複数の認証の効率的なサポートのための方法及び装置
無線通信システムにおける複数のEAPベースの認証のための方法が開示される。この方法において、第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)が生成される。第1の一時セッション鍵(TSK)が、第1のマスタ・セッション鍵(MSK)から生成される。第2のタイプのアクセスのために、第1の一時セッション鍵(TSK)を用いて第2のEAPベースの認証が実行される。第1のタイプのアクセス及び第2のタイプのアクセスは、第1及び第2のEAPベースの認証が正しく完了した後、提供される。
【発明の詳細な説明】
【優先権主張】
【0001】
本特許出願は、本願の譲受人に譲渡され、参照によって本願に明確に組みこまれた、2007年5月7日出願の“METHOD AND APPARATUS FOR EFFICIENT SUPPORT FOR MULTIPLE AUTHENTICATIONS”と題された米国特許仮出願第60/916,530号に対する優先権を主張する。
【技術分野】
【0002】
本発明は、一般に無線通信に関し、特に、複数の認証に関する。
【背景技術】
【0003】
無線通信システムは、例えば音声、データ等のような様々なタイプの通信コンテンツを提供するために広く開発されている。これらのシステムは、利用可能なシステム・リソース(例えば、帯域幅及び送信電力)を共有することによって多くのユーザとの通信をサポートすることができる多元接続システムであることができる。そのような多元接続システムの例は、符号分割多元接続(CDMA)システム、時分割多元接続(TDMA)システム、周波数分割多元接続(FDMA)システム、3GPP LTEシステム、及び直交周波数分割多元接続(OFDMA)システムを含む。
【0004】
一般に、無線多元接続通信システムは、複数の無線端末のための通信を同時にサポートすることができる。各端末は、順方向リンク及び逆方向リンクでの送信を介して1つ又は複数の基地局と通信する。順方向リンク(すなわち、ダウンリンク)は、基地局から端末への通信リンクを称し、逆方向リンク(すなわち、アップリンク)は、端末から基地局への通信リンクを称する。この通信リンクは、単一入力単一出力システム、複数入力単一出力システム、又は複数入力複数出力(MIMO)システムを介して確立されうる。
【発明の概要】
【0005】
本発明の局面は、無線通信システムにおける複数のEAPベースの認証のための方法に存在することができる。この方法において、第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)が生成される。第1の一時セッション鍵(TSK)が第1のマスタ・セッション鍵(MSK)から生成される。第2のタイプのアクセスのために、第1の一時セッション鍵(TSK)を用いて第2のEAPベースの認証が実行される。第1のタイプのアクセス及び第2のタイプのアクセスは、第1及び第2のEAPベースの認証が正しく完了した後、提供される。
【0006】
本発明の更に詳細な局面において、この方法は更に、第2のEAPベースの認証において第2のマスタ・セッション鍵(MSK)を生成することを備えることができる。また、この方法は更に、第2のマスタ・セッション鍵(MSK)から第2の一時セッション鍵(TSK)を生成することを備えることもできる。第2の一時セッション鍵(TSK)は、第3の認証において用いられうる。あるいは、この方法は更に、第2のマスタ・セッション鍵(MSK)が第2のEAPベースの認証において生成されなかった場合、第3のEAPベースの認証のために第1の一時セッション鍵(TSK)を用いることを備えることができる。第1及び第2のEAPベースの認証は、単一のセッションの一部であることができる。
【0007】
本発明の他の更に詳細な局面において、この方法は更に、第1及び第2のEAPベースの認証が正しく完了したかを示すインジケータ・メッセージを生成することを備えることができる。インジケータ・メッセージは、第1及び第2のEAPベースの認証が正しく完了したことを示す1の値と、第1及び第2のEAPベースの認証が完了しなかったことを示す0の値とを有することができる。このインジケータ・メッセージは、ValidPMKExistsフラグであることができる。
【0008】
更に、第1のEAPベースの認証は、第1の認証タイプを含むEAP要求/アイデンティティ・メッセージを含むことができ、第2のEAPベースの認証は、第2の認証タイプを含むEAP要求/アイデンティティ・メッセージを含むことができる。この方法は更に、第1のEAPベースの認証において第1のドメイン固有ルート鍵(DSRK)を生成することと、第2のEAPベースの認証において第2のドメイン固有ルート鍵(DSRK)を生成することと、第1のDSRK及び第2のDSRKのうちの少なくとも1つを用いて、第1のタイプのアクセス又は第2のタイプのアクセスのうちの少なくとも1つのEAPベースの再認証を実行することとを備えることができる。第1のタイプのアクセスはアクセス端末(AT)に関連し、第2のタイプのアクセスはユーザに関連することができる。あるいは、第1のタイプのアクセスは特定のデバイスに関連し、第2のタイプのアクセスは特定のサーバに関連する。また、第1のタイプのアクセスは、ラジオ・ネットワークへのアクセスを備えることができ、第2のタイプのアクセスは、インターネット・サービス・プロバイダ(ISP)を介したアクセスを備えることができる。
【0009】
本発明の別の局面は、無線通信システムにおいて動作可能な複数のEAPベースの認証のための装置に存在することができる。この装置は、第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)を生成する手段と、第1のマスタ・セッション鍵(MSK)から第1の一時セッション鍵(TSK)を生成する手段と、第2のタイプのアクセスのために、第1の一時セッション鍵(TSK)を用いて第2のEAPベースの認証を実行する手段と、第1及び第2のEAPベースの認証が正しく完了した後、第1のタイプのアクセス及び第2のタイプのアクセスを提供する手段とを備える。
【0010】
本発明のまた別の局面は、コンピュータに、第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)を生成させるコードと、コンピュータに、第1のマスタ・セッション鍵(MSK)から第1の一時セッション鍵(TSK)を生成させるコードと、コンピュータに、第2のタイプのアクセスのために、第1の一時セッション鍵(TSK)を用いて第2のEAPベースの認証を実行させるコードと、コンピュータに、第1及び第2のEAPベースの認証が正しく完了した後、第1のタイプのアクセス及び第2のタイプのアクセスを提供させるコードとを備えるコンピュータ読取可能媒体を備えるコンピュータ・プログラム製品に存在することができる。
【0011】
本発明のまた別の局面は、無線通信システムにおいて動作可能な複数のEAPベースの認証のための装置に存在することができる。この装置は、第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)を生成し、第1のマスタ・セッション鍵(MSK)から第1の一時セッション鍵(TSK)を生成し、第2のタイプのアクセスのために、第1の一時セッション鍵(TSK)を用いて第2のEAPベースの認証を実行し、第1及び第2のEAPベースの認証が正しく完了した後、第1のタイプのアクセス及び第2のタイプのアクセスを提供するように構成されたプロセッサと、このプロセッサに接続され、データを格納するメモリとを備える。
【図面の簡単な説明】
【0012】
本開示の特徴、性質、及び利点は、同様の参照符号が明細書を通して対応して識別する図面に関連して説明される場合、以下に記載される詳細な説明からより明らかになるであろう。
【図1】図1は、1つの実施形態に従う多元接続無線通信システムを示す。
【図2】図2は、通信システムのブロック図である。
【図3】図3は、複数の認証の例を示す。
【図4】図4は、複数の認証及びDSRKの使用の例を示す。
【発明を実施する形態】
【0013】
本明細書で説明される技術は、例えば符号分割多元接続(CDMA)ネットワーク、時分割多元接続(TDMA)ネットワーク、周波数分割多元接続(FDMA)ネットワーク、直交FDMA(OFDMA)ネットワーク、単一キャリアFDMA(SC−FDMA)ネットワーク等のような様々な無線通信ネットワークのために用いられうる。「ネットワーク」及び「システム」という用語はしばしば、置換可能に用いられる。CDMAネットワークは、例えばユニバーサル地上無線接続(UTRA)、cdma2000等のような無線技術を実施することができる。UTRAは、広帯域CDMA(W−CDMA)及び低チップ・レート(LCR)を含む。cdma2000は、IS−2000規格、IS−95規格、IS−856規格をカバーする。TDMAネットワークは、例えばグローバル・システム・フォー・モバイル・コミュニケーション(GSM)のような無線技術を実施することができる。OFDMAネットワークは、例えば次世代UTRA(E−UTRA)、IEEE 802.11、IEEE 802.16、IEEE 802.20、Flash−OFDM等のような無線技術を実施することができる。UTRA、E−UTRA、及びGSMは、ユニバーサル・モバイル・テレコミュニケーション・システム(UMTS)の一部である。ロング・ターム・エボリューション(LTE)は、近々公開される、E−UTRAを用いたUMTSである。UTRA、E−UTRA、GSM、UMTS、及びLTEは、“3rd Generation Partnership Project”(3GPP)と名づけられた組織からの文書で説明される。cdma2000は、“3rd Generation Partnership Project 2”(3GPP2)と名づけられた組織からの文書で説明される。これら様々な無線技術及び規格は、当該技術において周知である。明確化のために、本技術のある局面は、以下で、LTEに関して説明され、LTE用語が、以下の説明の多くにおいて用いられる。
【0014】
単一キャリア周波数分割多元接続(SC−FDMA)は、単一キャリア変調及び周波数領域等値化を用いる技術である。SC−FDMAは、OFDMAシステムと同様の性能、及びOFDMAシステムと本質的に同一の全体的複雑さを有する。SC−FDMA信号は、その固有の単一キャリア構成により、低いピーク対平均電力比(PARR)を有する。SC−FDMAは特に、低いPARRが、送信電力効率の観点からモバイル端末に非常に大きな利益をもたらすアップリンク通信において、非常に注目されている。これは現在、3GPPロング・ターム・エボリューション(LTE)又は次世代UTRAにおけるアップリンク多元接続スキームのために動作することが仮定されている。
【0015】
図1を参照すると、1つの実施形態に従う多元接続無線通信システムが示される。アクセス・ポイント100(AP)は、1つが104及び106を含み、別の1つが108及び110を含み、また別の1つが112及び114を含む、複数のアンテナ・グループを含む。図1において、各アンテナ・グループについて2つのアンテナしか示されていないが、それよりも多い又は少ないアンテナが、各アンテナ・グループのために用いられうる。アクセス端末116(AT)は、アンテナ112及び114と通信しており、アンテナ112及び114は、順方向リンク120を介してアクセス端末116へ情報を送信し、逆方向リンク118を介してアクセス端末116からの情報を受信する。アクセス端末122は、アンテナ106及び108と通信しており、アンテナ106及び108は、順方向リンク126を介してアクセス端末122へ情報を送信し、逆方向リンク124を介してアクセス端末122からの情報を受信する。周波数分割二重通信(FDD)システムにおいて、通信リンク118、120、124、及び126は、通信のために異なる周波数を用いることができる。例えば、順方向リンク120は、逆方向リンク118によって用いられる周波数とは異なる周波数を用いることができる。
【0016】
アクセス・ポイントは、端末と通信するために用いられる固定の局であることができ、アクセス・ポイント、ノードB、又はその他いくつかの用語で称されうる。アクセス端末(AT)は、アクセス端末、ユーザ機器(UE)、無線通信デバイス、端末、アクセス端末、又はその他いくつかの用語で称されうる。
【0017】
例えばアクセス端末のようなデバイスの認証によって、認証されたデバイス、ユーザ等のみが特定のネットワークへのアクセスを有することが確実になる。認証は、デバイス認証、サービス認証等を称することができる。1つの例において、特定のセッションのために複数の認証が必要となりうる。例えば、セクタ内のネットワーク・アクセスのためにデバイス及びサーバ両方を認証することが必要とされうる。複数の認証は、例えば、ATが、ラジオ・アクセス・ネットワーク・プロバイダへのアクセス認証と、IPネットワーク・プロバイダへのISP認証とを実行する必要がある場合、必要となりうる。別の例において、デバイス認証及びユーザ認証が実行されうる。本明細書に開示された例は、アクセス端末が、必要な認証全ての実行なしでアクセスを得る可能性を軽減する。
【0018】
1つの例において、複数、例えば2つの認証が必要である場合、第1の鍵が生成され、符号化及び復号のために用いられ、その後第2の鍵が生成され、符号化/復号するために用いられ、その後それらの鍵は結合されうる。別の例において、連続認証が実行されうる。連続認証では、第1の鍵が第1の認証において生成され、その後、第1の認証において生成された鍵を用いて第2の認証が実行されうる。この例において、鍵を結合する必要は無く、そのため、通信システムにおけるより単純な認証の実現がもたらされうる。
【0019】
複数の認証が互いに結合されることができ、最新の認証からの一時セッション鍵(TSK)が後続の認証を保護する。例えば、第1の認証において生成されたTSKが、第2の認証において必要とされうる。別の例において、再認証の場合、単一の認証しかないことが必要となりうる。
【0020】
本明細書に開示された例は、複数の認証サポートを提供する。1つの例において、セキュリティのために認証を結合することが必要とされうる。ここで、アクセス・ノード又はオーセンチケータ(authenticator)は、全ての認証が正しく完了した後にのみ、ATがサービスを取得することを許可しなければならない。別の例において、複数の認証が繰り返される必要が無い、効率的な再認証が提供される。
【0021】
図3は、1つずつ実行する複数の認証の例を示す。図示したように、最初のEAP交換は、EAP要求/アイデンティティ(認証タイプ)のために暗号化されずに行われる。次に、セッションが安全にされる。図3において、第1の認証は、鍵を生成しなければならない。すなわち、ここでは「MSK1」と示されたマスタ・セッション鍵(MSK)を生成することが必要である。次に、鍵交換プロトコル(KEP)が、例えば、図示されたようにMSK1であるMSKからのTSK1のような、一時セッション鍵(TSK)を生成する。第1の認証後に導出されたTSKは、第2のEAP認証を保護する。2つ以上の認証が鍵を生成する場合、最新のMSKが現在のMSKとなる。1つの例において、第2の認証は、第2のMSKを生成することも生成しないこともできる。第2のMSKが第2の認証において生成された場合、KEPは、第2のTSK、例えばTSK2を生成するために第2のMSKを用いる。第2のTSKはその後、後続メッセージ(生成されたデータ)の保護のために用いられうる。第2のMSKが第2の認証において生成されなかった場合、前に生成されたTSK、例えばTSK1がそのまま用いられうる。
【0022】
また図3の例を参照すると、サービス提供ラジオ・ネットワーク・コントローラ(S−RNC)は、KEPに現在のMSKを用いさせる。S−RNCは、ValidPMKExistsフラグを用いて、両方の認証が完了しているか否かを他のアクティブ・セット・メンバに示す。新たなアクティブ・セット・メンバは、ERP(EAP再認証プロトコル)及び/又はKEP(エア・インタフェース鍵交換プロトコル)の実行前にValidPMKExistsフラグが示されるセッション更新を待つ。ValidPMKExistsフラグは、1と0との間でトグルすることができる。ここで、1は、両方のセッションが完了したことを示し、0は、それらがまだ完了していないことを示す。セッションは、複数の認証を備えることができる。例えば、第3の認証が必要となりうる。ここで、第3のMSKが生成され、第3のTSKを導出するためにKEPによって用いられうる。第3のMSKが第3の認証において生成されなかった場合、前のTSK、例えばTSK2、TSKprevious等が用いられうる。
【0023】
新たなアクティブ・セット・メンバは、ERPを実行することができるが、その後、ValidPMKExistsフラグが示されるまでKEPの実行を待つことがある。一例において、EAP方法のうちの1つしか鍵を生成しない場合、第1のEAP方法によって確立されたDSRKを用いて全てを行うために、ERP交換は、別のeBSのために可能とされうる。しかし、ATが必要な認証全てを完了するまで、ATは、ネットワークにアクセスすることができないだろう。従って、それまでKEP交換は遅延されうる。別の例において、複数のEAP方法が鍵を生成する場合、ERPもまた、最も新しく生成されたDSRKを用いて実行する。
【0024】
図4は、複数の認証及びドメイン固有ルート鍵(DSRK)使用の例を示す。DSRKは、再認証のために用いられうる。図示したように、最新のEAP交換からのDSRKが、再認証のために用いられうる。AAA−Lは、複数のDSRKを相関付けることができず、両方を格納する。ATは、正しいDSRKを用いることが期待される。
【0025】
別の局面において、誤作動しているATが、S−RNCを用いて第1の認証を完了することがある。これはまた、ANをアクティブ・セットに追加しうる。ここで、誤動作しているATは、S−RNCからのMSK1’を用いてセッションを取得する、又は、DSRK1を用いてERPを行うことがある。AAA−Lは、ATが複数の認証を完了したかを知らない。
【0026】
緩和は、エア・インタフェース・レベルにおいて、又はバックエンド・ネットワーク・サーバを介することができる。エア・インタフェース・レベルにおいて、S−RNCは、ATが、期待された数の認証を完了することを期待する。S−RNCは、新たなANにセッションを与えることができるが、このセッションには、PMKが未だ確立されていないことを示すであろうValidPMKExistsフラグが存在する。EAPの完了前、セッション取得はセキュリティ・クッキーを含むことができないので、S−RNCは、任意のANにセッションを与えることができる。ここで、S−RNCは、セッションが(1つ又は複数の)EAPの完了後に更新されたことを確かめるであろう。新たなANは、(オプションである)ERP及びKEPを実行する前にトグルされたこのフラグ値を用いる別のセッション更新を待つであろう。更に、新たなANは、TSKが確立する前、データ転送を許可しないであろう。
【0027】
バックエンド・ネットワーク・サーバを介して、S−RNCは、ATが期待された数の認証を完了することを期待する。ATが期待された数より少ない数の認証を完了した場合、S−RNCは、セッションを閉じるか、又は、DSRKを保持しているAAA−Lへ通知を送信する。ここで、AAA−Lは、DSRKからrMSKを導出したであろう任意のANへ通知を送信する。ANはその後、ATとの無許可のセッションを閉じる。
【0028】
再び図1を参照すると、アンテナの各グループ及び/又はそれらが通信するように設計されたエリアは、しばしば、アクセス・ポイントのセクタと称される。実施形態において、アンテナ・グループの各々は、アクセス・ポイント100によってカバーされるエリアのセクタ内のアクセス端末へ通信するように設計される。
【0029】
図2は、MIMOシステム200における、(アクセス・ポイントとしても知られる)送信機システム210及び(アクセス端末としても知られる)受信機システム250の実施形態のブロック図である。送信機システム210において、多数のデータ・ストリームのためのトラヒック・データが、データ・ソース212から、送信(TX)データ・プロセッサ214へ提供される。
【0030】
実施形態において、各データ・ストリームは、それぞれの送信アンテナを介して送信される。TXデータ・プロセッサ214は、各データ・ストリームのために選択された特定の符号化スキームに基づいて、そのデータ・ストリームのためのトラヒック・データをインタリーブし、符号化データを提供する。
【0031】
各データ・ストリームのための符号化データは、OFDM技術を用いてパイロット・データと多重化されうる。パイロット・データは一般に、周知の方式で処理される周知のデータ・パターンであり、チャネル応答を推定するために受信機システムにおいて用いられうる。各データ・ストリームのための多重化されたパイロットと符号化データとは、その後、変調記号を提供するために、そのデータ・ストリームのために選択された特定の変調スキーム(例えば、BPSK、QSPK、M−PSK、又はM−QAM)に基づいて変調(すなわち、記号マップ)される。各データ・ストリームのためのデータ・レート、符号化、及び変調は、プロセッサ230によって実行される命令によって決定されうる。
【0032】
全てのデータ・ストリームのための変調記号が、その後、TX MIMOプロセッサ220へ提供される。TX MIMOプロセッサ220は、(例えばOFDMのための)変調記号を更に処理することができる。TX MIMOプロセッサ220はその後、NT個の変調記号ストリームをNT個の送信機(TMTR)222a乃至222tに提供する。ある実施形態において、MIMOプロセッサ220は、データ・ストリームの記号及び記号が送信されるアンテナにビームフォーミング重み付けを適用する。
【0033】
各送信機222は、1つ又は複数のアナログ信号を提供するために、それぞれの記号ストリームを受信及び処理し、MIMOチャネルを介した送信のために適切な変調信号を提供するためにアナログ信号を更に調整(例えば、増幅、フィルタ、及びアップコンバート)する。送信機222a乃至222tからのNT個の変調信号がその後、NT個のアンテナ224a乃至224tからそれぞれ送信される。
【0034】
受信機システム250において、送信された変調信号が、NR個のアンテナ252a乃至252rによって受信され、各アンテナ252からの受信信号は、それぞれの受信機(RCVR)254a乃至254rに提供される。各受信機254は、それぞれの受信信号を調整(例えば、フィルタ、増幅、及びダウンコンバート)し、調整した信号をデジタル化してサンプルを提供し、対応する「受信」記号ストリームを提供するためにサンプルを更に処理する。
【0035】
RXデータ・プロセッサ260はその後、特定の受信機処理技術に基づいてNR個の受信機254からのNR個の受信記号ストリームを受信及び処理し、NT個の「検出済」記号ストリームを提供する。RXデータ・プロセッサ260はその後、各検出された記号ストリームを復調、デインタリーブ、及び復号し、データ・ストリームのためのトラヒック・データを復元する。RXデータ・プロセッサ260による処理は、送信機システム210のTX MIMOプロセッサ220及びTXデータ・プロセッサ214によって実行される処理と相補的である。
【0036】
プロセッサ270は、どの前符号化マトリクスを用いるかを定期的に決定する(以下で説明)。プロセッサ270は、マトリクス・インデクス部分及びランク値部分を備える逆方向リンク・メッセージを定式化する。
【0037】
逆方向リンク・メッセージは、通信リンク及び/又は受信データ・ストリームに関する様々なタイプの情報を備えることができる。逆方向リンク・メッセージはその後、データ・ソース236からの複数のデータ・ストリームのためのトラヒック・データを受け取るTXデータ・プロセッサ238によって処理され、変調器280によって変調され、送信機254a乃至254rによって調整され、送信機システム210へ送信される。
【0038】
送信機システム210において、受信機システム250からの変調信号は、アンテナ224によって受信され、受信機222によって調整され、復調器240によって復調され、RXデータ・プロセッサ242によって処理され、受信機システム250によって送信された逆方向リンク・メッセージが抽出される。プロセッサ230はその後、ビームフォーミング重み付けを決定するためにどの前符号化マトリクスを用いるかを決定し、その後、抽出されたメッセージを処理する。
【0039】
開示された処理におけるステップの特定の順序又は序列は、典型的なアプローチの一例であることが理解される。設計優先に基づいて、処理におけるステップの特定の順序又は序列は、本開示の範囲内にあるままで並べ替えられうることが理解される。添付の方法請求項は、様々なステップの要素をサンプルの順序で示し、示された特定の順序又は序列に限定することは意味されない。
【0040】
当業者は、情報及び信号が、様々な異なる技術及び技法のうちの任意の1つを用いて表されうることを理解するであろう。例えば、上記記載を通して参照されうるデータ、命令、コマンド、情報、信号、ビット、記号、及びチップは、電圧、電流、電磁波、磁界あるいは磁気粒子、光場あるいは光学粒子、又はそれら任意の組合せによって表されうる。
【0041】
当業者は更に、本明細書に開示された実施形態に関連して記載された様々な論理的ブロック、モジュール、回路、及びアルゴリズム・ステップが、電子的ハードウェア、コンピュータ・ソフトウェア、又はそれら両方の組合せとして実現されうることを理解するであろう。このハードウェアとソフトウェアとの相互置換性を明確に示すために、様々な例示的構成要素、ブロック、モジュール、回路、及びステップが、それらの機能の観点から一般的に説明された。そのような機能がハードウェアとして実現されるかソフトウェアとして実現されるかは、特定のアプリケーション及びシステム全体に課された設計制約による。当業者は、特定のアプリケーションのために様々な方法で上述された機能を実現することができるが、このような実現の決定は、本開示の範囲から逸脱させるものとして解釈されてはならない。
【0042】
本明細書に開示された実施形態に関連して記載された様々な例示的ブロック、モジュール、及び回路は、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールド・プログラマブル・ゲート・アレイ(FPGA)あるいはその他のプログラマブル論理デバイス、ディスクリート・ゲートあるいはトランジスタ・ロジック、ディスクリート・ハードウェア部品、又は上述した機能を実行するために設計されたそれらの任意の組合せを用いて実現又は実行されうる。汎用プロセッサとしてマイクロプロセッサを用いることが可能であるが、その代わりに、プロセッサは、任意の従来技術によるプロセッサ、コントローラ、マイクロコントローラ、又は状態機器であることもできる。プロセッサは、例えばDSPとマイクロプロセッサとの組合せ、複数のマイクロプロセッサ、DSPコアに接続された1つ又は複数のマイクロプロセッサ、又はそのような任意の構成である計算デバイスの組合せとして実現されることもできる。
【0043】
1つ又は複数の典型的な実施形態において、上述された機能は、ハードウェア、ソフトウェア、ファームウェア、又はそれらの任意の組合せによって実現されうる。ソフトウェアによる実現の場合、機能は、コンピュータ読取可能媒体上のコード又は1つ又は複数の命令として送信されるか、あるいは格納されうる。コンピュータ読取可能媒体は、コンピュータ・プログラムを1つの場所から別の場所へ転送することを容易にする任意の媒体を含む通信媒体及びコンピュータ記憶媒体の両方を含む。記憶媒体は、コンピュータによってアクセスすることができる任意の利用可能な媒体であることができる。限定ではなく一例として、そのようなコンピュータ読取可能媒体は、RAM、ROM、EEPROM、CD−ROM、又はその他の光学ディスク記憶媒体、磁気ディスク記憶媒体あるいはその他の磁気記憶デバイス、又は、所望のプログラム・コードを命令又はデータ構成の形式で搬送又は格納するために用いられることができ、コンピュータによってアクセスすることができるその他任意の媒体を備えることができる。例えば、ソフトウェアが、ウェブサイト、サーバ、あるいはその他の遠隔ソースから、同軸ケーブル、光ファイバーケーブル、ツイスト・ペア、デジタル加入者線(DSL)、又は例えば赤外線、ラジオ、及びマイクロウェーブのような無線技術を用いて送信された場合、同軸ケーブル、光ファイバーケーブル、ツイスト・ペア、デジタル加入者線(DSL)、又は例えば赤外線、ラジオ、及びマイクロウェーブのような無線技術は、媒体の定義に含まれる。本明細書で用いられるように、ディスク(disk)及びディスク(disc)は、コンパクト・ディスク(disc)(CD)、レーザ・ディスク(disc)、光学ディスク(disc)、デジタル・バーサタイル・ディスク(disc)(DVD)、フロッピー(登録商標)・ディスク(disk)、及びブルーレイ・ディスク(disc)を含む。ここで、ディスク(disk)は通常、データを磁気的に再生するが、ディスク(disc)は、レーザを用いてデータを光学的に再生する。上記の組合せもまた、コンピュータ読取可能媒体の範囲内に含まれなければならない。
【0044】
本明細書に開示された実施形態に関連して記載された方法又はアルゴリズムのステップは、ハードウェアによって直接、プロセッサによって実行されるソフトウェア・モジュールによって、又はそれら2つの組合せによって具現化されうる。ソフトウェア・モジュールは、RAMメモリ、フラッシュ・メモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハード・ディスク、リムーバブル・ディスク、CD−ROM、又は当該技術において知られるその他任意の形式の記憶媒体に収納されうる。典型的な記憶媒体は、プロセッサがそこから情報を読み取り、またプロセッサがそこへ情報を書き込むことができるように、プロセッサに結合される。あるいは、記憶媒体はプロセッサに統合されうる。プロセッサと記憶媒体とは、ASIC内に存在することができる。ASICは、ユーザ端末内に存在することができる。あるいはプロセッサと記憶媒体とは、ユーザ端末内のディスクリート部品として存在することもできる。
【0045】
開示された実施形態における上記記載は、当業者をして、本開示の製造又は利用を可能とするために提供される。これらの実施形態への様々な変形例もまた、当業者には明らかであって、本明細書で定義された一般原理は、本開示の精神又は範囲から逸脱することなく他の実施形態にも適用されうる。従って、本開示は、本明細書に示した実施形態に限定することは意図されておらず、本明細書に開示された原理及び新規特徴と整合が取れた最も広い範囲と一致するように意図されている。
【優先権主張】
【0001】
本特許出願は、本願の譲受人に譲渡され、参照によって本願に明確に組みこまれた、2007年5月7日出願の“METHOD AND APPARATUS FOR EFFICIENT SUPPORT FOR MULTIPLE AUTHENTICATIONS”と題された米国特許仮出願第60/916,530号に対する優先権を主張する。
【技術分野】
【0002】
本発明は、一般に無線通信に関し、特に、複数の認証に関する。
【背景技術】
【0003】
無線通信システムは、例えば音声、データ等のような様々なタイプの通信コンテンツを提供するために広く開発されている。これらのシステムは、利用可能なシステム・リソース(例えば、帯域幅及び送信電力)を共有することによって多くのユーザとの通信をサポートすることができる多元接続システムであることができる。そのような多元接続システムの例は、符号分割多元接続(CDMA)システム、時分割多元接続(TDMA)システム、周波数分割多元接続(FDMA)システム、3GPP LTEシステム、及び直交周波数分割多元接続(OFDMA)システムを含む。
【0004】
一般に、無線多元接続通信システムは、複数の無線端末のための通信を同時にサポートすることができる。各端末は、順方向リンク及び逆方向リンクでの送信を介して1つ又は複数の基地局と通信する。順方向リンク(すなわち、ダウンリンク)は、基地局から端末への通信リンクを称し、逆方向リンク(すなわち、アップリンク)は、端末から基地局への通信リンクを称する。この通信リンクは、単一入力単一出力システム、複数入力単一出力システム、又は複数入力複数出力(MIMO)システムを介して確立されうる。
【発明の概要】
【0005】
本発明の局面は、無線通信システムにおける複数のEAPベースの認証のための方法に存在することができる。この方法において、第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)が生成される。第1の一時セッション鍵(TSK)が第1のマスタ・セッション鍵(MSK)から生成される。第2のタイプのアクセスのために、第1の一時セッション鍵(TSK)を用いて第2のEAPベースの認証が実行される。第1のタイプのアクセス及び第2のタイプのアクセスは、第1及び第2のEAPベースの認証が正しく完了した後、提供される。
【0006】
本発明の更に詳細な局面において、この方法は更に、第2のEAPベースの認証において第2のマスタ・セッション鍵(MSK)を生成することを備えることができる。また、この方法は更に、第2のマスタ・セッション鍵(MSK)から第2の一時セッション鍵(TSK)を生成することを備えることもできる。第2の一時セッション鍵(TSK)は、第3の認証において用いられうる。あるいは、この方法は更に、第2のマスタ・セッション鍵(MSK)が第2のEAPベースの認証において生成されなかった場合、第3のEAPベースの認証のために第1の一時セッション鍵(TSK)を用いることを備えることができる。第1及び第2のEAPベースの認証は、単一のセッションの一部であることができる。
【0007】
本発明の他の更に詳細な局面において、この方法は更に、第1及び第2のEAPベースの認証が正しく完了したかを示すインジケータ・メッセージを生成することを備えることができる。インジケータ・メッセージは、第1及び第2のEAPベースの認証が正しく完了したことを示す1の値と、第1及び第2のEAPベースの認証が完了しなかったことを示す0の値とを有することができる。このインジケータ・メッセージは、ValidPMKExistsフラグであることができる。
【0008】
更に、第1のEAPベースの認証は、第1の認証タイプを含むEAP要求/アイデンティティ・メッセージを含むことができ、第2のEAPベースの認証は、第2の認証タイプを含むEAP要求/アイデンティティ・メッセージを含むことができる。この方法は更に、第1のEAPベースの認証において第1のドメイン固有ルート鍵(DSRK)を生成することと、第2のEAPベースの認証において第2のドメイン固有ルート鍵(DSRK)を生成することと、第1のDSRK及び第2のDSRKのうちの少なくとも1つを用いて、第1のタイプのアクセス又は第2のタイプのアクセスのうちの少なくとも1つのEAPベースの再認証を実行することとを備えることができる。第1のタイプのアクセスはアクセス端末(AT)に関連し、第2のタイプのアクセスはユーザに関連することができる。あるいは、第1のタイプのアクセスは特定のデバイスに関連し、第2のタイプのアクセスは特定のサーバに関連する。また、第1のタイプのアクセスは、ラジオ・ネットワークへのアクセスを備えることができ、第2のタイプのアクセスは、インターネット・サービス・プロバイダ(ISP)を介したアクセスを備えることができる。
【0009】
本発明の別の局面は、無線通信システムにおいて動作可能な複数のEAPベースの認証のための装置に存在することができる。この装置は、第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)を生成する手段と、第1のマスタ・セッション鍵(MSK)から第1の一時セッション鍵(TSK)を生成する手段と、第2のタイプのアクセスのために、第1の一時セッション鍵(TSK)を用いて第2のEAPベースの認証を実行する手段と、第1及び第2のEAPベースの認証が正しく完了した後、第1のタイプのアクセス及び第2のタイプのアクセスを提供する手段とを備える。
【0010】
本発明のまた別の局面は、コンピュータに、第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)を生成させるコードと、コンピュータに、第1のマスタ・セッション鍵(MSK)から第1の一時セッション鍵(TSK)を生成させるコードと、コンピュータに、第2のタイプのアクセスのために、第1の一時セッション鍵(TSK)を用いて第2のEAPベースの認証を実行させるコードと、コンピュータに、第1及び第2のEAPベースの認証が正しく完了した後、第1のタイプのアクセス及び第2のタイプのアクセスを提供させるコードとを備えるコンピュータ読取可能媒体を備えるコンピュータ・プログラム製品に存在することができる。
【0011】
本発明のまた別の局面は、無線通信システムにおいて動作可能な複数のEAPベースの認証のための装置に存在することができる。この装置は、第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)を生成し、第1のマスタ・セッション鍵(MSK)から第1の一時セッション鍵(TSK)を生成し、第2のタイプのアクセスのために、第1の一時セッション鍵(TSK)を用いて第2のEAPベースの認証を実行し、第1及び第2のEAPベースの認証が正しく完了した後、第1のタイプのアクセス及び第2のタイプのアクセスを提供するように構成されたプロセッサと、このプロセッサに接続され、データを格納するメモリとを備える。
【図面の簡単な説明】
【0012】
本開示の特徴、性質、及び利点は、同様の参照符号が明細書を通して対応して識別する図面に関連して説明される場合、以下に記載される詳細な説明からより明らかになるであろう。
【図1】図1は、1つの実施形態に従う多元接続無線通信システムを示す。
【図2】図2は、通信システムのブロック図である。
【図3】図3は、複数の認証の例を示す。
【図4】図4は、複数の認証及びDSRKの使用の例を示す。
【発明を実施する形態】
【0013】
本明細書で説明される技術は、例えば符号分割多元接続(CDMA)ネットワーク、時分割多元接続(TDMA)ネットワーク、周波数分割多元接続(FDMA)ネットワーク、直交FDMA(OFDMA)ネットワーク、単一キャリアFDMA(SC−FDMA)ネットワーク等のような様々な無線通信ネットワークのために用いられうる。「ネットワーク」及び「システム」という用語はしばしば、置換可能に用いられる。CDMAネットワークは、例えばユニバーサル地上無線接続(UTRA)、cdma2000等のような無線技術を実施することができる。UTRAは、広帯域CDMA(W−CDMA)及び低チップ・レート(LCR)を含む。cdma2000は、IS−2000規格、IS−95規格、IS−856規格をカバーする。TDMAネットワークは、例えばグローバル・システム・フォー・モバイル・コミュニケーション(GSM)のような無線技術を実施することができる。OFDMAネットワークは、例えば次世代UTRA(E−UTRA)、IEEE 802.11、IEEE 802.16、IEEE 802.20、Flash−OFDM等のような無線技術を実施することができる。UTRA、E−UTRA、及びGSMは、ユニバーサル・モバイル・テレコミュニケーション・システム(UMTS)の一部である。ロング・ターム・エボリューション(LTE)は、近々公開される、E−UTRAを用いたUMTSである。UTRA、E−UTRA、GSM、UMTS、及びLTEは、“3rd Generation Partnership Project”(3GPP)と名づけられた組織からの文書で説明される。cdma2000は、“3rd Generation Partnership Project 2”(3GPP2)と名づけられた組織からの文書で説明される。これら様々な無線技術及び規格は、当該技術において周知である。明確化のために、本技術のある局面は、以下で、LTEに関して説明され、LTE用語が、以下の説明の多くにおいて用いられる。
【0014】
単一キャリア周波数分割多元接続(SC−FDMA)は、単一キャリア変調及び周波数領域等値化を用いる技術である。SC−FDMAは、OFDMAシステムと同様の性能、及びOFDMAシステムと本質的に同一の全体的複雑さを有する。SC−FDMA信号は、その固有の単一キャリア構成により、低いピーク対平均電力比(PARR)を有する。SC−FDMAは特に、低いPARRが、送信電力効率の観点からモバイル端末に非常に大きな利益をもたらすアップリンク通信において、非常に注目されている。これは現在、3GPPロング・ターム・エボリューション(LTE)又は次世代UTRAにおけるアップリンク多元接続スキームのために動作することが仮定されている。
【0015】
図1を参照すると、1つの実施形態に従う多元接続無線通信システムが示される。アクセス・ポイント100(AP)は、1つが104及び106を含み、別の1つが108及び110を含み、また別の1つが112及び114を含む、複数のアンテナ・グループを含む。図1において、各アンテナ・グループについて2つのアンテナしか示されていないが、それよりも多い又は少ないアンテナが、各アンテナ・グループのために用いられうる。アクセス端末116(AT)は、アンテナ112及び114と通信しており、アンテナ112及び114は、順方向リンク120を介してアクセス端末116へ情報を送信し、逆方向リンク118を介してアクセス端末116からの情報を受信する。アクセス端末122は、アンテナ106及び108と通信しており、アンテナ106及び108は、順方向リンク126を介してアクセス端末122へ情報を送信し、逆方向リンク124を介してアクセス端末122からの情報を受信する。周波数分割二重通信(FDD)システムにおいて、通信リンク118、120、124、及び126は、通信のために異なる周波数を用いることができる。例えば、順方向リンク120は、逆方向リンク118によって用いられる周波数とは異なる周波数を用いることができる。
【0016】
アクセス・ポイントは、端末と通信するために用いられる固定の局であることができ、アクセス・ポイント、ノードB、又はその他いくつかの用語で称されうる。アクセス端末(AT)は、アクセス端末、ユーザ機器(UE)、無線通信デバイス、端末、アクセス端末、又はその他いくつかの用語で称されうる。
【0017】
例えばアクセス端末のようなデバイスの認証によって、認証されたデバイス、ユーザ等のみが特定のネットワークへのアクセスを有することが確実になる。認証は、デバイス認証、サービス認証等を称することができる。1つの例において、特定のセッションのために複数の認証が必要となりうる。例えば、セクタ内のネットワーク・アクセスのためにデバイス及びサーバ両方を認証することが必要とされうる。複数の認証は、例えば、ATが、ラジオ・アクセス・ネットワーク・プロバイダへのアクセス認証と、IPネットワーク・プロバイダへのISP認証とを実行する必要がある場合、必要となりうる。別の例において、デバイス認証及びユーザ認証が実行されうる。本明細書に開示された例は、アクセス端末が、必要な認証全ての実行なしでアクセスを得る可能性を軽減する。
【0018】
1つの例において、複数、例えば2つの認証が必要である場合、第1の鍵が生成され、符号化及び復号のために用いられ、その後第2の鍵が生成され、符号化/復号するために用いられ、その後それらの鍵は結合されうる。別の例において、連続認証が実行されうる。連続認証では、第1の鍵が第1の認証において生成され、その後、第1の認証において生成された鍵を用いて第2の認証が実行されうる。この例において、鍵を結合する必要は無く、そのため、通信システムにおけるより単純な認証の実現がもたらされうる。
【0019】
複数の認証が互いに結合されることができ、最新の認証からの一時セッション鍵(TSK)が後続の認証を保護する。例えば、第1の認証において生成されたTSKが、第2の認証において必要とされうる。別の例において、再認証の場合、単一の認証しかないことが必要となりうる。
【0020】
本明細書に開示された例は、複数の認証サポートを提供する。1つの例において、セキュリティのために認証を結合することが必要とされうる。ここで、アクセス・ノード又はオーセンチケータ(authenticator)は、全ての認証が正しく完了した後にのみ、ATがサービスを取得することを許可しなければならない。別の例において、複数の認証が繰り返される必要が無い、効率的な再認証が提供される。
【0021】
図3は、1つずつ実行する複数の認証の例を示す。図示したように、最初のEAP交換は、EAP要求/アイデンティティ(認証タイプ)のために暗号化されずに行われる。次に、セッションが安全にされる。図3において、第1の認証は、鍵を生成しなければならない。すなわち、ここでは「MSK1」と示されたマスタ・セッション鍵(MSK)を生成することが必要である。次に、鍵交換プロトコル(KEP)が、例えば、図示されたようにMSK1であるMSKからのTSK1のような、一時セッション鍵(TSK)を生成する。第1の認証後に導出されたTSKは、第2のEAP認証を保護する。2つ以上の認証が鍵を生成する場合、最新のMSKが現在のMSKとなる。1つの例において、第2の認証は、第2のMSKを生成することも生成しないこともできる。第2のMSKが第2の認証において生成された場合、KEPは、第2のTSK、例えばTSK2を生成するために第2のMSKを用いる。第2のTSKはその後、後続メッセージ(生成されたデータ)の保護のために用いられうる。第2のMSKが第2の認証において生成されなかった場合、前に生成されたTSK、例えばTSK1がそのまま用いられうる。
【0022】
また図3の例を参照すると、サービス提供ラジオ・ネットワーク・コントローラ(S−RNC)は、KEPに現在のMSKを用いさせる。S−RNCは、ValidPMKExistsフラグを用いて、両方の認証が完了しているか否かを他のアクティブ・セット・メンバに示す。新たなアクティブ・セット・メンバは、ERP(EAP再認証プロトコル)及び/又はKEP(エア・インタフェース鍵交換プロトコル)の実行前にValidPMKExistsフラグが示されるセッション更新を待つ。ValidPMKExistsフラグは、1と0との間でトグルすることができる。ここで、1は、両方のセッションが完了したことを示し、0は、それらがまだ完了していないことを示す。セッションは、複数の認証を備えることができる。例えば、第3の認証が必要となりうる。ここで、第3のMSKが生成され、第3のTSKを導出するためにKEPによって用いられうる。第3のMSKが第3の認証において生成されなかった場合、前のTSK、例えばTSK2、TSKprevious等が用いられうる。
【0023】
新たなアクティブ・セット・メンバは、ERPを実行することができるが、その後、ValidPMKExistsフラグが示されるまでKEPの実行を待つことがある。一例において、EAP方法のうちの1つしか鍵を生成しない場合、第1のEAP方法によって確立されたDSRKを用いて全てを行うために、ERP交換は、別のeBSのために可能とされうる。しかし、ATが必要な認証全てを完了するまで、ATは、ネットワークにアクセスすることができないだろう。従って、それまでKEP交換は遅延されうる。別の例において、複数のEAP方法が鍵を生成する場合、ERPもまた、最も新しく生成されたDSRKを用いて実行する。
【0024】
図4は、複数の認証及びドメイン固有ルート鍵(DSRK)使用の例を示す。DSRKは、再認証のために用いられうる。図示したように、最新のEAP交換からのDSRKが、再認証のために用いられうる。AAA−Lは、複数のDSRKを相関付けることができず、両方を格納する。ATは、正しいDSRKを用いることが期待される。
【0025】
別の局面において、誤作動しているATが、S−RNCを用いて第1の認証を完了することがある。これはまた、ANをアクティブ・セットに追加しうる。ここで、誤動作しているATは、S−RNCからのMSK1’を用いてセッションを取得する、又は、DSRK1を用いてERPを行うことがある。AAA−Lは、ATが複数の認証を完了したかを知らない。
【0026】
緩和は、エア・インタフェース・レベルにおいて、又はバックエンド・ネットワーク・サーバを介することができる。エア・インタフェース・レベルにおいて、S−RNCは、ATが、期待された数の認証を完了することを期待する。S−RNCは、新たなANにセッションを与えることができるが、このセッションには、PMKが未だ確立されていないことを示すであろうValidPMKExistsフラグが存在する。EAPの完了前、セッション取得はセキュリティ・クッキーを含むことができないので、S−RNCは、任意のANにセッションを与えることができる。ここで、S−RNCは、セッションが(1つ又は複数の)EAPの完了後に更新されたことを確かめるであろう。新たなANは、(オプションである)ERP及びKEPを実行する前にトグルされたこのフラグ値を用いる別のセッション更新を待つであろう。更に、新たなANは、TSKが確立する前、データ転送を許可しないであろう。
【0027】
バックエンド・ネットワーク・サーバを介して、S−RNCは、ATが期待された数の認証を完了することを期待する。ATが期待された数より少ない数の認証を完了した場合、S−RNCは、セッションを閉じるか、又は、DSRKを保持しているAAA−Lへ通知を送信する。ここで、AAA−Lは、DSRKからrMSKを導出したであろう任意のANへ通知を送信する。ANはその後、ATとの無許可のセッションを閉じる。
【0028】
再び図1を参照すると、アンテナの各グループ及び/又はそれらが通信するように設計されたエリアは、しばしば、アクセス・ポイントのセクタと称される。実施形態において、アンテナ・グループの各々は、アクセス・ポイント100によってカバーされるエリアのセクタ内のアクセス端末へ通信するように設計される。
【0029】
図2は、MIMOシステム200における、(アクセス・ポイントとしても知られる)送信機システム210及び(アクセス端末としても知られる)受信機システム250の実施形態のブロック図である。送信機システム210において、多数のデータ・ストリームのためのトラヒック・データが、データ・ソース212から、送信(TX)データ・プロセッサ214へ提供される。
【0030】
実施形態において、各データ・ストリームは、それぞれの送信アンテナを介して送信される。TXデータ・プロセッサ214は、各データ・ストリームのために選択された特定の符号化スキームに基づいて、そのデータ・ストリームのためのトラヒック・データをインタリーブし、符号化データを提供する。
【0031】
各データ・ストリームのための符号化データは、OFDM技術を用いてパイロット・データと多重化されうる。パイロット・データは一般に、周知の方式で処理される周知のデータ・パターンであり、チャネル応答を推定するために受信機システムにおいて用いられうる。各データ・ストリームのための多重化されたパイロットと符号化データとは、その後、変調記号を提供するために、そのデータ・ストリームのために選択された特定の変調スキーム(例えば、BPSK、QSPK、M−PSK、又はM−QAM)に基づいて変調(すなわち、記号マップ)される。各データ・ストリームのためのデータ・レート、符号化、及び変調は、プロセッサ230によって実行される命令によって決定されうる。
【0032】
全てのデータ・ストリームのための変調記号が、その後、TX MIMOプロセッサ220へ提供される。TX MIMOプロセッサ220は、(例えばOFDMのための)変調記号を更に処理することができる。TX MIMOプロセッサ220はその後、NT個の変調記号ストリームをNT個の送信機(TMTR)222a乃至222tに提供する。ある実施形態において、MIMOプロセッサ220は、データ・ストリームの記号及び記号が送信されるアンテナにビームフォーミング重み付けを適用する。
【0033】
各送信機222は、1つ又は複数のアナログ信号を提供するために、それぞれの記号ストリームを受信及び処理し、MIMOチャネルを介した送信のために適切な変調信号を提供するためにアナログ信号を更に調整(例えば、増幅、フィルタ、及びアップコンバート)する。送信機222a乃至222tからのNT個の変調信号がその後、NT個のアンテナ224a乃至224tからそれぞれ送信される。
【0034】
受信機システム250において、送信された変調信号が、NR個のアンテナ252a乃至252rによって受信され、各アンテナ252からの受信信号は、それぞれの受信機(RCVR)254a乃至254rに提供される。各受信機254は、それぞれの受信信号を調整(例えば、フィルタ、増幅、及びダウンコンバート)し、調整した信号をデジタル化してサンプルを提供し、対応する「受信」記号ストリームを提供するためにサンプルを更に処理する。
【0035】
RXデータ・プロセッサ260はその後、特定の受信機処理技術に基づいてNR個の受信機254からのNR個の受信記号ストリームを受信及び処理し、NT個の「検出済」記号ストリームを提供する。RXデータ・プロセッサ260はその後、各検出された記号ストリームを復調、デインタリーブ、及び復号し、データ・ストリームのためのトラヒック・データを復元する。RXデータ・プロセッサ260による処理は、送信機システム210のTX MIMOプロセッサ220及びTXデータ・プロセッサ214によって実行される処理と相補的である。
【0036】
プロセッサ270は、どの前符号化マトリクスを用いるかを定期的に決定する(以下で説明)。プロセッサ270は、マトリクス・インデクス部分及びランク値部分を備える逆方向リンク・メッセージを定式化する。
【0037】
逆方向リンク・メッセージは、通信リンク及び/又は受信データ・ストリームに関する様々なタイプの情報を備えることができる。逆方向リンク・メッセージはその後、データ・ソース236からの複数のデータ・ストリームのためのトラヒック・データを受け取るTXデータ・プロセッサ238によって処理され、変調器280によって変調され、送信機254a乃至254rによって調整され、送信機システム210へ送信される。
【0038】
送信機システム210において、受信機システム250からの変調信号は、アンテナ224によって受信され、受信機222によって調整され、復調器240によって復調され、RXデータ・プロセッサ242によって処理され、受信機システム250によって送信された逆方向リンク・メッセージが抽出される。プロセッサ230はその後、ビームフォーミング重み付けを決定するためにどの前符号化マトリクスを用いるかを決定し、その後、抽出されたメッセージを処理する。
【0039】
開示された処理におけるステップの特定の順序又は序列は、典型的なアプローチの一例であることが理解される。設計優先に基づいて、処理におけるステップの特定の順序又は序列は、本開示の範囲内にあるままで並べ替えられうることが理解される。添付の方法請求項は、様々なステップの要素をサンプルの順序で示し、示された特定の順序又は序列に限定することは意味されない。
【0040】
当業者は、情報及び信号が、様々な異なる技術及び技法のうちの任意の1つを用いて表されうることを理解するであろう。例えば、上記記載を通して参照されうるデータ、命令、コマンド、情報、信号、ビット、記号、及びチップは、電圧、電流、電磁波、磁界あるいは磁気粒子、光場あるいは光学粒子、又はそれら任意の組合せによって表されうる。
【0041】
当業者は更に、本明細書に開示された実施形態に関連して記載された様々な論理的ブロック、モジュール、回路、及びアルゴリズム・ステップが、電子的ハードウェア、コンピュータ・ソフトウェア、又はそれら両方の組合せとして実現されうることを理解するであろう。このハードウェアとソフトウェアとの相互置換性を明確に示すために、様々な例示的構成要素、ブロック、モジュール、回路、及びステップが、それらの機能の観点から一般的に説明された。そのような機能がハードウェアとして実現されるかソフトウェアとして実現されるかは、特定のアプリケーション及びシステム全体に課された設計制約による。当業者は、特定のアプリケーションのために様々な方法で上述された機能を実現することができるが、このような実現の決定は、本開示の範囲から逸脱させるものとして解釈されてはならない。
【0042】
本明細書に開示された実施形態に関連して記載された様々な例示的ブロック、モジュール、及び回路は、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールド・プログラマブル・ゲート・アレイ(FPGA)あるいはその他のプログラマブル論理デバイス、ディスクリート・ゲートあるいはトランジスタ・ロジック、ディスクリート・ハードウェア部品、又は上述した機能を実行するために設計されたそれらの任意の組合せを用いて実現又は実行されうる。汎用プロセッサとしてマイクロプロセッサを用いることが可能であるが、その代わりに、プロセッサは、任意の従来技術によるプロセッサ、コントローラ、マイクロコントローラ、又は状態機器であることもできる。プロセッサは、例えばDSPとマイクロプロセッサとの組合せ、複数のマイクロプロセッサ、DSPコアに接続された1つ又は複数のマイクロプロセッサ、又はそのような任意の構成である計算デバイスの組合せとして実現されることもできる。
【0043】
1つ又は複数の典型的な実施形態において、上述された機能は、ハードウェア、ソフトウェア、ファームウェア、又はそれらの任意の組合せによって実現されうる。ソフトウェアによる実現の場合、機能は、コンピュータ読取可能媒体上のコード又は1つ又は複数の命令として送信されるか、あるいは格納されうる。コンピュータ読取可能媒体は、コンピュータ・プログラムを1つの場所から別の場所へ転送することを容易にする任意の媒体を含む通信媒体及びコンピュータ記憶媒体の両方を含む。記憶媒体は、コンピュータによってアクセスすることができる任意の利用可能な媒体であることができる。限定ではなく一例として、そのようなコンピュータ読取可能媒体は、RAM、ROM、EEPROM、CD−ROM、又はその他の光学ディスク記憶媒体、磁気ディスク記憶媒体あるいはその他の磁気記憶デバイス、又は、所望のプログラム・コードを命令又はデータ構成の形式で搬送又は格納するために用いられることができ、コンピュータによってアクセスすることができるその他任意の媒体を備えることができる。例えば、ソフトウェアが、ウェブサイト、サーバ、あるいはその他の遠隔ソースから、同軸ケーブル、光ファイバーケーブル、ツイスト・ペア、デジタル加入者線(DSL)、又は例えば赤外線、ラジオ、及びマイクロウェーブのような無線技術を用いて送信された場合、同軸ケーブル、光ファイバーケーブル、ツイスト・ペア、デジタル加入者線(DSL)、又は例えば赤外線、ラジオ、及びマイクロウェーブのような無線技術は、媒体の定義に含まれる。本明細書で用いられるように、ディスク(disk)及びディスク(disc)は、コンパクト・ディスク(disc)(CD)、レーザ・ディスク(disc)、光学ディスク(disc)、デジタル・バーサタイル・ディスク(disc)(DVD)、フロッピー(登録商標)・ディスク(disk)、及びブルーレイ・ディスク(disc)を含む。ここで、ディスク(disk)は通常、データを磁気的に再生するが、ディスク(disc)は、レーザを用いてデータを光学的に再生する。上記の組合せもまた、コンピュータ読取可能媒体の範囲内に含まれなければならない。
【0044】
本明細書に開示された実施形態に関連して記載された方法又はアルゴリズムのステップは、ハードウェアによって直接、プロセッサによって実行されるソフトウェア・モジュールによって、又はそれら2つの組合せによって具現化されうる。ソフトウェア・モジュールは、RAMメモリ、フラッシュ・メモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハード・ディスク、リムーバブル・ディスク、CD−ROM、又は当該技術において知られるその他任意の形式の記憶媒体に収納されうる。典型的な記憶媒体は、プロセッサがそこから情報を読み取り、またプロセッサがそこへ情報を書き込むことができるように、プロセッサに結合される。あるいは、記憶媒体はプロセッサに統合されうる。プロセッサと記憶媒体とは、ASIC内に存在することができる。ASICは、ユーザ端末内に存在することができる。あるいはプロセッサと記憶媒体とは、ユーザ端末内のディスクリート部品として存在することもできる。
【0045】
開示された実施形態における上記記載は、当業者をして、本開示の製造又は利用を可能とするために提供される。これらの実施形態への様々な変形例もまた、当業者には明らかであって、本明細書で定義された一般原理は、本開示の精神又は範囲から逸脱することなく他の実施形態にも適用されうる。従って、本開示は、本明細書に示した実施形態に限定することは意図されておらず、本明細書に開示された原理及び新規特徴と整合が取れた最も広い範囲と一致するように意図されている。
【特許請求の範囲】
【請求項1】
無線通信システムにおける複数のEAPベースの認証のための方法であって、
第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)を生成することと、
前記第1のマスタ・セッション鍵(MSK)から第1の一時セッション鍵(TSK)を生成することと、
第2のタイプのアクセスのために、前記第1の一時セッション鍵(TSK)を用いて第2のEAPベースの認証を実行することと、
前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了した後、第1のタイプのアクセスと第2のタイプのアクセスとを提供することと
を備える方法。
【請求項2】
前記第2のEAPベースの認証において、第2のマスタ・セッション鍵(MSK)を生成することを更に備える、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項3】
前記第2のマスタ・セッション鍵(MSK)から第2の一時セッション鍵(TSK)を生成することを更に備える、請求項2に記載の複数のEAPベースの認証のための方法。
【請求項4】
前記第2の一時セッション鍵(TSK)は、第3のEAPベースの認証において用いられる、請求項3に記載の複数のEAPベースの認証のための方法。
【請求項5】
第2のマスタ・セッション鍵(MSK)が前記第2のEAPベースの認証において生成されなかった場合、第3のEAPベースの認証のために、前記第1の一時セッション鍵(TSK)を用いることを更に備える、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項6】
前記第1のEAPベースの認証と前記第2のEAPベースの認証とは、単一のセッションの一部である、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項7】
前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了したかを示すインジケータ・メッセージを生成することを更に備える、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項8】
前記インジケータ・メッセージは、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了したことを示す値1と、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが完了しなかったことを示す値0とを有する、請求項7に記載の複数のEAPベースの認証のための方法。
【請求項9】
前記インジケータ・メッセージは、ValidPMKExistsフラグである、請求項8に記載の複数のEAPベースの認証のための方法。
【請求項10】
複数のEAPベースの認証が正しく完了したかを示すインジケータ・メッセージを生成することを更に備える、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項11】
前記第1のEAPベースの認証は、第1の認証タイプを含むEAP要求/アイデンティティ・メッセージを含み、前記第2のEAPベースの認証は、第2の認証タイプを含むEAP要求/アイデンティティ・メッセージを含む、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項12】
前記第1のEAPベースの認証において第1のドメイン固有ルート鍵(DSRK)を生成することと、
前記第2のEAPベースの認証において第2のドメイン固有ルート鍵(DSRK)を生成することと、
前記第1のDSRKと前記第2のDSRKとのうちの少なくとも1つを用いて、前記第1のタイプのアクセスか前記第2のタイプのアクセスかのうちの少なくとも1つのEAPベースの再認証を実行することと
を更に備える、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項13】
前記第1のタイプのアクセスはアクセス端末(AT)に関連し、前記第2のタイプのアクセスはユーザに関連する、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項14】
前記第1のタイプのアクセスは、ラジオ・ネットワークへのアクセスを備え、前記第2のタイプのアクセスは、インターネット・サービス・プロバイダ(ISP)を介したアクセスを備える、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項15】
前記第1のタイプのアクセスは特定のデバイスに関連し、前記第2のタイプのアクセスは特定のサーバに関連する、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項16】
無線通信システムにおいて動作可能な複数のEAPベースの認証のための装置であって、
第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)を生成する手段と、
前記第1のマスタ・セッション鍵(MSK)から第1の一時セッション鍵(TSK)を生成する手段と、
第2のタイプのアクセスのために、前記第1の一時セッション鍵(TSK)を用いて、第2のEAPベースの認証を実行する手段と、
前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了した後、前記第1のタイプのアクセスと前記第2のタイプのアクセスとを提供する手段と
を備える装置。
【請求項17】
前記第2のEAPベースの認証において第2のマスタ・セッション鍵(MSK)を生成する手段を更に備える、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項18】
前記第2のマスタ・セッション鍵(MSK)から第2の一時セッション鍵(TSK)を生成する手段を更に備える、請求項17に記載の複数のEAPベースの認証のための装置。
【請求項19】
前記第2の一時セッション鍵(TSK)は、第3のEAPベースの認証において用いられる、請求項18に記載の複数のEAPベースの認証のための装置。
【請求項20】
第2のマスタ・セッション鍵が前記第2のEAPベースの認証において生成されなかった場合、第3のEAPベースの認証のために前記第1の一時セッション鍵(TSK)を用いる手段を更に備える、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項21】
前記第1のEAPベースの認証と前記第2のEAPベースの認証とは、単一のセッションの一部である、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項22】
前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了したかを示すインジケータ・メッセージを生成する手段を更に備える、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項23】
前記インジケータ・メッセージは、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了したことを示す値1と、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが完了しなかったことを示す値0とを有する、請求項22に記載の複数のEAPベースの認証のための装置。
【請求項24】
前記インジケータ・メッセージは、ValidPMKExistsフラグである、請求項23に記載の複数のEAPベースの認証のための装置。
【請求項25】
複数のEAPベースの認証が正しく完了したかを示すインジケータ・メッセージを生成する手段を更に備える、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項26】
前記第1のEAPベースの認証は、第1の認証タイプを含むEAP要求/アイデンティティ・メッセージを含み、前記第2のEAPベースの認証は、第2の認証タイプを含むEAP要求/アイデンティティ・メッセージを含む、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項27】
前記第1のEAPベースの認証において第1のドメイン固有ルート鍵(DSRK)を生成する手段と、
前記第2のEAPベースの認証において第2のドメイン固有ルート鍵(DSRK)を生成する手段と、
前記第1のDSRKと前記第2のDSRKとのうちの少なくとも1つを用いて、前記第1のタイプのアクセスか前記第2のタイプのアクセスかのうちの少なくとも1つのEAPベースの再認証を実行する手段と
を更に備える、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項28】
前記第1のタイプのアクセスはアクセス端末(AT)に関連し、前記第2のタイプのアクセスはユーザに関連する、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項29】
前記第1のタイプのアクセスは、ラジオ・ネットワークへのアクセスを備え、前記第2のタイプのアクセスは、インターネット・サービス・プロバイダ(ISP)を介したアクセスを備える、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項30】
前記第1のタイプのアクセスは特定のデバイスに関連し、前記第2のタイプのアクセスは特定のサーバに関連する、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項31】
コンピュータに、第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)を生成させるコードと、
コンピュータに、前記第1のマスタ・セッション鍵(MSK)から第1の一時セッション鍵(TSK)を生成させるコードと、
コンピュータに、第2のタイプのアクセスのために、前記第1の一時セッション鍵(TSK)を用いて第2のEAPベースの認証を実行させるコードと、
コンピュータに、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了した後、第1のタイプのアクセスと第2のタイプのアクセスとを提供させるコードと
を備えるコンピュータ読取可能媒体を備えるコンピュータ・プログラム製品。
【請求項32】
コンピュータに、前記第2のEAPベースの認証において第2のマスタ・セッション鍵(MSK)を生成させるコードを更に備える請求項31に記載のコンピュータ・プログラム製品。
【請求項33】
コンピュータに、前記第2のマスタ・セッション鍵(MSK)から第2の一時セッション鍵(TSK)を生成させるコードを更に備える請求項32に記載のコンピュータ・プログラム製品。
【請求項34】
前記第2の一時セッション鍵(TSK)は、第3のEAPベースの認証において用いられる請求項33に記載のコンピュータ・プログラム製品。
【請求項35】
第2のマスタ・セッション鍵(MSK)が前記第2のEAPベースの認証において生成されなかった場合、コンピュータに、第3のEAPベースの認証のために前記第1の一時セッション鍵(TSK)を用いさせるコードを更に備える請求項31に記載のコンピュータ・プログラム製品。
【請求項36】
前記第1のEAPベースの認証と前記第2のEAPベースの認証とは、単一のセッションの一部である請求項31に記載のコンピュータ・プログラム製品。
【請求項37】
コンピュータに、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了したかを示すインジケータ・メッセージを生成させるコードを更に備える請求項31に記載のコンピュータ・プログラム製品。
【請求項38】
前記インジケータ・メッセージは、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了したことを示す値1と、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが完了しなかったことを示す値0とを有する請求項37に記載のコンピュータ・プログラム製品。
【請求項39】
前記インジケータ・メッセージは、ValidPMKExistsフラグである請求項38に記載のコンピュータ・プログラム製品。
【請求項40】
コンピュータに、複数のEAPベースの認証が正しく完了したかを示すインジケータ・メッセージを生成させるコードを更に備える請求項31に記載のコンピュータ・プログラム製品。
【請求項41】
前記第1のEAPベースの認証は、第1の認証タイプを含むEAP要求/アイデンティティ・メッセージを含み、前記第2のEAPベースの認証は、第2の認証タイプを含むEAP要求/アイデンティティ・メッセージを含む請求項31に記載のコンピュータ・プログラム製品。
【請求項42】
コンピュータに、前記第1のEAPベースの認証において第1のドメイン固有ルート鍵(DSRK)を生成させるコードと、
コンピュータに、前記第2のEAPベースの認証において第2のドメイン固有ルート鍵(DSRK)を生成させるコードと、
コンピュータに、前記第1のDSRKと前記第2のDSRKとのうちの少なくとも1つを用いて、前記第1のタイプのアクセスか前記第2のタイプのアクセスかのうちの少なくとも1つのEAPベースの再認証を実行させるコードと
を更に備える請求項31に記載のコンピュータ・プログラム製品。
【請求項43】
前記第1のタイプのアクセスはアクセス端末(AT)に関連し、前記第2のタイプのアクセスはユーザに関連する請求項31に記載のコンピュータ・プログラム製品。
【請求項44】
前記第1のタイプのアクセスは、ラジオ・ネットワークへのアクセスを備え、前記第2のタイプのアクセスは、インターネット・サービス・プロバイダ(ISP)を介したアクセスを備える請求項31に記載のコンピュータ・プログラム製品。
【請求項45】
前記第1のタイプのアクセスは特定のデバイスに関連し、前記第2のタイプのアクセスは特定のサーバに関連する請求項31に記載のコンピュータ・プログラム製品。
【請求項46】
無線通信システムにおいて動作可能な複数のEAPベースの認証のための装置であって、
第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)を生成し、
前記第1のマスタ・セッション鍵(MSK)から第1の一時セッション鍵(TSK)を生成し、
第2のタイプのアクセスのために、前記第1の一時セッション鍵(TSK)を用いて第2のEAPベースの認証を実行し、
前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了した後、第1のタイプのアクセスと第2のタイプのアクセスとを提供する
プロセッサと、
前記プロセッサに接続され、データを格納するメモリと
を備える装置。
【請求項47】
前記プロセッサは更に、前記第2のEAPベースの認証において第2のマスタ・セッション鍵(MSK)を生成するように構成された、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項48】
前記プロセッサは更に、前記第2のマスタ・セッション鍵(MSK)から第2の一時セッション鍵を生成するように構成された、請求項47に記載の複数のEAPベースの認証のための装置。
【請求項49】
前記第2の一時セッション鍵(TSK)は、第3のEAPベースの認証において用いられる、請求項48に記載の複数のEAPベースの認証のための装置。
【請求項50】
前記プロセッサは更に、第2のマスタ・セッション鍵(MSK)が前記第2のEAPベースの認証において生成されなかった場合、第3のEAPベースの認証のために前記第1の一時セッション鍵(TSK)を用いるように構成された、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項51】
前記第1のEAPベースの認証と前記第2のEAPベースの認証とは、単一のセッションの一部である、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項52】
前記プロセッサは更に、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了したかを示すインジケータ・メッセージを生成するように構成されている、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項53】
前記インジケータ・メッセージは、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了したことを示す値1と、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが完了しなかったことを示す値0とを有する、請求項52に記載の複数のEAPベースの認証のための装置。
【請求項54】
前記インジケータ・メッセージは、ValidPMKExistsフラグである、請求項53に記載の複数のEAPベースの認証のための装置。
【請求項55】
前記プロセッサは更に、複数のEAPベースの認証が正しく完了したかを示すインジケータ・メッセージを生成するように構成された、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項56】
前記第1のEAPベースの認証は、第1の認証タイプを含むEAP要求/アイデンティティ・メッセージを含み、前記第2のEAPベースの認証は、第2の認証タイプを含むEAP要求/アイデンティティ・メッセージを含む、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項57】
前記プロセッサは更に、
前記第1のEAPベースの認証において第1のドメイン固有ルート鍵(DSRK)を生成し、
前記第2のEAPベースの認証において第2のドメイン固有ルート鍵(DSRK)を生成し、
前記第1のDSRKと前記第2のDSRKとのうちの少なくとも1つを用いて、前記第1のタイプのアクセスか前記第2のタイプのアクセスかのうちの少なくとも1つのEAPベースの再認証を実行する
ように構成された、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項58】
前記第1のタイプのアクセスはアクセス端末(AT)に関連し、前記第2のタイプのアクセスはユーザに関連する、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項59】
前記第1のタイプのアクセスは、ラジオ・ネットワークへのアクセスを備え、前記第2のタイプのアクセスは、インターネット・サービス・プロバイダ(ISP)を介したアクセスを備える、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項60】
前記第1のタイプのアクセスは特定のデバイスに関連し、前記第2のタイプのアクセスは特定のサーバに関連する、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項1】
無線通信システムにおける複数のEAPベースの認証のための方法であって、
第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)を生成することと、
前記第1のマスタ・セッション鍵(MSK)から第1の一時セッション鍵(TSK)を生成することと、
第2のタイプのアクセスのために、前記第1の一時セッション鍵(TSK)を用いて第2のEAPベースの認証を実行することと、
前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了した後、第1のタイプのアクセスと第2のタイプのアクセスとを提供することと
を備える方法。
【請求項2】
前記第2のEAPベースの認証において、第2のマスタ・セッション鍵(MSK)を生成することを更に備える、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項3】
前記第2のマスタ・セッション鍵(MSK)から第2の一時セッション鍵(TSK)を生成することを更に備える、請求項2に記載の複数のEAPベースの認証のための方法。
【請求項4】
前記第2の一時セッション鍵(TSK)は、第3のEAPベースの認証において用いられる、請求項3に記載の複数のEAPベースの認証のための方法。
【請求項5】
第2のマスタ・セッション鍵(MSK)が前記第2のEAPベースの認証において生成されなかった場合、第3のEAPベースの認証のために、前記第1の一時セッション鍵(TSK)を用いることを更に備える、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項6】
前記第1のEAPベースの認証と前記第2のEAPベースの認証とは、単一のセッションの一部である、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項7】
前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了したかを示すインジケータ・メッセージを生成することを更に備える、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項8】
前記インジケータ・メッセージは、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了したことを示す値1と、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが完了しなかったことを示す値0とを有する、請求項7に記載の複数のEAPベースの認証のための方法。
【請求項9】
前記インジケータ・メッセージは、ValidPMKExistsフラグである、請求項8に記載の複数のEAPベースの認証のための方法。
【請求項10】
複数のEAPベースの認証が正しく完了したかを示すインジケータ・メッセージを生成することを更に備える、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項11】
前記第1のEAPベースの認証は、第1の認証タイプを含むEAP要求/アイデンティティ・メッセージを含み、前記第2のEAPベースの認証は、第2の認証タイプを含むEAP要求/アイデンティティ・メッセージを含む、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項12】
前記第1のEAPベースの認証において第1のドメイン固有ルート鍵(DSRK)を生成することと、
前記第2のEAPベースの認証において第2のドメイン固有ルート鍵(DSRK)を生成することと、
前記第1のDSRKと前記第2のDSRKとのうちの少なくとも1つを用いて、前記第1のタイプのアクセスか前記第2のタイプのアクセスかのうちの少なくとも1つのEAPベースの再認証を実行することと
を更に備える、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項13】
前記第1のタイプのアクセスはアクセス端末(AT)に関連し、前記第2のタイプのアクセスはユーザに関連する、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項14】
前記第1のタイプのアクセスは、ラジオ・ネットワークへのアクセスを備え、前記第2のタイプのアクセスは、インターネット・サービス・プロバイダ(ISP)を介したアクセスを備える、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項15】
前記第1のタイプのアクセスは特定のデバイスに関連し、前記第2のタイプのアクセスは特定のサーバに関連する、請求項1に記載の複数のEAPベースの認証のための方法。
【請求項16】
無線通信システムにおいて動作可能な複数のEAPベースの認証のための装置であって、
第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)を生成する手段と、
前記第1のマスタ・セッション鍵(MSK)から第1の一時セッション鍵(TSK)を生成する手段と、
第2のタイプのアクセスのために、前記第1の一時セッション鍵(TSK)を用いて、第2のEAPベースの認証を実行する手段と、
前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了した後、前記第1のタイプのアクセスと前記第2のタイプのアクセスとを提供する手段と
を備える装置。
【請求項17】
前記第2のEAPベースの認証において第2のマスタ・セッション鍵(MSK)を生成する手段を更に備える、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項18】
前記第2のマスタ・セッション鍵(MSK)から第2の一時セッション鍵(TSK)を生成する手段を更に備える、請求項17に記載の複数のEAPベースの認証のための装置。
【請求項19】
前記第2の一時セッション鍵(TSK)は、第3のEAPベースの認証において用いられる、請求項18に記載の複数のEAPベースの認証のための装置。
【請求項20】
第2のマスタ・セッション鍵が前記第2のEAPベースの認証において生成されなかった場合、第3のEAPベースの認証のために前記第1の一時セッション鍵(TSK)を用いる手段を更に備える、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項21】
前記第1のEAPベースの認証と前記第2のEAPベースの認証とは、単一のセッションの一部である、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項22】
前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了したかを示すインジケータ・メッセージを生成する手段を更に備える、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項23】
前記インジケータ・メッセージは、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了したことを示す値1と、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが完了しなかったことを示す値0とを有する、請求項22に記載の複数のEAPベースの認証のための装置。
【請求項24】
前記インジケータ・メッセージは、ValidPMKExistsフラグである、請求項23に記載の複数のEAPベースの認証のための装置。
【請求項25】
複数のEAPベースの認証が正しく完了したかを示すインジケータ・メッセージを生成する手段を更に備える、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項26】
前記第1のEAPベースの認証は、第1の認証タイプを含むEAP要求/アイデンティティ・メッセージを含み、前記第2のEAPベースの認証は、第2の認証タイプを含むEAP要求/アイデンティティ・メッセージを含む、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項27】
前記第1のEAPベースの認証において第1のドメイン固有ルート鍵(DSRK)を生成する手段と、
前記第2のEAPベースの認証において第2のドメイン固有ルート鍵(DSRK)を生成する手段と、
前記第1のDSRKと前記第2のDSRKとのうちの少なくとも1つを用いて、前記第1のタイプのアクセスか前記第2のタイプのアクセスかのうちの少なくとも1つのEAPベースの再認証を実行する手段と
を更に備える、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項28】
前記第1のタイプのアクセスはアクセス端末(AT)に関連し、前記第2のタイプのアクセスはユーザに関連する、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項29】
前記第1のタイプのアクセスは、ラジオ・ネットワークへのアクセスを備え、前記第2のタイプのアクセスは、インターネット・サービス・プロバイダ(ISP)を介したアクセスを備える、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項30】
前記第1のタイプのアクセスは特定のデバイスに関連し、前記第2のタイプのアクセスは特定のサーバに関連する、請求項16に記載の複数のEAPベースの認証のための装置。
【請求項31】
コンピュータに、第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)を生成させるコードと、
コンピュータに、前記第1のマスタ・セッション鍵(MSK)から第1の一時セッション鍵(TSK)を生成させるコードと、
コンピュータに、第2のタイプのアクセスのために、前記第1の一時セッション鍵(TSK)を用いて第2のEAPベースの認証を実行させるコードと、
コンピュータに、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了した後、第1のタイプのアクセスと第2のタイプのアクセスとを提供させるコードと
を備えるコンピュータ読取可能媒体を備えるコンピュータ・プログラム製品。
【請求項32】
コンピュータに、前記第2のEAPベースの認証において第2のマスタ・セッション鍵(MSK)を生成させるコードを更に備える請求項31に記載のコンピュータ・プログラム製品。
【請求項33】
コンピュータに、前記第2のマスタ・セッション鍵(MSK)から第2の一時セッション鍵(TSK)を生成させるコードを更に備える請求項32に記載のコンピュータ・プログラム製品。
【請求項34】
前記第2の一時セッション鍵(TSK)は、第3のEAPベースの認証において用いられる請求項33に記載のコンピュータ・プログラム製品。
【請求項35】
第2のマスタ・セッション鍵(MSK)が前記第2のEAPベースの認証において生成されなかった場合、コンピュータに、第3のEAPベースの認証のために前記第1の一時セッション鍵(TSK)を用いさせるコードを更に備える請求項31に記載のコンピュータ・プログラム製品。
【請求項36】
前記第1のEAPベースの認証と前記第2のEAPベースの認証とは、単一のセッションの一部である請求項31に記載のコンピュータ・プログラム製品。
【請求項37】
コンピュータに、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了したかを示すインジケータ・メッセージを生成させるコードを更に備える請求項31に記載のコンピュータ・プログラム製品。
【請求項38】
前記インジケータ・メッセージは、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了したことを示す値1と、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが完了しなかったことを示す値0とを有する請求項37に記載のコンピュータ・プログラム製品。
【請求項39】
前記インジケータ・メッセージは、ValidPMKExistsフラグである請求項38に記載のコンピュータ・プログラム製品。
【請求項40】
コンピュータに、複数のEAPベースの認証が正しく完了したかを示すインジケータ・メッセージを生成させるコードを更に備える請求項31に記載のコンピュータ・プログラム製品。
【請求項41】
前記第1のEAPベースの認証は、第1の認証タイプを含むEAP要求/アイデンティティ・メッセージを含み、前記第2のEAPベースの認証は、第2の認証タイプを含むEAP要求/アイデンティティ・メッセージを含む請求項31に記載のコンピュータ・プログラム製品。
【請求項42】
コンピュータに、前記第1のEAPベースの認証において第1のドメイン固有ルート鍵(DSRK)を生成させるコードと、
コンピュータに、前記第2のEAPベースの認証において第2のドメイン固有ルート鍵(DSRK)を生成させるコードと、
コンピュータに、前記第1のDSRKと前記第2のDSRKとのうちの少なくとも1つを用いて、前記第1のタイプのアクセスか前記第2のタイプのアクセスかのうちの少なくとも1つのEAPベースの再認証を実行させるコードと
を更に備える請求項31に記載のコンピュータ・プログラム製品。
【請求項43】
前記第1のタイプのアクセスはアクセス端末(AT)に関連し、前記第2のタイプのアクセスはユーザに関連する請求項31に記載のコンピュータ・プログラム製品。
【請求項44】
前記第1のタイプのアクセスは、ラジオ・ネットワークへのアクセスを備え、前記第2のタイプのアクセスは、インターネット・サービス・プロバイダ(ISP)を介したアクセスを備える請求項31に記載のコンピュータ・プログラム製品。
【請求項45】
前記第1のタイプのアクセスは特定のデバイスに関連し、前記第2のタイプのアクセスは特定のサーバに関連する請求項31に記載のコンピュータ・プログラム製品。
【請求項46】
無線通信システムにおいて動作可能な複数のEAPベースの認証のための装置であって、
第1のタイプのアクセスのために、第1のEAPベースの認証において第1のマスタ・セッション鍵(MSK)を生成し、
前記第1のマスタ・セッション鍵(MSK)から第1の一時セッション鍵(TSK)を生成し、
第2のタイプのアクセスのために、前記第1の一時セッション鍵(TSK)を用いて第2のEAPベースの認証を実行し、
前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了した後、第1のタイプのアクセスと第2のタイプのアクセスとを提供する
プロセッサと、
前記プロセッサに接続され、データを格納するメモリと
を備える装置。
【請求項47】
前記プロセッサは更に、前記第2のEAPベースの認証において第2のマスタ・セッション鍵(MSK)を生成するように構成された、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項48】
前記プロセッサは更に、前記第2のマスタ・セッション鍵(MSK)から第2の一時セッション鍵を生成するように構成された、請求項47に記載の複数のEAPベースの認証のための装置。
【請求項49】
前記第2の一時セッション鍵(TSK)は、第3のEAPベースの認証において用いられる、請求項48に記載の複数のEAPベースの認証のための装置。
【請求項50】
前記プロセッサは更に、第2のマスタ・セッション鍵(MSK)が前記第2のEAPベースの認証において生成されなかった場合、第3のEAPベースの認証のために前記第1の一時セッション鍵(TSK)を用いるように構成された、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項51】
前記第1のEAPベースの認証と前記第2のEAPベースの認証とは、単一のセッションの一部である、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項52】
前記プロセッサは更に、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了したかを示すインジケータ・メッセージを生成するように構成されている、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項53】
前記インジケータ・メッセージは、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが正しく完了したことを示す値1と、前記第1のEAPベースの認証と前記第2のEAPベースの認証とが完了しなかったことを示す値0とを有する、請求項52に記載の複数のEAPベースの認証のための装置。
【請求項54】
前記インジケータ・メッセージは、ValidPMKExistsフラグである、請求項53に記載の複数のEAPベースの認証のための装置。
【請求項55】
前記プロセッサは更に、複数のEAPベースの認証が正しく完了したかを示すインジケータ・メッセージを生成するように構成された、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項56】
前記第1のEAPベースの認証は、第1の認証タイプを含むEAP要求/アイデンティティ・メッセージを含み、前記第2のEAPベースの認証は、第2の認証タイプを含むEAP要求/アイデンティティ・メッセージを含む、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項57】
前記プロセッサは更に、
前記第1のEAPベースの認証において第1のドメイン固有ルート鍵(DSRK)を生成し、
前記第2のEAPベースの認証において第2のドメイン固有ルート鍵(DSRK)を生成し、
前記第1のDSRKと前記第2のDSRKとのうちの少なくとも1つを用いて、前記第1のタイプのアクセスか前記第2のタイプのアクセスかのうちの少なくとも1つのEAPベースの再認証を実行する
ように構成された、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項58】
前記第1のタイプのアクセスはアクセス端末(AT)に関連し、前記第2のタイプのアクセスはユーザに関連する、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項59】
前記第1のタイプのアクセスは、ラジオ・ネットワークへのアクセスを備え、前記第2のタイプのアクセスは、インターネット・サービス・プロバイダ(ISP)を介したアクセスを備える、請求項46に記載の複数のEAPベースの認証のための装置。
【請求項60】
前記第1のタイプのアクセスは特定のデバイスに関連し、前記第2のタイプのアクセスは特定のサーバに関連する、請求項46に記載の複数のEAPベースの認証のための装置。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2010−529710(P2010−529710A)
【公表日】平成22年8月26日(2010.8.26)
【国際特許分類】
【出願番号】特願2010−507636(P2010−507636)
【出願日】平成20年5月7日(2008.5.7)
【国際出願番号】PCT/US2008/062966
【国際公開番号】WO2008/137965
【国際公開日】平成20年11月13日(2008.11.13)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(595020643)クゥアルコム・インコーポレイテッド (7,166)
【氏名又は名称原語表記】QUALCOMM INCORPORATED
【Fターム(参考)】
【公表日】平成22年8月26日(2010.8.26)
【国際特許分類】
【出願日】平成20年5月7日(2008.5.7)
【国際出願番号】PCT/US2008/062966
【国際公開番号】WO2008/137965
【国際公開日】平成20年11月13日(2008.11.13)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(595020643)クゥアルコム・インコーポレイテッド (7,166)
【氏名又は名称原語表記】QUALCOMM INCORPORATED
【Fターム(参考)】
[ Back to top ]