TWI524807B - 裝置間通訊的認證系統及認證方法 - Google Patents

裝置間通訊的認證系統及認證方法 Download PDF

Info

Publication number
TWI524807B
TWI524807B TW102116114A TW102116114A TWI524807B TW I524807 B TWI524807 B TW I524807B TW 102116114 A TW102116114 A TW 102116114A TW 102116114 A TW102116114 A TW 102116114A TW I524807 B TWI524807 B TW I524807B
Authority
TW
Taiwan
Prior art keywords
key
user device
communication
authentication
inter
Prior art date
Application number
TW102116114A
Other languages
English (en)
Other versions
TW201347594A (zh
Inventor
王瑞堂
林咨銘
Original Assignee
財團法人工業技術研究院
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人工業技術研究院 filed Critical 財團法人工業技術研究院
Priority to US13/888,380 priority Critical patent/US9232391B2/en
Publication of TW201347594A publication Critical patent/TW201347594A/zh
Application granted granted Critical
Publication of TWI524807B publication Critical patent/TWI524807B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup

Description

裝置間通訊的認證系統及認證方法
本揭露是有關於一種通訊與認證技術,且特別是有關於一種裝置間(device-to-device;D2D)通訊的認證系統及認證方法。
行動通訊技術日漸普及,行動裝置中所使用的無線通訊技術通常皆需要連線至基地台(base station;BS)或是無線存取點(access point;AP)以使行動裝置之間相互進行通訊,也就是行動裝置間必須透過BS或AP來進行通訊,如,通用封包無線服務(General Packet Radio Service;GPRS)技術、分碼多重進接(Code Division Multiple Access;CDMA)技術、WIFI(IEEE 802.11)通訊技術…等。當行動裝置位於訊號不佳的地點或是附近沒有BS或無線AP時,便無法對其他行動裝置進行通訊。例如,當因為天災而導致大部分的基地台無法使用時,使用者手中的行動裝置便無法對外通訊。因此,便希望能夠研發出不需要透過BS或無線AP便可以進行裝置間通訊的技術,也就是所謂的裝置間 (device-to-device;D2D)的直接通訊(direct communication)。
裝置間的直接通訊是指各種電子裝置之間透過相應的通訊協定來直接地進行資料傳輸、控制、資料分享、通話…等,而不需要透過BS或無線AP進行中介管理,例如藍芽協定、WIFI直連(WIFI direct)協定…等。直接通訊也可以稱為是裝置間(device-to-device;D2D)通訊、適地應用(proximity-based system)、直接通訊(direct communication)、智慧直接連結(smart direct link)…等技術。目前,第三代合夥專案(Third Generation Partnership Project;3GPP)正在研發的新一代標準化無線通訊技術,如長期演進技術(Long Term Evolution;LTE)、升級版LTE(LTE Advanced)…等,也希望能夠將直接通訊技術整合在LTE中。
3GPP規劃了許多的機制來實現直接通訊的各種應用,例如在裝置間通訊時的裝置相互識別(identify)機制、授權(authenticate)機制、允許(authorize)機制、付費機制及安全機制…等。然而,這些機制仍然在熱烈討論中而未提出任何具體的實現方案。
本揭露提供一種裝置間通訊的認證系統及認證方法,其實現了裝置間通訊的認證機制,並可將此認證機制延伸應用至裝置間通訊的付費、通訊安全等機制。
本揭露提出一種裝置間通訊的認證系統。認證系統包括第一使用者裝置以及認證伺服器。認證伺服器位於第一使用者裝置的通訊範圍內。當第一使用者裝置發出連接請求至所述認證伺服器時,認證伺服器對所述第一使用者裝置進行常規認證並提供金鑰產生信息至第一使用者裝置。認證伺服器依據所述金鑰產生信息以及金鑰衍生程序以產生伺服器金鑰。第一使用者裝置依據金鑰產生信息以及金鑰衍生程序產生裝置金鑰,以獲得裝置間通訊的認證,使第一使用者裝置與獲得裝置間通訊的認證的第二使用者裝置直接進行裝置間通訊,而不需透過認證伺服器。
從另一角度來看,本揭露提出一種裝置間通訊的認證系統。認證系統包括第一使用者裝置、第二使用者裝置以及認證伺服器。認證伺服器位於第一使用者裝置以及第二使用者裝置的通訊範圍內。當第一使用者裝置及第二使用者裝置分別發出裝置間通訊連接請求至所述認證伺服器時,認證伺服器對所述第一及第二使用者裝置進行常規認證並分別提供第一金鑰產生信息及第二金鑰產生信息至所述第一及第二使用者裝置。認證伺服器依據所述第一及第二金鑰產生信息以及金鑰衍生程序以產生伺服器金鑰。認證伺服器將所述伺服器金鑰分別傳送至所述第一及第二使用者裝置,以使所述第一及第二使用者裝置獲得裝置間通訊的認證並直接進行裝置間通訊,而不需透過所述認證伺服器。
從再一角度來看,本揭露提出一種裝置間通訊的認證方法,其適用於通訊系統中的第一使用者裝置。所述通訊系統還包 括認證伺服器以及第二使用者裝置。所述認證方法包括下列步驟。發出連接請求至所述認證伺服器。所述認證伺服器對第一使用者裝置進行常規認證並提供金鑰產生信息,且所述認證伺服器依據所述金鑰產生信息以及金鑰衍生程序以產生伺服器金鑰。以及,依據所述金鑰產生信息以及金鑰衍生程序而產生裝置金鑰,以獲得裝置間通訊的認證,使第一使用者裝置與獲得裝置間通訊的認證的第二使用者裝置能直接進行裝置間通訊,而不需透過所述認證伺服器。
從其他角度來看,本揭露提出一種裝置間通訊的認證方法,其適用於通訊系統中的認證伺服器。所述通訊系統還包括第一使用者裝置以及第二使用者裝置。所述認證方法包括下列步驟。接收從該第一使用者裝置發出的連接請求。對所述第一使用者裝置進行常規認證並提供金鑰產生信息至所述第一使用者裝置。依據所述金鑰產生信息以及金鑰衍生程序以產生伺服器金鑰。以及,所述第一使用者裝置依據所述金鑰產生信息以及所述金鑰衍生程序產生裝置金鑰,以獲得裝置間通訊的認證,使所述第一使用者裝置與獲得裝置間通訊的認證的第二使用者裝置直接進行裝置間通訊,而不需透過所述認證伺服器。
基於上述,本揭露實施例中的認證系統及認證方法實現了裝置間通訊的認證機制,使用者裝置可以先行通過認證伺服器來進行裝置間通訊的認證並獲得相應的認證金鑰,並在獲得裝置間通訊的認證後與其他已獲得認證的其他使用者裝置進行直接通 訊,而不需再次通過通訊處理裝置(如,基地台或是無線存取點)來進行通訊。透過本揭露所認證的使用者裝置可以依照認證金鑰內部設定的金鑰有效信息來與其他使用者裝置進行裝置間的相互認證(mutual authentication)、裝置間通訊機制、金鑰分配(key distribution)以及金鑰更新,並可於裝置間認證的判定中加入收費及安全機制,藉以保障實現此裝置間通訊系統的廠商利益及使用此裝置間通訊系統的使用者權益。
為讓本揭露的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
100‧‧‧認證系統
110‧‧‧認證伺服器
120‧‧‧通訊設備
130‧‧‧裝置間通訊控制器
140‧‧‧基地台
150‧‧‧管理單元
160‧‧‧認證單元
UE1~UE3‧‧‧使用者裝置
S210~S860‧‧‧步驟
圖1是依照本揭露一實施例之裝置間通訊的認證系統的方塊圖。
圖2是依照本揭露第一實施例說明裝置間通訊的認證方法的流程圖。
圖3是依照本揭露第二實施例說明裝置間通訊的認證方法的流程圖。
圖4是依照本揭露第三實施例說明裝置間通訊的認證方法的流程圖。
圖5是依照本揭露第四實施例說明裝置間通訊的認證方法的細節流程圖。
圖6是依照本揭露第五實施例說明裝置間通訊的認證方法的細節流程圖。
圖7是依照本揭露第六實施例說明裝置間通訊的認證方法的細節流程圖。
圖8是依照本揭露第七實施例說明裝置間通訊的認證方法的細節流程圖。
本揭露的認證系統及認證方法實現了裝置間通訊的認證機制,使用者裝置可以先行通過認證伺服器來進行裝置間通訊的認證並獲得相應的認證金鑰,並在獲得裝置間通訊的認證後與其他已獲得認證的其他使用者裝置進行直接通訊,而不需再次通過通訊處理裝置(如,基地台或是無線存取點)來進行通訊。此外,本揭露可在認證程序中加入付費機制,藉以達到使用者付費的理想。
圖1是依照本揭露一實施例之裝置間通訊的認證系統的方塊圖。本揭露所述的認證系統100是符合第三代合夥專案(3GPP)所提出的無線通訊網路協定,因此以下主要以長期演進技術(LTE)配合常用的無線通訊技術(如,CDMA、WIFI…等)作為裝置間通訊的舉例。然而,應用本揭露的技術人員應可將本案所揭示的認證技術延伸至相關通訊協定及系統當中,例如有關於使用者裝置之間不需通過通訊處理裝置(如,基地台或無線存 取點)而可進行直接通訊,而僅需先行經由認證伺服器獲得裝置間通訊的認證的通訊系統。
認證系統100包括認證伺服器110以及至少一個使用者裝置UE1~UE3。認證伺服器110包括通訊設備120、管理單元150以及認證單元160。通訊設備120則可包括裝置間通訊控制器130以及基地台140。通訊設備120的基地台140透過符合本揭露實施例的網路協定(如,LTE)以與使用者裝置UE1~UE3進行通訊,而裝置間通訊控制器130則用來處理位於通訊設備120的通訊範圍內的裝置間通訊。於本實施例中,裝置間通訊控制器130架設於基地台140中以構成通訊設備120中的通訊處理裝置,而於其他實施例中,裝置間通訊控制器130也可以設置於管理單元150和/或認證單元160中,或是自行獨立以成為單獨的實體組件,其實體結構的連接關係並不僅限於圖1的繪示。於本實施例中,通訊協定所使用的通訊處理裝置(如,基地台140)可以是全球互通微波存取(Worldwide Interoperability for Microwave Access;WiMAX)、第三代行動通訊技術(3rd-Generation;3G)所採用的通訊基地台、WIFI所採用的無線存取點(AP)、或是LTE所採用的eNodeB設備。使用者裝置UE1~UE3可以是符合本案實施例所述通訊協定之行動電話、平板電腦、筆記型電腦…等。管理單元150可以是LTE中的行動管理實體(Mobile Management Entity;MME),而認證單元160則可以是LTE中的用戶歸屬伺服器(Home Subscriber Server;HSS)。
位於核心網路(Core network)(也就是本揭露所述的網路服務提供者)的認證伺服器110為了管理整個裝置間通訊網路,必須讓每個使用者裝置UE1~UE3獲得裝置間通訊的授權。因此,在形成裝置間通訊網路之前,使用者裝置UE1~UE3一開始便需對核心網路提出通訊請求以進行裝置間通訊的授權。本揭露在使用者裝置UE1~UE3在進行裝置間通訊的授權時,是以LTE作為本案實施例的說明案例,但應用此技術者也可透過WIFI、CDMA等無線網路協定來達成。再者,應用本實施例者可以在使用者裝置UE1~UE3在進行裝置間通訊的授權時,加入判斷使用者是否付費的相關機制,便可達到使用者付費的目的。在獲得核心網路的裝置間通訊授權之後,使用者裝置UE1~UE3再對認證伺服器110中的裝置間通訊控制器(D2D communication controller)130進行裝置間相互通訊的認證及授權,以獲得裝置間通訊的服務。
已認證的使用者裝置可以與鄰近並已認證的其他使用者裝置直接建立裝置間通訊,而不需要透過認證伺服器110以及裝置間通訊控制器130。已認證的使用者裝置所獲得的裝置金鑰也可以依照應用本揭露的技術人員的需求而會設定裝置金鑰的使用期限,例如,已認證的使用者裝置在金鑰的使用期限內可以與特定或不特定的其他已認證使用者裝置建立裝置間通訊,並在經過金鑰的使用期限後,使用者裝置必須重新透過認證伺服器110來進行認證,否則裝置間通訊控制器130可以回收原本提供給已認證使用者裝置的網路資源。此外,認證伺服器110也可以協助已認 證的使用者裝置來得知鄰近已認證的其他使用者裝置,或是協助建立與鄰近使用者裝置的裝置間通訊。以下列舉多個實施例說明本揭露之裝置間通訊的認證方法的詳細內容。
圖2是依照本揭露第一實施例說明裝置間通訊的認證方法的流程圖,特別是,圖2是單個使用者裝置UE1向認證伺服器110進行請求以獲得裝置間通訊的認證。請同時參照圖1及圖2,認證伺服器110的通訊設備120(也就是裝置間通訊控制器130以及基地台140)應位於使用者裝置UE1的通訊範圍內。假設使用者裝置UE1希望從認證伺服器110中獲得裝置間通訊的認證,使用者裝置UE1便會發出裝置間通訊的連接請求至認證伺服器110(步驟S210)。當使用者裝置UE1發出裝置間通訊的連接請求至認證伺服器110的基地台140時,基地台140便將此連接請求傳送到管理單元150以及認證單元160以進行常規認證(步驟S220)。此處所指的常規認證可參照相關網路協定所使用的認證流程,如LTE的認證程序。舉例來說,使用者裝置UE1發出的連接請求中包含國際移動用戶識別碼(International Mobile Subscriber Identity;IMSI)、服務網標誌(Server Network Identity;SN ID)和服務網類型…等信息,而認證單元160接收到此連接請求後便會對SN ID、IMSI等信息來進行身分驗證。
當常規認證成功後,認證單元160便會產生對應於使用者裝置UEI的金鑰產生信息,並將此金鑰產生信息提供至使用者裝置UE1(步驟S230)。金鑰產生信息中可以包含隨機亂數、與使 用者裝置UE1有關的序列參數、密碼金鑰(Ciphering key;CK)、完整性金鑰(Integrity key;IK)…等信息區塊。金鑰產生信息的傳送目的是希望使用者裝置UE1端以及認證伺服器110端皆可產生相同的金鑰並進而確認已經獲得裝置間通訊的認證,因此認證伺服器110所產生的金鑰產生信息將等同於使用者裝置UE1於步驟S230所接收的金鑰產生信息。
於步驟S240中,認證伺服器中的認證單元160、管理單元150以及通訊設備120依據上述的金鑰產生信息以及金鑰衍生(key derivation)程序(或稱為金鑰衍生功能(key derivation function;KDF))以產生位於認證伺服器110端的伺服器金鑰。在此詳述步驟S240中的細節步驟。當步驟S220的常規認證成功時,認證單元160便依據常規認證的結果(例如,密碼金鑰CK以及完整性金鑰IK)來產生第一認證金鑰KASME1(步驟S242),並將此第一認證金鑰KASME1傳送至管理單元150(步驟S243)。常規認證的結果也就是上述的金鑰產生信息。管理單元150儲存所接收的第一認證金鑰KASME1,並依據第一認證金鑰KASME1以分別產生並儲存第一通訊金鑰KeNB1以及第一傳輸金鑰Kcd1以作為上述的伺服器金鑰(步驟S244),並將所述伺服器金鑰傳送至通訊設備120中的基地台140(步驟S245)。基地台140儲存伺服器金鑰(也就是,第一通訊金鑰KeNB1及第一傳輸金鑰Kcd1)(步驟S246),並將第一傳輸金鑰Kcd1傳輸給裝置間通訊控制器130(步驟S247)。裝置間通訊控制器130則是儲存第一傳輸金鑰Kcd1(步驟S248), 以作為使用者裝置UE1的裝置間通訊的認證紀錄。
繼續參閱圖2的步驟S250,使用者裝置UE1依據從步驟S230所獲得的金鑰產生信息以及與認證伺服器110相同的金鑰衍生程序來產生位於使用者裝置UE1的裝置金鑰,從而獲得裝置間通訊的認證。於本實施例的步驟S252中,使用者裝置UE1依據從步驟S230所獲得的金鑰產生信息獲得密碼金鑰CK以及完整性金鑰IK,並將密碼金鑰CK以及完整性金鑰IK利用金鑰衍生程序來產生並儲存位於使用者裝置UE1的第二認證金鑰KASME2。理論上,若金鑰產生信息在傳輸中並無發生錯誤的話,第二認證金鑰KASME2將會等同於認證伺服器110上的第一認證金鑰KASME1。於步驟S254中,使用者裝置UE1依據第二認證金鑰KASME2並利用金鑰衍生程序來分別產生並儲存第二通訊金鑰KeNB2以及第二傳輸金鑰Kcd2,第二通訊金鑰KeNB2以及第二傳輸金鑰Kcd2也可以稱為是裝置金鑰。理論上,裝置金鑰相會等同於伺服器金鑰。於本實施例中,步驟S240及步驟S250可以同時執行,也可以先後執行,藉以分別在使用者裝置UE1端以及認證伺服器110端分別獲得相同的裝置金鑰及伺服器金鑰即可。
於步驟S260中,使用者裝置UE1利用裝置金鑰以及金鑰衍生程序來產生傳輸解密金鑰KDCini以及傳輸加密金鑰KDCenc。相應地,步驟S270則是裝置間通訊控制器130利用裝置金鑰以及金鑰衍生程序來產生傳輸解密金鑰KDCini以及傳輸加密金鑰KDCenc。藉此,透過步驟S260及步驟S270,使用者裝置UE1便 可透過上述金鑰KDCini及KDCenc與認證伺服器110進行通訊,甚至使使用者裝置UE1與獲得裝置間通訊之認證的另一個使用者裝置UE2直接進行裝置間的相互認證以實現裝置間通訊,而不需透過認證伺服器110。
圖3是依照本揭露第二實施例說明裝置間通訊的認證方法的流程圖。圖3與圖2類似,也是單個使用者裝置UE1向引證伺服器110進行請求以獲得裝置間通訊的認證。然而,圖3與圖2不同的是,於圖2的步驟S244中,管理單元150會分別產生第一通訊金鑰KeNB1以及第一傳輸金鑰Kcd1以作為上述的伺服器金鑰。然而,於圖3的步驟S344中,管理單元150僅會依據第一認證金鑰KASME1產生並儲存基地台140需要的第一通訊金鑰KeNB1(步驟S344),並將此第一通訊金鑰KeNB1傳送給通訊設備120中的基地台140(步驟S345)。基地台140儲存第一通訊金鑰KeNB1,並依據第一通訊金鑰KeNB1以產生並儲存第一傳輸金鑰Kcd1(S346),然後將第一傳輸金鑰Kcd1傳輸給裝置間通訊控制器130(步驟S247)。第一通訊金鑰KeNB1以及第一傳輸金鑰Kcd1合稱為伺服器金鑰。
類似地,圖3所揭示的步驟S354與步驟S356則像是圖2的步驟S254的拆解,也就是,使用者裝置UE1依據第二認證金鑰KASME2並利用金鑰衍生程序來產生並儲存第二通訊金鑰KeNB2(步驟S354),然後,依據第二通訊金鑰KeNB2並利用金鑰衍生程序來產生並儲存第二傳輸金鑰Kcd2(步驟S356)。
圖4是依照本揭露第三實施例說明裝置間通訊的認證方法的流程圖,特別是,圖4是當兩個使用者裝置UE1、UE2向引證伺服器110進行請求以獲得使用者裝置UE1、UE2之間的裝置間通訊認證。認證伺服器110中的通訊設備120應位於使用者裝置UE1以及使用者裝置UE2的通訊範圍內。與圖2、圖3相較,圖4增加使用者裝置UE2。使用者裝置UE1對認證伺服器110中的認證單元160發出裝置間通訊連接請求(步驟S410)。認證伺服器110中的認證單元160便對使用者裝置UE1進行常規認證,並提供第一金鑰產生信息至使用者裝置UE1。相似地,使用者裝置UE2對認證伺服器110中的認證單元160發出裝置間通訊連接請求(步驟S430)。認證伺服器110中的認證單元160便對使用者裝置UE2進行常規認證,並提供第二金鑰產生信息至使用者裝置UE2。相關詳細內容請參閱上述實施例,在此不予贅述。
認證伺服器110中的認證單元160和管理單元150其中之一便會依據上述的第一及第二金鑰產生信息以及金鑰衍生程序來產生伺服器金鑰(步驟S440)。詳言之,認證單元160依據常規認證的結果(也就是,第一及第二金鑰產生信息,例如,密碼金鑰CK以及完整性金鑰IK)來產生對應於使用者裝置UE1的第一認證金鑰KASME1以及對應於使用者裝置UE2的第二認證金鑰KASME2(步驟S442),並將第一及第二認證金鑰KASME1、KASME2傳輸至管理單元150(步驟S443)。管理單元150依據第一認證金鑰KASME1、第二認證金鑰KASME2以及金鑰衍生程序來產生一組伺 服器金鑰(S444)。
認證伺服器110便於步驟S450中將共同的伺服器金鑰進行計算以產生通訊金鑰KeNB-D,並將通訊金鑰KeNB-D傳送給基地台140。本案實施例可以是由認證單元160、管理單元150還是基地台140其中之一來依據伺服器金鑰而計算產生通訊金鑰KeNB-D。並且,認證伺服器110也會將伺服器金鑰作為第一及第二實施例中描述的裝置金鑰而傳送至使用者裝置UE1(步驟S460)以及使用者裝置UE2(步驟S470)中。藉此,使用者裝置UE1、UE2便克獲得裝置間通訊的認證,並利用步驟S260、S270所計算產生的傳輸解密金鑰KDCini以及傳輸加密金鑰KDCenc以直接進行裝置間通訊及加解密等動作,而不需透過認證伺服器110。
上述第一實施例至第三實施例皆為使用者裝置UE1~UE3如何獲得認證伺服器110對於裝置間通訊的認證。當完成對於認證伺服器110的裝置間通訊認證後,使用者裝置(如UE1)不一定如上述第三實施例一般已經找尋到要進行裝置間通訊的其他使用者裝置,而通常會透過自行搜尋使用者裝置;或是透過認證伺服器來找尋鄰近的且已認證的使用者裝置之後,再進行裝置間相互認證。本案所述的「裝置搜尋」則是指已完成裝置間通訊之認證的使用者裝置(如,UE1)如何搜尋到鄰近已認證的其他使用者裝置(如,UE2),並確認使用者裝置UE2希望進行通訊。本案所述的「裝置間相互認證」是指已完成裝置間通訊之認證的使用者裝置(如,UE1)希望與鄰近已認證的其他使用者裝置(如,UE2) 在確認希望通訊後的相互進行識別、相互認證以及安全性金鑰的傳遞與驗證等動作。
圖5是依照本揭露第四實施例說明裝置間通訊的認證方法的細節流程圖,特別是說明使用者裝置UE1及UE2之間的裝置搜尋以及裝置間相互認證。換句話說,本揭露第四實施例可以配合上述第一至第三實施例來實現。在使用者裝置UE1與UE2皆獲得裝置間通訊的認證之後,如果使用者裝置UE1希望對使用者裝置UE2進行裝置間通訊的話,使用者裝置UE1可對認證伺服器110中的裝置間通訊控制器130提出對使用者裝置UE2的裝置間通訊請求(步驟S510)。裝置間通訊控制器130接收上述的裝置間通訊請求以產生裝置間主要金鑰信息(步驟S520)。之後,裝置間通訊控制器130將所述裝置間主要金鑰信息分別傳送至使用者裝置UE1(步驟S530)及使用者裝置UE2(步驟S540)。
使用者裝置UE2在接收所述裝置間主要金鑰信息後,便需決定是否與使用者裝置UE1通訊,並且回傳通訊回應至裝置間通訊控制器130(步驟S550)。裝置間通訊控制器130依據此通訊回應而決定是否同意使用者裝置UE1、UE2之間的裝置間通訊。當使用者裝置UE2的通訊回應中同意與使用者裝置UE1通訊時,裝置間通訊控制器130便會通知使用者裝置UE1而完成「裝置搜尋」,以讓使用者裝置UE1、UE2進行裝置間相互認證(步驟S560),並在裝置間相互認證成功後進行直接地裝置間通訊(步驟S580)。
於本實施例中,對於使用者裝置UE1的裝置間主要金鑰信息主要包括主要金鑰MK(例如,上述的第一傳輸金鑰Kcd1)及金鑰有效信息Nonce。金鑰有效信息Nonce用以決定此第一傳輸金鑰Kcd1的使用期限。例如,若認證伺服器110提供使用者裝置UE1可以使用一個月的裝置間通訊的話,則金鑰有效信息Nonce則乘載了「一個月」的信息。
在此詳細說明圖5的步驟S560,也就是本揭露所示的「裝置間相互認證」。當使用者裝置UE2的通訊回應中同意與使用者裝置UE1通訊時(步驟S550),則進行裝置間相互認證。本揭露所採用的「裝置間相互認證」概略說明如下:第一使用者裝置UE1產生第一隨機值R1並依據裝置間主要金鑰信息的主要金鑰MK以產生第一暫時金鑰TK1。相應的,第二使用者裝置UE2則產生第二隨機值R2並依據裝置間主要金鑰信息的主要金鑰MK計算第二暫時金鑰TK2。接著,第一使用者裝置UE1以及第二使用者裝置UE2相互傳送第一暫時金鑰TK1以及第二暫時金鑰TK2,並依據裝置間要金鑰組的主要金鑰MK、第一暫時金鑰TK1以及第二暫時金鑰TK2來相互認證,以使第一使用者裝置UE1與第二使用者裝置UE2來允許依據裝置間主要金鑰信息進行裝置間通訊的加解密操作。
「裝置間相互認證」的詳細步驟流程則如下所述。於步驟S561中,使用者裝置UE1產生第一隨機值R1,且依據裝置間主要金鑰信息的主要金鑰MK以產生第一暫時金鑰TK1(步驟 S561)。之後,使用者裝置UE1將第一隨機值R1送至使用者裝置UE2(步驟S562)。使用者裝置UE2產生第二隨機值R2並依據裝置間主要金鑰信息的主要金鑰MK來計算第二暫時金鑰TK2(步驟S563)。使用者裝置UE2依據所述第二暫時金鑰TK2及第一隨機值R1以藉由金鑰衍生程序來計算第一中介值V1(步驟S564),並且使用者裝置UE2將第一中介值V1與第二隨機值R2送至使用者裝置UE1(步驟S565)。
使用者裝置UE1在接收第一中介值V1與第二隨機值R2之後,則依據自身計算出的第一暫時金鑰TK1以及第一隨機值R2以計算第二中介值V2,並且判斷所述第一中介值V1與第二中介值V2是否相同(步驟S566)。若第一中介值V1及第二中介值V2相同時,使用者裝置UE1便依據第一暫時金鑰TK1及第二隨機值R2來計算第三中介值V3(步驟S567),並將第三中介值V3傳送至使用者裝置UE2(步驟S568)。
使用者裝置UE2在接收到第三中介值V3之後,便依據第二暫時金鑰TK2及第二隨機值R2以計算第四中介值V4,並判斷第三中介值V3與第四中介值V4是否相同(步驟S569)。若第三中介值V3與第四中介值V4相同時,則使用者裝置UE2便允許該使用者裝置UE1依據裝置間主要金鑰信息進行裝置間通訊,以及通訊時的加解密操作(步驟S570)。由上述可知,裝置間相互認證(步驟S560)以及後續的裝置間通訊(步驟S580)並不需要透過裝置間通訊控制器130。
第四實施例的圖5是使用者裝置UE1、UE2皆可以與裝置間通訊控制器130進行通訊時的情況,而下述第五實施例的圖6則是使用者裝置UE1可以與裝置間通訊控制器130以及使用者裝置UE2進行通訊,但使用者裝置UE2無法與裝置間通訊控制器130進行通訊且沒有具備裝置間主要金鑰信息的情況。圖6是依照本揭露第五實施例說明裝置間通訊的認證方法的細節流程圖。本揭露第五實施例可以同樣可配合上述第一至第三實施例來實現。在使用者裝置UE1與UE2皆獲得裝置間通訊的認證之後,由於使用者裝置UE2並未具有裝置間主要金鑰信息,因此使用者裝置UE1可對裝置間通訊控制器130提出對使用者裝置UE2的裝置間通訊請求(步驟S510),並且裝置間通訊控制器130接收上述的裝置間通訊請求以產生裝置間主要金鑰信息(步驟S520)之後,裝置間通訊控制器130將所述裝置間主要金鑰信息傳送至使用者裝置UE1(步驟S630),而無法傳送至使用者裝置UE2。
之後,便進行使用者裝置UE1、UE2的裝置間相互認證(步驟S640)。概略而言,第一使用者裝置UE1接收裝置間主要金鑰信息但第二使用者裝置UE2並未具有裝置間主要金鑰信息時,第一使用者裝置UE1則產生第一隨機值R1,並將第一隨機值R1以及裝置間主要金鑰信息的主要金鑰MK傳送到第二使用者裝置UE2。第二使用者裝置UE2產生第二隨機值R2並傳送到第一使用者裝置UE1。第一使用者裝置UE1以及第二使用者裝置UE2便依據裝置間主要金鑰信息的主要金鑰MK、第一隨機值R1以及
第二隨機值R2來相互認證,以使第一使用者裝置UE1與第二使用者裝置UE2允許依據裝置間主要金鑰信息進行裝置間通訊的加解密操作
詳細來說,請參閱圖6中的相關步驟S641~S650,使用者裝置UE1產生第一隨機值R1(步驟S641),並將第一隨機值R1以及裝置間主要金鑰信息的主要金鑰MK傳送到使用者裝置UE2(步驟S642)。接收到第一隨機值R1以及主要金鑰MK之後,使用者裝置UE2產生第二隨機值R2,並依據第一隨機值R1以及主要金鑰MK來計算第一中介值V1(步驟S643)。然後,使用者裝置UE2將第一中介值V1與第二隨機值R2傳送至使用者裝置UE1(步驟S644)。
接收第一中介值V1與第二隨機值R2之後,使用者裝置UE1依據第一隨機值R1以及主要金鑰MK以計算第二中介值V2,並判斷第一中介值V1與第二中介值V2是否相同(步驟S645)。若第一中介值V1與第二中介值V2相同時,使用者裝置UE1依據第二隨機值R2以及主要金鑰MK以計算第三中介值V3(步驟S646),並將第三中介值V3傳送至使用者裝置UE2(步驟S647)。
在接收第三中介值V3之後,使用者裝置UE2依據第二隨機值R2以及主要金鑰MK以計算第四中介值V4,並判斷第三中介值V3與第四中介值V4是否相同(步驟S648)。若第三中介值V3與第四中介值V4相同時,則使用者裝置UE2允許使用者裝 置UE1依據裝置間主要金鑰信息以進行裝置間通訊的加解密操作(步驟S650),並在裝置間相互認證成功後讓使用者裝置UE1、UE2進行直接地裝置間通訊(步驟S580)。
圖7是依照本揭露第六實施例說明裝置間通訊的認證方法的細節流程圖,特別是說明使用者裝置UE1及UE2之間的裝置搜尋以及裝置間相互認證。類似於第三實施例,在使用者裝置UE1、UE2皆獲得裝置間通訊的認證之後,使用者裝置UE1、UE2先奏對認證伺服器110中的裝置間通訊控制器110提出相互的裝置間通訊請求(步驟SS710、S720)。裝置間通訊控制器130接收這兩個裝置間通訊請求以產生符合使用者裝置UE1、UE2的裝置間主要金鑰信息(步驟S730),並將裝置間主要金鑰信息分別傳送至使用者裝置UE1(步驟S740)及使用者裝置UE2(步驟S750),以達成裝置搜尋,並進行後續的裝置間相互認證。特別說明的是,圖7的裝置間相互認證與上述第四實施例及圖5中揭示的步驟S560~S580相同,在此不予贅述。
再者,請參照圖7,如果使用者裝置UE1、UE2已經先行具備各自的裝置間主要金鑰信息的話,便可不需要進行「裝置搜尋」的步驟(如步驟S710~S750,而可以直接進入步驟S560~S580以進行「裝置間相互認證」以及「裝置間通訊」。「裝置間相互認證」可如圖5的步驟S560可參閱詳細描述,在此概略說明如下。第一使用者裝置UE1產生第一隨機值R1並依據裝置間主要金鑰信息的主要金鑰MK以產生第一暫時金鑰TK1。相應的,第二使 用者裝置UE2則產生第二隨機值R2並依據裝置間主要金鑰信息的主要金鑰MK計算第二暫時金鑰TK2。接著,第一使用者裝置UE1以及第二使用者裝置UE2相互傳送第一暫時金鑰TK1以及第二暫時金鑰TK2,並依據裝置間要金鑰組的主要金鑰MK、第一暫時金鑰TK1以及第二暫時金鑰TK2來相互認證,以使第一使用者裝置UE1與第二使用者裝置UE2來允許依據裝置間主要金鑰信息進行裝置間通訊的加解密操作。
特別說明的是,裝置間主要金鑰信息除了主要金鑰MK以及金鑰有效信息Nonce以外,還可以包括參數:金鑰索引(index)。金鑰索引是使用來通知使用者裝置UE1、U2來進行金鑰分配及金鑰更新所使用的。使用者裝置UE1或UE2可以藉由相互告知金鑰索引來重新產生裝置間通訊中所需的加密金鑰(Encryption key;EK)以及完整性金鑰(IK),並且讓使用者裝置UE1、UE2採用新產生的加密金鑰以及完整性金鑰來進行裝置間通訊。
在此利用圖8來說明使用者裝置UE1、UE2之間如何進行金鑰更新。圖8是依照本揭露第七實施例說明裝置間通訊的認證方法的細節流程圖,且第七實施例可同時適用於上述第一至第六實施例。使用者裝置UE1可能因為計數器、使用者請求等情況而觸發並執行金鑰更新事件(步驟S810)。於步驟S820中,使用者裝置UE1對使用者裝置UE2皆提出金鑰索引更新請求,以使將裝置間主要金鑰信息中的金鑰索引(index)增加一預定值N(步 驟S820)。之後,使用者裝置UE2便會回傳一個金鑰索引更新回應(步驟S830)。藉此,使用者裝置UE1、UE2便會分別依據裝置間主要金鑰信息中增加後的金鑰索引(也就是index+N)來重新產生裝置間通訊中所需的加密金鑰EK以及完整性金鑰IK(步驟S840、S850)。使用者裝置UE1及UE2將會採用新產生的加密金鑰以及完整性金鑰來進行裝置間通訊(步驟S860)。
綜上所述,本揭露實施例中的認證系統及認證方法實現了裝置間通訊的認證機制,使用者裝置可以先行通過認證伺服器來進行裝置間通訊的認證並獲得相應的認證金鑰,並在獲得裝置間通訊的認證後與其他已獲得認證的其他使用者裝置進行直接通訊,而不需再次通過基地台或是無線存取點來進行通訊。透過本揭露所認證的使用者裝置可以依照認證金鑰內部設定的金鑰有效信息來與其他使用者裝置進行裝置間的相互認證(mutual authentication)、裝置間通訊機制、金鑰分配(key distribution)以及金鑰更新,並可於裝置間認證的判定中加入收費及安全機制,藉以保障實現此裝置間通訊系統的廠商利益及使用此裝置間通訊系統的使用者權益。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
UE1‧‧‧使用者裝置
120‧‧‧通訊設備
130‧‧‧裝置間通訊控制器
140‧‧‧基地台
150‧‧‧管理單元
160‧‧‧認證單元
S210~S270‧‧‧步驟

Claims (38)

  1. 一種裝置間通訊的認證系統,包括:第一使用者裝置;認證伺服器,位於該第一使用者裝置的通訊範圍內,其中該認證伺服器包括:通訊設備,透過網路協定以與該第一使用者裝置進行通訊,並處理位於該通訊設備的通訊範圍內的裝置間通訊;以及管理單元以及認證單元,當該管理單元及該認證單元透過該通訊設備接收該第一使用者裝置發出的該連接請求後,該認證單元對該第一使用者裝置進行常規認證,當常規認證成功時,該認證單元依據常規認證結果產生第一認證金鑰(authentication key)並將該第一認證金鑰傳送至該管理單元,該管理單元依據該第一認證金鑰分別產生第一通訊金鑰以及第一傳輸金鑰(transmission key)以作為該伺服器金鑰,並將該伺服器金鑰(server key)傳送並儲存至該通訊設備;其中,當該第一使用者裝置發出連接請求至該認證伺服器時,該認證伺服器對該第一使用者裝置進行常規認證並提供金鑰產生信息至該第一使用者裝置,該認證伺服器依據該金鑰產生信息以及金鑰衍生(key derivation)程序以產生伺服器金鑰,以及 該第一使用者裝置依據該金鑰產生信息以及該金鑰衍生程序產生裝置金鑰,以獲得裝置間通訊的認證,使該第一使用者裝置與獲得裝置間通訊的認證的第二使用者裝置直接進行裝置間通訊,而不需透過該認證伺服器。
  2. 如申請專利範圍第1項所述的系統,其中該通訊設備包括:通訊處理裝置,透過網路協定以與該第一使用者裝置進行通訊;以及裝置間通訊控制器,處理位於該通訊設備的通訊範圍內的裝置間通訊。
  3. 如申請專利範圍第1項所述的系統,在該第一使用者裝置獲得裝置間通訊的認證之後,該第一使用者裝置對該認證伺服器中的裝置間通訊控制器提出對該第二使用者裝置的裝置間通訊請求,該裝置間通訊控制器接收該裝置間通訊請求以產生裝置間主要金鑰信息(master key information),並將該裝置間主要金鑰信息分別傳送至該第一使用者裝置及該第二使用者裝置,以使該第一使用者裝置及該第二使用者裝置進行裝置間相互認證以及裝置間通訊。
  4. 如申請專利範圍第3項所述的系統,該第二使用者裝置在接收該裝置間主要金鑰信息後,決定是否與該第一使用者裝置通訊,並回傳通訊回應至該裝置間通訊控制器,該裝置間通訊控制器依據該通訊回應而決定是否同意該第一使用者裝置及該第二使用者裝置之間的裝置間通訊。
  5. 如申請專利範圍第4項所述的系統,當該第二使用者裝置的該通訊回應中同意與第一使用者裝置通訊時則進行該裝置間相互認證,其中該第一使用者裝置產生第一隨機值並依據該裝置間主要金鑰信息的主要金鑰以產生第一暫時金鑰(temporary key),第二使用者裝置產生第二隨機值並依據該裝置間主要金鑰信息的該主要金鑰計算第二暫時金鑰,該第一使用者裝置以及該第二使用者裝置相互傳送該第一暫時金鑰以及該第二暫時金鑰,並依據該裝置間主要金鑰信息的主要金鑰、該第一暫時金鑰以及該第二暫時金鑰來相互認證,以使該第一使用者裝置與該第二使用者裝置允許依據該裝置間主要金鑰信息進行裝置間通訊的加解密操作。
  6. 如申請專利範圍第5項所述的系統,其中該第一使用者裝置產生第一隨機值並依據該裝置間主要金鑰信息的主要金鑰以產生第一暫時金鑰(temporary key),並將該第一隨機值送至該第二使用者裝置;該第二使用者裝置產生第二隨機值並依據該裝置間主要金鑰信息的該主要金鑰計算第二暫時金鑰;該第二使用者裝置依據該第二暫時金鑰及該第一隨機值以計算第一中介值(intermediary value),並將該第一中介值與該第二隨機值傳送至該第一使用者裝置;該第一使用者裝置依據該第一暫時金鑰以及該第一隨機值以計算第二中介值,並判斷該第一中介值與該第二中介值是否相同; 若該第一及該第二中介值相同時,該第一使用者裝置依據該第一暫時金鑰及該第二隨機值以計算第三中介值,並將該第三中介值傳送至該第二使用者裝置;該第二使用者裝置依據該第二暫時金鑰及該第二隨機值以計算第四中介值,並判斷該第三中介值與該第四中介值是否相同;以及若第三中介值與該第四中介值相同時,則該第二使用者裝置允許該第一使用者裝置依據該裝置間主要金鑰信息進行裝置間通訊的加解密操作。
  7. 如申請專利範圍第3項所述的系統,其中該裝置間相互認證為,當該第一使用者裝置接收該裝置間主要金鑰信息但該第二使用者裝置並未具有該裝置間主要金鑰信息時,該第一使用者裝置產生第一隨機值,並將該第一隨機值以及該裝置間主要金鑰信息的主要金鑰傳送到該第二使用者裝置;該第二使用者裝置產生該第二隨機值並傳送到該第一使用者裝置,該第一使用者裝置以及該第二使用者裝置依據該裝置間主要金鑰信息的主要金鑰、該第一隨機值以及該第二隨機值來相互認證,以使該第一使用者裝置與該第二使用者裝置允許依據該裝置間主要金鑰信息進行裝置間通訊的加解密操作。
  8. 如申請專利範圍第7項所述的系統,其中該第一使用者裝置產生第一隨機值,並將該第一隨機值以及該裝置間主要金鑰信息的主要金鑰傳送到該第二使用者裝置; 該第二使用者裝置產生該第二隨機值,依據該第一隨機值以及該主要金鑰計算第一中介值,並將該第一中介值與該第二隨機值傳送至該第一使用者裝置;該第一使用者裝置依據該第一隨機值以及該主要金鑰以計算第二中介值,並判斷該第一中介值與該第二中介值是否相同;若該第一中介值與該第二中介值相同時,該第一使用者裝置依據該第二隨機值以及該主要金鑰以計算第三中介值,並將該第三中介值傳送至該第二使用者裝置;該第二使用者裝置依據該第二隨機值以及該主要金鑰以計算第四中介值,並判斷該第三中介值與該第四中介值是否相同;以及若該第三中介值與該第四中介值相同時,則該第二使用者裝置允許該第一使用者裝置依據該裝置間主要金鑰信息以進行裝置間通訊的加解密操作。並依據該裝置間主要金鑰信息的主要金鑰以產生第一暫時金鑰,並將該第一隨機值傳送至該第二使用者裝置;該第二使用者裝置產生第二隨機值並依據該裝置間主要金鑰信息的該主要金鑰計算一第二暫時金鑰;該第二使用者裝置依據該第二暫時金鑰及該第一隨機值以計算第一中介值,並將該第一中介值與該第二隨機值送至該第一使用者裝置;該第一使用者裝置依據該第一暫時金鑰以及該第一隨機值以 計算第二中介值,並判斷該第一中介值與該第二中介值是否相同;若該第一及該第二中介值相同時,該第一使用者裝置依據該第一暫時金鑰及該第二隨機值以計算第三中介值,並將該第三中介值傳送至該第二使用者裝置;該第二使用者裝置依據該第二暫時金鑰及該第二隨機值以計算第四中介值,並判斷該第三中介值與該第四中介值是否相同;以及若第三中介值與該第四中介值相同時,則該第二使用者裝置允許該第一使用者裝置依據該主要金鑰進行裝置間通訊的加解密操作。
  9. 如申請專利範圍第1項所述的系統,在該第一使用者裝置獲得裝置間通訊的認證之後,該第一使用者裝置與該第二使用者裝置對該認證伺服器中的裝置間通訊控制器提出相互的裝置間通訊請求,該裝置間通訊控制器接收該裝置間通訊請求以產生裝置間主要金鑰信息,並將該裝置間主要金鑰信息分別傳送至該第一使用者裝置及該第二使用者裝置,以使該第一使用者裝置及該第二使用者裝置進行裝置間相互認證以及裝置間通訊。
  10. 如申請專利範圍第9項所述的系統,其中該裝置間相互認證為,該第一使用者裝置產生第一隨機值並依據該裝置間主要金鑰信息的主要金鑰以產生第一暫時金鑰,第二使用者裝置產生第二隨機值並依據該裝置間主要金鑰信息的該主要金鑰計算第二暫時金鑰,該第一使用者裝置以及該第二使用者裝置相互傳送該 第一暫時金鑰以及該第二暫時金鑰,並依據該裝置間主要金鑰信息的主要金鑰、該第一暫時金鑰以及該第二暫時金鑰來相互認證,以使該第一使用者裝置與該第二使用者裝置允許依據該裝置間主要金鑰信息進行裝置間通訊的加解密操作。
  11. 如申請專利範圍第10項所述的系統,其中該第一使用者裝置產生第一隨機值並依據該裝置間主要金鑰信息的主要金鑰以產生第一暫時金鑰,並將該第一隨機值送至該第二使用者裝置;該第二使用者裝置產生第二隨機值並依據該裝置間主要金鑰信息的該主要金鑰計算一第二暫時金鑰;該第二使用者裝置依據該第二暫時金鑰及該第一隨機值以計算第一中介值,並將該第一中介值與該第二隨機值送至該第一使用者裝置;該第一使用者裝置依據該第一暫時金鑰以及該第一隨機值以計算第二中介值,並判斷該第一中介值與該第二中介值是否相同;若該第一及該第二中介值相同時,該第一使用者裝置依據該第一暫時金鑰及該第二隨機值以計算第三中介值,並將該第三中介值傳送至該第二使用者裝置;該第二使用者裝置依據該第二暫時金鑰及該第二隨機值以計算第四中介值,並判斷該第三中介值與該第四中介值是否相同;若第三中介值與該第四中介值相同時,則該第二使用者裝置允許該第一使用者裝置依據該裝置間主要金鑰信息進行裝置間通訊的加解密操作。
  12. 如申請專利範圍第1項所述的系統,其中該第一使用者裝置以及該第二使用者裝置在皆具有裝置間主要金鑰信息後進行該裝置間相互認證,該第一使用者裝置產生第一隨機值並依據該裝置間主要金鑰信息的主要金鑰以產生第一暫時金鑰,第二使用者裝置產生第二隨機值並依據該裝置間主要金鑰信息的該主要金鑰計算第二暫時金鑰,該第一使用者裝置以及該第二使用者裝置相互傳送該第一暫時金鑰以及該第二暫時金鑰,並依據該裝置間主要金鑰信息的主要金鑰、該第一暫時金鑰以及該第二暫時金鑰來相互認證,以使該第一使用者裝置與該第二使用者裝置允許依據該裝置間主要金鑰信息進行裝置間通訊的加解密操作。
  13. 如申請專利範圍第1項所述的系統,其中該第一使用者裝置及該第二使用者裝置進行裝置間通訊時,依據該裝置間主要金鑰信息中的金鑰索引(index)來重新產生裝置間通訊中所需的加密金鑰(Encryption key;EK)以及完整性金鑰(Integrity key;IK),並且第一使用者裝置及該第二使用者裝置採用新產生的加密金鑰以及完整性金鑰來進行裝置間通訊。
  14. 如申請專利範圍第1項所述的系統,其中該第一使用者裝置及該第二使用者裝置進行裝置間通訊時,該第一使用者裝置執行金鑰更新事件,對該第二使用者裝置提出金鑰索引更新請求,以使將該裝置間主要金鑰信息中的該金鑰索引增加一預定值,該第一使用者裝置及該第二使用者裝置依據該裝置間主要金鑰信息中增加後的金鑰索引來重新產生裝置間通訊中所需的加密 金鑰以及完整性金鑰,並且第一使用者裝置及該第二使用者裝置採用新產生的加密金鑰以及完整性金鑰來進行裝置間通訊。
  15. 一種裝置間通訊認證系統,包括:第一使用者裝置以及第二使用者裝置;以及認證伺服器,位於該第一使用者裝置以及該第二使用者裝置的通訊範圍內,其中該認證伺服器包括:通訊設備,透過網路協定以與該第一使用者裝置進行通訊並處理位於該通訊設備的通訊範圍內的裝置間通訊;以及管理單元以及認證單元,當該管理單元及該認證單元透過該通訊設備接收該第一使用者裝置發出的該連接請求後,該認證單元對該第一使用者裝置進行常規認證,當常規認證成功時,該認證單元依據常規認證結果產生第一認證金鑰並將該第一認證金鑰傳送至該管理單元,該管理單元依據該第一認證金鑰分別產生第一通訊金鑰以及第一傳輸金鑰以作為該伺服器金鑰,並將該伺服器金鑰傳送並儲存至該通訊設備;其中,當該第一使用者裝置及該第二使用者裝置分別發出裝置間通訊連接請求至該認證伺服器時,該認證伺服器對該第一及該第二使用者裝置進行常規認證並分別提供第一金鑰產生信息及第二金鑰產生信息至該第一及該第二使用者裝置,該認證伺服器依據該第一及第二金鑰產生信息以及金鑰衍生程序以產生伺服器金鑰,以及 該認證伺服器將該伺服器金鑰分別傳送至該第一及該第二使用者裝置,以使該第一及該第二使用者裝置獲得裝置間通訊的認證並直接進行裝置間通訊,而不需透過該認證伺服器。
  16. 如申請專利範圍第15項所述的系統,其中當該第一使用者裝置發出連接請求至該認證伺服器時,該認證伺服器對該第一使用者裝置進行常規認證並提供金鑰產生信息至該第一使用者裝置該認證伺服器依據該金鑰產生信息以及金鑰衍生程序以產生伺服器金鑰,以及,該第一使用者裝置依據該金鑰產生信息以及該金鑰衍生程序產生裝置金鑰,以獲得裝置間通訊的認證,使該第一使用者裝置與獲得裝置間通訊的認證的第二使用者裝置直接進行裝置間通訊,而不需透過該認證伺服器。
  17. 如申請專利範圍第16項所述的系統,其中該通訊設備包括:通訊處理裝置,透過網路協定以與該第一使用者裝置進行通訊;以及裝置間通訊控制器,處理位於該通訊設備的通訊範圍內的裝置間通訊。
  18. 如申請專利範圍第15項所述的系統,在該第一使用者裝置獲得裝置間通訊的認證之後,該第一使用者裝置對該認證伺服器中的裝置間通訊控制器提出對該第二使用者裝置的裝置間通訊請求,該裝置間通訊控制器接收該裝置間通訊請求以產生裝置間主要金鑰信息,並將該裝置間主要金鑰信息分別傳送至該第一使 用者裝置及該第二使用者裝置,以使該第一使用者裝置及該第二使用者裝置進行裝置間相互認證以及裝置間通訊。
  19. 如申請專利範圍第18項所述的系統,該第二使用者裝置在接收該裝置間主要金鑰信息後,決定是否與該第一使用者裝置通訊,並回傳通訊回應至該裝置間通訊控制器,該裝置間通訊控制器依據該通訊回應而決定是否同意該第一使用者裝置及該第二使用者裝置之間的裝置間通訊。
  20. 如申請專利範圍第19項所述的系統,當該第二使用者裝置的該通訊回應中同意與第一使用者裝置通訊時則進行該裝置間相互認證,其中該第一使用者裝置產生第一隨機值並依據該裝置間主要金鑰信息的主要金鑰以產生第一暫時金鑰(temporary key),第二使用者裝置產生第二隨機值並依據該裝置間主要金鑰信息的該主要金鑰計算第二暫時金鑰,該第一使用者裝置以及該第二使用者裝置相互傳送該第一暫時金鑰以及該第二暫時金鑰,並依據該裝置間主要金鑰信息的主要金鑰、該第一暫時金鑰以及該第二暫時金鑰來相互認證,以使該第一使用者裝置與該第二使用者裝置允許依據該裝置間主要金鑰信息進行裝置間通訊的加解密操作。
  21. 如申請專利範圍第20項所述的系統,其中該第一使用者裝置產生第一隨機值並依據該裝置間主要金鑰信息的主要金鑰以產生第一暫時金鑰,並將該第一隨機值送至該第二使用者裝置;該第二使用者裝置產生第二隨機值並依據該裝置間主要金鑰 信息的該主要金鑰計算一第二暫時金鑰;該第二使用者裝置依據該第二暫時金鑰及該第一隨機值以計算第一中介值,並將該第一中介值與該第二隨機值送至該第一使用者裝置;該第一使用者裝置依據該第一暫時金鑰以及該第一隨機值以計算第二中介值,並判斷該第一中介值與該第二中介值是否相同;若該第一及該第二中介值相同時,該第一使用者裝置依據該第一暫時金鑰及該第二隨機值以計算第三中介值,並將該第三中介值傳送至該第二使用者裝置;該第二使用者裝置依據該第二暫時金鑰及該第二隨機值以計算第四中介值,並判斷該第三中介值與該第四中介值是否相同;以及若第三中介值與該第四中介值相同時,則該第二使用者裝置允許該第一使用者裝置依據該裝置間主要金鑰信息進行裝置間通訊的加解密操作。
  22. 如申請專利範圍第18項所述的系統,其中該裝置間相互認證為,當該第一使用者裝置接收該裝置間主要金鑰信息但該第二使用者裝置並未具有該裝置間主要金鑰信息時,該第一使用者裝置產生第一隨機值,並將該第一隨機值以及該裝置間主要金鑰信息的主要金鑰傳送到該第二使用者裝置;該第二使用者裝置產生該第二隨機值並傳送到該第一使用者裝置,該第一使用者裝置以及該第二使用者裝置依據該裝置間主要金鑰信息的主要金鑰、 該第一隨機值以及該第二隨機值來相互認證,以使該第一使用者裝置與該第二使用者裝置允許依據該裝置間主要金鑰信息進行裝置間通訊的加解密操作。
  23. 如申請專利範圍第22項所述的系統,其中該第一使用者裝置產生第一隨機值,並將該第一隨機值以及該裝置間主要金鑰信息的主要金鑰傳送到該第二使用者裝置;該第二使用者裝置產生該第二隨機值,依據該第一隨機值以及該主要金鑰計算第一中介值,並將該第一中介值與該第二隨機值傳送至該第一使用者裝置;該第一使用者裝置依據該第一隨機值以及該主要金鑰以計算第二中介值,並判斷該第一中介值與該第二中介值是否相同;若該第一中介值與該第二中介值相同時,該第一使用者裝置依據該第二隨機值以及該主要金鑰以計算第三中介值,並將該第三中介值傳送至該第二使用者裝置;該第二使用者裝置依據該第二隨機值以及該主要金鑰以計算第四中介值,並判斷該第三中介值與該第四中介值是否相同;以及若該第三中介值與該第四中介值相同時,則該第二使用者裝置允許該第一使用者裝置依據該裝置間主要金鑰信息以進行裝置間通訊的加解密操作。並依據該裝置間主要金鑰信息的主要金鑰以產生第一暫時金鑰,並將該第一隨機值傳送至該第二使用者裝置; 該第二使用者裝置產生第二隨機值並依據該裝置間主要金鑰信息的該主要金鑰計算一第二暫時金鑰;該第二使用者裝置依據該第二暫時金鑰及該第一隨機值以計算第一中介值,並將該第一中介值與該第二隨機值送至該第一使用者裝置;該第一使用者裝置依據該第一暫時金鑰以及該第一隨機值以計算第二中介值,並判斷該第一中介值與該第二中介值是否相同;若該第一及該第二中介值相同時,該第一使用者裝置依據該第一暫時金鑰及該第二隨機值以計算第三中介值,並將該第三中介值傳送至該第二使用者裝置;該第二使用者裝置依據該第二暫時金鑰及該第二隨機值以計算第四中介值,並判斷該第三中介值與該第四中介值是否相同;以及若第三中介值與該第四中介值相同時,則該第二使用者裝置允許該第一使用者裝置依據該主要金鑰進行裝置間通訊的加解密操作。
  24. 如申請專利範圍第15項所述的系統,在該第一使用者裝置獲得裝置間通訊的認證之後,該第一使用者裝置與該第二使用者裝置對該認證伺服器中的裝置間通訊控制器提出相互的裝置間通訊請求,該裝置間通訊控制器接收該裝置間通訊請求以產生裝置間主要金鑰信息,並將該裝置間主要金鑰信息分別傳送至該第一使用者裝置及該第二使用者裝置,以使該第一使用者裝置及該 第二使用者裝置進行裝置間相互認證以及裝置間通訊。
  25. 如申請專利範圍第24項所述的系統,其中該裝置間相互認證為,該第一使用者裝置產生第一隨機值並依據該裝置間主要金鑰信息的主要金鑰以產生第一暫時金鑰,第二使用者裝置產生第二隨機值並依據該裝置間主要金鑰信息的該主要金鑰計算第二暫時金鑰,該第一使用者裝置以及該第二使用者裝置相互傳送該第一暫時金鑰以及該第二暫時金鑰,並依據該裝置間主要金鑰信息的主要金鑰、該第一暫時金鑰以及該第二暫時金鑰來相互認證,以使該第一使用者裝置與該第二使用者裝置允許依據該裝置間主要金鑰信息進行裝置間通訊的加解密操作。
  26. 如申請專利範圍第15項所述的系統,其中該第一使用者裝置以及該第二使用者裝置在皆具有裝置間主要金鑰信息後進行該裝置間相互認證,該第一使用者裝置產生第一隨機值並依據該裝置間主要金鑰信息的主要金鑰以產生第一暫時金鑰,第二使用者裝置產生第二隨機值並依據該裝置間主要金鑰信息的該主要金鑰計算第二暫時金鑰,該第一使用者裝置以及該第二使用者裝置相互傳送該第一暫時金鑰以及該第二暫時金鑰,並依據該裝置間主要金鑰信息的主要金鑰、該第一暫時金鑰以及該第二暫時金鑰來相互認證,以使該第一使用者裝置與該第二使用者裝置允許依據該裝置間主要金鑰信息進行裝置間通訊的加解密操作。
  27. 如申請專利範圍第15項所述的系統,其中該第一使用者裝置及該第二使用者裝置進行裝置間通訊時,依據該裝置間主要 金鑰信息中的金鑰索引(index)來重新產生裝置間通訊中所需的加密金鑰(Encryption key;EK)以及完整性金鑰(Integrity key;IK),並且第一使用者裝置及該第二使用者裝置採用新產生的加密金鑰以及完整性金鑰來進行裝置間通訊。
  28. 如申請專利範圍第15項所述的系統,其中該第一使用者裝置及該第二使用者裝置進行裝置間通訊時,該第一使用者裝置執行金鑰更新事件,對該第二使用者裝置提出金鑰索引更新請求,以使將該裝置間主要金鑰信息中的該金鑰索引增加一預定值,該第一使用者裝置及該第二使用者裝置依據該裝置間主要金鑰信息中增加後的金鑰索引來重新產生裝置間通訊中所需的加密金鑰以及完整性金鑰,並且第一使用者裝置及該第二使用者裝置採用新產生的加密金鑰以及完整性金鑰來進行裝置間通訊。
  29. 一種裝置間通訊及認證方法,適用於該通訊系統中的第一使用者裝置,其中該通訊系統還包括認證伺服器以及第二使用者裝置,該認證方法包括:發出連接請求至該認證伺服器;該認證伺服器對該第一使用者裝置進行常規認證並提供金鑰產生信息,且該認證伺服器依據該金鑰產生信息以及金鑰衍生程序以產生伺服器金鑰;以及依據該金鑰產生信息以及該金鑰衍生程序產生裝置金鑰,以獲得裝置間通訊的認證,使該第一使用者裝置與獲得裝置間通訊的認證的第二使用者裝置直接進行裝置間通訊,而不需透過該認 證伺服器,其中該認證伺服器包括:通訊設備,透過網路協定以與該第一使用者裝置進行通訊並處理位於該通訊設備的通訊範圍內的裝置間通訊;以及管理單元以及認證單元,當該管理單元及該認證單元透過該通訊設備接收該第一使用者裝置發出的該連接請求後,該認證單元對該第一使用者裝置進行常規認證,當常規認證成功時,該認證單元依據常規認證結果產生第一認證金鑰並將該第一認證金鑰傳送至該管理單元,該管理單元依據該第一認證金鑰分別產生第一通訊金鑰以及第一傳輸金鑰以作為該伺服器金鑰,並將該伺服器金鑰傳送並儲存至該通訊設備。
  30. 如申請專利範圍第29項所述的方法,在該第一使用者裝置獲得裝置間通訊的認證之後更包括:對該認證伺服器中的裝置間通訊控制器提出對該第二使用者裝置的裝置間通訊請求;以及從該裝置間通訊控制器接收由該裝置間通訊控制器產生的該裝置間主要金鑰信息,以使該第一使用者裝置及該第二使用者裝置利用該裝置間主要金鑰信息進行裝置間相互認證以及裝置間通訊。
  31. 如申請專利範圍第29項所述的方法,利用該裝置間主要金鑰信息進行裝置間相互認證包括下列步驟:接收從該裝置間通訊控制器依據由第二使用者裝置所決定是否與該第一使用者裝置通訊的通訊回應;以及 依據該通訊回應而決定是否進行該第一以及該第二使用者裝置之間的該裝置間相互認證。
  32. 如申請專利範圍第29項所述的方法,進行該第一以及該第二使用者裝置之間的該裝置間相互認證更包括下列步驟:產生第一隨機值並依據該裝置間主要金鑰信息的主要金鑰以產生第一暫時金鑰,並將該第一隨機值送至該第二使用者裝置;接收從該第二使用者裝置產生的第二隨機值以及第一中介值,其中該第一中介值是該第二使用者裝置依據第二暫時金鑰及該第一隨機值而計算產生,該第二暫時金鑰是該第二使用者裝置依據該裝置間主要金鑰信息的該主要金鑰而計算產生;依據該第一暫時金鑰以及該第一隨機值以計算第二中介值,並判斷該第一中介值與該第二中介值是否相同;若該第一及該第二中介值相同時,依據該第一暫時金鑰及該第二隨機值以計算第三中介值,並將該第三中介值傳送至該第二使用者裝置;以及該第二使用者裝置依據該第二暫時金鑰及該第二隨機值以計算第四中介值,並在判斷該第三中介值與該第四中介值相同時,該第二使用者裝置允許該第一使用者裝置依據該裝置間主要金鑰信息進行裝置間通訊的加解密操作。
  33. 如申請專利範圍第29項所述的方法,利用該裝置間主要金鑰信息進行裝置間相互認證包括下列步驟:當該第一使用者裝置接收該裝置間主要金鑰信息但該第二使 用者裝置並未具有該裝置間主要金鑰信息時,產生第一隨機值,並將該第一隨機值以及該裝置間主要金鑰信息的主要金鑰傳送到該第二使用者裝置;接收從該該第二使用者裝置產生的第二隨機值以及第一中介值,其中該第一中介值是該第二使用者裝置依據第二暫時金鑰及該第一隨機值而計算產生,該第二暫時金鑰是該第二使用者裝置依據該裝置間主要金鑰信息的該主要金鑰而計算產生;依據該第一暫時金鑰以及該第一隨機值以計算第二中介值,並判斷該第一中介值與該第二中介值是否相同;若該第一及該第二中介值相同時,依據該第一暫時金鑰及該第二隨機值以計算第三中介值,並將該第三中介值傳送至該第二使用者裝置;以及該第二使用者裝置依據該第二暫時金鑰及該第二隨機值以計算第四中介值,並在判斷該第三中介值與該第四中介值相同時,該第二使用者裝置允許該第一使用者裝置依據該裝置間主要金鑰信息進行裝置間通訊的加解密操作。
  34. 一種裝置間通訊的認證方法,適用於該通訊系統中的認證伺服器,其中該通訊系統還包括第一使用者裝置以及第二使用者裝置,該認證方法包括:接收從該第一使用者裝置發出的連接請求;對該第一使用者裝置進行常規認證並提供金鑰產生信息至該第一使用者裝置;依據該金鑰產生信息以及金鑰衍生程序以產生伺服器金鑰; 以及該第一使用者裝置依據該金鑰產生信息以及該金鑰衍生程序產生裝置金鑰,以獲得裝置間通訊的認證,使該第一使用者裝置與獲得裝置間通訊的認證的第二使用者裝置直接進行裝置間通訊,而不需透過該認證伺服器,其中該認證伺服器包括:通訊設備,透過網路協定以與該第一使用者裝置進行通訊並處理位於該通訊設備的通訊範圍內的裝置間通訊;以及管理單元以及認證單元,當該管理單元及該認證單元透過該通訊設備接收該第一使用者裝置發出的該連接請求後,該認證單元對該第一使用者裝置進行常規認證,當常規認證成功時,該認證單元依據常規認證結果產生第一認證金鑰並將該第一認證金鑰傳送至該管理單元,該管理單元依據該第一認證金鑰分別產生第一通訊金鑰以及第一傳輸金鑰以作為該伺服器金鑰,並將該伺服器金鑰傳送並儲存至該通訊設備。
  35. 一種裝置間通訊的認證系統,包括:第一使用者裝置;認證伺服器,位於該第一使用者裝置的通訊範圍內,其中該認證伺服器包括:通訊設備,透過網路協定以與該第一使用者裝置進行通訊並處理位於該通訊設備的通訊範圍內的裝置間通訊;以及管理單元以及認證單元,當該管理單元及該認證單元透 過該通訊設備接收該第一使用者裝置發出的該連接請求後,該認證單元對該第一使用者裝置進行常規認證,當常規認證成功時,該認證單元依據常規認證結果產生第一認證金鑰並將該第一認證金鑰傳送至該管理單元,該管理單元依據該第一認證金鑰產生第一通訊金鑰,並將該第一通訊金鑰傳送至該通訊設備,該通訊設備儲存該第一通訊金鑰並依據該第一通訊金鑰以產生第一傳輸金鑰,其中該第一通訊金鑰以及該第一傳輸金鑰稱為該伺服器金鑰;其中,當該第一使用者裝置發出連接請求至該認證伺服器時,該認證伺服器對該第一使用者裝置進行常規認證並提供金鑰產生信息至該第一使用者裝置,該認證伺服器依據該金鑰產生信息以及金鑰衍生(key derivation)程序以產生伺服器金鑰,以及該第一使用者裝置依據該金鑰產生信息以及該金鑰衍生程序產生裝置金鑰,以獲得裝置間通訊的認證,使該第一使用者裝置與獲得裝置間通訊的認證的第二使用者裝置直接進行裝置間通訊,而不需透過該認證伺服器。
  36. 一種裝置間通訊認證系統,包括:第一使用者裝置以及第二使用者裝置;以及認證伺服器,位於該第一使用者裝置以及該第二使用者裝置的通訊範圍內,其中該認證伺服器包括:通訊設備,透過網路協定以與該第一使用者裝置進行通 訊並處理位於該通訊設備的通訊範圍內的裝置間通訊;以及管理單元以及認證單元,當該管理單元及該認證單元透過該通訊設備接收該第一使用者裝置發出的該連接請求後,該認證單元對該第一使用者裝置進行常規認證,當常規認證成功時,該認證單元依據常規認證結果產生第一認證金鑰並將該第一認證金鑰傳送至該管理單元,該管理單元依據該第一認證金鑰產生第一通訊金鑰,並將該第一通訊金鑰傳送至該通訊設備,該通訊設備儲存該第一通訊金鑰並依據該第一通訊金鑰以產生第一傳輸金鑰,其中該第一通訊金鑰以及該第一傳輸金鑰稱為該伺服器金鑰,其中,當該第一使用者裝置及該第二使用者裝置分別發出裝置間通訊連接請求至該認證伺服器時,該認證伺服器對該第一及該第二使用者裝置進行常規認證並分別提供第一金鑰產生信息及第二金鑰產生信息至該第一及該第二使用者裝置,該認證伺服器依據該第一及第二金鑰產生信息以及金鑰衍生程序以產生伺服器金鑰,以及該認證伺服器將該伺服器金鑰分別傳送至該第一及該第二使用者裝置,以使該第一及該第二使用者裝置獲得裝置間通訊的認證並直接進行裝置間通訊,而不需透過該認證伺服器。
  37. 一種裝置間通訊及認證方法,適用於該通訊系統中的第一使用者裝置,其中該通訊系統還包括認證伺服器以及第二使用者裝置,該認證方法包括: 發出連接請求至該認證伺服器;該認證伺服器對該第一使用者裝置進行常規認證並提供金鑰產生信息,且該認證伺服器依據該金鑰產生信息以及金鑰衍生程序以產生伺服器金鑰;以及依據該金鑰產生信息以及該金鑰衍生程序產生裝置金鑰,以獲得裝置間通訊的認證,使該第一使用者裝置與獲得裝置間通訊的認證的第二使用者裝置直接進行裝置間通訊,而不需透過該認證伺服器,其中該認證伺服器包括:通訊設備,透過網路協定以與該第一使用者裝置進行通訊並處理位於該通訊設備的通訊範圍內的裝置間通訊;管理單元以及認證單元,當該管理單元及該認證單元透過該通訊設備接收該第一使用者裝置發出的該連接請求後,該認證單元對該第一使用者裝置進行常規認證;當常規認證成功時,該認證單元依據常規認證結果產生第一認證金鑰並將該第一認證金鑰傳送至該管理單元,該管理單元依據該第一認證金鑰產生第一通訊金鑰,並將該第一通訊金鑰傳送至該通訊設備,該通訊設備儲存該第一通訊金鑰並依據該第一通訊金鑰以產生第一傳輸金鑰,其中該第一通訊金鑰以及該第一傳輸金鑰稱為該伺服器金鑰。
  38. 一種裝置間通訊的認證方法,適用於該通訊系統中的認證伺服器,其中該通訊系統還包括第一使用者裝置以及第二使用 者裝置,該認證方法包括:接收從該第一使用者裝置發出的連接請求;對該第一使用者裝置進行常規認證並提供金鑰產生信息至該第一使用者裝置;依據該金鑰產生信息以及金鑰衍生程序以產生伺服器金鑰;以及該第一使用者裝置依據該金鑰產生信息以及該金鑰衍生程序產生裝置金鑰,以獲得裝置間通訊的認證,使該第一使用者裝置與獲得裝置間通訊的認證的第二使用者裝置直接進行裝置間通訊,而不需透過該認證伺服器,其中該認證伺服器包括:通訊設備,透過網路協定以與該第一使用者裝置進行通訊並處理位於該通訊設備的通訊範圍內的裝置間通訊;管理單元以及認證單元,當該管理單元及該認證單元透過該通訊設備接收該第一使用者裝置發出的該連接請求後,該認證單元對該第一使用者裝置進行常規認證;當常規認證成功時,該認證單元依據常規認證結果產生第一認證金鑰並將該第一認證金鑰傳送至該管理單元,該管理單元依據該第一認證金鑰產生第一通訊金鑰,並將該第一通訊金鑰傳送至該通訊設備,該通訊設備儲存該第一通訊金鑰並依據該第一通訊金鑰以產生第一傳輸金鑰,其中該第一通訊金鑰以及該第一傳輸金鑰稱為該伺服器金鑰。
TW102116114A 2012-05-07 2013-05-06 裝置間通訊的認證系統及認證方法 TWI524807B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US13/888,380 US9232391B2 (en) 2012-05-07 2013-05-07 Authentication system for device-to-device communication and authentication method therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US201261643383P 2012-05-07 2012-05-07

Publications (2)

Publication Number Publication Date
TW201347594A TW201347594A (zh) 2013-11-16
TWI524807B true TWI524807B (zh) 2016-03-01

Family

ID=48747292

Family Applications (1)

Application Number Title Priority Date Filing Date
TW102116114A TWI524807B (zh) 2012-05-07 2013-05-06 裝置間通訊的認證系統及認證方法

Country Status (3)

Country Link
EP (1) EP2663051A1 (zh)
CN (1) CN103391545B (zh)
TW (1) TWI524807B (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3014945B1 (en) * 2013-06-25 2019-09-11 Nokia Technologies Oy Device to device communication security
US9432186B2 (en) 2014-01-13 2016-08-30 Mxtran Inc. Password-based key derivation without changing key
GB201403217D0 (en) * 2014-02-24 2014-04-09 Mobbu Ltd Authenticating communications
US10462660B2 (en) 2014-05-12 2019-10-29 Nokia Technologies Oy Method, network element, user equipment and system for securing device-to-device communication in a wireless network
SE538279C2 (sv) 2014-09-23 2016-04-19 Kelisec Ab Förfarande och system för att fastställa förekomst av
SE539271C2 (en) 2014-10-09 2017-06-07 Kelisec Ab Mutual authentication
SE539602C2 (en) 2014-10-09 2017-10-17 Kelisec Ab Generating a symmetric encryption key
SE542460C2 (en) 2014-10-09 2020-05-12 Kelisec Ab Improved security through authenticaton tokens
SE540133C2 (en) * 2014-10-09 2018-04-10 Kelisec Ab Improved system for establishing a secure communication channel
SE538304C2 (sv) 2014-10-09 2016-05-03 Kelisec Ab Improved installation of a terminal in a secure system
CN105592433B (zh) * 2014-10-20 2019-12-17 中兴通讯股份有限公司 设备到设备限制发现业务广播、监听方法、装置及系统
EP3216250B1 (en) * 2014-11-06 2021-03-10 Samsung Electronics Co., Ltd. Bootstrapping wi-fi direct communication by a trusted network entity
CN104796399B (zh) * 2015-01-08 2017-09-19 北京思普崚技术有限公司 一种数据加密传输的密钥协商方法
CN104796398B (zh) * 2015-01-08 2017-09-19 北京思普崚技术有限公司 一种服务器主导的客户端鉴权的方法
CN104661217A (zh) * 2015-02-09 2015-05-27 哈尔滨工业大学深圳研究生院 基于td-lte网络的鉴权和密钥衍生方法及系统
US9893894B2 (en) * 2015-03-13 2018-02-13 Intel IP Corporation Systems, methods, and devices for secure device-to-device discovery and communication
CN105578457B (zh) * 2015-05-06 2019-04-12 宇龙计算机通信科技(深圳)有限公司 一种终端认证方法、管理终端及申请终端
TWI580224B (zh) * 2015-06-24 2017-04-21 財團法人工業技術研究院 延後認證用戶設備的方法、控制器及網路系統
CN109905877B (zh) * 2017-12-08 2020-11-10 大唐移动通信设备有限公司 通信网络系统的消息验证方法、通信方法和通信网络系统
CN112040486A (zh) * 2020-08-19 2020-12-04 广东以诺通讯有限公司 一种基于5gd2d业务的安全直连通信方法及终端

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7974234B2 (en) * 2004-10-22 2011-07-05 Alcatel Lucent Method of authenticating a mobile network node in establishing a peer-to-peer secure context between a pair of communicating mobile network nodes
US8548467B2 (en) * 2008-09-12 2013-10-01 Qualcomm Incorporated Ticket-based configuration parameters validation
EP2386170A2 (en) * 2008-12-17 2011-11-16 Interdigital Patent Holdings, Inc. Enhanced security for direct link communications

Also Published As

Publication number Publication date
CN103391545B (zh) 2016-12-28
TW201347594A (zh) 2013-11-16
CN103391545A (zh) 2013-11-13
EP2663051A1 (en) 2013-11-13

Similar Documents

Publication Publication Date Title
TWI524807B (zh) 裝置間通訊的認證系統及認證方法
JP6877524B2 (ja) ワイヤレス通信のための装置および方法
US9232391B2 (en) Authentication system for device-to-device communication and authentication method therefor
US20180220364A1 (en) Access method, device and system for user equipment (ue)
US9467432B2 (en) Method and device for generating local interface key
WO2019019736A1 (zh) 安全实现方法、相关装置以及系统
CN101931955B (zh) 认证方法、装置及系统
EP1982547B1 (en) Method and system for recursive authentication in a mobile network
CN109922474B (zh) 触发网络鉴权的方法及相关设备
AU2020200523B2 (en) Methods and arrangements for authenticating a communication device
US20170041786A1 (en) Device and method in wireless communication system and wireless communication system
WO2012174959A1 (zh) 一种机器到机器通信中组认证的方法、系统及网关
JP2016519873A (ja) 汎用ブートストラッピングアーキテクチャを用いてセキュアな音声通信を確立する方法
WO2019122495A1 (en) Authentication for wireless communications system
EP1811719A1 (en) Internetwork key sharing
WO2018014630A1 (zh) 一种网络认证方法、相关设备及系统
CN102685742B (zh) 一种wlan接入认证方法和装置
KR20230172603A (ko) 온 디맨드 네트워크에서의 프로비저닝, 인증, 인가, 그리고 사용자 장비(ue) 키 생성 및 분배를 위한 방법 및 장치
EP4203392A1 (en) Authentication support for an electronic device to connect to a telecommunications network
Hwang Jr et al. A Secure Inter-Domain Handover Authentication Scheme for Wireless Network