通信系統(tǒng)中的密鑰生成的制作方法
【專利摘要】本發(fā)明涉及通信系統(tǒng)中的密鑰生成���。通信系統(tǒng)生成主階段密鑰(MSK)�����,用于到不提供對話務(wù)加密的系統(tǒng)實(shí)體的接入�����。本地服務(wù)器和用戶都生成相同的MSK��。所述MSK被用于為話務(wù)生成加密密鑰�����。在一個實(shí)施例中���,使用哈希函數(shù)和對于所述請求者的特定信息來生成MSK�。所述本地服務(wù)器根據(jù)接入請求消息所包含的信息來確定生成MSK的需要�����。一旦生成MSK���,它被提供給系統(tǒng)實(shí)體�,使得該實(shí)體能夠加密通信����。
【專利說明】通信系統(tǒng)中的密鑰生成
[0001]本申請是申請日為2003年6月20日申請?zhí)枮榈?3819297.7號發(fā)明名稱為“通信系統(tǒng)中的密鑰生成”的中國專利申請的分案申請。
[0002]背景
[0003]領(lǐng)域
[0004]本發(fā)明涉及用于通信系統(tǒng)的交互工作功能�����,尤其涉及在無線局域網(wǎng)(WLAN)中使用的經(jīng)由交互工作功能的通用認(rèn)證和密鑰交換的機(jī)制��。
[0005]背景
[0006]無線局域網(wǎng)(WLAN)允許用戶可以實(shí)際上不受限制地使用Internet協(xié)議(IP)服務(wù)和數(shù)據(jù)網(wǎng)絡(luò)����。對WLAN的使用不僅限于膝上型計(jì)算機(jī)和其它計(jì)算設(shè)備�,而是迅速地?cái)U(kuò)展到蜂窩電話����、個人數(shù)字助理(PDA)和其它由外部網(wǎng)絡(luò)或載體支持的小型無線設(shè)備�。例如,在網(wǎng)吧或工作區(qū)中�����,經(jīng)由蜂窩載體通信的無線設(shè)備會漫游到WLAN中����。在這種情況下,無線設(shè)備有權(quán)接入蜂窩系統(tǒng)�����,但期望訪問WLAN�。WLAN訪問要求認(rèn)證。由于無線設(shè)備已經(jīng)獲取了接入蜂窩系統(tǒng)的權(quán)力����,進(jìn)一步認(rèn)證的要求是多余的��。因此���,需要一種允許對蜂窩系統(tǒng)和WLAN的接入通用認(rèn)證的機(jī)制。而且�����,需要一種生成通信過程中使用的加密密鑰的通用機(jī)制�����。
【專利附圖】
【附圖說明】
[0007]圖1是包含高數(shù)據(jù)速率(HDR)或HDR類型網(wǎng)絡(luò)和無線局域網(wǎng)(WLAN)的通信系統(tǒng)���。
[0008]圖2是通信系統(tǒng)中認(rèn)證程序的時序圖���。
[0009]圖3是通信系統(tǒng)中認(rèn)證程序的時序圖。
[0010]圖4和5是接入請求消息格式��。
[0011]圖6是包含生成主階段密鑰(MSK)功能的無線裝置�。
【具體實(shí)施方式】
[0012]本發(fā)明使用“示例性” 一詞意指“充當(dāng)示例、實(shí)例或說明”���。這里描述為“示例性”的任何實(shí)施例都不必被理解為比其它實(shí)施例更為優(yōu)選或有利���。
[0013]HDR訂戶站�����,這里被稱為接入終端(AT)�,可以是移動的或固定的�����,并且可以與一個或多個HDR基站通信��,這里被稱為調(diào)制解調(diào)器池收發(fā)機(jī)(MPT)����。接入終端通過一個或多個調(diào)制解調(diào)器池收發(fā)機(jī)發(fā)送和接收數(shù)據(jù)分組至HDR基站控制器���,這里被稱為調(diào)制解調(diào)器池控制器(MPC)�。調(diào)制解調(diào)器池收發(fā)機(jī)和調(diào)制解調(diào)器池控制器是網(wǎng)絡(luò)的部分�,被稱為接入網(wǎng)絡(luò)。接入網(wǎng)絡(luò)在多個接入終端之間傳輸數(shù)據(jù)分組��。接入網(wǎng)絡(luò)可以進(jìn)一步連接到該接入網(wǎng)絡(luò)之外的另外的網(wǎng)絡(luò),諸如公司內(nèi)部互聯(lián)網(wǎng)或因特網(wǎng)���,并且可以在每個接入終端和這樣的外部網(wǎng)絡(luò)之間傳輸數(shù)據(jù)分組�。與一個或多個調(diào)制解調(diào)器池收發(fā)機(jī)建立起活動話務(wù)信道連接的接入終端被稱為活動接入終端����,并且被稱為處于話務(wù)狀態(tài)。在與一個或多個調(diào)制解調(diào)器池收發(fā)機(jī)建立活動話務(wù)信道連接的過程中的接入終端被稱為處于連接建立狀態(tài)����。接入終端可以是任何通過無線信道或通過諸如使用光纖或同軸電纜等有線信道通信的數(shù)據(jù)設(shè)備。此外�,接入終端可以是多種類型的設(shè)備中的任何一種,所述多種類型的設(shè)備包括但不限于PC卡�、緊湊式閃存、外置或內(nèi)置調(diào)制解調(diào)器����,或無線或有線電話。接入終端將信號發(fā)送至調(diào)制解調(diào)器池收發(fā)機(jī)所通過的通信鏈路被稱為反向鏈路�。調(diào)制解調(diào)器池收發(fā)機(jī)將信號發(fā)送至接入終端所通過的通信鏈路被稱為前向鏈路。
[0014]圖1示出了含有帶有多個接入點(diǎn)(AP)的無線局域網(wǎng)(WLAN) 104的通信系統(tǒng)��。AP是集線器或橋��,提供對WLAN104的無線方面的星型拓?fù)淇刂坪蛯τ芯€網(wǎng)絡(luò)的接入。
[0015]每個AP110�,同其它未示出的一樣,支持到數(shù)據(jù)服務(wù)的連接����,諸如因特網(wǎng)。MS102���,諸如膝上型計(jì)算機(jī)或其它數(shù)字計(jì)算設(shè)備�����,經(jīng)由無線電接口與AP通信,由此得出術(shù)語無線LAN����。AP接著與認(rèn)證服務(wù)器(AS)或認(rèn)證中心(AC)通信。AC是為請求準(zhǔn)入網(wǎng)絡(luò)的設(shè)備執(zhí)行認(rèn)證服務(wù)的組件���。實(shí)施包括遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS)和其它認(rèn)證授權(quán)計(jì)費(fèi)(AAA)服務(wù)器�����,所述 RADIUS 是 RFC2138 中���,C.Rigney et al.的 “Remote Authenticat1n DialIn User Service (RADIUS) ”(于1997年4月出版)中所描述的因特網(wǎng)用戶認(rèn)證���。
[0016]無線連網(wǎng)成為了網(wǎng)絡(luò)互連的重要方面?��;跓o線網(wǎng)絡(luò)的唯一界限就是無線電信號強(qiáng)度的事實(shí)���,它呈現(xiàn)出一組獨(dú)特的問題。沒有線路來定義網(wǎng)絡(luò)中的成員資格�。沒有物理方法來限制無線電范圍內(nèi)的系統(tǒng)成為無限網(wǎng)絡(luò)的成員。無線連網(wǎng)��,更甚于任何其它的網(wǎng)絡(luò)技術(shù)�,需要一種認(rèn)證和接入控制機(jī)制。當(dāng)前���,各個團(tuán)體正致力于開發(fā)一種標(biāo)準(zhǔn)的認(rèn)證機(jī)制�。當(dāng)前�,公認(rèn)的標(biāo)準(zhǔn)是IEEE802.11。
[0017]基于RF的網(wǎng)絡(luò)的性質(zhì)使得它對于收發(fā)機(jī)范圍內(nèi)任何無線電的分組偵聽是開放的�����。通過使用高增益天線,偵聽可以在遠(yuǎn)遠(yuǎn)超過用戶“工作”范圍外發(fā)生���。使用容易的可用工具�,偷聽者不限于僅僅收集分組用于以后的分析����,而是可以實(shí)際上看到交互式會話,如同網(wǎng)頁被合法的無線用戶看到一樣���。偷聽者也可以抓住不牢靠的認(rèn)證交換�,如同一些網(wǎng)站登陸�����。之后����,該偷聽者可以復(fù)制該登陸并獲取接入���。
[0018]一旦攻擊者獲取了 WLAN如何控制準(zhǔn)入的消息�,他可以能夠靠自己獲取準(zhǔn)入該網(wǎng)絡(luò)或竊取合法用戶的接入����。如果攻擊者可以模擬合法用戶的MAC地址并使用分配給它的IP地址�����,竊取用戶的接入是簡單的���。攻擊者等待直至合法系統(tǒng)停止使用網(wǎng)絡(luò),接著接任網(wǎng)絡(luò)中所述合法系統(tǒng)的位置���。這將允許攻擊者直接接入網(wǎng)絡(luò)中所有的設(shè)備����,或使用該網(wǎng)絡(luò)來獲取到更廣闊的Internet的接入���,在所有的這些時候看上去是被攻擊網(wǎng)絡(luò)的合法用戶�����。因此����,在WLAN的實(shí)施中��,認(rèn)證和加密成為了主要關(guān)心的問題。
[0019]認(rèn)證是校驗(yàn)通信中個體或應(yīng)用程序身份的過程��。這樣的標(biāo)識使得服務(wù)供應(yīng)者可以驗(yàn)證實(shí)體為合法用戶�����,并且也可以為特定服務(wù)的請求驗(yàn)證用戶���。認(rèn)證和授權(quán)實(shí)際上具有非常特定的含義����,雖然這兩個名稱經(jīng)?���?山粨Q地使用,并且常常在實(shí)踐中不被清楚地區(qū)分��。
[0020]認(rèn)證是用戶為某一身份建立權(quán)利����,一一實(shí)際上是使用某個名稱的權(quán)力的過程�。有許多技術(shù)可被用于認(rèn)證用戶一一密碼、生物遺傳技術(shù)����、智能卡�、證書�。
[0021]名稱或身份具有與它相關(guān)聯(lián)的屬性。屬性會緊密地與名稱相關(guān)聯(lián)(例如���,在認(rèn)證凈載中)或者它們會被存儲在對應(yīng)于該名稱的密鑰下的目錄或其它數(shù)據(jù)庫中�����。屬性會隨著時間變化�。
[0022]授權(quán)是確定身份(加上與該身份相關(guān)聯(lián)的一組屬性)是否被允許執(zhí)行某些動作的過程��,所述某些動作諸如接入資源��。注意允許執(zhí)行一動作并不保證該動作可以被執(zhí)行�����。注意認(rèn)證和授權(quán)的決定可以由不同的實(shí)體在不同的點(diǎn)作出�����。
[0023]在蜂窩網(wǎng)絡(luò)中�,認(rèn)證特性是允許蜂窩網(wǎng)絡(luò)驗(yàn)證無線設(shè)備身份���,由此減少對蜂窩網(wǎng)絡(luò)未經(jīng)授權(quán)使用的網(wǎng)絡(luò)性能。該過程對訂戶是透明的���。用戶在打電話時無需做任何事來認(rèn)證他們電話的身份��。
[0024]認(rèn)證一般涉及密碼方案�,其中服務(wù)供應(yīng)商和用戶由一些共享的信息和一些私有的信息���。所述共享信息一般被稱為“共享密鑰(shared secret)”�����。
[0025]A 一密鑰
[0026]認(rèn)證密鑰(A—密鑰)是一秘密的值�,它對于每個個別的蜂窩電話是唯一的����。它在蜂窩服務(wù)供應(yīng)商處登記,并存儲在電話和認(rèn)證中心(AC)中����。A—密鑰由制造商編程到電話中。它也可以由用戶從無線設(shè)備菜單或銷售點(diǎn)的特定終端手動地輸入。
[0027]無線設(shè)備和AC必須具有相同的A—密鑰以作出相同的計(jì)算����。A—密鑰的主要功能是被用作計(jì)算共享密鑰數(shù)據(jù)(SSD)的參數(shù)����。
[0028]共享密鑰數(shù)據(jù)(SSD)
[0029]SSD被用作無線設(shè)備和AC中認(rèn)證計(jì)算的輸入,并被同時存儲在這兩個地方�。不同于A—密鑰,SSD可以通過網(wǎng)絡(luò)來修改���。AC和無線設(shè)備共享三個參與SSD計(jì)算的元素:I)電子序列號(ESN) �����;2)認(rèn)證密鑰(A—密鑰)����;以及3)用于共享密鑰數(shù)據(jù)計(jì)算的隨機(jī)數(shù)字(RANDSSD)�。
[0030]ESN和RANDSSN通過網(wǎng)絡(luò)和無線電接口發(fā)送。SSD在設(shè)備第一次系統(tǒng)接入時被更新���,并且在此后周期性地更新����。當(dāng)計(jì)算SSD時,結(jié)果是兩個分開的值�,SSD-A和SSD-B。SSD-A被用于認(rèn)證����,SSD-B被用于加密和語音保密。
[0031]根據(jù)服務(wù)系統(tǒng)的性能�,SSD在AC和服務(wù)移動交換中心(MSC)之間可以是共享的或不共享的。如果密鑰數(shù)據(jù)是共享的�,它意味著AC將把它發(fā)送到服務(wù)MSC,且該服務(wù)MSC必須能夠執(zhí)行CAVE�。如果它不是共享的,AC將保存該數(shù)據(jù)并執(zhí)行認(rèn)證��。
[0032]共享的類型影響到如何處理認(rèn)證詢問�。認(rèn)證詢問是被發(fā)送用于詢問無線設(shè)備身份的消息?�;旧?����,認(rèn)證詢問發(fā)送一些供用戶執(zhí)行的信息�,一般為隨機(jī)數(shù)字?jǐn)?shù)據(jù)���。接著,用戶處理該信息并發(fā)送響應(yīng)����。分析所述響應(yīng)以驗(yàn)證該用戶��。對于共享的密鑰數(shù)據(jù)�����,詢問在服務(wù)MSC處處理�。對于非共享的密鑰數(shù)據(jù),詢問由AC處理�。系統(tǒng)可以通過共享密鑰數(shù)據(jù)來最小化所發(fā)送話務(wù)的量,并允許詢問在服務(wù)交換處更快地發(fā)生�����。
[0033]認(rèn)證稈序
[0034]在給定的系統(tǒng)中��,歸屬位置寄存器(HLR)通過充當(dāng)MSC和AC之間的中介來控制認(rèn)證過程��。服務(wù)MSC被配置成用移動的HLR支持認(rèn)證��,反之亦然。
[0035]如果設(shè)備能夠認(rèn)證����,它通過在管理消息列中設(shè)置授權(quán)字段來通知服務(wù)MSC以開始該過程。在響應(yīng)中���,服務(wù)MSC使用認(rèn)證請求來開始注冊/認(rèn)證過程����。
[0036]通過發(fā)送認(rèn)證請求�����,服務(wù)MSC告訴HLR/AC它是否能夠做CAVE計(jì)算�。AC控制從那些可用的服務(wù)MSC中及設(shè)備性能中選擇哪些將被使用。當(dāng)服務(wù)MSC不具有CAVE性能時����,SSD不能在AC和MSC之間共享,由此所有的認(rèn)證過程都在AC中執(zhí)行�。
[0037]認(rèn)證請求(AUTHREQ)的目的是認(rèn)證電話和請求SSD。AUTHREQ包含兩個用于認(rèn)證的參數(shù)���,AUTHR和RAND參數(shù)�����。當(dāng)AC得到AUTHREQ時�����,它使用RAND和上次已知的SSD來計(jì)算AUTHR���。如果它符合在AUTHREQ中發(fā)送的AUTHR,那么認(rèn)證是成功的����。如果SSD可以被共享,返回到AUTHREQ的結(jié)果中將包含SSD�。
[0038]詢問
[0039]認(rèn)證過程由詢問和響應(yīng)會話組成。如果SSD被共享����,會話在MSC和設(shè)備之間運(yùn)行。如果SSD不被共享���,會話在HLR/AC和設(shè)備之間運(yùn)行��。根據(jù)交換類型�,MSC會能夠作唯一詢問、總體詢問或兩者兼有�。當(dāng)前,一些MSC不能夠作全體詢問���。唯一詢問是只在呼叫嘗試期間才發(fā)生的詢問��,因?yàn)樗褂靡纛l信道���。唯一詢問在呼叫開始和呼叫遞送期間向單個設(shè)備出示認(rèn)證。全體詢問是在注冊��、呼叫開始和呼叫遞送期間發(fā)生的詢問���。全體詢問向所有使用特定無線電控制信道的MS出示認(rèn)證詢問����。之所以稱之為全體詢問是因?yàn)樗跓o線電控制信道上廣播��,且該詢問被所有接入那個控制信道的電話使用�����。
[0040]在詢問期間��,設(shè)備響應(yīng)由MSC或AC提供的隨機(jī)數(shù)字。設(shè)備使用該隨機(jī)數(shù)字和設(shè)備中存儲的共享密鑰數(shù)據(jù)來計(jì)算向MSC的響應(yīng)��。MSC也使用隨機(jī)數(shù)字和共享密鑰數(shù)據(jù)來計(jì)算應(yīng)該從設(shè)備獲得什么響應(yīng)�����。這些計(jì)算通過CAVE算法完成���。如果響應(yīng)不相同�����,服務(wù)被拒絕���。詢問程序不會增加連接到呼叫所需花費(fèi)的時間量��。實(shí)際上���,在某些情況下���,呼叫會進(jìn)行,只在認(rèn)證失敗時被拆下����。
[0041]作為向用戶提供非限制地接入IP數(shù)據(jù)網(wǎng)絡(luò)的方法�,無線局域網(wǎng)(WLAN)獲得了極大的普及�。諸如IxEV-DO網(wǎng)絡(luò)等高數(shù)據(jù)數(shù)率(HDR)網(wǎng)絡(luò)和其它第三代(3G)網(wǎng)絡(luò)也被設(shè)計(jì)成提供高速數(shù)據(jù)接入;雖然他們支持的數(shù)據(jù)率一般低于WLAN的數(shù)據(jù)率�����,但是3G網(wǎng)絡(luò)提供了寬廣得多的區(qū)域的數(shù)據(jù)覆蓋�����。雖然WLAN和HDR網(wǎng)絡(luò)會被當(dāng)作競爭對手���,但是它們會是互補(bǔ)的:WLAN提供在諸如機(jī)場休息室和賓館大廳等公共場所中提供高容量的“熱點(diǎn)”覆蓋���,而HDR網(wǎng)絡(luò)可以向用戶提供移動時幾乎隨處存在的數(shù)據(jù)服務(wù)。因此���,相同的載體在單一用戶定購下會同時提供HDR和WLAN接入服務(wù)���。這意味著MS對于兩種接入認(rèn)證類型都使用相同的認(rèn)證方法和密鑰。
[0042]一個協(xié)議,諸如詢問握手認(rèn)證協(xié)議(CHAP),也被稱為MD5_Challenge,會既被用于HDR網(wǎng)絡(luò),又被用于WLAN接入認(rèn)證��。CHAP特別地使用RADIUS協(xié)議來認(rèn)證終端而不發(fā)送安全數(shù)據(jù)�����。MS由它的本地RADIUS服務(wù)器認(rèn)證��,其中所述本地RADIUS服務(wù)器和MS共享根密鑰����。在MS經(jīng)由CHAP詢問被成功地認(rèn)證之后,MS和本地或HDR網(wǎng)絡(luò)導(dǎo)出相同的用于保護(hù)MS和WLAN接入點(diǎn)(AP)之間交換話務(wù)的加密密鑰�����。
[0043]在經(jīng)由CHAP詢問成功的WLAN接入認(rèn)證后����,本地RADIUS服務(wù)器和MS從共享的根密鑰生成相同的主階段密鑰(MSK)����。該MSK會被用于導(dǎo)出加密密鑰,用于保護(hù)MS和WLAN的AP之間實(shí)際的話務(wù)��。共享根密鑰被配置到MS����,且是靜態(tài)的����。MSK在每個分組數(shù)據(jù)會話時生成�����,且只在該會話期間保持不變��。對于新的會話����,會使用不同的隨機(jī)數(shù)字從共享根密鑰生成新的MSK。
[0044]因?yàn)樵贛S接入HDR網(wǎng)絡(luò)時不需要MSK�,一個實(shí)施例提供了允許本地RADIUS服務(wù)器確定MS是接入WLAN還是HDR網(wǎng)絡(luò)的機(jī)制。
[0045]圖1說明了包括HDR網(wǎng)絡(luò)106��、WLANl04和MS102的通信系統(tǒng)100�。MS102能夠接入HDR網(wǎng)絡(luò)106,并且漫游到WLAN104覆蓋區(qū)域中���。MS102在WLAN104中尋找經(jīng)由APllO到WLAN104的通道��。注意WLAN104會包括任意數(shù)量的AP (未示出)����。WLAN104也包括認(rèn)證授權(quán)和計(jì)費(fèi)實(shí)體或服務(wù)器112。注意該HDR網(wǎng)絡(luò)106也包括AAA服務(wù)器108�����。
[0046]圖2說明了在通信系統(tǒng)100中使用CHAP或MD5_Challenge時�,用于到WLAN的接入認(rèn)證的消息流。MS102使用網(wǎng)絡(luò)接入標(biāo)識符(NAI)用于標(biāo)識�����。NAI具有usernameOrealm的格式����,其中realm標(biāo)識MS的本地網(wǎng)絡(luò),在此例中為HDR網(wǎng)絡(luò)106。WLAN網(wǎng)絡(luò)104中的AAA服務(wù)器112發(fā)起到MS102本地網(wǎng)絡(luò)�����,即向HDR網(wǎng)絡(luò)106��,的AAA服務(wù)器108的RADIUS接入一請求消息�。諸如所述HDR網(wǎng)絡(luò)106可以是任何支持高速數(shù)據(jù)數(shù)率傳輸?shù)木W(wǎng)絡(luò)。接著��,AAA108經(jīng)由WLAN104向MS102發(fā)出CHAP詢問����。MS102基于該詢問計(jì)算響應(yīng),所述詢問諸如隨機(jī)數(shù)字�����,并且該響應(yīng)作為RADIUS接入一請求請求經(jīng)由WLAN104向AAA108傳送�。如果認(rèn)證成功,本地AAA服務(wù)器108使用RADIUS接入一接受消息來確認(rèn)這個�,所述RADIUS接入一接受消息準(zhǔn)予MS102接入WLAN網(wǎng)絡(luò)104。如上文所述的��,本地AAA服務(wù)器108和MS102都從共享根密鑰生成相同的主階段密鑰(MSK)��。
[0047]如上文所述的���,CAVE算法普遍用于蜂窩通信�����,因此被很好地使用和散布�。也使用其它用于認(rèn)證的算法。特別在數(shù)據(jù)通信中��,多種算法存在不同的復(fù)雜性和應(yīng)用�。為了協(xié)調(diào)這些機(jī)制,開發(fā)出擴(kuò)展認(rèn)證協(xié)議(EAP)作為支持多種認(rèn)證和密鑰分配機(jī)制的一般協(xié)議框架��。L.Blunk et al 在 RFC2284 (發(fā)表于 1998 年三月)的 “PPP Extensible Authenticat1nProtocol (EAP) ” 中描述了 ΕΑΡ�����。
[0048]EAP支持的一個這樣的機(jī)制����,如由J.Arkko et al.在“EAP AKA認(rèn)證”中所定義的(于2002年2月作為因特網(wǎng)草案發(fā)表),是AKA算法���。因此需要擴(kuò)展EAP以包含蜂窩算法CAVE����。所期望的是為新的系統(tǒng)和網(wǎng)絡(luò)提供向后兼容�����。
[0049]EAP
[0050]擴(kuò)展認(rèn)證協(xié)議(EAP)是用于認(rèn)證的一般協(xié)議�,它支持多種認(rèn)證機(jī)制���。EAP不在鏈接建立和控制期間選擇特定的認(rèn)證機(jī)制���,而是將其延遲到直至認(rèn)證程序開始����。這允許認(rèn)證者在確定特定的認(rèn)證機(jī)制之前請求更多的信息�。認(rèn)證者被定義為需要認(rèn)證的鏈路的結(jié)束。認(rèn)證者規(guī)定鏈接建立期間所使用的認(rèn)證協(xié)議�����。
[0051]密鑰牛成
[0052]密鑰分級結(jié)構(gòu)是用于從根密鑰生成一組用于加密/解密消息或認(rèn)證消息的加密密鑰步驟的順序���。密鑰分級結(jié)構(gòu)應(yīng)該包含一段時間變化的消息�,這樣每次使用該分級結(jié)構(gòu)時��,不會生成相同組的加密密鑰���。密鑰分級結(jié)構(gòu)也應(yīng)該被配置成:如果導(dǎo)出的加密密鑰變得已知����,不能從加密密鑰獲得根密鑰。
[0053]在一個實(shí)施例中����,總的密鑰分級結(jié)構(gòu)由三個較小的分層密鑰分級結(jié)構(gòu)組成:主密鑰分級結(jié)構(gòu)、密鑰再生成密鑰分級結(jié)構(gòu)和每一分組密鑰分級結(jié)構(gòu)���。主密鑰分級結(jié)構(gòu)根據(jù)分級結(jié)構(gòu)和認(rèn)證方法會包括EAP密鑰生成(keying)�����、預(yù)共享密鑰或隨機(jī)數(shù)字��。如果EAP密鑰生成被用于主密鑰分級結(jié)構(gòu)�,主密鑰分級結(jié)構(gòu)將一般駐留在RADIUS服務(wù)器上���。
[0054]密鑰再生成密鑰分級結(jié)構(gòu)有兩種類型����,被稱為成對密鑰分級結(jié)構(gòu)和組密鑰分級結(jié)構(gòu)���。這兩種類型的密鑰分級結(jié)構(gòu)中的步驟是類似的�����;只有到這兩種類型的輸入是不同的��。
[0055]每一分組密鑰分級結(jié)構(gòu)�。這會用于動態(tài)密鑰完整性協(xié)議(TKIP)(使用RC4加密引擎)或用于高級加密標(biāo)準(zhǔn)(AES)。
[0056]對偶密鑰分級結(jié)構(gòu)被用于導(dǎo)出用在無線網(wǎng)絡(luò)兩個實(shí)體之間的密鑰(AP和相關(guān)聯(lián)的站,或網(wǎng)絡(luò)中一對站)���。
[0057]組密鑰分級結(jié)構(gòu)被用于導(dǎo)出和傳遞無線組中所有實(shí)體(AP和網(wǎng)絡(luò)中與那個AP相關(guān)聯(lián)的所有的站,或網(wǎng)絡(luò)中所有的實(shí)體)使用的密鑰���。
[0058]對偶密鑰分級結(jié)構(gòu)在兩個使用成對密鑰的實(shí)體上平行地實(shí)體化��,每個實(shí)體使用共享信息計(jì)算相同組的加密密鑰�。兩個實(shí)體中的一個驅(qū)動該成對密鑰分級結(jié)構(gòu)���,那個實(shí)體稱為成對密鑰所有者����。對于給定的網(wǎng)絡(luò)�����,成對密鑰所有者是AP ;對于其它網(wǎng)絡(luò)����,每個可能的站對將有成對的密鑰分級結(jié)構(gòu)�����,且該成對密鑰所有者是具有較低媒體訪問控制層地址的對的站�。
[0059]組密鑰分級結(jié)構(gòu)只在一個實(shí)體上實(shí)體化(instantiaied)����,并且所導(dǎo)出的加密密鑰被傳播給所有其它的實(shí)體����;驅(qū)動組密鑰分級結(jié)構(gòu)的實(shí)體是組密鑰的所有者。對于給定的網(wǎng)絡(luò)�,諸如被稱作為基本服務(wù)組(BSS),組密鑰的所有者是該AP ;對于獨(dú)立基本服務(wù)組(IBSS)網(wǎng)絡(luò)����,組密鑰的所有者是當(dāng)前信標(biāo)的發(fā)送者。注意BBS網(wǎng)絡(luò)是由AP和相關(guān)聯(lián)的站組成���,而IBSS網(wǎng)絡(luò)是由一組站組成�,所有所述的站互相成對。如這里所使用的站是工作站�����,且包括移動站或其它能夠接入局域網(wǎng)的無線設(shè)備�����。
[0060]每個站會至少有兩個實(shí)體化的密鑰分級結(jié)構(gòu)�����,并且完全可能更多�����。在BBS網(wǎng)絡(luò)中�,AP會有為每個相關(guān)聯(lián)的站實(shí)體化的成對密鑰分級結(jié)構(gòu)����,并且也至少有一個組密鑰分級結(jié)構(gòu);AP會是所有這些分級結(jié)構(gòu)的密鑰所有者��。每個相關(guān)聯(lián)的站會有一個實(shí)體化的成對密鑰分級結(jié)構(gòu)����,且至少一個組密鑰分級結(jié)構(gòu)����。對于IBBS網(wǎng)絡(luò)����,每個站會有為網(wǎng)絡(luò)中的每個其它站實(shí)體化的成對密鑰分級結(jié)構(gòu)以及單個的組密鑰分級結(jié)構(gòu)。
[0061]密鑰所有者會有用于組密鑰的單個組密鑰再生成分級結(jié)構(gòu)實(shí)例和用于每個關(guān)聯(lián)的成對密鑰再生成分級結(jié)構(gòu)實(shí)例����。密鑰所有者對于組和成對臨時密鑰(若有的話),都會每個動態(tài)密鑰完整性協(xié)議(TKIP)臨時密鑰有一每個分組密鑰分級結(jié)構(gòu)�����。非密鑰所有者對組密鑰和成對密鑰��,每個關(guān)聯(lián)會有一密鑰再生成分級結(jié)構(gòu)實(shí)例��,并且對于組和成對臨時密鑰(若有的話)��,都會每個TKIP臨時密鑰有一每個分組密鑰分級結(jié)構(gòu)��。
[0062]MSK
[0063]根據(jù)示例性實(shí)施例���,MSK包括蜂窩信息加密算法(CMEA)密鑰和加密密鑰(CK)����,所述的CMEA密鑰用于保護(hù)諸如到WLAN的MS話務(wù)。
[0064]圖3說明了用于生成用于保護(hù)MS102和WLAN網(wǎng)絡(luò)104之間話務(wù)的加密密鑰����。這個過程由MS201身份協(xié)商開始。接著�,WLAN104發(fā)送RADIUS接入請求消息到AAA108,AAA108以RADIUS接入詢問消息響應(yīng)�。WLAN104將該詢問傳遞到MS102,所述MS102從那里計(jì)算響應(yīng)�����。接著���,MS102對該詢問的響應(yīng)被提供給WLAN104。在步驟4a中�����,在MS102發(fā)送認(rèn)證響應(yīng)到WLAN104之后�,MS102使用根密鑰來生成主階段密鑰(MSK)。
[0065]WLAN104發(fā)送RADIUS接入請求消息到AAA108,包括詢問響應(yīng)�����。在步驟5a中���,如果MS102成功地被認(rèn)證��,本地AAA服務(wù)器108使用MS102根密鑰來生成與MS102在步驟4a所生成的相同的MSK��。在步驟6中�����,本地AAA服務(wù)器108使用屬性將MSK包含在RADIUS接入一接受消息中���,所述屬性諸如MS-MPPE-Recv-Key屬性。在步驟7中����,MS102和WLAN網(wǎng)絡(luò)104使用程序來從MSK生成加密密鑰,所述程序諸如于2002年3月發(fā)表的IEEE Std802.1li/D2.0 中題為“Draft Supplement to Standard for Telecommunicat1ns and Informat1nExchange Between Systems - LAN/MAN Specific Requirements - Partll:ffireless MediumAccess Control(MAC)and physical layer(PHY)specificat1ns:Specificat1n forEnhanced Security”(這里稱為“802.1li標(biāo)準(zhǔn)”)的文件中所指定的�����。
[0066]以下提供了在MS102和本地AAA服務(wù)器108中用于生成MSK的算法和參數(shù)的兩個例子。在第一實(shí)施例中�����,MSK被定義為:
[0067]MSK =哈希函數(shù)(密鑰���,詢問���,NAI,密鑰)(I)
[0068]其中所述MSK是使用以下參數(shù)應(yīng)用哈希函數(shù)(例如�,CHAP.HMAC)的結(jié)果:
[0069].MS102 根密鑰;
[0070]?用于在圖3的步驟4 — 5中認(rèn)證MS102的詢問����;
[0071]?MS102NAI;以及
[0072]?再一次MS102根密鑰。
[0073]根據(jù)這個實(shí)施例�,MS102和本地AAA服務(wù)器108具有需要獨(dú)立生成相同MSK的所有密鑰材料。換而言之����,沒有另外的密鑰材料需要在MS102和本地AAA服務(wù)器108之間交換用于MSK生成�。注意MSK和MS102接入認(rèn)證響應(yīng)是從相同的詢問值生成的?��?商鎿Q實(shí)施例從不同的隨機(jī)值生成MSK�。
[0074]第二個例子,根據(jù)另一實(shí)施例�����,將MSK定義為:
[0075]MSK =哈希函數(shù)(密鑰�����,NAI���,隨機(jī)數(shù)字)(2)
[0076]其中所述MSK是將哈希函數(shù)(例如����,CHAP.HMAC)應(yīng)用到以下參數(shù)上的結(jié)果:
[0077].MS102 根密鑰���;
[0078]?MS102NAI;以及
[0079].由本地AAA服務(wù)器生成的隨機(jī)數(shù)字�����,
[0080]其中所述隨機(jī)數(shù)字與詢問值不同�����。根據(jù)這個實(shí)施例����,MSK由隨機(jī)數(shù)字生成,所述隨機(jī)數(shù)字不同于在MS102接入認(rèn)證中使用的詢問值��。獨(dú)立詢問值的使用提供了 MSK和MS102接入認(rèn)證之間較少的聯(lián)系����,并且由此提供了改進(jìn)的安全性。諸如所述隨機(jī)數(shù)字被發(fā)送到MS102且MSK在那里生成��。隨機(jī)數(shù)字經(jīng)由RADIUS接入一接受(圖3的步驟6)和在802.1li標(biāo)準(zhǔn)(圖3的步驟7)中定義的機(jī)制被發(fā)送到MS102�。
[0081]生成MSK的程序在MS102接入WLAN104時使用,并且在MS接入IxEV-DO或其它HDR網(wǎng)絡(luò)時不使用����。這是由于由HDR系統(tǒng)提供的無線電加密。當(dāng)MS開始到WLAN網(wǎng)絡(luò)104或HDR網(wǎng)絡(luò)106的接入時�,MS102能夠確定是否需要MSK生成。然而�,本地AAA服務(wù)器必須也確定何時生成MSK。
[0082]在一個實(shí)施例中�����,實(shí)施特定RADIUS屬性來通知AAA108生成MSK�。在圖3的步驟2和5中,WLAN網(wǎng)絡(luò)104發(fā)送包含指示MS102期望或請求WLAN104接入的特定或指定屬性的RADIUS接入一請求消息��。該屬性狀態(tài)會觸發(fā)本地AAA服務(wù)器108來執(zhí)行MSK生成(如果MS102認(rèn)證是成功的)�����。當(dāng)所指定的屬性在RADIUS接入一請求消息中不存在時����,本地AAA服務(wù)器108不會執(zhí)行MSK生成。注意在符合3GPP2的系統(tǒng)中實(shí)施�,指定屬性是特定于3GPP2的,這樣可被定義成使用3GPP2的賣方ID的賣方一特定屬性�����。
[0083]圖4 說明了發(fā)表于 2000 年 6 月��,C.Rigney et al 的題為“Remote Authenticat1nDial In User Service(RADIUS) ” 的 RFC2865 中描述的 RADIUS 格式�。數(shù)據(jù)格式 200 包括:編碼字段202用于標(biāo)識RADIUS分組的類型(例如,接入請求�����、接入拒絕等等);ID字段204用于調(diào)整匹配請求和響應(yīng)���;以及長度字段206用于指示相關(guān)聯(lián)的分組的長度���。也說明了屬性220,包含:類型字段222標(biāo)識值字段226的內(nèi)容�����;長度字段224給出屬性的長度�����;以及值字段提供這個屬性的特定信息����。注意RADIUS支持賣方一特定屬性,其中值字段226被用于提供賣方標(biāo)識���,后接屬性信息�����。賣方一特定類型會如同在發(fā)表于1999年�����,由G.Zorn寫的題為”Microsoft Vendor-specific RADIUS Attributes”的 RFC2548 中所描述的����,用于應(yīng)用到CHAP消息��。
[0084]可替換實(shí)施例在RADIUS接入一請求消息中實(shí)施名為網(wǎng)絡(luò)接入服務(wù)器(NAS)Internet協(xié)議(IP)地址的標(biāo)準(zhǔn)屬性����。該標(biāo)準(zhǔn)屬性標(biāo)識發(fā)起RADIUS接入一請求消息的RADIUS客戶端的IP地址。本地AAA服務(wù)器108被配置為帶有包含WLAN網(wǎng)絡(luò)104中所有RADIUS客戶端IP地址的數(shù)據(jù)庫����。如果NAS IP地址屬性中所指示的IP地址與數(shù)據(jù)庫中的地址相匹配,那么該RADIUS接入一請求消息是從WLAN網(wǎng)絡(luò)104發(fā)起的��,并且本地AAA服務(wù)器108會執(zhí)行MSK生成(如果MS認(rèn)證是成功的)�。否則,本地AAA服務(wù)器108將不會執(zhí)行MSK生成��。
[0085]圖5中說明了標(biāo)準(zhǔn)屬性的格式以及加在值字段上的例子�����。屬性格式300包含類型字段302,用于指示值字段306的內(nèi)容����;長度字段304,給出屬性的長度�;以及值字段306,包含屬性信息��。注意對RFC2865中給出的描述不作修改���,值字段306會被分成重要的字段:類型322��,用于指示子屬性的類型���,諸如MSK生成指令;長度字段324��,給出子屬性的長度����;以及值字段326,包含子屬性信息���,諸如MSK生成指示符�。作為例子,為了傳達(dá)消息到AAA108來指示AAA108MSK生成���,類型字段322會使用相應(yīng)的預(yù)定義編碼將該子屬性標(biāo)識為MSK生成指令��。接著�����,值字段326會具有一個值:I 一指示AAA108生成MSK ;或2 —指示AAA108不生成MSK。
[0086]圖6說明了無線設(shè)備�,諸如MS102。設(shè)備600包含接收電路602和發(fā)送電路604���,分別用于接收傳輸和發(fā)送傳輸����。接收電路602和發(fā)送電路604都被耦合到通信總線612上�����。設(shè)備600也包含中央處理器(CPU)606���,用于控制設(shè)備600內(nèi)的操作���。CPU606對設(shè)備600內(nèi)存儲器存儲設(shè)備600中存儲的計(jì)算機(jī)可讀指令響應(yīng)����。兩個這樣的存儲設(shè)備被顯示為存儲認(rèn)證程序608和MSK生成610���。注意可替換實(shí)施例會在硬件���、軟件、固件或其組合中實(shí)施該程序�����。接著��,CPU606響應(yīng)來自認(rèn)證程序608的認(rèn)證處理指令��。CPU606將認(rèn)證程序608消息置于傳輸格式���,諸如EAP格式����。當(dāng)向WLAN認(rèn)證時,CPU606對MSK生成單元610作出響應(yīng)以生成MSK��。CPU606進(jìn)一步處理接收到的傳輸格式消息��,以從中提取認(rèn)證消息���。
[0087]注意雖然這里所描述的實(shí)施例詳述了 WLAN�,這里所描述的方法和裝置也可應(yīng)用于其它系統(tǒng)實(shí)體���。本發(fā)明提供了使系統(tǒng)實(shí)體能夠向通信提供加密的方法�。通過使用本地服務(wù)器來生成MSK����,并向系統(tǒng)實(shí)體提供該MSK�����,向該實(shí)體提供了足夠的消息來保護(hù)給用戶的傳輸�,所述用戶諸如MS。
[0088]本領(lǐng)域的技術(shù)人員可以理解�����,信息和信號可以用多種不同技術(shù)和工藝中的任一種來表示。例如�,上述說明中可以涉及的數(shù)據(jù)、指令�����、命令����、信息、信號��、比特���、碼元和碼片可以用電壓�����、電流���、電磁波、磁場或其粒子�����、光場或其粒子或它們的任意組合來表示。
[0089]本領(lǐng)域的技術(shù)人員能進(jìn)一步理解���,結(jié)合這里所公開的實(shí)施例所描述的各種說明性的邏輯塊��、模塊�、電路和算法步驟可以為電子硬件���、計(jì)算機(jī)軟件或兩者的組合來實(shí)現(xiàn)��。為了清楚說明硬件和軟件間的互換性���,各種說明性的組件、框圖�����、模塊����、電路和步驟一般按照其功能性進(jìn)行了闡述����。這些功能性究竟作為硬件還是軟件來實(shí)現(xiàn)取決于特定的應(yīng)用和對總體系統(tǒng)設(shè)計(jì)上的約束���。熟練的技術(shù)人員可能對于每個特定應(yīng)用以不同的方式來實(shí)現(xiàn)所述功能,但這種實(shí)現(xiàn)決定不應(yīng)被解釋為就此背離本發(fā)明的范圍��。
[0090]結(jié)合這里所描述的實(shí)施例來描述的各種說明性的邏輯塊�、模塊和算法步驟的實(shí)現(xiàn)或執(zhí)行可以用:通用處理器、數(shù)字信號處理器(DSP)���、專用集成電路(ASIC)�����、場可編程門陣列(FPGA)或其它可編程邏輯器件�����、離散門或晶體管邏輯��、離散硬件組件或者為執(zhí)行這里所述功能而設(shè)計(jì)的任意組合��。通用處理器可能是微處理器�,然而或者�����,處理器可以是任何常規(guī)的處理器、控制器��、微控制器或狀態(tài)機(jī)�����。處理器也可以用計(jì)算設(shè)備的組合來實(shí)現(xiàn)����,如,DSP和微處理器的組合����、多個微處理器、結(jié)合DSP內(nèi)核的一個或多個微處理器或者任意其它這種配置�。
[0091]結(jié)合這里所公開實(shí)施例描述的方法或算法的步驟可能直接包含在硬件中、由處理器執(zhí)行的軟件模塊中或在兩者當(dāng)中�。軟件模塊可以駐留在RAM存儲器、閃存����、ROM存儲器�����、EPROM存儲器、EEPROM存儲器�����、寄存器��、硬盤����、可移動盤、⑶-ROM或本領(lǐng)域中已知的任何其它形式的存儲媒質(zhì)中���。示例性存儲媒質(zhì)與處理器耦合��,使得處理器可以從存儲媒質(zhì)讀取信息��,或把信息寫入存儲媒質(zhì)�����?���;蛘撸鎯γ劫|(zhì)可以與處理器整合����。處理器和存儲媒質(zhì)可能駐留在ASIC中。ASIC可能駐留在訂戶單元中��?�;蛘?,處理器和存儲媒質(zhì)可能作為離散組件駐留在用戶終端中。
[0092]提供上述對所公開的【具體實(shí)施方式】的描述為了使本領(lǐng)域的技術(shù)人員能制造或使用本發(fā)明�����。這些實(shí)施例的各種修改對于本領(lǐng)域的技術(shù)人員來說是顯而易見的�����,這里定義的總的原則可以被應(yīng)用于其它實(shí)施例中而不背離本發(fā)明的精神和范圍��。因此���,本發(fā)明并不要限于這里示出的實(shí)施例��,而要符合與這里揭示的原理和新穎特征一致的最寬泛的范圍���。
【權(quán)利要求】
1.一種用于在包括第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)的通信系統(tǒng)中驗(yàn)證的方法,所述方法包括: 由移動站MS使用網(wǎng)絡(luò)接入標(biāo)識符與所述第一網(wǎng)絡(luò)協(xié)商MS的身份��; 從所述第一網(wǎng)絡(luò)的認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器向所述第二網(wǎng)絡(luò)的AAA服務(wù)器發(fā)送遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)RADIUS接入請求�; 從所述第二網(wǎng)絡(luò)的AAA服務(wù)器經(jīng)由所述第一網(wǎng)絡(luò)向MS發(fā)送詢問握手認(rèn)證協(xié)議CHAP詢問; 由MS向所述第一網(wǎng)絡(luò)提供對所述CHAP詢問的響應(yīng)���; 從所述第一網(wǎng)絡(luò)向所述第二網(wǎng)絡(luò)的AAA服務(wù)器發(fā)送包括所述響應(yīng)的RADIUS接入請求���; 在所述MS和所述第二網(wǎng)絡(luò)的AAA服務(wù)器從共享的根密鑰和用戶標(biāo)識值產(chǎn)生主階段密鑰MSK ;以及 由所述第二網(wǎng)絡(luò)的AAA服務(wù)器向所述第一網(wǎng)絡(luò)發(fā)送包括所述MSK的RADIUS接入接受消息�����, 其中所述第一網(wǎng)絡(luò)為無線局域網(wǎng)WLAN���,而所述第二網(wǎng)絡(luò)為蜂窩網(wǎng)絡(luò)系統(tǒng)中的高數(shù)據(jù)速率HDR類型網(wǎng)絡(luò)��。
2.如權(quán)利要求1所述的方法���,其特征在于,使用所述MSK導(dǎo)出用于保護(hù)所述第一網(wǎng)絡(luò)的接入點(diǎn)和所述MS之間話務(wù)的加密密鑰�����。
3.如權(quán)利要求1所述的方法,其特征在于���,所述HDR類型網(wǎng)絡(luò)是第三代3G電信網(wǎng)絡(luò)�����。
4.如權(quán)利要求1所述的方法���,其特征在于,所述用戶標(biāo)識值是網(wǎng)絡(luò)接入標(biāo)識符NAI��。
5.如權(quán)利要求1所述的方法�����,其特征在于���,所述MSK進(jìn)一步基于詢問響應(yīng)值產(chǎn)生�����。
6.如權(quán)利要求5所述的方法����,其特征在于,所述詢問響應(yīng)值是CHAP詢問值����。
7.如權(quán)利要求1所述的方法���,其特征在于��,所述MSK作為詢問響應(yīng)值和隨機(jī)值中的至少一者���、所述共享的根密鑰以及所述用戶標(biāo)識值的哈希函數(shù)來產(chǎn)生。
8.一種用于無線局域網(wǎng)WLAN中的設(shè)備��,包括: 用于使用網(wǎng)絡(luò)接入標(biāo)識符與移動站MS協(xié)商MS身份的裝置����; 用于在WLAN的認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器向蜂窩網(wǎng)絡(luò)系統(tǒng)中的高數(shù)據(jù)速率HDR類型網(wǎng)絡(luò)的AAA服務(wù)器發(fā)送遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)RADIUS接入請求的裝置; 用于將由所述HDR類型網(wǎng)絡(luò)的AAA服務(wù)器提供的詢問握手認(rèn)證協(xié)議CHAP詢問發(fā)送到MS的裝置����; 用于將包括MS對所述CHAP詢問的響應(yīng)的RADIUS接入請求發(fā)送到所述HDR類型網(wǎng)絡(luò)的AAA服務(wù)器的裝置; 用于從所述HDR類型網(wǎng)絡(luò)的AAA服務(wù)器接收包括主階段密鑰MSK的RADIUS接入接受消息的裝置��,其中所述MSK基于共享的根密鑰和用戶標(biāo)識值;以及 用于從所述MSK導(dǎo)出對所述WLAN的接入點(diǎn)和MS之間話務(wù)進(jìn)行保護(hù)的加密密鑰的裝置���。
9.如權(quán)利要求8所述的設(shè)備�,其特征在于���,所述HDR類型網(wǎng)絡(luò)是第三代3G電信網(wǎng)絡(luò)����。
10.如權(quán)利要求8所述的設(shè)備���,其特征在于���,所述用戶標(biāo)識值是網(wǎng)絡(luò)接入標(biāo)識符NAI。
11.如權(quán)利要求8所述的設(shè)備�,其特征在于,所述MSK進(jìn)一步基于詢問響應(yīng)值產(chǎn)生��。
12.如權(quán)利要求11所述的設(shè)備���,其特征在于��,所述詢問響應(yīng)值是CHAP詢問值���。
13.如權(quán)利要求8所述的設(shè)備�����,其特征在于�,所述MSK作為詢問響應(yīng)值和隨機(jī)值中的至少一者�����、所述共享的根密鑰以及所述用戶標(biāo)識值的哈希函數(shù)來產(chǎn)生�。
14.一種用于蜂窩網(wǎng)絡(luò)系統(tǒng)中高數(shù)據(jù)速率HDR類型網(wǎng)絡(luò)中的設(shè)備��,包括: 用于在所述HDR類型網(wǎng)絡(luò)的認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器從無線局域網(wǎng)WLAN的AAA服務(wù)器接收遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)RADIUS接入請求的裝置�����; 用于在所述HDR類型網(wǎng)絡(luò)的AAA服務(wù)器經(jīng)由所述WLAN向移動站MS發(fā)送詢問握手認(rèn)證協(xié)議CHAP詢問的裝置�; 用于在所述HDR類型網(wǎng)絡(luò)的AAA服務(wù)器從所述WLAN接收包括MS對所述CHAP詢問的響應(yīng)的RADIUS接入請求的裝置; 用于在所述HDR類型網(wǎng)絡(luò)的AAA服務(wù)器從共享的根密鑰和用戶標(biāo)識值產(chǎn)生主階段密鑰MSK的裝置���;以及 用于在所述HDR類型網(wǎng)絡(luò)的AAA服務(wù)器將包括所述MSK的RADIUS接入接受消息發(fā)送至IJ所述WLAN的裝置��。
15.如權(quán)利要求14所述的設(shè)備��,其特征在于�,所述用戶標(biāo)識值是網(wǎng)絡(luò)接入標(biāo)識符NAI。
16.如權(quán)利要求14所述的設(shè)備����,其特征在于,所述MSK進(jìn)一步基于詢問響應(yīng)值產(chǎn)生�����。
17.如權(quán)利要求16所述的設(shè)備����,其特征在于,所述詢問響應(yīng)值是CHAP詢問值���。
18.如權(quán)利要求14所述的設(shè)備��,其特征在于���,所述MSK作為詢問響應(yīng)值和隨機(jī)值中的至少一者、所述共享的根密鑰以及所述用戶標(biāo)識值的哈希函數(shù)來產(chǎn)生����。
19.如權(quán)利要求14所述的設(shè)備�����,其特征在于����,所述接入請求消息具有第一字段�,其中所述接入請求消息的格式包括標(biāo)識用于對所述通信系統(tǒng)進(jìn)行接入的屬性信息類型的類型字段和用于所述屬性信息的值字段,所述值字段包括標(biāo)識用于所述接入的子屬性信息類型的第二類型字段和用于所述子屬性信息的第二值字段�。
20.如權(quán)利要求19所述的設(shè)備,還包括: 用于確定所述第一字段的狀態(tài)的裝置�����;并且 其中用于產(chǎn)生MSK的裝置在所述狀態(tài)是第一值的情況下產(chǎn)生MSK�����。
【文檔編號】H04W12/04GK104243145SQ201410439953
【公開日】2014年12月24日 申請日期:2003年6月20日 優(yōu)先權(quán)日:2002年6月20日
【發(fā)明者】R·T·蘇 申請人:高通股份有限公司