用于实现对多重认证的高效率支持的方法和装置 |
|||||||
| 申请号 | CN200880014893.8 | 申请日 | 2008-05-07 | 公开(公告)号 | CN101675645B | 公开(公告)日 | 2015-12-16 |
| 申请人 | 高通股份有限公司; | 发明人 | R·帕特沃德哈; V·纳拉亚南; F·尤卢皮纳; L·R·唐达蒂; P·A·阿格舍; P·蒂纳科瑟苏派普; R·T·苏; 王俊; | ||||
| 摘要 | 公开了一种用于在无线通信系统中进行多重基于EAP的认证的方法。在该方法中,在为第一类型的接入进行的第一基于EAP的认证中生成第一主会话密钥(MSK)。从该第一主会话密钥(MSK)生成第一临时会话密钥(TSK)。使用该第一临时会话密钥(TSK)为第二类型的接入执行第二基于EAP的认证。在第一和第二基于EAP的认证成功完成之后提供第一类型的接入和第二类型的接入。 | ||||||
| 权利要求 | 1.一种用于在无线通信系统中进行多重基于EAP的认证的方法,所述方法包括: |
||||||
| 说明书全文 | 用于实现对多重认证的高效率支持的方法和装置[0002] 本专利申请要求于2007年5月7日提交的题为“METHOD ANDAPPARATUS FOR EFFICIENT SUPPORT FOR MULTIPLEAUTHENTICATIONS(用于实现对多重认证的高效率支持的方法和装置)”的临时申请No.60/916,530的优先权,其已转让给本申请受让人并因而被明确援引纳入于此。 [0003] 背景 [0004] 领域 [0005] 本发明一般涉及无线通信,尤其涉及多重认证。 [0006] 背景 [0007] 无线通信系统被广泛部署用以提供诸如语音、数据等各种类型的通信内容。这些系统可以是能够通过共享可用系统资源(例如,带宽和发射功率)来支持多用户通信的多址系统。这样的多址系统的示例包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统、3GPP LTE系统、以及正交频分多址(OFDMA)系统。 [0008] 一般而言,无线多址通信系统可同时支持多重无线终端的通信。每个终端经由前向和反向链路上的传输与一个或更多个基站通信。前向链路(或下行链路)是指从基站至终端的通信链路,而反向链路(或上行链路)是指从终端至基站的通信链路。这种通信链路可经由单入单出、多入单出或多入多出(MIMO)系统来建立。 [0009] 概述 [0010] 本发明的一个方面可在于一种用于在无线通信系统中进行多重基于EAP的认证的方法。在该方法中,在为第一类型的接入进行的第一基于EAP的认证中生成第一主会话密钥(MSK)。从该第一主会话密钥(MSK)生成第一临时会话密钥(TSK)。使用该第一临时会话密钥(TSK)为第二类型的接入执行第二基于EAP的认证。在第一和第二基于EAP的认证成功完成之后提供第一类型的接入和第二类型的接入。 [0011] 在本发明的更详细的方面中,该方法还可包括在第二基于EAP的认证中生成第二主会话密钥(MSK)。同样,该方法还可包括从第二主会话密钥(MSK)生成第二临时会话密钥(TSK)。该第二临时会话密钥(TSK)可被用在第三认证中。替换地,该方法还可包括如果在第二基于EAP的认证中没有生成第二主会话密钥(MSK),则将第一临时会话密钥(TSK)用于第三基于EAP的认证。第一和第二基于EAP的认证可以是单个会话的一部分。 [0012] 在本发明的其他更详细的方面中,该方法还可包括生成指示符消息以指示第一和第二基于EAP的认证是否成功完成。该指示符消息可具有值1以指示第一和第二基于EAP的认证的成功完成,并且具有值0以指示第一和第二基于EAP的认证尚未完成。该指示符消息可以是ValidPMKExists(存在有效PMK)标志。 [0013] 补充地,第一基于EAP的认证可包括包含第一认证类型的EAP请求/身份消息,而第二基于EAP的认证可包括包含第二认证类型的EAP请求/身份消息。该方法还可包括在第一基于EAP的认证中生成第一域专有根密钥(DSRK),在第二基于EAP的认证中生成第二域专有根密钥(DSRK),以及使用第一DSRK和第二DSRK中的至少一个来对第一类型的接入或第二类型的接入中的至少一个执行基于EAP的重新认证。第一类型的接入可与接入终端(AT)相关联,而第二类型的接入可与用户相关联。替换地,第一类型的接入与特定设备相关联,而第二类型的接入与特定服务器相关联。同样,第一类型的接入可包括对无线电网络的接入,而第二类型的接入可包括通过互联网服务供应商(ISP)接入。 [0014] 本发明的另一方面可在于一种能在无线通信系统中操作的用于进行多重基于EAP的认证的装置,该装置包括:用于在为第一类型的接入进行的第一基于EAP的认证中生成第一主会话密钥(MSK)的装置、用于从第一主会话密钥(MSK)生成第一临时会话密钥(TSK)的装置、用于使用第一临时会话密钥(TSK)来为第二类型的接入执行第二基于EAP的认证的装置、以及用于在第一和第二基于EAP的认证成功完成之后提供第一类型的接入和第二类型的接入的装置。 [0015] 本发明的又一方面可在于一种包括计算机可读介质的计算机程序产品,该计算机可读介质包括用于使计算机在为第一类型的接入进行的第一基于EAP的认证中生成第一主会话密钥(MSK)的代码、用于使计算机从第一主会话密钥(MSK)生成第一临时会话密钥(TSK)的代码、用于使计算机使用第一临时会话密钥(TSK)来为第二类型的接入执行第二基于EAP的认证的代码、以及用于使计算机在第一和第二基于EAP的认证成功完成之后提供第一类型的接入和第二类型的接入的代码。 [0016] 本发明的再一方面可在于一种能在无线通信系统中操作的用于进行多重基于EAP的认证的装置,该装置包括处理器以及耦合至该处理器用于存储数据的存储器,该处理器被配置成:在为第一类型的接入进行的第一基于EAP的认证中生成第一主会话密钥(MSK),从第一主会话密钥(MSK)生成第一临时会话密钥(TSK),使用第一临时会话密钥(TSK)来为第二类型的接入执行第二基于EAP的认证,以及在第一和第二基于EAP的认证成功完成之后提供第一类型的接入和第二类型的接入。 [0018] 在结合附图理解下面阐述的详细描述时,本公开的特征、本质及优点将变得更加明白,在附图中,相近的参考标记始终作相应标识,其中: [0019] 图1图解了根据一个实施例的多址无线通信系统; [0020] 图2是通信系统的框图; [0021] 图3图解了多重认证的示例;以及 [0022] 图4图解了多重认证以及DSRK使用的示例。 [0023] 详细描述 [0024] 本文中描述的技术可用于各种无线通信网络,诸如码分多址(CDMA)网络、时分多址(TDMA)网络、频分多址(FDMA)网络、正交FDMA(OFDMA)网络、单载波FDMA(SC-FDMA)网络等。术语“网络”和“系统”常被可互换地使用。CDMA网络可实现诸如通用地面无线电接入(UTRA)、cdma2000等无线电技术。UTRA包括宽带CDMA(W-CDMA)和低码片率(LCR)。cdma2000涵盖IS-2000、IS-95和IS-856标准。TDMA网络可实现诸如全球移动通信系统(GSM)等的无线电技术。OFDMA网络可实现诸如演进UTRA(E-UTRA)、IEEE 802.11、IEEE 802.16、IEEE802.20、Flash-OFDM 等无线电技术。UTRA、E-UTRA和GSM是通用移动电信系统(UMTS)的部分。长期演进(LTE)是即将发布的使用E-UTRA的UMTS版本。UTRA、E-UTRA、GSM、UMTS和LTE在来自名为“第三代伙伴项目”(3GPP)的组织的文献中描述。cdma2000在来自名为“第三代伙伴项目2”(3GPP2)的组织的文献中描述。这些各色无线电技术和标准是本领域公知的。为了清楚起见,以下针对LTE对这些技术的某些方面进行描述,并且在以下描述的很大部分中使用LTE术语。 [0025] 利用单载波调制和频域均衡的单载波频分多址(SC-FDMA)是一种技术。SC-FDMA具有与OFDMA系统相近的性能以及本质上相同的总体复杂度。SC-FDMA信号因其固有的单载波结构而具有较低的峰均功率比(PAPR)。SC-FDMA已引起极大的注意,在其中较低PAPR在发射功率效率意义上使移动终端受益极大的上行链路通信中尤其如此。它目前是3GPP长期演进(LTE)或演进UTRA中的上行链路多址方案中的工作设想。 [0026] 参照图1,图解了根据一个实施例的多址无线通信系统。接入点100(AP)包括多个天线群,一个群包括104和106,另一个群包括108和110,并且再一个群包括112和114。在图1中,为每个天线群仅示出了两个天线,然而,可为每个天线群利用更多或更少的天线。接入终端116(AT)在与天线112和114通信,其中天线112和114在前向链路120上向接入终端116发射信息,并在反向链路118上接收来自接入终端116的信息。接入终端122在与天线106和108通信,其中天线106和108在前向链路126上向接入终端122发射信息,并在反向链路124上接收来自接入终端122的信息。在频分双工(FDD)系统中,通信链路118、120、124和126可使用不同的频率来通信。例如,前向链路120可使用与反向链路 118所使用的不同的频率。 [0027] 接入点可以是用于与诸终端通信的固定站,并且也可以用接入点、B节点、或某个其他术语来述及。接入终端(AT)也可用接入终端、用户装备(UE)、无线通信设备、终端、接入终端、或某个其他术语来称呼。 [0028] 对例如接入终端的设备的认证确保只有获授权的设备、用户等才能接入特定网络。认证可以是指设备认证、服务认证等。在一个示例中,特定会话可能要求多重认证。例如,可能要求为扇区中的网络接入来认证设备和服务器两者。在例如AT需要向无线电接入网络供应商执行接入认证并向IP网络供应商执行ISP认证时,可能要求多重认证。在另一示例中,可执行设备和用户认证。本文中所公开的示例减小了接入终端在没有执行所有必需的认证的情况下获得接入的可能性。 [0029] 在一个示例中,当要求多重认证、例如两重认证时,可生成第一密钥并将其用于编码和解码,随后可生成第二密钥并将其用于编码/解码,并且然后可将这些密钥组合起来。在另一个示例中,可执行串行认证。在串行认证中,可在第一认证中生成第一密钥,随后可使用在第一认证中生成的密钥来执行第二认证。在此示例中,不要求将密钥组合起来,这可使通信系统中的认证实现更为简单。 [0030] 在来自最新认证的临时会话密钥(TSK)保护后续认证的场合,可将多重认证彼此绑定。例如,在第二认证中可能要求在第一认证中生成的TSK。在另一示例中,在重新认证的情形中,可以仅需要有单个认证。 [0031] 本文中所公开的示例提供了多重认证支持。在一个示例中,可能要求为安全起见而绑定诸认证。这里,接入节点或认证者必须只有在所有认证均已成功完成之后才允许AT获得服务。在另一示例中,提供了高效率的重新认证,其中不需要重复多重认证。 [0032] 图3图解了接连运行的多重认证的示例。如所图解的,以明文为EAP请求/身份(认证类型)进行初始EAP交换。随后,会话受到保护。在图3中,第一认证必须是密钥生成性的。换言之,生成此处为“MSK1”的主会话密钥(MSK)是强制性的。随后,密钥交换协议(KEP)从MSK生成临时会话密钥(TSK),例如,如图解地从MSK1生成TSK1。在第一认证之后推导出的TSK保护第二EAP认证。如果两个或更多个认证是密钥生成性的,则最新的MSK成为当前MSK。在一个示例中,第二认证可以生成或者也可以不生成第二MSK。如果在第二认证中生成第二MSK,则KEP使用该第二MSK来生成第二TSK,例如,TSK2。该第二TSK可随后被用来保护后续的消息(生成的数据)。如果在第二认证中没有生成第二MSK,则可仍然使用先前生成的TSK,例如,TSK1。 [0033] 继续图3的示例,服务无线电网络控制器(S-RNC)使用当前密钥来强制实施KEP。S-RNC使用ValidPMKExists标志以向其他活跃集成员指示是否这两个认证都完成了。新的活跃集成员等待ValidPMKExists标志打开的会话更新后才运行ERP(EAP重新认证协议)和/或KEP(空中接口密钥交换协议)。ValidPMKExists标志可在1与0之间翻转,其中1指示两个会话都已完成,而0代表它们尚未完成。会话可包括若干认证。例如,可能要求第三认证。这里,第三MSK可被生成并被KEP用来推导第三TSK。如果在第三认证中没有生成第三MSK,则可使用先前的TSK,例如TSK2、TSK先前等。 [0034] 新的活跃集成员可运行ERP,但可随后等待直到ValidPMKExists标志被打开之后才运行KEP。在一个示例中,如果这些EAP方法之中仅有一个是密钥生成性的,则可使用由第一EAP方法建立的DSRK来允许令另一eBS经历ERP交换。然而,可以不允许该AT接入网络,直到该AT完成所有必需的认证。因此,可使KEP交换延迟直至此时。在另一示例中,如果多于一个EAP方法是密钥生成性的,则也使用最新产生的DSRK来运行ERP。 [0035] 图4图解了多重认证以及域专有根密钥(DSRK)使用的示例。DSRK可用于重新认证。如所图解的,可将来自最新EAP交换的DSRK用于重新认证。AAA-L不能将这些DSRK相关并且存储其两者。期望AT使用正确的DSRK。 [0036] 在另一方面,行为失常的AT可能完成了与S-RNC的第一认证。该AT还可能将AN添加到活跃集中。这里,该AT可以用MSK1从S-RNC获得会话或者用DSRK1进行ERP。AAA-L并不知道AT是否做完多重认证。 [0037] 可在空中接口层面或经由后端网络服务器来实现缓解。在空中接口层面,S-RNC期望AT做完预期数目的认证。S-RNC可将会话给予新的AN,但在该会话中有将指示PMK尚未建立的ValidPMKExists标志。S-RNC可将会话给予任何AN,因为在EAP完成之前获得会话不能包含安全性cookie。这里,S-RNC将确保在(一个或多个)EAP完成之后会话被更新。新的AN将等待此标志值被翻转的另一会话更新后才执行ERP(可随意任选)和KEP。另外,在TSK被建立之前,将不允许新的AN进行数据传递。 [0038] 经由后端网络服务器,S-RNC期望AT做完预期数目的认证。如果该AT做完的认证少于预期的数目,则S-RNC可关闭会话或者向持有DSRK的AAA-L发送通知。这里,AAA-L向任何可能已经从该DSRK推导出rMSK的AN发送通知。诸AN随后关闭与该AT的未获授权的会话。 [0039] 再次参照图1,每一群天线和/或它们被设计成在其中通信的区域常被称作接入点的扇区。在该实施例中,天线群各自被设计成与落在接入点100所覆盖的区域的扇区中的诸接入终端通信。 [0040] 图2是MIMO系统200中发射机系统210(也称为接入点)和接收机系统250(也称为接入终端)的实施例的框图。在发射机系统210处,数个数据流的话务数据从数据源212被提供给发射(TX)数据处理器214。 [0041] 在一实施例中,每一数据流在各自的发射天线上被发射。TX数据处理器214基于为每个数据流选择的特定编码方案来格式化、编码、和交织该数据流的话务数据以提供经编码的数据。 [0042] 每个数据流的经编码数据可使用OFDM技术来与导频数据多路复用。导频数据通常是以已知方式处理的已知数据模式,并且可在接收机系统处被用来估计信道响应。然后基于为每个数据流选择的特定调制方案(例如,BPSK、QSPK、M-PSK、或M-QAM)来调制(即,码元映射)每个数据流的多路复用在一起的导频和经编码数据以提供调制码元。每个数据流的数据率、编码、和调制可由处理器230执行的指令来决定。 [0043] 所有数据流的调制码元随后被提供给TX MIMO处理器220,后者可进一步处理这些调制码元(例如,用于实现OFDM)。TX MIMO处理器220然后将NT个调制码元流提供给个NT个发射机(TMTR)222a到222t。在某些实施例中,TX MIMO处理器220向这些数据流的码元并向该码元从其处被发射的天线应用波束成形权重。 [0044] 每个发射机222接收并处理各自的码元流以提供一个或更多个模拟信号,并进一步调理(例如,放大、滤波、和上变频)这些模拟信号以提供适于在MIMO信道上传输的经调制信号。来自发射机222a到222t的NT个经调制信号随后分别从NT个天线224a到224t被发射。 [0045] 在接收机系统250处,所发射的经调制信号被NR个天线252a到252r所接收,并且从每个天线252接收到的信号被提供给各自的接收机(RCVR)254a到254r。每个接收机254调理(例如,滤波、放大、及下变频)各自的收到信号,数字化该经调理的信号以提供样本,并且进一步处理这些样本以提供相对应的“收到”码元流。 [0046] RX数据处理器260随后从NR个接收机254接收这NR个收到码元流并基于特定接收机处理技术对其进行处理以提供NT个“检出”码元流。RX数据处理器260然后解调、解交织、和解码每个检出码元流以恢复该数据流的话务数据。RX数据处理器260所执行的处理与发射机系统210处由TX MIMO处理器220和TX数据处理器214执行的处理互补。 [0047] 处理器270周期性地确定使用哪个预编码矩阵(以下讨论)。处理器270编制包括矩阵索引部分和秩值部分的反向链路消息。 [0048] 反向链路消息可包括关于该通信链路和/或此收到数据流的各种类型的信息。反向链路消息随后由还从数据源236接收数个数据流的话务数据的TX数据处理器238处理,由调制器280调制,由发射机254a到254r调理,并被回传给发射机系统210。 [0049] 在发射机系统210处,来自接收机系统250的经调制信号被天线224所接收,由接收机222调理,由解调器240解调,并由RX数据处理器242处理以提取接收机系统250所发射的反向链路消息。处理器230随后确定使用哪个预编码矩阵来确定波束成形权重,然后处理所提取的消息。 [0050] 应该理解,所公开的过程中各步骤的具体次序或阶层是示例性办法的例子。基于设计偏好,应理解过程中各步骤的具体次序或阶层可被重新安排而仍在本公开的范围内。所附方法权利要求按样例次序提呈各种步骤的要素,而并无意被限定于所提呈的具体次序或阶层。 [0051] 本领域技术人员将可理解,信息和信号可使用各种不同技术和技艺中的任何哪种来表示。例如,贯穿上面说明始终可能被述及的数据、指令、命令、信息、信号、比特、码元、和码片可由电压、电流、电磁波、磁场或磁粒子、光场或光粒子、或其任何组合来表示。 [0052] 本领域技术人员将进一步领会,结合本文中所公开的实施例描述的各种解说性逻辑块、模块、电路、和算法步骤可实现为电子硬件、计算机软件、或这两者的组合。为清楚地解说硬件和软件的这种可互换性,各种解说性组件、块、模块、电路、和步骤在上文中以其功能性的形式进行了一般化描述。这样的功能性是实现为硬件还是软件取决于具体应用和加诸整体系统上的设计约束。技术人员可针对每种特定应用以不同方式来实现所描述的功能性,但此类设计决策不应被解释为致使脱离本公开的范围。 [0053] 结合本文所公开的实施例描述的各种解说性逻辑块、模块、和电路可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立硬件组件、或其设计成执行本文所描述功能的任何组合来实现或执行。通用处理器可以是微处理器,但在替代方案中,该处理器可以是任何常规处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合,例如DSP与微处理器的组合、多个微处理器、与DSP核心协作的一个或更多个微处理器、或任何其他此类配置。 [0054] 在一个或更多个示例性实施例中,所描述的功能可以在硬件、软件、固件、或其任何组合中实现。如果在软件中实现,则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算机存储介质和通信介质两者,后者包括有助于将计算机程序从一地转移到另一地的任何介质。存储介质可以是能被计算机访问的任何可用介质。作为示例而非限定,这样的计算机可读介质可包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备、或可被用来携带或存储指令或数据结构形式的合需程序代码且可被计算机访问的任何其它介质。任何连接也被正当地称为计算机可读介质。例如,如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来的,则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的碟和盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软碟和蓝光盘,其中碟往往以磁的方式再现数据,而盘用激光以光学方式再现数据。上述的组合应被包括在计算机可读介质的范围内。 [0055] 结合本文公开的实施例所描述的方法或算法的步骤可直接在硬件中、在由处理器执行的软件模块中、或在这两者的组合中实施。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。示例性存储介质耦合到处理器,以使得该处理器可从/向该存储介质读和写信息。在替换方案中,存储介质可以被整合到处理器。处理器和存储介质可驻留在ASIC中。ASIC可驻留在用户终端中。在替换方案中,处理器和存储介质可作为分立组件驻留在用户终端中。 [0056] 提供前面对所公开的实施例的描述是为了使本领域任何技术人员皆能制作或使用本公开。对这些实施例的各种修改对于本领域技术人员将是显而易见的,并且本文中定义的普适原理可被应用于其他实施例而不会脱离本公开的精神或范围。由此,本公开并非旨在被限定于本文中示出的实施例,而是应被授予与本文中公开的原理和新颖性特征一致的最广义的范围。 |
||||||
