[go: up one dir, main page]

TWI394415B - 於無線通信網路中用於提供代理行動網際網路協定金鑰階層之方法及裝置 - Google Patents

於無線通信網路中用於提供代理行動網際網路協定金鑰階層之方法及裝置 Download PDF

Info

Publication number
TWI394415B
TWI394415B TW097120507A TW97120507A TWI394415B TW I394415 B TWI394415 B TW I394415B TW 097120507 A TW097120507 A TW 097120507A TW 97120507 A TW97120507 A TW 97120507A TW I394415 B TWI394415 B TW I394415B
Authority
TW
Taiwan
Prior art keywords
key
node
pmip
access
access terminal
Prior art date
Application number
TW097120507A
Other languages
English (en)
Other versions
TW200915805A (en
Inventor
Vidya Narayanan
Raymond Tah-Sheng Hsu
Lakshminath Reddy Dondeti
Jun Wang
Fatih Ulupinar
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of TW200915805A publication Critical patent/TW200915805A/zh
Application granted granted Critical
Publication of TWI394415B publication Critical patent/TWI394415B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

於無線通信網路中用於提供代理行動網際網路協定金鑰階層之方法及裝置
至少一個特徵係關於通信系統,且更特定而言係關於一種於一無線網路內用於促進安全代理行動IP (PMIP)金鑰產生及分配之方法。
本專利申請案主張2007年5月31日申請之題為"Methods and Apparatus for Providing Key Hierarchy and Computation in Wireless Communication Networks"之美國臨時申請案第60/941,256號之優先權,並受讓於其受讓人且在此以引用方式明確地併入本文中。
在3GPP2內之各種無線通信網路之演進中,一種類型之網路架構稱為超級行動寬頻(UMB)網路且旨在針對下一代應用及需要改良CDMA2000行動電話標準。UMB封包資料網路係基於在一下一代無線電系統上運行之網際網路(TCP/IP)網路連結技術且旨在更有效並能夠較其替代之技術提供更多服務。UMB旨在成為一第四代(4G)技術且使用一高頻寬、低延時、上面建立有高階服務(例如,語音)之基本TCP/IP網路。甚大之頻寬量(與先前代相比較)及甚低之延時使得能夠使用先前不可能之各種應用類型,同時繼續遞送高品質(或較高品質)語音服務。
UBM網路對其網路存取節點(稱為演進基地台(eBS))具有較少的集中式管理。該等存取節點可耦合至一本端或經共同定位之對話參考網路控制器(SRNC)。此等存取節點及/ 或SRNC可實施許多與一習用CDMA網路中之基地台(BS)及基地台控制器(BSC)相同之功能。因此,由於藉助一UMB架構中之存取節點(eBS)及SRNC而更接近於無線介面實施之額外操作,在試圖維持該等存取節點及SRNC之安全之過程中出現數個問題。一個此問題係在一存取終端機遠離其本地網路向不同網路漫遊時支援並保護通信。
行動IP (MIP)為一行動節點(存取終端機)指定一協定來即使在該行動節點(存取終端機)不存在於其本地網路中時亦接收去往其本地IP位址之封包。其在該行動節點(存取終端機)與一本地代理(HA)之間指定登記請求(RRQ)及回應(RRP)訊息。該HA接著代表該行動節點接收封包並將該等封包隧穿至該行動節點(存取終端機)之當前位置。使用由該行動節點(存取終端機)及其本地代理所共享之金鑰來鑑別RRQ及RRP訊息。
在某些情形下,如其中連接至網路之行動節點(存取終端機)不具有一行動IP堆棧但需要移動性服務之情形下,該網路必須依賴於一代理(稱為代理行動節點,PMN)產生登記請求並代表行動節點(存取終端機)處理登記回應。為保證行動IP相容能力,必須經由行動節點(存取終端機)之當前子網路發送來自PMN之控制封包。因此由該PMN產生之MIP控制封包經由一駐存於該行動節點之當前子網路中(亦即位於一外地代理人或一存取節點中)之輔助功能隧穿。因此,該PMN(及該PMN-HA金鑰)即使在行動節點(存取終端機)自一個子網路向另一子網路移動或漫遊時亦可 駐存於一唯一/安全位置中。
因此,需要一種於一網路內產生並分配用於PMIP隧道之金鑰之方式。
提供一種操作一存取閘道器之第一方法,其包括:(a)接收一將一存取終端機之一代理行動網際網路協定(PMIP)隧道連結自一第一存取節點改變至一第二存取節點之請求;(b)產生一第一節點金鑰;(c)將該第一節點金鑰發送至一中間網路節點,該中間網路節點可產生一第一PMIP金鑰並將其提供至該第二存取節點;及/或(d)在該閘道器與該第二存取節點之間建立該第一PMIP金鑰所保護之一PMIP隧道。該方法可進一步包括(e)確定是否已透過該第二存取節點鑑別該存取終端機;(f)僅在尚未鑑別該存取終端機時產生並發送該第一節點金鑰。其中,若已鑑別該存取終端機,則進一步包括:(g)產生一第二節點金鑰;(h)依據第二節點金鑰產生一第二PMIP金鑰;及/或(i)將該第二PMIP金鑰發送至該第二存取節點。該中間網路節點係一對話參考網路控制器(SRNC)。該第一節點金鑰及第二節點金鑰可隨機地選擇且彼此獨立或其可係基於一根金鑰。
該方法可進一步包括維持一與該存取終端機(AT)相關聯並用於保護到達服務該存取終端機之網路節點之PMIP隧道之PMIP金鑰階層,其中該金鑰階層包含該第一節點金鑰。該PMIP金鑰階層可包含一自其導出該第一節點金鑰之隨機選定根金鑰。該PMIP金鑰階層之根金鑰可為該存 取終端機所不知。該PMIP金鑰階層可獨立於一為該存取終端機所已知並用於鑑別該存取終端機之主要金鑰階層。該第二存取節點可係一提供到達該存取終端機之無線連接性之增強型基地台(eBS)。該閘道器在一超級行動寬頻(UMB)相容網路中操作。
提供一種操作一存取閘道器之第二方法,其包括:(a)接收一將一存取終端機之一代理行動網際網路協定(PMIP)隧道連結自一第一存取節點改變至一第二存取節點之請求;(b)產生一第一節點金鑰;(c)依據第一節點金鑰產生一第一PMIP金鑰;(d)將該第一PMIP金鑰發送自該第二存取節點;及/或(e)在該閘道器與該第二存取節點之間建立該第一PMIP金鑰所保護之一PMIP隧道。該方法可進一步包括:(f)確定是否已透過該第二存取節點鑑別該存取終端機;及(g)僅在已鑑別之存取節點時產生並發送該第一節點金鑰。其中若尚未鑑別該存取終端機,則該方法可進一步包括:(h)產生一第二節點金鑰;及/或(i)將該第二節點金鑰發送至一中間網路節點,該中間網路節點產生一第二PMIP金鑰並將其提供至該第二存取節點。該中間網路節點可係一對話參考網路控制器(SRNC)。該第二存取節點可係增強型基地台(eBS)。該方法可進一步包括維持一與該存取終端機(AT)相關聯並用於保護到達服務該存取終端機之網路節點之PMIP隧道之PMIP金鑰階層,其中該金鑰階層包含該第一節點金鑰。其中該PMIP金鑰階層包一自其導出該第一節點金鑰之隨機選定之根金鑰。
在以下描述中,為達成對該等組態之透徹理解而給出具體細節。然而,熟悉此項技術者應理解,可在不具備該等具體細節之情形下實踐該等組態。舉例而言,可用方塊圖顯示電路以避免因不必要之細節而模糊該等組態。在其他示例中,可詳細顯示衆所周知之電路、結構及技術以避免模糊該等組態。
同樣,注意,可將該等組態描述為一描繪為一流程表、一流程圖、一結構圖或一方塊圖之過程。雖然一流程表可將操作描述為一順序過程,然而許多操作可並行或同時實施。另外,可重新排歹j操作之次序。當其操作完成時,一過程終止。一過程可對應於一方法、一函數、一程序、一次常式、一子程式等等。當一過程對應於一函數時,其終止對應於該函數返回至調用函數或主函數。
在一個或多個實例及/或組態中,所描述之功能可構建於硬體、軟體、韌體或其任一組合中。若構建於軟體中,則該等功能可作為一個或多個指令或碼儲存於一電腦可讀媒體上或經由該電腦可讀媒體傳輸。電腦可讀媒體包含電腦儲存媒體及包含任一促進一電腦程式自一個地點至另一地點轉移之媒體之通信媒體兩者。一儲存媒體可係可由一通用或專用電腦存取之任一可用媒體。以實例方式,且不限制,此電腦可讀媒體可包括RAM、ROM、EEPROM、CD-ROM或其他光碟儲存器、磁碟儲存器或其他磁性儲存器件或可用於以指令或資料結構形式攜載或儲存期望之程 式碼方式且任一其他可由一通用或專用電腦或一通用或專用處理器存取之媒體。同樣,任一連接被適當地稱為一電腦可讀媒體。舉例而言,若軟體使用一同軸電纜、光纖電纜、雙絞線、數位用戶線(DSL)或無線技術(例如,紅外線、無線電及微波)自一網站、伺服器或其他遙遠源傳輸,則同軸電纜、光纖電纜、雙絞線、DSL或無線技術(例如,紅外線、無線電及微波)包含在媒體之界定中。如本文中使用之磁碟及光碟包含:壓縮光碟(CD)、雷射光碟、光碟、數位多功能光碟(DVD)、軟磁碟及藍光光碟,其中磁碟通常以磁性方式來重現資料,而光碟藉助雷射以光學方式來重現資料。以上組合亦包含在電腦可讀媒體之範疇內。
此外,一存儲媒體可代表一個或多個用於存儲資料之器件,包含唯讀記憶體(ROM)、隨機存取記憶體(RAM)、磁碟儲存媒體、光學儲存媒體、閃存器件及/或其他用於存儲資訊之機器可讀媒體。
此外,組態可由硬體、軟體、韌體、中間體、微碼或其任一組合構建。在構建於軟件、韌體、中間體或微碼中時,執行必須任務的程序碼或碼段可存儲於一電腦可讀媒體(例如,儲存媒體或其他儲存器)中。一處理器可實施必需的任務。一碼段可代表一程序、一函數、一子程式、一程式、一常式、一次常式、一模塊、一軟體包、一分類、或指令、資料結構或程式語句之任一組合。一碼段可藉由傳遞及/或接收資訊、資料、自變量、參數或記憶體內容 而耦合至另一碼段或一硬體電路。資訊、自變量、參數、.資料等等可經由包含共享記憶體、訊息傳遞、記號傳遞、網絡傳輸等等任一適宜之構件傳遞、轉發或傳輸。
在以下描述中,使用某些術語來描述某些特徵。術語"存取終端機"及"通信器件"可可交替地用於指代一行動器件、行動電話、無線終端機及/或其他類型之能夠經由一無線網路通信之行動或固定通信裝置。
一個態樣提供一種用於保護一伺服網路閘道器與存取網路節點之間之一PMIP隧道之方法。該閘道器維持一PMIP金鑰階層。在已實施存取終端機之鑑別時,該閘道器使用一第一節點金鑰來保護PMIP隧道。否則,在尚未實施存取終端機之鑑別時,該閘道器使用一第二節點金鑰來保護PMIP隧道。
網路環境
圖1係一其中可根據一個實例構建安全PMIP金鑰分配之一個或多個特徵之UMB網路之方塊圖。一UMB網路可使用一不依賴於一集中式實體(例如,一基地台控制器(BSC))之平面式架構來協調跨越該UMB之演進基地台(eBS)之連接。一eBS可將一習用基地台、一BSC之功能及封包資料伺服節點(PDSN)之某些功能組合成一單個節點,從而使得UMB網路之部署更簡單。隨著組件數目之減少(與先前技術網路相比較),UMB網路可更可靠、更靈活、更易於部署及/或操作成本更少。例如,在舊式網路中,BS、BSC、PDSN及行動IP本地代理(HA)皆合作以伺服使 用者訊務。UMB網路重新使用大部分核心網路基礎結構但以較少的網路組件合併功能。將該等功能組合至較少節點中減小延時,減少資金及維持成本,並減小遞送端對端QoS之節點之間之互動複雜性。
此實例圖解說明一UMB存取網路102及伺服網路113可怎樣達成對複數個存取終端機AT 106及108之無線網路存取(例如,在重新使用一核心網路基礎結構(例如,本地網路103)時)。伺服網路113可係AT 106及108之"本地"網路,但是該等AT亦可漫遊或訪問其他網路105,並自此等其他網路獲得無線網路連接性。
在此實例中,存取網路102包含一第一eBS 104及一第二eBS 107(概括地稱為"網路存取節點"),其允許一個或多個存取終端機(AT-1)106與伺服網路113及本地網路103連接。第一eBS 104可耦合至一第一對話參考網路控制器(SRNC)114(概括地稱為"網路控制器")及務合至本地網路基礎結構103之伺服網路113中之一第一存取閘道器(AGW)112(概括地稱為"網路閘道器節點")類似地,第二eBS 107可耦合至一第二SRNC 109及第一AGW 112。伺服網路113可包含耦合至本端鑑別、授權及記帳伺服器(LAAA)124之閘道器AGW-a 112及AGW-b 120及一訪問策略控制及資源功能(vPCRF)132以促進eBS及AT之通信及/或連接性。本地網路103可包含一本地代理(HA)126、一本地AAA (HAAA)128及一本地PCRF (hPCRF)130。另外,其他存取網路105亦可耦合至HA 126及/或LAAA 124以提供達到 存取終端機之無線網路連接性。
在各種實施方案中,UMB存取網路102亦可包含其他可提供到達AT-2 108之無線網路連接性之耦合至一耦合至一第二閘道器AGW 120之SRNC 118之eBS 116及117。網路102、113、105及/或103旨在作為本文中所描述之一個或多個新穎特徵可於其中操作之通信系統之一實例。然而,該等網路中之該等器件及/或彼等器件之功能可位於所示之其他網路中(或一不同的網路),此並不背離本文中所描述之操作及特徵。
根據各種實例,AT 106及/或108可係無線通信器件、行動電話、無線終端機及其他類型之經由一UMB網路支援無線無線電連接性之行動及/或無線器件。
eBS 104、107及116支援UMB空中介面。eBS 104、107及/或116可包含UMB實體及/或MAC協定且可實施無線電資源管理、無線電頻道管理、層2加密及/或IP標頭壓縮(例如,ROHC)。
閘道器AGW 112及/或120可提供到達本地網路103之層3IP連接性。閘道器AGW 112及/或120可包含各種功能,例如鑑別、空閒狀態緩衝及/或代理行動IP客戶端。舉例而言,閘道器AGW 112及/或120可包含IP位址管理、MIPv4之外地代理人(FA)、DHCP轉發、代理行動網際網路協定(PMIP)客戶端、網際網路封包(IP)封包分類/管製、EAP鑑別1器及/或AAA客戶端。
SRNC 114、109及118可控制各種支援無線電資源控制 之功能,包含對話資訊儲存、分頁功能及位置管理。該等SRNC功能可包含(例如):(a)空中介面對話資訊儲存,(b)分頁控制器,(c)位置管理及/或(d)AT之EAP鑑別。第一SRNC 114可維持AT 106之無線電存取具體資訊,而第二SRNC 118可維持AT 108之無線電存取具體資訊。一SRNC可對維持對話參考(例如,協商之空中介面上下文之對話儲存點)、支援空閒狀態管理及提供在AT空閒時提供分頁控制功能負責。該SRNC亦可對AT之存取鑑別負責。該SRNC功能可由一eBS託管或與一eBS共同定位或可位於一分離(無無線電的)實體內。注意,該SRNC可以集中式或分配式組態兩者構建。在一集中式組態中,一單個SRNC 118與數個eBS 116及117及一AGW 120連接。在一分配式組態中,每一eBS皆包含一SRNC,例如在eBS-a 104及SRNC-a 114中。
可一本地代理126、一本端AAA (LAAA)124與一本地AAA (HAAA)128之間劃分本地網路103之鑑別、授權及記帳(AAA)服務。HAAA 128可對與AT 106、108、110及/或112之網路資源使用相關聯之鑑別、授權及記帳負責。一本地代理(HA)126可提供一支援(例如)客戶端行動IP (CMIP)及/或代理行動IP (PMIP)且亦可促進技術間移動性之移動性解決方法。
一策略控制及資源功能(PCRF)可儲存並分配策略用於AT 106、108、110及/或122。在一個實施方案中,一本地PCRF (hPCRF)130可對本地網路策略負責且一訪問PCRF (vPCRF)132可對訪問網路策略負責。hPCRF 130及vPCRF 132分別向AGW 112及120提供本端及訪問規則。該等規則可包含(例如):(a)偵測屬於一服務資料流之封包,(b)為一服務資料流提供策略控制及/或(c)為一服務資料流提供適用的計費參數。
在一個實例中,可藉由經由其伺服eBS-a 104發送一通過AGW-a 112到達LAAA 124及HAAA 128之鑑別請求來鑑別AT-1 106。一旦被鑑別,至及/或自AT-1 106、AGW-a 112及HA 126的訊務。
雖然可自一UMB網路之觀點圖解說明各種實例,然而本文中所描述之特徵亦可應用於除一UMB網路之外的其他類型之網路,例如一WiMAX及長期演進(LTE)網路。
使用可擴展鑑別協定(EAP)鑑別
圖10係一圖解說明一存取終端機之一金鑰階層之一實例之圖示。在一可擴展鑑別協定(EAP)(或某些其他安全鑑別協定)由一網路用作一存取終端機(AT)之鑑別時,一預組態之長期憑證1001(例如,一唯一AT識別符或值等等)可用於到達兩個金鑰,稱為主對話金鑰(MSK)1002及擴展主對話金鑰(EMSK)1004。
MSK 1002可藉由發送至SRNC用於導出用於保護經由空中之訊務之對話金鑰之HAAA計算。EMSK 1004可儲存於AT及AAA伺服器中,且其可導出在一稍後時間用於移動性或重新鑑別之其他金鑰。在一AT實施一初始EAP存取鑑別時,MSK 1002對AT及SRNC兩者皆可用。AT可使用 MSK 1002導出一對話金鑰MSK' 1006(其中MSK'=f (MSK))以藉助一第一存取網路(ANI)來鑑別其自身。隨後,AT可設法附裝至一第二存取網路AN2且可實施一重新鑑別,其中一域特定根金鑰(DSRK)1008遞送至重新鑑別程序可藉助其實施之一本端AAA伺服器或AGW。出於重新鑑別目的,可在AT及本端AAA伺服器/AGW導出一重新鑑別根金鑰(rRK)1010。rRK階層下方之任何事物皆可為重新鑑別使用所特有並最終提供用於導出供其他存取節點使用之對話金鑰之金鑰材料。例如,一重新鑑別完整性金鑰(rIK)1012及一重新鑑別MSK (rMSK)金鑰1014。
出於行動IPv4安全,EMSK 1004可用於產生一特定根金鑰(MIP4-MN-RK)1016。MIP4-MN-RK金鑰1016接著用於計算一可由AT使用來證明在行動IPv4使用時(例如,在接收到一至一新的存取節點eBS之改變請求時)佔有有效金鑰材料之MN-AAA金鑰1018。在AT出於MIP4目的被指派一本地代理(HA)時,亦可自一MIP4-MN-RK 1016導出一MN-HA金鑰1020。
MIP4-MN-RK金鑰1016可係一供其中EAP不用作存取鑑別之情形中使用之預組態之金鑰。舉例而言,此可係為IP移動性使用MIPv4增強之HRPD/1X系統之情形。在自一HRPD網路至一UMB網路過渡或反過來時,最近可用MIP4-MN-RK金鑰可用於產生MN-HA金鑰。該最近可用金鑰可係一動態導出之MIP4-MN-RK金鑰(自EMSK 1004)(在其可用時)或一預組態之MIP4-MN-RK金鑰(在一動態導出 之金鑰不可用時)。舉例而言,在AT於一HRPD網路中起動時,該預組態之MIP4-MN-RK金鑰將用作MIP4目的。若該AT接著藉助相同MIP4對話過渡至一UMB網路時,當前使用之MIP4-MN-RK金鑰將繼續被使用直至其期滿。若該AT於一UMB網路中起動,則其將已實施EAP且一動態MIP4-MN-RK金鑰將可用。在彼情形下,即使該AT隨後向一HRPD網路移動,該動態MIP4-MN-RK金鑰亦用作MIP4直至該金鑰期滿。若該動態MIP4-MN-RK金鑰期滿,則該AT可接著使用彼時可用的任何經預組態的或動態MIP4-MN-RK金鑰來產生新的MIP4金鑰。
出於代理行動IPv4安全(例如,保護網路基礎結構節點之間之PMIP隧道),可基於一可係一AT唯一的且可係由本端AAA (LAAA)伺服器或存取閘道器(AGW)在初始存取鑑別時挑選之隨機金鑰(PMN-RK)界定一金鑰階層。
PMIP金鑰之產生及分配
在一AT自一第一eBS至一第二eBS漫遊或移動時,該AT之AGW管理通信建立一到達新的伺服eBS之代理行動IP (PMIP)隧道。然而,AGW必須防止其他eBS(或入侵者)在其不能時聲稱提供到達該AT之無線連接性。舉例而言,在圖1中,若AT-1 106將自eBS-a 104至eBS-b 107改變其伺服存取節點,則閘道器AGW-a 112應具有一驗證至eBS-b 107之該改變請求是否有效之方式。AGW-a 112能夠藉由針對每一隧道連結使用一安全PMIP金鑰來防止一未經授權之實體改變PMIP隧道連結(例如,在閘道器AGW-a 112 與eBS-a 104/SRNC-a 114之間)。
存在至少兩種類型值之PMIP隧道,在一eBS與AGW之間之RAN PMIP隧道及在AGW與SRNC之間且在一第一AGW與一第二AGW之間之網路PMIP隧道。在一AT自第一存取節點eBS-1至一第二存取節點eBS-2(於一存取網路內)移動時,可藉由AGW與新的伺月及eBS-2建立一新的RAN PMIP隧道。類似地,在AT向一新的存取或伺服網路中移動或漫遊時,本地閘道器AGW可與該新的存取或伺服網路建立一網路PMIP隧道。在向一新的伺服eBS-2移動時,可藉由一新的PMIP金鑰建立一新的PMIP隧道。
因此,一個特徵提供一可用於(例如)連接或保護一存取節點eBS與一閘道器AGW及/或一SRNC與該閘道器AGW之間之PMIP隧道之代理行動節點本地代理(PMN-HA)金鑰("PMIP金鑰")。亦即,可自閘道器AGW向一存取節點eBS提供一安全金鑰,該安全金鑰允許其保護其之間一PMIP隧道中之PMIP傳訊。
通信系統可構建一金鑰階層以導出出於不同的目的於該通信系統內使用之金鑰。在某些情形下,一"主"金鑰指派給一AT且可由該通信系統及/或AT使用來導出其他金鑰。該等所導出之金鑰係以此一主金鑰不被發現之方式依據該主金鑰(且可能其他參數)產生。類似地,某些所導出之金鑰可用於安全地導出其他低階金鑰。
在某些情形下,一主要金鑰階層(例如一EAP金鑰階層(圖10))由一HAAA及一AT維持。該主要金鑰階層可係基於 一唯一地與一AT相關聯且為HAAA及AT兩者所已知之主金鑰。該主要金鑰階層可用於導出用於藉助HAAA鑑別AT之金鑰。
一次要(PMIP)金鑰階層可由一網路閘道器(AGW)維持並用於驗證重新路由/傳送一對話或服務至一新的存取節點之請求。此次要金鑰階層可為閘道器AGW但不為AT所已知。在某些實例,一次要金鑰階層可係基於一AT唯一的且僅為該閘道器所已知之隨機金鑰(PMN-RK)。可自該次要金鑰階層在隨即根金鑰(PMN-RK)導出複數個PMN-HA金鑰。
圖2係一圖解說明一可由一閘道器AGW維持用於根據一個實例產生及/或分配金鑰以保護PMIP隧道之次要(PMIP)金鑰階層之圖示。在此實例中,一根金鑰PMIP4-RK 202可係一由閘道器AGW選定之隨機金鑰。在一個實施方案中,金鑰階層200可不與一用作(例如)存取終端機AT之鑑別之主要金鑰階層之上階金鑰具有相關性。舉例而言,次要金鑰階層200中之根金鑰PMIP4-RK 202可係一獨立於一存取終端機AT之一主要金鑰階層之隨機金鑰。在另一實施方案中,PMIP4-RK金鑰202可基於一存取終端機AT之主要金鑰階層中之一較高階金鑰導出。
在一個實例中,閘道器AGW可端視是否已在向一新的網路存取節點(eBS)傳送或轉移期間鑑別相關聯之存取終端機AT產生不同的節點金鑰,PMN-RK1及PMN-RK2。亦即,由於一未經鑑別之存取終端機AT可引起一較大的被 損害危險,因此閘道器AGW可利用不同的金鑰。以此方式,可藉助一第一節點金鑰PMN-RK1保護尚未針對其鑑別AT之PMIP隧道,而可藉助一第二節點金鑰PMN-RK2保護已針對其鑑別AT PMIP隧道。此確保若第一節點金鑰PMN-RK1變得受到損害,則在其向可出現重新鑑別之其他存取節點移動時其將不損害AT。
在一第一操作模式中,在無出現已透過一新的伺服存取節點鑑別AT之情形下,可產生並使用第一節點金鑰PMN-RK1 204。該AGW產生第一節點金鑰PMN-RK1並將其遞送至一與該新的伺服存取節點相關聯之中間網路節點(SRNC)。該中間網路節點SRNC接著基於第一節點金鑰PMN-RK1及可能其他參數(例如,一計數器或一存取節點識別符)產生一PMIP金鑰(PMN-HARK1-1 )。該PMIP金鑰(PMN-HARK1-1 )PMIP金鑰(PMN-HARK1-1 )發送至新的伺服存取節點且可接著在該新的伺服存取節點與閘道器AGW之間使用來建立及/或保護一PMIP隧道。注意,藉助其計算PMIP金鑰(PMN-HARK1-1 之其他參數(例如,計數器、存取節點識別符等等)可為閘道器AGW所已知或提供給該閘道器AGW,以便其亦產生藉助其設立或驗證PMIP隧道之相同的PMIP金鑰(PMN-HARK1-1 )。
在一第二操作模式中,在出現已透過新的伺服存取節點鑑別AT之情形下,可產生並使用第二節點金鑰PMN-RK1 206。在此情形下,第二節點金鑰PMN-RK2 206保持在閘道器AGW處且計算一第二節點金鑰(PMN-HARK2-1 )並將其 直接發送至該新的伺服存取節點。在此情形下,AT之鑑別可包括實施一n存取鑑別請求(例如,使用任一EAP-AK協定)或一存取重新鑑別請求(例如,使用EAP重新鑑別協定(ERP))。
在各種實例中,在相同存取終端機AT自一個存取節點向另一存取節點移動或漫遊時,相同第一節點金鑰PMN-RK1 204可用於產生複數個不同的PMIP金鑰(PMN-HARK1-1 …PMN-HARK1-N )。類似地,在存取終端機AT在不同的存取節點中移動或漫遊時,第二節點金鑰PMN-RK2 206可用於產生複數個不同的PMIP金鑰(PMN-HARK2-1 …PMN-HARK2-N )。
由於存取終端機AT不需要知道PMIP金鑰PMN-HAX ,因此"導出"此金鑰之唯一實體係AGW。因此,不需要導出根金鑰PMIP4-RK 202,乃因一簡單的強隨機數產生已足夠。所產生之隨機數(亦即,根金鑰PMIP4-RK)可用作用於AGW產生供驗證是否應建立一新的PMIP隧道(例如,PMIPv4隧道)使用之次要金鑰階層之種子。
另一選擇為,如在鑑別金鑰之情形下,可自一主要(EAP)金鑰階層形成一PMIP金鑰(PMN-HAX )。
在尚其他實施方案中,不使用根金鑰產生節點金鑰PMN-RK1 204及PMN-RK2 206。而是,可獨立地產生該兩個節點金鑰。例如,可隨機地選擇PMN-RK1 204及PMN-RK2 206。
圖3-6圖解說明在各種情形中一存取閘道器AGW可怎樣將PMIP金鑰分配給存取節點eBS及/或對話參考網路控制器 SRNC。
圖3係一圖解說明一其中一存取終端機AT自一第一存取節點eBS-a 304至一第二存取節點eBS-b 308轉移通信服務之通信網路之方塊圖。
圖4係一圖解說明一閘道器可如何在圖3中所圖解說明之環境中在其中存取終端機AT經鑑別之情形下產生並分配PMIP金鑰之流程圖。在此實例中,存取終端機AT 312初始由一第一存取節點eBS-a 304伺服,但向一第二存取節點eBS-b 308移動或漫遊。
閘道器AGW 302可維持一PMIP金鑰階層402。在一到達第一存取節點eBS-a 304之初始連接階段404,AT 312可發起一存取鑑別請求408。可由存取終端機AT 312經由存取節點AGW 302向(例如)一本地網路HAAA發送存取鑑別請求408(例如,EAP-AK)以鑑別。作為此過程之一部分,存取節點AGW 302可認識到存取終端機AT 312正經受鑑別。因此,存取節點AGW 302可產生一第一節點金鑰PMN-RK2 410。例如,可基於一根金鑰PMIP4-RK產生或可隨機地產生第一節點金鑰PMN-RK2 410。可接著使用該第一節點金鑰PMN-RK2計算一第一PMIP金鑰PMN-HARK2-1 412。可維持金鑰PMN-RK2及PMN-HARK2-1 作為PMIP金鑰階層402之一部分。接著將第一PMIP金鑰PMN-HARK2-1 發送414至第一存取節點eBS-a 304。在一個實例中,發送第一PMIP金鑰PMN-HARK2-1 作為一鑑別回應之一部分。可接著由第一存取節點eBS-a 304向存取終端機AT 312發送一存取鑑別 回應416。注意,可在存取終端機AT 312首先通過通信網路(其之eBS-a、SRNC-a及AGW分開)設立通信服務時或在AT 312向eBS-a 304漫遊或移動時實施初始連接階段404之程序。可接著在第一存取節點eBS-a 304與AGW 302之間建立418一PMIP隧道。
在一隨後傳送階段406期間,AT 312可發送一設法將其伺服存取節點改變為第二存取節點eBS-b 308之存取重新鑑別請求420。由於使用一鑑別協定(例如,EAP-AK或ERP)實施重新鑑別請求420,因此該網路可驗證該請求真正來自AT 312(且並非來自一未經授權之實體)。由於AGW 302將知曉一鑑別回應被發送回至AT 312,因此其可確定其將使用第一節點金鑰PMN-RK2(其僅在已鑑別一AT時使用)。閘道器AGW 302接著基於第一節點金鑰PMN-RK2計算一第二PMIP金鑰PMN-HARK2-1 422。接著將該第二PMIP金鑰PMN-HARK2-1 發送424至第二存取節點eBS-b 308。亦可由第二存取節點eBS-b 308向存取終端機AT 312發送一存取重新鑑別回應426。可隨後使用該第二PMIP金鑰PMN-HARK2-1 在第二存取節點eBS-b 308與閘道器AGW 302之間建立一PMIP隧道428。
圖5係一圖解說明一閘道器可怎樣在圖3中所圖解說明之環境中在其中經由一第一存取節點eBS-a 304鑑別存取終端機AT但在未鑑別之情形下向一第二存取節點eBS-b 308移動之情形下產生並分配PMIP金鑰之流程圖。
閘道器AGW 302可維持一PMIP金鑰階層502。在一到達 第一存取節點eBS-a 304之初始連接階段504期間,存取終端機AT 312可發起一存取鑑別請求508。可由存取終端機AT 312經由閘道器AGW 302向(例如)一本地網路HAAA發送存取鑑別請求508(例如,EAP-AK)以鑑別。作為此過程之一部分,閘道器AGW 302可認識到存取終端機AT 312正經受鑑別。因此,閘道器AGW 302可產生一第一節點金鑰PMN-RK2 510。例如,可基於一根金鑰PMIP4-RK產生或可隨機地產生第一節點金鑰PMN-RK2 510。可接著使用該第一節點金鑰PMN-RK2計算一第一PMIP金鑰PMN-HARK2-1 512。可維持金鑰PMN-RK2及PMN-HARK2-1 作為PMIP金鑰階層502之一部分。接著將第一PMIP金鑰PMN-HARK2-1 發送514至第一存取節點eBS-a 304。在一個實例中,發送第一PMIP金鑰PMN-HARK2-1 作為一鑑別回應之一部分。可接著由第一存取節點eBS-a 304向存取終端機AT 312發送一存取鑑別回應516。注意,可在存取終端機AT 312首先通過通信網路(其之eBS-a、SRNC-a及AGW分開)設立通信服務時或在AT 312向eBS-a 304漫遊或移動時實施初始連接階段504之程序。可接著在第一存取節點eBS-a 304與AGW 302之間建立518一PMIP隧道。
在一隨後傳送階段506期間,AT 312可發送一設法將其伺服存取節點改變為第二存取節點eBS-b 308之傳送請求520。由於在不鑑別或重新鑑別存取終端機AT之情形下實施傳送請求520,因此該網路不能驗證該請求真正來自存取終端機AT 312。因此,閘道器AGW 302將知曉其將不使 用第一節點金鑰PMN-RK2(其僅在已鑑別一AT時使用)。而是,閘道器AGW 302計算一其僅將在尚未鑑別AT時使用之第二節點金鑰PMN-RK1 522。將該第二節點金鑰PMN-RK1發送524至SRNC-b 310(亦稱為"中間網路節點")。SRNC-b 310接著基於該第二節點金鑰PMN-RK1且可能其他參數(例如,eBS-b之一存取節點識別符或一計數器)計算一第二PMIP金鑰PMN-HARK1-1 528。接著將第二PMIP金鑰PMN-HARK1-1 發送530至第二存取節點eBS-b 308。亦可由第二存取節點eBS-b 308向存取終端機AT 312發送一傳送回應532。可隨後使用該第二PMIP金鑰PMN-HARK1-1 在第二存取節點eBS-b 308與閘道器AGW 302之間建立一PMIP隧道534。
圖6係一圖解說明一閘道器可怎樣在圖3中所圖解說明之環境中在其中存取終端機AT正在未鑑別之情形下自與存取節點eBS-a 304之一未經鑑別之連接至與第二存取節點eBS-b 308之另一未經鑑別之連接進行之情形下產生並分配PMIP金鑰之流程圖。
閘道器AGW 302可維持一PMIP金鑰階層602。在一到達第一存取節點eBS-a 304之連接階段604期間,存取終端機AT 312可在不鑑別存取終端機AT之情形下發起一傳送請求608。作為此過程之一部分,閘道器AGW 302可認識到存取終端機AT 312正在無鑑別之情形下將其連接轉移至第一存取節點eBS-a 304。因此,閘道器AGW 302可產生一第一節點金鑰PMN-RK1 610。例如,可基於一根金鑰 PMIP4-RK產生或可隨機地產生第一節點金鑰PMN-RK1 610。可接著將該第一節點金鑰PMN-RK1發送611至與第一存取節點eBS-a 304相關聯之SRNC-a 306("中間網路節點")。SRNC-a 306使用該第一節點金鑰PMN-RKI計算一第一PMIP金鑰PMN-HARK1-1 612。可維持金鑰PMN-RK1及PMN-HARK1-1 作為PMIP金鑰階層602之一部分。可接著將第一PMIP金鑰PMN-HARK1-1 發送614至第一存取節點eBS-a 304。可由第一存取節點eBS-a 304向存取終端機AT 312A發送一傳送回應616。注意,可在存取終端機AT 312首先通過通信網路(其之eBS-a、SRNC-a及AGW分開)設立通信服務時或在AT 312向eBS-a 304漫遊或移動時實施連接階段604之程序。可接著在第一存取節點eBS-a 304與閘道器AGW 302之間建立618一PMIP隧道。
在一隨後傳送階段606期間,AT 312可發送一設法將其伺服存取節點改變為第二存取節點eBS-b 308之傳送請求520。由於在不鑑別或重新鑑別存取終端機AT 312之情形下實施傳送請求620,因此該網路不能驗證該請求真正來自存取終端機AT 312。因此,閘道器AGW 302將知曉其將使用第一節點金鑰PMN-RK1(其僅在尚未鑑別一AT時使用)。閘道器AGW 302將第一節點金鑰PMN-RK1 524發送至SRNC-b 310(亦稱為"中間網路節點")。SRNC-b 310接著基於該第一節點金鑰PMN-RK1及可能其他參數(例如,eBS-b之一存取節點識別符或一計數器)計算一第二PMIP金鑰PMN-HARK1-2 628。接著將該第二PMIP金鑰PMN-HARK1-2 發送630至第二存取節點eBS-b 308。亦可由第二存取節點eBS-b 308向存取終端機AT 312A發送一傳送回應632。可隨後使用該第二PMIP金鑰PMN-HARK1-2 在第二存取節點eBS-b 308與閘道器AGW 302之間建立一PMIP隧道634。
注意,在一存取終端機AT在耦合至相同SRNC之兩個存取節點之間移動且不針對任一連接實施存取終端機AT之鑑別時,該SRNC將已具有節點金鑰PMN-RK1。因此,該SRNC可僅僅計算新的存取終端機之一新的PMIP金鑰。在建立一PMIP隧道時,該新的存取終端機可僅僅向閘道器AGW發送新的PMIP金鑰及用於產生其之參數。該具有節點金鑰PMN-RK1之知識之閘道器AGW可接著重新產生新的PMIP金鑰以驗證。
圖7圖解說明一種於一通信網路中在一網路閘道器中操作以產生用於保護PMIP隧道之金鑰之方法。在一個實例中,該閘道器可在一超級行動寬頻(UMB)相容網路中操作。該閘道器可接收一將一存取終端機之一代理行動網際網路協定(PMIP)隧道連結自一第一存取節點改變至一第二存取節點之請求702。此請求可係一鑑別或重新鑑別程序之一部分或其可係傳送請求程序之一部分。該閘道器可接著確定是否已透過第二存取節點鑑別該存取終端機704。亦即,該閘道器可確定是否已鑑別該自一先前存取節點向一新的存取節點轉移通信服務之請求係來自該存取終端機。此可(例如)通過一EAP-AK程序或一ERP程序實施。若尚未透過該新的存取節點鑑別該存取終端機,則該閘道器 產生一第一節點金鑰706並將該第一節點金鑰發送至一產生一第一PMIP金鑰並將其提供至第二存取節點之中間網路節點(例如,SRNC)708。否則,該閘道器產生一第二節點金鑰710,依據第二節點金鑰產生一第二PMIP金鑰,並將該第二PMIP金鑰發送至第二存取節點714。
在各種實施方案中,第一節點金鑰及第二節點金鑰可係基於一共用根金鑰、一隨機選定之根金鑰,或其可彼此獨立(亦即,可各自隨機地選擇第一及第二節點金鑰)。注意,該第一節點金鑰及第二節點金鑰可為存取終端機所不知,乃因其僅用作該網路內之PMIP連結。因此,PMIP金鑰階層(例如,第一節點金鑰、第二節點金鑰、PMIP金鑰等等)可獨立於一為該存取終端機所已知且用於鑑別該存取終端機之主要(EAP)金鑰階層。
該閘道器可隨後使用第一PMIP金鑰或第二PMIP金鑰在該閘道器與該第二存取節點之間建立一PMIP隧道716。亦即,若發送該第一節點金鑰,則使用該第一PMIP金鑰來設立並保護PMIP隧道。在彼情形下,該閘道器可使用為該閘道器及中間網路節點兩者所已知之參數產生第一PMIP金鑰之一本端版本。舉例而言,該閘道器及中間網路節點可使用一為兩者所已知之計數器,第二存取節點之一識別符值、或某些其他參數來產生該第一節點金鑰。在建立PMIP隧道之過程中,該第二存取節點可向該閘道器提供該第一PMIP金鑰之一複本連同用於產生其之參數(除第一節點金鑰之外)一起。否則,若發送該第二PMIP金 鑰,則該閘道器已知曉此金鑰並可驗證在接受到達第二存取節點之PMIP隧道連結之前該第二存取節點亦知曉此金鑰。
圖8圖解說明一種於一通信網路中在一網路閘道器中操作以產生並分配用於保護一特定存取終端機之PMIP隧道之金鑰之方法。該閘道器可維持一與一存取終端機相關聯並用於保護到達服務該存取終端機之網路節點之PMIP隧道之PMIP金鑰階層802。該閘道器可接收為該存取終端機改變到達一新的存取節點之PMIP隧道連結之通知804。其可確定是否已鑑別該存取終端機通過新的存取節點806。接著產生一促進PMIP隧道連結之第一節點金鑰;然而,第一節點金鑰僅在已鑑別或尚未鑑別一存取終端機但非兩種情形時使用808。亦即,針對其中已鑑別存取終端機及其中尚未鑑別該終端機之隧道連結使用分離節點金鑰。可由閘道器或一中間網路節點使用該第一節點金鑰來產生一PMIP金鑰。亦即,使用該第一節點金鑰或其一導數(亦即,PMIP金鑰)來在該閘道器至新的存取節點之間形成一PMIP隧道810。
圖9係一圖解說明一閘道器器件之一實例之方塊圖。閘道器器件902可包含一耦合至一網路通信介面906之處理電路904。處理電路904可適於維持一次要(PMIP)金鑰階層並實施圖2-8中所圖解說明之一個或多個步驟以端視存取終端機是否已經歷成功的鑑別來以不同方式產生及分配PMIP金鑰。
根據尚另一組態,一電路可適於接收將一存取終端機之一代理行動網際網路協定(PMIP)隧道連結自一第一存取節點改變至一第二存取節點之請求。相同電路、一不同電路或該相同或不同電路之一第二部分可適於確定是否已鑑別存取終端機通過第二存取節點。另外,若尚未鑑別該存取終端機,則相同電路、一不同電路或該相同或不同電路之一第三部分可適於產生一第一節點金鑰,並將該第一節點金鑰發送至一可產生一第一PMIP金鑰並將其提供至第二存取節點之中間網路節點。類似地,若已鑑別該存取終端機,則相同電路、一不同電路或一第四部分可適於產生一第二節點金鑰,並依據第二節點金鑰產生一第二PMIP金鑰且將該第二PMIP金鑰發送至第二存取節點。相同電路、一不同電路或一第四部分可適於在閘道器與第二存取節點之間建立該第一或第二PMIP金鑰所保護之一PMIP隧道。
一般而言,熟悉此項技術者將認識到,可以類似方式實施此揭示內容中所描述之大部分處理。可單獨構建電路或電路部分中之任一者或與一個或多個處理器組合作為一積體電路之一部分。該等電路中之一者或多者可構建於一積體電路、一高級RISC機器(ARM)處理器、一數位信號處理器(DSP)、一通用處理器等等上。
可重新配列圖1、2、3、4、5、6、7、8、9及/或10中所圖解說明之組件、步驟及/或功能中之一者或多者及/或將其組合成一單個組件、步驟或功能或體現在數個組件、步 驟或功能中。亦可添加額外元件、組件、步驟及/或功能。圖1、3及9中所圖解說明之裝置、器件及/或組件可經組態或調適以實施圖2、4-8及/或10中所描述之方法、特徵或步驟中之一者或多者。本文中所描述之演算法可有效地構建於軟體及/或嵌入式硬體中。
熟習此項技術者將進一步瞭解,結合本文中所揭示之組態描述之各種說明性邏輯塊、模組、電路、及演算法步驟可構建為電子硬體、電腦軟體或兩者之組合。為清楚地圖解說明硬件及軟件之此可互換性,上文已就其功能概括地描述了各種說明性組件、塊、模塊、電路及步驟。此功能構建為硬件或軟件相依於施加於整體系統上之特定應用及設計約束。
應注意,前述組態僅係實例,而不應視為限制申請專利範圍。對該等組態之描述旨在圖解說明而非限定申請專利範圍之範疇。因而,本教示可容易地應用於其它類型之裝實,且熟悉此項技術者將顯而易見許多替代、修改及變更。
102‧‧‧UMB存取網路
104‧‧‧第一演進基地台
106‧‧‧存取終端機
107‧‧‧第一演進基地台
109‧‧‧第二對話參考網路控制器
114‧‧‧第一對話參考網路控制器
108‧‧‧存取終端機
116‧‧‧其他演進基地台
117‧‧‧其他演進基地台
118‧‧‧對話參考網路控制器
112‧‧‧第一存取閘道器-a
113‧‧‧伺服網路
120‧‧‧第一存取閘道器-b
124‧‧‧本端鑑別、授權及記帳伺服器
132‧‧‧訪問策略控制及資源功能
103‧‧‧本地網路
126‧‧‧本地代理
128‧‧‧本地AAA
130‧‧‧本地PCRF
105‧‧‧其他網路
200‧‧‧金鑰階層
202‧‧‧根金鑰PMIP4-RK
204‧‧‧第一節點金鑰PMN-RK1
206‧‧‧第二節點金鑰PMN-RK1
302‧‧‧閘道器AGW
304‧‧‧第一存取節點eBS-a
306‧‧‧對話參考網路控制器-a/中間網路節點
308‧‧‧第二存取節點eBS-b
310‧‧‧對話參考網路控制器-b/中間網路節點
312‧‧‧存取終端機AT
402‧‧‧PMIP金鑰階層
408‧‧‧存取鑑別請求
416‧‧‧存取鑑別回應
420‧‧‧存取重新鑑別請求
426‧‧‧存取重新鑑別回應
502‧‧‧PMIP金鑰階層
508‧‧‧存取鑑別請求
516‧‧‧存取鑑別回應
520‧‧‧傳送請求
532‧‧‧傳送回應
602‧‧‧PMIP金鑰階層
608‧‧‧傳送請求
616‧‧‧傳送回應
620‧‧‧傳送請求
632‧‧‧傳送回應
902‧‧‧閘道器器件
904‧‧‧處理電路
906‧‧‧網路通信介面
1001‧‧‧預組態之長期憑證
1002‧‧‧主對話金鑰(MSK)
1004‧‧‧擴展主對話金鑰(EMSK)
1006‧‧‧對話金鑰MSK'
1008‧‧‧域特定根金鑰(DSRK)
1010‧‧‧重新鑑別根金鑰(rRK)
1012‧‧‧重新鑑別完整性金鑰(rIK)
1014‧‧‧重新鑑別MSK (rMSK)金鑰
1016‧‧‧特定根金鑰(MIP4-MN-RK)
1018‧‧‧MN-AAA金鑰
1020‧‧‧MN-HA金鑰
在結合圖式理解上文闡明之詳細描述時,可更明瞭各種特徵、性質及優點,其中在所有圖式中相同之參考字符識別對應元件。
圖1係一其中可根據一個實例構建安全PMIP金鑰分配之一個或多個特徵之UMB網路之方塊圖。
圖2係一圖解說明一可由一閘道器維持用於根據一個實 例驗證傳送轉移請求之次要(PMIP)金鑰階層之圖示。
圖3係一圖解說明一其中一存取終端機自一第一存取節點至一第二存取節點轉移通信服務之通信網路之方塊圖。
圖4係一圖解說明一閘道器可怎樣在圖3中所圖解說明之環境中在其中存取終端機經鑑別之情形下產生並分配PMIP金鑰之流程圖。
圖5係一圖解說明一閘道器可怎樣在圖3中所圖解說明之環境中在其中存取終端機AT經鑑別通過一第一存取節點但在未鑑別之情形下向一第二存取節點移動之情形下產生並分配PMIP金鑰之流程圖。
圖6係一圖解說明一閘道器可怎樣在圖3中所圖解說明之環境中在其中存取終端機正在未鑑別之情形下自與存取節點之一未經鑑別之連接至與第二存取節點之另一未經鑑別之連接進行之情形下產生並分配PMIP金鑰之流程圖。
圖7圖解說明一種於一通信網路中在一網路閘道器中操作以產生用於保護PMIP隧道之金鑰之方法。
圖8圖解說明一種於一通信網路中在一網路閘道器中操作以產生並分配用於保護一特定存取終端機之PMIP隧道之金鑰之方法。
圖9係一圖解說明一閘道器器件之一實例之方塊圖。
圖10係一圖解說明一存取終端機之一金鑰階層之一實例之圖示。
(無元件符號說明)

Claims (66)

  1. 一種操作一存取閘道器之方法,其包括:接收一將一存取終端機之一代理行動網際網路協定(PMIP)隧道連結自一第一存取節點改變至一第二存取節點之請求;產生一第一節點金鑰;及將該第一節點金鑰發送至一可產生一第一PMIP金鑰並將其提供至該第二存取節點之中間網路節點。
  2. 如請求項1之方法,其進一步包括:在該閘道器與該第二存取節點之間建立該第一PMIP金鑰所保護之一PMIP隧道。
  3. 如請求項1之方法,其進一步包括:確定是否已透過該第二存取節點鑑別該存取終端機;及僅在尚未鑑別該存取終端機時,產生並發送該第一節點金鑰。
  4. 如請求項3之方法,其中若已鑑別該存取終端機,則其進一步包括:產生一第二節點金鑰;依據第二節點金鑰產生一第二PMIP金鑰;及將該第二PMIP金鑰發送至該第二存取節點。
  5. 如請求項4之方法,其中該中間網路節點係一對話參考網路控制器(SRNC)。
  6. 如請求項4之方法,其中該第一節點金鑰及第二節點金鑰係隨機地選擇且彼此獨立。
  7. 如請求項4之方法,其中該第一節點金鑰及第二節點金鑰係基於一根金鑰。
  8. 如請求項3之方法,其中若使用一可擴展鑑別協定(EAP)重新鑑別協定(ERP),則鑑別存取終端機。
  9. 如請求項1之方法,其進一步包括:維持一與該存取終端機(AT)相關聯且用於保護到達服務該存取終端機之網路節點之PMIP隧道之PMIP金鑰階層,其中該金鑰階層包含該第一節點金鑰。
  10. 如請求項9之方法,其中該PMIP金鑰階層包含一自其導出該第一節點金鑰之隨機選定根金鑰。
  11. 如請求項10之方法,其中該PMIP金鑰階層之該根金鑰係該存取終端機所不知。
  12. 如請求項9之方法,其中該PMIP金鑰階層獨立於一該存取終端機已知且用於鑑別該存取終端機之主要金鑰階層。
  13. 如請求項1之方法,其中該第一節點金鑰係隨機地選擇。
  14. 如請求項1之方法,其中該第二存取節點係一增強型基地台(eBS)。
  15. 如請求項1之方法,其中該第二存取節點提供到達該存取終端機之無線連接性。
  16. 如請求項1之方法,其中閘道器在一超級行動寬頻(UMB)相容網路中操作。
  17. 一種網路閘道器器件,其包括: 一網路介面;一處理電路,其適於促進往來於一無線存取器件之通信,該處理電路經組態以接收一將一存取終端機之一代理行動網際網路協定(PMIP)隧道連結自一第一存取節點改變至一第二存取節點之請求;產生一第一節點金鑰;及將該第一節點金鑰發送至一可產生一第一PMIP金鑰並將其提供至該第二存取節點之中間網路節點。
  18. 如請求項17之閘道器器件,其中該處理電路經一步經組態以在該閘道器與該第二存取節點之間建立該第一PMIP金鑰所保護之一PMIP隧道。
  19. 如請求項17之閘道器器件,其中該處理電路經一步經組態以確定是否已透過該第二存取節點鑑別該存取終端機;及僅在尚未鑑別該存取終端機時,產生並發送該第一節點金鑰。
  20. 如請求項19之閘道器器件,其中若已鑑別該存取終端機,則其進一步包括:產生一第二節點金鑰;依據第二節點金鑰產生一第二PMIP金鑰;及將該第二PMIP金鑰發送至該第二存取節點。
  21. 如請求項20之閘道器器件,其中該中間網路節點係一對話參考網路控制器(SRNC)。
  22. 如請求項20之閘道器器件,其中該第一節點金鑰及第二節點金鑰係隨機地選擇並彼此獨立。
  23. 如請求項20之閘道器器件,其中該第一節點金鑰及第二節點金鑰係基於一根金鑰。
  24. 如請求項19之閘道器器件,其中若使用一可擴展鑑別協定(EAP)重新鑑別協定(ERP),則鑑別存取終端機。
  25. 如請求項17之閘道器器件,其中該處理電路進一步經組態以維持一與該存取終端機(AT)相關聯,且用於保護到達服務該存取終端機之網路節點之PMIP隧道之PMIP金鑰階層,其中該金鑰階層包含該第一節點金鑰。
  26. 如請求項25之閘道器器件,其中該PMIP金鑰階層包含一自其導出該第一節點金鑰之隨機選定根金鑰。
  27. 如請求項26之閘道器器件,其中該PMIP金鑰階層之該根金鑰係該存取終端機所不知。
  28. 如請求項25之閘道器器件,其中該PMIP金鑰階層獨立於一該存取終端機已知且用於鑑別該存取終端機之主要金鑰階層。
  29. 如請求項17之閘道器器件,其中該第二存取節點係一增強型基地台(eBS)。
  30. 一種網路閘道器器件,其包括:接受構件,其用於接收一將一存取終端機之一代理行動網際網路協定(PMIP)隧道連結自一第一存取節點改變至一第二存取節點之請求;產生構件,其用於產生一第一節點金鑰;及 發送構件,其用於將該第一節點金鑰發送至一可產生一第一PMIP金鑰並將其提供至該第二存取節點之中間網路節點。
  31. 如請求項30之網路閘道器器件,其進一步包括:建立構件,其用於在該閘道器與該第二存取節點之間建立該第一PMIP金鑰所保護之一PMIP隧道。
  32. 如請求項30之網路閘道器器件,其進一步包括:確定構件,其用於確定是否已透過該第二存取節點鑑別該存取終端機;其中僅在尚未鑑別該存取終端機時產生並發送該第一節點金鑰。
  33. 如請求項32之網路閘道器器件,其進一步包括:產生構件,其用於若已鑑別該存取終端機則產生一第二節點金鑰;產生構件,其用於若已鑑別該存取終端機則依據第二節點金鑰產生一第二PMIP金鑰;及發送構件,其用於將該第二PMIP金鑰發送至該第二存取節點。
  34. 如請求項30之網路閘道器器件,其進一步包括:維持構件,其用於維持一與該存取終端機(AT)相關聯且用於保護到達服務該存取終端機之網路節點之PMIP隧道之PMIP金鑰階層,其中該金鑰階層包含該第一節點金鑰。
  35. 一種在一網路閘道器中操作之電路,其中該電路適於 接收一將一存取終端機之一代理行動網際網路協定(PMIP)隧道連結自一第一存取節點改變至一第二存取節點之請求;產生一第一節點金鑰;及將該第一節點金鑰發送至一可產生一第一PMIP金鑰並將其提供至該第二存取節點之中間網路節點。
  36. 如請求項35之電路,其中該電路進一步適於在該閘道器與該第二存取節點之間建立該第一PMIP金鑰所保護之一PMIP隧道。
  37. 如請求項35之電路,其中該電路進一步適於確定是否已透過該第二存取節點鑑別該存取終端機;及僅在尚未鑑別該存取終端機時產生並發送該第一節點金鑰。
  38. 如請求項37之電路,其中若已鑑別該存取終端機,則該電路進一步適於產生一第二節點金鑰;依據第二節點金鑰產生一第二PMIP金鑰;及將該第二PMIP金鑰發送至該第二存取節點。
  39. 如請求項35之電路,其中該電路進一步適於維持一與該存取終端機(AT)相關聯且用於保護到達服務該存取終端機之網路節點之PMIP隧道之PMIP金鑰階層,其中該金鑰階層包含該第一節點金鑰。
  40. 一種機器可讀媒體,其包括用於操作一閘道器之指令,該等指令在由一處理器執行時致使該處理器 接收一將一存取終端機之一代理行動網際網路協定(PMIP)隧道連結自一第一存取節點改變至一第二存取節點之請求;產生一第一節點金鑰;及將該第一節點金鑰發送至一可產生一第一PMIP金鑰並將其提供至該第二存取節點之中間網路節點。
  41. 如請求項40之機器可讀媒體,其進一步包括用於如下操作之指令在該閘道器與該第二存取節點之間建立該第一PMIP金鑰所保護之一PMIP隧道。
  42. 如請求項40之機器可讀媒體,其進一步包括用於如下操作之指令確定是否已透過該第二存取節點鑑別該存取終端機;及僅在尚未鑑別該存取終端機時,產生並發送該第一節點金鑰。
  43. 如請求項42之機器可讀媒體,其中若已鑑別該存取終端機,則其進一步包括用於如下操作之指令產生一第二節點金鑰;依據第二節點金鑰產生一第二PMIP金鑰;及將該第二PMIP金鑰發送至該第二存取節點。
  44. 如請求項40之機器可讀媒體,其進一步包括用於如下操作之指令維持一與該存取終端機(AT)相關聯且用於保護到達服務該存取終端機之網路節點之PMIP隧道之PMIP金鑰階 層,其中該金鑰階層包含該第一節點金鑰。
  45. 一種操作一存取閘道器之方法,其包括:接收一將一存取終端機之一代理行動網際網路協定(PMIP)隧道連結自一第一存取節點改變至一第二存取節點之請求;產生一第一節點金鑰;依據第一節點金鑰產生一第一PMIP金鑰;及將該第一PMIP金鑰發送至該第二存取節點。
  46. 如請求項45之方法,其進一步包括:在該閘道器與該第二存取節點之間建立該第一PMIP金鑰所保護之一PMIP隧道。
  47. 如請求項45之方法,其進一步包括:確定是否已透過該第二存取節點鑑別該存取終端機;及僅在已鑑別該存取節點時,產生並發送該第一節點金鑰。
  48. 如請求項47之方法,其中若尚未鑑別該存取終端機,則產生一第二節點金鑰;及將該第二節點金鑰發送至一可產生一第二PMIP金鑰,並將其提供至該第二存取節點之中間網路節點。
  49. 如請求項48之方法,其中該中間網路節點係一對話參考網路控制器(SRNC)。
  50. 如請求項45之方法,其中該第二存取節點係一增強型基地台(eBS)。
  51. 如請求項45之方法,其進一步包括: 維持一與該存取終端機(AT)相關聯且用於保護到達服務該存取終端機之網路節點之PMIP隧道之PMIP金鑰階層,其中該金鑰階層包含該第一節點金鑰。
  52. 如請求項51之方法,其中該PMIP金鑰階層包含一自其導出該第一節點金鑰之隨機選定根金鑰。
  53. 如請求項45之方法,其中該第一節點金鑰係隨機地選擇。
  54. 如請求項48之方法,其中該第一節點金鑰及第二節點金鑰係隨機地選擇且彼此獨立。
  55. 如請求項48之方法,其中該第一節點金鑰及第二節點金鑰係基於一根金鑰。
  56. 如請求項55之方法,其中該PMIP金鑰階層之該根金鑰係該存取終端機所不知。
  57. 一種存取閘道器,其包括:一網路介面;一處理電路,其適於促進往來於一無線存取器件之通信,該處理電路經組態以接收一將一存取終端機之一代理行動網際網路協定(PMIP)隧道連結自一第一存取節點改變至一第二存取節點之請求;產生一第一節點金鑰;依據第一節點金鑰產生一第一PMIP金鑰;及將該第一PMIP金鑰發送至該第二存取節點。
  58. 如請求項57之閘道器,其中該處理電路經一步適於在該閘道器與該第二存取節點之間建立該第一PMIP金 鑰所保護之一PMIP隧道。
  59. 如請求項57之閘道器,其中該處理電路經一步適於確定是否已透過該第二存取節點鑑別該存取終端機;及僅在已鑑別該存取節點時產生並發送該第一節點金鑰。
  60. 如請求項59之閘道器,其中若尚未鑑別該存取終端機,該處理電路經一步適於產生一第二節點金鑰;及將該第二節點金鑰發送至一可產生一第二PMIP金鑰,並將其提供至該第二存取節點之中間網路節點。
  61. 如請求項60之閘道器,其中該中間網路節點係一對話參考網路控制器(SRNC)。
  62. 如請求項57之閘道器,其中該第二存取節點係一增強型基地台(eBS)。
  63. 如請求項57之閘道器,其中該處理電路經一步適於維持一與該存取終端機(AT)相關聯且用於保護到達服務該存取終端機之網路節點之PMIP隧道之PMIP金鑰階層,其中該金鑰階層包含該第一節點金鑰。
  64. 一種存取閘道器,其包括:接受構件,其用於接收一將一存取終端機之一代理行動網際網路協定(PMIP)隧道連結自一第一存取節點改變至一第二存取節點之請求;產生構件,其用於產生一第一節點金鑰;產生構件,其用於依據第一節點金鑰產生一第一PMIP金鑰;及 發送構件,其用於將該第一PMIP金鑰發送至該第二存取節點。
  65. 一種在一網路閘道器中操作之電路,其中該電路適於接收一將一存取終端機之一代理行動網際網路協定(PMIP)隧道連結自一第一存取節點改變至一第二存取節點之請求;產生一第一節點金鑰;依據第一節點金鑰產生一第一PMIP金鑰;及將該第一PMIP金鑰發送至該第二存取節點。
  66. 一種機器可讀媒體,其包括用於操作一閘道器之指令,該等指令在由一處理器執行時致使該處理器接收一將一存取終端機之一代理行動網際網路協定(PMIP)隧道連結自一第一存取節點改變至一第二存取節點之請求;產生一第一節點金鑰;依據第一節點金鑰產生一第一PMIP金鑰;及將該第一PMIP金鑰發送至該第二存取節點。
TW097120507A 2007-05-31 2008-06-02 於無線通信網路中用於提供代理行動網際網路協定金鑰階層之方法及裝置 TWI394415B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US94125607P 2007-05-31 2007-05-31

Publications (2)

Publication Number Publication Date
TW200915805A TW200915805A (en) 2009-04-01
TWI394415B true TWI394415B (zh) 2013-04-21

Family

ID=40088224

Family Applications (1)

Application Number Title Priority Date Filing Date
TW097120507A TWI394415B (zh) 2007-05-31 2008-06-02 於無線通信網路中用於提供代理行動網際網路協定金鑰階層之方法及裝置

Country Status (10)

Country Link
US (1) US8769611B2 (zh)
EP (1) EP2174444B1 (zh)
JP (1) JP5204219B2 (zh)
KR (1) KR101205466B1 (zh)
CN (1) CN101682630B (zh)
BR (1) BRPI0812554A2 (zh)
CA (1) CA2687049C (zh)
RU (1) RU2437238C2 (zh)
TW (1) TWI394415B (zh)
WO (1) WO2009038831A2 (zh)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8098597B2 (en) * 2007-08-24 2012-01-17 Samsung Electronics Co., Ltd. IAS-based configuration for UMB Femto devices
US8780856B2 (en) * 2007-09-18 2014-07-15 Telefonaktiebolaget Lm Ericsson (Publ) Inter-system handoffs in multi-access environments
WO2009143115A1 (en) * 2008-05-21 2009-11-26 Uniloc Usa, Inc. Device and method for secured communication
US20100106971A1 (en) * 2008-10-27 2010-04-29 Domagoj Premec Method and communication system for protecting an authentication connection
US8695082B2 (en) * 2008-10-27 2014-04-08 Nokia Siemens Networks Oy Method and communication system for accessing a wireless communication network
US8495359B2 (en) * 2009-06-22 2013-07-23 NetAuthority System and method for securing an electronic communication
US8903653B2 (en) 2009-06-23 2014-12-02 Uniloc Luxembourg S.A. System and method for locating network nodes
US20100321207A1 (en) * 2009-06-23 2010-12-23 Craig Stephen Etchegoyen System and Method for Communicating with Traffic Signals and Toll Stations
US8452960B2 (en) 2009-06-23 2013-05-28 Netauthority, Inc. System and method for content delivery
US20100325703A1 (en) * 2009-06-23 2010-12-23 Craig Stephen Etchegoyen System and Method for Secured Communications by Embedded Platforms
US8736462B2 (en) * 2009-06-23 2014-05-27 Uniloc Luxembourg, S.A. System and method for traffic information delivery
CN102143491B (zh) * 2010-01-29 2013-10-09 华为技术有限公司 对mtc设备的认证方法、mtc网关及相关设备
US8446834B2 (en) 2011-02-16 2013-05-21 Netauthority, Inc. Traceback packet transport protocol
US9143937B2 (en) * 2011-09-12 2015-09-22 Qualcomm Incorporated Wireless communication using concurrent re-authentication and connection setup
US8837741B2 (en) 2011-09-12 2014-09-16 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
US9439067B2 (en) 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication
US8949954B2 (en) 2011-12-08 2015-02-03 Uniloc Luxembourg, S.A. Customer notification program alerting customer-specified network address of unauthorized access attempts to customer account
AU2012100460B4 (en) 2012-01-04 2012-11-08 Uniloc Usa, Inc. Method and system implementing zone-restricted behavior of a computing device
AU2012100462B4 (en) 2012-02-06 2012-11-08 Uniloc Usa, Inc. Near field authentication through communication of enclosed content sound waves
AU2012100463B4 (en) 2012-02-21 2012-11-08 Uniloc Usa, Inc. Renewable resource distribution management system
US9883437B2 (en) * 2012-06-19 2018-01-30 Qualcomm Incorporated Systems and methods for enhanced network handoff to wireless local area networks
AU2013100355B4 (en) 2013-02-28 2013-10-31 Netauthority, Inc Device-specific content delivery
US9167427B2 (en) * 2013-03-15 2015-10-20 Alcatel Lucent Method of providing user equipment with access to a network and a network configured to provide access to the user equipment
US9363671B2 (en) * 2013-03-15 2016-06-07 Qualcomm Incorporated Authentication for relay deployment
KR20140124157A (ko) * 2013-04-16 2014-10-24 삼성전자주식회사 무선 네트워크에서 키 하이어라키 생성 장치 및 방법
FR3007920A1 (fr) * 2013-06-28 2015-01-02 France Telecom Procede de changement de cle d'authentification
RU2659489C1 (ru) * 2014-06-16 2018-07-02 Рикох Компани, Лтд. Сетевая система, способ управления связью и носитель данных
CN112105016B (zh) 2014-07-03 2025-05-06 华为技术有限公司 无线网络接入保护和安全架构的系统和方法
CN104284332A (zh) * 2014-09-26 2015-01-14 中兴通讯股份有限公司 一种鉴权方法及无线路由器
US10057766B2 (en) * 2014-10-21 2018-08-21 Qualcomm Incorporated Methods and systems for authentication interoperability
US10455414B2 (en) * 2014-10-29 2019-10-22 Qualcomm Incorporated User-plane security for next generation cellular networks
US10298549B2 (en) * 2015-12-23 2019-05-21 Qualcomm Incorporated Stateless access stratum security for cellular internet of things
PL3915289T3 (pl) * 2019-01-21 2023-08-07 Telefonaktiebolaget Lm Ericsson (Publ) Sposoby uwierzytelniania i zarządzania kluczami w sieci komunikacji bezprzewodowej i powiązane aparaty
CN113452515B (zh) * 2020-03-25 2022-11-25 阿里巴巴集团控股有限公司 通信方法、密钥配置方法及装置
JP7613055B2 (ja) * 2020-11-10 2025-01-15 富士フイルムビジネスイノベーション株式会社 情報処理装置、情報処理プログラム、及び通信システム
CN113536738A (zh) * 2021-07-05 2021-10-22 国网山东省电力公司电力科学研究院 一种基于神经网络的多协议规约无线转换装置
US12137159B2 (en) * 2022-08-23 2024-11-05 Centro de Pesquisas Avancades Wernher von Braun Encryption key distribution via wireless mobile devices to internet of things (IoT) systems

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040114559A1 (en) * 2002-12-16 2004-06-17 Cisco Technology, Inc. Inter-proxy communication protocol for mobile IP
US6760444B1 (en) * 1999-01-08 2004-07-06 Cisco Technology, Inc. Mobile IP authentication
US6785823B1 (en) * 1999-12-03 2004-08-31 Qualcomm Incorporated Method and apparatus for authentication in a wireless telecommunications system
US20050289643A1 (en) * 2004-06-28 2005-12-29 Ntt Docomo, Inc. Authentication method, terminal device, relay device and authentication server
TWI254546B (en) * 2004-08-03 2006-05-01 Zyxel Communications Corp Assignment method and system of home agent in mobile VPN
TWI280023B (en) * 2004-04-28 2007-04-21 Intel Corp Apparatus and method capable of pre-keying associations in a wireless local area network
US20070107047A1 (en) * 2005-11-07 2007-05-10 Cisco Technology, Inc. Allowing network access for proxy mobile IP cases for nodes that do not support CHAP authentication

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2292648C2 (ru) 2002-05-01 2007-01-27 Телефонактиеболагет Лм Эрикссон (Пабл) Система, устройство и способ, предназначенные для аутентификации на основе sim и для шифрования при доступе к беспроводной локальной сети
WO2003094438A1 (en) 2002-05-01 2003-11-13 Telefonaktiebolaget Lm Ericsson (Publ) System, apparatus and method for sim-based authentication and encryption in wireless local area network access
AU2003247428A1 (en) * 2002-05-28 2003-12-12 Zte San Diego, Inc. Interworking mechanism between cdma2000 and wlan
US8077681B2 (en) 2002-10-08 2011-12-13 Nokia Corporation Method and system for establishing a connection via an access network
US7370362B2 (en) * 2005-03-03 2008-05-06 Cisco Technology, Inc. Method and apparatus for locating rogue access point switch ports in a wireless network
US7313394B2 (en) 2005-07-15 2007-12-25 Intel Corporation Secure proxy mobile apparatus, systems, and methods
CN100581286C (zh) * 2005-10-19 2010-01-13 华为技术有限公司 一种移动用户设备实现移动英特网协议去注册的方法及系统
DE102006008745A1 (de) 2005-11-04 2007-05-10 Siemens Ag Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels
DE102006038037A1 (de) 2006-08-14 2008-02-21 Siemens Ag Verfahren und System zum Bereitstellen eines zugangsspezifischen Schlüssels
US8230212B2 (en) * 2006-08-29 2012-07-24 Alcatel Lucent Method of indexing security keys for mobile internet protocol authentication
WO2008080420A1 (en) 2006-12-28 2008-07-10 Telefonaktiebolaget Lm Ericsson (Publ) Mobile ip proxy
US10171998B2 (en) * 2007-03-16 2019-01-01 Qualcomm Incorporated User profile, policy, and PMIP key distribution in a wireless communication network
US8011740B2 (en) * 2008-02-11 2011-09-06 Caterpillar Inc. Idler recoil assembly and machine using same

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6760444B1 (en) * 1999-01-08 2004-07-06 Cisco Technology, Inc. Mobile IP authentication
US6785823B1 (en) * 1999-12-03 2004-08-31 Qualcomm Incorporated Method and apparatus for authentication in a wireless telecommunications system
US20040114559A1 (en) * 2002-12-16 2004-06-17 Cisco Technology, Inc. Inter-proxy communication protocol for mobile IP
TWI280023B (en) * 2004-04-28 2007-04-21 Intel Corp Apparatus and method capable of pre-keying associations in a wireless local area network
US20050289643A1 (en) * 2004-06-28 2005-12-29 Ntt Docomo, Inc. Authentication method, terminal device, relay device and authentication server
TWI254546B (en) * 2004-08-03 2006-05-01 Zyxel Communications Corp Assignment method and system of home agent in mobile VPN
US20070107047A1 (en) * 2005-11-07 2007-05-10 Cisco Technology, Inc. Allowing network access for proxy mobile IP cases for nodes that do not support CHAP authentication

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Anand Bedekar. Ajoy Singh Suresh Kalyanasundaram Motorola ^&rn^"A Protocol for Network-based Localized Mobility Management;draft-raman-netlmm-protocol-00.txt"^&rn^IETF NETLMM Working Group Vijay Raman^&rn^Internet Draft Anand Bedekar,August 2006. February 2006 *

Also Published As

Publication number Publication date
CA2687049C (en) 2013-07-16
CA2687049A1 (en) 2009-03-26
CN101682630A (zh) 2010-03-24
EP2174444B1 (en) 2017-08-09
RU2437238C2 (ru) 2011-12-20
KR20100028598A (ko) 2010-03-12
TW200915805A (en) 2009-04-01
KR101205466B1 (ko) 2012-11-29
EP2174444A2 (en) 2010-04-14
CN101682630B (zh) 2013-04-24
WO2009038831A2 (en) 2009-03-26
JP2010529755A (ja) 2010-08-26
JP5204219B2 (ja) 2013-06-05
BRPI0812554A2 (pt) 2016-05-10
US20080298595A1 (en) 2008-12-04
US8769611B2 (en) 2014-07-01
RU2009148765A (ru) 2011-07-27
WO2009038831A3 (en) 2009-05-14

Similar Documents

Publication Publication Date Title
TWI394415B (zh) 於無線通信網路中用於提供代理行動網際網路協定金鑰階層之方法及裝置
US11463874B2 (en) User profile, policy, and PMIP key distribution in a wireless communication network
JP5378603B2 (ja) 複数技術インターワーキングでの事前登録セキュリティサポート
US7130286B2 (en) System and method for resource authorizations during handovers
CN101754211A (zh) 认证协商方法及系统、安全网关、家庭无线接入点
CN101355578A (zh) 基于radius和diameter协议的移动ip应用的兼容方法及系统

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees