TW200913613A - Method and apparatus for efficient support for multiple authentications - Google Patents

Description

200913613 九、發明說明： 【發明所屬之技術領域】 本發明大體上係關於無線通信，且更特定言之係關於多 重驗證。 本專利申請案主張2007年5月7日所申請之名為"METHOD AND APPARATUS FOR EFFICIENT SUPPORT FOR MULTIPLE AUTHENTICATIONS"的美國臨時申請案第60/916,530號之優 先權，且該案已讓予給本受讓人且在此以引用之方式明確 地併入本文中。 【先前技術】 廣泛地布署無線通信系統以提供各種類型之通信内容 (諸如語音、資料等）。此等系統可為能夠藉由共用可用系 統資源（例如，頻寬及傳輸功率）來支援與多個使用者之通 信的多重存取系統。此等多重存取系統之實例包括分碼多 重存取（CDMA)系統、分時多重存取（TDMA)系統、分頻多 重存取（FDMA)系統、3GPP LTE系統及正交分頻多重存取 (OFDMA)系統。 通常，無線多重存取通信系統可同時支援多個無線終端 機之通信。每一終端機經由前向鏈路及反向鏈路上之傳輸 而與一或多個基地台進行通信。前向鏈路（或下行鏈路）指 代自基地台至終端機之通信鏈路，且反向鏈路（或上行鍵 路）指代自終端機至基地台之通信鏈路。可經由單入單 出、多入單出或多入多出（ΜΙΜΟ)系統而建立此通信鍵 路0 131264.doc 200913613 【發明内容】 本發明之一態樣可在於一種用於無線通信系統中之多重 ΕΑΡ式驗證之方法。在該方法中，在第一類型存取的第一 ΕΑΡ式驗證中產生第一主會話密鑰（MSK)。自第一主會話 密鑰（MSK)產生第一臨時會話密鑰（TSK)。使用第一臨時 會話密鑰（TSK)執行第二類型存取的第二ΕΑΡ式驗證。在 成功完成第一及第二ΕΑΡ式驗證之後提供第一類型存取及 第二類型存取。 在本發明之更詳細態樣中，該方法可進一步包含在第二 ΕΑΡ式驗證中產生第二主會話密鑰（MSK)。又，該方法可 進一步包含自第二主會話密鑰（MSK)產生第二臨時會話密 鑰（TSK)。第二臨時會話密鑰（TSK)可用於第三驗證中。或 者，該方法可進一步包含若在第二ΕΑΡ式驗證中未產生第 二主會話密鑰（MSK)則使用第一臨時會話密鑰（TSK)以用 於第三ΕΑΡ式驗證。第一及第二ΕΑΡ式驗證可為單一會話 之部分。 在本發明之其他更詳細態樣中，該方法可進一步包含產 生指示符訊息以指示第一及第二ΕΑΡ式驗證是否成功完 成。指示符訊息可具有值1以指示第一及第二ΕΑΡ式驗證 之成功完成，及值〇以指示第一及第二ΕΑΡ式驗證未完 成。指示符訊息可為ValidPMKExists旗標。 另外，第一 ΕΑΡ式驗證可包括ΕΑΡ請求/識別碼訊息，其 包括第一驗證類型，且第二ΕΑΡ式驗證可包括ΕΑΡ請求/識 別碼訊息，其包括第二驗證類型。該方法可進一步包含在 131264.doc 200913613 第一 ΕΑΡ式驗證中產生第一特定域根密鑰（DSRK)，在第二 ΕΑΡ式驗證中產生第二特定域根密鑰（DSRK)，及使用第一 DSRK及第二DSRK中的至少一者執行第一類型存取或第二 類型存取中之至少一者之基於ΕΑΡ的重新驗證。第一類型 存取可與存取終端機（AT)相關聯，且第二類型存取可與使 用者相關聯。或者，第一類型存取與特定器件相關聯，且 第二類型存取與特定伺服器相關聯。又，第一類型存取可 包含對無線電網路之存取，且第二類型存取可包含經由網 際網路服務業者（ISP)之存取。 本發明之另一態樣可在於一種可在無線通信系統中操作 之用於多重ΕΑΡ式驗證的裝置，該裝置包含：用於在第一 類型存取的第一 ΕΑΡ式驗證中產生第一主會話密鑰（MSK) 的構件，用於自第一主會話密鑰（MSK)產生第一臨時會話 密鑰（TSK)的構件，用於使用第一臨時會話密鑰（TSK)執行 第二類型存取之第二ΕΑΡ式驗證的構件，及用於在成功完 成第一及第二ΕΑΡ式驗證之後提供第一類型存取及第二類 型存取的構件。 本發明之又一態樣可在於一種包含電腦可讀媒體之電腦 程式產品，該電腦可讀媒體包含：用於使電腦在第一類型 存取的第一ΕΑΡ式驗證中產生第一主會話密鑰（MSK)的程 式碼，用於使電腦自第一主會話密鑰（MSK)產生第一臨時 會話密鑰（TSK)的程式碼，用於使電腦使用第一臨時會話 密鑰（TSK)執行第二類型存取的第二ΕΑΡ式驗證的程式 碼，及用於使電腦在成功完成第一及第二ΕΑΡ式驗證之後 131264.doc 200913613 提供第一類型存取及第二類型存取的程式碼。 本發明之又一態樣可在於一種可在無線通信系統中操作 之用於進行多重ΕΑΡ式驗證之裝置，該裝置包含處理器， 其經組態以：在第一類型存取的第一 ΕΑΡ式驗證中產生第 一主會話密鑰（MSK)，自第一主會話密鑰（MSK)產生第一 臨時會話密鑰（TSK)，使用第一臨時會話密鑰（TSK)執行第 二類型存取的第二ΕΑΡ式驗證，在成功完成第一及第二 ΕΑΡ式驗證之後提供第一類型存取及第二類型存取；及記 憶體，其耦接至處理器以用於儲存資料。 【實施方式】 結合圖式，本揭示案之特徵、性質及優勢自以下闡述之 詳細描述將變得顯而易見，其中相似參考符號貫穿其中識 別相應元件。 本文中所描述之技術可用於各種無線通信網路，諸如分 碼多重存取（CDMA)網路、分時多重存取（TDMA)網路、分 頻多重存取（FDMA)網路、正交FDMA(OFDMA)網路、單 一載波FDMA(SC-FDMA)網路等等。常常可互換地使用術 語”網路”及”系統”。CDMA系統可實施諸如通用陸地無線 電存取（Universal Terrestrial Radio Access, UTRA)、 cdma2000等等之無線電技術。UTRA包括寬頻CDMA(W-CDMA)及低碼片速率（LCR)。cdma2000 覆蓋 IS-2000、IS-95及IS-85 6標準。TDMA網路可實施諸如全球行動通信系 統（GSM)之無線電技術。OFDMA網路可實施諸如演進 UTRA(E-UTRA)、IEEE 802.11、IEEE 802.16、IEEE 802.20、 131264.doc 200913613

Flash-OFDM等等之無線電技術。UTRA、Ε-UTRA及GSM 為通用行動通信系統（UMTS)之部分。長期演進（Long Term Evolution, LTE)為UMTS的即將發布之版本，其使用E-UTRA。 UTRA、Ε-UTRA、GSM、UMTS及LTE描述於來自名為”第 三代合作夥伴計劃’’（3GPP)之組織的文獻中。cdma2000描 述於來自名為”第三代合作夥伴計劃2"(3GPP2)之組織的文 件中。此等各種無線電技術及標準在此項技術中已知。為 清楚起見，在以下針對LTE來描述技術之某些態樣，且 LTE術語用於以下大部分描述中。 使用單一載波調變及頻域等化之單一載波分頻多重存取 (SC-FDMA)為一種技術。SC-FDMA具有與OFDMA系統相 似之效能及基本上相同的總複雜度。SC-FDMA信號由於 其固有單一載波結構而具有較低峰值對平均值功率比 (PAPR)。SC-FDMA已吸弓|極大注意力，尤其在較低PAPR 可極大地使行動終端機在傳輸功率效率方面受益之上行鏈 路通信中。其當前為3GPP長期演進（LTE)或演進UTRA中 的上行鏈路多重存取的有效假設方案。 參看圖1，說明根據一實施例之多重存取無線通信系 統。存取點100(AP)包括多個天線群組、一者包括104及 106，另一者包括108及110，且額外一者包括112及114。 在圖1中，針對每一天線群組僅展示兩個天線，然而，更 多或更少天線可用於每一天線群組。存取終端機Π 6(AT) 與天線112及114通信，其中天線112及114經由前向鏈路 120傳輸資訊至存取終端機116且經由反向鏈路118自存取 131264.doc -10- 200913613 終端機116接收資訊。存取終端機122與天線1〇6及1〇8通 k，其中天線106及108經由前向鏈路126傳輸資訊至存取 終端機122且經由反向鏈路124自存取終端機122接收資 訊。在分頻雙工（FDD)系統中，通信鏈路118、12〇、124及 126可使用不同頻率進行通信。舉例而言，前向鏈路可 使用一與反向鏈路118所使用之頻率不同的頻率。 存取點T為用於與終端機通信之固冑台且亦可稱作存取 點、節點B或某其他術語。存取終端機（at)亦可稱為存取 終端機、使用者設備（UE)、無線通信器件、終端機、存取 終端機或某其他術語。 例如存取終端機之ϋ件之驗證確保了㈣權之器件、使 =等：夠存取特定網路。驗證可指代器件驗證、服務驗 " 實例中，對於特定會話可需要多重驗證。舉例 ^對於某扇區中的網路存取，可f要驗證器件及飼服 取=例如’當ATf要執行至無線電存取網路業者的存 另一音η Λ ’’業者的驗證時可需要多重驗證。在 歹'，可執行器件及使用者驗證。本文中所揭干t 實例減小存取終 奉文中所揭不之 存取的可能性。 仃斤有必要驗證之情形下獲得 產：：：中’當需要多重驗證(例如，兩重驗證)時，可 弟1輸且將其用於編碼 输，將其用以編碼/解碼，且接著^ 2者了產生第一密 一實例中，可H 接者可組合該等密鑰。在另 證中產生第1鑰，且接著使=驗'中，可在第-驗 在弟一驗證中產生之密鑰 I31264.doc 200913613 執行第二驗證。在此實例中，無需組合密鑰，且此可導致 通信系統中較簡單的驗證實施。 多重驗證可彼此繫結，其中來自最新驗證之臨時會話密 鑰（TSK)保護後續驗證。舉例而言，在第二驗證中可能需 要第一驗證中產生之TSK。在另一實例中，在重新驗證之 狀況下，可能需要僅存在單一驗證。 本文中所揭示之實例提供多重驗證支援。在一實例中， 可能需要繫結用於安全性之驗證。此處，存取節點或驗證 器必需使AT僅在已成功完成所有驗證之後獲得服務。在另 一實例中，提供有效率的重新驗證，其中無需重複多重驗 證。 圖3說明依次執行之多重驗證之實例。如所說明，不受 阻礙地完成初始ΕΑΡ交換，用於ΕΑΡ請求/識別碼（驗證類 型）。隨後，確保會話安全。在圖3中，第一驗證必需產生 密鑰。換言之，強制產生主會話密鑰（MSK)，此處， ’•MSK1”。隨後，密鑰交換協定（ΚΕΡ)產生臨時會話密鑰 (TSK)，例如，得自MSK(如所說明，MSK1)之TSK1。在第 一驗證之後導出之TSK保護第二ΕΑΡ驗證。若兩個或兩個 以上驗證產生密鑰，則最新MSK變為當前MSK。在一實例 中，第二驗證可產生或可不產生第二MSK。若第二驗證中 產生第二MSK，則ΚΕΡ使用第二MSK產生第二TSK，例 如，TSK2。第二TSK可接著用於後續訊息（所產生資料）之 保護。若在第二驗證中未產生第二MSK，則仍可使用先前 產生之TSK，例如，TSK1。 131264.doc 12· 200913613

以圖3之實例繼續，伺服無線電網路控制器（S-RNC)迫使 KEP使用當前MSK。S-RNC使用ValidPMKExists旗標來對 其他有效集合成員指示兩個驗證是否完成。新的有效集合 成員在執行ERP(EAP重新驗證協定）及/或KEP(空中介面密 鑰交換協定）之前等待會話更新（ValidPMKExists旗標打 開）。ValidPMKExists旗標可在1與0之間雙態觸發，其中1 指示兩個會話皆完成且0代表其未完成。會話可包含若干 驗證。舉例而言，可能需要第三驗證。此處，可產生第三 MSK且由KEP使用以導出第三TSK。若在第三驗證中未產 生第三MSK，則可使用先前TSK，例如TSK2、TSK

Previous 等等。 新的有效集合成員可執行ERP，但可接著等待直至 ValidPMKExists旗標變為打開之後才執行KEP。在實例 中，若ΕΑΡ方法中之僅一者產生密鑰，則可允許ERP交換 以使另一 eBS使用由第一 ΕΑΡ方法建立之DSRK進行。然 而，直至AT完成所有必要驗證，方可允許AT存取網路。 因此，可延遲KEP交換直至AT完成所有必要驗證。在另_ 實例中，若一個以上ΕΑΡ方法產生密鑰，則ERP亦使用上 一所產生之DSRK執行。 圖4說明多重驗證及特定域根密鑰（DSRK)使用之實例。 DSRK可用於重新驗證。如所說明，來自上一 ΕΑΡ交換之 DSRK可用於重新驗證。AAA-L不可使DSRK相互關聯且儲 存兩者。預期AT使用正確DSRK。 在另一態樣中，不當行為之AT可結束向S-NRC的第一驗 131264.doc • 13· 200913613 證。亦可將AN添加至有效集合。此處，其可藉由MSKl’ 自S-RNC獲得會話或藉由DSRK1進行ERP。AAA-L不知曉 AT是否已結束多重驗證。 減輕可處於空中介面層，或經由背端網路伺服器。在空 中介面層，S-RNC預期AT結束預期數目之驗證。S-RNC可 對新AN賦予會話，但在會話中，存在將指示仍未建立 PMK之ValidPMKExists旗標。S-RNC可對任何AN賦予會 話，因為在完成ΕΑΡ之前，getsession不能含有安全小型文 字檔。此處，S-RNC將確保在完成ΕΑΡ(—或多個）之後更 新會話。新AN將在執行ERP(可選）及ΚΕΡ之前等待另一會 話更新（此旗標值經雙態觸發）。另外，在建立TSK之前， 新AN將不允許資料轉移。 經由背端網路伺服器，S-RNC預期AT結束預期數目之驗 證。若AT結束少於預期數目之驗證，貝S-RNC可關閉會話 或發送通知至持有DSRK之AAA-L。此處，AAA-L發送通 知到可能已自DSRK導出rMSk之任何AN。AN接著關閉與 AT之未授權會話。 再次參看圖1，每一天線群組及/或其經設計以通信之區 域常常稱作存取點之扇區。在該實施例中，天線群組各自 經設計以與由存取點1 〇〇覆蓋之區域的扇區中之存取終端 機進行通信。 圖2為ΜΙΜΟ系統200中之發射器系統210(亦稱為存取點） 及接收器系統250(亦稱為存取終端機）之實施例的方塊圖。 在發射器系統210處，將許多資料流之訊務資料自資料源 131264.doc -14- 200913613 21 2提供至傳輸（TX)資料處理器214。 在實施例中，經由各別傳輸天線傳輸每一資料流。ΤΧ 資料處理器214基於為各資料流選擇之特定編碼方案格式 化、編碼及交錯彼資料流之訊務資料，以提供經編碼資 料。 各資料流之經編碼資料可使用OFDM技術與導頻資料多 工。導頻資料通常為以已知方式處理且可於接收器系統處 用以估計頻道響應之已知資料樣式。接著基於為各資料流 選擇之調變方案（例如BPSK、QSPK、M-PSK或M-QAM)而 調變彼資料流之經多工導頻與編碼資料，以提供調變符 號。各資料流之資料速率、編碼及調變可由處理器230執 行之指令來判定。 接著將用於所有資料流之調變符號提供至ΤΧ ΜΙΜΟ處 理器220，該ΤΧ ΜΙΜΟ處理器220可進一步處理調變符號 (例如，OFDM)。接著，ΤΧ ΜΙΜΟ處理器220將Ντ個調變 符號流提供至Ντ個發射器（TMTR)222a至222t。在某些實施 例中，ΤΧ ΜΙΜΟ處理器220將波束成型權重應用於資料流 之符號及藉以傳輸符號之天線。 各發射器222接收及處理各別符號流以提供一或多個類 比信號，且進一步調節（如放大、過濾及降頻轉換）類比信 號以提供適合經由ΜΙΜΟ頻道傳輸之經調變信號。接著分 別自Ντ個天線224a至224t傳輸來自發射器222a至222t之Ντ 個調變信號。 在接收器系統250處，由NR個天線252a至252r接收所傳 131264.doc -15- 200913613 輸之調變信號並將來自每一天線252之所接收信號提供至 各別接收器（RCVR)254a至254r。每一接收器254調節（例 如’過濾、放大及降頻轉換）各別所接收信號、數位化經 調節之信號以提供樣本，並進一步處理樣本以提供相應„ 經接收”符號流。 RX責料處理器260接著基於一特定接收器處理技術接收 及處理來自NR個接收器254之NR個接收符號流，以提供^ 個"偵測”符號流。接著，RX資料處理器26〇解調變、解交 錯並解碼每一所偵測之符號流以恢復資料流之訊務資料。 由RX貧料處理器26〇所進行之處理與由發射器系統21〇處 的ΤΧ ΜΙΜΟ處理器22〇及τχ資料處理器所執行之處理 互補。 處理器270週期性地確定將使用哪一預編碼矩陣（在下文 論述）。處理器270制定包含矩陣索引部分及秩值部分之反 向鍵路訊息。 反向鏈路訊息可包含各種類型的關於通信鏈路及/或所 接收之資料流的資訊◊反向鏈路訊息接著由了乂資料處理 器238(其亦接收來自資料源236之許多資料流的訊務資料） 來處理、由調變器280來調變、由發射器25乜至25扣來調 節並傳輸回至發射器系統21〇。 在發射器系統210處，來自接收器系統25〇之經調變信號 由天線224接收，由接收器222調節，由解調變器24〇解調 變’且由RX資料處理器242處理以摘取由接收器系統25〇 傳輸之反向鏈路訊息。_器23〇接著確$使用哪一預編 131264.doc -16- 200913613 碼矩陣以詩衫波束成型權重，接著處理所擷取訊息。 應理解，所揭示的過程中之步驟之特定次序或階層架構 為例示性方法之實例。應瞭解，基於設計偏好，可重新排 _ °私中之步驟的特^次序或階層架構’同時保持在本揭 丁案的㈣内°隨附方法項以樣本次序呈現各種步驟之要 素：且其並不意謂限於所呈現之特定次序或階層架構。 熟:此項技術者將理解，可制多種不同技藝及技術中 :任一者來表示資訊及信號。舉例而言，可藉由電壓、電 流：電磁波、磁場或粒子、光場或粒子、或其任何組合來 表不可貫穿以上描述而引用的資料、指令、命令、資訊、 信號、位元、符號及碼片。 ' “熟習該項技術者將進一步瞭解結合本文中所揭示實施例 犏述之各種例不性邏輯區塊、模組、電路及演算法步驟可 實把為電子硬體、電腦軟體或兩者之組合。為清楚地說明 硬體與軟體之此# ttL » _ 了互換性，在上文中已大體上根據各種例 件區塊、模組、電路及步驟之功能性而對其進行 述此功此性是實施為硬體還是軟體取決於特殊應用 強力於正個系統上之設計約束。熟習此項技術者可以變 化之方式針對每—特定應用實施所描述之魏性，但此等 實施決策不應解譯為引起偏離本發明之範缚。 可以通用處理器、數位信號處理器(DSp)、特殊應用積 體電路(ASIC)、場可程式化閘陣列(FpGA)或其他可程式化 邏輯裝置、離散閘或電晶體邏輯、離散硬體組件或經設計 乂執行本文中所述之功能的其任何組合而實施或執行結合 131264.doc -17· 200913613 本文十所揭示之眘竑点，工』 實施例而描述的各種說明性邏 組及電路。通用處理器可為微處理器，但在替 Η理器可為任何習知處理器、控制== 態1幾。相器亦可實施為計算設備之組合，例如= 微处理盗之組合、複數個微處理器、與DSP核心結合之」 或多個微處理器，或任何其他此組態。 — 在或多個例示性實施例中，所描述之 體、軟體、韌體戍豆杯人+ 只把於硬 將該等功能作為實施於軟體中，則可 媒體上或經由—電牙《可^二 錯存於電腦可讀 電腦儲存媒輸。電腦可讀媒體包括 、 通信媒體（包括促進電腦程式自一位置韓 移至另-位置的任何媒體)。儲存媒體可為可由電腦存= 之壬7了用媒體。作為實例而非限制，此等電腦可讀媒體 I包含 為磁碟錯存器或其他磁性儲存裝置或可用於載運或 所要程式碼U指令或資料結構之形式且可由電腦存取）的 任何其他媒體。又，可將任何連接恰當地稱為電腦可讀媒 體。舉例而言’若使用同轴電纜、光纜、雙絞線、數位用 戶線(DSL)或無線技術(諸如紅外線、無線電及微幻而自 網站、飼服器或其他遠端源傳輸軟體，則將同軸電境、光 纜、雙絞線、DSL或無線技術（諸如紅外線、無線電及微 波）包括於媒體之定義中。於本文中使用時，磁碟及光碟 包括緊密光碟(CD)、雷射光碟、光碟、數位化通用光碟 ，D)、軟性磁碟及藍光光碟，其中磁碟通常以磁性之方 131264.doc -18- 200913613 式再現貧料，而光碟藉由雷射以光學之方式再現資料。亦 應將以上之組合包括於電腦可讀媒體之範嘴内。 結合本文中所揭示之實施例而描述的方法或演算法之步 驟可直接體現於硬體中、由處理器所執行之軟體模組中或 該兩者之組合中。軟體模組可駐存於Ram記憶體、快閃記 憶體、刪記憶體、職咖己憶體、eepr〇m記憶體、暫 1硬碟、抽取式碟片、CD_R〇M，或此項技術中已知 何其他幵/式的儲存媒體中。將例示性儲存媒體麵接至 處理器，使得處理器可自儲存媒體讀取資訊或將資訊寫至 健存媒體。在替代性實施例中，儲存媒體可整合至處理 器。處理器及儲存媒體可駐留_IC中。asic可駐留於 使用者終端機中。在替枝管始办,丨士 ^ 在朁代實轭例中，處理器及儲存媒體可 作為離散組件而駐留於使用者終端機中。 提供所揭示之實施例的前述描述以使任何熟習此項技術 者能夠製作或使用本揭示案。熟習此項技術者將顯而易見 對此等實施例之各種修改，且本文所界定之一般原理可在 不偏離本揭示之精神或㈣之情況下應用於其他實施例。 因此，本揭示案並非意欲限於本文所示之實施例，而應符 合與本文所揭示之原理及新賴特徵—致的最廣_。 【圖式簡單說明】 圖1說明根據-實施例之多重存取無線通信系統； 圖2為通信系統之方塊圖； 圖3說明多重驗證之實例；及 圖4說明多重驗證及DSRK使用之實例 131264.doc 19 200913613 【主要元件符號說明】 100 存取點 104 天線 106 天線 108 天線 110 天線 112 天線 114 天線 116 存取終端機 118 反向鏈路 120 前向鏈路 122 存取終端機 124 反向鏈路 126 前向鏈路 200 ΜΙΜΟ 系統 210 發射器系統 212 資料源 214 傳輸（ΤΧ)資料處理器 220 ΤΧ ΜΙΜΟ處理器 222a 發射器 222t 發射器 224a 天線 224t 天線 230 處理器 131264.doc -20- 200913613 232 記憶體 236 資料源 238 TX資料處理器 240 解調變器 242 RX資料處理器 250 接收器系統 252a 天線 252r 天線 254a 接收器 254r 接收器 260 RX資料處理器 270 處理器 272 記憶體 280 調變器 131264.doc -21

Claims (1)

1. 200913613 十、申請專利範圍： 1 · 一種用於一無線通信系統中之多重ΕΑΡ式驗證的方法， 該方法包含： 在一第一類型存取的一第一 ΕΑΡ式驗證中產生一第一 主會話密鑰（MSK); 自該第一主會話密鑰（MSK)產生一第一臨時會話密鑰 (TSK); 使用該第一臨時會話密鑰（TSK)執行一第二類型存取 的一第二ΕΑΡ式驗證；及 在成功完成該第一及該第二ΕΑΡ式驗證之後提供第一 類型存取及第二類型存取。 2. 如請求項1之用於多重ΕΑΡ式驗證的方法，其進一步包含 在該第二基於ΕΑΡ的驗證中產生一第二主會話密鑰 (MSK)。 3. 如請求項2之用於多重ΕΑΡ式驗證的方法，其進一步包含 自該第二主會話密鑰（MSK)產生一第二臨時會話密鑰 (TSK)。 4. 如請求項3之用於多重ΕΑΡ式驗證的方法，其中該第二臨 - 時會話密鑰（TSK)用於一第三基於ΕΑΡ的驗證中。 5. 如請求項1之用於多重ΕΑΡ式驗證的方法，其進一步包含 若在該基於ΕΑΡ的第二驗證中未產生一第二主會話密鑰 (MSK)則使用該第一臨時會話密鑰（TSK)以用於一第三 ΕΑΡ式驗證。 6. 如請求項1之用於多重ΕΑΡ式驗證的方法，其中該第一及 131264.doc 200913613 該第二基於ΕΑΡ的驗證為一單一會話之部分。 7. 如請求項1之用於多重ΕΑΡ式驗證的方法，其進一步包含 產生一指示符訊息以指示該第一及該第二基於ΕΑΡ的驗 證是否成功完成。 8. 如請求項7之用於多重ΕΑΡ式驗證的方法，其中該指示符 訊息具有一值1以指示該第一及該第二基於ΕΑΡ的驗證之 成功完成，及一值0以指示該第一及該第二ΕΑΡ式驗證未 完成。 9. 如請求項8之用於多重ΕΑΡ式驗證的方法，其中該指示符 訊息為一 ValidPMKExists旗標。 I 0.如請求項1之用於多重ΕΑΡ式驗證的方法，其進一步包含 產生一指示符訊息以指示多重基於ΕΑΡ的驗證是否成功 完成。 II ·如請求項1之用於多重ΕΑΡ式驗證的方法，其中該第一基 於ΕΑΡ的驗證包括一 ΕΑΡ言青求/識別碼訊息，其包括一第 一驗證類型，且該第二ΕΑΡ式驗證包括一 ΕΑΡ請求/識別 碼訊息，其包括一第二驗證類型。 1 2.如請求項1之用於多重ΕΑΡ式驗證的方法，其進一步包 含： 在該第一 ΕΑΡ式驗證中產生一第一特定域根密鑰 (DSRK)； 在該第二ΕΑΡ式驗證中產生一第二特定域根密鑰 (DSRK)； 使用該第一DSRK及該第二DSRK中之至少一者執行該 131264.doc 200913613 第一類型存取或該第二類型存取中之至少一者的一 eap 式重新驗證。 13. 如請求項1之用於多重ΕΑΡ式驗證的方法，其中該第—類 型存取與一存取終端機（AT)相關聯，且第二類型存取與 一使用者相關聯。 14. 如請求項1之用於多重ΕΑΡ式驗證的方法，其中該第—類 型存取包含對一無線電網路之存取，且第二類型存取包 含經由一網際網路服務業者（ISP)之存取。 1 5.如請求項1之用於多重ΕΑΡ式驗證的方法，其中該第—類 型存取與一特定器件相關聯，且第二類型存取與一特定 伺服器相關聯。 1 6 _ —種可在一無線通信系統中操作之用於多重eap式驗證 的裝置，該裝置包含： 用於在一第一類型存取的一第一 ΕΑΡ式驗證中產生一 第一主會話密鑰（MSK)的構件； 用於自該第一主會話密鑰（MSK)產生一第一臨時會話 密鑰（TSK)的構件； 用於使用該第一臨時會話密鑰（TSK)執行一第二類型 存取的一第二ΕΑΡ式驗證的構件；及 用於在成功完成該第一及該第二ΕΑΡ式驗證之後提供 第一類型存取及第二類型存取的構件。 17.如請求項ι6之用於多重eap式驗證的裝置，其進一步包 含用於在該第二ΕΑΡ式驗證中產生一第二主會話密鑰 (MSΚ)的構件。 13l264.doc 200913613 18. 如請求項17之用於多重ΕΑΡ式驗證的裝置，其進一步包 含用於自該第二主會話密鑰（MSK)產生一第二臨時會話 密鑰（TSK)的構件。 19. 如請求項18之用於多重ΕΑΡ式驗證的裝置，其中該第二 臨時會話密鑰（TSK)用於一第三基於ΕΑΡ的驗證中。 20. 如請求項16之用於多重ΕΑΡ式驗證的裝置，其進一步包 含用於若在該第二ΕΑΡ式驗證中未產生一第二主會話密 鑰（MSK)則使用該第一臨時會話密鑰（TSK)以用於一第三 ΕΑΡ式驗證的構件。 21. 如請求項16之用於多重ΕΑΡ式驗證的裝置，其中該第一 及該第二ΕΑΡ式驗證為一單一會話之部分。 22. 如請求項16之用於多重ΕΑΡ式驗證的裝置，其進一步包 含用於產生一指示符訊息以指示該第一及該第二ΕΑΡ式 驗證是否成功完成的構件。 23. 如請求項22之用於多重ΕΑΡ式驗證的裝置，其中該指示 符訊息具有一值1以指示該第一及該第二ΕΑΡ式驗證之成 功完成，及一值〇以指示該第一及該第二ΕΑΡ式驗證未完 成。 24. 如請求項23之用於多重ΕΑΡ式驗證的裝置，其中該指示 符訊息為一 ValidPMKExists旗標。 25. 如請求項16之用於多重ΕΑΡ式驗證的裝置，其進一步包 含用於產生一指示符訊息以指示多重ΕΑΡ式驗證是否成 功完成的構件。 26. 如請求項16之用於多重ΕΑΡ式驗證的裝置，其中該第一 131264.doc 200913613 ΕΑΡ式驗證包括一 EAP請求/識別碼訊息，其包括—第一 驗證類型，且該第二ΕΑΡ式驗證包括_E 弟 ό bAP明求，識別碼 訊心’其包括一第二驗證類型。 27. 28. 29. 30. 31. 如請求項16之用於多重基於EAP驗證的裝置，其 包含： "一步 第一特定域根密鑰 第二特定域根密錄 用於在該第一 ΕΑΡ式驗證中產生一 (DSRK)的構件； 用於在該第二ΕΑΡ式驗證中產生一 (DSRK)的構件； 用於使用該第一DSRK及該第二DSRKf之至少—者執 行該第一類型存取或該第二類型存取中之至少—者的一 ΕΑΡ式重新驗證的構件。 如請求項16之用於多重ΕΑΡ式驗證的裝置，其中該第一 類型存取與一存取終端機（AT)相關聯，且第二類型存取 與一使用者相關聯。 如凊求項16之用於多重EAp式驗證的裝置，其中該第一 類型存取包含對-無線電網路之存取，且第三類型存取 包含經由一網際網路服務業者（ISP)之存取。 如请求項16之用於多重EAp式驗證的装置，其甲該第一 類型存取與一特定器件相關聯，且第二類型存取與一特 定伺服器相關聯。 一種電腦程式產品，其包含： 電腦可讀媒體，其包含： 用於使一電腦在—第一類型存取的一第一 EAp式驗 131264.doc 200913613 證中產生一第一主會話密鑰（MSK)的程式碼； 用於使一電腦自該第一主會話密鑰（MSK)產生一第 一臨時會話密錄（TSK)的程式碼； 用於使一電腦使用該第一臨時會話密鑰（TSK)執行 一第二類型存取的一第二ΕΑΡ式驗證的程式碼；及 用於使一電腦在成功完成該第一及該第二ΕΑΡ式驗 證之後提供第一類型存取及第二類型存取的程式碼。 32.如請求項3 1之電腦程式產品，其進一步包含用於使一電 腦在該第二ΕΑΡ式驗證中產生一第二主會話密鑰（MSK) 的程式瑪。 3 3.如請求項32之電腦程式產品，其進一步包含用於使一電 腦自該第二主會話密鑰（MSK)產生一第二臨時會話密鑰 (TSK)的程式碼。 3 4.如請求項3 3之電腦程式產品，其中該第二臨時會話密鑰 (TSK)用於一第三ΕΑΡ式驗證中。 3 5.如請求項31之電腦程式產品，其進一步包含用於若在該 第二ΕΑΡ式驗證中未產生一第二主會話密鑰（MSK)則使 一電腦使用該第一臨時會話密鑰（TSK)以用於一第三ΕΑΡ 式驗證的程式碼。 3 6.如請求項3 1之電腦程式產品，其中該第一及該第二ΕΑΡ 式驗證為一單一會話之部分。 3 7.如請求項3 1之電腦程式產品，其進一步包含用於使一電 腦產生一指示符訊息以指示該第一及該第二ΕΑΡ式驗證 是否成功完成的程式碼。 131264.doc 200913613 3 8，如請求項3 7之電腦程式產品，其中該指示符訊息具有一 值1以指示該第一及該第二基於Εαρ的驗證之成功完成， 及一值0以指示該第一及該第二ΕΑΡ式驗證未完成。 39. 如請求項38之電腦程式產品，其中該指示符訊息為一 ValidPMKExists旗標。 40. 如請求項31之電腦程式產品，其進一步包含用於使一電 腦產生一指示符訊息以指示多重ΕΑΡ式驗證是否成功完 成之程式碼。 4 1 ·如請求項3 1之電腦程式產品，其中該第—ΕΑρ式驗證包 括一 ΕΑΡ請求/識別碼訊息，其包括一第—驗證類型，且 該第二ΕΑΡ式驗證包括一 ΕΑρ請求/識別碼訊息，其包括 一第二驗證類型。 42.如請求項3 1之電腦程式產品，其進一步包含： 用於使一電腦在該第一 ΕΑΡ式驗證中產生一第一特定 域根松、錄（D S RK)的程式碼； 用於使一電腦在該第二ΕΑΡ式驗證中產生一第二特定 域根密鑰（DSRK)的程式碼；及 用於使一電腦使用該第一 08汉尺及該第二DSRK中之至 少一者執行該第一類型存取或該第二類型存取中之至少 一者的一 ΕΑΡ式重新驗證的程式碼。 43·如請求項31之電腦程式產品，其中該第—類型存取與一 存取終端機（AT)相關聯，且第二類型存取與一使用者相 關聯。 44.如請求項31之電腦程式產品，其中該第一類型存取包含 131264.doc 200913613 對一無線電網路之存取，且第二類型存取包含經由一網 際網路服務業者（ISP)之存取。 45. 如請求項3 1之電腦程式產品，其中該第一類型存取與一 特定器件相關聯，且第二類型存取與一特定伺服器相關 聯。 46. —種可在一無線通信系統中操作之用於多重ΕΑΡ式驗證 的裝置，該裝置包含： 一處理器，其經組態以： 在一第一類型存取的一第一 ΕΑΡ式驗證中產生一第 一主會話密鑰（MSK); 自該第一主會話密錄（MSK)產生一第一臨時會話密 鑰（TSK); 使用該第一臨時會話密鑰（TSK)執行一第二類型存 取的一第二ΕΑΡ式驗證；及 在成功完成該第一及該第二ΕΑΡ式驗證之後提供第 一類型存取及第二類型存取，及 一記憶體，其耦接至該處理器以用於儲存資料。 47. 如請求項46之用於多重ΕΑΡ式驗證的裝置，該處理器進 一步經組態以在該第二ΕΑΡ式驗證中產生一第二主會話 密鑰（MSK)。 48. 如請求項47之用於多重ΕΑΡ式驗證的裝置，該處理器進 一步經組態以自該第二主會話密鑰（MSK)產生一第二臨 時會話密錄（TSK)。 49. 如請求項48之用於多重ΕΑΡ式驗證的裝置，其中該第二 131264.doc 200913613 臨時會話密鑰（TSK)用於一第三基於ΕΑΡ的驗證中。 50.如請求項46之用於多重ΕΑΡ式驗證的裝置，該處理器進 一步經組態以若在該第二ΕΑΡ式驗證中未產生一第二主 會話密鑰（MSK)則使用該第一臨時會話密鑰（TSK)以用於 一第三ΕΑΡ式驗證。 5 1.如請求項46之用於多重ΕΑΡ式驗證的裝置，其中該第一 及該第二ΕΑΡ式驗證為一單一會話之部分。 52. 如請求項46之用於多重ΕΑΡ式驗證的裝置，該處理器進 一步經組態以產生一指示符訊息以指示該第一及該第二 ΕΑΡ式驗證是否成功完成。 53. 如請求項52之用於多重ΕΑΡ式驗證的裝置，其中該指示 符訊息具有一值1以指示該第一及該第二ΕΑΡ式驗證之成 功完成，及一值〇以指示該第一及該第二ΕΑΡ式驗證未完 成。 54. 如請求項53之用於多重ΕΑΡ式驗證的裝置，其中該指示 符訊息為一 ValidPMKExists旗標。 5 5.如請求項46之用於多重ΕΑΡ式驗證的裝置，該處理器進 一步經組態以產生一指示符訊息以指示多重ΕΑΡ式驗證 是否成功完成。 5 6.如請求項46之用於多重ΕΑΡ式驗證的裝置，其中該第一 ΕΑΡ式驗證包括一 ΕΑΡ請求/識別碼訊息，其包括一第一 驗證類型，且該第二ΕΑΡ式驗證包括一 ΕΑΡ請求/識別碼 訊息，其包括一第二驗證類型。 57.如請求項46之用於多重ΕΑΡ式驗證的裝置，該處理器進 131264.doc 200913613 一步經組態以： 在該第一 ΕΑΡ式驗證中產生一第一特定域根密鑰 (DSRK)； 在該第二ΕΑΡ式驗證中產生一第二特定域根密鑰 (DSRK)； - 使用該第一DSRK及該第二DSRK中之至少一者執行該 . 第一類型存取或該第二類型存取中之至少一者的一 ΕΑΡ 式重新驗證。 58.如請求項46之用於多重ΕΑΡ式驗證的裝置，其中該第一 類型存取與一存取終端機（AT)相關聯，且第二類型存取 與一使用者相關聯。 5 9.如請求項46之用於多重ΕΑΡ式驗證的裝置，其中該第一 類型存取包含對一無線電網路之存取，且第二類型存取 包含經由一網際網路服務業者（ISP)之存取。 60.如請求項46之用於多重ΕΑΡ式驗證的裝置，其中該第一 類型存取與一特定器件相關聯，且第二類型存取與一特 定伺服器相關聯。 131264.doc -10-