TWI445371B - 提供安全通訊之方法、提供安全通訊之系統、中繼站、以及基地台 - Google Patents
提供安全通訊之方法、提供安全通訊之系統、中繼站、以及基地台 Download PDFInfo
- Publication number
- TWI445371B TWI445371B TW097133900A TW97133900A TWI445371B TW I445371 B TWI445371 B TW I445371B TW 097133900 A TW097133900 A TW 097133900A TW 97133900 A TW97133900 A TW 97133900A TW I445371 B TWI445371 B TW I445371B
- Authority
- TW
- Taiwan
- Prior art keywords
- key
- relay station
- mobile terminal
- base station
- security
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Description
本發明係有關於一種通訊系統,更特別是有關於一種在通訊系統中建立安全關聯以及執行交遞認證(handoff authentication)之系統及裝置。
習知的無線網路環境連結行動電子裝置至服務供應商。更具體的來說,全球互通微波存取(Worldwide Interoperability for Microwave Access,WiMAX)的網路環境透過中介連接(intermediate connections)連結一用戶裝置至一網路。WiMAX是一種無線網路科技,可以提供通信到相當遠的無線裝置。驗證與再驗證(reauthentication)造成的延遲,會使得與客戶端裝置(client device)通信的速度變慢,而且降低了WiMAX無線環境的效率。
第1圖為使用IEEE 802.16d/802.16e WiMAX無線通信系統的一習知無線通信系統的方塊圖。網路100提供給至少一個連線服務網路(Connectivity Service Network,CSN)102,連線服務網路102則使用至少一個認證、授權以及記錄(Authentication、Authorization、Accounting,以下簡稱AAA)伺服器104。CSN 102連結到閘道器(gateway,GW)106與108。閘道器106與108為一種通信網路認證者(authenticator),通常是被連結到數個基地台(base station,BS)110至115,基地台的數量是取決於在一定區
域內的網路需求,雖然一個閘道器可能只能連結到單一的基地台,但一個閘道器仍可連結到多個基地台。在第1圖中只以閘道器106與108為例說明,但仍可視實際基地台的數量來決定使用更多或更少的閘道器。
在第1圖中,是以六個基地台為例說明WiMAX環境,但仍可視實際可使用的閘道器以及WiMAX網路需求來增加或減少基地台的數量。基地台,如基地台110與104,用以與一個或多個客戶端裝置通信。客戶端裝置包括移動終端(mobile station,MS),如移動終端120、122以及124,以及用戶終端(subscriber station,SS)126及128,其中基地台提供無線網路服務給移動終端,且提供有線或無線網路服務給用戶終端。數個客戶端裝置的網路需求可能可以藉由單一基地台滿足,而單一基地台可能可以同時滿足移動終端與用戶終端的需求。
在習知的WiMAX網路環境中,如第1圖所示,每一次移動終端120被一閘道器,如閘道器106,透過一相關的基地台,如基地台110,初始服務時,都必需要對移動終端120進行認證。藉由這樣的認證動作,只要移動終端120移動的區域範圍內都能夠透過由原來認證的閘道器來使用服務的話,就不用對移動終端作更多的認證。但是,一但移動終端移到到一個區域,是由另一個閘道器提供服務,如閘道器108,則閘道器在對移動終端120提供服務前,必須要先進行再認證動作。當一客戶端裝置被認證或在認證之後,安全關聯(security associations)或是兩個網
路實體,如移動終端120與基地台110,之間的安全資訊會被建立,以確保兩者之間的通信安全。
認證協定標準(Authentication protocol standard)已經事先在認證技術上被標準化。這些標準化的協定可能包括,如IEEE 802.1X認證、GSM用戶身份模組延伸式認證協定法(extensible authentication protocol method for GSM (global system for mobile communications) subscriber identity modules (EAP-SIM)),UMTS用戶身份模組延伸式認證協定法與金鑰協議(extensible authentication protocol method for universal mobile telecommunications systems (UMTS) authentication and key agreement (EAP-AKA))以及/或延伸式認證協定法與遠端認證撥接使用者服務協定(Remote Authentication Dial-in User Service,RADIUS)的一種組合。此外,標準化的交握協定,如安全關聯相關協定,可被使用來在一通信連結上建立複數個安全關聯,標準化的交握協定如安全關聯與資料加密金鑰三方交握程序(security association and traffic encryption key (SA-TEK) 3-way handshake procedure)與TEK三方交握程序。
在IEEE 802.16d/802.16e WiMAX無線通信系統,這些標準化的技術在一基地台與一移動終端之間執行。每一種標準化的認證技術需要多個傳輸(multiple transmissions),這會增加認證的時間以及處理所需的資源。
第2圖為IEEE 802.16d/802.16e WiMAX無線通信系統
中習知的認證與授權運作的信號流程圖。一初始化程序200被執行以確保移動終端的請求網路服務的請求被授權,使移動終端可以存取網路,且提供移動終端與基地台之的一安全關聯(security association),用以允許移動終端與基地台之間的的安全信息傳輸。舉例來說,當移動終端120從原先基地台110涵蓋的範圍移動到基地台111所涵蓋的範圍時,初始化程序200可能被使用以提供移動終端與基地台之的一安全關聯。
在初始化程序200的第1步中,移動端120是透過連接程序(link up process)無線連接基地台110,舉例來說連接程序包括一測距請求(ranging request)202與一測距回應(ranging response)204。移動終端120接著繼續認證程序的複數個步驟,認證程序可能如IEEE 802.1X完整認證程序206。AAA伺服器104計算一主會談金鑰(master session key,MSK)208給移動終端120,並將主會談金鑰208傳送給閘道器106,並儲存在閘道器106的快取中。這些認證程序的目的,如EAP認證方法或其他認證方法,就是要傳送已經傳送被AAA伺服器104、閘道器106以及移動終端120認證的MSK 208。閘道器106會先產生一對稱主金鑰(Pairwise master Key,PMK)210,再透過對稱主金鑰產生認證金鑰(authentication key,AK)212給移動終端120,並傳送AK 212至基地台111。
移動終端120可能會獨立的儲存與保留AK 212在自己的記憶體中,並且可能會產生AK 212。接著基地台111可
能執行SA-TEK三方交握程序(SA-TEK 3-way handshake procedure)214去認證移動終端212保留的AK是與基地台311中的AK 212是相同的。使用AK 212,一般是保留在基地台11與移動終端120中,可能可以分別的計算一訊息認證編碼金鑰(common message authentication code key,MACK)215以及一金鑰加密金鑰(key encryption key,KEK)218。MACK224可以分辨由移動終端120與基地台111產生的一認證訊息(authenticated message)。KEK 218可以保護由移動終端120到基地台111的一資料加密金鑰(traffic encryption key,TEK)220。基地台110以及移動終端120可以使用MACK 215來執行SA-TEK三方交握程序214以便互相認證。當SA-TEK三方交握程序214被成功的執行完畢,基地台110產生TEK 220並且與KEK 218進行一TEK三方交錯程序216,以建立與移動終端120的一安全關聯。TEK 220一般來說是由基地台111亂數產生,且在移動終端120已經被認證且授權存取網路後,被使用來對傳輸在基地台111與移動終端120之間的資料加密。SA-TEK三方交握程序214與TEK三方交錯程序216為習知技藝者所熟知,在此不贅述。
在使用在如第2圖的IEEE 802.16d/802.16e WiMAX無線通信系統中的初始化程序200中,基地台111控制基地台111與移動終端120之間是否有資料傳輸,這是因為基地台111與移動終端120都握有相同的TEK 220、KEK 218、MACK 215、與AK 212。當移動終端120已經建立與
基地台111的安全關聯後,換言之,移動終端120已經得到允許來透過網路通信,使用TEK 220的加密的資料傳輸也因此產生在移動終端120與基地台111之間。
請參考第1圖。當第1圖的系統運作時,信號的強度以及傳輸的品質可能會衰退,這是因為網路信號經過閘道器106或108至基地台110-115再到客戶端裝置所造成的。此外,當移動終端由原先提供服務的基地台移動到其他基地台的服務時,信號的強度以及傳輸的品質亦可能衰退。信號品質與覆蓋範圍可能會受到其他因素影響,如實體建築物、信號干擾、天氣以及傳輸條件與格式。因此,覆蓋間隙(gap)區域或漏洞(hole)區域可能會發生,而且當使用者位於這些區域時可能只有有限的或是根本沒有網路存取服務。
其中一個解決覆蓋間隙區域的方法就是提供更多的基地台,但這可能造成大量的成本花費。另外,為了避免這樣的問題,亦可以採用中繼站(relay station),如IEEE 802.16j中提到的多節點跳躍中繼網路協定技術(multi-hop relaying,MR)。基地台與中繼站之間的溝通只有在中繼站對來自基地台或移動終端的信號增強或中繼,並不會牽涉到認證程序或是建立安全關聯。
第3圖為使用IEEE 802.16j WiMAX且具有MR架構的通信系統的一習知通信系統的方塊圖。與IEEE 802.16d與802.16e WiMAX無線通信系統相似,透過至少一個AAA伺服器,如AAA伺服器104,以及至少一個閘道器,如
閘道器106,來存取網路100。為了方便起見,網路100、CSN 102、AAA伺服器104與閘道器106被以核心網路(core network)300表示。核心網路300,或更精確的來說是閘道器106,透過一有線連結來與基地台310至313通信。
在第3圖中,是以四個基地台為例說明,但是亦可以使用更多或更少數量的基地台。基地台,如基地台310,一般是可以透過無線傳輸直接與一個或多個移動終端直接通信,如移動終端320。基地台,如基地台311與312,亦可間接與一個或多個移動終端通信。如移動終端322、324、326。基地台一般可透過無線通信來與一個或多個中繼站通信,如中繼站328、330與332,但也可以透過有線連接通信。中繼站328、330與332對於透過無線傳輸的方式,對於接收到來自或傳送到移動終端322的信號增強或中繼。如圖所示,中繼站328、330與332是固定的中繼站。但是,基地台亦可以與移動中繼站(mobile relay station,MRS)通信,如移動中繼站334。移動中繼站可以駐在火車,飛機或其他機動運輸工具,用以提供擁有移動終端的乘客可以去透過移動中繼站來連結基地台或其他中繼來。如第3圖所示,移動中繼站334提供無線服務給移動終端324與326,但單一移動終端或數個移動終端的網路需求可能可以透過單一移動中繼站得到滿足。雖然第3圖未表示,但是基地台,如基地台310至313,可以與一個或多個用戶終端通信。因此,多個客戶端裝置的網路需求便可
以直接由單一基地台或是透過一個或複數個中繼站來滿足。更進一步來說,中繼站328、330與332可以提供無線服務給其他的中繼站、移動中繼站且/或移動終端。
在一些應用上,中繼站的使用可能會造成中繼站與基地台之間的台與台(station-to-station)交遞(handoff)需求的增加,而且因為每個中繼站(包括移動中繼站)有限的覆蓋區域,可能需要更多的處理資源來處理上述的台與台間的交遞。此外,當進行安全通信相關運作時,來自一中繼站或基地台到另一中繼站或基地台的交遞程序(handoff process)會消耗額外的資源,造成通信連接的效能、頻寬或品質降低。
本發明提供一種提供安全通訊之方法,適用於在通訊網路上之基地台、中繼站、以及移動終端之間,此方法包括:由中繼站接收來自基地台未經請求之安全金鑰;由中繼站接收來自移動終端之信號訊息;以及由中繼站使用安全金鑰來認證移動終端。
本發明又提供一種提供安全通訊之方法,適用於在通訊網路上之基地台、中繼站、以及移動終端之間,此方法包括由中繼站接收來自移動終端之信號訊息;在接收信號訊息之後,由中繼站傳送安全金鑰請求至基地台;根據先前傳送之安全金鑰請求,由中繼站接收來自基地台之安全金鑰;以及由中繼站使用接收之安全金鑰來認證移動終端。
本發明又另提供一種提供安全通訊之方法,適用於在
通訊網路上之目標基地台、移動中繼站、以及至少移動終端之間,此方法包括:由移動中繼站傳送信號訊息至目標基地台,其中,信號訊息包括對應該至少一移動終端之訊息認證編碼(message authentication code,MAC);由移動終端接收來自目標基地台之回應信號訊息;由移動中繼站接收來自目標基地台且對應至少一移動終端之至少一安全金鑰;以及由移動中繼站使用對應之安全金鑰來認證至少一移動終端。
本發明提供一種中繼站,用以在通訊網路上提供安全通訊,此中繼站包括至少一記憶體以及至少一處理器。記憶體用以儲存複數資料及複數指令。處理器用以存取記憶體。當處理器執行指令時該處理器根據接收自移動終端之信號訊息,使用接收自基地台之未經請求之安全金鑰來認證移動終端。
本發明又提供一種中繼站,用以在通訊網路上提供安全通訊,此中繼站包括至少一記憶體及至少一處理器。記憶體用以儲存複數資料及複數指令。處理器用以存取記憶體。當處理器執行指令時,處理器在接收來自移動終端之信號訊息之後,傳送安全金鑰請求至基地台,且根據先前傳送之安全金鑰請求,使用來自基地台之安全金鑰來認證移動終端。
本發明另提供一種基地台,用以在通訊網路上提供安全通訊,此基地台包括至少一記憶體以及至少一處理器。記憶體用以儲存複數資料及複數指令。一處理器用以存取
記憶體。當處理器執行指令時,根據移動終端進入至基地台之覆蓋區域內的指示,處理器將接收自認證、授權、及帳務伺服器之未經請求之主要金鑰傳送至中繼站。
本發明又提供一種基地台,用以在通訊網路上提供安全通訊,此基地台包括至少一記憶體以及至少一處理器。記憶體用以儲存複數資料及複數指令。處理器用以存取記憶體。當處理器執行指令時,根據接收自中繼站之安全金鑰,處理器將安全金鑰傳送至中繼站。
本發明另提供一種提供安全通訊之系統,包括基地台及中繼站。基地台用以提供對通訊網路之存取、認證在通訊網路上之移動終端、接收至少一安全金鑰、以及預先分發至少一安全金鑰。中繼站與該基地台通訊,用以接收預先分發之至少一未經授權之安全金鑰,且使用安全金鑰來提供安全資料傳送至認證之移動終端。其中,安全金鑰包括認證金鑰(authentication key,AK)及證明金鑰(verification key)中至少一者。
本發明又提供一種提供安全通訊之系統,包括基地台及中繼站。基地台用以提供對通訊網路之存取、認證在通訊網路上之移動終端、接收至少一安全金鑰、接收至少一安全金鑰請求、以及根據安全金鑰請求來傳送至少一安全金鑰。中繼站與基地台通訊,用以傳送至少一安全金鑰請求至基地台、根據安全金鑰請求接收來自基地台之至少一安全金鑰、以及使用安全金鑰提供安全資料傳送至移動終端。其中,安全金鑰包括認證金鑰(authentication key,
AK)及證明金鑰(verification key)中至少一者。
本發明另提供一種一種提供安全通訊之方法,適用於在通訊網路上之基地台、中繼站、以及移動終端之間,此方法包括根據來自中繼站之金鑰請求的接收,執行金鑰分發,以將對應移動終端之證明金鑰分發至中繼站;以及由中繼站執行金鑰證明,以識別移動終端。
本發明又提供一種提供安全通訊之方法,適用於在通訊網路上之基地台、中繼站、以及移動終端之間,此方法包括執行金鑰預先分發,以將對應移動終端之一未經請求之證明金鑰分發至中繼站;以及由中繼站執行金鑰證明,以識別移動終端。
本發明又提供一種提供安全通訊之方法,適用於在通訊網路上之基地台、中繼站、以及移動終端之間,此方法包括由中繼站執行金鑰證明,以識別移動終端;以及由移動終端執行金鑰證明,以識別中繼站。
為使本發明之上述目的、特徵和優點能更明顯易懂,下文特舉一較佳實施例,並配合所附圖式,作詳細說明如下。
本案說明書中提及的實施例提供在IEEE 802.16j WiMAX無線通信環境或其他無線通信使用中繼站的網路系統內的複數個安全關聯。藉由提供可建立與一移動終端之間的安全連結以及可提供複數個移動終端存取網路300的中繼站,額外負擔(processing overhead)可以被顯著的
減少。特別是藉由提供具有資料加密金鑰(traffic encryption key,TEK)或訊息認證編碼(message authentication code,MAC)的中繼站,該中繼站可建立與移動終端的一安全關聯並且執行對移動終端的認證與授權,其中該TEK與MAC為對應想存取網路300的一移動終端。
第4圖為根據本發明之使用在IEEE 802.16j WiMAX無線通信系統的一無線通信系統的一實施例的方塊圖,其中該無線通信系統選擇使用中繼站作為認證中繼站(authenticator relay-relay station,AR-RS。或者又可以稱為Access Relay Station,存取中繼站)。在第4圖中,一基地台(base station,BS)400透過一有線線路連結到網路300,並且比無線通信方式與一個或多個中繼站402與404通信,中繼站用以增強或中繼接收到的信號並傳送到複數個AR-RS 406至409。如第4圖所示,AR-RS (MRS)408為一移動中繼站(mobile relay station,MRS)。安全區域金鑰(security zone key),又稱中繼金鑰(relay key,RK),410被基地台400散佈到中繼站402與404以及在中繼站402與404之後的AR-RS 406至409,且AR-RS 406至409在對網路300的個別的初始化程序中被認證。安全區域金鑰被使用在IEEE 802.116j網路中的中繼站以及/或中繼站以及基地台之間的複數個通信通道(communication channels)的資料與信號的保護。中繼站402與404且/或基地台400可以使用中繼金鑰410來執行資料與信號的加
密、解密與訊息認證。由基地台400、中繼站402與404以及AR-RS 406至409提供的網路覆蓋區域被稱為安全中繼區(security relay zone,SRZ)412。第4圖以由AR-RS406提供服務的一移動終端(mobile station,MS)414以及由AR-RS(MRS)408提供服務的移動終端416與418為例說明,但複數個移動終端的網路需求是可以由單一AR-RS所提供。此外,雖然圖上只有AR-RS 408表示為移動中繼站(MRS),在SRZ 412內額外的複數個AR-RS仍以作為移動中繼站。
每一次當移動終端414被初始化由基地台400提供服務時,都必需建立與網路300的一安全關聯(SA)。只要移動終端414在SRZ 412內移動,就可以繞過(bypass)進一步的安全關聯建立與認證。但是,一但移動終端414移到由另一個基地台提供服務的區域時,移動終端414就由其他基地台提供服務,如此一來就必需針對不同的基地台建立基地台與移動終端414之間的安全關聯(SA),且取決於是否有其他的基地台被連結到閘道器(gateway,GW)106。對移動終端414的認證也是交遞(handoff)程序中的一部分。這樣的再認證且/或安全關聯建立程序,就造成對移動終端414提供服務的延遲。
第5a圖為一基地台的一實施例的方塊示意圖。基地台400可以為任何形式的通信裝置,用以在一無線通信系統中與一個或多個移動終端、中繼站以及/或AR-RS,之間傳送且/或接收信號且/或通信,其中移動終端可能為移動終端
414,中繼站可能為中繼站402與404,AR-RS可能如AR-RS406至409。如第5a圖所示,每一個基地台400可能包過一個或多個下列元件:至少一個中央處理單元(CPU)500、隨機存取記憶體(RAM)502、隨機唯讀記憶體(ROM)504、記憶體506、資料庫508、輸入/輸出(I/O)裝置510、介面512、天線514等。中央處理單元500用以執行電腦程式指令,以執行不同的程序與方法。RAM 502與ROM 504用以存取並儲存資訊與電腦程式指令。記憶體506用以儲存資料與資訊。資料庫508用以儲存複數個表(table)、目錄(list)或其他資料結構。上述元件為習知技藝者所熟知,在此不贅述。
第5b圖為一移動終端的一實施例的方塊示意圖。如圖所示,每一移動終端414可能包含一個或複數個下列元件:至少一個中央處理單元520、隨機存取記憶體(RAM)522、隨機唯讀記憶體(ROM)524、記憶體526、資料庫528、輸入/輸出(I/O)裝置520、介面522、天線524等。中央處理單元520用以執行電腦程式指令,以執行不同的程序與方法。RAM 522與ROM 524用以存取並儲存資訊與電腦程式指令。記憶體526用以儲存資料與資訊。資料庫528用以儲存複數個表(table)、目錄(list)或其他資料結構。上述元件為習知技藝者所熟知,在此不贅述。
第5c圖為中繼站或移動中繼站的一實施例的方塊示意圖。如第5c圖所示,每一中繼站或移動中繼站406可能包含一個或複數個下列元件:至少一個中央處理單元540、
隨機存取記憶體(RAM)542、隨機唯讀記憶體(ROM)544、記憶體546、資料庫548、輸入/輸出(I/O)裝置540、介面542、天線544等。中央處理單元540用以執行電腦程式指令,以執行不同的程序與方法。RAM 542與ROM 544用以存取並儲存資訊與電腦程式指令。記憶體546用以儲存資料與資訊。資料庫548用以儲存複數個表(table)、目錄(list)或其他資料結構。上述元件為習知技藝者所熟知,在此不贅述。
第6圖係表示在IEEE 802.16j WiMAX無線通訊系統中認證及授權之信號示意圖,於此無線通訊系統中,被選擇之中繼站作為認證中繼站(AR-RS)。初始化程序600使用來保證需要網路服務之移動終端被授權來存取網路300,以及為了安全訊息傳送而提供移動終端、中繼站以及AR-RS之間的安全關聯。舉例來說,在移動終端414剛開啟後,或在移動終端414由連接至閘道器108之基地台所提供之覆蓋區域移動至AR-RS 406所提供之覆蓋區域後,程序600用來認證且建立與移動終端414之間的安全關聯。首先,根據IEEE 802.16協定,移動終端414傳送信號訊息,例如測距請求(ranging request)602,至AR-RS 406以指示移動終端414位在AR-RS 406之範圍內。接著,又根據IEEE 802.16協定,AR-RS 406藉由移動終端認證請求604來請求來自基地台400之認證,且傳送測距回應606至移動終端414以證實移動終端414之信號範圍以及測距請求602之接收。由於移動終端414無法事先或最近透過
基地台400與閘道器106來連接至網路300,移動終端414藉由認證、授權以及記錄(Authentication、Authorization、Accounting,以下簡稱AAA)伺服器104來執行IEEE 802.1X完全認證206。由於IEEE 802.1X完全認證協定206,閘道器106將接收來自AAA伺服器104之主會談金鑰(master session key,MSK),且接著自MSK取得且儲存對稱主金鑰(Pairwise master Key,PMK)308以及主要金鑰(master key),例如認證金鑰(authentication key,AK)610,給移動終端414。主要金鑰(例如AK 610)是來自可被取得之其他安全工具以及/或安全金鑰的鑰匙。接著,閘道器106安全地將AK 610傳送至基地台400。在接收來自閘道器106之AK 106後,基地台400可直接將AK 610傳送至AR-RS 406,以建立移動終端414與中繼站406之間的安全關聯。移動終端414可自己計算MSK、PMK 608、以及AK 610。
在一實施例中,為了允許AR-RS 406執行將來的認證協定以及建立與移動終端414間的安全關聯,基地台400傳送包括AK 610之金鑰回應614至AR-RS 406。AR-RS 406首先可自AK 610取得金鑰加密金鑰(key encryption key,KEK)218以及證明金鑰(verification key),例如訊息認證編碼金鑰(message authentication code key,MACK)618。接著,AR-RS 406可與移動終端414在本地執行受MACK 618所保護的安全關聯與資料加密金鑰三方交握(Security Association and Traffic Encryption Key (SA-TEK)
3-Way Handshake)程序(以下稱為SA-TEK三方交握程序)214。當SA-TEK三方交握程序214成功地完成時,AR-RS 406產生一隨機數字,以使用作為TEK 616,且安全地傳送受KEK 218保護之資料金鑰(traffic key)(例如TEK 218)至移動終端414。最後,AR-RS 406及移動終端414利用TEK 616來保護與MACK 618之間的資料傳送,以彼此認證。
第6圖係表示在IEEE 802.16j WiMAX無線通訊系統中認證及授權之信號示意圖,於此無線通訊系統中,被選擇之中繼站作為認證傳遞-中繼站(AR-RS)。此技術領域之人士能理解第6圖之AR-RS可以是移動中繼站,例如AR-RS 408。此技術領域之人士也能理解,取代傳送AK 610至AR-RS 406,基地台400可傳送不同之安全工具至移動終端,例如AR-RS 406。例如,根據接收AK 610,基地台400使用AK 610來產生MACK 618,且傳送MACK 618至中繼站406,以取代傳送AK 610。中繼站406可使用MACK 618來認證或證明移動終端之身份。移動終端414及AR-RS 406可檢查酬載(payload)內的訊息認證編碼(message authentication code,MAC)或MAC封包之資料成分以彼此認證,藉此確認彼此。
第7圖係表示在當前AR-RS與目標AR-RS之間的移動終端交遞之信號示意圖,其中,當前AR-RS與目標AR-RS連接相同之基地台,且目標AR-RS當前不持有要求的AK。交遞程序700用來確保需要來自目標AR-RS之網
路服務之移動終端被授權來存取網路,以提供在移動終端與AR-RS之間的安全關聯,以允許安全訊息傳送。例如,交遞程序700使用來將移動終端414由AR-RS 406交遞至AR-RS 407,其中,移動終端414先前已透過第6圖所述之程序且使用AR-RS 406而被認證。AR-RS 407之記憶體(例如記憶體546、ROM 544、RAM 542,或資料庫548)當前不具有與移動終端414相關聯之AK,例如AK 610,但AR-RS 406及AR-RS 407都透過基地台400連接至網路300。
在交遞程序700中,移動終端414首先傳送信號訊息(例如範圍要求602)至AR-RS 407,以指示移動終端414位在AR-RS 407之覆蓋區域內。範圍要求406可包括安全工具識別,例如移動終端訊息認證碼,HMAC及/或CMAC,其確認移動終端414是請求移動終端。認證金鑰識別(AKID)、MS MAC、HMAC、及/或CMAC之每一者將具有識別資訊之提供AR-RS 407提供給移動終端414,且假使AR-RS 407沒有持有AK 610時可使用來請求來自基地台400之AK 610。例如,假使AKID被包括,當AR-RS 407持有有效AK,當AR-RS 407可決定認證對應的移動終端,或者當AR-RS 407非持有有效AK,AR-RS 407可請求來自基地台400之有效AK。假使AKID沒有包括在測距請求602中,其他安全工具識別可用來證明被移動終端414所持有得AK。由於AR-RS 407在其記憶體(例如記憶體546、ROM 544、RAM 542,或資料庫548)中非當
前具有AK 610,AR-RS 407傳送金鑰請求704至基地台400。金鑰請求704包括對應移動終端414之MAC/HMAC/CMAC。AR-RS 407傳送測距請求606至移動終端414,以證實移動終端414之存在以及測距請求602之接收。
根據金鑰請求704之接收,基地台400證明移動終端414之憑據。基地台400可自其記憶體(例如記憶體546、ROM 544、RAM 542,或資料庫548)中擷取AK 610,且由於當移動終端414連接至AR-RS 406時,移動終端414先前已經歷了IEEE 802.1X完全認證203以獲得AK 610,因此,對於基地台400與移動終端414而言,非必要再次經歷此程序。就其本身而論,基地台400傳送包括AK 610之金鑰請求610至AR-RS 407,藉此給予AR-RS 406授權,以更進一步認證,且與移動終端414安全地通訊。
根據測距請求606之接收,移動終端414企圖使用延伸認證協定(extended authentication protocol,EAP)來初始化認證,以開始IEEE 802.1X完全認證206。假使AR-RS 407接收一請求(例如支援IEEE 802.16d之私人金鑰管理延伸認證協定(privacy key management extended authentication protocol,PKM-EAP),或支援IEEE 802.16e之PKMv2-EAP之起使請求708),AR-RS 407可傳送PKMv2-EAP完整訊息710至移動終端414,其將IEEE 802.1X完全認證206為成功的指示給移動終端414,而不需實際經歷802.1X完全認證206。
在AR-RS 407具有AK 610之後,其可執行與移動終端414之SA-TEK三方交握程序214或資料加密金鑰三方交握(TEK 3-Way Handshake)程序(以下稱為TEK三方交握程序)216,以建立與移動終端414之間的安全連接。在TEK三方交握程序216期間,AR-RS 407可傳送新的資料金鑰給移動終端414,例如由AR-RS 407所產生且使用KEK 218來加密的TEK 712。AR-RS 407及移動終端414接著透過安全通訊通道來聯絡。
第8圖係表示在當前AR-RS與目標AR-RS之間的移動終端交遞之信號示意圖,其中,當前AR-RS與目標AR-RS連接相同之基地台,且目標AR-RS透過未經請求的金鑰預先分發來接收指示。如第8圖所示,基地台400接收移動終端414即將進入或最近已進入至AR-RS 407之覆蓋範圍的指示。藉由使用額外信號訊息或預報技術(例如全球定位系統(GPS)),且透過BS-BS或BS-閘道器通訊,基地台400接收來自另一基地台或來自閘道器106之此指示。由於當移動終端414連接AR-RS 4006時,移動終端414先前已經歷IEEE 802.1X完全認證206以獲得AK 610,因此,對於基地台400與移動終端414而言,非必要再次經歷此程序。就其本身而論,基地台400傳送包括AK 610或者包括TEK616之未經請求的金鑰預先分發信號802至AR-RS 407,藉此給予AR-RS 407授權且提供與移動終端414之安全通訊。此發生在移動終端414傳送信號訊息且AR-RS 407傳送金鑰請求之前,或者取代移動終端414
傳送信號訊息且AR-RS 407傳送金鑰請求。接著,當移動終端414傳送測距請求602時,AR-RS 407已經持有AK 610且簡單地執行MAC檢查(MAC Check)804,以證明被移動終端414所持有的金鑰,藉此證明移動終端414之識別。AR-RS 407接著傳送包括HMAC或CMAC之測距回應806。
在第8圖之實施例中,不僅透過IEEE 802.1X完全認證的淘汰,也透過SA-TEK三方交握程序214以及TEK三方交握程序216的淘汰,在當前AR-RS與目標AR-RS之間的交遞具有改善的效率。藉由提供具有TEK的AR-RS給先前認證之移動終端,對於先前認證之移動終端而言,可排除SA-TEK三方交握程序214以及TEK三方交握程序216。特別的是,在一實施例中,目標AR-RS可接收來自當前AR-RS之TEK,其中,此當前AR-RS先前已建立TEK給與移動終端414間之傳送。在另一實施例中,目標AR-RS接收來自基地台之TEK,而其先前已透過與移動終端之間的直接傳送來建立基地台,或者以接收來自前一AR-RS之TEK。因此,如第8圖所示,基地台400傳送TEK 616至AR-RS 407,當作未經請求的金鑰預先分發802之一部分,或者是透過單獨的傳送。二者則一地,AR-RS 407接收來自AR-RS 407之TEK 616。假使AR-RS 407持有TEK 616,其可跳過SA-TEK三方交握程序214以及TEK三方交握程序216,藉此改善來自AR-RS 407之交遞之效率。一旦AR-RS 407獲得來自AR-RS 407之TEK、來
自基地台400之TEK,或者獲得藉由透過SA-TEK三方交握程序214以及TEK三方交握程序216來自己產生新的TEK,AR-RS可接著提供與移動終端之間的安全通訊,於其中,使用TEK來加密資料。
第9圖係表示在當前AR-RS與目標AR-RS之間的移動終端交遞之信號示意圖,其中,當前AR-RS與目標AR-RS連接相同之基地台,且目標AR-RS透過請求的金鑰分發來接收AK。如第9圖所示,移動終端414傳送信號訊息(例如測距請求602)至AR-RS 407,且根據接收金鑰請求704,基地台400證明移動終端414之憑據。由於移動終端414先前已經歷IEEE 802.1X完全認證206以獲得AL 610,因此,對於基地台400與移動終端414而言,非必要再次經歷此程序。就其本身而論,基地台400傳送包括AK 610或者包括TEK 616之金鑰請求612至AR-RS 407,藉此給予AR-RS 407授權且提供與移動終端414之安全通訊。接著,AR-RS 407簡單地執行MAC檢查804,以證明被移動終端414所持有的金鑰,藉此證明移動終端414之識別。AR-RS 407接著傳送包括HMAC或CMAC之測距回應806至移動終端414。
如第8圖所討論,假使AR-RS 407接收來自基地台40之TEK 616或接收來自AR-RS 406之TEK 616,AR-RS 407可跳過SA-TEK三方交握程序214以及TEK三方交握程序216,藉此改善來自AR-RS 407之交遞的效率。
第10圖係表示在當前AR-RS與目標AR-RS之間的移
動終端交遞之信號示意圖,其中,當前AR-RS與目標AR-RS連接相同之基地台,且目標AR-RS當前具有對應正交遞之移動終端的AK。舉例來說,假使移動終端414如第6圖所示認證AR-RS 406,離開AR-RS 406之覆蓋區域且進入AR-RS 407之覆蓋區域,接著返回至AR-RS 406之覆蓋區域,AR-RS 406在其記憶體(例如記憶體546、ROM 544、RAM 542,或資料庫548)中仍持有AK。因此,當移動終端414傳送信號訊息時,例如包括對應AK 610之認證金鑰識別(AKID)的測距請求1002,AR-RS 406傳送AKID證明請求1004至基地台400,以證實移動終端414之位置。
根據AKID證明請求1004之接收,基地台400證明移動終端414之位置。由於移動終端414先前已經歷了IEEE 802.1X完全認證203以獲得AK 610,因此,對於基地台400與移動終端414而言,非必要再次經歷此程序。就其本身而論,假使AR-RS 406持有AK 610,基地台400傳送包括AK 610之金鑰請求610至AR-RS 407,藉此給予AR-RS 407授權,以認證且建立與移動終端414之間的安全地通訊。假使AR-RS 406非持有AK 610,或者假使AR-RS 406需要證實其持有適當的AK 610,再接收來自基地台400之金鑰回應1006後,AR-RS 406可傳送RNG回應606。
根據測距回應1008之接收,移動終端414可試圖初始化延伸認證協定(EAP)以開始第7圖之IEEE 802.1X完
全認證。如前所示,由於AR-RS 407已以具有AK 610,AR-RS 407可傳送延伸認證協定完成訊息至移動終端414,而不需實際上經歷IEEE 802.1X完全認證的程序。
當AR-RS 407具有AK 610時,其可執行與移動終端414之間的SA-TEK三方交握程序214及TEK三方交握程序216中之一者或兩者,以準備資料傳送。如第10圖所示,在移動終端120已被認證後,AR-RS 407可建立新的TEK 1010以將傳送於AR-RS 407與移動終端120之間的資料加密。如上所述,假使AR-RS 406已具有TEK 616,AR-RS 406可跳過SA-TEK三方交握程序214及TEK三方交握程序216,藉此改善來自AR-RS 407之交遞之效率,且建立AR-RS 406與移動終端414之間的安全關聯。
第11圖係表示在當前AR-RS與目標AR-RS之間的移動終端交遞之信號示意圖,其中,當前AR-RS與目標AR-RS連接相同之基地台,且目標AR-RS當前具有對應正交遞之移動終端的AK。在此效率改善之交遞中,當移動終端414傳送測距請求602時,AR-RS 406已持有AK 610,且可簡單地執行MAC檢查804,以證明移動終端414所持有的金鑰,且藉此證明移動終端414之身份。AR-RS 406可接著傳送只是HMAC或CMAC之測距請求806。
第12圖係表示在當前AR-RS與目標AR-RS之間的移動終端交遞之信號示意圖,其中,當前AR-RS與目標AR-RS連接相同之基地台,且目標AR-RS當前具有非對應正交遞之移動終端的AK。例如,當AR-RS 408在其記憶
體(例如記憶體546、ROM 544、RAM 542,或資料庫548)中持有AK 1202(對應除了移動終端414以外之移動終端,但不是對應移動終端414之AK 610)時,移動終端414可進入AR-RS 408之覆蓋範圍。因此,當AR-RS 407傳送AKID證明請求1004至基地台400以證實移動終端414之位置時,基地台400回應對應移動終端414之正確AK,例如AK 610。
根據測距回應1008之接收,移動終端414可試圖初始化延伸認證協定(EAP)以開始第7圖之IEEE 802.1X完全認證。如前所示,由於AR-RS 408現在具有AK 610,AR-RS 408可傳送延伸認證協定完成訊息至移動終端414,而不需實際上經歷IEEE 802.1X完全認證的程序。
當AR-RS 408具有AK 610時,其可執行與移動終端414之間的SA-TEK三方交握程序214及TEK三方交握程序216中之一者或兩者,以準備資料傳送。如第10圖所示,在移動終端120已被認證後,AR-RS 408可建立新的資料金鑰(例如TEK 1204)以加密傳送於AR-RS 408與移動終端120之間的資料。
第13圖係表示在當前AR-RS與目標AR-RS之間的移動終端交遞之信號示意圖,其中,當前AR-RS與目標AR-RS連接相同之基地台,且目標AR-RS當前具有非對應正交遞之移動終端的AK。當AR-RS 414傳送信號訊息(例如測距請求602)時,AR-RS 408持有AK 1202,以及當AR-RS 408執行MAC檢查804以證明移動終端414所持
有的金鑰且藉此證明移動終端414之身分時,MAC檢查不成功。當AR-RS 408傳送AKID證明請求1004至基地台400以證實移動終端414之位置時,基地台400回應適當的AK,例如AK 610。AR-RS 408可接著傳送包括HMAC或CMAC之測距回應608。假使AR-RS 408以具有IEK 616,AR-RS 408可跳過SA-TEK三方交握程序214及TEK三方交握程序216。
第7至13圖係說明在連接至相同基地台之當前AR-RS與目標AR-RS之間的移動終端交遞之例子。雖然前述與第12及13圖有關的例子係以移動終端(例如AR-RS 408)為背景來說明,此技術領域之人士可理解第12及13圖之當前AR-RS或目標AR-RS可以是固定的中繼站。此技術領域之人士也可理解,在上述關於第7至11圖中所述每一例子中,當前AR-RS或目標AR-RS可以是移動中繼站,例如AR-RS 408。
此技術領域之人士也可理解,在上述關於第7至11圖中所述每一例子中,以基地台400傳送相異安全工具至中繼站,以取代傳送AK 610至AR-RS 406-409。例如,基地台400可使用AK 610產生證明金鑰(例如MACK 618)以及資料金鑰(例如TEK 616),且預先分發證明金鑰及資料金鑰至中繼站407,以取代傳送AK 610。
同樣地,根據金鑰請求704之接收,基地台400此用AK 610產生證明金鑰(例如MACK 618),且在金鑰回應612中傳送MACK至AR-RS 407,以做MAC檢查804之
用。此外,假使AR-RS 406在其記憶體(例如記憶體546、ROM 541、RAM 542,或資料庫548)中已具有對應移動終端414之MACK 618,根據信號訊息(例如測距請求602)之接收,AR-RS 406可執行MAC檢查804。假使中繼站406在其記憶體中具有錯誤的MACK 1206,根據信號訊息(例如測距請求602)之接收,AR-RS 406可傳送AKID證明請求1004,並接收來自基地台400且在金鑰轉移1008中的MACK 618。
AR-RS 405-408可使用MACK 618來認證或證明移動終端之身分,作為MAC之一部分。移動終端414及AR-RS 405-408可檢查酬載內的MAC或MAC封包之資料元件,用來認證彼此,或換句話說,用來識別彼此。
第14圖係表示在當前AR-RS與目標AR-RS之間的移動終端交遞之信號示意圖,其中,當前AR-RS與目標AR-RS連接相異之基地台。初始化程序1400用來確保移動終端請求網路服務被授權來存取網路300,以及提供移動終端與AR-RS之間的安全關聯,以允許安全訊息傳送。例如,在移動終端414剛由AR-RS 408移動進入至由目標AR-RS 408所轉遞之目標基地台1402所提供之覆蓋區域後,程序1400可用來認證且授權移動終端414。AK 610當前儲存在移動終端414,而目標基地台1402及目標AR-RS 2505則具有儲存在其各自記憶體之AK 1406。如第14圖所示,和正與移動終端414交遞之AR-RS 408一樣,目標基地台1402連接至相同的閘道器,然而,假使目標基
地台1402連接至與AR-RS 408相異的閘道器,初始化程序1400將不會改變。
移動終端414傳送包括認證金鑰識別之信號訊息(例如測距請求1002)至目標AR-RS 1404,以指示移動終端414在目標AR-RS 1404之範圍內。目標AR-RS 1404傳送包括認證金鑰識別之移動終端認證請求1407至目標基地台1402。目標基地台1402接收移動終端認證請求1407,但由於目標基地台1402沒有認可AK 610,因此其不會證明移動終端414。因此,目標基地台1402可傳送認證失敗回應1408至目標AR-RS 1404,而目標AR-RS 1404傳送測距回應1409至移動終端414。目標基地台1402可要求移動終端414使用IEEE 802.1X完全認證協定206來認證AAA伺服器104。由於IEEE 802.1X完全認證協定206,因此閘道器106將PMK 1410分發至移動終端120。閘道器106也透過AK傳送(AK Transfer)612將AK 1412傳送至目標基地台1402。移動終端414獨立於PMK 1410之外地來計算AK 610。
在一實施例中,為了允許目標AR-RS 1404執行額外認證步驟以提供額外安全給與移動終端連接之網路,基地台400傳送包括AK 1412之金鑰回應614至目標AR-RS 1404。當目標AR-RS 1404具有AK 1412時,其執行與移動終端414之間的SA-TEK三方交握程序211及TEK三方交握程序216中之一者或兩者,以提供進一步安全給與移動終端414連接之網路。在TEK三方交握程序216之
期間,AR-RS 1404傳送以KEK 1416來加密的資料金鑰(例如TEK 1414)至移動終端414。TEK 1414可隨機地由目標AR-RS 1404來產生。
第14圖係表示在當前AR-RS與目標AR-RS之間的移動終端交遞之信號示意圖,其中,當前AR-RS與目標AR-RS連接相異之基地台。此技術領域之人士可瞭解當前AR-RS或目標AR-RS可以是移動中繼站,例如AR-RS 408。
此技術領域之人士也可瞭解,在第14圖之相關例子中,基地台400可傳送相異安全工具至中繼站406-409,以取代傳送AK 610至AR-RS 406-409。例如,根據AK 17412之接收,基地台1402可使用AK 610來產生證明金鑰,例如MACK 618,且傳送證明金鑰至AR-RS 1404,以取代傳送AK 1412。
雖然前述關於初始化及交遞之程序應用在移動中繼站,但移動中繼站以及存取來自移動中繼站內之網路的移動終端,也必須為了基地台內的改變而準備,於其中AR-RS(特別是移動中繼站)不會改變。
第15圖係表示在當前基地台與目標基地台之間移動中繼站交遞之信號示意圖。在第15圖中,當AR-RS 408移動或即將移動至目標基地台1502之覆蓋區域時,移動中繼站AR-RS 408與目標基地台1502關聯。移動終端416及418連接AR-RS 408,且在轉變至目標基地台1502之期間,最好維持與AR-RS 408之連接。為了更新移動終端416及418之AK,AR-RS 408可發佈範圍訊息1504至目標基
地台1502,其對基地台1502指示出AR-RS 408在處於或接近於目標基地台1502之覆蓋區域內。根據範圍訊息1504之接收,AR-RS 408接受與閘道器106與AAA伺服器104之間的IEEE 802.1X完全認證協定206、SA-TEK三方交握程序214、及TEK三方交握程序216中之一者或多個。就其本身而論,AR-RS 408必須接收AK且必須以與移動終端相似的方法來被認證。閘道器106可在AK傳送1506中將AK傳送給移動中繼站。
AR-RS 408傳送再次認證觸發訊息1508至移動終端416及418。根據再次認證觸發訊息1508之接收,移動終端416及418執行與閘道器106與AAA伺服器104之間的IEEE 802.1X完全認證協定206。閘道器106計算由閘道器中現存PMK所獲得的新AK給目標基地台1502。閘道器106在AK傳送1510中,轉移所有的AK給與AR-RS 408關聯之移動終端,且可在一隧道模式下執行,於其中,與AR-RS 408連接之所有移動終端之所有參數(例如AK)一次被傳送。在隧道模式下,在兩節點之間的邏輯連接是專用的,例如AR-RS 408與閘道器106之間,且中間節點(例如目標基地台1502)無法處理此通道封包,但只遞送通道封包。移動終端416至418接著接受與目標基地台1502之間的SA-TEK三方交握程序214。目標基地台1502在TEK轉移1512中將提供每一移動終端之資料金鑰及AK給AR-RS 408,且使用隧道模式來執行。在一實施例中,在中間基地台交遞之前,AK在基地台1502及移動終端416
及418上被接收,以避免對移動終端416及418之服務中斷。
此技術領域之人士可瞭解,雖然第15圖表示透過閘道器106與網路及AAA伺服器104通訊之目標基地台1502,但目標基地台1502也可透過閘道器108或其他閘道器,以第15圖所述之相同程序來與網路及AAA伺服器104通訊。
第16圖係表示在當前基地台與目標基地台之間移動中繼站交遞之信號示意圖,其中,目標基地台1600與相異的閘道器(例如閘道器1602)通訊,且AR-RS 408可接收AK且作為移動終端416及418之證明者。為了更新移動終端416及418之AK,AR-RS 408可發佈範圍訊息1504至目標基地台1600,其向基地台1600指示AR-RS 408處於或接近於目標基地台1600之覆蓋區域。在AR-RS 408接收與閘道器1602之間的IEEE 802.1X完全認證協定206後,閘道器1602在AK轉移1606中轉移AK給移動中繼站。AR-RS 408也接受SA-TEK三方交握程序214,以獲得關於通道封包之進一步資料傳送的資料金鑰,或者轉遞移動終端訊息。
AR-RS 408傳送再次認證觸發訊息1508至移動終端416及418。根據再次認證觸發訊息1508之接收,移動終端416及418執行與閘道器1602與AAA伺服器104之間的IEEE 802.1X完全認證協定206。閘道器1602計算新AK給移動終端416及418中每一者,且在AK傳送1608中轉移所有的AK給與AR-RS 408相關聯之移動終端。在一實
施例中,AR-RS 408如一個AR-RS般操作,且具有直接認證移動終端之能力。在隧道模式下,閘道器1602傳送對應移動終端416及418之AK。移動終端416及418接著接收與AR-RS 408之間的SA-TEK三方交握程序214。AR-RS 408使用SA-TEK三方交握程序轉移,將提供每一移動終端之資料金鑰給AR-RS 408。二者擇一地,假使AR-RS 408接收來自另一AR-RS或來自目標基地台1602之資料金鑰,AR-RS 408在操作上可避免產生移動終端416及418之新資料金鑰。
第17圖係表示在當前基地台與目標基地台之間移動中繼站交遞之信號示意圖,其中,基地台連接至相同閘道器。在第17圖中,AR-RS 408由基地台1502(第15圖)之覆蓋區域已移動或將移動至目標基地台1702之覆蓋區域。目標基地台1702及當前基地台1502由相同的閘道器106所服務。AR-RS 408發佈範圍訊息1504至目標基地台1702,其對目標基地台1702指示AR-RS 408處於或接近於目標基地台1702之覆蓋區域。AR-RS 408透過閘道器106來認證且執行認證協定,例如SA-TEK三方交握程序214。在AR-RS 408被認證後,閘道器106在AK傳送1706中傳送移動終端416及418之AK至AR-RS 408。當多個AK由閘道器106傳送至AR-RS 408時,閘道器106可在AK傳送1706中以隧道模式來傳送AK。AR-RS 408傳送再次認證觸發訊息1508至移動終端416及418。根據再次認證觸發訊息1508之接收,移動終端416及418執行與
AR-RS 408之間的SA-TEK三方交握程序214,以更新其各自的AK,且執行使程序時也可以或不需同時更新其各自的資料金鑰。在一實施例中,在中間基地台交遞之前,AK在AR-RS 408上被接收,以避免對移動終端416及418之服務中斷。
第18圖係表示在當前基地台與目標基地台之間移動中繼站交遞之信號示意圖,其中,基地台連接至相同閘道器。在第18圖中,AR-RS 408由基地台1502之覆蓋區域已移動或將移動至目標基地台1702之覆蓋區域。AR-RS 408發佈範圍訊息1504至目標基地台1702,其對目標基地台1702指示AR-RS 408處於或接近於目標基地台1702之覆蓋區域。根據範圍訊息之接收,目標基地台1702傳送移動終端416及418之每一者的AK給AR-RS 408。此程序是可允許的,是因為由於在閘道器106內基地台1502之先前的認證,基地台1702必須存取移動終端416及418之AK。當多個AK由目標基地台1502傳送至AR-RS 408時,目標基地台1502可在AK傳送1802中以隧道模式來傳送AK。AR-RS 408傳送再次認證觸發訊息1508至移動終端416及418。根據再次認證觸發訊息1508之接收,移動終端416及418執行與AR-RS 408之間的SA-TEK三方交握程序214,以更新其各自的AK,且執行使程序時也可以或不需同時更新其各自的資料金鑰。在一實施例中,在中間基地台交遞之前,AK在AR-RS 408上被接收,以避免對移動終端416及418之服務中斷。
此技術領域之人士可瞭解,在第15-18圖中所述之例子,取代傳送AK至目標基地台1502,閘道器106可傳送不同之安全工具至移動終端,例如對應AR-RS 408之證明金鑰。同樣地,取代將移動終端416及418之AK傳送至AR-RS 408,目標基地台1502可傳送相異的安全工具,例如對應移動終端416及418之證明金鑰。
在此揭露之系統及方法可實施在數位電子電路或在電腦硬體、韌體、軟體、或其結合。利用本發明之裝置可實施在電腦程式產品,此電腦程式產品包含在關於可程式化處理器所執行的機械可讀取儲存裝置。包含本發明之方法步驟可由可程式化處理器來執行,其實行指令程式,以藉由根據輸入資料之操作及產生輸出信號來執行本發明之功能。包含本發明之實施例可實施在可程式化系統中可執行的一或多個電腦程式,其包括用來接收來自儲存系統之資料以及傳送資料至儲存系統之至少一個可程式化處理器、至少一個輸入裝置、以及至少一個輸出裝置。電腦程式可實施在高階或物件導向程式語言、以及/或組合或機械編碼。語言或編碼可以示編譯或翻譯語言或編碼。處理器可包括一般或特別木訂微處理器。處理器接收來自記憶體之指令或資料。包含電腦程式指令和資料之儲存裝置包括所有型態的非揮發記憶體,包括半導體記憶裝置,例如EPROM、EEPROM、以及快閃記憶裝置;磁碟機,例如內部硬碟及卸除式硬碟;以及CD-ROM。上述的任一種可由ASIC來補充或包含在ASIC內。
此技術領域之人士可知,不同的修改和變化可應用於在無線通訊系統中建立安全關聯之系統及方法。例如,此技術領域之人士可瞭解測距請求和回應是一種信號訊息類型,且其他信號訊息可被使用。此外,此技術領域之人士可瞭解,流量編碼金鑰是一種資料金鑰的類型,而其他資料金鑰可被使用,且MACK是一種認證金鑰的類型,而其他認證金鑰可被使用。此技術領域之人士也可瞭解,基地台與中繼站之間可以是無線通訊或有線通訊。本發明雖以較佳實施例揭露如上,然其並非用以限定本發明的範圍,任何所屬技術領域中具有通常知識者,在不脫離本發明之精神和範圍內,當可做些許的更動與潤飾,因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。
100‧‧‧網路
102‧‧‧連線服務網路
104‧‧‧AAA伺服器
106、108‧‧‧閘道器
110-115‧‧‧基地台
120、122、124‧‧‧移動終端
126、128‧‧‧用戶終端
200‧‧‧初始化程序
202‧‧‧測距請求
204‧‧‧測距回應
206‧‧‧IEEE 802.1X完整認證程序
208‧‧‧主會談金鑰(MSK)
210‧‧‧對稱主金鑰(PMK)
212‧‧‧認證金鑰(AK)
214‧‧‧SA-TEK三方交握程序
215‧‧‧訊息認證編碼金鑰(MACK)
216‧‧‧TEK三方交錯程序
218‧‧‧金鑰加密金鑰(KEK)
220‧‧‧資料加密金鑰(TEK)
300‧‧‧核心網路
310-313‧‧‧基地台
320、322、324、326‧‧‧移動終端
328、330、332‧‧‧中繼站
334‧‧‧移動中繼站
400‧‧‧基地台
402、404‧‧‧中繼站
406、407、408、409‧‧‧認證中繼站
410‧‧‧中繼金鑰
412‧‧‧安全中繼區
414、416、418‧‧‧移動終端
500、520、540‧‧‧中央處理單元(CPU)
502、522、542‧‧‧隨機存取記憶體(RAM)
504、524、544‧‧‧隨機唯讀記憶體(ROM)
506、526、546‧‧‧記憶體
508、528、548‧‧‧資料庫
510、530、550‧‧‧輸入/輸出(I/O)裝置
512、532、552‧‧‧介面
514、534、554‧‧‧天線
600‧‧‧初始化程序
602‧‧‧測距請求
604‧‧‧移動終端認證請求
606‧‧‧測距回應
608‧‧‧對稱主金鑰(PMK)
610‧‧‧認證金鑰(AK)
612‧‧‧AK傳送(金鑰請求及回應)
614‧‧‧金鑰回應
616‧‧‧資料加密金鑰(TEK)
618‧‧‧訊息認證編碼金鑰(MACK)
708‧‧‧起使請求
710‧‧‧PKMv2-EAP完整訊息
712‧‧‧資料加密金鑰(TEK)
802‧‧‧金鑰預先分發信號
804‧‧‧訊息認證編碼(MAC)檢查
806‧‧‧測距回應
1002‧‧‧測距請求
1004‧‧‧認證金鑰識別(AKID)證明請求
1006‧‧‧金鑰回應
1010‧‧‧資料加密金鑰(TEK)
1008‧‧‧測距回應
1202‧‧‧認證金鑰(AK)
1204‧‧‧資料加密金鑰(TEK)
1206‧‧‧訊息認證編碼金鑰(MACK)
1402‧‧‧基地台
1404‧‧‧認證中繼站
1406‧‧‧認證金鑰(AK)
1407‧‧‧移動終端認證請求
1408‧‧‧認證失敗回應
1409‧‧‧測距回應
1410‧‧‧對稱主金鑰(PMK)
1412‧‧‧認證金鑰(AK)
1414‧‧‧資料加密金鑰(TEK)
1416‧‧‧金鑰加密金鑰(KEK)
1502‧‧‧基地台
1504‧‧‧範圍訊息
1506‧‧‧認證金鑰(AK)轉移
1508‧‧‧再次認證觸發訊息
1510‧‧‧認證金鑰(AK)轉移
1512‧‧‧資料加密金鑰(TEK)/認證金鑰(AK)轉移
1600‧‧‧基地台
1602‧‧‧閘道器
1606、1608‧‧‧認證金鑰(AK)轉移
1702‧‧‧基地台
1706‧‧‧認證金鑰(AK)轉移
1802‧‧‧認證金鑰(AK)轉移。
第1圖表示使用IEEE 802.16d/802.16e WiMAX無線通信系統的一習知無線通信系統的方塊圖;第2圖表示IEEE 802.16d/802.16e WiMAX無線通信系統中習知的認證與授權運作的信號流程圖;第3圖表示為使用IEEE 802.16j WiMAX且具有多節點跳躍中繼網路協定技術架構的通信系統的一習知通信系統的方塊圖;第4圖表示根據本發明之使用在IEEE 802.16j WiMAX無線通信系統的一無線通信系統的一實施例的方塊圖,其中該無線通信系統選擇使用中繼站作為認證中繼站;第5A圖表示一基地台的一實施例的方塊示意圖;第5B圖表示一移動終端的一實施例的方塊示意圖;第5C圖表示中繼站或移動中繼站的一實施例的方塊示意圖;第6圖表示在IEEE 802.16j WiMAX無線通訊系統中認證及授權之信號示意圖,於此無線通訊系統中,被選擇之中繼站作為認證中繼站;第7圖表示在當前認證中繼站與目標認證中繼站之間的移動終端交遞之信號示意圖,其中,當前認證中繼站與目標認證中繼站連接相同之基地台,且目標認證中繼站當前不持有要求的認證金鑰;第8圖表示在當前認證中繼站與目標認證中繼站之間的移動終端交遞之信號示意圖,其中,當前認證中繼站與
目標認證中繼站連接相同之基地台,且目標認證中繼站透過未經請求的金鑰預先分發來接收指示;第9圖表示在當前認證中繼站與目標認證中繼站之間的移動終端交遞之信號示意圖,其中,當前認證中繼站與目標認證中繼站連接相同之基地台,且目標認證中繼站透過請求的金鑰分發來接收認證金鑰;第10圖表示在當前認證中繼站與目標認證中繼站之間的移動終端交遞之信號示意圖,其中,當前認證中繼站與目標認證中繼站連接相同之基地台,且目標認證中繼站當前具有對應正交遞之移動終端的認證金鑰;第11圖表示在當前認證中繼站與目標認證中繼站之間的移動終端交遞之信號示意圖,其中,當前認證中繼站與目標認證中繼站連接相同之基地台,且目標認證中繼站當前具有對應正交遞之移動終端的認證金鑰;第12圖表示在當前認證中繼站與目標認證中繼站之間的移動終端交遞之信號示意圖,其中,當前認證中繼站與目標認證中繼站連接相同之基地台,且目標認證中繼站當前具有非對應正交遞之移動終端的認證金鑰;第13圖係表示在當前認證中繼站與目標認證中繼站之間的移動終端交遞之信號示意圖,其中,當前認證中繼站與目標認證中繼站連接相同之基地台,且目標認證中繼站當前具有非對應正交遞之移動終端的認證金鑰;第14圖表示在當前認證中繼站與目標認證中繼站之間的移動終端交遞之信號示意圖,其中,當前認證中繼站
與目標認證中繼站連接相異之基地台;第15圖表示在當前基地台與目標基地台之間移動中繼站交遞之信號示意圖;第16圖表示在當前基地台與目標基地台之間移動中繼站交遞之信號示意圖,其中,目標基地台1600與相異的閘道器通訊,且認證中繼站408可接收AK且作為移動終端416及418之證明者;第17圖表示在當前基地台與目標基地台之間移動中繼站交遞之信號示意圖,其中,基地台連接至相同閘道器;第18圖表示在當前基地台與目標基地台之間移動中繼站交遞之信號示意圖,其中,基地台連接至相同閘道器。
104‧‧‧AAA伺服器
106‧‧‧閘道器
206‧‧‧IEEE 802.1X完整認證程序
214‧‧‧SA-TEK三方交握程序
216‧‧‧TEK三方交錯程序
218‧‧‧金鑰加密金鑰(KEK)
400‧‧‧基地台
406‧‧‧認證中繼站
414‧‧‧移動終端
600‧‧‧初始化程序
602‧‧‧測距請求
604‧‧‧移動終端認證請求
606‧‧‧測距回應
608‧‧‧對稱主金鑰(PMK)
610‧‧‧認證金鑰(AK)
612‧‧‧AK傳送(金鑰請求及回應)
614‧‧‧金鑰回應
616‧‧‧資料加密金鑰(TEK)
618‧‧‧訊息認證編碼金鑰(MACK)
Claims (80)
- 一種提供安全通訊之方法,適用於在一通訊網路上之一基地台、一中繼站、以及一移動終端之間,該方法包括:由該中繼站接收來自該基地台未經請求之一安全金鑰;由該中繼站接收來自該移動終端之一信號訊息;以及由該中繼站使用該安全金鑰來認證該移動終端,其中來自該基地台之未經請求之該安全金鑰係由一預先認證產生。
- 如申請專利範圍第1項所述之提供安全通訊之方法,接收該信號訊息之該步驟包括接收一測距請求。
- 如申請專利範圍第1項所述之提供安全通訊之方法,更包括接收該安全金鑰作為一主要金鑰(master key)。
- 如申請專利範圍第3項所述之提供安全通訊之方法,更包括接收該主要金鑰作為一認證金鑰(authentication key,AK)。
- 如申請專利範圍第1項所述之提供安全通訊之方法,更包括接收該安全金鑰作為一證明金鑰(verification key)。
- 如申請專利範圍第5項所述之提供安全通訊之方法,其中,接收該安全金鑰作為該證明金鑰之該步驟包括接收該安全金鑰作為一訊息認證編碼金鑰(message authentication code key,MACK)。
- 如申請專利範圍第1項所述之提供安全通訊之方法,更包括接收包括對應該移動終端之一訊息認證編碼(message authentication code,MAC)的該信號訊息,其中,認證該移動終端之該步驟包括使用該安全金鑰來證明該訊息認證編碼。
- 如申請專利範圍第1項所述之提供安全通訊之方法,更包括由該中繼站來執行與該移動終端之間的一安全關聯信號協定以及一資料加密金鑰三方交握程序(TEK 3-Way handshake procedure)中至少一者。
- 如申請專利範圍第8項所述之提供安全通訊之方法,其中,由該中繼站來執行與該移動終端之間的該安全關聯信號協定以及該資料加密金鑰三方交握程序中至少一者之該步驟包括,執行與該移動終端之間的一安全關聯與資料加密金鑰三方交握程序(Security Association and Traffic Encryption Key(SA-TEK)3-Way handshake procedure)與該資料加密金鑰三方交握程序中至少一者。
- 如申請專利範圍第1項所述之提供安全通訊之方法,更包括:由該中繼站產生一資料金鑰;以及由該中繼站使用該資料金鑰來傳送一加密資料至該移動終端。
- 如申請專利範圍第1項所述之提供安全通訊之方法,更包括由該中繼站來執行移動至一相異基地台之一服務區域。
- 如申請專利範圍第1項所述之提供安全通訊之方法,其中,該基地台與該中繼站之間為無線通訊。
- 一種提供安全通訊之方法,適用於在一通訊網路上之一基地台、一中繼站、以及一移動終端之間,該方法包括:由該中繼站接收來自該移動終端之一信號訊息;在接收該信號訊息之後,由該中繼站傳送一安全金鑰請求至該基地台;根據先前傳送之該安全金鑰請求,由該中繼站接收來自該基地台之一安全金鑰;以及由該中繼站使用接收之該安全金鑰來認證該移動終端。
- 如申請專利範圍第13項所述之提供安全通訊之方法,其中,接收該信號訊息之該步驟包括接收一測距請求。
- 如申請專利範圍第13項所述之提供安全通訊之方法,更包括接收該安全金鑰作為一主要金鑰(master key)。
- 如申請專利範圍第15項所述之提供安全通訊之方法,更包括接收該主要金鑰作為一認證金鑰(authentication key,AK)。
- 如申請專利範圍第13項所述之提供安全通訊之方法,更包括接收該安全金鑰作為一證明金鑰(verification key)。
- 如申請專利範圍第17項所述之提供安全通訊之方法,其中,接收該安全金鑰作為該證明金鑰之該步驟包括 接收該安全金鑰作為一訊息認證編碼金鑰(message authentication code key,MACK)。
- 如申請專利範圍第13項所述之提供安全通訊之方法,更包括接收包括對應該移動終端之一訊息認證編碼(message authentication code,MAC)的該信號訊息,其中,認證該移動終端之該步驟包括使用該安全金鑰來證明該訊息認證編碼。
- 如申請專利範圍第13項所述之提供安全通訊之方法,更包括由該中繼站來執行與該移動終端之間的一安全關聯信號協定以及一資料加密金鑰三方交握程序(TEK 3-Way handshake procedure)中至少一者。
- 如申請專利範圍第20項所述之提供安全通訊之方法,其中,由該中繼站來執行與該移動終端之間的該安全關聯信號協定以及該資料加密金鑰三方交握程序中至少一者之該步驟包括,執行與該移動終端之間的一安全關聯與資料加密金鑰三方交握程序(Security Association and Traffic Encryption Key(SA-TEK)3-Way handshake procedure)與該資料加密金鑰三方交握程序中至少一者。
- 如申請專利範圍第13項所述之提供安全通訊之方法,更包括:由該中繼站產生一資料金鑰;以及由該中繼站使用該資料金鑰來傳送一加密資料至該移動終端。
- 如申請專利範圍第13項所述之提供安全通訊之方 法,更包括由該中繼站來執行移動至一相異基地台之一服務區域。
- 如申請專利範圍第13項所述之提供安全通訊之方法,其中,該基地台與該中繼站之間為無線通訊。
- 一種提供安全通訊之方法,適用於在一通訊網路上之一目標基地台、一移動中繼站、以及至少一移動終端之間,該方法包括:由該移動中繼站傳送一信號訊息至該目標基地台,其中,該信號訊息包括對應該至少一移動終端之一訊息認證編碼(message authentication code,MAC);由該移動終端接收來自該目標基地台之一回應信號訊息;由該移動中繼站接收來自該目標基地台且對應該至少一移動終端之至少一安全金鑰;以及由該移動中繼站使用對應之該安全金鑰來認證該至少一移動終端。
- 如申請專利範圍第25項所述之提供安全通訊之方法,其中,接收對應該至少一移動終端之該至少一安全金鑰之該步驟包括在一安全隧道模式下接收該至少一安全金鑰。
- 如申請專利範圍第25項所述之提供安全通訊之方法,其中,認證該至少一移動終端之該步驟包括執行IEEE 802.1X認證。
- 如申請專利範圍第25項所述之提供安全通訊之方 法,更包括在該移動中繼站與該目標基地台之間執行一安全關聯信號協定以及一資料加密金鑰三方交握程序(TEK 3-Way handshake procedure)中至少一者。
- 如申請專利範圍第28項所述之提供安全通訊之方法,其中,由該移動中繼站在該移動中繼站與該目標基地台之間執行該安全關聯信號協定以及該資料加密金鑰三方交握程序中至少一者之步驟包括,執行與該移動終端之間的一安全關聯與資料加密金鑰三方交握程序(Security Association and Traffic Encryption Key(SA-TEK)3-Way handshake procedure)與該資料加密金鑰三方交握程序中至少一者。
- 如申請專利範圍第25項所述之提供安全通訊之方法,其中,接收該至少一安全金鑰之該步驟包括在一隧道模式下接收該至少一安全金鑰。
- 如申請專利範圍第25項所述之提供安全通訊之方法,接收該至少一安全金鑰之該步驟包括接收一認證金鑰(authentication key,AK)。
- 如申請專利範圍第25項所述之提供安全通訊之方法,更包括接收該安全金鑰作為一證明金鑰(verification key)。
- 如申請專利範圍第32項所述之提供安全通訊之方法,其中,接收該安全金鑰作為該證明金鑰之該步驟包括接收該安全金鑰作為訊息認證編碼金鑰(message authentication code key,MACK)。
- 如申請專利範圍第25項所述之提供安全通訊之方法,其中,該目標基地台與該移動中繼站之間為無線通訊。
- 一種中繼站,用以在一通訊網路上提供安全通訊,該中繼站包括:至少一記憶體,用以儲存複數資料及複數指令;以及至少一處理器,用以存取該記憶體,其中,當該處理器執行該等指令時,該處理器根據接收自一移動終端之一信號訊息,使用接收自一基地台之未經請求之一安全金鑰來認證該移動終端,其中來自該基地台之未經請求之該安全金鑰係由一預先認證產生。
- 如申請專利範圍第35項所述之中繼站,其中,該信號訊息為一測距請求。
- 如申請專利範圍第35項所述之中繼站,其中,該安全金鑰為一主要金鑰(master key)。
- 如申請專利範圍第37項所述之中繼站,其中,該主要金鑰為一認證金鑰(authentication key,AK)。
- 如申請專利範圍第35項所述之中繼站,其中,該安全金鑰為一證明金鑰(verification key)。
- 如申請專利範圍第39項所述之中繼站,其中,該證明金鑰為一訊息認證編碼金鑰(message authentication code key,MACK)。
- 如申請專利範圍第35項所述之中繼站,其中,該信號訊息包括對應該移動終端之一訊息認證編碼(message authentication code,MAC),且該處理器使用該安全金鑰 來證明該訊息認證編碼。
- 如申請專利範圍第35項所述之中繼站,其中,當該處理器執行該等指令時,該處理器更執行與該移動終端之間的一安全關聯信號協定以及一資料加密金鑰三方交握程序(TEK 3-Way handshake procedure)中至少一者。
- 如申請專利範圍第42項所述之中繼站,其中,該安全關聯信號協定為一安全關聯與資料加密金鑰三方交握程序(Security Association and Traffic Encryption Key(SA-TEK)3-Way handshake procedure)。
- 如申請專利範圍第35項所述之中繼站,其中,當該處理器執行該等指令時,該處理器產生一資料金鑰,且使用該資料金鑰來傳送一加密資料至該移動終端。
- 如申請專利範圍第35項所述之中繼站,其中,該中繼站為一移動中繼站。
- 如申請專利範圍第35項所述之中繼站,其中,該基地台與該中繼站之間為無線通訊。
- 一種中繼站,用以在一通訊網路上提供安全通訊,該中繼站包括:至少一記憶體,用以儲存複數資料及複數指令;以及至少一處理器,用以存取該記憶體;其中,當該處理器執行該等指令時,該處理器在接收來自一移動終端之一信號訊息之後,傳送一安全金鑰請求至一基地台,且根據先前傳送之該安全金鑰請求,使用來自該基地台之該安全金鑰來認證該移動終端。
- 如申請專利範圍第47項所述之中繼站,其中,該信號訊息為一測距請求。
- 如申請專利範圍第47項所述之中繼站,其中,該安全金鑰為一主要金鑰(master key)。
- 如申請專利範圍第49項所述之中繼站,其中,該主要金鑰為一認證金鑰(authentication key,AK)。
- 如申請專利範圍第47項所述之中繼站,其中,該安全金鑰為一證明金鑰(verification key)。
- 如申請專利範圍第51項所述之中繼站,其中,該證明金鑰為一訊息認證編碼金鑰(message authentication code key,MACK)。
- 如申請專利範圍第47項所述之中繼站,其中,該信號訊息包括一訊息認證編碼(message authentication code,MAC),且該處理器使用該安全金鑰來證明該訊息認證編碼。
- 如申請專利範圍第47項所述之中繼站,其中,當該處理器執行該等指令時,該處理器更執行與該移動終端之間的一安全關聯信號協定以及一資料加密金鑰三方交握程序(TEK 3-Way handshake procedure)中至少一者。
- 如申請專利範圍第54項所述之中繼站,其中,該安全關聯信號協定為一安全關聯與資料加密金鑰三方交握程序(Security Association and Traffic Encryption Key(SA-TEK)3-Way handshake procedure)。
- 如申請專利範圍第47項所述之中繼站,其中,當 該處理器執行該等指令時,該處理器產生一資料金鑰,且使用該資料金鑰來傳送一加密資料至該移動終端。
- 如申請專利範圍第47項所述之中繼站,其中,該中繼站為一移動中繼站。
- 如申請專利範圍第47項所述之中繼站,其中,該基地台與該中繼站之間為無線通訊。
- 一種基地台,用以在一通訊網路上提供安全通訊,該基地台包括:至少一記憶體,用以儲存複數資料及複數指令;以及至少一處理器,用以存取該記憶體;其中,當該處理器執行該等指令當,根據一移動終端進入至一基地台之一覆蓋區域內的指示,該處理器將接收自一認證、授權、及記錄伺服器之未經請求之一主要金鑰。傳送至一中繼站,其中來自該基地台之未經請求之該主要金鑰係由一預先認證產生。
- 如申請專利範圍第59項所述之基地台,其中,該未經請求之主要金鑰為一認證金鑰(authentication key,AK)。
- 如申請專利範圍第59項所述之基地台,其中,該基地台與該中繼站之間為無線通訊。
- 一種基地台,用以在一通訊網路上提供安全通訊,該基地台包括:至少一記憶體,用以儲存複數資料及複數指令;以及至少一處理器,用以存取該記憶體; 其中,當該處理器執行該等指令時,根據接收自一中繼站之一安全金鑰,該處理器將一安全金鑰傳送至一中繼站。
- 如申請專利範圍第61項所述之基地台,其中,該基地台與該中繼站之間為無線通訊。
- 一種提供安全通訊之系統,包括:一基地台,用以提供對一通訊網路之存取、認證在該通訊網路上之一移動終端、接收至少一安全金鑰、以及預先分發該至少一安全金鑰;以及一中繼站,與該基地台通訊,用以接收預先分發之該至少一未經授權之安全金鑰,且使用該安全金鑰來提供安全資料傳送至該認證之移動終端;其中,該安全金鑰包括一主要金鑰(master key),以及其中來自該基地台之未經授權之該安全金鑰係由一預先認證產生。
- 如申請專利範圍第64項所述之系統,其中,該主要金鑰為一認證金鑰(authentication key,AK)。
- 如申請專利範圍第64項所述之系統,其中,該安全金鑰為一訊息認證編碼金鑰(message authentication code key,MACK)。
- 如申請專利範圍第64項所述之系統,其中,該基地台與該中繼站之間為無線通訊。
- 一種提供安全通訊之系統,包括:一基地台,用以提供對一通訊網路之存取、認證在該 通訊網路上之一移動終端、接收至少一安全金鑰、接收至少一安全金鑰請求、以及根據該安全金鑰請求來傳送該至少一安全金鑰;以及一中繼站,與該基地台通訊,用以傳送該至少一安全金鑰請求至該基地台、根據該安全金鑰請求接收來自該基地台之該至少一安全金鑰、以及使用該安全金鑰提供安全資料傳送至一移動終端;其中,該安全金鑰包括一認證金鑰(authentication key,AK)及一證明金鑰(verification key)中至少一者。
- 如申請專利範圍第68項所述之系統,其中,該證明金鑰為一訊息認證編碼金鑰(message authentication code key,MACK)。
- 如申請專利範圍第68項所述之系統,其中,該基地台與該中繼站之間為無線通訊。
- 一種提供安全通訊之方法,適用於在一通訊網路上之一基地台、一中繼站、以及一移動終端之間,該方法包括:根據來自該中繼站之一金鑰請求的接收,執行一金鑰分發,以將對應該移動終端之一證明金鑰分發至該中繼站;以及由該中繼站執行一金鑰證明,以識別該移動終端。
- 如申請專利範圍第71項所述之提供安全通訊之方法,其中,執行該金鑰分發之步驟包括分發一訊息認證編碼金鑰(message authentication code key,MACK)。
- 如申請專利範圍第71項所述之提供安全通訊之方法,更包括由該移動終端執行一金鑰證明,以識別該中繼站。
- 如申請專利範圍第71項所述之提供安全通訊之方法,其中,該基地台與該中繼站之間為無線通訊。
- 一種提供安全通訊之方法,適用於在一通訊網路上之一基地台、一中繼站、以及一移動終端之間,該方法包括:執行一金鑰預先分發,以將對應該移動終端之一未經請求之證明金鑰分發至該中繼站;以及由該中繼站執行一金鑰證明,以識別該移動終端,其中來自該基地台之未經請求之該證明金鑰係由一預先認證產生。
- 如申請專利範圍第75項所述之提供安全通訊之方法,其中,執行該金鑰分發之步驟包括分發一訊息認證編碼金鑰(message authentication code key,MACK)。
- 如申請專利範圍第75項所述之提供安全通訊之方法,更包括由該移動終端執行一金鑰證明,以識別該中繼站。
- 如申請專利範圍第75項所述之提供安全通訊之方法,其中,該基地台與該中繼站之間為無線通訊。
- 一種提供安全通訊之方法,適用於在一通訊網路上之一基地台、一中繼站、以及一移動終端之間,該方法包括: 由該中繼站執行金鑰證明,以識別該移動終端;以及由該移動終端執行金鑰證明,以識別該中繼站。
- 如申請專利範圍第79項所述之提供安全通訊之方法,其中,該基地台與該中繼站之間為無線通訊。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US96977307P | 2007-09-04 | 2007-09-04 | |
US98176707P | 2007-10-22 | 2007-10-22 | |
US98553807P | 2007-11-05 | 2007-11-05 | |
US12/203,671 US9313658B2 (en) | 2007-09-04 | 2008-09-03 | Methods and devices for establishing security associations and performing handoff authentication in communications systems |
US12/203,652 US20090271626A1 (en) | 2007-09-04 | 2008-09-03 | Methods and devices for establishing security associations in communications systems |
Publications (2)
Publication Number | Publication Date |
---|---|
TW200922238A TW200922238A (en) | 2009-05-16 |
TWI445371B true TWI445371B (zh) | 2014-07-11 |
Family
ID=40193658
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW097133899A TWI411275B (zh) | 2007-09-04 | 2008-09-04 | 無線通信系統中提供安全通信的方法、系統、基地台與中繼台 |
TW097133900A TWI445371B (zh) | 2007-09-04 | 2008-09-04 | 提供安全通訊之方法、提供安全通訊之系統、中繼站、以及基地台 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW097133899A TWI411275B (zh) | 2007-09-04 | 2008-09-04 | 無線通信系統中提供安全通信的方法、系統、基地台與中繼台 |
Country Status (4)
Country | Link |
---|---|
US (3) | US9313658B2 (zh) |
EP (1) | EP2034781A3 (zh) |
IN (1) | IN266858B (zh) |
TW (2) | TWI411275B (zh) |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005079534A2 (en) * | 2004-02-19 | 2005-09-01 | Georgia Tech Research Corporation | Systems and methods for parallel communication |
US20080176572A1 (en) * | 2006-12-28 | 2008-07-24 | Nokia Corporation | Method of handoff |
US9246679B2 (en) * | 2007-12-28 | 2016-01-26 | Intel Corporation | Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks |
US8644514B2 (en) * | 2008-10-31 | 2014-02-04 | Nokia Siemens Networks Oy | Security model for a relay network system |
TWI410105B (zh) * | 2008-12-01 | 2013-09-21 | Inst Information Industry | 無線網路架構之行動台、存取台、閘道裝置、基地台及其握手方法 |
KR101567896B1 (ko) * | 2009-02-13 | 2015-11-11 | 삼성전자주식회사 | 다중 홉 릴레이 방식을 사용하는 광대역 무선 통신 시스템에서 최적화된 기지국 내 핸드오버 지원 장치 및 방법 |
WO2010124474A1 (zh) | 2009-04-30 | 2010-11-04 | 华为技术有限公司 | 空口链路安全机制建立的方法、设备 |
US8566593B2 (en) * | 2009-07-06 | 2013-10-22 | Intel Corporation | Method and apparatus of deriving security key(s) |
US8611333B2 (en) | 2009-08-12 | 2013-12-17 | Qualcomm Incorporated | Systems and methods of mobile relay mobility in asynchronous networks |
US8605904B2 (en) * | 2009-08-14 | 2013-12-10 | Industrial Technology Research Institute | Security method in wireless communication system having relay node |
US8379619B2 (en) * | 2009-11-06 | 2013-02-19 | Intel Corporation | Subcarrier permutation to achieve high frequency diversity of OFDMA systems |
TWI397288B (zh) * | 2009-12-01 | 2013-05-21 | Inst Information Industry | 定錨閘道器、通訊方法及其電腦程式產品 |
US9264448B2 (en) * | 2010-01-20 | 2016-02-16 | Blackberry Limited | Apparatus, and an associated method, for facilitating secure operations of a wireless device |
US8904167B2 (en) | 2010-01-22 | 2014-12-02 | Qualcomm Incorporated | Method and apparatus for securing wireless relay nodes |
US8806042B2 (en) | 2011-02-18 | 2014-08-12 | Telefonaktiebolaget L M Ericsson (Publ) | Mobile router in EPS |
KR101931601B1 (ko) * | 2011-11-17 | 2019-03-13 | 삼성전자주식회사 | 무선 통신 시스템에서 단말과의 통신 인증을 위한 보안키 관리하는 방법 및 장치 |
GB2500720A (en) | 2012-03-30 | 2013-10-02 | Nec Corp | Providing security information to establish secure communications over a device-to-device (D2D) communication link |
CN103874059B (zh) * | 2012-12-10 | 2018-06-05 | 华为终端(东莞)有限公司 | 报文处理方法及装置、系统 |
GB2546494B (en) * | 2016-01-19 | 2020-02-26 | British Telecomm | Data relay authentication |
US20170347301A1 (en) * | 2017-03-10 | 2017-11-30 | Mediatek Singapore Pte. Ltd. | Virtual Roaming Methods And Apparatus Thereof |
US10541814B2 (en) * | 2017-11-08 | 2020-01-21 | Wickr Inc. | End-to-end encryption during a secure communication session |
US10778432B2 (en) | 2017-11-08 | 2020-09-15 | Wickr Inc. | End-to-end encryption during a secure communication session |
US11101999B2 (en) | 2017-11-08 | 2021-08-24 | Amazon Technologies, Inc. | Two-way handshake for key establishment for secure communications |
US10855440B1 (en) | 2017-11-08 | 2020-12-01 | Wickr Inc. | Generating new encryption keys during a secure communication session |
US11277747B2 (en) * | 2019-04-03 | 2022-03-15 | Google Llc | Base station location authentication |
CN112787836B (zh) * | 2019-11-07 | 2022-04-15 | 比亚迪股份有限公司 | 用于轨道交通的信息安全网络拓扑系统和用于实现轨道交通的信息安全的方法 |
CN112543452B (zh) * | 2020-11-23 | 2023-06-27 | 广州技象科技有限公司 | 基于信号传输安全管理的数据跳传选择方法及装置 |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6725276B1 (en) * | 1999-04-13 | 2004-04-20 | Nortel Networks Limited | Apparatus and method for authenticating messages transmitted across different multicast domains |
JP2002374239A (ja) * | 2001-05-30 | 2002-12-26 | World Top Technology Co Ltd | 情報暗号化方法 |
US7120253B2 (en) * | 2002-05-02 | 2006-10-10 | Vixs Systems, Inc. | Method and system for protecting video data |
KR100480258B1 (ko) * | 2002-10-15 | 2005-04-07 | 삼성전자주식회사 | 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법 |
JP3854930B2 (ja) | 2003-01-30 | 2006-12-06 | 松下電器産業株式会社 | 一元管理認証装置及び無線端末認証方法 |
JP3951990B2 (ja) * | 2003-09-05 | 2007-08-01 | ブラザー工業株式会社 | 無線ステーション,プログラムおよび動作制御方法 |
US8934448B2 (en) * | 2004-02-02 | 2015-01-13 | Electronics And Telecommunications Research Institute | Handover method in wireless portable internet system |
KR100684310B1 (ko) * | 2004-03-05 | 2007-02-16 | 한국전자통신연구원 | 무선 휴대 인터넷 시스템에서의 트래픽 암호화 키 관리방법 및 그 프로토콜 구성 방법, 그리고 가입자단말에서의 트래픽 암호화 키 상태 머신의 동작 방법 |
WO2005086412A1 (en) * | 2004-03-05 | 2005-09-15 | Electronics And Telecommunications Research Institute | Method for managing traffic encryption key in wireless portable internet system and protocol configuration method thereof, and operation method of traffic encryption key state machine in subscriber station |
US7584244B2 (en) * | 2004-06-04 | 2009-09-01 | Nokia Corporation | System, method and computer program product for providing content to a terminal |
WO2006022469A1 (en) * | 2004-08-25 | 2006-03-02 | Electronics And Telecommunications Research Institute | Method for security association negociation with extensible authentication protocol in wireless portable internet system |
JP4707992B2 (ja) * | 2004-10-22 | 2011-06-22 | 富士通株式会社 | 暗号化通信システム |
US7440757B2 (en) * | 2005-01-31 | 2008-10-21 | Samsung Electronics Co., Ltd | Handover method in a wireless communication system |
EP1864426A4 (en) * | 2005-03-09 | 2016-11-23 | Korea Electronics Telecomm | AUTHENTICATION PROCESSES AND KEY PRODUCTION METHODS IN A WIRELESS TRACKABLE INTERNET SYSTEM |
KR100704675B1 (ko) * | 2005-03-09 | 2007-04-06 | 한국전자통신연구원 | 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법 |
KR101137340B1 (ko) * | 2005-10-18 | 2012-04-19 | 엘지전자 주식회사 | 릴레이 스테이션의 보안 제공 방법 |
US8064948B2 (en) * | 2006-01-09 | 2011-11-22 | Cisco Technology, Inc. | Seamless roaming for dual-mode WiMax/WiFi stations |
JP4804983B2 (ja) * | 2006-03-29 | 2011-11-02 | 富士通株式会社 | 無線端末、認証装置、及び、プログラム |
EP2041910A4 (en) * | 2006-07-06 | 2013-05-22 | Apple Inc | WIRELESS ACCESS POINT SECURITY FOR MULTIHOP NETWORKS |
US20080108355A1 (en) * | 2006-11-03 | 2008-05-08 | Fujitsu Limited | Centralized-scheduler relay station for mmr extended 802.16e system |
JP4983208B2 (ja) * | 2006-11-07 | 2012-07-25 | 富士通株式会社 | 中継局、無線通信方法 |
CN101569217B (zh) * | 2006-12-28 | 2012-10-10 | 艾利森电话股份有限公司 | 不同认证基础设施的集成的方法和布置 |
JP4432986B2 (ja) | 2007-03-12 | 2010-03-17 | ブラザー工業株式会社 | 無線ステーション |
US8325922B1 (en) * | 2007-07-20 | 2012-12-04 | Apple Inc. | Group key security in a multihop relay wireless network |
-
2008
- 2008-09-03 US US12/203,671 patent/US9313658B2/en active Active
- 2008-09-03 US US12/203,652 patent/US20090271626A1/en not_active Abandoned
- 2008-09-04 IN IN1875MU2008 patent/IN266858B/en unknown
- 2008-09-04 EP EP08252944A patent/EP2034781A3/en not_active Withdrawn
- 2008-09-04 TW TW097133899A patent/TWI411275B/zh active
- 2008-09-04 TW TW097133900A patent/TWI445371B/zh active
-
2012
- 2012-04-05 US US13/440,710 patent/US9215589B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
TWI411275B (zh) | 2013-10-01 |
IN266858B (zh) | 2015-06-09 |
TW200922237A (en) | 2009-05-16 |
US20120189124A1 (en) | 2012-07-26 |
US9215589B2 (en) | 2015-12-15 |
EP2034781A2 (en) | 2009-03-11 |
US20090068986A1 (en) | 2009-03-12 |
TW200922238A (en) | 2009-05-16 |
US9313658B2 (en) | 2016-04-12 |
US20090271626A1 (en) | 2009-10-29 |
EP2034781A3 (en) | 2011-03-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI445371B (zh) | 提供安全通訊之方法、提供安全通訊之系統、中繼站、以及基地台 | |
US8621201B2 (en) | Short authentication procedure in wireless data communications networks | |
US7793103B2 (en) | Ad-hoc network key management | |
KR100770928B1 (ko) | 통신 시스템에서 인증 시스템 및 방법 | |
US8885831B2 (en) | Managing user access in a communications network | |
US8495360B2 (en) | Method and arrangement for providing a wireless mesh network | |
US7451316B2 (en) | Method and system for pre-authentication | |
KR101061899B1 (ko) | 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치 | |
US20090175454A1 (en) | Wireless network handoff key | |
US8423772B2 (en) | Multi-hop wireless network system and authentication method thereof | |
US8417219B2 (en) | Pre-authentication method for inter-rat handover | |
KR20060067263A (ko) | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 | |
KR20070051233A (ko) | 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법 | |
KR20080033763A (ko) | 와이브로 네트워크에서의 상호인증을 통한 핸드오버 방법및 그 시스템 | |
JP4875679B2 (ja) | 通信システムにおいてセキュリティーアソシアーションを確立する、およびハンドオフ認証を実行する方法およびデバイス | |
CN101436931B (zh) | 无线通信系统中提供安全通信的方法、系统、基站与中继站 | |
Lin et al. | A fast iterative localized re-authentication protocol for heterogeneous mobile networks | |
CN111526008B (zh) | 移动边缘计算架构下认证方法及无线通信系统 | |
Lin et al. | Performance Evaluation of the Fast Authentication Schemes in GSM-WLAN Heterogeneous Networks. | |
RU2779029C1 (ru) | Доступ не отвечающего спецификациям 3gpp устройства к базовой сети |