JP4865791B2 - ペアワイズ・マスタ・キーを更新する方法 - Google Patents

ペアワイズ・マスタ・キーを更新する方法 Download PDF

Info

Publication number
JP4865791B2
JP4865791B2 JP2008519408A JP2008519408A JP4865791B2 JP 4865791 B2 JP4865791 B2 JP 4865791B2 JP 2008519408 A JP2008519408 A JP 2008519408A JP 2008519408 A JP2008519408 A JP 2008519408A JP 4865791 B2 JP4865791 B2 JP 4865791B2
Authority
JP
Japan
Prior art keywords
key
challenge
supplicant
authentication
authentication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008519408A
Other languages
English (en)
Other versions
JP2009500913A (ja
JP2009500913A5 (ja
Inventor
ミジコフスキィ,セムヨン,ビー.
ジョン ランス,ロバート
Original Assignee
アルカテル−ルーセント ユーエスエー インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント ユーエスエー インコーポレーテッド filed Critical アルカテル−ルーセント ユーエスエー インコーポレーテッド
Publication of JP2009500913A publication Critical patent/JP2009500913A/ja
Publication of JP2009500913A5 publication Critical patent/JP2009500913A5/ja
Application granted granted Critical
Publication of JP4865791B2 publication Critical patent/JP4865791B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Lock And Its Accessories (AREA)
  • Channel Selection Circuits, Automatic Tuning Circuits (AREA)

Description

本発明は、一般には通信システムに関し、より詳細には無線通信システムに関する。
アクセス・ポイントは、無線通信システム内で1つまたは複数のモバイル装置への無線接続を提供するために使用される。典型的なアクセス・ポイントには、基地局、基地局ルータ、ASN(アクセス・サービス提供ネットワーク)、WiMAXルータ等がある。モバイル装置には、携帯電話、携帯情報端末、スマート・フォン、テキスト・メッセージング機器、ラップトップ・コンピュータ、デスクトップ・コンピュータ等がある。アクセス・ポイントは、1つまたは複数の外部ネットワークへの接続も提供する。例えば、IEEE802.16プロトコルに従って動作する無線ネットワークでは、モバイル装置は、WiMAXルータとの間に無線接続を確立することができ、WiMAXルータは、1つまたは複数のASN(アクセス・サービス提供ネットワーク)エンティティと1つまたは複数の基地局とを含むことができる。WiMAXルータは、外部ネットワークへの接続性を提供する1つまたは複数のCSN(コネクティビティ・サービス提供ネットワーク)に接続することができる。
セキュリティ・アソシエーション(association:関連付け、接続)を確立および維持して、モバイル装置とサービス提供ネットワーク間の安全な通信を可能にすることができる。例えば、IEEE802.16eおよび/またはWiMAX規格に従って動作するシステムは、ユーザ認証とデバイス認証に、EAP(拡張可能認証プロトコル)と併せてPKMv2(プライバシおよびキー管理バージョン2)プロトコルを使用することができる。PKMv2プロトコルは、3者方式を用いたモバイル装置とホームNSP(ネットワーク・サービス・プロバイダ)間のデバイス認証およびユーザ認証に対応する。
PKMv2プロトコルにおける3者とは、サプリカント(supplicant:嘆願者、要求者)、認証機器、および認証サーバである。サプリカントは、2地点間リンクの一方の端に取り付けられた認証機器によって認証される、そのリンクのもう一端にあるエンティティである。認証機器は、2地点間リンクの一方の端に取り付けられることが可能なサプリカントの認証を容易にする、そのリンクのもう一端にあるエンティティである。認証機器は、サプリカントがネットワーク内のサービスにアクセスすることを許可する前に認証を実施する。認証サーバは、認証機器に認証サービスを提供するエンティティである。この認証サーバは、サプリカントから提供される資格証明を用いて、サプリカントが、認証機器を介して提供されるサービスにアクセスする権限を有するかどうかを判定する。例えば、WiMAXシステムでは、サプリカントはモバイル装置であり、認証機器はASN(アクセス・サービス提供ネットワーク)内に存在し、認証サーバはCSN(コネクティビティ・サービス提供ネットワーク)内のAAA(認証、権限付与、および課金)サーバに実施される。
EAP(拡張可能認証プロトコル)は、サプリカントと認証サーバの間で認証方法を交渉するために用いることが可能なパケット・データ・ユニット(PDU)を移送するのに用いられるカプセル化プロトコルである。EAPは、PKMv2プロトコル、802.16プロトコル、RADIUSまたはDIAMETERプロトコル、UDP(ユニバーサル・データグラム・プロトコル)、TCP(伝送制御プロトコル)、IP(インターネット・プロトコル)等の他のプロトコルの中にカプセル化することができる。RADIUSプロトコルと、可能性としてはDIAMETERプロトコルは、認証機器と認証サーバ間のEAP over IPネットワークの事実上のトランスポート・プロトコルである。EAP(拡張可能認証プロトコル)は、EAP−TLS、EAP−AKA、EAP−MSCHAPv2等の暗号技術的に強いキー導出方法、ならびに、WiMAXネットワークを通じたユーザの資格証明タイプの再使用に対応する。
安全な接続は、通例、サプリカント、認証機器、認証サーバ間の動作上の関係を規定したセキュリティ・モデルに従って確立される。例えば、4段階のセキュリティ・モデルを使用することができる。第1段階では、サプリカント(例えばモバイル装置)が、あるサービス・エリア内で無線接続を提供することができる1つまたは複数の利用可能な基地局を発見し、好適な(すなわちサービス)基地局として特定の基地局を選択する。モバイル装置は、次いで構成データを発見するが、この発見は、静的および/または動的に行うことができる。第2段階では、サプリカントが自身の資格証明を認証機器に提示し、認証機器はサプリカントの資格証明を認証サーバに転送する。交渉される認証方法に応じて、各種のエンティティ間で複数の往復通信が使用されることができる。認証手順が成功した場合、認証サーバは、第3段階でセッションに関連するキーを認証機器に転送する。認証サーバは、そのセッションに関連するキーを生成するのに使用することができる情報もサプリカントに転送する。認証機器およびサプリカントで保持されているセッションに関連するキーを使用して、秘密対称キーの対で表されるセキュリティ・アソシエーションを確立し、この秘密対称キーを使用して、第4段階で送信されるデータを保護するキーを生成することができる。
IEEE802.16およびWiMAX規格に従って動作するシステムでは、マスタ・キー(MK)と呼ばれる対称キーが、サプリカントの加入開始時にサプリカントと認証サーバにあらかじめ供給される。マスタ・キーは、加入に基づく現在のセキュリティ・アソシエーションを表し、サプリカントと認証サーバだけがマスタ・キーを所有することができ、このマスタ・キーは、サプリカントに代わって決定を行うための権限を証明する。マスタ・キーの一例は、AKA(認証およびキー一致)プロトコルで使用されるルート・キーである。サプリカントおよび/または認証サーバは、マスタ・キーから、マスタ・セッション・キー(MSK)および/または拡張マスタ・セッション・キー(EMSK)を生成することができる。マスタ・セッション・キーは、通例、固定加入者に使用され、拡張マスタ・セッション・キーは、通例、モバイル加入者に使用される。これらのキーは、IETF RFC−3748「Extensible Authentication Protocol」の項7.10に推奨される要領で導出することができる。
サプリカントと認証サーバは、マスタ・セッション・キー(または拡張可能マスタ・セッション・キー)に基づいてAAAキーを導出することができる。認証サーバは、例えばRADIUSプロトコルおよび/またはDIAMETERプロトコルを使用して、対応する認証機器内にAAAキーを設定することにより、サプリカント、認証機器、認証サーバの間にセキュリティ・アソシエーションを確立する。サプリカントと認証機器はそれぞれ、AAAキーを使用して一対の秘密対称キーの一方を生成し、この秘密対称キーの対は、ペアワイズ・マスタ・キー(Pairwise Master Key:PMK)と呼ばれる場合がある。IEEE802.16およびWiMAX規格では、サプリカントと認証機器はAAAキーを切り捨てることによってペアワイズ・マスタ・キーを導出するものと規定している。ペアワイズ・マスタ・キーの生成は、資格証明検証およびユーザ認証の段階、すなわち上記の第2段階が正常に完了したことを表す。サプリカントと認証機器はそれぞれ、ペアワイズ・マスタ・キーを使用して認証キー(AK)のコピーを生成することができる。IEEE802.16e規格草案に記載されるように、認証キーから追加のキーを導出することができる。
サプリカントと認証機器間のセキュリティ・アソシエーションを管理する秘密対称キーの対を定期的に更新することが有用である場合がある。例えば、秘密対称キーは、あらかじめ決められたキーの有効期間が経過すると失効する場合があり、そのため、失効する前に秘密対称キーを更新することが望ましい場合がある。さらに、ペアワイズ・マスタ・キーと認証キーとの間の静的リンケージのため、802.16eで規定されるセキュリティ動作のために認証キーが消去される時にペアワイズ・マスタ・キーを消去することが必要とされる。しかし、現行のIEEE802.16e規格でペアワイズ・マスタ・キーを変更する唯一の手段は、上記の3者間の4段階の認証手順を完全に実施することである。
上記の3者間、4段階の認証手順は、少なくとも1つには加入者のホーム・ネットワーク内の認証サーバにアクセスしなければならないため、大量の時間と他のシステム資源を消費する可能性がある。そのため、サプリカントと認証機器の間に確立されたセキュリティ・アソシエーション(秘密対称キーの対で表される)が、比較的長時間にわたって保持される可能性がある。例えば、モバイル装置とアクセス・サービス提供ネットワーク間のセキュリティ・アソシエーションを定義するために使用されたペアワイズ・マスタ・キーは、モバイル装置が現在のアクセス・サービス提供ネットワークの境界内にとどまる限り更新されない可能性がある。その結果、その秘密対称キーの対から導出された他のキーが更新されない可能性がある。例えば、特定の基地局に対して生成されるアクセス・キー(AK)は、通例、ペアワイズ・マスタ・キー(PMK)、基地局識別子(BS−ID)、およびモバイル装置識別子(MS−ID)に応じて定義され、その結果、ペアワイズ・マスタ・キー(PMK)が同じである限りは同じ値に設定されることになる。
しかし、サプリカントと認証機器の間のセキュリティ・アソシエーション(秘密対称キーの対で表される)を比較的長い時間にわたって維持すると、そのセキュリティ・アソシエーションに伴うセキュリティ上の危険性が増す可能性がある。秘密対称キーを比較的長時間維持すると、ペアワイズ・マスタ・キーや認証キーなど、各種のキーの比較的静的な値への受動的攻撃および能動的攻撃の確率が増す可能性もある。例えば、信頼性が低いセキュリティ・ドメインにある基地局は、ペアワイズ・マスタ・キーおよび/または認証キーなどのキーの値を使用して、それらキーを暗号解析する場合がある。そのキーが攻撃者によって使用されて、現在および/または過去の通信セッションに関連する情報を解読することができる。
本発明は、上記で述べた問題の1つまたは複数の影響に対処することを対象とする。以下に、本発明の態様の一部の基本的な理解を提供するために、本発明の簡略な概要を提示する。この概要は、本発明を網羅した概説ではない。本発明の主要あるいは必須の要素を明らかにするものでも、本発明の範囲を詳述するものでもない。その唯一の目的は、その後に述べられるより詳細な説明の前置きとして簡略化した形でいくつかの概念を提示することである。
本発明の一実施形態では、第1のキーに基づく確立済みのセキュリティ・アソシエーションを有するサプリカント、認証機器、および認証サーバを伴う通信のための方法が提供される。サプリカントと認証機器は、第2のキーに基づく確立済みのセキュリティ・アソシエーションも有する。この方法は、サプリカントからのチャレンジ・レスポンスが有効であると判定されるのに応じて、第1のキーを使用して第2のキーを変更することを含むことができる。
本発明の別の実施形態では、第1のキーに基づく確立済みのセキュリティ・アソシエーションを有するサプリカント、認証機器、および認証サーバを伴う通信のための方法が提供される。サプリカントと認証機器は、第2のキーに基づく確立済みのセキュリティ・アソシエーションも有する。この方法は、認証機器からのチャレンジ・レスポンスが有効であると判定されるのに応じて、第1のキーを使用して第2のキーを変更することを含むことができる。
本発明は、添付図面と併せて以下の説明を参照することによって理解することができる。図面では、同様の要素は同様の参照符号で識別される。
本発明は、各種の変更および代替の形態が可能であるが、その具体的な実施形態が例として図面に図示され、本明細書で詳細に説明される。しかし、本明細書における具体的な実施形態の説明は、本発明をここに開示される特定の形態に制限する意図ではなく、反対に、本発明は、添付の特許請求の範囲に定義される本発明の趣旨および範囲に該当するすべての変更形態、均等形態、および代替形態を包含するものとする。
以下に本発明の例示的実施形態を説明する。理解しやすいように、実際の実施のすべての特徴が本明細書に記載される訳ではない。言うまでもなく、そのような実際の実施形態を開発する際には、実施ごとに異なるシステムに関連する制約や実務に関連する制約に合わせることなど、開発者独自の目標を達成するために多数の実施固有の決定を行わなければならないことが理解されよう。さらに、そのような開発上の手間は、複雑で時間を要する場合もあるが、それでもなお、本開示の利益を有する当業者にとっては日常的な業務であることが理解されよう。
本発明とそれに対応する詳細な説明の部分は、ソフトウェア、またはコンピュータ・メモリのデータ・ビットに対する操作のアルゴリズムおよび記号的表現の形で提示される。この説明および表現は、当業者が自身の研究の内容を他の当業者に効果的に伝えるための説明および表現である。本明細書で使用される、また一般に使用される用語「アルゴリズム」は、要求される結果をもたらす矛盾のないステップの連続とみなされる。このステップは、物理的数量の物理的操作を必要とするステップである。必ずしもそうではないが、通常、これら数量は、記憶、転送、組み合わせ、比較、および他の形での操作が可能な光学信号、電気信号、または磁気信号の形をとる。それらの信号を、ビット、値、要素、記号、文字、項、数等と呼ぶことは、主として一般的な語法のために、時に利便であることが分かっている。
ただし、それらの用語および同様の用語はすべて、適切な物理的数量と関連付けるべきであり、そうした数量に付される利便な標識に過ぎないことを念頭に置かれたい。特に断らない限り、あるいは論述から明らかであるように、「処理する」、「算出する」、「計算する」、「判定する」、「表示する」等の用語は、コンピュータ・システムのレジスタおよびメモリ内の物理的、電子的数量として表されたデータを操作し、コンピュータ・システムのメモリまたはレジスタ、あるいは他の同様の情報記憶装置、伝送装置、表示装置内の同様に物理的数量として表される他のデータに変換する、コンピュータ・システムあるいは同様の電子計算装置の動作とプロセスを指す。
また、本発明のソフトウェアによって実施される態様は、通例、何らかの形態のプログラム記憶媒体に符号化されるか、何らかのタイプの伝送媒体を通じて実施されることにも留意されたい。プログラム記憶媒体は、磁気媒体(例えばフロッピー(登録商標)・ディスクやハード・ドライブ)、光学媒体(例えばコンパクト・ディスク読み取り専用メモリ、すなわち「CD−ROM」)等であり、読み取り専用でもランダム・アクセスでもよい。同様に、伝送媒体は、より対線、同軸ケーブル、光ファイバ、あるいは当技術分野で知られる何らかの他の適切な伝送媒体でもよい。本発明は、所与の実施形態のこれらの態様によって制限されない。
次いで、添付の図を参照して本発明を説明する。各種の構造、システム、装置が、説明のみの目的で、当業者に周知の詳細事項で本発明を不明瞭にしないように模式的に図面に図示される。それでもなお、添付図面は、本発明の例示的な例を説明するために含められる。本明細書で使用される単語および語句は、関連分野の当業者によるそれら単語および語句の解釈と一致した意味を持つものと理解および解釈すべきである。用語または語句の特殊な定義、すなわち、当業者に解釈される一般的で慣例的な意味と異なる定義は、本明細書における用語または語句の一貫性のある使用で示唆されないものとする。ある用語または語句が特殊な意味、すなわち当業者に理解される意味以外の意味を持つことが意図される限りにおいては、そのような特殊な定義は、その用語または語句の特殊な定義を直接的かつ明確に提供する定義の形で本明細書中で明確に示される。
図1に、通信システム100の一例示的実施形態を概念的に示す。図の実施形態で、通信システム100は、エア・インタフェース115を介して基地局110と通信できる状態にあるサプリカント105を含む。例示的なサプリカント105には、これらに限定しないが、携帯電話、携帯情報端末、スマート・フォン、テキスト・メッセージング装置、ラップトップ・コンピュータ、デスクトップ・コンピュータ等が含まれる。図1には基地局110を示すが、当業者は、任意の他種のアクセス・ポイントを使用してよいことを理解されよう。代替実施形態では、例示的なアクセス・ポイントとしては、基地局ルータ、ASN(アクセス・サービス提供ネットワーク)、WiMAXルータ等が挙げられる。サプリカント105と基地局110は、任意のプロトコルまたはプロトコルの組み合わせに従ってエア・インタフェース115を通じて通信することができる。例えば、サプリカント105と基地局110は、エア・インタフェース115を通じて、UMTS(Universal Mobile Telecommunication System)プロトコル、GSM(Global System for Mobile communication)プロトコル、CDMA、CDMA2000(符号分割多重接続)プロトコル、IEEE802.11プロトコル、IEEE802.16プロトコル、Bluetoothプロトコル等に従って通信することができる。したがって、本明細書では本発明に関連する通信プロトコルの態様のみを取り上げる。
基地局110は、ASN(アクセス・サービス提供ネットワーク)125内に実施されることが可能な認証機器120と通信的に結合されている。図の実施形態では、アクセス・サービス提供ネットワーク125は、基地局130も含む。ただし、本開示の利益を有する当業者は、アクセス・サービス提供ネットワーク125は、任意数の基地局を含んでよいことを理解されよう。図1には、アクセス・サービス提供ネットワーク125内の機能要素として認証機器120と基地局110、130を図示するが、当業者は、アクセス・サービス提供ネットワーク125、認証機器120、および/または基地局110、130は、いくつの物理的装置に実施してもよいことも理解されよう。
認証機器120は、コネクティビティ・サービス提供ネットワーク140内に実施された認証サーバ135に通信的に結合されている。図の実施形態では、認証サーバ135と認証機器120間にセキュリティ・アソシエーションが存在して両者間の通信を保護する。このセキュリティ・アソシエーションは、アクセス・サービス提供ネットワーク125とコネクティビティ・サービス提供ネットワーク140の間に、これらのネットワークの事業者間の業務上の取り決めに基づいて、確立することができる。アクセス・サービス提供ネットワーク125とコネクティビティ・サービス提供ネットワーク140は、認証機器120と認証サーバ135間のセキュリティ・アソシエーションのために、信頼できるドメインの一部とみなされる。
認証サーバ135とサプリカント105の間に別のセキュリティ・アソシエーションが存在する。このセキュリティ・アソシエーションは、サプリカントの加入に基づいて確立される。サプリカント105とコネクティビティ・サービス提供ネットワーク140は、サプリカント105と認証サーバ135間のセキュリティ・アソシエーションのために、別の信頼できるドメインの一部とみなされる。このセキュリティ・アソシエーションは、1つまたは複数のセキュリティ・キーに基づいて確立および/または維持される。例えば、通信システム100がIEEE802.16および/またはWiMAX規格に従って動作する場合、サプリカント105と認証サーバ135は、マスタ・セッション・キー(または拡張可能マスタ・セッション・キー)に基づいてAAAキーを導出することができる。そして、認証サーバ135は、例えばRADIUSプロトコルおよび/またはDIAMETERプロトコルを使用してそのAAAキーを認証機器120に設定して、サプリカント105、認証機器120、認証サーバ135の間にセキュリティ・アソシエーションを確立することができる。3者間の信頼モデルでは、サプリカント105と認証サーバ135間のセキュリティ・アソシエーションの有効性の検証に基づいて、サプリカント105とアクセス・サービス提供ネットワーク認証機器125の間に、セッション限定のセキュリティ・アソシエーションが作成される。このセキュリティ・アソシエーションに固有のセキュリティ・キーなど、このセキュリティ・アソシエーションを定義するパラメータは、認証サーバ135と認証機器125間の既存のセキュリティ・アソシエーションの保護の下、認証サーバ135から認証機器125に配布される。
図の実施形態では、認証機器120とサプリカント105間に作成されるセキュリティ・アソシエーションは、秘密対称キーの対で表され、キーの対の1つは認証機器120内に記憶され、もう1つはサプリカント105内に記憶される。例えば、通信システム100がIEEE802.16および/またはWiMAX規格に従って動作する場合、サプリカント105と認証機器120はそれぞれ、AAAキーを使用してペアワイズ・マスタ・キー(PMK)のコピーを生成する。そして、そのペアワイズ・マスタ・キーのコピーは、それぞれサプリカント105と認証機器120によって記憶することができる。
秘密対称キーの対は、サプリカント105、認証機器120、認証サーバ135間のセキュリティ・アソシエーションを確立するために使用されたセキュリティ・キーの値を使用して更新または変更することができる。例えば、通信システム100がIEEE802.16および/またはWiMAX規格に従って動作する場合、サプリカント105と認証機器120はそれぞれ、AAAキーの現在の値を使用してペアワイズ・マスタ・キー(PMK)の値を変更することができる。したがって、サプリカント105とアクセス・サービス提供ネットワーク125間のセキュリティ・アソシエーションは、コネクティビティ・サービス提供ネットワーク140の認証サーバ135にアクセスせずに更新することができる。
通信システム100は、1つまたは複数の信頼性の低いドメインも含む場合がある。図の実施形態では、アクセス・サービス提供ネットワーク145とコネクティビティ・サービス提供ネットワーク150は、信頼性の低いドメインにある。アクセス・サービス提供ネットワーク145は、1つまたは複数の基地局155と認証機器160を含むことができ、コネクティビティ・サービス提供ネットワーク150は、独自の認証サーバ165を含むことができる。アクセス・サービス提供ネットワーク145とコネクティビティ・サービス提供ネットワーク150は、サプリカント105、認証機器160、および認証サーバ165間に事前のセキュリティ・アソシエーションがないため、信頼性の低いドメインにあるとみなされる。同様に、サプリカント105と認証機器160の間には、秘密対称キーの対で表されるセキュリティ・アソシエーションのようなセキュリティ・アソシエーションが存在しない。一実施形態では、秘密対称キーの対は、サプリカント105が信頼性の低いドメインの基地局155にハンドオフする(点線170で示す)前に、上記のように更新または変更することができる。その結果、信頼性の低い基地局155は、新しく更新された秘密対称キーから導出されたキーを受け取り、セキュリティ・キーの以前の値は、新しいキーの暗号解析には使用することができない。
図2は、既存のセキュリティ・キーに基づいて秘密対称キーを変更する方法200の一例示的実施形態を概念的に示す。図の実施形態では、サプリカント205と認証機器210の間に秘密対称キーで表されるセキュリティ・アソシエーションが存在する。サプリカント205と認証機器210は、Bellare−Rogawayの3ステップ・プロトコルの一種などのネゴシエーション・プロトコルを使用してこの秘密対称キーを生成する。認証機器210とサプリカント205間のキー管理ネゴシエーションを使用してサプリカント205と認証機器210に秘密対称キーを結び付け、それにより両者が秘密対称キーを所有することを確実にすることができる。
図の実施形態のサプリカント205と認証機器210は、IEEE802.16および/またはWiMAX規格に従って動作する。ただし、本開示の利益を有する当業者は、本発明はこれらの規格に制限されず、代替実施形態ではどの規格を使用してもよいことを理解されよう。したがって、3者間のEAPアクセス認証プロトコルが正常に完了した後、方法200を開始する前に、コネクティビティ・サービス提供ネットワーク内のホームAAAサーバなどの認証サーバが、AAAキー/MSKを認証機器210に送達する。認証サーバは、サプリカント205がAAAキー/MSKを導出するために使用することができる情報も提供する。そしてサプリカント205と認証機器210は、下記のように、AAAキーからペアワイズ・マスタ・キー(PMK)などの秘密対称キーのコピーを生成することができる。
図の実施形態では、方法200は認証機器210によって開始され、認証機器210は、乱数Rなどのチャレンジを生成する(工程215)。あるいは、認証機器210は、サプリカント205および/または認証機器210によって生成されたノンス(nonce:使い捨て乱数データ、ワンタイムパスワード)を含むチャレンジを生成してもよい。本発明では、ノンスは、例えば1回の認証動作などに、一度のみ使用される1つの情報と定義される。認証機器210は、矢印220で示すようにそのチャレンジをサプリカント205に送信する。一実施形態では、このランダム・チャレンジはIEEE802.16 PKMv.2プロトコルを介して送信される。ランダム・チャレンジRを受け取ると、サプリカント205は、第1のレスポンスを生成し、このレスポンスはチャレンジCとも呼ばれる。チャレンジCは、乱数またはカウンタの形態をとることができる。あるいは、サプリカント205は、サプリカント205および/または認証機器210によって生成された1つまたは複数のノンスを含むチャレンジを生成してもよい。例えば、サプリカント205は、Rと自身のノンスの両方を含んだ第1のレスポンスを生成することができ、このレスポンスは、乱数またはカウンタの形態をとることができる。図の実施形態では、サプリカント205は、ローカル・アクセス・カウンタを維持し、ランダム・チャレンジに応じてカウンタCを増分する(工程225)。サプリカント205は、認証機器から受け取ったチャレンジRへのレスポンスを表すメッセージ認証コード(MAC)と、サプリカントによってローカルに維持されているチャレンジCを生成する(工程230)。このメッセージ認証コードMACは、ハッシュ関数を使用して計算される。

MAC=H(AAA−Key‖TAG‖R‖C

この式で、H()は、一般に認められたメッセージ認証コード・プロパティを有するハッシュ関数を表す。このような関数の例は、MD5、SHA−1、HMAC、EHMAC等である。記号「‖」は、連結を意味する。値「TAG」は、このハッシュ関数のMACを生成するプロセスを識別するタグである。各種の代替実施形態で、タグは、任意の数および/または文字列を表す任意数のビットを含むことができる。サプリカント205は、矢印235で示すようにチャレンジ・レスポンス・メッセージを認証機器210に送信する。図の実施形態では、チャレンジ・レスポンス・メッセージは、CとMACを含んでいる。
認証機器210は、MACを使用してチャレンジ・レスポンスの有効性を検証する(工程240)。認証機器210がチャレンジ・レスポンスが有効であると判定した場合、認証機器210は、ハッシュ関数とAAAキーに基づいてメッセージ認証コード(MAC)を生成する(工程245)。

MAC=H(AAA−Key‖Tag‖R‖C

値「Tag」で示される別のタグを使用して、メッセージ認証コード(MAC)を生成する(工程245)。各種の代替実施形態で、タグは、任意の数および/または文字列を表す任意数のビットを含むことができる。認証機器210は、ハッシュ関数およびAAAキーに基づいて秘密対称キーの新しい値も計算する(工程250)。

PMK=H(AAA−Key‖Tag‖R‖C

値「Tag」は、ハッシュ関数のPMKを生成するプロセスを識別するタグである。各種の代替実施形態で、タグは、任意の数および/または文字列を表す任意数のビットを含むことができる。認証機器210は、矢印255で示すように、検証のためにサプリカント205にMACを送信する。
サプリカント205は、MACの有効性を検証し(工程260)、上記の式を使用して秘密対称キーの新しい値を計算する(工程265)。サプリカント205と認証機器210は、MACが有効であることが確認されると、相互に認証される(工程260)。一実施形態では、認証キー(AK)などの追加のキーをサプリカント205および認証機器210の両方によって生成することができる。プロトコルが破損せずに受信された場合、双方は、互いと一致する秘密対称キーを持っていることを暗号法的な確実性で知る。逆に、プロトコルがいずれか一方の方向で破損した場合、対応する側はそのことを検出し、そのトランザクションを中止する。
方法200の実施形態は、加入者のホーム・ネットワークの認証サーバにアクセスせずに、サプリカント205と認証機器210間のセキュリティ・アソシエーションを周期的に更新することを可能にする。例えば、このプロトコルは、AAAキーを更新するためにAAAサーバに再接触せずに要求時にPMKを更新することを可能にする。その結果、本発明の実施形態を使用した秘密対称キーの変更は、上述の従来の3者間、4段階の認証手順に比べて、消費する時間量およびその他のシステム資源が比較的少ない可能性がある。したがって、秘密対称キーをより頻繁に更新して、通信システムに伴うセキュリティ上の危険性を軽減する可能性がある。
本発明は、本明細書の教示の利益を有する当業者に明らかな、異なるけれども同等の方式で変更および実施することが可能であるので、上記に開示される特定の実施形態は例示に過ぎない。さらに、添付の特許請求の範囲に記載される以外、本明細書に示される構成や設計の詳細は限定されるものではない。したがって、上記に開示される特定の実施形態には変更や修正を加えてよく、そのような変形形態はすべて本発明の範囲および趣旨内にあるものとみなされることが明白である。そのため、本明細書で求められる保護が添付の特許請求の範囲に述べられる。
本発明による通信システムの一例示的実施形態を概念的に示す図である。 本発明による、既存のセキュリティ・キーに基づいて秘密対称キーを変更する方法の一例示的実施形態を概念的に示す図である。

Claims (10)

  1. 第1のキーに基づいて確立されたセキュリティ・アソシエーションを有するサプリカント、認証機器、および認証サーバを伴う通信の方法であって、前記サプリカントと前記認証機器は第2のキーに基づいて確立されたセキュリティ・アソシエーションを有し、前記方法は前記認証機器で実行され、前記方法は
    空気インタフェースを介して前記サプリカントへ第1のチャレンジを送信したことに応動して、空気インタフェースを介して前記サプリカントからチャレンジ・レスポンスを受信する工程を含み、前記チャレンジ・レスポンスは、前記サプリカントによって生成された第2のチャレンジと、前記第1のキーと前記第1のチャレンジと前記第2のチャレンジとを用いて決定された第1のメッセージ認証コードとを含み、さらに、
    前記サプリカントからのチャレンジ・レスポンスが有効であるときには、前記第1のキーと前記第1のチャレンジと前記第2のチャレンジとを使用して前記第2のキーを変更する工程を含むことを特徴とするとする方法。
  2. 前記第1のチャレンジの送信は、前記認証機器によって生成された乱数を提供することを含み、前記第2のチャレンジは、前記サプリカントによって生成された乱数、カウンタ、およびノンスの少なくとも1つを含み、前記ノンスは乱数およびカウンタの少なくとも1つを含むことを特徴とする請求項に記載の方法。
  3. 前記第1のキーと前記第1のチャレンジと前記第2のチャレンジとを用いて第2のメッセージ認証コードを生成する工程をさらに含むことを特徴とする請求項1に記載の方法。
  4. 前記第2のキーを変更する工程は、前記第1のキーと前記第1のチャレンジと前記第2のチャレンジとのハッシュ関数を用いて前記第2のキーを決定する工程を含むことを特徴とする請求項1に記載の方法。
  5. 変更された前記第2のキーに基づいて、少なくとも1つの第3のキーを決定する工程を含むことを特徴とする請求項1に記載の方法。
  6. 第1のキーに基づいて確立されたセキュリティ・アソシエーションを有するサプリカント、認証機器、および認証サーバを伴う通信の方法であって、前記サプリカントと前記認証機器は、第2のキーに基づいて確立されたセキュリティ・アソシエーションを有し、前記方法は前記サプリカントにおいて実行され、前記方法は、
    空気インタフェースを介して前記認証機器からの第1のチャレンジを受信したことに応動して、空気インタフェースを介して前記認証機器へチャレンジ・レスポンスを送信する工程を含み、前記チャレンジ・レスポンスは、前記サプリカントによって生成された第2のチャレンジと、前記第1のキーと前記第1のチャレンジと前記第2のチャレンジとを用いて決定された第1のメッセージ認証コードとを含み、さらに、
    空気インタフェースを介して前記認証機器から第2のメッセージ認証コードを受信する工程と、
    前記サプリカントからのチャレンジ・レスポンスが有効であるときには、前記第1のキーと前記第1のチャレンジと前記第2のチャレンジとを使用して前記第2のキーを変更する工程を含むことを特徴とする方法。
  7. 前記第1のチャレンジの受信は、前記認証機器によって生成された乱数を受信することを含み、前記第2のチャレンジは、前記サプリカントによって生成された乱数、カウンタ、およびノンスの少なくとも1つを含み、前記ノンスは乱数およびカウンタの少なくとも1つを含むことを特徴とする請求項に記載の方法。
  8. 前記第2のメッセージ認証コードを受信する工程は、前記第1のキーと前記第1のチャレンジと前記第2のチャレンジとを用いて前記認証機器によって生成された第2のメッセージ認証コードを受信する工程を含むことを特徴とする請求項6に記載の方法。
  9. 前記第2のキーを変更する工程は、前記第1のキーと前記第1のチャレンジと前記第2のチャレンジとのハッシュ関数を用いて前記第2のキーを決定する工程を含むことを特徴とする請求項6に記載の方法
  10. 変更された前記第2のキーに基づいて少なくとも1つの第3のキーを決定する工程を含むことを特徴とする請求項6に記載の方法。
JP2008519408A 2005-06-30 2006-06-22 ペアワイズ・マスタ・キーを更新する方法 Active JP4865791B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/173,143 2005-06-30
US11/173,143 US7596225B2 (en) 2005-06-30 2005-06-30 Method for refreshing a pairwise master key
PCT/US2006/024254 WO2007005310A1 (en) 2005-06-30 2006-06-22 Method for refreshing a pairwise master key

Publications (3)

Publication Number Publication Date
JP2009500913A JP2009500913A (ja) 2009-01-08
JP2009500913A5 JP2009500913A5 (ja) 2009-08-06
JP4865791B2 true JP4865791B2 (ja) 2012-02-01

Family

ID=37106284

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008519408A Active JP4865791B2 (ja) 2005-06-30 2006-06-22 ペアワイズ・マスタ・キーを更新する方法

Country Status (8)

Country Link
US (1) US7596225B2 (ja)
EP (1) EP1897268B1 (ja)
JP (1) JP4865791B2 (ja)
KR (1) KR101266773B1 (ja)
CN (1) CN101213784B (ja)
AT (1) ATE415024T1 (ja)
DE (1) DE602006003763D1 (ja)
WO (1) WO2007005310A1 (ja)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0228832D0 (en) * 2002-12-10 2003-01-15 Novartis Ag Organic compound
GB2421874B (en) * 2004-12-31 2008-04-09 Motorola Inc Mobile station, system, network processor and method for use in mobile communications
KR100770928B1 (ko) * 2005-07-02 2007-10-26 삼성전자주식회사 통신 시스템에서 인증 시스템 및 방법
US7313394B2 (en) * 2005-07-15 2007-12-25 Intel Corporation Secure proxy mobile apparatus, systems, and methods
US20070028092A1 (en) * 2005-07-28 2007-02-01 Alper Yegin Method and system for enabling chap authentication over PANA without using EAP
US20070042776A1 (en) * 2005-08-19 2007-02-22 Sanjay Bakshi Wireless packet-switched paging apparatus, systems, and methods
US20070086395A1 (en) * 2005-10-14 2007-04-19 Sanjay Bakshi Wireless paging apparatus, systems and methods
US7693555B2 (en) * 2005-10-21 2010-04-06 Intel Corporation Sleep-mode wireless cell reselection apparatus, systems, and methods
KR20070051233A (ko) * 2005-11-14 2007-05-17 삼성전자주식회사 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법
DE102005059827B4 (de) * 2005-12-14 2010-09-23 Siemens Ag Verfahren zum Verwalten eines Zählerstandes in einem Kommunikationsnetz
DE102006012655B4 (de) 2006-01-10 2008-12-24 Siemens Ag Verfahren zum Bereitstellen einer Dienstqualität in einem WiMAX-Kommunikationsnetzwerk und Verfahren zum Auswählen einer Zugangs-Transportressourcenkontrollfunktion durch eine Richtlinienentscheidungsfunktion in einem Kommunikationsnetzwerk
KR101338477B1 (ko) * 2006-04-19 2013-12-10 한국전자통신연구원 이동 통신 시스템의 인증키 생성 방법
EP1848173A1 (en) * 2006-04-21 2007-10-24 Siemens Aktiengesellschaft Assignment of policy function address during access authentication in WiMAX networks
DE102006038592B4 (de) * 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
US20080095361A1 (en) * 2006-10-19 2008-04-24 Telefonaktiebolaget L M Ericsson (Publ) Security-Enhanced Key Exchange
CN101227458B (zh) * 2007-01-16 2011-11-23 华为技术有限公司 移动ip系统及更新家乡代理根密钥的方法
EP1973265A1 (en) * 2007-03-21 2008-09-24 Nokia Siemens Networks Gmbh & Co. Kg Key refresh in SAE/LTE system
US8145905B2 (en) * 2007-05-07 2012-03-27 Qualcomm Incorporated Method and apparatus for efficient support for multiple authentications
WO2009004508A1 (en) * 2007-06-29 2009-01-08 Nxp B.V. Method for cryptographic authentication
US9198033B2 (en) * 2007-09-27 2015-11-24 Alcatel Lucent Method and apparatus for authenticating nodes in a wireless network
CN101436930A (zh) 2007-11-16 2009-05-20 华为技术有限公司 一种密钥分发的方法、系统和设备
US8566929B2 (en) * 2008-01-14 2013-10-22 Telefonaktiebolaget Lm Ericsson (Publ) Integrity check failure detection and recovery in radio communications system
CN101499959B (zh) * 2008-01-31 2012-08-08 华为技术有限公司 配置密钥的方法、装置及系统
US8532036B2 (en) * 2008-03-18 2013-09-10 Clearwire Ip Holdings Llc System and method for providing voice over internet protocol quality of service support in a wireless communication network
US20090239500A1 (en) * 2008-03-20 2009-09-24 Tzero Technologies, Inc. Maintaining secure communication of a network device
US8565434B2 (en) 2008-05-27 2013-10-22 Qualcomm Incorporated Methods and systems for maintaining security keys for wireless communication
JP5248930B2 (ja) * 2008-06-12 2013-07-31 株式会社東海理化電機製作所 暗号通信システム及び暗号鍵更新方法
EP2200358A3 (en) * 2008-12-04 2010-11-03 Huawei Device Co., Ltd. Method, device and system for negotiating authentication mode
US9769803B2 (en) * 2012-11-29 2017-09-19 Nokia Technologies Oy Methods for device-to-device connection re-establishment and related user equipments and radio access node
US9173095B2 (en) 2013-03-11 2015-10-27 Intel Corporation Techniques for authenticating a device for wireless docking
US10460314B2 (en) * 2013-07-10 2019-10-29 Ca, Inc. Pre-generation of session keys for electronic transactions and devices that pre-generate session keys for electronic transactions
WO2015105356A1 (ko) 2014-01-08 2015-07-16 사회복지법인 삼성생명공익재단 순수 영양막층으로부터 유래된 줄기세포 및 이를 포함하는 세포치료제
WO2016015749A1 (en) * 2014-07-28 2016-02-04 Telefonaktiebolaget L M Ericsson (Publ) Authentication in a wireless communications network
US10129031B2 (en) * 2014-10-31 2018-11-13 Convida Wireless, Llc End-to-end service layer authentication
KR102001753B1 (ko) 2015-03-16 2019-10-01 콘비다 와이어리스, 엘엘씨 공개 키잉 메커니즘들을 사용한 서비스 계층에서의 종단간 인증
US10063540B2 (en) * 2015-06-07 2018-08-28 Apple Inc. Trusted status transfer between associated devices
EP3883177B1 (en) * 2017-05-30 2022-07-27 BE-Invest International SA General data protection method for multicentric sensitive data storage and sharing
US10389708B1 (en) * 2019-01-03 2019-08-20 Capital One Services, Llc Secure authentication of a user associated with communication with a service representative
US10728807B1 (en) * 2019-03-04 2020-07-28 Cisco Technology, Inc. Fast roaming and uniform policy for wireless clients with distributed hashing
US11956626B2 (en) * 2019-04-17 2024-04-09 Nokia Technologies Oy Cryptographic key generation for mobile communications device
CN110413345A (zh) * 2019-07-26 2019-11-05 云湾科技(嘉兴)有限公司 程序验证方法、装置、计算设备及计算机存储介质
JP7451738B2 (ja) * 2020-02-29 2024-03-18 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 鍵更新方法および関連装置
WO2022016528A1 (zh) * 2020-07-24 2022-01-27 北京小米移动软件有限公司 多连接下的通信方法和通信设备
US20220255752A1 (en) * 2021-02-09 2022-08-11 Ford Global Technologies, Llc Vehicle computing device authentication

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005530277A (ja) * 2002-06-20 2005-10-06 クゥアルコム・インコーポレイテッド 通信システムにおけるキー発生方法及び装置
JP2008545337A (ja) * 2005-06-30 2008-12-11 ルーセント テクノロジーズ インコーポレーテッド 無線通信システムにおけるハンドオフ中にセキュリティ・キーを配布する方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2176032A1 (en) * 1994-01-13 1995-07-20 Bankers Trust Company Cryptographic system and method with key escrow feature
US20030204724A1 (en) * 2002-04-30 2003-10-30 Microsoft Corporation Methods for remotely changing a communications password

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005530277A (ja) * 2002-06-20 2005-10-06 クゥアルコム・インコーポレイテッド 通信システムにおけるキー発生方法及び装置
JP2008545337A (ja) * 2005-06-30 2008-12-11 ルーセント テクノロジーズ インコーポレーテッド 無線通信システムにおけるハンドオフ中にセキュリティ・キーを配布する方法

Also Published As

Publication number Publication date
KR20080018214A (ko) 2008-02-27
EP1897268A1 (en) 2008-03-12
US7596225B2 (en) 2009-09-29
ATE415024T1 (de) 2008-12-15
JP2009500913A (ja) 2009-01-08
CN101213784A (zh) 2008-07-02
CN101213784B (zh) 2015-01-07
DE602006003763D1 (de) 2009-01-02
KR101266773B1 (ko) 2013-05-28
WO2007005310A1 (en) 2007-01-11
US20070005972A1 (en) 2007-01-04
EP1897268B1 (en) 2008-11-19

Similar Documents

Publication Publication Date Title
JP4865791B2 (ja) ペアワイズ・マスタ・キーを更新する方法
KR101195278B1 (ko) 무선 통신 방법
US7370350B1 (en) Method and apparatus for re-authenticating computing devices
US11075752B2 (en) Network authentication method, and related device and system
JP5579872B2 (ja) 安全な複数uim認証および鍵交換
US7171555B1 (en) Method and apparatus for communicating credential information within a network device authentication conversation
US9015473B2 (en) Method and system for automated and secure provisioning of service access credentials for on-line services to users of mobile communication terminals
TWI429254B (zh) Uicc及終端間安全頻道技術
US8312278B2 (en) Access authentication method applying to IBSS network
US20070220598A1 (en) Proactive credential distribution
Dantu et al. EAP methods for wireless networks
JP5290323B2 (ja) 無線アクセス技術及び移動ip基盤の移動性制御技術が適用された次世代のネットワーク環境のための統合ハンドオーバー認証方法
JP2011139457A (ja) 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム
US20160261414A1 (en) Secure authentication of remote equipment
WO2012134789A1 (en) Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network
WO2008014655A1 (fr) Procédé, terminal mobile et serveur destinés à mettre en oeuvre une clé de partage actualisée dans le système de communication mobile
Ciou et al. A handover security mechanism employing the Diffie-Hellman key exchange approach for the IEEE802. 16e wireless networks
Marin-Lopez et al. Secure three-party key distribution protocol for fast network access in EAP-based wireless networks
Latze Towards a secure and user friendly authentication method for public wireless networks
Leu et al. A handover security mechanism employing diffie-Hellman PKDS for IEEE802. 16e wireless networks
Marin et al. Secure protocol for fast authentication in EAP-based wireless networks

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090622

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090622

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111014

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111019

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111110

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141118

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4865791

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250