JP4643657B2 - 通信システムにおけるユーザ認証及び認可 - Google Patents
通信システムにおけるユーザ認証及び認可 Download PDFInfo
- Publication number
- JP4643657B2 JP4643657B2 JP2007552532A JP2007552532A JP4643657B2 JP 4643657 B2 JP4643657 B2 JP 4643657B2 JP 2007552532 A JP2007552532 A JP 2007552532A JP 2007552532 A JP2007552532 A JP 2007552532A JP 4643657 B2 JP4643657 B2 JP 4643657B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- server
- client
- challenge
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 26
- 238000013475 authorization Methods 0.000 title description 14
- 230000004044 response Effects 0.000 claims description 78
- 238000000034 method Methods 0.000 claims description 75
- 230000008569 process Effects 0.000 claims description 30
- 230000011664 signaling Effects 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 11
- 230000007246 mechanism Effects 0.000 description 8
- 238000005457 optimization Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000008570 general process Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Description
発明の分野
本発明は、通信システムにおけるユーザ認証及び認可に関するものであり、特に、通信システムのネットワークアプリケーション機能に対するユーザを認証及び認可するための方法及び装置に関するものである。
本発明は、通信システムにおけるユーザ認証及び認可に関するものであり、特に、通信システムのネットワークアプリケーション機能に対するユーザを認証及び認可するための方法及び装置に関するものである。
発明の背景
GSMのような既存の第2世代セルラー無線通信システムは、第3世代システムによって補完される処理下にあり、また、第3世代システムに置き換わるもののいくつかに向けられている。これらは、ユニバーサル移動体電気通信システム(UMTS)として知られる3Gシステムを含んでいる。セキュリティは、UMTS規格のキー要素であり、また、第2世代システムのセキュリティよりも優れるものとなることが意図されていて、それと同時に、GSMからUMTSへの移動、及びGSMアクセスネットワークとUMTSアクセスネットワーク間のハンドオーバの両方を容易にするためにGSMとの互換性を保証している。UMTS(3G TS33.102参照)用の認証及びキーアグリーメント(AKA)プロトコルの設計は、少なくとも、アクセスネットワークに対する加入者の認証及び無線リンクを介するユーザデータの安全の確保に関する目的を満足することが意図されている。
GSMのような既存の第2世代セルラー無線通信システムは、第3世代システムによって補完される処理下にあり、また、第3世代システムに置き換わるもののいくつかに向けられている。これらは、ユニバーサル移動体電気通信システム(UMTS)として知られる3Gシステムを含んでいる。セキュリティは、UMTS規格のキー要素であり、また、第2世代システムのセキュリティよりも優れるものとなることが意図されていて、それと同時に、GSMからUMTSへの移動、及びGSMアクセスネットワークとUMTSアクセスネットワーク間のハンドオーバの両方を容易にするためにGSMとの互換性を保証している。UMTS(3G TS33.102参照)用の認証及びキーアグリーメント(AKA)プロトコルの設計は、少なくとも、アクセスネットワークに対する加入者の認証及び無線リンクを介するユーザデータの安全の確保に関する目的を満足することが意図されている。
AKAプロトコルは、3つの通信パーティ、即ち、ユーザのホーム環境(HE)の認証局(AuC)、ユーザの在圏ネットワーク(SN)のビジターロケーションレジスタ(VLR)、及び自身のUMTS加入者アイデンティティモジュール(USIM)によって示されるユーザ自身に関与する。シークレットキーは、AuCとUSIMによって共有される。HEによる認証データリクエストの受信に続いて、AuCは、(n)認証ベクトル配列を生成する。この配列はSNへ送信され、ユーザによるn回の認証の試行に適している。SNは、配列内の次のベクトルを選択し、そのベクトルのコンポーネント群をUSIMへ送信する。これらは、USIMに、SNを検証し、セッションキーを計算し、そして応答を生成することを可能にする。その応答はSNへ返答され、SNは、その応答と、選択されているベクトルに含まれている期待応答とを比較する。それらがマッチする場合、SNは、認証交換は正常に完了していると仮定する。確立されているセッションキーは、USIMによってユーザの移動機器に送信され、また、VLRによってUMTS無線アクセスネットワーク(UTRAN)の在圏無線ネットワークコントローラ(RNC)へ送信される。これによって、無線リンクを介して送信されるデータの暗号化を可能にする。
ネットワークレベルではなく、アプリケーションレベルで認証及び認可が必要とされる場合が存在する。いくつかの場合、アプリケーションレイヤでのデータの暗号化が望ましいあるいは必要とされる場合がある。例えば、暗号化ビデオデータがウェブサーバからブロードキャストサービスの加入者へ「ブロードキャスト」される場合を検討してみる。加入者は、まず、ウェブサーバに対して自身を認証しなければならない。その後、加入者には、ブロードキャストデータを解読するためのキーが提供される。アプリケーションレイヤのセキュリティを容易にする完全に別のメカニズムを提供するのではなく、このセキュリティが、AuC、USIM及び3GPP AKAプロトコルを含む3GPP認証基盤上で「ブートストラップ(bootstrapped)」されることを可能にするための提案がなされている。この方法は、少なくとも最初に、ネットワーク側のアプリケーション機能がアクセスネットワークオペレータの制御下にあるが、アクセスネットワークオペレータと、アプリケーション機能が配置されているネットワークのオペレータ間にいくつかの信頼関係が存在している場合は必要とされないことを見込んでいる。
3GPP TS 33.220は、認証のブートストラップ用の汎用ブートストラップアーキテクチャ(GBA)と、3GPP AKAメカニズム上のアプリケーションセキュリティ用のキーアグリーメント処理を記載している。新規の処理は、ユーザのHEに配置されているブートストラップサーバ機能(BSF)として知られる機能に基づくネットワークを導入している。BSFは、ホーム加入者サブシステム(HSS)であるAuCと通信して、リクエストに応じて、認証ベクトルを取得する。BSFとHSS間のインタフェースは、Zhインタフェースとして知られている。ネットワーク側のアプリケーション機能を実現する機能エンティティは、ネットワークアプリケーション機能(NAF)と呼ばれている。NAFは、Znインタフェースを介してBSFと通信する(例えば、DIAMETERプロトコルを使用して)。ユーザ機器(UE)とBSF間のインタフェース及びユーザ機器(UE)とNAF間のインタフェースはそれぞれUbインタフェース及びUaインタフェースと呼ばれ、これらは、ハイパーテキスト転送プロトコル(HTTP)を利用する。
UEが、GBAが、与えられるNAFで使用されることを確認し、かつ必要なキーがまだ存在していないことを確認すると想定すると、UEは、まず、Ubインタフェースを介して、BSFとのHTTPダイジェストAKAメカニズムを開始しなければならない。(この処理の一部として、BSFは、HSSから取得されるベクトルを変更しても良い。)その結果、UEは、BSFによって認証され、また、必要なセキュリティキーが提供される。加えて、UEには、トランザクション識別子(TI)が提供される。このTIは、Uaインタフェースを介して、UEによってNAFへ提供される。NAFは、そのTIをBSFへ送信し、一方で、関係するセキュリティキーを受信する。UEとNAFは、安全な方法でUaインタフェースを使用することができる。
Ubインタフェースの使用が頻繁にあることが予想されないととはいえ(注、同一のキーイング(keying:キー生成)要素はいくつかの異なるNAFを用いて再使用され得る。ここで、各新規のNAFは、共通のTIを使用してBSFからキーイング要素をリクエストする)、それが使用される場合、時間がかかる。例えば、10回のラウンドトリップには、HTTPダイジェストがUaインタフェース上で使用されることが想定されることを含んでいる。また、UEは、NAFとBSFとの両方と通信するために、2つの別のトランスポートレイヤ接続を使用しなければならず、その結果、ハイレベルのトランスポートレイヤリソースをもたらすことになる。
発明の要約
本発明の目的は、上述の欠点を解消するあるいは少なくとも軽減することである。これらの目的は、1つのインタフェースに2つのインタフェースを組み込み、認可及び認証処理を平行して実行することを可能にすることによって達成される。
本発明の目的は、上述の欠点を解消するあるいは少なくとも軽減することである。これらの目的は、1つのインタフェースに2つのインタフェースを組み込み、認可及び認証処理を平行して実行することを可能にすることによって達成される。
本発明の第1の構成に従えば、通信ネットワークを介して、2つ以上のサーバに接続されているクライアントを認証する方法が提供される。ここで、前記クライアントと第1サーバは、共有シークレットを保有している。この方法は、
前記共有シークレットを使用して第1サーバに対する前記クライアントを認証し、第2サーバを介して、前記クライアントと前記第1サーバ間で行われる認証に係る処理に関係するシグナリングを実行し、
前記クライアントと前記第1サーバでセッションキーを生成し、そのセッションキーを前記第2サーバへ提供し、
前記セッションキーを使用して、前記第2サーバに対する前記クライアントを認証する。
前記共有シークレットを使用して第1サーバに対する前記クライアントを認証し、第2サーバを介して、前記クライアントと前記第1サーバ間で行われる認証に係る処理に関係するシグナリングを実行し、
前記クライアントと前記第1サーバでセッションキーを生成し、そのセッションキーを前記第2サーバへ提供し、
前記セッションキーを使用して、前記第2サーバに対する前記クライアントを認証する。
好ましくは、本方法は、前記第1サーバに対する前記第2サーバを認証し、その認証処理後に、前記第1サーバから前記第2サーバへ前記セッションキーを提供する。
本発明の第2の構成に従えば、通信システム内の認証サーバを操作する方法が提供される。この方法は、
クライアントと更なる認証サーバ間の認証に係るシグナリングと、前記クライアントと前記更なる認証サーバが共有するシークレットとを中継し、
前記更なる認証サーバからセッションキーを受信し、前記セッションキーを使用して前記クライアントを認証する。
クライアントと更なる認証サーバ間の認証に係るシグナリングと、前記クライアントと前記更なる認証サーバが共有するシークレットとを中継し、
前記更なる認証サーバからセッションキーを受信し、前記セッションキーを使用して前記クライアントを認証する。
本発明の第3の構成に従えば、通信システム内の認証サーバを操作する方法が提供される。この方法は、
クライアントの認証のために、更なるサーバを介して前記クライアントとシグナリングを交換し、
前記クライアントと前記認証サーバ間で共有されるシークレットを使用して、セッションキーを生成し、
前記セッションキーを前記更なるサーバへ送信する。
クライアントの認証のために、更なるサーバを介して前記クライアントとシグナリングを交換し、
前記クライアントと前記認証サーバ間で共有されるシークレットを使用して、セッションキーを生成し、
前記セッションキーを前記更なるサーバへ送信する。
本発明の第4の構成に従えば、通信ネットワークに接続されているクライアントを操作する方法が提供される。この方法は、
第1サーバに対する前記クライアントを認証するために、第2サーバを介して前記第1サーバとシグナリングを交換し、
前記クライアントと前記第1サーバ間で共有されるシークレットを使用して、セッションキーを生成し、
前記第2サーバから認証チャレンジを受信し、前記セッションキーを使用してチャレンジ応答を生成する。
第1サーバに対する前記クライアントを認証するために、第2サーバを介して前記第1サーバとシグナリングを交換し、
前記クライアントと前記第1サーバ間で共有されるシークレットを使用して、セッションキーを生成し、
前記第2サーバから認証チャレンジを受信し、前記セッションキーを使用してチャレンジ応答を生成する。
本発明の方法の各処理は、特定の順序で実行される必要はない。特に、本方法における処理は、重複していても良い。
本発明の第5の構成に従えば、通信ネットワークを介して2つ以上のサーバに接続されているクライアントを認証する方法が提供される。ここで、前記クライアントと第1サーバは、共有シークレットを保有している。この方法は、
第2サーバを介して、前記クライアントから前記第1サーバへ認証リクエストを送信し、
前記第1サーバでの前記認証リクエストの受信に応じて、前記共有シークレットを使用して第1認証チャレンジを生成し、前記第1認証チャレンジを前記第2サーバへ送信し、
前記第1認証チャレンジを前記第2サーバへ転送し、前記第2サーバで、第2認証チャレンジを生成し、前記第1認証チャレンジと前記第2認証チャレンジとを前記第2サーバから前記クライアントへ送信し、
前記クライアントでの前記第1認証チャレンジと前記第2認証チャレンジとの受信に応じて、該第1認証チャレンジに対する第1チャレンジ応答を生成し、前記共有シークレットを使用してセッションキーを生成し、前記セッションキーを使用して前記第2認証チャレンジに対する第2チャレンジ応答を生成し、
前記第2サーバへ、前記第1チャレンジ応答と前記第2チャレンジ応答とを送信し、該第1チャレンジ応答を前記第1サーバへ転送し、
前記第1チャレンジ応答と前記共有シークレットを使用して、前記第1サーバで前記クライアントを認証し、前記クライアントが認証されるイベントにおいて、前記第1サーバで前記セッションキーを生成し、該セッションキーを前記第2サーバへ送信し、
前記第2チャレンジ応答と前記セッションキーを使用して、前記第2サーバで前記クライアントを認証する。
第2サーバを介して、前記クライアントから前記第1サーバへ認証リクエストを送信し、
前記第1サーバでの前記認証リクエストの受信に応じて、前記共有シークレットを使用して第1認証チャレンジを生成し、前記第1認証チャレンジを前記第2サーバへ送信し、
前記第1認証チャレンジを前記第2サーバへ転送し、前記第2サーバで、第2認証チャレンジを生成し、前記第1認証チャレンジと前記第2認証チャレンジとを前記第2サーバから前記クライアントへ送信し、
前記クライアントでの前記第1認証チャレンジと前記第2認証チャレンジとの受信に応じて、該第1認証チャレンジに対する第1チャレンジ応答を生成し、前記共有シークレットを使用してセッションキーを生成し、前記セッションキーを使用して前記第2認証チャレンジに対する第2チャレンジ応答を生成し、
前記第2サーバへ、前記第1チャレンジ応答と前記第2チャレンジ応答とを送信し、該第1チャレンジ応答を前記第1サーバへ転送し、
前記第1チャレンジ応答と前記共有シークレットを使用して、前記第1サーバで前記クライアントを認証し、前記クライアントが認証されるイベントにおいて、前記第1サーバで前記セッションキーを生成し、該セッションキーを前記第2サーバへ送信し、
前記第2チャレンジ応答と前記セッションキーを使用して、前記第2サーバで前記クライアントを認証する。
本発明の第6の構成に従えば、通信ネットワークのネットワークアプリケーション機能に対するユーザ機器を認証する方法が提供される。
前記ユーザ機器からのアクセスリクエストを前記ネットワークアプリケーション機能へ送信し、
前記アクセスリクエストが、前記通信ネットワークのいくつかの他の機能によって実行されなければならない認証に関連することを、前記ネットワークアプリケーション機能で判定し、
前記アクセスリクエストを、前記他の機能へ転送し、
前記他の機能から前記ネットワークアプリケーション機能へ、チャレンジを返信し、
前記チャレンジと、前記ネットワークアプリケーション機能の更なるチャレンジを前記ユーザ機器へ送信し、
前記ユーザ機器から前記ネットワークアプリケーション機能へチャレンジ応答を送信し、前記他の機能の前記チャレンジに関する応答を、該他の機能へ転送し、
前記ネットワークアプリケーション機能で前記チャレンジ応答の有効性を検証し、かつ前記他の機能で前記応答の有効性を検証する。
前記アクセスリクエストが、前記通信ネットワークのいくつかの他の機能によって実行されなければならない認証に関連することを、前記ネットワークアプリケーション機能で判定し、
前記アクセスリクエストを、前記他の機能へ転送し、
前記他の機能から前記ネットワークアプリケーション機能へ、チャレンジを返信し、
前記チャレンジと、前記ネットワークアプリケーション機能の更なるチャレンジを前記ユーザ機器へ送信し、
前記ユーザ機器から前記ネットワークアプリケーション機能へチャレンジ応答を送信し、前記他の機能の前記チャレンジに関する応答を、該他の機能へ転送し、
前記ネットワークアプリケーション機能で前記チャレンジ応答の有効性を検証し、かつ前記他の機能で前記応答の有効性を検証する。
本発明の第7の構成に従えば、通信ネットワークを介して2つ以上のサーバと接続されるクライアントを認証する方法が提供される。ここで、前記クライアントと第1サーバが共有シークレットを保有する。この方法は、
クライアントから認証サーバへ、前記認証サーバが配置されているドメイン以外の他のドメインを識別する認証ヘッダを含む認証リクエストを送信し、
前記認証サーバで、他のドメインに向けられている前記認証リクエストを認識、前記認証ヘッダを、前記他のドメインの認証サーバへ転送し、
第2認証サーバでの前記認証リクエストの受信に応じて、第1認証サーバを認証し、前記クライアントを認証し、前記クライアントを認証する手段を、前記第1認証サーバへ提供する。
クライアントから認証サーバへ、前記認証サーバが配置されているドメイン以外の他のドメインを識別する認証ヘッダを含む認証リクエストを送信し、
前記認証サーバで、他のドメインに向けられている前記認証リクエストを認識、前記認証ヘッダを、前記他のドメインの認証サーバへ転送し、
第2認証サーバでの前記認証リクエストの受信に応じて、第1認証サーバを認証し、前記クライアントを認証し、前記クライアントを認証する手段を、前記第1認証サーバへ提供する。
上記で参照する、更なるサーバから中間サーバ転送される認証リクエストあるいはアクセスリクエストは、受信されるリクエストメッセージ全体の転送、あるいはその一部だけの転送を含んでいる。また、このリクエストは、受信されるフォーマットから異なるフォーメットへ変換されるという可能性をも保証する。このリクエストの本質が維持されることだけが重要である。
本発明の他の構成は、本方法を使用するための、ユーザ機器及び認証サーバに関連している。
実施形態の詳細説明
本発明は、ユーザ及びユーザデバイスの少なくとも一方に対して「平行」認証メカニズムを提供する。このメカニズムでは、第2の認証処理用の信用証明書が、第1の認証処理が完了する前に、第1の認証処理の信用証明書から導出される。第2の認証処理は、第1の認証処理の完了時に完了される。
本発明は、ユーザ及びユーザデバイスの少なくとも一方に対して「平行」認証メカニズムを提供する。このメカニズムでは、第2の認証処理用の信用証明書が、第1の認証処理が完了する前に、第1の認証処理の信用証明書から導出される。第2の認証処理は、第1の認証処理の完了時に完了される。
クライアントと認証サーバ(AUS)は、シークレットSを共有している。クライアントは、(第2)サーバへコンタクトをとると、サーバはクライアントを認証しなければならない。しかしながら、サーバは、自身の信用証明書をクライアントととは共有していない。クライアント、サーバ及びAUSは、既存のシークレットSが再使用されることを同意する。図1は、このプロセスで介在するシグナリングステップを示している。
1)クライアントは、リクエストをサーバへ送信する。このリクエストには、AUSによって保持されるシークレットSをサーバが再使用してクライアントを認証することができることを示す認証方法特定情報を含んでいる。
2)サーバは、AUSからの情報を再使用することができることを認識し、その認証方法特定情報をAUSへ転送する。サーバとAUSは、通信の開始時に互いに相互に認証する。
3)AUSがサーバと協働することを決定する場合、AUSは、AUSチャレンジを生成し、そのチャレンジをサーバへ転送する。
4)サーバは、AUS−チャレンジ(第1認証方法)をクライアントへ中継し、かつ自身のサーバ−チャレンジ(第2認証方法)を付加する。この段階で、サーバは、クライアントに関してステートレスを維持することができる。
5)クライアントは2つのチャレンジを受信する。クライアントは、共有シークレットSを使用して、AUS−チャレンジへの応答を用意する。次に、クライアントは、第2のチャレンジの応答を用意するために、シークレットSからサーバ特定キー要素を導出する。クライアントは、サーバが同一のキーを保有することを確実にするために、サーバからの相互認証を要求する。これは、AUSがサーバを信頼し、かつ導出されるキーをサーバへ提供することをクライアントへ証明する。クライアントは、AUS−応答とサーバ−応答の両方をサーバへ送信する。
第1認証方法の性質に依存して、クライアントは、この段階で、AUSを認証することができる。例えば、これは、UMTS AKA、EAP AKA及びHTTPダイジェストAKAメカニズムを用いることで実現可能である。これは、選択的には、以下のステップ9)で実行されても良い。
6)サーバは、サーバ応答を記憶し、かつAUS−応答をAUSへとトンネルする。同時に、サーバは、サーバ−チャレンジに関連するサーバ特定キー要素(シークレットSから導出される)をリクエストする。
7)AUSは、AUS−応答と共有シークレットSを使用して、クライアントを認証する。次に、AUSは、クライアントがステップ5)で処理したSから同一キー要素を用意し、そのキー要素をサーバへ送信する。AUSは、また、その新規のキー要素に対する有効期限を特定して、それをサーバへ提供することもできる。クライアントの認証が失敗する場合、AUSは、そのキー要素を返信しない代わりに、認証失敗メッセージでリプライする。
8)サーバは、ステップ6)からのサーバ−応答と、ステップ7)からの受信したキー要素を使用してクライアントを認証する。認証が成功する場合、サーバは、サービスをクライアントへ配信することになる。
9)クライアントは、サーバ−応答とSから導出されるキー要素を使用してサーバを認証する。第1認証方法の性質に依存して、クライアントは、この段階で、AUSを認証することもできる。例えば、これは、HTTPダイジェストを用いる場合であり、この場合は、クライアントは、AUSを認証するために、認証−Infoヘッダを含めるための応答メッセージ(例えば、200OK)を要求する。
クライアントとAUSは、導出されるキーが有効であることを維持するための時間長についてのスタティックポリシーを持っていてもよい。このポリシーは、シークレットSが特定される時と同時にクライアントで構成されても良い。但し、例えば、認証メッセージにいくつかのパラメータで、そのキー有効期限を符号化することで、そのキー有効期限に合意するための様々な方法が存在していても良い。
ここで、一般的な場合には、クライアントアイデンティティが再使用されるあるいは再生成されるかを特定することは困難であることに注意されたい。アイデンティティの合意は、特定アプリケーションに依存することになる。
本発明の第1の実装例を、図2を参照して説明する。ここでは、いくつかの無線アクセスネットワーク(不図示)と通信する、加入者所有3G移動端末(UE)を示している。ここで、UEは無線アクセスネットワークに対して既に認証されていて、また、3GPP AKA処理(上述のような、アクセスネットワークの在圏ノードと加入者のホーム環境の認証サーバ間のシグナリング交換を含む)を使用してネットワークによって提供されるサービスを使用することが認可されていると想定する。また、図2には、ネットワーク認証機能(NAF)と、ブートストラップサーバ機能(BSF)とが示されている。NAFの位置は、ここでの説明の目的のためには重要ではないが、例えば、無線アクセスネットワークのオペレータによって操作され、かつ制御されても良い。BSFは、典型的には、加入者のホーム環境内に配置されておる。既に説明しているように、UEは、Uaインタフェースを介してNAFと通信し、Ubインタフェースを介してBSFと通信する。
加入者所有端末UEが、サービスの使用を行い、NAFによって制御されるアクセスを行いたいと想定する。このサービスは、ウェブサーバからのリアルタイムあるいはストリーミングビデオブロードキャストであっても良い。典型的には、NAFは、加入者がだれが要求していて、かつ加入者との請求関係を確立することができることを知っていることが必要となる。これを行うために、NAFは、加入者のホーム環境とコンタクトをとらなければならない。従来の方法を介してかなり簡略化される処理について説明する。この処理は、3GPP GBA規格TS 33.220(v.6.2.0)及びTS24.109(v6.0.0)を基礎としている。
最適化処理は、ハイパーテキスト転送プロトコルHTTPがUaインタフェースでは使用されるものと想定しているが、他のプロトコルでも可能である。この処理は、以下のステップを有している。
1)UEは、Uaインタフェースを介して、HTTPリクエスト(典型的には、HTTP GET)をNAFへ送信する。UEがGBA最適化処理をサポートしている場合、Ubインタフェースで使用する認可ヘッダを、このHTTPメッセージへ含めても良い。この認可ヘッダは、ユーザアイデンティティとBSFの「アドレス体系(realm)」を含んでいる。プライバシーの理由のために、ユーザアイデンティティは、通常のUbインタフェース関連アイデンティティ(IMSIあるいはIMPI)でなくても良い。むしろ、このアイデンティティは、予め有効なUaインタフェース関連アイデンティティ、即ち、B−ITDであっても良い。このリクエストは、他の認可ヘッダ、特に、NAFへ向けられる認可ヘッダを含んでいても良い。
UEは、例えば、セキュリティキーの有効期限が満了しようとしている場合に、GBA最適化処理の使用を試行するか、あるいはGBA処理が使用されるべきであるかをどうかをUEが知らない場合にはデフォルトによる試行を行うかを決定しても良い。
2)HTTPリクエストが、Ubインタフェースで使用される認可ヘッダを含んでいるイベントでは、NAFは、このヘッダが、自身以外のアドレス体系に対するものであることを認識することになる。ヘッダ情報に基づいて、NAFは、そのヘッダ情報あるいはその関連部分を、Znインファエースを介して、例えば、DIAMETERプロトコルを使用してBSFへ転送しても良い。
NAFがGBA最適化をサポートしていない場合、認可ヘッダは無視するべきである。これは、それがいくつかの他のアドレス体系に対するものであるからである。NAFがGBA最適化をサポートするとしても、NAFは、依然として、GBA最適化を使用しないことのポリシー決定を行う可能性がある。[ここで、この場合、NAFは、HTTP401認証チャレンジを用いて、直接UEへのチャレンジを行うことになり、UEとNAFが有効なパスワードを共有していると想定する。]NAFは、Ubインタフェースを介して、ブートストラップ処理を開始するメッセージを用いて、リプライを行っても良い。
NAFからHTTPプロトコル情報を受信すると、BSFは、NAFが、最適化GBA処理を使用することが認可されているかどうかをチェックする。例えば、BSFは、TLSを使用してNAFを認証して、ローカルデータベースから認可データをチェックすることができる。
3)そうである場合、BSFは、DIAMETERプロトコルメッセージ内で、HTTPダイジェストAKAチャレンジをNAFヘ返信する。このチャレンジは、例えば、ナンスパラメータで、UEに対する新規のアイデンティティである、B−TID2を含んでいる。このチャレンジに対して、UEがどのようにしてB−TID2を構築することができるかについての「ヒント」だけを、そのヒントからアイデンティティを構築するためのルールを知っているUEとBSFに含ませることもできる。BSFは、加入者のIMSI/IMPIの後にB−TIDを関連付けることが可能であり、これによって、正常なAKAチャレンジを選択する。
4)NAFからUEへのHTTP401応答メッセージは、2つの認証チャレンジを含んでいて、1つはBSFからのものであり、もう1つはNAFからのものである。この段階で、NAFは、ステートレスを維持することができる。即ち、UEを「忘れる」ことができる。
5)UEは、ダイジェストAKAチャレンジ(BSFで生成される)を使用して、ホームネットワークを認証する。UEは、HTTPダイジェストAKAチャレンジ及び他の関連情報に基づいて、新規のGBA関連キーイング要素を生成する。次に、UEは、B−TID2と関連するキーイング要素を使用して、NAF特定キーを構築し、その情報を使用して、第2認証チャレンジに対する応答(NAFに向けての)を生成する。第2HTTPリクエストは、UEによってNAFに向けて送信され、これには、2つの認可ヘッダを含んでいて、1つはNAFに対するものであり、もう1つはBSFに対するものである。
6)NAFは、AKA応答(即ち、BSF認可ヘッダ)をBSFへ「トンネル」する。同時に、これは、B−TID2アイデンティティに関連するキーイング要素をリクエストする。
7)BSFは、ダイジェストAKA処理に従ってUEを認証する。次に、これは、UE(ステップ5)におけるキーイング要素と同一のキーイング要素を構築し、その関連キーをNAFへ返信する。AKA認証が失敗する場合、BSFは、エラーメッセージをNAFへ返信する。
8)NAFが、BSFから適切なキーイング要素を受信するイベントでは、NAFは、第2HTTPリクエスト[ステップ5)]に含まれる第2認可ヘッダを使用して、UEを認証することができる。次に、NAFは、リクエストされたサービスのUEへの配信を進める。
別の平行認証メカニズムを、まずは、一般的に説明し、そして、詳細な実装に関して説明する。
図3は、上述の通信システムの構成要素を示している。ここで、クライアントと認証サーバ(AUS)は、シークレットSを共有している。ステップ1)から3)は、図1を参照して説明したものと同一である。しかしながら、ステップ4)で、サーバがクライアントに対するAUSチャレンジを受信した後は、サーバは、自身の任意のチャレンジを付加することなくそのAUSチャレンジをクライアントへ転送する。
クライアントはチャレンジを受信し、共有シークレットSからサーバ特定キー要素を導出し、そして、それを使用して、AUSチャレンジへの応答を用意する。クライアントは、サーバ特定キー要素(Sから導出される)を使用して、AUSからの相互認証を要求する。これは、AUSがサーバを信頼し、それゆえ、Sからサーバ特定キー要素が導出されることをクライアントに証明することになる。クライアントは、ステップ5)で、AUS−応答をサーバへ送信する。図1の処理のように、第1認証方法の性質に依存して、クライアントは、この段階で、AUSをすぐに認証することが可能となっている。
ステップ6)で、サーバは、AUS応答をAUSへトンネルしながら、その応答のコピーを自身で維持する。同時に、サーバは、AUSから(Sから導出される)サーバ特定キー要素をリクエストする。サーバは、進行中の認証処理においてはこのキー要素は必要としないが、これは、将来クライアントを認証するために使用されても良い。
AUSは、ステップ5)でクライアントが用意した共有シークレットSから同一のキー要素を用意し、そして、AUS応答と導出されたキー要素を使用してクライアントを認証する。ステップ7)で、AUSは、サーバ特定キー要素を使用して認証リプライを用意し、そして、それをサーバへ送信する。AUSは、クライアントが認証されたことをサーバへ指示し、かつキー要素をサーバへ送信する。再度、AUSは、新規のキー要素に対して有効期限を特定しても良く、そして、それをサーバへ提供する。クライアントの認証が失敗する場合、AUSは、キー要素を返信しないが、認証失敗メッセージをリプライする。ここで、AUSは、認証リプライを用意しない代わりに、キー要素をサーバへ返信することも可能である。これにより、サーバは、認証リプライを用意することが可能になる。
サーバは、AUSから、認証指示とキー要素を受信する。認証が成功した場合、サーバはサービスをクライアントへ配信することになる。ステップ8)で、サーバは、認証リプライをクライアントへ転送する。サーバは、AUSによって返信されたキーを使用して、ステップ5)でクライアントによって送信されたAUS応答をテストすることができる(但し、これは、サーバが、AUSによって提供される認証に依存している場合は必要ない)。
ステップ9)で、クライアントは、認証リプライと、共有シークレットSから導出されるキー要素を使用して、サーバを認証する。これは、AUSがサーバを信頼していることをクライアントへ証明することになる。認証方法の性質に依存して、クライアントは、この段階で、AUSを認証しても良い。例えば、これには、HTTPダイジェストメカニズムを使用する場合にあてはまる。
この一般的な処理の詳細実装は、HTTPがUaインタフェース内で使用されるものと想定する。この処理は、図4で示される。ステップ1)から3)は、図2で参照したものと同様である。但し、ステップ4)で、NAFは、401応答メッセージをUEに向けて転送する。これには、BSFからの認証チャレンジを含んでいるが、NAFによって生成されるチャレンジは含んでいない。
UEは、ダイジェストAKAチャレンジ(BSFから)を使用して、BSFを認証する。UEは、HTTPダイジェストAKAチャレンジと他の関連情報に基づいて、新規のGBA関連キーイング要素を生成する。UEは、このキーイング要素と他の関連情報(例えば、NAFのアイデンティティ)を使用して、NAF特定キーを導出し、次に、そのNAF特定キーを、BSFに向けてのHTTPダイジェストAKA応答を用意する場合のパスワードとして使用する。ステップ5)で、UEは、HTTPダイジェストAKA応答にクライアントナンス(client nonce)を含めて、その応答をNAFに向けて送信する。
ここで、このUEの動作は、HTTPダイジェストAKAチャレンジに応答する場合には、RFC3310(HTTPダイジェストAKA)の標準動作に違反していることに注意されたい。HTTPダイジェストAKAで使用されるパスワードは、「RES」であるべきであるが、NAF特定キーであるべきではない。しかしながら、この例外処理は、NAFアイデンティティが認証処理に結びづけられることを保証する。
ステップ6)で、NAFは、AKA応答をBSFにトンネルする。同時に、NAFは、UEに関連するキーイング要素(例えば、IMSI/IMPIあるいは新規のB−TIDによって識別される)をリクエストする。BSFは、ステップ5)でUEが実行したものと同一のNAF特定キーイング要素を構築する。次に、BSFは、NAF特定キーを使用して、UE(ダイジェストAKA応答)を認証する。ステップ7)で、BSFは、NAF特定キーとクライアントナンスを使用して200OKメッセージを用意して、それをNAFへ送信する。このメッセージは、UEに対する新規のアイデンティティ、即ち、B−TID2を含んでいても良い。また、このメッセージは、UEがどのようにしてアイデンティティB−TID2を構築することができるかについてのヒントだけを含ませることも可能である[新規のアイデンティティは、ステップ3)あるいはステップ7)で割り当てられても良い]。
また、BSFは、関連キーを、UEが正常に認証されていることの通知とともにNAFへ送信する。NAFがまだ新規のアイデンティティB−TID2を確認していない場合、BSFは、その情報をNAFへも返信する。AKA認証が失敗する場合、BSFは、エラーメッセージをNAFヘ返信する。
ステップ8)で、NAFは、200OKメッセージをUEへ転送する。NAFは、例えば、次のアクセスリクエストの場合にUEを認証するために、NAF特定キーを記憶する。ここで、NAFは、UEへサービスを配信するための準備をする。ステップ9)で、UEは、200OKメッセージとNAF特定キーの受信に基づいて、NAFを認証することができる。これが可能となるのは、BSFもNAF特定キーを導出していて、UEがBSFを認証している、ここでは、間接的にNAFを認証しているからである。
本発明の範囲から逸脱することなく、上述の実施形態を様々に変形することができることが当業者には理解されるであろう。
Claims (20)
- 通信ネットワークを介して2つ以上のサーバに接続されているクライアントを認証する方法であって、前記クライアントと第1サーバが、共有シークレットを保有している、方法であって、
第2サーバを介して、前記クライアントから前記第1サーバへ認証リクエストを送信し、
前記第1サーバでの前記認証リクエストの受信に応じて、前記共有シークレットを使用して第1認証チャレンジを生成し、前記第1認証チャレンジを前記第2サーバへ送信し、
前記第2サーバで、第2認証チャレンジを生成し、前記第1認証チャレンジと前記第2認証チャレンジとを前記第2サーバから前記クライアントへ送信し、
前記クライアントでの前記第1認証チャレンジと前記第2認証チャレンジとの受信に応じて、該第1認証チャレンジに対する第1チャレンジ応答を生成し、前記共有シークレットを使用してセッションキーを生成し、前記セッションキーを使用して前記第2認証チャレンジに対する第2チャレンジ応答を生成し、
前記第2サーバへ、前記第1チャレンジ応答と前記第2チャレンジ応答とを送信し、該第1チャレンジ応答を前記第1サーバへ転送し、
前記第1チャレンジ応答と前記共有シークレットを使用して、前記第1サーバで前記クライアントを認証し、前記クライアントが認証されるイベントにおいて、前記第1サーバで前記セッションキーを生成し、該セッションキーを前記第2サーバへ送信し、
前記第2チャレンジ応答と前記セッションキーを使用して、前記第2サーバで前記クライアントを認証する
ことを特徴とする方法。 - 前記第1サーバに対する前記第2サーバを認証し、その認証処理後に、前記第1サーバから前記第2サーバへ前記セッションキーを提供する
ことを特徴とする請求項1に記載の方法。 - 前記第1サーバに対する前記クライアントの認証と、前記第2サーバに対する前記クライアントの認証の少なくとも一方では、HTTPダイジェストプロトコルを使用する
ことを特徴とする請求項1または2に記載の方法。 - 前記HTTPダイジェストプロトコルは、HTTPダイジェストAKAプロトコルである
ことを特徴とする請求項3に記載の方法。 - 前記HTTPダイジェストプロトコルは、別のプロトコルを使用して、前記第1サーバと前記第2サーバ間をトンネルされる
ことを特徴とする請求項3または4に記載の方法。 - 前記別のプロトコルは、DIAMETERである
ことを特徴とする請求項5に記載の方法。 - 前記クライアントに対する、前記第1サーバ及び前記第2サーバの少なくとも一方を認証する
ことを特徴とする請求項1乃至6のいずれか1項に記載の方法。 - 前記クライアントは、前記第1認証チャレンジを使用して、前記第1サーバを認証する
ことを特徴とする請求項7に記載の方法。 - 前記クライアントは、前記第2認証チャレンジの受信に応じて前記第2サーバを認証する
ことを特徴とする請求項7に記載の方法。 - 通信システム内の認証サーバを操作する方法であって、
シークレットを共有するクライアントと更なる認証サーバ間の認証に係るシグナリングとして、前記更なる認証サーバから前記クライアントへ送信される第1認証チャレンジと、前記クライアントから前記更なる認証サーバへ送信される第1チャレンジ応答とを含む認証に係るシグナリングを中継し、
第2認証チャレンジを生成し、前記第2認証チャレンジを前記第1認証チャレンジとともに前記クライアントへ送信し、第2チャレンジ応答を前記第1チャレンジ応答とともに前記クライアントから受信し、
前記更なる認証サーバからセッションキーを受信し、前記セッションキーと前記第2チャレンジ応答とを使用して前記クライアントを認証する
ことを特徴とする方法。 - 前記認証サーバは、Uaインタフェースを介してクライアントと通信を行い、かつZnインタフェースを介して更なる認証サーバと通信するネットワーク認証機能である
ことを特徴とする請求項10に記載の方法。 - 通信ネットワークで使用するように適合されている認証サーバであって、
クライアントと更なる認証サーバ間の認証に係るシグナリングとして、前記更なる認証サーバから前記クライアントへ送信される第1認証チャレンジと、前記クライアントから前記更なる認証サーバへ送信される第1チャレンジ応答を含む認証に係るシグナリングを中継する中継手段と、
第2認証チャレンジを生成し、前記第2認証チャレンジを前記第1認証チャレンジとともに前記クライアントへ送信し、第2チャレンジ応答を前記第1チャレンジ応答とともに前記クライアントから受信する処理手段と、
前記更なる認証サーバによる前記クライアントの認証を行う、該更なる認証サーバからセッションキーを受信する受信手段と、
前記セッションキーと前記第2チャレンジ応答とを使用して、前記クライアントの認証を行う処理手段と
を備えることを特徴とする認証サーバ。 - 当該認証サーバは、ネットワーク認証サーバである
ことを特徴とする請求項12に記載の認証サーバ。 - 前記中継手段は、前記クライアントから受信するアクセスリクエストが、前記通信ネットワーク内のいくつかの他の機能によって実行されなければならない認証に関連することを判定し、その判定に応じて、前記アクセスリクエストを前記更なる認証サーバへ中継するように構成されている
ことを特徴とする請求項13に記載の認証サーバ。 - 通信ネットワークに接続されているクライアントを操作する方法であって、
第1認証サーバに対する前記クライアントを認証するために、第2認証サーバを介して前記第1認証サーバとのシグナリングとして、前記第1認証サーバから前記クライアントへ送信される第1認証チャレンジと、前記クライアントから前記第1認証サーバへ送信される第1チャレンジ応答を含むシグナリングを交換し、
前記クライアントと前記第1認証サーバ間で共有されるシークレットを使用して、セッションキーを生成し、
前記第2認証サーバから第2認証チャレンジを前記第1認証チャレンジとともに受信し、前記セッションキーを使用して第2チャレンジ応答を生成し、前記第2チャレンジ応答を前記第1チャレンジ応答とともに前記第2認証サーバへ送信する
ことを特徴とする方法。 - 前記クライアントは、移動無線通信端末である
ことを特徴とする請求項15に記載の方法。 - クライアントであって、
第1認証サーバに対する前記クライアントを認証するために、第2認証サーバを介して前記第1認証サーバとのシグナリングとして、前記第1認証サーバから前記クライアントへ送信される第1認証チャレンジと、前記クライアントから前記第1認証サーバへ送信される第1チャレンジ応答を含むシグナリングを交換する処理通信手段と、
当該クライアントと前記第1認証サーバ間で共有されるシークレットを使用して、セッションキーを生成する処理手段と、
前記第2認証サーバから第2認証チャレンジを前記第1認証チャレンジとともに受信し、前記セッションキーを使用して第2チャレンジ応答を生成し、前記第2チャレンジ応答を前記第1チャレンジ応答とともに前記第2認証サーバへ送信する入力処理手段と
を備えることを特徴とするクライアント。 - 通信ネットワークのネットワークアプリケーション機能に対するユーザ機器を認証する方法であって、
前記ユーザ機器からのアクセスリクエストを前記ネットワークアプリケーション機能へ送信し、
前記アクセスリクエストが、前記通信ネットワークのいくつかの他の機能によって実行されなければならない認証に関連することを、前記ネットワークアプリケーション機能で判定し、
前記アクセスリクエストを、前記他の機能へ転送し、
前記他の機能から前記ネットワークアプリケーション機能へ、チャレンジを返信し、
前記チャレンジと、前記ネットワークアプリケーション機能の更なるチャレンジを前記ユーザ機器へ送信し、
前記ユーザ機器から前記ネットワークアプリケーション機能へチャレンジ応答を送信し、前記他の機能の前記チャレンジに関する応答を、該他の機能へ転送し、
前記ネットワークアプリケーション機能で前記チャレンジ応答の有効性を検証し、かつ前記他の機能で前記応答の有効性を検証する
ことを特徴とする方法。 - 前記ユーザ機器と前記他の機能は、シークレットを共有し、かつ認証処理中に前記シークレットからセッションキーを導出し、
前記他の機能は、前記セッションキーを前記ネットワークアプリケーション機能へ提供し、
前記ユーザ機器は、前記セッションキーを使用して、前記チャレンジ応答を生成する
ことを特徴とする請求項18に記載の方法。 - 前記通信システムは、無線アクセスネットワークを備え、
前記クライアントは、移動体無線通信端末である
ことを特徴とする請求項1乃至11、15、16、18及び19のいずれか1項に記載の方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2005/050372 WO2006079419A1 (en) | 2005-01-28 | 2005-01-28 | User authentication and authorisation in a communications system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008529368A JP2008529368A (ja) | 2008-07-31 |
| JP4643657B2 true JP4643657B2 (ja) | 2011-03-02 |
Family
ID=34960251
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007552532A Active JP4643657B2 (ja) | 2005-01-28 | 2005-01-28 | 通信システムにおけるユーザ認証及び認可 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US8555345B2 (ja) |
| EP (1) | EP1842319B1 (ja) |
| JP (1) | JP4643657B2 (ja) |
| KR (1) | KR100995423B1 (ja) |
| CN (1) | CN101112038B (ja) |
| BR (1) | BRPI0519861A2 (ja) |
| CA (1) | CA2594468A1 (ja) |
| IL (1) | IL184606A0 (ja) |
| WO (1) | WO2006079419A1 (ja) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7636940B2 (en) * | 2005-04-12 | 2009-12-22 | Seiko Epson Corporation | Private key protection for secure servers |
| DE102005026982A1 (de) * | 2005-06-10 | 2006-12-14 | Siemens Ag | Verfahren zur Vereinbarung eines Sicherheitsschlüssels zwischen mindestens einem ersten und einem zweiten Kommunikationsteilnehmer zur Sicherung einer Kommunikationsverbindung |
| WO2007085175A1 (fr) * | 2006-01-24 | 2007-08-02 | Huawei Technologies Co., Ltd. | Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile |
| DE102006038037A1 (de) * | 2006-08-14 | 2008-02-21 | Siemens Ag | Verfahren und System zum Bereitstellen eines zugangsspezifischen Schlüssels |
| US8145905B2 (en) | 2007-05-07 | 2012-03-27 | Qualcomm Incorporated | Method and apparatus for efficient support for multiple authentications |
| EP2056565A1 (fr) * | 2007-10-29 | 2009-05-06 | Axalto | Procédé d'authentification d'un utilisateur accédant à un serveur distant à partir d'un ordinateur |
| US8347374B2 (en) * | 2007-11-15 | 2013-01-01 | Red Hat, Inc. | Adding client authentication to networked communications |
| US9027119B2 (en) * | 2007-11-19 | 2015-05-05 | Avaya Inc. | Authentication frequency and challenge type based on application usage |
| US8978117B2 (en) * | 2007-11-19 | 2015-03-10 | Avaya Inc. | Authentication frequency and challenge type based on environmental and physiological properties |
| US8918079B2 (en) * | 2007-11-19 | 2014-12-23 | Avaya Inc. | Determining authentication challenge timing and type |
| CN103596123B (zh) | 2008-01-18 | 2017-05-10 | 交互数字专利控股公司 | 一种由m2me执行的方法 |
| CN101478755B (zh) * | 2009-01-21 | 2011-05-11 | 中兴通讯股份有限公司 | 一种网络安全的http协商的方法及其相关装置 |
| JP2012520027A (ja) | 2009-03-06 | 2012-08-30 | インターデイジタル パテント ホールディングス インコーポレイテッド | 無線装置のプラットフォームの検証と管理 |
| US8484708B2 (en) * | 2009-12-11 | 2013-07-09 | Canon Kabushiki Kaisha | Delegating authentication using a challenge/response protocol |
| US8621212B2 (en) * | 2009-12-22 | 2013-12-31 | Infineon Technologies Ag | Systems and methods for cryptographically enhanced automatic blacklist management and enforcement |
| CN102111759A (zh) * | 2009-12-28 | 2011-06-29 | 中国移动通信集团公司 | 一种认证方法、系统和装置 |
| KR101556046B1 (ko) * | 2010-12-30 | 2015-09-30 | 인터디지탈 패튼 홀딩스, 인크 | 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정 |
| US8630411B2 (en) | 2011-02-17 | 2014-01-14 | Infineon Technologies Ag | Systems and methods for device and data authentication |
| WO2014113193A1 (en) | 2013-01-17 | 2014-07-24 | Intel IP Corporation | Dash-aware network application function (d-naf) |
| WO2015004744A1 (ja) * | 2013-07-10 | 2015-01-15 | 株式会社野村総合研究所 | 認証装置、認証方法、およびプログラム |
| CN104426656B (zh) * | 2013-08-19 | 2019-04-05 | 中兴通讯股份有限公司 | 数据收发方法及系统、消息的处理方法及装置 |
| US11349675B2 (en) * | 2013-10-18 | 2022-05-31 | Alcatel-Lucent Usa Inc. | Tamper-resistant and scalable mutual authentication for machine-to-machine devices |
| JPWO2015064475A1 (ja) * | 2013-10-29 | 2017-03-09 | 京セラ株式会社 | 通信制御方法、認証サーバ及びユーザ端末 |
| SE539271C2 (en) | 2014-10-09 | 2017-06-07 | Kelisec Ab | Mutual authentication |
| US9967260B1 (en) * | 2015-01-26 | 2018-05-08 | Microstrategy Incorporated | Enhanced authentication security |
| EP3151503B1 (de) * | 2015-09-29 | 2019-12-11 | Siemens Aktiengesellschaft | Verfahren und system zur authentifizierung einer umgebenden web-anwendung durch eine einzubettende web-anwendung |
| WO2017063031A1 (en) * | 2015-10-16 | 2017-04-20 | Kasada Pty Ltd | Dynamic cryptographic polymorphism (dcp) system and method |
| EP3427503B1 (en) | 2016-03-09 | 2021-12-15 | Telefonaktiebolaget LM Ericsson (publ) | Systems and methods for using gba for services used by multiple functions on the same device |
| CN110198540B (zh) * | 2019-05-09 | 2022-05-24 | 新华三技术有限公司 | Portal认证方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001243196A (ja) * | 2000-03-01 | 2001-09-07 | Fujitsu Ltd | 携帯電話とicカードを利用した個人認証システム |
| WO2003107584A1 (en) * | 2002-01-02 | 2003-12-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Non-repudiation of service agreements |
| WO2005003934A1 (en) * | 2003-07-01 | 2005-01-13 | International Business Machines Corporation | Method and system for a single-sign-on access to a computer grid |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0673178B1 (en) * | 1994-03-17 | 2005-02-16 | Kokusai Denshin Denwa Co., Ltd | Authentication method for mobile communications |
| US5537474A (en) * | 1994-07-29 | 1996-07-16 | Motorola, Inc. | Method and apparatus for authentication in a communication system |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| US7254237B1 (en) * | 2001-01-12 | 2007-08-07 | Slt Logic, Llc | System and method for establishing a secure connection |
| GB0314971D0 (en) * | 2003-06-27 | 2003-07-30 | Ericsson Telefon Ab L M | Method for distributing passwords |
| EP1714418B1 (en) * | 2004-02-11 | 2017-01-11 | Telefonaktiebolaget LM Ericsson (publ) | Key management for network elements |
| US7966646B2 (en) * | 2006-07-31 | 2011-06-21 | Aruba Networks, Inc. | Stateless cryptographic protocol-based hardware acceleration |
-
2005
- 2005-01-28 KR KR20077019637A patent/KR100995423B1/ko active IP Right Grant
- 2005-01-28 CA CA 2594468 patent/CA2594468A1/en not_active Abandoned
- 2005-01-28 BR BRPI0519861-5A patent/BRPI0519861A2/pt not_active IP Right Cessation
- 2005-01-28 US US11/883,158 patent/US8555345B2/en active Active
- 2005-01-28 JP JP2007552532A patent/JP4643657B2/ja active Active
- 2005-01-28 EP EP05707884.2A patent/EP1842319B1/en not_active Not-in-force
- 2005-01-28 CN CN2005800473470A patent/CN101112038B/zh not_active Expired - Fee Related
- 2005-01-28 WO PCT/EP2005/050372 patent/WO2006079419A1/en active Application Filing
-
2007
- 2007-07-15 IL IL184606A patent/IL184606A0/en active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001243196A (ja) * | 2000-03-01 | 2001-09-07 | Fujitsu Ltd | 携帯電話とicカードを利用した個人認証システム |
| WO2003107584A1 (en) * | 2002-01-02 | 2003-12-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Non-repudiation of service agreements |
| WO2005003934A1 (en) * | 2003-07-01 | 2005-01-13 | International Business Machines Corporation | Method and system for a single-sign-on access to a computer grid |
Also Published As
| Publication number | Publication date |
|---|---|
| IL184606A0 (en) | 2007-12-03 |
| CA2594468A1 (en) | 2006-08-03 |
| JP2008529368A (ja) | 2008-07-31 |
| BRPI0519861A2 (pt) | 2009-03-24 |
| EP1842319B1 (en) | 2017-12-27 |
| KR20070102722A (ko) | 2007-10-19 |
| EP1842319A1 (en) | 2007-10-10 |
| KR100995423B1 (ko) | 2010-11-18 |
| US20090013381A1 (en) | 2009-01-08 |
| WO2006079419A1 (en) | 2006-08-03 |
| CN101112038A (zh) | 2008-01-23 |
| CN101112038B (zh) | 2013-04-24 |
| US8555345B2 (en) | 2013-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4643657B2 (ja) | 通信システムにおけるユーザ認証及び認可 | |
| EP1875707B1 (en) | Utilizing generic authentication architecture for mobile internet protocol key distribution | |
| US7984298B2 (en) | Method, system and authentication centre for authenticating in end-to-end communications based on a mobile network | |
| US6879690B2 (en) | Method and system for delegation of security procedures to a visited domain | |
| US7984486B2 (en) | Using GAA to derive and distribute proxy mobile node home agent keys | |
| US20080026724A1 (en) | Method for wireless local area network user set-up session connection and authentication, authorization and accounting server | |
| JP2017126987A (ja) | ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録 | |
| US10462671B2 (en) | Methods and arrangements for authenticating a communication device | |
| WO2019137030A1 (zh) | 安全认证方法、相关设备及系统 | |
| KR20060067263A (ko) | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 | |
| US9137661B2 (en) | Authentication method and apparatus for user equipment and LIPA network entities | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
| KR20140095050A (ko) | 이동 통신 시스템에서 단일 사용자 승인을 지원하는 관리 방법 및 장치 | |
| Mizikovsky et al. | CDMA 1x EV-DO security | |
| KR20130085170A (ko) | 무선 네트워크에서 가입자 단말의 핸드오버 시 인증 절차를 단축시키는 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100630 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100705 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100927 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101112 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101202 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4643657 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131210 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |