JP2009500902A - 認証及びプライバシーに対する方法及び装置 - Google Patents
認証及びプライバシーに対する方法及び装置 Download PDFInfo
- Publication number
- JP2009500902A JP2009500902A JP2008519215A JP2008519215A JP2009500902A JP 2009500902 A JP2009500902 A JP 2009500902A JP 2008519215 A JP2008519215 A JP 2008519215A JP 2008519215 A JP2008519215 A JP 2008519215A JP 2009500902 A JP2009500902 A JP 2009500902A
- Authority
- JP
- Japan
- Prior art keywords
- naf
- authentication
- key
- tid
- bsf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本発明は、ブートストラップサーバ機能(BSF)を規定する従来技術のGAA/GBAシステムにおけるプライバシー保護及び認証を改善する。ここで、ブートストラップサーバ機能は、ネットワークアプリケーション機能NAFへ認証をアサートする認証票を生成するものである。BSFは、キーKsとKs_NAFを生成し、これは、それぞれキー識別子B_TIDとB_TID_NAFに対応する。いくつかのNAFエンティティ間の共謀によるユーザの追跡を防止するために、B_TID_NAFと認証票は、各NAFに対して固有にすることができる。インタフェースUaは、キーKsを使用する暗号化によって更に保護され、また、Ubインタフェースは、キーKsを用いる署名を使用し、かつそれに有効期限を付与することによって、中間者攻撃に対して更に保護される。
【選択図】 なし
【選択図】 なし
Description
発明の分野
本発明は、通信ネットワークのユーザエンティティを認証するための方法及び装置に関するものである。特に、本発明は、汎用認証/汎用ブートストラップ(bootstrapping)アーキテクチャであるGAA/GBAを実現する通信ネットワークにおける、セキュリティの改善に関するものである。
本発明は、通信ネットワークのユーザエンティティを認証するための方法及び装置に関するものである。特に、本発明は、汎用認証/汎用ブートストラップ(bootstrapping)アーキテクチャであるGAA/GBAを実現する通信ネットワークにおける、セキュリティの改善に関するものである。
背景
3GPP認証局(AuC)、ユニバーサルSIMカード(USIM)あるいはIMサービスアイデンティティモジュール(ISIM)、及びそれらの間で動作する3GPP認証及びキーアグリーメントプロトコル(AKA)を含む3GPP認証インフラストラクチャは、3GPPオペレータのかなり有用な資産である。このインフラストラクチャは、ネットアーク内でアプリケーション機能を実現し、かつユーザ側で共有キーを確立(establish)するために利用することができる。それゆえ、3GPPは、ユーザ機器(UE)への共有シークレットの配信を可能にする「汎用ブートストラップアーキテクチャ」(GBA)と、AKAベースのメカニズムを使用するネットワークアプリケーション機能(NAF)を規定している([1]、[2])。図1は、文献[2]に従う、新規のネットワークインフラストラクチャコンポーネント、ブートストラップサーバ機能(BSF)とホーム加入者システム(HSS)からのサポートを伴って、NAFとUE内でキーをブートストラップするための参照モデルを示している。図1を参照して、図2のフロー図で、従来のブートストラップにおけるステップを説明する。ステップ210で、ユーザ機器UEは、インタフェースUaを介して、ネットワークアプリケーション機能であるNAFへのアクセスを行う。ステップ220で、認証データへの識別子に含まれるアクセスが既に利用可能であるかどうかが判定される。そうである場合、フローは、ステップ270へ進む。一方、そうでない場合、ステップ230で、NAFは、共有キーを生成するためのGBA方法を使用して、ブートストラップを開始するために、UEヘのリクエストを行う。UEは、Ubインタフェースを介して、BSFへのリクエストをリダイレクトする。ブートストラップのためのリクエストは、ここで説明されるように、NAFから指定されるリダイレクションの結果とすることができる。そうでなければ、ステップ210でNAFへのアクセスをUEが行う前に実行することができる。UEのコンフィグレーションは、どちらの場合を適用するかを判定する。ステップ240で、BSFは、Zhインタフェースを介して、HSSからの認証ベクトルをリクエストする。ステップ250で、BSFは、その認証ベクトルを使用して、Ubインタフェースを介して、UEとのAKA認証を実行する、共有キーKsはが生成され、加えて、BSFは、BSFで生成される信用証明書(credential material)を識別する、トランザクション識別子であるB−TIDを生成する。ステップ260で、この識別子B−TIDは、UEを通じて、Ubインタフェース及びUaインタフェースを介してNAFへ送信される。ステップ270で、NAFは、その識別子B−TIDを提供するZnインタフェースを介してBSFに接続し、これによって、BSFは、対応する信用証明書で応答する。ステップ280で、NAFは、認証の結果を含むステップ210におけるオリジナルのリクエストに応答する。
3GPP認証局(AuC)、ユニバーサルSIMカード(USIM)あるいはIMサービスアイデンティティモジュール(ISIM)、及びそれらの間で動作する3GPP認証及びキーアグリーメントプロトコル(AKA)を含む3GPP認証インフラストラクチャは、3GPPオペレータのかなり有用な資産である。このインフラストラクチャは、ネットアーク内でアプリケーション機能を実現し、かつユーザ側で共有キーを確立(establish)するために利用することができる。それゆえ、3GPPは、ユーザ機器(UE)への共有シークレットの配信を可能にする「汎用ブートストラップアーキテクチャ」(GBA)と、AKAベースのメカニズムを使用するネットワークアプリケーション機能(NAF)を規定している([1]、[2])。図1は、文献[2]に従う、新規のネットワークインフラストラクチャコンポーネント、ブートストラップサーバ機能(BSF)とホーム加入者システム(HSS)からのサポートを伴って、NAFとUE内でキーをブートストラップするための参照モデルを示している。図1を参照して、図2のフロー図で、従来のブートストラップにおけるステップを説明する。ステップ210で、ユーザ機器UEは、インタフェースUaを介して、ネットワークアプリケーション機能であるNAFへのアクセスを行う。ステップ220で、認証データへの識別子に含まれるアクセスが既に利用可能であるかどうかが判定される。そうである場合、フローは、ステップ270へ進む。一方、そうでない場合、ステップ230で、NAFは、共有キーを生成するためのGBA方法を使用して、ブートストラップを開始するために、UEヘのリクエストを行う。UEは、Ubインタフェースを介して、BSFへのリクエストをリダイレクトする。ブートストラップのためのリクエストは、ここで説明されるように、NAFから指定されるリダイレクションの結果とすることができる。そうでなければ、ステップ210でNAFへのアクセスをUEが行う前に実行することができる。UEのコンフィグレーションは、どちらの場合を適用するかを判定する。ステップ240で、BSFは、Zhインタフェースを介して、HSSからの認証ベクトルをリクエストする。ステップ250で、BSFは、その認証ベクトルを使用して、Ubインタフェースを介して、UEとのAKA認証を実行する、共有キーKsはが生成され、加えて、BSFは、BSFで生成される信用証明書(credential material)を識別する、トランザクション識別子であるB−TIDを生成する。ステップ260で、この識別子B−TIDは、UEを通じて、Ubインタフェース及びUaインタフェースを介してNAFへ送信される。ステップ270で、NAFは、その識別子B−TIDを提供するZnインタフェースを介してBSFに接続し、これによって、BSFは、対応する信用証明書で応答する。ステップ280で、NAFは、認証の結果を含むステップ210におけるオリジナルのリクエストに応答する。
この時点で、NAFは、配信される信用証明書を使用することが可能である。この信用証明書は、更なるエンドユーザの認証用に使用することができる。このエンドユーザの認証は、NAFが、配信される共有シークレットを使用する、[3]で定義されるような、例えば、http−ダイジェスト処理を開始することができる。この信用証明書は、認証目的以外に、完全性、機密性、あるいはキー導出用に使用することもできる。
3GPPは、文献[1]に記載されるような、いわゆる、「汎用認証アーキテクチャ」であるGAAを定義する、エンドユーザの認証目的のために、GBAを使用することを提案している。GAAは、UE及びNAFにおいて共有シークレットを確立するためにGBA処理を利用し、そうすることで、それらの信用証明書は、NAFとUE間で実行される、以降のエンドユーザ認証メカニズムに対する基礎として使用することができる。
3GPPは、例えば、文献[4]で、IMSシステム内でGBAを使用することも検討している。
これには、GAA/GBAに伴って2つの基本的な問題が存在する。
・ 2つ以上の独立したサードパーティアプリケーションは、Uaインタフェースを介してユーザを追跡することができるので、ユーザプライバシーに対するサポートの脆弱性があり、また、共謀(collusion)が発生し得る。
・ 現在のGAA/GBAアーキテクチャは、エンドユーザの認証の明示的なサポートは行ってはいない。アプリケーションが、認証以外でGAA/GBAアーキテクチャを使用する場合、NAFアプリケーションは、ブートストラップされているキーに基づいて、追加のエンドユーザの認証メカニズムを実現する必要がある。また、ユーザは、BSFによるものと、その後、NAFによるものと、2回有効に認証されることになる。
プライバシーに関しては、各NAFに対して同一のB−TIDが使用されることに注意されたい。この事実は、加入されているサービスを示すユーザプロファイルを構築するために使用することができる、つまり、プライバシー要件を違反することができる。この種のプライバシー攻撃は、共謀として知られている。同一のオペレータによって提供されるアプリケーションに対しては問題は軽微である一方で、サードパーティがアプリケーションを提供する場合、あるいは契約の範疇でオペレータがサードパーティを管理する場合にはこのことは深刻となる。
また、GAA/GBAアーキテクチャは、中間者攻撃があり得るという問題があり、これによって、不正なユーザが、だれかを語って信用証明書をリクエストすることが可能になってしまう。
基本的には、GAA/GBAアーキテクチャは、SIMベースのキー配信アーキテクチャである。この用語「SIM」は、ここでは、USIM(3G)あるいはISIMとして理解される。GAA/GBAは、サポートされている認証メカニズムに関しては一般的ではない。これは、それがSIMベースの認証を想定しているからである。また、GAA/GBAは、認証指向ではない。これは、プロビジョンされるキーが認証用に使用することもできるし、使用しないこともできるからである。
GAA/GBA準拠とするためには、以下のメカニズムを実現するためのアプリケーションを必要とするGAA/GBAには、欠点がある。
プロビジョンされるキーをセキュアに記憶するためのキー管理、キー有効性の追跡、キーと、特定ユーザ及びアプリケーションのバインド、有効性が切れている場合のキーの更新
例えば、Diameterのような、BSFからのキーをフェッチするためのプロトコル
ユーザを認証するための認証プロトコル
キー配信を保護するためのセキュアなチャネル
これらのGAA/GBAメカニズムのすべてを実現するための負担、特に、キー配信処理を実現するための必要性は、ユーザアイデンティティを有効にすることだけを通常必要とするアプリケーションに対して高いものである。
例えば、Diameterのような、BSFからのキーをフェッチするためのプロトコル
ユーザを認証するための認証プロトコル
キー配信を保護するためのセキュアなチャネル
これらのGAA/GBAメカニズムのすべてを実現するための負担、特に、キー配信処理を実現するための必要性は、ユーザアイデンティティを有効にすることだけを通常必要とするアプリケーションに対して高いものである。
多くのアプリケーションは、パスワードのようなユーザ信用証明書を管理する負担によって、ユーザを認証するためのメカニズムを実現することすらできない場合がある。事実、パスワード管理の問題(記憶、保護、更新、損失、無効化、盗用)は、アプリケーション展開のための障壁として認識されている。
また、従来技術のGAA/GBAアーキテクチャの欠点は、オペレータに関係している。
集中認可ではなく、アプリケーションへのサービス認可の委任が好ましい場合がある。
アプリケーションの使用を通じての制御の欠如により、統計収集がサポートされない。
サービス加入を無効化するための自動メカニズムがない。
それゆえ、これらの問題と従来システムの欠点を解決し、かつ更なるプライバシー保護及び認証サポートを提供するために、GAA/GBAアーキテクチャを改善することが必要とされている。
本発明の要約
本発明は、従来技術の構成の欠陥及び欠点を改善する。
本発明は、従来技術の構成の欠陥及び欠点を改善する。
一般的には、本発明の目的は、現在のGAA/GBA処理の変更を最小限にしながら、プライバシー保護と認証サポートを向上するために、既存のGAA/GBAインフラストラクチャを利用することである。
本発明の目的は、GAA/GBAアーキテクチャを実現する通信ネットワークにおいて、ユーザの認可をアサート(assert)する認証票を提供することである。
更なる目的は、それぞれのネットワークアプリケーションノードNAFに対して固有である、ユーザエンティティUEにリンクされているキー識別子B_TID_NAFを提供することである。
別の目的は、Uaインタフェースにおける中間者攻撃を防止し、かつBSFがブートストラップ識別子B_TID_NAFの送信者を検証することを可能にすることである。
更に別の目的は、ユーザエンティティUEの追跡を可能にするデータを通信中に漏洩することなく、ユーザの認証におけるNAFの要件が満足していることを検証するために、BSFと通信するように、NAFに対して構成することである。
本発明の更なる目的は、キーKs_NAFと、複数のネットワークアプリケーション機能NAFに関連する、対応する識別子B_TID_NAFとを生成するバッチを可能にすることである。
本発明の目的は、それぞれのNAFに対して固有となる認証票を構成し、それによって、ユーザを追跡するNAFエンティティ間の共謀を防止することである。
特別な目的は、GAA/GBAアーキテクチャを実現する通信ネットワークにおいて、プライバシーの保護と認証サポートを向上するための方法及びシステムを提供することである。
また、特別な目的は、改善されたプライバシー保護と認証をサポートするためのBSFネットワークノードを提供することである。
これらの目的及び他の目的は、特許請求の範囲の請求項に従う方法及び装置によって達成される。
簡単に説明すると、本発明は、ユーザのリクエスト時に、任意の認証方法を使用することによってユーザが認証されていることをアサートする認証票を生成する、ブートストラップサーバ機能(BSF)を使用することである。標準的な処理に続いて、文献[2]では、BSFは、キーKsとキーKs_NAFを生成する。ここで、後者は、ユーザとネットワークアプリケーション機能NAF間の通信用である。本発明に従えば、キーKs_NAFは、Uaインタフェースを介して、それぞれのNAFに対して固有である識別子B_TID_NAFによって識別され、これに対して、標準的な処理では、任意のNAFに対して、同一の識別子B_TIDが使用される。ネットワークアプリケーション機能NAFへアクセスするユーザは、NAFに、自身のホームBSFのアドレスを導出し、BSFで認証票をリクエストすることを可能にする、識別子B_TID_NAFを提供する。この識別子B_TID_NAFに応じて、BSFは、UEの認証状態の確立(establishment)を可能にするための認証票を識別することができる。固有の識別子B_TID_NAFの使用は、ユーザプロファイルの生成を防止し、かつプライバシーを改善する。
本発明に従えば、プライバシーの更なる改善を、例えば、BSFとユーザUEについて既知であるキーKsを使用して、識別子B_TID_NAF(あるいは選択的にはB_TID)を署名することによって達成される。これは、ユーザUEとネットワークアプリケーション機能NAF間のインタフェースにおける中間者攻撃を防止する。キーKsを使用することによる、Ubインタフェースを介するユーザUEとBSF間の信用証明書の暗号化通信は、システムのセキュリティを更に改善する方法の別の例である。
実施形態例では、認証票は、ユーザの追跡を可能にする任意の情報を取り去って、ユーザの認証が発生しているというアサーション(assertion)だけを与えることができる。NAFが認証処理における更なる要件を有している場合、NAFは、これらの要件をBSFへ提供することができ、BSFは、それに対して、これらの要件が満足していることの確認で応答する。
本発明の別の構成では、BSFは、Ubインタフェースを介して、ユーザUEへ認証票を送信する。ユーザは、その認証票をアクセスされているNAFへ提示する。本発明に従えば、NAFは、ユーザとの更なる通信を受け付ける前に、その認証票の有効性を検証することをBSFに依存する。NAFが、更に、例えば、UEとのセッションキーの確立を要求する場合、識別子B_TID_NAFは、BSFからキーKs_NAFを取得するためにも使用することができる。
本発明は、一般的には、プライバシー保護と認証を改善するために、既存のGAA/GBAインフラストラクチャに適用可能である。IMSシステムにおいて使用するためのGBAが今日議論されているので、このようなシステムに本発明を適用することが予見される。
本発明の主要な利点は、ネットワークアプリケーション機能NAFで、キー管理に対するサポートを実現する必要なく、ユーザの認証のための方法を提供することである。
本発明の別の利点は、NAFインティティの共謀及び中間者攻撃に対する保護を含む、現在のGAA/GBAインフラストラクチャに対する、拡張されたプライバシー保護を提供することである。
本発明によって提供される他の利点は、添付の図面とともに、以下の本発明のいくつかの詳細な実施形態で明らかとなろう。これらは単なる例示であり、当業者には、本発明の主要な目的を逸脱することなく、他の様々な実施形態を実現可能であることが明らかであろう。
実施形態の詳細説明
本発明の第1の構成では、GAA/GBA仕様書で現在定義されるB_TIDにブートストラップ識別子を追加することが導入される。B_TID及びキーKsは、GAA規格に従って生成される。しかしながら、本発明に従えば、B_TIDは、UE及びBSF間でのみ、即ち、Ubインタフェースを介して、使用される。一方、追加のブートストラップ識別子であるB_TID_NAFは、通常は、Uaインタフェースを介して、UEとNAF間で使用される。B_TID_NAFは、B_TIDとは異なり、各NAFに対して専用である。
本発明の第1の構成では、GAA/GBA仕様書で現在定義されるB_TIDにブートストラップ識別子を追加することが導入される。B_TID及びキーKsは、GAA規格に従って生成される。しかしながら、本発明に従えば、B_TIDは、UE及びBSF間でのみ、即ち、Ubインタフェースを介して、使用される。一方、追加のブートストラップ識別子であるB_TID_NAFは、通常は、Uaインタフェースを介して、UEとNAF間で使用される。B_TID_NAFは、B_TIDとは異なり、各NAFに対して専用である。
GAA/GBA規格に従えば、UEは、新規のNAFがアクセスされる毎にBSFへ接続する必要はない。これは、B_TIDは、NAFを配置し、かつユーザ信用証明書を識別することを満足するからである。しかしながら、上述のように、このような方法は、NAFエンティティに渡るプライバシーを危うくする。それゆえ、本発明の実施形態に従えば、各新規のNAFに対してBSFとの追加のシグナリングが導入される。しかしながら、このシグナリングの量は、以下で説明するバッチ処理によって低減することができる。
BSFは、UEのアイデンティティ、B_TID、KS、及びB_TID_NAF識別子及び、対応するNAFエンティティのセットに対して生成される関連キーKs_NAF間のリンクを維持することになる。
各NAFに対する固有のB_TID_NAFの使用は、Uaインタフェースを介してユーザが追跡されることを防止する。
ユーザが、ユーザを識別する/認証することだけを要求するアプリケーションNAFへアクセスしたいときは、NAFはBSFへ向けられ、これは、認証局/認証機関として動作する。
本発明の実施形態に従えば、BSFは、ユーザが認証されていることを証明する認証票(Authentication Voucher)を生成する。この認証票は、Ubインタフェースを介してB_TIDによって識別されることになる。Uaインタフェースを介して、認証票は、B_TID_NAFによって識別されることになる。NAFは、Znインタフェースを介して、B_TID_NAF識別子を提供することによって、この認証票を参照することができる。
図3は、本発明に従う、ブートストラップサーバ機能であるBSF300のブロック図を示している。図3は、本発明に関連するBSFの部分だけを示している。
310は、他のユニットとのデータ交換を行うための入力/出力手段である。内部バスシステム370は、各種機能手段を相互に接続する。320は、キーとそれに対応するキー識別子、例えば、キーKsと識別子B_TIDを生成するための手段である。330は、認証票を生成するための手段であり、340は、認証票の有効性(有効期限)を検証するための手段である。380は、暗号化/解読するための手段である。乱数が、手段390によって生成される。記憶手段360は、ユーザアイデンティティ、キーKs、キーB_TID_NAF、キー識別子、及び特定ユーザに関連するリンクデータのような、生成された情報を記憶する。処理手段350は、ノード300の内部動作を制御する。ノード300の機能手段は、ハードウェア、ソフトウェアあるいは、それらの組み合わせで実現することができることが理解されるであろう。
本発明に従えば、ユーザの初期認証及びブートストラップするもの(material)の生成の方法の一例が、図4でより明らかになる。これは、UE、BSF、HSS及びNAF間の通信の一例となる信号フロー図を示している。
ステップ1で、UEは、リクエストをBSFへ送信することによって、ブートストラップ処理を開始する。このリクエストは、NAFへアクセスする前のコンフィグレーション設定の結果としてUEによって送信することができる。
選択的には、文献[2]に従えば、リクエストは、最初のアクセス試行に応じて、NAFによるリダイレクション指示とすることができ、ここで、NAFは、従前のブートストラップデータが存在していないあるいは満了していることを判定する。
このリクエストには、明確なユーザアイデンティティ、例えば、国際移動局アイデンティティ(IMSI)、あるいは文献[5]にあるIPマルチメディアプライベートアイデンティティ(IMPI)を含めることができる。少なくとも1つの識別子であるB_TID_NAFが生成される、これは、特定のNAF、例えば、キー関連NAFに対して生成されるデータを識別するものである。
このリクエストが、従前に生成されているキーKsに関与する動作に関係する場合、例えば、特定のNAFに関連する、Ks、Ks_NAFから導出されるキーの生成に対する動作、あるいは従前に生成されているキーKs_NAFの取得に対する動作に関連する場合、このリクエストは、明確なユーザアイデンティティの代わりに、識別子B_TIDと、特定の1つのNAFの少なくとも1つのアイデンティティを含んでいる。B_TIDは、BSFに対しては、UEのアイデンティティを取得することを満足する。この処理は、本発明に従って導入される追加のシグナリングにおけるユーザアイデンティティのプライバシーを改善するために導入される。
このリクエストには、そのリクエストにおいて追加の要件を提供する仕様「Spec」を含んでいても良い。例えば、このような仕様は、例えば、キーKs_NAFが要求される場合、あるいは、特定の認証方法が、例えば、USIMカードに基づく認証が使用される必要がある場合の両方の場合あるいは一方の場合に、NAFが認証票を有することができるという特定の要件に関連していても良い。
ステップ2で、ユーザIDあるいはB_TIDによって示されるユーザに対して、有効なブートストラップキーKsが存在していない場合、BSFは、ユーザ認証処理を開始する。例えば、従来より周知のAKA認証処理が実行されても良いし、あるいは、認証処理はパブリックキーアルゴリズムを使用しても良い。
ステップ3で、BSFは、ブートストラップされているキーKsと、それに加えて、認証票を生成する。この認証票は、例えば、以下の情報を含むことができる。
・認証時間
・認証方法、及び/あるいは
・認証存続期間
典型的には、認証票とブートストラップされているキーKsの存続期間は同一であるが、個別に設定することができる。
・認証方法、及び/あるいは
・認証存続期間
典型的には、認証票とブートストラップされているキーKsの存続期間は同一であるが、個別に設定することができる。
認証方法についての情報は、例えば、ユーザがUSIMあるいはISIMカードを有しているかどうか、あるいは、ユーザ認証がモバイル機器に基づくGBA−meのタイプであるかあるいはユニバーサル統合回線カードであるUICCに基づくGBA−uであるかどうかを示している。
また、このステップでは、B_TIDが生成され、対応するB_TID_NAF識別子とともにキーKs_NAFが導出される。存続期間は、このようなキーKs、Ks_NAF及び認証票のような様々なエンティティに対しても設定される。
ステップ4で、識別子B_TID、(B_TID_NAF)及びブートストラップするものの存続期間が、UEへ返信される。
図5は、サービスをリクエストするNAFへUEがアクセスする場合の処理の例を示している。ステップ1で、UEは、識別子B_TID_NAFを提供するNAFへアクセスする。この識別子B_TID_NAFは、NAFに、BSFからUE信用証明書を取得することを可能にする。
要望される場合、あるいは適切な場合、B_TID_NAFは、エンティティ間の転送中は、例えば、TLS/SSLで保護することができる。追加のアプリケーション専用データ(msg)も含めることができる。
NAFは、受信した識別子B_TID_NAFを転送するステップ2で、ユーザの認証のリクエストを提出する。ユーザ認証だけに関与するNAFアプリケーションに対する要求を解消し、かつ追加のキー管理及びユーザ認証メカニズムをサポートしかつ実現するために、NAFアプリケーションは、ユーザ認証票を提供するためだけにBSFをリクエストすることができる。つまり、NAFは、ステップ2で、認証票、キーKs_NAF、あるいはそれらのエンティティの両方に対する要求を指示するための情報(info)を含めることができる。
ステップ3で、BSFは、リクエストされたものをNAFへ返信する。NAFに対するBSFによる応答は、いくつかのトランスポートセキュリティ、例えば、TLS/SSLを用いて保護することができる。加えて、ユーザプロファイル(Prof)、キー有効期間(Key Lifetime)、認証票、及び応答メッセージ(respmsg)の少なくとも一部が含まれても良い。認証票は、NAFに、ユーザの認証を検証することを可能にする。図4で言及されるように、BSFは、信用証明書が紛失しているあるいは満了している場合に、新規の信用証明書を生成するために、BSFへリクエストをリダイレクトするための、UEへの指示を含めることができる。
選択的には、認証票だけがNAF、例えば、ユーザ認証だけに関与するNAFアプリケーションへ返信される。
ステップ4で、NAFは、通常は、受信したものの少なくともいくつかを記憶する。特に、NAFは、検証後は、認証票を記憶する必要はない。これは、認証票だけが返信されている場合には、任意の情報を記憶する必要がないことを意味する。キーKs_NAFが受信されている場合、これは、キー有効期間が有効である限り、UEによって以降のアクセスに使用することができる。NAFは、好ましくは、エンドユーザの認証状態を検証するために、認証票内の情報をチェックする。しかしながら、以下の別の実施形態の説明からも明らかになるように、認証票の検証は、選択的には、BSFで実行することができる。
ステップ5で、NAFは、UEが図4に従って、BSFで新規の信用証明書をリクエストすることが必要であるかを示す、ステップ1における初期リクエストに応答することができる。この場合、識別子B_TIDは、図4のステップ1で使用される。
本発明の第2の構成では、認証票は、Ubインタフェースを介してユーザ機器UEへ送信される。UEは、NAFからのサービスをリクエストする場合に、NAFへ認証票を提示する。図4を参照して、本発明の第2の構成に従えば、ステップ4は、好ましくは、認証票を含んでいて、あるいは、それとは別に送信される。図6は、認証票を使用して、NAFへアクセスするUEの例を示している。ステップ1で、UEは、認証票を含むリクエストをNAFへ送信する。ステップ2で、NAFは、B_TID_NAFから、BSFへのアドレスを導出し、そして、例えば、BSFと通信して認証票の有効性を検証する。このことは、図6の点線によって示されている。
認証票が有効である場合、NAFは、ステップ3で、B_TID_NAFで識別されるBSFからのキーをリクエストすることができる。ステップ4で、BSFは、通常は、キー(Ks_NAF)、キー有効期間(Key Lifetime)、及び、好ましくは、プロファイル情報(Prof)の少なくとも一部を用いてリプライする。ステップ3及び4におけるキーリクエストと応答では、認証票検証プロセスにおけるNAFとBSF間の通信の一部として、ステップ2に含まれても良い。ステップ5で、受信されたものが記憶され、ステップ6で、応答がユーザエンティティであるUEへ与えられる。ここで、キーKs_NAFに対するリクエストはオプションであり、認証のためだけでは、この認証票で十分であることに注意されたい。
別の実施形態
本発明の実施形態では、図4のB_TIDとB_TID_NAFは、ステップ4で、キーKsによって暗号化される。UEは同一のキーを有しているので、UEをこれらのエンティティを解読することができる。
本発明の実施形態では、図4のB_TIDとB_TID_NAFは、ステップ4で、キーKsによって暗号化される。UEは同一のキーを有しているので、UEをこれらのエンティティを解読することができる。
別の実施形態に従えば、複数のNAF_IDは、図5のステップ1で、対応する複数のキーKs_NAFと識別子B_TID_NAFを同時に生成するためにリクエストに含められても良く、これによって、各個々のNAFに対する専用のリクエストを回避することによって、シグナリング量を低減する。
図7は、別の実施形態を示していて、ここでは、インタフェースUaでの中間者攻撃を防止するために、識別子B−TID−NAFは、一回限りの使用となっている。例えば、B_TID_NAFは、UEとBSFだけに知られているキーKsを使用して署名される。この署名には、有効期限付トークン(freshness token)が含まれていても良い。この署名は、本実施形態に従えば、例として、メッセージパラメータ(msg)に含まれる、図5で示されるステップ1及び2に含まれる。
図7のステップ3で、署名と有効期限付トークンが、キーKsを使用してBSFで検証される。
ステップ4−6は、図5のステップ3−5と同様である。
本発明の第1の構成の別実施形態に従えば、認証票は、認証が行われているメッセージに制限される。本発明の第1の構成で規定される情報、例えば、認証方法及び認証用の期間は、ユーザを追跡するために使用される、つまり、プライバシーの攻撃に使用される可能性があることに注意されたい。別の実施形態に従えば、認証票に含まれる情報は、このような追跡を不可能にする情報に制限されている。認証のアサーション(assertion)を受け付けるために、NAFが更なる情報を要求する場合、NAFはこれらの要求をBSFへ送信することができ、そうすると、BSFは、これらの要求を満足することを検証する。例えば、NAFは、USIMカードに基づいて、ユーザが認証されることを要求することができる。この問い合わせ/応答のやり取りは、図5のステップ2及び3に含めることができ、ここで、パラメータ(info)と(respmsg)はそれぞれ、NAF要求とBSF応答に含めることができる。
本発明の第2の構成に関して、図6のステップ2は、以下の別の実施形態で実現されても良い。
一実施形態では、キーKsは認証票を暗号化し、有効期間の検証を、NAFがその暗号化された認証票をBSFへ送信することによってなされる。BSFは、キーKsを有していて、その認証票を解読して、その有効性を検証することができる。つまり、図6を参照すると、ステップ1で、認証票が暗号化される。ここで、図6のステップ2で点線で示される通信は、検証のために、その暗号化されている認証票をBSFへ送信することを含んでいる。
本発明の第2の構成の上述の実施形態では、各NAFが同一の認証票を受信することになるので、ある程度は、NAFエンティティが共謀して、エンドユーザを追跡する可能性が有る。この問題は、図8で示される、別の実施形態で解決される。この実施形態に従えば、認証票は、各NAFに対して固有となる。
図8を参照すると、ステップ1で、UEは、暗号化されている認証票を含む、アクセス用のリクエストをNAF1へ送信し、これにより、暗号化機能(Encr)は、通常は、暗号キーKs、暗号化データ、即ち、認証票及び乱数(Rand1)に依存することになる。一般的には、この暗号化は、Encr(Ks,Voucher,Rand1)の形式をとる。一実施形態では、Rand1は、Voucherに連絡されていて、暗号化は、Encr(Ks,Rand1||Voucher)の形式をとり、ここで、「||」は、連結を示している。
NAFは、キーKsを持っておらず、また、認証票を解読できないので、ステップ2で、NAFは、検証のためのメッセージをBSFへ転送する。
ステップ3で、BSFは、そのメッセージを解読し、認証票を抽出し、その認証票の有効性を検証する。その後、BSFは、第2の乱数(Rand2)を判定し、以下の式に従って、キーKsと、認証票を使用して、二重に暗号化する。
Encr(Ks,Encr(Ks,Voucher,Rand2))
ステップ4で、二重に暗号化された認証票を含む検証の結果の返信メッセージが、BSFによってNAF1へ送信される。ステップ5で、NAF1は、その返信メッセージをUEへ転送する。ステップ6で、UEは、二重に暗号化されたメッセージを1回解読して、以下の
Encr(Ks,Voucher,Rand2)) 式(1)
を取得する。
ステップ4で、二重に暗号化された認証票を含む検証の結果の返信メッセージが、BSFによってNAF1へ送信される。ステップ5で、NAF1は、その返信メッセージをUEへ転送する。ステップ6で、UEは、二重に暗号化されたメッセージを1回解読して、以下の
Encr(Ks,Voucher,Rand2)) 式(1)
を取得する。
例えば、ステップ7での来るべきNAF2へのアクセスにおいては、UEは、第2の乱数(Rand2)を含む式(1)に従って、暗号化された認証票を提供する。ステップ8で示されるように、上述の処理と同一の処理が繰り返される。つまり、NAFへの各アクセスは、ユーザの追跡を防止する固有の認証票を使用することになる。
文献
[1] 3GPP TR 33.919:「第3世代 パートナシッププロジェクト;技術仕様グループサービス及びシステム構成;汎用認証アーキテクチャ(GAA)、システム詳細」 v.6.1.0
[2] 3GPP TS 33.220:「第3世代 パートナシッププロジェクト;技術仕様グループサービス及しシステム構成;汎用認証アーキテクチャ(GAA)」 汎用ブートストラップアーキテクチャ」 v.6.5.0
[3] 3GPP TS 33.222:「第3世代 パートナシッププロジェクト;技術仕様グループサービス及びシステム構成;汎用認証アーキテクチャ(GAA); HTTPSを使用するネットワークアプリケーション機能へのアクセス」 v.6.2.0
[4] 3GPP TSG SA WG3 セキュリティ−SA3#39、S3−050406:IMSシグナリング保護提案に基づくGBAの最新解析
[5] 3GPP TS 33.203:「第3世代パートナシッププロジェクト:技術仕様グループサービス及びシステム構成;IPベースサービスに対するアクセスセキュリティ」 v.6.7.0
[1] 3GPP TR 33.919:「第3世代 パートナシッププロジェクト;技術仕様グループサービス及びシステム構成;汎用認証アーキテクチャ(GAA)、システム詳細」 v.6.1.0
[2] 3GPP TS 33.220:「第3世代 パートナシッププロジェクト;技術仕様グループサービス及しシステム構成;汎用認証アーキテクチャ(GAA)」 汎用ブートストラップアーキテクチャ」 v.6.5.0
[3] 3GPP TS 33.222:「第3世代 パートナシッププロジェクト;技術仕様グループサービス及びシステム構成;汎用認証アーキテクチャ(GAA); HTTPSを使用するネットワークアプリケーション機能へのアクセス」 v.6.2.0
[4] 3GPP TSG SA WG3 セキュリティ−SA3#39、S3−050406:IMSシグナリング保護提案に基づくGBAの最新解析
[5] 3GPP TS 33.203:「第3世代パートナシッププロジェクト:技術仕様グループサービス及びシステム構成;IPベースサービスに対するアクセスセキュリティ」 v.6.7.0
Claims (23)
- プライバシー保護と認証サポートの向上のために、BSF(ブートストラップサーバ機能)ネットワークノード(120)が、ユーザエンティティUE(140)を認証するステップとUEと共有される少なくとも1つのセキュリティキーを確立するステップを少なくとも含む初期ステップを実行し、前記少なくとも1つのセキュリティキーが、第1キーKsとそれに関連付けられているキー識別子B_TIDと、第1キーKsから導出されかつ少なくとも1つのネットワークアプリケーション機能であるNAF(130)に関連付けられている少なくとも1つの第2キーKs_NAFとを備える、GAA/GBA(汎用認証アーキテクチャ/汎用ブートストラップアーキテクチャ)を実現する通信のためのネットワークにおける方法であって、
前記BSFネットワークノードが、前記UEが認証されていることをアサートする認証票を生成するステップと、
前記少なくとも1つの第2キーKs_NAFに関連付けられている、それぞれのNAFに対して固有である少なくとも1つのキー識別子B_TID_NAFを生成するステップと、
前記BSFネットワークノードが、前記キー識別子B_TIDと前記少なくとも1つのキー識別子B_TID_NAFを前記UEへ送信するステップと、
ネットワークアプリケーション機能NAFが、前記少なくとも1つのキー識別子B_TID_NAFを含むUEによるサービスに対するアクセスに応じて、該少なくとも1つのキー識別子B_TID_NAFを前記BSFネットワークノードへ提供するステップと、
前記BSFネットワークノードが、前記少なくとも1つのキー識別子B_TID_NAFに応じて、前記UEの認証状態の確立を実現するために、前記UEの認証票を識別するステップと
を備えることを特徴とする方法。 - 前記UEは、前記BSFネットワークノードと前記UE間のUbインタフェースを介して、前記キー識別子B_TIDによって識別される
ことを特徴とする請求項1に記載の方法。 - 前記送信するステップは、更に、前記第1キーKsを使用して、前記キー識別子B_TIDと前記少なくとも1つのキー識別子B_TID_NAFを暗号化する
ことを特徴とする請求項1に記載の方法。 - 前記認証票は、各NAFに対して固有であり、前記少なくとも1つのキー識別子B_TID_NAFによって識別される
ことを特徴とする請求項1に記載の方法。 - 前記提供するステップは、前記少なくとも1つのキー識別子B_TID_NAFの署名のプロビジョンを含み、
前記署名は、前記第1キーKsを使用するUEによって生成され、かつ前記サービスのためのアクセスに含まれる
ことを特徴とする請求項1に記載の方法。 - 前記署名は、有効期限付トークンを含んでいる
ことを特徴とする請求項5に記載の方法。 - 前記BSFネットワークノードが、前記少なくとも1つのキー識別子B_TID_NAFの署名を検証するステップを更に備える
ことを特徴とする請求項5に記載の方法。 - 前記NAFが、前記BSFネットワークノードから前記認証票をリクエストすることによって、認証状態を確立するステップを更に備える
ことを特徴とする請求項1乃至5のいずれか1項に記載の方法。 - 前記BSFネットワークノードが、前記認証票の解析によって、認証状態を確立するステップを更に備える
ことを特徴とする請求項1乃至5のいずれか1項に記載の方法。 - 前記提供時におけるNAFは、前記第2キーKs_NAFに対するリクエストを含んでいる
ことを特徴とする請求項1乃至5のいずれか1項に記載の方法。 - 前記認証票は、有効期間、認証時間及び認証方法の少なくとも1つの情報を含んでいる
ことを特徴とする請求項1乃至5のいずれか1項に記載の方法。 - 前記NAFが、認証の有効性を受け付けるための更なる要件を、前記BSFネットワークノードを提示するステップと、
前記BSFネットワークノードが、NAFについて、追加の要件を満足しているかを検証するステップと
を更に備えることを特徴とする請求項8に記載の方法。 - 前記BSFネットワークノードが、前記キー識別子B_TIDと前記少なくとも1つのキー識別子B_TID_NAFの送信とともに、あるいはそれとは別に、前記認証票を前記UEへ送信するステップを更に備える
ことを特徴とする請求項1乃至3のいずれか1項に記載の方法。 - 前記認証票は、各NAFに対して固有に生成され、前記少なくとも1つのキー識別子B_TID_NAFによって識別される
ことを特徴とする請求項13に記載の方法。 - 前記認証票は、式Encr(Ks,Voucher、Rand)に従って、前記第1キーKsと、各NAFに対して異なる選択された乱数を使用して、前記BSFネットワークノードが、該認証票を暗号化することによって固有に生成され、
前記式Encrは、暗号化機能であり、
前記暗号化された認証票を前記BSFネットワークノードへ送信し、
前記BSFネットワークノードが、前記認証票を解読し、その有効期限を検証し、
前記BSFネットワークノードが、新規の乱数(Rand2)を選択して、(Ks,Encr(Ks,Voucher、Rand2))として、前記第1キーKsを用いて、前記前記認証票を二重に再暗号化し、
前記BSFネットワークノードが、前記再暗号化された認証票を、前記NAFを通じて、前記UEへ返信し、
前記UEが、前記受信した認証票を1回解読して、Encr(Ks,Voucher,Rand2)を取得し、
前記UEが、前記1回解読した認証票を、次のNAFへのアクセスへ使用する
ことによって認証状態を確立する
ことを特徴とする請求項14に記載の方法。 - GAA/GBA(汎用認証アーキテクチャ/汎用ブートストラップアーキテクチャ)を実現する通信のためのネットワークにおいて、ユーザエンティティUE(140)を認証し、かつ前記UE(140)と共有キーKsのネゴシエートを実行するBSF(ブートストラップサーバ機能)ネットワークノード(120)であって
前記共有キーKsに関連付けられている識別子B_TIDを生成するための手段(320)と、
少なくとも1つのネットワークアプリケーション機能NAF(130)に関連付けられている、少なくとも1つのキーKs_NAFを生成し、かつそれぞれのNAFに対して固有である、少なくとも1つの対応する識別子B_TID_NAFを生成するための手段(320)と、
前記UEが認証されていることをアサートする認証票を生成する手段(330)と、
前記共有キーと前記キーKs_NAF、前記識別子B_TIDと前記少なくとも1つの識別子B_TID_NAF、及び前記認証票を記憶し、これらと前記UEとのリンクを行うための手段(360)と、
前記識別子B_TIDと前記少なくとも1つの識別子B_TID_NAFを前記UEへ送信するための手段(310)と、
前記UEに関連する前記少なくとも1つの識別子B_TID_NAFの受信に応じて、該UEの認証状態を確立することを可能にするための対応する認証票を取得するための手段(360)と
を備えることをネットワークノード。 - 前記共有キーKsと暗号化アルゴリズム(Encr)を使用して暗号化を行うための手段(380)を更に備える
ことを特徴とする請求項16に記載のネットワークノード。 - 乱数Randを生成するための手段(390)を更に備え、
前記暗号化を行うための手段(380)は、Encr(Ks,Voucher,Rand)の形式で、前記認証票を暗号化するために使用される
ことを特徴とする請求項17に記載のネットワークノード。 - 前記認証票を解析するための手段(340)から取得される前記UEの認証の詳細に関するリクエストを、NAFから受信し応答するための手段(310)を更に備える
ことを特徴とする請求項16に記載のネットワークノード。 - 前記リクエストは、認証のための時間、認証のための方法、あるいは認証の有効期間のいずれかあるいはすべてに関するものである
ことを特徴とする請求項19に記載のネットワークノード。 - GAA/GBA(汎用認証アーキテクチャ/汎用ブートストラップアーキテクチャ)インフラストラクチャを実現する通信ネットワークにおいて、プライバシー保護と認証の向上を実現するためのシステムであって、
ユーザエンティティUE(140)の認証をアサートする認証票と、それぞれのNAFに対して固有である、少なくとも1つのネットワークアプリケーション機能NAFに関連付けられているキーKs_NAFの識別子B_TID_NAFを提供する、ブートストラップサーバ機能BSF(120)と、
前記BSF(120)と前記UE(140)によって共有されているキーKsを使用する暗号化によって保護されている前記UE(140)と、前記BSF(130)との間のインタフェースUbと、
前記キーKsと有効期限付きトークンを使用してメッセージを署名することによって、中間者攻撃に対して保護されている前記NAF(130)と、前記UE(140)との間のインタフェースUaと、
認証票の有効性について前記BSF(120)と通信することで、いくつかのNAF(130)エンティティによる前記UE(140)を追跡するための共謀から保護するように構成されている、少なくとも1つのネットワークアプリケーション機能NAF(130)と
を備えることを特徴とするシステム。 - 認証を行っていることを示すアサーションだけを含むように、前記認証票内の情報を制限するための手段(330)と、
ユーザの認証に関連する更なる要件を、前記NAF(130)に対して提供するための手段と、
前記BSF(120)において、各更なる要件が満足していることを検証するための手段(340)と
を更に備えることを特徴とする請求項21に記載のシステム。 - それぞれのNAF(130)に対して、固有の認証票を生成するように、キーKsを使用して、かつ乱数に依存する前記認証票を暗号化するための手段(380)を更に備える
ことを特徴とする請求項21に記載のシステム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/SE2005/001128 WO2007008120A1 (en) | 2005-07-07 | 2005-07-07 | Method and arrangement for authentication and privacy |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009500902A true JP2009500902A (ja) | 2009-01-08 |
| JP4741664B2 JP4741664B2 (ja) | 2011-08-03 |
Family
ID=36124034
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008519215A Expired - Fee Related JP4741664B2 (ja) | 2005-07-07 | 2005-07-07 | 認証及びプライバシーに対する方法及び装置 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US20080215888A1 (ja) |
| EP (1) | EP1900169B1 (ja) |
| JP (1) | JP4741664B2 (ja) |
| CN (1) | CN101218800A (ja) |
| AT (1) | ATE457108T1 (ja) |
| CA (1) | CA2610947A1 (ja) |
| DE (1) | DE602005019255D1 (ja) |
| WO (1) | WO2007008120A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013516121A (ja) * | 2009-12-28 | 2013-05-09 | 中国移▲動▼通信集▲団▼公司 | 認証方法、システムおよび装置 |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7876845B2 (en) * | 2005-06-22 | 2011-01-25 | Eices Research, Inc. | Wireless communications systems and/or methods providing low interference, high privacy and/or cognitive flexibility |
| US8670493B2 (en) * | 2005-06-22 | 2014-03-11 | Eices Research, Inc. | Systems and/or methods of increased privacy wireless communications |
| USRE47633E1 (en) | 2005-06-22 | 2019-10-01 | Odyssey Wireless Inc. | Systems/methods of conducting a financial transaction using a smartphone |
| US8233554B2 (en) | 2010-03-29 | 2012-07-31 | Eices Research, Inc. | Increased capacity communications for OFDM-based wireless communications systems/methods/devices |
| CN101317181B (zh) * | 2005-10-21 | 2010-05-19 | 诺基亚公司 | 用于移动终端中安全鉴权响应的设备以及方法 |
| CN101039181B (zh) * | 2006-03-14 | 2010-09-08 | 华为技术有限公司 | 防止通用鉴权框架中服务功能实体受攻击的方法 |
| US8522025B2 (en) * | 2006-03-28 | 2013-08-27 | Nokia Corporation | Authenticating an application |
| WO2009004590A2 (en) * | 2007-07-03 | 2009-01-08 | Nokia Siemens Networks Oy | Method, apparatus, system and computer program for key parameter provisioning |
| CN103001940A (zh) * | 2007-10-05 | 2013-03-27 | 交互数字技术公司 | 由wtru使用的用于建立安全本地密钥的方法 |
| CN101163010B (zh) * | 2007-11-14 | 2010-12-08 | 华为软件技术有限公司 | 对请求消息的鉴权方法和相关设备 |
| EP3079298B1 (en) * | 2007-11-30 | 2018-03-21 | Telefonaktiebolaget LM Ericsson (publ) | Key management for secure communication |
| EP2277297B1 (en) * | 2008-05-13 | 2020-07-08 | Telefonaktiebolaget LM Ericsson (publ) | Verifying a message in a communication network |
| JP5153938B2 (ja) | 2008-05-29 | 2013-02-27 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 通信ネットワークにおけるiptvセキュリティ |
| US9374746B1 (en) | 2008-07-07 | 2016-06-21 | Odyssey Wireless, Inc. | Systems/methods of spatial multiplexing |
| WO2010012318A1 (en) * | 2008-07-31 | 2010-02-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods, nodes, system, computer programs and computer program products for secure user subscription or registration |
| US8472388B2 (en) * | 2008-10-10 | 2013-06-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Gateway apparatus, authentication server, control method thereof and computer program |
| CN102065421B (zh) * | 2009-11-11 | 2014-10-08 | 中国移动通信集团公司 | 一种更新密钥的方法、装置和系统 |
| US9806790B2 (en) | 2010-03-29 | 2017-10-31 | Odyssey Wireless, Inc. | Systems/methods of spectrally efficient communications |
| CN102299797A (zh) * | 2010-06-23 | 2011-12-28 | 财团法人工业技术研究院 | 认证方法、密钥分配方法及认证与密钥分配方法 |
| CN102595389B (zh) * | 2011-01-14 | 2017-11-03 | 中兴通讯股份有限公司 | 一种mtc服务器共享密钥的方法及系统 |
| CN103444215B (zh) | 2011-04-01 | 2017-10-27 | 瑞典爱立信有限公司 | 用于避免网络攻击的危害的方法和装置 |
| TW201306610A (zh) * | 2011-06-28 | 2013-02-01 | Interdigital Patent Holdings | 驗證協定之自動協商及選擇 |
| CN103188229B (zh) * | 2011-12-30 | 2017-09-12 | 上海贝尔股份有限公司 | 用于安全内容访问的方法和设备 |
| US9693226B2 (en) * | 2012-10-29 | 2017-06-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for securing a connection in a communications network |
| GB2540354A (en) * | 2015-07-13 | 2017-01-18 | Vodafone Ip Licensing Ltd | Generci bootstrapping architecture protocol |
| US11316670B2 (en) * | 2017-07-03 | 2022-04-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure communications using network access identity |
| CN110830240B (zh) * | 2018-08-09 | 2023-02-24 | 阿里巴巴集团控股有限公司 | 一种终端与服务器的通信方法和装置 |
| CN112087753B (zh) * | 2019-06-14 | 2021-12-03 | 华为技术有限公司 | 认证的方法、装置及系统 |
| US11638134B2 (en) * | 2021-07-02 | 2023-04-25 | Oracle International Corporation | Methods, systems, and computer readable media for resource cleanup in communications networks |
| US11709725B1 (en) | 2022-01-19 | 2023-07-25 | Oracle International Corporation | Methods, systems, and computer readable media for health checking involving common application programming interface framework |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005046118A1 (fr) * | 2003-11-07 | 2005-05-19 | Huawei Technologies Co., Ltd. | Procede pour verifier la validite d'un abonne |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6925562B2 (en) * | 1999-12-17 | 2005-08-02 | International Business Machines Corporation | Scheme for blocking the use of lost or stolen network-connectable computer systems |
| US8103004B2 (en) * | 2003-10-03 | 2012-01-24 | Sony Corporation | Method, apparatus and system for use in distributed and parallel decryption |
| GB0326265D0 (en) * | 2003-11-11 | 2003-12-17 | Nokia Corp | Shared secret usage for bootstrapping |
| US7353388B1 (en) * | 2004-02-09 | 2008-04-01 | Avaya Technology Corp. | Key server for securing IP telephony registration, control, and maintenance |
| GB0409704D0 (en) * | 2004-04-30 | 2004-06-02 | Nokia Corp | A method for verifying a first identity and a second identity of an entity |
| US7558957B2 (en) * | 2005-04-18 | 2009-07-07 | Alcatel-Lucent Usa Inc. | Providing fresh session keys |
-
2005
- 2005-07-07 US US11/994,935 patent/US20080215888A1/en not_active Abandoned
- 2005-07-07 EP EP05757079A patent/EP1900169B1/en not_active Not-in-force
- 2005-07-07 WO PCT/SE2005/001128 patent/WO2007008120A1/en active Application Filing
- 2005-07-07 AT AT05757079T patent/ATE457108T1/de not_active IP Right Cessation
- 2005-07-07 JP JP2008519215A patent/JP4741664B2/ja not_active Expired - Fee Related
- 2005-07-07 CA CA002610947A patent/CA2610947A1/en not_active Abandoned
- 2005-07-07 CN CNA2005800509701A patent/CN101218800A/zh active Pending
- 2005-07-07 DE DE602005019255T patent/DE602005019255D1/de active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005046118A1 (fr) * | 2003-11-07 | 2005-05-19 | Huawei Technologies Co., Ltd. | Procede pour verifier la validite d'un abonne |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013516121A (ja) * | 2009-12-28 | 2013-05-09 | 中国移▲動▼通信集▲団▼公司 | 認証方法、システムおよび装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2610947A1 (en) | 2007-01-18 |
| DE602005019255D1 (de) | 2010-03-25 |
| CN101218800A (zh) | 2008-07-09 |
| EP1900169A1 (en) | 2008-03-19 |
| ATE457108T1 (de) | 2010-02-15 |
| WO2007008120A9 (en) | 2008-01-31 |
| US20080215888A1 (en) | 2008-09-04 |
| JP4741664B2 (ja) | 2011-08-03 |
| EP1900169B1 (en) | 2010-02-03 |
| WO2007008120A1 (en) | 2007-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4741664B2 (ja) | 認証及びプライバシーに対する方法及び装置 | |
| KR101038064B1 (ko) | 애플리케이션 인증 | |
| KR101009330B1 (ko) | 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 | |
| WO2017028593A1 (zh) | 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质 | |
| US11044084B2 (en) | Method for unified network and service authentication based on ID-based cryptography | |
| CN111050322B (zh) | 基于gba的客户端注册和密钥共享方法、装置及系统 | |
| US8875236B2 (en) | Security in communication networks | |
| AU2009234465B2 (en) | Methods and apparatus for authentication and identity management using a Public Key Infrastructure (PKI) in an IP-based telephony environment | |
| KR20070102722A (ko) | 통신 시스템에서 사용자 인증 및 권한 부여 | |
| EP1999567A2 (en) | Proactive credential distribution | |
| CN108353279B (zh) | 一种认证方法和认证系统 | |
| JP7337912B2 (ja) | コアネットワークへの非3gppデバイスアクセス | |
| CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
| KR102345093B1 (ko) | 무선 인터넷의 보안 세션 제어 시스템 및 보안 세션 제어 방법 | |
| KR20080031731A (ko) | 인증 및 프라이버시를 위한 방법 및 장치 | |
| WO2020037958A1 (zh) | 基于gba的客户端注册和密钥共享方法、装置及系统 | |
| CN116232620A (zh) | 认证方法、装置、通信设备及可读存储介质 | |
| KR20070019795A (ko) | 사용자들의 인증 | |
| Networking | Project IEEE 802.16 Broadband Wireless Access Working Group< http://ieee802. org/16> Title Enhancement of 802.16 e to Support EAP-based Authentication/Key Distribution Rev. 3 | |
| Networking | Project IEEE 802.16 Broadband Wireless Access Working Group< http://ieee802. org/16> Title Enhancement of 802.16 e to Support EAP-based Authentication/Key Distribution Rev. 4 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110422 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110506 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140513 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |