TW200910826A - A method and apparatus for new key derivation upon handoff in wireless networks - Google Patents
A method and apparatus for new key derivation upon handoff in wireless networks Download PDFInfo
- Publication number
- TW200910826A TW200910826A TW097115441A TW97115441A TW200910826A TW 200910826 A TW200910826 A TW 200910826A TW 097115441 A TW097115441 A TW 097115441A TW 97115441 A TW97115441 A TW 97115441A TW 200910826 A TW200910826 A TW 200910826A
- Authority
- TW
- Taiwan
- Prior art keywords
- access point
- access
- key
- primary
- identifier
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 67
- 238000009795 derivation Methods 0.000 title description 14
- 238000004891 communication Methods 0.000 claims abstract description 194
- 230000006870 function Effects 0.000 claims description 71
- 239000010931 gold Substances 0.000 claims description 39
- 229910052737 gold Inorganic materials 0.000 claims description 39
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 claims description 38
- 238000012545 processing Methods 0.000 claims description 27
- 230000008569 process Effects 0.000 claims description 15
- 241000251468 Actinopterygii Species 0.000 claims description 2
- 238000010422 painting Methods 0.000 claims 1
- 239000000126 substance Substances 0.000 claims 1
- 230000001052 transient effect Effects 0.000 abstract description 6
- 238000007726 management method Methods 0.000 description 24
- 238000010586 diagram Methods 0.000 description 20
- 210000004027 cell Anatomy 0.000 description 18
- 101000945093 Homo sapiens Ribosomal protein S6 kinase alpha-4 Proteins 0.000 description 10
- 102100033644 Ribosomal protein S6 kinase alpha-4 Human genes 0.000 description 10
- 101000945096 Homo sapiens Ribosomal protein S6 kinase alpha-5 Proteins 0.000 description 7
- 102100033645 Ribosomal protein S6 kinase alpha-5 Human genes 0.000 description 7
- 230000003068 static effect Effects 0.000 description 7
- 230000004044 response Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 102100029350 Testis-specific serine/threonine-protein kinase 1 Human genes 0.000 description 2
- 101710116855 Testis-specific serine/threonine-protein kinase 1 Proteins 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 241000283690 Bos taurus Species 0.000 description 1
- 240000008168 Ficus benjamina Species 0.000 description 1
- 241001611401 Opistophthalmus boehmi Species 0.000 description 1
- 241000283973 Oryctolagus cuniculus Species 0.000 description 1
- 102100029355 Testis-specific serine/threonine-protein kinase 2 Human genes 0.000 description 1
- 101710116854 Testis-specific serine/threonine-protein kinase 2 Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000002716 delivery method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002496 gastric effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 210000002500 microbody Anatomy 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access, e.g. scheduled or random access
- H04W74/002—Transmission of channel access control information
- H04W74/004—Transmission of channel access control information in the uplink, i.e. towards network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/04—Interfaces between hierarchically different network devices
- H04W92/10—Interfaces between hierarchically different network devices between terminal device and access point, i.e. wireless air interface
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Description
200910826 九、發明說明: 【發明所屬之技術領域】 各種特徵係關於無線通信系統。至少一態樣係關於用於 以低潛時進行的網路存取之金鑰管理之系統及方法。 本專利申請案主張2007年4月26日所申請之名為"於無線 網路中用於交遞後導出新金鑰之方法及裝置(A Method and
Apparatus for New Key
Wireless Networks)”的臨時 權,該案已讓與給其受讓人 併入本文中。
Derivation upon Handoff in 申請案第60/914,033號之優先 ’且在此以引用之方式明確地 【先前技術】 無線通信網路使通信器件能夠在移動的同時傳輸及/或 接收貝efl it匕等無線通信網路可通信地搞接至其他公眾或 用周路以使彳于A夠進行資訊至及自行動存取終端機之轉 ^該等通信網路通常包括對存取終端機(例如,行動通
U件、行動電話、無線使用者終端機)提供無線通信鍵 路之複數個存取點(例如,基地台)。存取料為靜止(例 如’固定至地面)或行動(例如,安裝於衛星上等等)的,且 ^安置以隨著存取終端機行進f過不⑽蓋區而提供廣域 覆蓋。 隨者行動存取終端機四處移動,其與存取節點之通信鍵 =降級。在此情形下,行動節點可與另—存取點切換 二=得=佳品質之通信鏈路,而其第一鏈路仍然處 與另—存取點之通信鏈路的此過程稱為 131005.doc 200910826 父遞’。交遞過程通常面對在切換存取點之同時維持與無 網路之可靠且安全的通信鏈路之問題。軟交遞與硬 父為兩個通常使用之類型的交遞。軟交遞為在级止現有 =信鏈路之前建立與新存取點之新通信鏈路的交遞。在硬 又遞中ϋ吊在建立新通信鏈路之前終止現有通信鍵路。 些通料統中,t行動存取終端機經由存取點而附 者至通信網路時,其執行網路存取鑑認來建立安全 矯。每次發生交遞時,可重複此過程。然而〜— 時重複此鑑認過程引 #_人父遞 按又之潛時減小此潛時之一 二解決方案為在存取點之間共用主金鑰'然 2存取點受到損害之情況下產生嚴重安全風險,因為主金 餘變得不受保全且可用以損害使用此主金輪之為金 因此,需要在不損宝安全之_ 取點、口女王之冑況下楗供存取終端機 取點之間的低潛時交遞之方法。 【發明内容】 使:ΓΓ提供用於存取終端機(例如,行動終端機、益線 2者終端機等等)與一或多個存取點(例如,基地1等線 間的金鑰管理之系統及方法。特定言之,提佴_ 建立存取終端機與存取點之間的安全通尸=種用於 終端機之主金輪之風險 °目曝露存取 盘存Μ Μ 此方法導出用於新存取點 /、存取終端機之間的低潛時交 :取點 鑰。 王鯭°心之主會話金 在—態樣中,提供一鍤金 器維持、產生新2金餘管理機制,其中㈣ 输且將其分配至存取點。在存取終 1310〇5.d〇c 200910826 端機自當前存取點移動至新存取點時,鐘認器基於主瞬時 ㈣(MTK)、存取點識別符及存取終端機識別符而產生新 女王金鑰或主會話金鑰(MSK)。接著將新主會話金瑜發送 ^新存取點1認器隨著存取終端機切換至其他存取點而 複此過^ #取終端機獨立產生相同新安全金鑰,藉由 該新安全金鑰其可安全地與新存取點通信。
〃樣中,存取點可具有一相關聯之值,該相關聯 ;系在亦包括存取點識別符及存取終端機識別符之金鑰 凊求中發送以認||。除主瞬時金鑰、存取 取終端機識別符之外,可使用存取點之相關聯之值來產生 主會洁金。 W樣中鑑a忍器可具有一相關聯之值,除主瞬時 金鑰、存取點識別符及存取終端機識別符之外,可使用該 相關聯之值來產生主會話金鑰。 _提供—種存取點’其包含記憶體及處理器。該處理器可 經組態以⑷自存取終端機接收經由存取點而建立安全通信 言舌第—上* 七 : 一岣求;(b)將—金鑰請求訊息發送至鑑認器,其 《月长Λ心包括本端獲得之第一存取點識別符及所 接收之存取終端機識別冑;及/或⑷自鑑認器接收第一主 :話:鑰以用於在存取終端機與存取點之間建立通信會 s χ、中°亥第主會話金鑰為至少第一存取點識別符及存 取終端機識別符之函數。 、:處理為可.輕進一步組態以(a)自存取終端機接收將安全 會話父遞至第二存取點之交遞請求,#中該請求包括 131005.doc 200910826 與待將通信會話交遞至的第二存取點相關聯之第二存取點 識別符;(b)將第二存取點識別符及所接收之存取終端機識 別符發送至第二存取點;(c)將通信會話交遞至第二存取 點;及/或(d)作為第一主會話金鑰之函數而產生瞬時會話 金鑰’其中瞬時會話金鑰用以建立存取終端機與存取點之 間的通信會話。
在另一態樣中,金鑰請求訊息亦可包括由存取點產生或 與存取點相關聯之第一值,且其中第一主會話金餘亦為相 關聯之值之一函數。亦將相關聯之值發送至存取終端機以 允„午存取、%機產生第一主會話金鑰。相關聯之值可為存 取點之網際網路協定(IP)或媒體存取控制(MAC)位址。或 者所接收之第-主會話金餘亦為由鑑認器產生之相關聯 之值的函數,.且存取點自鑑認器接收該相關聯之值。 亦提供-種方法以用於⑷自存取終端機接收經由存取點 7建立安全通信會話m帽-金鑰請求訊息發 送至鑑認中該金餘請求訊息包括本端獲得之第一存 取點减別符及所接收之存取終端機識❹ 認器接收第一主奋t a α ν} ^ 門建立m ^在存取終端機與存取點之 間建立通信會話,其中該第一 % ^ ^ Μ 3活金鑰為至少第一存取 點識別符及存取終端機識別符之函數。 該方法進一步包含:⑷ 話交遞至第二存取點之交遞請求,=收將安全通信會 通信會話交遞至的第二存取點相關t求包括與待將 符,· _第二存取點識別符 二第二存取點識別 文叹之存取終端機識別符 I31005.doc 200910826 發送至第二存取點;及/或⑷將通信會話交遞至第二存取 點0 ,另Λ〜例中,金料求訊息亦包括由存取點產生或 〆、存取點相關聯之第一值,且第一 一 一 ^ 土 r °舌金鑰亦為該值之 二函數。弟-值可包括存取點之網際網路協如p)或媒體 =r(MAC)位址。在又—實施例#,金鑰請求訊息亦 Γ 11產生之第—值,且第-主會話金鑰亦為第- 值之函數。 因此’提供-種存取點,其包含:⑷用 接收經由存取點而建立安全通信會話之第一請求之構= (b)用於將-金餘請求訊息發送至鑑認器之構件,盆中节金 鑰請求訊息包括本㈣得之第—存取點識別符及所接
存取終端機識別符;及/式卜、田狄A 及/或(C)用於自鑑認器接收第—主合 話金鑰以用於在存取終端機 曰 構件,其中該第-主合与全餘點ΐ間建立通信會話之 9話金鑰為至少第一存取點識別符及 存取終端機識別符之函數。 ▲該裝,可卜步包含⑷用於自存取終端機接收將安全通 遞至第二存取點之交遞請求之構件,其中該請求 已括與待將通信會話交遞至的第_ 的第—存取點相關聯之第二存 取點識別符;(b)用於蔣笛-六% 认 將第一存取點識別符及所接收之存取 κ端機識別符發送至第二存取 «ί. ·之構件,及/或(C)用於將 通#會話父遞至第二存取點之構件。 一種處理器可讀媒體,甘6 , 、 八匕3可由一或多個處理器使用 之指令’該等指令包含:(a) ()用於自存取終端機接收經由存 131005.doc -10- 200910826 取點而建立安全通信會話之第一請求之指令;(b)用於將— 金鎗晴未訊息發送至鑑認器之指令,其中該金輪請求訊息 端獲得之第-存取點識㈣及所接收之存取終端機 識別付;⑷用於自鑑認器接收第一主會話金输以用於 取終端機與存取點之間建立通信會話之指令,其中該第— 主會話金鑰為至少第一存取點識別符及存取終端機識別符 之函數;⑷用於自存取終端機接收將安全通信會話交遞至 第二存取點之交遞請求之指令,其中該請求包括與待將通 “话父遞至的第二存取點相關聯之第二存取點識別符; ⑷用於,第二存取點識別符及所接收之存取終端機識別符 發达至弟二存取點之指令;及/或⑺用於將通信會話交遞 至第二存取點之指令。 亦提供-種處理器’其包含:一處理電路,其經組態 以:⑷自存取終端機接收經由存取點而建立安全通信會話 之第-請求;⑻將-金輪請求訊息發送至鑑認器,其中該 金餘請求訊息包括本端獲得之第一存取點識別符及所接收 之存取終端機識別符;⑷自組3器接收第_主會話金餘以 用於在存取終端機與存取點之間建立通信會話,其中該第 一主會話金鎗為至少第—存取點識別符及存取終端機識別 符之函數’·⑷自存取終端機接收將安全通信會話交遞至第 -存取點之交遞請求,其中該請求包括與待將通信會話交 遞至的第二存取點相關聯 關知之第一存取點識別符;(e)將第二 存取點識別符及所接收之存取終端機識別符發送至第二存 取點;及/或⑴將通信會話交遞至第二存取點。 131005.doc 200910826 提仏種存取終端機,其包含記憶體及處理器。該處理 、’·、、且態以(a)由鑑認器基於與存取終端機相關聯之至少 一頂級主金鑰而建立主瞬時金鑰;(b)獲得與第一存取點相 關聯之存取點識別符;(c)將建立安全通信會話之請求發送 ^第一存取點(d)作為至少主瞬時金鑰及第一存取點識別 符之函數而產生第一主會話金鑰;及/或(e)使用第一主會 、.餘而建立與第一存取點之安全通信會話。處理器可經 進一步組態以:(a)獲得與第二存取點相關聯之第二存取點 識別符;(b)將使安全通信會話交遞至第二存取點之非特定 父遞咕求發送至第一存取點;(c)使用至少主瞬時金鑰及第 二存取點識別符而產生第二主會話金鍮;及/或(d)使用第 一主會話金鑰而將安全通信會話交遞至第二存取點。存取 終端機可經進一步組態以接收由第一存取點產生之第一相 關聯之值’其中第—主會話金餘亦為第__相關聯之值之函 數。在-實例十,第-相關聯之值可包括第一存取點之網 際網路協定(ip)或媒體存取控制(MAC)位址中之至少一 者,且第一主會話金鑰亦可為IP位址或MAC位址之函數。 亦提供-種方法’其包含:⑷由鑑認器基於與存取終端 機相關聯之至少-頂級主金鑰而建立主瞬時金錄;⑻獲得 與第一存取點相關聯之存取點識別符;(c)將建立安全^信 會話之請求發送至第―存取點;⑷作為至少主瞬時金錄及 第一存取點識別符之函數而產生第一主會話金鑰;及/或 (e)使用第一主會話金鑰而建立與第—存取點之安全通信會 話。該方法可進-步提供:(a)獲得與第二存取點相關聯之 131005.doc -12- 200910826 第二存取點識別符;(b)將使安全通信會話交遞至第二存取 點之非特定交遞請求發送至第二存取點;⑷使用至少主瞬 時金餘及第二存取點識別符而產生第二主會話金n 或⑷使用第二主會話金输而將安全通信會話交遞至第 取點。該方法亦可包括接收由第一存取點產生之第一 聯之值,其中第—主會 #金餘亦為弟—相關聯之值之函 數。在一實例中,第-相關聯之值可包括第一存取 際網路協定(IP)或媒體存取控制(mac)位址中之至/罔 者,且第-主會話金鑰亦可為IP位址或MAC位址之㈣。 供一種存取終端機,其包含:(a)用於 基於與存取終端機相關聯之至少一 時金鑰之構件;(b)用 "而建立主瞬 識別符之構件;點相關聯之存取點 第-存取點之構件.⑷ t 之請求發送至 取點識別符之函數而產生 金鑰及第-存 ⑷用於使用第-主合爷全㈣之構件’·及/或 信會話之構件户 繪而建立與第一存取點之安全通 話之構件。存取終端機可進—步 第二存取點相關聯之第 a於獲得與 使安全通信會話交遞至第:=付之構件;⑻用於將 至第二存取點+點之非特定交遞請求發送 攝件,(C)用於使用至少主 存取點識料而產生第4會話金鍮,第二 於使用第二主會話金鑰而將安全通信牛’及:或⑷用 點之構件。 乂遞至弟二存取 亦提供-種處理器可讀媒體,其 J田 或多個處理 131005.doc •13- 200910826 器使用之$人 _ .. 价攸 θ 7,該4指令包含:(a)用於由鑑認器基於與存 =端機相關聯之至少—頂級主金鑰而建立主瞬時金瑜之
a .()用於獲得與第—存取點相關聯之存取點識別符之 /e)用於將建立安全通信會話之請求發送至第一存取 扣7,(d)用於作為至少主瞬時金鑰及第一存取點識別 函數而產生第—主會話金鑰之指令;(e)用於使用第— 主會話金鍮而建立與第—存取點之安全通信會話之指令; 用於獲得與第二存取點相關聯之第二存取點識別符之指 令;_於使用至少主瞬時金鍮及第二存取點識別符而產 第主θ "舌金鑰之指令;及/或(h)用於使用第二主會話 金鑰而將安全通信會話交遞至第二存取點之指令。 亦提供—種處理器,其包含—處理電路,該處理電路經 組態以(a)由鑑認器基於與存取終端機相關聯之至少一頂級 主金鑰而建立主瞬時金鑰;(b)獲得與第一存取點相關聯之 存取點識別符;⑷將建立安全通信會話之請求發送至第— 存取點;⑷作為至少主瞬時线及第-存取點識別符之函 數而產生第一主會話金鑰;⑷使用第一主會話金鑰而建立 與第一存取點之安全通信會話;(f)獲得與第二存取點相關 聯之第二存取點識別符;(g)使用至少主瞬時金鑰及第二存 取點識別符而產生第二主會話金鑰;及/或(h)使用第二主 會話金鑰而將安全通信會話交遞至第二存取點。 【實施方式】 本發明之悲樣的特徵、性質及優勢可自下文結合圖式而 陳述之[實施方式]變得較顯而易見,其中貫穿該等圖式, 131005.doc -14- 200910826 相同參考符號識別相同元件。 在以下描述中,給出特定細節以提供對實施例之透徹理 解。然而,一般熟習此項技術者將理解,可在無此等特定 細節的情況下實踐該等實施例。舉例而言,電路可以方塊 圖形式展示以免不必要詳細地混淆該等實施例。在其他情 形下,可能不詳細地展示熟知電路、結構及技術以免混清 實施例。 =應注意,可將實施例描述為_過程,該過程可被描 、:::私框圖、流程圖、結構圖或方塊圖。雖然流程框圖 作描述為順序過程,但可並列或並行執行操作中之 :二者。另外’可重新配置該等操作之次序。當一過程之 刼作完成時,終止該過程。 j對應於方法、函數、程 ^子以、子程式等等。當過程對應於函數時,复 應於函數向呼叫函數或主函數之返回。 、 此外儲存媒體可表示用於儲存眘料夕一—、夕σ 包括唯讀記憶體(R0M)遺 墙3夕固為件’ 存媼妒丄 )奴機存取記憶體(Ram)、磁碟儲 資訊之其用於儲存 限於)攜帶型或固定儲存機:可㈣體”包括(但不 及能夠儲存、含有戈截: 存器件、無線頻道 體。 3有或栽有指令及/或資料之各種其他媒 另外’實施例可由辟柳 碼、或其任-組合來實:;軟體、㈣、中間軟體、微 體或微碼令時 :當實施於軟體、韌體、中間軟 了將心執行必要任務之程式碼或喝段錯 I3I005.doc * 15 - 200910826 存於諸如儲存媒體或其他儲存器之 器可執行必要任務“馬段可表干了"媒體中。處理 ]仪」衣不知序、函數、 式'常式、子縈々.. 千%式、% 子㊉式、模組、套裝軟體、類、 料結構或程式敍述之任一。 < 0 7貧 1 ° 可糟由傳遞及/或接收資 - 料、引數、參數或記憶體内容來將舒紅拉、 一瑪俨弋 1谷來將一碼段耦接至另 .遞,^ 路。可經由包括記憶體共用、訊息傳 遞符汜傳遞、網路傳輸等等 ^ ^ 口週方式來傳遞、韓 〇 蝴輸資訊、引數、參數 '資料等等。 轉 ::徵提供用於存取終端機(例如,行動終端機、益線 之門的Γ機等等)與—或多個存取點(例如,基地台等等) 墙目理之糸統及方法。特定言之,提供一種用於 建立存取終端機與存取點之間的、 終端機之主金鑰之風險之㈣μ 不自曝路存取 精之風險之機制。此方法導出用於新存 與存取終端機之間的低科交遞及安全㈣之主會話金 矯。 L:; 在一態樣中,提供集中式金鑰管理機制,其中鑑認器唯 持=生新安全金鑰且將其分配至存取點。在存取終端機 自當則存取點㈣至新存取點時,存取終端機將短交遞請 求發送至新存取點。短交遞請求可包括存取終端細」 不包括存取點m。新存取點接著可將其識別符及存取終端 機之識別符發送至鑑認器。使用先前產生之主瞬時金餘、 存取點識別符(例如’小區識別符或小區id)及存取終端機 識別符,鐘認器可產生主會話金錄(MSK)。接著可將主會 話金鑰發送至存取點。鑑認器隨著存取終端機切換至其: 131005.doc -16- 200910826 存取點而重複此過程。存取終端機獨立產生相同新安全金 錄藉由。亥新安全金鑰其可安全地與新存取點通信。 μ在替代實施例中,存取點可具有—相關聯之值,該相關 ”之值係在亦包括存取點識別符及存取終端機識別符之金 鑰印求中發送至鐘認器。除主瞬時金餘、存取點識別符及 存取終端機識別符之外,可使用存取點之值來產生主會話 金餘。 f 在替代實把例中,鑑認器可具有一相關聯之值,除主瞬 時金鑰、存取點識別符及存取終端機識別符之外,可使用 該相關聯之值來產生主會話金鑰。 因此,存取終端機可產生㈣主會話金餘,存取終端機 =由諸如直接或間接(經由另一存取點)詢問討論中之存 ^句問鏗遇器或詢問另一存取點的各種方式或自由鑑 w或討論中之存取點廣播之資訊找出相關聯之值。 ^特徵提供-種存取終端機,其㈣態以建立及/或 移動1 =通信的存取點之有效集合。並非在存取終端機 維持金Γ子取點時獲得或協商新金錄,而是由存取終端機 維持或建立與扇區、區或J域時或並行地 一域内之複數個存取點的安全關 :输/ ’金鑰)°隨後可由存取終端機使用預建立之安全 自身鱼二其有效集合中的存取點通信而不需要重新建立1 身與存取點之間的安全關係。 /、 在些態樣中’每一存取線端搪可盘夕ν 個或兩個以上~與一或多個小區之兩 °可進行此過程以允許不同扇區或 131005.doc 200910826 小區之間在存取終端機移動或行進時出於適當容量管理及/ 或出於其他原因的交遞。 如本文中所使用,存取點可為用於與存取終端機通信之 固定台,且亦可被稱為基地台、節點B或某一其他術語且 包括其一些或所有功能性。存取終端機亦可被稱為使用者 設備(UE)、無線通信器件、終端機、行動終端機、行動台 或某一其他術語且包括其一些或所有功能性。 本文中所描述之傳輸技術亦可用於各種無線通信系統, 諸如CDMA系統、TDMA系統、FDMA系統、正交頻分多 重存取(OFDMA)系統、單載波FDMA(SC-FDMA)系統等 等。OFDMA系統利用正交頻分多工(OFDM),正交頻分多 工(OFDM)為將整個系統頻寬分割為多個(K個)正交副載波 的調變技術。此等副載波亦被稱為音調(tone)、頻率組 (bin)等等。對於OFDM,可藉由資料來獨立調變每一副載 波。SC-FDMA系統可利用交錯FDMA(IFDMA)以在跨越系 統頻寬而分配之副載波上傳輸、利用區域化 FDMA(LFDMA)以在鄰近副載波之區塊上傳輸或利用增強 FDMA(EFDMA)以在鄰近畐ij載波之多個區塊上傳輸。一般 而言,對於OFDM,在頻域中發送調變符號,且對於SC-FDMA,在時域中發送調變符號。 本文中所描述之實例中之一些指代導致存取點及存取終 端機處之成對主金鑰MK之導出的可擴展性鑑認協定 (ΕΑΡ) 〇 ΕΑΡ鑑認可在存取終端機與鑑認伺月艮器(例如,在 網路控制器、ΑΑΑ伺服器等等中)之間經由充當鑑認器之 131005.doc -18- 200910826 2取點而進行;鑑認器在一些狀況下可自身充當鑑認伺服 二睛形下,鐘認器可與一或多個存取點共置。 在存取點與存取終端機之間建立並維持纟會話金餘 )可汁算MSK(例如,基於主金鑰MK或用於ΕΑΡ應 。Κ)以保全存取終端機與存取點之間的通信。舉例而 °可如下而s十算MSK : MSKn=PRF(MKn,資料),其中 為偽Ik機函數(例如,金鑰導出函數(KDF)或雜湊(函 數》諸如,HMAC-SHA_256 或 AES-128-CMAC 或另一金 鑰導出函數’ 1貞料可為存取點識別符及存取終端機識別 符。在另一實施例中,資料可進一步包括特定值。該值可 一存取2相關聯或被指派給存取點的網際網路協定 ()或媒體存取控制(MAC)位址、由存取點選擇之臨時值 (叫或隨機數'由鑑認器選擇之臨時值或甚至一靜態 串。貝料參數可根據系統設計而已知或可在會話期間傳 達。在此方法中,不在MSK導出中使用動態變數,且因 此’超出ΕΑΡ或EAP重新鑑認不需要金鑰交換。 通常’存取點與存取終端機之間的通信會話使用某一類 型之加密以在傳輸期間保護資料。然巾,在通信自當前存 取點至新存取點之交遞期間,存在關於藉由在存取點之間 傳輸金鑰或㈣空中而傳輸其他加密金鑰產生值來繼續與 新存取點之受保全之诵彳七& π+ g D而不知害通信會話之方式的問 題。因為應由新存取點建立新主會話金输(msk),所以首 先應在新存取點與存取終端機之間建立新主金瑜(mk)。另 外,較佳地避免存取點之間的會話金鑰共用,因為此引入 131005.doc 200910826 胃損性’其中存取點之損害導致參與與受損害之存取點之 金鍮共用的存取點之損害。然而,在交遞之關鍵路径中協 商新主會話金鑰會增加交遞潛時。因此,將需要對每—^ 取點與存取終端機對提供安全、低潛時會話金輪。 在先前技術之方法中,可在所有存取點之間共用存取終 端機之同一頂級主金鑰(ΜΚο)來保全與存取終端機之通俨 會話。若頂級主金鑰ΜΚ。在存取點中之任—者處受^ 害,則其將損害存取終端機與所有其他存取點之間的所有 通信會話。使用主會話金鑰MSK之優勢在於若一主會話金 鑰MSKn在一存取點處受到損害,則其他存取點之主會話 ,錄霞1.....或MSKo不受到損害。此係因為 母一主會話金鑰對於特定存取終端機與存取點對而言為唯 一的。 圖1說明具有促進安全、低潛時交遞之集中式金餘管理 的無線通m多重存取無線通信系統1GG可包括多個 J區例如’小區1〇2、1〇4及1〇6。每一小區H 104及 106可包括將一覆蓋提供給小區内之多個扇區的存取點m 112及114。每—小區102、104及1〇6内之存取點11〇、112 及1 14可將網路連接服務提供給一或多個存取終端機。舉 例而言’隨著存取終端機m移動跨越不同小區102、 1 0 4、1 0 6,直可盘产t 、”存取點110、112及114通信。鑑認器 12〇(例如,行動性管理實體(MME)、存取安全管理實體 (ASME)或伺服器) 、 用以s理存取點11 〇、1丨2及114之操作 及/或管理存取終端嫉 、4之金鍮鑑認。在一些應用中,鑑認 131005.doc -20- 200910826 DD 120可維持與由網路】〇〇伺服之存取終端機唯一相關聯的 頂級主金鑰。舉例而言,第一頂級主金鑰MKo對於鑑認器 120及存取終端機118而言為已知的,且與存取終端機ιΐ8 唯一相關聯。在各種應用中,鑑認器120可為網路控制器 之遠離存取點11〇、112及114或與其分開的部分,或者其 可與该等存取點中之一者共置。每一存取終端機可與一或 多個小區之兩個或兩個以上扇區通信。此可允許不同扇區 或小區之間在存取終端機〗18移動或行進時出於適當容量 管理及/或出於其他原因的交遞通信會話。 為了使得能夠進行快速交遞,鑑認器12〇經組態以與存 取終端機118協商主瞬時金鑰(MTjq。舉例而言,當首先 建立通^會話時,鑑認器120及存取終端機11 8可使用頂級 主金鑰MKo來建立主瞬時金鑰(MTK),該主瞬時金鑰 (MTK)可為由存取終端機118與鑑認器12〇共用之長期金 鑰。鑑認器120接著可(至少部分)基於主瞬時金鑰(Μτκ)、 存取點識別符及存取終端機識別符而產生針對存取點 110、112及114之主會話金鑰(MSK)(例如,演進節點B之 金鑰(K_eNB))。 鑑認器120基於自存取點接收到新金鑰請求訊息而產生 該MSK。鑑認器120可將適當MSK封入其發送回請求存取 點的新金鑰回應訊息中。 在一替代實施例中,鑑認器亦可使用相關聯之值來產生 MSK。δ亥值可為與存取點相關聯或被指派給存取點的網際 網路協定(IP)或媒體存取控制(MAC)位址或由存取點或鑑 131005.doc •21 - 200910826 認器12〇選擇之臨時值或隨機數。存取終端機可經由諸如 直接或間接(經由另-存取點)詢問討論中之存取點、詢問 鑑認器或詢問另一存取點的各 幻合種方式或自由鑑認器或討論 中之存取點廣播之資訊找出用以產生msk的值。在另一實 施例中,該值可由存取點在存 甘%點』此已發达至存取終端 機之訊息中發送。在又一眚始办丨+ ▲ n *又實把例中,該值可為由存取點為 了正交遞之存取終端機的利益而以指定週期廣播之值。 主會話金鑰(MSK)為短期、鏈路特定金錄。主會話金錄 (MSK)可同時或在需要其將_ 古父遞至新存取點時由鑑 認H 120產生及/或分配。存取終端機118可在每次其將一 會話交遞至新存取點時㈣Μ式產线MSK。藉由在交 遞後導出新存取終端機·存取點金輸,未使用至/自9存取终 端機之額外訊息。 上文描述之新金鑰請求/回應凫 η 嗯j為鑑涊Is產生新金鑰之 最快方式。存取終端機i 18可為1 q,、目豸女全地導出此金鑰 而無需存取終端機118與存取點夕„斗、十〜 取點之間或存取終端機與鑑認 器120之間的任何額外信令。因 口此,可獲得與(例如)可在通 電時進行之存取終端機_鑑認 隹°心相比的較低的交遞延 遲。 圖2(包含圖2A、圖2B及圖2C〗盔% m3曰士 久口 為說明具有促進安全、低 潛時交遞之集中式金鑰管理的盔 * J热琛逋糸統之操作之第一 實例的流程圖。在此第一實例中 貝1 J干,如下文所描述,主會話 金鑰(MSK)’可至少基於主瞬時 τ金鑰(MTK)(例如,存取安 全管理實體之金錄(K ASME)哎舻±备β入 — 根主會話金鑰(rMSK))、存 131005.doc -22- 200910826 取點識別符(例如,小區識別符或小區ID)及存取終端機識 別符而產生。又,在此第一實例中,圖1之鑑認器120、存 取點A 110、存取終端機118及存取點B 112係用於說明目 的。存取點A可由識別符AP_ID_A 202識別,存取終端機 可由識別符AT—ID 204識別,且存取點B可由識別符 AP—ID—B 206識別 〇 鑑認器120及存取終端機118可各自儲存與存取終端機 118唯一相關聯之頂級主金鑰MKo 212及214。鑑認器120 及存取終端機11 8亦可經由諸如έαρ之指定協定而協商主 瞬時金鑰(ΜΤΚ)(且可能地,ΜΤΚ識別符MTK_ID)。ΜΤΚ "T (至少部分)基於頂級主金錄MKo及/或存取終端機識別符 (AT_ID)216。可由鑑認器120及存取終端機丨18安全地維持 MTK。相反地,存取終端機118與存取點11〇共用之MSK係 自MTK導出,且為隨後可用以導出臨時會話金鑰之主金 錄。 在些κ把例中,MTK導出亦可包括由存取終端機I” 及/或鐘認器1 20產生及/或供應之隨機數。因此,可在鐘認 器120及/或存取終端機ns之間實施一協定以在mtk之導 出之前(或與其並行)導出、產生及/或交換該隨機數。如在 此項技術中已知,ΕΑΡ之許多情形展示該方法。 存取終端機118可收聽識別區域存取點之廣播以用於獲 得存取點識別符218。在一實例中,存取終端機U8可基於 其與附近任何其他存取點相比之信號強度而選擇存取點A 110。存取終端機118可發送建立與存取點A 11〇之通信會 131005.doc -23. 200910826 話之短請求。不同於先前技術,短請求可能不包括存取點 識別符(AP—ID_A),且其可僅包括存取終端機識別符 此情形最小化所傳輸之資料量。存取點八接著可以金餘a 求之形式將其識別符(AP—ID—A)及存取終端機識別: (AT—m)發送至鑑認器以用於產生可由存取終端機及存取 點Μ例如,源演進節點B(eNB))使用以建立安全通信的第 一主會話金鑰(MSK 1)222。 接著,鑑認器120及存取終端機!丨8均可至少部分旯於主 瞬時金鑰(說)、存取點識職及存取終_識== 立地產生第一主會話金鑰MSK1 226及228。主會話金鑰 (臟)可為短期、鏈路特定金鑰。可藉由使心隨機函數 (PRF)或其他合適金鑰導出函數來產生主會話金鍮霞p ,為使用共同ΜΤΚ而產生主會話金餘MSK,所以至少用於 每-MSK之導出中的存取點識別符Ap—⑴對於特定存取點 與存取終端機對而言應為唯一的。鑑認器12〇接著可將第 一主會話金鑰MSK1發送至存取點A 23〇。在第一主會話金 鑰(MSK1)之導出之後,可作為㈣以及"其他資料”之函: 而產生第-瞬時會話金鍮(TSK1)以用於建立存取終端機與 ^取點之間的通信會話232。”其他資料,,可為對於存取終 端機及存取點而言均已知的靜態或隨時間變化之量,或其 可含有新產生之量’諸如’隨後出於導出取之目的而在 單獨協定執行中交換的臨時值。用於自主金鑰導出臨時會 話金鑰之該等協定在此項技術中係已知的。接著可使用第 一主會話金職SKW在存取fiA 11G與存取終端機118之 131005.doc •24- 200910826 間安全地建立通信會話234。 存取終端機118可繼續收聽來自區域存取終端機之廣播 236以判定是否應發生與新存取點B(例如,目標演進節點b eNB)之交遞238。亦即,隨著存取終端機118漫遊或移動至 不同扇區或小區中或自另一存取點偵測到較強信號,至新 存取點B 112之交遞可為理想的。若存取終端機118決定自 當前存取點A 110至新存取點B 112之交遞,則其可發送藉 由將通信會話交遞至存取點B 112而建立與存取點B之通信 會話之短請求。不同於先前技術,短請求不包括存取點識 別符(AP_ID_B)240。由於在請求中不包括存取點識別符 (AP_ID_B) ’所傳輸之資料量得以最小化。存取點b接著 可以金鑰請求之形式將其識別符(Ap—m—B)及存取終端機 識別符(AT—ID)發送至鑑認器以用於產生可由存取終端機 及存取點B使用以建立安全通信的主會話金鑰242。 接著,鑑認器120及存取終端機118兩者均可至少部分基 ^當前主瞬時金鑰MTK、存取點識別符及存取終端機識別 付而獨立地產生新主會話金鑰MSK2主會話金 鑰(MSK)可為短期、鏈路特定金鑰。鑑認器12〇接著可將 新主會話金鑰MSK2發送至新存取前25()。接著可使用新 主會話金鑰職2而在存取點B 112與存取終端機ιΐ8之間 繼續安全通信會話252。 可使用第二主會話金餘MSK2而在存取點b 112與存取終 端機118之間安全地建立通信會話。可由存取點^接針對 存取終端機對該交遞請求作出回應而發生交遞。在替代實 131005.doc -25· 200910826 施例中,可由存取點B經由存 該交遞請求作出回應而發生=而=存取終端機對 (卿)之導出之後,可作為MSK2及,,其他;鑰 :生第二瞬時會話金鑰(卿用於建立存取I:::: 取點之間的通信會話258。„其他資料”可為對於存取2 機^存取點而言均已知的靜態或隨時間變化之量,或^
可含有新產生之量’諸如,隨後出於導出TSK之目的而: 単獨協定執行中交換的臨時值 〜A α 兔繙導出臨時會 活金鑰之”協定在此項技術中已知。心,存取終端機 118與存取點八11〇之間的通信可終止26〇。 可重複安全地將通信會話自—存取點交遞至另—者之過 私多次。舉例而言,在圖!中,存取終端機US可自當前小 區104漫遊或移動至新小區1G6且設法將通信會話自當前存 取點B 112交遞至新存取點c 114。存取終端機118可請求 至新存取點之交遞。如上文所描述,存取終端機可發送短 交遞請求,其十該交遞請求不包括存取點識別符 (AP—ID)。鑑認器12〇接著可(至少部分)基於主瞬時金鑰 MTK、存取點識別符及存取終端機識別符而產生新主會話 金鑰MSK3。鑑認器12〇接著可將主會話金鑰MSK3發送至 新存取點C 114。鑑認器12〇及存取終端機η 8兩者均可獨 立地產生其自身之新主會話金鑰MSK3之版本。存取終端 機118及新存取點C 114接著可使用新主會話金鑰^^以來 繼續其之間的安全通信會話。 圖3(包含圖3Α、圖3Β及圖3C)為說明具有促進安全、低 131005.doc -26- 200910826 潛k父遞之集中式金錄管理的無線通信系統之操作之第二 實例的流程圖。在此第二實例中,如下文所描述,主會話 金鑰(MSK)可至少基於主瞬時金鑰(MTK)、存取點識別 符、存取終端機識別符及(視情況)相關聯之值而產生,其 中該值可為由存取點或鑑認器產生之臨時值(或隨機數)。 又,在此第二實例中,圖丨之鑑認器12〇、存取點A丨1〇、 存取終端機118及存取點B 112係用於說明目的。存取點A 可由識別符ap_id_a 302識別,存取終端機可由識別符 AT_ID 304識別,且存取點B可由識別符Ap—ID—b ^⑽識 別。另外,存取點A、存取點B及鑑認器可各自儲存可分 別為由每一存取點及鑑認器產生之隨機數或臨時值的值 308、310及 31 1 〇 鑑認器120及存取終端機118可各自儲存與存取終端機 118唯一相關聯之頂級主金鑰]^1:〇312及314。鑑認器^〇 及存取終端機118亦可經由諸如EAp之指定協定而協商主 瞬時金鑰(MTK)(且可能地,Μτκ識別符^^山)。mtk 可(至少部分)基於頂級主金鑰Μ κ。及/或存取終端機識別符 (AT_ID)316。可由鑑認器12〇及存取終端機ιΐ8安全地維持 MTK。相反地,存取終端機U8與存取點㈣共用之係 自MTK導出,且為隨後可用以導出臨時會話金鑰之主金 鍮。 在一些實施例中’ MTK導出亦可包括由存取終端機ιΐ8 及/或鑑認器120產生及/或供應之隨機數。因此,可在鑑認 器no及/或存取終端機118之間實施一協定以在mtk之導 131005.doc -27. 200910826 出之前(或與其並行)導出、產生及/或交換該隨機數。如在 此項技術中已知,ΕΑΡ之許多情形展示該方法。 存取終端機118可收聽識別區域存取點之廣播以用於獲 :存取點識別符及(視情況)存取點之相關聯之值318。在一 實例中,存取終端機118可基於其與附近任何其他存取點 相比之信號強度而選擇存取點Α 11〇。存取終端機ιι8可發 送建立與存取點Α 11〇之通信會話之短請求。不同於先前 技術,短請求可能不包括存取點識別符(AP_ID_A),且可 僅包括存取終端機識別符32〇。此最小化所傳輸之資料 量。存取點A接著可以金鑰請求之形式將其識別符 ^P—ID—A)、存取終端機識別符(AT—m)及(視情況)其相關 聯之值發送至鑑認器以用於產生可由存取終端機及存取點 A使用以建立安全通信的第—主會話金錄⑽叫如。該 值可為與存取點相關聯或被指派給存取點的IP或MAC位址 或由存取點選擇之臨時值或隨機數。 接著,鑑認器120及存取終端機}丨8兩者均可至少部分基 於主瞬時金鑰(Μτκ)、存取點制符、存取終端機識別符 及(視情況)相關聯之值而獨立地產生第一主會話金鑰 MSK1 326及328。主會話金鑰(MSK)可為短期、鏈路特定 金鑰。可藉由使用偽隨機函數(pRF)或其他合適金鑰導出 函數來產生主會話金鑰MSKn。因為使用共同Μτκ而產生 主會話金鑰MSK,所以至少用於每一MSK之導出中的存取 點識別符AP—ID或另一相關聯之值對於特定存取點與存取 終端機對而言應為唯一的。鑑認器】2〇接著可將第一主會 131005.doc -28 - 200910826 話金鑰MSKi發送至存取點Α 33〇ι鑑認器使用其相關聯 之值,則鑑認器可將其其值發送至存取終端機以使得存取 終端機可產生相同第一主會話金鑰(Mski)33i。在第—主 會話金鑰(MSK1)之導出之後,可作為廳^及”其他資料主, 之函數而產生第-瞬時會話金鑰(TSK1)以用於建立存取终 端機與存取點之間的通信會話”2。"其他資料”可為對: 存=終端機及存取點兩者而言均已知的靜態或隨時間變化 之量’或者其可含有新產生之量,諸如,隨後出於導出 TSK之目的而在單獨協定執行中交換的臨時值。用於自主 =鍮導出臨時會話金鑰之該等協定在此項技術中已知。接 著可使用第一主會話金鑰MSK1而在存取點A 與存取終 端機118之間安全地建立通信會話334。 存取終端機118可繼續(聽來自區域存取終端機之廣播 以用於獲得存取點識別符及(視情況)存取點之相關聯之值 3^36且判疋疋否應發生與新存取點b之交遞Mg。亦即,隨 著存取終端機118漫遊或移動至不同扇區或小區中或自另 一存取點偵測到較強信號’至新存取點Β ιΐ2之交遞可為 理想的。若存取終端機m決定自當前存取點A UG至新存 取點B⑴之交遞’則其可發送藉由將通信會話交遞至存 取112而建立與存取點β之通信會話之短請求。不同於 月)技術紐凊求不包括存取點識別符(Ap jD_b)34〇。 於在請求中不包括存取點識別符(Ap ID B),所 料量得以最小化。 _ _ 】<貝 存取點B接签可,、, 伐考了以金鑰請求之形式將其識別符 131005.doc -29- 200910826 (ap」d_b)、存取終端機識別符(AT—m)及(視情況)其相關 聯之值發送至鑑認器以用於產生可由存取終端機及存取點 使用以建立安全通信的第二主會話金鑰勾342。該 相關聯之值可為與存取點相關聯或被指派給存取點的113或 c位址或由存取點選擇之臨時值或隨機數。 接著,鑑認器120及存取終端機i丨8兩者均可至少部分基 ^當前主瞬時金鑰Μτκ、存取點識別#、存取終端機識別 符及(視情況)相關聯之值而獨立地產生新主會話金鑰 MSK2 346及348。該相關聯之值可為與存取點相關聯或被 指派給存取點的IP4MAC位址、由存取點或鑑認器選擇之 臨時值或隨機數。主會話金鑰(MSK)可為短期、鏈路特定 金鑰。可使用偽隨機函數(pRF)或其他合適金鑰導出函數 來產生主會話金鑰MSKn。因為使用共同mtk而產生主會 話=餘MSK,所以至少用於每一職之導出中的存取點識 別4 AP_ID、存取終端機識別符及/或另一相關聯之值對於 特定存取點與存取終端機對而言應為唯一的。鑑認器12〇 接者可將第二主會話金鑰MSK2發送至存取點A 35〇。若鑑 認器使用其相關聯之值,則㈣器可將其相關聯之值發送 至存取終端機以使得存取終端機可產生相同第二主會話金 餘(MSK2)351。接著可使用新主會話金餘msk2而在存取 點B 112與存取終端機11 8之間繼續安全通信會話352。 可使用第一主會話金鑰MSK2而在存取點B 112與存取終 ^機11 8之間女全地建立通信會話。可由存取點b直接針對 存取終端機對該交遞請求作出回應而發生交遞。在替代實 131005.doc -30· 200910826 施例中’可由存取點B經由存取點B而針 該交遞請求作出回應而發生交遞356。在第二、、端機對 (MSK2)之導出之後,可作為職2及”其他^=話金鑰 產生第二瞬時會話金餘(TSK2)以用於建立存取終端 的通信會話358。”其他資料"可為對於存取终: 機及存取點兩者而言均已知的靜態或隨時間變化之量,。、 者其可含有新產生之量,諸如’隨後出於導出取:目= 而在單獨協定執行中交換的臨時值。用於自主金 包 時會活金鍮之該等協定在此項技術中已知。因&,存取終 端機118與存取點A 11〇之間的通信可終止36〇。 〜 可重複安全地將通信會話自一存取點交遞至另—者之過 程多次。舉例而言’在圖紳,存取終端機"8可自當前: 區1〇4漫遊或移動至新小區1G6且設法將通信會話自當前存 取點B 112交遞至新存取fic 114。存取終端機⑴可= ^新存取點之交遞。如上文所描述,存取終端機可發送短 遞月來其中δ亥交遞請求不包括存取點識別符 (AP—ID)。鑑認器12〇接著可(至少部分)基於主瞬時金鑰 ΜΤΚ、存取點識別符、存取終端機識別符及(視情況)相關 聯之值而產生新主會話金输MSK3。該相關聯之值可為與 存取點相關聯或被指派給存取點的ιρ或mac位址或由存取 點或鑑s忍益選擇之臨時值或隨機數。鑑認器12〇接著可將 主會話金錄MSK3發送至新存取點c 114。>上文所描述, 右使用鑑δ忍器之相關聯之值,則鑑認器可將其值發送至存 取、、’;端機以使得存取終端機可產生相同主會話金鑰。鑑認 131005.doc -31 - 200910826 器120及存取終端機118兩者均可獨立地產生其自身之新主 會話金鑰MSK3之版本。存取終端機118及新存取點c 接著可使用新主會話金鑰M S K 3來繼續其之間的安全通信 會話。 圖4說明可用於在交遞期間及/或之後保全存取終端機與 新存取點t間的通信會話中之安全金鑰之集中式模型。在 此集中式模型巾’鑑認器(例如,網路控制器、鑑認伺服 器等等)與存取終端機(至少部幻基於與存取終端機唯—相 關聯之頂級主金鑰MKo而協商主瞬時金鑰(MTK)。鑑認器 產生、管理瞬時會話金鑰及/或將其分配至每一存取點°。
因為^堇協商瞬時主金鑰MTK 一次(例如,在存取終端機與 鑑認器首次起始通信時),所以此使產生會話金鑰之過程 加速。又’即使瞬時主金鑰MTK受到損害,其亦不損害頂 級主金鑰MK。。此外’因為頂級主金鑰概。或主瞬時金瑜 MTK均不分配至存取點(例如,僅分配瞬時會話金鑰),所 以其減小在存取點受到損害之情況下損害安全之風險。 、此集中式金鑰管理對現有通信會話提供低潛時交遞,因 =主θ、。舌金鑰由鑑認器在保全通信會話的同時產生並提 供,因為頂級主金鑰MKo或主瞬時金鑰“丁反均不分配至 取點。 在各種實施例中,可在交遞之後短期使用新主會話金餘 MSKt ’或者新主會話金鑰MSKt可無限期地用於保全存取 =機與新存取點Ap_t之間的通信。在—些應用中,可隨 〗行經由存取點的存取終端機之EAp鐘認或重新鑑認(例 131005.doc -32- 200910826 如,以更新MTK)以便減小損害通信會話之可能性。 如在圖1至圖4及本文之描述中所使用,主瞬時金鑰 (ΜΤΚ)及主會話金鑰(MSK)對於特定存取點/存取終端機對 而言可為特定的。在鑑認器(其亦可為存取點)與存取終端 機之間使用MTK。在存取點與存取終端機之間使用。 在一些實施例中,可短期使用主瞬時金鑰(Μτκ)及主會話 金錄(MSK)(直至在存取終端機與存取點之間協商安全金輪 為止)或可長期使用主瞬時金鑰(ΜΤΚ)及主會話金鑰 (^1SK)(例如,直至通信會話交遞至另—存取點或通信會話 ’”。束為止)。在其他實施例中’ MSK可用作根金鑰以經由 在存取點與存取終端機之間採取之指定協^而導出瞬時會 話金翁(TSK)。 雖’、、、圖1至圖4中所說明之實例通常涉及在將通信 交遞至新存取點之情形下實施集中式金鍮管理機 故端機旦2在其他情形下實施。在一實例中,並非在存取 :端:維持金输之有效集合。亦即,存取終端機可同:: 2也建立與扇區、區或區域内之複數個存取 聯(例如,厶於、士 v 王關 全關聯ο子取終端機與之維持該等同時或並行安 每次ΓΓΓ金输)的存取點被稱為存取點之,,有效集合"。 :存取點添加至存取終端機之有效华人 端機與新存取點均 I效集。時存取終 機與新存取點可h金鑰1例而言,存取終端 告 ..建立主會話金鑰(MSK)。 當在存取點之有#鱼 有效集&之情形下實施集中式金鑰管理方 131005. doc •33· 200910826 法時’存取終端機可由鑑認器針對新存取點而導出新主會 話金鑰(MSK)且使鑑認器將新主會話金鑰(msk)提供至^ 存取點。 如上文所描述而使用存取點之有效集合與集中式金鑰管 理方法使存取終端機能夠快速地㈣與其#效集合中之存 取點的通信。
圖5為說明經組態以執行低潛時安全通信會話交遞之存 取終端機的方塊_。存取終端機5()2可包括㈣至無線通 信介面506以經由無線網路而通信之處理電路5〇4及用以儲 存唯-頂級主金錄MKo(與存取終端機相關聯)及與每—存 取點相關聯之MSK的财子器件5〇8。處理電路5〇4可經植能 以安全地交遞正在進行之通信會話而無通信會話之可察覺 中斷。處理電路504(例如,處理器、處理模組等等)可包括 經組態以產生可用以保全通信會話之—或多個金鑰的金鍮 >圖6為制在存取終«巾操作以促較用集巾式金鎗 :理方法自第一存取點至新存取點或第二存取點之安全通 仏會舌又遞的方去之流程圖。最初,彳由鑑認器基於與存 取終端機相關聯之至少-頂級主金錄而安全地建立主瞬時 金鑰(MTK)602。可將建立與第-存取點之安全通信會話 :U發d存取點6G4。短請求可僅包括存取終 :機硪別符且不包括存取點識別符來最小化可傳輸之資料 量。 視情況,如上文所描述 可自鑑認器或存取點接收相關 131005.doc -34· 200910826 聯之值605。該相關聯之值可為與存取點相關聯或被指派 給存取點的IP或MAC位址或由存取點或鑑認器選擇之臨時 值或隨機數。可使用基於主瞬時金鑰、存取點識別符、存 取終端機識別符及(視情況)相關聯之值而產生之至少一唯 一第一主會話金鑰雨建立與第一存取點之安全通信會話 606。 存取終知機接著可收聽來自區域存取點之廣播6 〇 8。若
第二存取點被識別,則存取終端機判定是否應將現有通信 會話自第一存取點交遞至第二存取點61〇 ^此可藉由比較 關於第一存取點與第二存取點之信號強度及/或品質而判 疋存取終私機可判疋以繼續與第一存取點之通信會話 6!2。否則,存取終端機可選擇藉由將不包括第二存取點 識別符之短請求發送至第二存取點來起始現有通信會話至 第二存取點之交遞614。如上文所描述,短請求可僅包括 存取終端機識別符且不包括存取點識別符以最小化可傳輸 之資料量。 視情況,如上文所描述,可自鑑認器或存取點接收第二 相關聯之值615。該相關聯之值可為與存取點相關聯或被 指派給存取點的IP4MAC位址或由存取點或鑑認器選擇之 臨時值或隨機數。可使用基於主瞬時金鑰、存取點識別 符、存取終端機識別符及(視情況)第二相關聯之值而產生 之至少第二主會話金鑰而建立與第二存取點之安全 通信會話61 6。 第一存取點交遞至 存取終端機接著可將安全通信會話自 13I005.doc -35- 200910826 第二存取點且以第二主會 r古金錄對其加以保全61 8。可藉 由使用主瞬時金鑰、存取 曰 、、 點哉別付、存取終端機識別符及 (視情況)新相關聯之值以產一 座王卜主會活金鑰來重複此交 遞過程多次。
圖7為說明經組態以促進低潛時安全通信會話交遞之鑑 ❹的方塊圖。鑑認器7〇2可包㈣接至通信介面以經 由網路而通信之處理電路7〇4及用以儲存唯一頂級主金鍮 MKo(與存取終端機相關聯)的儲存器件。處理電路 可經^態以促進正在進行之通信會話自存取點至存取終端 機之安全交遞而無通信會話之可察覺中斷。處理電路 704(例如,處理器、處理模組等等)可包括經組態以產生可 用以保全通信會話之—❹個金鍮的錢產生諸組。在 各種應用中,鑑§忍益702可安置於網路控制器處,或者其 可與一或多個存取點共置。 圖8為說明在鑑認器中操作以促進使用集中式金鑰管理 方法自第一存取點至新存取點之安全通信會話交遞的方法 之流程圖。鑑認器在存取終端機請求與第—存取點之通信 會話後基於與存取終端機相關聯之頂級主金鑰而產生主瞬 時金鑰(MTK)802。可自存取點接收第—存取點識別符 (AP_ID_A)、存取終端機識別符及(如上文所描述,視情 況)一相關聯之值804。在一替代實施例中,若使用相關聯 之值’則鑑認窃可如上文所描述而使用其自身之相關聯之 值805。該相關聯之值可為與存取點相關聯或被指派給存 取點的IP或MAC位址或由存取點或鑑認器選擇之臨時值或 131005.doc -36- 200910826 隨機數。 由鑑認器至少基於主瞬時金鑰、存取點識別符、存取終 端機識別符及(視情況)相關聯之值而ϋ第一纟會話金輪 806。可由鑑認器將第—主會話金錄發送至第—存取點 8視h况若在產生主會話金鑰的過程中使用鑑認器 之相關聯之值’㈣認器可將其相關聯之值發送至存取終 端機以使得存取終端機可產生相同第一主會話金鑰8〇9。
隨後’可自第二存取點接收第二存取點識別符、存取終 端機識別符及(如上文所描述,視情況)第二相關聯之值。 在-替代實施例中’若使用第:相關聯之值,則鑑認器可 使用其自身之相關聯之值81〇。第二相關聯之值可為與存 取點相關聯《被指I给存取點的位址或由存取點 或鐘認器選擇之臨時值或隨機數。 至少基於主瞬時金鑰、第二存取點識別符、存取終端機 識別符及(視情況)第二相關聯之值而I生第U會話金錄 8U。鑑認ϋ接著可將第二主會話金鑰發送至第二存取點 視it況,若使用鑑認器之相關聯之值,則鑑認器可 將其相關聯之值發送至存取終端機以使得存取終端機可產 生相同第二主會話金鎗814。 圖9為說明經組態以促進低潛時安全通信會話交遞之存 取點的方塊圖。存取點可包㈣接至無線通信介面9〇6 以與一或多個存取終端機通信之處理電路9〇4、用以與鑑 認器及/或其他存取點通信之通信介面9U)及用以儲存唯Γ 頂級主金鑰MKo(與存取終端機相關聯)的儲存器件9〇8。處 131005.doc -37- 200910826 理電路904可經組態以促進正在進行之通信會話自存取點 902至存取終端機之安全交遞而無通信會話中之可爽覺中 斷。處理電路9〇4(例如,處理器、處理模組等等)可包括瘦 組態以產生可心保全通信會話之—或多個金鑰的金餘產 生器模組。 圖10為說明具有整合之鑑認器之存取點⑽2的替代實施 例之方塊圖。存取點贈可包括與圖9中之存取點·相 同之、且件中之泎夕纟,但替代經由其通信介面㈣而與鑑 認器通信,鑑認器1〇12與存取點9〇2共置。鑑認器i〇u及 存取點蘭可如圖工至圖8及圖u至圖12中所說明而操作。 圖11為說明.在第—存取點中操作以促進使用集中式金瑜 管理方法自第一存取點至第二存取點之安全通信會話交遞 的方法之流程圖。第—存取點自存取終端機接收建立安全 通信會話請求;該請求不包括存取點識別符·。在接收 到请求後,存取點可將第—存取點識別符及(視情況卜相 關聯之值發送至鑑認器11G4。視情況,其可將相關聯之值 發达至存取終端機以使得存取終端機可產生相同主會話金 鑰11 05。在一替代實施例中,若使用相關聯之值來產生主 會話金鑰,則鑑認器可使用其自身之相關聯之值且將該相 關聯之值發送至存取終端機以產生相同主會話金鑰。 存取點接著自鑑認器接收第一主會話金鑰丨丨〇6。第一存 取點接著可使用第一主會話金鑰而建立與存取終端機之安 全通信會話1108。隨後,第一存取點可自存取終端機接收 將安全通信會話交遞至第二存取點之請求;該請求不包括 131005.doc -38- 200910826 存取點識別付1 1 10。此可使第二 冲士 子取點將第二存取點識別 付、存取終端機識別符及「相橹 飞引行及(視障况)第二相關聯之值 鑑認器1112。其接著可將第二相關聯之值發送至存料端 機以使得存取終端機可產生相同主會話金^⑴。在一替 0實施例中’若使用相關聯之值來產生主會話金输,則鑑 7可使用其自身之相關聯之值且將該相關聯之值發送至 =:機以產生相同主會話金餘。存取點接著可自鑑認 器接收弟一主會話今輪 至鑰1114。接者可將通信會話交遞至第 二存取點1 1 1 6。 圖12為說明在存取狄被地 仔取、,s知機中刼作以獲得及/或建立 點之有效集合的方法之法妒闻 乃凌之机程圖。存取終端機可掃描存取點 1202 °在識別到新存 .. u 仔取點時,存取終端機將該新存取點添 口至/、存取點之有效集合12G4。存取終端機可在將每 取點Μ至有效集合時建立與其之主會話切1206。 母存取點之主會話金输可包括基於自存取點或鐘認器 接收的主瞬_全始_、ft ' 存取點識別符、存取終端機識別符及 (視情況)一相關聯之值之主會話金錄1208。如上文所描 2相關聯之值可來自存取點或鑑認器且可為與存取點相 關如或被指派給存取點的㈣罐位址或由存取點選擇之 6品時值或隨機數。盤Μ π 舉例而言,可能已如圖1至圖4及/或圖6 所π明而產生該主會話金鑰。 古存取終端機可起始與有效集合中之第—存取點的通信會 、 /、 存取點相關聯之第一主會話金鑰來保 全通信會每1 9 1 rv 。存取點隨後可將通信會話切換至有效集 131005.doc -39- 200910826 合中之第二存取點,其中使用與第二存取點相關聯之第一 主會話金鑰來保全通信會話1212。即使在存取終端機自第 一存取點切換至第二存取點之後,第一主會話金鑰隨後仍 可在存取終端機切換回與第一存取點通信時被再用。 圖1、圖2、圖3、圖4、圖5、圖6、圖7、圖8、圖9、圖 1〇、圖11及/或圖12中所說明之組件、步驟及/或函數中之 一或多者可被重新配置及/或組合為單一組件、步驟或函 數,或實施於若干組件、步驟或函數中而不影響偽隨機數 產生之操作。亦可在不脫離本申請案之情況下添加額外元 件、組件、步驟及/或函數。圖1、圖5、圖7、圖9及/或圖 1 0中所說明之裝置、器件及/或組件可經組態以執行圖2、 圖3、圖4、圖6、圖8、圖11及/或圖12中所描述 特徵或步驟中的-或多|。可在軟體及/㈣人式石 =中 有效實施本文中描述之新穎演算法。 熟習此項技術者將進一步瞭解可將結合本文中所揭示之 實施例而描述的各種說明性邏輯區塊、模組、電路及演算 法步驟實施為電子硬體、電腦軟體或兩者之組合^為清楚 地說明硬體與軟體之此互換性,各種說明性組件、區塊、 杈組、電路及步驟已於上文大體就其功能性而加以描述。 將該功能性實施為硬體還是軟體取決於特定應用及強加於 整個系統之設計約束。 t文中所描述之本申請案之各種特徵在不脫離本申請案 之h况下可實施於不同系統中。舉例而言’本申請案之一 可由移動或靜悲通信器件(例如,存取終端機)及複 131005.doc -40- 200910826 數個行動或靜態基地台(例如,存取點)來執行。 應注意,前述實施例僅為實例且不應被解釋為限制本申 請案。對實施例之描述意欲為說明性的且並不限制申請專 利犯圍之範_。因此,本發明之教示可容易應用於其他類 型之裝置,且許多替代、修改及變化對於熟習此項技術者 而吕將為顯而易見的。 【圖式簡單說明】 圖1說明具有促進安全、低潛時交遞之集中式金鑰管理 的無線通信系統。 圖2(包含圖2Α、圖2Β及圖2C)為說明具有促進安全、低 /曰日守乂遞之集中式金鑰管理的無線通信系統之操作之二 實例的流程圖。 圖3(包含圖3八、圖犯及圖sc)為說明具有促進安全 潛時交遞之集中式金鑰管理的無線通信系統之操作-實例的流程圖。 弟一 圖4說明可用於在交遞期間及/或之後 新存取點之間的通信會話中之安全金鑰之與 圖5為忒明經組態以執行低潛時安全通信合 取終端機的方塊圖。 削…父遞之存 圖6為說明在存取終端機中操作以促進使用 管理方法而自第—存取點至新存取 的方法之流程圖。 女王通^會話交遞 圖7為說明經組態以促進低潛時 認器的方塊圖。 女王通“话交遞之鑑 131005.doc -41 · 200910826 方Γ為說明在鑑認器中操作以促進使用集中式金鍮管理 ^:自第-存取點至新存取點之安全龍會話交 法之流程圖。 J万 圖9為說明經組態以促進低潛時安 取點的方塊圖。 "舌X遞之存 圖10為說明具有整合之鑑認器之存取點 方塊圖。 q代實施例之 圖11為說明在第 管理方法而自第一 遞的方法之流程圖 …'八发靖 存取點至第二存取點之安全通信會話交 以獲得及/或建 立存取 圖12為說明在存取終端機中操作 點之有效集合的方法之流程圖。 【主要元件符號說明】 100 多重存取無線通信系統 102 小區 104 /J、區 106 /J、區 110 存取點A 112 存取點B 114 存取點 118 存取終端機 120 鑑認器 202 識別符ap_id_a 204 識別符AT_ID 131005.doc -42- 識別符AP_ID_B 頂級主金鑰MKo 頂級主金输MKo 識別符AP_ID—A 識別符AT_ID 識別符AP_ID_B 值 值 值 頂級主金錄MKo 頂級主金输MKo 存取終端機 處理電路 無線通信介面 儲存器件 鑑認器 處理電路 .通信介面 儲存器件 存取點 處理電路 無線通信介面 儲存器件 通信介面 -43 - 200910826 1002 存取點 1012 鑑認器 AP-t 新存取點 Mko 頂級主金鑰 MSK1 新主會話金錄 MSK2 新主會話金錄 MSK3 新主會話金錄 MSKt 新主會話金錄 MTK 瞬時主金鑰 131005.doc -44
Claims (1)
- 200910826 十、申請專利範圍: 1. 一種在一存取點上操作之方法,其包含: 自一存取終端機接收經由該存取點而建立一安全通信 會話之一第一請求; β 將一金鑰請求訊息發送至一鑑認器,其中該金鑰請求 巩息包括一本端獲得之第—存取點識別符及一所接收之 存取終端機識別符;及 自4鑑認器接收一第—主會話金鑰以用於在該存取終 端機與該存取點之間建立該通信會話,其中該第_主合 曰 話金鑰為至少該第一存取點識別符及該存取終端機識別 符之一函數。 士明求項1之方法,其中該金输請求訊息亦包括一由該 存取2產生之第一相關聯之值,且該第一主金鑰亦為該 相關聯之值之一函數。 3·如請求項1之方法,其中該金鑰請求訊息亦包括該存取 點之—網際網路協定(IP)或媒體存取控制(MAC)位址中 之至少一者’且該第一主會話金鑰亦為該„>位址或該 mac位址之一函數。 4. 如請求項1之方法,其中該所接收之第一主會話金鑰亦 為由s亥鑑認器產生或與該鑑認器相關聯之相關聯之值 的函數’且該存取點自該鑑認器接收該相關聯之值。 5. 如請求項4之方法,其進一步包含: 將該相關聯之值發送至該存取終端機以允許該存取終 端機產生該第一主會話金鑰。 131005.doc 200910826 6. 如請求項丨之方法,其進一步包含: 自該存取終端機接收將該安全通信會話交遞至一第二 存取點之一交遞請求,其中該請求包括一與待將該通信 曰°舌又遞至的一第二存取點相關聯之第二存取點識別 符。 7. 如凊求項6之方法,其進一步包含: 冬亥第—存取點識別符及該所接收之存取終端機識別 符發送至該第二存取點;及 、 (; _ 將該通信會話交遞至該第二存取點。 8·如請求項1之方法,&中該第一主會話金輪為-用於該 存取終端機與該存取點之間的通信之短期、鏈路特定金 錄。 9. 一種存取點,其包含: 一記憶體;及 一處理器,其與該記憶體耦接,該處理器經組態以 (, 自—存取終端機接收經由該存取點而建立一安全通 信會話之一第一請求; 將一金鑰請求訊息發送至一鑑認器,其中該金鑰請 求訊息包括一本端獲得之第一存取點識別符及一所接收 _ 之存取終端機識別符;且 自該鑑認器接收一第一主會話金鑰以用於在該存取 而機與5玄存取點之間建立該通信會話,其中該第一主 會活金鑰為至少該第一存取點識別符及該存取終端機識 別付之一函數。 131005.doc 200910826 I 0.如明求項9之存取點,其中該金鑰請求訊息亦包括一由 該存取點產生之第一相關聯之值,且該第一主會話金鑰 亦為該相關聯之值之一函數。 II ·如吻求項9之存取點,其中該金鑰請求訊息亦包括該存 取點之一網際網路協定(Ip)或媒體存取控制(mAC)位址 中之至少一者,且該第一主會話金鑰亦為該π位址或該 mac位址之一函數。 12.如請求項9之存取點,其中該所接收之第—主會話金錄 亦為一由該鑑認器產生或與該鑑認器相關聯之相關聯之 值的-函數,且該存取點自該鑑認器接收該相關聯之 值。 13.如請求項12之存取點,其中該處理器經進—步組態以: 山將該相關聯之值發送至該存取終端機以允許該存取終 端機產生該第一主會話金鑰。 如:求項9之存取點’其中該處理器經進—步組態以: 自該存取終端機接收將該安全通 ^ 、丨话父遞至一第一 存取點之一父遞請求,其中該 合绅六、成 &匕括—與待將該通信 »父遞至的一第二存取點 符。 _蚵之弟二存取點識別 15. 如請求項14之存取點,其中該處理器 …. 將該第二存取點識別符及該所接收人,且態以 符發送至該第二存取點;且 #取終端機識別 將該通信會話交遞至該第二存取點。 16. 如請求項9之存取點,其中該第—主 會话金鑰為一用於 131005.doc 200910826 該存取終端機與該存取點之間的通信之短期、鏈路特定 金鎗。 17. —種存取點,其包含: 用於自存取終端機接收經由該存取點而建立一安全 通信會話之一第一請求之構件; f-用於將一金鑰請求訊息發送至一鑑認器之構件,其中 該金鑰請求訊息包括—本端獲得之第一存取點識別符及 一所接收之存取終端機識別符;及 用於自該鑑認器接收一第—主會話金餘以用於在該存 取終端機與該存取點之間建立該通信會話之構件,其中 該第-主會話金鑰為至少該第—存取點識別符及該存取 終端機識別符之一函數。 18. 如請求項17之存取點,其進一步包含: /於自該存取終端機接收將該安全通信會話交遞至__ 第二存取點之-交遞請求之構件,其中該請求包括一與 待將該通信會話交遞至的H取點相關聯 取點識別符。 一 19 ·如請求項1 8之存取點,其進一步包含. 用於將該第二存取點識別符及該所接收之存取終端機 識別符發送至該第二存取點之構件;及 用於將該通信會話交遞至該第二存 2〇.如請求項】7之存取點,其中該第全構/為。 ^°古孟鑰為一用於 該存取終端機與該存取點之間的通 金鑰。 U 口之短期、鏈路特定 131005.doc 200910826 η.-種處理器可讀媒體’其包含可由一或多個處理器使用 之指令,該等指令包含: 用於自一存取終端機接收經由存取點而建立一安全通 信會話之一第一請求之指令; • 用於將一金鑰請求訊息發送至一鑑認器之指令,其中 該金鑰請求訊息包括—本端獲得之第—存取點識別符及 一所接收之存取終端機識別符;及 帛於自該鑑認11接收—第-主會話金錄以用於在該存 取終端機與該存取點之間建立該通信會話之指令,其中 該第一主會話金鑰為至少該第一存取點識別符及該存取 終端機識別符之一函數。 22. 如請求項21之處理器可讀媒體,其進一步包含: 用於自該存取終端機接收將該安全通信會話交遞至一 第二存取點之一交遞請求之指令,纟中該請求包括一與 待將該通信會話交遞至的一第二存取點相關聯之第二2 D 取點識別符。 " 23. 如请求項22之處理器可讀媒體,其進一步包含: 用於將該第二存取點識別符及該所接收之存取終端 '識別符發送至該第二存取點之指令;及 、 •用於將該通信會話交遞至該第二存取點之指令。 24. 如請求項21之處理器可讀媒體,其中該第一主會話金鑰 為—用於戎存取終端機與該存取點之間的通信之短期、 鏈路特定金鑰。 25· —種處理器,其包含: 131005.doc 200910826 —處理電路,其經組態以 公广存取終端機接收經由存取點而建立一安全通信 會話之一第一請求; 2金料求訊息料至—㈣器,其中該金錄請 之疒:。括一本端獲得之第-存取點識別符及-所接收 之存取終端機識別符;且 自3亥鑑認器接收一第—主合 炊立山王3 11舌金鑰以用於在該存取 合飪八a通佗會活,其中該第一主 曰吕孟鑰為至少該第一存取 別符之-函數。 …J符及該存取終端機識 26.如請求項25之處理器’該 A ^ 电峪,、工進—步組態以: :该存取終端機接收將該安全通信會話交遞至一第二 存取點之一交遞請求’並中 . /、中°亥4求包括—與待將該通信 广遍至的-第二存取點相關聯之第二存取點識別 27·如請求項26之處理器,該處理電路經進—步,且離以. 將該第二存取點識別符 …. 符發送至該第二存取點;且 Μ收之存取終端機識別 將該通信會話交遞至該第二存取點。 28. 如請求項25之處理器,其中該第— 該存取終端機與該存取點之:的: = 餘為-用於 金瑜。 、之紅期、鏈路特定 29. 一種在一存取終端機上操作之方法,其包人. 由-鑑認器基於與該存取終 3 . 伯關知之至少一頂級 131005.doc 200910826 主金鑰而建立一主瞬時金餘; 獲得—與一第一存取點相關聯之存取點識別符; 將建立一安全通信會話之一請求發送至該第一存取 點; 作為至少該主瞬時金鑰及該第一存取點識別符之一函 數而產生一第一主會話金鑰;及 使用該第一主會話金鑰而建立與該第一存取點之該安 全通信會話。 3 0.如請求項29之方法,其進一步包含: 接收一由該第一存取點產生之第—相關聯之值,其中 該第一主會話金鑰亦為該第一相關聯之值之一函數。 3 1 ·如請求項30之方法,其中該第一相關聯之值包括該第一 存取點之一網際網路協定(IP)或媒體存取控制(MAC)位 址中之至少一者,且該第一主會話金鑰亦為該ιρ位址或 該MAC位址之一函數。 32.如請求項29之方法,其進一步包含: 接收一由該鑑認器產生之第一相關聯之值,其中該第 一主會話金鑰亦為該第一相關聯之值之—函數。 3 3.如請求項29之方法,其進一步包含 獲得一與一第二存取點相關聯之第二存取點識別符;及 將使該女全通k會話交遞至該第二存取點之一非特定 交遞請求發送至該第二存取點。 34.如請求項33之方法,其進一步包含 使用至少s亥主瞬時金鑰及該第二存取點識別符而產生 131005.doc 200910826 一第二主會話金鑰;及 使用該第二主會話金鑰而將該安全通信會話交遞至該 第二存取點。 3 5.如請求項34之方法,其中該第二主會話金鑰為一用於兮 存取終端機與該第二存取點之間的通信之短期、鍵路特 定金鑰。 36·如請求項34之方法,其進一步包含: 接收一由該第一存取點產生之第二相關聯之值,其中 α亥苐一主會话金鑰亦為該第二相關聯之值之一函數。 37·如请求項34之方法,其進一步包含: 接收一由該鑑認器產生之第二相關聯之值,其中該第 一主會活金输亦為該第二相關聯之值之一函數。 38_如請求項33之方法,其中該交遞請求省略該第二存取點 識別符。 " 39. —種存取終端機,其包含: 一記憶體;及 一處理H,其與該記憶體耗接,該處理器經組態以: 由一鑑認器基於與該存取終端機相關聯之至少—頂 級主金錄而建立一主瞬時金鑰; 獲仔一與一第一存取點相關聯之存取點識別符; 點將建立—安全通信會話之—請求發送至該第-存取 作為至少該主瞬時金鑰及該第—存取點識別符之— 函數而產生一第一主會話金鑰;且 I3l005.doc 200910826 使用該第-I會話金餘 安全通信會話。 …亥第-存取點之該 4〇.=求項39之存取終端機,該處理器經進-步組態以: j收一由該第一存取點產生之第-相關聯之值,其中 3亥弟一主會話金錄亦為該第—相關聯之值之-函數。 41. 如請求項40之存取終端機,農 ^ T該第—相關聯之值包括 該第一存取點之一網際絪敗 J丨不、肩路協定(ip)或媒體存取控制 (MAC)位址中之至少—者, 及4第一主會話金鑰亦為該 IP位址或該MAC位址之一函數。 42. 如請求項39之存取終端機,該處理器經進—步組態以: 接收一由該鑑認器產;Φ M 座玍之弟—相關聯之值,其中該第 一主會話金鑰亦為該第一相關聯之值之一函數。 43. 如請求項39之存取終端機,該處理器經進一步組態以: 獲得-與-第二存取點相關聯之第二存取點識別符;且 將使該安全通信會話交遞至該第二存取點之一非特定 交遞請求發送至該第二存取點。 44. 如a求項43之存取終端機,該處理器經進一步組態以·· 使用至少該主瞬時金鑰及該第二存取點識別符而產生 一第二主會話金錄;且 使用該第二主會話金鑰而將該安全通信會話交遞至該 第二存取點。 45.如請求項44之存取終端機,其中該第二主會話金鑰為一 用於該存取終端機與該第二存取點之間的通信之短期、 鏈路特定金鑰。 131005.doc -9- 200910826 46.如請求項44之存取終端機,該處理器經進—步組態以: 接收一由該第一存取點產生之第二相關聯之值其中 該第二主會話金鑰亦為該第二相關聯之值之—函數。 47·如請求項44之存取終端機’該處理器經進—步組態以: 接收一由該鑑認器產生之第二相關聯之值,其中該第 一主會話金鑰亦為該第二相關聯之值之一函數。 48·如請求項43之存取終端機’其中該交遞請求省略該第二 存取點識別符。 一 49. 一種存取終端機,其包含: 用於由一鑑認器基於與該存取終端機相關聯之至少一 頂級主金鑰而建立一主瞬時金鑰之構件; 用於獲得一與一第一存取點相關聯之存取點識別符之 取點之構件; 用於作為至少該主瞬時金铪万兮笼 了鱼蝙及邊第—存取點識別符之 一函數而產生一第一主會話金鑰之構件;及 =於使用該第-主會話金鑰而建立與該第—存取點之 該安全通信會話之構件。 5〇.如請求項49之存取終端機,其進一步包含·· 用於接收一由該第一存取點甚4少结 子取點產生之第一相關聯之值之 構件,其中該第一主會話金 爾刀馬δ亥弟一相關聯之值之 一函數。 51·如請求項49之存取終端機,其進一步包含: 131005.doc 200910826 用於接收一由該鑑認器產生之第—相關聯之值之構 件其中β亥第-主會話金餘亦為該第—相關聯之值之一 函數。 52·如請求項49之存取終端機,其進一步包含: 用於獲得一與一第二存取點相關聯之第二存取點識別 付之構件;及 用於將使該安全通信會話交遞至該第二存取點之一非 特定交遞請求發送至該第二存取點之構件。 53. 如請求項52之存取終端機,其進一步包含: 用於使用至少該主瞬時金輪及該第二存取點識別符而 產生一第二主會話金鑰之構件;及 用於使用該第一主會話金鑰而將該安全通信會話交遞 至該第二存取點之構件。 54. 如請求項53之存取終端機,其中該第二主會話金鑰為一 用於該存取終端機與該第二存取點之間的通信之短期、 鏈路特定金錄。 55_如請求項53之存取終端機,其進一步包含: 用於接收一由該第一存取點產生之第二相關聯之值之 構件,其中該第二主會話金鑰亦為該第二相關聯之值之 一函數。 56·如凊求項53之存取終端機,其進—步包含: 用於接收一由該鑑認器產生之第二相關聯之值之構 件,其中該第二主會話金鑰亦為該第二相關聯之值之一 函數。 13t005.doc -11 - 200910826 57. 一種處理器可讀媒體,豆台会矸士 貝卡賤八已3了由一或多個處理器使用 之指令’該等指令包含: 用於由一鑑認器基於與存取終端機相關聯之至少—頂 級主金錄而建立一主瞬時金錄之指令; 用於k传-與-第-存取點相關聯之存取點識別符之 請求發送至該第—存 用於將建立一安全通信會話之一 取點之指令;58.用於作為至少該主瞬時金繪及該第—存取點識別符之 一函數而產生一第一主會話金鑰之指令;及 :使用玄第一主會活金輪而建立與該第一存取點之 該安全通信會話之指令。 如請求項57之處理器可讀媒體,其進一步包含: 匕=於接收—由該第—存取點產生之第—相關聯之值之 ^ /、中5亥第一主會話金鑰亦為該第一相關聯之值之 一函數。 5 9.如明求項57之處理器可讀媒體,其進一步包含: 八用於接收—由該鑑認器產生之第一相關聯之值之指 其中D亥第一主會話金錄亦為該第一相關聯之值之一 函數。 6〇·如印求項57之處理器可讀媒體,其進—步包含: 於獲得一與一第二存取點相關聯之第二存取點識別 符之指令;及 用於將使6亥安全通信會話交遞至該第二存取點之一非 131005.doc -12- 200910826 特定交遞請求發送至該第二存取點之指令。 61. 如請求項60之處理器可讀媒體,其進-步包含: 用於使用至少該主瞬時金鑰及該第二存取點識別符而 產生弟一主會話金鑰之指令;及 ;使用該弟一主會話金鑰而將該安全通信會話交遞 至该第二存取點之指令。 62. 如財項61之處理器可讀媒體,其中該第二主會話金錄 為—用於該存取終端機與該第二存取點之間的通信之短 期、鏈路特定金鑰。 13 63. 如請求項61之處理器可讀媒體,其進一步包含: 二於:收一由該第一存取點產生之第二相關聯之值之 中該第一主會話金鑰亦為該第二相關聯之值之 一函數。 64. 士 π求項6i之處理器可讀媒體,其進一步包含: 八用於接收一由該鑑認器產生之第二相關聯之值之指 ,、中該第—主會話金鑰亦為該第二相關聯之值之一 函數。 〜值您 65. 一種處理器,其包含: 處理電路,其經組態以 由—鑑認器基於與存取終端機相關 丰么公二士 土夕—頂級 金鑰而建立一主瞬時金鑰; 獲得一與—第一存取點相關聯之存取點識別符; 將建立-安全通信會話之一請求發送寸’ 點; X乐一存取 131005.doc -13- 200910826 ~主瞬時金鑰及該第—存取點識別符之一 函數而產生-第—主會話金餘;且 使用該弟一主备t壬么达工奋 — 金鑰而建立與該第一存取點之該 安全通信會話。 h求項65之處理器,該處理電路經進一步組態以: 接收-由該第—存取點產生之第一相關聯之值,盆中 该第一主金鑰亦為該第-相關聯之值之-函數。 “求項65之處理器,該處理電路經進一步組態以: 接收-由該鐘認器產生之第一相關聯之值,其中該第 -主會話金鑰亦為該第一相關聯之值之一函數。 68. 如請^項65之處理器,該處理電路經進-步組態以: ^付與第_存取點相關聯之第二存取點識別符,·且 將使該安全通信會話交遞至該第二存取點之一非特定 交遞請求發送至該第二存取點。 69. 如請求項68之處理器,該處理電路經進—步組態以: 使用至少該主瞬時金输及該第二存取點識別冑而產生 一第二主會話金鑰;且 使用該第二主會話金鑰而將該安全通信會話交遞至該 第二存取點。 ~ 70. 如請求項69之處理器,其中該第二主會話金鑰為一用於 該存取終端機與該第二存取點之間的通信之短期'鍵路 特定金鑰。 131005.doc -14-
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US91403307P | 2007-04-26 | 2007-04-26 | |
US12/109,082 US10091648B2 (en) | 2007-04-26 | 2008-04-24 | Method and apparatus for new key derivation upon handoff in wireless networks |
Publications (2)
Publication Number | Publication Date |
---|---|
TW200910826A true TW200910826A (en) | 2009-03-01 |
TWI390893B TWI390893B (zh) | 2013-03-21 |
Family
ID=39886999
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW097115441A TWI390893B (zh) | 2007-04-26 | 2008-04-25 | 於無線網路中用於交遞後導出新金鑰之方法及裝置 |
Country Status (16)
Country | Link |
---|---|
US (3) | US10091648B2 (zh) |
EP (2) | EP2143236B1 (zh) |
JP (1) | JP5209703B2 (zh) |
KR (1) | KR101124190B1 (zh) |
CN (1) | CN101669379B (zh) |
AU (1) | AU2008245604B2 (zh) |
BR (2) | BRPI0811965B1 (zh) |
CA (1) | CA2682813C (zh) |
HK (1) | HK1140353A1 (zh) |
IL (1) | IL201413A0 (zh) |
MX (1) | MX2009011374A (zh) |
MY (1) | MY157777A (zh) |
RU (1) | RU2443063C2 (zh) |
TW (1) | TWI390893B (zh) |
UA (1) | UA93791C2 (zh) |
WO (1) | WO2008134564A1 (zh) |
Families Citing this family (52)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10091648B2 (en) | 2007-04-26 | 2018-10-02 | Qualcomm Incorporated | Method and apparatus for new key derivation upon handoff in wireless networks |
CN101400059B (zh) * | 2007-09-28 | 2010-12-08 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
WO2009128011A1 (en) * | 2008-04-14 | 2009-10-22 | Philips Intellectual Property & Standards Gmbh | Method for distributed identification, a station in a network |
US8474023B2 (en) * | 2008-05-30 | 2013-06-25 | Juniper Networks, Inc. | Proactive credential caching |
JP4465015B2 (ja) * | 2008-06-20 | 2010-05-19 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法 |
AU2011226982B2 (en) * | 2008-06-20 | 2012-03-15 | Ntt Docomo, Inc. | Mobile communication method and mobile station |
CN101616408B (zh) * | 2008-06-23 | 2012-04-18 | 华为技术有限公司 | 密钥衍生方法、设备及系统 |
US8131296B2 (en) * | 2008-08-21 | 2012-03-06 | Industrial Technology Research Institute | Method and system for handover authentication |
TWI410105B (zh) * | 2008-12-01 | 2013-09-21 | Inst Information Industry | 無線網路架構之行動台、存取台、閘道裝置、基地台及其握手方法 |
US8990569B2 (en) * | 2008-12-03 | 2015-03-24 | Verizon Patent And Licensing Inc. | Secure communication session setup |
US8826376B2 (en) * | 2009-03-10 | 2014-09-02 | Alcatel Lucent | Communication of session-specific information to user equipment from an access network |
CN101902735A (zh) * | 2009-05-25 | 2010-12-01 | 中兴通讯股份有限公司 | 基于电力线的WiMax系统的网络密钥发送方法及装置 |
US8861737B2 (en) * | 2009-05-28 | 2014-10-14 | Qualcomm Incorporated | Trust establishment from forward link only to non-forward link only devices |
US8774411B2 (en) * | 2009-05-29 | 2014-07-08 | Alcatel Lucent | Session key generation and distribution with multiple security associations per protocol instance |
US8345609B2 (en) * | 2009-08-04 | 2013-01-01 | Sony Corporation | System, apparatus and method for proactively re-assessing the availability and quality of surrounding channels for infrastructure operation in wireless mesh nodes |
US8300578B2 (en) * | 2009-08-04 | 2012-10-30 | Sony Corporation | System, apparatus and method for seamless roaming through the use of routing update messages |
US8351451B2 (en) * | 2009-08-04 | 2013-01-08 | Sony Corporation | System, apparatus and method for managing AP selection and signal quality |
US8555063B2 (en) | 2009-09-30 | 2013-10-08 | Qualcomm Incorporated | Method for establishing a wireless link key between a remote device and a group device |
KR101700448B1 (ko) | 2009-10-27 | 2017-01-26 | 삼성전자주식회사 | 이동 통신 시스템에서 보안 관리 시스템 및 방법 |
US8630416B2 (en) | 2009-12-21 | 2014-01-14 | Intel Corporation | Wireless device and method for rekeying with reduced packet loss for high-throughput wireless communications |
US8751803B2 (en) * | 2010-05-25 | 2014-06-10 | Ralink Technology Corporation | Auto provisioning method in wireless communication network |
US8737354B2 (en) * | 2011-01-10 | 2014-05-27 | Alcatel Lucent | Method of data path switching during inter-radio access technology handover |
US9439067B2 (en) * | 2011-09-12 | 2016-09-06 | George Cherian | Systems and methods of performing link setup and authentication |
KR101931601B1 (ko) * | 2011-11-17 | 2019-03-13 | 삼성전자주식회사 | 무선 통신 시스템에서 단말과의 통신 인증을 위한 보안키 관리하는 방법 및 장치 |
KR101901448B1 (ko) * | 2012-02-07 | 2018-09-21 | 엘지전자 주식회사 | 스테이션과 엑세스 포인트의 결합 방법 및 장치 |
JP2014033282A (ja) * | 2012-08-01 | 2014-02-20 | Ricoh Co Ltd | 通信方法、無線通信装置及びプログラム |
EP3474607A1 (en) * | 2012-08-31 | 2019-04-24 | Sony Corporation | Communication control apparatus, terminal apparatus, communication control method, program, and communication control system |
KR101964142B1 (ko) * | 2012-10-25 | 2019-08-07 | 삼성전자주식회사 | 무선 통신 시스템에서 다중 기지국 협력 통신에 사용하는 단말의 통신 인증을 위한 보안키를 관리하는 방법 및 장치 |
CN104871511A (zh) * | 2012-12-19 | 2015-08-26 | 瑞典爱立信有限公司 | 通过标签加注进行设备认证 |
US9326144B2 (en) * | 2013-02-21 | 2016-04-26 | Fortinet, Inc. | Restricting broadcast and multicast traffic in a wireless network to a VLAN |
US9520939B2 (en) * | 2013-03-06 | 2016-12-13 | Qualcomm Incorporated | Methods and apparatus for using visible light communications for controlling access to an area |
US9712324B2 (en) * | 2013-03-19 | 2017-07-18 | Forcepoint Federal Llc | Methods and apparatuses for reducing or eliminating unauthorized access to tethered data |
US9426649B2 (en) * | 2014-01-30 | 2016-08-23 | Intel IP Corporation | Apparatus, system and method of securing communications of a user equipment (UE) in a wireless local area network |
US20160366707A1 (en) * | 2014-03-24 | 2016-12-15 | Intel IP Corporation | Apparatus, system and method of securing communications of a user equipment (ue) in a wireless local area network |
CN103987042A (zh) * | 2014-05-08 | 2014-08-13 | 中国联合网络通信集团有限公司 | 一种终端的接入认证方法及接入网关 |
US9667625B2 (en) * | 2014-07-10 | 2017-05-30 | Ricoh Company, Ltd. | Access control method, authentication method, and authentication device |
US9585013B2 (en) | 2014-10-29 | 2017-02-28 | Alcatel Lucent | Generation of multiple shared keys by user equipment and base station using key expansion multiplier |
US9843928B2 (en) * | 2014-10-30 | 2017-12-12 | Motorola Solutions, Inc. | Method and apparatus for connecting a communication device to a deployable network without compromising authentication keys |
US10045261B2 (en) | 2014-12-10 | 2018-08-07 | Intel Corporation | Methods, systems, and devices for handover in multi-cell integrated networks |
CN104540133B (zh) * | 2015-01-16 | 2018-10-26 | 北京智谷睿拓技术服务有限公司 | 接入控制方法及接入控制装置 |
US9769661B2 (en) * | 2015-04-06 | 2017-09-19 | Qualcomm, Incorporated | Wireless network fast authentication / association using re-association object |
WO2017095278A1 (en) * | 2015-11-30 | 2017-06-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Wireless communication device (wcd) forwarding its own wcd context for handover |
US11172415B2 (en) * | 2015-11-30 | 2021-11-09 | Time Warner Cable Enterprises Llc | Wireless communication management and handoffs |
US10681541B2 (en) * | 2016-04-29 | 2020-06-09 | Nokia Technologies Oy | Security key usage across handover that keeps the same wireless termination |
CN107040922B (zh) * | 2016-05-05 | 2019-11-26 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及系统 |
US10630659B2 (en) * | 2016-09-30 | 2020-04-21 | Nicira, Inc. | Scalable security key architecture for network encryption |
US10587401B2 (en) * | 2017-04-03 | 2020-03-10 | Salesforce.Com, Inc. | Secure handling of customer-supplied encryption secrets |
FR3077175A1 (fr) * | 2018-01-19 | 2019-07-26 | Orange | Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif |
CN109462875B (zh) * | 2019-01-16 | 2020-10-27 | 展讯通信(上海)有限公司 | 无线漫游方法、接入点装置以及移动台 |
CN112399412B (zh) | 2019-08-19 | 2023-03-21 | 阿里巴巴集团控股有限公司 | 会话建立的方法及装置、通信系统 |
US11979376B2 (en) * | 2020-06-30 | 2024-05-07 | Microsoft Technology Licensing, Llc | Method and system of securing VPN communications |
KR20220084601A (ko) * | 2020-12-14 | 2022-06-21 | 삼성전자주식회사 | 차세대 이동 통신 시스템에서 ho를 고려한 pki기반 as 인증 방법 |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4933971A (en) * | 1989-03-14 | 1990-06-12 | Tandem Computers Incorporated | Method for encrypting transmitted data using a unique key |
US7257836B1 (en) | 2000-04-24 | 2007-08-14 | Microsoft Corporation | Security link management in dynamic networks |
WO2003092218A1 (en) | 2002-04-26 | 2003-11-06 | Thomson Licensing S.A. | Transitive authentication authorization accounting in interworking between access networks |
US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
GB0226661D0 (en) | 2002-11-15 | 2002-12-24 | Koninkl Philips Electronics Nv | Asynchronous communication system |
US7624270B2 (en) * | 2002-11-26 | 2009-11-24 | Cisco Technology, Inc. | Inter subnet roaming system and method |
US7350077B2 (en) | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
US7263357B2 (en) * | 2003-01-14 | 2007-08-28 | Samsung Electronics Co., Ltd. | Method for fast roaming in a wireless network |
US20040236939A1 (en) * | 2003-02-20 | 2004-11-25 | Docomo Communications Laboratories Usa, Inc. | Wireless network handoff key |
CN1262126C (zh) * | 2003-07-01 | 2006-06-28 | 株式会社日立制作所 | 无线局域网的越区切换方法 |
EP1531645A1 (en) * | 2003-11-12 | 2005-05-18 | Matsushita Electric Industrial Co., Ltd. | Context transfer in a communication network comprising plural heterogeneous access networks |
WO2006016260A2 (en) * | 2004-08-11 | 2006-02-16 | Nokia Corporation | Apparatus, and associated method, for facilitating secure, make-before-break hand-off in a radio communication system |
US7236477B2 (en) * | 2004-10-15 | 2007-06-26 | Motorola, Inc. | Method for performing authenticated handover in a wireless local area network |
US8281132B2 (en) | 2004-11-29 | 2012-10-02 | Broadcom Corporation | Method and apparatus for security over multiple interfaces |
CN101951383B (zh) | 2005-01-27 | 2013-06-19 | 美商内数位科技公司 | 使用未由他人分享联合随机衍生秘钥方法及系统 |
FI20050393A0 (fi) * | 2005-04-15 | 2005-04-15 | Nokia Corp | Avainmateriaalin vaihto |
US7873352B2 (en) * | 2005-05-10 | 2011-01-18 | Hewlett-Packard Company | Fast roaming in a wireless network using per-STA pairwise master keys shared across participating access points |
US8621201B2 (en) * | 2005-06-29 | 2013-12-31 | Telecom Italia S.P.A. | Short authentication procedure in wireless data communications networks |
US7602918B2 (en) * | 2005-06-30 | 2009-10-13 | Alcatel-Lucent Usa Inc. | Method for distributing security keys during hand-off in a wireless communication system |
WO2007004051A1 (en) * | 2005-07-06 | 2007-01-11 | Nokia Corporation | Secure session keys context |
US7483409B2 (en) * | 2005-12-30 | 2009-01-27 | Motorola, Inc. | Wireless router assisted security handoff (WRASH) in a multi-hop wireless network |
US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
US8948395B2 (en) * | 2006-08-24 | 2015-02-03 | Qualcomm Incorporated | Systems and methods for key management for wireless communications systems |
US10091648B2 (en) | 2007-04-26 | 2018-10-02 | Qualcomm Incorporated | Method and apparatus for new key derivation upon handoff in wireless networks |
-
2008
- 2008-04-24 US US12/109,082 patent/US10091648B2/en active Active
- 2008-04-25 EP EP08746955.7A patent/EP2143236B1/en active Active
- 2008-04-25 KR KR1020097024571A patent/KR101124190B1/ko active IP Right Grant
- 2008-04-25 JP JP2010506537A patent/JP5209703B2/ja active Active
- 2008-04-25 UA UAA200911921A patent/UA93791C2/ru unknown
- 2008-04-25 CN CN200880013610.8A patent/CN101669379B/zh active Active
- 2008-04-25 MX MX2009011374A patent/MX2009011374A/es active IP Right Grant
- 2008-04-25 BR BRPI0811965-1A patent/BRPI0811965B1/pt active IP Right Grant
- 2008-04-25 RU RU2009143679/07A patent/RU2443063C2/ru active
- 2008-04-25 WO PCT/US2008/061645 patent/WO2008134564A1/en active Application Filing
- 2008-04-25 BR BR122019024787-0A patent/BR122019024787B1/pt active IP Right Grant
- 2008-04-25 CA CA2682813A patent/CA2682813C/en active Active
- 2008-04-25 AU AU2008245604A patent/AU2008245604B2/en active Active
- 2008-04-25 MY MYPI20094022A patent/MY157777A/en unknown
- 2008-04-25 EP EP10001502.3A patent/EP2184933B1/en active Active
- 2008-04-25 TW TW097115441A patent/TWI390893B/zh active
-
2009
- 2009-10-11 IL IL201413A patent/IL201413A0/en active IP Right Grant
-
2010
- 2010-06-29 HK HK10106357.2A patent/HK1140353A1/zh unknown
-
2017
- 2017-08-09 US US15/672,636 patent/US10085148B2/en active Active
-
2018
- 2018-09-21 US US16/138,742 patent/US10412583B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
KR101124190B1 (ko) | 2012-05-23 |
RU2443063C2 (ru) | 2012-02-20 |
TWI390893B (zh) | 2013-03-21 |
CA2682813A1 (en) | 2008-11-06 |
IL201413A0 (en) | 2010-05-31 |
EP2184933A2 (en) | 2010-05-12 |
EP2184933A3 (en) | 2013-10-09 |
AU2008245604B2 (en) | 2011-02-10 |
US10091648B2 (en) | 2018-10-02 |
EP2184933B1 (en) | 2018-07-25 |
US20080267407A1 (en) | 2008-10-30 |
UA93791C2 (ru) | 2011-03-10 |
EP2143236B1 (en) | 2017-02-15 |
WO2008134564A1 (en) | 2008-11-06 |
RU2009143679A (ru) | 2011-06-10 |
US20190028889A1 (en) | 2019-01-24 |
CN101669379B (zh) | 2014-06-25 |
MX2009011374A (es) | 2009-11-09 |
JP2010525764A (ja) | 2010-07-22 |
AU2008245604A1 (en) | 2008-11-06 |
US20170339558A1 (en) | 2017-11-23 |
CA2682813C (en) | 2014-03-11 |
CN101669379A (zh) | 2010-03-10 |
EP2143236A1 (en) | 2010-01-13 |
BRPI0811965A2 (pt) | 2016-10-04 |
HK1140353A1 (zh) | 2010-10-08 |
BRPI0811965B1 (pt) | 2020-02-18 |
US10085148B2 (en) | 2018-09-25 |
BR122019024787B1 (pt) | 2020-06-16 |
MY157777A (en) | 2016-07-29 |
KR20100007913A (ko) | 2010-01-22 |
JP5209703B2 (ja) | 2013-06-12 |
US10412583B2 (en) | 2019-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TW200910826A (en) | A method and apparatus for new key derivation upon handoff in wireless networks | |
TWI393414B (zh) | 安全交談金鑰上下文 | |
US20190075462A1 (en) | User profile, policy, and pmip key distribution in a wireless communication network | |
US8838972B2 (en) | Exchange of key material | |
US7900039B2 (en) | TLS session management method in SUPL-based positioning system | |
US7158777B2 (en) | Authentication method for fast handover in a wireless local area network | |
JP4965655B2 (ja) | 無線通信システム用の鍵管理のためのシステムおよび方法 | |
US8646055B2 (en) | Method and system for pre-shared-key-based network security access control | |
TW200915805A (en) | Methods and apparatus for providing PMIP key hierarchy in wireless communication networks | |
EP1705828B1 (en) | A method of obtaining the user identification for the network application entity | |
JP5290323B2 (ja) | 無線アクセス技術及び移動ip基盤の移動性制御技術が適用された次世代のネットワーク環境のための統合ハンドオーバー認証方法 | |
EP2074739A2 (en) | Cryptographic key management in communication networks | |
TW200917713A (en) | Heterogeneous wireless ad hoc network | |
TW200917871A (en) | Handoff in ad-hoc mobile broadband networks | |
US20040066764A1 (en) | System and method for resource authorizations during handovers | |
US20130196708A1 (en) | Propagation of Leveled Key to Neighborhood Network Devices | |
CN111787533A (zh) | 加密方法、切片管理方法、终端及接入和移动性管理实体 | |
WO2019001169A1 (zh) | 一种基于身份代理群签名的PMIPv6认证系统及方法 | |
KR20100021690A (ko) | 이동 통신 시스템의 인증과 비계층 프로토콜 보안 운영을 효율적으로 지원하는 관리 방법 및 시스템 | |
WO2017206125A1 (zh) | 网络连接方法、安全节点的确定方法及装置 | |
WO2019024937A1 (zh) | 密钥协商方法、装置及系统 | |
EP4061038A1 (en) | Wireless network switching method and device | |
GB2551358A (en) | Low latency security | |
Zubair et al. | SIDP: a secure inter-domain distributed PMIPv6 | |
CN116321158A (zh) | 基于证书的本地ue认证 |