JP4847555B2 - 復号鍵配信方法および認証装置 - Google Patents
復号鍵配信方法および認証装置 Download PDFInfo
- Publication number
- JP4847555B2 JP4847555B2 JP2009105401A JP2009105401A JP4847555B2 JP 4847555 B2 JP4847555 B2 JP 4847555B2 JP 2009105401 A JP2009105401 A JP 2009105401A JP 2009105401 A JP2009105401 A JP 2009105401A JP 4847555 B2 JP4847555 B2 JP 4847555B2
- Authority
- JP
- Japan
- Prior art keywords
- decryption key
- authentication
- key
- content
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
コンテンツサーバ108は、放送チャネル用データを生成・送信する機能を有する。これらのデータは、マルチキャストIPアドレスが付与されたIPパケットとしてBSN(Broadcast Serving Node)106に送信される。このIPパケットはBCMCS Controller109で管理する暗号鍵を用いてコンテンツサーバ108にて暗号化されて送信される。コンテンツサーバ108は放送データを送信する際、暗号化を行うために必要な暗号鍵をBCMCS Controller109から予め受信する。
BSN106は、コンテンツサーバ108から放送チャネル上で送信するためのデータを受信する。その放送データは、PCF104を介してAN103へ送信される。また、AN103で受信された放送データは、放送チャネルを使用して無線によりAT101へ送信される(201)。このときAT101で受信するデータは暗号化されており、AT101は復号化するための鍵(復号鍵)を保持していないことから、受信データはAT101で廃棄される。
前記無線端末が端末認証を行うことを契機に、前記端末認証を行うための信号に、前記暗号化されたデータを復号化する鍵を伝送することを特徴のひとつとする。
上述の復号鍵配信方法において、前記無線基地局が前記呼び出し信号を前記無線端末に送信する時間を前記無線端末により変えることにより、復号鍵配信するためのトラヒックを分散化させることができる。
コンテンツサーバが、暗号鍵及び/又は復号鍵を管理する制御装置から受信したコンテンツ毎に異なる暗号鍵を用いてコンテンツを暗号化した放送データを、無線端末へ放送チャネルにより送信し、
前記無線端末は、PPP(Point to Point Protocol)通信を利用して、該無線端末の認証および予め登録したコンテンツの放送データを復号するための復号鍵の配信を受ける無線通信システムにおいて、前記無線端末の認証を行なう認証装置であって、
該認証装置は、
前記無線端末の認証を行うための端末認証データベースと、
前記無線端末毎に、該無線端末の端末識別子と受信を許可されている登録コンテンツのコンテンツ種別又は識別情報とを対応付けて格納したコンテンツ登録データベースと、
コンテンツ種別又は識別情報と、該コンテンツ種別又は識別情報に対応する復号鍵に関する情報とを対応づけて格納した復号鍵データベースと
制御部とを有し、
該認証装置の該制御部は、
PPP(Point to Point Protocol)による前記無線端末の認証の際、
LCP(Link Control Protocol)確立後の認証段階において、
端末識別子を含む認証要求を前記無線端末から受信して、受信された認証要求に従い前記端末認証データベースを参照して端末認証を行い、
さらに、前記コンテンツ登録データベースを参照して、受信された認証要求内の端末識別子に基づき、該端末識別子に対応付けられた登録コンテンツのコンテンツ種別又は識別情報とを取得し、
取得されたコンテンツ種別又は識別情報に基づき、前記復号鍵データベースを参照し、対応する復号鍵に関する情報とを取得し、
前記端末認証の結果と、取得された前記復号鍵に関する情報とを前記無線端末に送信することを特徴とする認証装置が提供される。
本発明の第2の解決手段によると
コンテンツサーバが、暗号鍵及び/又は復号鍵を管理する制御装置から受信したコンテンツ毎に異なる暗号鍵を用いてコンテンツを暗号化した放送データを、無線端末へ放送チャネルにより送信し、
無線端末は、PPP(Point to Point Protocol)通信を利用して、該無線端末の認証および予め登録したコンテンツの放送データを復号するための復号鍵の配信を受ける無線通信システムにおいて、無線端末に復号鍵を配信する復号鍵配信方法であって、
予め認証装置に、
無線端末の認証を行うための端末認証データベースと、
無線端末毎に、該無線端末の端末識別子と受信を許可されている登録コンテンツのコンテンツ種別又は識別情報を対応付けて格納したコンテンツ登録データベースと、
コンテンツ種別又はコンテンツ識別情報と、該コンテンツ種別又はコンテンツ識別情報に対応する復号鍵に関する情報とを対応づけて格納した復号鍵データベースとを格納しておき、
PPP(Point to Point Protocol)による無線端末の認証の際、
LCP(Link Control Protocol)確立後の認証段階において、
端末識別子を含む認証要求を無線端末から受信して、受信された認証要求に従い前記端末認証データベースを参照して端末認証を行い、
さらに、前記コンテンツ登録データベースを参照して、受信された認証要求内の端末識別子に基づき、該端末識別子に対応付けられた登録コンテンツのコンテンツ種別又は識別情報を取得し、
取得されたコンテンツ種別又は識別情報に基づき、前記復号鍵データベースを参照し、対応する復号鍵に関する情報を取得し、
前記端末認証の結果と、取得された前記復号鍵に関する情報とを無線端末に送信することを特徴とする復号鍵配信方法が提供される。
図1は、本実施の形態における1xEV−DOネットワークシステムの構成図である。
以下では、発明の実施形態の一例として図1にて示した1xEV−DOネットワークをベースとして説明する。なお、図1に示すシステム以外にも、本発明は、暗号化したデータを送信可能な放送チャネルを有し、移動機認証を備えるシステム全般に適用が可能である。
図3に、端末認証時の復号鍵配信手順を示す。
コンテンツサーバ108は放送データを、BSN106、PCF104を介してAN103へ送信する。また、AN103で受信した放送データは、放送チャネルを使用して無線によりAT101へ送信される(301)。このときAT101で受信するデータは暗号化されており、AT101は復号化するための鍵(復号鍵)を保持していないことから、受信データはAT101で廃棄される。コンテンツサーバ108は、放送データを送信する際に、内部で保持する暗号鍵データベース1703に保存されている暗号鍵を使用して放送データの暗号化を行った後、送信を行う。
まず、AN−AAA105は、Access Requestメッセージを受信し(S11、図3の308に対応)、端末認証を行う(S13)。例えば、AN−AAA105は、メッセージに含まれる移動機識別子に基づき加入者データベース1204の端末認証テーブルを参照して、対応するパスワードを取得する。また、AN−AAA105は、移動機識別子とパスワード等に基づいて、ATと同様の手法により認証子を求め、求められた認証子をAccess Requestメッセージに含まれる認証子を照合して、一致すれば端末認証を通過したと判断する。一方、一致しない場合は、認証不成功を示す情報をPCF104に送信するなどの所定の処理を行うことができる。なお、認証子を計算する以外にも、例えば、移動機識別子とパスワードを照合することで認証するなど適宜の認証方法を用いてもよい。
このように、端末認証時に放送データ復号化のための復号鍵を送信することによって、図2の既知手順に見られるようなAT101とPDSN107との間のPPP確立処理、AT101とBCMCS Controller109との間のトランザクションを省略することが可能となる。
図4に、復号鍵切り替え方法の説明図を示す。コンテンツサーバ108は、暗号化されたデータを送信しており、例えば、時間t0から時間t3の間(暗号鍵1の有効時間)は暗号鍵1により暗号化されたデータを送信している(401)。この間、暗号鍵1で暗号化されているため、データの復号を行うためには復号鍵1が必要となることを仮定している。また、時間t3以降は別の暗号鍵2により暗号されたデータが送信されており、この間のデータを復号するためには復号鍵2が必要である(402)。
図5に、再認証処理を契機に復号鍵をATへ送信する手順を示す。これらの手順は、例えば図3に示す処理の後に実行されることができる。
BSN106は放送データを、PCF104を介してAN103へ送信する。また、AN103で受信した放送データは、放送チャネルを使用して無線によりAT101へ送信される(501)。このときAT101で受信するデータは暗号化されており、AT101は復号化するための鍵(復号鍵)である復号鍵1を上述の処理によりすでに保持しているため、受信データはAT101で復号化され(復号化1)正常に受信される。
AT101は、呼び出し信号に応答し、AT101とAN103の間でユニキャスト通信を行うためのコネクションを確立する(503)。コネクション確立後、端末認証を実施するための準備として、AN103とPCF104の間に認証用パスを確立する(504)。
AT101は、手順510で受信した鍵有効時間の終了時刻(又は次の鍵の開始時刻)になった時点で、使用する復号鍵を復号鍵2に切り替え、復号鍵2を使用して放送データを復号化(復号化2)する(512)。従って、鍵切替時間を経て、暗号鍵2を使用して暗号化された放送データについても、AT101は無瞬断で受信し続けることが可能となる(513)。
図6に、AT101が他の目的でユニキャストデータ通信を行っており、その最中に復号鍵を更新する手順を示す。既にユニキャスト通信が行われているため、図5で示したAT呼び出しを行う手順よりも無線リソースの有効利用を図ることができる。例えば、AT呼び出し信号が不要になり、ATとAN103のコネクションはデータ通信のために既に確立しているので、復号鍵配信のために改めてセッションを確立する必要がない。
例えば、既に通信中のATに対して優先的に復号鍵の更新を行い、復号鍵の有効時間満了まで(又はその所定時間前まで)にユニキャスト通信の無かったATに対してのみ上述の図5に示した方法をとることができる。以下、通信中のATに対する復号鍵更新手順を示す。
AT101は手順611で受信した鍵切替時間になった時点で、使用する復号鍵を復号鍵2に切り替える(613)。従って、鍵切替時間を経て、暗号鍵2を使用して暗号化された放送データについても復号鍵2を用いて復号化でき(復号化2)、AT101は無瞬断で受信し続けることが可能となる(614)。
図7に、3つ以上の複数(以後n個とする)の復号鍵を送信する手順を示す。BSN106は放送データを、PCF104を介してAN103へ送信する。またAN103で受信した放送データは、放送チャネルを使用して無線によりAT101へ送信される(701)。このときAT101で受信するデータは暗号化されており、AT101は復号化するための鍵(復号鍵)である復号鍵1を保持しているため、受信データはAT101で復号化され正常に受信する。
PCF104は、AT101に未来に使用するn個の復号鍵を配信するためAT呼び出し信号をAN103経由でAT101へ送信する(702)。この時、呼び出し信号に端末認証を実施するための呼び出し信号であるという情報を付加して送信する。
AT101とPCF104との間で端末認証を実施するため、PPPに定義されているLCPの確立を行う(705)。PCF104は端末認証を要求するためCHAP Requestメッセージを送信し(706)、AT101はCHAP Responseメッセージで受信した情報とAT101で保持する移動機固有情報などを使用して認証子を計算し、認証子を含むCHAP ResponseメッセージをPCF104へ送信する(707)。PCF104は受信した認証子をAccess Requestメッセージに含むAN−AAA105へ送信する(708)。AN−AAA105は受信した認証子の妥当性を判断し、妥当であると判断し、端末認証を通過したとしてAccess AcceptメッセージをPCF104へ送信する(709)。このAccess Acceptメッセージの中で、手順701で送信中の放送データを復号化するのに必要な復号鍵(図中の復号鍵1)と、未来に送信する放送データを復号化するのに必要なn個の復号鍵(図中の復号鍵2、…、復号鍵n)と、それぞれの復号鍵の有効時間を送信する。例えば、AN−AAA105は、復号鍵データベース1203から予め定められた数の復号鍵及び有効時間をそれぞれ取得して通信する。PCF104はCHAP Successメッセージを送信することにより、認証が通過したことを通知し、また、現在の復号鍵、未来の復号鍵、鍵有効時間をAT101へ送信する(710)。
AT101は、手順710で受信した復号鍵1の鍵有効時間の終了時刻又は復号鍵2の有効時間の開始時刻になった時点で、復号鍵を復号鍵2に切り替える(712)。従って、鍵切替時間を経て、暗号鍵2を使用して暗号化された放送データについても、AT101は無瞬断で受信し続けることが可能となる(713)。
AT101は、同様に、手順710で受信した復号鍵3への鍵切替時間になった時点で、復号鍵を復号鍵3に切り替える(714)。従って、手順710において複数の復号鍵を予めAT101へ送信しておくことにより、AT101は復号鍵を得るために再度端末認証を行う必要がない。また手順702で呼び出し信号がAT101で正常に受信できなかった場合、復号鍵を正常に送信することができなくなるが、予め複数の復号鍵を送信しているために、AT101は継続して放送データの受信が可能となる(715)。なお、上述のデータ通信中の復号鍵更新においても3つ以上の複数の復号鍵を通信する変形が可能である。
PCF104は、呼制御データベース1904のあるエントリについて、送信済み鍵有効時間の終了時刻よりも所定時間前になると、AT呼び出し信号を端末に送信する。図21の例では、PCF104は、有効時間の終了時刻10:00の所定時間前(例えば、30分前)になると、有効時間の終了時刻10:00の移動機識別子のいずれか(例えば、#1)が示すATにAT呼び出し信号を送信する(図5、502に対応)。その後、端末認証及び新たな復号鍵(例えば、10:00〜12:00の有効時間の鍵fghijk)の送信が行われる(図5、503〜510に対応)。その際、移動機識別子#1については、新たな復号鍵が送信されたので、呼制御データベース1904の送信済み鍵有効時間は、例えば、10:00〜12:00と書き換えられる。
このように、復号鍵を配信する対象となるATに対して、順にAT読み出し信号を送信することができる。また、呼制御データベースに送信済み鍵有効時間を参照して、新たな復号鍵を送信したATと、これから送信すべきATを識別することができる。
102…放送チャネルの受信が可能な移動機2(AT2;Access Terminal 2)
103…放送チャネルの送信が可能な基地局(AN;Access Network)
104…パケット制御装置(PCF;Packet Control Function)
105…端末認証用AAA(AN−AAA;Access Network−Authentication、 Authorization and Accounting)
106…BCMCSサービス装置(BSN;BCMCS Serving Node)
107…パケットデータサービス装置(PDSN;Packet Data Serving Node)
108…コンテンツサーバ
109…BCMCS制御装置(BCMCS Controller)
110…ユーザ認証用AAA(AAA;Authentication、 Authorization and Accounting)
111…インターネット
1203…復号鍵データベース
1204…加入者データベース
1903…復号鍵データベース
1904…呼制御データベース
Claims (6)
- コンテンツサーバが、暗号鍵及び/又は復号鍵を管理する制御装置から受信したコンテンツ毎に異なる暗号鍵を用いてコンテンツを暗号化した放送データを、無線端末へ放送チャネルにより送信し、
前記無線端末は、PPP(Point to Point Protocol)通信を利用して、該無線端末の認証および予め登録したコンテンツの放送データを復号するための復号鍵の配信を受ける無線通信システムにおいて、前記無線端末の認証を行なう認証装置であって、
該認証装置は、
前記無線端末の認証を行うための端末認証データベースと、
前記無線端末毎に、該無線端末の端末識別子と受信を許可されている登録コンテンツのコンテンツ種別又は識別情報とを対応付けて格納したコンテンツ登録データベースと、
コンテンツ種別又は識別情報と、該コンテンツ種別又は識別情報に対応する復号鍵に関する情報とを対応づけて格納した復号鍵データベースと
制御部とを有し、
該認証装置の該制御部は、
PPP(Point to Point Protocol)による前記無線端末の認証の際、
LCP(Link Control Protocol)確立後の認証段階において、
端末識別子を含む認証要求を前記無線端末から受信して、受信された認証要求に従い前記端末認証データベースを参照して端末認証を行い、
さらに、前記コンテンツ登録データベースを参照して、受信された認証要求内の端末識別子に基づき、該端末識別子に対応付けられた登録コンテンツのコンテンツ種別又は識別情報とを取得し、
取得されたコンテンツ種別又は識別情報に基づき、前記復号鍵データベースを参照し、対応する復号鍵に関する情報とを取得し、
前記端末認証の結果と、取得された前記復号鍵に関する情報とを前記無線端末に送信することを特徴とする認証装置。 - 前記復号鍵データベースに格納された復号鍵に関する情報として、復号鍵と、該復号鍵の有効時間とが含まれることを特徴とする請求項1に記載の認証装置。
- 前記端末認証の結果と、前記復号鍵に関する情報とを、PPPの認証段階において前記認証装置から前記無線端末に送信される認証応答メッセージに格納して、前記無線端末に送信することを特徴とする請求項1に記載の認証装置。
- コンテンツサーバが、暗号鍵及び/又は復号鍵を管理する制御装置から受信したコンテンツ毎に異なる暗号鍵を用いてコンテンツを暗号化した放送データを、無線端末へ放送チャネルにより送信し、
無線端末は、PPP(Point to Point Protocol)通信を利用して、該無線端末の認証および予め登録したコンテンツの放送データを復号するための復号鍵の配信を受ける無線通信システムにおいて、無線端末に復号鍵を配信する復号鍵配信方法であって、
予め認証装置に、
無線端末の認証を行うための端末認証データベースと、
無線端末毎に、該無線端末の端末識別子と受信を許可されている登録コンテンツのコンテンツ種別又は識別情報を対応付けて格納したコンテンツ登録データベースと、
コンテンツ種別又はコンテンツ識別情報と、該コンテンツ種別又はコンテンツ識別情報に対応する復号鍵に関する情報とを対応づけて格納した復号鍵データベースとを格納しておき、
PPP(Point to Point Protocol)による無線端末の認証の際、
LCP(Link Control Protocol)確立後の認証段階において、
端末識別子を含む認証要求を無線端末から受信して、受信された認証要求に従い前記端末認証データベースを参照して端末認証を行い、
さらに、前記コンテンツ登録データベースを参照して、受信された認証要求内の端末識別子に基づき、該端末識別子に対応付けられた登録コンテンツのコンテンツ種別又は識別情報を取得し、
取得されたコンテンツ種別又は識別情報に基づき、前記復号鍵データベースを参照し、対応する復号鍵に関する情報を取得し、
前記端末認証の結果と、取得された前記復号鍵に関する情報とを無線端末に送信することを特徴とする復号鍵配信方法。 - 前記復号鍵データベースに格納された復号鍵に関する情報として、復号鍵と、該復号鍵の有効時間とが含まれることを特徴とする請求項4に記載の復号鍵配信方法。
- 前記端末認証の結果と、前記復号鍵に関する情報とを、PPPの認証段階において前記認証装置から無線端末に送信される認証応答メッセージに格納して、無線端末に送信することを特徴とする請求項4に記載の復号鍵配信方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009105401A JP4847555B2 (ja) | 2009-04-23 | 2009-04-23 | 復号鍵配信方法および認証装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009105401A JP4847555B2 (ja) | 2009-04-23 | 2009-04-23 | 復号鍵配信方法および認証装置 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008102518A Division JP4319691B2 (ja) | 2008-04-10 | 2008-04-10 | 認証装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009165189A JP2009165189A (ja) | 2009-07-23 |
JP4847555B2 true JP4847555B2 (ja) | 2011-12-28 |
Family
ID=40967165
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009105401A Expired - Fee Related JP4847555B2 (ja) | 2009-04-23 | 2009-04-23 | 復号鍵配信方法および認証装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4847555B2 (ja) |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004166153A (ja) * | 2002-11-15 | 2004-06-10 | Nec Corp | マルチキャスト配信システムにおける鍵交換方式 |
JP4481858B2 (ja) * | 2005-03-30 | 2010-06-16 | 株式会社日立製作所 | 情報伝送方法及び情報伝送システム |
-
2009
- 2009-04-23 JP JP2009105401A patent/JP4847555B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2009165189A (ja) | 2009-07-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4275108B2 (ja) | 復号鍵配信方法 | |
EP1860906B1 (en) | A general authentication form and a method for implementing the authentication | |
US7995510B2 (en) | Method for implementing broadcast/multicast area management in a wireless communication system | |
US8990897B2 (en) | Generic key-decision mechanism for GAA | |
US8726023B2 (en) | Authentication using GAA functionality for unidirectional network connections | |
US20090217038A1 (en) | Methods and Apparatus for Locating a Device Registration Server in a Wireless Network | |
EP1705828B1 (en) | A method of obtaining the user identification for the network application entity | |
EP1796342A1 (en) | A method for transmitting requests | |
WO2017105777A1 (en) | Securing signaling interface between radio access network and a service management entity to support service slicing | |
WO2019017837A1 (zh) | 网络安全管理的方法及装置 | |
EP1683322B1 (en) | Shared secret usage for bootstrapping | |
KR102632519B1 (ko) | 사용자 장치와 애플리케이션 서버 간의 통신을 보안하기 위한 키를 결정하기 위한 방법 | |
EP2702741A1 (en) | Authenticating a device in a network | |
TW200910826A (en) | A method and apparatus for new key derivation upon handoff in wireless networks | |
WO2008006312A1 (en) | A realizing method for push service of gaa and a device | |
KR20150051568A (ko) | 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템 | |
WO2010045823A1 (zh) | 密钥更新方法和系统 | |
WO2016179966A1 (zh) | 一种实现网络接入的方法、终端及计算机存储介质 | |
JP4847555B2 (ja) | 復号鍵配信方法および認証装置 | |
JP4319691B2 (ja) | 認証装置 | |
KR101535446B1 (ko) | 방송 서버에 대한 스마트카드 터미널 등록 방법 및 시스템 | |
KR101485801B1 (ko) | 이동 통신 시스템의 인증과 비계층 프로토콜 보안 운영을 효율적으로 지원하는 관리 방법 및 시스템 | |
US20110153819A1 (en) | Communication system, connection apparatus, information communication method, and program | |
EP4203392A1 (en) | Authentication support for an electronic device to connect to a telecommunications network | |
US8615659B2 (en) | System and method for acquiring terminal binding key |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090423 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20100121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111011 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111013 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141021 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |