用于實現對多重認證的高效率支持的方法和裝置的制作方法

專利名稱：用于實現對多重認證的高效率支持的方法和裝置的制作方法
用于實現對多重認證的高效率支持的方法和裝置
根據35 U.S.C. §119的優先權要求
本專利申請要求于2007年5月7日提交的題為"METHOD AND APPARATUS FOR EFFICIENT SUPPORT FOR MULTIPLE AUTHENTICATIONS (用于實現對多重認證的高效率支持的方法和裝置)" 的臨時申請No. 60/916,530的優先權，其已轉讓給本申請受讓人并因而被明確 援引納入于此。
背景
領域
本發明一般涉及無線通信，尤其涉及多重認證。
背景
無線通信系統被廣泛部署用以提供諸如語音、數據等各種類型的通信內 容。這些系統可以是能夠通過共享可用系統資源(例如，帶寬和發射功率)來 支持多用戶通信的多址系統。這樣的多址系統的示例包括碼分多址(CDMA) 系統、時分多址(TDMA)系統、頻分多址(FDMA)系統、3GPPLTE系統、 以及正交頻分多址(OFDMA)系統。
一般而言，無線多址通信系統可同時支持多重無線終端的通信。每個終端 經由前向和反向鏈路上的傳輸與一個或更多個基站通信。前向鏈路(或下行鏈 路)是指從基站至終端的通信鏈路，而反向鏈路(或上行鏈路)是指從終端至 基站的通信鏈路。這種通信鏈路可經由單入單出、多入單出或多入多出 (MIMO)系統來建立。概述
本發明的一個方面可在于一種用于在無線通信系統中進行多重基于EAP 的認證的方法。在該方法中，在為第一類型的接入進行的第一基于EAP的認 證中生成第一主會話密鑰(MSK)。從該第一主會話密鑰(MSK)生成第一 臨時會話密鑰(TSK)。使用該第一臨時會話密鑰(TSK)為第二類型的接入 執行第二基于EAP的認證。在第一和第二基于EAP的認證成功完成之后提供 第一類型的接入和第二類型的接入。
在本發明的更詳細的方面中，該方法還可包括在第二基于EAP的認證中 生成第二主會話密鑰(MSK)。同樣，該方法還可包括從第二主會話密鑰(MSK) 生成第二臨時會話密鑰(TSK)。該第二臨時會話密鑰(TSK)可被用在第三 認證中。替換地，該方法還可包括如果在第二基于EAP的認證中沒有生成第 二主會話密鑰(MSK)，則將第一臨時會話密鑰(TSK)用于第三基于EAP 的認證。第一和第二基于EAP的認證可以是單個會話的一部分。
在本發明的其他更詳細的方面中，該方法還可包括生成指示符消息以指示 第一和第二基于EAP的認證是否成功完成。該指示符消息可具有值1以指示 第一和第二基于EAP的認證的成功完成，并且具有值0以指示第一和第二基 于EAP的認證尚未完成。該指示符消息可以是ValidPMKExists (存在有效 PMK)標志。
補充地，第一基于EAP的認證可包括包含第一認證類型的EAP請求/身份 消息，而第二基于EAP的認證可包括包含第二認證類型的EAP請求/身份消息。 該方法還可包括在第一基于EAP的認證中生成第一域專有根密鑰(DSRK)， 在第二基于EAP的認證中生成第二域專有根密鑰(DSRK)，以及使用第一 DSRK和第二DSRK中的至少一個來對第一類型的接入或第二類型的接入中的 至少一個執行基于EAP的重新認證。第一類型的接入可與接入終端(AT)相 關聯，而第二類型的接入可與用戶相關聯。替換地，第一類型的接入與特定設 備相關聯，而第二類型的接入與特定服務器相關聯。同樣，第一類型的接入可 包括對無線電網絡的接入，而第二類型的接入可包括通過互聯網服務供應商 (ISP)接入。本發明的另一方面可在于一種能在無線通信系統中操作的用于進行多重 基于EAP的認證的裝置，該裝置包括用于在為第一類型的接入進行的第一
基于EAP的認證中生成第一主會話密鑰(MSK)的裝置、用于從第一主會話 密鑰(MSK)生成第一臨時會話密鑰(TSK)的裝置、用于使用第一臨時會話 密鑰(TSK)來為第二類型的接入執行第二基于EAP的認證的裝置、以及用于 在第一和第二基于EAP的認證成功完成之后提供第一類型的接入和第二類型 的接入的裝置。
本發明的又一方面可在于一種包括計算機可讀介質的計算機程序產品，該 計算機可讀介質包括用于使計算機在為第一類型的接入進行的第一基于EAP 的認證中生成第一主會話密鑰(MSK)的代碼、用于使計算機從第一主會話密 鑰(MSK)生成第一臨時會話密鑰(TSK)的代碼、用于使計算機使用第一臨 時會話密鑰(TSK)來為第二類型的接入執行第二基于EAP的認證的代碼、以 及用于使計算機在第一和第二基于EAP的認證成功完成之后提供第一類型的 接入和第二類型的接入的代碼。
本發明的再一方面可在于一種能在無線通信系統中操作的用于進行多重 基于EAP的認證的裝置，該裝置包括處理器以及耦合至該處理器用于存儲數 據的存儲器，該處理器被配置成在為第一類型的接入進行的第一基于EAP 的認證中生成第一主會話密鑰(MSK)，從第一主會話密鑰(MSK)生成第 一臨時會話密鑰(TSK)，使用第一臨時會話密鑰(TSK)來為第二類型的接 入執行第二基于EAP的認證，以及在第一和第二基于EAP的認證成功完成之 后提供第一類型的接入和第二類型的接入。
附圖簡述
在結合附圖理解下面闡述的詳細描述時，本公開的特征、本質及優點將變 得更加明白，在附圖中，相近的參考標記始終作相應標識，其中-

圖1圖解了根據一個實施例的多址無線通信系統； 圖2是通信系統的框圖； 圖3圖解了多重認證的示例；以及 圖4圖解了多重認證以及DSRK使用的示例。詳細描述
本文中描述的技術可用于各種無線通信網絡，諸如碼分多址(CDMA)網絡、時分多址(TDMA)網絡、頻分多址(FDMA)網絡、正交FDMA (OFDMA)網絡、單載波FDMA (SC-FDMA)網絡等。術語"網絡"和"系統"常被可互換地使用。CDMA網絡可實現諸如通用地面無線電接入(UTRA) 、 cdma2000等無線電技術。UTRA包括寬帶CDMA (W-CDMA)和低碼片率(LCR)。cdma2000涵蓋IS-2000、 IS-95和IS-856標準。TDMA網絡可實現諸如全球移動通信系統(GSM)等的無線電技術。OFDMA網絡可實現諸如演進UTRA(E-UTRA)、 IEEE 802.11、正EE 802.16、正EE 802.20、 Flash-OFDM⑧等無線電技術。UTRA、 E-UTRA和GSM是通用移動電信系統(UMTS)的部分。長期演進(LTE)是即將發布的使用E-UTRA的UMTS版本。UTRA、 E-UTRA、GSM、 UMTS和LTE在來自名為"第三代伙伴項目"(3GPP)的組織的文獻中描述。cdma2000在來自名為"第三代伙伴項目2" (3GPP2)的組織的文獻中描述。這些各色無線電技術和標準是本領域公知的。為了清楚起見，以下針對LTE對這些技術的某些方面進行描述，并且在以下描述的很大部分中使用LTE術語。
利用單載波調制和頻域均衡的單載波頻分多址(SC-FDMA)是一種技術。SC-FDMA具有與OFDMA系統相近的性能以及本質上相同的總體復雜度。SC-FDMA信號因其固有的單載波結構而具有較低的峰均功率比(PAPR)。SC-FDMA已引起極大的注意，在其中較低PAPR在發射功率效率意義上使移動終端受益極大的上行鏈路通信中尤其如此。它目前是3GPP長期演進(LTE)或演進UTRA中的上行鏈路多址方案中的工作設想。
參照圖1，圖解了根據一個實施例的多址無線通信系統。接入點100 (AP)包括多個天線群， 一個群包括104和106，另一個群包括108和110，并且再一個群包括112和114。在圖1中，為每個天線群僅示出了兩個天線，然而，可為每個天線群利用更多或更少的天線。接入終端116 (AT)在與天線112和114通信，其中天線112和114在前向鏈路120上向接入終端116發射信息，并在反向鏈路118上接收來自接入終端116的信息。接入終端122在與天線106和108通信，其中天線106和108在前向鏈路126上向接入終端122發射信息， 并在反向鏈路124上接收來自接入終端122的信息。在頻分雙工(FDD)系統 中，通信鏈路118、 120、 124和126可使用不同的頻率來通信。例如，前向鏈 路120可使用與反向鏈路118所使用的不同的頻率。
接入點可以是用于與諸終端通信的固定站，并且也可以用接入點、B節點、 或某個其他術語來述及。接入終端(AT)也可用接入終端、用戶裝備(UE)、 無線通信設備、終端、接入終端、或某個其他術語來稱呼。
對例如接入終端的設備的認證確保只有獲授權的設備、用戶等才能接入特 定網絡。認證可以是指設備認證、服務認證等。在一個示例中，特定會話可能 要求多重認證。例如，可能要求為扇區中的網絡接入來認證設備和服務器兩者。 在例如AT需要向無線電接入網絡供應商執行接入認證并向IP網絡供應商執行 ISP認證時，可能要求多重認證。在另一示例中，可執行設備和用戶認證。本 文中所公開的示例減小了接入終端在沒有執行所有必需的認證的情況下獲得 接入的可能性。
在一個示例中，當要求多重認證、例如兩重認證時，可生成第一密鑰并將 其用于編碼和解碼，隨后可生成第二密鑰并將其用于編碼/解碼，并且然后可將 這些密鑰組合起來。在另一個示例中，可執行串行認證。在串行認證中，可在 第一認證中生成第一密鑰，隨后可使用在第一認證中生成的密鑰來執行第二認 證。在此示例中，不要求將密鑰組合起來，這可使通信系統中的認證實現更為 簡單。
在來自最新認證的臨時會話密鑰(TSK)保護后續認證的場合，可將多重 認證彼此綁定。例如，在第二認證中可能要求在第一認證中生成的TSK。在另 一示例中，在重新認證的情形中，可以僅需要有單個認證。
本文中所公開的示例提供了多重認證支持。在一個示例中，可能要求為安 全起見而綁定諸認證。這里，接入節點或認證者必須只有在所有認證均已成功 完成之后才允許AT獲得服務。在另一示例中，提供了高效率的重新認證，其 中不需要重復多重認證。
圖3圖解了接連運行的多重認證的示例。如所圖解的，以明文為EAP請 求/身份(認證類型)進行初始EAP交換。隨后，會話受到保護。在圖3中，第一認證必須是密鑰生成性的。換言之，生成此處為"MSK1"的主會話密鑰
(MSK)是強制性的。隨后，密鑰交換協議(KEP)從MSK生成臨時會話密 鑰(TSK)，例如，如圖解地從MSK1生成TSK1。在第一認證之后推導出的 TSK保護第二EAP認證。如果兩個或更多個認證是密鑰生成性的，則最新的 MSK成為當前MSK。在一個示例中，第二認證可以生成或者也可以不生成第 二MSK。如果在第二認證中生成第二MSK，則KEP使用該第二MSK來生成 第二TSK，例如，TSK2。該第二TSK可隨后被用來保護后續的消息(生成的 數據)。如果在第二認證中沒有生成第二 MSK，則可仍然使用先前生成的TSK， 例如，TSK1。
繼續圖3的示例，服務無線電網絡控制器(S-RNC)使用當前密鑰來強制 實施KEP。 S-RNC使用ValidPMKExists標志以向其他活躍集成員指示是否這 兩個認證都完成了。新的活躍集成員等待ValidPMKExists標志打開的會話更 新后才運行ERP (EAP重新認證協議)和/或KEP (空中接口密鑰交換協議)。 ValidPMKExists標志可在1與0之間翻轉，其中1指示兩個會話都已完成，而 O代表它們尚未完成。會話可包括若干認證。例如，可能要求第三認證。這里， 第三MSK可被生成并被KEP用來推導第三TSK。如果在第三認證中沒有生成 第三MSK，則可使用先前的TSK，例如TSK2、 TSK先前等。
新的活躍集成員可運行ERP，但可隨后等待直到ValidPMKExists標志被 打開之后才運行KEP。在一個示例中，如果這些EAP方法之中僅有一個是密 鑰生成性的，則可使用由第一 EAP方法建立的DSRK來允許令另一 eBS經歷 ERP交換。然而，可以不允許該AT接入網絡，直到該AT完成所有必需的認 證。因此，可使KEP交換延遲直至此時。在另一示例中，如果多于一個EAP 方法是密鑰生成性的，則也使用最新產生的DSRK來運行ERP。
圖4圖解了多重認證以及域專有根密鑰(DSRK)使用的示例。DSRK可 用于重新認證。如所圖解的，可將來自最新EAP交換的DSRK用于重新認證。 AAA-L不能將這些DSRK相關并且存儲其兩者。期望AT使用正確的DSRK。
在另一方面，行為失常的AT可能完成了與S-RNC的第一認證。該AT 還可能將AN添加到活躍集中。這里，該AT可以用MSK1從S-RNC獲得會 話或者用DSRK1進行ERP。 AAA-L并不知道AT是否做完多重認證。可在空中接口層面或經由后端網絡服務器來實現緩解。在空中接口層面，
S-RNC期望AT做完預期數目的認證。S-RNC可將會話給予新的AN，但在該 會話中有將指示PMK尚未建立的ValidPMKExists標志。S-RNC可將會話給予 任何AN，因為在EAP完成之前獲得會話不能包含安全性cookie。這里，S-RNC 將確保在(一個或多個)EAP完成之后會話被更新。新的AN將等待此標志值 被翻轉的另一會話更新后才執行ERP (可隨意任選)和KEP。另夕卜，在TSK 被建立之前，將不允許新的AN進行數據傳遞。
經由后端網絡服務器，S-RNC期望AT做完預期數目的認證。如果該AT 做完的認證少于預期的數目，則S-RNC可關閉會話或者向持有DSRK的 AAA-L發送通知。這里，AAA-L向任何可能已經從該DSRK推導出rMSK的 AN發送通知。諸AN隨后關閉與該AT的未獲授權的會話。
再次參照圖1，每一群天線和/或它們被設計成在其中通信的區域常被稱作 接入點的扇區。在該實施例中，天線群各自被設計成與落在接入點ioo所覆蓋 的區域的扇區中的諸接入終端通信。
圖2是MIMO系統200中發射機系統210 (也稱為接入點)和接收機系統 250 (也稱為接入終端)的實施例的框圖。在發射機系統210處，數個數據流 的話務數據從數據源212被提供給發射(TX)數據處理器214。
在一實施例中，每一數據流在各自的發射天線上被發射。TX數據處理器 214基于為每個數據流選擇的特定編碼方案來格式化、編碼、和交織該數據流 的話務數據以提供經編碼的數據。
每個數據流的經編碼數據可使用OFDM技術來與導頻數據多路復用。導 頻數據通常是以已知方式處理的已知數據模式，并且可在接收機系統處被用來 估計信道響應。然后基于為每個數據流選擇的特定調制方案(例如，BPSK、 QSPK、 M-PSK、或M-QAM)來調制(即，碼元映射)每個數據流的多路復 用在一起的導頻和經編碼數據以提供調制碼元。每個數據流的數據率、編碼、 和調制可由處理器230執行的指令來決定。
所有數據流的調制碼元隨后被提供給TX MIMO處理器220，后者可進一 步處理這些調制碼元(例如，用于實現OFDM) 。 TXMIMO處理器220然后 將A^個調制碼元流提供給個AV個發射機(TMTR) 222a到222t。在某些實施例中，TX MIMO處理器220向這些數據流的碼元并向該碼元從其處被發射的 天線應用波束成形權重。
每個發射機222接收并處理各自的碼元流以提供一個或更多個模擬信號， 并進一步調理(例如，放大、濾波、和上變頻)這些模擬信號以提供適于在 MIMO信道上傳輸的經調制信號。來自發射機222a到222t的A^個經調制信號 隨后分別從 W個天線224a到224t被發射。
在接收機系統250處，所發射的經調制信號被A^個天線252a到252r所 接收，并且從每個天線252接收到的信號被提供給各自的接收機(RCVR) 254a 到254r。每個接收機254調理(例如，濾波、放大、及下變頻)各自的收到信 號，數字化該經調理的信號以提供樣本，并且進一步處理這些樣本以提供相對 應的"收到"碼元流。
RX數據處理器260隨后從Ww個接收機254接收這A^個收到碼元流并基 于特定接收機處理技術對其進行處理以提供A^個"檢出"碼元流。RX數據處 理器260然后解調、解交織、和解碼每個檢出碼元流以恢復該數據流的話務數 據。RX數據處理器260所執行的處理與發射機系統210處由TX MIMO處理 器220和TX數據處理器214執行的處理互補。
處理器270周期性地確定使用哪個預編碼矩陣(以下討論)。處理器270 編制包括矩陣索引部分和秩值部分的反向鏈路消息。
反向鏈路消息可包括關于該通信鏈路和/或此收到數據流的各種類型的信 息。反向鏈路消息隨后由還從數據源236接收數個數據流的話務數據的TX數 據處理器238處理，由調制器280調制，由發射機254a到254r調理，并被回 傳給發射機系統210。
在發射機系統210處，來自接收機系統250的經調制信號被天線224所接 收，由接收機222調理，由解調器240解調，并由RX數據處理器242處理以 提取接收機系統250所發射的反向鏈路消息。處理器230隨后確定使用哪個預 編碼矩陣來確定波束成形權重，然后處理所提取的消息。
應該理解，所公開的過程中各步驟的具體次序或階層是示例性辦法的例 子。基于設計偏好，應理解過程中各步驟的具體次序或階層可被重新安排而仍在本公開的范圍內。所附方法權利要求按樣例次序提呈各種步驟的要素，而并 無意被限定于所提呈的具體次序或階層。
本領域技術人員將可理解，信息和信號可使用各種不同技術和技藝中的任 何哪種來表示。例如，貫穿上面說明始終可能被述及的數據、指令、命令、信 息、信號、比特、碼元、和碼片可由電壓、電流、電磁波、磁場或磁粒子、光 場或光粒子、或其任何組合來表示。
本領域技術人員將進一步領會，結合本文中所公開的實施例描述的各種解 說性邏輯塊、模塊、電路、和算法步驟可實現為電子硬件、計算機軟件、或這 兩者的組合。為清楚地解說硬件和軟件的這種可互換性，各種解說性組件、塊、 模塊、電路、和步驟在上文中以其功能性的形式進行了一般化描述。這樣的功 能性是實現為硬件還是軟件取決于具體應用和加諸整體系統上的設計約束。技 術人員可針對每種特定應用以不同方式來實現所描述的功能性，但此類設計決 策不應被解釋為致使脫離本公開的范圍。
結合本文所公開的實施例描述的各種解說性邏輯塊、模塊、和電路可用通
用處理器、數字信號處理器(DSP)、專用集成電路(ASIC)、現場可編程門 陣列(FPGA)或其它可編程邏輯器件、分立門或晶體管邏輯、分立硬件組件、 或其設計成執行本文所描述功能的任何組合來實現或執行。通用處理器可以是
微處理器，但在替代方案中，該處理器可以是任何常規處理器、控制器、微控 制器、或狀態機。處理器還可以被實現為計算設備的組合，例如DSP與微處 理器的組合、多個微處理器、與DSP核心協作的一個或更多個微處理器、或 任何其他此類配置。
在一個或更多個示例性實施例中，所描述的功能可以在硬件、軟件、固件、 或其任何組合中實現。如果在軟件中實現，則各功能可以作為一條或更多條指 令或代碼存儲在計算機可讀介質上或藉其進行傳送。計算機可讀介質包括計算 機存儲介質和通信介質兩者，后者包括有助于將計算機程序從一地轉移到另一 地的任何介質。存儲介質可以是能被計算機訪問的任何可用介質。作為示例而 非限定，這樣的計算機可讀介質可包括RAM、 ROM、 EEPROM、 CD-ROM或 其它光盤存儲、磁盤存儲或其它磁存儲設備、或可被用來攜帶或存儲指令或數 據結構形式的合需程序代碼且可被計算機訪問的任何其它介質。任何連接也被正當地稱為計算機可讀介質。例如，如果軟件是使用同軸電纜、光纖電纜、雙
絞線、數字訂戶線(DSL)、或諸如紅外、無線電、以及微波之類的無線技術 從web網站、服務器、或其它遠程源傳送而來的，則該同軸電纜、光纖電纜、 雙絞線、DSL、或諸如紅外、無線電、以及微波之類的無線技術就被包括在介 質的定義之中。如本文中所使用的碟和盤包括壓縮盤(CD)、激光盤、光盤、 數字多功能盤(DVD)、軟碟和藍光盤，其中碟往往以磁的方式再現數據，而 盤用激光以光學方式再現數據。上述的組合應被包括在計算機可讀介質的范圍 內。
結合本文公開的實施例所描述的方法或算法的步驟可直接在硬件中、在由 處理器執行的軟件模塊中、或在這兩者的組合中實施。軟件模塊可駐留在RAM 存儲器、閃存、ROM存儲器、EPROM存儲器、EEPROM存儲器、寄存器、 硬盤、可移動盤、CD-ROM、或本領域中所知的任何其他形式的存儲介質中。 示例性存儲介質耦合到處理器，以使得該處理器可從/向該存儲介質讀和寫信 息。在替換方案中，存儲介質可以被整合到處理器。處理器和存儲介質可駐留 在ASIC中。ASIC可駐留在用戶終端中。在替換方案中，處理器和存儲介質 可作為分立組件駐留在用戶終端中。
提供前面對所公開的實施例的描述是為了使本領域任何技術人員皆能制 作或使用本公開。對這些實施例的各種修改對于本領域技術人員將是顯而易見 的，并且本文中定義的普適原理可被應用于其他實施例而不會脫離本公開的精 神或范圍。由此，本公開并非旨在被限定于本文中示出的實施例，而是應被授 予與本文中公開的原理和新穎性特征一致的最廣義的范圍。
權利要求
1.一種用于在無線通信系統中進行多重基于EAP的認證的方法，所述方法包括在為第一類型的接入進行的第一基于EAP的認證中生成第一主會話密鑰(MSK)；從所述第一主會話密鑰(MSK)生成第一臨時會話密鑰(TSK)；使用所述第一臨時會話密鑰(TSK)為第二類型的接入執行第二基于EAP的認證；以及在所述第一和第二基于EAP的認證成功完成之后提供第一類型的接入和第二類型的接入。
2. 如權利要求1所述的用于進行多重基于EAP的認證的方法，其特征在 于，還包括在所述第二基于EAP的認證中生成第二主會話密鑰(MSK)。
3. 如權利要求2所述的用于進行多重基于EAP的認證的方法，其特征在 于，還包括從所述第二主會話密鑰(MSK)生成第二臨時會話密鑰(TSK)。
4. 如權利要求3所述的用于進行多重基于EAP的認證的方法，其特征在 于，所述第二臨時會話密鑰(TSK)被用在第三基于EAP的認證中。
5. 如權利要求1所述的用于進行多重基于EAP的認證的方法，其特征在于， 還包括如果在所述第二基于EAP的認證中沒有生成第二主會話密鑰(MSK)， 則將所述第一臨時會話密鑰(TSK)用于第三基于EAP的認證。
6. 如權利要求1所述的用于進行多重基于EAP的認證的方法,其特征在于， 所述第一和第二基于EAP的認證是單個會話的一部分。
7. 如權利要求1所述的用于進行多重基于EAP的認證的方法，其特征在 于，還包括生成指示符消息以指示所述第一和第二基于EAP的認證是否成功 完成。
8. 如權利要求7所述的用于進行多重基于EAP的認證的方法，其特征在 于，所述指示符消息具有值1以指示所述第一和第二基于EAP的認證的成功 完成，并且具有值0以指示所述第一和第二基于EAP的認證尚未完成。
9. 如權利要求8所述的用于進行多重基于EAP的認證的方法，其特征在 于，所述指示符消息是ValidPMKExists標志。
10. 如權利要求1所述的用于進行多重基于EAP的認證的方法，其特征在 于，還包括生成指示符消息以指示多重基于EAP的認證是否成功完成。
11. 如權利要求1所述的用于進行多重基于EAP的認證的方法，其特征在 于，所述第一基于EAP的認證包括包含第一認證類型的EAP請求/身份消息， 并且所述第二基于EAP的認證包括包含第二認證類型的EAP請求/身份消息。
12. 如權利要求1所述的用于進行多重基于EAP的認證的方法，其特征在 于，還包括在所述第一基于EAP的認證中生成第一域專有根密鑰(DSRK); 在所述第二基于EAP的認證中生成第二域專有根密鑰(DSRK); 使用所述第一 DSRK和所述第二 DSRK中的至少一個來對所述第一類型 的接入或所述第二類型的接入中的至少一個執行基于EAP的重新認證。
13. 如權利要求1所述的用于進行多重基于EAP的認證的方法，其特征在 于，所述第一類型的接入與接入終端(AT)相關聯，并且所述第二類型的接 入與用戶相關聯。
14. 如權利要求1所述的用于進行多重基于EAP的認證的方法，其特征在 于，所述第一類型的接入包括對無線電網絡的接入，并且所述第二類型的接入 包括通過互聯網服務供應商(ISP)的接入。
15. 如權利要求1所述的用于進行多重基于EAP的認證的方法，其特征在 于，所述第一類型的接入與特定設備相關聯，所述第二類型的接入與特定服務 器相關聯。
16. —種能在無線通信系統中操作的用于進行多重基于EAP的認證的裝 置，所述裝置包括用于在為第一類型的接入進行的第一基于EAP的認證中生成第一主會話 密鑰(MSK)的裝置；用于從所述第一主會話密鑰(MSK)生成第一臨時會話密鑰(TSK)的裝置；用于使用所述第一臨時會話密鑰(TSK)為第二類型的接入執行第二基于 EAP的認證的裝置；以及用于在所述第一和第二基于EAP的認證成功完成之后提供第一類型的接入和第二類型的接入的裝置。
17. 如權利要求16所述的用于進行多重基于EAP的認證的裝置，其特征在 于，還包括用于在所述第二基于EAP的認證中生成第二主會話密鑰(MSK) 的裝置。
18. 如權利要求17所述的用于進行多重基于EAP的認證的裝置，其特征在 于，還包括用于從所述第二主會話密鑰(MSK)生成第二臨時會話密鑰(TSK) 的裝置。
19. 如權利要求18所述的用于進行多重基于EAP的認證的裝置，其特征在 于，所述第二臨時會話密鑰(TSK)被用在第三基于EAP的認證中。
20. 如權利要求16所述的用于進行多重基于EAP的認證的裝置，其特征在 于，還包括用于如果在所述第二基于EAP的認證中沒有生成第二主會話密鑰(MSK)則將所述第一臨時會話密鑰(TSK)用于第三基于EAP的認證的裝 置。
21. 如權利要求16所述的用于進行多重基于EAP的認證的裝置，其特征在 于，所述第一和第二基于EAP的認證是單個會話的一部分。
22. 如權利要求16所述的用于進行多重基于EAP的認證的裝置，其特征 在于，還包括用于生成指示符消息以指示所述第一和第二基于EAP的認證是 否成功完成的裝置。
23. 如權利要求22所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述指示符消息具有值1以指示所述第一和第二基于EAP的認證的成 功完成，并且具有值0以指示所述第一和第二基于EAP的認證尚未完成。
24. 如權利要求23所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述指示符消息是ValidPMKExists標志。
25. 如權利要求16所述的用于進行多重基于EAP的認證的裝置，其特征 在于，還包括用于生成指示符消息以指示多重基于EAP的認證是否成功完成 的裝置。
26. 如權利要求16所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述第一基于EAP的認證包括包含第一認證類型的EAP請求/身份消息， 并且所述第二基于EAP的認證包括包含第二認證類型的EAP請求/身份消息。
27. 如權利要求16所述的用于進行多重基于EAP的認證的裝置，其特征 在于，還包括用于在所述第一基于EAP的認證中生成第一域專有根密鑰(DSRK)的裝置；用于在所述第二基于EAP的認證中生成第二域專有根密鑰(DSRK)的裝置；用于使用所述第一 DSRK和所述第二 DSRK中的至少一個來對所述第一 類型的接入或所述第二類型的接入中的至少一個執行基于EAP的重新認證的 裝置。
28. 如權利要求16所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述第一類型的接入與接入終端(AT)相關聯，并且所述第二類型的 接入與用戶相關聯。
29. 如權利要求16所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述第一類型的接入包括對無線電網絡的接入，并且所述第二類型的接 入包括通過互聯網服務供應商(ISP)的接入。
30. 如權利要求16所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述第一類型的接入與特定設備相關聯，并且所述第二類型的接入與特 定服務器相關聯。
31. —種計算機程序產品，包括 計算機可讀介質，包括用于使計算機在為第一類型的接入進行的第一基于EAP的認證中生 成第一主會話密鑰(MSK)的代碼；用于使計算機從所述第一主會話密鑰(MSK)生成第一臨時會話密 鑰(TSK)的代碼；用于使計算機使用所述第一臨時會話密鑰(TSK)來為第二類型的接 入執行第二基于EAP的認證的代碼；以及用于使計算機在所述第一和第二基于EAP的認證成功完成之后提供 第一類型的接入和第二類型的接入的代碼。
32. 如權利要求31所述的計算機程序產品，其特征在于，還包括用于使計 算機在所述第二基于EAP的認證中生成第二主會話密鑰(MSK)的代碼。
33. 如權利要求32所述的計算機程序產品，其特征在于，還包括用于使計 算機從所述第二主會話密鑰(MSK)生成第二臨時會話密鑰(TSK)的代碼。
34. 如權利要求33所述的計算機程序產品，其特征在于，所述第二臨時會 話密鑰(TSK)被用在第三基于EAP的認證中。
35. 如權利要求31所述的計算機程序產品，其特征在于，還包括用于使計 算機在如果在所述第二基于EAP的認證中沒有生成第二主會話密鑰(MSK) 的情況下將所述第一臨時會話密鑰(TSK)用于第三基于EAP的認證的代碼。
36. 如權利要求31所述的計算機程序產品，其特征在于，所述第一和第二 基于EAP的認證是單個會話的一部分。
37. 如權利要求31所述的計算機程序產品，其特征在于，還包括用于使計 算機生成指示符消息以指示所述第一和第二基于EAP的認證是否成功完成的 代碼。
38. 如權利要求37所述的計算機程序產品，其特征在于，所述指示符消息 具有值1以指示所述第一和第二基于EAP的認證的成功完成，并且具有值0 以指示所述第一和第二基于EAP的認證尚未完成。
39. 如權利要求38所述的計算機程序產品，其特征在于，所述指示符消息 是ValidPMKExists標志。
40. 如權利要求31所述的計算機程序產品，其特征在于，還包括用于使計 算機生成指示符消息以指示多重基于EAP的認證是否成功完成的代碼。
41. 如權利要求31所述的計算機程序產品，其特征在于，所述第一基于EAP 的認證包括包含第一認證類型的EAP請求/身份消息，并且所述第二基于EAP 的認證包括包含第二認證類型的EAP請求/身份消息。
42. 如權利要求31所述的計算機程序產品，其特征在于，還包括用于使計算機在所述第一基于EAP的認證中生成第一域專有根密鑰(DSRK)的代碼；用于使計算機在所述第二基于EAP的認證中生成第二域專有根密鑰 (DSRK)的代碼；用于使計算機使用所述第一 DSRK和所述第二 DSRK中的至少一個來對 所述第一類型的接入或所述第二類型的接入中的至少一個執行基于EAP的重 新認證的代碼。
43. 如權利要求31所述的計算機程序產品，其特征在于，所述第一類型的 接入與接入終端(AT)相關聯，并且所述第二類型的接入與用戶相關聯。
44. 如權利要求31所述的計算機程序產品，其特征在于，所述第一類型的 接入包括對無線電網絡的接入，并且所述第二類型的接入包括通過互聯網服務 供應商(ISP)的接入。
45. 如權利要求31所述的計算機程序產品，其特征在于，所述第一類型的 接入與特定設備相關聯，并且所述第二類型的接入與特定服務器相關聯。
46. —種能在無線通信系統中操作的用于進行多重基于EAP的認證的裝 置，所述裝置包括處理器，配置成在為第一類型的接入進行的第一基于EAP的認證中生成第一主會話 密鑰(MSK);從所述第一主會話密鑰(MSK)生成第一臨時會話密鑰(TSK);使用所述第一臨時會話密鑰(TSK)為第二類型的接入執行第二基于 EAP的認證；并且在所述第一和第二基于EAP的認證成功完成之后提供第一類型的接 入和第二類型的接入，以及耦合至所述處理器的用于存儲數據的存儲器。
47. 如權利要求46所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述處理器還被配置成在所述第二基于EAP的認證中生成第二主會話 密鑰(MSK)。
48. 如權利要求47所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述處理器還被配置成從所述第二主會話密鑰(MSK)生成第二臨時會 話密鑰(TSK)。
49. 如權利要求48所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述第二臨時會話密鑰(TSK)被用在第三基于EAP的認證中。
50. 如權利要求46所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述處理器還被配置成在如果在所述第二基于EAP的認證中沒有生成 第二主會話密鑰(MSK)的情況下將所述第一臨時會話密鑰(TSK)用于第三 基于EAP的認證。
51. 如權利要求46所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述第一和第二基于EAP的認證是單個會話的一部分。
52. 如權利要求46所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述處理器還被配置成生成指示符消息以指示所述第一和第二基于EAP 的認證是否成功完成。
53. 如權利要求52所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述指示符消息具有值1以指示所述第一和第二基于EAP的認證的成 功完成，并且具有值O以指示所述第一和第二基于EAP的認證尚未完成。
54. 如權利要求53所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述指示符消息是ValidPMKExists標志。
55. 如權利要求46所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述處理器還被配置成生成指示符消息以指示多重基于EAP的認證是 否成功完成。
56. 如權利要求46所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述第一基于EAP的認證包括包含第一認證類型的EAP請求/身份消息， 并且所述第二基于EAP的認證包括包含第二認證類型的EAP請求/身份消息。
57. 如權利要求46所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述處理器還被配置成在所述第一基于EAP的認證中生成第一域專有根密鑰(DSRK); 在所述第二基于EAP的認證中生成第二域專有根密鑰(DSRK);使用所述第一 DSRK和所述第二 DSRK中的至少一個來對所述第一類型 的接入或所述第二類型的接入中的至少一個執行基于EAP的重新認證。
58. 如權利要求46所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述第一類型的接入與接入終端(AT)相關聯，并且所述第二類型的 接入與用戶相關聯。
59. 如權利要求46所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述第一類型的接入包括對無線電網絡的接入，并且所述第二類型的接 入包括通過互聯網服務供應商(ISP)的接入。
60. 如權利要求46所述的用于進行多重基于EAP的認證的裝置，其特征 在于，所述第一類型的接入與特定設備相關聯，并且所述第二類型的接入與特 定服務器相關聯。
全文摘要
公開了一種用于在無線通信系統中進行多重基于EAP的認證的方法。在該方法中，在為第一類型的接入進行的第一基于EAP的認證中生成第一主會話密鑰(MSK)。從該第一主會話密鑰(MSK)生成第一臨時會話密鑰(TSK)。使用該第一臨時會話密鑰(TSK)為第二類型的接入執行第二基于EAP的認證。在第一和第二基于EAP的認證成功完成之后提供第一類型的接入和第二類型的接入。
文檔編號H04L29/06GK101675645SQ200880014893
公開日2010年3月17日 申請日期2008年5月7日 優先權日2007年5月7日
發明者F·尤盧皮納, L·R·唐達蒂, P·A·阿格舍, P·蒂納科瑟蘇派普, R·T·蘇, R·帕特沃德哈, V·納拉亞南, 俊 王 申請人:高通股份有限公司