JP4488719B2 - ネットワーク通信のためのレイヤ間の高速認証または再認証 - Google Patents

ネットワーク通信のためのレイヤ間の高速認証または再認証 Download PDF

Info

Publication number
JP4488719B2
JP4488719B2 JP2003389376A JP2003389376A JP4488719B2 JP 4488719 B2 JP4488719 B2 JP 4488719B2 JP 2003389376 A JP2003389376 A JP 2003389376A JP 2003389376 A JP2003389376 A JP 2003389376A JP 4488719 B2 JP4488719 B2 JP 4488719B2
Authority
JP
Japan
Prior art keywords
authentication
session
server
layer
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003389376A
Other languages
English (en)
Other versions
JP2004201288A (ja
Inventor
義洋 大場
泰弘 勝部
伸一 馬場
アンソニー・マコーレイ
サビア・ダス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Publication of JP2004201288A publication Critical patent/JP2004201288A/ja
Application granted granted Critical
Publication of JP4488719B2 publication Critical patent/JP4488719B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

この出願は、2002年11月19日にファイルされた米国仮出願 60/427,185の利益を請求し、その全体をここに組み込まれる。
本発明の態様はネットワーク通信の高速認証に係り、特に複数の認証プロトコルおよび/またはテクノロジ上のネットワーク通信/アクセスのための高速認証に関する。
ネットワークの使用は広範囲である。何百万人もの人々が毎日インターネットなどのネットワークに接続する。例えば、ネットワークは他人と通信するため、データを交換するためまたは事業活動を実行するために普通不可欠になった。インターネットにアクセスする装置と端末の数と型の急速な成長で、ユーザはネットワークにインターフェースする異なる複数のアクセスメディアとテクノロジ経由で持続できる能力を持っている装置を潜在的に使用することができる。しかしながら、より多くの人々がネットワーク上で通信の便利さを利用するとき、ネットワーク上の安全への関心も増大した。例えば、ユーザは、第三者が介入するか、または盗聴のリスクなしに別のユーザと通信することを望むかもしれない。また、安全な通信は、有線または無線のネットワークの何れかであるかもしれないネットワーク上の口座にアクセスするとか、個人情報にアクセスするとかいった多くの事業活動に必要である。ネットワーク上の彼の個人的な口座情報にアクセスすることを試みるユーザは、許可されない個人による盗聴または改竄の脅威なしに、認可された個人によってのみアクセスされる彼の個人的な情報を望んでいるだろう。
インターネットは安全を欠き、インターネットで使用されるプロトコルの多くが全くどんな安全も提供しない。ハッカーは非常に攻撃され易い、暗号化されずにネットワーク上を転送されるパスワードや、使われずにネットワークに残されたパスワードを嗅ぎ付けるツールをハッカーは所有している。また、いくつかのクライアント/サーバアプリケーションは、それを使用しているユーザのアイデンティティを提供することをクライアントプログラムに負っている。検証の過程がないかもしれないので、ハッカーは個人的なデータへの許可されないアクセスを得るために彼自身を詐称するかもしれない。いくつかのアプリケーションは、ユーザがすることを許可されている活動を実行するだけのためにユーザが彼自身自己制限するだけにまかせている。これらのアプリケーションにはどんな強制もなく、それはユーザが完全に正直でないなら、安全のの裂け目に通じるかもしれない。したがって、ネットワークアクセステクノロジは、ネットワーク安全の需要を満たすために急速に発展している。
安全の関心に対応して、ネットワークアクセス認証を提供するための方法とプロトコルが工夫された。トランスポートレイヤセキュリティー(Transport Layer Security(TLS))プロトコルは、SSLから導出され、証明書ベースのピア(peer(対等))の認証を提供することにより2つの通信アプリケーションの間にプライバシーとデータ一貫性を提供するために使用されている。したがって、TLSはネットワーク上に安全な通信を提供する。HTTPは元々、取扱い注意を要する要素の安全に注意せずにインターネットで自由に使用された。しかしながら、個人的なアプリケーションのためのHTTPの増加する使用は、安全を確実にするための手段を必要とした。TLSプロトコルを使用して、クライアントはサーバに接続を開始し、TLSハンドシェ−クを始める。TLSハンドシェ−クが完全になった後に、クライアントは第1のHTTP要求を開始する。HTTPデータはTLSアプリケーションデータとして送られる。例として、ユーザは安全なHTTPを通してインターネット上で彼の銀行口座にアクセスするかもしれない。安全なHTTPは、許可されないユーザが個人的な情報にアクセスしないように、TLSプロトコル安全トランスポートメカニズムを使用する。
TLSプロトコルはピアエンティティ間に安全な通信チャネルを提供する。ピアエンティティは、ピアエンティティが鍵情報を交換する接続で2つのピアエンティティの間での共有秘密鍵の使用により互いに自分たちを認証するかもしれない。Diffie-Hellman鍵共有プロトコルまたはRSA暗号方式などの公開鍵ベースのテクノロジおよび暗号方式は、秘密鍵を共有かつ作成するために使用される。例えば、第1および第2のユーザの各々が一組の値から得られる対応する個人的な値を発生させる。個人的な値を使用して、第1および第2のユーザの各々共有された秘密鍵を計算するために対応する公開値を発生しかつ交換する。秘密鍵が認可されたユーザのために認証を提供するので、第1および第2のユーザ間の通信が秘密鍵を所有していない許可されないユーザから保護される。
加えて、TLSはある情況の下でさらにセッション再開を提供する。秘密鍵が既に確立されているならば、既に確立したマスター秘密鍵を使用して通信エンティティ間の通信チャネルを保護するためにTLSを使用するアプリケーションの中での迅速なセッション再開をTLSはサポートする。
また、拡張可能な認証プロトコル(Extensible Authentication Protocol(EAP))が遠隔アクセスのユーザのためにユーザー認証の増加する需要に対応して開発された。EAPは様々なネットワーク認証方法の枠組みを提供する一般的なプロトコルである。元々PPP認証をサポートするために開発されたが、EAPは無線LANアクセス、レイヤ3ネットワークアクセス、レイヤ2ベースのネットワークテクノロジ、PANA(ネットワークアクセスの認証を伝えるためのプロトコル)、または例えば802.1Xのためのような他の認証プロトコルをサポートするために拡張された。いくつかの認証方法はクライアントと認証サーバの間で安全なチャンネルを確立するためにTLSメッセージを伝えることをサポートする。パスワードまたは他のデータが安全なチャンネル上で暗号で伝えられるかもしれない。EAPは、認証者が使用されるべき特定の認証メカニズムを決定する前により詳しい情報を要求することができるように、認証期間の間、特定の認証方法を選択する。TLSメッセージを伝えることをサポートするEAP認証方法は、例えばEAP-TLS(Extensible Authentication Protocol−Transport Layer Security、拡張可能な認証プロトコル−トランスポートレイヤセキュリティー)、EAP-TTLS(Extensible Authentication Protocol−Tunneled Transport Layer Security、拡張可能な認証のプロトコル−トンネルされたトランスポートレイヤセキュリティー)、またはPEAP(Protected Extensible Authentication Protocol、保護された拡張可能な認証プロトコル)を含んでいる。
TLSメッセージをサポートするEAP認証方法はTLSに基づく高速再認証をサポートするかもしれない。例えば、Funk Softwareによって開発されたOdysseyシステムは802.1XとEAP-TTLSに基づく無線LAN認証を提供する。例えばクライアントが単一のレイヤ2テクノロジ内で例えば、802.11aまたは802.11bアクセスポイント内でローミングするとき、このシステムは高速再認証のためにTLSセッション再開を使用する。しかしながら、この方法は、例えば無線LANおよびサーバベースのネットワーク間のローミング(roaming)、または無線LANおよび有線のイーサネット間のローミングといった規定されたテクノロジ群間のフレキシブルなローミングについて提供しない。
現在、安全を維持している間、クライアントが高速再認証で複数のレイヤ2テクノロジの中をローミングすることを許可する(すなわち、インターレイヤTLSシェアリング)ためのどんな方法またはシステムも知られていない。また、複数のレベルの認証と異なったレイヤでアクセス制御を実行するためのどんな方法またはシステムも知られていない。多重レイヤまたは1つ以上のレイヤの異なったサブネットにまたがって高速再認証を可能にすることは、より速い安全な認証を提供することによって再認証の間ユーザにより大きい便利を提供するであろう。
したがって、異なるレイヤにまたがって高速再認証を提供するため、または1つ以上のレイヤの異なったサブネットにまたがって高速再認証を提供するために、方法とシステムについてテクノロジの必要性が存在している。
通信セッションの高速認証または再認証を提供するための方法、システムおよび装置が提供される。例えば、ユーザ装置またはクライアントが完全な認証を通してネットワークにおける通信セッションを確立するかもしれない。完全な認証の間、セッションに関連づけられるセッション識別子が導出されるかもしれない。セッションはさらに多くの認証レイヤのいずれでも実行されるかもしれない。例えば、完全な認証は、レイヤ2の認証プロトコルとして802.1Xを使用してレイヤ2で実行されるかもしれない。また、完全な認証は、例えばPANA認証プロトコルを使用して、レイヤ3で実行されるかもしれない。
通信セッションは、高速認証を使用して再開されるかもしれない。高速認証を使用すると、認証はより効率的かつより大きい柔軟性で実行することができる。高速認証では、通信セッションのための要求はユーザ装置またはクライアントから受け取られるかもしれない。要求はさらにセッション識別子を含むかもしれない。本発明の一例では、サーバは要求を受け取って、セッション識別子と以前に確立したセッションと関連する記憶されたセッション識別子とを比較するかもしれない。一致が見つけられるならば、セッションは高速認証を使用して再開されるかもしれない。
本発明の別の例では、セッションは第1のセッションとは異なった認証レイヤ、異なったネットワークインタフェースまたはテクノロジ上で再開される。例えば、第1のセッションが、認証プロトコルとして例えば802.1Xを使用しているレイヤ2の認証レイヤ上にあるかもしれない。この例には、再開されるセッションは異なる認証レイヤ上にあるかもしれない。例えば、再開されるセッションは、レイヤ3の認証レイヤ上で高速認証を使用して再開されるかもしれない。
本発明の別の例では、セッションは異なったネットワークインタフェース上で再開される。例えば、ユーザ装置は802.11インタフェースを通してネットワークに接続されるかもしれない。完全な認証が802.1Xを通してレイヤ2で実行され、例えば対応するセッション識別子が決定されるなら、高速認証は、ユーザ装置を異なるインタフェースを通してネットワークに接続することによって、セッション再開に使用されるかもしれない。例として、セッションは高速認証を使用してPANAが実行している物理インタフェースを通して再開されるかもしれない。
その結果、本発明は複数の規定された認証プロトコルまたはネットワークインタフェースにわたってセッション再開に高速認証を使用してより大きな柔軟性と効率を提供する。
本発明の態様は、ユーザ装置またはネットワークにアクセスするクライアントおよび認証者(例えば、サーバ)間の高速認証または再認証を提供するシステムと方法を提供する。高速認証または再認証は、例えばインターレイヤシェアリングなどのレイヤにまたがって、または1つ以上のレイヤの異なるサブネットワークにまたがって実行されるかもしれない。どんな確立されたセッションも検出されないなら、完全な認証が実行されるかもしれない。
ユーザ装置が証明書およびパスワードなどのユーザ認可確立情報に基づきサーバのような認証者からセッションを要求するとき、ユーザ装置セッションの完全な認証が起こる。特に、完全な認証は検出される要求されたセッションに基づく予め確立されたセッションがないときに通常起こる。完全な認証において、ユーザ装置はネットワークにアクセスするために証明書を入手する。例えば、無線LANを通してネットワークへのアクセスがあるかもしれない。ここに述べる方法に限定されないが、フロッピーディスク、SDカードまたはPCMCIAメモリカードなどの携帯用の記憶媒体を通して、または、有線のイーサネットインタフェースを通るLANへの接続を通してといったさまざまな方法で証明書が得られるかもしれない。完全な認証はレイヤ2(802.1X)またはレイヤ3(例えば、PANA)のような認証レイヤを通して起こる。ユーザ装置がレイヤ2を通してネットワークに接続されるが、例えば、802.1Xベースの認証をサポートしないとき、完全な認証はレイヤ3(例えば、PANA)を通して実行されるかもしれない。
完全な認証において、ユーザ装置にインストールされるユーザ証明書は認証者(例えば、サーバ)に提示される。ユーザ証明書の提示は、例えば、EAP-TLSを通してあるかもしれない。認証者、即ちサーバがユーザ証明書を受け取って、ユーザ証明書の状態を確認し、証明書が有効であるならば、ユーザ証明書に基づいて、ユーザ装置との認証セッションを確立する。
通常、完全な認証はマスター秘密鍵を発生させて、ユーザ装置と認証者(すなわち、サーバ)との間でマスター秘密鍵を共有することを含む。例えば、802.1X認証では、鍵は認証者(すなわち、サーバ)から802.11アクセスポイントへ分配され、ユーザ装置と802.11アクセスポイントとの間の安全なデータ交換に使用される。したがって、完全な認証、証明書交換および鍵交換が通常実行され、セッション識別子が導出されるかもしれない。これらの時間がかかるステップの実行により、完全な認証は証明書または鍵交換シーケンスを必要としない高速の、即ち迅速な認証より多くの時間を必要とする。
高速の、即ち迅速な認証において、セッション識別子はユーザ装置と認証者(すなわち、サーバ)との間の確立したセッションで関連づけられて導出される。セッション識別子は活動的または再開可能なセッション状態を認識する任意のバイト系列であるかもしれない。セッション識別子は以前の接続、現在の接続または任意の他の現に活動的な接続から導出されているかもしれない。セッション識別子が現在の接続から導出されているならば、クライアントは例えば、ランダム構成と接続の導出された値を更新するかもしれない。セッション識別子が別の現在アクティブな接続から導出されているならば、完全なハンドシェ−クプロトコルを繰り返すことなく多くの独立した安全な接続が確立されるかもしれない。セッションの再開の要求は確立されたセッションに関連したセッション識別子を含むかもしれない。例えば、セッションは証明書および鍵交換シーケンスを含む完全な認証を通して確立されるかもしれない。セッション識別子はまたセッションに関連づけられて導出されるかもしれない。セッションの再開が例えば、セッションの切断に従って要求されるとき、セッション識別子は受け取られて、以前に確立されたセッションに対応している記憶されたセッション識別子と比較されるかもしれない。セッションの切断はさまざまな方法で起こるかもしれない。例えば、ユーザが移動し、セッションが新しい位置で再開されなければならないような第1のセッションの範囲外へローミングするかもしれない。また、ユーザは例えば、別のインタフェースまたは認証レイヤに切り替えるかもしれない。
受信されたセッション識別子が記憶されたセッション識別子に対応しているなら、ユーザ装置と認証者(すなわち、サーバ)との間で高速認証が実行されるかもしれない。高速認証においては、例えば、証明書または鍵交換シーケンスを実行しないでハンドシェ−クを完了することによってセッションが再利用されるので、高速認証または再認証では、セッションは完全な認証と比較してより迅速に再開されるかもしれない。
本発明の一実施例では、Mobility Communication System(MCS)がユーザ装置または移動装置の安全で速いローミングのサポートを含むネットワークセキュリティを提供する。モビリティは、例えばサブネットワーク間ローミング、サブネットワーク内ローミング、レイヤ間セッションシェアリング、またはミッドセッションIPモビリティハンドオフのような高速な認証または再認証を通して高められるかもしれない。
一実施例では、システムは無線LANまたは802.1Xベースの認証を含むかもしれない。そのようなシステムにおいては、802.11のパケット毎の暗号鍵のダイナミックな生成と分配または安全で速いローミングがあるかもしれない。システムはさらにセキュリティ機構の付加的なレイヤまたは高位レイヤを含むかもしれない。例えば、システムはレイヤ2とレイヤ3の無線セキュリティ機構を含むかもしれない。レイヤ2の無線機構は802.1Xまたは無線LANを含むかもしれず、レイヤ3の無線機構はPANAベースのユーザー認証を含むかもしれない。
システムは、安全な通信チャネルをピアエンティティの間に提供するためにさまざまなピア認証技術を利用するかもしれない。例えば、トランスポートレイヤセキュリティー(TLS)は、ピアエンティティ間の安全な通信チャネルが証明書ベースのピア認証を通して確立されるかもしれないところで使用されるかもしれない。TLSと共に、マスターの秘密鍵が生成されて、鍵情報は公開鍵テクノロジに基づいて共有されかつ交換される。さらに、TLSは既に確立されたマスター秘密鍵の再認証を基礎にしてここに議論されるように高速再認証能力を提供する。高速認証または再認証で、セッションは例えば、通常完全な認証手順で実行される証明書または鍵交換シーケンスを実行することなしに再開されるかもしれない。TLS“セッション再開”(すなわち、高速認証)では、ピアの間で既に確立されたマスター秘密鍵が再認証ピアに認可確立情報として使用されるかもしれない。したがって、新しいマスター鍵を作成するために複雑で負担になる暗号計算を含む時間がかかる完全な認証を実行する代わりに、高速再認証がTLSのセッション再開能力を通してより効率的に達成されるかもしれない。
TLSメッセージは認証方法をサポートする枠組みに伝えられるかもしれない。そのような枠組みに関する1つの例が拡張可能な認証プロトコル(EAP)である。EAPは任意の数の認証方法をサポートする。例えば、EAPはPPPネットワークアクセス認証をサポートする。しかしながら、EAPはまたIEEE 802.1XやPANA(Protocol for Carrying Authentication for Network Access、ネットワークアクセスのための認証を伝えるためのプロトコル)のような他のネットワークアクセス認証方法をサポートするかもしれない。IEEE 802.1Xはレイヤ2のネットワークベースのテクノロジに関する例である。さらに、EAPと共に使用される認証方法はクライアントと認証サーバとの間で安全なチャンネルを確立するTLSメッセージを伝えるかもしれない。これらの認証方法は、例えばEAP-TLS(拡張可能な認証プロトコル−トランスポートレイヤセキュリティー)、EAP-TTLS(EAP−Tunneled TLS protocol、EAP−トンネルされたTLSプロトコル)、またはPEAP(Protected EAP、プロトコルされたEAP)を含んでいる。また、TLSメッセージをサポートするEAPで使用される認証方法はTLSセッション再開を通して高速再認証をさらにサポートするかもしれない。
PANAはEAPによってサポートされる高位レイヤの認証ネットワークアクセス認証プロトコルである。PANAはIEEE 802.1Xなどのレイヤ2のテクノロジから独自に機能するレイヤ3のプロトコルである。PANAはレイヤ2のプロトコルから独自に使用されるが、PANAはまた、例えば異なる目的のためIEEE 802.1Xのようなレイヤ2プロトコルと同時に、または並列して使用されるかもしれない。PANAがまたTLSベースの認証をサポートするEAPによってサポートされるので、PANAは認証のためにより安全な方法を提供するクライアントを認証するためにEAPを伝えるかもしれない。
図1は本発明の例示的システムを示す。図1はレイヤ2とレイヤ3の認証の同時または、並列な使用ができるシステムを示す。この例では、ユーザ装置101はシステムに接続する。ユーザ装置101はコンピュータやPDAなどのモバイル装置であるかもしれないが、ネットワーク上で通信することができるユーザ装置のどんなバラエティーも使用されるかもしれない。ユーザ装置101は安全なコンポーネントを通して認証者と通信するかもしれない。例えば、ユーザ装置101は802.11インタフェース(示されない)を通してMCSサーバ(Mobile Communication Server、移動通信サーバ) 103と通信するかもしれず、ユーザ装置101の認証はレイヤ2(104)で達成されるかもしれない。MCSサーバ103はユーザを認証するために使用されるユーザの認可確立情報を維持するかもしれない。802.1Xプロトコル109を通してユーザによって送られたメッセージはアクセスポイント106によって傍受されるかもしれない。アクセスポイント106はユーザ装置101からのEAPメッセージを傍受して、メッセージをMCSサーバ103に転送するかもしれない。アクセスポイント106からMCSサーバ103までのメッセージの通路が、RADIUSまたはDiameterプロトコル107のようなAAAプロトコル(すなわち、認証、認可、および課金プロトコル)で伝えられるメッセージ、またはMCSノードサーバ 111がユーザ装置とMCSサーバ103との間のTLSメッセージを通過させるTLSプロキシとして動作できるなら、TLSプロトコルによって伝えられるメッセージを含むかもしれない。この様に無線LANで接続されたユーザ装置101は、許可されないユーザがデータにアクセスしないような安全性を必要とするかもしれない。
この例では、802.1Xはレイヤ2の認証104がEAPベースの認証をサポートすることができるようにEAP(108)を伝えることをサポートする。EAP-TLSメカニズムの下における完全な認証のために、ユーザは最初に802.11無線LANからネットワークにアクセスする証明書を入手するかもしれない。しかしながら、ユーザ証明書が任意の数の対応するネットワークおよび認証プロトコルに適用できるとき、ユーザ証明書は802.11無線LANに制限されない。例えば、ユーザはPANA認証に使用するため証明書を入手するかもしれない。ユーザ証明書は多くの方法で得られるかもしれない。例えば、ユーザ証明書はフロッピーディスク、SDカードまたはPCMCIAメモリカードなどの任意の移動可能な記憶装置と読み込み可能な媒体を通しても得られるかもしれない。代わりに、証明書は有線のイーサネットインタフェースを通して認証者が位置するサブネットワークから得られるかもしれない。さらに、ユーザ証明書は、ユーザ証明書を記憶する装置を接続しているクレイドル(cradle)を通してユーザ装置101を接続することにより得られるかもしれない。従って、ユーザ証明書はユーザ証明書を記憶する装置から得られるかもしれない。完全な認証は、認証が成功するようにユーザ証明書をユーザが提示することを必ずしも必要としない。代わりに、ユーザは、安全なTLSトンネルによって伝えられることができる認可確立情報のようなユーザネーム/パスワードを使用することができる。
図1の例において、完全な認証の間、ユーザ装置101にインストールされたユーザ証明書は、例えばEAP-TLSを通してMCSサーバ103に提示されるかもしれない。EAPメッセージはユーザ装置101からアクセスポイント106へ伝送される。アクセスポイント106はユーザ装置101からEAPメッセージを受け取って、メッセージをMCSサーバ103に転送する。ユーザ証明書がアクティブディレクトリサービスサーバ(Active Directory Services Server(ADS))105からのユーザ証明書の状態の検証の後にMCSサーバ103により有効であると考えられるならば、MCSサーバ103はユーザを認証するかもしれない。例えば、MCSサーバ103は図1に示されたようにライトウエイトディレクトリアクセスプロトコル(Lightweight Directory Access Protocol(LDAP 115)を使用することによりADS サーバ 105にアクセスするかもしれない。ユーザが認証された後に、TLSセッションは認証セッションとして確立され、TLSセッションはTLSセッション識別子によって識別されるかもしれない。TLSセッションはユーザ装置101とMCS サーバ 103との間で発生されかつ共有されたマスター秘密鍵と関連づけられるかもしれない。新しいTLSセッション識別子が割り当てられるとき、それはMCSサーバによって通常割り当てられる。
図1はさらにレイヤ3の認証110として高位レイヤの認証を示す。この例では、PANA 114がユーザ装置101からレイヤ3アクセスポイントへEAPメッセージを伝えるプロトコルとして使用されるかもしれない。この例において、レイヤ3のアクセスポイントはPANA認証代理人であるかもしれないMCSノードサーバ 111である。レイヤ2の認証のときのように、レイヤ3の認証のEAPメッセージはRADIUSまたはDiameter 112のようなAAAプロトコルを使用することによってバックグラウンドで伝えられるかもしれない。レイヤ2の認証104の成功裡の終了とTLSセッション識別子の発生の後にレイヤ3の認証110が実行されるならば、レイヤ2の認証104からのTLSセッション識別子はレイヤ3の認証110のために使用され、レイヤ3の認証110はまた、この例においてユーザ装置101とMCSノードサーバ11との間のEAPキャリヤーとしてPANA 114と共にEAPメッセージを伝えるかもしれない。したがって、インターレイヤTLSセッションシェアリング113を使用して、TLSセッション再開の機能性はレイヤ2とレイヤ3の認証の両方に使用され、セッション情報は異なったレイヤの認証によって共有されるかもしれない。この場合、TLSセッション再開は高速認証または再認証を通して達成されるかもしれない。
記述されたように、確立されたTLSセッションは高速認証または再認証に使用されるかもしれない。高速認証または再認証は、異なった認証レイヤにまたがったトランジション、例えば異なったレイヤが異なったアクセス制御にかかわるとき、または異なったテクノロジあるいは異なった位置にまたがっトランジションを含んでトランジションをまたがって実行されるかもしれない。また、高速認証または再認証はどんな組み合わせのトランジションが起こるときも、実行されるかもしれない。例えば、インターレイヤTLSセッションシェアリングでは、例えば、レイヤ2(例えば、802.1X)からレイヤ3(例えば、PANA)へのトランジションは異なった認証レイヤにまたがって起こるかもしれない。また、高速認証または再認証がテクノロジ内またはテクノロジ間ハンドオフ中、あるいは再接続中に実行されるかもしれない。TLSセッションのようなセッションが以前に確立されたならば、セッション識別子は、対応するセッションIDを指定するEAP上のTLSハンドシェ−クが実行されるような、高速認証または再認証を通してTLSセッションの再開を達成することができるように導出されるかもしれない。一致が見つけられるならば、セッションは高速認証の下で再開されるかもしれない。例えば、ユーザ証明書を交換することなく、または鍵交換シーケンスを実行することなくTLSハンドシェ−クは完了するかもしれない。したがって、高速認証は完全な認証よりも効率的である。
図2はTLSセッションシェアリングにおける高速認証の例を示す。2つの異なる物理的な位置、例えば、2つのネットワークインターフェース(例えば、図2で示されたように802.11(230)とワイアードイーサネット(235))のある応接室210およびオフィス220が図2で描かれる。この例では、ユーザ装置が新しい位置に動くとき、ユーザ装置は異なるアクセスポイントに接続する必要があると仮定される。また、図2に示されているのは2つの認証レイヤ、レイヤ 2(802. 1X)245とレイヤ 3(PANA)240である。ステップA1とA2は同じ802.1Xの無線のインタフェースおよび同じ位置(すなわち、それぞれ応接室210とオフィス220)について認証レイヤ間のインターレイヤTLSシェアリングを示す。この例では、ユーザ装置を有するユーザはレイヤ2の認証245とレイヤ3の認証240の両方の間でセッション情報を共有するかもしれない。これは、例えば異なったレイヤが異なったアクセス制御にかかわるとき、役に立つかもしれない。
また、図2はテクノロジ内ハンドオフおよびテクノロジ間ハンドオフに関する例を示す。例えば、ユーザは応接室210で確立された無線LANの802.1X TLSセッションに従事しているかもしれない。無線LANに接続するために同じインタフェースを使用している間、ユーザは彼の位置を応接室210からオフィス220に変えるかもしれない。ハンドオフはステップB1またはB2で示されるように同じテクノロジと同じインタフェース内で応接室210からオフィス220へ起こる。1つの例では、TLSセッション再開は無線LANユーザがアクセスポイントの間をローミングする無線LANローミングに適用されるかもしれない。無線LANユーザが第1のアクセスポイント(例えば、応接室210)の範囲の外にローミングして、第2のアクセスポイント(例えば、オフィス220)の範囲に入るとき、第1のアクセスポイントが現在範囲外にあるので、第2のアクセスポイントはTLSセッションを確立するかもしれない。しかしながら、第2のアクセスポイントは第1のアクセスポイントの様ではなく、既にクライアントを認証していなかったので、第2のアクセスポイントはクライアントを再認証する必要があるかもしれない。無線LANローミングについて、セッション再開はレイヤ2のテクノロジ認証プロトコル内で達成されるかもしれない。例えば、802.1XはポイントツーポイントIEEE 802 LANセグメント上で働くように設計されたレイヤ2の認証プロトコルとして使用されるかもしれない。802.1Xプロトコルは認証者によって認証されるべきレイヤ2のネットワークアクセスユーザ間で実行する。
テクノロジ間ハンドオフの別の実施例は図2のステップC1で例示される。ハンドオフは2つのネットワークインタフェース間で起こるかもしれない。この例では、ネットワークインタフェースは各々任意の異なった型である。例えば、ステップC1で示されるように、ユーザは無線LANインタフェース(802.11)230から同じ認証レイヤ(例えば、レイヤ3)内の有線のイーサネットインタフェース235にインタフェースを変えるかもしれない。
図2のステップA3+C2はテクノロジ内ハンドオフとテクノロジ間ハンドオフの組み合わせを示す。ハンドオフは異なったネットワークインタフェースと異なった認証レイヤの間で達成されるかもしれない。ネットワークインタフェースは各々任意の異なった型であるかもしれず、認証レイヤは各々任意の異なった型であるかもしれない。この例では、また、レイヤ2の認証およびレイヤ3の認証の両方の間でセッション情報を共有する間に、位置(すなわち、オフィス220の)変更をすることなく、ユーザは有線のイーサネットインタフェース235から無線LANインタフェース230にインタフェースを変えるかもしれない。
別に説明される実施例(図示されない)では、異なった位置、テクノロジ間ハンドオフと認証レイヤ間のインターレイヤTLSシェアリングとの間のハンドオフの組み合わせが実行されるかもしれない。ハンドオフは異なったネットワークインタフェース、異なった位置および異なった認証レイヤの間で達成されるかもしれない。ネットワークインタフェースは各々任意の異なった型であってもよく、認証レイヤは各々異なった任意の型であってもよく、そして、位置は異なっていてもよい。この例では、ユーザは、また、セッション情報を共有している間、位置の変化(例えば、応接室からオフィスへ)と同様に有線のイーサネットインタフェース235から無線LANインタフェース230にインタフェースを変えてもよい。
別の例は802.1X(図示されない)を使用することによって有線のイーサネット上でレイヤ2の認証を実行することである。テクノロジ内ハンドオフまたはテクノロジ間ハンドオフが、記述されたように異なったネットワークインタフェース(例えば、802.11)へ、または異なったネットワークインタフェースから同様に起るかもしれず、あるいは異なった認証レイヤ(例えば、レイヤ2とレイヤ3)へ、または異なった認証レイヤから同様に起るかもしれない。
図2はまた再接続を示す。ステップDは、ユーザ装置が接続を再確立するため同じインタフェース、同じ位置および同じ認証レイヤを使用し続けるかもしれないことを示す。例えば、ユーザが装置を停止するとき、ユーザは確立されたTLSセッションに従事しているかもしれない。時間が経過した後に、ユーザは装置に戻り、ネットワークに接続を再び確立するようにそれをオンするかもしれない。どんなハンドオフもこの例では起らないが、認証状態がアクセスポイントで取り除かれるので、再認証は起こるかもしれない。アクセスポイントは安全の目的のために長い認証状態を保持しない。例えば、ユーザが装置を停止した時、認証状態がまだアクティブであるなら第三者はアクセスポイントにアクセスすることを試みるかもしれない。
ここに記述したように、TLSセッションシェアリングはマルチレイヤの認証、テクノロジ内ハンドオフ、テクノロジ間ハンドオフおよび再接続を含むさまざまな状況における再認証に使用されるかもしれない。TLSセッションシェアリングは、複数のプロトコルエンティティがオペレーティングシステムで別々の処理として実行されるプロトコルエンティティとTLSセッションを共有するようなシステムにおいて実行されるかもしれない。したがって、TLSセッションシェアリングテクノロジの実施に関する一例では、プロトコル特定モジュールは任意のモジュールが一組の手順を含むところで使用されるかもしれない。
TLSセッションシェアリングテクノロジの実施は別々のプログラムまたはプロセスとして実施されるプロトコルモジュールを含むかもしれない。この場合、別々のモジュールは、TLSセッション管理モジュールとそれぞれのプロトコルモジュールの間でTLSセッション管理を実行するか、または通信方式を定義するために提供されるかもしれない。図3はTLSセッションシェアリングの実施のための一般的な構成の例を示す。この例において、セッションはTLSセッションを管理するTLSセッション管理モジュール301を利用する。TLSセッション管理モジュール301はプロトコルモジュールの中で共有されたTLSセッションを記憶して、アプリケーションプログラミングインターフェース(API)(図示されない)のようなモジュール間通信メカニズムを通して他のモジュール(302、303、304)と通信するかもしれない。例えば、プロトコル特定モジュールが新しいTLSセッションを作成し、既存のTLSセッションを削除し、既存のTLSセッションのパラメタを変更し、既存のTLSセッションの特定のパラメタを抽出し、またはTLS接続上でデータを送り/受け取るならば、モジュール間通信メカニズムは、通信を容易にするために使用されるかもしれない。さらに、モジュール間通信メカニズムはまた、モジュールのピアリングを提供し、その結果、信頼されたモジュールだけが互いに通信することができ、または適切なエラー処理を実行することができるようにピアモジュールの使用不能を検出するかもしれない。
TLSセッションシェアリングの実施のモジュールの構成は改良されたTLSセッション管理を提供する。プロトコルモジュールが区分かつ分離され、TLSセッション管理がメモリイメージの形でTLSセッション情報を含んでいるならば、TLSセッションのメモリ位置を示すのにメモリポインタを使用しているプログラムは、メモリポインタが異なったプロセスの中で唯一でないかもしれないので、効力がないかもしれない。したがって、異なったプロセスエンティティが異なったプロセスのメモリポインタにアクセスするならば、メモリポインタが異なったプロセスの中で情報を共有するために使用されないかもしれないので、問題が起こるかもしれない。したがって、メモリポインタの代わりに外部のセッションハンドラが使用されるかもしれない。外部のセッションハンドラーはTLSセッション管理モジュールによって割り当てられた整数値であり、各々のプロトコル特定モジュールのために唯一である。このように、それぞれのプロトコル特定モジュールは唯一にTLSセッションを特定することができる。
遠隔プロセスを実行するモジュールがいつも働いているというわけではないので、TLSセッションシェアリングの実施のモジュールの構成はさらに機能性において頑丈さ(robustness)を提供する。例えば遠隔プロセスが終了するならば、遠隔プロセスはもはや動作していないと検出され、遠隔モジュールは利用できないとして検出されるかもしれない。
また、安全性はTLSセッションの実施のモジュール構成の重要な考慮すべき事柄であるかもしれない。したがって、例えば、許可されない情報を得るためにTLSセッションにモジュールを挿入する攻撃者を通して個人的な情報への第三者の攻撃者アクセスを防ぐために、モジュール間の通信はここに提供される安全基準を含むかもしれない。
図4は、TLSセッション管理モジュール401が1つのプロトコル特定モジュール(402)に組み込まれるか共同配置されるTLSセッションシェアリングの実施のため代替の構成を示す。そして、TLSセッション管理モジュール401は他のプロトコル特定モジュール(403、404)と通信する。したがって、1つのプロトコル特定モジュールはサブモジュールとしてTLSセッション管理モジュールを含んでいる。例えば、特定プロトコルが他のプロトコルモジュールに対し優位であるときに、これは使用されるかもしれない。
TLSセッション管理モジュールは各TLSセッションに関するTLSセッション情報を維持する。TLSセッション情報はTLSプロトコルに特定の情報に加えてパラメタと他の情報を含むかもしれない。パラメタは例えば上で説明された外部のセッションハンドル、エンティティの数を示す整数値であるリファレンスカウンタ、TLSセッションを共有するエンティティ、またはプロトコルモジュール、TLSセッション管理モジュールを識別するためのサーバ識別子、サーバの公開および秘密鍵、または例えば、識別子、公開鍵、マスター秘密、乱数またはピアモジュールの使用不能を検出するタイマのようなクライアント情報など、これに制限されるわけではないが、プロトコル特定モジュールに関連づけられるパラメタを含むかもしれない。
各プロトコル特定モジュールは、外部セッションハンドルに制限されないがそれを含むセッション情報を維持し、またはサーバ識別子、即ち公開鍵、クライアント公開鍵、クライアント即ち、サーバと関連している乱数、マスター秘密またはピアモジュールの使用不能を検出するための“賦活タイマ(keep-alive timer)”のようなタイマなど、これに制限されないが、それらを含むパラメタを維持するかもしれない。
図5はピアモジュール使用不能検出に関する例を示す。この例では、“賦活”情報が認証される。例えば、識別子とメッセージの完全性チェック(MIC)パラメタは、TLSセッション管理モジュールからプロトコル特定モジュールへ接続が生きていることを保つように要求(例えば、“KEEP_ALIVE_REQUEST”)を送られるかもしれない。例えば、パラメタは安全を高めるためモジュールに記憶された乱数を含むかもしれない。賦活が予定された時間の期間内に行動しないなら、プロトコル特定モジュールはTLSセッション管理モジュールが利用できないとみなすことができる。この例では、TLSセッション管理モジュールが利用可能でないことが決定されるなら、TLSモジュールによって管理されるTLSセッションに関連する接続は終了される。同様に、TLSセッション管理モジュールがプロトコル特定モジュールの使用不能を検出するなら、古いTLSセッションはまたセッションを共有する他のモジュールがないならば、中止される。この場合、リファレンスウンタは、TLSセッションを共有するエンティティの数を示すように使用されるかもしれない。したがって、リファレンスカウンタがTLSセッションに付加的なモジュールがないことを示すならば、接続は終了される。
したがって、システムと方法は、高速認証を使用してネットワーク通信セッションを確立するために供給される。ネットワークシステムにおいて、クライアント、もしくはユーザ装置は完全な認証を使用してサーバと通信セッションを確立することができる。セッションが中断されるか、または中止されて、セッションの再開が要求されるならば、以前に確立したセッションのセッション識別子が要求されたセッションのセッション識別子と比較されるかもしれない。一致が検出されるなら、セッションは高速認証(または、再認証)手順を用いて再開されるかもしれないので、セッションがより効率的かつ便宜的に再開される。例えば、第1のセッションと再開された第2のセッションが異なった認証レイヤ、異なった型のネットワークインタフェースおよび/または異なった位置にあるときでさえも、高速認証は実行されるかもしれない。したがって、TLSセッションなどのセッションは802.1X、PANAまたはセルラーベースのシステムなどの複数の規定された認証プロトコルまたはテクノロジの中で機能を再開するかもしれない。
図6はピアモジュール(例えば、プロトコル特定モジュール)とTLSセッション管理モジュールとの間の接続確立の例を示す。ピアモジュールがTLSセッション管理モジュールと通信を開始するとき、それは例えばピアモジュールの公開鍵、およびノンスおよびDiffie-Hellman公開値のようなセキュリティアソシエーションのパラメタを含むメッセージ(例えば、“CLIENT_CERT”)を送る。TLSセッション管理モジュールがCLIENT_CERTメッセージを受け取るとき、それは例えばTLSセッション管理モジュールの公開鍵、およびノンスおよびピアモジュールへのDiffie-Hellman公開値のようなセキュリティアソシエーションのパラメタを含むメッセージ(例えば、“SERVER_CERT”)を返す。2つのメッセージのセキュリティアソシエーションのパラメタの対は、周知のDiffie-Hellman鍵交換アルゴリズムを使用することによって2つのエンティティの間に共有された鍵を確立するために使用される。次に、CLIENT_CERTメッセージに含まれる公開鍵を使用することによりピアモジュールがTLSセッション管理モジュールに認証されるようにするために、ピアモジュールは例えばCONNECT_REQUESTメッセージの完全性チェック値を含むメッセージ(“CONNECT_REQUEST”)を送る。CONNECT_REQUESTメッセージを受け取るTLSセッション管理モジュールは、メッセージの完全性チェックを実行し、TLSセッション管理モジュールがSERVER_CERTメッセージに含まれる公開鍵を使用することによってピアモジュールに認証されるようにするために、完全性チェック値と同様に有効性チェック結果を含むCONNECT_ACKを返す。CLIENT_CERTとSERVER_CERTを除いたすべてのメッセージが、図7および8に使用されたメッセージを含む共有された鍵を使用することによって暗号化されおよび/または完全保護されるかもしれない。
図7は切断シーケンスの例を示す。ピアモジュールがTLSセッション管理モジュールと確立された接続を終了したいとき、それはメッセージ(例えば、“DISCONNECT_REQUEST”)をTLSセッション管理モジュールに送り、TLSセッション管理モジュールはメッセージ(例えば、“DISCONNECT_ACK”)をピアモジュールに返す。ピアモジュールがDISCONNECT_ACKをTLSセッション管理モジュールへ返すその場合に、TLSセッション管理モジュールからDISCONNECT_REQUESTを送ることができる。
図8はTLSメッセージ交換シーケンスの例を示す。ピアモジュールとTLSセッション管理モジュールとの間で接続が確立された後と、接続が終了される前に、TLSメッセージ(“TLS_MESSAGE”)を伝えるメッセージが2つのエンティティの間で交換され、これらのメッセージはまた、TLSセッションを確認するために外部セッションハンドルを伝える。
本発明が多くの形と実施例をとることができることが理解される。ここに示された実施例は発明を制限するよりもむしろ例証するように意図され、変形が発明の範囲の精神から逸脱することなく成されることが認識される。
発明の例証された実施例が示されかつ記述されたが、広範囲の変更、変化、および代替は開示内に意図され、いくつかの例において本発明のいくつかの特徴は他の特徴の対応する使用なしで採用されるかもしれない。従って、添付された請求項が広くかつ発明の範囲と一致した方法で解釈されるのは、適切である。
本発明の態様に従った例示的システムを示す。 本発明の態様に従ったTLSセッションシェアリングにおける高速認証の例を示す。 本発明の態様に従ったTLSセッションシェアリングの実施のための一般的な構成の例を示す。 本発明の態様に従ったTLSセッションシェアリングの実施のための代りの一般的な構成を示す。 本発明の態様に従ったピア使用不能検出に関する例を示す。 本発明の態様に従ったピアモジュールとTLSセッション管理モジュールとの間の接続確立の例を示す。 本発明の態様に従った切断シーケンスの例を示す。 本発明の態様に従ったTLSメッセージ交換処理シーケンスの例を示す。
符号の説明
104…レイヤ2認証 110…レイヤ3認証 101…ユーザ装置 103…MCSサーバ 105…ADSサーバ 106…802.1Xアクセスポイント 301…TLSセッション管理モジュール 302、303、304…プロトコルモジュール

Claims (22)

  1. クライアントの第1のネットワークインタフェースを使用して、サーバとの間で第1のレイヤの完全な認証を行うことにより前記クライアントと前記サーバとの間に第1のセッションを確立するとともに、該第1のセッションと関連するセッション識別子として、前記サーバが第1のセッション識別子を、前記クライアントが第2のセッション識別子をそれぞれ導出し、
    前記クライアントの前記第1のネットワークインタフェースまたは該第1のネットワークインタフェースとは異なる第2のネットワークインタフェースと、前記第1のレイヤとは異なる第2のレイヤとを使用して、前記クライアントから、前記サーバとの間に第2のセッションを確立するための、前記第2のセッション識別子を含む要求を前記サーバが受け取り、
    前記サーバが、前記第1のセッション識別子と前記第2のセッション識別子を比較し、
    前記第1のセッション識別子と前記第2のセッション識別子とが一致しているとき、高速認証を使用して、前記クライアント及び前記サーバ間に前記第2のセッションを確立することを含む、高速認証を使用してネットワーク通信セッションを確立する方法。
  2. 前記第1のレイヤの認証は802.1X認証プロトコルを使用し、前記第2のレイヤの認証はPANA認証プロトコルを使用する請求項1の方法。
  3. 前記第1のネットワークインタフェースが802.11ネットワークインタフェースであり、前記第2のネットワークインタフェースが有線のイーサネットネットワークインタフェースである請求項1の方法。
  4. 前記第1のネットワークインタフェースが802.11ネットワークインタフェースであり、前記第2のネットワークインタフェースがセルラーベースのネットワークインタフェースである請求項1の方法。
  5. 前記クライアントと前記サーバとの間の前記第1のセッションを確立する前記ステップが、
    前記サーバが前記クライアントに対応しているユーザ認可確立情報を受け取り、
    前記ユーザ認可確立情報を検証し、
    前記検証に基づいて認証セッションを確立することを含む、請求項1の方法。
  6. 前記サーバがEAP-TLSを通して前記ユーザ認可確立情報を受け取る請求項5の方法。
  7. 前記ユーザ認可確立情報を検証する前記ステップがクライアント情報を記憶しているデータベースをアクセスすることを含む請求項5の方法。
  8. 前記ユーザ認可確立情報を検証する前記ステップがアクティブディレクトリサービス(ADS)にアクセスすることを含む請求項5の方法。
  9. 前記クライアントと前記サーバとの間の前記第1のセッションを確立する前記ステップがマスター秘密鍵を決定することを含み、前記マスター秘密鍵がクライアントおよびサーバ間で共有される請求項1の方法。
  10. 前記マスター秘密鍵がTLSセッションに関連づけられる請求項9の方法。
  11. 前記マスター秘密に基づくデータを保護するために鍵を導出すことをさらに含む請求項9の方法。
  12. 前記高速認証で前記第2のセッションを確立する前記ステップがユーザ認可確立情報を交換しないでハンドシェークを完了することを含む請求項1の方法。
  13. 前記高速認証で前記第2のセッションを確立する前記ステップが鍵を交換しないでハンドシェークを完了することをさらに含む請求項12の方法。
  14. 高速認証を使用してネットワーク通信セッションを確立するためのシステムであって、
    セッション識別子および第1認証レイヤでの通信セッションの要求を含むクライアントからのメッセージを中継するためのアクセスポイントと、
    前記アクセスポイントからのメッセージを受け取ることができ、かつ前記メッセージ中のセッション識別子を記憶されたセッション識別子と比較することができ、前記記憶されたセッション識別子が前記第1の認証レイヤとは異なる第2の認証レイヤで以前に前記クライアントとの間に確立されたセッションに対応して決定され且つ該クライアントと共有されているサーバとを含み、
    前記メッセージ中のセッション識別子が前記記憶されたセッション識別子に一致するなら、前記サーバが高速認証を使用してネットワーク通信セッションを確立するシステム。
  15. 前記サーバが認証、認可、および課金(AAA)プロトコルを通して前記アクセスポイントから前記メッセージを受け取る請求項14のシステム。
  16. AAAプロトコルがRADIUSまたはDiameterプロトコルである請求項15のシステム。
  17. 前記サーバがユーザ認可確立情報を受けて、検証する請求項14のシステム。
  18. 前記サーバがアクティブディレクトリサービスサーバ(ADS)にアクセスすることによって前記ユーザ認可確立情報を検証する請求項17のシステム。
  19. 前記アクセスすることがライトウエイトディレクトリアクセスプロトコル(LDAP)を通してアクセスすることを含む請求項18のシステム。
  20. 前記第1の認証レイヤがPANA認証プロトコルを使用し、前記第2の認証レイヤが802.1X認証プロトコルを使用する請求項14のシステム。
  21. 記サーバがユーザ証明書を交換しないでハンドシェークを完了することによって高速認証を使用してネットワーク通信セッションを確立する請求項14のシステム。
  22. 前記サーバが鍵を交換しないでハンドシェークを完了することによって高速認証を使用してネットワーク通信セッションを確立する請求項14のシステム。
JP2003389376A 2002-11-19 2003-11-19 ネットワーク通信のためのレイヤ間の高速認証または再認証 Expired - Fee Related JP4488719B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US42718502P 2002-11-19 2002-11-19
US10/609,685 US7587598B2 (en) 2002-11-19 2003-07-01 Interlayer fast authentication or re-authentication for network communication

Publications (2)

Publication Number Publication Date
JP2004201288A JP2004201288A (ja) 2004-07-15
JP4488719B2 true JP4488719B2 (ja) 2010-06-23

Family

ID=32302723

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003389376A Expired - Fee Related JP4488719B2 (ja) 2002-11-19 2003-11-19 ネットワーク通信のためのレイヤ間の高速認証または再認証

Country Status (2)

Country Link
US (1) US7587598B2 (ja)
JP (1) JP4488719B2 (ja)

Families Citing this family (74)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100480258B1 (ko) * 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
US20060179474A1 (en) * 2003-03-18 2006-08-10 Guillaume Bichot Authentication of a wlan connection using gprs/umts infrastructure
US7562390B1 (en) 2003-05-21 2009-07-14 Foundry Networks, Inc. System and method for ARP anti-spoofing security
RU2322766C2 (ru) * 2003-06-18 2008-04-20 Телефонактиеболагет Лм Эрикссон (Пабл) Способ, система и устройства для поддержки услуг протокола ip мобильной связи, версии 6
US7499548B2 (en) * 2003-06-24 2009-03-03 Intel Corporation Terminal authentication in a wireless network
US7302565B2 (en) * 2003-06-24 2007-11-27 Arraycomm Llc Terminal identity masking in a wireless network
US7876772B2 (en) 2003-08-01 2011-01-25 Foundry Networks, Llc System, method and apparatus for providing multiple access modes in a data communications network
US7774833B1 (en) 2003-09-23 2010-08-10 Foundry Networks, Inc. System and method for protecting CPU against remote access attacks
US7536464B1 (en) * 2003-09-25 2009-05-19 Cisco Technology, Inc. Methods and apparatus for performing layer 2 authentication and service selection in SSG based networks
US8528071B1 (en) * 2003-12-05 2013-09-03 Foundry Networks, Llc System and method for flexible authentication in a data communications network
EP1721477B1 (en) * 2004-03-03 2013-12-11 The Trustees of Columbia University in the City of New York Methods and systems for reducing mac layer handoff latency in wireless networks
US7549048B2 (en) * 2004-03-19 2009-06-16 Microsoft Corporation Efficient and secure authentication of computing systems
CN100375424C (zh) * 2004-03-22 2008-03-12 国际商业机器公司 多媒体消息收发方法、系统、网关和客户设备
US8370917B1 (en) * 2004-04-23 2013-02-05 Rockstar Consortium Us Lp Security bridging
US20050238171A1 (en) * 2004-04-26 2005-10-27 Lidong Chen Application authentication in wireless communication networks
US20060002330A1 (en) * 2004-07-01 2006-01-05 Lila Madour Method and system for providing network access to protocol for carrying authentication for network access (PANA) mobile terminals and point-to-point protocol (PPP) mobile terminals packet data network
US7194763B2 (en) * 2004-08-02 2007-03-20 Cisco Technology, Inc. Method and apparatus for determining authentication capabilities
US7577847B2 (en) * 2004-11-03 2009-08-18 Igt Location and user identification for online gaming
US8515490B2 (en) * 2004-12-30 2013-08-20 Alcatel Lucent Method and apparatus for providing same session switchover between end-user terminals
WO2006075856A1 (en) * 2005-01-17 2006-07-20 Lg Electronics Inc. Tls session management method in supl-based positioning system
US8280046B2 (en) * 2005-09-12 2012-10-02 Interdigital Technology Corporation Method and system for deriving an encryption key using joint randomness not shared by others
KR101253370B1 (ko) * 2005-01-27 2013-04-11 인터디지탈 테크날러지 코포레이션 다른 것에 공유되지 않는 결합 랜덤성을 이용하여 암호화키를 유도하는 방법 및 시스템
CN101288260A (zh) * 2005-01-27 2008-10-15 美商内数位科技公司 使用未由他人分享联合随机衍生秘钥方法及系统
BRPI0608531A2 (pt) 2005-02-11 2010-01-12 Nokia Corp método e aparelho para prover os procedimentos de auto-carregamento na rede de comunicação
JP2008530917A (ja) * 2005-02-11 2008-08-07 クゥアルコム・インコーポレイテッド コンテキスト制限された共有秘密
KR100595714B1 (ko) * 2005-04-01 2006-07-03 엘지전자 주식회사 Supl 기반의 위치정보 시스템에서 supl 초기화메시지 및 이를 이용한 supl 처리방법
US20060285519A1 (en) * 2005-06-15 2006-12-21 Vidya Narayanan Method and apparatus to facilitate handover key derivation
US8069475B2 (en) * 2005-09-01 2011-11-29 Alcatel Lucent Distributed authentication functionality
US20070157308A1 (en) * 2006-01-03 2007-07-05 Bardsley Jeffrey S Fail-safe network authentication
ATE463844T1 (de) * 2006-02-14 2010-04-15 Ericsson Telefon Ab L M Verfahren und vorrichtung zum authentifizieren
JP4742903B2 (ja) 2006-02-17 2011-08-10 日本電気株式会社 分散認証システム及び分散認証方法
US7958368B2 (en) * 2006-07-14 2011-06-07 Microsoft Corporation Password-authenticated groups
US7966489B2 (en) * 2006-08-01 2011-06-21 Cisco Technology, Inc. Method and apparatus for selecting an appropriate authentication method on a client
US7899185B2 (en) * 2006-09-06 2011-03-01 Mcgough Paul Real privacy management authentication system
US8108904B1 (en) * 2006-09-29 2012-01-31 Juniper Networks, Inc. Selective persistent storage of controller information
KR101329150B1 (ko) * 2006-12-08 2013-11-14 삼성전자주식회사 Pana 인증 방법 및 장치
US8307411B2 (en) * 2007-02-09 2012-11-06 Microsoft Corporation Generic framework for EAP
US8356176B2 (en) * 2007-02-09 2013-01-15 Research In Motion Limited Method and system for authenticating peer devices using EAP
JP4962117B2 (ja) * 2007-04-25 2012-06-27 コニカミノルタホールディングス株式会社 暗号通信処理方法及び暗号通信処理装置
JP5002337B2 (ja) * 2007-05-31 2012-08-15 株式会社東芝 ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法
US8646039B2 (en) * 2007-08-01 2014-02-04 Avaya Inc. Automated peer authentication
US8950001B2 (en) * 2007-08-01 2015-02-03 Avaya Inc. Continual peer authentication
JP4970189B2 (ja) * 2007-08-10 2012-07-04 株式会社東芝 認証装置およびネットワーク認証システム、ならびに端末装置を認証するための方法およびプログラム
US20090082019A1 (en) * 2007-09-24 2009-03-26 Marsico Peter J Methods, systems, and computer readable media for providing dynamic roaming arbitrage service
US8155128B2 (en) * 2007-09-26 2012-04-10 Alcatel Lucent Method and apparatus for establishing and managing diameter associations
US8341702B2 (en) * 2007-11-01 2012-12-25 Bridgewater Systems Corp. Methods for authenticating and authorizing a mobile device using tunneled extensible authentication protocol
US9008653B2 (en) 2008-08-15 2015-04-14 Tekelec, Inc. Systems, methods, and computer readable media for providing dynamic steering of roaming in a telecommunications network
US8769257B2 (en) * 2008-12-23 2014-07-01 Intel Corporation Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing
US8555069B2 (en) * 2009-03-06 2013-10-08 Microsoft Corporation Fast-reconnection of negotiable authentication network clients
FR2943198B1 (fr) * 2009-03-16 2011-05-20 Groupe Des Ecoles De Telecommunications Get Ecole Nationale Superieure Des Telecommunications Enst Procede de production de donnees de securisation, dispositif et programme d'ordinateur correspondant
CN102025685B (zh) * 2009-09-21 2013-09-11 华为技术有限公司 认证处理方法及装置
US9247008B2 (en) * 2010-03-18 2016-01-26 Microsoft Corporation Unified web service discovery
AU2010354077A1 (en) * 2010-05-28 2012-12-20 Unisys Corporation System and method for continuation of a web session
US9025951B2 (en) * 2010-10-18 2015-05-05 Calix, Inc. Provisioning network devices in Ethernet-based access networks
CN102170379B (zh) * 2011-05-19 2013-07-31 北京交通大学 一种针对一体化标识网络认证中心的测试方法
JP5701792B2 (ja) * 2012-02-27 2015-04-15 株式会社東芝 通信装置、通信方法及び通信プログラム
US9585012B2 (en) * 2012-05-14 2017-02-28 Futurewei Technologies, Inc. System and method for establishing a secure connection in communications systems
US8843738B2 (en) * 2012-05-14 2014-09-23 Sierra Wireless, Inc. TLS abbreviated session identifier protocol
US9075953B2 (en) 2012-07-31 2015-07-07 At&T Intellectual Property I, L.P. Method and apparatus for providing notification of detected error conditions in a network
US10104060B2 (en) * 2013-01-30 2018-10-16 Hewlett Packard Enterprise Development Lp Authenticating applications to a network service
CN105340307A (zh) * 2013-06-28 2016-02-17 日本电气株式会社 用于prose组通信的安全
EP3158704B1 (en) * 2014-06-23 2019-05-22 Telefonaktiebolaget LM Ericsson (publ) Methods and apparatuses for enabling an establishment of a second secure session over a communication network
CN107423883B (zh) * 2017-06-15 2020-04-07 创新先进技术有限公司 待处理业务的风险识别方法及装置、电子设备
WO2019143404A1 (en) 2018-01-16 2019-07-25 Raytheon Company High availability secure network including dual mode authentication
CN108696509B (zh) * 2018-04-11 2020-09-11 海信集团有限公司 一种终端的接入处理方法和装置
US11245685B2 (en) * 2019-01-23 2022-02-08 Mcafee, Llc Methods and apparatus to verify encrypted handshakes
US11836256B2 (en) * 2019-01-24 2023-12-05 International Business Machines Corporation Testing adversarial robustness of systems with limited access
US11657162B2 (en) * 2019-03-22 2023-05-23 Intel Corporation Adversarial training of neural networks using information about activation path differentials
US11727265B2 (en) * 2019-06-27 2023-08-15 Intel Corporation Methods and apparatus to provide machine programmed creative support to a user
US10999379B1 (en) 2019-09-26 2021-05-04 Juniper Networks, Inc. Liveness detection for an authenticated client session
US11611588B2 (en) * 2020-07-10 2023-03-21 Kyndryl, Inc. Deep learning network intrusion detection
US11824841B2 (en) * 2020-08-18 2023-11-21 T-Mobile Usa, Inc. Secure transport session resumption for constrained devices
US20220191003A1 (en) * 2021-12-10 2022-06-16 Tamas Mihaly Varhegyi Complete Tree Structure Encryption Software
US20230385400A1 (en) * 2022-05-27 2023-11-30 Toposware, Inc. Decentralized interoperable cross subnet architecture

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5625775A (en) * 1994-06-13 1997-04-29 International Business Machines Corporation Modem communication interface in a data processing system
US5889962A (en) * 1995-10-13 1999-03-30 Apple Computer, Inc. Method and system for providing an additional identifier for sessions in a file server
US6412007B1 (en) * 1999-01-14 2002-06-25 Cisco Technology, Inc. Mechanism for authorizing a data communication session between a client and a server
US6412077B1 (en) * 1999-01-14 2002-06-25 Cisco Technology, Inc. Disconnect policy for distributed computing systems
US6442608B1 (en) * 1999-01-14 2002-08-27 Cisco Technology, Inc. Distributed database system with authoritative node
US7260638B2 (en) * 2000-07-24 2007-08-21 Bluesocket, Inc. Method and system for enabling seamless roaming in a wireless network
US7360075B2 (en) * 2001-02-12 2008-04-15 Aventail Corporation, A Wholly Owned Subsidiary Of Sonicwall, Inc. Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols
US20020136226A1 (en) 2001-03-26 2002-09-26 Bluesocket, Inc. Methods and systems for enabling seamless roaming of mobile devices among wireless networks
US20020174335A1 (en) * 2001-03-30 2002-11-21 Junbiao Zhang IP-based AAA scheme for wireless LAN virtual operators
US7281128B2 (en) * 2001-10-22 2007-10-09 Extended Systems, Inc. One pass security
US6944610B2 (en) * 2001-10-31 2005-09-13 Bellsouth Intellectual Property Corporation System and method for searching heterogeneous electronic directories
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US6874031B2 (en) * 2002-10-07 2005-03-29 Qualcomm Inc. Method and apparatus for sharing authentication session state in a global distributed network
US7385957B2 (en) * 2002-11-14 2008-06-10 Qualcomm Incorporated Methods and apparatus for extending mobile IP
US20040203752A1 (en) * 2002-11-18 2004-10-14 Toshiba America Information Systems, Inc. Mobility communications system
WO2004046844A2 (en) * 2002-11-18 2004-06-03 Nokia Corporation Faster authentication with parallel message processing

Also Published As

Publication number Publication date
US20040098588A1 (en) 2004-05-20
JP2004201288A (ja) 2004-07-15
US7587598B2 (en) 2009-09-08

Similar Documents

Publication Publication Date Title
JP4488719B2 (ja) ネットワーク通信のためのレイヤ間の高速認証または再認証
AU2005204576B2 (en) Enabling stateless server-based pre-shared secrets
US7707412B2 (en) Linked authentication protocols
EP1955511B1 (en) Method and system for automated and secure provisioning of service access credentials for on-line services
US6879690B2 (en) Method and system for delegation of security procedures to a visited domain
EP1698141B1 (en) System and method for provisioning and authenticating via a network
JP5123209B2 (ja) モバイルネットワークに基づくエンドツーエンド通信での認証の方法、システム、および認証センタ
EP1422875B1 (en) Wireless network handoff key
US8046577B2 (en) Secure IP access protocol framework and supporting network architecture
US20090063851A1 (en) Establishing communications
EP1933498B1 (en) Method, system and device for negotiating about cipher key shared by ue and external equipment
CN109075973B (zh) 一种使用基于id的密码术进行网络和服务统一认证的方法
JP2006085719A (ja) 設定情報配布装置、認証設定転送装置、方法、プログラム、媒体及び設定情報受信プログラム
CA2414044C (en) A secure ip access protocol framework and supporting network architecture
Ali et al. A comparative study of authentication methods for wi-fi networks
EP3340530B1 (en) Transport layer security (tls) based method to generate and use a unique persistent node identity, and corresponding client and server
WO2018060163A1 (en) Method to generate and use a unique persistent node identity, corresponding initiator node and responder node
US11838428B2 (en) Certificate-based local UE authentication
Asokan et al. Man-in-the-middle in tunnelled authentication
Levkowetz Extensible Authentication Protocol (EAP) Key Management Framework By submitting this Internet-Draft, each author represents that any applicable patent or other IPR claims of which he or she is aware have been or will be disclosed, and any of which he or she becomes aware will be disclosed, in accordance with Section 6 of BCP 79.
Cam-Winget et al. RFC 5422: Dynamic Provisioning Using Flexible Authentication via Secure Tunneling Extensible Authentication Protocol (EAP-FAST)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080401

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080602

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090609

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090708

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100302

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100330

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130409

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 4488719

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130409

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140409

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees