CN101120534A - 用于无线局域网(wlan)中的认证的系统、方法与设备 - Google Patents
用于无线局域网(wlan)中的认证的系统、方法与设备 Download PDFInfo
- Publication number
- CN101120534A CN101120534A CNA2004800375952A CN200480037595A CN101120534A CN 101120534 A CN101120534 A CN 101120534A CN A2004800375952 A CNA2004800375952 A CN A2004800375952A CN 200480037595 A CN200480037595 A CN 200480037595A CN 101120534 A CN101120534 A CN 101120534A
- Authority
- CN
- China
- Prior art keywords
- wlan
- cdma2000
- response
- server
- wlan device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 93
- 230000004044 response Effects 0.000 claims abstract description 159
- 238000004891 communication Methods 0.000 claims abstract description 7
- 238000012795 verification Methods 0.000 claims description 36
- 238000009795 derivation Methods 0.000 claims description 22
- 230000005540 biological transmission Effects 0.000 claims description 2
- 230000008569 process Effects 0.000 description 51
- 230000006870 function Effects 0.000 description 16
- 238000010586 diagram Methods 0.000 description 6
- 238000013519 translation Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000007306 turnover Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开一种系统(100),其用于无线局域网(WLAN)中的认证,该系统包括:CDMA2000认证中心(190),其用于认证CDMA2000证书(110);WLAN认证服务器(150),其用于使用CDMA2000证书认证持有CDMA2000证书的WLAN设备;至少一个持有CDMA2000证书的WLAN设备(130)。WLAN服务器(150)同WLAN设备进行CDMA2000全局询问与响应(213)和CDMA2000独特询问与响应(223),以获取CDMA2000加密密钥(233)。WLAN服务器(150)从CDMA2000加密密钥推导主密钥(234),并使用主密钥同WLAN设备(130)进行WLAN询问与响应(237),并于其后从主密钥推导会话密钥(240)。会话密钥保护WLAN接入点(140)与WLAN设备(130)之间的通信。
Description
技术领域
一般地,本公开涉及无线局域网(WLAN)认证,更具体地,涉及重用CDMA2000证书来认证WLAN设备。
背景技术
全球移动通信系统(GSM)制造商与运营商已投入巨大努力寻找使用GSM证书来认证WLAN设备的解决方案。在标准实体(例如因特网工程任务组(IETF)与第三代合作项目(3GPP))中提议的一种解决方案使用可扩展认证协议(EAP)机制来进行认证并使用GSM用户标识模块(SIM)分发会话密钥。
由于GSM与CDMA2000网络的用户单元认证过程的差异,EAP/SIM机制不能应用到使用CDMA2000证书来认证WLAN设备。主要的困难在于,在CDMA2000网络中,归属位置寄存器认证中心(HLR/AC)更多地涉入认证过程的步骤。当遵照CDMA2000网络运营商的政策,称为共享秘密数据(SSD)的二级密钥不与CDMA2000服务网共享时,CDMA2000HLR/AC参与甚至更多。不能向CDMA2000服务网提供认证矢量(三元组),例如GSM中可用的认证矢量,以推导WLAN安全参数。另外,CDMA2000与WLAN认证过程使用不同的函数来生成密钥,不同的分组与帧结构,以及不同的加密方法。
存在这样的需要:提供一种方法,其用于使用CDMA2000证书来认证WLAN设备。也存在这样的需要:在重用CDMA2000证书时,最小化对CDMA2000网络与WLAN网络的现有认证过程的破坏。存在这样的需要:当使用CDMA2000证书认证WLAN设备时,避免显著增加网络流量。
在仔细考虑下面的绘图及所附的具体实施方式之后,本公开的各种方面、特性与优点对于本领域普通技术人员而言将变得更加显而易见。
附图说明
图1是系统的功能框图,其使用CDMA2000证书来认证CDMA2000无线通信设备和认证WLAN无线通信设备。
图2是流程图,其显示WLAN网络中的WLAN设备认证过程,其遵照优选实施例。
图3是流程图,其显示执行和验证CDMA2000全局询问与响应的细节,其遵照图2中所示的WLAN设备认证过程的优选实施例。
图4是流程图,其显示执行和验证CDMA2000独特询问与响应的细节,其遵照图2中所示的WLAN设备认证过程的优选实施例。
图5是流程图,其显示推导和使用WLAN主密钥的细节,其遵照图2中所示的WLAN设备认证过程的优选实施例。
图6是流程图,其显示WLAN设备的WLAN网络认证的细节,其使用推导的WLAN主密钥。
图7是流程图,其显示WLAN设备中的WLAN设备认证过程,其遵照优选实施例。
图8是WLAN设备800的功能框图,其遵照优选实施例。
图9是流程图,其显示将CDMA2000认证协议转化为可扩展认证协议(EAP)的新扩展(称为EAP/CDMA2000)的过程。
图10是流程图,其显示共享秘密数据(SSD)更新的过程,其中WLAN服务器将SSD更新协议转化为可扩展认证协议(EAP)的新扩展(称为EAP/CDMA2000)。
具体实施方式
提供一种系统,用于无线局域网(WLAN)中的认证,其包括:CDMA2000认证中心,其用于认证CDMA2000证书;WLAN认证服务器,其连接到蜂窝认证中心,用于使用CDMA2000证书来认证持有CDMA2000证书的WLAN设备;以及至少一个持有CDMA2000证书的WLAN设备,其连接到WLAN认证服务器。WLAN服务器与持有CDMA2000证书的WLAN设备进行CDMA2000全局询问与响应,以及CDMA2000独特询问与响应,以便获得CDMA2000加密密钥。WLAN服务器从CDMA2000加密密钥推导主密钥,并使用主密钥来与WLAN设备进行WLAN询问与响应。如果WLAN询问与响应成功,WLAN服务器从主密钥推导会话密钥并将会话密钥递送给WLAN接入点,以保护WLAN接入点与WLAN设备之间的通信。
WLAN服务器使用可扩展认证协议(EAP)的扩展来便利CDMA2000认证中心与WLAN设备之间的通信。WLAN设备有无线收发器,并包括:CDMA2000用户标识符模块(UIM),其用于存储CDMA2000证书和生成CDMA2000加密密钥;随机数发生器,其连接到收发器;WLAN认证模块;会话密钥推导模块,其用于生成随机询问;主密钥生成模块,其连接到UIM,用于从CDMA2000加密密钥推导WLAN主密钥;WLAN认证模块,其连接到主密钥生成模块与无线收发器,用于响应来自WLAN服务器的询问;会话密钥推导模块,其连接到WLAN认证模块与主密钥生成模块,以便从主密钥推导会话密钥;以及通信保护模块,其连接到会话密钥推导模块与无线收发器,以使用会话密钥向WLAN数据施加保护。
图1是系统100的功能框图,其使用CDMA2000证书110来认证CDMA2000无线通信设备120和认证WLAN无线通信设备130。每一CDMA2000用户单元120,例如具有无线CDMA2000收发器的手机或个人数字助理,使用用户标识模块(UIM),其包含CDMA2000证书110。(当它可移动时,则将其称为可移动UIM(R-UIM),但我们在这里将不区分UIM与R-UIM,而是关注其功能。)当通过到CDMA2000基站160的无线连接125进行通信时,这些CDMA2000证书110为CDMA2000无线通信设备120使用。优选地,无线连接125使用CDMA2000空中接口协议,其与ANSI-95后向兼容。如果基站160使用诸如CDMA2000A等协议通过连接165与CDMA2000访问者位置寄存器(VLR)170进行通信,在认证无线通信设备120的过程期间,VLR将在通信连接175上查询CDMA2000归属位置寄存器认证中心(HLR/AC)190。通信连接175优选地使用ANSI-41协议。
WLAN用户单元130,例如具有WLAN收发器的笔记本电脑或个人数字助理,使用用于认证CDMA2000无线通信设备120的相同的CDMA2000证书110。当通过到WLAN接入点140的无线连接135进行通信时,这些CDMA2000证书110为WLAN无线通信设备130使用。优选地,无线连接135使用IEEE无线协议,例如IEEE 802.11。WLAN接入点140通过通信连接145连接到WLAN认证(AAA)服务器150,其优选地使用有线网络协议。WLAN AAA服务器150使用通信连接155来通过CDMA2000HLR/AC 190验证WLAN无线通信设备130的CDMA2000证书。通信连接155优选地使用ANSI-41协议。
使用同样的CDMA2000证书110来认证CDMA2000接入与WLAN接入的好处是网络运营商可更容易地将WLAN服务集成到现有的CDMA2000基础架构中。CDMA2000与WLAN服务的用户可接收CDMA2000与WLAN服务两者的统一的账单。
图2是流程图200,其显示WLAN网络中的WLAN设备认证过程,其遵照优选实施例。该认证过程使用CDMA2000证书,例如图1中所示的CDMA2000证书110,以验证WLAN设备,诸如图1中所示的WLAN用户单元130。另外,WLAN设备验证WLAN网络。认证过程优选地实现为同WLAN服务器(例如图1中所示的WLAN AAA服务器150)的网络协议。
步骤201开始WLAN网络的WLAN设备认证过程。可通过接收来自WLAN设备的接入请求来发起开始步骤201。优选地,接入请求包括WLAN设备的标识符,WLAN用户标识符(W-ID),与128位随机数RANDreq。RANDreq是对WLAN网络的随机询问,其将被用于在确认WLAN设备的有效主密钥之后验证WLAN网络。来自WLAN设备的接入请求还可包括其它信息,例如CDMA2000用户标识(M-ID)。另外,可通过由WLAN网络重新认证已在WLAN网络上的WLAN设备来发起开始步骤201。一般地,WLAN网络将周期性地重新认证WLAN设备,如由网络运营商确定的那样。重新认证的触发可取决于时间的流逝,更新主密钥或会话密钥的请求或要求,CDMA2000认证中心触发的SSD更新,以及动态网络状况,例如网络流量与可用带宽。
步骤210检查是否已存在有效主密钥,以认证WLAN设备。有效主密钥意味着WLAN服务器中为该设备存有主密钥,并且服务器认为该密钥是足够新的。如果存在有效主密钥,通过步骤237、238、239与240认证WLAN设备,且过程终止于步骤299。关于认证步骤的细节在下面。如果已存在有效主密钥,WLAN网络无需与CDMA2000认证中心通信,因此对网络流量无负面影响。有效主密钥可能已经存在,这是因为,比如说,WLAN设备最近被认证过。例如,如果最近认证过的WLAN设备离开WLAN网络并很快重新连入WLAN网络,认证过程将开始于步骤201,但该WLAN设备的主密钥将仍然有效。有效主密钥可能业已存在的另一情形是设备没有注册CDMA2000服务而仅注册WLAN服务。在此情形中,主密钥是WLAN认证的唯一密钥。其可在服务注册激活的时候安装。
如果没有有效主密钥存在,在步骤213,WLAN网络将与WLAN设备进行CDMA2000全局询问与响应。有效主密钥可能不存在,这是因为,比如说,WLAN设备先前未同WLAN网络进行认证,或者因为主密钥已无效或过期。
步骤216验证WLAN设备与WLAN网络之间的CDMA2000全局询问与响应。关于步骤216的细节取决于SSD是否与WLAN服务网共享,其显示在图3中。如果在步骤220中未能验证CDMA2000全局询问与响应,在步骤250中,WLAN网络向WLAN设备发送“认证失败”消息,并且认证过程终止于步骤299。如果在步骤220中CDMA2000全局询问与响应有效,在步骤223中,WLAN网络将同WLAN设备进行CDMA2000独特询问与响应。
步骤226验证WLAN设备与WLAN网络之间的CDMA2000独特询问与响应。如果在步骤230中,对CDMA2000独特询问的响应无效,在步骤250中,WLAN网络向WLAN设备发送“认证失败”消息,并且认证过程终止于步骤299。如果步骤230确定CDMA2000独特询问与响应有效,在步骤233中,WLAN网络获取CDMA2000加密密钥。
依据CDMA2000认证中心的配置,WLAN网络可从CDMA2000认证中心接收CDMA2000加密密钥,或者WLAN网络可生成CDMA2000加密密钥。优选地,CDMA2000加密密钥是信号加密密钥(SMEKEY),其传统地由CDMA2000网络生成以进行信号加密。然而,在本实施例中,重新部署SMEKEY,以用作生成主密钥的WLAN密钥材料。
如果允许与WLAN网络共享SSD,WLAN网络从共享的64位SSD-B密钥为WLAN设备生成CDMA2000加密密钥。否则,如果不允许与WLAN网络共享SSD,WLAN网络从CDMA2000认证中心接收CDMA2000加密密钥。优选地,在步骤226与230中成功验证WLAN设备对CDMA2000独特询问的响应之后,CDMA2000认证中心自动生成和发送加密密钥。
在步骤234中,WLAN设备从CDMA2000加密密钥推导主密钥,以供同WLAN设备通信时使用。在图5中,步骤540与所附文本描述了推导主密钥的细节。
同时,WLAN设备中的UIM也生成CDMA2000加密密钥。WLAN设备使用与为WLAN网络主密钥描述的相同的方法从加密密钥推导主密钥。参看图7与所附文本。现在,WLAN设备与WLAN网络两者均持有从同一CDMA加密密钥(SMEKEY)推导的主密钥。
使用主密钥,WLAN网络可计算对在步骤201中接收的随机询问RANDreq的响应。图5与所附文本描述了计算对随机询问RANDreq的响应的细节。在步骤237中,WLAN网络与WLAN设备进行WLAN询问与响应认证。图6提供步骤237中关于WLAN询问与响应认证的更多细节。在步骤238中,WLAN网络使用主密钥验证来自WLAN设备的响应。在步骤239中确定的无效响应将导致在步骤250中向WLAN设备发送“认证失败”消息,并且在步骤299中协议结束。在步骤239中确定的有效响应意味着认证成功,并且将导向步骤240。
在步骤240中,WLAN网络使用其主密钥来推导会话密钥。在图5中,步骤570与相关文本描述推导会话密钥的细节。一旦生成会话密钥,WLAN设备认证过程成功,并结束于步骤299。一旦生成会话密钥,使用其来保护WLAN接入点与WLAN设备之间的通信。这样,图2中所示的过程允许生成有效主密钥,其又用于进行WLAN认证,而无需WLAN服务器与CDMA2000认证中心进行通信。参看图6与所附文本,其详细描述了WLAN认证过程。
WLAN设备可由WLAN主密钥认证,而无需与CDMA2000HLR/AC通信,使得添加WLAN设备将不会显著增加网络流量。如果CDMA2000认证中心允许与WLAN网络进行共享秘密数据(SSD)的共享,可进一步减小网络流量。否则,当生成或更新WLAN主密钥时,WLAN网络将需要与CDMA2000认证中心进行通信。
图3是流程图300,其显示执行和验证CDMA2000全局询问与响应的细节,其遵照图2中所示的WLAN设备认证过程的优选实施例。基本上,流程图300提供图2中所示的步骤213与步骤216的细节。
步骤310生成CDMA2000全局询问。接着,步骤320向WLAN设备发送CDMA2000全局询问。优选地,WLAN网络格式化CDMA2000全局询问,其遵照EAP/CDMA2000协议,为EAP协议的CDMA2000扩展。参看图9与所附文本以获得关于EAP/CDMA2000协议的更多细节。在步骤330中,WLAN网络从WLAN设备接收对CDMA2000全局询问的响应。步骤310、320与330组成图2中所示的步骤213的细节。
接着,步骤350确定是否允许与WLAN网络共享SSD。如果不共享SSD,在步骤360中,WLAN网络向适宜的CDMA2000认证中心发送CDMA2000全局询问和WLAN设备的响应,连同WLAN设备的CDMA2000用户标识(M-ID)。优选地,WLAN网络与CDMA2000认证中心之间的通信遵照ANSI-41协议进行格式化。其后,在步骤370中,WLAN网络从CDMA认证中心接收响应,其指示CDMA2000全局询问与响应是否有效。
如果步骤350确定CDMA2000认证中心允许与WLAN网络共享SSD,则在步骤380中,WLAN网络将验证WLAN设备对CDMA2000全局询问的响应,而无需与CDMA2000认证中心交互。SSD共享允许验证CDMA2000全局询问与响应,而其网络流量低于不共享SSD的情形。步骤350、360、370、与380组成图2中所示的步骤216的细节。
图4是流程图400,其显示执行和验证CDMA2000独特询问与响应的细节,其遵照图2中所示的WLAN设备认证过程的优选实施例。基本上,流程图400提供图2中所示的步骤223与步骤226的细节。注意,CDMA2000认证中心可发起CDMA2000独特询问,甚至在与服务网共享SSD时也是如此。在此情形中,WLAN服务网将进行独特询问,以符合CDMA2000网络认证要求。
步骤410确定是否允许与WLAN网络共享SSD。如果不允许与WLAN网络共享SSD,在步骤420中,WLAN网络从CDMA2000认证中心接收CDMA2000独特询问连同其响应。优选地,CDMA2000认证中心在验证CDMA2000全局询问与响应之后自动发送CDMA2000独特询问与响应。来自CDMA2000认证中心的CDMA2000独特询问与响应优选地遵照ANSI-41协议进行格式化。
其后,在步骤430中,WLAN网络向WLAN设备发送CDMA2000独特询问。优选地,在将CDMA2000独特询问传送给WLAN设备之前,WLAN网络重新格式化CDMA2000独特询问,其遵照EAP/CDMA2000协议。其后,在步骤440中,WLAN网络从WLAN设备接收对CDMA2000独特询问的响应。步骤410、420、430与440包括在图2中所示的步骤223中。
接着,在步骤450中,WLAN服务器验证WLAN设备对CDMA2000独特询问的响应,其通过将其与在步骤420中从CDMA2000认证中心接收的响应进行比较来完成。步骤450包括在图2中所示的步骤226中。
如果步骤410确定允许与WLAN网络共享SSD,在步骤425中,WLAN网络生成CDMA2000独特询问。优选地,在验证CDMA2000全局询问与响应之后,WLAN网络自动生成CDMA2000独特询问。在CDMA2000归属网发起CDMA2000独特询问的情形中,WLAN网络从CDMA2000认证中心接收CDMA2000独特询问,而非在步骤425中生成CDMA2000独特询问。注意,来自CDMA2000认证中心的独特询问优选地遵照ANSI-41协议进行格式化。
其后,在步骤435中,WLAN服务器向WLAN设备发送CDMA2000独特询问。优选地,在将CDMA2000独特询问传送给WLAN设备之前,WLAN网络格式化CDMA2000独特询问,其遵照EAP/CDMA2000协议。其后,在步骤445中,WLAN网络从WLAN设备接收对CDMA2000独特询问的响应。步骤435、435与445也包括在图2中所示的步骤223中。
接着,在步骤455中,WLAN服务器验证WLAN设备对CDMA2000独特询问的响应。优选地,CDMA2000独特询问被重新格式化,以符合ANSI-41协议。因为共享SSD,在步骤455中,WLAN服务器计算响应,然后将其与自WLAN设备接收的响应进行比较。
图5是流程图500,其显示推导和使用WLAN主密钥的细节,其遵照图2中所示的WLAN设备认证过程的优选实施例。基本上,流程图500提供了在步骤234中使用CDMA2000加密密钥推导主密钥,在步骤237、238与239中认证WLAN设备,以及在步骤240中推导会话密钥的细节。流程图还包括向WLAN设备认证WLAN网络。隐含地,在步骤201中接收询问RANDreq。WLAN服务器使用主密钥来计算对RANreq的响应,其隐含地包括在步骤237中。
步骤510确定是否允许SSD共享。如果不允许SSD共享,则在步骤520中,WLAN服务器从CDMA2000认证中心获取CDMA加密密钥。如果允许SSD共享,则在步骤530中,WLAN服务器生成CDMA2000加密密钥。
在步骤520中获取CDMA2000加密密钥后,或者在步骤530中生成CDMA2000加密密钥后,在步骤540中,WLAN服务器将推导WLAN主密钥。优选地,WLAN网络使用伪随机函数从CDMA2000加密密钥推导主密钥。到伪随机函数的输入应包括CDMA2000加密密钥(SMEKEY)、CDMA2000用户标识(M-ID)、与WLAN用户标识(W-ID)(如果其不同于CDMA2000用户标识的话)。其还可包括版本号(Version-ID)、计数器(Counter)、以及其它信息。这里,不失一般性,我们假定一个伪随机函数,其具有128位输出值,并使用它作为主密钥。在下面的方程中,标注“|”意味着连接。MK(Master Key)=PRF_MK(SMEKEY|M-ID|W-ID|Version-ID|Counter|...).
其中伪随机函数PRF_MK(x)用于推导密钥,其可以是任何标准指定的伪随机函数。
在步骤550中,WLAN认证服务器计算响应,以向WLAN设备认证其自身,其通过响应随机询问RANDreq而完成。作为示例,计算响应Auth-server为
Auth-server=H(MK|RANDreq|Nouce_4|...).
其中哈希函数H(x)用于计算响应,其可以是任何标准指定的单向哈希函数。变量MK是主密钥,而Nounce_4是公共变量,例如系统时间、计数器值或公共共享的随机数。
在步骤560中,WLAN服务器生成随机询问RANDch并将其发送给WLAN设备。WLAN设备其后使用该随机询问(RANDch),连同其主密钥(MK),并且可能连同公共变量(Nounce_X),例如系统时间、计数器值、或公共共享的随机数,来计算认证响应(Auth-Res)。
Auth-Res=H(MK|RANDch|Nouce_1|...).
WLAN服务器将验证响应,其通过使用主密钥计算Auth-Res,并将其与接收的响应进行比较来完成。哈希函数H(x)用于计算响应,其可以是任何标准指定的单向哈希函数。
在步骤570中,WLAN服务器使用伪随机函数从主密钥推导加密密钥(Cipher-key)、完整性保护密钥(MAC-key)、与其它密钥。下面是计算加密密钥与完整性密钥的示例。
Cipher-key=PRF_c(MK|RANDch|RANDreq|Nouce_2|...),
MAC-Key=PRF_mac(MK|RANDch|RANDreq|Nouce_3|...).
伪随机函数PRF(x)用于推导密钥,其可以是任何标准指定的伪随机函数。例如,它们可以是基本上相同的函数,而参数不同。
图6是流程图600,其显示WLAN设备的WLAN网络认证的细节,其使用推导的WLAN主密钥。该流程图600是图2中所示的认证过程的子集。注意,WLAN网络认证过程不要求与CDMA2000认证中心进行任何交互,因为存在WLAN设备的有效主密钥。
在开始步骤601中,我们假定WLAN服务器已发起WLAN网络认证过程,这意味着存在WLAN设备的有效主密钥。在步骤610中,WLAN服务器获取早先接收的随机询问RANDreq并计算响应。在步骤620中,其生成随机询问RANDch并将其发送给WLAN设备,优选地连同在步骤610中计算的对RANDreq的响应一起发送。在步骤630中,WLAN设备从WLAN设备接收对随机询问RANDch的响应。步骤620与630包括在图2的步骤237中。在步骤238中(在这里和图2中显示),WLAN服务器使用主密钥验证WLAN设备对随机询问RANDch的响应。如果其为有效响应,如步骤239中确定的那样,则在步骤240中,WLAN服务器推导会话密钥。否则,步骤250向WLAN设备发送“认证失败”消息,而协议终止于步骤699。该流程图600突出了WLAN网络无需与CDMA2000认证中心进行通信的情形——无论是否允许SSD共享。
图6中所示的WLAN网络认证流程比图2中所示的与CDMA2000网络的完整认证更频繁地进行。因此,通过使用这样的主密钥,将显著减小网络流量。
图7是流程图700,其显示WLAN设备中的WLAN设备认证过程,其遵照优选实施例。该认证过程使用CDMA2000证书来向WLAN网络(例如图1中所显示的)认证。优选地,该认证过程实现为具有UIM的WLAN设备(例如图中所示的具有CDMA2000证书110的WLAN无线通信设备130)中的计算机程序。
步骤701在WLAN设备开始WLAN设备认证过程。开始步骤701由WLAN设备当请求到WLAN网络的接入时发起,如先前参照图1所描述的那样。另外,开始步骤701可由WLAN网络发起,其请求重新认证WLAN设备,如先前参照图1所描述的那样。一般地,WLAN网络将周期性地重新认证WLAN设备和/或更新主密钥,如由网络运营商确定的那样。优选地,所有进出WLAN设备的通信均遵照EAP/CDMA2000协议。
在发起认证过程时,在步骤703中,WLAN设备生成随机询问RANDreq。其后,在步骤706中,其将该询问发送给WLAN网络。如果WLAN服务器有有效主密钥,流程将跳转到步骤785,其开始WLAN网络认证。如果WLAN服务器没有该WLAN设备的有效主密钥,则完整认证从步骤710开始发生。参看图2中的决策步骤210与所附文本。在步骤710中,WLAN设备从WLAN网络接收CDMA2000全局询问。在步骤720中,WLAN设备使用其CDMA2000证书110(如图1所示)公式化计算对全局询问的响应。其后,在步骤730中,WLAN设备向WLAN网络发送响应。如果对全局询问的响应有效,在步骤740中,WLAN设备接收CDMA2000独特询问。在步骤750中,WLAN设备使用其WLAN设备的UIM中的CDMA2000证书公式化计算对CDMA2000独特询问的响应。其后,在步骤760中,其将对CDMA2000独特询问的响应发送给WLAN网络。
如果对CDMA2000独特询问的响应有效,在步骤765中,WLAN设备将接收“成功”消息,而在步骤770中,WLAN设备生成CDMA2000加密密钥。优选地,WLAN网络加密密钥是信号加密密钥(SMEKEY),其传统地从CDMA2000证书生成以进行CDMA2000网络中的信号加密。然而,在此情形中,重新部署SMEKEY,以用作生成主密钥的WLAN密钥材料。在步骤780中,WLAN设备从加密密钥推导主密钥,如先前参照图2所描述的那样。在生成主密钥时,在步骤785中,WLAN设备将接收WLAN认证询问RANDch,而此消息还可包括对步骤706中发送的随机询问RANDreq的响应。在步骤789中,WLAN设备使用主密钥来验证来自网络的对RANDreq的响应。如果其有效,则在步骤790中,其使用主密钥来计算对应于WLAN询问RANDch的响应。在步骤795中,将响应送往WLAN网络。
在步骤797中,WLAN设备使用主密钥推导会话密钥,其与先前参照图2的步骤240描述的过程类似。在认证WLAN设备和生成会话密钥时,WLAN设备认证过程结束于步骤799,并且可使用会话密钥来保护WLAN接入点与WLAN设备之间的通信。
图8是WLAN设备800的功能框图,其遵照优选实施例。WLAN设备800生成CDMA2000加密密钥,认证WLAN网络,并加密WLAN数据。WLAN设备800具有天线899与收发器890,以进行无线通信。
在CDMA2000用户标识模块(UIM)801中,CDMA2000UIM生成和输出CDMA2000加密密钥,例如SMEKEY。UIM可以是永久安装的UIM或者可移动UIM(R-UIM)。其后,WLAN设备在主密钥生成模块810中生成WLAN主密钥,该模块连接到UIM,并接收CDMA2000加密密钥,并使用其作为主密钥生成的基础。随机数发生器805连接到收发器890、WLAN认证模块850与会话密钥推导模块860,生成随机询问RANDreq。WLAN认证模块850连接到主密钥生成模块810与收发器890,接收来自WLAN网络的询问RANDch以及对先前生成的询问RANDreq的网络响应,并且使用其主密钥验证来自WLAN网络的对先前生成的询问RANDreq的响应。如果响应有效,WLAN认证模块850使用主密钥计算对WLAN询问RANDch的响应。WLAN认证模块850其后将对随机询问RANDch的响应发送到收发器890。
在成功进行询问与响应之后,会话密钥推导模块860(其连接到WLAN认证模块850与主密钥生成模快810)从主密钥推导会话密钥。通信保护模块870(其连接到会话密钥推导模块860与收发器890)在数据保护算法中使用会话密钥以保护通信。
优选地,各模块实现为运行在WLAN设备的处理器中的软件,并且直接地或间接地连接到收发器。
图9是流程图900,其显示将CDMA2000认证协议转化为可扩展认证协议(EAP)的新扩展(称为EAP/CDMA2000)的过程。优选地,WLAN服务器(例如图1中所示的WLAN AAA服务器150)进行此转化过程。协议在WLAN网络与具有CDMA证书的WLAN设备之间执行。EAP的主要消息是“请求”、“响应”、与“成功”或“失败”。在服务器向设备发送请求消息后,设备应以响应消息。成功或失败消息指示成功或失败的认证。EAP/CDMA2000允许CDMA2000全局与独特询问的完整认证。它还可允许使用有效WLAN主密钥认证,无需全局询问或独特询问,仅有WLAN询问与响应。
EAP/CDMA2000转化开始于过程901。在步骤905中,WLAN服务器发送EAP请求/标识。其后,在步骤910中,其接收EAP响应/标识并验证之。步骤905与910是许多EAP扩展中用到的已知消息的变形。
在步骤915中,WLAN服务器发送EAP请求/CDMA2000/开始消息。WLAN设备使用CDMA证书识别出该消息为EAP的新扩展。在步骤920中,WLAN服务器自WLAN设备接收EAP响应/CDMA2000/开始消息。EAP响应/CDMA2000/开始消息可包括嵌入数据RANDreq。RANDreq是来自WLAN设备的询问,WLAN服务器将其保存供将来使用,如先前参照图6步骤610所描述的那样。
在步骤925中,WLAN服务器生成全局响应,如CDMA2000中规定的那样,并在发送EAP请求/CDMA2000/全局消息之前将该全局响应嵌入其中。其后,在步骤930中,WLAN服务器接收EAP响应/CDMA2000/全局消息。其后,WLAN服务器自该消息获取对全局询问的响应并验证之。当不共享SSD时,验证将非常可能要求与CDMA2000认证中心进行通信。当共享SSD时,WLAN服务器可进行验证,而无需与CDMA2000认证中心进行交互。这显示在图3中并参照图3进行描述。在步骤935中,如果对全局询问的响应无效,步骤980发送EAP失败消息。
如果遵照步骤935,对全局询问的响应有效,WLAN服务器自己生成CDMA2000独特询问,或者在步骤940中从CDMA2000认证中心接收CDMA2000独特询问。在任一情形中,将CDMA2000独特询问插入到EAP请求/CDMA2000/独特消息中并发送之。在步骤945中,WLAN服务器接收EAP响应/CDMA2000/独特消息。WLAN服务器从消息获取该响应并验证之,其遵照图4与所附文本。优选地,当不共享SSD时,CDMA2000认证中心参与,而当共享SSD时,CDMA2000认证中心不参与。如果步骤950确定其不是有效响应,则在步骤980中,WLAN服务器发送EAP失败消息。
如果步骤950确定响应有效,在步骤955中,WLAN服务器生成随机询问RANDch,将其嵌入到EAP请求/CDMA2000/询问消息中,并发送之。消息包括来自WLAN服务器的对在步骤920中接收和保存的询问RANDreq的响应。在步骤965中,WLAN服务器接收EAP响应/CDMA2000/询问消息。WLAN服务器从该消息获取该响应并验证之。如果步骤970确定响应有效,则在步骤975中,WLAN服务器发送EAP成功消息并推导会话密钥。否则,在步骤980中,WLAN服务器发送EAP失败消息。方法终止于步骤999。
图10是流程图,其显示共享秘密数据(SSD)更新的过程1000,其中WLAN服务器将SSD更新协议转化为可扩展认证协议(EAP)的新扩展(称为EAP/CDMA2000)。SSD更新通常由CDMA2000认证中心发起。WLAN服务器执行与WLAN设备的SSD更新,以符合CDMA2000网络的安全政策,并维护与CDMA2000认证中心的接口。在过程开始于步骤1001之后,在步骤1003中,协议一般由来自CDMA2000认证中心的消息触发,该消息指示SSD更新。在步骤1003中,WLAN服务器接收SSD更新的随机数RANDSSD。
其后,在步骤1005中,WLAN服务器发送EAP请求/标识消息。在步骤1010中,其接收EAP响应/标识消息并验证之。步骤1005与1010是对所有EAP扩展公共的消息。
在步骤1015中,WLAN服务器发送EAP请求/CDMA2000/开始消息。设备使用CDMA证书识别出该执行是EAP的扩展。在步骤1020中,WLAN服务器接收EAP响应/CDMA2000/开始消息。EAP响应/CDMA2000/开始消息可包括数据RANDreq。RANDreq是来自WLAN设备的询问。WLAN服务器保存RANDreq。
在步骤1025中,通过发送EAP请求/CDMA2000/SSD消息来指示SSD更新。EAP请求/CDMA2000/SSD消息中包括在步骤1003中从CDMA2000认证中心接收的随机数RANDSSD。RANDSSD将用于在设备处计算新的SSD。在步骤1030中接收的EAP响应/CDMA/SSD消息包括随机询问RANDBS。这是自设备对CDMA2000网络的询问。
如果不共享新SSD,则在步骤1035中,WLAN服务器向CDMA2000认证中心发送随机询问RANDBS,并请求响应。在步骤1040中,其接收来自CDMA2000认证中心的响应AUTHBS。如果共享新SSD,则将跳过步骤1035与1040。作为替代,WLAN服务器计算响应AUTHBS。
响应AUTHBS包括在EAP请求/CDMA2000/SSDBS消息中并在步骤1045中发送。在步骤1050中,接收的EAP响应/CDMA2000/SSDBS消息指示响应AUTHBS有效或无效。
在步骤1050中,WLAN服务器可自己生成CDMA2000独特询问,或者从CDMA2000认证中心接收CDMA2000独特询问。在任一情形中,在步骤1055中,将CDMA2000独特询问插入到EAP请求/CDMA2000/独特消息中并发送之。在步骤1060中,WLAN服务器接收EAP响应/CDMA2000/独特消息。WLAN服务器从消息获取该响应并验证之,其遵照图4与所附文本。优选地,当不共享新SSD时,与CDMA2000认证中心的验证发生,而当共享新SSD时,验证是自治的。如果步骤1065确定响应无效,则在步骤1090中,WLAN服务器发送EAP失败消息,而在步骤1099中过程终止。
如果响应有效,在步骤1070中,WLAN服务器生成随机询问RANDch,将其嵌入到EAP请求/CDMA2000/询问消息中,并发送之。消息包括来自WLAN服务器的对在步骤1020中接收和保存的询问RANDreq的响应。在步骤1075中,WLAN服务器接收EAP响应/CDMA2000/询问消息。WLAN服务器从消息获取该响应并验证之。如果步骤1080确定对随机询问的响应有效,则在步骤1099中成功完成SSD更新之前,在步骤1085中,WLAN服务器发送EAP成功消息并推导会话密钥。否则,在步骤1090中,WLAN服务器发送EAP失败消息,而过程终止于步骤1099。
注意,仅在生成CDMA2000加密密钥和在设备中形成主密钥时,WLAN认证过程采用CDMA2000设备认证。此方法减轻了WLAN网络与CDMA2000网络之间的频繁交互。此方法的一个优点是由于在与CDMA2000认证中心通信时,WLAN认证服务器优选地将EAP/CDMA2000协议转化为ANSI-41协议,而在与WLAN设备通信时,将ANSI-41协议转化回EAP/CDMA2000协议,WLAN设备认证过程容易地集成到现有的WLAN网络与CDMA2000网络中。
因此,所述的用于WLAN中的认证的系统、方法与设备提供了这样一种系统、方法、与设备:其用于使用CDMA2000证书来认证WLAN设备。此过程最小化了对CDMA2000和WLAN的现有认证过程的破坏,而不显著增加网络流量。此过程不要求对CDMA2000证书或CDMA2000认证中心作任何改变。
尽管本公开包括目前被认为是本发明的优选实施例与最佳模式,并以建立发明人对其的拥有权并且允许本领域普通技术人员制造和使用本发明的方式进行描述,本领域技术人员将理解和认识到,存在这里公开的优选实施例的许多等价物,并且可进行修改与变动,而不偏离本发明的范围与实质,其不受优选实施例限制,而受所附权利要求书限制,包括在本申请审批期间进行的任何修改和所发布的权利要求书的全部等价物。
术语“一个”,如这里所使用的那样,被定义为一个或超过一个。术语“多个”,如这里所使用的那样,被定义为二个或超过二个。术语“另一”,如这里所使用的那样,被定义为至少第二或更多。术语“包括”和/或“具有”,如这里所使用的那样,被定义为非排他性的包括(即,开放语言)。术语“连接”,如这里所使用的那样,被定义为连接,尽管不一定是直接地,并且不一定是机械地。
术语“程序”,如这里所使用的那样,被定义为被设计为在计算机系统上执行的指令序列。“程序”,或“计算机程序”,可包括子函数、函数、过程、对象方法、对象实现、可执行应用程序、applet、servlet、源代码、目标代码、共享库/动态装载库和/或其它被设计为在电脑系统上执行的指令序列。
进一步应该理解,关系术语的使用,例如第一与第二、顶与底、等等,如果有的话,仅用于将一实体、物品、或动作与另一实体、物品或动作区分开来,而不一定要求或暗示在这样的实体、物品或动作之间存在任何实际的这样的关系或顺序。许多发明特性与许多发明原则使用软件程序或指令或在其中最佳地实现。尽管可能需要显著的努力和存在由,比如说,可用时间、当前技术、与经济考虑激发的许多设计选择,预期本领域普通技术人员在这里公开的概念与原则的指引下,将容易地有能力生成这样的软件指令与程序,而只需最少的实验。因此,为简洁起见并且最小化使遵照本发明的原则与概念变得晦涩的风险,对这样的软件的进一步讨论,如果有的话,将受到限制。
Claims (34)
1.一种系统,其包括:
CDMA2000认证中心,用于认证CDMA2000证书;
无线局域网(WLAN)认证服务器,其连接到所述CDMA2000认证中心,用于使用CDMA2000证书认证持有CDMA2000证书的WLAN设备;和
持有CDMA2000证书的至少一个WLAN设备,其连接到所述WLAN认证服务器。
2.如权利要求1所述的系统,其进一步包括:
WLAN接入点,其连接到所述WLAN认证服务器,并无线地连接到所述持有CDMA2000证书的至少一个WLAN设备。
3.如权利要求1所述的系统,其中所述WLAN认证服务器使用ANSI-41协议与所述CDMA2000认证中心通信。
4.如权利要求1所述的系统,其中所述WLAN认证服务器使用可扩展认证协议(EAP)的扩展与所述持有CDMA2000证书的至少一个WLAN设备通信。
5.一种用于无线局域网(WLAN)服务器使用CDMA2000证书认证WLAN设备的方法,其包括以下步骤:
与所述WLAN设备进行CDMA2000全局询问与响应;
验证所述CDMA2000全局询问与响应;
与所述WLAN设备进行CDMA2000独特询问与响应;
验证所述CDMA2000独特询问与响应;和
获取CDMA2000加密密钥。
6.如权利要求5所述的方法,其中所述CDMA2000加密密钥是信号加密密钥。
7.如权利要求5所述的方法,其进一步包括以下步骤:
从所述CDMA2000加密密钥推导主密钥。
8.如权利要求7所述的方法,其进一步包括以下步骤:
与所述WLAN设备进行WLAN询问与响应;
验证所述WLAN询问与响应;和
从所述主密钥推导会话密钥。
9.如权利要求8所述的方法,其中所述的与所述WLAN设备进行WLAN询问与响应的步骤包括以下步骤:
从所述WLAN设备接收随机询问RANDreq;
格式化对所述随机询问RANDreq的响应;
生成随机询问RANDch;
向所述WLAN设备发送所述随机询问RANDch;
向所述WLAN设备发送对所述随机询问RANDreq的响应;和
从所述WLAN设备接收对所述随机询问RANDch的响应。
10.如权利要求8所述的方法,其进一步包括以下步骤:
使用所述会话密钥来保护所述WLAN与所述WLAN设备之间的通信。
11.如权利要求5所述的方法,其中所述的验证所述全局询问与响应的步骤包括以下步骤:
确定CDMA2000认证中心是否与所述WLAN服务器共享共享秘密数据(SSD);
如果所述CDMA2000认证中心不与所述WLAN服务器共享SSD,向所述CDMA2000认证中心发送所述全局询问与响应;和
如果所述CDMA2000认证中心不与所述WLAN服务器共享SSD,从所述CDMA2000认证中心接收响应。
12.如权利要求5所述的方法,其中所述的验证所述CDMA2000全局询问与响应的步骤包括以下步骤:
确定CDMA2000认证中心是否与所述WLAN服务器共享共享秘密数据(SSD);和
如果所述CDMA2000认证中心与所述WLAN服务器共享SSD,自治地验证所述全局询问与响应。
13.如权利要求5所述的方法,其中所述的执行CDMA2000独特询问与响应的步骤包括以下步骤:
确定CDMA2000认证中心是否与所述WLAN服务器共享共享秘密数据(SSD);
如果所述CDMA2000认证中心不与所述WLAN服务器共享SSD,从所述CDMA2000认证中心接收独特询问与响应;
向所述WLAN设备发送所述独特询问;
从所述WLAN设备接收对所述独特询问的响应;和
比较所述的来自所述WLAN设备的响应与所述的来自所述CDMA2000认证中心的响应。
14.如权利要求5所述的方法,其中所述的执行独特询问与响应的步骤包括以下步骤:
确定CDMA2000认证中心是否与所述WLAN服务器共享共享秘密数据(SSD);
如果所述CDMA2000认证中心与所述WLAN服务器共享SSD,生成独特询问;
向所述WLAN设备发送所述独特询问;
从所述WLAN设备接收对所述独特询问的响应;和
验证所述的来自所述WLAN设备的响应。
15.一种用于无线局域网(WLAN)服务器使用CDMA2000证书认证WLAN设备的方法,其包括以下步骤:
确定所述WLAN服务器是否具有用于所述WLAN设备的有效主密钥;
如果有用于所述WLAN设备的有效主密钥,与所述WLAN设备进行WLAN询问与响应;
验证所述WLAN询问与响应;和
从所述主密钥推导会话密钥。
16.如权利要求15所述的方法,其进一步包括以下步骤:
使用所述会话密钥来保护所述WLAN与所述WLAN设备之间的通信。
17.如权利要求15所述的方法,其中所述WLAN服务器不与CDMA2000认证中心通信。
18.如权利要求15所述的方法,其进一步包括以下步骤:
如果没有用于所述WLAN设备的有效主密钥,与所述WLAN设备进行全局询问与响应;
验证所述全局询问与响应;
与所述WLAN设备进行独特询问与响应;和
验证所述独特询问与响应。
19.如权利要求18所述的方法,其中所述的与所述WLAN设备进行全局询问与响应的步骤包括以下步骤:
获取所述全局询问;
将所述全局询问插入到可扩展认证协议(EAP)请求消息的扩展中;
发送所述EAP请求消息;
接收EAP响应消息;和
从所述EAP响应消息中取得对所述全局询问的响应。
20.如权利要求18所述的方法,其中所述的与所述WLAN设备进行独特询问与响应的步骤包括以下步骤:
获取所述独特询问;
将所述独特询问插入到可扩展认证协议(EAP)请求消息的扩展中;
发送所述EAP请求消息;
接收EAP响应消息;和
从所述EAP响应消息中取得对所述独特询问的响应。
21.如权利要求18所述的方法,其进一步包括以下步骤:
获取CDMA2000加密密钥;
从所述CDMA2000加密密钥推导主密钥;
与所述WLAN设备进行WLAN询问与响应;和
验证所述WLAN询问与响应。
22.如权利要求21所述的方法,其中所述的与所述WLAN设备进行WLAN询问与响应的步骤包括以下步骤:
生成WLAN询问;
将所述WLAN询问插入到可扩展认证协议(EAP)请求消息的扩展中;
发送所述EAP请求消息;
接收EAP响应消息;和
从所述EAP响应消息中取得对所述WLAN询问的响应。
23.如权利要求21所述的方法,其进一步包括以下步骤:
从所述主密钥推导会话密钥;
使用所述会话密钥来保护所述WLAN与所述WLAN设备之间的通信。
24.如权利要求15所述的方法,其中当所述WLAN服务器发起对所述主密钥的更新时,没有用于所述WLAN设备的有效主密钥。
25.如权利要求15所述的方法,其中所述WLAN服务器使用可扩展认证协议(EAP)的扩展来认证所述WLAN设备。
26.一种用于无线局域网(WLAN)服务器使用CDMA2000证书更新WLAN设备中的共享秘密数据(SSD)的方法,其包括以下步骤:
从CDMA2000认证中心接收SSD更新请求;
与所述WLAN设备进行SSD更新;
获取CDMA2000加密密钥;
从所述CDMA2000加密密钥推导主密钥;
与所述WLAN设备进行WLAN询问与响应;
验证所述WLAN询问与响应;和
从所述主密钥推导会话密钥。
27.如权利要求26所述的方法,其中所述WLAN服务器使用可扩展认证协议(EAP)的扩展来与所述WLAN设备进行所述SSD更新。
28.一种无线局域网(WLAN)设备,其具有无线收发器,所述设备包括:
CDMA2000用户标识符模块(UIM),其用于存储CDMA2000证书和生成CDMA2000加密密钥;
随机数发生器,其连接到所述无线收发器,用于生成随机询问;
主密钥生成模块,其连接到所述UIM,用于从所述CDMA2000加密密钥推导WLAN主密钥;
WLAN认证模块,其连接到所述随机数发生器、所述主密钥生成模块与所述无线收发器,用于响应来自WLAN服务器的询问;
会话密钥推导模块,其连接到所述随机数发生器、所述WLAN认证模块与所述主密钥生成模块,以从所述主密钥推导会话密钥;和
通信保护模块,其连接到所述会话密钥推导模块与所述无线收发器,以使用所述会话密钥向WLAN数据施加保护。
29.如权利要求28所述的方法,其中所述CDMA2000加密密钥是信号加密密钥。
30.一种用于无线局域网(WLAN)设备使用CDMA2000证书来与WLAN服务器进行认证的方法,其包括以下步骤:
从所述WLAN服务器接收全局询问;
公式化计算对所述全局询问的响应;
向所述WLAN服务器发送所述全局询问;
从所述WLAN服务器接收独特询问;
公式化计算对所述独特询问的响应;
向所述WLAN服务器发送所述独特询问;
生成CDMA2000加密密钥;和
从所述CDMA2000加密密钥推导主密钥。
31.如权利要求30所述的方法,其进一步包括以下步骤:
从所述WLAN服务器接收WLAN询问;
公式化计算对所述WLAN询问的响应;
向所述WLAN服务器发送所述响应;和
从所述主密钥推导会话密钥。
32.如权利要求31所述的方法,其进一步包括以下步骤:
使用所述会话密钥来保护所述WLAN与所述WLAN设备之间的通信。
33.如权利要求30所述的方法,其进一步包括以下步骤:
生成随机询问,并向所述WLAN服务器发送所述随机询问。
34.如权利要求33所述的方法,其进一步包括以下步骤:
从所述WLAN服务器接收对所述随机询问的响应;和
验证对所述随机询问的所述响应。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/741,408 US20050138355A1 (en) | 2003-12-19 | 2003-12-19 | System, method and devices for authentication in a wireless local area network (WLAN) |
| US10/741,408 | 2003-12-19 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101120534A true CN101120534A (zh) | 2008-02-06 |
Family
ID=34678146
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2004800375952A Pending CN101120534A (zh) | 2003-12-19 | 2004-12-08 | 用于无线局域网(wlan)中的认证的系统、方法与设备 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20050138355A1 (zh) |
| JP (1) | JP2007522695A (zh) |
| KR (1) | KR20060123345A (zh) |
| CN (1) | CN101120534A (zh) |
| BR (1) | BRPI0417840A (zh) |
| RU (1) | RU2006126074A (zh) |
| WO (1) | WO2005065132A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017024662A1 (zh) * | 2015-08-11 | 2017-02-16 | 华为技术有限公司 | 一种接入认证方法及装置 |
Families Citing this family (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8630414B2 (en) | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| US7475241B2 (en) * | 2002-11-22 | 2009-01-06 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
| US7870389B1 (en) | 2002-12-24 | 2011-01-11 | Cisco Technology, Inc. | Methods and apparatus for authenticating mobility entities using kerberos |
| CN1601958B (zh) * | 2003-09-26 | 2010-05-12 | 北京三星通信技术研究有限公司 | 基于cave算法的hrpd网络接入认证方法 |
| US7735120B2 (en) * | 2003-12-24 | 2010-06-08 | Apple Inc. | Server computer issued credential authentication |
| US7515901B1 (en) * | 2004-02-25 | 2009-04-07 | Sun Microsystems, Inc. | Methods and apparatus for authenticating devices in a network environment |
| KR100838556B1 (ko) * | 2004-03-18 | 2008-06-17 | 콸콤 인코포레이티드 | 보안 실시간 프로토콜에서 암호정보의 효율적 전송 |
| US8526914B2 (en) * | 2004-06-04 | 2013-09-03 | Alcatel Lucent | Self-synchronizing authentication and key agreement protocol |
| US8094821B2 (en) * | 2004-08-06 | 2012-01-10 | Qualcomm Incorporated | Key generation in a communication system |
| US7639802B2 (en) * | 2004-09-27 | 2009-12-29 | Cisco Technology, Inc. | Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP |
| US9282455B2 (en) * | 2004-10-01 | 2016-03-08 | Intel Corporation | System and method for user certificate initiation, distribution, and provisioning in converged WLAN-WWAN interworking networks |
| US7502331B2 (en) * | 2004-11-17 | 2009-03-10 | Cisco Technology, Inc. | Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices |
| US7865602B2 (en) * | 2005-02-23 | 2011-01-04 | Nokia Siemens Networks Oy | System, method, and network elements for providing a service such as an advice of charge supplementary service in a communication network |
| US20060205386A1 (en) * | 2005-03-11 | 2006-09-14 | Lei Yu | Method and apparatus for providing encryption and integrity key set-up |
| US9143323B2 (en) * | 2005-04-04 | 2015-09-22 | Blackberry Limited | Securing a link between two devices |
| US8316416B2 (en) | 2005-04-04 | 2012-11-20 | Research In Motion Limited | Securely using a display to exchange information |
| KR100770928B1 (ko) | 2005-07-02 | 2007-10-26 | 삼성전자주식회사 | 통신 시스템에서 인증 시스템 및 방법 |
| US7627124B2 (en) * | 2005-09-22 | 2009-12-01 | Konica Minolta Technology U.S.A., Inc. | Wireless communication authentication process and system |
| US7626963B2 (en) * | 2005-10-25 | 2009-12-01 | Cisco Technology, Inc. | EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure |
| US8670566B2 (en) * | 2006-05-12 | 2014-03-11 | Blackberry Limited | System and method for exchanging encryption keys between a mobile device and a peripheral output device |
| DE102006036109B4 (de) | 2006-06-01 | 2008-06-19 | Nokia Siemens Networks Gmbh & Co.Kg | Verfahren und System zum Bereitstellen eines Mesh-Schlüssels |
| CN100512111C (zh) * | 2006-12-29 | 2009-07-08 | 西安西电捷通无线网络通信有限公司 | 采用分类终端证书实现基于wapi的wlan运营的方法 |
| US8145905B2 (en) * | 2007-05-07 | 2012-03-27 | Qualcomm Incorporated | Method and apparatus for efficient support for multiple authentications |
| GB2452251B (en) * | 2007-08-21 | 2010-03-24 | Motorola Inc | Method and apparatus for authenticating a network device |
| CN101816200B (zh) * | 2007-10-04 | 2013-07-24 | 朗讯科技公司 | 认证附着到与诸如ims的安全核心网通信的毫微微蜂窝上的移动单元的方法 |
| US8428554B2 (en) * | 2007-10-04 | 2013-04-23 | Alcatel Lucent | Method for authenticating a mobile unit attached to a femtocell that operates according to code division multiple access |
| KR20140022481A (ko) * | 2008-01-18 | 2014-02-24 | 인터디지탈 패튼 홀딩스, 인크 | M2m 통신을 인에이블하는 방법 및 장치 |
| US20090282251A1 (en) * | 2008-05-06 | 2009-11-12 | Qualcomm Incorporated | Authenticating a wireless device in a visited network |
| US8259949B2 (en) * | 2008-05-27 | 2012-09-04 | Intel Corporation | Methods and apparatus for protecting digital content |
| KR101691603B1 (ko) | 2009-03-05 | 2016-12-30 | 인터디지탈 패튼 홀딩스, 인크 | H(e)NB 무결성 검증 및 확인을 위한 방법 및 장치 |
| KR101681136B1 (ko) | 2009-03-06 | 2016-12-01 | 인터디지탈 패튼 홀딩스, 인크 | 무선 장치들의 플랫폼 검증 및 관리 |
| US20120198539A1 (en) * | 2009-08-31 | 2012-08-02 | China Mobile Communications Corporation | Service Access Method, System and Device Based on WLAN Access Authentication |
| CN101998406B (zh) * | 2009-08-31 | 2013-01-16 | 中国移动通信集团公司 | 基于wlan接入认证的业务访问方法 |
| KR20110048974A (ko) * | 2009-11-04 | 2011-05-12 | 삼성전자주식회사 | 무선통신 시스템에서 마스터 세션 키를 갱신하기 위한 장치 및 방법 |
| US8296836B2 (en) * | 2010-01-06 | 2012-10-23 | Alcatel Lucent | Secure multi-user identity module key exchange |
| JP2011176582A (ja) * | 2010-02-24 | 2011-09-08 | Buffalo Inc | 無線lan装置、無線lanシステム及びそのプログラム |
| CN103202045B (zh) | 2010-11-05 | 2016-06-01 | 交互数字专利控股公司 | 设备检验、遇险指示和补救 |
| CN103314605A (zh) * | 2011-01-17 | 2013-09-18 | 瑞典爱立信有限公司 | 用于认证通信设备的方法和装置 |
| EP2697933A4 (en) | 2011-04-15 | 2014-09-24 | Samsung Electronics Co Ltd | METHOD AND DEVICE FOR PROVIDING A MACHINE TO MACHINE SERVICE |
| CN104113426B (zh) * | 2013-04-17 | 2019-03-01 | 腾讯科技(深圳)有限公司 | 开放认证协议票据的升级方法、系统及装置 |
| CN104519020B (zh) * | 2013-09-29 | 2017-10-13 | 阿里巴巴集团控股有限公司 | 管理无线网络登录密码分享功能的方法、服务器及系统 |
| CN103596121B (zh) * | 2013-10-30 | 2016-08-17 | 北京网河时代科技有限公司 | 面向无线移动网络的流量共享方法 |
| CN103747096A (zh) * | 2014-01-21 | 2014-04-23 | 华为技术有限公司 | 一种终端间流量共享的方案 |
| CN104159255B (zh) * | 2014-08-11 | 2018-05-08 | 小米科技有限责任公司 | 终端间共享网络的方法及装置 |
| CN105657635B (zh) * | 2014-11-28 | 2019-08-02 | 广州市动景计算机科技有限公司 | 终端流量共享方法及系统 |
| CN111800788B (zh) * | 2020-09-08 | 2021-02-02 | 全讯汇聚网络科技(北京)有限公司 | 用于Wi-Fi连接管理的方法、终端及系统 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5455863A (en) * | 1993-06-29 | 1995-10-03 | Motorola, Inc. | Method and apparatus for efficient real-time authentication and encryption in a communication system |
| US5991407A (en) * | 1995-10-17 | 1999-11-23 | Nokia Telecommunications Oy | Subscriber authentication in a mobile communications system |
| WO1998031161A2 (en) * | 1997-01-11 | 1998-07-16 | Tandem Computers, Incorporated | Method and apparatus for automated a-key updates in a mobile telephone system |
| US6014085A (en) * | 1997-10-27 | 2000-01-11 | Lucent Technologies Inc. | Strengthening the authentication protocol |
| US6584310B1 (en) * | 1998-05-07 | 2003-06-24 | Lucent Technologies Inc. | Method and apparatus for performing authentication in communication systems |
| US6918035B1 (en) * | 1998-07-31 | 2005-07-12 | Lucent Technologies Inc. | Method for two-party authentication and key agreement |
| US6236852B1 (en) * | 1998-12-11 | 2001-05-22 | Nortel Networks Limited | Authentication failure trigger method and apparatus |
| US6397056B1 (en) * | 1999-04-30 | 2002-05-28 | Telefonaktiebolaget L M Ericsson (Publ) | System and method for reducing network signaling load in a radio telecommunications network |
| US6668166B1 (en) * | 1999-06-23 | 2003-12-23 | Lucent Technologies Inc. | Apparatus and method for mobile authentication employing international mobile subscriber identity |
| US6839434B1 (en) * | 1999-07-28 | 2005-01-04 | Lucent Technologies Inc. | Method and apparatus for performing a key update using bidirectional validation |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| US20020146127A1 (en) * | 2001-04-05 | 2002-10-10 | Marcus Wong | System and method for providing secure communications between wireless units using a common key |
| EP1421509A4 (en) * | 2001-08-07 | 2009-12-02 | Tatara Systems Inc | METHOD AND DEVICE FOR INTEGRATING CHARGING CALCULATION AND AUTHENTICATION FUNCTIONS IN LOCAL AND LARGE AREA WIRELESS DATA NETWORKS |
| US7130613B2 (en) * | 2001-08-30 | 2006-10-31 | Motorola, Inc. | Method for reducing fraudulent system access |
| US20030120920A1 (en) * | 2001-12-20 | 2003-06-26 | Svensson Sven Anders Borje | Remote device authentication |
| US7200112B2 (en) * | 2002-01-02 | 2007-04-03 | Winphoria Networks, Inc. | Method, system, and apparatus for a mobile station to sense and select a wireless local area network (WLAN) or a wide area mobile wireless network (WWAN) |
| US20030139180A1 (en) * | 2002-01-24 | 2003-07-24 | Mcintosh Chris P. | Private cellular network with a public network interface and a wireless local area network extension |
| US7197301B2 (en) * | 2002-03-04 | 2007-03-27 | Telespree Communications | Method and apparatus for secure immediate wireless access in a telecommunications network |
| DE50207674D1 (de) * | 2002-08-16 | 2006-09-07 | Togewa Holding Ag | Verfahren und system für gsm-authentifizierung bei wlan-roaming |
| US7181196B2 (en) * | 2003-05-15 | 2007-02-20 | Lucent Technologies Inc. | Performing authentication in a communications system |
| US7593717B2 (en) * | 2003-09-12 | 2009-09-22 | Alcatel-Lucent Usa Inc. | Authenticating access to a wireless local area network based on security value(s) associated with a cellular system |
-
2003
- 2003-12-19 US US10/741,408 patent/US20050138355A1/en not_active Abandoned
-
2004
- 2004-12-08 WO PCT/US2004/041075 patent/WO2005065132A2/en active Application Filing
- 2004-12-08 BR BRPI0417840-8A patent/BRPI0417840A/pt not_active Application Discontinuation
- 2004-12-08 KR KR1020067011997A patent/KR20060123345A/ko not_active Withdrawn
- 2004-12-08 CN CNA2004800375952A patent/CN101120534A/zh active Pending
- 2004-12-08 RU RU2006126074/09A patent/RU2006126074A/ru not_active Application Discontinuation
- 2004-12-08 JP JP2006545742A patent/JP2007522695A/ja active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017024662A1 (zh) * | 2015-08-11 | 2017-02-16 | 华为技术有限公司 | 一种接入认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007522695A (ja) | 2007-08-09 |
| US20050138355A1 (en) | 2005-06-23 |
| WO2005065132B1 (en) | 2007-11-01 |
| BRPI0417840A (pt) | 2007-04-27 |
| KR20060123345A (ko) | 2006-12-01 |
| RU2006126074A (ru) | 2008-01-27 |
| WO2005065132A3 (en) | 2007-09-13 |
| WO2005065132A2 (en) | 2005-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101120534A (zh) | 用于无线局域网(wlan)中的认证的系统、方法与设备 | |
| KR101044210B1 (ko) | 루스 커플링 연동을 위한 인증서 기반 인증 인가 과금 방식 | |
| JP5199405B2 (ja) | 通信システムにおける認証 | |
| EP1430640B1 (en) | A method for authenticating a user in a terminal, an authentication system, a terminal, and an authorization device | |
| US9668139B2 (en) | Secure negotiation of authentication capabilities | |
| KR101068424B1 (ko) | 통신시스템을 위한 상호동작 기능 | |
| JP2000269959A (ja) | キー更新による認証方法 | |
| US11895487B2 (en) | Method for determining a key for securing communication between a user apparatus and an application server | |
| AU1828001A (en) | Method and apparatus for performing a key update using update key | |
| CN102318386A (zh) | 向网络的基于服务的认证 | |
| JP2023162296A (ja) | コアネットワークへの非3gppデバイスアクセス | |
| KR20080050971A (ko) | 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법 | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
| CN111526008B (zh) | 移动边缘计算架构下认证方法及无线通信系统 | |
| CN102014385A (zh) | 移动终端的认证方法及移动终端 | |
| CN102404736B (zh) | 一种wai 证书鉴别方法及装置 | |
| RU2779029C1 (ru) | Доступ не отвечающего спецификациям 3gpp устройства к базовой сети | |
| KR20050075823A (ko) | 무선 랜망 간에 연동하여 사용자 인증을 하는 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080206 |