JP5189066B2 - 端末装置におけるユーザ認証方法、認証システム、端末装置及び認証装置 - Google Patents

端末装置におけるユーザ認証方法、認証システム、端末装置及び認証装置 Download PDF

Info

Publication number
JP5189066B2
JP5189066B2 JP2009276886A JP2009276886A JP5189066B2 JP 5189066 B2 JP5189066 B2 JP 5189066B2 JP 2009276886 A JP2009276886 A JP 2009276886A JP 2009276886 A JP2009276886 A JP 2009276886A JP 5189066 B2 JP5189066 B2 JP 5189066B2
Authority
JP
Japan
Prior art keywords
authentication
terminal device
protocol
smart card
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2009276886A
Other languages
English (en)
Other versions
JP2010114912A (ja
Inventor
ハベリネン,ヘンリー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Oyj
Original Assignee
Nokia Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Oyj filed Critical Nokia Oyj
Publication of JP2010114912A publication Critical patent/JP2010114912A/ja
Application granted granted Critical
Publication of JP5189066B2 publication Critical patent/JP5189066B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Communication Control (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)
  • Collating Specific Patterns (AREA)

Description

本発明は、端末装置のユーザを認証する方法と、認証装置を利用する端末装置と、上記端末装置と接続された認証装置とに関する。本発明はまた、少なくとも認証に用いる認証装置の結合手段を備えた端末装置を有する認証システムと、認証用プロトコルの実現手段とを装備した認証装置にも関する。本発明はまた少なくとも認証を行うための認証装置の結合手段を備えた端末装置、及び、認証用プロトコルの実現手段を装備した認証装置にも関する。さらに本発明はユーザ認証に用いる認証装置に関し、上記認証装置は認証用プロトコルの実現手段を有する。本発明はさらに、利用権検証用装置を装備した端末装置のユーザを認証する機械で実行可能なステップを有するコンピュータプログラムに関し、この利用権検証用装置は認証用プロトコルの実行に利用される。さらに本発明は、利用権検証用装置を装備した端末装置のユーザを認証する機械で実行可能なステップを有するコンピュータプログラムを記憶する記憶媒体に関し、利用権検証用装置は認証用プロトコルを実行するために利用される。
本説明では、認証装置とは機能デバイスを意味し、この機能デバイスは、ある装置が作動可能となる前におよび/または装置の利用と接続される前に、機能および/または装置の利用権の検証手段を備えている。これに関連して述べられる、このような検証用装置は、一般に、プロセッサ、メモリ及び接続手段を有するいわゆるスマートカードを備えている。スマートカードには、スマートカードに入力された入力を処理するための、及び、応答を生成するためのソフトウェア等が設けられる。例えば、このようなスマートカードは移動局において支払いカードや電子識別カードなどとして利用される。さらに、コピーされたソフトウェアの使用を防止するために、利用権を検証するための周知の装置がある。このような検証用装置(“ダングル(dongle)”とか“ハードロック”と呼ばれる)は、例えばコンピュータのプリンタ接続部に配置される。その場合、上記ソフトウェアには、例えば検証用装置がプリンタ接続部に結合されているかどうか調べるセキュリティプログラムが含まれ、必要に応じて、検証用装置に記憶されている識別子(使用許諾番号など)もチェックされることもある。以下本説明では、このような利用権検証用装置を主としてスマートカードと呼ぶことにするが、本発明がスマートカードでの使用のみに限定されるものでないことは言うまでもない。
端末装置は、例えばユーザ認証のために、使用するスマートカードを接続することが可能な装置として知られている。この認証は、アクセス権限が与えられていない人が端末装置を使用したり、端末装置に対するアクセス権が与えられたユーザ以外の別の人には利用する権利が与えられていないような機能を端末装置で実行したりするのを防ぐために必要となる場合がある。これらの認証機能は、通常、少なくとも部分的にスマートカードと接続して構成され、端末装置によってユーザが入力した識別子データがスマートカードに送信される。使用される識別子データは、例えばユーザ名とパスワードあるいは個人用識別番号(PIN)などである。スマートカードには認証用プロトコルが設けられ、この認証用プロトコルは、端末装置から送信される識別子データを認証パラメータとして利用することにより実行される。上記プロトコルによって、例えば、参照番号の計算が行われ、この参照番号と、スマートカードに記憶されている識別番号との比較が行われる。したがって、これらの番号が一致した場合、そのユーザが本人であると想定される。
ユーザが端末装置を用いてデータネットワークにログインすると、スマートカードに基づくソリューションを利用することも可能である。データネットワークには認証用サーバ等が設けられ、この認証用サーバと接続されて、氏名、ユーザ識別子及びパスワードのような登録済みのユーザ識別子データが記憶されている。したがって、認証用サーバとスマートカードとは端末装置とデータネットワークとによって通信を行う。また、このようなソリューションでも、端末装置の起動に関してユーザの特定がまず必要となり、その後でデータネットワークの認証用サーバで第2の認証が行われる場合もある。この第2の認証は所定の認証用プロトコルの使用と、認証用アルゴリズムとに基づいて行われる。したがって、上記認証用プロトコルの実行に必要なプログラムコードは端末装置とデータネットワークに記憶される。認証用アルゴリズムは認証用サーバ並びにスマートカードに記憶される。
データネットワークでは、例えば、端末装置からデータネットワークへログイン要求を送信することにより認証を行うことができる。この送信で、ログイン要求は認証用サーバへ送信される。認証用サーバは所定の認証用アルゴリズムによってチャレンジ等を形成する。この後、認証用サーバはログイン応答メッセージを端末装置へ送信し、前記チャレンジはそのままの形か暗号化形式かのいずれかの形でこの応答メッセージの中に含まれる。さらに、ログイン応答メッセージの受信後、スマートカードによるチェックが可能なデジタル署名によりこのメッセージの認証を検証することが可能となる。次に、スマートカードは、所定の認証用アルゴリズムによって、ユーザ識別子データと、受信したチャレンジとに基づいて応答番号を作成する。この応答番号は、認証用サーバに記憶されたユーザ識別子データと、ユーザ識別子データにより形成されるチャレンジとに基づく予想番号の形成が可能な認証用サーバへ送信される。認証用サーバは受信した応答番号と予想応答番号とを比較し、この比較の結果から、受信した応答番号の形成時に用いられたデータが予想応答番号の形成時に用いられたデータと一致するかどうかを推論することができる。データが一致すれば、ユーザが正しく認証されたと想定することが可能となり、ユーザはデータネットワークの利用を開始することができる。上記の種類の方法は、例えばGSM移動通信システムにおいてまたUMTS移動通信システムにおいて、移動通信ネットワークにおける移動局のログイン中に用いられる。GSM移動通信システムとUMTS移動通信システムとで使用されるスマートカードは、それぞれ、いわゆるSIMカード(加入者識別モジュール)とUSIMカード(UMTS加入者識別モジュール)である。認証用サーバとして認証センタAuCが利用される。SIMカードには移動通信ネットワーク通信事業者専用の認証用アルゴリズムが含まれる。
スマートカードに基づくソリューションでは、新しい認証用アルゴリズムを備えた新たなスマートカードとスマートカードとを入れ換えることによりユーザデータと認証用アルゴリズムの変更を行うことが可能である。これに対応して、この新しい認証用アルゴリズムは、予めインストールされていなければ、このアルゴリズムを認証用サーバにインストールする必要がある。
従来技術の上記ソリューションにおける問題点として、特に、単なるスマートカードの変更によっては認証用プロトコルの変更ができないという点が挙げられる。例えば、GSM移動通信システムとUMTS移動通信システムとでは異なる認証用プロトコルが用いられているため、GSM移動通信システムに準拠する移動通信装置を更新して、単にスマートカードの変更を行うだけでは、UMTS移動通信システムで使われている識別用プロトコルを使用することはできない。したがって、認証用プロトコルの変更には少なくとも端末用ソフトウェアの変更も必要となり、必要な場合には認証用サーバのソフトウェアの変更も必要となる。
移動通信装置のユーザは異なる移動通信ネットワークの範囲内で移動することができる。したがって、ユーザが自分ホームネットワーク以外の別のネットワークの中にいる場合、ローミングネットワークが、端末装置と、ホームネットワークの認証センタとの間で認証用プロトコルに準拠するメッセージを送信するような形で認証が行われる。この場合、上記認証はホームネットワークの認証センタにより行われる。したがって、GSM移動通信システムの場合、及び、UMTS移動通信システムの場合などに、通信事業者専用となるように認証用アルゴリズムをセットすることが可能である。なぜなら、認証時に使用されるすべての値はホームネットワークで形成されるからである。ローミングネットワークの機能はただ数字の比較を行うだけであるため、ローミングネットワークは当該アルゴリズムを知っている必要はない。従来技術のソリューションを用いる場合、異なる移動通信ネットワークにおける移動通信装置のオペラビリティ(operability)を維持するために、通信事業者専用となるように認証用プロトコルをセットすることはできない。
例えばオプションの電話網などによって、いわゆるホームネットワークでワークステーションを結合することが可能な通信ネットワークも知られている。これらのいわゆるダイアルアップネットワークのいくつかでは拡張可能認証用プロトコル(EAP)が利用される。このようなシステムでは、ローミングネットワークの目的は、専ら、端末装置とホームネットワークの認証センタ間でEAPプロトコルと適合するメッセージを送信することである。ローミングネットワークは、EAPプロトコルと適合するメッセージを解釈する能力を持つ必要はない。ローミングネットワークの変更を全く行うことなく、新たな認証用プロトコルやアルゴリズムの導入を行うことが可能である。しかし、従来技術の解決方法では新たなEAPプロトコルタイプが必要とするソフトウェアの更新を行わなければならないため、端末装置を変更する必要がある。
EAPは、インターネットエンジニアリングタスクフォースIETFにより定められた基準規格であり、ポイント・トゥ・ポイントプロトコル(PPP)と関連して使用される拡張された認証用プロトコルのための基準規格である。この規格のさらに具体的な定義についてはIETF文書rfc2284.txtに記載がある。この規格には、認証に用いるメッセージ構造に関連する定義が含まれている。EAPメッセージにはヘッダフィールドとデータフィールドが含まれる。このヘッダフィールドは、例えばメッセージの種別(タイプ)と、識別子と、長さとを定義するフィールドである。これらのメッセージは、データリンク層で使用されるPPPプロトコルのメッセージフレームの形で送信される。
IETF文書rfc2284
改善されたユーザ認証方法を提供することが本発明の目的である。本発明は、スマートカードに拡張可能な認証用プロトコルインタフェース(EAP IF)を設け、このインタフェースを介してスマートカード上で認証機能を実行するという着想に基づくものである。さらに正確に述べると、本発明に準拠する方法は、認証装置が拡張可能な認証用プロトコルインタフェースを利用し、このインタフェースを介して認証機能の少なくともいくつかの機能を実現することを主たる特徴とするものである。本発明に準拠するシステムは、拡張可能な認証用プロトコルインタフェース、並びに、前記拡張可能な認証用プロトコルインタフェースを介して認証機能のうちの少なくともいくつかの機能を実行する手段を認証装置に設けることを主たる特徴とするものである。本発明に準拠する端末装置は、拡張可能な認証用プロトコルインタフェース、並びに、前記拡張可能な認証用プロトコルインタフェースを介して認証機能のうちの少なくともいくつかの機能を実行する手段を認証装置に設けることを主たる特徴とするものである。さらに、本発明に準拠する認証装置は、拡張可能な認証用プロトコルインタフェース、並びに、前記拡張可能な認証用プロトコルインタフェースを介して認証機能のうちの少なくともいくつかの機能を実行する手段を認証装置に設けることを主たる特徴とするものである。本発明に基づくコンピュータプログラムは、該コンピュータプログラムが、拡張可能な認証用プロトコルインタフェースを利用権検証用装置で利用する、機械で実行可能なステップをさらに有し、拡張可能な認証用プロトコルインタフェースを介して認証機能のうちの少なくともいくつかを処理する機械で実行可能なステップを含むことを主たる特徴とするものである。本発明に基づく記憶媒体は、上記コンピュータプログラムが、拡張可能な認証用プロトコルインタフェースを利用権検証用装置で利用する機械で実行可能なステップをさらに有し、拡張可能な認証用プロトコルインタフェースを介する認証機能のうちの少なくともいくつかを処理する機械で実行可能なステップを含むことを主たる特徴とするものである。本発明と関連して使用する認証用プロトコルインタフェースは、インタフェース、端末装置用ソフトウェアや装置の変更を全くともなうことなく、前記インタフェースを用いることにより任意の認証用プロトコルの実行が可能となるという意味で拡張可能である。
本発明は従来技術のソリューションと比べて顕著な利点を示すものである。本発明による方法を適用した場合、スマートカードの変更によりユーザ認証に使用する認証用プロトコルの変更が可能となる。したがって、ローミングネットワークや端末装置においてソフトウェアの更新を行う必要がなくなる。このようにして、例えば移動通信ネットワークにおいて、認証用プロトコルを通信事業者専用とすることが可能となる。なぜなら、ホームネットワークの認証センタが認証センタとして利用されるからである。したがって、ユーザのホームネットワークの認証用プロトコルとは異なる認証用プロトコルをローミングネットワークで使用することが可能となる。制御が複雑で制御し難いソフトウェアの更新が不要なため、更新ファイルの送信は避けられる。
以下、添付図面を参照して本発明についてさらに詳細に説明する。
本発明の好適な実施形態に準拠する認証システムを示す簡略図である。 本発明の好適な実施形態に準拠する無線端末装置を示す簡略なブロック図である。 本発明の好適な実施形態に準拠するスマートカードを示す簡略なブロック図である。 本発明の好適な実施形態に準拠する方法を示す簡略なブロック図である。 本発明の好適な実施形態に準拠するシステムで使用するメッセージを示す図である。 本発明の好適な実施形態に準拠するシステムで使用するメッセージを示す図である。 本発明の好適な実施形態に準拠するシステムで使用するメッセージを示す図である。 本発明の好適な実施形態に準拠するシステムで使用するメッセージを示す図である。 本発明の好適な実施形態に準拠するシステムで使用するメッセージを示す図である。
以下の発明の詳細な説明では、移動通信ネットワーク2の認証システムが認証システム1の一例として用いられる。しかし本発明は移動通信ネットワークの接続時における使用のみに限定されるものではない。移動通信ネットワーク2としては、例えば、GSM移動通信システムやUMTS移動通信システムが挙げられるが、本発明が別の通信システムでも利用可能であることは言うまでもない。
本発明は、EAP規格に準拠するプロトコルが利用されるUMTS−SIP認証と関連して、並びに、IEEE802.1X認証用プロトコルが利用されるシステムにおいても利用可能である。前記プロトコルは、無線ローカルエリアネットワーク(WLAN)にも導入され、EAP規格に準拠するプロトコルのアプリケーションに基づくものである。
本認証システムは移動通信ネットワーク用の認証センタAuCのような認証用サーバ3を備えるシステムである。また本認証システムは、端末装置5と認証用サーバ3との間で認証時に必要なデータの送信を行う通信手段4も備える。上記通信手段は、例えば、基地局6と、基地局コントローラ7並びに1以上の移動体交換センタ8を移動通信ネットワーク2に備えている。認証用サーバ3は、移動通信ネットワーク2と接続された独立のサーバとすることが可能であり、あるいは、例えば移動体交換センタ8と接続してこの認証用サーバ3を設けることが可能である。
図2は、本発明の好適な実施形態に準拠する端末装置5であって、図1の認証システムで使用可能な端末装置5を示す。本発明のこの好適な実施形態では、端末装置5は、移動通信ネットワーク2との通信用移動通信手段9と、ユーザインタフェース10と、制御ブロック11と、記憶手段12、13、並びに、スマートカード15を端末装置5と接続する接続手段14を備える。上記憶手段は、好適にはリードオンリメモリ(ROM)12並びにランダムアクセスメモリ(RAM)13を備えることが望ましい。スマートカード15を接続する接続手段14は、実際には、様々な方法で実現可能である。1つの可能性として物理接続の利用が挙げられるが、その場合、接続手段14は、スマートカード15を端末装置5にインストールするとき、スマートカード15内の対応するコネクタと結合されるコネクタ等を備える。これらの接続手段は、無線接続をベースとすることが可能であり、その場合、接続手段14とスマートカード15は、(ブルートゥース(商標)、WLANなどの)無線通信手段、(赤外線などの)光通信手段、音響通信手段および/または誘導通信手段のようなワイヤレス通信手段(図示せず)を備えることになる。
端末装置5には、好適には制御ブロック11のソフトウェアの中に、移動通信ネットワーク2から端末装置5へ、さらに、端末装置5から移動通信ネットワーク2へメッセージを送信するとき、必要なプロトコル変換を行うためのプロトコルスタックも実装される。
図3は本発明の好適な実施形態に準拠するスマートカード15であって、図2に図示の端末装置5と接続して使用することが可能なスマートカード15を示す。スマートカード15は、好適にはプロセッサ16、リードオンリメモリ17とランダムアクセスメモリ18のような記憶手段並びに接続手段19を備えることが望ましい。
リードオンリメモリ12、17としては、例えば、ワンタイムプログラマブルROM(OPT−ROM;プログラム可能ROMすなわちPROM)や電気的に消去可能なプログラム可能ROM(EEPROM;フラッシュ)の使用が可能である。また、リードオンリメモリとしていわゆる不揮発性RAMの使用も可能である。ランダムアクセスメモリ13、18としては、ダイナミックランダムアクセスメモリ(DRAM)および/またはスタティックランダムアクセスメモリ(SRAM)の使用が望ましい。
例えば、端末装置の起動時に実行されるユーザ認証用アルゴリズム、並びに、移動通信ネットワーク2でそのログイン中に実行される端末ユーザ認証用アルゴリズムはスマートカードのリードオンリメモリ17に記憶される。さらに、スマートカードのリードオンリメモリ17には、以下本解説で説明する拡張可能な認証用プロトコルインタフェースの記憶済みの機能が含まれる。さらに、公知のように、スマートカードのリードオンリメモリ17には、スマートカードの機能制御に必要な別のプログラムコマンドが含まれる。
これに対応して、端末装置のリードオンリメモリ12には、端末装置5の機能を制御するのに必要な記憶済みのプログラムコマンド、スマートカード15と端末装置5間での通信に必要なプログラムコマンド、移動通信機能との関連で必要なプログラムコマンド、およびユーザインタフェースの制御コマンドなどが含まれる。しかし、認証用プロトコル機能を端末装置5に記憶することは不要となる。なぜなら、本発明のシステムでは、スマートカードに実装された拡張可能な認証用プロトコルインタフェースでこれらの機能が実行されるからである。
本発明で提示する拡張可能な認証用プロトコルインタフェースでは、例えば、スマートカードに対してユーザ識別子を要求する処理の実行、並びに、EAP要求などの要求メッセージをスマートカードに入力できる処理が可能である。したがって、スマートカードの機能として、上記メッセージに対する(EAP応答などの)応答を形成する機能がある。認証の結果を得る前に、要求メッセージと応答メッセージとの2以上の交換が可能となるように端末装置とローミングネットワークとを実現することが可能である。さらに、このスマートカードには、認証と関連して形成される鍵データが端末装置で使用されるために提供できる処理が含まれることが望ましい。この後、例えば、GSMとUMTS移動通信ネットワークなどで現在用いられている無線チャネルを介して送信される情報を暗号化するために上記鍵データの利用が可能となる。
端末装置5が起動された段階で、例えば、ユーザに対して個人用識別番号(PIN)の入力を求める通知を端末装置5がユーザインタフェース10の表示装置20に表示するような公知のユーザ検証の実施が可能となる。この後、ユーザインタフェース10のキーパッド21などを用いて、ユーザは自分のパスワードを入力し、端末装置制御ブロック11がこのパスワードをスマートカード15へ送信する。スマートカード15では、プロセッサ16は、スマートカードのリードオンリメモリ17に記憶されている、チェック用として構成されているユーザデータとアルゴリズムとによって、公知の方法で上記パスワードのチェックを行う。パスワードが正しく入力されていれば、端末装置5の起動が可能となる。
起動後、移動通信ネットワーク2の基地局6の信号を端末装置5で受信できれば、ネットワークでログインの開始が可能となる。ネットワークへのログインが可能となれば、公知の、ログインに必要なメッセージ(信号)の送信が開始される。ログイン中、必要に応じてロケーション更新(LA)が行われる。さらに、ログイン処理時に、信号の送受信用として送信用チャネルと受信用無線チャネルとが割り当てられ、これらのチャネルは通信時に端末装置と基地局により使用される。ログインと関連して、端末装置の認証が行われるが、これは図4の信号図に簡略に示されている。移動通信ネットワーク2の認証用サーバ3によってログイン要求501が形成される。その好適な例が図5aに示されている。
上記ログイン要求は、好適には、拡張可能な認証用プロトコルに準拠するメッセージであって、実質的に同一のレコード構造を用いるいくつかの異なるメッセージを形成できるように変更可能な値を含む或るレコードを有するメッセージであることが望ましい。このメッセージは好適にはヘッダフィールドとデータフィールドを含むことが望ましい。ヘッダフィールドには、特に、以下のデータレコード、メッセージが要求か若しくは応答か又は成功か若しくは失敗かに関する情報を送信するためのコードレコード502、同一メッセージの再送時の場合を除いて連続するメッセージによって異なる識別子データを含むように当該メッセージの特定に用いる識別子レコード503、さらに、メッセージの長さを示す長さレコード504、が含まれる。データフィールドの形で送信されるデータは、例えば、メッセージの使用目的によって決められる。本発明の好適な実施形態に準拠する本システムでは、データフィールドは当該メッセージの種別を示す種別(タイプ)データレコード505を含む。例えば、EAP種別番号に基づいて、端末装置15は、どのスマートカード15やプログラムモジュールが、当該EAP種別(すなわち認証用プロトコル)を処理することになるかの決定を行うことが可能となる。メッセージに含まれるその他のデータレコードは、種別(タイプ)固有のものであり、例えば、様々なチャレンジ、応答、デジタル署名やデジタル検証、メッセージ認証コードなどのような、使用する認証用プロトコル固有のデータを含むことが可能である。
ログイン要求の場合、認証用サーバ3は端末装置5自身の識別子データを送信するように端末装置5に要求する。ログイン要求の送信は図4の矢印401により示される。端末装置5の移動通信手段9は、公知の方法でベースバンド信号へ無線周波数信号を変換するのに必要な処理を実行する。ログイン要求が端末装置5でスマートカード15へ送信され、そこで、メッセージは拡張可能な認証用プロトコルインタフェースにおいて処理される。実際に、この処理はスマートカードのプロセッサ16がログイン要求を受け取り、必要な処理を実行することを意味する。スマートカードのプロセッサ16は応答を形成し、この応答の中には、端末装置のユーザの識別子データ(国際移動通信加入者識別子(IMSI)が望ましい)がデータフィールドに含まれる。この国際移動通信加入者識別子には、移動体国別コード(MCC)と、移動通信ネットワークコード(MNC)並びに移動通信加入者識別番号(MSIN)が含まれる。個々のSIMタイプのスマートカード15では、この識別子IMSIは一意の識別子であり、この識別子データに基づいて移動通信加入者の特定が可能となる。
EAP規格に準拠する場合、上記識別子はEAP応答/識別子パケットで送信が行われるが、その場合、ローミングネットワークにおける識別子はいわゆるネットワークアクセス識別子(NAI)である。本発明の好適な実施形態では、ユーザID(IMSIなど)はこのネットワーク識別子で符号化済みフォーマットで送信される。一般に、ネットワーク識別子は加入者を特定する文字列である。このネットワーク識別子は、通信事業者識別子を含むものであってもよく、この通信事業者識別子はユーザID@通信事業者.国別コードのようなe−メールアドレスに似た形式で表わされる。
応答メッセージがスマートカード15の中に形成された後、スマートカード15は、スマートカード接続手段19を介して端末装置接続手段14へこのメッセージを送信する。端末装置制御ブロック11は、メッセージを読み出し、必要なプロトコル変換を行い、移動通信手段9へこのメッセージを送信し、これを無線周波数信号に変換する。端末装置5は基地局6へログイン要求の送信を行うことが可能となる(矢印402)。ログイン要求は基地局6で受信され、そこから基地局コントローラ7を介して移動体交換センタ8へ転送される。移動体交換センタ8はこのメッセージをさらに認証用サーバ3へ送信する。この後、上記メッセージは認証用サーバ3でチェックされる。
移動通信ネットワークでは、応答がそれぞれのユーザのホームネットワークへ送信され、認証用サーバ3は、受信した応答を処理し、ホーム位置レジスタHLRから得た加入者データのチェックを行う。データベースからユーザの加入者データをチェックした後、ユーザ認証処理が開始され、当該ユーザが、実際に応答時に示された加入者データの所有者であるかどうかの検証が行われる。認証用サーバ3は認証開始メッセージを形成することにより認証処理を継続する。上記メッセージのデータフィールドには、例えば、認証用サーバ3によりサポートされているプロトコルバージョンに関する送信済み情報などが含まれる(矢印403)。このメッセージの好適な形が添付図5bに示されている。
端末装置5で、上記メッセージはスマートカード15の拡張可能な認証用プロトコルインタフェースへ送信され、そこで、例えば、メッセージで送信されたプロトコルバージョンデータのチェックが行われる。認証用サーバ3で利用可能な1つの又はいくつかのプロトコルがスマートカード15でも利用可能があれば、これらのプロトコルのうちの1つがスマートカード15で選択され、さらなる認証処理ステップで利用される。さらに、このプロトコルは認証に使用すべき認証用アルゴリズムを定義するものであってもよい。
上述のメッセージ送信は、本発明の適用が可能な方法を示す1例にすぎないことはいうまでもない。スマートカード15が処理するメッセージの数は上記提示例で示されている数とは異なるものであってもよい。一般に、様々な要求(EAP要求など)が通信ネットワークから端末装置5へ送信され、次いで、端末装置5のソフトウェアによりスマートカード15へ案内される。スマートカード15は応答(EAP応答など)を形成し、この応答は端末装置5によりローミングネットワークへ送信され、そこから、さらに、ホームネットワークの認証用サーバ3へ送信される。これらの要求と応答との数には制限がなく、単に、スマートカード15と認証用サーバ3にとって理解できるものであればよい。
一般に、認証用プロトコルは、認証装置と被認証装置とが、入力として同一の数字が用いられる同一の認証用アルゴリズムを利用するというルールに基づいている。例えば、GSM移動通信システムでは、個々の移動通信加入者に対してSIMカードに記憶された秘密鍵Kiが割り当てられる。さらに、この秘密鍵は移動通信加入者のホーム位置レジスタに記憶される。認証用アルゴリズムにより応答番号の計算が行われる。この場合、認証装置と被認証装置とにより形成された応答番号を比較することにより、高い確率で通信相手の認証が可能となる。誤用の可能性を最小限まで少なくするために、認証用アルゴリズムで入力されるすべての数字は、装置間で送信されずに、装置によりこれらの数字の検索が可能な装置および/またはデータベースに記憶される。特に、前記秘密鍵は、移動通信ネットワークにおけるいずれの段階でも送信されない。本発明の好適な実施形態に準拠する上記方法では、以下のステップがとられる。
スマートカード15は、任意の方法により第1の乱数NONCE_MTを選択する。さらに、認証処理時に定義される鍵の有効時間を選択することができる。この選択された認証用プロトコルに関する情報と、前記第1の乱数NONCE_MT、並びに、選択可能な上記有効時間は、上述のメッセージ送信メカニズムを適用することにより、ログイン応答時に認証用サーバ3へ送信される(矢印404)。このメッセージの好適な形が添付図5cに示されている。
認証用サーバ3はn個(n≧1)のGSMの3数の組(トリプレット:triplet)のn数(n≧1)を検索する。各トリプレットには、第2の乱数RAND、署名付きの応答SRES及びホーム位置レジスタHLRから得られる暗号化キーKcが含まれている。認証用サーバ3は、従来技術で周知のような、GSMローミングネットワークと移動アプリケーションパート(MAP)プロトコルとを用いて、ホーム位置レジスタHLRからGSMトリプレットを検索する。さらに、選択した認証用プロトコルに対応する1又はいくつかの認証用アルゴリズムを用いて、認証用サーバ3は、セッションキーK並びに第1の認証コードMAC_RANDの計算を行う。この計算時に使用するパラメータは、好適には、暗号化キーn×Kc、乱数n×RAND、国際移動通信加入者識別子IMSI及び第1の乱数NONCE_MTであることが望ましい。上記鍵用として、認証用サーバ3は、スマートカード15が提案する上記有効時間を受け入れてもよいし、別の有効時間を選択してもよい。端末装置5へのチェックアップ開始メッセージで、認証用サーバ3は、認証用サーバ3が選択した1以上の乱数n×RANDと、認証用サーバ3が計算した第1の認証コードMAC_RAND、並びに、鍵用として選択された有効時間に関するデータを送信する(矢印405)。このメッセージの好適な形が添付図5dに示されている。
端末装置5の拡張可能な認証用プロトコルインタフェースでは、スマートカード15により選択されるパラメータとして第1の乱数NONCE_MEと、所定数の暗号化キーn×Kcと、認証用サーバ3により選択される第2の乱数n×RAND並びに国際移動通信加入者識別子IMSIを用いて対応する方法で同一の認証用アルゴリズムが実行される(ブロック406)。認証用アルゴリズムの結果は、認証用サーバ3で計算された第1の認証コードMAC_RANDと比較され、スマートカード15へ送信される。この比較によって、認証用アルゴリズムの計算結果が、スマートカード15及び認証用サーバ3での結果と同じである旨が示された場合、認証用サーバにより送信されたチェックアップ開始メッセージが前記認証用サーバ3により実際に送信されたこと、および、上記メッセージ内の乱数が信頼性の高いものであることをスマートカード上で想定することが可能となる。上記比較により、計算された数が一致しなかった旨が示された場合、スマートカード15上で認証機能を停止することが望ましく、端末装置5は移動通信ネットワークに登録されない。あるいは、サービスの利用と関連して行われる認証の場合、サービスの利用が妨げられる。
比較によって、乱数が信頼性の高いものであることが示された状況で、スマートカード15は署名付きの応答SRESを形成する。認証用サーバ3により選択された暗号化キーn×Kcと第2の乱数n×RANDとをパラメータとして用いることにより、認証用サーバ3内のアルゴリズムに対応するアルゴリズムを用いて上記応答SRESは形成される。これらの計算済みの署名付き応答n×SRES、並びに、好適には、国際移動通信加入者識別子IMSIと第1の乱数NONCE_MTとは、次いで、アルゴリズムを用いて第2の認証コードMAC_SRESの計算に使用することが可能となる。チェックアップ開始メッセージに対して、スマートカード15は認証用サーバ3へ送信される応答を形成する(矢印407)。この応答時に、スマートカード上で計算された第2の認証番号MAC_SRESが送信される。このメッセージの好適な形が添付図5eに示されている。認証用サーバ3は対応する計算を行い、認証用サーバ3が計算した認証番号を、スマートカード15から送信された第2の認証番号MAC_SRESと比較することができる。これらの認証番号が一致すれば、認証用サーバ15は、当該ユーザが端末装置のスマートカード15から認証用サーバ3へ送信された国際移動通信加入者識別子の実際の所有者であると想定することができる。成功した認証処理の最後に、認証用サーバ3はこの認証の成功に関する情報を端末装置5へ送信する(矢印408)。この同じメッセージで、認証用サーバ3はセッションキーKを端末装置5へ送信することもできる。
上述の認証処理と、該認証処理と関連して送信されるメッセージ構造及び内容は、認証用プロトコル(EAP/SIM)に準拠する処理を示す単なるいくつかの好適な例にすぎないことは言うまでもない。本発明の範囲内において、別のメッセージ構造と認証データとを用いることも可能であり、その場合詳細部分については上記の例で示した詳細部分とは異なる場合がある。本発明は、拡張可能な認証用プロトコルのみに限定されるものではなく、本発明と関連する他の一般的な認証用プロトコルにも適用可能である。本質的なことは、スマートカード15に認証用プロトコルインタフェースを設け、このインタフェースにおいて、認証に関連する受信メッセージの処理と、認証に関連するメッセージの形成及び認証用サーバ3への上記メッセージの送信と、(スマートカードのリードオンリメモリ17からおよび/または受信メッセージからの鍵の検索などの)認証に関連する鍵の処理、並びに、認証に関連するメッセージの検証が可能であるという点である。したがって、端末装置5における認証に実質的に関連するすべての機能をスマートカード15上に配置することが可能となる。
本発明による方法は、例えば端末装置5をインターネットデータネットワーク22と結合し、ユーザの特定にSIMカードを使用する状況で利用することも可能である。したがって、例えば、インターネットデータネットワーク22と移動通信ネットワーク間のインタフェースに認証用サーバを配置することが可能となり、その場合、認証用サーバは移動通信ネットワークの認証センタAuCと交信して、必要な認証データの検索を行うようにすることが可能となる。端末装置5といわゆるネットワークアクセスサーバ(NAS)との間ではPPPプロトコルが利用される。ネットワークアクセスサーバは、AAAプロトコルを用いることにより認証用サーバとの交信を行う。無線ローカルエリアネットワークでは、上記状況は本質的部分に関して類似している。無線ローカルエリアネットワークの端末装置とアクセスポイント間で、例えばIEEE802.1Xプロトコルが使用される。このプロトコルはEAPプロトコルの利用に基づくものである。アクセスポイントはAAAプロトコルを用いることにより認証センタと交信を行う。
本発明の方法により、例えば、スマートカード15の変更による認証用プロトコルの変更が可能となる。したがって、新たなスマートカード15に、並びに、認証用サーバの中に実装されるプロトコルの使用が可能となる。例えば、認証用プロトコルの変更と関連して端末装置のソフトウェアの変更は不要となる。
端末装置5として、例えば、ノキア9210コミュニケータ等のような無線通信機器などの無線端末装置の利用が可能となる。本発明は、例えばローカルエリアネットワークにおけるワークステーションの認証時に、また、有線接続や無線接続によりインターネットデータネットワーク22と結合されるコンピュータの認証時に利用することも可能である。
本発明を利用して、利用権検証用装置15の拡張可能な認証用プロトコルインタフェースが、端末装置5で実行される暗号計算処理のいくつかを割り当てるようにすることも可能である。これらの暗号処理には、例えば、暗号化、解読、ハッシュ関数、メッセージ認証コード機能、証明書のチェック、並びに、ディフィーヘルマン(Diffie-Hellman)鍵交換計算などのような公開鍵に関連する他の暗号処理が含まれる。これらの暗号処理のいくつかは、大きな計算容量を必要とし、この大きな計算容量は、適用例によっては、利用権検証用装置15に配設するよりも端末装置5の方が配設し易い。さらに、このような処理は、一般的なライブラリで実施されることが多い基本的暗号処理であり、必ずしも端末装置5におけるソフトウェアの更新を必要とするとはかぎらない。したがって、様々な識別子を用いることが可能となり、これらの識別子に基づいて、利用権検証用装置15は、同時に用いられる処理/アルゴリズムについて端末装置5に通知し、拡張可能な認証用プロトコルインタフェースを介して端末装置5へ必要なパラメータを送信することが可能となる。次いで、端末装置5は、利用権検証用装置15の拡張可能な認証用プロトコルインタフェースへ応答を送信する。
本発明は、本発明の異なるステップを実行するための、機械で実行可能なステップが定義される1以上のコンピュータプログラムの作成によりソフトウェアで実施することも可能である。例えばコンピュータプログラムをユーザへ配送するために、コンピュータプログラムを記憶媒体に記憶して、端末装置5および/または利用権検証用装置15でコンピュータプログラムのインストールを行うようにすることができる。
本発明は上述の実施形態のみに限定されるものではなく、添付の請求項の範囲内で改変が可能であることは言うまでもない。

Claims (24)

  1. 端末装置(5)のユーザを認証する方法であって、認証装置に備えられた拡張可能な認証用プロトコルインタフェースを介して、該端末装置(5)と接続された該認証装置(15)における認証プロトコルの認証アルゴリズムに関して少なくとも1つの計算処理を実行することを含み、
    認証用サーバ3によりサポートされている認証用プロトコルに関する情報を含む、少なくとも1つの認証開始メッセージを受信するステップと、
    前記認証開始メッセージに含めて送信された前記認証用プロトコルに関する前記情報を前記認証装置により検査するステップと、
    前記認証用サーバ(3)及び前記認証装置(15)の両方において利用可能な前記認証用プロトコルの1つを選択するステップと、
    選択されたプロトコルバージョンに関する情報を含む、少なくとも1つの応答メッセージを形成するステップと、
    前記少なくとも1つの応答メッセージを前記認証用サーバ(3)に送信するステップと、を含むことを特徴とし、
    前記認証装置は、スマートカードを備え、該スマートカードは、前記計算処理を実行するためのプログラムを含む、方法。
  2. 少なくとも1つの認証アルゴリズムを前記認証装置(15)に格納するステップを含む、請求項1に記載の方法。
  3. ユーザに関連する識別子データ(IMSI、Ki)を前記認証装置(15)に格納するステップを含む、請求項1または2に記載の方法。
  4. 前記認証装置(15)において、前記少なくとも1つの認証開始メッセージを処理する際に少なくとも1つの暗号鍵(Kc)を形成するステップを含む、請求項1ないし3のいずれか1項に記載の方法。
  5. 前記端末装置(5)と通信ネットワーク(2)との間で送信する情報を暗号化するために、少なくとも1つの暗号鍵(Kc)のうちの少なくとも1つを、前記端末装置へ送信するステップを含む、請求項4に記載の方法。
  6. 前記認証用プロトコルが拡張可能認証用プロトコルである、請求項1ないし5のいずれか1項に記載の方法。
  7. 端末装置(5)のユーザを認証する認証装置(15)であって、
    認証装置を該端末装置に接続する接続手段(19)と、
    該認証装置に備えられた拡張可能な認証用プロトコルインタフェースを介して、認証アルゴリズムに関する少なくとも1つの計算処理を実行する計算手段(16)と、を備え、
    前記接続手段(19)が、認証用サーバ3によりサポートされている認証用プロトコルに関する情報を含む少なくとも1つの認証開始メッセージを受信し、
    少なくとも1つの応答メッセージを転送するのに適合し、
    前記計算手段(16)が、
    前記認証用サーバ(3)及び前記認証装置(15)の両方において利用可能な認証用プロトコルを発見するために、前記認証開始メッセージに含めて送信された認証用プロトコルに関する前記情報を検査し、
    前記認証用サーバ(3)及び前記認証装置(15)の両方において利用可能な前記認証用プロトコルの1つを選択し、
    選択された認証用プロトコルに関する情報を含む、少なくとも1つの応答メッセージを形成し、
    選択された認証用プロトコルに関する情報を含む少なくとも1つの応答メッセージを前記認証用サーバ(3)に転送するために形成するのに適合する、ことを特徴とし、
    前記認証装置は、スマートカードを備え、該スマートカードは、前記計算処理を実行するためのプログラムを含む、認証装置。
  8. 前記計算手段(16)が、前記認証アルゴリズムに関する計算処理を実行するように構成されている、請求項7に記載の認証装置。
  9. 前記認証アルゴリズムに関する複数の計算処理のうちの少なくとも1つの計算処理が、前記端末装置(5)で実行されるように割り当てられる、請求項7に記載の認証装置。
  10. 少なくとも1つの認証アルゴリズムを前記認証装置(15)に格納する格納手段(17、18)を備える、請求項7ないし9のいずれか1項に記載の認証装置(15)。
  11. 前記格納手段(17、18)が、前記ユーザに関連する識別子データを格納するように構成される、請求項10に記載の認証装置(15)。
  12. 少なくとも1つの暗号鍵を形成する手段(16、17、18)を備える、請求項7ないし11のいずれか1項に記載の認証装置(15)。
  13. 前記端末装置(5)と通信ネットワーク(2)との間で送信される情報の暗号化のために、前記少なくとも1つの暗号鍵を、前記端末装置(5)へ送信する手段(19)を備える、請求項12に記載の認証装置(15)。
  14. 移動通信加入者識別子モジュールを備える、請求項7ないし13のいずれか1項に記載の認証装置(15)。
  15. 前記認証用プロトコルが拡張可能認証用プロトコルである、請求項7ないし14のいずれか1項に記載の認証装置(15)。
  16. 請求項7ないし15のいずれか1項に記載の認証装置(15)を備える、端末装置(5)。
  17. 前記端末装置のユーザを認証するのに使用される認証アルゴリズムに関する複数の計算処理のうちの少なくとも1つの計算処理を実行するように構成される、請求項16に記載の端末装置(5)。
  18. 前記認証装置(15)から暗号鍵を受信する手段(14)を備える、請求項16又は17に記載の端末装置(5)。
  19. 前記端末装置と通信システムとの間で前記暗号鍵を使用して通信を暗号化する手段(11、12)を備える、請求項18に記載の端末装置(5)。
  20. 移動局機能を実行する手段(9)を備える、請求項16ないし19のいずれか1項に記載の端末装置(5)。
  21. 前記認証用プロトコルが拡張可能認証用プロトコルである、請求項16ないし20のいずれか1項に記載の端末装置(5)。
  22. 請求項16ないし21のいずれか1項に記載の端末装置(5)と、
    請求項7ないし15のいずれか1項に記載の認証装置(15)と、を備える認証システム。
  23. 認証装置(15)にロードされ実行されると、
    前記認証装置(15)に請求項1ないし6のいずれか1項に記載された各ステップを実行させるコンピュータコードを含むコンピュータプログラム。
  24. 前記認証装置(15)に請求項1ないし6のいずれか1項に記載された各ステップを実行させる命令を格納するコンピュータ可読媒体。
JP2009276886A 2001-09-28 2009-12-04 端末装置におけるユーザ認証方法、認証システム、端末装置及び認証装置 Expired - Lifetime JP5189066B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20011909 2001-09-28
FI20011909A FI114953B (fi) 2001-09-28 2001-09-28 Menetelmä käyttäjän tunnistamiseksi päätelaitteessa, tunnistusjärjestelmä, päätelaite ja käyttöoikeuksien varmistuslaite

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2003533513A Division JP4837890B2 (ja) 2001-09-28 2002-09-27 端末装置におけるユーザ認証方法、認証システム、端末装置及び認証装置

Publications (2)

Publication Number Publication Date
JP2010114912A JP2010114912A (ja) 2010-05-20
JP5189066B2 true JP5189066B2 (ja) 2013-04-24

Family

ID=8561973

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2003533513A Expired - Lifetime JP4837890B2 (ja) 2001-09-28 2002-09-27 端末装置におけるユーザ認証方法、認証システム、端末装置及び認証装置
JP2009276886A Expired - Lifetime JP5189066B2 (ja) 2001-09-28 2009-12-04 端末装置におけるユーザ認証方法、認証システム、端末装置及び認証装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2003533513A Expired - Lifetime JP4837890B2 (ja) 2001-09-28 2002-09-27 端末装置におけるユーザ認証方法、認証システム、端末装置及び認証装置

Country Status (13)

Country Link
US (1) US7848522B2 (ja)
EP (1) EP1430640B1 (ja)
JP (2) JP4837890B2 (ja)
KR (3) KR100978818B1 (ja)
CN (1) CN100433616C (ja)
AT (1) ATE326092T1 (ja)
BR (2) BRPI0212814B1 (ja)
CA (1) CA2461804C (ja)
DE (1) DE60211360T2 (ja)
ES (1) ES2263811T3 (ja)
FI (1) FI114953B (ja)
WO (1) WO2003030445A1 (ja)
ZA (1) ZA200401571B (ja)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1597861B1 (de) 2003-02-28 2007-09-26 Siemens Aktiengesellschaft Verfahren zur übertragung von daten in einem wlan-netz
US20040225709A1 (en) * 2003-05-06 2004-11-11 Joseph Kubler Automatically configuring security system
CN1549482B (zh) * 2003-05-16 2010-04-07 华为技术有限公司 一种实现高速率分组数据业务认证的方法
US8229118B2 (en) * 2003-11-07 2012-07-24 Qualcomm Incorporated Method and apparatus for authentication in wireless communications
FR2869190B1 (fr) 2004-04-19 2006-07-21 Alcatel Sa Procede permettant a l'usager d'un terminal telephonique sans fil d'etablir une connexion d'urgence dans un reseau local; terminal et serveur pour la mise en oeuvre de ce procede
GB2415816B (en) * 2004-06-30 2007-12-05 Nokia Corp Security device
KR20060003296A (ko) * 2004-07-05 2006-01-10 삼성전자주식회사 이동통신망과 무선랜 사이의 핸드 오프 방법 및 그 시스템
KR100651718B1 (ko) * 2004-10-18 2006-12-01 한국전자통신연구원 Usim 카드의 공개키 생성과 갱신 제어 방법 및 장치
US20060174127A1 (en) * 2004-11-05 2006-08-03 Asawaree Kalavade Network access server (NAS) discovery and associated automated authentication in heterogenous public hotspot networks
JP4786190B2 (ja) * 2005-02-01 2011-10-05 株式会社エヌ・ティ・ティ・ドコモ 認証ベクトル生成装置、加入者認証モジュール、無線通信システム、認証ベクトル生成方法、演算方法及び加入者認証方法
GB0506570D0 (en) * 2005-03-31 2005-05-04 Vodafone Plc Facilitating and authenticating transactions
FI20050491A0 (fi) * 2005-05-09 2005-05-09 Nokia Corp Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä
US7657255B2 (en) * 2005-06-23 2010-02-02 Microsoft Corporation Provisioning of wireless connectivity for devices using NFC
US20070124589A1 (en) * 2005-11-30 2007-05-31 Sutton Ronald D Systems and methods for the protection of non-encrypted biometric data
US8763081B2 (en) 2006-04-03 2014-06-24 Bridgeport Networks, Inc. Network based authentication
DE102006018645B4 (de) * 2006-04-21 2008-07-24 Nokia Siemens Networks Gmbh & Co.Kg Verfahren, Vorrichtungen und Computerprogrammprodukt zum Ver- und Entschlüsseln von Mediendaten
US20080101273A1 (en) * 2006-10-27 2008-05-01 Hewlett-Packard Development Company Lp Wireless device association
DE102006060040B4 (de) * 2006-12-19 2009-09-17 Nokia Siemens Networks Gmbh & Co.Kg Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
KR101009871B1 (ko) * 2007-08-09 2011-01-19 한국과학기술원 통신 시스템에서 인증 방법
US8509439B2 (en) * 2007-12-31 2013-08-13 Intel Corporation Assigning nonces for security keys
US9003197B2 (en) * 2008-03-27 2015-04-07 General Instrument Corporation Methods, apparatus and system for authenticating a programmable hardware device and for authenticating commands received in the programmable hardware device from a secure processor
US20090320125A1 (en) * 2008-05-08 2009-12-24 Eastman Chemical Company Systems, methods, and computer readable media for computer security
JP4638928B2 (ja) * 2008-08-19 2011-02-23 シャープ株式会社 認証システム、端末装置、及び、情報処理装置
AU2008361371B2 (en) * 2008-09-04 2014-04-03 T-Data Systems (S) Pte Ltd Method and apparatus for wireless digital content management
EP2293218B8 (en) * 2009-08-28 2012-03-21 Morpho Cards GmbH A chip card, an electronic system, a method being implemented by a chip card and a computer program product
TWI421777B (zh) * 2010-06-30 2014-01-01 Mstar Semiconductor Inc 認證處理裝置及其相關行動裝置
KR101116339B1 (ko) * 2010-09-14 2012-03-09 주식회사 이맥소프트 개인정보 보호를 강화한 전자투표장치
TWI466525B (zh) * 2011-11-21 2014-12-21 Inst Information Industry 存取控制系統及其存取控制方法
US9680646B2 (en) * 2015-02-05 2017-06-13 Apple Inc. Relay service for communication between controllers and accessories
CN106341233A (zh) 2015-07-08 2017-01-18 阿里巴巴集团控股有限公司 客户端登录服务器端的鉴权方法、装置、系统及电子设备
JP5951094B1 (ja) 2015-09-07 2016-07-13 ヤフー株式会社 生成装置、端末装置、生成方法、生成プログラム及び認証処理システム
JP6122924B2 (ja) 2015-09-11 2017-04-26 ヤフー株式会社 提供装置、端末装置、提供方法、提供プログラム及び認証処理システム
DE102018005201A1 (de) * 2018-06-29 2020-01-02 Giesecke+Devrient Mobile Security Gmbh Verfahren zur authentifizierung eines benutzers, teilnehmer-identitäts modul, authentifizierungsserver und authentifizierungssystem
US11151576B2 (en) 2019-04-05 2021-10-19 At&T Intellectual Property I, L.P. Authorizing transactions using negative pin messages
US20220217136A1 (en) * 2021-01-04 2022-07-07 Bank Of America Corporation Identity verification through multisystem cooperation

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5537474A (en) * 1994-07-29 1996-07-16 Motorola, Inc. Method and apparatus for authentication in a communication system
CA2167631A1 (en) 1995-01-20 1996-07-21 W. Dale Hopkins Method and apparatus for user and security device authentication
WO1997011565A2 (en) * 1995-09-21 1997-03-27 Motorola Inc. Embedded protocol
JP3296230B2 (ja) 1996-01-23 2002-06-24 ケイディーディーアイ株式会社 加入者/移動機識別装置
FI102235B1 (fi) 1996-01-24 1998-10-30 Nokia Telecommunications Oy Autentikointiavainten hallinta matkaviestinjärjestelmässä
US5910774A (en) 1996-09-18 1999-06-08 Itron, Inc. Sensor for count and tamper detection
JP3050843B2 (ja) * 1997-02-28 2000-06-12 松下電器産業株式会社 デジタル著作物の著作権保護のための暗号技術利用プロトコルを複数から選択して使用する情報機器
JP4268690B2 (ja) * 1997-03-26 2009-05-27 ソニー株式会社 認証システムおよび方法、並びに認証方法
US6584310B1 (en) * 1998-05-07 2003-06-24 Lucent Technologies Inc. Method and apparatus for performing authentication in communication systems
FI105966B (fi) 1998-07-07 2000-10-31 Nokia Networks Oy Autentikointi tietoliikenneverkossa
US6976165B1 (en) 1999-09-07 2005-12-13 Emc Corporation System and method for secure storage, transfer and retrieval of content addressable information
DE69925732T2 (de) 1999-10-22 2006-03-16 Telefonaktiebolaget Lm Ericsson (Publ) Mobiltelefon mit eingebauter Sicherheitsfirmware
CN1155288C (zh) * 1999-11-03 2004-06-23 诺基亚公司 选择识别确认信息的方法和设备
US7257836B1 (en) * 2000-04-24 2007-08-14 Microsoft Corporation Security link management in dynamic networks
US6721793B1 (en) * 2000-05-10 2004-04-13 Cisco Technology, Inc. Intellectual property over non-internet protocol systems and networks
FI115098B (fi) * 2000-12-27 2005-02-28 Nokia Corp Todentaminen dataviestinnässä
US20030093680A1 (en) * 2001-11-13 2003-05-15 International Business Machines Corporation Methods, apparatus and computer programs performing a mutual challenge-response authentication protocol using operating system capabilities
US7376701B2 (en) * 2002-04-29 2008-05-20 Cisco Technology, Inc. System and methodology for control of, and access and response to internet email from a wireless device
US20040014422A1 (en) * 2002-07-19 2004-01-22 Nokia Corporation Method and system for handovers using service description data
US8166499B2 (en) * 2003-09-18 2012-04-24 General Instrument Corporation Method, apparatus and set-top device for transmitting content to a receiver

Also Published As

Publication number Publication date
FI20011909A0 (fi) 2001-09-28
BRPI0212814B1 (pt) 2019-07-30
CA2461804C (en) 2010-11-23
BR0212814A (pt) 2004-10-05
KR100978818B1 (ko) 2010-08-30
DE60211360D1 (de) 2006-06-14
ZA200401571B (en) 2004-08-31
DE60211360T2 (de) 2006-09-28
US20040236964A1 (en) 2004-11-25
FI114953B (fi) 2005-01-31
KR20070087211A (ko) 2007-08-27
CN1561607A (zh) 2005-01-05
EP1430640B1 (en) 2006-05-10
JP2005505194A (ja) 2005-02-17
KR20080078740A (ko) 2008-08-27
CA2461804A1 (en) 2003-04-10
FI20011909A (fi) 2003-03-29
US7848522B2 (en) 2010-12-07
JP4837890B2 (ja) 2011-12-14
JP2010114912A (ja) 2010-05-20
KR20040037113A (ko) 2004-05-04
ES2263811T3 (es) 2006-12-16
WO2003030445A1 (en) 2003-04-10
CN100433616C (zh) 2008-11-12
KR100952453B1 (ko) 2010-04-13
ATE326092T1 (de) 2006-06-15
EP1430640A1 (en) 2004-06-23

Similar Documents

Publication Publication Date Title
JP5189066B2 (ja) 端末装置におけるユーザ認証方法、認証システム、端末装置及び認証装置
KR101038229B1 (ko) 통신 시스템에서의 인증 실행
JP4841842B2 (ja) 移動無線通信装置におけるコンタクトの認証及び信頼できるコンタクトの更新
CN101366299B (zh) 使用特殊随机询问的引导认证
EP1758417B1 (en) Authentication method
EP2106191B1 (en) A method for updating a smartcard and a smartcard having update capability
EP1001570A2 (en) Efficient authentication with key update
US20050266798A1 (en) Linking security association to entries in a contact directory of a wireless device
US7844834B2 (en) Method and system for protecting data, related communication network and computer program product
KR101706117B1 (ko) 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법
US9788202B2 (en) Method of accessing a WLAN access point
CN104982053B (zh) 用于获得认证无线设备的永久身份的方法和网络节点
WO2023109240A1 (zh) 智能门锁的绑定方法和装置、存储介质及电子装置
EP3149884B1 (en) Resource management in a cellular network
JP3851781B2 (ja) 無線通信装置及び無線通信システム、並びに、接続認証方法
CN115314278B (zh) 可信网络连接身份认证方法、电子设备及存储介质
KR100745617B1 (ko) 가입자 인증 시스템 및 이를 이용한 가입자 인증 방법
US20230300614A1 (en) System and method for secure connection of headless bluetooth device
CN101176296A (zh) 网络辅助终端到simm/uicc密钥建立
CN117835369A (zh) 网络连接方法及其相关装置、计算机可读存储介质

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120522

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120815

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130108

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130123

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160201

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5189066

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term