JP2010514229A - ドメイン間情報通信のための認証方法、システム、およびその装置 - Google Patents

ドメイン間情報通信のための認証方法、システム、およびその装置 Download PDF

Info

Publication number
JP2010514229A
JP2010514229A JP2009504923A JP2009504923A JP2010514229A JP 2010514229 A JP2010514229 A JP 2010514229A JP 2009504923 A JP2009504923 A JP 2009504923A JP 2009504923 A JP2009504923 A JP 2009504923A JP 2010514229 A JP2010514229 A JP 2010514229A
Authority
JP
Japan
Prior art keywords
domain
unit
electronic device
mediation node
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009504923A
Other languages
English (en)
Other versions
JP5143125B2 (ja
Inventor
リュウ・シュエ−タン
ファン・チュン−ウェイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Publication of JP2010514229A publication Critical patent/JP2010514229A/ja
Application granted granted Critical
Publication of JP5143125B2 publication Critical patent/JP5143125B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]

Abstract

本発明は、第1および第2のドメインへと適用されるドメイン間情報通信のための認証方法を提供する。この方法は、第1のドメインに属する第1の電子デバイスに対して、第1および第2のドメインに同時に登録されている仲介ノードデバイスを介して第2のドメインの第2の鍵配布センターから第1の鍵を入手して、第2のドメインの第2の電子デバイスへと送信するように指示し、第2の電子デバイスに対して、前記仲介ノードデバイスを介して第1のドメインの第1の鍵配布センターから第2の鍵を入手して、第1の電子デバイスへと送信するように指示する。そして、第1および第2の電子デバイスが、セキュアな情報通信の認証を実行するために、第1および第2の鍵を使用して共有の第3の鍵を生成するように指示される。

Description

本発明は、情報通信のための認証方法に関し、さらに詳しくは、ドメイン間情報通信のための認証方法、システム、およびその装置に関する。
ネットワーク通信技術が、近年において急激な成熟を遂げている。結果として、現在では、デジタル音声パケットをインターネットを介して送信するボイス・オーバー・インターネット・プロトコル(VoIP)、メッセージを送信するためのショートメッセージサービス(SMS)、ビデオコミュニケーション、およびマルチメディアストリーミングが、インターネットにおいて広く使用されている。
VoIPにおいては、現時点では、セッション開始プロトコル(SIP)が、典型的なシグナリングプロトコル規格である。VoIPシステムにおいては、SIP式の携帯電話機のそれぞれが、特定のSIPドメイン登録機関に登録して、特定のSIPドメインに属し、ドメインのセキュリティ管理は、通常は鍵管理センター(KMC)または鍵配布センター(KDC)によって制御される。これらの携帯電話機は、同じ認証プロトコルを使用しているため、セキュアな通信リンクを実現するための相互の認証を、携帯電話機とサーバとの間ならびに同じドメインの携帯電話機の間では、容易に実現することが可能である。
しかしながら、2つの携帯電話機の間の通信リンクが異なるドメインにまたがる場合には、各ドメインが異なる認証プロトコルを使用している可能性があるため、セキュアな通信を実現するために、別の共通の認証方法を使用する必要がある。したがって、ドメイン間の信頼できる動作という課題が生じる。
上記課題を解決するために、「Method and System For Authentication Through Multiple Proxy Servers That Require Different Authentication Data」という名称の米国特許第6,839,761号は、SIPにおけるクライアントと一連のプロキシとの間の認証の問題を解決するために、SIP要求に一連のプロキシ(サーバ)のためのそれぞれの認証データを付加することを可能にし、別個のセキュリティドメインについての一連の認証の検証を実現している。しかしながら、この特許は、ドメイン間の問題を解決しようとするものではない。
「Apparatus,System and Method For Facilitating Authenticated Communication Between Authentication Realms」という名称の別の米国特許出願公開第20050108575号が、異なる認証プロトコル間の認証を実現するための認証ゲートウェイを開示している。しかしながら、固定の認証ゲートウェイは、ネットワーク攻撃にさらされることによるサービス・アベイラビリティの問題に容易に直面する。
したがって、異なるセキュリティドメインにまたがる通信に関係する電子デバイスについて、両方のセキュリティドメインサーバにおいて複雑なドメイン間信任動作を使用する必要なく、相互の認証の信任状の取得を可能にすることができる機構を提供することについて、ニーズが存在している。
したがって、本発明の目的は、ドメイン間情報通信のための認証方法、システム、およびその装置であって、相互の認証のための信任状を、2つのセキュリティドメインサーバにおいて複雑なドメイン間信任動作を使用する必要なく取得することができる認証方法、システム、およびその装置を提供することにある。
ドメイン間情報通信のための本発明の認証方法は、インターネットを介して情報通信を実行することを望んでいる第1のドメインに属する第1の電子デバイスおよび第2のドメインに属する第2の電子デバイスへと適用される。この方法は、(A)第1の電子デバイスに対して、同じドメイン内の第1のプロキシサーバに依頼して第1および第2のドメインに同時に登録されている仲介ノードデバイスを見つけてもらうように指示するステップ、(B)第1の電子デバイスに対して、仲介ノードデバイスを介して第2のドメインの第2の鍵配布センターへの登録を行って第1の鍵を入手し、第1の鍵を含む第1のチケットを第2の電子デバイスへと送信するように指示するステップ、(C)第2の電子デバイスに対して、第1のチケットを受信し、次いで仲介ノードデバイスを介して第1のドメインの第1の鍵配布センターへの登録を行って第2の鍵を入手し、第2の鍵を含む第2のチケットを第1の電子デバイスへと送信するように指示するステップ、および(D)第1および第2の電子デバイスに対し、受信した第1および第2の鍵に従って共有の第3の鍵を生成して、情報通信の認証を実行するように指示するステップ、を含んでいる。
さらに、上述の方法を実行するための本発明のドメイン間情報通信認証システムは、第1のドメインに設置され、第2のドメインに属する第2の電子デバイスとインターネットを介した情報通信を実行するために使用される。このシステムは、複数の候補仲介ノードデバイスを記録するための第1のプロキシサーバ;前記候補仲介ノードデバイスから第1および第2のドメインに同時に登録されている仲介ノードデバイスを見つけるように前記第1のプロキシサーバに依頼する要求メッセージを送信し、前記仲介ノードデバイスを介して第2のドメインの第2の鍵配布センターへの登録を行って第1の鍵を入手し、第1の鍵を含む第1のチケットを第2の電子デバイスへと送信する第1の電子デバイス;および第2の電子デバイスに対して、第2の鍵を入手するための前記仲介ノードデバイスを介した登録を提供する第1の鍵配布センター;を備えており、第2の鍵を含む第2のチケットが前記第1の電子デバイスへと送信され、前記第1および第2の電子デバイスが、受信した第1および第2の鍵に従って共有の第3の鍵を生成して、情報通信の認証を実行することができる。
さらに、上述の方法を実行するための本発明の移動通信電子デバイスは、第1のドメインに属しており、インターネットを介して第2のドメインに属する第2の電子デバイスとの情報通信を実行する。この移動通信電子デバイスは、同じドメイン内の第1のプロキシサーバに対して第1および第2のドメインに同時に登録されている仲介ノードデバイスを発見するように依頼する要求メッセージを送信する仲介ノード要求モジュール;および仲介ノードデバイスを介して第2のドメインの第2の鍵配布センターへの登録を行って、第1の鍵を入手し、第1の鍵を含む第1のチケットを第2の電子デバイスへと送信して、第2の鍵を含む第2のチケットを返すように第2の電子デバイスに要求し、第2のチケットを処理して第2の鍵を入手し、第2の電子デバイスとの情報通信の認証の実行に使用するために、第1および第2の鍵に従って第3の鍵を生成するドメイン間鍵処理ユニット、を備えている。
さらに、上述の方法を実行するための本発明の仲介ノードデバイスは、第1のドメインおよび第2のドメインにまたがり、第1のドメインの第1のプロキシサーバおよび第1の電子デバイスと通信して、第2のドメインに属する第2の電子デバイスとの情報通信の実行において第1の電子デバイスを補助することができる。この仲介ノードデバイスは、構成データを保存するためのドメイン情報保存ユニット;第1のプロキシサーバへと接続される第1の接続ユニット;および前記ドメイン情報保存ユニットに保存された構成データに従ってドメイン特有情報を生成し、ドメイン特有情報を第1の接続ユニットを介して第1のプロキシサーバへと送信するためのドメイン特有情報作成ユニット、を備えている。
本発明の他の特徴および利点が、添付の図面を参照して、好ましい実施形態についての以下の詳細な説明において明らかになるであろう。
図1を参照すると、本発明によるドメイン間情報通信のための認証方法の好ましい実施形態が、インターネット80を介する音声データ通信(すなわち、VoIP)が所望される第1のSIPドメイン55(sipa.comというSIP URIを有している)に属する第1の電子デバイス10(Alice@sipa.comというSIP URIを有している)および第2のSIPドメイン65(sipb.comというSIP URIを有している)に属する第2の電子デバイス20(Bob@sipb.comというSIP URIを有している)へと適用される。第1のドメイン55には、第1のプロキシサーバ(好ましい実施形態においては、第1のプロキシサーバがSIPプロキシサーバであり、以下では第1のSIPプロキシサーバ50と称される)および第1のKDC30が存在している。第2のドメイン65には、第2のプロキシサーバ(好ましい実施形態においては、第2のプロキシサーバがSIPプロキシサーバであり、以下では第2のSIPプロキシサーバ60と称される)および第2のKDC40が存在している。第1の電子デバイス10が、発呼側端末であり、第2の電子デバイス20が、着呼側端末である。好ましい実施形態においては、第1および第2の電子デバイス10、20が、携帯電話機として例示されている(以下では、両者を携帯電話機10、20と記載する)が、これに限られるわけではない。
好ましい実施形態による第1のSIPプロキシサーバ50および携帯電話機10の内部機能ユニットのブロック図である図2に示されているとおり、第1のSIPプロキシサーバ50(第2のSIPプロキシサーバ60と同一である)は、インターネットとの接続のためのネットワーク通信ユニット500、信号送受信ユニット502、ドメイン間登録ユニット504、ドメイン間仲介ノード検索ユニット506、およびドメイン管理データベース508を含んでいる。携帯電話機10は、インターネットとの接続のためのネットワーク通信ユニット100、仲介ノード要求モジュール102、認証通信ユニット104、およびドメイン間鍵処理ユニット106を含んでいる。これらの機能ユニットの動作を、以下で説明する。
本実施形態のドメイン間音声通信のための認証方法は、以下を含んでいる。
ステップ(A):
携帯電話機10が、第1のSIPプロキシサーバ50に対して、第1および第2のドメイン55、65に同時に登録されている仲介ノードデバイスを提供するように要求する。
ステップ(A)に先立ち、複数の候補仲介ノードデバイスの情報が、第1のSIPプロキシサーバ50に前もって記録されている。オンにされている状態において、候補仲介ノードデバイスは、登録および更新を行うために、ドメイン特有情報を第1のSIPプロキシサーバ50へと送信する。
第1に、候補仲介ノードデバイスは、第1および第2のドメイン55、65に同時に登録されているデバイスでなければならない。好ましい実施形態においては、仲介ノードデバイスが、携帯電話機として例示されるが、これに限られるわけではない。オンにされている状態において、候補仲介ノードデバイスは、2つのドメイン55、65の間にブリッジを確立できるよう、ドメイン特有情報を適切なドメインのSIPプロキシサーバへと固定の間隔で送信して、自身の存在をSIPプロキシサーバに認知させる。
さらに、図3に示されているとおり、ドメイン特有情報を生成するために、候補仲介ノードデバイス700のそれぞれは、ネットワーク通信ユニット702、信号送受信ユニット704、第1の接続ユニット706、ドメイン特有情報作成ユニット708、および構成データを保存するためのドメイン情報保存ユニット710を含んでいる。
また、図3に示されているとおり、上述のドメイン特有情報を処理するために、第1のSIPプロキシサーバ50(第2のSIPプロキシサーバ60と同一である)のドメイン間登録ユニット504は、ドメイン特有情報交換ユニット510および第2の接続ユニット512をさらに含んでいる。
さらに図4のフロー図を参照すると、オンにされている状態において、候補仲介ノードデバイス700は、図4のステップ1500において、自身のドメイン特有情報作成ユニット708に対し、ドメイン情報保存ユニット710に保存されている構成データを組み合わせて、第1および第2のSIPドメイン55、65の身元ならびに第1および第2のKDC30、40の身元を含むドメイン特有情報を作成するように指示する。次に、ステップ1502で、第1の接続ユニット706において、ドメイン特有情報が登録要求[REGISTER]に付加され、信号送受信ユニット704およびネットワーク通信ユニット702を介して第1のSIPプロキシサーバ50へと送信される。ドメイン特有情報は、仲介ノードデバイス自体のハードウェア能力ならびに同時に処理できるノード対ノードの接続の最大数などといった情報をさらに含んでいる。
ステップ1504において、第1のSIPプロキシサーバ50が自身のネットワーク通信ユニット500および信号送受信ユニット502を介して登録要求[REGISTER]を受信したとき、第1のSIPプロキシサーバ50の第2の接続ユニット512が作動して、登録要求[REGISTER]からドメイン特有情報を分析および抽出し、ドメイン特有情報交換ユニット510がドメイン特有情報を使用して元のデータを更新すべく作動した後で、ドメイン特有情報がドメイン管理データベース508に保存される。更新が完了した後、ステップ1506において、無事完了メッセージ[200 OK]が候補仲介ノードデバイス700へと送信される。このようにして、候補仲介ノードデバイス700と第2のSIPドメイン65および第2のKDC40との間に確立されたブリッジが、第1のSIPプロキシサーバ50に登録される。
図5を参照すると、携帯電話機10の仲介ノード要求モジュール102が、携帯電話機20との通信のチケット要求を生成するために使用され、ネットワーク通信ユニット100を介して、第1のSIPプロキシサーバ50からの仲介ノードデバイスを要求する。仲介ノード要求モジュール102は、要求メッセージ送受信ユニット108、チケット要求ユニット110、信号送受信ユニット112、仲介ノード要求ユニット114、および仲介ノード情報抽出ユニット116を含んでいる。
したがって、第1のSIPドメイン55に属する携帯電話機10が、第2のSIPドメイン65に属する携帯電話機20へと電話をかけることを望む場合、図6のステップ2500において、チケット要求ユニット110が、例えばBob@sipb.comなど、着呼側端末(すなわち、携帯電話機20)の情報を含むチケット要求メッセージ[TGS_REQ]を生成する。ステップ2502において、チケット要求メッセージ[TGS_REQ]が、要求メッセージ送受信ユニット108およびネットワーク通信ユニット100を介して第1のKDC30へと送信される。次いで、ステップ2504において、第1のKDC30がメッセージを検査し、第1のSIPドメイン55と第2のSIPドメイン65との間に相互信任関係が存在するか否かを判断し、すなわち例えば第1のKDC30と第2のKDC40との間に共有鍵があらかじめ確立されているかなど、信任関係が第1のKDC30と第2のKDC40との間に前もって確立されているか否かを判断する。
第1のKDC30は、第2のKDC40との相互信任関係が存在しないことを発見(両者が同じドメインにないため)し、ステップ2506において、不成功(NG)メッセージを含む応答メッセージ[TGS_REP]を携帯電話機10へと返す。携帯電話機10は、ネットワーク通信ユニット100および要求メッセージ送受信ユニット108を介して不成功の応答メッセージ[TGS_REP]を受信したとき、携帯電話機20が別のドメインに属していることを知る。したがって、携帯電話機10は、自身と別のドメインに属する携帯電話機20との間の仲介ノードを検索しなければならない。
そこで、ステップ2508において、携帯電話機10の仲介ノード要求ユニット114が、例えば携帯電話機20のSIP URI:Bob@sipb.comなどといった着呼側端末の情報を含んでいる仲介ノード検索メッセージ[INVITE]を生成する。ステップ2510において、仲介ノード検索メッセージ[INVITE]が、仲介ノードデバイスを検索するために、信号送受信ユニット112およびネットワーク通信ユニット100を介して第1のSIPプロキシサーバ50へと送信される。
図7を参照すると、適切な仲介ノードデバイスを発見しようとする携帯電話機10を助けるために、第1のSIPプロキシサーバ50のドメイン間仲介ノード検索ユニット506が、仲介ノードを発見して検索結果を生成するための仲介ノード発見モジュール514と、検索結果に従って最良の仲介ノードデバイスを選択する仲介ノード選択モジュール516とをさらに備えている。次に、仲介ノード発見モジュール514は、候補仲介ノード発見ユニット518および候補検索ユニット520を含んでおり、仲介ノード選択モジュール516は、仲介ノード選択ユニット522、候補フィルタ処理ユニット524、および選択ユニット526を含んでいる。
したがって、図6のステップ2512において、第1のSIPプロキシサーバ50がネットワーク通信ユニット500および信号送受信ユニット502を介して仲介ノード検索メッセージ[INVITE]を受信した後、第1のSIPプロキシサーバ50の候補仲介ノード発見ユニット518が作動して、仲介ノード検索メッセージ[INVITE]から着呼側端末の情報を取得する。次いで、この情報が、候補検索ユニット520へと送信され、ドメイン管理データベース508を検索するためのインデックス(検索条件)として使用される。詳しくは、ドメイン管理データベース508に記録されている候補仲介ノードデバイス700の情報が、第1および第2のドメイン55および56に同時に存在する候補仲介ノードデバイスを見つけるために検索され、そのような候補仲介ノードデバイスが、後の仲介ノードの選択において入力として使用される。検索結果の例が、図8に示されている。ドメイン管理データベース508を検索することによって、第1および第2のドメイン55および65に同時に存在する3つの候補仲介ノードデバイス(Carol1@sipa.com、Carol2@sipa.com、およびCarol3@sipa.com)が発見されている。
次に、ステップ2514において、検索結果を入力として使用して、候補フィルタ処理ユニット524が作動し、資格のない仲介ノードデバイスを検索結果から除外するように、初期のフィルタ処理手順を実行する。例えば、動作中のサービスの数が所定の数以上である候補仲介ノードデバイスが除外される。図8の例では、最大数の動作中のサービスを達成している仲介ノードデバイス(すなわち、Carol3@sipa.com)が除外され、図9に示されるとおりの候補仲介ノードデバイスが残される。続いて、この初期のフィルタ処理の結果(図9に示されている)に、選択ユニット526によって実行される仲介ノードデバイスの選択の手順が加えられ、検索結果が候補仲介ノードデバイスのハードウェア能力の順序によって並べ替えられ、残る候補仲介ノードデバイス700の中から、どの候補仲介ノードデバイスが最良のハードウェア能力を有しているかに従い、あるいはどの候補仲介ノードデバイスのサービス可能数が最大であるかに従って、最良の仲介ノードデバイス70が選択される。したがって、「ハードウェア能力が最良」という条件が使用される場合には、仲介ノードデバイスCarol2@sipa.comが選択される一方で、「サービス可能数が最大」という条件が使用される場合には、仲介ノードデバイスCarol1@sipa.comが選択される。
したがって、仲介ノードデバイス70が選択された後、ステップ2516において、第1のSIPプロキシサーバ50が、仲介ノード選択ユニット522によって、Carol1@sipa.com(または、Carol2@sipa.com)というSIP URIを含む応答メッセージ[404 Not Found]など、仲介ノードデバイス70を含む情報を生成し、信号送受信ユニット502およびネットワーク通信ユニット500を介して携帯電話機10へと送信する。携帯電話機10が、ネットワーク通信ユニット100および信号送受信ユニット112を介して応答メッセージ[404 Not Found]を受信し、仲介ノード情報抽出ユニット116によって応答メッセージ[404 Not Found]から仲介ノードデバイス70の情報を抽出する。このようにして、携帯電話機10は、携帯電話機20とのドメイン間セキュア認証を実行するための仲介ノードとして機能する仲介ノードデバイス70を発見し、仲介ノードデバイス70の識別情報(Carol1@sipa.comまたはCarol2@sipa.com)を手にする。
続いて、ステップ2518において、携帯電話機10が、自身のチケット要求ユニット110、要求メッセージ送受信ユニット108、およびネットワーク通信ユニット100によってチケット要求メッセージ[TGS_REQ]を生成および送信し、第1のKDC30に対して仲介ノードデバイス70へと接続するためのチケットを要求する。ステップ2520において、仲介ノードデバイス70へのチケットを生成した後に、第1のKDC30は、チケット応答メッセージ[TGS_REP]を携帯電話機10へと返す。したがって、携帯電話機10が取得した仲介ノードデバイス70へのチケットを、後の携帯電話機20とのセキュアな認証に使用することができる。
ステップ(B):
携帯電話機10が、仲介ノードデバイス70を介して第2のKDC40からの第1のセッション鍵を要求し、第1のセッション鍵を含む第1のセッションチケットを携帯電話機20へと送信する。
図10に示されているとおり、上述の動作を実現するために、携帯電話機10のドメイン間鍵処理ユニット106(携帯電話機20についても同様)は、外部ドメイン処理モジュール118、ホームドメイン処理モジュール120、および共有鍵生成ユニット122を含んでいる。次に、外部ドメイン処理モジュール118は、外部ドメイン取得ユニット124、デリバリユニット126、登録ユニット128、および外部ドメイン保存ユニット130を含んでいる。次に、ホームドメイン処理モジュール120は、ホームドメイン取得ユニット132およびホームドメイン保存ユニット134を含んでいる。外部ドメイン処理モジュール118およびホームドメイン処理モジュール120の両者は、認証通信ユニット104およびネットワーク通信ユニット100を介してインターネットへと接続されている。
したがって、携帯電話機10は、仲介ノードデバイス70を介して携帯電話機20とのドメイン間認証を実行しようと望むとき、まずは仲介ノードデバイス70を介して第2のKDC40に登録するために、外部ドメイン取得ユニット124を作動させる。始めに、図11のステップ3500において、登録ユニット128において登録要求メッセージ[AP_REQ]が作成され、認証通信ユニット104およびネットワーク通信ユニット100を介して仲介ノードデバイス70へと送信される。次に、ステップ3502および3504において、仲介ノードデバイス70が、第2のKDC40への携帯電話機10の登録を要求するための要求メッセージ[USR_REG](携帯電話機10の身元Alice@sipa.comが付加されている)を再生成し、要求メッセージを第2のKDC40へと送信する。要求メッセージを受信した後、第2のKDC40は、ステップ3506において、携帯電話機10のための登録IDを生成し、ステップ3508において、登録IDを付加してなる登録応答メッセージ[USR_REP]を仲介ノードデバイス70に返す。次に、ステップ3510において、仲介ノードデバイス70が、登録応答メッセージ[USR_REP]を携帯電話機10へと送信し、携帯電話機10のネットワーク通信ユニット100および認証通信ユニット104が、登録応答メッセージ[USR_REP]を登録ユニット128へと送る。
第2のKDC40によって生成された登録IDを受信した後、携帯電話機10は、ステップ3512および3514において、ディフィ−ヘルマン(Diffie−Hellman)などのセキュアプロトコルによって第2のKDC40とのセキュアチャンネル([DH_REQ]および[DH_REP])を確立する。次に、ステップ3516において、携帯電話機10は、登録IDを使用して第2のKDC40との認証([AUTH_REQRSP])を実行し、登録IDが第2のKDC40から送信されたものであることを確認する。ステップ3518において、認証済みのセキュアなチャンネルが、携帯電話機10と第2のKDC40との間に確立される。
次に、ステップ3520において、携帯電話機10が、外部ドメイン取得ユニット124に対して、チケット要求メッセージ[TGS_REQ]を送信するように指示して、第2のKDC40からの携帯電話機20のためのチケットを要求する。その結果、ステップ3522において、第2のKDC40が、第1のセッション鍵および第1のセッションチケットを含むチケット応答メッセージ[TGS_REP](暗号化された第1のセッション鍵を含んでいる)を携帯電話機10に返し、このセッションチケットが、携帯電話機20へと送信されるべきセッションチケットである。ステップ3524において、外部ドメイン取得ユニット124は、得られた第1のセッション鍵および第1のセッションチケットを外部ドメイン保存ユニット130に保存する。
他方で、図12のステップ3528において、携帯電話機10は、仲介ノードデバイス70の情報(Carol1@sipa.comまたはCarol2@sipa.com)を含む要求メッセージ[INVITE]を携帯電話機20へと送信し、携帯電話機20にセキュア信任状の交換を開始させる。要求メッセージ[INVITE]が、第1および第2のSIPプロキシサーバ50、60を介して携帯電話機20へと伝えられる。要求メッセージ[INVITE]を受信した後、携帯電話機20は、ステップ3530において、セキュア信任状の交換の開始を知らせる応答メッセージ[200 OK]を携帯電話機10へと送信する。
次に、ステップ3532において、携帯電話機20は、第1のKDC30への登録のために、登録要求メッセージ[AP_REQ]を仲介ノードデバイス70へと送信する。このメッセージを受信した後、仲介ノードデバイス70は、ステップ3534および3536において、携帯電話機20の身元Bob@sipb.comを含むユーザ登録要求メッセージ[USR_REG]を再生成し、第1のKDC30へと送信する。続いて、ステップ3538、3540、および3542において、第1のKDC30が、携帯電話機20のための登録IDを生成し、応答メッセージ[USR_REP]を仲介ノードデバイス70を介して携帯電話機20へと返す。
登録IDを受信した後、携帯電話機20は、ステップ3544および3546において、ディフィ−ヘルマンなどのセキュアプロトコルによって第1のKDC30とのセキュアチャンネル([DH_REQ]および[DH_REP])を確立する。ステップ3548において、携帯電話機20は、登録IDを使用して第1のKDC30との認証([AUTH_REQRSP])を実行し、登録IDが第1のKDC30から送信されたものであることを確認する。結果として、ステップ3550において、認証済みのセキュアなチャンネルが、携帯電話機20と第1のKDC30との間に確立される。
次に、ステップ3552において、携帯電話機20が、チケット要求メッセージ[TGS_REQ]を送信して、第1のKDC30からの携帯電話機10のためのチケットを要求する。その結果、ステップ3554において、第1のKDC30が、第2のセッション鍵および第2のセッションチケットを含むチケット応答メッセージ[TGS_REP](暗号化された第2の鍵を含んでいる)を携帯電話機20へと返す。ステップ3556において、携帯電話機20が、第2のセッション鍵および第2のセッションチケットを取得し、自身の外部ドメイン保存ユニット130に保存し、その後にステップ3558において、デリバリユニット126を介して第2のセッションチケットを携帯電話機10へと送信する。その後、ステップ3559において、携帯電話機10のデリバリユニット126が作動し、先に保存した第1のセッション鍵を携帯電話機20へと送信する。
したがって、図13のステップ3560において、携帯電話機10は、第2のセッションチケットを受信したときに、自身のホームドメイン取得ユニット132に対して、第2のセッションチケットから第2のセッション鍵を抽出して、第2のセッション鍵をホームドメイン保存ユニット134に保存するように指示する。続いて、図13のステップ3564において、携帯電話機10の共有鍵生成ユニット122が作動し、擬似乱数関数を使用して、ホームドメイン保存ユニット134に保存されている第2のセッション鍵および外部ドメイン保存ユニット130に保存されている第1のセッション鍵に従って共有の第3のセッション鍵を生成し、この第3のセッション鍵をホームドメイン保存ユニット134に保存する。
同様に、図13のステップ3562において、携帯電話機20は、第1のセッションチケットを受信したときに、自身のホームドメイン取得ユニット132に対して、第1のセッションチケットから第1のセッション鍵を抽出して、第1のセッション鍵をホームドメイン保存ユニット134に保存するように指示する。続いて、図13のステップ3566において、携帯電話機20の共有鍵生成ユニット122が作動し、擬似乱数関数を使用して、ホームドメイン保存ユニット134に保存されている第1のセッション鍵および外部ドメイン保存ユニット130に保存されている第2のセッション鍵に従って共有の第3のセッション鍵を生成し、この第3のセッション鍵をホームドメイン保存ユニット134に保存する。
したがって、第3のセッション鍵が、携帯電話機10、20のみが知る共通の鍵であることが保証され、第3者(第1および第2のKDC30、40を含む)は、この鍵を知ることができない。したがって、それぞれ異なるドメイン55、65に属している携帯電話機10、20が、図13のステップ3568に示されるとおり、第3のセッション鍵を使用して、セキュアなドメイン間身元認証を実行することができ、ステップ3570の後でドメイン間音声通信を実行することができる。
さらに、第2のKDC40(第1のKDC30も)の作業負荷が軽減されることで、好ましい実施形態においては、第2のKDC40が、最初に第1のセッションチケットを第1のセッション鍵とともに携帯電話機10へと送信でき、その後に第1のセッションチケットが、携帯電話機10から携帯電話機20へと送信されることに注目すべきである。しかしながら、本発明がこれに限られるわけではなく、第2のKDC40(および、第1のKDC30)の作業負荷を考慮せず、第1のセッションチケットを第2のKDC40から携帯電話機20へと直接送信してもよい。
以上から、本発明においては、SIPプロキシサーバが、仲介ノードデバイスとして使用すべく2つのドメインに同時に登録されている携帯電話機を検索するために使用され、この仲介ノードデバイスを介して、別のドメインにそれぞれ属している携帯電話機が、ドメイン間の認証を実行することができる。したがって、2つのドメインのサーバにおいて複雑なドメイン間信任動作を利用する必要がないだけでなく、ネットワーク攻撃を受けることも少なくなり、異なるドメインの携帯電話機の間のセキュアなドメイン間音声通信という利点および目標が達成される。
ドメイン間音声通信のセキュアな認証への適用(上述の実施形態のとおり)に加えて、本発明は、(1)SMS(ショートメッセージサービス)、MMS(マルチメディアメッセージングサービス)、SIP通知(SIP Notify)、SIPメッセージ、などといったセキュアなドメイン間メッセージングサービス、ならびに(2)例えばMPEG4、H.264、などといったセキュアなドメイン間ビデオ通信またはドメイン間マルチメディアストリーミングに適用可能である。同様の種類のドメイン間情報通信においてセキュアな認証を実行する方法は、送信される情報の中身が異なるだけで、上述の実施形態の主たる技術的手段とほぼ同じであるため、ここでは説明を省略する。
以上、本発明を最も現実的かつ好ましい実施形態であると考えられる内容に関して説明したが、本発明が、本明細書に開示された実施形態に限定されず、最も広い解釈の精神および範囲に含まれる種々の構成を包含し、そのような変形および均等な構成のすべてを網羅することを理解すべきである。
本発明は、ドメイン間情報通信のための認証方法、システム、およびその装置に適用することが可能である。
本発明のドメイン間情報通信のための認証方法の好ましい実施形態によるネットワーキングシステムのアーキテクチャを示している。 好ましい実施形態による第1のSIPプロキシサーバおよび携帯電話機の内部機能ユニットのブロック図である。 好ましい実施形態による第1のSIPプロキシサーバ(一部分)および候補仲介ノードデバイスの内部ハードウェア・アーキテクチャのブロック図である。 好ましい実施形態による候補仲介ノードデバイスの第1のSIPプロキシサーバへの登録のフロー図である。 好ましい実施形態による携帯電話機の仲介ノード要求モジュールの詳細なハードウェア・アーキテクチャの回路ブロック図である。 好ましい実施形態に従った第1のSIPプロキシサーバによる仲介ノードデバイスの検索のフロー図である。 好ましい実施形態による第1のSIPプロキシサーバの一部分の内部ハードウェア・アーキテクチャのブロック図である。 好ましい実施形態による検索結果の概略図である。 好ましい実施形態による候補仲介ノードデバイスの最初のフィルタ処理結果の概略図である。 好ましい実施形態による携帯電話機の外部ドメイン処理モジュールおよびホームドメイン処理モジュールの詳細なハードウェア・アーキテクチャのブロック図である。 好ましい実施形態に従って第1のドメインに属する携帯電話機が仲介ノードデバイスを介して第2のKDCからの第1の鍵を要求するフロー図である。 好ましい実施形態に従って第2のドメインに属する携帯電話機が仲介ノードデバイスを介して第1のKDCからの第2の鍵を要求するフロー図である。 第1および第2のドメインにそれぞれ属する携帯電話機が、ドメイン間認証を実行するために、入手した第1および第2の鍵を使用して共通の第3の鍵を生成するフロー図である。

Claims (38)

  1. インターネットを介して情報通信を実行することを望んでいる第1のドメインに属する第1の電子デバイスおよび第2のドメインに属する第2の電子デバイスへと適用されるドメイン間情報通信のための認証方法であって、
    (A)第1の電子デバイスに対して、同じドメイン内の第1のプロキシサーバに依頼して第1および第2のドメインに同時に登録されている仲介ノードデバイスを見つけてもらうように指示するステップ、
    (B)第1の電子デバイスに対して、仲介ノードデバイスを介して第2のドメインの第2の鍵配布センターへの登録を行って第1の鍵を入手し、第1の鍵を含む第1のチケットを第2の電子デバイスへと送信するように指示するステップ、
    (C)第2の電子デバイスに対して、第1のチケットを受信し、次いで仲介ノードデバイスを介して第1のドメインの第1の鍵配布センターへの登録を行って第2の鍵を入手し、第2の鍵を含む第2のチケットを第1の電子デバイスへと送信するように指示するステップ、および
    (D)第1および第2の電子デバイスに対し、受信した第1および第2の鍵に従って共有の第3の鍵を生成して、情報通信の認証を実行するように指示するステップ
    を含んでいる方法。
  2. ステップ(A)において、仲介ノードデバイスが、第1および第2の鍵配布センターに前もって登録されている、請求項1に記載のドメイン間情報通信のための認証方法。
  3. ステップ(A)に先立って、複数の候補仲介ノードデバイスの情報が、第1のプロキシサーバに前もって保存されており、オンにされている状態において、これらの候補仲介ノードデバイスが、第1のプロキシサーバへとドメイン特有情報を送信して登録を行い、ドメイン特有情報を第1のプロキシサーバに記録させる、請求項1に記載のドメイン間情報通信のための認証方法。
  4. ドメイン特有情報が、第1および第2のドメインに関するデータを含んでおり、少なくとも第1および第2のドメインの識別データを含んでいる、請求項3に記載のドメイン間情報通信のための認証方法。
  5. ドメイン特有情報が、それぞれの候補仲介ノードデバイスの能力に関するデータを含んでおり、少なくとも、それぞれの候補仲介ノードデバイスのハードウェア能力、およびそれぞれの候補仲介ノードデバイスが同時に処理することができるノード対ノードの接続の最大数を含んでいる、請求項3に記載のドメイン間情報通信のための認証方法。
  6. ステップ(A)において、第1の電子デバイスが、第2の電子デバイスの情報を含む要求メッセージを第1のプロキシサーバへと送信し、その結果、適切な仲介ノードデバイスが、要求メッセージおよびドメイン特有情報に従って候補仲介ノードデバイスから見つけ出される、請求項5に記載のドメイン間情報通信のための認証方法。
  7. ステップ(D)において、情報通信の認証が、第1のプロキシサーバおよび第2のドメインの第2のプロキシサーバを介して実現される、請求項1に記載のドメイン間情報通信のための認証方法。
  8. 情報通信が、音声通信である、請求項7に記載のドメイン間情報通信のための認証方法。
  9. 第1および第2のプロキシサーバが、セッション開始プロトコルサーバである、請求項8に記載のドメイン間情報通信のための認証方法。
  10. 第1のドメインに設置され、第2のドメインに属する第2の電子デバイスとインターネットを介した情報通信を実行するために使用されるドメイン間情報通信認証システムであって、
    複数の候補仲介ノードデバイスを記録するための第1のプロキシサーバ、
    前記候補仲介ノードデバイスから第1および第2のドメインに同時に登録されている仲介ノードデバイスを見つけるように前記第1のプロキシサーバに依頼する要求メッセージを送信し、前記仲介ノードデバイスを介して第2のドメインの第2の鍵配布センターへの登録を行って第1の鍵を入手し、第1の鍵を含む第1のチケットを第2の電子デバイスへと送信する第1の電子デバイス、および
    第2の電子デバイスに対して、第2の鍵を入手するための前記仲介ノードデバイスを介した登録を提供する第1の鍵配布センター
    を備えており、
    第2の鍵を含む第2のチケットが前記第1の電子デバイスへと送信され、前記第1および第2の電子デバイスが、受信した第1および第2の鍵に従って共有の第3の鍵を生成して、情報通信の認証を実行することができるシステム。
  11. 前記候補仲介ノードデバイスのそれぞれが、ドメイン特有情報作成ユニット、構成データを保存するためのドメイン情報保存ユニット、および第1の接続ユニットを含んでおり、オンにされている状態において、前記ドメイン情報保存ユニットに保存された構成データに従って前記ドメイン特有情報作成ユニットによってドメイン特有情報を生成し、ドメイン特有情報を前記第1の接続ユニットを介して前記第1のプロキシサーバへと送信する、請求項10に記載のドメイン間情報通信認証システム。
  12. 前記第1のプロキシサーバが、第2の接続ユニット、ドメイン特有情報交換ユニット、およびドメイン管理データベースを含んでおり、前記第2の接続ユニットが、ドメイン特有情報を分析し、前記ドメイン特有情報交換ユニットが、ドメイン特有情報の更新を実行し、ドメイン特有情報を前記ドメイン管理データベースに保存する、請求項11に記載のドメイン間情報通信認証システム。
  13. 前記候補仲介ノードデバイスのそれぞれが、信号送受信ユニットおよびネットワーク通信ユニットを含んでおり、ドメイン特有情報が、前記信号送受信ユニットおよび前記ネットワーク通信ユニットを介して前記第1のプロキシサーバへと送信される、請求項11に記載のドメイン間情報通信認証システム。
  14. 前記第1のプロキシサーバが、前記候補仲介ノードデバイスのそれぞれから送信されるドメイン特有情報を受信するための信号送受信ユニットおよびネットワーク通信ユニットを含んでいる、請求項11に記載のドメイン間情報通信認証システム。
  15. ドメイン特有情報が、第1および第2のドメインに関するデータを含んでおり、少なくとも第1および第2のドメインの識別データを含んでいる、請求項11に記載のドメイン間情報通信認証システム。
  16. ドメイン特有情報が、前記候補仲介ノードデバイスのそれぞれの能力に関するデータを含んでおり、少なくとも、前記候補仲介ノードデバイスのそれぞれのハードウェア能力、および前記候補仲介ノードデバイスのそれぞれが同時に処理することができるノード対ノードの接続の最大数を含んでいる、請求項11に記載のドメイン間情報通信認証システム。
  17. 前記要求メッセージが、宛先情報を含んでおり、
    前記第1のプロキシサーバが、仲介ノード発見モジュールおよび仲介ノード選択モジュールをさらに含んでおり、
    前記仲介ノード発見モジュールが、要求メッセージの宛先情報に従って前記ドメイン管理データベースを検索して、第1および第2のドメインに同時に登録されている候補仲介ノードデバイスを発見して、検索結果を生成し、
    前記仲介ノード選択モジュールが、前記検索結果による候補仲介ノードデバイスをフィルタ処理し、前記候補仲介ノードデバイスから適切な仲介ノードデバイスを選択する、請求項16に記載のドメイン間情報通信認証システム。
  18. 前記仲介ノード発見モジュールが、候補仲介ノード発見ユニットおよび候補検索ユニットを含んでおり、
    前記仲介ノード選択モジュールが、仲介ノード選択ユニット、候補フィルタ処理ユニット、および選択ユニットを含んでおり、
    前記候補仲介ノード発見ユニットが、要求メッセージから宛先情報を抽出し、宛先情報を、前記ドメイン管理データベースに記録されている前記候補仲介ノードデバイスの情報を検索して検索結果を得るためのインデックスとして使用するために、前記候補検索ユニットへと送信し、
    前記仲介ノード選択ユニットが、検索結果に応じて資格のない仲介ノードデバイスを除外し、前記候補フィルタ処理ユニットが、サービスの最大数を超えている候補仲介ノードデバイスを除外するために使用され、前記選択ユニットが、残りの候補仲介ノードデバイスから候補仲介ノードデバイスのハードウェア能力に従って最良の仲介ノードデバイスを選択する、請求項17に記載のドメイン間情報通信認証システム。
  19. 前記候補仲介ノード発見ユニットおよび前記仲介ノード選択ユニットのそれぞれが、前記信号送受信ユニットおよび前記ネットワーク通信ユニットを介して前記第1の電子デバイスと通信する、請求項18に記載のドメイン間情報通信認証システム。
  20. 前記第1の電子デバイスおよび第2の電子デバイス、ならびに前記仲介ノードデバイスが、移動通信デバイスである、請求項10に記載のドメイン間情報通信認証システム。
  21. 前記第1の電子デバイスおよび第2の電子デバイス、ならびに前記仲介ノードデバイスが、携帯電話機である、請求項10に記載のドメイン間情報通信認証システム。
  22. 情報通信の認証が、前記第1のプロキシサーバおよび第2のドメインの第2のプロキシサーバを介して実現される、請求項10に記載のドメイン間情報通信認証システム。
  23. 情報通信が、音声通信である、請求項22に記載のドメイン間情報通信認証システム。
  24. 前記第1および第2のプロキシサーバが、セッション開始プロトコルサーバである、請求項23に記載のドメイン間情報通信認証システム。
  25. 第1のドメインに属しており、インターネットを介して第2のドメインに属する第2の電子デバイスとの情報通信を実行する移動通信電子デバイスであって、
    同じドメイン内の第1のプロキシサーバに対して第1および第2のドメインに同時に登録されている仲介ノードデバイスを発見するように依頼する要求メッセージを送信する仲介ノード要求モジュール、および
    仲介ノードデバイスを介して第2のドメインの第2の鍵配布センターへの登録を行って、第1の鍵を入手し、第1の鍵を含む第1のチケットを第2の電子デバイスへと送信して、第2の鍵を含む第2のチケットを返すように第2の電子デバイスに要求し、第2のチケットを処理して第2の鍵を入手し、第2の電子デバイスとの情報通信の認証の実行に使用するために、第1および第2の鍵に従って第3の鍵を生成するドメイン間鍵処理ユニット
    を備えている移動通信電子デバイス。
  26. 前記ドメイン間鍵処理ユニットが、外部ドメイン処理モジュール、ホームドメイン処理モジュール、および共有鍵生成ユニットを含んでおり、
    前記外部ドメイン処理モジュールが、仲介ノードデバイスを介して第2の鍵配布センターへの登録を行って、第1の鍵を入手し、第1の鍵を含む第1のチケットを第2の電子デバイスへと送信して、第2の鍵を含む第2のチケットを返すように第2の電子デバイスに要求し、
    前記ホームドメイン処理モジュールが、第2の鍵を得るべく第2のチケットを受信および処理し、
    前記共有鍵生成ユニットが、第2の電子デバイスとの情報通信の認証の実行に使用するために、第1および第2の鍵に従って第3の鍵を生成する、請求項25に記載の移動通信電子デバイス。
  27. ネットワーク通信ユニットをさらに備えており、
    前記仲介ノード要求モジュールが、前記ネットワーク通信ユニットを介して第1のプロキシサーバに接続する、請求項26に記載の移動通信電子デバイス。
  28. 認証通信ユニットをさらに備えており、
    前記外部ドメイン処理モジュールおよび前記ホームドメイン処理モジュールが、前記認証通信ユニットおよび前記ネットワーク通信ユニットを介してインターネットに接続する、請求項27に記載の移動通信電子デバイス。
  29. 前記外部ドメイン処理モジュールが、登録ユニット、外部ドメイン取得ユニット、外部ドメイン保存ユニット、およびデリバリユニットを含んでおり、
    前記登録ユニットが、登録要求メッセージを生成し、前記認証通信ユニットおよび前記ネットワーク通信ユニットを介して第2の鍵配布センターへの登録を行って、登録IDを入手し、
    前記外部ドメイン取得ユニットが、登録IDに従って第2の鍵配布センターから第1の鍵および第1のチケットを入手し、前記外部ドメイン保存ユニットに第1の鍵および第1のチケットを保存し、
    前記デリバリユニットが、前記認証通信ユニットおよび前記ネットワーク通信ユニットを介して前記第2の電子デバイスへと第1のチケットを送信する、請求項28に記載の移動通信電子デバイス。
  30. 前記仲介ノード要求モジュールが、要求メッセージ送受信ユニット、チケット要求ユニット、信号送受信ユニット、仲介ノード要求ユニット、および仲介ノード情報抽出ユニットを含んでおり、
    前記チケット要求ユニットが、着呼側端末の情報を含むチケット要求メッセージを生成し、前記要求メッセージ送受信ユニットおよび前記ネットワーク通信ユニットを介して第1のドメインの第1の鍵配布センターへとチケット要求メッセージを送信し、
    前記仲介ノード要求ユニットが、着呼側端末の情報を含む仲介ノード検索メッセージを生成し、仲介ノードデバイスを検索すべく前記信号送受信ユニットおよび前記ネットワーク通信ユニットを介して第1のプロキシサーバへと仲介ノード検索メッセージを送信し、
    前記仲介ノード情報抽出ユニットが、第1のプロキシサーバの応答メッセージから仲介ノードデバイスの情報を入手する、請求項27に記載の移動通信電子デバイス。
  31. 前記ホームドメイン処理モジュールが、ホームドメイン取得ユニットおよびホームドメイン保存ユニットを含んでおり、
    前記ホームドメイン取得ユニットが、第2のチケットを処理して第2の鍵を抽出し、第2の鍵を前記ホームドメイン保存ユニットに保存する、請求項26に記載の移動通信電子デバイス。
  32. 情報通信の認証が、第1のプロキシサーバおよび第2のドメインの第2のプロキシサーバを介して実現される、請求項25に記載の移動通信電子デバイス。
  33. 情報通信が、音声通信である、請求項32に記載の移動通信電子デバイス。
  34. 第1および第2のプロキシサーバが、セッション開始プロトコルサーバである、請求項33に記載の移動通信電子デバイス。
  35. 第1のドメインおよび第2のドメインにまたがり、第1のドメインの第1のプロキシサーバおよび第1の電子デバイスと通信して、第2のドメインに属する第2の電子デバイスとの情報通信の実行において第1の電子デバイスを補助することができる仲介ノードデバイスであって、
    構成データを保存するためのドメイン情報保存ユニット、
    第1のプロキシサーバへと接続される第1の接続ユニット、および
    前記ドメイン情報保存ユニットに保存された構成データに従ってドメイン特有情報を生成し、ドメイン特有情報を接続ユニットを介して第1のプロキシサーバへと送信するためのドメイン特有情報作成ユニット
    を備えている仲介ノードデバイス。
  36. 互いに接続された信号送受信ユニットおよびネットワーク通信ユニットをさらに備えており、
    前記第1の接続ユニットが、ドメイン特有情報が前記信号送受信ユニットおよび前記ネットワーク通信ユニットを介して第1のプロキシサーバへと送信されるように、前記信号送受信ユニットへと接続されている、請求項35に記載の仲介ノードデバイス。
  37. ドメイン特有情報が、第1および第2のドメインに関するデータを含んでおり、少なくとも第1および第2のドメインの識別データを含んでいる、請求項35に記載の仲介ノードデバイス。
  38. ドメイン特有情報が、仲介ノードデバイスの能力に関するデータを含んでおり、少なくとも、仲介ノードデバイスのハードウェア能力、および仲介ノードデバイスが同時に処理することができるノード対ノードの接続の最大数を含んでいる、請求項35に記載の仲介ノードデバイス。
JP2009504923A 2006-12-21 2007-12-20 ドメイン間情報通信のための認証方法、システム、およびその装置 Expired - Fee Related JP5143125B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN2006101685726A CN101207613B (zh) 2006-12-21 2006-12-21 跨网域信息通信的认证方法、系统及其装置
CN200610168572.6 2006-12-21
PCT/JP2007/075222 WO2008075792A1 (en) 2006-12-21 2007-12-20 Authentication method, system, and apparatus thereof for inter-domain information communication

Publications (2)

Publication Number Publication Date
JP2010514229A true JP2010514229A (ja) 2010-04-30
JP5143125B2 JP5143125B2 (ja) 2013-02-13

Family

ID=39208738

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009504923A Expired - Fee Related JP5143125B2 (ja) 2006-12-21 2007-12-20 ドメイン間情報通信のための認証方法、システム、およびその装置

Country Status (4)

Country Link
US (1) US8327144B2 (ja)
JP (1) JP5143125B2 (ja)
CN (1) CN101207613B (ja)
WO (1) WO2008075792A1 (ja)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8977710B2 (en) * 2008-06-18 2015-03-10 Qualcomm, Incorporated Remote selection and authorization of collected media transmission
WO2010089445A1 (en) 2009-02-04 2010-08-12 Nokia Corporation Access change for re-routing a connection
KR20100100134A (ko) * 2009-03-05 2010-09-15 한국전자통신연구원 네트워크 로봇 서비스를 위한 보안 서비스 방법 및 장치
US8588746B2 (en) * 2009-10-31 2013-11-19 SAIFE Technologies Incorporated Technique for bypassing an IP PBX
GB201015324D0 (en) * 2010-09-14 2010-10-27 Vodafone Ip Licensing Ltd Secure association
US20120275450A1 (en) * 2011-04-29 2012-11-01 Comcast Cable Communications, Llc Obtaining Services Through a Local Network
US8943318B2 (en) * 2012-05-11 2015-01-27 Verizon Patent And Licensing Inc. Secure messaging by key generation information transfer
US9270453B2 (en) 2011-06-30 2016-02-23 Verizon Patent And Licensing Inc. Local security key generation
US9154527B2 (en) 2011-06-30 2015-10-06 Verizon Patent And Licensing Inc. Security key creation
US8990554B2 (en) 2011-06-30 2015-03-24 Verizon Patent And Licensing Inc. Network optimization for secure connection establishment or secure messaging
CN102263927A (zh) * 2011-07-25 2011-11-30 中兴通讯股份有限公司 可视通信处理方法及装置
US8850543B2 (en) 2012-12-23 2014-09-30 Mcafee, Inc. Hardware-based device authentication
US8955075B2 (en) 2012-12-23 2015-02-10 Mcafee Inc Hardware-based device authentication
US9419953B2 (en) 2012-12-23 2016-08-16 Mcafee, Inc. Trusted container
US10122656B2 (en) 2013-08-05 2018-11-06 Oath Inc. Systems and methods for managing electronic communications
US10719829B2 (en) * 2013-09-09 2020-07-21 Touchtunes Music Corporation Techniques for processing pin-inclusive transactions in connection with an electronic device
US9749146B2 (en) * 2014-10-21 2017-08-29 Electronics And Telecommunications Research Institute Apparatus and methods for providing home network service
KR102005059B1 (ko) * 2014-10-21 2019-07-30 한국전자통신연구원 홈 네트워크 서비스를 제공하기 위한 장치 및 그 방법
US9923715B2 (en) * 2015-06-09 2018-03-20 Intel Corporation System, apparatus and method for group key distribution for a network
EP3462666B1 (en) * 2016-06-07 2023-05-31 Huawei Technologies Co., Ltd. Service processing method and device
US11025627B2 (en) * 2017-07-10 2021-06-01 Intel Corporation Scalable and secure resource isolation and sharing for IoT networks
FR3076149B1 (fr) * 2017-12-27 2019-11-15 Atos Integration Procede de securisation de bout en bout d'une communication
US11822637B2 (en) * 2018-10-18 2023-11-21 Oracle International Corporation Adaptive authentication in spreadsheet interface integrated with web service
WO2019179543A2 (en) 2019-03-27 2019-09-26 Alibaba Group Holding Limited Retrieving public data for blockchain networks using trusted execution environments
CA3058236C (en) 2019-03-27 2020-08-25 Alibaba Group Holding Limited Retrieving public data for blockchain networks using highly available trusted execution environments
CN110999255B (zh) 2019-03-29 2021-12-21 创新先进技术有限公司 检索区块链网络的访问数据的方法及装置
CN110571922B (zh) * 2019-05-14 2022-04-15 恒宝股份有限公司 一种基于共享密钥的物联网设备认证方法
FR3096532A1 (fr) * 2019-06-28 2020-11-27 Orange Procédé de gestion d’une communication entre terminaux dans un réseau de communication, et dispositifs et système pour la mise en œuvre du procédé
CN113055398B (zh) * 2021-03-31 2022-04-22 杭州恒生数字设备科技有限公司 一种基于sip架构的多级跨域设备证书管理系统
CN113114644B (zh) * 2021-03-31 2022-03-25 杭州恒生数字设备科技有限公司 一种基于sip架构的多级跨域对称密钥管理系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003224554A (ja) * 2002-01-28 2003-08-08 Toshiba Corp 通信接続システム、方法、プログラム及び電子投票システム
JP2006128751A (ja) * 2004-10-26 2006-05-18 Hitachi Ltd データ通信方法およびシステム
JP2007164387A (ja) * 2005-12-13 2007-06-28 Hitachi Ltd データ通信方法およびシステム
JP2008015696A (ja) * 2006-07-04 2008-01-24 Softbank Mobile Corp 認証方法、移動通信端末装置、ドメインシステム、ホームドメインシステム及び認証システム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6996716B1 (en) * 1999-04-15 2006-02-07 Avaya Technology Corp. Dual-tier security architecture for inter-domain environments
US6839761B2 (en) 2001-04-19 2005-01-04 Microsoft Corporation Methods and systems for authentication through multiple proxy servers that require different authentication data
GB0117429D0 (en) * 2001-07-17 2001-09-12 Trustis Ltd Trust management
US6792534B2 (en) 2002-03-22 2004-09-14 General Instrument Corporation End-to end protection of media stream encryption keys for voice-over-IP systems
KR100475186B1 (ko) * 2002-12-02 2005-03-10 삼성전자주식회사 접속 설정 프로토콜을 이용한 단말 장치의 등록 방법
CN1549546B (zh) * 2003-05-09 2011-06-22 中兴通讯股份有限公司 使用dhcp协议实现pppoe用户动态获取ip地址的装置及方法
US20050108575A1 (en) 2003-11-18 2005-05-19 Yung Chong M. Apparatus, system, and method for faciliating authenticated communication between authentication realms
GB2411086B (en) 2004-02-12 2006-12-06 Vodafone Plc Secure communications between terminals

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003224554A (ja) * 2002-01-28 2003-08-08 Toshiba Corp 通信接続システム、方法、プログラム及び電子投票システム
JP2006128751A (ja) * 2004-10-26 2006-05-18 Hitachi Ltd データ通信方法およびシステム
JP2007164387A (ja) * 2005-12-13 2007-06-28 Hitachi Ltd データ通信方法およびシステム
JP2008015696A (ja) * 2006-07-04 2008-01-24 Softbank Mobile Corp 認証方法、移動通信端末装置、ドメインシステム、ホームドメインシステム及び認証システム

Also Published As

Publication number Publication date
WO2008075792A1 (en) 2008-06-26
US8327144B2 (en) 2012-12-04
CN101207613B (zh) 2012-01-04
CN101207613A (zh) 2008-06-25
US20100153726A1 (en) 2010-06-17
JP5143125B2 (ja) 2013-02-13

Similar Documents

Publication Publication Date Title
JP5143125B2 (ja) ドメイン間情報通信のための認証方法、システム、およびその装置
CN106233704B (zh) 提供通过Relay方式穿越网络地址转换凭证的方法和装置
JP4738060B2 (ja) データ通信網のセキュアな連合
US7680120B2 (en) Connected communication terminal, connecting communication terminal, session management server and trigger server
JP5046811B2 (ja) データ通信システム
KR101367038B1 (ko) 키 교환 시스템 및 시스템 조작 방법
JP6345816B2 (ja) ネットワーク通信システムおよび方法
US20090300197A1 (en) Internet Protocol Communication System, Server Unit, Terminal Device, and Authentication Method
CN107612931B (zh) 多点会话方法及多点会话系统
JP2009296333A (ja) 通信制御システムおよび通信制御方法
JP4472566B2 (ja) 通信システム、及び呼制御方法
US8914861B2 (en) Authentication method and authentication system based on forking, and forking authentication device
JP5367386B2 (ja) Ip電話端末装置、vpnサーバ装置、ip電話サーバ装置およびこれらを用いたip電話システム
CN101471938B (zh) 一种点对点p2p网络中的认证方法、系统和装置
JP4477619B2 (ja) 認証システムおよび認証方法
Lai et al. Efficient information propagation in service routing for next generation network
TW200828937A (en) Authentication method, system, and apparatus thereof for inter-domain information communication
JP2013211684A (ja) 通信システム、サーバ装置、サーバ処理プログラム、及び接続要求転送方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100630

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121023

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121120

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151130

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5143125

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees