TWI420921B

TWI420921B - 異質無線網路之間的快速鑑別

Info

Publication number: TWI420921B
Application number: TW099127306A
Authority: TW
Inventors: Jui Tang Wang; Chi Chung Chen; Kuei Li Huang; Chien Chao Tseng; Cheng Yuan Ho
Original assignee: Ind Tech Res Inst
Priority date: 2009-08-21
Filing date: 2010-08-16
Publication date: 2013-12-21
Also published as: CN101998394A; US8385549B2; US20110047382A1; CN101998394B; TW201108766A

Description

異質無線網路之間的快速鑑別

本申請案主張於2009年8月21號向美國專利商標局提出申請之美國專利申請案第61/235,749號的優先權，該專利申請案所揭露之內容系完整結合於本說明書中。

本發明是有關於一種異質無線網路之間的交互工作(interworking)，且特別是有關於一種異質無線網路之間的快速鑑別。

在最近這些年中，無線通訊技術已經在我們的日常生活中變得更普遍。儘管所有的無線通訊技術都提供無線寬頻(wireless broadband)連接(connectivity)，但對於不同的覆蓋範圍(coverage)以及頻寬(bandwidth)限制，它們已經被最佳化。為了在更多的地方中獲得更大的寬頻服務，則需要異質無線網路之間的交互工作。然而，在現今的交互工作環境中，在對一個無線網路建立連接中，即使當移動站(mobile station,MS)以及鑑別、授權、會計(Authentication,Authorization,Accounting,AAA)服務器(server)之間已經建立了全鑑別(full authentication)的時候，則當MS決定從這個無線網路交接(handover)到異質無線網路的時候，需要另一全鑑別。然而，在網路登錄過程(network entry process)中，授權以及金鑰交換程序(authorization and key exchange procedure)是最耗時的操作。因此，冗餘操作可能浪費頻寬以及導致交接潛伏(latency)，從而降低通訊系統的性能。

圖1是基於可延伸鑑別協定(Extensible Authentication Protocol,EAP)鑑別方案(scheme)之從WiMAX網路(IEEE 802.16)到WiFi網路(IEEE 802.11)的傳統交接程序的訊息流(message flow)示意圖。藉由圖2，詳細地繪示了MS在交替(hand off)到WiFi網路之前對WiMAX網路建立連接。如圖2所示，經由恰當的WiMAX基地台(base station,BS)以及存取服務網路閘道(access service network Gateway,ASN-GW)，第一基於EAP的全鑑別程序在MS以及鑑別服務器(例如，AAA服務器)之間被執行。全基於EAP的鑑別程序包括交換EAP-Req辨識(步驟S206)以及EAP-Resp辨識(步驟S208)訊息對，以及執行基於EAP的方法(步驟S210)，以及以EAP-成功或者EAP-失敗訊息結束(步驟S212)。在成功地執行基於EAP的鑑別方法之後，產生主會談金鑰(Master Session Key,MSK)。MS以及AAA服務器持有以及使用MSK以得到另一安全金鑰，諸如成對主金鑰(pairwise master key,PMK)、授權金鑰(Authorization Key,AK)以及訊務加密金鑰(Traffic Encryption Key,TEK)。藉由使用這些安全金鑰，接著可以在MS以及WiMAX BS之間建立安全無線連接(secure wireless connection)。

請再次參看圖1，當決定從WiMAX網路交接到WiFi網路的時候，利用與第一基於EAP之全鑑別程序相同的方式來執行第二基於EAP的全鑑別程序，以產生安全金鑰來支援WiFi網路中的MS以及鑑別器(authenticator)之間的安全連接。相似於從WiMAX網路到WiFi網路的交互工作，當決定從WiFi網路交接到WiMAX網路的時候，全基於EAP的鑑別程序將相似地執行兩次。當MS進入WiFi網路的時候執行一個程序，以及當MS從WiFi網路交替到WiMAX網路的時候，將執行另一個程序。

根據本發明的一示例實施例，提供用於一裝置從第一無線網路至第二異質無線網路之交接的方法，其包括：偵測第二無線網路的訊號；以及回應此訊號，藉由使用根據第一無線網路之連接的建立期間而產生的主會談金鑰(master session key,MSK)而推導的成對主金鑰(pairwise master key,PMK)來建立此裝置對第二無線網路的連接，根據PMK推導一個或者多個加密金鑰，以支援第二無線網路的安全通訊。

根據本發明的一示例實施例，提供一包括有處理器的裝置，此處理器被配置為用於此裝置從第一無線網路至第二異質無線網路的交接，在此裝置對第一無線網路之連接的建立期間已經產生了主會談金鑰(Master Session Key,MSK)，此處理器被配置為執行或者使得此裝置執行：偵測第二無線網路的訊號；以及回應此訊號，藉由使用根據第一無線網路之連接的建立期間而產生的MSK而推導的成對主金鑰(pairwise master key,PMK)來建立此裝置對第二無線網路的連接，根據PMK推導一個或者多個加密金鑰，以支援第二無線網路的安全通訊。

根據本發明的一個示例實施例，提供用於一裝置從第一無線網路至第二異質無線網路之交接的方法包括：藉由使用根據此裝置對第一無線網路之連接的建立期間而產生的主會談金鑰(master session key,MSK)而推導的成對主金鑰(pairwise master key,PMK)來建立此裝置對第二無線網路的連接，根據PMK推導一個或者多個加密金鑰，以支援第二無線網路的安全通訊。

為讓本發明之上述特徵和優點能更明顯易懂，下文特舉實施例，並配合所附圖式作詳細說明如下。

下文將配合所附圖式作詳細說明本發明，所附圖式繪示了本發明的優選的實施例。然而，本發明可以被實施為多個形式以及本發明的結構也並非限制於在此所提供的實施例。此外，本發明所公開的實施例是徹底和完整的，從而對於所屬技術領域中具有通常知識者應該是覆蓋本發明的保護範圍。在整個說明書以及附圖中，相似的數字表示相似的元件。

還需要知曉的是，儘管在此描述了WiMAX-WiFi交互工作，但是在此所描述的原理可以同樣地應用於任何兩個異質無線網路。應用於移動站的原理可以附加或者替代地應用於移動使用者、移動點、移動用戶站(mobile subscriber station)、移動終端等等。基地台可以包括微微基地台(pico base station)、中繼站(relay station)、毫微微基地台(femto base station)等等以為移動站提供存取服務。

圖3是根據本發明的示例實施例的WiMAX-WiFi交互工作結構的示意圖(在此所使用的“示例實施例”是指“用作示例、例子或者實例”)。WiMAX-WiFi交互工作結構包括多個組件。這些組件包括移動站(mobile station,MS)302、WiMAX存取服務網路(WiMAX access service network,ASN)304、WiFi存取網路(access network,AN)306、交互工作(interworking,IWK)功能族群308，以及連接服務網路(connectivity service network,CSN)310。WiMAX ASN 304、WiFi AN 306以及CSN 310中的每一個可以包括可以用作鑑別器的網路鑑別組件。MS 302可以被末端使用者所使用，以經由WiMAX網路或者WiFi網路來存取網際網路(Internet)。WiMAX ASN 304包括一個或者多個WiMAX基地台(base stations,BS)312以及一個或者多個存取閘道，諸如ASN-GW或者外部代理者/移動存取閘道(foreign agent/mobile access gateway,FA/MAG)314。WiMAX ASN 304可以經由BS 312而連接到MS 302，以及可以管理基地台之間的MS的交接。ASN-GW 314可以是WiMAX網路中的網路鑑別組件以及可以用作WiMAX網路中的鑑別器，因此可以是指WiMAX鑑別器。WiMAX鑑別器可以從BS 312接收鑑別訊息，囊封(encapsulate)鑑別訊息以及發送已囊封的鑑別訊息給CSN 310中的網路鑑別組件，CSN 310中的網路鑑別組件因此可以是指核心鑑別器(core authenticator)，例如CSN 310中的AAA服務器326。

WiFi AN 306包括存取點(access point,AP)316以及存取控制器(access controller,AC)318。AP 316或者AC 318可以是WiFi網路中的網路鑑別組件，從而用作WiFi網路中的鑑別器，因此可以是指WiFi鑑別器。

IWK功能族群308可以包括：WiMAX訊號前進功能(WiMAX signal forwarding function,WiMAX SFF)320，用於支援從WiFi網路至WiMAX網路的單無線電交接；WiFi訊號前進功能(WiFi signal forwarding function,WiFi SFF)322，用於支援從WiMAX網路至WiFi網路的單無線電交接；以及WiFi交互工作功能(WiFi interworking function,WIF)324。WiMAX SFF 320、WiFi SFF 322以及WIF 324可以根據各種應用以實際地位於單個單元中或者分立地位於網路中。WIF 324使得MS 302能夠連接到WiFi AN 306以存取CSN 310的核心功能。WIF 324可以支援圖4所示的如下功能：IP過濾器可以限制非授權的WiFi移動站的存取。藉由使用CSN 310中的AAA服務器，AAA代理伺服器(AAA Proxy)可以為鑑別以及授權提供支援。動態主機組態協定(Dynamic host configuration protocol,DHCP)代理伺服器可以服務DHCP請求/應答。會計代理者(account agent)可以收集相關的會計資訊。會計客戶(account client)可以產生使用資料記錄(generate usage data record,UDR)以及發送會計訊息給CSN 310中的AAA服務器。藉由使用CSN 310中的家用代理(home agent,HA)服務器或者本地移動錨(local mobility anchor,LMA)服務器，代理伺服器移動IP(Proxy mobile IP,PMIP)代理者可以為移動管理以及IP對話連續性提供支援。資料路徑功能可以產生3層隧道(tunnel)，諸如IP-in-IP隧道或者同屬路徑囊封(generic route encapsulation,GRE)隧道。

在網路的核心提供IP連接以及IP核心網路功能的CSN 310或者核心網路可以包括AAA服務器326以及HA/LMA服務器328。在一些實施例中，諸如使用基於隱私和金鑰管理版本2(privacy and key management version 2,PKMv2)協定的EAP方法，鑑別訊息可以被發送到網路中的鑑別器的其中之一(例如，WiMAX鑑別器或者WiFi鑑別器)。諸如使用基於遠程鑑別撥入用戶服務(Remote Authentication Dial-In User Service,RADIUS)協定，已囊封的訊息接著可以被發送到核心鑑別器(例如，圖3中的AAA服務器326)。

除了這些組件之外，圖3也可以繪示多個組件之間的介面，稱為參考點。這些介面可以承載控制以及管理協定，以支援多個功能，諸如通訊系統的移動管理能力、安全以及性能。藉由IEEE 802.16標準來定義圖3中繪示的一些參考點。例如，參考點R1是MS 302以及WiMAX ASN 304之間的無線電介面，MS 302以及CSN 310之間的參考點R2可以支援AAA、IP配置以及移動管理能力，以及WiMAX ASN 304和CSN 310之間的參考點R3可以支援政策執行(policy enforcement)以及移動管理能力，以及ASN 304之間的參考點R4可以支援移動管理。再例如，參考點R6可以支援IP隧道管理以建立和釋放BS 312和ASN-GW 314之間的MS連接，以及WiMAX SFF 320和ASN-GW 314之間的MS連接，其中WiMAX SFF 320用作虛擬(virtual)基地台。此外，BS 312之間的參考點R8可以支援移動管理。

交互工作結構還包括多個交互工作介面，諸如WIF 324和CSN 310之間的參考點R3+，以支援與參考點R3相似的功能。MS 302和WiMAX SFF 320之間的參考點Rx可以致能從WiFi網路至WiMAX網路的單無線電交接，以及MS 302和WiFi SFF 322之間的參考點Ry可以致能從WiMAX網路至WiFi網路的單無線電交接。WiFi SFF 322和WiFi AN 306之間的參考點W1可以支援從WiMAX網路至WiFi網路的交接，WIF 324和WiFi AN 306之間的參考點W3可以支援安全連接以及移動管理。

圖5是根據本發明的示例實施例的被配置為作為圖3的結構中的一個或者多個組件的裝置400的方塊圖。如圖5所示，裝置可以包括以下組件中的一個或者多個：至少一個處理器402，被配置為執行電腦可讀指令以執行各種過程以及方法；記憶體404，被配置為存取以及儲存資訊以及電腦可讀指令；資料庫406，被配置為儲存表、列表或者其它資料結構；I/O裝置408；介面410；天線412；以及收發器414。

處理器402可以包括一般目的處理器、應用特定積體電路(application specific integrated circuit,ASIC)、嵌入式處理器(embedded processor)、欄位程式化閘陣列(field programmable gate array,FPGA)、微控制器或者其它類似的元件。處理器可以被配置為根據指令以及資料來動作以處理來自於耦接到處理器的收發器414、I/O裝置408、介面410以及其它組件的資料。在一些示例實施例中，處理器可以被配置為從記憶體接收電腦可讀指令以及在各個指令的指引下執行一個或者多個功能。

記憶體404可以包括揮發性或者非揮發性電腦可讀儲存媒體，且被配置為諸如以電腦可讀指令的形式來儲存資料以及軟體。更具體地說，例如，記憶體可以包括揮發性或者非揮發性半導體記憶體元件、磁性儲存器、光學儲存器等等。記憶體可以是分佈式的。也就是說，記憶體中的一部分可以是可移動的或者不可移動的。就這一點而言，適當的記憶體的其它實施例包括緊密快閃(compact flash,CF)卡、安全數位(secure digital,SD)卡、多媒體卡(multi-media card,MMC)、記憶條(memory stick,MS)卡等等。在一些示例實施例中，記憶體可以在網路(未繪示)中被實施，此網路被配置為與裝置400進行通訊。

資料庫406可以包括表、列表或者其它資料結構的已結構化的收集。例如，資料庫可以是資料庫管理系統(database management system,DBMS)、關聯式資料庫管理系統(relational database management system)、物件導向資料庫管理系統(object-oriented database management system)或者相似的資料庫系統。就其本身而言，此結構可以被組織為關聯式資料庫或者物件導向資料庫。在另一示例實施例中，資料庫可以是包括物理電腦可讀儲存媒體以及輸入和/或輸出裝置的硬體系統，此輸入和/或輸出裝置被配置為接收以及存取表、列表或者其它資料結構。此外，硬體系統資料庫可以包括一個或者多個處理器和/或顯示器。

I/O裝置408可以包括滑鼠、尖筆(stylus)、鍵盤、聲頻輸入/輸出裝置(audio input/output device)、成像裝置(imaging device)、列印裝置、顯示裝置、感測器、無線收發器或者其它相似裝置中的一個或者多個。I/O裝置也可以包括提供資料以及指令給記憶體404和/或處理器402的裝置。

介面410可以包括外部介面口，諸如USB、乙太網路(Ethernet)、FireWire以及無線通訊協定。介面也可以包括圖形使用者介面(graphical user interface)或者其它被配置為顯示資料的人類可感知介面，包括但不限於，可擕式媒體裝置(portable media device)、傳統的移動電話、智慧型手機、導航裝置或者其它電腦裝置。藉由使用介面，經由有線和/或無線通訊鏈路，裝置400可以被操作性地連接到網路(未繪示)。

收發器414可以包括恰當類型的發射器(transmitter)以及接收器(receiver)，以發送語音(voice)和/或資料給從其它裝置以及從其它裝置接收語音(voice)和/或資料。在一些示例實施例中，收發器可以包括理想的功能組件和處理器中的一個或者其組合，以編碼/解碼、調變/解調和/或執行其它無線通訊通道相關的功能。收發器可以被配置為與天線412(例如，單個天線或者天線陣列)進行通訊，以各種傳送模式中的其中之一來發送和接收語音和/或資料。

圖6-9中的每一個都是根據本發明的示例實施例的從WiMAX網路到WiFi網路的交接程序示意圖。參看圖3來解釋圖6-9所繪示的交接程序。如圖6-9所繪示，在步驟S502，MS可以被初始地連接到WiMAX網路。為了初始地進入到WiMAX網路，MS可以使BS(例如，圖3中的BS 312)以通過此示例實施例中的存取服務網路(例如，圖3中的ASN 304)中的WiMAX鑑別器來依附其本身到WiMAX網路。

在MS被依附到WiMAX網路之後，諸如根據EAP特定方法(EAP-TTLS、EAP-TLS或者EAP-AKA)，WiMAX鑑別器可以用作外部代理者以及鑑別MS及其使用者。在鑑別程序期間，MS可以提供MS辨識(MS identity,MSID)，例如網路存取辨識符(identifier)，以辨識其自身給核心鑑別器(例如，圖3中的AAA服務器326)。根據鑑別的結果，根據主金鑰可以產生MSK(指WiMAX MSK)，以及此MSK被MS以及核心鑑別器持有。諸如藉由發送RADIUS存取-請求訊息給家用CSN中的AAA服務器，鑑別器可以獲得WiMAX MSK。諸如藉由將WiMAX MSK截斷(truncate)至160位元，可以從MSK推導出第一PMK(指WiMAX PMK)。接著，在MS以及WiMAX鑑別器，從WiMAX PMK可以推導出一個較低的加密位準金鑰(諸如授權金鑰(Authorization Key,AK))，之後再藉由AK推導出支援MS和WiMAX BS之間的安全通訊金鑰(亦即訊息驗證碼(message authentication code,MAC))以及加密訊務加密金鑰(Traffic Encryption Key,TEK)的金鑰(亦即金鑰加密金鑰(key encryption key,KEK))。

在步驟S504，MS可以偵測鄰接WiFi網路的訊號以及根據各個訊號來決定WiFi網路的顯示。

當MS在單無線電模式中操作的時候，MS可以發現WiFi SFF(例如圖3中的WiFi SFF 322)的位址以及通過參考點Ry來建立WiFi SFF的IP隧道。接著，可以對IP隧道執行交接鑑別程序。諸如在步驟S506中藉由發送結合請求訊息(Association Request message)給WiFi鑑別器，以及在步驟S508中接收結合回應訊息(Association Response message)以回應結合請求訊息，在交接鑑別程序中，通過參考點W1，經由WiFi SFF，MS可以與WiFi鑑別器結合(例如圖3中的AP 316、AC 318)。如果WiFi鑑別器辨識MS為已知的使用者，則WiFi介面可以被啟動以及WiMAX介面可以被關閉或者可以進入閒置模式(idle mode)。

當MS操作在雙無線電模式(dual radio mode)中的時候，MS可以不經由WiFi SFF來連接諸如WiFi鑑別器之類的鑑別器。亦即，MS以及WiFi鑑別器之間不需建立IP隧道，MS可經由WiFi標準入網程序而連結至WiFi網路。

為了降低交接潛伏(handover latency)，共享的基於金鑰的鑑別程序可以用作替代交接鑑別程序中的全鑑別程序。因為鑑別器(例如WiMAX鑑別器或者核心鑑別器)的其中之一可以具有與MS相同的MSK，由於在WiMAX網路的連接中的所執行的全鑑別，諸如藉由截斷WiMAX MSK至256位元，WiMAX MSK可以被再用以產生第二PMK(指WiFi PMK)。諸如成對暫態金鑰(pairwise transient key,PTK)以及族群暫態金鑰(group transient key,GTP)之類的多個較低位準加密金鑰，可以依序從第二PMK(例如WiFi PMK)推導，以支援WiFi網路的安全通訊。在這種方式下，可以避免產生第二MSK以及接下來的MSK交換。

通過步驟S506以及步驟508中的結合請求/回應，MS以及WiFi鑑別器可以驗證(verify)共同PMK的存在。換句話說，諸如藉由比較WiFi PMK(例如，WiFi PMKID)的辨識符，MS以及WiFi鑑別器可以驗證其是否具有相同的WiFi PMK。因為WiFi PMK可以從較早產生的WiMAX MSK推導，所以可以顯著地降低鑑別時間。WiFi鑑別器可以辨識或者可以不辨識WiFi PMKID。在另一情況下，WiFi鑑別器可以請求MS在步驟S510提供其辨識以及在步驟S512接收具有MS辨識(MS identity,MSID)的辨識回應訊息。

在一些實施例中，如圖6、7所示，核心網路不知曉MS將要漫遊(roam)的目標AN或者目標WIF。在一些示例實施例中，WiFi鑑別器可以將有關MSID的資訊放置到存取請求訊息中，以及諸如根據RADIUS協定，在步驟S514中將存取請求訊息通過參考點W3來發送給WIF。WIF可以用作鑑別服務伺服器以提供授權和鑑別的支援。在步驟S516中，WIF可以傳送金鑰請求訊息中的MSID和/或WiFi PMKID。

在一個實施例中，經由WIF，沿著MS以及WiFi鑑別器的媒體存取控制(media access control,MAC)位址，WiFi PMKID可以被提供到鑑別器(例如核心鑑別器或者WiMAX鑑別器)的其中之一。諸如藉由比較WiFi PMKID，諸如核心鑑別器或者WiMAX鑑別器之類的已經接收WiFi PMKID的鑑別器接著可以驗證其是否具有與MS相同的WiFi PMK。在圖6所繪示的示例實施例中，PMKID被提供到核心鑑別器，從而被核心鑑別器驗證。根據驗證，在步驟S518，WiFi PMK可以從核心鑑別器或者WiMAX鑑別器傳遞到金鑰應答訊息(Key Reply Message)中的WIF。在步驟S520，諸如藉由使用RADIUS協定，WIF可以傳遞WiFi PMK給存取接受訊息(Access Accept message)中的WiFi鑑別器。在步驟S522，基於EAP方法(例如，EAP-TLS方法或者EAP-TTLS方法)的交接鑑別程序接著可以以鑑別成功訊息(Authentication Success message)結束。在步驟S524，在MS以及WiFi鑑別器之間執行的四向交握(four-way handshake)之後，PTK可以在MS以及WiFi鑑別器之間被建立，藉以保護接下來的資料傳送。

如圖7所示，在另一示例實施例中，其中核心網路不知道目標AN或者目標WIF，在步驟S516中，WIF可以不提供MSID給鑑別器(例如，核心鑑別器以及WiMAX鑑別器)的其中之一。在這種情況下，藉由MSID的驗證，諸如核心鑑別器以及WiMAX鑑別器之類的鑑別器中的一個可以通過WIF來傳遞WiFi PMK給WiFi鑑別器。在這個特定的實施例中，藉由核心鑑別器，WiFi PMK被傳遞到WiFi鑑別器。WiFi鑑別器，而不是圖6中的核心鑑別器，可以驗證PMKID。如果PMKID是有效的(valid)，則在步驟S522，WiFi鑑別器可以發送鑑別成功訊息給MS。

在相較於上述的示例實施例的一些實施例中，核心網路可以預測(forecast)MS將要漫遊的目標WIF。在這種情況下，在步驟S718，諸如核心鑑別器或者WiMAX鑑別器之類的鑑別器的其中之一可以直接傳遞WiFi PMK給目標WIF。在圖8所繪示的示例實施例中，藉由核心鑑別器，WiFi PMK被傳遞到目標WIF。相似於圖6和7所繪示的示例實施例，回應於辨識請求訊息(Identity Request message)，在步驟S712，MS可以發送包括MSID的辨識回應訊息(Identity Response message)給諸如WiFi鑑別器。在步驟S714，WiFi鑑別器可以發送MSID給存取請求訊息(Access Request Message)中的目標WIF。在步驟S720，根據藉由目標WiFi的MSID的驗證，WiFi PMK接著可以被傳送到存取接受訊息(Access Accept message)中的WiFi鑑別器。在步驟S722，WiFi鑑別器在其發送鑑別成功訊息給MS之前可以驗證WiFi PMKID。在步驟S724，MS可以接著執行四向交握(four-way handshake)，以及可以在MS和WiFi鑑別器之間建立PTK，藉以保護接下來的資料傳送。

圖9繪示了另一示例實施例，其中核心網路可以預測MS可以漫遊的目標WiFi鑑別器。因為核心網路知曉目標，所以在步驟S818，通過WIF，根據各種應用，WiFi PMK可以從WiMAX鑑別器或者核心鑑別器被直接地傳遞到目標WiFi鑑別器。MS可以在步驟S806發送結合請求訊息(Association Request message)中的WiFi PMKID，以及在步驟S808中接收結合回應訊息(Association Response message)，藉以採用目標WiFi鑑別器藉由WiFi PMKID來驗證它們是否具有相同的WiFi PMK。在步驟S824，MS以及目標WiFi鑑別器可以接著執行四向交握，以及可以產生PTK，從而保護MS和目標WiFi鑑別器之間的接下來的資料傳送。

圖10-13中的每一個是根據本發明的示例實施例的從WiFi網路到WiMAX網路的交接程序示意圖。在MS從WiFi網路到WiMAX網路的交接之前，在步驟S902，MS初始地連接到WiFi網路。在連接到WiFi網路中，藉由採用各種鑑別程序，諸如EAP鑑別程序或者預共享金鑰(pre-shared key,PSK)鑑別程序，MS可以建立有關WiFi存取網路的結合以及有關鑑別器的其中之一的鑑別。在這個示例實施例中，鑑別器可以是核心鑑別器(諸如圖3中的AAA服務器326)或者WiFi鑑別器(諸如圖3中的AP 326或者AC 328)。WiFi存取網路可以基於MSID(例如NAI)，來選擇WIF(例如圖3中的WIF 324)，藉以支援核心鑑別器以及MS之間的鑑別程序。根據成功鑑別程序的結果，MSK(指WiFi MSK)可以被產生並被MS以及核心鑑別器所持有。WiFi PMK接著可以從WiFi MSK推導。多個WiFi加密金鑰，諸如PTK以及GTK，被依序從WiFi PMK推導，以支援WiFi網路的安全通訊。

在步驟S904，MS可以偵測鄰接WiMAX網路的訊號以及根據各個訊號來決定WiMAX網路的顯示。

當MS在單無線電模式中操作的時候，MS可以發現WiMAX SFF(例如，圖3中的WiMAX SFF 320)的位址以及通過參考點Rx來建立WiMAX SFF的隧道。在這種情況下，WiMAX SFF可以用作虛擬BS。經由WiMAX SFF，接著可以執行採用諸如WiMAX鑑別器(例如，圖3中的WiMAX ASN-GW 314)之類的鑑別器的其中之一來鑑別MS的交接鑑別程序。如果WiMAX鑑別器辨識MS，則WiMAX介面可以被啟動以及WiFi介面可以被關閉或者可以進入閒置模式(idle mode)。

當MS操作在雙無線電模式(dual radio mode)中的時候，MS可以停止WiFi網路的連接以及接線(engage)到WiMAX鑑別器而與WiMAX SFF無關。為了降低交接潛伏(handover latency)，共享的基於金鑰的鑑別程序可以用作替代交接鑑別程序中的全鑑別程序。諸如藉由截斷WiFi MSK至160位元，WiFi MSK可以被再用以產生WiMAX PMK，這可以用於推導多個較低位準加密金鑰以支援WiMAX網路的安全通訊。因此，可以避免產生第二MSK以及接下來的MSK交換。

在圖10和圖11所繪示的示例實施例中，核心網路不能預測MS將要漫遊的目標WiMAX BS或者WiMAX ASN-GW。請參看圖10，在步驟S906，測距請求/回應(Ranging Request/Response)可以在MS以及WiMAX服務BS之間交換。在測距程序中，MS可以獲得恰當的時序偏移(timing offset)，更正其頻率偏移以及調整傳送功率。根據測距的成功完成，在步驟S908，在MS以及服務BS之間執行能力協商(capability negotiation)。在能力協商期間，調變方案、隱私和金鑰管理(privacy and key management,PKM)版本以及授權政策可以被協商。

如下，將產生MS和諸如核心鑑別器之類的鑑別器中的一個之間的交接鑑別，以及加密金鑰的交換。在交接鑑別程序中，在步驟S910回應辨識請求訊息，在步驟S912，MS可以提供其MSID以辨識和鑑別其本身是諸如WiMAX鑑別器之類的鑑別器的其中之一。WiMAX鑑別器諸如根據RADIUS協定可以加密MSID，以及可以發送已加密的訊息給核心鑑別器。只要核心鑑別器驗證MSID，則藉由核心鑑別器或者WiFi鑑別器，在步驟S916，WiFi MSK可以被傳遞到WiMAX鑑別器。

在步驟S918，藉由發送鑑別成功訊息給MS，可以結束交接鑑別程序。在WiMAX鑑別器以及MS，WiMAX PMK以及AK可以依序從WiFi MSK推導。在步驟S920，AK從WiMAX鑑別器傳遞到服務BS之後，諸如使用PKMv2協定，在步驟S922可以執行三向交握，藉以確認(confirm)MS以及服務BS具有相同的AK，以及建立MS以及服務BS之間的資料安全結合。安全結合可以包含MS以及服務BS之間共享的安全資訊，以支援WiMAX網路的安全通訊。在步驟S924，金鑰請求/回應訊息(例如，使用PKNv2協定)可以在MS以及服務BS之間交換，從而交換TEK，此TEK本身為BS隨機產生出來的，而且可以透過AK推導出KEK來加密TEK再傳送給MS。亦即，TEK可以被用於加密資料傳送。在步驟S926，作為選擇，服務BS採用註冊回應訊息(Registration Response message)來應答，以回應從MS所發送的註冊請求訊息(Registration Request message)，以完成能力協商。

圖10中所繪示的交接程序可以在使用服務BS建立新的連接之前縮短中斷時間(interruption time)。為了最佳化網路進入程序，能夠縮短訊息交換。為了執行這個操作，可以跨越(skip)一個或者幾個網路進入步驟。例如，可以跨越能力協商、PKM、鑑別程序和/或加密金鑰建立。在一些實施例中，如圖11所繪示的示例實施例，在步驟S1006，在測距請求訊息被發送到服務BS之後，服務BS以及MS可以不交換任何網路進入訊息。在步驟S1008，因為核心網路不能預測MS將要漫遊的目標BS或者目標WiMAX鑑別器，服務BS可以發送金鑰請求訊息中的MSID給核心鑑別器。在步驟S1010，根據MSID的驗證，鑑別器(例如，核心鑑別器或者WiFi鑑別器)的其中之一可以發送WiFi MSK給金鑰重播訊息(Key Replay message)中的WiMAX鑑別器。藉由截斷WiFi MSK至160位元，WiMAX PMK可以從WiFi MSK推導。在WiMAX鑑別器，從WiMAX PMK可以依序推導出AK(較低的加密位準金鑰)，而BS會隨機產生TEK，且透過AK推導出KEK來加密TEK再傳送給MS。在步驟S1012，藉由WiMAX鑑別器，AK可以被傳遞到服務BS。在步驟S1014，採用測距回應訊息，服務BS可以回應MS，以完成交接程序。

如圖12和13所示，在核心網路知曉MS將要漫遊的目標BS或者目標WiMAX鑑別器的一些實施例中，諸如核心鑑別器或者WiFi鑑別器之類的鑑別器的其中之一可以驗證藉由WiMAX鑑別器所提供的MSID以及可以傳遞WiFi MSK給目標WiMAX鑑別器。在這個示例實施例中，諸如藉由使用RADIUS協定，在步驟S1106，MSID被核心鑑別器驗證，以及回應其，在步驟S1108，WiFi MSK被傳遞到目標WiMAX鑑別器。在WiMAX鑑別器，諸如WiMAX PMK以及AK之類的加密金鑰可以從WiFi MSK推導。在步驟S1110，AK接著可以被傳遞到目標BS。

在一些實施例中，沒有採納交接最佳化方法，如圖12所示，在步驟S1112，測距請求以及測距回應訊息可以在MS以及目標BS之間被交換，藉以獲得MS的時序偏移以及傳送功率。根據測距的成功完成，在步驟S1114，能力協商可以在MS以及目標BS之間被執行，以協商諸如調變方案、PKM版本以及授權政策之類的協商參數。在步驟S1116，金鑰請求/回應訊息(例如，藉由使用PKMv2協定)可以在MS以及目標BS之間被交換，從而交換TEK，此TEK本身為BS隨機產生出來的，而且可以透過AK推導出KEK來加密TEK再傳送給MS。亦即，TEK可以被用於加密應用資料。在步驟S1118，目標BS可以採用註冊回應訊息(Registration Response message)來選擇性地回應來自於MS的註冊請求訊息(Registration Request message)，以完成能力協商。

交接最佳化方法可以在這樣的情況下使用：核心網路可以預測MS將要漫遊的目標BS或者目標WiMAX鑑別器。如圖13所繪示，可以縮短訊息交換以最佳化網路進入程序。相似於圖11所繪示的已簡化的交接程序，可以跨越(skip)一個或者幾個網路進入步驟。例如，可以跨越能力協商、PKM、鑑別程序和/或加密金鑰建立。諸如藉由傳送整個操作資訊給目標BS，可以跨越整個網路進入程序。在步驟S1212，在MS發送其測距請求訊息給目標BS之後，藉由已經交換了整個操作資訊，目標BS以及MS可以不交換任何的網路進入訊息。在步驟S1214，目標BS可以採用測距回應訊息來回應MS，以完成交接程序。

根據本發明的一個觀點，本發明的示例實施例的MS、BS、AP、AC以及ASN-GW的所有或者一部分通常在電腦程式的控制下進行操作。用於執行本發明的示例實施例的方法的電腦程式可以包括一個或者多個電腦可讀程式代碼部分，諸如一系列的電腦指令，其被嵌入或者儲存在諸如非揮發性儲存媒體之類的電腦可讀儲存媒體中。

圖6-13是反映根據本發明示例實施例的方法、系統以及電腦程式的控制流程圖。應當知曉的是，藉由各種裝置，諸如單獨的硬體或者硬體與韌體結合和/或包括一個或者多個電腦程式指令的軟體，可以實施控制流程圖中的每一區塊或步驟，以及控制流程圖中的區塊或步驟的結合。應當知曉的是，任何這樣的電腦程式指令都可以被載入(load)到電腦或者其它可程式化裝置上以產生一機器(machine)，從而在電腦或者其它可程式化裝置(例如，硬體)上執行的指令產生用於在控制流程圖的一個或多個區塊或者一個或多個步驟中實施特定功能的裝置。電腦程式指令也可以被儲存在腦可讀記憶體中，其以特定的方式來直接使得電腦或者其它可程式化裝置具有功能，從而儲存在電腦可讀記憶體中的指令產生包括指令裝置的製品，此指令裝置實施控制流程圖的一個或多個區塊或者一個或多個步驟中的特定功能。電腦程式指令都也可以被載入到電腦或者其它可程式化裝置上，以使得一系列可操作步驟在電腦或者其它可程式化裝置上被執行，以產生電腦實施過程，從而在電腦或者其它可程式化裝置上執行的指令提供用於實施控制流程圖的一個或多個區塊或者一個或多個步驟中的特定功能步驟。

因此，控制流程圖的區塊或者步驟支援用於執行特定功能的裝置的結合、用於執行特定功能的步驟以及用於執行特定的功能的程式指令裝置的結合。還應當知曉的是藉由執行特定功能或步驟的特定目的基於硬體的電腦系統，或者藉由特定目的硬體以及電腦指令的結合，可以實施控制流程圖的一個或者多個區塊或步驟，以及控制流程圖中的區塊或步驟的結合。

雖然本發明已以較佳實施例揭露如上，然其並非用以限定本發明，任何所屬技術領域中具有通常知識者，在不脫離本發明之精神和範圍內，當可作些許之更動與潤飾，故本發明之保護範圍當視後附之申請專利範圍所界定者為準。儘管在此使用了特定的術語，但其僅僅是用於一般的目的以及說明，並不是用於限定本發明。

302．．．移動站

304．．．WiMAX存取服務網路

306．．．WiFi存取網路

308．．．交互網路功能族群

310．．．連接性服務網路

312．．．WiMAX基地台

314‧‧‧外部代理者/移動存取閘道

316‧‧‧存取點

318‧‧‧存取控制器

320‧‧‧WiMAX訊號前進功能

322‧‧‧WiFi訊號前進功能

324‧‧‧WiFi交互工作功能

326‧‧‧AAA服務器

328‧‧‧HA/LMA服務器

R1、R2、R3、R4、R6、R8、R3+、W1、W3、Rx、Ry‧‧‧參考點

400‧‧‧裝置

402‧‧‧處理器

404‧‧‧記憶體

406‧‧‧資料庫

408‧‧‧I/O裝置

410‧‧‧介面

412‧‧‧天線

414‧‧‧收發器

S206~S212‧‧‧本發明的示例實施例的WiMAX網路中的鑑別程序步驟

S502~S524、S712~S724、S806~S824‧‧‧本發明的示例實施例的從WiMAX網路到WiFi網路的交接程序步驟

S902~S926、S1006~S1014、S1106~S1118、S1212~S1214‧‧‧本發明的示例實施例的從WiFi網路到WiMAX網路的交接程序步驟

在此的所附圖式的圖形中所繪示的實施例是本發明的示例實施例，並非用於限定本發明。

圖1是基於EAP鑑別方案之從WiMAX網路到WiFi網路的傳統交接程序的訊息流示意圖。

圖2是根據本發明的示例實施例的WiMAX網路中的鑑別程序示意圖。

圖3是根據本發明的示例實施例的WiMAX-WiFi交互工作的結構示意圖。

圖4是根據本發明的示例實施例的WiFi交互工作功能的原理圖。

圖5是根據本發明的示例實施例的被配置為操作為圖3的結構中的一個或者多個組件的裝置的原理方塊圖。

圖6-9是根據本發明的各種示例實施例的從WiMAX網路到WiFi網路的交接程序示意圖。

圖10-13是根據本發明的各種示例實施例的從WiFi網路到WiMAX網路的交接程序示意圖。

302‧‧‧移動站

304‧‧‧WiMAX存取服務網路

306‧‧‧WiFi存取網路

308‧‧‧交互網路功能族群

310‧‧‧連接性服務網路

312‧‧‧WiMAX基地台