JP2008529368A - 通信システムにおけるユーザ認証及び認可 - Google Patents

通信システムにおけるユーザ認証及び認可 Download PDF

Info

Publication number
JP2008529368A
JP2008529368A JP2007552532A JP2007552532A JP2008529368A JP 2008529368 A JP2008529368 A JP 2008529368A JP 2007552532 A JP2007552532 A JP 2007552532A JP 2007552532 A JP2007552532 A JP 2007552532A JP 2008529368 A JP2008529368 A JP 2008529368A
Authority
JP
Japan
Prior art keywords
server
authentication
client
challenge
session key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007552532A
Other languages
English (en)
Other versions
JP4643657B2 (ja
Inventor
ヴェサ, マッティ トルヴィネン,
ヴェサ, ペッテリ レトヴィルタ,
モニカ ウィフヴェッソン,
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2008529368A publication Critical patent/JP2008529368A/ja
Application granted granted Critical
Publication of JP4643657B2 publication Critical patent/JP4643657B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Abstract

通信ネットワークを介して2つ以上のサーバに接続されているクライアントを認証する方法である。ここで、クライアントと第1サーバは、共有シークレットを保有している。この方法は、共有シークレットを使用して第1サーバに対するクライアントを認証し、第2サーバを介して、クライアントと第1サーバ間で行われる認証に係る処理に関係するシグナリングを実行し、クライアントと第1サーバでセッションキーを生成し、そのセッションキーを第2サーバへ提供し、セッションキーを使用して、第2サーバに対するクライアントを認証する。

Description

発明の分野
本発明は、通信システムにおけるユーザ認証及び認可に関するものであり、特に、通信システムのネットワークアプリケーション機能に対するユーザを認証及び認可するための方法及び装置に関するものである。
発明の背景
GSMのような既存の第2世代セルラー無線通信システムは、第3世代システムによって補完される処理下にあり、また、第3世代システムに置き換わるもののいくつかに向けられている。これらは、ユニバーサル移動体電気通信システム(UMTS)として知られる3Gシステムを含んでいる。セキュリティは、UMTS規格のキー要素であり、また、第2世代システムのセキュリティよりも優れるものとなることが意図されていて、それと同時に、GSMからUMTSへの移動、及びGSMアクセスネットワークとUMTSアクセスネットワーク間のハンドオーバの両方を容易にするためにGSMとの互換性を保証している。UMTS(3G TS33.102参照)用の認証及びキーアグリーメント(AKA)プロトコルの設計は、少なくとも、アクセスネットワークに対する加入者の認証及び無線リンクを介するユーザデータの安全の確保に関する目的を満足することが意図されている。
AKAプロトコルは、3つの通信パーティ、即ち、ユーザのホーム環境(HE)の認証局(AuC)、ユーザの在圏ネットワーク(SN)のビジターロケーションレジスタ(VLR)、及び自身のUMTS加入者アイデンティティモジュール(USIM)によって示されるユーザ自身に関与する。シークレットキーは、AuCとUSIMによって共有される。HEによる認証データリクエストの受信に続いて、AuCは、(n)認証ベクトル配列を生成する。この配列はSNへ送信され、ユーザによるn回の認証の試行に適している。SNは、配列内の次のベクトルを選択し、そのベクトルのコンポーネント群をUSIMへ送信する。これらは、USIMに、SNを検証し、セッションキーを計算し、そして応答を生成することを可能にする。その応答はSNへ返答され、SNは、その応答と、選択されているベクトルに含まれている期待応答とを比較する。それらがマッチする場合、SNは、認証交換は正常に完了していると仮定する。確立されているセッションキーは、USIMによってユーザの移動機器に送信され、また、VLRによってUMTS無線アクセスネットワーク(UTRAN)の在圏無線ネットワークコントローラ(RNC)へ送信される。これによって、無線リンクを介して送信されるデータの暗号化を可能にする。
ネットワークレベルではなく、アプリケーションレベルで認証及び認可が必要とされる場合が存在する。いくつかの場合、アプリケーションレイヤでのデータの暗号化が望ましいあるいは必要とされる場合がある。例えば、暗号化ビデオデータがウェブサーバからブロードキャストサービスの加入者へ「ブロードキャスト」される場合を検討してみる。加入者は、まず、ウェブサーバに対して自身を認証しなければならない。その後、加入者には、ブロードキャストデータを解読するためのキーが提供される。アプリケーションレイヤのセキュリティを容易にする完全に別のメカニズムを提供するのではなく、このセキュリティが、AuC、USIM及び3GPP AKAプロトコルを含む3GPP認証基盤上で「ブートストラップ(bootstrapped)」されることを可能にするための提案がなされている。この方法は、少なくとも最初に、ネットワーク側のアプリケーション機能がアクセスネットワークオペレータの制御下にあるが、アクセスネットワークオペレータと、アプリケーション機能が配置されているネットワークのオペレータ間にいくつかの信頼関係が存在している場合は必要とされないことを見込んでいる。
3GPP TS 33.220は、認証のブートストラップ用の汎用ブートストラップアーキテクチャ(GBA)と、3GPP AKAメカニズム上のアプリケーションセキュリティ用のキーアグリーメント処理を記載している。新規の処理は、ユーザのHEに配置されているブートストラップサーバ機能(BSF)として知られる機能に基づくネットワークを導入している。BSFは、ホーム加入者サブシステム(HSS)であるAuCと通信して、リクエストに応じて、認証ベクトルを取得する。BSFとHSS間のインタフェースは、Zhインタフェースとして知られている。ネットワーク側のアプリケーション機能を実現する機能エンティティは、ネットワークアプリケーション機能(NAF)と呼ばれている。NAFは、Znインタフェースを介してBSFと通信する(例えば、DIAMETERプロトコルを使用して)。ユーザ機器(UE)とBSF間のインタフェース及びユーザ機器(UE)とNAF間のインタフェースはそれぞれUbインタフェース及びUaインタフェースと呼ばれ、これらは、ハイパーテキスト転送プロトコル(HTTP)を利用する。
UEが、GBAが、与えられるNAFで使用されることを確認し、かつ必要なキーがまだ存在していないことを確認すると想定すると、UEは、まず、Ubインタフェースを介して、BSFとのHTTPダイジェストAKAメカニズムを開始しなければならない。(この処理の一部として、BSFは、HSSから取得されるベクトルを変更しても良い。)その結果、UEは、BSFによって認証され、また、必要なセキュリティキーが提供される。加えて、UEには、トランザクション識別子(TI)が提供される。このTIは、Uaインタフェースを介して、UEによってNAFへ提供される。NAFは、そのTIをBSFへ送信し、一方で、関係するセキュリティキーを受信する。UEとNAFは、安全な方法でUaインタフェースを使用することができる。
Ubインタフェースの使用が頻繁にあることが予想されないととはいえ(注、同一のキーイング(keying:キー生成)要素はいくつかの異なるNAFを用いて再使用され得る。ここで、各新規のNAFは、共通のTIを使用してBSFからキーイング要素をリクエストする)、それが使用される場合、時間がかかる。例えば、10回のラウンドトリップには、HTTPダイジェストがUaインタフェース上で使用されることが想定されることを含んでいる。また、UEは、NAFとBSFとの両方と通信するために、2つの別のトランスポートレイヤ接続を使用しなければならず、その結果、ハイレベルのトランスポートレイヤリソースをもたらすことになる。
発明の要約
本発明の目的は、上述の欠点を解消するあるいは少なくとも軽減することである。これらの目的は、1つのインタフェースに2つのインタフェースを組み込み、認可及び認証処理を平行して実行することを可能にすることによって達成される。
本発明の第1の構成に従えば、通信ネットワークを介して、2つ以上のサーバに接続されているクライアントを認証する方法が提供される。ここで、前記クライアントと第1サーバは、共有シークレットを保有している。この方法は、
前記共有シークレットを使用して第1サーバに対する前記クライアントを認証し、第2サーバを介して、前記クライアントと前記第1サーバ間で行われる認証に係る処理に関係するシグナリングを実行し、
前記クライアントと前記第1サーバでセッションキーを生成し、そのセッションキーを前記第2サーバへ提供し、
前記セッションキーを使用して、前記第2サーバに対する前記クライアントを認証する。
好ましくは、本方法は、前記第1サーバに対する前記第2サーバを認証し、その認証処理後に、前記第1サーバから前記第2サーバへ前記セッションキーを提供する。
本発明の第2の構成に従えば、通信システム内の認証サーバを操作する方法が提供される。この方法は、
クライアントと更なる認証サーバ間の認証に係るシグナリングと、前記クライアントと前記更なる認証サーバが共有するシークレットとを中継し、
前記更なる認証サーバからセッションキーを受信し、前記セッションキーを使用して前記クライアントを認証する。
本発明の第3の構成に従えば、通信システム内の認証サーバを操作する方法が提供される。この方法は、
クライアントの認証のために、更なるサーバを介して前記クライアントとシグナリングを交換し、
前記クライアントと前記認証サーバ間で共有されるシークレットを使用して、セッションキーを生成し、
前記セッションキーを前記更なるサーバへ送信する。
本発明の第4の構成に従えば、通信ネットワークに接続されているクライアントを操作する方法が提供される。この方法は、
第1サーバに対する前記クライアントを認証するために、第2サーバを介して前記第1サーバとシグナリングを交換し、
前記クライアントと前記第1サーバ間で共有されるシークレットを使用して、セッションキーを生成し、
前記第2サーバから認証チャレンジを受信し、前記セッションキーを使用してチャレンジ応答を生成する。
本発明の方法の各処理は、特定の順序で実行される必要はない。特に、本方法における処理は、重複していても良い。
本発明の第5の構成に従えば、通信ネットワークを介して2つ以上のサーバに接続されているクライアントを認証する方法が提供される。ここで、前記クライアントと第1サーバは、共有シークレットを保有している。この方法は、
第2サーバを介して、前記クライアントから前記第1サーバへ認証リクエストを送信し、
前記第1サーバでの前記認証リクエストの受信に応じて、前記共有シークレットを使用して第1認証チャレンジを生成し、前記第1認証チャレンジを前記第2サーバへ送信し、
前記第1認証チャレンジを前記第2サーバへ転送し、前記第2サーバで、第2認証チャレンジを生成し、前記第1認証チャレンジと前記第2認証チャレンジとを前記第2サーバから前記クライアントへ送信し、
前記クライアントでの前記第1認証チャレンジと前記第2認証チャレンジとの受信に応じて、該第1認証チャレンジに対する第1チャレンジ応答を生成し、前記共有シークレットを使用してセッションキーを生成し、前記セッションキーを使用して前記第2認証チャレンジに対する第2チャレンジ応答を生成し、
前記第2サーバへ、前記第1チャレンジ応答と前記第2チャレンジ応答とを送信し、該第1チャレンジ応答を前記第1サーバへ転送し、
前記第1チャレンジ応答と前記共有シークレットを使用して、前記第1サーバで前記クライアントを認証し、前記クライアントが認証されるイベントにおいて、前記第1サーバで前記セッションキーを生成し、該セッションキーを前記第2サーバへ送信し、
前記第2チャレンジ応答と前記セッションキーを使用して、前記第2サーバで前記クライアントを認証する。
本発明の第6の構成に従えば、通信ネットワークのネットワークアプリケーション機能に対するユーザ機器を認証する方法が提供される。
前記ユーザ機器からのアクセスリクエストを前記ネットワークアプリケーション機能へ送信し、
前記アクセスリクエストが、前記通信ネットワークのいくつかの他の機能によって実行されなければならない認証に関連することを、前記ネットワークアプリケーション機能で判定し、
前記アクセスリクエストを、前記他の機能へ転送し、
前記他の機能から前記ネットワークアプリケーション機能へ、チャレンジを返信し、
前記チャレンジと、前記ネットワークアプリケーション機能の更なるチャレンジを前記ユーザ機器へ送信し、
前記ユーザ機器から前記ネットワークアプリケーション機能へチャレンジ応答を送信し、前記他の機能の前記チャレンジに関する応答を、該他の機能へ転送し、
前記ネットワークアプリケーション機能で前記チャレンジ応答の有効性を検証し、かつ前記他の機能で前記応答の有効性を検証する。
本発明の第7の構成に従えば、通信ネットワークを介して2つ以上のサーバと接続されるクライアントを認証する方法が提供される。ここで、前記クライアントと第1サーバが共有シークレットを保有する。この方法は、
クライアントから認証サーバへ、前記認証サーバが配置されているドメイン以外の他のドメインを識別する認証ヘッダを含む認証リクエストを送信し、
前記認証サーバで、他のドメインに向けられている前記認証リクエストを認識、前記認証ヘッダを、前記他のドメインの認証サーバへ転送し、
第2認証サーバでの前記認証リクエストの受信に応じて、第1認証サーバを認証し、前記クライアントを認証し、前記クライアントを認証する手段を、前記第1認証サーバへ提供する。
上記で参照する、更なるサーバから中間サーバ転送される認証リクエストあるいはアクセスリクエストは、受信されるリクエストメッセージ全体の転送、あるいはその一部だけの転送を含んでいる。また、このリクエストは、受信されるフォーマットから異なるフォーメットへ変換されるという可能性をも保証する。このリクエストの本質が維持されることだけが重要である。
本発明の他の構成は、本方法を使用するための、ユーザ機器及び認証サーバに関連している。
実施形態の詳細説明
本発明は、ユーザ及びユーザデバイスの少なくとも一方に対して「平行」認証メカニズムを提供する。このメカニズムでは、第2の認証処理用の信用証明書が、第1の認証処理が完了する前に、第1の認証処理の信用証明書から導出される。第2の認証処理は、第1の認証処理の完了時に完了される。
クライアントと認証サーバ(AUS)は、シークレットSを共有している。クライアントは、(第2)サーバへコンタクトをとると、サーバはクライアントを認証しなければならない。しかしながら、サーバは、自身の信用証明書をクライアントととは共有していない。クライアント、サーバ及びAUSは、既存のシークレットSが再使用されることを同意する。図1は、このプロセスで介在するシグナリングステップを示している。
1)クライアントは、リクエストをサーバへ送信する。このリクエストには、AUSによって保持されるシークレットSをサーバが再使用してクライアントを認証することができることを示す認証方法特定情報を含んでいる。
2)サーバは、AUSからの情報を再使用することができることを認識し、その認証方法特定情報をAUSへ転送する。サーバとAUSは、通信の開始時に互いに相互に認証する。
3)AUSがサーバと協働することを決定する場合、AUSは、AUSチャレンジを生成し、そのチャレンジをサーバへ転送する。
4)サーバは、AUS−チャレンジ(第1認証方法)をクライアントへ中継し、かつ自身のサーバ−チャレンジ(第2認証方法)を付加する。この段階で、サーバは、クライアントに関してステートレスを維持することができる。
5)クライアントは2つのチャレンジを受信する。クライアントは、共有シークレットSを使用して、AUS−チャレンジへの応答を用意する。次に、クライアントは、第2のチャレンジの応答を用意するために、シークレットSからサーバ特定キー要素を導出する。クライアントは、サーバが同一のキーを保有することを確実にするために、サーバからの相互認証を要求する。これは、AUSがサーバを信頼し、かつ導出されるキーをサーバへ提供することをクライアントへ証明する。クライアントは、AUS−応答とサーバ−応答の両方をサーバへ送信する。
第1認証方法の性質に依存して、クライアントは、この段階で、AUSを認証することができる。例えば、これは、UMTS AKA、EAP AKA及びHTTPダイジェストAKAメカニズムを用いることで実現可能である。これは、選択的には、以下のステップ9)で実行されても良い。
6)サーバは、サーバ応答を記憶し、かつAUS−応答をAUSへとトンネルする。同時に、サーバは、サーバ−チャレンジに関連するサーバ特定キー要素(シークレットSから導出される)をリクエストする。
7)AUSは、AUS−応答と共有シークレットSを使用して、クライアントを認証する。次に、AUSは、クライアントがステップ5)で処理したSから同一キー要素を用意し、そのキー要素をサーバへ送信する。AUSは、また、その新規のキー要素に対する有効期限を特定して、それをサーバへ提供することもできる。クライアントの認証が失敗する場合、AUSは、そのキー要素を返信しない代わりに、認証失敗メッセージでリプライする。
8)サーバは、ステップ6)からのサーバ−応答と、ステップ7)からの受信したキー要素を使用してクライアントを認証する。認証が成功する場合、サーバは、サービスをクライアントへ配信することになる。
9)クライアントは、サーバ−応答とSから導出されるキー要素を使用してサーバを認証する。第1認証方法の性質に依存して、クライアントは、この段階で、AUSを認証することもできる。例えば、これは、HTTPダイジェストを用いる場合であり、この場合は、クライアントは、AUSを認証するために、認証−Infoヘッダを含めるための応答メッセージ(例えば、200OK)を要求する。
クライアントとAUSは、導出されるキーが有効であることを維持するための時間長についてのスタティックポリシーを持っていてもよい。このポリシーは、シークレットSが特定される時と同時にクライアントで構成されても良い。但し、例えば、認証メッセージにいくつかのパラメータで、そのキー有効期限を符号化することで、そのキー有効期限に合意するための様々な方法が存在していても良い。
ここで、一般的な場合には、クライアントアイデンティティが再使用されるあるいは再生成されるかを特定することは困難であることに注意されたい。アイデンティティの合意は、特定アプリケーションに依存することになる。
本発明の第1の実装例を、図2を参照して説明する。ここでは、いくつかの無線アクセスネットワーク(不図示)と通信する、加入者所有3G移動端末(UE)を示している。ここで、UEは無線アクセスネットワークに対して既に認証されていて、また、3GPP AKA処理(上述のような、アクセスネットワークの在圏ノードと加入者のホーム環境の認証サーバ間のシグナリング交換を含む)を使用してネットワークによって提供されるサービスを使用することが認可されていると想定する。また、図1には、ネットワーク認証機能(NAF)と、ブートストラップサーバ機能(BSF)とが示されている。NAFの位置は、ここでの説明の目的のためには重要ではないが、例えば、無線アクセスネットワークのオペレータによって操作され、かつ制御されても良い。BSFは、典型的には、加入者のホーム環境内に配置されておる。既に説明しているように、UEは、Uaインタフェースを介してNAFと通信し、Ubインタフェースを介してBSFと通信する。
加入者所有端末UEが、サービスの使用を行い、NAFによって制御されるアクセスを行いたいと想定する。このサービスは、ウェブサーバからのリアルタイムあるいはストリーミングビデオブロードキャストであっても良い。典型的には、NAFは、加入者がだれが要求していて、かつ加入者との請求関係を確立することができることを知っていることが必要となる。これを行うために、NAFは、加入者のホーム環境とコンタクトをとらなければならない。従来の方法を介してかなり簡略化される処理について説明する。この処理は、3GPP GBA規格TS 33.220(v.6.2.0)及びTS24.109(v6.0.0)を基礎としている。
最適化処理は、ハイパーテキスト転送プロトコルHTTPがUaインタフェースでは使用されるものと想定しているが、他のプロトコルでも可能である。この処理は、以下のステップを有している。
1)UEは、Uaインタフェースを介して、HTTPリクエスト(典型的には、HTTP GET)をNAFへ送信する。UEがGBA最適化処理をサポートしている場合、Ubインタフェースで使用する認可ヘッダを、このHTTPメッセージへ含めても良い。この認可ヘッダは、ユーザアイデンティティとBSFの「アドレス体系(realm)」を含んでいる。プライバシーの理由のために、ユーザアイデンティティは、通常のUbインタフェース関連アイデンティティ(IMSIあるいはIMPI)でなくても良い。むしろ、このアイデンティティは、予め有効なUaインタフェース関連アイデンティティ、即ち、B−ITDであっても良い。このリクエストは、他の認可ヘッダ、特に、NAFへ向けられる認可ヘッダを含んでいても良い。
UEは、例えば、セキュリティキーの有効期限が満了しようとしている場合に、GBA最適化処理の使用を試行するか、あるいはGBA処理が使用されるべきであるかをどうかをUEが知らない場合にはデフォルトによる試行を行うかを決定しても良い。
2)HTTPリクエストが、Ubインタフェースで使用される認可ヘッダを含んでいるイベントでは、NAFは、このヘッダが、自身以外のアドレス体系に対するものであることを認識することになる。ヘッダ情報に基づいて、NAFは、そのヘッダ情報あるいはその関連部分を、Znインファエースを介して、例えば、DIAMETERプロトコルを使用してBSFへ転送しても良い。
NAFがGBA最適化をサポートしていない場合、認可ヘッダは無視するべきである。これは、それがいくつかの他のアドレス体系に対するものであるからである。NAFがGBA最適化をサポートするとしても、NAFは、依然として、GBA最適化を使用しないことのポリシー決定を行う可能性がある。[ここで、この場合、NAFは、HTTP401認証チャレンジを用いて、直接UEへのチャレンジを行うことになり、UEとNAFが有効なパスワードを共有していると想定する。]NAFは、Ubインタフェースを介して、ブートストラップ処理を開始するメッセージを用いて、リプライを行っても良い。
NAFからHTTPプロトコル情報を受信すると、BSFは、NAFが、最適化GBA処理を使用することが認可されているかどうかをチェックする。例えば、BSFは、TLSを使用してNAFを認証して、ローカルデータベースから認可データをチェックすることができる。
3)そうである場合、BSFは、DIAMETERプロトコルメッセージ内で、HTTPダイジェストAKAチャレンジをNAFヘ返信する。このチャレンジは、例えば、ナンスパラメータで、UEに対する新規のアイデンティティである、B−TID2を含んでいる。このチャレンジに対して、UEがどのようにしてB−TID2を構築することができるかについての「ヒント」だけを、そのヒントからアイデンティティを構築するためのルールを知っているUEとBSFに含ませることもできる。BSFは、加入者のIMSI/IMPIの後にB−TIDを関連付けることが可能であり、これによって、正常なAKAチャレンジを選択する。
4)NAFからUEへのHTTP401応答メッセージは、2つの認証チャレンジを含んでいて、1つはBSFからのものであり、もう1つはNAFからのものである。この段階で、NAFは、ステートレスを維持することができる。即ち、UEを「忘れる」ことができる。
5)UEは、ダイジェストAKAチャレンジ(BSFで生成される)を使用して、ホームネットワークを認証する。UEは、HTTPダイジェストAKAチャレンジ及び他の関連情報に基づいて、新規のGBA関連キーイング要素を生成する。次に、UEは、B−TID2と関連するキーイング要素を使用して、NAF特定キーを構築し、その情報を使用して、第2認証チャレンジに対する応答(NAFに向けての)を生成する。第2HTTPリクエストは、UEによってNAFに向けて送信され、これには、2つの認可ヘッダを含んでいて、1つはNAFに対するものであり、もう1つはBSFに対するものである。
6)NAFは、AKA応答(即ち、BSF認可ヘッダ)をBSFへ「トンネル」する。同時に、これは、B−TID2アイデンティティに関連するキーイング要素をリクエストする。
7)BSFは、ダイジェストAKA処理に従ってUEを認証する。次に、これは、UE(ステップ5)におけるキーイング要素と同一のキーイング要素を構築し、その関連キーをNAFへ返信する。AKA認証が失敗する場合、BSFは、エラーメッセージをNAFへ返信する。
8)NAFが、BSFから適切なキーイング要素を受信するイベントでは、NAFは、第2HTTPリクエスト[ステップ5)]に含まれる第2認可ヘッダを使用して、UEを認証することができる。次に、NAFは、リクエストされたサービスのUEへの配信を進める。
別の平行認証メカニズムを、まずは、一般的に説明し、そして、詳細な実装に関して説明する。
図3は、上述の通信システムの構成要素を示している。ここで、クライアントと認証サーバ(AUS)は、シークレットSを共有している。ステップ1)から3)は、図1を参照して説明したものと同一である。しかしながら、ステップ4)で、サーバがクライアントに対するAUSチャレンジを受信した後は、サーバは、自身の任意のチャレンジを付加することなくそのAUSチャレンジをクライアントへ転送する。
クライアントはチャレンジを受信し、共有シークレットSからサーバ特定キー要素を導出し、そして、それを使用して、AUSチャレンジへの応答を用意する。クライアントは、サーバ特定キー要素(Sから導出される)を使用して、AUSからの相互認証を要求する。これは、AUSがサーバを信頼し、それゆえ、Sからサーバ特定キー要素が導出されることをクライアントに証明することになる。クライアントは、ステップ5)で、AUS−応答をサーバへ送信する。図1の処理のように、第1認証方法の性質に依存して、クライアントは、この段階で、AUSをすぐに認証することが可能となっている。
ステップ6)で、サーバは、AUS応答をAUSへトンネルしながら、その応答のコピーを自身で維持する。同時に、サーバは、AUSから(Sから導出される)サーバ特定キー要素をリクエストする。サーバは、進行中の認証処理においてはこのキー要素は必要としないが、これは、将来クライアントを認証するために使用されても良い。
AUSは、ステップ5)でクライアントが用意した共有シークレットSから同一のキー要素を用意し、そして、AUS応答と導出されたキー要素を使用してクライアントを認証する。ステップ7)で、AUSは、サーバ特定キー要素を使用して認証リプライを用意し、そして、それをサーバへ送信する。AUSは、クライアントが認証されたことをサーバへ指示し、かつキー要素をサーバへ送信する。再度、AUSは、新規のキー要素に対して有効期限を特定しても良く、そして、それをサーバへ提供する。クライアントの認証が失敗する場合、AUSは、キー要素を返信しないが、認証失敗メッセージをリプライする。ここで、AUSは、認証リプライを用意しない代わりに、キー要素をサーバへ返信することも可能である。これにより、サーバは、認証リプライを用意することが可能になる。
サーバは、AUSから、認証指示とキー要素を受信する。認証が成功した場合、サーバはサービスをクライアントへ配信することになる。ステップ8)で、サーバは、認証リプライをクライアントへ転送する。サーバは、AUSによって返信されたキーを使用して、ステップ5)でクライアントによって送信されたAUS応答をテストすることができる(但し、これは、サーバが、AUSによって提供される認証に依存している場合は必要ない)。
ステップ9)で、クライアントは、認証リプライと、共有シークレットSから導出されるキー要素を使用して、サーバを認証する。これは、AUSがサーバを信頼していることをクライアントへ証明することになる。認証方法の性質に依存して、クライアントは、この段階で、AUSを認証しても良い。例えば、これには、HTTPダイジェストメカニズムを使用する場合にあてはまる。
この一般的な処理の詳細実装は、HTTPがUaインタフェース内で使用されるものと想定する。この処理は、図4で示される。ステップ1)から3)は、図2で参照したものと同様である。但し、ステップ4)で、NAFは、401応答メッセージをUEに向けて転送する。これには、BSFからの認証チャレンジを含んでいるが、NAFによって生成されるチャレンジは含んでいない。
UEは、ダイジェストAKAチャレンジ(BSFから)を使用して、BSFを認証する。UEは、HTTPダイジェストAKAチャレンジと他の関連情報に基づいて、新規のGBA関連キーイング要素を生成する。UEは、このキーイング要素と他の関連情報(例えば、NAFのアイデンティティ)を使用して、NAF特定キーを導出し、次に、そのNAF特定キーを、BSFに向けてのHTTPダイジェストAKA応答を用意する場合のパスワードとして使用する。ステップ5)で、UEは、HTTPダイジェストAKA応答にクライアントナンス(client nonce)を含めて、その応答をNAFに向けて送信する。
ここで、このUEの動作は、HTTPダイジェストAKAチャレンジに応答する場合には、RFC3310(HTTPダイジェストAKA)の標準動作に違反していることに注意されたい。HTTPダイジェストAKAで使用されるパスワードは、「RES」であるべきであるが、NAF特定キーであるべきではない。しかしながら、この例外処理は、NAFアイデンティティが認証処理に結びづけられることを保証する。
ステップ6)で、NAFは、AKA応答をBSFにトンネルする。同時に、NAFは、UEに関連するキーイング要素(例えば、IMSI/IMPIあるいは新規のB−TIDによって識別される)をリクエストする。BSFは、ステップ5)でUEが実行したものと同一のNAF特定キーイング要素を構築する。次に、BSFは、NAF特定キーを使用して、UE(ダイジェストAKA応答)を認証する。ステップ7)で、BSFは、NAF特定キーとクライアントナンスを使用して200OKメッセージを用意して、それをNAFへ送信する。このメッセージは、UEに対する新規のアイデンティティ、即ち、B−TID2を含んでいても良い。また、このメッセージは、UEがどのようにしてアイデンティティB−TID2を構築することができるかについてのヒントだけを含ませることも可能である[新規のアイデンティティは、ステップ3)あるいはステップ7)で割り当てられても良い]。
また、BSFは、関連キーを、UEが正常に認証されていることの通知とともにNAFへ送信する。NAFがまだ新規のアイデンティティB−TID2を確認していない場合、BSFは、その情報をNAFへも返信する。AKA認証が失敗する場合、BSFは、エラーメッセージをNAFヘ返信する。
ステップ8)で、NAFは、200OKメッセージをUEへ転送する。NAFは、例えば、次のアクセスリクエストの場合にUEを認証するために、NAF特定キーを記憶する。ここで、NAFは、UEへサービスを配信するための準備をする。ステップ9)で、UEは、200OKメッセージとNAF特定キーの受信に基づいて、NAFを認証することができる。これが可能となるのは、BSFもNAF特定キーを導出していて、UEがBSFを認証している、ここでは、間接的にNAFを認証しているからである。
本発明の範囲から逸脱することなく、上述の実施形態を様々に変形することができることが当業者には理解されるであろう。
一般的な場合での、平行認証処理に関係するシグナリングのフローを示す図である。 汎用ブートストラップアーキテクチャに適用される平行認証処理に関係するシグナリングのフローを示す図である。 一般的な場合での、変形された平行認証処理に関係するシグナリングのフローを示す図である。 汎用ブートストラップアーキテクチャに適用される、変形された平行認証処理に関係するシグナリングのフローを示す図である。

Claims (37)

  1. 通信ネットワークを介して、2つ以上のサーバに接続されているクライアントを認証する方法であって、前記クライアントと第1サーバが、共有シークレットを保有している、方法であって、
    前記共有シークレットを使用して第1サーバに対する前記クライアントを認証し、第2サーバを介して、前記クライアントと前記第1サーバ間で行われる認証に係る処理に関係するシグナリングを実行し、
    前記クライアントと前記第1サーバでセッションキーを生成し、そのセッションキーを前記第2サーバへ提供し、
    前記セッションキーを使用して、前記第2サーバに対する前記クライアントを認証する
    ことを特徴とする方法。
  2. 前記第1サーバに対する前記第2サーバを認証し、その認証処理後に、前記第1サーバから前記第2サーバへ前記セッションキーを提供する
    ことを特徴とする請求項1に記載の方法。
  3. 前記第1サーバに対する前記クライアントの認証と、前記第2サーバに対する前記クライアントの認証の少なくとも一方では、HTTPダイジェストプロトコルを使用する
    ことを特徴とする請求項1または2に記載の方法。
  4. 前記HTTPダイジェストプロトコルは、HTTPダイジェストAKAプロトコルである
    ことを特徴とする請求項3に記載の方法。
  5. 前記HTTPダイジェストプロトコルは、別のプロトコルを使用して、前記第1サーバと前記第2サーバ間をトンネルされる
    ことを特徴とする請求項3または4に記載の方法。
  6. 前記別のプロトコルは、DIAMETERである
    ことを特徴とする請求項5に記載の方法。
  7. 前記第1サーバから前記第2サーバへ第1認証チャレンジを送信し、前記第1認証チャレンジを前記第2サーバから前記クライアントへ転送する
    ことを特徴とする請求項1乃至6のいずれか1項に記載の方法。
  8. 前記第2サーバで第2認証チャレンジを生成し、前記第2認証チャレンジを前記第1認証チャレンジとともに前記クライアントへ送信する
    ことを特徴とする請求項7に記載の方法。
  9. 前記クライアントで、前記共有シークレットを使用して、第1チャレンジ応答を生成し、前記セッションキーを生成し、該セッションキーを使用して第2チャレンジ応答を生成し、前記第1チャレンジ応答と前記第2チャレンジ応答とを前記第2サーバへ送信する
    ことを特徴とする請求項8に記載の方法。
  10. 前記第1チャレンジ応答を前記第1サーバへ転送し、該第1チャレンジ応答の有効性を検証し、前記セッションキーを前記第2サーバへ送信し、該第2サーバで、前記セッションキーを使用して、前記第2チャレンジ応答の有効性を検証する
    ことを特徴とする請求項9に記載の方法。
  11. 前記クライアントに対する、前記第1サーバ及び前記第2サーバの少なくとも一方を認証する
    ことを特徴とする請求項1乃至10のいずれか1項に記載の方法。
  12. 請求項7乃至10のいずれか1項に従属する場合に、前記クライアントは、前記第1認証チャレンジを使用して、前記第1サーバを認証する
    ことを特徴とする請求項11に記載の方法。
  13. 請求項8乃至10のいずれか1項に従属する場合に、前記クライアントは、前記第2認証チャレンジの受信に応じて、前記第2サーバを認証する
    ことを特徴とする請求項11に記載の方法。
  14. 請求項8乃至10のいずれか1項に従属する場合に、前記クライアントは、前記認証応答の受信に応じて前記第2サーバを認証する
    ことを特徴とする請求項11に記載の方法。
  15. 通信システム内の認証サーバを操作する方法であって、
    クライアントと更なる認証サーバ間の認証に係るシグナリングと、前記クライアントと前記更なる認証サーバが共有するシークレットとを中継し、
    前記更なる認証サーバからセッションキーを受信し、前記セッションキーを使用して前記クライアントを認証する
    ことを特徴とする方法。
  16. 前記認証サーバは、Uaインタフェースを介してクライアントと通信を行い、かつZnインタフェースを介して更なる認証サーバと通信するネットワーク認証機能である
    ことを特徴とする請求項15に記載の方法。
  17. 通信ネットワークで使用するように適合されている認証サーバであって、
    クライアントと更なる認証サーバ間の認証に係るシグナリングを中継する中継手段と、
    前記更なる認証サーバによる前記クライアントの認証を行う、該更なる認証サーバからセッションキーを受信する受信手段と、
    前記セッションキーを使用して、前記クライアントの認証を行う処理手段と
    を備えることを特徴とする認証サーバ。
  18. 当該認証サーバは、ネットワーク認証サーバである
    ことを特徴とする請求項17に記載の認証サーバ。
  19. 前記中継手段は、前記クライアントから受信するアクセスリクエストが、前記通信ネットワーク内のいくつかの他の機能によって実行されなければならない認証に関連することを判定し、その判定に応じて、前記アクセスリクエストを前記更なるサーバへ中継するように構成されている
    ことを特徴とする請求項18に記載の認証サーバ。
  20. 通信システム内の認証サーバを操作する方法であって、
    クライアントの認証のために、更なるサーバを介して前記クライアントとシグナリングを交換し、
    前記クライアントと前記認証サーバ間で共有されるシークレットを使用して、セッションキーを生成し、
    前記セッションキーを前記更なるサーバへ送信する
    ことを特徴とする方法。
  21. 前記認証サーバは、ブートストラップサーバ機能であり、かつZnインタフェースを介して前記更なるサーバと通信する
    ことを特徴とする請求項20に記載の方法。
  22. 通信ネットワークで使用するように適合されている認証サーバであって、
    クライアントの認証のために、更なるサーバを介して前記クライアントとシグナリングを交換するための処理通信手段と、
    前記クライアントと前記認証サーバ間で共有されるシークレットを使用して、セッションキーを生成する処理手段と、
    前記セッションキーを前記更なるサーバへ送信する通信手段と
    を備えることを特徴とする認証サーバ。
  23. 前記認証サーバは、ブートストラップサーバ機能である
    ことを特徴とする請求項22に記載の認証サーバ。
  24. 通信ネットワークに接続されているクライアントを操作する方法であって、
    第1サーバに対する前記クライアントを認証するために、第2サーバを介して前記第1サーバとシグナリングを交換し、
    前記クライアントと前記第1サーバ間で共有されるシークレットを使用して、セッションキーを生成し、
    前記第2サーバから認証チャレンジを受信し、前記セッションキーを使用してチャレンジ応答を生成する
    ことを特徴とする方法。
  25. 前記クライアントは、移動無線通信端末である
    ことを特徴とする請求項24に記載の方法。
  26. クライアントであって、
    第1サーバに対する前記クライアントを認証するために、第2サーバを介して前記第1サーバとシグナリングを交換する処理通信手段と、
    当該クライアントと前記第1サーバ間で共有されるシークレットを使用して、セッションキーを生成する処理手段と、
    前記第2サーバから認証チャレンジを受信し、前記セッションキーを使用してチャレンジ応答を生成する入力処理手段と
    を備えることを特徴とするクライアント。
  27. 通信ネットワークを介して2つ以上のサーバに接続されているクライアントを認証する方法であって、前記クライアントと第1サーバが、共有シークレットを保有している、方法であって、
    第2サーバを介して、前記クライアントから前記第1サーバへ認証リクエストを送信し、
    前記第1サーバでの前記認証リクエストの受信に応じて、前記共有シークレットを使用して第1認証チャレンジを生成し、前記第1認証チャレンジを前記第2サーバへ送信し、
    前記第1認証チャレンジを前記第2サーバへ転送し、前記第2サーバで、第2認証チャレンジを生成し、前記第1認証チャレンジと前記第2認証チャレンジとを前記第2サーバから前記クライアントへ送信し、
    前記クライアントでの前記第1認証チャレンジと前記第2認証チャレンジとの受信に応じて、該第1認証チャレンジに対する第1チャレンジ応答を生成し、前記共有シークレットを使用してセッションキーを生成し、前記セッションキーを使用して前記第2認証チャレンジに対する第2チャレンジ応答を生成し、
    前記第2サーバへ、前記第1チャレンジ応答と前記第2チャレンジ応答とを送信し、該第1チャレンジ応答を前記第1サーバへ転送し、
    前記第1チャレンジ応答と前記共有シークレットを使用して、前記第1サーバで前記クライアントを認証し、前記クライアントが認証されるイベントにおいて、前記第1サーバで前記セッションキーを生成し、該セッションキーを前記第2サーバへ送信し、
    前記第2チャレンジ応答と前記セッションキーを使用して、前記第2サーバで前記クライアントを認証する
    ことを特徴とする方法。
  28. 通信ネットワークのネットワークアプリケーション機能に対するユーザ機器を認証する方法であって、
    前記ユーザ機器からのアクセスリクエストを前記ネットワークアプリケーション機能へ送信し、
    前記アクセスリクエストが、前記通信ネットワークのいくつかの他の機能によって実行されなければならない認証に関連することを、前記ネットワークアプリケーション機能で判定し、
    前記アクセスリクエストを、前記他の機能へ転送し、
    前記他の機能から前記ネットワークアプリケーション機能へ、チャレンジを返信し、
    前記チャレンジと、前記ネットワークアプリケーション機能の更なるチャレンジを前記ユーザ機器へ送信し、
    前記ユーザ機器から前記ネットワークアプリケーション機能へチャレンジ応答を送信し、前記他の機能の前記チャレンジに関する応答を、該他の機能へ転送し、
    前記ネットワークアプリケーション機能で前記チャレンジ応答の有効性を検証し、かつ前記他の機能で前記応答の有効性を検証する
    ことを特徴とする方法。
  29. 前記ユーザ機器と前記他の機能は、シークレットを共有し、かつ認証処理中に前記シークレットからセッションキーを導出し、
    前記他の機能は、前記セッションキーを前記ネットワークアプリケーション機能へ提供し、
    前記ユーザ機器は、前記セッションキーを使用して、前記チャレンジ応答を生成する
    ことを特徴とする請求項28に記載の方法。
  30. 通信ネットワークを介して2つ以上のサーバと接続されるクライアントを認証する方法であって、前記クライアントと第1サーバが共有シークレットを保有する、方法であって、
    クライアントから認証サーバへ、前記認証サーバが配置されているドメイン以外の他のドメインを識別する認証ヘッダを含む認証リクエストを送信し、
    前記認証サーバで、他のドメインに向けられている前記認証リクエストを認識し、前記認証ヘッダを、前記他のドメインの認証サーバへ転送し、
    第2認証サーバでの前記認証リクエストの受信に応じて、第1認証サーバを認証し、前記クライアントを認証し、前記クライアントを認証する手段を、前記第1認証サーバへ提供する
    ことを特徴とする方法。
  31. 前記クライアントと前記第2認証サーバは、前記共有シークレットを使用してセッションキーを生成し、
    前記第2認証サーバは、前記セッションキーを前記第1認証サーバへ提供する
    ことを特徴とする請求項30に記載の方法。
  32. 前記クライアントは、前記セッションキーを使用して前記第1認証サーバを認証する
    ことを特徴とする請求項31に記載の方法。
  33. 前記第2認証サーバは、前記セッションキーによって保護されている前記クライアントへ、認証チャレンジを返信する
    ことを特徴とする請求項32に記載の方法。
  34. 前記クライアントを認証する手段は、前記第2認証サーバが前記クライアントを認証していることを示す通知である
    ことを特徴とする請求項30乃至33のいずれか1項に記載の方法。
  35. 前記クライアントに対する、前記第1認証サーバ及び前記第2認証サーバの少なくとも一方を認証する
    ことを特徴とする請求項30乃至34のいずれか1項に記載の方法。
  36. 前記第1認証サーバは、Uaインタフェースを介してクライアントと通信するネットワーク認証機能であり、
    前記第2認証サーバは、Znインタフェースを介して前記第1認証サーバと通信するブートストラップ機能である
    ことを特徴とする請求項30乃至35のいずれか1項に記載の方法。
  37. 前記通信システムは、無線アクセスネットワークを備え、
    前記クライアントは、移動体無線通信端末である
    ことを特徴とする請求項1乃至16、20、21、24、25及び27乃至36のいずれか1項に記載の方法。
JP2007552532A 2005-01-28 2005-01-28 通信システムにおけるユーザ認証及び認可 Active JP4643657B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2005/050372 WO2006079419A1 (en) 2005-01-28 2005-01-28 User authentication and authorisation in a communications system

Publications (2)

Publication Number Publication Date
JP2008529368A true JP2008529368A (ja) 2008-07-31
JP4643657B2 JP4643657B2 (ja) 2011-03-02

Family

ID=34960251

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007552532A Active JP4643657B2 (ja) 2005-01-28 2005-01-28 通信システムにおけるユーザ認証及び認可

Country Status (9)

Country Link
US (1) US8555345B2 (ja)
EP (1) EP1842319B1 (ja)
JP (1) JP4643657B2 (ja)
KR (1) KR100995423B1 (ja)
CN (1) CN101112038B (ja)
BR (1) BRPI0519861A2 (ja)
CA (1) CA2594468A1 (ja)
IL (1) IL184606A0 (ja)
WO (1) WO2006079419A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010500803A (ja) * 2006-08-14 2010-01-07 シーメンス アクチエンゲゼルシヤフト アクセス専用キーを提供する方法およびシステム
JP2013516121A (ja) * 2009-12-28 2013-05-09 中国移▲動▼通信集▲団▼公司 認証方法、システムおよび装置
JP2015195599A (ja) * 2010-12-30 2015-11-05 インターデイジタル パテント ホールディングス インコーポレイテッド 通信ハンドオフのシナリオのための認証およびセキュアチャネルの設定
JP6055546B2 (ja) * 2013-07-10 2016-12-27 株式会社野村総合研究所 認証装置、認証方法、およびプログラム

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7636940B2 (en) * 2005-04-12 2009-12-22 Seiko Epson Corporation Private key protection for secure servers
DE102005026982A1 (de) * 2005-06-10 2006-12-14 Siemens Ag Verfahren zur Vereinbarung eines Sicherheitsschlüssels zwischen mindestens einem ersten und einem zweiten Kommunikationsteilnehmer zur Sicherung einer Kommunikationsverbindung
WO2007085175A1 (fr) * 2006-01-24 2007-08-02 Huawei Technologies Co., Ltd. Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile
US8145905B2 (en) * 2007-05-07 2012-03-27 Qualcomm Incorporated Method and apparatus for efficient support for multiple authentications
EP2056565A1 (fr) * 2007-10-29 2009-05-06 Axalto Procédé d'authentification d'un utilisateur accédant à un serveur distant à partir d'un ordinateur
US8347374B2 (en) * 2007-11-15 2013-01-01 Red Hat, Inc. Adding client authentication to networked communications
US8978117B2 (en) 2007-11-19 2015-03-10 Avaya Inc. Authentication frequency and challenge type based on environmental and physiological properties
US9027119B2 (en) * 2007-11-19 2015-05-05 Avaya Inc. Authentication frequency and challenge type based on application usage
US8918079B2 (en) * 2007-11-19 2014-12-23 Avaya Inc. Determining authentication challenge timing and type
KR101731200B1 (ko) 2008-01-18 2017-05-11 인터디지탈 패튼 홀딩스, 인크 M2m 통신을 인에이블하는 방법 및 장치
CN101478755B (zh) * 2009-01-21 2011-05-11 中兴通讯股份有限公司 一种网络安全的http协商的方法及其相关装置
KR101386097B1 (ko) 2009-03-06 2014-04-29 인터디지탈 패튼 홀딩스, 인크 무선 장치들의 플랫폼 입증 및 관리
US8484708B2 (en) * 2009-12-11 2013-07-09 Canon Kabushiki Kaisha Delegating authentication using a challenge/response protocol
US8621212B2 (en) * 2009-12-22 2013-12-31 Infineon Technologies Ag Systems and methods for cryptographically enhanced automatic blacklist management and enforcement
US8630411B2 (en) 2011-02-17 2014-01-14 Infineon Technologies Ag Systems and methods for device and data authentication
JP6151798B2 (ja) 2013-01-17 2017-06-21 インテル アイピー コーポレイション Dashアウェア・ネットワークアプリケーションファンクション(d−naf)
CN104426656B (zh) * 2013-08-19 2019-04-05 中兴通讯股份有限公司 数据收发方法及系统、消息的处理方法及装置
US11349675B2 (en) * 2013-10-18 2022-05-31 Alcatel-Lucent Usa Inc. Tamper-resistant and scalable mutual authentication for machine-to-machine devices
US20160249215A1 (en) * 2013-10-29 2016-08-25 Kyocera Corporation Communication control method, authentication server, and user terminal
SE539271C2 (en) 2014-10-09 2017-06-07 Kelisec Ab Mutual authentication
US9967260B1 (en) 2015-01-26 2018-05-08 Microstrategy Incorporated Enhanced authentication security
EP3151503B1 (de) * 2015-09-29 2019-12-11 Siemens Aktiengesellschaft Verfahren und system zur authentifizierung einer umgebenden web-anwendung durch eine einzubettende web-anwendung
WO2017063031A1 (en) * 2015-10-16 2017-04-20 Kasada Pty Ltd Dynamic cryptographic polymorphism (dcp) system and method
EP3427503B1 (en) 2016-03-09 2021-12-15 Telefonaktiebolaget LM Ericsson (publ) Systems and methods for using gba for services used by multiple functions on the same device
CN110198540B (zh) * 2019-05-09 2022-05-24 新华三技术有限公司 Portal认证方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001243196A (ja) * 2000-03-01 2001-09-07 Fujitsu Ltd 携帯電話とicカードを利用した個人認証システム
WO2003107584A1 (en) * 2002-01-02 2003-12-24 Telefonaktiebolaget Lm Ericsson (Publ) Non-repudiation of service agreements
WO2005003934A1 (en) * 2003-07-01 2005-01-13 International Business Machines Corporation Method and system for a single-sign-on access to a computer grid

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0673178B1 (en) * 1994-03-17 2005-02-16 Kokusai Denshin Denwa Co., Ltd Authentication method for mobile communications
US5537474A (en) * 1994-07-29 1996-07-16 Motorola, Inc. Method and apparatus for authentication in a communication system
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
US7254237B1 (en) * 2001-01-12 2007-08-07 Slt Logic, Llc System and method for establishing a secure connection
GB0314971D0 (en) * 2003-06-27 2003-07-30 Ericsson Telefon Ab L M Method for distributing passwords
DK1714418T3 (en) * 2004-02-11 2017-04-24 ERICSSON TELEFON AB L M (publ) KEY MANAGEMENT FOR NETWORK ELEMENTS
US7966646B2 (en) * 2006-07-31 2011-06-21 Aruba Networks, Inc. Stateless cryptographic protocol-based hardware acceleration

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001243196A (ja) * 2000-03-01 2001-09-07 Fujitsu Ltd 携帯電話とicカードを利用した個人認証システム
WO2003107584A1 (en) * 2002-01-02 2003-12-24 Telefonaktiebolaget Lm Ericsson (Publ) Non-repudiation of service agreements
WO2005003934A1 (en) * 2003-07-01 2005-01-13 International Business Machines Corporation Method and system for a single-sign-on access to a computer grid

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010500803A (ja) * 2006-08-14 2010-01-07 シーメンス アクチエンゲゼルシヤフト アクセス専用キーを提供する方法およびシステム
JP2013516121A (ja) * 2009-12-28 2013-05-09 中国移▲動▼通信集▲団▼公司 認証方法、システムおよび装置
JP2015195599A (ja) * 2010-12-30 2015-11-05 インターデイジタル パテント ホールディングス インコーポレイテッド 通信ハンドオフのシナリオのための認証およびセキュアチャネルの設定
US9614831B2 (en) 2010-12-30 2017-04-04 Interdigital Patent Holdings, Inc. Authentication and secure channel setup for communication handoff scenarios
JP6055546B2 (ja) * 2013-07-10 2016-12-27 株式会社野村総合研究所 認証装置、認証方法、およびプログラム
JPWO2015004744A1 (ja) * 2013-07-10 2017-02-23 株式会社野村総合研究所 認証装置、認証方法、およびプログラム

Also Published As

Publication number Publication date
EP1842319B1 (en) 2017-12-27
EP1842319A1 (en) 2007-10-10
IL184606A0 (en) 2007-12-03
BRPI0519861A2 (pt) 2009-03-24
KR20070102722A (ko) 2007-10-19
US20090013381A1 (en) 2009-01-08
KR100995423B1 (ko) 2010-11-18
WO2006079419A1 (en) 2006-08-03
CN101112038B (zh) 2013-04-24
JP4643657B2 (ja) 2011-03-02
US8555345B2 (en) 2013-10-08
CA2594468A1 (en) 2006-08-03
CN101112038A (zh) 2008-01-23

Similar Documents

Publication Publication Date Title
JP4643657B2 (ja) 通信システムにおけるユーザ認証及び認可
EP1875707B1 (en) Utilizing generic authentication architecture for mobile internet protocol key distribution
US7984298B2 (en) Method, system and authentication centre for authenticating in end-to-end communications based on a mobile network
US6879690B2 (en) Method and system for delegation of security procedures to a visited domain
US7984486B2 (en) Using GAA to derive and distribute proxy mobile node home agent keys
JP2017126987A (ja) ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録
KR20070100932A (ko) 통신 네트워크에서 부트스트랩 절차를 제공하기 위한 방법및 장치
KR20060067263A (ko) Wlan-umts 연동망 시스템과 이를 위한 인증 방법
AU2015416630B2 (en) Methods and arrangements for authenticating a communication device
US9137661B2 (en) Authentication method and apparatus for user equipment and LIPA network entities
WO2006079953A1 (en) Authentication method and device for use in wireless communication system
CN102694779B (zh) 组合认证系统及认证方法
WO2007025484A1 (fr) Procede de negociation de mise a jour pour cle d'autorisation et dispositif associe
US20140308925A1 (en) Method and apparatus for supporting single sign-on in a mobile communication system
JP4371249B1 (ja) 通信システム、サーバ装置、情報通知方法、プログラム
Mizikovsky et al. CDMA 1x EV-DO security
KR20130085170A (ko) 무선 네트워크에서 가입자 단말의 핸드오버 시 인증 절차를 단축시키는 방법 및 장치

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100630

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100705

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100927

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101112

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101202

R150 Certificate of patent or registration of utility model

Ref document number: 4643657

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131210

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250