JP5531117B2 - アンカーオーセンティケータのリロケーション方法及びシステム - Google Patents

アンカーオーセンティケータのリロケーション方法及びシステム Download PDF

Info

Publication number
JP5531117B2
JP5531117B2 JP2012557381A JP2012557381A JP5531117B2 JP 5531117 B2 JP5531117 B2 JP 5531117B2 JP 2012557381 A JP2012557381 A JP 2012557381A JP 2012557381 A JP2012557381 A JP 2012557381A JP 5531117 B2 JP5531117 B2 JP 5531117B2
Authority
JP
Japan
Prior art keywords
authenticator
relocation
old
new
anchor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012557381A
Other languages
English (en)
Other versions
JP2013522983A (ja
Inventor
リ チュウ
グ ジュ
チェンヤン フオン
ホンヨン チュー
リン シュー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Publication of JP2013522983A publication Critical patent/JP2013522983A/ja
Application granted granted Critical
Publication of JP5531117B2 publication Critical patent/JP5531117B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information

Description

本発明は、ワールドワイド・インターオペラビリティ・フォー・マイクロウェーブ・アクセス(WiMAX:Worldwide Interoperability for Microwave Access)ネットワーク技術に関し、特に、アンカーオーセンティケータのリロケーション方法及びシステムに関する。
WiMAXは、新たな4G標準として、世界中の電気通信事業者と設備製造業者の注目を集めており、従って、WiMAXは、無線ブロードバンド分野の中心となっている。図1は、従来のWiMAXネットワークの構造を示す図である。図1に示すように、WiMAXネットワークは、主にモバイル端末(MS:Mobile Station)、基地局(BS:Base Station)、アクセスゲートウェイ(AGW:Access GateWay、図1で示されない)、オーセンティケータ(Authenticator(認証器))、認証許可アカウンティングサーバ(AAA Server(AAA::Authentication Authorization and Accounting))などのネットワーク要素から構成される。AGW、BS及びオーセンティケータは、アクセスサービスネットワーク(ASN:Access Service Network)に位置し、AAAサーバは、接続サービスネットワーク(CSN:Connection Service Network)に位置する。
MSが最初にネットワークにアクセスするとき、ネットワークは、当該MSを認証するために、ASNにおいて1つのオーセンティケータ及びホームAAAサーバ(HAAA)を指定する。オーセンティケータ及びホームAAAサーバは、MSのアンカーオーセンティケータである。複数のセキュリティパラメータのライフサイクル又はタイマーが期限切れになる前に、MS又はネットワーク側は、再認証を開始する必要がある。このとき、この再認証に伴って、オーセンティケータリロケーションが発生する場合があり、これにより、新たなオーセンティケータがMSのアンカーオーセンティケータとなる場合がある。
現在、或る特定の状況下では、再認証と共にアンカーオーセンティケータのリロケーションが行われ、ほかの状況下では、再認証が行われずにアンカーオーセンティケータのリロケーションが行われる。例えば、アンカーオーセンティケータ、アンカーデータチャネル機能体及びアンカーページングコントローラが同一エンティティゲートウェイに位置する場合、再認証が行われずに、アンカーデータチャネル機能体、及びアンカーページングコントローラのリロケーションが行われる。
実際の或る特定の状況下では、アンカーオーセンティケータのリロケーションが必要であるかもしれないが、例えば、データチャネル機能体及びアンカーページングコントローラなどの他の論理エンティティにおいては、リロケーションは、必ずしも必要ではない。現在、再認証が必要とされない個々のアンカーオーセンティケータのリロケーションを対象とした技術的スキームは未だ存在しない。
以上に鑑みて、本発明の主な目的は、再認証が必要とされないアンカーオーセンティケータのリロケーションを実現するための、アンカーオーセンティケータのリロケーション方法及びシステムを提供することにある。
前記目的を実現するために、本発明の技術的スキームは、以下のように実現される。
旧オーセンティケータがモバイル端末(MS)のアンカーオーセンティケータリロケーション要求を許可した後、新オーセンティケータが認証許可アカウンティング(AAA)サーバにオーセンティケータリロケーション要求を送信し、
AAAサーバが新オーセンティケータの認証に成功し、且つ、旧オーセンティケータが、新オーセンティケータが信頼性できることを確認した場合、アンカーオーセンティケータを新オーセンティケータへリロケーションする
アンカーオーセンティケータのリロケーション方法。
当該方法の前に、又は、前記旧オーセンティケータがMSのアンカーオーセンティケータリロケーション要求を許可した後、前記新オーセンティケータがAAAサーバにオーセンティケータリロケーション要求を送信する前に、
更に、前記旧オーセンティケータが、AAAサーバに通知メッセージを送信して、新オーセンティケータへの切り替えをAAAサーバに通知し、かつ、AAAサーバが新オーセンティケータを認証するための、新オーセンティケータの情報又は旧オーセンティケータによって提供されるセキュリティパラメータXをAAAサーバに通知してもよい。
前記アンカーオーセンティケータリロケーション要求は、前記新オーセンティケータ又は前記旧オーセンティケータによって開始されてもよい。
更に、前記旧オーセンティケータが、再認証又はオーセンティケータリロケーションが実行中であることを検出した場合、当該アンカーオーセンティケータリロケーション要求を拒否してもよい。
前記旧オーセンティケータが、再認証又はオーセンティケータリロケーションが実行中であるどうかを検出する方法は、
前記旧オーセンティケータに、前記MSのためのアンカーオーセンティケータリロケーションロック状態識別子を設定し、アンカーオーセンティケータリロケーションロック状態識別子がロック状態を示す場合、オーセンティケータリロケーションロック状態が解除されるまで、他の新たなオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否する方法、
又は、前記旧オーセンティケータに、前記MSのためのカウンターを設定し、カウンターの値が奇数である場合、他の新たなオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否する方法、
又は、前記旧オーセンティケータにおいて、前記MSのオーセンティケータリロケーションが発生した場合、旧オーセンティケータに、前記MSのためのタイマーを設定し、当該タイマーがタイムアウトするまで、他の新たなオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否する方法であってもよい。
更に、前記旧オーセンティケータが、現在のMSの再認証ロック状態を設定し、前記再認証ロック状態は、他の新たな再認証要求の受け付けを拒否する状態であってもよい。
更に、前記旧オーセンティケータが、再認証又はオーセンティケータリロケーションが実行中であることを検出した場合、前記旧オーセンティケータが前記アンカーオーセンティケータリロケーション要求を拒否してもよい。
前記AAAサーバが新オーセンティケータを認証するステップは、
前記AAAサーバが、リモート認証ダイヤルインユーザサービス(RADIUS)プロトコル又はダイアメータ(Diameter)プロトコルにおけるセキュリティパラメータを利用して新オーセンティケータを認証し、
前記旧オーセンティケータからのセキュリティパラメータと前記新オーセンティケータからのセキュリティパラメータとが同じである場合、認証に成功したとみなしてもよい。
前記認証するステップは、
前記新オーセンティケータが、MSのネットワークアクセス識別子(NAI)、旧オーセンティケータによって提供されたセキュリティパラメータZ、又はセキュリティパラメータZを利用して算出されたセキュリティパラメータWを含むオーセンティケータリロケーション要求をAAAサーバに送信して、AAAサーバの認証を要求し、
前記AAAサーバが、利用可能なセキュリティパラメータ、AAAサーバのローカルセキュリティパラメータZ1、又はローカルセキュリティパラメータZ1を利用して算出されたセキュリティパラメータWと、新オーセンティケータからのセキュリティパラメータとが同じであるかどうかを判定し、同じである場合、認証に成功したとみなしてもよい。
前記新オーセンティケータによりAAAサーバに送信されるオーセンティケータリロケーション要求には、新オーセンティケータの完全修飾ドメイン名/全称ドメイン名(FQDN)、旧オーセンティケータによって提供されたセキュリティパラメータX、又は旧オーセンティケータによって提供されたセキュリティパラメータXに基づいて算出されたセキュリティパラメータYが更に含まれ、
前記認証するステップは、更に、
前記旧オーセンティケータによって提供された新オーセンティケータのFQDN、旧オーセンティケータによって提供されたセキュリティパラメータX、又はセキュリティパラメータXに基づいて算出されたセキュリティパラメータYに基づいて、新オーセンティケータから受信されたセキュリティパラメータXと旧オーセンティケータから受信されたセキュリティパラメータXとが同じであるかどうかを判定し、又はセキュリティパラメータYとセキュリティパラメータYとが同じであるかどうかを判定し、同じである場合、認証に成功したとみなしてもよい。
前記旧オーセンティケータが、新オーセンティケータが信頼できることを確認した場合、アンカーオーセンティケータを新オーセンティケータへリロケーションするステップは、
前記新オーセンティケータが、旧オーセンティケータに現在のMSのコンテキストを要求し、旧オーセンティケータが、新オーセンティケータが信頼できることを確認した場合、新オーセンティケータにMSのコンテキストを返してもよい。
前記旧オーセンティケータは、更に、前記MSに対応する旧マスターセッションキー(MSK)を新オーセンティケータに返してもよい。
前記新オーセンティケータが信頼できることを確認するステップは、
前記新オーセンティケータが旧オーセンティケータに、AAAサーバから取得されたセキュリティパラメータU又はセキュリティパラメータVを返し、
前記旧オーセンティケータが、ローカルで利用可能なセキュリティパラメータUと、新オーセンティケータからのセキュリティパラメータUとが同じであるかどうかを判定し、又はローカルセキュリティパラメータUに基づいて算出されたセキュリティVと、新オーセンティケータからのセキュリティパラメータVとが同じであるかどうかを判定し、同じである場合、当該新オーセンティケータが信頼できると判断してもよい。
更に、オーセンティケータリロケーションロック状態が既に設定されている場合、前記MSのオーセンティケータリロケーションロック状態を解除し
再認証ロック状態が既に設定されている場合、前記MSの再認証ロック状態を解除してもよい。
更に、前記新オーセンティケータが旧オーセンティケータにオーセンティケータリロケーション完了確認メッセージを送信し、
前記旧オーセンティケータが、リロケーションが首尾よく完了したことを確認した場合、現在のMSの関連情報を削除してもよい。
少なくとも、新オーセンティケータと、旧オーセンティケータと、AAA(AAA)サーバとを含む、アンカーオーセンティケータのリロケーションシステムであって、
新オーセンティケータは、旧オーセンティケータとインタラクションを行い、旧オーセンティケータがモバイル端末(MS)のアンカーオーセンティケータリロケーション要求を許可した後、AAAサーバにオーセンティケータリロケーション要求を送信し、AAAサーバからの認証成功応答を受信し、オーセンティケータリロケーションを完了するように旧オーセンティケータに要求し、
旧オーセンティケータは、新オーセンティケータとインタラクションを行い、MSのアンカーオーセンティケータリロケーション要求を許可するかどうかを判定し、新オーセンティケータが信頼できることを確認した場合、オーセンティケータリロケーション成功/完了応答を新オーセンティケータに送信し、アンカーオーセンティケータを新オーセンティケータへリロケーションし、
AAAサーバは、新オーセンティケータを認証し、認証に成功した場合、新オーセンティケータに認証成功応答を送信する
アンカーオーセンティケータのリロケーションシステム。
前記旧オーセンティケータは、更に、再認証又はオーセンティケータリロケーションが実行中であることが検出された場合、当該アンカーオーセンティケータリロケーション要求を拒否してもよい。
前記旧オーセンティケータは、更に、前記アンカーオーセンティケータリロケーション要求を許可した場合、現在のMSのオーセンティケータリロケーションロック状態を設定し、対応して、旧オーセンティケータは、新オーセンティケータが信頼性できることを確認した場合、MSのオーセンティケータリロケーションロック状態を解除してもよい。
前記旧オーセンティケータは、
前記MSのためのアンカーオーセンティケータリロケーションロック状態識別子を設定し、アンカーオーセンティケータリロケーションロック状態識別子がロック状態を示す場合、オーセンティケータリロケーションロック状態が解除されるまで、他の新たなオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否し、
又は、前記MSのためのカウンターを設定し、カウンターの値が奇数である場合、他の新たなオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否し、
又は、前記旧オーセンティケータにおいて、前記MSのオーセンティケータリロケーションが発生した場合、旧オーセンティケータに、前記MSのためのタイマーを設定し、タイマーがタイムアウトするまで、他の新たなオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否し、
更に、前記旧オーセンティケータは、前記MSの再認証ロック状態を設定し、対応して、旧オーセンティケータが新オーセンティケータが信頼できることを確認した場合、MSの再認証ロック状態を解除してもよい。
前記旧オーセンティケータは、更に、前記AAAサーバに通知メッセージを送信して、新オーセンティケータへの切り替えをAAAサーバに通知し、かつ、AAAサーバが新オーセンティケータを認証するための、新オーセンティケータの情報又は旧オーセンティケータによって提供されるセキュリティパラメータXをAAAサーバに通知してもよい。
前記新オーセンティケータは、更に、旧オーセンティケータにオーセンティケータリロケーション完了確認メッセージを送信してもよい。
前記旧オーセンティケータは、更に、オーセンティケータリロケーションが首尾よく完了したことを確認した場合、前記MSの関連情報を削除してもよい。
前記旧オーセンティケータは、更に、任意の拒否又は失敗応答が存在する場合、前記MSがネットワークから退出するプロセスを開始してもよい。
上記本発明に係る技術的スキームから理解されるように、旧オーセンティケータがMSのアンカーオーセンティケータリロケーション要求を許可した後、新オーセンティケータがAAAサーバにオーセンティケータリロケーション要求を送信する。AAAサーバが新オーセンティケータの認証に成功し、且つ、旧オーセンティケータが、新オーセンティケータが信頼できることを確認した場合、アンカーオーセンティケータが新オーセンティケータへリロケーションされる。本発明に係る方法によれば、再認証が必要とされないアンカーオーセンティケータのリロケーションを実現するための、詳細なスキームが提供される。
従来のWiMAXネットワークの構造を示す図である。 本発明に係るアンカーオーセンティケータのリロケーション方法のフローチャートである。 本発明に係るアンカーオーセンティケータのリロケーションシステムの構造を示す図である。 本発明の第1実施形態に係るアンカーオーセンティケータのリロケーション方法のフローチャートである。 本発明の第2実施形態に係るアンカーオーセンティケータのリロケーション方法のフローチャートである。 本発明の第3実施形態に係るアンカーオーセンティケータリのロケーション方法のフローチャートである。 本発明の第4実施形態に係るアンカーオーセンティケータのリロケーション方法のフローチャートである。
図2は、本発明に係るアンカーオーセンティケータのリロケーション方法のフローチャートである。図2に示すように、この方法は、以下のステップを含む。
ステップ200:旧オーセンティケータがMSのアンカーオーセンティケータリロケーション要求を許可した後、新オーセンティケータは、AAAサーバにオーセンティケータリロケーション要求を送信する。
このステップでは、アンカーオーセンティケータリロケーション要求は、新オーセンティケータによって開始されてもよく(PULLモード)、旧オーセンティケータによって開始されてもよい(PUSHモード)。新オーセンティケータは、サービング基地局(serving BS)に対応するデフォルトオーセンティケータであってもよい。本発明におけるAAAサーバとはHAAAサーバである。PULLモードとPUSHモードは、本分野の従来技術に属するため、ここで詳細に説明しない。
旧オーセンティケータが、再認証又はオーセンティケータリロケーションが実行中であることを検出した場合、旧オーセンティケータは、当該アンカーオーセンティケータリロケーション要求を拒否する。検出しなかった場合、旧オーセンティケータは、当該アンカーオーセンティケータリロケーション要求を許可し、対応する状態識別子を設定する(この設定には、以下に示すような具体的な幾つかの実現方法がある)。更に、旧オーセンティケータは、当該MSに対して、再認証ロック状態を設定してもよく、即ち後続の他の新たな再認証要求の受け付けを拒否してもよい。
旧オーセンティケータは、以下に示すような方法により、再認証又はオーセンティケータリロケーションが実行中であるかどうかを検出する。
旧オーセンティケータに、当該MSのためのリロケーションロック状態識別子を設定する。リロケーションロック状態識別子がロック状態を示す場合、オーセンティケータリロケーションロック状態が解除されるまで、後続の他の新たなオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否する。
または、旧オーセンティケータに、当該MSのための、初期値が0であるカウンターを設定する。旧オーセンティケータにおいて、当該MSのオーセンティケータリロケーションが発生した場合、当該カウンターに1が足され(即ち、カウンターの値が1になる)、オーセンティケータリロケーションが完了した場合、当該カウンターに1が足される(即ち、カウンターの値が2になる)。カウンターの値は、順次1つずつ増加され、1回のオーセンティケータリロケーションが完了する度に、当該カウンターの値が2増加される。カウンターの値が最大値に達した場合、カウンターの値は再び初期値0に設定される。このような方法により、カウンターの値が奇数である場合、オーセンティケータリロケーションが実行中であることが示され、この場合、後続の他の新たなオーセンティケータリロケーション要求及び/又は再認証要求の受け付けが拒否される。一方で、カウンターの値が偶数である場合、オーセンティケータリロケーションが実行中であることが示される。
または、旧オーセンティケータにおいて、当該MSのオーセンティケータリロケーションが発生した場合、旧オーセンティケータに、当該MSのためのタイマーを設定し、オーセンティケータリロケーションの完了時にタイマーを停止する。タイマーがタイムアウトしたときに、オーセンティケータリロケーションが未完了である場合、旧オーセンティケータは、当該オーセンティケータリロケーションプロセスを中止させ、オーセンティケータリロケーションが失敗したと判断する。つまり、タイマーがタイムアウトしていない場合、当該タイマーがタイムアウトするまで、後続の他の新たなオーセンティケータリロケーション要求及び/又は再認証要求の受け付けが拒否される。
旧オーセンティケータがアンカーオーセンティケータリロケーション要求を許可した後、新オーセンティケータは、AAAサーバにオーセンティケータリロケーション要求を送信する。アンカーオーセンティケータリロケーション要求は、リモート認証ダイヤルインユーザサービス(RADIUS:Remote Authentication Dial In user Service)メッセージであってもよいし、ダイアメータ(Diameter)メッセージであってもよい。このメッセージには、MSのネットワークアクセス識別子(NAI:Network Access Identifier)が含まれていてもよい。
このステップでは、旧オーセンティケータがMSのアンカーオーセンティケータリロケーション要求を許可した後、新オーセンティケータがAAAサーバにオーセンティケータリロケーション要求を送信する前に、更に、以下に示す動作が実行されてもよい。旧オーセンティケータは、AAAサーバに通知メッセージを送信して、新オーセンティケータへの切り替えをAAAサーバに通知し、かつ、AAAサーバが新オーセンティケータを認証するための、新オーセンティケータの関連情報(例えば新オーセンティケータの完全修飾ドメイン名/全称ドメイン名(FQDN:Fully Qualified Domain Name))、又は旧オーセンティケータによって提供されるセキュリティパラメータXをAAAサーバに通知する。AAAサーバは、旧オーセンティケータに通知応答メッセージを返信する。セキュリティパラメータXは、旧オーセンティケータが提供することができる当該MSの関連パラメータ情報であってもよいし、新オーセンティケータ及び旧オーセンティケータがどちらも利用可能なセキュリティパラメータであってもよいし、新オーセンティケータ及び旧オーセンティケータがどちらも利用可能なセキュリティパラメータから算出されたセキュリティパラメータであってもよい。
ステップ201:AAAサーバが新オーセンティケータの認証に成功し、且つ、旧オーセンティケータが、新オーセンティケータが信頼できることを確認した場合、アンカーオーセンティケータが新オーセンティケータへリロケーションされる。
このステップでは、AAAサーバは、RADIUSプロトコル又はDiameterプロトコルにおけるセキュリティパラメータを利用して新オーセンティケータを認証し(具体的な実現方法については、以降の実施形態の説明が参照される)、そして、認証に成功した場合、新オーセンティケータに認証成功応答を返す。新オーセンティケータは、旧オーセンティケータにMSのコンテキストを要求し、旧オーセンティケータは、新オーセンティケータが信頼できることを確認した(具体的な実現方法については、以降の実施形態の説明が参照される)後、新オーセンティケータにMSのコンテキストを返す。オーセンティケータリロケーションロック状態が既に設定されている場合、旧オーセンティケータは、MSのオーセンティケータリロケーションロック状態を解除し、再認証ロック状態が既に設定されている場合、旧オーセンティケータは、MSの再認証ロック状態を解除する。
更に、本発明に係る方法は、新オーセンティケータが旧オーセンティケータにオーセンティケータリロケーション完了確認メッセージを送信するステップを含んでいてもよい。
更に、本発明に係る方法は、旧オーセンティケータが、リロケーションが首尾よく完了したことを確認した後、当該MSの関連情報を削除するステップを更に含んでいてもよい。
なお、本発明における図2に示す上記プロセスでは、任意の拒否又は失敗応答が存在する場合、旧オーセンティケータが、当該MSがネットワークから退出するプロセスを開始することができる点に注意されたい。
本発明は、更に、アンカーオーセンティケータのリロケーションシステムを提供する。図3は、本発明に係るアンカーオーセンティケータのリロケーションシステムの構造を示す図である。図3に示すように、このシステムは、少なくとも、新オーセンティケータと、旧オーセンティケータと、AAAサーバとを含む。
新オーセンティケータは、旧オーセンティケータとインタラクションを行い、旧オーセンティケータがMSのアンカーオーセンティケータリロケーション要求を許可した後、AAAサーバにオーセンティケータリロケーション要求を送信する。また、新オーセンティケータは、AAAサーバからの認証成功応答を受信し、オーセンティケータリロケーションを完了するように旧オーセンティケータに要求する。また、新オーセンティケータは、AAAサーバからの、失敗識別子を含む認証失敗応答を受信し、オーセンティケータリロケーションを行うように旧オーセンティケータに要求する。
旧オーセンティケータは、新オーセンティケータとインタラクションを行い、MSのアンカーオーセンティケータリロケーション要求を許可するかどうかを判定する。また、旧オーセンティケータは、新オーセンティケータが信頼できることを確認した場合、オーセンティケータリロケーション成功/完了応答を新オーセンティケータに送信し、アンカーオーセンティケータを新オーセンティケータへリロケーションする。
AAAサーバは、新オーセンティケータを認証し、認証に成功した場合、新オーセンティケータに認証成功応答を送信する。
更に、旧オーセンティケータは、再認証又はオーセンティケータリロケーションが実行中であることが検出された場合、当該アンカーオーセンティケータリロケーション要求を拒否してもよい。
旧オーセンティケータは、更に、当該アンカーオーセンティケータリロケーション要求を許可した場合、当該MSのオーセンティケータリロケーションロック状態を設定してもよい。対応して、旧オーセンティケータは、新オーセンティケータが信頼できることを確認した場合、MSのオーセンティケータリロケーションロック状態を解除してもよい。旧オーセンティケータは、更に、当該MSの再認証状態に設定し、対応して、旧オーセンティケータは、新オーセンティケータが信頼できることを確認した場合、MSの再認証ロック状態を解除してもよい。
旧オーセンティケータは、更に、AAAサーバに通知メッセージを送信して、新オーセンティケータへの切り替えをAAAサーバに通知し、かつ、AAAサーバが新オーセンティケータを認証するための、新オーセンティケータの関連情報又は旧オーセンティケータによって提供されるセキュリティパラメータをAAAサーバに通知してもよい。
新オーセンティケータは、更に、旧オーセンティケータにオーセンティケータリロケーション完了確認メッセージを送信してもよい。
旧オーセンティケータは、更に、オーセンティケータリロケーションが首尾よく完了したことを確認した場合、当該MSの関連情報を削除してもよい。
旧オーセンティケータは、更に、任意の拒否又は失敗応答が存在する場合、当該MSがネットワークから退出するプロセスを開始してもよい。
以下、実施形態を参照して本発明の方法を詳細に説明する。
図4は、本発明の第1実施形態に係るアンカーオーセンティケータのリロケーション方法のフローチャートであり、PULLモード下でのアンカーオーセンティケータのリロケーション方法を示すフローチャートである。図4に示すように、この方法は、以下のステップを含む。
ステップ400:新オーセンティケータは、旧オーセンティケータにアンカーオーセンティケータリロケーション通知メッセージを送信して、オーセンティケータリロケーションを要求する。即ち、MSのアンカーオーセンティケータリロケーションを開始する。
ステップ401:旧オーセンティケータは、新オーセンティケータにアンカーオーセンティケータリロケーション通知応答を返す。
このステップでは、旧オーセンティケータが再認証又はオーセンティケータリロケーションが実行中であることを検出した場合、旧オーセンティケータは、現在のオーセンティケータリロケーション要求を拒否する。検出されなかった場合、旧オーセンティケータは、当該MSのオーセンティケータリロケーションロック状態を設定し、後続の全てのオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否する。更に、旧オーセンティケータは、当該MSの再認証ロック状態を設定し、後続の全て再認証要求の受け付けを拒否してもよい。
旧オーセンティケータが現在のオーセンティケータリロケーション要求を許可した場合、新オーセンティケータに返されるアンカーオーセンティケータリロケーション通知応答には、新オーセンティケータによって要求されたMSコンテキスト(Context)が含まれていてもよい。MSコンテキストは、端末セキュリティ履歴(MS Security History)、端末認証コンテキスト(MS Authorization Context)、登録コンテキスト(REG Context)、アンカー端末モビリティコンテキスト(Anchor MM Context)のうちの1つ以上を含んでいてもよい。更に、アンカーオーセンティケータリロケーション通知応答には、セキュリティパラメータZが含まれてよい。セキュリティパラメータZは、旧オーセンティケータとAAAサーバがどちらも利用可能なパラメータ情報であってもよいし、旧オーセンティケータとAAAサーバがどちらも利用可能なパラメータ情報により算出されたセキュリティパラメータであってもよい。セキュリティパラメータは、パスワードに基づく認証コード技術キー(CMACCOUNTKEY)であってもよいし、マスターセッションキー(MSK:Master Session Key)であってもよい。ここで、セキュリティパラメータから他のセキュリティパラメータを算出する方法は、既存の複数の方法を採用することができる。これらの方法は、当業者によって使用される慣用技術手段に属するものであり、また、本発明の保護範囲を限定することに用いられるものではい。
ステップ402:新オーセンティケータは、旧オーセンティケータから、許可を示す応答を受信した後、AAAサーバにオーセンティケータリロケーション要求を送信する。そして、AAAサーバは、新オーセンティケータを認証する。
このステップにおいて、AAAサーバに送信されるオーセンティケータリロケーション要求は、RADIUSメッセージであってもよいし、Diameterメッセージであってもよい。当該RADIUSメッセージ又はDiameterには、MS NAIが含まれていてもよい。
新オーセンティケータからAAAサーバに送信される要求には、旧オーセンティケータによって提供されたセキュリティパラメータZ、又はセキュリティパラメータZから算出されたセキュリティパラメータWが含まれ、AAAサーバの認証を要求する。
このステップでは、AAAサーバの認証は、以下のように実行されてもよい。新オーセンティケータによって提供されたセキュリティパラメータと、AAAサーバで利用可能なセキュリティパラメータとが同じであるか、又は、AAAサーバ上のセキュリティパラメータZ若しくはAAAサーバ上のセキュリティパラメータZに基づいて算出されたWと、新オーセンティケータからのセキュリティパラメータとが同じである場合、認証に成功したとみなされる。Zは旧オーセンティケータとAAAサーバがどちらも利用可能又は共有可能なセキュリティパラメータである。
更に、AAAサーバは、ローカルセキュリティパラメータZと、旧オーセンティケータによって提供されたセキュリティパラメータZとを比較するか、又はローカルセキュリティパラメータZから算出されたWと新オーセンティケータから送信されたWとを比較し、これらが同じである場合、認証に成功したと判断する。
このステップでは、AAAサーバは、新オーセンティケータに対する認証を完了した後、新オーセンティケータからのオーセンティケータリロケーション要求に応答する。当該オーセンティケータリロケーション要求が許可された場合、返信される応答メッセージには、当該MSに対応する旧MSK、即ち、MSに現在まだ有効なMSKが含められる。更に、当該オーセンティケータリロケーション要求が許可された場合、返信される応答メッセージには、AAAサーバと旧オーセンティケータとがどちらも利用可能なセキュリティパラメータU又は当該セキュリティUから算出されたセキュリティパラメータVが含まれていてもよい。
ステップ403:新オーセンティケータがAAAサーバからの認証成功を示す応答を受信した場合、新オーセンティケータは、旧オーセンティケータに、MS Context要求を含むオーセンティケータリロケーション完了要求を送信する。オーセンティケータリロケーション完了要求には、更に、AAAサーバから取得されたセキュリティパラメータU又はセキュリティパラメータVが含まれていてもよい。
ステップ404:旧オーセンティケータは、オーセンティケータリロケーション完了要求を確認し、そして、新オーセンティケータが信頼できることを確認した後、新オーセンティケータにオーセンティケータリロケーション完了応答を返す。
更に、旧オーセンティケータは、ローカルで利用可能なセキュリティパラメータU又はローカルセキュリティパラメータUに基づいて算出されたセキュリティパラメータVと、新オーセンティケータからのセキュリティパラメータU又はセキュリティパラメータVとを比較する。これらが同じである場合、旧オーセンティケータは、当該新オーセンティケータが信頼できると判断する。このとき、旧オーセンティケータは、新オーセンティケータによって要求されたMSコンテキスト情報を含むオーセンティケータリロケーション完了応答を、新オーセンティケータに返す。
更に、旧オーセンティケータは、応答メッセージに、当該MSに対応する旧MSK、即ちMSに対して現在まだ有効なMSKを含ませてもよい。
更に、オーセンティケータリロケーションロック状態が既に設定されている場合、このステップは、旧オーセンティケータがMSのオーセンティケータリロケーションロック状態を解除するステップを更に含んでいてもよい。再認証ロック状態が既に設定されている場合、本ステップは、旧オーセンティケータがMSの再認証ロック状態を解除するステップを含んでいてもよい。
ステップ405:新オーセンティケータは、旧オーセンティケータにアンカーオーセンティケータリロケーション確認メッセージを送信する。
図5は、本発明の第2実施形態に係るアンカーオーセンティケータのリロケーション方法のフローチャートであり、PULLモード下でのアンカーオーセンティケータのリロケーション方法における他の実施形態を示すフローチャートである。図5に示すように、この方法は、以下のステップを含む。
ステップ500:新オーセンティケータは、旧オーセンティケータにアンカーオーセンティケータリロケーション通知メッセージを送信して、オーセンティケータリロケーションを要求する。即ち、MSのアンカーオーセンティケータリロケーションを開始する。
ステップ501〜ステップ502:旧オーセンティケータが現在のオーセンティケータリロケーション要求を許可した場合、旧オーセンティケータは、AAAサーバにオーセンティケータリロケーション通知要求メッセージを送信して、新オーセンティケータへの切り替えをAAAサーバに通知し、かつ、AAAサーバが新オーセンティケータを認証するための、新オーセンティケータの関連情報(例えば新オーセンティケータの完全修飾ドメイン名/全称ドメイン名(FQDN))、又は旧オーセンティケータによって提供されるセキュリティパラメータXをAAAサーバに通知する。AAAサーバは、旧オーセンティケータにオーセンティケータリロケーション通知応答メッセージを返信する。セキュリティパラメータXは、旧オーセンティケータが提供することができる当該MSの関連パラメータ情報であってもよいし、新オーセンティケータと旧オーセンティケータとがどちらも利用可能なセキュリティパラメータであってもよいし、新オーセンティケータと旧オーセンティケータとがどちらも利用可能なパラメータから算出されたセキュリティパラメータであってもよい。
AAAサーバは、旧オーセンティケータにオーセンティケータリロケーション通知応答を返信する。
ステップ503:旧オーセンティケータは、新オーセンティケータにアンカーオーセンティケータリロケーション通知応答を返す。
このステップでは、旧オーセンティケータが、再認証又はオーセンティケータリロケーションが実行中であることを検出した場合、旧オーセンティケータは、現在のオーセンティケータリロケーション要求を拒否する。検出しなかった場合、旧オーセンティケータは、当該MSのオーセンティケータリロケーションロック状態を設定して、後続の全てのオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否する。更に、旧オーセンティケータは、当該MSの再認証ロック状態を設定し、後続の全ての再認証要求の受け付けを拒否してもよい。
旧オーセンティケータが現在のオーセンティケータリロケーション要求を許可した場合、新オーセンティケータに返されるアンカーオーセンティケータリロケーション通知応答には、新オーセンティケータによって要求されたMS Contextが含まれていてもよい。MS Contextは、MS Security History、MS Authorization Context REG Context、Anchor MM Contextのうちの1つ以上を含んでいてもよい。更に、アンカーオーセンティケータリロケーション通知応答には、セキュリティパラメータZが含まれてよい。セキュリティパラメータZは、旧オーセンティケータとAAAサーバとがどちらも利用可能なパラメータ情報であってもよいし、旧オーセンティケータとAAAサーバがどちらも利用可能なパラメータ情報により算出されたセキュリティパラメータであってもよい。
ステップ504:新オーセンティケータは、旧オーセンティケータから、許可を示す応答を受信した後、AAAサーバにオーセンティケータリロケーション要求を送信する。そして、AAAサーバは、新オーセンティケータを認証する。
このステップにおいて、AAAサーバに送信されるオーセンティケータリロケーション要求は、RADIUSメッセージであってもよいし、Diameterメッセージであってもよい。当該RADIUSメッセージ又はDiameterメッセージは、MS NAIを含んでいてもよい。更に、このメッセージは、新オーセンティケータのFQDN、旧オーセンティケータによって提供されたセキュリティパラメータX、又は旧オーセンティケータによって提供されたセキュリティパラメータXに基づいて算出されたセキュリティパラメータYを含んでいてもよい。
新オーセンティケータからAAAサーバに送信される要求には、更に旧オーセンティケータによって提供されたセキュリティパラメータZ、又はセキュリティパラメータZから算出されたセキュリティパラメータWが含まれ、AAAサーバの認証を要求する。
このステップでは、AAAサーバの認証は、以下のように実行されてもよい。旧オーセンティケータからのセキュリティパラメータと、新オーセンティケータからのセキュリティパラメータとが同じである場合、認証に成功したとみなされる。または、新オーセンティケータからのセキュリティパラメータと、AAAサーバ上で利用可能なセキュリティパラメータとが同じである場合、認証に成功したとみなされる。具体的には、AAAサーバは、旧オーセンティケータによって提供された新オーセンティケータのFQDN、旧オーセンティケータによって提供されたセキュリティパラメータX、又はセキュリティパラメータXに基づいて算出されたセキュリティパラメータYに基づいて、新オーセンティケータから受信されたXと旧オーセンティケータから受信されたセキュリティパラメータXとを比較し、又はセキュリティパラメータYとセキュリティパラメータYとを比較して、これらが同じである場合、認証に成功したと判断する。
更に、AAAサーバは、ローカルセキュリティパラメータZと旧オーセンティケータによって提供されたセキュリティパラメータZを比較し、又はローカルセキュリティパラメータZから算出されたWと、新オーセンティケータから送信されたWとを比較して、これらが同じである場合、認証に成功したと判断する。
このステップでは、AAAサーバは、新オーセンティケータに対する認証を完了した後、新オーセンティケータからのオーセンティケータリロケーション要求に応答する。当該オーセンティケータリロケーション要求が許可された場合、返信される応答メッセージには、当該MSに対応する旧MSK、即ち、MSに現在まだ有効なMSKが含められる。更に、当該オーセンティケータリロケーション要求が許可された場合、返信される応答メッセージには、AAAサーバと旧オーセンティケータとがどちらも利用可能なセキュリティパラメータU又は当該セキュリティパラメータUから算出されたセキュリティパラメータVが含まれていてもよい。
ステップ505:新オーセンティケータは、AAAサーバの認証成功を示す応答を受信した場合、旧オーセンティケータに、MS Context要求を含むオーセンティケータリロケーション完了要求を送信する。オーセンティケータリロケーション完了要求には、更に、AAAサーバから取得されたセキュリティパラメータU又はセキュリティパラメータVが含まれていてもよい。
ステップ506:旧オーセンティケータは、オーセンティケータリロケーション完了要求を確認し、そして、新オーセンティケータが信頼できることを確認した後、新オーセンティケータにオーセンティケータリロケーション完了応答を返す。
更に、旧オーセンティケータは、ローカルで利用可能なセキュリティパラメータUまたはローカルセキュリティパラメータUに基づいて算出されたセキュリティパラメータVと、新オーセンティケータからのセキュリティパラメータU又はセキュリティパラメータVと比較する。これらが同じである場合、旧オーセンティケータは、当該新オーセンティケータが信頼できると判断する。このとき、旧オーセンティケータは、新オーセンティケータによって要求されたMSコンテキスト情報を含むオーセンティケータリロケーション完了応答を、新オーセンティケータに返す。
更に、旧オーセンティケータは、応答メッセージに、当該MSに対応する旧MSK、即ちMSに対して現在まだ有効なMSKを含ませてもよい。
更に、オーセンティケータリロケーションロック状態が既に設定されている場合、このステップは、旧オーセンティケータがMSのオーセンティケータリロケーションロック状態を解除することを更に含んでいてもよい。再認証ロック状態が既に設定されている場合、このステップは、旧オーセンティケータがMSの再認証ロック状態を解除するステップを更に含んでいてもよい。
ステップ507:新オーセンティケータは、旧オーセンティケータにアンカーオーセンティケータリロケーション確認メッセージを送信する。
図6は、本発明の第3実施形態に係るアンカーオーセンティケータリロケーションの方法のフローチャートであり、PUSHモード下でのアンカーオーセンティケータのリロケーション方法を示すフローチャートである。図6に示すように、この方法は、以下のステップを含む。
ステップ600:旧オーセンティケータは、新オーセンティケータにアンカーオーセンティケータリロケーション要求を送信する。即ち、MSのアンカーオーセンティケータリロケーションを開始する。
このステップでは、旧オーセンティケータが再認証又はオーセンティケータリロケーションが実行中であることを検出した場合、旧オーセンティケータは、現在のオーセンティケータリロケーション要求を開始しない。一方、検出されなかった場合、旧オーセンティケータは、当該MSのオーセンティケータリロケーションロック状態を設定して、後続の全てのオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否する。更に、当該MSの再認証ロック状態を設定し、後続の全ての再認証要求の受け付けを拒否する。
更に、旧オーセンティケータは、新オーセンティケータに送信されるアンカーオーセンティケータリロケーション要求メッセージに、MSのコンテキストの一部を含ませてもよい。MSのコンテキストの一部は、MS Security History、MS Authorization Context REG Context、Anchor MM Contextのうちの1つ以上を含む。更に、旧オーセンティケータは、セキュリティパラメータZを含ませる。セキュリティパラメータZは、旧オーセンティケータとAAAサーバとがどちらも利用可能なパラメータ情報であってもよいし、旧オーセンティケータとAAAサーバとがどちらも利用可能なセキュリティパラメータにより算出されたセキュリティパラメータであってもよい。
ステップ601:新オーセンティケータは、旧オーセンティケータにアンカーオーセンティケータリロケーション応答を送信して、MSのコンテキストを要求してもよい。
ステップ602:旧オーセンティケータは、新オーセンティケータに送信されるアンカーオーセンティケータリロケーション確認メッセージに、MSのコンテキストの一部を含ませてもよい。MSのコンテキストの一部は、MS Security History、MS Authorization Context REG Context、Anchor MM Contextのうちの1つ以上を含む。更に、旧オーセンティケータは、返信されるメッセージに、セキュリティパラメータZを更に含ませる。セキュリティパラメータZは、旧オーセンティケータとAAAサーバとがどちらも利用可能なパラメータ情報であってもよいし、旧オーセンティケータとAAAサーバとがどちらも利用可能なパラメータ情報から算出されたセキュリティパラメータであってもよい。
ステップ603〜ステップ606の具体的な処理は、ステップ402〜ステップ405と完全に同じであるため、ここでは繰り返して説明しない。
図7は、本発明の第4実施形態に係るアンカーオーセンティケータのリロケーション方法のフローチャートであり、PUSHモード下でのアンカーオーセンティケータのリロケーション方法における他の実施形態を示すフローチャートである。図6に示すように、この方法は、以下のステップを含む。
ステップ700〜ステップ701:旧オーセンティケータがオーセンティケータリロケーション要求を開始する必要がある場合、旧オーセンティケータは、AAAサーバにオーセンティケータリロケーション通知要求メッセージを送信して、新オーセンティケータへの切り替えをAAAサーバに通知し、かつ、AAAサーバが新オーセンティケータを認証するための、新オーセンティケータの関連情報(例えば新オーセンティケータの完全修飾ドメイン名/全称ドメイン名(FQDN))、又は又は旧オーセンティケータによって提供されるセキュリティパラメータXをAAAサーバに通知する。AAAサーバは、旧オーセンティケータにオーセンティケータリロケーション通知応答メッセージを返信する。セキュリティパラメータXは、旧オーセンティケータが提供することができる当該MSの関連パラメータ情報であってもよいし、新オーセンティケータと旧オーセンティケータとがどちらも利用可能なセキュリティパラメータであってもよいし、新オーセンティケータと旧オーセンティケータとがどちらも利用可能なセキュリティパラメータから算出されたセキュリティパラメータであってもよい。
このステップでは、旧オーセンティケータが、再認証又はオーセンティケータリロケーションが実行中であることを検出した場合、現在のオーセンティケータリロケーション要求を開始しない。一方、検出されなかった場合、旧オーセンティケータは、当該MSのオーセンティケータリロケーションロック状態を設定し、後続の全てのオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否する。更に、当該MSの再認証ロック状態を設定し、後続の全ての再認証要求の受け付けを拒否してもよい。
ステップ702:旧オーセンティケータは、新オーセンティケータにアンカーオーセンティケータリロケーション要求を送信する。即ち、MSのアンカーオーセンティケータリロケーションを開始する。
更に、旧オーセンティケータは、新オーセンティケータに送信されるアンカーオーセンティケータリロケーション要求メッセージに、MSのコンテキストの一部を含ませてもよい。MSのコンテキストの一部は、MS Security History、MS Authorization Context REG Context、Anchor MM Contextのうちの1つ以上を含む。更に、旧オーセンティケータは、セキュリティパラメータZを更に含ませる。セキュリティパラメータZは、旧オーセンティケータとAAAサーバとがどちらも利用可能なパラメータ情報であってもよいし、旧オーセンティケータとAAAサーバとがどちらも利用可能なセキュリティパラメータから算出されたセキュリティパラメータであってもよい。
ステップ703:新オーセンティケータは、旧オーセンティケータにアンカーオーセンティケータリロケーション応答を送信し、そしてMSのコンテキストを要求する。
ステップ704:旧オーセンティケータは、新オーセンティケータに送信されるアンカーオーセンティケータリロケーション確認メッセージに、MSのコンテキストの一部を含ませてもよい。MSのコンテキストの一部は、MS Security History、MS Authorization Context REG Context、Anchor MM Contextのうちの1つ以上を含む。更に、旧オーセンティケータは、返信されるメッセージに、セキュリティパラメータZを更に含ませてもよい。セキュリティパラメータZは、旧オーセンティケータとAAAサーバとがどちらも利用可能なパラメータ情報であってもよいし、旧オーセンティケータとAAAサーバとがどちらも利用可能なパラメータ情報から算出されたセキュリティパラメータであってもよい。
ステップ705〜ステップ708の具体的な処理は、ステップ402〜ステップ405と完全に同じであるため、ここでは繰り返して説明しない。
以上の説明は、本発明の好適な実施形態に過ぎず、本発明を限定するものではない。当業者にとっては、本発明に基づく種々の変更と変形が可能である。本発明の趣旨及び範囲を逸脱することなく実施されたあらゆる修正、同等の置換及び改良等は、すべて本発明の保護範囲に属する。

Claims (23)

  1. 旧オーセンティケータがモバイル端末(MS:Mobile Station)のアンカーオーセンティケータリロケーション要求を許可した後、新オーセンティケータが認証許可アカウンティング(AAA:Authentication Authorization and Accounting)サーバにオーセンティケータリロケーション要求を送信し、
    AAAサーバが新オーセンティケータの認証に成功し、且つ、旧オーセンティケータが、新オーセンティケータが信頼できることを確認した場合、アンカーオーセンティケータを新オーセンティケータへリロケーションする
    ことを特徴とするアンカーオーセンティケータのリロケーション方法。
  2. 当該方法の前に、又は、前記旧オーセンティケータがMSのアンカーオーセンティケータリロケーション要求を許可した後、前記新オーセンティケータがAAAサーバにオーセンティケータリロケーション要求を送信する前に、
    更に、前記旧オーセンティケータが、AAAサーバに通知メッセージを送信して、新オーセンティケータへの切り替えをAAAサーバに通知し、かつ、AAAサーバが新オーセンティケータを認証するための、新オーセンティケータの情報又は旧オーセンティケータによって提供されるセキュリティパラメータXをAAAサーバに通知する
    ことを特徴とする請求項1に記載のアンカーオーセンティケータのリロケーション方法。
  3. 前記アンカーオーセンティケータリロケーション要求は、前記新オーセンティケータ又は前記旧オーセンティケータによって開始される
    ことを特徴とする請求項1又は2に記載のアンカーオーセンティケータのリロケーション方法。
  4. 更に、前記旧オーセンティケータが、再認証又はオーセンティケータリロケーションが実行中であることを検出した場合、当該アンカーオーセンティケータリロケーション要求を拒否する
    ことを特徴とする請求項3に記載のアンカーオーセンティケータのリロケーション方法。
  5. 前記旧オーセンティケータが、再認証又はオーセンティケータリロケーションが実行中であるどうかを検出する方法は、
    前記旧オーセンティケータに、前記MSのためのアンカーオーセンティケータリロケーションロック状態識別子を設定し、アンカーオーセンティケータリロケーションロック状態識別子がロック状態を示す場合、オーセンティケータリロケーションロック状態が解除されるまで、他の新たなオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否する方法、
    又は、前記旧オーセンティケータに、前記MSのためのカウンターを設定し、カウンターの値が奇数である場合、他の新たなオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否する方法、
    又は、前記旧オーセンティケータにおいて、前記MSのオーセンティケータリロケーションが発生した場合、旧オーセンティケータに、前記MSのためのタイマーを設定し、当該タイマーがタイムアウトするまで、他の新たなオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否する方法である
    ことを特徴とする請求項4に記載のアンカーオーセンティケータのリロケーション方法。
  6. 更に、前記旧オーセンティケータが、現在のMSの再認証ロック状態を設定し、
    前記再認証ロック状態は、他の新たな再認証要求の受け付けを拒否する状態である
    ことを特徴とする請求項5に記載のアンカーオーセンティケータのリロケーション方法。
  7. 更に、前記旧オーセンティケータが、再認証又はオーセンティケータリロケーションが実行中であることを検出した場合、前記旧オーセンティケータが前記アンカーオーセンティケータリロケーション要求を拒否する
    ことを特徴とする請求項3に記載のアンカーオーセンティケータのリロケーション方法。
  8. 前記AAAサーバが新オーセンティケータを認証するステップは、
    前記AAAサーバが、リモート認証ダイヤルインユーザサービス(RADIUS:Remote Authentication Dial In user Service)プロトコル又はダイアメータ(Diameter)プロトコルにおけるセキュリティパラメータを利用して新オーセンティケータを認証し、
    前記旧オーセンティケータからのセキュリティパラメータと前記新オーセンティケータからのセキュリティパラメータとが同じである場合、認証に成功したとみなす
    ことを特徴とする請求項2に記載のアンカーオーセンティケータのリロケーション方法。
  9. 前記認証するステップは、
    前記新オーセンティケータが、MSのネットワークアクセス識別子(NAI:Network Access Identifier)、旧オーセンティケータによって提供されたセキュリティパラメータZ、又はセキュリティパラメータZを利用して算出されたセキュリティパラメータWを含むオーセンティケータリロケーション要求をAAAサーバに送信して、AAAサーバの認証を要求し、
    前記AAAサーバが、利用可能なセキュリティパラメータ、AAAサーバのローカルセキュリティパラメータZ1、又はローカルセキュリティパラメータZ1を利用して算出されたセキュリティパラメータWと、新オーセンティケータからのセキュリティパラメータとが同じであるかどうかを判定し、同じである場合、認証に成功したとみなす
    ことを特徴とする請求項8に記載のアンカーオーセンティケータのリロケーション方法。
  10. 前記新オーセンティケータによりAAAサーバに送信されるオーセンティケータリロケーション要求には、新オーセンティケータの完全修飾ドメイン名/全称ドメイン名(FQDN:Fully Qualified Domain Name)、旧オーセンティケータによって提供されたセキュリティパラメータX、又は旧オーセンティケータによって提供されたセキュリティパラメータXに基づいて算出されたセキュリティパラメータYが更に含まれ、
    前記認証するステップは、更に、
    前記旧オーセンティケータによって提供された新オーセンティケータのFQDN、旧オーセンティケータによって提供されたセキュリティパラメータX、又はセキュリティパラメータXに基づいて算出されたセキュリティパラメータYに基づいて、新オーセンティケータから受信されたセキュリティパラメータXと旧オーセンティケータから受信されたセキュリティパラメータXとが同じであるかどうかを判定し、又はセキュリティパラメータYとセキュリティパラメータYとが同じであるかどうかを判定し、同じである場合、認証に成功したとみなす
    ことを特徴とする請求項9に記載のアンカーオーセンティケータのリロケーション方法。
  11. 前記旧オーセンティケータが、新オーセンティケータが信頼できることを確認した場合、アンカーオーセンティケータを新オーセンティケータへリロケーションするステップは、
    前記新オーセンティケータが、旧オーセンティケータに現在のMSのコンテキストを要求し、旧オーセンティケータが、新オーセンティケータが信頼できることを確認した場合、新オーセンティケータにMSのコンテキストを返す
    ことを特徴とする請求項1又は2に記載のアンカーオーセンティケータのリロケーション方法。
  12. 前記旧オーセンティケータは、更に、前記MSに対応する旧マスターセッションキー(MSK:Master Session Key)を新オーセンティケータに返す
    ことを特徴とする請求項11に記載のアンカーオーセンティケータのリロケーション方法。
  13. 前記新オーセンティケータが信頼できることを確認するステップは、
    前記新オーセンティケータが旧オーセンティケータに、AAAサーバから取得されたセキュリティパラメータU又はセキュリティパラメータVを返し、
    前記旧オーセンティケータが、ローカルで利用可能なセキュリティパラメータUと、新オーセンティケータからのセキュリティパラメータUとが同じであるかどうかを判定し、又はローカルセキュリティパラメータUに基づいて算出されたセキュリティVと、新オーセンティケータからのセキュリティパラメータVとが同じであるかどうかを判定し、同じである場合、当該新オーセンティケータが信頼できると判断する
    ことを特徴とする請求項11に記載のアンカーオーセンティケータのリロケーション方法。
  14. 更に、オーセンティケータリロケーションロック状態が既に設定されている場合、前記MSのオーセンティケータリロケーションロック状態を解除し
    再認証ロック状態が既に設定されている場合、前記MSの再認証ロック状態を解除する
    ことを特徴とする請求項13に記載のアンカーオーセンティケータのリロケーション方法。
  15. 更に、前記新オーセンティケータが旧オーセンティケータにオーセンティケータリロケーション完了確認メッセージを送信し、
    前記旧オーセンティケータが、リロケーションが首尾よく完了したことを確認した場合、現在のMSの関連情報を削除する
    ことを特徴とする請求項1又は2に記載のアンカーオーセンティケータのリロケーション方法。
  16. 少なくとも、新オーセンティケータと、旧オーセンティケータと、AAA(AAA:Authentication Authorization and Accounting)サーバとを含む、アンカーオーセンティケータのリロケーションシステムであって、
    新オーセンティケータは、旧オーセンティケータとインタラクションを行い、旧オーセンティケータがモバイル端末(MS:Mobile Station)のアンカーオーセンティケータリロケーション要求を許可した後、AAAサーバにオーセンティケータリロケーション要求を送信し、AAAサーバからの認証成功応答を受信し、オーセンティケータリロケーションを完了するように旧オーセンティケータに要求し、
    旧オーセンティケータは、新オーセンティケータとインタラクションを行い、MSのアンカーオーセンティケータリロケーション要求を許可するかどうかを判定し、新オーセンティケータが信頼できることを確認した場合、オーセンティケータリロケーション成功/完了応答を新オーセンティケータに送信し、アンカーオーセンティケータを新オーセンティケータへリロケーションし、
    AAAサーバは、新オーセンティケータを認証し、認証に成功した場合、新オーセンティケータに認証成功応答を送信する
    ことを特徴とするアンカーオーセンティケータのリロケーションシステム。
  17. 前記旧オーセンティケータは、更に、再認証又はオーセンティケータリロケーションが実行中であることが検出された場合、当該アンカーオーセンティケータリロケーション要求を拒否する
    ことを特徴とする請求項16に記載のアンカーオーセンティケータのリロケーションシステム。
  18. 前記旧オーセンティケータは、更に、前記アンカーオーセンティケータリロケーション要求を許可した場合、現在のMSのオーセンティケータリロケーションロック状態を設定し、対応して、旧オーセンティケータは、新オーセンティケータが信頼できることを確認した場合、MSのオーセンティケータリロケーションロック状態を解除する
    ことを特徴とする請求項17に記載のアンカーオーセンティケータのリロケーションシステム。
  19. 前記旧オーセンティケータは、
    前記MSのためのアンカーオーセンティケータリロケーションロック状態識別子を設定し、アンカーオーセンティケータリロケーションロック状態識別子がロック状態を示す場合、オーセンティケータリロケーションロック状態が解除されるまで、他の新たなオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否し、
    又は、前記MSのためのカウンターを設定し、カウンターの値が奇数である場合、他の新たなオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否し、
    又は、前記旧オーセンティケータにおいて、前記MSのオーセンティケータリロケーションが発生した場合、旧オーセンティケータに、前記MSのためのタイマーを設定し、タイマーがタイムアウトするまで、他の新たなオーセンティケータリロケーション要求及び/又は再認証要求の受け付けを拒否し、
    更に、前記旧オーセンティケータは、前記MSの再認証ロック状態を設定し、対応して、旧オーセンティケータが新オーセンティケータが信頼できることを確認した場合、MSの再認証ロック状態を解除する
    ことを特徴とする請求項18に記載のアンカーオーセンティケータのリロケーションシステム。
  20. 前記旧オーセンティケータは、更に、前記AAAサーバに通知メッセージを送信して、新オーセンティケータへの切り替えをAAAサーバに通知し、かつ、AAAサーバが新オーセンティケータを認証するための、新オーセンティケータの情報又は旧オーセンティケータによって提供されるセキュリティパラメータXをAAAサーバに通知する
    ことを特徴とする請求項16〜19のいずれか1項に記載のアンカーオーセンティケータのリロケーションシステム。
  21. 前記新オーセンティケータは、更に、旧オーセンティケータにオーセンティケータリロケーション完了確認メッセージを送信する
    ことを特徴とする請求項20に記載のアンカーオーセンティケータのリロケーションシステム。
  22. 前記旧オーセンティケータは、更に、オーセンティケータリロケーションが首尾よく完了したことを確認した場合、前記MSの関連情報を削除する
    ことを特徴とする請求項21に記載のアンカーオーセンティケータのリロケーションシステム。
  23. 前記旧オーセンティケータは、更に、任意の拒否又は失敗応答が存在する場合、前記MSがネットワークから退出するプロセスを開始する
    ことを特徴とする請求項22に記載のアンカーオーセンティケータのリロケーションシステム。
JP2012557381A 2010-03-18 2010-12-31 アンカーオーセンティケータのリロケーション方法及びシステム Active JP5531117B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201010147306.1 2010-03-18
CN201010147306.1A CN102196407B (zh) 2010-03-18 2010-03-18 锚定鉴权器重定位方法及系统
PCT/CN2010/080610 WO2011113292A1 (zh) 2010-03-18 2010-12-31 锚定鉴权器重定位方法及系统

Publications (2)

Publication Number Publication Date
JP2013522983A JP2013522983A (ja) 2013-06-13
JP5531117B2 true JP5531117B2 (ja) 2014-06-25

Family

ID=44603649

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012557381A Active JP5531117B2 (ja) 2010-03-18 2010-12-31 アンカーオーセンティケータのリロケーション方法及びシステム

Country Status (4)

Country Link
US (1) US9032485B2 (ja)
JP (1) JP5531117B2 (ja)
CN (1) CN102196407B (ja)
WO (1) WO2011113292A1 (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9367676B2 (en) 2013-03-22 2016-06-14 Nok Nok Labs, Inc. System and method for confirming location using supplemental sensor and/or location data
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9887983B2 (en) 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US9946883B2 (en) 2013-05-22 2018-04-17 Qualcomm Incorporated Methods and apparatuses for protecting positioning related information
US9961077B2 (en) 2013-05-30 2018-05-01 Nok Nok Labs, Inc. System and method for biometric authentication with device attestation
US9836637B2 (en) 2014-01-15 2017-12-05 Google Llc Finger print state integration with non-application processor functions for power savings in an electronic device
US9413533B1 (en) * 2014-05-02 2016-08-09 Nok Nok Labs, Inc. System and method for authorizing a new authenticator
US9654469B1 (en) 2014-05-02 2017-05-16 Nok Nok Labs, Inc. Web-based user authentication techniques and applications
US9577999B1 (en) 2014-05-02 2017-02-21 Nok Nok Labs, Inc. Enhanced security for registration of authentication devices
US9455979B2 (en) 2014-07-31 2016-09-27 Nok Nok Labs, Inc. System and method for establishing trust using secure transmission protocols
US10148630B2 (en) 2014-07-31 2018-12-04 Nok Nok Labs, Inc. System and method for implementing a hosted authentication service
US9749131B2 (en) 2014-07-31 2017-08-29 Nok Nok Labs, Inc. System and method for implementing a one-time-password using asymmetric cryptography
US9875347B2 (en) 2014-07-31 2018-01-23 Nok Nok Labs, Inc. System and method for performing authentication using data analytics
US9736154B2 (en) 2014-09-16 2017-08-15 Nok Nok Labs, Inc. System and method for integrating an authentication service within a network architecture
US10637853B2 (en) 2016-08-05 2020-04-28 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10769635B2 (en) 2016-08-05 2020-09-08 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10237070B2 (en) 2016-12-31 2019-03-19 Nok Nok Labs, Inc. System and method for sharing keys across authenticators
US10091195B2 (en) 2016-12-31 2018-10-02 Nok Nok Labs, Inc. System and method for bootstrapping a user binding
US11517768B2 (en) 2017-07-25 2022-12-06 Elekta, Inc. Systems and methods for determining radiation therapy machine parameter settings
US10830895B2 (en) 2017-10-18 2020-11-10 Qualcomm Incorporated Secure global navigation satellite systems
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
US11831409B2 (en) 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication
CN113676901B (zh) * 2020-04-30 2022-11-18 华为技术有限公司 密钥管理方法、设备及系统

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1996911A (zh) * 2006-01-05 2007-07-11 华为技术有限公司 一种在多主机WiMAX系统中控制R3重锚定的方法
US7561692B2 (en) 2006-02-27 2009-07-14 Alvarion Ltd. Method of authenticating mobile terminal
CN101039312A (zh) * 2006-03-17 2007-09-19 华为技术有限公司 防止通用鉴权框架中服务功能实体受攻击的方法及装置
CN101079692A (zh) 2006-05-22 2007-11-28 华为技术有限公司 无线通信网络中更新移动ip密钥的方法及系统
CN101079702A (zh) * 2006-05-23 2007-11-28 华为技术有限公司 一种无线网络中安全信息的传输方法及装置
CN101106452B (zh) * 2006-07-12 2010-12-08 华为技术有限公司 移动ip密钥的产生及分发方法和系统
US7831253B2 (en) * 2006-09-21 2010-11-09 Futurewei Technologies, Inc. Method and system for error handling in wireless communication networks
JP5226202B2 (ja) 2006-11-30 2013-07-03 富士通株式会社 無線通信ネットワークにおけるリロケーション制御装置
JP5007745B2 (ja) 2007-06-15 2012-08-22 富士通株式会社 通信システム、通信システムにおける移動端末の位置検索方法、及びプログラム
US8078171B2 (en) 2007-06-15 2011-12-13 Intel Corporation Handoff of a mobile station from a first to a second type of wireless network
KR101481558B1 (ko) * 2007-10-18 2015-01-13 엘지전자 주식회사 이기종 무선접속망간 보안연계 설정 방법
JP2009153042A (ja) 2007-12-21 2009-07-09 Japan Radio Co Ltd WiMAXGW基地局装置及びWiMAXハンドオーバ制御システム
CN101494544B (zh) * 2008-01-23 2012-05-30 诺基亚西门子通信有限责任两合公司 维持基于“直径”协议的在线计费连续性的方法
JP5210650B2 (ja) 2008-02-05 2013-06-12 日本無線株式会社 WiMAXGW基地局制御システム
WO2009118980A1 (ja) 2008-03-25 2009-10-01 株式会社日立コミュニケーションテクノロジー 無線通信システム、ゲートウェイ制御装置および基地局
WO2009129856A1 (en) * 2008-04-24 2009-10-29 Nokia Siemens Networks Oy Mechanism for controling charging in case of charging client relocation
EP2286542A1 (en) 2008-06-03 2011-02-23 Nokia Siemens Networks Oy Methods and system for relocating the client port in the process of online prepaying
CN101635925B (zh) * 2008-07-21 2012-07-18 中兴通讯股份有限公司 一种锚定寻呼控制器和锚定鉴权器的重新分配方法
CN101656944B (zh) * 2008-08-19 2012-10-17 华为技术有限公司 一种锚定数据通路功能实体迁移的方法与装置
CN102282889B (zh) * 2009-01-15 2014-08-20 思科技术公司 通信网络中的网关重定位
US20120020343A1 (en) * 2009-02-13 2012-01-26 Panasonic Corporation Gateway connection method, gateway connection control system, and user equipment
KR101574188B1 (ko) * 2009-09-30 2015-12-03 삼성전자주식회사 통신 시스템에서 단말의 접속 서비스 네트워크 변경 방법 및 시스템
US8443431B2 (en) * 2009-10-30 2013-05-14 Alcatel Lucent Authenticator relocation method for WiMAX system
KR101718096B1 (ko) * 2009-12-01 2017-03-20 삼성전자주식회사 무선통신 시스템에서 인증방법 및 시스템
US9769713B2 (en) * 2010-03-25 2017-09-19 Alcatel Lucent Method of relocating access service network functional entities during mobility events in WiMAX networks

Also Published As

Publication number Publication date
CN102196407B (zh) 2015-09-16
CN102196407A (zh) 2011-09-21
US20130014231A1 (en) 2013-01-10
US9032485B2 (en) 2015-05-12
JP2013522983A (ja) 2013-06-13
WO2011113292A1 (zh) 2011-09-22

Similar Documents

Publication Publication Date Title
JP5531117B2 (ja) アンカーオーセンティケータのリロケーション方法及びシステム
EP2530963B1 (en) Authentication method for machine type communication device, machine type communication gateway and related devices
US9161217B2 (en) Method and system for authenticating in a communication system
TW200934195A (en) System and method of authenticating a context transfer from MME towards a legacy 3GPP system
JP2007535047A (ja) ネットワークにアクセスするユーザ端末に対してジェネリック認証アーキテクチャーを応用して管理する方法及びシステム
WO2013009508A1 (en) Methods for attaching a wireless device to a foreign 3gpp wireless domain using alternative authentication mechanisms
KR101718096B1 (ko) 무선통신 시스템에서 인증방법 및 시스템
KR101445459B1 (ko) 인증 방법 및 제 1 인증 엔티티로부터 제 2 인증 엔티티로 사용자에 대한 인증 관계를 전송하기 위한 방법
CN101150472A (zh) Wimax中实现认证的方法、认证服务器和终端
CN115915132A (zh) 密钥管理方法、设备及系统
KR100876556B1 (ko) 무선 액세스 망에서 핸드오버 지원을 위한 통합 인증 방법및 시스템
CN101568116B (zh) 一种证书状态信息的获取方法及证书状态管理系统
JPH11161618A (ja) 移動計算機管理装置、移動計算機装置及び移動計算機登録方法
JP2009031848A (ja) 認証転送装置
CN101321396A (zh) 移动台的切换实现方法和构建安全接入服务网络的方法
JP5530535B2 (ja) オーセンティケータリロケーション要求の処理方法及びシステム
WO2011095001A1 (zh) 一种由移动终端主动发起的数据通道建立方法及asn系统
WO2016180145A1 (zh) 一种无线网络鉴权方法及核心网网元、接入网网元、终端
CN102035802B (zh) 一种认证控制的方法,认证服务器和系统
CN103249030B (zh) 业务签约信息处理方法及装置
CN114650532A (zh) 一种协议数据单元会话建立方法及装置
CN114223232A (zh) 通信方法和相关设备
CN102026191A (zh) 一种避免重鉴权失败的方法及基站

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131119

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140401

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140421

R150 Certificate of patent or registration of utility model

Ref document number: 5531117

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250