JP5068810B2 - Eap拡張(eap−ext)のためのeapメソッド - Google Patents
Eap拡張(eap−ext)のためのeapメソッド Download PDFInfo
- Publication number
- JP5068810B2 JP5068810B2 JP2009509206A JP2009509206A JP5068810B2 JP 5068810 B2 JP5068810 B2 JP 5068810B2 JP 2009509206 A JP2009509206 A JP 2009509206A JP 2009509206 A JP2009509206 A JP 2009509206A JP 5068810 B2 JP5068810 B2 JP 5068810B2
- Authority
- JP
- Japan
- Prior art keywords
- eap
- ext
- message
- authentication
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Description
多様なコンピュータネットワークがあり、インターネットは最も有名である。インターネットは、コンピュータネットワークの世界規模のネットワークである。今日、インターネットは、何百万人ものユーザが利用可能な、公衆の自律的ネットワークである。インターネットは、TCP/IP(すなわち、伝送制御プロトコル/インターネットプロトコル)と呼ばれる1組の通信プロトコルを使って各ホストを接続する。インターネットは、インターネットバックボーンとして呼ばれる通信インフラストラクチャを有する。インターネットバックボーンへのアクセスは大部分企業及び個人へのアクセスを再販するインターネットサービスプロバイダ(ISP)によって制御される。
無線ネットワークは、例えば、セルラ及び無線電話機、PC(パーソナルコンピュータ)、ラップトップコンピュータ、装着型コンピュータ、コードレス電話機、ポケットベル、ヘッドセット、プリンタ、PDAなど、多種多様なモバイル機器を組み込むことができる。例えば、モバイル機器は、音声及び/又はデータの高速無線伝送を確保するデジタルシステムを含むことができる。一般的なモバイル機器は、次の構成要素の一部又は全部、即ち送受信機(すなわち、例えば、送信機、受信機及び、必要に応じて、他の機能が統合されたシングルチップ送受信機などを含む、送信機及び受信機)、アンテナ、プロセッサ、1つ又は複数の音声変換器(例えば、音声通信用機器でのスピーカやマイクロホンなど)、電磁データ記憶(データ処理が提供される機器の場合などでの、ROM、RAM、デジタルデータ記憶など)、メモリ、フラッシュメモリ、フルチップセット又は集積回路、インターフェース(USB、CODEC、UART、PCMなど)及び/又は同種のものを含む。
メディア独立の事前認証(MPA)は、任意のリンク層を介して、任意のモビリティ管理プロトコルと共に動作する、モバイル支援型の、安全なハンドオーバ最適化方式である。MPAを用いれば、移動ノードは、候補ターゲットネットワーク(CTN)のIPアドレスと他の構成パラメータを安全に獲得することができるだけでなく、CTNに実際に接続する前に、獲得したIPアドレスを使ってIPパケットを送受信することもできる。これは、移動ノードが、リンク層におけるハンドオーバを実行する前に、任意のモビリティ管理プロトコルの対応付け更新を完了し、新しい気付アドレス(CoA)を使用することを可能にする。
(以下に引用する)Aboba, RFC 3748を参照すると、拡張認証プロトコル(EAP)の具体的態様が説明されている。EAPは複数の認証メソッドをサポートする認証フレームワークである。EAPは一般的にはIPを必要としない、ポイントツーポイントプロトコル(PPP)又はIEEE802のような複数のデータリンク層上で直接に実行する。EAPは二重削除及び再送信のため独自のサポートを備えているが、下位層順の保証に依存する。断片化はEAP自体内でサポートされないが、個々のEAPメソッドがこれをサポートできる。
[1]Authenticatorはピアを認証するためリクエスト(Request)を送る。リクエストは要求されているものを示すタイプフィールドを有する。リクエストタイプの例は識別、MD5−チャレンジなどを含む。MD5−チャレンジタイプはCHAP認証プロトコルに密接に対応する[RFC1994参照]。一般的には、Authenticatorは初期認証リクエストを送ることになるが、初期認証リクエストは必要とされなく、バイパスされないこともある。例えば、識別はピアが接続されているポート(専用回線、専用スイッチ又はダイアルアップポート)によって決定される場合、又は識別が(MD5−チャレンジレスポンスなどのネームフィールドにおいて、呼出局識別又はMACアドレスを介して)他のメソッドで得られる場合には要求されないこともある。
EAP認証を初期化するリンクの終端。Authenticatorという用語は[IEEE-802.1X]に使用され、この明細書では同様の意味を有する。
Authenticatorに応答するリンクの終端。[IEEE-802.1X]では、この終端はSupplicantとして知られている。
バックエンド認証サーバは認証サービスをAuthenticatorに提供する個人である。使用時には、このサーバは一般的にはAuthenticatorのためにEAPメソッドを実行する。この専門用語は[IEEE-802.1X]に使用されている。
EAPサポートを持つ認証、許可、及び課金(AAA)プロトコルはRADIUS及びダイアミタ(Diameter)を含む。この明細書では、用語“AAAサーバ”及び“バックエンド認証サーバ”は交換可能に使用される。
ピアによってEAP認証メソッドを終了する個人バックエンド認証サーバが使用されない場合には、EAPサーバはAuthenticatorの一部である。Authenticatorがパススルーモードで行動する場合、EAPサーバはバックエンド認証サーバに設けられる。
この明細書の内容では、「成功した認証」はEAPメッセージの交換であり、その結果Authenticatorはピアによってアクセスできることを決定し、ピアがこのアクセスを使用することを決定する。Authenticatorの決定は一般的には認証及び許可面の両方を含み、ピアはAuthenticatorに首尾良く証明できるが、アクセスは政策的理由によりAuthenticatorによって拒絶されるかもしれない。
EAPピアとサーバ間で得られ、EAP法によって転送されるキーイングマテリアル。MSKは長さが少なくとも64オクテットである。既存の実施では、EAPサーバとして作用するAAAサーバはMSKをAuthenticatorに搬送する。
EAPクライアントとサーバ間で得られ、EAP法によって転送される追加キーイングマテリアル。EMSKは長さが少なくとも64オクテットである。EMSKはAuthenticator又は任意の他の第三者によっては共有されない。EMSKはまだ定義されていない将来の使用のために予約される。
参考のため、出願人はthttp://www.ietf.org/internet-drafts/draft-ietf-hokey-erx-04.txtのサイトに掲載されているEAP Extensions for EAP Reauthentication Protocol (ERP), IETF Internet Draft, August 24, 2007, of V. Narayanan, et alを参照する。この参考文献は次のようにEAP再認証プロトコルのためのEAP拡張を説明している。拡張可能認証プロトコルは2つのグループを認証するメソッドの搬送のための総括フレームワークであり、認証は一方向又は相互のいずれかである。第1目的はネットワークアクセス制御であり、キー生成メソッドはアクセス制御を実施するために推奨される。EAPキーイング階層は2つのキーを定義する。これらのキーはトップレベルで、即ちマスタキーセッション(MSK)及び拡張MSK(EMSK)で得られる。最も一般的な展開シナリオにおいては、ピア及びサーバはAuthenticatorとして知られている第三者を介して互いに認証する。Authenticator又はAuthenticatorによって管理される個人はアクセス制御を実施する。成功した認証後には、サーバはMSKをAuthenticatorに搬送し、Authenticator及びピアはMSKを認証キー又はキー導出キーとして用いて一時セッションキー(TSK)を取得し、単位パケットアクセス実施のためにTSKを使用する。ピアがあるAuthenticatorから他のAuthenticatorに移動するときは、完全EAP認証を避けることが望ましい。EAPメソッドの他の実施を伴う完全EAP交換は完了するためにいくつかの往復及びかなりの時間を取り、ハンドオフ時間に遅延が生じる。幾つかのEAP法は計算オーバヘッドを減じることによって再認証を最適化するために初期認証から状態の使用を特定し、メソッド特定再認証は殆どのケースでは少なくとも2往復する。多くのメソッドは再認証のためにサポートを提供しないことに注意することが重要でもある。故に、個々のメソッドにおけるよりもEAPにおいて効果的な再認証サポートを持つのが良い。
幾つかの実施形態によると、クライアントとサーバ間のメソッドの認証方法はa)クライアントとサーバ間に認証機構を有さないメソッドを採用すること、及びb)クライアントを認証するために前記メソッドに内部認証メソッドを当てにさせることを含む。好ましくは、メソッドは内部に第2EAPを持つ認証機構を有さない第1EAPメソッドであり、第2EAPはクライアントを認証するために使用される。
幾つかの他の実施形態によると、EAP拡張機能性に関する能力を交渉するためEAPピア及びEAPサーバのためのメソッドは、サーバと拡張機能性に関するクライアントとの能力交換を提供するEAP拡張メソッド(EAP−EXT)を採用することを含み、拡張機能性は認証機構を持たなく少なくとも1つのEAPメソッドはEAPピアを認証するためのEAP拡張メソッド以内で実行する。幾つかの実施形態では、本方法は内部EAPメソッドにキーイングマテリアルを生成させること、外部EAP拡張メソッドのメッセージをAUTH TLVでサポートすることを更に含む。幾つかの実施形態では、本方法は外部EAP拡張メッセージのAUTH TLVsは最近成功した内部メソッドのEAPキーイングマテリアルから生成されるEAP拡張キー(EAP−EXT−KEY)を用いて計算されることを更に含む。幾つかの実施形態では、本方法はEAP拡張キーがEAP−EXTメッセージをサポートする完全性のためのAUTH TLVsを計算するために使用されることを更に含む。幾つかの他の実施形態では、本方法はEAP拡張キーが使用特定ルートキー導出アルゴリズムを使用して内部EAPメソッドによって生成されるEMSKから得られることを更に含む。幾つかの実施形態では、本方法はEAP拡張メソッドが再認証機構に使用されたEAPメソッドによって要求される事前共有キーとして使用されるEAP再認証キーを定義することを更に含む。幾つかの実施形態では、本方法はEAP再認証キーが使用特定ルートキー導出アルゴリズムを用いるEAP拡張メソッドから排出されるEMSKから得られることを更に含む。幾つかの実施形態では、本方法は最終メッセージであることを示すために設定できるビット、エラーを示すために設定できる他のビット、複数のビットのバージョンフィールド、将来の拡張のための複数のビットの予約フィールド及び各々が特定の能力に対応する複数のビットの能力フィールドとともに共通EAPフィールドを含むメッセージフォーマットを用いることを更に含む。幾つかの実施形態では、本方法はサーバ及び拡張機能に関するクライアントとの能力交換は能力ビットの設定によって行われることを更に含む。幾つかの実施形態では、本方法は送信者がチャネル結合機構をサポートすることを能力ビットが示すことを更に含む。幾つかの実施形態では、本方法では能力ビットは送信者が再認証をサポートすることを示すことを更に含む。幾つかの実施形態では、本方法は送信者が再認証をサポートしていることを示す能力ビットが最終リクエスト/EXTメッセージに設定されるときを更に含み、メッセージがサーバID TLV及びピアID TLVを含む。幾つかの実施形態では、本方法は送信サポート再認証が最終リクエスト/EXTメッセージ及びレスポンス/EXTメッセージ交換に設定されることを能力ビットが示すとき、EAPピア及びEAPサーバがEAP再認証キーを発生することを更に含み、サーバID及びサーバIDに含まれるピアID並びにピアID TLVs及びEAP再認証キーは再認証EAPメソッドに使用される。幾つかの実施形態では、本方法はEAP拡張メソッド内で順次実行される複数の内部EAPメソッドを採用すること及びシーケンスの内部EAP法がキーイングマテリアルを生成する毎に新たなEAP拡張キーを生成することを更に含む。幾つかの実施形態では、本方法はa)EAPサーバが少なくとも1つの能力ビットセットでEAPリクエスト/EXTメッセージを送信し、b)EAPピアはEAPリクエスト/EXTメッセージを受信し、少なくとも1つの能力ビットセットでEAPレスポンス/EXTメッセージを送信することを更に含む。幾つかの実施形態では、本方法はc)EAP−レスポンス/Extメッセージを受信し、F−ビットセット、少なくとも1つの能力ビットセット、ピアID TLV,サーバID TLV及びAUTH TLVを持つEAPリクエスト/EXTメセージを送信すること、d)EAPピアが上記c)のEAPリクエスト/Extメッセージを受信し、F−ビットセット,少なくとも1つの能力ビットセット及びAUTH TLVを有するEAPレスポンス/EXTメッセージを送信すること、e)EAP−サーバがd)のEAPレスポンス/EXTメッセージ受信し、EAP−成功メッセージを送信することを更に含む。幾つかの実施形態では、本方法はピア又はサーバがエラーを検出する場合のエラーを示すビットセット及びAUTH TLVによってEAPピア又はEAPサーバのいずれかにEAP拡張メッセージを送信させることを更に含む。幾つかの実施形態において、本方法は能力情報が攻撃者によって攻撃されるのを避けるためにキーイングマテリアルの生成後にサポートメッセージ交換を行うことを更に含む。幾つかの実施形態では、本方法はEAP拡張メソッド以内に多くのEAPメソッドを順序付けることを更に含む。幾つかの実施形態では、本方法はシーケンスにおいて先に成功した内部メソッドによって生成されるキーを用いる外部EAP拡張メソッドと共に各内部EAPメソッドをサポートすることによって暗号結合を作成し、最後に成功した内部EAPメソッドによって生成されるEAPキーイングマテリアルを最後に搬送することを更に含む。
幾つかの他の実施形態によると、プロセッサ、メモリ、デジタルデータ記憶装置、及びデータメッセージを無線で送受信するための少なくとも1つの無線インターフェースを含む無線移動局が設けられ、無線モバイル装置はEAPピアとして動作するようにプログラムされている。無線モバイル装置はi)EAPサーバから少なくとも1つの能力ビットセットによってEAPリクエスト/EXTメッセージを受信し、ii)少なくとも1つの能力ビットセットによってEAPレスポンス/EXTメッセージを送信するようにプログラムされる。
幾つかの他の実施形態によると、無線ネットワーク用のEAPサーバがEAPピアによってEAP認証メソッドを終了する。EAPサーバはa)少なくとも1つの能力ビットセットによってEAPリクエスト/EXTメッセージをEAPピアに送信し、b)少なくとも1つの能力ビットセットによってEAPレスポンス/EXTメッセージをEAPピアから受信する。
EAP(拡張可能認証プロトコル)は“EAPメソッド”[RFC3748]として知られている多くの認証アルゴリズムをサポートする認証プロトコルである。EAPでは、EAPピア及びEAPサーバはEAPキーイングマテリアル、即ち、MSK(マスタセッションキー)及びEMSK(拡張マスタセッションキー)を生成する。MSKの生成、搬送及び使用の詳しいフレームワークは[I-D.ietf-eap-keying]に記載されている。
好適実施形態では、EAP−EXTは能力交換を提供する。この点について、メッセージ内のビットは能力の表示に使用できる。幾つかの実施形態では、1ビット(R−ビット)は再認証能力に使用される。幾つかの実施形態では、1ビット(C−ビット)はチャネル結合能力を示すために使用される。
エラーは複数の理由、例えば、内部EAPメソッド認証の失敗又は異常、未知、紛失EAP−EXT TLVにより生じるかもしれない。エラーはピア又はサーバのいずれかによって検出できる。エラーを起こしたEAP−EXTメッセージは誤りメッセージと見なされる。E−ビットセットを持つEAP−EXTメッセージはエラー表示のために使用される。これらのメッセージはエラー表示と見なされる。エラー表示はAUTH TLVを含める必要があり、他のTLVsを含めるべきでない。
EAP−EXTは2種類のキー、即ち、1)EAP−EXT−KEY及び2)EAP−REAUTH−KEYを定義する。
KDFでは、EAP−EXT−KEYは上記に参照することによって援用される文献[I-D.salowey-eap-emsk-deriv]に特定されているデフォルトPRFを用いる。
EAP−REAUTH−KEYは再認証機構に使用されるEAPメソッドによって要求される事前共有キーとして使用される。EAP−REAUTH−KEYの長さは再認証機構に依存する。EAP−REAUTH−KEYは上記で援用される文献[I-D.salowey-eap-emsk-deriv]に次のように定義されるUSRK導出アルゴリズムを用いてEAP−EXTから転送されるEMSKから得られる。
5. メッセージフォーマット
EAP−EXTは(IANAによって割り当てられるべき)EAP Type Xを用いる。[RFC3748]に定義された共通EAPフィールド(例えば、コード、識別子、長さ及び種類)を含むメッセージフォーマットは図3(A)に示される。
このビットはこれが送信者からの最後のEAP−EXTメッセージであることを示すように設定する必要がある。そうでなければ、このビットは設定する必要がない。
この8ビットフィールドはEAP−EXTメソッドのバージョンを示す。この明細書はバージョン1を定義している。
6ビットフィールドは将来の拡張のために予約される。このフィールドは送信者によってゼロに設定する必要があり、受信者はこのフィールドを無視する必要がある。
能力フィールドが処理するこのフィールドは拡張EAP能力を含む。能力は図3(B)に示されるフォーマットを処理する。
このビットは送信者がMSKのための[I-D.ohba-eap-channel-binding]に定義されるチャネル結合機構をサポートすることを示すために設定される。このビットはリクエスト及びレスポンスの両方に対して設定され、EAP−EXTメソッドが首尾よく完了すると、ピア及びサーバはチャネル結合機構を可能にする必要がある。prf+用デフォルトハッシュアルゴリズム(default hash algorithm)はAUTH_HMAC_SHA1_160である。
このビットは送信者が再認証EAPメソッドをサポートすることを示すために設定される。このビットは最後のリクエスト/EXTメッセージに設定されると(即ち、Fビットを有するリクエスト/EXTが設定されると)、メッセージはサーバID TLV及びピアID TLVを含める必要があり、Reauth−Key−Lifetime AVPを含めることができる。このビットが最後のリクエスト/EXT及びレスポンス/EXTメッセージ交換に設定されると、ピア及びサーバはEAP−REAUTH−KEYを発生する必要がある。サーバID及びピアIDはサーバID及びピアID TLVsに含められ、EAP−REAUTH−KEYは再認証EAPメソッドに使用される。デフォルト再認証機構はこの明細書に基づく従来技術のそれらによって選択できる。
ゼロ、1以上のTLVs(Type-Length-Value's)。そのTLVフォーマットは図3(C)に示される。
このフィールドはこのTLVのタイプを示す。
このフィールドは種類及びTLVの長さフィールドを含めて、オクテットでこのTLVの長さを示す。
このフィールドはTLVタイプに特定されるデータを含む。
後続TLVsが定義される。
メソッドTLV(タイプ1)はタイプフィールドから開始するEAPメソッドペイロードを含む。
AUTH TLV(タイプ2)はEAP−EXTメッセージをサポートするために使用される完全性データを含む。EAP−EXT−KEYはAUTH TLVsを計算するために使用される。
ピアID TLV(タイプ3)は再認証に使用されるピアの識別を含む。
サーバID TLV(タイプ4)は再認証に使用されるサーバの識別を含む。
Reauth−Key−Lifetime TLV(タイプ5)はEAP−REAUTH−KEYの寿命を秒単位で含む。
内部EAPメソッドがEAPキーイングマテリアルを送る前に能力交換はサポートされない。故に、EAPキーイングマテリアルの作成後の追加サポートメッセージ交換は能力情報がピア及びサーバによって検出されないで攻撃者によって変更されるのを避けるために義務付けられる。
詳細説明の残りは幾つかの内容において上記オリジナル実施形態を越える幾つかの変形例を有する追加のEAP−EXT実施形態について述べる。上記から分かるように、これらの追加実施形態は上述した先の実施形態に多くの点で類似している。これらの実施形態では、拡張機能、例えば、HOKEY再認証(例えば[I-D.ietf-hokey-erx]参照)及びMSKチャネル結合[I-D.ietf-eap-keying]がEAP機能を拡張することによってサポートできる。上記で説明したように、EAP機能を拡張するために2つの方法がある。1つの方法は既存のもの、即ち、リクエスト、レスポンス、成功及び失敗に加えて拡張EAP機能を実現するため新EAPコードを定義することである。しかしながら、この方法は[RFC3748]に変更を要求し、Authenticator及び下位層プロトコルに変更を要求することもできる。他の方法は拡張機能を実現するための新たなEAPメソッドを定義することである。両方法について、これら延長機能は下位互換性であることが望まれるかもしれない。そのような場合、EAPピアとEAPサーバとの間で拡張機能に関する能力を取り決める機構が必要となるかもしれない。
EAP−EXTは能力交換を提供する。1ビット(Rビット)はHOKEY再認証能力を示すために使用される。1ビット(Cビット)はチャネル結合能力を示すために使用される。
上述したオリジナル実施形態でエラー取り扱いに関する検討がここに援用される。
幾つかの実施形態では、EAP−EXTは次のタイプのキーを定義する。
EAP−EXT から転送される64オクテットMSK及び64オクテットEMSKのセットはMSK_iから得られ、MSKは次の方法で[I-D.ietf-hokey-emsk-hierarchy]に定義されたKDFを用いて、最後に成功した内部EAPメソッドによって生成される。
b. EAP−EXT−AUTH−KEY:
EAP−EXT−AUTH−KEYはEAP−EXTメッセージを安全にサポートするためにAUTH TLVsを算出するために用いられる。EAP−EXT−AUTH−KEYはEAP−EXT内だけで使用され、決して転送されない。EAP−EXT−AUTH−KEYは次のように[RFC4306]で定義されたprf+を用いて、最後に成功した内部EAPメソッド(MSK_i)によって生成されるMSKから求められる。
prf+用デフォルトハッシュアルゴリズムはPRF_HMAC_SHA2_256である。
EAP−EXT−ENC−KEYは暗号化TLVsの内容を暗号化するために使用される。それはMSK_iから得られ、MSKは次のように[I-D.ietf-hokey-emsk-hierarchy]で定義されるKDFを用いて、最後に成功した内部EAPメソッドによって生成される。
EAP−EXT−ENC−KEYを生成するために使用されるPRFはEAP−EXT交換中にEAPサーバによって選択される完全性アルゴリズムによって決定される。prf+用デフォルトハッシュアルゴリズムはPRF_HMAC_SHA2_256である。
HOKEY−REAUTH−KEYはHOKEY再認証機構[I-D.ietf-hokey-erx]に必要な事前共通キーとして使用される。HOKEY−REAUTH−KEYの長さはHOKEY再認証機構に依存する。HOKEY−REAUTH−KEYは次のように[I-D.ietf-hokey-emsk-hierarchy]で定義されるUSRK導出アルゴリズムを用いてEAP−EXTから転送されるEMSKから求められる。
メッセージフォーマット
EAP−EXTは(IANAによって割り当てられる)EAP Type XXを使用する。[RFC3748]で定義される共通EAPフィールド(即ち、コード、識別子、長さ及びタイプ)を含むメッセージフォーマットは図6(A)に示される。
このビットはこれが送信者からの最後のEAP−EXTメッセージであることを示すように設定する必要がある。
このビットはメッセージがエラー表示であるときに設定される。このビットが設定されるとき、Fビットも設定する必要がある。エラー表示の詳細な説明を以下に示す。
8ビットフィールドはEAP−EXTメソッドのバージョンを示す。この明細書はバージョン1を定義する。
この6ビットフィールドは将来の拡張のために予約される。このフィールドは送信者によってゼロに設定する必要があり、受信者はこのフィールドを無視する必要がある。
能力フィールドは拡張EAP能力を含む。能力フィールドは(図3(B)と同様であり)幾つかの実施形態において図6(B)に示されるようなフォーマットを持っている。ここでは、各ビットは特定の能力に対応する。各ビットの意味は次の通りである。
このビットは送信者がHOKEY再認証[I-D.ietf-hokey-erx]をサポートすることを示すように設定される。このビットは最後のリクエスト/EXTメッセージに設定される(即ち、Fビットを有するリクエスト/EXTが設定される)と、メッセージはサーバID TLV及びピアID TLVを含める必要があり、Reauth-Key-Lifetime AVPを含めることができる。このビットは最後のリクエスト/EXT及びレスポンス/EXT交換に設定されると、ピア及びサーバはHOKEY−REAUTH−KEYを生成する必要がある。サーバID及びピアIDはサーバID及びピアID TLVsに含まれ、HOKEY−REAUTH−KEYはHOKEY再認証に使用される。
このビットは送信者がMSK用チャネル結合機構をサポートしていることを示すように設定される。このビットはリクエスト/EXTメッセージに設定されると、1つのチャネル結合機構(Channel-Binding-Mechanism)TLVもサーバによってサポートされる1つ以上のチャネル結合機構を示すように含める必要がある。ピアがサーバによってサポートされる1つ以上のチャネル結合機構の1つをサポートし、可能にしたければ、それはこのビットセットを持つレスポンス/EXTメッセージ及び選択チャネル結合機構を含む1つのチャネル結合機構TLVを送信する。このビットが1つのチャネル結合機構の成功した交渉によって最後のリクエスト/EXT及びレスポンス/EXT交換に設定され、EAP−EXTメソッドが首尾よく完了すれば、ピア及びサーバは取り決めチャネル結合機構を可能にする必要がある。
ゼロ、1以上のTLVs(Type-Length-Value's)。そのTLVフォーマットは図3(C)に示される実施形態と同様である図6(C)に示されるようである。
このフィールドはこのTLVのタイプを示す。
このフィールドはTLVのタイプ及び長さフィールドを含めてこのTLVの長さをオクテットで示す。
このフィールドはTLVタイプに特定するデータを含む。
これらの実施形態では、次のTLVsが定義される。
メソッドTLV(タイプ1)はタイプフィールドから開始するEAPメソッドペイロードを含む。
AUTH TLV(タイプ2)はEAP−EXTメッセージをサポートするために使用される完全性データを含む。EAP−EXT−AUTH−KEYはAUTH TLVsを計算するために使用される。TLV値フィールドはこのフィールドを含む全体のEAPメッセージにわたり計算される。完全性データを計算する前に、このフィールドは全てゼロに初期化する必要がある。このフィールドの長さは使用時に完全性アルゴリズムに依存する。完全性チェックが失敗すると、メッセージは静かに破棄する必要がある。デフォルト完全性アルゴリズムはHMAC−SHA−256[sha256]である。
ピアID TLV(タイプ3)はHOKEY再認証に使用されるピアの識別を含む。
サーバID TLV(タイプ4)はHOKEY再認証に使用されるサーバの識別を含む。
Reauth−Key−Lifetime TLV(タイプ5)は秒単位でHOKEY−REAUTH−KEYの寿命を含む。
PRF TLV(タイプ6)は[I-D.ietf-hokey-emsk-hierarchy]で定義される1以上の1−オクテット数を含む。このTLVがリクエストに運び込まれると、それはサーバによってサポートされる1以上のPRF数を示す。
チャネル結合機構TLV(タイプ7)1以上の1−オクテットチャネル結合機構数を含む。このTLVがリクエスト/EXTメッセージに運び込まれると、それはサーバによってサポートされる1以上のチャネル結合機構数を示す。このTLVがリクエスト/EXTメッセージに運び込まれると、対応するレスポンス/EXTメッセージはこのTLVを含めることができる。レスポンス/EXTメッセージのチャネル結合機構TLVはリクエスト/EXTメッセージのチャネル結合機構数の内の、ピアによってサポートされ、選択される1つのチャネル結合機構数を正確に含める必要がある。チャネル結合機構は上述したチャネル結合機構TLV交換を用いて首尾よく取り決められれば、取り決めチャネル結合機構が可能となる。
チャネル結合データTLV(タイプ8)は[arkko-eap-service-identity-auth]に使用されるオクテットストリングデータを含む。
暗号化アルゴリズムTLVは暗号化TLVsを暗号化するために使用される暗号化アルゴリズムの取り決めを可能にする。このTLVはリクエスト/EXTに運び込まれると、それはEAPサーバによってサポートされる暗号化アルゴリズムを示す。このTLVがリクエスト/EXTメッセージに運び込まれると、対応するレスポンス/EXTメッセージはこのTLVを含むことができる。レスポンス/EXTメッセージの暗号化アルゴリズムTLVはリクエスト/EXTメッセージに含まれる暗号化アルゴリズムTLVのオプション内の、ピアによってサポートされ、選択された1つの暗号化アルゴリズム数を正確に含める必要がある。EAPサーバはデフォルト暗号化アルゴリズム(AES−CBC−128)を使用するためEAPピアを強制できることに留意する。そのような場合、EAPピアはリクエスト/EXTメッセージに暗号化アルゴリズムTLVを含めなく、同様に、EAPピアはレスポンス/EXTメッセージにもそれを含めない。参考のため、図7(A)は暗号化アルゴリズムTLVを示している。
1 AES−CBC−128(デフォルト)
2 AES−CBC−256
3 3DES
4 IDEA
アルゴリズムは暗号化アルゴリズムTLVを用いて首尾よく交渉できなければ、デフォルト暗号化アルゴリズムが代わりに使用される。
EAP−EXTメソッドは簡単にするために及び競り下げ攻撃(bidding-down attacks)を避けるために完全性アルゴリズム取り決めを可能にしない。しかしながら、EAPサーバは異なる完全性アルゴリズムから選択でき、完全性アルゴリズムTLVを介してこの選択についてEAPピアに知らせる。EAPサーバがこのTLVを含んでいなければ、デフォルト値がHMAC−SHA−256となる。参考のため、図7(B)は完全性アルゴリズムTLVを示している。
1 HMAC−SHA−1
2 HMAC−SHA−224
3 HMAC−SHA−256(デフォルト)
4 HMAC−SHA−384
5 HMAC−SHA−512
k. 暗号化TLV
暗号化TLV(タイプ10)はEAP−EXT−ENC−KEYによって暗号化された1以上の標準文字を含む。このフィールドの長さは使用時に暗号化アルゴリズムに依存する。図7(C)を参照する。
(10) 暗号化TLV
長さ:
4+IV長+暗号化データ長.
IV:
IVは最初が最上位ビットであるランダムビットのオクテットストリングである。IVの長さは使用時の暗号化アルゴリズムに依存する。例えば、AES−CBC−128について、IVは16バイト(128ビット)である。
可変長の暗号化TLV。暗号化データはEAP−EXT−ENC−KEによって暗号化された1以上の標準文字TLVsから成る。暗号化アルゴリズム及び標準文字データの長さに依存して、暫定データが暗号化動作の以前に標準文字データに加算できる。
内部EAPメソッドがEAPキーイングマテリアルを転送する前の能力交換はサポートされない。故に、EAPキーイングマテリアルの生成後の追加サポートメッセージ交換はピア及びサーバによって検出されないで能力情報が攻撃者によって変更されることを回避するために義務付けられる。
本明細書では、本発明の例示的実施形態を説明しているが、本発明は、本明細書で説明した様々な好ましい実施形態だけに限定されず、本開示に基づけば当分野の技術者によって理解されるはずの、等価の要素、改変、省略、(様々な実施形態にまたがる態様などの)組合せ、適合及び/又は変更を有するありとあらゆる実施形態を含むものである。特許請求の範囲における限定は、特許請求の範囲で用いられる言葉に基づいて幅広く解釈されるべきであり、本明細書において、又は本出願の出願中において記述される例だけに限定されず、これらの例は、非排他的であると解釈されるべきである。例えば、本開示において、「好ましくは」という用語は、非排他的であり、「それだけに限らないが、好ましくは」を意味する。本開示において、かつ本出願の出願中において、手段プラス機能又はステッププラス機能限定は、特定のクレーム限定について、この限定において、a)「〜の手段」又は「〜のステップ」が明記されている、b)対応する機能が明記されている、及びc)構造、材料又はこの構造をサポートする動作が記載されていないという条件すべてが存在する場合に限り用いられる。本開示において、かつ本出願の出願中において、「本発明」又は「発明」という用語は、本開示内の1つ又は複数の態様を指すものとして使用され得る。本発明又は発明という言葉は、誤って重要度の識別と解釈されるべきではなく、誤ってすべての態様又は実施形態にわたって適用されるものと解釈されるべきではなく(すなわち、本発明はいくつかの態様及び実施形態を有すると理解されるべきであり)、また、誤って本出願又は特許請求の範囲を限定するものと解釈されるべきではない。本開示において、かつ本出願の出願中において、「実施形態」という用語は、任意の態様、特徴、プロセス又はステップ、これらの任意の組合せ、及び/又はこれらの任意の部分などを記述するのに使用され得る。いくつかの例では、様々な実施形態が重なり合う特徴を含み得る。本開示では、「例えば」を意味する「e.g.」という省略用語が用いられ得る。
Claims (20)
- EAP拡張機能性に関する能力を交渉するEAPピア及びEAPサーバのための方法であって、
前記拡張機能性に関する前記サーバと前記クライアントとの能力交換を提供するEAP拡張メソッド(EAP−EXT)を採用することを含み、
前記拡張機能性は認証機構を持たなく、そして少なくとも1つの内部EAPメソッドは前記EAPピアを認証するための前記EAP拡張メソッド内で実行され、
前記少なくとも1つの内部EAPメソッドによって生成されたEAPキーイングマテリアルに基づいて、前記EAP拡張メソッドに対してEAPキーイングマテリアルを得ることによって前記少なくとも1つの内部EAPメソッドと前記EAP拡張メソッドとの間に暗号化結合が作られる、方法。 - 前記内部EAPメソッドにキーイングマテリアルを生成させること、前記外部EAP拡張メソッドのメッセージをAUTH TLVでサポートすることを更に含む、請求項1の方法。
- 外部EAP拡張メッセージのAUTH TLVsは最近成功した内部メソッドのEAPキーイングマテリアルから生成されるEAP拡張キー(EAP−EXT−KEY)を用いて計算される、請求項2の方法。
- 前記EAP拡張キーはEAP−EXTメッセージをサポートするためのAUTH TLVsを計算するために使用される、請求項3の方法。
- 前記EAP拡張キーは使用特定ルートキー導出アルゴリズムを使用して内部EAPメソッドによって生成されるEMSKから得られる、請求項4の方法。
- 前記EAP拡張メソッドは再認証に使用されるEAPメソッドによって事前共有キーとして使用されるEAP再認証キーを定義する、請求項1の方法。
- 前記EAP再認証キーは使用特定ルートキー導出アルゴリズムを用いて前記EAP拡張メソッドから転送されたEMSKから得られる、請求項6の方法。
- 前記EAP拡張メソッドは、最終メッセージであることを示すために設定できるビット、エラーを示すために設定できる他のビット、複数のビットのバージョンフィールド、将来の拡張のための複数のビットの予約フィールド及び各々が特定の能力に対応する複数のビットの能力フィールドとともに共通EAPフィールドを含むメッセージフォーマットを用いる、請求項1の方法。
- 前記サーバと前記拡張機能に関する前記クライアントとの前記能力交換は能力ビットの設定によって得られることを更に含む、請求項1の方法。
- 前記能力ビットは送信者がチャネル結合機構をサポートすることを示す、請求項9の方法。
- 前記能力ビットは送信者が再認証をサポートすることを示す、請求項9の方法。
- 能力ビットはいつ送信者が再認証をサポートしていることを示すかが最終リクエスト/EXTメッセージに設定され、このメッセージはサーバ−ID TLV及びピア−ID TLVを含む、請求項11の方法。
- 能力ビットはいつ送信者が再認証をサポートしていることを示すかが最終リクエスト/EXT及びレスポンス/EXTメッセージ交換に設定され、前記EAPピア及び前記EAPサーバはEAP再認証キーを発生し、前記サーバID及び前記ピアID TLVsに含まれる前記サーバID及び前記ピアID並びに前記EAP再認証キーは再認証EAPメソッドに使用される、請求項11の方法。
- 前記EAP拡張メソッド内で順次実行される複数の内部EAPメソッドを採用すること及び順次の内部EAPメソッドがキーイングマテリアルを生成する毎に新EAP拡張キーを生成することを更に含む、請求項3の方法。
- a)前記EAPサーバは少なくとも1つの能力ビットを設定したEAP−リクエスト/EXTメッセージを送信し、b)前記EAPピアは前記EAP−リクエスト/EXTメッセージを受信し、少なくとも1つの能力ビットを設定したEAP−レスポンス/EXTメッセージを送ることを含む、請求項1の方法。
- c)前記サーバはEAP−レスポンス/EXTメッセージを受信し、Fビット及び少なくとも1つの能力ビットを設定し、かつ、ピア−ID TLV,サーバ−ID TLV,及びAUTH TLVを持つEAP−リクエスト/EXTメッセージを送り、
d)前記EAPピアは上記c)の前記EAPリクエスト/Extメッセージを受信し、Fビットセット、少なくとも1つの能力ビットを設定し、かつAUTH TLVを持つEAP−レスポンス/EXTメッセージを送り、
e)前記EAPサーバはd)の前記EAP−レスポンス/EXTメッセージを受信し、EAPサクセスメッセージを送信することを含む、請求項5の方法。 - 前記EAPピア又は前記EAPサーバのいずれかに前記ピア又は前記サーバがエラーを検出する場合にエラーを示すビットを設定し、かつAUTH TLVを持つEAP拡張メッセージを送信させることを更に含む、請求項1の方法。
- 能力情報が攻撃者によって攻撃されるのを回避するためにキーイングマテリアルの作成後に完全性をサポートしたメッセージ交換を行うことを更に含む、請求項3の方法。
- 前記EAP拡張メソッドの中の複数のEAPメソッドを順序付けることを更に含む、請求項18の方法。
- シーケンスの中の先に成功した内部メソッドによって生成されるキーを用いて外部EAP拡張メソッドと共に各内部EAPメソッドに対して完全性をサポートすることによって暗号化結合を作成し、最後に成功した内部EAPメソッドによって生成されるEAPキーイングマテリアルを転送することを更に含む、請求項19の方法。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US86911306P | 2006-12-08 | 2006-12-08 | |
US60/869,113 | 2006-12-08 | ||
US11/867,659 US8583923B2 (en) | 2006-12-08 | 2007-10-04 | EAP method for EAP extension (EAP-EXT) |
US11/867,659 | 2007-10-04 | ||
PCT/JP2007/073901 WO2008072646A2 (en) | 2006-12-08 | 2007-12-05 | Eap method for eap extension (eap-ext) |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012095152A Division JP5430709B2 (ja) | 2006-12-08 | 2012-04-18 | Eap拡張(eap−ext)のためのeapメソッド |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010502040A JP2010502040A (ja) | 2010-01-21 |
JP5068810B2 true JP5068810B2 (ja) | 2012-11-07 |
Family
ID=39198279
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009509206A Active JP5068810B2 (ja) | 2006-12-08 | 2007-12-05 | Eap拡張(eap−ext)のためのeapメソッド |
JP2012095152A Active JP5430709B2 (ja) | 2006-12-08 | 2012-04-18 | Eap拡張(eap−ext)のためのeapメソッド |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012095152A Active JP5430709B2 (ja) | 2006-12-08 | 2012-04-18 | Eap拡張(eap−ext)のためのeapメソッド |
Country Status (7)
Country | Link |
---|---|
US (1) | US8583923B2 (ja) |
EP (2) | EP2156641B1 (ja) |
JP (2) | JP5068810B2 (ja) |
KR (1) | KR101007955B1 (ja) |
CN (1) | CN101379801B (ja) |
CA (1) | CA2671833C (ja) |
WO (1) | WO2008072646A2 (ja) |
Families Citing this family (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102701630B (zh) * | 2004-06-21 | 2014-10-15 | Sika技术股份公司 | 一种含水组合物作为水泥研磨剂的用途和制造水泥的方法 |
US8539559B2 (en) * | 2006-11-27 | 2013-09-17 | Futurewei Technologies, Inc. | System for using an authorization token to separate authentication and authorization services |
US8099597B2 (en) * | 2007-01-09 | 2012-01-17 | Futurewei Technologies, Inc. | Service authorization for distributed authentication and authorization servers |
CN101237443B (zh) * | 2007-02-01 | 2012-08-22 | 华为技术有限公司 | 管理协议中对用户进行认证的方法和系统 |
US8285990B2 (en) * | 2007-05-14 | 2012-10-09 | Future Wei Technologies, Inc. | Method and system for authentication confirmation using extensible authentication protocol |
KR101490243B1 (ko) * | 2007-07-10 | 2015-02-11 | 엘지전자 주식회사 | 이종망간 핸드오버시 빠른 보안연계 설정방법 |
KR101061899B1 (ko) * | 2007-09-12 | 2011-09-02 | 삼성전자주식회사 | 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치 |
US9668139B2 (en) | 2008-09-05 | 2017-05-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure negotiation of authentication capabilities |
EP2200358A3 (en) * | 2008-12-04 | 2010-11-03 | Huawei Device Co., Ltd. | Method, device and system for negotiating authentication mode |
KR101025083B1 (ko) * | 2008-12-22 | 2011-03-25 | 주식회사 케이티 | 확장가능 인증 프로토콜에서의 인증함수 식별 방법 |
CA2760522C (en) * | 2009-05-03 | 2015-07-14 | Kabushiki Kaisha Toshiba | Media independent handover protocol security |
CA2696037A1 (en) | 2010-03-15 | 2011-09-15 | Research In Motion Limited | Advertisement and dynamic configuration of wlan prioritization states |
US8929346B2 (en) | 2010-05-14 | 2015-01-06 | Blackberry Limited | Advertisement and distribution of notifications in a wireless local area network (WLAN) |
US8681769B2 (en) | 2010-05-14 | 2014-03-25 | Blackberry Limited | Incorporation of a notification in a network name |
US8442024B2 (en) | 2010-05-14 | 2013-05-14 | Research In Motion Limited | Advertisement and distribution of notifications in a wireless local area network (WLAN) |
US8458279B2 (en) * | 2010-05-14 | 2013-06-04 | Research In Motion Limited | Advertisement and distribution of notifications using extensible authentication protocol (EAP) methods |
US20120303310A1 (en) | 2011-05-26 | 2012-11-29 | First Data Corporation | Systems and Methods for Providing Test Keys to Mobile Devices |
JP5468588B2 (ja) * | 2011-09-15 | 2014-04-09 | 株式会社東芝 | 通信装置及びプログラム |
US8750180B2 (en) | 2011-09-16 | 2014-06-10 | Blackberry Limited | Discovering network information available via wireless networks |
US8984590B2 (en) * | 2011-11-08 | 2015-03-17 | Qualcomm Incorporated | Enabling access to key lifetimes for wireless link setup |
US8942221B2 (en) | 2011-11-10 | 2015-01-27 | Blackberry Limited | Caching network discovery responses in wireless networks |
US9204299B2 (en) | 2012-05-11 | 2015-12-01 | Blackberry Limited | Extended service set transitions in wireless networks |
US10812964B2 (en) | 2012-07-12 | 2020-10-20 | Blackberry Limited | Address assignment for initial authentication |
US9137621B2 (en) | 2012-07-13 | 2015-09-15 | Blackberry Limited | Wireless network service transaction protocol |
US9301127B2 (en) | 2013-02-06 | 2016-03-29 | Blackberry Limited | Persistent network negotiation for peer to peer devices |
CN109889509B (zh) | 2013-05-22 | 2021-06-01 | 康维达无线有限责任公司 | 用于机器对机器通信的网络辅助引导自举 |
KR101844438B1 (ko) | 2014-02-21 | 2018-04-02 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 폴라 코드 비율 매칭 방법 및 장치 |
WO2015177398A1 (en) * | 2014-05-20 | 2015-11-26 | Nokia Technologies Oy | Cellular network authentication control |
US20160134610A1 (en) * | 2014-11-11 | 2016-05-12 | Qualcomm Incorporated | Privacy during re-authentication of a wireless station with an authentication server |
JP6455766B2 (ja) | 2014-12-22 | 2019-01-23 | 華為技術有限公司Huawei Technologies Co.,Ltd. | 極性符号の符号化方法および符号化装置 |
BR112020008480A2 (pt) * | 2017-11-13 | 2020-10-20 | Telefonaktiebolaget Lm Ericsson (Publ) | métodos, equipamentos de usuário, nós de rede e redes principais 5g para autenticação segura em uma rede de comunicação, e, meio de armazenamento legível por computador |
US10834079B2 (en) * | 2018-11-28 | 2020-11-10 | International Business Machines Corporation | Negotiative conversation chat bot |
US10856170B1 (en) | 2019-06-12 | 2020-12-01 | Cisco Technology, Inc. | Reducing traffic in a low power and lossy network based on removing redundant certificate from authentication message destined for constrained wireless device via authenticated wireless device |
US20210297853A1 (en) * | 2020-03-17 | 2021-09-23 | Qualcomm Incorporated | Secure communication of broadcast information related to cell access |
WO2023208354A1 (en) * | 2022-04-28 | 2023-11-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication of user tags obtaining communication services via i/o user devices performing user terminal emulation as a cloud computing service |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
US20040010713A1 (en) * | 2002-07-12 | 2004-01-15 | Vollbrecht John R. | EAP telecommunication protocol extension |
US20050120213A1 (en) * | 2003-12-01 | 2005-06-02 | Cisco Technology, Inc. | System and method for provisioning and authenticating via a network |
CN1298194C (zh) * | 2004-03-22 | 2007-01-31 | 西安电子科技大学 | 基于漫游密钥交换认证协议的无线局域网安全接入方法 |
KR20050109685A (ko) * | 2004-05-17 | 2005-11-22 | 에스케이 텔레콤주식회사 | 휴대 인터넷 시스템에서 단말기 인증과 공존하는 확장된인증 프로토콜 기반의 사용자 인증 방법 및 시스템 |
KR100704675B1 (ko) * | 2005-03-09 | 2007-04-06 | 한국전자통신연구원 | 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법 |
US8239671B2 (en) * | 2006-04-20 | 2012-08-07 | Toshiba America Research, Inc. | Channel binding mechanism based on parameter binding in key derivation |
-
2007
- 2007-10-04 US US11/867,659 patent/US8583923B2/en active Active
- 2007-12-05 JP JP2009509206A patent/JP5068810B2/ja active Active
- 2007-12-05 CN CN200780004901.6A patent/CN101379801B/zh active Active
- 2007-12-05 EP EP07850452A patent/EP2156641B1/en not_active Not-in-force
- 2007-12-05 CA CA2671833A patent/CA2671833C/en not_active Expired - Fee Related
- 2007-12-05 WO PCT/JP2007/073901 patent/WO2008072646A2/en active Application Filing
- 2007-12-05 EP EP12171641.9A patent/EP2557829B1/en not_active Not-in-force
- 2007-12-05 KR KR1020087019584A patent/KR101007955B1/ko active IP Right Grant
-
2012
- 2012-04-18 JP JP2012095152A patent/JP5430709B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
EP2156641A2 (en) | 2010-02-24 |
JP5430709B2 (ja) | 2014-03-05 |
CA2671833A1 (en) | 2008-06-19 |
EP2557829A2 (en) | 2013-02-13 |
JP2012199929A (ja) | 2012-10-18 |
US20080141031A1 (en) | 2008-06-12 |
EP2156641B1 (en) | 2013-04-03 |
WO2008072646A3 (en) | 2008-08-07 |
CA2671833C (en) | 2014-05-27 |
KR20080087883A (ko) | 2008-10-01 |
WO2008072646A2 (en) | 2008-06-19 |
US8583923B2 (en) | 2013-11-12 |
KR101007955B1 (ko) | 2011-01-14 |
CN101379801A (zh) | 2009-03-04 |
CN101379801B (zh) | 2015-12-09 |
EP2557829B1 (en) | 2015-08-12 |
EP2557829A3 (en) | 2013-05-15 |
JP2010502040A (ja) | 2010-01-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5430709B2 (ja) | Eap拡張(eap−ext)のためのeapメソッド | |
JP5043117B2 (ja) | ケルベロス化ハンドオーバキーイング | |
US8707416B2 (en) | Bootstrapping kerberos from EAP (BKE) | |
CA2679378C (en) | Kerberized handover keying optimized for reactive operation | |
JP5323141B2 (ja) | 複数のpanaセッション | |
EP2106591B1 (en) | Solving pana bootstrapping timing problem | |
WO2008091517A1 (en) | Kerberized handover keying |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111018 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120117 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120124 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120217 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120224 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120319 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120327 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120418 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20120622 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120717 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120815 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150824 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5068810 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |