專利名稱:通信網中的鑒權的制作方法
技術領域:
本發(fā)明涉及通信網中的鑒權,更特別地,雖然不是必要的,涉及在被訪問的通信網 中漫游的無線終端的鑒權。
背景技術:
圖1以圖表描述了用于移動無線終端的蜂窩通信網的結構。該網絡包括一組由 IP網12相互連接的接入節(jié)點4、6。訂戶擁有用戶設備(UE) 1,并具有向“歸屬”網絡3的預 訂。歸屬網絡具有歸屬位置寄存器(HLR) 10,其包括存儲諸如計費信息、服務允許以及訂戶 位置的訂戶信息的數據庫。訂戶可以帶著UE且漫游至一個訪問的外國無線網絡2,在那里 他希望通過第一接入節(jié)點4訪問某些通信服務,例如語音呼叫(通過電路交換網絡路由)、 互聯(lián)網接入、與其它UE的對等數據連接或其它數據業(yè)務。在訂戶被允許通過UE接入這些 服務之前,被訪問的網絡要求鑒權訂戶,這典型地通過被訪問的網絡2與歸屬網絡3聯(lián)系而 實現。被訪問的網絡可以執(zhí)行某些初始檢查以核實UE在進行合法的請求。被訪問的網絡2不會準許訂戶接入任何服務,直到它獲知這些接入將被付費為 止,且被訪問網絡因而發(fā)送鑒權請求5到歸屬網絡以確定訂戶是否是歸屬網絡注冊的訂 戶,并因而是可信任的。只有在歸屬網絡3在消息5’中確認訂戶在歸屬網絡中注冊,被訪問 的網絡才提供對可用服務的接入。鑒權進程可能需要在被訪問網絡和歸屬網絡之間交換多 于一對消息5、5’。在其花費的時間方面以及在通信網上強加的通信額外開銷方面,整個鑒 權過程都可能是一個冗長的進程。用于鑒權漫游訂戶的協(xié)議包括MAP、RADIUS和DIAMETER。在成功鑒權后,情況可能改變,以致于UE必須通過一個替換的接入節(jié)點6接入被 訪問網絡。UE用于連接被訪問網絡的接入節(jié)點可能依賴于多種因素,尤其包括物理接近度、 帶寬容量和現有的運行負載。例如在無線LAN中情況可能如此,這里小區(qū)尺寸很小,而UE 在接入節(jié)點之間的移動很頻繁。每次在UE希望附接到一個新的接入節(jié)點時,接入節(jié)點必須通過發(fā)送請求7到歸屬 網絡3并等待來自歸屬網絡的響應7’,而重復由前一接入節(jié)點執(zhí)行的鑒權過程。該第二鑒 權過程花費與初始鑒權過程類似長度的時間并消耗類似的網絡資源量。在網絡中傳輸過 量的信令數據是不希望的;網絡操作員被提供給固定的帶寬分配,并且只能為服務相關的 數據向訂戶收費。信令數據代表不可收費的帶寬使用,并且網絡操作員希望將其使用最小 化。第二鑒權過程將很可能導致為訂戶提供的服務的中斷。如果例如訂戶訪問網址,這可 能不是一個重要問題,這里被提供數據中的較小延遲不會對提供的服務質量造成不利的影 響。然而,對于諸如語音呼叫或流播多媒體廣播這樣的服務來說,對這種服務的中斷是不希 望的。因此,希望提供一種減少切換接入節(jié)點時的鑒權時間的安全鑒權機制。還希望提 供一種安全的鑒權機制,其繞過查詢歸屬網絡以確認UE的身份的需要,從而減少歸屬網絡 上的信令開銷。已提出一種稱為“快速移交(handoff) ”的概念用于網絡中,其中UE在不同接入節(jié)點之間頻繁地切換,這個概念提供了一種更快速的手段用于在備選的接入節(jié)點之間進行切 換。提供了完全的鑒權,但繞過了歸屬網絡。這可以通過以下方式來實現使用來自歸屬網 絡的搶先(preemptive)控制,例如在從當前的接入節(jié)點切換之前鑒權一個UE以使用一個 新接入節(jié)點,或通過兩個接入節(jié)點間的一些上下文傳輸,從而完全地避開歸屬網絡。這些快速移交機制的第一點是仍然經受不希望的大量信令開銷,從而在UE每次 切換接入節(jié)點時需要在歸屬和被訪問網絡之間的更多信令。進一步考慮這些“快速移交”機 制的第二點,已經提出了許多不同的快速移交實現,并且這些實現都通過使用分發(fā)給接入 節(jié)點的某種類型的會話密鑰或再次鑒權密鑰來避免與歸屬網絡3的過量的通信。這些密鑰 在初始鑒權期間由歸屬網絡和被訪問網絡雙方商定,而密鑰在被訪問網絡的接入節(jié)點間分 發(fā)。這使得在接入節(jié)點之間切換時UE能夠快速地再次附接,而并不會使系統(tǒng)受不必要的安 全脆弱性的影響,主要的一個脆弱性是單一的泄密(comprised)的接入節(jié)點具有對所有 這樣的會話和再次鑒權密鑰的接入。單一的泄密的接入節(jié)點因而能夠為惡意的第三方提供 信息,這將使得該第三方能夠模仿UE且在不必提供付費的情況下從被訪問網絡接入服務。因此,希望提供一種用于在接入網絡的接入節(jié)點之間快速切換移動節(jié)點的快速移 交機制,其避免了單一接入節(jié)點可能泄密而允許第三方接入其它接入節(jié)點的風險。
發(fā)明內容
根據本發(fā)明的第一方面,提供了一種向通信系統(tǒng)鑒權移動節(jié)點的方法,該通信系 統(tǒng)包括多個接入節(jié)點,該方法包括(a)使用單向編碼函數(one-way coding function)來 生成包括一系列值的數值鏈,使得鏈內一個給定的值可以很容易地從一個隨后的值得到, 但該隨后的值不能輕易地從那個給定的值得到;(b)從移動節(jié)點發(fā)送來自第一數值鏈的一 個值到移動節(jié)點希望附接的接入節(jié)點;并且(c)在接入節(jié)點處使用該已發(fā)送值來鑒權該移 動節(jié)點。根據本發(fā)明的第二方面,提供了一種當移動節(jié)點根據任意前述權利要求向接入節(jié) 點鑒權自己時得出安全的鑒權密鑰的方法,該方法包括提供由該移動節(jié)點和一第一接入節(jié) 點使用的第一鑒權密鑰Kstl ;發(fā)送第一鑒權密鑰的散列hash(Kstl)到一第二接入節(jié)點和該移 動節(jié)點;以及根據散列hash (Kstl)生成新的鑒權密鑰KS1。根據本發(fā)明的另一方面,提供了一種移動無線終端,該終端包括用于使用單向編 碼函數生成并存儲第一數值鏈的裝置,該第一數值鏈包括一系列η個值,使得鏈內一個給 定的值可以很容易地從一個隨后的值得到,但該隨后的值不能輕易地從那個給定的值得 到;以及用于向接入節(jié)點公開該數值鏈的值以允許接入節(jié)點鑒權該移動無線終端的裝置。根據本發(fā)明的又一方面,提供了一種通信系統(tǒng)的接入節(jié)點,具有用于從移動節(jié)點 接收第一數值鏈的值的裝置,該第一數值鏈包括一系列η個值,使用單向編碼函數使得鏈 內一個給定的值可以很容易地從一個隨后的值得到,但該隨后的值不能輕易地從那個給定 的值得到;以及用來基于該值而鑒權該移動節(jié)點的裝置。根據本發(fā)明的再一方面,提供了一種通信系統(tǒng)的控制節(jié)點,具有用于從移動節(jié)點 或接入節(jié)點接收第一數值鏈的值的裝置,該第一數值鏈包括一系列η個值,使用單向編碼 函數使得鏈內一個給定的值可以很容易地從一個隨后的值得到,但該隨后的值不能輕易地 從那個給定的值得到;以及用來基于該值而鑒權該移動節(jié)點的裝置。
圖1概略地顯示了通信網絡的結構;圖2概略地顯示了根據本發(fā)明一個實施例的通信網絡的結構;以及圖3是表明本發(fā)明某些實施例的方法的流程圖。
具體實施例方式圖2概略地顯示了根據本發(fā)明第一實施例的用于移動無線終端的蜂窩通信網絡 的結構,用相似的數字代表與圖1中所示的相似的部件。接入節(jié)點4、6由網絡互相連接。網 絡可以是蜂窩電信網絡,例如3G網絡、WLAN、3G和WLAN網絡的結合,或任何其它類型的蜂 窩網絡。歸屬網絡3的訂戶擁有移動無線終端1,并且試圖接入來自被訪問的(外國)無線 網絡2的諸如語音呼叫、互聯(lián)網接入或其它數據業(yè)務的服務。在準許訂戶接入服務之前,被 訪問網絡需要來自訂戶的歸屬網絡的授權。為了使訂戶被鑒權,被訪問網絡發(fā)送鑒權請求 到歸屬網絡,歸屬網絡在HLR 10中檢查訂戶的詳細情況。在MAP、RADIUS和DIAMETER (RFC 3588)協(xié)議以及用于無線網絡尤其是802. Ix,802. Ili和EAP(RFC 2298)的協(xié)議中定義了鑒 權過程。成功鑒權之后,被訪問網絡在其訪問者位置寄存器(VLR)Il中存儲訂戶的詳細情 況。UE進而可以通過第一接入節(jié)點4接入從被訪問網絡可獲得的服務??梢允褂媚超F有的交換協(xié)議來產生鑒權密鑰或會話密鑰,并將其用于在初始鑒權 之后加密UE和給定接入節(jié)點之間的業(yè)務。在初始鑒權過程(例如消息5、5’的交換)期間,確定一個數值鏈,其將被用于在移 動節(jié)點在稍后的階段中切換接入節(jié)點時再次鑒權該移動節(jié)點。在某些實施例中,數值鏈可 能對UE來說已知。在一些實施例中(可能更適于應用到現有協(xié)議如RADIUS和DIAMETER), 數值鏈對UE和歸屬網絡都是已知的。該鏈是一系列η個數字,具有值氏為…艮,使得鏈內 一個給定的值可以很容易地從一個隨后的值得到,但該隨后的值不能輕易地從該給定的值 得到。這可以通過使用單向編碼函數,例如hash(散列)函數來實現,以得到一個鏈,其中 Hp1 = hash (Hi)。函數hash ()以這樣的方式定義,使得很難倒轉(reverse)該運算,即得 到該函數已經對其進行運算的值。所用的單向hash函數可能例如為MD5或SHA-I。函數 hash()可以為公知常識;其單向功能性意味著它不必是秘密的。任何在密碼學上是安全的 單向函數都合適。數值鏈從一個作為鏈的最后一個值的種子值Hn生成。單向hashO函數的接連應 用返回該鏈中在前的值,向下返回至序列中的第一個數字Hp種子值在UE和歸屬網絡之間 商定,在兩方之間以某種加密形式發(fā)送。種子值可以由偽隨機數字生成器生成。替換地,種 子值可以基于某些僅為UE和歸屬網絡所知或僅可由其得出的值,例如EAP MSK或EMSK值, 在該情況中現有鑒權協(xié)議將不必被適配以實現這個實施例的協(xié)議。根據一個替換實施例, UE自己生成種子值,歸屬網絡對其并不知道,因而也不能獲取它。生成種子值后,UE和歸屬網絡都能通過單向編碼函數的接連應用來生成剩余的序 列而獲取Hp緊跟在訂戶到被訪問網絡的初始鑒權之后,值H1與鑒權加密密鑰Kk 一起、通 過UE附接的接入節(jié)點的第一個接入節(jié)點而分發(fā)給接入網絡中的接入節(jié)點。替換地,接入節(jié) 點從控制節(jié)點接收H1的值。UE或歸屬網絡向控制節(jié)點提供H1,控制節(jié)點隨后更新接入節(jié)點
考慮UE移動到一個新的接入節(jié)點的情形,UE向第二接入節(jié)點6給出鑒權密鑰Κκ, 并通過給出數值鏈中的值H2來確認其身份。第二接入節(jié)點6知道該單向編碼函數,并將該 函數應用于值H2,因而得到值H1,因為hash (H2) = H10第二接入節(jié)點將先前分發(fā)給該接入節(jié) 點的H1的值與通過對由UE提供的值H2 “散列”得到的H1的值相比較。由于知道數值鏈中 隨后的值的僅有兩個設備是UE和歸屬網絡,如果這兩個H1的值相等,則認為UE已被鑒權。 如果這兩個比較的值不匹配,則可能拒絕接入服務的請求。成功鑒權之后,第二接入節(jié)點6 發(fā)送更新通知消息8到接入網絡的其它接入節(jié)點,使得它們知道UE已經切換了接入節(jié)點。 更新通知消息可以包括UE提供的最近的H值,或替換地,它可以簡單地包括UE已經切換接 入節(jié)點的指示,在該情況下接入網絡中的其它接入節(jié)點使計數器遞增1。當UE希望切換至另一個接入節(jié)點并要求另一次的再次鑒權時,UE向該另一接入 節(jié)點提供數值鏈中的下一個H值。該另一接入節(jié)點進而用hash ()函數對該公開的H值運算 并將其與最近分發(fā)的H值進行比較,或者,在僅使一個計數器遞增的情況中,它應用hashO 函數適當的連續(xù)次數并將該結果與存儲的H值比較。要求UE在每次請求再次鑒權時它使 用序列中比已經使用的那些值更高的H值,以確保泄密的接入節(jié)點不能使用它的在UE尚未 訪問過的接入節(jié)點處的Kk的知識。更新通知可以通過本地多播機制發(fā)送到接入網絡的所有接入節(jié)點。該過程和氏和 Ke的初始分發(fā)必須是安全的。在另一個實施例中,涉及多個用戶的信息的分發(fā)被分批地發(fā) 送,例如,所有用戶信息每10秒更新。在一個替換實施例中,UE通過控制節(jié)點向新AN鑒權。代替向接入節(jié)點廣播更新 通知,控制節(jié)點存儲新H值。當UE請求在另一接入節(jié)點鑒權,該另一接入節(jié)點用UE提供的 新H值詢問控制節(jié)點??刂乒?jié)點將單向函數應用于新H值以便與存儲的H值比較。如果兩 個值匹配,控制節(jié)點向另一接入節(jié)點鑒權該UE。在該實施例中,接入節(jié)點不需要能存儲或將 單向編碼函數應用于所提供的H值。使一個信任的單一位置執(zhí)行鑒權、而不是在整個通信 系統(tǒng)中分發(fā)值也潛在地是更安全的。η個值的數值鏈是通過對初始種子值進行η-1次散列函數的連續(xù)迭代而生成的。 通過允許單向編碼函數的最大η-1次應用,系統(tǒng)僅允許在接入節(jié)點間有限次的轉交。在達 到接入節(jié)點間允許的最大數目的轉交之后,必須通過在UE和歸屬網絡處生成一個新的數 值鏈來重新啟動該過程。因此,在該系統(tǒng)被第三方損害的事件中,該系統(tǒng)將僅允許此第三方 在系統(tǒng)的安全性恢復之前有限次地切換接入節(jié)點。因此,為了通過要求對歸屬網絡的更頻 繁的檢查來設置更高級別的安全性,η的值被設定得較低。圖3的流程圖中顯示了上述實施例的方法的步驟,其中η的值在每次連續(xù)的授權 嘗試時遞增1。在又一實施例中,數值鏈的值可以用來生成UE的新IP地址,如果不是全部也至少 是部分的新IP地址。當UE附接至一新的接入節(jié)點時,它必須公開數值鏈的下一個值。它 還可以使用該值根據英國專利No. 2367986的方法來生成IP地址的接口標識符部分,其內 容在這里引用作為參考。根據本發(fā)明的再一實施例,UE在每次希望將其附接至新的接入節(jié)點時,它公開序 列中向前的、比下一個更遠的H值,例如,如果UE向附接其自己的上一個接入節(jié)點公開了 H3,那么它可以公開H5 (或任何更高的H值,一直到Hn),而不公開Η4。在該情況中,新的接入節(jié)點必須多于一次地將hash()函數應用于公開的值,以便將其輸出與最近分發(fā)的公共H值 相比較。任何另外的接入節(jié)點可能僅被提供了 H1以及來自較早的更新通知的指示UE已 經切換接入節(jié)點給定數目m次。單獨基于該信息,另一個接入節(jié)點知道它必須將單向編碼 函數應用于尋求鑒權的UE提供的H值至少m+1次,最多應用n-1次。如果經過散列的值沒 有一個與UE提供的相對應,則接入節(jié)點必須假定再次鑒權請求是不能許可的。根據本發(fā)明的還一實施例,由UE和歸屬網絡產生多個數值鏈以便UE可以在多個 接口上并行地使用它們。該多個鏈使用不同的種子值和相同的單向編碼函數生成。替換地, 多個鏈可以實現不同的單向編碼函數,隨后的通信承載了已在一給定鏈上實現該編碼函數 的指示。這創(chuàng)建了一種快速的“多歸屬”機制,其中即使在具有多個接口的節(jié)點上也僅需要 單一初始鑒權。對每個接口必須使用不同的數值鏈以避免一個重放攻擊。根據本發(fā)明的再一實施例,數值鏈通過修改單向編碼函數而與接入節(jié)點接口上的 特定MAC地址綁定,使Hg = hash (Hi, MAC地址),使得第三方不可能宣稱一給定數值鏈對 另一 MAC地址有效。即使第三方獲取UE的MAC地址,任何模仿UE的嘗試都必須加蓋第三 方自己的MAC地址戳,接入節(jié)點將能夠因為這是欺騙性的而拒絕該服務請求。根據本發(fā)明的另外的實施例,提供了一種用于得出如上描述的在UE切換接入節(jié) 點時使用的安全鑒權密鑰的方法。初始地假設UE和第一接入節(jié)點共享公共鑒權密鑰KS(I。 用于實現這一點的方法是已知的。在另一實施例中,剛一從第一接入節(jié)點切換到新接入節(jié) 點,第一接入節(jié)點就發(fā)送包含值hash (Kso)的消息到新接入節(jié)點,新接入節(jié)點發(fā)送這些值到 UE。UE然后能夠通過其自身對Kstl進行散列,來確認該消息確實起始自第一接入節(jié)點。然 后,UE和新接入節(jié)點能夠使用等式Ksi = hash (hash (Kstl))來得出新鑒權密鑰。新接入節(jié)點 不能確定原始的鑒權密鑰Kstl,因為它不能倒轉該單向編碼函數hash(KS(l)來得到KS(I。由第 一節(jié)點發(fā)送的消息還可以包括現時(nonce)Nptl,在這種情況中該新的鑒權密鑰使用等式Ksi =hash (hash (Kso),Npo)來生成。在另一實施例中,第一接入節(jié)點發(fā)送鑒權密鑰的散列hash(KS(l)到新接入節(jié)點,而 移動節(jié)點和新接入節(jié)點交換現時Nei和Nai,新鑒權密鑰使用等式Ksi = hash (hash (Kso),Nci, Nai)得出,以便第一接入節(jié)點不能獲悉新鑒權密鑰,除非它截取該現時交換,并且新接入節(jié) 點不能獲悉更早的鑒權密鑰,因為它不能倒轉該單向編碼函數來獲取KS(I。在還一個實施例 中,第一接入節(jié)點還可以隨hash(Kstl)的值一起發(fā)送現時ΝΡ0,在這種情況中新鑒權密鑰使 用等式 Ksi = hash (hash (Kso),Npo, Nci,Nai)生成。本發(fā)明提供了一種向接入網絡的接入節(jié)點鑒權移動節(jié)點的方法。本領域技術人員 應該了解對上述實施例可以做出各種修改,而不背離本發(fā)明的范圍。
權利要求
一種向通信系統(tǒng)鑒權移動節(jié)點的方法,該通信系統(tǒng)包括多個接入節(jié)點,所述移動節(jié)點能夠在所述多個接入節(jié)點之間漫游;以及與所述多個接入節(jié)點通信的控制節(jié)點,該方法包括(a)使用單向編碼函數生成包括一系列值的數值鏈,使得鏈內的給定值能夠容易地從隨后的值得到,但該隨后的值不能夠容易地從那個給定值得到;(b)每一次所述移動節(jié)點向接入節(jié)點尋求對它自己進行鑒權時,從所述移動節(jié)點將來自所述數值鏈的值發(fā)送到該移動節(jié)點希望附接的接入節(jié)點,在所述鏈中已發(fā)送值的隨后的值已經發(fā)送給接入節(jié)點;(c)所述接入節(jié)點將已發(fā)送值轉發(fā)給所述控制節(jié)點;并且(d)在所述控制節(jié)點處將所述單向編碼函數應用到所發(fā)送值從而基于所述鏈中所發(fā)送值之前的所述數值鏈的值對所述移動節(jié)點進行鑒權。
2.根據權利要求1的方法,其中所述移動節(jié)點的鑒權包括將應用到已發(fā)送值至少一次 的所述單向編碼函數的輸出與所述數值鏈的較早值進行比較。
3.根據權利要求2的方法,其中所述數值鏈的較早值是直接在已發(fā)送值之前的值。
4.根據權利要求1的方法,其中當所述移動節(jié)點成功鑒權時,所述控制節(jié)點存儲更新 通知。
5.根據權利要求4的方法,其中通知更新包括所述移動節(jié)點提供的已發(fā)送值。
6.根據權利要求1的方法,其中所述數值鏈的值Hg能夠利用定義成使得Hg= hash(Hi)的單向編碼函數從所述數值鏈的值Hi獲得。
7.根據權利要求1的方法,其中通過提供所述數值鏈的種子值Hn生成所述數值鏈,所 有后續(xù)的值能夠通過連續(xù)地應用所述單向編碼函數而獲得。
8.根據權利要求7的方法,其中所述種子值Hn是基于僅為所述移動節(jié)點和歸屬網絡所 知的值。
9.根據權利要求7的方法,其中所述種子值Hn是基于僅為所述移動節(jié)點所知的值。
10.根據權利要求7的方法,其中所述種子值Hn基于EAPMSK或EMSK值。
11.根據權利要求8的方法,其中所述種子值Hn基于隨機生成的值。
12.根據權利要求8的方法,其中對所述種子值進行加密以使得所述接入節(jié)點不能確 定所述種子值。
13.根據權利要求1的方法,其中通過將單向編碼函數連續(xù)應用于種子值而得到的數 值鏈的第一個值是通過移動節(jié)點或移動節(jié)點預訂的歸屬網絡來提供給該鑒權節(jié)點的。
14.一種向通信系統(tǒng)鑒權移動節(jié)點的方法,該通信系統(tǒng)包括多個接入節(jié)點、多個接口以 及與所述多個接入節(jié)點通信的控制節(jié)點,該方法包括生成多個數值鏈,多個數值鏈的每一 個對應于多個接口之一,以及根據權利要求1的方法在該多個接口處鑒權該移動節(jié)點。
15.根據權利要求14的方法,其中移動節(jié)點并行地向多個接口鑒權它自己。
16.根據權利要求1的方法,其中數值鏈的值用于生成至少部分所述移動節(jié)點的IP地址。
17.根據權利要求1的方法,其中每個數值鏈被綁定到對應于特定接入節(jié)點的特定MAC 地址。
18.根據前述權利要求1的方法,其中所述通信系統(tǒng)包括無線接入網絡,以及所述移動節(jié)點是無線終端。
19.一種當移動節(jié)點在通信系統(tǒng)中漫游時鑒權移動節(jié)點的方法,該方法包括在移動節(jié)點從通信系統(tǒng)的第一接入節(jié)點切換到第二接入節(jié)點之后,使用前述任一權利 要求的方法向第二接入節(jié)點鑒權該移動節(jié)點。
20.根據權利要求19的方法,其中所述移動節(jié)點先前已經通過移動節(jié)點的歸屬網絡向 所述通信系統(tǒng)鑒權。
21.一種當移動節(jié)點根據前述權利要求向接入節(jié)點鑒權自己時得出安全的鑒權密鑰的 方法,該方法包括提供第一鑒權密鑰Kstl,以供由所述移動節(jié)點和第一接入節(jié)點使用;發(fā)送第一鑒權密鑰的散列hash (Kstl)到第二接入節(jié)點和所述移動節(jié)點;以及根據所述散列hash (Kstl)生成新的鑒權密鑰KS1。
22.根據權利要求21的方法,其中新鑒權密鑰是通過根據函數Ksi= hash (hash (Kso)) 來對散列hash (Kstl)取散列而生成的。
23.根據權利要求21的方法,進一步包括步驟在所述移動節(jié)點和所述第二接入節(jié)點之間交換由移動節(jié)點提供的第一現時Na和由第 二接入節(jié)點提供的第二現時Nai ;并且其中新鑒權密鑰Ksi是根據函數Ksi = hash (hash (Ksq), Nci, Nai)、按照第一會話密鑰Kstl、第一現時Na和第二現時Nai的散列來生成。
24.一種通信系統(tǒng)的控制節(jié)點,具有用于從移動節(jié)點或接入節(jié)點接收第一數值鏈的值 的裝置,所述第一數值鏈包括一系列η個值,使用單向編碼函數使得鏈內的給定值能夠容 易地從隨后的值得到,但隨后的值不能夠容易地從那個給定值得到;以及用來基于所述值 而鑒權移動節(jié)點的裝置。
全文摘要
本發(fā)明涉及通信網中的鑒權,提供了向通信系統(tǒng)鑒權移動節(jié)點的方法,通信系統(tǒng)包括多個接入節(jié)點,移動節(jié)點能在多個接入節(jié)點之間漫游;以及與多個接入節(jié)點通信的控制節(jié)點,包括(a)使用單向編碼函數生成包括一系列值的數值鏈,使得鏈內給定值能容易地從隨后值得到,但隨后值不能容易地從該給定值得到;(b)每一次移動節(jié)點向接入節(jié)點尋求對它自己鑒權時,從移動節(jié)點將來自數值鏈的值發(fā)送到移動節(jié)點希望附接的接入節(jié)點,在所述鏈中已發(fā)送值的隨后值已經發(fā)送給接入節(jié)點;(c)接入節(jié)點將已發(fā)送值轉發(fā)給控制節(jié)點;并且(d)在控制節(jié)點處將單向編碼函數應用到所發(fā)送值從而基于所述鏈中所發(fā)送值之前的數值鏈的值鑒權移動節(jié)點。
文檔編號H04W12/06GK101909296SQ20101017086
公開日2010年12月8日 申請日期2003年12月24日 優(yōu)先權日2003年12月24日
發(fā)明者J·阿科, M·奈斯隆德, P·尼坎德 申請人:艾利森電話股份有限公司