JP5535331B2 - Wimaxシステムのためのオーセンティケータ移転方法 - Google Patents
Wimaxシステムのためのオーセンティケータ移転方法 Download PDFInfo
- Publication number
- JP5535331B2 JP5535331B2 JP2012537034A JP2012537034A JP5535331B2 JP 5535331 B2 JP5535331 B2 JP 5535331B2 JP 2012537034 A JP2012537034 A JP 2012537034A JP 2012537034 A JP2012537034 A JP 2012537034A JP 5535331 B2 JP5535331 B2 JP 5535331B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- entity
- token
- msk
- authenticating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Description
本発明は、一般に、無線通信システムにおけるモバイル端末装置と基地局の間の認証に関する。
WiMAX Forumが、IEEE802.16eベースの無線インタフェースのネットワークサポートに関する規格を定義している。本出願の出願日の時点で、これらの規格の最新のリリースは、WiMAX Forumによって公表されたStage 2[WMF−T32−005−R010v04_Network−Stage2]文書およびStage 3[WMF−T33−004−R010v04_Network−Stage3]文書において説明されている。
WiMAX Forum、Stage 2[WMF−T32−005−R010v04_Network−Stage2]
WiMAX Forum、Stage 3[WMF−T33−004−R010v04_Network−Stage3]
WiMAX無線システムにおいて通信セキュリティをもたらすのに、モバイル端末装置とサービングネットワークの間でセキュリティ関連付けが維持される。このセキュリティ関連付けは、ネットワークに入るユーザ端末装置の初期契約認証中に契約者のホームネットワークの助けを借りて作成され、その後、再認証イベント中にリフレッシュされることが可能である。そのような再認証イベント中のシステムリソースの最適な割当ては、継続的な問題となっている。
アンカ認証の移転中に、MSの再認証を行うことなしに、リプレー保護を提供するとともに、不正なASN−GW問題を軽減する、拡張認証プロトコルなどを通常、適用する通信システムにおけるオーセンティケータ移転のための方法が、提供される。本発明の一実施形態において、カウンタ値のアプリケーションが、オーセンティケータの移転のために認証プロトコルの要素の間で交換されるメッセージの中のトークンとして提供される。本発明の別の実施形態において、再認証を行うことなしにマスタセッション鍵のセキュリティで保護されたリフレッシュのためのアプリケーションが提供される。
本発明の教示は、添付の図面と併せて以下の詳細な説明を考慮することによって容易に理解され得る。
以下の説明において、限定の目的ではなく、説明の目的で、本発明の例示的な実施形態の十分な理解をもたらすために、特定のアーキテクチャ、インタフェース、技術などの特定の詳細が示される。しかし、本発明は、これらの特定の詳細から逸脱する他の例示的な実施形態において実施されることも可能であることが、当業者には明白となろう。いくつかの場合において、よく知られたデバイス、回路、及び方法の詳細な説明は、説明される実施形態の説明を不要な詳細で不明瞭にしないように、省略される。すべての原理、態様、および実施形態、ならびにそれらの原理、態様、および実施形態の具体的な例は、それらの原理、態様、および実施形態の構造上の均等物と機能上の均等物をともに包含することを意図している。さらに、そのような均等物には、現在、知られている均等物も、将来に開発される均等物もともに含まれることが意図される。
本発明は、以降、WiMAXアプリケーションに関連して説明される。しかし、本発明は、他の無線システムにも適用可能であること、および以下の説明におけるWiMAXアプリケーションの使用は、本発明の原理を例示することのみを目的としており、本発明の範囲を限定することは全く意図していないことを明記しておく。
図1は、本明細書で開示される本発明の方法が実施され得るシステムアーキテクチャを示す。その図は、WiMAX標準、WMF−T32−005−R010v04_Network−Stage2の図6−5に示される典型的なネットワーク参照モデルに対応する。
無線通信システムにおいて、許可されたユーザだけにしか通信システムへのアクセスが与えられないことを確実にするセキュリティ機構が、一般に、適用される。そのようなセキュリティ機構を実施するように実行されるプロトコルは、一般に、認証として特徴づけられ、さらに、一般に、3つのエンティティ:(1)通信システムへのアクセスを要求する、移動局(図1のMS)などのサプリカント(またはクライアント)、(2)通信ネットワークへのアクセスに関するゲートキーパとして動作するオーセンティケータ(図1に示されるWiMAXシステムにおいてASN−GW(アクセスサービスネットワークゲートウェイ)と呼ばれる)、および(3)サプリカントと認証サーバの間の認証メッセージ(通常、1つまたは複数の鍵で暗号化される)の交換に基づいて、決定する認証サーバ(図1にホームAAAサーバとして示される)の間で分割される。
WiMAXを含む多くの無線通信システムにおいて、認証は、EAP(拡張認証プロトコル)を使用して実施される。WiMAXセキュリティフレームワーク、セクション7.3で、特にセクション7.3.8で説明されるとおり、EAPベースの認証プロトコルが正常に完了すると、MS(移動局)とHAAA(ホームAAA)サーバがともに、秘密マスタセッション鍵(MSK)を生成する。この鍵は、HAAAによって、サービングシステムASN−GWにおけるオーセンティケータ機能に送られる。
このMSKセキュリティ関連付けは、情報暗号化、完全性保護などのための複数のより低いレベルのセキュリティ鍵を作成するのにさらに使用される。
ASN−GWにおけるオーセンティケータ機能は、アンカされ、さらに相当な期間にわたって静的なままであることが可能であるのに対して、MSは、サービングASNの領域内で基地局によるサービスを受ける。また、オーセンティケータは、MSがローミングして隣接するASNに入った場合、そのASNが、同一の事業者の完全に信頼されるドメインに属する限り、アンカされたままであることも可能である。しかし、MSが、R4インタフェース基準点(図1に示される)を越えて、信頼の境界を越えて別のASNにハンドオーバされると、セキュリティフレームワークは、MSの再認証を規定する。
再認証の結果、新たなASN−GWが、オーセンティケータ責任を負い、さらに新たなMSKを受信する。事実上、そのような再認証は、オーセンティケータの移転をもたらす。
動的な移動性の高い環境において、MSの急速な移動は、隣接するASN間で頻繁なハンドオーバを生じさせ、このため、1つのASN−GWから別のASN−GWへのオーセンティケータ機能の頻繁な移転を要求する。そのような繰り返しの再認証を行うことは、バックホールネットワークおよびAAAインフラストラクチャに、さらに重要なことには、無線インタフェースにさらなる負担をかける。
例えば、アイドルモードに入っている間に、すなわち、サービングシステムと能動的に通信していない状態で、1つのASNから別のASNにローミングするMSを考慮されたい。オーセンティケータ移転のための再認証を行うために、システムは、MSを「起動させ」、複雑なEAP認証プロトコルを実行し、さらに、その後、MSを解放してアイドルに戻す必要がある。この動作は、MSリソースおよびシステムリソースを酷使する。
再認証を行うことなしにオーセンティケータを移転するための従来技術における方法が、提供されている。そのアプローチの骨子が、図2に示され、以下に要約される:
− MSが、例えば、現在のページング区域の辺りの重なるサービングネットワークからの受信された通知を分析することによって、MSがローミングして別のASNに入ったことを認識し、したがって、MSの登録されたロケーションを更新する必要があることを知る。代替として、MSは、その新たなASNにアクセスして、セッションを要求することを決定することが可能である。いずれにしても、MSは、その区域内の最も近い基地局に測距要求、RNG−REQを送信する。
− MSからのRNG−REQメッセージが、基地局BSによって受信され、さらに検証される必要がある。その機能を実施するのに、BSは、当該のMSにサービスを提供する現在のアンカオーセンティケータからアクセスセキュリティ鍵AKを要求する必要がある。図2のステップ2に示されるとおり、BSは、通常、この要求を、R6インタフェース(BSとASN−GWの間の)を介してローカルASN−GWに中継し、ローカルASN−GWが、そのMSにそれまでサービスを提供していたASNに関連する現在のアンカされたサービングオーセンティケータ(「以前のオーセンティケータ」を表すpAとして表される)とは区別されるべき、そのMSに関する新たなターゲットオーセンティケータ(「新たなオーセンティケータ」を表すnAとして表される)となる。
− nAが、そのMSが別のASNに登録されていること、およびそのMSのセキュリティ関連付けが、pAにアンカされていることを認識する。図2のステップ3に示されるとおり、nAが、その要求を、R4インタフェースを介してpAに転送する。
− そのMSに関する現在のオーセンティケータが、2つのナンス、Nonce1およびNonce2を生成する。次に、pAが、nAのIDに加えてMSKおよびNonce1を使用して、図2のステップ4でMSKhash1として示されるメッセージ(トークン)移転要求トークンを作成する。この移転要求トークンが、ステップ4で新たなターゲットオーセンティケータnAに送られ、ステップ5で、nAによって、R3/R5インタフェースを介してHAAAに転送される。
− HAAAが、このトークンを、pA(秘密MSKを現在、所有している)がpAのオーセンティケータ責任をnAに移すことに合意したことの証明として検証する。
− また、HAAAは、ローカルポリシーを確認して、nAが、現在のMSセッションに関してオーセンティケータ責務を実行することを許可されており、さらに同一のMSKを受信するのに十分なだけ信頼されていることを検証する。そうである場合、ステップ6で、HAAAは、現在アクティブのMSKをnAに送信する。
− MSKを受信すると、nAは、受信されたMSKおよびNonce2を使用して移転許可トークン、MSKhash2を計算する。次に、ステップ7で、トークン、MSKhash2は、nAが現時点でMSKを所有していること、およびHAAAがオーセンティケータ移管を許可していることの証明としてpAに送信される。
− ステップ8で、AuthRelocFinRespメッセージが、ステップ7のメッセージによって開始されたトランザクションを閉じる。事実上、AuthRelocFinRespメッセージは、pAが、MSKHash2を検証し、承認し、MSKHash2に満足し、さらにMSKHash2を、AAA許可を有するnAが現時点で有効なMSKを所有していることの証明として扱うことを、nAに知らせる。つまり、オーセンティケータ移転は、現時点で終了されることが可能である。
− pAからのその後のアカウンティング停止(ステップ9)、およびnAからのアカウンティング開始(ステップ11)は、オーセンティケータ移転が正常に完了したことをHAAAに通知する。
− MSが、例えば、現在のページング区域の辺りの重なるサービングネットワークからの受信された通知を分析することによって、MSがローミングして別のASNに入ったことを認識し、したがって、MSの登録されたロケーションを更新する必要があることを知る。代替として、MSは、その新たなASNにアクセスして、セッションを要求することを決定することが可能である。いずれにしても、MSは、その区域内の最も近い基地局に測距要求、RNG−REQを送信する。
− MSからのRNG−REQメッセージが、基地局BSによって受信され、さらに検証される必要がある。その機能を実施するのに、BSは、当該のMSにサービスを提供する現在のアンカオーセンティケータからアクセスセキュリティ鍵AKを要求する必要がある。図2のステップ2に示されるとおり、BSは、通常、この要求を、R6インタフェース(BSとASN−GWの間の)を介してローカルASN−GWに中継し、ローカルASN−GWが、そのMSにそれまでサービスを提供していたASNに関連する現在のアンカされたサービングオーセンティケータ(「以前のオーセンティケータ」を表すpAとして表される)とは区別されるべき、そのMSに関する新たなターゲットオーセンティケータ(「新たなオーセンティケータ」を表すnAとして表される)となる。
− nAが、そのMSが別のASNに登録されていること、およびそのMSのセキュリティ関連付けが、pAにアンカされていることを認識する。図2のステップ3に示されるとおり、nAが、その要求を、R4インタフェースを介してpAに転送する。
− そのMSに関する現在のオーセンティケータが、2つのナンス、Nonce1およびNonce2を生成する。次に、pAが、nAのIDに加えてMSKおよびNonce1を使用して、図2のステップ4でMSKhash1として示されるメッセージ(トークン)移転要求トークンを作成する。この移転要求トークンが、ステップ4で新たなターゲットオーセンティケータnAに送られ、ステップ5で、nAによって、R3/R5インタフェースを介してHAAAに転送される。
− HAAAが、このトークンを、pA(秘密MSKを現在、所有している)がpAのオーセンティケータ責任をnAに移すことに合意したことの証明として検証する。
− また、HAAAは、ローカルポリシーを確認して、nAが、現在のMSセッションに関してオーセンティケータ責務を実行することを許可されており、さらに同一のMSKを受信するのに十分なだけ信頼されていることを検証する。そうである場合、ステップ6で、HAAAは、現在アクティブのMSKをnAに送信する。
− MSKを受信すると、nAは、受信されたMSKおよびNonce2を使用して移転許可トークン、MSKhash2を計算する。次に、ステップ7で、トークン、MSKhash2は、nAが現時点でMSKを所有していること、およびHAAAがオーセンティケータ移管を許可していることの証明としてpAに送信される。
− ステップ8で、AuthRelocFinRespメッセージが、ステップ7のメッセージによって開始されたトランザクションを閉じる。事実上、AuthRelocFinRespメッセージは、pAが、MSKHash2を検証し、承認し、MSKHash2に満足し、さらにMSKHash2を、AAA許可を有するnAが現時点で有効なMSKを所有していることの証明として扱うことを、nAに知らせる。つまり、オーセンティケータ移転は、現時点で終了されることが可能である。
− pAからのその後のアカウンティング停止(ステップ9)、およびnAからのアカウンティング開始(ステップ11)は、オーセンティケータ移転が正常に完了したことをHAAAに通知する。
前述した従来技術の手順は、以下に説明されるいくつかの欠点を抱えている:
− Nonce1とNonce2がともに、同一のエンティティpAによって乱数として生成され、鮮度に関して他のいずれのネットワークエンティティによっても検証され得ない。つまり、nAとHAAAのいずれも、提示されたランダムなNonce1またはNonce2が以前に使用されていないことを検証することができない。したがって、オーセンティケータ移転トランザクションに関してリプレー保護の保証が存在しない。その結果、不正なASN−GWが、HAAAに対する要求の中で移転要求トークンを繰り返して、MSが他のどこかでサービスを受けている場合でさえ、MSKを受信することが可能である。MSKを所有していることは、そのような不正なASN−GWがMSセッションを盗聴することを許し、さらに別のシステムにおいてサービスを拒否することさえ許す。
− 前述した従来技術のプロトコルは、R4インタフェースがトランスポート層セキュリティ対策によって保護されていて、その結果、pAオーセンティケータおよびnAオーセンティケータは、それぞれのオーセンティケータのIDを偽装すること、またはスプーフィングすることができないものと想定する。不正なASN−GWは、pAとnAの間の中間者R4エンティティとして自らを挿入し、移転要求トークンをキャッシュし、MSKを獲得するために後の時点でその移転要求トークンを再使用することができるので、この想定には保証がない。
− 複数のASNにおいて同一のMSKを再使用することは、セキュリティが損なわれたASN−GWが、現在のMSトラフィックだけでなく、MSK有効性の期間全体にわたって当該のMSのすべての以前のデータおよび将来のデータを解読することができるので、MSK脆弱性の範囲を増大させる。
− Nonce1とNonce2がともに、同一のエンティティpAによって乱数として生成され、鮮度に関して他のいずれのネットワークエンティティによっても検証され得ない。つまり、nAとHAAAのいずれも、提示されたランダムなNonce1またはNonce2が以前に使用されていないことを検証することができない。したがって、オーセンティケータ移転トランザクションに関してリプレー保護の保証が存在しない。その結果、不正なASN−GWが、HAAAに対する要求の中で移転要求トークンを繰り返して、MSが他のどこかでサービスを受けている場合でさえ、MSKを受信することが可能である。MSKを所有していることは、そのような不正なASN−GWがMSセッションを盗聴することを許し、さらに別のシステムにおいてサービスを拒否することさえ許す。
− 前述した従来技術のプロトコルは、R4インタフェースがトランスポート層セキュリティ対策によって保護されていて、その結果、pAオーセンティケータおよびnAオーセンティケータは、それぞれのオーセンティケータのIDを偽装すること、またはスプーフィングすることができないものと想定する。不正なASN−GWは、pAとnAの間の中間者R4エンティティとして自らを挿入し、移転要求トークンをキャッシュし、MSKを獲得するために後の時点でその移転要求トークンを再使用することができるので、この想定には保証がない。
− 複数のASNにおいて同一のMSKを再使用することは、セキュリティが損なわれたASN−GWが、現在のMSトラフィックだけでなく、MSK有効性の期間全体にわたって当該のMSのすべての以前のデータおよび将来のデータを解読することができるので、MSK脆弱性の範囲を増大させる。
本発明者は、従来技術の方法のアプローチにおいて特定される問題に対処する従来技術の方法のいくつかの変形を本明細書で開示する。これらの変形が、本発明の2つの例示的な実施形態を示す図3および図4に示され、以下に説明される。図2の流れ図から変わっていないステップは、概ね、図3および図4の以下の説明において繰り返されないことに留意されたい。
具体的には、
− ステップ3aで、増え続けるカウンタに基づく新たな変数、Counter1が、Nonce2とともに、pAにおいて生成されて(ランダムなナンス、Nonce1の代わりとして)移転要求トークンが作成される。
− 有利には、そのようなカウンタは、WiMAX/IEEE802.16eシステムにおいて既に存在し、さらにそのようなカウンタは、標準[WMF−T33−001−R010v04_Network−Stage3−Base]のセクション4.3.4において説明されるCMAC_KEY_COUNTカウンタとして定義される。このCMAC_KEY_COUNTは、現在、無線インタフェース上で管理メッセージのリプレー保護のために使用されており、さらにMS(CMAC_KEY_COUNTM)およびアンカオーセンティケータpA(CMAC_KEY_COUNTN)によって保持される。CMAC_KEY_COUNTMは、MSによってサービング基地局に送信される物理的アタッチメントメッセージ(RNG−REQ,LU−REQ)の中に含められる。
− このCMAC_KEY_COUNTMは、図3および図4のステップ2トランザクション中にR6インタフェースを介して、サービングBSによってnAに転送され、ステップ3でR4インタフェースを介して、nAによってpAに中継される。通常の動作において、pAは、受信されたCMAC_KEY_COUNTMをローカルで保持されるCMAC_KEY_COUNTNと比較し、大きい方の値を、CMAC_KEY_COUNTNのアクティブ値として選択する。
− 次にステップ3aで、pAが、CMAC_KEY_COUNTNを、移転要求トークンを計算する際のCounter1パラメータとして使用することが可能である。
− ステップ3bに示されるとおり、MSKの値、Counter1、Nonce2、pA−ID、およびnA−IDが、移転要求トークンの計算に含められて、移転トランザクションに関与するエンティティの適切な結合が確実にされる。この対策は、不正なASN−GWによる可能なIDスプーフィングを防止する。
− ステップ4で、移転要求トークン、pA−ID、nA−ID、Counter1、およびNonce2が、新たなオーセンティケータnAに送られ、さらにステップ5で、nAによってHAAAに転送される。
− HAAAが、WiMAX標準[WMF−T33−001−R010v04_Network−Stage3−Base]のセクション4.3.4で規定される要件に応じて、EAP認証が成功した時点で、CMAC_KEY_COUNTNが値1にリセットされ、さらにMSがネットワークに入ることに成功するごとにインクリメントされることを認識する。また、HAAAは、本発明の方法に従って、pAが、Counter1値を、次の再認証まで、1より大きくなければならず、さらにCounter1のそれまでに受信されたいずれの値よりも大きくなければならないCMAC_KEY_COUNTNの現在の保持される値と等しく設定することも認識している。この確認に違反は、移転要求トークンのリプレーを示し、拒否されなければならない。
− 前のセクションの試験に照らしてCounter1の値を評価した(ステップ5aで)後、Counter1値が許容できると判明して、HAAAがその移転要求トークンを検証する(ステップ5bで)。
− ステップ3aで、増え続けるカウンタに基づく新たな変数、Counter1が、Nonce2とともに、pAにおいて生成されて(ランダムなナンス、Nonce1の代わりとして)移転要求トークンが作成される。
− 有利には、そのようなカウンタは、WiMAX/IEEE802.16eシステムにおいて既に存在し、さらにそのようなカウンタは、標準[WMF−T33−001−R010v04_Network−Stage3−Base]のセクション4.3.4において説明されるCMAC_KEY_COUNTカウンタとして定義される。このCMAC_KEY_COUNTは、現在、無線インタフェース上で管理メッセージのリプレー保護のために使用されており、さらにMS(CMAC_KEY_COUNTM)およびアンカオーセンティケータpA(CMAC_KEY_COUNTN)によって保持される。CMAC_KEY_COUNTMは、MSによってサービング基地局に送信される物理的アタッチメントメッセージ(RNG−REQ,LU−REQ)の中に含められる。
− このCMAC_KEY_COUNTMは、図3および図4のステップ2トランザクション中にR6インタフェースを介して、サービングBSによってnAに転送され、ステップ3でR4インタフェースを介して、nAによってpAに中継される。通常の動作において、pAは、受信されたCMAC_KEY_COUNTMをローカルで保持されるCMAC_KEY_COUNTNと比較し、大きい方の値を、CMAC_KEY_COUNTNのアクティブ値として選択する。
− 次にステップ3aで、pAが、CMAC_KEY_COUNTNを、移転要求トークンを計算する際のCounter1パラメータとして使用することが可能である。
− ステップ3bに示されるとおり、MSKの値、Counter1、Nonce2、pA−ID、およびnA−IDが、移転要求トークンの計算に含められて、移転トランザクションに関与するエンティティの適切な結合が確実にされる。この対策は、不正なASN−GWによる可能なIDスプーフィングを防止する。
− ステップ4で、移転要求トークン、pA−ID、nA−ID、Counter1、およびNonce2が、新たなオーセンティケータnAに送られ、さらにステップ5で、nAによってHAAAに転送される。
− HAAAが、WiMAX標準[WMF−T33−001−R010v04_Network−Stage3−Base]のセクション4.3.4で規定される要件に応じて、EAP認証が成功した時点で、CMAC_KEY_COUNTNが値1にリセットされ、さらにMSがネットワークに入ることに成功するごとにインクリメントされることを認識する。また、HAAAは、本発明の方法に従って、pAが、Counter1値を、次の再認証まで、1より大きくなければならず、さらにCounter1のそれまでに受信されたいずれの値よりも大きくなければならないCMAC_KEY_COUNTNの現在の保持される値と等しく設定することも認識している。この確認に違反は、移転要求トークンのリプレーを示し、拒否されなければならない。
− 前のセクションの試験に照らしてCounter1の値を評価した(ステップ5aで)後、Counter1値が許容できると判明して、HAAAがその移転要求トークンを検証する(ステップ5bで)。
前述したとおり、本発明の2つの例示的な実施形態が、図3および図4に示される。この時点まで、この2つの実施形態の動作は、両方の図で同一であり、そのような共通の動作が、両方の図に関して以上に説明されてきた。しかし、以降、この2つの実施形態の発明の動作は、多少、異なり、それらの動作が、図3および図4に関して別々に説明される。
− 図3に示される実施形態において、HAAAが、ステップ5cに示されるとおり、鮮度パラメータとしてCounter1を使用することによって、MSK’として表されるMSKの新鮮なバージョンを生成して、MSK’を、MSKとCounter1のハッシュとして生成する。
− 次にステップ6で、MSK’が、HAAAからnAに送られる。
− ステップ6aで、nAが、MSK’を使用して移転許可トークンを計算し、このトークンを、MSK’を所有していることの証明としてpAに戻す(ステップ7で)。
− ステップ7aで、pAが、移転許可トークンを評価し、ステップ7bで検証し、ステップ8でオーセンティケータ移転を完了させる。
− ステップ9のトランザクションで、物理的アタッチメントまたはロケーション更新が完了し、さらにMSKがリフレッシュされたことを示すオーセンティケータ移転標識(ARI)が、MSに送信される。この通知を使用して、MSは、MSKを、MSKの現在の値、およびCMAC_KEY_COUNTMを鮮度パラメータとして使用してMSKを再計算する。
− CMAC_KEY_COUNTMの値が、pAにおいて保持されるCMAC_KEY_COUNTNより小さかった場合、MSは、ネットワークに受け付けられていないことに留意されたい。CMAC_KEY_COUNTMが、それまでに保持されていたCMAC_KEY_COUNTN以上であった場合、pAは、MSによって最初に報告されたCMAC_KEY_COUNTMと同期しているようにpAのCMAC_KEY_COUNTNを更新している。したがって、MS、pA、およびHAAAにおけるCMAC_KEY_COUNTの値は、この時点で完全に同期されている。その結果、MS、pA、およびHAAAによって計算されるMSK’は、同一である。
− pAからのその後のRADIUSアカウンティング停止(ステップ10)、およびnAからのアカウンティング開始(ステップ11)が、オーセンティケータ移転が完了したことをHAAAに示す。
− この時点で、MS、HAAA、およびnAは、新たなMSK=MSK’がアクティブであると宣言することができ、pAは、古いMSKを削除することができる。
− 図4に示される代替の実施形態において、本発明の動作は、新たなMSKの生成なしに進められる。このため、この実施形態の場合、HAAAは、MSKの新鮮な値、MSK’を生成すること(図3のステップ5cに示される)はせず、代わりに、現在の有効なMSKをnAに戻す(図4のステップ6)。
− ステップ6aで、nAが、そのMSKを使用して移転許可トークンを計算し、ステップ7で、このトークンを、MSKを所有していることの証明としてpAに戻す。
− ステップ7aで、pAが、移転許可トークンを評価し、ステップ7bで検証し、ステップ8でオーセンティケータ移転を完了させる。
− ステップ9のトランザクションで、MSKの変更なしに物理的アタッチメントまたはロケーション更新が完了したことを通知する測距応答RNG−RSPが、MSに送信される。
− 図3に示される実施形態において、HAAAが、ステップ5cに示されるとおり、鮮度パラメータとしてCounter1を使用することによって、MSK’として表されるMSKの新鮮なバージョンを生成して、MSK’を、MSKとCounter1のハッシュとして生成する。
− 次にステップ6で、MSK’が、HAAAからnAに送られる。
− ステップ6aで、nAが、MSK’を使用して移転許可トークンを計算し、このトークンを、MSK’を所有していることの証明としてpAに戻す(ステップ7で)。
− ステップ7aで、pAが、移転許可トークンを評価し、ステップ7bで検証し、ステップ8でオーセンティケータ移転を完了させる。
− ステップ9のトランザクションで、物理的アタッチメントまたはロケーション更新が完了し、さらにMSKがリフレッシュされたことを示すオーセンティケータ移転標識(ARI)が、MSに送信される。この通知を使用して、MSは、MSKを、MSKの現在の値、およびCMAC_KEY_COUNTMを鮮度パラメータとして使用してMSKを再計算する。
− CMAC_KEY_COUNTMの値が、pAにおいて保持されるCMAC_KEY_COUNTNより小さかった場合、MSは、ネットワークに受け付けられていないことに留意されたい。CMAC_KEY_COUNTMが、それまでに保持されていたCMAC_KEY_COUNTN以上であった場合、pAは、MSによって最初に報告されたCMAC_KEY_COUNTMと同期しているようにpAのCMAC_KEY_COUNTNを更新している。したがって、MS、pA、およびHAAAにおけるCMAC_KEY_COUNTの値は、この時点で完全に同期されている。その結果、MS、pA、およびHAAAによって計算されるMSK’は、同一である。
− pAからのその後のRADIUSアカウンティング停止(ステップ10)、およびnAからのアカウンティング開始(ステップ11)が、オーセンティケータ移転が完了したことをHAAAに示す。
− この時点で、MS、HAAA、およびnAは、新たなMSK=MSK’がアクティブであると宣言することができ、pAは、古いMSKを削除することができる。
− 図4に示される代替の実施形態において、本発明の動作は、新たなMSKの生成なしに進められる。このため、この実施形態の場合、HAAAは、MSKの新鮮な値、MSK’を生成すること(図3のステップ5cに示される)はせず、代わりに、現在の有効なMSKをnAに戻す(図4のステップ6)。
− ステップ6aで、nAが、そのMSKを使用して移転許可トークンを計算し、ステップ7で、このトークンを、MSKを所有していることの証明としてpAに戻す。
− ステップ7aで、pAが、移転許可トークンを評価し、ステップ7bで検証し、ステップ8でオーセンティケータ移転を完了させる。
− ステップ9のトランザクションで、MSKの変更なしに物理的アタッチメントまたはロケーション更新が完了したことを通知する測距応答RNG−RSPが、MSに送信される。
要約すると、本明細書で説明される本発明の方法の変形されたオーセンティケータ移転手順は、アンカ認証の移転中に、MSの再認証を行うことなしに、オプションとして、MSKのセキュリティで保護されたリフレッシュを許しながら、リプレー保護を提供するとともに、不正なASN−GW問題を軽減する。
本明細書で、本発明者らは、従来技術の方法に優るネットワークセキュリティの大幅な向上をもたらす、オーセンティケータ機能の移転を用いて、ただし、モバイル端末装置を再認証する必要なしに、1つのサービングシステムから別のサービングシステムにローミングするモバイル端末装置の移動性をサポートするための方法を開示した。以上の説明に鑑みて、本発明の多数の変形および代替の実施形態が、当業者には明白となろう。
したがって、この説明は、単に例示的であると解釈されるべきであり、本発明を実行する最良の形態を当業者に教示することを目的としており、本発明の可能なすべての形態を示すことは意図していない。また、使用されている言葉は、限定する言葉ではなく、説明の言葉であること、および構造の詳細は、本発明の趣旨を逸脱することなく、大幅に変更され得ること、および添付の特許請求の範囲に含まれるすべての変形形態の排他的使用が保留されることも理解されたい。
Claims (15)
- 第1の認証サーバから第2の認証サーバに、ユーザに対する認証を移転させるための方法において、
前記方法は、
第2の認証サーバにおいてトークンを受信すること、
第2の認証サーバにおいて、第1の認証サーバのIDを検証し、かつ、トークン中のカウンタ値を、第1の認証サーバとの前のセッションからのカウンタ値と比較することによって、トークンを評価して、トークンに関連付けられた要求の有効性を判定し、トークンは、少なくとも、前のセッションからのカウンタ値、第1の認証サーバのIDおよび第1のマスタセッション鍵(MSK)の関数であること、
第2の認証サーバが第1のMSKを所有している場合に、第2の認証サーバにおいて、ユーザに対する認証関係が第2の認証サーバに移転されているという指示を受信することを含む、方法。 - 第2の認証サーバは、第2の認証サーバに関連付けられたサーバからカウンタ値を受信するように構成されており、カウンタ値は、認証以外の機能のために生成されている、請求項1に記載の方法。
- カウンタ値および第1のMSKの関数として、第2のMSKを第2の認証サーバにおいて生成することをさらに含む、請求項1に記載の方法。
- 認証されたユーザが、第2の認証サーバとの認証関係を確立するように移動するとき、第2の認証サーバはトークンを受信する、請求項3に記載の方法。
- 第2の認証サーバが第1のMSKを所有していることを示す第2のトークンを生成すること、
第2のトークンを第1の認証サーバに転送することをさらに含む、請求項4に記載の方法。 - 第2のトークンが、カウンタ値および第1のMSKの関数として生成される、請求項5に記載の方法。
- 第2のトークンが、カウンタ値および第2のMSKの関数として生成される、請求項5に記載の方法。
- 第2の認証サーバが第1のMSKを所有していることを第2のトークンが示す場合に、ユーザと第2の認証サーバとの間で認証関係を確立することをさらに含む、請求項5に記載の方法。
- ユーザに対する認証関係を第1の認証エンティティから第2の認証エンティティに移すための方法であって、
第1の認証エンティティにおいて、第1のトークンを、マスタセッション鍵(MSK)、カウンタ値、第1の認証エンティティのIDおよび第2の認証エンティティのIDの関数として生成すること、
第1のトークンを第1の認証エンティティから第2の認証エンティティに送信し、第1のトークンは、第1の認証エンティティがユーザに対する認証関係を第2の認証エンティティに移すことに合意することを示すこと、
第1のトークンを第2の認証エンティティから認証サーバに、第2の認証エンティティのIDの標識と一緒に送信すること、
認証サーバにおいて、第1の認証エンティティのIDおよび第2の認証エンティティのIDを検証し、かつ、第1のトークン中のカウンタ値を、第1の認証エンティティとの前のセッションからのカウンタ値と比較することによって、認証のために第1のトークンを評価すること、
第1のトークンが認証される場合に、MSKおよびカウンタ値の関数として第2のトークンを第2の認証エンティティにおいて生成し、第2のトークンは、第2の認証エンティティがMSKを所有していることを示すこと、
第2の認証エンティティから第1の認証エンティティに第2のトークンを転送すること、
第1の認証エンティティにおいて第2のトークンを評価して、第2の認証エンティティがMSKを所有しているかどうかを判定すること、
第2の認証エンティティがMSKを所有している場合に、第1の認証エンティティから第2の認証エンティティに、ユーザに対する認証関係を移すことを含む、方法。 - カウンタ値が、第1の認証エンティティに関連付けられたエンティティから供給され、さらに認証以外の機能のために生成されている、請求項9に記載の方法。
- ユーザに対する認証関係を第1の認証エンティティから第2の認証エンティティに移すための方法であって、
第1の認証エンティティにおいて、第1のトークンを、第1のマスタセッション鍵(MSK)、カウンタ値、第1の認証エンティティのIDおよび第2の認証エンティティのIDの関数として生成すること、
第1のトークンを第1の認証エンティティから第2の認証エンティティに送信し、第1のトークンは、第1の認証エンティティがユーザに対する認証関係を第2の認証エンティティに移すことに合意することを示すこと、
第1のトークンを第2の認証エンティティから認証サーバに、第2の認証エンティティのIDの標識と一緒に送信すること、
認証サーバにおいて、第1の認証エンティティのIDおよび第2の認証エンティティのIDを検証し、かつ、第1のトークン中のカウンタ値を、第1の認証エンティティとの前のセッションからのカウンタ値と比較することによって、認証のために第1のトークンを評価すること、
認証サーバにより、第2のMSK値を第1のMSK値およびカウンタ値の関数として生成すること、
認証サーバによって第1のトークンが認証される場合に、第2のトークンを、第2の認証エンティティにおける第2のMSK値およびカウンタ値の関数として生成すること、
第2のトークンを、第2の認証エンティティから第1の認証エンティティに転送すること、
第1の認証エンティティにおいて第2のトークンを評価し、さらにユーザに対する認証関係を第1の認証エンティティから第2の認証エンティティに移すことを含む、方法。 - カウンタ値が、第1の認証エンティティに関連付けられたエンティティから供給され、さらに認証以外の機能のために生成されている、請求項11に記載の方法。
- 第1のMSK値を第2のMSK値に置き換えることをさらに含む、請求項11に記載の方法。
- 第2の認証エンティティにおいてユーザに対する認証関係を取得するための方法において、
前記方法は、
前の認証エンティティがユーザに対する認証関係を移すことに合意することを示す第1のトークンを、第2の認証エンティティにおいて受信し、第1のトークンは、マスタセッション鍵(MSK)、カウンタ値、前の認証エンティティのIDおよび第2の認証エンティティのIDの関数であること、
第2の認証エンティティにおいて、第1のトークンが真正であるという指示を受信し、第1のトークンは、カウンタ値が予期される値を含み、かつ、前の認証エンティティのIDおよび第2の認証エンティティのIDが検証された場合に、真正であること、
第1のトークンが真正である場合に、第2の認証エンティティにおいて、MSKおよびカウンタ値の関数として、第2のトークンを生成し、第2のトークンは、第2の認証エンティティがMSKを所有していることを示すこと、
第2のトークンを、第2の認証エンティティから前の認証エンティティに転送すること、
第2の認証エンティティがMSKを所有している場合に、第2の認証エンティティにおいて、ユーザに対する認証関係が第2の認証エンティティに移転されているという指示を受信することを含む、方法。 - カウンタ値は、認証以外の機能のために生成されている請求項14に記載の方法。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US28016809P | 2009-10-30 | 2009-10-30 | |
| US61/280,168 | 2009-10-30 | ||
| US12/655,842 | 2010-01-08 | ||
| US12/655,842 US8443431B2 (en) | 2009-10-30 | 2010-01-08 | Authenticator relocation method for WiMAX system |
| PCT/US2010/054426 WO2011053680A2 (en) | 2009-10-30 | 2010-10-28 | Authenticator relocation method for wimax system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013509821A JP2013509821A (ja) | 2013-03-14 |
| JP5535331B2 true JP5535331B2 (ja) | 2014-07-02 |
Family
ID=43507818
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012537034A Expired - Fee Related JP5535331B2 (ja) | 2009-10-30 | 2010-10-28 | Wimaxシステムのためのオーセンティケータ移転方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8443431B2 (ja) |
| EP (1) | EP2494803A2 (ja) |
| JP (1) | JP5535331B2 (ja) |
| KR (1) | KR101445459B1 (ja) |
| CN (1) | CN102668610B (ja) |
| WO (1) | WO2011053680A2 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170001731A (ko) * | 2009-03-05 | 2017-01-04 | 인터디지탈 패튼 홀딩스, 인크 | 안전한 원격 가입 관리 |
| CN102196407B (zh) * | 2010-03-18 | 2015-09-16 | 中兴通讯股份有限公司 | 锚定鉴权器重定位方法及系统 |
| US8452957B2 (en) * | 2010-04-27 | 2013-05-28 | Telefonaktiebolaget L M Ericsson (Publ) | Method and nodes for providing secure access to cloud computing for mobile users |
| US20120204235A1 (en) * | 2011-02-08 | 2012-08-09 | Joe Jaudon | Updating Resource Access Permissions in a Virtual Computing Environment |
| US8875252B2 (en) * | 2012-06-07 | 2014-10-28 | Wells Fargo Bank, N.A. | Dynamic authentication in alternate operating environment |
| EP2997692A1 (en) * | 2013-05-13 | 2016-03-23 | Telefonaktiebolaget LM Ericsson (publ) | Procedure for platform enforced secure storage in infrastructure clouds |
Family Cites Families (49)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8312265B2 (en) * | 2001-12-11 | 2012-11-13 | Pinder Howard G | Encrypting received content |
| US7200868B2 (en) * | 2002-09-12 | 2007-04-03 | Scientific-Atlanta, Inc. | Apparatus for encryption key management |
| US20050154889A1 (en) * | 2004-01-08 | 2005-07-14 | International Business Machines Corporation | Method and system for a flexible lightweight public-key-based mechanism for the GSS protocol |
| CN100592678C (zh) * | 2004-02-11 | 2010-02-24 | 艾利森电话股份有限公司 | 用于网络元件的密钥管理 |
| US7624433B1 (en) * | 2005-02-24 | 2009-11-24 | Intuit Inc. | Keyfob for use with multiple authentication entities |
| KR100704675B1 (ko) * | 2005-03-09 | 2007-04-06 | 한국전자통신연구원 | 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법 |
| US7602918B2 (en) * | 2005-06-30 | 2009-10-13 | Alcatel-Lucent Usa Inc. | Method for distributing security keys during hand-off in a wireless communication system |
| KR100770928B1 (ko) * | 2005-07-02 | 2007-10-26 | 삼성전자주식회사 | 통신 시스템에서 인증 시스템 및 방법 |
| CN1960567B (zh) * | 2005-11-03 | 2010-04-21 | 华为技术有限公司 | 一种终端进入和退出空闲模式的通信方法 |
| CN1980463B (zh) * | 2005-11-29 | 2010-04-21 | 华为技术有限公司 | 一种移动终端上下文的管理方法 |
| US20070150744A1 (en) * | 2005-12-22 | 2007-06-28 | Cheng Siu L | Dual authentications utilizing secure token chains |
| US7483409B2 (en) * | 2005-12-30 | 2009-01-27 | Motorola, Inc. | Wireless router assisted security handoff (WRASH) in a multi-hop wireless network |
| US20070154016A1 (en) * | 2006-01-05 | 2007-07-05 | Nakhjiri Madjid F | Token-based distributed generation of security keying material |
| US7752441B2 (en) * | 2006-02-13 | 2010-07-06 | Alcatel-Lucent Usa Inc. | Method of cryptographic synchronization |
| US7561692B2 (en) * | 2006-02-27 | 2009-07-14 | Alvarion Ltd. | Method of authenticating mobile terminal |
| KR101511789B1 (ko) * | 2006-03-28 | 2015-04-13 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | 암호화 및 무결성을 위해 이용되는 키를 처리하는 방법 및 장치 |
| US8583929B2 (en) * | 2006-05-26 | 2013-11-12 | Alcatel Lucent | Encryption method for secure packet transmission |
| KR20080033763A (ko) * | 2006-10-13 | 2008-04-17 | 삼성전자주식회사 | 와이브로 네트워크에서의 상호인증을 통한 핸드오버 방법및 그 시스템 |
| US8094817B2 (en) * | 2006-10-18 | 2012-01-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Cryptographic key management in communication networks |
| US8539559B2 (en) * | 2006-11-27 | 2013-09-17 | Futurewei Technologies, Inc. | System for using an authorization token to separate authentication and authorization services |
| US9225518B2 (en) * | 2006-12-08 | 2015-12-29 | Alcatel Lucent | Method of providing fresh keys for message authentication |
| KR101042839B1 (ko) * | 2007-04-16 | 2011-06-20 | 재단법인서울대학교산학협력재단 | 무선 이동 통신 시스템에서 인증 시스템 및 방법 |
| ES2390595T3 (es) * | 2007-05-16 | 2012-11-14 | Nokia Siemens Networks Oy | Política de movilidad en un sistema de comunicaciones WiMAX |
| US20110004754A1 (en) * | 2007-06-12 | 2011-01-06 | John Michael Walker | Method And Apparatuses For Authentication And Reauthentication Of A User With First And Second Authentication Procedures |
| KR101490243B1 (ko) * | 2007-07-10 | 2015-02-11 | 엘지전자 주식회사 | 이종망간 핸드오버시 빠른 보안연계 설정방법 |
| US20110063997A1 (en) * | 2007-09-07 | 2011-03-17 | Laurence Gras | Interworking between wimax and 3gpp networks |
| TWI351207B (en) * | 2007-10-29 | 2011-10-21 | Inst Information Industry | Key management system and method for wireless networks |
| JP2011504698A (ja) * | 2007-11-23 | 2011-02-10 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 無線lanモビリティ |
| ES2385690T3 (es) * | 2007-12-11 | 2012-07-30 | Telefonaktiebolaget L M Ericsson (Publ) | Métodos y aparatos que generan una clave para estación de base de radio en un sistema celular de radio |
| US8214888B2 (en) * | 2008-01-30 | 2012-07-03 | Vasco Data Security, Inc. | Two-factor USB authentication token |
| US20090274302A1 (en) * | 2008-04-30 | 2009-11-05 | Mediatek Inc. | Method for deriving traffic encryption key |
| US8666077B2 (en) * | 2008-05-07 | 2014-03-04 | Alcatel Lucent | Traffic encryption key generation in a wireless communication network |
| US8595501B2 (en) * | 2008-05-09 | 2013-11-26 | Qualcomm Incorporated | Network helper for authentication between a token and verifiers |
| US8793497B2 (en) * | 2008-05-09 | 2014-07-29 | Qualcomm Incorporated | Puzzle-based authentication between a token and verifiers |
| KR20090126166A (ko) * | 2008-06-03 | 2009-12-08 | 엘지전자 주식회사 | 트래픽 암호화 키 생성 방법 및 갱신 방법 |
| JP4659864B2 (ja) * | 2008-07-30 | 2011-03-30 | 京セラ株式会社 | 通信システム、認証サーバおよび通信方法 |
| US8131296B2 (en) * | 2008-08-21 | 2012-03-06 | Industrial Technology Research Institute | Method and system for handover authentication |
| US8462729B2 (en) * | 2008-12-31 | 2013-06-11 | Motorola Mobility Llc | Method and apparatus to facilitate network processes |
| US8752153B2 (en) * | 2009-02-05 | 2014-06-10 | Wwpass Corporation | Accessing data based on authenticated user, provider and system |
| US20100205448A1 (en) * | 2009-02-11 | 2010-08-12 | Tolga Tarhan | Devices, systems and methods for secure verification of user identity |
| WO2010093200A2 (en) * | 2009-02-12 | 2010-08-19 | Lg Electronics Inc. | Method and apparatus for traffic count key management and key count management |
| CA2753039C (en) * | 2009-02-19 | 2017-09-05 | Securekey Technologies Inc. | System and methods for online authentication |
| JP5453461B2 (ja) * | 2009-03-05 | 2014-03-26 | インターデイジタル パテント ホールディングス インコーポレイテッド | H(e)NB完全性検証および妥当性確認のための方法および機器 |
| KR101655264B1 (ko) * | 2009-03-10 | 2016-09-07 | 삼성전자주식회사 | 통신시스템에서 인증 방법 및 시스템 |
| US20100235900A1 (en) * | 2009-03-13 | 2010-09-16 | Assa Abloy Ab | Efficient two-factor authentication |
| US8665819B2 (en) * | 2009-06-19 | 2014-03-04 | Cisco Technology, Inc. | System and method for providing mobility between heterogenous networks in a communication environment |
| US8385549B2 (en) * | 2009-08-21 | 2013-02-26 | Industrial Technology Research Institute | Fast authentication between heterogeneous wireless networks |
| KR101574188B1 (ko) * | 2009-09-30 | 2015-12-03 | 삼성전자주식회사 | 통신 시스템에서 단말의 접속 서비스 네트워크 변경 방법 및 시스템 |
| US9769713B2 (en) * | 2010-03-25 | 2017-09-19 | Alcatel Lucent | Method of relocating access service network functional entities during mobility events in WiMAX networks |
-
2010
- 2010-01-08 US US12/655,842 patent/US8443431B2/en not_active Expired - Fee Related
- 2010-10-28 CN CN201080048368.5A patent/CN102668610B/zh not_active Expired - Fee Related
- 2010-10-28 EP EP10776012A patent/EP2494803A2/en not_active Withdrawn
- 2010-10-28 KR KR1020127011084A patent/KR101445459B1/ko not_active IP Right Cessation
- 2010-10-28 JP JP2012537034A patent/JP5535331B2/ja not_active Expired - Fee Related
- 2010-10-28 WO PCT/US2010/054426 patent/WO2011053680A2/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011053680A3 (en) | 2011-07-07 |
| US20110107085A1 (en) | 2011-05-05 |
| US8443431B2 (en) | 2013-05-14 |
| EP2494803A2 (en) | 2012-09-05 |
| CN102668610B (zh) | 2016-08-03 |
| CN102668610A (zh) | 2012-09-12 |
| JP2013509821A (ja) | 2013-03-14 |
| WO2011053680A2 (en) | 2011-05-05 |
| KR20120080223A (ko) | 2012-07-16 |
| KR101445459B1 (ko) | 2014-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100704675B1 (ko) | 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법 | |
| CN101106452B (zh) | 移动ip密钥的产生及分发方法和系统 | |
| Xu et al. | Security issues in privacy and key management protocols of IEEE 802.16 | |
| US7451316B2 (en) | Method and system for pre-authentication | |
| KR101338477B1 (ko) | 이동 통신 시스템의 인증키 생성 방법 | |
| TWI445371B (zh) | 提供安全通訊之方法、提供安全通訊之系統、中繼站、以及基地台 | |
| JP5977834B2 (ja) | ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント | |
| US8000704B2 (en) | Fast network attachment | |
| JP5535331B2 (ja) | Wimaxシステムのためのオーセンティケータ移転方法 | |
| JP2008529368A (ja) | 通信システムにおけるユーザ認証及び認可 | |
| US8447981B2 (en) | Method and system for generating and distributing mobile IP security key after re-authentication | |
| Nguyen et al. | Enhanced EAP-based pre-authentication for fast and secure inter-ASN handovers in mobile WiMAX networks | |
| CN101079705B (zh) | 移动ip密钥在重新鉴权认证后的产生及分发方法与系统 | |
| CN108495311B (zh) | 基于中继站辅助的高速列车目标基站的安全切换方法 | |
| CN101075870B (zh) | 一种移动ip密钥的产生及分发方法 | |
| WO2008014655A1 (fr) | Procédé, terminal mobile et serveur destinés à mettre en oeuvre une clé de partage actualisée dans le système de communication mobile | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
| US9307406B2 (en) | Apparatus and method for authenticating access of a mobile station in a wireless communication system | |
| CN101123815B (zh) | 微波存取全球互通移动IPv4中归属代理根密钥同步的方法 | |
| CN101094066A (zh) | 一种移动ip密钥的产生及分发方法 | |
| Ameur et al. | Secure Reactive Fast Proxy MIPv6-Based NEtwork MObility (SRFP-NEMO) for Vehicular Ad-hoc Networks (VANETs). | |
| Jiang et al. | Security enhancement on an authentication method for Proxy Mobile IPv6 | |
| Choi et al. | An integrated handover authentication for FMIPv6 over heterogeneous access link technologies | |
| CN101917715A (zh) | 移动ip密钥的产生及分发方法和系统 | |
| Rajeswari | Enhanced fast iterative localized re-authentication protocol for UMTS-WLAN interworking |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130827 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20131127 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20131204 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140227 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140325 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140422 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5535331 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |