TWI390893B - 於無線網路中用於交遞後導出新金鑰之方法及裝置 - Google Patents
於無線網路中用於交遞後導出新金鑰之方法及裝置 Download PDFInfo
- Publication number
- TWI390893B TWI390893B TW097115441A TW97115441A TWI390893B TW I390893 B TWI390893 B TW I390893B TW 097115441 A TW097115441 A TW 097115441A TW 97115441 A TW97115441 A TW 97115441A TW I390893 B TWI390893 B TW I390893B
- Authority
- TW
- Taiwan
- Prior art keywords
- access point
- key
- access
- primary
- access terminal
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 65
- 238000009795 derivation Methods 0.000 title description 16
- 238000004891 communication Methods 0.000 claims description 225
- 230000006870 function Effects 0.000 claims description 75
- 238000012545 processing Methods 0.000 claims description 23
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 claims description 8
- 239000010931 gold Substances 0.000 claims description 8
- 229910052737 gold Inorganic materials 0.000 claims description 8
- 238000007726 management method Methods 0.000 description 26
- 238000010586 diagram Methods 0.000 description 24
- 230000008569 process Effects 0.000 description 18
- 101000945093 Homo sapiens Ribosomal protein S6 kinase alpha-4 Proteins 0.000 description 15
- 101000945096 Homo sapiens Ribosomal protein S6 kinase alpha-5 Proteins 0.000 description 15
- 102100033644 Ribosomal protein S6 kinase alpha-4 Human genes 0.000 description 15
- 102100033645 Ribosomal protein S6 kinase alpha-5 Human genes 0.000 description 15
- 230000001052 transient effect Effects 0.000 description 9
- 230000001010 compromised effect Effects 0.000 description 7
- 230000003068 static effect Effects 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access, e.g. scheduled or random access
- H04W74/002—Transmission of channel access control information
- H04W74/004—Transmission of channel access control information in the uplink, i.e. towards network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/04—Interfaces between hierarchically different network devices
- H04W92/10—Interfaces between hierarchically different network devices between terminal device and access point, i.e. wireless air interface
Description
各種特徵係關於無線通信系統。至少一態樣係關於用於以低潛時進行的網路存取之金鑰管理之系統及方法。
本專利申請案主張2007年4月26日所申請之名為"於無線網路中用於交遞後導出新金鑰之方法及裝置(A Method and Apparatus for New Key Derivation upon Handoff in Wireless Networks)"的臨時申請案第60/914,033號之優先權,該案已讓與給其受讓人,且在此以引用之方式明確地併入本文中。
無線通信網路使通信器件能夠在移動的同時傳輸及/或接收資訊。此等無線通信網路可通信地耦接至其他公眾或私用網路以使得能夠進行資訊至及自行動存取終端機之轉移。該等通信網路通常包括對存取終端機(例如,行動通信器件、行動電話、無線使用者終端機)提供無線通信鏈路之複數個存取點(例如,基地台)。存取點可為靜止(例如,固定至地面)或行動(例如,安裝於衛星上等等)的,且經安置以隨著存取終端機行進穿過不同覆蓋區而提供廣域覆蓋。
隨著行動存取終端機四處移動,其與存取節點之通信鏈路可能降級。在此情形下,行動節點可與另一存取點切換或連接以得到較佳品質之通信鏈路,而其第一鏈路仍然處於作用中。將建立與另一存取點之通信鏈路的此過程稱為
"交遞"。交遞過程通常面對在切換存取點之同時維持與無線通信網路之可靠且安全的通信鏈路之問題。軟交遞與硬交遞為兩個通常使用之類型的交遞。軟交遞為在終止現有通信鏈路之前建立與新存取點之新通信鏈路的交遞。在硬交遞中,通常在建立新通信鏈路之前終止現有通信鏈路。
在一些通信系統中,當行動存取終端機經由存取點而附著至通信網路時,其執行網路存取鑑認來建立安全主金鑰。每次發生交遞時,可重複此過程。然而,在每次交遞時重複此鑑認過程引入不可接受之潛時。減小此潛時之一當前解決方案為在存取點之間共用主金鑰。然而,此方法在存取點受到損害之情況下產生嚴重安全風險,因為主金鑰變得不受保全且可用以損害使用此主金鑰之所有通信。
因此,需要在不損害安全之情況下提供存取終端機與存取點之間的低潛時交遞之方法。
一特徵提供用於存取終端機(例如,行動終端機、無線使用者終端機等等)與一或多個存取點(例如,基地台等等)之間的金鑰管理之系統及方法。特定言之,提供一種用於建立存取終端機與存取點之間的安全通信而不冒曝露存取終端機之主金鑰之風險之機制。此方法導出用於新存取點與存取終端機之間的低潛時交遞及安全鑑認之主會話金鑰。
在一態樣中,提供一種集中式金鑰管理機制,其中鑑認器維持、產生新安全金鑰且將其分配至存取點。在存取終
端機自當前存取點移動至新存取點時,鑑認器基於主瞬時金鑰(MTK)、存取點識別符及存取終端機識別符而產生新安全金鑰或主會話金鑰(MSK)。接著將新主會話金鑰發送至新存取點。鑑認器隨著存取終端機切換至其他存取點而重複此過程。存取終端機獨立產生相同新安全金鑰,藉由該新安全金鑰其可安全地與新存取點通信。
在另一態樣中,存取點可具有一相關聯之值,該相關聯之值係在亦包括存取點識別符及存取終端機識別符之金鑰請求中發送至鑑認器。除主瞬時金鑰、存取點識別符及存取終端機識別符之外,可使用存取點之相關聯之值來產生主會話金鑰。
在又一態樣中,鑑認器可具有一相關聯之值,除主瞬時金鑰、存取點識別符及存取終端機識別符之外,可使用該相關聯之值來產生主會話金鑰。
提供一種存取點,其包含記憶體及處理器。該處理器可經組態以(a)自存取終端機接收經由存取點而建立安全通信會話之第一請求;(b)將一金鑰請求訊息發送至鑑認器,其中該金鑰請求訊息包括本端獲得之第一存取點識別符及所接收之存取終端機識別符;及/或(c)自鑑認器接收第一主會話金鑰以用於在存取終端機與存取點之間建立通信會話,其中該第一主會話金鑰為至少第一存取點識別符及存取終端機識別符之函數。
該處理器可經進一步組態以(a)自存取終端機接收將安全通信會話交遞至第二存取點之交遞請求,其中該請求包括
與待將通信會話交遞至的第二存取點相關聯之第二存取點識別符;(b)將第二存取點識別符及所接收之存取終端機識別符發送至第二存取點;(c)將通信會話交遞至第二存取點;及/或(d)作為第一主會話金鑰之函數而產生瞬時會話金鑰,其中瞬時會話金鑰用以建立存取終端機與存取點之間的通信會話。
在另一態樣中,金鑰請求訊息亦可包括由存取點產生或與存取點相關聯之第一值,且其中第一主會話金鑰亦為相關聯之值之一函數。亦將相關聯之值發送至存取終端機以允許存取終端機產生第一主會話金鑰。相關聯之值可為存取點之網際網路協定(IP)或媒體存取控制(MAC)位址。或者,所接收之第一主會話金鑰亦為由鑑認器產生之相關聯之值的函數,且存取點自鑑認器接收該相關聯之值。
亦提供一種方法以用於(a)自存取終端機接收經由存取點而建立安全通信會話之第一請求;(b)將一金鑰請求訊息發送至鑑認器,其中該金鑰請求訊息包括本端獲得之第一存取點識別符及所接收之存取終端機識別符;及/或(c)自鑑認器接收第一主會話金鑰以用於在存取終端機與存取點之間建立通信會話,其中該第一主會話金鑰為至少第一存取點識別符及存取終端機識別符之函數。
該方法進一步包含:(a)自存取終端機接收將安全通信會話交遞至第二存取點之交遞請求,其中該請求包括與待將通信會話交遞至的第二存取點相關聯之第二存取點識別符;(b)將第二存取點識別符及所接收之存取終端機識別符
發送至第二存取點;及/或(c)將通信會話交遞至第二存取點。
在另一實施例中,金鑰請求訊息亦包括由存取點產生或與存取點相關聯之第一值,且第一主會話金鑰亦為該值之一函數。第一值可包括存取點之網際網路協定(IP)或媒體存取控制(MAC)位址。在又一實施例中,金鑰請求訊息亦包括由鑑認器產生之第一值,且第一主會話金鑰亦為第一值之函數。
因此,提供一種存取點,其包含:(a)用於自存取終端機接收經由存取點而建立安全通信會話之第一請求之構件;(b)用於將一金鑰請求訊息發送至鑑認器之構件,其中該金鑰請求訊息包括本端獲得之第一存取點識別符及所接收之存取終端機識別符;及/或(c)用於自鑑認器接收第一主會話金鑰以用於在存取終端機與存取點之間建立通信會話之構件,其中該第一主會話金鑰為至少第一存取點識別符及存取終端機識別符之函數。
該裝置可進一步包含(a)用於自存取終端機接收將安全通信會話交遞至第二存取點之交遞請求之構件,其中該請求包括與待將通信會話交遞至的第二存取點相關聯之第二存取點識別符;(b)用於將第二存取點識別符及所接收之存取終端機識別符發送至第二存取點之構件;及/或(c)用於將通信會話交遞至第二存取點之構件。
一種處理器可讀媒體,其包含可由一或多個處理器使用之指令,該等指令包含:(a)用於自存取終端機接收經由存
取點而建立安全通信會話之第一請求之指令;(b)用於將一金鑰請求訊息發送至鑑認器之指令,其中該金鑰請求訊息包括本端獲得之第一存取點識別符及所接收之存取終端機識別符;(c)用於自鑑認器接收第一主會話金鑰以用於在存取終端機與存取點之間建立通信會話之指令,其中該第一主會話金鑰為至少第一存取點識別符及存取終端機識別符之函數;(d)用於自存取終端機接收將安全通信會話交遞至第二存取點之交遞請求之指令,其中該請求包括與待將通信會話交遞至的第二存取點相關聯之第二存取點識別符;(e)用於將第二存取點識別符及所接收之存取終端機識別符發送至第二存取點之指令;及/或(f)用於將通信會話交遞至第二存取點之指令。
亦提供一種處理器,其包含:一處理電路,其經組態以:(a)自存取終端機接收經由存取點而建立安全通信會話之第一請求;(b)將一金鑰請求訊息發送至鑑認器,其中該金鑰請求訊息包括本端獲得之第一存取點識別符及所接收之存取終端機識別符;(c)自鑑認器接收第一主會話金鑰以用於在存取終端機與存取點之間建立通信會話,其中該第一主會話金鑰為至少第一存取點識別符及存取終端機識別符之函數;(d)自存取終端機接收將安全通信會話交遞至第二存取點之交遞請求,其中該請求包括與待將通信會話交遞至的第二存取點相關聯之第二存取點識別符;(e)將第二存取點識別符及所接收之存取終端機識別符發送至第二存取點;及/或(f)將通信會話交遞至第二存取點。
提供一種存取終端機,其包含記憶體及處理器。該處理器可經組態以(a)由鑑認器基於與存取終端機相關聯之至少一頂級主金鑰而建立主瞬時金鑰;(b)獲得與第一存取點相關聯之存取點識別符;(c)將建立安全通信會話之請求發送至第一存取點;(d)作為至少主瞬時金鑰及第一存取點識別符之函數而產生第一主會話金鑰;及/或(e)使用第一主會話金鑰而建立與第一存取點之安全通信會話。處理器可經進一步組態以:(a)獲得與第二存取點相關聯之第二存取點識別符;(b)將使安全通信會話交遞至第二存取點之非特定交遞請求發送至第二存取點;(c)使用至少主瞬時金鑰及第二存取點識別符而產生第二主會話金鑰;及/或(d)使用第二主會話金鑰而將安全通信會話交遞至第二存取點。存取終端機可經進一步組態以接收由第一存取點產生之第一相關聯之值,其中第一主會話金鑰亦為第一相關聯之值之函數。在一實例中,第一相關聯之值可包括第一存取點之網際網路協定(IP)或媒體存取控制(MAC)位址中之至少一者,且第一主會話金鑰亦可為IP位址或MAC位址之函數。
亦提供一種方法,其包含:(a)由鑑認器基於與存取終端機相關聯之至少一頂級主金鑰而建立主瞬時金鑰;(b)獲得與第一存取點相關聯之存取點識別符;(c)將建立安全通信會話之請求發送至第一存取點;(d)作為至少主瞬時金鑰及第一存取點識別符之函數而產生第一主會話金鑰;及/或(e)使用第一主會話金鑰而建立與第一存取點之安全通信會話。該方法可進一步提供:(a)獲得與第二存取點相關聯之
第二存取點識別符;(b)將使安全通信會話交遞至第二存取點之非特定交遞請求發送至第二存取點;(c)使用至少主瞬時金鑰及第二存取點識別符而產生第二主會話金鑰;及/或(d)使用第二主會話金鑰而將安全通信會話交遞至第二存取點。該方法亦可包括接收由第一存取點產生之第一相關聯之值,其中第一主會話金鑰亦為第一相關聯之值之函數。在一實例中,第一相關聯之值可包括第一存取點之網際網路協定(IP)或媒體存取控制(MAC)位址中之至少一者,且第一主會話金鑰亦可為IP位址或MAC位址之函數。
因此,提供一種存取終端機,其包含:(a)用於由鑑認器基於與存取終端機相關聯之至少一頂級主金鑰而建立主瞬時金鑰之構件;(b)用於獲得與第一存取點相關聯之存取點識別符之構件;(c)用於將建立安全通信會話之請求發送至第一存取點之構件;(d)用於作為至少主瞬時金鑰及第一存取點識別符之函數而產生第一主會話金鑰之構件;及/或(e)用於使用第一主會話金鑰而建立與第一存取點之安全通信會話之構件。存取終端機可進一步包含:(a)用於獲得與第二存取點相關聯之第二存取點識別符之構件;(b)用於將使安全通信會話交遞至第二存取點之非特定交遞請求發送至第二存取點之構件;(c)用於使用至少主瞬時金鑰及第二存取點識別符而產生第二主會話金鑰之構件;及/或(d)用於使用第二主會話金鑰而將安全通信會話交遞至第二存取點之構件。
亦提供一種處理器可讀媒體,其包含可由一或多個處理
器使用之指令,該等指令包含:(a)用於由鑑認器基於與存取終端機相關聯之至少一頂級主金鑰而建立主瞬時金鑰之指令;(b)用於獲得與第一存取點相關聯之存取點識別符之指令;(c)用於將建立安全通信會話之請求發送至第一存取點之指令;(d)用於作為至少主瞬時金鑰及第一存取點識別符之函數而產生第一主會話金鑰之指令;(e)用於使用第一主會話金鑰而建立與第一存取點之安全通信會話之指令;(f)用於獲得與第二存取點相關聯之第二存取點識別符之指令;(g)用於使用至少主瞬時金鑰及第二存取點識別符而產生第二主會話金鑰之指令;及/或(h)用於使用第二主會話金鑰而將安全通信會話交遞至第二存取點之指令。
亦提供一種處理器,其包含一處理電路,該處理電路經組態以(a)由鑑認器基於與存取終端機相關聯之至少一頂級主金鑰而建立主瞬時金鑰;(b)獲得與第一存取點相關聯之存取點識別符;(c)將建立安全通信會話之請求發送至第一存取點;(d)作為至少主瞬時金鑰及第一存取點識別符之函數而產生第一主會話金鑰;(e)使用第一主會話金鑰而建立與第一存取點之安全通信會話;(f)獲得與第二存取點相關聯之第二存取點識別符;(g)使用至少主瞬時金鑰及第二存取點識別符而產生第二主會話金鑰;及/或(h)使用第二主會話金鑰而將安全通信會話交遞至第二存取點。
本發明之態樣的特徵、性質及優勢可自下文結合圖式而陳述之[實施方式]變得較顯而易見,其中貫穿該等圖式,
相同參考符號識別相同元件。
在以下描述中,給出特定細節以提供對實施例之透徹理解。然而,一般熟習此項技術者將理解,可在無此等特定細節的情況下實踐該等實施例。舉例而言,電路可以方塊圖形式展示以免不必要詳細地混淆該等實施例。在其他情形下,可能不詳細地展示熟知電路、結構及技術以免混淆實施例。
又,應注意,可將實施例描述為一過程,該過程可被描繪為流程框圖、流程圖、結構圖或方塊圖。雖然流程框圖可將操作描述為順序過程,但可並列或並行執行操作中之許多者。另外,可重新配置該等操作之次序。當一過程之操作完成時,終止該過程。過程可對應於方法、函數、程序、子常式、子程式等等。當過程對應於函數時,其終止對應於函數向呼叫函數或主函數之返回。
此外,儲存媒體可表示用於儲存資料之一或多個器件,包括唯讀記憶體(ROM)、隨機存取記憶體(RAM)、磁碟儲存媒體、光學儲存媒體、快閃記憶體器件及/或用於儲存資訊之其他機器可讀媒體。術語"機器可讀媒體"包括(但不限於)攜帶型或固定儲存器件、光學儲存器件、無線頻道及能夠儲存、含有或載有指令及/或資料之各種其他媒體。
另外,實施例可由硬體、軟體、韌體、中間軟體、微碼、或其任一組合來實施。當實施於軟體、韌體、中間軟體或微碼中時,可將用以執行必要任務之程式碼或碼段儲
存於諸如儲存媒體或其他儲存器之機器可讀媒體中。處理器可執行必要任務。碼段可表示程序、函數、子程式、程式、常式、子常式、模組、套裝軟體、類、或者指令、資料結構或程式敍述之任一組合。可藉由傳遞及/或接收資訊、資料、引數、參數或記憶體內容來將一碼段耦接至另一碼段或一硬體電路。可經由包括記憶體共用、訊息傳遞、符記傳遞、網路傳輸等等之任何合適方式來傳遞、轉發或傳輸資訊、引數、參數、資料等等。
一特徵提供用於存取終端機(例如,行動終端機、無線使用者終端機等等)與一或多個存取點(例如,基地台等等)之間的金鑰管理之系統及方法。特定言之,提供一種用於建立存取終端機與存取點之間的安全通信而不冒曝露存取終端機之主金鑰之風險之機制。此方法導出用於新存取點與存取終端機之間的低潛時交遞及安全鑑認之主會話金鑰。
在一態樣中,提供集中式金鑰管理機制,其中鑑認器維持、產生新安全金鑰且將其分配至存取點。在存取終端機自當前存取點移動至新存取點時,存取終端機將短交遞請求發送至新存取點。短交遞請求可包括存取終端機ID;其不包括存取點ID。新存取點接著可將其識別符及存取終端機之識別符發送至鑑認器。使用先前產生之主瞬時金鑰、存取點識別符(例如,小區識別符或小區ID)及存取終端機識別符,鑑認器可產生主會話金鑰(MSK)。接著可將主會話金鑰發送至存取點。鑑認器隨著存取終端機切換至其他
存取點而重複此過程。存取終端機獨立產生相同新安全金鑰,藉由該新安全金鑰其可安全地與新存取點通信。
在替代實施例中,存取點可具有一相關聯之值,該相關聯之值係在亦包括存取點識別符及存取終端機識別符之金鑰請求中發送至鑑認器。除主瞬時金鑰、存取點識別符及存取終端機識別符之外,可使用存取點之值來產生主會話金鑰。
在替代實施例中,鑑認器可具有一相關聯之值,除主瞬時金鑰、存取點識別符及存取終端機識別符之外,可使用該相關聯之值來產生主會話金鑰。
因此,存取終端機可產生相同主會話金鑰,存取終端機可經由諸如直接或間接(經由另一存取點)詢問討論中之存取點、詢問鑑認器或詢問另一存取點的各種方式或自由鑑認器或討論中之存取點廣播之資訊找出相關聯之值。
又一特徵提供一種存取終端機,其經組態以建立及/或維持可與其通信的存取點之有效集合。並非在存取終端機移動至新存取點時獲得或協商新金鑰,而是由存取終端機維持金鑰之有效集合。亦即,存取終端機可同時或並行地維持或建立與扇區、區或區域內之複數個存取點的安全關聯(例如,金鑰)。隨後可由存取終端機使用預建立之安全金鑰來與其有效集合中的存取點通信而不需要重新建立其自身與存取點之間的安全關係。
在一些態樣中,每一存取終端機可與一或多個小區之兩個或兩個以上扇區通信。可進行此過程以允許不同扇區或
小區之間在存取終端機移動或行進時出於適當容量管理及/或出於其他原因的交遞。
如本文中所使用,存取點可為用於與存取終端機通信之固定台,且亦可被稱為基地台、節點B或某一其他術語且包括其一些或所有功能性。存取終端機亦可被稱為使用者設備(UE)、無線通信器件、終端機、行動終端機、行動台或某一其他術語且包括其一些或所有功能性。
本文中所描述之傳輸技術亦可用於各種無線通信系統,諸如CDMA系統、TDMA系統、FDMA系統、正交頻分多重存取(OFDMA)系統、單載波FDMA(SC-FDMA)系統等等。OFDMA系統利用正交頻分多工(OFDM),正交頻分多工(OFDM)為將整個系統頻寬分割為多個(K個)正交副載波的調變技術。此等副載波亦被稱為音調(tone)、頻率組(bin)等等。對於OFDM,可藉由資料來獨立調變每一副載波。SC-FDMA系統可利用交錯FDMA(IFDMA)以在跨越系統頻寬而分配之副載波上傳輸、利用區域化FDMA(LFDMA)以在鄰近副載波之區塊上傳輸或利用增強FDMA(EFDMA)以在鄰近副載波之多個區塊上傳輸。一般而言,對於OFDM,在頻域中發送調變符號,且對於SC-FDMA,在時域中發送調變符號。
本文中所描述之實例中之一些指代導致存取點及存取終端機處之成對主金鑰MK之導出的可擴展性鑑認協定(EAP)。EAP鑑認可在存取終端機與鑑認伺服器(例如,在網路控制器、AAA伺服器等等中)之間經由充當鑑認器之
存取點而進行;鑑認器在一些狀況下可自身充當鑑認伺服器。在一些情形下,鑑認器可與一或多個存取點共置。
在存取點與存取終端機之間建立並維持主會話金鑰(MSK)。可計算MSK(例如,基於主金鑰MK或用於EAP應用之MK)以保全存取終端機與存取點之間的通信。舉例而言,可如下而計算MSK:MSKn=PRF(MKn,資料),其中PRF為偽隨機函數(例如,金鑰導出函數(KDF)或雜湊(函數)),諸如,HMAC-SHA-256或AES-128-CMAC或另一金鑰導出函數,且資料可為存取點識別符及存取終端機識別符。在另一實施例中,資料可進一步包括特定值。該值可包括與存取點相關聯或被指派給存取點的網際網路協定(IP)或媒體存取控制(MAC)位址、由存取點選擇之臨時值(nonce)或隨機數、由鑑認器選擇之臨時值或甚至一靜態串。資料參數可根據系統設計而已知或可在會話期間傳達。在此方法中,不在MSK導出中使用動態變數,且因此,超出EAP或EAP重新鑑認不需要金鑰交換。
通常,存取點與存取終端機之間的通信會話使用某一類型之加密以在傳輸期間保護資料。然而,在通信自當前存取點至新存取點之交遞期間,存在關於藉由在存取點之間傳輸金鑰或經由空中而傳輸其他加密金鑰產生值來繼續與新存取點之受保全之通信而不損害通信會話之方式的問題。因為應由新存取點建立新主會話金鑰(MSK),所以首先應在新存取點與存取終端機之間建立新主金鑰(MK)。另外,較佳地避免存取點之間的會話金鑰共用,因為此引入
易損性,其中存取點之損害導致參與與受損害之存取點之金鑰共用的存取點之損害。然而,在交遞之關鍵路徑中協商新主會話金鑰會增加交遞潛時。因此,將需要對每一存取點與存取終端機對提供安全、低潛時會話金鑰。
在先前技術之方法中,可在所有存取點之間共用存取終端機之同一頂級主金鑰(MKo)來保全與存取終端機之通信會話。若頂級主金鑰MKo在存取點中之任一者處受到損害,則其將損害存取終端機與所有其他存取點之間的所有通信會話。使用主會話金鑰MSK之優勢在於若一主會話金鑰MSKn在一存取點處受到損害,則其他存取點之主會話金鑰MSK1、…、MSKn-1或MSKo不受到損害。此係因為每一主會話金鑰對於特定存取終端機與存取點對而言為唯一的。
圖1說明具有促進安全、低潛時交遞之集中式金鑰管理的無線通信系統。多重存取無線通信系統100可包括多個小區,例如,小區102、104及106。每一小區102、104及106可包括將覆蓋提供給小區內之多個扇區的存取點110、112及114。每一小區102、104及106內之存取點110、112及114可將網路連接服務提供給一或多個存取終端機。舉例而言,隨著存取終端機118移動跨越不同小區102、104、106,其可與存取點110、112及114通信。鑑認器120(例如,行動性管理實體(MME)、存取安全管理實體(ASME)或伺服器)可用以管理存取點110、112及114之操作及/或管理存取終端機之金鑰鑑認。在一些應用中,鑑認
器120可維持與由網路100伺服之存取終端機唯一相關聯的頂級主金鑰。舉例而言,第一頂級主金鑰MKo對於鑑認器120及存取終端機118而言為已知的,且與存取終端機118唯一相關聯。在各種應用中,鑑認器120可為網路控制器之遠離存取點110、112及114或與其分開的部分,或者其可與該等存取點中之一者共置。每一存取終端機可與一或多個小區之兩個或兩個以上扇區通信。此可允許不同扇區或小區之間在存取終端機118移動或行進時出於適當容量管理及/或出於其他原因的交遞通信會話。
為了使得能夠進行快速交遞,鑑認器120經組態以與存取終端機118協商主瞬時金鑰(MTK)。舉例而言,當首先建立通信會話時,鑑認器120及存取終端機118可使用頂級主金鑰MKo來建立主瞬時金鑰(MTK),該主瞬時金鑰(MTK)可為由存取終端機118與鑑認器120共用之長期金鑰。鑑認器120接著可(至少部分)基於主瞬時金鑰(MTK)、存取點識別符及存取終端機識別符而產生針對存取點110、112及114之主會話金鑰(MSK)(例如,演進節點B之金鑰(K_eNB))。
鑑認器120基於自存取點接收到新金鑰請求訊息而產生該MSK。鑑認器120可將適當MSK封入其發送回請求存取點的新金鑰回應訊息中。
在一替代實施例中,鑑認器亦可使用相關聯之值來產生MSK。該值可為與存取點相關聯或被指派給存取點的網際網路協定(IP)或媒體存取控制(MAC)位址或由存取點或鑑
認器120選擇之臨時值或隨機數。存取終端機可經由諸如直接或間接(經由另一存取點)詢問討論中之存取點、詢問鑑認器或詢問另一存取點的各種方式或自由鑑認器或討論中之存取點廣播之資訊找出用以產生MSK的值。在另一實施例中,該值可由存取點在存取點可能已發送至存取終端機之訊息中發送。在又一實施例中,該值可為由存取點為了正交遞之存取終端機的利益而以指定週期廣播之值。
主會話金鑰(MSK)為短期、鏈路特定金鑰。主會話金鑰(MSK)可同時或在需要其將一會話交遞至新存取點時由鑑認器120產生及/或分配。存取終端機118可在每次其將一會話交遞至新存取點時以類似方式產生新MSK。藉由在交遞後導出新存取終端機-存取點金鑰,未使用至/自存取終端機之額外訊息。
上文描述之新金鑰請求/回應可為鑑認器產生新金鑰之最快方式。存取終端機118可為其自身安全地導出此金鑰而無需存取終端機118與存取點之間或存取終端機與鑑認器120之間的任何額外信令。因此,可獲得與(例如)可在通電時進行之存取終端機-鑑認器鑑認相比的較低的交遞延遲。
圖2(包含圖2A、圖2B及圖2C)為說明具有促進安全、低潛時交遞之集中式金鑰管理的無線通信系統之操作之第一實例的流程圖。在此第一實例中,如下文所描述,主會話金鑰(MSK),可至少基於主瞬時金鑰(MTK)(例如,存取安全管理實體之金鑰(K_ASME)或根主會話金鑰(rMSK))、存
取點識別符(例如,小區識別符或小區ID)及存取終端機識別符而產生。又,在此第一實例中,圖1之鑑認器120、存取點A 110、存取終端機118及存取點B 112係用於說明目的。存取點A可由識別符AP_ID_A 202識別,存取終端機可由識別符AT_ID 204識別,且存取點B可由識別符AP_ID_B 206識別。
鑑認器120及存取終端機118可各自儲存與存取終端機118唯一相關聯之頂級主金鑰MKo 212及214。鑑認器120及存取終端機118亦可經由諸如EAP之指定協定而協商主瞬時金鑰(MTK)(且可能地,MTK識別符MTK_ID)。MTK可(至少部分)基於頂級主金鑰MKo及/或存取終端機識別符(AT_ID)216。可由鑑認器120及存取終端機118安全地維持MTK。相反地,存取終端機118與存取點110共用之MSK係自MTK導出,且為隨後可用以導出臨時會話金鑰之主金鑰。
在一些實施例中,MTK導出亦可包括由存取終端機118及/或鑑認器120產生及/或供應之隨機數。因此,可在鑑認器120及/或存取終端機118之間實施一協定以在MTK之導出之前(或與其並行)導出、產生及/或交換該隨機數。如在此項技術中已知,EAP之許多情形展示該方法。
存取終端機118可收聽識別區域存取點之廣播以用於獲得存取點識別符218。在一實例中,存取終端機118可基於其與附近任何其他存取點相比之信號強度而選擇存取點A110。存取終端機118可發送建立與存取點A 110之通信會
話之短請求。不同於先前技術,短請求可能不包括存取點識別符(AP_ID_A),且其可僅包括存取終端機識別符220。此情形最小化所傳輸之資料量。存取點A接著可以金鑰請求之形式將其識別符(AP_ID_A)及存取終端機識別符(AT_ID)發送至鑑認器以用於產生可由存取終端機及存取點A(例如,源演進節點B(eNB))使用以建立安全通信的第一主會話金鑰(MSK1)222。
接著,鑑認器120及存取終端機118均可至少部分基於主瞬時金鑰(MTK)、存取點識別符及存取終端機識別符而獨立地產生第一主會話金鑰MSK1 226及228。主會話金鑰(MSK)可為短期、鏈路特定金鑰。可藉由使用偽隨機函數(PRF)或其他合適金鑰導出函數來產生主會話金鑰MSKn。因為使用共同MTK而產生主會話金鑰MSK,所以至少用於每一MSK之導出中的存取點識別符AP_ID對於特定存取點與存取終端機對而言應為唯一的。鑑認器120接著可將第一主會話金鑰MSK1發送至存取點A 230。在第一主會話金鑰(MSK1)之導出之後,可作為MSK1及"其他資料"之函數而產生第一瞬時會話金鑰(TSK1)以用於建立存取終端機與存取點之間的通信會話232。"其他資料"可為對於存取終端機及存取點而言均已知的靜態或隨時間變化之量,或其可含有新產生之量,諸如,隨後出於導出TSK之目的而在單獨協定執行中交換的臨時值。用於自主金鑰導出臨時會話金鑰之該等協定在此項技術中係已知的。接著可使用第一主會話金鑰MSK1而在存取點A 110與存取終端機118之
間安全地建立通信會話234。
存取終端機118可繼續收聽來自區域存取終端機之廣播236以判定是否應發生與新存取點B(例如,目標演進節點B eNB)之交遞238。亦即,隨著存取終端機118漫遊或移動至不同扇區或小區中或自另一存取點偵測到較強信號,至新存取點B 112之交遞可為理想的。若存取終端機118決定自當前存取點A 110至新存取點B 112之交遞,則其可發送藉由將通信會話交遞至存取點B 112而建立與存取點B之通信會話之短請求。不同於先前技術,短請求不包括存取點識別符(AP_ID_B)240。由於在請求中不包括存取點識別符(AP_ID_B),所傳輸之資料量得以最小化。存取點B接著可以金鑰請求之形式將其識別符(AP_ID_B)及存取終端機識別符(AT_ID)發送至鑑認器以用於產生可由存取終端機及存取點B使用以建立安全通信的主會話金鑰242。
接著,鑑認器120及存取終端機118兩者均可至少部分基於當前主瞬時金鑰MTK、存取點識別符及存取終端機識別符而獨立地產生新主會話金鑰MSK2 246及248。主會話金鑰(MSK)可為短期、鏈路特定金鑰。鑑認器120接著可將新主會話金鑰MSK2發送至新存取點B 250。接著可使用新主會話金鑰MSK2而在存取點B 112與存取終端機118之間繼續安全通信會話252。
可使用第二主會話金鑰MSK2而在存取點B 112與存取終端機118之間安全地建立通信會話。可由存取點B直接針對存取終端機對該交遞請求作出回應而發生交遞。在替代實
施例中,可由存取點B經由存取點B而針對存取終端機對該交遞請求作出回應而發生交遞256。在第二主會話金鑰(MSK2)之導出之後,可作為MSK2及"其他資料"之函數而產生第二瞬時會話金鑰(TSK2)以用於建立存取終端機與存取點之間的通信會話258。"其他資料"可為對於存取終端機及存取點而言均已知的靜態或隨時間變化之量,或者其可含有新產生之量,諸如,隨後出於導出TSK之目的而在單獨協定執行中交換的臨時值。用於自主金鑰導出臨時會話金鑰之該等協定在此項技術中已知。因此,存取終端機118與存取點A 110之間的通信可終止260。
可重複安全地將通信會話自一存取點交遞至另一者之過程多次。舉例而言,在圖1中,存取終端機118可自當前小區104漫遊或移動至新小區106且設法將通信會話自當前存取點B 112交遞至新存取點C 114。存取終端機118可請求至新存取點之交遞。如上文所描述,存取終端機可發送短交遞請求,其中該交遞請求不包括存取點識別符(AP_ID)。鑑認器120接著可(至少部分)基於主瞬時金鑰MTK、存取點識別符及存取終端機識別符而產生新主會話金鑰MSK3。鑑認器120接著可將主會話金鑰MSK3發送至新存取點C 114。鑑認器120及存取終端機118兩者均可獨立地產生其自身之新主會話金鑰MSK3之版本。存取終端機118及新存取點C 114接著可使用新主會話金鑰MSK3來繼續其之間的安全通信會話。
圖3(包含圖3A、圖3B及圖3C)為說明具有促進安全、低
潛時交遞之集中式金鑰管理的無線通信系統之操作之第二實例的流程圖。在此第二實例中,如下文所描述,主會話金鑰(MSK)可至少基於主瞬時金鑰(MTK)、存取點識別符、存取終端機識別符及(視情況)相關聯之值而產生,其中該值可為由存取點或鑑認器產生之臨時值(或隨機數)。又,在此第二實例中,圖1之鑑認器120、存取點A 110、存取終端機118及存取點B 112係用於說明目的。存取點A可由識別符AP_ID_A 302識別,存取終端機可由識別符AT_ID 304識別,且存取點B可由識別符AP_ID_B 306識別。另外,存取點A、存取點B及鑑認器可各自儲存可分別為由每一存取點及鑑認器產生之隨機數或臨時值的值308、310及311。
鑑認器120及存取終端機118可各自儲存與存取終端機118唯一相關聯之頂級主金鑰MKo 312及314。鑑認器120及存取終端機118亦可經由諸如EAP之指定協定而協商主瞬時金鑰(MTK)(且可能地,MTK識別符MTK_ID)。MTK可(至少部分)基於頂級主金鑰MKo及/或存取終端機識別符(AT_ID)316。可由鑑認器120及存取終端機118安全地維持MTK。相反地,存取終端機118與存取點110共用之MSK係自MTK導出,且為隨後可用以導出臨時會話金鑰之主金鑰。
在一些實施例中,MTK導出亦可包括由存取終端機118及/或鑑認器120產生及/或供應之隨機數。因此,可在鑑認器120及/或存取終端機118之間實施一協定以在MTK之導
出之前(或與其並行)導出、產生及/或交換該隨機數。如在此項技術中已知,EAP之許多情形展示該方法。
存取終端機118可收聽識別區域存取點之廣播以用於獲得存取點識別符及(視情況)存取點之相關聯之值318。在一實例中,存取終端機118可基於其與附近任何其他存取點相比之信號強度而選擇存取點A 110。存取終端機118可發送建立與存取點A 110之通信會話之短請求。不同於先前技術,短請求可能不包括存取點識別符(AP_ID_A),且可僅包括存取終端機識別符320。此最小化所傳輸之資料量。存取點A接著可以金鑰請求之形式將其識別符(AP_ID_A)、存取終端機識別符(AT_ID)及(視情況)其相關聯之值發送至鑑認器以用於產生可由存取終端機及存取點A使用以建立安全通信的第一主會話金鑰(MSK1)322。該值可為與存取點相關聯或被指派給存取點的IP或MAC位址或由存取點選擇之臨時值或隨機數。
接著,鑑認器120及存取終端機118兩者均可至少部分基於主瞬時金鑰(MTK)、存取點識別符、存取終端機識別符及(視情況)相關聯之值而獨立地產生第一主會話金鑰MSK1 326及328。主會話金鑰(MSK)可為短期、鏈路特定金鑰。可藉由使用偽隨機函數(PRF)或其他合適金鑰導出函數來產生主會話金鑰MSKn。因為使用共同MTK而產生主會話金鑰MSK,所以至少用於每一MSK之導出中的存取點識別符AP_ID或另一相關聯之值對於特定存取點與存取終端機對而言應為唯一的。鑑認器120接著可將第一主會
話金鑰MSK1發送至存取點A 330。若鑑認器使用其相關聯之值,則鑑認器可將其其值發送至存取終端機以使得存取終端機可產生相同第一主會話金鑰(MSK1)331。在第一主會話金鑰(MSK1)之導出之後,可作為MSK1及"其他資料"之函數而產生第一瞬時會話金鑰(TSK1)以用於建立存取終端機與存取點之間的通信會話332。"其他資料"可為對於存取終端機及存取點兩者而言均已知的靜態或隨時間變化之量,或者其可含有新產生之量,諸如,隨後出於導出TSK之目的而在單獨協定執行中交換的臨時值。用於自主金鑰導出臨時會話金鑰之該等協定在此項技術中已知。接著可使用第一主會話金鑰MSK1而在存取點A 110與存取終端機118之間安全地建立通信會話334。
存取終端機118可繼續收聽來自區域存取終端機之廣播以用於獲得存取點識別符及(視情況)存取點之相關聯之值336且判定是否應發生與新存取點B之交遞338。亦即,隨著存取終端機118漫遊或移動至不同扇區或小區中或自另一存取點偵測到較強信號,至新存取點B 112之交遞可為理想的。若存取終端機118決定自當前存取點A 110至新存取點B 112之交遞,則其可發送藉由將通信會話交遞至存取點B 112而建立與存取點B之通信會話之短請求。不同於先前技術,短請求不包括存取點識別符(AP_ID_B)340。由於在請求中不包括存取點識別符(AP_ID_B),所傳輸之資料量得以最小化。
存取點B接著可以金鑰請求之形式將其識別符
(AP_ID_B)、存取終端機識別符(AT_ID)及(視情況)其相關聯之值發送至鑑認器以用於產生可由存取終端機及存取點B使用以建立安全通信的第二主會話金鑰(MSK2)342。該相關聯之值可為與存取點相關聯或被指派給存取點的IP或MAC位址或由存取點選擇之臨時值或隨機數。
接著,鑑認器120及存取終端機118兩者均可至少部分基於當前主瞬時金鑰MTK、存取點識別符、存取終端機識別符及(視情況)相關聯之值而獨立地產生新主會話金鑰MSK2 346及348。該相關聯之值可為與存取點相關聯或被指派給存取點的IP或MAC位址、由存取點或鑑認器選擇之臨時值或隨機數。主會話金鑰(MSK)可為短期、鏈路特定金鑰。可使用偽隨機函數(PRF)或其他合適金鑰導出函數來產生主會話金鑰MSKn。因為使用共同MTK而產生主會話金鑰MSK,所以至少用於每一MSK之導出中的存取點識別符AP_ID、存取終端機識別符及/或另一相關聯之值對於特定存取點與存取終端機對而言應為唯一的。鑑認器120接著可將第二主會話金鑰MSK2發送至存取點A 350。若鑑認器使用其相關聯之值,則鑑認器可將其相關聯之值發送至存取終端機以使得存取終端機可產生相同第二主會話金鑰(MSK2)351。接著可使用新主會話金鑰MSK2而在存取點B 112與存取終端機118之間繼續安全通信會話352。
可使用第二主會話金鑰MSK2而在存取點B 112與存取終端機118之間安全地建立通信會話。可由存取點B直接針對存取終端機對該交遞請求作出回應而發生交遞。在替代實
施例中,可由存取點B經由存取點B而針對存取終端機對該交遞請求作出回應而發生交遞356。在第二主會話金鑰(MSK2)之導出之後,可作為MSK2及"其他資料"之函數而產生第二瞬時會話金鑰(TSK2)以用於建立存取終端機與存取點之間的通信會話358。"其他資料"可為對於存取終端機及存取點兩者而言均已知的靜態或隨時間變化之量,或者其可含有新產生之量,諸如,隨後出於導出TSK之目的而在單獨協定執行中交換的臨時值。用於自主金鑰導出臨時會話金鑰之該等協定在此項技術中已知。因此,存取終端機118與存取點A 110之間的通信可終止360。
可重複安全地將通信會話自一存取點交遞至另一者之過程多次。舉例而言,在圖1中,存取終端機118可自當前小區104漫遊或移動至新小區106且設法將通信會話自當前存取點B 112交遞至新存取點C 114。存取終端機118可請求至新存取點之交遞。如上文所描述,存取終端機可發送短交遞請求,其中該交遞請求不包括存取點識別符(AP_ID)。鑑認器120接著可(至少部分)基於主瞬時金鑰MTK、存取點識別符、存取終端機識別符及(視情況)相關聯之值而產生新主會話金鑰MSK3。該相關聯之值可為與存取點相關聯或被指派給存取點的IP或MAC位址或由存取點或鑑認器選擇之臨時值或隨機數。鑑認器120接著可將主會話金鑰MSK3發送至新存取點C 114。如上文所描述,若使用鑑認器之相關聯之值,則鑑認器可將其值發送至存取終端機以使得存取終端機可產生相同主會話金鑰。鑑認
器120及存取終端機118兩者均可獨立地產生其自身之新主會話金鑰MSK3之版本。存取終端機118及新存取點C 114接著可使用新主會話金鑰MSK3來繼續其之間的安全通信會話。
圖4說明可用於在交遞期間及/或之後保全存取終端機與新存取點之間的通信會話中之安全金鑰之集中式模型。在此集中式模型中,鑑認器(例如,網路控制器、鑑認伺服器等等)與存取終端機(至少部分)基於與存取終端機唯一相關聯之頂級主金鑰MKo而協商主瞬時金鑰(MTK)。鑑認器產生、管理瞬時會話金鑰及/或將其分配至每一存取點。因為僅協商瞬時主金鑰MTK一次(例如,在存取終端機與鑑認器首次起始通信時),所以此使產生會話金鑰之過程加速。又,即使瞬時主金鑰MTK受到損害,其亦不損害頂級主金鑰MKo。此外,因為頂級主金鑰MKo或主瞬時金鑰MTK均不分配至存取點(例如,僅分配瞬時會話金鑰),所以其減小在存取點受到損害之情況下損害安全之風險。
此集中式金鑰管理對現有通信會話提供低潛時交遞,因為主會話金鑰由鑑認器在保全通信會話的同時產生並提供,因為頂級主金鑰MKo或主瞬時金鑰MTK均不分配至存取點。
在各種實施例中,可在交遞之後短期使用新主會話金鑰MSKt,或者新主會話金鑰MSKt可無限期地用於保全存取終端機與新存取點AP-t之間的通信。在一些應用中,可隨後執行經由存取點的存取終端機之EAP鑑認或重新鑑認(例
如,以更新MTK)以便減小損害通信會話之可能性。
如在圖1至圖4及本文之描述中所使用,主瞬時金鑰(MTK)及主會話金鑰(MSK)對於特定存取點/存取終端機對而言可為特定的。在鑑認器(其亦可為存取點)與存取終端機之間使用MTK。在存取點與存取終端機之間使用MSK。在一些實施例中,可短期使用主瞬時金鑰(MTK)及主會話金鑰(MSK)(直至在存取終端機與存取點之間協商安全金鑰為止)或可長期使用主瞬時金鑰(MTK)及主會話金鑰(MSK)(例如,直至通信會話交遞至另一存取點或通信會話結束為止)。在其他實施例中,MSK可用作根金鑰以經由在存取點與存取終端機之間採取之指定協定而導出瞬時會話金鑰(TSK)。
雖然圖1至圖4中所說明之實例通常涉及在將通信自當前存取點交遞至新存取點之情形下實施集中式金鑰管理機制,但其可在其他情形下實施。在一實例中,並非在存取終端機移動至新存取點時獲得或協商新金鑰,而是由存取終端機維持金鑰之有效集合。亦即,存取終端機可同時或並行地建立與扇區、區或區域內之複數個存取點的安全關聯(例如,金鑰)。存取終端機與之維持該等同時或並行安全關聯(例如,金鑰)的存取點被稱為存取點之"有效集合"。每次將新存取點添加至存取終端機之有效集合時,存取終端機與新存取點均可建立安全金鑰。舉例而言,存取終端機與新存取點可建立主會話金鑰(MSK)。
當在存取點之有效集合之情形下實施集中式金鑰管理方
法時,存取終端機可由鑑認器針對新存取點而導出新主會話金鑰(MSK)且使鑑認器將新主會話金鑰(MSK)提供至新存取點。
如上文所描述而使用存取點之有效集合與集中式金鑰管理方法使存取終端機能夠快速地切換與其有效集合中之存取點的通信。
圖5為說明經組態以執行低潛時安全通信會話交遞之存取終端機的方塊圖。存取終端機502可包括耦接至無線通信介面506以經由無線網路而通信之處理電路504及用以儲存唯一頂級主金鑰MKo(與存取終端機相關聯)及與每一存取點相關聯之MSK的儲存器件508。處理電路504可經組態以安全地交遞正在進行之通信會話而無通信會話之可察覺中斷。處理電路504(例如,處理器、處理模組等等)可包括經組態以產生可用以保全通信會話之一或多個金鑰的金鑰產生器模組。
圖6為說明在存取終端機中操作以促進使用集中式金鑰管理方法自第一存取點至新存取點或第二存取點之安全通信會話交遞的方法之流程圖。最初,可由鑑認器基於與存取終端機相關聯之至少一頂級主金鑰而安全地建立主瞬時金鑰(MTK)602。可將建立與第一存取點之安全通信會話的短請求發送至第一存取點604。短請求可僅包括存取終端機識別符且不包括存取點識別符來最小化可傳輸之資料量。
視情況,如上文所描述,可自鑑認器或存取點接收相關
聯之值605。該相關聯之值可為與存取點相關聯或被指派給存取點的IP或MAC位址或由存取點或鑑認器選擇之臨時值或隨機數。可使用基於主瞬時金鑰、存取點識別符、存取終端機識別符及(視情況)相關聯之值而產生之至少一唯一第一主會話金鑰而建立與第一存取點之安全通信會話606。
存取終端機接著可收聽來自區域存取點之廣播608。若第二存取點被識別,則存取終端機判定是否應將現有通信會話自第一存取點交遞至第二存取點610。此可藉由比較關於第一存取點與第二存取點之信號強度及/或品質而判定。存取終端機可判定以繼續與第一存取點之通信會話612。否則,存取終端機可選擇藉由將不包括第二存取點識別符之短請求發送至第二存取點來起始現有通信會話至第二存取點之交遞614。如上文所描述,短請求可僅包括存取終端機識別符且不包括存取點識別符以最小化可傳輸之資料量。
視情況,如上文所描述,可自鑑認器或存取點接收第二相關聯之值615。該相關聯之值可為與存取點相關聯或被指派給存取點的IP或MAC位址或由存取點或鑑認器選擇之臨時值或隨機數。可使用基於主瞬時金鑰、存取點識別符、存取終端機識別符及(視情況)第二相關聯之值而產生之至少一唯一第二主會話金鑰而建立與第二存取點之安全通信會話616。
存取終端機接著可將安全通信會話自第一存取點交遞至
第二存取點且以第二主會話金鑰對其加以保全618。可藉由使用主瞬時金鑰、存取點識別符、存取終端機識別符及(視情況)新相關聯之值以產生下一主會話金鑰來重複此交遞過程多次。
圖7為說明經組態以促進低潛時安全通信會話交遞之鑑認器的方塊圖。鑑認器702可包括耦接至通信介面706以經由網路而通信之處理電路704及用以儲存唯一頂級主金鑰MKo(與存取終端機相關聯)的儲存器件708。處理電路704可經組態以促進正在進行之通信會話自存取點至存取終端機之安全交遞而無通信會話之可察覺中斷。處理電路704(例如,處理器、處理模組等等)可包括經組態以產生可用以保全通信會話之一或多個金鑰的金鑰產生器模組。在各種應用中,鑑認器702可安置於網路控制器處,或者其可與一或多個存取點共置。
圖8為說明在鑑認器中操作以促進使用集中式金鑰管理方法自第一存取點至新存取點之安全通信會話交遞的方法之流程圖。鑑認器在存取終端機請求與第一存取點之通信會話後基於與存取終端機相關聯之頂級主金鑰而產生主瞬時金鑰(MTK)802。可自存取點接收第一存取點識別符(AP_ID_A)、存取終端機識別符及(如上文所描述,視情況)一相關聯之值804。在一替代實施例中,若使用相關聯之值,則鑑認器可如上文所描述而使用其自身之相關聯之值805。該相關聯之值可為與存取點相關聯或被指派給存取點的IP或MAC位址或由存取點或鑑認器選擇之臨時值或
隨機數。
由鑑認器至少基於主瞬時金鑰、存取點識別符、存取終端機識別符及(視情況)相關聯之值而產生第一主會話金鑰806。可由鑑認器將第一主會話金鑰發送至第一存取點808。視情況,若在產生主會話金鑰的過程中使用鑑認器之相關聯之值,則鑑認器可將其相關聯之值發送至存取終端機以使得存取終端機可產生相同第一主會話金鑰809。
隨後,可自第二存取點接收第二存取點識別符、存取終端機識別符及(如上文所描述,視情況)第二相關聯之值。在一替代實施例中,若使用第二相關聯之值,則鑑認器可使用其自身之相關聯之值810。第二相關聯之值可為與存取點相關聯或被指派給存取點的IP或MAC位址或由存取點或鑑認器選擇之臨時值或隨機數。
至少基於主瞬時金鑰、第二存取點識別符、存取終端機識別符及(視情況)第二相關聯之值而產生第二主會話金鑰811。鑑認器接著可將第二主會話金鑰發送至第二存取點812。視情況,若使用鑑認器之相關聯之值,則鑑認器可將其相關聯之值發送至存取終端機以使得存取終端機可產生相同第二主會話金鑰814。
圖9為說明經組態以促進低潛時安全通信會話交遞之存取點的方塊圖。存取點902可包括耦接至無線通信介面906以與一或多個存取終端機通信之處理電路904、用以與鑑認器及/或其他存取點通信之通信介面910及用以儲存唯一頂級主金鑰MKo(與存取終端機相關聯)的儲存器件908。處
理電路904可經組態以促進正在進行之通信會話自存取點902至存取終端機之安全交遞而無通信會話中之可察覺中斷。處理電路904(例如,處理器、處理模組等等)可包括經組態以產生可用以保全通信會話之一或多個金鑰的金鑰產生器模組。
圖10為說明具有整合之鑑認器之存取點1002的替代實施例之方塊圖。存取點1002可包括與圖9中之存取點1002相同之組件中之許多者,但替代經由其通信介面910而與鑑認器通信,鑑認器1012與存取點902共置。鑑認器1012及存取點1002可如圖1至圖8及圖11至圖12中所說明而操作。
圖11為說明在第一存取點中操作以促進使用集中式金鑰管理方法自第一存取點至第二存取點之安全通信會話交遞的方法之流程圖。第一存取點自存取終端機接收建立安全通信會話請求;該請求不包括存取點識別符1102。在接收到請求後,存取點可將第一存取點識別符及(視情況)一相關聯之值發送至鑑認器1104。視情況,其可將相關聯之值發送至存取終端機以使得存取終端機可產生相同主會話金鑰1105。在一替代實施例中,若使用相關聯之值來產生主會話金鑰,則鑑認器可使用其自身之相關聯之值且將該相關聯之值發送至存取終端機以產生相同主會話金鑰。
存取點接著自鑑認器接收第一主會話金鑰1106。第一存取點接著可使用第一主會話金鑰而建立與存取終端機之安全通信會話1108。隨後,第一存取點可自存取終端機接收將安全通信會話交遞至第二存取點之請求;該請求不包括
存取點識別符1110。此可使第二存取點將第二存取點識別符、存取終端機識別符及(視情況)第二相關聯之值發送至鑑認器1112。其接著可將第二相關聯之值發送至存取終端機以使得存取終端機可產生相同主會話金鑰1113。在一替代實施例中,若使用相關聯之值來產生主會話金鑰,則鑑認器可使用其自身之相關聯之值且將該相關聯之值發送至存取終端機以產生相同主會話金鑰。存取點接著可自鑑認器接收第二主會話金鑰1114。接著可將通信會話交遞至第二存取點1116。
圖12為說明在存取終端機中操作以獲得及/或建立存取點之有效集合的方法之流程圖。存取終端機可掃描存取點1202。在識別到新存取點時,存取終端機將該新存取點添加至其存取點之有效集合1204。存取終端機可在將每一存取點添加至有效集合時建立與其之主會話金鑰1206。
每一存取點之主會話金鑰可包括基於自存取點或鑑認器接收的主瞬時金鑰、存取點識別符、存取終端機識別符及(視情況)一相關聯之值之主會話金鑰1208。如上文所描述,相關聯之值可來自存取點或鑑認器且可為與存取點相關聯或被指派給存取點的IP或MAC位址或由存取點選擇之臨時值或隨機數。舉例而言,可能已如圖1至圖4及/或圖6所說明而產生該主會話金鑰。
存取終端機可起始與有效集合中之第一存取點的通信會話,其中使用與第一存取點相關聯之第一主會話金鑰來保全通信會話1210。存取點隨後可將通信會話切換至有效集
合中之第二存取點,其中使用與第二存取點相關聯之第二主會話金鑰來保全通信會話1212。即使在存取終端機自第一存取點切換至第二存取點之後,第一主會話金鑰隨後仍可在存取終端機切換回與第一存取點通信時被再用。
圖1、圖2、圖3、圖4、圖5、圖6、圖7、圖8、圖9、圖10、圖11及/或圖12中所說明之組件、步驟及/或函數中之一或多者可被重新配置及/或組合為單一組件、步驟或函數,或實施於若干組件、步驟或函數中而不影響偽隨機數產生之操作。亦可在不脫離本申請案之情況下添加額外元件、組件、步驟及/或函數。圖1、圖5、圖7、圖9及/或圖10中所說明之裝置、器件及/或組件可經組態以執行圖2、圖3、圖4、圖6、圖8、圖11及/或圖12中所描述之方法、特徵或步驟中的一或多者。可在軟體及/或嵌入式硬體中有效實施本文中描述之新穎演算法。
熟習此項技術者將進一步瞭解可將結合本文中所揭示之實施例而描述的各種說明性邏輯區塊、模組、電路及演算法步驟實施為電子硬體、電腦軟體或兩者之組合。為清楚地說明硬體與軟體之此互換性,各種說明性組件、區塊、模組、電路及步驟已於上文大體就其功能性而加以描述。將該功能性實施為硬體還是軟體取決於特定應用及強加於整個系統之設計約束。
本文中所描述之本申請案之各種特徵在不脫離本申請案之情況下可實施於不同系統中。舉例而言,本申請案之一些實施可由移動或靜態通信器件(例如,存取終端機)及複
數個行動或靜態基地台(例如,存取點)來執行。
應注意,前述實施例僅為實例且不應被解釋為限制本申請案。對實施例之描述意欲為說明性的且並不限制申請專利範圍之範疇。因此,本發明之教示可容易應用於其他類型之裝置,且許多替代、修改及變化對於熟習此項技術者而言將為顯而易見的。
100‧‧‧多重存取無線通信系統
102‧‧‧小區
104‧‧‧小區
106‧‧‧小區
110‧‧‧存取點A
112‧‧‧存取點B
114‧‧‧存取點
118‧‧‧存取終端機
120‧‧‧鑑認器
202‧‧‧識別符AP_ID_A
204‧‧‧識別符AT_ID
206‧‧‧識別符AP_ID_B
212‧‧‧頂級主金鑰MKo
214‧‧‧頂級主金鑰MKo
302‧‧‧識別符AP_ID_A
304‧‧‧識別符AT_ID
306‧‧‧識別符AP_ID_B
308‧‧‧值
310‧‧‧值
311‧‧‧值
312‧‧‧頂級主金鑰MKo
314‧‧‧頂級主金鑰MKo
502‧‧‧存取終端機
504‧‧‧處理電路
506‧‧‧無線通信介面
508‧‧‧儲存器件
702‧‧‧鑑認器
704‧‧‧處理電路
706‧‧‧通信介面
708‧‧‧儲存器件
902‧‧‧存取點
904‧‧‧處理電路
906‧‧‧無線通信介面
908‧‧‧儲存器件
910‧‧‧通信介面
1002‧‧‧存取點
1012‧‧‧鑑認器
AP-t‧‧‧新存取點
Mko‧‧‧頂級主金鑰
MSK1‧‧‧新主會話金鑰
MSK2‧‧‧新主會話金鑰
MSK3‧‧‧新主會話金鑰
MSKt‧‧‧新主會話金鑰
MTK‧‧‧瞬時主金鑰
圖1說明具有促進安全、低潛時交遞之集中式金鑰管理的無線通信系統。
圖2(包含圖2A、圖2B及圖2C)為說明具有促進安全、低潛時交遞之集中式金鑰管理的無線通信系統之操作之第一實例的流程圖。
圖3(包含圖3A、圖3B及圖3C)為說明具有促進安全、低潛時交遞之集中式金鑰管理的無線通信系統之操作之第二實例的流程圖。
圖4說明可用於在交遞期間及/或之後保全存取終端機與新存取點之間的通信會話中之安全金鑰之集中式模型。
圖5為說明經組態以執行低潛時安全通信會話交遞之存取終端機的方塊圖。
圖6為說明在存取終端機中操作以促進使用集中式金鑰管理方法而自第一存取點至新存取點之安全通信會話交遞的方法之流程圖。
圖7為說明經組態以促進低潛時安全通信會話交遞之鑑認器的方塊圖。
圖8為說明在鑑認器中操作以促進使用集中式金鑰管理方法而自第一存取點至新存取點之安全通信會話交遞的方法之流程圖。
圖9為說明經組態以促進低潛時安全通信會話交遞之存取點的方塊圖。
圖10為說明具有整合之鑑認器之存取點的替代實施例之方塊圖。
圖11為說明在第一存取點中操作以促進使用集中式金鑰管理方法而自第一存取點至第二存取點之安全通信會話交遞的方法之流程圖。
圖12為說明在存取終端機中操作以獲得及/或建立存取點之有效集合的方法之流程圖。
Claims (70)
- 一種在一存取點上操作之方法,其包含:自一存取終端機接收經由該存取點而建立一安全通信會話之一第一請求;將一金鑰請求訊息發送至一鑑認器,其中該金鑰請求訊息包括一本端獲得之第一存取點識別符及一所接收之存取終端機識別符;及自該鑑認器接收一第一主會話金鑰以用於在該存取終端機與該存取點之間建立該安全通信會話,該第一主會話金鑰係產生作為至少一主瞬時金鑰、該第一存取點識別符及該存取終端機識別符之一函數,其中該主瞬時金鑰對於該鑑認器及該存取終端機係已知,但對於該存取點係未知。
- 如請求項1之方法,其中該金鑰請求訊息亦包括一由該存取點產生之第一相關聯之值,且該第一主會話金鑰亦為該第一相關聯之值之一函數。
- 如請求項1之方法,其中該金鑰請求訊息亦包括該存取點之一網際網路協定(IP)或媒體存取控制(MAC)位址中之至少一者,且該第一主會話金鑰亦為該IP位址或該MAC位址之一函數。
- 如請求項1之方法,其中該所接收之第一主會話金鑰亦為一由該鑑認器產生或與該鑑認器相關聯之相關聯之值的一函數,且該存取點自該鑑認器接收該相關聯之值。
- 如請求項4之方法,其中該鑑認器傳送該相關聯之值至 該存取終端機以允許該存取終端機產生該第一主會話金鑰。
- 如請求項1之方法,其進一步包含:自該存取終端機接收將該安全通信會話交遞至一第二存取點之一交遞請求,其中該請求包括一與待將該通信會話交遞至的該第二存取點相關聯之第二存取點識別符。
- 如請求項6之方法,其該第二存取點傳送該第二存取點識別符及該存取終端機識別符至該鑑認器,該第二存取點自該鑑認器接收一用於在該存取終端機與該第二存取點之間建立通信之第二主會話金鑰。
- 如請求項1之方法,其中該第一主會話金鑰為一用於該存取終端機與該存取點之間的通信之短期、鏈路特定金鑰。
- 一種存取點,其包含:一記憶體;及一處理器,其耦接至該記憶體,該處理器經組態以自一存取終端機接收經由該存取點而建立一安全通信會話之一第一請求;將一金鑰請求訊息發送至一鑑認器,其中該金鑰請求訊息包括一本端獲得之第一存取點識別符及一所接收之存取終端機識別符;且自該鑑認器接收一第一主會話金鑰以用於在該存取終端機與該存取點之間建立該安全通信會話,該第一主 會話金鑰係產生作為至少一主瞬時金鑰、該第一存取點識別符及該存取終端機識別符之一函數,其中該主瞬時金鑰對於該鑑認器及該存取終端機係已知,但對於該存取點係未知。
- 如請求項9之存取點,其中該金鑰請求訊息亦包括一由該存取點產生之第一相關聯之值,且該第一主會話金鑰亦為該第一相關聯之值之一函數。
- 如請求項9之存取點,其中該金鑰請求訊息亦包括該存取點之一網際網路協定(IP)或媒體存取控制(MAC)位址中之至少一者,且該第一主會話金鑰亦為該IP位址或該MAC位址之一函數。
- 如請求項9之存取點,其中該所接收之第一主會話金鑰亦為一由該鑑認器產生或與該鑑認器相關聯之相關聯之值的一函數,且該存取點自該鑑認器接收該相關聯之值。
- 如請求項12之存取點,其中該鑑認器傳送該相關聯之值至該存取終端機以允許該存取終端機產生該第一主會話金鑰。
- 如請求項9之存取點,其中該處理器經進一步組態以:自該存取終端機接收將該安全通信會話交遞至一第二存取點之一交遞請求,其中該請求包括一與待將該通信會話交遞至的該第二存取點相關聯之第二存取點識別符。
- 如請求項14之存取點,其中該第二存取點傳送該第二存 取點識別符及該存取終端機識別符至該鑑認器,且該第二存取點自該鑑認器接收一用於在該存取終端機與該第二存取點之間建立通信之第二主會話金鑰。
- 如請求項9之存取點,其中該第一主會話金鑰為一用於該存取終端機與該存取點之間的通信之短期、鏈路特定金鑰。
- 一種存取點,其包含:用於自一存取終端機接收經由該存取點而建立一安全通信會話之一第一請求之構件;用於將一金鑰請求訊息發送至一鑑認器之構件,其中該金鑰請求訊息包括一本端獲得之第一存取點識別符及一所接收之存取終端機識別符;及用於自該鑑認器接收一第一主會話金鑰以用於在該存取終端機與該存取點之間建立該安全通信會話之構件,該第一主會話金鑰係產生作為至少一主瞬時金鑰、該第一存取點識別符及該存取終端機識別符之一函數,其中該主瞬時金鑰對於該鑑認器及該存取終端機係已知,但對於該存取點係未知。
- 如請求項17之存取點,其進一步包含:用於自該存取終端機接收將該安全通信會話交遞至一第二存取點之一交遞請求之構件,其中該請求包括一與待將該通信會話交遞至的該第二存取點相關聯之第二存取點識別符。
- 如請求項18之存取點,其中該第二存取點傳送該第二存 取點識別符及該存取終端機識別符至該鑑認器,及該第二存取點自該鑑認器接收一用於在該存取終端機與該第二存取點之間建立通信之第二主會話金鑰。
- 如請求項17之存取點,其中該第一主會話金鑰為一用於該存取終端機與該存取點之間的通信之短期、鏈路特定金鑰。
- 一種非暫時性處理器可讀媒體,其包含可由一或多個處理器使用之指令,該等指令包含:用於自一存取終端機接收經由一存取點而建立一安全通信會話之一第一請求之指令;用於將一金鑰請求訊息發送至一鑑認器之指令,其中該金鑰請求訊息包括一本端獲得之第一存取點識別符及一所接收之存取終端機識別符;及用於自該鑑認器接收一第一主會話金鑰以用於在該存取終端機與該存取點之間建立該安全通信會話之指令,該第一主會話金鑰係產生作為至少一主瞬時金鑰、該第一存取點識別符及該存取終端機識別符之一函數,其中該主瞬時金鑰對於該鑑認器及該存取終端機係已知,但對於該存取點係未知。
- 如請求項21之非暫時性處理器可讀媒體,其進一步包含:用於自該存取終端機接收將該安全通信會話交遞至一第二存取點之一交遞請求之指令,其中該請求包括一與待將該通信會話交遞至的該第二存取點相關聯之第二存 取點識別符。
- 如請求項22之非暫時性處理器可讀媒體,其中該第二存取點傳送該第二存取點識別符及該存取終端機識別符至該鑑認器,及該第二存取點自該鑑認器接收一用於在該存取終端機與該第二存取點之間建立通信之第二主會話金鑰。
- 如請求項21之非暫時性處理器可讀媒體,其中該第一主會話金鑰為一用於該存取終端機與該存取點之間的通信之短期、鏈路特定金鑰。
- 一種處理器,其包含:一處理電路,其經組態以自一存取終端機接收經由一存取點而建立一安全通信會話之一第一請求;將一金鑰請求訊息發送至一鑑認器,其中該金鑰請求訊息包括一本端獲得之第一存取點識別符及一所接收之存取終端機識別符;且自該鑑認器接收一第一主會話金鑰以用於在該存取終端機與該存取點之間建立該安全通信會話,該第一主會話金鑰係產生作為至少一主瞬時金鑰、該第一存取點識別符及該存取終端機識別符之一函數,其中該主瞬時金鑰對於該鑑認器及該存取終端機係已知,但對於該存取點係未知。
- 如請求項25之處理器,該處理電路經進一步組態以:自該存取終端機接收將該安全通信會話交遞至一第二 存取點之一交遞請求,其中該請求包括一與待將該通信會話交遞至的該第二存取點相關聯之第二存取點識別符。
- 如請求項26之處理器,其中該第二存取點傳送該第二存取點識別符及該存取終端機識別符至該鑑認器,且該第二存取點自該鑑認器接收一用於在該存取終端機與該第二存取點之間建立通信之第二主會話金鑰。
- 如請求項25之處理器,其中該第一主會話金鑰為一用於該存取終端機與該存取點之間的通信之短期、鏈路特定金鑰。
- 一種在一存取終端機上操作之方法,其包含:由一鑑認器基於與該存取終端機相關聯之至少一頂級主金鑰而建立一主瞬時金鑰;自一第一存取點獲得一與該第一存取點相關聯之第一存取點識別符,其中該主瞬時金鑰對於該第一存取點係未知;將建立一安全通信會話之一請求發送至該第一存取點;作為至少該主瞬時金鑰及該第一存取點識別符之一函數而產生一第一主會話金鑰;及使用該第一主會話金鑰而建立與該第一存取點之該安全通信會話。
- 如請求項29之方法,其進一步包含:接收一由該第一存取點產生之第一相關聯之值,其中 該第一主會話金鑰亦為該第一相關聯之值之一函數。
- 如請求項30之方法,其中該第一相關聯之值包括該第一存取點之一網際網路協定(IP)或媒體存取控制(MAC)位址中之至少一者,且該第一主會話金鑰亦為該IP位址或該MAC位址之一函數。
- 如請求項29之方法,其進一步包含:接收一由該鑑認器產生之第一相關聯之值,其中該第一主會話金鑰亦為該第一相關聯之值之一函數。
- 如請求項29之方法,其進一步包含:獲得一與一第二存取點相關聯之第二存取點識別符;及將使該安全通信會話交遞至該第二存取點之一非特定交遞請求發送至該第二存取點。
- 如請求項33之方法,其進一步包含:使用至少該主瞬時金鑰及該第二存取點識別符而產生一第二主會話金鑰;及使用該第二主會話金鑰而將該安全通信會話交遞至該第二存取點。
- 如請求項34之方法,其中該第二主會話金鑰為一用於該存取終端機與該第二存取點之間的通信之短期、鏈路特定金鑰。
- 如請求項34之方法,其進一步包含:接收一由該第二存取點產生之第二相關聯之值,其中該第二主會話金鑰亦為該第二相關聯之值之一函數。
- 如請求項34之方法,其進一步包含: 接收一由該鑑認器產生之第二相關聯之值,其中該第二主會話金鑰亦為該第二相關聯之值之一函數。
- 如請求項29之方法,其中該請求省略該第一存取點識別符。
- 一種存取終端機,其包含:一記憶體;及一處理器,其與該記憶體耦接,該處理器經組態以:由一鑑認器基於與該存取終端機相關聯之至少一頂級主金鑰而建立一主瞬時金鑰;自一第一存取點獲得一與該第一存取點相關聯之第一存取點識別符,其中該主瞬時金鑰對於該第一存取點係未知;將建立一安全通信會話之一請求發送至該第一存取點;作為至少該主瞬時金鑰及該第一存取點識別符之一函數而產生一第一主會話金鑰;且使用該第一主會話金鑰而建立與該第一存取點之該安全通信會話。
- 如請求項39之存取終端機,該處理器經進一步組態以:接收一由該第一存取點產生之第一相關聯之值,其中該第一主會話金鑰亦為該第一相關聯之值之一函數。
- 如請求項40之存取終端機,其中該第一相關聯之值包括該第一存取點之一網際網路協定(IP)或媒體存取控制(MAC)位址中之至少一者,且該第一主會話金鑰亦為該 IP位址或該MAC位址之一函數。
- 如請求項39之存取終端機,該處理器經進一步組態以:接收一由該鑑認器產生之第一相關聯之值,其中該第一主會話金鑰亦為該第一相關聯之值之一函數。
- 如請求項39之存取終端機,該處理器經進一步組態以:獲得一與一第二存取點相關聯之第二存取點識別符;且將使該安全通信會話交遞至該第二存取點之一非特定交遞請求發送至該第二存取點。
- 如請求項43之存取終端機,該處理器經進一步組態以:使用至少該主瞬時金鑰及該第二存取點識別符而產生一第二主會話金鑰;且使用該第二主會話金鑰而將該安全通信會話交遞至該第二存取點。
- 如請求項44之存取終端機,其中該第二主會話金鑰為一用於該存取終端機與該第二存取點之間的通信之短期、鏈路特定金鑰。
- 如請求項44之存取終端機,該處理器經進一步組態以:接收一由該第二存取點產生之第二相關聯之值,其中該第二主會話金鑰亦為該第二相關聯之值之一函數。
- 如請求項44之存取終端機,該處理器經進一步組態以:接收一由該鑑認器產生之第二相關聯之值,其中該第二主會話金鑰亦為該第二相關聯之值之一函數。
- 如請求項39之存取終端機,其中該請求省略該第一存取點識別符。
- 一種存取終端機,其包含:用於由一鑑認器基於與該存取終端機相關聯之至少一頂級主金鑰而建立一主瞬時金鑰之構件;用於自一第一存取點獲得一與該第一存取點相關聯之第一存取點識別符之構件,其中該主瞬時金鑰對於該第一存取點係未知;用於將建立一安全通信會話之一請求發送至該第一存取點之構件;用於作為至少該主瞬時金鑰及該第一存取點識別符之一函數而產生一第一主會話金鑰之構件;及用於使用該第一主會話金鑰而建立與該第一存取點之該安全通信會話之構件。
- 如請求項49之存取終端機,其進一步包含:用於接收一由該第一存取點產生之第一相關聯之值之構件,其中該第一主會話金鑰亦為該第一相關聯之值之一函數。
- 如請求項49之存取終端機,其進一步包含:用於接收一由該鑑認器產生之第一相關聯之值之構件,其中該第一主會話金鑰亦為該第一相關聯之值之一函數。
- 如請求項49之存取終端機,其進一步包含:用於獲得一與一第二存取點相關聯之第二存取點識別符之構件;及用於將使該安全通信會話交遞至該第二存取點之一非 特定交遞請求發送至該第二存取點之構件。
- 如請求項52之存取終端機,其進一步包含:用於使用至少該主瞬時金鑰及該第二存取點識別符而產生一第二主會話金鑰之構件;及用於使用該第二主會話金鑰而將該安全通信會話交遞至該第二存取點之構件。
- 如請求項53之存取終端機,其中該第二主會話金鑰為一用於該存取終端機與該第二存取點之間的通信之短期、鏈路特定金鑰。
- 如請求項53之存取終端機,其進一步包含:用於接收一由該第二存取點產生之第二相關聯之值之構件,其中該第二主會話金鑰亦為該第二相關聯之值之一函數。
- 如請求項53之存取終端機,其進一步包含:用於接收一由該鑑認器產生之第二相關聯之值之構件,其中該第二主會話金鑰亦為該第二相關聯之值之一函數。
- 一種非暫時性處理器可讀媒體,其包含可由一或多個處理器使用之指令,該等指令包含:用於由一鑑認器基於與一存取終端機相關聯之至少一頂級主金鑰而建立一主瞬時金鑰之指令;用於自一第一存取點獲得一與該第一存取點相關聯之第一存取點識別符之指令,其中該主瞬時金鑰對於該第一存取點係未知; 用於將建立一安全通信會話之一請求發送至該第一存取點之指令;用於作為至少該主瞬時金鑰及該第一存取點識別符之一函數而產生一第一主會話金鑰之指令;及用於使用該第一主會話金鑰而建立與該第一存取點之該安全通信會話之指令。
- 如請求項57之非暫時性處理器可讀媒體,其進一步包含:用於接收一由該第一存取點產生之第一相關聯之值之指令,其中該第一主會話金鑰亦為該第一相關聯之值之一函數。
- 如請求項57之非暫時性處理器可讀媒體,其進一步包含:用於接收一由該鑑認器產生之第一相關聯之值之指令,其中該第一主會話金鑰亦為該第一相關聯之值之一函數。
- 如請求項57之非暫時性處理器可讀媒體,其進一步包含:用於獲得一與一第二存取點相關聯之第二存取點識別符之指令;及用於將使該安全通信會話交遞至該第二存取點之一非特定交遞請求發送至該第二存取點之指令。
- 如請求項60之非暫時性處理器可讀媒體,其進一步包含: 用於使用至少該主瞬時金鑰及該第二存取點識別符而產生一第二主會話金鑰之指令;及用於使用該第二主會話金鑰而將該安全通信會話交遞至該第二存取點之指令。
- 如請求項61之非暫時性處理器可讀媒體,其中該第二主會話金鑰為一用於該存取終端機與該第二存取點之間的通信之短期、鏈路特定金鑰。
- 如請求項61之非暫時性處理器可讀媒體,其進一步包含:用於接收一由該第二存取點產生之第二相關聯之值之指令,其中該第二主會話金鑰亦為該第二相關聯之值之一函數。
- 如請求項61之非暫時性處理器可讀媒體,其進一步包含:用於接收一由該鑑認器產生之第二相關聯之值之指令,其中該第二主會話金鑰亦為該第二相關聯之值之一函數。
- 一種處理器,其包含:一處理電路,其經組態以由一鑑認器基於與一存取終端機相關聯之至少一頂級主金鑰而建立一主瞬時金鑰;自一第一存取點獲得一與該第一存取點相關聯之第一存取點識別符,其中該主瞬時金鑰對於該第一存取點係未知; 將建立一安全通信會話之一請求發送至該第一存取點;作為至少該主瞬時金鑰及該第一存取點識別符之一函數而產生一第一主會話金鑰;且使用該第一主會話金鑰而建立與該第一存取點之該安全通信會話。
- 如請求項65之處理器,該處理電路經進一步組態以:接收一由該第一存取點產生之第一相關聯之值,其中該第一主會話金鑰亦為該第一相關聯之值之一函數。
- 如請求項65之處理器,該處理電路經進一步組態以:接收一由該鑑認器產生之第一相關聯之值,其中該第一主會話金鑰亦為該第一相關聯之值之一函數。
- 如請求項65之處理器,該處理電路經進一步組態以:獲得一與一第二存取點相關聯之第二存取點識別符;且將使該安全通信會話交遞至該第二存取點之一非特定交遞請求發送至該第二存取點。
- 如請求項68之處理器,該處理電路經進一步組態以:使用至少該主瞬時金鑰及該第二存取點識別符而產生一第二主會話金鑰;且使用該第二主會話金鑰而將該安全通信會話交遞至該第二存取點。
- 如請求項69之處理器,其中該第二主會話金鑰為一用於該存取終端機與該第二存取點之間的通信之短期、鏈路特定金鑰。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US91403307P | 2007-04-26 | 2007-04-26 | |
| US12/109,082 US10091648B2 (en) | 2007-04-26 | 2008-04-24 | Method and apparatus for new key derivation upon handoff in wireless networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW200910826A TW200910826A (en) | 2009-03-01 |
| TWI390893B true TWI390893B (zh) | 2013-03-21 |
Family
ID=39886999
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW097115441A TWI390893B (zh) | 2007-04-26 | 2008-04-25 | 於無線網路中用於交遞後導出新金鑰之方法及裝置 |
Country Status (16)
| Country | Link |
|---|---|
| US (3) | US10091648B2 (zh) |
| EP (2) | EP2184933B1 (zh) |
| JP (1) | JP5209703B2 (zh) |
| KR (1) | KR101124190B1 (zh) |
| CN (1) | CN101669379B (zh) |
| AU (1) | AU2008245604B2 (zh) |
| BR (2) | BR122019024787B1 (zh) |
| CA (1) | CA2682813C (zh) |
| HK (1) | HK1140353A1 (zh) |
| IL (1) | IL201413A0 (zh) |
| MX (1) | MX2009011374A (zh) |
| MY (1) | MY157777A (zh) |
| RU (1) | RU2443063C2 (zh) |
| TW (1) | TWI390893B (zh) |
| UA (1) | UA93791C2 (zh) |
| WO (1) | WO2008134564A1 (zh) |
Families Citing this family (52)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10091648B2 (en) | 2007-04-26 | 2018-10-02 | Qualcomm Incorporated | Method and apparatus for new key derivation upon handoff in wireless networks |
| CN101400059B (zh) | 2007-09-28 | 2010-12-08 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
| US9553726B2 (en) * | 2008-04-14 | 2017-01-24 | Koninklijke Philips N.V. | Method for distributed identification of a station in a network |
| US8474023B2 (en) * | 2008-05-30 | 2013-06-25 | Juniper Networks, Inc. | Proactive credential caching |
| AU2011226982B2 (en) * | 2008-06-20 | 2012-03-15 | Ntt Docomo, Inc. | Mobile communication method and mobile station |
| JP4465015B2 (ja) * | 2008-06-20 | 2010-05-19 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法 |
| CN101616408B (zh) * | 2008-06-23 | 2012-04-18 | 华为技术有限公司 | 密钥衍生方法、设备及系统 |
| US8131296B2 (en) * | 2008-08-21 | 2012-03-06 | Industrial Technology Research Institute | Method and system for handover authentication |
| TWI410105B (zh) * | 2008-12-01 | 2013-09-21 | Inst Information Industry | 無線網路架構之行動台、存取台、閘道裝置、基地台及其握手方法 |
| US8990569B2 (en) * | 2008-12-03 | 2015-03-24 | Verizon Patent And Licensing Inc. | Secure communication session setup |
| US8826376B2 (en) * | 2009-03-10 | 2014-09-02 | Alcatel Lucent | Communication of session-specific information to user equipment from an access network |
| CN101902735A (zh) * | 2009-05-25 | 2010-12-01 | 中兴通讯股份有限公司 | 基于电力线的WiMax系统的网络密钥发送方法及装置 |
| US8861737B2 (en) * | 2009-05-28 | 2014-10-14 | Qualcomm Incorporated | Trust establishment from forward link only to non-forward link only devices |
| US8774411B2 (en) | 2009-05-29 | 2014-07-08 | Alcatel Lucent | Session key generation and distribution with multiple security associations per protocol instance |
| US8300578B2 (en) * | 2009-08-04 | 2012-10-30 | Sony Corporation | System, apparatus and method for seamless roaming through the use of routing update messages |
| US8345609B2 (en) * | 2009-08-04 | 2013-01-01 | Sony Corporation | System, apparatus and method for proactively re-assessing the availability and quality of surrounding channels for infrastructure operation in wireless mesh nodes |
| US8351451B2 (en) * | 2009-08-04 | 2013-01-08 | Sony Corporation | System, apparatus and method for managing AP selection and signal quality |
| US8555063B2 (en) * | 2009-09-30 | 2013-10-08 | Qualcomm Incorporated | Method for establishing a wireless link key between a remote device and a group device |
| KR101700448B1 (ko) | 2009-10-27 | 2017-01-26 | 삼성전자주식회사 | 이동 통신 시스템에서 보안 관리 시스템 및 방법 |
| US8630416B2 (en) * | 2009-12-21 | 2014-01-14 | Intel Corporation | Wireless device and method for rekeying with reduced packet loss for high-throughput wireless communications |
| US8751803B2 (en) * | 2010-05-25 | 2014-06-10 | Ralink Technology Corporation | Auto provisioning method in wireless communication network |
| US8737354B2 (en) * | 2011-01-10 | 2014-05-27 | Alcatel Lucent | Method of data path switching during inter-radio access technology handover |
| US9439067B2 (en) * | 2011-09-12 | 2016-09-06 | George Cherian | Systems and methods of performing link setup and authentication |
| KR101931601B1 (ko) * | 2011-11-17 | 2019-03-13 | 삼성전자주식회사 | 무선 통신 시스템에서 단말과의 통신 인증을 위한 보안키 관리하는 방법 및 장치 |
| WO2013119043A1 (ko) * | 2012-02-07 | 2013-08-15 | 엘지전자 주식회사 | 스테이션과 엑세스 포인트의 결합 방법 및 장치 |
| JP2014033282A (ja) * | 2012-08-01 | 2014-02-20 | Ricoh Co Ltd | 通信方法、無線通信装置及びプログラム |
| EP3474607A1 (en) * | 2012-08-31 | 2019-04-24 | Sony Corporation | Communication control apparatus, terminal apparatus, communication control method, program, and communication control system |
| KR101964142B1 (ko) * | 2012-10-25 | 2019-08-07 | 삼성전자주식회사 | 무선 통신 시스템에서 다중 기지국 협력 통신에 사용하는 단말의 통신 인증을 위한 보안키를 관리하는 방법 및 장치 |
| EP2936763A1 (en) * | 2012-12-19 | 2015-10-28 | Telefonaktiebolaget L M Ericsson (Publ) | Device authentication by tagging |
| US9326144B2 (en) * | 2013-02-21 | 2016-04-26 | Fortinet, Inc. | Restricting broadcast and multicast traffic in a wireless network to a VLAN |
| US9520939B2 (en) * | 2013-03-06 | 2016-12-13 | Qualcomm Incorporated | Methods and apparatus for using visible light communications for controlling access to an area |
| US9712324B2 (en) * | 2013-03-19 | 2017-07-18 | Forcepoint Federal Llc | Methods and apparatuses for reducing or eliminating unauthorized access to tethered data |
| US9426649B2 (en) * | 2014-01-30 | 2016-08-23 | Intel IP Corporation | Apparatus, system and method of securing communications of a user equipment (UE) in a wireless local area network |
| RU2643159C1 (ru) * | 2014-03-24 | 2018-01-31 | ИНТЕЛ АйПи КОРПОРЕЙШН | Устройство, система и способ защиты связи пользовательского устройства (ue) в беспроводной локальной сети |
| CN103987042A (zh) * | 2014-05-08 | 2014-08-13 | 中国联合网络通信集团有限公司 | 一种终端的接入认证方法及接入网关 |
| US9667625B2 (en) * | 2014-07-10 | 2017-05-30 | Ricoh Company, Ltd. | Access control method, authentication method, and authentication device |
| US9585013B2 (en) | 2014-10-29 | 2017-02-28 | Alcatel Lucent | Generation of multiple shared keys by user equipment and base station using key expansion multiplier |
| US9843928B2 (en) * | 2014-10-30 | 2017-12-12 | Motorola Solutions, Inc. | Method and apparatus for connecting a communication device to a deployable network without compromising authentication keys |
| US10045261B2 (en) | 2014-12-10 | 2018-08-07 | Intel Corporation | Methods, systems, and devices for handover in multi-cell integrated networks |
| CN104540133B (zh) * | 2015-01-16 | 2018-10-26 | 北京智谷睿拓技术服务有限公司 | 接入控制方法及接入控制装置 |
| US9769661B2 (en) * | 2015-04-06 | 2017-09-19 | Qualcomm, Incorporated | Wireless network fast authentication / association using re-association object |
| US10004014B2 (en) * | 2015-11-30 | 2018-06-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Wireless communication device as context forwarding entity |
| US11172415B2 (en) * | 2015-11-30 | 2021-11-09 | Time Warner Cable Enterprises Llc | Wireless communication management and handoffs |
| US10681541B2 (en) * | 2016-04-29 | 2020-06-09 | Nokia Technologies Oy | Security key usage across handover that keeps the same wireless termination |
| CN107040922B (zh) * | 2016-05-05 | 2019-11-26 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及系统 |
| US10630659B2 (en) * | 2016-09-30 | 2020-04-21 | Nicira, Inc. | Scalable security key architecture for network encryption |
| US10587401B2 (en) * | 2017-04-03 | 2020-03-10 | Salesforce.Com, Inc. | Secure handling of customer-supplied encryption secrets |
| FR3077175A1 (fr) * | 2018-01-19 | 2019-07-26 | Orange | Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif |
| CN109462875B (zh) * | 2019-01-16 | 2020-10-27 | 展讯通信(上海)有限公司 | 无线漫游方法、接入点装置以及移动台 |
| CN112399412B (zh) | 2019-08-19 | 2023-03-21 | 阿里巴巴集团控股有限公司 | 会话建立的方法及装置、通信系统 |
| US20210409378A1 (en) * | 2020-06-30 | 2021-12-30 | Microsoft Technology Licensing, Llc | Method and System of Securing VPN Communications |
| KR20220084601A (ko) * | 2020-12-14 | 2022-06-21 | 삼성전자주식회사 | 차세대 이동 통신 시스템에서 ho를 고려한 pki기반 as 인증 방법 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4933971A (en) * | 1989-03-14 | 1990-06-12 | Tandem Computers Incorporated | Method for encrypting transmitted data using a unique key |
| US7257836B1 (en) | 2000-04-24 | 2007-08-14 | Microsoft Corporation | Security link management in dynamic networks |
| JP4583167B2 (ja) | 2002-04-26 | 2010-11-17 | トムソン ライセンシング | アクセスネットワーク間の相互接続における推移的認証・許可・課金 |
| US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
| GB0226661D0 (en) | 2002-11-15 | 2002-12-24 | Koninkl Philips Electronics Nv | Asynchronous communication system |
| US7624270B2 (en) * | 2002-11-26 | 2009-11-24 | Cisco Technology, Inc. | Inter subnet roaming system and method |
| US7350077B2 (en) | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
| US7263357B2 (en) | 2003-01-14 | 2007-08-28 | Samsung Electronics Co., Ltd. | Method for fast roaming in a wireless network |
| US20040236939A1 (en) * | 2003-02-20 | 2004-11-25 | Docomo Communications Laboratories Usa, Inc. | Wireless network handoff key |
| CN1262126C (zh) * | 2003-07-01 | 2006-06-28 | 株式会社日立制作所 | 无线局域网的越区切换方法 |
| EP1531645A1 (en) * | 2003-11-12 | 2005-05-18 | Matsushita Electric Industrial Co., Ltd. | Context transfer in a communication network comprising plural heterogeneous access networks |
| US8019344B2 (en) * | 2004-08-11 | 2011-09-13 | Nokia Corporation | Apparatus, and associated methods, for facilitating secure, make-before-break hand-off in a radio communication system |
| US7236477B2 (en) * | 2004-10-15 | 2007-06-26 | Motorola, Inc. | Method for performing authenticated handover in a wireless local area network |
| US8281132B2 (en) | 2004-11-29 | 2012-10-02 | Broadcom Corporation | Method and apparatus for security over multiple interfaces |
| EP1847060A4 (en) | 2005-01-27 | 2011-09-14 | Interdigital Tech Corp | METHOD AND SYSTEM FOR DISTRIBUTING AN ENCRYPTION KEY USING UNINTERRUPTED ASSOCIATED CONTINGENCY |
| FI20050393A0 (fi) * | 2005-04-15 | 2005-04-15 | Nokia Corp | Avainmateriaalin vaihto |
| US7873352B2 (en) * | 2005-05-10 | 2011-01-18 | Hewlett-Packard Company | Fast roaming in a wireless network using per-STA pairwise master keys shared across participating access points |
| US8621201B2 (en) * | 2005-06-29 | 2013-12-31 | Telecom Italia S.P.A. | Short authentication procedure in wireless data communications networks |
| US7602918B2 (en) * | 2005-06-30 | 2009-10-13 | Alcatel-Lucent Usa Inc. | Method for distributing security keys during hand-off in a wireless communication system |
| EP1900245B1 (en) * | 2005-07-06 | 2012-09-19 | Nokia Corporation | Secure session keys context |
| US7483409B2 (en) * | 2005-12-30 | 2009-01-27 | Motorola, Inc. | Wireless router assisted security handoff (WRASH) in a multi-hop wireless network |
| US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
| US8948395B2 (en) * | 2006-08-24 | 2015-02-03 | Qualcomm Incorporated | Systems and methods for key management for wireless communications systems |
| US10091648B2 (en) | 2007-04-26 | 2018-10-02 | Qualcomm Incorporated | Method and apparatus for new key derivation upon handoff in wireless networks |
-
2008
- 2008-04-24 US US12/109,082 patent/US10091648B2/en active Active
- 2008-04-25 CN CN200880013610.8A patent/CN101669379B/zh active Active
- 2008-04-25 WO PCT/US2008/061645 patent/WO2008134564A1/en active Application Filing
- 2008-04-25 EP EP10001502.3A patent/EP2184933B1/en active Active
- 2008-04-25 TW TW097115441A patent/TWI390893B/zh active
- 2008-04-25 BR BR122019024787-0A patent/BR122019024787B1/pt active IP Right Grant
- 2008-04-25 JP JP2010506537A patent/JP5209703B2/ja active Active
- 2008-04-25 MY MYPI20094022A patent/MY157777A/en unknown
- 2008-04-25 CA CA2682813A patent/CA2682813C/en active Active
- 2008-04-25 RU RU2009143679/07A patent/RU2443063C2/ru active
- 2008-04-25 BR BRPI0811965-1A patent/BRPI0811965B1/pt active IP Right Grant
- 2008-04-25 AU AU2008245604A patent/AU2008245604B2/en active Active
- 2008-04-25 MX MX2009011374A patent/MX2009011374A/es active IP Right Grant
- 2008-04-25 EP EP08746955.7A patent/EP2143236B1/en active Active
- 2008-04-25 KR KR1020097024571A patent/KR101124190B1/ko active IP Right Grant
- 2008-04-25 UA UAA200911921A patent/UA93791C2/ru unknown
-
2009
- 2009-10-11 IL IL201413A patent/IL201413A0/en active IP Right Grant
-
2010
- 2010-06-29 HK HK10106357.2A patent/HK1140353A1/zh unknown
-
2017
- 2017-08-09 US US15/672,636 patent/US10085148B2/en active Active
-
2018
- 2018-09-21 US US16/138,742 patent/US10412583B2/en active Active
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI390893B (zh) | 於無線網路中用於交遞後導出新金鑰之方法及裝置 | |
| JP4965655B2 (ja) | 無線通信システム用の鍵管理のためのシステムおよび方法 | |
| JP4682250B2 (ja) | マルチホップ無線ネットワークにおける無線ルータ支援セキュリティハンドオフ(wrash) | |
| JP5597676B2 (ja) | 鍵マテリアルの交換 | |
| Kassab et al. | Fast pre-authentication based on proactive key distribution for 802.11 infrastructure networks | |
| TWI448126B (zh) | 用於群組金鑰分配及無線通訊系統管理之系統及方法 | |
| US20130196708A1 (en) | Propagation of Leveled Key to Neighborhood Network Devices | |
| WO2005027559A1 (en) | Fast authentication method and apparatus for inter-domain handover | |
| TWI399068B (zh) | 用於無線通信系統之鑰管理之系統及方法 | |
| Egners et al. | Secure and efficient handover protocols for WMNs |