JP2014060742A - 認証および鍵一致(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置 - Google Patents

認証および鍵一致(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置 Download PDF

Info

Publication number
JP2014060742A
JP2014060742A JP2013220843A JP2013220843A JP2014060742A JP 2014060742 A JP2014060742 A JP 2014060742A JP 2013220843 A JP2013220843 A JP 2013220843A JP 2013220843 A JP2013220843 A JP 2013220843A JP 2014060742 A JP2014060742 A JP 2014060742A
Authority
JP
Japan
Prior art keywords
user
ticket
kerberos
authentication
session key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013220843A
Other languages
English (en)
Other versions
JP2014060742A5 (ja
Inventor
Faynberg Igor
イゴール・フアインバーグ
Lu Huilan
ホイ−ラン・リウ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia of America Corp
Original Assignee
Alcatel Lucent USA Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Lucent USA Inc filed Critical Alcatel Lucent USA Inc
Publication of JP2014060742A publication Critical patent/JP2014060742A/ja
Publication of JP2014060742A5 publication Critical patent/JP2014060742A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】認証および鍵一致機構に基づくKerberos対応アプリケーションを用い、ユーザアクセスのための認証方法およびシステムを提供する。
【解決手段】ユーザは、ユーザと1つまたは複数のサーバを相互に認証するブートストラッププロトコルに基づく認証および鍵一致機構を使用してまず認証する。ユーザが認証されると、ユーザは、セッション鍵の導出できるようになり、ユーザに、チケット交付サーバへの第1のチケットが提供される。第1のチケットは、セッション鍵を含むことができ、ユーザの身元を確立する事ができる。ブートストラッププロトコルは、汎用ブートトラップアーキテクチャに基づき生成する。
【選択図】図3

Description

本発明は、ユーザ認証技法に関し、より詳細には、Kerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置に関する。
Kerberosは、安全でないネットワークを介して通信するエンティティが安全なやり方で互いに身元を明らかにすることを可能にする認証プロトコルである。Kerberosは、主としてクライアントサーバモデルを対象としており、相互認証を提供する。したがって、ユーザとサーバの両方の身元が検証される。たとえば、それぞれが参照により本明細書に組み込まれる、B.Clifford NeumanおよびTheodore Ts’o、「Kerberos:An Authentication Service for Computer Networks」、IEEE Communications、32(9)、33−38(1994年9月)、またはJohn T.Kohlら、「The Evolution of the Kerberos Authentication System.」Distributed Open Systems、78−94(IEEE Computer Society Press、1994年)、またはC.Neumanら、「RFC 4120:The Kerberos Network Authentication Service(V5)」(2005年)を参照されたい。
Kerberosは、企業環境内の認証機構としてしばしば使用され、IPTVおよびネットワークゲーミングなどの新しいサービスをサポートするためにプロバイダネットワーク内で展開されている。Kerberosは、対称鍵暗号法を基礎とし、鍵配布センタ(KDC:Key Distribution Center)と呼ばれる信頼できる第三者を一般に必要とする。鍵配布センタは一般に、論理的に別個の2つの部分:認証サーバ(AuS:Authentication Server)とチケット交付サーバ(TGS:Ticket Granting Server)とを備える。Kerberosは、ユーザの身元を明らかにするのに役立つ「チケット」に基づいて働く。鍵配布センタは、秘密鍵のデータベースを維持する。ネットワーク上の各エンティティ(たとえばクライアントおよびサーバ)は、それ自体および鍵配布センタにだけ知られている秘密鍵を有する。この鍵についての知識は、エンティティの身元を確立するために使用される。2つのエンティティ間の通信のために、鍵配布センタは、エンティティ間の対話をセキュリティ保護するために使用され得るセッション鍵を生成する。
認証および鍵一致(AKA:AUTHENTICATION AND KEY AGREEMENT)機構は、3G電話ネットワークで現在使用されているセキュリティプロトコルである。AKAは、共有された秘密および対称暗号を使用するチャレンジ−レスポンスに基づく認証機構である。AKAによって、ユーザへの1組のセキュリティサービスの提供を可能にする、ユーザ機器とネットワークの間のセキュリティアソシエーション(すなわち1組のセキュリティデータ)が確立される。
B.Clifford NeumanおよびTheodore Ts’o、「Kerberos:An Authentication Service for Computer Networks」、IEEE Communications、32(9)、33−38(1994年9月) John T.Kohlら、「The Evolution of the Kerberos Authentication System.」Distributed Open Systems、78−94(IEEE Computer Society Press、1994年) C.Neumanら、「RFC 4120:The Kerberos Network Authentication Service(V5)」(2005年) 3GPP規格、GBA(Generic Bootstrapping Architecture) 3GPP TS 33.919 3GPP TS 33.220 3GPP TS 24.109 3GPP TS 29.109 IETF RFC 4120
電気通信および情報技術(IT)サービスが集中し続けるにつれて、AKA認証機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスが求められている。向上したユーザ経験を提供するために、携帯電話など、特定の装置の所有に基づくKerberos対応アプリケーションへの認証されたユーザアクセスがさらに求められている。
一般には、認証および鍵一致機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置が提供される。本発明の一態様によれば、1つまたは複数のKerberos対応アプリケーションに対してユーザを認証するための方法が提供される。ユーザは、ユーザと1つまたは複数のサーバを相互に認証するブートストラッププロトコルに基づいて、認証および鍵一致機構を使用してまず認証される。ユーザが認証されると、ユーザは、セッション鍵を導出できるようになり、ユーザに、チケット交付サーバへの第1のチケットが提供される。第1のチケットは、ユーザの身元を確立し、セッション鍵を含むことができる。
本発明の別の態様によれば、ブートストラッププロトコルは、汎用ブートストラップアーキテクチャに基づくことができる。セッション鍵は、ユーザによって送信された1つまたは複数のデータ要素を暗号化するために使用されてよく、リプレイ攻撃を防止するための有効期間インジケータを有してよい。セッション鍵は、例えば鍵導出関数によって生成されてよい。ユーザは、第1のチケットを使用してチケット交付サーバに対して認証し、次いで、1つまたは複数の所望のアプリケーションサーバへのチケットを要求することができる。第1のチケットは任意選択で、XML文書の一部としてユーザに提供されてよい。
本発明についてのより完全な理解、ならびに本発明のさらなる特徴および利点は、以下の詳細な説明および図面を参照して得られる。
従来の汎用ブートストラップアーキテクチャの概略ブロック図である。 Kerberos対応アプリケーションに対してユーザを認証するための従来の手順を示す図である。 AKA認証を使用したKerberos対応アプリケーションへのアクセスのための本発明の特徴を組み込む認証手順を示す図である。
本発明は、AKA認証機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスを提供する。本発明の一態様によれば、Kerberos環境内の初期ユーザ認証手順は、AKA認証機構の一部を含むように修正される。例示的な一実施形態では、Kerberosユーザ認証手順は、下記に説明される3GPPネットワークの汎用ブートストラップアーキテクチャ(GBA:Generic Bootstrapping Architecture)からのAKA手順の一部を含むように修正される。AKA手順は、とりわけ、一時的ユーザ識別子、セッション鍵、および知られているチケット交付サーバへのチケットとなる。これらのオブジェクトを用いて、次いでユーザは、通常のKerberos手順をたどって、知られているアプリケーションサーバ(AS:Application Server)へのチケットを要求し、チケットを提示することによって最終的にアプリケーションサーバに対して認証され得る。
汎用ブートストラップアーキテクチャ
一般に、汎用ブートストラップアーキテクチャは、以前は互いに知られていなかったユーザ機器とサーバの相互認証、およびその後に秘密セッション鍵などのセキュリティ要素の交換を「ブートストラップする」ためのアプリケーション独立型関数を提供する。汎用ブートストラップアーキテクチャは、たとえば、モバイルテレビサービスなど、認証を必要とするネットワークサービスに対してユーザを認証するために使用され得る。たとえば、それぞれが参照により本明細書に組み込まれる3GPP規格、3GBA(Generic Bootstrapping Architecture)、3GPP TS 33.919、33.220、24.109、29.109)を参照されたい。
図1は、従来の汎用ブートストラップアーキテクチャ100の概略ブロック図である。図1に示されたように、汎用ブートストラップアーキテクチャ100は一般に、移動ネットワークを介してネットワークアプリケーション機能150にアクセスするように試みるユーザ機器(UE:user equipment)130を含む。ユーザ機器130は、たとえば、ネットワークアプリケーション機能150によって提供されたモバイルTVなど、特定のサービスにアクセスしようとする移動携帯電話として具現化され得る。汎用ブートストラップアーキテクチャ100によれば、ブートストラップサーバ機能(BSF:Bootstrapping Server Function)120は、ユーザ機器130とネットワークアプリケーション機能150の間のセキュリティ関係を確立する。以下に説明されるように、ネットワークサービスプロバイダによって提供されるホーム加入者サーバ(HSS:Home Subscriber Server)110は、ユーザプロファイルを格納する。
ユーザ機器130が、ネットワークアプリケーション機能150によって提供されたサービスにアクセスしようとするとき、ネットワークアプリケーション機能150は、ユーザ機器130にブートストラップサーバ機能120を参照させる。ユーザ機器130とBSF 120は、3GPP AKA手順を使用して互いに認証する。さらに、BSF 120は、HSS 110に、関連する問合せを送信する。その後、ユーザ機器130およびBSF 120は、アプリケーションサーバ(NAF 150)に対してユーザ機器130自体を認証するためにセッション鍵がユーザ機器130によって使用されることに一致する。
Kerberos認証
上記に示されたように、Kerberosは一般に、本明細書では鍵配布センタ220と呼ばれる信頼できる第三者を必要とする。鍵配布センタ220は一般に、認証サーバ230とチケット交付サーバ240とを備える。図2は、アプリケーションサーバ250によって提供された、Kerberos対応アプリケーションへのアクセスのためのユーザ210と認証サーバ230の間の共有秘密鍵に基づいてユーザを認証するための従来の手順を示している。
図2に示されるように、ステップ1の間、ユーザ210は、身元を明らかにし、本物であることの証として量K(timestamp)を提示し、TGS 240へのチケットを要求する。量K(timestamp)は、Kで暗号化されたタイムスタンプである。次いで、ステップ2の間、ユーザ210の認証が成功すると、AuS 230は、ユーザとTGS 240の間で使用するためのセッション鍵、KU−TGS、およびKTGSで具現化されるように暗号化されるチケット部分(User,KU−TGS…)を返信する。図2に示されたように、鍵はKで暗号化され、チケットは、AuS 230を認証するKTGSで暗号化される。
ステップ3の間、ユーザは、TGS 240に身元を明らかにし、本物であることの証として量KU−TGS(timestamp)を提示し、その一部がKTGS(User,KU−TGS…)として暗号化され示されたTGSチケットを提示し、アプリケーションサーバ250へのチケットを要求する。ステップ4の間、TGS 240は、ユーザ210の認証に成功すると、ユーザ210とAS 250の間で使用するためのセッション鍵KU−AS、およびその一部がKAS(User,KU−AS…)として暗号化され示されたASチケットを返信する。
ステップ5の間、ユーザ210は、AS 250に身元を明らかにし、本物であることの証として量KU−AS(timestamp)を提示し、その一部がKAS(User,KU−AS)として暗号化され示されたASチケットを提示する。
ステップ6の間、AS 250は、量KU−AS(timestamp)に基づくユーザ210の認証に成功すると、任意選択でユーザ210にそれ自体を認証する。
AKAに基づくKerberos認証
上記に示されたように、本発明は、AKA認証機構に基づいてKerberos対応アプリケーションへの認証されたユーザアクセスを提供する。Kerberosの初期ユーザ認証手順は、AKA認証機構の一部を含むように修正される。例示的な一実施形態では、Kerberosユーザ認証手順は、図1の汎用ブートストラップアーキテクチャ100からのAKA手順の一部を含むように修正される。開示されたAKA手順は、とりわけ、一時的ユーザ識別子、セッション鍵、およびチケット交付サーバ240へのチケットとなる。図2に関連して上記で説明されたように、これらのオブジェクトを用いて、ユーザ210は、通常のKerberos手順をたどって、アプリケーションサーバ250へのチケットを要求し、チケットを提示することによって最終的にアプリケーションサーバに対して認証され得る。
本発明の例示的な実施形態は、図2に関連して上記に説明されたKerberos認証手順からのステップ1および2を、GBA 100内のAKA関連の手順で置き換える。さらに、AuS 230は、GBA 100内に定義されたブートストラップサーバ機能120によって包含される。したがって、ブートストラップサーバ機能120は、UE 130に応答してチケットを作成し、チケットを包めることを可能にするように拡張される。
図3は、AKA認証を使用したKerberos対応アプリケーションへのアクセスのための本発明の特徴を組み込む認証手順を示している。図3に示されたように、チケット交付サーバ(TGS)340およびアプリケーションサーバ(AS)350は、図2の対応する要素と同じように具体化され得る。さらに、図2に関連して上記に説明されたように、ステップ370の間のユーザ310とチケット交付サーバ340の間の対話、およびステップ380の間のユーザ310とアプリケーションサーバ350の間の対話は、Kerberos手順に従って実施されてよい。
一般に、図1に関連して上記に説明されたように、ステップ360の間のユーザ310とホーム加入者サーバ320とブートストラップサーバ機能330との間の対話は、GBA手順に従って実施されてよい。以下に説明されるように、ステップ360の間のユーザ310とBSF 330の間の対話は、本発明によるAKAに基づくユーザ310の認証、次いで秘密セッション鍵など、複数のセキュリティ要素の最終的な導出を可能にする。図3に示されるように、ステップ360の間のユーザ310とBSF 330の間の例示的な対話は、図1に関連して上記に説明されたように、ブートストラッププロトコル(たとえばHTTPダイジェストAKA)に従って実施されてよい。
ステップ360の間に導出された例示的なセキュリティ要素は以下を含む:
・匿名が望まれる場合、Kerberos対話を保証する際にユーザ識別子(すなわちUser)として使用され得る一時ユーザ識別子(B−TID)。
・リプレイ攻撃を防止するための鍵有効期間。
・マスタセッション鍵、K。恐らくUserの身元、TGSの身元および他のパラメータと共にこの鍵、Kに基づいて、鍵導出関数(KDF:Key Derivation Function)は、ユーザ310とTGS 340の間でセッション鍵、KU−TGSを導出することができる。
・たとえばIETF RFC 4120に指定された形のTGS340へのチケット。
鍵導出関数は、たとえば、参照により本明細書に組み込まれる、3GPP技術仕様TS 33.220の付録B(規範)中の説明に基づくことができる。
ステップ360の間、鍵有効期間、一時的ユーザ識別子およびチケットは、BSF 330からユーザ310への応答の一部としてXML文書内で運ばれ得ることに留意されたい。応答360の後、通常のKerberos手順が続く。
結論
図3は、例示的なステップ順序を示しているが、順序が変更され得るのも、本発明の一実施形態である。アルゴリズムの様々な置換形態が、本発明の代替実施形態として想到されている。
本発明の例示的な実施形態についてソフトウェアプログラムの処理ステップに関して述べられたが、当業者には明らかなように、様々な機能は、デジタル領域で、処理ステップとしてソフトウェアプログラムで、回路素子またはステートマシンによってハードウェアで、あるいはソフトウェアとハードウェアの両方の組合せで実施されてよい。こうしたソフトウェアは、たとえばデジタル信号プロセッサ、マイクロコントローラまたは汎用コンピュータで使用されてよい。こうしたハードウェアおよびソフトウェアは、集積回路内で実装された回路内で具現化されてよい。
したがって、本発明の諸機能は、それらの方法を実施するための方法および装置の形で具現化されてよい。本発明の1つまたは複数の態様は、たとえば記憶媒体内に格納され、マシンによってロードされかつ/または実行されようが、何らかの伝送媒体を介して送信されようが、プログラムコードの形で具現化されてよく、プログラムコードがコンピュータなどのマシンにロードされ、マシンによって実行されるとき、マシンは、本発明を実施するための装置になる。汎用プロセッサ上で実装されるとき、プログラムコードセグメントは、特定の論理回路に類似のやり方で動作する装置を提供するためにプロセッサと結合する。本発明は、集積回路、デジタル信号プロセッサ、マイクロプロセッサおよびマイクロコントローラのうちの1つまたは複数で実施されることもできる。
システムおよび製品の詳細
当技術分野ではよく知られているように、本明細書に説明された方法および装置は、その中にコンピュータ読取り可能手段が具現化されたコンピュータ読取り可能媒体をそれ自体が備える製品として配布されてよい。コンピュータ読取り可能プログラムコード手段は、コンピュータシステムと共に、すべてのまたは一部のステップを実行して、諸方法を実施し、または本明細書に説明された装置を作成するように動作することができる。コンピュータ読取り可能媒体は、記録可能な媒体(たとえばフロッピー(登録商標)ディスク、ハードドライブ、コンパクトディスク、メモリカード、半導体デバイス、チップ、特定用途向け集積回路(ASIC:application specific integrated circuit))であってもよいし、伝送媒体(たとえば時分割多元接続、符号分割多元接続または他の無線周波数チャネルを使用した光ファイバ、ワールドワイドウェブ、ケーブルまたは無線チャネルを備えるネットワーク)であってもよい。コンピュータシステムで使用するのに適した情報を格納できる、知られているまたは開発された任意の媒体が使用されてよい。コンピュータ読取り可能コード手段は、磁気媒体上の磁気変化、またはコンパクトディスクの表面上の高さの変化など、コンピュータが命令およびデータを読み取ることを可能にするための任意の機構である。
本明細書に述べられたコンピュータシステムおよびサーバはそれぞれ、関連するプロセッサを、本明細書に開示された方法、ステップおよび機能を実施するように構成するメモリを含む。メモリは、分散型であっても、局所型であってもよいし、プロセッサは、分散型であっても、単体型であってもよい。メモリは、電気、磁気または光メモリ、あるいはこれらの任意の組合せまたは他のタイプの記憶装置として実装されてよい。さらに、用語「メモリ」は、関連するプロセッサによってアクセスされるアドレス可能空間内のアドレスからの読出し、またはそこへの書込みが可能ないずれの情報をも包含できるほど広く解釈されるべきである。この定義では、ネットワーク上の情報は、関連するプロセッサがネットワークから情報を取り出すことができるので、やはりメモリ内にある。
本明細書に示され述べられた諸実施形態および変形形態は、本発明の諸原理を例示すものにすぎず、本発明の範囲および精神から逸脱せずに、当業者によって様々な修正が実施されてよいことを理解されたい。

Claims (10)

  1. 1つまたは複数のKerberos対応アプリケーションに対してユーザを認証するための方法であって、
    前記ユーザおよび1つまたは複数のサーバを相互に認証するブートストラッププロトコルに基づいて認証および鍵一致機構を使用して前記ユーザを認証するステップと、
    前記ユーザを認証すると、前記ユーザがセッション鍵を導出することを可能にし、チケット交付サーバへの第1のチケットを前記ユーザに提供するステップであって、前記チケット交付サーバが、1つまたは複数のKerberos対応アプリケーションを提供する1つまたは複数のアプリケーションサーバへのチケットを提供する、ステップとを備える、方法。
  2. 前記第1のチケットが前記ユーザの身元を確立する、請求項1に記載の方法。
  3. 前記第1のチケットが前記セッション鍵を含む、請求項1に記載の方法。
  4. 前記セッション鍵が、前記ユーザによって送信された1つまたは複数のデータ要素を暗号化するために使用される、請求項1に記載の方法。
  5. 前記セッション鍵が、リプレイ攻撃を防止するための有効期間インジケータを有する、請求項1に記載の方法。
  6. 前記ユーザが、前記第1のチケットを使用して前記チケット交付サーバに対して認証し、1つまたは複数の所望のアプリケーションサーバへの前記チケットを要求する、請求項1に記載の方法。
  7. 1つまたは複数のKerberos対応アプリケーションに対してユーザを認証するための装置であって、
    メモリと、
    前記ユーザおよび1つまたは複数のサーバを相互に認証するブートストラッププロトコルに基づいて認証および鍵一致機構を使用して前記ユーザを認証し、
    前記ユーザが前記認証されると、前記ユーザがセッション鍵を導出することを可能にし、チケット交付サーバへの第1のチケットを前記ユーザに提供する
    ように動作可能である、前記メモリに結合された、少なくとも1つのプロセッサを備え、前記チケット交付サーバが、1つまたは複数のKerberos対応アプリケーションを提供する1つまたは複数のアプリケーションサーバへのチケットを提供する、装置。
  8. 前記セッション鍵が、前記ユーザによって送信された1つまたは複数のデータ要素を暗号化するために使用される、請求項7に記載の装置。
  9. 前記セッション鍵が、リプレイ攻撃を防止するための有効期間インジケータを有する、請求項7に記載の方法。
  10. 前記ユーザが、前記第1のチケットを使用して前記チケット交付サーバに対して認証し、1つまたは複数の所望のアプリケーションサーバへの前記チケットを要求する、請求項7に記載の装置
JP2013220843A 2008-04-10 2013-10-24 認証および鍵一致(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置 Pending JP2014060742A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/100,777 US20090259849A1 (en) 2008-04-10 2008-04-10 Methods and Apparatus for Authenticated User-Access to Kerberos-Enabled Applications Based on an Authentication and Key Agreement (AKA) Mechanism
US12/100,777 2008-04-10

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2011503969A Division JP2011524652A (ja) 2008-04-10 2009-03-26 認証および鍵一致(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2015167710A Division JP2016021765A (ja) 2008-04-10 2015-08-27 認証および鍵合意(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置

Publications (2)

Publication Number Publication Date
JP2014060742A true JP2014060742A (ja) 2014-04-03
JP2014060742A5 JP2014060742A5 (ja) 2015-04-09

Family

ID=41162430

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2011503969A Pending JP2011524652A (ja) 2008-04-10 2009-03-26 認証および鍵一致(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置
JP2013220843A Pending JP2014060742A (ja) 2008-04-10 2013-10-24 認証および鍵一致(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置
JP2015167710A Pending JP2016021765A (ja) 2008-04-10 2015-08-27 認証および鍵合意(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2011503969A Pending JP2011524652A (ja) 2008-04-10 2009-03-26 認証および鍵一致(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2015167710A Pending JP2016021765A (ja) 2008-04-10 2015-08-27 認証および鍵合意(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置

Country Status (6)

Country Link
US (1) US20090259849A1 (ja)
EP (1) EP2266288A2 (ja)
JP (3) JP2011524652A (ja)
KR (1) KR20100133469A (ja)
CN (1) CN101990751A (ja)
WO (1) WO2009126210A2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102111759A (zh) * 2009-12-28 2011-06-29 中国移动通信集团公司 一种认证方法、系统和装置
US8978100B2 (en) * 2011-03-14 2015-03-10 Verizon Patent And Licensing Inc. Policy-based authentication
GB2512062A (en) 2013-03-18 2014-09-24 Ibm A method for secure user authentication in a dynamic network
CN105409249B (zh) * 2013-05-06 2019-03-01 康维达无线有限责任公司 机器对机器自举引导
US11349675B2 (en) * 2013-10-18 2022-05-31 Alcatel-Lucent Usa Inc. Tamper-resistant and scalable mutual authentication for machine-to-machine devices
CN104660583B (zh) * 2014-12-29 2018-05-29 国家电网公司 一种基于Web加密服务的加密服务方法
CN107659406B (zh) * 2016-07-25 2021-06-01 华为技术有限公司 一种资源操作方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007085175A1 (fr) * 2006-01-24 2007-08-02 Huawei Technologies Co., Ltd. Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI115098B (fi) * 2000-12-27 2005-02-28 Nokia Corp Todentaminen dataviestinnässä
EP1288765B1 (en) * 2001-09-04 2007-11-21 Telefonaktiebolaget LM Ericsson (publ) Universal authentication mechanism
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
US7571463B1 (en) * 2003-01-24 2009-08-04 Nortel Networks Limited Method an apparatus for providing a scalable and secure network without point to point associations
JP2006011989A (ja) * 2004-06-28 2006-01-12 Ntt Docomo Inc 認証方法、端末装置、中継装置及び認証サーバ
US8332923B2 (en) * 2007-01-19 2012-12-11 Toshiba America Research, Inc. Kerberized handover keying
US8707416B2 (en) * 2007-01-19 2014-04-22 Toshiba America Research, Inc. Bootstrapping kerberos from EAP (BKE)
US8817990B2 (en) * 2007-03-01 2014-08-26 Toshiba America Research, Inc. Kerberized handover keying improvements
US8516566B2 (en) * 2007-10-25 2013-08-20 Apple Inc. Systems and methods for using external authentication service for Kerberos pre-authentication

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007085175A1 (fr) * 2006-01-24 2007-08-02 Huawei Technologies Co., Ltd. Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile

Also Published As

Publication number Publication date
JP2016021765A (ja) 2016-02-04
WO2009126210A3 (en) 2010-03-11
US20090259849A1 (en) 2009-10-15
KR20100133469A (ko) 2010-12-21
EP2266288A2 (en) 2010-12-29
JP2011524652A (ja) 2011-09-01
CN101990751A (zh) 2011-03-23
WO2009126210A2 (en) 2009-10-15

Similar Documents

Publication Publication Date Title
EP3752941B1 (en) Security management for service authorization in communication systems with service-based architecture
US10645583B2 (en) Security management for roaming service authorization in communication systems with service-based architecture
US20200344063A1 (en) Authentication method, authentication apparatus, and authentication system
CA2463034C (en) Method and system for providing client privacy when requesting content from a public server
US10411884B2 (en) Secure bootstrapping architecture method based on password-based digest authentication
US9191814B2 (en) Communications device authentication
ES2769528T3 (es) Autentificación de usuarios
WO2017028593A1 (zh) 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质
JP2016021765A (ja) 認証および鍵合意(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置
US20060059344A1 (en) Service authentication
JP5524176B2 (ja) Ipベースの電話環境における公開鍵インフラストラクチャ(pki)を使用した認証およびアイデンティティ管理のための方法および装置
JP2013504832A (ja) 信頼できる認証およびログオンのための方法および装置
CN115865520B (zh) 移动云服务环境中具有隐私保护的认证和访问控制方法
US20090136043A1 (en) Method and apparatus for performing key management and key distribution in wireless networks
JP2017139026A (ja) 信頼できる認証およびログオンのための方法および装置
JP2015111440A (ja) 信頼できる認証およびログオンのための方法および装置
CN114915494B (zh) 一种匿名认证的方法、系统、设备和存储介质
WO2020037958A1 (zh) 基于gba的客户端注册和密钥共享方法、装置及系统
KR20100054191A (ko) 3지 네트워크에서 효율적인 인증 관리를 위한 개선된 3 지피피 - 에이케이에이 방법

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140819

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20141111

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20141114

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150217

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20150217

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150428