JP2000232690A - 通信ネットワーク用セキュリティ方法及び安全なデータ転送方法 - Google Patents

通信ネットワーク用セキュリティ方法及び安全なデータ転送方法

Info

Publication number
JP2000232690A
JP2000232690A JP2000014375A JP2000014375A JP2000232690A JP 2000232690 A JP2000232690 A JP 2000232690A JP 2000014375 A JP2000014375 A JP 2000014375A JP 2000014375 A JP2000014375 A JP 2000014375A JP 2000232690 A JP2000232690 A JP 2000232690A
Authority
JP
Japan
Prior art keywords
subscriber
service provider
data
communication network
numerical value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000014375A
Other languages
English (en)
Other versions
JP4331848B2 (ja
Inventor
Jean-Philippe Wary
ジャン‐フィリップ・ワリー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Societe Francaise du Radiotelephone SFR SA
Original Assignee
Societe Francaise du Radiotelephone SFR SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Societe Francaise du Radiotelephone SFR SA filed Critical Societe Francaise du Radiotelephone SFR SA
Publication of JP2000232690A publication Critical patent/JP2000232690A/ja
Application granted granted Critical
Publication of JP4331848B2 publication Critical patent/JP4331848B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Meter Arrangements (AREA)
  • Exchange Systems With Centralized Control (AREA)
  • Telephonic Communication Services (AREA)

Abstract

(57)【要約】 【課題】 サービス・プロバイダと加入者との相互認証
を行うことによって通信のセキュリティを保証できる通
信ネットワーク用セキュリティ方法を提供する。 【解決手段】 本発明によるセキュリティ方法では、加
入者13をサービス・プロバイ17ダがオペレータ12
を介して初期登録するプロセスと、第二に加入者13と
サービス・プロバイダ17との間の通信セッションがそ
れぞれ実行されるプロセスとが行われる。前記初期登録
プロセスでは、オンライン又はオフラインで、認証デー
タ(DeviceID,R1;login,mdp)の
交換が行われ、次いで暗号化チャネルが、暗号関数を含
む相互認証の後の各セッションの初めにセットアップさ
れ、さらにその後、ネットワーク上で秘密要素を送信す
ることなく暗号キーKsesが計算される。本発明はG
MSとインターネット、又は類似のネットワークとの相
互接続に好ましく適用される。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、一つ又は複数の遠
隔通信ネットワークを経由するデータ転送のセキュリテ
ィ技術に関する。
【0002】この場合、セキュリティとは、通信したい
と思っている関係者を認証する能力、そしてその後必要
ならばそれらの関係者の間に安全な通信チャネルをセッ
トアップする能力を意味している。
【0003】本発明は、特に、遠隔通信ネットワークの
加入者が移動形機器を使って、例えばGSM(移動体通
信のグローバル・システム(Global System for Mobile
communications))遠隔通信標準、又は、DCS18
00(デジタル・セルラーシステム1800MHz(Di
gital Cellular System 1800MHz))、PC1900
(パーソナル通信システム(Personal Communication S
ystem))、DECT(デジタル・欧州コードレス遠隔
通信(Digital European Cordless Telecommunication
s))、もしくはUMTS(ユニバーサル移動電話通信
システム(Universal Mobile Telecommunication Syste
m))のような同等もしくは競合する標準を使用して接
続されるアプリケーションに適しているが、それらには
限定されない。
【0004】
【従来の技術】移動体機器を使うこれらの通信ネットワ
ークは、全ての加入管理及び通信ルーチング機能と、
(これらの通信ネットワークの)加入者のために通信ネ
ットワークを介してアクセス可能なサービス・プロバイ
ダ(「サービス・サーバあるいはコンテント・サー
バ」)へのアクセス条件の交渉を実行する「移動通信ネ
ットワーク・オペレータ」(以下において、「オペレー
タ」と記載する)によって管理される。
【0005】本発明による方法は、好ましくは、遠隔通
信ネットワークの加入者が移動端末を使って、その加入
者のネットワークと相互接続された別の遠隔通信ネット
ワーク上でアクセス可能な通信者(一般にサービス・プ
ロバイダ)と安全な方法で接続したいと考えている場合
に適用可能である。
【0006】しかし、本発明による(ネットワーク用)
セキュリティ方法は、遠隔通信を介してアクセス可能な
サービスへの加入権を取得した加入者が、遠く離れた第
三者とネットワークを介して、単一ネットワーク又は相
互接続された複数のネットワークを含むデータ通信で一
つのネットワークから他のネットワークへの転送にプロ
トコル変更が伴うときに、秘密要素を転送することのな
い安全な方法で通信したいと考える他のどんな状況にお
いても有利に適用できる。
【0007】本発明は、元来、まず加入者が付属する閉
じた(GSMタイプの)ネットワークと、開放した(イ
ンターネットタイプの)ネットワークとの間でセットア
ップされる通信に適用可能であるが、各伝送ネットワー
クの(開放した、又は閉じた)性質は本発明の一般原理
に限った特性ではない。
【0008】多くのコンテント・サービスは、それ自身
の通信プロトコルを持つ開放した通信ネットワーク(一
般にインターネット)を介してアクセス可能である。そ
のためにGSM移動端末がこのタイプのサービスにアク
セスしようとするとき、GSMネットワークとインター
ネット型サービス・プロバイダへのアクセスネットワー
クとの接点でプロトコル変更が存在する。遠距離通信オ
ペレータの役割はこれらの変更と仲立ちを実行し、管理
することである。
【0009】
【発明が解決しようとする課題】現時点では、これらの
2つのネットワークのそれぞれに特有な認証及び機密保
持の方法がある。従って、既知の解決法としては、各デ
ータストリームが送信されるときに、最初に一つのネッ
トワーク上で、次いで他方のネットワーク上で利用可能
な手続きを端から端へと実行することである。その結果
として接点において機密性の損失が通常生じる。特に、
上流部と下流部のそれぞれで安全なプロトコルを使用す
るには、オペレータは、それぞれの認証及び機密保持の
プロセスで要求される、秘密要素、キー及び/暗号化ア
ルゴリズム、を所有する必要がある。この責務によっ
て、機密性保持の義務がオペレータに負わされることに
なり、このことはサービス・プロバイダや、加入者、そ
してオペレータ自身にとっても望ましいことではないで
あろう。
【0010】もう1つの既知の解決法としては、秘密を
管理するために(通常「信頼の置ける第三者」と呼ばれ
る)第三者を使うことがあるが、しかしこの解決法も複
雑で、従ってコストや管理の複雑さが正当化されない一
部の状況では不適切である。
【0011】そこで本発明の一つの課題は、従来技術の
これらさまざまな不都合を克服することにある。
【0012】より正確には、本発明の第1の課題は通信
に使用される連続するネットワークとは独立に実行され
てよい認証手続きを提供することにある。このタイプの
認証手続きはサービス・プロバイダに加入者を認証さ
せ、かつ好ましくは加入者にもサービス・プロバイダを
識別させることが少なくともできなければならない。
【0013】本発明のもう一つの課題は、加入者とサー
ビス・プロバイダが安全な方法で、なにもすることな
く、そしてできればその加入者が付属するネットワーク
のオペレータに知られないように、通信できるように、
暗号化チャネルを介してデータを転送する方法を提供す
ることにある。
【0014】本発明のもう一つの課題は、オペレータが
セキュリティ・システムを確定し、かつ、そのオペレー
タが暗号化チャネルのコンテンツ又は運営上の要素(op
erating element)を知る必要なしに、そのオペレータ
が制御するリンク上での認証の質を保証することができ
るようにする方法を提供することにある。
【0015】本発明のさらにもう一つの課題は、加入者
とサービス・プロバイダが、ネットワーク上で彼らが交
換するメッセージに対する暗号化キーの知識を共有する
ことができるようにする方法を提供することにある。た
だし、暗号化キーはどんなときもネットワーク上で送信
されることなく、各キーは通信セッションのそれぞれで
異なっていると有利である。
【0016】本発明のさらなる一つの課題は、GSMネ
ットワークに固有なセキュリティ資源を最適に使用する
方法、すなわち基本的には、ネットワーク加入者の端
末、一般的には加入者の無線電話端末と協働する加入者
識別モジュール(SIMカード)、に存在する秘密要素
とアルゴリズムを最適に使用する方法、を提供すること
にある。
【0017】本発明のさらなるもう一つの課題は、加入
者にパスワードと、暗号化/解読キーを計算する手段を
提供することにある。それらはサービス・プロバイダに
よって独占的に付与され、管理されるので、従って、オ
ペレータ又は第三者に知らされる必要はない。
【0018】本発明のさらにもう一つの課題は、通信セ
キュリティの観点から、さまざまなサービス・プロバイ
ダとの間に、そして加入者によって開始されるどんな取
引の間にも、本当の「仕切(compartmentalization)」
を提供することにある。
【0019】
【課題を解決するための手段】以上の課題及び以下明ら
かになる他の課題は、本発明によるセキュリティ方法に
よって解決される。このセキュリティ方法は、まず遠隔
通信ネットワークの加入者、次に該加入者が付属する前
記遠隔通信ネットワークのオペレータを介してアクセス
可能なサービス・プロバイダとの間の通信のセキュリテ
ィを保証するための方法であって、第一に前記オペレー
タを介して前記加入者が前記サービス・プロバイダへ初
期登録を行うプロセスと、第二に前記加入者と前記サー
ビス・プロバイダとの間の各通信セッションが開始され
るプロセスとを含むことを特徴とする。
【0020】ここで加入者とは明らかにユーザだけでは
なく、特にそのユーザのネットワーク装置も意味する。
同様に、サービス・プロバイダとは、ネットワークに接
続されたコンピュータ・サーバを主に意味する。しかし
ながら、以下に示されるが、一部の情報転送が(例えば
メール又はファクスなどによって)ネットワーク外で生
じ、従ってそうした情報転送の実行に、他の構成要素、
特に人、が含まれる。
【0021】本発明によれば、前記初期登録を行うプロ
セスは、第一に、前記遠隔通信オペレータから前記サー
ビス・プロバイダに、前記加入者の付属ネットワークに
おける該加入者の識別子(DeviceID)と、前記
オペレータのネットワークにおける前記サービス・プロ
バイダの識別子(IDx)と、前記加入者の付属ネット
ワークにおける該加入者の前記識別子(DeviceI
D)と、前記加入者を特徴付ける秘密要素(Sec.O
p.)とから計算される第1の数値を含む前記加入者の
認証符号(R1)とが与えられるステップと、第二に、
前記サービス・プロバイダから前記加入者に、前記サー
ビス・プロバイダによる前記加入者の識別/認証(lo
gin,mdp)に関するデータが与えられるステップ
とを含む。
【0022】さらに本発明によれば、前記各セッション
が実行されるプロセスには、前記サービス・プロバイダ
が加入者の認証を、第2の数値(R2)が、前記サービ
ス・プロバイダでの加入者識別子(mdp)と前記加入
者において生成された多様化データ(Dtae)とから
計算されるステップと、前記第1の数値(R1)と、前
記第2の数値(R2)と、前記サービス・プロバイダが
前記加入者を識別する第3のデータ(Login)とか
ら第3の数値(R3)が計算されるステップと、前記第
3の数値(R3)と、入力データ、すなわち前記サービ
ス・プロバイダが前記加入者を識別するデータ(Log
in)と、前記加入者において生成された前記多様化デ
ータ(Date)とから構成された第1のデータフレー
ムが前記サービス・プロバイダに送信されるステップ
と、確認として前記サービス・プロバイダが、前記第1
のデータフレーム内の前記入力データ(Login,d
ate)と、既に前記サービス・プロバイダに提供され
た前記加入者に付随したデータ(R1,mdp)とか
ら、前記第3の数値(R3)を再計算することによっ
て、前記加入者を認証するステップとを通して、実行す
ることが含まれる。
【0023】また、本発明によるセキュリティ方法に
は、一つの有利な特徴として、第4の数値が、前記加入
者認証符号(R1)と、前記サービス・プロバイダにお
いて生成されたランダム変数(Random)と、多様
化データ(Date)とから計算されるステップと、前
記第4の数値(R4)と前記ランダム変数(Rando
m)を含む第2のデータフレームが前記サービス・プロ
バイダから前記加入者へ送信されるステップと、前記加
入者が確認として、前記第2のデータフレーム中の前記
ランダム変数(Random)と前記加入者へ提供され
るデータ(R1,Date)から前記第4の数値(R
4)を再計算することによって、前記サービス・プロバ
イダを認証するステップとを実行することによって、前
記加入者が前記サービス・プロバイダを認証することも
含まれる。
【0024】こうして、以上の特徴全てを考慮した場
合、本発明によるセキュリティ方法では、サプライヤと
サービス・プロバイダとの相互の認証が可能である。
【0025】好ましくは互いに認証が確認されていると
き、前記加入者及び前記サービス・プロバイダに共通す
るセッション・キー(Kses)が生成される段階(ph
ase)と、暗号化データが該セッション・キー(Kse
s)を使って送信される段階(phase)もが含まれるこ
とが有利である。
【0026】この場合、前記セッション・キーが生成さ
れる段階には好ましくは、前記サービス・プロバイダ
が、前記第2の数値(R2)とランダム変数(Rand
om2)を含む計算データから、セッション・キー(K
ses)を計算するステップと、前記単一のランダム変
数(Random2)が前記加入者に送信されるステッ
プと、前記加入者が、前記計算データ、すなわち前記送
信されたランダム変数(Random2)と前記加入者
に与えられた前記第2の数値(R2)とから、前記セッ
ション・キー(Kses)を計算するステップとが含ま
れる。
【0027】上記本発明による方法には、その特徴とし
て、前記サービス・プロバイダが前記加入者を認証する
ステップと、前記加入者が前記サービス・プロバイダを
認証するステップと、セッション・キーが暗号化チャネ
ルをセットアップするために計算されるステップと、と
いった連続するステップあるいは個々のステップが含ま
れる。
【0028】提案された方法の全てあるいは一部は結果
的に選択的に実行可能である。
【0029】しかしながら、別の変形では、加入者がサ
ービス・プロバイダを認証するステップは、セッション
・キーが暗号化チャネルをセットアップするために計算
されるステップと組み合わせることができる。この変形
によれば、前記セッション・キー(Kses)のための
前記計算データは、前記サービス・プロバイダと前記加
入者の双方に提供されており、前記サービス・プロバイ
ダから前記加入者へ送信される必要の無い前記加入者の
認証符号(R1)も含む。この時点において、もし前記
計算されたセッション・キー(Kses)が正しく得ら
れたならば、前記加入者によって計算された前記セッシ
ョン・キー(Kses)を使って解読される、前記サー
ビス・プロバイダから受信した前記暗号化データが理解
可能であるという事実によって、前記サービス・プロバ
イダが前記加入者によって効率的に認証される。
【0030】それ故に、前記第4の数値R4に関する計
算と情報転送を使用する必要はもはやない。
【0031】セッション・キーの計算はそれ自体、個々
のステップを備えた場合、又はキーの逆認証(return a
uthentication)と計算を組み合わせた場合のいずれか
において、セッション・キーの計算に使用される前記デ
ータが多様化データも含むようにしてよい。この多様化
データはサービス・プロバイダと加入者の双方に提供さ
れ、従ってサービス・プロバイダから加入者に再送信さ
れる必要はないことがわかる。
【0032】従って、本発明によれば、これらの変形と
は無関係に、認証の仕組みに2つのセキュリティ層が組
み合わされる。すなわちネットワークレベルにおける識
別/認証(DeviceID,R1)がアプリケーショ
ンレベルにおける識別(login,mdp)と組み合
わされる。それ故に、遠隔通信ネットワークで利用可能
な本来備わっているセキュリティが、関係者の認証の間
及び/又は暗号化通信をセットアップするときに、アプ
リケーションで使用される。
【0033】相互の認証は、加入者がサービス・プロバ
イダに登録される時にオペレータが値R1を配信するこ
とに基づいており、サービス・プロバイダは、それが保
持するこの値がその認証データベースに保護されている
ことを保証する責任がある。原則として、加入者は(セ
キュリティの理由のために)この値R1を保持しない
が、しかし、新たなセッションが開始されるときにいつ
でもそれを自動的に再計算できる立場にある。2つの交
換が、関係者が相互に互いを認証して、安全なチャネル
をセットアップするために必要とされる。
【0034】暗号化チャネルをセットアップすることの
み、付属するオペレータの責任下で生成される一つの項
目の秘密情報を必要とする。この秘密情報は加入者によ
って保持され、あるいはネットワークに接続された加入
者の装置内に制限されるものである。
【0035】本発明の一つの有利な特徴として、前記サ
ービス・プロバイダは、登録加入者ごとに、加入者のそ
の付属ネットワークにおける識別子(DeviceI
d)と、前記サービス・プロバイダでの加入者識別/認
証(Login,mdp)データと、初期登録時に前記
オペレータから受信した前記数値R1と、できれば、最
新の通信セッションに特有な前記多様化データ(Dat
e)と前記第3の数値R3と前記ランダム変数(Ran
domとRandom2)と前記セッション・キー(K
ses)の一部又は全てとを含む項目のデータを蓄積す
るデータベースを構築している。
【0036】本発明のもう一つの有利な特徴として、前
記第1の数値(R1)、前記第2の数値(R2)、前記
第3の数値(R3)、そして前記第4の数値(R4)
と、前記セッション・キー(Kses)の少なくとも一
部が、暗号アルゴリズムf1、f2、f3、f4とfk
を使って計算される。
【0037】好ましくは、前記暗号アルゴリズムは、M
AC方式におけるDESのような、キーを使用する単一
方向的チョッピング関数のアルゴルズムと、md5(登
録商標)、RIPEM、SHAのような、キーを使用す
る単一方向的チョッピング関数のアルゴルズムと、ビッ
ト・ミキシングを使用するアルゴリズムと、を含むグル
ープから選択される。
【0038】前記第1の数値(R1)はA3/A8型ア
ルゴリズムf1を使って計算されることが有利である。
本発明のもう一つの好ましい特徴として、前記加入者を
特徴付ける前記秘密要素(Sec.Op.)は、前記加
入者の携帯電話のSIMカードに含まれるキーKiと、
前記加入者の端末において利用可能な任意のキーKkm
を含むグループに属する。
【0039】同様に、加入者がGSMネットワークに付
属するとき、該加入者のその付属ネットワーク内におけ
る識別子(DeviceID)はIMSI(Internatio
nalMobile Subscriber Identity)とMSISDN(Mob
ile Station ISDN number)とを含むグループに属す
る。
【0040】好ましくは、前記サービス・プロバイダに
よる前記加入者の識別/認証(Login,mdp)デ
ータは、前記サービス・プロバイダのネットワークにお
ける加入者識別子(Login)と、前記サービス・プ
ロバイダによって前記加入者に供給される秘密要素(m
dp)とを含む。
【0041】有利には、前記第2の数値(R2)を計算
するために使用される前記多様化データ(Date)
は、セッションの日付/時刻、前記加入者によって要求
される新たなセッション毎に増加する数と、そして前記
加入者において生成される乱数とを含むグループに属す
る。
【0042】有利には、サービス・プロバイダは加入者
の多様化データ(Date)の質を、その多様化データ
が実際に時間とともに変化することをチェックすること
によって、保証することができる。例えば、最後に接続
を試みた値(Date)を保持して、この値が実際に最
新の値(Date)と異なっているかどうかをチェック
することによって、この確認を行うことができる。
【0043】本発明により提案されたセキュリティの仕
組みを劣化させた変形では、上記方法において、前記第
1の数値(R1)が計算されず、そのため該数値が前記
ステップの少なくとも一部において知られることがな
く、さらにそのとき前記加入者の認証段階が削除されて
いる。この単純化の結果、相互認証が損なわれ、「中間
にいる人間(man in the middle)」型攻撃(通信への
侵入と呼ばれる)に傷つきやすくなる。しかし、他の識
別と認証機能は残っている。
【0044】第2の数値R2の使用も、サービス・プロ
バイダによって加入者に供給される秘密要素(mdp)
の値に簡略することによって単純化できる。この場合、
この値は(換言すれば発生で変化するという意味で可変
的で)もう「動的」ではないが、固定されている。明ら
かに、暗号機能f2はそのとき使用されない。
【0045】
【発明の実施の形態】以下、図面を参照して本発明の好
ましい実施態様を詳細に説明する。
【0046】図1の構成は、まずオペレータ12によっ
て管理され、加入者13を含む、通信ネットワーク11
を備える。より正確にこの構成を説明すると、ネットワ
ーク11は、GSMネットワークのような閉じた加入契
約型ネットワークであると考えてよい。加入者13に
は、移動電話、一般に「SIM」カードが組み込まれた
携帯電話機が提供され、基地局(BTS)を介してネッ
トワーク11と通信を行う。例えば、同じオペレータ1
2が第2の加入者14が接続されたインターネットの管
理も行うことがある。加入者14は、モデム19を介し
て接続されたコンピュータ18を使って通信を行う。
【0047】加入者に要求されると、オペレータ12は
それ自身多くのユーザを持ちオンライン・サービス・プ
ロバイダ17を含む第2のネットワーク16に相互接続
15する。
【0048】例えば、ネットワーク16はIP通信プロ
トコルを使用する開放したインターネット型ネットワー
クでよい。オンライン・サービス・プロバイダ17は、
サービスへの加入を済ませてからアクセス可能な、コン
テンツ・サービスである。例えば、それは、そこから銀
行の顧客が彼らの口座を見ることでき、及び/又は遠く
離れた取引を行うことができる、銀行サイトであってよ
い。これらの運営は、機密であり、そのため、まず互い
に関心のある関係者(まず加入顧客、次に銀行)が互い
に身元を認証して、いかなる詐欺も防止し、次いで交換
情報を暗号化して機密性が損なわれることを防ぐこと
が、必要とされる。
【0049】加入消費者からオンライン・サービス・プ
ロバイダへのそれぞれの接続において、本発明による安
全なチャネルデータ転送方法に従ってセットアップさ
れ、実行される、通信セッションが開始される。
【0050】本発明によれば、安全なチャネルをセット
アップするには、加入者がまずサービス・プロバイダに
登録され、そしてオペレータがそのサービス・プロバイ
ダに、通信セッションがその後セットアップされたとき
に使用される加入者/サービス・プロバイダの識別及び
認証に関するデータを送信してしまうことが必要とされ
る。他方、安全なチャネルはセットアップされ、それ
は、加入者のネットワークオペレータが、秘密要素が加
入者とサービス・プロバイダのみに知られるように解読
されず置かれそのオペレータが解読不能な通信それ自体
の転送以外は明らかに何もすることなく、使用される。
オペレータは単にセキュリティの仕組みを確定する、言
い換えれば、本発明の実施を可能にする。オペレータは
認証と機密性サービスのための仕組みの質を保証する。
他方、サービス・プロバイダは明らかに彼自身のレベル
においてセキュリティ・システムを継続する責任があり
続ける。
【0051】図2は、前記加入者が前記オペレータを介
して前記サービス・プロバイダへの初期加入を行う第1
のプロセス20と、前記加入者と前記サービス・プロバ
イダとの間の各通信が開始される第2のプロセス30
と、から成る、本発明による方法を実行するために必要
な、連続する2つのプロセスを示している。
【0052】以下の基本的なデータ交換が、最初の登録
プロセス(又は加入)20の間に起きる。
【0053】第一に、遠距離通信オペレータは加入者
に、その加入者が登録したいと考えるサービス・プロバ
イダの識別子(IDx)を送信する(21)。本発明に
よるセキュリティの仕組みでは、その識別子IDxは、
オペレータのネットワークを介してアクセス可能なサー
ビス・プロバイダのそれぞれに対して唯一のものであ
る。例えば、サービス・プロバイダがインターネット型
ネットワーク上でアクセス可能であるとき、IDx識別
子はURL(Uniform Resource Locator)でよい。
【0054】オペレータは、考慮するサービス・プロバ
イダに2つのデータ項目からなる集合の経路も決める。
2つのデータ項目とは、すなわち、加入者の付属ネット
ワークにおけるその加入者の識別子(DeviceI
D)と、以下図3を参照して詳細に説明される条件下で
有利に計算される前記加入者の認証符号(R1)と、で
ある。
【0055】認証符号R1は、オペレータのネットワー
クにおけるユニークなデータの一集合から計算され、そ
れ故に、議論される特定の加入者と特定のサービス・プ
ロバイダの間の組み合わせに特有であって、この点で、
サービス・プロバイダによって保護されるべきである。
そのためにこの値R1は、所定の加入者に対してサービ
ス・プロバイダによって異なる。認証符号R1はサービ
ス・プロバイダの認証ベースにいつも記憶される。
【0056】これに対し、サービス・プロバイダは、そ
のサービス・プロバイダへの加入者を識別する2つの加
入項目のデータを提供する(23)。それらは、そのサ
ービス・プロバイダのネットワークにおける加入者識別
子(Login)と、例えばパスワードといった形の秘
密要素(mdp)と、である。
【0057】この段階で交換される全てあるいは一部
は、有利には、(例えばファクス、メール又は他のいず
れかの手段によって)それぞれの関係者に特有な手続き
を使って、オフラインで実行されてよい。けれども、一
部の場合には、オンラインで上記データを送信すること
がより簡単である。
【0058】加入者とサービス・プロバイダとの間の各
通信セッションが開始される第2のプロセス30には、
いくつかの連続する別個の段階が存在する。第一に、加
入者は彼自身を、数値(R3)と2つの入力データの集
合、すなわちサービス・プロバイダが加入者を識別する
データ(Login)と加入者のために生成された多様
化データ(Date)、を含むデータフレームをサービ
ス・プロバイダへ送信する(31)ことによって、その
サービス・プロバイダに認証させる。
【0059】このフレームは、加入者が、サービス・プ
ロバイダがその加入者を識別して認証する一組の値(L
ogin/mdp)を、例えばその加入者の遠隔通信端
末上のキーパッドを使用して、入力した直後に送られ
る。Login値はサービス・プロバイダに送られた上
記フレームに直に含まれる。一方、mdp値は送信され
ないが、それは数値R3を計算するときに使用される。
【0060】数値R3を計算するための方法は、以下に
おいて図3を参照して詳細に説明される。多様化データ
は、可変性を保証するどんなデータでもよく、それは以
前の繰り返し(iteration)の間に加入者によって供給
されたデータの繰り返し使用を防止する。その目的は明
らかに、第三者が加入者になりすます「繰り返し攻撃」
侵入試行を防止することにある。前記多様化データは有
利にはセッションの日付及び/又は時刻で構成される
が、しかし、新たなセッションのそれぞれの間に増加さ
れるいかなる数、あるいは、加入者によって生成される
ランダムもしくは擬似ランダム(pseudo-random)な数
でもよい。
【0061】サービス・プロバイダはステップ31で送
信されたフレームを受信する(31)と、そのプロバイ
ダは確認のため、前記データフレームの前記入力データ
(login,date)と、そのプロバイダに既に知
られておりその加入者に付随する認証データ(R1,m
dp)とから計算される前記数値R3を再計算すること
によって加入者を認証する(32)。もしサービス・プ
ロバイダがこの確認再計算の間に加入者から受信した数
値R3に等しい値を得るなら、その加入者は確認され、
認証される。
【0062】次のステップ33では、サービス・プロバ
イダが、一つのランダム変数(Random)を含む多
数のデータ(以下参照)からセッション・キー(Kse
s)を生成する。この瞬間、サービス・プロバイダは、
単一のランダム変数を加入者に送信する(34)ことだ
けに制限し、加入者は最後にこの値を同じセッション・
キー(Kses)を再計算する(35)ために使用す
る。もしこの計算が正しいなら、そのサービス・プロバ
イダから受信され、その加入者によって再計算された前
記セッション・キーを使用して解読される暗号化データ
が理解可能であるということから、その加入者はそのサ
ービス・プロバイダを認証することができる。
【0063】その後、加入者とサービス・プロバイダは
セットアップされた暗号チャネル上で安全な方法で通信
できる(40)。
【0064】図に示されたこの実施態様は、逆認証(言
い換えれば、加入者によるサービス・プロバイダの認
証)とセッション・キーの計算が組み合わされたある一
つの場合にすぎない。当業者は容易にここに説明された
実施態様から他の変形を考えることができるであろう。
【0065】図3は、ある加入者を登録して、その後、
その加入者とサービス・プロバイダとの間の通信の認証
及び暗号化を行う最初のプロセスの間に実行される、数
値の計算におけるメインステップを説明するための図で
ある。
【0066】第1の数値R1は、例えばA3/A8、M
D5又はDES型の暗号化アルゴリズムf1を使って、
好ましくは「IDx」値と、「DeviceID」値
と、秘密要素(SecOpe)といった入力値を使っ
て、計算される。「IDx」値はサービス・プロバイダ
を加入者の付属ネットワークにおいて識別する。例え
ば、この識別子は、加入者によってアクセス可能なさま
ざまなサービス・プロバイダに異なって値を使用して参
照符を付けるネットワーク・オペレータによって確定さ
れる。既に言及したように、各サービス・プロバイダ
「x」は、異なった「IDx」値によって識別される。
「DeviceID」値は加入者をその加入者の付属ネ
ットワークにおいて識別する。それは、例えば、オペレ
ータにより付与された加入者名あるいは他の加入者識別
子から構成される。加入者識別子(DeviceID)
は、その加入者のIMSI(International Mobile Sub
scriber Identity)数又はMSISDN(Mobile Stati
on ISDN)数から成るものでもよい。秘密要素(Sec
Ope)はオペレータのネットワークにおいて加入者を
認証する。例えば、この秘密要素は、パスワード、PI
Nコード(Personal Identity Code)、又はネットワー
ク装置内に制限されたキー、でよい。GMSネットワー
クの場合では、問題となる秘密要素はSIMカード内に
制限されたKiキーであることが有利である。しかし、
例えば全てのコンテンツ・サーバによるGMS加入者の
認証に使用される特殊キーKkmのような、他のどの秘
密要素も、R1を計算するために使用される入力値とし
て受け入れられる。もし加入者端末がPC(Personal C
omputer)又は他のタイプのコンピュータであるなら
ば、「ハードウェアキー」も使用できる。
【0067】値R1は公式R1=f1(Devicel
D,IDx,Sec.Ope)を使って計算される。暗
号アルゴリズムA3A8は、それがSIMカードに既に
存在している限りにおいて、特に適当である。この場合
R1=f1(DevicelD、IDx、Ki)で、そ
れはf1=A3A8を使って12バイトで有利に表現さ
れる。それ故に、それは開発を最小限にし、第三者に対
して秘密に保たれることができ、付属ネットアークと両
立するセキュリティ水準を提供する、という利点があ
る。例えばDESアルゴリズムのように、既にSIMカ
ード上に存在している他のいかなるアルゴリズムでも有
利である。他の暗号アルゴリズムも考慮できる。
【0068】加入者の装置は、それはGMSネットワー
クの場合ではGMS端末にそのSIMカード及び適切な
ブラウザソフトウェアを加えたものであって、明らかに
その加入者が自身をネットワーク・オペレータに認証さ
せた後、特定のサービス・プロバイダにアクセスするこ
とを選択するときに、自動的に数値R1を計算すること
ができる。
【0069】第2の数値R2は、公式R2=f2(da
te,mdp)を使って計算される。ここで、アルゴリ
ズムf2は適切な暗号アルゴリズムのいずれかである。
好ましくは、それは単一方向的チョッピング関数(sing
le directional chopping function)を使用してシール
(seal)を計算するアルゴリズムである。一般には、M
AC方式におけるDESのような、キーを使用するアル
ゴリズム、又は、md5(RSA社によって市場に出さ
れている圧縮アルゴリズムの登録商標)、RIPEMあ
るいはSHAのようなキーの無いアルゴリズムでよい。
これらのアルゴリズムは本発明を制限しない。従って、
混合ビットを使用するアルゴリズムも使用できるが、し
かしこれは暗号的には弱いソリューションである。値
(date)は上で議論された多様化データである。値
mdpはステップ23においてサービス・プロバイダに
よって加入者に送られた秘密要素であるが、しかし、サ
ービス・プロバイダもその認証ベース内にそれを保持し
ている。
【0070】この値R2はサービス・プロバイダへは送
信されない。それは数値R3を計算するために使用され
る中間変数である。この値R2は、もし加入者装置端末
がメモリ(例えばキャッシュメモリ)を備えているな
ら、そのメモリに記憶されても都合がよい。本発明によ
るキュリティ方法は、値R2の記憶によって決して変更
されない。
【0071】第3の数値R3は公式R3=f3(R1,
R2,login)を使って計算される。ここで、 − 数値R1は、既に詳細に説明されたように計算さ
れ、かつ加入プロセスの間にサービス・プロバイダに送
られた加入者の認証符号である。 − 数値R2を計算する方法は、既に上記の如く特定さ
れる。 − login値は、サービス・プロバイダのネットワ
ークにおける加入者識別子で、図2のステップ31にお
いて経路付けされたデータフレーム内で加入者によって
サービス・プロバイダに再送信される。 − アルゴリズムf3は、f2に対して選択されたアル
ゴリズムと同一である。 ことが有利である。どんな場合も、f2に関して言及さ
れた同じ可能なものから選択されてよい。
【0072】セッション・キーKsesは、公式Kse
s=fk(R1,R2,Random)で表現できる。
ここで、 − アルゴリズムfkは、f2とf3に対して選択され
たアルゴリズムと同一であることが有利である。どんな
場合も、f2に関して言及された同じ可能なものから選
択されてよい。 − 数値R1とR2は、既に言及された値と同一であ
る。 − ランダム(Random)又は擬似ランダム(pseudo-ran
dom)はサービス・プロバイダによって選ばれる。
【0073】本発明によって同じくカバーされる、安全
なデータ転送方法を劣化させた実施例において、数値R
1は計算もされず、どのステップにおいても使用されな
い。その結果、サービス・プロバイダは加入者によって
もはや認証されず、それによって通信セキュリティは
「中間にいる人間」型侵入の被害を一層受けやすくな
る。
【図面の簡単な説明】
【図1】本発明を使用できる一通信ネットワークの略構
成図である。
【図2】逆認証がセッション・キーの計算と組み合わさ
れた、本発明によるセキュリティ方法の実施態様におけ
る一連の段階を説明するための図である。
【図3】本発明による安全なデータ転送方法の枠組みで
使用される数値の計算における主なステップを説明する
ための図である。
【符号の説明】
11 通信ネットワーク 12 オペレータ 13,14 加入者 15 相互接続回線 16 ネットワーク 17 サービス・プロバイダ 18 コンピュータ(PC) 19 モデム
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04Q 7/30

Claims (18)

    【特許請求の範囲】
  1. 【請求項1】 まず遠隔通信ネットワークの加入者、次
    に該加入者が付属する前記遠隔通信ネットワークのオペ
    レータを介してアクセス可能なサービス・プロバイダと
    の間の通信のセキュリティを保証するための方法であっ
    て、 第一に前記オペレータを介して前記加入者が前記サービ
    ス・プロバイダへ初期登録を行うプロセスと、第二に前
    記加入者と前記サービス・プロバイダとの間の各通信セ
    ッションが開始されるプロセスとを含み、 前記初期登録を行うプロセスは、 − 第一に、前記遠隔通信オペレータから前記サービス
    ・プロバイダに、 前記加入者の付属ネットワークにおける該加入者の識別
    子(DeviceID)と、 前記オペレータのネットワークにおける前記サービス・
    プロバイダの識別子(IDx)と、前記加入者の付属ネ
    ットワークにおける該加入者の前記識別子(Devic
    eID)と、前記加入者を特徴付ける秘密要素(Se
    c.Op.)とから計算される第1の数値を含む前記加
    入者の認証符号(R1)と、が与えられるステップと、 − 第二に、前記サービス・プロバイダから前記加入者
    に、前記サービス・プロバイダによる前記加入者の識別
    /認証(login,mdp)に関するデータが与えら
    れるステップとを含み、 前記各通信セッションが実行されるプロセスでは、前記
    サービス・プロバイダが加入者の認証を、 − 第2の数値(R2)が、前記サービス・プロバイダ
    での加入者識別子(mdp)と前記加入者において生成
    された多様化データ(Dtae)とから計算されるステ
    ップと、 − 前記第1の数値(R1)と、前記第2の数値(R
    2)と、前記サービス・プロバイダが前記加入者を識別
    する第3のデータ(Login)とから第3の数値(R
    3)が計算されるステップと、 − 前記第3の数値(R3)と、入力データ、すなわち
    前記サービス・プロバイダが前記加入者を識別するデー
    タ(Login)と、前記加入者において生成された前
    記多様化データ(Date)とから構成された第1のデ
    ータフレームが前記サービス・プロバイダに送信される
    ステップと、 − 確認として前記サービス・プロバイダが、前記第1
    のデータフレーム内の前記入力データ(Login,d
    ate)と、既に前記サービス・プロバイダに提供され
    た前記加入者に付随したデータ(R1,mdp)とか
    ら、前記第3の数値(R3)を再計算することによっ
    て、前記加入者を認証するステップと、を通して実行す
    ることを特徴とする通信ネットワーク用セキュリティ方
    法。
  2. 【請求項2】 第4の数値が、前記加入者認証符号(R
    1)と、前記サービス・プロバイダにおいて生成された
    ランダム変数(Random)と、多様化データ(Da
    te)とから計算されるステップと、 前記第4の数値(R4)及び前記ランダム変数(Ran
    dom)を含む第2のデータフレームが前記サービス・
    プロバイダから前記加入者へ送信されるステップと、 前記加入者が確認として、前記第2のデータフレーム中
    の前記ランダム変数(Random)及び前記加入者へ
    提供されたデータ(R1,Date)から前記第4の数
    値(R4)を再計算することによって、前記サービス・
    プロバイダを認証するステップとを実行することによっ
    て、前記加入者が前記サービス・プロバイダを認証する
    ステップと、が含まれることを特徴とする請求項1に記
    載の通信ネットワーク用セキュリティ方法。
  3. 【請求項3】 前記加入者及び前記サービス・プロバイ
    ダに共通するセッション・キー(Kses)が生成され
    る段階と、暗号化データが該セッション・キー(Kse
    s)を使って送信される段階もが含まれ、 前記セッション・キーが生成される段階には好ましく
    は、 前記サービス・プロバイダが、前記第2の数値(R2)
    とランダム変数(Random2)を含む計算データか
    ら、セッション・キー(Kses)を計算するステップ
    と、 前記単一のランダム変数(Random2)が前記加入
    者に送信されるステップと、 前記加入者が、前記計算データ、すなわち前記送信され
    たランダム変数(Random2)と前記加入者に与え
    られた前記第2の数値(R2)とから、前記セッション
    ・キー(Kses)を計算するステップとが含まれるこ
    とを特徴とする請求項1又は2に記載の通信ネットワー
    ク用セキュリティ方法。
  4. 【請求項4】 請求項2及び請求項3に記載された特徴
    を有する方法であって、請求項2に記載された前記ラン
    ダム変数(Random)と請求項3に記載された前記
    ランダム変数(Random2)は同一であり、 前記セッション・キー(Kses)を生成する段階では
    前記サービス・プロバイダから前記加入者へのデータ送
    信は一切無く、前記ランダム変数は既に前記第2のデー
    タフレームによって前記加入者が入手可能であることを
    特徴とする通信ネットワーク用セキュリティ方法。
  5. 【請求項5】 前記セッション・キー(Kses)のた
    めの前記計算データは、前記サービス・プロバイダと前
    記加入者の双方に提供されており、前記サービス・プロ
    バイダから前記加入者へ送信される必要の無い前記加入
    者の認証符号(R1)も含むと共に、 もし前記計算されたセッション・キー(Kses)が正
    しく得られたならば、前記加入者によって計算された前
    記セッション・キー(Kses)を使って解読される、
    前記サービス・プロバイダから受信した前記暗号化デー
    タが理解可能であるという事実によって、前記サービス
    ・プロバイダが前記加入者によって効率的に認証される
    ことを特徴とする請求項3に記載の通信ネットワーク用
    セキュリティ方法。
  6. 【請求項6】 前記セッション・キー(Kses)のた
    めの前記計算データは、前記サービス・プロバイダと前
    記加入者の双方に提供されており、前記サービス・プロ
    バイダから前記加入者へ送信される必要の無い多様化デ
    ータ(Date)も含むことを特徴とする請求項1乃至
    5の何れか1項に記載の通信ネットワーク用セキュリテ
    ィ方法。
  7. 【請求項7】 前記サービス・プロバイダは、登録加入
    者ごとに、 加入者のその付属ネットワークにおける識別子(Dev
    iceId)と、 前記サービス・プロバイダでの加入者識別/認証(Lo
    gin,mdp)データと、 初期登録時に前記オペレータから受信した前記数値R1
    と、 できれば、最新の通信セッションに特有な前記多様化デ
    ータ(Date)と前記第3の数値R3と前記ランダム
    変数(RandomとRandom2)と前記セッショ
    ン・キー(Kses)の一部又は全てとを含む項目のデ
    ータを蓄積するデータベースを構築していることを特徴
    とする請求項1乃至6の何れか1項に記載の通信ネット
    ワーク用セキュリティ方法。
  8. 【請求項8】 前記第1の数値(R1)、前記第2の数
    値(R2)、前記第3の数値(R3)、そして前記第4
    の数値(R4)と、前記セッション・キー(Kses)
    の少なくとも一部が、暗号アルゴリズムf1、f2、f
    3、f4とfkを使って計算されることを特徴とする請
    求項1乃至7の何れか1項に記載の通信ネットワーク用
    セキュリティ方法。
  9. 【請求項9】 前記第1の数値(R1)はA3/A8型
    アルゴリズムf1を使って計算されることを特徴とする
    請求項8に記載の通信ネットワーク用セキュリティ方
    法。
  10. 【請求項10】 前記暗号アルゴリズムは、 MAC方式におけるDESのような、キーを使用する単
    一方向的チョッピング関数のアルゴルズムと、 md5(登録商標)、RIPEM、SHAのような、キ
    ーを使用する単一方向的チョッピング関数のアルゴルズ
    ムと、 ビット・ミキシングを使用するアルゴリズムとを含むグ
    ループから選択されることを特徴とする請求項8に記載
    の通信ネットワーク用セキュリティ方法。
  11. 【請求項11】 前記加入者を特徴付ける前記秘密要素
    (Sec.Op.)は、前記加入者の携帯電話のSIM
    カードに含まれるキーKiと、前記加入者の端末におい
    て利用可能な任意のキーKkmを含むグループに属する
    ことを特徴とする請求項1乃至10の何れか1項に記載
    の通信ネットワーク用セキュリティ方法。
  12. 【請求項12】 加入者がGSMネットワークに付属す
    るとき、該加入者の付属ネットワーク内における該加入
    者の識別子(DeviceID)は有利には、IMSI
    (International Mobile Subscriber Identity)とMS
    ISDN(Mobile Station ISDN number)とを含むグル
    ープに属することを特徴とする請求項1乃至11の何れ
    か1項に記載の通信ネットワーク用セキュリティ方法。
  13. 【請求項13】 前記サービス・プロバイダによる前記
    加入者の識別/認証(Login,mdp)データは、 前記サービス・プロバイダのネットワークにおける加入
    者識別子(Login)と、 前記サービス・プロバイダによって前記加入者に供給さ
    れる秘密要素(mdp)とを含むことを特徴とする請求
    項1乃至12の何れか1項に記載の通信ネットワーク用
    セキュリティ方法。
  14. 【請求項14】 前記第2の数値(R2)を計算するた
    めに使用される前記多様化データ(Date)は、セッ
    ションの日付/時刻、前記加入者によって要求される新
    たなセッション毎に増加する数と、そして前記加入者に
    おいて生成される乱数とを含むグループに属することを
    特徴とする請求項1乃至13の何れか1項に記載の通信
    ネットワーク用セキュリティ方法。
  15. 【請求項15】 前記加入者の認証符号を形成する前記
    第1の数値(R1)は。それぞれのセッションの間に生
    成され、前記加入者によって保持されないことを特徴と
    する請求項1乃至14の何れか1項に記載の通信ネット
    ワーク用セキュリティ方法。
  16. 【請求項16】 請求項1乃至15のいずれかに記載さ
    れた通信ネットワーク用セキュリティ方法において、前
    記第1の数値(R1)が計算されず、そのため該数値が
    前記ステップの少なくとも一部において知られることが
    なく、さらにそのとき前記加入者の認証段階が削除され
    ているデータ転送方法。
  17. 【請求項17】 前記加入者の初期加入段階の間に前記
    サービス・プロバイダと交換される前記データ(Dev
    iceID、R1;login、mdp)の少なくとも
    一部は、オンライン送信とオフライン送信を含む手段を
    使って送信されることを特徴とする請求項1乃至16の
    何れか1項に記載の通信ネットワーク用セキュリティ方
    法。
  18. 【請求項18】 前記第2の数値(R2)は前記サービ
    ス・プロバイダによって前記加入者に供給される前記秘
    密要素(mdp)と単に等しいことを特徴とする請求項
    1乃至17の何れか1項に記載の通信ネットワーク用セ
    キュリティ方法。
JP2000014375A 1999-01-22 2000-01-24 通信ネットワーク用セキュリティ方法及び安全なデータ転送方法 Expired - Lifetime JP4331848B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9900901 1999-01-22
FR9900901A FR2788914B1 (fr) 1999-01-22 1999-01-22 Procede d'authentification, avec etablissement d'un canal securise, entre un abonne et un fournisseur de services accessible via un operateur de telecommunication

Publications (2)

Publication Number Publication Date
JP2000232690A true JP2000232690A (ja) 2000-08-22
JP4331848B2 JP4331848B2 (ja) 2009-09-16

Family

ID=9541282

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000014375A Expired - Lifetime JP4331848B2 (ja) 1999-01-22 2000-01-24 通信ネットワーク用セキュリティ方法及び安全なデータ転送方法

Country Status (9)

Country Link
US (1) US6745326B1 (ja)
EP (1) EP1022922B1 (ja)
JP (1) JP4331848B2 (ja)
AT (1) ATE287188T1 (ja)
DE (1) DE60017292T2 (ja)
DK (1) DK1022922T3 (ja)
ES (1) ES2233316T3 (ja)
FR (1) FR2788914B1 (ja)
PT (1) PT1022922E (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100368069B1 (ko) * 2000-07-06 2003-01-15 주식회사 케이티프리텔 네트워크 보안 기법 상에서 요금 부과가 용이한 통신 방법
JP2005159424A (ja) * 2003-11-20 2005-06-16 Nippon Telegr & Teleph Corp <Ntt> 通信システム
JP2008532105A (ja) * 2005-01-21 2008-08-14 スイスコム モービル アーゲー 識別方法およびシステム、ならびに前記方法およびシステムに適したデバイス
JP2011519235A (ja) * 2008-04-30 2011-06-30 聯發科技股▲ふん▼有限公司 トラフィック暗号化キーの派生方法
JP2011234381A (ja) * 2004-09-02 2011-11-17 Qualcomm Incorporated サービスプロバイダから受け取ったチャレンジに対する応答を発生させる擬似シークレットキー発生のための方法および装置

Families Citing this family (95)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL128720A (en) * 1999-02-25 2009-06-15 Cidway Technologies Ltd Method for confirming actions performed over the phone
US7627116B2 (en) * 2000-09-26 2009-12-01 King Green Ltd. Random data method and apparatus
US7739409B2 (en) * 2000-09-26 2010-06-15 King Green Ltd. System and method for making available identical random data to seperate and remote parties
EP1213882A3 (en) * 2000-12-08 2002-09-18 Telefonaktiebolaget L M Ericsson (Publ) Method, system and device for granting access to a service
JP4716644B2 (ja) * 2001-03-02 2011-07-06 富士通株式会社 移動通信システム及び該システムを構成する装置
EP1257106B1 (en) * 2001-05-08 2005-03-23 Telefonaktiebolaget LM Ericsson (publ) Secure remote subscription module access
US8140845B2 (en) * 2001-09-13 2012-03-20 Alcatel Lucent Scheme for authentication and dynamic key exchange
US7570764B2 (en) * 2001-10-10 2009-08-04 Nortel Networks Limited Sequence number calculation and authentication in a communications system
JP3668175B2 (ja) * 2001-10-24 2005-07-06 株式会社東芝 個人認証方法、個人認証装置および個人認証システム
EP1466435B1 (en) 2002-01-08 2019-05-22 Seven Networks, LLC Secure transport for mobile communication network
US20030159067A1 (en) * 2002-02-21 2003-08-21 Nokia Corporation Method and apparatus for granting access by a portable phone to multimedia services
US7054613B2 (en) * 2002-05-03 2006-05-30 Telefonaktiebolaget Lm Ericsson (Publ) SIM card to mobile device interface protection method and system
US9064281B2 (en) 2002-10-31 2015-06-23 Mastercard Mobile Transactions Solutions, Inc. Multi-panel user interface
US7917468B2 (en) 2005-08-01 2011-03-29 Seven Networks, Inc. Linking of personal information management data
US8468126B2 (en) 2005-08-01 2013-06-18 Seven Networks, Inc. Publishing data in an information community
US7853563B2 (en) 2005-08-01 2010-12-14 Seven Networks, Inc. Universal data aggregation
US20050047575A1 (en) 2003-08-29 2005-03-03 Stephen Parker Secure valet telephone system
US7548744B2 (en) * 2003-12-19 2009-06-16 General Motors Corporation WIFI authentication method
US20050266826A1 (en) * 2004-06-01 2005-12-01 Nokia Corporation Method for establishing a security association between a wireless access point and a wireless node in a UPnP environment
US7765404B2 (en) * 2004-06-29 2010-07-27 Nokia Corporation Providing content in a communication system
KR101153927B1 (ko) * 2004-08-13 2012-06-08 텔레콤 이탈리아 소시에떼 퍼 아찌오니 전자 태그에 저장된 데이터의 보안 관리 방법 및 시스템
US8611536B2 (en) * 2004-09-08 2013-12-17 Qualcomm Incorporated Bootstrapping authentication using distinguished random challenges
WO2006045102A2 (en) 2004-10-20 2006-04-27 Seven Networks, Inc. Method and apparatus for intercepting events in a communication system
US8010082B2 (en) 2004-10-20 2011-08-30 Seven Networks, Inc. Flexible billing architecture
US7643818B2 (en) 2004-11-22 2010-01-05 Seven Networks, Inc. E-mail messaging to/from a mobile terminal
WO2006053954A1 (en) * 2004-11-22 2006-05-26 Seven Networks International Oy Data security in a mobile e-mail service
US7706781B2 (en) * 2004-11-22 2010-04-27 Seven Networks International Oy Data security in a mobile e-mail service
FI117152B (fi) 2004-12-03 2006-06-30 Seven Networks Internat Oy Sähköpostiasetusten käyttöönotto matkaviestimelle
US7877703B1 (en) 2005-03-14 2011-01-25 Seven Networks, Inc. Intelligent rendering of information in a limited display environment
US7796742B1 (en) 2005-04-21 2010-09-14 Seven Networks, Inc. Systems and methods for simplified provisioning
US8438633B1 (en) 2005-04-21 2013-05-07 Seven Networks, Inc. Flexible real-time inbox access
FI20050562A0 (fi) * 2005-05-26 2005-05-26 Nokia Corp Menetelmä avainmateriaalin tuottamiseksi
WO2006136660A1 (en) 2005-06-21 2006-12-28 Seven Networks International Oy Maintaining an ip connection in a mobile network
US8069166B2 (en) 2005-08-01 2011-11-29 Seven Networks, Inc. Managing user-to-user contact with inferred presence information
EP2024921A4 (en) 2005-10-06 2010-09-29 C Sam Inc TRANSACTION SERVICES
US20130339232A1 (en) 2005-10-06 2013-12-19 C-Sam, Inc. Widget framework for securing account information for a plurality of accounts in a wallet
US10032160B2 (en) 2005-10-06 2018-07-24 Mastercard Mobile Transactions Solutions, Inc. Isolating distinct service provider widgets within a wallet container
JP5123209B2 (ja) * 2006-01-24 2013-01-23 ▲ホア▼▲ウェイ▼技術有限公司 モバイルネットワークに基づくエンドツーエンド通信での認証の方法、システム、および認証センタ
US7769395B2 (en) 2006-06-20 2010-08-03 Seven Networks, Inc. Location-based operations and messaging
US20080072295A1 (en) * 2006-09-20 2008-03-20 Nathaniel Solomon Borenstein Method and System for Authentication
US8782414B2 (en) * 2007-05-07 2014-07-15 Microsoft Corporation Mutually authenticated secure channel
US8805425B2 (en) 2007-06-01 2014-08-12 Seven Networks, Inc. Integrated messaging
US8693494B2 (en) 2007-06-01 2014-04-08 Seven Networks, Inc. Polling
US8364181B2 (en) 2007-12-10 2013-01-29 Seven Networks, Inc. Electronic-mail filtering for mobile devices
US8793305B2 (en) 2007-12-13 2014-07-29 Seven Networks, Inc. Content delivery to a mobile device from a content service
US9002828B2 (en) 2007-12-13 2015-04-07 Seven Networks, Inc. Predictive content delivery
US8107921B2 (en) 2008-01-11 2012-01-31 Seven Networks, Inc. Mobile virtual network operator
US8862657B2 (en) 2008-01-25 2014-10-14 Seven Networks, Inc. Policy based content service
US20090193338A1 (en) 2008-01-28 2009-07-30 Trevor Fiatal Reducing network and battery consumption during content delivery and playback
US8787947B2 (en) 2008-06-18 2014-07-22 Seven Networks, Inc. Application discovery on mobile devices
US8078158B2 (en) 2008-06-26 2011-12-13 Seven Networks, Inc. Provisioning applications for a mobile device
US8909759B2 (en) 2008-10-10 2014-12-09 Seven Networks, Inc. Bandwidth measurement
WO2011126889A2 (en) 2010-03-30 2011-10-13 Seven Networks, Inc. 3d mobile user interface with configurable workspace management
JP5620578B2 (ja) 2010-07-26 2014-11-05 セブン ネットワークス インコーポレイテッド 複数のアプリケーションにわたるモバイルネットワークトラフィック調整
US8838783B2 (en) 2010-07-26 2014-09-16 Seven Networks, Inc. Distributed caching for resource and mobile network traffic management
CA2806557C (en) 2010-07-26 2014-10-07 Michael Luna Mobile application traffic optimization
WO2012018477A2 (en) 2010-07-26 2012-02-09 Seven Networks, Inc. Distributed implementation of dynamic wireless traffic policy
US8484314B2 (en) 2010-11-01 2013-07-09 Seven Networks, Inc. Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
US8204953B2 (en) 2010-11-01 2012-06-19 Seven Networks, Inc. Distributed system for cache defeat detection and caching of content addressed by identifiers intended to defeat cache
WO2012060995A2 (en) 2010-11-01 2012-05-10 Michael Luna Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
US8166164B1 (en) 2010-11-01 2012-04-24 Seven Networks, Inc. Application and network-based long poll request detection and cacheability assessment therefor
US9060032B2 (en) 2010-11-01 2015-06-16 Seven Networks, Inc. Selective data compression by a distributed traffic management system to reduce mobile data traffic and signaling traffic
WO2012060996A2 (en) 2010-11-01 2012-05-10 Michael Luna Caching adapted for mobile application behavior and network conditions
US8843153B2 (en) 2010-11-01 2014-09-23 Seven Networks, Inc. Mobile traffic categorization and policy for network use optimization while preserving user experience
US9330196B2 (en) 2010-11-01 2016-05-03 Seven Networks, Llc Wireless traffic management system cache optimization using http headers
WO2012061430A2 (en) 2010-11-01 2012-05-10 Michael Luna Distributed management of keep-alive message signaling for mobile network resource conservation and optimization
EP3422775A1 (en) 2010-11-22 2019-01-02 Seven Networks, LLC Optimization of resource polling intervals to satisfy mobile device requests
CA2798523C (en) 2010-11-22 2015-02-24 Seven Networks, Inc. Aligning data transfer to optimize connections established for transmission over a wireless network
GB2501416B (en) 2011-01-07 2018-03-21 Seven Networks Llc System and method for reduction of mobile network traffic used for domain name system (DNS) queries
GB2504411A (en) 2011-04-19 2014-01-29 Seven Networks Inc Shared resource and virtual resource management in a networked environment
GB2493473B (en) 2011-04-27 2013-06-19 Seven Networks Inc System and method for making requests on behalf of a mobile device based on atomic processes for mobile network traffic relief
WO2012149434A2 (en) 2011-04-27 2012-11-01 Seven Networks, Inc. Detecting and preserving state for satisfying application requests in a distributed proxy and cache system
EP2737742A4 (en) 2011-07-27 2015-01-28 Seven Networks Inc AUTOMATIC PRODUCTION AND DISTRIBUTION OF GUIDELINES INFORMATION ON MOBILE MOBILE TRANSPORT IN A WIRELESS NETWORK
CN109919586B (zh) 2011-10-12 2023-05-02 万事达移动交易方案公司 多层安全移动交易使能平台
US8977755B2 (en) 2011-12-06 2015-03-10 Seven Networks, Inc. Mobile device and method to utilize the failover mechanism for fault tolerance provided for mobile traffic management and network/device resource conservation
US8918503B2 (en) 2011-12-06 2014-12-23 Seven Networks, Inc. Optimization of mobile traffic directed to private networks and operator configurability thereof
US9009250B2 (en) 2011-12-07 2015-04-14 Seven Networks, Inc. Flexible and dynamic integration schemas of a traffic management system with various network operators for network traffic alleviation
WO2013086447A1 (en) 2011-12-07 2013-06-13 Seven Networks, Inc. Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol
WO2013090834A1 (en) 2011-12-14 2013-06-20 Seven Networks, Inc. Operation modes for mobile traffic optimization and concurrent management of optimized and non-optimized traffic
EP2792188B1 (en) 2011-12-14 2019-03-20 Seven Networks, LLC Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system
US8861354B2 (en) 2011-12-14 2014-10-14 Seven Networks, Inc. Hierarchies and categories for management and deployment of policies for distributed wireless traffic optimization
WO2013103988A1 (en) 2012-01-05 2013-07-11 Seven Networks, Inc. Detection and management of user interactions with foreground applications on a mobile device in distributed caching
US9203864B2 (en) 2012-02-02 2015-12-01 Seven Networks, Llc Dynamic categorization of applications for network access in a mobile network
US9326189B2 (en) 2012-02-03 2016-04-26 Seven Networks, Llc User as an end point for profiling and optimizing the delivery of content and data in a wireless network
US8812695B2 (en) 2012-04-09 2014-08-19 Seven Networks, Inc. Method and system for management of a virtual network connection without heartbeat messages
WO2013155208A1 (en) 2012-04-10 2013-10-17 Seven Networks, Inc. Intelligent customer service/call center services enhanced using real-time and historical mobile application and traffic-related statistics collected by a distributed caching system in a mobile network
US8775631B2 (en) 2012-07-13 2014-07-08 Seven Networks, Inc. Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications
US9161258B2 (en) 2012-10-24 2015-10-13 Seven Networks, Llc Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion
US9215591B2 (en) 2012-12-06 2015-12-15 At&T Intellectual Property I, L.P. Security for network load broadcasts over cellular networks
US20140177497A1 (en) 2012-12-20 2014-06-26 Seven Networks, Inc. Management of mobile device radio state promotion and demotion
US9271238B2 (en) 2013-01-23 2016-02-23 Seven Networks, Llc Application or context aware fast dormancy
US8874761B2 (en) 2013-01-25 2014-10-28 Seven Networks, Inc. Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols
US8750123B1 (en) 2013-03-11 2014-06-10 Seven Networks, Inc. Mobile device equipped with mobile network congestion recognition to make intelligent decisions regarding connecting to an operator network
US9065765B2 (en) 2013-07-22 2015-06-23 Seven Networks, Inc. Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network
US8965342B1 (en) 2013-08-08 2015-02-24 Vonage Network Llc Method and apparatus for verifying the authenticity of mobile device information

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9709136D0 (en) * 1997-05-02 1997-06-25 Certicom Corp A log-on verification protocol

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100368069B1 (ko) * 2000-07-06 2003-01-15 주식회사 케이티프리텔 네트워크 보안 기법 상에서 요금 부과가 용이한 통신 방법
JP2005159424A (ja) * 2003-11-20 2005-06-16 Nippon Telegr & Teleph Corp <Ntt> 通信システム
JP2011234381A (ja) * 2004-09-02 2011-11-17 Qualcomm Incorporated サービスプロバイダから受け取ったチャレンジに対する応答を発生させる擬似シークレットキー発生のための方法および装置
JP2008532105A (ja) * 2005-01-21 2008-08-14 スイスコム モービル アーゲー 識別方法およびシステム、ならびに前記方法およびシステムに適したデバイス
JP2011519235A (ja) * 2008-04-30 2011-06-30 聯發科技股▲ふん▼有限公司 トラフィック暗号化キーの派生方法

Also Published As

Publication number Publication date
DK1022922T3 (da) 2005-05-17
ES2233316T3 (es) 2005-06-16
FR2788914A1 (fr) 2000-07-28
US6745326B1 (en) 2004-06-01
ATE287188T1 (de) 2005-01-15
EP1022922B1 (fr) 2005-01-12
JP4331848B2 (ja) 2009-09-16
EP1022922A1 (fr) 2000-07-26
DE60017292T2 (de) 2005-12-01
FR2788914B1 (fr) 2001-03-23
DE60017292D1 (de) 2005-02-17
PT1022922E (pt) 2005-05-31

Similar Documents

Publication Publication Date Title
JP4331848B2 (ja) 通信ネットワーク用セキュリティ方法及び安全なデータ転送方法
CN1969501B (zh) 安全地产生共享密钥的系统和方法
CN1961557B (zh) 通信网络中的安全连接方法和系统
US8515078B2 (en) Mass subscriber management
EP1602194B1 (en) Methods and software program product for mutual authentication in a communications network
US7793102B2 (en) Method for authentication between a portable telecommunication object and a public access terminal
FI108689B (fi) Palvelun tuottamiseen liittyvä oikeaperäisyyden todentamisprotokolla
US5172414A (en) Speech and control message encrypton in cellular radio
CN1910882B (zh) 保护数据的方法和系统、相关通信网络以及计算机程序产品
CN1842993B (zh) 提供证书
JP2010259074A (ja) ワイヤレスアプリケーションプロトコルに基づく機密セッションの設定
CN1977559B (zh) 保护在用户之间进行通信期间交换的信息的方法和系统
WO2003094423A1 (en) System and method for storage and retrieval of a cryptographic secret from a plurality of network enabled clients
JP2003503901A (ja) インターネット環境の移動通信システムにおける使用者情報セキュリティ装置及びその方法
EP1878161A1 (en) Method and system for electronic reauthentication of a communication party
EP1680940B1 (en) Method of user authentication
Di Pietro et al. A two-factor mobile authentication scheme for secure financial transactions
US20130183934A1 (en) Methods for initializing and/or activating at least one user account for carrying out a transaction, as well as terminal device
EP1437024B1 (en) Method and arrangement in a communications network
US20060147038A1 (en) Method and installation for controlling a telephone call transmitter on an internet network and telephone terminal therefor
KR100637996B1 (ko) 다이얼 인증 제공 시스템
Cimato Design of an authentication protocol for GSM Javacards
He et al. An asymmetric authentication protocol for M-Commerce applications
FI115939B (fi) Menetelmä ja järjestely turvallisen tiedonsiirtoyhteyden muodostamiseksi
Cimato Design of an Authentication Protocol

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090520

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090605

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090619

R150 Certificate of patent or registration of utility model

Ref document number: 4331848

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120626

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130626

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term