JP2009533932A - キー導出におけるパラメータ結合に基づくチャネル結合機構 - Google Patents
キー導出におけるパラメータ結合に基づくチャネル結合機構 Download PDFInfo
- Publication number
- JP2009533932A JP2009533932A JP2009505061A JP2009505061A JP2009533932A JP 2009533932 A JP2009533932 A JP 2009533932A JP 2009505061 A JP2009505061 A JP 2009505061A JP 2009505061 A JP2009505061 A JP 2009505061A JP 2009533932 A JP2009533932 A JP 2009533932A
- Authority
- JP
- Japan
- Prior art keywords
- key
- authenticator
- eap
- channel
- combination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/081—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying self-generating credentials, e.g. instead of receiving credentials from an authority or from another peer, the credentials are generated at the entity itself
Abstract
【課題】キー取得手順におけるパラメータ結合に基づくチャネル結合機構を提供する。
【解決手段】この方法はアクセスネットワークパラメータをEAP認証メソッドでそれらパラメータを搬送することを必要としないで暗号化的にキーに結合する。
【選択図】 図3
【解決手段】この方法はアクセスネットワークパラメータをEAP認証メソッドでそれらパラメータを搬送することを必要としないで暗号化的にキーに結合する。
【選択図】 図3
Description
本発明は、無線通信、特にピア(装置対)とサーバ間の整合性のために確認されるパラメータをチャネル結合する方法及びシステムに関する。
ネットワーク及びインターネット(登録商標)プロトコル
多様なコンピュータネットワークがあり、インターネットは最も有名である。インターネットは、コンピュータネットワークの世界規模のネットワークである。今日、インターネットは、何百万人ものユーザが利用可能な、公衆の自律的ネットワークである。インターネットは、TCP/IP(すなわち、伝送制御プロトコル/インターネットプロトコル)と呼ばれる1組の通信プロトコルを使って各ホストを接続する。インターネットは、インターネットバックボーンとして呼ばれる通信インフラストラクチャを有する。インターネットバックボーンへのアクセスは大部分企業及び個人へのアクセスを再販するインターネットサービスプロバイダ(ISP)によって制御される。
多様なコンピュータネットワークがあり、インターネットは最も有名である。インターネットは、コンピュータネットワークの世界規模のネットワークである。今日、インターネットは、何百万人ものユーザが利用可能な、公衆の自律的ネットワークである。インターネットは、TCP/IP(すなわち、伝送制御プロトコル/インターネットプロトコル)と呼ばれる1組の通信プロトコルを使って各ホストを接続する。インターネットは、インターネットバックボーンとして呼ばれる通信インフラストラクチャを有する。インターネットバックボーンへのアクセスは大部分企業及び個人へのアクセスを再販するインターネットサービスプロバイダ(ISP)によって制御される。
IP(インターネットプロトコル)に関して、これは、ネットワーク上である装置(電話機、PDA[携帯情報端末]、コンピュータなど)から別の装置にデータを送るためのプロトコルである。今日、IPv4、IPv6などを含めて、様々なIPのバージョンがある。ネットワーク上の各ホスト装置は、独自の一意の識別子である少なくとも1つのIPアドレスを有する。
IPはコネクションレス型プロトコルである。通信時の端点間接続は連続的ではない。ユーザがデータ又はメッセージを送信し、又は受信するとき、データ又はメッセージは、パケットと呼ばれる構成要素に分割される。各パケットは、独立のデータ単位として扱われる。
インターネットなどのネットワークを介した各点間の伝送を標準化するために、OSI(開放型システム間相互接続)モデルが確立された。OSIモデルは、ネットワーク中の2点間の通信プロセスを7つの階層に分け、各層(レイヤ)は独自の機能セットを付加する。各装置は、送信側端点では各層を通る下方への流れがあり、受信側端点では各層を通る上方への流れがあるようにメッセージを処理する。7つの機能層を提供するプログラミング及び/又はハードウェアは、通常、デバイスオペレーティングシステム、アプリケーションソフトウェア、TCP/IP及び/又は他のトランスポート及びネットワークプロトコル、ならびに他のソフトウェア及びハードウェアの組み合わせである。
通常、上位4層は、メッセージがユーザから、又はユーザへ渡されるときに使用され、下位3層は、メッセージが装置(IPホスト装置など)を通過するときに使用される。IPホストは、サーバ、ルータ、ワークステーションなど、IPパケットを送受信することのできるネットワーク上の任意の装置である。他の何らかのホストに向けられているメッセージは、各上位層には渡されず、この他のホストに転送される。OSIモデルの各層を以下に列記する。第7層(すなわち、アプリケーション層)は、例えば、通信相手が識別され、サービス品質が識別され、ユーザ認証及びプライバシが考慮され、データ構文に対する制約条件が識別される層である。第6層(すなわち、プレゼンテーション層)は、例えば、着信及び発信データをあるプレゼンテーション形式から別の形式に変換する層である。第5層(すなわち、セッション層)は、例えば、アプリケーション間の対話、交換及びダイアログをセットアップし、調整し、終了させる層である。第4層(すなわち、トランスポート層)は、例えば、エンドツーエンド制御及び誤りチェックなどを管理する層である。第3層(すなわち、ネットワーク層)は、例えば、経路指定や転送などを処理する層である。第2層(すなわち、データリンク層)は、例えば、物理レベルでの同期を提供し、ビットスタッフィングを行い、伝送プロトコルの知識及び管理などを提供する層である。米国電気電子技術者協会(IEEE)では、データリンク層を、物理層との間のデータ転送を制御するMAC(媒体アクセス制御)層と、ネットワーク層とのインターフェースを取り、コマンドを解釈し、誤り回復を行うLLC(論理リンク制御)層という、2つのさらなる副層(サブレイヤ)に細分する。第1層(すなわち、物理層)は、例えば、物理レベルにおいてネットワークを介してビットストリームを伝達する層である。IEEEでは、物理層を、PLCP(物理層収束手順)副層とPMD(物理媒体依存)副層とに細分する。
無線ネットワーク:
無線ネットワークは、例えば、セルラ及び無線電話機、PC(パーソナルコンピュータ)、ラップトップコンピュータ、装着型コンピュータ、コードレス電話機、ポケットベル、ヘッドセット、プリンタ、PDAなど、多種多様なモバイル機器を組み込むことができる。例えば、モバイル機器は、音声及び/又はデータの高速無線伝送を確保するデジタルシステムを含むことができる。典型的なモバイル機器は、次の構成要素の一部又は全部、即ち送受信機(すなわち、例えば、送信機、受信機及び、必要に応じて、他の機能が統合されたシングルチップ送受信機などを含む、送信機及び受信機)、アンテナ、プロセッサ、1つ又は複数の音声変換器(例えば、音声通信用機器でのスピーカやマイクロホンなど)、電磁データ記憶(データ処理が提供される機器の場合などでの、ROM、RAM、デジタルデータ記憶など)、メモリ、フラッシュメモリ、フルチップセット又は集積回路、インターフェース(USB、CODEC、UART、PCMなど)及び/又は同種のものを含む。
無線ネットワークは、例えば、セルラ及び無線電話機、PC(パーソナルコンピュータ)、ラップトップコンピュータ、装着型コンピュータ、コードレス電話機、ポケットベル、ヘッドセット、プリンタ、PDAなど、多種多様なモバイル機器を組み込むことができる。例えば、モバイル機器は、音声及び/又はデータの高速無線伝送を確保するデジタルシステムを含むことができる。典型的なモバイル機器は、次の構成要素の一部又は全部、即ち送受信機(すなわち、例えば、送信機、受信機及び、必要に応じて、他の機能が統合されたシングルチップ送受信機などを含む、送信機及び受信機)、アンテナ、プロセッサ、1つ又は複数の音声変換器(例えば、音声通信用機器でのスピーカやマイクロホンなど)、電磁データ記憶(データ処理が提供される機器の場合などでの、ROM、RAM、デジタルデータ記憶など)、メモリ、フラッシュメモリ、フルチップセット又は集積回路、インターフェース(USB、CODEC、UART、PCMなど)及び/又は同種のものを含む。
モバイルユーザが無線接続を介してローカルエリアネットワーク(LAN)に接続することのできる無線LAN(WLAN)が、無線通信に用いられ得る。無線通信には、例えば、光、赤外線、電波、マイクロ波などの電磁波を介して伝搬する通信などが含まれ得る。現在、ブルートゥース(登録商標)、IEEE802.11、HomeRFなど、様々なWLAN標準が存在する。
一例として、ブルートゥース製品は、モバイルコンピュータ、モバイル電話機、携帯式ハンドヘルド機器、携帯情報端末(PDA)、及び他のモバイル機器の間のリンク、ならびにインターネットへの接続を提供するのに使用できる。ブルートゥースは、モバイル機器が、短距離無線接続を使って、相互に、また非モバイル機器と、どのようにして容易に相互接続し合うことができるかを詳述するコンピュータ及び電気通信業界仕様である。ブルートゥースは、ある機器と別の機器との間でデータを同期させ、整合させ続けることを必要とする、様々なモバイル機器の普及から生じるエンドユーザ問題に対処して、異なるベンダからの装置を相互にシームレスに動作させるデジタル無線プロトコルを作成する。ブルートゥース機器は、共通の命名概念に従って命名できる。例えば、ブルートゥース機器は、ブルートゥース機器名(BDN)又は一意のブルートゥース機器アドレス(BDA)に関連付けられた名前を持ち得る。また、ブルートゥース機器は、インターネットプロトコル(IP)ネットワークに参加することもできる。ブルートゥース機器がIPネットワーク上で機能する場合、この機器は、IPアドレス及びIP(ネットワーク)名を備え得る。よって、IPネットワークに参加するように構成されたブルートゥース機器は、BDN、BDA、IPアドレス及びIP名などを含むことができる。「IP名」という用語は、インターフェースのIPアドレスに対応する名前を指す。
IEEE標準であるIEEE802.11は、無線LAN及び機器の技術の仕様を定める。802.11を使えば、各単一基地局がいくつかの機器をサポートする無線ネットワークが実現できる。いくつかの例では、機器に無線ハードウェアが事前装備されていることもあり、ユーザが、アンテナを含み得る、カードなどの別個のハードウェアをインストールすることもできる。例えば、802.11で使用される機器は、通常、機器がアクセスポイント(AP)であるか、移動局(STA)であるか、ブリッジであるか、PCMCIAカードであるか、それとも別の機器であるか否かを問わず、無線送受信機、アンテナ、及びネットワークにおける各点間のパケットの流れを制御するMAC(媒体アクセス制御)層という3つの注目すべき要素を含む。
更に、いくつかの無線ネットワークでは、複数インターフェース機器(MID)が利用できる。MIDは、ブルートゥースインターフェースと802.11インターフェースなど、2つの独立のネットワークインターフェースを含むことができ、よって、MIDが2つの別個のネットワーク上に参加すると同時に、ブルートゥース機器ともインターフェースすることが可能になる。MIDは、IPアドレス、及びIPアドレスに関連付けられた共通IP(ネットワーク)名を持つことができる。
無線ネットワーク機器には、それだけに限らないが、ブルートゥース機器、複数インターフェース機器(MID)、802.11x機器(802.11a、802.11b、802.11g機器などを含む、IEEE802.11機器)、HomeRF(家庭内無線周波数)機器、Wi−Fi(Wireless Fidelity)機器、GPRS(汎用パケット無線システム)機器、3Gセルラ機器、2.5Gセルラ機器、GSM(移動通信用グローバルシステム)機器、EDGE(Enhanced Data for GSM Evolution)機器、TDMA型(時分割多重接続)機器、又はCDMA2000を含むCDMA型(符号分割多重接続)機器が含めることができる。各ネットワーク機器は、それだけに限らないが、IPアドレス、ブルートゥース機器アドレス、ブルートゥース共通名、ブルートゥースIPアドレス、ブルートゥースIP共通名、802.11IPアドレス、802.11IP共通名、IEEE MACアドレスを含む、様々な種類のアドレスを含むことができる。
また、無線ネットワークは、例えば、モバイルIP(インターネットプロトコル)システム、PCSシステム、及び他のモバイルネットワークシステムにおいて見られる方法及びプロトコルも関与できる。モバイルIPでは、これに、インターネット技術標準化委員会(IETF)によって作成された標準通信プロトコルが関与する。モバイルIPでは、モバイル機器ユーザは、これらの一旦割り当てられたIPアドレスを維持しつつ、各ネットワークにまたがって移動することができる。コメント要求(RFC)3344を参照されたい。(注:RFCはインターネット技術標準化委員会(IETF)の公式文書である。)モバイルIPは、インターネットプロトコル(IP)を拡張し、モバイル機器のホームネットワーク外部に接続するときに、モバイル機器にインターネットトラフィックを転送する手段を付加する。モバイルIPは、各モバイルノードに、これのホームネットワーク上のホームアドレスと、ネットワーク及びこれのサブネット内の機器の現在位置を識別する気付アドレス(CoA)を割り当てる。機器が異なるネットワークに移動すると、機器は、新しい気付アドレスを受け取る。ホームネットワーク上のモビリティエージェントは、各ホームアドレスを、これの気付アドレスと関連付けることができる。モバイルノードは、インターネット制御メッセージプロトコル(ICMP)などを使って、これの気付アドレスを変更する都度ホームエージェントにバインディング更新を送ることができる。
(例えば、モバイルIP外部などの)基本的なIP経路指定において、経路指定機構は、各ネットワークノードが、常に、インターネットなどへの一定の接続点を有し、かつ各ノードのIPアドレスが、これが接続されているネットワークリンクを識別するという仮定を利用する。本明細書において、「ノード」という用語は、例えば、データ伝送のための再配信点や端点などを含むことができ、他のノードへの通信を認識し、処理し、及び/又は転送することのできる接続点を含む。例えば、インターネットルータは、機器のネットワークを識別するIPアドレスなどを調べることができる。次いで、ネットワークレベルにおいて、ルータは、特定のサブネットを識別するビットセットを調べることができる。次いで、サブネットレベルにおいて、ルータは、特定の機器を識別するビットセットを調べることができる。典型的なモバイルIP通信の場合、ユーザが、例えば、インターネットなどからモバイル機器を切断し、これを新しいサブネットで再接続しようとする場合、機器は、新しいIPアドレス、適正なネットマスク及びデフォルトのルータを用いて再構成する必要がある。そうでなければ、経路指定プロトコルは、パケットを適正に配信することができないはずである。
EAP
このセクションは拡張可能認証プロトコル(EAP)に関する背景情報を説明している。このセクションの内容は次の文献、EAP Key Management Framework, Internet Draft April 13, 2006, Aboba, et al(この内容は本願に引用して援用する)からの引用である。
このセクションは拡張可能認証プロトコル(EAP)に関する背景情報を説明している。このセクションの内容は次の文献、EAP Key Management Framework, Internet Draft April 13, 2006, Aboba, et al(この内容は本願に引用して援用する)からの引用である。
[RFC3748]で定義される拡張可能認証プロトコル(EAP)はIPプロトコルが利用できない状況においてネットワークアクセスのため拡張可能認証を可能にするよう設計されていた。基本的にはPPP [RFC1661]と共に使用するために開発されており、その後、それはIEEE 802有線ネットワーク[IEEE-802.1X], [IEEE-802.11i]及び[IEEE-802.16e]のような無線ネットワーク並びにIKEv2 [RFC4306]に適用されていた。
EAPでは、キーイングマテリアルはEAP認証メソッドによって生成される。このキーイングマテリアルの一部はEAP認証メソッド自体によって使用でき、このマテリアルの一部は転送できる。転送されたキーイングマテリアルはAAAプロトコルによって伝送でき、又は下位層暗号組によって使用されるセッションキーの生成又は伝送において安全関連プロトコルによって使用できる。
[RFC3748]で定義されたEAPはEAPピア及びサーバ間通話の2者間プロトコル(two-party protocol)である。このキーイングマテリアルの一部はEAP認証メソッド自体によって使用でき、このマテリアルの一部は転送できる。キーイングマテリアルの転送に加えて、EAP認証メソッドは関連パラメータも転送でき、下位層からチャネル結合(Channel Bindings)を転入転送できる。
図1に示されるように[本特許出願の図6のような再生を参照]、EAP認証メソッドキー導出は選択EAP認証メソッドによって利用される長期間認可確率(long term credential)を根底に持っている。認証が事前共有キーに基づいていれば、加入者(parties)は使用すべきEAP認証メソッド及び事前共有キーを格納する。EAPサーバがピア識別並びにそれに関連する他の情報も格納する。この情報は幾つかのサービスへのアクセスが許可されるかどうかを決定するために使用できる。ピアはどのサービスに利用するためにどれかのシークレットを選択するために必要な情報を記憶する。
認証(authentication)が証明(certificate)内に含まれている公開キーに対応する秘密キーの所有証明(proof)に基づいていれば、メンバは使用対象のEAP認証メソッド及び証明を有効にするために使用される信託アンカー(trust anchors)を保存する。EAPサーバはピアの同一性を保存し、ピアはどのサービスに利用するためにどれかの証明を選択するために必要な情報を保存する。
ピアとサーバとの間に確立される長期認可確率に基づいて、EAP認証メソッドは二種類のキー、即ち、[1]EAP認証メソッドによって局所的に計算されるが、TEKのように、EAP認証メソッドによって転送されないキー、[2]EAP認証メソッドによって転送されるキーイングマテリアル、即ちMSK, EMSK, IVを生成する。[RFC3748] セクション7に注記されているように、キーを生成するEAP認証メソッドは長さが少なくとも64オクテット(octets)でなければならないMSK及びEMSKを算出し、転送するために使用される。EAP認証メソッドはIVを転送もできるが、IVの使用は軽視される。
EAP認証メソッドは方法特定ピア及びサーバ識別子(ピアID及びサーバID)、方法IDとして知られている方法特定EAP対話識別子及びキー寿命として知られている転送キーの寿命を転送できる。EAPはチャネル結合の取り込み及び転送を支援できる。新EAP認証メソッド仕様はピアID、サーバID及び方法IDを定義しなければならない。ピアIDとサーバIDとの組み合わせはEAP認証メソッド転換の端点を一意的に特定する。
チャネル結合はEPAピアとサーバ間の整合性を立証する下位層パラメータを含む。導入メディア依存性を避けるために、チャネル結合データを伝送するEAP認証メソッドは透明オクテットとしてこのデータを処理しなければならない。一般的には、EAP認証メソッドはペアに関する下位層からチャネル結合を取り込み、それらを確実にEAPサーバに転送する。このEAPサーバはそれらを下位層に確実に転送する。しかしながら、伝送はEAPサーバからピアに生じるかもしれなく、または双方向であるかもしれない。チャネル結合が認証される交換機(ピア又はサーバ)の側で下位層はEAP認証メソッドまでの検証(真又は偽)の結果を出す。
EAPキー管理フレームワーク内に作られる各キーは範囲(キーが利用できるメンバ)だけでなく名前(一意の名前)を有する。転送パラメータの範囲は(方法内で確実に置換されるなら)EAPペア名及び(確実に置換されるだけならば)EAPサーバ名によって定義される。ペア又はサーバ名が見つからなければ、ゼロ列(null string)が使用される。
「EAPの不変性(EAP Invariants)」として知られるある基本特性は全てのメディア、即ちモード非依存、メディア非依存、方法非依存[及び]暗号組非依存(Ciphersuite independence)でのEAP実施について当てはまる。
モード非依存
EAPは、一般的に、ピアが1個以上のオーセンティケータ(認証者)を介してネットワークアクセスを望む状態において拡張可能なネットワークアクセス認証を支援するために導入される。オーセンティケータが単独で導入される場合、EAP対話がピアとオーセンティケータとの間で生じ、オーセンティケータがピアに受け入れ可能なEAP認証メソッドを実装しなければならない。しかし、EAPの利点の1つは基本的な認証手順に関する実装部分の変更を必要としないで新しい認証メソッドを導入することを可能にすることである。
EAPは、一般的に、ピアが1個以上のオーセンティケータ(認証者)を介してネットワークアクセスを望む状態において拡張可能なネットワークアクセス認証を支援するために導入される。オーセンティケータが単独で導入される場合、EAP対話がピアとオーセンティケータとの間で生じ、オーセンティケータがピアに受け入れ可能なEAP認証メソッドを実装しなければならない。しかし、EAPの利点の1つは基本的な認証手順に関する実装部分の変更を必要としないで新しい認証メソッドを導入することを可能にすることである。
オーセンティケータが幾つかのEAP認証メソッドを実装でき、そのアウセンティケータにしか接続しないような局所的なユーザを認証するためにこれらの方法を使用できる間は、それは同時に他のユーザ及び方法に対してパススルーとして作用し、バックエンド認証サーバ及びピアとの間でEAPパケットを往復して転送する。これは、オーセンティケータとバックエンド認証サーバとの間で、認証、許諾及び課金(AAA)プロトコルを用いてEAPパケットを運ぶことにより行われる。EAPを支援するAAAプロトコルはRADIUS [RFC3579]とDiameter [RFC4072]を含む。
EAP認証メソッド層にてEAPピアとセーバとの対話はEAPオーセンティケータが「パススルー」モードで動作しているかどうかによって影響されないと言うことはEAPの基本的な特性である。EAP認証メソッドは、オーセンティケータがパススルーとして動作しているか否かに関係なくキー導出及びパラメータ取り込み/転送を含めて、全ての態様において同様に動作する。
キー導出を支援するEAP認証メソッドの無事完了により、EAPピアとサーバに関するキーイングマテリアル(keying material)が転送されることになる。EAPピア又はサーバはEAPオーセンティケータの識別を含む可能性のあるチャネル結合を転送できるとしても、この情報は透明オクテット(opaque octets)として処理される。その結果、EAP内では、関連同一性だけがピアID及びサーバIDとなる。チャネル結合は下位層によって説明されるだけである。
EAP内では、AAAプロトコルの基本機能はモードの原則を維持することになる。故に、EAPピアが関連する限り、EAPオーセンティケータとの対話及びその対話の全ての結果はオーセンティケータの動作モードに関係なく同一である。
メディア独立性
EAPのゴールの1つはEAP認証メソッドが[RFC3748]のセクション3.1に概要を示している基準に合う任意の下位層で機能することを可能にすることである。例えば、[RFC3748]に記載されているように、EAP認証はPPP [RFC1661], IEEE 802無線ネットワーク [IEEE-802.1X],及びIEEE 802.11無線LANs [IEEE-802.11i]を介して実行できる。
EAPのゴールの1つはEAP認証メソッドが[RFC3748]のセクション3.1に概要を示している基準に合う任意の下位層で機能することを可能にすることである。例えば、[RFC3748]に記載されているように、EAP認証はPPP [RFC1661], IEEE 802無線ネットワーク [IEEE-802.1X],及びIEEE 802.11無線LANs [IEEE-802.11i]を介して実行できる。
メデイア独立性を維持するために、メデイアに特化した部分を考慮することを避けることがEAPには必要である。例えば、EAP認証メソッドはそれらが運ばれる下位層の知識を持つことを仮定することができなく、特定使用環境(と関連する識別子例えば、MACアドレス)を使用することができない。
メディア独立性はチャネル結合又は方法特定認証をサポートするEAP認証メソッド内で維持できることを留意する。EAP認証メソッドはそれを使用するために識別子の内容を認識する必要がない。これはメディア独立性に妥協しないでMACアドレスのようなメディア特定識別子をEAP認証メソッドが使用することを可能にする。チャネル結合はEAP認証メソッドによって透明オクテットとして扱われ、それ故に、それらを取り扱うときメデイア特定知識を必要としない。
EAPメソッド独立性
パススルーを可能にすることによって、オーセンティケータは局所的に実施されている方法だけでなく、ピア及びサーバにおいて実施される任意のEAP認証メソッドをサポートできる。これはオーセンティケータがピアによって要求される特定のEAP認証メソッドに依存した実装符号を実施することを避けることを可能にする。実際に、パススルーオーセンティケータはEAP認証メソッドを実装する必要がないため、あるEAP認証メソッドに依存したどのような実装をサポートするとは仮定できない。
パススルーを可能にすることによって、オーセンティケータは局所的に実施されている方法だけでなく、ピア及びサーバにおいて実施される任意のEAP認証メソッドをサポートできる。これはオーセンティケータがピアによって要求される特定のEAP認証メソッドに依存した実装符号を実施することを避けることを可能にする。実際に、パススルーオーセンティケータはEAP認証メソッドを実装する必要がないため、あるEAP認証メソッドに依存したどのような実装をサポートするとは仮定できない。
結果的に、[RFC3748]に言及されているように、オーセンティケータは任意のEAP認証メソッドをデフォルトでサポートできなければならない。これは実装が必須で、かつ使用中のメデイアに対して要求を満たすレベルのセキュリティを提供する単一のEAP認証メソッドがない場合に有効である。例えば、[RFC3748]委任対実施EAP認証メソッド(MD5チャレンジ)は辞書攻撃抵抗、相互認証又はキー導出を提供しなく、その結果無線LAN認証[RFC4017]での使用に適していない。しかしながら、これにもかかわらず、適正なEAP認証メソッドがEAPサーバにおいてサポートされている限りピア及びオーセンティケータは同時に使用できる。
暗号組独立性(Ciphersuite Independence)
暗号組独立性はメディア独立性の要求である。下位層暗号組は媒体間で変わるので、メディア独立性はEAPキーイングマテリアルが任意の暗号組を扱うために(十分なエントロピによって)十分大きくなる必要があることを要求する。
暗号組独立性はメディア独立性の要求である。下位層暗号組は媒体間で変わるので、メディア独立性はEAPキーイングマテリアルが任意の暗号組を扱うために(十分なエントロピによって)十分大きくなる必要があることを要求する。
EAP認証メソッドはEAP対話の保護に必要な暗号組を取り決めることができるが、EAP認証が完了した後に交換されるデータの保護に使用される暗号組はEAP外の下位層内のピアとオーセンティケータ間で取り決められる。例えば、PPP内では、暗号組はEAP認証が完了した後、[RFC1968]に規定された暗号管理プロトコル(Encryption Control Protocol (ECP))内で取り決められる。[IEEE-802.11i]内では、AP暗号組がEAP認証の前にビーコン及びプローブ応答(Beacon and Probe Responses)で通知され、4方向ハンドシェイク交換中に安全に確認される。
データを保護するために使用される暗号組は下位層に依存するので、これによりもしEAP認証メソッドが下位層の知識を必要となったとすれば、暗号組がメデイア独立性の原理を危うくすることになる。しかしながら、暗号組のネゴシエーションは下位層で行われるので、EAP内で暗号組ネゴシエーションの必要がなく、したがって、EAP認証メソッドが生成するキーイングマテリアルは暗号組に依存しない。
TEK導出のためのアルゴリズムはEAP認証メソッドに特定されてもよいが、TSKsを導出するアルゴリズムはEAP認証メソッドに依存してはいけない。暗号組がEAPキーイングフレームワーク内で利用可能にするために、各EAP認証メソッドの仕様書は、暗号組と共に使用されるTSKsがEAPキーイングパラメータからどのように導出されるかを説明しなければならない。
EAPオーセンティケータ又はピアは、
[a]1以上の物理又は論理ポートを含むことができる。
[a]1以上の物理又は論理ポートを含むことができる。
[b]1以上の「仮想」オーセンティケータ又はピアとして自ら通知できる、
[c]多数のCPUを利用できる、
[d]ロード・バランシング又はフェイルオーバのためクラスタリングサービスをサポートできる、
ことは理解すべきである。
[c]多数のCPUを利用できる、
[d]ロード・バランシング又はフェイルオーバのためクラスタリングサービスをサポートできる、
ことは理解すべきである。
多数のポート
EAPピア及びオーセンティケータの両方は1以上の物理又は論理ポートを持つことができる。ピアは多数のオーセンティケータを介して又は所定のオーセンティケータの物理又は論理ポートを介してネットワークを同時にアクセスできる。同様に、オーセンティケータは分離物理又は論理ポートをそれぞれ介して多数のピアに対してネットワークアクセスを行うことができる。この状態は図5に示されている(この特許出願の図6の復元を参照)。下位層内の明示的説明はないが、EAPキーイングマテリアル及びパラメータは特定のピア又はオーセンティケータポートに縛られない。ピア及びオーセンティケータはリンク層アドレスのようなポート識別子を用いて下位層内で自らを識別する場合、オーセンティケータポートがどのオーセンティケータに関連しているかがピアに明らかでないかもしれないのでこれが問題を生み出す。同様に、ピアポートがどのピアと関連しているかがオーセンティケータには明らかでないかもしれない。その結果、ピア及びオーセンティケータはEAPキーイングマテリアルの範囲を決定できないかもしれない。これはキーキャッシングがサポートされている下位層に対して特に問題となる。
EAPピア及びオーセンティケータの両方は1以上の物理又は論理ポートを持つことができる。ピアは多数のオーセンティケータを介して又は所定のオーセンティケータの物理又は論理ポートを介してネットワークを同時にアクセスできる。同様に、オーセンティケータは分離物理又は論理ポートをそれぞれ介して多数のピアに対してネットワークアクセスを行うことができる。この状態は図5に示されている(この特許出願の図6の復元を参照)。下位層内の明示的説明はないが、EAPキーイングマテリアル及びパラメータは特定のピア又はオーセンティケータポートに縛られない。ピア及びオーセンティケータはリンク層アドレスのようなポート識別子を用いて下位層内で自らを識別する場合、オーセンティケータポートがどのオーセンティケータに関連しているかがピアに明らかでないかもしれないのでこれが問題を生み出す。同様に、ピアポートがどのピアと関連しているかがオーセンティケータには明らかでないかもしれない。その結果、ピア及びオーセンティケータはEAPキーイングマテリアルの範囲を決定できないかもしれない。これはキーキャッシングがサポートされている下位層に対して特に問題となる。
例えば、EAPピアがEAPオーセンティケータを識別できない場合に、EAPキーイングマテリアルがその承認範囲外で供給されていたかどうかを決定することができなく、故に、安全性に関する妥協が生じたと考える必要がある。EAPピアはEAPオーセンティケータキーキャッシュを効率的に利用できなくなる実際の問題がある。この問題の解決法は下位層がEAPピア及びオーセンティケータを明らかに識別するためにはピア及びオーセンティケータアーチテクチャについて暗黙の想定を組み入れないことである。ピア及びオーセンティケータが多数のポートをサポートできる場合は、ポート識別子の使用は推奨されない。
キー範囲を更に制限するためには、次の方法が示唆される。
[a]下位層はEAPピアに関するEAPキーイングマテリアル及びパラメータの使用をEAPにおいて対話が導かれたポートに限定するようなキー使用に付加的な制限を特定できる。
[b]最終段認証サーバ及びオーセンティケータはEAPキーイングマテリアルの範囲を更に限定するために付加的な属性を導入できる。例えば、802.11において、最終段認証サーバはEAPキーイングマテリアルが有効である認証コールド又はコーリング−ステーション−ids(Called or Calling-Station-Ids)及び/又はSSIDsのリストをオーセンティケータに提供できる。
[c]最終段認証サーバがキー範囲を制限する属性を提供する場合、キー範囲の制限に関する情報がオーセンティケータによってピアに安全に通信されることが推奨される。これはセキュアアソシエーションプロトコル(Secure Association Protocol)を用いて行うことができるが、EAP認証メソッド又は下位層を介して行うこともできる。
オーセンティケータアーチテクチャ
EAP認証メソッド対話はピアID及びサーバIDによって識別されるように、EAPピアとサーバとの間で行われる。オーセンティケータの識別情報はチャネル結合のために透明ブロブ(opaque blob)として扱われる。しかしながら、セキュアアソシエーションプロトコル対話はピアとオーセンティケータとの間にあり、オーセンティケータとピアの識別子はその対話において、下位層に伝えられるEAPキーイングマテリアルの使用範囲を規定するために使用される。
EAP認証メソッド対話はピアID及びサーバIDによって識別されるように、EAPピアとサーバとの間で行われる。オーセンティケータの識別情報はチャネル結合のために透明ブロブ(opaque blob)として扱われる。しかしながら、セキュアアソシエーションプロトコル対話はピアとオーセンティケータとの間にあり、オーセンティケータとピアの識別子はその対話において、下位層に伝えられるEAPキーイングマテリアルの使用範囲を規定するために使用される。
オーセンティケータはさまざまなメディア上で実装されるため、セキュアアソシエーションプロトコル交換内で使用されるオーセンティケータ識別子は任意のポート識別子(例えば、MACアドレス)から区別されるべきである。同様に、ピアが多数のポートを持ち、同じリンクタイプのピアポート間でEAPキーイングマテリアル及びパラメータの共有が可能である場合、セキュアアソシエーションプロトコル交換内で使用されるピア識別子も任意のポート識別子から区別されるべきである。下位層に伝えられるEAPキーイングマテリアルが特別のオーセンティケータ及びピアポートに本質的に結合されていない間は、トランジエントセッションキー(Transient Session Keys:TSKs)はセキュアアソシエーションプロトコルによって特別のオーセンティケータ及びピアポートに結合できる。しかしながら、(例えば、オーセンティケータ内のリプレイカウンタ状態(replay counter state)を維持することによって)TSKの新鮮さが保証されると仮定すると、下位層はTSKsが多数のピア及び/又はオーセンティケータで使用されることを可能にする。
この明細書はEAPオーセンティケータ又はピアのアーチテクチャに制約を課していない。[RFC4118]に開示されたオーセンティケータアーチテクチャのどれもが使用できる。例えば、多数の基地局及び「コントローラ」(例えば、WLANスイッチ)が単一EAPオーセンティケータを構成することを可能にする。そのような状況において、「基地局識別子
」はチャネル結合(Channel Bindings)に使用されるべき透明ブロブをたぶん除いては、EAP認証メソッド対話にとって無関係である。多くの基地局は同じオーセンティケータ識別子を共有できる。
」はチャネル結合(Channel Bindings)に使用されるべき透明ブロブをたぶん除いては、EAP認証メソッド対話にとって無関係である。多くの基地局は同じオーセンティケータ識別子を共有できる。
RADIUS [RFC3579]及びDiameter [RFC4072]のようなAAAプロトコルはAAAクライアントの識別のための構造を提供しており、EAPオーセンティケータ及びAAAクライアントが常に同じマシン上に実装されているので、この機構はEAPオーセンティケータの識別に適用できる。
RADIUS [RFC2865]はアクセス要求パケットがNAS-識別子、NAS-IP-アドレス及びNAS-IPv6-アドレス属性の1つ以上を含むことを要求している。NASは1つ以上のIPアドレスを持つことができるので、NAS識別子をEAPオーセンティケータの識別子として用いることが推奨される。
AAAサーバの観点から、EAPキーイングマテリアル及びパラメータはNAS識別子によって識別されるEAPオーセンティケータに送られる。EAPオーセンティケータは他のメンバとEAPキーイングマテリアル又はパラメータを共有すべきでないので、EAPピア又はAAAサーバがNAS識別子によって規定された範囲外のEAPキーイングマテリアル及びパラメータの使用を検出すれば、キーイングマテリアルのセキュリティが
妥協されたと考えねばならない。
妥協されたと考えねばならない。
仮想オーセンティケータ
単一物理オーセンティケータが多数の「仮想オーセンティケータ」として自ら通知すると、EAPピア及びオーセンティケータはセキュリティが妥協されたとみなし、EAPキーイングマテリアルの利用範囲に同意できないかもしれない。例えば、ピアは「仮想オーセンティケータ」が区別され、キーキャッシュを共有しないことを仮定でき、これに対して、物理オーセンティケータのアーチテクチャに依存して、共有キーキャッシュは使用されるかも又は使用されないかもしれない。EAPキーイングマテリアルが「仮想オーセンティケータ」間で共有される場合、ピアとして機能するアタッカは「ゲスト」用に使用される「仮想オーセンティケータ」で認証でき、EAPキーイングマテリアルを導出できる。仮想オーセンティケータがキーキャッシュを共有すれば、そのとき、ピアは「企業インターネット」用に使用される仮想オーセンティケータにアクセスするために「ゲスト」ネットワークに対して導出されたEAPキーイングマテリアルを利用できる。
単一物理オーセンティケータが多数の「仮想オーセンティケータ」として自ら通知すると、EAPピア及びオーセンティケータはセキュリティが妥協されたとみなし、EAPキーイングマテリアルの利用範囲に同意できないかもしれない。例えば、ピアは「仮想オーセンティケータ」が区別され、キーキャッシュを共有しないことを仮定でき、これに対して、物理オーセンティケータのアーチテクチャに依存して、共有キーキャッシュは使用されるかも又は使用されないかもしれない。EAPキーイングマテリアルが「仮想オーセンティケータ」間で共有される場合、ピアとして機能するアタッカは「ゲスト」用に使用される「仮想オーセンティケータ」で認証でき、EAPキーイングマテリアルを導出できる。仮想オーセンティケータがキーキャッシュを共有すれば、そのとき、ピアは「企業インターネット」用に使用される仮想オーセンティケータにアクセスするために「ゲスト」ネットワークに対して導出されたEAPキーイングマテリアルを利用できる。
幾つかの手段によりこれらの問題を解決することが推奨される。
[d]オーセンティケータはEAPキーイングマテリアル及びパラメータと共に関連オーセンティケータをキャッシュに格納すること及び承認を継続して適用することが要求される。
[e]物理オーセンティケータは「仮想オーセンティケータ」毎に分離キーキャッシュを維持することが推奨される。
[f]例えば、区別できるNAS識別子を利用することによって、各「仮想オーセンティケータ」はバックエンドの認証サーバに自身の識別子を安全に自らを通知することが推奨される。これはバックエンドの認証サーバが各「仮想オーセンティケータ」を認証するためオーセンティケータ毎に異なる認証情報(Credential)を利用することを可能にする。
キー管理
[RFC3748]に規定されるようなEAPはキー導出をサポートするが、キー管理はサポートしない。EAP認証メソッドはキーイングマテリアルを導出できる一方で、EAPは搬出又は導出キー(exported or derived key)の管理をしない。例えば、EAPは搬出又は導出キーのキー寿命管理をサポートしなく、キーの更新(re-key)もサポートしない。EAP認証メソッドは[RFC3748] セクション7.2.1に規定されるように「高速再接続」をサポートできるが、搬出キーの更新は再認証なくて起こり得ない。EAP認証メソッドに関する独立性を提供するために、搬出又は導出キーのキー管理はEAP認証メソッド内で提供すべきでない。
[RFC3748]に規定されるようなEAPはキー導出をサポートするが、キー管理はサポートしない。EAP認証メソッドはキーイングマテリアルを導出できる一方で、EAPは搬出又は導出キー(exported or derived key)の管理をしない。例えば、EAPは搬出又は導出キーのキー寿命管理をサポートしなく、キーの更新(re-key)もサポートしない。EAP認証メソッドは[RFC3748] セクション7.2.1に規定されるように「高速再接続」をサポートできるが、搬出キーの更新は再認証なくて起こり得ない。EAP認証メソッドに関する独立性を提供するために、搬出又は導出キーのキー管理はEAP認証メソッド内で提供すべきでない。
親子関係
EAP認証メソッドによって搬出されるキーイングマテリアルが無効になると、TSKsを含めて、搬出キーイングマテリアルから抽出された全てのキーイングマテリアルは無効になる。EAP再認証が行われると、新たなキーイングマテリアルは、TSKを含めて、再認証に使用されるEAP認証メソッドから導出され、搬出され、最終的に再認証前に使用されていたTSKを含むすべてのキーイングマテリアルの置き換えが起こる。その結果、再認証により生成されたキーイングマテリアルの寿命は、それらを導出したキーの寿命以下に設定しなければならない。例えば、TSKのキー更新がEAP再認証以前に生じる可能性がある。この場合、セキュアアソシエーションプロトコル交換を用いてピアとオーセンティケータが新しいTSKの確立に失敗した場合には、両メンバによって現在使用中のTSKが削除される。この場合、セキュアアソシエーションプロトコル交換に対してレート制限を行うことにより、アタッカが、すでにTSKを確立したピアになりすましてセキュアアソシエーションプロトコルを起動し失敗に終わらせることにより、確立したTSKを削除するという強引な攻撃(brute-force attack)を防止することができる。
EAP認証メソッドによって搬出されるキーイングマテリアルが無効になると、TSKsを含めて、搬出キーイングマテリアルから抽出された全てのキーイングマテリアルは無効になる。EAP再認証が行われると、新たなキーイングマテリアルは、TSKを含めて、再認証に使用されるEAP認証メソッドから導出され、搬出され、最終的に再認証前に使用されていたTSKを含むすべてのキーイングマテリアルの置き換えが起こる。その結果、再認証により生成されたキーイングマテリアルの寿命は、それらを導出したキーの寿命以下に設定しなければならない。例えば、TSKのキー更新がEAP再認証以前に生じる可能性がある。この場合、セキュアアソシエーションプロトコル交換を用いてピアとオーセンティケータが新しいTSKの確立に失敗した場合には、両メンバによって現在使用中のTSKが削除される。この場合、セキュアアソシエーションプロトコル交換に対してレート制限を行うことにより、アタッカが、すでにTSKを確立したピアになりすましてセキュアアソシエーションプロトコルを起動し失敗に終わらせることにより、確立したTSKを削除するという強引な攻撃(brute-force attack)を防止することができる。
キー強度
強引な攻撃に対して防御するために、キーを抽出するEAP認証メソッドは適切な有効対称キー強度を持つキーを生成できる必要がある。キー生成は最弱リンクでないことを確認するために、公開キー暗号化を利用するEAP認証メソッドは、対称キー強度要求に合う暗号化強度を持つ公開キーを選択することが推奨される。
強引な攻撃に対して防御するために、キーを抽出するEAP認証メソッドは適切な有効対称キー強度を持つキーを生成できる必要がある。キー生成は最弱リンクでないことを確認するために、公開キー暗号化を利用するEAP認証メソッドは、対称キー強度要求に合う暗号化強度を持つ公開キーを選択することが推奨される。
参照
本発明は、特に、本願に引用して援用する下記参照文献に記載されたシステム及び方法を越えた種々の進歩及び改良を提供する。
本発明は、特に、本願に引用して援用する下記参照文献に記載されたシステム及び方法を越えた種々の進歩及び改良を提供する。
1. [RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
2. [RFC3748] Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J., and H. Levkowetz, "Extensible Authentication Protocol (EAP)", RFC 3748, June 2004.
3. [RFC4306] Kaufman, C., "Internet Key Exchange (IKEv2) Protocol", RFC 4306, December 2005.
4. [I-D.ietf-eap-keying] Aboba, B., "Extensible Authentication Protocol (EAP) Key Management Framework", draft-ietf-eap-keying-09 (work in progress), January 2006.
2. [RFC3748] Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J., and H. Levkowetz, "Extensible Authentication Protocol (EAP)", RFC 3748, June 2004.
3. [RFC4306] Kaufman, C., "Internet Key Exchange (IKEv2) Protocol", RFC 4306, December 2005.
4. [I-D.ietf-eap-keying] Aboba, B., "Extensible Authentication Protocol (EAP) Key Management Framework", draft-ietf-eap-keying-09 (work in progress), January 2006.
本発明は上記及び/又は他の背景技術及び/又は問題を改良している。
幾つかの実施形態によると、モバイルサプリカント(希望者)の認証のためのキー導出手順においてアクセスネットワークに結合するパラメータに基づくチャネル結合方法は、認証法でパラメータを搬送することを必要しないでアクセスネットワークパラメータをキーに暗号的に結合することを含む。幾つかの実施では、認証方法はEAP認証メソッドを含む。幾つかの実施では、パラメータはサプリカントへのオーセンティケータによって通知されたパラメータを含む。幾つかの他の実施では、オーセンティケータの識別子はパラメータの1つである。幾つかの他の実施では、方法はキー導出関数を用いてキー結合ブロブに規制されるチャネル結合マスターキーからチャネル結合キーを抽出することを含む。幾つかの他の実施では、チャネル結合マスターキーは少なくとも64オクテットの長さであり、結合ブロブはオーセンティケータサプリカントプロトコルを用いてオーセンティケータによって通知される静止パラメータによって構成されるオクテットストリングである。幾つかの他の実施では、方法はオーセンティケータ-サプリカントプロトコルを保護するため前記チャネル結合マスターキーを用いてネットワーク側オーセンティケータ及び前記サプリカントを含み、幾つかの他の実施では、オーセンティケータ-サプリカントプロトコルを用いてオーセンティケータからキー結合ブロブを得るサプリカントを更に含む。
幾つかの実施形態では、本方法は、a)サーバ及び前記サプリカントはオーセンティケータに使用されるチャネル結合キーを作成すること、b)前記サーバは前記チャネル結合キーをオーセンティケータに転送すること、c)前記サプリカント及び前記オーセンティケータはオーセンティケータサプリカントプロトコルを介して前記チャネル結合キーの所有の証拠を確認することを更に含む。幾つかの実施では、本方法は、チャネル結合キーがキー導出関数を用いてオーセンティケータと関連するキー結合ブロブに結合されたチャネル結合マスターキーから取得されることを更に含む。幾つかの他の実施では、本方法は多数のオーセンティケータのための単一チャネル結合マスターキーから多数のチャネル結合キーを作成することを更に含む。幾つかの他の実施では、本方法は階層チャネル結合を形成するためチャネル結合キーを用いることを更に含む。
幾つかの実施形態では、本方法は異なるオーセンティケータのための異なるキー結合ブロブを用いて多数のオーセンティケータ用単一チャネル結合マスタから多数のチャネル結合キーを作成することを更に含む。更に、幾つかの実施形態では、本方法は階層チャネル結合を形成するためチャネル結合キーを使用することを更に含む。
幾つかの実施形態では、キー導出関数はCBK = kdf+ (CBMK, KBB)に基づいて計算され、但し、CBKはチャネル結合キーを表し、CBMKはチャネル結合マスターキーを表し、KBBはキー結合ブロブを表す。
幾つかの実施形態では、オーセンティケータはEAPオーセンティケータであり、EAPオーセンティケータはチャネル結合キーをマスタセッションキー(MSK)として受信し、処理する。
上記及び/又は他の態様、種々実施形態の特徴及び/又は利点は添付図に関連して下記記述を鑑みて理解されるであろう。種々の実施形態は必要に応じて異なる態様、特徴及び/又は利点を含める及び/又は除くことができる。更に、種々の実施形態は必要に応じて他の実施形態の1以上の態様又は特徴と組み合わすことができる。特定の実施形態の態様、特徴及び/又は利点の説明は他の実施形態又は請求項を限定するように解釈すべきでない。
本発明の好適実施形態は添付図に実施例として制限されないで示される。
本発明は多くの異なる形態で実施できるが、本開示は本発明の原理の実施を提供するとして考えられるべきであり、そのような実施はここに記載され及び/又はここに具体化される好適実施形態に本発明を限定する意図がないと言う理解で多数の具体的実施形態が示されている。
具体的アーチテクチャ
図1は幾つかの具体的アーチテクチャ構成要素を示している。これらはクライアント装置が通信する無線アクセスポイントを含む幾つかの具体的及び非限定的実施に採用できる。この点について、図1は一般的に示される無線ローカルエリアネットワーク(WLAN)21に接続される具体的な有線ネットワーク20を示している。WLAN21はアクセスポイント(AP)22及び複数のユーザステーション23、24を含む。例えば、有線ネットワーク20は企業データ処理ネットワークを含むことができる。例えば、アクセスポイント22は無線ルータででき、ユーザステーション23,24は例えば、携帯コンピュータ、パーソナルデスクトップコンピュータ、PDA、携帯吹き替えIP電話及び/又は他の装置でできる。アクセスポイントは有線ネットワーク21にリンクされているネットワークインターフェース25及びユーザステーション23,24と通信する無線送受信機を有する。例えば、無線送受信機26はユーザステーション23,24と無線又はマイクロウエーブ周波数通信のためのアンテナを含むことができる。アクセスポイントはまた、プロセッサ28,プログラムメモリ29及びランダムアクセスメモリ31を有する。ユーザステーション23はアクセスポイントステーション22と通信するためのアンテナ36を含む無線送受信機35を有する。同様に、ユーザステーション24は無線送受信機38とアクセスポイント22と通信するためのアンテナ39を有する。一例として、幾つかの実施形態では、オーセンティケータはそのようなアクセスポイント(AP)内で採用でき、及び/又はサプリカント又はピアはモバイルノード又はユーザステーション内で採用できる。
図1は幾つかの具体的アーチテクチャ構成要素を示している。これらはクライアント装置が通信する無線アクセスポイントを含む幾つかの具体的及び非限定的実施に採用できる。この点について、図1は一般的に示される無線ローカルエリアネットワーク(WLAN)21に接続される具体的な有線ネットワーク20を示している。WLAN21はアクセスポイント(AP)22及び複数のユーザステーション23、24を含む。例えば、有線ネットワーク20は企業データ処理ネットワークを含むことができる。例えば、アクセスポイント22は無線ルータででき、ユーザステーション23,24は例えば、携帯コンピュータ、パーソナルデスクトップコンピュータ、PDA、携帯吹き替えIP電話及び/又は他の装置でできる。アクセスポイントは有線ネットワーク21にリンクされているネットワークインターフェース25及びユーザステーション23,24と通信する無線送受信機を有する。例えば、無線送受信機26はユーザステーション23,24と無線又はマイクロウエーブ周波数通信のためのアンテナを含むことができる。アクセスポイントはまた、プロセッサ28,プログラムメモリ29及びランダムアクセスメモリ31を有する。ユーザステーション23はアクセスポイントステーション22と通信するためのアンテナ36を含む無線送受信機35を有する。同様に、ユーザステーション24は無線送受信機38とアクセスポイント22と通信するためのアンテナ39を有する。一例として、幾つかの実施形態では、オーセンティケータはそのようなアクセスポイント(AP)内で採用でき、及び/又はサプリカント又はピアはモバイルノード又はユーザステーション内で採用できる。
図2は、本発明の幾つかの実施形態では、例えば、アクセスポイント及び/又はユーザステーションのような装置によって行われるべきコンピュータ処理ステップを実行するために使用できる具体的なコンピュータ又はコントロールユニットを示している。幾つかの実施形態では、コンピュータ又はコントロールユニットは中央処理装置(CPU)322を含む、CPU322はバス326を介して入出力(I/O)装置324のセットと通信できる。I/O装置324は、例えば、キーボード、モニタ及び/又は他の装置を含むことができる。CPU322はバス326を介してコンピュータ読み取り可能媒体(例えば、通常の揮発性又は不揮発性データ記憶装置)328(以後「メモリ328」)と通信できる。CPU322、I/O装置324,」バス326及びメモリ328間の相互作用は当業者に知られているものと同様にできる。メモリ328は、例えば、データ330を含むことができる。メモリ328はソフトウェア338も記憶できる。ソフトウェア338は処理のステップを実行するための複数のモジュール340を含むことができる。通常のプログラミング技術がこれらモジュールを実行するために使用できる。メモリ328は上記の及び/又は他のデータファイルを記憶することができる。幾つかの実施形態では、ここに記載された種々の方法がコンピュータシステムと共に使用するためにコンピュータプログラム製品を介して実施できる。この実施は、例えば、コンピュータ読み取り可能媒体(例えば、ディスケット、CD-ROM, ROMなど)に固定された、又はモデムなどのインターフェース装置を介してコンピュータシステムに送信できる一連のコンピュータインストラクションを含めることができる。通信媒体は実質的に有形(例えば、通信線)及び/又は実質的に無形(例えば、マイクロウエーブを用いた無線媒体、光、赤外線など)であってもよい。コンピュータインストラクションは種々のプログラミング言語で書き込むことができ、半導体装置(例えば、チップ又は回路)、磁気装置、光学装置及び/又は他のメモリ装置のようなメモリ装置に格納できる。種々の実施形態では、送信は任意の適当な通信技術を使用できる。
好適実施形態の検討
1.序論
上述したように、拡張可能認証プロトコル(EAP)は“EAP認証メソッド" [RFC3748]として知られている多くの認証アルゴリズムをサポートする認証フレームワークである。このフレームワークでは、(幾つかの実施形態では、例えば、モバイルノードの一部又はモバイルノードと関連するモジュールを含むことができる)EAPピア及び(幾つかの実施形態では、例えば、アクセスポイントの一部又はアクセスポイントに関連するモジュールを含むことができるEAPオーセンティケータ)はそれらのアクセスネットワークを保護するために使用される暗号組をブートするためEAP認証メソッドによって生成され搬出されるキーを用いる。このキーはMSK(マスタセッションキー)と呼ぶ。MSKの生成、搬送及び使用のためのフレームワークは上述した[I-D.ietf-eap-keying]に記載されている。
1.序論
上述したように、拡張可能認証プロトコル(EAP)は“EAP認証メソッド" [RFC3748]として知られている多くの認証アルゴリズムをサポートする認証フレームワークである。このフレームワークでは、(幾つかの実施形態では、例えば、モバイルノードの一部又はモバイルノードと関連するモジュールを含むことができる)EAPピア及び(幾つかの実施形態では、例えば、アクセスポイントの一部又はアクセスポイントに関連するモジュールを含むことができるEAPオーセンティケータ)はそれらのアクセスネットワークを保護するために使用される暗号組をブートするためEAP認証メソッドによって生成され搬出されるキーを用いる。このキーはMSK(マスタセッションキー)と呼ぶ。MSKの生成、搬送及び使用のためのフレームワークは上述した[I-D.ietf-eap-keying]に記載されている。
参考のために、暗号組は、一例として、共有キー(キー交換)を作るために必要な情報を保護するため、クライアントとサーバとの間で交換するメッセージを暗号化(バルク暗号化)するため及びメッセージの完全性を保証(メッセージ認証)するためにメッセージナンバー記号及びサインを生成するために使用される暗号化アルゴリズムの集合を含む。
各アクセスネットワークはEAPオーセンティケータによってEAPピアに通知される自己のパラメータ集合を有する。一例として、EAPオーセンティケータの識別子はそのようなパラメータの1つである。アクセスネットワークパラメータは可能性のある安全性の欠陥をさけるためにMSKに暗号的に結合する必要がある。
そのような結合を作るために[RFC3748]に記載されている機構は保護チャネルを介して交換されるパラメータとEAPピア及びEAPサーバがEAPオーセンティケータによってEAPピア及びEAPサーバに通知するパラメータとの不整合を検出するのに役立つEAP認証メソッドの保護チャネルを介してアクセスネットワークパラメータを通信することに基づいている。
好適実施形態によると、例えば、EAP認証メソッドによって搬出されるキーとアクセスネットワークパラメータとの結合を作る代替えチャネル結合機構が設けられる。好適実施形態において、機構は次の特徴を有する。
○ 機構は好ましくはモード独立性、メディア独立性、EAP認証メソッド独立性及び暗号組独立性を含むEAP不変性を維持する。
○ 機構は好ましくは既存のEAPオーセンティケータに対して任意の変更を要求しない。
○ 機構は多数のEAPオーセンティケータをサポートするため拡張可能である。
2.専門用語
チャネル結合キー(CBK)
チャネル結合マスターキー(CBMK)から抽出され、キー導出関数(KDF)を用いてk−結合ブロブ(KBB)に暗号的に結合されるキー。好適実施形態において、CBKは長さが少なくとも64オクテットである。
チャネル結合キー(CBK)
チャネル結合マスターキー(CBMK)から抽出され、キー導出関数(KDF)を用いてk−結合ブロブ(KBB)に暗号的に結合されるキー。好適実施形態において、CBKは長さが少なくとも64オクテットである。
チャネル結合マスターキー(CBMK)
KDFを用いてCBKが抽出されるキー。一例として、MSK又はEMSKはCBMKである。好適実施形態では、CBMKは長さが少なくとも64オクテットである。
KDFを用いてCBKが抽出されるキー。一例として、MSK又はEMSKはCBMKである。好適実施形態では、CBMKは長さが少なくとも64オクテットである。
キー結合ブロブ(KBB)
オーセンティケータサプリカントプロトコル(ASP)を用いてオーセンティケータから通知される静止パラメータから構成されるオクテットストリング。
オーセンティケータサプリカントプロトコル(ASP)を用いてオーセンティケータから通知される静止パラメータから構成されるオクテットストリング。
サーバ
CBKを作り、それをオーセンティケータに搬送するエンティティ。サーバはCBKの送信者だけでなくクリエータである。幾つかの実施形態では、EAPサーバは好適実施形態の機構のサーバである。
CBKを作り、それをオーセンティケータに搬送するエンティティ。サーバはCBKの送信者だけでなくクリエータである。幾つかの実施形態では、EAPサーバは好適実施形態の機構のサーバである。
オーセンティケータ
オーセンティケータサプリカントプロトコル(ASP)に対してCBKを使用するネットワークサイドエンティティ。種々の実施形態では、オーセンティケータは同じ装置においてサーバと同位置又は非同位置とできる。幾つかの実施形態では、EAPオーセンティケータは好適実施形態の機構のオーセンティケータである。
オーセンティケータサプリカントプロトコル(ASP)に対してCBKを使用するネットワークサイドエンティティ。種々の実施形態では、オーセンティケータは同じ装置においてサーバと同位置又は非同位置とできる。幾つかの実施形態では、EAPオーセンティケータは好適実施形態の機構のオーセンティケータである。
サプリカント
オーセンティケータサプリカントプロトコル(ASP)のCBKを使用するユーザサイドエンティティ。幾つかの実施形態において、サプリカントはCBKの所有者だけでなく生成者でもある。幾つかの実施形態では、EAPピアは好適実施形態の機構のサプリカントである。
オーセンティケータサプリカントプロトコル(ASP)のCBKを使用するユーザサイドエンティティ。幾つかの実施形態において、サプリカントはCBKの所有者だけでなく生成者でもある。幾つかの実施形態では、EAPピアは好適実施形態の機構のサプリカントである。
オーセンティケータサプリカントプロトコル(ASP)
サプリカントとオーセンティケータとの間で実行されるプロトコル及びこのプロトコルを保護するためのCBKを使用するプロトコル。幾つかの実施形態では、サプリカントはASPを用いてオーセンティケータからKBBを求める。
サプリカントとオーセンティケータとの間で実行されるプロトコル及びこのプロトコルを保護するためのCBKを使用するプロトコル。幾つかの実施形態では、サプリカントはASPを用いてオーセンティケータからKBBを求める。
3.チャネル結合機構
好適実施形態によると、新しい基本チャネル結合機構が採用される。好適実施形態に従った基本チャネル結合機構を示す図3を参照する。この点について、図3は具体的サーバ1,具体的オーセンティケータ2,及び具体的サプリカント3を示す。
好適実施形態によると、新しい基本チャネル結合機構が採用される。好適実施形態に従った基本チャネル結合機構を示す図3を参照する。この点について、図3は具体的サーバ1,具体的オーセンティケータ2,及び具体的サプリカント3を示す。
図3に示されるように、チャネル結合機構は次のステップを用いてこれら3つの構成要素で達成される。
ステップ1(CBK作成):図3の参照番号(1)を用いて示されるこの最初のステップにおいて、サーバ1及びサプリカント3はオーセンティケータ2に使用されるCBKを作る。好適実施形態では、CBKはCBMKから抽出され、KDFを用いてオーセンティケータと関連するKBBに結合される。好適実施形態では、KBBはサーバに事前設定される。
ステップ2(CBK転送):図3に参照番号(2)を用いて示されるこの第2ステップでは、サーバ1はCBKをオーセンティケータ2に転送する。
ステップ3(CBK検証):図3に参照番号(3)を用いて示されるこの第3ステップでは、サプリカント及びオーセンティケータがASPにわたりCBKの所有の証明を検証する。好適実施形態では、CBKの所有の証拠を首尾よく検証した後、サプリカント及びオーセンティケータはASPにおいてCBKを使用できる。
3.1.複数のCBKの作成
幾つかの実施形態では、複数のCBKは、例えば、異なるオーセンティケータに対して異なるKBBを使用することによって複数のオーセンティケータに対する単一のCBMKから作ることができる。
幾つかの実施形態では、複数のCBKは、例えば、異なるオーセンティケータに対して異なるKBBを使用することによって複数のオーセンティケータに対する単一のCBMKから作ることができる。
3.2.階層チャネル結合
幾つかの実施形態では、チャネル結合機構はCBKが、例えば、図4に示されるような階層を形成することを可能にする。特に、階層チャネル結合は、例えば、スケーラビリティ及び/又はモビリティに関するある問題を扱うために採用できる。
幾つかの実施形態では、チャネル結合機構はCBKが、例えば、図4に示されるような階層を形成することを可能にする。特に、階層チャネル結合は、例えば、スケーラビリティ及び/又はモビリティに関するある問題を扱うために採用できる。
例えば、サーバの管理領域内に多数のオーセンティケータがあれば、この領域はかくサブ領域がオーセンティケータを有する場合に複数のサブ領域に区分けできる。ここで、サーバはサブ領域のオーセンティケータに対してCBKを生成でき、各オーセンティケータは子オーセンティケータに対して子CBKを求めることができる。
他の実施例として、(例えば、ローミングサプリカントを伴う)ローミングシナリオの場合に、1つの管理領域のサーバは他の管理領域のオーセンティケータに対してCBKを生成するために採用でき、他の管理領域のオーセンティケータはそれらの領域におけるそれらの子オーセンティケータに対して子CBKを作ることができる。
幾つかの好適実施形態では、階層チャネル結合は次の利点の少なくとも幾つかを与えることができる。
○ 幾つかの実施形態では、サーバに事前設定されたKBBの数が(例えば、より管理できるレベルでその数を維持して)減少できる。
○ 幾つかの実施形態では、サプリカントは子オーセンティケータが同じ親オーセンティケータに属するときにある小オーセンティケータから他の子オーセンティケータに切り替えるときに新たなCBKを生成するために再認証を行う必要がない。
階層チャネル結合では、CBK証明はキー階層の各レベルで又は階層の最低レベルだけで行ってもよい。CBK証明は階層の最低レベルでだけ行われる実施形態では、最低レベルオーセンティケータは、好ましくは、最低レベルASPにおいて、階層の各レベルでKBBを構成するために必要なパラメータを通知する。種々実施形態では、階層は2つのレベル、(例えば、子及び孫レベルを含む)3つのレベル、(例えば、小、孫及びひ孫レベルを含む)4つのレベル、又は環境に基づいて望まれるかもしれないような任意の大きな数を含むことができる。
3.3.キー導出関数
幾つかの具体的及び非限定実施形態によると、CBKは次の方法でIKEv2 [RFC4306]に規定された疑似ランダム関数(prf+)を用いて計算できる。
幾つかの具体的及び非限定実施形態によると、CBKは次の方法でIKEv2 [RFC4306]に規定された疑似ランダム関数(prf+)を用いて計算できる。
CBK = kdf+ (CBMK, KBB);
但し、KDF =キー導出関数
参考として、「疑似ランダム関数」は、例えば、IKE交換において定義された暗号化アルゴリズムの1つである。RFC4306を参照。疑似ランダム関数はIKE_SA及びCHILD_SAsの両方に使用される暗号化アルゴリズムの全てに対してキーイングマテリアルを構成するために使用される。Idを参照。RFC4306に記載されているように、「キーイングマテリアル」は常に協議されたprfアルゴリズムの出力として得られることになる。必要なキーイングマテリアルの量はprfアルゴリズムの出力のサイズよりも大きいかもしれないので、繰り返しprfを使用することになる。次のようにprfへの入力に基づく疑似ランダムストリームを出力する関数を説明するため用語prf+を使用することになる(但し、Iは連続を示す)。
但し、KDF =キー導出関数
参考として、「疑似ランダム関数」は、例えば、IKE交換において定義された暗号化アルゴリズムの1つである。RFC4306を参照。疑似ランダム関数はIKE_SA及びCHILD_SAsの両方に使用される暗号化アルゴリズムの全てに対してキーイングマテリアルを構成するために使用される。Idを参照。RFC4306に記載されているように、「キーイングマテリアル」は常に協議されたprfアルゴリズムの出力として得られることになる。必要なキーイングマテリアルの量はprfアルゴリズムの出力のサイズよりも大きいかもしれないので、繰り返しprfを使用することになる。次のようにprfへの入力に基づく疑似ランダムストリームを出力する関数を説明するため用語prf+を使用することになる(但し、Iは連続を示す)。
prf+ (K,S) = T1 | T2 | T3 | T4 | ...
但し、以下は全ての必要なキーを計算するために必要に応じて継続する。
但し、以下は全ての必要なキーを計算するために必要に応じて継続する。
T1 = prf (K, S | 0x01)
T2 = prf (K, T1 | S | 0x02)
T3 = prf (K, T2 | S | 0x03)
T4 = prf (K, T3 | S | 0x04)
キーは境界を顧慮しないで出力ストリングから取り出される(例えば、必要なキーは256ビット高度暗号標準(AES)キー及び160ビットHMACキーであり、prf関数は160ビットを生成すれば、AESキーT1及びT2の開始から得られることになり、一方、HMACキーはT2の残り及びT3の開始から得られることになる)。prfを供給する各ストリングの終端に繋がる定数は単一オフセットである。
T2 = prf (K, T1 | S | 0x02)
T3 = prf (K, T2 | S | 0x03)
T4 = prf (K, T3 | S | 0x04)
キーは境界を顧慮しないで出力ストリングから取り出される(例えば、必要なキーは256ビット高度暗号標準(AES)キー及び160ビットHMACキーであり、prf関数は160ビットを生成すれば、AESキーT1及びT2の開始から得られることになり、一方、HMACキーはT2の残り及びT3の開始から得られることになる)。prfを供給する各ストリングの終端に繋がる定数は単一オフセットである。
3.4.キー範囲
好適実施形態では、CBKの範囲はCBKを使用するサプリカントとオーセンティケータとの対の範囲内とすべきである。
好適実施形態では、CBKの範囲はCBKを使用するサプリカントとオーセンティケータとの対の範囲内とすべきである。
3.5.キー名称
好適実施形態では、CBKの名称はCBMK及び"CBK"の名称のストリング連結である。
好適実施形態では、CBKの名称はCBMK及び"CBK"の名称のストリング連結である。
3.6.キー寿命
好適実施形態では、CBKの寿命は上記に関する参照として本明細書に組み込まれる[I-D.ietf-eap-keying]に記載されている搬出及び算出キー寿命に関するガイドラインに基づいて決定される。
好適実施形態では、CBKの寿命は上記に関する参照として本明細書に組み込まれる[I-D.ietf-eap-keying]に記載されている搬出及び算出キー寿命に関するガイドラインに基づいて決定される。
3.7.キーキャッシング
幾つかの実施形態では、ASPによって明確にサポートされている場合、ASPはCBKをキャッシュに格納できる。
幾つかの実施形態では、ASPによって明確にサポートされている場合、ASPはCBKをキャッシュに格納できる。
4.EAPオーセンティケータの検討
好適実施形態では、好適実施形態に従った機構が採用されると、EAPオーセンティケータがこれらの機構のオーセンティケータとして作用する。そのような場合、EAPオーセンティケータは好ましくはそれがMSKであったようにCBKを受信し、処理する。特に、これは機構がそれらに変更を加えることなくすでに展開したオーセンティケータと協働することを可能にする。
好適実施形態では、好適実施形態に従った機構が採用されると、EAPオーセンティケータがこれらの機構のオーセンティケータとして作用する。そのような場合、EAPオーセンティケータは好ましくはそれがMSKであったようにCBKを受信し、処理する。特に、これは機構がそれらに変更を加えることなくすでに展開したオーセンティケータと協働することを可能にする。
5.認証サプリカントプロトコル要求
好適実施形態では、本発明の実施形態の機構をサポートするどのASP(例えば、PANA及びIEEE 802.11)でもKBBはASPに特定されたパラメータからどのように構成されるべきかを規定すべきである。但し、KBB構成機構は次の要求を満足すべきである。
好適実施形態では、本発明の実施形態の機構をサポートするどのASP(例えば、PANA及びIEEE 802.11)でもKBBはASPに特定されたパラメータからどのように構成されるべきかを規定すべきである。但し、KBB構成機構は次の要求を満足すべきである。
○ 例えば、オーセンティケータの識別のような静止パラメータだけがKBBを構成するために使用される。
○ 同じKBBがASPの異なるオーセンティケータと関連するKBB衝突の可能性はゼロ又はかなり低いかのいずれかである。
6.EAP認証メソッドに関する要求事項
好適実施形態では、好適実施形態に従った構造をサポートするどんなEAP認証メソッドも次の機能の全てを少なくとも提供すべきである。
好適実施形態では、好適実施形態に従った構造をサポートするどんなEAP認証メソッドも次の機能の全てを少なくとも提供すべきである。
1.この機構を可能にするネゴシエーション。好ましくは、EAP認証メソッドは保護チャネルにわたって以下のネゴシエーションをサポートすべきである。
*EAPピアがこの機構を使用する要望をEAPサーバに通知する機能
*EAPピアがこの機構を使用する要望をEAPサーバに通知し、EAPサーバがこの機構を実施するときにこの機構を有効にする機能。
*EAPピアがこの機構を使用する要望をEAPサーバに通知し、EAPサーバがこの機構を実施するときにこの機構を有効にする機能。
*EAPピアがこの機構を使用する要望をEAPサーバに通知しなかったときこの機構を無効にする機能。
*EAPサーバがこの機構を実施していない間EAPピアがこの機構を使用する要望を通知した場合にはEAP認証メソッド対話を行わない機能
2.ハッシュアルゴリズムに関するネゴシエーション又は仕様。好ましくは、EAP認証メソッドは保護チャネルを介して、prf+に使用されるハッシュアルゴリズムを折衝するための機構を提供する、又はprf+に使用される1つのハッシュアルゴリズムを特定することのいずれかである。
2.ハッシュアルゴリズムに関するネゴシエーション又は仕様。好ましくは、EAP認証メソッドは保護チャネルを介して、prf+に使用されるハッシュアルゴリズムを折衝するための機構を提供する、又はprf+に使用される1つのハッシュアルゴリズムを特定することのいずれかである。
7.セキュリティ検討
好適実施形態では、この文献に記載された機構は次の態様におけるEAPキー管理フレームワークの安全特性を改良するために使用できる。
好適実施形態では、この文献に記載された機構は次の態様におけるEAPキー管理フレームワークの安全特性を改良するために使用できる。
○ EAPオーセンティケータによってEAPピアに通知されるKBBとEAPサーバに設定されるKBBに違いがある場合には、ASPを介してEAPピアとEAPオーセンティケータとの間でセキュリティアソシエーションは確立されることがない。
○ CBKが意図していないオーセンティケータ(即ち、意図したオーセンティケータ以外の1つのオーセンティケータ)に誤って転送されてもCBKはCBKを得るために使用されるKBBが意図した及び意図しないオーセンティケータの間で衝突しない限り意図しないオーセンティケータによって使用できない。
この機構の安全レベルは同じASPを用いるオーセンティケータ間及び異なるASPを用いるオーセンティケータ間でのKBB衝突の確率に依存する。
本発明の広い範囲
本明細書では、本発明の例示的実施形態を説明しているが、本発明は、本明細書で説明した様々な好ましい実施形態だけに限定されず、本開示に基づけば当分野の技術者によって理解されるはずの、等価の要素、改変、省略、(様々な実施形態にまたがる態様などの)組合せ、適合及び/又は変更を有するありとあらゆる実施形態を含むものである。特許請求の範囲における限定は、特許請求の範囲で用いられる言葉に基づいて幅広く解釈されるべきであり、本明細書において、又は本出願の出願中において記述される例だけに限定されず、これらの例は、非排他的であると解釈されるべきである。例えば、本開示において、「好ましくは」という用語は、非排他的であり、「それだけに限らないが、好ましくは」を意味する。本開示において、かつ本出願の出願中において、手段プラス機能又はステッププラス機能限定は、特定のクレーム限定について、この限定において、a)「〜の手段」又は「〜のステップ」が明記されている、b)対応する機能が明記されている、及びc)構造、材料又はこの構造をサポートする動作が記載されていないという条件すべてが存在する場合に限り用いられる。本開示において、かつ本出願の出願中において、「本発明」又は「発明」という用語は、本開示内の1つ又は複数の態様を指すものとして使用され得る。本発明又は発明という言葉は、誤って重要度の識別と解釈されるべきではなく、誤ってすべての態様又は実施形態にわたって適用されるものと解釈されるべきではなく(すなわち、本発明はいくつかの態様及び実施形態を有すると理解されるべきであり)、また、誤って本出願又は特許請求の範囲を限定するものと解釈されるべきではない。本開示において、かつ本出願の出願中において、「実施形態」という用語は、任意の態様、特徴、プロセス又はステップ、これらの任意の組合せ、及び/又はこれらの任意の部分などを記述するのに使用できる。いくつかの例では、様々な実施形態が重なり合う特徴を含むことができる。本開示では、「例えば」を意味する「e.g.」という省略用語が採用できる。
本明細書では、本発明の例示的実施形態を説明しているが、本発明は、本明細書で説明した様々な好ましい実施形態だけに限定されず、本開示に基づけば当分野の技術者によって理解されるはずの、等価の要素、改変、省略、(様々な実施形態にまたがる態様などの)組合せ、適合及び/又は変更を有するありとあらゆる実施形態を含むものである。特許請求の範囲における限定は、特許請求の範囲で用いられる言葉に基づいて幅広く解釈されるべきであり、本明細書において、又は本出願の出願中において記述される例だけに限定されず、これらの例は、非排他的であると解釈されるべきである。例えば、本開示において、「好ましくは」という用語は、非排他的であり、「それだけに限らないが、好ましくは」を意味する。本開示において、かつ本出願の出願中において、手段プラス機能又はステッププラス機能限定は、特定のクレーム限定について、この限定において、a)「〜の手段」又は「〜のステップ」が明記されている、b)対応する機能が明記されている、及びc)構造、材料又はこの構造をサポートする動作が記載されていないという条件すべてが存在する場合に限り用いられる。本開示において、かつ本出願の出願中において、「本発明」又は「発明」という用語は、本開示内の1つ又は複数の態様を指すものとして使用され得る。本発明又は発明という言葉は、誤って重要度の識別と解釈されるべきではなく、誤ってすべての態様又は実施形態にわたって適用されるものと解釈されるべきではなく(すなわち、本発明はいくつかの態様及び実施形態を有すると理解されるべきであり)、また、誤って本出願又は特許請求の範囲を限定するものと解釈されるべきではない。本開示において、かつ本出願の出願中において、「実施形態」という用語は、任意の態様、特徴、プロセス又はステップ、これらの任意の組合せ、及び/又はこれらの任意の部分などを記述するのに使用できる。いくつかの例では、様々な実施形態が重なり合う特徴を含むことができる。本開示では、「例えば」を意味する「e.g.」という省略用語が採用できる。
Claims (20)
- モバイルサプリカントの認証のためのキー取得手順においてアクセスネットワークへのパラメータ結合に基づくチャネル結合方法であって、認証方法でパラメータを搬送することを必要としないでアクセスネットワークパラメータをキーに暗号で結合することを含む、チャネル結合方法。
- 前記認証方法はEAP認証メソッドを含む、請求項1の方法。
- 前記パラメータはオーセンティケータによって前記サプリカントへ通知されたパラメータを含む、請求項1の方法。
- オーセンティケータの識別は前記パラメータの1つである、請求項3の方法。
- キー導出関数を用いてキー結合ブロブに結合されたチャネル結合マスターキーからチャネル結合キーを導出することを含む、請求項1の方法。
- 前記チャネル結合マスターキーは長さが少なくとも64オクテットである、請求項5の方法。
- 前記キー結合ブロブはオーセンティケータにより通知される静的パラメータにより構成されるストリングである、請求項5の方法。
- 前記結合ブロブはオーセンティケータ−サプリカントプロトコルを用いてオーセンティケータによって通知される静的パラメータによって構成されるオクテットストリングである、請求項5の方法。
- ネットワーク側オーセンティケータを含み、前記サプリカントはオーセンティケータサプリカントプロトコルを保護するため前記チャネル結合マスターキーを用いる、請求項5の方法。
- 前記オーセンティケータサプリカントプロトコルを用いて前記オーセンティケータから前記キー結合ブロブを得る前記サプリカントを更に含む、請求項9の方法。
- a)サーバ及び前記サプリカントはオーセンティケータに使用されるチャネル結合キーを作成すること、
b)前記サーバは前記チャネル結合キーをオーセンティケータに転送すること、
c)前記サプリカント及び前記オーセンティケータはオーセンティケータサプリカントプロトコルを介して前記チャネル結合キーの所有の証拠を確認することを含む、請求項1の方法。 - キー導出関数を用いてオーセンティケータと関連するキー結合ブロブに結合されたチャネル結合マスターキーから前記チャネル結合キーを導出することを更に含む、請求項11の方法。
- 複数のオーセンティケータのための単一チャネル結合マスターキーから複数のチャネル結合キーを作成することを更に含む、請求項1の方法。
- 階層チャネル結合を形成するためチャネル結合キーを用いることを更に含む、請求項13の方法。
- 異なるオーセンティケータに対して異なるキー結合ブロブを用いて複数のオーセンティケータのための単一チャネル結合マスタから複数のチャネル結合キーを作成することを更に含む、請求項5の方法。
- 階層チャネル結合を形成するためチャネル結合キーを使用することを更に含む、請求項15の方法。
- 異なるオーセンティケータに対して異なるキー結合ブロブを用いて複数のオーセンティケータのための単一チャネル結合マスタから複数のチャネル結合キーを作成することを更に含む、請求項13の方法。
- 階層チャネル結合を形成するためチャネル結合キーを使用することを更に含む、請求項17の方法。
- 前記キー導出関数はCBK = kdf+ (CBMK, KBB)に基づいて計算され、但し、CBKはチャネル結合キーを表し、CBMKはチャネル結合マスターキーを表し、KBBはキー結合ブロブを表す、請求項1の方法。
- 前記オーセンティケータはEAPオーセンティケータであり、EAPオーセンティケータはチャネル結合キーをマスタセッションキー(MSK)として受信し、処理する、請求項3の方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/379,568 US8239671B2 (en) | 2006-04-20 | 2006-04-20 | Channel binding mechanism based on parameter binding in key derivation |
PCT/JP2007/057501 WO2007122991A1 (en) | 2006-04-20 | 2007-03-28 | Channel binding mechanism based on parameter binding in key derivation |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009533932A true JP2009533932A (ja) | 2009-09-17 |
Family
ID=38477104
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009505061A Abandoned JP2009533932A (ja) | 2006-04-20 | 2007-03-28 | キー導出におけるパラメータ結合に基づくチャネル結合機構 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8239671B2 (ja) |
EP (1) | EP2008427A1 (ja) |
JP (1) | JP2009533932A (ja) |
KR (1) | KR20080015774A (ja) |
CA (1) | CA2649639C (ja) |
WO (1) | WO2007122991A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010502040A (ja) * | 2006-12-08 | 2010-01-21 | 株式会社東芝 | Eap拡張(eap−ext)のためのeapメソッド |
JP2013522990A (ja) * | 2010-03-17 | 2013-06-13 | ゼットティーイー コーポレーション | オーセンティケータリロケーション要求の処理方法及びシステム |
Families Citing this family (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10181953B1 (en) | 2013-09-16 | 2019-01-15 | Amazon Technologies, Inc. | Trusted data verification |
CN101395887B (zh) * | 2006-04-11 | 2013-02-13 | 高通股份有限公司 | 用于绑定多个认证的方法和设备 |
EP1956791A1 (en) * | 2007-02-09 | 2008-08-13 | Research In Motion Limited | Method and system for authenticating peer devices using EAP |
US8356176B2 (en) | 2007-02-09 | 2013-01-15 | Research In Motion Limited | Method and system for authenticating peer devices using EAP |
US8571211B2 (en) * | 2007-05-14 | 2013-10-29 | Samsung Electronics Co., Ltd | Method and apparatus for generating security key in a mobile communication system |
KR20100012883A (ko) * | 2007-05-25 | 2010-02-08 | 인터디지탈 테크날러지 코포레이션 | 무선 통신에서 액세스 모빌리티를 위한 프로토콜 아키텍쳐 |
US8724819B2 (en) * | 2007-10-16 | 2014-05-13 | Nokia Corporation | Credential provisioning |
KR101655264B1 (ko) * | 2009-03-10 | 2016-09-07 | 삼성전자주식회사 | 통신시스템에서 인증 방법 및 시스템 |
KR101683286B1 (ko) * | 2009-11-25 | 2016-12-06 | 삼성전자주식회사 | 이동통신망을 이용한 싱크 인증 시스템 및 방법 |
US9237155B1 (en) | 2010-12-06 | 2016-01-12 | Amazon Technologies, Inc. | Distributed policy enforcement with optimizing policy transformations |
MX2013008150A (es) * | 2011-01-14 | 2013-09-13 | Nokia Siemens Networks Oy | Soporte de autenticacion externo sobre una red no confiable. |
US8769642B1 (en) | 2011-05-31 | 2014-07-01 | Amazon Technologies, Inc. | Techniques for delegation of access privileges |
US8719571B2 (en) * | 2011-08-25 | 2014-05-06 | Netapp, Inc. | Systems and methods for providing secure multicast intra-cluster communication |
US9178701B2 (en) | 2011-09-29 | 2015-11-03 | Amazon Technologies, Inc. | Parameter based key derivation |
US9197409B2 (en) | 2011-09-29 | 2015-11-24 | Amazon Technologies, Inc. | Key derivation techniques |
US9203613B2 (en) | 2011-09-29 | 2015-12-01 | Amazon Technologies, Inc. | Techniques for client constructed sessions |
US9215076B1 (en) * | 2012-03-27 | 2015-12-15 | Amazon Technologies, Inc. | Key generation for hierarchical data access |
US8739308B1 (en) | 2012-03-27 | 2014-05-27 | Amazon Technologies, Inc. | Source identification for unauthorized copies of content |
US8892865B1 (en) | 2012-03-27 | 2014-11-18 | Amazon Technologies, Inc. | Multiple authority key derivation |
CN103428690B (zh) * | 2012-05-23 | 2016-09-07 | 华为技术有限公司 | 无线局域网络的安全建立方法及系统、设备 |
US9258118B1 (en) | 2012-06-25 | 2016-02-09 | Amazon Technologies, Inc. | Decentralized verification in a distributed system |
US9660972B1 (en) | 2012-06-25 | 2017-05-23 | Amazon Technologies, Inc. | Protection from data security threats |
US9407440B2 (en) | 2013-06-20 | 2016-08-02 | Amazon Technologies, Inc. | Multiple authority data security and access |
US9521000B1 (en) | 2013-07-17 | 2016-12-13 | Amazon Technologies, Inc. | Complete forward access sessions |
US9237019B2 (en) | 2013-09-25 | 2016-01-12 | Amazon Technologies, Inc. | Resource locators with keys |
US9311500B2 (en) | 2013-09-25 | 2016-04-12 | Amazon Technologies, Inc. | Data security using request-supplied keys |
US10243945B1 (en) | 2013-10-28 | 2019-03-26 | Amazon Technologies, Inc. | Managed identity federation |
US9420007B1 (en) | 2013-12-04 | 2016-08-16 | Amazon Technologies, Inc. | Access control using impersonization |
US9369461B1 (en) | 2014-01-07 | 2016-06-14 | Amazon Technologies, Inc. | Passcode verification using hardware secrets |
US9374368B1 (en) | 2014-01-07 | 2016-06-21 | Amazon Technologies, Inc. | Distributed passcode verification system |
US9292711B1 (en) | 2014-01-07 | 2016-03-22 | Amazon Technologies, Inc. | Hardware secret usage limits |
US9270662B1 (en) | 2014-01-13 | 2016-02-23 | Amazon Technologies, Inc. | Adaptive client-aware session security |
US10771255B1 (en) | 2014-03-25 | 2020-09-08 | Amazon Technologies, Inc. | Authenticated storage operations |
US9258117B1 (en) | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
US10326597B1 (en) | 2014-06-27 | 2019-06-18 | Amazon Technologies, Inc. | Dynamic response signing capability in a distributed system |
US10122692B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Handshake offload |
US10122689B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Load balancing with handshake offload |
US10846663B2 (en) * | 2015-10-29 | 2020-11-24 | Cornell University | Systems and methods for securing cryptocurrency purchases |
US10116440B1 (en) | 2016-08-09 | 2018-10-30 | Amazon Technologies, Inc. | Cryptographic key management for imported cryptographic keys |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020120844A1 (en) * | 2001-02-23 | 2002-08-29 | Stefano Faccin | Authentication and distribution of keys in mobile IP network |
US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
KR100704675B1 (ko) * | 2005-03-09 | 2007-04-06 | 한국전자통신연구원 | 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법 |
US7626963B2 (en) * | 2005-10-25 | 2009-12-01 | Cisco Technology, Inc. | EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure |
US8270947B2 (en) * | 2005-12-19 | 2012-09-18 | Motorola Solutions, Inc. | Method and apparatus for providing a supplicant access to a requested service |
-
2006
- 2006-04-20 US US11/379,568 patent/US8239671B2/en active Active
-
2007
- 2007-03-28 CA CA2649639A patent/CA2649639C/en not_active Expired - Fee Related
- 2007-03-28 KR KR1020077018906A patent/KR20080015774A/ko not_active Application Discontinuation
- 2007-03-28 EP EP07740937A patent/EP2008427A1/en not_active Withdrawn
- 2007-03-28 WO PCT/JP2007/057501 patent/WO2007122991A1/en active Application Filing
- 2007-03-28 JP JP2009505061A patent/JP2009533932A/ja not_active Abandoned
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010502040A (ja) * | 2006-12-08 | 2010-01-21 | 株式会社東芝 | Eap拡張(eap−ext)のためのeapメソッド |
JP2013522990A (ja) * | 2010-03-17 | 2013-06-13 | ゼットティーイー コーポレーション | オーセンティケータリロケーション要求の処理方法及びシステム |
US8732799B2 (en) | 2010-03-17 | 2014-05-20 | Zte Corporation | Method and system for processing authenticator relocation request |
Also Published As
Publication number | Publication date |
---|---|
US20070250706A1 (en) | 2007-10-25 |
CA2649639A1 (en) | 2007-11-01 |
WO2007122991A1 (en) | 2007-11-01 |
CA2649639C (en) | 2015-05-05 |
KR20080015774A (ko) | 2008-02-20 |
EP2008427A1 (en) | 2008-12-31 |
US8239671B2 (en) | 2012-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2009533932A (ja) | キー導出におけるパラメータ結合に基づくチャネル結合機構 | |
JP5043117B2 (ja) | ケルベロス化ハンドオーバキーイング | |
JP5043114B2 (ja) | Eapからのケルベロス・ブートストラッピング(bke) | |
JP5430709B2 (ja) | Eap拡張(eap−ext)のためのeapメソッド | |
CA2679378C (en) | Kerberized handover keying optimized for reactive operation | |
US8959333B2 (en) | Method and system for providing a mesh key | |
JP2011139457A (ja) | 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム | |
WO2023083170A1 (zh) | 密钥生成方法、装置、终端设备及服务器 | |
WO2008091517A1 (en) | Kerberized handover keying | |
WO2014153908A1 (zh) | 通信装置和无线通信方法 | |
KR100527632B1 (ko) | Ad-hoc 네트워크의 게이트웨이에서 사용자 인증시스템 및 그 방법 | |
WO2023213383A1 (en) | Establishing secure communications over a network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A762 | Written abandonment of application |
Free format text: JAPANESE INTERMEDIATE CODE: A762 Effective date: 20091109 |