末118は、アクセスノードD(AN−D)と共に一意の一時ユニキャスト鍵(TUK_D)を確立することができる308。アクセスノードD(AN−D)に関連する一意の一時ユニキャスト鍵TUK_Dを使用して、アクセス端末118は、メッセージ内で第1グループ鍵GK1を暗号化し310、暗号化された第1グループ鍵GK1を伴うこのメッセージをアクセスノードDに伝送することができる312。アクセスノードD 116は、第1グループ鍵GK1を入手するために、その一意の一時ユニキャスト鍵(TUK_D)を使用してメッセージを復号することができる314。アクセス端末118は、第1グループ鍵GK1を使用してアクティブセット内のアクセスノードによって復号/検証317され得る第1グループ鍵GK1を用いて暗号化されまたは署名されたマルチキャストメッセージをブロードキャストすることができる316。すなわち、安全なメッセージ伝送が望まれる場合には、マルチキャストメッセージを、アクセス端末118によって第1グループ鍵GK1を使用して暗号化し、同一のグループ鍵GK1を使用してアクセスノードによって復号する(受信時に)ことができる。代替案では、単なる認証/検証が望まれる(たとえば、非プライベート情報について)場合に、アクセス端末118は、グループ鍵GK1を使用してマルチキャストメッセージに署名することができ、このマルチキャストメッセージを、受信するアクセスノードによって同一のグループ鍵GK1を使用して検証することができる。
いくつかの場合に、アクセス端末118が、そのアクティブセット内の1つまたは複数のアクセスノードと直接には通信できない場合がある。たとえば、アクセスノードA(AN−A)110が、ブロードキャスト316を受信するにはアクセス端末118から遠すぎる場合がある。これらの場合に、アクセス端末118は、その後にメッセージを所期の受信者アクセスノードA 110に転送できる別のアクセスノードを介してアクセスノードA 110に間接にマルチキャストメッセージを送信することができる。このメッセージはグループ鍵GK1を用いて暗号化されるので、メッセージ内容は安全である。
第2の特徴によれば、アクセス端末は、そのアクセスノードのアクティブセットからアクセスノードを除去し、グループ鍵を安全に置換することができる。一例では、アクセス端末118は、そのアクティブセットからアクセスノードC(AN−C)114などのアクセスノードを除去することができる。アクセスノードC(AN−C)114を除去するために、アクセスノードC(AN−C)114とアクセス端末118との間の通信を終了することができる318。次に、アクセス端末118は、そのアクティブセットからアクセスノードC(AN−C)114を除去することができる320。しかし、除去されたアクセスノードC 114が後続のマルチキャストメッセージ(第1グループ鍵GK1を用いて暗号化される)を復号するのを防ぐために、新しいグループ鍵GK2が生成され324、配布される。アクセスノードC 114がアクティブセットから除去された後に、アクセス端末118は、新しいグループ鍵GK2を生成する324のに使用できる乱数(Rx)を生成することができる322。新しいグループ鍵GK2が生成された後に、アクセス端末118は、そのアクティブセット内のすべてのアクセスノード、この例ではAN−A 110、AN−B 112、およびAN−D 116に新しいグループ鍵GK2を配布することができる。
新しいグループ鍵GK2をAN−B 112に送信するために、アクセス端末118は、一意の一時ユニキャスト鍵TUK_Bを使用して新しいグループ鍵GK2を暗号化し326、暗号化された新しいグループ鍵GK2をアクセスノードB(AN−B)に伝送することができる328。配布の前に新しいグループ鍵GK2を暗号化することによって、潜在的な盗聴者がグループ鍵GK2を入手することが防がれる。アクセスノードAN−B112は、アクセス端末118によってブロードキャストされる後続のマルチキャストメッセージを復号できるようにするために新しいグループ鍵GK2を入手するために、TUK−Bを使用して暗号化されたグループ鍵GK2を復号することができる330。アクセス端末118は、同様に、アクセスノードD 116の一意の一時ユニキャスト鍵TUK_Dを用いて新しいグループ鍵GK2を暗号化することができ332、暗号化されたグループ鍵GK2をアクセスノードD(AN−D)に伝送することができる334。アクセスノードAN−D 116は、アクセス端末118によってブロードキャストされる後続のマルチキャストメッセージを復号できるようにするために新しいグループ鍵GK2を入手するために、TUK_Dを使用して暗号化されたグループ鍵GK2を復号することができる336。アクセス端末118は、一意の一時ユニキャスト鍵TUK_Aを用いてグループ鍵GK2を暗号化し338、暗号化されたグループ鍵GK2をアクセスノードA(AN−A)に伝送することができる340。アクセスノードA(AN−A)110は、アクセス端末118によってブロードキャストされる後続のマルチキャストメッセージを復号できるようにするために新しいグループ鍵GK2を入手するために、TUK_Aを使用して暗号化されたグループ鍵GK2を復号することができる342。その後、通信を、AN−A 110、AN−B 112、およびAN−D 116とアクセス端末118との間で新しいグループ鍵GK2を使用して安全に確立することができる。このプロセスは、アクセス端末118のアクティブセット内のすべてのアクセスノードが新しいグループ鍵GK2を受信し終えるまで繰り返すことができる。
第3の特徴によれば、アクセス端末は、グループ鍵を使用してマルチキャストメッセージを送信することができる。一例では、アクセス端末118は、そのアクティブセットのすべてのメンバにマルチキャストメッセージをブロードキャストすることができる。この例では、アクセスノードAN−B 112が、アクセス端末118の現在のサービングアクセスノードであると仮定する。マルチキャストメッセージは、セキュリティまたは単なる検証のどちらが望まれるのかに応じて、新しいグループ鍵GK2を使用して暗号化されるかまたは署名されるかのいずれかとすることができる。アクセス端末118は、グループ鍵GK2を用いてマルチキャストメッセージを暗号化するかこれにディジタル署名し344、サービングアクセスノード、たとえば、この例ではアクセスノードB(AN−B)112にマルチキャストメッセージをブロードキャストすることができる346。安全なメッセージ伝送が望まれる場合には、マルチキャストメッセージを、アクセス端末118によってグループ鍵GK2を使用して暗号化し、アクセスノードによって同一のグループ鍵GK2を使用して復号する(受信時に)ことができる。その代わりに、単なる認証/検証が望まれる(たとえば、非プライベート情報について)場合に、アクセス端末118は、グループ鍵GK2を使用してマルチキャストメッセージに署名することができ、このマルチキャストメッセージを、受信するアクセスノードによって同一のグループ鍵GK1を使用して検証することができる。
受信時に、サービングアクセスノードAN−B 112は、グループ鍵GK2を使用してメッセージを復号/検証/認証することができる348。サービングアクセスノード(AN−B)は、マルチキャストメッセージを他のアクセスノードに転送しまたは再ブロードキャストすることができる(たとえば、バックホール網/チャネルまたは無線網を介して)。たとえば、サービングアクセスノード(AN−B)は、暗号化/署名されたメッセージをアクセスノードD(AN−D)に転送すること350およびアクセスノードA(AN−A)に転送すること354ができ、ここで、メッセージは、グループ鍵GK2を使用して復号/検証される352および356。
第4の特徴によれば、アクセス端末は、その現在のサービングアクセスノードを新しいサービングアクセスノードに変更することができる。アクセスノードB(AN−B)が現在のサービングアクセスノードであり、アクセスノードAがアンカアクセスノードである一例では、アクセス端末118は、その現在のサービングアクセスノードから新しいサービングアクセスノードへ、たとえばアクセスノードB 112(AN−B)からアクセスノードD(AN−D)116へのハンドオフまたは切替が発生しなければならないかどうかを判定する358ために、ローカルアクセスノードからのブロードキャスト(たとえば、pingまたはビーコン)をリスンし続けることができる。すなわち、アクセス端末118が、異なるセクタまたはセルにローミングしまたは移動する時、あるいは現在そのアクティブセット内にあるものであれないものであれ、別のアクセスノードからより強い信号が検出される時である。いくつかの例では、アクセス端末118は、そのアクティブセットから新しいサービングアクセスノードを選択することができる。現在のサービングアクセスノードから新しいサービングアクセスノードに切り替えるかどうかの判断は、各アクセスノードからの信号強度に基づくものとすることができる(たとえば、最強の信号を有するアクセスノードが、サービングアクセスノードとして選択される)。新しいサービングアクセスノードへの切替またはハンドオフがアクセス端末118によって決定される場合には、要求を送信することができる360。新しいサービングアクセスノードに変更するプロセスは、さまざまな形で実行することができる。たとえば、アクセス端末118は、新しいサービングアクセスノード116(AN−D)への切替を示すメッセージを現在のサービングアクセスノード112(AN−B)またはアンカアクセスノード110(AND−A)のいずれかに送信することができる。代替案では、アクセス端末118は、制御チャネル上で直接に新しいサービングアクセスノード116(AN−D)にまたは現在のサービングアクセスノード112 AN−Bを介して間接に、メッセージを送信することができる。
新しいサービングアクセスノード(AN−D 116)は、アンカアクセスノード(AN−A 110)に送信できる368データトンネル要求メッセージに署名/暗号化することができる366(たとえば、グループ鍵GK2を使用して)。アンカアクセスノード110(AN−A)は、グループ鍵GK2を使用して、要求するメッセージおよび/または要求するアクセスノード(AN−D)を認証することができる370。たとえば、アンカアクセスノード(AN−A)110は、グループ鍵GK2(アクティブセットのメンバに既知)を使用することによって、要求するアクセスノード(AN−D)116がアクティブセットの正当なメンバであることを検証することができる。メッセージが認証された後に、アンカノード(AN−A)110は、新しいサービングアクセスノードD(AN−D)とのデータトンネルを確立することができる372。データ転送リンクを、新しいサービングアクセスノード(AN−D)110とアクセス端末との間で確立することもできる374。
あるアクセスノードから別のアクセスノードへサービングアクセスノードを安全に切り替えるプロセスを、複数回繰り返すことができる。一例では、これを、通信セッションの途中で実行することができる(たとえば、通信セッションリンクが、第1のサービングアクセスノードから第2のサービングアクセスノードにハンドオフされる)。たとえば、図1では、アクセス端末118が、現在のセル104から新しいセル106にローミングしまたは移動し、現在のサービングアクセスノード(AN−B)112からさらに別のアクセスノードに通信セッションをハンドオフしようと努めることができる。アクセス端末118は、新しいアクセスノードがそのアクセス端末のアクティブセット内にある場合に、グループ鍵を利用して、新しいサービングアクセスノードと通信することができる。
アクティブセットのすべてのメンバにグループ鍵を与えることの利益は、アクセス端末が、グループ鍵によって暗号化されたメッセージの単一のコピーを送信でき、グループまたはアクティブセットのメンバだけが、そのメッセージを復号でき、理解できることである。これは、アクティブセットの各メンバが、メッセージを暗号化するのに使用されるグループ鍵を有することができるからである。
図4に、マルチキャストメッセージを認証し、要求するアクセスノードが現在アクティブセットの有効なメンバであることを検証するのに使用できるグループ鍵配布方式を示す。この配布方式では、アクセスノードANがアクティブセットに追加される時に、一時ユニキャスト鍵TUKを、アクセス端末ATとそのアクセスノードとの間でネゴシエートすることができる。アクセス端末ATは、グループ鍵を生成し、管理し、かつ/またはそのアクティブセット内の各アクセスノードANに配布することができる。アクセスノード(AN)がアクティブセットに参加する時に、グループ鍵(GK)を、アクセス端末(AT)によってそのアクセスノードに与えることができる。アクセス端末ATからアクセスノードANへの配布中に、グループ鍵GKを、アクセス端末ATからアクセスノードANへの伝送の前にアクセスノードの一意の一時ユニキャスト鍵(TUK)によって暗号化することができる。アクティブセットの各メンバは、同一のグループ鍵GKを有するので、受信するアクセスノードは、マルチキャストメッセージを復号し、かつ/または認証することができる。さらに、各アクセスノードは、それ自体のTUKを使用して新しいグループ鍵を復号するので、アクセスノードを簡単に追加しまたはアクティブセットから除去することができ、それでも、アクセスノードは、マルチキャストメッセージを認証し、要求するアクセスノードを検証することを可能にする。たとえば、第1のアクセスノードは、第2のアクセスノードがアクセス端末のアクティブセットのメンバであることを検証でき、この第1のアクセスノードは、アクティブセットのグループ鍵を用いて暗号化/署名されたメッセージを受信することができる(第2のアクセスノードから)。受信されたメッセージを第1のアクセスノードによって復号/認証できる場合には、送信するアクセスノードは、アクティブセット内にある。
従来技術の手法では、移動体無線通信システムは、アクセス端末にサービスを提供する複数のアクセスノードを有する。アクセスノードの間で通信ハンドオフがある時には、アクセス端末は、それが通信する各アクセスノードへの一意のセキュリティ鍵を維持する。しかし、このアーキテクチャは、アクセス端末がブロードキャストメッセージまたはマルチキャストメッセージを送信する時に、深刻なセキュリティリスクを生じる。たとえば、アクセス端末が、エアインターフェースメッセージなどのマルチキャストメッセージをアクティブセット内のすべてのアクセスノードにサービングアクセスノードを介して安全に送信することを必要とする場合に、攻撃者が、マルチキャストメッセージを捏造し、捏造されたメッセージをアクセスノードに送信することができる。従来技術のアーキテクチャでは、アクセスノードは、送信側のアイデンティティを検証することができず、セキュリティリスクが生じる。
さらに、任意の所与の時のアクティブセット内のアクセスノードを、サービングアクセスノードとして選択することができ、そのアクセスノードは、データをアクセス端末に送達できるようになるために、アンカノードとのデータトンネルを確立することを要求することができる。しかし、従来技術のアーキテクチャでは、要求するアクセスノードが、現在アクティブセットの有効なメンバではない場合があり、これによって潜在的なセキュリティリスクが生じる。
図1〜4および本明細書の説明で使用される時に、一時ユニキャスト鍵(TUK)を、それらが特定のアクセスノード/アクセス端末対に固有であり、かつ/またはそれらを通信セッションがハンドオフされた後の限られた長さの時間の間にのみ使用できるという点で、一時鍵と称する場合もある。いくつかの実施態様では、そのような一時鍵を、通信セッションが別のアクセスノードにハンドオフされるか通信セッションが終了するまでの長い時間期間の間にも使用することができる。
図5は、マルチキャストメッセージセキュリティのためのグループ鍵の配布および管理を実行するように構成されたアクセス端末502を示すブロック図である。アクセス端末のさまざまな例は、無線通信デバイス、移動体端末、および携帯電話またはセル電話を含む。アクセス端末502は、アクセスノードと通信するために無線通信インターフェース506に結合された処理回路504と、アクセスノードに関連するグループ鍵GKおよび一意の一時ユニキャスト鍵TUKを格納するストレージデバイス508とを含むことができる。処理回路504(たとえば、プロセッサ、処理モジュールなど)は、通信セッションを保護するのに使用できる1つまたは複数のグループ鍵を生成するように構成されたグループ鍵ジェネレータモジュール510を含むことができる。処理回路504を、アクセスノードをリスンし、アクセスノードをそのアクティブセットに追加するように構成することができる。処理回路504は、各アクセスノードの一意の一時ユニキャスト鍵を使用することによって、グループ鍵GKがアクティブセット内のアクセスノードに安全に配布されるようにするために、グループ鍵GKを管理することができる。処理回路504を、アクセスノードがアクティブセットから除去される時にグループ鍵GKを新しいグループ鍵に置換するように構成することもできる。グループ鍵GKは、アクティブセット内のアクセスノード宛のマルチキャストメッセージを暗号化するのに使用することができる。
図6は、アクセスノードのアクティブセットにアクセスノードを追加するためにアクセス端末内で動作する方法を示す流れ図である。当初に、アクセス端末は、ローカルアクセスノードからのブロードキャストをリスンすることができる602。現在はアクティブセットに含まれないアクセスノードが識別される場合には、アクセス端末は、そのアクセスノードをそのアクティブセットに追加すべきかどうかを判定することができる604。これは、たとえば、アクセスノードから受信されるパイロット信号の強度によって判定することができ、より強いパイロット信号は、対応するアクセスノードがアクセス端末により近いと仮定されるので、好ましい。新たに識別されたアクセスノードが弱いパイロット信号を有する場合には、そのアクセスノードはアクティブセットに追加されず、グループ鍵は、そのアクセスノードに送信されない606。そうではない場合には、アクセス端末は、新たに識別されたアクセスノードをそのアクティブセットに追加することを選択することができる608。アクセス端末は、新たに識別されたアクセスノードから一時ユニキャスト鍵TUKを入手することができる610。アクセス端末は、新たに識別されたアクセスノードの一時ユニキャスト鍵TUKを使用して、メッセージ内のグループ鍵を暗号化し、そのメッセージを新たに識別されたアクセスノードに送信することができる612。
図7は、アクセスノードのアクティブセットからアクセスノードを除去し、グループ鍵を置換するためにアクセス端末内で動作する方法を示す流れ図である。当初に、アクセス端末は、アクティブセット内のアクセスノードを除去しなければならないと決定することができる702。除去されるアクセスノードとアクセス端末との間の通信を終了することができる704。アクセス端末は、そのアクティブセットからアクセスノードを除去することができる706。アクセスノードが除去された後に、アクセス端末は、新しいグループ鍵を生成するのに使用できる乱数(Rx)を生成することができる708。新しいグループ鍵が生成された後に、アクセス端末は、アクティブセット内のアクセスノードに関連する一時ユニキャスト鍵を使用して新しいグループ鍵を暗号化し、暗号化されたグループ鍵を対応するアクセスノードに送信することができる710。新しいグループ鍵の暗号化は、アクティブセット内のアクセスノードのそれぞれについて繰り返され、各暗号化されたグループ鍵が、対応するアクセスノードに送信される712。
図8は、マルチキャストメッセージをアクセスノードのアクティブセットにブロードキャストするためにアクセス端末内で動作する方法を示す流れ図である。当初に、アクセス端末は、アクセス端末に関連するグループ鍵を使用してマルチキャストメッセージを暗号化/署名することができる802。すなわち、このグループ鍵は、アクティブセット内のアクセスノードに以前に配布されたものとすることができる。アクセス端末は、暗号化/署名されたマルチキャストメッセージをアクセス端末のアクティブセット内のアクセスノードにブロードキャストすることができる804。一例では、これを、暗号化/署名されたマルチキャストメッセージをアクセス端末の現在のサービングアクセスノードに送信することによって行うことができる。現在のサービングアクセスノードは、暗号化/署名されたマルチキャストメッセージを複製し、アクティブセット内の他のアクセスノードに転送することができる。
図9は、第1サービングアクセスノードから第2サービングアクセスノードまたは新しいサービングアクセスノードに変更するためにアクセス端末内で動作する方法を示す流れ図である。アクセス端末は、第1アクセスノードを介して無線通信サービスを安全に確立することができる902。アクセス端末は、他のローカルアクセスノードからのパイロットブロードキャストをリスンすることができる904。すなわち、アクセスノードは、それらの存在についてローカル端末に通知するために周期的なパイロットまたはビーコンを送信することができる。他のアクセスノード(1つまたは複数)が識別されない場合には、アクセス端末は、無線通信サービスに第1アクセスノードを使用し続ける。しかし、第2アクセスノードが識別される場合には906、アクセス端末は、既存の無線通信サービスを第1アクセスノードから第2アクセスノードに変更しまたは切り替えるべきかどうかを判定することができる908。これは、第1アクセスノードのパイロット信号強度および/または品質を第2アクセスノードのそれと比較することによって判定することができる。すなわち、アクセス端末が異なるセクタまたはセルにローミングしまたは移動する時に、より強いパイロット信号が、他のアクセスノード(たとえば、第2アクセスノード)から検出され、新しいサービングアクセスノードへの無線通信サービスのハンドオーバをもたらす場合がある。第1アクセスノードからのパイロット信号が他のパイロット信号より強い場合には、アクセス端末は、第1アクセスノードを介する無線通信サービスを継続することができる910。そうではない場合には、安全なグループ鍵を第2アクセスノードに与えることができ、ここで、グループ鍵は、アクセスノードの現在のアクティブセット内の1つまたは複数のアクセスノードに既知である912。アクセス端末は、新しい転送リンクサービングアクセスノードになることができる第2アクセスノードへの無線通信サービス(たとえば、通信リンク、既存の通信セッションなど)のハンドオーバを開始することを選択することができる914。その後、アクセス端末は、第2アクセスノードを介する無線通信サービスを開始することができる916。その後、グループ鍵を用いて暗号化/署名されたマルチキャスト/ブロードキャストメッセージを第2アクセスノードを介して送信することができる918。
図10は、アクセス端末から1つまたは複数のアクセスノードへの安全なマルチキャストメッセージ配布を容易にするためにアクセス端末上で動作する方法を示す流れ図である。アクセス端末は、アクセスノードのアクティブセットリストを維持することができ1002、アクティブセット内の各アクセスノードの一時ユニキャスト鍵を入手することができ1004、アクティブセットの第1グループ鍵を生成することができる1006。その後、アクセス端末は、アクティブセット内の第1アクセスノードの第1一時ユニキャスト鍵を用いて第1グループ鍵を暗号化することができ1008、暗号化された第1グループ鍵を第1アクセスノードに送信することができる1010。同様に、アクセス端末は、アクティブセット内の他のアクセスノードの他の一時ユニキャスト鍵を用いて第1グループ鍵を暗号化することができ1012、暗号化された第1グループ鍵のそれぞれを、それを暗号化するのに用いられた一時ユニキャスト鍵を有する対応するアクセスノードに送信することができる1014。アクセス端末は、第1グループ鍵を用いて暗号化/署名されたマルチキャスト/ブロードキャストメッセージを送信することができる1016。
アクセス端末は、アクセスノードがそのアクティブセットから除去される時に第1グループ鍵を第2グループ鍵に置換することもでき1018、第2グループ鍵の暗号化された版をアクティブセット内のアクセスノードに配布することができ、ここで、第2グループ鍵の暗号化された版は、アクティブセット内の各アクセスノードの一時ユニキャスト鍵を用いて暗号化される1020。
アクセス端末は、通信インターフェースを介する無線通信サービスの現在のサービングアクセスノードとしてアクティブセットからアクセスノードを選択することもでき、ここで、アクセス端末との間の無線通信は、サービングアクセスノードを介してルーティングされる1022。アクセス端末は、アクティブセット内の異なるアクセスノードが現在のサービングアクセスノードよりよい無線通信サービスを提供できるかどうかを判定することもでき1024、新しいサービングアクセスノードが現在のサービングアクセスノードよりよい無線通信サービスを提供する場合には、現在のサービングアクセスノードから新しいサービングアクセスノードに通信サービスを切り替えることができる1026。
図11は、グループ鍵配布および/またはグループ鍵管理を容易にするように構成されたアクセスノード1102を示すブロック図である。アクセスノード1102は、1つまたは複数のアクセス端末と通信するための無線通通信インターフェース1106、他のアクセスノードと通信するためのネットワーク通信インターフェース1008、ならびに一意の一時ユニキャスト鍵(TUK)(アクセスノードに関連する)およびグループ鍵(アクセス端末に関連する)を格納するためのストレージデバイス1110に結合された処理回路1104を含むことができる。処理回路1104(たとえば、プロセッサ、処理モジュールなど)は、アクセス端末との無線通信リンク(たとえば、無線通信サービス)を保護するのに使用できる1つまたは複数の一時ユニキャスト鍵TUKを生成するように構成された一時鍵ジェネレータモジュールを含むことができる。処理回路1104を、同一のアクセス端末に関連する別のアクセスノードに対してそれ自体を認証するために、アクセス端末から入手したグループ鍵を使用するように構成することもできる。たとえば、第1アクセス端末のサービングアクセスノードになるプロセス中に、アクセスノード1102は、アンカアクセスノードまたは以前のサービングアクセスノードに対してそれ自体を認証するのに、第1アクセスノードのグループ鍵GK1を使用することができる。
図12は、アクセス端末に関連するアクセスノードのアクティブセットに参加するためにアクセスノード内で動作する方法を示す流れ図である。アクセスノードは、一意の一時ユニキャスト鍵をアクセス端末に送信することができる1202。アクセスノードは、アクセス端末からグループ鍵を含む暗号化されたメッセージを受信することができ1204、グループ鍵を入手するために、その一意の一時ユニキャスト鍵を用いてメッセージを復号することができる1206。その後、アクセス端末との安全な通信セッションを開始することができる1208。
図13は、アクセス端末に関連するアクティブセットのグループ鍵を置換するためにアクセスノード内で動作する方法を示す流れ図である。そのような方法を、アクセスノードがアクティブセットから除去される時に実行することができる。アクセスノードは、アクセス端末から新しいグループ鍵を含む暗号化されたメッセージを受信することができ、ここで、メッセージは、アクセスノードによってアクセス端末に以前に配布された一時ユニキャスト鍵TUKを用いて暗号化される1302。アクセスノードは、新しいグループ鍵を入手するために、一意の一時ユニキャスト鍵を用いてメッセージを復号する1304。アクセスノードは、アクセス端末に関連する以前のグループ鍵を新しいグループ鍵に置換することができる1306。アクセスノードがサービングアクセスノードである場合には、アクセスノードは、新しいグループ鍵を含む第2の暗号化されたメッセージを受信し、暗号化されたメッセージを第2のアクセスノードに転送する(たとえば、バックエンド通信インターフェースを介して)こともでき、ここで、第2のメッセージは、第2のアクセスノードに関連する第2の一時ユニキャスト鍵を用いて暗号化される1308。
図14は、アクセス端末からマルチキャストメッセージを受信し、復号/認証するためにアクセスノード内で動作する方法を示す流れ図である。アクセスノードは、アクセス端末からグループ鍵を用いて暗号化/署名されたマルチキャスト/ブロードキャストメッセージを受信することができ、ここで、グループ鍵は、アクセス端末のアクティブセットに関連する1402。アクセスノードは、グループ鍵の以前に受信された版を使用して、マルチキャスト/ブロードキャストメッセージを復号/認証することができる1404。アクセスノードが現在のサービングアクセスノードである場合には、アクセスノードは、暗号化/署名されたマルチキャスト/ブロードキャストメッセージをアクティブセット内の他のアクセスノードに転送することもできる1406。
図15は、新しいサービングアクセスノードへの通信サービスの安全なハンドオーバを容易にするために現在のサービングアクセスノード内で動作する方法を示す流れ図である。現在のサービングアクセスノードは、その通信サービス(たとえば、通信リンク、通信セッションなど)を新しいサービングアクセスノードにハンドオーバする要求をアクセス端末から受信することができる1502。現在のサービングアクセスノードは、この要求をアクセス端末のアンカアクセスノードに転送することができる1504。その後、現在のサービングアクセスノードとアンカアクセスノードとの間のデータトンネルを終了することができる。この方法は、図1に示された集中アンカノードからのハンドオーバを示すことができる。
代替構成(図2に図示)では、アンカアクセスノードとのデータトンネルを終了するのではなく、現在のサービングアクセスノードは、単純に新しいサービングアクセスノードとのデータトンネルを確立することができる。
図16は、特定のアクセス端末に関する異なるサービングアクセスノードへの安全な通信転送を容易にするためにアンカアクセスノード内で動作する方法を示す流れ図である。アンカアクセスノードは、第1サービングアクセスノードから第2サービングアクセスノードへ通信サービスをハンドオーバする要求を受信することができる1602。アンカアクセスノードは、アクセス端末のグループ鍵を使用することによって、第2サービングアクセスノードがアクセス端末のアクティブセットに属することを検証することができる1604。グループ鍵は、アクセス端末のアクティブセットのメンバであるアクセスノードに既知とすることができる。たとえば、アンカアクセスノードは、第2サービングアクセスノードを認証するのにグループ鍵を使用することができる。第2サービングアクセスノードが検証される場合には、アンカアクセスノードは、第2サービングアクセスノードとのデータトンネルを確立することができ、その後、アクセス端末に関する通信を第2サービングアクセスノードを介して転送する1606。アンカアクセスノードは、第1サービングアクセスノードとのデータトンネルを終了することもできる1608。
図17は、アクセス端末から1つまたは複数のアクセスノードへの安全なマルチキャストメッセージ配布を容易にするためにアクセスノード上で動作する方法を示す流れ図である。アクセスノードは、一時ユニキャスト鍵を生成し1702、アクセス端末のアクセスノードのアクティブセットに参加するためにその一時ユニキャスト鍵を無線通信インターフェースを介してアクセス端末に送信することができる1704。それに応答して、アクセスノードは、アクセス端末のアクセスノードのアクティブセットに関連するグループ鍵を受信することができる1706。その後、アクセス端末は、グループ鍵を用いて暗号化されたマルチキャストメッセージをアクセス端末から受信し1708、グループ鍵を使用してマルチキャストメッセージを復号し1710、かつ/またはアクセス端末のアクセスノードのアクティブセット内の他のアクセスノードにマルチキャストメッセージを転送することができる1712。
アクセスノードは、アクセス端末との間で通信をルーティングする第1サービングアクセスノードとして働くために、無線通信インターフェースを介してアクセス端末との無線通信サービスを確立することもできる1714。アクセスノードは、ネットワーク通信インターフェースを介してアクセス端末のアンカアクセスノードとのデータトンネルを確立し1716、グループ鍵を使用して、それ自体をアンカアクセスノードに対して認証することもできる1718。
アクセスノードは、無線通信サービスを第2サービングアクセスノードにハンドオーバする要求をアクセス端末から受信し1720、アクセス端末との無線通信サービスを終了することもできる1722。
一例では、アクセス端末が新しいアクセスノードに移動する時に新しい鍵を入手しまたはネゴシエートするのではなく、鍵のアクティブセットが、アクセス端末によって維持される。すなわち、アクセス端末は、セクタ、エリア、または領域内の複数のアクセスノードとのセキュリティ関連付け(たとえば、鍵)を同時にまたは並行して確立することができる。アクセス端末がそのような同時のまたは並行のセキュリティ関連付け(たとえば、鍵)を維持するアクセスノードを、アクセスノードの「アクティブセット」と称する。新しいアクセスノードがアクセス端末のアクティブセットに追加されるたびに、アクセス端末は、新しいアクセスノードにグループ鍵を伝送することができる。
図1、2、3、4、5、6、7、8、9、10、11、12、13、14、15、16、および/または17に示されたコンポーネント、ステップ、および/または機能のうちの1つまたは複数を、再配置しかつ/または単一のコンポーネント、ステップ、または機能に組み合わせ、あるいは複数のコンポーネント、ステップ、または機能で実施することができる。追加のエレメント、コンポーネント、ステップ、および/または機能を、本発明から逸脱せずに追加することもできる。図1、2、4、5、および/または11に示された装置、デバイス、および/またはコンポーネントを、図3、6、7、8、9、12、13、14、15、16、および/または17で説明した方法、特徴、またはステップのうちの1つまたは複数を実行するように構成することができる。本明細書で説明される新規のアルゴリズムを、ソフトウェアおよび/または組込みハードウェアで効率的に実施することができる。
当業者は、本明細書で開示される実施形態に関連して説明したさまざまな例示的な論理ブロック、モジュール、回路、およびアルゴリズムステップを、電子ハードウェア、コンピュータソフトウェア、またはこの両方の組合せとして実施できることを、さらに了解するであろう。ハードウェアおよびソフトウェアのこの交換可能性を明瞭に示すために、さまざまな例示的なコンポーネント、ブロック、モジュール、回路、およびステップは、上では全般的にその機能に関して説明した。そのような機能性がハードウェアまたはソフトウェアのどちらとして実施されるかは、特定の応用例およびシステム全体に課せられる設計制約に依存する。
本明細書で説明した本発明のさまざまな特徴を、本発明から逸脱せずに異なるシステムで実施することができる。たとえば、本発明のいくつかの実施態様を、移動するまたは静止した通信デバイス(たとえば、アクセス端末)および複数の移動体アクセスノードまたは静的アクセスノードを用いて実行することができる。
前述の実施形態が、単に例であり、本発明を限定するものとして解釈されてはならないことに留意されたい。実施形態の説明は、例示的であることを意図され、特許請求の範囲の範囲を限定してはならない。したがって、本教示を、他のタイプの装置にたやすく適用することができ、多数の代替形態、修正形態、および変形形態が、当業者には明白であろう。
前述の実施形態が、単に例であり、本発明を限定するものとして解釈されてはならないことに留意されたい。実施形態の説明は、例示的であることを意図され、特許請求の範囲の範囲を限定してはならない。したがって、本教示を、他のタイプの装置にたやすく適用することができ、多数の代替形態、修正形態、および変形形態が、当業者には明白であろう。
以下の記載は、出願当初の特許請求の範囲の記載と実質的に一致するものである。
[1]
少なくとも1つのアクセスノードと通信するための通信インターフェースと、
前記通信インターフェースに結合されたプロセッサであって、
アクセスノードのアクティブセットリストを維持し、
前記アクティブセット内の各アクセスノードの一時ユニキャスト鍵を入手し、
前記アクティブセットの第1グループ鍵を生成し、
前記アクティブセット内の第1アクセスノードの第1一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化し、
前記暗号化された第1グループ鍵を前記第1アクセスノードに送信する
ように構成されたプロセッサと
を備えるアクセス端末。
[2]
前記プロセッサは、
前記アクティブセット内の他のアクセスノードの他の一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化し、
前記暗号化された第1グループ鍵のそれぞれを、その一時ユニキャスト鍵を用いて前記第1グループ鍵のそれぞれを暗号化した対応するアクセスノードに送信する
ようにさらに構成される、[1]に記載のアクセス端末。
[3]
前記一時ユニキャスト鍵のそれぞれは、前記アクセス端末と対応するアクセスノードとの両方に既知の対ごとの一時ユニキャスト鍵である、[1]に記載のアクセス端末。
[4]
前記プロセッサは、
前記通信インターフェースを介してアクセスノードについてスキャンし、
1つまたは複数のアクセスノードが識別される時に、前記1つまたは複数のアクセスノードをアクセスノードの前記アクティブセットに追加し、
前記アクセスノードが前記アクティブセットに追加される時に、前記アクセスノードのそれぞれと共に一意の一時ユニキャスト鍵を確立する
ようにさらに構成される、[1]に記載のアクセス端末。
[5]
前記プロセッサは、
アクセスノードがそのアクティブセットから除去される時に、前記第1グループ鍵を第2グループ鍵に置換し、
前記第2グループ鍵の暗号化された版をそのアクティブセット内の前記アクセスノードに配布し、前記第2グループ鍵の前記暗号化された版は、前記アクティブセット内の各アクセスノードの前記一時ユニキャスト鍵を用いて暗号化される
ようにさらに構成される、[1]に記載のアクセス端末。
[6]
前記プロセッサは、
前記通信インターフェースを介して無線通信サービスに関する現在のサービングアクセスノードとして前記アクティブセットからアクセスノードを選択し、前記アクセス端末との間の無線通信は、前記サービングアクセスノードを介してルーティングされる
ようにさらに構成される、[1]に記載のアクセス端末。
[7]
前記プロセッサは、
前記アクティブセット内の異なるアクセスノードが前記現在のサービングアクセスノードよりよい無線通信サービスを提供できるかどうかを判定し、
新しいサービングアクセスノードが前記現在のサービングアクセスノードよりよい無線通信サービスを提供する場合に、前記現在のサービングアクセスノードから前記新しいサービングアクセスノードに通信サービスを切り替える
ようにさらに構成される、[6]に記載のアクセス端末。
[8]
前記プロセッサは、
前記第1グループ鍵を用いて暗号化されたマルチキャストメッセージを送信する
ようにさらに構成される、[1]に記載のアクセス端末。
[9]
前記プロセッサは、
前記第1グループ鍵を用いて署名されたマルチキャストメッセージを送信する
ようにさらに構成される、[1]に記載のアクセス端末。
[10]
アクセスノードのアクティブセットリストを維持することと、
前記アクティブセット内の各アクセスノードの一時ユニキャスト鍵を入手することと、
前記アクティブセットの第1グループ鍵を生成することと、
前記アクティブセット内の第1アクセスノードの第1一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化することと、
前記暗号化された第1グループ鍵を前記第1アクセスノードに送信することと
を備える、アクセス端末上で動作する方法。
[11]
前記アクティブセット内の他のアクセスノードの他の一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化することと、
前記暗号化された第1グループ鍵のそれぞれを、その一時ユニキャスト鍵を用いて前記第1グループ鍵のそれぞれを暗号化した対応するアクセスノードに送信することと
をさらに備える、[10]に記載の方法。
[12]
アクセスノードについてスキャンすることと、
1つまたは複数のアクセスノードが識別される時に、前記1つまたは複数のアクセスノードをアクセスノードの前記アクティブセットに追加することと、
前記アクセスノードが前記アクティブセットに追加される時に、前記アクセスノードのそれぞれと共に一意の一時ユニキャスト鍵を確立することと
をさらに備える、[10]に記載の方法。
[13]
アクセスノードがそのアクティブセットから除去される時に、前記第1グループ鍵を第2グループ鍵に置換することと、
前記第2グループ鍵の暗号化された版をそのアクティブセット内の前記アクセスノードに配布することであって、前記第2グループ鍵の前記暗号化された版は、前記アクティブセット内の各アクセスノードの前記一時ユニキャスト鍵を用いて暗号化される、配布することと
をさらに備える、[10]に記載の方法。
[14]
無線通信サービスに関する現在のサービングアクセスノードとして前記アクティブセットからアクセスノードを選択することであって、前記アクセス端末との間の無線通信は、前記サービングアクセスノードを介してルーティングされる、選択すること
をさらに備える、[10]に記載の方法。
[15]
前記アクティブセット内の異なるアクセスノードが前記現在のサービングアクセスノードよりよい無線通信サービスを提供できるかどうかを判定することと、
新しいサービングアクセスノードが前記現在のサービングアクセスノードよりよい無線通信サービスを提供する場合に、前記現在のサービングアクセスノードから前記新しいサービングアクセスノードに通信サービスを切り替えることと
をさらに備える、[14]に記載の方法。
[16]
前記第1グループ鍵を用いて暗号化されたマルチキャストメッセージを送信すること
をさらに備える、[10]に記載の方法。
[17]
前記第1グループ鍵を用いて署名されたマルチキャストメッセージを送信すること
をさらに備える、[10]に記載の方法。
[18]
アクセスノードのアクティブセットリストを維持するための手段と、
前記アクティブセット内の各アクセスノードの一時ユニキャスト鍵を入手するための手段と、
前記アクティブセットの第1グループ鍵を生成するための手段と、
前記アクティブセット内の第1アクセスノードの第1一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化するための手段と、
前記暗号化された第1グループ鍵を前記第1アクセスノードに送信するための手段と
を備えるアクセス端末。
[19]
前記アクティブセット内の他のアクセスノードの他の一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化するための手段と、
前記暗号化された第1グループ鍵のそれぞれを、その一時ユニキャスト鍵を用いて前記第1グループ鍵のそれぞれを暗号化した対応するアクセスノードに送信するための手段と
をさらに備える、[18]に記載のアクセス端末。
[20]
アクセスノードについてスキャンするための手段と、
1つまたは複数のアクセスノードが識別される時に、前記1つまたは複数のアクセスノードをアクセスノードの前記アクティブセットに追加するための手段と、
前記アクセスノードが前記アクティブセットに追加される時に、前記アクセスノードのそれぞれと共に一意の一時ユニキャスト鍵を確立するための手段と
をさらに備える、[18]に記載のアクセス端末。
[21]
アクセスノードがそのアクティブセットから除去される時に、前記第1グループ鍵を第2グループ鍵に置換するための手段と、
前記第2グループ鍵の暗号化された版をそのアクティブセット内の前記アクセスノードに配布するための手段であって、前記第2グループ鍵の前記暗号化された版は、前記アクティブセット内の各アクセスノードの前記一時ユニキャスト鍵を用いて暗号化される、配布するための手段と
をさらに備える、[18]に記載のアクセス端末。
[22]
前記第1グループ鍵を用いて暗号化されたマルチキャストメッセージを送信するための手段
をさらに備える、[18]に記載のアクセス端末。
[23]
プロセッサによって実行された時に、前記プロセッサに、
アクセスノードのアクティブセットリストを維持させ、
前記アクティブセット内の各アクセスノードの一時ユニキャスト鍵を入手させ、
前記アクティブセットの第1グループ鍵を生成させ、
前記アクティブセット内の第1アクセスノードの第1一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化させ、
前記暗号化された第1グループ鍵を前記第1アクセスノードに送信させる
アクセス端末から1つまたは複数のアクセスノードへの安全なマルチキャストメッセージ配布を容易にするための命令を備えるコンピュータ可読媒体。
[24]
プロセッサによって実行された時に、前記プロセッサに、
前記アクティブセット内の他のアクセスノードの他の一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化させ、
前記暗号化された第1グループ鍵のそれぞれを、その一時ユニキャスト鍵を用いて前記第1グループ鍵のそれぞれを暗号化した対応するアクセスノードに送信させる
命令をさらに備える、[23]に記載のコンピュータ可読媒体。
[25]
プロセッサによって実行された時に、前記プロセッサに、
アクセスノードについてスキャンさせ、
1つまたは複数のアクセスノードが識別される時に、前記1つまたは複数のアクセスノードをアクセスノードの前記アクティブセットに追加させ、
前記アクセスノードが前記アクティブセットに追加される時に、前記アクセスノードのそれぞれと共に一意の一時ユニキャスト鍵を確立させる
命令をさらに備える、[23]に記載のコンピュータ可読媒体。
[26]
プロセッサによって実行された時に、前記プロセッサに、
アクセスノードがそのアクティブセットから除去される時に、前記第1グループ鍵を第2グループ鍵に置換させ、
前記第2グループ鍵の暗号化された版をそのアクティブセット内の前記アクセスノードに配布させ、前記第2グループ鍵の前記暗号化された版は、前記アクティブセット内の各アクセスノードの前記一時ユニキャスト鍵を用いて暗号化される
命令をさらに備える、[23]に記載のコンピュータ可読媒体。
[27]
プロセッサによって実行された時に、前記プロセッサに、
前記第1グループ鍵を用いて暗号化されたマルチキャストメッセージを送信させる
命令をさらに備える、[23]に記載のコンピュータ可読媒体。
[28]
プロセッサによって実行された時に、前記プロセッサに、
前記第1グループ鍵を用いて署名されたマルチキャストメッセージを送信させる
命令をさらに備える、[23]に記載のコンピュータ可読媒体。
[29]
アクセス端末から1つまたは複数のアクセスノードへの安全なマルチキャストメッセージ配布を容易にするための回路であって、
アクセスノードのアクティブセットリストを維持し、
前記アクティブセット内の各アクセスノードの一時ユニキャスト鍵を入手し、
前記アクティブセットの第1グループ鍵を生成し、
前記アクティブセット内の第1アクセスノードの第1一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化し、
前記暗号化された第1グループ鍵を前記第1アクセスノードに送信する
ように適合された回路。
[30]
アクセスノードがそのアクティブセットから除去される時に、前記第1グループ鍵を第2グループ鍵に置換し、
前記第2グループ鍵の暗号化された版をそのアクティブセット内の前記アクセスノードに配布し、前記第2グループ鍵の前記暗号化された版は、前記アクティブセット内の各アクセスノードの前記一時ユニキャスト鍵を用いて暗号化される
ようにさらに適合された、[29]に記載の回路。
[31]
前記第1グループ鍵を用いて暗号化されたマルチキャストメッセージを送信する
ようにさらに適合された、[29]に記載の回路。
[32]
少なくとも1つのアクセス端末と通信するための無線通信インターフェースと、
前記無線通信インターフェースに結合された処理回路であって、
一時ユニキャスト鍵を生成し、
アクセス端末のアクセスノードのアクティブセットに参加するために、前記一時ユニキャスト鍵を前記アクセス端末に送信し、
前記アクセス端末のアクセスノードの前記アクティブセットに関連するグループ鍵を受信する
ように構成された処理回路と
を備えるアクセスノード。
[33]
前記処理回路は、
前記グループ鍵を用いて暗号化されたブロードキャストメッセージを前記アクセス端末から受信し、
前記グループ鍵を使用して前記ブロードキャストメッセージを復号する
ようにさらに構成される、[32]に記載のアクセスノード。
[34]
前記処理回路は、
前記アクセス端末のアクセスノードの前記アクティブセット内の他のアクセスノードに前記ブロードキャストメッセージを転送する
ようにさらに構成される、[33]に記載のアクセスノード。
[35]
他のアクセスノードと通信するためのネットワーク通信インターフェースであって、前記転送されるブロードキャストメッセージは、前記ネットワーク通信インターフェースを介して送信される、ネットワーク通信インターフェース
をさらに備える、[34]に記載のアクセスノード。
[36]
前記処理回路は、
前記グループ鍵を用いて署名されたブロードキャストメッセージを前記アクセス端末から受信し、
前記グループ鍵を使用して前記ブロードキャストメッセージを認証する
ようにさらに構成される、[32]に記載のアクセスノード。
[37]
前記処理回路は、
前記アクセス端末との間で通信をルーティングするための第1サービングアクセスノードとして働くために、前記無線通信インターフェースを介して前記アクセス端末との無線通信サービスを確立する
ようにさらに構成される、[32]に記載のアクセスノード。
[38]
前記処理回路は、
前記無線通信サービスを第2サービングアクセスノードにハンドオーバする要求を前記アクセス端末から受信し、
前記アクセス端末との前記無線通信サービスを終了する
ようにさらに構成される、[37]に記載のアクセスノード。
[39]
前記処理回路は、
ネットワーク通信インターフェースを介して前記アクセス端末のアンカアクセスノードとのデータトンネルを確立する
ようにさらに構成される、[38]に記載のアクセスノード。
[40]
前記処理回路は、
前記グループ鍵を使用して、それ自体をアンカアクセスノードに対して認証する
ようにさらに構成される、[32]に記載のアクセスノード。
[41]
一時ユニキャスト鍵を生成することと、
アクセス端末のアクセスノードのアクティブセットに参加するために、前記一時ユニキャスト鍵を前記アクセス端末に送信することと、
前記アクセス端末のアクセスノードの前記アクティブセットに関連するグループ鍵を受信することと
を備える、アクセスノード上で動作する方法。
[42]
前記グループ鍵を用いて暗号化されたブロードキャストメッセージを前記アクセス端末から受信することと、
前記グループ鍵を使用して前記ブロードキャストメッセージを復号することと
をさらに備える、[41]に記載の方法。
[43]
前記アクセス端末のアクセスノードの前記アクティブセット内の他のアクセスノードに前記ブロードキャストメッセージを転送すること
をさらに備える、[42]に記載の方法。
[44]
前記グループ鍵を用いて署名されたブロードキャストメッセージを前記アクセス端末から受信することと、
前記グループ鍵を使用して前記ブロードキャストメッセージを認証することと
をさらに備える、[41]に記載の方法。
[45]
前記アクセス端末との間で通信をルーティングするための第1サービングアクセスノードとして働くために、無線通信インターフェースを介して前記アクセス端末との無線通信サービスを確立すること
をさらに備える、[40]に記載の方法。
[46]
前記無線通信サービスを第2サービングアクセスノードにハンドオーバする要求を前記アクセス端末から受信することと、
前記アクセス端末との前記無線通信サービスを終了することと
をさらに備える、[45]に記載の方法。
[47]
ネットワーク通信インターフェースを介して前記アクセス端末のアンカアクセスノードとのデータトンネルを確立すること
をさらに備える、[45]に記載の方法。
[48]
前記グループ鍵を使用して、それ自体をアンカアクセスノードに対して認証すること
をさらに備える、[41]に記載の方法。
[49]
一時ユニキャスト鍵を生成するための手段と、
アクセス端末のアクセスノードのアクティブセットに参加するために、前記一時ユニキャスト鍵を無線通信インターフェースを介して前記アクセス端末に送信するための手段と、
前記アクセス端末のアクセスノードの前記アクティブセットに関連するグループ鍵を受信するための手段と
を備えるアクセスノード。
[50]
前記グループ鍵を用いて暗号化されたマルチキャストメッセージを前記アクセス端末から受信するための手段と、
前記グループ鍵を使用して前記マルチキャストメッセージを復号するための手段と
をさらに備える、[49]に記載のアクセスノード。
[51]
前記アクセス端末のアクセスノードの前記アクティブセット内の他のアクセスノードに前記マルチキャストメッセージを転送するための手段
をさらに備える、[50]に記載のアクセスノード。
[52]
前記アクセス端末との間で通信をルーティングするための第1サービングアクセスノードとして働くために、前記アクセス端末との無線通信サービスを確立するための手段
をさらに備える、[49]に記載のアクセスノード。
[53]
前記無線通信サービスを第2サービングアクセスノードにハンドオーバする要求を前記アクセス端末から受信するための手段と、
前記アクセス端末との前記無線通信サービスを終了するための手段と
をさらに備える、[52]に記載のアクセスノード。
[54]
ネットワーク通信インターフェースを介して前記アクセス端末のアンカアクセスノードとのデータトンネルを確立するための手段と、
前記グループ鍵を使用して、それ自体を前記アンカアクセスノードに対して認証するための手段と
をさらに備える、[49]に記載のアクセスノード。
[55]
プロセッサによって実行された時に、前記プロセッサに、
一時ユニキャスト鍵を生成させ、
アクセス端末のアクセスノードのアクティブセットに参加するために、前記一時ユニキャスト鍵を無線通信インターフェースを介して前記アクセス端末に送信させ、
前記アクセス端末のアクセスノードの前記アクティブセットに関連するグループ鍵を受信させる
アクセス端末から1つまたは複数のアクセスノードへの安全なマルチキャストメッセージ配布を容易にするための命令を備えるコンピュータ可読媒体。
[56]
プロセッサによって実行された時に、前記プロセッサに、
前記グループ鍵を用いて暗号化されたマルチキャストメッセージを前記アクセス端末から受信させ、
前記グループ鍵を使用して前記マルチキャストメッセージを復号させる
命令をさらに備える、[55]に記載のコンピュータ可読媒体。
[57]
プロセッサによって実行された時に、前記プロセッサに、
前記アクセス端末のアクセスノードの前記アクティブセット内の他のアクセスノードに前記マルチキャストメッセージを転送させる
命令をさらに備える、[56]に記載のコンピュータ可読媒体。
[58]
プロセッサによって実行された時に、前記プロセッサに、
前記アクセス端末との間で通信をルーティングするための第1サービングアクセスノードとして働くために、前記無線通信インターフェースを介して前記アクセス端末との無線通信サービスを確立させる
命令をさらに備える、[55]に記載のコンピュータ可読媒体。
[59]
プロセッサによって実行された時に、前記プロセッサに、
前記無線通信サービスを第2サービングアクセスノードにハンドオーバする要求を前記アクセス端末から受信させ、
前記アクセス端末との前記無線通信サービスを終了させる
命令をさらに備える、[55]に記載のコンピュータ可読媒体。
[60]
プロセッサによって実行された時に、前記プロセッサに、
ネットワーク通信インターフェースを介して前記アクセス端末のアンカアクセスノードとのデータトンネルを確立させ、
前記グループ鍵を使用して、それ自体を前記アンカアクセスノードに対して認証させる
命令をさらに備える、[55]に記載のコンピュータ可読媒体。
[61]
アクセス端末から1つまたは複数のアクセスノードへの安全なマルチキャストメッセージ配布を容易にする回路であって、
一時ユニキャスト鍵を生成し、
アクセス端末のアクセスノードのアクティブセットに参加するために、前記一時ユニキャスト鍵を無線通信インターフェースを介して前記アクセス端末に送信し、
前記アクセス端末のアクセスノードの前記アクティブセットに関連するグループ鍵を受信する
ように適合された回路。
[62]
前記グループ鍵を用いて暗号化されたマルチキャストメッセージを前記アクセス端末から受信し
前記グループ鍵を使用して前記マルチキャストメッセージを復号する
ようにさらに適合された、[61]に記載の回路。
[63]
前記アクセス端末のアクセスノードの前記アクティブセット内の他のアクセスノードに前記マルチキャストメッセージを転送する
ようにさらに適合された、[62]に記載の回路。
[64]
前記アクセス端末との間で通信をルーティングするための第1サービングアクセスノードとして働くために、前記無線通信インターフェースを介して前記アクセス端末との無線通信サービスを確立する
ようにさらに適合された、[61]に記載の回路。
[65]
プロセッサによって実行された時に、前記プロセッサに、
ネットワーク通信インターフェースを介して前記アクセス端末のアンカアクセスノードとのデータトンネルを確立させ、
前記グループ鍵を使用して、それ自体を前記アンカアクセスノードに対して認証させる
命令をさらに備える、[61]に記載の回路。

Claims (65)

  1. 少なくとも1つのアクセスノードと通信するための通信インターフェースと、
    前記通信インターフェースに結合されたプロセッサであって、
    アクセスノードのアクティブセットリストを維持し、
    前記アクティブセット内の各アクセスノードの一時ユニキャスト鍵を入手し、
    前記アクティブセットの第1グループ鍵を生成し、
    前記アクティブセット内の第1アクセスノードの第1一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化し、
    前記暗号化された第1グループ鍵を前記第1アクセスノードに送信する
    ように構成されたプロセッサと
    を備えるアクセス端末。
  2. 前記プロセッサは、
    前記アクティブセット内の他のアクセスノードの他の一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化し、
    前記暗号化された第1グループ鍵のそれぞれを、その一時ユニキャスト鍵を用いて前記第1グループ鍵のそれぞれを暗号化した対応するアクセスノードに送信する
    ようにさらに構成される、請求項1に記載のアクセス端末。
  3. 前記一時ユニキャスト鍵のそれぞれは、前記アクセス端末と対応するアクセスノードとの両方に既知の対ごとの一時ユニキャスト鍵である、請求項1に記載のアクセス端末。
  4. 前記プロセッサは、
    前記通信インターフェースを介してアクセスノードについてスキャンし、
    1つまたは複数のアクセスノードが識別される時に、前記1つまたは複数のアクセスノードをアクセスノードの前記アクティブセットに追加し、
    前記アクセスノードが前記アクティブセットに追加される時に、前記アクセスノードのそれぞれと共に一意の一時ユニキャスト鍵を確立する
    ようにさらに構成される、請求項1に記載のアクセス端末。
  5. 前記プロセッサは、
    アクセスノードがそのアクティブセットから除去される時に、前記第1グループ鍵を第2グループ鍵に置換し、
    前記第2グループ鍵の暗号化された版をそのアクティブセット内の前記アクセスノードに配布し、前記第2グループ鍵の前記暗号化された版は、前記アクティブセット内の各アクセスノードの前記一時ユニキャスト鍵を用いて暗号化される
    ようにさらに構成される、請求項1に記載のアクセス端末。
  6. 前記プロセッサは、
    前記通信インターフェースを介して無線通信サービスに関する現在のサービングアクセスノードとして前記アクティブセットからアクセスノードを選択し、前記アクセス端末との間の無線通信は、前記サービングアクセスノードを介してルーティングされる
    ようにさらに構成される、請求項1に記載のアクセス端末。
  7. 前記プロセッサは、
    前記アクティブセット内の異なるアクセスノードが前記現在のサービングアクセスノードよりよい無線通信サービスを提供できるかどうかを判定し、
    新しいサービングアクセスノードが前記現在のサービングアクセスノードよりよい無線通信サービスを提供する場合に、前記現在のサービングアクセスノードから前記新しいサービングアクセスノードに通信サービスを切り替える
    ようにさらに構成される、請求項6に記載のアクセス端末。
  8. 前記プロセッサは、
    前記第1グループ鍵を用いて暗号化されたマルチキャストメッセージを送信する
    ようにさらに構成される、請求項1に記載のアクセス端末。
  9. 前記プロセッサは、
    前記第1グループ鍵を用いて署名されたマルチキャストメッセージを送信する
    ようにさらに構成される、請求項1に記載のアクセス端末。
  10. アクセスノードのアクティブセットリストを維持することと、
    前記アクティブセット内の各アクセスノードの一時ユニキャスト鍵を入手することと、
    前記アクティブセットの第1グループ鍵を生成することと、
    前記アクティブセット内の第1アクセスノードの第1一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化することと、
    前記暗号化された第1グループ鍵を前記第1アクセスノードに送信することと
    を備える、アクセス端末上で動作する方法。
  11. 前記アクティブセット内の他のアクセスノードの他の一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化することと、
    前記暗号化された第1グループ鍵のそれぞれを、その一時ユニキャスト鍵を用いて前記第1グループ鍵のそれぞれを暗号化した対応するアクセスノードに送信することと
    をさらに備える、請求項10に記載の方法。
  12. アクセスノードについてスキャンすることと、
    1つまたは複数のアクセスノードが識別される時に、前記1つまたは複数のアクセスノードをアクセスノードの前記アクティブセットに追加することと、
    前記アクセスノードが前記アクティブセットに追加される時に、前記アクセスノードのそれぞれと共に一意の一時ユニキャスト鍵を確立することと
    をさらに備える、請求項10に記載の方法。
  13. アクセスノードがそのアクティブセットから除去される時に、前記第1グループ鍵を第2グループ鍵に置換することと、
    前記第2グループ鍵の暗号化された版をそのアクティブセット内の前記アクセスノードに配布することであって、前記第2グループ鍵の前記暗号化された版は、前記アクティブセット内の各アクセスノードの前記一時ユニキャスト鍵を用いて暗号化される、配布することと
    をさらに備える、請求項10に記載の方法。
  14. 無線通信サービスに関する現在のサービングアクセスノードとして前記アクティブセットからアクセスノードを選択することであって、前記アクセス端末との間の無線通信は、前記サービングアクセスノードを介してルーティングされる、選択すること
    をさらに備える、請求項10に記載の方法。
  15. 前記アクティブセット内の異なるアクセスノードが前記現在のサービングアクセスノードよりよい無線通信サービスを提供できるかどうかを判定することと、
    新しいサービングアクセスノードが前記現在のサービングアクセスノードよりよい無線通信サービスを提供する場合に、前記現在のサービングアクセスノードから前記新しいサービングアクセスノードに通信サービスを切り替えることと
    をさらに備える、請求項14に記載の方法。
  16. 前記第1グループ鍵を用いて暗号化されたマルチキャストメッセージを送信すること
    をさらに備える、請求項10に記載の方法。
  17. 前記第1グループ鍵を用いて署名されたマルチキャストメッセージを送信すること
    をさらに備える、請求項10に記載の方法。
  18. アクセスノードのアクティブセットリストを維持するための手段と、
    前記アクティブセット内の各アクセスノードの一時ユニキャスト鍵を入手するための手段と、
    前記アクティブセットの第1グループ鍵を生成するための手段と、
    前記アクティブセット内の第1アクセスノードの第1一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化するための手段と、
    前記暗号化された第1グループ鍵を前記第1アクセスノードに送信するための手段と
    を備えるアクセス端末。
  19. 前記アクティブセット内の他のアクセスノードの他の一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化するための手段と、
    前記暗号化された第1グループ鍵のそれぞれを、その一時ユニキャスト鍵を用いて前記第1グループ鍵のそれぞれを暗号化した対応するアクセスノードに送信するための手段と
    をさらに備える、請求項18に記載のアクセス端末。
  20. アクセスノードについてスキャンするための手段と、
    1つまたは複数のアクセスノードが識別される時に、前記1つまたは複数のアクセスノードをアクセスノードの前記アクティブセットに追加するための手段と、
    前記アクセスノードが前記アクティブセットに追加される時に、前記アクセスノードのそれぞれと共に一意の一時ユニキャスト鍵を確立するための手段と
    をさらに備える、請求項18に記載のアクセス端末。
  21. アクセスノードがそのアクティブセットから除去される時に、前記第1グループ鍵を第2グループ鍵に置換するための手段と、
    前記第2グループ鍵の暗号化された版をそのアクティブセット内の前記アクセスノードに配布するための手段であって、前記第2グループ鍵の前記暗号化された版は、前記アクティブセット内の各アクセスノードの前記一時ユニキャスト鍵を用いて暗号化される、配布するための手段と
    をさらに備える、請求項18に記載のアクセス端末。
  22. 前記第1グループ鍵を用いて暗号化されたマルチキャストメッセージを送信するための手段
    をさらに備える、請求項18に記載のアクセス端末。
  23. プロセッサによって実行された時に、前記プロセッサに、
    アクセスノードのアクティブセットリストを維持させ、
    前記アクティブセット内の各アクセスノードの一時ユニキャスト鍵を入手させ、
    前記アクティブセットの第1グループ鍵を生成させ、
    前記アクティブセット内の第1アクセスノードの第1一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化させ、
    前記暗号化された第1グループ鍵を前記第1アクセスノードに送信させる
    アクセス端末から1つまたは複数のアクセスノードへの安全なマルチキャストメッセージ配布を容易にするための命令を備えるコンピュータ可読媒体。
  24. プロセッサによって実行された時に、前記プロセッサに、
    前記アクティブセット内の他のアクセスノードの他の一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化させ、
    前記暗号化された第1グループ鍵のそれぞれを、その一時ユニキャスト鍵を用いて前記第1グループ鍵のそれぞれを暗号化した対応するアクセスノードに送信させる
    命令をさらに備える、請求項23に記載のコンピュータ可読媒体。
  25. プロセッサによって実行された時に、前記プロセッサに、
    アクセスノードについてスキャンさせ、
    1つまたは複数のアクセスノードが識別される時に、前記1つまたは複数のアクセスノードをアクセスノードの前記アクティブセットに追加させ、
    前記アクセスノードが前記アクティブセットに追加される時に、前記アクセスノードのそれぞれと共に一意の一時ユニキャスト鍵を確立させる
    命令をさらに備える、請求項23に記載のコンピュータ可読媒体。
  26. プロセッサによって実行された時に、前記プロセッサに、
    アクセスノードがそのアクティブセットから除去される時に、前記第1グループ鍵を第2グループ鍵に置換させ、
    前記第2グループ鍵の暗号化された版をそのアクティブセット内の前記アクセスノードに配布させ、前記第2グループ鍵の前記暗号化された版は、前記アクティブセット内の各アクセスノードの前記一時ユニキャスト鍵を用いて暗号化される
    命令をさらに備える、請求項23に記載のコンピュータ可読媒体。
  27. プロセッサによって実行された時に、前記プロセッサに、
    前記第1グループ鍵を用いて暗号化されたマルチキャストメッセージを送信させる
    命令をさらに備える、請求項23に記載のコンピュータ可読媒体。
  28. プロセッサによって実行された時に、前記プロセッサに、
    前記第1グループ鍵を用いて署名されたマルチキャストメッセージを送信させる
    命令をさらに備える、請求項23に記載のコンピュータ可読媒体。
  29. アクセス端末から1つまたは複数のアクセスノードへの安全なマルチキャストメッセージ配布を容易にするための回路であって、
    アクセスノードのアクティブセットリストを維持し、
    前記アクティブセット内の各アクセスノードの一時ユニキャスト鍵を入手し、
    前記アクティブセットの第1グループ鍵を生成し、
    前記アクティブセット内の第1アクセスノードの第1一時ユニキャスト鍵を用いて前記第1グループ鍵を暗号化し、
    前記暗号化された第1グループ鍵を前記第1アクセスノードに送信する
    ように適合された回路。
  30. アクセスノードがそのアクティブセットから除去される時に、前記第1グループ鍵を第2グループ鍵に置換し、
    前記第2グループ鍵の暗号化された版をそのアクティブセット内の前記アクセスノードに配布し、前記第2グループ鍵の前記暗号化された版は、前記アクティブセット内の各アクセスノードの前記一時ユニキャスト鍵を用いて暗号化される
    ようにさらに適合された、請求項29に記載の回路。
  31. 前記第1グループ鍵を用いて暗号化されたマルチキャストメッセージを送信する
    ようにさらに適合された、請求項29に記載の回路。
  32. 少なくとも1つのアクセス端末と通信するための無線通信インターフェースと、
    前記無線通信インターフェースに結合された処理回路であって、
    一時ユニキャスト鍵を生成し、
    アクセス端末のアクセスノードのアクティブセットに参加するために、前記一時ユニキャスト鍵を前記アクセス端末に送信し、
    前記アクセス端末のアクセスノードの前記アクティブセットに関連するグループ鍵を受信する
    ように構成された処理回路と
    を備えるアクセスノード。
  33. 前記処理回路は、
    前記グループ鍵を用いて暗号化されたブロードキャストメッセージを前記アクセス端末から受信し、
    前記グループ鍵を使用して前記ブロードキャストメッセージを復号する
    ようにさらに構成される、請求項32に記載のアクセスノード。
  34. 前記処理回路は、
    前記アクセス端末のアクセスノードの前記アクティブセット内の他のアクセスノードに前記ブロードキャストメッセージを転送する
    ようにさらに構成される、請求項33に記載のアクセスノード。
  35. 他のアクセスノードと通信するためのネットワーク通信インターフェースであって、前記転送されるブロードキャストメッセージは、前記ネットワーク通信インターフェースを介して送信される、ネットワーク通信インターフェース
    をさらに備える、請求項34に記載のアクセスノード。
  36. 前記処理回路は、
    前記グループ鍵を用いて署名されたブロードキャストメッセージを前記アクセス端末から受信し、
    前記グループ鍵を使用して前記ブロードキャストメッセージを認証する
    ようにさらに構成される、請求項32に記載のアクセスノード。
  37. 前記処理回路は、
    前記アクセス端末との間で通信をルーティングするための第1サービングアクセスノードとして働くために、前記無線通信インターフェースを介して前記アクセス端末との無線通信サービスを確立する
    ようにさらに構成される、請求項32に記載のアクセスノード。
  38. 前記処理回路は、
    前記無線通信サービスを第2サービングアクセスノードにハンドオーバする要求を前記アクセス端末から受信し、
    前記アクセス端末との前記無線通信サービスを終了する
    ようにさらに構成される、請求項37に記載のアクセスノード。
  39. 前記処理回路は、
    ネットワーク通信インターフェースを介して前記アクセス端末のアンカアクセスノードとのデータトンネルを確立する
    ようにさらに構成される、請求項38に記載のアクセスノード。
  40. 前記処理回路は、
    前記グループ鍵を使用して、それ自体をアンカアクセスノードに対して認証する
    ようにさらに構成される、請求項32に記載のアクセスノード。
  41. 一時ユニキャスト鍵を生成することと、
    アクセス端末のアクセスノードのアクティブセットに参加するために、前記一時ユニキャスト鍵を前記アクセス端末に送信することと、
    前記アクセス端末のアクセスノードの前記アクティブセットに関連するグループ鍵を受信することと
    を備える、アクセスノード上で動作する方法。
  42. 前記グループ鍵を用いて暗号化されたブロードキャストメッセージを前記アクセス端末から受信することと、
    前記グループ鍵を使用して前記ブロードキャストメッセージを復号することと
    をさらに備える、請求項41に記載の方法。
  43. 前記アクセス端末のアクセスノードの前記アクティブセット内の他のアクセスノードに前記ブロードキャストメッセージを転送すること
    をさらに備える、請求項42に記載の方法。
  44. 前記グループ鍵を用いて署名されたブロードキャストメッセージを前記アクセス端末から受信することと、
    前記グループ鍵を使用して前記ブロードキャストメッセージを認証することと
    をさらに備える、請求項41に記載の方法。
  45. 前記アクセス端末との間で通信をルーティングするための第1サービングアクセスノードとして働くために、無線通信インターフェースを介して前記アクセス端末との無線通信サービスを確立すること
    をさらに備える、請求項40に記載の方法。
  46. 前記無線通信サービスを第2サービングアクセスノードにハンドオーバする要求を前記アクセス端末から受信することと、
    前記アクセス端末との前記無線通信サービスを終了することと
    をさらに備える、請求項45に記載の方法。
  47. ネットワーク通信インターフェースを介して前記アクセス端末のアンカアクセスノードとのデータトンネルを確立すること
    をさらに備える、請求項45に記載の方法。
  48. 前記グループ鍵を使用して、それ自体をアンカアクセスノードに対して認証すること
    をさらに備える、請求項41に記載の方法。
  49. 一時ユニキャスト鍵を生成するための手段と、
    アクセス端末のアクセスノードのアクティブセットに参加するために、前記一時ユニキャスト鍵を無線通信インターフェースを介して前記アクセス端末に送信するための手段と、
    前記アクセス端末のアクセスノードの前記アクティブセットに関連するグループ鍵を受信するための手段と
    を備えるアクセスノード。
  50. 前記グループ鍵を用いて暗号化されたマルチキャストメッセージを前記アクセス端末から受信するための手段と、
    前記グループ鍵を使用して前記マルチキャストメッセージを復号するための手段と
    をさらに備える、請求項49に記載のアクセスノード。
  51. 前記アクセス端末のアクセスノードの前記アクティブセット内の他のアクセスノードに前記マルチキャストメッセージを転送するための手段
    をさらに備える、請求項50に記載のアクセスノード。
  52. 前記アクセス端末との間で通信をルーティングするための第1サービングアクセスノードとして働くために、前記アクセス端末との無線通信サービスを確立するための手段
    をさらに備える、請求項49に記載のアクセスノード。
  53. 前記無線通信サービスを第2サービングアクセスノードにハンドオーバする要求を前記アクセス端末から受信するための手段と、
    前記アクセス端末との前記無線通信サービスを終了するための手段と
    をさらに備える、請求項52に記載のアクセスノード。
  54. ネットワーク通信インターフェースを介して前記アクセス端末のアンカアクセスノードとのデータトンネルを確立するための手段と、
    前記グループ鍵を使用して、それ自体を前記アンカアクセスノードに対して認証するための手段と
    をさらに備える、請求項49に記載のアクセスノード。
  55. プロセッサによって実行された時に、前記プロセッサに、
    一時ユニキャスト鍵を生成させ、
    アクセス端末のアクセスノードのアクティブセットに参加するために、前記一時ユニキャスト鍵を無線通信インターフェースを介して前記アクセス端末に送信させ、
    前記アクセス端末のアクセスノードの前記アクティブセットに関連するグループ鍵を受信させる
    アクセス端末から1つまたは複数のアクセスノードへの安全なマルチキャストメッセージ配布を容易にするための命令を備えるコンピュータ可読媒体。
  56. プロセッサによって実行された時に、前記プロセッサに、
    前記グループ鍵を用いて暗号化されたマルチキャストメッセージを前記アクセス端末から受信させ、
    前記グループ鍵を使用して前記マルチキャストメッセージを復号させる
    命令をさらに備える、請求項55に記載のコンピュータ可読媒体。
  57. プロセッサによって実行された時に、前記プロセッサに、
    前記アクセス端末のアクセスノードの前記アクティブセット内の他のアクセスノードに前記マルチキャストメッセージを転送させる
    命令をさらに備える、請求項56に記載のコンピュータ可読媒体。
  58. プロセッサによって実行された時に、前記プロセッサに、
    前記アクセス端末との間で通信をルーティングするための第1サービングアクセスノードとして働くために、前記無線通信インターフェースを介して前記アクセス端末との無線通信サービスを確立させる
    命令をさらに備える、請求項55に記載のコンピュータ可読媒体。
  59. プロセッサによって実行された時に、前記プロセッサに、
    前記無線通信サービスを第2サービングアクセスノードにハンドオーバする要求を前記アクセス端末から受信させ、
    前記アクセス端末との前記無線通信サービスを終了させる
    命令をさらに備える、請求項55に記載のコンピュータ可読媒体。
  60. プロセッサによって実行された時に、前記プロセッサに、
    ネットワーク通信インターフェースを介して前記アクセス端末のアンカアクセスノードとのデータトンネルを確立させ、
    前記グループ鍵を使用して、それ自体を前記アンカアクセスノードに対して認証させる
    命令をさらに備える、請求項55に記載のコンピュータ可読媒体。
  61. アクセス端末から1つまたは複数のアクセスノードへの安全なマルチキャストメッセージ配布を容易にする回路であって、
    一時ユニキャスト鍵を生成し、
    アクセス端末のアクセスノードのアクティブセットに参加するために、前記一時ユニキャスト鍵を無線通信インターフェースを介して前記アクセス端末に送信し、
    前記アクセス端末のアクセスノードの前記アクティブセットに関連するグループ鍵を受信する
    ように適合された回路。
  62. 前記グループ鍵を用いて暗号化されたマルチキャストメッセージを前記アクセス端末から受信し
    前記グループ鍵を使用して前記マルチキャストメッセージを復号する
    ようにさらに適合された、請求項61に記載の回路。
  63. 前記アクセス端末のアクセスノードの前記アクティブセット内の他のアクセスノードに前記マルチキャストメッセージを転送する
    ようにさらに適合された、請求項62に記載の回路。
  64. 前記アクセス端末との間で通信をルーティングするための第1サービングアクセスノードとして働くために、前記無線通信インターフェースを介して前記アクセス端末との無線通信サービスを確立する
    ようにさらに適合された、請求項61に記載の回路。
  65. プロセッサによって実行された時に、前記プロセッサに、
    ネットワーク通信インターフェースを介して前記アクセス端末のアンカアクセスノードとのデータトンネルを確立させ、
    前記グループ鍵を使用して、それ自体を前記アンカアクセスノードに対して認証させる
    命令をさらに備える、請求項61に記載の回路。
JP2014033276A 2008-03-25 2014-02-24 無線通信システム用のグループ鍵の配布および管理のシステムおよび方法 Pending JP2014123979A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/055,200 US8792646B2 (en) 2008-03-25 2008-03-25 Systems and methods for group key distribution and management for wireless communications systems
US12/055,200 2008-03-25

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2011501987A Division JP2011522447A (ja) 2008-03-25 2009-03-24 無線通信システム用のグループ鍵の配布および管理のシステムおよび方法

Publications (1)

Publication Number Publication Date
JP2014123979A true JP2014123979A (ja) 2014-07-03

Family

ID=41114652

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2011501987A Withdrawn JP2011522447A (ja) 2008-03-25 2009-03-24 無線通信システム用のグループ鍵の配布および管理のシステムおよび方法
JP2014033276A Pending JP2014123979A (ja) 2008-03-25 2014-02-24 無線通信システム用のグループ鍵の配布および管理のシステムおよび方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2011501987A Withdrawn JP2011522447A (ja) 2008-03-25 2009-03-24 無線通信システム用のグループ鍵の配布および管理のシステムおよび方法

Country Status (10)

Country Link
US (1) US8792646B2 (ja)
EP (1) EP2260631B1 (ja)
JP (2) JP2011522447A (ja)
KR (1) KR101237121B1 (ja)
CN (1) CN101981892B (ja)
BR (1) BRPI0909524A2 (ja)
CA (1) CA2718786C (ja)
RU (1) RU2480935C2 (ja)
TW (1) TWI448126B (ja)
WO (1) WO2009120711A2 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8983066B2 (en) * 2009-02-27 2015-03-17 Cisco Technology, Inc. Private pairwise key management for groups
CN101631113B (zh) 2009-08-19 2011-04-06 西安西电捷通无线网络通信股份有限公司 一种有线局域网的安全访问控制方法及其系统
US20130179951A1 (en) * 2012-01-06 2013-07-11 Ioannis Broustis Methods And Apparatuses For Maintaining Secure Communication Between A Group Of Users In A Social Network
US8948378B2 (en) 2012-02-27 2015-02-03 Motorola Solutions, Inc. Method and device for rekeying in a radio network link layer encryption system
US8781132B2 (en) 2012-03-19 2014-07-15 Motorola Solutions, Inc. Method and device for managing encrypted group rekeying in a radio network link layer encryption system
US9326144B2 (en) * 2013-02-21 2016-04-26 Fortinet, Inc. Restricting broadcast and multicast traffic in a wireless network to a VLAN
CN105432058A (zh) * 2013-07-31 2016-03-23 日本电气株式会社 针对mtc组密钥管理的装置和方法
CN104469763B (zh) * 2013-09-13 2018-07-17 电信科学技术研究院 一种鉴权信息传输方法及装置
US20160277418A1 (en) * 2013-10-28 2016-09-22 Nec Corporation Security management according to location change in proximity based services
US20150124681A1 (en) 2013-11-01 2015-05-07 Qualcomm Incorporated Synchronized group messaging
US20160218866A1 (en) * 2015-01-27 2016-07-28 Qualcomm Incorporated Group key announcement and distribution for a data link group
US10728756B2 (en) 2016-09-23 2020-07-28 Qualcomm Incorporated Access stratum security for efficient packet processing
CN108989028A (zh) * 2018-07-16 2018-12-11 哈尔滨工业大学(深圳) 群密钥分发管理方法、装置、电子设备及存储介质
RU2716207C1 (ru) * 2019-06-05 2020-03-06 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ децентрализованного распределения ключевой информации
US20230102966A1 (en) * 2021-09-24 2023-03-30 Cisco Technology, Inc. End-to-end secure communications with history

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000031955A (ja) * 1998-04-24 2000-01-28 Sun Microsyst Inc 情報を最少化した効率的な防護マルチキャスティング
JP2002111679A (ja) * 2000-09-28 2002-04-12 Hitachi Ltd 閉域グループ通信方法および通信端末装置
JP2005524280A (ja) * 2002-04-26 2005-08-11 インテル コーポレイション アドホックネットワークの確立方法
JP2006050460A (ja) * 2004-08-06 2006-02-16 Matsushita Electric Ind Co Ltd 無線ノード装置及びマルチホップ型無線システム
WO2007095995A2 (de) * 2006-02-23 2007-08-30 Togewa Holding Ag Vermittlungssystem und entsprechendes verfahren für unicast oder multicast end-to-end daten- und/oder multimediastreamübertragungen zwischen netzwerknodes

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002252607A (ja) 2000-12-22 2002-09-06 Nippon Telegr & Teleph Corp <Ntt> 情報配送方法及びその実施装置並びにその処理プログラムと記録媒体
US20040014422A1 (en) * 2002-07-19 2004-01-22 Nokia Corporation Method and system for handovers using service description data
JP2004266342A (ja) * 2003-02-03 2004-09-24 Sony Corp 無線アドホック通信システム、端末、その端末における復号方法、暗号化方法及びブロードキャスト暗号鍵配布方法並びにそれらの方法を端末に実行させるためのプログラム
EP1614273A1 (en) 2003-04-17 2006-01-11 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
US8098818B2 (en) * 2003-07-07 2012-01-17 Qualcomm Incorporated Secure registration for a multicast-broadcast-multimedia system (MBMS)
WO2006016260A2 (en) 2004-08-11 2006-02-16 Nokia Corporation Apparatus, and associated method, for facilitating secure, make-before-break hand-off in a radio communication system
US7814322B2 (en) 2005-05-03 2010-10-12 Sri International Discovery and authentication scheme for wireless mesh networks
US7742394B2 (en) 2005-06-03 2010-06-22 Honeywell International Inc. Redundantly connected wireless sensor networking methods
US20070070959A1 (en) * 2005-09-23 2007-03-29 Almeroth Kevin C Infrastructure mesh networks
US8374122B2 (en) * 2005-12-21 2013-02-12 Cisco Technology, Inc. System and method for integrated WiFi/WiMax neighbor AP discovery and AP advertisement
JP4989117B2 (ja) 2006-06-12 2012-08-01 キヤノン株式会社 通信装置およびその方法
US8948395B2 (en) * 2006-08-24 2015-02-03 Qualcomm Incorporated Systems and methods for key management for wireless communications systems
US8578159B2 (en) 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000031955A (ja) * 1998-04-24 2000-01-28 Sun Microsyst Inc 情報を最少化した効率的な防護マルチキャスティング
JP2002111679A (ja) * 2000-09-28 2002-04-12 Hitachi Ltd 閉域グループ通信方法および通信端末装置
JP2005524280A (ja) * 2002-04-26 2005-08-11 インテル コーポレイション アドホックネットワークの確立方法
JP2006050460A (ja) * 2004-08-06 2006-02-16 Matsushita Electric Ind Co Ltd 無線ノード装置及びマルチホップ型無線システム
WO2007095995A2 (de) * 2006-02-23 2007-08-30 Togewa Holding Ag Vermittlungssystem und entsprechendes verfahren für unicast oder multicast end-to-end daten- und/oder multimediastreamübertragungen zwischen netzwerknodes

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
間瀬 憲一 KENNICHI MASE, アドホック・メッシュネットワーク 初版 ADHOC NETWORKS AND MESH NETWORKS, vol. 第1版, JPN6015027222, ISSN: 0003109981 *

Also Published As

Publication number Publication date
RU2010143404A (ru) 2012-04-27
EP2260631A2 (en) 2010-12-15
KR20100139065A (ko) 2010-12-31
TW201014301A (en) 2010-04-01
BRPI0909524A2 (pt) 2016-07-19
CA2718786A1 (en) 2009-10-01
WO2009120711A3 (en) 2010-03-04
EP2260631B1 (en) 2018-09-12
RU2480935C2 (ru) 2013-04-27
CN101981892B (zh) 2015-07-15
US20090245517A1 (en) 2009-10-01
JP2011522447A (ja) 2011-07-28
CN101981892A (zh) 2011-02-23
TWI448126B (zh) 2014-08-01
CA2718786C (en) 2013-12-10
WO2009120711A2 (en) 2009-10-01
KR101237121B1 (ko) 2013-02-25
US8792646B2 (en) 2014-07-29

Similar Documents

Publication Publication Date Title
KR101237121B1 (ko) 무선 통신 시스템들에 대한 그룹 키 분배 및 관리를 위한 시스템 및 방법
US10412583B2 (en) Method and apparatus for new key derivation upon handoff in wireless networks
JP4965655B2 (ja) 無線通信システム用の鍵管理のためのシステムおよび方法
US20070064948A1 (en) Methods and apparatus for the utilization of mobile nodes for state transfer
EP2309698A1 (en) Exchange of key material
Wang et al. Fast authentication for inter-domain handover

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140916

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20141216

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20141219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150114

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150203

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150603

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20150611

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20150703