JP5043114B2 - Eapからのケルベロス・ブートストラッピング(bke) - Google Patents

Eapからのケルベロス・ブートストラッピング(bke) Download PDF

Info

Publication number
JP5043114B2
JP5043114B2 JP2009526352A JP2009526352A JP5043114B2 JP 5043114 B2 JP5043114 B2 JP 5043114B2 JP 2009526352 A JP2009526352 A JP 2009526352A JP 2009526352 A JP2009526352 A JP 2009526352A JP 5043114 B2 JP5043114 B2 JP 5043114B2
Authority
JP
Japan
Prior art keywords
eap
kerberos
server
peer
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009526352A
Other languages
English (en)
Other versions
JP2010503258A (ja
Inventor
義洋 大場
ダス、サビア
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Publication of JP2010503258A publication Critical patent/JP2010503258A/ja
Application granted granted Critical
Publication of JP5043114B2 publication Critical patent/JP5043114B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、EAPからケルベロスをブートする(BKE)に関する。
多様なコンピュータネットワークがあり、インターネットは最も有名である。インターネットは、コンピュータネットワークの世界規模のネットワークである。今日、インターネットは、何百万人ものユーザが利用可能な、公衆の自律的ネットワークである。インターネットは、TCP/IP(すなわち、伝送制御プロトコル/インターネットプロトコル)と呼ばれる1組の通信プロトコルを使って各ホストを接続する。インターネットは、インターネットバックボーンとして呼ばれる通信インフラストラクチャを有する。インターネットバックボーンへのアクセスは大部分企業及び個人へのアクセスを再販するインターネットサービスプロバイダ(ISP)によって制御される。
IP(インターネットプロトコル)に関して、これは、ネットワーク上である装置(電話機、PDA[携帯情報端末]、コンピュータなど)から別の装置にデータを送るためのプロトコルである。今日、IPv4、IPv6などを含めて、様々なIPのバージョンがある。ネットワーク上の各ホスト装置は、独自の一意の識別子である少なくとも1つのIPアドレスを有する。
IPはコネクションレス型プロトコルである。通信時の端点間接続は連続的ではない。ユーザがデータ又はメッセージを送信し、又は受信するとき、データ又はメッセージは、パケットと呼ばれる構成要素に分割される。各パケットは、独立のデータ単位として扱われる。
インターネットなどのネットワークを介した各点間の伝送を標準化するために、OSI(開放型システム間相互接続)モデルが確立された。OSIモデルは、ネットワーク中の2点間の通信プロセスを7つの階層に分け、各層(レイヤ)は独自の機能セットを付加する。各装置は、送信側端点では各層を通る下方への流れがあり、受信側端点では各層を通る上方への流れがあるようにメッセージを処理する。7つの機能層を提供するプログラミング及び/又はハードウェアは、通常、デバイスオペレーティングシステム、アプリケーションソフトウェア、TCP/IP及び/又は他のトランスポート及びネットワークプロトコル、ならびに他のソフトウェア及びハードウェアの組み合わせである。
通常、上位4層は、メッセージがユーザから、又はユーザへ渡されるときに使用され、下位3層は、メッセージが装置(IPホスト装置など)を通過するときに使用される。IPホストは、サーバ、ルータ、ワークステーションなど、IPパケットを送受信することのできるネットワーク上の任意の装置である。他の何らかのホストに向けられているメッセージは、各上位層には渡されず、この他のホストに転送される。OSIモデル及び他の類似するモデルにおいて、IPは第3層のネットワーク層にある。
無線ネットワーク
無線ネットワークは、例えば、セルラ及び無線電話機、PC(パーソナルコンピュータ)、ラップトップコンピュータ、装着型コンピュータ、コードレス電話機、ポケットベル、ヘッドセット、プリンタ、PDAなど、多種多様なモバイル機器を組み込むことができる。例えば、モバイル機器は、音声及び/又はデータの高速無線伝送を確保するデジタルシステムを含むことができる。典型的なモバイル機器は、次の構成要素の一部又は全部、即ち送受信機(すなわち、例えば、送信機、受信機及び、必要に応じて、他の機能が統合されたシングルチップ送受信機などを含む、送信機及び受信機)、アンテナ、プロセッサ、1つ又は複数の音声変換器(例えば、音声通信用機器でのスピーカやマイクロホンなど)、電磁データ記憶(データ処理が提供される機器の場合などでの、ROM、RAM、デジタルデータ記憶など)、メモリ、フラッシュメモリ、フルチップセット又は集積回路、インターフェース(USB、CODEC、UART、PCMなど)及び/又は同種のものを含む。
モバイルユーザが無線接続を介してローカルエリアネットワーク(LAN)に接続することのできる無線LAN(WLAN)が、無線通信に用いられ得る。無線通信には、例えば、光、赤外線、電波、マイクロ波などの電磁波を介して伝搬する通信などが含まれ得る。現在、ブルートゥース(登録商標)、IEEE802.11、HomeRFなど、様々なWLAN標準が存在する。
一例として、ブルートゥース製品は、モバイルコンピュータ、モバイル電話機、携帯式ハンドヘルド機器、携帯情報端末(PDA)、及び他のモバイル機器の間のリンク、ならびにインターネットへの接続を提供するのに使用できる。ブルートゥースは、モバイル機器が、短距離無線接続を使って、相互に、また非モバイル機器と、どのようにして容易に相互接続し合うことができるかを詳述するコンピュータ及び電気通信業界仕様である。ブルートゥースは、ある機器と別の機器との間でデータを同期させ、整合させ続けることを必要とする、様々なモバイル機器の普及から生じるエンドユーザ問題に対処して、異なるベンダからの装置を相互にシームレスに動作させるデジタル無線プロトコルを作成する。ブルートゥース機器は、共通の命名概念に従って命名できる。例えば、ブルートゥース機器は、ブルートゥース機器名(BDN)又は一意のブルートゥース機器アドレス(BDA)に関連付けられた名前を持ち得る。また、ブルートゥース機器は、インターネットプロトコル(IP)ネットワークに参加することもできる。ブルートゥース機器がIPネットワーク上で機能する場合、この機器は、IPアドレス及びIP(ネットワーク)名を備え得る。よって、IPネットワークに参加するように構成されたブルートゥース機器は、BDN、BDA、IPアドレス及びIP名などを含むことができる。「IP名」という用語は、インターフェースのIPアドレスに対応する名前を指す。
IEEE標準であるIEEE802.11は、無線LAN及び機器の技術の仕様を定める。802.11を使えば、各単一基地局がいくつかの機器をサポートする無線ネットワークが実現できる。いくつかの例では、機器に無線ハードウェアが事前装備されていることもあり、ユーザが、アンテナを含み得る、カードなどの別個のハードウェアをインストールすることもできる。例えば、802.11で使用される機器は、通常、機器がアクセスポイント(AP)であるか、移動局(STA)であるか、ブリッジであるか、PCMCIAカードであるか、それとも別の機器であるか否かを問わず、無線送受信機、アンテナ、及びネットワークにおける各点間のパケットの流れを制御するMAC(媒体アクセス制御)層という3つの注目すべき要素を含む。
更に、いくつかの無線ネットワークでは、複数インターフェース機器(MID)が利用できる。MIDは、ブルートゥースインターフェースと802.11インターフェースなど、2つの独立のネットワークインターフェースを含むことができ、よって、MIDが2つの別個のネットワーク上に参加すると同時に、ブルートゥース機器ともインターフェースすることが可能になる。MIDは、IPアドレス、及びIPアドレスに関連付けられた共通IP(ネットワーク)名を持つことができる。
無線ネットワーク機器には、それだけに限らないが、ブルートゥース機器、複数インターフェース機器(MID)、802.11x機器(802.11a、802.11b、802.11g機器などを含む、IEEE802.11機器)、HomeRF(家庭内無線周波数)機器、Wi−Fi(Wireless Fidelity)機器、GPRS(汎用パケット無線システム)機器、3Gセルラ機器、2.5Gセルラ機器、GSM(移動通信用グローバルシステム)機器、EDGE(Enhanced Data for GSM Evolution)機器、TDMA型(時分割多重接続)機器、又はCDMA2000を含むCDMA型(符号分割多重接続)機器が含めることができる。各ネットワーク機器は、それだけに限らないが、IPアドレス、ブルートゥース機器アドレス、ブルートゥース共通名、ブルートゥースIPアドレス、ブルートゥースIP共通名、802.11IPアドレス、802.11IP共通名、IEEE MACアドレスを含む、様々な種類のアドレスを含むことができる。
また、無線ネットワークは、例えば、モバイルIP(インターネットプロトコル)システム、PCSシステム、及び他のモバイルネットワークシステムにおいて見られる方法及びプロトコルも関与できる。モバイルIPでは、これに、インターネット技術標準化委員会(IETF)によって作成された標準通信プロトコルが関与する。モバイルIPでは、モバイル機器ユーザは、これらの一旦割り当てられたIPアドレスを維持しつつ、各ネットワークにまたがって移動することができる。コメント要求(RFC)3344を参照されたい。(注:RFCはインターネット技術標準化委員会(IETF)の公式文書である。)モバイルIPは、インターネットプロトコル(IP)を拡張し、モバイル機器のホームネットワーク外部に接続するときに、モバイル機器にインターネットトラフィックを転送する手段を付加する。モバイルIPは、各モバイルノードに、これのホームネットワーク上のホームアドレスと、ネットワーク及びこれのサブネット内の機器の現在位置を識別する気付アドレス(CoA)を割り当てる。機器が異なるネットワークに移動すると、機器は、新しい気付アドレスを受け取る。ホームネットワーク上のモビリティエージェントは、各ホームアドレスを、これの気付アドレスと関連付けることができる。モバイルノードは、インターネット制御メッセージプロトコル(ICMP)などを使って、これの気付アドレスを変更する都度ホームエージェントにバインディング更新を送ることができる。
(例えば、モバイルIP外部などの)基本的なIP経路指定において、経路指定機構は、各ネットワークノードが、常に、インターネットなどへの一定の接続点を有し、かつ各ノードのIPアドレスが、これが接続されているネットワークリンクを識別するという仮定を利用する。本明細書において、「ノード」という用語は、例えば、データ伝送のための再配信点や端点などを含むことができ、他のノードへの通信を認識し、処理し、及び/又は転送することのできる接続点を含む。例えば、インターネットルータは、機器のネットワークを識別するIPアドレスなどを調べることができる。次いで、ネットワークレベルにおいて、ルータは、特定のサブネットを識別するビットセットを調べることができる。次いで、サブネットレベルにおいて、ルータは、特定の機器を識別するビットセットを調べることができる。典型的なモバイルIP通信の場合、ユーザが、例えば、インターネットなどからモバイル機器を切断し、これを新しいサブネットで再接続しようとする場合、機器は、新しいIPアドレス、適正なネットマスク及びデフォルトのルータを用いて再構成する必要がある。そうでなければ、経路指定プロトコルは、パケットを適正に配信することができないはずである。
ケルベロスに関する背景
ケルベロスは、ネットワーク認証プロトコルである。http://web.mit.edu/Kerberos/を参照すること。ケルベロスは、秘密鍵暗号を使用することによってクライアント/サーバアプリケーションに認証を与える。このプロトコルの無料インプリメンテーションは、マサチューセッツ工科大学(Massachusetts Institute of Technology)から利用できる。ケルベロスは、多くの商品でも利用できる。
ケルベロスは、コンピュータネットワークでサービスの要求を認証するための安全な方法である。ケルベロスは、サーバから特定のサービスを要求するために使用できる認証プロセスから暗号化チケットをユーザに要求させる。ユーザのパスワードは、ネットワークを通過する必要がない。
ケルベロス[RFC1510]は、認証、許可及び鍵の配布を提供する周知のセキュリティプロトコルである。ケルベロスは多くのプロトコルを保証するために使用される。
ケルベロスは、ユーザがパスワードを再入力することを要求しないで、クライアントAがチケット交付サービス(TGS:Ticket Granting Service)にアクセスするための初回チケットを入手できるようにする。この初回チケットは、クライアントAがサービスBにアクセスするための別のチケットを取得するためにTGSとのケルベロス交渉を開始できるようにする。この手法を使用することによって、また、ケルベロスは、Aが(アクセスしたドメインの中の)ローカルTGSにアクセスするために(Aのホームドメインの中の)リモートTGSからチケットを回収できる相互レルム動作を可能にする。しかしながら、ケルベロスは3者間で時間の同期を必要とする。
いくつかの例では、EAPフレームワークの柔軟性を、大学及び企業のネットワーク内に幅広く配備されたケルベロスと結合することによって、ケルベロスチケット交付チケットをブートすることが可能である。このケルベロスチケット交付チケットは、次に、種々のプロトコルとの使用のためにサービスチケットを回収するために使用できる。EAPプロトコルの相互作用の助けを借りてケルベロスチケットをブートするこの手法は、[I-D.tshofenig-pana-bootstrap-keruberos]に説明されており、その全体的な開示はここに参照により組み込まれている。
EAPとケルベロスとを組み合わせる別の手法は、EAPベースの事前認証機構をケルベロスに統合することである。しかしながら、信任状をブートするために一般的なプロトコルを使用することは、(MIPv6ブートスラッピンブ作業[I-D.ietf-mip6-bootstrap-ps]の一部として説明されるような)使用モバイルIPのための対称鍵をブートするために、あるいは公開鍵/秘密鍵をブートするためにも使用できる。したがって、短命の公開鍵と秘密権の対のエンドホストへの配信を秘密裏に保護することが必要であろう。この鍵の対は、おそらく取り消し(リボケーションrevocation)機構を必要とすることない短いライフタイムを有し、(IKEv2またはTLSを含む)公開鍵ベースの機構を活用するすべてのセキュリティプロトコルで使用できるであろう。大きな優位点は、対称暗号に基づいた認証プロトコルがEAP内で依然として使用できるため、公開鍵のインフラストラクチャが回避されることである。以下の節で説明されるように、拡張認証プロトコル(EAP)[RFC3748参照。この全体が参照によりここに組み込まれている]が認証方法を提供する。いくつかの例では、PANAプロトコル[I-D.ietf-pana-pana]が、アクセスネットワーク内でPaC(PANAクライアント)とPAA(PANA認証エージェント)の間でEAPメッセージを伝搬する。
EAPに関する背景
Aboba、RFC3748(以下に引用)を参照すると、拡張認証プロトコル(EAP)の実例となる態様が説明されている。EAPは、複数の認証方法をサポートする認証フレームワークである。EAPは、通常、IPを必要とせずに、例えばポイントツーポイントプロトコル(PPP)またはIEEE 802等のデータリンク層で直接的に実行する。EAPは、複製排除と再送に独自のサポートを提供するが、下位層の順序付け保証に頼っている。フラグメンテーションは、EAP自体の中ではサポートされていないが、個々のEAP方法はこれをサポートしている。
EAPは、交換回線網だけではなく専用リンク、無線リンクだけではなく有線リンクでも使用されてよい。今日まで、EAPは、交換回線網またはPPP[RFC1661]を使用するダイアルアップ回線を介して接続するホスト及びルータで実現されてきた。EAPはまた、IEEE 802[IEEE−802]を使用するスイッチおよびアクセスポイントで実現されてきた。IEEE 802有線媒体上でのEAPカプセル化は、[IEEE−802.1X]に、IEEE無線LANでのカプセル化は[IEEE−802.11i]の中に説明されている。
EAPアーキテクチャの優位点の1つはこの柔軟性である。EAPは、通常は認証が使用される特定の認証方法を決定するためにさらに多くの情報を要求した後に、特定の認証機構を選択するために使用される。オーセンティケータがそれぞれの新しい認証方法をサポートするために更新されることを必要とするよりむしろ、EAPは、いくつかまたはすべての認証方法を実現してよく、オーセンティケータがいくつかのまたはすべての方法のための通過地点及びピアの役目を務めるバックエンド認証サーバの使用を許可する。
この後者の引用文書の中で、オーセンティケータ要件は、このオーセンティケータが通過地点の役目を務めているかどうかに関係なく当てはまる。要件が、オーセンティケータまたはバックエンド認証サーバのどちらかに当てはまることが意図される場合、EAP認証がどこで終了されるのかに応じて、用語「EAPサーバ」が使用されてきた。
EAPは、IP層の接続性が使用できない可能性のあるネットワークアクセス認証で使用するために設計された。EAPは、飛行中の単一のパケットしかサポートしないロックステッププトロコルである。その結果として、例えばTCPまたはSCTP等のトランスポートプロトコルとは異なり、EAPはバルクデータを効率的に運ぶことはできない。
EAPは再送をサポートするが、EAPは下位層によって提供される順序付け保証を想定するため、順序がバラバラの受信はサポートされない。
EAPはフラグメンテーションとリアセンブリをサポートしないので、最小EAP MTUより多くのペイロードを生成するEAP認証方法はフラグメンテーションサポートを提供する必要がある。
例えばEAP−TLS等の認証方法はフラグメンテーション及びリアセンブリに対するサポートを提供するが、この後者の引用文書で規定されるEAPはサポートを提供しない。結果として、EAPパケットサイズがリンクのEAP MTUを超えると、これらの方法は問題に遭遇する。
多くの認証プロトコルはクライアント(ピア)によって起動されるが、EAP認証はサーバ(オーセンティケータ)によって起動される。結果として、認証アルゴリズムがEAP上で実行するために1つまたは2つの追加メッセージを(多くても1回の往復で)追加することが必要となる可能性がある。
証明書ベースの認証がサポートされる場合、追加の往復数が、証明書チェーンのフラグメンテーションのためにはるかに多くなる可能性がある。一般的には、分解されたEAPパケットは、フラグメントと同数の往復を送ることを必要とする。例えば、サイズが14960オクテットの証明書チェーンは、10回の往復が1496オクテットのEAP MTUで送信することを必要とするであろう。EAPが、かなりのパケット損失が経験される下位層で実行する場合、あるいはオーセンティケータと認証サーバの間の接続がかなりのパケット損失を経験する場合、多くの往復を要するEAPメソッドは問題を経験する場合がある。これらの状況では、往復がさらに少ないEAPメソッドの使用が賢明である。
EAP認証交換は、以下のように進行する。
[1]オーセンティケータは、ピアを認証するためのリクエスト(Request)を送信する。このリクエストは、何が要求されているか示すためのタイプ(Type)フィールドを有する。リクエストタイプの例は、アイデンティティ、MD5−チャレンジ(MD5-Challenge)等を含む。MD5−チャレンジTypeは、CHAP認証プロトコルに厳密に対応する[RFC1994参照]。通常は、オーセンティケータは初期アイデンティティ要求(Identity Request)を送信するが、初期アイデンティティ要求が必要とされない場合には、迂回できる。例えば、アイデンティティが、ピアが接続している(専用回線、専用スイッチまたはダイアルアップポート)ポートによって決定される場合、あるいはアイデンティティが別の様式(発呼局アイデンティティまたはMACアドレスを介して、MD5−チャレンジ応答(MD5-Challenge Response)のName(名前)フィールドの中で等)で取得される場合には、アイデンティティは必要とされない場合がある。
[2]ピアは有効なリクエストに応えてレスポンスパケットを送信する。リクエストパケットと同様に、レスポンスパケットには、リクエストのタイプフィールドに相当するタイプフィールドが含まれる。
[3]オーセンティケータは追加のリクエストパケットを送信し、ピアはレスポンスで応答する。リクエストとレスポンスのシーケンスは必要なだけ続行する。EAPは「ロックステップ」プロトコルであり、その結果初回のリクエスト以外、有効なレスポンスを受信する前に新しいリクエストを送信することはできない。オーセンティケータは、要求の再送に関与する。適切な回数再送した後に、オーセンティケータはEAP会話を終了する必要がある。オーセンティケータは、再送時、あるいはピアから応答を取得できないときには成功(Success)または失敗(Failure)パケットを送信する必要はない。
[4]オーセンティケータがピアを認証できなくなるまで(1つまたは複数のリクエストに対する受け入れられないレスポンス)、会話は続行し、この場合オーセンティケータインプリメンテーションはEAP失敗(EAP Failure)(コード4)を送信する必要がある。あるいは、認証会話は、オーセンティケータが、認証成功が発生したことを確認するまで続行でき、この場合、オーセンティケータはEAP成功(EAP Success)(コード3)を送信する必要がある。同文献。
他の優位点の内、EAPプロトコルは特定のものを事前協議する必要なく複数の認証機構をサポートできる。加えて、(例えば、スイッチまたはアクセスポイント(AP)等の)ネットワークアクセスサーバ(NAS)装置は、各認証方法を理解する必要はなく、バックエンド認証サーバにとっての通過地点エージェントの役割を務めてよい。通過地点のサポートはオプションである。オーセンティケータは、同時に非ローカルピア及びオーセンティケータが局所的に実現しない認証方法に対する通過地点の役割を務めつつ、ローカルピアを認証してよい。加えて、オーセンティケータをバックエンド認証サーバから分離することにより、信任状管理及びポリシー決定が簡略化される。
概念上、EAPインプリメンテーションは、以下の構成要素からなる。
[a]下位層。下位層はピアとオーセンティケータの間でのEAPフレームの送信と受信に関与する。EAPは、PPP、有線IEEE 802 LAN[IEEE−802.1X参照]、IEEE 802.11無線LAN[IEEE−802.11]、UDP(L2TP[RFC2661]とIKEv2)及びTCPを含む種々の下位層で実行されてきた。
[b]EAP層。EAP層は下位層を介してEAPパケットを送受し、複製検出と再送を実現し、EAPメッセージをEAPピアとオーセンティケータの層に配信し、EAPピアとオーセンティケータの層から受信する。
[c]EAPピアとオーセンティケータの層。Code(コード)フィールドに基づき、EAP層は入力EAPパケットをEAPピア層とオーセンティケータ層に分離する。通常は、任意のホスト上でのEAPインプリメンテーションは、ピアの機能性またはオーセンティケータの機能性のどちらかをサポートするが、ホストがEAPピアとオーセンティケータの両方の役割を務めることが可能である。このようなインプリメンテーションでは、ピア層とオーセンティケータ層の両方とも存在する。
[d]EAPメソッド層。EAPメソッドは、認証アルゴリズムを実現し、EAPピア層とオーセンティケータ層を介してEAPメッセージを送受する。フラグメンテーションサポートはEAP自体によっては提供されないので、これはEAPメソッドの責任である。同文献。
後に引用される文献は、本願で参照のために引用される以下の定義を説明する。
オーセンティケータ(Authenticator):
EAP認証を起動するリンクの端部。オーセンティケータという用語は、[IEEE−802.1X]で使用され、本願において類似した意味を有する。
ピア(Peer):
オーセンティケータに応答するリンクの端部。[IEEE−802.1X]では、この端部は嘆願者(Supplicant)として知られている。
バックエンド認証サーバ:
バックエンド認証サーバは、オーセンティケータに認証サービスを提供するエンティティである。使用されるとき、このサーバは、通常、オーセンティケータのためにEAPメソッドを実行する。この専門用語も[IEEE−802.1X]で使用される。
AAA:
EAPサポートのある認証(Authentication)、許可(Authorization)、及びアカウンティング(Accounting)プロトコルは、RADIUS(半径)及びDiameter(直径)を含む。本願では、用語「AAAサーバ」と「バックエンド認証サーバ」は交互に用いられる。
EAPサーバまたはサーバ
ピアとのEAP認証メソッドを終了するエンティティ。バックエンド認証サーバが使用されないケースでは、EAPサーバがオーセンティケータの一部である。オーセンティケータが通過地点モードで動作するケースでは、EAPサーバはバックエンド認証サーバに位置する。
認証成功
本願の関連では、「認証成功」とは、オーセンティケータがピアによるアクセスを許可することを決定し、ピアがこのアクセスを使用することを決定した結果としてのEAPメッセージの交換である。オーセンティケータの決定は、通常は、認証と許可の両方の態様を必要とする。つまり、ピアが無事にオーセンティケータに対して認証し得るが、アクセスがポリシーの理由からオーセンティケータによって拒絶される可能性がある。
マスタセッション鍵(MSK)
EAPピアとサーバの間で導出され、EAPメソッドによってエクスポートされるキーイング資料。MSKは少なくとも長さ64オクテットである。既存のインプリメンテーションでは、EAPサーバとしてふるまうAAAサーバがオーセンティケータにMSKを運ぶ。
拡張マスタセッション鍵(EMSK)
EAPクライアントとサーバの間で導出され、EAPメソッドによってエクスポートされる追加のキーイング資料。EMSKは少なくとも長さ64オクテットである。EMSKはオーセンティケータや他のサードパーティと共有されない。EMSKは、まだ定められていない将来の使用のために確保される。
EAP拡張:
参考のため、http://www.ietf.org/internet-drafts/draft-ietf-hokey-erx-04.txt でみられる、EAP Extensions for EAP Reauthentication Protocol (ERP), IETF Internet Draft, August 24, 2007, of V. Narayanan, et al.を引用する。この文献は、EAP再認証プロトコル用EAP拡張を以下のように説明する。「拡張認証プロトコル(EAP)は、2つのパーティ(party)を認証するメソッドのトランスポートのための一般的なフレームワークである。認証は、一方的または相互のどちらかである。おもな目的はネットワークアクセス制御であり、アクセス制御を施行するために鍵生成方法が推奨される。EAPキーイング階層は、最上位で導出される2つの鍵―マスタセッション鍵(MSK)と拡張MSK(EMSK)を定義する。大部分の共通した配備シナリオでは、ピアとサーバはオーセンティケータとして知られているサードパーティを通して互いを認証する。オーセンティケータまたはオーセンティケータによって管理されているエンティティがアクセス制御を施行する。認証成功後、サーバはオーセンティケータにMSKを運び、オーセンティケータとピアはMSKを認証鍵または鍵導出鍵として短期セッション鍵(TSK)を導出し、パケット単位のアクセス施行のためにこのTSKを使用する。」同文献。「ピアがあるオーセンティケータから別のオーセンティケータに移動するとき、完全なEAP認証を回避することが望ましい。EAPメソッドの別のランとの完全なEAP交換は、完了するために数往復及びかなりの時間を要し、ハンドオフ時間の遅延を引き起こす。いくつかのEAPメソッドは、計算上のオーバヘッドを削減することによって再認証(Re-authentication)を最適化するために初回認証からの状態の使用を指定するが、メソッド特有の再認証は少なくとも2往復を要する。多くの方法が再認証のサポートを提供しないことに留意することも重要である。したがって、個々のメソッドにおいてよりもEAPにおいて効率的な再認証を有することが有益である。」同文献。
「オーセンティケータ全体での鍵の共有は、ハンドオフ時間を減らすための実用的な解決策として使用されることもある。その場合、オーセンティケータが妥協すると、他のオーセンティケータを介して確立されたEAPセッションが危うくなる。」同文献。「要するに、EAPメソッドを再度実行する必要なく、ピアとオーセンティケータの間に新しい鍵を確立できるようにする効率的なEAP再認証機構を設計することが必要である。」同文献。「この文献は、EAPを使用する効率的な再認証のためにEAP再認証拡張(EAP Reauthentication Extensions)を規定する。ERXに基づいたEAP再認証プロトコル(ERP)は、EAPメソッドに関係のない、以前に実行されたEAP認証から有効な期限切れになっていない鍵資料を有するピアに対する再認証をサポートする。EAP再認証に必要とされるプロトコル及び鍵階層は、この文献に説明されている。」同文献。
EAPの拡張(EAP−EXT):
本願は、ともにEAP拡張(EAP−EX)用EAPメソッド(AN EAP METHOD FOR EAP EXTENSION(EAP−EXT))と題され、ここに全体的に開示がなされているように、参照によりここに組み込まれている、本譲受人の以前の発明U.S. non-provisional application Serial No.11/867,659, filed on October 4, 2007, to Y. Oba, et al., 及び U.S. provisional application Serial No.60/869,113, filed on December 8, 2006, to Y. Oba, et al.にさらなる改良を示す。背景技術を説明する文献として、本譲受人の上記背景技術に関連する情報が、以下のパラグラフに組み込まれている。
1.EAP−EXTの概論
上記説明に加えて、EAP(拡張認証プログラム)は、「EAPメソッド」[RFC3748]として知られている複数の認証アルゴリズムをサポートする認証プロトコルである。EAPでは、EAPピアとEAPサーバが、EAPキーイング資料、つまりMSK(Master Session Keyマスタセッション鍵)とEMSK(Extended Master Session Key拡張マスタセッション鍵)を生成する。MSKの生成、トランスポート、及び使用のための詳細なフレームワークは[I-D.ietf-eap-keying]に説明されている。
EMSK使用法の1つが再認証である、EMSK(拡張マスタセッション鍵)のいくつかの使用法を定めることによるEAP[RFC3748]の拡張機能性がある。EAPの別の拡張機能性は、[I-D.ohba-eap-channel-binding]に規定されている。チャネルバインディングに関するさらなる背景技術文献として、Y.Ohbaと同時継続出願の出願番号第11/379,568号(CHANNEL BINDING MECHANISM BASED PARAMETER BINDING IN KEY DERIVATION, filed on April 20, 2006)が、参照として、その全体がここに組み込まれている。EAPの拡張機能性をサポートするインプリメンテーションは、前者のインプリメンテーションが、後者のインプリメンテーションと通信するときに拡張機能性を無効にできるように拡張機能性をサポートしないインプリメンテーションと相関する必要があるので、EAPピアとEAPサーバが、必要とされるEAPの拡張機能性に関するケイパビリティ(capability)について交渉する仕組みが必要とされる。
EAP機能性を拡張するには2つの基本的な手法がある。1つの手法は、既存のコード、つまりリクエスト、レスポンス、成功(Success)及び失敗(Failure)に加えて、拡張EAP機能性を実現するために新しいEAPコードを定義することである。しかしながら、この手法は、RFC3748に対する変更を必要とし、下位層プロトコルに対する変更も必要とする可能性がある。他の手法は、拡張機能性を実現するために新しいメソッドを定めることである。本願は、既存のEAP配置に対する影響を最小限に抑えるために後者の手法を採る。
EAP−EXTは、EAP機能性を拡張するためのEAPメソッドである。いくつかの好ましい実施形態では、拡張EAP機能性は、チャネルバインディングと再認証を含む。EAP−EXTメソッドは、EAP−EXTメソッドの内部での複数のEAPメソッドの連鎖も可能にする。
2.EAP−EXT概要
好ましい実施形態では、EAP−EXTはケイパビリティ交換を提供する。この点で、メッセージの中のビットは、ケイパビリティの表示のために使用できる。いくつかの実施形態では、1個のビット(R−ビット)が再認証(Re-authentication)ケイパビリティを示すために使用される。いくつかの実施形態では、1個のビット(C−ビット)が、チャネルバインディングケイパビリティを示すために使用される。
EAP−EXTが使用されるとき、サーバが最初のEAP−リクエストを送信する前にピアのアイデンティティがサーバに既知である場合には、上記のEAP-アイデンティティ交換は省略できる。この点で、例えば、オーセンティケータとサーバの間でピアのアイデンティティを転送する等の、ピアのアイデンティティをサーバに提供するためのいくつかのアウトバンド(outband)機構がある。
EAP−EXTでは、例えば、チャネルバインディングと再認証等の拡張されたEAPケイパビリティがピアとサーバの間で交換される。同時に、少なくとも1つのEAPメソッド(例えばEAP−TLS)がピアを認証するためにEAP−EXTの内部で実行される。内部メソッドがEAPキーイング資料を生成するまで、AUTH TLV(Type-Length-Value(タイプ−長さ−値))は含まれず、ケイパビリティは保護されていない。したがって、ただ1つのEAPメソッドしかない場合、メソッドTLVはないが、AUTH TLVとの追加のEAP EXT交換(複数の場合がある)が、EAP−成功またはEAP−失敗メッセージを送信する前に実行される。TLV(Type-Length-Value)に関する背景技術として、データ通信では、プロトコル情報がプロトコルの内部でタイプ−長さ−値またはTLV要素として符号化されてよいことが留意される。一例として、タイプフィールドと長さフィールドは、通常、サイズが固定され(例えば、数バイト)、値フィールドは、通常、可変サイズである。これらのフィールドは通常、以下のように使用される。タイプ−メッセージのこの部分が表すフィールドの種類を示す数値コード。長さ−値フィールドのサイズ(通常はバイト単位)。及び値−メッセージのこの部分のためのデータを含む可変サイズのバイトのセット。TLV表現を使用する優位点のいくつかは、以下を含む。つまり、TLVシーケンスは汎用化された構文解析関数を使用して容易に検索される。さらに旧いノードで受け取られる新しいメッセージ要素は、安全に省略することができ、メッセージの残りを構文解析できる。そして、TLV要素は、通常は、構文解析をさらに高速にし、データをさらに小さくするバイナリフォーマットで使用される。
内部EAPメソッドがEAPキーイング資料を生成した後、EAP−EXTメッセージは、AUTH TLVで保護される必要がある。EAP−EXTメッセージ中のAUTH TLVは、最新の成功した内部メソッドのEAPキーイング資料から生成されるEAP−EXT−KEYを使用して計算される必要がある。つまり、EAP−EXTの内部で連続して実行される複数の内部EAPメソッドがある場合、シーケンスの中の内部EAPメソッドがEAPキーイング資料を生成するたびに、新しいEAP−EXT−KEYが生成される。任意のEAPメソッドは、EAPキーイング資料を生成できる必要がある。
成功したEAP−EXTランの最後に、前回成功した内部EAPメソッドによって生成されるEAPキーイング資料がEAP層にエクスポートされる。F−ビットは、EXP−EXT交換の最後を示すために使用される。
図1は、単一内部EAPメソッドのあるEAP−EXTメッセージシーケンスの例を示す。図2は、複数の内部EAPメソッドのあるEAP−EXTメッセージシーケンスの例を示す。
3.エラー処理
エラーは、例えば内部EAPメソッド認証の失敗、あるいは不正な形式の、未知の、または紛失したEAP−EXT TLVに起因するいくつかの理由で起こることがある。エラーは、ピアまたはサーバのどちらかによって検出されてよい。エラーを引き起こしたEAP−EXTメッセージは、誤りメッセージと呼ばれている。E−ビットが設定されたEAP−EXTメッセージは、エラーの表示に使用される。これらのメッセージはエラー表示と呼ばれている。エラー表示は、AUTH TLVを含む必要があり、他のTLVを含んではならない。
有効なAUTH TLVのない(誤ったエラー表示を含む)誤りメッセージは、静かに破棄される必要がある。
有効なAUTH TLVをもつ誤ったリクエストの場合、ピアはエラー表示レスポンスを送信する。有効なAUTH TLVをもつ誤ったレスポンスの場合、サーバは、エラー表示レスポンスでピアによって応答されたエラー表示リクエストを送信する。サーバは、有効なAUTH TLVをもつエラー表示レスポンスに応えてEAP−失敗メッセージを返す。
4.インテグリティ保護鍵
EAP−EXTは、次の2つのタイプの鍵、1)EAP−EXT−KEYと2)EAP−REAUTH−KEYを定義する。
4.1 EAP−EXT−KEY
EAP−EXT−KEYは、EAP−EXTメッセージを保護するインテグリティのAUTH TLVを計算するために使用される。HMAC−SCA−256(例えば、以下に参照により組み込まれている参照文献[sha256]参照)がインテグリティアルゴリズムのために使用されるとき、EAP−EXT−KEYの長さは32オクテットである。EAP−EXT−KEYは、以下のように(例えば、以下に参照により組み込まれている参照文献[I-D.salowey-eap-emsk-deriv]参照)に定義されるUSRK(Usage Specific Root Key)誘導アルゴリズムを使用して内部EAPメソッドによって生成されるEMSKから導出される。
EAP−EXT−KEY=KDF(EMSK,“EAP−EXT−インテグリティ−鍵”,長さ)
KDFでは、EAP−EXT−KEYは、以下に参照により組み込まれている参照文献[I-D.salaowey-eap-emsk-deriv]に指定されるデフォルトのPRFを使用する。
背景技術として、USRK鍵導出関数(KDF:key derivation function)は、拡張マスタセッション鍵(EMSK:Extended Master Session Key)、鍵ラベル、オプションデータ、及び出力長からUSRKを導出する。KDFは、同じ入力には同じ出力を与えることが期待される。基本的な鍵導出関数は、USRK=KDF(EMSK、鍵ラベル、オプションデータ、長さ)である。同文献を参照。通常は、鍵ラベルは、使用定義ごとに一意の印刷可能ASCII文字列であり、最大255バイトである。同文献を参照。一般的には、鍵ラベルは、ドメインが、USRKの使用定義の詳細を制御する組織であるlabel−string@domainの形となる。鍵ラベルはグローバルな一意性を提供する。これらのラベルのための割り当ての規則は、[I-D.salowey-eap-emsk-deriv]の第7項に示されている。
上記文献に説明されているように、EMSK鍵導出関数は、以下の関数プロトタイプを有する擬似ランダム関数(PRF:pseudo random function)に基づいている。
KDF=PRF(鍵、データ)。同文献参照。EMSKからUSRKを導出するために使用されるデフォルトのPRFは、HMAC−SHA−256に基づく[RFC4306]のPRF+鍵拡張PRFから取り出される。prf+構造は、[RFC2246]の中で使用されるもののような他のPRFに優るprf+構造の(its)簡略さと効率のために選ばれた。[RFC4306]からのPRF+の定義が以下に示される。
prf+(K,S)=T1|T2|T3|T4|…
ここで、
T1=prf(K,S|0x01)
T2=prf(K,T1|X|0x02)
T3=prf(K,T2|X|0x03)
T4=prf(K,T3|X|0x04)
鍵資料に必要とされる長さを計算するために必要に応じて続行する。
鍵Kは、EMSKであり、Sは、[I-D.salowey-eap-emsk-deriv]のセクション3.1に定義されるデータである。同文献参照。上記のように、PRFはHMAC−SHA−256として受け取られる。同文献参照。
4.2 EAP−REAAUTH−KEY
EAP−REAUTH−KEYは、再認証メカニズムに使用されるEAPメソッドによって必要とされる事前共有鍵として使用されている。EAP−REAUTH−KEYの長さは、再認証メカニズムに依存する。EAP−REAUTH−KEYは、以下に組み込まれている参照文献[I-D.salowey-eap-emsk-deriv]の中に定義されているUSRK誘導アルゴリズムを使用してEAP−EXTからエクスポートされるEMSKから導出される。
EAP−REAUTH−KEY=KDF(EMSK,“EAP−EXT−再認証−鍵”,長さ)
5.メッセージフォーマット
EAP−EXTは、EAPタイプXを使用する(IANAによって割り当てられる)。[RFC3748]に定義される共通EAPフィールド(例えば、コード(Code)、識別子(Identifier)、長さ(Length)及びタイプ(Type)を含むメッセージフォーマットが、図3(A)に示されている。
F:
このビットは、これが送信者からの最後のEAP−EXTメッセージであることを示すために設定される必要がある。それ以外の場合、このビットを設定する必要はない。
このビットは、メッセージがエラー表示であるときに設定される。このビットが設定されると、F−ビットも設定される必要がある。エラー表示の詳細な説明については第3節を参照すること。
バージョン(Version):
この8ビットのフィールドは、EAP−EXTメソッドのバージョンを示す。本願はバージョン1を定義する。
予約(Reserved):
この6ビットのフィールドは将来の拡張のために予約されている。このフィールドは、送信者によってゼロに設定される必要があり、受信者はこのフィールドを無視する必要がある。
ケイパビリティ(Capabilities)
このフィールド、ケイパビリティフィールドは、拡張されたEAPケイパビリティを含む。ケイパビリティフィールド、フォーマットが図3(B)に示されている。
各ビットはある特定のケイパビリティに対応する。各ビットのセマンティクスは以下の通りである。
C:
このビットは、送信者が、MSKのために[I-D.ohba-eap-channel-binding]に定義されるチャネルバインディング機構をサポートしていることを示すために設定される。このビットがリクエストとレスポンスの両方のために設定され、EAP−EXTメソッドが無事に完了すると、ピアとサーバはチャネルバインディング機構を有効にする必要がある。prf+のためのデフォルトハッシュアルゴリズムは、AUTH_HMAC−SHA1_160である。
R:
このビットは、送信者が再認証(re-authentication)EAPメソッドをサポートすることを示すために設定される。このビットが最後のリクエスト/EXTメッセージで設定される(つまり、F−ビットが付いたリクエスト/EXTが設定される)とき、メッセージは、サーバ−ID TLVとピア−ID TLV(ピア−ID TLV)とを含む必要があり、Reauth−Key−ライフタイムAVPを含むことができる。このビットが最後のリクエスト/EXTとレスポンス/EXT交換で設定されると、ピアとサーバはEAP−REAUTH−KEYを生成する必要がある。サーバ−ID TLVとピア−ID TLVに含まれるサーバ−IDとピア−IDおよびEAP−REAUTH−KEYは、再認証EAPメソッドに使用される。デフォルトの再認証機構は、本開示に基づいて当業者によって選択できる。
他のビットは将来の使用のために予約され、送信者によってゼロに設定される必要があり、受信者によって無視される必要がある。
TLV(タイプ(Type)−長さ(Length)−値(Value‘s)):
ゼロ個、1個、または複数のTLV。TLVのフォーマットは図3(C)に示されている。
タイプ:
このフィールドは、このTLVのタイプを示す。
長さ:
このフィールドは、このTLVの長さをオクテット単位で示し、TLVのTypeフィールドとLengthフィールドを含む、
値:
このフィールドは、TVL Typeに特有なデータを含む。
6.EAP−EXT TLV
以下のTLVが定義される。
6.1 メソッドTLV(Method TLV)
メソッドTLV(タイプ1)は、タイプフィールドから開始するEAPメソッドペイロードを含む。
6.2 AUTH TLV
AUTH TLV(タイプ2)は、EAP−EXTメッセージを保護するために使用されるインテグリティデータを含む。EAP−EXT−KEYは、AUTH TLVを計算するために使用される。
TLV−値(Value)フィールドは、このフィールドを含むEAPメッセージ全体で計算される。インテグリティデータを計算する前に、このフィールドは全てゼロに初期化される必要がある。このフィールドの長さは、使用中のインテグリティアルゴリズムに依存する。インテグリティチェックが失敗すると、メッセージは静かに破棄される必要がある。デフォルトのインテグリティアルゴリズムはHMAC−SHA−256である(例えば、以下に組み込まれる参考資料[sha256]を参照)。
6.3 ピア−ID TLV
ピア−ID TLV(タイプ3)は、再認証に使用されるピアのアイデンティティを含む。
6.4 サーバ−ID TLV
サーバ−ID TLV(タイプ4)は、再認証に使用されるサーバのアイデンティティを含む。
6.5 Reauth−Key−ライフタイム TLV
Reauth−Key−ライフタイム TLV(タイプ5)は、EAP−REAUTH−KEYの秒単位のライフタイム(有効期間)を含む。
7.セキュリティの考慮すべき事項
内部EAPメソッドがEAPキーイング資料をエクスポートする前のケイパビリティ交換は、保護されていない。したがって、EAPキーイング資料の作成後の追加の保護メッセージの交換は、ピアとサーバによって検出されることなく攻撃者によってケイパビリティ情報が改変されるのを回避するように指示されている。
EAP−EXTは、EAP−EXTの内部の複数のEAPメソッドの連鎖を可能にする。暗号でメソッドを拘束することなく、複数の入れ子または順次認証メソッドからなる複合認証方法が、介入者攻撃に脆弱性を有することは公知である。EAP−EXTは、外部EAPメソッド(EAP−EXT)とともにそれぞれの内部EAPメソッドを、シーケンスの中のそれに先行する成功した内部メソッドによって生成された鍵で保護し、最後に成功した内部EAPメソッドによって生成されたEAPキーイング資料を最終的にエクスポートすることによって、必要とされるバインディングを暗号で作成できる。暗号バインディングを達成するために、EAP−EXTは、内部EAPメソッドがEAPキーイング資料を生成できることを必要とする。
以下に示す先行技術文献は、参照によりその全体がここに組み込まれる。
Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997 (ここでは[RFC2119]と呼ぶ) Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J., and H. Levkowetz, "Extensible Authentication Protocol (EAP)," RFC 3748, June 2004 (ここでは[RFC3748]と呼ぶ) Aboba, B., "Extensible Authentication Protocol (EAP) Key Management Framework", draft-ietf-eap-keying-16 (work in progress), January 2007 (ここでは[I-D.ietf-eap-keying]と呼ぶ); 及び [I-D.ietf-eap-keying] Aboba, B., "Extensible Authentication Protocol (EAP) Key Management Framework", draft-ietf-eap-keying-15 (work in progress), October 2006. Narayanan, V. and L. Dondeti, "Problem Statement on EAP Efficient Re-authentication and Key Management", draft-vidya-eap-reauth-ps-00 (work in progress), October 2006 (ここでは[I-D.vidya-eap-reauth-ps]と呼ぶ) Ohba, Y., "Channel Binding Mechanism based on Parameter Binding in Key Derivation", draft-ohba-eap-channel-binding-02 (work in progress), December 2006 (ここでは[I-D.ohba-eap-channel-binding]と呼ぶ) Salowey, J., "Specification for the Derivation of Usage Specific Root Keys (USRK) from an Extended Master Session Key (EMSK)", draft-salowey-eap-emsk-deriv-01 (work in progress), June 2006 (ここでは[I-D.salowey-eap-emsk-deriv]と呼ぶ) National Institute of Standards and Technology, "Secure Hash Standard", August 2002 (ここでは[sha256]と呼ぶ) Arkko, J. and P. Eronen, "Authenticated Service Information for the Extensible Authentication Protocol (EAP)", http://tools.ietf.org/html/draft-arkko-eap-service-identity-auth-04, October 2005 (ここでは[arkko-eap-service-identity-auth]と呼ぶ) Kaufman, C., "Internet Key Exchange (IKEv2) Protocol", RFC 4306, December 2005 (ここでは[RFC4306]と呼ぶ) Narayanan, V. and L. Dondeti, "EAP Re-authentication Extensions", draft-ietf-hokey-erx-02 (work in progress), July 2007 (ここでは[I-D.ietf-hokey-erx]と呼ぶ) Salowey, J., "Specification for the Derivation of Root Keys from an Extended Master Session Key (EMSK)", draft-ietf-hokey-emsk-hierarchy-01 (work in progress), June 2007 (ここでは[I-D.ietf-hokey-emsk-hierarchy]と呼ぶ) Neuman, C., Yu, T., Hartman, S., and K. Raeburn, "The Kerberos Network Authentication Service (V5)", RFC 4120, July 2005 (ここでは[RFC4120]と呼ぶ). Zhu, L. and B. Tung, "Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)", RFC 4556, June 2006 (ここでは[RFC4556]と呼ぶ)
本発明は、前述されたシステム及び方法を含む既存のシステム及び方法を改良する。
いくつかの好ましい実施形態によれば、EAPからケルベロスをブートするためのシステム及び方法が提供される(ここでBKEと呼ばれている)。とりわけ、複数のネットワークアプリケーションをサポートするために、好ましい実施形態は、有利にケルベロスをEAPから利用できるようにする。とりわけ、好ましい実施形態は、例えば、―ケルベロスのための新しいケイパビリティビットを含む−EAP−EXTメソッド(EAP−EXTに関連する背景技術の説明参照)の中の新しいケイパビリティを定義する。
いくつかの実施形態によれば、モバイル機器がEAPからケルベロスをブートするための方法は、EAPがモバイル機器の初回ネットワークアクセス認証のために使用され、ケルベロスが複数のネットワークアプリケーションをサポートするために複数の異なるプロトコルにセッション鍵をセットアップために使用される。該方法は、ケルベロスに関連するEAP拡張機能に関するケイパビリティについてEAPサーバと交渉するEAPピアをもつモバイルノードを構成し、ケルベロス機能に関して、該EAPサーバと該EAPピアとの間のケイパビリティ交換を提供するEAP拡張メソッド(EAP−EXT)を適用することを含む。該方法は、EAPピアが、ケルベロス機能に関連するケイパビリティフィールドに新しいケイパビリティビット(K)を有する、EAPサーバから送信されるリクエストメッセージを受信することと、EAPピアに、ケルベロス機能に関連するケイパビリティフィールドに新しいケイパビリティビット(K)を有するレスポンスメッセージを送信させることとを含む。いくつかの例では、該方法はさらに、EAPピアがEAPサーバからリクエストメッセージを受信するときと、EAPピアがAUTH TLVが設定されたK−ビットをもつレスポンスメッセージを送信するときとの両方で、EAPピアにEAPサーバから送信されるケルベロスブートストラッピングパラメータを受信させることとを含む。いくつかの例では、該方法は、EAPピアに、新しいケルベロスブートTLV(KRB−BOOT)を適用するEAPサーバから送信されるケルベロスブートストラッピングパラメータを受信させることを含む。いくつかの例では、該方法は、EAPピアに、次に、ケルベロスAS−REQメッセージをEAPサーバに送信させることを含み、AS−REQメッセージはケルベロスメッセージTLV(KRB−MSG)に含まれている。いくつかの例では、該方法は、EAPサーバに、次に、ケルベロス鍵配布センタにAS−REQメッセージを転送させることと、鍵配布センタに、AS−REPをEAPサーバへ返させることと、EAPサーバに、EAPピアへAS−REPを転送させることとを含み、AS−REPはKRB−MSG TLVに含まれている。いくつかの例では、該方法は、EAP拡張メソッド(EAP−EXT)からエクスポートされるEMSKから導出される、ケルベロスによって必要とされる事前共有鍵(EAP−KRB−KEY)を生成することを含む。いくつかの例では、該方法は、EAP−KRB−KEY=KDF(EMSK,“EAP−EXT−ケルベロス−ブートストラッピング−鍵”,長さ)であるUSRK導出アルゴリズムを使用してEAP−EXTからエクスポートされるEMSKから導出される、ケルベロスによって要求される事前共有鍵(EAP−KRB−KEY)を生成することを含む。
いくつかの実施形態によれば、アクセスしたドメインまたはホームドメインでのネットワークアクセスのための初回認証が、ドメインの中で使用される複数の異なるプロトコルにセッション鍵をセットアップために使用される単一サインオンを実行するモバイルノードのための方法が提供される。該方法は、EAPが初回ネットワークアクセス認証のために使用され、ケルベロスが複数の異なるプロトコルにセッション鍵をセットアップために使用されるEAPからケルベロスをブートするようにモバイル機器を構成することと、ドメイン内でハンドオーバのためのEAPシグナリングをなくすことによって、リンク層ハンドオーバパフォーマンスを最適化するためにリンク層プロトコルにセッション鍵をセットアップこととを含む。いくつかの例では、該方法は、ケルベロス機能に関して、EAPサーバとEAPピアとの間のケイパビリティ交換を提供するEAP拡張メソッド(EAP−EXT)を適用することを含み、EAPピアに、ケルベロス機能に関連するケイパビリティフィールドに新しいケイパビリティビット(K)を有する、EAPサーバから送信されるリクエストメッセージを受信させることと、EAPピアに、ケルベロス機能性に関連するケイパビリティフィールドに新しいケイパビリティビット(K)を有するレスポンスメッセージを送信させることとを含む。
いくつかの実施形態によれば、ドメイン内でのネットワークアクセスのための初回認証が、当該ドメイン内で使用される複数の異なるプロトコルにセッション鍵をセットアップために使用される単一サインオンをモバイル機器が実行するためのシステムを提供する。該システムは、a)EAPがモバイル機器の初回ネットワークアクセス認証のために使用され、ケルベロスが複数のネットワークアプリケーションをサポートするために複数の異なるプロトコルにセッション鍵をセットアップために使用される、どちらもEAPからケルベロスをブートするように構成されたモバイル機器及びサーバを含み、b)該モバイル機器及び該サーバは、ケルベロス機能に関してEAPサーバとEAPピアの間でケイパビリティ交換を提供するEAP拡張メソッド(EAP−EXT)を適用することを含み、ケルベロスに関連するEAP拡張機能に関するケイパビリティについて交渉するように構成されている。i)前記サーバは、前記ケルベロス機能に関連するケイパビリティフィールドに新しいケイパビリティビット(K)を有するリクエストメッセージをEAPピアに送信するように構成されたEAPサーバを有し、ii)前記モバイル機器は、前記ケルベロス機能に関連するケイパビリティフィールドに新しいケイパビリティビット(K)を有するレスポンスメッセージを送信するように構成されたEAPピアを有する。
上記及び/または他の発明、態様、種々の実施形態の特徴及び/または利点は、添付の図を参照した以下の説明に鑑みてさらに理解されるであろう。種々の実施形態は、適用できる異なる複数の態様、特徴、及び/または利点を含み及び/または除外することがある。加えて、種々の実施形態は、適用できる他の実施形態の1または複数の態様を組み合わせることができる。特定の実施形態の態様、特長、及び/または利点の説明は、他の実施形態または請求項を制限するとして解釈されてはならない。
いくつかの実施形態に係る、単一内部メソッドを有する、EAPサーバとEAPピアとの間のEAP−EXTメッセージシーケンスを説明する図。 いくつかの実施形態に係る、複数の内部メソッドを有する、EAPサーバとEAPピアとの間のEAP−EXTメッセージシーケンスを説明する図。 EAP−EXTに関連するいくつかの例示的な実施形態に係るメッセージフォーマットを説明する図。 EAP−EXTに関連するいくつかの例示的な実施形態に係るケイパビリティフィールドを説明する図。 EAP−EXPに関連するいくつかの例示的な実施形態に係るTLVフォーマットを説明する図。 本発明のいくつかの例示的な実施形態に係るメッセージフォーマットを説明する図。 本発明のBKE機能を適用したいくつかの実施形態係るメッセージシーケンスを示し、クライアント/ピア、サーバ及びKDCの間のメッセージシーケンスを示す。 本発明のBKE機能を適用したいくつかの実施形態係るメッセージシーケンスを示し、クライアント/ピア、サーバ、オーセンティケータ及びKDCの間のメッセージシーケンスを示す。 BKE機能を適用したいくつかの実施形態係る他のメッセージシーケンスを示し、さらにTGS−REQ/REPを含む。 参考のためにケルベロスメッセージシーケンスを示した図。 参考のためにEAPメッセージシーケンスを示した図。 いくつかの実施形態に係る機器に適用されることのあるくつかのアーキテクチャ構成要素を示す図。
本発明の好ましい実施形態は、例によって説明されるが、添付の図面に限定されることはない。
本発明は、多くの異なる形態で実施され得るが、説明された多くの実施形態は、本開示は本発明の要旨の例を与えるものとして考慮されること、及び、これら例は本発明をここに記載、及び/または説明された好ましい実施形態に限定するものではないことを理解した上で、ここに開示されている。
いくつかの好ましい実施形態によれば、EAPからケルベロスをブートするためのシステム及び方法が提供される(本願ではBKEと呼ばれている)。とりわけ、複数のネットワークアプリケーションをサポートするために、好ましい実施形態は、有利に、ケルベロスをEAPから利用できるようにする。
とりわけ、好ましい実施形態は、例えば、EAP−EXTメソッド(EAP−EXTに関連する背景技術の説明参照)内に新たなケイパビリティを定義し、これは、ケルベロスのための新しいケイパビリティビットを含む。
1.イントロダクション
ケルベロス[RFC4120]は、共有秘密鍵暗号を使用することにより、オープン(保護されていない)ネットワーク上で多様なネットワークアプリケーションのエンドポイントのアイデンティティを検証する手段を提供する第三者認証プロトコルである。ケルベロスへの拡張は、認証プロトコルの特定のフェーズの間の公開鍵暗号の使用に備えることができる[RFC4556]。
EAP(Extensible Authentication Protocol拡張認証プロトコル)は、「EAPメソッド」[RFC3748]として知られている複数の認証アルゴリズムをサポートする認証プロトコルである。しかしながら、EAPの適用性は、ネットワークアクセスの認証のためである。EAPは、多様なネットワークアプリケーションに認証を与えるために設計されていない。
参考のために、以下のテーブル1は、ケルベロスとEAPの相違点のいくつかを浮き彫りにするチャートである。
Figure 0005043114
アクセスしたドメインまたはホームドメインにおいてネットワークアクセスのための初回認証が、リンク層プロトコルからアプリケーション層プロトコルに及ぶ、ドメイン内で使用される複数の異なるプロトコルにセッション鍵をセットアップできる単一サインオンに対する新しいニーズがある。
特に、リンク層プロトコルにセッション鍵をセットアップすると、オーセンティケータ内ハンドオーバ及びオーセンティケータ間ハンドオーバを含む、ドメイン内のあらゆるハンドオーバのためにEAPシグナリングを排除することによりリンク層ハンドオーバ性能を最適化できる。
本願は、EAPが初回ネットワークアクセス認証のために使用され、ケルベロスが複数の異なるプロトコルにセッション鍵をセットアップするために使用される、EAPからケルベロスをブートするための機構を説明する。本願は、この機構を実現するためにEAP−EXT方法論を利用する。
2.好ましい実施形態の概要
好ましい実施形態によれば、ケルベロスのための新しいケイパビリティビットを含む、新しいケイパビリティが(前述された)EAP−EXT方法論の中で定義される。
この好ましい実施形態は、ケイパビリティフィールドで新しいケイパビリティビット(K)、及びEAP−EXTの新しいTLV(例えば、KRB−BOOT TLVとKRB−MSG TLV)も定義する。この好ましい実施形態では、この新しいケイパビリティビット(K)とこれらの新しいTLVは以下のように利用される。
EAP−EXT交換では、ピアとサーバは、本発明の機能(このような機能は本願ではBKEと呼ばれている)を使用することを望む場合、ケイパビリティフィールドにK−ビットを設定する。ピアとサーバの両方ともAUTH TLVとともにK−ビットを設定する場合、好ましい実施形態では、システムは以下のように追加のEAP−EXT交換を利用する。
サーバは、最初にケルベロスブートストラッピングパラメータをピアに送信する。好ましくは、ケルベロスブートストラッピングパラメータは、ケルベロス−ブート(KRB−BOOT)TLVに含まれている。次に、ピアがケルベロスAS−REQメッセージをサーバに送信し、ここではAS−REQメッセージは、ケルベロス−メッセージ(KRB−MSG)TLVに含まれている。次にサーバはAS−REQメッセージをケルベロスKDC(鍵配布センタ)に転送する。それから、KDCはAS−REPをサーバに戻すが、シグナリングのこの部分はEAP−EXTの外部で実行される。サーバは、ピアにAS−REPを転送し、AS−REPはKRB−MSG TLVに含まれている。
最後に、ピアはサーバに確認を送信し、サーバはEAP−成功メッセージまたはEAP−失敗メッセージをピアに送信する。好ましい実施形態では、これらの交換のすべては、AUTH TLVで保護される必要がある。
ケルベロスがEAPからブートされた後にどのように使用されるのかは、状況に基づき当業者が決定することができ、これに関連する詳細は本発明の目的のために必要とされていない。
図1は、BKEを用いるEAP−EXTメッセージシーケンスの例を示す。
3.新しいメッセージフォーマット
好ましい実施形態によれば、上記に示されたように、EAP−EXTのケイパビリティフラグの中に新しいビット―すなわち、新しいKビットが定義される。
図4に、本願の好ましい実施形態に係るEAP−EXTメッセージフォーマットに対する変更を示す。
このKビットは、EAPからケルベロスをブートするためのサポートを示している(本願ではBKEと呼ばれている)。好ましい実施形態では、いったんピアとサーバの両方が、KビットをAUTH TLVとともに設定すると、追加の交換が前述されたようにEAP−EXTの中で実行される。
4.新しい鍵
好ましい実施形態では、1つの新しい鍵が、本発明の機能を提供するために定義される。この新しい鍵は、EAP−KRB−KEYと呼ばれている。EAP−KRB−KEYは、ケルベロスによって必要とされる事前共有鍵として使用される。好ましい実施形態では、ERP−KRB−KEYの長さ及びライフタイムは、EAP−EXTの中でサーバからピアに通信される。例えば、ERP−KRB−KEYの長さはEAP−EXTの中で交渉される。好ましい実施形態では、EAP−KRB−KEY鍵は、EAP−EXTからエクスポートされるEMSKから導出され、その際、例えば、以下のように、上記に参照により組み込まれる参考文献[I-D.salowey-eap-emsk-deriv]で定義されるUSRK誘発アルゴリズムを使用する。
EAP−KRB−KEY=KDF(EMSK,“EAP−EXT−ケルベロス− ブートストラッピング−鍵”,長さ)
KDFでは、EAP−EXT−KRBは、[I-D.salowey-eap-emsk-deriv]に指定されるデフォルトのPRFを使用する。
5.新しいEAP−EXT TLV
好ましい実施形態によれば、以下の新しい複数のTLVが定義される。
5.1 ケルベロス−ブート(KRB−BOOT)TLV
好ましい実施形態によれば、ケルベロスブートストラッピングパラメータを含む新しいケルベロス−ブート TLV(タイプ6)が確立される。好ましい実施形態では、以下のケルベロスブートストラッピングパラメータが、この順で含まれる。
a)EAP−KRB−KEY長(2オクテット)
好ましい実施形態では、このフィールドはオクテット単位でEAP−KRB−KEYの長さを示す。
b)EAP−KRB−KEY ライフタイム(2オクテット)
好ましい実施形態では、このフィールドは秒単位でEAP−KRB−KEYのライフタイム(有効期間)を示す。ライフタイム、EMSKのライフタイムを超える必要がある。
c)プリンシパルネーム(可変長)
好ましい実施形態では、このフィールドには、ピアのケルベロスプリンシパルネームが入り、ASN.1(抽象構文記法1:Abstract Syntax NotaionOne)のDER(識別符号化規則:Distinguished Encoding Rules)によって符号化される。ASN.1の識別符号化規則は、X.509による基本符号化規則(BER:basic encoding rule)符号化に課される制約から引き出された国際規格である。抽象構文記法1(ASN.1)は、コンピュータ間で送信されるデータ構造が、どのようにして符号化、及び復号されるのかを決定する以下の規則セットを定義する。つまり、基本符号化規則(BER)、正規化符号化規則(CER:Canonical Encoding Rules)、識別符号化規則(DER:Distinguished Encoding Rules)、及びパック符号化規則(PER:Packed Encoding Rules)である。元の規則セットは、BER仕様によって定義されていた。CERとDERはBERの特殊化された部分集合として後に作成された。PERは、BERまたはその変形を使用してデータを送信するために必要とされる帯域幅の量についての批判に応えて開発された。PERはかなりの節約を与える。DERは安全なデータ転送のためにX.509仕様の要件を満たすために作成された。例えば、信任状登録API(Certificate Enrollment API)はDERを独占的に使用する。参考のために、International Telecommunication Union, Information Technology - ASN.1 Encoding Rules - Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER), and Distinguished Encoding Rules (DER), ITU-T Recommendation X.690, July 2002を参照されたい。この全体的な開示は、参照によりここに組み込まれる。
d)Realm(レルム)(可変長)
好ましい実施形態では、このフィールドは、ピアのケルベロスレルムと、KDCを含み、ASN.1(抽象構文記法1)のDER(識別符号化規則)によって符号化される。
e)IPアドレス長(1オクテット)
好ましい実施形態では、このフィールドにはKDCのIPアドレスの長さが入る。
f)KDCのIPアドレス(4または16オクテット)
好ましい実施形態では、このフィールドにはKDCのバイナリ符号化されたIPアドレスが入る。IPアドレス長が4である場合、このフィールドには好ましくはIPv4アドレスが入る。IPアドレス長が16である場合、このフィールドには好ましくはIPv6アドレスが入る。
5.2 ケルベロス−メッセージ(KRB−MSG)TLV
好ましい実施形態では、ケルベロス−メッセージ TLV(ケルベロス−メッセージ)(タイプ7)が、AS−REQメッセージとAS−REPメッセージ等のケルベロスメッセージ(例えばDERで符号化されたメッセージ)を含む。
6.0 メッセージ交換シーケンスの具体例
図5から図9は、構成要素またはモジュール間の通信の具体例を描く、いくつかのメッセージ交換シーケンスを示す。
この点で、図5から図7は、本発明の好ましい実施形態のBKE機能を利用するいくつかの具体的な実施形態によるメッセージシーケンスを示す。ここでは、図5は、クライアント/ピア10、サーバ30、及び鍵配布センタ(KDC)40の間のメッセージシーケンスを示し、図6と図7は、クライアント/ピア10、サーバ30、オーセンティケータ20、及びKDC(40)の間のメッセージシーケンスを示す。
この点で、クライアント/ピア10は、好ましい実施形態では、例えば携帯電話、パーソナルコンピュータ、ラップトップコンピュータ、ウェアラブルコンピュータ、PDA等のモバイルノードまたはモバイル機器に含まれる。この点で、クライアント/ピア10は、(図6と図7で緑で表されている)EAPピアと、(図6と図7で赤で表されている)ケルベロスクライアントの機能を含むことができる。
図5に示されるように、クライアント/ピア10、サーバ30、及び鍵配布センタ(KDC)40の間のような通信は、BKEを利用するいくつかの実施形態において以下のようである場合がある。
第1に、図5のa)で示されるように、サーバ30は随意にEAP−リクエスト/アイデンティティをピア10に送信し、ピア10は、図5のb)に示されるように随意にEAP−レスポンス/アイデンティティをサーバ30に送信することができる。
次に、図5のc)で示されるように、サーバ30はピア10にEAP−リクエスト/EXT{Cap.(K),メソッド}を送信する。ここで、Cap.(K)は、メッセージがケイパビリティフィールドセットのKビットを有することを示し、メソッドはメソッドTLVに関連する。これに応じて、図5のd)で示されるように、ピア10は、サーバ30にEAP−レスポンス/EXT{Cap.(K),メソッド}メッセージを送信できる。
次に、図5のe)に示されるように、サーバ30は、ピア10にEAP−リクエスト/EXT{Cap.(K),AUTH}メッセージを送信する。ここでは、Cap.(K)は、メッセージがケイパビリティフィールドセットのKビットを有することを示し、AUTHはAUTH TLVに関連する。これに応じて、図5のf)に示されるように、ピア10は、サーバ30にEAP−レスポンス/EXT{Cap.(K),AUTH}メッセージを送信できる。
次に、図5のg)に示されるように、サーバ30はピア10にEAP−リクエスト/EXT{Cap.(K),KRB−BOOT,AUTH}メッセージを送信する。ここでは、Cap.(K)は、メッセージがケイパビリティフィールドセットのKビットを有することを示し、KRB−BOOT(ケルベロスブートストラッピングパラメータを含む)は、ケルベロスブートTLVに関連し、AUTHはAUTH TLVに関連する。これに応じて、図5のh)に示されるように、ピア10はサーバ30にEAP−レスポンス/EXT{Cap.(K),KRB−MSG,AUTH}メッセージを送信できる。ここでは、AS−REQメッセージは、ケルベロス−メッセージTLV(KRB−MSG)に含まれている。
図5のl)に示されるように、サーバ30は、KDCにケルベロスブートストラッピングパラメータも送信する。
加えて、図5のm)に示されるように、次にサーバ30はAS−REQメッセージをケルベロスKDC(鍵配布センタ)に転送する。その後、図5のn)に示されるように、KDCは、サーバにAS−REPメッセージを返す。シグナリングのこの部分はEAP−EXTの外部で実行される。
次に、図5のi)に示されるように、サーバ30はピア10にAS−REPを転送し、AS−REPはKRB−MSG TLVに含まれている。その点で、サーバ30は、示されているように、i)でEAP−リクエスト/EXT{Cap.(K),KRB−MSG,AUTH}メッセージを送信する。
最後に、ピアはサーバに確認を送信し、サーバはピアにEAP−成功メッセージまたはEAP−失敗メッセージを送信する。ここでは好ましくは、図5のj)に示されるように、ピア10はサーバ30にEAP−レスポンス/EXT{Cap.(K),AUTH}メッセージを送信し、サーバ30はピア10にEAP−成功メッセージを送信する。
好ましい実施形態は、これらの交換のすべてはAUTH TLVで保護される必要がある。
図6に関して、この図は図5に示されているメッセージシーケンスに実質的に類似している。しかしながら、図6は、さらにオーセンティケータ20に関してメッセージ交換を示す。この点で、図5のステップj)の後、図6のx)に示されるように、サーバはオーセンティケータ20にMSKを送信し、次にy)で、ピア/クライアントとオーセンティケータの間に安全なアソシエーションが確立される。
図7は、BKE機能を適用し、さらにTGS−REQ/REPを含む、いくつかの具体的な実施形態に係る他のメッセージシーケンスである。背景技術の参照として、ケルベロスでは、クライアントはチケット交付サーバ(TGS)に、アプリケーションサーバと通信するために必要とされるチケットを要求する。TGSによって生成されるチケットは、すべてアプリケーションサーバの鍵で暗号化されるクライアントのアイデンティティと、セッション鍵とを含む。TGSは、すべてクライアントの鍵で暗号化されているチケットとセッション鍵のコピーをクライアントに返す。しかしながら、この交換は、独力でクライアントのアイデンティティの保証を提供しない。クライアントのアイデンティティの保証は、チケットを検証することに基づくクライアントとアプリケーションサーバの間の別の交換によって行われる。TGSは、チケットを発行することによってクライアントのアイデンティティに合意する。クライアントとアプリケーションサーバは、TGSによって発行されるチケットを検証することによってクライアントのアイデンティティに合意する。クライアントのアイデンティティに関する三者合意が、クライアントとアプリケーションサーバの間のセッション鍵の所有の暗号証拠に基づいて安全に行われ、チケットはセッション鍵とクライアントのアイデンティティの間に結合を有する。
図7を参照すると、x1)に示されるように、ピア10はサーバ30にEAP−レスポンス/EXT{F,KRB−MSG(TGS−REQ),AUTH}のメッセージを送信し、x2)に示されるように、サーバ30はKDCにTGS−REQを送信する。次にKDCは、図7のy2)に示されるようにTGS−REPを返す。次に、サーバ30は、EAP−リクエスト/EXT{F,KRB−MSG(TGS−REP),AUTH}のフォーマットのメッセージをピア10に送信する。その後、ピアは前述されたものと同様なEAP−レスポンス/EXT{F,AUTH}を送信する。
参考のために、図8には、アプリケーションクライアント(C)、アプリケーションサーバ(S)、及び鍵配布センタ(KDC)の関与するケルベロスメッセージシーケンスの具体例が示され、KDCはチケット交付サーバ(TGS)と、認証サーバ(AS)とを含む。この具体例では、次の3つのメッセージステップが示されている。つまり、a)シーケンスのステップS1は、オーセンティケータを提示し、TGTを取得することを含む。(これに関し、100に示されるように、AS_REQメッセージがオーセンティケータサーバ(AS)に送信され、110に示されるように、AS_REPメッセージがオーセンティケータサーバから送信される。)2)シーケンスのステップS2は、TGTを提示し、チケットを取得することを含む。(これに関し、120に示されるように、TGS_REQメッセージがチケット交付サーバ(TGS)に送信され、130に示されるように、TGS_REPメッセージがTGSサーバから送信される。)
参考のために、図9は、ピア、オーセンティケータ、及びサーバが関与するEAPメッセージシーケンスの具体例を示す。この図では、メッセージ200はサーバからのEAP−リクエストを示し、メッセージ201はピアからのEAP−レスポンスを示し、メッセージ202はサーバからのEAP−成功メッセージを示し、メッセージ203はサーバからのMSKメッセージを示し、204は確立された安全なアソシエーション(下位層)を示す。ここでは、オーセンティケータはピアにネットワークアクセスサービスを提供する。いくつかの実施形態では、オーセンティケータとサーバは別々の装置で実現できるが、いくつかの実施形態では、オーセンティケータとサーバは、同じ装置で実現されてよい。別々の装置で実現されるとき、オーセンティケータは、ピアとサーバとの間のEAPメッセージの「通過地点」転送者の役割を務める。
コンピュータアーキテクチャの具体例:
図10は、いくつかの具体的な実施形態において、例えばピア、クライアント、サーバ、オーセンティケータ、モバイル機器、アクセスポイント等のデバイスまたはエンティティによって実行されるプロセスステップ及び通信を実現するために使用できるコンピュータまたはこれに類似する構造の具体例を示す。いくつかの実施形態では、このようなデバイスまたはエンティティは、バス326上で1つまたは複数の入力/出力(I/O)デバイス324と通信できる中央演算処理装置(CPU)322を含む。I/Oデバイス324は、例えば、1つまたは複数のキーパッド、1または複数のディスプレイ、及び/または他のデバイスを含むことがある。デバイスは、通信のために送信機、受信機、及び/または(例えば、アンテナ等を適用する)トランシーバを含むことがあり、通信は、本開示に基づいて当業者に理解されるように適切な装置機能を実現するために、無線通信、有線通信等を適宜に含むことがある。CPU322は、バス326でコンピュータ読み取り可能媒体(例えば、従来の揮発性または不揮発性のデータ記憶デバイス)328(以後「メモリ328」)と通信できる。CPU322、I/Oデバイス324、バス326、及びメモリ328の間の相互作用は、当分野で公知のものである。メモリ328は、例えばデータ330を含むことがある。メモリ328は、ソフトウェア338を記憶することもある。ソフトウェア338はプロセスのステップを実現するための多くのモジュール340を含むことがある。従来のプログラミング技法は、これらのモジュールを実現するために使用されてよい。メモリ328は、上記の及び/または他の1つまたは複数のデータファイルも含むことがある。いくつかの実施形態では、本願に説明されている多様な方法は、コンピュータシステムと使用するためにコンピュータプログラムを介して実現されてよい。このインプリメンテーションは、例えば、コンピュータ読み取り可能な媒体(例えば、ディスケット、CD−ROM、ROM等)上に固定される、あるいは例えばモデム等のインタフェース装置を介してコンピュータシステムに送信できる一連のコンピュータ命令を含んでよい。通信媒体は、実質的には有形(例えば通信回線)であってよい、及び/あるいは実質的に無形(例えばマイクロ波、光、赤外線等を使用する無線媒体)であってよい。コンピュータ命令は、多様なプログラミング言語で作成されてもよく、及び/または例えば半導体デバイス(例えば、チップまたは回路)、磁気デバイス、光学デバイス、及び/または他の記憶デバイス等の1つまたは複数の記憶デバイスに記憶することができる。多様な実施形態では、伝送は任意の適切な通信技術を使用してよい。

Claims (17)

  1. モバイル機器が拡張認証プロトコル(以下「EAP」)からケルベロスをブートするための方法であって、
    EAPが前記モバイル機器の初回ネットワークアクセス認証のために使用され、ケルベロスが、複数のネットワークアプリケーションをサポートするために複数の異なるプロトコルにセッション鍵をセットアップするために使用され、
    a)ケルベロスに関連するEAP拡張機能に関するケイパビリティについてEAPサーバと交渉するEAPピアをもつモバイルノードを構成し、ケルベロス機能に関して、該EAPサーバと該EAPピアとの間のケイパビリティ交換を提供するEAP拡張メソッド(EAP−EXT)を適用することを含み、
    i)前記EAPピアが、ケルベロス機能に関連するケイパビリティフィールドの中に新しいケイパビリティビット(K)を有する、前記EAPサーバから送信されるリクエストメッセージを受信することと、
    ii)前記EAPピアに、前記ケルベロス機能に関連するケイパビリティフィールドに新しいケイパビリティビット(K)を有するレスポンスメッセージを送信させることと、を含む方法。
  2. 前記EAPピアが前記EAPサーバからリクエストメッセージを受信するときと、前記EAPピアがAUTH TLVが設定されたKビットをもつレスポンスメッセージを送信するときとの両方で、前記EAPピアに、前記EAPサーバから送信されるケルベロスブートストラッピングパラメータを受信させることとをさらに含む、請求項1記載の方法。
  3. 前記EAPピアに、新しいケルベロスブートTLV(KRB−BOOT)を適用する前記EAPサーバから送信されるケルベロスブートストラッピングパラメータを受信させることをさらに含む、請求項2記載方法。
  4. 前記EAPピアに、その後、前記EAPサーバへのケルベロスAS−REQメッセージを送信さることをさらに含み、前記AS−REQメッセージはケルベロスメッセージTLV(KRB−MSG)に含まれる請求項3記載の方法。
  5. 前記EAPサーバに、その後、ケルベロス鍵配布センタへの前記AS−REQメッセージを送信させることと、
    前記鍵配布センタに、AS−REPを前記EAPサーバに返させることと、
    前記EAPサーバに、前記AS−REPを前記EAPピアに転送させることと、
    をさらに含み、前記AS−REPがKRB−MSG TLVに含まれている請求項4記載の方法。
  6. 前記EAP拡張メソッド(EAP−EXT)からエクスポートされるEMSKから導出されるケルベロスによって必要とされる事前共有鍵(EAP−KRB−KEY)を生成することをさらに含む、請求項5記載の方法。
  7. EAP−KRB−KEY=KDF(EMSK,“EAP−EXT−ケルベロス−ブートストラッピング−鍵”,長さ)であるUSRK誘導アルゴリズムを用いて、EAP−EXTからエクスポートされるEMSKから導出される、ケルベロスによって必要とされる事前共有鍵(EAP−KRB−KEY)を生成することをさらに含む、請求項6記載の方法。
  8. アクセスしたドメインまたはホームドメインでのネットワークアクセスのための初回認証が、当該ドメインの中で使用される複数の異なるプロトコルにセッション鍵をセットアップするために使用される単一サインオンをモバイルノードが実行するための方法であって、
    a)拡張認証プロトコル(以下「EAP」)が初回ネットワークアクセス認証のために使用され、ケルベロスが複数の異なるプロトコルにセッション鍵をセットアップするために使用されるEAPから、ケルベロスをブートするように前記モバイル機器を構成することと、
    b)前記ドメインの中でのハンドオーバのためにEAPシグナリングを排除することにより、リンク層ハンドオーバパフォーマンスを最適化するためにリンク層プロトコルにセッション鍵をセットアップすることと
    を含み、
    ケルベロス機能に関して、前記EAPサーバと前記EAPピアとの間のケイパビリティ交換を提供するEAP拡張メソッド(EAP−EXT)を適用することと、
    前記EAPピアに、前記ケルベロス機能に関連するケイパビリティフィールドに新しいケイパビリティビット(K)を有する、前記EAPサーバから送信されるリクエストメッセージを受信させることと、
    前記EAPピアに、ケルベロス機能に関連するケイパビリティフィールドに新しいケイパビリティビット(K)を有するレスポンスメッセージを送信させることと、
    を含む方法。
  9. ドメインの中でのネットワークアクセスのための初回認証が、前記ドメインの中で使用される複数の異なるプロトコルにセッション鍵をセットアップするために使用される単一サインオンをモバイル機器が実行するためのシステムであって、
    a)拡張認証プロトコル(以下「EAP」)がモバイル機器の初回ネットワークアクセス認証のために使用され、ケルベロスが複数のネットワークアプリケーションをサポートするために複数の異なるプロトコルにセッション鍵をセットアップために使用される、どちらもEAPからケルベロスをブートするように構成されたモバイル機器及びサーバを含み、
    b)前記モバイル機器及び前記サーバは、ケルベロス機能に関してEAPサーバとEAPピアの間でケイパビリティ交換を提供するEAP拡張メソッド(EAP−EXT)を適用することを含み、ケルベロスに関連するEAP拡張機能に関するケイパビリティについて交渉するように構成され、
    i)前記サーバは、ケルベロス機能に関連するケイパビリティフィールドに新しいケイパビリティビット(K)をもつリクエストメッセージをEAPピアに送信するように構成されたEAPサーバを有し、
    ii)前記モバイル機器は、前記ケルベロス機能に関連するケイパビリティフィールドの中に新しいケイパビリティビット(K)をもつレスポンスメッセージを送信するように構成された前記EAPピアを有するシステム。
  10. 前記EAPサーバは、前記EAPサーバが前記EAPピアにリクエストメッセージを送信するときと、前記EAPサーバが前記EAPピアからKビットをもち、AUTH TLVが設定されているレスポンスメッセージを受信するときとの両方で、前記EAPサーバが前記EAPピアにケルベロスブートストラッピングパラメータを送信するように構成されている請求項記載のシステム。
  11. 前記EAPサーバは、新しいケルベロスブートTLV(KRB−BOOT)を適用して、前記EAPピアにケルベロスブートストラッピングパラメータを送信するように構成されている請求項10に記載のシステム。
  12. 前記EAPピアは、次に、ケルベロスAS−REQメッセージを前記EAPサーバに送信するように構成され、前記AS−REQメッセージはケルベロスメッセージTLV(KRB−MSG)の中に含まれている請求項11記載のシステム。
  13. 前記EAPサーバは、前記AS−REQメッセージをケルベロス鍵配布センタに転送するように構成されている請求項12記載のシステム。
  14. 前記EAPサーバにAS−REPを返すように構成される鍵配布センタをさらに含む、請求項13記載のシステム。
  15. 前記AS−REPを前記EAPサーバに転送するように構成されている前記EAPサーバをさらに含み、前記AS−REPはKRB−MSG TLVに含まれている請求項14記載のシステム。
  16. 前記システムは、ケルベロスによって必要とされる事前共有鍵(EAP−KRB−KEY)を生成するように構成される請求項記載のシステム。
  17. ケルベロスによって必要とされる前記事前共有鍵(EAP−KRB−KEY)は、
    EAP−KRB−KEY=(EMSK,“EAP−EXT−ケルベロス−ブートストラッピング−鍵”,長さ)である、USRK誘導アルゴリズムを使用してEAP拡張メソッド(EAP−EXT)からエクスポートされるEMSKから導出される請求項16記載のシステム。
JP2009526352A 2007-01-19 2008-01-18 Eapからのケルベロス・ブートストラッピング(bke) Active JP5043114B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US88580107P 2007-01-19 2007-01-19
US60/885,801 2007-01-19
US11/944,605 US8707416B2 (en) 2007-01-19 2007-11-24 Bootstrapping kerberos from EAP (BKE)
US11/944,605 2007-11-24
PCT/JP2008/051030 WO2008088089A1 (en) 2007-01-19 2008-01-18 Bootstrapping kerberos from eap (bke)

Publications (2)

Publication Number Publication Date
JP2010503258A JP2010503258A (ja) 2010-01-28
JP5043114B2 true JP5043114B2 (ja) 2012-10-10

Family

ID=39431008

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009526352A Active JP5043114B2 (ja) 2007-01-19 2008-01-18 Eapからのケルベロス・ブートストラッピング(bke)

Country Status (5)

Country Link
US (1) US8707416B2 (ja)
EP (1) EP2127315B1 (ja)
JP (1) JP5043114B2 (ja)
CA (1) CA2675962C (ja)
WO (1) WO2008088089A1 (ja)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2239240A1 (de) * 2004-06-21 2010-10-13 Sika Technology AG Zementmahlhilfsmittel
US8817990B2 (en) 2007-03-01 2014-08-26 Toshiba America Research, Inc. Kerberized handover keying improvements
US7840687B2 (en) * 2007-07-11 2010-11-23 Intel Corporation Generic bootstrapping protocol (GBP)
US8516566B2 (en) * 2007-10-25 2013-08-20 Apple Inc. Systems and methods for using external authentication service for Kerberos pre-authentication
US20090259849A1 (en) * 2008-04-10 2009-10-15 Igor Faynberg Methods and Apparatus for Authenticated User-Access to Kerberos-Enabled Applications Based on an Authentication and Key Agreement (AKA) Mechanism
US8645565B2 (en) * 2008-07-31 2014-02-04 Tekelec, Inc. Methods, systems, and computer readable media for throttling traffic to an internet protocol (IP) network server using alias hostname identifiers assigned to the IP network server with a domain name system (DNS)
CA2696037A1 (en) 2010-03-15 2011-09-15 Research In Motion Limited Advertisement and dynamic configuration of wlan prioritization states
CN102196439B (zh) * 2010-03-17 2016-08-03 中兴通讯股份有限公司 一种处理鉴权器重定位请求的方法及系统
US8886935B2 (en) * 2010-04-30 2014-11-11 Kabushiki Kaisha Toshiba Key management device, system and method having a rekey mechanism
US8458279B2 (en) * 2010-05-14 2013-06-04 Research In Motion Limited Advertisement and distribution of notifications using extensible authentication protocol (EAP) methods
US8929346B2 (en) 2010-05-14 2015-01-06 Blackberry Limited Advertisement and distribution of notifications in a wireless local area network (WLAN)
US8442024B2 (en) 2010-05-14 2013-05-14 Research In Motion Limited Advertisement and distribution of notifications in a wireless local area network (WLAN)
US8681769B2 (en) 2010-05-14 2014-03-25 Blackberry Limited Incorporation of a notification in a network name
US8566474B2 (en) * 2010-06-15 2013-10-22 Tekelec, Inc. Methods, systems, and computer readable media for providing dynamic origination-based routing key registration in a diameter network
US9444620B1 (en) * 2010-06-24 2016-09-13 F5 Networks, Inc. Methods for binding a session identifier to machine-specific identifiers and systems thereof
AU2011355322B2 (en) * 2011-01-14 2016-11-03 Nokia Solutions And Networks Oy External authentication support over an untrusted network
US8547908B2 (en) 2011-03-03 2013-10-01 Tekelec, Inc. Methods, systems, and computer readable media for enriching a diameter signaling message
CN103621126B (zh) * 2011-04-15 2018-06-19 三星电子株式会社 提供机器到机器服务的方法和装置
US8750180B2 (en) 2011-09-16 2014-06-10 Blackberry Limited Discovering network information available via wireless networks
US8942221B2 (en) 2011-11-10 2015-01-27 Blackberry Limited Caching network discovery responses in wireless networks
US9204299B2 (en) 2012-05-11 2015-12-01 Blackberry Limited Extended service set transitions in wireless networks
JP5968077B2 (ja) * 2012-05-22 2016-08-10 キヤノン株式会社 情報処理装置、その制御方法、プログラム、及び画像処理装置
US10812964B2 (en) 2012-07-12 2020-10-20 Blackberry Limited Address assignment for initial authentication
US9137621B2 (en) 2012-07-13 2015-09-15 Blackberry Limited Wireless network service transaction protocol
US9301127B2 (en) 2013-02-06 2016-03-29 Blackberry Limited Persistent network negotiation for peer to peer devices
US9961076B2 (en) * 2015-05-11 2018-05-01 Genesys Telecommunications Laboratoreis, Inc. System and method for identity authentication
US9509684B1 (en) * 2015-10-14 2016-11-29 FullArmor Corporation System and method for resource access with identity impersonation
US9450944B1 (en) 2015-10-14 2016-09-20 FullArmor Corporation System and method for pass-through authentication
US9762563B2 (en) 2015-10-14 2017-09-12 FullArmor Corporation Resource access system and method
US11063758B1 (en) 2016-11-01 2021-07-13 F5 Networks, Inc. Methods for facilitating cipher selection and devices thereof
EP3319277B1 (en) * 2016-11-08 2019-05-29 Telia Company AB Provision of access to a network
ES2947942T3 (es) 2017-01-27 2023-08-24 Ericsson Telefon Ab L M Autenticación secundaria de un equipo de usuario
US10791462B2 (en) * 2018-10-15 2020-09-29 Cisco Technology, Inc. Flexible device onboarding via bootstrap keys

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7549048B2 (en) * 2004-03-19 2009-06-16 Microsoft Corporation Efficient and secure authentication of computing systems

Also Published As

Publication number Publication date
CA2675962A1 (en) 2008-07-24
EP2127315B1 (en) 2015-12-09
EP2127315A1 (en) 2009-12-02
US20080178277A1 (en) 2008-07-24
WO2008088089A1 (en) 2008-07-24
CA2675962C (en) 2014-04-29
US8707416B2 (en) 2014-04-22
JP2010503258A (ja) 2010-01-28

Similar Documents

Publication Publication Date Title
JP5043114B2 (ja) Eapからのケルベロス・ブートストラッピング(bke)
CA2675961C (en) Kerberized handover keying
CA2679378C (en) Kerberized handover keying optimized for reactive operation
KR101007955B1 (ko) Eap 확장을 위한 eap 메쏘드(eap-ext)
US8239671B2 (en) Channel binding mechanism based on parameter binding in key derivation
Marques et al. EAP-SH: an EAP authentication protocol to integrate captive portals in the 802.1 X security architecture
WO2008091517A1 (en) Kerberized handover keying
Marques et al. Integration of the Captive Portal paradigm with the 802.1 X architecture

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111122

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120222

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120229

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120322

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120329

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120420

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120427

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120522

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120612

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120711

R150 Certificate of patent or registration of utility model

Ref document number: 5043114

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150720

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250