JP2001524777A - データ接続の機密保護 - Google Patents
データ接続の機密保護Info
- Publication number
- JP2001524777A JP2001524777A JP2000522701A JP2000522701A JP2001524777A JP 2001524777 A JP2001524777 A JP 2001524777A JP 2000522701 A JP2000522701 A JP 2000522701A JP 2000522701 A JP2000522701 A JP 2000522701A JP 2001524777 A JP2001524777 A JP 2001524777A
- Authority
- JP
- Japan
- Prior art keywords
- authentication server
- key
- data network
- subscriber
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 50
- 238000012795 verification Methods 0.000 claims description 12
- 238000004891 communication Methods 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 4
- 238000010295 mobile communication Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 13
- 230000005540 biological transmission Effects 0.000 description 11
- 238000012546 transfer Methods 0.000 description 3
- 238000013478 data encryption standard Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
- Nitrogen And Oxygen Or Sulfur-Condensed Heterocyclic Ring Systems (AREA)
- Finger-Pressure Massage (AREA)
- Emergency Protection Circuit Devices (AREA)
Abstract
(57)【要約】
本発明は電話ユーザーのデータ接続の機密保護に関する。本発明の基本概念は、電話システムの認証を、介在するネットワークを経由して接続されている2つの構内データネットワーク間の枝回路に送ることである。接続が確立すると、電話システムに接続された構内ネットワークが、他の構内ネットワークに認証された加入者の身元を送信する。送信された身元に信頼性を与えるために、身元を含むメッセージが署名される。加入者の身元の暗号化を行うために、メッセージは公開キーの手法を使って暗号化される。応答において、第2の構内ネットワークは接続に用いられるセッションキーを生成する。キーは署名されかつ公開キー手法を用いて暗号化され、第1の構内ネットワークへ送られる。接続の間に、セッションキーによる対称暗号化手法が使用される。
Description
【0001】 (技術分野) 本発明は、電話ネットワーク、特に移動体通信ネットワークにデータ接続され
るデータネットワークにおけるデータ接続の機密保護に関するものである。
るデータネットワークにおけるデータ接続の機密保護に関するものである。
【0002】 (背景技術) 移動体通信加入者をデータサービスと接続するための配置が図1に示されてい
る。図において、加入者は、コンピュータPC(パーソナルコンピュータ)をG
SM移動局MSに接続している。MSはGMSネットワークの基地送受信局BT
Sと接続されている。BTSはMSによって送られた情報を、基地局コントロー
ラBSCへ送り、BSCは情報を順に移動体交換センターMSCへ送る。MSC
はLANアクセスユニットを使ってオペレータの構内データネットワークと接続
されている。構内ネットワークにおいては、インテリジェントデータエージェン
ト(Intelligent Data Agent)IDAが、課金および運用といった目的のための
情報と、データ接続に関する保守管理とをもたらす。構内ネットワークは、AT
M(非同期転送モード)、X21、フレームリレーFRおよびインターネットの
ような他のネットワークに接続されている。
る。図において、加入者は、コンピュータPC(パーソナルコンピュータ)をG
SM移動局MSに接続している。MSはGMSネットワークの基地送受信局BT
Sと接続されている。BTSはMSによって送られた情報を、基地局コントロー
ラBSCへ送り、BSCは情報を順に移動体交換センターMSCへ送る。MSC
はLANアクセスユニットを使ってオペレータの構内データネットワークと接続
されている。構内ネットワークにおいては、インテリジェントデータエージェン
ト(Intelligent Data Agent)IDAが、課金および運用といった目的のための
情報と、データ接続に関する保守管理とをもたらす。構内ネットワークは、AT
M(非同期転送モード)、X21、フレームリレーFRおよびインターネットの
ような他のネットワークに接続されている。
【0003】 加入者が、他の構内ネットワークのサーバーから提供されるサービスを利用す
る配置が図2に示されている。図において、第2の構内ネットワークが、介在す
るネットワークあるいは複数の介在するネットワークを経由してオペレータネッ
トワークに接続されている。構内ネットワークが、例えば会社の構内ネットワー
クである場合には、加入者からサーバーに至るデータ接続の機密保護が強化され
る必要がある。GSMシステムは、認証および移動体加入者MSと移動体交換セ
ンターとの間の安全なデータ伝送を提供する。
る配置が図2に示されている。図において、第2の構内ネットワークが、介在す
るネットワークあるいは複数の介在するネットワークを経由してオペレータネッ
トワークに接続されている。構内ネットワークが、例えば会社の構内ネットワー
クである場合には、加入者からサーバーに至るデータ接続の機密保護が強化され
る必要がある。GSMシステムは、認証および移動体加入者MSと移動体交換セ
ンターとの間の安全なデータ伝送を提供する。
【0004】 GSMにおいて、認証のプロセスは、呼びかけ応答プロセス(challenge r
esponse process)にもとづいており、ネットワークは移動局に組み込まれてい る加入者証明モジュールSIMにランダムな呼びかけを送る。移動局は、ランダ
ムな呼びかけと、ネットワークの認証センターとSIMとのみに知られている秘
密キーとに基づいた計算による応答で返事をする。ランダムな呼びかけと秘密キ
ーの応答とは認証センターでも計算される。SIMおよび認証センターによって
計算された応答が同一であれば、移動体加入者の信頼性がこの認証プロセスによ
って立証される。
esponse process)にもとづいており、ネットワークは移動局に組み込まれてい る加入者証明モジュールSIMにランダムな呼びかけを送る。移動局は、ランダ
ムな呼びかけと、ネットワークの認証センターとSIMとのみに知られている秘
密キーとに基づいた計算による応答で返事をする。ランダムな呼びかけと秘密キ
ーの応答とは認証センターでも計算される。SIMおよび認証センターによって
計算された応答が同一であれば、移動体加入者の信頼性がこの認証プロセスによ
って立証される。
【0005】 基地局と移動局間のデータ伝送は、ランダムな呼びかけと秘密のキーをもとに
して計算された秘密の暗号化キーによって暗号化される。この秘密キーによる暗
号化方法は、対称暗号化法と呼ばれるものであり、以下により詳しく述べる。 GSMの接続は安全であると想定されるとしても、介在するネットワークに何
の認証および暗号化も使用しなければ、加入者とサーバー間の接続は安全でなく
なる。 従来から、2つのネットワーク要素の間の接続の機密保護に関する複数の方法
が知られている。添付の図3および図4には、伝送を保護するために使用される
2つの既知の暗号化アルゴリズム、つまり対称および非対称アルゴリズムのブロ
ックダイアグラムが示されている。
して計算された秘密の暗号化キーによって暗号化される。この秘密キーによる暗
号化方法は、対称暗号化法と呼ばれるものであり、以下により詳しく述べる。 GSMの接続は安全であると想定されるとしても、介在するネットワークに何
の認証および暗号化も使用しなければ、加入者とサーバー間の接続は安全でなく
なる。 従来から、2つのネットワーク要素の間の接続の機密保護に関する複数の方法
が知られている。添付の図3および図4には、伝送を保護するために使用される
2つの既知の暗号化アルゴリズム、つまり対称および非対称アルゴリズムのブロ
ックダイアグラムが示されている。
【0006】 図3は、関与者間で共有される秘密のキーにもとづいた非対称暗号化プロセス
を示している。Aパーティの末端で、Bパーティへ送られるメッセージが共有の
秘密キーにより暗号化される。メッセージは、暗号化形式で伝送路上に送られる
。受信するBパーティは、もとのメッセージを取り出すために同じ秘密のキーK
により暗号化されたメッセージを復号化する。伝送内容を盗聴する侵入者が送信
された暗号化メッセージを読んで理解するためには、秘密のキーを知ることが必
要となる。他の代り得る方法としては、アルゴリズムそのものの弱点を見つける
ことである。従って、DES(データ暗号規格)アルゴリズムのような、公然と
解析されているアルゴリズムを使用することが好ましい。対称プロセスの暗号化
および復号化は次の式により表わされる。 C=EK(M)および M=DK(C) ここで、Cは暗号化されたメッセージ、Mは平文によるメッセージ、EKはキ ーKによる暗号化、およびDKはキーKによる復号化である。
を示している。Aパーティの末端で、Bパーティへ送られるメッセージが共有の
秘密キーにより暗号化される。メッセージは、暗号化形式で伝送路上に送られる
。受信するBパーティは、もとのメッセージを取り出すために同じ秘密のキーK
により暗号化されたメッセージを復号化する。伝送内容を盗聴する侵入者が送信
された暗号化メッセージを読んで理解するためには、秘密のキーを知ることが必
要となる。他の代り得る方法としては、アルゴリズムそのものの弱点を見つける
ことである。従って、DES(データ暗号規格)アルゴリズムのような、公然と
解析されているアルゴリズムを使用することが好ましい。対称プロセスの暗号化
および復号化は次の式により表わされる。 C=EK(M)および M=DK(C) ここで、Cは暗号化されたメッセージ、Mは平文によるメッセージ、EKはキ ーKによる暗号化、およびDKはキーKによる復号化である。
【0007】 図4は、非対称のアプローチである公開キーの暗号化プロセスを示している。
このアルゴリズムは2つのキー、つまり公開キーと非公開キーとにもとづいてい
る。これらの2つのキーは、公開キーで暗号化されたメッセージが対応する非公
開キーによってのみ復号化できるように、さらに逆もまた同様であるように関連
付けられている。公開キーは、対応する非公開キーを使うことで容易に計算でき
る。しかし、対応する公開キーにもとづいて非公開キーを計算することは、計算
上は不可能である。図4においては、意図する受信者つまりBパーティの公開キ
ーによって、Aパーティの末端でメッセージが暗号化されている。暗号化された
メッセージは伝送路上をBパーティへ送信され、対応するBパーティの非公開キ
ーによって復号化され、もとのメッセージが抽出される。さらに、RSA(Rive
r−Shamir−Adleman)アルゴリズムのような、公然と解析されているアルゴリズ
ムが好ましい。
このアルゴリズムは2つのキー、つまり公開キーと非公開キーとにもとづいてい
る。これらの2つのキーは、公開キーで暗号化されたメッセージが対応する非公
開キーによってのみ復号化できるように、さらに逆もまた同様であるように関連
付けられている。公開キーは、対応する非公開キーを使うことで容易に計算でき
る。しかし、対応する公開キーにもとづいて非公開キーを計算することは、計算
上は不可能である。図4においては、意図する受信者つまりBパーティの公開キ
ーによって、Aパーティの末端でメッセージが暗号化されている。暗号化された
メッセージは伝送路上をBパーティへ送信され、対応するBパーティの非公開キ
ーによって復号化され、もとのメッセージが抽出される。さらに、RSA(Rive
r−Shamir−Adleman)アルゴリズムのような、公然と解析されているアルゴリズ
ムが好ましい。
【0008】 また、非対称アルゴリズムの暗号化および復号化は次の式によって表わされる
。 C=EB +(M)および M=DB -(C) ここにCは暗号化されたメッセージ、Mは平文によるメッセージ、EB +は受信
者の公開キーKB +による暗号化、およびDB -は受信者の非公開キーKB -による復
号化である。暗号化関数Eの特性により、受信者の公開キーを使って暗号化され
たメッセージを復号化することは、その非公開キーを知らないと計算上は不可能
である。 非対称キーは、通常対称キーよりずっと長いので、非対称アルゴリズムはさら
に大きな処理能力を必要とする。つまり、非対称アルゴリズムは、公開キーのプ
ロセスが、非常に高い伝送速度をもつネットワークに比較して非常に遅いので、
多量のデータを暗号化するには適していない。
。 C=EB +(M)および M=DB -(C) ここにCは暗号化されたメッセージ、Mは平文によるメッセージ、EB +は受信
者の公開キーKB +による暗号化、およびDB -は受信者の非公開キーKB -による復
号化である。暗号化関数Eの特性により、受信者の公開キーを使って暗号化され
たメッセージを復号化することは、その非公開キーを知らないと計算上は不可能
である。 非対称キーは、通常対称キーよりずっと長いので、非対称アルゴリズムはさら
に大きな処理能力を必要とする。つまり、非対称アルゴリズムは、公開キーのプ
ロセスが、非常に高い伝送速度をもつネットワークに比較して非常に遅いので、
多量のデータを暗号化するには適していない。
【0009】 混成形の暗号法は、上記アルゴリズムの両方を利用している。例えば、セッシ
ョンキーのみが公開キーのアルゴリズムを用いて交換され、通信の残りの部分は
対称形の方法を適用して暗号化されている。 公開キーのアルゴリズムにおいて、誰でも発信者の既知の公開キーを使ってメ
ッセージを復号化できるので、メッセージ発信者の非公開キーを使ってメッセー
ジを暗号化することは、デジタル署名の機能を果たす。この特徴は、接続におけ
るメッセージの完全性と認証を提供するために利用できる。デジタル署名の使用
については図5および図6に示されている。
ョンキーのみが公開キーのアルゴリズムを用いて交換され、通信の残りの部分は
対称形の方法を適用して暗号化されている。 公開キーのアルゴリズムにおいて、誰でも発信者の既知の公開キーを使ってメ
ッセージを復号化できるので、メッセージ発信者の非公開キーを使ってメッセー
ジを暗号化することは、デジタル署名の機能を果たす。この特徴は、接続におけ
るメッセージの完全性と認証を提供するために利用できる。デジタル署名の使用
については図5および図6に示されている。
【0010】 デジタル署名を生成する手続きが図5に示されている。発信者は暗号化手法的
に強い一方向性のハッシュ関数を使って、メッセージからメッセージダイジェス
トを計算する。メッセージダイジェストは、遠隔通信において広く使用されてい
る誤り検出コードに若干類似している。しかし、誤り検出コードとは反対に、同
一のメッセージダイジェストを生成するために、メッセージを他のもので代用す
ることは計算上は不可能であると信じられている。 メッセージダイジェストは、発信者の非公開キーを使って暗号化され、暗号化
されたメッセージダイジェストはデジタル署名として使用される。その後、デジ
タル署名はメッセージと一緒に受信者に送られる。
に強い一方向性のハッシュ関数を使って、メッセージからメッセージダイジェス
トを計算する。メッセージダイジェストは、遠隔通信において広く使用されてい
る誤り検出コードに若干類似している。しかし、誤り検出コードとは反対に、同
一のメッセージダイジェストを生成するために、メッセージを他のもので代用す
ることは計算上は不可能であると信じられている。 メッセージダイジェストは、発信者の非公開キーを使って暗号化され、暗号化
されたメッセージダイジェストはデジタル署名として使用される。その後、デジ
タル署名はメッセージと一緒に受信者に送られる。
【0011】 受信パーティがデジタル署名を証明する手続きが図6に示されている。メッセ
ージとデジタル署名とを受信すると、受信者はメッセージダイジェストアルゴリ
ズムを使用して、メッセージのメッセージダイジェストを計算する。メッセージ
に何の変化が起こらない場合は、結果としてのメッセージダイジェストは送信者
によって計算されたメッセージダイジェストと同一である。一方、アルゴリズム
の特性により、侵入者が、同じメッセージダイジェストを生成できるメッセージ
を、他のもので代用することは計算上不可能であろう。
ージとデジタル署名とを受信すると、受信者はメッセージダイジェストアルゴリ
ズムを使用して、メッセージのメッセージダイジェストを計算する。メッセージ
に何の変化が起こらない場合は、結果としてのメッセージダイジェストは送信者
によって計算されたメッセージダイジェストと同一である。一方、アルゴリズム
の特性により、侵入者が、同じメッセージダイジェストを生成できるメッセージ
を、他のもので代用することは計算上不可能であろう。
【0012】 受信されたデジタル署名は、発信者の非公開キーを用いて暗号化されたメッセ
ージダイジェストである。メッセージダイジェストは、受信者に既知の送信者の
公開キーを使ってデジタル署名を復号化することにより抽出される。想定された
発信者の公開キーに対応する非公開キーを用いて復号化が行われると、抽出され
たメッセージダイジェストは、発信者により計算されたメッセージダイジェスト
と同一となる。同様に、これはメッセージに何の変化も起きていない時のみ、受
信者により計算されたメッセージダイジェストと同一である。つまり、比較結果
が、受信されたメッセージから計算されたメッセージダイジェストと、デジタル
署名の復号化により計算されたメッセージダイジェストとが同じであることを示
すならば、メッセージは変化しておらず、かつそれが申告された発信者から送ら
れたと推論できる。
ージダイジェストである。メッセージダイジェストは、受信者に既知の送信者の
公開キーを使ってデジタル署名を復号化することにより抽出される。想定された
発信者の公開キーに対応する非公開キーを用いて復号化が行われると、抽出され
たメッセージダイジェストは、発信者により計算されたメッセージダイジェスト
と同一となる。同様に、これはメッセージに何の変化も起きていない時のみ、受
信者により計算されたメッセージダイジェストと同一である。つまり、比較結果
が、受信されたメッセージから計算されたメッセージダイジェストと、デジタル
署名の復号化により計算されたメッセージダイジェストとが同じであることを示
すならば、メッセージは変化しておらず、かつそれが申告された発信者から送ら
れたと推論できる。
【0013】 秘密キーによる暗号化の方法論では、メッセージの認証はデジタル署名と類似
のメッセージ認証コード(Message Authentication Code)MACを使って提供 することができる。例えば、MACは一方向性のハッシュアルゴリズムを使い下
記の方法で計算できる。 MAC=H(K、M、K) ここにKはキー、Mはメッセージ、そしてHはハッシュ函数である。 この入力は出力から推定できない。MACがメッセージに付加されると、メッ
セージを改ざん又は模倣できない。受信パーティは、受信メッセージと、送信パ
ーティと同じハッシュ函数およびキーを使ってMACを計算し、その後、これを
検証するために、計算されたMACとメッセージに付加されたMACとを比較す
る。
のメッセージ認証コード(Message Authentication Code)MACを使って提供 することができる。例えば、MACは一方向性のハッシュアルゴリズムを使い下
記の方法で計算できる。 MAC=H(K、M、K) ここにKはキー、Mはメッセージ、そしてHはハッシュ函数である。 この入力は出力から推定できない。MACがメッセージに付加されると、メッ
セージを改ざん又は模倣できない。受信パーティは、受信メッセージと、送信パ
ーティと同じハッシュ函数およびキーを使ってMACを計算し、その後、これを
検証するために、計算されたMACとメッセージに付加されたMACとを比較す
る。
【0014】 本出願においては、用語「認証コード」はメッセージに正当性と安全性とを与
えるすべてのコード、つまりデジタル署名およびメッセージ認証コードの両方に
対する共通の名称として使用されている。 従来技術は、図7に図示されるように、オペレータの構内ネットワークから企
業内ネットワークのような他の構内ネットワークまでばかりではなく、加入者か
らGSMネットワークに至るまでの安全なデータ接続に対する手段を提供してい
る。しかしながら、オペレータネットワークは、必ずしもそのすべてのユーザー
が企業内ネットワークのサービスに対して権利を与えられている訳ではない、複
数のユーザーによって使用できる、。従来技術では、企業内ネットワークへのア
クセスは、加入者と企業内ネットワーク間の認証手続きにもとづいたパスワード
を使って否定されなければならない。これは接続が行われるときはいつもパスワ
ードが転送される必要があり不便である。 本発明の目的は、上記の問題を解決することである。その目的は独立クレーム
に明確にされた方法および装置を用いることにより達成される。
えるすべてのコード、つまりデジタル署名およびメッセージ認証コードの両方に
対する共通の名称として使用されている。 従来技術は、図7に図示されるように、オペレータの構内ネットワークから企
業内ネットワークのような他の構内ネットワークまでばかりではなく、加入者か
らGSMネットワークに至るまでの安全なデータ接続に対する手段を提供してい
る。しかしながら、オペレータネットワークは、必ずしもそのすべてのユーザー
が企業内ネットワークのサービスに対して権利を与えられている訳ではない、複
数のユーザーによって使用できる、。従来技術では、企業内ネットワークへのア
クセスは、加入者と企業内ネットワーク間の認証手続きにもとづいたパスワード
を使って否定されなければならない。これは接続が行われるときはいつもパスワ
ードが転送される必要があり不便である。 本発明の目的は、上記の問題を解決することである。その目的は独立クレーム
に明確にされた方法および装置を用いることにより達成される。
【0015】 (発明の開示) 本発明の基本的な思想は、電話システムの認証を構内ネットワーク間の枝回路
にまで送ることである。本発明によれば、電話システムに接続される信頼できる
オペレータネットワークは認証サーバーを含んでいる。また、ここで企業内ネッ
トワークと呼ばれている第2の構内ネットワークも同様の認証サーバーを含んで
いる。
にまで送ることである。本発明によれば、電話システムに接続される信頼できる
オペレータネットワークは認証サーバーを含んでいる。また、ここで企業内ネッ
トワークと呼ばれている第2の構内ネットワークも同様の認証サーバーを含んで
いる。
【0016】 認証手続きは、加入者が企業内ネットワークのサーバーによって提供されるサ
ービスを要求すると開始される。この手続きの間、オペレータネットワークの認
証サーバーAS_Oは、それ自身の非公開キーを使って加入者の認証された識別
番号をデジタル的に署名し、その識別番号と署名とを含むメッセージを形成する
。加入者を証明する目的に適した識別番号の例は、加入者のMSISDN(移動
体加入者統合サービスデジタルネットワーク)番号である。署名はメッセージの
信頼性を証明する。メッセージは、企業内ネットワークの認証サーバーAS_C
の公開キーを使用してさらに暗号化されることが好ましい。暗号化は、盗聴者が
ユーザーのサービスを要求するユーザを特定することを防ぐ。署名され暗号化さ
れたメッセージは、介在するネットワークを経由して企業内ネットワークの認証
サーバーへ送られる。
ービスを要求すると開始される。この手続きの間、オペレータネットワークの認
証サーバーAS_Oは、それ自身の非公開キーを使って加入者の認証された識別
番号をデジタル的に署名し、その識別番号と署名とを含むメッセージを形成する
。加入者を証明する目的に適した識別番号の例は、加入者のMSISDN(移動
体加入者統合サービスデジタルネットワーク)番号である。署名はメッセージの
信頼性を証明する。メッセージは、企業内ネットワークの認証サーバーAS_C
の公開キーを使用してさらに暗号化されることが好ましい。暗号化は、盗聴者が
ユーザーのサービスを要求するユーザを特定することを防ぐ。署名され暗号化さ
れたメッセージは、介在するネットワークを経由して企業内ネットワークの認証
サーバーへ送られる。
【0017】 企業内ネットワークの認証サーバーは、メッセージを受信し、メッセージの信
頼性を立証するために署名を検証する。暗号文が使用されている場合、メッセー
ジはAS_Cの非公開キーを使って復号化される。認証サーバーは、データサー
ビスに対する加入者の権利を調べ、加入者がそのサービスの権利があれば、その
接続に使用されるべきセッションキーを生成する。セッションキーを含むメッセ
ージは、オペレータネットワークへ転送されるが、AS_Oの公開キーを使って
暗号化されることが好ましく、AS_Cの非公開キーを使って署名されるのが好
ましい。さらに、セッションキーがサーバーへ転送される。 AS_Oは暗号化され署名されたセッションキーを受信し、それ自身の非公開
キーを使ってキーを復号化し、AS_Cの公開キーを使用しキーの信頼性を立証
する。認証手続きが成功すれば、セッションキーはデータ通信の暗号化を操作す
るネットワーク要素へ転送され、データ通信が始まる。
頼性を立証するために署名を検証する。暗号文が使用されている場合、メッセー
ジはAS_Cの非公開キーを使って復号化される。認証サーバーは、データサー
ビスに対する加入者の権利を調べ、加入者がそのサービスの権利があれば、その
接続に使用されるべきセッションキーを生成する。セッションキーを含むメッセ
ージは、オペレータネットワークへ転送されるが、AS_Oの公開キーを使って
暗号化されることが好ましく、AS_Cの非公開キーを使って署名されるのが好
ましい。さらに、セッションキーがサーバーへ転送される。 AS_Oは暗号化され署名されたセッションキーを受信し、それ自身の非公開
キーを使ってキーを復号化し、AS_Cの公開キーを使用しキーの信頼性を立証
する。認証手続きが成功すれば、セッションキーはデータ通信の暗号化を操作す
るネットワーク要素へ転送され、データ通信が始まる。
【0018】 (本発明の詳細な説明) 図8は、2つのネットワークである、オペレータネットワークと企業内ネット
ワークとを示し、これらは介在するネットワークを経由して互いに接続されてい
る。オペレータネットワークは、GSMシステムのような電話システムを経由し
てユーザーに接続されている。オペレータネットワークおよび企業内ネットワー
ク共に認証サーバーが付加されている。サーバーはAS_O(オペレータネット
ワークの認証サーバー)およびAS_C(企業内ネットワークの認証サーバー)
と呼ばれる。さらに、認証サーバーはキーデータベースに接続されている。オペ
レータネットワークの認証サーバーに接続されているキーデータベースは次の情
報を含んでいる。 ・オペレータネットワークが接続できる企業内ネットワークのAS_Cのよう
な認証サーバーの公開キー ・AS_Oの公開キーおよび非公開キーの両者 企業内ネットワークの認証サーバーAS_Cに接続されているキーデタベース
は、次の情報を含んでいる。 ・AS_Oの公開キー ・AS_Cの公開キーおよび非公開キーの両者 これは非公開キーのような秘密の情報が、安全でない介在するネットワークを
通して転送される必要が全くないことを保証している。本出願で前述のように、
公開キーは如何なるリスクもなく開示できる。
ワークとを示し、これらは介在するネットワークを経由して互いに接続されてい
る。オペレータネットワークは、GSMシステムのような電話システムを経由し
てユーザーに接続されている。オペレータネットワークおよび企業内ネットワー
ク共に認証サーバーが付加されている。サーバーはAS_O(オペレータネット
ワークの認証サーバー)およびAS_C(企業内ネットワークの認証サーバー)
と呼ばれる。さらに、認証サーバーはキーデータベースに接続されている。オペ
レータネットワークの認証サーバーに接続されているキーデータベースは次の情
報を含んでいる。 ・オペレータネットワークが接続できる企業内ネットワークのAS_Cのよう
な認証サーバーの公開キー ・AS_Oの公開キーおよび非公開キーの両者 企業内ネットワークの認証サーバーAS_Cに接続されているキーデタベース
は、次の情報を含んでいる。 ・AS_Oの公開キー ・AS_Cの公開キーおよび非公開キーの両者 これは非公開キーのような秘密の情報が、安全でない介在するネットワークを
通して転送される必要が全くないことを保証している。本出願で前述のように、
公開キーは如何なるリスクもなく開示できる。
【0019】 次に、本発明による認証および暗号化の手続きの例を検討する。認証手続きは
、図9に示されている。その手続きは着信データ呼に対する要求によって引き起
こされる。発信加入者のMSISDNナンバーがIDAへ送られる。MSISD
Nナンバーのマッピングを終えてIDAは、サーバーが置かれている企業内ネッ
トワークの認証サーバーAS_Cの身元確認と同様に、そのサービスに加入者が
アクセスを要求する、サーバーの身元確認を行う。その後、この情報は認証サー
バーAS_OへステージI1で送られる。 発信加入者のMSISDNナンバーおよび認証サーバーOA_Cの身元を受信
すると、AS_Oは、 1.それ自身の非公開キーによりMSISDNナンバーにもとづいてデジタル
署名を生成し(ステージO01)、 2.公開キーの手法とキーデータベースに記憶されているAS_Cの公開キー
を利用して、MSISDNナンバーとデジタル署名とを暗号化し(ステージO0
2)、そして 3.暗号化されたMSISDNナンバーと署名とをAS_Cへ送る(ステージ
O03)。 本発明での使用に適する公開キーの暗号化手法の例は、既知のRSAアルゴリ
ズムである。
、図9に示されている。その手続きは着信データ呼に対する要求によって引き起
こされる。発信加入者のMSISDNナンバーがIDAへ送られる。MSISD
Nナンバーのマッピングを終えてIDAは、サーバーが置かれている企業内ネッ
トワークの認証サーバーAS_Cの身元確認と同様に、そのサービスに加入者が
アクセスを要求する、サーバーの身元確認を行う。その後、この情報は認証サー
バーAS_OへステージI1で送られる。 発信加入者のMSISDNナンバーおよび認証サーバーOA_Cの身元を受信
すると、AS_Oは、 1.それ自身の非公開キーによりMSISDNナンバーにもとづいてデジタル
署名を生成し(ステージO01)、 2.公開キーの手法とキーデータベースに記憶されているAS_Cの公開キー
を利用して、MSISDNナンバーとデジタル署名とを暗号化し(ステージO0
2)、そして 3.暗号化されたMSISDNナンバーと署名とをAS_Cへ送る(ステージ
O03)。 本発明での使用に適する公開キーの暗号化手法の例は、既知のRSAアルゴリ
ズムである。
【0020】 デジタル署名がMSISDNナンバーにもとづいてのみ計算される場合、同じ
MSISDNナンバーを含む、すべてのメッセージは同一となることに注意され
たい。このことは加入者の通信を追跡することを可能にする。この問題を解決す
るために、デジタル署名は、MSISDNナンバーのみに基づいて計算されるの
ではなくて、MSISDNナンバーが乱数と共に署名されることが望ましい。つ
まり、同じ加入者を識別するメッセージは同一ではなく、加入者の追跡を不可能
にするか、または少なくとも非常に困難なものとする。 AS_Cは、ステージC01で、署名されかつ暗号化されたメッセージを受信
する。ステージC02で、AS_Cは、キーデータベースに記憶されているそれ
自身の非公開キーを使ってメッセージを復号化する。メッセージとデジタル署名
とが平文に戻されると、ステージP03で、AS_Cは、メッセージの信頼性を
立証するために、AS_Oの公開キーを使ってデジタル署名を検証する。
MSISDNナンバーを含む、すべてのメッセージは同一となることに注意され
たい。このことは加入者の通信を追跡することを可能にする。この問題を解決す
るために、デジタル署名は、MSISDNナンバーのみに基づいて計算されるの
ではなくて、MSISDNナンバーが乱数と共に署名されることが望ましい。つ
まり、同じ加入者を識別するメッセージは同一ではなく、加入者の追跡を不可能
にするか、または少なくとも非常に困難なものとする。 AS_Cは、ステージC01で、署名されかつ暗号化されたメッセージを受信
する。ステージC02で、AS_Cは、キーデータベースに記憶されているそれ
自身の非公開キーを使ってメッセージを復号化する。メッセージとデジタル署名
とが平文に戻されると、ステージP03で、AS_Cは、メッセージの信頼性を
立証するために、AS_Oの公開キーを使ってデジタル署名を検証する。
【0021】 ここで、AS_Cはデータサービスを要求している加入者の識別番号を保有し
、その要求が信頼あるネットワーク、即ちオペレータネットワークから受信され
たことを立証している。ステージC04で、AS_Cはそのデータベースを調べ
、加入者に付加されたアクセス認可、つまりそのMSISDNナンバーをチェッ
クする。 加入者がサービスに対する権利を持つ場合には、この特定のセッションのため
のセッションキーが、ステージC05で生成される。そのキーは、サーバーへ送
られ、サーバーはステージS1でこれを受信する。セッションキーが介在するネ
ットワークを越えてオペレータネットワークの認証サーバーAS_Oに安全に伝
達されるように、デジタル署名と共に公開キーのアルゴリズムが使われる。デジ
タル署名は、AS_Cの非公開キーを使ってステージP06で生成される。侵入
者がセッションキーを知ることをより一層困難とするために、セッションキーは
むしろ乱数と共に署名されるのがよい。その後、ステージP07で、メッセージ
とデジタル署名とはAS_Oの公開キーを利用して暗号化される。その後、ステ
ージP08で、署名され暗号化されたメッセージは介在するネットワークを経由
してAS_Oへ送られる。
、その要求が信頼あるネットワーク、即ちオペレータネットワークから受信され
たことを立証している。ステージC04で、AS_Cはそのデータベースを調べ
、加入者に付加されたアクセス認可、つまりそのMSISDNナンバーをチェッ
クする。 加入者がサービスに対する権利を持つ場合には、この特定のセッションのため
のセッションキーが、ステージC05で生成される。そのキーは、サーバーへ送
られ、サーバーはステージS1でこれを受信する。セッションキーが介在するネ
ットワークを越えてオペレータネットワークの認証サーバーAS_Oに安全に伝
達されるように、デジタル署名と共に公開キーのアルゴリズムが使われる。デジ
タル署名は、AS_Cの非公開キーを使ってステージP06で生成される。侵入
者がセッションキーを知ることをより一層困難とするために、セッションキーは
むしろ乱数と共に署名されるのがよい。その後、ステージP07で、メッセージ
とデジタル署名とはAS_Oの公開キーを利用して暗号化される。その後、ステ
ージP08で、署名され暗号化されたメッセージは介在するネットワークを経由
してAS_Oへ送られる。
【0022】 ステージO11において、AS_Oは、セッションキーを含む署名されかつ暗
号化されたメッセージを受信する。これは自身の非公開キーを使ってステージO
12でメッセージを復号化する。ここで、平文でのセッションキーとデジタルキ
ーとが取り出されたので、ステージO13で、AS_OはAS_Cの公開キーを
使って署名を検証する。この検証はメッセージの信頼性を検証するものである。
検証が、セッションキーが申告された送信者つまりAS_Cによって送られたこ
とを示す場合、AS_Oは、ステージO13で、セッションキーをIDAへ送る
。IDAはステージI2でキーを受信する。 メッセージにデジタル署名することと、メッセージを暗号化する順番は変わて
もよい。同様に、署名手続きはメッセージ認証コードの使用といった他の手続き
と置き換えることができる。
号化されたメッセージを受信する。これは自身の非公開キーを使ってステージO
12でメッセージを復号化する。ここで、平文でのセッションキーとデジタルキ
ーとが取り出されたので、ステージO13で、AS_OはAS_Cの公開キーを
使って署名を検証する。この検証はメッセージの信頼性を検証するものである。
検証が、セッションキーが申告された送信者つまりAS_Cによって送られたこ
とを示す場合、AS_Oは、ステージO13で、セッションキーをIDAへ送る
。IDAはステージI2でキーを受信する。 メッセージにデジタル署名することと、メッセージを暗号化する順番は変わて
もよい。同様に、署名手続きはメッセージ認証コードの使用といった他の手続き
と置き換えることができる。
【0023】 ここでセッションキーは、要求されたデータサービスを提供するサーバーとI
DAとの両方によって保有されている。ここで実際のデータ伝送が起り得る。デ
ータは、介在するネットワークを越えて暗号化された形式で転送される。暗号化
手続きが図10に示されている。 データ接続において、データは最初、加入者の移動局から移動体交換センター
MSCに、GSMサービスとそのデータ保護機能を利用て送られる。MSCは、
移動局によって送られたデータDATA1をIDAへと送る。IDAは、データ
を受信し、対称暗号化手法と、AS_Oから受け取ったセッションキーKEYを
利用して暗号化する。使用に適した対称暗号化アルゴリズムの例は、既知のDE
Sアルゴリズムである。暗号化されたメッセージE1は、介在するネットワーク
を越えてサーバーへ送られる。
DAとの両方によって保有されている。ここで実際のデータ伝送が起り得る。デ
ータは、介在するネットワークを越えて暗号化された形式で転送される。暗号化
手続きが図10に示されている。 データ接続において、データは最初、加入者の移動局から移動体交換センター
MSCに、GSMサービスとそのデータ保護機能を利用て送られる。MSCは、
移動局によって送られたデータDATA1をIDAへと送る。IDAは、データ
を受信し、対称暗号化手法と、AS_Oから受け取ったセッションキーKEYを
利用して暗号化する。使用に適した対称暗号化アルゴリズムの例は、既知のDE
Sアルゴリズムである。暗号化されたメッセージE1は、介在するネットワーク
を越えてサーバーへ送られる。
【0024】 サーバーは、暗号化メッセージを受信し、図9のステージS1での認証手続き
の間に、AS_Cから受信したセッションキーKEYを利用して、暗号化メッセ
ージを復号化することによって、送られたデータDATA1を取り出す。取り出
されたデータは、サーバーのアプリケーションへ送られる。 サーバーのアプリケーションがデータDATA2を加入者へ送るときに、サー
バーで実行中の暗号化アルゴリズムが、セッションキーKEYを利用してデータ
を暗号化する。その後、暗号化されたデータメッセージは、オペレータネットワ
ークのIDAへ送られる。 オペレータネットワークのIDAは、メッセージを受信し、セッションキーを
利用して復号化する。ここで平文でのメッセージが得られたので、IDAはそれ
を移動体交換センターを経由して加入者へ送信する。
の間に、AS_Cから受信したセッションキーKEYを利用して、暗号化メッセ
ージを復号化することによって、送られたデータDATA1を取り出す。取り出
されたデータは、サーバーのアプリケーションへ送られる。 サーバーのアプリケーションがデータDATA2を加入者へ送るときに、サー
バーで実行中の暗号化アルゴリズムが、セッションキーKEYを利用してデータ
を暗号化する。その後、暗号化されたデータメッセージは、オペレータネットワ
ークのIDAへ送られる。 オペレータネットワークのIDAは、メッセージを受信し、セッションキーを
利用して復号化する。ここで平文でのメッセージが得られたので、IDAはそれ
を移動体交換センターを経由して加入者へ送信する。
【0025】 送出される認証プロセスが、図11に示されている。移動体加入者MSと移動
体交換センターMSCとの間の枝回路は、GSMの認証手続きによって認証され
る。この手続きの助けを得て、移動体交換センターは移動体加入者によって与え
られる身元情報が正しいこと、つまり真に自分のMSISDNナンバーであるこ
とを検証できる。AS_Oは、オペレータの信頼される構内データネットワーク
を経由してMSCに接続されている。このため、AS_Oは加入者が真に自身の
身元確認を正しく行っていることを確かめることができる。
体交換センターMSCとの間の枝回路は、GSMの認証手続きによって認証され
る。この手続きの助けを得て、移動体交換センターは移動体加入者によって与え
られる身元情報が正しいこと、つまり真に自分のMSISDNナンバーであるこ
とを検証できる。AS_Oは、オペレータの信頼される構内データネットワーク
を経由してMSCに接続されている。このため、AS_Oは加入者が真に自身の
身元確認を正しく行っていることを確かめることができる。
【0026】 サーバーとの接続を立証するために、AS_Oは暗号化され署名された形式で
、介在するネットワークを越えてAS_CにMSISDNナンバーを送る。暗号
化はメッセージが意図された受信者、即ち企業内ネットワークの信頼されるネッ
トワーク要素であるAS_Cによってのみ読まれ得ることを保証する。署名はA
S_OをAS_Cに対して認証する。メッセージの署名のうまくいった検証に応
じて、AS_Cはメッセージが信頼されるネットワーク要素AS_Oからである
ことを立証する。従って、サービスを要求する加入者の身元も信頼できる。つま
り、移動体加入者は、AS_Cに対して認証される。AS_Cとサーバーの両方
とも同一の企業内ネットワークにあり、企業内ネットワーク内のネットワーク要
素はお互いを信頼する。従って、サーバーが、加入者が彼の真の身分を明らかに
していることを確信できる。
、介在するネットワークを越えてAS_CにMSISDNナンバーを送る。暗号
化はメッセージが意図された受信者、即ち企業内ネットワークの信頼されるネッ
トワーク要素であるAS_Cによってのみ読まれ得ることを保証する。署名はA
S_OをAS_Cに対して認証する。メッセージの署名のうまくいった検証に応
じて、AS_Cはメッセージが信頼されるネットワーク要素AS_Oからである
ことを立証する。従って、サービスを要求する加入者の身元も信頼できる。つま
り、移動体加入者は、AS_Cに対して認証される。AS_Cとサーバーの両方
とも同一の企業内ネットワークにあり、企業内ネットワーク内のネットワーク要
素はお互いを信頼する。従って、サーバーが、加入者が彼の真の身分を明らかに
していることを確信できる。
【0027】 本発明の好ましい実施の形態によれば、企業内ネットワークのAS_Cの認証
をオペレータネットワークのAS_Oに対して提供する。これはAS_OからA
S_Cへ加入者の身元情報を含むメッセージを送る時に、公開キーによる暗号化
手法を利用することによって達成される。さらに又はもしくは、セッションキー
を含むメッセージのデジタル署名によって信頼性が検証され、AS_CからAS
_Oへ送られる。オペレータネットワークがMSに対して認証される場合、AS
_Cの信頼性も加入者へ送られる。これは企業内ネットワークが加入者の身元を
確信し、加入者が企業内ネットワークの身元を確信することを意味している。
をオペレータネットワークのAS_Oに対して提供する。これはAS_OからA
S_Cへ加入者の身元情報を含むメッセージを送る時に、公開キーによる暗号化
手法を利用することによって達成される。さらに又はもしくは、セッションキー
を含むメッセージのデジタル署名によって信頼性が検証され、AS_CからAS
_Oへ送られる。オペレータネットワークがMSに対して認証される場合、AS
_Cの信頼性も加入者へ送られる。これは企業内ネットワークが加入者の身元を
確信し、加入者が企業内ネットワークの身元を確信することを意味している。
【0028】 データ転送の機密保護の根拠を図12を参照して検討する。移動局MSと基地
局BTS間の枝回路上では、GSM仕様による暗号化手法が用いられている。B
TSからIDAまでは、伝送路は信頼できる。IDAから介在するネットワーク
を越えてサーバーへ至る枝回路上では、対称暗号化手法が使用されている。暗号
化チェーンは両方の伝送方向、即ち、MSからサーバーへおよびその逆において
も同様である。つまり移動局とサーバー間の端から端への接続は信頼できる。
局BTS間の枝回路上では、GSM仕様による暗号化手法が用いられている。B
TSからIDAまでは、伝送路は信頼できる。IDAから介在するネットワーク
を越えてサーバーへ至る枝回路上では、対称暗号化手法が使用されている。暗号
化チェーンは両方の伝送方向、即ち、MSからサーバーへおよびその逆において
も同様である。つまり移動局とサーバー間の端から端への接続は信頼できる。
【0029】 認証サーバーで必要とする機能を図13および図14で示す。図13はオペレ
ータネットワークの認証センターAS_Oの機能を示している。サーバーは、 ・遠隔通信ネットワークからの加入者の身元を受信するための受信手段、 ・加入者の身元にもとづいて、第2の認証サーバーの身元確認を行うために受
信手段に応答する確認手段 ・デジタル署名を生成するために、受信手段に応答する署名手段、および、 ・受信手段、確認手段および署名手段に応答し、企業内ネットワークの認証サ
ーバーに対して身元と署名とを送信する機能を有している送信手段。
ータネットワークの認証センターAS_Oの機能を示している。サーバーは、 ・遠隔通信ネットワークからの加入者の身元を受信するための受信手段、 ・加入者の身元にもとづいて、第2の認証サーバーの身元確認を行うために受
信手段に応答する確認手段 ・デジタル署名を生成するために、受信手段に応答する署名手段、および、 ・受信手段、確認手段および署名手段に応答し、企業内ネットワークの認証サ
ーバーに対して身元と署名とを送信する機能を有している送信手段。
【0030】 マッピング手段と署名手段とは、加入者のサービスとサーバーの非公開キーに
ついての情報を必要とし、これらはデータベースDBで見出される。 好ましい実施の形態によれば、介在するネットワークを越えて送信する前に加
入者の身元を暗号化するために、署名手段に応答する暗号化手段も必要である。
署名と暗号化の順番は変わってもよい。暗号化手段は企業内ネットワークの認証
サーバーの公開キーを要求し、従って暗号化手段はデータベースDBに接続され
ている。
ついての情報を必要とし、これらはデータベースDBで見出される。 好ましい実施の形態によれば、介在するネットワークを越えて送信する前に加
入者の身元を暗号化するために、署名手段に応答する暗号化手段も必要である。
署名と暗号化の順番は変わってもよい。暗号化手段は企業内ネットワークの認証
サーバーの公開キーを要求し、従って暗号化手段はデータベースDBに接続され
ている。
【0031】 他の認証サーバーからのセッションキーを受信できるようにするために、認証
サーバーはさらに企業内ネットワークの認証サーバーから暗号化セッションキー
を受信するための第2の受信手段と、暗号化セッションキーを復号化するために
第2の受信手段に応答する復号化手段とを有している。好ましい実施の形態に従
って、企業内ネットワークの認証サーバーがセッションキーに署名する場合、オ
ペレータネットワークの認証サーバーはセッションキーから計算されたデジタル
署名を検証するために、第2の受信手段に応答する検証手段をさらに持つ必要が
ある。
サーバーはさらに企業内ネットワークの認証サーバーから暗号化セッションキー
を受信するための第2の受信手段と、暗号化セッションキーを復号化するために
第2の受信手段に応答する復号化手段とを有している。好ましい実施の形態に従
って、企業内ネットワークの認証サーバーがセッションキーに署名する場合、オ
ペレータネットワークの認証サーバーはセッションキーから計算されたデジタル
署名を検証するために、第2の受信手段に応答する検証手段をさらに持つ必要が
ある。
【0032】 企業内ネットワークの認証サーバーで必要とされる手段が図14に示されてい
る。認証サーバーは、 ・オペレータネットワークの認証サーバーから加入者の身元と、加入者の身元
から計算されたデジタル署名および加入者によって要求されるサービスの識別番
号を受信するための受信手段、 ・デジタル署名を検証するために受信手段に応答する検証手段 ・加入者が、要求するサービスに対する権利があるか否かを調べるために受信
手段に応答する検査手段、 ・セッションキーを生成するために検査手段に応答する生成手段、 ・セッションキーを暗号化するために生成手段に応答する暗号化手段、および
、 ・暗号化されたメッセージを他の認証サーバーに送信するために暗号化手段に
応答する送信手段を有している。
る。認証サーバーは、 ・オペレータネットワークの認証サーバーから加入者の身元と、加入者の身元
から計算されたデジタル署名および加入者によって要求されるサービスの識別番
号を受信するための受信手段、 ・デジタル署名を検証するために受信手段に応答する検証手段 ・加入者が、要求するサービスに対する権利があるか否かを調べるために受信
手段に応答する検査手段、 ・セッションキーを生成するために検査手段に応答する生成手段、 ・セッションキーを暗号化するために生成手段に応答する暗号化手段、および
、 ・暗号化されたメッセージを他の認証サーバーに送信するために暗号化手段に
応答する送信手段を有している。
【0033】 加入者の身元が企業内ネットワークに送られる以前に暗号化される場合、認証
サーバーは認証サーバーの非公開キーを使って加入者の身元を復号化するために
、受信手段に応答する手段をさらに持つことになる。さらに、企業内ネットワー
クの認証サーバーがオペレータネットワークの認証サーバーにそれを送る以前に
セッションキーに署名する場合、認証サーバーは認証サーバーの非公開キーを使
用してセッションキーに署名するために、生成手段に応答する署名手段をさらに
持つ必要がある。
サーバーは認証サーバーの非公開キーを使って加入者の身元を復号化するために
、受信手段に応答する手段をさらに持つことになる。さらに、企業内ネットワー
クの認証サーバーがオペレータネットワークの認証サーバーにそれを送る以前に
セッションキーに署名する場合、認証サーバーは認証サーバーの非公開キーを使
用してセッションキーに署名するために、生成手段に応答する署名手段をさらに
持つ必要がある。
【0034】 本発明の範囲は、前述の例示的な実施の形態に限定されないことに注意すべき
である。例えば、企業内ネットワークと接する場合には、MSISDNナンバー
とは別の識別番号が使用できる。用語「企業内ネットワーク」は、明確にするた
めにのみ用いたものであり、それはいかなる構内ネットワークであってもよく、
企業内の閉データネットワークである必要もない。例えば、同様にネットワーク
オペレータによって運用される構内ネットワークであり、ユーザーの認証を要求
するものであってもよい。これは加入者のMSISDNナンバーに基づいて、企
業内ネットワークで使用される識別番号を確定することによって実施できる。例
えば、マッピングはAS_Oで行うことができる。署名の生成と暗号化の順番は
、実施例で使用された順番とは異なってもよい。つまり、メッセージは最初に暗
号化されそれから署名される。
である。例えば、企業内ネットワークと接する場合には、MSISDNナンバー
とは別の識別番号が使用できる。用語「企業内ネットワーク」は、明確にするた
めにのみ用いたものであり、それはいかなる構内ネットワークであってもよく、
企業内の閉データネットワークである必要もない。例えば、同様にネットワーク
オペレータによって運用される構内ネットワークであり、ユーザーの認証を要求
するものであってもよい。これは加入者のMSISDNナンバーに基づいて、企
業内ネットワークで使用される識別番号を確定することによって実施できる。例
えば、マッピングはAS_Oで行うことができる。署名の生成と暗号化の順番は
、実施例で使用された順番とは異なってもよい。つまり、メッセージは最初に暗
号化されそれから署名される。
【0035】 本出願の実施の形態において、認証サーバー、IDAおよびLANアクセスユ
ニットは別々のネットワーク要素として述べた。しなしながら、これは本発明に
とって重要なことではなくて、これらの複数の機能が、ひとつのネットワーク要
素において実行されてもよい。また、ひとつの機能が複数のネットワーク要素に
分散されてもよい。同様に、署名も平文で送ることができる。この実施の形態で
はメッセージが暗号化され、署名が暗号化されることなく暗号化メッセージに付
加されている。
ニットは別々のネットワーク要素として述べた。しなしながら、これは本発明に
とって重要なことではなくて、これらの複数の機能が、ひとつのネットワーク要
素において実行されてもよい。また、ひとつの機能が複数のネットワーク要素に
分散されてもよい。同様に、署名も平文で送ることができる。この実施の形態で
はメッセージが暗号化され、署名が暗号化されることなく暗号化メッセージに付
加されている。
【0036】 本発明の用途は、本出願の実施の形態で用いられるGSMシステムに限定され
るものではなく、本発明は加入者が確実に認証されると共に、構内ネットワーク
に接続されている如何なる遠隔通信システムでも使用できることも理解されたい
。このような電話システムの1つの例として固定電話システムがある。移動体通 信システムの他の例は、GPRS(汎用パケット無線システム)である。
るものではなく、本発明は加入者が確実に認証されると共に、構内ネットワーク
に接続されている如何なる遠隔通信システムでも使用できることも理解されたい
。このような電話システムの1つの例として固定電話システムがある。移動体通 信システムの他の例は、GPRS(汎用パケット無線システム)である。
【図1】 データネットワークに接続されている移動体通信システムを示す図である。
【図2】 介在するネットワークを経由して接続されている2つの構内データネットワー
クを示す図である。
クを示す図である。
【図3】 対称暗号化手続きを示す図である。
【図4】 公開キーにもとづく暗号化手続きを示す図である。
【図5】 デジタル署名の生成を示す図である。
【図6】 デジタル署名の検証を示す図である。
【図7】 認証方法を示す図である。
【図8】 介在するネットワークを経由して接続されている2つの構内データネットワー
クを示す図である。
クを示す図である。
【図9】 認証手続きを示す図である。
【図10】 暗号化手続きを示す図である。
【図11】 送出される認証を示す図である。
【図12】 安全なデータ転送を示す図である。
【図13】 オペレータネットワークの認証サーバーを示す図である。
【図14】 企業内ネットワークの認証サーバーを示す図である。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,SD,SZ,UG,ZW),EA(AM ,AZ,BY,KG,KZ,MD,RU,TJ,TM) ,AL,AM,AT,AU,AZ,BA,BB,BG, BR,BY,CA,CH,CN,CU,CZ,DE,D K,EE,ES,FI,GB,GD,GE,GH,GM ,HR,HU,ID,IL,IS,JP,KE,KG, KP,KR,KZ,LC,LK,LR,LS,LT,L U,LV,MD,MG,MK,MN,MW,MX,NO ,NZ,PL,PT,RO,RU,SD,SE,SG, SI,SK,SL,TJ,TM,TR,TT,UA,U G,US,UZ,VN,YU,ZW Fターム(参考) 5J104 AA04 AA07 AA09 AA16 EA06 EA19 KA01 LA01 LA03 LA06 MA03 NA02 NA03 NA05 NA35 5K024 AA71 BB06 CC11 DD05 GG05 GG08 5K051 AA08 BB01 BB02 CC07 DD03 DD15 HH17 JJ16 5K067 AA21 BB04 CC04 DD17 EE02 EE10 EE16 HH24 HH36
Claims (27)
- 【請求項1】 加入者を含む遠隔通信ネットワークと、 前記遠隔通信ネットワークに接続される第1の構内データネットワークと、 データサービスを提供するサーバを含む第2の構内データネットワークとから
なり、 前記加入者が、前記遠隔通信ネットワークの認証手段により前記第1の構内デ
ータネットワークに関して認証される手段であって、 前記加入者の識別番号に加えて、前記第1の構内データネットワークの信頼性
コードと前記加入者の身元を含むメッセージとが付加され、前記信頼性コードが
前記第2の構内データネットワークに送信され、さらに、 前記第2の構内データネットワークにおいてメッセージを受信したことに応じ
て、 信頼性コードが検証され、 要求されたサービスに対して身元が確認されたユーザーの権利が検査され、さ
らに、 要求されたサービスに対してユーザに権利があれば、応答が生成され、前記第
1の構内データネットワークへ送られる、 ことを特徴とするデータ接続の機密保護を与える手段。 - 【請求項2】 前記遠隔通信ネットワークが、移動体通信ネットワークであ
ることを特徴とする請求項1に記載の手段。 - 【請求項3】 前記加入者の識別番号が、前記加入者のMSISDNナンバ
ーのような電話番号であることを特徴とする請求項1に記載の手段。 - 【請求項4】 前記信頼性コードが、メッセージ認証コードMACであるこ
とを特徴とする請求項1に記載の手段。 - 【請求項5】 前記信頼性コードが、デジタル署名であることを特徴とする
請求項1に記載の手段。 - 【請求項6】 前記加入者の識別番号が、前記第1の構内データネットワー
クに設置された認証サーバーにおいてデジタル署名されることを特徴とする請求
項5に記載の手段。 - 【請求項7】 前記識別番号が、前記認証サーバーの前記非公開キーを使っ
てデジタル署名されることを特徴とする請求項6に記載の手段。 - 【請求項8】 前記キーが、前記認証サーバーに付加されたキーデータベー
スに格納されていることを特徴とする請求項7に記載の手段。 - 【請求項9】 さらに前記加入者の識別番号が、前記第1の構内データネッ
トワークから前記第2のデータネットワークへと送られる前に公開キーによる暗
号化手法を用いて暗号化されることを特徴とする請求項1に記載の手段。 - 【請求項10】 前記加入者の識別番号が、前記第1の構内データネットワ
ークに設置された認証サーバーにおいて暗号化されることを特徴とする請求項9
に記載の手段。 - 【請求項11】 前記認証サーバーが、前記第2の構内データネットワーク
に設置され、前記識別番号が、前記第2の構内データネットワークの前記認証サ
ーバーの前記公開キーを使って暗号化されることを特徴とする請求項10に記載
の手段。 - 【請求項12】 前記キーが、前記第1の構内ネットワークの前記認証サー
バーに付加されたキーデータベースに格納されていることを特徴とする請求項1
1に記載の手段。 - 【請求項13】 前記認証サーバーが、前記第2の構内データネットワーク
に設置され、前記信頼性コードが検証され、要求されたサービスに対するユーザ
ーの権利が検査され、応答が前記認証サーバーにおいて生成されることを特徴と
する請求項1に記載の手段。 - 【請求項14】 前記認証サーバーが、前記第1の構内データネットワーク
に設置され、前記信頼性コードが前記第1の構内データネットワークの前記認証
サーバーの前記公開キーによって検証されることを特徴とする請求項13に記載
の手段。 - 【請求項15】 前記第1の構内データネットワークの前記認証サーバーの
前記公開キーが、前記第2の構内データネットワークの前記認証サーバーに付加
されたキーデータベースに格納されていることを特徴とする請求項14に記載の
手段。 - 【請求項16】 前記応答が、前記加入者と前記サーバー間で確立された接
続において、前記第1と第2の構内データネットワーク間の枝回路上での前記デ
ータ通信を暗号化するために使用されるセッションキーを含むことを特徴とする
請求項1に記載の手段。 - 【請求項17】 前記セッションキーを含む応答が、前記第2の構内データ
ネットワークにおいてデジタル署名されることを特徴とする請求項16に記載の
手段。 - 【請求項18】 前記認証サーバーが、前記第2の構内データネットワーク
に設置され、さらに前記セッションキーを含む前記応答が、前記認証サーバーの
前記非公開キーを用いて署名されることを特徴とする請求項17に記載の手段。 - 【請求項19】 前記認証サーバーが、前記第1の構内データネットワーク
に設置され、前記セッションキーを含む前記応答が、前記第1の構内データネッ
トワークの前記認証サーバーの前記公開キーを用いて暗号化されることを特徴と
する請求項16に記載の手段。 - 【請求項20】 前記認証サーバーが、前記第2の構内データネットワーク
に設置され、前記セッションキーを含む前記応答が、前記第2の構内データネッ
トワークの前記認証センターにおいて暗号化されることを特徴とする請求項18
に記載の手段。 - 【請求項21】 遠隔通信ネットワークから加入者の身元を受信するための
受信手段と、 前記加入者の身元に基づいて、第2の認証サーバーの身元を確認するために受
信手段に応答する確認手段と、 デジタル署名を生成するために前記受信手段に応答する署名手段と、 前記身元および前記署名を前記第2の認証サーバーへ送信する機能を有する、
前記受信手段、前記確認手段、および前記署名手段に応答する送信手段とをもつ
ことを特徴とする、遠隔通信ネットワークに接続されたデータネットワーク用認
証サーバー。 - 【請求項22】 前記認証サーバーが、さらに前記第2の認証サーバーの公
開キーを使用して前記身元を暗号化するために、前記受信手段と前記マッピング
手段とに応答する暗号化手段をもつことを特徴とする請求項21に記載の認証サ
ーバー。 - 【請求項23】 さらに前記認証サーバーが、 前記第2の認証サーバーからの暗号化セッションキーを受信するための第2の
受信手段と、 前記暗号化セッションキーを復号化するために、前記第2の受信手段に応答す
る復号化手段とをもつことを特徴とする請求項21に記載の認証サーバー。 - 【請求項24】 さらに前記認証サーバーが、前記セッションキーをもとに
して計算されたデジタル署名を検証するために前記第2の受信手段に応答する検
証手段をもつことを特徴とする請求項23に記載の認証サーバー。 - 【請求項25】 認証サーバーは 加入者の身元と、加入者の身元と加入者により要求されるサービスの識別番号
とから計算されるデジタル署名とを受信する受信手段と、 デジタル署名を検証するために受信手段に応答する検証手段と、 要求されたサービスに対する加入者の権利を検査するために受信手段に応答す
る検査手段と、 セッションキーを生成するために検査手段に応答する生成手段と、 セッションキーを暗号化するために生成手段に応答する暗号化手段と、および
、 暗号化されたメッセージを他の認証サーバーへ送るために暗号化手段に応答す
る送信手段、 とを有することを特徴とするデータネットワーク用認証サーバー。 - 【請求項26】 前記認証サーバーが、さらに前記認証サーバーの前記非公
開キーを用いて加入者の身元を復号化するために受信手段に応答する手段をもつ
ことを特徴とする請求項25に記載の認証サーバー。 - 【請求項27】 前記認証サーバーが、さらに前記認証サーバーの前記非公
開キーを用いて前記セッションキーに署名するために生成手段に応答する署名手
段をもつことを特徴とする請求項25に記載の認証サーバー。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FI974341A FI974341A (fi) | 1997-11-26 | 1997-11-26 | Datayhteyksien tietosuoja |
| FI974341 | 1997-11-26 | ||
| PCT/FI1998/000928 WO1999027678A2 (en) | 1997-11-26 | 1998-11-26 | Security of data connections |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001524777A true JP2001524777A (ja) | 2001-12-04 |
Family
ID=8550015
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000522701A Pending JP2001524777A (ja) | 1997-11-26 | 1998-11-26 | データ接続の機密保護 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US7542569B1 (ja) |
| EP (1) | EP1025675B1 (ja) |
| JP (1) | JP2001524777A (ja) |
| CN (1) | CN1280727A (ja) |
| AT (1) | ATE288159T1 (ja) |
| AU (1) | AU1240499A (ja) |
| CA (1) | CA2310329A1 (ja) |
| DE (1) | DE69828809T2 (ja) |
| FI (1) | FI974341A (ja) |
| WO (1) | WO1999027678A2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001203688A (ja) * | 2000-01-24 | 2001-07-27 | Kyocera Corp | 音声通信端末 |
| JP2004030611A (ja) * | 2002-04-30 | 2004-01-29 | Microsoft Corp | 通信パスワードをリモートで変更するための方法 |
| JP2006514447A (ja) * | 2002-04-26 | 2006-04-27 | トムソン ライセンシング | アクセスネットワーク間の相互接続における推移的認証・許可・課金 |
| JP2009044468A (ja) * | 2007-08-09 | 2009-02-26 | Nec Access Technica Ltd | 電話システム、電話装置、電話通信方法、及びそのプログラム |
| US8468354B2 (en) | 2002-06-06 | 2013-06-18 | Thomson Licensing | Broker-based interworking using hierarchical certificates |
Families Citing this family (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI974341A (fi) * | 1997-11-26 | 1999-05-27 | Nokia Telecommunications Oy | Datayhteyksien tietosuoja |
| CA2255285C (en) * | 1998-12-04 | 2009-10-13 | Certicom Corp. | Enhanced subscriber authentication protocol |
| US7010110B2 (en) * | 1999-03-31 | 2006-03-07 | Walker Digital, Llc | Method and apparatus for monitoring telephone status |
| KR20010004791A (ko) * | 1999-06-29 | 2001-01-15 | 윤종용 | 인터넷 환경의 이동통신시스템에서 사용자 정보 보안 장치 및그 방법 |
| WO2002021793A2 (en) * | 2000-09-08 | 2002-03-14 | Rivenet.Com, Inc. | System and method for encrypted message interchange |
| GB2369530A (en) * | 2000-11-24 | 2002-05-29 | Ericsson Telefon Ab L M | IP security connections for wireless authentication |
| WO2002102009A2 (en) | 2001-06-12 | 2002-12-19 | Research In Motion Limited | Method for processing encoded messages for exchange with a mobile data communication device |
| JP3926792B2 (ja) | 2001-06-12 | 2007-06-06 | リサーチ イン モーション リミテッド | モバイルデータ通信デバイスと交換するためのセキュアなeメールを圧縮するシステムおよび方法 |
| CN100410927C (zh) | 2001-06-12 | 2008-08-13 | 捷讯研究有限公司 | 证书管理和传送系统及方法 |
| BRPI0211093B1 (pt) | 2001-07-10 | 2016-09-06 | Blackberry Ltd | sistema e método para efetuar o cache de chave de mensagem segura em um dispositivo de comunicação móvel |
| US8019081B2 (en) | 2001-08-06 | 2011-09-13 | Research In Motion Limited | System and method for processing encoded messages |
| WO2003077581A1 (en) * | 2002-03-08 | 2003-09-18 | Sony Ericsson Mobile Communications Ab | Security protection for data communication |
| DE10213072A1 (de) | 2002-03-18 | 2003-10-09 | Siemens Ag | Verfahren zum Betrieb eines einem Mobilfunknetz zugeordneten Abrechnungssystems zur Abrechnung einer kostenpflichtigen Benutzung von Daten und Datenübertragungsnetz |
| DE10213073B4 (de) * | 2002-03-18 | 2006-11-23 | Siemens Ag | Verfahren zum Abrechnen einer kostenpflichtigen Benutzung von Daten und Datenübertragungsnetz |
| US7221757B2 (en) | 2002-08-15 | 2007-05-22 | Opentv, Inc. | Method and system for accelerated data encryption |
| WO2004017600A1 (en) * | 2002-08-15 | 2004-02-26 | Opentv, Inc. | Method and system for accelerated data encryption |
| US7272716B2 (en) | 2002-08-30 | 2007-09-18 | Sap Aktiengesellschaft | Enterprise secure messaging architecture |
| JP4647903B2 (ja) * | 2003-07-09 | 2011-03-09 | 株式会社東芝 | 情報通信装置、通信システム及びデータ伝送制御プログラム |
| CN1300976C (zh) * | 2004-01-16 | 2007-02-14 | 华为技术有限公司 | 一种网络应用实体获取用户身份标识信息的方法 |
| US9094429B2 (en) | 2004-08-10 | 2015-07-28 | Blackberry Limited | Server verification of secure electronic messages |
| JP2006079213A (ja) | 2004-09-07 | 2006-03-23 | Ntt Docomo Inc | 中継装置、認証サーバ及び認証方法 |
| KR100636318B1 (ko) * | 2004-09-07 | 2006-10-18 | 삼성전자주식회사 | CoA 바인딩 프로토콜을 이용한 어드레스 오너쉽인증방법 및 그 시스템 |
| CN1893355B (zh) * | 2005-07-05 | 2012-10-10 | 淘宝控股有限公司 | 一种网络用户端身份认证的方法及系统 |
| US7953971B2 (en) | 2005-10-27 | 2011-05-31 | Research In Motion Limited | Synchronizing certificates between a device and server |
| CN1753569B (zh) * | 2005-11-02 | 2010-05-12 | 中国移动通信集团公司 | 基于伪码的移动通信数据业务处理的系统和方法 |
| US8191105B2 (en) | 2005-11-18 | 2012-05-29 | Research In Motion Limited | System and method for handling electronic messages |
| US8355701B2 (en) | 2005-11-30 | 2013-01-15 | Research In Motion Limited | Display of secure messages on a mobile communication device |
| US7840207B2 (en) | 2005-11-30 | 2010-11-23 | Research In Motion Limited | Display of secure messages on a mobile communication device |
| US7814161B2 (en) | 2006-06-23 | 2010-10-12 | Research In Motion Limited | System and method for handling electronic mail mismatches |
| CN101150406B (zh) * | 2006-09-18 | 2011-06-08 | 华为技术有限公司 | 基于802.1x协议的网络设备认证方法及系统及相关装置 |
| US7949355B2 (en) | 2007-09-04 | 2011-05-24 | Research In Motion Limited | System and method for processing attachments to messages sent to a mobile device |
| CN101420687B (zh) * | 2007-10-24 | 2010-07-14 | 中兴通讯股份有限公司 | 一种基于移动终端支付的身份验证方法 |
| DE102011102489A1 (de) * | 2011-05-24 | 2012-11-29 | Vodafone Holding Gmbh | Verfahren und Vorrichtung zum Bereitstellen einer Indentifikationskennung eines elektronischen Endgeräts |
| US9558363B2 (en) * | 2014-05-30 | 2017-01-31 | Apple Inc. | Systems and methods of context based data access control of encrypted files |
| CN110062382B (zh) * | 2014-07-31 | 2024-09-17 | 创新先进技术有限公司 | 一种身份验证方法、客户端、中继设备及服务器 |
| CN106559402B (zh) * | 2015-09-30 | 2020-06-02 | 展讯通信(上海)有限公司 | 用户终端及其加密语音电话业务的身份认证方法及装置 |
| CN105635139B (zh) * | 2015-12-31 | 2019-04-05 | 深圳市安之天信息技术有限公司 | 一种防溢出攻击的文档安全操作与分析的方法及系统 |
| SG10201606061PA (en) * | 2016-07-22 | 2018-02-27 | Huawei Int Pte Ltd | A method for unified network and service authentication based on id-based cryptography |
| WO2019053376A1 (fr) * | 2017-09-15 | 2019-03-21 | Orange | Accès à un service avec authentification basée sur un terminal mobile |
| US11877218B1 (en) | 2021-07-13 | 2024-01-16 | T-Mobile Usa, Inc. | Multi-factor authentication using biometric and subscriber data systems and methods |
| CN115426138A (zh) * | 2022-08-14 | 2022-12-02 | 兰州理工大学 | LonTalk-SA协议认证方法 |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4262329A (en) * | 1978-03-27 | 1981-04-14 | Computation Planning, Inc. | Security system for data processing |
| EP0481121A1 (de) * | 1990-10-19 | 1992-04-22 | Siemens Aktiengesellschaft | Authentifizierung für verschlüsselte Kommunikation |
| US5204902A (en) * | 1991-09-13 | 1993-04-20 | At&T Bell Laboratories | Cellular telephony authentication arrangement |
| US5249230A (en) * | 1991-11-21 | 1993-09-28 | Motorola, Inc. | Authentication system |
| US5341499A (en) * | 1992-04-02 | 1994-08-23 | International Business Machines Corporation | Method and apparatus for processing multiple file system server requests in a data processing network |
| JP3105361B2 (ja) * | 1992-08-19 | 2000-10-30 | 日本電信電話株式会社 | 移動通信方式における認証方法 |
| JPH0697931A (ja) * | 1992-09-14 | 1994-04-08 | Fujitsu Ltd | パーソナル通信端末登録制御方式 |
| JP2942913B2 (ja) * | 1993-06-10 | 1999-08-30 | ケイディディ株式会社 | 相手認証/暗号鍵配送方式 |
| US5371794A (en) * | 1993-11-02 | 1994-12-06 | Sun Microsystems, Inc. | Method and apparatus for privacy and authentication in wireless networks |
| US5457737A (en) * | 1993-12-28 | 1995-10-10 | At&T Corp. | Methods and apparatus to verify the identity of a cellular mobile phone |
| FI114179B (fi) * | 1994-02-16 | 2004-08-31 | Teliasonera Finland Oyj | Menetelmä asiakkaiden tunnistamista varten |
| JPH07245605A (ja) * | 1994-03-03 | 1995-09-19 | Fujitsu Ltd | 暗号化情報中継装置とそれに接続される加入者端末装置ならびに暗号通信方法 |
| US5546463A (en) * | 1994-07-12 | 1996-08-13 | Information Resource Engineering, Inc. | Pocket encrypting and authenticating communications device |
| US5557678A (en) * | 1994-07-18 | 1996-09-17 | Bell Atlantic Network Services, Inc. | System and method for centralized session key distribution, privacy enhanced messaging and information distribution using a split private key public cryptosystem |
| GB9416595D0 (en) * | 1994-08-17 | 1994-10-12 | British Telecomm | User authentication in a communications network |
| WO1996033565A1 (en) * | 1995-04-21 | 1996-10-24 | Certicom Corp. | Method for signature and session key generation |
| US5809144A (en) * | 1995-08-24 | 1998-09-15 | Carnegie Mellon University | Method and apparatus for purchasing and delivering digital goods over a network |
| US5706347A (en) * | 1995-11-03 | 1998-01-06 | International Business Machines Corporation | Method and system for authenticating a computer network node |
| WO1997024831A1 (en) * | 1995-12-29 | 1997-07-10 | Mci Communications Corporation | Multiple cryptographic key distribution |
| US5850444A (en) * | 1996-09-09 | 1998-12-15 | Telefonaktienbolaget L/M Ericsson (Publ) | Method and apparatus for encrypting radio traffic in a telecommunications network |
| US6285991B1 (en) * | 1996-12-13 | 2001-09-04 | Visa International Service Association | Secure interactive electronic account statement delivery system |
| WO1998058476A1 (en) * | 1997-06-17 | 1998-12-23 | Telecom Wireless Solutions, Inc. | System and process for allowing wireless messaging |
| US6061796A (en) * | 1997-08-26 | 2000-05-09 | V-One Corporation | Multi-access virtual private network |
| FI974341A (fi) * | 1997-11-26 | 1999-05-27 | Nokia Telecommunications Oy | Datayhteyksien tietosuoja |
| KR100315641B1 (ko) * | 1999-03-03 | 2001-12-12 | 서평원 | 오티에이피에이를 위한 단말기와 시스템의 상호 인증 방법 |
| US6532290B1 (en) * | 1999-02-26 | 2003-03-11 | Ericsson Inc. | Authentication methods |
| US6829356B1 (en) * | 1999-06-29 | 2004-12-07 | Verisign, Inc. | Server-assisted regeneration of a strong secret from a weak secret |
| US7480939B1 (en) * | 2000-04-28 | 2009-01-20 | 3Com Corporation | Enhancement to authentication protocol that uses a key lease |
| FI114362B (fi) * | 2001-12-12 | 2004-09-30 | Setec Oy | Menetelmä laitteen salaisen avaimen ottamiseksi käyttöön toisessa laitteessa |
| CN1623348B (zh) * | 2002-01-24 | 2010-09-29 | 西门子公司 | 在移动网络环境中保护数据通信的方法 |
| WO2007106620A2 (en) * | 2006-03-10 | 2007-09-20 | Motorola, Inc. | Method for authenticating a mobile node in a communication network |
| GB2456107A (en) * | 2006-11-06 | 2009-07-08 | Dell Marketing Usa L P | A system and method for managing data across multiple environments |
-
1997
- 1997-11-26 FI FI974341A patent/FI974341A/fi unknown
-
1998
- 1998-11-26 DE DE69828809T patent/DE69828809T2/de not_active Expired - Lifetime
- 1998-11-26 AT AT98955634T patent/ATE288159T1/de not_active IP Right Cessation
- 1998-11-26 CN CN98811612A patent/CN1280727A/zh active Pending
- 1998-11-26 AU AU12404/99A patent/AU1240499A/en not_active Abandoned
- 1998-11-26 JP JP2000522701A patent/JP2001524777A/ja active Pending
- 1998-11-26 WO PCT/FI1998/000928 patent/WO1999027678A2/en active IP Right Grant
- 1998-11-26 CA CA002310329A patent/CA2310329A1/en not_active Abandoned
- 1998-11-26 EP EP98955634A patent/EP1025675B1/en not_active Expired - Lifetime
-
2000
- 2000-05-17 US US09/571,572 patent/US7542569B1/en not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001203688A (ja) * | 2000-01-24 | 2001-07-27 | Kyocera Corp | 音声通信端末 |
| JP2006514447A (ja) * | 2002-04-26 | 2006-04-27 | トムソン ライセンシング | アクセスネットワーク間の相互接続における推移的認証・許可・課金 |
| US7721106B2 (en) | 2002-04-26 | 2010-05-18 | Thomson Licensing | Transitive authentication authorization accounting in the interworking between access networks |
| JP2004030611A (ja) * | 2002-04-30 | 2004-01-29 | Microsoft Corp | 通信パスワードをリモートで変更するための方法 |
| US8468354B2 (en) | 2002-06-06 | 2013-06-18 | Thomson Licensing | Broker-based interworking using hierarchical certificates |
| JP2009044468A (ja) * | 2007-08-09 | 2009-02-26 | Nec Access Technica Ltd | 電話システム、電話装置、電話通信方法、及びそのプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| DE69828809D1 (de) | 2005-03-03 |
| WO1999027678A2 (en) | 1999-06-03 |
| CN1280727A (zh) | 2001-01-17 |
| US7542569B1 (en) | 2009-06-02 |
| FI974341A (fi) | 1999-05-27 |
| WO1999027678A3 (en) | 1999-08-12 |
| AU1240499A (en) | 1999-06-15 |
| DE69828809T2 (de) | 2005-12-22 |
| ATE288159T1 (de) | 2005-02-15 |
| CA2310329A1 (en) | 1999-06-03 |
| EP1025675B1 (en) | 2005-01-26 |
| EP1025675A2 (en) | 2000-08-09 |
| FI974341A0 (fi) | 1997-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2001524777A (ja) | データ接続の機密保護 | |
| US7734280B2 (en) | Method and apparatus for authentication of mobile devices | |
| FI117181B (fi) | Menetelmä ja järjestelmä käyttäjän identiteetin tunnistamiseksi | |
| KR100832893B1 (ko) | 무선 근거리 통신망으로 이동 단말의 보안 접근 방법 및 무선 링크를 통한 보안 데이터 통신 방법 | |
| EP1512307B1 (en) | Method and system for challenge-response user authentication | |
| US7610056B2 (en) | Method and system for phone-number discovery and phone-number authentication for mobile communications devices | |
| US8122250B2 (en) | Authentication in data communication | |
| US7840806B2 (en) | System and method of non-centralized zero knowledge authentication for a computer network | |
| EP0689316A2 (en) | Method and apparatus for user identification and verification of data packets in a wireless communications network | |
| US20040236965A1 (en) | System for cryptographical authentication | |
| JP2002541685A (ja) | 認証方法 | |
| US20080137859A1 (en) | Public key passing | |
| WO2003032575A2 (en) | Method and system for providing client privacy when requesting content from a public server | |
| WO1999025093A2 (en) | Secure handshake protocol | |
| JP2000083018A (ja) | 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法 | |
| JP2003503896A (ja) | エンティティの認証と暗号化キー生成の機密保護されたリンクのための方法と構成 | |
| CN112565302A (zh) | 基于安全网关的通信方法、系统及设备 | |
| CN114826659B (zh) | 一种加密通讯方法及系统 | |
| WO2005041532A1 (en) | Naming of 802.11 group keys to allow support of multiple broadcast and multicast domains | |
| CN213938340U (zh) | 5g应用接入认证网络架构 | |
| He et al. | An asymmetric authentication protocol for M-Commerce applications | |
| JP2006191429A (ja) | 集合型宅内ネットワークにおける認証方法及びシステム | |
| US20050216740A1 (en) | Method and apparatus for reducing the use of signalling plane in certificate provisioning procedures |