用于实现对多重认证的高效率支持的方法和装置的制作方法

专利名称：用于实现对多重认证的高效率支持的方法和装置的制作方法
用于实现对多重认证的高效率支持的方法和装置
根据35 U.S.C. §119的优先权要求
本专利申请要求于2007年5月7日提交的题为"METHOD AND APPARATUS FOR EFFICIENT SUPPORT FOR MULTIPLE AUTHENTICATIONS (用于实现对多重认证的高效率支持的方法和装置)" 的临时申请No. 60/916,530的优先权，其已转让给本申请受让人并因而被明确 援引纳入于此。
背景
领域
本发明一般涉及无线通信，尤其涉及多重认证。
背景
无线通信系统被广泛部署用以提供诸如语音、数据等各种类型的通信内 容。这些系统可以是能够通过共享可用系统资源(例如，带宽和发射功率)来 支持多用户通信的多址系统。这样的多址系统的示例包括码分多址(CDMA) 系统、时分多址(TDMA)系统、频分多址(FDMA)系统、3GPPLTE系统、 以及正交频分多址(OFDMA)系统。
一般而言，无线多址通信系统可同时支持多重无线终端的通信。每个终端 经由前向和反向链路上的传输与一个或更多个基站通信。前向链路(或下行链 路)是指从基站至终端的通信链路，而反向链路(或上行链路)是指从终端至 基站的通信链路。这种通信链路可经由单入单出、多入单出或多入多出 (MIMO)系统来建立。概述
本发明的一个方面可在于一种用于在无线通信系统中进行多重基于EAP 的认证的方法。在该方法中，在为第一类型的接入进行的第一基于EAP的认 证中生成第一主会话密钥(MSK)。从该第一主会话密钥(MSK)生成第一 临时会话密钥(TSK)。使用该第一临时会话密钥(TSK)为第二类型的接入 执行第二基于EAP的认证。在第一和第二基于EAP的认证成功完成之后提供 第一类型的接入和第二类型的接入。
在本发明的更详细的方面中，该方法还可包括在第二基于EAP的认证中 生成第二主会话密钥(MSK)。同样，该方法还可包括从第二主会话密钥(MSK) 生成第二临时会话密钥(TSK)。该第二临时会话密钥(TSK)可被用在第三 认证中。替换地，该方法还可包括如果在第二基于EAP的认证中没有生成第 二主会话密钥(MSK)，则将第一临时会话密钥(TSK)用于第三基于EAP 的认证。第一和第二基于EAP的认证可以是单个会话的一部分。
在本发明的其他更详细的方面中，该方法还可包括生成指示符消息以指示 第一和第二基于EAP的认证是否成功完成。该指示符消息可具有值1以指示 第一和第二基于EAP的认证的成功完成，并且具有值0以指示第一和第二基 于EAP的认证尚未完成。该指示符消息可以是ValidPMKExists (存在有效 PMK)标志。
补充地，第一基于EAP的认证可包括包含第一认证类型的EAP请求/身份 消息，而第二基于EAP的认证可包括包含第二认证类型的EAP请求/身份消息。 该方法还可包括在第一基于EAP的认证中生成第一域专有根密钥(DSRK)， 在第二基于EAP的认证中生成第二域专有根密钥(DSRK)，以及使用第一 DSRK和第二DSRK中的至少一个来对第一类型的接入或第二类型的接入中的 至少一个执行基于EAP的重新认证。第一类型的接入可与接入终端(AT)相 关联，而第二类型的接入可与用户相关联。替换地，第一类型的接入与特定设 备相关联，而第二类型的接入与特定服务器相关联。同样，第一类型的接入可 包括对无线电网络的接入，而第二类型的接入可包括通过互联网服务供应商 (ISP)接入。本发明的另一方面可在于一种能在无线通信系统中操作的用于进行多重 基于EAP的认证的装置，该装置包括用于在为第一类型的接入进行的第一
基于EAP的认证中生成第一主会话密钥(MSK)的装置、用于从第一主会话 密钥(MSK)生成第一临时会话密钥(TSK)的装置、用于使用第一临时会话 密钥(TSK)来为第二类型的接入执行第二基于EAP的认证的装置、以及用于 在第一和第二基于EAP的认证成功完成之后提供第一类型的接入和第二类型 的接入的装置。
本发明的又一方面可在于一种包括计算机可读介质的计算机程序产品，该 计算机可读介质包括用于使计算机在为第一类型的接入进行的第一基于EAP 的认证中生成第一主会话密钥(MSK)的代码、用于使计算机从第一主会话密 钥(MSK)生成第一临时会话密钥(TSK)的代码、用于使计算机使用第一临 时会话密钥(TSK)来为第二类型的接入执行第二基于EAP的认证的代码、以 及用于使计算机在第一和第二基于EAP的认证成功完成之后提供第一类型的 接入和第二类型的接入的代码。
本发明的再一方面可在于一种能在无线通信系统中操作的用于进行多重 基于EAP的认证的装置，该装置包括处理器以及耦合至该处理器用于存储数 据的存储器，该处理器被配置成在为第一类型的接入进行的第一基于EAP 的认证中生成第一主会话密钥(MSK)，从第一主会话密钥(MSK)生成第 一临时会话密钥(TSK)，使用第一临时会话密钥(TSK)来为第二类型的接 入执行第二基于EAP的认证，以及在第一和第二基于EAP的认证成功完成之 后提供第一类型的接入和第二类型的接入。
附图简述
在结合附图理解下面阐述的详细描述时，本公开的特征、本质及优点将变 得更加明白，在附图中，相近的参考标记始终作相应标识，其中-

图1图解了根据一个实施例的多址无线通信系统； 图2是通信系统的框图； 图3图解了多重认证的示例；以及 图4图解了多重认证以及DSRK使用的示例。详细描述
本文中描述的技术可用于各种无线通信网络，诸如码分多址(CDMA)网络、时分多址(TDMA)网络、频分多址(FDMA)网络、正交FDMA (OFDMA)网络、单载波FDMA (SC-FDMA)网络等。术语"网络"和"系统"常被可互换地使用。CDMA网络可实现诸如通用地面无线电接入(UTRA) 、 cdma2000等无线电技术。UTRA包括宽带CDMA (W-CDMA)和低码片率(LCR)。cdma2000涵盖IS-2000、 IS-95和IS-856标准。TDMA网络可实现诸如全球移动通信系统(GSM)等的无线电技术。OFDMA网络可实现诸如演进UTRA(E-UTRA)、 IEEE 802.11、正EE 802.16、正EE 802.20、 Flash-OFDM⑧等无线电技术。UTRA、 E-UTRA和GSM是通用移动电信系统(UMTS)的部分。长期演进(LTE)是即将发布的使用E-UTRA的UMTS版本。UTRA、 E-UTRA、GSM、 UMTS和LTE在来自名为"第三代伙伴项目"(3GPP)的组织的文献中描述。cdma2000在来自名为"第三代伙伴项目2" (3GPP2)的组织的文献中描述。这些各色无线电技术和标准是本领域公知的。为了清楚起见，以下针对LTE对这些技术的某些方面进行描述，并且在以下描述的很大部分中使用LTE术语。
利用单载波调制和频域均衡的单载波频分多址(SC-FDMA)是一种技术。SC-FDMA具有与OFDMA系统相近的性能以及本质上相同的总体复杂度。SC-FDMA信号因其固有的单载波结构而具有较低的峰均功率比(PAPR)。SC-FDMA已引起极大的注意，在其中较低PAPR在发射功率效率意义上使移动终端受益极大的上行链路通信中尤其如此。它目前是3GPP长期演进(LTE)或演进UTRA中的上行链路多址方案中的工作设想。
参照图1，图解了根据一个实施例的多址无线通信系统。接入点100 (AP)包括多个天线群， 一个群包括104和106，另一个群包括108和110，并且再一个群包括112和114。在图1中，为每个天线群仅示出了两个天线，然而，可为每个天线群利用更多或更少的天线。接入终端116 (AT)在与天线112和114通信，其中天线112和114在前向链路120上向接入终端116发射信息，并在反向链路118上接收来自接入终端116的信息。接入终端122在与天线106和108通信，其中天线106和108在前向链路126上向接入终端122发射信息， 并在反向链路124上接收来自接入终端122的信息。在频分双工(FDD)系统 中，通信链路118、 120、 124和126可使用不同的频率来通信。例如，前向链 路120可使用与反向链路118所使用的不同的频率。
接入点可以是用于与诸终端通信的固定站，并且也可以用接入点、B节点、 或某个其他术语来述及。接入终端(AT)也可用接入终端、用户装备(UE)、 无线通信设备、终端、接入终端、或某个其他术语来称呼。
对例如接入终端的设备的认证确保只有获授权的设备、用户等才能接入特 定网络。认证可以是指设备认证、服务认证等。在一个示例中，特定会话可能 要求多重认证。例如，可能要求为扇区中的网络接入来认证设备和服务器两者。 在例如AT需要向无线电接入网络供应商执行接入认证并向IP网络供应商执行 ISP认证时，可能要求多重认证。在另一示例中，可执行设备和用户认证。本 文中所公开的示例减小了接入终端在没有执行所有必需的认证的情况下获得 接入的可能性。
在一个示例中，当要求多重认证、例如两重认证时，可生成第一密钥并将 其用于编码和解码，随后可生成第二密钥并将其用于编码/解码，并且然后可将 这些密钥组合起来。在另一个示例中，可执行串行认证。在串行认证中，可在 第一认证中生成第一密钥，随后可使用在第一认证中生成的密钥来执行第二认 证。在此示例中，不要求将密钥组合起来，这可使通信系统中的认证实现更为 简单。
在来自最新认证的临时会话密钥(TSK)保护后续认证的场合，可将多重 认证彼此绑定。例如，在第二认证中可能要求在第一认证中生成的TSK。在另 一示例中，在重新认证的情形中，可以仅需要有单个认证。
本文中所公开的示例提供了多重认证支持。在一个示例中，可能要求为安 全起见而绑定诸认证。这里，接入节点或认证者必须只有在所有认证均已成功 完成之后才允许AT获得服务。在另一示例中，提供了高效率的重新认证，其 中不需要重复多重认证。
图3图解了接连运行的多重认证的示例。如所图解的，以明文为EAP请 求/身份(认证类型)进行初始EAP交换。随后，会话受到保护。在图3中，第一认证必须是密钥生成性的。换言之，生成此处为"MSK1"的主会话密钥
(MSK)是强制性的。随后，密钥交换协议(KEP)从MSK生成临时会话密 钥(TSK)，例如，如图解地从MSK1生成TSK1。在第一认证之后推导出的 TSK保护第二EAP认证。如果两个或更多个认证是密钥生成性的，则最新的 MSK成为当前MSK。在一个示例中，第二认证可以生成或者也可以不生成第 二MSK。如果在第二认证中生成第二MSK，则KEP使用该第二MSK来生成 第二TSK，例如，TSK2。该第二TSK可随后被用来保护后续的消息(生成的 数据)。如果在第二认证中没有生成第二 MSK，则可仍然使用先前生成的TSK， 例如，TSK1。
继续图3的示例，服务无线电网络控制器(S-RNC)使用当前密钥来强制 实施KEP。 S-RNC使用ValidPMKExists标志以向其他活跃集成员指示是否这 两个认证都完成了。新的活跃集成员等待ValidPMKExists标志打开的会话更 新后才运行ERP (EAP重新认证协议)和/或KEP (空中接口密钥交换协议)。 ValidPMKExists标志可在1与0之间翻转，其中1指示两个会话都已完成，而 O代表它们尚未完成。会话可包括若干认证。例如，可能要求第三认证。这里， 第三MSK可被生成并被KEP用来推导第三TSK。如果在第三认证中没有生成 第三MSK，则可使用先前的TSK，例如TSK2、 TSK先前等。
新的活跃集成员可运行ERP，但可随后等待直到ValidPMKExists标志被 打开之后才运行KEP。在一个示例中，如果这些EAP方法之中仅有一个是密 钥生成性的，则可使用由第一 EAP方法建立的DSRK来允许令另一 eBS经历 ERP交换。然而，可以不允许该AT接入网络，直到该AT完成所有必需的认 证。因此，可使KEP交换延迟直至此时。在另一示例中，如果多于一个EAP 方法是密钥生成性的，则也使用最新产生的DSRK来运行ERP。
图4图解了多重认证以及域专有根密钥(DSRK)使用的示例。DSRK可 用于重新认证。如所图解的，可将来自最新EAP交换的DSRK用于重新认证。 AAA-L不能将这些DSRK相关并且存储其两者。期望AT使用正确的DSRK。
在另一方面，行为失常的AT可能完成了与S-RNC的第一认证。该AT 还可能将AN添加到活跃集中。这里，该AT可以用MSK1从S-RNC获得会 话或者用DSRK1进行ERP。 AAA-L并不知道AT是否做完多重认证。可在空中接口层面或经由后端网络服务器来实现缓解。在空中接口层面，
S-RNC期望AT做完预期数目的认证。S-RNC可将会话给予新的AN，但在该 会话中有将指示PMK尚未建立的ValidPMKExists标志。S-RNC可将会话给予 任何AN，因为在EAP完成之前获得会话不能包含安全性cookie。这里，S-RNC 将确保在(一个或多个)EAP完成之后会话被更新。新的AN将等待此标志值 被翻转的另一会话更新后才执行ERP (可随意任选)和KEP。另夕卜，在TSK 被建立之前，将不允许新的AN进行数据传递。
经由后端网络服务器，S-RNC期望AT做完预期数目的认证。如果该AT 做完的认证少于预期的数目，则S-RNC可关闭会话或者向持有DSRK的 AAA-L发送通知。这里，AAA-L向任何可能已经从该DSRK推导出rMSK的 AN发送通知。诸AN随后关闭与该AT的未获授权的会话。
再次参照图1，每一群天线和/或它们被设计成在其中通信的区域常被称作 接入点的扇区。在该实施例中，天线群各自被设计成与落在接入点ioo所覆盖 的区域的扇区中的诸接入终端通信。
图2是MIMO系统200中发射机系统210 (也称为接入点)和接收机系统 250 (也称为接入终端)的实施例的框图。在发射机系统210处，数个数据流 的话务数据从数据源212被提供给发射(TX)数据处理器214。
在一实施例中，每一数据流在各自的发射天线上被发射。TX数据处理器 214基于为每个数据流选择的特定编码方案来格式化、编码、和交织该数据流 的话务数据以提供经编码的数据。
每个数据流的经编码数据可使用OFDM技术来与导频数据多路复用。导 频数据通常是以已知方式处理的已知数据模式，并且可在接收机系统处被用来 估计信道响应。然后基于为每个数据流选择的特定调制方案(例如，BPSK、 QSPK、 M-PSK、或M-QAM)来调制(即，码元映射)每个数据流的多路复 用在一起的导频和经编码数据以提供调制码元。每个数据流的数据率、编码、 和调制可由处理器230执行的指令来决定。
所有数据流的调制码元随后被提供给TX MIMO处理器220，后者可进一 步处理这些调制码元(例如，用于实现OFDM) 。 TXMIMO处理器220然后 将A^个调制码元流提供给个AV个发射机(TMTR) 222a到222t。在某些实施例中，TX MIMO处理器220向这些数据流的码元并向该码元从其处被发射的 天线应用波束成形权重。
每个发射机222接收并处理各自的码元流以提供一个或更多个模拟信号， 并进一步调理(例如，放大、滤波、和上变频)这些模拟信号以提供适于在 MIMO信道上传输的经调制信号。来自发射机222a到222t的A^个经调制信号 随后分别从 W个天线224a到224t被发射。
在接收机系统250处，所发射的经调制信号被A^个天线252a到252r所 接收，并且从每个天线252接收到的信号被提供给各自的接收机(RCVR) 254a 到254r。每个接收机254调理(例如，滤波、放大、及下变频)各自的收到信 号，数字化该经调理的信号以提供样本，并且进一步处理这些样本以提供相对 应的"收到"码元流。
RX数据处理器260随后从Ww个接收机254接收这A^个收到码元流并基 于特定接收机处理技术对其进行处理以提供A^个"检出"码元流。RX数据处 理器260然后解调、解交织、和解码每个检出码元流以恢复该数据流的话务数 据。RX数据处理器260所执行的处理与发射机系统210处由TX MIMO处理 器220和TX数据处理器214执行的处理互补。
处理器270周期性地确定使用哪个预编码矩阵(以下讨论)。处理器270 编制包括矩阵索引部分和秩值部分的反向链路消息。
反向链路消息可包括关于该通信链路和/或此收到数据流的各种类型的信 息。反向链路消息随后由还从数据源236接收数个数据流的话务数据的TX数 据处理器238处理，由调制器280调制，由发射机254a到254r调理，并被回 传给发射机系统210。
在发射机系统210处，来自接收机系统250的经调制信号被天线224所接 收，由接收机222调理，由解调器240解调，并由RX数据处理器242处理以 提取接收机系统250所发射的反向链路消息。处理器230随后确定使用哪个预 编码矩阵来确定波束成形权重，然后处理所提取的消息。
应该理解，所公开的过程中各步骤的具体次序或阶层是示例性办法的例 子。基于设计偏好，应理解过程中各步骤的具体次序或阶层可被重新安排而仍在本公开的范围内。所附方法权利要求按样例次序提呈各种步骤的要素，而并 无意被限定于所提呈的具体次序或阶层。
本领域技术人员将可理解，信息和信号可使用各种不同技术和技艺中的任 何哪种来表示。例如，贯穿上面说明始终可能被述及的数据、指令、命令、信 息、信号、比特、码元、和码片可由电压、电流、电磁波、磁场或磁粒子、光 场或光粒子、或其任何组合来表示。
本领域技术人员将进一步领会，结合本文中所公开的实施例描述的各种解 说性逻辑块、模块、电路、和算法步骤可实现为电子硬件、计算机软件、或这 两者的组合。为清楚地解说硬件和软件的这种可互换性，各种解说性组件、块、 模块、电路、和步骤在上文中以其功能性的形式进行了一般化描述。这样的功 能性是实现为硬件还是软件取决于具体应用和加诸整体系统上的设计约束。技 术人员可针对每种特定应用以不同方式来实现所描述的功能性，但此类设计决 策不应被解释为致使脱离本公开的范围。
结合本文所公开的实施例描述的各种解说性逻辑块、模块、和电路可用通
用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门 阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立硬件组件、 或其设计成执行本文所描述功能的任何组合来实现或执行。通用处理器可以是
微处理器，但在替代方案中，该处理器可以是任何常规处理器、控制器、微控 制器、或状态机。处理器还可以被实现为计算设备的组合，例如DSP与微处 理器的组合、多个微处理器、与DSP核心协作的一个或更多个微处理器、或 任何其他此类配置。
在一个或更多个示例性实施例中，所描述的功能可以在硬件、软件、固件、 或其任何组合中实现。如果在软件中实现，则各功能可以作为一条或更多条指 令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算 机存储介质和通信介质两者，后者包括有助于将计算机程序从一地转移到另一 地的任何介质。存储介质可以是能被计算机访问的任何可用介质。作为示例而 非限定，这样的计算机可读介质可包括RAM、 ROM、 EEPROM、 CD-ROM或 其它光盘存储、磁盘存储或其它磁存储设备、或可被用来携带或存储指令或数 据结构形式的合需程序代码且可被计算机访问的任何其它介质。任何连接也被正当地称为计算机可读介质。例如，如果软件是使用同轴电缆、光纤电缆、双
绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术 从web网站、服务器、或其它远程源传送而来的，则该同轴电缆、光纤电缆、 双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介 质的定义之中。如本文中所使用的碟和盘包括压缩盘(CD)、激光盘、光盘、 数字多功能盘(DVD)、软碟和蓝光盘，其中碟往往以磁的方式再现数据，而 盘用激光以光学方式再现数据。上述的组合应被包括在计算机可读介质的范围 内。
结合本文公开的实施例所描述的方法或算法的步骤可直接在硬件中、在由 处理器执行的软件模块中、或在这两者的组合中实施。软件模块可驻留在RAM 存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、 硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。 示例性存储介质耦合到处理器，以使得该处理器可从/向该存储介质读和写信 息。在替换方案中，存储介质可以被整合到处理器。处理器和存储介质可驻留 在ASIC中。ASIC可驻留在用户终端中。在替换方案中，处理器和存储介质 可作为分立组件驻留在用户终端中。
提供前面对所公开的实施例的描述是为了使本领域任何技术人员皆能制 作或使用本公开。对这些实施例的各种修改对于本领域技术人员将是显而易见 的，并且本文中定义的普适原理可被应用于其他实施例而不会脱离本公开的精 神或范围。由此，本公开并非旨在被限定于本文中示出的实施例，而是应被授 予与本文中公开的原理和新颖性特征一致的最广义的范围。
权利要求
1.一种用于在无线通信系统中进行多重基于EAP的认证的方法，所述方法包括在为第一类型的接入进行的第一基于EAP的认证中生成第一主会话密钥(MSK)；从所述第一主会话密钥(MSK)生成第一临时会话密钥(TSK)；使用所述第一临时会话密钥(TSK)为第二类型的接入执行第二基于EAP的认证；以及在所述第一和第二基于EAP的认证成功完成之后提供第一类型的接入和第二类型的接入。
2. 如权利要求1所述的用于进行多重基于EAP的认证的方法，其特征在 于，还包括在所述第二基于EAP的认证中生成第二主会话密钥(MSK)。
3. 如权利要求2所述的用于进行多重基于EAP的认证的方法，其特征在 于，还包括从所述第二主会话密钥(MSK)生成第二临时会话密钥(TSK)。
4. 如权利要求3所述的用于进行多重基于EAP的认证的方法，其特征在 于，所述第二临时会话密钥(TSK)被用在第三基于EAP的认证中。
5. 如权利要求1所述的用于进行多重基于EAP的认证的方法，其特征在于， 还包括如果在所述第二基于EAP的认证中没有生成第二主会话密钥(MSK)， 则将所述第一临时会话密钥(TSK)用于第三基于EAP的认证。
6. 如权利要求1所述的用于进行多重基于EAP的认证的方法,其特征在于， 所述第一和第二基于EAP的认证是单个会话的一部分。
7. 如权利要求1所述的用于进行多重基于EAP的认证的方法，其特征在 于，还包括生成指示符消息以指示所述第一和第二基于EAP的认证是否成功 完成。
8. 如权利要求7所述的用于进行多重基于EAP的认证的方法，其特征在 于，所述指示符消息具有值1以指示所述第一和第二基于EAP的认证的成功 完成，并且具有值0以指示所述第一和第二基于EAP的认证尚未完成。
9. 如权利要求8所述的用于进行多重基于EAP的认证的方法，其特征在 于，所述指示符消息是ValidPMKExists标志。
10. 如权利要求1所述的用于进行多重基于EAP的认证的方法，其特征在 于，还包括生成指示符消息以指示多重基于EAP的认证是否成功完成。
11. 如权利要求1所述的用于进行多重基于EAP的认证的方法，其特征在 于，所述第一基于EAP的认证包括包含第一认证类型的EAP请求/身份消息， 并且所述第二基于EAP的认证包括包含第二认证类型的EAP请求/身份消息。
12. 如权利要求1所述的用于进行多重基于EAP的认证的方法，其特征在 于，还包括在所述第一基于EAP的认证中生成第一域专有根密钥(DSRK); 在所述第二基于EAP的认证中生成第二域专有根密钥(DSRK); 使用所述第一 DSRK和所述第二 DSRK中的至少一个来对所述第一类型 的接入或所述第二类型的接入中的至少一个执行基于EAP的重新认证。
13. 如权利要求1所述的用于进行多重基于EAP的认证的方法，其特征在 于，所述第一类型的接入与接入终端(AT)相关联，并且所述第二类型的接 入与用户相关联。
14. 如权利要求1所述的用于进行多重基于EAP的认证的方法，其特征在 于，所述第一类型的接入包括对无线电网络的接入，并且所述第二类型的接入 包括通过互联网服务供应商(ISP)的接入。
15. 如权利要求1所述的用于进行多重基于EAP的认证的方法，其特征在 于，所述第一类型的接入与特定设备相关联，所述第二类型的接入与特定服务 器相关联。
16. —种能在无线通信系统中操作的用于进行多重基于EAP的认证的装 置，所述装置包括用于在为第一类型的接入进行的第一基于EAP的认证中生成第一主会话 密钥(MSK)的装置；用于从所述第一主会话密钥(MSK)生成第一临时会话密钥(TSK)的装置；用于使用所述第一临时会话密钥(TSK)为第二类型的接入执行第二基于 EAP的认证的装置；以及用于在所述第一和第二基于EAP的认证成功完成之后提供第一类型的接入和第二类型的接入的装置。
17. 如权利要求16所述的用于进行多重基于EAP的认证的装置，其特征在 于，还包括用于在所述第二基于EAP的认证中生成第二主会话密钥(MSK) 的装置。
18. 如权利要求17所述的用于进行多重基于EAP的认证的装置，其特征在 于，还包括用于从所述第二主会话密钥(MSK)生成第二临时会话密钥(TSK) 的装置。
19. 如权利要求18所述的用于进行多重基于EAP的认证的装置，其特征在 于，所述第二临时会话密钥(TSK)被用在第三基于EAP的认证中。
20. 如权利要求16所述的用于进行多重基于EAP的认证的装置，其特征在 于，还包括用于如果在所述第二基于EAP的认证中没有生成第二主会话密钥(MSK)则将所述第一临时会话密钥(TSK)用于第三基于EAP的认证的装 置。
21. 如权利要求16所述的用于进行多重基于EAP的认证的装置，其特征在 于，所述第一和第二基于EAP的认证是单个会话的一部分。
22. 如权利要求16所述的用于进行多重基于EAP的认证的装置，其特征 在于，还包括用于生成指示符消息以指示所述第一和第二基于EAP的认证是 否成功完成的装置。
23. 如权利要求22所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述指示符消息具有值1以指示所述第一和第二基于EAP的认证的成 功完成，并且具有值0以指示所述第一和第二基于EAP的认证尚未完成。
24. 如权利要求23所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述指示符消息是ValidPMKExists标志。
25. 如权利要求16所述的用于进行多重基于EAP的认证的装置，其特征 在于，还包括用于生成指示符消息以指示多重基于EAP的认证是否成功完成 的装置。
26. 如权利要求16所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述第一基于EAP的认证包括包含第一认证类型的EAP请求/身份消息， 并且所述第二基于EAP的认证包括包含第二认证类型的EAP请求/身份消息。
27. 如权利要求16所述的用于进行多重基于EAP的认证的装置，其特征 在于，还包括用于在所述第一基于EAP的认证中生成第一域专有根密钥(DSRK)的装置；用于在所述第二基于EAP的认证中生成第二域专有根密钥(DSRK)的装置；用于使用所述第一 DSRK和所述第二 DSRK中的至少一个来对所述第一 类型的接入或所述第二类型的接入中的至少一个执行基于EAP的重新认证的 装置。
28. 如权利要求16所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述第一类型的接入与接入终端(AT)相关联，并且所述第二类型的 接入与用户相关联。
29. 如权利要求16所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述第一类型的接入包括对无线电网络的接入，并且所述第二类型的接 入包括通过互联网服务供应商(ISP)的接入。
30. 如权利要求16所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述第一类型的接入与特定设备相关联，并且所述第二类型的接入与特 定服务器相关联。
31. —种计算机程序产品，包括 计算机可读介质，包括用于使计算机在为第一类型的接入进行的第一基于EAP的认证中生 成第一主会话密钥(MSK)的代码；用于使计算机从所述第一主会话密钥(MSK)生成第一临时会话密 钥(TSK)的代码；用于使计算机使用所述第一临时会话密钥(TSK)来为第二类型的接 入执行第二基于EAP的认证的代码；以及用于使计算机在所述第一和第二基于EAP的认证成功完成之后提供 第一类型的接入和第二类型的接入的代码。
32. 如权利要求31所述的计算机程序产品，其特征在于，还包括用于使计 算机在所述第二基于EAP的认证中生成第二主会话密钥(MSK)的代码。
33. 如权利要求32所述的计算机程序产品，其特征在于，还包括用于使计 算机从所述第二主会话密钥(MSK)生成第二临时会话密钥(TSK)的代码。
34. 如权利要求33所述的计算机程序产品，其特征在于，所述第二临时会 话密钥(TSK)被用在第三基于EAP的认证中。
35. 如权利要求31所述的计算机程序产品，其特征在于，还包括用于使计 算机在如果在所述第二基于EAP的认证中没有生成第二主会话密钥(MSK) 的情况下将所述第一临时会话密钥(TSK)用于第三基于EAP的认证的代码。
36. 如权利要求31所述的计算机程序产品，其特征在于，所述第一和第二 基于EAP的认证是单个会话的一部分。
37. 如权利要求31所述的计算机程序产品，其特征在于，还包括用于使计 算机生成指示符消息以指示所述第一和第二基于EAP的认证是否成功完成的 代码。
38. 如权利要求37所述的计算机程序产品，其特征在于，所述指示符消息 具有值1以指示所述第一和第二基于EAP的认证的成功完成，并且具有值0 以指示所述第一和第二基于EAP的认证尚未完成。
39. 如权利要求38所述的计算机程序产品，其特征在于，所述指示符消息 是ValidPMKExists标志。
40. 如权利要求31所述的计算机程序产品，其特征在于，还包括用于使计 算机生成指示符消息以指示多重基于EAP的认证是否成功完成的代码。
41. 如权利要求31所述的计算机程序产品，其特征在于，所述第一基于EAP 的认证包括包含第一认证类型的EAP请求/身份消息，并且所述第二基于EAP 的认证包括包含第二认证类型的EAP请求/身份消息。
42. 如权利要求31所述的计算机程序产品，其特征在于，还包括用于使计算机在所述第一基于EAP的认证中生成第一域专有根密钥(DSRK)的代码；用于使计算机在所述第二基于EAP的认证中生成第二域专有根密钥 (DSRK)的代码；用于使计算机使用所述第一 DSRK和所述第二 DSRK中的至少一个来对 所述第一类型的接入或所述第二类型的接入中的至少一个执行基于EAP的重 新认证的代码。
43. 如权利要求31所述的计算机程序产品，其特征在于，所述第一类型的 接入与接入终端(AT)相关联，并且所述第二类型的接入与用户相关联。
44. 如权利要求31所述的计算机程序产品，其特征在于，所述第一类型的 接入包括对无线电网络的接入，并且所述第二类型的接入包括通过互联网服务 供应商(ISP)的接入。
45. 如权利要求31所述的计算机程序产品，其特征在于，所述第一类型的 接入与特定设备相关联，并且所述第二类型的接入与特定服务器相关联。
46. —种能在无线通信系统中操作的用于进行多重基于EAP的认证的装 置，所述装置包括处理器，配置成在为第一类型的接入进行的第一基于EAP的认证中生成第一主会话 密钥(MSK);从所述第一主会话密钥(MSK)生成第一临时会话密钥(TSK);使用所述第一临时会话密钥(TSK)为第二类型的接入执行第二基于 EAP的认证；并且在所述第一和第二基于EAP的认证成功完成之后提供第一类型的接 入和第二类型的接入，以及耦合至所述处理器的用于存储数据的存储器。
47. 如权利要求46所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述处理器还被配置成在所述第二基于EAP的认证中生成第二主会话 密钥(MSK)。
48. 如权利要求47所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述处理器还被配置成从所述第二主会话密钥(MSK)生成第二临时会 话密钥(TSK)。
49. 如权利要求48所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述第二临时会话密钥(TSK)被用在第三基于EAP的认证中。
50. 如权利要求46所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述处理器还被配置成在如果在所述第二基于EAP的认证中没有生成 第二主会话密钥(MSK)的情况下将所述第一临时会话密钥(TSK)用于第三 基于EAP的认证。
51. 如权利要求46所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述第一和第二基于EAP的认证是单个会话的一部分。
52. 如权利要求46所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述处理器还被配置成生成指示符消息以指示所述第一和第二基于EAP 的认证是否成功完成。
53. 如权利要求52所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述指示符消息具有值1以指示所述第一和第二基于EAP的认证的成 功完成，并且具有值O以指示所述第一和第二基于EAP的认证尚未完成。
54. 如权利要求53所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述指示符消息是ValidPMKExists标志。
55. 如权利要求46所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述处理器还被配置成生成指示符消息以指示多重基于EAP的认证是 否成功完成。
56. 如权利要求46所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述第一基于EAP的认证包括包含第一认证类型的EAP请求/身份消息， 并且所述第二基于EAP的认证包括包含第二认证类型的EAP请求/身份消息。
57. 如权利要求46所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述处理器还被配置成在所述第一基于EAP的认证中生成第一域专有根密钥(DSRK); 在所述第二基于EAP的认证中生成第二域专有根密钥(DSRK);使用所述第一 DSRK和所述第二 DSRK中的至少一个来对所述第一类型 的接入或所述第二类型的接入中的至少一个执行基于EAP的重新认证。
58. 如权利要求46所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述第一类型的接入与接入终端(AT)相关联，并且所述第二类型的 接入与用户相关联。
59. 如权利要求46所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述第一类型的接入包括对无线电网络的接入，并且所述第二类型的接 入包括通过互联网服务供应商(ISP)的接入。
60. 如权利要求46所述的用于进行多重基于EAP的认证的装置，其特征 在于，所述第一类型的接入与特定设备相关联，并且所述第二类型的接入与特 定服务器相关联。
全文摘要
公开了一种用于在无线通信系统中进行多重基于EAP的认证的方法。在该方法中，在为第一类型的接入进行的第一基于EAP的认证中生成第一主会话密钥(MSK)。从该第一主会话密钥(MSK)生成第一临时会话密钥(TSK)。使用该第一临时会话密钥(TSK)为第二类型的接入执行第二基于EAP的认证。在第一和第二基于EAP的认证成功完成之后提供第一类型的接入和第二类型的接入。
文档编号H04L29/06GK101675645SQ200880014893
公开日2010年3月17日 申请日期2008年5月7日 优先权日2007年5月7日
发明者F·尤卢皮纳, L·R·唐达蒂, P·A·阿格舍, P·蒂纳科瑟苏派普, R·T·苏, R·帕特沃德哈, V·纳拉亚南, 俊 王 申请人:高通股份有限公司