JP5027227B2 - 通信ネットワークにおける認証手順のための方法および装置 - Google Patents

通信ネットワークにおける認証手順のための方法および装置 Download PDF

Info

Publication number
JP5027227B2
JP5027227B2 JP2009519403A JP2009519403A JP5027227B2 JP 5027227 B2 JP5027227 B2 JP 5027227B2 JP 2009519403 A JP2009519403 A JP 2009519403A JP 2009519403 A JP2009519403 A JP 2009519403A JP 5027227 B2 JP5027227 B2 JP 5027227B2
Authority
JP
Japan
Prior art keywords
service provider
authentication
node
operator
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009519403A
Other languages
English (en)
Other versions
JP2009543510A (ja
Inventor
スサーナ フェルナンデス−アロンソ,
ルイス バリガ,
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2009543510A publication Critical patent/JP2009543510A/ja
Application granted granted Critical
Publication of JP5027227B2 publication Critical patent/JP5027227B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、加入者と信頼関係がある移動体オペレータおよび、重要なビジネスも、重要でないビジネスも行い、そして上記加入者へのサービスを活用するサービス・プロバイダを含む通信ネットワークにおける認証に関するものである。
IETF公開鍵基盤ワーキンググループにより定義されている公開鍵基盤PKI(X)標準http://www.ietf.org/html.charters/pkix-charter.htmlは、ディジタル証明書の発行から失効までのライフサイクルのための技術を定義している。いくつかの主体が、PKI RFC2510:インターネットX.509公開鍵基盤証明書管理プロトコル(Public Key Infrastructure Certificate Management Protocols)に定義されている。
・認証局(CA:Certify Authority)−ディジタル証明書を発行し、そして、ディジタル証明書の発行者欄に自身の名前を記載するエンティティ。
・登録局(RA:Registration Authority)−物理的な個人認証、トークン配布、失効情報報告、名称付与、鍵ペアのバックアップ等のような、支援タスクを取り扱いできる別のエンティティ。
周知のシステムでは、RAおよびCAの役割は、PKI管理の観点から簡単である同一の機関により行われる。たとえば、重要なビジネスを行うサービス・プロバイダSP、たとえば、銀行は、両方の役割を有し、そして、RAの役割では認証を行い、そして、CAの役割では証明書を生成する。
周知のシステムでは、サービス・プロバイダSPは、書類の物理的な検証を含み、個人情報を用紙に記入し、そして場合によっては第三者の照会を要求する、対面による手順を使用して、エンドユーザを登録することによる(ブートストラップ(bootstraps))トラストを確立する。言い換えると、サービス・プロバイダSPは、登録局RAの役割を果たすことを強いられる。登録手順に関連するコストは、大抵かなり高いが、しかし、他に実用的な解決策がないので避けることはできない。
一般に、RAは、登録サービスを1つ以上のCAに提供する1つの異なる機関により運営されることができる。しかしながら、登録局RAおよび認証局CAというそのような分割を実装する方法に関する開示はない。
WPKIは、銀行、オペレータおよび政府機関が関与するスウェーデンのプロジェクトである(WPKI.NET参照)。当該プロジェクトは、バンキング、24番目の政府系オンライン・サービスへのアクセス、他との間での企業サービスで、使用できる安全確実な識別情報を定義し、そして仕様を定めているところである。WPKIで重要な実現要因は、PKI、安全な電話環境およびSWIMである。ウィルスにより容易に盗み取られた、ソフトによるPCベースの証明書に伴うこれまでの不備に起因している。
リバティ・アライアンスLAのプロジェクトは、インターネット・サービス・プロバイダ、移動体オペレータおよび金融機関にわたる100以上の会社からの参加者があるビジネス主導のプロジェクトである。このプロジェクトの目的は、連合を構築できるようにするディジタル・エンティティ標準を定義することである。最も一般的なシナリオでは、1つの連合は、認証を集中化するアイデンティティ・プロバイダ(IdP:Identity Provider)、および認証をIdPに委任するいくつかのサービス・プロバイダ(SP:Service Provider)で構成される。
IdPの役割を果たす移動体ネットワークオペレータ(MNO:Mobile Network Operator)の場合、これは、SPにアクセスしたいユーザは、サービスが要求されるたびにオペレータに連絡して、*SIMで認証し、そのときSPに提示される認証表明(authentication assertion)を取得する必要があるということである。リバティ・アライアンスにおけるこのモデルは、しかしながら、ユーザ/加入者がサービス・プロバイダSPとのアカウントを有することを要求し、ユーザ/加入者がオペレータの関与なしにSPとの信頼関係を個別に確立していることが必要である。これは、次善最適であり、そして使い易くはない。このように、リバティ・アライアンスのような連合モデルにおけるように集中化された委任認証は、上述の欠点があるので、すべてのサービス・プロバイダに対するすべての市場ニーズを満たすとは限らない。
3GPP標準で定義されている汎用ブートストラッピング・アーキテクチャ(GBA:Generic Bootstrapping Architecture)は、移動体ネットワークオペレータが認証及び暗号鍵配送方式(AKA:Authentication and Key Agreement)手順中にユーザと調整し終えている共有鍵を使用して、アプリケーションがユーザを認証できるようにするメカニズムを提供する。GBAは、また、サービス・プロバイダが他のアプリケーションによって使用されるべき証明書を発行するCAである場合を想定している。リバティの場合におけるように、GBAは、SPとの独立した信頼関係を必要とする。SPは、MNOが独自に鍵生成器の機能を果たすので、加入者を依然として認証しなければならず、そして、このように認証表明は生成されない。一方、適切な鍵を生成するためにMNOにより実行される認証は、AKAに限定される。
先行技術のシステムでは、厳格な認証の概念が使用されている。脆弱な認証方法、たとえば、使い易いパスワードが広く使用されているために、インターネット・サービスのユーザは、ハッキング、個人情報の盗難、なりすまし攻撃およびプライバシーの喪失のような増え続ける不正行為の標的になってきている。より厳格な認証方法の必要性が、様々な状況に対して時間とともに増大している。厳格な認証は、ソフトウェア・アプリケーションまたはネットワークにアクセスする場合、ユーザアイデンティティ(識別情報)を確認するために様々な認証メカニズムを組み合わせる厳しいレベルのセキュリティ(安全性)を暗に意味する。厳格な認証は、複数のビジネス・パートナーが安全に機密情報を共有可能な信頼できるネットワークの基盤的な要素に相当する。
本発明の目的は、サービス・プロバイダSPが、登録およびセキュリティブートストラッピング、認証の手順を、移動体オペレータに委任できるようにする方法および装置を提供することである。
この目的および他の目的は、添付の請求項によって定義されるように、本発明により満たされる。
本発明は、加入者の端末、オペレータノードおよびサービス・プロバイダ・ノードを含む通信システムにおける認証方法に関するものでる。この認証方法は、オペレータとサービス・プロバイダとの間のSLAアグリーメント(合意)に基づいている。この方法は、以下のステップを含んでいる。加入者の端末は、登録局RAとして機能するオペレータノードと厳密な認証を実行する。次に、オペレータノードは、厳密な移動体認証表明MSAAを生成する。このMSAAは、サービス・プロバイダ・ノードに送信される。最後に、基本的な考えで、このMSAAは、サービス・プロバイダSPによって検証される。
第1の実施形態(証明書の実施形態)に従って、以下のステップが、厳密な表明ステップの実行に先立って実行される。サービス要求が、端末からサービス・プロバイダ・ノードに送信される。この要求には、オペレータがサービス・プロバイダとのSLAアグリーメント(合意)を有していることをチェックすることができるようにするための、オペレータノードアイデンティティを含んでいる。SLAアグリーメント(合意)が存在する場合、サービス・プロバイダ・ノードアイデンティティが、端末に送信され、それによって、厳密な認証に対する要求が、端末からオペレータノードに送信されることになる。
MSAAが有効である場合、本発明に従う認証方法は、更に、サービス・プロバイダ・ノード内で加入者を登録するステップ、およびサービス・プロバイダ・ノードから加入者の端末にサービスを配信するステップを含んでいる。
証明書の実施形態に従う認証方法は、登録ステップの後に、ユーザ証明書をサービス・プロバイダ・ノード内で生成するステップが続くということをさらに含み、ここで、ユーザ証明書は端末に送信され、そして、端末に記憶されることになる。
本発明の第2の実施形態(証明書の実施形態)に従って、以下のステップが、厳密な表明の実行ステップに先立って実行される。そのステップとは、サービスに対して加入するための提案をオペレータノードから端末に送信するステップと、応答として受諾情報を返信するステップがある。
本発明は、さらに、オペレータノードOPおよびサービス・プロバイダ・ノードSPと信頼関係を有する加入者を有する通信システムのオペレータノードOPにおける認証方法に関するものである。この認証方法は、オペレータノードOPとサービス・プロバイダSPとの間のSLAアグリーメント(合意)に基づいている。オペレータノードは、サービス・プロバイダ・ノードアイデンティティを含む認証に対する要求を受信する。受信されたサービス・プロバイダ・ノードに対し、どのような認証コンテキストが使用されるかのチェックが実行される。この認証は、認証コンテキストに従って実行される。認証が実行された後、厳密な移動体認証表明MSAAが生成され、そして、サービス・プロバイダ・ノードに送信され、それによって、オペレータノードは、サービス・プロバイダに対する登録局の役割を果たすことになる。
オペレータノードOP(52)内の装置は、オペレータノードにおける認証方法に対応しており、この装置は、サービス要求に対してどのような認証コンテキストが使用されるべきかをチェックするためのSLAデータベースを含んでいる。当該装置内には、認証コンテキストに従って認証を実行するための認証部および、MSAAを生成し、そしてMSAAをサービス・プロバイダ・ノードに送信するためのMSAA生成器を含み、それによって、オペレータノードは、サービス・プロバイダ(SP)に対する登録局(RA)の役割を果たす。
請求項において、加入者の端末およびオペレータノードを含む通信システム内のサービス・プロバイダ・ノードにおける認証方法が、さらに定義されている。オペレータとのSLAアグリーメント(合意)に基づいている方法は、以下のステップを含んでいる。端末からのサービス要求は、サービス・プロバイダ・ノードで受信される。当該要求は、オペレータノード識別情報OP Idを含む。それから、オペレータノードアイデンティティが、サービス・プロバイダSPとのアグリーメント(合意)を有しているオペレータに関するものであるということが、サービス・プロバイダ・ノード内でチェックされることになる。アグリーメント(合意)が存在する場合、サービス・プロバイダに関する情報が端末に送信され、そして、オペレータによって生成されたMSAAがサービス・プロバイダ・ノードで受信される。ここで、サービス・プロバイダ・ノードは、受信したMSAAを検証する。その結果、ユーザは登録されることになり、そして、サービスが端末に配信される。
第1の実施形態では、サービスは証明書であり、そして、第2の実施形態では、サービスは加入である。
さらにサービス・プロバイダ・ノード装置が、特許請求されており、そして、SPノード装置は、受信した厳密な移動体認証表明を検証するための検証部、MSAAの検証時に加入者を登録するための登録部を含み、これによって、加入者の認証がオペレータに委任されることになり、そして、検証がサービス・プロバイダ・ノード内で実行される。
本発明の主たる長所は、サービス・プロバイダが認証を実行する負担を、サービス・プロバイダSPの顧客と既に信頼関係を有している信頼できる相手に委任できることである。これは、オペレータは、大抵、サービス・プロバイダが有しうるものよりも加入者とより緊密な関係を有しているで、ビジネスの観点から、認証を実行する非常に効率のよい方法である。
更なる長所は、サービス・プロバイダによって使用できる新しい証明書を発行するために、オンラインでのトラスト・ブートストラッピング(trust bootstrapping)に対して、移動体オペレータによって実行される厳密な認証をSPによって再使用できることである。
第2の更なる長所は、本発明に従う方法および装置が、また、他のタスクに使用できることである。オペレータは、新しい登録を得るための新しい仲介としてサービス・プロバイダによって使用できる。
本発明は、これからより詳細に、それの典型的な実施形態を参照して、そしてまた添付の図面を参照して説明することとする。
本発明の証明書の実施形態において相互に作用するノードのブロック図である。 本発明の証明書の実施形態に関する第1の代替における信号を説明するシーケンス図である。 本発明の証明書の実施形態に関する第2の代替における信号を説明するシーケンス図である。 本発明のサービスの実施形態において相互に作用するノードのブロック図である。 本発明のサービスの実施形態における信号を示すシーケンス図である。 図1のSLAデータベース61aの詳細図である。 図1のSLA/オペレータデータベース55aの詳細図である。 図3のSLAデータベース61bの詳細図である。 図3のSLA/オペレータデータベース55bの詳細図である。
通信システムにおいて、いくつかの関係者がコンテンツプロバイダから移動体加入者にサービスを配信する場合に関与している。本発明に従うシステムに関与する関係者は、以下のとおりである。第1の部分は、オペレータOPまたはより具体的には少なくとも1つの端末を有する接続加入者を擁する移動体ネットワークオペレータMNOである。第2の部分は、厳密なセキュリティ要件を有するサービス・プロバイダ、たとえば、銀行、金融機関または政府機関であり、そして第3の部分は、移動体加入者であり、これは、サービス・プロバイダによって提供されるサービスを使用することに関心がある。本発明の1つの長所は、サービス・プロバイダとのアカウントを有しない加入者が、サービス・プロバイダからサービスをとにかく受信できることである。これは、移動体オペレータがサービス・プロバイダに対して登録局RAである役割をどのように引き受けるかを教示する、本発明を利用することにより可能である。これは、サービス・プロバイダが最初の認証および登録を行う先行技術に従って認証を扱うのではなく、移動体オペレータが認証を行っている方法で実現される。
本発明の様々な実施形態を、より詳細に図面を参照して説明する。
図1は、本発明システムの証明書の実施形態に関する基本部分を有する電気通信ネットワークおよび各部分がどのように相互に作用するかについて説明している。基本部分には、移動端末MT51、オペレータノードOP(RA)52およびサービス・プロバイダ・ノードSP(CA)53を含み、これらは、すべてが電気通信ネットワーク内で互いに通信できる。
本発明を明確に理解するために、図2aおよび図2bが、図1にある装置の説明と併せて説明されている。図2aおよび図2bでは、加入者50が最初に自身の身分証明書(アイデンティティカード)、運転免許証または同等物を提示することによって、ホームのオペレータとの物理的身元証明を行うことが点線を使用して開示されている。この身元証明は、オペレータOPとサービス・プロバイダSPとの間でのサービス・レベル協定SLAの一部となるものであるので、本発明が実装されるための必須条件である。この身元証明は、このようにサービス・プロバイダが登録局をオペレータに委任するための基礎となっている。本発明のさらなる必須条件は、オペレータOPおよびサービス・プロバイダSPが、サービス・プロバイダによって要求される認証コンテキストを含むサービス・レベルアグリーメント(協定)SLA(Service Level Agreement)を有することである。SLA合意には、また、サービス・プロバイダからのサービスについてのさらなる情報、たとえば、移動体オペレータによって行われる認証に対する継続時間を含むことができる。
図2aおよび図2bにおけるシーケンス図の第1ステップで、サービス要求1が端末51からサービス・プロバイダ・ノード53に送信される。このサービス要求は、証明書要求で例示される第1の実施形態内にある。このサービス要求には、加入者のホームオペレータに対するオペレータノードアイデンティティ(識別情報)OP Idを含んでいる。図1では、このサービス要求1は、また、端末51からサービス・プロバイダ・ノード53内のIN部への矢印で開示されている。シーケンス図の次のステップ2は、サービス・プロバイダSPとオペレータOPとの間にサービス・レベルアグリーメント(協定)SLAがあることを、サービス・プロバイダ・ノード53でチェックすることである。これは、図1において、IN部からSLA/オペレータデータベース55aへの矢印2aおよび2bで開示されている。ここで、SLA/オペレータデータベース55aは、すべてのSLA合意に関する情報を含み、また、サービス・プロバイダが様々なオペレータに対して選択する状況では、オプションとして、また相当する認証コンテキストを含んでいる。チェック2が行われる場合、オペレータアイデンティティ(識別情報)OP Idがデータベース55a内で検索され、そして、整合するSLAアイデンティティ(識別情報)を有することがチェックされる。SLA/オペレータデータベース55aは、図5bにおいて詳細に示されている。SLA/オペレータデータベース55aは、移動体オペレータのオペレータアイデンティティ(識別情報)(オペレータA、オペレータBおよびオペレータC)およびSLA合意(1、2、3)のアイデンティティ(識別情報)、そして、オプションとして、合意に従う認証コンテキスト(xxxx)を含んでいる。
チェックステップ2が合意があることを意味する肯定的応答をもたらすと、その場合、ステップ3で、サービス・プロバイダアイデンティティ(識別情報)SP Idがサービス・プロバイダ・ノード53から端末51に送信されている。このステップ3は、また、図1に示されている。受信したSP Idは、今度は、ホームの移動体オペレータとの厳密な認証を開始するために加入者の移動端末51により使用されることができ、この例では、ホームの移動体オペレータは参照番号52で示されている。端末51から厳密な認証の要求4がホームのオペレータノード52に送信される。要求4には、いずれの認証コンテキストが使用されるべきかをステップ104aで判定する場合に、オペレータOPによって使用できるサービス・プロバイダ・ノードアイデンティティ SP Idについての情報を含んでいる。
厳密な認証に対する要求4は、また、図1において矢印で開示されている。図1では、要求4は、オペレータノード52の認証部60に送信されるということが開示されている。認証部60は、最初に、接続されているSLAデータベース61a(図5aに詳細に示されている)から、いずれの認証コンテキストが、要求4で受信されたサービス・プロバイダ・ノードアイデンティティ SP Idに対して適用できるかを判定する(ステップ104a)。図5aにおける例に従って、認証コンテキストは、この例では、SP53となりうる第1のサービス・プロバイダSP 1に対してxxxxである。認証部60は、図におけるステップ5で、判定されたxxxxの認証コンテキストに従って認証を実行する。これは、また、本発明に従って、オペレータOPが、先行技術のシステムではその役割をサービス・プロバイダが行っている登録局(RA)の役割を引き受けるというように表現できる。しかしながら、この認証は、認証が厳密であることを要求するサービス・プロバイダによって信用されなければならない。そのような厳密な認証は、本発明に従って、移動体オペレータにより実行されることができる。
ステップ5における厳密な認証の実行は、たとえば、認証部60によって次のようになされる。この厳密な認証は、少なくとも3回の認証を実行することになる。これらは、たとえば、1つの例では、次の順1、2、3で行われ、そして以下で説明されるxxxxであることができる。
1.)PINコード認証。これは既に正常に機能しているので、このPINコードは、加入者に自身の端末にアクセスすることを許可する。
2.)SIMに基づく認証。加入者50のユーザは、オペレータのネットワークにおけるSIMと認証センタの両方に含まれるセキュリティデータに従って、身元確認される。
3.)PKIに基づく認証。オペレータは、この加入者に対する局所的な認証局の役割を果たしている。このケースでは、SIM(SWIM)はすでに、オペレータOPによって発行される鍵ペアおよび証明書を含んでいる。
他のメカニズムもまた、特に、PKI認証の代わりに、(たとえば)生体認証も可能である。
すべてのこれらのメカニズム、および他の信用証明物および/またはオペレータが承知している識別子に基づいて、オペレータノード52は、ユーザが確かに自称する本人であるということを証明する厳密な移動体認証表明(MSAA:Mobile Strong Authentication Assertion)を、MSAA生成器62において生成することになる。この表明MSAAには、少なくとも、実行され終えている認証の種類および表明の継続時間に関する情報を含んでいる。この表明には、認証がどのように、だれにより、いつ行われたか、そしてどのぐらいの期間有効であるかに関する情報を含むだけである。PKIが厳密な認証の一部として使用される場合、公開鍵はまた搬送されることができる。他の情報が、別に他の種類の表明を使用して提供される。
次のステップ8、8a、8b、8cおよび8dでは、生成されたMSAAがサービス・プロバイダ・ノード53に送信されている。MSAAを送信する代替的な方法が2つ存在する。第1の代替的な方法は、端末経由で、ステップ8a、8b、8cおよび8dとして図2aに開示されており、そして第2の代替的な方法は、サービス・プロバイダ・ノード53に直に、ステップ8として図2bおよび図1に開示されている。第1の代替的な方法では、ステップ8aで、MSAA識別子MSAA Idがオペレータノード52から端末51に送信される。次のステップ8bで、同一のMSAA Idが端末からサービス・プロバイダ・ノード53に送信される。更なるステップ8cで、サービス・プロバイダ・ノードが識別子MSAA Idを含むメッセージGet MSAAを送信し、そして、それから最後の送信ステップ8dが続いて、MSAA自体がオペレータノード52からサービス・プロバイダ・ノード53に送信される。サービス・プロバイダ・ノード53においてMSAAを受信すると、厳密な移動体認証表明MSAAが、図2aのステップ9で、検証を行うために検証部56によって使用される。検証部56は、図1に開示されている。検証が、適用できる認証コンテキストと関連があるセキュリティ期待を満足すると、その場合、サービス・プロバイダ・ノード53は、当該加入者50が確かに自称する本人であるという保証を得る。強調されるべきことは、この検証が上述のように、加入者50に対するサービス・プロバイダSPとのアカウント無しに行われるということである。その代わりに、MSAA表明が、アカウントを開設し、そして、ユーザを登録するためにサービス・プロバイダによって使用されている。オペレータOPが認証を行い、そして、それからMSAAが検証されるサービス・プロバイダに、そのMSAAを送信する本発明の上述の手順の結果、サービス・プロバイダは十分な確信を持って認証手順をSLAアグリーメント(合意)に従ってオペレータに委任できる。この委任は、サービス・プロバイダにはリソースの節約になるので非常に効率がよく、そして、委任がオペレータには新しい重要なタスクを作成する。サービス・プロバイダに代わって認証を実行するというオペレータのこの新しい機能は、オペレータに対してビジネスを生む可能性がある。
図2aおよび図2bにおける検証ステップ9の後に、加入者50がサービス・プロバイダ・ノード53に登録される1つのステップ10aがある。図2aおよび図2bに開示されている証明書の実施形態では、登録に続いて、ステップ11で端末51に送信/配信され、SIMカード12に記憶されるユーザ証明書の生成を備える第2のステップ10bがある。図1では、ユーザ証明書は、検証部56からのメッセージ9aを受けて登録および証明書部57において生成される。図1のステップ11は、生成された証明書が端末51に送信されることを開示しており、この証明書は端末のSIMカードに記憶される。
この時以降、加入者がサービス・プロバイダ・ノード53からのサービスにアクセスしたい場合、加入者はサービス・プロバイダ・ノード53に証明書を提示する。これが、図2aおよび図2bにおけるステップ13である。図1では、サービスノード58が開示されており、そして、ステップ13で、サービスがアクセスされる場合、コンタクトが取られるのはサービスノード58であり、そして、証明書がサービスノードに開示される。このことは、先行技術に従っており、そして本明細書ではさらには開示しない。
鍵ペアがオペレータノード52によって事前に生成されていて、そして、SIMカードに含まれている場合、ユーザは、サービス・プロバイダ・ノード53に提示される情報にディジタル署名をすることができるようになる。ユーザの鍵ペアは、永続的とすることができる。この鍵ペアがオペレータにより事前に生成される場合、この公開鍵は、MSAAの一部としてサービス・プロバイダに送信されるべきである。
証明書の実施形態で説明したように、重要なビジネスに係わらないいくつかのサービス・プロバイダは、サービス・プロバイダのユーザとの高い信頼モデルを依然として要求することになる。このサービス・モデルでは、また、エンド・ツー・エンドのセキュリティが要求される。サービスの実施形態を、図3および図4に関連して説明する。たとえば、サービス・プロバイダは、インターネット・マガジンに対する加入を提供する会社であることができ、そして、そのサービスはマガジンの配信である。
このサービスの実施形態で、必須条件は証明書の実施形態の必須条件と同一である。端末を有する加入者は、オペレータの加入者であり、そして、オペレータで物理的な身元証明を行っている。サービス・プロバイダとオペレータとの間に、SLAアグリーメント(合意)があることもまた、必須条件である。
サービス・プロバイダは、上記の例に従ってユーザの加入を要求する、判定されたサービスを提案する。サービス・プロバイダは、そのような登録を作成するために必要な身元証明および認証処理の負担をオペレータに進んで委任する。同時に、オペレータにこれらのサービスをオペレータの加入者に提案させることもまた可能である。
図3および図4に従って、オペレータノード52が「宣伝」または「加入の提案」を、ステップ103で、提案送出部70から端末51に送信するサービスの実施形態を説明する。ステップ103におけるこの情報は、たとえば、ショート・メッセージ・サービスSMSまたはマルチメディア・メッセージ・サービスMMSを使用することによって送信されることができる。この場合、サービスである加入は、このようにサービス・プロバイダ・ノード53からの加入である。オペレータOPの加入者50が受諾応答を、SMSまたはMMS経由で、ステップ104においてオペレータノード52に返信する。
サービス・プロバイダ・ノード53において加入を作成するために、ユーザは、自身の移動体オペレータとの厳密な認証を実行するように要求されることになる。この厳密な認証は、図3および図5cにあるSLAデータベース61b内の認証コンテキストに従って行われる。データベース61bは、様々なサービス・プロバイダ(SP4、SP5、SP6)に対する認証コンテキストおよび様々なサービス・プロバイダの提案サービスについての情報を有する。SLAデータベース61bは、図5cにおける個々の図面で説明されている。どの認証コンテキストを使用すべきかは、図3および図4で示されているステップ104aで、SLAデータベース61bを用いてチェックされる。認証コンテキストは、提案サービスの種類およびどの程度厳密な認証であるべきかに依存することになる。この例におけるように重要でない大抵の場合、上述のステップ1およびステップ2における認証コンテキスト、すなわち、PINコード認証およびSIMに基づく認証で十分間に合うであろう。オペレータが承知しているすべてのこれらのメカニズムおよび他の信用証明物および/または識別子に基づいて、オペレータノード52は、ユーザが確かに自称する本人であるということを証明するために、厳密な移動体認証表明MSAAを生成できることになる。MSAAの生成は、図4においてステップ6で示されている。この表明には、実行されている認証の種類およびそのような表明が有効である継続時間についての情報を、少なくとも含むべきである。このように、この表明は、サービス・プロバイダSPがユーザに対してアカウントを開設するために利用できる純粋な認証表明である。そして、このアカウントを開設することは、ユーザを登録することと同等である。登録後、サービスを配信できる。
MSAAは、サービス・プロバイダ・ノード53に送信されることになる。このことは、ステップ8を備える図3および図4に示されている。しかしながら、このサービスの実施形態ではまた、図2aの証明書の実施形態に関連して説明されるように、端末経由でMSAAを送信することも可能である。MSAAを受信すると、サービス・プロバイダ・ノード53の検証部56が検証の実行を開始し、このことは図4におけるステップ9で示されている。この検証は、提案サービスおよび適用できる認証コンテキスト、たとえば、提案サービスが加入Aである場合はオペレータAに対するqqqq、に関する情報を有するSLA/オペレータデータベース55bに記憶されている情報に従って実行される。データベース55bは、さらに、図5dにおける図面に説明されている。
検証が終了し、そして、検証がOKである場合、それからユーザは登録され、このことが図4におけるステップ20で示されている。この登録は、図3で開示されているサービス・プロバイダ・ノード53の登録部72で行われる。
この時以降、ユーザはサービス・プロバイダとの加入を有し、そして、このように加入したサービスを使用して開始することができる。移動体オペレータは、サービスの使用中は他のいかなるセキュリティ上の働きもしないことになる。さらに、サービス・プロバイダは、自身の加入者に向けたサービスの通知(ステップ103)のために移動体オペレータを利用できる。
図4におけるステップ20での登録後、サービスが、図3で開示されているサービス・プロバイダ・ノード53にある、図3のサービス部73から、ステップ21で配信される。このサービスは、図3および図4で開示されている端末51に配信される。ステップ20の登録は、登録が終了し、そしてサービスが配信できるということを示す情報20aを送信するためのサービス部73に接続されている登録部72で行われる。提供されるサービスの種類に依存して、サービス・プロバイダは、ユーザがサービスにアクセスするために様々なエンド・ツー・エンドのセキュリティメカニズムを使用することになる。しかしながら、これらのセキュリティメカニズムは、先行技術のメカニズムに従っており、そして、本発明の一部ではなく、そしてそれ故、詳細には説明しない。
このサービスの本発明による実施形態は、セキュリティの責務を移動体オペレータに委任する目的でサービス・プロバイダによって効果的に使用されることができ、そして、同時に、サービス・プロバイダは新しい登録を取得すること、および身元証明処理を委任することのようないくつかの利点を得る。オペレータ役割の成功は、厳密な認証メカニズムを提供することに基づくであろうし、そして、それ故、オペレータはサービス・プロバイダにセキュリティパートナーとして認識される。

Claims (14)

  1. 加入者の端末、オペレータノードおよびサービス・プロバイダ・ノードを含む通信システムにおいて、オペレータとサービス・プロバイダ間のSLAアグリーメントに基づく認証方法であって、
    前記オペレータノードのアイデンティティを含むサービス要求を前記端末から前記サービス・プロバイダ・ノードに送信するステップと、
    前記サービス・プロバイダ・ノードにおいて、前記オペレータノードのアイデンティティが、前記サービス・プロバイダとのSLAアグリーメントを有するオペレータに関連するかどうかをチェックするステップと、
    SLAアグリーメントが存在する場合、前記サービス・プロバイダ・ノードのアイデンティティを前記端末に送信するステップと、
    前記サービス・プロバイダ・ノードのアイデンティティを含む、厳密な認証に対する要求を、前記オペレータノードに送信するステップと、
    前記端末が、登録局として機能する前記オペレータノードと厳密な認証を実行するステップと、
    前記オペレータノードが、厳密な移動体認証表明MSAAを生成するステップと、
    前記生成された移動体認証表明MSAAを、前記サービス・プロバイダ・ノードに送信するステップと、
    前記サービス・プロバイダにおいて、前記移動体認証表明MSAAを検証するステップと
    を備えることを特徴とする方法。
  2. 前記実行するステップに先立って、
    サービスに対する加入の提案を、前記オペレータノードから前記端末へ送信するステップと、
    前記提案に対する受諾情報を、前記端末から前記オペレータノードへ送信するステップと
    を更に備えることを特徴とする請求項1に記載の認証方法。
  3. 前記サービス・プロバイダ・ノードへの前記生成された移動体認証表明MSAAの送信は、前記端末を介して実行される
    ことを特徴とする請求項1に記載の認証方法。
  4. 前記厳密な認証は、前記サービス・プロバイダとの前記SLAアグリーメントに従う認証コンテキストに従って、実行される
    ことを特徴とする請求項1に記載の認証方法。
  5. 前記移動体認証表明MSAAが有効である場合、
    前記サービス・プロバイダ・ノードにおいて、前記加入者を登録するステップと、
    前記サービスを、前記サービス・プロバイダ・ノードから前記加入者の端末へ配信するステップと
    を更に備えることを特徴とする請求項1に記載の認証方法。
  6. 前記登録するステップに先立って、
    前記サービス・プロバイダ・ノードにおいて、前記端末に送信され、かつ該端末に記憶される、ユーザ証明書を生成するステップを更に備える
    ことを特徴とする請求項に記載の認証方法。
  7. オペレータノードおよびサービス・プロバイダ・ノードとの信頼関係を有する加入者を含む通信システム内にある、前記オペレータノードにおける、前記オペレータと前記サービス・プロバイダとの間のSLAアグリーメントに基づく認証方法であって、
    前記サービス・プロバイダ・ノードのアイデンティティを含む、認証要求を受信するステップと、
    どの認証コンテキストが、受信されたサービス・プロバイダ・ノードのアイデンティティに対して使用されるかをチェックするステップと、
    前記受信されたサービス・プロバイダ・ノードのアイデンティティに対する前記認証コンテキストに従って、認証を実行するステップと、
    厳密な移動体認証表明MSAAを生成するステップと、
    前記生成した移動体認証表明MSAAを前記サービス・プロバイダ・ノードに送信し、それによって、オペレータノードが、前記サービス・プロバイダに対する登録局の役割を果たすようにするステップと
    を備えることを特徴とする認証方法。
  8. オペレータノードと、該オペレータノードとのSLAアグリーメントを有するサービス・プロバイダ・ノードとの信頼関係を有する加入者を含む、通信システム内のオペレータノードにおける装置であって、
    サービス要求に対してどの認証コンテキストが使用されるべきかをチェックするためのSLAデータベースと、
    前記認証コンテキストに従って認証を実行するための認証部と、
    厳密な移動体認証表明MSAAを生成し、そして、前記厳密な移動体認証表明MSAAを前記サービス・プロバイダノードに送信するためのMSAA生成器とを備え、
    それによって、前記オペレータノードが、前記サービス・プロバイダに対する登録局としての役割を果たす
    ことを特徴とする装置。
  9. 前記SLAデータベースは、特定のサービス・プロバイダのアイデンティティに対して使用されるべき前記認証コンテキストについての情報を含んでいる
    ことを特徴とする請求項に記載の装置。
  10. 加入者の端末およびオペレータノードを含む通信システム内のサービス・プロバイダ・ノードにおける、前記オペレータノードとのSLAアグリーメントに基づく認証方法であって、
    前記端末から、前記オペレータノードのアイデンティティを含むサービスの要求を受信するステップと、
    前記サービス・プロバイダ・ノードにおいて、前記オペレータノードのアイデンティティが前記サービス・プロバイダとのアグリーメントを有するオペレータに関連するかどうかをチェックするステップと、
    アグリーメントが存在する場合、
    前記サービス・プロバイダに関する情報を前記端末に送信するステップと、
    前記オペレータによって生成される厳密な移動体認証表明MSAAを受信するステップと、
    受信した前記移動体認証表明MSAAを検証するステップと
    前記加入者を登録するステップと、
    前記サービスを前記端末へ配信するステップと
    を備えることを特徴とする認証方法。
  11. 前記サービスは、証明書であり、前記加入者の登録は、前記端末へ配信されるユーザ証明書の生成に続いてなされる
    ことを特徴とする請求項10に記載の認証方法。
  12. 前記サービスは、加入である
    ことを特徴とする請求項10に記載の認証方法。
  13. オペレータとの信頼関係を有する加入者を含む通信システム内の、前記オペレータとのSLAアグリーメントを有するサービス・プロバイダ・ノードであって、
    受信した厳密な移動体認証表明の検証用の検証部と、
    前記厳密な移動体認証表明の検証における前記加入者を登録するための登録部とを備え、
    これによって、前記サービス・プロバイダは、前記加入者の認証のために、前記オペレータを利用する
    ことを特徴とするサービス・プロバイダ・ノード。
  14. 前記検証部は、適用可能なSLAアグリーメントに対する認証コンテキストを判定するためのSLA/オペレータデータベースを含んでいる
    ことを特徴とする請求項13に記載のサービス・プロバイダ・ノード。
JP2009519403A 2006-07-10 2006-12-22 通信ネットワークにおける認証手順のための方法および装置 Expired - Fee Related JP5027227B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
SE0601554-9 2006-07-10
SE0601554 2006-07-10
PCT/SE2006/050625 WO2008008014A1 (en) 2006-07-10 2006-12-22 Method and arrangement for authentication procedures in a communication network

Publications (2)

Publication Number Publication Date
JP2009543510A JP2009543510A (ja) 2009-12-03
JP5027227B2 true JP5027227B2 (ja) 2012-09-19

Family

ID=38919663

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009519403A Expired - Fee Related JP5027227B2 (ja) 2006-07-10 2006-12-22 通信ネットワークにおける認証手順のための方法および装置

Country Status (4)

Country Link
US (1) US7865173B2 (ja)
EP (1) EP2039050B1 (ja)
JP (1) JP5027227B2 (ja)
WO (1) WO2008008014A1 (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101589573B (zh) * 2007-01-26 2012-03-21 艾利森电话股份有限公司 用于向内容提供商提供网络资源的方法和设备
US8184538B2 (en) * 2007-06-22 2012-05-22 At&T Intellectual Property I, L.P. Regulating network service levels provided to communication terminals through a LAN access point
JP5275468B2 (ja) * 2008-09-10 2013-08-28 エヌイーシー ヨーロッパ リミテッド サービスアクセスの制限を可能にする方法
FR2937816B1 (fr) * 2008-10-27 2011-08-26 Bouygues Telecom Sa Procede et fonctionnement d'identification convergente d'utilisateur de reseau de communication
EP3343866A1 (en) 2009-10-15 2018-07-04 Interdigital Patent Holdings, Inc. Registration and credential roll-out
US8914628B2 (en) * 2009-11-16 2014-12-16 At&T Intellectual Property I, L.P. Method and apparatus for providing radio communication with an object in a local environment
WO2011094869A1 (en) * 2010-02-05 2011-08-11 Lipso Systèmes Inc. Secure authentication system and method
US8555332B2 (en) 2010-08-20 2013-10-08 At&T Intellectual Property I, L.P. System for establishing communications with a mobile device server
JP2012049752A (ja) * 2010-08-26 2012-03-08 Hitachi Ltd 電子証明書発行システムおよびその方法
US8438285B2 (en) * 2010-09-15 2013-05-07 At&T Intellectual Property I, L.P. System for managing resources accessible to a mobile device server
US8504449B2 (en) 2010-10-01 2013-08-06 At&T Intellectual Property I, L.P. Apparatus and method for managing software applications of a mobile device server
US8989055B2 (en) 2011-07-17 2015-03-24 At&T Intellectual Property I, L.P. Processing messages with a device server operating in a telephone
US8516039B2 (en) 2010-10-01 2013-08-20 At&T Intellectual Property I, L.P. Apparatus and method for managing mobile device servers
US9392316B2 (en) 2010-10-28 2016-07-12 At&T Intellectual Property I, L.P. Messaging abstraction in a mobile device server
US9066123B2 (en) 2010-11-30 2015-06-23 At&T Intellectual Property I, L.P. System for monetizing resources accessible to a mobile device server
CN104754552B (zh) * 2013-12-25 2018-07-24 中国移动通信集团公司 一种可信执行环境tee初始化方法及设备
US9654966B2 (en) * 2014-08-15 2017-05-16 Telefonaktiebolaget Lm Ericsson (Publ) Methods and nodes for mapping subscription to service user identity
WO2020139513A1 (en) * 2018-12-28 2020-07-02 Apple Inc. Providing verified claims of user identity
US12088583B2 (en) * 2020-11-11 2024-09-10 Hewlett Packard Enterprise Development Lp Permissions for backup-related operations
US11968242B2 (en) 2021-07-01 2024-04-23 Cisco Technology, Inc. Differentiated service in a federation-based access network
KR102463051B1 (ko) * 2021-11-23 2022-11-03 펜타시큐리티시스템 주식회사 선박 네트워크 접근제어 방법 및 장치

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7079499B1 (en) * 1999-09-08 2006-07-18 Nortel Networks Limited Internet protocol mobility architecture framework
US7107248B1 (en) * 2000-09-11 2006-09-12 Nokia Corporation System and method of bootstrapping a temporary public-key infrastructure from a cellular telecommunication authentication and billing infrastructure
EP1250023A1 (en) * 2001-04-11 2002-10-16 Alcatel Provision of subscriber QoS guarantees to roaming subscribers
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
GB2401509B (en) * 2002-02-28 2006-02-01 Ericsson Telefon Ab L M System,method and apparatus for federated single sign-on services
US7587491B2 (en) * 2002-12-31 2009-09-08 International Business Machines Corporation Method and system for enroll-thru operations and reprioritization operations in a federated environment
US7219154B2 (en) 2002-12-31 2007-05-15 International Business Machines Corporation Method and system for consolidated sign-off in a heterogeneous federated environment
US20070127495A1 (en) * 2003-01-10 2007-06-07 De Gregorio Jesus-Angel Single sign-on for users of a packet radio network roaming in a multinational operator network
US7142876B2 (en) * 2003-03-03 2006-11-28 Nokia Corporation Location dependent services
JP2008506139A (ja) * 2004-07-09 2008-02-28 松下電器産業株式会社 ユーザ認証及びサービス承認を管理し、シングル・サイン・オンを実現して、複数のネットワーク・インタフェースにアクセスするためのシステム及び方法
CN101069402B (zh) * 2004-10-26 2010-11-03 意大利电信股份公司 透明地验证访问web服务的移动用户的方法和系统
EP1710981B1 (de) * 2005-04-04 2008-02-06 Deutsche Post AG Netzwerkknoten und Verfahren zum Bereitstellen von Internetdiensten auf Internetmarktplätzen
CN1852094B (zh) * 2005-12-13 2010-09-29 华为技术有限公司 网络业务应用账户的保护方法和系统

Also Published As

Publication number Publication date
EP2039050B1 (en) 2019-02-20
US20080009265A1 (en) 2008-01-10
WO2008008014A9 (en) 2009-02-05
WO2008008014A1 (en) 2008-01-17
EP2039050A1 (en) 2009-03-25
EP2039050A4 (en) 2014-08-06
US7865173B2 (en) 2011-01-04
JP2009543510A (ja) 2009-12-03

Similar Documents

Publication Publication Date Title
JP5027227B2 (ja) 通信ネットワークにおける認証手順のための方法および装置
US12052246B2 (en) Personal identity system
US7818576B2 (en) User controlled anonymity when evaluating into a role
JP5599910B2 (ja) 暗号証拠の再検証に基づく認証委任
US7221935B2 (en) System, method and apparatus for federated single sign-on services
CA2468599C (en) Use of a public key key pair in the terminal for authentication and authorization of the telecommunication subscriber in respect of the network operator and business partners
Mizuno et al. Authentication using multiple communication channels
US8302175B2 (en) Method and system for electronic reauthentication of a communication party
KR20050012900A (ko) 보이스 오버 인터넷 프로토콜(브이오아이피) 커뮤니케이션내에서 디지털-증명서를 등록하고 자동으로 검색하는 방법및 시스템
EP2957064B1 (en) Method of privacy-preserving proof of reliability between three communicating parties
Sabadello et al. Introduction to did auth
CN112532599A (zh) 一种动态鉴权方法、装置、电子设备和存储介质
US20020165783A1 (en) Accounting in peer-to-peer data communication networks
US11146536B2 (en) Method and a system for managing user identities for use during communication between two web browsers
Pérez et al. Formal description of the SWIFT identity management framework
Halonen Authentication and authorization in mobile environment
RU2282311C2 (ru) Использование пары открытых ключей в оконечном устройстве для аутентификации и авторизации пользователя телекоммуникационной сети по отношению к сетевому провайдеру и деловым партнерам
CN116155631B (zh) 一种企业级的正反向级联认证方法及系统
Hoogenboom et al. Security for remote access and mobile applications
Wang et al. Anonymous access scheme for electronic services
Mumtaz et al. Strong authentication protocol based on Java Crypto chips
KR20030065100A (ko) 무선 인터넷에서의 티켓 기반 인증 및 지불 방법
Bochmann et al. A secure authentication infrastructure for mobile users
Platform Trusted mobile platform
Porter Achieving Full eID Mobility across Federated Political Domains: a Case for Mobile Identity with Operator and ME/SIM Platform Independence

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120611

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120621

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150629

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5027227

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees