| 主权项 |
1.一种以用户识别模组为基础的认证方法,系于无 线区域网路环境中认证行动节点与网路,使得合法 的行动节点与网路能够利用无线区域网路互相传 送封包,该行动节点具有至少一用户识别模组,该 无线区域网路包括至少一服务该行动节点之存取 点、一认证伺服器、以及连接至一认证中心,该方 法包括: 一网路认证乱数产生步骤,由该行动节点产生一网 路认证乱数并传给该认证中心,该行动节点亦依此 网路认证乱数而算出一第一签章回应; 一网路认证签章回应产生步骤,该认证中心依该网 路认证乱数而算出一第二签章回应,并将该第二签 章回应传给该认证伺服器; 一行动节点预备认证乱数产生步骤,该认证中心产 生一至多个预备行动节点认证乱数及对应之签章 回应,并将其传给该认证伺服器; 一行动节点认证乱数选择步骤,该认证伺服器由认 证中心所送来之预备行动节点认证乱数及对应之 签章回应中选出一个行动节点认证乱数及其对应 之第三签章回应,并将该行动节点认证乱数与该第 二签章回应传回给该行动节点; 一认证网路步骤,该行动节点比对该第一签章回应 与该第二签章回应来认证网路之正确性; 一行动节点认证签章回应产生步骤,该行动节点依 该行动节点认证乱数算出一第四签章回应,并将其 传送到该认证伺服器;以及 一认证行动节点步骤,该认证伺服器比较该第三签 章回应与该第四签章回应来认证行动节点之正确 性。 2.如申请专利范围第1项所述之方法,其中,于该网 路认证乱数产生步骤中,该行动节点亦依该网路认 证乱数而算出一网路认证加密金钥;于该网路认证 签章回应产生步骤中,该认证中心亦依该网路认证 乱数而算出相同之网路认证加密金钥;于该行动节 点认证乱数产生步骤中,该认证中心亦产生对应该 行动节点认证乱数之行动节点认证加密金钥;于该 行动节点认证签章回应产生步骤中,该行动节点亦 依该行动节点认证乱数算出一相同之行动节点认 证加密金钥。 3.如申请专利范围第2项所述之方法,其中,于该行 动节点乱数产生步骤中,该行动节点系以其用户识 别模组之认证演算法及加密金钥产生演算法而分 别算出该第一签章回应及该行动节点加密金钥。 4.如申请专利范围第3项所述之方法,其中,于该网 路认证签章回应产生步骤中,该认证中心依对应于 该用户识别模组之认证演算法及加密金钥产生演 算法而分别算出该第二签章回应及该网路认证加 密金钥。 5.如申请专利范围第2项所述之方法,其中,于该行 动节点认证签章回应产生步骤中,该行动节点系以 其用户识别模组之认证演算法及加密金钥产生演 算法而分别算出该第四签章回应和该行动节点认 证加密金钥。 6.如申请专利范围第2项所述之方法,其更包含: 一资料封包传送步骤,该行动节点与网路以该网路 认证加密金钥及行动节点认证加密金钥之组合作 为一暂时金钥来加密与解密传送于两者之间的封 包。 7.如申请专利范围第6项所述之方法,其中,该暂时 金钥为该网路认证加密金钥、该行动节点认证加 密金钥、或该网路认证加密金钥及行动节点认证 加密金钥之串接。 8.如申请专利范围第6项所述之方法,其更包含: 一金钥预先投递步骤,由该认证伺服器将该暂时金 钥投递给该行动节点目前所在之存取点周围的至 少一个存取点。 9.如申请专利范围第8项所述之方法,其更包含: 一换手步骤,该行动节点移动至一新的存取点,且 该行动节点系被设定为一已认证之行动节点;以及 一查询步骤,该新的存取点查询其内部纪录,以找 出对应该行动节点之暂时金钥,俾进行讯息完整性 码运算与加密/解密封包。 10.如申请专利范围第9项所述之方法,其中,于该查 询步骤中,如无法找出该暂时金钥,则该新的存取 点向认证伺服器查询该行动节点所使用的暂时金 钥。 11.如申请专利范围第6项所述之方法,其更包含: 一再认证步骤,系当该行动节点与存取点间传送封 包次数超出一预设之临界値时,由存取点起始一再 认证程序。 12.如申请专利范围第11项所述之方法,其中,该再认 证程序包括: 一行动节点认证乱数再选择步骤,该认证伺服器选 用于该行动节点认证乱数选择步骤中未被使用的 一个行动节点认证乱数,并将其传给该行动节点, 该行动节点认证乱数对应有一第五签章回应; 一行动节点认证签章回应再产生步骤,该行动节点 依该行动节点认证乱数算出一第六签章回应,并将 其传送到该认证伺服器;以及 一再认证行动节点步骤,该认证伺服器比较该第五 签章回应及第六签章回应来认证该行动节点之正 确性。 13.如申请专利范围第12项所述之方法,其中,于该行 动节点认证乱数再选择步骤中,该网路乱数对应有 一行动节点认证加密金钥;于该行动节点认证签章 回应再产生步骤中,该行动节点亦依该行动节点认 证乱数算出一相同之行动节点认证加密金钥。 14.一种于无线区域网路中支援跨存取点快速换手 之方法,该无线区域网路包括一认证伺服器及由该 认证伺服器所管理之多个存取点,其中一存取点服 务一行动节点,该行动节点与该无线区域网路经认 证后分别以相同之暂时金钥来进行讯息完整性码 运算与加密/解密传送于该行动节点与其目前所在 之存取点之间的封包,该方法包括: 一主动性金钥预先投递步骤,由该认证伺服器自发 性将该暂时金钥投递给该行动节点目前所在之存 取点周围的至少一个存取点; 一被动性金钥预先查询/投递步骤,由该行动节点 对周围环境所发出探查要求讯息来驱动周围临近 之存取点进行该行动节点之暂时金钥查询,此一周 围存取点查询行为可被动性使认证伺服器提前于 该行动节点换手至该临近存取点之前,将该行动节 点之暂时金钥投递给该行动节点目前所在之存取 点周围的存取点; 一换手步骤,该行动节点移动至一新的存取点,且 该行动节点系被设定为一已认证之行动节点;以及 一查询步骤,该新的存取点查询其内部纪录,以找 出对应该行动节点之暂时金钥,俾进行完整性保护 与加密/解密封包。 15.如申请专利范围第14项所述之方法,其中,于该查 询步骤中,如无法找出该暂时金钥,则该新的存取 点向该认证伺服器查询该行动节点所使用的暂时 金钥。 16.如申请专利范围第15项所述之方法,其中,如果亦 无法由认证伺服器查询出该行动节点所使用的暂 时金钥,则该新的存取点将发起一认证程序。 图式简单说明: 图1系显示习知以SIM卡为基础之GSM/GPRS的认证及加 密机制。 图2系显示习知在WLAN中之行动节点向存取点来存 取网路之过程。 图3系显示依据EAP-SIM草案的一种用于IEEE 802.1x port- based存取控制之认证程序。 图4系显示本发明之以用户识别模组为基础的认证 方法之讯息流程。 图5系显示在认证完成及MN换手至一新的AP后以加 密金钥来加密/解密传送于网路与行动节点间之封 包。 图6系显示当MN由AP换手至新AP时且新AP已具有暂时 金钥的讯息流程。 图7系显示当MN由AP换手至新AP时且新AP尚未具有暂 时金钥的讯息流程。 图8系显示于金钥长时间后所起使之再认证程序。 |
