CN1539106A - 互联网协议的模块化鉴权和授权方案 - Google Patents
互联网协议的模块化鉴权和授权方案 Download PDFInfo
- Publication number
- CN1539106A CN1539106A CNA028153944A CN02815394A CN1539106A CN 1539106 A CN1539106 A CN 1539106A CN A028153944 A CNA028153944 A CN A028153944A CN 02815394 A CN02815394 A CN 02815394A CN 1539106 A CN1539106 A CN 1539106A
- Authority
- CN
- China
- Prior art keywords
- client computer
- key
- mobile node
- sim
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 68
- 238000000034 method Methods 0.000 claims abstract description 33
- 230000003068 static effect Effects 0.000 claims abstract description 11
- 230000004044 response Effects 0.000 claims description 41
- 230000008569 process Effects 0.000 claims description 17
- 230000011664 signaling Effects 0.000 description 24
- 230000006870 function Effects 0.000 description 16
- 238000012545 processing Methods 0.000 description 11
- 238000003780 insertion Methods 0.000 description 9
- 230000037431 insertion Effects 0.000 description 9
- 238000009826 distribution Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 230000001413 cellular effect Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- VJYFKVYYMZPMAB-UHFFFAOYSA-N ethoprophos Chemical compound CCCSP(=O)(OCC)SCCC VJYFKVYYMZPMAB-UHFFFAOYSA-N 0.000 description 4
- 230000015654 memory Effects 0.000 description 4
- 230000001052 transient effect Effects 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 235000013409 condiments Nutrition 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/167—Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Abstract
一种用于三方鉴权与授权的系统和方法。该系统包括向请求者授权的授权装置、发出请求的客户机以及本地话务台,所述本地话务台提供一个可通过其在所述客户机和授权装置之间传送消息的管路。所述授权装置、客户机以及可在其上接入所请求资源的对等层都在独立的域内。域被定义成一组一个或多个实体,从而使得如果该组包括多个实体,则在该组内任何两个实体之间的连接可由所述两个实体皆知的静态凭证保护。用户身份模块(SIM)可用于生成所述客户机接入所请求资源所使用的密钥的拷贝。
Description
技术领域
本发明涉及网络授权与鉴权,尤其涉及用于IPv6的三方鉴权和授权的系统与方法。
背景技术
在提出其上本发明要求优先权的U.S临时专利申请时,在互联网协议版本6中,并不存在对于使用三方信任模型向位于独立安全域内的移动客户机、授权装置、服务器或业务授权的及时支持。使用IPv6网络级协议的网络层业务的基于智能卡授权中同样存在这种情况。公共使用资源的实际配置需要使愿意支付诸如网络接入或网络身份(IP地址)使用的网络级业务的用户得到授权。
互联网协议内的授权与鉴权通常使用两方信任模型。借助诸如拨号业务的网络接入授权,客户机由类似Radius的协议授权,其中所述客户机和提供商为两方,或是由诸如移动IP或移动基于IPv6接入的基于DIAMETER授权来授权,其中客户机和路由身份提供商(原籍域)为所涉及的两方。两方信任模型可视为三方模型的特例,例如在业务提供商和授权装置叠并在一个实体内时。
在上述两个协议中,直接在客户机和业务所有者之间协商密钥。在互联网密钥交换(IKE)中,假定了所述两方模型,即使信任由其中信任的第三方为安全密钥交换提供密钥的公共密钥基础设施(PKI)所授权。在此模型下授予的密钥用于保证密钥交换信道的安全。所述密钥与请求特定业务无关。公共密钥的可用性并不代表业务得到发出所述密钥或使所述密钥可用的第三方授权。用户可得到密钥来保证用于会话密钥交换的信道的安全,但提供所述信道密钥的一方并不控制通过所述信道协商的密钥的目的。
发明内容
提供了一种用于三方鉴权与授权的系统和方法。该系统包括向请求者授权的授权装置、发出请求的客户机以及本地话务台,所述本地话务台提供通过其在所述客户机和授权装置之间传送消息的管路。所述授权装置、客户机以及可接入其上所请求资源的对等层都在独立的域内。域被定义成一组一个或多个实体,从而使得如果该组包括多个实体,则在该组内任何两个实体之间的连接可由所述两个实体皆知的静态凭证保护。用户身份模块(SIM)可用于生成所述客户机接入所请求资源所用密钥的拷贝。
本发明的多个方面介绍了一种应用于IPv6的三方信任模型。客户机请求业务,授权装置授权所述特定业务的使用,而业务提供商允许所述使用。所述三方模型意味着,在相对于其它方位于所述网络的任何位置处时,授权装置可以授权许多用户使用不同提供商的若干业务。在本发明中,所述三方模型被应用于IPv6协议。在所述三方模型中,授权的第三方了解特定业务,并通过发出暂时密钥资料来授权特定业务。
在本发明的一个方面中,所述静态凭证包括密钥和/或共知的算法。所述静态凭证可用于保护两个实体之间的通信。例如,密钥以及使用所述密钥的不对称加密算法可用于加密在已知所述密钥和算法的两个实体之间发送的消息。
在本发明的另一方面中,所述客户机使用SIM,其包括用于对所述客户机到另一设备进行鉴权的凭证。当授权装置发送所述密钥的拷贝到与所述客户机会话的对等层时,所述客户机可使用所述SIM来生成其自身的密钥拷贝。
在本发明的另一方面中,所述对等层可处理一项或多项事情。例如,其可能提供网络接入,可能为所述客户机提供业务(例如作为服务器),可能是所述客户机的原籍代理等。所述客户机可能是诸如蜂窝电话的移动节点、包括处理器的移动设备等。所述本地话务台例如可能是接入路由器、互联网协议版本6路由器等,其可能与一个或多个本地AAA服务器通信。
在本发明的另一方面中,公开了一种用于鉴权与授权的方法。在该方法中,与客户机相关的身份被发送至授权装置。所述授权装置使用所述身份生成询问。所述询问被发送至所述客户机。所述客户机生成发送回所述授权装置的响应。所述授权装置比较所述询问和响应。如果所述响应是正确的,则所述授权装置将密钥传送给向所述客户机提供业务的设备。通过使用与所述客户机相关的SIM,所述客户机自动生成所述密钥的拷贝。
以下具体描述与附图说明将使定义了本发明特征的这些与其它各种特征和优点变得清晰。
附图说明
图1示出了其内可实施本发明的示例性网络拓扑;
图2示出了在可用于实施本发明的部件之间发生的示例性信令;
图3示出了示例性路由器通知/本地询问;
图4示出了可由移动节点发送以启动用户身份模块(SIM)鉴权进程的消息;
图5示出了其中为所述移动节点提供随机数的消息;
图6示出了作为对鉴权询问的响应的消息;
图7示出了在鉴权网关处始发的消息;
图8-9示出了其内可实施本发明的示例性环境的部件;以及
图10示出了用于使用根据本发明的三方模型的流程图。
具体实施方式
在以下对本发明示例性实施例的详细描述中,参照形成本发明一部分的附图,所述附图说明了其内可实施本发明的特定的示例性实施例。对于这些实施例的描述足够详细,以使本领域技术人员能够实施本发明,且应当理解的是,可使用其它实施例,并进行其它改变,而不会背离本发明的精神或范围。因此,以下具体描述并无限制的意义,本发明的范围由所附权利要求书定义。
在以下描述中,说明了三方信任模型中的模块化鉴权和授权支持协议的结构性质,以及提供一组特定协议模块性原理及其实施例的方式。在认真研究以下描述之后可以认识到,其中公开的原理可以快速、可缩放、节约资源的方式用于为普遍存在的IPv6网络业务的多个潜在移动客户提供授权,无需在所述移动客户出现在网络上时与所述客户形成任何信任关系。作为替代,业务提供商依赖于其与授权装置的信任关系,因此所述业务提供商可将授权所述客户的责任委托给所述授权装置所使用的任何方法。所述业务提供商可能将该授权过程的结果视为足以开始向所述客户提供业务。
所述三方信任模型还允许诸如商业机构或网络运营商的实体有机会授权特定业务。所述实体例如可能通过使用广泛分布的智能卡而具有发达的授权基础设施。所述三方信任模型可被用于允许业务提供商无需使用其自身的授权基础设施即可授权业务。
所述三方信任模型同样改善了可缩放性。两方信任模型通常需要预先为每个客户机-服务器对建立授权数据(例如用户身份和特定业务)的配置。所述三方信任模型并不需要在业务提供商处预先设置每项被授权的业务,因为该模型可依赖于现有的三方授权基础设施。
应当认识到的是,使用公共密钥基础设施(PKI)的现有三方方案与上述的方案不同。在所述PKI方案中,分配密钥的第三方并不了解将由所述客户使用的业务,其也不能够授权由所述业务提供商提供所述业务。在所述PKI方案的操作范例中,用于授权业务的准则隐含地服从于所述业务提供商。另一方面,本发明的实施例允许得到信任的第三方在初始消息交换期间内将指定的业务明确授权给特定实体。
在以下描述中,首先给出了该文件中常用术语的首字母缩写词与缩写。然后,描述了一些本文件中常用的术语。接着,更为详细地描述了三方概念性模型的概念。此后,示出了一种说明所述三方概念性模型的操作的系统。然后,描述了一些所述三方概念性模型的示例性应用。此后,描述了一些可能发生在本发明实施例所涉及部件之间的示例性信令。接着,讨论可用于发送信息的数据结构。最后,公开了一种用于使用三方模型的示例性方法。
首字母缩略词/缩写词
以下是本申请常用的一些首字母缩略词/缩写词。
AAA-鉴权、授权以及计费
AAAL-本地AAA服务器
AR/LA-接入路由器/本地话务台
AGW/AAAH-鉴权网关/AAA原籍服务器
BAck-移动IPv6绑定确认
BU-移动IPv6绑定更新
CN-移动对应节点,通常为IPv6
CR-凭证(EAP/SIM起动)
EAP-可扩展鉴权协议
GKm-本地生成来自SIM的会话密钥的MN实例
GSM-全球移动通信系统
HA-移动IP原籍代理
ID-移动节点网络接入识别符
ICMPv6-互联网控制消息协议版本6
IKE-互联网密钥交换
IMSI-国际移动用户识别符
IPv6-互联网协议版本6
KR-AAAv6密钥回答
LC-本地询问
mSRES-系统响应的EAP/SIM MAC
MAC-消息鉴权码
MN-移动节点,通常为IPv6
nRAND-EAP/SIM询问
PKI-公共密钥基础设施
PPP-点到点协议
RPI-重放保护指示符
RTSOL-ICMPv6路由器恳求
SIM-用户身份模块
SKn-存储会话密钥的所接收网络实例
STAT-授权的返回状态
术语
以下是本申请常用的一些术语。
询问:由始发者提供随机数以确认包括所返回询问由所述询问的接收者发送。所述询问内的随机提供时新性以确保所返回的消息无法重放。
GSM鉴权:全球移动通信系统内的鉴权进程。
IMSI:全球移动用户识别符;用于GSM以识别用户。
EAP:可扩展鉴权协议,该鉴权协议与PPP一起使用,以具有用于多种鉴权方法的足够灵活的鉴权扩展。
NONCE MT:从移动节点发送到鉴权器的随机生成的整数。所述随机生成的整数是从一个端点发送到另一个端点的随机数,用于在随后接收消息时联系会话或安全事项。目的在于防止所记录协议消息可被重用于攻击的情况下的攻击。使用为每个事项都改变的随机生成整数是一种防止所述重放攻击的方式。
SIM:用户身份模块,一种通常安装在蜂窝电话内的芯片,其用于使运营商识别用户,并包括用于鉴权的凭证和算法。
本申请内的其它术语与IPv6、移动IPv6、AAA以及其它互联网协议内使用的术语一致。
三方概念性模型
图8-9示出了根据本发明一个实施例的其内可实施本发明的示例性环境的概念。所述两个附图都显示了三方概念性模型。图8示出了客户机805、授权装置815、服务器提供商810、请求820、确认825以及授权830。客户机805、授权装置815以及提供商830都经由一个或多个网络(未显示)相互连接,所述网络可能包括有线和/或无线部件,可能是交换的和/或基于分组的。
客户805发送请求820到授权装置815。请求820例如可能是对于提供商810上建立的业务的请求。如果授权装置815确定客户机805得到所请求业务的授权,授权装置815通过发送确认到客户机805并将会话密钥通知给服务器提供商810来授权所述业务,所述提供商810可借助所述会话密钥与所述客户机805通信。
图9示出了客户机805、接入提供商910、授权装置815、请求920、请求925、授权930以及确认935。客户机805、授权装置815以及接入提供商910同样经由一个或多个网络(未显示)相互连接,所述网络可能包括有线和/或无线部件。图9内所示的所述部件之间的通信可能是交换的和/或基于分组的。
客户机805希望从授权装置815获得网络接入。客户机805经由接入提供商910从授权装置815请求网络接入。授权装置815以会话密钥的形式提供授权(未显示)。所述密钥被传送到接入提供商910,确认935被提供给客户机805。客户机805可能会使用所述确认935来生成所述会话密钥的实例。此后,客户机805可使用其自己生成的会话密钥的实例来保护与接入提供商910的通信。
所述三方原理例如可用于协议SIM 6,其使用用户身份模块或SIM卡从运营商的网络引导动态安全联系。因此,到达IPv6网络的移动节点可通过从所述SIM卡读取其全球移动通信系统(GSM)身份(IMSI),并将SIM6请求经由使用互联网协议版本6(IPv6)协议的互联网发送到所述授权装置而获得业务授权。然后,所述授权装置发送所述客户机在其SIM卡内处理的询问。所述SIM卡此后为所述移动节点提供会话密钥,并提供发送回所述授权装置的响应。通过接收有效响应,所述授权装置确认所述客户机,并生成与其提供给所述业务提供商的会话密钥相同的会话密钥。
在所述交换之后,诸如接入提供商或服务器提供商的提供商与客户机共用暂时的会话密钥。所述密钥提供了所述客户机与所述提供商之间的安全联系,使所述提供商能够传送得到授权的(多项)业务。
在本发明的一个实施例中,所述SIM6协议(以下详细描述)通过所述移动节点(MN)、本地话务台(LA)、还被称为鉴权网关(AGW)的授权装置之间的通信来应用上述的三方模型。所述移动节点到达受访域,并请求使用诸如接入网络的业务的许可。
在本发明的一个实施例中,所实施的协议使用扩展的IPv6互联网控制消息协议(ICMPv6),以在三方之间传送信令消息。所述业务提供商和授权装置功能可被实施为路由器操作系统的一部分,而所述客户机功能可被实施为诸如Linux的操作系统的附加物。假定是SIM6协议的技术规范,本发明的实施例也可由其它方使用各种操作系统以某种方式来实施,所述方式使得所述实施方式交叉兼容且可共同操作。
以下将描述向使用SIM的移动节点授权IPv6业务。大量SIM模块和相关信任基础设施的存在提供了用于可缩放信任授权的广泛使用的现有机制。使用用于基于IP的信任授权的全新机制较为昂贵。可通过如下所述扩展所述AAAv6协议将现有的基于SIM机制调整为用于IPv6。所述扩展AAAv6功能可是任选的。例如,其可被如下详述的取消。
在使用诸如SIM模块的基于硬件机制来向客户授权与鉴权业务时,动态信任关系的引导可以是自动的,从而仅需少量或无需手工配置。类似移动IPv6的业务可从所述机制中受益,因为无需静态移动原籍安全联系配置。所公开系统和方法可应用于在移动节点和原籍代理之间,或是移动节点和接入链路路由器之间引导安全联系。所述系统和方法也可被用于引导其它业务。
图1示出了一种根据本发明实施例的其内可实施本发明的示例性网络拓扑。所述网络拓扑包括AAA原籍(AAAH)服务器110、鉴权网关115、移动节点120、AAA本地(AAAL)服务器125、接入路由器/本地话务台(AR/LA)130以及对等层135。这些部件可能分布在三个域105、106和107上。例如,授权可能由域105内的部件提供,接入可能由域106内的部件提供,业务可能由域107内的部件提供。一般而言,所述授权域是发出所述SIM模块的实体的网络。所述SIM6协议并不需要在IPv6网络或蜂窝网络内改变为网络实体。所述协议同样不需要改变为现有SIM鉴权原理。
在本发明的一个实施例中,一些图1所示单元的功能被改变为与在常规网络中的功能不同。为了理解以下结合图2-7详细描述的协议,移动节点120扩展到其路由器发现。所述扩展允许移动节点120理解并接收本地询问。移动节点120还扩展到AAAv6信令,所述信令使所述节点识别SIM6 EAP类型以及协议状态。此外,移动节点120保持鉴权会话语境状态。
AR/LA 130被改变为能够在所述路由器通知内扩展本地询问。AR/LA 130还包括到其AAAv6信令的扩展,所述信令使其能够识别SIM6 EAP类型和协议状态。此外,AR/LA为每个移动节点以及最近发送本地询问的高速缓冲存储器保持鉴权会话语境状态,以提供重放保护。
鉴权网关115通常位于IP网络和蜂窝域的边缘处。鉴权网关115能够与发行运营商的蜂窝网络内的授权中心通信。鉴权网关115被改变为理解以下详细讨论协议内的EAP扩展和密钥回答扩展。鉴权网关115为每个移动节点保持鉴权会话语境状态,并能够向RAND、SRES以及会话密钥单元询问从本地授权数据库、GSM网络或另一鉴权网关接收的IMSI。
SIM鉴权可能会使用可扩展的鉴权协议(EAP)消息作为对AAAv6的模块化密钥分配扩展。如本领域技术人员所理解的,EAP的使用允许将其它类似扩展加在AAAv6上。
在SIM鉴权中,接入路由器提供由所述移动节点在第一密钥请求中返回的本地询问。然后,移动节点将其国际移动用户识别符(IMSI)在密钥请求中传送到鉴权网关。所述鉴权网关将SIM询问返回到所述移动节点,所述移动节点在第二消息中以由所述SIM模块本地计算的SIM响应来响应。所述密钥请求、SIM询问以及SIM响应是AAAv6内的EAP消息。
如果所述响应匹配于所述鉴权网关本地所知的响应,则最终在密钥回答内返回会话密钥。当移动节点具有本地SIM生成会话密钥时,在所述密钥回答内将会话密钥的其它实例提供给其用户,通常是接入或业务提供商。所述用户被称为对等层。对等层例如可以是接入路由器、提供业务的服务器、移动节点的原籍代理,并提供移动性业务,或是其它任何所述移动节点可与之通信的实体。由于所述移动节点本地生成所述会话密钥的拷贝,无密钥材料经由接入链路传送到所述移动节点。
依据鉴权目的的不同,所提供暂时会话密钥对的应用可由接入路由器、最后中继段加密或是移动IPv6原籍代理来鉴权。所述应用可在移动节点和AGW之间协商。诸如移动IPv6绑定更新的使用所述会话密钥的信令可与密钥分配同时发生,这样可以实现最少的信令往返。
一些使用SIM模块的鉴权系统通常仅生成64比特长的密钥。在本发明的一个实施例中,一组n个SIM询问、响应和会话密钥可用于生成密钥。因此,所生成的会话密钥可以较长,例如64比特的n倍。n的建议值为2。
会话密钥是值K,其例如由伪随机函数PRF(n*Kc,n*RAND IMSI NONCE_MT)从SIM生成的n个会话密钥Kn计算得出的。这样,在使用原始SIM生成的Kc密钥时其并不被公开。同样,生成随机数(NONCE_MT)的客户可以了解导致K的生成的信息得到适当重放保护。本发明的实施例使用HMAC-MD5-96和HMAC-SHA-1-96作为伪随机函数。如下所述,这些伪随机函数还可用于消息鉴权码(MAC)字段。
本地话务台操作
在操作中,诸如AR/LA 130的本地话务台修改其路由器通知。所述本地话务台参与至少两个与移动节点的消息交换。首先,它接收AAAv6请求。然后以AAAv6回答来回应。
发送本地询问到移动节点
本地话务台通过提取由良好随机生成器生成的值来生成本地询问。所述本地话务台在每个路由器通知内发送本地询问。理想的是,所述本地话务台应当保持三个最近通知到每个移动节点的询问的本地询问高速缓冲存储器。当所述本地询问高速缓冲存储器包括其最大数量的最近路由器通知,且需要高速缓存新路由器通知时,所述本地话务台从所述本地询问高速缓冲存储器中删除最旧询问及其相关状态。
当本地话务台从移动节点接收到AAAv6请求时,它生成其中存储移动节点的识别符以及本地询问的AAAv6语境。此后,它比较所接收询问与最近发送询问组中的询问,以确定移动节点是否已使用所述询问。
从所述移动节点接收SIM/开始
如果未找出所述询问,或所述询问已被移动节点使用,所述话务台无声地删除所述分组并破坏所述语境。可如此操作来反击可能的重放攻击。如果找到所述询问且其并未由所述移动节点使用,则所述话务台将所述询问标记为所使用的并继续进行操作。
所述本地话务台然后生成SIM6语境,并将其附加到移动节点AAAv6语境。每个移动节点都有一个AAAv6语境和一个SIM6内容。在所述AAAv6语境中,所述本地话务台存储以下项:协议版本、密钥寿命建议、密钥交换原因以及由所述移动节点生成的NONCE_MT。
如果所接收消息内出现了所有所需的数据单元,所述本地话务台将所述移动节点的识别符以及凭证转发到AGW。所述AGW可从由所述识别符的界部分输入的AGW的优先级列表中选择。所述列表的配置可能管理性地显示了所配置的交叉域信任关系,例如漫游协议。
消息内的所述凭证包括EAP对象的单元。所述核心协议应当将与所述识别符相关的未修改EAP对象传送到所选择AGW。
然后,所述本地话务台以所选择的秒数(SIM6_TIMEOUT_AGW)来等待来自所选择AGW的回答。如果未及时接收到回答,或接收到错误,则所述本地话务台破坏用于所述移动节点的语境。在失败的情况下,在破坏所述语境之前,所述本地话务台应当以所选择的次数(SIM6_MAX_RETRIES)再发送所述消息。所述本地话务台可能为AGW优先级列表内的每个成员重复上述操作。如果较低优先级AGW回答,则其在所述列表上的优先级可能被暂时提高到失败AGW的优先级之上。
发送SIM/询问到所述移动节点
如果所述本地话务台从网关接收包括移动节点的nRAND的回答,则它发送SIM/询问到所述移动节点。在从AGW接收到包括nRAND的回答时,所述本地话务台基于从所述AGW接收的识别符来搜索移动节点的语境。如果未找到语境,则放弃所述分组。
在找到语境的情况下,所述本地话务台生成SIM/询问EAP分组并将其在AAAv6回答内发送到所述移动节点。所述AAAv6回答首先包括所述识别符,然后包括具有所述nRAND的EAP对象以及由授权AGW判定的密钥寿命。所述EAP对象由涵盖所述nRAND、移动节点的语境内的NONCE_MT以及所述寿命的MAC_RAND字段来保护。所述核心协议应当从所述AGW得到所述未修改的EAP对象以及所述识别符。
所述本地话务台为所选择时间量(SIM6_TIMEOUT_MOBILE)设置定时器。所述定时器与所述移动节点的语境相关。期望从所述移动节点接收到带有SIM/询问的第二AAAv6请求来设置所述时间。如果未及时接收到请求,所述移动节点的语境会被破坏。在失败的情况下,在破坏所述语境之前,所述本地话务台应当以所选择的次数(SIM_MAX_RETRIES)再发送所述消息。
从所述移动节点接收SIM/询问
在从所述移动节点接收到带有SIM/询问的第二AAAv6请求之后,所述本地话务台基于从所述移动节点的识别符搜索所述移动节点的语境。如果未找到语境,则放弃所述分组。
在找到语境的情况下,所述本地话务台生成到所述AGW的消息,其在所述消息内插入所述识别符以及在所述EAP对象内接收的消息。然后,所述本地话务台以所选择的秒数(SIM6_TIMEOUT_AGW)等待来自所述AGW的回答。如果未及时接收到回答,或是接收到错误,则所述本地话务台破坏所述移动节点的语境。在失败的情况下,在破坏所述语境之前,所述本地话务台应当尝试以所选择次数(SIM6_MAX_RETRIES)再将所述消息发送到所述AGW。如果所述本地话务台接收到包括所述移动节点的密钥回答的消息,则其发送AAAv6密钥回答至所述移动节点。
如果从所述AGW接收的一般密钥回答也包括用于接入链路鉴权或加密的会话密钥,则所述本地话务台提取所述密钥并将其存储在安全数据库内。
将密钥回答发送到所述移动节点
所述本地话务台最终将AAAv6回答发送到所述移动节点。所述AAAv6回答包括密钥回答。成功状态被插入到所述代码ICMPv6字段中。密钥安全参数索引(SPI)被插入到所述密钥字段中。所述密钥回答、成功状态以及密钥SPI都是从所述AGW接收的。在此之后,所述鉴权会话完成,并破坏所述移动节点的语境。
移动节点操作
诸如移动节点120的移动节点从诸如AR/LA 130的能够实现SIM6的接入路由器/本地话务台接收修改后路由器通知。此后,所述移动节点参与两个与所述话务台以及诸如AGW 115的AGW的消息交换。在所述第一交换中,所述移动节点发送AAAv6请求。在所述第二交换中,所述移动节点接收AAAv6回答。
从所述话务台接收本地询问
当在路由器通知中发送随机化的本地询问时,所述移动节点识别出所述路由器支持本地话务台功能。所述移动节点此后在任何适当的时刻开始SIM6鉴权进程,例如在需要网络接入鉴权时。路由器通知内的标志可能会指示其它支持SIM6鉴权的节点。
发送SIM/开始到所述话务台
当移动节点开始SIM6鉴权进程时,它生成SIM6语境,其中它将从所述SIM卡硬件提取的IMSI作为NAI识别符的用户部分插入所述SIM6语境。所述移动节点然后得到NAI的管理性配置的界部分,借助其可达到理解所述IMSI的AGW。所述移动节点然后将请求会话密钥的原因、密钥寿命建议以及来自良好随机源的NONCE_MT加入所述语境。
所述移动节点然后生成SIM/开始EAP分组,并将其在AAAv6请求内发送到所述话务台。所述AAAv6请求首先包括所返回的本地询问、识别符以及具有所述密钥寿命建议和NONCE_MT的EAP对象。
所述移动节点然后以所选择的时间量(SIM6_TIMEOUT_MOBILE)为所述语境设置定时器。期望从所述话务台接收带有SIM/询问的第一AAAv6回答来设置所述定时器。如果未及时接收到请求,则破坏所述移动节点的语境并将所述鉴权视为失败。在破坏所述语境之前,所述移动节点应当尝试以所选择的次数(SIM6_MAX_RETRIES)重复所述鉴权。所述移动节点可通过从该进程的起点重新开始来执行这种操作。在如此执行中,所述移动节点可能会重新设置所述语境并将失败计数加1。然后,所述移动节点发送SIM/开始。
对于每次重复的尝试而言,都会得到新的本地询问。如果所述路由器通知频率过低,则应当在每次重复的尝试之前发出路由器恳求。
从所述话务台接收SIM/询问
在从所述话务台接收到带有SIM/询问的第一AAAv6回答之后,所述移动节点基于在所述消息内从所述话务台接收的识别符来搜索语境。如果未找到语境,则放弃所述分组。
如果找到语境,所述移动节点从所接收消息中提取n个RAND,并将其应用于SIM硬件。所述移动节点然后将n个会话密钥以及对于n个三元字节的SRES响应存储在所述语境内。
将SIM/询问发送到所述话务台
所述移动节点然后生成SIM/询问EAP分组,并将其在AAAv6请求内发送到所述话务台。所述AAAv6首先包括所述识别符,然后包括具有MAC_SRES的EAP对象。
所述移动节点然后以所选择时间量(SIM6_TIMEOUT_MOBILE)为所述语境设置定时器。期望着从所述话务台接收到密钥回答来设置所述定时器。如果未及时接收到消息,则破坏所述移动节点的语境并将所述鉴权视为失败。在破坏所述语境之前,所述移动节点应当以所选择的次数(SIM6_MAX_RETRIES)来重复所述鉴权。所述移动节点可通过从该进程的起点重新开始来执行这种操作。在如此执行中,所述移动节点可能会重新设置所述语境并将失败计数加1。然后,所述移动节点发送SIM/开始。
从所述话务台接收密钥回答
在从所述话务台接收到密钥回答时,所述移动节点基于在所述消息内从所述话务台接收的识别符来搜索语境。如果未找到语境,则放弃所述分组。同样,如果在所述ICMPv6代码字段内接收的状态并不是成功,例如AAAV6_STATUS_SUCCESS,则将所述鉴权视为是失败的。
在失败情况下,在破坏所述语境之前,所述移动节点应当以所选择的次数(SIM6_MAX_RETRIES)来重复所述鉴权。所述移动节点可通过从该进程的起点重新开始来执行这种操作。在如此执行中,所述移动节点可能会重新设置所述语境并将失败计数加1。然后,所述移动节点发送SIM/开始。
鉴权网关操作
鉴权网关(AGW)被视为代理AGW,如果其与另一AGW通信的话;否则,其可被视为授权AGW。后者可能与GSM网络内的AAAH通信,或本地授权所述会话使其同样为AAAH。
诸如鉴权网关115的AGW参与两个经由诸如AR/LA 130的话务台的与移动节点的消息交换,所述移动节点例如是移动节点120。所述AGW首先接收请求消息,然后以回答消息来响应。
经由所述话务台从所述移动节点接收SIM/开始
当所述AGW经由所述话务台从所述移动节点接收包括SIM/开始EAP对象的消息时,其执行各种操作。首先,所述AGW生成移动节点语境,所述AGW在所述移动节点语境内存储从其接收消息的IP地址、所述移动节点的识别符、协议版本、密钥寿命建议、密钥交换的原因以及由所述移动节点生成的NONCE_MT。可能会为每个移动节点生成一个语境。
如果所接收消息内存在所有所需的数据元素,则所述授权AGW从所述GSM网络或是本地数据库请求特定IMSI的n个三元字节。如果所述三元字节被成功接收,则所述授权AGW将其存储到所述移动节点的语境,并将带有SIM/询问的消息发送到所述移动节点。
如果所接收消息内存在所有所需的数据元素,则代理AGW(如果使用了一个代理AGW)将所述移动节点的识别符以及凭证转发到另一AGW。可能会从下一级AGW的优先级列表中选择所述其它AGW。所述列表的配置可能代表管理性配置的交叉域信任关系,例如漫游协议。
所述消息内的凭证包括EAP对象内的单元。所述核心协议应当将与所述识别符相关的未修改EAP对象传送到下一级AGW。
所述代理AGW然后以所选择的秒数(SIM6_TIMEOUT_AGW)来等待来自所述AGW的回答。如果未及时接收到回答,或接收到错误,则所述代理AGW破坏用于所述移动节点的语境。在失败的情况下,在破坏所述语境之前,所述代理AGW应当尝试以所选择的次数(SIM6_MAX_RETRIES)发送所述消息。所述代理AGW可能将所述消息发送到下一级AGW的优先级列表内的每个成员。如果较低优先级的下一级AGW回答,则其在所述列表上的优先级可能被暂时提高到失败的下一级AGW的优先级之上。
如果所述代理AGW接收包括所述移动节点的nRAND的回答,则其将SIM/询问发送到所述移动节点。
将SIM/询问经由所述话务台发送到所述移动节点
首先,AGW生成带有所述识别符和SIM/询问EAP分组的消息。所述AGW然后经由下述节点将所述消息发送到所述移动节点,所述节点的IP地址被存储在所述语境内,作为具有SIM/开始的请求消息的发送者。
所生成的消息首先包括所述识别符。在所述识别符之后,所述消息包括具有所述nRAND的EAP对象,以及由所述AGW所判定、作为从所述移动节点接收的密钥寿命建议的函数的密钥寿命。所述EAP对象由涵盖所述nRAND、移动节点的语境内的NONCE_MT以及所述寿命的MAC_RAND字段来保护。
所述AGW以所选择时间量(SIM6_TIMEOUT_AGW)设置定时器。所述定时器与所述移动节点的语境相关。期望从所述移动节点接收到带有SIM/询问的第二消息来设置所述时间。如果未及时接收到请求,所述移动节点的语境会被破坏。
经由所述话务台从所述移动节点接收SIM/询问
在经由所述话务台从所述移动节点接收到带有SIM/询问的第二请求消息之后,所述AGW基于从所述移动节点接收的识别符(NAI)的用户部分搜索所述移动节点的语境。如果未找到语境,则放弃所述分组。
所述授权AGW然后基于在移动节点语境内寻找到的n个会话密钥、SRES值、IMSI以及NONCE_MT,本地计算所述MAC_SRES。如果由伪随机函数(PRF)计算的值匹配于在所述EAP对象内接收的一个值,则将成功状态存储在所述语境内,否则存储无效凭证状态。
代理AGW然后将所述移动节点的识别符以及凭证转发到另一AGW。可能会从下一级AGW的优先级列表中选择所述AGW。所述列表的配置可能代表管理性配置的交叉域信任关系,例如漫游协议。
所述消息内的凭证包括EAP对象内的单元。所述核心协议应当将与所述识别符相关的未修改EAP对象传送到下一级AGW。
所述代理AGW然后以所选择的秒数(SIM6_TIMEOUT_AGW)等待来自所述AGW的回答。如果未及时接收到回答,或接收到错误,则所述代理AGW破坏所述移动节点的语境。在失败的情况下,在破坏所述语境之前,所述代理AGW应当尝试以所选择的次数(SIM6_MAX_RETRIES)再发送所述消息。所述代理AGW可能会尝试发送消息SIM6_MAX_RETRIES至所述下一级AGW的优先级列表内的每个成员。如果较低优先级的下一级AGW回答,则其在所述列表上的优先级可能被暂时提高到失败的下一级AGW的优先级之上。
将密钥回答经由所述话务台发送到所述移动节点
所述授权AGW最终将通用密钥回答经由所述话务台发送回所述移动节点,并将成功状态插入所述消息。此后,所述鉴权会话完成,破坏所述移动节点的语境。
在移动节点的语境还包括发送密钥给所述话务台的原因时,所述密钥被加入所述消息以及所生成的密钥KPI。
所述代理AGW将密钥回答传送给所述语境内的IP地址。最终,应当在所选择秒数(2*TIMEOUT_AGW)之后破坏所述语境。
AAAv6上的SIM鉴权的应用
SIM鉴权的应用可能使用SIM开始和AAAv6密钥回答扩展的原因子类型。不同原因的编号使得可以单个扩展来指示原因的组合。这使得可以借助一个授权消息交换为多个目的分配相同会话密钥。
网络接入的SIM鉴权
在使用原因子类型1或2时,SIM鉴权将会话密钥分配给将用于接入鉴权或接入链路加密的接入路由器。
移动IPv6原籍登记的SIM鉴权
在使用原因子类型4时,SIM鉴权将会话密钥分配给将用于SIM引导的移动原籍鉴权的原籍代理。在这种情况下,可将移动IPv6绑定更新(BU)作为嵌入数据经由核心信令发送,从而使得在成功的情况下,所述AGW将所述会话密钥的网络部分与BU一起传送给所述原籍代理。所述原籍代理然后以所传送的密钥鉴权所述原籍登记,并通过在第二核心信令回答消息内发送作为嵌入数据的绑定确认来响应。
业务的SIM鉴权
在使用原因子类型8时,SIM鉴权将会话密钥分配给对等层。所述信令允许所述AGW/AAAH将所述会话密钥的网络拷贝分配给所述主机以及在所述对等层NAI内识别的业务。
可在SIM开始选项内在对等层NAI内识别业务。所述NAI编码界部分内的所述对等层节点的位置以及用户部分内的业务。编码实例可能是“HA@host.domain.com”,其用于将移动原籍安全联系生成识别给DNS名host.domain.com的原籍代理。所述编码实际上可在原因子类型4下使用。另一实例可能是“unlock@door101.company.com”,其用于提供授权和安全密钥,以安全使用由DNS名door101.company.com识别的主机处的“解锁”业务。这样,具有ICMPv6而无较上层的光IPv6协议栈例如可用于仅实施诸如解锁和闭锁的简单应用的控制设备。
当鉴权网关发送密钥回答消息给对等层节点时,所述密钥回答消息包括具有NAI的对等层识别符选项,且所述对等层以密钥确认来响应所述密钥回答。所述鉴权网关延迟向所述移动节点发送所述密钥回答,直至它接收到所述密钥确认。所述密钥回答和密钥确认的格式和保护由核心网信令协议提供。
借助作为核心网信令的直接ICMPv6消息发送,所述密钥回答是具有识别符和密钥回答选项的AAAv6请求消息。所述识别符包括由所述移动节点发送的对等层NAI。所述密钥回答包括密钥字段内的编码后的会话密钥。
所述确认可能是发送至所述鉴权网关的空密钥回答,所述成功状态被编码到诸如结合图7描述的密钥回答的回答内。所述确认的识别符可能具有如在所述对等层NAI内编码的NAI。
依赖于存储在对等层话务台或代理AGW状态内的IPv6地址,可将所述确认发送至所述AGW。作为选择,可借助基于NAI的路由将所述确认发送到所述AGW,在所述路由内,所述界部分可用于将所述确认路由到所述授权AGW。在后一种情况下,所述确认路由可能较为耐用,因为其缺少状态。所述确认编码的实例可以是“user-peer%realm_peer@realm_AGW”。例如,对于以上给出的解锁实例而言,所述确认可能是“unlock%door101.company.com@AGW.domain.com”。这可能意味着“door101借助AAAv6a代码字段内的成功状态向授权AGW确认所述操作已被完成;请将确认转发到请求移动节点”。应当认识到的是,这是任意NAI编码的业务的移动节点-原籍代理暂时密钥推出的概括。
业务的撤销可通过发送如结合图7所述确认从所述授权AGW实现。所述确认可被借助AAAv6_INVALID_CREDENTIALS的代码发送到所述对等层以及移动节点。所述对等层还可以通过将所述消息经由所述授权AGW发送到所述移动节点来启动撤销。所述授权装置将依据授权政策转发所述对等层启动的撤销或阻塞所述撤销。
对上述消息的NAI编码可能遵循以下规则。密钥内NAI的界部分是其目的地的界。这意味着所述代理AGW内的语境状态具有作为语境搜索结构的密钥的NAI。用于确认/撤销的NAI内特定编码可被解析为通过删除@之前的所有内容并以@取代%来生成未决状态的ID。在所述AAAv6请求到达所述对等层时,可已%编码地生成所述语境接入字符串。这样,到/来自对等层的两种类型的密钥回答无需告知何时存在普通的NAI或%编码的NAI。
协议常量
本文中描述的协议可能会使用以下常量:
SIM6_MAX_RETRIES,在各种故障情况下的最大重试数量,可能等于6。
SIM6_TIMEOUT_AGW,用于核心信令问题的暂停秒数,可能等于4。
SIM6_TIMEOUT_MOBILE,用于接入链路信令问题的暂停秒数,可能等于2。
这些常量也可能被选择为其它值。
安全性考虑
所述协议扩展并非旨在削弱由AAAv6和蜂窝SIM鉴权提供的安全性。应当认识到的是,所呈现的扩展大量使用现有协议,从而可以从所述AAAv6和蜂窝SIM鉴权协议继承安全性特征。
在本发明的实施例中,SIM鉴权的保密算法或参数密钥材料并不分配给IP网络。由运营商控制的AGW被假定为经由漫游协议与所述授权运营商具有信任关系。
协议操作
图2示出了根据本发明一个实施例的在用于实现本发明的部件之间发生的示例性信令。可使用AAAv6来实施所示出的协议,在所述AAAv6中,AAAv6嵌入数据选项包括用于SIM鉴权的EAP选项。
所述接入路由器在未恳求或恳求(205)路由器通知中发送本地询问(210)。这是在所述接入路由器内启动AAAv6本地话务台功能时加入所述路由器通知的选项。本地询问用于所述移动节点的第一请求内的重放保护。
在接收到具有本地询问的路由器通知之后,所述移动节点返回AAAv6请求(215)。其包括所述询问、移动节点的登记身份以及SIM密钥请求。所述身份是AAAv6的ID选项。所述ID包括具有user@realm格式的网络接入识别符(NAI),其中所述用户部分是国际移动用户识别符(IMSI),而所述界部分使得AAA可以将所述信号路由到所述鉴权网关(AGW/AAAH)。特定界(GSMSIM_NAI_REALM)可用于寻找第一可用鉴权网关。
所述SIM密钥请求是包括EAP响应/SIM/开始的AAA请求内的嵌入数据选项。这为所述接入路由器内的本地话务台功能提供了信号,以将所述请求与NAI一起传送到SIM所知的鉴权网关。所述SIM密钥请求同样包括参数以协商所述会话密钥的寿命。
当所述本地话务台从所述鉴权网关接收SIM询问(nRAND)时,它借助嵌入到EAP请求/SIM/询问的SIM询问将AAAv6回答发送回所述移动节点。包含所述IMSI的所述NAI选项被包括在后续消息内,以识别进行中的鉴权对话。
当所述移动节点接收第一AAAv6回答(240)时,它以所包括的n个随机数(nRAND)从所述消息调用SIM算法。这生成了n个SRES值以及一个本地会话密钥。N的大小取决于密钥所需的长度。SIM鉴权生成了64比特的短密钥,但应用可能需要较长的密钥。
从所述移动节点到所述本地话务台的第二AAAv6请求(245)因而包括计算成MAC SRES的所生成SRES、mSRES的混合。这以某种格式将所述SRES值传送回所述鉴权网关,窃听者无法从所述格式提取实际RAND/SRES值对。所述AAAv6请求还包括所述NAI选项。
在接收到所述第二AAAv6请求时,所述本地话务台将所述信号(250)转发到所述鉴权网关,该鉴权网关核实所述mSRES。如果正确,所述本地话务台将接收带有成功状态并潜在地具有所生成会话密钥的密钥回答(275)。如果不正确,则所述密钥回答将包括失败状态。
最后,所述本地话务台发送第二AAAv6回答(280),其包括NAI和密钥回答。当接收到所述第二AAAv6回答时,所述移动节点将知道所述SIM鉴权是否是成功的且还包括用于所生成会话密钥的选择目的。
在本发明的另一实施例中,所述协议可能被用于互联网协议版本4。这可能会通过预订两种ICMP类型,并如在IPv4内一样复制所述用于IPv6的协议的其它方面来完成。如本领域技术人员所知,用于IPv4路由器通知内的本地询问的技术规范存在于AAA建议内。
核心网信令
本地话务台可使用“直径”作为用于与所述鉴权网关通信的核心网信令。作为选择,所述核心网信令例如可直接使用“半径”或SIM6消息。
在请求时同样可以执行对诸如原籍代理的对等层的密钥分配。
代理鉴权网关如以下详述的提供作为低效运行的多中继段核心网信令或提供互操作。每个中继段可使用其自身的协议,从而使得代理鉴权网关在不同核心网信令协议之间翻译。这可被证明是有效的,例如用于传输和迁移的情况。
协议消息格式
以下是在SIM6鉴权进程内交换的消息。所示的消息是诸如特定ICMPv6消息的一般AAAv6,并可包括在半径范围消息内,或可被经由安全信道作为简单ICMPv6分组发送。接入链路可以使用不安全信道,但借助普通的ICMPv6分组,安全通信信道可有利地从本地话务台到授权网关保持安全。
图3示出了根据本发明一个实施例的示例性路由器通知/本地询问。当所述移动节点到达所述受访网络时,它从本地路由器接收路由器通知。如本领域技术人员所知,所述路由器通知可被如近邻发现和移动IPv6协议指定的接收。所述路由器通知包括“询问”,其本质上是作为用于重放保护的随机生成整数的随机数。
所述消息包括IPv6标题305、路由器通知310、路由器通知选项315以及AAAv6询问选项320。路由器通知310可能包括类型、代码、校验和当前跃距限制、预留字段、路由器寿命、可达到时间、重新传送定时器以及其它字段。路由器通知选项315可能包括目标链路层地址、前缀信息选项以及其它字段。AAAv6询问选项320可能包括类型、长度、询问、预留字段以及其它字段。
应当认识到的是,图3所示的结构类似于接入路由器/本地话务台发送的正常路由器通知,但包括附加选项。所述附加选项包括AAAv6询问选项320。在本发明的一个实施例中,AAAv6询问选项320字段具有特定表达方式。例如,类型字段内的值9指示AAAv6询问选项320包括ICMPv6路由器通知本地询问选项。长度字段内的值1指示长度为8个字节,包括类型和长度字段。所预留的字段可以忽略。所述询问字段可包括由所述接入路由器生成的32字节随机数。所述32比特数可用于防止重放攻击。
当所述移动节点到达受访网络时,它从所述本地路由器接收到如近邻发现协议规定的并由移动IPv6修改的路由器通知。所述路由器通知如图3所示包括“询问”,其本质上是被作为用于重放保护的随机生成整数使用的随机数。
图4示出了根据本发明一个实施例的可由移动节点发送以启动SIM鉴权进程的消息。所述消息包括。在该实例中,所述消息是包括嵌入数据选项的AAAv6请求,所述嵌入数据选项是EAP响应分组。所述EAP分组是一个“响应”,因为所述SIM鉴权进程是被从可能包括较早消息内所发送的PPP-EAP信令的较大消息流中提取的。
所述消息包括IPv6标题405、ICMPv6标题410、AAA客户识别符选项420、AAAv6询问选项425以及AAAv6嵌入数据选项430。IPv6标题405可能包括指示所述消息来自移动节点的源地址(SRC)。它可能包括指示所述消息指向AAAv6话务台的目的地地址(DEST)。IPv6标题405还包括下一标题字段(NxtHDR),具有指示所述消息是ICMPv6消息的值58。
ICMPv6标题410包括类型字段、代码字段、校验和字段。所述类型字段内的值151(或十六进制91)可能指示所述消息是AAAv6请求。所述代码字段的值0指示另一与所述AAAv6请求相关的选项。所述校验和字段可用于确认所述消息在传送期间内不会被破坏。所述校验和可以如本领域技术人员所知地计算。
AAA客户识别符选项420可能包括类型字段、子类型字段、长度字段以及识别符字段。所述类型字段内的值1可指示其为客户识别符选项。所述子类型字段内的值0指示所述识别符为网络接入识别符(NAI)。所述长度字段指示所述识别符的长度。所述长度可能会被以八位字节指示。如本领域技术人员所理解的,可使用所述GSM的所分配IMSI以及特定界来构造所述识别符字段。
AAAv6询问选项425可能包括类型字段、子类型字段、长度字段以及询问字段。所述类型字段内的值3指示AAAv6询问选项425是询问选项。所述子类型字段内的值0指示所述询问是本地询问。所述长度字段包括所述询问的长度。所述长度可能指示所述询问内的八位字节的数量。所述询问字段包括如从路由器通知中挑选出的实际询问数据。
AAAv6嵌入数据选项430包括类型字段、WH字段、子类型字段、长度字段以及EAP-响应/SIM/开始435。所述类型字段内的值8指示AAAv6嵌入数据选项430是嵌入数据选项。所述WH字段内的值10指示所述消息包括AAAH服务器。所述子类型字段内的值3指示所述消息包括EAP响应。所述长度字段可能包括AAAv6嵌入数据选项430的八位字节长度。它也可能包括对等层NAI的长度。
EAP-响应/SIM/开始435可被嵌入到AAAv6嵌入数据选项430内。EAP-响应/SIM/开始435可能是表示SIM鉴权进程开始的分组。EAP-响应/SIM/开始435可能包括代码字段、识别符字段、长度字段、类型字段、子类型字段、版本字段、原因字段、密钥寿命建议字段、NONCE_MT字段以及对等层NAI字段。
所述代码字段内的值2指示EAP-响应/SIM/开始435为响应。所述识别符字段可用于以本领域技术人员所知的请求来匹配响应。所述长度字段包括与EAP扩展相关的所有数据的长度。所述类型字段内的值18指示EAP/SIM鉴权的EAP类型。所述子类型字段内的值1指示SIM/开始。
所述版本字段指示所使用的EAP/SIM协议版本。所述原因字段包括位屏蔽,依据由SIM鉴权所提供会话密钥所需的范围,所述位屏蔽为001时指示客户话务台鉴权,为010时指示客户话务台加密,为100时指示移动节点-原籍代理鉴权,或是指示上述的任何组合。利用位屏蔽来代表组合为本领域技术人员所知,此处不再进一步讨论。
所述密钥寿命建议字段可能包括以秒表示的客户密钥寿命建议。所述NONCE MT可能包括由客户生成的随机数,且可用作新密钥的籽值。所述随机数依据所需应用的不同可具有16字节长度或其它长度。
所述对等层NAI字段可用于描述业务以授权。接收该字段的鉴权网关可能会发送两个密钥回答。一个密钥回答被发送至所述客户机,并不包括所述密钥。尽管并不包括所述密钥,但它可能包括足够的信息以使所述客户机通过使用其SIM模块生成所述密钥。另一密钥可能被发送到同层节点,其中所述对等层NAI的界在所述核心信令协议上编码到所述同层节点的密钥回答的路由。
图5示出了根据本发明一个实施例的其中为所述移动节点提供随机数的消息。可使用消息鉴权码来保护所述随机数。可响应于图4显示的消息将所述消息作为AAAv6回答提供。
所述消息包括IPv6标题505、ICMPv6标题510、AAA客户识别符选项515以及AAAv6嵌入数据选项520。IPv6标题505可能包括指示所述消息来自本地话务台的源地址(SRC)。它可能包括指示所述消息指向移动节点的目的地地址(DEST)。IPv6标题505还包括下一标题字段(NxtHDR),具有指示所述消息是ICMPv6消息的值58。
ICMPv6标题510包括类型字段、代码字段、校验和字段。所述类型字段内的值153(或十六进制99)指示所述消息是AAAv6回答。所述代码字段内的值0指示另一与所述AAAv6请求相关的选项。所述校验和字段可用于确认所述消息在传送期间内不会被破坏。所述校验和可以如本领域技术人员所知地计算。
AAA客户识别符选项515可能包括那些如图4AAA客户识别符选项420所包括、并结合所述AAA客户识别符选项420描述的字段。
AAAv6嵌入数据选项520包括类型字段、WH字段、子类型字段、长度字段以及EAP-请求/SIM/开始525。所述类型字段内的值8指示AAAv6嵌入数据选项520是嵌入数据选项。所述WH字段内的二进制值00指示诸如客户机或话务台的AAA协议消息接收者应当处理嵌入数据。所述子类型字段内的值2指示所述消息包括EAP请求。所述长度字段可能包括EAP-请求/SIM/开始525的八位字节长度。
EAP-请求/SIM/开始525可被嵌入到AAAv6嵌入数据选项520内。EAP-请求/SIM/开始525可能包括代码字段、识别符字段、长度字段、类型字段、子类型字段、版本字段、预留字段、密钥寿命建议字段、MAC RAND字段以及随机数。
所述代码字段内的值1指示EAP-请求/SIM/开始525为请求。所述识别符字段可用于以本领域技术人员所知的请求来匹配响应。所述长度字段包括与EAP扩展相关的所有数据的长度。所述长度字段将包括所述EAP请求内给出的RAND询问的数量。所述类型字段内的值18指示EAP/SIM鉴权的EAP类型。所述子类型字段内的值2指示SIM/询问。
所述版本字段指示所使用的EAP/SIM协议版本。所述密钥寿命字段包括以秒表示的剩余密钥寿命。该寿命是由AAA服务器确定的。所述AAA服务器可能考虑来自EAP-响应/GSMSIM/开始的客户的密钥寿命建议,但并非必须如此。所述密钥寿命通常大于0。
所述MAC_RAND字段是n个通过的随机数(n*RAND)以及密钥寿命的消息鉴权码。所述MAC_RAND字段可通过伪随机函数PRF(n*Kc,n*RAND|NONCE_MT|寿命)计算,其中nKc是n个会话密钥。其例如具有16个八位字节的长度。
所述随机数字段(N*RAND)包括每个都为16字节的n个GSMRAND。n值=2用于本发明的一些实施例中。
图6示出了根据本发明一个实施例的作为对鉴权询问响应的消息。所述MAC_SRES字段被提供为SIM模块所生成的响应的散列,从而使得原始响应在所述消息内并不清楚。鉴权网关可使用同样的散列来检查所述响应的有效性。
所述消息包括IPv6标题605、ICMPv6标题610、AAA客户识别符选项615以及AAAv6嵌入数据选项620。IPv6标题605可能包括指示所述消息来自移动节点的源地址(SRC)。它可能包括指示所述消息指向本地话务台的目的地地址(DEST)。IPv6标题605还包括下一标题字段(NxtHDR),具有指示所述消息是ICMPv6消息的值58。
ICMPv6标题610包括类型字段、代码字段、校验和字段。所述类型字段内的值151(或十六进制97)指示所述消息是AAAv6请求。所述代码字段内的值0指示另一与所述AAAv6请求相关的选项。所述校验和字段可用于确认所述消息在传送期间内不会被破坏。所述校验和可以如本领域技术人员所知地计算。
AAA客户识别符选项615可能包括那些如图4AAA客户识别符选项420所包括的、结合所述AAA客户识别符选项420描述的字段。
AAAv6嵌入数据选项620包括类型字段、WH字段、子类型字段、长度字段以及EAP-响应/SIM/询问625。所述类型字段内的值8指示AAAv6嵌入数据选项620是嵌入数据选项。所述WH字段内的二进制值10指示AAAH服务器应当处理嵌入数据。所述子类型字段内的值3指示所述消息包括EAP响应。所述长度字段可能包括EAP-响应/SIM/询问的八位字节长度。
EAP-响应/SIM/询问625可被嵌入到AAAv6嵌入数据选项620内。EAP-请求/SIM/开始525可能包括代码字段、识别符字段、长度字段、类型字段、子类型字段、版本字段、预留字段以及MAC_SRES字段。
所述代码字段内的值2指示EAP-响应/SIM/开始625为响应。所述识别符字段可用于以本领域技术人员所知的请求来匹配响应。所述长度字段包括与EAP扩展相关的所有数据的长度。所述长度字段将包括所述EAP请求内给出的RAND询问的数量。所述类型字段内的值18指示EAP/SIM鉴权的EAP类型。所述子类型字段内的值2指示SIM/询问。所述版本字段指示所使用的EAP/SIM协议版本。所述MAC_SRES字段可由客户通过使用伪随机函数PRF(n*Kc,n*SRES|IMSI|NONCE_MT)[12]来计算,其中n*Kc是n个会话密钥,n*SRES是从所述移动节点内的SIM卡中得到的n个系统响应,IMSI是其的识别符,而NONCE_MT是由所述移动节点随机化的随机生成整数。在本发明的一个实施例中,所述伪随机函数生成16字节数。
图7示出了根据本发明一个实施例的在所述鉴权网关处始发的消息。本地话务台移走并保持任何分配给所述消息的密钥信息。当所述消息到达所述移动节点时,其用于指示SIM鉴权会话(所指示的NAI)的成功或失败,以及应当用于移动节点的安全政策数据库(SPD)的SPI。会话密钥并不被经由最后中继段传送,因为所述移动节点已具有由所述SIM算法本地生成的会话密钥。AAAv6密钥回答选项因此并不具有密钥字段;其传送状态到所述移动节点。
所述消息包括IPv6标题705、ICMPv6标题710、AAA客户识别符选项715以及AAAv6概括的密钥回答选项720。IPv6标题705可能包括指示所述消息来自本地话务台的源地址(SRC)。它可能包括指示所述消息指向本地话务台的目的地地址(DEST)。IPv6标题705还包括下一标题字段(NxtHDR),具有指示所述消息是ICMPv6消息的值58。
ICMPv6标题710包括类型字段、代码字段、校验和字段。所述类型字段内的值153(或十六进制99)指示所述消息是AAAv6回答。所述代码字段可用于指示所述协议的成功或失败。例如,值0指示授权成功。值50指示诸如较差MAC_SRES的无效凭证。所述校验和字段可用于确认所述消息在传送期间内不会被破坏。所述校验和可以如本领域技术人员所知地计算。
AAA客户识别符选项715可能包括那些如图4AAA客户识别符选项420所包括的、结合所述AAA客户识别符选项420描述的字段。
AAA概括的密钥回答选项720包括类型字段、子类型字段、长度字段、AAAH SPI字段以及密钥SPI字段。所述类型字段内的值4指示AAA概括的密钥回答选项720是密钥回答。所述子类型字段可能依赖于所建立字段的范围。例如,它可能包括类似于结合图4所述原因字段位屏蔽值的位屏蔽值。
所述长度字段可能包括AAA概括的密钥回答选项720的长度。在本发明的一个实施例中,所述长度字段包括AAA概括的密钥回答选项720除最初四个字节之外的长度。
所述AAAH SPI可能不为移动节点使用并被其忽略。所述密钥SPI字段指示所述移动节点和应由所述客户所用以解释所生成密钥的AAAH之间的安全联系。应当注意的是,编码后的密钥字段并不与该消息一起发送,因为可在所述移动节点处生成所述密钥。
图10示出了根据本发明一个实施例的用于使用三方模型的流程图。在客户准备请求业务时,所述过程开始于方框1005。在方框1005之后,所述处理继续方框1010。
在方框1010中,与所述客户相关的身份被发送至授权装置。所述身份可能是如上所述IMSI。在方框1010之后,所述处理继续方框1015。
在方框1050中,使用所接收的身份生成询问,并将所述询问发送到所述客户机。所述询问是使用所述客户机和授权装置所知的凭证生成的随机数。在方框1015之后,所述处理继续方框1020。
在方框1020中,生成对于所述询问的响应,并将所述响应发送到所述授权装置。当所述客户机并不是输入者时,所述客户机了解允许其以证实其身份的方式响应于所述询问的凭证。在方框1020之后,所述处理继续方框1025。
在方框1025中,所述授权装置确定所述客户机是否可信。如果所述客户机是可信的,则所述处理继续方框1030;否则,所述处理继续方框1045。授权装置可能通过比较所接收询问与其发送的询问来确定客户机是否可信。如果所述询问并不匹配,所述授权装置确定所述客户机不可信并删除所述响应。
在方框1030中,确定所述客户机是否得到接入所请求资源的授权。如果是,则所述处理继续方框1035;否则,所述处理继续方框1045。所述授权装置可能会参考一个数据库来确定是否给予所述客户机对所请求资源的接入。如果所述客户机并未得到授权,则所述授权装置删除所述响应。
在方框1035中,密钥被传送给与所述客户机所请求资源相关的设备。所述资源例如是接入到网络。所述密钥可能向所述设备指示所述客户得到接入所述资源的授权。在方框1035之后,所述处理继续方框1040。
在所述1040中,确认被发送至所述客户机,所述客户机使用SIM生成密钥。应当理解的是,所述密钥并不需要发送给所述客户机,因为所述客户机可使用其SIM生成所述密钥。在方框1040之后,所述处理继续方框1045。此时,所述客户机开始与所述设备的通信以接入所述资源。
在方框1045中,所述处理结束。每次客户机需要接入资源即重复上述过程。
本发明的各个实施例可被实施为计算机执行的步骤序列,或在计算系统上运行的程序模块,和/或所述计算系统内的互连机器逻辑电路或电路模块。可依据实施本发明的计算系统的性能需要来选择所述实施方式。根据所公开的内容,本领域技术人员应当认识到的是,所公开各个实施例的功能和操作可被实施为软件、固件、专用数字逻辑或是上述选择的任何组合,皆不会脱离本发明的精神和范围。
上述技术规范、实例以及数据提供了本发明构成部分的制造与使用的完整描述。由于可在并不背离本发明精神和范围的情况下提出本发明的大量实施例,因此本发明存在于下附的权利要求书内。
Claims (22)
1、一种用于鉴权与授权的系统,包括:
(a)授权装置,其被配置为确定请求者是否得到授权以接入与请求相关的资源;
(b)客户机,其为互联网协议版本6(IPv6)主机,并且被配置为发出所述请求;以及
(c)本地话务台,其可接入到所述授权装置和所述客户机,并提供一个通过其在所述客户机和所述授权装置之间传送消息的管路;
其中所述授权装置、客户机以及可在其上接入所述资源的对等层都在独立的域内,其中每个所述域都被定义成一组一个或多个实体,使得如果所述组包括多个实体,则在所述组内任何两个实体之间的连接可由所述两个实体皆知的静态凭证保护。
2、根据权利要求1的系统,其中所述静态凭证包括密钥。
3、根据权利要求1的系统,其中所述静态凭证包括共知的算法。
4、根据权利要求1的系统,其中所述静态凭证包括密钥以及共知的算法。
5、根据权利要求1的系统,其中所述客户机使用用户身份模块(SIM),所述用户身份模块(SIM)包括用于为另一设备鉴权所述客户机的凭证。
6、根据权利要求5的系统,其中如果所述请求者被授权接入与所述请求相关的所述资源,则所述授权装置还被配置为向所述对等层提供用于接入所述资源的会话密钥,其中所述会话密钥指示所述请求者得到接入所述资源的授权。
7、根据权利要求6的系统,其中所述SIM生成供所述客户机使用的所述会话密钥的拷贝。
8、根据权利要求6的系统,其中所述对等层提供对网络的接入。
9、根据权利要求6的系统,其中所述对等层提供对所述客户机的接入。
10、根据权利要求6的系统,其中所述对等层是所述客户机的原籍代理。
11、根据权利要求1的系统,其中所述客户机是移动节点。
12、根据权利要求1的方法,其中使用鉴权、授权以及计费(AAA)版本6或更高的协议来发送所述请求和应答。
13、根据权利要求1的系统,其中所述本地话务台是接入路由器。
14、根据权利要求1的系统,其中所述本地话务台是互联网协议版本6(IPv6)路由器。
15、根据权利要求1的系统,其中所述本地话务台与至少一个本地AAA服务器通信。
16、一种用于鉴权和授权的方法,包括:
(a)将与客户机相关的身份发送给授权装置,其中使用互联网协议版本6(IPv6)发送所述身份;
(b)由所述授权装置生成通过使用所述客户机身份所计算的询问;
(c)将所述询问发送到所述客户机;
(d)由所述客户机利用所述客户机身份和所述询问生成响应;
(e)将所述响应发送给所述授权装置;
(f)由所述授权装置比较所述询问和所述客户机响应;
(g)由所述授权装置将密钥传送给向所述客户机提供业务的设备;以及
(h)通过使用与所述客户机相关的用户身份模块(SIM),自动生成供所述客户机使用的所述密钥的拷贝。
17、根据权利要求16的方法,其中所述授权装置和所述客户机之间的每个消息都通过本地话务台。
18、根据权利要求17的方法,其中所述授权装置、所述客户机以及提供对所述客户机所请求资源的接入的对等层都在独立的域内,其中每个所述域都被定义成一组一个或多个实体,使得如果所述组包括多个实体,则在所述组内任何两个实体之间的连接可由所述两个实体皆知的静态凭证保护。
19、根据权利要求16的方法,其中所述客户机是移动节点。
20、根据权利要求16的方法,其中使用鉴权、授权以及计费(AAA)版本6或更高的协议来发送所述询问和应答。
21、根据权利要求16的方法,还包括由所述授权装置确认所述传送步骤完成的步骤。
22、一种用于鉴权和授权的系统,包括:
(a)用于确定请求者是否得到授权接入与请求相关的资源的装置;
(b)用于请求对所述资源的接入的装置;
(c)用于在所述请求者和所述确定装置之间传递消息的装置;
其中所述确定装置、所述请求装置以及所述消息传递装置都在独立的域内,其中每个所述域都被定义成一组一个或多个实体,使得如果所述组包括多个实体,则在所述组内任何两个实体之间的连接可由所述两个实体皆知的静态凭证保护。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US30512301P | 2001-07-12 | 2001-07-12 | |
| US60/305,123 | 2001-07-12 | ||
| US10/192,753 US7900242B2 (en) | 2001-07-12 | 2002-07-09 | Modular authentication and authorization scheme for internet protocol |
| US10/192,753 | 2002-07-09 | ||
| PCT/IB2002/002702 WO2003007102A2 (en) | 2001-07-12 | 2002-07-11 | Modular authentication and authorization scheme for internet protocol |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1539106A true CN1539106A (zh) | 2004-10-20 |
| CN1539106B CN1539106B (zh) | 2010-05-12 |
Family
ID=26888333
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN028153944A Expired - Lifetime CN1539106B (zh) | 2001-07-12 | 2002-07-11 | 互联网协议的模块化鉴权和授权方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7900242B2 (zh) |
| EP (1) | EP1415212A4 (zh) |
| CN (1) | CN1539106B (zh) |
| AU (1) | AU2002319555A1 (zh) |
| WO (1) | WO2003007102A2 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008074234A1 (fr) * | 2006-12-18 | 2008-06-26 | China Iwncomm Co., Ltd. | Système de contrôle d'accès p2p faisant intervenir une structure à trois éléments et dispositif d'autorisation associé |
| WO2008074233A1 (fr) * | 2006-12-18 | 2008-06-26 | China Iwncomm Co., Ltd. | Procédé de contrôle d'accès p2p faisant intervenir une structure à trois éléments |
| CN100405796C (zh) * | 2006-09-19 | 2008-07-23 | 清华大学 | IPv6接入网真实源地址访问的准入控制方法 |
| CN101867589A (zh) * | 2010-07-21 | 2010-10-20 | 深圳大学 | 一种网络身份认证服务器及其认证方法与系统 |
| CN101119592B (zh) * | 2006-07-31 | 2012-06-06 | 北京华旗资讯数码科技有限公司 | 凭证装置和使用凭证获取、订制网络信息的方法和系统 |
| CN102857343A (zh) * | 2011-06-27 | 2013-01-02 | 三星电子株式会社 | 使用临时密钥共享内容的方法和使用该方法的电子装置 |
Families Citing this family (85)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7290288B2 (en) | 1997-06-11 | 2007-10-30 | Prism Technologies, L.L.C. | Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network |
| US7502929B1 (en) | 2001-10-16 | 2009-03-10 | Cisco Technology, Inc. | Method and apparatus for assigning network addresses based on connection authentication |
| US7610390B2 (en) * | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
| US8195940B2 (en) * | 2002-04-05 | 2012-06-05 | Qualcomm Incorporated | Key updates in a mobile wireless system |
| US7503065B1 (en) * | 2002-04-24 | 2009-03-10 | Sprint Spectrum L.P. | Method and system for gateway-based authentication |
| US7143435B1 (en) * | 2002-07-31 | 2006-11-28 | Cisco Technology, Inc. | Method and apparatus for registering auto-configured network addresses based on connection authentication |
| EP1552484B1 (en) * | 2002-10-17 | 2013-03-13 | Vodafone Group PLC | Facilitating and authenticating transactions |
| US7475241B2 (en) * | 2002-11-22 | 2009-01-06 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
| US7870389B1 (en) | 2002-12-24 | 2011-01-11 | Cisco Technology, Inc. | Methods and apparatus for authenticating mobility entities using kerberos |
| US7450499B2 (en) * | 2003-02-21 | 2008-11-11 | Samsung Electronics Co., Ltd. | Method and apparatus for interconnecting IPv4 and IPv6 networks |
| US20040199768A1 (en) * | 2003-04-04 | 2004-10-07 | Nail Robert A. | System and method for enabling enterprise application security |
| US7181196B2 (en) * | 2003-05-15 | 2007-02-20 | Lucent Technologies Inc. | Performing authentication in a communications system |
| US20050044379A1 (en) * | 2003-08-20 | 2005-02-24 | International Business Machines Corporation | Blind exchange of keys using an open protocol |
| US7162253B2 (en) * | 2003-09-08 | 2007-01-09 | Nokia Corporation | Geographical position extension in messaging for a terminal node |
| GB2406925B (en) * | 2003-10-09 | 2007-01-03 | Vodafone Plc | Facilitating and authenticating transactions |
| US8190893B2 (en) * | 2003-10-27 | 2012-05-29 | Jp Morgan Chase Bank | Portable security transaction protocol |
| EP1528718B1 (en) * | 2003-10-30 | 2009-12-16 | Research In Motion Limited | Method for transmitting (receiving) cellular network information (e.g. MNC, NCC) by (from) a wireless local area network in an extensible authentication protocol (EAP) |
| US7395083B2 (en) * | 2003-10-30 | 2008-07-01 | Research In Motion Limited | Methods and apparatus for the communication of cellular network information between a wireless local area network and a mobile station |
| DE60328196D1 (de) * | 2003-10-30 | 2009-08-13 | Research In Motion Ltd | Verfahren zum Senden (Empfangen) von Information eines zellularen Netzes (z.B. MNC, NCC) durch ein (von einem) wireless LAN in einem EAP-Protokoll |
| KR100770848B1 (ko) | 2003-11-06 | 2007-10-26 | 삼성전자주식회사 | 이동통신 시스템에서 이동 단말의 아이피 이동성 지원 방법 및 시스템 |
| CA2546570C (en) | 2003-11-19 | 2010-07-27 | Research In Motion Limited | Methods and apparatus for providing network broadcast information to wlan enabled wireless communication devices |
| US7512107B2 (en) * | 2003-12-17 | 2009-03-31 | Samsung Electronics Co., Ltd | Asynchronous mobile communication terminal capable of setting time according to present location information, and asynchronous mobile communication system and method for setting time using the same |
| KR100546778B1 (ko) * | 2003-12-17 | 2006-01-25 | 한국전자통신연구원 | 무선 인터넷 가입자 인증 방법 및 그 장치 |
| WO2005064430A1 (en) * | 2003-12-30 | 2005-07-14 | Telecom Italia S.P.A. | Method and system for the cipher key controlled exploitation of data resources, related network and computer program products |
| US20050149740A1 (en) * | 2003-12-31 | 2005-07-07 | Kotzin Michael D. | Method and apparatus for device authentication |
| US7461248B2 (en) * | 2004-01-23 | 2008-12-02 | Nokia Corporation | Authentication and authorization in heterogeneous networks |
| US7330726B2 (en) * | 2004-06-07 | 2008-02-12 | Spyder Navigation Llc | Determining geographical position in IPv6 networks |
| CN1299537C (zh) * | 2004-06-28 | 2007-02-07 | 华为技术有限公司 | 应用通用鉴权框架对接入拜访网络的用户实现管理的方法 |
| US8891509B2 (en) * | 2004-07-06 | 2014-11-18 | Hewlett-Packard Development Company, L.P. | Proxy networking device for a router |
| US7639802B2 (en) * | 2004-09-27 | 2009-12-29 | Cisco Technology, Inc. | Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP |
| US7502331B2 (en) * | 2004-11-17 | 2009-03-10 | Cisco Technology, Inc. | Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices |
| US20070192602A1 (en) * | 2004-12-17 | 2007-08-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Clone resistant mutual authentication in a radio communication network |
| US7990998B2 (en) * | 2004-12-22 | 2011-08-02 | Qualcomm Incorporated | Connection setup using flexible protocol configuration |
| CN100385983C (zh) * | 2005-01-30 | 2008-04-30 | 华为技术有限公司 | 一种密钥设置方法 |
| KR20060094453A (ko) * | 2005-02-24 | 2006-08-29 | 삼성전자주식회사 | Eap 를 이용한 시간제 서비스에 대한 인증 방법 및 그시스템 |
| FI20050491A0 (fi) * | 2005-05-09 | 2005-05-09 | Nokia Corp | Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä |
| US8353011B2 (en) * | 2005-06-13 | 2013-01-08 | Nokia Corporation | Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA) |
| US8087069B2 (en) * | 2005-06-13 | 2011-12-27 | Nokia Corporation | Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA) |
| US20070101122A1 (en) * | 2005-09-23 | 2007-05-03 | Yile Guo | Method and apparatus for securely generating application session keys |
| US7626963B2 (en) * | 2005-10-25 | 2009-12-01 | Cisco Technology, Inc. | EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure |
| US8406220B2 (en) * | 2005-12-30 | 2013-03-26 | Honeywell International Inc. | Method and system for integration of wireless devices with a distributed control system |
| CN101444119A (zh) * | 2006-03-27 | 2009-05-27 | 意大利电信股份公司 | 在移动通信设备上实施安全策略的系统 |
| CN101106452B (zh) * | 2006-07-12 | 2010-12-08 | 华为技术有限公司 | 移动ip密钥的产生及分发方法和系统 |
| DE602007013101D1 (de) * | 2007-01-04 | 2011-04-21 | Ericsson Telefon Ab L M | Verfahren und vorrichtung zur bestimmung einer authentifikationsprozedur |
| JPWO2008114390A1 (ja) * | 2007-03-19 | 2010-07-01 | 富士通株式会社 | サービス制御システム、サービス制御方法およびサービス制御プログラム |
| US8712474B2 (en) * | 2007-04-20 | 2014-04-29 | Telefonaktiebolaget L M Ericsson (Publ) | Secure soft SIM credential transfer |
| US8347374B2 (en) * | 2007-11-15 | 2013-01-01 | Red Hat, Inc. | Adding client authentication to networked communications |
| CN100553212C (zh) * | 2007-11-16 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
| CN100496025C (zh) * | 2007-11-16 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制方法 |
| EP2071898A1 (en) * | 2007-12-10 | 2009-06-17 | Telefonaktiebolaget LM Ericsson (publ) | Method for alteration of integrity protected data in a device, computer program product and device implementing the method |
| CN101471773B (zh) * | 2007-12-27 | 2011-01-19 | 华为技术有限公司 | 一种网络服务的协商方法和系统 |
| JP4371250B1 (ja) * | 2008-08-07 | 2009-11-25 | 日本電気株式会社 | 通信システム、サーバ装置、情報通知方法、プログラム |
| EP2332053B1 (en) * | 2008-09-30 | 2015-12-02 | Hewlett-Packard Development Company, L.P. | Authentication of services on a partition |
| EP2648469B1 (en) * | 2008-11-04 | 2015-03-11 | Huawei Technologies Co., Ltd. | Method and apparatus for determining resource indices |
| KR101655264B1 (ko) * | 2009-03-10 | 2016-09-07 | 삼성전자주식회사 | 통신시스템에서 인증 방법 및 시스템 |
| US8943552B2 (en) | 2009-04-24 | 2015-01-27 | Blackberry Limited | Methods and apparatus to discover authentication information in a wireless networking environment |
| CA2763988A1 (en) * | 2009-06-04 | 2010-12-09 | Research In Motion Limited | Methods and apparatus for use in facilitating the communication of neighboring network information to a mobile terminal with use of a radius compatible protocol |
| US20110004926A1 (en) * | 2009-07-01 | 2011-01-06 | International Business Machines Coporation | Automatically Handling Proxy Server and Web Server Authentication |
| CN101990183B (zh) | 2009-07-31 | 2013-10-02 | 国际商业机器公司 | 保护用户信息的方法、装置及系统 |
| US8644276B2 (en) | 2010-05-13 | 2014-02-04 | Research In Motion Limited | Methods and apparatus to provide network capabilities for connecting to an access network |
| US8467359B2 (en) | 2010-05-13 | 2013-06-18 | Research In Motion Limited | Methods and apparatus to authenticate requests for network capabilities for connecting to an access network |
| US8665842B2 (en) | 2010-05-13 | 2014-03-04 | Blackberry Limited | Methods and apparatus to discover network capabilities for connecting to an access network |
| CN103299578A (zh) * | 2011-01-14 | 2013-09-11 | 诺基亚西门子通信公司 | 通过非受信任网络的外部认证支持 |
| US8863256B1 (en) | 2011-01-14 | 2014-10-14 | Cisco Technology, Inc. | System and method for enabling secure transactions using flexible identity management in a vehicular environment |
| US9094208B2 (en) | 2011-12-13 | 2015-07-28 | Sharp Laboratories Of America, Inc. | User identity management and authentication in network environments |
| CA2873695C (en) | 2012-04-01 | 2019-10-01 | Authentify, Inc. | Secure authentication in a multi-party system |
| US9537663B2 (en) | 2012-06-20 | 2017-01-03 | Alcatel Lucent | Manipulation and restoration of authentication challenge parameters in network authentication procedures |
| EP2688263A1 (en) | 2012-07-17 | 2014-01-22 | Tele2 Sverige AB | System and method for delegated authentication and authorization |
| US20140153722A1 (en) * | 2012-12-03 | 2014-06-05 | Semyon Mizikovsky | Restricting use of mobile subscriptions to authorized mobile devices |
| US20140380417A1 (en) * | 2013-06-25 | 2014-12-25 | Alcatel Lucent | Methods And Devices For Controlling Access To Distributed Resources |
| US9307405B2 (en) | 2013-10-17 | 2016-04-05 | Arm Ip Limited | Method for assigning an agent device from a first device registry to a second device registry |
| US9860235B2 (en) | 2013-10-17 | 2018-01-02 | Arm Ip Limited | Method of establishing a trusted identity for an agent device |
| US10069811B2 (en) * | 2013-10-17 | 2018-09-04 | Arm Ip Limited | Registry apparatus, agent device, application providing apparatus and corresponding methods |
| US9432363B2 (en) * | 2014-02-07 | 2016-08-30 | Apple Inc. | System and method for using credentials of a first client station to authenticate a second client station |
| US10931456B2 (en) * | 2014-06-26 | 2021-02-23 | Comcast Cable Communications, Llc | Secure router authentication |
| GB2529838B (en) | 2014-09-03 | 2021-06-30 | Advanced Risc Mach Ltd | Bootstrap Mechanism For Endpoint Devices |
| GB2530028B8 (en) | 2014-09-08 | 2021-08-04 | Advanced Risc Mach Ltd | Registry apparatus, agent device, application providing apparatus and corresponding methods |
| US20160269381A1 (en) * | 2015-03-10 | 2016-09-15 | Synchronoss Technologies, Inc. | Apparatus, system and method of dynamically controlling access to a cloud service |
| GB2540987B (en) | 2015-08-03 | 2020-05-13 | Advanced Risc Mach Ltd | Bootstrapping without transferring private key |
| GB2540989B (en) | 2015-08-03 | 2018-05-30 | Advanced Risc Mach Ltd | Server initiated remote device registration |
| WO2017099641A1 (en) * | 2015-12-07 | 2017-06-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and arrangements for authenticating a communication device |
| US9699655B1 (en) * | 2016-02-23 | 2017-07-04 | T-Mobile Usa, Inc. | Cellular device authentication |
| US11005667B2 (en) | 2018-03-19 | 2021-05-11 | Kaloom Inc. | Computing device and method for performing a secure neighbor discovery |
| US10673695B2 (en) | 2018-03-06 | 2020-06-02 | Kaloom Inc. | Computing device and method for performing a fabric deployment in a data center |
| US11475134B2 (en) | 2019-04-10 | 2022-10-18 | Arm Limited | Bootstrapping a device |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2718312B1 (fr) | 1994-03-29 | 1996-06-07 | Rola Nevoux | Procédé d'authentification combinée d'un terminal de télécommunication et d'un module d'utilisateur. |
| JP3660101B2 (ja) * | 1996-11-14 | 2005-06-15 | 松下電器産業株式会社 | パーソナル電子決済システム |
| US5915021A (en) * | 1997-02-07 | 1999-06-22 | Nokia Mobile Phones Limited | Method for secure communications in a telecommunications system |
| US6199113B1 (en) | 1998-04-15 | 2001-03-06 | Sun Microsystems, Inc. | Apparatus and method for providing trusted network security |
| FI105966B (fi) * | 1998-07-07 | 2000-10-31 | Nokia Networks Oy | Autentikointi tietoliikenneverkossa |
| US6223291B1 (en) * | 1999-03-26 | 2001-04-24 | Motorola, Inc. | Secure wireless electronic-commerce system with digital product certificates and digital license certificates |
| US7953671B2 (en) * | 1999-08-31 | 2011-05-31 | American Express Travel Related Services Company, Inc. | Methods and apparatus for conducting electronic transactions |
| US7079499B1 (en) * | 1999-09-08 | 2006-07-18 | Nortel Networks Limited | Internet protocol mobility architecture framework |
| US6954790B2 (en) * | 2000-12-05 | 2005-10-11 | Interactive People Unplugged Ab | Network-based mobile workgroup system |
| FI110977B (fi) * | 2001-02-09 | 2003-04-30 | Nokia Oyj | Mekanismi palvelujen mainostamista ja käyttäjän auktorisointia varten |
| US6879690B2 (en) * | 2001-02-21 | 2005-04-12 | Nokia Corporation | Method and system for delegation of security procedures to a visited domain |
| US20020120844A1 (en) * | 2001-02-23 | 2002-08-29 | Stefano Faccin | Authentication and distribution of keys in mobile IP network |
| US20020118674A1 (en) * | 2001-02-23 | 2002-08-29 | Faccin Stefano M. | Key distribution mechanism for IP environment |
| JP2004519777A (ja) * | 2001-03-21 | 2004-07-02 | ウリインターネット インコーポレーティッド | インターネット上の特定ウェッブサイト接続時間測定方法及びプログラムが記録された記録媒体 |
| US7181017B1 (en) * | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
| US20020147820A1 (en) * | 2001-04-06 | 2002-10-10 | Docomo Communications Laboratories Usa, Inc. | Method for implementing IP security in mobile IP networks |
| US7290286B2 (en) * | 2001-05-10 | 2007-10-30 | Nortel Networks Limited | Content provider secure and tracable portal |
| CA2456446C (en) * | 2001-08-07 | 2010-03-30 | Tatara Systems, Inc. | Method and apparatus for integrating billing and authentication functions in local area and wide area wireless data networks |
| US7286671B2 (en) * | 2001-11-09 | 2007-10-23 | Ntt Docomo Inc. | Secure network access method |
| AU2003217301A1 (en) * | 2002-02-04 | 2003-09-02 | Flarion Technologies, Inc. | A method for extending mobile ip and aaa to enable integrated support for local access and roaming access connectivity |
| US20030226037A1 (en) * | 2002-05-31 | 2003-12-04 | Mak Wai Kwan | Authorization negotiation in multi-domain environment |
| US20040199768A1 (en) * | 2003-04-04 | 2004-10-07 | Nail Robert A. | System and method for enabling enterprise application security |
| US7162253B2 (en) * | 2003-09-08 | 2007-01-09 | Nokia Corporation | Geographical position extension in messaging for a terminal node |
| US8341700B2 (en) * | 2003-10-13 | 2012-12-25 | Nokia Corporation | Authentication in heterogeneous IP networks |
| CN1969526B (zh) * | 2004-04-14 | 2010-10-13 | 北方电讯网络有限公司 | 使用ha-mn密钥来保护本地代理与移动节点的通信 |
-
2002
- 2002-07-09 US US10/192,753 patent/US7900242B2/en active Active
- 2002-07-11 WO PCT/IB2002/002702 patent/WO2003007102A2/en not_active Application Discontinuation
- 2002-07-11 CN CN028153944A patent/CN1539106B/zh not_active Expired - Lifetime
- 2002-07-11 AU AU2002319555A patent/AU2002319555A1/en not_active Abandoned
- 2002-07-11 EP EP02749143A patent/EP1415212A4/en not_active Withdrawn
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119592B (zh) * | 2006-07-31 | 2012-06-06 | 北京华旗资讯数码科技有限公司 | 凭证装置和使用凭证获取、订制网络信息的方法和系统 |
| CN100405796C (zh) * | 2006-09-19 | 2008-07-23 | 清华大学 | IPv6接入网真实源地址访问的准入控制方法 |
| WO2008074234A1 (fr) * | 2006-12-18 | 2008-06-26 | China Iwncomm Co., Ltd. | Système de contrôle d'accès p2p faisant intervenir une structure à trois éléments et dispositif d'autorisation associé |
| WO2008074233A1 (fr) * | 2006-12-18 | 2008-06-26 | China Iwncomm Co., Ltd. | Procédé de contrôle d'accès p2p faisant intervenir une structure à trois éléments |
| US8495712B2 (en) | 2006-12-18 | 2013-07-23 | China Iwncomm Co., Ltd. | Peer-to-peer access control method of triple unit structure |
| CN101867589A (zh) * | 2010-07-21 | 2010-10-20 | 深圳大学 | 一种网络身份认证服务器及其认证方法与系统 |
| CN101867589B (zh) * | 2010-07-21 | 2012-11-28 | 深圳大学 | 一种网络身份认证服务器及其认证方法与系统 |
| CN102857343A (zh) * | 2011-06-27 | 2013-01-02 | 三星电子株式会社 | 使用临时密钥共享内容的方法和使用该方法的电子装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1415212A2 (en) | 2004-05-06 |
| CN1539106B (zh) | 2010-05-12 |
| WO2003007102A2 (en) | 2003-01-23 |
| EP1415212A4 (en) | 2009-12-09 |
| WO2003007102A3 (en) | 2003-10-02 |
| US7900242B2 (en) | 2011-03-01 |
| AU2002319555A1 (en) | 2003-01-29 |
| US20030028763A1 (en) | 2003-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1539106A (zh) | 互联网协议的模块化鉴权和授权方案 | |
| CN1799241A (zh) | Ip移动性 | |
| CN1275418C (zh) | 分组数据网中的验证 | |
| CN1906883A (zh) | 实现基于无状态服务器的预共享私密 | |
| CN1969501A (zh) | 安全地产生共享密钥的系统和方法 | |
| CN1836417A (zh) | 支持移动ip第6版业务的方法、系统和设备 | |
| CN1689367A (zh) | 安全装置的安全和保密性增强 | |
| CN1457170A (zh) | 公钥证明书发行装置 | |
| CN1659922A (zh) | 用于询问-应答用户鉴权的方法和系统 | |
| CN1496628A (zh) | 内容分配系统 | |
| CN1751533A (zh) | 在移动无线电系统中形成和分配加密密钥的方法和移动无线电系统 | |
| CN1714542A (zh) | 无线局域网互连中的识别信息保护方法 | |
| CN1615632A (zh) | 用于支持有线和无线客户端和服务器端认证的方法的机制 | |
| CN101053233A (zh) | 用于控制通信网络中移动性的方法和系统,及其相关网络和计算机程序产品 | |
| CN1701573A (zh) | 远程访问虚拟专用网络中介方法和中介装置 | |
| CN1701561A (zh) | 基于地址的验证系统及其装置和程序 | |
| CN1794676A (zh) | 用户接入无线通信网络的方法和无线网络接入控制装置 | |
| CN1531245A (zh) | 服务器、终端控制设备以及终端鉴权方法 | |
| CN101052946A (zh) | 用于控制对电子消息接收者的访问的系统和方法 | |
| CN1505312A (zh) | 公共密钥加密通信系统 | |
| CN1849840A (zh) | 安全域内和域间切换 | |
| CN101064628A (zh) | 家庭网络设备安全管理系统及方法 | |
| CN1717697A (zh) | 压缩安全电子邮件用于与移动通信设备交换的系统和方法 | |
| CN1875598A (zh) | 用于异构ip网络认证的装置和方法 | |
| CN1452356A (zh) | 公开密钥证书提供装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: INVENT CO., LTD. Free format text: FORMER OWNER: NOKIA OY Effective date: 20150205 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: ESPOO, FINLANG TO: CALIFORNIA STATE, UNITED STATES |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20150205 Address after: California, USA Patentee after: INVENT Corp. Address before: Espoo, Finland Patentee before: NOKIA Corp. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20170703 Address after: California, USA Patentee after: Yingweite SPE LLC Address before: California, USA Patentee before: INVENT CORP. |
|
| CX01 | Expiry of patent term |
Granted publication date: 20100512 |
|
| CX01 | Expiry of patent term |