RU2443063C2 - Способ и устройство для выработки нового ключа при передаче обслуживания в беспроводных сетях - Google Patents

Способ и устройство для выработки нового ключа при передаче обслуживания в беспроводных сетях Download PDF

Info

Publication number
RU2443063C2
RU2443063C2 RU2009143679/07A RU2009143679A RU2443063C2 RU 2443063 C2 RU2443063 C2 RU 2443063C2 RU 2009143679/07 A RU2009143679/07 A RU 2009143679/07A RU 2009143679 A RU2009143679 A RU 2009143679A RU 2443063 C2 RU2443063 C2 RU 2443063C2
Authority
RU
Russia
Prior art keywords
access point
key
access
identifier
master
Prior art date
Application number
RU2009143679/07A
Other languages
English (en)
Other versions
RU2009143679A (ru
Inventor
Микаэла ВАНДЕРВИН (US)
Микаэла ВАНДЕРВИН
Original Assignee
Квэлкомм Инкорпорейтед
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Квэлкомм Инкорпорейтед filed Critical Квэлкомм Инкорпорейтед
Publication of RU2009143679A publication Critical patent/RU2009143679A/ru
Application granted granted Critical
Publication of RU2443063C2 publication Critical patent/RU2443063C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W74/00Wireless channel access, e.g. scheduled or random access
    • H04W74/002Transmission of channel access control information
    • H04W74/004Transmission of channel access control information in the uplink, i.e. towards network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/04Interfaces between hierarchically different network devices
    • H04W92/10Interfaces between hierarchically different network devices between terminal device and access point, i.e. wireless air interface

Abstract

Изобретение относится к технике связи и может быть использовано для управления ключами для сетевого доступа. Когда терминал доступа перемещается от текущей точки доступа к новой точке доступа, терминал доступа отправляет короткий запрос передачи обслуживания новой точке доступа. Короткий запрос передачи обслуживания может включать в себя ID терминала доступа; он не включает в себя ID точки доступа. Новая точка доступа затем может отправить устройству аутентификации ее идентификатор и идентификатор терминала доступа. Используя ранее сформированный главный промежуточный ключ, идентификатор точки доступа и идентификатор терминала доступа, устройство аутентификации может сформировать главный сеансовый ключ. Главный сеансовый ключ затем с помощью устройства аутентификации может быть отправлен точке доступа. Терминал доступа независимо формирует такой же новый защитный ключ, с помощью которого он может надежно взаимодействовать с новой точкой доступа. Технический результат - уменьшение времени ожидания. 10 н. и 60 з.п. ф-лы, 16 ил.

Description

Данная Заявка на патент притязает на приоритет Предварительной заявки №60/914033, озаглавленной "A Method and Apparatus for New Key Derivation upon Handoff in Wireless Networks", зарегистрированной 26 апреля 2007 г. и переданной правопреемнику этой заявки, и таким образом, в прямой форме включенной в этот документ путем отсылки.
Область техники, к которой относится изобретение
Различные признаки имеют отношение к системам беспроводной связи. По меньшей мере один аспект имеет отношение к системе и способу для управления ключами для сетевого доступа с малым временем ожидания.
Уровень техники
Сети беспроводной связи дают возможность устройствам связи передавать и/или принимать информацию в движении. Эти сети беспроводной связи могут быть коммуникационно соединены с другими общедоступными или частными сетями, чтобы обеспечить возможность передачи информации к мобильному терминалу доступа и от него. Такие сети связи, как правило, включают в себя множество точек доступа (например, базовых станций), которые предоставляют линии беспроводной связи терминалам доступа (например, мобильным устройствам связи, мобильным телефонам, беспроводным пользовательским терминалам). Точки доступа могут быть стационарными (например, закрепленными на земле) или мобильными (например, установленными на спутниках и т.д.) и располагаться, чтобы обеспечивать широкую охватываемую площадь, поскольку терминал доступа перемещается по разным зонам обслуживания.
Когда мобильный терминал доступа передвигается, его линия связи с узлом доступа может ухудшаться. В этой ситуации мобильный узел может переключиться или соединиться с другой точкой доступа для линии связи лучшего качества, хотя его первая линия еще активна. Этот процесс установления линии связи с другой точкой доступа называется "передачей обслуживания". Процесс передачи обслуживания обычно сталкивается с проблемой поддержания надежной и защищенной линии связи с сетью беспроводной связи при переключении точек доступа. Мягкие передачи обслуживания и жесткие передачи обслуживания являются двумя широко применяемыми типами передач обслуживания. Мягкая передача обслуживания является передачей, где устанавливается новая линия связи с новой точкой доступа перед тем, как прерывается существующая линия связи. В жесткой передаче обслуживания существующая линия связи обычно прерывается перед тем, как устанавливается новая линия связи.
В некоторых системах связи, когда мобильный терминал доступа подключается к сети связи через точку доступа, он выполняет аутентификацию в сети доступа, чтобы установить защищенный главный ключ. Каждый раз, когда возникает передача обслуживания, этот процесс может повторяться. Однако повторение этого процесса аутентификации при каждой передаче обслуживания вносит неприемлемое время ожидания. Одно современное решение для сокращения этого времени ожидания состоит в совместном использовании главного ключа между точками доступа. Однако этот подход создает серьезную угрозу безопасности, если компрометируется точка доступа, поскольку главный ключ становится незащищенным и может использоваться для компрометации всех передач, в которых используется этот главный ключ.
Следовательно, нужен способ, который обеспечивает передачу обслуживания с малым временем ожидания между терминалами доступа и точками доступа без компрометации безопасности.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
Один аспект предоставляет систему и способ для управления ключами между терминалом доступа (например, мобильным терминалом, беспроводным пользовательским терминалом и т.д.) и одной или несколькими точками доступа (например, базовыми станциями и т.д.). В частности, предоставляется схема для установления защищенной связи между терминалом доступа и точкой доступа без угрозы раскрытия главного ключа для терминала доступа. Этот подход вырабатывает главные сеансовые ключи для передач обслуживания с малым временем ожидания и безопасной аутентификации между новой точкой доступа и терминалом доступа.
В другом аспекте представляется схема централизованного управления ключами, в которой устройство аутентификации хранит, формирует и распространяет новые защитные ключи точкам доступа. Когда терминал доступа перемещается от текущей точки доступа к новой точке доступа, устройство аутентификации формирует новый защитный ключ или главный сеансовый ключ (MSK) на основе главного промежуточного ключа (MTK), идентификатора точки доступа и идентификатора терминала доступа. Новый главный сеансовый ключ затем отправляется новой точке доступа. Устройство аутентификации повторяет этот процесс, когда терминал доступа переключается на другие точки доступа. Терминал доступа независимо формирует такой же новый защитный ключ, с помощью которого он может надежно взаимодействовать с новыми точками доступа.
В другом аспекте точка доступа может обладать ассоциированным значением, которое отправляется устройству аутентификации в запросе ключа, который также включает в себя идентификатор точки доступа и идентификатор терминала доступа. Ассоциированное значение точки доступа может использоваться, в дополнение к главному промежуточному ключу, идентификатору точки доступа и идентификатору терминала доступа, для формирования главного сеансового ключа.
В другом аспекте устройство аутентификации может обладать ассоциированным значением, которое может использоваться, в дополнение к главному промежуточному ключу, идентификатору точки доступа и идентификатору терминала доступа, для формирования главного сеансового ключа.
В другом аспекте точка доступа, содержащая запоминающее устройство и процессор. Процессор может быть сконфигурирован для (а) приема первого запроса от терминала доступа на установление защищенного сеанса связи через точку доступа; (b) отправки сообщения с запросом ключа устройству аутентификации, где сообщение с запросом ключа включает в себя локально полученный идентификатор первой точки доступа и принятый идентификатор терминала доступа; и/или (с) приема первого главного сеансового ключа от устройства аутентификации для установления сеанса связи между терминалом доступа и точкой доступа, где первый главный сеансовый ключ является функцией по меньшей мере идентификатора первой точки доступа и идентификатора терминала доступа.
Процессор может дополнительно конфигурироваться для (а) приема запроса передачи обслуживания от терминала доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа, где запрос включает в себя идентификатор второй точки доступа, ассоциированный со второй точкой доступа, на которую нужно передать обслуживание сеанса связи; (b) отправки идентификатора второй точки доступа и принятого идентификатора терминала доступа на вторую точку доступа; (с) передачи обслуживания сеанса связи на вторую точку доступа; и/или (d) формирования промежуточного сеансового ключа в виде функции первого главного сеансового ключа, где промежуточный сеансовый ключ используется для установления сеанса связи между терминалом доступа и точкой доступа.
В другом аспекте сообщение с запросом ключа также может включать в себя первое значение, сформированное или ассоциированное с точкой доступа, и где первый главный сеансовый ключ также является функцией ассоциированного значения. Ассоциированное значение также отправляется терминалу доступа, чтобы позволить терминалу доступа сформировать первый главный сеансовый ключ. Ассоциированное значение может быть IP-адресом (Интернет-протокол) или MAC-адресом (Управление доступом к среде передачи) точки доступа. В качестве альтернативы принятый первый главный сеансовый ключ также является функцией ассоциированного значения, сформированного устройством аутентификации, и точка доступа принимает ассоциированное значение от устройства аутентификации.
Также предоставляется способ для (а) приема первого запроса от терминала доступа на установление защищенного сеанса связи через точку доступа; (b) отправки сообщения с запросом ключа устройству аутентификации, где сообщение с запросом ключа включает в себя локально полученный идентификатор первой точки доступа и принятый идентификатор терминала доступа; и/или (с) приема первого главного сеансового ключа от устройства аутентификации для установления сеанса связи между терминалом доступа и точкой доступа, где первый главный сеансовый ключ является функцией по меньшей мере идентификатора первой точки доступа и идентификатора терминала доступа.
Способ может дополнительно содержать (а) прием запроса передачи обслуживания от терминала доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа, где запрос включает в себя идентификатор второй точки доступа, ассоциированный со второй точкой доступа, на которую нужно передать обслуживание сеанса связи; (b) отправку идентификатора второй точки доступа и принятого идентификатора терминала доступа на вторую точку доступа; и/или (с) передачу обслуживания сеанса связи на вторую точку доступа.
В другом варианте осуществления сообщение с запросом ключа также включает в себя первое значение, сформированное или ассоциированное с точкой доступа, и первый главный сеансовый ключ также является функцией этого значения. Первое значение может включать в себя IP-адрес (Интернет-протокол) или MAC-адрес (Управление доступом к среде передачи) точки доступа. В еще одном варианте осуществления сообщение с запросом ключа также включает в себя первое значение, сформированное устройством аутентификации, и первый главный сеансовый ключ также является функцией первого значения.
В результате предоставляется точка доступа, содержащая: (а) средство для приема первого запроса от терминала доступа на установление защищенного сеанса связи через точку доступа; (b) средство для отправки сообщения с запросом ключа устройству аутентификации, где сообщение с запросом ключа включает в себя локально полученный идентификатор первой точки доступа и принятый идентификатор терминала доступа; и (с) средство для приема первого главного сеансового ключа от устройства аутентификации для установления сеанса связи между терминалом доступа и точкой доступа, где первый главный сеансовый ключ является функцией по меньшей мере идентификатора первой точки доступа и идентификатора терминала доступа.
Устройство дополнительно может содержать (а) средство для приема запроса передачи обслуживания от терминала доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа, где запрос включает в себя идентификатор второй точки доступа, ассоциированный со второй точкой доступа, на которую нужно передать обслуживание сеанса связи; (b) средство для отправки идентификатора второй точки доступа и принятого идентификатора терминала доступа на вторую точку доступа; и/или (с) средство для передачи обслуживания сеанса связи на вторую точку доступа.
Читаемый процессором носитель, содержащий команды, которые могут использоваться одним или несколькими процессорами, причем команды содержат: (а) команды для приема первого запроса от терминала доступа на установление защищенного сеанса связи через точку доступа; (b) команды для отправки сообщения с запросом ключа устройству аутентификации, где сообщение с запросом ключа включает в себя локально полученный идентификатор первой точки доступа и принятый идентификатор терминала доступа; (с) команды для приема первого главного сеансового ключа от устройства аутентификации для установления сеанса связи между терминалом доступа и точкой доступа, где первый главный сеансовый ключ является функцией по меньшей мере идентификатора первой точки доступа и идентификатора терминала доступа; (d) команды для приема запроса передачи обслуживания от терминала доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа, где запрос включает в себя идентификатор второй точки доступа, ассоциированный со второй точкой доступа, на которую нужно передать обслуживание сеанса связи; (e) команды для отправки идентификатора второй точки доступа и принятого идентификатора терминала доступа на вторую точку доступа; и/или (f) команды для передачи обслуживания сеанса связи на вторую точку доступа.
Также предоставляется процессор, содержащий: схему обработки, сконфигурированную для (а) приема первого запроса от терминала доступа на установление защищенного сеанса связи через точку доступа; (b) отправки сообщения с запросом ключа устройству аутентификации, где сообщение с запросом ключа включает в себя локально полученный идентификатор первой точки доступа и принятый идентификатор терминала доступа; (с) приема первого главного сеансового ключа от устройства аутентификации для установления сеанса связи между терминалом доступа и точкой доступа, где первый главный сеансовый ключ является функцией по меньшей мере идентификатора первой точки доступа и идентификатора терминала доступа; (d) приема запроса передачи обслуживания от терминала доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа, где запрос включает в себя идентификатор второй точки доступа, ассоциированный со второй точкой доступа, на которую нужно передать обслуживание сеанса связи; (е) отправки идентификатора второй точки доступа и принятого идентификатора терминала доступа на вторую точку доступа; и/или (f) передачи обслуживания сеанса связи на вторую точку доступа.
Предоставляется терминал доступа, содержащий запоминающее устройство и процессор. Процессор может быть сконфигурирован для (а) установления главного промежуточного ключа с помощью устройства аутентификации на основе, по меньшей мере, главного ключа верхнего уровня, ассоциированного с терминалом доступа; (b) получения идентификатора точки доступа, ассоциированного с первой точкой доступа; (с) отправки запроса к первой точке доступа, чтобы установить защищенный сеанс связи; (d) формирования первого главного сеансового ключа в виде функции по меньшей мере главного промежуточного ключа и идентификатора первой точки доступа; и/или (е) установления защищенного сеанса связи с первой точкой доступа, используя первый главный сеансовый ключ. Процессор может дополнительно конфигурироваться для: (а) получения идентификатора второй точки доступа, ассоциированного со второй точкой доступа; (b) отправки неспецифического запроса передачи обслуживания ко второй точке доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа; (с) формирования второго главного сеансового ключа с использованием по меньшей мере главного промежуточного ключа и идентификатора второй точки доступа; и/или (d) передачи обслуживания защищенного сеанса связи на вторую точку доступа с использованием второго главного сеансового ключа. Терминал доступа дополнительно может конфигурироваться для приема первого ассоциированного значения, сформированного первой точкой доступа, где первый главный сеансовый ключ также является функцией первого ассоциированного значения. В одном примере первое ассоциированное значение может включать в себя по меньшей мере один из IP-адреса (Интернет-протокол) или MAC-адреса (Управление доступом к среде передачи) первой точки доступа, и первый главный сеансовый ключ также может быть функцией IP- или MAC-адреса.
Также предоставляется способ, содержащий: (а) установление главного промежуточного ключа с помощью устройства аутентификации на основе, по меньшей мере, главного ключа верхнего уровня, ассоциированного с терминалом доступа; (b) получение идентификатора точки доступа, ассоциированного с первой точкой доступа; (с) отправку запроса к первой точке доступа, чтобы установить защищенный сеанс связи; (d) формирование первого главного сеансового ключа в виде функции по меньшей мере главного промежуточного ключа и идентификатора первой точки доступа; и/или (е) установление защищенного сеанса связи с первой точкой доступа, используя первый главный сеансовый ключ. Способ дополнительно может предусматривать: (а) получение идентификатора второй точки доступа, ассоциированного со второй точкой доступа; (b) отправку неспецифического запроса передачи обслуживания ко второй точке доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа; (с) формирование второго главного сеансового ключа с использованием по меньшей мере главного промежуточного ключа и идентификатора второй точки доступа; и/или (d) передачу обслуживания защищенного сеанса связи на вторую точку доступа с использованием второго главного сеансового ключа. Способ также может включать в себя прием первого ассоциированного значения, сформированного первой точкой доступа, где первый главный сеансовый ключ также является функцией первого ассоциированного значения. В одном примере первое ассоциированное значение может включать в себя по меньшей мере один из IP-адреса (Интернет-протокол) или MAC-адреса (Управление доступом к среде передачи) первой точки доступа, и первый главный сеансовый ключ также может быть функцией IP- или MAC-адреса.
В результате предоставляется терминал доступа, содержащий: (а) средство для установления главного промежуточного ключа с помощью устройства аутентификации на основе, по меньшей мере, главного ключа верхнего уровня, ассоциированного с терминалом доступа; (b) средство для получения идентификатора точки доступа, ассоциированного с первой точкой доступа; (с) средство для отправки запроса к первой точке доступа, чтобы установить защищенный сеанс связи; (d) средство для формирования первого главного сеансового ключа в виде функции по меньшей мере главного промежуточного ключа и идентификатора первой точки доступа; и/или (е) средство для установления защищенного сеанса связи с первой точкой доступа, используя первый главный сеансовый ключ. Терминал доступа дополнительно может содержать: (а) средство для получения идентификатора второй точки доступа, ассоциированного со второй точкой доступа; (b) средство для отправки неспецифического запроса передачи обслуживания ко второй точке доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа; (с) средство для формирования второго главного сеансового ключа с использованием по меньшей мере главного промежуточного ключа и идентификатора второй точки доступа; и/или (d) средство для передачи обслуживания защищенного сеанса связи на вторую точку доступа с использованием второго главного сеансового ключа.
Также предоставляется читаемый процессором носитель, содержащий команды, которые могут использоваться одним или несколькими процессорами, причем команды содержат: (а) команды для установления главного промежуточного ключа с помощью устройства аутентификации на основе, по меньшей мере, главного ключа верхнего уровня, ассоциированного с терминалом доступа; (b) команды для получения идентификатора точки доступа, ассоциированного с первой точкой доступа; (с) команды для отправки запроса к первой точке доступа, чтобы установить защищенный сеанс связи; (d) команды для формирования первого главного сеансового ключа в виде функции по меньшей мере главного промежуточного ключа и идентификатора первой точки доступа; (е) команды для установления защищенного сеанса связи с первой точкой доступа, используя первый главный сеансовый ключ; (f) команды для получения идентификатора второй точки доступа, ассоциированного со второй точкой доступа; (g) команды для формирования второго главного сеансового ключа с использованием по меньшей мере главного промежуточного ключа и идентификатора второй точки доступа; и; и/или (h) команды для передачи обслуживания защищенного сеанса связи на вторую точку доступа с использованием второго главного сеансового ключа.
Также предоставляется процессор, содержащий схему обработки, сконфигурированную для (а) установления главного промежуточного ключа с помощью устройства аутентификации на основе, по меньшей мере, главного ключа верхнего уровня, ассоциированного с терминалом доступа; (b) получения идентификатора точки доступа, ассоциированного с первой точкой доступа; (с) отправки запроса к первой точке доступа, чтобы установить защищенный сеанс связи; (d) формирования первого главного сеансового ключа в виде функции по меньшей мере главного промежуточного ключа и идентификатора первой точки доступа; (е) установления защищенного сеанса связи с первой точкой доступа, используя первый главный сеансовый ключ; (f) получения идентификатора второй точки доступа, ассоциированного со второй точкой доступа; (g) формирования второго главного сеансового ключа с использованием по меньшей мере главного промежуточного ключа и идентификатора второй точки доступа; и/или (h) передачи обслуживания защищенного сеанса связи на вторую точку доступа с использованием второго главного сеансового ключа.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Признаки, сущность и преимущества настоящих особенностей могут стать очевиднее из изложенного ниже подробного описания, рассматриваемого в сочетании с чертежами, на которых одинаковые номера позиций определяют соответственно по всему документу.
Фиг.1 иллюстрирует систему беспроводной связи с централизованным управлением ключами, которая способствует защищенным передачам обслуживания с малым временем ожидания.
Фиг.2 (содержащая Фиг.2А, 2В и 2С) - блок-схема алгоритма, иллюстрирующая первый пример работы системы беспроводной связи с централизованным управлением ключами, которая способствует защищенным передачам обслуживания с малым временем ожидания.
Фиг.3 (содержащая Фиг.3А, 3В и 3С) - блок-схема алгоритма, иллюстрирующая второй пример работы системы беспроводной связи с централизованным управлением ключами, которая способствует защищенным передачам обслуживания с малым временем ожидания.
Фиг.4 иллюстрирует централизованную модель защитных ключей, которая может использоваться в обеспечении безопасности сеансов связи между терминалом доступа и новой точкой доступа во время и/или после передачи обслуживания.
Фиг.5 - блок-схема, иллюстрирующая терминал доступа, сконфигурированный для выполнения передач обслуживания защищенных сеансов связи с малым временем ожидания.
Фиг.6 - блок-схема алгоритма, иллюстрирующая способ, действующий в терминале доступа для облегчения передачи обслуживания защищенного сеанса связи с первой точки доступа на новую точку доступа с использованием подхода централизованного управления ключами.
Фиг.7 - блок-схема, иллюстрирующая устройство аутентификации, сконфигурированное для облегчения передач обслуживания защищенных сеансов связи с малым временем ожидания.
Фиг.8 - блок-схема алгоритма, иллюстрирующая способ, действующий в устройстве аутентификации для облегчения передачи обслуживания защищенного сеанса связи с первой точки доступа на новую точку доступа с использованием подхода централизованного управления ключами.
Фиг.9 - блок-схема, иллюстрирующая точку доступа, сконфигурированную для облечения передач обслуживания защищенных сеансов связи с малым временем ожидания.
Фиг.10 - блок-схема, иллюстрирующая альтернативный вариант осуществления точки доступа, имеющей встроенное устройство аутентификации.
Фиг.11 - блок-схема алгоритма, иллюстрирующая способ, действующий в первой точке доступа для облегчения передачи обслуживания защищенного сеанса связи с первой точки доступа на вторую точку доступа с использованием подхода централизованного управления ключами.
Фиг.12 - блок-схема алгоритма, иллюстрирующая способ, действующий в терминале доступа для получения и/или установления активного набора точек доступа.
ПОДРОБНОЕ ОПИСАНИЕ
В нижеследующем описании даются характерные подробности для обеспечения всестороннего понимания вариантов осуществления. Тем не менее, обычному специалисту в данной области техники будет понятно, что варианты осуществления могут быть применены на практике без этих характерных подробностей. Например, схемы могут быть показаны в блок-схемах для того, чтобы не затруднять понимание вариантов осуществления излишней подробностью. В других случаях широко известные схемы, структуры и методики могут быть показаны подробно, чтобы не затруднять понимание вариантов осуществления.
Также отметим, что варианты осуществления могут быть описаны как процесс, который изображается в виде блок-схемы алгоритма, схемы последовательности операций, структурной схемы или блок-схемы. Хотя блок-схема алгоритма может описывать операции как многостадийный процесс, многие операции могут выполняться параллельно или одновременно. К тому же порядок операций может быть переставлен. Процесс прекращается, когда завершаются его операции. Процесс может соответствовать способу, функции, процедуре, стандартной подпрограмме, подпрограмме и т.д. Когда процесс соответствует функции, его завершение соответствует возврату функции к вызывающей функции или главной функции.
Кроме того, носитель информации может представлять одно или несколько устройств для хранения данных, включая постоянное запоминающее устройство (ROM), оперативное запоминающее устройство (RAM), носители информации на магнитных дисках, оптические носители информации, устройства на флэш-памяти и/или другие машиночитаемые носители для хранения информации. Термин "машиночитаемый носитель" включает в себя, но не ограничивается, портативные или стационарные запоминающие устройства, оптические запоминающие устройства, беспроводные каналы и различные другие носители, допускающие хранение, содержание или перемещение команды (команд) и/или данных.
Кроме того, варианты осуществления могут быть реализованы с помощью аппаратных средств, программного обеспечения (ПО), микропрограммного обеспечения, ПО промежуточного слоя, микрокода или любого их сочетания. Будучи реализованными в программном обеспечении, микропрограммном обеспечении, ПО промежуточного слоя или микрокоде, программный код или сегменты кода для выполнения необходимых задач могут храниться на машиночитаемом носителе, таком как носитель информации или другое запоминающее устройство (устройства). Процессор может выполнять необходимые задачи. Сегмент кода может представлять собой процедуру, функцию, подпрограмму, программу, процедуру, стандартную подпрограмму, модуль, пакет программного обеспечения, класс или любое сочетание команд, структур данных или операторов программ. Сегмент кода может быть связан с другим сегментом кода или аппаратной схемой через передачу и/или прием информации, данных, аргументов, параметров или содержимого памяти. Информация, аргументы, параметры, данные и т.д. могут пересылаться, перенаправляться или передаваться через любое подходящее средство, включая разделение памяти, передачу сообщений, эстафетную передачу, передачу по сети и т.д.
В одном варианте представлена система и способ для управления ключами между терминалом доступа (например, мобильным терминалом, беспроводным пользовательским терминалом и т.д.) и одной или несколькими точками доступа (например, базовыми станциями и т.д.). В частности, предоставляется схема для установления защищенной связи между терминалом доступа и точкой доступа без угрозы раскрытия главного ключа для терминала доступа. Этот подход вырабатывает главные сеансовые ключи для передач обслуживания с малым временем ожидания и безопасной аутентификации между новой точкой доступа и терминалом доступа.
В другом варианте представлена схема централизованного управления ключами, в которой устройство аутентификации хранит, формирует и распространяет новые защитные ключи точкам доступа. Когда терминал доступа перемещается от текущей точки доступа к новой точке доступа, терминал доступа отправляет короткий запрос передачи обслуживания новой точке доступа. Короткий запрос передачи обслуживания может включать в себя ID терминала доступа; он не включает в себя ID точки доступа. Новая точка доступа затем может отправить устройству аутентификации ее идентификатор и идентификатор терминала доступа. Используя ранее сформированный главный промежуточный ключ, идентификатор точки доступа (например, идентификатор соты или ID соты) и идентификатор терминала доступа, устройство аутентификации может сформировать главный сеансовый ключ (MSK). Главный сеансовый ключ затем может быть отправлен точке доступа. Устройство аутентификации повторяет этот процесс, когда терминал доступа переключается на другие точки доступа. Терминал доступа независимо формирует такой же новый защитный ключ, с помощью которого он может надежно взаимодействовать с новыми точками доступа.
В альтернативном варианте осуществления точка доступа может обладать ассоциированным значением, которое отправляется устройству аутентификации в запросе ключа, который также включает в себя идентификатор точки доступа и идентификатор терминала доступа. Значение точки доступа может использоваться в дополнение к главному промежуточному ключу, идентификатору точки доступа и идентификатору терминала доступа для формирования главного сеансового ключа.
В альтернативном варианте осуществления устройство аутентификации может обладать ассоциированным значением, которое может использоваться в дополнение к главному промежуточному ключу, идентификатору точки доступа и идентификатору терминала доступа для формирования главного сеансового ключа.
Для того, чтобы терминал доступа мог формировать одинаковый главный сеансовый ключ, терминал доступа может узнавать ассоциированное значение с помощью различных средств, например прямого или косвенного (через другую точку доступа) запроса к точке доступа, о которой идет речь, к устройству аутентификации или к другой точке доступа, или из информации, транслируемой устройством аутентификации или точкой доступа, о которой идет речь.
Еще в одном варианте представлен терминал доступа, который конфигурируется для установления и/или поддержания активного набора точек доступа, с которыми он может взаимодействовать. Вместо получения или согласования новых ключей, когда терминал доступа переходит к новой точке доступа, терминалом доступа поддерживается активный набор ключей. То есть терминал доступа может одновременно или параллельно поддерживать или устанавливать ассоциации безопасности (например, ключи) с множеством точек доступа в рамках сектора, области или территории. Заранее установленные защитные ключи могут впоследствии применяться терминалом доступа для взаимодействия с точками доступа в его активном наборе без необходимости повторного установления защищенной связи между им самим и точками доступа.
В некоторых вариантах каждый терминал доступа может взаимодействовать с двумя или более секторами у одной или нескольких сот. Это может выполняться для того, чтобы сделать возможной передачу обслуживания между разными секторами или сотами, когда терминал доступа двигается или перемещается, для надлежащего управления пропускной способностью и/или по другим причинам.
При использовании в данном описании точка доступа может быть стационарной станцией, используемой для связи с терминалами доступа, и также может называться и включать в себя некоторые или все функциональные возможности базовой станции, Узла Б или какой-либо другой терминологии. Терминал доступа также может называться и включать в себя некоторые или все функциональные возможности пользовательского оборудования (UE), устройства беспроводной связи, терминала, мобильного терминала, мобильной станции или какой-либо другой терминологии.
Описанные здесь способы передачи также могут использоваться для различных систем беспроводной связи, например системы CDMA, системы TDMA, системы FDMA, системы коллективного доступа с ортогональным частотным разделением каналов (OFDMA), системы FDMA с одной несущей (SC-FDMA) и так далее. Система OFDMA использует мультиплексирование с ортогональным частотным разделением каналов (OFDM), которое является методикой модуляции, которая разделяет всю полосу пропускания системы на несколько (К) ортогональных поднесущих. Эти поднесущие также называются тонами, элементами дискретизации и так далее. С помощью OFDM каждая поднесущая может независимо модулироваться с данными. Система SC-FDMA может использовать чередующийся FDMA (IFDMA) для передачи на поднесущих, которые распределены по полосе пропускания системы, локализованный FDMA (LFDMA) для передачи на блоке соседних поднесущих, или усовершенствованный FDMA (EFDMA) для передачи на нескольких блоках соседних поднесущих. Вообще символы модуляции отправляются с помощью OFDM в частотной области и с помощью SC-FDMA во временной области.
Некоторые из примеров, описанных здесь, ссылаются на расширяемый протокол аутентификации (EAP), который дает в результате выработку парного главного ключа MK в точке доступа и терминале доступа. Аутентификация по EAP может выполняться между терминалом доступа и сервером аутентификации (например, в сетевом контроллере, сервере ААА и т.д.) через точку доступа, действующую в качестве устройства аутентификации; устройство аутентификации может само действовать в качестве сервера аутентификации в некоторых случаях. В некоторых случаях устройство аутентификации может быть совмещено с одной или несколькими точками доступа.
Главный сеансовый ключ (MSK) устанавливается и поддерживается между точкой доступа и терминалом доступа. MSK может вычисляться (например, на основе главного ключа MK, или MK для приложений EAP) для защиты связи между терминалом доступа и точкой доступа. Например, MSK может вычисляться следующим образом: MSKn = PRF (MKn, Data), где PRF - псевдослучайная функция (например, KDF (функция выработки ключа) или Хэш (функция)), такая как HMAC-SHA-256 или AES-128-CMAC, или другая функция выработки ключа, а Data может быть идентификатором точки доступа и идентификатором терминала доступа. В другом варианте осуществления Data может дополнительно включать в себя конкретное значение. Значение может включать в себя IP-адрес (Интернет-протокол) или MAC-адрес (Управление доступом к среде передачи), ассоциированный или присвоенный точке доступа, одноразовый номер или случайное число, выбранные точкой доступа, одноразовый номер, выбранный устройством аутентификации или даже статическую строку. Параметры Data могут быть известны в соответствии с исполнением системы или могут сообщаться во время сеанса. В этом подходе никакие динамические переменные не используются в выработке MSK, и поэтому никакого обмена ключей не нужно после EAP или повторной аутентификации EAP.
Часто сеанс связи между точкой доступа и терминалом доступа использует некоторый тип шифрования для защиты данных во время передачи. Однако во время передачи обслуживания связи от текущей точки доступа к новой точке доступа имеется проблема в том, как продолжить защищенную связь с новой точкой доступа без компрометации сеанса связи в результате передачи ключа между точками доступа или других значений формирования ключа шифрования беспроводным способом. Поскольку следует установить новый главный сеансовый ключ (MSK) с новой точкой доступа, сначала следует установить новый главный ключ (MK) между новой точкой доступа и терминалом доступа. Более того, было бы предпочтительно избежать совместного использования сеансовых ключей среди точек доступа, поскольку это привносит уязвимость, где компрометация некоторой точки доступа приводит к компрометации точек доступа, которые вовлечены в совместное использование ключа со скомпрометированной точкой доступа. Однако согласование нового главного сеансового ключа на критическом пути передачи обслуживания увеличивает время ожидания передачи обслуживания. Поэтому было бы желательно предоставить защищенный сеансовый ключ с малым временем ожидания для каждой пары точки доступа и терминала доступа.
В подходе из предшествующего уровня техники один и тот же главный ключ верхнего уровня (MKo) для терминала доступа может совместно использоваться среди всех точек доступа, чтобы обеспечить защиту сеансов связи с терминалом доступа. Если главный ключ MKo верхнего уровня компрометируется на любой из точек доступа, он скомпрометирует все сеансы связи между терминалом доступа и всеми другими точками доступа. Преимущество использования главных сеансовых ключей MSK состоит в том, что если один главный сеансовый ключ MSKn компрометируется на некоторой точке доступа, то главные сеансовые ключи для остальных точек доступа, MSK1…MSKn-1 или MSKo, не компрометируются. Причина в том, что каждый главный сеансовый ключ является уникальным для конкретной пары терминала доступа и точки доступа.
Фиг.1 иллюстрирует систему беспроводной связи с централизованным управлением ключами, которая способствует защищенным передачам обслуживания с малым временем ожидания. Система 100 беспроводной связи с коллективным доступом может включать в себя несколько сот, например соты 102, 104 и 106. Каждая сота 102, 104 и 106 может включать в себя точку 110, 112 и 114 доступа, которая обеспечивает покрытие нескольких секторов в соте. Точки 110, 112 и 114 доступа в каждой соте 102, 104 и 106 могут предоставлять услуги подключения к сети одному или нескольким терминалам доступа. Например, когда терминал 118 доступа перемещается по разным сотам 102, 104, 106, он может взаимодействовать с точками 110, 112 и 114 доступа. Устройство 120 аутентификации (например, Объект управления мобильностью (ММЕ), Объект управления безопасностью доступа (ASME) или сервер) может служить для управления работой точек 110, 112 и 114 доступа и/или управления аутентификацией ключей для терминалов доступа. В некоторых применениях устройство 120 аутентификации может хранить главные ключи верхнего уровня, однозначно ассоциированные с терминалами доступа, которые обслуживаются сетью 100. Например, первый главный ключ MKo верхнего уровня известен устройству 120 аутентификации и терминалу 118 доступа и является однозначно ассоциированным с терминалом 118 доступа. В различных применениях устройство 120 аутентификации может быть частью сетевого контроллера, который является удаленным или отдельным от точек 110, 112 и 114 доступа, или оно может быть совмещено с одной из точек доступа. Каждый терминал доступа может взаимодействовать с двумя или более секторами у одной или нескольких сот. Это может сделать возможным передачи обслуживания сеансов связи между разными секторами или сотами, когда терминал 118 доступа двигается или перемещается, для надлежащего управления пропускной способностью и/или по другим причинам.
Чтобы сделать возможным быстрые передачи обслуживания, устройство 120 аутентификации конфигурируется для согласования главного промежуточного ключа (MTK) с терминалом 118 доступа. Например, когда сеанс связи устанавливается первый раз, устройство 120 аутентификации и терминал 118 доступа может использовать главный ключ MKo верхнего уровня для установления главного промежуточного ключа (MTK), который может быть долгосрочным ключом, совместно используемым терминалом 118 доступа и устройством 120 аутентификации. Устройство 120 аутентификации затем может сформировать главные сеансовые ключи (MSK) (например, Ключ для Усовершенствованного Узла Б (K_eNB)) для точек 110, 112 и 114 доступа на основе (по меньшей мере частично) главного промежуточного ключа (MTK), идентификатора точки доступа и идентификатора терминала доступа.
Устройство 120 аутентификации формирует такой MSK на основе приема сообщения с запросом нового ключа от точки доступа. Устройство 120 аутентификации может поместить подходящий MSK в ответное сообщение с новым ключом, которое оно отправляет обратно запрашивающей точке доступа.
В альтернативном варианте осуществления устройство аутентификации также может использовать ассоциированное значение для формирования MSK. Значение может быть IP-адресом (Интернет-протокол) или MAC-адресом (Управление доступом к среде передачи), ассоциированным или присвоенным точке доступа, или одноразовым номером или случайным числом, выбранным точкой доступа или устройством 120 аутентификации. Терминал доступа может узнать значение, используемое для формирования MSK, с помощью различных средств, например, прямого или косвенного (через другую точку доступа) запроса к точке доступа, о которой идет речь, к устройству аутентификации или к другой точке доступа, или из информации, транслируемой устройством аутентификации или точкой доступа, о которой идет речь. В другом варианте осуществления значение может отправляться точкой доступа в сообщении, которое точка доступа может уже отправлять терминалу доступа. В еще одном варианте осуществления значение может быть тем, которое транслируется точкой доступа с заданной периодичностью для терминалов доступа, которые передают обслуживание.
Главные сеансовые ключи (MSK) являются краткосрочными, характерными для линии связи ключами. Главные сеансовые ключи (MSK) могут формироваться и/или распространяться устройством 120 аутентификации одновременно или когда они нужны для передачи обслуживания сеанса на новую точку доступа. Терминал 118 доступа может аналогичным образом формировать новый MSK каждый раз, когда он передает обслуживание сеанса на новую точку доступа. В результате доставки нового ключа терминал доступа-точка доступа при передаче обслуживания никакого дополнительного сообщения к/от терминала доступа не используется.
Запрос/ответ нового ключа, описанный выше, может быть самым быстрым способом формирования нового ключа для устройства аутентификации. Терминал 118 доступа может надежно вырабатывать этот ключ для себя без какой-либо дополнительной сигнализации между терминалом 118 доступа и точкой доступа или терминалом доступа и устройством 120 аутентификации. В результате может быть получена меньшая задержка передачи обслуживания по сравнению с аутентификацией терминал доступа-устройство аутентификации, которая может выполняться, например, при включении.
Фиг.2 (содержащая Фиг.2А, 2В и 2С) - блок-схема алгоритма, иллюстрирующая первый пример работы системы беспроводной связи с централизованным управлением ключами, которая способствует защищенным передачам обслуживания с малым временем ожидания. В этом первом примере главный сеансовый ключ (MSK), который описан ниже, может формироваться на основе по меньшей мере главного промежуточного ключа (MTK)(например, Ключа для Объекта управления безопасностью доступа (K_ASME) или корневого Главного сеансового ключа (rMSK)), идентификатора точки доступа (например, идентификатора соты или ID соты) и идентификатора терминала доступа. Также в этом первом примере устройство 120 аутентификации, точка А 110 доступа, терминал 118 доступа и точка B 112 доступа из Фиг.1 используются с целью иллюстрации. Точка А доступа может быть идентифицирована по идентификатору AP_ID_A 202, терминал доступа может быть идентифицирован по идентификатору AT_ID 204, а точка B доступа может быть идентифицирована по идентификатору AP_ID_B 206.
Устройство 120 аутентификации и терминал 118 доступа могут хранить главный ключ MKo верхнего уровня (ссылки 212 и 214), однозначно ассоциированный с терминалом 118 доступа. Устройство 120 аутентификации и терминал 118 доступа также могут согласовать главный промежуточный ключ (MTK) (и по возможности идентификатор MTK-MTK_ID) посредством заданного протокола, например EAP.
MTK может основываться (по меньшей мере частично) на главном ключе MKo верхнего уровня и/или идентификаторе терминала доступа (AT_ID) (ссылка 216). MTK может надежно храниться устройством 120 аутентификации и терминалом 118 доступа. В отличие от этого MSK, которые совместно используют терминал 118 доступа и точку 110 доступа, вырабатываются из MTK и являются главными ключами, которые впоследствии могут использоваться для выработки временных сеансовых ключей.
В некоторых реализациях выработка MTK также может включать в себя случайное число, сформированное и/или доставленное терминалом 118 доступа и/или устройством 120 аутентификации. По существу, может быть реализован протокол между устройством 120 аутентификации и/или терминалом 118 доступа для выработки, формирования и/или обмена таким случайным числом до (или одновременно с) выработки MTK. Как известно в данной области техники, многие примеры EAP демонстрируют такой подход.
Терминал 118 доступа может прослушивать трансляции, идентифицирующие локальные точки доступа, для получения идентификатора точки доступа (ссылка 218). В одном примере терминал 118 доступа может выбрать точку A 110 доступа на основе ее уровня сигнала по сравнению с любыми другими точками доступа в окрестности. Терминал 118 доступа может отправить короткий запрос на установление сеанса связи с точкой А 110 доступа. В отличие от предшествующего уровня техники короткий запрос может не включать в себя идентификатор точки доступа (AP_ID_A), а может включать в себя только идентификатор терминала доступа (ссылка 220). Это минимизирует объем данных, которые передаются. Точка А доступа может затем отправить ее идентификатор (AP_ID_A) и идентификатор терминала доступа (AT_ID) в виде запроса ключа к устройству аутентификации для формирования первого главного сеансового ключа (MSK1), который может использоваться терминалом доступа и точкой А доступа (например, исходным усовершенствованным Узлом Б (eNB)) для установления защищенной связи (ссылка 222).
Далее устройство 120 аутентификации и терминал 118 доступа могут независимо сформировать первый главный сеансовый ключ MSK1 на основе, по меньшей мере частично, главного промежуточного ключа (MTK), идентификатора точки доступа и идентификатора терминала доступа (ссылки 226 и 228). Главные сеансовые ключи (MSK) могут быть краткосрочными, характерными для линии связи ключами. Главный сеансовый ключ MSKn может формироваться с использованием псевдослучайной функции (PRF) или другой подходящей функции выработки ключа. Так как главные сеансовые ключи MSK формируются с использованием общего MTK, по меньшей мере идентификаторы AP_ID точек доступа, используемые в выработке каждого MSK, должны быть уникальными для конкретной пары точки доступа и терминала доступа. Устройство 120 аутентификации может затем отправить первый главный сеансовый ключ MSK1 к точке А доступа (ссылка 230). После выработки первого главного сеансового ключа (MSK1) первый промежуточный сеансовый ключ (TSK1) может формироваться в виде функции MSK1 и "других данных" для установления сеанса связи между терминалом доступа и точкой доступа (ссылка 232). "Другие данные" могут быть числом, статичным или изменяющимся во времени, которое известно как терминалу доступа, так и точке доступа, или они могут содержать свежие сформированные числа, например одноразовые номера, которые впоследствии меняются в отдельном протоколе, работающем для выработки TSK. Такие протоколы для выработки временных сеансовых ключей из главного ключа известны в данной области техники. Затем может быть надежно установлен сеанс связи между точкой A 110 доступа и терминалом 118 доступа, используя первый главный сеансовый ключ MSK1 (ссылка 234).
Терминал 118 доступа может продолжить прослушивание трансляций от локальных терминалов доступа (ссылка 236), чтобы определить, должна ли произойти передача обслуживания с новой точкой B доступа (например, целевым усовершенствованным Узлом Б (eNB)) (ссылка 238). То есть, когда терминал 118 доступа передвигается или перемещается в другой сектор или соту или обнаруживается более сильный сигнал от другой точки доступа, может быть желательна передача обслуживания к новой точке B 112 доступа. Если передача обслуживания от текущей точки A 110 доступа к новой точке B 112 доступа выбирается терминалом 118 доступа, то он может отправить короткий запрос на установление сеанса связи с точкой B доступа путем передачи обслуживания сеанса связи к точке B 112 доступа. В отличие от предшествующего уровня техники короткий запрос не включает в себя идентификатор точки доступа (AP_ID_B) (ссылка 240). В результате исключения идентификатора точки доступа (AP_ID_B) из запроса минимизируется объем переданных данных. Точка B доступа может затем отправить ее идентификатор (AP_ID_B) и идентификатор терминала доступа (AT_ID) в виде запроса ключа к устройству аутентификации для формирования главного сеансового ключа, который может использоваться терминалом доступа и точкой B доступа для установления защищенной связи (ссылка 242).
Далее устройство 120 аутентификации и терминал 118 доступа могут независимо сформировать новый главный сеансовый ключ MSK2 на основе, по меньшей мере частично, текущего главного промежуточного ключа MTK, идентификатора точки доступа и идентификатора терминала доступа (ссылки 246 и 248). Главные сеансовые ключи (MSK) могут быть краткосрочными, характерными для линии связи ключами. Устройство 120 аутентификации затем может отправить новый главный сеансовый ключ MSK2 к новой точке B доступа (ссылка 250). Защищенный сеанс связи может затем продолжаться между точкой B 112 доступа и терминалом 118 доступа с использованием нового главного сеансового ключа MSK2 (ссылка 252).
Затем может быть надежно установлен сеанс связи между точкой B 112 доступа и терминалом 118 доступа, используя второй главный сеансовый ключ MSK2. Передача обслуживания может произойти посредством точки B доступа, отвечающей на запрос передачи обслуживания непосредственно терминалу доступа. В альтернативном варианте осуществления передача обслуживания может произойти посредством точки B доступа, отвечающей терминалу доступа на запрос передачи обслуживания через точку B доступа (ссылка 256). После выработки второго главного сеансового ключа (MSK2) второй промежуточный сеансовый ключ (TSK2) может формироваться в виде функции MSK2 и "других данных" для установления сеанса связи между терминалом доступа и точкой доступа (ссылка 258). "Другие данные" могут быть числом, статичным или изменяющимся во времени, которое известно как терминалу доступа, так и точке доступа, или они могут содержать свежие сформированные числа, например одноразовые номера, которые впоследствии меняются в отдельном протоколе, работающем для выработки TSK. Такие протоколы для выработки временных сеансовых ключей из главного ключа известны в данной области техники. Следовательно, связь между терминалом 118 доступа и точкой A 110 доступа может быть прекращена (ссылка 260).
Процесс надежной передачи обслуживания сеанса связи от одной точки доступа к другой может повторяться несколько раз. Например, на Фиг.1 терминал 118 доступа может двигаться или перемещаться из текущей соты 104 в новую соту 106 и стремиться к передаче обслуживания сеанса связи от текущей точки B 112 доступа в новую точку C 114 доступа. Терминал 118 доступа может запросить передачу обслуживания к новой точке доступа. Как описано выше, терминал доступа может отправить короткий запрос на передачу обслуживания, где запрос передачи обслуживания не включает в себя идентификатор точки доступа (AP_ID). Устройство 120 аутентификации затем может сформировать новый главный сеансовый ключ MSK3 на основе (по меньшей мере частично) главного промежуточного ключа MTK, идентификатора точки доступа и идентификатора терминала доступа. Устройство 120 аутентификации затем может отправить главный сеансовый ключ MSK3 к новой точке C 114 доступа. Устройство 120 аутентификации и терминал 118 доступа могут независимо формировать свою собственную версию нового главного сеансового ключа MSK3. Терминал 118 доступа и новая точка C 114 доступа затем могут использовать новый главный сеансовый ключ MSK3 для продолжения защищенного сеанса связи между ними.
Фиг.3 (содержащая Фиг.3А, 3В и 3С) - блок-схема алгоритма, иллюстрирующая второй пример работы системы беспроводной связи с централизованным управлением ключами, которая способствует защищенным передачам обслуживания с малым временем ожидания. В этом втором примере главный сеансовый ключ (MSK), который описывается ниже, может формироваться на основе по меньшей мере главного промежуточного ключа (MTK), идентификатора точки доступа, идентификатора терминала доступа и при желании ассоциированного значения, где значение может быть одноразовым номером (или случайным числом), сформированным точкой доступа или устройством аутентификации. Также в этом втором примере устройство 120 аутентификации, точка А 110 доступа, терминал 118 доступа и точка B 112 доступа из Фиг.1 используются с целью иллюстрации. Точка А доступа может быть идентифицирована по идентификатору AP_ID_A 302, терминал доступа может быть идентифицирован по идентификатору AT_ID 304, а точка B доступа может быть идентифицирована по идентификатору AP_ID_B 306. Кроме того, точка A доступа, точка B доступа и устройство аутентификации могут хранить значение 308, 310 и 311, которое может быть случайным числом или одноразовым номером, сформированным каждой точкой доступа и устройством аутентификации соответственно.
Устройство 120 аутентификации и терминал 118 доступа могут хранить главный ключ MKo верхнего уровня (ссылки 312 и 314), однозначно ассоциированный с терминалом 118 доступа. Устройство 120 аутентификации и терминал 118 доступа также могут согласовать главный промежуточный ключ (MTK) (и по возможности идентификатор MTK-MTK_ID) посредством заданного протокола, например EAP.
MTK может основываться (по меньшей мере частично) на главном ключе MKo верхнего уровня и/или идентификаторе терминала доступа (AT_ID) (ссылка 316). MTK может надежно храниться устройством 120 аутентификации и терминалом 118 доступа. В отличие от этого MSK, которые совместно используют терминал 118 доступа и точку 110 доступа, вырабатываются из MTK и являются главными ключами, которые впоследствии могут использоваться для выработки временных сеансовых ключей.
В некоторых реализациях выработка MTK также может включать в себя случайное число, сформированное и/или доставленное терминалом 118 доступа и/или устройством 120 аутентификации. По существу, может быть реализован протокол между устройством 120 аутентификации и/или терминалом 118 доступа для выработки, формирования и/или обмена таким случайным числом до (или одновременно с) выработки MTK. Как известно в данной области техники, многие примеры EAP демонстрируют такой подход.
Терминал 118 доступа может прослушивать трансляции, идентифицирующие локальные точки доступа, для получения идентификатора точки доступа и при желании ассоциированного значения точки доступа (ссылка 318). В одном примере терминал 118 доступа может выбрать точку A 110 доступа на основе ее уровня сигнала по сравнению с любыми другими точками доступа в окрестности. Терминал 118 доступа может отправить короткий запрос на установление сеанса связи с точкой А 110 доступа. В отличие от предшествующего уровня техники короткий запрос может не включать в себя идентификатор точки доступа (AP_ID_A), а может включать в себя только идентификатор терминала доступа (ссылка 320). Это минимизирует объем данных, которые передаются. Точка A доступа может затем отправить ее идентификатор (AP_ID_A), идентификатор терминала доступа (AT_ID) и при желании ее ассоциированное значение в виде запроса ключа к устройству аутентификации для формирования первого главного сеансового ключа (MSK1), который может использоваться терминалом доступа и точкой A доступа для установления защищенной связи (ссылка 322). Значение может быть IP- или MAC-адресом, ассоциированным или присвоенным точке доступа, либо одноразовым номером или случайным числом, выбранным точкой доступа.
Далее устройство 120 аутентификации и терминал 118 доступа могут независимо сформировать первый главный сеансовый ключ MSK1 на основе, по меньшей мере частично, главного промежуточного ключа (MTK), идентификатора точки доступа, идентификатора терминала доступа и при желании ассоциированного значения (ссылки 326 и 328). Главные сеансовые ключи (MSK) могут быть краткосрочными, характерными для линии связи ключами. Главный сеансовый ключ MSKn может формироваться с использованием псевдослучайной функции (PRF) или другой подходящей функции выработки ключа. Так как главные сеансовые ключи MSK формируются с использованием общего MTK, по меньшей мере идентификаторы AP_ID точек доступа или другое ассоциированное значение, используемые в выработке каждого MSK, должны быть уникальными для конкретной пары точки доступа и терминала доступа. Устройство 120 аутентификации может затем отправить первый главный сеансовый ключ MSK1 к точке А доступа (ссылка 330). Если устройство аутентификации использует ассоциированное значение, то устройство аутентификации может отправить значение терминалу доступа, чтобы терминал доступа мог сформировать такой же первый главный сеансовый ключ (MSK1) (ссылка 331). После выработки первого главного сеансового ключа (MSK1) первый промежуточный сеансовый ключ (TSK1) может формироваться в виде функции MSK1 и "других данных" для установления сеанса связи между терминалом доступа и точкой доступа (ссылка 332). "Другие данные" могут быть числом, статичным или изменяющимся во времени, которое известно как терминалу доступа, так и точке доступа, или они могут содержать свежие сформированные числа, например одноразовые номера, которые впоследствии меняются в отдельном протоколе, работающем для выработки TSK. Такие протоколы для выработки временных сеансовых ключей из главного ключа известны в данной области техники. Затем может быть надежно установлен сеанс связи между точкой A 110 доступа и терминалом 118 доступа, используя первый главный сеансовый ключ MSK1 (ссылка 334).
Терминал 118 доступа может продолжить прослушивать трансляции от локальных терминалов доступа для получения идентификатора точки доступа и при желании ассоциированного значения точки доступа (ссылка 336) и определения, должна ли произойти передача обслуживания с новой точкой B доступа (ссылка 338). То есть, когда терминал 118 доступа передвигается или перемещается в другой сектор или соту или обнаруживается более сильный сигнал от другой точки доступа, может быть желательна передача обслуживания к новой точке B 112 доступа. Если передача обслуживания от текущей точки A 110 доступа к новой точке B 112 доступа выбирается терминалом 118 доступа, то он может отправить короткий запрос на установление сеанса связи с точкой B доступа путем передачи обслуживания сеанса связи к точке B 112 доступа. В отличие от предшествующего уровня техники короткий запрос не включает в себя идентификатор точки доступа (AP_ID_B) (ссылка 340). В результате исключения идентификатора точки доступа (AP_ID_B) из запроса минимизируется объем переданных данных.
Точка B доступа может затем отправить ее идентификатор (AP_ID_ B), идентификатор терминала доступа (AT_ID) и при желании ее ассоциированное значение в виде запроса ключа к устройству аутентификации для формирования второго главного сеансового ключа (MSK2), который может использоваться терминалом доступа и точкой B доступа для установления защищенной связи (ссылка 342). Ассоциированное значение может быть IP- или MAC-адресом, ассоциированным или присвоенным точке доступа, либо одноразовым номером или случайным числом, выбранным точкой доступа.
Далее устройство 120 аутентификации и терминал 118 доступа могут независимо сформировать новый главный сеансовый ключ MSK2 на основе, по меньшей мере частично, текущего главного промежуточного ключа MTK, идентификатора точки доступа, идентификатора терминала доступа и при желании ассоциированного значения (ссылки 346 и 348). Ассоциированное значение может быть IP- или MAC-адресом, ассоциированным или присвоенным точке доступа, одноразовым номером или случайным числом, выбранным точкой доступа или устройством аутентификации. Главные сеансовые ключи (MSK) могут быть краткосрочными, характерными для линии связи ключами. Главный сеансовый ключ MSKn может формироваться с использованием псевдослучайной функции (PRF) или другой подходящей функции выработки ключа. Так как главные сеансовые ключи MSK формируются с использованием общего MTK, по меньшей мере идентификаторы AP_ID точек доступа, идентификаторы терминалов доступа и/или другое ассоциированное значение, используемые в выработке каждого MSK, должны быть уникальными для конкретной пары точки доступа и терминала доступа. Устройство 120 аутентификации может затем отправить второй главный сеансовый ключ MSK2 к точке А доступа (ссылка 350). Если устройство аутентификации использует ассоциированное значение, то устройство аутентификации может отправить ее ассоциированное значение терминалу доступа, чтобы терминал доступа мог сформировать такой же второй главный сеансовый ключ (MSK2) (ссылка 351). Защищенный сеанс связи может затем продолжаться между точкой B 112 доступа и терминалом 118 доступа с использованием нового главного сеансового ключа MSK2 (ссылка 352).
Затем может быть надежно установлен сеанс связи между точкой B 112 доступа и терминалом 118 доступа, используя второй главный сеансовый ключ MSK2. Передача обслуживания может произойти посредством точки B доступа, отвечающей на запрос передачи обслуживания непосредственно терминалу доступа. В альтернативном варианте осуществления передача обслуживания может произойти посредством точки B доступа, отвечающей терминалу доступа на запрос передачи обслуживания через точку B доступа (ссылка 356). После выработки второго главного сеансового ключа (MSK2) второй промежуточный сеансовый ключ (TSK2) может формироваться в виде функции MSK2 и "других данных" для установления сеанса связи между терминалом доступа и точкой доступа (ссылка 358). "Другие данные" могут быть числом, статичным или изменяющимся во времени, которое известно как терминалу доступа, так и точке доступа, или они могут содержать свежие сформированные числа, например одноразовые номера, которые впоследствии меняются в отдельном протоколе, работающем для выработки TSK. Такие протоколы для выработки временных сеансовых ключей из главного ключа известны в данной области техники. Следовательно, связь между терминалом 118 доступа и точкой A 110 доступа может быть прекращена (ссылка 360).
Процесс надежной передачи обслуживания сеанса связи от одной точки доступа к другой может повторяться несколько раз. Например, на Фиг.1 терминал 118 доступа может двигаться или перемещаться из текущей соты 104 в новую соту 106 и стремиться к передаче обслуживания сеанса связи от текущей точки B 112 доступа в новую точку C 114 доступа. Терминал 118 доступа может запросить передачу обслуживания к новой точке доступа. Как описано выше, терминал доступа может отправить короткий запрос на передачу обслуживания, где запрос передачи обслуживания не включает в себя идентификатор точки доступа (AP_ID). Устройство 120 аутентификации затем может сформировать новый главный сеансовый ключ MSK3 на основе (по меньшей мере частично) главного промежуточного ключа MTK, идентификатора точки доступа, идентификатора терминала доступа и при желании ассоциированного значения. Ассоциированное значение может быть IP- или MAC-адресом, ассоциированным или присвоенным точке доступа, либо одноразовым номером или случайным числом, выбранным точкой доступа или устройством аутентификации. Устройство 120 аутентификации затем может отправить главный сеансовый ключ MSK3 к новой точке C 114 доступа. Как описано выше, если используется ассоциированное значение устройства аутентификации, то устройство аутентификации может отправить значение терминалу доступа, чтобы он мог сформировать такой же главный сеансовый ключ. Устройство 120 аутентификации и терминал 118 доступа могут независимо формировать свою собственную версию нового главного сеансового ключа MSK3. Терминал 118 доступа и новая точка C 114 доступа затем могут использовать новый главный сеансовый ключ MSK3 для продолжения защищенного сеанса связи между ними.
Фиг.4 иллюстрирует централизованную модель защитных ключей, которая может использоваться в обеспечении безопасности сеансов связи между терминалом доступа и новой точкой доступа во время и/или после передачи обслуживания. В этой централизованной модели устройство аутентификации (например, сетевой контроллер, сервер аутентификации и т.д.) и терминал доступа согласуют главный промежуточный ключ (MTK) на основе (по меньшей мере частично) главного ключа MKo верхнего уровня, однозначно ассоциированного с терминалом доступа. Устройство аутентификации формирует, администрирует и/или распространяет промежуточные сеансовые ключи каждой точке доступа. Поскольку промежуточный главный ключ MTK согласуется только один раз (например, когда терминал доступа и устройство аутентификации впервые начинают Связь), это ускоряет процесс формирования сеансовых ключей. Также, даже если компрометируется промежуточный главный ключ MTK, это не компрометирует главный ключ MKo верхнего уровня. Кроме того, поскольку ни главный ключ MKo верхнего уровня, ни главный промежуточный ключ MTK не распространяются точкам доступа (например, распространяются только промежуточные сеансовые ключи), это снижает риск компрометации безопасности, если точка доступа была скомпрометирована.
Это централизованное управление ключами обеспечивает передачу обслуживания с малым временем ожидания для существующего сеанса связи, поскольку главные сеансовые ключи формируются и предоставляются устройством аутентификации наряду с обеспечением безопасности сеансов связи, поскольку ни главный ключ MKo верхнего уровня, ни главный промежуточный ключ MTK не распространяются точкам доступа.
В различных реализациях новый главный сеансовый ключ MSKt может использоваться в течение короткого времени после передачи обслуживания, либо он может использоваться неограниченно для защиты связи между терминалом доступа и новой точкой доступа AP-t. В некоторых применениях аутентификация по EAP или повторная аутентификация терминала доступа через точку доступа может впоследствии выполняться (например, чтобы обновить MTK) для того, чтобы снизить возможность компрометации сеанса связи.
Как используется на Фиг.1-4 и в описании в этом документе, главный промежуточный ключ (MTK) и главные сеансовые ключи (MSK) могут быть характерными для конкретной пары точки доступа / терминала доступа. MTK используется между устройством аутентификации (которое также может быть точкой доступа) и терминалом доступа. MSK используется между точкой доступа и терминалом доступа. В некоторых реализациях главный промежуточный ключ (MTK) и главные сеансовые ключи (MSK) могут использоваться в течение короткого периода времени (пока защищенный ключ согласовывается между терминалом доступа и точкой доступа) или продленного периода времени (например, пока обслуживание сеанса связи передается на другую точку доступа, или заканчивается сеанс связи). В других реализациях MSK могут использоваться в качестве корневых ключей для выработки промежуточных сеансовых ключей (TSK) посредством заданного протокола, принятого между точкой доступа и терминалом доступа.
Хотя проиллюстрированные на Фиг.1-4 примеры часто относятся к реализации схем централизованного управления ключами применительно к передаче обслуживания связи от текущей точки доступа к новой точке доступа, они могут быть реализованы в другом контексте. В одном примере вместо получения или согласования новых ключей, когда терминал доступа переходит к новой точке доступа, терминалом доступа поддерживается активный набор ключей. То есть терминал доступа может одновременно или параллельно устанавливать ассоциации безопасности (например, ключи) с множеством точек доступа в рамках сектора, области или территории. Точки доступа, с которыми терминал доступа поддерживает такие одновременные или параллельные ассоциации безопасности (например, ключи), называются "активным набором" точек доступа. Каждый раз, когда новая точка доступа добавляется к активному набору терминала доступа, терминал доступа и новая точка доступа могут установить защищенный ключ. Например, терминал доступа и новая точка доступа могут установить главный сеансовый ключ (MSK).
Там, где способ централизованного управления ключами реализуется применительно к активному набору точек доступа, терминал доступа может просто выработать новый главный сеансовый ключ (MSK) с помощью устройства аутентификации для новой точки доступа и заставить устройство аутентификации предоставить его новой точке доступа.
Использование активного набора точек доступа вместе со способом централизованного управления ключами, который описан выше, дает возможность терминалу доступа быстро переключать связь с точками доступа в его активном наборе.
Фиг.5 - блок-схема, иллюстрирующая терминал доступа, сконфигурированный для выполнения передач обслуживания защищенных сеансов связи с малым временем ожидания. Терминал 502 доступа может включать в себя схему 504 обработки, соединенную с интерфейсом 506 беспроводной связи, чтобы обмениваться информацией по беспроводной сети, и запоминающим устройством 508, чтобы хранить уникальный главный ключ MKo верхнего уровня (ассоциированный с терминалом доступа) и MSK, ассоциированные с каждой точкой доступа. Схема 504 обработки может быть сконфигурирована для безопасной передачи обслуживания происходящего сеанса связи без заметных перерывов в сеансе связи. Схема 504 обработки (например, процессор, модуль обработки и т.д.) может включать в себя модуль генератора ключей, сконфигурированный для формирования одного или нескольких ключей, которые могут использоваться для защиты сеанса связи.
Фиг.6 - блок-схема алгоритма, иллюстрирующая способ, действующий в терминале доступа для облегчения передачи обслуживания защищенного сеанса связи с первой точки доступа на новую, или вторую, точку доступа с использованием подхода централизованного управления ключами. Вначале главный промежуточный ключ (MTK) может быть надежно установлен с помощью устройства аутентификации на основе по меньшей мере главного ключа верхнего уровня, ассоциированного с терминалом доступа (этап 602). Для установления защищенного сеанса связи с первой точкой доступа короткий запрос может быть отправлен первой точке доступа (этап 604). Короткий запрос может включать в себя только идентификатор терминала доступа, а не идентификатор точки доступа, чтобы минимизировать объем данных, которые могут передаваться.
При желании, как описано выше, от устройства аутентификации или точки доступа может приниматься ассоциированное значение (этап 605). Ассоциированное значение может быть IP- или MAC-адресом, ассоциированным или присвоенным точке доступа, либо одноразовым номером или случайным числом, выбранным точкой доступа или устройством аутентификации. Защищенный сеанс связи может быть установлен с первой точкой доступа с использованием по меньшей мере уникального первого главного сеансового ключа, сформированного на основе главного промежуточного ключа, идентификатора точки доступа, идентификатора терминала доступа и при желании ассоциированного значения (этап 606).
Затем терминал доступа может прослушивать трансляции от локальных точек доступа (этап 608). Если распознается вторая точка доступа, то терминал доступа определяет, следует ли передать обслуживание существующего сеанса связи с первой точки доступа на вторую точку доступа (этап 610). Это может определяться путем сравнения уровня и/или качества сигнала с первой точкой доступа и второй точкой доступа. Терминал доступа может решить продолжить сеанс связи с первой точкой доступа (этап 612). В противном случае терминал доступа может выбрать начало передачи обслуживания существующего сеанса связи на вторую точку доступа путем отправки короткого запроса второй точке доступа, не включая идентификатор второй точки доступа (этап 614). Как описано выше, короткий запрос может включать в себя только идентификатор терминала доступа, а не идентификатор точки доступа, чтобы минимизировать объем данных, которые могут передаваться.
При желании, как описано выше, от устройства аутентификации или точки доступа может приниматься второе ассоциированное значение (этап 615). Ассоциированное значение может быть IP- или MAC-адресом, ассоциированным или присвоенным точке доступа, либо одноразовым номером или случайным числом, выбранным точкой доступа или устройством аутентификации. Защищенный сеанс связи может быть установлен со второй точкой доступа с использованием по меньшей мере уникального второго главного сеансового ключа, сформированного на основе главного промежуточного ключа, идентификатора точки доступа, идентификатора терминала доступа и при желании второго ассоциированного значения (этап 616).
Терминал доступа затем может передать обслуживание защищенного сеанса связи с первой точки доступа на вторую точку доступа и защитить его вторым главным сеансовым ключом (этап 618). Этот процесс передачи обслуживания может повторяться несколько раз, используя главный промежуточный ключ, идентификатор точки доступа, идентификатор терминала доступа и при желании новое ассоциированное значение, чтобы сформировать следующий главный сеансовый ключ.
Фиг.7 - блок-схема, иллюстрирующая устройство аутентификации, сконфигурированное для облегчения передач обслуживания защищенных сеансов связи с малым временем ожидания. Устройство 702 аутентификации может включать в себя схему 704 обработки, соединенную с интерфейсом 706 связи, чтобы обмениваться информацией по сети, и запоминающим устройством 708, чтобы хранить уникальный главный ключ MKo верхнего уровня (ассоциированный с терминалом доступа). Схема 704 обработка может быть сконфигурирована для облегчения защищенной передачи обслуживания происходящего сеанса связи с точки доступа на терминал доступа без заметных перерывов в сеансе связи. Схема 704 обработки (например, процессор, модуль обработки и т.д.) может включать в себя модуль генератора ключей, сконфигурированный для формирования одного или нескольких ключей, которые могут использоваться для защиты сеанса связи. В различных приложениях устройство 702 аутентификации может располагаться на сетевом контроллере или может быть совмещено с одной или несколькими точками доступа.
Фиг.8 - блок-схема алгоритма, иллюстрирующая способ, действующий в устройстве аутентификации для облегчения передачи обслуживания защищенного сеанса связи с первой точки доступа на новую точку доступа с использованием подхода централизованного управления ключами. Устройство аутентификации формирует главный промежуточный ключ (MTK) на основе главного ключа верхнего уровня, ассоциированного с терминалом доступа, при запросе терминалом доступа сеанса связи с первой точкой доступа (этап 802). От точки доступа могут быть приняты идентификатор первой точки доступа (AP_ID_A), идентификатор терминала доступа (этап 804) и при желании, как описано выше, ассоциированное значение. В альтернативном варианте осуществления, если используется ассоциированное значение, устройство аутентификации может использовать собственное ассоциированное значение, которое описано выше (этап 805). Ассоциированное значение может быть IP- или MAC-адресом, ассоциированным или присвоенным точке доступа, либо одноразовым номером или случайным числом, выбранным точкой доступа или устройством аутентификации.
Первый главный сеансовый ключ формируется устройством аутентификации на основе по меньшей мере главного промежуточного ключа, идентификатора точки доступа, идентификатора терминала доступа и при желании ассоциированного значения (этап 806). Первый главный сеансовый ключ может отправляться устройством аутентификации к первой точке доступа (этап 808). При желании, если ассоциированное значение устройства аутентификации используется в формировании главного сеансового ключа, то устройство аутентификации может отправить его ассоциированное значение терминалу доступа, чтобы терминал доступа мог сформировать такой же первый главный сеансовый ключ (этап 809).
Впоследствии от второй точки доступа могут быть приняты идентификатор второй точки доступа, идентификатор терминала доступа и при желании, как описано выше, второе ассоциированное значение. В альтернативном варианте осуществления, если используется второе ассоциированное значение, устройство аутентификации может использовать собственное ассоциированное значение (этап 810). Второе ассоциированное значение может быть IP- или MAC-адресом, ассоциированным или присвоенным точке доступа, либо одноразовым номером или случайным числом, выбранным точкой доступа или устройством аутентификации.
Второй главный сеансовый ключ формируется на основе по меньшей мере главного промежуточного ключа, идентификатора второй точки доступа, идентификатора терминала доступа и при желании второго ассоциированного значения (этап 811). Устройство аутентификации затем может отправить второй главный сеансовый ключ второй точке доступа (этап 812). При желании, если используется ассоциированное значение устройства аутентификации, то устройство аутентификации может отправить его ассоциированное значение терминалу доступа, чтобы терминал доступа мог сформировать такой же второй главный сеансовый ключ (этап 814).
Фиг.9 - блок-схема, иллюстрирующая точку доступа, сконфигурированную для облечения передач обслуживания защищенных сеансов связи с малым временем ожидания. Точка 902 доступа может включать в себя схему 904 обработки, соединенную с интерфейсом 906 беспроводной связи, чтобы обмениваться информацией с одним или несколькими терминалами доступа, интерфейсом 910 связи, чтобы обмениваться информацией с устройством аутентификации и/или другими точками доступа, и запоминающим устройством 908, чтобы хранить уникальный главный ключ MKo верхнего уровня (ассоциированный с терминалом доступа). Схема 904 обработки может быть сконфигурирована для облегчения защищенной передачи обслуживания происходящего сеанса связи с точки 902 доступа на терминал доступа без заметных перерывов в сеансе связи. Схема 904 обработки (например, процессор, модуль обработки и т.д.) может включать в себя модуль генератора ключей, сконфигурированный для формирования одного или нескольких ключей, которые могут использоваться для защиты сеанса связи.
Фиг.10 - блок-схема, иллюстрирующая альтернативный вариант осуществления точки 1002 доступа, имеющей встроенное устройство аутентификации. Точка 1002 доступа может включать в себя многие из тех же компонентов, что и точка 902 доступа на Фиг.9, но вместо взаимодействия с устройством аутентификации через интерфейс 910 связи устройство 1012 аутентификации совмещается с точкой 902 доступа. Устройство 1012 аутентификации и точка 1002 доступа могут работать, как проиллюстрировано на Фиг.1-8 и 11-12.
Фиг.11 - блок-схема алгоритма, иллюстрирующая способ, действующий в первой точке доступа для облегчения передачи обслуживания защищенного сеанса связи с первой точки доступа на вторую точку доступа с использованием подхода централизованного управления ключами. Первая точка доступа принимает запрос от терминала доступа на установление защищенного сеанса связи; запрос не включает в себя идентификатор точки доступа (этап 1102). При приеме запроса точка доступа может отправить устройству аутентификации идентификатор первой точки доступа и при желании ассоциированное значение (этап 1104). При желании она может затем отправить ассоциированное значение терминалу доступа, чтобы терминал доступа мог сформировать такой же главный сеансовый ключ (этап 1105). В альтернативном варианте осуществления, если ассоциированное значение используется для формирования главных сеансовых ключей, то устройство аутентификации может использовать собственное ассоциированное значение и отправить его терминалу доступа для формирования такого же главного сеансового ключа.
Точка доступа затем принимает первый главный сеансовый ключ от устройства аутентификации (этап 1106). Первая точка доступа может затем установить защищенный сеанс связи с терминалом доступа, используя первый главный сеансовый ключ (этап 1108). Впоследствии первая точка доступа может принять запрос от терминала доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа; запрос не включает в себя идентификатор точки доступа (этап 1110). Это может заставить вторую точку доступа отправить устройству аутентификации идентификатор второй точки доступа, идентификатор терминала доступа и при желании второе ассоциированное значение (этап 1112). Она может затем отправить второе ассоциированное значение терминалу доступа, чтобы терминал доступа мог сформировать такой же главный сеансовый ключ (этап 1113). В альтернативном варианте осуществления, если ассоциированное значение используется для формирования главных сеансовых ключей, то устройство аутентификации может использовать собственное ассоциированное значение и отправить его терминалу доступа для формирования такого же главного сеансового ключа. Точка доступа может затем принять второй главный сеансовый ключ от устройства аутентификации (этап 1114). Обслуживание сеанса связи затем может быть передано на вторую точку доступа (этап 1116).
Фиг.12 - блок-схема алгоритма, иллюстрирующая способ, действующий в терминале доступа для получения и/или установления активного набора точек доступа. Терминал доступа может сканировать на наличие точек доступа (этап 1202). Когда распознается новая точка доступа, терминал доступа добавляет ее в активный набор точек доступа (этап 1204). Терминал доступа может установить главный сеансовый ключ с каждой точкой доступа, когда она добавляется в активный набор (этап 1206).
Главный сеансовый ключ для каждой точки доступа может включать в себя главный сеансовый ключ на основе главного промежуточного ключа, идентификатора точки доступа, идентификатора терминала доступа и при желании ассоциированного значения, принятого от точки доступа или устройства аутентификации (этап 1208). Как описано выше, ассоциированное значение может происходить от точки доступа или устройства аутентификации и может быть IP- или MAC-адресом, ассоциированным или присвоенным точке доступа, либо одноразовым номером или случайным числом, выбранным точкой доступа. Такой главный сеансовый ключ может быть сформирован, например, как проиллюстрировано на Фиг.1-4 и/или 6.
Терминал доступа может начать сеанс связи с первой точкой доступа в активном наборе, где первый главный сеансовый ключ, ассоциированный с первой точкой доступа, используется для защиты сеанса связи (этап 1210). Терминал доступа впоследствии может переключить сеанс связи на вторую точку доступа в активном наборе, где второй главный сеансовый ключ, ассоциированный со второй точкой доступа, используется для защиты сеанса связи (этап 1212). Даже после того, как терминал доступа переходит с первой на вторую точку доступа, первый главный сеансовый ключ может быть повторно использован впоследствии, если терминал доступа переключается обратно на взаимодействие с первой точкой доступа.
Один или несколько компонентов, этапов и/или функций, проиллюстрированных на Фиг.1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11 и/или 12, могут быть перегруппированы и/или объединены в один компонент, этап или функцию либо реализованы в нескольких компонентах, этапах или функциях без воздействия на операцию формирования псевдослучайного числа. Дополнительные элементы, компоненты, этапы и/или функции также могут добавляться без отклонения от применения. Устройство, устройства и/или компоненты, проиллюстрированные на Фиг.1, 5, 7, 9 и/или 10, могут быть сконфигурированы для выполнения одного или нескольких способов, признаков или этапов, описанных на Фиг.2, 3, 4, 6, 8, 11 и/или 12. Новые алгоритмы, описанные в этом документе, могут быть эффективно реализованы в программном обеспечении и/или встроенных аппаратных средствах.
Специалисты в данной области техники дополнительно признали бы, что различные пояснительные логические блоки, модули, схемы и этапы алгоритмов, описанные применительно к вариантам осуществления, раскрытым в этом документе, могут быть реализованы в виде электронных аппаратных средств, компьютерного программного обеспечения или их сочетаний. Чтобы ясно проиллюстрировать эту взаимозаменяемость аппаратных средств и программного обеспечения, различные пояснительные компоненты, блоки, модули, схемы и этапы описаны выше, как правило, на основе их функциональных возможностей. Реализованы ли такие функциональные возможности как аппаратные средства или как программное обеспечение, зависит от конкретного применения и конструктивных ограничений, налагаемых на всю систему.
Различные особенности применения, описанные в этом документе, могут быть реализованы в разных системах без отклонения от применения. Например, некоторые реализации применения могут выполняться с помощью движущегося или неподвижного устройства связи (например, терминала доступа) и множества мобильных или неподвижных базовых станций (например, точек доступа).
Следует отметить, что вышеупомянутые варианты осуществления являются всего лишь примерами и не должны быть истолкованы как ограничивающие применение. Описание вариантов осуществления предназначено быть пояснительным, а не ограничивать объем формулы изобретения. По существу, данные идеи могут легко применяться к другим типам устройств, и специалистам в данной области техники будут очевидны многие альтернативы, модификации и вариации.

Claims (70)

1. Способ установления защищенного сеанса связи, действующий в точке доступа, содержащий этапы, на которых:
принимают первый запрос от терминала доступа на установление защищенного сеанса связи через точку доступа;
отправляют сообщение с запросом ключа устройству аутентификации, где сообщение с запросом ключа включает в себя локально полученный идентификатор первой точки доступа и принятый идентификатор терминала доступа; и
принимают первый главный сеансовый ключ от устройства аутентификации для установления сеанса связи между терминалом доступа и точкой доступа, где первый главный сеансовый ключ является функцией по меньшей мере идентификатора первой точки доступа и идентификатора терминала доступа.
2. Способ по п.1, в котором сообщение с запросом ключа также включает в себя первое ассоциированное значение, сформированное точкой доступа, и первый главный ключ также является функцией ассоциированного значения.
3. Способ по п.1, в котором сообщение с запросом ключа также включает в себя по меньшей мере один из IP-адреса Интернет-протокол) или МАС-адреса (Управление доступом к среде передачи) точки доступа, и первый главный сеансовый ключ также является функцией IP- или МАС-адреса.
4. Способ по п.1, в котором принятый первый главный сеансовый ключ также является функцией ассоциированного значения, сформированного или ассоциированного с устройством аутентификации, и точка доступа принимает ассоциированное значение от устройства аутентификации.
5. Способ по п.4, в котором устройство аутентификации передает ассоциированное значение терминалу доступа, чтобы позволить терминалу доступа сформировать первый главный сеансовый ключ.
6. Способ по п.1, дополнительно содержащий этап, на котором:
принимают запрос передачи обслуживания от терминала доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа, где запрос включает в себя идентификатор второй точки доступа, ассоциированный со второй точкой доступа, на которую нужно передать обслуживание сеанса связи.
7. Способ по п.6, в котором вторая точка доступа передает идентификатор второй точки доступа и идентификатор терминала доступа на устройство аутентификации, и вторая точка доступа принимает второй главный сеансовый ключ из устройства аутентификации для установления связи между терминалом доступа и второй точкой доступа.
8. Способ по п.1, в котором первый главный сеансовый ключ является краткосрочным, характерным для линии связи ключом для связи между терминалом доступа и точкой доступа.
9. Точка доступа, содержащая:
запоминающее устройство; и
процессор, соединенный с запоминающим устройством, причем процессор сконфигурирован для приема первого запроса от терминала доступа на установление защищенного сеанса связи через точку доступа;
отправки сообщения с запросом ключа устройству аутентификации, где сообщение с запросом ключа включает в себя локально полученный идентификатор первой точки доступа и принятый идентификатор терминала доступа; и
приема первого главного сеансового ключа от устройства аутентификации для установления сеанса связи между терминалом доступа и точкой доступа, где первый главный сеансовый ключ является функцией по меньшей мере идентификатора первой точки доступа и идентификатора терминала доступа.
10. Точка доступа по п.9, в которой сообщение с запросом ключа также включает в себя первое ассоциированное значение, сформированное точкой доступа, и первый главный сеансовый ключ также является функцией ассоциированного значения.
11. Точка доступа по п.9, в которой сообщение с запросом ключа также включает в себя по меньшей мере один из IP-адреса (Интернет-протокол) или МАС-адреса (Управление доступом к среде передачи) точки доступа, и первый главный сеансовый ключ также является функцией IP- или МАС-адреса.
12. Точка доступа по п.9, в которой принятый первый главный сеансовый ключ также является функцией ассоциированного значения, сформированного или ассоциированного с устройством аутентификации, и точка доступа принимает ассоциированное значение от устройства аутентификации.
13. Точка доступа по п.12, в которой устройство аутентификации передает ассоциированное значение терминалу доступа, чтобы позволить терминалу доступа сформировать первый главный сеансовый ключ.
14. Точка доступа по п.9, в которой процессор дополнительно конфигурируется для:
приема запроса передачи обслуживания от терминала доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа, где запрос включает в себя идентификатор второй точки доступа, ассоциированный со второй точкой доступа, на которую нужно передать обслуживание сеанса связи.
15. Точка доступа по п.14, в которой вторая точка доступа передает идентификатор второй точки доступа и идентификатор терминала доступа на устройство аутентификации; и
вторая точка доступа принимает второй главный сеансовый ключ из устройства аутентификации для установления связи между терминалом доступа и второй точкой доступа.
16. Точка доступа по п.9, в которой первый главный сеансовый ключ является краткосрочным, характерным для линии связи ключом для связи между терминалом доступа и точкой доступа.
17. Точка доступа, содержащая:
средство для приема первого запроса от терминала доступа на установление защищенного сеанса связи через точку доступа;
средство для отправки сообщения с запросом ключа устройству аутентификации, где сообщение с запросом ключа включает в себя локально полученный идентификатор первой точки доступа и принятый идентификатор терминала доступа; и
средство для приема первого главного сеансового ключа от устройства аутентификации для установления сеанса связи между терминалом доступа и точкой доступа, где первый главный сеансовый ключ является функцией по меньшей мере идентификатора первой точки доступа и идентификатора терминала доступа.
18. Точка доступа по п.17, дополнительно содержащая: средство для приема запроса передачи обслуживания от терминала доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа, где запрос включает в себя идентификатор второй точки доступа, ассоциированный со второй точкой доступа, на которую нужно передать обслуживание сеанса связи.
19. Точка доступа по п.18, в которой вторая точка доступа передает идентификатор второй точки доступа и идентификатор терминала доступа на устройство аутентификации; и
вторая точка доступа принимает второй главный сеансовый ключ из устройства аутентификации для установления связи между терминалом доступа и второй точкой доступа.
20. Точка доступа по п.17, в которой первый главный сеансовый ключ является краткосрочным, характерным для линии связи ключом для связи между терминалом доступа и точкой доступа.
21. Читаемый процессором носитель в точке доступа, имеющий сохраненные на нем инструкции, выполняемые процессором, для предписания процессору выполнять способ установления защищенного сеанса связи, причем способ содержит этапы, на которых:
принимают первый запрос от терминала доступа на установление защищенного сеанса связи через точку доступа;
отправляют сообщение с запросом ключа устройству аутентификации, где сообщение с запросом ключа включает в себя локально полученный идентификатор первой точки доступа и принятый идентификатор терминала доступа; и
принимают первый главный сеансовый ключ от устройства аутентификации для установления сеанса связи между терминалом доступа и точкой доступа, где первый главный сеансовый ключ является функцией по меньшей мере идентификатора первой точки доступа и идентификатора терминала доступа.
22. Читаемый процессором носитель по п.21, в котором способ дополнительно содержит этапы, на которых:
принимают запрос передачи обслуживания от термина доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа, где запрос включает в себя идентификатор второй точки доступа, ассоциированный со второй точкой доступа, на которую нужно передать обслуживание сеанса связи.
23. Читаемый процессором носитель по п.22, в котором вторая точка доступа передает идентификатор второй точки доступа и идентификатор терминала доступа на устройство аутентификации; и
вторая точка доступа принимает второй главный сеансовый ключ из устройства аутентификации для установления связи между терминалом доступа и второй точкой доступа.
24. Читаемый процессором носитель по п.21, в котором первый главный сеансовый ключ является краткосрочным, характерным для линии связи ключом для связи между терминалом доступа и точкой доступа.
25. Процессор, содержащий:
схему обработки, сконфигурированную для приема первого запроса от терминала доступа на установление защищенного сеанса связи через точку доступа;
отправки сообщения с запросом ключа устройству аутентификации, где сообщение с запросом ключа включает в себя локально полученный идентификатор первой точки доступа и принятый идентификатор терминала доступа; и
приема первого главного сеансового ключа от устройства аутентификации для установления сеанса связи между терминалом доступа и точкой доступа, где первый главный сеансовый ключ является функцией по меньшей мере идентификатора первой точки доступа и идентификатора терминала доступа.
26. Процессор по п.25, в котором схема обработки дополнительно сконфигурирована для:
приема запроса передачи обслуживания от терминала доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа, где запрос включает в себя идентификатор второй точки доступа, ассоциированный со второй точкой доступа, на которую нужно передать обслуживание сеанса связи.
27. Процессор по п.26, в котором вторая точка доступа передает идентификатор второй точки доступа и идентификатор терминала доступа на устройство аутентификации; и
вторая точка доступа принимает второй главный сеансовый ключ из устройства аутентификации для установления связи между терминалом доступа и второй точкой доступа;
схема обработки дополнительно сконфигурирована для:
отправки идентификатора второй точки доступа и принятого идентификатора терминала доступа на вторую точку доступа; и
передачи обслуживания сеанса связи на вторую точку доступа.
28. Процессор по п.25, в котором первый главный сеансовый ключ является краткосрочным, характерным для линии связи ключом для связи между терминалом доступа и точкой доступа.
29. Способ установления защищенного сеанса связи, действующий в терминале доступа, содержащий этапы, на которых:
устанавливают главный промежуточный ключ с помощью устройства аутентификации на основе по меньшей мере главного ключа верхнего уровня, ассоциированного с терминалом доступа;
получают идентификатор точки доступа, ассоциированный с первой точкой доступа;
отправляют запрос к первой точке доступа, чтобы установить защищенный сеанс связи;
формируют первый главный сеансовый ключ в виде функции по меньшей мере главного промежуточного ключа и идентификатора первой точки доступа; и
устанавливают защищенный сеанс связи с первой точкой доступа, используя первый главный сеансовый ключ.
30. Способ по п.29, дополнительно содержащий этап, на котором:
принимают первое ассоциированное значение, сформированное первой точкой доступа, где первый главный сеансовый ключ также является функцией первого ассоциированного значения.
31. Способ по п.30, в котором первое ассоциированное значение включает в себя по меньшей мере один из IP-адреса (Интернет-протокол) или MAC-адреса (Управление доступом к среде передачи) первой точки доступа, и первый главный сеансовый ключ также является функцией IP- или МАС-адреса.
32. Способ по п.29, дополнительно содержащий этап, на котором:
принимают первое ассоциированное значение, сформированное устройством аутентификации, где первый главный сеансовый ключ также является функцией первого ассоциированного значения.
33. Способ по п.29, дополнительно содержащий этапы, на которых
получают идентификатор второй точки доступа, ассоциированный со второй точкой доступа; и
отправляют неспецифический запрос передачи обслуживания ко второй точке доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа.
34. Способ по п.33, дополнительно содержащий этапы, на которых
формируют второй главный сеансовый ключ с использованием по меньшей мере главного промежуточного ключа и идентификатора второй точки доступа; и
передают обслуживание защищенного сеанса связи на вторую точку доступа с использованием второго главного сеансового ключа.
35. Способ по п.34, в котором второй главный сеансовый ключ является краткосрочным, характерным для линии связи ключом для связи между терминалом доступа и второй точкой доступа.
36. Способ по п.34, дополнительно содержащий этап, на котором:
принимают второе ассоциированное значение, сформированное первой точкой доступа, где второй главный сеансовый ключ также является функцией второго ассоциированного значения.
37. Способ по п.34, дополнительно содержащий этап, на котором:
принимают второе ассоциированное значение, сформированное устройством аутентификации, где второй главный сеансовый ключ также является функцией второго ассоциированного значения.
38. Способ по п.29, в котором запрос не включает идентификатор первой точки доступа.
39. Терминал доступа, содержащий:
запоминающее устройство; и
процессор, соединенный с запоминающим устройством, причем процессор сконфигурирован для установления главного промежуточного ключа с помощью устройства аутентификации на основе по меньшей мере главного ключа верхнего уровня, ассоциированного с терминалом доступа;
получения идентификатора точки доступа, ассоциированного с первой точкой доступа;
отправки запроса к первой точке доступа, чтобы установить защищенный сеанс связи;
формирования первого главного сеансового ключа в виде функции по меньшей мере главного промежуточного ключа и идентификатора первой точки доступа; и
установления защищенного сеанса связи с первой точкой доступа, используя первый главный сеансовый ключ.
40. Терминал доступа по п.39, в котором процессор дополнительно сконфигурирован для:
приема первого ассоциированного значения, сформированного первой точкой доступа, где первый главный сеансовый ключ также является функцией первого ассоциированного значения.
41. Терминал доступа по п.40, в котором первое ассоциированное значение включает в себя по меньшей мере один из IP-адреса (Интернет-протокол) или МАС-адреса (Управление доступом к среде передачи) первой точки доступа, и первый главный сеансовый ключ также является функцией IP- или МАС-адреса.
42. Терминал доступа по п.39, в котором процессор дополнительно сконфигурирован для:
приема первого ассоциированного значения, сформированного устройством аутентификации, где первый главный сеансовый ключ также является функцией первого ассоциированного значения.
43. Терминал доступа по п.39, в котором процессор дополнительно сконфигурирован для:
получения идентификатора второй точки доступа, ассоциированного со второй точкой доступа; и
отправки неспецифического запроса передачи обслуживания ко второй точке доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа.
44. Терминал доступа по п.43, в котором процессор дополнительно сконфигурирован для: формирования второго главного сеансового ключа с использованием по меньшей мере главного промежуточного ключа и идентификатора второй точки доступа; и
передачи обслуживания защищенного сеанса связи на вторую точку доступа с использованием второго главного сеансового ключа.
45. Терминал доступа по п.44, в котором второй главный сеансовый ключ является краткосрочным, характерным для линии связи ключом для связи между терминалом доступа и второй точкой доступа.
46. Терминал доступа по п.44, в котором процессор дополнительно сконфигурирован для:
приема второго ассоциированного значения, сформированного второй точкой доступа, где второй главный сеансовый ключ также является функцией второго ассоциированного значения.
47. Терминал доступа по п.44, в котором процессор дополнительно сконфигурирован для:
приема второго ассоциированного значения, сформированного устройством аутентификации, где второй главный сеансовый ключ также является функцией второго ассоциированного значения.
48. Терминал доступа по п.39, в котором запрос не включает идентификатор первой точки доступа.
49. Терминал доступа, содержащий:
средство для установления главного промежуточного ключа с помощью устройства аутентификации на основе по меньшей мере главного ключа верхнего уровня, ассоциированного с терминалом доступа; средство для получения идентификатора точки доступа, ассоциированного с первой точкой доступа; средство для отправки запроса к первой точке доступа, чтобы установить защищенный сеанс связи;
средство для формирования первого главного сеансового ключа в виде функции по меньшей мере главного промежуточного ключа и идентификатора первой точки доступа; и
средство для установления защищенного сеанса связи с первой точкой доступа, используя первый главный сеансовый ключ.
50. Терминал доступа по п.49, дополнительно содержащий:
средство для приема первого ассоциированного значения, сформированного первой точкой доступа, где первый главный сеансовый ключ также является функцией первого ассоциированного значения.
51. Терминал доступа по п.49, дополнительно содержащий:
средство для приема первого ассоциированного значения, сформированного устройством аутентификации, где первый главный сеансовый ключ также является функцией первого ассоциированного значения.
52. Терминал доступа по п.49, дополнительно содержащий:
средство для получения идентификатора второй точки доступа, ассоциированного со второй точкой доступа; и
средство для отправки неспецифического запроса передачи обслуживания ко второй точке доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа.
53. Терминал доступа по п.52, дополнительно содержащий:
средство для формирования второго главного сеансового ключа с использованием по меньшей мере главного промежуточного ключа и идентификатора второй точки доступа; и
средство для передачи обслуживания защищенного сеанса связи на вторую точку доступа с использованием второго главного сеансового ключа.
54. Терминал доступа по п.53, в котором второй главный сеансовый ключ является краткосрочным, характерным для линии связи ключом для связи между терминалом доступа и второй точкой доступа.
55. Терминал доступа по п.53, дополнительно содержащий:
средство для приема второго ассоциированного значения, сформированного первой точкой доступа, где второй главный сеансовый ключ также является функцией второго ассоциированного значения.
56. Терминал доступа по п.53, дополнительно содержащий:
средство для приема второго ассоциированного значения, сформированного устройством аутентификации, где второй главный сеансовый ключ также является функцией второго ассоциированного значения.
57. Читаемый процессором носитель в точке доступа, имеющий сохраненные на нем инструкции, выполняемые процессором, для предписания процессору выполнять способ установления защищенного сеанса связи, причем способ содержит этапы, на которых:
устанавливают главный промежуточный ключ с помощью устройства аутентификации на основе по меньшей мере главного ключа верхнего уровня, ассоциированного с терминалом доступа;
получают идентификатор точки доступа, ассоциированный с первой точкой доступа;
отправляют запрос к первой точке доступа, чтобы установить защищенной сеанс связи;
формируют первый главный сеансовый ключ в виде функции по меньшей мере главного промежуточного ключа и идентификатора первой точки доступа; и
устанавливают защищенный сеанс связи с первой точкой доступа, используя первый главный сеансовый ключ.
58. Читаемый процессором носитель по п.57, в котором способ дополнительно содержит этапы, на которых:
принимают первое ассоциированное значение, сформированное первой точкой доступа, где первый главный сеансовый ключ также является функцией первого ассоциированного значения.
59. Читаемый процессором носитель по п.57, в котором способ дополнительно содержит этапы, на которых:
принимают первое ассоциированное значение, сформированное устройством аутентификации, где первый главный сеансовый ключ также является функцией первого ассоциированного значения.
60. Читаемый процессором носитель по п.57, в котором способ дополнительно содержит этапы, на которых:
получают идентификатор второй точки доступа, ассоциированный со второй точкой доступа; и
отправляют неспецифический запрос передачи обслуживания ко второй точке доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа.
61. Читаемый процессором носитель по п.60, в котором способ дополнительно содержит этапы, на которых:
формируют второй главный сеансовый ключ с использованием по меньшей мере главного промежуточного ключа и идентификатора второй точки доступа; и
передают обслуживание защищенного сеанса связи на вторую точку доступа с использованием второго главного сеансового ключа.
62. Читаемый процессором носитель по п.61, в котором второй главный сеансовый ключ является краткосрочным, характерным для линии связи ключом для связи между терминалом доступа и второй точкой доступа.
63. Читаемый процессором носитель по п.61, в котором способ дополнительно содержит этапы, на которых:
принимают второе ассоциированное значение, сформированное первой точкой доступа, где второй главный сеансовый ключ также является функцией второго ассоциированного значения.
64. Читаемый процессором носитель по п.61, в котором способ дополнительно содержит этапы, на которых:
принимают второе ассоциированное значение, сформированное устройством аутентификации, где второй главный сеансовый ключ также является функцией второго ассоциированного значения.
65. Процессор, содержащий:
схему обработки, сконфигурированную для
установления главного промежуточного ключа с помощью устройства аутентификации на основе по меньшей мере главного ключа верхнего уровня, ассоциированного с терминалом доступа;
получения идентификатора точки доступа, ассоциированного с первой точкой доступа;
отправки запроса к первой точке доступа, чтобы установить защищенный сеанс связи;
формирования первого главного сеансового ключа в виде функции по меньшей мере главного промежуточного ключа и идентификатора первой точки доступа; и
установления защищенного сеанса связи с первой точкой доступа, используя первый главный сеансовый ключ.
66. Процессор по п.65, в котором обработка дополнительно сконфигурирована для:
приема первого ассоциированного значения, сформированного первой точкой доступа, где первый главный сеансовый ключ также является функцией первого ассоциированного значения.
67. Процессор по п.65, в котором обработка дополнительно сконфигурирована для:
приема первого ассоциированного значения, сформированного устройством аутентификации, где первый главный сеансовый ключ также является функцией первого ассоциированного значения.
68. Процессор по п.65, в котором обработка дополнительно сконфигурирована для:
получения идентификатора второй точки доступа, ассоциированного со второй точкой доступа; и
отправки неспецифического запроса передачи обслуживания ко второй точке доступа, чтобы передать обслуживание защищенного сеанса связи на вторую точку доступа.
69. Процессор по п.68, в котором обработка дополнительно сконфигурирована для:
формирования второго главного сеансового ключа с использованием по меньшей мере главного промежуточного ключа и идентификатора второй точки доступа; и
передачи обслуживания защищенного сеанса связи на вторую точку доступа с использованием второго главного сеансового ключа.
70. Процессор по п.69, в котором второй главный сеансовый ключ является краткосрочным, характерным для линии связи ключом для связи между терминалом доступа и второй точкой доступа.
RU2009143679/07A 2007-04-26 2008-04-25 Способ и устройство для выработки нового ключа при передаче обслуживания в беспроводных сетях RU2443063C2 (ru)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US91403307P 2007-04-26 2007-04-26
US60/914,033 2007-04-26
US12/109,082 US10091648B2 (en) 2007-04-26 2008-04-24 Method and apparatus for new key derivation upon handoff in wireless networks
US12/109,082 2008-04-24

Publications (2)

Publication Number Publication Date
RU2009143679A RU2009143679A (ru) 2011-06-10
RU2443063C2 true RU2443063C2 (ru) 2012-02-20

Family

ID=39886999

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2009143679/07A RU2443063C2 (ru) 2007-04-26 2008-04-25 Способ и устройство для выработки нового ключа при передаче обслуживания в беспроводных сетях

Country Status (16)

Country Link
US (3) US10091648B2 (ru)
EP (2) EP2184933B1 (ru)
JP (1) JP5209703B2 (ru)
KR (1) KR101124190B1 (ru)
CN (1) CN101669379B (ru)
AU (1) AU2008245604B2 (ru)
BR (2) BRPI0811965B1 (ru)
CA (1) CA2682813C (ru)
HK (1) HK1140353A1 (ru)
IL (1) IL201413A0 (ru)
MX (1) MX2009011374A (ru)
MY (1) MY157777A (ru)
RU (1) RU2443063C2 (ru)
TW (1) TWI390893B (ru)
UA (1) UA93791C2 (ru)
WO (1) WO2008134564A1 (ru)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2629557C2 (ru) * 2012-08-31 2017-08-30 Сони Корпорейшн Устройство управления связью, терминальное устройство, способ управления связью, программа и система управления связью
RU2643159C1 (ru) * 2014-03-24 2018-01-31 ИНТЕЛ АйПи КОРПОРЕЙШН Устройство, система и способ защиты связи пользовательского устройства (ue) в беспроводной локальной сети

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10091648B2 (en) 2007-04-26 2018-10-02 Qualcomm Incorporated Method and apparatus for new key derivation upon handoff in wireless networks
CN101400059B (zh) * 2007-09-28 2010-12-08 华为技术有限公司 一种active状态下的密钥更新方法和设备
US9553726B2 (en) * 2008-04-14 2017-01-24 Koninklijke Philips N.V. Method for distributed identification of a station in a network
US8474023B2 (en) * 2008-05-30 2013-06-25 Juniper Networks, Inc. Proactive credential caching
JP4465015B2 (ja) * 2008-06-20 2010-05-19 株式会社エヌ・ティ・ティ・ドコモ 移動通信方法
AU2011226982B2 (en) * 2008-06-20 2012-03-15 Ntt Docomo, Inc. Mobile communication method and mobile station
CN101616408B (zh) * 2008-06-23 2012-04-18 华为技术有限公司 密钥衍生方法、设备及系统
US8131296B2 (en) * 2008-08-21 2012-03-06 Industrial Technology Research Institute Method and system for handover authentication
TWI410105B (zh) * 2008-12-01 2013-09-21 Inst Information Industry 無線網路架構之行動台、存取台、閘道裝置、基地台及其握手方法
US8990569B2 (en) * 2008-12-03 2015-03-24 Verizon Patent And Licensing Inc. Secure communication session setup
US8826376B2 (en) * 2009-03-10 2014-09-02 Alcatel Lucent Communication of session-specific information to user equipment from an access network
CN101902735A (zh) * 2009-05-25 2010-12-01 中兴通讯股份有限公司 基于电力线的WiMax系统的网络密钥发送方法及装置
US8861737B2 (en) * 2009-05-28 2014-10-14 Qualcomm Incorporated Trust establishment from forward link only to non-forward link only devices
US8774411B2 (en) * 2009-05-29 2014-07-08 Alcatel Lucent Session key generation and distribution with multiple security associations per protocol instance
US8345609B2 (en) * 2009-08-04 2013-01-01 Sony Corporation System, apparatus and method for proactively re-assessing the availability and quality of surrounding channels for infrastructure operation in wireless mesh nodes
US8300578B2 (en) * 2009-08-04 2012-10-30 Sony Corporation System, apparatus and method for seamless roaming through the use of routing update messages
US8351451B2 (en) * 2009-08-04 2013-01-08 Sony Corporation System, apparatus and method for managing AP selection and signal quality
US8555063B2 (en) * 2009-09-30 2013-10-08 Qualcomm Incorporated Method for establishing a wireless link key between a remote device and a group device
KR101700448B1 (ko) 2009-10-27 2017-01-26 삼성전자주식회사 이동 통신 시스템에서 보안 관리 시스템 및 방법
US8630416B2 (en) 2009-12-21 2014-01-14 Intel Corporation Wireless device and method for rekeying with reduced packet loss for high-throughput wireless communications
US8751803B2 (en) * 2010-05-25 2014-06-10 Ralink Technology Corporation Auto provisioning method in wireless communication network
US8737354B2 (en) * 2011-01-10 2014-05-27 Alcatel Lucent Method of data path switching during inter-radio access technology handover
US9439067B2 (en) * 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication
KR101931601B1 (ko) * 2011-11-17 2019-03-13 삼성전자주식회사 무선 통신 시스템에서 단말과의 통신 인증을 위한 보안키 관리하는 방법 및 장치
KR101901448B1 (ko) * 2012-02-07 2018-09-21 엘지전자 주식회사 스테이션과 엑세스 포인트의 결합 방법 및 장치
JP2014033282A (ja) * 2012-08-01 2014-02-20 Ricoh Co Ltd 通信方法、無線通信装置及びプログラム
KR101964142B1 (ko) * 2012-10-25 2019-08-07 삼성전자주식회사 무선 통신 시스템에서 다중 기지국 협력 통신에 사용하는 단말의 통신 인증을 위한 보안키를 관리하는 방법 및 장치
WO2014094835A1 (en) * 2012-12-19 2014-06-26 Telefonaktiebolaget L M Ericsson (Publ) Device authentication by tagging
US9326144B2 (en) * 2013-02-21 2016-04-26 Fortinet, Inc. Restricting broadcast and multicast traffic in a wireless network to a VLAN
US9520939B2 (en) * 2013-03-06 2016-12-13 Qualcomm Incorporated Methods and apparatus for using visible light communications for controlling access to an area
US9712324B2 (en) * 2013-03-19 2017-07-18 Forcepoint Federal Llc Methods and apparatuses for reducing or eliminating unauthorized access to tethered data
US9426649B2 (en) * 2014-01-30 2016-08-23 Intel IP Corporation Apparatus, system and method of securing communications of a user equipment (UE) in a wireless local area network
CN103987042A (zh) * 2014-05-08 2014-08-13 中国联合网络通信集团有限公司 一种终端的接入认证方法及接入网关
US9667625B2 (en) * 2014-07-10 2017-05-30 Ricoh Company, Ltd. Access control method, authentication method, and authentication device
US9585013B2 (en) * 2014-10-29 2017-02-28 Alcatel Lucent Generation of multiple shared keys by user equipment and base station using key expansion multiplier
US9843928B2 (en) * 2014-10-30 2017-12-12 Motorola Solutions, Inc. Method and apparatus for connecting a communication device to a deployable network without compromising authentication keys
US10045261B2 (en) 2014-12-10 2018-08-07 Intel Corporation Methods, systems, and devices for handover in multi-cell integrated networks
CN104540133B (zh) * 2015-01-16 2018-10-26 北京智谷睿拓技术服务有限公司 接入控制方法及接入控制装置
US9769661B2 (en) * 2015-04-06 2017-09-19 Qualcomm, Incorporated Wireless network fast authentication / association using re-association object
US10004014B2 (en) * 2015-11-30 2018-06-19 Telefonaktiebolaget Lm Ericsson (Publ) Wireless communication device as context forwarding entity
US11172415B2 (en) * 2015-11-30 2021-11-09 Time Warner Cable Enterprises Llc Wireless communication management and handoffs
US10681541B2 (en) * 2016-04-29 2020-06-09 Nokia Technologies Oy Security key usage across handover that keeps the same wireless termination
CN107040922B (zh) * 2016-05-05 2019-11-26 腾讯科技(深圳)有限公司 无线网络连接方法、装置及系统
US10630659B2 (en) * 2016-09-30 2020-04-21 Nicira, Inc. Scalable security key architecture for network encryption
US10587401B2 (en) * 2017-04-03 2020-03-10 Salesforce.Com, Inc. Secure handling of customer-supplied encryption secrets
FR3077175A1 (fr) * 2018-01-19 2019-07-26 Orange Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif
CN109462875B (zh) * 2019-01-16 2020-10-27 展讯通信(上海)有限公司 无线漫游方法、接入点装置以及移动台
CN112399412B (zh) 2019-08-19 2023-03-21 阿里巴巴集团控股有限公司 会话建立的方法及装置、通信系统
US20210409378A1 (en) * 2020-06-30 2021-12-30 Microsoft Technology Licensing, Llc Method and System of Securing VPN Communications
KR20220084601A (ko) * 2020-12-14 2022-06-21 삼성전자주식회사 차세대 이동 통신 시스템에서 ho를 고려한 pki기반 as 인증 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1439667A2 (en) * 2003-01-14 2004-07-21 Samsung Electronics Co., Ltd. Method for fast roaming in a wireless network
RU2005118424A (ru) * 2002-11-15 2006-01-20 Конинклейке Филипс Электроникс Н.В. (Nl) Система асинхронной связи
RU2297037C2 (ru) * 2000-04-24 2007-04-10 Майкрософт Корпорейшн Управление защищенной линией связи в динамических сетях

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4933971A (en) 1989-03-14 1990-06-12 Tandem Computers Incorporated Method for encrypting transmitted data using a unique key
JP4583167B2 (ja) 2002-04-26 2010-11-17 トムソン ライセンシング アクセスネットワーク間の相互接続における推移的認証・許可・課金
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US7350077B2 (en) 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
US7624270B2 (en) * 2002-11-26 2009-11-24 Cisco Technology, Inc. Inter subnet roaming system and method
US20040236939A1 (en) 2003-02-20 2004-11-25 Docomo Communications Laboratories Usa, Inc. Wireless network handoff key
CN1262126C (zh) * 2003-07-01 2006-06-28 株式会社日立制作所 无线局域网的越区切换方法
EP1531645A1 (en) * 2003-11-12 2005-05-18 Matsushita Electric Industrial Co., Ltd. Context transfer in a communication network comprising plural heterogeneous access networks
WO2006016260A2 (en) * 2004-08-11 2006-02-16 Nokia Corporation Apparatus, and associated method, for facilitating secure, make-before-break hand-off in a radio communication system
US7236477B2 (en) * 2004-10-15 2007-06-26 Motorola, Inc. Method for performing authenticated handover in a wireless local area network
US8281132B2 (en) 2004-11-29 2012-10-02 Broadcom Corporation Method and apparatus for security over multiple interfaces
CN101951383B (zh) 2005-01-27 2013-06-19 美商内数位科技公司 使用未由他人分享联合随机衍生秘钥方法及系统
FI20050393A0 (fi) 2005-04-15 2005-04-15 Nokia Corp Avainmateriaalin vaihto
US7873352B2 (en) * 2005-05-10 2011-01-18 Hewlett-Packard Company Fast roaming in a wireless network using per-STA pairwise master keys shared across participating access points
US8621201B2 (en) * 2005-06-29 2013-12-31 Telecom Italia S.P.A. Short authentication procedure in wireless data communications networks
US7602918B2 (en) 2005-06-30 2009-10-13 Alcatel-Lucent Usa Inc. Method for distributing security keys during hand-off in a wireless communication system
US8027304B2 (en) * 2005-07-06 2011-09-27 Nokia Corporation Secure session keys context
US7483409B2 (en) * 2005-12-30 2009-01-27 Motorola, Inc. Wireless router assisted security handoff (WRASH) in a multi-hop wireless network
US8023478B2 (en) * 2006-03-06 2011-09-20 Cisco Technology, Inc. System and method for securing mesh access points in a wireless mesh network, including rapid roaming
US8948395B2 (en) 2006-08-24 2015-02-03 Qualcomm Incorporated Systems and methods for key management for wireless communications systems
US10091648B2 (en) 2007-04-26 2018-10-02 Qualcomm Incorporated Method and apparatus for new key derivation upon handoff in wireless networks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2297037C2 (ru) * 2000-04-24 2007-04-10 Майкрософт Корпорейшн Управление защищенной линией связи в динамических сетях
RU2005118424A (ru) * 2002-11-15 2006-01-20 Конинклейке Филипс Электроникс Н.В. (Nl) Система асинхронной связи
EP1439667A2 (en) * 2003-01-14 2004-07-21 Samsung Electronics Co., Ltd. Method for fast roaming in a wireless network

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2629557C2 (ru) * 2012-08-31 2017-08-30 Сони Корпорейшн Устройство управления связью, терминальное устройство, способ управления связью, программа и система управления связью
RU2643159C1 (ru) * 2014-03-24 2018-01-31 ИНТЕЛ АйПи КОРПОРЕЙШН Устройство, система и способ защиты связи пользовательского устройства (ue) в беспроводной локальной сети

Also Published As

Publication number Publication date
US10085148B2 (en) 2018-09-25
EP2143236B1 (en) 2017-02-15
EP2184933B1 (en) 2018-07-25
CN101669379A (zh) 2010-03-10
UA93791C2 (ru) 2011-03-10
CN101669379B (zh) 2014-06-25
MY157777A (en) 2016-07-29
TWI390893B (zh) 2013-03-21
BRPI0811965B1 (pt) 2020-02-18
RU2009143679A (ru) 2011-06-10
JP2010525764A (ja) 2010-07-22
CA2682813A1 (en) 2008-11-06
AU2008245604A1 (en) 2008-11-06
KR101124190B1 (ko) 2012-05-23
AU2008245604B2 (en) 2011-02-10
HK1140353A1 (en) 2010-10-08
US10412583B2 (en) 2019-09-10
TW200910826A (en) 2009-03-01
BRPI0811965A2 (pt) 2016-10-04
US20170339558A1 (en) 2017-11-23
BR122019024787B1 (pt) 2020-06-16
MX2009011374A (es) 2009-11-09
EP2143236A1 (en) 2010-01-13
IL201413A0 (en) 2010-05-31
WO2008134564A1 (en) 2008-11-06
US20190028889A1 (en) 2019-01-24
US20080267407A1 (en) 2008-10-30
KR20100007913A (ko) 2010-01-22
US10091648B2 (en) 2018-10-02
CA2682813C (en) 2014-03-11
EP2184933A3 (en) 2013-10-09
EP2184933A2 (en) 2010-05-12
JP5209703B2 (ja) 2013-06-12

Similar Documents

Publication Publication Date Title
RU2443063C2 (ru) Способ и устройство для выработки нового ключа при передаче обслуживания в беспроводных сетях
KR101030646B1 (ko) 무선 통신 시스템들용 키 관리를 위한 시스템들 및 방법들
JP6329993B2 (ja) Staとieee802.11ネットワークのアクセスポイントの間の加速されたリンクセットアップのための方法および装置
RU2480935C2 (ru) Системы и способы для распределения и управления групповыми ключами для систем беспроводной связи
EP4147435A1 (en) Non-3gpp handover preparation
TWI399068B (zh) 用於無線通信系統之鑰管理之系統及方法