JP4615239B2

JP4615239B2 - 独立したネットワーク間での共通の認証および認可の方法

Info

Publication number: JP4615239B2
Application number: JP2004101673A
Authority: JP
Inventors: ベネナティディヴィッド; モッシーズフェダーペレッツ; ユシャンリーナンシー; マーティン−レオンシルヴィア; シャピラリュウヴェン
Original assignee: アルカテル−ルーセントユーエスエーインコーポレーテッド
Priority date: 2003-03-31
Filing date: 2004-03-31
Publication date: 2011-01-19
Anticipated expiration: 2024-03-31
Also published as: JP2004304804A; ATE368347T1; EP1465385A1; KR20040086587A; CN1534921B; US7774828B2; CN1534921A; DE602004007708T2; KR101268892B1; US20040193712A1; DE602004007708D1; EP1465385B1

Description

本発明は、異種アクセス技術を有する独立したネットワーク間での共通の認証（ａｕｔｈｅｎｔｉｃａｔｉｏｎ）および認可（ａｕｔｈｏｒｉｚａｔｉｏｎ）の方法に関する。

高速パケット・データ・サービスのユーザには接続中に静止しているがポータブル（すなわち、異なる場所から接続可能）であるユーザ、ならびに接続中に移動しているユーザが含まれることがある。いくつかのアクセス技術（たとえば、ＩＥＥＥ８０２．１１ｂ）は比較的小さい（市内）カバレージ・エリア中の比較的静止しているがポータブルなワイヤレス・ユーザに焦点を当てている。これらのアクセス技術に基づくネットワークまたは通信システムはワイヤレスＬＡＮ（ＷＬＡＮ）と呼ばれることがある。符号分割多重アクセス（ＣＤＭＡ）技術を使用するものなど、他のワイヤレス技術は一般に、ワイド・エリア・カバレージ用に設計され、大きい距離（たとえば、都市間、国間、大洋横断）にわたって（たとえば、車両や列車中で）高速で移動していることがあるデータ・ユーザに適応する。

ＧｅｎｅｒａｌＰａｃｋｅｔＲａｄｉｏＳｅｒｖｉｃｅ（ＧＰＲＳ）、ｃｄｍａ２０００、またはＵｎｉｖｅｒｓａｌＭｏｂｉｌｅＴｅｌｅｃｏｍｍｕｎｉｃａｔｉｏｎＳｙｓｔｅｍ（ＵＭＴＳ）など、ワイド・エリア技術を使用するシステムは概して２．５Ｇまたは３Ｇシステムと呼ばれることがある。ワイヤレス２．Ｇおよび第３世代（３Ｇ）通信システムは現在、容量を増大し、データ・サービスをサポートしながらスペクトル的に効率的にするための技術を導入している。これらの努力は、たとえば、３Ｇ−１ｘ、１ｘＥＶ−ＤＯ、および１ｘＥＶ−ＤＶ標準の開発をもたらした。同様に、ＵＭＴＳ標準は、高速でかなりの距離を進行するデータ・ユーザに適応するために高速ダウンリンク・パケット・アクセス（ＨＳＤＰＡ）仕様の一部としていくつかの高度技術またはエンハンスメントを導入した。しかしながら、２．５Ｇ／３Ｇワイド・エリア・セルラ・ネットワーク・プロバイダによって現在達成可能なデータ転送速度は一般にＷＬＡＮによって達成可能なデータ転送速度ほど高くない。

したがって、２．５Ｇ／３Ｇシステム（たとえば、ＧＰＲＳ、ＣＤＭＡ、ＵＭＴＳ）およびＷＬＡＮ（たとえば、ＩＥＥＥ８０２．１１ｂを実装するシステム）は補足的強度を有するが、ユーザは両方を使用することを希望することがある。両方のシステムを使用する希望によって影響を受ける１つの領域は、いずれかのネットワークへのアクセス権を獲得するための認証および認可（ＡＡ）である。認証は、アクセスするユーザまたは加入者が自分が誰であると言っているかをネットワークまたはシステムが検証するプロセスである。認可は、特定の加入者が有効なアカウントを有し、サービスに対して課金することができ、および／または特定のサービスを使用することを許可されていることを検証するプロセスである。しかしながら、現在、ユーザは、アクセスされている各システムごとに別々のアカウントおよび認可証明（ｃｒｅｄｅｎｔｉａｌ）を必要とする。したがって、ユーザは（またはユーザのクライアント・ソフトウェア）が多数の異種ネットワーク間でアクセス権を獲得するために繰り返し認証し、認可を得る必要があるので、ネットワーク間のシームレスなユーザ遷移が不可能である。

異種アクセス技術を有する独立したネットワーク間での共通の認証および認可（ＡＡ）を提供する方法はネットワーク間のシームレスなユーザ遷移を可能にすることができる。１つのネットワークへのアクセス権を獲得しようと試みるユーザからＡＡ証明のセットを受信することができ、ＡＡ証明のセットを検証するために別のネットワークの加入者データベースを使用することができる。ネットワークに共通の通信プロトコルを使用することができる。さらに、ユーザは多数の通信プロトコル・レイヤ上で使用可能な認証および認可（ＡＡ）証明の単一のセットを使用することができる。さらに、ユーザはデータ・リンク・レイヤでのＡＡ課題および返答セッション中にユーザのキー材料を収集することによって２つまたはそれ以上のネットワーク間でローミングするときに単一の認証および認可（ＡＡ）操作を実行することができる。収集した材料はユーザがネットワーク間を遷移する際に上側ネットワーク・レイヤまたは別のネットワークでのＡＡ課題用に使用することができる。

別の例示的実施形態では、ユーザのＡＡ証明のセットを訪問ネットワークから独立したプロキシＡＡＡサーバに認証要求の一部として転送することができ、プロキシＡＡＡサーバからの認証要求をユーザのセルラ・サービス・プロバイダに中継することができる。ユーザのセルラ・サービス・プロバイダはユーザのＡＡ証明のセットを認証要求の一部としてユーザのプライベート・ホーム・ネットワークに直接転送することができるか、または要求を別のプロキシＡＡＡサーバにプロキシし、その別のプロキシＡＡＡサーバがユーザのＡＡ証明のセットを含有する要求をユーザのプライベート・ホーム・ネットワークに中継することができる。

本発明の例示的実施形態は本明細書で以下に記載する詳細な説明、および例としてのみ記載し、したがって本発明の例示的実施形態を限定しない、同じ要素が同じ参照番号によって表される、添付の図面からより十分に理解されるであろう。

本発明の原理は、共通の認証および認可（ＡＡ）用のワイヤレス・ローカル・エリア・ネットワーク（ＷＬＡＮ）システムをもつ２．５Ｇ／３Ｇシステムなど、ワイド・エリア・セルラ・ワイヤレス通信システムを統合するコンテキストで説明し、この例示的コンテキストで説明するが、本明細書で図示し、説明する例示的実施形態は例示的なものにすぎず、決して限定的なものではない。したがって、他の伝送システムに応用するためにさまざまな改変が当業者には明らかであり、本明細書の教示によって企図される。たとえば、例示的実施形態は、システム１およびシステム２が異なるアクセス・ネットワーク技術のものである、すなわち、システム１をワイヤラインｘＤＳＬシステムとすることができ、システム２を３Ｇｃｄｍａ２０００システムとすることができる、共通ＡＡ用の任意の２つのシステムを統合するように構成することができる。

本明細書で使用する場合、基地ステーション、アクセス・ネットワーク、無線アクセス・ネットワーク（ＲＡＮ）または無線ネットワーク（ＲＮ）、システム装置またはノードＢという用語のいずれも同義とすることができる。各用語は、たとえば、インターネットなどパケット・データ・ネットワーク（ＰＤＮ）間のデータ接続性を提供する装置、および１つまたは複数のモバイル・ステーションを記述することができる。さらに、モバイル・ステーション、モバイル・ユーザ、ユーザ、ユーザ装置（ＵＥ）、モバイル、遠隔ステーション、モバイル加入者または加入者という用語は、本明細書で使用する場合、同義と考えることができ、たとえば、ワイヤレス通信ネットワーク中のワイヤレス・リソースまたはユーザにデータ接続性を提供するデバイスの遠隔ユーザを記述することができる。

本発明の例示的実施形態は独立したネットワーク間での共通の認証および認可（ＡＡ）の方法を対象とする。少なくとも２つのネットワークの１つへのアクセス権を獲得しようと試みるユーザからＡＡ証明のセットを受信し、ＡＡ証明のセットを検証するために２つのネットワークの１つによって所有される加入者データベースにアクセスする。

別の例示的実施形態は２つのネットワークに共通の通信プロトコルを使用してユーザのＡＡ証明を認証し、認可する。さらなる例示的実施形態は、ユーザが２つまたはそれ以上の独立したネットワークにアクセスするための方法であって、ユーザがいずれかのネットワークにアクセスするために多数の通信プロトコル・レイヤ上で使用可能な認証および認可（ＡＡ）証明の単一のセットを使用する方法を対象とする。別の例示的実施形態は、ユーザが少なくとも２つの独立した、異種のアクセス・ネットワーク間でローミングするときに単一の認証および認可（ＡＡ）操作を実行するための方法であって、データ・リンク・レイヤでＡＡ課題中にユーザ認証およびキー材料を収集し、ユーザがあるアクセス・ネットワークから別のアクセス・ネットワークに遷移する際に、収集したキー材料を上側ネットワーク・レイヤでＡＡ課題用に通信する方法を対象とする。

図１は、本発明の例示的実施形態によるユーザとユーザのホーム・ネットワークとの間のネットワーク構成を示す。図１を参照すると、ユーザ１１０は、たとえば、ユーザ１１０が位置する特定のセクタを処理する無線ネットワーク１２０へのリンク１１５を介して通信する。ユーザ１１０はユーザ１１０にアクセスするために認証要求メッセージを送信しているとすることができる。図１で、ＲＮ１２０は偶然訪問アクセス・プロバイダ・ネットワーク１３０の一部となる。

訪問認証、認可およびアカウンティング・サーバ１３２（Ｖ−ＡＡＡサーバ）は、訪問アクセス・プロバイダ・ネットワーク１３０中に常駐するＡＡＡサーバである。訪問サービス・プロバイダはホーム・サービス・プロバイダとのサービス協定の確立によってユーザにアクセス・サービスを提供する。図１で、訪問アクセス・プロバイダ・ネットワーク１３０は、たとえば、ＷＬＡＮシステムの訪問ネットワークとして実施することができる。

Ｖ−ＡＡＡサーバ１３２は、たとえば、ＲＡＤＩＵＳプロトコルに従って動作する遠隔認証ダイヤル・イン・ユーザ・サービス（ＲＡＤＩＵＳ）サーバとして実施することができる。ただし、例示的実施形態はそのように限定されず、Ｖ−ＡＡＡサーバ１３２は、たとえば、Ｄｉａｍｅｔｅｒプロトコルなど、他のプロトコルに基づいて動作するように構成することができる。これらのプロトコルはネットワーク・アクセス、ＩＰモビリティなどのアプリケーション用にＡＡＡフレームワークを提供するように意図される。Ｖ−ＡＡＡ１３２はパケット・データ処理ノード（ＰＤＳＮ）やゲートウェイＧＰＲＳサポート・ノード（ＧＧＳＮ）などのルータ１３５と通信することができる。

モバイル・インターネット・プロトコル（モバイルＩＰまたはＭＩＰ）では、訪問ネットワーク中のルータはモバイル・ノード用の外部モビリティ・エージェントとして働く。たとえば、インターネット・エンジニアリング・タスク・フォース（ＩＥＴＦ）ＲＦＣ３３４４で規定されているように、外部エージェント（ＦＡ）は、それのホーム・ネットワーク以外の任意の場所からインターネットに接続するデバイス用のインターネット・トラフィック転送をサポートするためにホーム・エージェント（ＨＡ）と呼ばれる別のタイプのモビリティ・エージェントとともに作動することができる。ＨＡはＦＡ用のＩＰアドレスかまたはダイナミック・ホスト構成プロトコル（ＤＨＣＰ）などの何らかの外部手段によって獲得されたＩＰアドレスであるケアオブ・アドレスにモバイル・ノード用に意図されたデータグラム（パケット）をトネリングする。ＦＡはパケットをデトネリングし、それらをモバイル・ノードに供給する。

ＰＤＳＮは、たとえば、あらゆるｃｄｍａ２０００データ・ネットワーク中にある。モバイル加入者の場合、ＰＤＳＮはワイヤレス・パケット・データ・ネットワークへの入力点である。ＰＤＳＮは以下の２つの基本的機能を実行する。（１）無線ネットワーク上でパケットをモバイル・ステーションと交換する。（２）他のＩＰネットワークとパケットを交換する。これらの機能を実行するために、ＰＤＳＮは、たとえば、無線ネットワーク・ノード（しばしばパケット制御機能またはＰＣＦと呼ばれる）、ＲＡＤＩＵＳＡＡＡサーバ（ユーザ認証、認可およびセッション・アカウンティングに使用される）、およびモバイルＩＰアプリケーション用のＨＡとインターフェースすることができる。ＧＧＳＮは、モバイル・ユーザがパブリック・データ・ネットワーク（ＰＤＮ）または指定されたプライベートＩＰネットワークにアクセスできるようにするＵＭＴＳネットワーク中のゲートウェイである。ＧＧＳＮによって実行される機能はＰＤＳＮによって実行されるものと類似する。ＰＤＳＮはＦＡ機能性を含有するが、ＧＧＳＮは含有することもあり、しないこともある。

モバイルＩＰの場合、ＦＡを含有するルータ１３５およびＨＡ１５５は、インターネット１４０を介して通信することができ、Ｖ−ＡＡＡサーバ１３２およびホーム認証、認可およびアカウンティング・サーバ１５２（Ｈ−ＡＡＡサーバ１５２）はプロキシＡＡＡサーバ１４５を介して通信することができる。プロキシＡＡＡサーバ１４５の機能はユーザ１１０のＨ−ＡＡＡサーバ１５２を発見することである。以下でさらに詳細に議論するように、Ｈ−ＡＡＡサーバ１５２は軽量ディレクトリ・アクセス・プロトコル（ＬＤＡＰ）データベース１５６と呼ばれる加入者データベースを所有することができる。ＬＤＡＰデータベース１５６はホーム・ネットワーク１５０と訪問ネットワーク１３０の両方によって認証および認可（ＡＡ）用に使用することができる。

プロキシＡＡＡサーバ１４５は、訪問ネットワーク１３０がユーザのホーム・ドメインを認識しないかもしれないので有用なことがある。たとえば、オーストラリアのＩＳＰ（訪問ネットワーク１３０）はユーザ領域「ｕｓｅｒ＠ｖｅｒｉｚｏｎ．ｃｏｍ」によって指示されるＶｅｒｉｚｏｎネットワークを認識しないかもしれず、したがってユーザのＡＡ証明が記憶されているユーザ１１０の正確なホーム・ネットワークにプロキシＡＡＡサーバ１４５が要求を中継することができるようにプロキシＡＡＡサーバに領域情報を転送する。

Ｈ−ＡＡＡサーバ１５２はホームＩＰネットワーク１５０中に常駐する。ホームＩＰネットワーク１５０はユーザ１１０にＩＰベース・データ・サービスを提供するホーム・ネットワークである。ネットワーク１５０はユーザ１１０のネットワーク・アクセス識別子（ＮＡＩ）に従ってアクセス可能なことがある。ＮＡＩはユーザおよびそれのホームＩＰネットワークを識別するユーザ＠ドメイン構成である。ホームＩＰネットワーク１５０はプライベート・ネットワーク、企業ネットワーク、公的アクセス可能ＩＳＰネットワーク、ｃｄｍａ２０００ワイヤレス・ネットワークなどとすることができる。図１で、ホームＩＰネットワーク１５０は、たとえば、セルラ・ワイヤレス２．５Ｇ／３Ｇシステムのホーム・ネットワークとして実施することができる。

Ｈ−ＡＡＡ１５２は、たとえば、遠隔認証ダイヤル・イン・ユーザ・サービス（ＲＡＤＩＵＳ）サーバとして実施することができる。ただし、例示的実施形態はそのように限定されず、Ｖ−ＡＡＡサーバ１５２はＤｉａｍｅｔｅｒプロトコルに基づいて理解し、動作するように構成することができる。Ｈ−ＡＡＡサーバ１５２はホーム・エージェント（ＨＡ）１５５と通信する。モバイル・インターネット・プロトコル（モバイルＩＰ）では、ＨＡは、それのケアオブ・アドレスで識別されるように、デバイスの現在位置についての情報を維持するモバイル・ノードのホーム・ネットワーク中のルータである。ＦＡと同様に、ＨＡ１５５は、たとえば、ＩＥＴＦＲＦＣ３３４で定義されるものなど、モビリティ・エージェントの一種である。

ユーザがアクセス技術間でシームレスにローミングするときにセルラ・ワイヤレス・プロバイダがユーザ１１０を所有し、課金するために、アクセスしているネットワークの各々の認可および認証エージェント（Ｈ−ＡＡＡ１５２／Ｖ−ＡＡＡ１３２）に認証証明の単一のセットを適用すべきである。言い換えれば、ＷＬＡＮ（訪問ネットワーク１３０）の認証エンティティはセルラ・ワイヤレス・サービス・プロバイダ（たとえば、この例示的実施形態では、これは２．５Ｇ／３ＧＣＤＭＡまたはＵＭＴＳネットワークとして実施することができるホームＩＰネットワーク１５０）によって所有される事前に準備された認証データベースとインターフェースする必要があることがある。認証および認可のためにＷＬＡＮと３Ｇインフラストラクチャ間での通信を可能にするとユーザのホームＩＳＰ１５０がＷＬＡＮシステム１３０と２．５Ｇ／３Ｇシステムの両方でユーザ１１０を認証することが可能になる。

たとえば、ワイド・エリア・セルラ・ワイヤレス・サービス・プロバイダの既存のバック・オフィス・インフラストラクチャは独立した訪問ネットワーク１３０用に認証および認可を提供するために再使用することができる。ＡＡのコンテキストでは、ワイド・エリア・セルラ・ワイヤレス・サービス・プロバイダ（ＷＳＰ）の既存のバック・オフィス・インフラストラクチャはワイヤレス・ユーザ用のパケット・データ・サービスの認証および認可を実行するために使用される装置をさすことがある。詳細は、サービス・プロバイダによって異なることがあるが、軽量ディレクトリ・アクセス・プロトコル（ＬＤＡＰ）・データベースなど、すべての加入者を準備するために使用される何らかの種類のデータベースから構成することができる。ＬＤＡＰは、ディレクトリ・アクセス・プロトコル（ＤＡＰ）の簡略形であるインターフェース・エンジニアリング・タスク・フォース（ＩＥＴＦ）によって定義されるオンライン・ディレクトリ・サービス・プロトコルである。ＬＤＡＰディレクトリ・エンティティは区別名（ＤＮ）と呼ばれる一意の識別子をもつ属性の集合である。ディレクトリ・システムは、たとえば、階層構造にあることがある。この例示的実施形態では、ホームＩＰネットワーク１５０はＬＤＡＰ１５６を所有すると言うことができる。

Ｈ−ＡＡＡサーバ１５２およびＬＤＡＰ１５６は、図１に点線で示すように、バック・オフィス・インフラストラクチャ１５１の一例とすることができるが、本発明はそのように限定されない。パケット・データ・サービス用にユーザを認可し、認識するＡＡＡサーバを有するｃｄｍａ２０００パケット・データ・ネットワークは既存のバック・オフィス・インフラストラクチャを表すことがある。さらに、たとえば、ＶＥＲＩＺＯＮＷＩＲＥＬＥＳＳやＳＰＲＩＮＴＰＣＳなどのサーバ・プロバイダは３Ｇパケット・データ・サービスを提供する。したがって、そのようなバック・オフィス・インフラストラクチャはすでに所定の位置にある。１つの例示的実施形態では、ネットワーク１３０および１５０は異なるサービス・プロバイダによって所有されることがあり、別の例示的実施形態では、それらは同じサービス・プロバイダによって所有されることがある。

図２は、本発明の例示的実施形態による方法を記述するフローチャートである。次に図２を参照すると、Ｈ−ＡＡＡサーバ１５２はユーザ１１０から単一のユーザｉｄおよび認証キー（たとえば、パスワード）を受信することがある（工程Ｓ１０）。このＡＡ証明のセットはユーザ１１０に割り当てられており、ネットワーク１３０かまたはネットワーク１５０で認証および／または暗号化のために使用することができる。言い換えれば、ＡＡ証明は異種アクセス技術で共通に使用することができる。単一のユーザｉｄおよびパスワードはユーザ１１０のホーム・ネットワークのバック・オフィス・インフラストラクチャ１５１にルーティングされることがある（工程Ｓ２０）。この例示的実施形態では、ホームＩＰネットワーク１５０（３Ｇシステム）の既存のバック・オフィス・インフラストラクチャ１５１は記憶されたＡＡ証明のセットに対してユーザ１１０のＡＡ証明のセットを検証するために使用またはアクセスされている（工程Ｓ３０）。したがって、ＬＤＡＰデータベース１５６およびＨ−ＡＡＡサーバ１５２は、特定のサービス・プロバイダの既存のバック・オフィス・インフラストラクチャを認証し、認可を得る能力をホーム・ネットワークとのサービス・レベル協定にもたせる独立した訪問ネットワーク１３０を提供する構成を提供することができる。

ＡＡＡインフラストラクチャに依拠するとワイド・エリア・セルラ・ワイヤレス・サービス・プロバイダがネットワーク１３０とネットワーク１５０の両方で同じ認証証明を使用して加入者１１０を認証することが可能になる。ＷＬＡＮおよび２．５Ｇ／３Ｇシステムはどちらも、場合によってはプロキシＡＡＡサーバ１４５を介して、ＡＡＡサーバでユーザを認証するために、たとえばＲＡＤＩＵＳやＤｉａｍｅｔｅｒなど、共通のＡＡＡプロトコルを使用することができる。認証サーバ（Ｈ−ＡＡＡサーバ１５２／２５２およびＶ−ＡＡＡサーバ１３２）は、各ＡＡＡサーバがユーザ１１０の共通の認証キーおよび／またはパスワードを検索するためにＬＤＡＰ１５６にアクセスすることができる限り、同じものにすることができ、または異なるものにすることができる。

しかしながら、１つのネットワークが、証明を有しないが、ＡＡのためにそれらを必要とする別のネットワークにユーザのＡＡ証明のセットを中継する必要があることがあるシナリオがあることがある。この理由で、ＡＡＡプロキシ・ベースアプローチはこのアプリケーションにより適することがある。ＡＡＡプロキシ・サーバ１４５は認証要求メッセージを受信したとき、ユーザ１１０のＮＡＩを使用して、権威のあるＡＡＡサーバ（たとえば、Ｈ−ＡＡＡサーバ１５２）を分析し、適切なＨ−ＡＡＡサーバに認証要求メッセージを転送する。異なるサービス・プロバイダのＡＡＡインフラストラクチャ間の接続は直接またはＡＡＡプロキシ・サーバ１４５を介して行うことができる。

たとえば、ユーザ１１０は、共通の通信プロトコル内で異なる属性（たとえば、ＲＡＤＩＵＳのベンダ固有属性）を使用して、ユーザ１１０のＡＡ証明のセットおよび訪問ネットワーク１３０の識別情報（たとえば、ネットワーク・タイプ、アイデンティティなど）をプロキシＡＡＡサーバ１４５に転送することができる訪問ネットワーク１３０にアクセスすることができる。ＡＡＡプロキシ動作は概して、ＲＡＤＩＵＳメッセージで使用されている異なるプロプライエタリ・ベンダ固有属性をユーザのホームＩＰネットワーク１５０によって使用されている属性にマッピングするために属性変換を必要とすることがある。Ｗｉ−Ｆｉアライアンス内のワイヤレス・インターネット・サービス・プロバイダ・ローミング（ＷＩＳＰｒ）コミッティや第３世代パートナーシップ・プロジェクト２（３ＧＰＰ２）など、さまざまなサービス・プロバイダ間で送信される際に、これらの属性を標準化するためのいくつかのイニシアチブがある。

別の例示的実施形態では、ユーザ１１０は多数のネットワーク間でローミングする間でも１回認証する必要だけでよい。現在のＷＬＡＮ認証スキームは２つの別々の認証、すなわち、第１にデータ・レイヤ（レイヤ２）でデバイス（たとえば、ＰＤＡ、ＰＣ、セルフォンなど）を認証すること、および第２にネットワーク・レイヤ（レイヤ３）でユーザ（ユーザｉｄおよびパスワード）を認証することを必要とすることがある。多数の通信レイヤ間または異なる技術（たとえば、ワイド・エリア・セルラ・ネットワークおよびＷＬＡＮ）の多数のネットワーク間でのワンパス認証は、多数のデータベースがレイヤ１およびレイヤ２でのデバイス認証、次いでレイヤ３でのユーザ認証に関係するので、現在達成不可能である。ユーザもＩＰセキュリティ（ＩＰＳｅｃ）またはセッション開始プロトコルを実行する場合、認証の追加のレイヤ（アプリケーション・レイヤ）も必要になる。これらのマルチレイヤ認証により、初期接続時と技術間ハンドオフ時の両方で端末が認証要求に従事している間にデータ・セッションが休止することがある。これはユーザおよび／またはクライアント・ソフトウェアに負担をかけ、遅延および準備複雑さを増大させる。

ｃｄｍａ２０００のモバイルＩＰ（ＭＩＰ）プロトコルの場合、認証手順はすでにワンパス認証プロセスと考えることができる。ｃｄｍａ２０００では、ユーザがＭＩＰ登録を必要とするときに、認証エージェント（Ｈ−ＡＡＡ、Ｖ−ＡＡＡまたはプロキシ・サーバ）とのレイヤ２ネゴシエーションはユーザがモバイルＩＰユーザであることを指示する。これらの条件下で、レイヤ２認証はバイパスされ、リンク・レイヤ接続をＡＡなしで確立することができる。したがって、ｃｄｍａ２０００のＭＩＰでは、ＡＡネゴシエーションを完了することはレイヤ３に任せられる。このタイプのレイヤ２確立はレイヤ３をネゴシエートするオプションＡＡ以外のユーザにいかなるサービスも提供しない。等価な技法は現在ＷＬＡＮおよびＵＭＴＳネットワーク用に入手できない。

本発明の例示的実施形態では、ダブルパス認証の代わりに、同じ証明のセットを多数のレイヤに対して使用することができ、したがってＡＡＡインフラストラクチャへの多数のアクセスが回避され、遅延および待ち時間が短縮されるワンパス認証スキームを用いる。本発明の例示的実施形態では、訪問ネットワーク１３０などのＷＬＡＮシステムでワンパス認証を提供するためのいくつかの手法を使用することができる。１つの手法はレイヤ２および３で認証するために同じ証明およびキー材料を使用することとすることができる。別の手法は直接レイヤ３に進み、レイヤ２認証を完全に省略することとすることができる。これはｃｄｍａ２０００のＭＩＰで上述した手順と同様である。

図３、本発明の別の例示的実施形態による方法を記述するフローチャートである。図３を参照すると、ＡＡＡインフラストラクチャ（ＡＡＡサーバ）への多数のアクセスが必要になることがあるが、キー材料のネットワークを横断することが１回だけ行われることがある。ネゴシエーション課題の終了時のレイヤ２ＡＡ成功返答中に収集されるキー材料（工程Ｓ３００）は、たとえば、ユーザ１１０の端末に常駐するクライアント・ソフトウェアが、ペイロードを暗号化するため、またはＡＡＡエンティティ（すなわち、Ｖ−ＡＡＡ、Ｈ−ＡＡＡなど）によってユーザ１１０に提示される将来のＡＡ課題に応答するために使用することができる。

レイヤ３での課題段階中、シードがネットワークによってユーザ１１０に与えられる（工程Ｓ３１０）。ユーザ１１０またはユーザのクライアント・ソフトウェアは事前に準備されたキーでか、または工程Ｓ３００から以前に得られたキー材料でシードを処理し（点線の工程Ｓ３００ａ）し、そのキー材料に一意のシグニチャを生成する（工程Ｓ３２０）。一意のシグニチャを生成するために使用または実装することができるアルゴリズムの例にはメッセージ・ダイジェスト・バージョン５（ＭＤ５）、セキュア・ハッシュ・アルゴリズム（ＳＨＡ）などが含まれる。同じユーザキーが位置するＡＡＡエンティティによって一意のシグニチャが同様に計算され（工程Ｓ３３０）、結果がユーザのクライアントによって計算された一意のシグニチャと比較される。シグニチャの検証時、ＡＡＡエンティティはユーザ１１０を認可し（工程Ｓ３４０）、暗号化用のキーおよび将来の認可プロセスで使用する新しいキー材料を送信することができる（工程Ｓ３５０）。

同じワンパス認可スキームをＷＬＡＮと３Ｇシステムの両方に使用することができる。したがって、それはユーザ１１０がエア・インターフェース技術間（たとえば、ＷＬＡＮから３Ｇおよびその逆）を移動するときはいつでもユーザ１１０のクライアント・ソフトウェアがユーザ１１０の認可証明を自動的に供給することが可能になることがある。ユーザ１１０のクライアント・ソフトウェアはドメインへのアクセス権を獲得するために認証証明を提供することができ、ユーザ１１０が訪問ドメインにいる場合、ユーザ１１０のホーム・ネットワーク１５０とセキュリティ・アソシエーションを確立することができる。

ユーザＮＡＩ中の領域は訪問ＡＡＡサーバ（たとえば、Ｖ−ＡＡＡサーバ１３２）に、ユーザ１１０を認証するために使用されるであろうホーム・ドメインを決定するために使用されるドメイン情報を提供することができる。したがって、クライアント・ソフトウェアはレイヤ２の以前のＡＡ認証中に収集されたキー材料をレイヤ３に伝達することができる。したがって、ユーザ１１０は、初期のＡＡ段階中に一意のパスワードまたはキー材料をタイプすることを要求されることがあるが、新しいドメインに移動しているときにそれを再入力することを要求されることはなく、下にある認証アクティビティから遮蔽することができ、中断された透過的データ・セッション移動が容易になる。したがって、ワンパス認証はＡＡＡ通信の量、場合によっては遅延、待ち時間、およびパスワードおよび／または各レイヤでの一意のキー情報を入力することを要求されるユーザ中断の量を低減することができる。

図４は、本発明の別の例示的実施形態によるユーザとユーザのホーム・ネットワークとの間のネットワーク構成を示す。図１に関して以前に議論したように、ＷＬＡＮの認証エンティティは、セルラ・ワイヤレス・サービス・プロバイダによって所有される事前に準備された認証データベースとインターフェースする必要があることがある。認証および認可のためにＷＬＡＮと３Ｇインフラストラクチャ間での通信を可能にするとユーザのホームＩＳＰ１５０がＷＬＡＮシステム１３０と２．５Ｇ／３Ｇシステムの両方でユーザ１１０を認証することが可能になる。図４は、ユーザのセルラ・サービス・プロバイダ（時々「ユーザのパブリック・ホーム・ネットワーク」とも呼ばれる）が外部世界にユーザのホームＩＳＰになるように見えるが、ユーザの「プライベート・ホーム・ネットワーク」はＷＬＡＮまたはユーザのセルラ・サービス・プロバイダではなく、ユーザのエンタープライズである例示的実施形態を示す。

図４は図１と同様であり、したがって明快さの理由で差異のみを議論する。図４を参照すると、ユーザのパブリック・ホーム・ネットワーク４８０はセルラ・ネットワークとして実施することができ、ユーザのプライベート・ホームＩＰネットワークはエンタープライズ・ネットワーク４６０として実施することができる。この例示的実施形態では、ＷＬＡＮ（訪問ネットワーク４３０）の認証エンティティはエンタープライズ・ネットワーク４６０によって所有される事前に準備された認証データベース（ＬＤＡＰデータベース４５６）とインターフェースする必要があることがある。Ｖ−ＡＡＡサーバ４３２、またはプロキシＡＡＡサーバ４４５はユーザ４１０のＮＡＩの一部を使用して、セルラ・サービス・プロバイダ（パブリック・ホーム・ネットワーク４８０）のＡＡＡサーバ４８２を分析し、ユーザのパブリック・ホーム・ネットワーク４８０に認証要求を転送することができる。セルラ・サービス・プロバイダのＡＡＡサーバ４８２はプロキシＡＡＡサーバ４７５を介してＡＡＡ要求をさらにプロキシする必要があることがある。それはエンタープライズ・ネットワーク４６０に位置するＨ−ＡＡＡサーバ４５２を分析するためにユーザ４１０のＮＡＩの別の一部を使用することによってそのようにすることができる。

図４と同様に、エンタープライズ・ネットワーク４６０のバック・オフィス・インフラストラクチャ４５１は、たとえば、Ｈ−ＡＡＡサーバ４５２およびＬＤＡＰデータベース４５６を含むことができる。したがって、図４の例示的実施形態に示すように、ユーザ４１０のＮＡＩはｕｓｅｒ＠ｌｕｃｅｎｔ．ｖｅｒｉｚｏｎ．ｃｏｍとすることができ、Ｖｅｒｉｚｏｎの（Ｖｅｒｉｚｏｎはユーザのセルラ・サービス・プロバイダ）ＡＡＡサーバ４８２がＷＬＡＮ４３０から（場合によってはプロキシ・サーバ４４５を介して）アクセスされる。ＶｅｒｉｚｏｎのＡＡＡサーバ４８２はユーザのエンタープライズ・ネットワーク４６０（すなわち、Ｌｕｃｅｎｔ）中のＨ−ＡＡＡサーバ４５２にプロキシＡＡＡサーバ４７５を介して要求をプロキシすることができる。

以上、本発明の例示的実施形態について議論したが、同様のことは多様に変更することができることは明らかであろう。そのような変更は本発明の例示的実施形態の趣旨および範囲からの逸脱と見なされるべきではなく、当業者に明らかであろうすべてのそのような改変は首記の特許請求の範囲内に含まれるものとする。

本発明の例示的実施形態によるユーザとユーザのホーム・ネットワークとの間のネットワーク構成を示す図である。本発明の例示的実施形態による方法を記述するフローチャートである。本発明の別の例示的実施形態による方法を記述するフローチャートである。本発明の別の例示的実施形態によるユーザとユーザのホーム・ネットワークとの間のネットワーク構成を示す図である。

Claims

複数の通信プロトコル・レイヤにわたる認証及び許可のためのＡＡＡインフラストラクチャを用いる少なくとも２つのネットワーク間でローミングするときに、ユーザが単一パスによる認証および認可（ＡＡ）操作を実行するための方法であって、
異なるアクセス・ネットワーク技術を用いる前記少なくとも２つのネットワークのうちの第１のネットワークのデータ・リンク・レイヤでのＡＡ課題および返答セッション中に該ユーザのキー材料を収集するステップ、
前記単一パスによるＡＡ操作を実行することによって、ユーザが第１のネットワークから他のネットワークに遷移する際に、複数の通信プロトコル・レイヤのネットワーク・レイヤで後続のＡＡ課題中にシードを受信するステップ、及び
一意のシグネチャを生成するために前記キー材料及び前記シードを後続のＡＡ課題に応答するために使用するステップ
を備える方法。
前記後続の課題が同じレイヤおよびより高いレイヤの１つであり、ユーザ関係を必要とせず、
前記使用するステップが、キー材料をデータ暗号化用に使用するステップ、または別のネットワーク課題中にユーザの収集したキー材料を使用するステップを含み、
前記少なくとも２つのネットワークが訪問ネットワークおよびユーザのホーム・ネットワークを含み、共通プロトコルの異なる属性を使用する請求項１に記載の方法。
前記少なくとも２つのネットワークが、ワイヤレス・ローカル・エリア・ネットワーク（ＷＬＡＮ）およびワイド・エリア・セルラ通信システムを含み、前記ワイド・エリア・セルラ通信システムがＧＰＲＳ、ｃｄｍａ２０００システムおよびＵＭＴＳの１つである請求項１に記載の方法。