JP2011238245A - 単一処理で複数のpskベース認証を実行する方法及びこの方法を実行するシステム - Google Patents

単一処理で複数のpskベース認証を実行する方法及びこの方法を実行するシステム Download PDF

Info

Publication number
JP2011238245A
JP2011238245A JP2011123674A JP2011123674A JP2011238245A JP 2011238245 A JP2011238245 A JP 2011238245A JP 2011123674 A JP2011123674 A JP 2011123674A JP 2011123674 A JP2011123674 A JP 2011123674A JP 2011238245 A JP2011238245 A JP 2011238245A
Authority
JP
Japan
Prior art keywords
psk
combined
authentication
user
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011123674A
Other languages
English (en)
Other versions
JP5392728B2 (ja
Inventor
Jin Hyeok Choi
ジン−ヒョク チョイ,
Yemin Yegin Alper
エミン, イェギン アルパー,
Joon Hyuck Son
ジュン−ヒョク ソン,
Ji Cheol Lee
ジ−チョル リ,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020060048238A external-priority patent/KR101300844B1/ko
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of JP2011238245A publication Critical patent/JP2011238245A/ja
Application granted granted Critical
Publication of JP5392728B2 publication Critical patent/JP5392728B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/40User authentication by quorum, i.e. whereby two or more security principals are required
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract


【課題】
1度に複数のPSK(Pre−SharedKey)ベース認証を実行する方法及びこの方法を実行するシステムを開示する。
【解決手段】
本発明に係る単一処理で複数のPSKベース認証を実行する方法は、端末機でユーザID及びPSKを含む複数のクレデンシャルを用いて結合クレデンシャルを生成する段階と、認証サーバで結合クレデンシャルを用いて端末機の認証を実行する段階とを有する。
【選択図】 図2

Description

本発明は、単一処理で複数のPSK(Pre−Shared Key)ベース認証を実行する方法及びこの方法を実行するシステムに関し、より詳細には、端末機でユーザID及びPSKを結合し、認証サーバで結合されたユーザID及びPSKを用いて端末機の認証を実行する方法及びこの方法を実行するシステムに関する。
認証システム(authentication system)とは、通信網を経由してコンピュータにアクセスするユーザが登録されているユーザであるか、あるいは正当な許可を受けているユーザであるかを、信頼できる方法で確認するシステムを意味する。
この認証システムは、開放型ネットワークにおいて特に重要であり、この場合、鍵となる部分は認証サーバに適用されているソフトウェアであって、ここでユーザの名前やパスワードなどを一括管理している。
認証サーバは、サービスを提供するプログラムに対して暗号化された認証用プロトコルを用いることで、ユーザが許可を受けた本人であるか否かを確認する。このような認証システム製品の例としては、米国のゼロックス社のプロトコルシステムであるゼロックス網体系(Xerox Network System:XNS)の認証サービスがある。既存のUnix(登録商標)にはこのようなシステムがなかったが、米国マサチューセッツ工科大学(MIT)のアテナ・プロジェクトによって開発されたケルベロス(Kerberos)が登場した。
このような認証システムの認証プロセスは、実行中ごとに若干の待機時間を招く。例えば、簡単な暗証番号を暗号化して送信するCHAP(challenge handshake authentication protocol)は、モバイル装置とホームドメインとの間に1度の往復遅延が要求され、これによって1度の認証ごとの1度の往復遅延による待機時間が発生するようになる。
図1は、従来技術において、2度の認証による待機時間を説明するための図である。
特に、図1においては、図に示すように、2度の認証を行うモバイル装置101と認証サーバ102との間の認証要請と認証の工程、及びこれによって発生する待機時間を示している。
ステップ103にてモバイル装置101から認証サーバ102に第1認証を要請すれば、ステップ104にてこれに対する認証が実行されるまで、ステップ105の第1待機時間が発生する。ステップ104の認証が実行された後に、モバイル装置101は、ステップ106にて2度目の認証のために認証サーバ102に第2認証を要請し、ステップ107のこれに対する認証が実行されるまでステップ108の第2待機時間が発生する。
このように、モバイル装置が2度以上の認証を必要とすれば(例えば、分離している装置の認証および署名認証)、ネットワークへのログインは2倍の待機時間を要求するようになる。このようにもたらされた待機時間は、無線端末機のシームレスハンドオーバの達成に大きな問題を与えるようになる。
すなわち、従来技術の認証方法では、無線端末機が所望するサービスに接続する前に送信が要求される複数の独立した認証に対し、1つの認証による待機時間に認証数を掛けた待機時間をこうむるようになり、基地局間を通信する場合には、ハンドオーバが均等に発生し難くなり、従って少なくとも待機時間を減少させる単一処理で認証を実行する改良された装置及び方法が必要となっているという問題点がある。
本発明は、上記のような問題点を解決するために案出されたものであって、本発明の好適な実施形態の態様は、単一処理で複数のPSKベース認証を実行する方法及びこの方法を実行するシステムを提供することを目的とする。
また、本発明の好適な実施形態の態様は、複数の認証を単一処理で処理することで、サービスにアクセスするための待機時間を1度の認証による待機時間だけに減らすことのできるPSKベース認証方法を提供することを目的とする。
また、本発明の好適な実施形態の態様は、新たな認証プロトコルを使用せずに既存の認証プロトコルを用いた認証方法によって待機時間を減らすことのできるPSKベース認証方法を提供することを目的とする。
上記目的を達成するためになされた本発明の好適な一実施形態の態様に係る単一処理でPSKベース認証実行方法は、端末機においてユーザID及び前記PSKを含む複数のクレデンシャルを用いて結合クレデンシャルを生成する段階と、認証サーバにおいて前記結合クレデンシャルを用いて前記端末機の認証を実行する段階とを含む。
また、本発明の好適な実施形態の他の態様に係る、結合クレデンシャルを生成する段階は、前記ユーザIDを連続して結合して結合ユーザIDを生成する段階と、前記PSKを連続して結合して結合PSKを生成する段階と、前記結合ユーザID及び前記結合PSKを含む前記結合クレデンシャルを生成する段階とを含むことが好ましい。
また、本発明の好適な実施形態の他の態様に係る、前記結合ユーザID及び前記結合PSKは、1つの前記クレデンシャルに含まれた前記ユーザID及び前記PSKをそれぞれ同じ順序で含むことが好ましい。
さらに、本発明の好適な実施形態の他の態様に係る、前記PSKを連続して結合して結合PSKを生成する前記段階は、前記認証サーバの認証プロセスが前記PSKすべてにアクセスする場合に実行されることが好ましい。
本発明の他の好適な実施形態の態様に係る、端末機でPSKベース認証を実行する方法は、認証サーバから予め設定されたチャレンジコードの入力を受ける段階と、前記チャレンジコード及びN個のPSKに基づいて応答コードを生成する段階と、前記応答コードを前記認証サーバに送信する段階とを含む。
本発明のさらに他の好適な実施形態の態様に係る、認証サーバでPSKベース認証を実行する方法は、端末機に予め設定されたチャレンジコードを送信する段階と、前記チャレンジコード及びN個のPSKに基づいて第1応答コードを生成する段階と、前記端末機から送信された第2応答コードと前記第1応答コードとを比較する段階と、前記第2応答コードと前記第1応答コードとが同じである場合に前記端末機を認証する段階とを含む。
本発明によれば、複数の認証を単一処理で処理することで、サービスへの接近による待機時間を1度の認証による待機時間だけに減らすことができる。
本発明によれば、待機時間を新しい認証プロトコルを使用せずに既存の認証プロトコルを用いた認証方法によって減らすことができる。
従来技術において、2度の認証による待機時間を説明するための図である。 本発明の実施形態において、複数の認証による待機時間を説明するための図である。 本発明の第1の実施形態において、単一処理で複数のPSKベース認証を実行する方法を説明するためのフローチャートである。 本発明の第2の実施形態において、端末機でPSKベース認証を実行する方法を説明するためのフローチャートである。 本発明の第3の実施形態において、認証サーバでPSKベース認証を実行する方法を説明するためのフローチャートである。 本発明の第2の実施形態及び第3の実施形態において、PSKベース認証を実行する端末機及び認証サーバのPSKベース認証方法を説明するためのフローチャートである。 本発明の第4の実施形態において、単一処理で複数のPSKベース認証を実行するシステムの内部構成を説明するためのブロック図である。 本発明の第5の実施形態において、PSKベース認証を実行する端末機の内部構成を説明するためのブロック図である。
まず、本明細書において、「端末機」とは、PDC(Personal Digital Cellular)フォン、PCS(Personal Communication Service)フォン、PHS(Personal Handyphone System)フォン、CDMA−2000(1X、3X)フォン、WCDMA(Wideband CDMA)フォン、デュアルバンド/デュアルモードフォン、GSM(Global Standard for Mobile)フォン、MBS(Mobile Broadband System)フォン、DMB(Digital Multimedia Broadcasting)フォン、スマートフォン、携帯電話などの通信機能が含まれた携帯用機器、PDA(Personal Digital Assistant)、ハンドヘルドPC、ノート型パソコン、ラップトップコンピュータ、WiBro端末機、MP3プレーヤ、MDプレーヤなどの携帯端末機、さらに国際ローミングサービスと拡張した移動通信サービスを提供するIMT−2000(International Mobile Telecommunication−2000)端末機などを含むすべての種類のハンドヘルドベースの無線通信装置を意味する携帯用電気電子装置であって、CDMA(Code Division Multiplexing Access)モジュール、ブルートゥースモジュール、IrDA(Infrared Data Association)、有無線LANカード、及びGPS(Global Positioning System)を介した位置追跡が可能となるようにGPSチップが搭載された無線通信装置などの所定の通信モジュールを具備することができ、マルチメディア再生機能を実行することができるマイクロプロセッサを搭載することで、一定した演算動作を実行することができる端末機を通称する概念として解釈されることができる。
また、ここで、「端末機を認証する」または「端末機の認証を実行する」という用語の意味は、上述したような端末機を用いて認証しようとする複数のユーザIDを認証するという意味と同じである。
以下、添付の図面を参照しながら、本発明に係る多様な実施形態について詳しく説明する。
図2は、本発明の実施形態において、複数の認証による待機時間を説明するための図である。図2に示すように、図2は、モバイル装置201から認証サーバ202に認証要請と認証の工程、およびこれによって発生する待機時間を示している。
ステップ203において、モバイル装置201は、複数の認証のために、認証に必要なユーザID及びPSKをそれぞれ結合し、結合ユーザID及び結合PSKを生成して送信することで結合認証を要請する。すなわち、複数の認証に対する要請を1度の要請で解決するのである。
ステップ204において、これに対し、認証サーバ202は、複数の認証に対する要請に対して1度の手順でモバイル装置201を認証することで、ステップ205において、図2に示すように、1度の認証に対する待機時間のみが発生するようになる。
上述したようなユーザID及びPSKを結合する方法については、以下の図面を用いてさらに詳しく説明する。
図3は、本発明の第1の実施形態において、単一処理で複数のPSKベース認証を実行する方法を説明するためのフローチャートである。
ステップS310で、PSKベース認証実行システムは、端末機でユーザID及びPSKを含む複数のクレデンシャルを用いて結合クレデンシャルを生成する。
PSK(またはshared secret)とは、他のクレデンシャル(例えば、ユーザ名及びパスワード)よりも先に獲得されるVPN(Virtual Private network)サービスの文字列である。ウィンドウズ(登録商標)XPでは、認証のためのPSK(pre−shared key for authentication)と呼ばれているが、大部分の運営体制では、共有秘密キー(shared secret)として知られている。
VPNサーバへの接続が成されるとき、VPNサーバは、正確な文字列が与えられるまで認証プロセスを承諾しない。もし、VPNサーバがPSKを受けることができなければ、ユーザ名及びパスワードは送信されずに接続が終了するようになる。このような意味において、PSKは多くのユーザにはあまりよく知られていないが、狭い意味でのパスワードの形式であると言える。
このようなPSKベース認証実行システムは、ユーザID(U)およびPSK(K)を含む複数のクレデンシャル(C)を、下記の数式1のように構成することができる。
(数1)
C1={U1、K1}、C2={U2、K2}、……、Cn={Un、Kn}
数式1のように構成された複数のクレデンシャルを用いて結合クレデンシャルを生成する方法については、ステップS311〜ステップS313を参照して詳しく説明する。
ステップS311で、PSKベース認証実行システムは、ユーザIDを連続して結合して結合ユーザIDを生成する。このとき、結合ユーザIDは、「|」、「/」、または「,」などの区分記号を含む区分子によってユーザIDを区分することができる。
この場合、結合ユーザID(Uc)は、下記の数式2のように表現することができる。
(数2)
Uc=U1|”,”|U2|”,”|……|Un
このように、結合ユーザIDは、ユーザIDを連続した文字列で並べて区分子によって区分し、1つの文字列として生成することができる。例えば、joe.smith@ISP1.com,00:0D:56:DD:C4:49のように、2つのユーザIDを「,」を区分子として1つの文字列で生成することができる。
ステップS312で、PSKベース認証実行システムは、PSKを連続して結合して結合PSKを生成する。このようなステップS312は、認証サーバの認証プロセスがPSKすべてにアクセスする場合に実行されることが好ましい。
この場合、結合PSK(Kc)は、下記の数式3のように表現することができる。
(数3)
Kc=K1|K2|……|Kn
このように、結合PSKは、ステップS310で説明したように、1つの文字列を成しているPSKを連結し、1つの大きい文字列として生成することができる。
この場合、ステップS311及びステップS312で、結合ユーザID及び結合PSKは、1つのクレデンシャルに含まれたユーザID及びPSKをそれぞれ同じ順序で含むことができる。
ステップS313で、PSKベース認証実行システムは、結合ユーザIDおよび結合PSKを含む結合クレデンシャルを生成する。
この場合、結合クレデンシャル(cC)は、下記の数式4のように表現することができる。
(数4)
cC={Uc、Kc}
このように、結合クレデンシャル(cC)は、結合ユーザID(Uc)及び結合PSK(Kc)の2つの文字列を要素とする集合として表現することができる。
ステップS320で、PSKベース認証実行システムは、認証サーバで結合クレデンシャルを用いて端末機の認証を実行する。
認証サーバは、結合クレデンシャルを用いてPSKベース認証を実行し、結合クレデンシャルの成功した認証は、暗黙的に複数のクレデンシャル(C1、C2、……、Cn)すべてを認証することになる。
このように、複数の認証を単一処理で処理することで、サービスへのアクセスによる待機時間を1度の認証による待機時間だけに減らすことができる上に、新しい認証プロトコルを必要とせずに既存の認証プロトコルを用いた認証方法によって複数の認証に対する待機時間を1度の認証のための待機時間だけに減らすことができる。
しかし、単一認証プロセスにおいて、キーのすべてにアクセスしないことが生じる場合もある。例えば、署名キーと装置キーが互いに異なるハードウェア装置に保存されているとする。このような場合には、繰り返し実行される認証方法によるキーに対するハッシュの実行が要求されるようになる。この方法は、依然としてすべてのPSKの所有の証拠を生み出すものであるが、セキュリティドメイン全般に渡ってPSKを共有する必要はないことが確信される。
上述の方法については、図4及び図5を参照しながら、さらに詳しく説明する。
図4は、本発明の第2の実施形態において、端末機でPSKベース認証を実行する方法を示したフローチャートである。
ステップS410で、端末機は、認証サーバから予め設定されたチャレンジコードの入力を受ける。
ステップS420で、端末機は、チャレンジコード及びN個のPSKに基づいて応答コードを生成する。
ステップS421で、端末機は、チャレンジコード及び第1ユーザIDの第1PSKを所定の変換方法によって変換して第1応答結果を生成する。このとき、変換方法は、予め設定されたハッシュ関数(hash function)を含むことができる。
チャレンジコード(ch)と第1PSK(K1)を用いて第1応答結果(R1)を生成する工程は、下記の数式5のように表現することができる。
(数5)
R1=hash(ch、K1)
ステップS422で、端末機は、第(n−1)応答結果および第nユーザIDの第nPSKを変換方法によって変換して第n応答結果を生成する。
第n応答結果(Rn)は、下記の数式6のように表現することができる。
(数6)
Rn=hash(Rn−1、Kn)
ステップS423で、端末機は、nがNと同じである場合にはステップS424実行し、nとNが相違する場合にはステップS422を実行する。この場合、nは、2からNまでの数値を含む。ステップS423は、nが含む数値それぞれに対してステップS422を繰り返し実行するための段階であることを意味する。
ステップS424で、端末機は、nがNと同じである第n応答結果を応答コードとして生成する。
すなわち、n=Nは、すべてのユーザIDに対するPSKに対してハッシュ関数を適用することを意味している。これは、結果的には、最終応答結果を応答コードとして生成することを意味している。
ステップS430で、端末機は、応答コードを認証サーバに送信する。
図5は、本発明の第3の実施形態において、認証サーバでPSKベース認証を実行する方法を説明するためのフローチャートである。
ステップS501で、認証サーバは、端末機に予め設定されたチャレンジコードを送信する。
ステップS502で、認証サーバは、チャレンジコード及びN個のPSKに基づいて第1応答コードを生成する。
このとき、ステップS502は、図4のステップS421〜ステップS424で説明したように、チャレンジコード及び第1ユーザIDの第1PSKを所定の変換方法をによって変換して第1応答結果を生成する段階と、第(n−1)応答結果及び第nユーザIDの第nPSKを変換方法によって変換して第n応答結果を生成する段階と、nがNと同じである場合の第n応答結果を第1応答コードとして生成する段階とを含むことができ、nの数値が2からNまでの数値それぞれに対して第(n−1)応答結果及び第nユーザIDの第nPSKを変換方法によって変換して第n応答結果を生成する段階を繰り返し実行する段階をさらに含むことができる。
これに加え、変換方法は、予め設定されたハッシュ関数を含むことができる。
ステップS503で、認証サーバは、端末機から第2応答コードの入力を受ける。
ステップS504で、認証サーバは、第2応答コードおよび第1応答コードを比較し、互いに同一である場合にはステップS505を実行し、互いに相違する場合には終了する。
ステップS505で、認証サーバは、第2応答コードおよび第1応答コードが同一である場合に端末機を認証する。
すなわち、認証サーバは、図4で説明した端末機が所有している複数のPSKと同じPSKを所有しているため、図4と同じ方法を用いて予め応答コードを生成し、端末機から送信された応答コードと互いに比較し、同じ場合にのみ端末機を認証するようになる。
図6は、本発明の第2の実施形態及び第3の実施形態において、PSKベース認証を実行する端末機及び認証サーバのPSKベース認証方法を説明するためのフローチャートである。
ステップ603において、端末機601は、認証サーバ602から送信されたチャレンジコードを受信し、ステップ605において、端末機601が所有しているPSKとチャレンジコードを用いて応答コードを生成する。また、その前に、ステップ604において、認証サーバ602では、認証サーバ602でも所有している同じPSKを用いて第1応答コードを生成する。
ステップ606において、端末機601は、応答コードを認証サーバ602に送信し、ステップ607において、認証サーバ602は、送信された応答コードと生成した第1応答コードとを比較し、ステップ608において、互いに同じである場合にはステップ603において、端末機601を認証する。
この場合、認証方法がKDK(Key−Derivation Key)を必要とする場合に、KDKは、下記の数式7のように計算することができる。
(数7)
KDKc=KDF(KDK1、KDK2|KDKD3|……KDKn)
このとき、適切なKDF(Key Derivation Function)の選択が必要となるが、例えば、KDFは、下記の数式8のように表現することができる。
(数8)
M_AES−CTR(K1、K2|K3|……Kn|“Combined KDK”、ctr_iv=1)
このKDFは、セキュアキー又はパスワードをより一層堅固にするためにデザインされた暗号ハッシュ関数である。
図7は、本発明の第4の実施形態において、単一処理で複数のPSKベース認証を実行するシステムの内部構成を説明するためのブロック図である。図7に示すように、PSKベース認証実行システム700は、生成部710及び認証部720を含むことができる。
生成部710は、認証を要請する端末機を、認証部720は、端末機を認証するための認証サーバを意味することができる。なお、ここでは、認証のためのデータを入出力するための装置に対する図示および説明は省略する。
生成部710は、端末機においてユーザID及びPSKを含む複数のクレデンシャルを用いて結合クレデンシャルを生成する。この場合、生成部710は、結合ユーザID生成部711、結合PSK生成部712、及び結合クレデンシャル生成部713を含むことができる。
結合ユーザID生成部711は、ユーザIDを連続して結合して結合ユーザIDを生成し、結合PSK生成部712は、PSKを連続して結合して結合PSKを生成する。このとき、結合PSK生成部712は、認証サーバの認証プロセスがPSKのすべてにアクセスする場合に実行されることができる。
結合クレデンシャル生成部713は、結合ユーザID及び結合PSKを含む結合クレデンシャルを生成する。結合クレデンシャルを用いて複数のユーザIDを認証することにより、1度の待機時間だけで複数のクレデンシャルを認証することが可能となる。
認証部720は、認証サーバで結合クレデンシャルを用いて端末機の認証を実行する。
このように、PSKベース認証実行システムを用いて複数の認証を単一処理で処理することで、サービスへのアクセスによる待機時間を1度の認証による待機時間だけに減らすことができる上に、新しい認証プロトコルを必要とせずに既存の認証プロトコルを用いた認証方法によって複数の認証に対する待機時間を1度の認証による待機時間だけに減らすことができる。
例えば、このようなPSKベース認証システムにおける装置認証および署名認証は、WiMAX(World Interoperability for Microwave Access)ネットワークでは共通した場所に存在するものとして期待されている。WiMAXとは、インテル社が携帯インターネットの技術標準を目標として開発中である技術方式である。建物の外でインターネット使用半径を大幅に広げられるように、既存の無線RAN(802.11a/b/g)技術を補完するものであるが、移動中に基地局と基地局との間ハンドオフを保障することができないという短所を抱えている。
このようなWiMAXの初期規定によれば、WiMAXの端末機は、装置認証及び署名認証すべてを同じ認証サーバで認証することが要求される。
このようなWiMAXに本発明を適用すれば、WiMAXネットワークへのログイン待機時間を半分に減らすことができるようになる。
さらに、これを用いてモバイル端末機のハンドオーバを均等にすることができる。ハンドオーバは、通話中の状態であるモバイル端末機が該当する基地局サービス地域から外れて隣接する基地局サービス地域に移動するときに、モバイル端末機が隣接する基地局の新しい通過チャンネルに自動同調されることで、持続して通話状態を維持することができる機能を意味する。
このとき、通話チャンネルが自動的に変わる間の通話断絶時間は、約15ms以下である。このような短い時間に、基地局と端末機との間でデジタルメッセージ交信が実行されることで、通話中の加入者は瞬間的な通過途絶状態を殆ど感知することがない。
しかし、待機時間が長くなれば通話断絶時間が長くなる恐れがあるため、加入者は大きい不便を感じるようになる。
上述のように、本発明の実施形態に従えば、待機時間を減らすことで、上述した問題点を解決することができる。
図8は、本発明の第5の実施形態において、PSKベース認証を実行する端末機の内部構成を説明するためのブロック図である。図8に示すように、端末機800は、チャレンジコード入力部810、生成部820、および応答コード送信部830を含むことができる。
入力部810は、認証サーバから予め設定されたチャレンジコードの入力を受ける。チャレンジコードの値は、認証サーバに応じて予め設定されることができる。
生成部820は、チャレンジコード及びN個のPSKに基づいて応答コードを生成する。このとき、生成部820は、第1応答結果生成部821、第n応答結果生成部822、応答コード生成部823、及び反復部824を含むことができる。
第1応答結果生成部821は、チャレンジコード及び第1ユーザIDの第1PSKを所定の変換方法によって変換して第1応答結果を生成する。
第n応答結果生成部822は、第(n−1)応答結果及び第nユーザIDの第nPSKを変換方法によって変換して第n応答結果を生成する。
応答コード生成部823は、nがNと同じである場合、第n応答結果を応答コードとして生成する。
応答コードを生成する方法は、図4を用いて説明した応答コードを生成する方法と同じ方法によって実行することができる。
反復部824は、nが含む数値それぞれに対して第(n−1)応答結果及び第nユーザIDの第nPSKを変換方法によって変換して第n応答結果を生成する工程を繰り返し実行させる。
応答コード送信部830は、応答コードを認証サーバに送信する。
上述のように、図2〜図8を参照しながら説明したように、ユーザIDを認証するための認証方法は、別途の認証サーバによって実行されることもできる。例えば、複数のクレデンシャルが同じモバイル端末機に含まれていても、それぞれが互いに異なる別途のAAA(Authorization、Authentication and Accounting)サーバによって認証される場合もある。このような場合には、新しい認証プロトコル(例えば、新しいEAP(Extensible Authentication Protocal)方法)およびAAAバックエンドプロトコル(例えば、RADIUS(Remote Authentication Dial−In User Service))の拡張によって解決することができる。
なお、本発明に係る実施形態は、コンピュータにより具現される多様な動作を実行するためのプログラム命令を含むコンピュータ読取可能な記録媒体を含む。
当該記録媒体は、プログラム命令、データファイル、データ構造などを単独又は組み合わせて含むこともでき、記録媒体及びプログラム命令は、本発明の目的のために特別に設計されて構成されたものでもよく、コンピュータソフトウェア分野の技術を有する当業者にとって公知であり使用可能なものであってもよい。
コンピュータ読取可能な記録媒体の例としては、ハードディスク、フロッピー(登録商標)ディスク及び磁気テープのような磁気媒体、CD−ROM、DVDのような光記録媒体、オプティカルディスクのような磁気−光媒体、及びROM、RAM、フラッシュメモリなどのようなプログラム命令を保存して実行するように特別に構成されたハードウェア装置が含まれる。
また、記録媒体は、プログラム命令、データ構造などを保存する信号を送信する搬送波を含む光または金属線、導波管などの送信媒体でもある。プログラム命令の例としては、コンパイラによって生成されるもののような機械語コードだけでなく、インタプリタなどを用いてコンピュータによって実行される高級言語コードを含む。前記したハードウェア要素は、本発明の動作を実行するために一以上のソフトウェアモジュールとして作動するように構成することができ、その逆もできる。
上述したように、本発明の好ましい実施形態を参照して説明したが、該当の技術分野において熟練した当業者にとっては、特許請求の範囲に記載された本発明の思想および領域から逸脱しない範囲内で、本発明を多様に修正および変更させることができることを理解することができるであろう。すなわち、本発明の技術的範囲は、特許請求の範囲に基づいて定められ、発明を実施するための最良の形態により制限されるものではない。
201、601、800 端末機
202、602 認証サーバ
700 PSKベース認証実行システム

Claims (12)

  1. 複数のPSK(Pre−Shared Key)ベースの認証を実行する方法であって、
    端末機においてユーザID及び前記PSKをそれぞれ含む複数のクレデンシャル(credential:信用証明物)の少なくとも2つを用いて結合クレデンシャルを生成する段階と、
    認証サーバにおいて前記結合クレデンシャルを用いて前記端末機の認証を実行する段階とを有することを特徴とするPSKベース認証実行方法。
  2. 結合クレデンシャルを生成する前記段階は、前記ユーザIDを結合して結合ユーザIDを生成する段階と、
    前記PSKを結合して結合PSKを生成する段階と、
    前記結合ユーザID及び前記結合PSKを含む前記結合クレデンシャルを生成する段階とを含むことを特徴とする請求項1に記載のPSKベース認証実行方法。
  3. 前記結合ユーザID及び前記結合PSKは、1つの前記クレデンシャルに含まれた前記ユーザID及び前記PSKをそれぞれ同じ順序で含むことを特徴とする請求項2に記載のPSKベース認証実行方法。
  4. 前記PSKを結合して結合PSKを生成する段階は、前記認証サーバの認証プロセスが前記PSKのすべてにアクセスされた場合に実行されることを特徴とする請求項2に記載のPSKベース認証実行方法。
  5. 前記結合ユーザIDは、予め設定された区分子によって前記ユーザIDを区分することを特徴とし、
    前記区分子は、「|」、「/」、および「,」のうちの少なくとも1つの区分記号を含むことを特徴とする請求項2に記載のPSKベース認証実行方法。
  6. 複数のPSK(Pre−Shared Key)ベースの認証を実行する方法であって、
    端末機においてユーザID及び前記PSKをそれぞれ含む複数のクレデンシャル(credential:信用証明物)の少なくとも2つを用いて結合クレデンシャルを生成する段階と、
    認証サーバにおいて前記結合クレデンシャルを用いて前記端末機の認証を実行する段階とを有することを特徴とするPSKベース認証実行方法を実行させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体。
  7. 複数のPSK(Pre−Shared Key)ベースの認証を実行するシステムであって、
    端末機においてユーザID及び前記PSKをそれぞれ含む複数のクレデンシャルの少なくとも2つを用いて結合クレデンシャルを生成する生成部と、
    認証サーバにおいて前記結合クレデンシャルを用いて前記端末機の認証を実行する認証部とを有することを特徴とするPSKベース認証実行システム。
  8. 前記生成部は、前記ユーザIDを結合して結合ユーザIDを生成する結合ユーザID生成部と、
    前記PSKを結合して結合PSKを生成する結合PSK生成部と、
    前記結合ユーザID及び前記結合PSKを含む前記結合クレデンシャルを生成する結合クレデンシャル生成部とを含むことを特徴とする請求項7に記載のPSKベース認証実行システム。
  9. 前記結合PSK生成部は、前記認証サーバの認証プロセスが前記PSKのすべてにアクセスされた場合に実行されることを特徴とする請求項8に記載のPSKベース認証実行システム。
  10. 前記結合ユーザID及び前記結合PSKは、1つの前記クレデンシャルに含まれた前記ユーザID及び前記PSKをそれぞれ同じ順序で含むことを特徴とする請求項8に記載のPSKベース認証実行システム。
  11. 前記ユーザIDを結合して結合ユーザIDを生成する段階は、前記ユーザIDを連続して結合する段階を含み、
    前記PSKを結合して結合PSKを生成する前記段階は、前記PSKを連続して結合する段階を含むことを特徴とする請求項2に記載のPSKベース認証実行方法。
  12. 前記結合ユーザID生成部は、前記ユーザIDを連続して結合して前記結合ユーザIDを生成するように設定され、
    前記結合PSK生成部は、前記PSKを連続して結合して前記結合PSKを生成するように設定されていることを特徴とする請求項8に記載のPSKベース認証実行システム。


























JP2011123674A 2005-08-19 2011-06-01 単一処理で複数のpskベース認証を実行する方法及びこの方法を実行するシステム Active JP5392728B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US70946305P 2005-08-19 2005-08-19
US60/709,463 2005-08-19
KR10-2006-0048238 2006-05-29
KR1020060048238A KR101300844B1 (ko) 2005-08-19 2006-05-29 한번에 복수의 psk 기반 인증을 수행하는 방법 및 상기방법을 수행하는 시스템

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2008526868A Division JP2009505271A (ja) 2005-08-19 2006-08-10 単一処理で複数のpskベース認証を実行する方法及びこの方法を実行するシステム

Publications (2)

Publication Number Publication Date
JP2011238245A true JP2011238245A (ja) 2011-11-24
JP5392728B2 JP5392728B2 (ja) 2014-01-22

Family

ID=37757730

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2008526868A Pending JP2009505271A (ja) 2005-08-19 2006-08-10 単一処理で複数のpskベース認証を実行する方法及びこの方法を実行するシステム
JP2011123674A Active JP5392728B2 (ja) 2005-08-19 2011-06-01 単一処理で複数のpskベース認証を実行する方法及びこの方法を実行するシステム

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2008526868A Pending JP2009505271A (ja) 2005-08-19 2006-08-10 単一処理で複数のpskベース認証を実行する方法及びこの方法を実行するシステム

Country Status (4)

Country Link
EP (1) EP1915837B1 (ja)
JP (2) JP2009505271A (ja)
CN (1) CN101243642B (ja)
WO (1) WO2007021094A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100924168B1 (ko) 2007-08-07 2009-10-28 한국전자통신연구원 주파수 오버레이 기반의 통신 시스템의 인증키 생성 방법및 인증 방식 협상 방법
WO2013022651A1 (en) * 2011-08-08 2013-02-14 Marvell World Trade Ltd. Key derivative function for network communications
WO2013120225A1 (en) * 2012-02-16 2013-08-22 Nokia Siemens Networks Oy Method and system for group based service bootstrap in m2m environment
DE102014018867A1 (de) * 2014-12-16 2016-06-16 Giesecke & Devrient Gmbh Einbringen einer Identität in ein Secure Element
CN104822002A (zh) * 2015-04-19 2015-08-05 叶春林 手机辨别各人状况的方式
CN110837633B (zh) * 2019-10-16 2021-10-08 支付宝(杭州)信息技术有限公司 智能凭证实现方法、系统及可读存储介质
KR20230038571A (ko) * 2020-07-30 2023-03-20 후아웨이 테크놀러지 컴퍼니 리미티드 연관 제어 방법 및 관련 장치

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003150553A (ja) * 2001-11-14 2003-05-23 Nippon Telegr & Teleph Corp <Ntt> 複数のアカウントを用いた認証方法及び装置並びに処理プログラム
JP2004246895A (ja) * 2003-02-10 2004-09-02 Fr Telecom インターネット接続時のネットワークアクセスにおけるユーザ認証方法およびシステム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5202921A (en) * 1991-04-01 1993-04-13 International Business Machines Corporation Method and apparatus for authenticating users of a communication system to each other
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
CA2356420A1 (en) * 2001-08-30 2003-02-28 Wmode Inc. Authentication and non-repudiation of a subscriber on a public network
JP3889660B2 (ja) * 2002-05-07 2007-03-07 日本電信電話株式会社 認証方法及び認証システム
WO2004089017A1 (en) * 2003-04-01 2004-10-14 Mi-Kyoung Park Mobile communication terminal having a function of reading out information from contactless type communication tag and methdo for providing information of whether an article is genuine or not

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003150553A (ja) * 2001-11-14 2003-05-23 Nippon Telegr & Teleph Corp <Ntt> 複数のアカウントを用いた認証方法及び装置並びに処理プログラム
JP2004246895A (ja) * 2003-02-10 2004-09-02 Fr Telecom インターネット接続時のネットワークアクセスにおけるユーザ認証方法およびシステム

Also Published As

Publication number Publication date
JP2009505271A (ja) 2009-02-05
EP1915837A4 (en) 2016-11-23
EP1915837B1 (en) 2020-04-22
EP1915837A1 (en) 2008-04-30
CN101243642A (zh) 2008-08-13
WO2007021094A1 (en) 2007-02-22
JP5392728B2 (ja) 2014-01-22
CN101243642B (zh) 2013-01-02

Similar Documents

Publication Publication Date Title
US8621577B2 (en) Method for performing multiple pre-shared key based authentication at once and system for executing the method
JP5392728B2 (ja) 単一処理で複数のpskベース認証を実行する方法及びこの方法を実行するシステム
CN104065653B (zh) 一种交互式身份验证方法、装置、系统和相关设备
US7370350B1 (en) Method and apparatus for re-authenticating computing devices
KR101300844B1 (ko) 한번에 복수의 psk 기반 인증을 수행하는 방법 및 상기방법을 수행하는 시스템
US9185146B2 (en) Service providing system
EP2879421B1 (en) Terminal identity verification and service authentication method, system, and terminal
US9374360B2 (en) System and method for single-sign-on in virtual desktop infrastructure environment
US8397281B2 (en) Service assisted secret provisioning
US20230344626A1 (en) Network connection management method and apparatus, readable medium, program product, and electronic device
JP2010503319A (ja) ネットワーク信用証明書を獲得するためのシステムおよび方法
WO2022111016A1 (zh) 移动网络接入系统、方法、存储介质及电子设备
US9119072B2 (en) Method and apparatus to authenticate a personal device to access an enterprise network
Raja et al. Reduced overhead frequent user authentication in EAP-dependent broadband wireless networks
JP7312279B2 (ja) モバイルネットワークアクセスシステム、方法、記憶媒体及び電子機器
KR100667186B1 (ko) 무선 이동 단말의 인증 시스템 구현 장치 및 방법
Kumar et al. A secure, efficient and lightweight user authentication scheme for wireless LAN
KR20090096258A (ko) 우회네트워크를 이용한 일회용암호 기반의 인증방법과 이를지원하는 시스템
Asokan et al. Visitor access management in personal wireless networks
van Rijswijk-Deij Simple location-based one-time passwords
Ying et al. Privacy Protection for E-Health Systems using Three-Factor User Authentication
Eman et al. A multi‐device user authentication mechanism for Internet of Things
TW202224394A (zh) 認證系統和方法
TWI454121B (zh) 安全連線式動態密碼產生方法
CN114095928A (zh) 认证系统和方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120313

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120613

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120618

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120713

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20130312

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130711

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20130723

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130910

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131008

R150 Certificate of patent or registration of utility model

Ref document number: 5392728

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250