JP2012113723A - 複数の認証(multipleauthentications)を結び付けるための方法および装置 - Google Patents

複数の認証(multipleauthentications)を結び付けるための方法および装置 Download PDF

Info

Publication number
JP2012113723A
JP2012113723A JP2011265904A JP2011265904A JP2012113723A JP 2012113723 A JP2012113723 A JP 2012113723A JP 2011265904 A JP2011265904 A JP 2011265904A JP 2011265904 A JP2011265904 A JP 2011265904A JP 2012113723 A JP2012113723 A JP 2012113723A
Authority
JP
Japan
Prior art keywords
authentication
peer
unique identifier
authentications
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011265904A
Other languages
English (en)
Other versions
JP5410499B2 (ja
Inventor
Lady Dondity Lakshminas
ラクシュミナス・レディー・ドンデティ
Narayanan Vidya
ビディア・ナラヤナン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of JP2012113723A publication Critical patent/JP2012113723A/ja
Application granted granted Critical
Publication of JP5410499B2 publication Critical patent/JP5410499B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】ピアに関する複数の認証を結び付けるための技術を提供する。
【解決手段】ピアに関する複数の認証は、ピアに関する一意識別子に基づいて結び付けられる。一意識別子は擬似乱数であり得、中間者攻撃を防止するため、ピアと認証サーバとオーセンティケータとの間でセキュアに交換される。一意識別子によって結び付けられる全ての認証に関するデータは、これらの認証の全て、またはサブセットによって生成された1つまたは複数の暗号鍵に基づいて、セキュアに交換される。別の設計では、複数のレベルのセキュリティが、ピアに関する複数の認証に関して使用される。ピアは、第1の認証サーバとの第1の認証を実行して、第1の暗号鍵を獲得し、さらに第1の認証サーバ、または第2の認証サーバとの第2の認証を実行して、第2の暗号鍵を獲得する。その後ピアは、ネスト化されたセキュリティを使用するこの2つの鍵を使用してデータをセキュアに交換する。
【選択図】図4

Description

(米国特許法第119条の下における優先権の主張)
本特許出願は、本特許出願の譲受人に譲渡され、参照により本明細書に明確に組み込まれている、2006年4月11に出願された「METHOD AND APPARATUS FOR BINDING MULTIPLE AUTHENTICATIONS」という名称の米国仮出願第60/791,321号の優先権を主張するものである。
本開示は、一般に、通信に関し、より具体的には、認証を結び付けるための技術に関する。
認証は、所与のエンティティの真の正体を特定するのに、そのエンティティが、或る特定のサービスを受ける資格があるかどうかを判定するのに、さらに/またはその他の目的で広く使用される。例えば、端末装置が、データサービス、例えば、VoIP(Voice-over-Internet Protocol)を得るために、無線通信網との通信を確立しようと試みる可能性がある。この端末装置の正体は、無線網に関する認証サーバによって認証されて、この端末装置が、そのネットワークと通信できることが確実にされることが可能である。また、この端末装置が、同一の認証サーバ、または異なる認証サーバによって認証されて、この端末装置が、適切に加入し、要求されたデータサービスを受けることができることが確実にされることが可能である。
認証は、1つのエンティティからセキュアな情報を送り、この情報を別のエンティティが検証することによって実行されることが可能である。詐欺的な攻撃を防止するのに、このセキュアな情報は、これら2つのエンティティだけに知られている秘密の情報(例えば、暗号鍵)に基づいて生成されることが可能である。このセキュアな情報は、暗号化されたデータ、メッセージ認証コード、またはその秘密の情報を使用する暗号技術に基づいて生成される他の何らかの情報であることが可能である。
端末装置は、複数の認証を順次に、または並行に実行することができる。端末装置は、システムアクセスのために1つの認証を実行し、サービス要求のために別の認証を実行することができる。また、端末装置は、端末装置を検証するデバイス認証、および端末装置のユーザを検証するユーザ認証を実行することもできる。複数の認証を、適宜、これらの認証が一緒に結び付けられることが可能であるような方法で実行することが、望ましい。
米国仮出願第60/791,321号 RFC3748
ピアに関する複数の認証を結び付けるための技術が、本明細書で説明される。ピアは、1つまたは複数の認証サーバとの複数の認証を実行することができ、認証サーバは、これらの認証の結果を1つまたは複数のオーセンティケータに転送することができる。オーセンティケータは、認証を開始し、さらに/または円滑にするエンティティであり、通常、通信網の端部に配置される。ピアは、オーセンティケータに応答するエンティティである。認証サーバは、認証サービスをオーセンティケータに提供するエンティティである。
一設計では、ピアに関する複数の認証は、ピアに関するUID(一意識別子)に基づいて結び付けられることが可能である。この一意識別子は、擬似乱数であることが可能であり、MiTM(中間者)攻撃を防止するために、ピアと、認証サーバと、オーセンティケータとの間でセキュアに交換されることが可能である。この一意識別子によって結び付けられたすべての認証に関するデータは、これらの認証のすべて、またはサブセットによって生成された1つまたは複数の暗号鍵に基づいて、セキュアに交換されることが可能である。
或る態様によれば、ピアに関する装置が、そのピアに関する一意識別子を獲得し、少なくとも1つの認証サーバとの複数の認証を実行する。この一意識別子は、それらの複数の認証をそのピアに結び付けるのに使用される。
別の態様によれば、認証サーバに関する装置が、ピアに関する一意識別子を獲得し、そのピアとの認証を実行し、この一意識別子をそのピアに関連付ける。
さらに別の態様によれば、オーセンティケータに関する装置が、少なくとも1つの認証サーバとピアとの間の少なくとも1つの認証の結果を受け取る。この装置は、一意識別子に基づき、その少なくとも1つの認証サーバをそのピアに結び付ける。
別の設計では、複数のレベル(multiple levels)のセキュリティ(またはネスト化されたセキュリティ)が、ピアに関する複数の認証のために使用されることが可能である。このピアは、第1の認証サーバとの第1の認証を実行し、第1の暗号鍵を獲得することができる。また、このピアは、第2の認証サーバとの第2の認証を実行し、第2の暗号鍵を獲得することもできる。このピアは、その後、その2つの鍵を使用してデータをセキュアに交換することができる。
さらに別の態様によれば、第1の認証から獲得された第1のセキュリティ情報に従って、データに関する第1のパケットを生成し、第2の認証から獲得された第2のセキュリティ情報に従って、第1のパケットを伝送する第2のパケットを生成し、第2のパケットを送る装置が、説明される。
本開示の様々な設計、態様、および特徴が、後段でさらに説明される。
複数の認証のためのアーキテクチャを示す図。 認証を実行するためのプロセスを示す図。 MiTM攻撃を伴うピアに関する2つの認証を示す図。 一意識別子を使用する複数の認証に関するプロセスを示す図。 一意識別子を使用する複数の認証のためにピアによって実行されるプロセスを示す図。 一意識別子を使用する複数の認証のために認証サーバによって実行されるプロセスを示す図。 一意識別子を使用する複数の認証のためにオーセンティケータによって実行されるプロセスを示す図。 2つの認証に関するネスト化されたセキュリティを示す図。 ネスト化されたセキュリティを使用する複数の認証に関するプロセスを示す図。 図1における様々なエンティティを示すブロック図。
本明細書で説明される技術は、WAN(ワイドエリアネットワーク)、LAN(ローカルエリアネットワーク)、WWAN(無線WAN)、WLAN(無線LAN)などの様々な通信網のために使用されることが可能である。「ネットワーク」および「システム」という用語は、しばしば、互いに区別なく使用される。WWANは、CDMA(符号分割多元接続)網、TDMA(時間分割多元接続)網、FDMA(周波数分割多元接続)網、OFDMA(直交FDMA)網、SC-FDMA(単一キャリアFDMA)網などであることが可能である。CDMA網は、W-CDMA(広帯域CDMA)、cdma2000などの無線技術を実装することができる。cdma2000は、IS-2000標準、IS-95標準、およびIS-856標準を範囲に含む。TDMA網は、GSM(登録商標)(Global System for Mobile Communications)などの無線技術を実装することができる。WLANは、IEEE802.11、Hiperlanなどを実装することができる。これらの様々な無線技術および無線標準は、当技術分野で知られている。簡明のため、これらの技術のいくつかの態様は、一般に公開されている、「EAP(Extensible Authentication Protocol)」という名称のRFC3748、2004年6月において定義される用語を使用して説明される。
図1は、ピア110が、複数の認証を実行することができる展開100を示す。簡明のため、認証と関係する論理エンティティだけが、図1に示される。展開は、図1に示されない他のネットワークエンティティを含むことが可能である。
ピア110は、セルラー電話機、PDA(パーソナルディジタルアシスタント)、無線通信デバイス、ハンドヘルドデバイス、無線モデム、ラップトップコンピュータ、コードレス電話機などの任意のデバイスであることが可能である。また、ピア110は、移動局、局、ユーザ機器、端末装置、アクセス端末装置、加入者ユニット、移動機器などと呼ばれることも可能である。
図1に示される例において、ネットワーク側は、L個の実施ポイント120aないし120l、M個のオーセンティケータ130aないし130m、およびN個のプロバイダ150aないし150nに関するN個の認証サーバ140aないし140nを含み、ここにおいて、一般に、L≧1であり、M≧1であり、N≧1である。ピア110は、実施ポイント122aと通信することができる。各実施ポイント120は、他の1つまたは複数の実施ポイント120、および/または1つまたは複数のオーセンティケータ130と通信することができる。各オーセンティケータ130は、1つまたは複数の実施ポイント120、他の1つまたは複数のオーセンティケータ130、および/または1つまたは複数の認証サーバ140と通信することができる。図1は、展開100におけるエンティティの間の例示的な接続を示す。また、これらのエンティティは、他の方法で接続されてもよく、例えば、破線の接続は、省かれることが可能である。実施ポイントは、ピアが、そのピアのためのインバウンドデータおよびアウトバウンドデータに関して完結している任意の認証を実施、または適用するエンティティである。実施ポイント、オーセンティケータ、および認証サーバは、論理エンティティであり、これらのエンティティの1つまたは複数が、物理ネットワークエンティティ内に共配置されることが可能である。実施ポイントとオーセンティケータは、図1に示されるとおり、別々のネットワークエンティティであることが可能である。また、単一のネットワークエンティティが、実施ポイントとオーセンティケータなどの異なる論理エンティティの機能を実行することも可能である。図1における様々な論理エンティティは、RFC3748において説明される。
実施ポイント120とオーセンティケータ130は、異なる通信網における異なるネットワークエンティティによって実施されてもよい。WLANにおいて、実施ポイントは、アクセスポイントによって実施されることが可能であり、オーセンティケータは、WLANスイッチによって実施されることが可能である。セルラー網において、実施ポイントは、基地局によって実装されることが可能であり、オーセンティケータは、RNC(無線ネットワークコントローラ)によって実装されることが可能である。認証サーバは、WLANとセルラー網の両方においてAAA(認証、許可、およびアカウンティング)サーバによって実装されることが可能である。
図2は、認証プロセス200に関するメッセージフローを示す。ピア110が、アクセス要求を実施ポイント120aに最初に送ることが可能であり、実施ポイント120aは、この要求をオーセンティケータ130aに転送することができる(ステップ210)。認証プロセスに関して、実施ポイント120aは、ピア110とオーセンティケータ130aとの間でメッセージを単に転送することが可能であり、簡明のため、図2には示されない。ピア110は、ピア110に割り当てられた下位層識別子LIDpeerを使用して、アクセス要求、ならびに他のメッセージをオーセンティケータ130aに送ることができる。下位層識別子は、ピアとオーセンティケータ/実施ポイントとの間で使用されるMAC(メディアアクセス制御)アドレス、または他の何らかの下位層識別子であることが可能である。オーセンティケータ130aは、アクセス要求を受け取り、オーセンティケータ130aが、ピア110に関するレコードを全く有してないと判定し、認証要求をピア110に送ることができる(ステップ212)。
ピア110は、ピア110の認証のために使用される認証サーバのアドレスまたは識別子、ピア110に割り当てられたネットワークアクセス識別子NAIpeerなどを含むことが可能な認証応答を送ることによって、認証要求に応答することができる(ステップ216)。この例では、認証サーバ140aが、ピア110によって選択され、認証応答は、認証サーバ140a(サーバa)のアドレスを含むことが可能である。NAIpeerは、ピア110と認証サーバ140aとの間で使用される任意の識別子であることが可能であり、オーセンティケータ130aによって知られていなくてもよいかもしれない。このため、ピア110は、匿名の認証応答を送り、NAIpeerを省くことができる。オーセンティケータ130aは、ピア110から認証応答を受け取り、この認証応答によって識別される認証サーバ140aにピア認証要求を送ることができる(ステップ218)。すると、認証サーバ140aは、ピア110の認証のために、または相互認証のために、ピア110とメッセージを交換することができる(ステップ220)。認証サーバ140aは、ピア110に関する資格証明(例えば、ユーザ名およびパスワード)を有することが可能であり、それらの資格証明に基づいてピア110を認証することができる。同様に、ピア110も、認証サーバ140aに関する情報を格納している可能性があり、この格納されている情報に基づいて、このサーバを認証することができる。ステップ220における認証は、当技術分野で知られているAKA(Authentication and Key Agreement)、TLS(トランスポート層セキュリティ)、TTLS(Tunneled TLS)などの、任意の認証スキームに基づいて実行されることが可能である。
認証が完了した後、認証サーバ140aは、ピア認証済みメッセージをオーセンティケータ130aに送ることができる(ステップ222)。このメッセージは、例えば、ピア110との通信のために使用する暗号鍵KEY、KEYに関する鍵ID(鍵1 ID)などの関係のある情報を含むことが可能である。また、暗号鍵は、単に鍵とも呼ばれる。オーセンティケータ130aは、この関係のある情報を実施ポイント120a(図2に示されない)に転送することができる。実施ポイント120aは、実施ポイント120aとピア110との間で交換されるデータの暗号化および/または正当性保護のために、KEY、またはKEYから生成された派生した鍵を使用することができる。暗号化とは、鍵を使用してデータをランダム化して、元のデータが認識不能であるようにするプロセスを指し、暗号化されたデータは、暗号法のタイプに応じて、同一の鍵、または相補的な鍵を使用して回復されることが可能である。正当性保護とは、鍵を使用してデータに関するメッセージ認証コードを生成し、このコードをデータと一緒に送るプロセスを指す。メッセージ認証コードは、受信側のエンティティによって、送っているエンティティが、正しい鍵を使用して、このコードを生成していること、およびデータが、改変されていないことを検証するのに使用されることが可能である。認証によって送られることが許されるデータである、認証に関するデータは、認証によって生成された鍵を使用して、セキュアに交換されることが可能である。
図2は、オーセンティケータ130aが認証を開始する例示的なメッセージフローを示す。また、ピア110が、認証を開始することもできる。そのような場合、認証要求/応答メッセージは、方向が逆にされることが可能である。一般に、より少ないステップ、追加的なステップ、および/または異なるステップが、認証のためのメッセージフローに関して使用されることが可能である。メッセージフローにおける各ステップは、1つのエンティティによって送られる1つまたは複数のメッセージ、または異なるエンティティ間で交換される複数のメッセージ(multiple message)を表すことが可能である。
図2は、ピア110と認証サーバ140aとの間の1つの認証を示す。ピア110は、例えば、アクセス認証およびサービス認証、デバイス認証およびユーザ認証、NAP(ネットワークアクセスプロバイダ)認証およびISP(インターネットサービスプロバイダ)認証などのために、1つまたは複数の認証サーバとの複数の認証を実行することができる。複数の認証は、(i)1つの認証が、次の認証が開始される前に完了するように順次に、(ii)複数の認証が、所与の時点で待ち状態であることが可能であるように並行に、または(iii)この両方の組み合わせで実行されることが可能である。複数の認証は、同一のオーセンティケータを介しても、異なる複数のオーセンティケータを介してもよい。例えば、異なる複数のオーセンティケータが、(i)いくつかのアーキテクチャにおける異なるタイプの認証のため、(ii)アクセスプロバイダとサービスプロバイダが異なる場合のアクセス認証とサービス認証のためなどに、使用されることが可能である。また、複数の認証は、同一の認証サーバに対してであっても、異なる複数の認証サーバに対してであってもよい。複数の認証は、異なる複数の認証サーバが、異なる理由でピア110を認証する必要がある場合に、例えば、アクセスプロバイダとサービスプロバイダが異なる場合に、特に適用可能であり得る。
一般に、認証は、鍵が生成されて、オーセンティケータに送られることをもたらすことも、もたらさないことも可能である。複数の認証が実行されると、各認証が、異なる鍵を生成することが可能であり、認証のサブセットが、鍵を生成することが可能であり、あるいは認証のいずれも、鍵を生成しないことが可能である。少なくとも1つの認証が、鍵を生成するものではない場合、中間者攻撃が、可能であり得る。
図3は、MiTM(中間者)攻撃を伴うピア110に関する2つの認証を示す。ピア110は、例えば、図2に関して前述したとおり、ピア110のLIDpeerおよびNAIpeerを使用して、オーセンティケータ130aを介して認証サーバ140aとの第1の認証を実行することができる。ピア110は、ピア110に関してサーバ140aにおいて格納された有効な資格証明に基づいて、認証サーバ140aによって認証されることが可能である。
また、MiTM攻撃者112が、MiTM攻撃者112に割り当てられた下位層識別子LIDMiTMおよびネットワークアクセス識別子NAIMiTMを使用して、オーセンティケータ130aを介して認証サーバ140aとの認証を実行することも可能である。MiTM攻撃者112は、MiTM攻撃者112に関してサーバ140aにおいて格納された有効な資格証明に基づいて、認証サーバ140aによって認証されることが可能である。
ピア110は、ピア110のLIDpeerおよびNAIpeerを使用して、オーセンティケータ130aを介して認証サーバ140aとの第2の認証を試みることが可能である。MiTM攻撃者112が、第2の認証に関するピア110からの認証応答を傍受して、ピア110のLIDpeerを攻撃者112のLIDMiTMで置き換え、この不正変更された認証応答をオーセンティケータ130aに転送することが可能である。オーセンティケータ130aは、MiTM攻撃者112からの認証応答が、不正変更されていることを検出する方法を全く有さない可能性があり、認証を通常の仕方で実行する可能性がある。MiTM攻撃者112は、認証サーバ140aによって認証されることが可能であり、LIDMiTM、およびピア110のNAIpeerを使用してサービスを得ることができる。第2の認証と関係する料金請求は、NAIpeerが割り当てられているピア110にリダイレクトされることが可能である。
図3において、ピア110に関する第1の認証が、鍵を生成することが可能であり、この鍵は、ピア110からのデータを認証するのに使用されることが可能である。ピア110に関する第1の認証と第2の認証は、順次に行われても、並行に行われてもよい。ピア110に関する第2の認証は、鍵を生成するものであることも、鍵を生成しないものであることも可能であるが、ピア110からのデータを認証するのに、鍵は全く使用されない。
或る態様において、ピアに関する複数の認証は、ピアに関する一意識別子に基づいて結び付けられることが可能である。この一意識別子は、MiTM攻撃を防止するために、ピアと、認証サーバと、オーセンティケータとの間でセキュアに交換されることが可能である。この一意識別子によって結び付けられたすべての認証に関するデータは、これらの認証のすべて、またはサブセットによって生成された1つまたは複数の鍵に基づいて、セキュアに交換されることが可能である。
図4は、一意識別子を使用して複数の認証を結び付けるためのプロセス400に関するメッセージフローを示す。ピア110は、ピア110のLIDpeerを使用してオーセンティケータ130aにアクセス要求を最初に送ることができる(ステップ410)。オーセンティケータ130aは、認証要求をピア110に送ることによって応答することができる(ステップ412)。
第1の認証に関して、ピア110は、後述するように、ピア110に関する一意識別子UIDpeerを導き出すことができる(ステップ414)。次に、ピア110は、第1の認証のために使用される認証サーバ140aのアドレス、ピア110のNAIpeerおよびUIDpeerなどを含むことが可能な認証応答を送ることができる(ステップ416)。UIDpeerは、ピア110と認証サーバ140aとの間で共有される鍵に基づいて、セキュリティで保護された方法で(例えば、暗号化および/または正当性保護を使用して)送られることが可能である。UIDpeerは、例えば、RFC3748において説明されるEAP法、または他の何らかのセキュアな方法を介して、ピア110から認証サーバ140aに伝送されることが可能である。その他の情報(例えば、NAIpeer)は、UIDpeerと一緒にセキュリティで保護された方法で送られても、送られなくてもよい。オーセンティケータ130aが、ピア110からの認証応答を受け取り、ピア認証要求を認証サーバ140aに送ることが可能である(ステップ418)。
すると、認証サーバ140aは、ピア110の認証のために、または相互認証のために、ピア110とメッセージを交換することができる(ステップ420)。認証が完了した後、認証サーバ140aは、ピア認証済みメッセージをオーセンティケータ130aに送ることができる(ステップ422)。このメッセージは、例えば、ピア110との通信のために使用する鍵KEY、KEYに関する鍵ID、ピア110のUIDpeerなどの、関係のある情報を含むことが可能である。UIDpeerは、認証サーバ140aとオーセンティケータ130aとの間で共有される鍵に基づいて、セキュリティで保護された方法(例えば、暗号化および/または正当性保護を使用して)送られることが可能である。オーセンティケータ130aは、ピア110のUIDpeerを記録することが可能であり、第1の認証、ならびにこの認証によって生成されたKEYを、このUIDpeerに結び付けることが可能である(ステップ424)。また、オーセンティケータ130aは、ピア110のLIDpeerをUIDpeerに結び付けることもできる。結び付けるとは、異なる項目(例えば、認証、鍵、UID、LIDなど)、および/または所与の項目の異なるインスタンス(例えば、複数の認証、複数の鍵(multiple keys)など)を一緒に関連付けることを指す。結び付けること、関連付けること、およびマップすることは、互いに区別なく使用されることが可能な同義語である。
第1の認証を完了した後、または第1の認証と並行して、ピア110は、ピア110のLIDpeerを使用してオーセンティケータ130aにサービス要求を送ることができる(ステップ430)。オーセンティケータ130aは、認証要求をピア110に送ることによって応答することができる(ステップ432)。一般に、第2の認証は、ピア110によって(例えば、ピア110が、例えば、デバイス認証およびユーザ認証のために、複数の認証が実行されるべきことを知っている場合)、またはオーセンティケータによってトリガされることが可能である。
第2の認証に関して、ピア110は、第1の認証に関して前に導き出されたのと同一のUIDpeerを使用することができる。ピア110は、第2の認証のために使用される認証サーバ140aのアドレス、ピア110のNAIpeerおよびUIDpeerなどを含むことが可能な認証応答を送ることができる(ステップ436)。この場合も、UIDpeerは、セキュリティで保護された仕方で送られることが可能である。オーセンティケータ130aが、ピア110からの認証応答を受け取ることが可能であり、ピア認証要求を認証サーバ140aに送ることができる(ステップ438)。
すると、認証サーバ140aは、認証のためにピア110とメッセージを交換することができる(ステップ440)。認証が完了した後、認証サーバ140aは、ピア認証済みメッセージをオーセンティケータ130aに送ることができる(ステップ442)。このメッセージは、例えば、ピア110との通信のために使用する鍵KEY、KEYに関する鍵ID、ピア110のUIDpeerなどの関係のある情報を含むことが可能である。一般に、KEYは、第2の認証によって生成されることも、生成されないことも可能である。オーセンティケータ130aは、ピア認証済みメッセージを受け取り、このメッセージからUIDpeerを抽出し、このUIDpeerが、オーセンティケータ130aにおいて既に格納されていることを認識することができる。次に、オーセンティケータ130aは、合致したUIDpeerに基づいて、この認証が同一のピア110に関すると判定することができる。オーセンティケータ130aは、第2の認証、ならびにKEY(第2の認証によって生成される場合)をUIDpeerに結び付けることができる(ステップ444)。オーセンティケータ130aは、基本的に、ピア110に関する第1の認証と第2の認証を同一のUIDpeerに結び付けることができる。
図4に示される例では、ピア110は、ピア110のLIDpeerを使用して、異なるネットワークに関するアクセス要求をオーセンティケータ130aに送ることができる(ステップ450)。オーセンティケータ130aは、認証要求をピア110に送ることによって応答することができる(ステップ452)。一般に、第3の認証が、ピア110またはオーセンティケータによってトリガされることが可能であり、任意の理由でトリガされることが可能である。
第3の認証に関して、ピア110は、第1の認証に関して前に導き出されたのと同一のUIDpeerを使用することができる。ピア110は、第3の認証のために使用される認証サーバ140n(サーバn)のアドレス、ピア110のNAIpeerおよびUIDpeerなどを含むことが可能な認証応答を送ることができる(ステップ456)。この場合も、UIDpeerは、セキュリティで保護された仕方で送られることが可能である。オーセンティケータ130aが、ピア110からの認証応答を受け取ることが可能であり、ピア認証要求を、ピア110によって選択された認証サーバ140nに送ることが可能である(ステップ458)。
すると、認証サーバ140nは、認証のためにピア110とメッセージを交換することができる(ステップ460)。認証が完了した後、認証サーバ140nは、例えば、ピア110との通信のために使用する鍵KEY、KEYに関する鍵ID、ピア110のUIDpeerなどの関係のある情報を含むことが可能であるピア認証済みメッセージを、オーセンティケータ130aに送ることができる(ステップ442)。一般に、KEYは、第3の認証によって生成されることも、生成されないことも可能である。オーセンティケータ130aは、ピア認証済みメッセージを受け取り、このUIDpeerが、オーセンティケータ130aにおいて既に格納されていることを認識し、第3の認証、ならびにKEY(生成される場合)をUIDpeerに結び付けることができる(ステップ464)。オーセンティケータ130aは、基本的に、ピア110に関する第1の認証、第2の認証、および第3の認証を、これらの認証が、異なる認証サーバ140aおよび140nを介して実行されているものの、同一のUIDpeerに結び付ける。
一般に、ピア110は、任意の数の認証サーバとの任意の数の認証を実行することができる。これらの複数の認証は、順次に(図4に示されるとおり)、または並行に(図4に示されない)、あるいはその両方の組み合わせで実行されることが可能である。各認証は、ピア110が、認証サーバに対して認証され、認証サーバも、ピア110に対して認証されるように、相互に認証を行うことが可能である。各認証は、鍵を生成することも、生成しないことも可能である。オーセンティケータ130aが、同一のUIDpeerを有するすべての認証、およびすべての鍵をピア110に結び付けることができる。1つの認証だけが、鍵を生成するものであることが可能であり、この認証に結び付けられたすべての認証は、この1つの認証からの鍵に基づいて、データをセキュアに交換することができる。
UIDpeerは、例えば、ピア110と各認証サーバとの間で、例えば、ピア110とその認証サーバによって知られている資格証明に基づく暗号化および/または正当性保護を使用して、セキュアに交換されることが可能である。この場合、MiTM攻撃者は、UIDpeerを傍受して、認証交換を乗っ取ることができない。
図4に示される設計では、ピア110は、ステップ416、436、および456で、認証応答の中でUIDpeerをオーセンティケータ140aに送り、オーセンティケータ140aは、このUIDpeerを認証サーバ140aおよび140nに転送する。また、ピア110も、他の時点で、例えば、ステップ420、440、460などで、UIDpeerを送ることができる。
一般に、UIDは、様々な仕方で導き出されることが可能である。一設計では、ピア110が、PRN(擬似乱数)を生成し、このPRNをUIDとして使用する。異なるピアが、異なるPRNを独自に生成することができる。衝突と呼ばれる、2つのピアが同一のPRNを生成する可能性は、PRNの長さに依存する。例えば、PRNが、32ビットの長さを有する場合、衝突の確率は、1/232であることが可能である。一般に、PRNは、任意の長さ、例えば、32ビット、48ビット、64ビットなどであることが可能である。PRNは、衝突の所望される確率を実現するだけ十分に長いように定義されることが可能である。同一の長さのPRNが、すべての認証に関して使用されることが可能である。代替として、異なる長さのPRNは、異なる認証のためであることが可能であり、ここにおいて、各認証に関するPRN長は、セキュリティ要件および/またはその他の要因に依存することが可能である。
別の設計では、ピア110に割り当てられたID、またはこのIDの擬似バージョンが、UIDとして使用されることが可能である。例えば、UIDは、ESN(Electronic Serial Number)、MEID(Mobile Equipment Identifier)、IMSI(International Mobile Subscriber Identity)、MIN(Mobile Identification Number)、擬似ESN、一時的IMSI、またはピア110に割り当てられた他の何らかの真のIDもしくは擬似IDであることが可能である。さらに別の設計では、ピア110に割り当てられたアドレスが、UIDとして使用されることが可能である。例えば、UIDは、MACアドレス、IPアドレスなどであることが可能である。一般に、ピアに固有である(または衝突の確率が十分に低い)任意の種類のIDまたはアドレスが、ピアに関する認証を結び付けるためのUIDとして使用されることが可能である。
単一のUIDが、ピア110に関するすべての認証に関して使用されることが可能である。これらの認証のすべてが、この単一のUIDに結び付けられることが可能である。また、ピア110に関する認証は、複数のグループ(multiple group)に分けられることも可能であり、各グループが、1つまたは複数の認証を含む。各グループに関して、異なるUIDが使用されることが可能である。各グループにおけるすべての認証が、そのグループに関するUIDによって結び付けられることが可能である。一般に、1つのUIDが、一緒に結び付けられるすべての認証に関して使用されることが可能である。所与のUIDが、1つまたは複数の認証に関して使用されることが可能である。
図4に示される設計では、ピア110は、UIDを導き出して、このUIDを各認証サーバにセキュアに送ることができる。また、UIDは、ピア110以外のエンティティによって生成されることも可能である。別の設計では、認証サーバが、UIDを生成して、このUIDをピア110とオーセンティケータの両方に提供することができる。ピア110は、ピア110に関してUIDが生成されていないことを、第1の認証に関する認証サーバに知らせることができる(例えば、ステップ420中に)。これに応答して、認証サーバは、ピア110に関するUIDを生成することができる。ピア110は、第1の認証に結び付けられる後続の各認証に関して、このUIDを使用することができる。さらに別の設計では、オーセンティケータが、ピア110に関するUIDを生成することができる。
図4に示される例では、ピア110は、認証および鍵のすべてをピア110のUIDpeerに結び付ける単一のオーセンティケータ140aを介して複数の認証を実行する。また、ピア110は、例えば、同一のUIDpeerを使用して、複数のオーセンティケータ(multiple authenticator)を介して複数の認証を実行することもできる。この場合、UIDpeerは、すべてのオーセンティケータに、これらのオーセンティケータを同期するためにセキュアに伝送されることが可能である。
ピア110に関する複数の認証は、1つまたは複数の実施ポイントにおいて実施されることが可能である。すべての認証が、単一の実施ポイントによって実施される場合、複数の認証のために使用されるすべてのオーセンティケータは、ピア110に関するセキュリティ情報(例えば、鍵)、および、場合により、UIDpeerを、この実施ポイントに送ることが可能である。代替として、1つのオーセンティケータが、ピア110のUIDpeerおよびセキュリティ情報を実施ポイントに送ることが可能であり、残りのオーセンティケータが、ピア110のUIDpeerだけを送ることが可能である。複数の認証が、複数の実施ポイント(multiple enforcement points)によって実施される場合、各実施ポイントは、ピア110のUIDpeer、およびその実施ポイントによって実施される認証に関する関連する任意のセキュリティ情報を受け取ることができる。一般に、各実施ポイントは、実施される認証に関連するセキュリティ情報に基づいて、その実施ポイントが担うすべての認証を実施することができる。
単一のUIDを介して複数の認証を結び付けることは、1つの認証によって生成された鍵が、別の認証に関するデータ交換のために使用されることを可能にする。実際、単一の認証によって生成される単一の鍵は、認証のすべてに関して使用されることが可能である。鍵を生成しない認証に関するデータは、鍵を生成する別の認証からの鍵を使用して、セキュアに送られることが可能である。このことは、その2つの認証が、同一のUIDに結び付けられており、したがって、同一のピアに結び付けられているので、可能である。
複数の鍵(multiple key)が、複数の認証によって生成されることが可能である。この場合、複数の認証に関するセキュアなデータ交換が、様々な仕方で達せられることが可能である。一設計では、単一の鍵が、複数の鍵の中から選択されて、すべての認証に関するデータをセキュアに送るのに使用されることが可能である。別の設計では、複数の鍵は、合成された鍵を生成するのに使用されることが可能であり、この合成された鍵が、次に、すべての認証に関するデータをセキュアに送るのに使用されることが可能である。さらに別の設計では、鍵を生成する認証の各々に関するデータは、その認証によって生成される鍵を使用してセキュアに送られることが可能である。鍵を生成しない認証の各々に関するデータは、鍵を生成する認証からの鍵、または合成された鍵を使用して、セキュアに送られることが可能である。また、複数の認証に関するデータは、他の仕方でセキュアに送られることも可能である。
図5は、一意識別子を使用する複数の認証のためにピアによって実行されるプロセス500の設計を示す。ピアに関する一意識別子が、獲得されることが可能である(ブロック512)。複数の認証は、少なくとも1つの認証サーバを使用して実行されることが可能であり、一意識別子は、複数の認証をピアに結び付けるのに使用される(ブロック514)。一意識別子は、ピアに割り当てられた擬似乱数、識別子、またはアドレスなどに基づいて、ピアによって導き出されることが可能である。一意識別子は、暗号化および/または正当性保護を使用して、ピアによって各認証サーバにセキュアに送られることが可能である。また、一意識別子は、ピアによって、認証サーバまたはオーセンティケータから獲得されることも可能である。複数の認証は、順次に、および/または並行に実行されることが可能であり、アクセス認証、サービス認証、デバイス認証、ユーザ認証、NAP認証、ISP認証などのためであることが可能である。
少なくとも1つの暗号鍵が、複数の認証から獲得されることが可能である(ブロック516)。複数の認証に関するデータは、少なくとも1つの暗号鍵に基づいてセキュアに交換されることが可能である(ブロック518)。例えば、暗号鍵は、第1の認証から獲得されて、第2の認証に関するデータをセキュアに交換するのに使用されることが可能である。
図6は、認証サーバによって実行されるプロセス600の設計を示す。ピアに関する一意識別子が、獲得される、例えば、ピアまたはオーセンティケータからセキュアに受け取られる、あるいは認証サーバによって生成されることが可能である(ブロック612)。ピアとの認証が、実行されることが可能である(ブロック614)。一意識別子は、ピアに関連付けられることが可能である(ブロック616)。認証されているピアの指示、一意識別子、および、場合により、セキュリティ情報(例えば、暗号鍵)が、オーセンティケータに送られることが可能であり、オーセンティケータは、この一意識別子を使用して、認証をピアに結び付けることができる(ブロック616)。
図7は、オーセンティケータによって実行されるプロセス700の設計を示す。少なくとも1つの認証サーバとピアとの間の少なくとも1つの認証の結果が、受け取られる(ブロック712)。この少なくとも1つの認証は、一意識別子に基づいて、ピアに結び付けられることが可能である(ブロック714)。少なくとも1つの暗号鍵が、この少なくとも1つの認証の結果から獲得されることが可能である(ブロック716)。少なくとも1つの暗号鍵、または少なくとも1つの派生した鍵(少なくとも1つの暗号鍵に基づいて生成されることが可能である)、および、場合により、一意識別子が、少なくとも1つの認証に関する実施ポイントに転送されることが可能である(ブロック718)。また、少なくとも1つの認証は、少なくとも1つの暗号鍵に基づいて、オーセンティケータによって実施されることも可能である。また、ピアに関する他の1つまたは複数の認証の結果、および一意識別子が、別のオーセンティケータから受け取られることも可能である。少なくとも1つの認証と、ピアに関する1つまたは複数の他の認証とは、一意識別子に基づいて、結び付けられることが可能である。
別の態様では、複数のレベルのセキュリティ(またはネスト化されたセキュリティ)が、ピアに関する複数の認証のために使用されることが可能である。例えば、ピア110は、第1の認証サーバとの第1の認証(例えば、アクセス認証またはデバイス認証)を実行して、第1の鍵KEYを獲得することができる。また、ピア110は、第2の認証サーバとの第2の認証(例えば、サービス認証またはユーザ認証)を実行して、第2の鍵KEYを獲得することもできる。その後、所望されるサービスに関するデータは、この2つの鍵KEYおよびKEYを使用して、セキュアに交換されることが可能である。
一般に、ピア110は、任意の数の認証サーバとの任意の数の認証を実行することができる。各認証は、鍵を生成するものであることも、鍵を生成しないものであることも可能である。所与の認証によって生成される鍵は、その認証に関してデータをセキュアに交換するのに使用されることが可能である。
ネスト化されたセキュリティに関して、複数の認証は、1つまたは複数のオーセンティケータを介して実行されることが可能であり、1つまたは複数の実施ポイントによって実施されることが可能である。各オーセンティケータは、1つまたは複数の認証に関する1つまたは複数の鍵を獲得することができ、例えば、ピアに関するLID、または他の何らかのIDに基づいて、それらの鍵のすべてをピアに結び付けることができる。各実施ポイントは、1つまたは複数のオーセンティケータから1つまたは複数の認証に関する1つまたは複数の鍵を受け取ることができる。各実施ポイントは、その実施ポイントによって受け取られた1つまたは複数の鍵を使用して、ピアとデータをセキュアに交換することができる。
図8は、2つの認証に関するネスト化されたセキュリティを示す。認証1は、サービス認証に関することが可能であり、認証2は、アクセス認証であることが可能である。認証1に関するデータは、ピア110と、サービスプロバイダに関する実施ポイントとの間で交換されることが可能である。認証2に関するデータは、ピア110と、アクセス網におけるアクセスポイントとの間で交換されることが可能である。認証1と認証2に関して、同一の実施ポイント、または異なる実施ポイントが、使用されることが可能である。
認証1に関するパケット1は、ヘッダ、ペイロード、およびトレーラを含むことが可能である。ペイロードは、認証1によって生成された鍵を使用して暗号化され、さらに/または正当性保護されることが可能なデータを運ぶことが可能である。ヘッダは、認証1によって生成され、ペイロードの中で送られるデータに関して使用される鍵の鍵IDを運ぶことが可能である。トレーラは、認証1によって生成された鍵を使用してペイロードの中で送られたデータに基づいて生成されることが可能なMAC(メッセージ認証コード)1を運ぶことが可能である。メッセージ認証コードは、パケットの受信側によって、ペイロードの中で送られたデータの正当性、ならびにパケットの送信側によって使用された鍵の所有権の証明を検証するのに使用されることが可能である。
同様に、認証2に関するパケット2も、ヘッダ、ペイロード、およびトレーラを含むことが可能である。パケット2に関するペイロードは、認証2によって生成された鍵を使用して暗号化され、さらに/または正当性保護がされることが可能な、パケット1全体を運ぶことが可能である。ヘッダは、認証2によって生成された鍵の鍵IDを運ぶことが可能である。トレーラは、パケット2のペイロードの中のデータに基づき、認証2によって生成された鍵を使用して生成されたMAC(メッセージ認証コード)2を運ぶことが可能である。
ピア110は、図8に示されるネスト化された処理を実行して、認証1および2に関するデータを送信することができる。単一の実施ポイントが、認証1と認証2の両方に関して使用される場合、この実施ポイントは、パケット1とパケット2の両方の中の両方のペイロードからデータを抽出する(例えば、解読し、さらに/または検証する)ことができる。認証1と認証2に関して異なる実施ポイントが使用される場合、認証2に関する実施ポイントは、パケット2のペイロードからデータを抽出することができ、認証1に関する実施ポイントは、パケット1のペイロードからデータを抽出することができる。
別の設計では、データは、認証1と認証2の両方によって生成された鍵を使用してセキュアに処理されて(例えば、暗号化され、さらに/または正当性保護がされて)、データパケットが得られる。例えば、データは、認証1によって生成された鍵を使用してセキュアに処理されて、第1の処理されたデータが得られることが可能であり、このデータが、認証2によって生成された鍵を使用してさらにセキュアに処理されて、第2の処理されたデータが得られることが可能であり、このデータが、データパケットのペイロードの中で送られることが可能である。データパケットは、両方の鍵の鍵IDを含むことが可能な、単一のヘッダを含むことが可能である。データパケットは、MAC1および/またはMAC2を含むことが可能な単一のトレーラをさらに含むことが可能である。
図9は、ネスト化されたセキュリティを使用する複数の認証のためにピアによって実行されるプロセス900の設計を示す。第1の認証、および第2の認証は、少なくとも1つの認証サーバを使用して実行されることが可能である(ブロック912)。第1の認証は、第1の認証サーバを使用して実行されることが可能であり、第2の認証は、第1の認証サーバ、または第2の認証サーバを使用して実行されることが可能である。第1のセキュリティ情報、および第2のセキュリティ情報、例えば、第1の暗号鍵、および第2の暗号鍵が、それぞれの、第1の認証、および第2の認証に関して獲得されることが可能である(ブロック914)。その後、第1の認証、および第2の認証から獲得された第1のセキュリティ情報、および第2のセキュリティ情報を使用して、データパケットが生成されることが可能である(ブロック916)。
一設計では、データは、第1のセキュリティ情報(例えば、第1の暗号鍵)に基づいてセキュアに処理されて(例えば、暗号化され、さらに/または正当性保護がされて)、初期パケットが得られることが可能である。初期パケットは、第2のセキュリティ情報(例えば、第2の暗号鍵)に基づいてセキュアに処理されて、データパケットが得られることが可能である。別の設計では、データは、第1のセキュリティ情報と第2のセキュリティ情報の両方を使用してセキュアに処理されて、データパケットが得られることが可能である。同一のセキュアな処理(例えば、暗号化および/または正当性保護)が、第1のセキュリティ情報と第2のセキュリティ情報のそれぞれを使用して実行されることが可能である。代替として、1つのタイプのセキュアな処理(例えば、暗号化)が、第1のセキュリティ情報を使用して実行されることが可能であり、別のタイプのセキュアな処理(例えば、正当性保護)が、第2のセキュリティ情報を使用して実行されることが可能である。
さらに別の態様では、順次のセキュリティが、ピアに関する複数の認証のために使用されることが可能である。例えば、ピア110が、第1の認証サーバとの第1の認証を実行して、第1の鍵KEYを獲得することができる。第1の認証を完了した後、KEYは、後続の各認証に関するセキュアな処理のために使用されることが可能である。後続の認証は、第1の認証の後に順次に、または並行に実行されることが可能である。
図10は、図1におけるピア110、実施ポイント120a、オーセンティケータ130a、および認証サーバ140aのブロック図を示す。ピア110は、端末装置などであることが可能である。実施ポイント120aは、基地局、アクセスポイントなどであることが可能である。オーセンティケータ130aは、WLANスイッチ、RNCなどであることが可能である。認証サーバ140aは、AAAサーバなどであることが可能である。簡明のため、図10は、(a)ピア110に関する1つのコントローラ/プロセッサ1010、1つのメモリ1012、および1つのトランシーバ1016、(b)実施ポイント120aに関する1つのコントローラ/プロセッサ1020、1つのメモリ1022、1つのComm(通信)ユニット1024、および1つのトランシーバ1026、(c)オーセンティケータ130aに関する1つのコントローラ/プロセッサ1030、1つのメモリ1032、および1つの通信ユニット1034、および(d)認証サーバ140aに関する1つのコントローラ/プロセッサ1040、1つのメモリ1042、および1つの通信ユニット1044を示す。一般に、各エンティティは、任意の数のコントローラ、プロセッサ、メモリ、トランシーバ、通信ユニットなどを含むことが可能である。
ピア110は、データを実施ポイント120aに送ることができる。このデータが、プロセッサ1010によって処理され、トランシーバ1016によって条件付けられて、アンテナを介して送信される変調された信号が生成されることが可能である。実施ポイント120aにおいて、ピア110からの信号が、トランシーバ1026によって受信されて、条件付けられ、プロセッサ1020によってさらに処理されて、ピア110によって送られたデータが回復されることが可能である。また、実施ポイント120aが、データをピア110に送ることもできる。データは、プロセッサ1020によって処理され、トランシーバ1026によって条件付けられて、変調された信号が生成されることが可能であり、この信号が、ピア110に送信されることが可能である。ピア110において、実施ポイント120aからの信号が、トランシーバ1016によって受信されて、条件付けられ、プロセッサ1010によって処理されて、実施ポイント120aによって送られたデータが回復されることが可能である。
プロセッサ1010は、認証、データ交換などのためにピア110に関する処理を実行することができる。プロセッサ1010は、図5におけるプロセス500、図9におけるプロセス900、および/または認証およびデータ交換のための他のプロセスを実行することができる。メモリ1012および1022は、それぞれ、ピア110および実施ポイント120aに関するプログラムコードおよびデータを格納することができる。実施ポイント120aは、通信ユニット1024を介して、オーセンティケータ130aなどの他のエンティティと通信することができる。
オーセンティケータ130a内で、プロセッサ1030は、オーセンティケータ130aに関する処理を実行し、オーセンティケータ内の様々なユニットの動作を指令することができる。メモリ1032は、オーセンティケータ130aに関するプログラムコードおよびデータを格納することができる。プロセッサ1030は、図7のプロセス700、および/またはピアの認証のための他のプロセスを実行することができる。通信ユニット1034は、オーセンティケータ130aと、実施ポイント120aや認証サーバ140aなどの他のエンティティとの間の通信をサポートすることができる。
認証サーバ140a内で、プロセッサ1040は、認証サーバ140aに関する処理を実行し、認証サーバ内の様々なユニットの動作を指令することができる。プロセッサ1040は、図6におけるプロセス600、および/またはピアの認証に関する他のプロセスを実行することができる。メモリ1042は、認証サーバ140aに関するプログラムコードおよびデータを格納することができる。通信ユニット1044は、認証サーバ140aと、オーセンティケータ130aなどの他のエンティティとの間の通信をサポートすることができる。
情報および信号は、様々な異なる技術および技法のいずれを使用して表現されてもよいことが、当業者には理解されよう。例えば、以上の説明全体にわたって言及されることが可能なデータ、命令、コマンド、情報、信号、ビット、シンボル、およびチップは、電圧、電流、電磁波、磁界または磁気粒子、光の場または粒子、または以上の任意の組み合わせによって表現されることが可能である。
本明細書における開示に関連して説明される様々な例示的な論理ブロック、モジュール、回路、およびアルゴリズムステップは、電子ハードウェアとして実装されても、コンピュータソフトウェアとして実装されても、あるいはその両方の組み合わせとして実装されてもよいことが、当業者にはさらに理解されよう。ハードウェアとソフトウェアの、この互換性を明確に示すのに、様々な例示的なコンポーネント、ブロック、モジュール、回路、およびステップが、概ね機能の点で以上に説明されてきた。そのような機能が、ハードウェアとして実装されるか、ソフトウェアとして実装されるかは、全体的なシステムに課される特定のアプリケーション上の制約、および設計上の制約に依存する。当業者は、説明される機能を、それぞれの特定のアプリケーションに関して、様々な方法で実装することができるが、そのような実装上の決定は、本開示の範囲からの逸脱を生じさせるものと解釈されてはならない。
本明細書における開示に関連して説明される様々な例示的な論理ブロック図、モジュール、および回路は、汎用プロセッサ、DSP(ディジタル信号プロセッサ)、ASIC(特定用途向け集積回路)、FPGA(フィールドプログラマブルゲートアレイ)もしくは他のプログラマブルロジックデバイス、ディスクリートのゲートもしくはトランジスタロジック、ディスクリートのハードウェアコンポーネント、または本明細書で説明される機能を実行するように設計されたそれらの任意の組み合わせを使用して、実施される、または実行されることが可能である。汎用プロセッサは、マイクロプロセッサであることが可能であるが、代替として、プロセッサは、任意の従来のプロセッサ、コントローラ、マイクロコントローラ、または状態マシンであってもよい。また、プロセッサは、コンピューティングデバイスの組み合わせとして、例えば、DSPとマイクロプロセッサの組み合わせ、複数のマイクロプロセッサ、DSPコアと連携する1つまたは複数のマイクロプロセッサ、または他の任意のそのような構成として実施されることも可能である。
本明細書における開示に関連して説明される方法またはアルゴリズムのステップは、ハードウェアにおいて直接に、プロセッサによって実行されるソフトウェアモジュールにおいて、またはこの2つの組み合わせで実施されることが可能である。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバブルなディスク、CD-ROM、または当技術分野で知られている他の任意の記憶媒体の中に常駐することが可能である。例示的な記憶媒体は、プロセッサが、その記憶媒体から情報を読み取ること、およびその記憶媒体に情報を書き込むことができるように、プロセッサに結合される。代替として、記憶媒体は、プロセッサと一体化していてもよい。プロセッサと記憶媒体は、ASICの中に常駐することが可能である。このASICは、ユーザ端末装置内に常駐することが可能である。代替として、プロセッサと記憶媒体は、ユーザ端末装置内のディスクリートのコンポーネントとして常駐してもよい。
本開示の以上の説明は、任意の当業者が、本開示を作成する、または使用することを可能にするように提供される。本開示に対する様々な変形が、当業者には直ちに明白となり、本明細書において規定される一般的な原理は、本開示の趣旨または範囲を逸脱することなく、他の変種に適用されることが可能である。このため、本開示は、本明細書で説明される例に限定されることを意図しておらず、本明細書において開示される原理および新規な特徴と合致する最も広い範囲を与えられるべきである。
本開示の以上の説明は、任意の当業者が、本開示を作成する、または使用することを可能にするように提供される。本開示に対する様々な変形が、当業者には直ちに明白となり、本明細書において規定される一般的な原理は、本開示の趣旨または範囲を逸脱することなく、他の変種に適用されることが可能である。このため、本開示は、本明細書で説明される例に限定されることを意図しておらず、本明細書において開示される原理および新規な特徴と合致する最も広い範囲を与えられるべきである。なお、本願の出願当初の請求項と同一の記載を「その他の実施例」として、以下に付記する。
[その他の実施例1]
通信システムにおけるピアのための装置、該装置は下記を備える:
前記ピアに関する一意識別子を獲得し、少なくとも1つの認証サーバとの複数の認証を実行するプロセッサ、ここにおいて前記一意識別子は、前記複数の認証を前記ピアに結び付けるのに使用される;および
前記プロセッサに結合されたメモリ。
[その他の実施例2]
前記プロセッサは、擬似乱数を生成し、さらに前記擬似乱数を、前記ピアに関する前記一意識別子として使用する、その他の実施例1に記載の装置。
[その他の実施例3]
前記プロセッサは、前記ピアに割り当てられた識別子またはアドレスを、前記ピアに関する前記一意識別子として使用する、その他の実施例1に記載の装置。
[その他の実施例4]
前記プロセッサは、認証サーバまたはオーセンティケータから前記一意識別子を受け取る、その他の実施例1に記載の装置。
[その他の実施例5]
その他の実施例1記載の装置、ここにおいて、
前記複数の認証の1つに関して、前記プロセッサは、オーセンティケータから認証要求を受け取り、前記一意識別子を有する認証応答を送り、および前記認証サーバとの相互認証を実行する、ここで、前記一意識別子は、前記オーセンティケータによって前記認証サーバに転送される。
[その他の実施例6]
その他の実施例1記載の装置、ここにおいて、
前記プロセッサは、第1の認証のために認証サーバに前記一意識別子をセキュアに送り、さらに第2の認証のために前記認証サーバに前記一意識別子をセキュアに送る。
[その他の実施例7]
その他の実施例1記載の装置、ここにおいて、
前記プロセッサは、第1の認証のために第1の認証サーバに前記一意識別子をセキュアに送り、さらに第2の認証のために第2の認証サーバに前記一意識別子をセキュアに送り、前記第2の認証サーバは、前記第1の認証サーバとは異なる。
[その他の実施例8]
その他の実施例1記載の装置、ここにおいて、
前記プロセッサは、暗号化、または正当性保護、または前記暗号化と前記正当性保護の両方を使用して、前記少なくとも1つの認証サーバのそれぞれに前記一意識別子をセキュアに送る。
[その他の実施例9]
その他の実施例1記載の装置、ここにおいて、
前記プロセッサは、前記複数の認証から少なくとも1つの暗号鍵を獲得し、さらに前記少なくとも1つの暗号化鍵に基づいて前記複数の認証に関するデータをセキュアに交換する。
[その他の実施例10]
その他の実施例1記載の装置、ここにおいて、
前記プロセッサは、第1の認証から暗号鍵を獲得し、さらに前記第1の認証から獲得された前記暗号鍵に基づいて第2の認証に関するデータをセキュアに交換する。
[その他の実施例11]
前記複数の認証は、アクセス認証およびサービス認証を備える、その他の実施例1に記載の装置。
[その他の実施例12]
前記複数の認証は、デバイス認証およびユーザ認証を備える、その他の実施例1に記載の装置。
[その他の実施例13]
前記複数の認証は、ネットワークアクセスプロバイダに関する第1の認証、およびインターネットサービスプロバイダに関する第2の認証を備える、その他の実施例1に記載の装置。
[その他の実施例14]
前記プロセッサは、前記複数の認証を順番に実行する、その他の実施例1に記載の装置。
[その他の実施例15]
前記プロセッサは、前記複数の認証を並行に実行する、その他の実施例1に記載の装置。
[その他の実施例16]
下記を備える方法:
ピアに関する一意識別子を獲得すること、および
少なくとも1つの認証サーバとの複数の認証を実行すること、ここにおいて前記一意識別子は、前記複数の認証を前記ピアに結び付けるのに使用される。
[その他の実施例17]
その他の実施例16に記載の方法、ここにおいて、
前記ピアに関する前記一意識別子を前記導き出すことは、下記を備える:
擬似乱数を生成すること;および
前記擬似乱数を前記ピアに関する前記一意識別子として使用すること。
[その他の実施例18]
その他の実施例16に記載の方法、ここにおいて、
複数の認証を前記実行することは、前記複数の認証の1つに関して、下記を備える: オーセンティケータから認証要求を受け取ること;
前記一意識別子、および認証サーバに関する情報を有する認証応答を前記オーセンティケータに送ること、ここで、前記一意識別子は、前記オーセンティケータによって前記認証サーバに転送される;および
前記認証サーバとの相互認証を実行すること。
[その他の実施例19]
更に下記を備えるその他の実施例16記載の方法:
前記複数の認証から少なくとも1つの暗号鍵を獲得すること;および
前記少なくとも1つの暗号化鍵に基づいて前記複数の認証に関するデータをセキュアに交換すること。
[その他の実施例20]
更に下記を備えるその他の実施例16記載の方法:
第1の認証から暗号鍵を獲得すること;および
前記第1の認証から獲得された前記暗号鍵に基づいて第2の認証に関するデータをセキュアに交換すること。
[その他の実施例21]
下記を備える装置:
ピアに関する一意識別子を獲得するための手段;および
少なくとも1つの認証サーバとの複数の認証を実行するための手段、ここにおいて前記一意識別子は、前記複数の認証を前記ピアに結び付けるのに使用される。
[その他の実施例22]
その他の実施例21に記載の装置、ここにおいて、
複数の認証を実行するための前記手段は、前記複数の認証の1つに関して、下記を備える:
オーセンティケータから認証要求を受け取るための手段;
前記一意識別子、および認証サーバに関する情報を有する認証応答を前記オーセンティケータに送るための手段、ここで、前記一意識別子は、前記オーセンティケータによって前記認証サーバに転送される;および
前記認証サーバとの相互認証を実行するための手段。
[その他の実施例23]
更に下記を備えるその他の実施例21記載の装置:
前記複数の認証から少なくとも1つの暗号鍵を獲得するための手段;および
前記少なくとも1つの暗号化鍵に基づいて前記複数の認証に関するデータをセキュアに交換するための手段。
[その他の実施例24]
下記を実行する命令を格納するためのプロセッサ可読媒体:
ピアに関する一意識別子を獲得すること;および、
少なくとも1つの認証サーバとの複数の認証を実行すること、ここにおいて前記一意識別子は、前記複数の認証を前記ピアに結び付けるのに使用される。
[その他の実施例25]
下記を実行する命令をさらに格納するためのその他の実施例24に記載のプロセッサ可読媒体: 前記複数の認証から少なくとも1つの暗号鍵を獲得すること;および、
前記少なくとも1つの暗号化鍵に基づいて前記複数の認証に関するデータをセキュアに交換すること。
[その他の実施例26]
下記を備える、認証サーバのための装置:
ピアに関する一意識別子を獲得し、前記ピアとの認証を実行し、さらに前記一意識別子を前記ピアに関連付けるプロセッサ;および
前記プロセッサに結合されたメモリ。
[その他の実施例27]
前記プロセッサは、前記ピアまたはオーセンティケータから前記一意識別子をセキュアに受け取る、その他の実施例26に記載の装置。
[その他の実施例28]
前記プロセッサは、前記ピアに関する前記一意識別子を生成するその他の実施例26に記載の装置。
[その他の実施例29]
前記プロセッサは、前記ピアが認証されていることの指示、および前記一意識別子をオーセンティケータに送る、その他の実施例26に記載の装置。
[その他の実施例30]
前記プロセッサは、前記ピアが認証されていることの指示、前記一意識別子、および暗号鍵をオーセンティケータに送る、その他の実施例26に記載の装置。
[その他の実施例31]
下記を備える方法:
ピアに関する一意識別子を獲得すること;
前記ピアとの認証を実行すること;および
前記一意識別子を前記ピアに関連付けること。
[その他の実施例32]
その他の実施例31に記載の方法、ここにおいて、
前記ピアに関する前記一意識別子を前記獲得することは、前記ピアまたはオーセンティケータから前記一意識別子をセキュアに受け取ることを備える。
[その他の実施例33]
更に下記を備えるその他の実施例31記載の方法:
前記ピアが認証されていることの指示、および前記一意識別子をオーセンティケータに送ること。
[その他の実施例34]
下記を備える装置:
少なくとも1つの認証サーバとピアとの間の少なくとも1つの認証の結果を受け取り、一意識別子に基づいて、前記少なくとも1つの認証を前記ピアに結び付けるプロセッサ;および
前記プロセッサに結合されたメモリ。
[その他の実施例35]
その他の実施例34に記載の装置、ここにおいて、
前記複数の認証の1つに関して、前記プロセッサは、認証要求を前記ピアに送り、前記ピアから前記一意識別子とともに認証応答を受け取り、前記一意識別子を認証サーバに転送し、さらに前記認証の結果、および前記一意識別子を前記認証サーバから受け取る。
[その他の実施例36]
その他の実施例34に記載の装置、ここにおいて、
前記プロセッサは、前記少なくとも1つの認証の前記結果から少なくとも1つの暗号鍵を獲得し、さらに前記少なくとも1つの暗号鍵、または少なくとも1つの派生した鍵を、前記少なくとも1つの認証に関する実施ポイントに転送する。
[その他の実施例37]
前記プロセッサは、前記少なくとも1つの暗号鍵に基づいて、前記少なくとも1つの認証を実施する、その他の実施例34に記載の装置。
[その他の実施例38]
前記プロセッサは、前記ピアに関する第1の認証から暗号鍵を獲得し、さらに前記ピアに関する第2の認証のために前記暗号鍵を使用する、その他の実施例34に記載の装置。
[その他の実施例39]
その他の実施例34に記載の装置、ここにおいて、
前記プロセッサは、前記少なくとも1つの認証サーバから前記少なくとも1つの認証の前記結果を受け取り、前記ピアに関する他の1つまたは複数の認証の結果、および前記一意識別子をオーセンティケータから受け取り、さらに前記一意識別子に基づいて、前記ピアに関する前記少なくとも1つの認証と前記他の1つまたは複数の認証を結び付ける。
[その他の実施例40]
下記を備える方法:
少なくとも1つの認証サーバとピアとの間の少なくとも1つの認証の結果を受け取ること;および
一意識別子に基づいて、前記少なくとも1つの認証を前記ピアに結び付けること。
[その他の実施例41]
前記複数の認証の1つに関して、更に下記を備えるその他の実施例40に記載の方法:
認証要求を前記ピアに送ること;
前記ピアから前記一意識別子とともに認証応答を受け取ること;
前記一意識別子を認証サーバに転送すること;および
前記認証の結果、および前記一意識別子を前記認証サーバから受け取ること。
[その他の実施例42]
さらに下記を備えるその他の実施例40に記載の方法:
前記少なくとも1つの認証の前記結果から少なくとも1つの暗号鍵を獲得すること;および
前記少なくとも1つの暗号鍵、または少なくとも1つの派生した鍵を、前記少なくとも1つの認証に関する実施ポイントに転送すること。
[その他の実施例43]
下記を備える装置:
少なくとも1つの認証サーバとの第1の認証および第2の認証を実行し、前記第1の認証および前記第2の認証にそれぞれ関する第1のセキュリティ情報および第2のセキュリティ情報を獲得し、さらに前記第1のセキュリティ情報および前記第2のセキュリティ情報を使用してデータパケットを生成するプロセッサ;および
前記プロセッサに結合されたメモリ。
[その他の実施例44]
その他の実施例43に記載の装置、ここにおいて、
前記プロセッサは、第1の認証サーバとの前記第1の認証を実行し、さらに第2の認証サーバとの前記第2の認証を実行し、前記第2の認証サーバが、前記第1の認証サーバとは異なる。
[その他の実施例45]
前記プロセッサは、単一の認証サーバとの前記第1の認証および前記第2の認証を実行する、その他の実施例43に記載の装置。
[その他の実施例46]
その他の実施例43に記載の装置、ここにおいて、
前記プロセッサは、前記第1のセキュリティ情報を使用してデータをセキュアに処理して、初期パケットを獲得し、さらに、前記第2のセキュリティ情報を使用して前記初期パケットをセキュアに処理して、前記データパケットを獲得する。
[その他の実施例47]
前記プロセッサは、前記第1のセキュリティ情報と前記第2のセキュリティ情報の両方を使用してデータをセキュアに処理して、前記データパケットを獲得する、その他の実施例43に記載の装置。
[その他の実施例48]
その他の実施例43に記載の装置、ここにおいて、
前記プロセッサは、前記第1のセキュリティ情報から獲得された第1の暗号鍵を使用して、前記データパケットに関する暗号化または正当性保護を実行し、さらに前記第2のセキュリティ情報から獲得された第2の暗号鍵を使用して、前記データパケットに関する暗号化または正当性保護を実行する。
[その他の実施例49]
その他の実施例43に記載の装置、ここにおいて、
前記プロセッサは、前記第1のセキュリティ情報と前記第2のセキュリティ情報の1つを使用して暗号化を実行し、さらに前記第1のセキュリティ情報と前記第2のセキュリティ情報のもう一方を使用して正当性保護を実行する。
[その他の実施例50]
下記を備える方法:
少なくとも1つの認証サーバとの第1の認証および第2の認証を実行すること;
前記第1の認証および前記第2の認証にそれぞれ関する第1のセキュリティ情報および第2のセキュリティ情報を獲得すること;および
前記第1のセキュリティ情報および前記第2のセキュリティ情報を使用してデータパケットを生成すること。
[その他の実施例51]
その他の実施例50に記載の方法、ここにおいて、
前記第1の認証および前記第2の認証を前記実行することは、下記を備える:
第1の認証サーバとの前記第1の認証を実行すること;および
第2の認証サーバとの前記第2の認証を実行すること、ここで、前記第2の認証サーバは、前記第1の認証サーバとは異なる。
[その他の実施例52]
その他の実施例50に記載の方法、ここにおいて、
前記データパケットを前記生成することは、下記を備える:
初期パケットを獲得するために、前記第1のセキュリティ情報を使用してデータをセキュアに処理すること;および
前記データパケットを獲得するために、前記第2のセキュリティ情報を使用して前記初期パケットをセキュアに処理すること。
[その他の実施例53]
その他の実施例50に記載の方法、ここにおいて、
前記データパケットを前記生成することは、下記を備える:
前記データパケットを獲得するために、前記第1のセキュリティ情報と前記第2のセキュリティ情報の両方を使用してデータをセキュアに処理すること。

Claims (53)

  1. 通信システムにおけるピアのための装置、該装置は下記を備える:
    前記ピアに関する一意識別子を獲得し、少なくとも1つの認証サーバとの複数の認証を実行するプロセッサ、ここにおいて前記一意識別子は、前記複数の認証を前記ピアに結び付けるのに使用される;および
    前記プロセッサに結合されたメモリ。
  2. 前記プロセッサは、擬似乱数を生成し、さらに前記擬似乱数を、前記ピアに関する前記一意識別子として使用する、請求項1に記載の装置。
  3. 前記プロセッサは、前記ピアに割り当てられた識別子またはアドレスを、前記ピアに関する前記一意識別子として使用する、請求項1に記載の装置。
  4. 前記プロセッサは、認証サーバまたはオーセンティケータから前記一意識別子を受け取る、請求項1に記載の装置。
  5. 請求項1記載の装置、ここにおいて、
    前記複数の認証の1つに関して、前記プロセッサは、オーセンティケータから認証要求を受け取り、前記一意識別子を有する認証応答を送り、および前記認証サーバとの相互認証を実行する、ここで、前記一意識別子は、前記オーセンティケータによって前記認証サーバに転送される。
  6. 請求項1記載の装置、ここにおいて、
    前記プロセッサは、第1の認証のために認証サーバに前記一意識別子をセキュアに送り、さらに第2の認証のために前記認証サーバに前記一意識別子をセキュアに送る。
  7. 請求項1記載の装置、ここにおいて、
    前記プロセッサは、第1の認証のために第1の認証サーバに前記一意識別子をセキュアに送り、さらに第2の認証のために第2の認証サーバに前記一意識別子をセキュアに送り、前記第2の認証サーバは、前記第1の認証サーバとは異なる。
  8. 請求項1記載の装置、ここにおいて、
    前記プロセッサは、暗号化、または正当性保護、または前記暗号化と前記正当性保護の両方を使用して、前記少なくとも1つの認証サーバのそれぞれに前記一意識別子をセキュアに送る。
  9. 請求項1記載の装置、ここにおいて、
    前記プロセッサは、前記複数の認証から少なくとも1つの暗号鍵を獲得し、さらに前記少なくとも1つの暗号化鍵に基づいて前記複数の認証に関するデータをセキュアに交換する。
  10. 請求項1記載の装置、ここにおいて、
    前記プロセッサは、第1の認証から暗号鍵を獲得し、さらに前記第1の認証から獲得された前記暗号鍵に基づいて第2の認証に関するデータをセキュアに交換する。
  11. 前記複数の認証は、アクセス認証およびサービス認証を備える、請求項1に記載の装置。
  12. 前記複数の認証は、デバイス認証およびユーザ認証を備える、請求項1に記載の装置。
  13. 前記複数の認証は、ネットワークアクセスプロバイダに関する第1の認証、およびインターネットサービスプロバイダに関する第2の認証を備える、請求項1に記載の装置。
  14. 前記プロセッサは、前記複数の認証を順番に実行する、請求項1に記載の装置。
  15. 前記プロセッサは、前記複数の認証を並行に実行する、請求項1に記載の装置。
  16. 下記を備える方法:
    ピアに関する一意識別子を獲得すること、および
    少なくとも1つの認証サーバとの複数の認証を実行すること、ここにおいて前記一意識別子は、前記複数の認証を前記ピアに結び付けるのに使用される。
  17. 請求項16に記載の方法、ここにおいて、
    前記ピアに関する前記一意識別子を前記導き出すことは、下記を備える:
    擬似乱数を生成すること;および
    前記擬似乱数を前記ピアに関する前記一意識別子として使用すること。
  18. 請求項16に記載の方法、ここにおいて、
    複数の認証を前記実行することは、前記複数の認証の1つに関して、下記を備える: オーセンティケータから認証要求を受け取ること;
    前記一意識別子、および認証サーバに関する情報を有する認証応答を前記オーセンティケータに送ること、ここで、前記一意識別子は、前記オーセンティケータによって前記認証サーバに転送される;および
    前記認証サーバとの相互認証を実行すること。
  19. 更に下記を備える請求項16記載の方法:
    前記複数の認証から少なくとも1つの暗号鍵を獲得すること;および
    前記少なくとも1つの暗号化鍵に基づいて前記複数の認証に関するデータをセキュアに交換すること。
  20. 更に下記を備える請求項16記載の方法:
    第1の認証から暗号鍵を獲得すること;および
    前記第1の認証から獲得された前記暗号鍵に基づいて第2の認証に関するデータをセキュアに交換すること。
  21. 下記を備える装置:
    ピアに関する一意識別子を獲得するための手段;および
    少なくとも1つの認証サーバとの複数の認証を実行するための手段、ここにおいて前記一意識別子は、前記複数の認証を前記ピアに結び付けるのに使用される。
  22. 請求項21に記載の装置、ここにおいて、
    複数の認証を実行するための前記手段は、前記複数の認証の1つに関して、下記を備える:
    オーセンティケータから認証要求を受け取るための手段;
    前記一意識別子、および認証サーバに関する情報を有する認証応答を前記オーセンティケータに送るための手段、ここで、前記一意識別子は、前記オーセンティケータによって前記認証サーバに転送される;および
    前記認証サーバとの相互認証を実行するための手段。
  23. 更に下記を備える請求項21記載の装置:
    前記複数の認証から少なくとも1つの暗号鍵を獲得するための手段;および
    前記少なくとも1つの暗号化鍵に基づいて前記複数の認証に関するデータをセキュアに交換するための手段。
  24. 下記を実行する命令を格納するためのプロセッサ可読媒体:
    ピアに関する一意識別子を獲得すること;および、
    少なくとも1つの認証サーバとの複数の認証を実行すること、ここにおいて前記一意識別子は、前記複数の認証を前記ピアに結び付けるのに使用される。
  25. 下記を実行する命令をさらに格納するための請求項24に記載のプロセッサ可読媒体: 前記複数の認証から少なくとも1つの暗号鍵を獲得すること;および、
    前記少なくとも1つの暗号化鍵に基づいて前記複数の認証に関するデータをセキュアに交換すること。
  26. 下記を備える、認証サーバのための装置:
    ピアに関する一意識別子を獲得し、前記ピアとの認証を実行し、さらに前記一意識別子を前記ピアに関連付けるプロセッサ;および
    前記プロセッサに結合されたメモリ。
  27. 前記プロセッサは、前記ピアまたはオーセンティケータから前記一意識別子をセキュアに受け取る、請求項26に記載の装置。
  28. 前記プロセッサは、前記ピアに関する前記一意識別子を生成する請求項26に記載の装置。
  29. 前記プロセッサは、前記ピアが認証されていることの指示、および前記一意識別子をオーセンティケータに送る、請求項26に記載の装置。
  30. 前記プロセッサは、前記ピアが認証されていることの指示、前記一意識別子、および暗号鍵をオーセンティケータに送る、請求項26に記載の装置。
  31. 下記を備える方法:
    ピアに関する一意識別子を獲得すること;
    前記ピアとの認証を実行すること;および
    前記一意識別子を前記ピアに関連付けること。
  32. 請求項31に記載の方法、ここにおいて、
    前記ピアに関する前記一意識別子を前記獲得することは、前記ピアまたはオーセンティケータから前記一意識別子をセキュアに受け取ることを備える。
  33. 更に下記を備える請求項31記載の方法:
    前記ピアが認証されていることの指示、および前記一意識別子をオーセンティケータに送ること。
  34. 下記を備える装置:
    少なくとも1つの認証サーバとピアとの間の少なくとも1つの認証の結果を受け取り、一意識別子に基づいて、前記少なくとも1つの認証を前記ピアに結び付けるプロセッサ;および
    前記プロセッサに結合されたメモリ。
  35. 請求項34に記載の装置、ここにおいて、
    前記複数の認証の1つに関して、前記プロセッサは、認証要求を前記ピアに送り、前記ピアから前記一意識別子とともに認証応答を受け取り、前記一意識別子を認証サーバに転送し、さらに前記認証の結果、および前記一意識別子を前記認証サーバから受け取る。
  36. 請求項34に記載の装置、ここにおいて、
    前記プロセッサは、前記少なくとも1つの認証の前記結果から少なくとも1つの暗号鍵を獲得し、さらに前記少なくとも1つの暗号鍵、または少なくとも1つの派生した鍵を、前記少なくとも1つの認証に関する実施ポイントに転送する。
  37. 前記プロセッサは、前記少なくとも1つの暗号鍵に基づいて、前記少なくとも1つの認証を実施する、請求項34に記載の装置。
  38. 前記プロセッサは、前記ピアに関する第1の認証から暗号鍵を獲得し、さらに前記ピアに関する第2の認証のために前記暗号鍵を使用する、請求項34に記載の装置。
  39. 請求項34に記載の装置、ここにおいて、
    前記プロセッサは、前記少なくとも1つの認証サーバから前記少なくとも1つの認証の前記結果を受け取り、前記ピアに関する他の1つまたは複数の認証の結果、および前記一意識別子をオーセンティケータから受け取り、さらに前記一意識別子に基づいて、前記ピアに関する前記少なくとも1つの認証と前記他の1つまたは複数の認証を結び付ける。
  40. 下記を備える方法:
    少なくとも1つの認証サーバとピアとの間の少なくとも1つの認証の結果を受け取ること;および
    一意識別子に基づいて、前記少なくとも1つの認証を前記ピアに結び付けること。
  41. 前記複数の認証の1つに関して、更に下記を備える請求項40に記載の方法:
    認証要求を前記ピアに送ること;
    前記ピアから前記一意識別子とともに認証応答を受け取ること;
    前記一意識別子を認証サーバに転送すること;および
    前記認証の結果、および前記一意識別子を前記認証サーバから受け取ること。
  42. さらに下記を備える請求項40に記載の方法:
    前記少なくとも1つの認証の前記結果から少なくとも1つの暗号鍵を獲得すること;および
    前記少なくとも1つの暗号鍵、または少なくとも1つの派生した鍵を、前記少なくとも1つの認証に関する実施ポイントに転送すること。
  43. 下記を備える装置:
    少なくとも1つの認証サーバとの第1の認証および第2の認証を実行し、前記第1の認証および前記第2の認証にそれぞれ関する第1のセキュリティ情報および第2のセキュリティ情報を獲得し、さらに前記第1のセキュリティ情報および前記第2のセキュリティ情報を使用してデータパケットを生成するプロセッサ;および
    前記プロセッサに結合されたメモリ。
  44. 請求項43に記載の装置、ここにおいて、
    前記プロセッサは、第1の認証サーバとの前記第1の認証を実行し、さらに第2の認証サーバとの前記第2の認証を実行し、前記第2の認証サーバが、前記第1の認証サーバとは異なる。
  45. 前記プロセッサは、単一の認証サーバとの前記第1の認証および前記第2の認証を実行する、請求項43に記載の装置。
  46. 請求項43に記載の装置、ここにおいて、
    前記プロセッサは、前記第1のセキュリティ情報を使用してデータをセキュアに処理して、初期パケットを獲得し、さらに、前記第2のセキュリティ情報を使用して前記初期パケットをセキュアに処理して、前記データパケットを獲得する。
  47. 前記プロセッサは、前記第1のセキュリティ情報と前記第2のセキュリティ情報の両方を使用してデータをセキュアに処理して、前記データパケットを獲得する、請求項43に記載の装置。
  48. 請求項43に記載の装置、ここにおいて、
    前記プロセッサは、前記第1のセキュリティ情報から獲得された第1の暗号鍵を使用して、前記データパケットに関する暗号化または正当性保護を実行し、さらに前記第2のセキュリティ情報から獲得された第2の暗号鍵を使用して、前記データパケットに関する暗号化または正当性保護を実行する。
  49. 請求項43に記載の装置、ここにおいて、
    前記プロセッサは、前記第1のセキュリティ情報と前記第2のセキュリティ情報の1つを使用して暗号化を実行し、さらに前記第1のセキュリティ情報と前記第2のセキュリティ情報のもう一方を使用して正当性保護を実行する。
  50. 下記を備える方法:
    少なくとも1つの認証サーバとの第1の認証および第2の認証を実行すること;
    前記第1の認証および前記第2の認証にそれぞれ関する第1のセキュリティ情報および第2のセキュリティ情報を獲得すること;および
    前記第1のセキュリティ情報および前記第2のセキュリティ情報を使用してデータパケットを生成すること。
  51. 請求項50に記載の方法、ここにおいて、
    前記第1の認証および前記第2の認証を前記実行することは、下記を備える:
    第1の認証サーバとの前記第1の認証を実行すること;および
    第2の認証サーバとの前記第2の認証を実行すること、ここで、前記第2の認証サーバは、前記第1の認証サーバとは異なる。
  52. 請求項50に記載の方法、ここにおいて、
    前記データパケットを前記生成することは、下記を備える:
    初期パケットを獲得するために、前記第1のセキュリティ情報を使用してデータをセキュアに処理すること;および
    前記データパケットを獲得するために、前記第2のセキュリティ情報を使用して前記初期パケットをセキュアに処理すること。
  53. 請求項50に記載の方法、ここにおいて、
    前記データパケットを前記生成することは、下記を備える:
    前記データパケットを獲得するために、前記第1のセキュリティ情報と前記第2のセキュリティ情報の両方を使用してデータをセキュアに処理すること。
JP2011265904A 2006-04-11 2011-12-05 複数の認証(multipleauthentications)を結び付けるための方法および装置 Active JP5410499B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US79132106P 2006-04-11 2006-04-11
US60/791,321 2006-04-11

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2009505578A Division JP4933609B2 (ja) 2006-04-11 2007-04-10 複数の認証(multipleauthentications)を結び付けるための方法および装置

Publications (2)

Publication Number Publication Date
JP2012113723A true JP2012113723A (ja) 2012-06-14
JP5410499B2 JP5410499B2 (ja) 2014-02-05

Family

ID=38461262

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2009505578A Active JP4933609B2 (ja) 2006-04-11 2007-04-10 複数の認証(multipleauthentications)を結び付けるための方法および装置
JP2011265904A Active JP5410499B2 (ja) 2006-04-11 2011-12-05 複数の認証(multipleauthentications)を結び付けるための方法および装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2009505578A Active JP4933609B2 (ja) 2006-04-11 2007-04-10 複数の認証(multipleauthentications)を結び付けるための方法および装置

Country Status (8)

Country Link
US (1) US8607051B2 (ja)
EP (1) EP2005706B1 (ja)
JP (2) JP4933609B2 (ja)
KR (1) KR100988179B1 (ja)
CN (1) CN101395887B (ja)
ES (1) ES2710666T3 (ja)
TW (1) TW200810487A (ja)
WO (1) WO2007121190A2 (ja)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090150670A1 (en) * 2006-06-01 2009-06-11 Nec Corporation Communication node authentication system and method, and communication node authentication program
CN101584211A (zh) * 2007-01-19 2009-11-18 皇家飞利浦电子股份有限公司 经由无线装置进行网络配置
US8341702B2 (en) * 2007-11-01 2012-12-25 Bridgewater Systems Corp. Methods for authenticating and authorizing a mobile device using tunneled extensible authentication protocol
US8705442B2 (en) * 2007-11-15 2014-04-22 Ubeeairwalk, Inc. System, method, and computer-readable medium for mobile station authentication and registration via an IP-femtocell
US8547859B2 (en) * 2007-11-15 2013-10-01 Ubeeairwalk, Inc. System, method, and computer-readable medium for authentication center-initiated authentication procedures for a mobile station attached with an IP-femtocell system
US20090187978A1 (en) * 2008-01-18 2009-07-23 Yahoo! Inc. Security and authentications in peer-to-peer networks
US8655838B2 (en) * 2008-02-20 2014-02-18 At&T Intellectual Property I, L.P. Selection of peers to cluster within a peer-to-peer network
US8850553B2 (en) * 2008-09-12 2014-09-30 Microsoft Corporation Service binding
US9066232B2 (en) * 2009-06-08 2015-06-23 Qualcomm Incorporated Femtocell access control
US9160545B2 (en) * 2009-06-22 2015-10-13 Beyondtrust Software, Inc. Systems and methods for A2A and A2DB security using program authentication factors
US8863253B2 (en) 2009-06-22 2014-10-14 Beyondtrust Software, Inc. Systems and methods for automatic discovery of systems and accounts
US20110007639A1 (en) * 2009-07-10 2011-01-13 Qualcomm Incorporated Methods and apparatus for detecting identifiers
US9668230B2 (en) * 2009-11-10 2017-05-30 Avago Technologies General Ip (Singapore) Pte. Ltd. Security integration between a wireless and a wired network using a wireless gateway proxy
CN102196438A (zh) 2010-03-16 2011-09-21 高通股份有限公司 通信终端标识号管理的方法和装置
US9385862B2 (en) * 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
US8839373B2 (en) 2010-06-18 2014-09-16 Qualcomm Incorporated Method and apparatus for relay node management and authorization
US9112905B2 (en) 2010-10-22 2015-08-18 Qualcomm Incorporated Authentication of access terminal identities in roaming networks
US9641525B2 (en) * 2011-01-14 2017-05-02 Nokia Solutions And Networks Oy External authentication support over an untrusted network
US9668128B2 (en) 2011-03-09 2017-05-30 Qualcomm Incorporated Method for authentication of a remote station using a secure element
JP5962750B2 (ja) * 2012-03-22 2016-08-03 富士通株式会社 アドホックネットワークシステム、ノード、および通信方法
US20130305378A1 (en) * 2012-05-09 2013-11-14 Visa Europe Limited Method and system for establishing trust between a service provider and a client of the service provider
KR102205953B1 (ko) * 2014-01-13 2021-01-20 에스케이플래닛 주식회사 멀티 디바이스 기반의 사용자 인증 방법 및 이를 위한 서비스 장치
US9954679B2 (en) * 2014-03-05 2018-04-24 Qualcomm Incorporated Using end-user federated login to detect a breach in a key exchange encrypted channel
US20160380999A1 (en) * 2014-03-17 2016-12-29 Telefonaktiebolaget L M Ericsson (Publ) User Identifier Based Device, Identity and Activity Management System
GB2543072B (en) * 2015-10-07 2021-02-10 Enclave Networks Ltd Public key infrastructure & method of distribution
CN106453415B (zh) * 2016-12-01 2020-09-29 江苏通付盾科技有限公司 基于区块链的设备认证方法、认证服务器及用户设备
US10977361B2 (en) 2017-05-16 2021-04-13 Beyondtrust Software, Inc. Systems and methods for controlling privileged operations
DE102017208735A1 (de) 2017-05-23 2018-11-29 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Schutz einer Kommunikation zwischen mindestens einer ersten Kommunikationseinrichtung und wenigstens einer zweiten Kommunikationseinrichtung insbesondere innerhalb eines Kommunikationsnetzwerkes einer industriellen Fertigung und/oder Automatisierung
US10965676B2 (en) * 2018-10-02 2021-03-30 Ca, Inc. Peer authentication by source devices
US11528149B2 (en) 2019-04-26 2022-12-13 Beyondtrust Software, Inc. Root-level application selective configuration

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10322328A (ja) * 1997-05-20 1998-12-04 Mitsubishi Electric Corp 暗号通信システム及び暗号通信方法
JP2004295507A (ja) * 2003-03-27 2004-10-21 Fujitsu Social Science Laboratory Ltd 携帯機器を用いた身分証明方法,システム及びプログラム
JP2004355562A (ja) * 2003-05-30 2004-12-16 Kddi Corp 機器認証システム
US20050015490A1 (en) * 2003-07-16 2005-01-20 Saare John E. System and method for single-sign-on access to a resource via a portal server
JP2006039206A (ja) * 2004-07-27 2006-02-09 Canon Inc 暗号化装置および復号化装置

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1302398A (zh) * 1998-03-20 2001-07-04 诺福米迪亚股份有限公司 电子书籍系统
JP2001326632A (ja) 2000-05-17 2001-11-22 Fujitsu Ltd 分散グループ管理システムおよび方法
AU2002234258A1 (en) * 2001-01-22 2002-07-30 Sun Microsystems, Inc. Peer-to-peer network computing platform
JP2002335239A (ja) 2001-05-09 2002-11-22 Nippon Telegr & Teleph Corp <Ntt> シングルサインオン認証方法及びシステム装置
US7350076B1 (en) * 2001-05-16 2008-03-25 3Com Corporation Scheme for device and user authentication with key distribution in a wireless network
US7373515B2 (en) * 2001-10-09 2008-05-13 Wireless Key Identification Systems, Inc. Multi-factor authentication system
JP3969153B2 (ja) 2002-03-28 2007-09-05 日本電気株式会社 端末認証システム、端末認証装置、および端末認証プログラム
US7509491B1 (en) * 2004-06-14 2009-03-24 Cisco Technology, Inc. System and method for dynamic secured group communication
US20060002557A1 (en) 2004-07-01 2006-01-05 Lila Madour Domain name system (DNS) IP address distribution in a telecommunications network using the protocol for carrying authentication for network access (PANA)
US7596690B2 (en) * 2004-09-09 2009-09-29 International Business Machines Corporation Peer-to-peer communications
DE102004045147A1 (de) * 2004-09-17 2006-03-23 Fujitsu Ltd., Kawasaki Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
US8166296B2 (en) * 2004-10-20 2012-04-24 Broadcom Corporation User authentication system
US8037514B2 (en) * 2005-03-01 2011-10-11 Cisco Technology, Inc. Method and apparatus for securely disseminating security server contact information in a network
US8006089B2 (en) * 2006-02-07 2011-08-23 Toshiba America Research, Inc. Multiple PANA sessions
US8239671B2 (en) * 2006-04-20 2012-08-07 Toshiba America Research, Inc. Channel binding mechanism based on parameter binding in key derivation

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10322328A (ja) * 1997-05-20 1998-12-04 Mitsubishi Electric Corp 暗号通信システム及び暗号通信方法
JP2004295507A (ja) * 2003-03-27 2004-10-21 Fujitsu Social Science Laboratory Ltd 携帯機器を用いた身分証明方法,システム及びプログラム
JP2004355562A (ja) * 2003-05-30 2004-12-16 Kddi Corp 機器認証システム
US20050015490A1 (en) * 2003-07-16 2005-01-20 Saare John E. System and method for single-sign-on access to a resource via a portal server
JP2006039206A (ja) * 2004-07-27 2006-02-09 Canon Inc 暗号化装置および復号化装置

Also Published As

Publication number Publication date
EP2005706B1 (en) 2018-12-12
EP2005706A2 (en) 2008-12-24
US20080040606A1 (en) 2008-02-14
CN101395887A (zh) 2009-03-25
TW200810487A (en) 2008-02-16
KR100988179B1 (ko) 2010-10-18
KR20080108130A (ko) 2008-12-11
WO2007121190A3 (en) 2008-02-07
JP4933609B2 (ja) 2012-05-16
JP2009533771A (ja) 2009-09-17
WO2007121190A2 (en) 2007-10-25
JP5410499B2 (ja) 2014-02-05
CN101395887B (zh) 2013-02-13
US8607051B2 (en) 2013-12-10
ES2710666T3 (es) 2019-04-26

Similar Documents

Publication Publication Date Title
JP5410499B2 (ja) 複数の認証(multipleauthentications)を結び付けるための方法および装置
JP6262308B2 (ja) リンク設定および認証を実行するシステムおよび方法
JP4763726B2 (ja) 無線通信のための安全なブートストラッピング
US8726019B2 (en) Context limited shared secret
TWI293844B (en) A system and method for performing application layer service authentication and providing secure access to an application server
JP4801147B2 (ja) 証明を配送するための方法、システム、ネットワーク・ノード及びコンピュータ・プログラム
US8467532B2 (en) System and method for secure transaction of data between a wireless communication device and a server
CN108880813B (zh) 一种附着流程的实现方法及装置
WO2003077572A1 (en) Accessing cellular networks from non-native local networks
WO2011038620A1 (zh) 一种移动通讯网络中的接入认证方法、装置及系统
WO2005048638A1 (en) Method and apparatus for authentication in wireless communications
US8705734B2 (en) Method and system for authenticating a mobile terminal in a wireless communication system
US20120254615A1 (en) Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network
Hall Detection of rogue devices in wireless networks
Arkko et al. RFC 4187: Extensible authentication protocol method for 3rd generation authentication and key agreement (eap-aka)
Pagliusi et al. PANA/GSM authentication for Internet access
Georgiades et al. Distributed authentication protocol for the security of binding updates in mobile IPv6
Agreement Network Working Group J. Arkko Internet-Draft Ericsson Expires: October 4, 2004 H. Haverinen Nokia April 5, 2004
Levkowetz Extensible Authentication Protocol (EAP) Key Management Framework By submitting this Internet-Draft, each author represents that any applicable patent or other IPR claims of which he or she is aware have been or will be disclosed, and any of which he or she becomes aware will be disclosed, in accordance with Section 6 of BCP 79.

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130625

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130626

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130920

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131008

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131106

R150 Certificate of patent or registration of utility model

Ref document number: 5410499

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250