亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

通信系統(tǒng)中交換數(shù)據(jù)時(shí)的認(rèn)證的制作方法

文檔序號(hào):7941594閱讀:280來源:國知局
專利名稱:通信系統(tǒng)中交換數(shù)據(jù)時(shí)的認(rèn)證的制作方法
技術(shù)領(lǐng)域
本發(fā)明一般涉及通信系統(tǒng)的領(lǐng)域,并且更具體地涉及通信中交換數(shù)據(jù)時(shí)的認(rèn)證。
背景技術(shù)
認(rèn)證是通信系統(tǒng)中的重要功能,具體地是無線通信系統(tǒng)中的重要的功能,諸如 WiMAX及其未來的版本(經(jīng)常稱作WiMAX版本1. x及IEEE 802. 16m協(xié)議)、UMTS,以及LTE。 在無線通信系統(tǒng)中,認(rèn)證通常在低層(層1或2)執(zhí)行,但是也可在高層執(zhí)行。認(rèn)證是通過 交換控制消息來驗(yàn)證設(shè)備或用戶的身份的過程。對(duì)于從移動(dòng)站向基站發(fā)送的認(rèn)證信息,例如,如果基站能夠正確地驗(yàn)證該認(rèn)證信 息,則應(yīng)答(ACK)消息可返回移動(dòng)站。如果不能驗(yàn)證認(rèn)證信息,則可以返回否定應(yīng)答(NACK) 消息或者無消息。對(duì)于基站這個(gè)過程也被重復(fù)以用移動(dòng)站驗(yàn)證其本身,由此提供相互的認(rèn) 證。替代地,不需要發(fā)送顯式的ACK/NACK消息。在這種情況下,僅僅存在隱式的應(yīng)答(即, 僅當(dāng)認(rèn)證成功時(shí),通信才繼續(xù),并且用作隱式的應(yīng)答)。直到雙方(MS和BS)已經(jīng)成功地彼 此認(rèn)證,移動(dòng)站與基站之間的數(shù)據(jù)傳送才能繼續(xù)進(jìn)行。在數(shù)據(jù)通信可完全開始前,以上一系 列的控制消息收發(fā)使用了大量的時(shí)間(50毫秒或者更多)。這個(gè)數(shù)量的延遲減少了通信體 驗(yàn)。此外,當(dāng)沒有接收到由一方(移動(dòng)站或者基站)發(fā)送的控制消息或者另一方未能 驗(yàn)證認(rèn)證證書時(shí),諸如媒體訪問控制(MAC)的高層協(xié)議將在控制平面上使用定時(shí)器以終止 通信,或者重傳包含認(rèn)證信息的控制消息。如這里所使用的,MAC層指的是諸如控制平面、 數(shù)據(jù)平面,或者應(yīng)用層的任何高層協(xié)議。在例子中,如果移動(dòng)站或者基站沒有接收到通信, 則必須假定在高層中等待某時(shí)段之后還沒有完成該認(rèn)證。在這個(gè)例子中,在高層協(xié)議上的 定時(shí)器,僅在已經(jīng)經(jīng)過了進(jìn)一步相當(dāng)多數(shù)量的時(shí)間之后,才確定存在問題。高層協(xié)議定時(shí)器 的期滿時(shí)間及重傳包含認(rèn)證信息的控制消息所需的任何時(shí)間進(jìn)一步延遲了數(shù)據(jù)通信的恢 復(fù)且進(jìn)一步惡化了通信體驗(yàn)。因此,期望的是提供一種用于在沒有現(xiàn)有技術(shù)中可能發(fā)生的定時(shí)延遲損失的情況 下的通信設(shè)備之間的相互認(rèn)證的技術(shù)。如果這可以在硬件或軟件中沒有招致極大的成本或 者努力的情況下完成也將是有益的。


本發(fā)明在所附權(quán)利要求中具體地被指出。然而,通過參考結(jié)合附圖的下列詳細(xì)的 描述,本發(fā)明的其他特征將變得更加顯而易見且本發(fā)明將被最好地理解,在附圖中圖1示出了用于相互的認(rèn)證的現(xiàn)有技術(shù)情況的流圖;圖2示出了根據(jù)本發(fā)明的用于相互認(rèn)證的情況的流圖;圖3示出了根據(jù)本發(fā)明的用于相互認(rèn)證的情況的狀態(tài)圖;以及圖4是根據(jù)本發(fā)明的方法的流程圖。本領(lǐng)域技術(shù)人員將理解通常沒有圖示或描述在商業(yè)上可行的實(shí)施例中有用的或
3必要的常用而容易理解的元素,以便有助于較少地阻礙對(duì)本發(fā)明的這些不同的實(shí)施例的觀
點(diǎn)o
具體實(shí)施例方式本發(fā)明提供了一種用于通過使用控制消息收發(fā)在沒有現(xiàn)有技術(shù)中可能發(fā)生的定 時(shí)延遲損失的情況下的通信設(shè)備之間的相互認(rèn)證的技術(shù)。該改進(jìn)可以在不招致極大的成本 或者努力的情況下完成。具體地,本發(fā)明提供不使用控制消息收發(fā),而是代替在實(shí)際的數(shù)據(jù)通信交換期間 的相互認(rèn)證,因而允許通信實(shí)體在切換其間立即恢復(fù)數(shù)據(jù)交換。如這里所使用的,術(shù)語切換 (H0)指的是設(shè)備將其通信鏈路從一個(gè)服務(wù)站轉(zhuǎn)接到另一個(gè)的過程。如將根據(jù)本發(fā)明在下面 所描述的,通過使用添加到已傳送的數(shù)據(jù)分組的附加頭部或者字段來完成相互認(rèn)證。本發(fā) 明利用該技術(shù)來產(chǎn)生更快的切換。另外,本發(fā)明提供用于當(dāng)另一方的認(rèn)證未決時(shí)保護(hù)數(shù)據(jù) 流的規(guī)則。應(yīng)當(dāng)認(rèn)識(shí)到,在這里相對(duì)于IEEE 802. 16 (WiMax)通信系統(tǒng)描述了本發(fā)明,但是不 限于此,且本發(fā)明同樣可應(yīng)用于利用認(rèn)證功能的那些其他的通信系統(tǒng)(例如,UMTS、LTE,及 包括設(shè)備連接到新服務(wù)器的任何通信系統(tǒng)的電纜系統(tǒng))。參考圖1,示出了現(xiàn)有技術(shù)切換消息收發(fā)的情況。具體地,移動(dòng)站(MS)正在從源 基站(S-BS)向目標(biāo)基站(T-BS)移動(dòng)。在現(xiàn)今的WiMAX (和在其他的無線技術(shù))中,在切換 (H0)期間,在可以恢復(fù)由H0中斷的數(shù)據(jù)通信之前,需要交換控制消息??刂葡⒔粨Q用作 許多目的a)如果需要,層1(物理的)調(diào)整,b)T-BS更新通信所需的MS的基本參數(shù)(即標(biāo) 識(shí)、加密密鑰等),以及c)移動(dòng)站和基站之間的相互認(rèn)證。本發(fā)明演示了在交換數(shù)據(jù)分組時(shí) 可以如何實(shí)現(xiàn)相互認(rèn)證,從而允許數(shù)據(jù)立即恢復(fù)。由控制消息收發(fā)服務(wù)的其他功能或者目 的可通過使用本領(lǐng)域已知的方法來解決。換句話說,可以在沒有控制消息的情況下、或者通 過H0之前的通信來完成所有其他的過程(例如,更新用于通信的基本參數(shù)等)。返回參考圖1,在當(dāng)前WiMAX情況中,如圖所示,切換可由切換發(fā)起、提供相互認(rèn)證 的控制消息的交換、以及然后數(shù)據(jù)通信的恢復(fù)來表示。以切換發(fā)起開始,當(dāng)服務(wù)基站(S-BS)檢測(cè)到其正在服務(wù)的MS正在移動(dòng)到目標(biāo)基 站(T-BS)的服務(wù)區(qū)域中時(shí),S-BS將開始MS切換到T-BS的過程。這以從S-BS發(fā)送到T-BS 的切換請(qǐng)求(H0-REQ)開始。T-BS以切換響應(yīng)(H0-RSP)消息來應(yīng)答該請(qǐng)求。存在定義移動(dòng) 站何時(shí)將到達(dá)T-BS的S-BS與MS之間協(xié)商的動(dòng)作時(shí)間。具體地,S-BS將向MS發(fā)送移動(dòng)性 基站切換請(qǐng)求(M0B_BSH0_REQ)且等待MS發(fā)送指示MS愿意將通信轉(zhuǎn)接到T-BS的切換指示 (M0B_H0_IND)消息。在控制消息收發(fā)階段期間,T-BS將使用基于非競(jìng)爭的快速測(cè)距(Fast Ranging) 過程以將專用的傳送機(jī)會(huì)分配給MS,用于在切換過程中傳送第一控制消息,在WiMAX中稱 為測(cè)距請(qǐng)求(RNG-REQ)??焖贉y(cè)距過程包括在開始幀發(fā)送包含快速測(cè)距信息元素(快速測(cè) 距IE)的UL_MAP,其在后續(xù)幀中將傳送機(jī)會(huì)分配給MS,通常該幀立即跟隨發(fā)送UL_MAP的 幀。移動(dòng)站需要通過該開始幀到達(dá)目標(biāo)基站,并且應(yīng)當(dāng)尋找快速測(cè)距IE。因此,在移動(dòng)性 基站切換響應(yīng)(M0B_BSH0_REQ)消息中發(fā)送的動(dòng)作時(shí)間應(yīng)當(dāng)在基站和移動(dòng)站之間正確地解 譯。具體地,對(duì)于切換,動(dòng)作時(shí)間值被定義為直到T-BS發(fā)送包含快速測(cè)距IE的UL_MAP的幀的數(shù)目,其向要由MS傳送的RNG-REQ消息分配專用的傳送機(jī)會(huì)。RNG_REQ消息包含MS使用MS和T-BS先前已知的共享密鑰計(jì)算的簽名。在該系統(tǒng) 中T-BS通過確認(rèn)該簽名是使用共享密鑰產(chǎn)生的且所以是有效的而使用該簽名來認(rèn)證MS。 T-BS以RNG_RSP消息來響應(yīng)MS,RNG_RSP消息也包含由T-BS使用該共享密鑰計(jì)算的簽名。 僅在接收到RNG_REQ且驗(yàn)證了 MS的身份之后,才產(chǎn)生RNG_RSP消息。換句話說,在接收RNG_ REQ之前,BS并不嘗試用MS認(rèn)證其本身,因而進(jìn)一步延遲了相互認(rèn)證過程的完成。MS通過 確認(rèn)簽名是使用共享密鑰產(chǎn)生的且所以是有效的而在系統(tǒng)中使用從T-BS接收到的簽名來 認(rèn)證T-BS。這樣,在控制消息收發(fā)階段實(shí)現(xiàn)了相互認(rèn)證。具體地,在相互認(rèn)證期間,各方(MS和T-BS)向另一方證明擁有共享秘密(例如, 在大多數(shù)情況下共享密鑰)。通過在使用共享密鑰計(jì)算的完整性保護(hù)(IP)字段(即,簽名) 內(nèi)發(fā)送信息,一方證明擁有共享密鑰。該共享秘密市僅僅對(duì)MS和T-BS已知的密鑰。有效 的IP字段可僅僅通過擁有該共享秘密(即,正確的密鑰)的一方來產(chǎn)生且可僅僅通過擁有 相同密鑰的一方來驗(yàn)證。MS也在RNG-RSP消息,即,在切換的控制消息收發(fā)階段的最后的消息中,接收其基 本通信標(biāo)識(shí)。在此之前,使用其MAC地址或者臨時(shí)切換ID (H0-ID)來訪問MS。MS也從T-BS 接收新的加密密鑰。當(dāng)前在WiMAX中,加密密鑰由T-BS選擇(不是從MS輸入)且經(jīng)過空 口在RNG-RSP消息中發(fā)送到MS。加密密鑰不應(yīng)當(dāng)與之前所描述的用于認(rèn)證的共享秘密(共 享密鑰)混淆,因?yàn)樗鼈兪欠蛛x的且用作不同的目的。加密密鑰的知識(shí)不需要用于相互認(rèn) 證,共享密鑰的知識(shí)也不暗示用于認(rèn)證。相反地,用于認(rèn)證的共享密鑰的知識(shí)并不暗示加密 密鑰的知識(shí)。MS可以在RNG-RSP中接收對(duì)上述參數(shù)或者與T-BS通信所需的其他參數(shù)的更 新,然而應(yīng)當(dāng)認(rèn)識(shí)到這些參數(shù)更新在相互認(rèn)證中不起作用且因而在本發(fā)明的范圍之外。如 這里所提到的,當(dāng)期望時(shí),參數(shù)更新可以通過使用本領(lǐng)域中已知的方法來完成。如在本領(lǐng)域中已知的,在相互認(rèn)證之后,數(shù)據(jù)通信可以在通過T-BS恢復(fù)對(duì)MS的正 常下行鏈路(DL)數(shù)據(jù)通信且進(jìn)一步發(fā)送UL_MAP的切換之后恢復(fù),使得正常上行鏈路(UL) 數(shù)據(jù)通信可以恢復(fù)。參考圖2,本發(fā)明通過數(shù)據(jù)分組而不是控制消息來實(shí)現(xiàn)相互認(rèn)證。具體地,本發(fā)明 提供了關(guān)于在交換數(shù)據(jù)時(shí)如何認(rèn)證以及如何處理已經(jīng)發(fā)送給尚未授權(quán)的一方的數(shù)據(jù)分組 的規(guī)則。另外,本發(fā)明允許雙方的認(rèn)證并行進(jìn)行,從而使延遲最小化。本發(fā)明使用與上面圖1所描述的相同的H0-REQ、H0_RSP、M0B_BSH0-REQ/RSP、以及 M0B_H0_IND初始化消息收發(fā)來初始化切換。然而,本發(fā)明跳過了前面描述的建立認(rèn)證的控 制消息收發(fā),而是在數(shù)據(jù)交換內(nèi)直接認(rèn)證。優(yōu)選地,這在第一幀內(nèi)完成但是可以跨越多幀。 具體地,MS向T-BS發(fā)送其第一個(gè)數(shù)據(jù)分組,該數(shù)據(jù)分組在新的認(rèn)證字段中附加有簽名。和 現(xiàn)有技術(shù)不同,數(shù)據(jù)分組包括MS的標(biāo)識(shí)(MS-ID和潛在地H0-ID)且使用共享秘密、標(biāo)識(shí),以 及已發(fā)送的數(shù)據(jù)分組的內(nèi)容的一部分來獲取簽名。MS還不確定另一方(即,T-BS)的身份,所以它存儲(chǔ)數(shù)據(jù)分組并且也能對(duì)數(shù)據(jù)分組 加密,密鑰僅僅對(duì)合法方是已知的,使得如果T-BS的認(rèn)證失敗,則數(shù)據(jù)分組的內(nèi)容不會(huì)被 泄漏。BS并行地遵循相同的步驟,即,與現(xiàn)有技術(shù)不同在不等待來自MS的輸入的情況下,發(fā) 送帶有附加的認(rèn)證字段的數(shù)據(jù)分組、對(duì)數(shù)據(jù)分組加密且在MS的認(rèn)證期間存儲(chǔ)數(shù)據(jù)分組。當(dāng)接收第一個(gè)數(shù)據(jù)分組時(shí),雙方首先驗(yàn)證認(rèn)證字段以驗(yàn)證其是由擁有正確的共享秘密的發(fā)送者產(chǎn)生的。如果驗(yàn)證了認(rèn)證字段,則另一方被標(biāo)記為已認(rèn)證并且發(fā)送ACK消息。 優(yōu)選地,ACK消息包含所接收到的認(rèn)證字段的一部分,并且如果數(shù)據(jù)分組可用,則ACK其本 身被附加到數(shù)據(jù)分組。如果在需要發(fā)送ACK時(shí)沒有數(shù)據(jù)分組可用,則可以單獨(dú)發(fā)送ACK消 肩、o當(dāng)認(rèn)證未決時(shí)接收到的所有分組(包括第一個(gè))被存儲(chǔ)且沒有釋放給上層。由于 如果認(rèn)證失敗將丟棄這些存儲(chǔ)的分組,所以它們可能不會(huì)被解密。如果另一方的認(rèn)證成功, 則接收到的分組被解密且被遞送到高層。如果認(rèn)證失敗,則接收到的分組不被解密且被丟棄。在本發(fā)明中為了最好的結(jié)果幾個(gè)先決條件是期望的。例如,MS應(yīng)當(dāng)能夠檢測(cè)到針 對(duì)它的DL數(shù)據(jù)和UL分配,并且在MS切換到T-BS之后(S卩,在完成L1同步之后)MS和T-BS 應(yīng)當(dāng)都能夠立即創(chuàng)建有效的認(rèn)證簽名。一方不能依賴來自另一方的輸入,否則在依賴方會(huì) 引入更多的延遲。另外,MS和T-BS都期望具有有效的加密密鑰以對(duì)數(shù)據(jù)加密。最后,任何 重新播放保護(hù)方案應(yīng)當(dāng)保證已發(fā)送的消息(在雙向)是“最新的”,即,沒被重新播放。圖3表示根據(jù)本發(fā)明實(shí)現(xiàn)的圖2的數(shù)據(jù)交換部分的狀態(tài)圖。如這里所使用的,認(rèn) 證密鑰是共享秘密。認(rèn)證字段是用認(rèn)證密鑰簽名的包含MS或者BS ID、H0-ID以及可能是 會(huì)話ID或者隨機(jī)數(shù)的字段,并且可以附加到數(shù)據(jù)分組或者其他控制消息,或者當(dāng)在該方向 上沒有數(shù)據(jù)或其他控制分組被調(diào)度時(shí),可以在獨(dú)立的控制消息中發(fā)送。當(dāng)附加到其他數(shù)據(jù) 或者控制消息時(shí),認(rèn)證字段也可以包含附加其的消息的一部分。Tauth是控制認(rèn)證字段的重 傳的定時(shí)器。AUTH-ACK是用于從其他方接收認(rèn)證字段的應(yīng)答,并且包含由其他方發(fā)送的認(rèn) 證字段的拷貝(或者部分)且也使用認(rèn)證密鑰來簽名。ACK本身可以被附加到數(shù)據(jù)分組或 者其他控制消息,或者當(dāng)在該方向上沒有數(shù)據(jù)或其他控制分組被調(diào)度時(shí),可以在獨(dú)立的控 制消息中發(fā)送。在本發(fā)明的優(yōu)選實(shí)施例中,在H0期間,雙方(MS和T-BS)實(shí)現(xiàn)圖2中圖示的狀態(tài) 圖且能并行執(zhí)行。下面,通過例子且為了保持說明的清楚,我們描述了根據(jù)本發(fā)明的優(yōu)選實(shí) 施例在H0期間由一方,MS,采取的動(dòng)作集合。應(yīng)當(dāng)強(qiáng)調(diào)該描述決不限制本發(fā)明的范圍,并且 在優(yōu)選的實(shí)施例中,T-BS也遵循與MS并行執(zhí)行的根據(jù)圖2的狀態(tài)圖的相似的步驟。在數(shù)據(jù)交換之前,沒有一方被認(rèn)證;即,對(duì)于雙方“認(rèn)證=假(AUTH = FALSE) ”。MS 保存兩個(gè)狀態(tài)變量,即“其他方認(rèn)證(otherside AUTH) ”和“被其他方認(rèn)證(AUTH by other side)”。當(dāng)“其他方認(rèn)證”被設(shè)置為“真”時(shí),意味著MS已經(jīng)從另一方(BS)接收到分組,該 另一方(BS)成功地驗(yàn)證了 BS的身份,即允許MS推斷出BS擁有共享秘密。當(dāng)“被其他方認(rèn) 證”被設(shè)置為“真”時(shí),意味著MS可以確定其自己的身份已經(jīng)被另一方驗(yàn)證,即BS已經(jīng)成功 地驗(yàn)證MS擁有共享秘密,并且已經(jīng)成功地通知MS這個(gè)事實(shí)。MS開始Tauth定時(shí)器,創(chuàng)建從共享秘密、ID,以及要附加的數(shù)據(jù)計(jì)算的認(rèn)證字段,并 且將該字段附加到數(shù)據(jù)分組。如前面所討論的,如果沒有可用的數(shù)據(jù)分組,則該字段可以在 控制消息中發(fā)送。由于無論如何沒有數(shù)據(jù)被延遲,所以這樣做沒有損失。當(dāng)“其他方認(rèn)證” 是“假”時(shí),在發(fā)送數(shù)據(jù)分組時(shí),MS對(duì)數(shù)據(jù)分組加密且在認(rèn)證其他方(T-BS)期間存儲(chǔ)它們。 如本領(lǐng)域中已知的,僅當(dāng)根據(jù)服務(wù)質(zhì)量(QoS)規(guī)則分組已經(jīng)期滿時(shí),MS才將發(fā)送的分組從 發(fā)送的隊(duì)列中移除。具體地,MS不能確定T-BS的身份直到MS成功地認(rèn)證T-BS。結(jié)果是, 由于如果T-BS的認(rèn)證失敗,則當(dāng)MS最終連接到不同的合法BS (即,將被成功認(rèn)證的BS)時(shí),將需要重新發(fā)送這些分組,所以MS必須存儲(chǔ)已發(fā)送的分組。對(duì)這個(gè)規(guī)則的唯一的例外是當(dāng) 已發(fā)送的分組根據(jù)它們所屬的流的QoS需求變得過時(shí)時(shí)。例如,流的QoS規(guī)則可以規(guī)定在 50毫秒內(nèi)沒有被成功發(fā)送到另一方的分組變得過時(shí)且應(yīng)當(dāng)被丟棄。在這樣的情況下,即使 MS不能確定它們已經(jīng)被發(fā)送給合法BS,MS也丟棄已發(fā)送的分組。這是因?yàn)槿绻鸅S的認(rèn)證 失敗且MS之后連接到合法BS,則期滿的分組將仍然是過時(shí)的?,F(xiàn)在兩種情況可發(fā)生。在第一種情況下,成功地認(rèn)證另一方的發(fā)送方(例如,MS) 從另一方(例如,T-BS)接收數(shù)據(jù)分組。如所提到的,因?yàn)門-BS也并行 地遵循與MS同樣的 圖2中圖示的狀態(tài)圖,并且因此發(fā)送帶有在第一個(gè)可用機(jī)會(huì)(即,不等待來自MS的輸入) 認(rèn)證其的簽名的數(shù)據(jù)分組,所以這可能發(fā)生。在這種情況下,MS可以驗(yàn)證所接收到的認(rèn)證 證書,并且如果認(rèn)證成功,則成功地認(rèn)證T-BS。然而,注意到由于該分組由T-BS獨(dú)立地產(chǎn) 生,所以MS還不能確定T-BS是否已經(jīng)接收到之前由MS發(fā)送的認(rèn)證證書。換句話說,MS不 能確定T-BS是否已經(jīng)驗(yàn)證了 MS的身份。在這種情況下,“其他方認(rèn)證”被設(shè)置為“真”但是 “被其他方認(rèn)證”保持為“假”。由于MS現(xiàn)在能確定分組被發(fā)送給了合法BS,所以MS然后可 以清除在認(rèn)證期間存儲(chǔ)的分組。MS進(jìn)一步創(chuàng)建AUTH-ACK字段,如果數(shù)據(jù)分組可用,則將其 附加到數(shù)據(jù)分組,并且將其發(fā)送給另一方。AUTH-ACK發(fā)信號(hào)通知T-BS帶有其(T-BS)之前 發(fā)送的認(rèn)證證書的分組已經(jīng)被MS成功地接收到并且T-BS的身份已經(jīng)被MS成功地驗(yàn)證。在第二種情況下,發(fā)送方(例如,MS),在接收任何其他的之前,接收對(duì)其之前發(fā)送 給T-BS的認(rèn)證證書的AUTH-ACK。在這種情況下,MS從T-BS接收其(MS)之前發(fā)送的認(rèn)證 證書已經(jīng)被成功地接收到且被T-BS驗(yàn)證的確認(rèn)。換句話說,MS被通知T-BS現(xiàn)在考慮它是 被認(rèn)證的,并且MS可設(shè)置“被其他方認(rèn)證”為“真”。然而,由于AUTH-ACK也使用共享秘密 來簽名,并且也可能束縛于由MS之前發(fā)送的認(rèn)證證書的拷貝(通過可能包含它們的拷貝或 者一部分),所以AUTH-ACK本身可被MS用來驗(yàn)證T-BS的身份。MS現(xiàn)在可以通過檢查包含 在AUTH-ACK中的簽名,和驗(yàn)證T-BS也擁有該共享秘密來認(rèn)證T-BS。這是因?yàn)閮H僅擁有共 享秘密的一方才能驗(yàn)證認(rèn)證證書且進(jìn)一步正確地對(duì)應(yīng)答進(jìn)行簽名。MS基于AUTH-ACK上的 簽名來驗(yàn)證T-BS的身份,并且如果其成功,則MS也設(shè)置“其他方認(rèn)證”為“真”,并且可以停 止Tauth定時(shí)器。如果MS不能驗(yàn)證AUTH-ACK上的簽名,則其忽略該分組且不改變狀態(tài)變量。應(yīng)當(dāng)注意到,當(dāng)“被其他方認(rèn)證”是“假”時(shí),并且當(dāng)定時(shí)器Tauth期滿時(shí),MS重新創(chuàng) 建之前描述的認(rèn)證字段,如果數(shù)據(jù)分組可用則將其附加到數(shù)據(jù)分組,將其重新發(fā)送給另一 方且重新開始定時(shí)器Tauth。在本發(fā)明的優(yōu)選實(shí)施例中,最大值可被強(qiáng)加于Tauth期滿的次數(shù), 并且在MS宣布與特定BS的通信和/或相互認(rèn)證不可行之前,認(rèn)證字段被重新創(chuàng)建和重傳。應(yīng)當(dāng)注意到,如果在用于附加認(rèn)證簽名或者AUTH-ACK的具體方向上沒有數(shù)據(jù)流, 則在該方向上帶有認(rèn)證字段的控制消息可被簡單地發(fā)送。如果在任一方向都沒有數(shù)據(jù)流存 在,則控制消息可用于兩個(gè)方向。設(shè)想當(dāng)另一方的認(rèn)證未決時(shí),存儲(chǔ)已經(jīng)發(fā)送給另一方的數(shù)據(jù)分組,直到另一方的 認(rèn)證成功且分組被應(yīng)答(如果使用HARQ或者ARQ),或者按照分組所屬的流的QoS需求,分 組期滿。如果分組期滿,則無論如何重新傳送分組毫無意義,由于它們對(duì)其所屬的流不再是 有用的。如果需要重傳認(rèn)證字段,則在重傳時(shí),如果分組可用,則它們將被附加到不同的分組。進(jìn)一步設(shè)想當(dāng)一方(例如,MS)成功地認(rèn)證另一方(例如,BS)時(shí),不再需要由于未決的認(rèn)證過程而存儲(chǔ)已經(jīng)發(fā)送到另一方的分組。應(yīng)當(dāng)強(qiáng)調(diào)的是,未決的認(rèn)證過程僅僅是潛在地由MS用于決定已發(fā)送的數(shù)據(jù)分組是否應(yīng)當(dāng)保留在存儲(chǔ)器中或者是否應(yīng)當(dāng)被丟棄的 準(zhǔn)則之一。因此,即使在成功地驗(yàn)證了另一方的身份之后,為了其他目的,或者按照由物理 或者高層中的重傳協(xié)議所要求的,已發(fā)送的分組仍然保留在傳送方處的存儲(chǔ)器中。例如,當(dāng) HARQ或者ARQ被使能時(shí),即使已經(jīng)完成認(rèn)證,分組仍可保留在存儲(chǔ)器中,直到它們被另一方 成功地應(yīng)答。當(dāng)必須重傳認(rèn)證字段時(shí),它不必附加有與原來的傳送相同的數(shù)據(jù)分組。當(dāng)重傳認(rèn) 證字段時(shí),它可以被附加到不同的數(shù)據(jù)分組,或者如果那時(shí)在各個(gè)方向上都沒有數(shù)據(jù)分組 可用,則它可以放在控制分組中。在本發(fā)明的另一實(shí)施例中,僅當(dāng)已經(jīng)成功地認(rèn)證了另一方,且已經(jīng)接收到通知MS BS已經(jīng)成功地驗(yàn)證了 MS的身份的AUTH ACK時(shí),MS可以選擇丟棄已經(jīng)發(fā)送到另一方和被存 儲(chǔ)的分組。根據(jù)該實(shí)施例,遵循上面所描述的所有的規(guī)則,除了僅當(dāng)“其他方認(rèn)證”和“被其 他方認(rèn)證”都變?yōu)椤罢妗睍r(shí),才丟棄在發(fā)送方(例如,MS)處存儲(chǔ)的數(shù)據(jù)分組,而不是僅當(dāng)“其 他方認(rèn)證”變?yōu)椤罢妗睍r(shí)才丟棄。例如,當(dāng)數(shù)據(jù)流中更多的可靠性是期望的時(shí),可以使用該實(shí) 施例。與使用控制消息收發(fā)相比,本發(fā)明導(dǎo)致節(jié)省了相當(dāng)多的時(shí)間。例如,在一個(gè)幀中使 用控制消息認(rèn)證且在下一幀中恢復(fù)數(shù)據(jù)通信不會(huì)僅僅導(dǎo)致一個(gè)幀的切換延遲。這是因?yàn)樾?要增加接收、拆包及處理控制消息的內(nèi)容所需的時(shí)間,它們當(dāng)前額外消耗大約10ms。換句 話說,在沒有允許與數(shù)據(jù)交換并行的認(rèn)證的方案的情況下,創(chuàng)建了至少15毫秒的HO中斷 (outage) 0還注意到如果需要重傳控制消息,則HO中斷甚至更長。使用本發(fā)明,當(dāng)正重傳 認(rèn)證字段時(shí),也重傳數(shù)據(jù)分組。有利地,本發(fā)明允許MS和BS在切換期間立即恢復(fù)數(shù)據(jù),節(jié) 省了至少15毫秒的HO延遲。參考圖4,本發(fā)明還提供了一種用于在通信系統(tǒng)中交換數(shù)據(jù)時(shí)認(rèn)證的方法。該方法 包括第一步驟通過諸如移動(dòng)站的發(fā)送通信設(shè)備從共享秘密和現(xiàn)有數(shù)據(jù)分組中的數(shù)據(jù)中獲 取100認(rèn)證簽名。認(rèn)證簽名另外可以使用發(fā)送方的標(biāo)識(shí)來獲取。下一步驟102包括由發(fā)送方(移動(dòng)站)向現(xiàn)有的數(shù)據(jù)分組在認(rèn)證字段中附加認(rèn)證 簽名。該步驟可以包括用移動(dòng)站預(yù)先已知的密鑰對(duì)數(shù)據(jù)分組進(jìn)行加密,并且由移動(dòng)站存儲(chǔ) 已加密的數(shù)據(jù)分組,直到另一方的身份被成功地驗(yàn)證,即,直到另一方被認(rèn)證。下一步驟104包括由發(fā)送方(移動(dòng)站)發(fā)送帶有所附加的認(rèn)證字段的數(shù)據(jù)分組。下一步驟106包括由接收方通信設(shè)備(例如,基站)來接收數(shù)據(jù)分組。下一步驟108包括通過驗(yàn)證認(rèn)證字段是由擁有共享秘密的發(fā)送方產(chǎn)生的認(rèn)證字 段,由接收方設(shè)備(基站)來驗(yàn)證認(rèn)證字段。接收方設(shè)備(基站)可以存儲(chǔ)任何接收到的數(shù) 據(jù)分組,直到另一方被認(rèn)證,其中如果成功認(rèn)證了另一方,則在接收方設(shè)備(基站)中將數(shù) 據(jù)分組解密且發(fā)布給上層,并且如果沒有成功認(rèn)證另一方,則丟棄數(shù)據(jù)分組。應(yīng)當(dāng)注意到, 另一方可以接收大量數(shù)據(jù)分組,其中僅僅它們中的第一個(gè)(或子集)包含認(rèn)證簽名。然后, 另一方存儲(chǔ)所有的數(shù)據(jù)分組,直到它驗(yàn)證了認(rèn)證簽名(包含在所述分組中的一個(gè)或者子集 中),并且根據(jù)簽名檢查過程的結(jié)果來釋放或者丟棄所有的分組。此外,作為同樣的步驟108的一部分,當(dāng)接收方設(shè)備(基站)成功地認(rèn)證另一方 (移動(dòng)站)時(shí),它可以丟棄發(fā)送到另一方并且在認(rèn)證另一方(移動(dòng)站)期間存儲(chǔ)的數(shù)據(jù)分組。作為下面步驟112的部分,當(dāng)接收方已經(jīng)執(zhí)行了以上步驟104時(shí),這樣的分組存在。應(yīng) 當(dāng)注意到,雙方可同時(shí)執(zhí)行這些步驟(即,步驟112)。因此,步驟100-104可被MS和BS同 時(shí)執(zhí)行是可能的。在步驟104中,雙方向彼此發(fā)送包含認(rèn)證字段的數(shù)據(jù)分組并且存儲(chǔ)數(shù)據(jù) 分組,直到它們驗(yàn)證了另一方的身份。然后,當(dāng)在步驟108中BS接收在步驟106中由MS發(fā) 送的分組時(shí),它可以驗(yàn)證MS是合法的,并且因此不需要再存儲(chǔ)它在步驟104中發(fā)送的分組。下一步驟110包括接收方設(shè)備(基站)向發(fā)送設(shè)備(移動(dòng)站)返回應(yīng)答消息。優(yōu) 選地,應(yīng)答消息包含所接收到的認(rèn)證字段的一部分且使用共享秘密被簽名。在傳送應(yīng)答消 息時(shí),如果在各個(gè)方向上數(shù)據(jù)分組可用,則應(yīng)答消息本身可以被附加到數(shù)據(jù)分組。如果之前 還沒有接收到包含認(rèn)證信息的另一個(gè)分組,則當(dāng)發(fā)送設(shè)備(MS)接收應(yīng)答(由基站發(fā)送的) 時(shí),它可使用其中包含的簽名來驗(yàn)證基站的身份。在這種情況下,并且如果成功地驗(yàn)證了包 含在應(yīng)答中的認(rèn)證簽名,則MS可進(jìn)而丟棄發(fā)送到另一方且在認(rèn)證另一方(基站)期間存儲(chǔ) 的數(shù)據(jù)分組。下一步驟112包括以相反的發(fā)送和接收設(shè)備(移動(dòng)站和基站)的角色重復(fù)以上步 驟,以在移動(dòng)站和基站之間提供相互認(rèn)證。優(yōu)選地,這些步驟可并行進(jìn)行且可在一個(gè)數(shù)據(jù)幀 中完成。這里示出和描述的順序和方法可以用與所描述的不同的順序來執(zhí)行。附圖中圖示 的具體的順序、功能,以及操作僅僅是說明本發(fā)明的一個(gè)或者多個(gè)實(shí)施例,并且其他實(shí)現(xiàn)對(duì) 本領(lǐng)域技術(shù)人員將顯而易見。附圖意在圖示可被本領(lǐng)域普通技術(shù)人員理解且適當(dāng)?shù)貓?zhí)行的 本發(fā)明的多個(gè)實(shí)現(xiàn)。對(duì)于示出的具體實(shí)施例,可以替換為了實(shí)現(xiàn)相同的目的而計(jì)算的任何布置。本發(fā)明可以用任何適合的形式來實(shí)現(xiàn),包括硬件、軟件、固件或任何這些方式的任 何組合。本發(fā)明可選地被部分實(shí)現(xiàn)為在一個(gè)或者多個(gè)數(shù)據(jù)處理器和/或數(shù)字信號(hào)處理器上 運(yùn)行的計(jì)算機(jī)軟件。本發(fā)明的實(shí)施例的元素和組件可以以任何適合的方式在物理上、功能 上和邏輯上被實(shí)現(xiàn)。實(shí)際上功能性可以在單個(gè)單元中、多個(gè)單元中或作為其他功能單元的 一部分來實(shí)現(xiàn)。因而,本發(fā)明可以在單個(gè)單元中實(shí)現(xiàn)或者可以在物理上和功能上分布在不 同的單元和處理器之間。盡管已經(jīng)結(jié)合一些實(shí)施例對(duì)本發(fā)明進(jìn)行了描述,但并不意在將它限制于這里所闡 述的具體形式。相反地,本發(fā)明的范圍僅僅通過權(quán)利要求來限制。另外,雖然可能看起來結(jié) 合具體的實(shí)施例描述了特征,但是本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到根據(jù)本發(fā)明可以合并所描述的 實(shí)施例的多個(gè)特征。在權(quán)利要求中,術(shù)語“包括”并不排除其他元素或者步驟的存在。此外,權(quán)利要求中特征的順序并不暗示特征必須起作用的任何特定順序,并且具 體地,方法權(quán)利要求中各個(gè)步驟的順序并不暗示這些步驟必須以該順序執(zhí)行。相反地,這些 步驟可以以任何適合的順序來執(zhí)行。另外,單數(shù)的指代并不排除復(fù)數(shù)。因而“一”、“一個(gè)”、 “第一”、“第二”等的指代并不排除復(fù)數(shù)。
權(quán)利要求
一種用于在通信系統(tǒng)中交換數(shù)據(jù)時(shí)認(rèn)證的方法,所述方法包括下列步驟由發(fā)送方將認(rèn)證字段附加到現(xiàn)有數(shù)據(jù)分組;由所述發(fā)送方發(fā)送已附加認(rèn)證字段的所述數(shù)據(jù)分組;以及由接收方接收所述數(shù)據(jù)分組;通過驗(yàn)證在所述認(rèn)證字段中的信息是由擁有共享秘密的發(fā)送方產(chǎn)生的,由所述接收方來驗(yàn)證所述信息。
2.根據(jù)權(quán)利要求1所述的方法,其中,在所述附加步驟的所述認(rèn)證字段中的所述信息 包括從共享秘密和在所述數(shù)據(jù)分組中的數(shù)據(jù)獲取的認(rèn)證簽名。
3.根據(jù)權(quán)利要求2所述的方法,其中,在所述附加步驟的所述認(rèn)證字段中的所述信息 包括從所述發(fā)送方的標(biāo)識(shí)進(jìn)一步獲取的所述認(rèn)證簽名。
4.根據(jù)權(quán)利要求1所述的方法,其中,在所述附加步驟之后,進(jìn)一步包括下列步驟用預(yù)先已知的密鑰對(duì)所述數(shù)據(jù)分組進(jìn)行加密;以及存儲(chǔ)已加密的數(shù)據(jù)分組。
5.根據(jù)權(quán)利要求1所述的方法,進(jìn)一步包括向所述發(fā)送方返回應(yīng)答消息的步驟。
6.根據(jù)權(quán)利要求5所述的方法,其中,所述應(yīng)答消息包含所接收到的認(rèn)證字段的一部 分和從共享秘密獲取的簽名中的至少一個(gè)。
7.根據(jù)權(quán)利要求1所述的方法,進(jìn)一步包括所述接收方存儲(chǔ)所接收到的數(shù)據(jù)分組,直 到認(rèn)證了所述發(fā)送方的步驟,其中,如果認(rèn)證了所述發(fā)送方,則在所述接收方中將所述數(shù)據(jù) 分組解密并釋放到上層,而如果沒有認(rèn)證所述發(fā)送方,則丟棄所述數(shù)據(jù)分組。
8.根據(jù)權(quán)利要求1所述的方法,進(jìn)一步包括所述發(fā)送方存儲(chǔ)已發(fā)送的數(shù)據(jù)分組,直到 它從所述接收方接收到認(rèn)證的步驟,其中,如果接收到認(rèn)證,則所述發(fā)送方丟棄已發(fā)送和存 儲(chǔ)的所述分組。
9.根據(jù)權(quán)利要求1所述的方法,進(jìn)一步包括以相反的所述發(fā)送方和接收方的角色重復(fù) 以上步驟,以便在所述發(fā)送方和接收方之間提供相互認(rèn)證的步驟。
10.一種用于在移動(dòng)站和基站之間在通信系統(tǒng)中交換數(shù)據(jù)時(shí)認(rèn)證的系統(tǒng)發(fā)送通信單元,所述發(fā)送通信單元將認(rèn)證字段附加到現(xiàn)有數(shù)據(jù)分組,并且由所述發(fā)送 方發(fā)送已附加認(rèn)證字段的所述數(shù)據(jù)分組;以及接收方通信單元,所述接收方通信單元接收所述數(shù)據(jù)分組,并且通過驗(yàn)證在所述認(rèn)證 字段中的信息是由擁有共享秘密的發(fā)送方產(chǎn)生的來驗(yàn)證所述信息。
全文摘要
描述了用于在通信系統(tǒng)中交換數(shù)據(jù)時(shí)認(rèn)證的裝置及方法,該方法包括從共享秘密、現(xiàn)有數(shù)據(jù)分組中的數(shù)據(jù)、和/或發(fā)送方標(biāo)識(shí)來獲取(100)認(rèn)證簽名。下一步驟(102)包括將認(rèn)證字段中的認(rèn)證簽名附加到現(xiàn)有數(shù)據(jù)分組。下一步驟(104)包括發(fā)送已附加認(rèn)證字段的數(shù)據(jù)分組。下一步驟(106)包括由基站接收數(shù)據(jù)分組。下一步驟(108)包括驗(yàn)證認(rèn)證字段是由擁有共享秘密的發(fā)送方產(chǎn)生的。下一步驟(110)包括返回應(yīng)答消息。
文檔編號(hào)H04L9/32GK101878615SQ200880117945
公開日2010年11月3日 申請(qǐng)日期2008年10月9日 優(yōu)先權(quán)日2007年11月30日
發(fā)明者拉杰夫·阿格瓦爾, 斯塔夫羅斯·察維達(dá)斯 申請(qǐng)人:摩托羅拉公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1