異質無線網絡之間的快速鑑別的製作方法

2023-05-12 18:13:26 2

專利名稱：：異質無線網絡之間的快速鑑別的製作方法
技術領域：
：本申請案主張於2009年8月21號向美國專利商標局提出申請的美國專利申請案第61/235，749號的優先權，該專利申請案所揭露的內容是完整結合於本說明書中。本發明是有關於一種異質無線網絡之間的交互工作(interworking)，且特別是有關於一種異質無線網絡之間的快速鑑別。
背景技術：
：在最近這些年中，無線通訊技術已經在我們的日常生活中變得更普遍。儘管所有的無線通訊技術都提供無線寬帶(wirelessbroadband)連接(connectivity)，但對於不同的覆蓋範圍(coverage)以及頻寬(bandwidth)限制，它們已經被最佳化。為了在更多的地方中獲得更大的寬帶服務，則需要異質無線網絡之間的交互工作。然而，在現今的交互工作環境中，在對一個無線網絡建立連接中，即使當移動站(mobilestation,MS)以及鑑別、授權、會計(Authentication，Authorization,Accounting,AAA)伺服器(server)之間已經建立了全鑑別(fullauthentication)的時候，則當MS決定從這個無線網絡交接(handover)到異質無線網絡的時候，需要另一全鑑別。然而，在網絡登錄過程(networkentryprocess)中，授權以及密_交換禾呈序(authorizationandkeyexchangeprocedure)是最耗時的操作。因此，冗餘操作可能浪費頻寬以及導致交接潛伏(latency)，從而降低通訊系統的性能。圖1是基於可延伸鑑別協議(ExtensibleAuthenticationProtocol,ΕΑΡ)鑑別方案(scheme)的從WiMAX網絡(IEEE802.16)到WiFi網絡(IEEE802.11)的傳統交接程序的信息流(messageflow)示意圖。通過圖2，詳細地繪示了MS在交替(handoff)到WiFi網絡之前對WiMAX網絡建立連接。如圖2所示，經由恰當的WiMAX基站(basestation,BS)以及存取服務網絡網關(accessservicenetworkGateway，ASN-GW)，第一基於EAP的全鑑別程序在MS以及鑑別伺服器(例如，AAA伺服器)之間被執行。全基於EAP的鑑別程序包括交換EAP-請求辨識(步驟S206)以及EAP-回應辨識(步驟S208)信息對，以及執行基於EAP的方法(步驟S210)，以及以EAP-成功或者EAP-失敗信息結束(步驟S212)。在成功地執行基於EAP的鑑別方法之後，產生主會談密鑰(MasterSessionKey，MSK)。MS以及AAA伺服器持有以及使用MSK以得到另一安全密鑰，諸如成對主密鑰(pairwisemasterkey,PMK)、授權密朗(AuthorizationKey,AK)以及訊務力口密密朗(TrafficEncryptionKey,TEK)。通過使用這些安全密鑰，接著可以在MS以及WiMAXBS之間建立安全無線連接(securewirelessconnection)0請再次參看圖1，當決定從WiMAX網絡交接到WiFi網絡的時候，利用與第一基於EAP的全鑑別程序相同的方式來執行第二基於EAP的全鑑別程序，以產生安全密鑰來支持WiFi網絡中的MS以及鑑別器(authenticator)之間的安全連接。相似於從WiMAX網絡到WiFi網絡的交互工作，當決定從WiFi網絡交接到WiMAX網絡的時候，全基於EAP的鑑別程序將相似地執行兩次。當MS進入WiFi網絡的時候執行一個程序，以及當MS從WiFi網絡交替到WiMAX網絡的時候，將執行另一個程序。
發明內容有鑑於此，本發明的主要目的在於提供一種用於一裝置從一第一無線網絡至一第二異質無線網絡的交接的方法。根據本發明的一示例實施例，提供用於一裝置從第一無線網絡至第二異質無線網絡的交接的方法，其包括偵測第二無線網絡的信號；以及響應此信號，通過使用根據第一無線網絡的連接的建立期間而產生的主會談密鑰(mastersessionkey,MSK)而推導的成對主密鑰(pairwisemasterkey,PMK)來建立此裝置對第二無線網絡的連接，根據PMK推導一個或者多個加密密鑰，以支持第二無線網絡的安全通訊。根據本發明的一示例實施例，提供一包括有處理器的裝置，此處理器被配置為用於此裝置從第一無線網絡至第二異質無線網絡的交接，在此裝置對第一無線網絡的連接的建立期間已經產生了主會談密鑰(MasterSessionKey，MSK)，此處理器被配置為執行或者使得此裝置執行偵測第二無線網絡的信號；以及響應此信號，通過使用根據第一無線網絡的連接的建立期間而產生的MSK而推導的成對主密鑰(pairwisemasterkey，PMK)來建立此裝置對第二無線網絡的連接，根據PMK推導一個或者多個加密密鑰，以支持第二無線網絡的安全通訊。根據本發明的一個示例實施例，提供用於一裝置從第一無線網絡至第二異質無線網絡的交接的方法包括通過使用根據此裝置對第一無線網絡的連接的建立期間而產生的主會談密鑰(mastersessionkey，MSK)而推導的成對主密鑰(pairwisemasterkey，PMK)來建立此裝置對第二無線網絡的連接，根據PMK推導一個或者多個加密密鑰，以支持第二無線網絡的安全通訊。為讓本發明的上述特徵和優點能更明顯易懂，下文特舉實施例，並配合所附圖式作詳細說明如下。在此的所附圖式的圖形中所繪示的實施例是本發明的示例實施例，並非用於限定本發明。圖1是基於EAP鑑別方案的從WiMAX網絡到WiFi網絡的傳統交接程序的信息流示意圖。圖2是根據本發明的示例實施例的WiMAX網絡中的鑑別程序示意圖。圖3是根據本發明的示例實施例的WiMAX-WiFi交互工作的結構示意圖。圖4是根據本發明的示例實施例的WiFi交互工作功能的原理圖。圖5是根據本發明的示例實施例的被配置為操作為圖3的結構中的一個或者多個組件的裝置的原理方塊圖。圖6至圖9是根據本發明的各種示例實施例的從WiMAX網絡到WiFi網絡的交接程序示意圖。圖10至圖13是根據本發明的各種示例實施例的從WiFi網絡到WiMAX網絡的交接程序示意圖。主要元件符號說明302移動站304=WiMAX存取服務網絡306=WiFi存取網絡308交互網絡功能族群310連接性服務網絡312:WiMAX基站314外部代理者/移動存取網關316存取點318存取控制器320=WiMAX信號前進功能322=WiFi信號前進功能324:WiFi交互工作功能326=AAA伺服器328:HA/LMA伺服器Rl、R2、R3、R4、R5、R6、R3+、Wl、W3、Rx、Ry參考點400裝置402處理器404存儲器406資料庫408:I/O裝置410界面412:天線414收發器S206S212本發明的示例實施例的WiMAX網絡中的鑑別程序步驟S502S524、S712S724、S806S824本發明的示例實施例的從WiMAX網絡到WiFi網絡的交接程序步驟S902S926、S1006S1014、S1106S1118、S1212S1214本發明的示例實施例的從WiFi網絡到WiMAX網絡的交接程序步驟具體實施例方式下文將配合所附圖式作詳細說明本發明，所附圖式繪示了本發明的優選的實施例。然而，本發明可以被實施為多個形式以及本發明的結構也並非限制於在此所提供的實施例。此外，本發明所公開的實施例是徹底和完整的，從而對於本領域技術人員應該是覆蓋本發明的保護範圍。在整個說明書以及附圖中，相似的數字表示相似的元件。還需要知曉的是，儘管在此描述了WiMAX-WiFi交互工作，但是在此所描述的原理可以同樣地應用於任何兩個異質無線網絡。應用於移動站的原理可以附加或者替代地應用於移動使用者、移動點、移動用戶站(mobilesubscriberstation)、移動終端等等。基站可以包括微微基站(Picobasestaation)、中繼站(relaystation)、毫微微基站(femtobasestation)等等以為移動站提供存取服務。圖3是根據本發明的示例實施例的WiMAX-WiFi交互工作結構的示意圖(在此所使用的「示例實施例」是指「用作示例、例子或者實例」)。WiMAX-WiFi交互工作結構包括多個組件。這些組件包括移動站(mobilestation，MS)302、WiMAX存取服務網絡(WiMAXaccessservicenetwork,ASN)304>WiFi(accessnetwork,AN)306>^SX#(interworking,IffK)功能族群308，以及連接服務網絡(connectivityservicenetwork,CSN)310。WiMAXASN304、WiFiAN306以及CSN310中的每一個可以包括可以用作鑑別器的網絡鑑別組件。MS302可以被末端使用者所使用，以經由WiMAX網絡或者WiFi網絡來存取網際網路(Internet)。WiMAXASN304包括一個或者多個WiMAX基站(basestations,BS)312以及一個或者多個存取網關，諸如ASN-GW或者外部代理者/移動存取網關(foreignagent/mobileaccessgateway，FA/MAG)314。WiMAXASN304可以經由BS312而連接到MS302，以及可以管理基站之間的MS的交接。ASN-GW314可以是WiMAX網絡中的網絡鑑別組件以及可以用作WiMAX網絡中的鑑別器，因此可以是指WiMAX鑑別器。WiMAX鑑別器可以從BS312接收鑑別信息，囊封(encapsulate)鑑別信息以及發送已囊封的鑑別信息給CSN310中的網絡鑑別組件，CSN310中的網絡鑑別組件因此可以是指核心鑑別器(coreauthenticator)，例如CSN310中的AAA伺服器326。WiFiAN306包括存取點(accesspoint，AP)316以及存取控制器(accesscontroller，AC)318。AP316或者AC318可以是WiFi網絡中的網絡鑑別組件，從而用作WiFi網絡中的鑑別器，因此可以是指WiFi鑑別器。IffK功能族群308可以包括WiMAX信號前進功能(WiMAXsignalforwardingfunction,WiMAXSFF)320，用於支持從WiFi網絡至WiMAX網絡的單無線電交接；WiFi信號前進功能(WiFisignalforwardingfunction,WiFiSFF)322，用於支持從WiMAX網絡至WiFi網絡的單無線電交接；以及WiFi交互工作功能(WiFiinterworkingfunction,WIF)3240WiMAXSFF320、WiFiSFF322以及WIF324可以根據各種應用以實際地位於單個單元中或者分立地位於網絡中。WIF324使得MS302能夠連接到WiFiAN306以存取CSN310的核心功能。WIF324可以支持圖4所示的如下功能IP過濾器可以限制非授權的WiFi移動站的存取。通過使用CSN310中的AAA伺服器，AAA代理伺服器(AAAProxy)可以為鑑別以及授權提供支持。動態主機組態協議(Dynamichostconfigurationprotocol,DHCP)代理伺服器可以服務DHCP請求/應答。會計代理者(accountagent)可以收集相關的會計信息。會計客戶(accountclient)可以產生使用數據記錄(generateusagedatarecord,UDR)以及發送會計信息給CSN310中的AAA伺服器。通過使用CSN310中的家用代理(homeagent,HA)伺服器或者本地移動錨(localmobilityanchor,LMA)伺服器，代理伺服器移動IP(ProxymobileΙΡ,ΡΜΙΡ)代理者可以為移動管理以及IP對話連續性提供支持。數據路徑功能可以產生3層隧道(tunnel)，諸如IP-in-IP隧道或者同屬路徑囊封(genericrouteencapsulation,GRE)隧道。在網絡的核心提供IP連接以及IP核心網絡功能的CSN310或者核心網絡可以包括AAA伺服器326以及HA/LMA伺服器328。在一些實施例中，諸如使用基於私鑰和密鑰管理版本2(privacyandkeymanagementversion2，PKMv2)辦議的EAP方法，鑑另Ij信息可以被發送到網絡中的鑑別器的其中之一(例如，WiMAX鑑別器或者WiFi鑑別器)。諸如使用基於遠程鑑別撥入用戶服務(RemoteAuthenticationDial-InUserService,RADIUS)協議，已囊封的信息接著可以被發送到核心鑑別器(例如，圖3中的AAA伺服器326)。除了這些組件之外，圖3也可以繪示多個組件之間的接口，稱為參考點。這些接口可以承載控制以及管理協議，以支持多個功能，諸如通訊系統的移動管理能力、安全以及性能。通過IEEE802.16標準來定義圖3中繪示的一些參考點。例如，參考點Rl是MS302以及WiMAXASN304之間的無線電接口，MS302以及CSN310之間的參考點R2可以支持AAA、IP配置以及移動管理能力，以及WiMAXASN304和CSN310之間的參考點R3可以支持政策執行(policyenforcement)以及移動管理能力，以及ASN304之間的參考點R4可以支持移動管理。再例如，參考點R6可以支持IP隧道管理以建立和釋放BS312和ASN-GW314之間的MS連接，以及WiMAXSFF320禾口ASN-GW314之間的MS連接，其中WiMAXSFF320用作虛擬(virtual)基站。交互工作結構還包括多個交互工作接口，諸如WIF324和CSN310之間的參考點R3+，以支持與參考點R3相似的功能。MS302和WiMAXSFF320之間的參考點Rx可以致能從WiFi網絡至WiMAX網絡的單無線電交接，以及MS302和WiFiSFF322之間的參考點Ry可以致能從WiMAX網絡至WiFi網絡的單無線電交接。WiFiSFF322和WiFiAN306之間的參考點Wl可以支持從WiMAX網絡至WiFi網絡的交接，WIF324和WiFiAN306之間的參考點W3可以支持安全連接以及移動管理。圖5是根據本發明的示例實施例的被配置為作為圖3的結構中的一個或者多個組件的裝置400的方塊圖。如圖5所示，裝置可以包括以下組件中的一個或者多個至少一個處理器402，被配置為執行計算機可讀指令以執行各種過程以及方法；存儲器404，被配置為存取以及儲存信息以及計算機可讀指令；資料庫406，被配置為儲存表、列表或者其它數據結構；I/O裝置408；界面410；天線412；以及收發器414。處理器402可以包括一般目的處理器、應用特定集成電路(applicationspecificintegratedcircuit，ASIC)、嵌入式處理器(embeddedprocessor)、欄位程序化門陣列(fieldprogrammablegatearray,FPGA)、微控制器或者其它類似的組件。處理器可以被配置為根據指令以及數據來動作以處理來自於耦接到處理器的收發器414、1/0裝置408、接口410以及其它組件的數據。在一些示例實施例中，處理器可以被配置為從存儲器接收計算機可讀指令以及在各個指令的指引下執行一個或者多個功能。存儲器404可以包括易失性或者非易失性計算機可讀儲存媒體，且被配置為諸如以計算機可讀指令的形式來儲存數據以及軟體。更具體地說，例如，存儲器可以包括易失性或者非易失性半導體存儲器元件、磁性儲存器、光學儲存器等等。存儲器可以是分布式的。也就是說，存儲器中的一部分可以是可移動的或者不可移動的。就這一點而言，適當的存儲器的其它實施例包括緊密快閃(compactflash,CF)卡、安全數字(securedigital,SD)卡、多媒體卡(multi-mediacard,MMC)、記憶條(memorystick,MS)卡等等。在一些示例實施例中，存儲器可以在網絡(未繪示)中被實施，此網絡被配置為與裝置400進行通訊。資料庫406可以包括表、列表或者其它數據結構的已結構化的收集。例如，資料庫可以是資料庫管理系統(databasemanagementsystem，DBMS)、關係型資料庫管理系統(relationaldatabasemanagementsystem)、)(寸|導向—J^iWSi胃■(object—orienteddatabasemanagementsystem)或者相似的資料庫系統。就其本身而言，此結構可以被組織為關係型資料庫或者對象導向資料庫。在另一示例實施例中，資料庫可以是包括物理計算機可讀儲存媒體以及輸入和/或輸出裝置的硬體系統，此輸入和/或輸出裝置被配置為接收以及存取表、列表或者其它數據結構。此外，硬體系統資料庫可以包括一個或者多個處理器和/或顯示器。I/O裝置408可以包括滑鼠、尖筆(stylus)、鍵盤、聲頻輸入/輸出裝置(audioinput/outputdevice)、成像裝置(imagingdevice)、列印裝置、顯示裝置、傳感器、無線收發器或者其它相似裝置中的一個或者多個。I/O裝置也可以包括提供數據以及指令給存儲器404和/或處理器402的裝置。接口410可以包括外部接口，諸如USB、乙太網絡(Ethernet)、FireWire以及無線通訊協議。接口也可以包括圖形使用者接口(graphicaluserinterface)或者其它被配置為顯示數據的人類可感知接口，包括但不限於，可攜式媒體裝置(portablemediadevice)、傳統的行動電話、智能型手機、導航裝置或者其它計算機裝置。通過使用接口，經由有線和/或無線通訊鏈路，裝置400可以被操作性地連接到網絡(未繪示)。收發器414可以包括恰當類型的發射器(transmitter)以及接收器(receiver)，以發送語音(voice)和/或數據給從其它裝置以及從其它裝置接收語音(voice)和/或數據。在一些示例實施例中，收發器可以包括理想的功能組件和處理器中的一個或者其組合，以編碼/解碼、調變/解調和/或執行其它無線通訊信道相關的功能。收發器可以被配置為與天線412(例如，單個天線或者天線數組)進行通訊，以各種傳送模式中的其中之一來發送和接收語音和/或數據。圖6至圖9中的每一個都是根據本發明的示例實施例的從WiMAX網絡到WiFi網絡的交接程序示意圖。參看圖3來解釋圖6至圖9所繪示的交接程序。如圖6至圖9所繪示，在步驟S502，MS可以被初始地連接到WiMAX網絡。為了初始地進入到WiMAX網絡，MS可以使BS(例如，圖3中的BS312)以通過此示例實施例中的存取服務網絡(例如，圖3中的ASN304)中的WiMAX鑑別器來依附其本身到WiMAX網絡。在MS被依附到WiMAX網絡之後，諸如根據EAP特定方法(EAP-TTLS、EAP-TLS或者EAP-AKA)，WiMAX鑑別器可以用作外部代理者以及鑑別MS及其使用者。在鑑別程序期間，MS可以提供MS辨識(MSidentity,MSID)，例如網絡存取辨識符(identifier)，以辨識其自身給核心鑑別器(例如，圖3中的AAA伺服器326)。根據鑑別的結果，根據主密鑰可以產生MSK(指WiMAXMSK)，以及此MSK被MS以及核心鑑別器持有。諸如通過發送RADIUS存取-請求信息給家用CSN中的AAA伺服器，鑑別器可以獲得WiMAXMSK0諸如通過將WiMAXMSK截斷(truncate)至160位，可以從MSK推導出第一PMK(指WiMAXPMK)。接著，在MS以及WiMAX鑑別器，從WiMAXPMK可以推導出一個較低的加密電平密鑰(諸如授權密鑰(AuthorizationKey，AK))，之後再通過AK推導出支持MS和WiMAXBS之間的安全通訊密鑰(亦即信息驗證碼(messageauthenticationcode,MAC))以及加密訊務加密密鑰(TrafficEncryptionKey,TEK)的密鑰(亦即密鑰加密密鑰(keyencryptionkey,KEK))在步驟S504，MS可以偵測鄰接WiFi網絡的信號以及根據各個信號來決定WiFi網絡的顯示。當MS在單無線電模式中操作的時候，MS可以發現WiFiSFF(例如圖3中的WiFiSFF322)的地址以及通過參考點Ry來建立WiFiSFF的IP隧道。接著，可以對IP隧道執行交接鑑別程序。諸如在步驟S506中通過發送結合請求信息(AssociationRequestmessage)給WiFi鑑別器，以及在步驟S508中接收結合響應信息(AssociationResponsemessage)以響應結合請求信息，在交接鑑別程序中，通過參考點W1，經由WiFiSFF，MS可以與WiFi鑑別器結合(例如圖3中的AP316、AC318)。如果WiFi鑑別器辨識MS為已知的使用者，則WiFi接口可以被啟動以及WiMAX接口可以被關閉或者可以進入閒置模式(idlemode)0當MS操作在雙無線電模式(dualradiomode)中的時候，MS可以不經由WiFiSFF來連接諸如WiFi鑑別器之類的鑑別器。亦即，MS以及WiFi鑑別器之間不需建立IP隧道，MS可經由WiFi標準入網程序而連結至WiFi網絡。為了降低交接潛伏(handoverlatency)，共享的基於密鑰的鑑別程序可以用作替代交接鑑別程序中的全鑑別程序。因為鑑別器(例如WiMAX鑑別器或者核心鑑別器)的其中之一可以具有與MS相同的MSK，由於在WiMAX網絡的連接中的所執行的全鑑別，諸如通過截斷WiMAXMSK至256位，WiMAXMSK可以被再用以產生第二PMK(指WiFiPMK)。諸如成對瞬時密鑰(pairwisetransientkey，PTK)以及族群瞬時密鑰(grouptransientkey，GTP)之類的多個較低電平加密密鑰，可以依序從第二PMK(例如WiFiPMK)推導，以支持WiFi網絡的安全通訊。在這種方式下，可以避免產生第二MSK以及接下來的MSK交換。通過步驟S506以及步驟508中的結合請求/響應，MS以及WiFi鑑別器可以驗證(verify)共同PMK的存在。換句話說，諸如通過比較WiFiPMK(例如，WiFiPMKID)的辨識符，MS以及WiFi鑑別器可以驗證其是否具有相同的WiFiPMK。因為WiFiPMK可以從較早產生的WiMAXMSK推導，所以可以顯著地降低鑑別時間。WiFi鑑別器可以辨識或者可以不辨識WiFiPMKID。在另一情況下，WiFi鑑別器可以請求MS在步驟S510提供其辨識以及在步驟S512接收具有MS辨識(MSidentity,MSID)的辨識響應信息。在一些實施例中，如圖6、圖7所示，核心網絡不知曉MS將要漫遊(roam)的目標AN或者目標WIF。在一些示例實施例中，WiFi鑑別器可以將有關MSID的信息放置到存取請求信息中，以及諸如根據RADIUS協議，在步驟S514中將存取請求信息通過參考點W3來發送給WIF。WIF可以用作鑑別服務伺服器以提供授權和鑑別的支持。在步驟S516中，WIF可以傳送密鑰請求信息中的MSID和/或WiFiPMKID。在一個實施例中，經由WIF，沿著MS以及WiFi鑑別器的媒體存取控制(mediaaccesscontrol,MAC)地址，WiFiPMKID可以被提供到鑑別器(例如核心鑑別器或者WiMAX鑑別器)的其中之一。諸如通過比較WiFiPMKID，諸如核心鑑別器或者WiMAX鑑別器之類的已經接收WiFiPMKID的鑑別器接著可以驗證其是否具有與MS相同的WiFiPMK。在圖6所繪示的示例實施例中，PMKID被提供到核心鑑別器，從而被核心鑑別器驗證。根據驗證，在步驟S518，WiFiPMK可以從核心鑑別器或者WiMAX鑑別器傳遞到密鑰應答信息(KeyReplyMessage)中的WIF。在步驟S520，諸如通過使用RADIUS協議，WIF可以傳遞WiFiPMK給存取接受信息(AccessAcceptmessage)中的WiFi鑑別器。在步驟S522，基於EAP方法(例如，EAP-TLS方法或者EAP-TTLS方法)的交接鑑別程序接著可以以鑑別成功信息(AuthenticationSuccessmessage)結束。在步驟S524，在MS以及WiFi鑑別器之間執行的四向交握(four-wayhandshake)之後，PTK可以在MS以及WiFi鑑別器之間被建立，藉以保護接下來的數據傳送。如圖7所示，在另一示例實施例中，其中核心網絡不知道目標AN或者目標WIF，在步驟S516中，WIF可以不提供MSID給鑑別器(例如，核心鑑別器以及WiMAX鑑別器)的其中之一。在這種情況下，通過MSID的驗證，諸如核心鑑別器以及WiMAX鑑別器之類的鑑別器中的一個可以通過WIF來傳遞WiFiPMK給WiFi鑑別器。在這個特定的實施例中，通過核心鑑別器，WiFiPMK被傳遞到WiFi鑑別器。WiFi鑑別器，而不是圖6中的核心鑑別器，可以驗證PMKID。如果PMKID是有效的(valid)，則在步驟S522，WiFi鑑別器可以發送鑑別成功信息給MS。在相較於上述的示例實施例的一些實施例中，核心網絡可以預測(foreCaSt)MS將要漫遊的目標WIF。在這種情況下，在步驟S718，諸如核心鑑別器或者WiMAX鑑別器之類的鑑別器的其中之一可以直接傳遞WiFiPMK給目標WIF。在圖8所繪示的示例實施例中，通過核心鑑別器，WiFiPMK被傳遞到目標WIF。相似於圖6和圖7所繪示的示例實施例，響應於辨識請求信息(IdentityRequestmessage)，在步驟S712，MS可以發送包括MSID的辨識響應信息(IdentityResponsemessage)給諸如WiFi鑑別器。在步驟S714，WiFi鑑別器可以發送MSID給存取請求信息(AccessRequestMessage)中的目標WIF。在步驟S720，根據通過目標WiFi的MSID的驗證，WiFiPMK接著可以被傳送到存取接受信息(AccessAcceptmessage)中的WiFi鑑別器。在步驟S722，WiFi鑑別器在其發送鑑別成功信息給MS之前可以驗證WiFiPMKID。在步驟S724，MS可以接著執行四向交握(four-wayhandshake)，以及可以在MS和WiFi鑑別器之間建立PTK，藉以保護接下來的數據傳送。圖9繪示了另一示例實施例，其中核心網絡可以預測MS可以漫遊的目標WiFi鑑別器。因為核心網絡知曉目標，所以在步驟S818，通過WIF，根據各種應用，WiFiPMK可以從WiMAX鑑別器或者核心鑑別器被直接地傳遞到目標WiFi鑑別器。MS可以在步驟S806發送結合請求信息(AssociationRequestmessage)中的WiFiPMKID，以及在步驟S808中接收結合響應信息(AssociationResponsemessage)，藉以採用目標WiFi鑑別器通過WiFiPMKID來驗證它們是否具有相同的WiFiPMK。在步驟S824，MS以及目標WiFi鑑別器可以接著執行四向交握，以及可以產生PTK，從而保護MS和目標WiFi鑑別器之間的接下來的數據傳送。圖10至圖13中的每一個是根據本發明的示例實施例的從WiFi網絡到WiMAX網絡的交接程序示意圖。在MS從WiFi網絡到WiMAX網絡的交接之前，在步驟S902，MS初始地連接到WiFi網絡。在連接到WiFi網絡中，通過採用各種鑑別程序，諸如EAP鑑別程序或者預共享密鑰(pre-sharedkey,PSK)鑑別程序，MS可以建立有關WiFi存取網絡的結合以及有關鑑別器的其中之一的鑑別。在這個示例實施例中，鑑別器可以是核心鑑別器(諸如圖3中的AAA伺服器326)或者WiFi鑑別器(諸如圖3中的AP326或者AC328)。WiFi存取網絡可以基於MSID(例如ΝΑΙ)，來選擇WIF(例如圖3中的WIF324)，藉以支持核心鑑別器以及MS之間的鑑別程序。根據成功鑑別程序的結果，MSK(指WiFiMSK)可以被產生並被MS以及核心鑑別器所持有。WiFiPMK接著可以從WiFiMSK推導。多個WiFi加密密鑰，諸如PTK以及GTK，被依序從WiFiPMK推導，以支持WiFi網絡的安全通訊。在步驟S904，MS可以偵測鄰接WiMAX網絡的信號以及根據各個信號來決定WiMAX網絡的顯示。當MS在單無線電模式中操作的時候，MS可以發現WiMAXSFF(例如，圖3中的WiMAXSFF320)的地址以及通過參考點Rx來建立WiMAXSFF的隧道。在這種情況下，WiMAXSFF可以用作虛擬BS。經由WiMAXSFF，接著可以執行採用諸如WiMAX鑑別器(例如，圖3中的WiMAXASN-GW314)之類的鑑別器的其中之一來鑑別MS的交接鑑別程序。如果WiMAX鑑別器辨識MS，則WiMAX接口可以被啟動以及WiFi接口可以被關閉或者可以進入閒置模式(idlemode)。當MS操作在雙無線電模式(dualradiomode)中的時候，MS可以停止WiFi網絡的連接以及接線(engage)到WiMAX鑑別器而與WiMAXSFF無關。為了降低交接潛伏(handoverlatency)，共享的基於密鑰的鑑別程序可以用作替代交接鑑別程序中的全鑑別程序。諸如通過截斷WiFiMSK至160位，WiFiMSK可以被再用以產生WiMAXPMK，這可以用於推導多個較低電平加密密鑰以支持WiMAX網絡的安全通訊。因此，可以避免產生第二MSK以及接下來的MSK交換。在圖10和圖11所繪示的示例實施例中，核心網絡不能預測MS將要漫遊的目標WiMAXBS或者WiMAXASN-GW。請參看圖10，在步驟S906，測距請求/響應(RangingRequest/Response)可以在MS以及WiMAX服務BS之間交換。在測距程序中，MS可以獲得恰當的時序偏移(timingoffset)，更正其頻率偏移以及調整傳送功率。根據測距的成功完成，在步驟S908，在MS以及服務BS之間執行能力協商(capabilitynegotiation)。在能力協商期間，調變方案、私鑰和密鑰管理(privacyandkeymanagement,PKM)版本以及授權政策可以被協商。如下，將產生MS和諸如核心鑑別器之類的鑑別器中的一個之間的交接鑑別，以及加密密鑰的交換。在交接鑑別程序中，在步驟S910響應辨識請求信息，在步驟S912，MS可以提供其MSID以辨識和鑑別其本身是諸如WiMAX鑑別器之類的鑑別器的其中之一。WiMAX鑑別器諸如根據RADIUS協議可以加密MSID，以及可以發送已加密的信息給核心鑑別器。只要核心鑑別器驗證MSID，則通過核心鑑別器或者WiFi鑑別器，在步驟S916，WiFiMSK可以被傳遞到WiMAX鑑別器。在步驟S918，通過發送鑑別成功信息給MS，可以結束交接鑑別程序。在WiMAX鑑別器以及MS，WiMAXPMK以及AK可以依序從WiFiMSK推導。在步驟S920，AK從WiMAX鑑別器傳遞到服務BS之後，諸如使用PKMv2協議，在步驟S922可以執行三向交握，藉以確認(confirm)MS以及服務BS具有相同的AK，以及建立MS以及服務BS之間的數據安全結合。安全結合可以包含MS以及服務BS之間共享的安全信息，以支持WiMAX網絡的安全通訊。在步驟S924，密鑰請求/響應信息(例如，使用PKMv2協議)可以在MS以及服務BS之間交換，從而交換TEK，此TEK本身為BS隨機產生出來的，而且可以透過AK推導出KEK來加密TEK再傳送給MS。亦即，TEK可以被用於加密數據傳送。在步驟S926，作為選擇，服務BS採用註冊響應信息(RegistrationResponsemessage)來應答，以響應從MS所發送的註冊請求信息(RegistrationRequestmessage),以完成能力協商。圖10中所繪示的交接程序可以在使用服務BS建立新的連接之前縮短中斷時間(interruptiontime)。為了最佳化網絡進入程序，能夠縮簡訊息交換。為了執行這個操作，可以跨越(skip)—個或者幾個網絡進入步驟。例如，可以跨越能力協商、PKM、鑑別程序和/或加密密鑰建立。在一些實施例中，如圖11所繪示的示例實施例，在步驟S1006，在測距請求信息被發送到服務BS之後，服務BS以及MS可以不交換任何網絡進入信息。在步驟S1008,因為核心網絡不能預測MS將要漫遊的目標BS或者目標WiMAX鑑別器，服務BS可以發送密鑰請求信息中的MSID給核心鑑別器。在步驟S1010，根據MSID的驗證，鑑別器(例如，核心鑑別器或者WiFi鑑別器)的其中之一可以發送WiFiMSK給密鑰回放信息(KeyReplaymessage)中的WiMAX鑑別器。通過截斷WiFiMSK至160位，WiMAXPMK可以從WiFiMSK推導。在WiMAX鑑別器，從WiMAXPMK可以依序推導出AK(較低的加密電平密鑰)，而BS會隨機產生TEK，且透過AK推導出KEK來加密TEK再傳送給MS。在步驟S1012，通過WiMAX鑑別器，AK可以被傳遞到服務BS。在步驟S1014，採用測距響應信息，服務BS可以響應MS,以完成交接程序。如圖12和圖13所示，在核心網絡知曉MS將要漫遊的目標BS或者目標WiMAX鑑別器的一些實施例中，諸如核心鑑別器或者WiFi鑑別器之類的鑑別器的其中之一可以驗證通過WiMAX鑑別器所提供的MSID以及可以傳遞WiFiMSK給目標WiMAX鑑別器。在這個示例實施例中，諸如通過使用RADIUS協議，在步驟S1106，MSID被核心鑑別器驗證，以及回應其，在步驟S1108，WiFiMSK被傳遞到目標WiMAX鑑別器。在WiMAX鑑別器，諸如WiMAXPMK以及AK之類的加密密鑰可以從WiFiMSK推導。在步驟S1110，AK接著可以被傳遞到目標BS。在一些實施例中，沒有採納交接最佳化方法，如圖12所示，在步驟S1112，測距請求以及測距響應信息可以在MS以及目標BS之間被交換，藉以獲得MS的時序偏移以及傳送功率。根據測距的成功完成，在步驟S1114，能力協商可以在MS以及目標BS之間被執行，以協商諸如調變方案、PKM版本以及授權政策之類的協商參數。在步驟S1116，密鑰請求/響應信息(例如，通過使用PKMv2協議)可以在MS以及目標BS之間被交換，從而交換TEK，此TEK本身為BS隨機產生出來的，而且可以透過AK推導出KEK來加密TEK再傳送給MS。亦即，TEK可以被用於加密應用數據。在步驟S1118，目標BS可以採用註冊響應信息(RegistrationResponsemessage)來選擇性地響應來自於MS的註冊請求信息(RegistrationRequestmessage),以完成言旨力協商。交接最佳化方法可以在這樣的情況下使用核心網絡可以預測MS將要漫遊的目標BS或者目標WiMAX鑑別器。如圖13所繪示，可以縮簡訊息交換以最佳化網絡進入程序。相似於圖11所繪示的已簡化的交接程序，可以跨越(skip)—個或者幾個網絡進入步驟。例如，可以跨越能力協商、PKM、鑑別程序和/或加密密鑰建立。諸如通過傳送整個操作信息給目標BS，可以跨越整個網絡進入程序。在步驟S1212，在MS發送其測距請求信息給目標BS之後，通過已經交換了整個操作信息，目標BS以及MS可以不交換任何的網絡進入信息。在步驟S1214，目標BS可以採用測距響應信息來響應MS，以完成交接程序。根據本發明的一個觀點，本發明的示例實施例的MS、BS、AP、AC以及ASN-GW的所有或者一部分通常在電腦程式的控制下進行操作。用於執行本發明的示例實施例的方法的電腦程式可以包括一個或者多個計算機可讀程序代碼部分，諸如一系列的計算機指令，其被嵌入或者儲存在諸如非易失性儲存媒體之類的計算機可讀儲存媒體中。圖6至圖13是反映根據本發明示例實施例的方法、系統以及電腦程式的控制流程圖。應當知曉的是，通過各種裝置，諸如單獨的硬體或者硬體與韌體結合和/或包括一個或者多個電腦程式指令的軟體，可以實施控制流程圖中的每一區塊或步驟，以及控制流程圖中的區塊或步驟的結合。應當知曉的是，任何這樣的電腦程式指令都可以被加載(load)到計算機或者其它可程序化裝置上以產生一機器(machine)，從而在計算機或者其它可程序化裝置(例如，硬體)上執行的指令產生用於在控制流程圖的一個或多個區塊或者一個或多個步驟中實施特定功能的裝置。電腦程式指令也可以被儲存在腦可讀存儲器中，其以特定的方式來直接使得計算機或者其它可程序化裝置具有功能，從而儲存在計算機可讀存儲器中的指令產生包括指令裝置的製品，此指令裝置實施控制流程圖的一個或多個區塊或者一個或多個步驟中的特定功能。電腦程式指令都也可以被加載到計算機或者其它可程序化裝置上，以使得一系列可操作步驟在計算機或者其它可程序化裝置上被執行，以產生計算機實施過程，從而在計算機或者其它可程序化裝置上執行的指令提供用於實施控制流程圖的一個或多個區塊或者一個或多個步驟中的特定功能步驟。因此，控制流程圖的區塊或者步驟支持用於執行特定功能的裝置的結合、用於執行特定功能的步驟以及用於執行特定的功能的程序指令裝置的結合。還應當知曉的是通過執行特定功能或步驟的特定目的基於硬體的計算機系統，或者通過特定目的硬體以及計算機指令的結合，可以實施控制流程圖的一個或者多個區塊或步驟，以及控制流程圖中的區塊或步驟的結合。雖然本發明已以較佳實施例揭露如上，然其並非用以限定本發明，任何本領域技術人員，在不脫離本發明的精神和範圍內，當可作些許的更動與潤飾，故本發明的保護範圍當視隨附的權利要求範圍所界定的為準。儘管在此使用了特定的術語，但其僅僅是用於一般的目的以及說明，並不是用於限定本發明。權利要求一種用於一裝置從一第一無線網絡至一第二異質無線網絡的交接的方法，一主會談密鑰在所述裝置對所述第一無線網絡的連接的建立期間已經產生，所述方法包括偵測所述第二無線網絡的信號；以及響應所述信號，通過使用根據所述第一無線網絡的連接的建立期間而產生的所述主會談密鑰而推導的一成對主密鑰來建立所述裝置對所述第二無線網絡的連接，根據所述成對主密鑰推導一個或者多個加密密鑰，以支持所述第二無線網絡的安全通訊。2.根據權利要求1所述的方法，其中所述裝置以及所述成對主密鑰中的每一個都具有唯一的辨識符，以及其中所述方法還包括經由一交互工作功能來提供所述成對主密鑰的所述辨識符給一核心網絡中的一核心網絡鑑別組件，以通過所述裝置以及所述成對主密鑰的所述辨識符的驗證來致能所述核心鑑別組件或者所述第一無線網絡中的一第一網絡鑑別組件的其中之一傳遞所述成對主密鑰給所述第二無線網絡中的一第二網絡鑑別組件，通過所述核心網絡鑑別組件來驗證所述成對主密鑰的所述辨識符以使得所述成對主密鑰生效。3.根據權利要求1所述的方法，其中所述裝置以及所述成對主密鑰中的每一個都具有唯一的辨識符，以及其中所述方法還包括經由一交互工作功能來提供所述裝置的所述辨識符給一核心網絡中的一核心網絡鑑別組件，以通過所述裝置以及所述成對主密鑰的所述辨識符的驗證來致能所述核心鑑別組件或者所述第一無線網絡中的一第一網絡鑑別組件的其中之一傳遞所述成對主密鑰給所述第二無線網絡中的一第二網絡鑑別組件，通過所述第二網絡鑑別組件來驗證所述成對主密鑰的所述辨識符以使得所述成對主密鑰生效。4.根據權利要求1所述的方法，所述方法還包括經由一信號前進功能來存取所述第二無線網絡中的一網絡鑑別組件，以啟動所述第二無線網絡的一接口。5.根據權利要求1所述的方法，所述方法還包括經由所述第二無線網絡中的一網絡鑑別組件來提供所述裝置的所述辨識符給一交互工作功能，以通過所述裝置的所述辨識符的驗證來致能所述交互工作功能傳遞所述成對主密鑰給所述網絡鑑別組件。6.根據權利要求1所述的方法，其中所述成對主密鑰具有唯一的辨識符，以及其中所述方法還包括提供所述成對主密鑰的所述辨識符給所述第二無線網絡中的一網絡鑑別組件，以根據來自於一核心網絡中的一核心鑑別組件或者所述第一無線網絡中的一網絡鑑別組件的其中之一的所述成對主密鑰的接收來致能所述網絡鑑別組件以驗證所述成對主密鑰的所述辨識符。7.根據權利要求1所述的方法，所述方法還包括經由一信號前進功能來存取所述第二無線網絡中的一網絡鑑別組件，以啟動所述第一無線網絡的一接口。8.根據權利要求1所述的方法，其中所述裝置具有唯一的辨識符，以及其中所述方法還包括採用一基站來執行一鑑別程序，以驗證所述基站以及所述裝置是否具有共享的安全密鑰，通過一核心網絡中的一核心網絡鑑別組件，以根據所述裝置的所述辨識符的驗證，而通過所述第二無線網絡中的一網絡鑑別組件來提供所述安全密鑰。9.根據權利要求8所述的方法，所述方法還包括經由所述基站以及所述網絡鑑別組件來提供所述裝置的所述辨識符給所述核心網絡鑑別組件，以致能所述核心鑑別組件根據所述裝置的所述辨識符的驗證來提供所述主會談密鑰給所述第一無線網絡中的所述網絡鑑別組件或者所述第二無線網絡中的所述網絡鑑別組件的其中之一，以及致能從所述第一無線網絡中的所述網絡鑑別組件或者所述第二無線網絡中的所述網絡鑑別組件中的至少一個中的所述主會談密鑰來推導所述成對主密鑰。10.根據權利要求8所述的方法，其中通過所述第二無線網絡中的所述網絡鑑別組件來提供所述裝置的所述辨識符，以致能所述核心鑑別組件或者所述第一無線網絡中的網絡鑑別組件的其中之一根據所述裝置的所述辨識符的驗證來提供所述主會談密鑰給所述第二無線網絡中的所述網絡鑑別組件，以及致能在所述第一無線網絡中的所述網絡鑑別組件或者所述第二無線網絡中的所述網絡鑑別組件中的其中之一，以從所述主會談密鑰來推導所述成對主密鑰。11.一種包括一處理器的裝置，所述處理器被配置為用於所述裝置從一第一無線網絡至一第二異質無線網絡的交接，一主會談密鑰在所述裝置對所述第一無線網絡的連接的建立期間已經產生，所述處理器被配置為執行或者使得所述裝置至少執行偵測所述第二無線網絡的信號；以及響應所述信號，通過使用根據所述第一無線網絡的連接的建立期間而產生的所述主會談密鑰而推導的一成對主密鑰來建立所述裝置對所述第二無線網絡的連接，根據所述成對主密鑰推導一個或者多個加密密鑰，以支持所述第二無線網絡的安全通訊。12.根據權利要求11所述的裝置，其中所述裝置以及所述成對主密鑰中的每一個都具有唯一的辨識符，以及其中所述處理器被配置為執行或者使得所述裝置更執行經由一交互工作功能來提供所述成對主密鑰的所述辨識符給一核心網絡中的一核心網絡鑑別組件，以通過所述裝置以及所述成對主密鑰的所述辨識符的驗證來致能所述核心鑑別組件或者所述第一無線網絡中的一第一網絡鑑別組件的其中之一傳遞所述成對主密鑰給所述第二無線網絡中的一第二網絡鑑別組件，通過所述核心網絡鑑別組件來驗證所述成對主密鑰的所述辨識符以使得所述成對主密鑰生效。13.根據權利要求11所述的裝置，其中所述裝置以及所述成對主密鑰中的每一個都具有唯一的辨識符，以及其中所述處理器被配置為執行或者使得所述裝置更執行經由一交互工作功能來提供所述裝置的所述辨識符給核心網絡中的核心網絡鑑別組件，以通過所述裝置以及所述成對主密鑰的所述辨識符的驗證來致能所述核心鑑別組件或者所述第一無線網絡中的一第一網絡鑑別組件的其中之一傳遞所述成對主密鑰給所述第二無線網絡中的一第二網絡鑑別組件，通過所述第二網絡鑑別組件來驗證所述成對主密鑰的所述辨識符以使得所述成對主密鑰生效。14.根據權利要求11所述的裝置，其中所述處理器被配置為執行或者使得所述裝置更經由一信號前進功能來存取所述第二無線網絡中的一網絡鑑別組件，以啟動所述第二無線網絡的一接口。15.根據權利要求11所述的裝置，其中所述處理器被配置為執行或者使得所述裝置更經由所述第二無線網絡中的一網絡鑑別組件來提供所述裝置的所述辨識符給一交互工作功能，以通過所述裝置的所述辨識符的驗證來致能所述交互工作功能傳遞所述成對主密鑰給所述網絡鑑別組件。16.根據權利要求11所述的裝置，其中所述處理器被配置為執行或者使得所述裝置更提供所述成對主密鑰的所述辨識符給所述第二無線網絡中的一網絡鑑別組件，以根據來自於一核心網絡中的一核心鑑別組件或者所述第一無線網絡中的一網絡鑑別組件的其中之一的所述成對主密鑰的接收來致能所述網絡鑑別組件以驗證所述成對主密鑰的所述辨識符。17.根據權利要求11所述的裝置，其中所述處理器被配置為執行或者使得所述裝置更經由一信號前進功能來存取所述第二無線網絡中的一網絡鑑別組件，以啟動所述第一無線網絡的一接口。18.根據權利要求11所述的裝置，其中所述裝置具有唯一的辨識符，以及其中所述處理器被配置為執行或者使得所述裝置更採用一基站來執行一鑑別程序，以驗證所述基站以及所述裝置是否具有共享的安全密鑰，通過一核心網絡中的一核心網絡鑑別組件，以根據所述裝置的所述辨識符的驗證，而通過所述第二無線網絡中的一網絡鑑別組件來提供所述安全密鑰。19.根據權利要求18所述的裝置，其中所述處理器被配置為執行或者使得所述裝置更經由所述基站以及所述網絡鑑別組件來提供所述裝置的所述辨識符給所述核心網絡鑑別組件，以致能所述核心鑑別組件根據所述裝置的所述辨識符的驗證來提供所述主會談密鑰給所述第一無線網絡中的網絡鑑別組件或者所述第二無線網絡中的所述網絡鑑別組件的其中之一，以及致能從所述第一無線網絡中的所述網絡鑑別組件或者所述第二無線網絡中的所述網絡鑑別組件中的至少一個中的所述主會談密鑰來推導所述成對主密鑰。20.根據權利要求18所述的裝置，其中通過所述網絡鑑別組件來提供所述裝置的所述辨識符，以致能所述核心鑑別組件根據所述裝置的所述辨識符的驗證來提供所述主會談密鑰給所述第一無線網絡中的一網絡鑑別組件或者所述第二無線網絡中的所述網絡鑑別組件的其中之一，以及致能從所述第一無線網絡中的所述網絡鑑別組件或者所述第二無線網絡中的所述網絡鑑別組件中的至少一個中的所述主會談密鑰來推導所述成對主密鑰。21.一種用於一裝置從一第一無線網絡至一第二異質無線網絡的交接的方法，所述方法包括通過使用根據所述裝置對所述第一無線網絡的連接的建立期間而產生的一主會談密鑰而推導的一成對主密鑰來建立所述裝置對所述第二無線網絡的連接，根據所述成對主密鑰推導一個或者多個加密密鑰，以支持所述第二無線網絡的安全通訊。全文摘要本發明公開了一種用於一裝置從第一無線網絡至第二異質無線網絡的交接的方法，此方法包括偵測第二無線網絡的信號；以及響應此信號，通過使用根據第一無線網絡的連接的建立期間而產生的主會談密鑰而推導的成對主密鑰來建立此裝置對第二無線網絡的連接，根據成對主密鑰推導一個或者多個加密密鑰，以支持第二無線網絡的安全通訊。文檔編號H04W12/04GK101998394SQ201010260659公開日2011年3月30日申請日期2010年8月20日優先權日2009年8月21日發明者何承遠,曾建超,王瑞堂,陳啟中,黃貴笠申請人:財團法人工業技術研究院