Способ и устройство получения ключа(ей) защиты



Способ и устройство получения ключа(ей) защиты
Способ и устройство получения ключа(ей) защиты

 


Владельцы патента RU 2502226:

ИНТЕЛ КОРПОРЕЙШН (US)

Заявленное изобретение относится к беспроводной связи. Технический результат состоит в отправке идентификатора устройства по беспроводному соединению именно безопасным образом, чтобы не привлечь к мобильному устройству внимание злоумышленников. Для этого получение ключа(ей) защиты по беспроводному соединению безопасным образом осуществляют путем отправки мобильной станцией по беспроводному соединению односторонней перестановки идентификатора мобильной станции, установления ключей с базовой станцией и отправки реального идентификатора мобильной станции безопасным образом. 6 н. и 27 з.п. ф-лы, 2 ил.

 

УРОВЕНЬ ТЕХНИКИ

Беспроводная глобальная сеть (WWAN) может работать согласно стандарту Института инженеров по электротехнике и электронике (IEEE) 801.16, который также может называться WiMAX. Сеть WiMAX может безопасным образом передавать данные между, например, базовой станцией (BS) и мобильной станцией (MS).

Согласно стандарту IEEE 802.1x для установления безопасного соединения между BS и MS, BS может запросить MS отправить свой идентификатор устройства (ID) по беспроводному соединению небезопасным образом, чтобы получить ключи защиты для защиты идентификатора устройства и установления безопасного соединения с помощью ключей. Однако отправка идентификатора устройства по беспроводному соединению небезопасным образом может привлечь к MS внимание злоумышленников.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Объект, рассматриваемый в качестве изобретения, в частности указан и конкретно заявлен в заключительной части описания. Однако изобретение как в отношении его организации, так и в отношении способа его работы, вместе с его задачами, признаками и преимуществами, может быть лучше всего понято с помощью ссылки на следующее подробное описание при его чтении совместно с сопроводительными чертежами, на которых:

фиг.1 представляет собой изображение части системы беспроводной связи согласно некоторым примерам вариантов выполнения настоящего изобретения; и

фиг.2 представляет собой изображение блок-схемы последовательности операций способа согласования ключа защиты по беспроводному соединению системы беспроводной связи согласно примеру варианта выполнения изобретения.

Следует иметь в виду, что для простоты и ясности иллюстрации элементы, показанные на фигурах, не обязательно были изображены в масштабе. Например, размеры некоторых элементов могут быть преувеличены по сравнению с другими элементами для большей ясности. Кроме того, там, где это уместно, номера позиций могут повторяться на фигурах для указания соответствующих или аналогичных элементов.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ

В нижеследующем подробном описании изложены многочисленные конкретные детали для обеспечения полного понимания изобретения. Однако специалистам в данной области техники будет понятно, что настоящее изобретение может быть осуществлено без этих конкретных деталей. В других случаях известные способы, процедуры, компоненты и цепи не были описаны подробно, чтобы не затруднять понимание настоящего изобретения.

Некоторые нижеследующие части подробного описания представлены с точки зрения алгоритмов и символических представлений операций в битах данных или бинарных цифровых сигналах. Эти алгоритмические описания и представления могут быть техническими приемами, используемыми специалистами в области техники обработки сигналов и/или в области техники беспроводной связи для передачи сущности их работы другим специалистам в области техники.

Если специально не утверждается иное, следует понимать, что на протяжении описания изобретения, как очевидно из нижеследующего описания, использование таких терминов, как «обработка», «вычисление», «расчет», «определение» и т.п., указывает на действия и/или процессы компьютерной и/или вычислительной системы и/или контроллера доступа к среде (MAC) и/или коммуникационного процессора или подобного электронного вычислительного устройства, которые манипулируют и/или преобразуют данные, представленные в виде физических, например электронных, величин в регистрах вычислительной системы и/или памяти, в другие данные, аналогично представленные как физические величины в памяти вычислительной системы, регистров или других таких систем хранения, передачи информации и т.п. Кроме того, термин «множество» может использоваться на протяжении описания изобретения для описания двух или более компонентов, устройств, элементов, параметров и т.п. Например, «множество мобильных станций» описывает две или более мобильных станции.

Следует понимать, что настоящее изобретение может использоваться во множестве приложений. Хотя настоящее изобретение не ограничено в этом отношении, цепи и технические приемы, раскрытые здесь, могут использоваться во многих устройствах, например коммуникационных устройствах радиосистем. Коммуникационные устройства, которые предполагается включить в рамки настоящего изобретения, включают в себя, в качестве примера, мобильные станции, базовые станции и точки доступа радиосистем, таких как, например, беспроводная локальная сеть (WLAN), которая также может упоминаться как WiFi, беспроводная общегородская сеть (WMAN), которая также может упоминаться как WiMAX, беспроводная персональная сеть (WPAN), такая как, например, Bluetooth™, приемно-передающие радиопередатчики, передатчики цифровых систем, передатчики аналоговых систем, сотовые радиотелефонные передатчики, цифровые абонентские линии, системы сотовой связи стандарта «Долгосрочное развитие сетей связи» (LTE) и т.п.

Некоторые варианты выполнения изобретения могут быть реализованы, например, с использованием машинно-читаемой среды, такой как, например, запоминающая схема и/или изделие, которое может сохранять инструкцию и/или ряд инструкций, которые при выполнении машиной обеспечивают выполнение машиной способа и/или операции в соответствии с вариантами выполнения изобретения. Такая машина может включать в себя, например, любую подходящую обрабатывающую платформу, вычислительную платформу, вычислительное устройство, обрабатывающее устройство, вычислительную систему, обрабатывающую систему, компьютер, процессор и т.п. и может быть реализована с использованием любой подходящей комбинации аппаратных средств и/или программного обеспечения. Машинно-читаемая среда или изделие могут включать в себя, например, любой подходящий тип блока памяти, запоминающего устройства, изделия памяти, запоминающей среды, устройства хранения, изделия для хранения, носителя данных и/или блока хранения данных и т.п. Инструкции могут включать в себя любой подходящий тип кода, например, исходный код, компилируемый код, интерпретируемый код, исполняемый код, статический код, динамический код и т.п. и могут быть реализованы с использованием любого подходящего языка программирования высокого уровня, низкого уровня, объектно-ориентированного, визуального, компилируемого и/или интерпретируемого, например, C, C++, Java, ассемблер, машинные коды и т.п.

В соответствии с вариантами выполнения изобретения канал и/или беспроводное соединение может быть физической средой передачи. Физическая среда передачи может использоваться для передачи сигналов, таких как, например, информационные сигналы данных, обучающие сигналы, контрольные сигналы, сигналы поднесущих, сигналы преамбулы и т.п., которые могут модулироваться посредством одной или более схем модуляции. Кроме того, канал и/или беспроводное соединение могут быть комбинацией физической среды передачи, компонентов передатчика и/или приемника, например, потерь на трассе, помех, интерференции и т.п. Специалистам в области техники следует понимать, что варианты выполнения изобретения могут работать со многими типами сигналов, часть из которых указана здесь, и изобретение никоим образом не ограничивается этими сигналами.

Согласно примеру варианта выполнения изобретения мобильная станция может отправить беспроводным образом одностороннюю перестановку реального идентификатора станции, которая имеет такой же размер, что и идентификатор станции, и тем самым может позволить ключу быть связанным с реальным идентификатором станции, не раскрывая его. Как только было проведено согласование ключей на основании перестановки реального идентификатора станции, может быть отправлен реальный идентификатор станции, защищенный этими ключами, и базовая станция может повторно вычислить перестановку реального идентификатора станции для подтверждения, что ключи были вычислены из реального идентификатора станции, хотя следует понимать, что объем настоящего изобретения не ограничивается в этом отношении.

В одном варианте выполнения способ, устройство и система могут выполнять согласование ключей по беспроводному соединению системы беспроводной связи. Например, в мобильной станции может быть принято первое сообщение от базовой станции, которое включает в себя случайное NONCE, при этом случайное NONCE является числом или двоичной последовательностью, которая используется только однажды в сообщении в целях безопасности. Может быть вычислена перестановка идентификатора мобильной станции (MSID*). Может быть отправлено второе сообщение, которое включает в себя случайное NONCE мобильной станции, случайное NONCE базовой станции и первое значение проверки целостности (ICV). Упомянутой мобильной станцией может быть принято третье сообщение, которое включает в себя NONCE мобильной станции, случайное NONCE базовой станции и второе ICV. В мобильной станции может быть принято третье сообщение, которое включает в себя NONCE мобильной станции, случайное NONCE базовой станции и второе ICV, если базовая станция подтвердила первое ICV. Может быть подтверждено второе ICV. По безопасному соединению может быть послано четвертое сообщение, которое включает в себя идентификатор мобильной станции. Могут использоваться другие последовательности сообщений и обмен сообщениями с другим содержанием согласно вариантам выполнения изобретения.

На фиг.1 показано изображение части системы беспроводной связи 100 согласно примеру варианта выполнения изобретения. Хотя объем настоящего изобретения не ограничивается этим вариантом выполнения, система 100 беспроводной связи, например система WiMAX и т.п., может включать в себя базовую станцию (BS) 110, мобильную станцию (MS) 160, восходящую линию 102 связи и нисходящую линию 104 связи.

Например, BS 110 может включать в себя процессор 120, память 130, модулятор 135, демодулятор 140, систему 150 приемников-передатчиков с множеством входов - множеством выходов (MIMO) и множество антенн 156. MS 160 может включать в себя процессор 170, память 165, модулятор 180, демодулятор 185, систему 190 приемников-передатчиков с множеством входов - множеством выходов (MIMO) и множество антенн 196. Кроме того, процессор 120 может включать в себя вычислительный модуль 125, компаратор 127, а процессор 170 может включать в себя вычислительный модуль 175. Система MIMO 150 может включать в себя по меньшей мере два передатчика (TX) 154 и по меньшей мере два приемника (RX) 152. Система MIMO 190 может включать в себя по меньшей мере два передатчика (TX) 194 и по меньшей мере два приемника (RX) 192, хотя следует понимать, что варианты выполнения настоящего изобретения не ограничиваются этим примером.

Согласно вариантам выполнения изобретения, процессоры 120 и 170 могут включать в себя процессор MAC. Процессор MAC может выполнять инструкции, связанные со стандартом IEEE 802.16, что при необходимости может приводить к установлению связи по безопасному соединению между MS 160 и BS 110 после согласования ключей защиты согласно некоторым функциям безопасности.

Согласно другому варианту выполнения изобретения процессоры 120 и 170 могут включать в себя процессор MAC. Процессор MAC может выполнять инструкции, связанные со стандартами проекта партнерства по созданию сетей третьего поколения (3GPP) и/или «Долгосрочного развития сетей связи» (LTE), что при необходимости может приводить к установлению связи по безопасному соединению между MS 160 и BS 110 после согласования ключей защиты согласно некоторым функциям безопасности.

Согласно примеру варианта выполнения изобретения функции безопасности могут предоставить абонентам секретность, подлинность и конфиденциальность в системе беспроводной связи 100, например, сети Усовершенствованного радиоинтерфейса (AAI), сети стандарта «Долгосрочное развитие сетей связи» (LTE) и т.п.

Например, функции безопасности могут применять криптографические преобразования к протокольным блокам данных (PDU) контроллера MAC, передающимся через соединения между MS 160, например, усовершенствованной MS (AMS) и BS 110, например, усовершенствованной BS (ABS).

Согласно некоторым примерам вариантов выполнения изобретения, установление подлинности BS 110 и MS 160 может быть выполнено с помощью сервера 106 аутентификации, авторизации и учета (AAA). Например, сервер AAA 106 может при необходимости использовать расширяемый протокол проверки подлинности (EAP) для установления подлинности. После установления подлинности MS 160 согласовывает ключ(и) с BS 110 и/или с аутентификатором, который находится в шлюзе 108 сети доступа (ASN-GW) или чем-то подобном. Например, BS 110 может отправить по нисходящей линии 104 связи первое сообщение. MS 160 может принять первое сообщение с помощью по меньшей мере одного из приемников MIMO 190 (например, приемника RX 192). Первое сообщение может модулироваться согласно схеме модуляции с множественным доступом с ортогональным частотным разделением (OFDMA) и может включать в себя случайное NONCE. В вариантах выполнения настоящего изобретения случайное NONCE может быть определено как число или двоичная последовательность, которое используется только один раз за цикл жизни ключа и/или проверки подлинности в целях безопасности.

Демодулятор 185 может демодулировать сообщение. Вычислительный модуль 175 может при необходимости вычислить перестановку идентификатора мобильной станции (MSID*) из случайного NONCE и может сохранить идентификатор MSID* в памяти 165. Согласно вариантам выполнения изобретения идентификатор *MSID также может быть определен как параметр, который нуждается в перестановке.

Например, вычислительный модуль 175 может вычислять идентификатор MSID* согласно выражению

MSID*=DOT16KDF(MSID|BSID|NONCE_BS,48),

в котором

MSID является идентификатором (ID) мобильной станции,

BSID может использоваться для обеспечения различных перестановок для каждого BSID;

NONCE_BS является NONCE базовой станции и

DOT16KDF является хеш-функцией получения ключа для получения одного или более ключей защиты из MSID, BSID и NONCE_BS.

Согласно примеру варианта выполнения изобретения NONCE_BS может использоваться для получения различной перестановки каждый раз, когда MS соединяется с одной и той же BS, таким образом, перестановка будет труднорешаемой. Идентификатор MSID* может быть только что полученным в соответствии с NONCE_BS, чтобы гарантировать на BS конфиденциальность местоположения MS.

Кроме того, вычислительный модуль 175 может вычислять ключи защиты из идентификатора MSID* согласно выражению Security_keys=DOT16KDF(Parentkey,MSID*|XXX|YYY|,size), в котором

Parentkey является родительским ключом, из которого могут быть получены ключи;

XXX является дополнительными параметрами для заданного ключа, такими как, например, идентификатор BSID;

YYY является общей строкой, которая определяется для каждого ключа;

и size является размером ключа.

Согласно примерам вариантов выполнения изобретения ключ защиты в YYY может включать в себя парный главный ключ (PMK), ключи авторизации (AK), транспортные ключи шифрования (TEK) и т.п. Например, получение ключа PMK может быть выполнено следующим образом:

PMK=Dot16KDF(MSK,NONCE_MS|NONCE_BS|"PMK",160).

Где:

NONCE_MS - случайное число, генерируемое MS и отправляемое на BS во время согласования ключей.

NONCE_BS - случайное число, генерируемое BS и отправляемое на MS во время согласования ключей.

Ключ AK при необходимости может быть получен из ключа PMK и может принадлежать паре MS и BS. Например, получение ключа AK может быть выполнено следующим образом:

AK=Dot16KDF(PMK,MSID*|BSID|CMAC_KEY_COUNT|"AK",160).

Где:

MSID* - перестановка идентификатора MSID (то есть MAC-адрес станции AMS), отправленный станцией MS станции BS во время согласования ключей, это может использоваться для связывания ключа с идентификатором MSID.

CMAC_KEY_COUNT - счетчик, который используется для обеспечения различных ключей AK для одинаковых пар BS-MS при передачах обслуживания.

Ключи CMAC могут быть получены из ключа AK и могут использоваться для проверки подлинности сообщений в, по меньшей мере, некоторых из управляющих сообщений. Например, при необходимости в WiMAX может быть два ключа CMAC: один используется для восходящей линии связи и один - для нисходящей линии связи. Получение ключей CMAC выполняется следующим образом:

CMAC_KEY_U|CMAC_KEY_D=Dot16KDF(AK,"CMAC_KEYS",256).

Каждый ключ имеет размер 128 битов. Согласно этому примеру ключи могут быть получены каждый раз, когда получен новый ключ AK.

Получение ключей TEK может быть выполнено следующим образом:

TEKi=Dot16KDF(AK,SAID|COUNTER_TEK=i|"TEK",128), где

SAID является идентификатором ассоциации безопасности (SAID), которой может принадлежать ключ TEK. TEK является транспортным ключом шифрования, который используется для шифрования данных. В некоторых примерах вариантов выполнения время жизни ключей TEK равно времени жизни ключей AK.

Хотя объем настоящего изобретения не ограничивается этим примером варианта выполнения изобретения, процессор 170, например процессор MAC, может генерировать второе сообщение. Например при необходимости второе сообщение может включать в себя NONCE мобильной станции, случайное NONCE базовой станции и первое значение проверки целостности (ICV), например, ключ кода проверки подлинности сообщения на основании шифра (CMAC).

Согласно одному варианту выполнения модулятор 180 может модулировать второе сообщение согласно схеме модуляции OFDMA. Согласно другому варианту выполнения изобретения модулятор 180 при необходимости может модулировать второе сообщение согласно схеме модуляции с ортогональным частотным разделением с мультиплексированием на одной несущей (SC-FDMA).

Хотя объем настоящего изобретения не ограничивается этим примером, BS 110 может работать следующим образом. По меньшей мере один из передатчиков MIMO 150 (например, TX 154) может отправить, используя антенны 156, первое сообщение и третье сообщение на MS 160. По меньшей мере один из приемников MIMO 150 (например, RX 152) при необходимости может принять второе сообщение и четвертое сообщение по безопасному соединению. Вычислительный модуль 125 может вычислить множество ключей защиты и может проверить первое ICV второго сообщения. Вычислительный модуль 125 может вычислить упомянутое множество ключей защиты из упомянутого идентификатора MSID* согласно выражению

Security_keys=DOT16KDF(Parentkey,MSID*|XXX|YYY|,size), в котором

Parentkey является родительским ключом, из которого могут быть получены ключи;

XXX является дополнительными параметрами для заданного ключа, такими как, например, идентификатор BSID;

YYY является общей строкой, которая определяется для каждого ключа;

и size является размером ключа.

Кроме того, вычислительный модуль 125 может вычислять перестановку идентификатора мобильной станции (MSID**) согласно выражению:

MSID**=DOT16KDF(MSID|BSID|NONCE_BS,48),

в котором

MSID является идентификатором (ID) мобильной станции,

BSID является идентификатором базовой станции,

NONCE_BS является NONCE базовой станции и

DOT16KDF является хеш-функцией получения ключа для получения одного или более ключей защиты из идентификаторов MSID, BSID и NONCE_BS. Компаратор 127 может сравнить вычисленный MSID** с MSID* и при необходимости может установить упомянутое безопасное соединение на основании сравнения.

На фиг.2 показано изображение блок-схемы последовательности операций способа согласования ключей защиты по беспроводному соединению системы беспроводной связи безопасным образом согласно примеру варианта выполнения изобретения.

Вариант выполнения способа может начинаться с того, что BS (например, BS 110) отправляет первое сообщение MS (например, MS 160), как показано линией 201 со стрелкой. Первое сообщение при необходимости может включать в себя случайное NONCE BS (например, NONCE_BS).

MS может принять первое сообщение и может вычислить перестановку идентификатора мобильной станции (MSID*). Расчет MSID* может выполняться согласно выражению MSID*=DOT16KDF(MSID|BSID|NONCE_BS,48) (текстовый блок 210). MS может вычислить ключи защиты согласно выражению Security_Keys=DOT16KDF(MSID*|XXX|YYY|size) (текстовый блок 220) и при необходимости может сохранить их в памяти, например памяти 180.

Согласно этому примеру способа MS может отправить второе сообщение беспроводным образом BS (линия 202 со стрелкой). Второе сообщение может включать в себя идентификатор MSID*, NONCE_BS, NONCE_MS и первое значение проверки целостности (ICV). BS может принять второе сообщение и может вычислить ключ защиты, основанный на идентификаторе MSID* согласно выражению Security_Keys=DOT16KDF(MSID*|XXX|YYY|size) (текстовый блок 230). BS при необходимости может сохранить ключи защиты в памяти, например памяти 130.

BS может вычислить ICV сообщения и может сверить вычисленное ICV с ICV принятого сообщения (ромб 240). BS может сообщить об ошибке при обработке, если ICV принятого сообщения не совпадает с вычисленным ICV (текстовый блок 250). В противном случае BS может отправить третье сообщение беспроводным образом мобильной станции (стрелка 203). Третье сообщение может включать в себя NONCE мобильной станции, случайное NONCE базовой станции и ICV третьего сообщения, хотя объем настоящего изобретения не ограничивается в этом отношении.

MS может принять третье сообщение и может проверить ICV второго сообщения (ромб 260). Если ICV второго сообщения не совпадает с принятым ICV, MS может сообщить об ошибке при обработке (текстовый блок 252). Если принятое ICV было проверено, MS может отправить по безопасному соединению беспроводным образом четвертое сообщение (стрелка 204). Четвертое сообщение при необходимости может содержать зашифрованный реальный идентификатор MS.

BS может принять четвертое сообщение и может повторно вычислить перестановку идентификатора MS (MSID**) согласно выражению:

MSID**=DOT16KDF(MSID|BSID|NONCE_BS,48) (текстовый блок 280). BS может сравнить вычисленный идентификатор MSID** с MSID* (ромб 290) и, если они совпадают, BS может установить безопасное беспроводное соединение с MS с помощью реального идентификатора MSID (стрелка 205). В противном случае BS может сообщить об ошибке при обработке (текстовый блок 254), хотя объем настоящего изобретения не ограничивается в этом отношении.

Хотя объем настоящего изобретения не ограничивается в этом отношении, как только ключи установлены, MS может отправить реальный идентификатор MSID BS, зашифрованный одним из полученных ключей и/или при необходимости как часть зашифрованного сообщения. Таким образом, реальный идентификатор MSID может не раскрываться, и может быть скрыто соответствие между реальным MSID и идентификатором распределения ресурсов беспроводного соединения, таким как, например, идентификатор соединения (CID), как определено в IEEE 802.16e, и/или идентификатор станции и/или идентификатор потока, как определено в IEEE 802.16m. С этого момента истинный идентификатор MSID известен сети и BS (например, текущей обслуживающей BS и/или другим BS, которые принадлежат одному и тому же аутентификатору). BS и/или MS могут вычислять идентификатор MSID* самостоятельно всякий раз, когда есть потребность получить новые ключи, как, например, при передаче обслуживания, когда идентификатор BSID изменяется, таким образом, новые ключи могут быть установлены с обеих сторон (MS и целевой BS передачи обслуживания), которые связаны с MSID через MSID* без потребности снова передавать MSID или MSID* беспроводным образом.

В варианте выполнения способ согласования ключей по беспроводному соединению системы беспроводной связи может включать в себя отправку перестановки идентификатора мобильной станции (MSID*) небезопасным способом, получение из упомянутой перестановки идентификатора мобильной станции (MSID*) первого набора ключей, с помощью которых затем устанавливают защищенное соединение, по которому далее отправляют идентификатор мобильной станции (MSID). Также на основании упомянутого идентификатора MSID может быть получен второй набор ключей, с использованием которого далее осуществляют связь по безопасному соединению.

Хотя объект изобретения был описан терминами, характерными для структурных особенностей и/или методологических действий, следует понимать, что объект изобретения, определенный в прилагаемой формуле изобретения, не обязательно ограничивается заданными особенностями или действиями, описанными выше. Скорее заданные особенности и действия, описанные выше, раскрыты в качестве примеров реализации формулы изобретения.

1. Способ согласования ключей по беспроводному соединению системы беспроводной связи, причем способ содержит этапы, на которых:
в мобильной станции принимают первое сообщение от базовой станции, которое включает в себя случайное NONCE, при этом упомянутое случайное NONCE является числом или двоичной последовательностью, которое используется в сообщении только один раз в целях безопасности;
вычисляют в мобильной станции перестановку идентификатора мобильной станции (MSID*);
отправляют в базовую станцию второе сообщение, которое включает в себя MSID*, случайное NONCE мобильной станции, случайное NONCE базовой станции и первое значение проверки целостности (ICV);
принимают в упомянутой мобильной станции третье сообщение, которое включает в себя NONCE мобильной станции, случайное NONCE базовой станции и второе ICV;
проверяют второе ICV; и
отправляют четвертое сообщение, которое включает в себя идентификатор мобильной станции, по безопасному соединению.

2. Способ по п.1, в котором вычисление упомянутой перестановки упомянутого идентификатора мобильной станции содержит этапы, на которых:
вычисляют упомянутый идентификатор MSID* согласно выражению
MSID*=DOT16KDF(MSID|BSID|NONCE_BS,48),
в котором
MSID является идентификатором (ID) мобильной станции,
BSID является идентификатором базовой станции,
NONCE_BS является случайным
NONCE базовой станции и
DOT16KDF является функцией получения ключа для создания хешированной перестановки из идентификаторов MSID, BSID и NONCE_BS.

3. Способ по п.2, содержащий этапы, на которых:
вычисляют ключи защиты согласно выражению:
Security_keys=DOT16KDF(Parentkey,MSID*|XXX|YYY|,size),
в котором
Parentkey является родительским ключом, из которого получают ключи;
XXX является дополнительными параметрами для заданного ключа, такими как, например, идентификатор BSID;
YYY является общей строкой, которая определяется для каждого ключа;
и size является размером ключа.

4. Способ согласования ключей по беспроводному соединению системы беспроводной связи, причем способ содержит этапы, на которых:
в базовой станции отправляют первое сообщение на мобильную станцию, которое включает в себя первое случайное NONCE, при этом упомянутое случайное NONCE является числом или двоичной последовательностью, которое используется только один раз за цикл жизни ключа в целях безопасности:
принимают в базовой станции второе сообщение, которое включает в себя подвергнутый перестановке идентификатор мобильной станции (MSID*), случайное NONCE мобильной станции, случайное NONCE базовой станции и первое значение проверки целостности (ICV);
вычисляют в базовой станции множество ключей защиты и проверяют первое ICV;
отправляют третье сообщение, которое включает в себя упомянутое случайное NONCE базовой станции, случайное NONCE мобильной станции и второе ICV;
принимают в базовой станции четвертое сообщение, которое включает в себя идентификатор мобильной станции (MSID), по безопасному соединению;
вычисляют в базовой станции перестановку идентификатора мобильной станции (MSID**) с использованием MSID; и
сравнивают вычисленный идентификатор MSID** с MSID* и устанавливают безопасное соединение на основании сравнения.

5. Способ по п.4, в котором вычисление упомянутого множества ключей защиты содержит:
Security_keys=DOT16KDF(Parentkey,MSID*|XXX|YYY|,size),
где Parentkey является родительским ключом, из которого получают ключи;
XXX является дополнительными параметрами для заданного ключа, такими как, например, идентификатор BSID;
YYY является общей строкой, которая определяется для каждого ключа;
и size является размером ключа.

6. Способ по п.4, содержащий этапы, на которых:
вычисляют другую перестановку идентификатора мобильной станции (MSID**) согласно выражению
MSID**=DOT16KDF(MSID|BSID|NONCE_BS,48),
в котором MSID является идентификатором (ID) мобильной станции,
BSID является идентификатором базовой станции,
NONCE_BS является NONCE базовой станции и
DOT16KDF является функцией получения ключа для получения материала одного или более ключей защиты из идентификаторов MSID, BSID и NONCE_BS.

7. Мобильная станция, содержащая:
приемник для приема первого сообщения от базовой станции, которое включает в себя случайное NONCE, при этом упомянутое случайное NONCE является числом или двоичной последовательностью, которое используется только один раз за цикл жизни ключа в целях безопасности;
вычислительный модуль для вычисления перестановки идентификатора мобильной станции (MSID*); и
передатчик для отправки второго сообщения, которое включает в себя MSID*, случайное NONCE мобильной станции, случайное NONCE базовой станции и первое значение проверки целостности (ICV), и отправки четвертого сообщения с идентификатором мобильной станции по безопасному соединению после приема третьего сообщения, которое включает в себя NONCE мобильной станции, случайное NONCE базовой станции и второе ICV.

8. Мобильная станция по п.7, в которой вычислительный модуль выполнен с возможностью вычисления упомянутого идентификатора MSID* согласно выражению
MSID*=DOT16KDF(MSID|BSID|NONCE_BS,48),
в котором
MSID является идентификатором (ID) мобильной станции,
BSID является идентификатором базовой станции,
NONCE_BS является NONCE базовой станции и
DOT16KDF является функцией получения ключа для получения одного или более ключей защиты из идентификаторов MSID, BSID и NONCE_BS.

9. Мобильная станция по п.7, в которой вычислительный модуль выполнен с возможностью вычисления ключей защиты из идентификатора MSID* и согласно выражению:
Security_Keys=DOT16KDF(Parentkey,MSID*|XXX|YYY|size),
в котором
Parentkey является родительским ключом, из которого получают ключи;
XXX является дополнительными параметрами для заданного ключа, такими как, например, идентификатор BSID;
YYY является общей строкой, которая определяется для каждого ключа;
и size является размером ключа.

10. Мобильная станция по п.7, содержащая:
систему приемников-передатчиков с множеством входов - множеством выходов (MIMO), соединенную при функционировании с множеством антенн, при этом система приемников-передатчиков MIMO включает в себя по меньшей мере упомянутый передатчик и по меньшей мере упомянутый приемник.

11. Мобильная станция по п.7, содержащая:
модулятор для модуляции первого сообщения и третьего сообщения согласно схеме модуляции с множественным доступом с ортогональным частотным разделением (OFDMA); и
демодулятор для демодуляции второго и четвертого сообщения согласно упомянутой схеме модуляции OFDMA.

12. Мобильная станция по п.7, содержащая:
модулятор для модуляции первого сообщения и третьего сообщения согласно схеме модуляции с ортогональным частотным разделением с мультиплексированием на одной несущей (SC-FDMA); и
демодулятор для демодуляции второго и четвертого сообщения согласно схеме модуляции с множественным доступом с ортогональным частотным разделением (OFDMA).

13. Базовая станция, содержащая:
передатчик для отправки первого сообщения на мобильную станцию, которое включает в себя первое случайное NONCE, при этом упомянутое случайное NONCE является числом или двоичной последовательностью, которое используется только один раз за время жизни ключа в целях безопасности, и для отправки третьего сообщения, которое включает в себя упомянутое случайное NONCE базовой станции, случайное NONCE мобильной станции и второе ICV;
приемник для приема второго сообщения, которое включает в себя подвергнутый перестановке идентификатор мобильной станции (MSID*), случайное NONCE мобильной станции, случайное NONCE базовой станции и первое значение проверки целостности (ICV), и четвертого сообщения, которое включает в себя идентификатор мобильной станции (MSID), по безопасному соединению;
вычислительный модуль для вычисления множества ключей защиты и проверки первого ICV второго сообщения и для вычисления перестановки идентификатора мобильной станции (MSID**) с использованием MSID; и
компаратор для сравнения вычисленного MSID** с MSID* и установления упомянутого безопасного соединения на основании сравнения.

14. Базовая станция по п.13, в которой вычислительный модуль выполнен с возможностью вычисления упомянутого множества ключей защиты из упомянутого идентификатора MSID* согласно выражению
Security_keys=DOT16KDF(Parentkey,MSID*|XXX|YYY|,size),
в котором
Parentkey является родительским ключом, из которого получают ключи;
XXX является дополнительными параметрами для заданного ключа, такими как, например, идентификатор BSID;
YYY является общей строкой, которая определяется для каждого ключа;
и size является размером ключа.

15. Базовая станция по п.13, в которой вычислительный модуль выполнен с возможностью вычисления другой перестановки идентификатора мобильной станции (MSID**) согласно выражению
MSID**=DOT16KDF(MSID|BSID|NONCE_BS,48),
в котором
MSID является идентификатором (ID) мобильной станции,
BSID является идентификатором базовой станции,
NONCE_BS является NONCE базовой станции и
DOT16KDF является функцией получения ключа для получения материала одного или более ключей защиты из идентификаторов MSID, BSID и NONCE_BS.

16. Базовая станция по п.13, содержащая:
систему приемников-передатчиков с множеством входов - множеством выходов (MIMO), соединенную при функционировании с множеством антенн, при этом упомянутая система приемников-передатчиков MIMO включает в себя по меньшей мере упомянутый передатчик и по меньшей мере упомянутый приемник.

17. Базовая станция по п.13, содержащая:
модулятор для модуляции первого сообщения и третьего сообщения согласно схеме модуляции с множественным доступом с ортогональным частотным разделением (OFDMA); и
демодулятор для демодуляции второго и четвертого сообщений согласно упомянутой схеме модуляции OFDMA.

18. Базовая станция по п.13, содержащая:
модулятор для модуляции первого сообщения и третьего сообщения согласно схеме модуляции с множественным доступом с ортогональным частотным разделением (OFDMA); и
демодулятор для демодуляции второго и четвертого сообщений согласно схеме модуляции с ортогональным частотным разделением с мультиплексированием на одной несущей (SC-FDMA).

19. Система беспроводной связи, содержащая:
мобильную станцию и базовую станцию, при этом мобильная станция содержит:
приемник для приема в мобильной станции первого сообщения от базовой станции, причем упомянутое первое сообщение включает в себя случайное NONCE, при этом упомянутое случайное NONCE является числом или двоичной последовательностью, которое используется только один раз за цикл жизни ключа в целях безопасности;
вычислительный модуль для вычисления в мобильной станции перестановки идентификатора мобильной станции (MSID*); и
передатчик для отправки в базовую станцию второго сообщения, причем упомянутое второе сообщение включает в себя случайное NONCE мобильной станции, случайное NONCE базовой станции и первое значение проверки целостности (ICV), и отправки четвертого сообщения, причем упомянутое четвертое сообщение включает в себя идентификатор мобильной станции (MSID), по безопасному соединению после приема третьего сообщения, которое включает в себя NONCE мобильной станции, случайное NONCE базовой станции и второе ICV; и
базовая станция содержит:
передатчик для отправки упомянутого первого сообщения и третьего сообщения на упомянутую мобильную станцию;
приемник для приема от мобильной станции упомянутого второго сообщения и упомянутого четвертого сообщения;
вычислительный модуль для вычисления в базовой станции множества ключей защиты и проверки первого ICV второго сообщения, и для вычисления перестановки идентификатора мобильной станции (MSID**) с использованием MSID; и
компаратор для сравнения вычисленного идентификатора MSID** с MSID* и установления упомянутого безопасного соединения на основании сравнения.

20. Система беспроводной связи по п.19, в которой вычислительный модуль мобильной станции выполнен с возможностью вычисления упомянутого идентификатора MSID* согласно выражению
MSID*=DOT16KDF(MSID|BSID|NONCE_BS,48),
в котором
MSID является идентификатором (ID) мобильной станции,
BSID является идентификатором базовой станции,
NONCE_BS является NONCE базовой станции и
DOT16KDF является функцией получения ключа для получения материала одного или более ключей защиты из идентификаторов MSID, BSID и NONCE_BS.

21. Система беспроводной связи по п.19, в которой вычислительный модуль мобильной станции выполнен с возможностью вычисления ключей защиты из идентификатора MSID* и согласно выражению
Security_keys=DOT16KDF(Parentkey,MSID*|XXX|YYY|,size),
в котором
Parentkey является родительским ключом, из которого получают ключи;
XXX является дополнительными параметрами для заданного ключа, такими как, например, идентификатор BSID;
YYY является общей строкой, которая определяется для каждого ключа;
и size является размером ключа.

22. Система беспроводной связи по п.19, в которой мобильная станция дополнительно содержит:
систему приемников-передатчиков с множеством входов - множеством выходов (MIMO), соединенную при функционировании с множеством антенн, при этом упомянутая система приемников-передатчиков MIMO включает в себя по меньшей мере упомянутый передатчик и по меньшей мере упомянутый приемник.

23. Система беспроводной связи по п.19, в которой мобильная станция дополнительно содержит:
модулятор для модуляции первого сообщения и третьего сообщения согласно схеме модуляции с множественным доступом с ортогональным частотным разделением (OFDMA); и
демодулятор для демодуляции второго и четвертого сообщений согласно упомянутой схеме модуляции OFDMA.

24. Система беспроводной связи по п.19, в которой мобильная станция дополнительно содержит:
модулятор для модуляции первого сообщения и третьего сообщения согласно схеме модуляции с ортогональным частотным разделением с мультиплексированием на одной несущей (SC-FDMA); и
демодулятор для демодуляции второго и четвертого сообщений согласно схеме модуляции с множественным доступом с ортогональным частотным разделением (OFDMA).

25. Система беспроводной связи по п.19, в которой вычислительный модуль базовой станции выполнен с возможностью вычисления упомянутого множества ключей защиты из упомянутого идентификатора MSID* согласно выражению
Security_keys=DOT16KDF(Parentkey,MSID*|XXX|YYY|,size),
в котором
Parentkey является родительским ключом, из которого получают ключи;
XXX является дополнительными параметрами для заданного ключа, такими как, например, идентификатор BSID;
YYY является общей строкой, которая определяется для каждого ключа;
и size является размером ключа.

26. Система беспроводной связи по п.19, в которой вычислительный модуль базовой станции выполнен с возможностью вычисления другого идентификатора мобильной станции (MSID**) согласно выражению
MSID**=DOT16KDF(MSID|BSID|NONCE _BS,48), в котором
MSID является идентификатором (ID) мобильной станции,
BSID является идентификатором базовой станции,
NONCE_BS является NONCE базовой станции и
DOT16KDF является функцией получения ключа для получения одного или более ключей защиты из идентификаторов MSID, BSID и NONCE_BS.

27. Система беспроводной связи по п.19, в которой базовая станция содержит:
систему приемников-передатчиков с множеством входов - множеством выходов (MIMO), соединенную при функционировании с множеством антенн, при этом упомянутая система приемников-передатчиков MIMO включает в себя по меньшей мере упомянутый передатчик и по меньшей мере упомянутый приемник.

28. Система беспроводной связи по п.19, в которой базовая станция содержит:
модулятор для модуляции первого сообщения и третьего сообщения согласно схеме модуляции с множественным доступом с ортогональным частотным разделением (OFDMA); и
демодулятор для демодуляции второго и четвертого сообщений согласно упомянутой схеме модуляции OFDMA.

29. Система беспроводной связи по п.19, в которой базовая станция содержит:
модулятор для модуляции первого сообщения и третьего сообщения согласно схеме модуляции с множественным доступом с ортогональным частотным разделением (OFDMA); и
демодулятор для демодуляции второго и четвертого сообщений согласно схеме модуляции с ортогональным частотным разделением с мультиплексированием на одной несущей (SC-FDMA).

30. Способ согласования ключей по беспроводному соединению системы беспроводной связи, причем способ содержит этапы, на которых:
отправляют небезопасным способом перестановку идентификатора мобильной станции (MSID*);
устанавливают безопасное соединение с помощью первого набора ключей, полученных из упомянутой перестановки идентификатора мобильной станции (MSID*);
отправляют по установленному защищенному соединению идентификатор мобильной станции (MSID).

31. Способ по п.30, содержащий этапы, на которых:
получают второй набор ключей на основании упомянутого идентификатора MSID; и
осуществляют связь по безопасному соединению с использованием второго набора ключей.

32. Способ по п.30, в котором вычисление упомянутой перестановки упомянутого идентификатора мобильной станции содержит этапы, на которых:
вычисляют упомянутый идентификатор MSID* согласно выражению
MSID*=DOT16KDF(MSID|BSID|NONCE_BS,48),
в котором
MSID является идентификатором (ID) мобильной станции,
BSID является идентификатором базовой станции,
NONCE_BS является случайным NONCE базовой станции и
DOT16KDF является функцией получения ключа для создания хешированной перестановки из идентификаторов MSID, BSID и NONCE_BS.

33. Способ по п.32, содержащий этапы, на которых:
вычисляют ключи защиты согласно выражению
Security_keys=DOT16KDF(Parentkey,MSID*|XXX|YYY|,size),
в котором
Parentkey является родительским ключом, из которого получают ключи;
XXX является дополнительными параметрами для заданного ключа, такими как, например, идентификатор BSID;
YYY является общей строкой, которая определяется для каждого ключа;
и size является размером ключа.



 

Похожие патенты:

Группа изобретений относится к средствам обработки услуг. Техническим результатом является повышение безопасности системы при установке мелодии контроля вызова и уменьшение сетевого трафика.

Изобретение относится к системе и способу избирательной обработки текстовых сообщений в режиме первой попытки доставки (ППД). Технический результат заключается в снижении нагрузки сети мобильной связи.

Предлагается система и способ управления связью в системе сотовой связи. Технический результат заключается в предотвращении отказа присоединения к групповому вызову.

Изобретение относится к терминалу приема данных, серверу, системе и способу распространения данных в сети мобильной связи. Технический результат заключается в предотвращении появления необязательных затрат ресурсов на связь при восстановлении дефектных участков при широковещательной передаче данных.

Изобретение относится, в общем, к беспроводным сетям, которые используют ограничения доступа для определенных частей сети, таких как сети, имеющие соты, такие как закрытые группы абонентов 3GPP TS.36.300, которые открыты только для участников предопределенной группы.

Изобретение относится к области радиосвязи. Техническим результатом является обеспечение терминала пользователя, позволяющего применять скачкообразное изменение частоты для радиодоступа в восходящей линии связи системы E-UTRA.

Изобретение относится к системам связи. Технический результат заключается в повышении эффективности приема.

Изобретение относится к средствам обеспечения возможности прямого доступа и совместного использования оценки безопасности. Технический результат заключается в повышении защищенности сети предприятия.

В настоящей группе изобретений, которая относится к области связи, предлагается способ и устройство для передачи данных полупостоянного планирования (SPS-данных) для того, чтобы эффективно снизить вероятность повторной передачи полуустойчивой службы и увеличить пропускную способность системы.

Изобретение относится к области мобильной связи и предназначено для повышения коэффициента использования ресурсов за счет устранении проблемы бесполезного расходования доступных ресурсов базовой станции вследствие невозможности их рационального распределения.

Изобретение относится к мобильной связи. Раскрываются способ управления передачей обслуживания, устройства и система связи. Технический результат заключается в обеспечении эстафетной передачи обслуживания в сети связи с ретрансляторами. Технический результат достигается за счет того, что управляющая базовая станция (DeNB) узла-ретранслятора идентифицируется согласно установленной зависимости между узлом-ретранслятором и управляющей базовой станцией, и вследствие этого маршрутизация сообщения запроса передачи обслуживания может выполняться до корректного DeNB и в итоге отправляться в RN, и обслуживание оборудования пользователя может быть нормально передано соте, управляемой узлом-ретранслятором. 11 н. и 24 з.п. ф-лы, 19 ил.

Изобретение относится к технике связи и может быть использовано для установления беспроводной линии связи в беспроводных сетевых окружениях, имеющих периоды передачи сигнала маяка с различной частотой. Способ беспроводной связи заключается в определении в устройстве, которое находится в активном состоянии во время периода передачи маяка, есть ли кадры в очереди на передачу, в конкуренции устройства за первую возможность передачи для получения доступа к среде беспроводной связи, при этом, если устройство получает доступ к среде беспроводной связи и не имеет кадров в очереди на передачу, конкуренция за дополнительные возможности передачи до достижения заранее заданного количества возможностей передачи и переводится в состояние сна, когда достигнуто заранее заданное количество возможностей передачи или определено, что период активного состояния закончился. Технический результат - уменьшение количества времени активности устройства в сети. 3 н. и 12 з.п. ф-лы, 8 ил.

Изобретение относится к радиосвязи. Раскрыто устройство базовой станции беспроводной связи, в котором ССЕ-выделение может гибко выполняться без коллизии ACK/NACK-сигналов между множеством единичных полос частот, даже когда широкополосная передача выполняется исключительно в схеме нисходящей линии связи, что является техническим результатом. В этом устройстве модуль (105) выделения устанавливает взаимно различные области поиска для каждой из множества единичных полос частот нисходящей линии связи относительно терминалов беспроводной связи, которые осуществляют связь с использованием множества единичных полос частот нисходящей линии связи, и выделяет информацию выделения ресурсов данных схемы нисходящей линии связи, предназначенных для терминалов беспроводной связи для ССЕ во взаимно различных областях поиска, для каждой из множества единичных полос частот нисходящей линии связи, и модуль (119) ACK/NACK-приема извлекает сигнал ответа относительно данных схемы нисходящей линии связи из канала управления восходящей линии связи, ассоциированного с ССЕ, для которого выделена информация выделения ресурсов этих данных схемы нисходящей линии связи. 7 н. и 17 з.п. ф-лы, 9 ил.

Изобретение относится к радиосвязи. Терминал, способный сокращать ресурсные области в полосе частот компонента восходящей линии связи без увеличения сигнализации, даже если множество сигналов подтверждения данных нисходящей линии связи, передаваемых соответственно во множестве полос частот компонента нисходящей линии связи, передается из одной полосы частот компонента восходящей линии связи. Терминал (200), в котором блок (208) приема PCFICH получает информацию CFI, указывающую количество символов, используемых для канала управления, которому выделяется информация выделения ресурсов, относящаяся к данным нисходящей линии связи, направленным устройству, для каждой из полос частот компонента нисходящей линии связи, блок отображения (214) задает ресурсную область, которой выделяется сигнал подтверждения данных нисходящей линии связи, для каждой из множества полос частот компонента нисходящей линии связи, согласно информации CFI каждой из полос частот компонента нисходящей линии связи, в полосе частот компонента восходящей линии связи, заданной для устройства, и отображает сигналы подтверждения в ресурсные области, соответствующие полосам частот компонента нисходящей линии связи, используемым для выделения данных нисходящей линии связи. 6 н. и 14 з.п. ф-лы, 10 ил.

Изобретение относится к системам беспроводной связи с множественным доступом, поддерживающим одновременную связь для множества мобильных приборов, и предназначено для повышения пропускной способности связи. Изобретение раскрывает системы и технологии, которые способствуют указанию параметров обратной связи для множества назначений одной несущей, назначений множества несущих и т.п. согласно множественному доступу с частотным разделением каналов с одной несущей (SC-FDMA), ослабленному SC-FDMA и т.д. Обратная связь в ослабленном SC-FDMA может быть объединена посредством мобильного прибора, чтобы сберегать энергию. Помимо этого, индикатор назначения в нисходящей линии связи (DAI) может быть использован для того, чтобы обнаруживать и указывать потерянные предоставления. 5 н. и 28 з.п. ф-лы, 16 ил.

Заявленное изобретение относится к методу способствования использованию команд АТ, заданных для пакетного домена универсальной пакетной радиослужбы (GPRS), в связи с пакетным доменом развитой пакетной системы (EPS). Технический результат состоит в эффективности поддержки пакетного домена EPS. Для этого вариант осуществления способа этого метода содержит определение, в ответ на команду АТ, направленную на определение вторичного контекста протокола пакетных данных (PDP), сервисного потока данных EPS (SDF) на основании вторичного контекста PDP. 4 н. и 12 з.п. ф-лы, 6 ил.

Заявленное изобретение относится к самонастройке информации/параметров в прямой линии связи. Технический результат состоит в предоставлении возможности терминалу доступа определять структуру прямой линии связи и обратной линии связи в системе связи. Для этого оборудование содержит множество электронных устройств, каждое из которых содержит логические средства, при этом оборудование выполнено с возможностью приема преамбулы, содержащей параметры структуры кадра, извлечения упомянутых параметров структуры кадра из упомянутой преамбулы и определения структуры кадра посредством демодуляции упомянутых параметров структуры кадра. 4 н. и 32 з.п. ф-лы, 6 ил.

Способ совместного использования функции устройства, способ включает в себя обнаружение, по меньшей мере, одного устройства среди множества устройств через первое устройство, соединенное с множеством устройств через множество сетей, при этом обнаружение выполняется вторым устройством во множестве устройств; осуществление межсетевого взаимодействия второго устройства с третьим устройством в обнаруженном, по меньшей мере, одном устройстве через первое устройство; и использование, посредством второго устройства, функции третьего устройства через первое устройство. 9 н. и 6 з.п. ф-лы, 17 ил.

Изобретение относится к системам мобильной связи. Технический результат заключается в усовершенствовании процедур авторизации. Система мобильной связи содержит мобильную станцию, базовую станцию, которая осуществляет связь беспроводным способом с мобильной станцией, устройство шлюза, которое соединяет базовую станцию с базовой сетью, и устройство базовой сети, которое расположено в базовой сети. Базовая станция содержит блок управления, который включает в сообщение информацию, указывающую, что мобильная станция инициировала вызов как экстренный вызов, и блок передачи, который передает сообщение к устройству базовой сети. Кроме того, устройство базовой сети содержит блок приема, который принимает сообщение, которое было передано от базовой станции. 24 н. и 14 з.п. ф-лы, 36 ил.

Изобретение относится к технике связи. Технический результат заключается в устранении конфликтной ситуации из-за сигналов запроса доступа, одновременно передаваемых от терминальных устройств связи в локальной ячейке, предотвращении образования мешающего сигнала в соседней ячейке и улучшении пропускной способность в локальной ячейке. Технический результат достигается за счет того, что в терминальном устройстве модуль (206) выбора используемого подканала имеет таблицу соответствия между качеством приема контрольных сигналов, разделенным на классы, и подканалом, предоставляемым этим классам. В соответствии с таблицей соответствия модуль (206) выбора используемого подканала выбирает группу подканалов КПРД, соотнесенную с результатом измерения качества приема контрольных сигналов, сообщаемым от модуля (205) измерения качества приема. Один подканал, подлежащий использованию для передачи сигнала запроса доступа, выбирается из выбранной группы подканалов. 7 н. и 8 з.п. ф-лы, 15 ил.
Наверх