JP5524336B2 - 事前共有鍵に基づくネットワークセキュリティアクセス制御方法及びそのシステム - Google Patents
事前共有鍵に基づくネットワークセキュリティアクセス制御方法及びそのシステム Download PDFInfo
- Publication number
- JP5524336B2 JP5524336B2 JP2012525847A JP2012525847A JP5524336B2 JP 5524336 B2 JP5524336 B2 JP 5524336B2 JP 2012525847 A JP2012525847 A JP 2012525847A JP 2012525847 A JP2012525847 A JP 2012525847A JP 5524336 B2 JP5524336 B2 JP 5524336B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- key
- unicast
- message
- agreement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 146
- 230000008569 process Effects 0.000 claims description 129
- 230000004044 response Effects 0.000 claims description 58
- 238000012545 processing Methods 0.000 claims description 26
- 238000012790 confirmation Methods 0.000 claims description 17
- 102100037904 CD9 antigen Human genes 0.000 claims description 11
- 101000738354 Homo sapiens CD9 antigen Proteins 0.000 claims description 11
- 101000893549 Homo sapiens Growth/differentiation factor 15 Proteins 0.000 claims description 11
- 101000692878 Homo sapiens Regulator of MON1-CCZ1 complex Proteins 0.000 claims description 11
- 102100026436 Regulator of MON1-CCZ1 complex Human genes 0.000 claims description 11
- 102000008482 12E7 Antigen Human genes 0.000 claims description 10
- 108010020567 12E7 Antigen Proteins 0.000 claims description 10
- 102100032912 CD44 antigen Human genes 0.000 claims description 8
- 101000868273 Homo sapiens CD44 antigen Proteins 0.000 claims description 8
- 101001051490 Homo sapiens Neural cell adhesion molecule L1 Proteins 0.000 claims description 8
- 102100024964 Neural cell adhesion molecule L1 Human genes 0.000 claims description 8
- 238000012795 verification Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 5
- 230000008859 change Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 6
- 230000004913 activation Effects 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Description
1)リクエスタREQが認証アクセスコントローラAACとセキュリティポリシー合意を行うステップと、
2)リクエスタREQが認証アクセスコントローラAACと身分認証及びユニキャスト鍵合意を行うステップと、
3)リクエスタREQが認証アクセスコントローラAACとマルチキャスト鍵通告を行うステップとを含む。
1.1)セキュリティポリシー合意要求を行い、即ち、リクエスタREQ(REQuester)が認証アクセスコントローラAAC(Authentication Access Controller)にアクセスすると、認証アクセスコントローラAACがリクエスタREQにセキュリティポリシー合意要求メッセージを送信し、当該セキュリティポリシー合意要求メッセージの主な内容はTIEAACを含み、
TIEAACフィールドは、認証アクセスコントローラAACがサポートする3エレメントピア認証TePA(Tri−element Peer Authentication)の情報要素を示し、認証アクセスコントローラAACがサポートする認証、鍵管理スイート及び暗号スイートを含み、
1.2)セキュリティポリシー合意応答を行い、即ち、リクエスタREQはセキュリティポリシー合意要求メッセージを受信した後に、以下の処理を行い、即ち、
リクエスタREQは、セキュリティポリシー合意要求メッセージにおけるTIEAACフィールドにより与えられた認証アクセスコントローラAACがサポートする認証、鍵管理スイート及び暗号スイートに基づいて、ローカルポリシーを参照して両方共有の認証、鍵管理スイート及び暗号スイートを選択して、セキュリティポリシー合意応答メッセージを構成して認証アクセスコントローラAACに送信し、リクエスタREQが、セキュリティポリシー合意要求メッセージにおける、認証アクセスコントローラAACがサポートする認証、鍵管理スイート及び暗号スイートの何れもサポートしない場合に、ローカルポリシーに基づいて当該メッセージを廃棄することができ、当該セキュリティポリシー合意応答パッケトの主な内容は、TIEREQを含み、
TIEREQフィールドは、リクエスタREQにより選択されたTePA情報要素を示し、リクエスタREQにより選択された認証、鍵管理スイート及び暗号スイートを含み、
1.3)認証アクセスコントローラAACはセキュリティポリシー合意応答パッケトを受信した後に、以下の処理を行い、即ち、
1.3.1)認証アクセスコントローラAACは、リクエスタREQにより選択された認証、鍵管理スイート及び暗号スイートをサポートするか否かを判断し、サポートしない場合に、当該メッセージを廃棄し、サポートする場合に1.3.2)を実行し、
1.3.2)リクエスタREQにより選択された認証、鍵管理スイートに基づいて、相応の身分認証過程を開始することを含む。
上記ステップ1.3)において、リクエスタREQが選択した認証および鍵管理スイートが事前共有鍵に基づく認証及び鍵管理スイートである場合に、その身分認証過程は、事前共有鍵に基づく認証プロトコルSAAP(Shared−key−based lAn Authentication Protocol)を採用し、当該認証プロトコルSAAPはリクエスタREQと認証アクセスコントローラAACとの間の双方向身分認証を完成し、且つ両者の間のユニキャストセッション鍵の合意を完成する。
2.1)身分認証及びユニキャスト鍵合意のアクティブ化を行い、即ち、リクエスタREQと認証アクセスコントローラAACとがセキュリティポリシー合意過程において、事前共有鍵に基づく認証と鍵管理スイートを選択して採用することを合意した場合に、認証アクセスコントローラAACがリクエスタREQに身分認証及びユニキャスト鍵合意アクティブメッセージを送信し、リクエスタREQを身分認証及びユニキャスト鍵合意過程を開始するようにアクティブし、身分認証及びユニキャスト鍵合意アクティブメッセージの主な内容は、NAAcを含み、
NAACフィールドは、身分認証及びユニキャスト鍵合意標識を示し、初回目の身分認証及びユニキャスト鍵合意過程であれば、当該フィールドは、認証アクセスコントローラAACにより生成された乱数であり、更新の身分認証及びユニキャスト鍵合意過程であれば、当該フィールドの値は前回の身分認証及びユニキャスト鍵合意過程において算出された身分認証及びユニキャスト鍵合意標識の値であり、
2.2)身分認証及びユニキャスト鍵合意要求を行い、即ち、リクエスタREQは身分認証及びユニキャスト鍵合意アクティブメッセージを受信した後に、以下の処理を行い、即ち、
2.2.1)今回の身分認証及びユニキャスト鍵合意過程が更新過程であれば、リクエスタREQは、身分認証及びユニキャスト鍵合意アクティブメッセージにおける身分認証及びユニキャスト鍵合意標識NAACフィールドの値と、前回の身分認証及びユニキャスト鍵合意過程において算出された身分認証及びユニキャスト鍵合意標識の値とが一致するか否かをチェックし、一致しない場合に、当該メッセージを廃棄し、一致する場合に、2.2.2)を実行し、今回の認証過程が初回目の身分認証及びユニキャスト鍵合意過程であれば、直接に2.2.2)を実行し、
2.2.2)リクエスタREQはリクエスタREQチャレンジNREQを生成し、事前共有鍵、身分認証及びユニキャスト鍵合意標識NAAC、リクエスタREQチャレンジNREQを利用してユニキャストセッション鍵及び次回の身分認証及びユニキャスト鍵合意過程における、身分認証及びユニキャスト鍵合意標識NAACを算出して保存し、なお、ユニキャストセッション鍵は、プロトコルデータ鍵PDK(Protocol Data Key)とユニキャストデータ鍵UDK(Unicast Data Key)との二つの部分を含み、プロトコルデータ鍵PDKは、リクエスタREQと認証アクセスコントローラAACとの間のプロトコルデータにおける鍵データの秘密性及びプロトコルデータの完備性を保護するために用いられ、ユニキャストデータ鍵UDKは、リクエスタREQと認証アクセスコントローラAACとの間のユーザデータの秘密性及び完備性を保護するために用いられ、
2.2.3)リクエスタREQは、プロトコルデータ鍵PDKを利用してメッセージ認証コードMIC1をローカルに算出し、身分認証及びユニキャスト鍵合意要求メッセージを構成して認証アクセスコントローラAACに送信し、
リクエスタREQが身分認証及びユニキャスト鍵合意の更新過程を起動する必要があれば、直接に上記の2.2.2)、2.2.3)を実行しても良く、身分認証及びユニキャスト鍵合意標識NAACフィールドの値は、前回の身分認証及びユニキャスト鍵合意過程において算出された身分認証及びユニキャスト鍵合意標識の値により決められ、身分認証及びユニキャスト鍵合意要求メッセージを構成して認証アクセスコントローラAACに送信し、認証アクセスコントローラAACが身分認証及びユニキャスト鍵合意アクティブメッセージを先に送信することを待つ必要がなく、
身分認証及びユニキャスト鍵合意要求メッセージの主な内容は、NREQ、NAAC、TIEREQ、及びMIC1を含み、
NREQフィールドは、リクエスタREQのチャレンジを示し、リクエスタREQが生成した乱数であり、
NAACフィールドは、身分認証及びユニキャスト鍵合意標識を示し、初回目の身分認証及びユニキャスト鍵合意過程であれば、当該フィールドの値は、身分認証及びユニキャスト鍵合意アクティブメッセージにおけるNAACフィールドの値により直接に決められ、身分認証及びユニキャスト鍵合意の更新過程であれば、当該フィールドの値は、前回の身分認証及びユニキャスト鍵合意過程において算出された身分認証及びユニキャスト鍵合意標識の値であり、
TIEREQフィールドは、リクエスタREQにより選択された認証、鍵管理スイート及び暗号スイートを示し、その値は、セキュリティポリシー合意応答メッセージにおけるTIEREQフィールドの値と同じであり、
MIC1フィールドは、メッセージ認証コードを示し、リクエスタREQが、生成されたプロトコルデータ鍵PDKを利用して、身分認証及びユニキャスト鍵合意要求メッセージにおける、本フィールド以外のすべてのフィールドに対して算出して得られたハッシュ値であり、
2.3)身分認証及びユニキャスト鍵合意応答を行い、即ち、認証アクセスコントローラAACは、身分認証及びユニキャスト鍵合意要求メッセージを受信した後に、以下の処理を行い、即ち、
2.3.1)今回の身分認証及びユニキャスト鍵合意過程が更新過程であれば、メッセージにおけるNAACフィールドと、前回の身分認証及びユニキャスト鍵合意過程において算出された身分認証及びユニキャスト鍵合意標識の値とが一致するか否かをチェックし、一致しない場合に、当該メッセージを廃棄し、一致する場合に、2.3.2)を実行し、今回の鍵合意過程が初回目の身分認証及びユニキャスト鍵合意過程であれば、メッセージにおけるNAACフィールドの値と、身分認証及びユニキャスト鍵合意アクティブメッセージにおけるNAACフィールドの値とが一致するか否かをチェックし、一致しない場合に、当該メッセージを廃棄し、一致する場合に、2.3.2)を実行し、
2.3.2)TIEREQフィールドの値と、セキュリティポリシー合意過程において受信されたセキュリティポリシー合意応答メッセージにおけるTIEREQフィールドの値とが一致するか否かを検証し、一致しない場合に、当該メッセージを廃棄し、一致する場合に、2.3.3)を実行し、
2.3.3)事前共有鍵、身分認証及びユニキャスト鍵合意標識NAAC、リクエスタREQチャレンジNREQを利用して、ユニキャストセッション鍵と次回の身分認証及びユニキャスト鍵合意過程における、身分認証及びユニキャスト鍵合意標識NAACとを算出して保存し、ユニキャストセッション鍵は、プロトコルデータ鍵PDKと、ユニキャストデータ鍵UDKとを含み、
2.3.4)プロトコルデータ鍵PDKを利用して身分認証及びユニキャスト鍵合意要求メッセージにおけるMIC1フィールドの正確性を検証し、正確でない場合に、当該メッセージを廃棄し、正確である場合に、認証アクセスコントローラAACが、リクエスタREQに対する身分認証を完成し、リクエスタREQとのユニキャストセッション鍵を合意で取得し、2.3.5)を実行し、
2.3.5)プロトコルデータ鍵PDKを用いてメッセージ認証コードMIC2をローカルに算出し、身分認証及びユニキャスト鍵合意応答メッセージを構成してリクエスタREQに送信し、
身分認証及びユニキャスト鍵合意応答メッセージの主な内容は、NREQ、TIEAAC、MIC2を含み、
NREQフィールドは、リクエスタREQのチャレンジを示し、リクエスタREQが生成した乱数であり、その値は、身分認証及びユニキャスト鍵合意要求メッセージにおけるNREQフィールドの値と同じであり、
TIEAACフィールドは、認証アクセスコントローラAACがサポートする認証、鍵管理スイート及び暗号スイートを示し、その値は、セキュリティポリシー合意要求メッセージにおけるTIEAACフィールドの値と同じであり、
MIC2フィールドは、メッセージ認証コードを示し、認証アクセスコントローラAACが、生成されたプロトコルデータ鍵PDKを利用して身分認証及びユニキャスト鍵合意応答メッセージにおける、本フィールド以外のすべてのフィールド及び合意済みの次回の身分認証及びユニキャスト鍵合意過程における、身分認証及びユニキャスト鍵合意標識NAACに対して算出して得られたハッシュ値であり、
2.4)リクエスタREQは身分認証及びユニキャスト鍵合意応答メッセージを受信した後に、以下の処理を行い、即ち、
2.4.1)NREQフィールドと、その前に送信された身分認証及びユニキャスト鍵合意要求メッセージにおけるNREQフィールドとが同じであるか否かをチェックし、同じでない場合に、当該メッセージを廃棄し、同じである場合に、2.4.2)を実行し、
2.4.2)TIEAACフィールドの値と、セキュリティポリシー合意過程において受信された、セキュリティポリシー合意要求メッセージにおけるTIEAACフィールドの値とが一致するか否かを検証し、一致しない場合に、当該メッセージを廃棄し、一致する場合に、2.4.3)を実行し、
2.4.3)プロトコルデータ鍵PDKを利用して身分認証及びユニキャスト鍵合意応答メッセージにおけるMIC2フィールドの正確性を検証し、正確でない場合に、当該メッセージを廃棄し、正確である場合に、リクエスタREQが認証アクセスコントローラAACに対する身分認証を完成し、認証アクセスコントローラAACと一致するユニキャストセッション鍵を合意で取得し、2.4.4)を実行し、
2.4.4)プロトコルデータ鍵PDKを利用してメッセージ認証コードMIC3をローカルに算出し、身分認証及びユニキャスト鍵合意確認メッセージを構成して認証アクセスコントローラAACに送信し、当該身分認証及びユニキャスト鍵合意確認メッセージは選択可能なものであり、
身分認証及びユニキャスト鍵合意確認メッセージの主な内容は、NAAC、MIC3を含み、
NAACフィールドは、身分認証及びユニキャスト鍵合意標識を示し、その値は身分認証及びユニキャスト鍵合意要求メッセージにおけるNAACフィールドの値と同じであり、
MIC3フィールドは、メッセージ認証コードを示し、リクエスタREQが、生成されたプロトコルデータ鍵PDKを利用して身分認証及びユニキャスト鍵合意応答メッセージにおける、本フィールド以外のすべてのフィールド及び合意済みの次回の身分認証及びユニキャスト鍵合意過程における、身分認証及びユニキャスト鍵合意標識に対して算出して得られたハッシュ値であり、
2.5)認証アクセスコントローラAACは身分認証及びユニキャスト鍵合意確認メッセージを受信した後に、以下の処理を行い、即ち、
2.5.1)NAACフィールドの値と、受信された身分認証及びユニキャスト鍵合意要求メッセージにおけるNAACフィールドの値とが同じであるか否かをチェックし、同じでない場合に、当該メッセージを廃棄し、同じである場合に、2.5.2)を実行し、
2.5.2)プロトコルデータ鍵PDKを利用して、身分認証及びユニキャスト鍵合意確認メッセージにおけるMIC3フィールドの正確性を検証し、正確でない場合に、当該メッセージを廃棄し、正確である場合に、認証アクセスコントローラAACはリクエスタREQが既に一致しているユニキャストセッション鍵を取得したと確認することを含む。
3.1)マルチキャスト鍵通告を行い、即ち、マルチキャスト鍵通告メッセージの主な内容は、KN、EMDK、MIC4を含み、
KNフィールドは、鍵通告標識を示し、一つの整数に初期化され、鍵更新通告の度に当該フィールドの値に1プラスし、通告の鍵が変わらない場合に、当該フィールドの値がそのまま保持され、
EMDKフィールドは、鍵暗号化データを示し、認証アクセスコントローラAACが身分認証及びユニキャスト鍵合意過程において生成されたプロトコルデータ鍵PDKを利用してマルチキャストデータ鍵MDK(Multicast Data Key)を暗号化したデータであり、ただし、マルチキャストデータ鍵MDKは、認証アクセスコントローラAACにより生成された乱数であり、セキュリティアクセスの後のマルチキャストデータのセキュリティ通信を保護するために用いられ、
MIC4フィールドは、メッセージ認証コードを示し、認証アクセスコントローラAACが、身分認証及びユニキャスト鍵合意過程において生成されたプロトコルデータ鍵PDKを利用して、マルチキャスト鍵通告メッセージにおける本フィールド以外のすべてのフィールドに対して算出して得られたものであり、
3.2)マルチキャスト鍵応答を行い、即ち、リクエスタREQはマルチキャスト鍵通告メッセージを受信した後に、以下の処理を行い、即ち、
3.2.1)KNフィールドが単調増加するか否かをチェックし、否定の場合に、当該メッセージを廃棄し、肯定の場合に、3.2.2)を実行し、
3.2.2)身分認証及びユニキャスト鍵合意過程において生成されたプロトコルデータ鍵PDKを利用して、MIC4フィールドが正確であるか否かを検証し、正確でない場合に、当該メッセージを廃棄し、正確である場合に、3.2.3)を実行し、
3.2.3)身分認証及びユニキャスト鍵合意過程において生成されたプロトコルデータ鍵PDKを利用して、EMDKフィールドを復号化してマルチキャストデータ鍵MDKを取得し、
3.2.4)今回の鍵通告標識KNフィールドの値を保存するとともに、マルチキャスト鍵応答メッセージを生成して、認証アクセスコントローラAACに送信し、
マルチキャスト鍵応答メッセージの主な内容は、KN、MIC5を含み、
KNフィールドは、鍵通告標識を示し、その値は、マルチキャスト鍵通告メッセージにおけるKNフィールドの値と同じであり、
MIC5フィールドは、メッセージ認証コードを示し、リクエスタREQが、身分認証及びユニキャスト鍵合意過程において生成されたプロトコルデータ鍵PDKを利用して、マルチキャスト鍵応答メッセージにおける本フィールド以外のすべてのフィールドに対して算出して得られたものであり、
3.3)認証アクセスコントローラAACはマルチキャスト鍵応答メッセージを受信した後に、以下の処理を行い、即ち、
3.3.1)KNフィールドとその前に送信されたマルチキャスト鍵通告メッセージにおけるKNフィールドの値が一致するか否かを比較し、一致しない場合に、当該メッセージを廃棄し、一致する場合に、3.3.2)を実行し、
3.3.2)身分認証及びユニキャスト鍵合意過程において生成されたプロトコルデータ鍵PDKを利用して、MIC5フィールドの正確性を検証し、正確でない場合に、当該メッセージを廃棄し、正確である場合に、リクエスタREQに対するマルチキャスト鍵の通告過程を完成することを含む。
1.2)セキュリティポリシー合意応答:リクエスタREQはセキュリティポリシー合意要求メッセージを受取ると、以下の処理を行う。即ち、
リクエスタREQは、セキュリティポリシー合意要求メッセージにおけるTIEAACフィールドにより与えられた、認証アクセスコントローラAACがサポートする認証、鍵管理スイート及び暗号スイートに基づいて、ローカルポリシーを参照して両方共有の認証、鍵管理スイート及び暗号スイートを選択して、セキュリティポリシー合意応答メッセージを構成して認証アクセスコントローラAACに送信する。リクエスタREQが、セキュリティポリシー合意要求メッセージにおける、認証アクセスコントローラAACがサポートする認証、鍵管理スイート及び暗号スイートの何れもサポートしないと、ローカルポリシーにより当該メッセージを廃棄することができる。
AAC・・・アクセスコントローラ
Claims (6)
- 1)リクエスタREQが認証アクセスコントローラAACとセキュリティポリシー合意を行うステップと、
2)リクエスタREQが認証アクセスコントローラAACと身分認証及びユニキャスト鍵合意を行うステップと、
3)リクエスタREQが認証アクセスコントローラAACとマルチキャスト鍵通告を行うステップとを含み、
前記ステップ1)の具体的な実現形態は、
1.1)セキュリティポリシー合意要求を行い、即ち、リクエスタREQが認証アクセスコントローラAACにアクセスすると、認証アクセスコントローラAACがリクエスタREQにセキュリティポリシー合意要求メッセージを送信し、当該セキュリティポリシー合意要求メッセージの主な内容はTIEAACを含み、
TIEAACフィールドは、認証アクセスコントローラAACがサポートする3エレメントピア認証TePAの情報要素を示し、認証アクセスコントローラAACがサポートする認証、鍵管理スイート及び暗号スイートを含み、
1.2)セキュリティポリシー合意応答を行い、即ち、リクエスタREQはセキュリティポリシー合意要求メッセージを受信した後に、以下の処理を行い、即ち、
リクエスタREQは、セキュリティポリシー合意要求メッセージにおけるTIEAACフィールドにより与えられた認証アクセスコントローラAACがサポートする認証、鍵管理スイート及び暗号スイートに基づいて、ローカルポリシーを参照して両方共有の認証、鍵管理スイート及び暗号スイートを選択して、セキュリティポリシー合意応答メッセージを構成して認証アクセスコントローラAACに送信し、リクエスタREQが、セキュリティポリシー合意要求メッセージにおける、認証アクセスコントローラAACがサポートする認証、鍵管理スイート及び暗号スイートの何れもサポートしない場合に、ローカルポリシーに基づいて当該メッセージを廃棄することができ、当該セキュリティポリシー合意応答メッセージの主な内容は、TIEREQを含み、
TIEREQフィールドは、リクエスタREQにより選択されたTePA情報要素を示し、リクエスタREQにより選択された認証、鍵管理スイート及び暗号スイートを含み、
1.3)認証アクセスコントローラAACはセキュリティポリシー合意応答メッセージを受信した後に、以下の処理を行い、即ち、
1.3.1)認証アクセスコントローラAACは、リクエスタREQにより選択された認証、鍵管理スイート及び暗号スイートをサポートするか否かを判断し、サポートしない場合に、当該メッセージを廃棄し、サポートする場合に1.3.2)を実行し、
1.3.2)リクエスタREQにより選択された認証、鍵管理スイートに基づいて、相応の身分認証過程を開始することを含み、
上記ステップ1.3.2)において、リクエスタREQが選択した認証および鍵管理スイートが事前共有鍵に基づく認証及び鍵管理スイートである場合に、その身分認証過程は、事前共有鍵に基づく認証プロトコルSAAPを採用し、当該認証プロトコルSAAPはリクエスタREQと認証アクセスコントローラAACとの間の双方向身分認証を完成し、且つ両者の間のユニキャストセッション鍵の合意を完成する、
ことを特徴とする事前共有鍵に基づくネットワークセキュリティアクセス制御方法。 - 上記ステップ2)の具体的な実施形態は、
2.1)身分認証及びユニキャスト鍵合意のアクティブ化を行い、即ち、リクエスタREQと認証アクセスコントローラAACとがセキュリティポリシー合意過程において、事前共有鍵に基づく認証と鍵管理スイートを選択して採用することを合意した場合に、認証アクセスコントローラAACがリクエスタREQに身分認証及びユニキャスト鍵合意アクティブメッセージを送信し、リクエスタREQを身分認証及びユニキャスト鍵合意過程を開始するようにアクティブし、身分認証及びユニキャスト鍵合意アクティブメッセージの主な内容は、NAAcを含み、
NAACフィールドは、身分認証及びユニキャスト鍵合意標識を示し、初回目の身分認証及びユニキャスト鍵合意過程であれば、当該フィールドは、認証アクセスコントローラAACにより生成された乱数であり、更新の身分認証及びユニキャスト鍵合意過程であれば、当該フィールドの値は前回の身分認証及びユニキャスト鍵合意過程において算出された身分認証及びユニキャスト鍵合意標識の値であり、
2.2)身分認証及びユニキャスト鍵合意要求を行い、即ち、リクエスタREQは身分認証及びユニキャスト鍵合意アクティブメッセージを受信した後に、以下の処理を行い、即ち、
2.2.1)今回の身分認証及びユニキャスト鍵合意過程が更新過程であれば、リクエスタREQは、身分認証及びユニキャスト鍵合意アクティブメッセージにおける身分認証及びユニキャスト鍵合意標識NAACフィールドの値と、前回の身分認証及びユニキャスト鍵合意過程において算出された身分認証及びユニキャスト鍵合意標識の値とが一致するか否かをチェックし、一致しない場合に、当該メッセージを廃棄し、一致する場合に、2.2.2)を実行し、今回の認証過程が初回目の身分認証及びユニキャスト鍵合意過程であれば、直接に2.2.2)を実行し、
2.2.2)リクエスタREQはリクエスタREQチャレンジNREQを生成し、事前共有鍵、身分認証及びユニキャスト鍵合意標識NAAC、リクエスタREQチャレンジNREQを利用してユニキャストセッション鍵及び次回の身分認証及びユニキャスト鍵合意過程における、身分認証及びユニキャスト鍵合意標識NAACを算出して保存し、なお、ユニキャストセッション鍵は、プロトコルデータ鍵PDK(Protocol Data Key)とユニキャストデータ鍵UDK(Unicast Data Key)との二つの部分を含み、プロトコルデータ鍵PDKは、リクエスタREQと認証アクセスコントローラAACとの間のプロトコルデータにおける鍵データの秘密性及びプロトコルデータの完備性を保護するために用いられ、ユニキャストデータ鍵UDKは、リクエスタREQと認証アクセスコントローラAACとの間のユーザデータの秘密性及び完備性を保護するために用いられ、
2.2.3)リクエスタREQは、プロトコルデータ鍵PDKを利用してメッセージ認証コードMIC1をローカルに算出し、身分認証及びユニキャスト鍵合意要求メッセージを構成して認証アクセスコントローラAACに送信し、
リクエスタREQが身分認証及びユニキャスト鍵合意の更新過程を起動する必要があれば、直接に上記の2.2.2)、2.2.3)を実行しても良く、身分認証及びユニキャスト鍵合意標識NAACフィールドの値は、前回の身分認証及びユニキャスト鍵合意過程において算出された身分認証及びユニキャスト鍵合意標識の値により決められ、身分認証及びユニキャスト鍵合意要求メッセージを構成して認証アクセスコントローラAACに送信し、認証アクセスコントローラAACが身分認証及びユニキャスト鍵合意アクティブメッセージを先に送信することを待つ必要がなく、
身分認証及びユニキャスト鍵合意要求メッセージの主な内容は、NREQ、NAAC、TIEREQ、及びMIC1を含み、
NREQフィールドは、リクエスタREQのチャレンジを示し、リクエスタREQが生成した乱数であり、
NAACフィールドは、身分認証及びユニキャスト鍵合意標識を示し、初回目の身分認証及びユニキャスト鍵合意過程であれば、当該フィールドの値は、身分認証及びユニキャスト鍵合意アクティブメッセージにおけるNAACフィールドの値により直接に決められ、身分認証及びユニキャスト鍵合意の更新過程であれば、当該フィールドの値は、前回の身分認証及びユニキャスト鍵合意過程において算出された身分認証及びユニキャスト鍵合意標識の値であり、
TIEREQフィールドは、リクエスタREQにより選択された認証、鍵管理スイート及び暗号スイートを示し、その値は、セキュリティポリシー合意応答メッセージにおけるTIEREQフィールドの値と同じであり、
MIC1フィールドは、メッセージ認証コードを示し、リクエスタREQが、生成されたプロトコルデータ鍵PDKを利用して、身分認証及びユニキャスト鍵合意要求メッセージにおける、本フィールド以外のすべてのフィールドに対して算出して得られたハッシュ値であり、
2.3)身分認証及びユニキャスト鍵合意応答を行い、即ち、認証アクセスコントローラAACは、身分認証及びユニキャスト鍵合意要求メッセージを受信した後に、以下の処理を行い、即ち、
2.3.1)今回の身分認証及びユニキャスト鍵合意過程が更新過程であれば、メッセージにおけるNAACフィールドと、前回の身分認証及びユニキャスト鍵合意過程において算出された身分認証及びユニキャスト鍵合意標識の値とが一致するか否かをチェックし、一致しない場合に、当該メッセージを廃棄し、一致する場合に、2.3.2)を実行し、今回の鍵合意過程が初回目の身分認証及びユニキャスト鍵合意過程であれば、メッセージにおけるNAACフィールドの値と、身分認証及びユニキャスト鍵合意アクティブメッセージにおけるNAACフィールドの値とが一致するか否かをチェックし、一致しない場合に、当該メッセージを廃棄し、一致する場合に、2.3.2)を実行し、
2.3.2)TIEREQフィールドの値と、セキュリティポリシー合意過程において受信されたセキュリティポリシー合意応答メッセージにおけるTIEREQフィールドの値とが一致するか否かを検証し、一致しない場合に、当該メッセージを廃棄し、一致する場合に、2.3.3)を実行し、
2.3.3)事前共有鍵、身分認証及びユニキャスト鍵合意標識NAAC、リクエスタREQチャレンジNREQを利用して、ユニキャストセッション鍵と次回の身分認証及びユニキャスト鍵合意過程における、身分認証及びユニキャスト鍵合意標識NAACとを算出して保存し、ユニキャストセッション鍵は、プロトコルデータ鍵PDKと、ユニキャストデータ鍵UDKとを含み、
2.3.4)プロトコルデータ鍵PDKを利用して身分認証及びユニキャスト鍵合意要求メッセージにおけるMIC1フィールドの正確性を検証し、正確でない場合に、当該メッセージを廃棄し、正確である場合に、認証アクセスコントローラAACが、リクエスタREQに対する身分認証を完成し、リクエスタREQとのユニキャストセッション鍵を合意で取得し、2.3.5)を実行し、
2.3.5)プロトコルデータ鍵PDKを用いてメッセージ認証コードMIC2をローカルに算出し、身分認証及びユニキャスト鍵合意応答メッセージを構成してリクエスタREQに送信し、
身分認証及びユニキャスト鍵合意応答メッセージの主な内容は、NREQ、TIEAAC、MIC2を含み、
NREQフィールドは、リクエスタREQのチャレンジを示し、リクエスタREQが生成した乱数であり、その値は、身分認証及びユニキャスト鍵合意要求メッセージにおけるNREQフィールドの値と同じであり、
TIEAACフィールドは、認証アクセスコントローラAACがサポートする認証、鍵管理スイート及び暗号スイートを示し、その値は、セキュリティポリシー合意要求メッセージにおけるTIEAACフィールドの値と同じであり、
MIC2フィールドは、メッセージ認証コードを示し、認証アクセスコントローラAACが、生成されたプロトコルデータ鍵PDKを利用して身分認証及びユニキャスト鍵合意応答メッセージにおける、本フィールド以外のすべてのフィールド及び合意済みの次回の身分認証及びユニキャスト鍵合意過程における、身分認証及びユニキャスト鍵合意標識NAACに対して算出して得られたハッシュ値であり、
2.4)リクエスタREQは身分認証及びユニキャスト鍵合意応答メッセージを受信した後に、以下の処理を行い、即ち、
2.4.1)NREQフィールドと、その前に送信された身分認証及びユニキャスト鍵合意要求メッセージにおけるNREQフィールドとが同じであるか否かをチェックし、同じでない場合に、当該メッセージを廃棄し、同じである場合に、2.4.2)を実行し、
2.4.2)TIEAACフィールドの値と、セキュリティポリシー合意過程において受信された、セキュリティポリシー合意要求メッセージにおけるTIEAACフィールドの値とが一致するか否かを検証し、一致しない場合に、当該メッセージを廃棄し、一致する場合に、2.4.3)を実行し、
2.4.3)プロトコルデータ鍵PDKを利用して身分認証及びユニキャスト鍵合意応答メッセージにおけるMIC2フィールドの正確性を検証し、正確でない場合に、当該メッセージを廃棄し、正確である場合に、リクエスタREQが認証アクセスコントローラAACに対する身分認証を完成し、認証アクセスコントローラAACと一致するユニキャストセッション鍵を合意で取得することを含む、
ことを特徴とする請求項1に記載の事前共有鍵に基づくネットワークセキュリティアクセス制御方法。 - 前記の2.4.3)が実行された後に、更に、
2.4.4)プロトコルデータ鍵PDKを利用してメッセージ認証コードMIC3をローカルに算出し、身分認証及びユニキャスト鍵合意確認メッセージを構成して認証アクセスコントローラAACに送信し、当該身分認証及びユニキャスト鍵合意確認メッセージは選択可能なものであり、
身分認証及びユニキャスト鍵合意確認メッセージの主な内容は、NAAC、MIC3を含み、
NAACフィールドは、身分認証及びユニキャスト鍵合意標識を示し、その値は身分認証及びユニキャスト鍵合意要求メッセージにおけるNAACフィールドの値と同じであり、
MIC3フィールドは、メッセージ認証コードを示し、リクエスタREQが、生成されたプロトコルデータ鍵PDKを利用して身分認証及びユニキャスト鍵合意応答メッセージにおける、本フィールド以外のすべてのフィールド及び合意済みの次回の身分認証及びユニキャスト鍵合意過程における、身分認証及びユニキャスト鍵合意標識に対して算出して得られたハッシュ値であることを含む、
ことを特徴とする請求項2に記載の事前共有鍵に基づくネットワークセキュリティアクセス制御方法。 - 2.5)認証アクセスコントローラAACは身分認証及びユニキャスト鍵合意確認メッセージを受信した後に、以下の処理を行い、即ち、
2.5.1)NAACフィールドの値と、受信された身分認証及びユニキャスト鍵合意要求メッセージにおけるNAACフィールドの値とが同じであるか否かをチェックし、同じでない場合に、当該メッセージを廃棄し、同じである場合に、2.5.2)を実行し、
2.5.2)プロトコルデータ鍵PDKを利用して、身分認証及びユニキャスト鍵合意確認メッセージにおけるMIC3フィールドの正確性を検証し、正確でない場合に、当該メッセージを廃棄し、正確である場合に、認証アクセスコントローラAACはリクエスタREQが既に一致しているユニキャストセッション鍵を取得したと確認することを更に含む、ことを特徴とする請求項3に記載の事前共有鍵に基づくネットワークセキュリティアクセス制御方法。 - 上記のステップ3)の具体的な実施形態は、
3.1)マルチキャスト鍵通告を行い、即ち、マルチキャスト鍵通告メッセージの主な内容は、KN、EMDK、MIC4を含み、
KNフィールドは、鍵通告標識を示し、一つの整数に初期化され、鍵更新通告の度に当該フィールドの値に1プラスし、通告の鍵が変わらない場合に、当該フィールドの値がそのまま保持され、
EMDKフィールドは、鍵暗号化データを示し、認証アクセスコントローラAACが身分認証及びユニキャスト鍵合意過程において生成されたプロトコルデータ鍵PDKを利用してマルチキャストデータ鍵MDKを暗号化したデータであり、ただし、マルチキャストデータ鍵MDKは、認証アクセスコントローラAACにより生成された乱数であり、セキュリティアクセスの後のマルチキャストデータのセキュリティ通信を保護するために用いられ、
MIC4フィールドは、メッセージ認証コードを示し、認証アクセスコントローラAACが、身分認証及びユニキャスト鍵合意過程において生成されたプロトコルデータ鍵PDKを利用して、マルチキャスト鍵通告メッセージにおける本フィールド以外のすべてのフィールドに対して算出して得られたものであり、
3.2)マルチキャスト鍵応答を行い、即ち、リクエスタREQはマルチキャスト鍵通告メッセージを受信した後に、以下の処理を行い、即ち、
3.2.1)KNフィールドが単調増加するか否かをチェックし、否定の場合に、当該メッセージを廃棄し、肯定の場合に、3.2.2)を実行し、
3.2.2)身分認証及びユニキャスト鍵合意過程において生成されたプロトコルデータ鍵PDKを利用して、MIC4フィールドが正確であるか否かを検証し、正確でない場合に、当該メッセージを廃棄し、正確である場合に、3.2.3)を実行し、
3.2.3)身分認証及びユニキャスト鍵合意過程において生成されたプロトコルデータ鍵PDKを利用して、EMDKフィールドを復号化してマルチキャストデータ鍵MDKを取得し、
3.2.4)今回の鍵通告標識KNフィールドの値を保存するとともに、マルチキャスト鍵応答メッセージを生成して、認証アクセスコントローラAACに送信し、
マルチキャスト鍵応答メッセージの主な内容は、KN、MIC5を含み、
KNフィールドは、鍵通告標識を示し、その値は、マルチキャスト鍵通告メッセージにおけるKNフィールドの値と同じであり、
MIC5フィールドは、メッセージ認証コードを示し、リクエスタREQが、身分認証及びユニキャスト鍵合意過程において生成されたプロトコルデータ鍵PDKを利用して、マルチキャスト鍵応答メッセージにおける本フィールド以外のすべてのフィールドに対して算出して得られたものであり、
3.3)認証アクセスコントローラAACはマルチキャスト鍵応答メッセージを受信した後に、以下の処理を行い、即ち、
3.3.1)KNフィールドとその前に送信されたマルチキャスト鍵通告メッセージにおけるKNフィールドの値が一致するか否かを比較し、一致しない場合に、当該メッセージを廃棄し、一致する場合に、3.3.2)を実行し、
3.3.2)身分認証及びユニキャスト鍵合意過程において生成されたプロトコルデータ鍵PDKを利用して、MIC5フィールドの正確性を検証し、正確でない場合に、当該メッセージを廃棄し、正確である場合に、リクエスタREQに対するマルチキャスト鍵の通告過程を完成することを含む、ことを特徴とする請求項1〜4の何れかに記載の事前共有鍵に基づくネットワークセキュリティアクセス制御方法。 - リクエスタREQと認証アクセスコントローラAACとを含み、上記認証アクセスコントローラAACは、リクエスタREQに接続され、リクエスタREQにサービスポートを提供し、
1)リクエスタREQが認証アクセスコントローラAACとセキュリティポリシー合意を行い、
前記1)の具体的な実現形態は、
1.1)セキュリティポリシー合意要求を行い、即ち、リクエスタREQが認証アクセスコントローラAACにアクセスすると、認証アクセスコントローラAACがリクエスタREQにセキュリティポリシー合意要求メッセージを送信し、当該セキュリティポリシー合意要求メッセージの主な内容はTIEAACを含み、
TIEAACフィールドは、認証アクセスコントローラAACがサポートする3エレメントピア認証TePAの情報要素を示し、認証アクセスコントローラAACがサポートする認証、鍵管理スイート及び暗号スイートを含み、
1.2)セキュリティポリシー合意応答を行い、即ち、リクエスタREQはセキュリティポリシー合意要求メッセージを受信した後に、以下の処理を行い、即ち、
リクエスタREQは、セキュリティポリシー合意要求メッセージにおけるTIEAACフィールドにより与えられた認証アクセスコントローラAACがサポートする認証、鍵管理スイート及び暗号スイートに基づいて、ローカルポリシーを参照して両方共有の認証、鍵管理スイート及び暗号スイートを選択して、セキュリティポリシー合意応答メッセージを構成して認証アクセスコントローラAACに送信し、リクエスタREQが、セキュリティポリシー合意要求メッセージにおける、認証アクセスコントローラAACがサポートする認証、鍵管理スイート及び暗号スイートの何れもサポートしない場合に、ローカルポリシーに基づいて当該メッセージを廃棄することができ、当該セキュリティポリシー合意応答メッセージの主な内容は、TIEREQを含み、
TIEREQフィールドは、リクエスタREQにより選択されたTePA情報要素を示し、リクエスタREQにより選択された認証、鍵管理スイート及び暗号スイートを含み、
1.3)認証アクセスコントローラAACはセキュリティポリシー合意応答メッセージを受信した後に、以下の処理を行い、即ち、
1.3.1)認証アクセスコントローラAACは、リクエスタREQにより選択された認証、鍵管理スイート及び暗号スイートをサポートするか否かを判断し、サポートしない場合に、当該メッセージを廃棄し、サポートする場合に1.3.2)を実行し、
1.3.2)リクエスタREQにより選択された認証、鍵管理スイートに基づいて、相応の身分認証過程を開始することを含み、
上記1.3.2)において、リクエスタREQが選択した認証および鍵管理スイートが事前共有鍵に基づく認証及び鍵管理スイートである場合に、その身分認証過程は、事前共有鍵に基づく認証プロトコルSAAPを採用し、当該認証プロトコルSAAPはリクエスタREQと認証アクセスコントローラAACとの間の双方向身分認証を完成し、且つ両者の間のユニキャストセッション鍵の合意を完成する、
ことを特徴とする事前共有鍵に基づくネットワークセキュリティアクセス制御システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100236850A CN101635710B (zh) | 2009-08-25 | 2009-08-25 | 一种基于预共享密钥的网络安全访问控制方法及其系统 |
CN200910023685.0 | 2009-08-25 | ||
PCT/CN2009/075975 WO2011022915A1 (zh) | 2009-08-25 | 2009-12-24 | 一种基于预共享密钥的网络安全访问控制方法及其系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013503510A JP2013503510A (ja) | 2013-01-31 |
JP5524336B2 true JP5524336B2 (ja) | 2014-06-18 |
Family
ID=41594771
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012525847A Active JP5524336B2 (ja) | 2009-08-25 | 2009-12-24 | 事前共有鍵に基づくネットワークセキュリティアクセス制御方法及びそのシステム |
Country Status (4)
Country | Link |
---|---|
US (1) | US8646055B2 (ja) |
JP (1) | JP5524336B2 (ja) |
CN (1) | CN101635710B (ja) |
WO (1) | WO2011022915A1 (ja) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101800943B (zh) | 2010-03-31 | 2012-03-07 | 西安西电捷通无线网络通信股份有限公司 | 一种适合组呼系统的组播密钥协商方法及系统 |
EP2907333A1 (en) * | 2012-10-11 | 2015-08-19 | Nokia Solutions and Networks Oy | Fake base station detection with core network support |
US9954839B2 (en) * | 2013-06-28 | 2018-04-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Systems and methods for providing distributed authentication of service requests by identity management components |
JP6278651B2 (ja) * | 2013-09-27 | 2018-02-14 | キヤノン株式会社 | ネットワークシステム、管理サーバシステム、制御方法及びプログラム |
CN104010303B (zh) * | 2014-05-09 | 2016-09-14 | 中国人民解放军信息工程大学 | 基于物理层密钥的终端和核心网的双向认证增强方法 |
CN106470104B (zh) | 2015-08-20 | 2020-02-07 | 阿里巴巴集团控股有限公司 | 用于生成共享密钥的方法、装置、终端设备及系统 |
CN112512042B (zh) * | 2020-10-14 | 2022-10-14 | 锐捷网络股份有限公司 | 通信密钥生成方法、装置、设备和存储介质 |
CN114760033A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
CN114760028A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
CN114760026A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
CN113114459B (zh) * | 2021-05-21 | 2023-06-02 | 上海银基信息安全技术股份有限公司 | 安全认证方法、装置、设备和存储介质 |
CN114125583B (zh) * | 2021-11-15 | 2023-08-18 | 浙江中控技术股份有限公司 | 一种分布式控制网的通信控制方法 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3077659B2 (ja) * | 1998-01-27 | 2000-08-14 | 日本電気株式会社 | パッシブ光ネットワークを介したatmセルの伝送方法、atm通信装置、光加入者装置および光ネットワーク装置 |
US6691227B1 (en) * | 2000-09-08 | 2004-02-10 | Reefedge, Inc. | Location-independent packet routing and secure access in a short-range wireless networking environment |
US7516485B1 (en) * | 2001-05-29 | 2009-04-07 | Nortel Networks Limited | Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic |
US7167919B2 (en) * | 2001-12-05 | 2007-01-23 | Canon Kabushiki Kaisha | Two-pass device access management |
US7996888B2 (en) * | 2002-01-11 | 2011-08-09 | Nokia Corporation | Virtual identity apparatus and method for using same |
US7574603B2 (en) * | 2003-11-14 | 2009-08-11 | Microsoft Corporation | Method of negotiating security parameters and authenticating users interconnected to a network |
KR100546778B1 (ko) * | 2003-12-17 | 2006-01-25 | 한국전자통신연구원 | 무선 인터넷 가입자 인증 방법 및 그 장치 |
US7907733B2 (en) * | 2004-03-05 | 2011-03-15 | Electronics And Telecommunications Research Institute | Method for managing traffic encryption key in wireless portable internet system and protocol configuration method thereof, and operation method of traffic encryption key state machine in subscriber station |
CN100373843C (zh) * | 2004-03-23 | 2008-03-05 | 中兴通讯股份有限公司 | 一种无线局域网中密钥协商方法 |
JP4694240B2 (ja) | 2005-04-06 | 2011-06-08 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 暗号キー配信装置及びそのプログラム |
US7975140B2 (en) * | 2005-04-08 | 2011-07-05 | Nortel Networks Limited | Key negotiation and management for third party access to a secure communication session |
US7656795B2 (en) * | 2005-04-11 | 2010-02-02 | International Business Machines Corporation | Preventing duplicate sources from clients served by a network address port translator |
CN100512108C (zh) * | 2005-07-15 | 2009-07-08 | 陈相宁 | 入网终端物理唯一性识别方法和终端接入认证系统 |
CN1953367A (zh) * | 2005-10-17 | 2007-04-25 | 中兴通讯股份有限公司 | 一种以太网无源光网络中组播业务加密控制的方法 |
CN101155396B (zh) * | 2006-09-25 | 2012-03-28 | 联想(北京)有限公司 | 一种终端结点切换方法 |
US20080227548A1 (en) * | 2007-03-13 | 2008-09-18 | Microsoft Corporation | Secured cross platform networked multiplayer communication and game play |
CN101222328B (zh) | 2007-12-14 | 2010-11-03 | 西安西电捷通无线网络通信股份有限公司 | 一种实体双向鉴别方法 |
CN100581169C (zh) | 2008-08-21 | 2010-01-13 | 西安西电捷通无线网络通信有限公司 | 一种基于单播会话密钥的组播密钥分发方法及其更新方法 |
-
2009
- 2009-08-25 CN CN2009100236850A patent/CN101635710B/zh active Active
- 2009-12-24 US US13/391,526 patent/US8646055B2/en active Active
- 2009-12-24 JP JP2012525847A patent/JP5524336B2/ja active Active
- 2009-12-24 WO PCT/CN2009/075975 patent/WO2011022915A1/zh active Application Filing
Also Published As
Publication number | Publication date |
---|---|
CN101635710B (zh) | 2011-08-17 |
US8646055B2 (en) | 2014-02-04 |
JP2013503510A (ja) | 2013-01-31 |
WO2011022915A1 (zh) | 2011-03-03 |
CN101635710A (zh) | 2010-01-27 |
US20120159587A1 (en) | 2012-06-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5524336B2 (ja) | 事前共有鍵に基づくネットワークセキュリティアクセス制御方法及びそのシステム | |
JP5414898B2 (ja) | 有線lanのセキュリティアクセス制御方法及びそのシステム | |
AU2003243680B2 (en) | Key generation in a communication system | |
KR101135254B1 (ko) | Ibss 네트워크에 적용하는 액세스 인증 방법 | |
US8094821B2 (en) | Key generation in a communication system | |
US20070220598A1 (en) | Proactive credential distribution | |
TW201014314A (en) | Techniques for secure channelization between UICC and a terminal | |
JP2009500913A (ja) | ペアワイズ・マスタ・キーを更新する方法 | |
WO2010135892A1 (zh) | 基于哈希函数的双向认证方法及系统 | |
WO2019001169A1 (zh) | 一种基于身份代理群签名的PMIPv6认证系统及方法 | |
JP5540111B2 (ja) | 交換デバイス間の安全な接続の構築方法及びシステム | |
CN101272241B (zh) | 一种密钥的分配与管理方法 | |
Zhu et al. | Research on authentication mechanism of cognitive radio networks based on certification authority | |
Nystroem | The EAP protected one-time password protocol (EAP-POTP) | |
Zhang et al. | A new authentication and key management scheme of WLAN | |
Londe et al. | A new lightweight eap-pk authentication method for ieee 802. 11 standard wireless network | |
Nystroem | RFC 4793: The EAP Protected One-Time Password Protocol (EAP-POTP) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130528 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130828 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140310 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140409 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5524336 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |