JP2002197064A - 認証サーバに対してネットワーク・アクセス・サーバを認証する方法 - Google Patents
認証サーバに対してネットワーク・アクセス・サーバを認証する方法Info
- Publication number
- JP2002197064A JP2002197064A JP2001323525A JP2001323525A JP2002197064A JP 2002197064 A JP2002197064 A JP 2002197064A JP 2001323525 A JP2001323525 A JP 2001323525A JP 2001323525 A JP2001323525 A JP 2001323525A JP 2002197064 A JP2002197064 A JP 2002197064A
- Authority
- JP
- Japan
- Prior art keywords
- password
- nas
- user
- network
- ras
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99951—File or database maintenance
- Y10S707/99952—Coherency, e.g. same view to multiple users
Abstract
バ間の認証方法を提供する。 【解決手段】 本方法は、ネットワークの少なくとも一
人のユーザと通信し、かつネットワークに結合された少
なくとも一つの遠隔認証サーバ(RAS)と通信する、
少なくとも一つのネットワーク・アクセス・サーバ(N
AS)を設けることを含む。ユーザ・パスワードを含む
アクセス要求メッセージは、ユーザからNASに送信さ
れる。NASは、NASとRASとの間の共用シークレ
ットでパスワードを暗号化する。次に、NASは、共用
シークレットを用いるメッセージ認証符号(MAC)を
暗号化パスワードに追加する。そして、暗号化パスワー
ドおよびMACはRASに送信される。RASは、暗号
化ユーザ・パスワードを解読する前に、MACを検証す
ることによってNASを認証する。
Description
ークに関し、さらに詳しくは、ネットワーク内のサーバ
間の認証方法に関する。
hree party network protocol)では、ネットワークから
離れたユーザはネットワーク・アクセス・サーバを介し
てダイアルアップ接続によりネットワークにアクセスす
る。すると、ネットワーク・アクセス・サーバは、ユー
ザがネットワークへのアクセスを取得する前に、機密化
データ(secured data)をセキュリティ・サーバまたは認
証サーバ(authentication server)に通信する。ネット
ワーク・アクセス・サーバは認証サーバに対するクライ
アントとして機能し、また、識別情報がランダム・チャ
レンジに対する応答によって表される毎に、ユーザから
の識別情報を暗号化ありで、あるいは暗号化なしで、セ
キュリティ・サーバに渡す。このようなプロトコルを利
用する典型的な構成では、セキュリティ・サーバは暗号
化されたユーザ識別情報を解読し、あるいはユーザ応答
を確認してユーザを検証する。識別情報が認識あるいは
認可されると、アクセス許可(access-accept)メッセー
ジまたはアクセス・チャレンジ(access challenge)メッ
セージがネットワーク・アクセス・サーバを介してユー
ザに返送される。識別情報が認識されなければ、アクセ
ス拒否(access-reject)メッセージが返送される。
来の信頼モデル(trust model)では、ネットワーク・ア
クセス・サーバを信頼し、それによりネットワーク・ア
クセス・サーバは自らを認証サーバに対して認証しな
い。認証サーバがネットワーク・アクセス・サーバから
アクセス要求メッセージを受信すると、即座に暗号解読
するか、あるいはユーザのパスワードまたは他の識別情
報を確認して、ユーザを検証する。ネットワーク・アク
セス・サーバの検証は行われない。
におけるネットワーク・アクセス・サーバおよび認証サ
ーバは、一般に両者間でシークレット値(secret value)
を共用する。ネットワーク・アクセス・サーバがユーザ
の識別情報を暗号化すると、ネットワーク・アクセス・
サーバは共用シークレット値でこれを暗号化し、暗号化
情報を認証サーバに送る。セキュリティ・サーバがこの
情報を受けると、サーバは、認可されたネットワーク・
アクセス・サーバを想定して、共用シークレットを利用
してデータを解読するか、あるいはその他の方法で確認
する。しかし、このような信頼構成では、ネットワーク
によって区別できない多数の異なる状況が生じうる。こ
のような三者プロトコル・ネットワークにおける認証サ
ーバは、認証サーバにとっては実質的に同じに見える以
下のいくつかの個別の事例を区別できない:(1)認可
されたネットワーク・アクセス・サーバが不正ユーザか
らの無効なパスワードを適切に暗号化し、これを認証サ
ーバに転送する場合;(2)不正あるいは偽称(imposte
r)ネットワーク・アクセス・サーバが、無効な共用シー
クレット値を利用するなどして、有効なユーザからの有
効なパスワードを不適切に暗号化し、これを認証サーバ
に転送する場合;および(3)偽称ネットワーク・アク
セス・サーバが、おそらくは無効な共用シークレット値
を利用して、不正ユーザからの無効なパスワードを不適
切に暗号化し、これを認証サーバに転送する場合。
可ユーザおよびパスワードのリストに対して検証する。
ただし、このようなネットワークでは、認証サーバはこ
れら3つの事例を区別できない。各事例において、サー
バは共用シークレット値を利用してデータを解読しよう
とする。第1の事例では、認証サーバは、解読したパス
ワードを認識しないので、ユーザが無効であると正しく
判断する。第2の事例では、情報は適切な共用情報を利
用して暗号化されていないので、サーバは情報を解読し
た後にはゴミ(junk)しか残らない。しかし、サーバは、
パスワードを認識しない時点で、ユーザは不正ユーザで
あるとそれでも判断する。サーバは偽称ネットワーク・
アクセス・サーバを認識せず、有効なユーザを認識しな
い。同様に、第3の事例では、サーバはゴミのみを受け
取り、ユーザのみが不正であると判断し、ネットワーク
・アクセス・サーバも偽称であると認識しない。そのた
め、不正あるいは偽称ネットワーク・アクセス・サーバ
がセキュリティ・サーバにアクセスしようとする場合
に、問題となる。
・サーバがネットワーク・アクセス情報を偽称クライア
ント・サーバに公開する前に、このような三者ネットワ
ーク・プロトコルにおけるネットワーク・アクセス・サ
ーバをセキュリティ・サーバに対して認証する方法が必
要になる。
おいてクライアント・サーバを認証あるいは検証する方
法に関する。このようなネットワークにおいて、一般に
遠隔ユーザは、ダイアルアップ接続を介して、アクセス
要求メッセージをネットワークのネットワーク・アクセ
ス・サーバ(NAS:network access server)または
クライアントに送信する。すると、NASはパスワード
を含むユーザ要求情報を暗号化し、このパスワードを暗
号化する際に共用シークレット値sを利用する。次に、
暗号化されたパスワードおよびアクセス要求は、NAS
を介して遠隔認証サーバ(RAS:remote authenticat
ion server)に送信され、RASは即座にパスワードを
解読して、ユーザ情報を検証する。本発明は、ユーザ・
パスワードを解読する前に、NASをRASに対して認
証する方法に関する。従って、本発明の方法は、RAS
が公正なユーザと不正なユーザとを区別し、また正当な
NASと偽称NASとを区別できるだけでなく、ユーザ
からの不適切な情報とNASからの不適切な情報とを区
別することを可能にする。
教示に基づいて用いるための通信ネットワークおよび各
通信リンクの一部を表すブロック図を示す。概して、図
1はネットワーク・ユーザ12,ネットワーク14,ダ
イアルアップ接続または通信リンク16,ネットワーク
・アクセス・サーバ(NAS)18および遠隔認証サー
バ(RAS)20を示す。NAS18およびRAS20
は、ネットワークの一部であっても、一部でなくてもよ
い。また、それぞれは一つの外部サービスの一部であっ
ても、あるいは当業者に周知なようにネットワーク14
にアクセスあるいは接続できる2つの異なる個別の外部
サービスの一部でもよい。ユーザ12は、遠隔位置から
ネットワーク14にアクセスを希望する場合が多い。ユ
ーザ12は、リンクまたは接続16を介してNAS18
にダイアルインすることにより、一般にこれを行うこと
ができる。三者プロトコルは、ユーザ12,NAS18
およびRAS20に対して指定される。NAS18は、
ユーザ12をネットワーク14の認可ユーザとして検証
するために、ユーザ認証情報をRAS20に送信する。
REQUESTメッセージを受信し、以下で一例にて詳
述するように、必要に応じてメッセージの少なくとも一
部を暗号化する。次に、NASは、暗号化した一部を含
むACCESS−REQUESTメッセージを、本明細
書ではRASという遠隔認証サーバ20に配信する。R
ASはメッセージの暗号化部分を解読して、ユーザがネ
ットワーク14の認可ユーザであるかどうかを検証す
る。一般に、ユーザがRASによって認可されているこ
とが検証されると、RASはACCESS−ACCEP
Tメッセージを返送し、ユーザが認可アクセスを有する
ネットワーク14の部分に対してアクセスすることを許
可する。あるシステムでは、RASはユーザ情報を検証
して、ACCESS−CHALLENGEメッセージを
送信し、ユーザの身元の証または認証をさらに必要とす
ることもある。本説明に限り、ユーザからのセキュリテ
ィ情報をユーザPASSWORD(P)という。ユーザ
12が最初にネットワーク14にアクセスを試みるか、
あるいはRASから返送されたACCESS−CHAL
LENGEに応答する場合であっても、本発明の方法は
適用され、セキュリティ情報は本明細書ではパスワード
Pという。
キュリティ・データを格納する必要から解放する。集中
型ユーザ・セキュリティ・データベースは、ユーザの機
密データベースに侵入しようとする不正ユーザによる攻
撃に対してネットワークを強化する。このような三者ネ
ットワーク・プロトコルは、当業者に周知である。
ーザ12,一つのNAS18および一つのRAS20に
ついてのみ本明細書では説明し、図1に図示する。ただ
し、多数の認可ユーザ12がネットワーク14にアクセ
スできることは周知である。また、NAS18などの多
数のクライアント・サーバがネットワーク14へのアク
セスを行うために利用可能であることは周知である。さ
らに、より大きなネットワークについてネットワーク1
4へのアクセスを有する2つ以上のRAS20を設ける
ことも知られている。多くの場合、多数の異なる認証サ
ーバ20がネットワーク14内に含まれ、ここで各RA
Sはネットワークの個別の部分について、あるいは指定
された認可ユーザのグループについて、異なる検証機能
を実施する。これらのネットワークでは、必要なアクセ
スの種類または要求されたデータ・アクセスの種類に応
じて、どのRASを利用すべきかをユーザ12が特定す
ることを許可することもある。
AS20に対してNAS18を認証するためのプロセス
または方法の一例のフロー図を示す。まず、ユーザ12
は、ブロック30に示すように、NASを介してネット
ワークにダイアルインする。ユーザは、ブロック32に
て、少なくともユーザのパスワードPを含むアクセス情
報を提出あるいは提供する。ブロック34にて、NAS
は、以下で共用シークレット値Sという、共用シークレ
ット値でPを暗号化する。共用シークレット値sは、N
AS18とRAS20との間で既知である。
リティおよび暗号の分野における当業者に周知なような
暗号キー(encryption key)として用いられるバイナリ列
である。また、共用シークレットは、RASとNASと
の間で共用される情報を機密化するために両者間で共用
されるほぼ任意の適切なキーでもよい。
説明するため、ユーザ・パスワードP=(p1,p
2,...,pi)であると仮定する。一例において、
各文字pは128ビット数である。このとき、Pの暗号
化により、次式によって識別される暗号化ユーザ・パス
ワードが得られる:
2c(i)) ここで、
(i)=biρpi 上式において、共用シークレット値sはNASとRAS
との間で共用されるキーである。RA項は開始ベクトル
(initiate vector)を表し、これはパスワードを暗号化
するためにNASによって生成される乱数でもよい。上
式はストリーム暗号(stream cipher encryption)の形式
で暗号アルゴリズムを表し、ここでキー・ストリーム
は、シード(seed)としての共用シークレット値sをシー
ド(seed)として利用して、MD5によって生成される。
MD5は暗号ハッシュ関数(cryptography hash functio
n)を表し、多くの異なる用途で利用されるIETF(Int
ernet Engineering Task Force)標準化されたハッシュ
関数である。当業者に明白なように、この例で用いられ
るハッシュ関数MD5は置き換えてもよく、また本発明
の範囲内で大幅に変更できる。
暗号化パスワードE(P)、すなわち以下では暗号文(c
iphertext)Cは、RAS20に送信される。RASは、
同じ関数および共用シークレット値sを利用してこの暗
号文を解読し、このパスワードが認可ユーザ12の認識
済みのパスワードであるかどうかを判定する。ただし、
NASが偽称NAS18xである場合、これは適切な共
用シークレット値sを把握していない。従って、偽称N
AS18xは不適切に暗号化されたパスワードを送信す
る。暗号文Cを解読する際に、RAS20は送信された
情報が不正ユーザ12xからの不適切なパスワード、も
しくは不適切なシークレット値を用いて偽称または不正
NAS18xによって送信された適正ユーザ12からの
適切なパスワードを含んでいるかどうかを判断するすべ
がない。
に理解される。ブロック36にて、次にNAS18はメ
ッセージ認証符号(MAC:message authentication c
ode)を暗号文Cに追加する。NAS18の有効性また
は認証は、この独立したステップにより、以下で説明す
るようにRAS20によって検出できる。
ーザ・パスワード暗号文Cに追加される。まず最初に、
MACは、RASが暗号文Cの解読を実施する前に、R
AS20に対してNAS18または18xを識別する。
一例において、ユーザ・パスワードPの暗号文Cのみを
RASに送信する代わりに、NASはMACを以下のよ
うに追加する:
パスワードのMACである。本発明の教示による一例で
は、c(i+1)は次式から導出される:
(2)2...2c(i)) もしくは、別の例では、c(i+1)は次式から導出さ
れる:
(2)2...2c(i)2SQN) ここで、SQNは、以下で詳述するような「返信攻撃対
策(anti-reply attack)」の目的のためにMACに追加
される任意のカウント数または連番(sequencingnumber)
を表す。
で既知である共用シークレット値sは、暗号化ユーザ・
パスワードまたは暗号文Cに追加されるMACを生成す
るために用いられることは明白である。さらに、ここで
もMD5は、共用シークレット値sをシードとして利用
してキー・ストリームを生成するために用いられるハッ
シュ関数を表す。SQNカウント数または連番は、各送
信を固有に識別するために、NASからRASに送信さ
れる情報に追加できる。「返信(reply)」攻撃とは、認
可済みの人物になりすましてネットワークにアクセスす
るために、認可済みの人物から送信されたメッセージを
返信できる偽称または不正人物による攻撃のことであ
る。一例として、偽称NASは認可NASからの暗号化
Pに追加されたMACを傍受し、これをRASに送信し
て、RASから検証を取得し、この同一パスワードPを
利用してネットワークにアクセスできる。連番またはカ
ウント数を追加することは、送信中のメッセージが「フ
レッシュ」なメッセージであるかどうかをRASに通知
する。偽称者は、「返信」方法を用いたとしても、古い
SQNが追加されたMACを送信することになる。この
不正送信は、RASによって容易に認識される。
8はMACをRAS20に送信し、またブロック40に
示すように、まずRASは、共用シークレット値sを、
また任意で、連番SQNを利用して、MACを検証す
る。クライアントNASから受信したMACを検証した
後、RAS20には、ブロック42に示すようにMAC
情報を検出した結果に応じて、いくつかのオプションが
ある。c(i+1)が暗号化パスワードまたは暗号文C
の適切なMACではないとRAS20が判断した場合、
RASはユーザ・パスワードPをさらに解読しない。こ
れは、クライアントNASがNAS18xのような偽称
クライアント・サーバであることをRASに通知する。
偽称NASは共用シークレット値sを推測できず、その
ため不適切なMACを生成する。なぜならば、偽称NA
Sは適切なメッセージ認証符号すなわちMACを暗号文
Cに追加できないためである。このような場合、RAS
20は、NAS認証が失敗し、ネットワークへのアクセ
スが拒否された旨のメッセージをNASに返送する。こ
れは、ブロック44に示される。
ACを検証し、上例のように適切なc(i+1)を受信
すると、RASは有効なNAS18を認識する。適切な
MACに達すると、RAS20は、ブロック46に示す
ように、共用シークレット値sを利用し、暗号文Cを解
読することによって、ユーザ・パスワードPを解読す
る。ブロック48にて、RAS20は解読済みPをRA
Sに格納されたデータのリストと比較し、アクセスを要
求しているユーザを検証する。
は、ユーザが不正ユーザ12xのように無効であるまた
は不正であることを示す不適切なユーザ・パスワードの
こともある。このような場合、RASは、ユーザが不認
可であり、この理由によりネットワーク14へのアクセ
スが拒否された旨のACCESS−REJECTメッセ
ージをNAS18に返送する。このとき、NAS18は
アクセスが拒否された旨をユーザ12xに通知する。
Pが有効であり、ユーザ12がネットワーク14の認可
ユーザであることを判断する。このような場合、RAS
は、ACCESS−ACCEPTメッセージを送信する
ことによってNAS18に通知し、NASはユーザ12
に許可を通知する。これらの状況では、ユーザ12は、
ブロック54に示すように、パスワードによって識別さ
れた特定のユーザに対して許可される全てのアクセス権
を含む、ネットワーク14へのアクセスを取得する。
RAS20によって検出される場合の、本発明による三
者プロトコル用の通信プロトコルを概略的に示す。同様
に、図4は、RAS20が有効または認可NAS18を
検出した場合の、本発明による三者プロトコルを示す。
本発明を利用することにより、RASは有効NAS18
と、無効NAS18xと、有効ユーザ12と、無効ユー
ザ12xとを区別できる。
ト・サーバをネットワークの特定のプロトコル内でネッ
トワークのRASまたは認証サーバに対して認証できる
という点で特に有利である。本発明の方法を利用するこ
とにより、MD5の計算は、パスワードPが128xi
ビット未満である場合、i倍から(i+1)倍にしか増
加しない。従って、NASを個別に識別するためのRA
Sの追加暗号は、このような状況では128ビットのみ
しか増加しない。さらに、本発明を利用することは、特
定のネットワーク用の元のメッセージ・プロトコル形式
のいずれも変更する必要はない。
定のプロトコルは変更可能であり、本発明の範囲内であ
る。本発明の方法は、ユーザ,ネットワーク・アクセス
・サーバおよび遠隔認証サーバを含む三者プロトコルを
利用する任意のネットワークに適している。また、任意
の特定のパスワード形成のために用いられる特定の暗号
および解読アルゴリズム,サーバ間の共用シークレット
値,MACを計算するためのアルゴリズム等も、大幅に
変更可能である。一例では、遠隔認証ダイアルイン・ユ
ーザ・サービス(RADIUS:Remote Authenticatio
n Dial In UserService)プロトコルとして知られるコ
ンピュータ・ネットワーク・プロトコルは、三者プロト
コルを利用する。ユーザはクライアント・サーバまたは
NASにダイアルインし、一方、このNASは本明細書
で説明したようなRASとして機能するRADIUSサ
ーバと通信する。他のこのようなネットワーク構成も、
本発明のサーバ対サーバ認証方法に特に適している。
めにのみ行ったものであり、また修正が当業者に明白で
あるように、そこから何ら必要な制限がわかるものでは
ない。
トワークおよび各通信リンクの一部を示すブロック図で
ある。
に対してネットワーク・アクセス・サーバを認証するた
めのプロセスを示すフロー図である。
バとして遠隔サーバによって拒否された場合の、図1に
示す通信ネットワークを示す概略図である。
として遠隔サーバによって許可された場合の、図1に示
す通信ネットワークを示す概略図である。
Claims (10)
- 【請求項1】 三者ネットワーク認証プロトコルにおけ
るサーバ間の認証方法であって:ネットワークの少なく
とも一人のユーザと通信し、前記ネットワークに結合さ
れた少なくとも一つの遠隔認証サーバ(RAS)と通信
する少なくとも一つのネットワーク・アクセス・サーバ
(NAS)を準備する段階;ユーザ・パスワードを含む
アクセス要求メッセージを前記少なくとも一人のユーザ
から前記NASに送信する段階;前記NASと前記RA
Sとの間で共用される秘密情報を利用して、暗号化され
たパスワードを前記NASにて生成する段階;前記NA
Sにおいてメッセージ認証符号を前記暗号化されたパス
ワードに付加する段階;前記暗号化されたパスワードお
よびメッセージ認証符号を前記RASに送信する段階;
および暗号化されたユーザ・パスワードを解読する前
に、前記メッセージ認証符号を前記RASにて検証する
ことにより、前記NASを認証する段階;からなること
を特徴とする方法。 - 【請求項2】 メッセージ認証符号を付加する前記段階
は:前記暗号化されたパスワードおよび前記共用される
秘密情報から前記メッセージ認証符号を生成する段階;
をさらに含んでなることを特徴とする請求項1記載の方
法。 - 【請求項3】 請求項1記載の方法であって:前記メッ
セージ認証符号を算出するための入力の一部として、固
有の連番を利用する段階;をさらに含んでなることを特
徴とする請求項1記載の方法。 - 【請求項4】 前記送信する段階は:前記NASから前
記RASに送信されるネットワーク・アクセス要求メッ
セージに前記メッセージ認証符号を追加する段階;をさ
らに含んでなることを特徴とする請求項1記載の方法。 - 【請求項5】 前記パスワードPは文字群P=(p1,
p2,...,pi)からなり、メッセージ認証符号を
付加する前記段階は、暗号化されたパスワードE(P)
=(c(1)2c(2)2...2c(i))のメッセ
ージ認証符号c(i+1)を生成する段階より成り、i
は前記パスワードにおける文字数であるところの請求項
1記載の方法。 - 【請求項6】 三者通信ネットワーク・プロトコルにお
ける認証方法であって:ネットワークの特定のユーザを
識別するためにユーザ・パスワードを割当てる段階;前
記ユーザ・パスワードを含むアクセス要求メッセージ
を、前記ユーザから前記ネットワークのネットワーク・
アクセス・サーバ(NAS)に配信する段階;前記NA
Sと前記ネットワークの遠隔認証サーバ(RAS)との
間で共用される共用秘密情報を利用して、暗号化ユーザ
・パスワードを前記NASにて生成する段階;前記共用
秘密情報を利用して、個別のメッセージ認証符号を前記
NASにて発生する段階;前記メッセージ認証符号を前
記暗号化パスワードに追加する段階;前記暗号化パスワ
ードと前記メッセージ認証符号とを含むアクセス要求メ
ッセージを前記RASに送信する段階;および前記暗号
化パスワードを解読する前に、前記メッセージ認証符号
を前記RASにて検証することにより、前記NASを認
証する段階;からなることを特徴とする方法。 - 【請求項7】 前記発生する段階は、前記共用秘密情報
を利用して前記暗号化パスワードから前記メッセージ認
証符号を発生する段階を含むことを特徴とする請求項6
記載の方法。 - 【請求項8】 請求項6記載の方法であって:前記メッ
セージ認証符号を算出するための入力の一部として、固
有の連番を利用する段階;をさらに含んでなることを特
徴とする請求項6記載の方法。 - 【請求項9】 前記送信する段階は:前記NASから前
記RASに送信されるネットワーク・アクセス要求メッ
セージに、前記メッセージ認証符号および暗号化パスワ
ードを追加する段階;をさらに含んでなることを特徴と
する請求項6記載の方法。 - 【請求項10】 前記パスワードPは文字群P=(p
1,p2,...,pi)からなり、メッセージ認証符
号を追加する前記段階は、E(P)=(c(1)2c
(2)2...2c(i))であり、iは前記パスワー
ドにおける文字数であり、暗号化パスワードE(P)の
メッセージ認証符号c(i+1)を生成する段階をさら
に含んでなることを特徴とする請求項6記載の方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/695,554 US6732270B1 (en) | 2000-10-23 | 2000-10-23 | Method to authenticate a network access server to an authentication server |
US695554 | 2000-10-23 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2002197064A true JP2002197064A (ja) | 2002-07-12 |
Family
ID=24793488
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001323525A Pending JP2002197064A (ja) | 2000-10-23 | 2001-10-22 | 認証サーバに対してネットワーク・アクセス・サーバを認証する方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US6732270B1 (ja) |
JP (1) | JP2002197064A (ja) |
DE (1) | DE10151277A1 (ja) |
GB (1) | GB2371957B (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006054694A (ja) * | 2004-08-12 | 2006-02-23 | Nec Access Technica Ltd | ネットワーク接続方法及びシステム、ネットワーク接続用プログラム |
US8898746B2 (en) | 1997-06-11 | 2014-11-25 | Prism Technologies Llc | Method for managing access to protected computer resources |
Families Citing this family (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
HU0101106D0 (en) * | 2001-03-14 | 2001-05-28 | Tozai Trading Corp | Id alsorithm |
US7469341B2 (en) * | 2001-04-18 | 2008-12-23 | Ipass Inc. | Method and system for associating a plurality of transaction data records generated in a service access system |
US20030065919A1 (en) * | 2001-04-18 | 2003-04-03 | Albert Roy David | Method and system for identifying a replay attack by an access device to a computer system |
US7921290B2 (en) * | 2001-04-18 | 2011-04-05 | Ipass Inc. | Method and system for securely authenticating network access credentials for users |
US20040139204A1 (en) * | 2001-04-23 | 2004-07-15 | Siegried Ergezinger | Architecture for providing services in the internet |
WO2003010669A1 (en) * | 2001-07-24 | 2003-02-06 | Barry Porozni | Wireless access system, method, signal, and computer program product |
JP4237055B2 (ja) * | 2001-09-28 | 2009-03-11 | ファイバーリンク コミュニケーションズ コーポレーション | クライアント側網アクセス・ポリシー及び管理アプリケーション |
US20030093680A1 (en) * | 2001-11-13 | 2003-05-15 | International Business Machines Corporation | Methods, apparatus and computer programs performing a mutual challenge-response authentication protocol using operating system capabilities |
US20040003081A1 (en) * | 2002-06-26 | 2004-01-01 | Microsoft Corporation | System and method for providing program credentials |
WO2004015958A2 (en) * | 2002-08-12 | 2004-02-19 | Wireless Security Corporation | Fine grained access control for wireless networks |
US7516487B1 (en) | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
US7523485B1 (en) | 2003-05-21 | 2009-04-21 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
US8606885B2 (en) * | 2003-06-05 | 2013-12-10 | Ipass Inc. | Method and system of providing access point data associated with a network access point |
US20040255154A1 (en) * | 2003-06-11 | 2004-12-16 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus |
US7876772B2 (en) * | 2003-08-01 | 2011-01-25 | Foundry Networks, Llc | System, method and apparatus for providing multiple access modes in a data communications network |
EP1654827A4 (en) * | 2003-08-15 | 2009-08-05 | Fiberlink Comm Corp | SYSTEM, METHOD, APPARATUS AND SOFTWARE PRODUCT FACILITATING DIGITAL COMMUNICATIONS |
US7735114B2 (en) * | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
US7774833B1 (en) | 2003-09-23 | 2010-08-10 | Foundry Networks, Inc. | System and method for protecting CPU against remote access attacks |
US8528071B1 (en) * | 2003-12-05 | 2013-09-03 | Foundry Networks, Llc | System and method for flexible authentication in a data communications network |
US7539862B2 (en) * | 2004-04-08 | 2009-05-26 | Ipass Inc. | Method and system for verifying and updating the configuration of an access device during authentication |
JP4009273B2 (ja) * | 2004-05-19 | 2007-11-14 | 松下電器産業株式会社 | 通信方法 |
US7725589B2 (en) * | 2004-08-16 | 2010-05-25 | Fiberlink Communications Corporation | System, method, apparatus, and computer program product for facilitating digital communications |
US20060236385A1 (en) * | 2005-01-14 | 2006-10-19 | Citrix Systems, Inc. | A method and system for authenticating servers in a server farm |
US8151112B2 (en) * | 2005-04-22 | 2012-04-03 | Gerard Lin | Deliver-upon-request secure electronic message system |
US9032215B2 (en) * | 2005-06-15 | 2015-05-12 | Nokia Corporation | Management of access control in wireless networks |
JP4728740B2 (ja) * | 2005-08-23 | 2011-07-20 | Necディスプレイソリューションズ株式会社 | 電子ペン、電子黒板システム、およびプロジェクタシステム |
US20070055752A1 (en) * | 2005-09-08 | 2007-03-08 | Fiberlink | Dynamic network connection based on compliance |
US20070143851A1 (en) | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
US20070143827A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Methods and systems for intelligently controlling access to computing resources |
US8494169B2 (en) * | 2008-08-29 | 2013-07-23 | Red Hat, Inc. | Validating encrypted archive keys |
ES2403280T3 (es) | 2008-09-10 | 2013-05-17 | Nec Corporation | Método para rehabilitar la limitación del acceso de servicio |
US8799165B2 (en) * | 2012-01-11 | 2014-08-05 | Rawllin International Inc. | Electronic signature security algorithms |
US10057224B2 (en) * | 2015-08-04 | 2018-08-21 | Rubicon Labs, Inc. | System and method for initializing a shared secret system |
US11290466B2 (en) * | 2017-08-16 | 2022-03-29 | Cable Television Laboratories, Inc. | Systems and methods for network access granting |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5491752A (en) * | 1993-03-18 | 1996-02-13 | Digital Equipment Corporation, Patent Law Group | System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens |
US6694429B1 (en) * | 1998-08-04 | 2004-02-17 | At&T Corp. | Method for establishing call state information without maintaining state information at gate controllers |
US6633980B1 (en) * | 1999-06-14 | 2003-10-14 | Sun Microsystems, Inc. | Computing device communication with replay protection |
US6701439B1 (en) * | 1999-06-30 | 2004-03-02 | Lucent Technologies Inc. | Call rejection interface for internet protocols |
US7047408B1 (en) * | 2000-03-17 | 2006-05-16 | Lucent Technologies Inc. | Secure mutual network authentication and key exchange protocol |
AU7001201A (en) * | 2000-06-22 | 2002-01-02 | Mastercard International Inc | An improved method and system for conducting secure payments over a computer network without a pseudo or proxy account number |
US6691227B1 (en) * | 2000-09-08 | 2004-02-10 | Reefedge, Inc. | Location-independent packet routing and secure access in a short-range wireless networking environment |
-
2000
- 2000-10-23 US US09/695,554 patent/US6732270B1/en not_active Expired - Lifetime
-
2001
- 2001-10-22 JP JP2001323525A patent/JP2002197064A/ja active Pending
- 2001-10-22 DE DE10151277A patent/DE10151277A1/de not_active Withdrawn
- 2001-10-22 GB GB0125301A patent/GB2371957B/en not_active Expired - Lifetime
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8898746B2 (en) | 1997-06-11 | 2014-11-25 | Prism Technologies Llc | Method for managing access to protected computer resources |
US9369469B2 (en) | 1997-06-11 | 2016-06-14 | Prism Technologies, L.L.C. | Method for managing access to protected computer resources |
US9413768B1 (en) | 1997-06-11 | 2016-08-09 | Prism Technologies Llc | Method for managing access to protected computer resources |
US9544314B2 (en) | 1997-06-11 | 2017-01-10 | Prism Technologies Llc | Method for managing access to protected computer resources |
JP2006054694A (ja) * | 2004-08-12 | 2006-02-23 | Nec Access Technica Ltd | ネットワーク接続方法及びシステム、ネットワーク接続用プログラム |
Also Published As
Publication number | Publication date |
---|---|
US6732270B1 (en) | 2004-05-04 |
GB2371957B (en) | 2003-03-26 |
GB0125301D0 (en) | 2001-12-12 |
DE10151277A1 (de) | 2002-06-13 |
GB2371957A (en) | 2002-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6732270B1 (en) | Method to authenticate a network access server to an authentication server | |
CN109728909B (zh) | 基于USBKey的身份认证方法和系统 | |
US5418854A (en) | Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system | |
US6826686B1 (en) | Method and apparatus for secure password transmission and password changes | |
US9197411B2 (en) | Protocol and method for client-server mutual authentication using event-based OTP | |
EP1697818B1 (en) | Authentication system for networked computer applications | |
US6993652B2 (en) | Method and system for providing client privacy when requesting content from a public server | |
US7992193B2 (en) | Method and apparatus to secure AAA protocol messages | |
US7975139B2 (en) | Use and generation of a session key in a secure socket layer connection | |
JP4847322B2 (ja) | 二重要素認証されたキー交換方法及びこれを利用した認証方法とその方法を含むプログラムが貯蔵された記録媒体 | |
KR101265873B1 (ko) | 분산된 단일 서명 서비스 방법 | |
CN111512608B (zh) | 基于可信执行环境的认证协议 | |
US20030115452A1 (en) | One time password entry to access multiple network sites | |
CN110020524B (zh) | 一种基于智能卡的双向认证方法 | |
JPH05344117A (ja) | 相手認証/暗号鍵配送方式 | |
US10701070B2 (en) | Personalized security system | |
US20220116385A1 (en) | Full-Duplex Password-less Authentication | |
KR20080050040A (ko) | 사용자 인증 방법 | |
CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
JPH0981523A (ja) | 認証方法 | |
KR100381710B1 (ko) | 회원제 운용 인터넷 서버의 보안 방법 및 그에 관한 서버시스템 | |
AU2002259074B2 (en) | Use and generation of a session key in a secure socket layer connection | |
Dippel et al. | AUTHENTICATION OF COMPUTER COMMUNICATIONS | |
Harkut et al. | A review on single sign-on mechanism for distributed computing | |
Khairy et al. | A Modified Kerberos Authentication Scheme Using Public Key Cryptography |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040519 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070116 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070117 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070122 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070927 |