JP2014507855A - 信頼できないネットワークを介した外部認証サポート - Google Patents
信頼できないネットワークを介した外部認証サポート Download PDFInfo
- Publication number
- JP2014507855A JP2014507855A JP2013548756A JP2013548756A JP2014507855A JP 2014507855 A JP2014507855 A JP 2014507855A JP 2013548756 A JP2013548756 A JP 2013548756A JP 2013548756 A JP2013548756 A JP 2013548756A JP 2014507855 A JP2014507855 A JP 2014507855A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user device
- binding update
- request
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 62
- 238000000034 method Methods 0.000 claims abstract description 50
- 230000004044 response Effects 0.000 claims abstract description 34
- 230000007246 mechanism Effects 0.000 claims abstract description 21
- 230000015654 memory Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 9
- 230000004048 modification Effects 0.000 description 11
- 238000012986 modification Methods 0.000 description 11
- 238000011161 development Methods 0.000 description 9
- 230000018109 developmental process Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 3
- 230000011664 signaling Effects 0.000 description 3
- OYYYPYWQLRODNN-UHFFFAOYSA-N [hydroxy(3-methylbut-3-enoxy)phosphoryl]methylphosphonic acid Chemical compound CC(=C)CCOP(O)(=O)CP(O)(O)=O OYYYPYWQLRODNN-UHFFFAOYSA-N 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 239000003999 initiator Substances 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000000295 complement effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 229910044991 metal oxide Inorganic materials 0.000 description 1
- 150000004706 metal oxides Chemical class 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/04—Addressing variable-length words or parts of words
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
【選択図】図3
Description
3GPP:第3世代パートナーシッププロジェクト
AAA:認証、許可及びアカウンティング
APN:アクセスポイント名
CHAP:チャレンジハンドシェイク認証プロトコル
EAP:拡張可能認証プロトコル
EAP−GTC:EAP汎用トークンカード
eNode−B:LTE基地局(eNBとも呼ぶ)
EPC:進化型パケットコア
EPS:進化型パケットシステム
ePDG:進化型パケットデータゲートウェイ
GGSN:ゲートウェイGPRSサポートノード
GPRS:汎用パケット無線サービス
GTPv2:GPRSトンネリングプロトコルバージョン2
IDi:識別イニシエータ
IDr:識別レスポンダ
IETF:インターネット技術標準化委員会
IKEv2:インターネット鍵交換バージョン2
IP:インターネットプロトコル
IPSec:インターネットプロトコルセキュリティ
LCP:リンク制御プロトコル
LTE:ロングタームエボリューション
LTE−A:LTE−Advanced
MN:移動ノード
MS ISDN:移動局統合サービスデータネットワーク
MT:移動端末
PAP:パスワード認証プロトコル
PCO:プロトコル構成オプション
PDG:パケットデータゲートウェイ
PDN:パケットデータネットワーク
PDP:パケットデータプロトコル
PGW:PDNゲートウェイ(PDN GW)
PMIPvβ:プロキシMIPv6
PPP:ポイント・ツー・ポイント・プロトコル
TE:端末装置
UE:ユーザ装置
セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対してユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを挿入された第1の認証要求を作成するステップと、
認証データに基づいて、通信ネットワークに対してユーザ装置を認証するための第1の認証要求を送信するステップと、
通信ネットワークに対する認証後、通信ネットワークの外部のパケットデータネットワークに対してユーザ装置を認証するための第2の認証要求を作成するステップと、
第2の認証要求を送信するステップと、
を含む方法が提供される。
− この方法は、第1の認証要求を送信する前に、複数の認証がサポートされている旨の指示を受け取るステップと、複数の認証がサポートされている旨の指示を第1の認証要求に挿入するステップとをさらに含むことができ、
− この方法は、ユーザ装置の識別情報を含む要求を送信するステップをさらに含むことができ、及び/又は、
− この方法は、構成パラメータを含む認証応答を受け取るステップをさらに含むことができる。
− 認証データを、バインディングアップデートメッセージ内の専用情報要素に含めることができ、
− 認証データを、バインディングアップデートメッセージ内のプロトコル構成オプション情報要素に含めることができ、
− バインディングアップデートメッセージ内に、パスワード情報要素、認証プロトコルチャレンジ情報要素及び/又はユーザ名情報要素を含む複数の情報要素を提供することができ、
− この方法は、複数の認証がサポートされている旨の指示を含む第1の認証要求を受け取る前に、複数の認証がサポートされている旨の指示を送信するステップをさらに含むことができ、
− この方法は、ユーザ装置から、ユーザ装置の識別情報を含む要求を受け取るステップをさらに含むことができ、及び/又は、
− この方法は、ゲートウェイ装置から、構成パラメータを含むバインディングアップデート応答を受け取るステップと、構成パラメータを含む認証応答をユーザ装置に送信するステップとをさらに含むことができる。
− 認証データを、バインディングアップデートメッセージ内の専用情報要素に含めることができ、
− 認証データを、バインディングアップデートメッセージ内のプロトコル構成オプション情報要素に含めることができ、
− バインディングアップデートメッセージ内に、認証プロトコルパスワード情報要素、認証プロトコルチャレンジ情報要素、パスワード情報要素及び/又はユーザ名情報要素を含む複数の情報要素を提供することができ、及び/又は、
− この方法は、バインディングアップデートメッセージに応答して、構成パラメータを含むバインディングアップデート応答を送信するステップをさらに含むことができる。
− この方法は、識別情報及び認証データに基づいて、第2のゲートウェイ装置からネットワーク認証要素にアクセス要求を送信するステップと、第2のゲートウェイ装置において、ネットワーク認証要素からのアクセス承認メッセージを受け取るステップとをさらに含むことができ、及び/又は、
− この方法は、第2のゲートウェイ装置から第1のゲートウェイ装置に、構成パラメータを含むバインディングアップデート応答を送信するステップと、
構成パラメータを含む認証応答を第1のゲートウェイ装置からユーザ装置に送信するステップと、
をさらに含むことができる。
− プロセッサは、第1の認証要求を送信する前に、複数の認証がサポートされている旨の指示を受け取るように構成することができ、またプロセッサは、複数の認証がサポートされている旨の指示を第1の認証要求に挿入するように構成することができ、
− インターフェイスは、ユーザ装置の識別情報を含む要求を送信するように構成することができ、及び/又は、
− インターフェイスは、構成パラメータを含む認証応答を受け取るように構成することができる。
− プロセッサは、バインディングアップデートメッセージ内の専用情報要素に認証データを含めるように構成することができ、
− プロセッサは、バインディングアップデートメッセージ内のプロトコル構成オプション情報要素に認証データを含めるように構成することができ、
− バインディングアップデートメッセージ内に、パスワード情報要素、認証プロトコルチャレンジ情報要素及び/又はユーザ名情報要素を含む複数の情報要素を提供することができ、
− プロセッサは、複数の認証をサポートするように構成することができ、インターフェイスは、複数の認証がサポートされている旨の指示を含む第1の認証要求を受け取る前に、複数の認証がサポートされている旨の指示を送信するように構成することができ、
− インターフェイスは、ユーザ装置から、ユーザ装置の識別情報を含む要求を受け取るようにさらに構成することができ、及び/又は、
− インターフェイスは、ゲートウェイ装置から、構成パラメータを含むバインディングアップデート応答を受け取るようにさらに構成することができ、プロセッサは、構成パラメータを含む認証応答を作成するように構成することができ、インターフェイスは、認証応答をユーザ装置に送信するようにさらに構成することができる。
− 認証データを、バインディングアップデートメッセージ内の専用情報要素に含めることができ、
− 認証データを、バインディングアップデートメッセージ内のプロトコル構成オプション情報要素に含めることができ、
− バインディングアップデートメッセージ内に、パスワード情報要素、認証プロトコルチャレンジ情報要素及び/又はユーザ名情報要素を含む複数の情報要素を提供することができ、及び/又は、
− プロセッサは、構成パラメータを含むバインディングアップデート応答を作成するようにさらに構成することができ、インターフェイスは、バインディングアップデートメッセージに応答して、バインディングアップデート応答を送信するように構成することができる。
− 二重認証、すなわちUEとネットワークの間の第1の認証、及びPGWしかコンタクトできない外部AAAとUEの間の第2の認証が行われる。
− 第2の認証の認証データは、第1の認証に使用したプロトコルの拡張を使用してUEからePDGに送信される。
− この第2の認証の認証データは、バインディングアップデートに含まれてePDGからPGWに転送される。
− PGWは、ステップ2で受け取った認証データを使用して外部AAAにコンタクトしてユーザを認証する。
・EAPを使用し、ePDGがEAP−MD5を提案する。これにより、MTは、TEにPPP LCP Request−CHAP authを送信するようになる。TEは、これに対してLCPレベルでACK又はNAKのいずれかを行い、その後これが、MTにおいてIKEv2内の適当なEAP応答に変換される。
・EAPを使用し、ePDGがEAP−GTCを提案する。これにより、MTは、TEにPPP LCP Request−PAP authを送信するようになる。TEは、これに対してLCPレベルでACK又はNAKのいずれかを行い、その後これが、MTにおいてIKEv2内の適当なEAP応答に変換される。
・EAPを使用し、ePDGが任意のEAP法を提案する。これにより、MTは、TEにPPP LCP Request−EAP authを送信するようになる。TEは、これに対してLCPレベルでACK又はNAKのいずれかを行い、その後これが、MTにおいてIKEv2内の適当なEAP応答に変換される。
1.新たな情報要素に含める。
2.PBU/PBA内ですでに指定されているプロトコル構成オプション(PCO)情報要素にユーザクレデンシャル情報を含める。
・CHAPパスワード情報要素
・CHAPチャレンジ情報要素
・PAPパスワード情報要素
・ユーザ名情報要素(この情報要素内の識別情報は、例えばPMIPvβと共に使用するMN識別子とは異なることがある)
セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対してユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを挿入された第1の認証要求を作成するための手段と、
この認証データに基づいて、通信ネットワークに対してユーザ装置を認証するための第1の認証要求を送信するための手段と、
通信ネットワークに対する認証後、通信ネットワークの外部のパケットデータネットワークに対してユーザ装置を認証するための第2の認証要求を作成する手段と、
第2の認証要求を送信する手段と、
を備えた装置が提供される。
セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対してユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを含む第1の認証要求を受け取るための手段と、
この認証データに基づいて、通信ネットワークに対してユーザ装置を認証するための手段と、
通信ネットワークの外部のパケットデータネットワークに対してユーザ装置を認証するための第2の認証要求をユーザ装置から受け取るための手段と、
ユーザ装置から受け取った認証データ及びユーザの識別情報を含むバインディングアップデートメッセージを作成するための手段と、
このバインディングアップデートメッセージをパケットデータネットワークのゲートウェイ装置に送信するための手段と、
を備えた装置が提供される。
ユーザ装置をパケットデータネットワークに対して認証するのに役立つ識別情報及び認証データを含むバインディングアップデートメッセージ受け取るための手段と、
この識別情報及び認証データに基づいてアクセス要求を作成するための手段と、
このアクセス要求メッセージをネットワーク認証要素に送信するための手段と、
を備えた装置が提供される。
− (機器、装置及び/又はそのモジュールの例として、或いは装置及び/又はそのモジュールを含むエンティティの例として)ソフトウェアコード部分として実装される可能性が高く、ネットワーク要素又は端末においてプロセッサを使用して実行される方法ステップは、ソフトウェアコードには依存せず、これらの方法ステップにより定められる機能が維持される限り、あらゆる既知の又は将来開発されるプログラミング言語を使用して規定することができる。
− 一般に、いずれの方法ステップも、実施される機能の面で本発明の発想を変更することなくソフトウェアとして又はハードウェアによって実現するのに適している。
− 上記で定義した装置、又はそのいずれかの(単複の)モジュールにおいてハードウェア構成要素として実装される可能性が高い方法ステップ及び/又は機器、ユニット又は手段(上述したようなUE、ePDG、PGWなどの、上述した実施形態による装置の機能を実施する機器)は、ハードウェアに依存せず、MOS(金属酸化膜半導体)、CMOS(相補型MOS)、BiMOS(バイポーラMOS)、BiCMOS(バイポーラCMOS)、ECL(エミッタ結合型論理)、TTL(トランジスタ−トランジスタ論理)などのいずれかの公知の又は将来開発されるハードウェア技術又はこれらのいずれかの雑種を使用して、例えばASIC(特定用途向けIC(集積回路))構成要素、FPGA(フィールドプログラマブルゲートアレイ)構成要素、CPLD(結合プログラムマブル論理回路)構成要素又はDSP(デジタルシグナルプロセッサ)構成要素を使用して実装することができる。
− (上記で定義した装置、又はこれらのそれぞれの手段のいずれか1つなどの)機器、ユニット又は手段は、個々の機器、ユニット又は手段として実装することができるが、これは、これらの機器、ユニット又は手段の機能が維持される限り、これらがシステム全体を通じて分散方式で実装されることを除外するものではない。
− 装置は、半導体チップ、チップセット、このようなチップ又はチップセットを含む(ハードウェア)モジュールによって表すことができるが、これは、装置又はモジュールの機能が、ハードウェアで実装される代わりに、プロセッサ上における実行/動作のための実行可能ソフトウェアコード部分を含むコンピュータプログラム又はコンピュータプログラム製品などの(ソフトウェア)モジュール内のソフトウェアとして実装される可能性を除外するものではない。
− 例えば、機器は、互いに機能的に連携しているか、又は互いに機能的には独立しているが同じ装置のハウジング内に存在するかにより、1つの装置として、又は複数の装置の組立品として見なすことができる。
11:プロセッサ
12:メモリ
13:インターフェイス
14:バス
17:リンク
18:リンク
20:ePDG
21:プロセッサ
22:メモリ
23:インターフェイス
24:バス
30:PGW
31:プロセッサ
32:メモリ
33:インターフェイス
34:バス
Claims (37)
- セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対して前記ユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを挿入された第1の認証要求を作成するステップと、
前記認証データに基づいて、前記通信ネットワークに対して前記ユーザ装置を認証するための前記第1の認証要求を送信するステップと、
前記通信ネットワークに対する認証後、前記通信ネットワークの外部のパケットデータネットワークに対して前記ユーザ装置を認証するための第2の認証要求を作成するステップと、
前記第2の認証要求を送信するステップと、
を含むことを特徴とする方法。 - 前記第1の認証要求を送信する前に、複数の認証がサポートされている旨の指示を受け取るステップと、
複数の認証がサポートされている旨の指示を前記第1の認証要求に挿入するステップと、
をさらに含むことを特徴とする請求項1に記載の方法。 - 前記ユーザ装置の識別情報を含む要求を送信するステップをさらに含む、
ことを特徴とする請求項1又は請求項2に記載の方法。 - 構成パラメータを含む認証応答を受け取るステップをさらに含む、
ことを特徴とする請求項1から請求項3のいずれか1項に記載の方法。 - セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対して前記ユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを含む第1の認証要求を受け取るステップと、
前記認証データに基づいて、前記通信ネットワークに対して前記ユーザ装置を認証するステップと、
前記通信ネットワークの外部のパケットデータネットワークに対して前記ユーザ装置を認証するための第2の認証要求を前記ユーザ装置から受け取るステップと、
前記ユーザ装置から受け取った前記認証データ及び前記ユーザの識別情報を含むバインディングアップデートメッセージを作成するステップと、
前記バインディングアップデートメッセージを前記パケットデータネットワークのゲートウェイ装置に送信するステップと、
を含むことを特徴とする方法。 - 前記認証データは、前記バインディングアップデートメッセージ内の専用情報要素に含まれる、
ことを特徴とする請求項5に記載の方法。 - 前記認証データは、前記バインディングアップデートメッセージ内のプロトコル構成オプション情報要素に含まれる、
ことを特徴とする請求項5に記載の方法。 - 前記バインディングアップデートメッセージ内に、パスワード情報要素、認証プロトコルチャレンジ情報要素及び/又はユーザ名情報要素を含む複数の情報要素が提供される、
ことを特徴とする請求項5から請求項7のいずれか1項に記載の方法。 - 複数の認証がサポートされている旨の指示を含む前記第1の認証要求を受け取る前に、複数の認証がサポートされている旨の指示を送信するステップをさらに含む、
ことを特徴とする請求項5から請求項8のうちのいずれかに記載の方法。 - 前記ユーザ装置から、該ユーザ装置の識別情報を含む要求を受け取るステップをさらに含む、
ことを特徴とする請求項5から請求項9のいずれか1項に記載の方法。 - 前記ゲートウェイ装置から、構成パラメータを含むバインディングアップデート応答を受け取るステップと、
構成パラメータを含む認証応答を前記ユーザ装置に送信するステップと、
をさらに含むことを特徴とする請求項5から請求項10のいずれか1項に記載の方法。 - ユーザ装置をパケットデータネットワークに対して認証するのに役立つ識別情報及び認証データを含むバインディングアップデートメッセージを受け取るステップと、
前記識別情報及び認証データに基づいてアクセス要求を作成するステップと、
前記アクセス要求メッセージをネットワーク認証要素に送信するステップと、
を含むことを特徴とする方法。 - 前記認証データは、前記バインディングアップデートメッセージ内の専用情報要素に含まれる、
ことを特徴とする請求項12に記載の方法。 - 前記認証データは、前記バインディングアップデートメッセージ内のプロトコル構成オプション情報要素に含まれる、
ことを特徴とする請求項12に記載の方法。 - 前記バインディングアップデートメッセージ内に、認証プロトコルパスワード情報要素、認証プロトコルチャレンジ情報要素、パスワード情報要素及び/又はユーザ名情報要素を含む複数の情報要素が提供される、
ことを特徴とする請求項12から請求項14のいずれか1項に記載の方法。 - 前記バインディングアップデートメッセージに応答して、構成パラメータを含むバインディングアップデート応答を送信するステップをさらに含む、
ことを特徴とする請求項12から請求項15のいずれか1項に記載の方法。 - セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対して前記ユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを含む第1の認証要求を、前記ユーザ装置から第1のゲートウェイ装置に送信するステップと、
前記認証データに基づいて、前記ユーザ装置を前記通信ネットワークに対して認証するステップと、
前記通信ネットワークの外部のパケットデータネットワークに対して前記ユーザ装置を認証するための第2の認証要求を、前記ユーザ装置から前記第1のゲートウェイ装置に送信するステップと、
前記ユーザ装置から受け取った前記認証データ及び前記ユーザの識別情報を含むバインディングアップデートメッセージを作成するステップと、
前記バインディングアップデートメッセージを、前記第1のゲートウェイ装置から前記パケットデータネットワークの第2のゲートウェイ装置に送信するステップと、
を含むことを特徴とする方法。 - 前記識別情報及び認証データに基づいて、前記第2のゲートウェイ装置からネットワーク認証要素にアクセス要求を送信するステップと、
前記第2のゲートウェイ装置において、前記ネットワーク認証要素からのアクセス承認メッセージを受け取るステップと、
をさらに含むことを特徴とする請求項17に記載の方法。 - 前記第2のゲートウェイ装置から前記第1のゲートウェイ装置に、構成パラメータを含むバインディングアップデート応答を送信するステップと、
構成パラメータを含む認証応答を前記第1のゲートウェイ装置から前記ユーザ装置に送信するステップと、
をさらに含むことを特徴とする請求項18に記載の方法。 - セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対して前記ユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを挿入された第1の認証要求を作成するように構成されたプロセッサと、
前記認証データに基づいて、前記ユーザ装置を前記通信ネットワークに対して認証するための前記第1の認証要求を送信するように構成されたインターフェイスと、
を備え、
前記プロセッサは、前記通信ネットワークに対する認証後、前記通信ネットワークの外部のパケットデータネットワークに対して前記ユーザ装置を認証するための第2の認証要求を作成するようにさらに構成され、
前記インターフェイスは、前記第2の認証要求を送信するようにさらに構成される、
ことを特徴とする装置。 - 前記プロセッサは、前記第1の認証要求を送信する前に、複数の認証がサポートされている旨の指示を受け取るように構成され、
前記プロセッサは、複数の認証がサポートされている旨の指示を前記第1の認証要求に挿入するように構成される、
ことを特徴とする請求項20に記載の装置。 - 前記インターフェイスは、前記ユーザ装置の識別情報を含む要求を送信するように構成される、
ことを特徴とする請求項20又は請求項21に記載の装置。 - 前記インターフェイスは、構成パラメータを含む認証応答を受け取るように構成される、
ことを特徴とする請求項20から請求項22のいずれか1項に記載の装置。 - セキュリティ対策が施されていないアクセスネットワークを越えてユーザ装置に接続性を提供する通信ネットワークに対して前記ユーザ装置を認証するための、鍵情報交換メカニズムの認証要求であるとともに認証データを含む第1の認証要求を受け取るように構成されたインターフェイスと、
前記認証データに基づいて、前記ユーザ装置を前記通信ネットワークに対して認証するように構成されたプロセッサと、
を備え、
前記インターフェイスは、前記通信ネットワークの外部のパケットデータネットワークに対して前記ユーザ装置を認証するための第2の認証要求を前記ユーザ装置から受け取るようにさらに構成され、
前記プロセッサは、前記ユーザ装置から受け取った前記認証データ及び前記ユーザ装置の識別情報を含むバインディングアップデートメッセージを作成するようにさらに構成され、
前記インターフェイスは、前記バインディングアップデートメッセージを前記パケットデータネットワークのゲートウェイ装置に送信するようにさらに構成される、
ことを特徴とする装置。 - 前記プロセッサは、前記バインディングアップデートメッセージ内の専用情報要素に前記認証データを含めるように構成される、
ことを特徴とする請求項24に記載の装置。 - 前記プロセッサは、前記バインディングアップデートメッセージ内のプロトコル構成オプション情報要素に前記認証データを含めるように構成される、
ことを特徴とする請求項24に記載の装置。 - 前記バインディングアップデートメッセージ内に、パスワード情報要素、認証プロトコルチャレンジ情報要素及び/又はユーザ名情報要素を含む複数の情報要素が提供される、
ことを特徴とする請求項24から請求項26のいずれか1項に記載の装置。 - 前記プロセッサは、複数の認証をサポートするように構成され、
前記インターフェイスは、複数の認証がサポートされている旨の指示を含む前記第1の認証要求を受け取る前に、複数の認証がサポートされている旨の指示を送信するように構成される、
ことを特徴とする請求項24から請求項27のいずれか1項に記載の装置。 - 前記インターフェイスは、前記ユーザ装置から、該ユーザ装置の識別情報を含む要求を受け取るようにさらに構成される、
ことを特徴とする請求項24から請求項28のいずれか1項に記載の装置。 - 前記インターフェイスは、前記ゲートウェイ装置から、構成パラメータを含むバインディングアップデート応答を受け取るようにさらに構成され、
前記プロセッサは、構成パラメータを含む認証応答を作成するように構成され、
前記インターフェイスは、前記認証応答を前記ユーザ装置に送信するようにさらに構成される、
ことを特徴とする請求項24から請求項29のいずれか1項に記載の装置。 - ユーザ装置をパケットデータネットワークに対して認証するのに役立つ識別情報及び認証データを含むバインディングアップデートメッセージを受け取るように構成されたインターフェイスと、
前記識別情報及び認証データに基づいてアクセス要求を作成するように構成されたプロセッサと、
を備え、前記インターフェイスは、前記アクセス要求メッセージをネットワーク認証要素に送信するようにさらに構成される、
ことを特徴とする装置。 - 前記認証データは、前記バインディングアップデートメッセージ内の専用情報要素に含まれる、
ことを特徴とする請求項31に記載の装置。 - 前記認証データは、前記バインディングアップデートメッセージ内のプロトコル構成オプション情報要素に含まれる、
ことを特徴とする請求項31に記載の装置。 - 前記バインディングアップデートメッセージ内に、パスワード情報要素、認証プロトコルチャレンジ情報要素及び/又はユーザ名情報要素を含む複数の情報要素が提供される、
ことを特徴とする請求項31から請求項33のいずれか1項に記載の装置。 - 前記プロセッサは、構成パラメータを含むバインディングアップデート応答を作成するようにさらに構成され、
前記インターフェイスは、前記バインディングアップデートメッセージに応答して、前記バインディングアップデート応答を送信するように構成される、
ことを特徴とする請求項31から請求項34のいずれか1項に記載の装置。 - ソフトウェアコード部分を有するプログラムを含むコンピュータプログラム製品であって、前記ソフトウェアコード部分は、装置のプロセッサ上で実行された時に、請求項1から請求項4、又は請求項5から請求項11、又は請求項12から請求項16、又は請求項17から請求項19のいずれか1項に記載の方法を実行するように構成される、
ことを特徴とするコンピュータプログラム製品。 - 前記コンピュータプログラム製品は、前記ソフトウェアコード部分を記憶するコンピュータ可読媒体を含み、及び/又は、前記プログラムは、前記プロセッサの内部メモリに直接ロード可能である、
ことを特徴とする請求項36に記載のコンピュータプログラム製品。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2011/050475 WO2012095184A1 (en) | 2011-01-14 | 2011-01-14 | External authentication support over an untrusted network |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015195680A Division JP6189389B2 (ja) | 2015-10-01 | 2015-10-01 | 信頼できないネットワークを介した外部認証サポート |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2014507855A true JP2014507855A (ja) | 2014-03-27 |
Family
ID=43901410
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013548756A Pending JP2014507855A (ja) | 2011-01-14 | 2011-01-14 | 信頼できないネットワークを介した外部認証サポート |
Country Status (9)
Country | Link |
---|---|
US (2) | US9641525B2 (ja) |
EP (1) | EP2664100B1 (ja) |
JP (1) | JP2014507855A (ja) |
KR (1) | KR101589574B1 (ja) |
CN (1) | CN103299578A (ja) |
AU (1) | AU2011355322B2 (ja) |
BR (1) | BR112013017889B1 (ja) |
MX (1) | MX2013008150A (ja) |
WO (1) | WO2012095184A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103957152A (zh) * | 2014-04-22 | 2014-07-30 | 广州杰赛科技股份有限公司 | IPv4与IPv6网络通信方法及NAT-PT网关 |
JP2016525855A (ja) * | 2013-08-15 | 2016-08-25 | ▲華▼▲為▼▲終▼端有限公司 | モデムダイヤルアップのための方法およびブロードバンドデバイス |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103024737B (zh) * | 2011-09-23 | 2017-08-11 | 中兴通讯股份有限公司 | 可信任非3gpp接入网元、接入移动网络及去附着方法 |
US20140071907A1 (en) * | 2012-05-04 | 2014-03-13 | Telefonaktiebolaget L M Ericsson (Publ) | Method and Apparatus for Handling PDN Connections |
US9538560B1 (en) * | 2012-09-13 | 2017-01-03 | Cisco Technology, Inc. | Protocol configuration options (PCOS) in untrusted WLAN access |
US10091637B2 (en) * | 2014-01-28 | 2018-10-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Providing information to a service in a communication network |
US10284524B2 (en) * | 2014-08-21 | 2019-05-07 | James Armand Baldwin | Secure auto-provisioning device network |
US9332015B1 (en) | 2014-10-30 | 2016-05-03 | Cisco Technology, Inc. | System and method for providing error handling in an untrusted network environment |
JP6449088B2 (ja) * | 2015-03-31 | 2019-01-09 | 株式会社日立製作所 | 情報収集システム、情報収集システムにおける接続制御方法 |
EP3277006B1 (en) * | 2015-04-22 | 2020-07-08 | Huawei Technologies Co., Ltd. | Method, apparatus and system for authorizing access point name |
US9730062B2 (en) * | 2015-04-30 | 2017-08-08 | Intel IP Corporation | AT command for secure ESM information |
US9602493B2 (en) | 2015-05-19 | 2017-03-21 | Cisco Technology, Inc. | Implicit challenge authentication process |
JP2017004133A (ja) * | 2015-06-08 | 2017-01-05 | 株式会社リコー | サービス提供システム、情報処理システム、情報処理装置、サービス提供方法、及びプログラム |
US9967148B2 (en) | 2015-07-09 | 2018-05-08 | Oracle International Corporation | Methods, systems, and computer readable media for selective diameter topology hiding |
US10237795B2 (en) * | 2015-10-11 | 2019-03-19 | Qualcomm Incorporated | Evolved packet data gateway (EPDG) reselection |
CN106686589B (zh) * | 2015-11-09 | 2020-04-28 | 中国电信股份有限公司 | 一种实现VoWiFi业务的方法、系统及AAA服务器 |
US10033736B2 (en) | 2016-01-21 | 2018-07-24 | Oracle International Corporation | Methods, systems, and computer readable media for remote authentication dial-in user service (radius) topology hiding |
US10419994B2 (en) * | 2016-04-08 | 2019-09-17 | Electronics And Telecommunications Research Institute | Non-access stratum based access method and terminal supporting the same |
KR102088717B1 (ko) * | 2016-04-08 | 2020-03-13 | 한국전자통신연구원 | 비접속계층 기반 액세스 방법 및 이를 지원하는 단말 |
EP3297222A1 (en) * | 2016-09-15 | 2018-03-21 | Eco-i Limited | Configuration gateway |
DK3319277T3 (da) * | 2016-11-08 | 2019-08-26 | Telia Co Ab | Tilvejebringelse af adgang til et netværk |
CN112534851B (zh) * | 2018-08-07 | 2024-04-26 | 联想(新加坡)私人有限公司 | 委托数据连接 |
US11558737B2 (en) | 2021-01-08 | 2023-01-17 | Oracle International Corporation | Methods, systems, and computer readable media for preventing subscriber identifier leakage |
US11888894B2 (en) | 2021-04-21 | 2024-01-30 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks |
US11627467B2 (en) | 2021-05-05 | 2023-04-11 | Oracle International Corporation | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces |
US11695563B2 (en) | 2021-05-07 | 2023-07-04 | Oracle International Corporation | Methods, systems, and computer readable media for single-use authentication messages |
US11570689B2 (en) | 2021-05-07 | 2023-01-31 | Oracle International Corporation | Methods, systems, and computer readable media for hiding network function instance identifiers |
US11638155B2 (en) | 2021-05-07 | 2023-04-25 | Oracle International Corporation | Methods, systems, and computer readable media for protecting against mass network function (NF) deregistration attacks |
Family Cites Families (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7900242B2 (en) * | 2001-07-12 | 2011-03-01 | Nokia Corporation | Modular authentication and authorization scheme for internet protocol |
US7441043B1 (en) * | 2002-12-31 | 2008-10-21 | At&T Corp. | System and method to support networking functions for mobile hosts that access multiple networks |
CN100550955C (zh) | 2003-05-26 | 2009-10-14 | 华为技术有限公司 | 大容量宽带接入方法及系统 |
EP1503538B1 (de) * | 2003-07-31 | 2007-03-07 | Siemens Aktiengesellschaft | Verfahren zum Ermitteln eines Abrechnungstarifs für eine Datenübertragung |
US8341700B2 (en) * | 2003-10-13 | 2012-12-25 | Nokia Corporation | Authentication in heterogeneous IP networks |
RU2354066C2 (ru) | 2003-11-07 | 2009-04-27 | Телеком Италия С.П.А. | Способ и система для аутентификации пользователя системы обработки данных |
US8046829B2 (en) * | 2004-08-17 | 2011-10-25 | Toshiba America Research, Inc. | Method for dynamically and securely establishing a tunnel |
US8607051B2 (en) * | 2006-04-11 | 2013-12-10 | Qualcomm Incorporated | Method and apparatus for binding multiple authentications |
US8239671B2 (en) * | 2006-04-20 | 2012-08-07 | Toshiba America Research, Inc. | Channel binding mechanism based on parameter binding in key derivation |
JP4763560B2 (ja) * | 2006-09-14 | 2011-08-31 | 富士通株式会社 | 接続支援装置 |
US8707416B2 (en) * | 2007-01-19 | 2014-04-22 | Toshiba America Research, Inc. | Bootstrapping kerberos from EAP (BKE) |
EP2037652A3 (en) * | 2007-06-19 | 2009-05-27 | Panasonic Corporation | Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network |
CN101330740A (zh) | 2007-06-22 | 2008-12-24 | 中兴通讯股份有限公司 | 一种无线网络中的网关选择方法 |
EP2172045B1 (en) * | 2007-06-22 | 2018-08-01 | InterDigital Technology Corporation | Signaling in a wireless communication system |
CN101345998B (zh) | 2007-07-12 | 2011-12-28 | 华为技术有限公司 | 接入网络切换方法、锚点管理设备、移动接入设备 |
CN101374055B (zh) | 2007-08-20 | 2012-12-12 | 华为技术有限公司 | 计费处理方法和网络系统、分组数据网络网关及计费系统 |
US8335490B2 (en) * | 2007-08-24 | 2012-12-18 | Futurewei Technologies, Inc. | Roaming Wi-Fi access in fixed network architectures |
GB2453526B (en) | 2007-09-28 | 2009-11-18 | Samsung Electronics Co Ltd | Communication method and apparatus |
EP2079253A1 (en) * | 2008-01-09 | 2009-07-15 | Panasonic Corporation | Non-3GPP to 3GPP network handover optimizations |
US8224330B2 (en) * | 2008-08-07 | 2012-07-17 | Futurewei Technologies, Inc. | Method and system for interworking between two different networks |
EP2166724A1 (en) | 2008-09-23 | 2010-03-24 | Panasonic Corporation | Optimization of handovers to untrusted non-3GPP networks |
US8307205B2 (en) * | 2008-09-24 | 2012-11-06 | Interdigital Patent Holdings, Inc. | Home node-B apparatus and security protocols |
US8654716B2 (en) * | 2008-11-14 | 2014-02-18 | Futurewei Technologies, Inc. | System and method for name binding for multiple packet data network access |
EP2377355B1 (en) * | 2008-12-10 | 2020-08-05 | Nokia Solutions and Networks Oy | Assignment of a common network address to multiple network interfaces of a computing device |
US8566455B1 (en) * | 2008-12-17 | 2013-10-22 | Marvell International Ltd. | Method and apparatus for supporting multiple connections in 3GPP systems |
US8270978B1 (en) * | 2009-01-06 | 2012-09-18 | Marvell International Ltd. | Method and apparatus for performing a handover between a non-3GPP access and a 3GPP access using Gn/Gp SGSNs |
US8059643B1 (en) * | 2009-05-11 | 2011-11-15 | Sprint Communications Company L.P. | IPv4 and IPv6 single session on a home agent |
WO2011137928A1 (en) | 2010-05-04 | 2011-11-10 | Nokia Siemens Networks Oy | Packet data network connection with non-transparent interworking mode |
-
2011
- 2011-01-14 KR KR1020137021363A patent/KR101589574B1/ko active IP Right Grant
- 2011-01-14 BR BR112013017889-2A patent/BR112013017889B1/pt active IP Right Grant
- 2011-01-14 JP JP2013548756A patent/JP2014507855A/ja active Pending
- 2011-01-14 WO PCT/EP2011/050475 patent/WO2012095184A1/en active Application Filing
- 2011-01-14 MX MX2013008150A patent/MX2013008150A/es unknown
- 2011-01-14 US US13/978,273 patent/US9641525B2/en active Active
- 2011-01-14 EP EP11700419.2A patent/EP2664100B1/en active Active
- 2011-01-14 CN CN2011800648875A patent/CN103299578A/zh active Pending
- 2011-01-14 AU AU2011355322A patent/AU2011355322B2/en active Active
-
2017
- 2017-02-08 US US15/427,819 patent/US10581816B2/en active Active
Non-Patent Citations (3)
Title |
---|
JPN6014029856; LG Electronics: 'Access to private networks with S2b' 3GPP TSG SA WG2 Meeting #82 , 20101109 * |
JPN6014029857; P. Eronen and J. Korhonen: 'Multiple Authentication Exchanges in the Internet Key Exchange (IKEv2) Protocol' Request for Comments: 4739 , 200611 * |
JPN6014029858; Nokia Siemens Network: 'Introducing user credentials in PCO for S2b' 3GPP TSG SA WG2 Meeting #79 , 20100504 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016525855A (ja) * | 2013-08-15 | 2016-08-25 | ▲華▼▲為▼▲終▼端有限公司 | モデムダイヤルアップのための方法およびブロードバンドデバイス |
US10009290B2 (en) | 2013-08-15 | 2018-06-26 | Huawei Device Co., Ltd. | Method and broadband device for modem dial-up |
CN103957152A (zh) * | 2014-04-22 | 2014-07-30 | 广州杰赛科技股份有限公司 | IPv4与IPv6网络通信方法及NAT-PT网关 |
CN103957152B (zh) * | 2014-04-22 | 2017-04-19 | 广州杰赛科技股份有限公司 | IPv4与IPv6网络通信方法及NAT‑PT网关 |
Also Published As
Publication number | Publication date |
---|---|
MX2013008150A (es) | 2013-09-13 |
WO2012095184A1 (en) | 2012-07-19 |
KR20130114727A (ko) | 2013-10-17 |
US9641525B2 (en) | 2017-05-02 |
EP2664100A1 (en) | 2013-11-20 |
AU2011355322A1 (en) | 2013-08-01 |
AU2011355322B2 (en) | 2016-11-03 |
BR112013017889A2 (pt) | 2020-11-17 |
US20130290722A1 (en) | 2013-10-31 |
KR101589574B1 (ko) | 2016-01-28 |
RU2013137968A (ru) | 2015-02-20 |
US10581816B2 (en) | 2020-03-03 |
US20170149751A1 (en) | 2017-05-25 |
EP2664100B1 (en) | 2018-12-05 |
CN103299578A (zh) | 2013-09-11 |
BR112013017889B1 (pt) | 2021-12-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10581816B2 (en) | External authentication support over an untrusted network | |
US11818566B2 (en) | Unified authentication for integrated small cell and Wi-Fi networks | |
EP3408988B1 (en) | Method and apparatus for network access | |
CN101827364B (zh) | 双调制解调器装置 | |
ES2750031T3 (es) | Creación dinámica de cuentas con red de zona con cobertura inalámbrica asegurada | |
CN109804651A (zh) | 通过独立的非3gpp接入网络的核心网络附接 | |
WO2013004905A1 (en) | Trusted wireless local area network access | |
WO2012149783A1 (zh) | 用于接入移动网络的方法和装置以及用户设备 | |
JP2019533951A (ja) | 次世代システムの認証 | |
WO2011137928A1 (en) | Packet data network connection with non-transparent interworking mode | |
WO2012095179A1 (en) | External authentication support over untrusted access | |
JP6189389B2 (ja) | 信頼できないネットワークを介した外部認証サポート | |
RU2575682C2 (ru) | Поддержка внешней аутентификации через незащищенную сеть | |
CN103856933A (zh) | 一种漫游终端的认证方法、装置及服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140710 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140716 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20141016 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20141023 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150115 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20150601 |