TWI234978B - System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN - Google Patents

System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN Download PDF

Info

Publication number
TWI234978B
TWI234978B TW092136128A TW92136128A TWI234978B TW I234978 B TWI234978 B TW I234978B TW 092136128 A TW092136128 A TW 092136128A TW 92136128 A TW92136128 A TW 92136128A TW I234978 B TWI234978 B TW I234978B
Authority
TW
Taiwan
Prior art keywords
authentication
access point
wireless access
mobile device
information
Prior art date
Application number
TW092136128A
Other languages
English (en)
Other versions
TW200522647A (en
Inventor
Ya-Hsang Tsai
Yu-Ren Huang
Chien-Chao Tseng
Chih-Hao Hu
Original Assignee
Inst Information Industry
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inst Information Industry filed Critical Inst Information Industry
Priority to TW092136128A priority Critical patent/TWI234978B/zh
Priority to US10/861,092 priority patent/US20050135624A1/en
Application granted granted Critical
Publication of TWI234978B publication Critical patent/TWI234978B/zh
Publication of TW200522647A publication Critical patent/TW200522647A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0016Hand-off preparation specially adapted for end-to-end data sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Description

1234978 五、發明說明(1) 〜 發明所屬之技術領域 此發明是一種跨無線網路認證技術,特別是一種以電 活用戶 §哉別模組(subscriber identity module; SIM)為 基礎之跨無線網路(w^ re 1 ess 1 oca 1 area network · # WLAN)之先期認證系統及方法。 ’ 先前技術
目前電信網路系統業者利用電話用戶識別模組 (Subscriber Identity Module; SIM)卡的資訊作為密石馬 認證、安全性與計費系統的基礎。電信網路系統中之本區 位置登錄中心(Home Location Register; HLR)以及認證 中心(Authentication Center; AuC)負責儲存用戶的帳務 資料、權限設定以及進行認證。用戶端S IΜ卡的資訊最終 會透過MAP/SS7協定傳送至HLR進行比對,作為用戶認證、 授權與帳務管理與辨認的依據。 第1圖係表示習知技術之I ΕΕΕ 8 0 2 · 1 X之無線區域網路 認證示意圖。當一個行動裝置(mobile device)欲使用一 個無線區域網路(wireless local area network; WLAN)
時,必須進行四個階段的訊息溝通,依時間先後順序分別 為探測請求/回應(probe request/response)lll、驗證請 求/ 回應(authen t i cat i on request/response) 11 2、連結 請求/回應( association request/response)113 以及跨區 域網路可擴充驗證通訊協定(Extensible Authentication Protocol Over LAN; EAP0L)/可擴充驗證通訊協定 (Extensible Authentication Protocol)之驗證 114。前
1234978 五、發明說明(2) 三階段訊息溝通於IEEE 802· 11標準中規範;而EAPOL/EAP 則於IEEE 8 0 2. lx標準中規範。 溝通過程詳述如下’當一個行動裝置11要使用無線區 域網路時’必須先偵測有無無線接取點(a c c e s s ρ 〇 i n t; ΑΡ) 1 2所發出的信標(beacon),當收到信標後,行動裝置 11會送出探測請求(probe request ),之後等待無線接取 點12的探測回應(pr〇be response)。當收到探測請求後, 會跟無線接取點1 2做驗證(a u t h e n t i c a t i ο η)的訊息溝通, 此時會將密碼送至無線接取點1 2做驗證。驗證通過後,行 動裝置11和無線接取點1 2之間會建立起鏈結層(丨i nk layer)的連結(associati〇n)。接下來行動裝置丨丨要通過 認證伺服器(authentication,authorization,and accounting server; AAA server)14 的認證,才能取得更 多的權限來使用網路資源。行動裝置丨丨會用跨區域網路可 擴充驗證通訊協定夾帶ΕΑΡ資訊送至無線接取點1 2,無線 接取點1 2會將ΕΑΡ資訊送至認證伺服器1 4做認證。當認證 通過後,無線接取點12會送一ΕΑΡ成功的訊息給行動^置 11 ’以獲得授權進而收發封包。
通常’因為無線電(radi〇)的通訊範圍限制,無線接 取點12不會離行動裝置11太遠,但是認證伺服器14可能就 會離^動裝置11較遠,因而增加認證訊息的往返時間。而 且母^行動襄置11要通話交遞(handoff)到另一無線接 取點時,就必須要重做一次四個階段的訊息溝通,造成通 訊延遲,而過長的通訊延遲時間很可能會讓執行中的應用
1234978 五、發明說明(3) 程式連線中斷。 因此’需要一系統與方法進行跨無線網路認證,降低 <也時間’進而達成無接縫(s e㈣1 e s s )通話交遞的目標。 發明内容 μ 有鑑於此’本發明之目的為提供一種以電話用戶識別 模組為基礎之跨無線網路之先期認證系統與方法,以降低 認證時間’進而達成無接縫(seamless)通話交遞的目標。
依據上述目的’本發明之跨無線網路之先期認證方 法’此方法應用於一包含有多個無線接取點,以及一存在 於網際網路之認證伺服器之無線網路環境中。 首先’當行動裝置與一無線接取點進行初始認證期 間,行動裝置預先傳遞下一個亂數產生之值(N〇UNCE_MT) 給認證伺服器。
之後,於行動裝置與該無線接取點進行資料傳輸期 間’進行通話交遞認證。認證伺服器使用電話用戶識別模 組(Subscriber Identity Module; SIM)的國際行動電話 用戶識別碼(international mobile subscriber identity; IMSI),再次向相應於該SIM的本區位置登錄中 心/ 認證中心(home location register/authentication center; HLR/AuC)要求η個(通常是3〜5個)包含亂數 (random number; RAND)、簽署回應(signature response; SRES)以及編碼錄匙(cipher key; Kc)之三資 料組(triplet)。認證伺服器使用HMAC-SHA卜128演算法, 分別計算請求(request )AT_MAC值以及回應
1234978 五、發明說明(4) (response)AT一MAC值,其中,請求AT—MAC值用來回應行動 裝置傳來的N0UNCE — MT值,而回應AT—MAC值則用來確認行 動裝置所回應的AT-MAC值。認證伺服器22將請求以及回應 之AT—MAC、η個RAND值、行動裝置之識別碼附加到自訂之 可擴充驗證通訊協定(Extensible Authentication Protocol; ΕΑΡ)請求訊息, n EAP-req/SIM/Pre —Chal lenge”,傳送至鄰近之無線接取 點上。 當行動裝置通話交遞至新無線接取點時,新無線接取 點會送出E A P請求訊息,"E A P - r e q u e s t / I d e n t i t y ’’,並得 到行動裝置所回應識別碼,當新無線接取點發現該行動裝 置識別碼已存在以及擁有預先計算好的AT_MAC值,則會直 接發出帶有η個RAND值以及預先計算好之請求AT_MAC值之 自訂ΕΑΡ請求訊息,’’EAP-request/SIM/Challenge",給行 動裝置。行動裝置會使用HMAC-SHA卜128演算法,確認接 收到之AT_MAC值的正確性,並計算另一個AT_MAC值附加到 自訂之ΕΑΡ 回應訊息,nEAP-response/SIM/Challenge", 回應給無線接取點,除另一個AT_MAC值外,此訊息亦帶有 用來做下一次通話交遞認證之AT_NEXLNOUNCE_MT值。無 線接取點將接收到之AT jAC值比對先前計算好的回應 AT JAC值,若相同則送出” EAP-success”訊息給行動裝 置,表示認證成功。最後,無線接取點仍必須把 AT— NEXT —N0UNCE_MT值傳給認證伺服器。 實施方式
0213-A40183TW(Nl);C9208;SNOWBALL.ptd 第9頁 1234978 五、發明說明(5) 第2圖係表示依據本發明實施例之以電話用戶識別模 組為基礎之跨無線網路先期認證系統之系統架構圖。跨無 線網路先期認證系統2包含多個彼此相鄰之無線接取點 (access points; APs)211、212、213,以及一存在於網 際網路之 $忍證伺服器(authentication,authorization, and accounting server; AAA server)22 。 為便於整合無線網路(wireless i〇cai area network; WLAN)和電信網路(m〇bile network),本發明以 電話用戶識別模組(Subscriber Identity Module; SIM) 做為行動裝置(mob i 1 e dev i ce )認證的依據。電話用戶識 別模組通常由IC卡所製成,其安全性高亦不易被複製,加 上電信網路(mobi le network)所廣為採用的加密演算法, 讓無線網路更具安全性和保密性。依據本發明實施例,跨 無線網路先期認證分為兩個階段,初始認證(i n i t i a t e d authentication)以及通話交遞認證(handoff authentication)。初始認證指當行動裝置首次透過無線 接取點2 1 2,連接上無線網路之認證;通話交遞認證指行 動裝置由無線接取點2 1 2移動到無線接取點21 3所進行之認 證。 第3圖係表示依據本發明實施例之範例初始認證訊息 流程圖。行動裝置以及本區位置登錄中心/認證中心(home location register/authentication center; HLR/AuC) 會存有驗證時會用到的國際行動電話用戶識別碼 (international mobile subscriber identity; IMSI)及
0213-A40183TWF(Nl);C9208;SNOWBALL.ptd 第 10 頁 1234978 五、發明說明(6) 驗證錄起(subscriber authentication key; Ki)。在初 始認證階段,首先,行動裝置主動向無線接取點2 1 2送出 跨區域網路可擴充驗證通訊協定(Extensible Authentication Protocol Over LAN; EAPOL)之起始訊 息。當無線接取點2 1 2收到後,會發出要求對方識別碼之 ΕΑΡ請求訊息,nEAP-request/Identityn,至行動裝置, 要求行動裝置的識別碼,行動裝置接下來會發出帶有自身 識別碼之E A P回應訊息,” E A P - r e s ρ ο n s e / I d e n t i t y ’’,給無 線接取點2 1 2,無線接取點2 1 2則轉送此訊息至認證伺服器 22 〇 認證伺服器22收到行動裝置的識別碼後,會送出ΕΑΡ 請求訊息,nEAP-request/SIM/Start··,經由無線接取點 212送至行動裝置,要求行動裝置開始進行ΕΑΡ-SIM的認證 程序。接著行動裝置會回應ΕΑΡ回應訊息, nEAP_response/SIM/Start[AT —N0UNCE_MT]",此訊息帶有 一亂數產生之數值n AT_NOUNCE_MTn ,用以查問 (challenge) 認證伺服器22。認證伺服器22收到ΕΑΡ回應 訊息後,會依據S IΜ中所包含的國際行動電話用戶識別碼 (international mobile subscriber identity; IMSI)向 相應該SIM的本區位置登錄中心/認證中心(home location register/authentication center; HLR/AuC)要求η 個(通 常是3〜5個)包含亂數(random number; RAND)、簽署回應 (signature response; SRES)以及編碼錄匙(cipher key; Kc)之三資料組(triplet)。其中,SRES為認證中心使用亂
0213 · A40183TW (N1); C9208; SNOWBALL. p t d 第11頁 1234978 五、發明說明(7) 數產生之RAND值與預先儲存相應於丨^丨之以值,經A3演算 法計算而得;Kc為認證中心使用RAND值與Ki值經A8演算^ 計算而得。 之後’認證伺服器2 2依據行動裝置所傳來之 AT_NOUNCE_MT亂數以及認證中心傳來之n個。值,使用 HMAC-SHA1 - 128演算法,計算出AT一MAC值,發送ΕΑΡ請求訊
息,”EAP-request/SIM/Challenge”,經無線接取點212 至 行動裝置,訊息中帶有η個RAND值以及剛剛所計算出之 AT一MAC值。行動裝置收到後,使用HMAC — SHA1 一 128演算 法’計算並檢查AT—MAC值的正確性。當行動裝置確認訊息 是由合法的認證伺服器22送出時,會先用^組raND以及Ki 值,計算出η組SRES,再使用HMAC-SHA卜128演算法,計 算出另一個AT一MAC值,附加於ΕΑΡ回應訊息, ’•ΕΑΡ-response/SIM/Challenge”,傳給認證伺服器22。除
了夾帶AT一MAC外,亦多附加亂數產生之 AT一NEXT —N0UNCE一MT值,用以進行通話交遞認證用。認證 祠服器22於檢查出AT一MAC值正確後,則回應EAp訊息, EAP-success ,表示認證通過。由於行動裝置預先傳遞 下一個N0UNCE一MT值給認證伺服器22,使認證伺服器22於 行動裝置與無線接取點212進行資料傳輸期間,預先計算 出所需之AT-MAC值,並將其主動送至行動裝置可以通話交 遞的無線接取點211以及213上。 第4圖係表示依據本發明實施例之範例通話交遞認證 訊息流程圖。於通話交遞認證階段,認證伺服器2 2先用
0213-A40183TW(Nl);C9208;SNOWBALL.ptd 第 12 頁 1234978 五、發明說明(8) SIM的IMSI再次向相應於該SIM的HLR/AuC要求η個(通常是 3〜5個)包含RAND、SRES以及Kc之三資料組,做為驗證種子 資訊。認證伺服器22使用HMAC-SHA卜128演算法,分別計 算出包含請求(request )AT_MAC值以及回應(response) AT — MAC值之驗證資訊,其中,請求AT —MAC值用來回應行動 裝置傳來的N0UNCE — MT值,而回應AT_MAC值則用来確認行 動裝置所回應的AT — MAC值。認證伺服器22將請求以及回應 之AT —MAC、η個RAND值、行動裝置之識別碼附加到自訂之 ΕΑΡ請求訊息,"EAP-req/SIM/Pre —Challenge",傳送至無 線接取點211以及213上。 當行動裝置通話交遞到無線接取點2 11時,無線接取 點211 會送出 ΕΑΡ 請求訊息,nEAP-request/Identity”,並 得到行動裝置所回應識別碼,當無線接取點2 11發現該行 動裝置識別碼已存在以及擁有預先計算好的AT_MAC值,則 會直接發出帶有η個RAND值以及預先計算好之請求AT_MAC 值之自訂 ΕΑΡ 請求訊息,nEAP-request/SIM/Challengen, 給行動裝置。行動裝置會確認接收到之AT_MAC值的正確 性,並計算另一個AT_MAC值附加到自訂之ΕΑΡ回應訊息, nEAP-response/SIM/Challengen,回應給無線接取點 211,除另一個AT_MAC值外,此訊息亦帶有用來做下一次 通話交遞認證之AT JEXT —NOUNCE JT值。 無線接取點211將接收到之AT_MAC值比對先前計算好 的回應AT_MAC值,若相同則送出n EAP-success”訊息給行 動裝置,表示認證成功。最後,無線接取點2 11仍必須把
0213-A40183TW(Nl);C9208;SN〇WBALL.ptd 第13頁 1234978 五、發明說明(9) 八1'一.义1[一1^0111^£一^^值傳給認證伺服器22。 第5圖係表示依據本發明實施例之以電話用戶識別模 組為基礎之跨無線網路先期認證方法之方法流程圖,此方 法應用於一包含有無線接取點2 n、2丨2、2丨3,以及一存 在於網際網路之認證伺服器22之無線網路環境中。 首先’如步驟S511,當行動裝置與無線接取點212進 行初始涊證期間,行動裝置預先傳遞下一個N〇UNCE jT值 給認證伺服器2 2。 一
之後’於行動裝置與無線接取點2 1 2進行資料傳輸期 間’進行步驟S521至步驟S523之通話交遞認證\如步驟 S521 ’認證飼服器22使用SIM的IMSI再次向相應於該311^的 HLR/AuC要求η個(通常是3〜5個)包含RAND、SRES以及Kc之 三資料組,做為驗證種子資訊。如步驟S522,認證伺服器 2 2使用Η M A C - S H A1 -1 2 8演算法,分別計算出包含請求 ° (request) AT—MAC 值以及回應(response) AT—MAC 值之驗 證資訊,其中,請求AT-MAC值用來回應行動裝置傳來的 N0UNCE — MT值,而回應AT—MAC值則用來確認行動裝置所回 應的AT_MAC值。如步驟S523,認證伺服器22將請求以及回 應之ΑΤ-MAC、η個RAND值、行動裝置之識別碼附加到自訂
之 ΕΑΡ 請求訊息 ’’· EAP-req/SIM/Pre —Challenge”,傳送至 無線接取點211以及213上。 如步驟S 5 3 1 ’行動裝置通話交遞至無線接取點2 11。 無線接取點2 11會送出ΕΑΡ請求訊息, ’EAP-request/Identity”,並得到行動裝置所回應識別
0213-A40183TWF(N1);C9208;SNOWBALL.p td 第14頁 1234978 五、發明說明(10) 碼,當無線接取點2 11發現該行動裝置識別碼已存在以及 擁有預先計算好的AT-MAC值,則會直接發出帶有η個RAND 值以及預先計算好之請求AT—MAC值之自訂ΕΑΡ請求訊息, ’’EAP-request/SIM/Challenge·’,給行動裝置。如步驟 S532,行動裝置會使用HMAC-SHAh128演算法,確認接收 到之AT —MAC值的正確性,並計算另一個atjaC值附加到自 訂之£八?回應訊息,,,£八?-『65口01136/81^!/(:1131161^6,,,回 應給無線接取點211,除另一個AT一MAC值外,此訊息亦帶 有用來做下一次通話交遞認證之ATjEXT —N〇UNCE — MT值。 如步驟S533所示,無線接取點211將接收到之AT—MAC值比 對先前計算好的回應AT一MAC值,若相同則送出 ” EAP-success”訊息給行動裝置,表示認證成功。最後, 無線接取點211仍必須把AT —NEXT —N〇UNCE MT值傳給認 服器2 2。 u 因此,藉 礎之跨無線網 交遞至另一無 在,而不需花 息溝通只發生 遞的效率,達 雖然本發 發明,任何熟 圍内,當可做 視後附之申請 由本發明 路先期認 線接取點 時間向認 在行動裝 到最終無 明之實施 悉此項技 些許更動 專利範圍 所提供之以 證系統及方 時,由於要 證伺服器取 置和無線接 接縫通話交 例揭露如上 藝者,在不 與潤飾,因 所界定者為 電話用戶 法,當有 驗證的AT 得’使所 取點之間 遞的目標 ’然其並 脫離本發 此本發明 準。 識別模 行動裝 __MACs t 有通話 ,提升 〇 非用以 明之精 之保護 置通話 L經存 交遞訊 通話交 限定本 神和範 範圍當
1234978
圊式簡單說明 為使本發明之上述目的、特徵和優點能更明顯易懂, 下文特舉實施例,並配合所附圖示,進行詳細說明如下: 第1圖係表示習知技術之IEEE 802· lx之無線區域網路 認證示意圖; 第2圖係表示依據本發明實施例之以電話用戶硪別模 組為基礎之跨無線網路先期認證系統之系統架構圖; 第3圖係表示依據本發明實施例之範例初始说證矾息 流程圖; 第4圖係表示依據本發明實施例之範例通話交遞認證 訊息流程圖; 第5圖係表示依據本發明實施例之以電話用戶識別模 組為基礎之跨無線網路先期認證方法之方法流程圖。 符號說明 11〜行動裝置; 1 2〜無線接取點; 1 3〜網際網路; 1 4〜認證伺服器; 11卜探測請求/回應訊息溝通; 112〜驗證請求/回應訊息溝通; 11 3〜連結請求/回應訊息溝通; 114〜跨區域網路可擴充驗證通訊協定/可擴充驗證通 訊協定驗證訊息溝通; 2〜以電話用戶識別模組為基礎之跨無線網路認證系 統;
0213-A40183TOF(Nl);C9208;SNOWBALL.ptd 第16頁 1234978 圖式簡單說明 2 1 1、2 1 2、2 1 3〜無線接取點; 2 2〜認證伺服器; S511 、S521.....S533〜操作步驟
0213-A40183TWF(Nl);C9208;SNOWBALL.ptd 第17頁

Claims (1)

1234978 六、申請專利範圍 " ---- 1 · 一種跨無線網路先期認證系統,包括: 一行動裝置; 、、—第 無線接取點,於認證上述行動裝置期間接收由 上述行動裂置所發出之一通話交遞認證資訊; > 一認證伺服器,由上述第一無線接取點接收上述通話 交遞認證資訊,於上述行動裝置與上述第一無線接取點進 行貧=傳輪期間由一認證中心取得一相應於上述行動裝置 之驗證種子資訊,使用上述驗證種子資訊計算一驗證資 訊;以及 ' 一第二無線接取點,用以接收上述認證伺服器之上述 f證資訊以及上述行動裝置之一連線請求,依據上述驗證 資訊以及上述行動裝置所產生之一認證請求資訊,決定上 述行動裝置是否可使用上述第二無線接取點進行無線資料 傳輸。 、 2 ·如申請專利範圍第1項所述之跨無線網路先期認證 系統’其中上述通話交遞認證資訊包含為認證上述行動裝 置通話交遞至上述第二無線接取點所需之一第一亂數值 (NOUNCE一MT),上述驗證種子資訊包含一第二亂數值 (random number ; RAND)、相應於上述第二亂數值之一簽 署回應值(signature response; SRES)以及相應於上述第 二亂數值之一編碼鑰匙(cipher key; Kc),上述驗證資訊 包含使用HMAC-SHA卜128演算法計算之一第一驗證值以及 上述認證請求資訊包含使用HMAC_SHA1-128演算法計算之 一第二驗證值。
0213-A40183TOF(Nl);C9208;SN〇WBALL.ptd 第18頁 1234978 六、申請專利範圍 3.如申請專利範 系統,其中上述行動 二無線接取點以及上 網路可擴充驗證通訊 Protocol Over LAN; 4 ·如申請專利範 糸統,其中上述行動 ^一無線接取點以及上 網路可擴充驗證通訊 Protocol Over LAN; 5 ·如申請專利範 系統,其中上述認證 算一驗證回應資訊, 應資訊給上述行動裝 資訊,決定是否使用 輸。 6·如申請專利範 系統,其中上述認證 算一驗證回應資訊, 應資訊給上述行動裝 資訊,決定是否使用 輸。 7·如申請專利範 系統,其中上述驗證 圍第1項所述之跨無線網路先期認證 裝置、上述第一無線接取點、上述第 述認證伺服裔間之通訊’使用跨區域 協定(Extensible Authentication EAP0L)。 圍第2項所述之跨無線網路先期認證 裝置、上述第一無線接取點、上述第 述認證伺服器間之通訊,使用跨區域 協定(Extensible Authentication EAP0L)。 圍第1項所述之跨無線網路先期認證 伺服器依據上述通話交遞認證資訊計 上述第二無線接取點傳遞上述驗證回 置,上述行動裝置依據上述驗證回應 上述第二無線接取點進行無線資料傳 圍第2項所述之跨無線網路先期認證 伺服器依據上述通話交遞認證資訊計 上述第二無線接取點傳遞上述驗證回 置,上述行動裝置依據上述驗證回應 上述第二無線接取點進行無線資料傳 圍第6項所述之跨無線網路先期認證 回應資訊包含使用HMAC-SHA卜128演
0213·A40183TWF(N1);C9208;SNOWBALL.ptd 第19頁 1234978 六、申請專利範圍 异法計异之一第三驗證值。 系#8 · t t明專利範圍第3項所述之跨無線網路先期認證 ^二二上述認證飼服器依據上述通話交遞認證資訊計 ί:% f回應資訊,上述第二無線接取點傳遞上述驗證回 = >貝上述行動裝置,上述行動裝置依據上述驗證回應 二讯,決定是否使用上述第二無線接取點進行無線資料傳 輸0 ^ 9 · 一種跨無線網路先期認證方法,被使用於一具有一 =ΐ裝置、一第一無線接取點、一第二無線接取點以及一 涊證伺服器之無線網路環境,其方法包括下列步驟: 上述第一無線接取點於認證上述行動裝置期間接收由 上述行動裝置所發出之一通話交遞認證資訊; 上述認證伺服器由上述第一無線接取點接收上述通話 交遞認證資訊; 上述§忍證伺服器於上述行動裝置與上述第一無線接取 點進行資料傳輸期間由一認證中心取得一相應於上述行動 裝置之驗證種子資訊; 上述認證伺服器使用上述驗證種子資訊計算一驗證資 訊; ' 上述第二無線接取點接收上述認證伺服器之上述驗證 資訊以及上述行動裝置之一連線請求;以及 上述第一無線接取點依據上述驗證資訊以及上述行動 裝置所產生之一認證請求資訊,決定上述行動裝置是否可 使用上述第二無線接取點進行無線資料傳輸。
0213-A40183TW(Nl);C9208;SNOWBALL.ptd 第20頁 1234978 六、申請專利範圍 I 0 ·如申請專利範圍第9項所述之跨無線網路先期認證 方法,其中上述通話交遞認證資訊包含為認證上述行動裝 置通話交遞至上述第二無線接取點所需之一第一亂數值 (NOUNCE_MT),上述驗證種子資訊包含一第二亂數值 (random number; RAND)、相應於上述第二亂數值之一簽 署回應(signature response; SRES)以及相應於上述第二 亂數值之一編碼鑰匙(cipher key; Kc),上述驗證資訊包 含使用HMAC-SHA卜128演算法計算之一第一驗證值以及上 述認證請求資訊包含使用HMAC-SHA卜128演算法計算之一 第二驗證值。 II ·如申請專利範圍第9項所述之跨無線網路先期認證 方法,其中上述行動裝置、上述第一無線接取點、上述第 二無線接取點以及上述認證伺服器間之通訊,使用跨區域 網路可擴充驗證通訊協定(Extensible Authentication Protocol Over LAN; EAP0L)。 1 2 ·如申請專利範圍第i 〇項所述之跨無線網路先期認 證方法,其中上述行動裝置、上述第一無線接取點、上述 第二無線接取點以及上述認證伺服器間之通訊,使用跨區 域網路可擴充驗證通訊協定(ExtenSible Authentication Protocol Over LAN; EAP0L)。 1 3 ·如申請專利範圍第9項所述之跨無線網路先期認證 方法’其方法更包括下列步驟: 上述認證伺服器依據上述通話交遞認證資訊計算一驗 證回應資訊;
0213-A40183mVF(Nl);C9208;SNOWBALL.ptd 第21頁 1234978 六、申請專利範圍 上述第二無線接取點傳遞上述驗證回應資訊給上述行 動裝置;以及 上述行動裝置依據上述驗證回應資訊,決定是否使用 上述第二無線接取點進行無線資料傳輸。 1 4 ·如申請專利範圍第丨〇項所述之跨無線網路先期認 證方法,其方法更包括下列步驟: 上述認證伺服器依據上述通話交遞認證資訊計算一驗 證回應資訊; 上述第二無線接取點傳遞上述驗證回應資訊給上述行 動裝置;以及 上述行動裝置依據上述驗證回應資訊,決定是否使用 上述第二無線接取點進行無線資料傳輸。 1 5 ·如申請專利範圍第丨4項所述之跨無線網路先期認 證系統,其中上述驗證回應資訊包含使用HMAC-SHA卜128 演算法計算之一第三驗證值。 1 6 ·如申請專利範圍第丨丨項所述之跨無線網路先期認 證方法,其方法更包括下列步驟: 上述認證伺服器依據上述通話交遞認證資訊計算一驗 證回應資訊; 上述第二無線接取點傳遞上述驗證回應資訊給上述行 動裝置;以及 上述行動裝置依據上述驗證回應資訊,決定是否使用 上述第二無線接取點進行無線資料傳輸。
0213-A40183TW(Nl);C9208;SN〇WBALL.ptd 第22頁
TW092136128A 2003-12-19 2003-12-19 System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN TWI234978B (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW092136128A TWI234978B (en) 2003-12-19 2003-12-19 System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN
US10/861,092 US20050135624A1 (en) 2003-12-19 2004-06-04 System and method for pre-authentication across wireless local area networks (WLANS)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW092136128A TWI234978B (en) 2003-12-19 2003-12-19 System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN

Publications (2)

Publication Number Publication Date
TWI234978B true TWI234978B (en) 2005-06-21
TW200522647A TW200522647A (en) 2005-07-01

Family

ID=34676131

Family Applications (1)

Application Number Title Priority Date Filing Date
TW092136128A TWI234978B (en) 2003-12-19 2003-12-19 System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN

Country Status (2)

Country Link
US (1) US20050135624A1 (zh)
TW (1) TWI234978B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7903611B2 (en) 2006-11-16 2011-03-08 Industrial Technology Research Institute Handoff method in a wireless local area network and apparatus using the same
US8188857B2 (en) 2007-08-16 2012-05-29 Industrial Technology Research Institute Authentication system and method thereof for wireless networks

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8140845B2 (en) * 2001-09-13 2012-03-20 Alcatel Lucent Scheme for authentication and dynamic key exchange
WO2003090433A1 (en) * 2002-04-15 2003-10-30 Spatial Wireless, Inc. Method and system for providing authentication of a mobile terminal in a hybrid network for data and voice services
US7475241B2 (en) * 2002-11-22 2009-01-06 Cisco Technology, Inc. Methods and apparatus for dynamic session key generation and rekeying in mobile IP
US7870389B1 (en) 2002-12-24 2011-01-11 Cisco Technology, Inc. Methods and apparatus for authenticating mobility entities using kerberos
US20040236939A1 (en) * 2003-02-20 2004-11-25 Docomo Communications Laboratories Usa, Inc. Wireless network handoff key
US20060019635A1 (en) * 2004-06-29 2006-01-26 Nokia Corporation Enhanced use of a network access identifier in wlan
US8260259B2 (en) * 2004-09-08 2012-09-04 Qualcomm Incorporated Mutual authentication with modified message authentication code
US7639802B2 (en) * 2004-09-27 2009-12-29 Cisco Technology, Inc. Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP
CA2603720C (en) * 2004-11-05 2016-05-17 Kabushiki Kaisha Toshiba Network discovery mechanisms
US7502331B2 (en) * 2004-11-17 2009-03-10 Cisco Technology, Inc. Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices
WO2006090269A1 (en) * 2005-02-28 2006-08-31 Nokia Siemens Networks Oy Handoff solution for converging cellular networks based on multi-protocol label switching
GB0507988D0 (en) * 2005-04-20 2005-05-25 Connect Spot Ltd Wireless access system
US7626963B2 (en) * 2005-10-25 2009-12-01 Cisco Technology, Inc. EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure
KR20070051233A (ko) * 2005-11-14 2007-05-17 삼성전자주식회사 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법
US7664500B2 (en) * 2005-12-02 2010-02-16 Industrial Technology Research Institute Network service control method and agent dispatching method used therein
US8929327B2 (en) * 2006-05-26 2015-01-06 Mcmaster University Reducing handoff latency for a mobile station
US8862881B2 (en) * 2006-05-30 2014-10-14 Motorola Solutions, Inc. Method and system for mutual authentication of wireless communication network nodes
GB2440193A (en) * 2006-07-19 2008-01-23 Connect Spot Ltd Wireless hotspot roaming access system
US20080134306A1 (en) * 2006-12-04 2008-06-05 Telefonaktiebolaget Lm Ericsson (Publ) Method for fast handover and authentication in a packet data network
US8005224B2 (en) * 2007-03-14 2011-08-23 Futurewei Technologies, Inc. Token-based dynamic key distribution method for roaming environments
US8695074B2 (en) 2007-04-26 2014-04-08 Microsoft Corporation Pre-authenticated calling for voice applications
US20090109941A1 (en) * 2007-10-31 2009-04-30 Connect Spot Ltd. Wireless access systems
KR100922899B1 (ko) * 2007-12-06 2009-10-20 한국전자통신연구원 이동단말의 핸드오버시 액세스망 접속인증 제어방법 및 그네트워크 시스템
KR100998704B1 (ko) * 2008-12-08 2010-12-07 경북대학교 산학협력단 다수 개의 이동성 영역을 갖는 무선 랜에서의 고속 핸드오버 방법 및 시스템
JP2015518297A (ja) * 2012-03-05 2015-06-25 インターデイジタル パテント ホールディングス インコーポレイテッド 通信ネットワークにおける事前関連付け検出のためのデバイスおよび方法
CN104519020B (zh) * 2013-09-29 2017-10-13 阿里巴巴集团控股有限公司 管理无线网络登录密码分享功能的方法、服务器及系统
US10834591B2 (en) * 2018-08-30 2020-11-10 At&T Intellectual Property I, L.P. System and method for policy-based extensible authentication protocol authentication
US10904757B2 (en) 2018-12-20 2021-01-26 HCL Technologies Italy S.p.A. Remote pre-authentication of a user device for accessing network services
US20200236548A1 (en) * 2019-01-18 2020-07-23 Qualcomm Incorporated Protection of sequence numbers in authentication and key agreement protocol

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0315278D0 (en) * 2003-06-30 2003-08-06 Nokia Corp A method for optimising handover between communication networks

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7903611B2 (en) 2006-11-16 2011-03-08 Industrial Technology Research Institute Handoff method in a wireless local area network and apparatus using the same
US8188857B2 (en) 2007-08-16 2012-05-29 Industrial Technology Research Institute Authentication system and method thereof for wireless networks
TWI403145B (zh) * 2007-08-16 2013-07-21 Ind Tech Res Inst 無線網路認證系統及其方法

Also Published As

Publication number Publication date
TW200522647A (en) 2005-07-01
US20050135624A1 (en) 2005-06-23

Similar Documents

Publication Publication Date Title
TWI234978B (en) System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN
AU2003243680B2 (en) Key generation in a communication system
DK1348280T3 (en) Approval data communications
US7707412B2 (en) Linked authentication protocols
US8094821B2 (en) Key generation in a communication system
KR101068424B1 (ko) 통신시스템을 위한 상호동작 기능
KR100755394B1 (ko) Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법
US20070178885A1 (en) Two-phase SIM authentication
CN104836787A (zh) 用于认证客户端站点的系统和方法
US20050271209A1 (en) AKA sequence number for replay protection in EAP-AKA authentication
CN106921965B (zh) 一种wlan网络中实现eap认证的方法
CN101120534A (zh) 用于无线局域网(wlan)中的认证的系统、方法与设备
CN101562814A (zh) 一种第三代网络的接入方法及系统
WO2006005999A1 (en) Enhanced use of a network access identifier in wlan
WO2009074050A1 (fr) Procede, systeme et appareil d'authentification de dispositif de point d'acces
KR100907825B1 (ko) 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법
CN103096307A (zh) 密钥验证方法及装置
WO2006079953A1 (en) Authentication method and device for use in wireless communication system
JP2007511151A (ja) 第1の端末機器および第1のネットワークと第2の端末機器および第2のネットワークとの間でデータトラフィックを保護する方法
KR101068426B1 (ko) 통신시스템을 위한 상호동작 기능

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees