JP2013533535A - パケットネットワークにおけるアプリケーションレイヤ認証 - Google Patents

パケットネットワークにおけるアプリケーションレイヤ認証 Download PDF

Info

Publication number
JP2013533535A
JP2013533535A JP2013512655A JP2013512655A JP2013533535A JP 2013533535 A JP2013533535 A JP 2013533535A JP 2013512655 A JP2013512655 A JP 2013512655A JP 2013512655 A JP2013512655 A JP 2013512655A JP 2013533535 A JP2013533535 A JP 2013533535A
Authority
JP
Japan
Prior art keywords
computing device
packets
identification information
layer identification
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013512655A
Other languages
English (en)
Other versions
JP5603485B2 (ja
Inventor
フアインバーグ,イゴール
リウ,ホイ−ラン
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2013533535A publication Critical patent/JP2013533535A/ja
Application granted granted Critical
Publication of JP5603485B2 publication Critical patent/JP5603485B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

通信ネットワークのアプリケーションサーバにてエンドユーザ装置の効率的な認証のための技術が開示される。たとえば通信ネットワーク内では、第1のコンピューティングデバイスがエンドユーザ装置であり、第2のコンピューティングデバイスがゲートウェイサーバであり、第3のコンピューティングデバイスがアプリケーションサーバであることを前提とし、方法は以下のステップを含む。第2のコンピューティングデバイスは、第1のコンピューティングデバイスから受け取った1つまたは複数のパケットを認証する。第2のコンピューティングデバイスは、第3のコンピューティングデバイスが第1のレイヤの識別情報と第2のレイヤの識別情報の関連性を確認することによって第1のコンピューティングデバイスからの1つまたは複数のパケットを認証できるように、1つまたは複数のパケットを第3のコンピューティングデバイスに向けて送る前に、第1のレイヤの識別情報を用いて1つまたは複数のパケットにマークする。たとえば第1のレイヤの識別情報は、第1のコンピューティングデバイスに割り当てられたリンクレイヤ識別情報(たとえばゲートウェイサーバまたは他の何らかのサーバによって割り当てられた)を含むことができ、第2のレイヤの識別情報は、第1のコンピューティングデバイスに割り当てられたアプリケーションレイヤ識別情報(たとえばアプリケーションサーバまたは他の何らかのサーバによって前に割り当てられた)を含むことができる。

Description

本発明は一般に通信ネットワークに関し、より詳細には通信ネットワークにおける認証技術に関する。
この項は、本発明のより良い理解を容易にする助けとなり得る側面を紹介する。したがってこの項の文はこの観点から読まれるべきであり、何が従来技術であり、何が従来技術でないということを自認するものと理解されるべきではない。
一般に既存の認証手法では、特定の通信ネットワークを通してアプリケーションへのアクセスを求めるユーザ装置(エンドユーザ)は、第1に通信ネットワーク自体によって認証されなければならず、第2にエンドユーザによってアクセスが求められるアプリケーションを提供するアプリケーションサーバによって再び認証(再認証)されなければならない。
汎用ブートストラッピングアーキテクチャ(GBA)は、エンドユーザの認証を可能にする1つの技術である。GBAは、3GPP技術仕様書(TS)33.220に従って3rd Generation Partnership Project(3GPP)によって規格化され、その開示の全体を引用により本明細書に組み込む。一般にGBAは、ネットワークへのアクセスを得るように試みたときに、初期ネットワーク構成要素はエンドユーザ装置にチャレンジさせ、チャレンジの応答がホームロケーションレジスタ(HLR)またはホーム加入者サーバ(HSS)によって予測されるもとの同様であることを検証することによって認証する。
しかしGBAはまた、アプリケーションレイヤにてエンドユーザの明示的な再認証も要求する。この再認証は3GPP認証および鍵一致(AKA)プロトコルに従って行われ、その開示の全体が引用により本明細書に組み込まれるRFC3310:「Hypertext Transfer Protocol(HTTP) Digest Authentication Using Authentication and Key Agreement(AKA)」、2002年9月、およびその開示の全体が引用により本明細書に組み込まれるRFC4169「Hypertext Transfer Protocol(HTTP) Digest Authentication Using Authentication and Key Agreement(AKA) Version−2」2005年11月を参照されたい。
3GPP技術仕様書(TS)33.220 RFC3310:「Hypertext Transfer Protocol(HTTP) Digest Authentication Using Authentication and Key Agreement(AKA)」、2002年9月 RFC4169「Hypertext Transfer Protocol(HTTP) Digest Authentication Using Authentication and Key Agreement(AKA) Version−2」2005年11月 OpenID Authentication 2.0 OpenID Provider Authentication Policy Extension 1.0 International Telecommunication Union−Telecommunication Standardization Sector(ITU−T) Recommendation Y.2720、「NGN Identity Management Framework」 「Requirements for DPI in packet−based networks and NGN」ドラフト2010、ITU−T、スイス、ジュネーブ 3GPP GBA:3GPP TS 33.220 V9.2.0(2009年12月)、3rd Generation Partnership Project Technical Specification Group Services and System Aspects Generic Authentication Architecture(GAA) Generic bootstrapping architecture(Release9) 「The 3G IP Multimedia Subsystem(IMS):Merging the Internet and the Cellular Worlds」Gonzalo Camarillo、Miguel−Angel Garcia−Martin(John Wiley & Sons、2006年)
このような再認証は、たとえばHLR/HSSデータベースへの追加のアクセスの必要性、およびAKAシーケンス番号(SQN)パラメータに対する潜在的な問題によって引き起こされる再同期の必要性などのいくつかの問題を引き起こす。さらにGBAはAKAダイジェストプロトコルを用い、これは標準のWebブラウザによってサポートされていない。
したがって改良されたエンドユーザ認証技術が必要である。
本発明の実施形態は、通信ネットワークのアプリケーションサーバでのエンドユーザ装置の効率的な認証のための技術を提供する。
第1の態様では、通信ネットワーク内では、第1のコンピューティングデバイスがエンドユーザ装置であり、第2のコンピューティングデバイスがゲートウェイサーバであり、第3のコンピューティングデバイスがアプリケーションサーバであることを前提とし、方法は以下のステップを含む。
第2のコンピューティングデバイスは、第1のコンピューティングデバイスから受け取った1つまたは複数のパケットを認証する。第2のコンピューティングデバイスは、第3のコンピューティングデバイスが第1のレイヤの識別情報と第2のレイヤの識別情報の関連性を確認することによって第1のコンピューティングデバイスからの1つまたは複数のパケットを認証できるように、1つまたは複数のパケットを第3のコンピューティングデバイスに向けて送る前に、第1のレイヤの識別情報を用いて1つまたは複数のパケットにマークする。
第2の態様では、やはり通信ネットワーク内では、第1のコンピューティングデバイスがエンドユーザ装置であり、第2のコンピューティングデバイスがゲートウェイサーバであり、第3のコンピューティングデバイスがアプリケーションサーバであることを前提とし、方法は以下のステップを含む。
第3のコンピューティングデバイスは第2のコンピューティングデバイスから1つまたは複数のパケットを受け取り、第2のコンピューティングデバイスは第1のコンピューティングデバイスから受け取った1つまたは複数のパケットを認証しており、1つまたは複数のパケットを第3のコンピューティングデバイスに向けて送る前に第1のレイヤの識別情報を用いて1つまたは複数のパケットにマークしてある。第3のコンピューティングデバイスは、第1のレイヤの識別情報と第2のレイヤの識別情報の関連性を確認することによって第1のコンピューティングデバイスからの1つまたは複数のパケットを認証する。
一実施形態では第1のレイヤの識別情報は、第1のコンピューティングデバイスに割り当てられたリンクレイヤ識別情報(たとえばゲートウェイサーバまたは他の何らかのサーバによって割り当てられた)を含み、第2のレイヤの識別情報は、第1のコンピューティングデバイスに割り当てられたアプリケーションレイヤ識別情報(たとえばアプリケーションサーバまたは他の何らかのサーバによって前に割り当てられた)を含む。
他の態様は、メモリと、メモリに結合され上述のそれぞれの方法のステップを行うように動作するプロセッサとを備える装置によりもたらされる。
さらに他の態様は、コンピューティングデバイスに関連付けられたプロセッサによって実行されたときに上述のそれぞれの方法のステップを行う、1つまたは複数のソフトウェアプログラムを記憶したプロセッサ可読記憶媒体を備える製品によりもたらされる。
有利には本発明の例示的実施形態は、エンドユーザに対する認証の繰り返しをなくすことを実現する。代わりに本発明の例示の原理は、各パケットはゲートウェイを通ってネットワークに入り、ゲートウェイはすでにパケットをリンクレイヤにて認証しているということに基づく。それによりエンドユーザを、別の完全なAKA認証手順を行うのではなく、アプリケーションサーバがエンドユーザのリンクレイヤ識別情報(本明細書では「パケットペインティング」と呼ばれる、マークされたまたはラベル付けされたパケットから判定される)と、エンドユーザのアプリケーションレイヤ識別情報との間の関連性(たとえば一致)を確認するだけで、アプリケーションレイヤレベルで認証することができる。
本発明の上記その他の特徴および利点は、添付の図面および以下の詳細な説明から、より明らかになるであろう。
本発明の第1の実施形態による、パケットペインティングをその中で行うことができる通信ネットワークの一部分の図である。 本発明の第2の実施形態による、パケットペインティングをその中で行うことができる通信ネットワークの一部分の図である。 本発明の第3の実施形態による、パケットペインティングをその中で行うことができる通信ネットワークの一部分の図である。 本発明の第4の実施形態による、パケットペインティングをその中で行うことができる通信ネットワークの一部分の図である。 本発明の第5の実施形態による、パケットペインティングをその中で行うことができる通信ネットワークの一部分の図である。 本発明の第6の実施形態による、パケットペインティングをその中で行うことができる通信ネットワークの一部分の図である。 本発明の第7の実施形態による、パケットペインティングをその中で行うことができる通信ネットワークの一部分の図である。 本発明の第8の実施形態による、パケットペインティングをその中で行うことができる通信ネットワークの一部分の図である。 本発明の第9の実施形態による、パケットペインティングをその中で行うことができる通信ネットワークの一部分の図である。 本発明の一実施形態による、パケットペインティングを実現するのに適した通信ネットワークのハードウェアアーキテクチャの図である。
本発明の例示的実施形態は、ネットワークゲートウェイにて行われるリンクレイヤ認証に基づいて、パケットネットワークのアプリケーションレイヤを通してエンドユーザ装置(エンドユーザ)の認証をもたらす。それにより、パケットネットワーク内部のいずれのアプリケーションサーバでもエンドユーザの明示的な再認証は必要なく、すなわちアプリケーションレイヤレベルでのAKA認証手順を行う必要はない。本発明の認証は、本明細書では例示的に「パケットペインティング」と呼ばれる、パケットのマーク、ラベル付け、または増補技術を用いることによって達成される。
本明細書で用いられる「エンドユーザ装置」(または「ユーザ機器」)という語句は、一般にネットワークおよびそのサービスにアクセスするために人間がそれと対話する装置として定義される。このような装置は、例示のみとして携帯電話、パーソナルコンピュータ、またはインターネット機器とすることができる。このような装置はまた好ましくは、場合によってはさらに他のデバイスを通して、セキュリティ証明書(たとえばAKA証明書)を保持するスマートカード(加入者識別モジュールすなわちSIMカード)と対話する手段を有する。
本明細書では「ゲートウェイ」または「ネットワークゲートウェイ」という用語は一般に、特定のプロバイダのネットワークに属するが、たとえば他のプロバイダのネットワークまたはインターネットなどの1つまたは複数の他のネットワークにも接続されたコンピューティングネットワークデバイスとして定義される。それによって外部ネットワークへの接続は、物理レベル(無線基地局によって具体化されるような)、あるいはHTTPまたはSIP(セッション開始プロトコル)プロキシ、またはHTTPまたはSIPサーバの場合のようなアプリケーションレベルとすることができる。
本明細書で用いられる「アプリケーションサーバ」とは一般に、例示のみとしてHTTPまたはSIPなどの、クライアント/サーバアプリケーションプロトコルにおけるサーバの役割をするコンピューティングネットワークデバイスとして定義される。
本明細書で述べられる例示的実施形態は、アプリケーションレイヤおよびリンクレイヤを対象とするが、本発明の原理はそれらに限定されないことを理解されたい。すなわちエンドユーザの認証は、通信ネットワークの1つのネットワークフレームワークレイヤを通して、別のネットワークフレームワークレイヤを通して前に行われた認証に基づいて効率的に行うことができる。したがってアプリケーションレイヤ、およびリンクレイヤは、本発明の原理をそれを用いて実現することができるネットワークフレームワークレイヤの単なる例である。このような原理は、7つのレイヤ(アプリケーション、プレゼンテーション、セッション、トランスポート、ネットワーク、リンク、および物理)の開放型システム間相互接続(OSI)モデル、または他の適切なネットワークフレームワークモデルの他のレイヤに応用することができる。
本発明の例示のパケットペインティング技術の使用によって実現される利点は非限定的に、(1)HLR/HSSへの負荷を軽くすること、(2)認証を能率化(より簡単かつより高速に)すること、および(3)既存のブラウザとの完全な相互動作(AKAサポートの要件を取り除くことによる)を含む。パケットペインティングの結果として、サードパーティアプリケーションに対する簡略化されたブートストラッピングがもたらされる。もう1つの結果は、OpenIDをサポートするための簡略化された認証機構がもたらさせることである。
OpenIDは、ユーザ中心のデジタル識別情報のためのオープンな分散型の無償のフレームワークである。すなわちOpenIDは、ユーザが同じデジタル識別情報を用いて多くのサービスにログオンすることを可能にする。OpenIDは、OpenID Foundation(カリフォルニア州サンラモン)によって管理される。規格は、OpenID Authentication 2.0、およびOpenID Provider Authentication Policy Extension 1.0に詳述されており、その開示の全体を引用により本明細書に組み込む。
本発明の例示の原理によればネットワークのいずれのアプリケーションサーバも、アプリケーションレイヤプロトコルデータ単位(PDU)のすべての部分が、すでに認証された1組の下位のレイヤのPDU(リンクレイヤフレームなど)を通してネットワーク内に到達していることが確実である限り、このPDUを認証することができる。これは本発明のパケットペインティング技術を用いて達成される。一実施形態では、リンクレイヤにてユーザを認証するゲートウェイノード(たとえばモバイル基地局、Node B、パケットデータゲートウェイ、ブロードバンドネットワークゲートウェイ、または次世代ネットワーク(NGN)アクセスノードなど)は、ユーザのリンクレイヤ識別情報を確認するラベル(場合により署名された)を発行する。このようなラベルは例示として、(1)インターネットプロトコル(IP)パケットの前に挿入することができ、この挿入はネットワーク全体にわたって伝播される、および/または(2)既存または新規のIPヘッダ内に保持することができる。ペイントされたPDUがアプリケーションサーバに到達した後にはアプリケーションサーバは、エンドユーザに別の認証手順(AKAプロトコルまたは手順など)をアプリケーションサーバに対して行うことを要求するのではなく、リンクレイヤ識別情報とアプリケーションレイヤ識別情報の関連性を(たとえばルックアップテーブル比較により)確かめるだけでよい。この例示の解決策はまた好ましくは、ルータ(またはマルチプロトコルスイッチ)がストリーム内のあらゆるパケットにラベルを渡すようにさせる。他の利点はパケットペインティング技術は、アプリケーションレイヤプロトコルの変更を必要としないことである。
他の実施形態では、ゲートウェイにてディープパケットインスペクション(DPI)が使用され、PDUは条件付きでまたは一定のトリガでペイントされる(たとえばリンクレイヤ識別情報を用いて増補、マーク、またはラベル付けされる)。このようなトリガの一実施例はゲートウェイが、ハイパーテキスト転送プロトコル(HTTP)リダイレクションを通じてOpenID要求が発生したことを認識したときである。
トリガまたは条件の他の実施例はゲートウェイが、宛て先アドレスが識別情報プロバイダ(IdP)に対応することを認識したときである。IdPは実際上、その開示の全体が引用により本明細書に組み込まれる「NGN Identity Management Framework」という名称のInternational Telecommunication Union−Telecommunication Standardization Sector(ITU−T) Recommendation Y.2720に指定されたIPベースの次世代ネットワーク(NGN)のための識別情報管理(IdM)規格に従う、その境界内の事業者ネットワークに対するゲートウェイ構成要素である。NGNすなわち次世代ネットワークは、電気通信サービスを含むサービスを提供することができるパケットベースのネットワークであり、複数の広帯域な、サービス品質(QoS)対応の転送技術を利用することができ、そこではサービス関連機能はその下にある転送関連技術とは独立している。識別情報管理(IdM)の概念により、通信ネットワークの運用者、たとえば電気通信運用者またはネットワーク事業者(本明細書ではこれら2つの語句は同義的に用いることができることに留意されたい)による新しいサービスが可能になることが理解される。このような事業者の例には非限定的に、AT&T、Verizon、NTT、China Mobile、France Telecom/Orangeを含むことができる。
NGN技術の例には、非限定的にユニバーサルモバイルテレコミュニケーションズシステム(UMTS)、IPマルチメディアサブシステム(IMS)などが含まれる。これらのネットワークはネットワーク事業者によって管理される。IdMフレームワークにおいては、識別情報プロバイダ構成要素はネットワーク事業者によって制御され、運用される。
上述の両方の例示的実施形態すなわち自動パケットペインティングまたは条件付き/トリガ型パケットペインティングでは、本発明の例示の原理は、すべてのパケットは通常はネットワークゲートウェイサーバを通過しなければならず、このようなゲートウェイサーバはエンドユーザを認証しなければならないので、この認証はアプリケーションレイヤに再帰的に拡張できるという事実を利用している。
本発明の原理の1つの例示の用途は、NGNプロバイダによるOpenIDまたはOAuthなどのWeb2.0アプリケーションを実現するものを開発することである。OAuthとの関連においては、World Wide Webなどの通信ネットワークを通じて利用できる様々な機能は、ユーザが自身のアプリケーションまたはウェブページを生成を可能にすることが理解される。1つの例は「マッシュアップ」として知られており、これは2つ以上のソースからのデータまたは機能を用いてまたは組み合わせて新しいサービスまたはアプリケーションを生成するウェブページまたはアプリケーションである。しかしユーザが自身の資格証明(ユーザ名またはパスワード)を1つのソースから他のソースに提出することを求められ、それによりソース間で情報を露出し、一方のソースに他方のソースへの完全なアクセスを与える場合に問題が生じる。これはユーザにとって望ましくない。OAuthとして知られるプロトコルは、この問題への解決策を提供することを試みる。一般にOAuthプロトコル(http://oauth.net/を参照)はユーザが、ユーザのパスワードを共有せずにユーザのウェブリソースへのアクセスをサードパーティに提供することを可能にする。本発明によるパケットペインティングは、OAuthとの関連において実施することができる。
本発明の例示的実施形態はOpenIDまたはOAuthプロトコルを用いて使用することができるが、本発明の原理はこれらのプロトコルに限定されず、任意のアプリケーションサーバは、用いられる特定用途向けプロトコルとは無関係に、本発明のパケットペインティングプロセスを通じてユーザを認証できることを理解されたい。
図1は、本発明の第1の実施形態による、パケットペインティングをその中で行うことができる通信ネットワーク100の一部分の図である。この実施形態に示されるように、エンドユーザ装置102(または非限定的にパーソナルコンピュータまたは携帯電話などのインターネット機器とすることができる、ユーザ機器UE)は、アクセスインターフェースA104を通して、ネットワークゲートウェイサーバ106(たとえばNGNアクセスノードなど)との認証されたリンクレイヤ接続を確立している。アクセスインターフェースの例には、非限定的に無線Long Term Evolution(LTE)、デジタル加入者回線(DSL)、またはローカルエリアネットワーク(LAN)が含まれる。ネットワーク境界は101として示されることに留意されたい。ネットワークゲートウェイサーバ106は、AKAプロトコルを用いて、そのリンクレイヤ識別子または識別情報(Id)103(たとえば国際移動電話加入者識別番号(IMSI))に基づいてUE102を認証する。ネットワークゲートウェイサーバ106と識別情報プロバイダサーバ(IdP)118の間のすべてのメッセージは、一連のネットワークルータ(またはマルチプロトコルスイッチ)114−1、114−2、…、114−kをたどる。識別情報プロバイダ118は、アプリケーションサーバの一例であることを理解されたい。
この本発明の例示的実施形態によれば次いで、ネットワークゲートウェイサーバ106は、それがインターフェースN108上のルータまたはスイッチ114−1に送出するあらゆるIPパケット112の前にラベル110を挿入し、すなわち各パケットにラベルを付加する。このようなインターフェースNの例には非限定的に、802.2ファミリのリンクレイヤプロトコル、ハイレベルデータリンク制御(HDLC)、またはポイントツーポイントプロトコル(PPP)を含むことができる。続いて経路(114−1、114−2、…、114−k)上の各ルータまたはスイッチは、インターフェースN1、N2、およびNk(116−1、116−2、…、116−k)にわたる途中で、同じラベル110をコピーする。
最後に識別情報プロバイダサーバ118では、ペイントされた(ラベルが付けられた)パケットのみが受け入れられ、したがって(たとえばアプリケーションプログラミングインターフェースすなわちAPIを通じて(図示せず))、アプリケーションレイヤPDUを認証し、それらのそれぞれを特定のLLID103まで追跡することが可能となり、これは適切なアプリケーションレイヤ識別子または識別情報(OpenIDまたはIMSI)に関連付けられる。好ましい実施形態ではLLラベル110内に、ゲートウェイID105が設けられることに留意されたい。
ラベル110は署名付きにできることに留意されたい。本明細書で用いられる「署名」は、これが信頼されたネットワークであることを前提として、そうである場合もあり得るが必ずしも暗号化されたものではない。最も簡単なケースでは署名はヌルでもよい。
上記の実施形態は、エンドユーザがローミング(別のプロバイダのネットワークを通過するという意味での)をしていない場合のみに関する。ローミングにより複雑さがもたらされ、これは以下で考察する。
図2は、本発明の第2の実施形態による、パケットペインティングをその中で行うことができる通信ネットワーク200の一部分の図である。図1の構成要素およびインターフェースと同じ図2に示される構成要素およびインターフェースは、同様な参照番号を有するが100だけ増加されていることに留意されたい(すなわち図1のUE102は図2のUE202に対応し、図1のゲートウェイ106は図2のゲートウェイ206に対応し、以下同様)。
図1の実施形態と図2の実施形態の主な違いは、どこにLLラベルが保持されるかである。図2の実施形態ではLLラベル210は、送られているパケット220(パケットはペイロード224を含んでいる)の既存のまたは新規のIPヘッダフィールド222内に含まれる。図1の実施形態は、ラベルを各パケットに付加していることを想起されたい。
具体的には図2に示されるように、ネットワークゲートウェイサーバ206に到着する認証されたUE202からのあらゆるパケット220に対して、ゲートウェイはLLラベル210を発生し、パケットを次のルータまたはスイッチ214−1に転送する前に、ラベル210を適切なIPヘッダフィールド222に付加する。ラベル210は、識別情報プロバイダ(アプリケーションサーバ)218に到達する前に、パケット220が一連のルータまたはスイッチ(214−1、214−2、…、214−k)を通過する際には不変のままとなる。すなわち途中のルータまたはスイッチは、ラベルヘッダフィールドには全く触れない。UE202からのパケットがすでにLLラベルを保持していることがあり得る。この場合にはゲートウェイ206は、それが発生したLLラベル210を用いて既存のラベルを上書きする。
図3は、本発明の第3の実施形態による、パケットペインティングをその中で行うことができる通信ネットワーク300の一部分の図である。図3は、ディープパケットインスペクション(DPI)の概念に関係する例示的実施形態を示す。やはり図1の構成要素およびインターフェースと同じ図3に示される構成要素およびインターフェースは、同様な参照番号を有するが200だけ増加されていることに留意されたい(すなわち図1のUE102は図3のUE302に対応し、図1のゲートウェイ106は図3のゲートウェイ306に対応し、以下同様)。
図3の実施形態ではネットワークゲートウェイサーバ302は、ディープパケットインスペクション(DPI)307を行う。一実施形態では好ましくはディープパケットインスペクションは、その開示の全体が引用により本明細書に組み込まれる「Requirements for DPI in packet−based networks and NGN」ドラフト2010、ITU−T、スイス、ジュネーブ、というITU−T New Draft Recommendationと呼ばれる新しいITU−T規格文書で述べられる1つまたは複数の技術を含むことができる。しかし本発明の原理はITU−Tディープパケットインスペクション解析に限定されず、本明細書で述べられるようにトリガおよび/または条件の存在を判定する他の技術を含み得ることを理解されたい。
したがってネットワークゲートウェイサーバ302が、DPI解析307を通じて一定の条件を検出(たとえばOpenID認証要求、またはIdP宛て先を検出)したときは、この条件の存在(または発生または実在)は、LLID情報(ラベル310)をパケット330の適切なIPヘッダフィールドに追加するようにゲートウェイをトリガする。パケット330は、指定された条件が存在する場合にのみマークされまたはラベル付けされるので、「条件付きでペイントされた」パケットと見なされる。次いで上記の実施形態のように、識別情報プロバイダ(アプリケーションサーバ)318は署名を調べ、PDU330が認証されたかどうかを判定し、次いでLLID310をアプリケーションIDに関連付ける。
図4は、本発明の第4の実施形態による、パケットペインティングをその中で行うことができる通信ネットワーク400の一部分の図である。図4は、UEローミング、すなわちUEがホームネットワークから訪問ネットワークに移動する場合を対象にする例示的実施形態を示す。やはり適切な部分では、図1の構成要素およびインターフェースと同じ図4に示される構成要素およびインターフェースは、同様な参照番号を有するが300だけ増加されている(すなわち図1のUE102は図4のUE402に対応し、図1のゲートウェイ106は図4のゲートウェイ406に対応し、以下同様)。
この場合はUE402は訪問ネットワークゲートウェイサーバ403(ネットワークIゲートウェイ)に接続される。ホームネットワーク(ネットワークII)への接続は、ネットワークIゲートウェイ403とネットワークIIゲートウェイ406の間のレイヤ2またはレイヤ3のトンネル407を通して達成される。この接続はインターフェース(N’)409によってサポートされる。しかしいずれの場合も終端ゲートウェイサーバ406(ネットワークIIゲートウェイ)が、パケットをペイント(マークまたはラベル付け)することが期待される。それによって、それがレイヤ3ゲートウェイである場合は、上述のペイント方法の代替として、ゲートウェイ406はパケットのペイロードを実際に署名することができる。UE402はそれがローミングしていないときは、レイヤ2またはレイヤ3トンネル405を通して、ネットワークゲートウェイサーバ406を通じてホームネットワーク406に直接接続できることに留意されたい。
図5は、本発明の第5の実施形態による、パケットペインティングをその中で行うことができる通信ネットワーク500の一部分の図である。この実施形態は、図5の実施形態が図3との関連において上述したDPIトリガを使用することを除いて、図2の実施形態と同様である。すなわち図5ではネットワークゲートウェイは、すべてのパケットをペイントするのではなく、規定されたポリシーによってトリガされるのに従って特定のものをペイントするように選択することができる。やはり適切な部分では、図1の構成要素およびインターフェースと同じ図5に示される構成要素およびインターフェースは、同様な参照番号を有するが400だけ増加されている(すなわち図1のUE102は図5のUE502に対応し、図1のゲートウェイ106は図5のゲートウェイ506に対応し、以下同様)。
図5の実施形態は、ゲートウェイ506にてDPIを行って、パケット(ヘッダ552およびペイロード554)を変更することが可能な(これは、より高いレイヤにて暗号化も完全性保護も使用されていないことを意味する)場合で、ネットワークポリシーがこのようなパケットペインティングを許す場合に対するものである。この場合は動作はたとえば、特定のアプリケーションヘッダの存在(HTTPリダイレクトなど)によってトリガすることができ、結果としてフローチャート556に示されるように、ネットワークで規定されるやり方でペイロードに追加された「ペイント」(LLラベル)を生じることになる。
ここまではユーザを識別情報プロバイダ(アプリケーションサーバ)に対して認証する様々なペイント技術を示してきたことを理解されたい。しかしどのようにしてネットワークがユーザに対して認証されるかは示していない。それを以下で図6との関連において行う前に、相互認証がなくてもネットワークはすでに他に対する識別情報プロバイダの役割を行い得ることに留意する。
図6は本発明の第6の実施形態による、相互認証をその中で行うことができる通信ネットワーク600の一部分の図である。具体的には図6は、相互認証サービスのための情報および決定フローを示す一実施形態である。
図示のように、OpenIDをサポートするWebサーバである依拠当事者604は、ネットワークプロバイダの識別情報プロバイダ606を見出し、それに認証のためにUE602をリダイレクトする(ステップ610)。UE602は認証を求める要求を識別情報プロバイダ(IdP)606に送出する(ステップ612)。IdP606は、要求(のパケット)に関連付けられた「ペイント」(ラベル)を調べ(ステップ614)、ラベルの識別情報がそのUEに対するOpenIDのそれとマップするかどうかを判定する。肯定であった場合はIdP606は、OpenIDプロトコルによって要求されるように、署名されたAuthN結果を返すことによって認証を確認する(ステップ616)。それによりUEとIdPは相互認証を完了する。次いでUE602は、署名されたAuthN結果を依拠当事者604に送出する(ステップ618)。
パケットはステップ611の一部としてペイントされ(ラベルが付けられ)、ステップ612の認証要求の一部としてIdP606に送出されることを理解されたい。これによりIdP606は、それらの正統性を判定することが可能になる。またIdP606および依拠当事者604は共に、アプリケーションサーバと見なされることを理解されたい。
この特定の実施形態は、OpenID規格および仕様(上記に記載)の側面を利用するが、OpenIDは、使用できるオープンソースの識別規格およびオープンソースベースの識別子の一例であることを理解されたい。したがってOpenIDと同様な機能および特徴をもたらす他の適切な識別規格も、本発明の実施形態の範囲内であると見なすことができる。
また好ましくはラベル(たとえば図1の110)はゲートウェイIDを表すことを想起されたい。それによりネットワーク内のアプリケーションサーバは、新しい1対の対称鍵(1つは暗号化用、1つは完全性保護用)を生成し、これらの鍵をゲートウェイを通じてUEと共有することができる。したがって3GPPブートストラッピング機能(BSF)、およびIMSサービス呼セッション制御機能(S−CSCF)(またはプロキシ呼セッション制御機能(P−CSCF))はそれ自体で、認証のためにパケットペインティングを用いることができる。
図7はBSFの場合を示す。やはり適切な部分では、図1の構成要素およびインターフェースと同じ図7に示される構成要素およびインターフェースは、同様な参照番号を有するが600だけ増加されている(すなわち図1のUE102は図7のUE702に対応し、図1のゲートウェイ106は図7のゲートウェイ706に対応し、以下同様)。この場合にはBSF718はアプリケーションサーバとして働くことを理解されたい。
図7に示されるように、UE702が認証を求める第1の要求703を送出したときは、BSF718は、ネットワークゲートウェイ706から受け取ったペイント(たとえばペイロード724も有するパケット720のヘッダ722内のラベル710)を調べ、AKA手順を行う必要なしに、要求が正規ユーザから届いたかどうかを判定する。
図8はS−CSCF(P−CSCF)の場合を示す。図7の構成要素およびインターフェースと同じ図8に示される構成要素およびインターフェースは、同様な参照番号を有するが100だけ増加されている。この場合はS−CSCF(P−CSCF)818はアプリケーションサーバとして働くことを理解されたい。
UE802がUE SIP INVITE803を発行したときは、IMS S−CSCF(またはP−CSCF)818は、ネットワークゲートウェイ806から受け取ったペイント(たとえばペイロード824も有するパケット820内のヘッダ822内のラベル810)を調べ、AKA手順を行う必要なしに、要求が正規ユーザから届いたかどうかを判定する。
当業者ならBSFおよびS−CSCF(P−CSCF)の通常の動作に関する詳細を理解するであろうことを理解されたい。しかしさらなる詳細は、その論文の全体が引用により本明細書に組み込まれる3GPP GBA:3GPP TS 33.220 V9.2.0(2009年12月)、3rd Generation Partnership Project、Technical Specification Group Services and System Aspects、Generic Authentication Architecture(GAA)、Generic bootstrapping architecture(Release 9)、および「The 3G IP Multimedia Subsystem(IMS):Merging the Internet and the Cellular Worlds」Gonzalo Camarillo、Miguel−Angel Garcia−Martin(John Wiley & Sons、2006年)に見出すことができる。
本発明の例示の原理はまた、ゲートウェイIDはそれにUEが接続するのに従って動的に変化するので、動的にモビリティをサポートする。図9はこの変化を示す。やはり図9での同様な構成要素およびインターフェースは、図1と比べて800だけ増加された参照番号を有する。
図示のようにUE902が、1つのゲートウェイ906−1(ネットワークゲートウェイ1)からゲートウェイ906−2(ネットワークゲートウェイ2)に移動したときは、これを反映するようにペイントは変化する。たとえば図示のようにパケット920(ヘッダ922とペイロード924を有する)は、ネットワークゲートウェイ906−1によりラベル910−1で、およびネットワークゲートウェイ906−2によりラベル910−2でペイントされる。IdP918(または他のアプリケーションサーバ)は、UEが接続されたいずれかのネットワークゲートウェイから、ペイントされたパケットを受け取る。
本発明のパケットペインティング技術は、その開示の全体が引用により本明細書に組み込まれる2009年5月7日出願の「Identity Management Services Provided By Network Operator」という名称の米国特許出願第12/437,248号(代理人整理番号805021−US−NP)で述べられている識別情報管理技術と共に使用できることを理解されたい。
図10は、本発明の一実施形態による、パケットペインティングを実現するのに適した通信ネットワーク1000のハードウェアアーキテクチャの図である。図示のようにエンドユーザ装置1010(たとえばユーザ機器102)と、ゲートウェイサーバ1020(たとえばネットワークゲートウェイサーバ106)と、アプリケーションサーバ1030(たとえばIdP118、BSF818、S−CSCF/P−CSCF918)は、通信ネットワーク媒体1050を通じて動作可能に結合される。ネットワーク媒体は、それを通してユーザ機器とサーバとが通信することを望む任意のネットワーク媒体とすることができる。例示としてネットワーク媒体は、エンドツーエンドでIPパケットを運ぶことができ、アクセスネットワークでのUMTSまたはWiFiまたはDSL(デジタル加入者回線)、メトロネットワークでのイーサネット(登録商標)、およびバックボーンでのMPLS(マルチプロトコルラベルスイッチング)を含むものとすることができる。しかし本発明はネットワーク媒体の特定のタイプに限定されない。典型的にはエンドユーザ装置1010はクライアントマシンとなり、サーバ1020および1030はサーバマシンとなり得る。
当業者には容易に明らかなように、サーバおよびクライアントはコンピュータプログラムコードの制御下で動作するプログラムされたコンピュータとして実装することができる。コンピュータプログラムコードは、コンピュータ(またはプロセッサまたはマシン)可読記憶媒体(たとえばメモリ)に記憶され、コードはコンピュータのプロセッサによって実行される。本開示を前提として当業者なら、本明細書に述べられたプロトコルを実現するために適切なコンピュータプログラムコードを容易に生成し得るであろう。
それでもなお図10は、ネットワーク媒体を通して通信する各デバイスの例示のアーキテクチャを全体的に示す。図示のように、エンドユーザ装置1010はI/Oデバイス1012、プロセッサ1014、およびメモリ1016を備える。ゲートウェイサーバ1020はI/Oデバイス1022、プロセッサ1024、およびメモリ1026を備える。アプリケーションサーバ1030はI/Oデバイス1032、プロセッサ1034、およびメモリ1036を備える。
本明細書で用いられる「プロセッサ」という用語は、非限定的に1つまたは複数の信号プロセッサ、1つまたは複数の集積回路などを含む、中央処理装置(CPU)または他の処理回路を含む1つまたは複数の処理デバイスを含むものであることを理解されたい。また本明細書で用いられる「メモリ」という用語は、RAM、ROM、固定メモリ装置(たとえばハードドライブ)、またはリムーバブルメモリ装置(たとえばディスケットまたはCDROM)など、プロセッサまたはCPUに関連付けられたメモリを含むものである。さらに本明細書で用いられる「I/Oデバイス」という用語は、処理装置にデータを入力するための1つまたは複数の入力デバイス(たとえばキーボード、マウス)、および処理装置に関連する結果をもたらすための1つまたは複数の出力デバイス(たとえばCRTディスプレイ)を含むものである。
したがって本明細書で述べられた本発明の方法を行うためのソフトウェア命令またはコードは、関連するメモリデバイス、たとえばROM、固定またはリムーバブルメモリの1つまたは複数に記憶し、使用の準備ができたときはRAMにロードされ、CPUによって実行することができる。すなわち図10に示される各コンピューティングデバイス(1010、1020、および1030)はそれらの、図1から9に示されるプロトコルのそれぞれのステップを行うように個々にプログラムすることができる。
本明細書では添付の図面を参照して本発明の例示的実施形態について述べてきたが、本発明はそれらの正確な実施形態に限定されず、当業者によって本発明の範囲または趣旨から逸脱せずに様々な他の変形および変更を行い得ることを理解されたい。

Claims (10)

  1. 第1のコンピューティングデバイスがエンドユーザ装置であり、第2のコンピューティングデバイスがゲートウェイサーバであり、第3のコンピューティングデバイスがアプリケーションサーバである通信ネットワークにおいて、
    第2のコンピューティングデバイスにより、第1のコンピューティングデバイスから受け取った1つまたは複数のパケットを認証するステップと、
    第2のコンピューティングデバイスにより、第3のコンピューティングデバイスが第1のレイヤの識別情報と第2のレイヤの識別情報の関連性を確認することによって第1のコンピューティングデバイスからの1つまたは複数のパケットを認証できるように、1つまたは複数のパケットを第3のコンピューティングデバイスに向けて送る前に、第1のレイヤの識別情報を用いて1つまたは複数のパケットにマークするステップと
    を含む、方法。
  2. 第1のレイヤの識別情報が、第1のコンピューティングデバイスに割り当てられたリンクレイヤ識別情報を含む、請求項1に記載の方法。
  3. 第2のレイヤの識別情報が、第1のコンピューティングデバイスに割り当てられたアプリケーションレイヤ識別情報を含む、請求項1に記載の方法。
  4. 1つまたは複数のパケットをマークするステップが、1つまたは複数のパケットのそれぞれに第1のレイヤの識別情報を付加するステップを含む、請求項1に記載の方法。
  5. 1つまたは複数のパケットをマークするステップが、1つまたは複数のパケットのそれぞれに第1のレイヤの識別情報を挿入するステップを含む、請求項1に記載の方法。
  6. 第1のレイヤの識別情報を用いて1つまたは複数のパケットをマークするステップが、ディープパケットインスペクションに応答する、請求項1に記載の方法。
  7. 第1のレイヤの識別情報を用いて1つまたは複数のパケットをマークするステップが、少なくとも1つの条件の存在に応答する、請求項1に記載の方法。
  8. 第1のコンピューティングデバイスがエンドユーザ装置であり、第2のコンピューティングデバイスがゲートウェイサーバであり、第3のコンピューティングデバイスがアプリケーションサーバである通信ネットワークにおいて、
    第3のコンピューティングデバイスにより、第2のコンピューティングデバイスから1つまたは複数のパケットを受け取るステップであって、第2のコンピューティングデバイスは第1のコンピューティングデバイスから受け取った1つまたは複数のパケットを認証しており、1つまたは複数のパケットを第3のコンピューティングデバイスに向けて送る前に第1のレイヤの識別情報を用いて1つまたは複数のパケットにマークしてある、ステップと、
    第3のコンピューティングデバイスにより、第1のレイヤの識別情報と第2のレイヤの識別情報の関連性を確認することによって第1のコンピューティングデバイスからの1つまたは複数のパケットを認証するステップと
    を含む、方法。
  9. 第1のコンピューティングデバイスがエンドユーザ装置であり、第2のコンピューティングデバイスがアプリケーションサーバであり、第3のコンピューティングデバイスがゲートウェイサーバとして働く通信ネットワークにおいて、
    メモリと、
    メモリに結合されたプロセッサであって、
    第1のコンピューティングデバイスから受け取った1つまたは複数のパケットを認証し、
    第2のコンピューティングデバイスが第1のレイヤの識別情報と第2のレイヤの識別情報の関連性を確認することによって第1のコンピューティングデバイスからの1つまたは複数のパケットを認証できるように、1つまたは複数のパケットを第2のコンピューティングデバイスに向けて送る前に、第1のレイヤの識別情報を用いて1つまたは複数のパケットにマークするように動作可能な、プロセッサと
    を備える、装置。
  10. 第1のコンピューティングデバイスがエンドユーザ装置であり、第2のコンピューティングデバイスがゲートウェイサーバであり、第3のコンピューティングデバイスがアプリケーションサーバとして働く通信ネットワークにおいて、
    メモリと、
    メモリに結合されたプロセッサであって、
    第2のコンピューティングデバイスから1つまたは複数のパケットを受け取ることであって、第2のコンピューティングデバイスは第1のコンピューティングデバイスから受け取った1つまたは複数のパケットを認証しており、1つまたは複数のパケットを第3のコンピューティングデバイスに向けて送る前に第1のレイヤの識別情報を用いて1つまたは複数のパケットにマークしてある、パケットを受け取ること、および
    第1のレイヤの識別情報と第2のレイヤの識別情報の関連性を確認することによって第1のコンピューティングデバイスからの1つまたは複数のパケットを認証すること
    を行うように動作可能な、プロセッサと
    を備える、装置。
JP2013512655A 2010-05-28 2011-05-17 パケットネットワークにおけるアプリケーションレイヤ認証 Expired - Fee Related JP5603485B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/790,143 2010-05-28
US12/790,143 US8973125B2 (en) 2010-05-28 2010-05-28 Application layer authentication in packet networks
PCT/US2011/036727 WO2011149704A1 (en) 2010-05-28 2011-05-17 Application layer authentication in packet networks

Publications (2)

Publication Number Publication Date
JP2013533535A true JP2013533535A (ja) 2013-08-22
JP5603485B2 JP5603485B2 (ja) 2014-10-08

Family

ID=44121283

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013512655A Expired - Fee Related JP5603485B2 (ja) 2010-05-28 2011-05-17 パケットネットワークにおけるアプリケーションレイヤ認証

Country Status (6)

Country Link
US (1) US8973125B2 (ja)
EP (1) EP2577932A1 (ja)
JP (1) JP5603485B2 (ja)
KR (1) KR101495412B1 (ja)
CN (1) CN102972002B (ja)
WO (1) WO2011149704A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018524843A (ja) * 2015-05-10 2018-08-30 サイトリックス システムズ,インコーポレイテッド ハイブリッドクラウドサービスのためのパスワードの暗号化

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8776011B2 (en) * 2011-03-31 2014-07-08 Alcatel Lucent Method and apparatus for managing components of application enablement suite
WO2013163634A1 (en) 2012-04-27 2013-10-31 Interdigital Patent Holdings, Inc. Systems and methods for personalizing and/or tailoring a service interface
US8918847B2 (en) * 2012-09-28 2014-12-23 Avaya Inc. Layer 7 authentication using layer 2 or layer 3 authentication
BR112015016050B1 (pt) * 2013-01-03 2022-05-24 Huawei Technologies Co., Ltd Sistemas e métodos para acessar uma rede
US9367676B2 (en) 2013-03-22 2016-06-14 Nok Nok Labs, Inc. System and method for confirming location using supplemental sensor and/or location data
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9887983B2 (en) 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US9961077B2 (en) 2013-05-30 2018-05-01 Nok Nok Labs, Inc. System and method for biometric authentication with device attestation
US9577999B1 (en) 2014-05-02 2017-02-21 Nok Nok Labs, Inc. Enhanced security for registration of authentication devices
US9654469B1 (en) 2014-05-02 2017-05-16 Nok Nok Labs, Inc. Web-based user authentication techniques and applications
US9413533B1 (en) 2014-05-02 2016-08-09 Nok Nok Labs, Inc. System and method for authorizing a new authenticator
US10148630B2 (en) * 2014-07-31 2018-12-04 Nok Nok Labs, Inc. System and method for implementing a hosted authentication service
US9455979B2 (en) 2014-07-31 2016-09-27 Nok Nok Labs, Inc. System and method for establishing trust using secure transmission protocols
US9749131B2 (en) 2014-07-31 2017-08-29 Nok Nok Labs, Inc. System and method for implementing a one-time-password using asymmetric cryptography
US9875347B2 (en) 2014-07-31 2018-01-23 Nok Nok Labs, Inc. System and method for performing authentication using data analytics
US9736154B2 (en) 2014-09-16 2017-08-15 Nok Nok Labs, Inc. System and method for integrating an authentication service within a network architecture
CN107409094B (zh) * 2015-03-25 2018-11-27 英国电讯有限公司 通信路由管理服务器、系统和用于处理路由请求的方法
US10769635B2 (en) 2016-08-05 2020-09-08 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10637853B2 (en) 2016-08-05 2020-04-28 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10237070B2 (en) 2016-12-31 2019-03-19 Nok Nok Labs, Inc. System and method for sharing keys across authenticators
US10091195B2 (en) 2016-12-31 2018-10-02 Nok Nok Labs, Inc. System and method for bootstrapping a user binding
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
US11831409B2 (en) 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
EP3831028A4 (en) * 2018-08-01 2022-05-25 Telefonaktiebolaget Lm Ericsson (Publ) METHODS AND DEVICES FOR IMPROVING AN IP MULTIMEDIA SUBSYSTEM
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication
US11321442B2 (en) * 2020-03-20 2022-05-03 Infineon Technologies Ag Data link layer authenticity and security for automotive communication system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006514476A (ja) * 2003-02-25 2006-04-27 シーメンス アクチエンゲゼルシヤフト 特定の群に対応付け可能なipパケットの分離方法およびipパケット
JP2006113624A (ja) * 2004-10-12 2006-04-27 Hitachi Ltd アクセス制御システム、認証サーバ、アプリケーションサーバ、およびパケット転送装置
JP2008518533A (ja) * 2004-10-26 2008-05-29 テレコム・イタリア・エッセ・ピー・アー モバイルユーザーをトランスペアレントに認証してウェブサービスにアクセスする方法及びシステム
JP2008521076A (ja) * 2004-11-09 2008-06-19 ネトリ,インコーポレーテッド クライアント識別情報をサーバに提供するための装置および方法
JP2012505436A (ja) * 2008-10-10 2012-03-01 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ゲートウェイ装置、認証サーバ、その制御方法及びコンピュータプログラム

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7774828B2 (en) * 2003-03-31 2010-08-10 Alcatel-Lucent Usa Inc. Methods for common authentication and authorization across independent networks
EP1905191B1 (en) * 2005-07-20 2014-09-03 Verimatrix, Inc. Network user authentication system and method
US8104074B2 (en) * 2006-02-24 2012-01-24 Microsoft Corporation Identity providers in digital identity system
US8379638B2 (en) * 2006-09-25 2013-02-19 Certes Networks, Inc. Security encapsulation of ethernet frames
JP5327832B2 (ja) * 2007-05-16 2013-10-30 独立行政法人情報通信研究機構 ノード識別子と位置指示子とを用いたパケットの通信方法
CN101399749B (zh) * 2007-09-27 2012-04-04 华为技术有限公司 一种报文过滤的方法、系统和设备
KR101407573B1 (ko) * 2007-12-18 2014-06-13 한국전자통신연구원 무선 액세스 기술과 이동ip 기반 이동성 제어 기술이적용된 차세대 네트워크 환경을 위한 통합 핸드오버 인증방법
CN101946455B (zh) 2008-02-21 2012-09-05 上海贝尔股份有限公司 用于异构网络的一次通过认证机制和系统
WO2010000298A1 (en) * 2008-06-30 2010-01-07 Nokia Siemens Networks Oy Apparatus, method and program for integrated authentication
US8370509B2 (en) 2009-04-09 2013-02-05 Alcatel Lucent Identity management services provided by network operator
EP2482194B1 (en) 2009-09-25 2013-12-25 Fujitsu Limited Memory system and memory system control method
US8886935B2 (en) * 2010-04-30 2014-11-11 Kabushiki Kaisha Toshiba Key management device, system and method having a rekey mechanism

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006514476A (ja) * 2003-02-25 2006-04-27 シーメンス アクチエンゲゼルシヤフト 特定の群に対応付け可能なipパケットの分離方法およびipパケット
JP2006113624A (ja) * 2004-10-12 2006-04-27 Hitachi Ltd アクセス制御システム、認証サーバ、アプリケーションサーバ、およびパケット転送装置
JP2008518533A (ja) * 2004-10-26 2008-05-29 テレコム・イタリア・エッセ・ピー・アー モバイルユーザーをトランスペアレントに認証してウェブサービスにアクセスする方法及びシステム
JP2008521076A (ja) * 2004-11-09 2008-06-19 ネトリ,インコーポレーテッド クライアント識別情報をサーバに提供するための装置および方法
JP2012505436A (ja) * 2008-10-10 2012-03-01 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ゲートウェイ装置、認証サーバ、その制御方法及びコンピュータプログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018524843A (ja) * 2015-05-10 2018-08-30 サイトリックス システムズ,インコーポレイテッド ハイブリッドクラウドサービスのためのパスワードの暗号化
US10432592B2 (en) 2015-05-10 2019-10-01 Citrix Systems, Inc. Password encryption for hybrid cloud services
US11722465B2 (en) 2015-05-10 2023-08-08 Citrix Systems, Inc. Password encryption for hybrid cloud services

Also Published As

Publication number Publication date
KR20130004598A (ko) 2013-01-11
JP5603485B2 (ja) 2014-10-08
EP2577932A1 (en) 2013-04-10
US20110296518A1 (en) 2011-12-01
WO2011149704A1 (en) 2011-12-01
US8973125B2 (en) 2015-03-03
CN102972002A (zh) 2013-03-13
KR101495412B1 (ko) 2015-02-24
CN102972002B (zh) 2016-03-16

Similar Documents

Publication Publication Date Title
JP5603485B2 (ja) パケットネットワークにおけるアプリケーションレイヤ認証
KR101324325B1 (ko) 네트워크 운영자에 의해 제공되는 id 관리 서비스
US8943321B2 (en) User identity management for permitting interworking of a bootstrapping architecture and a shared identity service
US8572708B2 (en) Method and arrangement for integration of different authentication infrastructures
JP6371644B2 (ja) 単一の登録手順を使用するクライアントのグループの安全な登録
EP2572527B1 (en) Generic bootstrapping architecture usage with web applications and web pages
US8347077B2 (en) Authenticating a registration request with a mobility key provided to an authenticator
WO2019017837A1 (zh) 网络安全管理的方法及装置
US20160380999A1 (en) User Identifier Based Device, Identity and Activity Management System
US20110078442A1 (en) Method, device, system and server for network authentication
JP2008518533A (ja) モバイルユーザーをトランスペアレントに認証してウェブサービスにアクセスする方法及びシステム
Sharma et al. Improved IP multimedia subsystem authentication mechanism for 3G-WLAN networks
Marin-Lopez et al. Network access security for the internet: protocol for carrying authentication for network access
US9326141B2 (en) Internet protocol multimedia subsystem (IMS) authentication for non-IMS subscribers
TW201316792A (zh) 區域網協存取網路元件與終端設備的認證方法與裝置
WO2011070226A1 (en) Smart card security feature profile in home subscriber server
Kostopoulos et al. Security in wireless networks: the FlexiNET approach
Vintilă Potential Applications of IPsec in Next Generation Networks

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140128

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140423

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140624

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20140723

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20140729

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140821

R150 Certificate of patent or registration of utility model

Ref document number: 5603485

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees