TW201127099A - Apparatus and method for over-the-air (OTA) provisioning of authentication and key agreement (AKA) credentials between two access systems - Google Patents

Apparatus and method for over-the-air (OTA) provisioning of authentication and key agreement (AKA) credentials between two access systems Download PDF

Info

Publication number
TW201127099A
TW201127099A TW099115029A TW99115029A TW201127099A TW 201127099 A TW201127099 A TW 201127099A TW 099115029 A TW099115029 A TW 099115029A TW 99115029 A TW99115029 A TW 99115029A TW 201127099 A TW201127099 A TW 201127099A
Authority
TW
Taiwan
Prior art keywords
authentication
access system
over
access
aka
Prior art date
Application number
TW099115029A
Other languages
English (en)
Inventor
Anand Palanigounder
John Wallace Nasielski
Gregory Gordon Rose
Young Cheul Yoon
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of TW201127099A publication Critical patent/TW201127099A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • H04W8/205Transfer to or from user equipment or user record carrier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data
    • H04W8/245Transfer of terminal data from a network towards a terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Description

201127099 六、發明說明: 根據專利法主張優先權 本專利申請案主張於2009年5月11曰提出申請的、名 稱為「METHOD FOR OVER-THE-AIR ( OTA ) PROVISIONING OF 3GPP AUTHENTICATION AND KEY AGREEMENT ( AKA) CREDENTIALS USING CDMA2000 SYSTEMS」的臨時申請第61/177,132號的優先權,該臨時 申請已經轉讓給其受讓人,特此以引用的方式將該臨時申 請明確地併入本文中。 【發明所屬之技術領域】 各態樣係關於用於具有3GPP及/或3GPP2能力的存取設 備的3GPP認證身份碼的空中傳輸(OTA )供給。 【先前技術】 無線通訊系統被廣泛部署來提供各種類型的通訊内 容,諸如語音和資料等。該等系統可以是能夠藉由共享可 用系統資源(例如頻寬和發射功率)來支援與多個使用者 的通訊的多工存取系統。該種多工存取系統的實例包括分 碼多工存取(CDMA )系統、分時多工存取(TDMA )系 統、分頻多工存取(FDMA)系統、3GPP長期進化(LTE) 系統、通用行動電信系統(UMTS )、行動通訊全球系統 (GSM)和正交分頻多工存取(OFDMA)系統。 CDMA2000系統(例如lx、演進資料最佳化「EV/DO」 /高速率封包資料「HRPD」)使用空中傳輸服務供給 201127099 (OTASP )和空中傳輸網際網路協定(IP )( IOTA )( Internet Protocol (IP) over-the-air )來進行用於認證的認證參數(諸 如身份、密鑰等)的OTA供給。 但是,諸如eHPRD、LTE的演進型存取系統,諸如通用 行動電信系統(UMTS) /高速封包存取(HSPA)的3GPP 存取系統,及更新的GSM系統使用3GPP認證和密鑰協商 (AKA )認證方法來將3 GPP核心網用於認證。諸如AKA 的該等3GPP認證方法假定已經在存取設備上預先配置了 要在該認證方法中使用的認證身份碼。因此,認證當前要 求在設備可以存取服務之前要在該設備上預先配置認證 身份碼。通常,在例如以下應用的應用上預先配置認證身 份碼:在諸如通用積體電路卡(UICC )的智慧卡上的通用 用戶身份模組(USIM )或CDMA通用用戶身份模組 (CSIM ) 〇但是,認證身份碼亦可以被安全地儲存在該設 備上(例如儲存在安全儲存設備中),和該設備本身的執 行環境或置信環境(TrE )中。此可以特別用於使用非3GPP 存取的設備,諸如具有演進HRPD ( eHPRD )或甚至某些 3GPP存取能力的設備,該等設備可能不支援諸如UICC的 智慧卡用於認證。 因為用於3GPP認證的當前方法要求存取設備被預先配 置有用於連接到符合3GPP的核心網的認證身份碼,因此 通常需要在設備製造時選擇服務供應商,及/或需要在可以 獲得服務之前獨立地獲取智慧卡。而且,若在任何點損害 了身份碼,則幾乎不可能使用當前的方法來對其進行改 201127099 變。因此,一旦損害了身份碼,則必須購買新的設備。 因此’在本領域中需要一種在現有的設備上供給或替換 3GP遇證身份碼的方式。因為有更多的使用無線系統來進 行通訊的機器對機器的設備正在出現,所以該種能力將變 得更重要。 【發明内容】 本文所描述的各態樣藉由提供一種用於在製造設備後 隨時供給身份碼的方式來滿足該等需要。因此,若有理由 相信例如由於服務竊取而損害了身份碼,則可以供給新的 身份碼》 各態樣可以包括一種用於空中傳輸供給的方法,該方法 包括:連接到第一存取系統;請求用於第二存取系統的認 證身份碼的空中傳輸供給,其中該第二存取系統缺少空中 傳輸供給程序;經由該第一存取系統來接收用於該第二存 取系統的認證身份碼的空中傳輸供給;連操到該第二存取 系統;及向該第二存取系統提供所供給的認證身份碼,以 便執行向該第二存取系統的認證。 各態樣可以進一步包括一種用於接收空中傳輸供給的 裝置,該裝置包括:發射機,用於連接到第一存取系統和 第二存取系統;處理器,用於從該第一存取系統請求用於 該第二存取系統的認證身份碼的空中傳輸供給,其中該第 二存取系統缺少空中傳輸供給程序;择收機,用於從該第 一存取系統接收用於該第二存取系統的認證身份碼的空 201127099 中傳輸供給;記憶體,用於儲存所接收的用於該第二存取 系統的認證身份碼的空中傳輸供給;及通訊元件’用於向 該第二存取系統提供所供給的認證身份碼’以便執行向該 第二存取系統的認證,從而與該第二存取系統建立連接。 各態樣可以進一步包括:該等認證身份碼是認證和密鑰 協商(AKA)認證身份碼,且該方法進一步包括:使用該 等AKA認證身份碼來執行向該第二存取系統的AKA認 證。 該第二存取系統可以包括3 GPP核心網’而該第一存取 系統是非3GPP核心網。該空中傳輸供給可以包括:使用 基於Diffie-Hellman的協定來建立密鑰’或者使用 Diffie-Hellman協定來交換密碼認證密鑰。所空中傳輸供 給的認證身份碼可以包括以下項中的至少一項:3GPP AKA認證根密錄(K )、AKA認證相關參數或要用於向該 第二存取系統的認證的AKA認證演算法。所空中傳輸供 給的認證身份碼可以包括AKA認證相關參數’並且其中 該等AKA認證相關參數包括以下項中的至少一項:是否 使用f5來進行SQN隱藏,和用於AKA SQN管理的一或多 個S QN號的配置。所空中傳輸供給的認證身份碼包括要用 於向該第二存取系統的認證的AKA認證演算法’並且該 方法進一步包括:從該第一存取系統接收該認證演算法的 空中傳輸定製。該AKA認證演算法可以是MILENAGE ’ 並且其中該認證演算法的定製包括0P或0Pc參數的定 製。該第一存取系統包括CDMA2000系統》該空中傳輸供 201127099 .給可以經由空中傳輸服務供給(0TASP)來接收。該空中 •傳輸供給可以經由空中傳輪網際網路(i〇ta)來接收。 各態樣可以$步包括_種用於接收空中傳輸供給的 裝置,該裝置包括:發射機,用於連接到第-存取系統和 第二存取系統;處理器,用於從該第-存取系統請求用於 該第二存取系統的認證身份碼的空中傳輸供給其中該第 二存取系統缺少空中傳輸供給程序;接收機,用於從該第 存取系統接收用力該第二存取系统的認證身份碼的空 巾傳輸供給;記憶體,用於儲存所接收的用於該第二存取 系統的認證身份碼的空中傳輸供給;及通訊元件,用於向 該第二存取系統提供所供給的認證身份碼,以便執行向該 第二存取系統的認證,從而與該第二存取系統建立連接。 各態樣可以進-步包括一種用於接收空中傳輸供給的 裝置,該裝置包括:用於連接到第一存取系統和第二存取 ? 线的構件;用於請求用於該第二存取系統的認證身份碼 的空中傳輸供給的構件,其中該第二存取系統缺少空中傳 輸供給程序;用於從該第一存取系統接收用於該第二存取 系統的認證身份碼的空中傳輸供給的構件;及用於向該第 二存取线提供所供給的認證身份碼,以便執行向該第二 存取系統的認證的構件。 . 纟態樣可以進-步包括被配置來接收空中傳輸供給的 至少-個處理器,該處理器包括:第一模組,用於連接到 •帛-存取系統;第二模組’用於請求用於第二存取系統的 認證身份碼的空中傳輸供給,其中該第二存取系統缺少空 201127099 中傳輸供給程序,·第三模組’用於從該第一存取系統接收 用於該第二存取系統的認證身份碼的空中傳輸供給;第四 模組’用於連接到該第二存取系統;及第五模組,用於向 該第二存取系統提供所供給的認證身份碼,以便執行向該 第二存取系統的認證。 各態樣可以進一步包括一種電腦程式產品,該電腦程式 產品包括電腦可讀取媒體,該電腦可讀取媒體包括:第一 組代碼,用於使得電腦連接到第一存取系統;第二組代 碼,用於使得電腦請求用於第二存取系統的認證身份碼的 空中傳輸供給,其中該第二存取系統缺少空中傳輸供給程 序;第三組代碼’用於使得電腦接收用於該第二存取系統 的S忍證身份碼的空中傳輸供給;第四組代碼,用於使得電 腦連接到該第二存取系統;及第五組代碼,用於使得電腦 向該第二存取系統提供所供給的認證身份碼,以便執行向 該第二存取系統的認證。 各態樣可以進一步包括一種用於執行空中傳輸供給的 方法,該方法包括:在第一存取系統處接收啟始自存取設 備的撥叫;將該撥叫引導到供給系統;決定該存取設備的 協定能力;及在該存取設備處經由該第一存取系統來執行 認證身份碼的空中傳輸供給,其中該等認證身份碼用於第 二存取系統,該第二存取系統缺少空中傳輸供給程序。 各態樣可以進一步包括一種用於空中傳輸供給的裝 置,該裝置包括:接收機,用於在第—存取系統處接收啟 始自存取設備的撥叫;處理器,用於將該撥叫引導到供給 201127099 系統’並且用於決定該存取設備的協定能力;及發射機, 用於在該存取設備處經由該第—存取系統來執行認證身 份碼的空中傳輸供給’其中該等認證身份碼用於第二存取 系統,該第二存取系統缺少空中傳輸供給程序。 各態樣可以進一步句括一插爾办丄 7匕栝種用於空中傳輸供給的裝 置,該裝置包括:用於在第一存取系統處接收啟始自存取 設備的撥叫的構件;用於將該撥叫引導到供給系統的構 件;用於決定該存取設備的協定能力的構件;及用於在該 存取設備處經由該第一存取系統來執行認證身份碼的空 中傳輸供給的構件,其中該等認證身份碼用於第二存取系 統’該第二存取系統缺少空中傳輸供給程序。 各態樣可以進-步包括被配置來執行空中傳輸供給的 至少一個處理器,該處理器包括:第一模組,用於在第一 存取系統處接收啟始自存取設備的撥叫;第二模組,用於 將該撥叫引導到供給系統;第三模組,用於決定該存取設 備的協定能力;及第四模組,用於在該存取設備處經由該 第一存取系統來執行認證身份碼的空中傳輸供給,其中該 等認證身份碼用於第二存取系統,該第二存取系統缺少空 中傳輸供給程序。 各態樣可以進一步包括一種電腦程式產品,該電腦程式 產品包括電腦可讀取媒體,該電腦可讀取媒體包括:第一 組代碼’用於使得電腦在第一存取系統處接收啟始自存取 設備的撥叫;第二組代碼,用於使得電腦將該撥叫引導到 供給系統;第三組代碼,用於使得電腦決定該存取設備的 201127099 協定能力;及第四組代碼,用於使得電腦在該存取設備處 經由該第一存取系統來執行認證身份碼的空中傳輸供 給,其中該等認證身份碼用於第二存取系統,該第二=取 系統缺少空中傳輸供給程序。 下文闡述了一或多個態樣的簡要概述,以提供對該等態 樣的基本理解。本概述並不是所有涵蓋態樣的詳盡综述了 並且既不意圖標識所有態樣的關鍵或重要要素,亦不意圖 闡明任意或所有態樣的範圍。其唯一目的是以簡化的形式 闡述一或多個態樣的-些概念,作為下文㈣的更詳細的 說明書的序言。 為了實現前述以及相關目標,一或多個態樣包括在後文 中完整描述並在請求項中具體指出的特徵。以下說明書和 附圖詳細闡述了 一或多個態樣的某些說明性的特徵。然 而,該等特徵僅僅指示了可以採用各種態樣的原 理的各種 方式中的少數幾個,並且本說明書意圖包括所有該等態樣 及其等同態樣。 【實施方式】 在本說明書的全文中使用的各種縮寫的說明被包括在 使用該縮寫的第一個實例中,或者可以在詳細描述的結尾 找到。 某些存取系統使用其認證參數的OTA供給。例如,諸如 lx、EVDO/HRPD 的 CDMA2000 系統使用 〇TASP( C.S0016) 和IOTA ( C.S0040)來進行認證參數的〇TA供給。認證參 11 201127099 數可以包括用於認證的身份、密餘等。 相對地,使用AKA認證方法的3Gpp網路當前要求在存 取設備可以連接到3GPP網路和存取3GPP服務之前在該 存取設備上預先配置認證身份碼。諸如在TS 3GPP 33.102 中規定的AKA之類的該等AKA認證方法假定在行動設備 可以存取服務之前在該行動設備上預先配置認證身份 碼,諸如身份、密鑰和要在認證期間使用的認證演算法。 例如,eHRPD ( X.S0057 )使用3GPP演進封包核心來進行 認證,其使用3GPPAKA認證方法並且假定在存取設備上 預先配置了認證身份碼。 本文提供的態樣藉由提供一種使用獨立的存取系統來 在空中傳輸供給必要的3 G P P認證身份碼的方式,克服了 此問題。當存取設備能夠連接到第一存取技術時,該存取 技術可以用於供給存取3GPP網路所需要的3GPP認證身 份碼。例如,能夠存取CDMA2000的存取設備可以使用 OTASP來在3GPP認證之前供給3GPP認證身份碼。例如’ lx可以用於供給3GPP身份碼。在其他態樣中’當可以獲 得IP連接時’可以使用IOTA。雖然描述了用於CDMA、 OTASP和IOTA的實例,但是其他存取技術亦適用於供給 3GPP認證身份碼。存取系統可以是3GPP或非3GPP的。 例如,可以使用 3 GPP.核心網的存取系統特別包括 HRPD/eHRPD ( EV-DO )、LTE、HSPA/UMTS、GSM、全 球互通微波存取(WiMAX )、無線區域網路(WLAN ) ’和 甚至諸如xDSL/電纜數據機的寬頻存取。GSM可以包括其 12 201127099 變化形式的任何一種,其中例如用於封包服務的GPRS或 EDGE。而且,該解決方案適用於連接到由3GPP所規定的 核心網的任何設備。其中該種網路可以包括演進封包核心 網、UMTS核心網和網際網路協定(IP )多媒體系統。 可以OTA供給的3GPP認證身份碼可以包括以下項中的 任意一項:3GPP AKA認證根密鑰(K )、AKA認證相關參 數、妻在3GPP認證中使用的AKA認證演算法、認證演算 法定製參數,該等認證演算法定製參數諸如服務供應商可 變演算法配置(OP )和用於MILENAGE認證演算法的OP 常數(OPc )。OPc包括OP (服務供應商身份碼)與根密 鑰k的組合。此避免了將0P程式編寫到智慧卡中的必要, 其中有可能藉由逆向工程從智慧卡得出OP。AKA認證相 關參數可以特別包括例如:是否使用f 5認證函數來進行序 列號(SQN )隱藏,和用於AKA SQN管理的一或多個SQN 號的配置。其中AKA認證演算法可以是在TS 35.205和 35.306中規定的MILENAGE。MILENAGE認證演算法定製 參數可以特別包括0P或OPc。OP是128位元的服務供應 商可變演算法配置攔位,其用於導出OPc或直接供給 OPc。類似地,其他AKA認證演算法可以使用其本身的定 製#數,其亦可以使用本發明來進行OTA供給。 例如,對於EAP-AKA’,AKA身份碼包括IMSI、128位 元的根密鑰(K )和一組認證函數(「f」函數)。AKA所需 要的f函數是f 1、f 1 *、f2、f3、f4、f5、f5 *。該組f函數 亦被稱為AKA認證演算法函數。被稱為MILENAGE的 13 201127099 AKA演算法由3GPP TS 35.205定義並且用於eHRPD。 服務供應商選擇服務供應商可變演算法配置(OP )或 OPc值。OP是服務供應商可變演算法配置,並且被服務供 應商使用來定製MILENAGE AKA演算法。若OP被配置, 則導出OPc值。MILENAGE亦允許服務供應商直接地配置 OPc。因此,存取系統經由OTASP來賦能進行OP及/或 OPc的配置。 藉以向存取設備提供 OTA供給的存取系統可以是 CDMA2000系統或任何具有IP能力的存取系統。如上所 述,CDMA2000系統使用OTASP和IOTA來供給認證參數。 因此,當IP連接例如經由無線線路或無線系統可用於設 備時,IOTA可以用於配置3GPP認證身份碼參數。IOTA 是可以在支援IP連接的任何存取網路上執行的傳輸協 定。另外,OTASP可以用於配置3GPP認證身份碼。 OTASP (空中傳輸服務供給)可以包括空中傳輸供給以 下特徵的任何一個:號碼分配模組(NAM )操作參數的下 載;用於安全地建立A密鑰和根密鑰的電子密鑰交換;較 佳漫遊的系統選擇(SSPR),用於向行動站提供允許獲取 在區域中的較佳系統的資訊;較佳使用者區列表(PUZL ), 用於向支援選用的使用者區域特徵的行動站提供允許在 區域中使用較佳使用者區的資訊;及,3G封包資料操作參 數的下載。服務程式編寫鎖定(SPL )(若提供)可以防止 由未經授權的網路實體進行的某些行動站參數的空中傳 輸供給。 14 201127099 儘管描述了在CDMA和類比系統中的空中傳輸服務供 給(OTASP)的示例性實施,但是該等程序是可擴展的並 且足夠靈活來用於未來的空中傳輸介面規範。該等程序不 要求支援在CDMA到類比的交遞後進行服務供給處理。 OTASP及/或IOTA供給訊息可以在設備本身終止。另 外,該δχ備可以將該荨訊息中繼到另一安全計算平臺/處理 器,該另一安全計算平臺/處理器連接到具有蜂巢/Ιρ連接 性的設備。該安全計算平臺/處理器可以包括例如智慧卡或 SIM卡,存取設備將認證身份碼資訊中繼到該智慧卡或 SΙΜ 卡。 在一種說明性實施中,存取設備連接到諸如CDMA的無 線無線電介面或連接到IP連接。一旦連接,則該連接用於 執行在存取設備和網路實體之間的Diffie_Hellman密输協 商,並且建立網路存取所需要的根密鑰。該種方法可以用 於供給沒有任何與網路預先共享的資訊的設備。該 Diffie.-Hellman密鑰協商用於供給3GPP認證身份碼。一旦 接收到3GPP認證身份碼,則其可以用於連接到3(}ρρ核 心網。 在另一種說明性實施中,密碼認證的Diffie_HeUman密 鑰協商用於供給存取設備。在該種實施中,可以使用要在 執行密鑰協商的存取設備和網路實體上配置的帶外構 件,經由第二方來提供密碼或者密鑰。密鑰協商可以使用 例如1024位元或2048位元模質數。 3GPP認證身份碼的〇TA供給可以包括:使用包括 15 201127099 OTASP或ι〇ΤΑ的存取技術的AKA演算法定製。每個服務 供應商可以在存取設備和本地網路實體之間使用其自己 的AKA演算法。根據該網路和該設備的能力,可以進行 才曰示或配置,其規定要在該設備和該網路之間使用的演算 法。例如,可以使用MILENAGEe 一旦選擇了演算法則 亦可使用OTASP/IOTA訊息來傳送該等演算法所需要的參 數。該等參數可以包括例如MILENAGE 〇p或〇pc參數。 圖1說明了其中可以進行本文所述的態樣的示例性網路 環境。如K 1中所示’使用者I備(UE)或行動站11〇位 於第一存取系統120和第二存取系統14()的範圍中。注 意,每個存取系統可以包括例如多個存取點基地台。第二 存取系統140缺少空中傳輸供給機制。第一存取系統包括 空中傳輸供給機制。行動站11〇能夠與第一和第二存取系 統通訊。第-存取系統被配置來不僅針對其本身、而且亦 針對缺v工中傳輸供給能力的第二存取系统⑽,來執行 行動站110的空中傳輸供給。行動站被配置來經由第一存 取系統120接收與第二存取系統建立通訊所需要的認證身 份碼的空中傳輸供給。行動站與第—存取系統⑵建立通 訊’並且請求用於第二存取系統的認證身份碼的空中傳輸 供給。 作為回應第存取系統12〇將來自行動站的撥叫引導 到在第一存取系統中的供給元件15〇。在第一存取系統的 協疋月b力决疋g 160處決定行動站的協定能力。然後,第 存取系統120為行動站執行認證身份碼的空中傳輸供 16 1 1201127099 給,其中認證身份碼用於第二存取系統。此可以藉由在第 一存取系統120的認證身份碼元件170來完成。 一旦行動站已經被供給,則行動站建立與第二存取系統 140的連接,並且在第二存取系統的認證元件180對行動 站進行認證。 圖2說明了經由第一存取系統來為存取設備進行認證身 份碼的空中傳輸供給的示例性方法的態樣,其中該等認證 身份碼用於第二存取系統。第一存取系統可以是使用 OTASP或IOTA的CDMA2000系統。該第二存取系統可以 是使用AKA認證方法的3GPP系統。 在201,存取設備連接到第一存取系統。在202,存取 設備從第一存取系統請求認證身份碼的空中傳輸供給。其 中該等認證身份碼用於第二存取系統。在203,存取設備 接收用於第二存取系統的認證身份碼的OTA供給。 用於第二存取系統的認證身份碼的空中傳輸供給可以 包括 Diffie-Hellman 密鑰協商或者密碼認證的 Diffie-Heliman密鑰協商。被供給的認證身份碼可以包括 以下項中的任何一項:3GPP AKA認證根密鑰(K)、AKA 認證相關參數和要在向第二存取系統的認證中使用的 AKA認證演算法。AKA認證相關參數可以包括以下項中 的至少一項:是否使用f5來進行SQN隱藏,或者用於AKA SQN管理的一或多個SQN號的配置。接收空中傳輸供給 的認證身份碼可以進一步包括:從第一存取系統接收AKA 認證演算法的空中傳輸定製。例如,AKA認證演算法可以 17 201127099 是MILENAGE,並且認證演算法的定製可以包括0p或0Pc 參數的定製。 在204,存取設備連接到第二存取系統。在2〇5’存取 設備向第二存取系統提供所供給的認證身份碼’以便執行 向第二存取系統的認證。如上所述,認證身份碼可以是 AKA認證身份碼,並且存取設備可以執行向第二存取系統 的AKA認證,以便存取在第二存取系統處的服務。 圖3說明了在存取設備處經由第一存取系統進行用於第 二存取系統的認證身份碼的OTA供給的示例性方法的態 樣。如上結合圖2所述’第一存取系統可以是使用OTASP 或IOTA的CDMA2000系統。第二存取系統可以是使用 AKA認證方法的3GPP系統。 在301,諸如CDMA2000網路或IP連接存取網路(IP CAN )的第一存取系統接收啟始自存取設備的撥叫。在 302,第一存取系統將撥叫引導到供給系統。可以進一步 在供給系統和存取設備之間交換資訊。在303,第一存取 系統決定存取設備的協定能力。此可以包括向存取設備發 送協定能力請求。 在304,第一存取系統例如經由OTASP/IOTA伺服器為 存取設備執行認證身份碼的OTA供給,其中該等認證身份 碼用於第二存取系統。此可以包括:發送MS密鑰請求和 密鑰產生請求,如圖4中更詳細地說明。 用於第二存取系統的認證身份碼的空中傳輸供給可以 包括 Difjfie-Hellman 密錄協商或者密碼認證的 18 201127099
Diffie-Hellman密输協商。被供給的認證身份碼可以包括 以下項中的任意一項:3GPP AKA認證根密鑰(K)、AKA 認證相關參數或者要在向第二存取系統的認證中使用的 AKA認證演算法。AKA認證相關參數可以包括以下項中 的至少一項:是否使用f5來進行SQN隱藏,或者用於AKA SQN管理的一或多個SQN號的配置。接收空中傳輸供給 的認證身份碼可以進一步包括:從第一存取系統接收AKA 認證演算法的空中傳輸定製。例如’ AKA認證演算法可以 是MILENAGE,並且認證演算法的定製可以包括〇P或〇Pc 參數的定製。 現在將結合圖4和圖5來詳細描述使用OTASP或IOTA 的示例性實施的態樣。該圖示展示可以如何使用諸如
CDMA2000 OTASP的0TA供給協定來供給諸如3GPP AKA 的3GPP認證身份碼。 首先,在401,在存取設備向存取網路啟始撥叫’ §亥存 取設備在此亦可互換地稱為行動站(MS )。圖4說明了 MS 經由OTASP來啟始撥叫,並且存取網路是CDMA2000或 i!P CAN網路。若存取系統是IP CAN ’則可以用IOTA取 代OTASP。在402,存取系統將撥叫重新定向到客戶服務 或供給系統。在403,在MS和客戶服務或供給系統之間 執行資訊交換。該資訊交換可以包括(但不限於):設備 的識別、諸如客戶身份的相關聯預訂資訊的識別、所請求 的服務和計費資訊等。 在404,諸如設備身份(例如行動裝備的MEID/IMEI ’ 19 201127099 或者若智慧卡用於儲存身份碼,則是智慧卡的 ICCID/UIMID )等要供給的資訊,OTASP/IOTA伺服器成 功地向設備供給3GPP認證身份碼所需要的資訊,以及所 允許的網路服務等被從客戶服務或供給系統傳送到 OTASP/IOTA伺服器。然後,在405,OTASP/IOTA伺服器 向MS發送協定能力請求,諸如OTASP_P_REV=0或8。 在406,MS發送擴展的能力回應。例如,此可以包括密鑰 交換或密鑰協商,諸如FEATURE_P_REV值為00000111 及/或 000010000 的 A_KEY_P_PREV,其中 00000111 表示 eHRPD根密鑰供給,000010000表示增強的eHRPD根密鑰 供給,如在以下表3.5.1.7-1中所示。 在407,OTASP/IOTA伺服器決定對MS執行3GPP AKA 身份碼供給。 在408,OTASP/IOTA伺服器向MS發送MS密鑰請求, 諸如 A_KEY_P_REV=00000111 或 0000100。 在409,MS計算行動站結果(MS_RESULT ),如下文更 詳細討論。 在410, MS向OTASP或IOTA伺服器發送MS密鑰回應, 其中 RESULT (結果)=Success (成功)。在 411,OTASP 或IOTA伺服器計算BS—RESULT,亦即基地台結果,如下 文更詳細討論。
在412,OTASP/IOTA伺服器發送例如具有]BS_RESULT 的密鑰產生請求。在413,MS計算3GPP根密鑰,諸如 eHRPD根密鑰。在414,MS發送例如具有MS_RESULT 20 201127099 的密鑰產生響應。在415,OTASP/IOTA伺服器計算3GPP AKA根密鑰。在416,OTASP/IOTA伺服器決定是否執行 AKA演算法供給或 AKA演算法定製。在 417,從 OTASP/IOTA向MS發送MS連接到3GPP網路所需要的 3GPP認證身份碼。然後,MS準備好執行向使用AKA來 進行認證的任何3GPP或3GPP2系統的AKA認辱。 圖5說明了可以結合在圖4中說明的供給來執行的、使 用OTASP/IOTA進行的AKA演算法定製的示例性態樣。 在步驟517, OTASP/IOTA伺服器向MS發送例如具有參 數區塊Id的第三代封包資料(3GPD)配置請求,該參數 區塊Id指示 eHRPD AKA演算法能力參數,諸如 BLOCK_ID = 00001 110 ;及/或指示 eHRPD MILENAGE 演算 法參數,諸如 BLOCK_rD = 00001111。 在步驟518,MS向OTASP/IOTA伺服器發送例如具有 eHRPD AKA演算法能力參數區塊及/或 eHRPD MILENAGE演算法參數區塊的3GPD回應。在519, OTASP/IOTA伺服器決定MS的演算法能力。例如, OTASP/IOTA伺服器可以從所接收的配置回應決定在MS 支援MILENAGE。在520,OTASP/IOTA伺服器發送例如 具有eHRPD MILENAGE演算法參數區塊(諸如 BLOCK—ID = 00001 101 )的下載請求。在521,MS根據從 OTASP/IOTA伺服器的發送來配置MILENAGE參數。在 522,MS發送3GPS下載回應,例如RESULT=Success。在 523,MS準備好執行向任何3GPP或3GPP2系統或者向使 21 201127099 用AKA認證的另一個系統的AKA認證。 在C.S0016-D vl.O中規定了 OTASP程序,將很可能在 C.S0040-0 vl.O ( IOTA)和 C.S0064-0 v 1.0 ( IOTA-DM) 的未來修訂版中規定IOTA程序,上述每個文件的全部内 容以引用的方式併入本文中。在圖4和圖5中說明的態樣 包括新的 A_KEY_P_REV的引入,以支援基於在OTASP 中的現有3G根密鑰供給方法來進行eHRPD根密鑰產生和 密鑰交換程序,諸如eHRPD根密鑰供給和增強的eHRPD 根密鑰供給。在可應用的情況下,可以將SHA-1的使用替 換為SHA-26,因為用於SHA-256的散列函數更安全。亦 說明了下述兩個3 GPD參數區塊的引入:eHRPD AKA演算 法能力參數區塊,用於指示MS支援的AKA演算法(例如 MILENAGE );及eHRPD MILENAGE演算法參數區塊,用 於配置OP或OPc參數。另外,遞增3GPD特徵識別符的 FEATURE_P_REV以指示對於增加的3GPD參數區塊的支 援。 以下參考下文在詳細說明的結尾列出的章節來更詳細 地描述在圖4和圖5中說明的訊息的示例性態樣。 行動站程式編寫程序 程式編寫程序的啟動、MS密鑰請求訊息3.3 若行動站具有儲存的eHRPD_k_TEMPs,亦即在行動站 中臨時儲存1 28位元模式的秘密,則在接收到密鑰產生請 求訊息後,其將eHRPD_Kp (在行動站中永久儲存128位 元模式的秘密)的值、NAM指示符設置為等於 22 201127099 eHRPD_K_TEMPs。 一旦MS如同在408 —般接收到MS密鑰請求,則MS 計算MS_RESULT。若在MS密鑰請求訊息中接收的 A_KEY_P_REV={ 00000010' ,貝,J 行動站應當設置 PARAM_Ps=PARAM_Pr 和 PARAM_Gs = PARAM_Gr。 若在 MS 密鑰請求訊息中接收的 A_KEY_P_REV=‘00000011’、‘00000100’或 ‘00000111’,貝丨J 行動站應當分別將PARAM_Ps和PARAM_Gs設置為如下 (在詳細說明的結尾)在5.3 · 1節中所規定的值。 若在 MS 密鑰請求訊息中接收的 A_KEY_P_REV=‘00000101’或‘00001000’,則行動站應當 分別將PARAMJPs設置為在 5.3.1中規定的值,將 PARAM—Gs設置為在5_5.1中規定的值。 若在MS密鑰請求訊息中的A_KEY_P_REV的值不被行 動站支援,則行動站應當藉由下述方式來指示錯誤狀況: 設置RESULT_CODE為‘00000011’,「被拒絕-協定版本 不匹配」。行動站應當在接收到此訊息後7 5 0毫秒内發送 MS密鑰回應訊息。 若行動站支援在MS密鑰請求訊息中的A_KEY_P_REV 的值,則行動站應當將 RESULT_CODE 設置為 ‘00000000’,「被接受-操作成功」。行動站應當按照在 MS密鑰請求訊息中接收的A_KEY_P_REV的值來計算 MS__RESULT 值如下: ‘00000010’,根據 5.1.2 來計算 MS—RESULT,例如 23 201127099 MS_RESULT=PARAM_Gsx 模 PARAM_PS ; ‘00000011’,根據 5.3.2 來計算 MS_RESULT,例如 MS_RESULT=PARAM_Gsx 模 PARAM_PS ; ‘00000100’,根據 5.3.2 來計算 MS_RESULT,例如 MS_RESULT=PARAM_Gsx 模 PARAM_PS ; ‘ΟΟΟΟΟΙΟΓ,根據 5.5.2 來計算 MS_RESULT,例如 MS_RESULT=(MS_PW_HASH*PARAM_Gsx) 模 PARAM_PS,其中MS_PW_HASH被計算如下: MS_PW_HASH=SHA-1 (0x00000001,0x00000001,MS_PW)^ 2128 | SHA-1 (0x00000001,0x00000002,MS_PW)^ 2128| SHA-1 (0x00000001,0x00000003,MS_PW)^ 2128| SHA-1 (0x00000001,0x00000004,MS_PW)^ 2128| SHA-1 (0x00000001,0x00000005,MS_PW)^ 2128| SHA-1 (0x00000001,0x00000006,MS_PW)模 2128丨 SHA-1 (0x00000001,0x00000007,MS_PW)模 2128| SHA-1 (0x00000001,0x00000008,MS_PW)^ 2128| SHA-1 (0x00000001,0x00000009,MS_PW)模 2128。 MS_PW_HASH在相乘之前可以是減小的模PARAM_PS 以簡化實施。SHA-1 係指在 C.S0024-A,厂 cdma2000 High Rate Packet Data Air Interface Specification^ , 2004 年 4 月中規定的FIPS-180散列函數。 ‘000001 1 1’ ,根據 5.7.2 計算 MS_RESULT , MS_RESULT=PARAM_Gsx 模 PARAM_PS ; 24 201127099 ‘00001000,,根據 5.9.2 計算 MS__RESULT , MS_RESULT = (MS_PW_HASH2*PARAM_Gsx) 模 PARAM一Ps,其中 MS_PW_HASH 如下計算。SHA-256 係 指在美國標準技術研究院的文件:"Secure Hash Standard", FIPS 180-2,連同日期為2004年2月的第1號更改通告, 2002年8月中規定的FIPS-180-2散列函數。 MS_PW_HASH=SHA-25 6 (0x0000000l,0x00000001,MS_PW)模 2256 SHA-256 (0x00000001,0x00000002,MS_PW)模 2256| SHA-256 (0x00000001,0x00000003,MS_PW)模 2256| SHA-256 (0x00000001,0x00000004,MS_PW)模 2256| SHA-256 (0x00000001,0x00000005,MS_PW)模 2128 ° 返回值應當被處理為整數。行動站應當在接收到此訊息 後30秒内發送MS密鑰回應訊息。 若行動站不能根據如所述計算MS_RESULT值,則行動 站應當將RESULT_CODE設置為‘00000001’,「被拒絕— 未知原因」。行動站應當在接收到此訊息後30秒内發送 MS密鑰回應訊息。 密鑰產生請求訊息 當MS在412從OTASP/IOTA伺服器接收到密鑰產生請 求時,MS發送回應。 若行動站未接收到MS密鑰請求訊息,則行動站應當藉 由下述方式來指示錯誤狀況:將RESULT_CODE設置為 ‘00000110’,「被拒絕-在此模式中未預期的訊息」。行動 25 201127099 站應當在接收到此訊息後750毫秒内發送密鑰產生回應訊 息。 若行動站已經接收到MS密鑰請求訊息並且返回了不是 100000000,(亦即,「被接受—操作成功」)的RESULT CODE,則行動站應當藉由下述方式來指示錯誤狀況:將 RESULT_CODE設置為‘00000110,,「被拒絕-在此模式中 未預期的訊息」。行動站應當在接收到此訊息後750毫秒 内發送密鑰產生回應訊息。 若行動站已經接收了具有等於0的BS_RESULT值的密 鑰產生請求訊息,則行動站應當將RESULT_CODE設置為 ‘00000001’,「被拒絶-未知原因」。行動站然後應當在接 收到此訊息後750毫秒内發送密鑰產生回應訊息。 否則,若在MS密鑰請求訊息中接收的A_KEY_P_REV 的值等於下列情況,則行動站應當計算A-key、A-key和 根密鑰組合或(eHRPD)根密鑰的值: ‘00000010’,根據5.1.3計算A-key,例如,行動站應當 計算共用密鑰K=BS_RESULTsX模PARAM_Ps。行動站應 當將結果K的64個最低有效位元儲存為A_KEY—TEMPs; ‘00000011’,根據5.3.3計算A-key和根密鑰; ‘00000100’,根據5.3.4計算根密鑰,例如,行動站應當 計算根密鑰RK=BS_RESULTsX模PARAM_Ps»行動站應 當將結果RK的128個最低有效位元儲存為RK_TEMPs ; ‘00000101’,根據5.5.3來計算根密鑰; ‘00000111’,根據5.7.3來計算eHRPD根密鑰,例如 26 201127099 eHRPD 根密鑰 eRK=BS_RESULTs X 模 PARAM_Ps。行動 站應當將結果 eRK的 128個最低有效位元儲存為 eHRPD_K_TEMPs ; ‘00001000’,根據5.9.3計算eHRPD根密鑰,例如eHRPD 根密鑰 eRK=SHA-256(0x00000003|0x00000C80 (此值被 設置為 MS_PARAM 的位元 長度) |MS_PARAM|MS_PARAM),其中 MS_PARAM=MS_PWi PARAM_Gs X 模 PARAM_Ps| (BS_RESULTs/BS_PW_HASH) 模 PARAM_Ps|((BS_RESULTs/BS_PW_HASH) X) 模 PARAM_Ps。 行動站應當將結果eRK的128個最低有效位元儲存為 eHRPD_K_TEMPs。 若行動站未成功地如所描述般分別計算A* key、A-key 和根密鑰組合或者(eHRPD )根密鑰,則行動站應當將 RESULT—CODE設置為‘0000000Γ,「被拒絕-未知原 因」。行動站應當然後在接收到此訊息後30秒内發送密鑰 產生回應訊息。 若行動站成功地如所描述般分別計算A-key、A-key和 根密鑰組合或者(eHRPD )根密鑰,則行動站應當將 RESULT CODE設置為ς00000000’,「被接受-操作成 功」。行動站應當然後在接收到此訊息後3 0秒内發送密錄 產生回應訊息。 27 201127099 密鑰產生響應訊息,3.5.1.4 在414, MS發送密鑰產生響應訊息。該密鑰產生回應訊 息具有以下可變長度格式:
攔位 長度(位元) OTASP_MSG_TYPE 8 (‘0000001 1,) RESULT CODE 8 MS RESULT LEN 8 MS RESULT 8xMS RESULT LEN OTASP_MSG_TYPE——資料訊息類型。行動站應 當將此欄位設置為‘00000011’。 RESULT_CODE——密鑰交換結果碼。行動站應當使用 在表3.5.1.2-1中限定的值來設置此欄位以指示接受或拒 絕狀態。 MS_RESULT_LEN--MS_RESULT攔位的長度。行動站 應當將此欄位設置為在MS_RESULT欄位中的八位元組的 數量。 MS—RESULT——行動站計算結果。 若在MS密鑰請求訊息中接收的A_KEY_P_REV等於 ‘00000010’,則行動站應當將此欄位設置為等於在5.1.2中 所描述的 MS_RESULT 的值,MS_RESULT=PARAM_Gsx 模 PARAM_PS。 若在MS密鑰請求訊息中接收的A_KEY_P_REV等於 28 201127099 ‘00000011’或‘00000100’’則行動站應當將此欄位設置為等 於在 5.3.2 中所描述的 MS—RESULT 的值 , MS_RESULT=PARAM_Gsx 模 PARAM_PS。 若在MS密鑰請求訊息中接收的A_KEY_P_REV等於 ‘00000101’,則行動站應當將此欄位設置為等於在5.5.2中 所描述的MS_RESULT的值或如下MS—PW—HASH : MS_PW_HASH=SHA-1 (0x00000001,0x00000001,MS_PW)^ 2128 | SHA-1 (0x00000001,0x00000002,MS_PW)模 2128丨 SHA-1 (Ox00000001,Ox00000003,MS_PW)模 2128丨 SHA-1 (0x00000001,0x00000004,MS_PW)^ 2128| SHA-1 (0x00000001,0x00000005,MS_PW)模 2128丨 SHA-1 (0x00000001,0x0O000006,MS_PW)模 2128丨 SHA-1 (0x00000001,0x00000007,MS_PW)模 2128丨 SHA-1 (Ox00000001,Ox00000008,MS_PW)模 2128| SHA-1 (0x00000001,0x00000009,MS_PW)模 2128 行 動站應 當計算 MS_RESULT = (MS_PW_HASH*PARAM_Gsx) 模 PARAM_PS。SHA-1係指在下述文件中規定的FIPS-180散 f、\ 兩教·. C.S0Q24-A,「cdma2000 High Rate Packet Data Air Interface Specification 2004 年 4 月。MS—PW—HASH 在 相乘之前可以是減小的模PARAM_PS以簡化實施。 若在MS密鑰請求訊息中接收的A_KEY_P_REV等於 ‘000001 11’,則行動站應當將此欄位設置為在5.7.2中所描 29 201127099 述的 MS_RESULT 的值,MS_RESULT=PARAM_Gsx 模 PARAM_PS。 若在MS密鑰請求訊息中接收的A_KEY_P_REV等於 ‘00001000’,則行動站應當將此欄位設置為在5.9.2中所描 述的MS—RESULT的值,行動站應當計算MS_PW_HASH 如下: MS_PW_HASH=SHA-2 5 6(0x0000000 1,0x0000000 1,MS_P W)模 2256| SHA-256 (0x00000001,0x00000002,MS_PW)模 2256| SHA-256 (0x00000001,0x00000003,MS_PW)模 2256| SHA-256 (0x00000001,0x00000004,MS_PW)模 2256| SHA-256 (0x00000001,0x00000005,MS_PW)模 2128 » 返回值應當被處理為整數。SHA-256係指在美國標準技 術研究院的文件:"Secure Hash Standard",FIPS 180-2,連 同日期為2004年2月的第1號更改通告,2002年8月中規 定的 FIPS-180-2 散列函數。行動站應當計算 MS_RESULT=(MS_PW_HASH*PARAM_GsX) 模 PARAM—Ps。MS_PW_HASH在相乘之前可以是減小的模 PARAM_PS以簡化實施。 eHRPD_DATA AKA 演算法能力參數,3.5.8.15 eHRPD AKA演算法能力參數區塊的PARAM_DATA欄位 由具有8位元長度的AKA_ALGORITHM組成 30 201127099 攔位 長度(位元) AKA_ALGORIT HM 8 AKA_ALGORITHM--eHRPD AKA認證演算法位元映 射,用於指示行動站支援哪些認證演算法。行動站應當將 此欄位設置為位元映射形式的值如下: 子欄位 長度(位 元) 子攔位說明 MILENAGE 1 在[TS 35.205] 中規定的所支 援 的 MILENAGE 保留 7 _ 若行動站支援對應的操作模式,則行動站應當將每個子 櫊位設置為‘ 1 ’;否則,行動站應當將子欄位設置為‘0’。 RESERVED--保留位元。行動站應當在需要時添加保 留位元,以便使得整個參數區塊的長度等於整數數量的八 位元組。行動站應當將此欄位設置為‘0000000’。 eHRPD MILENAGE 演算法參數,3.5.8.16 eHRPD MILENAGE演算法參數包括以下欄位: 31 201127099 欄位 長度(位元) OP PARAM VALUE 128 OP PARAM TYPE 1 保留 7 OP_PARAM_VALUE--1 28 位元的 MILENAGE 服務供 應商可變演算法配置攔彳立(參見[TS35.2〇5])。 OP_PARAM_TYPE--若此位元是‘0’,則行動站應當將 OP_PARAM_VALUE看作在[bb]中定義的OP參數;否貝|J , 行動站將OP—PARAM_VALUE看作在[TS 35.205]中定義的 〇Pc參數。 RESERVED--保留位元。需要另外的保留位元以便 使得整個參數區塊的長度等於整數數量的八位元組。行動 站應當將該等位元設置為‘0’。 基地台程序 MS密鑰請求訊息,4.5.1.3 如圖4中所示,在408,從存取系統向MS發送MS密鑰 請求訊息。該MS密鑰訊息具有以下可變長度格式: 32 201127099
攔位 長度(位元) OTASP_MSG_TYPE (‘00000010,) 8 A KEY P REV 8 PARAM P LEN 0或8 PARAM_P 0 或 8 x PARAM P LEN PARAM G__LEN 0或8 PARAM_G 0 或 8 x PARAM G LEN OTASP—MSG_TYPE——Ο資料訊息類型。基地台應 當將此攔位設置為‘00000010’。 A_KEY_P_REV——密鑰交換協定版本。基地台應當將 此欄位設置為針對2G A-key產生的‘00000010’、針對組合 的2G A-key和3G根密鑰產生的‘00000011’、針對3G根 密鑰產生的‘00000100’,或者針對增強的3G根密鑰產生的 ‘00000101’、針對eHRPD根密鑰產生的‘0000011 1’,或者 針對增強的eHRPD根密鑰產生的‘00001000’。 PARAM_P_LEN — — PARAM—P 欄位的長度。若 A—KEY_P_REV=‘00000010,,則基地台應當將此欄位設置 為在PARAM_P欄位中的八位元組的數量,並且基地台應 當 將此攔 位 設置為 ‘01000000’ 。 若 A_KEY_P_REV>‘00000010,,則基地台應當省略此欄位。 33 201127099 PARAM_P — 一 密鑰交換參數 P。 若 A_KEY_P_REV=‘00000010’,則基地台應當如5.2.1中所描 述般設置此攔位。若A_KEY_P_REV>‘00000010’,則基地 台應當省略此攔位。 PARAM_G_LEN — — PARAM_G 欄位的長度。若 A_KEY_P_REV = ‘00000010’,則基地台應當將此欄位設置 為在PARAM_G攔位中的八位元組的數量,並且基地台應 當將 此欄位 設置為 ‘00010100’ 。 若 A_KEY_P_REV>4000000 1 0,,貝丨J基地台應當省略此欄位。 PARAM_G — 一 密鑰交換參數 G。 若 A_KEY_P_REV=‘00000010’,則基地台應當如在5.2.1中所 描述般設置此攔位。若A_KEY_P_REV>‘00000010’,則基 地台應當省略此攔位。 密鑰產生請求訊息,4.5.1.4 在312,向MS發送密鑰產生請求訊息。該密鑰產生請 求訊息具有以下可變長度格式:
欄位 長度(位元) OTASP_MSG_TYPE 8 (‘00000011,) BS RESULT LEN 8 BS_RESULT 8 x BS RESULT LEN OTASP MSG TYPE——資料訊息類型。基地台應 34 201127099 當將此欄位設置為‘00000011’。 BS RESULT LEN--BS RESULT攔位的長度。基地台 __ —* — ' 應當將此欄位設置為在BS_RESULT欄位中的八位元組的 數量。 BS_RESULT —— 基地台計算結果。若 A_KEY_P_REV=‘00000010’,則基地台應當將此欄位設置 為等於如5.2.2中所描述的BS_RESULT的值,例如基地台 應當計算 BS_RESULT=PARAM_GY 模 PARAM_P。若 A_KEY_P_REV=‘00000011,或 ‘00000100’,則基地台應當 將此攔位設置為等於如5.4.2中所描述的BS_RESULT的 值,例如 BS_RESULT=PARAM_GY 模 PARAM_P。若 A_KEY_P_REV=‘00000101,,則基地台應當將此欄位設置 為等於如 5.6.2 中所描述的 BS_RESULT 的值。若 A—KEY_P_REV=‘000001ir,則基地台應當將此攔位設置 為等於如 5.8·2中所描述的 BS_RESULT 的值。若 A_KEY_P_REV=‘00001000’,則基地台應當將此欄位設置 為等於如5.10.2中所描述的BS_RESULT的值。 eHRPD MILENAGE 演算法參數,4.5.7.11 eHRPD MILENAGE演算法參數區塊的PARAM—DATA欄 位由以下攔位組成: 35 201127099 欄位 長度(位元) OP PARAM VALUE 128 OP PARAM TYPE 1 保留 7 OP_PARAM_VALUE--128 位元的 MILENAGE 服務供 應商可變演算法配置欄位(參見[TS 35.205]).
OP_PARAM_TYPE--若行動站將 OP_PARAM_VALUE 解釋為在[TS35.205]中定義的OP參數,則基地台應當將此 位元設置為‘0’ ;否則,基地台應當將此位元設置為4 Γ以向 行動站指示OP_PARAM_VALUE要被解釋為在[TS35.205] 中定義的〇Pc參數。 保留——保留位元。需要另外的保留位元以便使得整個 參數區塊的長度等於整數數量的八位元組。基地台應當將 該等位元設置為‘0’。 密鑰交換程序,5 對於 A_KEY—P_REV=‘00000111,的行動站要求,5.7
Diffie-Hellman密鑰協商程序的亂數產生包括下述部 分。行動站應當將在計算行動站結果MS_RESULT中使用 的PARAM_Ps設置為在5.3.1中規定的1024位元的質數 (最高有效位元為先)。行動站應當將在計算MS_RESULT 中使用的PARAM_Gs設置為‘00000010’。行動站應當產生 在計算MS_RESULT中使用的亂數X。數X應當具有在 5.5.1中列出的屬性。 36 201127099 對於行動站結果,行動站應當計算 MS_RESULT=PARAM_GsX 模 PARAM_Ps » 對於針對 A_KEY_P_REV=‘000001 11’的 eHRPD 根密鑰 計算,行動站應當計算eHRPD根密鑰eRK=BS_RESULTsX 模PARAM_Ps。行動站應當將結果eRK的128個最低有效 位元儲存為eHRPD_K_TEMPs。 對於 A—KEY_P_REV = ‘00000111,的基地台要求,5.8 密鑰交換參數根密鑰的產生,5.8.1 密鑰交換參數根密鑰的產生包括以下部分:基地台應當 將在計算基地台結果BS_RESULT中使用的PARAM_Ps設 置為在5.4.1中規定的1024位元的質數(最高有效位元為 先)。基地台應當將在計算 BS_RESULT 中使用的 PARAM_Gs設置為‘00000010’。基地台應當產生在計算 BS_RESULT中使用的亂數Y。數Y應當具有在5.6.1中列 出的屬性。 基地台結果,5.8.2 對於基地台結果,基地台應當計算 BS_RESULT=PARAM_GY 模 PARAM_P。 對於 A_KEY_P_REV=’00000111,的 eHRPD 根密鑰 eHRPD_K 計算,5.8.3 對於針對 A_KEY_P_REV=‘00000111’的 eHRPD 根密鑰 eHRPD_K計算,基地台應當計算 eHRPD 根密鑰 eRK=MS_RESULTY模PARAM_P。基地台應當使用結果 eRK的128個最低有效位元作為eHRPD根密鑰eHRPD_K。 37 201127099 對於 A_KEY_P—REV=‘00001000,的行動站要求,5.9 亂數產生和密鑰產生參數,5.9.1 亂數產生和密鑰產生參數包括以下部分。行動站應當將 在計算行動站結果MS_RESULT.中使用的PARAM_Ps設置 為在5.3 _1中規定的1024位元的質數。行動站應當將在計 算 MS—RESULT 中使用的 PARAM_Gs 設置為 ‘00001 101’。 行動站應當產生在計算MS_RESULT中使用的亂數X。數 X具有在5.5.1中列出的屬性》 行動站結果,5.9.2 對於行動站結果,行動站應當計算MS_PW_HASH如下: MS_PW_HASH=SHA-256 (0x00000001,0x00000001,MS_PW)模 2256丨 SHA-256 (0x00000001,0x00000002,MS_PW)模 2256| SHA-256 (0x00000001,0x00000003,MS_PW)模 2256| SHA-256 (0x00000001,0x00000004,MS_PW)模 2256丨 SHA-256 (0x00000001,0x00000005,MS_PW)模 2128 行動站應當計算 MS_RESULT=(MS—PW—HASH * PARAM_GsX)模PARAM_Ps。SHA-256係指在下述文件中 規定的 FIPS-180-2 散列函數:C.S0024-A,「eί/ma2000 Rate Packet Data Air Interface Specification j,2004 年 4 月。MS_PW_HASH可以在相乘之前是減小的模PARAM_Ps 以簡化實施。 針對 A_KEY_P_REV=‘00001000,的 eHRPI)根密鑰計 算,5.9.3 38 201127099 對於針對 A_KEY_P_REV=‘00001000’的 eHRPD 根密鑰 計算,行動站應當計算eHRPD根密錄eRK=SHA-256 (0x00000003 | 0x00000C80 (其被設置為 MS_PARAM 的 位元長度)|MS_PARAM |MS_PARAM), 其中 MS_PARAM=MS_PW| PARAM_GsX 模 PARAM_Ps| (BS_RESULTs/BS_PW_HASH) 模 PARAM_Ps|((BS_RESULTs/BS_PW_HASH)X) 模 PARAM_Ps。 行動站應當將結果eRK的128個最低有效位元儲存為 eHRPD_K_TEMPs。 對於 A_KEY_P_REV=‘00001000,的基地台要求,5.10 基數產生和密鑰產生參數,5.10.1 亂數產生和密鑰產生參數包括以下部分。基地台應當將 在計算基地台結果BS_RESULT中使用的PARAM_Ps設置 為在5.4.1中規定的1024位元的質數(最高有效位元為 先)。基地台應當將在計算BS_RESULT中使用PARAM_Gs 設置為‘00001101’。基地台應當產生在計算 BS—RESULT 中使用的亂數Y。數Y應當具有在5.6.1中列出的屬性。 基地台結果,5.10.2 對於基地台結果,基地台應當計算BS_PW_HASH,其中 BS_PW_HASH=SHA-25 6 (0x00000002,0x0000000 1,BS_PW)模 2256| SHA-256 (0x00000002,0x00000002,BS_PW)模 2256| 39 201127099 SHA-256 (0x00000002,0x00000003,BS_PW)^ 2256| SHA-256 (0x00000002,0x00000004,BS_PW)模 2256| SHA-256 (0x00000002,0x00000005,BS_PW;^2128° 基 地台應 當計算 BS_RESULT=(BS_PW_HASH*PARAM_GY) 模 PARAM_Ps。BS_PW_HASH可以在相乘之前是減小的模 PARAM_Ps以簡化實施。 eHRPD 根密鑰 eHRPD_K 計算,5.10.3 對於eHRPD根密鑰eHRPD—Κ計算,基地台應當計算 eHRPD 根密鑰 eRK=SHA-256 (0x00000003 |0x00000C80 (此值被設置為 BS_PARAM 的位元長度) | BS_PARAM|BS_PARAM),其中 BS_PARAM=BS_PW| (MS_RESULT/MS—PW_HASH)模 PARAM_Ps| PARAM_GY 模 PARAM_Ps| ((MS_RESULT/MS_PW—HASH)Y)模 PARAM一Ps。 基地台應當使用結果eRK的128個最低有效位元作為 eHRPD 根密鑰 eHRPD_K。 圖6是通訊系統的實施例的方塊圖,該通訊系統可以被 配置來執行上述方法,該通訊系統包括在ΜΙΜΟ系統600 中的發射機系統6.10 (亦稱為存取點)和接收機系統650 (亦稱為存取終端)。在發射機系統610,從資料源612向 發射(ΤΧ )資料處理器614提供多個資料串流的訊務資料。 在一個實施例中,每個資料串流在相應的發射天線上進 201127099 订發射。TX資料處理器614基於為每個資 特定編碼方案來對 母個資料串流選擇的 碼和交錯,以提供編碼資料。 $仃格式化、編 可以使用OFDM技術來將每個資料 導頻騎個㈣串相編碼資料與引 订多工處理。引導頻資料 理的n 丨守頰貧枓通*疋以已知方式處 =已知資料模式,並且可以在接收機系統處用於估計通 =應。然後’基於為每個資料串流選擇的特定調制方案 ^ ΒΡδΚ、_Κ、Μ概來對該資料 "的多工的引導頻和編碼資料進行調制(亦即,符號映 射)’以提供調制符號。用於每個資㈣流的資料速率、 編碼和調制可以藉由由處理器咖執行的指令來決定。 然後’將所有資料串流的調制符號提供給τχ職〇處 理器620 ’其可以進一步處理調制符號(例如,進行 OFDM)。然後,ΤΧΜΙΜ〇處理器62〇將Ντ個調制符號串 流提供給Ντ個發射機(TMTR) 622a到622卜在特定實 施例中’ ΤΧ ΜΙΜΟ處理器620對資料串流的符號以及發射 該符遗的天線應用波束成形權重。 每個發射機622接收並處理相應的符號串流以提供一或 多個類比信號,並且進一步對該類比信號進行調節(例 如,放大、濾波和升頻轉換)以提供適於在ΜΙΜ〇通道上 傳輸的調制信號。然後,分別從Ντ個天線624a到624t 發射來自發射機622a到622t的Ντ個調制信號。 在接收機系統650處’藉由nr個天線652a到652r來 接收所發射的調制信號,並且將從每個天線652所接收信 41 201127099 號提供給相應的接收機(RCVR) 654a到…”每個接收 機654對各個接收到的信號進行調節(例如,據波、放大 和降頻轉換),對調節後的信號進行數位化以提供採樣, 並且進-步處理該等採樣以提供相應的「接收到的」符號 串流。 然後,RX資料處理器66G基於特定的接收機處理技術 來接收並處理來自Ν»個;t 冬曰個接收機654的Nr個接收到的符號 串流,以提供NT個「指屯丨丨5丨丨& _ _ ^ 调偵測到的」符號串流。然後,RX資 料處理對每㈣測到的符號串流進行解調、解交錯 和解碼’以恢復該資料申流的訊務資料…乂資料處理 器66〇進行的處理是由發射機系統61〇處的τχ職〇處 理器620和TX資料處理器614執行的處理的反處理。 處理器670定期地決定使用哪個預編碼矩陣(在下文呀 論)。處理器67G編制包括矩陣索引部分和秩值部分的反 向鏈路訊息。 反向鍵m以包括與通訊鏈路及/或接收到的資料 串流相關的各種類型的資訊。然後,反向鍵路訊息由τχ 資料處理器638進行處理,由調制器680進行調制,由發 射機654a到654r進行調節並且被發射回發射機系統 61〇,其中TX資料處理器638亦從資料源咖接收多個資 料串流的訊務資料。 在發射機系統610處’來自接收機系統6s〇的調制信號 由天線624接收’由接收機622進行調節’由解調器 進行解調,並且由以資料處理器642進行處理,以提取 P· 42 201127099 由接收機系統650發射的反向鏈路訊息。然後,處理器630 決疋使用哪個預編碼矩陣來決定波束成形權重,隨後處理 器630對所提取的訊息進行處理。 在一個態樣中’邏輯通道被分為控制通道和訊務通道。 邏輯控制通道包括:廣播控制通道(BCCH),其是用於廣 播系統控制資訊的DL通道;傳呼控制通道(PCCH),其 是傳送傳呼資訊的DL通道;多播控制通道(MCCH),其 是用於針對一個或數個MTCH傳輸多媒體廣播和多播服務 (MBMS )排程與控制資訊的點對多點dl通道。一般而 言’在建立RRC連接之後,該通道僅被接收MBMS(注意: 過去為MCCH+MSCH)的UE使用。專用控制通道(DCCH) 是傳輸專用控制資訊的點對點雙向通道,並且被具有RRC 連接的UE使用。在一個態樣中,邏輯訊務通道包括:專 用訊務通道(DTCH) ’其是專門為一個UE進行使用者資 訊傳送的點對點雙向通道。此外,用於點對多點DL通道 的多播訊務通道(MTCH )用來傳輸訊務資料。 在一個態樣中’傳輸通道(Transport Channel )被分成 DL和UL。DL傳輸通道包括廣播通道(bcH)、下行鏈路 共享資料通道(DL-SDCH)及傳呼通道(PCH),PCH用 於支援UE節能(藉由網路向UE指示DRX週期),其在 整個細胞服務區内被廣播並且被映射到可以用於其他控 制/訊務通道的PHY資源上。UL傳輸通道包括隨機存取通 道(RACH)、請求通道(REQCH)、上行鏈路共享資料通 道(UL-SDCH)及複數個PHY通道。PHY通道包括一組 43 201127099 DL通道和UL通道。 參考圖7,在一個態樣中,存取終端(在此亦被稱為如 上文所描述的存取設備(AD )、使用者裝備(UE )或行動 站(MS )) 了以藉由電腦設備7 〇〇來表示。存取設備 包括處理器701,用於進行與在此描述的一或多個元件和 功能相關聯的處理功能。處理器7〇1可以包括單組或多組 處理器或多核處理器。而且,處理器701可以被實施為整 合處理系統及/或分散式處理系統。 存取設備700進一步包括記憶體7〇2,例如用於儲存由 處理器701執行的應用的本地版本。記憶體7〇2可以包括 由電腦可使用的任何類型的記憶體,諸如隨機存取記憶體 (RAM)、唯讀記憶體(R〇M)、磁帶、磁片、光碟、揮發 性記憶體、非揮發性記憶體及其任何組合。 而且,存取設備700包括通訊元件703,其使用在此描 述的硬體、軟體和服務來建立和維護與一方或多方的通 訊。通訊元件703可以承載在存取設備7〇〇上的元件之間 以及在存取设備7〇〇和外部設備(諸如位於通訊網路上的 設備及/或串列或本地連接到存取設備7〇〇的設備)之間的 通訊。例如,通訊元件703可以包括一或多個匯流排,並 且可以進一步包括分別與發射機和接收機相關聯的發射 鏈兀件和接收鏈元件,可操作來與外部設備藉由介面連 接。 另外,存取設備700可以進一步包括資料儲存設備7〇4, 其可以疋硬體及/或軟體的任何適合組合,其提供結合在此 44 201127099 描述的態樣所採用的資訊、資料庫和程式的大容量儲存。 例如,資科儲存設備704可以是處理器7〇1當前未執行的 應用的資料储存庫。 存取設備700可以另外包括使用者介面元件7〇5 , 操作來從存取設備700的使用者接收輸入,並且亦可操作 來產生要向使用者呈現的輸出。使用者介面元件7〇5可以 包括一或多個輸入設備,其中包括但不限於鍵盤、數值鍵 盤、滑鼠、觸敏顯示器、導航鍵、功能鍵、麥克風、語音 識別元件、能夠從使用者接收輸入的任何其他機構,或^ 任意組合。而且,使用者介面元件7〇5可以包括一或多個 輸出設備,其包括但不限於顯示器' 揚聲器、觸覺回馈機 構、印表機、能夠向使用者呈現輸出的任何其他機構,或 其任何組合。 存取設備7GG可以另外包括〇ΤΑ供給元件·,其賦能 經由第一存取系統進行認證身份碼的〇ΤΑ供給,其中該等 認證身份碼用於第二存取系統。例如,〇ΤΑ供給元件7〇6 可以包括用於執行上文在圖丨_4中描述的程序的硬體、軟 體、韌體、邏輯或電腦可執行指令的一個或任何組合。 存取設備700可以另外包括發射機 707和接收機708, 或 用於發射用於認證身份碼的空中傳輸供給的撥叫啟始 請求,和用於接收該種通訊和供給。 存取設備可以另外包括認證身份碼it件709,其能 夠經由存取系統以空中傳輸方式被供給。 圖8說明了用於在虎 處供給用於第二存取系統的認證 45 201127099 身份碼的示例性網路裝置的態樣,該第二存取系統缺少空 中傳輸供給。藉由電腦設備8⑽來說明在圓8中的網路裝 置。網路裝置_包括處理器8G1,用於進行與在此描述 的一或多個元件和功能相關聯的處理功能。處理器可 以包括單組或多組處理器或多核處理器。而且,處理器8 〇工 可以被實施為整合處理系統及/或分散式處理系統。 ,周路裝置800進-步包括記憶體8()2,例如用於儲存由 處理器801執行的應用的本地版本。記憶體8〇2可以包括 由電腦可使用的任何類型的記憶體,諸如隨機存取記憶體 (RAM)、唯讀記憶體(R〇M)、磁帶、磁片、光碟、揮發 性記憶體、非揮發性記憶體及其任何組合。 而且,網路設備800包括通訊元件8〇3,其使用在此描 述的硬體、軟體和服務來建立和維護與—方或多方的通 訊。通訊元件803可以承載在網路裝置8⑽上的元件之間 ^及在網路裝置_和外部設備(諸如位於通訊網路上的 備及/或串列或本地連接到網路裝置8⑼的設備)之間的 通訊例如’通訊元件8〇3可以包括一或多個匯流排,並 、進步包括分別與發射機和接收機相關聯的發射 鏈&件和接收鏈元件’可操作來與外部設備藉由介面連 接0 IW網路裝4 800可以進—步包括資料儲存設備804, ° 乂疋硬體及/或軟體的任何適合組合,其提供結合在此 :述的態樣所採用的資訊、資料庫和程式的大容量儲存。 資料儲存設備804可以是處理器8〇1當前未執行的 46 201127099 應用的資料儲存庫。 網路裝置_可以另外包括使用者介面元件咖,其可 操作來從網路裝置剛的使用者接收輸人,並且亦可操作 來產生要向使用者呈現的輸出。使用者介面元件805可以 包括-或多個輸人㈣’其中包括但不限於鍵盤、數值鍵 盤、滑鼠、觸敏顯示器 '導航鍵、功能鍵'麥克風、語音 識別元件、能夠從使用者接收輸人的任何其他機構,或: 任意組合。而i,使用者介面元件8〇5可以包括—或多個 輸出設備’其中包括但不限於顯示器、揚聲器、觸覺回饋 機構、印表機、能夠向使用者呈現輸出的任何其他機構, 或其任何組合。 網路裝置800可以另外包括ota供給系統8〇6,其被配 置來在MS處執行認證身份碼的〇TA供給,其中該等認證 身伤碼用於第二存取系統。例如,〇TA供給系統可以 包括用於執行上文在圖1-4中描述的程序的硬體、軟體、 韌體、邏輯或電腦可執行指令的一個或任何組合。 網路裝置800可以另外包括協定能力決定器,用於決定 正在請求OTA供給的MS的協定能力。此允許供給系統在 MS處執行認證身份碼的適當供給。 網路裝置800可以進一步包括接收機8〇7和發射機 808,用於從MS接收通訊和用於向MS發送通訊,以及用 於發射用於在MS處執行認證身份碼的〇TA供給的資訊。 參考圖9 ’在另一個態樣中,說明了系統9〇〇,系綠9〇〇 從另一個存取系統接收用於一個接收系統的認證身份碼 201127099 的OTA供給。例如,系統900可以至少部分地位於電腦設 備、行動設備等中。應當明白’系統900被表示為包括功 能方塊,該功能方塊可以是表示由處理器、軟體或其組合 (例如韌體)實施的功能的功能方塊。系統900包括可以 協同操作的電子元件的邏輯組902。例如,邏輯組902可 以包括用於連接到第一存取系統的模組904。該第一存取 系統可以例如是CDMA2000系統,諸如OTASP或IOTA。 而且,邏輯組902可以包括用於請求用於第二存取系統 的認證身份碼的空中傳輸供給的模組906。該第二存取系 統可以是使用AKA認證方法的3GPP系統。 而且,邏輯組902可以包括用於接收用於第二存取系統 的認證身份碼的空中傳輸供給的模組908 »用於第二存取 系統的認證身份碼的空中傳輸供給可以包括 Diffie-Hellman密鑰協商或交換密碼認證Dime-Hellman 密鑰。被供給的認證身份碼可以包括以下項中的任意一 項:3GPP AKA認證根密鑰(K )、AKA認證相關參數和要 在向第二存取系統的認證中使用的AKA認證演算法。AKA 認證相關參數可以包括以下項中的至少一項:是否使用f5 來進行SQN隱藏,和用於AKA SQN管理的一或多個SQN 號的配置。接收空中傳輸供給的認證身份碼可以進一步包 括:從第一存取系統接收AKA認證演算法的空中傳輸定 製。例如,AKA認證演算法可以是MILENAGE,並且認證 演算法的定製可以包括OP或OPc參數的定製。 邏輯組902可以進~步包括用於連接到第二存取系統的 48 201127099 模組910 ’和用於提供所供給的認證身份碼以便執行向第 二系統的認證的模組912。 另外,系統900可以包括記憶體914,其保存用於執行 與電子元件904、906、908、910和912相關聯的功能的 指令。雖然被圖示為在記憶體914外部,但是應當明白, 電子元件904、906、908、910和912中的一或多個可以 位於記憶體914内。 參考圖10,說明了系統1〇〇〇,系統100〇在存取設備處 執行用於另一個存取系統的認證身份碼的OTA供給。例 如,系統1000可以至少部分地位於電腦設備、行動設備 等中。應當明白,系統1000被表示為包括功能方塊,該 功能方塊可以是表示由處理器、軟體或其組合(例如韌體) 實施的功能的功能方塊。系統j〇〇〇包括可以協同操作的 電子元件的邏輯組1002。例如,邏輯組1〇〇2可以包括用 於在第一存取系統處接收啟始自存取設備的撥叫的模組 1〇〇4。該第一存取系統可以例如是CDMA2〇〇〇系統諸如 OTASP 或 IOTA。 而且,邏輯組1002可以包括用於將撥叫引導到供給系 統的模組1006。 而且,邏輯組1002可以包括用於決定存取設備的協定 能力的模組1008。 邏輯組1002可以進一步包括用於在存取設備處經由第 一存取系統來執行認證身份碼的空中傳輸供給的模組 1010 ’其中該等認證身份竭用於第二存取系統。 49 201127099 第二存取系統可以是使用AKA認證方法的3GPP系統。 用於第二存取系統的認證身份碼的空中傳輸供給可以包 括Diffie-Hellman密鑰協商或密碼認證的Diffie-Hellman 密鑰協商。被供給的認證身份碼可以包括以下項中的任意 一項:3GPP AKA認證根密鑰(K )、AKA認證相關參數和 要在向第二存取系統的認證中使用的AKA認證演算法。 AKA認證相關參數可以包括以下項中的至少一項:是否使 用f5來進行SQN隱藏,和用於AKA SQN管理的一或多個 SQN號的配置。接收空中傳輸供給的認證身份碼可以進一 步包括:從第一存取系統接收AKA認證演算法的空中傳 輸定製。例如,AKA認證演算法可以是MILENAGE,並且 認證演算法的定製可以包括OP或OPc參數的定製。 另外,系統1000可以包括記憶體1012,其保存用於執 行與電子元件1004、1006、1008和1010相關聯的功能的 指令。雖然被示出為在記憶體1012外部,但是應當明白, 電子元件1004、1006、1008和1010的一或多個可以位於 記憶體1012内。 縮寫和表格 以下縮寫適用於在本文描述的示例性實施。 3GPD—第三代封包資料 存取認證-其中存取終端(AT)被AN-AAA (存取網路 認證、授權和計費實體)認證的程序。 A-key-在行動站和HLR/AC中儲存的秘密,為64位元 模式。其用於產生/更新行動站的共享秘密資料並且驗證 50 201127099 SPASM ° 認證-基地台使用來驗證行動站的身份的程序。 認證中心(AC )-管理與行動站相關的認證資訊的實體。 基地台-用於與行動站通訊的固定站。根據環境,術語 基地台可以指細胞服務區、在細胞服務區中的扇區、MSC、 OTAF或無線系統的其他部分。(亦參見MSC和OTAF )。 eHRPD根密鑰:在eHRPD行動站和演進型封包核心 (EPC )網路之間共享的1 28位元模式的秘密。 電子序列號(ESN)-由行動站製造商分配的32位元的 數,用於唯一地標識行動站裝備。 前向CDMA通道-從基地台到行動站的CDMA通道。前 向CDMA通道包含使用特定的引導頻PN偏移在CDMA頻 率分配上傳輸的一或多個代碼通道。 前向訊務通道-代碼通道,用於將使用者和訊令訊務從 基地台傳送到行動站。 本地位置暫存器(HLR )-位置暫存器,向其分配了 MIN/IMSI以用於諸如用戶資訊的記錄目的。 HRPD—高速率封包資料。 IMPU-IMS公共身份。 國際行動站身份(IMSI)-在ITU-T建議E.212中規定 的用於識別陸地行動服務中的台的方法。 ICCID (積體電路卡識別符)/UIMID (使用者身份模組 識別符)-用於識別智慧卡的全球唯一號。 行動裝備識別符 (MEID ) /IMEI (國際行動裝備身份) 51 201127099 由仃動站製造商分配的56位元的數,用於唯一地標識行 動站裝備。 γ動站-固定或行動的台或存取設備,其用作與基地台的 '、端使用者無線通訊鏈路。行動站包括攜帶式單元(例如 手持個人單元)和在車輛中安裝的單元。 一動交換中心(MSC )-提供無線無線電電話服務的裝置 的配置。亦稱為行動電話交換局(MTS〇 )。 網路,用路疋無線系統的子集,諸如廣域無線網、一組專 用基地台,或者被建立來處理特殊要求的一組基地台。網 路可以如所需要般小或大,只要其被完全包含在系統中。 亦參見系統。 網路標識(NID )_唯一地標識在無線系統中的網路的 號。亦參見系統標識。 號碼分配模組 (NAM )-在行動站中儲存的一組 MIN/IMSI相關參數。 空中傳輪服務供給功能(OTAF )-控制OTASP功能和 訊息傳遞協定的網路裝置的配置。 空中傳輸參數管理(OTAPA )-網路啟動的OTASP處 理’用於在空中傳輸介面上供給行動站操作參數。 空中傳輸服務供給(OTASP )-在空中傳輸介面上供給 行動站操作參數的處理。 P-CSCF-代理撥叫通信期控制功能。 較佳使用者區列表(PTJZL )-向行動站提供關於行動使 用者所預訂到的使用者區的資訊的列表。 52 201127099 PDSN-封包資料服務節點。 眘Γ全模式'"用於以加密形式在行動站和基於網路的供A 實體之間傳送操作參數的網路啟動的模式。、給 SIP—通信期啟動協定。 二=寫鎖定(SPL)一種保護,其被提供來藉由 :務程式編寫代碼(SPC)來防止未經授權的網路實 體進行特定行動站參數的空中傳輸供給。 用戶參數管理安全機制(SPASM) _安全機制,用於防 有效NAM的參數和指示在〇tapa通信期期間被未經授 權的網路實體程式編寫。 系統標識(SID)—用於唯一地標識無線系統的號。 較佳漫遊的系統選擇(SSPR) 一種特徵,其根據以較 佳漫遊列纟(PR_LISTs_p)的形式在行動站中储存的一組 另外的參數,來增強行動站系統獲取處理。 訊務通道-在行動站和基地台之間用於使用者和訊令 訊務的通訊路徑。術語訊務通道暗含前向訊務通道和反向 訊務通道對。亦參見前向訊務通道和反向訊務通道。 UMB-超行動寬頻。 數量資訊用於描述行動站的操作。以下下標用於使數位 資訊的使用清晰:「s」指示在行動站的臨時記憶體中儲存 的值’「r」指示由行動站經由前向類比控制通道或cdmA 前向通道接收的值’「p」指示在行動站的永久安全和標識 記憶體中設置的值’而「s-p」指示在行動站的半永久安全 和標識記憶體中儲存的值。 53 201127099 下文定義了與OTASP特別相關的數量資訊。 A_KEY_P_REVp-行動站密鑰交換程序的協定修訂版。 A_KEY_TEMPs-在行動站中臨時儲存的64位元模式的 秘密。 AUTH_OTAPAs- 所計算的 18 位元結果 AUTH_SIGNATURE,用於驗證 SPASM。 BCMCS—Kp-在行動站中永久儲存的128位元模式的秘 密。 BS—PARAM—用於3G根密鑰計算的基地台程序中使用 的變數。 BS_PW-在基地台中儲存的128位元的使用者密碼。其 具有與MS_PW相同的值。 BS_PW_HASH-所計算的基地台使用者密碼BS_PW的 1152位元的散列。 BS_RESULT-基地台結果。 eHRPD_Kp-在行動站中永久儲存的 128位元模式的秘 密。 eHRPD_K_TEMPs-在行動站中臨時儲存的128位元模 式的秘密。 G-於Diffie-Hellman密鑰協商程序的產生器。 IMS_Kp-在行動站中永久儲存的128位元模式的秘密。 ITM_KEY-在用於計算服務密鑰的程序中使用的中間密 鑰。 MS—PARAM-在用於3G根密鑰計算的行動站程序中使 54 201127099 用的變數。 MS_PW-在行動站中儲存的128位元的使用者密碼。其 具有與BS_PW松同的值。 MS_PW_HASH-所計算的行動站使用者密碼MS_PW的 1152位元的散列。 MS一RESULT-行動站結果。 NAM_LOCKp—由基地台在行動站中設置的鎖定指示,其 限定了在OTAPA通信期期間在有效NAM中可程式編寫參 數的SPASM保護。 NULL-不在攔位或變數的規定範圍中的值。 NAM—LOCKs-對於後續OTAPA通信期的有效NAM的 SPASM保護的網路控制狀態。 NAM_LOCK_STATE-用於OTAPA的行動站可程式編寫 參數的鎖定狀態。若NAM_LOCK_STATE = ‘ Γ,則該參數 對於網路啟動的程式編寫被鎖定。 P-用於Diffie-Hellman密鑰協商程序的質數。 PARAM_G—密鑰交換參數G。 PARAM_Gs-密鑰交換參數G。 PARAM—P-密鑰交換參數P。 PARAM_Ps-密鑰交換參數P。 PR_LISTs-p—較佳漫遊歹4表。包含用於幫助行動站系統 選擇和獲取處理的資訊。當斷電時被行動站保留。 PRL_BLOCK_ID_CURRENTs—在行動站中臨時儲存的 當前較佳漫遊列表的參數區塊識別符。 55 201127099 PUZLs-p—較佳使用者區歹表。包含在使用者區選擇和獲 取處理期間幫助行動站的資訊。當斷電時被行動站保留。 PUZL_P_REVp-行動站PUZL下載程序的協定修訂版。 RAND_SEED-在行動站中臨時儲存的128位元模式的秘 密。 RKp-在行動站中永久儲存的128位元模式的秘密。 RK_TEMPs-在行動站中臨時儲存的 128位元模式的秘 密。 SPCp—服務程式編寫代碼。向行動站分配並且被授權的 網路實體已知的秘密代碼。基地台使用等於SPCp的代碼 來對行動站參數進行解鎖以用於程式編寫或重新程式編 寫。 SPCs-在行動站中臨時儲存的月艮務編碼代碼。 SPL·一P_REVp—行動站月艮務程式編寫鎖定的協定修訂版。 SP_LOCK_STATE—行動站可程式編寫參數的鎖定狀 態。若SP_LOCK_STATE=‘l’,則該參數對於程式編寫被 1 鎖定。 SSPR_P_REVp-行動站SSPR下載程序和PRL·格式化的 協定修訂版。 SECURE_MODE_INDs- 安全模式指示。若 SECURE—MODE—INDs^ Γ,貝】J當前的程式編寫通信期在安 全模式中。 WLAN_Kp-在行動站中永久儲存的 128位元模式的秘 密。 56 201127099 x-由行動站產生的亂數。 γ-由基地台產生的亂數。 可以在 3GPP2 網 站 http://www.3gpp2.Org/Public_html/specs/C.S001 6-D%20vl. 0—OTASP.pdf 處的 C.S.0016-D vl.O 中找到行動站的 οτΑ 服務供給的另外的說明’該文件的全部内容以引用的方式 併入本文中。 以下下標用於使用於描述行動站的操作的數位資訊清 晰:「s」指示在行動站的臨時記憶體中儲存的值,「r」指 不由行動站經由前向類比控制通道或CDMA前向通道接 收的值,「P」指示在行動站的永久安全和標識記憶體中設 置的值,而「S-P」指示在行動站的半永久安全和標識記憶 體中儲存的值。 每個行動站被分配單個唯一的32位元的序列號(ESN) 或單個唯-的56位元的二進位序列號(願D),在未使行 動站無效的情況下,其不能被用戶改變。 表3·5·1·7-1包括特徵識別符資訊: 57 201127099 表 3.5.1.7-1 特徵 FEATURE ID FEATURE_ P REV FEATURE_P_R EV說明 NAM下載 (DATA_P_ REV) ^000000005 ‘00000010, 在本文中規定 的NAM下載 密鑰交換 (A_KEY_ 40000000Γ ‘00000010, 在本文中規定 的密鑰供給 P_REV) ^oooooir 在本文中規定 的密鑰和3 G根 密鑰供給 ‘00000100, 在本文中規定 的3G根密鑰供 給 ‘00000101’ 在本文中規定 的增強的3G根 密鑰供給 ‘00000110, 在本文中規定 的服務密鑰產 生 ‘00000111, 在本文中規定 的eHRPD根密 输供給 58 201127099 ‘00001000, 在本文中規定 的 增強的 eHRPD根密鑰 供給 較佳漫遊的 系統選擇 (SSPR_P_ REV) ‘00000010, ‘00000001, 使用較佳漫遊 列表對較佳漫 遊進行系統選 擇 ‘00000010, 保留 ‘00000011, 使用與 ‘00000011’ 的 SSPR_P_REV 相關聯的擴展 的較佳漫遊列 表對較佳漫遊 進行系統選擇 服務程式編 寫鎖定 (SPL_P_R EV) {0000001 Γ ‘00000001, 在本文中規定 的服務程式編 寫鎖定 空中傳輸參 數管理 (OTAPA_P ‘00000100’ ‘00000001, 在本文中規定 的空中傳輸參 數管理 59 201127099
_REV) 較佳使用者 區 歹>】 表 (PUZL_P_ REV) ‘00000101’ ‘00000010, 在本文中規定 的較佳使用者 區列表 3G封包資 料(3GPD) '00,0001 10' '0000001 Γ 在本文中規定 的3G封包資料 安全模式 (SECURE _MODE_P_ REV) 4000001 1 Γ ‘00000001, 當根密鑰Κ不 可用時在本文 中規定的安全 模式 ‘00000010, 當根密鑰Κ可 用時在本文中 規定的安全模 式 多媒體域 (MMD) ‘00001000’ ‘00000001’ 在本文中規定 的MMD 系統標藏下 載 (TAG_P_R EV) ‘00001001, ‘00000001, 在本文中規定 的系統標籤下 載 多媒體訊息 傳遞服務 ‘00001010, ‘00000001, 在本文中規定 的MMS 60 201127099 (MMS ) 多模式系統 選 擇 (MMSS) ‘00001011’ ‘ooooooor 在本文中規定 的 MMSS 被保留用於 未來標準化 ‘00000110 0’到 ‘10111111, 可用於製造 商特有的特 徵 ‘11000000’ 到 ‘11111110’ 參見[4] 保留 ‘1111111Γ 表3.5.1.2-1結果代碼 RESULT_CO 訊息參數描述 DE ‘οοοοοοοο’ 被接受·-操作成功 ‘00000001, 被拒絕-未知原因 ‘00000010, 被拒絕-資料大小不匹配 ‘00000011’ 被拒絕-協定版本不匹配 ‘00000100, 被拒絕-無效參數 ‘00000101, 被拒絕- SID/NID長廑不匹配 ‘00000110, 被拒絕-在本模式中未預期的訊 息 61 201127099 ‘00000111’ 被拒絕-不支援的BLOCK_ID值 ‘00001000, 被拒絕-較佳漫遊列表長度不匹 配 ‘00001001, 被拒絕-CRC錯誤 ‘00001010, 被拒絕-行動站被鎖定 ‘00001011, 被拒絕-無效的SPC ‘00001100, 被拒絕-使用者拒絕SPC改變 ‘00001101, 被拒絕-無效的SPASM ‘00001110, 被拒絕-在本模式中未預期的 BLOCK ID 4000011115 被拒絕-使用者區已經在PUZL 中 ‘00010000, 被拒絕-使用者區不在PUZL中 ‘00010001, 被拒絕-在PUZL中沒有條目 '00010010' 被拒絕-操作模式不匹配 '0001001 1, 被 拒 絕 -SimplelP MAX_NUM_NAI 不匹配 '00010100' 被 拒 絕 -SimplelP MAX_NAI_LENGTH 不匹配 '00010101' 被 拒 絕 -MobilelP MAX_NUM_NAI不匹西己 '000101 10' 被 拒 絕 -MobilelP MAX_NAI_LENGTH 不匹配 62 201127099
'000101 1 1' 被 拒 絕 -SimplelP PAP MAX_SS_LENGTH 不匹配 '00011000' 被 拒 絕-SmplelP CHAP MAX_SS_LENGTH 不匹配 '00011001, 被 拒 絕 -MobilelP MAX_MN-AAA_SS_LENGTH 不 匹配 '00011010' 被 拒 絕 -MobilelP MAX_MN-HA_SS_LENGTH 不匹 配 '00011011' 被 拒 絕 -MobilelP MN-AAA_AUTH_ALGORITHM 不匹配 '00011100, 被 拒 絕 -MobilelP MN-HA_AUTH_ALGORITHM 不 匹配 '00011101' 被 拒 絕 -SimplelP ACT_NAI_ENTRY_INDEX 不匹 配 丨 00011 110' 被 拒 絕 -MobilelP ACT_NAI_ENTRY—INDEX 不匹 配 '00011 1 11' 被 拒 絕 -SimplelP PAP 63 201127099 NAI_ENTRY_INDEX 不匹配 '00100000' 被拒絕 SimplelP CHAP NAI_ENTRY_INDEX 不匹配 Ό010000Γ 被 拒 絕 -MobilelP NAI_ENTRY—INDEX 不匹配 '00100010' 被拒 絕-未預期的 PRL_BLOCK_ID 改變 '00100011' 被拒絕-PRL格式不匹配 '00100100' 被拒絕-HRPD 存取認證 MAX_NAI_LENGTH 不匹配 '00100101' 被拒絕-HRPD存取認證CHAP MAX_SS_LENGTH 不匹配 4001001105 被拒絕-MMD MAX_NUM._IMPU 不匹配 ‘00100111’ 被 拒 絕 -MMD MAX_IMPU_LENGTH 不匹配 ‘00101000’ 被 拒 絕 -MMD MAX_NUM_P-CSCF 不匹配 ‘00101001, 被 拒 絕 -MMD MAX_P-CSCF_LENGTH 不匹酉己 ‘00101010, 被拒絕-未預期的系統標籤 BLOCK_ID 改變 ‘00101011, 被拒絕-系統標籤格式不匹配 64 201127099 ‘00101100’ 被拒絕—NUM_MMS_URI不匹配 ‘00101101, 被拒絕-MMS_URI_LENGTH 不 匹配 ‘00101110, 被拒絕-無效的MMS_URI ‘00101111’ 被 拒 絕 --MMSS NUM_MLPL_REC 不匹配 ‘00110000, 被拒絕-MMSS NUM_MSPL_REC 不匹配 ‘00110001, 被 拒 絕 -MMSS NUM_WLAN_AIR_INT 不匹配 '00110010'-40 1111111, 保留用於未來的標準化 ‘ 10000000’-‘ 1 1111110’ 可用於製造商特有的結果代碼 定義。參見[4]。 ‘11111111, 保留 表3·5·8-1列出了在3GPD配置請求訊息和3GPD配置回 應sfL息中使用的參數區塊的類型。 表3.5.8-1 3GPD參數區塊類型 參數區塊類型 BLOCK ID 參考 3GPD操作能力參數 ‘ΟΟΟΟΟΟΟίΤ 3.5.8.1 3GPD操作模式參數 ‘00000001, 3.5.8.2 65 201127099
SimplelP能力參數 ‘00000010, 3.5.8.3 MobilelP能力參數 £0000001 Γ 3.5.8.4 SimplelP使用者簡檔參數 ‘00000100, 3.5.8.5 MobilelP使用者簡檔參數 ‘00000101’ 3.5.8.6 SimplelP狀態參數 4000001105 3.5.8.7 MobilelP狀態參數 ‘00000111’ 3.5.8.8 SimplelP PAP SS 參數1 ‘00001000’ 3.5.8.9 SimplelP CHAP SS 參數1 ‘00001001, 3.5.8.10 MobilelP SS 參數1 ‘ΟΟΟΟΙΟΙίΤ 3.5.8.11 HRPD存取認證能力參數 ‘00001011, 3.5.8.12 HRPD存取認證使用者簡 檔參數 ‘00001100, 3.5.8.13 HRPD存取認證CHAP SS 參數1 ‘00001101’ 3.5.8.14 eHRPD AKA演算法能力 参数 00001110 3.5.8.15 eHRPD MILENAGE 演算 法参数2 00001111 3.8.5.16 保留 ‘000010000, 到 ‘11111111, 1共享的秘密參數不應當不加密地在空中傳輸傳 輸。 66 201127099 MILENAGE演算法參數不應當不加密地^^ 傳輸傳輸0 3GPD參數區塊-表4.5.7-1 以下表4.5.7-1列出了在3GPD下載請求訊息和
下 參數區塊類型 BLOCK ID . 4.5.7.3 3GPD操作模式參數 ------—-一 ‘00000000, SimplelP使用者簡檔參數 ‘00000001’ MobilelP使用者簡稽參數 ‘00000010, SimplelP狀態參數 ‘00000110, ----- 4.5.7.4 MobilelP狀態參數 ‘00000111, ~ ... 4.5.7.5 SimplelP PAP SS 參數1 ‘00001000’ 4.5.7.6 SimplelP CHAP SS 參數1 ‘00001001’ 4.5.7.7 MobilelP SS 參數1 ‘00001010, 4.5.7.8 HRPD存取認證使用者簡 檔參數 ‘00001011, 4.5.7.9 HRPD存取認證CHAP SS 參數1 ‘00001100, 4.5.7.10 eHRPD MILENAGE 演算 法参数2 00001101 4.5.7.11 保留 ‘00001110, 到 67 201127099 _匕1111111 Γ__ 1共享的秘密參數不應當不加密地在空中傳輸傳 輸。 2 MILENAGE演算法參數不應當不加密地在空中 傳輸傳輸。_一 _ 5.2.1密鑰交換參數的產生。基地台應當根據以下標準 來選擇和儲存512位元的質數ρ: •應當隨機地選擇Ρ。 • (Ρ-1)應當具有大質數因’數。 • Ρ的最高有效位元應當等於‘1,。 基地台應當將MS密鑰請求訊息的pAram_P設置為sp。 基地台應當選擇160位元數G’使得其大於1並且小於 (P-1)。基地台應當將MS密鑰請求訊息的paraM_G設置 為G。 基地台應當產生在計算基地台結果BS_RESULT中使用 的亂數Y。數Y應當具有以下屬性: •所產生的數應當是160位元長。 •所產生的數應當不小於4。 •所產生的數應當在其範圍上具有均勻的統計分佈。 •在編制由同一基地台發送的不同密鑰產生請求訊息中 使用的數應當在統計上不相關。 •在編制由不同基地台發送的密鑰產生請求訊息中使用 的數應當在統計上不相關。 5,3.1Diffie-Hellman密鑰協商程序的亂數產生。行動站 68 201127099 應當將在電腦行動站結果 MS_RESULT 中使用的 PARAM—Ps設置為以下1024位元質數(最高有效位為先): OxFFFFFFFF OxFFFFFFFF 0xC90FDAA2 0x2168C234 0xC4C6628B 0x80DClCDl 0x29024E08 0x8A67CC74
0x020BBEA6 0x3B139B22 0x514A0879 0x8E3404DD 0xEF9519B3 0xCD3A431B 0x302B0A6D 0xF25F1437 0x4FE1356D 0x6D51C245 0xE485B576 0x625E7EC6 0xF44C42E9 0xA637ED6B 0x0BFF5CB6 0xF406B7ED 0xEE386BFB 0x5A899FA5 0xAE9F2411 0x7C4BlFE6
0x49286651 0xECE65381 OxFFFFFFFF OxFFFFFFFF 行動站應當將在計算MS_RESULT中使用的PARAM_Gs 設置為 ‘00000010’。 行動站應當產生用於計算MS_RESULT的亂數X。數X 應當具有以下屬性: •所產生的數應當是256位元長。 •所產生的數應當不小於4。 •所產生的數應當在其範圍上具有均勻的統計分佈。 •在編制由同一行動站發送的不同密鑰產生回應訊息中 使用的數應當在統計上不相關。 •在編制每個密鑰產生響應訊息中使用的數應當不叮從 先前使用的數或行動站指示符值得出 •在編制由不同基地台發送的密鑰產生回應訊息中使用 的數應當在統計上不相關。 上文使用的數可以是OAKLEY IETF標準的一部分。但 69 201127099 是,亦可以使用任何適當的質數。 5.3.3對於A_KEY_P_REV=‘00000011,的密餘和根密餘 計算 行動站應當計算對於/0的輸入、隨機秘密種子之一, RAND_SEED_TEMP=BS_RESULTsX 模 PARAM_Ps。行動 站將結果RAND_SEED_TEMP的128個最低有效位元儲存 為 RAND_SEED。 藉由引動在[8]的章節2.2.2_2中規定的演算法函數/0來 產生A_KEY和3G根密鑰RK。因為/0的每次引動產生64 位元,因此對於總共1 92位元需要三次/0引動。 對於演算法函數/0的輸入參數應當被設置如下: •K參數應當被設置為RAND_SEED。 • fi參數應當被設置為0x41。 •Fmk參數應當被設置為0x41484147。 行動站應當引動穴。 行動站應當將/0的引動結果的最高有效位元儲存為 A_KEY_TEMPs。 行動站應當將/〇的引動的剩餘的128位元儲存為 RK_TEMPs。 5.4.1密鑰交換參數根密鑰的產生。其涉及對於 A+KEY—P+REV^OOOOOOll’ 或 ‘OOOOOIOO’ 的基地台要求。 基地台應當將在計算基地台結果bs_result中使用的 PARAM Ps設置為以下1024位元質數(最高有效位元為 —— 先): 70 201127099
OxFFFFFFFF OxFFFFFFFF 0xC90FDAA2 0x2168C234 0xC4C6628B 0x80DClCDl 0x29024E08 0x8A67CC74 0x020BBEA6 0x3B139B22 0x514A0879 0x8E3404DD 0xEF9519B3 0xCD3A431B 0x302B0A6D 0xF25F1437 0x4FE1356D 0x6D51C245 0xE485B576 0x625E7EC6 0xF44C42E9 0xA637ED6B 0x0BFF5CB6 0xF406B7ED 0xEE386BFB 0x5A899FA5 0xAE9F2411 0x7C4BlFE6 0x49286651 0xECE65381 OxFFFFFFFF OxFFFFFFFF 基地台應當將在計算BS_RESULT中使用的PARAM_Gs 設置為 ‘00000010’。 基地台應當產生在計算BS_RESULT中使用的亂數Y。 數Y應當具有以下屬性: •所產生的數應當是256位元長。 •所產生的數應當不小於4。 •所產生的數應當在其範圍上具有均勻的統計分佈。 •在編制由同一基地台發送的不同密鑰產生請求訊息中 使用的數應當在統計上不相關。 •在編制由不同基地台發送的密錄產生請求訊息中使用 的數應當在統計上不相關。 5.5 對於 A_KEY_P_REV=‘00000101,的行動站要求 5.5.1亂數產生和密鑰產生參數 行動站應當將在計算行動站結果MS_RESULT中使用的 PARAM_Ps設置為在5.3.1中規定的1024位元質數。 71 201127099 行動站應當將在計算MS_RESULT中使用的PARAM_Gs 設置為 ‘00001101’。 行動站應當產生用於計算MS_RESULT的亂數X。數χ 應當具有以下屬性: •所產生的數應當是3 84位元長。 •所產生的數應當不.小於4。 •所產生的數應當在其範圍上具有均勻的統計分佈。 •在編制由同一基地台發送的不同密鑰產生回應訊息中 使用的數應當在統計上不相關。 •在編制每個密錄產生響應訊息中使用的數應當不可從 先前使用的數或行動站指示符值得出。 •在編制由不同基地台發送的密鑰產生回應訊息中使用 的數應當在統計上不相關。 5.5.2行動站·結果 行動站應當計算MS_PW_HASH如下: MS_PW_HASH=SHA-1 (0x0000000 1,0x0000000 1,MS_PW)模 2128| SHA-1 (0x00000001,0x00000002,MS_PW)^ 2128| SHA-1 (0x00000001,0x00000003,MS_PW)模 2128| SHA-1 (0x00000001,0x00000004,MS_PW)^ 2128| SHA-1 (0x00000001,0x00000005,MS_PW)模 2128| SHA-1 (0x00000001,0x00000006,MS_PW)模 2128丨 SHA-1 (0x00000001,0x00000007,MS_PW)模 2128丨 SHA-1 (0x00000001,0x00000008,MS_PW)模 2128丨 72 201127099 SHA-l (0x00000001,{)x00000009,MS_PW)模 2128° 行 動站應 當計算 MS_RESULT=(MS_PW_HASH*PARAM_GsX) 模 PARAM_Ps。MS_PW—HASH可以在相乘之前是減小的模 PARAM_PS以簡化實施。SHA-1係指下述文件中規定的 FIPS-180 散歹函數:C.S0024-A ,「High Rate Packet Data Air Interface Specification j,2004 年 4 月。 5.5.3 對於 A_KEY_P_REV=‘00000101’的根密鑰計算 行動站應當計算根密鑰 RK=SHA-1 (0x00000003 I 0x00000C80 (此值被設置為MS_PARAM的位元長度) |MS_PARAM |MS_PARAM), 其中 MS_PARAM=MS一PW| PARAM_GsX 模 PARAM_PS| (BS_RESULTs/BS_PW_HASH) 模 PARAM_Ps|((BS_RESULTs/BS_PW_HASH)X) 模 PARAM_PSP。 行動站應當將結果RK的128個最低有效位元儲存為 RK_TEMPs。 5.6 對於 A_KEY_P_REV=‘00000101,的基地台要求 5.6.1亂數產生和密鑰產生參數 基地台應當將在計算基地台結果BS_RESULT中使用的 PARAM_Ps設置為在5.4.1中規定的以下1024位元質數(最 高有效位為先)。 基地台應當將在計算BS_RESULT中使用的PARAM_Gs 73 201127099 設置為 ‘00001101’。 基地台應當產生在計算BS_RESULT中使用的亂數Y。 數Y應當具有以下屬性: •所產生的數應當是3 84位元長。 •所產生的數應當不小於4。 •所產生的數應當在其範圍上具有均勻的統計分佈。 •在編制由同一基地台發送的不同密鑰產生請求訊息中 使用的數應當在統計上不相關。 •在編制由不同基地台發送的密鑰產生請求訊息中使用 的數應當在統計上不相關。 5.6.2基地台結果 基地台應當計算BS_PW_HASH,其中 BS_PW_HASH=SHA-1 (0x00000002,0x00000001 ,BS_PW) 模2128丨 SHA-1 (0x00000002,0x00000002,BS_PW)模 2128| SHA-1 (0x00000002,0x00000003,BS_PW)^ 2128| SHA-1 (0x00000002,0x00000004,BS_PW)^ 2128| SHA-1 (0x00000002,0x00000005,BS_PW)模 2128丨 SHA-1 (0x00000002,0x00000006,BS—PW)模 2128| SHA-1 (0x00000002,0x00000007,BS_PW)模 2128丨 SHA-1 (0x00000002,0x00000008,BS_PW)模 2128| SHA-1 (0x00000002,0x00000009,BS_PW)模 2128° 基 地台應 當計算 BS—RESULT=(BS_PW_HASH*PARAM一GY)模 PARAM P。 201127099 BS_PW_HASH在相乘之前可以是減小的模p以簡化實施。 在上文的描述中,出於解釋的目的,闡明了許多特定細 節以提供對一或多個態樣的透徹理解。然而,顯而易見 地,可以在沒有該等特定細節的情況下實施該等態樣。 如本案中所使用,術語「元件」、「模組」、「系統」等意 圖包括電腦相關的實體,例如但不限於,硬體、韌體、硬 體和軟體的組合、軟體或執行中的軟體。例如,元件可以 是但不限於:處理器上執行的程序、處理器、物件 (object)、可執行播案(exeeutaMe)、執行線程、程式及 /或電腦。舉例而言’計算設備上執行的應用程式和計算設 t都可以是元件。—或多個元件可以常駐在程式及/或執行 =内’並且元件可以位於—個電腦上,及/或被分佈在兩 二以上電腦之間。此外’可以從其上儲存有各種資 科,、、。構的各種電腦可讀取媒體執行該等元件。該等元件可 7如根據具有—或多個資料封包的信號藉由本地及/或 一 M 仃通Λ例如,藉由該信號,來自一個 ΓΓ料與本㈣統、分散❹統中的另-元件進行互 此^或跨越諸如網際網路等網路與其他系統進行互動。 線終端或無線終端。坟端亦了』樣,該終端可以是有 單元、用戶站、行動站、行動設備'用戶 遠端終端 '存取終端、使用、:、、遠端站、 用者代理、使用者設備、或使丄終設備、使 可以是蜂巢式電話、衛星m ()無線終^ 热踝電活、通信期啟動協 75 201127099 =)電話、無線區域迴路(WLL)站、個人數位助理 二)、具有無線連接能力的手持設備、計算設備、或連 接到無線數據機的其他處 、 又備。此外,本文結合基地台 W各種態樣。基地台可以用來與無線終端進行通訊, 並且亦可以被稱為存取點、節點B或一些其他術語。 此外術邊「或」意思是包含性的「或」而非排他性的 「或」。亦即,除非另外指明或者可以從上下文清楚看出, 否則用語「X採用A《Bj意思是自然包含的排列 (permutation )中的任意—個。亦即以下實例中的任意 一個都滿足用語Δ + u X株用Α或Β」:χ採用α;Χ採用β; 或X採用Α和Β。此外’除非另外指明或者可以從上下文 清楚看出指的是單數形式,否則本案和所附請求項中所使 用的冠詞「一個」應該被一般地解釋成表示「一或多個」。 本文描述的技術可以用於各種無線通訊系統,例如分碼 多工存取(CDMA )網路、分時多工存取(TDMA )網路' 分頻多工存取(FDMA )網路、正交FDMA ( 〇FDMA )網 路、單載波FDMA ( SC-FDMA)網路以及其他系統。術語 「系統」和「網路」通常可互換地使用。CDMA系統可以 實施例如通用陸地無線電存取(UTRA )、CDMA2000等等 的無線電技術。UTRA包括寬頻CDMA ( W-CDMA )和 CDMA 的其他變體。此外 ’ CDMA2000 涵蓋 IS-.2000、IS-95 和IS-856標準。TDMA系統可以實施例如行動通訊全球系 統(GSM )等無線電技術。OFDMA系統可以實施例如演 進型 UTRA ( E-UTRA)、超行動寬頻(UMB)、IEEE 802.11 76 201127099 (Wi-Fi )、IEEE 802.16 ( WiMAX ) > IEEE 802.20 ' Flash-OFDM®等等的無線電技術。UTRA和E-UTRA是通 用行動電信系統(UMTS )的一部分。3GPP長期進化(LTE ) 是使用E-UTRA的UMTS的版本,其在下行鏈路上採用 OFDMA而在上行鏈路上採用SC-FDMA°UTRA、E-UTRA、 UMTS、LTE和GSM在來自於名為「第三代合作夥伴專案」 (3GPP )的組織的文件中有描述。另夕卜,CDMA2000和 UMB在來自於名為「第三代合作夥伴專案2」(3GPP2 )的 組織的文件中有描述。此外,該等無線通訊系統可以另外 包括同級間(例如,行動設備對行動設備)的ad-hoc網路 系統,後者通常使用不成對的非授權頻譜、802.XX無線 LAN、藍芽以及任何其他短距離或長距離無線通訊技術。 單載波分頻多工存取(SC-FDMA)是一種利用單載波調 制和頻域均衡的技術。SC-FDMA系統與OFDMA系統具有 相似的效能和基本相同的整體複雜度。SC-FDMA信號由 於其固有的單載波結構而具有更低的峰均功率比 (PAPR)。SC-FDMA已經引起很大關注,尤其是在上行鏈 路通訊中,其中更低的PAPR在發射功率效率方面對行動 終端非常有利。在3GPP長期進化(LTE )或演進型UTRA 中,使用SC-FDMA技術是針對上行鏈路多工存取態樣的 當前工作假設。 各種態樣或特徵將根據可以包括多個設備、元件、模組 等的系統來加以闡明。應該理解並意識到,各種系統可以 包括附加的設備、元件、模組等,及/或可以不包括結合附 77 201127099 圖所討論的所有設備、元件、模組等。亦可以使用該等方 式的組合。 結合本文揭示的實施例所描述的各種說明性的邏輯、邏 輯區塊、模組及電路可以用被設計為執行本文所描述的= 能的通用處理器、數位信號處理器(DSp)、特殊應用積體 電路(ASIC)、現場可程式閘陣列(FpGA)或其他可程式 邏輯裝置、個別閘門或電晶體邏輯、個別的硬體元件、或 者其任意組合來實施或執行。通用處理器可以是微處理 器,但是或者,處理器可以是任何一般的處理器、控制器、 微控制器或狀態機。處理器亦可以實施為計算設備的組 。,例如,DSP和微處理器的組合、複數個微處理器、與 DSP核心協同工作的一或多個微處理器,或者任何其他該 種配置。此外,至少一個處理器可以包括一或多個用於執 行上文描述的一或多個步驟及/或操作的構件。 此外,結合本文所揭示的態樣所描述的方法或演算法的 步驟及/或操作可以用硬體、處理器執行的軟體模組,或者 兩者的組合來直接實施。軟體模組可以常駐在RAM記憶 體、快閃記憶體、ROM記憶體、EPR〇m記憶體、EEpR〇M 。己隐體、暫存H、硬碟、可移除磁碟、cd_r〇m或本領域 已头的任何其他形式的儲存媒體中。示例性儲存媒體可以 被耦合到處理器,從而處理器可以從該儲存媒體讀取資 讯:並將資訊寫入其中。或者,儲存媒體可以是處理器的 組成部分°此外’在-些態樣中,處理器和儲存媒體可以 位於ASIC中。另外’ ASIC可以位於使用者終端中。或者, 78 201127099 處理器和儲存媒體可以作為個別元件而位於使用者終端 中。另外,在一些態樣中,方法或演算法的步驟及/或操作 可以作為代碼及/或指令中的一個或任意組合或集合而位 於機器可讀取媒體及/或電腦可讀取媒體上,該媒體可以被 包括在電腦程式產品中。 在一或多個態樣中,所描述的功能可以用硬體、軟體、 韌體或其任意組合來實施。若用軟體實施,則該等功能可 以作為一或多個指令或代碼在電腦可讀取媒體上被儲存 或傳輸。電腦可讀取媒體包括電腦儲存媒體和通訊媒體, 通訊媒體包括便於電腦程式從一個位置到另一個位置的 傳送的任何媒體。儲存媒體可以是電腦可以存取的任何可 用媒體。舉例而言但並非限制,該種電腦可讀取媒體可以 包括RAM、ROM、EEPROM、CD-ROM或其他光碟儲存' 磁片儲存或其他磁儲存設備,或者可以用來裝載或儲存指 令或資料結構形式並且可以被電腦存取的期望的程式碼 的任何其他媒體。此外,任意連接都可以被稱作電腦可讀 取媒體。例如,若使用同轴電纜、光纖電纜、雙絞線、數 位用戶線路(DSL )或無線技術(例如紅外、無線電和微 波)從網站、伺服器或其他遠端源發送軟體,則該等同軸 電纜、光纖電纜、雙絞線、DSL或無線技術(例如紅外' 無線電和微波)被包括在媒體的定義中。如本文所使用, 磁片(Disk)和光碟(disc)包括壓縮光碟(CD)、雷射光 碟、光碟、數位多功能光碟(DVD)、軟碟以及藍光光碟, 其中磁片(disk)通常以磁性方式再現資料,而光碟(disc) 79 201127099 以上装置的組合亦應該 通常用雷射以光學方式再現資料。 被包括在電腦可讀取媒體的範圍内 儘管上文的揭示内容討論了說明性的態樣及/或實施 例,但是應該注意到,可以在不偏離所附請求項所定義的 所述態樣及/或實施例的錢的情況下,作出各種改變和修 改。此外,#管所描述的態樣及/或實施例的部件可能被描 述或要求為單數形式,但是除非明確聲明限制為單數形 式’否則可以設想為複數形式。另外,除非另外聲明,否 則任何態樣及/或實施例的全部或部分都可以與任何其他 態樣及/或實施例的全部或部分一起使用。 【圖式簡單說明】 上文結合附圖來描述所描+ μ能# 疋所揭不的態樣,該等附圖被提供來 說明而不疋限制所揭示的能媒 -y* rb 4-0 / 句丁的態樣,其中相似的附圖標號表示 相似的要素’並且其中: 圖1圖示賦能在存取設備處進行認證身份碼的〇TA供給 的不例性通訊系統的態樣。 圖2圖示在存取設備處進行認證身份碼的0ΤΑ供給的示 例性方法的態樣。 圖3圖示經由存取系統進行認證身份碼的0ΤΑ供給的示 例性方法的態樣。 圖4圓示經由另一個在 個存取系統進行用於-個存取系統的 5忍證身份碼的0ΤΑ #认认- 供的不例性撥叫流程圖的態樣。 圖5圓示經由另一個在 個存取系統進行用於一個存取系統的 80 201127099 認證身份碼的OTA供給的示例性撥叫流程圖的另外的態 樣。 圖6圖示通訊系統的方塊圖。 圖7圖示用於接收經由另一個在 . 力仔取系統進行的用於/個 存取系統的認證身份碼的OTA供仏认恭 J 伢給的電腦設備。 圖8圖示用於執行經由另一個农 力1固存取系統進行的用於一個 存取系統的認證身份碼的〇TA供給的電腦設備。 圖9圖示從另一個存取系統接收 士技鱼八個存取系統的認 姐身伤碼的OTA供給的系統。 圖1〇圖示在存取設備處執行用於另— 證身份碼的0TA供给的系统。 ! S統的認 【主要元件符號說明】 110 使用者裝備(UE ) /行動站 120 第一存取系統 140 第二存取系統 150 供給元件 160 協定能力決定器 170 s忍證身份碼元件 180 認證元件 201 步驟 202 步驟 203 步驟 204 步驟 81 步驟 步驟 步驟 步驟 步驟. 步驟 步驟 步驟 步驟 步驟 步驟 步驟 步驟 步驟 步驟 步驟 步驟 步驟 步驟 步驟 步驟 步驟 步驟 步驟 82 201127099 519 520 521 522 523 600 610 612 614 620 622a 622t 624a 624t 630 632 636 638 640 642 650 652a 652r 654a 步驟 步驟 步驟 步驟 步驟 ΜΙΜΟ系統 發射機系統 資料源 發射(ΤΧ)資料處理器 ΤΧ ΜΙΜΟ處理器 發射機(TMTR) 發射機(TMTR) 天線 天線 處理器 記憶體 資料源 ΤΧ資料處理器 解調器 RX資料處理器 接收機系統 天線 天線 接收機(RCVR) 83 接收機(RCVR) RX資料處理器 處理器 記憶體 調制器 電腦設備/存取設備 處理器 記憶體 通訊元件 資料儲存設備 使用者介面元件 OTA供給元件 發射機 接收機 認證身份碼元件 電腦設備/網路裝置 處理器 記憶體 通訊元件 資料儲存設備 使用者介面元件 OTA供給系統 接收機 發射機 84 201127099 809 900 902 904 906 908 910 912 914 1000 1002 1004 1006 1008 1010 協定能力決定器 系統 邏輯組 用於連接到第一存取系統的模組 用於請求用於第二存取系統的認證身份碼的 空中傳輸供給的模組 用於接收用於第二存取系統的認證身份碼的 空中傳輸供給的模組 用於連接到第二存取系統的模組 用於提供所供給的認證身份碼以便執行向第 二系統的認證的模組 記憶體 系統 邏輯組 用於在第一存取系統處接收啟始自存取設備 的撥叫的模組 用於將撥叫引導到供給系統的模組 用於決定存取設備的協定能力的模組 用於在存取設備處經由第一存取系統來執行 認證身份碼的空中傳輸供給的模組 記憶體 85 1012

Claims (1)

  1. 201127099 七、申請專利範圍: 1. 一種用於空中傳輸供給的方法,包括以下步驟: 連接到一第一存取系統; 請求用於一第二存取系統的認證身份碼的空中傳輸供 給’其中該第二存取系統缺少一空中傳輸供給程序; 經由該第一存取系統來接收用於該第二存取系統的認證 身份碼的空中傳輸供給; 連接到該第二存取系統;及 向該第二存取系統提供所供給的認證身份碼,以便執行向 該第二存取系統的認證。 2. 如請求項1之方法,其中該等認證身份碼包括認證和 也、输協商(AKA )認證身份碼,該方法進一步包括以下步 驟: 使用該等A-KA認證身份碼來執行向該第二存取系統的 AKA認證。 3.如凊求項2之方法,其中該第二存取系統包括一 3Gpp 核心網,並且該第-存取系統是一非3Gpp核心網。 4·如明求項3之方法,其中該空中傳輸供給包括使用一 基於Diffie_Hellman的協定來建立一密瑜。 R6 201127099 5. 如請求項3之方法,其中該空中傳輸供給包括使用一 Diffie-Hellman協定來交換一密碼認證密鑰。 6. 如請求項3之方法,其中所空中傳輸供給的認證身份 碼包括以下項中的至少一項:一 3GPP AKA認證根密鑰 (K )、AKA認證相關參數或一要用於向該第二存取系統的 認證的AKA認證演算法。 7. 如請求項6之方法,其中所空中傳輸供給的認證身份 碼包括AKA認證相關參數,並且其中該等AKA認證相關 參數包括以下項中的至少一項:是否使用f5來進行SQN 隱藏,和用於AKA SQN管理的一或多個SQN號的配置。 8. 如請求項6之方法,其中所空中傳輸供給的認證身份 碼包括要用於向該第二存取系統的認-證的AKA認證演算 法,該方法進一步包括以下步驟: 從該第一存取系統接收該認證演算法的空中傳輸定製。 9. 如請求項8之方法,其中該AKA認證演算法是 MILENAGE,並且其中該認證演算法的定製包括一 OP或 一 OPc參數的定製。 10. 如請求項8之方法,其中該第一存取系統包括一 CDMA2000 系統。 87 201127099 11. 如清求項1 〇之方法,其中兮办 丹Τ这二中傳輪供給是經由空 中傳輸服務供給(OTASP)來接收的。 12. 如請求項10之方法,其中該空中傳輸供給是經由空 中傳輸網際網路(Ι0ΤΑ)來接收的。 13· -種用於接收空中傳輸供給的裝置,該裝置包括: -發射機’用於連接到一第一存取系統和一第二存取系 統, 一處理器’用於從該第一存取系統請求用於該第二存取系 統的㈣身份碼的空中傳輸供給’其中該第二存取系統缺 少一空中傳輸供給程序; -接收機’用於從該第—存取系統接收用於該第二存取系 統的認證身份碼的空中傳輸供給; 記憶體1㈣存所接收的用於該第二存取系統的認證身 份碼的空中傳輸供給;及 通元件,用於向该第二存取系統提供所供給的認證身 份碼,以便執行向該第二存取系統的認證,從而與該第二 存取系統建立一連接。 14.如請求項η之裝置,其中該等認證身份碼包括認證 和密鑰協商(AKA )認證身份碼,並且其中該空_傳輸供 給包括:使用該等AKA認證身份碼來執行向該第二存取 88 201127099 系統的AKA認證。 15. 如請求項14之裝置,其中該第二存取系統包括一 3GPP核心網,而該第一存取系統是—非3gpp核心網。 16. 如請求項15之裝置,其中該空中傳輸供給包括:使 用一基於Diffie_Hellman的協定來建立一密鑰。 17·如請求項15之裝置,其中該空中傳輸供給包括:交 換一密碼認證的Diffie-Hellman密輪協商。 18·如請求項15之裝置,其中所空中傳輸供給的認證身 份碼包括以下項中的至少一項:_ 3GppAKA認證根密鑰 (K)、AKA認證相關參數和一要用於向該第二存取系統的 認證的AKA認證演算法。 1分.如請求項1 8之裝置,其中所空中傳輸供給的認證身 份碼包括AKA認證相關參數,並且其中該等AKA認證相 關參數包括以下項中的至少一項:是否使用f5來進行SQN 隱藏’和用於AKA SQN管理的一或多個SQN號的配置。 20·如請求項18之裝置,其中所空中傳輸供給的認證身 . 份碼包括要用於向該第二存取系統的認證的AKA認證演 算法’並且其中該空中傳輸供給進一步包括:從該第一存 89 201127099 取系統接收該認證演算法的空中傳輸定製。 21. 如請求項2〇之裝置,其中該aka認證演算法曰 MILENAGE,並且其中該認證演算法的定製包括〜或 一 OPc參數的定製。 22. 如請求項2〇之裝置,其中該第一存取系统是一 CDMA2000 系統。 疋一 23. 如請求項22之裝置,其中該空中傳輸供給是經由* 中傳輸服務供給(〇TASP)來接收的。 24·如請求項22之裝置,其中該空中傳輸供給是經由办 中傳輸網際網路(IOTA )來接收的。 25· 一種用於接收空中傳輸供給的裝置,該裝置包括. 用於連接到—第一存取系統和一第二存取系統的構件; 用於請求用於一第二存取系統的認證身份碼的空中傳輸 、。的構件,其中該第二存取系統缺少一空中傳輸供給程 序; 用於從該第一存取系統接收用於該第二存取系統的認證 身份碼的空中傳輸供給的構件;及 用於向該第二存取系統提供所供給的認證身份碼,以便執 行向該第二存取系統的認證的構件。 90 201127099 26. 被配置來接收空中傳輸供給的至少一個處理器,該處 理器包括: 、 一第一模組,用於連接到一第一存取系統; 第一模組,用於請求用於第二存取系統的認證身份碼的 空中傳輸供給,其中該第二存取系統缺少一空中傳輸供給 程序, 一第二模組,用於從該第一存取系統接收用於該第二存取 系統的認證身份碼的空中傳輸供給; 一第四模組’用於連接到該第二存取系統;及 一第五模組,用於向該第二存取系統提供所供給的認證身 份碼’以便執行向該第二存取系統的認證。 27. 一種電腦程式產品,包括: 一電腦可讀取媒體’該電腦可讀取媒體包括: 一第一組代碼,用於使得一電腦連接到一第一存取系統; 一第二組代碼’用於使得一電腦請求用於第二存取系統的 認證身份碼的空中傳輸供給’其中該第二存取系統缺少一 空中傳輸供給程序; 一第三組代碼,用於使得一電腦接收用於該第二存取系統 的認證身份碼的空中傳輸供給; 一第四組代碼,用於使得一電腦連接到該第二存取系統; 及 一第五組代碼,用於使得一電腦向該第二存取系統提供所 91 201127099 供給的認證身份碼, 便執仃向該第二存取系統的認證。 28. 一種用於執行咖由神认, 工中傳輸供給的方法,該方法包括以下 步驟: 第存取系統處接收啟始自_存取設備的—撥叫; 將該撥叫引導到一供給系統; 决疋該存取設備的協定能力丨及 在該存取設備處經由㈣—存取系統來執行認證身份碼 的空中傳輸供給’其中該等認證身份碼用於第二存取系 統該第一存取系統缺少一空中傳輸供給程序。 29·如請求項28之方法,其中該等認證身份碼包括認證 和密鑰協商(AKA)認證身份碼。 3〇·如請求項29 ^法,其中該帛二存取系統包括_ 3咖核心網’而該第—存取系統是—非3咖核心網。 31.如請求項30之方法,其中執行該空中傳輸供給之步 驟包括以下步驟:使用一基於Diffie_HeUman的協定來建 立一密鑰。 32.如請求項30之方法,其中執行該空中傳輸供給之步 驟包括以下步驟:一密碼認證的Diffie_Hellman密鑰協商。 92 201127099 33. 如請求項30之方法,其中所空中傳輸供給的認證身 份碼包括以下項中的至少一項:一 3 GPP AKA認證根密鑰 (K )、AKA認證相關參數和一要用於向該第二存取系統的 認證的AKA認證演算法。 34. 如請求項33之方法,其中所空中傳輸供給的認證身 份碼包括AKA認證相關參數,並且其中該等AKA認證相 關參數包括以下項中的至少一項:是否使用f5來進行SQN 隱藏,和用於AKA SQN管理的一或多個SQN號的配置。 35. 如請求項33之方法,其中所空中傳輸供給的認證身 份碼包括該要用於向該第二存取系統的認證的AKA認證 演算法,該方法進一步包括以下步驟: 從該第一存取系統執行該認證演算法的空中傳輸定製。 36. 如請求項35之方法,其中該AKA認證演算法是 MILENAGE,並且其中該認證演算法的定製包括一 OP或 一 OPc參數的定製。 37. 如請求項 35之方法,其中該第一存取系統是一 CDMA2000 系統。 38. 如請求項37之方法,其中該空中傳輸供給是經由空 中傳輸服務供給(0TASP)來執行的。 93 201127099 39·如請求項37之方法,其中該空中傳輸供給是經由空 中傳輸網際網路(I0TA)來執行的。 40. 一種用於空中傳輸供給的裝置,該裝置包括: 一接收機’用於在-第-存取系統處接收啟始自—存取設 備的一撥叫; -處理器,用於將該撥叫引導到一供給系统,並且用於決 定該存取設備的協定能力;及 一供給系統,用於在該存取設備處經由該第一存取系統來 執行認證身份碼的空中傳輸供給,其中該等認證身份碼用 於第一存取系統,該第二存取系統缺少一空中傳輸供給程 序0 41. 如請求項40之裝置,其中該等認證身份碼是認證和 密鑰協商(AKA )認證身份碼。 42. 如請求項41之裝置’其中該第二存取系統包括一 3GPP核心網’而該第一存取系統是一非3Gpp核心網。 43. 如請求項42之裝置,其中執行該空中傳輸供給包 括··使用一基於Diffie-Hellman的協定來建立—密錄。 44. 如請求項42之裝置,其中執行該空中傳輸供給包 94 201127099 括:一密碼認證的Diffie-Hellman密输協商。 45. 如請求項42之裝置,其中所空中傳輸供給的認證身 份碼包括以下項中的至少一項:一 3GPP AKA認證根密输 (K )、AKA認證相關參數和一要用於向該第二存取系統的 認證的AKA認證演算法。 46. 如請求項45之裝置,其中所空中傳輸供給的認證身 份碼包括AKA認證相關參數,並且其中該等AKA認證相 關參數包括以下項中的至少/項:是否使用f5來進行SQN 隱藏,和用於AKA SQN管理的一或多個SQN號的配置。 47. 如請求項45之裝置’其中所空中傳輸供給的認證身 份碼包括該要用於向該第二存取系統的認證的aka認證 演算法,並且其中執行認證身份碼的空中傳輸供給包括. 從該第一存取系統執行該認證演算法的空中傳輸定製。 48. 如請求項47之裝置’其中該AKA認證演算法疋 MILENAGE,並且其中該認證演算法的定製包括一 0P或 一 QPc參數的定製。 49.如請求項47之裝置’其中該第一存取系統是一 CDMA2000 系統。 95 201127099 如明求項49之裝置中該空中傳輸供給是經由空 中傳輸服務供給(0TASP)來執行的。 51.如請求項49之裝置,其中該空中傳輸供給是經由空 中傳輸網際網路(I〇TA)來執行的。 .一種用於空中傳輸供給的裝置,該裝置包括: 用於在一第一存取系統處接收啟始自一存取設備的一撥 叫的構件; 用於將該撥叫引導到一供給系統的構件; 用於決定該存取設備的協定能力的構件;及 、於在J存取⑦備處經由該第—存取系統來執行認證身 伤碼的空中傳輸供給的構件,其中該等認證身份碼用於第 取系、先《亥第一存取系統缺少一空中傳輸供給程序。 ,該處 53 ·被配置來執行空中傳輸供給的至少一個處理器 理器包括: ° 一存取系統處接收啟始自一存取 —第一模組,用於在一第 设備的一撥叫; :第二模組’用於將該撥叫引導到-供給系統; 第一模組,用於決定該存取設備的協定能力;及 -第四模組’用於在該存取設備處經由該第—存取 ^二身&碼的空中傳輸供給,其中該等認證身份碼用 :-子取系統’該第二存取系統缺少一空中傳輪供給程 ϋ 96 201127099 序。 54. 一種電腦程式產品’包括: 一電腦可讀取媒體’該電腦可讀取媒體包括: 一第一組代碼,用於使得一電腦在一第一存取系統處接收 啟始自一存取設備的一撥叫; 一第二組代碼,用於使得一電腦將該撥叫引導到一供給系 統; 一第三组代碼,用於使得一電腦決定該存取設備的協定能 力;及 一第四組代碼,用於使得一電腦在該存取設備處經由該第 一存取系統來執行認證身份碼的空中傳輸供給,其中該等 μ也物碼用於第二存取系統,該第二存取系統缺少一空 中傳輪供給程序。 97
TW099115029A 2009-05-11 2010-05-11 Apparatus and method for over-the-air (OTA) provisioning of authentication and key agreement (AKA) credentials between two access systems TW201127099A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17713209P 2009-05-11 2009-05-11
US12/777,048 US8589689B2 (en) 2009-05-11 2010-05-10 Apparatus and method for over-the-air (OTA) provisioning of authentication and key agreement (AKA) credentials between two access systems

Publications (1)

Publication Number Publication Date
TW201127099A true TW201127099A (en) 2011-08-01

Family

ID=43085548

Family Applications (1)

Application Number Title Priority Date Filing Date
TW099115029A TW201127099A (en) 2009-05-11 2010-05-11 Apparatus and method for over-the-air (OTA) provisioning of authentication and key agreement (AKA) credentials between two access systems

Country Status (7)

Country Link
US (1) US8589689B2 (zh)
EP (1) EP2430847A2 (zh)
JP (1) JP5475113B2 (zh)
KR (1) KR101388562B1 (zh)
CN (1) CN102440016B (zh)
TW (1) TW201127099A (zh)
WO (1) WO2010132499A2 (zh)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
PL2453608T3 (pl) * 2010-11-12 2015-07-31 Deutsche Telekom Ag Sposób i urządzenia do uzyskiwania dostępu do bezprzewodowej lokalnej sieci komputerowej
GB2495550A (en) * 2011-10-14 2013-04-17 Ubiquisys Ltd An access point that can be used to establish connections with UE devices using both cellular and wifi air interfaces
EP2610826A1 (fr) * 2011-12-29 2013-07-03 Gemalto SA Procédé de déclenchement d'une session OTA
US9713000B2 (en) * 2012-03-09 2017-07-18 Omnitracs, Llc Systems and methods for performing over-the-air activation while roaming
US8850523B2 (en) * 2012-04-13 2014-09-30 Cable Television Laboratories, Inc. Watermarks for roaming
EP2704466A1 (en) 2012-09-03 2014-03-05 Alcatel Lucent Smart card personnalization with local generation of keys
EP2704467A1 (en) * 2012-09-03 2014-03-05 Alcatel Lucent Smart card initial personnalization with local generation of keys
US20150359026A1 (en) * 2012-12-21 2015-12-10 Nec Corporation Radio communication system, radio access network node, communication device, and core network node
WO2014209380A1 (en) * 2013-06-28 2014-12-31 Intel Corporation Open and encrypted wireless network access
US9363736B2 (en) * 2013-12-16 2016-06-07 Qualcomm Incorporated Methods and apparatus for provisioning of credentials in network deployments
KR101898934B1 (ko) * 2014-03-26 2018-09-14 삼성전자주식회사 통신 시스템에서 인증 방법 및 장치
EP3146742B1 (en) * 2014-05-20 2019-07-31 Nokia Technologies Oy Exception handling in cellular authentication
US10484187B2 (en) 2014-05-20 2019-11-19 Nokia Technologies Oy Cellular network authentication
GB2526619A (en) 2014-05-30 2015-12-02 Vodafone Ip Licensing Ltd Service provisioning
US10785645B2 (en) * 2015-02-23 2020-09-22 Apple Inc. Techniques for dynamically supporting different authentication algorithms
US10447452B2 (en) * 2015-07-13 2019-10-15 Advanced Micro Devices, Inc. Hardware controlled receive response generation
CN107113531B (zh) * 2015-10-09 2021-06-08 微软技术许可有限责任公司 移动设备的sim置备
EP3621333A1 (en) * 2018-09-05 2020-03-11 Thales Dis France SA Method for updating a secret data in a credential container
CN109919808B (zh) * 2019-03-18 2021-08-13 厦门叁玖叁科技有限公司 商标智能申报方法、介质、计算机设备及系统
KR102215059B1 (ko) * 2019-07-31 2021-02-10 에스케이텔레콤 주식회사 단말을 개통하는 방법 및 그 방법을 수행하는 장치
WO2021056142A1 (zh) * 2019-09-23 2021-04-01 Oppo广东移动通信有限公司 无线通信的方法和设备
CN114996162B (zh) * 2022-07-15 2022-12-23 荣耀终端有限公司 测试方法及相关装置

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060039564A1 (en) * 2000-11-17 2006-02-23 Bindu Rama Rao Security for device management and firmware updates in an operator network
US20040127204A1 (en) 2002-12-30 2004-07-01 Belmont Brian V. Method and apparatus to establish communication
JP3964338B2 (ja) * 2003-03-07 2007-08-22 株式会社エヌ・ティ・ティ・ドコモ 通信ネットワークシステム、通信端末機、認証装置、認証サーバ、及び電子認証方法
US7539156B2 (en) * 2003-10-17 2009-05-26 Qualcomm Incorporated Method and apparatus for provisioning and activation of an embedded module in an access terminal of a wireless communication system
DE102004042939B3 (de) 2004-09-02 2006-04-13 Siemens Ag Verfahren zum Konfigurieren eines mobilen Kommunikationsendgerätes
US7519358B2 (en) * 2005-09-20 2009-04-14 Alcatel-Lucent Usa Inc. Over the air provisioning of a wireless mobile station using IP multimedia subsystem mode
JP4738139B2 (ja) * 2005-11-08 2011-08-03 富士通東芝モバイルコミュニケーションズ株式会社 移動通信システム、移動通信システム制御方法および移動無線端末装置
US20090217048A1 (en) 2005-12-23 2009-08-27 Bce Inc. Wireless device authentication between different networks
US7469151B2 (en) * 2006-09-01 2008-12-23 Vivotech, Inc. Methods, systems and computer program products for over the air (OTA) provisioning of soft cards on devices with wireless communications capabilities
US8296835B2 (en) * 2007-05-11 2012-10-23 Microsoft Corporation Over the air communication authentication using a service token
US7970398B2 (en) * 2007-06-25 2011-06-28 Alcatel-Lucent Usa Inc. Method and apparatus for provisioning and authentication/registration for femtocell user on IMS core network

Also Published As

Publication number Publication date
KR20120024757A (ko) 2012-03-14
KR101388562B1 (ko) 2014-04-25
WO2010132499A8 (en) 2011-11-24
JP2012527184A (ja) 2012-11-01
CN102440016A (zh) 2012-05-02
JP5475113B2 (ja) 2014-04-16
WO2010132499A2 (en) 2010-11-18
US8589689B2 (en) 2013-11-19
EP2430847A2 (en) 2012-03-21
US20110119492A1 (en) 2011-05-19
WO2010132499A3 (en) 2011-03-03
CN102440016B (zh) 2014-11-05

Similar Documents

Publication Publication Date Title
TW201127099A (en) Apparatus and method for over-the-air (OTA) provisioning of authentication and key agreement (AKA) credentials between two access systems
KR101554396B1 (ko) 통신 시스템들에서 가입자 인증과 디바이스 인증을 바인딩하는 방법 및 장치
US11856402B2 (en) Identity-based message integrity protection and verification for wireless communication
US11589228B2 (en) Subscriber identity privacy protection against fake base stations
KR101683883B1 (ko) 이동 통신 시스템에서 보안을 지원하는 방법 및 시스템
US7966000B2 (en) Secure bootstrapping for wireless communications
US10306432B2 (en) Method for setting terminal in mobile communication system
US9768961B2 (en) Encrypted indentifiers in a wireless communication system
US7787627B2 (en) Methods and apparatus for providing a key management system for wireless communication networks
US8990897B2 (en) Generic key-decision mechanism for GAA
EP3566481B1 (en) APPARATUS AND METHOD FOR ACCESS CONTROL ON eSIM
KR20170102864A (ko) 사용자 단말과 진화된 패킷 코어 간의 상호 인증
RU2010124845A (ru) Способ и устройство для обеспечения секретности подлинной идентификационной информации пользователя в исходном сигнальном сообщении
CN109496412B (zh) 使用隐私识别码的验证
CN114258693A (zh) 无电子用户身份模块(esim)凭证的移动设备认证