JP2014507855A - 信頼できないネットワークを介した外部認証サポート - Google Patents

信頼できないネットワークを介した外部認証サポート Download PDF

Info

Publication number
JP2014507855A
JP2014507855A JP2013548756A JP2013548756A JP2014507855A JP 2014507855 A JP2014507855 A JP 2014507855A JP 2013548756 A JP2013548756 A JP 2013548756A JP 2013548756 A JP2013548756 A JP 2013548756A JP 2014507855 A JP2014507855 A JP 2014507855A
Authority
JP
Japan
Prior art keywords
authentication
user device
binding update
request
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013548756A
Other languages
English (en)
Inventor
アンデルス ヤン オロフ カル
ジョルジ タマス ヴォルフネル
ヨウニ コルホネン
Original Assignee
ノキア シーメンス ネットワークス オサケユキチュア
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ノキア シーメンス ネットワークス オサケユキチュア filed Critical ノキア シーメンス ネットワークス オサケユキチュア
Publication of JP2014507855A publication Critical patent/JP2014507855A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/04Addressing variable-length words or parts of words
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

信頼できないアクセスネットワークを介した外部パケットデータネットワークに対する認証をサポートする方法であって、鍵情報交換メカニズムの認証要求であるとともに認証データを含む第1の認証要求に応答して、セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対してユーザ装置を認証するステップと、ユーザ装置を通信ネットワークの外部のパケットデータネットワークに対して認証するための第2の認証要求を受け取るステップとを例示的に含む方法を提供する。この方法は、ユーザ装置から受け取った認証データ及びユーザの識別情報を含むバインディングアップデートメッセージを作成するステップをさらに含むことができる。
【選択図】図3

Description

本発明は、例えば信頼できない非3GPPネットワークなどの信頼できないネットワークを介した外部認証サポートのための装置、方法及びコンピュータプログラム製品に関する。
本明細書で使用する略語には、次の意味を適用する。
3GPP:第3世代パートナーシッププロジェクト
AAA:認証、許可及びアカウンティング
APN:アクセスポイント名
CHAP:チャレンジハンドシェイク認証プロトコル
EAP:拡張可能認証プロトコル
EAP−GTC:EAP汎用トークンカード
eNode−B:LTE基地局(eNBとも呼ぶ)
EPC:進化型パケットコア
EPS:進化型パケットシステム
ePDG:進化型パケットデータゲートウェイ
GGSN:ゲートウェイGPRSサポートノード
GPRS:汎用パケット無線サービス
GTPv2:GPRSトンネリングプロトコルバージョン2
IDi:識別イニシエータ
IDr:識別レスポンダ
IETF:インターネット技術標準化委員会
IKEv2:インターネット鍵交換バージョン2
IP:インターネットプロトコル
IPSec:インターネットプロトコルセキュリティ
LCP:リンク制御プロトコル
LTE:ロングタームエボリューション
LTE−A:LTE−Advanced
MN:移動ノード
MS ISDN:移動局統合サービスデータネットワーク
MT:移動端末
PAP:パスワード認証プロトコル
PCO:プロトコル構成オプション
PDG:パケットデータゲートウェイ
PDN:パケットデータネットワーク
PDP:パケットデータプロトコル
PGW:PDNゲートウェイ(PDN GW)
PMIPvβ:プロキシMIPv6
PPP:ポイント・ツー・ポイント・プロトコル
TE:端末装置
UE:ユーザ装置
本明細書は、基本的には3GPP進化型パケットシステム(EPS)に関し、より詳細には、UEが信頼できない非3GPPアクセスネットワークを介してEPCに接続される場合のシナリオに関する。UEが、信頼できない非3GPPアクセスネットワークを介してEPC(進化型パケットコア)に接続される場合、UEと3GPPネットワークの間にはセキュアな通信を行うためにIPSecトンネルが存在する。3GPPネットワークにおけるIPSecトンネルのエンドポイントは、ePDG(進化型パケットシステムゲートウェイ)である。IPSecトンネルを確立するために、UEとePDGの間ではIKEv2が使用される。
例えば、3GPP TS23.060(非特許文献1)に規定されているようなGPRS、及びEPSでは、UEが3GPPアクセスネットワーク又は信頼できる非3GPPアクセスネットワークを介して3GPPパケットコアネットワークに接続する場合、PAP又はCHAPを使用して外部AAAサーバによる認証が可能である。この外部認証の詳細は、例えば3GPP TS29.061(非特許文献2)に規定されている。
外部認証では、UEと外部AAAサーバの間で認証情報を交換する必要がある。
この目的のために、プロトコル構成オプション(PCO)情報要素が定められ、UEが3GPPアクセスネットワークに接続される場合には、この情報要素を用いて、UEとコアネットワークの間でユーザクレデンシャルを搬送することができる。ユーザクレデンシャルとは、PAP又はCHAPパラメータ(PAP:パスワード認証プロトコル、CHAP:チャレンジハンドシェイクプロトコル)内のユーザ名及びユーザパスワードなどのことである。
UEが、信頼できない非3GPPアクセスネットワークを介してEPCに接続される場合、UEと3GPPネットワークの間には、セキュアな通信を確立するためにIPSecトンネルが存在する。3GPPネットワーク側におけるIPSecトンネルのエンドポイントは、ePDG(進化型パケットゲートウェイ)である。例えば、IPSecトンネルを確立するために、UEとePDGの間ではIKEv2(インターネット鍵交換バージョン2)が使用される。
3GPP TS23.060 3GPP TS29.061
しかしながら、現在のところ、信頼できない非3GPPアクセスを使用するUEとコアネットワークの間でユーザクレデンシャルを搬送する方法についての解決策は存在せず、UEとePDGの間に定められたPCOメカニズム又は同様のものも存在しない。
してみると、UEが信頼できないアクセスネットワークを介して外部ネットワークにアクセスするのを認証する際に使用する必要がある認証データをePDGに提供するための実行可能なメカニズムは存在しないことになる。
従って、信頼できないアクセスを介した外部認証サポートのための、すなわち信頼できないアクセスネットワークを介した外部パケットデータネットワークへの認証をサポートするためのメカニズムを求める要求が存在する。
本発明の実施形態は、上記の問題及び/又は課題の少なくとも一部に対処することを目的とする。
本発明の実施形態は、信頼できないアクセスを介した外部認証サポートのための、すなわち信頼できないアクセスネットワークを介した外部パケットデータネットワークへの認証をサポートするためのメカニズムを提供するものである。
本発明の例示的な第1の態様によれば、以下の内容が提供される。
本発明の例示的な第1の態様によれば、
セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対してユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを挿入された第1の認証要求を作成するステップと、
認証データに基づいて、通信ネットワークに対してユーザ装置を認証するための第1の認証要求を送信するステップと、
通信ネットワークに対する認証後、通信ネットワークの外部のパケットデータネットワークに対してユーザ装置を認証するための第2の認証要求を作成するステップと、
第2の認証要求を送信するステップと、
を含む方法が提供される。
そのさらなる発展形又は修正形によれば、以下の1又はそれ以上が適用される。
− この方法は、第1の認証要求を送信する前に、複数の認証がサポートされている旨の指示を受け取るステップと、複数の認証がサポートされている旨の指示を第1の認証要求に挿入するステップとをさらに含むことができ、
− この方法は、ユーザ装置の識別情報を含む要求を送信するステップをさらに含むことができ、及び/又は、
− この方法は、構成パラメータを含む認証応答を受け取るステップをさらに含むことができる。
本発明の例示的な第2の態様によれば、セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対してユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを含む第1の認証要求を受け取るステップと、認証データに基づいて、通信ネットワークに対してユーザ装置を認証するステップと、通信ネットワークの外部のパケットデータネットワークに対してユーザ装置を認証するための第2の認証要求をユーザ装置から受け取るステップと、ユーザ装置から受け取った認証データ及びユーザの識別情報を含むバインディングアップデートメッセージを作成するステップと、バインディングアップデートメッセージをパケットデータネットワークのゲートウェイ装置に送信するステップとを含む方法が提供される。
そのさらなる発展形又は修正形によれば、以下の1又はそれ以上が適用される。
− 認証データを、バインディングアップデートメッセージ内の専用情報要素に含めることができ、
− 認証データを、バインディングアップデートメッセージ内のプロトコル構成オプション情報要素に含めることができ、
− バインディングアップデートメッセージ内に、パスワード情報要素、認証プロトコルチャレンジ情報要素及び/又はユーザ名情報要素を含む複数の情報要素を提供することができ、
− この方法は、複数の認証がサポートされている旨の指示を含む第1の認証要求を受け取る前に、複数の認証がサポートされている旨の指示を送信するステップをさらに含むことができ、
− この方法は、ユーザ装置から、ユーザ装置の識別情報を含む要求を受け取るステップをさらに含むことができ、及び/又は、
− この方法は、ゲートウェイ装置から、構成パラメータを含むバインディングアップデート応答を受け取るステップと、構成パラメータを含む認証応答をユーザ装置に送信するステップとをさらに含むことができる。
本発明の例示的な第3の態様によれば、ユーザ装置をパケットデータネットワークに対して認証するのに役立つ識別情報及び認証データを含むバインディングアップデートメッセージを受け取るステップと、識別情報及び認証データに基づいてアクセス要求を作成するステップと、アクセス要求メッセージをネットワーク認証要素に送信するステップとを含む方法が提供される。
そのさらなる発展形又は修正形によれば、以下の1又はそれ以上が適用される。
− 認証データを、バインディングアップデートメッセージ内の専用情報要素に含めることができ、
− 認証データを、バインディングアップデートメッセージ内のプロトコル構成オプション情報要素に含めることができ、
− バインディングアップデートメッセージ内に、認証プロトコルパスワード情報要素、認証プロトコルチャレンジ情報要素、パスワード情報要素及び/又はユーザ名情報要素を含む複数の情報要素を提供することができ、及び/又は、
− この方法は、バインディングアップデートメッセージに応答して、構成パラメータを含むバインディングアップデート応答を送信するステップをさらに含むことができる。
本発明の例示的な第4の態様によれば、セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対してユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを含む第1の認証要求を、ユーザ装置から第1のゲートウェイ装置に送信するステップと、認証データに基づいて、ユーザ装置を通信ネットワークに対して認証するステップと、通信ネットワークの外部のパケットデータネットワークに対してユーザ装置を認証するための第2の認証要求を、ユーザ装置から第1のゲートウェイ装置に送信するステップと、ユーザ装置から受け取った認証データ及びユーザの識別情報を含むバインディングアップデートメッセージを作成するステップと、バインディングアップデートメッセージを、第1のゲートウェイ装置からパケットデータネットワークの第2のゲートウェイ装置に送信するステップとを含む方法が提供される。
そのさらなる発展形又は修正形によれば、以下の1又はそれ以上が適用される。
− この方法は、識別情報及び認証データに基づいて、第2のゲートウェイ装置からネットワーク認証要素にアクセス要求を送信するステップと、第2のゲートウェイ装置において、ネットワーク認証要素からのアクセス承認メッセージを受け取るステップとをさらに含むことができ、及び/又は、
− この方法は、第2のゲートウェイ装置から第1のゲートウェイ装置に、構成パラメータを含むバインディングアップデート応答を送信するステップと、
構成パラメータを含む認証応答を第1のゲートウェイ装置からユーザ装置に送信するステップと、
をさらに含むことができる。
本発明の例示的な第5の態様によれば、セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対してユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを挿入された第1の認証要求を作成するように構成されたプロセッサと、認証データに基づいて、ユーザ装置を通信ネットワークに対して認証するための第1の認証要求を送信するように構成されたインターフェイスとを備えた装置が提供され、プロセッサは、通信ネットワークに対する認証後、通信ネットワークの外部のパケットデータネットワークに対してユーザ装置を認証するための第2の認証要求を作成するようにさらに構成され、インターフェイスは、第2の認証要求を送信するようにさらに構成される。
そのさらなる発展形又は修正形によれば、以下の1又はそれ以上が適用される。
− プロセッサは、第1の認証要求を送信する前に、複数の認証がサポートされている旨の指示を受け取るように構成することができ、またプロセッサは、複数の認証がサポートされている旨の指示を第1の認証要求に挿入するように構成することができ、
− インターフェイスは、ユーザ装置の識別情報を含む要求を送信するように構成することができ、及び/又は、
− インターフェイスは、構成パラメータを含む認証応答を受け取るように構成することができる。
本発明の例示的な第6の態様によれば、セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対してユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを含む第1の認証要求を受け取るように構成されたインターフェイスと、認証データに基づいて、ユーザ装置を通信ネットワークに対して認証するように構成されたプロセッサとを備えた装置が提供され、インターフェイスは、通信ネットワークの外部のパケットデータネットワークに対してユーザ装置を認証するための第2の認証要求をユーザ装置から受け取るようにさらに構成され、プロセッサは、ユーザ装置から受け取った認証データ及びユーザ装置の識別情報を含むバインディングアップデートメッセージを作成するようにさらに構成され、インターフェイスは、バインディングアップデートメッセージをパケットデータネットワークのゲートウェイ装置に送信するようにさらに構成される。
そのさらなる発展形又は修正形によれば、以下の1又はそれ以上が適用される。
− プロセッサは、バインディングアップデートメッセージ内の専用情報要素に認証データを含めるように構成することができ、
− プロセッサは、バインディングアップデートメッセージ内のプロトコル構成オプション情報要素に認証データを含めるように構成することができ、
− バインディングアップデートメッセージ内に、パスワード情報要素、認証プロトコルチャレンジ情報要素及び/又はユーザ名情報要素を含む複数の情報要素を提供することができ、
− プロセッサは、複数の認証をサポートするように構成することができ、インターフェイスは、複数の認証がサポートされている旨の指示を含む第1の認証要求を受け取る前に、複数の認証がサポートされている旨の指示を送信するように構成することができ、
− インターフェイスは、ユーザ装置から、ユーザ装置の識別情報を含む要求を受け取るようにさらに構成することができ、及び/又は、
− インターフェイスは、ゲートウェイ装置から、構成パラメータを含むバインディングアップデート応答を受け取るようにさらに構成することができ、プロセッサは、構成パラメータを含む認証応答を作成するように構成することができ、インターフェイスは、認証応答をユーザ装置に送信するようにさらに構成することができる。
本発明の例示的な第7の態様によれば、ユーザ装置をパケットデータネットワークに対して認証するのに役立つ識別情報及び認証データを含むバインディングアップデートメッセージを受け取るように構成されたインターフェイスと、識別情報及び認証データに基づいてアクセス要求を作成するように構成されたプロセッサとを備えた装置が提供され、インターフェイスは、アクセス要求メッセージをネットワーク認証要素に送信するようにさらに構成される。
そのさらなる発展形又は修正形によれば、以下の1又はそれ以上が適用される。
− 認証データを、バインディングアップデートメッセージ内の専用情報要素に含めることができ、
− 認証データを、バインディングアップデートメッセージ内のプロトコル構成オプション情報要素に含めることができ、
− バインディングアップデートメッセージ内に、パスワード情報要素、認証プロトコルチャレンジ情報要素及び/又はユーザ名情報要素を含む複数の情報要素を提供することができ、及び/又は、
− プロセッサは、構成パラメータを含むバインディングアップデート応答を作成するようにさらに構成することができ、インターフェイスは、バインディングアップデートメッセージに応答して、バインディングアップデート応答を送信するように構成することができる。
本発明の例示的な第8の態様によれば、ソフトウェアコード部分を有するプログラムを含むコンピュータプログラム製品が提供され、ソフトウェアコード部分は、装置のプロセッサ上で実行された時に、上述した第5、第2、第3及び/又は第4の態様、及び/又はその発展形又は修正形による方法を実行するように構成される。
そのさらなる発展形又は修正形によれば、第8の態様によるコンピュータプログラム製品は、ソフトウェアコード部分を記憶するコンピュータ可読媒体を含み、及び/又はプログラムをプロセッサの内部メモリに直接ロード可能である。
以下の本発明の実施形態の詳細な説明を添付図面と併せて解釈することにより、上記の及びその他の目的、特徴、詳細及び利点がより完全に明らかになるであろう。
本発明の実施形態を適用可能な進化型パケットシステムの例示的なシステムアーキテクチャを示す概略図である。 本発明の実施形態を適用可能な進化型パケットシステムの例示的なシステムアーキテクチャを示す概略図である。 本発明の実施形態による、ユーザ装置、ePDG及びPGWの構造を示す概略ブロック図である。 本発明の実施形態による、ユーザ装置と、第1のゲートウェイ装置と、第2のゲートウェイ装置との間のシグナリングを示すシグナリング図である。
以下、本発明の実施形態について説明する。しかしながら、この説明は一例として行うものであり、説明する実施形態を、決して本発明を限定するものとして理解すべきではない。
本発明及びその実施形態を、いくつかの例示的なネットワーク構成及びネットワーク展開の非限定的な例として使用する3GPP仕様書に関連して主に説明する。具体的には、このように説明する例示的な実施形態の適用性の非限定的な例として、(内部)EPC、及び信頼できない(非3GPP)アクセスネットワークを介してUEがアクセス可能な外部PDNを含むEPSのコンテキストを使用する。従って、本明細書に示す例示的な実施形態の説明では、特にこれらの実施形態に直接関連する専門用語に言及する。このような専門用語は、提示する非限定的な例との関連においてのみ使用するものであり、当然ながら決して本発明を限定するものではない。むしろ、本明細書で説明する特徴に従ってさえいれば、他のあらゆるネットワーク構成又はシステム展開などを利用することもできる。
一般に、本発明の実施形態は、3GPP(第3世代パートナープロジェクト)又はIETF(インターネット技術標準化委員会)の仕様書に従うあらゆる考えられる移動/無線通信ネットワークを含む、あらゆる種類の現代の及び将来の通信ネットワークに/で適用可能である。
以下、本発明の様々な実施形態及び実装、並びにその態様又は実施形態について、いくつかの代替例を用いて説明する。一般に、説明する代替例は、特定のニーズ及び制約に従って、全て単独で又はあらゆる考えられる組み合わせ(様々な代替例の個々の特徴の組み合わせも含む)で提供することができる。
本発明の例示的な実施形態の説明では、ネットワーク(EPC、PDNなど)に対するユーザ装置(又はそのユーザ)の認証は、それぞれのネットワーク(EPC、PDNなど)への/に対するユーザ装置(又はそのユーザ)のアクセスの/のための認証に等しいと解釈される。
本明細書において後述するように、本発明の例示的な実施形態は、特に3GPP規格に従う進化型パケットシステムに適用可能である。
図1及び図2は、本発明の実施形態を適用可能な進化型パケットシステムの例示的なシステムアーキテクチャを示す概略図である。
図1及び図2に示すこのような進化型パケットシステムでは、WLAN UEなどのユーザ装置が、信頼できない非3GPPアクセスネットワークに接続し、これを介して進化型パケットコア(EPC)及び外部パケットデータネットワーク(PDN)に接続することができる。EPC及び外部PDN(以下、単にPDNと呼ぶこともある)は、PDNゲートウェイ(PGW)を介してリンクされる。
様々な実装の詳細を検討する前の予備事項として、本発明の例示的な実施形態の実施において使用するのに適した様々な電子装置の簡略ブロック図を示す図3を参照する。
図3に示すように、本発明の実施形態によれば、ユーザ装置(UE)10は、バス14によって接続されたプロセッサ11、メモリ12及びインターフェイス13を備える。第1のゲートウェイ装置の例であるePDG20は、バス24によって接続されたプロセッサ21、メモリ22及びインターフェイス23を備える。第2のゲートウェイ装置30の例であるPGW30(PDN GW)は、バス34によって接続されたプロセッサ31、メモリ32及びインターフェイス33を備える。ユーザ装置10と第1のゲートウェイ装置は、図2に示すSWuインターフェイスを含むことができるリンク17を介して接続され、第1のゲートウェイ装置20と第2のゲートウェイ装置30は、図2に示すS2bインターフェイスとすることができるリンク18を介して接続される。
メモリ12、22及び32は、プログラム命令を含むと想定されるそれぞれのプログラムを記憶することができ、これらのプログラムた命令は、関連するプロセッサ11、21及び31による実行時に、電子装置が本発明の例示的な実施形態に従って動作できるようにする。プロセッサ11、21及び31は、インターフェイス13、23及び33を介した(有線)リンク17、18及び19上の通信を容易にするモデムを含むこともできる。ユーザ装置10のインターフェイス13は、無線アクセスネットワークを含む1又はそれ以上の無線リンクを介した双方向無線通信のための、1又はそれ以上のアンテナに結合された好適な無線周波数(RF)トランシーバをさらに含むことができる。
ユーザ装置10の様々な実施形態は、以下に限定されるわけではないが、移動局、携帯電話機、無線通信能力を有する携帯情報端末(PDA)、無線通信能力を有するポータブルコンピュータ、無線通信能力を有するデジタルカメラなどの画像取込装置、無線通信能力を有するゲーム機、無線通信能力を有する音楽保存・再生機器、無線インターネットアクセス及びブラウジングを可能にするインターネット家電、並びにこのような機能の組み合わせを内蔵したポータブル装置又は端末を含むことができる。
一般に、本発明の例示的な実施形態は、メモリ12、22及び32に記憶されたコンピュータソフトウェアにより実装することができ、プロセッサ11、21及び31、又はハードウェア、或いは図示の装置のいずれか又は全てにおけるソフトウェア及び/又はファームウェアとハードウェアとの組み合わせにより実行可能である。
「接続された(connected)」、「結合された(coupled)」という用語、又はこれらのあらゆる変形は、2又はそれ以上の要素間の直接的又は間接的なあらゆる接続又は結合を意味し、互いに「接続」又は「結合」された2つの要素間に1又はそれ以上の中間要素が存在することを含むことができる。要素間の結合又は接続は、物理的なもの、論理的なもの、或いはこれらの組み合わせとすることができる。本明細書で使用する場合、2つの要素は、1又はそれ以上の電線、ケーブル及びプリント電子接続を使用することにより、並びに非限定的な例として、無線周波数領域、マイクロ波領域及び光(可視及び不可視の両方)領域の波長を有する電磁エネルギーなどの電磁エネルギーを使用することにより、互いに「接続」又は「結合」されていると見なすことができる。
本発明の一般的な実施形態によれば、ユーザ装置10のプロセッサ11は、セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対してユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを挿入された第1の認証要求を作成するように構成される。ユーザ装置のインターフェイス13は、この認証データに基づいて、ユーザ装置を通信ネットワークに対して認証するための第1の認証要求を送信するように構成される。プロセッサ11は、通信ネットワークに対する認証後、通信ネットワークの外部のパケットデータネットワークに対してユーザ装置を認証するための、ユーザ装置からの第2の認証要求を作成するようにさらに構成される。さらに、プロセッサ11は、ユーザ装置から受け取った認証データ及びユーザの識別情報を含むバインディングアップデートメッセージを作成するように構成される。インターフェイス13は、このバインディングアップデートメッセージをゲートウェイ装置(ePDG20など)に送信するようにさらに構成される。
本発明の一般的な実施形態によれば、第1のゲートウェイ装置(図3に示すePDG20など)のインターフェイス23は、セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対してユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを含む第1の認証要求を受け取るように構成される。第1のゲートウェイ装置のプロセッサ21は、この認証データに基づいて、ユーザ装置を通信ネットワークに対して認証するように構成される。インターフェイス23は、通信ネットワークの外部のパケットデータネットワークに対してユーザ装置を認証するための第2の認証要求をユーザ装置から受け取るようにさらに構成される。さらに、プロセッサ21は、ユーザ装置から受け取った認証データ及びユーザ装置の識別情報を含むバインディングアップデートメッセージを作成するように構成され、第1のゲートウェイ装置のインターフェイスは、このバインディングアップデートメッセージをパケットデータネットワークの第2のゲートウェイ装置(PGW30など)に送信するようにさらに構成される。
さらに、本発明の一般的な実施形態によれば、第2のゲートウェイ装置(図3に示すPGW30など)のインターフェイス33は、ユーザ装置をパケットデータネットワークに対して認証するのに役立つ識別情報及び認証データを含むバインディングアップデートメッセージを受け取るように構成され、第2のゲートウェイ装置のプロセッサ31は、この識別情報及び認証データに基づいてアクセス要求を作成するように構成される。さらに、第2のゲートウェイ装置のインターフェイスは、このアクセス要求メッセージをネットワーク認証要素に送信するようにさらに構成される。
認証データは、パスワード(PAP又はCHAPパスワードなど)、認証プロトコルチャレンジ(PAP又はCHAPチャレンジなど)などのユーザクレデンシャル情報とすることができる。しかしながら、本発明はこれらの具体例に限定されるものではない。
さらに、上述した鍵情報交換メカニズムは、IKEv2メカニズムとすることができる。しかしながら、本発明はこの具体例に限定されるものではない。
本発明の例示的な実施形態によれば、RFC4739に規定されるIKEv2の拡張を使用して、UEとePDGの間で追加の認証パラメータを転送することが提案される。
図4に示す例は、外部認証サーバとの間でCHAP(チャレンジハンドシェイク認証プロトコル)を使用する手順を示すものである。PAP及びEAPによる手順に非常に似ている。この提示する例は、PMIPベースのS2bを想定したものであるが、GTPベースのS2b、又は別の好適なプロトコルでも機能することができる。本発明は、これらの具体例に限定されるものではない。
ステップ1において、UE及びePDGは、IKE_SA_INITとして知られている第1のメッセージ対を交換する。ステップ1bにおいて、ePDGは、指示MULTIPLE_AUTH_SUPPORTEDを含む。
ステップ2において、UEは、指示MULTIPLE_AUTH_SUPPORTEDを含むユーザのIKE_AUTH要求を送信する。ePDGは、後でステップ9の最中に使用できるように、IDiペイロード内で受け取った識別情報を記憶する。
ステップ3において、通常のEAP−AKA認証が行われる。
ステップ4において、UEは、第1のIKE_SA_INITメッセージを認証するAUTHペイロードを含むIKE_AUTH要求メッセージを送信する。AUTHペイロードは、ステップ3で使用した鍵生成EAP法により確立された共有鍵を用いて計算される。このメッセージは、別の認証期間が後続することをePDGに示す通知ペイロードANOTHER_AUTH_FOLLOWSも含む。
ステップ5において、ePDGは、UEから受け取ったAUTHの正当性をチェックする。ePDGは、ステップ3において使用した鍵生成EAP法により確立された共有鍵を用いて、第2のIKE_SA_INITメッセージを認証する応答AUTHペイロードを計算する。その後、UEにAUTHパラメータが送信される。
ステップ6において、UEは、その私的ネットワークにおける識別情報をIDi’ペイロードに含めて送信し、この識別情報が、(ステップ10において)外部AAAサーバにより認証されて許可されるようになる。
ステップ7において、ステップ2でIDrペイロードにより示されたAPNが外部AAAサーバに対して認証を要求し、かつ選択した認証方法がCHAP手順である場合、ePDGは、次の認証のためのEAP MD5チャレンジ要求をUEに送信する。
ステップ8において、UEは、EAP MD5チャレンジ応答をePDGに戻す。
ステップ9において、ePDGは、IKE_AUTH要求(ステップ6)内のIDi’からコピーしたユーザ名、CHAPパスワード、及びCHAPチャレンジ属性を含むPDN接続を作成するためのPBUメッセージをPGWに送信する。PBU内のMN識別子オプションは、ステップ2においてIDiペイロード内で受け取った識別情報に対応する識別情報を含む。これについては、以下でより詳細に説明する。
ステップ10において、PGWは、RADIUSクライアントである外部AAAサーバに、PBUメッセージ内で受け取ったパラメータを含むアクセス要求メッセージを送信する。
ステップ11において、外部AAAサーバは、PDGにアクセス承認を戻す。
ステップ12において、PGWは、ePDGにPBAメッセージを送信する。
ステップ13において、IKEv2を介してUEにEAP成功メッセージが送信される。
ステップ14において、UEは、第1のIKE_SA_INITメッセージを認証するためのAUTHパラメータを生成する。このAUTHパラメータをePDGに送信する。
ステップ15において、ePDGは、UEから受け取ったAUTHの正当性をチェックする。ePDGは、割り当てられたIPアドレス、及びその他の構成パラメータをUEに送信する。IKEv2ネゴシエーションは、このステップで終了する。
図示してはいないが、上記の認証手順の1つで不具合が生じた場合、対応するメッセージがUEに送信されて手順は終了する。
上記の処理は、以下のように要約することができる。
− 二重認証、すなわちUEとネットワークの間の第1の認証、及びPGWしかコンタクトできない外部AAAとUEの間の第2の認証が行われる。
− 第2の認証の認証データは、第1の認証に使用したプロトコルの拡張を使用してUEからePDGに送信される。
− この第2の認証の認証データは、バインディングアップデートに含まれてePDGからPGWに転送される。
− PGWは、ステップ2で受け取った認証データを使用して外部AAAにコンタクトしてユーザを認証する。
次に、CHAP認証に関する具体的な詳細について説明する。具体的には、ePDGが、CHAPチャレンジを生成する役目を担う。UEがいわゆる分割UEとして実装される(すなわち、TE(端末装置)とMT(移動端末)が分離され、PPP(ポイント・ツー・ポイント・プロトコル)を使用してこれらの間の通信を行う)という理論上可能な場合には、PPP処理に関連するいくつかの配慮が必要になる。ベアラ設定が開始すると、TEは、使用するAPN(アクセスポイント名)及びPDP(パケットデータプロトコル)タイプを定めるATコマンドをMTに対して発行する。
MTは、ePDGとの間における(RFC4739による)第1段階のIKEv2交換中(すなわち、図4に示すステップ1〜ステップ3の最中)に、受け取ったAPN及びPDPタイプ情報を使用して、適当なPGW、APN/PDNへの接続を確立し、IP構成のための適当な構成ペイロードをIKEv2メッセージに入れ込む方法(IPv4、IPv6、又はIPv4v6「ベアラ」のいずれが設定されたかを判断する構成ペイロードなどをいかにしてMTが満たすか)を決定する。TEとMTの間のPPP接続を設定すると、第1段階のIKEv2交換が開始される。MTは、第2段階のIKEv2交換中にどのような認証方法が行われても、LCP(リンク制御プロトコル)及びその後にIPCP/IPV6CPをインターリーブする必要があることを認識している。MTは、PPPにおけるIKEv2イニシエータとNASの間の「ブリッジ」として実際に機能する。例えば、
・EAPを使用し、ePDGがEAP−MD5を提案する。これにより、MTは、TEにPPP LCP Request−CHAP authを送信するようになる。TEは、これに対してLCPレベルでACK又はNAKのいずれかを行い、その後これが、MTにおいてIKEv2内の適当なEAP応答に変換される。
・EAPを使用し、ePDGがEAP−GTCを提案する。これにより、MTは、TEにPPP LCP Request−PAP authを送信するようになる。TEは、これに対してLCPレベルでACK又はNAKのいずれかを行い、その後これが、MTにおいてIKEv2内の適当なEAP応答に変換される。
・EAPを使用し、ePDGが任意のEAP法を提案する。これにより、MTは、TEにPPP LCP Request−EAP authを送信するようになる。TEは、これに対してLCPレベルでACK又はNAKのいずれかを行い、その後これが、MTにおいてIKEv2内の適当なEAP応答に変換される。
両IKEv2段階が正常に完了すると、TEとMTの間でIPCP/IPV6CPネゴシエーションを開始することができる。なお、このステップは、この時点ですでに完全に局所的なものである。MTは、IKEv2(+PMIPv6)ネゴシエーション自体の最中に受け取ったIPレベルの構成情報のみをTEに与える。
例示的な実施形態によれば、ePDGとPGWの間で、PBU及びPBAメッセージ、並びに対応するGTPv2メッセージ内で(CHAP又はPAP)ユーザクレデンシャル情報を伝送するための、以下の2つの代替方法が提供される。
1.新たな情報要素に含める。
2.PBU/PBA内ですでに指定されているプロトコル構成オプション(PCO)情報要素にユーザクレデンシャル情報を含める。
解決策2に従ってPBU/PBA内にすでに存在するPCO情報要素を使用する利点は、3GPPでは、PMIP及びGTPの両方においてPCO情報要素がすでに指定されている点である。従って、解決策2は容易に実装することができる。
解決策1による新たな情報要素を使用する利点は、PCOセマンティックの変更が不要な点である。すなわち、PCO情報要素は、UEとPGWの間で変化しない情報を搬送すべきであることが好ましい。解決策2によれば、ePDGが、IKEv2で搬送されたユーザクレデンシャル情報を、PMIP PCO内のユーザクレデンシャル情報に「変換」する。しかしながら、PCOでは、UEとPGWの間はエンド・ツー・エンド・シグナリングであることが意図されている。従って、ePDGによるPCOの作成は望ましくないと見なされることがある。従って、解決策1によれば、3GPPにおいて新たな情報要素が規定され、この情報要素によりePDGとPGWの間で交換されるPBU/PBAメッセージ内のユーザクレデンシャル情報が搬送される。これには、PMIPv6及びGTPv2の若干の拡張が必要であるが、これらの実装及び展開は容易である。
以下のPMIPvβ及びGTP情報要素が必要とされる。
・CHAPパスワード情報要素
・CHAPチャレンジ情報要素
・PAPパスワード情報要素
・ユーザ名情報要素(この情報要素内の識別情報は、例えばPMIPvβと共に使用するMN識別子とは異なることがある)
情報要素が、使用された役割を識別できると仮定すれば、CHAPパスワード情報要素とPAPパスワード情報要素を組み合わることができる。
さらに、上述したパスワード情報要素の代わりに拡張パスワード要素を使用し、この拡張パスワード要素の後に、この要素がCHAPパスワードとして使用されているか、それともPAPパスワードとして使用されているかを示すフラグを続けることができる。しかしながら、このフラグは、パスワード情報要素に使用する認証プロトコルの指示の一例にすぎない。
別の認証プロトコルを使用する場合、パスワード情報要素に対応するパスワードを挿入することができる。
本発明の一般的な実施形態の態様によれば、
セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対してユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを挿入された第1の認証要求を作成するための手段と、
この認証データに基づいて、通信ネットワークに対してユーザ装置を認証するための第1の認証要求を送信するための手段と、
通信ネットワークに対する認証後、通信ネットワークの外部のパケットデータネットワークに対してユーザ装置を認証するための第2の認証要求を作成する手段と、
第2の認証要求を送信する手段と、
を備えた装置が提供される。
本発明の一般的な実施形態のさらなる態様によれば、
セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対してユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを含む第1の認証要求を受け取るための手段と、
この認証データに基づいて、通信ネットワークに対してユーザ装置を認証するための手段と、
通信ネットワークの外部のパケットデータネットワークに対してユーザ装置を認証するための第2の認証要求をユーザ装置から受け取るための手段と、
ユーザ装置から受け取った認証データ及びユーザの識別情報を含むバインディングアップデートメッセージを作成するための手段と、
このバインディングアップデートメッセージをパケットデータネットワークのゲートウェイ装置に送信するための手段と、
を備えた装置が提供される。
本発明の一般的な実施形態のさらなる態様によれば、
ユーザ装置をパケットデータネットワークに対して認証するのに役立つ識別情報及び認証データを含むバインディングアップデートメッセージ受け取るための手段と、
この識別情報及び認証データに基づいてアクセス要求を作成するための手段と、
このアクセス要求メッセージをネットワーク認証要素に送信するための手段と、
を備えた装置が提供される。
それぞれの態様、及び/又はこれらの態様が参照する実施形態には、これらの態様及び実施形態が代替例を含まないと明確に示していない限り、上記の修正のいずれかを単独で又は組み合わせて適用できると理解されたい。
本明細書で上述した本発明の実施形態では、以下に留意されたい。
− (機器、装置及び/又はそのモジュールの例として、或いは装置及び/又はそのモジュールを含むエンティティの例として)ソフトウェアコード部分として実装される可能性が高く、ネットワーク要素又は端末においてプロセッサを使用して実行される方法ステップは、ソフトウェアコードには依存せず、これらの方法ステップにより定められる機能が維持される限り、あらゆる既知の又は将来開発されるプログラミング言語を使用して規定することができる。
− 一般に、いずれの方法ステップも、実施される機能の面で本発明の発想を変更することなくソフトウェアとして又はハードウェアによって実現するのに適している。
− 上記で定義した装置、又はそのいずれかの(単複の)モジュールにおいてハードウェア構成要素として実装される可能性が高い方法ステップ及び/又は機器、ユニット又は手段(上述したようなUE、ePDG、PGWなどの、上述した実施形態による装置の機能を実施する機器)は、ハードウェアに依存せず、MOS(金属酸化膜半導体)、CMOS(相補型MOS)、BiMOS(バイポーラMOS)、BiCMOS(バイポーラCMOS)、ECL(エミッタ結合型論理)、TTL(トランジスタ−トランジスタ論理)などのいずれかの公知の又は将来開発されるハードウェア技術又はこれらのいずれかの雑種を使用して、例えばASIC(特定用途向けIC(集積回路))構成要素、FPGA(フィールドプログラマブルゲートアレイ)構成要素、CPLD(結合プログラムマブル論理回路)構成要素又はDSP(デジタルシグナルプロセッサ)構成要素を使用して実装することができる。
− (上記で定義した装置、又はこれらのそれぞれの手段のいずれか1つなどの)機器、ユニット又は手段は、個々の機器、ユニット又は手段として実装することができるが、これは、これらの機器、ユニット又は手段の機能が維持される限り、これらがシステム全体を通じて分散方式で実装されることを除外するものではない。
− 装置は、半導体チップ、チップセット、このようなチップ又はチップセットを含む(ハードウェア)モジュールによって表すことができるが、これは、装置又はモジュールの機能が、ハードウェアで実装される代わりに、プロセッサ上における実行/動作のための実行可能ソフトウェアコード部分を含むコンピュータプログラム又はコンピュータプログラム製品などの(ソフトウェア)モジュール内のソフトウェアとして実装される可能性を除外するものではない。
− 例えば、機器は、互いに機能的に連携しているか、又は互いに機能的には独立しているが同じ装置のハウジング内に存在するかにより、1つの装置として、又は複数の装置の組立品として見なすことができる。
なお、上述した実施形態及び実施例は、例示のみを目的として示したものであり、本発明がこれらに限定されることを決して意図するものではない。むしろ、添付の特許請求の思想及び範囲には全ての変形例及び修正例が含まれることを意図している。
10:ユーザ装置
11:プロセッサ
12:メモリ
13:インターフェイス
14:バス
17:リンク
18:リンク
20:ePDG
21:プロセッサ
22:メモリ
23:インターフェイス
24:バス
30:PGW
31:プロセッサ
32:メモリ
33:インターフェイス
34:バス

Claims (37)

  1. セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対して前記ユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを挿入された第1の認証要求を作成するステップと、
    前記認証データに基づいて、前記通信ネットワークに対して前記ユーザ装置を認証するための前記第1の認証要求を送信するステップと、
    前記通信ネットワークに対する認証後、前記通信ネットワークの外部のパケットデータネットワークに対して前記ユーザ装置を認証するための第2の認証要求を作成するステップと、
    前記第2の認証要求を送信するステップと、
    を含むことを特徴とする方法。
  2. 前記第1の認証要求を送信する前に、複数の認証がサポートされている旨の指示を受け取るステップと、
    複数の認証がサポートされている旨の指示を前記第1の認証要求に挿入するステップと、
    をさらに含むことを特徴とする請求項1に記載の方法。
  3. 前記ユーザ装置の識別情報を含む要求を送信するステップをさらに含む、
    ことを特徴とする請求項1又は請求項2に記載の方法。
  4. 構成パラメータを含む認証応答を受け取るステップをさらに含む、
    ことを特徴とする請求項1から請求項3のいずれか1項に記載の方法。
  5. セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対して前記ユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを含む第1の認証要求を受け取るステップと、
    前記認証データに基づいて、前記通信ネットワークに対して前記ユーザ装置を認証するステップと、
    前記通信ネットワークの外部のパケットデータネットワークに対して前記ユーザ装置を認証するための第2の認証要求を前記ユーザ装置から受け取るステップと、
    前記ユーザ装置から受け取った前記認証データ及び前記ユーザの識別情報を含むバインディングアップデートメッセージを作成するステップと、
    前記バインディングアップデートメッセージを前記パケットデータネットワークのゲートウェイ装置に送信するステップと、
    を含むことを特徴とする方法。
  6. 前記認証データは、前記バインディングアップデートメッセージ内の専用情報要素に含まれる、
    ことを特徴とする請求項5に記載の方法。
  7. 前記認証データは、前記バインディングアップデートメッセージ内のプロトコル構成オプション情報要素に含まれる、
    ことを特徴とする請求項5に記載の方法。
  8. 前記バインディングアップデートメッセージ内に、パスワード情報要素、認証プロトコルチャレンジ情報要素及び/又はユーザ名情報要素を含む複数の情報要素が提供される、
    ことを特徴とする請求項5から請求項7のいずれか1項に記載の方法。
  9. 複数の認証がサポートされている旨の指示を含む前記第1の認証要求を受け取る前に、複数の認証がサポートされている旨の指示を送信するステップをさらに含む、
    ことを特徴とする請求項5から請求項8のうちのいずれかに記載の方法。
  10. 前記ユーザ装置から、該ユーザ装置の識別情報を含む要求を受け取るステップをさらに含む、
    ことを特徴とする請求項5から請求項9のいずれか1項に記載の方法。
  11. 前記ゲートウェイ装置から、構成パラメータを含むバインディングアップデート応答を受け取るステップと、
    構成パラメータを含む認証応答を前記ユーザ装置に送信するステップと、
    をさらに含むことを特徴とする請求項5から請求項10のいずれか1項に記載の方法。
  12. ユーザ装置をパケットデータネットワークに対して認証するのに役立つ識別情報及び認証データを含むバインディングアップデートメッセージを受け取るステップと、
    前記識別情報及び認証データに基づいてアクセス要求を作成するステップと、
    前記アクセス要求メッセージをネットワーク認証要素に送信するステップと、
    を含むことを特徴とする方法。
  13. 前記認証データは、前記バインディングアップデートメッセージ内の専用情報要素に含まれる、
    ことを特徴とする請求項12に記載の方法。
  14. 前記認証データは、前記バインディングアップデートメッセージ内のプロトコル構成オプション情報要素に含まれる、
    ことを特徴とする請求項12に記載の方法。
  15. 前記バインディングアップデートメッセージ内に、認証プロトコルパスワード情報要素、認証プロトコルチャレンジ情報要素、パスワード情報要素及び/又はユーザ名情報要素を含む複数の情報要素が提供される、
    ことを特徴とする請求項12から請求項14のいずれか1項に記載の方法。
  16. 前記バインディングアップデートメッセージに応答して、構成パラメータを含むバインディングアップデート応答を送信するステップをさらに含む、
    ことを特徴とする請求項12から請求項15のいずれか1項に記載の方法。
  17. セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対して前記ユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを含む第1の認証要求を、前記ユーザ装置から第1のゲートウェイ装置に送信するステップと、
    前記認証データに基づいて、前記ユーザ装置を前記通信ネットワークに対して認証するステップと、
    前記通信ネットワークの外部のパケットデータネットワークに対して前記ユーザ装置を認証するための第2の認証要求を、前記ユーザ装置から前記第1のゲートウェイ装置に送信するステップと、
    前記ユーザ装置から受け取った前記認証データ及び前記ユーザの識別情報を含むバインディングアップデートメッセージを作成するステップと、
    前記バインディングアップデートメッセージを、前記第1のゲートウェイ装置から前記パケットデータネットワークの第2のゲートウェイ装置に送信するステップと、
    を含むことを特徴とする方法。
  18. 前記識別情報及び認証データに基づいて、前記第2のゲートウェイ装置からネットワーク認証要素にアクセス要求を送信するステップと、
    前記第2のゲートウェイ装置において、前記ネットワーク認証要素からのアクセス承認メッセージを受け取るステップと、
    をさらに含むことを特徴とする請求項17に記載の方法。
  19. 前記第2のゲートウェイ装置から前記第1のゲートウェイ装置に、構成パラメータを含むバインディングアップデート応答を送信するステップと、
    構成パラメータを含む認証応答を前記第1のゲートウェイ装置から前記ユーザ装置に送信するステップと、
    をさらに含むことを特徴とする請求項18に記載の方法。
  20. セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対して前記ユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを挿入された第1の認証要求を作成するように構成されたプロセッサと、
    前記認証データに基づいて、前記ユーザ装置を前記通信ネットワークに対して認証するための前記第1の認証要求を送信するように構成されたインターフェイスと、
    を備え、
    前記プロセッサは、前記通信ネットワークに対する認証後、前記通信ネットワークの外部のパケットデータネットワークに対して前記ユーザ装置を認証するための第2の認証要求を作成するようにさらに構成され、
    前記インターフェイスは、前記第2の認証要求を送信するようにさらに構成される、
    ことを特徴とする装置。
  21. 前記プロセッサは、前記第1の認証要求を送信する前に、複数の認証がサポートされている旨の指示を受け取るように構成され、
    前記プロセッサは、複数の認証がサポートされている旨の指示を前記第1の認証要求に挿入するように構成される、
    ことを特徴とする請求項20に記載の装置。
  22. 前記インターフェイスは、前記ユーザ装置の識別情報を含む要求を送信するように構成される、
    ことを特徴とする請求項20又は請求項21に記載の装置。
  23. 前記インターフェイスは、構成パラメータを含む認証応答を受け取るように構成される、
    ことを特徴とする請求項20から請求項22のいずれか1項に記載の装置。
  24. セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対して前記ユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを含む第1の認証要求を受け取るように構成されたインターフェイスと、
    前記認証データに基づいて、前記ユーザ装置を前記通信ネットワークに対して認証するように構成されたプロセッサと、
    を備え、
    前記インターフェイスは、前記通信ネットワークの外部のパケットデータネットワークに対して前記ユーザ装置を認証するための第2の認証要求を前記ユーザ装置から受け取るようにさらに構成され、
    前記プロセッサは、前記ユーザ装置から受け取った前記認証データ及び前記ユーザ装置の識別情報を含むバインディングアップデートメッセージを作成するようにさらに構成され、
    前記インターフェイスは、前記バインディングアップデートメッセージを前記パケットデータネットワークのゲートウェイ装置に送信するようにさらに構成される、
    ことを特徴とする装置。
  25. 前記プロセッサは、前記バインディングアップデートメッセージ内の専用情報要素に前記認証データを含めるように構成される、
    ことを特徴とする請求項24に記載の装置。
  26. 前記プロセッサは、前記バインディングアップデートメッセージ内のプロトコル構成オプション情報要素に前記認証データを含めるように構成される、
    ことを特徴とする請求項24に記載の装置。
  27. 前記バインディングアップデートメッセージ内に、パスワード情報要素、認証プロトコルチャレンジ情報要素及び/又はユーザ名情報要素を含む複数の情報要素が提供される、
    ことを特徴とする請求項24から請求項26のいずれか1項に記載の装置。
  28. 前記プロセッサは、複数の認証をサポートするように構成され、
    前記インターフェイスは、複数の認証がサポートされている旨の指示を含む前記第1の認証要求を受け取る前に、複数の認証がサポートされている旨の指示を送信するように構成される、
    ことを特徴とする請求項24から請求項27のいずれか1項に記載の装置。
  29. 前記インターフェイスは、前記ユーザ装置から、該ユーザ装置の識別情報を含む要求を受け取るようにさらに構成される、
    ことを特徴とする請求項24から請求項28のいずれか1項に記載の装置。
  30. 前記インターフェイスは、前記ゲートウェイ装置から、構成パラメータを含むバインディングアップデート応答を受け取るようにさらに構成され、
    前記プロセッサは、構成パラメータを含む認証応答を作成するように構成され、
    前記インターフェイスは、前記認証応答を前記ユーザ装置に送信するようにさらに構成される、
    ことを特徴とする請求項24から請求項29のいずれか1項に記載の装置。
  31. ユーザ装置をパケットデータネットワークに対して認証するのに役立つ識別情報及び認証データを含むバインディングアップデートメッセージを受け取るように構成されたインターフェイスと、
    前記識別情報及び認証データに基づいてアクセス要求を作成するように構成されたプロセッサと、
    を備え、前記インターフェイスは、前記アクセス要求メッセージをネットワーク認証要素に送信するようにさらに構成される、
    ことを特徴とする装置。
  32. 前記認証データは、前記バインディングアップデートメッセージ内の専用情報要素に含まれる、
    ことを特徴とする請求項31に記載の装置。
  33. 前記認証データは、前記バインディングアップデートメッセージ内のプロトコル構成オプション情報要素に含まれる、
    ことを特徴とする請求項31に記載の装置。
  34. 前記バインディングアップデートメッセージ内に、パスワード情報要素、認証プロトコルチャレンジ情報要素及び/又はユーザ名情報要素を含む複数の情報要素が提供される、
    ことを特徴とする請求項31から請求項33のいずれか1項に記載の装置。
  35. 前記プロセッサは、構成パラメータを含むバインディングアップデート応答を作成するようにさらに構成され、
    前記インターフェイスは、前記バインディングアップデートメッセージに応答して、前記バインディングアップデート応答を送信するように構成される、
    ことを特徴とする請求項31から請求項34のいずれか1項に記載の装置。
  36. ソフトウェアコード部分を有するプログラムを含むコンピュータプログラム製品であって、前記ソフトウェアコード部分は、装置のプロセッサ上で実行された時に、請求項1から請求項4、又は請求項5から請求項11、又は請求項12から請求項16、又は請求項17から請求項19のいずれか1項に記載の方法を実行するように構成される、
    ことを特徴とするコンピュータプログラム製品。
  37. 前記コンピュータプログラム製品は、前記ソフトウェアコード部分を記憶するコンピュータ可読媒体を含み、及び/又は、前記プログラムは、前記プロセッサの内部メモリに直接ロード可能である、
    ことを特徴とする請求項36に記載のコンピュータプログラム製品。
JP2013548756A 2011-01-14 2011-01-14 信頼できないネットワークを介した外部認証サポート Pending JP2014507855A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2011/050475 WO2012095184A1 (en) 2011-01-14 2011-01-14 External authentication support over an untrusted network

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2015195680A Division JP6189389B2 (ja) 2015-10-01 2015-10-01 信頼できないネットワークを介した外部認証サポート

Publications (1)

Publication Number Publication Date
JP2014507855A true JP2014507855A (ja) 2014-03-27

Family

ID=43901410

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013548756A Pending JP2014507855A (ja) 2011-01-14 2011-01-14 信頼できないネットワークを介した外部認証サポート

Country Status (9)

Country Link
US (2) US9641525B2 (ja)
EP (1) EP2664100B1 (ja)
JP (1) JP2014507855A (ja)
KR (1) KR101589574B1 (ja)
CN (1) CN103299578A (ja)
AU (1) AU2011355322B2 (ja)
BR (1) BR112013017889B1 (ja)
MX (1) MX2013008150A (ja)
WO (1) WO2012095184A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103957152A (zh) * 2014-04-22 2014-07-30 广州杰赛科技股份有限公司 IPv4与IPv6网络通信方法及NAT-PT网关
JP2016525855A (ja) * 2013-08-15 2016-08-25 ▲華▼▲為▼▲終▼端有限公司 モデムダイヤルアップのための方法およびブロードバンドデバイス

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103024737B (zh) * 2011-09-23 2017-08-11 中兴通讯股份有限公司 可信任非3gpp接入网元、接入移动网络及去附着方法
US20140071907A1 (en) * 2012-05-04 2014-03-13 Telefonaktiebolaget L M Ericsson (Publ) Method and Apparatus for Handling PDN Connections
US9538560B1 (en) * 2012-09-13 2017-01-03 Cisco Technology, Inc. Protocol configuration options (PCOS) in untrusted WLAN access
US10091637B2 (en) * 2014-01-28 2018-10-02 Telefonaktiebolaget Lm Ericsson (Publ) Providing information to a service in a communication network
US10284524B2 (en) * 2014-08-21 2019-05-07 James Armand Baldwin Secure auto-provisioning device network
US9332015B1 (en) 2014-10-30 2016-05-03 Cisco Technology, Inc. System and method for providing error handling in an untrusted network environment
JP6449088B2 (ja) * 2015-03-31 2019-01-09 株式会社日立製作所 情報収集システム、情報収集システムにおける接続制御方法
EP3277006B1 (en) * 2015-04-22 2020-07-08 Huawei Technologies Co., Ltd. Method, apparatus and system for authorizing access point name
US9730062B2 (en) * 2015-04-30 2017-08-08 Intel IP Corporation AT command for secure ESM information
US9602493B2 (en) 2015-05-19 2017-03-21 Cisco Technology, Inc. Implicit challenge authentication process
JP2017004133A (ja) * 2015-06-08 2017-01-05 株式会社リコー サービス提供システム、情報処理システム、情報処理装置、サービス提供方法、及びプログラム
US9967148B2 (en) 2015-07-09 2018-05-08 Oracle International Corporation Methods, systems, and computer readable media for selective diameter topology hiding
US10237795B2 (en) * 2015-10-11 2019-03-19 Qualcomm Incorporated Evolved packet data gateway (EPDG) reselection
CN106686589B (zh) * 2015-11-09 2020-04-28 中国电信股份有限公司 一种实现VoWiFi业务的方法、系统及AAA服务器
US10033736B2 (en) 2016-01-21 2018-07-24 Oracle International Corporation Methods, systems, and computer readable media for remote authentication dial-in user service (radius) topology hiding
US10419994B2 (en) * 2016-04-08 2019-09-17 Electronics And Telecommunications Research Institute Non-access stratum based access method and terminal supporting the same
KR102088717B1 (ko) * 2016-04-08 2020-03-13 한국전자통신연구원 비접속계층 기반 액세스 방법 및 이를 지원하는 단말
EP3297222A1 (en) * 2016-09-15 2018-03-21 Eco-i Limited Configuration gateway
DK3319277T3 (da) * 2016-11-08 2019-08-26 Telia Co Ab Tilvejebringelse af adgang til et netværk
CN112534851B (zh) * 2018-08-07 2024-04-26 联想(新加坡)私人有限公司 委托数据连接
US11558737B2 (en) 2021-01-08 2023-01-17 Oracle International Corporation Methods, systems, and computer readable media for preventing subscriber identifier leakage
US11888894B2 (en) 2021-04-21 2024-01-30 Oracle International Corporation Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks
US11627467B2 (en) 2021-05-05 2023-04-11 Oracle International Corporation Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces
US11695563B2 (en) 2021-05-07 2023-07-04 Oracle International Corporation Methods, systems, and computer readable media for single-use authentication messages
US11570689B2 (en) 2021-05-07 2023-01-31 Oracle International Corporation Methods, systems, and computer readable media for hiding network function instance identifiers
US11638155B2 (en) 2021-05-07 2023-04-25 Oracle International Corporation Methods, systems, and computer readable media for protecting against mass network function (NF) deregistration attacks

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7900242B2 (en) * 2001-07-12 2011-03-01 Nokia Corporation Modular authentication and authorization scheme for internet protocol
US7441043B1 (en) * 2002-12-31 2008-10-21 At&T Corp. System and method to support networking functions for mobile hosts that access multiple networks
CN100550955C (zh) 2003-05-26 2009-10-14 华为技术有限公司 大容量宽带接入方法及系统
EP1503538B1 (de) * 2003-07-31 2007-03-07 Siemens Aktiengesellschaft Verfahren zum Ermitteln eines Abrechnungstarifs für eine Datenübertragung
US8341700B2 (en) * 2003-10-13 2012-12-25 Nokia Corporation Authentication in heterogeneous IP networks
RU2354066C2 (ru) 2003-11-07 2009-04-27 Телеком Италия С.П.А. Способ и система для аутентификации пользователя системы обработки данных
US8046829B2 (en) * 2004-08-17 2011-10-25 Toshiba America Research, Inc. Method for dynamically and securely establishing a tunnel
US8607051B2 (en) * 2006-04-11 2013-12-10 Qualcomm Incorporated Method and apparatus for binding multiple authentications
US8239671B2 (en) * 2006-04-20 2012-08-07 Toshiba America Research, Inc. Channel binding mechanism based on parameter binding in key derivation
JP4763560B2 (ja) * 2006-09-14 2011-08-31 富士通株式会社 接続支援装置
US8707416B2 (en) * 2007-01-19 2014-04-22 Toshiba America Research, Inc. Bootstrapping kerberos from EAP (BKE)
EP2037652A3 (en) * 2007-06-19 2009-05-27 Panasonic Corporation Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network
CN101330740A (zh) 2007-06-22 2008-12-24 中兴通讯股份有限公司 一种无线网络中的网关选择方法
EP2172045B1 (en) * 2007-06-22 2018-08-01 InterDigital Technology Corporation Signaling in a wireless communication system
CN101345998B (zh) 2007-07-12 2011-12-28 华为技术有限公司 接入网络切换方法、锚点管理设备、移动接入设备
CN101374055B (zh) 2007-08-20 2012-12-12 华为技术有限公司 计费处理方法和网络系统、分组数据网络网关及计费系统
US8335490B2 (en) * 2007-08-24 2012-12-18 Futurewei Technologies, Inc. Roaming Wi-Fi access in fixed network architectures
GB2453526B (en) 2007-09-28 2009-11-18 Samsung Electronics Co Ltd Communication method and apparatus
EP2079253A1 (en) * 2008-01-09 2009-07-15 Panasonic Corporation Non-3GPP to 3GPP network handover optimizations
US8224330B2 (en) * 2008-08-07 2012-07-17 Futurewei Technologies, Inc. Method and system for interworking between two different networks
EP2166724A1 (en) 2008-09-23 2010-03-24 Panasonic Corporation Optimization of handovers to untrusted non-3GPP networks
US8307205B2 (en) * 2008-09-24 2012-11-06 Interdigital Patent Holdings, Inc. Home node-B apparatus and security protocols
US8654716B2 (en) * 2008-11-14 2014-02-18 Futurewei Technologies, Inc. System and method for name binding for multiple packet data network access
EP2377355B1 (en) * 2008-12-10 2020-08-05 Nokia Solutions and Networks Oy Assignment of a common network address to multiple network interfaces of a computing device
US8566455B1 (en) * 2008-12-17 2013-10-22 Marvell International Ltd. Method and apparatus for supporting multiple connections in 3GPP systems
US8270978B1 (en) * 2009-01-06 2012-09-18 Marvell International Ltd. Method and apparatus for performing a handover between a non-3GPP access and a 3GPP access using Gn/Gp SGSNs
US8059643B1 (en) * 2009-05-11 2011-11-15 Sprint Communications Company L.P. IPv4 and IPv6 single session on a home agent
WO2011137928A1 (en) 2010-05-04 2011-11-10 Nokia Siemens Networks Oy Packet data network connection with non-transparent interworking mode

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
JPN6014029856; LG Electronics: 'Access to private networks with S2b' 3GPP TSG SA WG2 Meeting #82 , 20101109 *
JPN6014029857; P. Eronen and J. Korhonen: 'Multiple Authentication Exchanges in the Internet Key Exchange (IKEv2) Protocol' Request for Comments: 4739 , 200611 *
JPN6014029858; Nokia Siemens Network: 'Introducing user credentials in PCO for S2b' 3GPP TSG SA WG2 Meeting #79 , 20100504 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016525855A (ja) * 2013-08-15 2016-08-25 ▲華▼▲為▼▲終▼端有限公司 モデムダイヤルアップのための方法およびブロードバンドデバイス
US10009290B2 (en) 2013-08-15 2018-06-26 Huawei Device Co., Ltd. Method and broadband device for modem dial-up
CN103957152A (zh) * 2014-04-22 2014-07-30 广州杰赛科技股份有限公司 IPv4与IPv6网络通信方法及NAT-PT网关
CN103957152B (zh) * 2014-04-22 2017-04-19 广州杰赛科技股份有限公司 IPv4与IPv6网络通信方法及NAT‑PT网关

Also Published As

Publication number Publication date
MX2013008150A (es) 2013-09-13
WO2012095184A1 (en) 2012-07-19
KR20130114727A (ko) 2013-10-17
US9641525B2 (en) 2017-05-02
EP2664100A1 (en) 2013-11-20
AU2011355322A1 (en) 2013-08-01
AU2011355322B2 (en) 2016-11-03
BR112013017889A2 (pt) 2020-11-17
US20130290722A1 (en) 2013-10-31
KR101589574B1 (ko) 2016-01-28
RU2013137968A (ru) 2015-02-20
US10581816B2 (en) 2020-03-03
US20170149751A1 (en) 2017-05-25
EP2664100B1 (en) 2018-12-05
CN103299578A (zh) 2013-09-11
BR112013017889B1 (pt) 2021-12-07

Similar Documents

Publication Publication Date Title
US10581816B2 (en) External authentication support over an untrusted network
US11818566B2 (en) Unified authentication for integrated small cell and Wi-Fi networks
EP3408988B1 (en) Method and apparatus for network access
CN101827364B (zh) 双调制解调器装置
ES2750031T3 (es) Creación dinámica de cuentas con red de zona con cobertura inalámbrica asegurada
CN109804651A (zh) 通过独立的非3gpp接入网络的核心网络附接
WO2013004905A1 (en) Trusted wireless local area network access
WO2012149783A1 (zh) 用于接入移动网络的方法和装置以及用户设备
JP2019533951A (ja) 次世代システムの認証
WO2011137928A1 (en) Packet data network connection with non-transparent interworking mode
WO2012095179A1 (en) External authentication support over untrusted access
JP6189389B2 (ja) 信頼できないネットワークを介した外部認証サポート
RU2575682C2 (ru) Поддержка внешней аутентификации через незащищенную сеть
CN103856933A (zh) 一种漫游终端的认证方法、装置及服务器

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140716

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20141016

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20141023

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150115

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150601