JP2014060742A - 認証および鍵一致(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置 - Google Patents
認証および鍵一致(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置 Download PDFInfo
- Publication number
- JP2014060742A JP2014060742A JP2013220843A JP2013220843A JP2014060742A JP 2014060742 A JP2014060742 A JP 2014060742A JP 2013220843 A JP2013220843 A JP 2013220843A JP 2013220843 A JP2013220843 A JP 2013220843A JP 2014060742 A JP2014060742 A JP 2014060742A
- Authority
- JP
- Japan
- Prior art keywords
- user
- ticket
- kerberos
- authentication
- session key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
【解決手段】ユーザは、ユーザと1つまたは複数のサーバを相互に認証するブートストラッププロトコルに基づく認証および鍵一致機構を使用してまず認証する。ユーザが認証されると、ユーザは、セッション鍵の導出できるようになり、ユーザに、チケット交付サーバへの第1のチケットが提供される。第1のチケットは、セッション鍵を含むことができ、ユーザの身元を確立する事ができる。ブートストラッププロトコルは、汎用ブートトラップアーキテクチャに基づき生成する。
【選択図】図3
Description
一般に、汎用ブートストラップアーキテクチャは、以前は互いに知られていなかったユーザ機器とサーバの相互認証、およびその後に秘密セッション鍵などのセキュリティ要素の交換を「ブートストラップする」ためのアプリケーション独立型関数を提供する。汎用ブートストラップアーキテクチャは、たとえば、モバイルテレビサービスなど、認証を必要とするネットワークサービスに対してユーザを認証するために使用され得る。たとえば、それぞれが参照により本明細書に組み込まれる3GPP規格、3GBA(Generic Bootstrapping Architecture)、3GPP TS 33.919、33.220、24.109、29.109)を参照されたい。
上記に示されたように、Kerberosは一般に、本明細書では鍵配布センタ220と呼ばれる信頼できる第三者を必要とする。鍵配布センタ220は一般に、認証サーバ230とチケット交付サーバ240とを備える。図2は、アプリケーションサーバ250によって提供された、Kerberos対応アプリケーションへのアクセスのためのユーザ210と認証サーバ230の間の共有秘密鍵に基づいてユーザを認証するための従来の手順を示している。
上記に示されたように、本発明は、AKA認証機構に基づいてKerberos対応アプリケーションへの認証されたユーザアクセスを提供する。Kerberosの初期ユーザ認証手順は、AKA認証機構の一部を含むように修正される。例示的な一実施形態では、Kerberosユーザ認証手順は、図1の汎用ブートストラップアーキテクチャ100からのAKA手順の一部を含むように修正される。開示されたAKA手順は、とりわけ、一時的ユーザ識別子、セッション鍵、およびチケット交付サーバ240へのチケットとなる。図2に関連して上記で説明されたように、これらのオブジェクトを用いて、ユーザ210は、通常のKerberos手順をたどって、アプリケーションサーバ250へのチケットを要求し、チケットを提示することによって最終的にアプリケーションサーバに対して認証され得る。
・匿名が望まれる場合、Kerberos対話を保証する際にユーザ識別子(すなわちUser)として使用され得る一時ユーザ識別子(B−TID)。
・リプレイ攻撃を防止するための鍵有効期間。
・マスタセッション鍵、KS。恐らくUserの身元、TGSの身元および他のパラメータと共にこの鍵、KSに基づいて、鍵導出関数(KDF:Key Derivation Function)は、ユーザ310とTGS 340の間でセッション鍵、KU−TGSを導出することができる。
・たとえばIETF RFC 4120に指定された形のTGS340へのチケット。
図3は、例示的なステップ順序を示しているが、順序が変更され得るのも、本発明の一実施形態である。アルゴリズムの様々な置換形態が、本発明の代替実施形態として想到されている。
当技術分野ではよく知られているように、本明細書に説明された方法および装置は、その中にコンピュータ読取り可能手段が具現化されたコンピュータ読取り可能媒体をそれ自体が備える製品として配布されてよい。コンピュータ読取り可能プログラムコード手段は、コンピュータシステムと共に、すべてのまたは一部のステップを実行して、諸方法を実施し、または本明細書に説明された装置を作成するように動作することができる。コンピュータ読取り可能媒体は、記録可能な媒体(たとえばフロッピー(登録商標)ディスク、ハードドライブ、コンパクトディスク、メモリカード、半導体デバイス、チップ、特定用途向け集積回路(ASIC:application specific integrated circuit))であってもよいし、伝送媒体(たとえば時分割多元接続、符号分割多元接続または他の無線周波数チャネルを使用した光ファイバ、ワールドワイドウェブ、ケーブルまたは無線チャネルを備えるネットワーク)であってもよい。コンピュータシステムで使用するのに適した情報を格納できる、知られているまたは開発された任意の媒体が使用されてよい。コンピュータ読取り可能コード手段は、磁気媒体上の磁気変化、またはコンパクトディスクの表面上の高さの変化など、コンピュータが命令およびデータを読み取ることを可能にするための任意の機構である。
Claims (10)
- 1つまたは複数のKerberos対応アプリケーションに対してユーザを認証するための方法であって、
前記ユーザおよび1つまたは複数のサーバを相互に認証するブートストラッププロトコルに基づいて認証および鍵一致機構を使用して前記ユーザを認証するステップと、
前記ユーザを認証すると、前記ユーザがセッション鍵を導出することを可能にし、チケット交付サーバへの第1のチケットを前記ユーザに提供するステップであって、前記チケット交付サーバが、1つまたは複数のKerberos対応アプリケーションを提供する1つまたは複数のアプリケーションサーバへのチケットを提供する、ステップとを備える、方法。 - 前記第1のチケットが前記ユーザの身元を確立する、請求項1に記載の方法。
- 前記第1のチケットが前記セッション鍵を含む、請求項1に記載の方法。
- 前記セッション鍵が、前記ユーザによって送信された1つまたは複数のデータ要素を暗号化するために使用される、請求項1に記載の方法。
- 前記セッション鍵が、リプレイ攻撃を防止するための有効期間インジケータを有する、請求項1に記載の方法。
- 前記ユーザが、前記第1のチケットを使用して前記チケット交付サーバに対して認証し、1つまたは複数の所望のアプリケーションサーバへの前記チケットを要求する、請求項1に記載の方法。
- 1つまたは複数のKerberos対応アプリケーションに対してユーザを認証するための装置であって、
メモリと、
前記ユーザおよび1つまたは複数のサーバを相互に認証するブートストラッププロトコルに基づいて認証および鍵一致機構を使用して前記ユーザを認証し、
前記ユーザが前記認証されると、前記ユーザがセッション鍵を導出することを可能にし、チケット交付サーバへの第1のチケットを前記ユーザに提供する
ように動作可能である、前記メモリに結合された、少なくとも1つのプロセッサを備え、前記チケット交付サーバが、1つまたは複数のKerberos対応アプリケーションを提供する1つまたは複数のアプリケーションサーバへのチケットを提供する、装置。 - 前記セッション鍵が、前記ユーザによって送信された1つまたは複数のデータ要素を暗号化するために使用される、請求項7に記載の装置。
- 前記セッション鍵が、リプレイ攻撃を防止するための有効期間インジケータを有する、請求項7に記載の方法。
- 前記ユーザが、前記第1のチケットを使用して前記チケット交付サーバに対して認証し、1つまたは複数の所望のアプリケーションサーバへの前記チケットを要求する、請求項7に記載の装置
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/100,777 US20090259849A1 (en) | 2008-04-10 | 2008-04-10 | Methods and Apparatus for Authenticated User-Access to Kerberos-Enabled Applications Based on an Authentication and Key Agreement (AKA) Mechanism |
US12/100,777 | 2008-04-10 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011503969A Division JP2011524652A (ja) | 2008-04-10 | 2009-03-26 | 認証および鍵一致(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015167710A Division JP2016021765A (ja) | 2008-04-10 | 2015-08-27 | 認証および鍵合意(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014060742A true JP2014060742A (ja) | 2014-04-03 |
JP2014060742A5 JP2014060742A5 (ja) | 2015-04-09 |
Family
ID=41162430
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011503969A Pending JP2011524652A (ja) | 2008-04-10 | 2009-03-26 | 認証および鍵一致(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置 |
JP2013220843A Pending JP2014060742A (ja) | 2008-04-10 | 2013-10-24 | 認証および鍵一致(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置 |
JP2015167710A Pending JP2016021765A (ja) | 2008-04-10 | 2015-08-27 | 認証および鍵合意(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011503969A Pending JP2011524652A (ja) | 2008-04-10 | 2009-03-26 | 認証および鍵一致(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015167710A Pending JP2016021765A (ja) | 2008-04-10 | 2015-08-27 | 認証および鍵合意(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20090259849A1 (ja) |
EP (1) | EP2266288A2 (ja) |
JP (3) | JP2011524652A (ja) |
KR (1) | KR20100133469A (ja) |
CN (1) | CN101990751A (ja) |
WO (1) | WO2009126210A2 (ja) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102111759A (zh) * | 2009-12-28 | 2011-06-29 | 中国移动通信集团公司 | 一种认证方法、系统和装置 |
US8978100B2 (en) * | 2011-03-14 | 2015-03-10 | Verizon Patent And Licensing Inc. | Policy-based authentication |
GB2512062A (en) | 2013-03-18 | 2014-09-24 | Ibm | A method for secure user authentication in a dynamic network |
CN105409249B (zh) * | 2013-05-06 | 2019-03-01 | 康维达无线有限责任公司 | 机器对机器自举引导 |
US11349675B2 (en) * | 2013-10-18 | 2022-05-31 | Alcatel-Lucent Usa Inc. | Tamper-resistant and scalable mutual authentication for machine-to-machine devices |
CN104660583B (zh) * | 2014-12-29 | 2018-05-29 | 国家电网公司 | 一种基于Web加密服务的加密服务方法 |
CN107659406B (zh) * | 2016-07-25 | 2021-06-01 | 华为技术有限公司 | 一种资源操作方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007085175A1 (fr) * | 2006-01-24 | 2007-08-02 | Huawei Technologies Co., Ltd. | Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI115098B (fi) * | 2000-12-27 | 2005-02-28 | Nokia Corp | Todentaminen dataviestinnässä |
EP1288765B1 (en) * | 2001-09-04 | 2007-11-21 | Telefonaktiebolaget LM Ericsson (publ) | Universal authentication mechanism |
US7523490B2 (en) * | 2002-05-15 | 2009-04-21 | Microsoft Corporation | Session key security protocol |
US7571463B1 (en) * | 2003-01-24 | 2009-08-04 | Nortel Networks Limited | Method an apparatus for providing a scalable and secure network without point to point associations |
JP2006011989A (ja) * | 2004-06-28 | 2006-01-12 | Ntt Docomo Inc | 認証方法、端末装置、中継装置及び認証サーバ |
US8332923B2 (en) * | 2007-01-19 | 2012-12-11 | Toshiba America Research, Inc. | Kerberized handover keying |
US8707416B2 (en) * | 2007-01-19 | 2014-04-22 | Toshiba America Research, Inc. | Bootstrapping kerberos from EAP (BKE) |
US8817990B2 (en) * | 2007-03-01 | 2014-08-26 | Toshiba America Research, Inc. | Kerberized handover keying improvements |
US8516566B2 (en) * | 2007-10-25 | 2013-08-20 | Apple Inc. | Systems and methods for using external authentication service for Kerberos pre-authentication |
-
2008
- 2008-04-10 US US12/100,777 patent/US20090259849A1/en not_active Abandoned
-
2009
- 2009-03-26 JP JP2011503969A patent/JP2011524652A/ja active Pending
- 2009-03-26 KR KR1020107025071A patent/KR20100133469A/ko not_active Application Discontinuation
- 2009-03-26 WO PCT/US2009/001922 patent/WO2009126210A2/en active Application Filing
- 2009-03-26 CN CN200980112663XA patent/CN101990751A/zh active Pending
- 2009-03-26 EP EP09730664A patent/EP2266288A2/en not_active Withdrawn
-
2013
- 2013-10-24 JP JP2013220843A patent/JP2014060742A/ja active Pending
-
2015
- 2015-08-27 JP JP2015167710A patent/JP2016021765A/ja active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007085175A1 (fr) * | 2006-01-24 | 2007-08-02 | Huawei Technologies Co., Ltd. | Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile |
Also Published As
Publication number | Publication date |
---|---|
JP2016021765A (ja) | 2016-02-04 |
WO2009126210A3 (en) | 2010-03-11 |
US20090259849A1 (en) | 2009-10-15 |
KR20100133469A (ko) | 2010-12-21 |
EP2266288A2 (en) | 2010-12-29 |
JP2011524652A (ja) | 2011-09-01 |
CN101990751A (zh) | 2011-03-23 |
WO2009126210A2 (en) | 2009-10-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3752941B1 (en) | Security management for service authorization in communication systems with service-based architecture | |
US10645583B2 (en) | Security management for roaming service authorization in communication systems with service-based architecture | |
US20200344063A1 (en) | Authentication method, authentication apparatus, and authentication system | |
CA2463034C (en) | Method and system for providing client privacy when requesting content from a public server | |
US10411884B2 (en) | Secure bootstrapping architecture method based on password-based digest authentication | |
US9191814B2 (en) | Communications device authentication | |
ES2769528T3 (es) | Autentificación de usuarios | |
WO2017028593A1 (zh) | 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质 | |
JP2016021765A (ja) | 認証および鍵合意(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置 | |
US20060059344A1 (en) | Service authentication | |
JP5524176B2 (ja) | Ipベースの電話環境における公開鍵インフラストラクチャ(pki)を使用した認証およびアイデンティティ管理のための方法および装置 | |
JP2013504832A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
CN115865520B (zh) | 移动云服务环境中具有隐私保护的认证和访问控制方法 | |
US20090136043A1 (en) | Method and apparatus for performing key management and key distribution in wireless networks | |
JP2017139026A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
JP2015111440A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
CN114915494B (zh) | 一种匿名认证的方法、系统、设备和存储介质 | |
WO2020037958A1 (zh) | 基于gba的客户端注册和密钥共享方法、装置及系统 | |
KR20100054191A (ko) | 3지 네트워크에서 효율적인 인증 관리를 위한 개선된 3 지피피 - 에이케이에이 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140819 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20141111 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20141114 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150217 |
|
A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20150217 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20150428 |