JP5579938B2 - ローミングネットワークにおけるアクセス端末識別情報の認証 - Google Patents

ローミングネットワークにおけるアクセス端末識別情報の認証 Download PDF

Info

Publication number
JP5579938B2
JP5579938B2 JP2013534071A JP2013534071A JP5579938B2 JP 5579938 B2 JP5579938 B2 JP 5579938B2 JP 2013534071 A JP2013534071 A JP 2013534071A JP 2013534071 A JP2013534071 A JP 2013534071A JP 5579938 B2 JP5579938 B2 JP 5579938B2
Authority
JP
Japan
Prior art keywords
access terminal
device authentication
authentication message
visited
verification server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013534071A
Other languages
English (en)
Other versions
JP2013545367A (ja
Inventor
イニアン・マオ
キン・リ
アナンド・パラニグンダー
Original Assignee
クアルコム,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by クアルコム,インコーポレイテッド filed Critical クアルコム,インコーポレイテッド
Publication of JP2013545367A publication Critical patent/JP2013545367A/ja
Application granted granted Critical
Publication of JP5579938B2 publication Critical patent/JP5579938B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/12Mobility data transfer between location registers or mobility servers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

米国特許法第119条による優先権の主張
本特許出願は、いずれも本出願の譲受人に譲渡され、参照により明確に本明細書に組み込まれる、2010年10月22日に出願された「Mobile Handset Authentication in a Roaming Network」と題する仮出願第61/406,017号、および2011年1月22日に出願された「Mobile Handset Authentication in a Roaming Network」と題する仮出願第61/435,267号の優先権を主張する。
本明細書で開示する様々な特徴は、一般には、ワイヤレス通信システムに関し、少なくともいくつかの特徴は、より具体的には、ローミングネットワークにおけるアクセス端末識別情報の認証を円滑にするための方法およびデバイスに関する。
モバイル電話、ページャ、ワイヤレスモデム、携帯情報端末、個人情報マネージャ(PIM)、パーソナルメディアプレーヤ、タブレットコンピュータ、ラップトップコンピュータ、またはワイヤレス信号により他のデバイスと通信するプロセッサを有する他のあらゆるデバイスなどのアクセス端末は、ますます人気が高まり、より頻繁に使われるようになっている。ワイヤレス通信ネットワーク内でそのようなアクセス端末を使う加入者は通常、ワイヤレス通信ネットワークによって認証されてから、呼を開始および/または受信し、データを送信および/または受信するためのアクセスを認められる。従来、ワイヤレス通信ネットワークは、たとえば、GSM(登録商標)ネットワーク用のアクセス端末の加入者識別モジュール(SIM)、UMTS/LTEネットワーク用のユニバーサル加入者識別モジュール(USIM)およびCDMAネットワーク用のリムーバブルユーザ識別モジュール(RUIM)に含まれ、それによって与えられる暗号情報を含むユーザ識別情報を確認することによって、加入者を認証する。これらのSIM、USIMおよびRUIMは通常、アクセス端末の加入者/ユーザについての情報を含むとともにアクセス端末から取外し可能な、チップおよびピンに基づくカードである。そのようなリムーバブルユーザ識別モジュールを装備するアクセス端末のユーザは通常、SIM、USIMまたはRUIMカードを、あるアクセス端末から取り外し、別のアクセス端末にカードを入れることが可能であり、そうすることによって、自分の加入者情報を、あるアクセス端末から別のアクセス端末に容易に移送する。しかしながら、セルラーネットワークはもともと、アクセス端末デバイス自体を認証しない。
従来のワイヤレス通信ネットワークは、アクセス端末において使われる加入者カード(たとえば、SIM、USIM、RUIM)を認証するように適合されているが、ワイヤレス通信ネットワークが、アクセス端末自体を認証し、アクセス端末認証の出力結果に基づいて、アクセス端末に対してネットワークアクセスを拒否し、または許容することが望ましい場合もある。ネットワークオペレータが、加入者カードに加えてアクセス端末を認証することを望むのには、いくつかの理由がある。
1つの理由として、たとえば、盗まれたか紛失したアクセス端末の使用を禁止するための、アクセス端末の認証がある。たとえば、ユーザはアクセス端末の紛失届または盗難届をすることができ、新しい加入者カードをアクセス端末に入れたとしても、紛失したか盗まれたアクセス端末の操作はネットワークからブロックできるので、潜在的な泥棒にはアクセス端末を盗むインセンティブがほとんどない。
別の理由として、ワイヤレス通信ネットワーク内での使用が承認されていないアクセス端末(たとえば、灰色市場のアクセス端末)を無認可製造元が生産または刷新するのを阻止するための、アクセス端末の認証がある。そのような無認可アクセス端末は、たとえば、送信電力、ネットワークオペレータにライセンス供与されていない隣接帯域への漏洩などを対象とする厳しい規制に適合していない。アクセス端末自体を認証する認証システムを使用することによって、ネットワークオペレータは、有効なアクセス端末識別での認証に失敗した無認可製造元によって生産または刷新されたアクセス端末へのサービスを拒否することができる。
さらに別の理由は、部分的には無認可アクセス端末の使用により実施されるテロ攻撃の危険性に関するものである。政府機関は最近、ネットワークオペレータが、ネットワークオペレータのワイヤレス通信ネットワーク内で動作している全アクセス端末を突き止め、追跡し、認証し、不能にすることが可能であってほしいという強い要望を表明している。アクセス端末を認証し、それに従ってサービスを拒否できることは、犯罪活動を止める上で有利であろう。
ワイヤレス通信ネットワークがアクセス端末の識別情報(ID)について問い合わせることを可能にする機構が、現在存在している。たとえば、ワイヤレス通信ネットワーク(たとえば、GSM(登録商標)ネットワーク、WCDMA(登録商標)ネットワーク、TD-SCDMAネットワーク)が、3GPP準拠アクセス端末の国際モバイル機器識別情報(IMEI)番号について問い合わせ、調べることもでき、またはワイヤレス通信ネットワーク(たとえば、CDMA)が、3GPP2準拠アクセス端末のモバイル機器識別子(MEID)について問い合わせ、調べることもできる。ただし、アクセス端末のIDを取得するためのこれらの既存機構は、アクセス端末から受信されたIDが、そのアクセス端末に実際に属すことをまったく保証できていない。たとえば、無認可アクセス端末が、認可アクセス端末のIDを不正にコピーし、または場合によっては取得し、次いで、その海賊版IDを要求側ワイヤレス通信ネットワークに与える可能性がある。そのような状況では、従来のワイヤレス通信ネットワークは、認可アクセス端末と、偽造IDを利用する無認可アクセス端末とを見分けることは不可能である。
したがって、アクセス端末の識別情報の発見と検証の両方を行うように適合された方法、装置、および/またはシステムが必要である。
様々な特徴は、アクセス端末が訪問先ネットワーク内でローミングしており、ホームネットワークから離れているときのアクセス端末識別情報の認証を円滑にする
1つの特徴は、そのようなデバイス認証を円滑にするように適合されたアクセス端末を提供する。これらのアクセス端末は、訪問先ネットワークと通信するように動作可能なワイヤレス通信インターフェースと、ワイヤレス通信インターフェースに結合された処理回路とを含むことができる。処理回路は、アクセス端末のアクセス端末識別子に関連する検証鍵を取得するように適合され得る。処理回路は、アクセス端末識別子および検証鍵を少なくとも部分的に使用して生成された認証データを含むデバイス認証メッセージを生成することができ、ワイヤレス通信インターフェースを介してデバイス認証メッセージを送信することができる。デバイス認証メッセージは、訪問先ネットワークにアクセスする認可アクセス端末としてアクセス端末を認証するように適合される。処理回路は、デバイス認証メッセージの検証に基づいて、アクセス端末に対して訪問先ネットワークへのアクセスを許可または拒否する通知を、ワイヤレス通信インターフェースを介して受信するようにさらに適合され得る。
訪問先ネットワーク内でローミング中のアクセス端末のデバイス認証を円滑にするための、ある特徴による、アクセス端末において使用可能な方法も提供される。そのような方法の少なくとも1つの実装形態では、たとえば、アクセス端末は、アクセス端末のアクセス端末識別子に関連する検証鍵を取得することができる。デバイス認証メッセージは、アクセス端末識別子および検証鍵を少なくとも部分的に使用して生成された認証データを含むように生成され得る。デバイス認証メッセージは、訪問先ネットワークにアクセスする認可アクセス端末としてアクセス端末を認証するために送信され得る。デバイス認証メッセージの検証に基づいて、アクセス端末に対して訪問先ネットワークへのアクセスを許可または拒否する通知が受信され得る。
別の特徴は、訪問先ネットワーク内でローミングしているアクセス端末のデバイス認証を円滑するように適合された訪問先検証サーバを提供する。少なくともいくつかの実施形態によれば、そのような訪問先検証サーバは、アクセス端末との通信を円滑にするように適合された通信インターフェースと、通信インターフェースに結合された処理回路とを含むことができる。処理回路は、通信インターフェースを介してアクセス端末からデバイス認証メッセージを受信するように適合され得る。デバイス認証メッセージは、アクセス端末識別子およびアクセス端末認証データを含むことができる。処理回路は、受信したデバイス認証メッセージに基づいてアクセス端末を認証するようにさらに適合され得る。処理回路はまた、アクセス端末に対して訪問先ネットワークへのアクセスを許可または拒否する通知を、通信インターフェースを介してアクセス端末に送信するように適合され得る。
訪問先ネットワーク内でローミングしているアクセス端末のデバイス認証を円滑にするための、ある特徴による、訪問先検証サーバにおいて使用可能な方法も提供される。そのような方法の少なくとも1つの実装形態では、たとえば、訪問先検証サーバは、アクセス端末からデバイス認証メッセージを受信することができる。デバイス認証メッセージは、アクセス端末識別子およびアクセス端末認証データを含むことができる。アクセス端末は、受信されたデバイス認証メッセージに基づいて認証されることがあり、アクセス端末に対して訪問先ネットワークへのアクセスを許可または拒否する通知がアクセス端末に送信され得る。
さらなる特徴は、訪問先ネットワーク内でローミングしているアクセス端末のデバイス認証を円滑するためのホーム検証サーバを提供する。1つまたは複数の実施形態によれば、そのようなホーム検証サーバは、処理回路に結合された通信インターフェースを含み得る。処理回路は、アクセス端末に関係するデバイス認証情報を要求する送信を受信するように適合可能であり、この場合に送信は、アクセス端末に関連するアクセス端末識別子を含む。送信は、デバイス認証メッセージまたはアクセス端末に関連する認証トークンに対する要求を含むことができる。処理回路は、要求されたデバイス認証情報(たとえば、デバイス認証メッセージが認証されたことを示す指示、認証トークン)を含む応答を生成することができる。処理回路は、通信インターフェースを介して訪問先検証サーバに応答を送信することができる。
訪問先ネットワーク内でローミングしているアクセス端末のデバイス認証を円滑にするための、ある特徴による、ホーム検証サーバにおいて使用可能な方法も提供される。そのような方法の少なくとも1つの実装形態では、たとえば、ホーム検証サーバは、アクセス端末に関係するデバイス認証情報を要求する送信を受信することができ、この場合に送信は、アクセス端末に関連するアクセス端末識別子を含む。送信は、デバイス認証メッセージまたはアクセス端末に関連する認証トークンに対する要求を含むことができる。要求されたデバイス認証情報(たとえば、デバイス認証メッセージが認証されたことを示す指示、認証トークン)を含むように応答が生成され得る。処理回路は、通信インターフェースを介して訪問先検証サーバに応答を送信することができる。
本開示の1つまたは複数の実装形態がアプリケーションを内部で見つけることができるワイヤレス通信環境の例を示すブロック図である。 デバイス認証がホームネットワークのホーム検証サーバによって実行される、訪問先ネットワーク内でローミングしているアクセス端末を認証する例を示す流れ図である。 デバイス認証がホームネットワークのホーム検証サーバによって実行される、訪問先ネットワーク内でローミングしているアクセス端末を認証する別の例を示す流れ図である。 デバイス認証が訪問先検証サーバによって実行される、訪問先ネットワーク内でローミングしているアクセス端末を認証する例を示す流れ図である。 デバイス認証がデバイス認証トークンを使用して実行される、訪問先ネットワーク内でローミングしているアクセス端末を認証する例を示す流れ図である。 アクセス端末の少なくとも1つの実施形態の機能ブロック図である。 アクセス端末が訪問先ネットワーク内でローミングしているときに、アクセス端末のデバイス認証を円滑にするための、アクセス端末において使用可能な方法の例を示す流れ図である。 訪問先検証サーバの少なくとも1つの実施形態の機能ブロック図である。 訪問先ネットワーク内でローミングしているアクセス端末のデバイス認証を円滑にするための、訪問先検証サーバにおいて使用可能な方法の例を示す流れ図である。 ホーム検証サーバの少なくとも1つの実施形態の機能ブロック図である。 訪問先ネットワーク内でローミングしているアクセス端末のデバイス認証を円滑にするための、ホーム検証サーバにおいて使用可能な方法の例を示す流れ図である。
以下の説明では、説明する実装形態を完全に理解することができるように具体的な詳細を与える。ただし、実装形態はこれらの具体的な詳細なしに実施され得ることを当業者は理解されよう。たとえば、実装形態を不要な詳細で不明瞭にしないように回路をブロック図で示すことがある。他の場合には、これらの実装形態を不明瞭にしないように、よく知られている回路、構造および技法を詳細に示すことがある。
「例示的」という言葉は、「一例、実例または例として」を意味するために本明細書で使用される。本明細書に「例示的」と記載されたいかなる実装形態または実施形態も、必ずしも他の実施形態または実装形態よりも好ましいまたは有利であると解釈されるべきではない。同様に、「実施形態」という用語は、すべての実施形態が、論じられた特徴、利点または動作モードを含むことを必要としない。本明細書で使用する「アクセス端末」という用語は、広く解釈されるものとする。たとえば、「アクセス端末」は、モバイル電話、ページャ、ワイヤレスモデム、携帯情報端末、個人情報マネージャ(PIM)、パーソナルメディアプレーヤ、タブレットコンピュータ、ラップトップコンピュータ、および/または少なくとも部分的にはワイヤレスもしくはセルラーネットワークを介して通信する他のモバイル通信/コンピューティングデバイスを含み得る。
概観
アクセス端末が訪問先ネットワーク内でローミングしており、ホームネットワークから離れている場合にアクセス端末を認証する様々な方法が提示される。加入者/ユーザ認証に加えて、アクセス端末認証が実行され得る。いくつかの実施形態では、アクセス端末によって生成されたデバイス認証メッセージは、認証および承認のために訪問先ネットワークによってホームネットワークに転送される。他の実施形態では、デバイス認証メッセージは、IPアドレスなどのホームネットワークのグローバルアドレスを使用して、認証のためにアクセス端末からホームネットワークに直接送られる。他の実施形態では、訪問先ネットワークは、ルート証明書にアクセスして、アクセス端末によって送信された署名を確認することによって、アクセス端末自体を認証する。他の実施形態では、訪問先ネットワークは、アクセス端末およびホームネットワークからデバイス認証トークンを受信する。2つの認証トークンが合致した場合、アクセス端末は認証される。
本明細書で提示するアクセス端末デバイス認証に関する実施形態はすべて、加入者/ユーザを認証するために実行される任意の他の認証手順(たとえば、SIMおよび/またはRUIMの認証)の前に、かかる認証手順の後に、またはかかる認証手順と同時に実行され得る。
加えて、別の態様によれば、ホームネットワークまたは訪問先ネットワークは、アクセス端末認証を開始するためにアクセス端末にアクセス端末認証要求を送ることができる。たとえば、ホームネットワークまたは訪問先ネットワークは、加入者認証がアクセス端末によって/アクセス端末のために開始されるようなトリガイベントを認識すると、アクセス端末にそのようなデバイス認証要求を送ることができる。アクセス端末認証要求を送ったことに応答して、アクセス端末は、アクセス端末を認証するためにデバイス認証メッセージを送ることができる。
例示的なネットワーク動作環境
図1は、ホームネットワーク120に関連するアクセス端末110が訪問先ネットワーク150内で「ローミング」しているワイヤレス通信環境を示している。たとえば、アクセス端末110は、訪問先ネットワーク150の基地局154によってサービスされているセル152内に位置することがある。ワイヤレス電気通信では、「ローミング」は、ホームネットワーク120のようなサービスが登録されているホームロケーションとは異なる訪問先ネットワーク150のようなロケーションでの接続サービスの拡張を指す一般的な用語である。ローミングは、アクセス端末110が接続を失うことなくネットワークに接続され続けるようにする。図1に示すように、ホームネットワーク120および訪問先ネットワーク150は互いに通信することができる。
アクセス端末110は、データを送る、または受信する(たとえば、呼を開始し受信する、データメッセージを送信し受信する)ために訪問先ネットワーク150によって提供されるワイヤレス通信へのアクセスを希望することがある。しかしながら、本開示の少なくとも1つの特徴によれば、アクセス端末110が訪問先ネットワーク150内でそのようなアクセスを許容される前に、加入者がネットワークの使用を認められていること、およびアクセス端末デバイス110が、たとえば、ネットワークで使用するアクセス端末を作るライセンスを供与された認可相手先商標製造会社(OEM)によって作られた認可ハンドセットであることを保証するために、加入者とアクセス端末デバイス110の両方が認証される。
加入者識別モジュール(SIM)、ユニバーサル加入者識別モジュール(USIM)、CDMA加入者識別モジュール(CSIM)、またはリムーバブルユーザ識別モジュール(RUIM)のような、加入者情報を識別するリムーバブルユーザ識別(または加入者識別)モジュールを有することに加えて、アクセス端末110は、アクセス端末110に固有のアクセス端末識別子(ID)も含む。このアクセス端末識別子は、たとえば、端末が3GPP準拠である場合に国際モバイル機器識別情報(IMEI)、または端末が3GPP2準拠である場合にモバイル機器識別子(MEID)であり得る。さらに、アクセス端末110はデバイス証明書を含むことができ、このデバイス証明書もアクセス端末デバイス110に固有であり、アクセス端末IDに関連する。たとえば、一実施形態では、アクセス端末110のOEMは、証明局(CA)180のような管理局として機能して、検証鍵、たとえば暗号鍵(たとえば、認証鍵)またはデジタル証明書をアクセス端末110に発行し、さらにアクセス端末110に関連する検証鍵を記憶することができる。他の実施形態では、検証鍵を従来型の無線プロビジョニングプロセスを使用してプロビジョニングすることができ、この場合に検証鍵は、ワイヤレス送信を介してアクセス端末110に提供される。様々な実施形態では、検証鍵は、不正アクセスから保護されるような方法で、アクセス端末110によって記憶される必要がある。
このようにして、アクセス端末110は、アクセス端末110が他のデバイスまたはネットワーク構成要素に送るメッセージにデジタル署名するのに使用され得る、アクセス端末110に関連する(たとえば、アクセス端末識別子(ID)に関連する)専用-公開鍵ペアまたは共用秘密鍵のような検証鍵をプロビジョニングされ得る。たとえば、アクセス端末110は、専用鍵を使用して受信者に送るつもりのメッセージにデジタル署名することができる。次いで、メッセージの受信者は、アクセス端末IDに関連する公開鍵を使用して、メッセージが実際にアクセス端末110によって送られたことを確認することができる。CA180は、すべてのアクセス端末のすべての公開鍵を保有し、それらが真正であることを証明するので、受信者は、デジタル署名されたデータおよび証明書が有効なアクセス端末110に関連していることを信頼することができる。図1に示すように、CA180は、訪問先ネットワーク150およびホームネットワーク120と通信することができる。
一実施形態では、CA180は、アクセス端末のOEMに属することができ、ルートCAの役割を担い、それらのアクセス端末にデジタル証明書を直接発行することができる。代替的に、OEMは中間CAの働きをし、それら自体のアクセス端末に証明書を発行することができ、一方でルートCAは、世界的または地域的なデバイス識別の管理権限であり得る。その場合、ルートCAは、OEM CAの各々に証明書を発行する。証明書チェーンのすべての証明書がアクセス端末110にプロビジョニングされる必要がある。アクセス端末110のIDは、アクセス端末証明書の一部であり得る。加えて、OEMは専用鍵をアクセス端末110にプロビジョニングし、専用鍵は不正アクセスから保護される必要がある。
他の実施形態では、検証鍵は共用秘密鍵を含むことができる。そのような実施形態では、アクセス端末110は、デジタル証明書公開鍵インフラストラクチャ(digital certificate public-key infrastructure)を利用しなくてもよいが、代わりに、そのアクセス端末識別情報(ID)に関連する共用秘密鍵を記憶する。共用秘密鍵は、アクセス端末110のほか、ホームネットワーク120のみが知る必要がある。たとえば、共用秘密鍵は、ホームネットワーク120の検証サーバ122に記憶され得る。そのような共用秘密鍵は、たとえば、デバイス製造元によってプロビジョニングされ得る。
各ネットワークオペレータはローカル検証サーバを有する。たとえば、訪問先ネットワーク150は、訪問先検証サーバ156を含むことができ、ホームネットワーク120は、ホーム検証サーバ122を含むことができる。訪問先検証サーバ156(たとえば、実行ノード)は、所与のアクセス端末110を認証し、ネットワークへの通信アクセスを許容することを担当することができる。アクセス端末110が公開鍵証明書を含む実施形態では、ホームネットワーク120はホーム検証サーバ122に、信頼できるアクセス端末ルート証明書および/または信頼できるOEM証明書のリストを提供する。代わりにアクセス端末110に共用秘密鍵が記憶される実施形態では、各認可アクセス端末IDおよびそれらの対応する共用秘密鍵がホーム検証サーバ122に提供される。
加入者の認証とは別個のアクセス端末110の認証が、訪問先ネットワーク150によって、またはホームネットワーク120によって実行され得る。アクセス端末110の認証に以下の方法のうちのいずれを使用するかを決めるのは、ネットワークオペレータ次第である。しかしながら、認証結果は通常、アクセス端末110に対してネットワークアクセスを許可または拒否するために訪問先ネットワーク150によって実行される。訪問先ネットワーク150の実行ノード(EN)は、訪問先ネットワーク150の訪問先検証サーバ156の一部であり得るが、いくつかの実施形態では、訪問先検証サーバ156とは独立のものであり得る。
例示的なパススルーデバイス認証
図2を参照すると、一実施形態では、アクセス端末110の認証がホームネットワーク120のホーム検証サーバ122によって実行される。ステップ202において、アクセス端末110はアクセス端末(またはデバイス)認証メッセージを、訪問先ネットワーク150における訪問先検証サーバ156に送信する。デバイス認証メッセージは、アクセス端末110に固有の情報を含む。たとえば、デバイス認証メッセージは、アクセス端末IDおよびアクセス端末IDに関連する検証鍵を使用して生成されたデジタル署名を含むことができる。いくつかの実施形態では、デバイス認証メッセージは、他の無認可アクセス端末によるリプレーアタックを防ぐためのナンス(たとえば、暗号化ナンス、または1回使用される番号)のようなランダム要素を含む。デバイス認証メッセージは、SMS、IPデータパケットの形態で、または訪問先ネットワーク150で受け入れられる任意の他のフォーマットであってよく、アクセス端末110のホームネットワーク120に関する情報を含むことができる。ステップ204において、訪問先検証サーバ156はこのアクセス端末認証メッセージをホームネットワーク120に転送する。
ステップ206において、ホーム検証サーバ122は、デバイス認証メッセージを使用してアクセス端末110を認証する。たとえば、ホーム検証サーバ122は、アクセス端末110によって署名されていることのあるデバイス認証メッセージ内のデジタル署名を、公開鍵インフラストラクチャに関連する端末110の専用鍵を使用して確認することができる。ホームネットワーク120に知られていることのある、あるいはホームネットワーク120にとってアクセス可能なことのあるアクセス端末110の識別情報(ID)に対応する公開鍵を使用して、ホーム検証サーバ122は、デジタル署名の確認を試みることができる。公開鍵を使用した確認が成功した場合、アクセス端末110を認証することができ、その理由は、認可アクセス端末110のみが、アクセス端末識別情報(ID)とデータに署名するのに使用される関連する検証鍵の両方にアクセスすることにある。様々な実施形態では、デジタル署名の確認は、たとえば、アクセス端末110から受信したか、任意の信頼できる第三者から取得したホームネットワーク120内のサーバ(たとえば、ホーム検証サーバ122)、証明局180に記憶されている証明書を取得することを含むことができる。
別の実施形態では、ホーム検証サーバ122は、アクセス端末110の共用秘密鍵を使用して、アクセス端末110によって署名されていることのあるデバイス認証メッセージ内のデジタル署名を確認することができる。この場合、ホーム検証サーバ122は、ホームネットワーク内、たとえばホーム検証サーバ122に記憶されているアクセス端末識別情報(ID)に対応する共用秘密鍵を使用して、デジタル署名を確認する。
ステップ208において、ホーム検証サーバ122は訪問先検証サーバ156に対し、認証が成功したか、それとも失敗したかを通知する。ステップ210において、次いで訪問先検証サーバ156は、ホーム検証サーバ122によって報告された認証結果に基づいて、要求側アクセス端末110に対してネットワークへのアクセスを許可または拒否する。アクセス端末110に対するアクセスのそのような許可または拒否は、別個の先行する、同時の、または後続の加入者認証プロセスとは別個のものであってよいことに留意されたい。たとえば、いくつかの実装形態では、アクセス端末認証メッセージ(202)は、加入者認証プロセスも含む複合型認証プロセスの一部であり得る。
少なくともいくつかの実装形態では、アクセス端末110は自発的にアクセス端末認証メッセージ(202)を送信することができる。たとえば、アクセス端末110は、加入者認証プロセスも含む複合型認証プロセスのような、ネットワークへのアクセスを要求するための一般的なプロセスの一部として自発的に、アクセス端末認証メッセージ(202)を生成すること、および/または訪問先検証サーバ156に送信することができる。
他の実装形態では、アクセス端末110は、訪問先検証サーバ156から送信されたアクセス端末認証要求(212)に応答して、アクセス端末認証メッセージ(202)を生成および/または送信することができる。たとえば、アクセス端末110はネットワークへのアクセスを要求することがあり、それに伴い訪問先検証サーバ156は、アクセス端末認証メッセージ(202)を送信することをアクセス端末110に対して求める要求(212)を送信することがある。アクセス端末認証メッセージ(202)が送られたが、訪問先検証サーバ156によって受信されていない場合や、アクセス端末認証メッセージ(202)がアクセス端末110から送信されていない場合がある。いくつかの実装形態では、訪問先検証サーバ156は、アクセス端末110を周期的に認証するために周期的間隔で(たとえば、30秒ごとに、2時間ごとに、24時間ごとに、など)要求(212)を送ることができる。いくつかの例では、訪問先検証サーバ156が、要求(212)を送信した後、所定の時間内にアクセス端末認証メッセージ(202)を受信しなかった場合、後続要求(212)が送られ得る。訪問先検証サーバ156が、アクセス端末110からのアクセス端末認証メッセージ(202)に対する要求(212)を所定の数だけ送った後、アクセス端末認証メッセージ(202)が来ていない場合、訪問先検証サーバ156はアクセス端末110に対してネットワークアクセスを拒否することができる。
さらに他の実装形態では、アクセス端末認証要求(212)はフェイルオーバー機能であってよく、この場合に訪問先ネットワーク検証サーバ156は、アクセス端末加入者/ユーザ認証が開始された後、またはアクセス端末110が訪問先ネットワークに接続された後、ある時間内にアクセス端末からデバイス認証メッセージを受信していない場合、要求(212)を送る。
ホーム検証サーバによる例示的なデバイス認証
図3は、デバイス認証がホームネットワーク120によって実行される、訪問先ネットワーク150内でローミングしていることのあるアクセス端末110を認証するための別の実施形態を示している。ステップ302において、アクセス端末110はアクセス端末(またはデバイス)認証メッセージを、ホーム検証サーバ122に直接送信する。ホーム検証サーバ122は、IPアドレスのようなグローバルに経路指定可能なアドレスならびに/またはアクセス端末110がデバイス認証メッセージおよび他のデータを直接送るために使用できるSMSメッセージ用のグローバルに経路指定可能なディレクトリ番号を有する。アクセス端末110は訪問先ネットワーク150内でローミングしているので、アクセス端末110がデバイス認証メッセージをホーム検証サーバ122に送信するのを可能にするために、アクセス端末110は訪問先ネットワーク150によって制限付きアクセスを許可され得る。たとえば、アクセス端末110は、データチャネルへの制限付きアクセスを許容されることがあり、またはアクセス端末110は、ホーム検証サーバ122にデバイス認証メッセージを送るために、加入者認証に使用される同じチャネルを用いることが可能であり得る。
デバイス認証メッセージは、アクセス端末110に固有の情報を含む。たとえば、デバイス認証メッセージは、アクセス端末IDおよびアクセス端末IDに関連する検証鍵を使用して生成されたデジタル署名を含むことができる。いくつかの実施形態では、デバイス認証メッセージは、他の無認可アクセス端末によるリプレーアタックを防ぐためのナンス(たとえば、暗号化ナンス、または1回使用される番号)のようなランダム要素を含む。デバイス認証メッセージはまた、どの訪問先ネットワーク150からアクセス端末110がネットワークアクセスを得ようとしているかに関する情報を含むことができる。
デバイス認証メッセージを受信した後、ステップ304において、ホーム検証サーバ122は、デバイス認証メッセージを使用してアクセス端末110を認証する。たとえば、ホーム検証サーバ122は、アクセス端末110によって署名されていることのあるデバイス認証メッセージ内のデジタル署名を、公開鍵インフラストラクチャに関連する端末110の専用鍵を使用して確認することができる。ホームネットワーク120に知られている、あるいはホームネットワーク120にとってアクセス可能なアクセス端末110の識別情報(ID)に対応する公開鍵を使用して、ホーム検証サーバ122は、デジタル署名の確認を試みることができる。公開鍵を使用した確認が成功した場合、アクセス端末110を認証することができ、その理由は、認可アクセス端末110のみが、アクセス端末IDとデータに署名するのに使用される関連する検証鍵の両方にアクセスすることにある。様々な実施形態では、デジタル署名の確認は、たとえば、アクセス端末110から受信したか、任意の信頼できる第三者から受信したホームネットワーク120内のサーバ(たとえば、ホーム検証サーバ122)、証明局180に記憶されている証明書を取得することを含むことができる。
別の実施形態では、ホーム検証サーバ122は、アクセス端末110によって署名されていることのあるデバイス認証メッセージ内のデジタル署名を、端末110の共用秘密鍵を使用して確認することができる。この場合にホーム検証サーバ122は、ホームネットワーク内、たとえばホーム検証サーバ122に記憶されているアクセス端末IDに対応する共用秘密鍵を使用して、デジタル署名を確認する。
ステップ306において、ホーム検証サーバ122は、アクセス端末110によって提供された情報に基づいて、訪問先検証サーバ156および/または訪問先ネットワーク150の場所を突き止める。ホーム検証サーバ122は訪問先検証サーバ156に対し、認証が成功したか、それとも失敗したかを通知する。ステップ308において、次いで訪問先検証サーバ156は、ホーム検証サーバ122によって報告された認証結果に基づいて、要求側アクセス端末110に対してネットワークへのアクセスを許可または拒否する。
少なくともいくつかの実装形態では、アクセス端末110はステップ302において自発的にデバイス認証メッセージを送信することができる。たとえば、アクセス端末110は、ネットワークへのアクセスを要求するための一般的なプロセスの一部として自発的に、アクセス端末認証メッセージを生成すること、および/またはホーム検証サーバ122に送信することができる。
1つまたは複数の他の実装形態では、アクセス端末110は、ホーム検証サーバ122または訪問先検証サーバ156のうちの少なくとも1つから送信された要求に応答して、デバイス認証メッセージを生成および/または送信することができる。たとえば、アクセス端末110はネットワークへのアクセスを要求することがあり、それに伴いホーム検証サーバ122は、随意のステップ310において、デバイス認証メッセージを送信することをアクセス端末110に対して求める要求を送信することがある。デバイス認証メッセージが送られたが、ホーム検証サーバ122によって受信されていない場合や、デバイス認証メッセージがアクセス端末110から送信されていない場合がある。いくつかの実装形態では、訪問先検証サーバ156は、アクセス端末110を周期的に認証するために周期的間隔で(たとえば、30秒ごとに、2時間ごとに、24時間ごとに、など)要求(310)を送ることができる。いくつかの例では、ホーム検証サーバ122が、要求を送信した後、所定の時間内にデバイス認証メッセージを受信しなかった場合、後続要求が送られ得る。ホーム検証サーバ122がアクセス端末110からのデバイス認証メッセージに対する要求を所定の数だけ送った後、デバイス認証メッセージが来ていない場合、ホーム検証サーバ122は訪問先検証サーバ156に対し、アクセス端末110の認証が失敗したことを通知することができ、訪問先検証サーバ156はアクセス端末110に対してネットワークアクセスを拒否することができる。
さらに別の実装形態では、アクセス端末認証要求(310)はフェイルオーバー機能であってよく、この場合にホームネットワーク検証サーバ122は、アクセス端末加入者/ユーザ認証が開始された後、またはアクセス端末が訪問先ネットワークおよび/もしくはホームネットワークに接続された後、ある時間内にアクセス端末からデバイス認証メッセージを受信していない場合、要求(310)を送る。
訪問先検証サーバによる例示的なデバイス認証
図4は、デバイス認証が訪問先ネットワーク150によって実行される、訪問先ネットワーク150内でローミングしているアクセス端末110を認証するための別の実施形態を示している。ステップ402において、アクセス端末110はアクセス端末(またはデバイス)認証メッセージを、訪問先検証サーバ156に送信する。この実施形態では、アクセス端末110は、公開鍵インフラストラクチャ(PKI)方式の一部であり、CA180によって公開/専用鍵ペアを発行されており、CA180によって証明される。デバイス認証メッセージは、公開鍵証明書に導く全証明書チェーンまたは情報を含むことができる。たとえば、デバイス認証メッセージは、証明書を記憶しているCA180に訪問先検証サーバ156を導くURLまたはインデックスを含むことができる。一実施形態では、訪問先検証サーバ156は、ルート証明書を備えているか、CA180にアクセスすることができる。
ステップ404において、訪問先検証サーバ156は、受信したデバイス認証メッセージに基づいてアクセス端末110を認証する。たとえば、訪問先検証サーバ156は、デバイス認証メッセージ内で与えられたURLに基づいてCA180にアクセスすることができ、アクセス端末110が認可アクセス端末デバイスであることを確認する。一実施形態では、訪問先検証サーバ156は、アクセス端末IDに関連する専用鍵を使用して、アクセス端末110によってデジタル署名されていることのあるデバイス認証メッセージ内のデジタル署名の確認を試みることができる。CA180から取得され得るアクセス端末IDに対応する公開鍵を使用して、訪問先検証サーバ156は、デジタル署名の確認を試みることができる。公開鍵を使用したデジタル署名の確認が成功した場合、アクセス端末110を認証することができ、その理由は、認可アクセス端末110のみが、アクセス端末IDとデータに署名するのに使用される専用鍵の両方にアクセスすることにある。一実施形態では、訪問先検証サーバ156は、CA180に連絡する必要がなく、訪問先検証サーバ156および/または訪問先ネットワーク150自体が、デバイス認証メッセージの中でアクセス端末110によって送られたデジタル署名を確認するのに使用可能な証明書を記憶することができる。他の実施形態では、訪問先検証サーバ156は、アクセス端末110からデジタル署名を確認するための証明書を受信することができる。
ステップ406において、訪問先検証サーバ156は、デバイス認証が成功したか、それとも失敗したかに基づいて、アクセス端末110に対してネットワークアクセスを許可または拒否する。
少なくともいくつかの実装形態では、アクセス端末110はステップ402において自発的にデバイス認証メッセージを送信することができる。たとえば、アクセス端末110は、ネットワークへのアクセスを要求するための一般的なプロセスの一部として自発的に、デバイス認証メッセージを生成すること、および/または訪問先検証サーバ156に送信することができる。
1つまたは複数の他の実装形態では、アクセス端末110は、訪問先検証サーバ156から送信された要求に応答して、ステップ402においてデバイス認証メッセージを生成および/または送信することができる。たとえば、アクセス端末110はネットワークへのアクセスを要求することがあり、それに伴い訪問先検証サーバ156は、随意のステップ408において、デバイス認証メッセージを送信することをアクセス端末110に対して求める要求を送信することがある。デバイス認証メッセージが送られたが、訪問先検証サーバ156によって受信されていない場合や、デバイス認証メッセージがアクセス端末110から送信されていない場合がある。いくつかの実装形態では、訪問先検証サーバ156は、アクセス端末110を周期的に認証するために周期的間隔で(たとえば、30秒ごとに、2時間ごとに、24時間ごとに、など)要求(408)を送ることができる。いくつかの例では、訪問先検証サーバ156が、要求を送信した後、所定の時間内にデバイス認証メッセージを受信しなかった場合、後続要求が送られ得る。訪問先検証サーバ156が、アクセス端末110からのデバイス認証メッセージに対する要求を所定の数だけ送った後、デバイス認証メッセージが来ていない場合、訪問先検証サーバ156はアクセス端末110に対してネットワークアクセスを拒否することができる。
さらに別の実装形態では、アクセス端末認証要求(408)はフェイルオーバー機能であってよく、この場合に訪問先ネットワーク検証サーバ156は、アクセス端末加入者/ユーザ認証が開始された後、またはアクセス端末が訪問先ネットワークに接続された後、ある時間内にアクセス端末からデバイス認証メッセージを受信していない場合、要求(408)を送る。
デバイス認証トークンを使用した例示的なデバイス認証
図5は、デバイス認証が訪問先ネットワーク150によって実行される、訪問先ネットワーク150内でローミングしているアクセス端末110を認証するための別の実施形態を示している。この実施形態では、アクセス端末110およびホームネットワーク120から受信されたデバイス認証トークンを使用してデバイス認証が実行される。ステップ502において、アクセス端末110はアクセス端末(またはデバイス)認証メッセージを、訪問先検証サーバ156に送信する。デバイス認証メッセージは、アクセス端末IDおよびデバイス認証トークンを含む。デバイス認証トークンは、検証鍵(たとえば、専用鍵または共用秘密鍵)を使用してアクセス端末110によってデジタル署名されたメッセージであり得る。いくつかの実施形態では、デバイス認証メッセージは、リプレーアタックを防ぐための、デジタル署名されたナンスなどのランダム要素および/または日時データを含む。
ステップ504において、訪問先検証サーバ156は、ホーム検証サーバ122からのデバイス認証トークンに対する要求を送信し、この場合に要求はとりわけ、アクセス端末110のID番号、および/またはアクセス端末110によって送信されたデバイス認証メッセージに関連する任意のナンス情報を含む。ステップ506において、ホーム検証サーバ122は、訪問先検証サーバ156によって提供された所与のアクセス端末IDおよび任意のナンス情報を使用して、対応するデバイス認証トークンを生成する。いくつかの実施形態では、ホーム検証サーバ122は、各アクセス端末IDに対応するデバイス認証トークンを事前に記憶することができる。そのような場合、ホーム検証サーバ122およびアクセス端末110は、事前にリプレーアタックを防ぐためのシステムを有し得る。たとえば、ステップ502においてアクセス端末によって送信されるデバイス認証メッセージは、ホーム検証サーバ122が知っているシーケンスに従って更新される番号を含むことができる。ステップ508において、訪問先検証サーバ156は、アクセス端末110によって提供されたデバイス認証トークンを、ホーム検証サーバ122によって提供されたデバイス認証トークンと比較することによって、アクセス端末110を認証する。2つのトークンが合致した場合、デバイス認証は成功した/合格したことになる。2つのトークンが合致しなかった場合、デバイス認証は失敗したことになる。
ステップ510において、訪問先検証サーバ156は、ステップ508によるデバイス認証が成功したか否かに基づいて、アクセス端末110に対してネットワークアクセスを許可または拒否する。
少なくともいくつかの実装形態では、アクセス端末110はステップ502において自発的にデバイス認証メッセージを送信することができる。たとえば、アクセス端末110は、ネットワークへのアクセスを要求するための一般的なプロセスの一部として自発的に、デバイス認証メッセージを生成すること、および/または訪問先検証サーバ156に送信することができる。
1つまたは複数の他の実装形態では、アクセス端末110は、訪問先検証サーバ156またはホーム検証サーバ122のうちの少なくとも1つから送信された要求に応答して、ステップ502においてデバイス認証メッセージを生成および/または送信することができる。たとえば、アクセス端末110はネットワークへのアクセスを要求することがあり、それに伴い訪問先検証サーバ156は、随意のステップ512において、デバイス認証メッセージを送信することをアクセス端末110に対して求める要求を送信することがある。デバイス認証メッセージが送られたが、訪問先検証サーバ156によって受信されていない場合や、デバイス認証メッセージがアクセス端末110から送信されていない場合がある。いくつかの実装形態では、訪問先検証サーバ156は、アクセス端末110を周期的に認証するために周期的間隔で(たとえば、30秒ごとに、2時間ごとに、24時間ごとに、など)要求(512)を送ることができる。いくつかの例では、訪問先検証サーバ156が、要求を送信した後、所定の時間内にデバイス認証メッセージを受信しなかった場合、後続要求が送られ得る。訪問先検証サーバ156が、アクセス端末110からのデバイス認証メッセージに対する要求を所定の数だけ送った後、デバイス認証メッセージが来ていない場合、訪問先検証サーバ156はアクセス端末110に対してネットワークアクセスを拒否することができる。
さらに別の実装形態では、アクセス端末認証要求(512)はフェイルオーバー機能であってよく、この場合に訪問先ネットワーク検証サーバ156は、加入者/ユーザ認証が開始された後、またはアクセス端末が訪問先ネットワークおよび/もしくはホームネットワークに接続された後、ある時間内にアクセス端末110からのアクセス端末認証メッセージを受信していない場合、要求(512)を送る。
例示的なアクセス端末
図6は、アクセス端末600の少なくとも1つの実施形態の機能ブロック図である。アクセス端末600は一般に、メモリ回路(たとえば、メモリモジュール、メモリなど)604およびワイヤレス通信インターフェース606に結合された処理回路602(たとえば、プロセッサ、処理モジュールなど)を含むことができる。
処理回路602は、データを取得し、処理し、かつ/または送り、データのアクセスおよび記憶を制御し、コマンドを発行し、他の所望の動作を制御するように設けられる。処理回路602は、処理回路602がメモリ回路604から情報を読み取り、メモリ回路604に情報を書き込むことができるようにメモリ回路604に結合され得る。代替として、メモリ回路604は処理回路602と一体であり得る。少なくとも1つの実施形態によれば、処理回路602は、アクセス端末600を認証する様々なステップを実行するためのデバイス認証モジュール/回路620を含むことができる。
様々な実施形態によれば、メモリ回路604は、アクセス端末識別子(ID)608および/または検証鍵609(たとえば、公開/専用鍵ペアによる専用鍵、共用秘密鍵など)を記憶することができる。たとえば、いくつかの実施形態では、アクセス端末600が公開/専用鍵ペアをプロビジョニングされる場合、メモリ回路604は公開鍵610および専用鍵612aを記憶することができる。他の実施形態では、アクセス端末600が対称的な共用秘密鍵暗号方式の一部である場合、メモリ回路604は共用秘密鍵612bを記憶することができる。
検証鍵609(たとえば、専用鍵612a、共用秘密鍵612b)および/またはアクセス端末ID608は、読取り/書込みが保護されたメモリ回路604の一部分に記憶され得る。したがって、加入者のようなアクセス端末600のエンドユーザによるこの保護されたエリアへのアクセスは許容されないことがある。そのような保護は、検証鍵609および/またはアクセス端末ID608の秘密性が損なわれるのを防止するのに寄与し得る。
ワイヤレス通信インターフェース606は、アクセス端末600がワイヤレスネットワークで1つまたは複数のアクセス端末と通信するのを許容する。ワイヤレス通信インターフェース606はまた、アクセス端末600がホームネットワーク(たとえば、図1のホームネットワーク120)および訪問先ネットワーク(たとえば、図1の訪問先ネットワーク150)、ならびにそれらの構成要素(たとえば、ホーム検証サーバ122および訪問先検証サーバ156)などの1つまたは複数のネットワークと通信するのを許容する。ワイヤレス通信インターフェース606は、送信機614および/または受信機616を含むワイヤレストランシーバ回路(たとえば、1つまたは複数の送信機/受信機チェーン)を含むことができる。
アクセス端末600はまた、処理回路602に結合された加入者(またはユーザ)識別モジュール618を含むことができる。加入者識別モジュール618は、加入者識別モジュール(SIM)、ユニバーサル加入者識別モジュール(USIM)、CDMA加入者識別モジュール(CSIM)またはリムーバブルユーザ識別モジュール(RUIM)などの任意の従来型の加入者識別モジュールを含み得る。加入者識別モジュールは、暗号加入者情報を含むことができ、従来型の加入者認証手順において使用されるように適合され得る。
1つまたは複数の特徴によれば、アクセス端末600の処理回路602は、図1〜図5を参照して上述した様々なアクセス端末(たとえば、アクセス端末110)に関連したプロセス、機能、ステップおよび/またはルーチンのいずれかまたはすべてを実施するように適合され得る。処理回路602に関係して本明細書で使用する「適合される」という用語は、本明細書に記載した様々な特徴による特定のプロセス、機能、ステップおよび/またはルーチンを実施するように構成されること、利用されること、実装されること、またはプログラムされることのうち1つまたは複数が行われる処理回路602を指し得る。
図7は、アクセス端末が訪問先ネットワーク内でローミングしているときに、アクセス端末のデバイス認証を円滑にするための、アクセス端末600のようなアクセス端末において使用可能な方法の例を示す流れ図である。図6および図7を参照すると、アクセス端末600は初めに、アクセス端末600のアクセス端末識別子(ID)に関連する検証鍵を取得することができる。たとえば、専用/公開鍵ペア(たとえば、公開鍵610および専用鍵612a)または共用秘密鍵612bのような検証鍵609が、メモリ回路604のセキュアな部分にプロビジョニングされ得る。様々な実装形態によれば、検証鍵609は、アクセス端末製造元によって、無線プロビジョニングプロセスによって、または検証鍵をアクセス端末にセキュアにプロビジョニングするための当技術分野で知られている他の方法でプロビジョニングされ得る。検証鍵は、アクセス端末IDが真正であることを検証するのに使用できるように、アクセス端末ID608に関連付けられる。
ステップ704において、デバイス認証メッセージを生成することができ、この場合にデバイス認証メッセージは、アクセス端末IDおよび検証鍵を少なくとも部分的に使用して生成された認証データを含む。たとえば、処理回路602のデバイス認証モジュール620はデバイス認証メッセージを生成することができ、このメッセージは、アクセス端末ID608および検証鍵を使用して生成された認証データを含むことができる。少なくともいくつかの実装形態では、認証データは、任意の従来型の署名アルゴリズムを使用してデバイス認証メッセージにデジタル署名するために、専用鍵612aまたは共用秘密鍵612bのような検証鍵609を使用して処理回路602(たとえば、デバイス認証モジュール620)によって生成され得る。1つまたは複数の他の実装形態では、認証データは、アクセス端末認証トークンを生成するために、検証鍵609を使用して処理回路602(たとえば、デバイス認証モジュール620)によって生成され得る。
ステップ706において、アクセス端末600は、訪問先ネットワークにアクセスする認可デバイスとしてアクセス端末600が認証するために用いられるデバイス認証メッセージを送信する。たとえば、処理回路602は、ワイヤレス通信インターフェース606を介して、デバイス認証メッセージを送信することができる。いくつかの実装形態では、デバイス認証メッセージを訪問先検証サーバに送信することができ、このデバイス認証メッセージは、訪問先検証サーバによってホームネットワーク内のホーム検証サーバに転送されるか、訪問先検証サーバによって使用されて、デバイス認証メッセージが確認される。そのような場合、デバイス認証メッセージは、ホーム検証サーバにメッセージを転送するための情報を含むことができる。他の実装形態では、デバイス認証メッセージはホーム検証サーバに送信され得る。そのような場合、処理回路602は、ホーム検証サーバにメッセージを届けるためにホーム検証サーバのグローバルに経路指定可能なアドレスを用いることができる。
ステップ708において、アクセス端末600は、訪問先ネットワークへのアクセスを許可または拒否する通知を訪問先検証サーバから受信することができる。たとえば、処理回路602はワイヤレス通信インターフェース606を介して通知を受信することができ、この通知は訪問先ネットワークから送信され得る。訪問先ネットワークへのアクセスが許可された場合、処理回路602は通信を送受信するために、ワイヤレス通信インターフェース606を使用して訪問先ネットワークを介して通信することができる。
ステップ710において、アクセス端末600はまた、加入者認証メッセージを生成することができる。たとえば、処理回路602は、加入者識別モジュール618に記憶されている加入者情報およびまたは加入者識別モジュール618によって実行されるプロセスを使用して、加入者認証メッセージを生成することができる。ステップ712において、加入者がネットワークアクセスを認められていることを確認するために、ワイヤレス通信インターフェース606を使用して処理回路602によって加入者認証メッセージが送信され得る。加入者認証は、当技術分野で一般に知られているため本明細書で詳述しない従来型の加入者認証手順に従って実行され得る。様々な実装形態によれば、加入者認証プロセスは、ステップ702および704のデバイス認証プロセスの前に、かかるデバイス認証プロセスと同時に、またはかかるデバイス認証プロセスの後に実行され得る。
例示的な訪問先検証サーバ
図8は、訪問先検証サーバ800の少なくとも1つの実施形態の機能ブロック図である。訪問先検証サーバ800は一般に、メモリ回路804および通信インターフェース806に結合された処理回路802を含むことができる。
処理回路802は、データを取得し、処理し、かつ/または送り、データのアクセスおよび記憶を制御し、コマンドを発行し、他の所望の動作を制御するように設けられる。処理回路802は、処理回路802がメモリ回路804から情報を読み取り、メモリ回路804に情報を書き込むことができるようにメモリ回路804に結合され得る。代替として、メモリ回路804は処理回路802と一体であり得る。少なくとも1つの実施形態によれば、処理回路802は、本明細書で説明するアクセス端末認証手順のうちの1つまたは複数に従ってアクセス端末を認証するための様々なステップを実行するように適合されたアクセス端末認証モジュール/回路812を含むことができる。処理回路802はまた、従来型の加入者認証の習慣に従って加入者認証手順を実行するように適合された加入者認証モジュール/回路814を含むことができる。
通信インターフェース806は、アクセス端末(たとえば、図1のアクセス端末110)、証明局サーバ(たとえば、図1のCA180)、および/または他のネットワーク(たとえば、図1のホームネットワーク120)との間でデータを送受信するための送信機808および/または受信機810を含むことができる。
1つまたは複数の特徴によれば、訪問先検証サーバ800の処理回路802は、図1〜図5を参照して上述した訪問先検証サーバ(たとえば、訪問先検証サーバ156)に関連したプロセス、機能、ステップおよび/またはルーチンのいずれかまたはすべてを実施するように適合され得る。処理回路802に関係して本明細書で使用する「適合される」という用語は、本明細書に記載した様々な特徴による特定のプロセス、機能、ステップおよび/またはルーチンを実施するように構成されること、利用されること、実装されること、またはプログラムされることのうち1つまたは複数が行われる処理回路802を指し得る。
図9は、アクセス端末が訪問先ネットワーク内でローミングしているときに、アクセス端末のデバイス認証を円滑にするための、訪問先検証サーバ800のような訪問先検証サーバにおいて使用可能な方法の例を示す流れ図である。訪問先検証サーバ800は、ステップ902において、デバイス認証メッセージをアクセス端末から受信することができる。デバイス認証メッセージは、アクセス端末IDのほか、アクセス端末IDに関連する検証鍵(たとえば、専用鍵、共用秘密鍵)によるデジタル署名および/またはアクセス端末認証トークンのようなアクセス端末認証データを含むことができる。たとえば、処理回路802は、通信インターフェース806を介して、デバイス認証メッセージを受信することができる。
ステップ904において、訪問先検証サーバ800は、デバイス認証メッセージに基づいてアクセス端末を認証することができる。たとえば、アクセス端末認証データが検証鍵によるデジタル署名を含むいくつかの実装形態では、処理回路802のアクセス端末認証モジュール812はデバイス認証メッセージを、通信インターフェース806を介してホームネットワーク内に位置するホーム検証サーバに、ホーム検証サーバによる認証メッセージの確認のために転送することができる。次いでアクセス端末認証モジュール812は、ホーム検証サーバから通信インターフェース806を介して、アクセス端末の認証が成功したか否かを示す認証結果を受信することができる。
アクセス端末認証データが検証鍵によるデジタル署名を含む1つまたは複数の他の実装形態では、処理回路802のアクセス端末認証モジュール812は、アクセス端末IDに関連する証明書を取得することができる。様々な実装形態によれば、アクセス端末IDに関連する証明書は、たとえば、訪問先ネットワークから(たとえば、訪問先検証サーバ800のメモリ回路804から)、第三者の証明局から、アクセス端末から(たとえば、デバイス認証メッセージに含まれる場合、別個の送信で取得される場合)、または任意の他の信頼できる第三者から取得され得る。証明書を取り出した後、アクセス端末認証モジュール812は、取り出された証明書を使用してデジタル署名を確認することができる。
アクセス端末認証データがアクセス端末認証トークンを含む1つまたは複数の実装形態では、処理回路802のアクセス端末認証モジュール812は、アクセス端末に関連する第2の認証トークンに対する要求をホーム検証サーバに送ることができる。応答して、アクセス端末認証モジュール812は、ホーム検証サーバから第2の認証トークンを受信することができ、アクセス端末認証トークンを第2の認証トークンと比較することができる。アクセス端末認証トークンと第2の認証トークンとが合致した場合、アクセス端末認証モジュール812は、アクセス端末を認証し、ネットワークアクセスを許容することができる。一方、アクセス端末認証トークンと第2の認証トークンとが合致しなかった場合、アクセス端末認証モジュール812は、アクセス端末に対してネットワークアクセスを拒否することができる。
ステップ906において、訪問先検証サーバ800は、認証に基づいてアクセス端末に対して訪問先ネットワークへのアクセスを許可または拒否する通知をアクセス端末に送信することができる。たとえば、処理回路802のアクセス端末認証モジュール812は通信インターフェース806を介して、認証に基づいてアクセスが拒否されたか、それとも許可されたかを示す通知をアクセス端末に送信することができる。
ステップ908において、訪問先検証サーバ800はまた、加入者認証メッセージをアクセス端末から受信することができる。たとえば、処理回路802の加入者認証モジュール814は、通信インターフェース806を介して、加入者識別モジュール(たとえば、SIM、USIM、CSIM、RUIM)に記憶されている加入者データを使用して生成された情報のような、加入者に関連する情報を含む加入者認証メッセージを受信することができる。加入者認証は、当技術分野で一般に知られているため本明細書で詳述しない従来型の加入者認証手順に従って実行され得る。様々な実装形態によれば、加入者認証プロセスは、ステップ902〜906のデバイス認証プロセスの前に、かかるデバイス認証プロセスと同時に、またはかかるデバイス認証プロセスの後に実行され得る。いくつかの実装形態では、加入者認証メッセージは、デバイス認証メッセージとは別個のメッセージであり得る。他の実装形態では、加入者認証メッセージおよびデバイス認証メッセージは、アクセス端末と加入者の両方を認証するように適合された単一のメッセージに統合され得る。
例示的なホーム検証サーバ
図10は、ホーム検証サーバ1000の少なくとも1つの実施形態の機能ブロック図である。ホーム検証サーバ1000は一般に、処理回路1002、メモリ回路1004および通信インターフェース1006を含むことができる。
処理回路1002は、データを取得し、処理し、かつ/または送り、データのアクセスおよび記憶を制御し、コマンドを発行し、他の所望の動作を制御するように設けられる。処理回路1002は、処理回路1002がメモリ回路1004から情報を読み取り、メモリ回路1004に情報を書き込むことができるようにメモリ回路1004に結合され得る。代替として、メモリ回路1004は処理回路1002と一体であり得る。少なくとも1つの実施形態によれば、処理回路1002は、本明細書で説明するアクセス端末認証手順のうちの1つまたは複数に従ってアクセス端末を認証するためのホーム検証サーバ1000に対する様々な動作のうちの1つまたは複数を実行するように適合されたアクセス端末認証モジュール/回路1012を含むことができる。処理回路1002はまた、従来型の加入者認証の習慣に従って加入者認証手順を実行するように適合された加入者認証モジュール/回路1014を含むことができる。
通信インターフェース1006は、アクセス端末(たとえば、図1のアクセス端末110)、証明局サーバ(たとえば、図1のCA180)、および/または他のネットワーク(たとえば、図1の訪問先ネットワーク150)との間でデータを送受信するための送信機1008および/または受信機1010を含むことができる。
1つまたは複数の特徴によれば、ホーム検証サーバ1000の処理回路1002は、図1〜図5を参照して上述したホーム検証サーバ(たとえば、ホーム検証サーバ122)に関連したプロセス、機能、ステップおよび/またはルーチンのいずれかまたはすべてを実施するように適合され得る。処理回路1002に関係して本明細書で使用する「適合される」という用語は、本明細書に記載した様々な特徴による特定のプロセス、機能、ステップおよび/またはルーチンを実施するように構成されること、利用されること、実装されること、またはプログラムされることのうち1つまたは複数が行われる処理回路1002を指し得る。
図11は、アクセス端末が訪問先ネットワーク内でローミングしているときに、アクセス端末のデバイス認証を円滑にするための、ホーム検証サーバ1000のようなホーム検証サーバにおいて使用可能な方法の例を示す流れ図である。図10および図11を参照すると、ステップ1102において、ホーム検証サーバ1000は、アクセス端末に関係するデバイス認証情報を要求する送信を受信することができる。受信した送信は、ホーム検証サーバ1000が適正なデバイス認証情報を取得および/または生成するのを可能にする、アクセス端末に関連するアクセス端末識別子(ID)を含むことができる。少なくともいくつかの実装形態では、処理回路1002(たとえば、アクセス端末認証モジュール1012)は、通信インターフェース1006を介して、送信を受信することができる。
少なくともいくつかの実装形態によれば、送信は、アクセス端末IDおよびアクセス端末IDに関連する検証鍵によるデジタル署名を含むデバイス認証メッセージを含むことができる。そのような実装形態では、デバイス認証メッセージは、転送されたメッセージとして訪問先検証サーバから受信されることがあり、またはデバイス認証メッセージは、アクセス端末から受信されることがある。少なくともいくつかの他の実装形態では、アクセス端末に関係するデバイス認証情報を要求する送信は、アクセス端末に関連する認証トークンに対する訪問先検証サーバからの要求を含むことができる。
ステップ1104では、ホーム検証サーバは、受信した送信に対する応答を生成し、この場合に応答は、要求されたデバイス認証情報を含む。たとえば、送信がデバイス認証メッセージを含む実装形態では、処理回路1002のアクセス端末認証モジュール1012は、デバイス認証メッセージとともに含まれているデジタル署名を検証することができ、デジタル署名の検証が成功したか否かを示す認証結果メッセージを生成することができる。送信がアクセス端末に関連する認証トークンに対する要求を含む他の実装形態では、アクセス端末認証モジュール1012は、正しい認証トークンを生成するために送信に含まれていたアクセス端末IDを使用して、要求された認証トークンを生成することができる。
ステップ1106において、ホーム検証サーバは、生成された応答を訪問先検証サーバに送信する。たとえば、ホーム検証サーバが認証結果メッセージを生成する実装形態では、処理回路1002(たとえば、アクセス端末認証モジュール1012)は、通信インターフェース1006を介して訪問先検証サーバに対し、デジタル署名の検証が成功したか否かを示す認証結果メッセージを送信することができる。ホーム検証サーバが認証トークンを生成する実装形態では、処理回路1002(たとえば、アクセス端末認証モジュール1012)は、通信インターフェース1006を介して訪問先検証サーバに対し、指定されたアクセス端末IDに関連する認証トークンを送ることができる。
少なくともいくつかの実装形態によれば、ステップ1108において、ホーム検証サーバはまた、アクセス端末のユーザに関連する加入者情報を含む加入者認証メッセージを受信することができる。たとえば、処理回路1002の加入者認証モジュール1014は、通信インターフェース1006を介して、加入者識別モジュール(たとえば、SIM、USIM、CSIM、RUIM)に記憶されている加入者データを使用して生成された情報のような、ユーザ(または加入者)に関連する情報を含む加入者認証メッセージを受信することができる。加入者認証は、当技術分野で一般に知られているため本明細書で詳述しない従来型の加入者認証手順に従って、加入者認証モジュール1014によって実行され得る。様々な実装形態によれば、加入者認証プロセスは、ステップ1102〜1106のデバイス認証プロセスの前に、かかるデバイス認証プロセスと同時に、またはかかるデバイス認証プロセスの後に実行され得る。
図1、図2、図3、図4、図5、図6、図7、図8、図9、図10および/または図11に示した構成要素、ステップ、特徴および/または機能のうちの1つまたは複数は、単一の構成要素、ステップ、特徴または機能に再構成され、かつ/または組み合わされ、あるいは、いくつかの構成要素、ステップ、または機能で実施され得る。また、本開示から逸脱することなく追加の要素、構成要素、ステップ、および/または機能が追加され得る。図1、図6、図8および/または図10に示した装置、デバイス、および/または構成要素は、図2、図3、図4、図5、図7、図9および/または図11を参照しながら説明した方法、特徴、またはステップのうちの1つまたは複数を実行するように構成され得る。本明細書に記載の新規のアルゴリズムは、ソフトウェアで効率的に実装されてもよく、かつ/またはハードウェアに組み込まれてもよい。
また、少なくともいくつかの実装形態を、フローチャート、流れ図、構造図またはブロック図として示されるプロセスとして説明したことに留意されたい。フローチャートは動作を逐次プロセスとして説明し得るが、動作の多くは並行してまたは同時に実行され得る。加えて、動作の順序は並び替えられ得る。プロセスは、それの動作が完了したときに終了する。プロセスは、方法、関数、手順、サブルーチン、サブプログラムなどに対応し得る。プロセスが関数に対応するとき、プロセスの終了は、関数呼出しまたはメイン関数に対する関数のリターンに対応する。
さらに、実施形態は、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、またはそれらの任意の組合せによって実装され得る。ソフトウェア、ファームウェア、ミドルウェアまたはマイクロコードで実装されるとき、必要なタスクを実行するプログラムコードまたはコードセグメントは、記憶媒体または他のストレージなどの機械可読媒体に記憶され得る。プロセッサは必要なタスクを実行し得る。コードセグメントは、手順、関数、サブプログラム、プログラム、ルーチン、サブルーチン、モジュール、ソフトウェアパッケージ、クラス、または命令、データ構造もしくはプログラムステートメントの任意の組合せを表し得る。コードセグメントは、情報、データ、引数、パラメータ、またはメモリ内容をパスおよび/または受信することによって、別のコードセグメントまたはハードウェア回路に結合され得る。情報、引数、パラメータ、データなどは、メモリ共有、メッセージパッシング、トークンパッシング、ネットワーク送信などを含む、任意の好適な手段を介してパス、転送、または送信され得る。
少なくとも1つの実施形態では、本明細書で説明する処理回路(たとえば、処理回路602、802および/または1002)は、適切なメディアによって与えられる所望のプログラミングを実装するように構成された回路を含み得る。たとえば、処理回路は、たとえば、ソフトウェア命令および/もしくはファームウェア命令を含む実行可能命令、ならびに/またはハードウェア回路を実行するように構成された、プロセッサ、コントローラ、複数のプロセッサおよび/または他の構造のうちの1つまたは複数として実装され得る。処理回路の実施形態は、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)もしくは他のプログラマブル論理構成要素、個別ゲートもしくはトランジスタ論理回路、個別ハードウェア構成要素、または本明細書で説明する機能を実行するように設計されたそれらの任意の組合せを含み得る。汎用プロセッサはマイクロプロセッサであり得るが、代替として、プロセッサは、任意の従来のプロセッサ、コントローラ、マイクロコントローラ、または状態機械であり得る。プロセッサは、DSPとマイクロプロセッサとの組合せ、複数のマイクロプロセッサ、DSPコアと連携する1つまたは複数のマイクロプロセッサ、あるいは任意の他のそのような構成など、コンピューティング構成要素の組合せとしても実装され得る。処理回路のこれらの例は説明のためのものであり、本開示の範囲内の他の好適な構成も企図される。
本明細書で上述したように、メモリ回路604、804および/または1004のようなメモリ回路は、プロセッサ実行可能コードもしくは命令(たとえば、ソフトウェア、ファームウェア)、電子データ、データベース、または他のデジタル情報のような、プログラミングおよび/またはデータを記憶するための1つまたは複数のデバイスを代表し得る。メモリ回路は、汎用または専用プロセッサによってアクセスできる任意の利用可能な媒体とすることができる。限定ではなく例として、メモリ回路は、読取り専用メモリ(たとえば、ROM、EPROM、EEPROM)、ランダムアクセスメモリ(RAM)、磁気ディスク記憶媒体、光学記憶媒体、フラッシュメモリデバイス、および/または情報を記憶するための他の非一時的なコンピュータ可読媒体を含み得る。
「機械可読媒体」、「コンピュータ可読媒体」、および/または「プロセッサ可読媒体」という用語は、ポータブルまたは固定ストレージデバイス、光ストレージデバイス、ならびに命令および/またはデータを記憶、含有または搬送することが可能な様々な他の非一時的媒体を含み得るが、これらに限定されない。したがって、本明細書で説明する様々な方法は、「機械可読媒体」、「コンピュータ可読媒体」および/または「プロセッサ可読媒体」に記憶され、1つまたは複数のプロセッサ、機械および/またはデバイスによって実行され得る命令および/またはデータによって、部分的にまたは完全に実装され得る。
本明細書で開示する例に関して説明する方法またはアルゴリズムは、ハードウェアで、プロセッサによって実行可能なソフトウェアモジュールで、または両方の組合せで、処理ユニット、プログラム命令、または他の指示の形態で直接実施され得、単一のデバイスに含まれるかまたは複数のデバイスにわたって分散され得る。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、リムーバブルディスク、CD-ROM、または当技術分野で知られている任意の他の形態の非一時的記憶媒体中に常駐し得る。記憶媒体は、プロセッサがその記憶媒体から情報を読み取り、その記憶媒体に情報を書き込むことができるようにプロセッサに結合され得る。代替として、記憶媒体はプロセッサと一体であり得る。
さらに、本明細書で開示する実施形態に関して説明する様々な例示的な論理ブロック、モジュール、回路、およびアルゴリズムステップは、電子ハードウェア、コンピュータソフトウェア、または両方の組合せとして実装され得ることを当業者は諒解されよう。ハードウェアとソフトウェアのこの互換性を明確に示すために、様々な例示的な構成要素、ブロック、モジュール、回路、およびステップを、上記では概してそれらの機能に関して説明した。そのような機能をハードウェアとして実装するか、ソフトウェアとして実装するかは、特定の適用例および全体的なシステムに課される設計制約に依存する。
本明細書で説明する本開示の様々な特徴は、本開示から逸脱することなく様々なシステムで実装され得る。上記の実施形態は例にすぎず、本開示を限定するものと解釈すべきではないことに留意されたい。実施形態の説明は、例示的なものであり、本開示の範囲を限定するものではない。したがって、本教示は、他のタイプの装置、ならびに多くの代替形態、変更形態、および変形形態に容易に適用され得ることが当業者に明らかであろう。
110 アクセス端末
120 ホームネットワーク
122 ホーム検証サーバ
150 訪問先ネットワーク
152 セル
154 基地局
156 訪問先検証サーバ
180 証明局(CA)
600 アクセス端末
602 処理回路
604 メモリ回路
606 ワイヤレス通信インターフェース
608 アクセス端末識別子(ID)
609 検証鍵
610 公開鍵
612a 専用鍵
612b 共用秘密鍵
614 送信機
616 受信機
618 加入者(ユーザ)識別モジュール
620 デバイス認証モジュール/回路
800 訪問先検証サーバ
802 処理回路
804 メモリ回路
806 通信インターフェース
808 送信機
810 受信機
812 アクセス端末認証モジュール/回路
814 加入者認証モジュール/回路
1000 ホーム検証サーバ
1002 処理回路
1004 メモリ回路
1006 通信インターフェース
1008 送信機
1010 受信機
1012 アクセス端末認証モジュール/回路
1014 加入者認証モジュール/回路

Claims (47)

  1. 訪問先ネットワーク内でローミング中のアクセス端末のデバイス認証を円滑にするための、前記アクセス端末において使用可能な方法であって、
    前記アクセス端末のアクセス端末識別子に関連する検証鍵を取得するステップと、
    前記アクセス端末識別子および前記検証鍵を使用して生成された認証データを含む第1のデバイス認証メッセージを生成するステップと、
    前記訪問先ネットワークにアクセスする認可アクセス端末として前記アクセス端末を認証するために前記第1のデバイス認証メッセージを訪問先検証サーバに送信するステップと、
    前記第1のデバイス認証メッセージを受信した前記訪問先検証サーバからの前記アクセス端末に関係するデバイス認証情報の要求に応答したホーム検証サーバによって提供された第2のデバイス認証メッセージと、前記第1のデバイス認証メッセージとの比較に依存する、前記訪問先検証サーバによる前記第1のデバイス認証メッセージの検証に基づいて前記アクセス端末に対して前記訪問先ネットワークへのアクセスを許可または拒否する通知を前記訪問先検証サーバから受信するステップと
    を含む方法。
  2. 前記検証鍵を受信するステップは、
    専用/公開鍵ペアまたは共用秘密鍵のいずれかとして前記検証鍵を受信するステップ
    を含む、請求項1に記載の方法。
  3. 前記アクセス端末識別子および前記検証鍵を使用して生成された前記認証データを含む前記第1のデバイス認証メッセージを生成するステップは、
    前記アクセス端末識別子および前記検証鍵によるデジタル署名を含む前記第1のデバイス認証メッセージを生成するステップ
    を含む、請求項1に記載の方法。
  4. 前記アクセス端末識別子および前記検証鍵を使用して生成された前記認証データを含む前記第1のデバイス認証メッセージを生成するステップは、
    前記アクセス端末識別子およびアクセス端末認証トークンを含む前記第1のデバイス認証メッセージを生成するステップ
    を含む、請求項1に記載の方法。
  5. 前記第1のデバイス認証メッセージを生成するステップまたは前記第1のデバイス認証メッセージを送信するステップのいずれかの前に前記第1のデバイス認証メッセージに対する要求を受信するステップ
    をさらに含む、請求項1に記載の方法。
  6. 加入者に関連する情報を含む加入者認証メッセージを生成するステップと、
    前記加入者がネットワークアクセスを認められていることを確認するために前記加入者認証メッセージを送信するステップと
    をさらに含む、請求項1に記載の方法。
  7. アクセス端末であって、
    訪問先ネットワークと通信するように動作可能なワイヤレス通信インターフェースと、
    前記ワイヤレス通信インターフェースに結合された処理回路と
    を含み、前記処理回路は、
    前記アクセス端末のアクセス端末識別子に関連する検証鍵を取得し、
    前記アクセス端末識別子および前記検証鍵を使用して生成された認証データを含む第1のデバイス認証メッセージを生成し、
    前記訪問先ネットワークにアクセスする認可アクセス端末として前記アクセス端末を認証するように適合された前記第1のデバイス認証メッセージを前記ワイヤレス通信インターフェースを介して訪問先検証サーバに送信し、
    前記第1のデバイス認証メッセージを受信した前記訪問先検証サーバからの前記アクセス端末に関係するデバイス認証情報の要求に応答したホーム検証サーバによって提供された第2のデバイス認証メッセージと、前記第1のデバイス認証メッセージとの比較に依存する、前記訪問先検証サーバによる前記第1のデバイス認証メッセージの検証に基づいて前記アクセス端末に対して前記訪問先ネットワークへのアクセスを許可または拒否する通知を前記ワイヤレス通信インターフェースを介して前記訪問先検証サーバから受信する
    ように適合される、アクセス端末。
  8. 前記検証鍵は専用/公開鍵ペアまたは共用秘密鍵のうちの1つを含む、請求項7に記載のアクセス端末。
  9. 前記認証データは前記検証鍵によるデジタル署名を含む、請求項7に記載のアクセス端末。
  10. 前記認証データは、アクセス端末認証トークンを含み、前記処理回路は、前記訪問先検証サーバに前記アクセス端末識別子および前記アクセス端末認証トークンを送信するように適合される、請求項7に記載のアクセス端末。
  11. 前記処理回路は、
    加入者に関連する情報を含む加入者認証メッセージを生成し、
    前記加入者がネットワークアクセスを認められていることを確認するために前記加入者認証メッセージを送信する
    ようにさらに適合される、請求項7に記載のアクセス端末。
  12. アクセス端末であって、
    前記アクセス端末のアクセス端末識別子に関連する検証鍵を取得するための手段と、
    前記アクセス端末識別子および前記検証鍵を使用して生成された認証データを含む第1のデバイス認証メッセージを生成するための手段と、
    訪問先ネットワークにアクセスする認可アクセス端末として前記アクセス端末を認証するために前記第1のデバイス認証メッセージを訪問先検証サーバに送信するための手段と、
    前記第1のデバイス認証メッセージを受信した前記訪問先検証サーバからの前記アクセス端末に関係するデバイス認証情報の要求に応答したホーム検証サーバによって提供された第2のデバイス認証メッセージと、前記第1のデバイス認証メッセージとの比較に依存する、前記訪問先検証サーバによる前記第1のデバイス認証メッセージの検証に基づいて前記アクセス端末に対して前記訪問先ネットワークへのアクセスを許可または拒否する通知を前記訪問先検証サーバから受信するための手段と
    を含むアクセス端末。
  13. 前記認証データは、前記検証鍵によるデジタル署名または前記検証鍵を使用して生成されたアクセス端末認証トークンのうちの少なくとも1つを含む、請求項12に記載のアクセス端末。
  14. 加入者に関連する情報を含む加入者認証メッセージを生成するための手段と、
    前記加入者がネットワークアクセスを認められていることを確認するために前記加入者認証メッセージを送信するための手段と
    をさらに含む、請求項12に記載のアクセス端末。
  15. アクセス端末上で動作可能な1つまたは複数の命令を有するプロセッサ可読記録媒体であって、前記命令は、プロセッサによって実行されると、前記プロセッサに、
    前記アクセス端末のアクセス端末識別子に関連する検証鍵を受信し、
    前記アクセス端末識別子および前記検証鍵を使用して生成された認証データを含む第1のデバイス認証メッセージを生成し、
    訪問先ネットワークにアクセスする認可アクセス端末として前記アクセス端末を認証するように適合された前記第1のデバイス認証メッセージを訪問先検証サーバに送信し、
    前記第1のデバイス認証メッセージを受信した前記訪問先検証サーバからの前記アクセス端末に関係するデバイス認証情報の要求に応答したホーム検証サーバによって提供された第2のデバイス認証メッセージと、前記第1のデバイス認証メッセージとの比較に依存する、前記訪問先検証サーバによる前記第1のデバイス認証メッセージの検証に基づいて前記アクセス端末に対して前記訪問先ネットワークへのアクセスを許可または拒否する通知を前記訪問先検証サーバから受信する
    ことを行わせる、プロセッサ可読記録媒体。
  16. 前記認証データは、前記検証鍵によるデジタル署名または前記検証鍵を使用して生成されたアクセス端末認証トークンのうちの少なくとも1つを含む、請求項15に記載のプロセッサ可読記録媒体。
  17. アクセス端末上で動作可能な命令をさらに含み、前記命令は、プロセッサによって実行されると、前記プロセッサに、
    加入者に関連する情報を含む加入者認証メッセージを生成し、
    前記加入者がネットワークアクセスを認められていることを確認するために前記加入者認証メッセージを送信する
    ことを行わせる、請求項15に記載のプロセッサ可読記録媒体。
  18. 訪問先ネットワーク内でローミングしているアクセス端末のデバイス認証を円滑にするための、訪問先検証サーバにおいて使用可能な方法であって、
    前記アクセス端末のアクセス端末識別子および前記アクセス端末識別子に関連する検証鍵を使用して生成されたアクセス端末認証データを含む第1のデバイス認証メッセージを前記アクセス端末から受信するステップと、
    前記アクセス端末に関係するデバイス認証情報を含む第2のデバイス認証メッセージを要求する前記アクセス端末識別子を含む要求をホーム検証サーバに送信するステップと、
    前記ホーム検証サーバから前記第2のデバイス認証メッセージを受信するステップと、
    受信した前記第1のデバイス認証メッセージと受信した前記第2のデバイス認証メッセージとの比較に基づいて前記アクセス端末を認証するステップと、
    前記アクセス端末に対して前記訪問先ネットワークへのアクセスを許可または拒否する通知を前記アクセス端末に送信するステップと
    を含む方法。
  19. 前記アクセス端末識別子および前記アクセス端末認証データを含む前記第1のデバイス認証メッセージを受信するステップは、
    前記アクセス端末識別子および前記アクセス端末の前記アクセス端末識別子に関連する前記検証鍵によるデジタル署名を含む前記第1のデバイス認証メッセージを受信するステップ
    を含む、請求項18に記載の方法。
  20. 受信した前記第1のデバイス認証メッセージに基づいて前記アクセス端末を認証するステップは、
    前記アクセス端末識別子に関連する証明書を取得するステップと、
    前記取り出された証明書を使用して前記第1のデバイス認証メッセージとともに含まれている前記デジタル署名を確認するステップと
    を含む、請求項19に記載の方法。
  21. 前記アクセス端末認証データは、アクセス端末認証トークンを含み、前記第1のデバイス認証メッセージに基づいて前記アクセス端末を認証するステップは、
    前記アクセス端末に関連する第2の認証トークンに対する要求をホーム検証サーバに送信するステップと、
    前記ホーム検証サーバから前記第2の認証トークンを受信するステップと、
    前記アクセス端末認証トークンを前記第2の認証トークンと比較するステップと、
    前記アクセス端末認証トークンと前記第2の認証トークンとが合致した場合に、前記アクセス端末を認証し、前記訪問先ネットワーク内のネットワークアクセスを許容するステップと、
    前記アクセス端末認証トークンと前記第2の認証トークンとが合致しなかった場合に、前記アクセス端末に対してネットワークアクセスを拒否するステップと
    を含む、請求項18に記載の方法。
  22. 前記アクセス端末に対して前記認証メッセージを送信することを求める要求を送信するステップ
    をさらに含み、前記要求は、前記アクセス端末から前記認証メッセージを受信する前に送られる、請求項18に記載の方法。
  23. 前記アクセス端末による加入者認証の開始からある時間が経過した後、前記アクセス端末から前記認証メッセージを受信していない場合に、前記要求が送信される、請求項22に記載の方法。
  24. 加入者に関連する情報を含む加入者認証メッセージを前記アクセス端末から受信するステップ
    をさらに含む、請求項18に記載の方法。
  25. 訪問先検証サーバであって、
    アクセス端末との通信を円滑にするように適合された通信インターフェースと、
    前記通信インターフェースに結合された処理回路と
    を含み、前記処理回路は、
    前記アクセス端末のアクセス端末識別子および前記アクセス端末識別子に関連する検証鍵を使用して生成されたアクセス端末認証データを含む第1のデバイス認証メッセージを、前記通信インターフェースを介して前記アクセス端末から受信し、
    前記アクセス端末に関係するデバイス認証情報を含む第2のデバイス認証メッセージを要求する前記アクセス端末識別子を含む要求をホーム検証サーバに送信し、
    前記ホーム検証サーバから前記第2のデバイス認証メッセージを受信し、
    受信した前記第1のデバイス認証メッセージと受信した前記第2のデバイス認証メッセージとの比較に基づいて前記アクセス端末を認証し、
    前記アクセス端末に対して訪問先ネットワークへのアクセスを許可または拒否する通知を、前記通信インターフェースを介して前記アクセス端末に送信する
    ように適合される、訪問先検証サーバ。
  26. 前記アクセス端末認証データは、前記アクセス端末の前記アクセス端末識別子に関連する前記検証鍵によるデジタル署名を含む、請求項25に記載の訪問先検証サーバ。
  27. 前記アクセス端末を認証するように適合される前記処理回路は、
    前記アクセス端末識別子に関連する証明書を取得し、
    前記取り出された証明書を使用して前記第1のデバイス認証メッセージとともに含まれている前記デジタル署名を確認する
    ように適合される前記処理回路を含む、請求項26に記載の訪問先検証サーバ。
  28. 前記アクセス端末認証データは、アクセス端末認証トークンを含み、前記アクセス端末を認証するように適合される前記処理回路は、
    前記アクセス端末に関連する第2の認証トークンに対する要求をホーム検証サーバに送信し、
    前記ホーム検証サーバから前記第2の認証トークンを受信し、
    前記アクセス端末認証トークンを前記第2の認証トークンと比較し、
    前記アクセス端末認証トークンと前記第2の認証トークンとが合致した場合に、前記アクセス端末を認証し、前記訪問先ネットワーク内のネットワークアクセスを許容し、
    前記アクセス端末認証トークンと前記第2の認証トークンとが合致しなかった場合に、前記アクセス端末に対してネットワークアクセスを拒否する
    ように適合される前記処理回路を含む、請求項25に記載の訪問先検証サーバ。
  29. 前記処理回路は、
    加入者に関連する情報を含む加入者認証メッセージを前記アクセス端末から受信する
    ようにさらに適合される、請求項25に記載の訪問先検証サーバ。
  30. 訪問先検証サーバであって、
    アクセス端末のアクセス端末識別子および前記アクセス端末識別子に関連する検証鍵を使用して生成されたアクセス端末認証データを含む第1のデバイス認証メッセージを前記アクセス端末から受信するための手段と、
    前記アクセス端末に関係するデバイス認証情報を含む第2のデバイス認証メッセージを要求する前記アクセス端末識別子を含む要求をホーム検証サーバに送信するための手段と、
    前記ホーム検証サーバから前記第2のデバイス認証メッセージを受信するための手段と、
    受信した前記第1のデバイス認証メッセージと受信した前記第2のデバイス認証メッセージとの比較に基づいて前記アクセス端末を認証するための手段と、
    前記アクセス端末に対して訪問先ネットワークへのアクセスを許可または拒否する通知を前記アクセス端末に送信するための手段と
    を含む訪問先検証サーバ。
  31. 前記アクセス端末認証データは、前記アクセス端末識別子に関連する前記検証鍵によるデジタル署名、またはアクセス端末認証トークンのうちの少なくとも1つを含む、請求項30に記載の訪問先検証サーバ。
  32. 加入者に関連する情報を含む加入者認証メッセージを前記アクセス端末から受信するための手段
    をさらに含む、請求項30に記載の訪問先検証サーバ。
  33. 訪問先検証サーバ上で動作可能な1つまたは複数の命令を有するプロセッサ可読記録媒体であって、前記命令は、プロセッサによって実行されると、前記プロセッサに、
    アクセス端末のアクセス端末識別子および前記アクセス端末識別子に関連する検証鍵を使用して生成されたアクセス端末認証データを含む第1のデバイス認証メッセージを前記アクセス端末から受信し、
    前記アクセス端末に関係するデバイス認証情報を含む第2のデバイス認証メッセージを要求する前記アクセス端末識別子を含む要求をホーム検証サーバに送信し、
    前記ホーム検証サーバから前記第2のデバイス認証メッセージを受信し、
    受信した前記第1のデバイス認証メッセージと受信した前記第2のデバイス認証メッセージとの比較に基づいて前記アクセス端末を認証し、
    前記アクセス端末に対して訪問先ネットワークへのアクセスを許可または拒否する通知を前記アクセス端末に送信する
    ことを行わせる、プロセッサ可読記録媒体。
  34. 前記アクセス端末認証データは、前記アクセス端末識別子に関連する前記検証鍵によるデジタル署名、またはアクセス端末認証トークンのうちの少なくとも1つを含む、請求項33に記載のプロセッサ可読記録媒体。
  35. プロセッサに前記アクセス端末を認証することを行わせるように適合された前記1つまたは複数の命令は、プロセッサによって実行されると、前記プロセッサに、
    前記アクセス端末識別子に関連する証明書を取得し、
    前記取り出された証明書を使用して前記第1のデバイス認証メッセージとともに含まれている前記デジタル署名を確認する
    ことを行わせる1つまたは複数の命令を含む、請求項34に記載のプロセッサ可読記録媒体。
  36. プロセッサに前記アクセス端末を認証することを行わせるように適合された前記1つまたは複数の命令は、プロセッサによって実行されると、前記プロセッサに、
    前記アクセス端末に関連する第2の認証トークンに対する要求をホーム検証サーバに送信し、
    前記ホーム検証サーバから前記第2の認証トークンを受信し、
    前記アクセス端末認証トークンを前記第2の認証トークンと比較し、
    前記アクセス端末認証トークンと前記第2の認証トークンとが合致した場合に、前記アクセス端末を認証し、前記訪問先ネットワーク内のネットワークアクセスを許容し、
    前記アクセス端末認証トークンと前記第2の認証トークンとが合致しなかった場合に、前記アクセス端末に対してネットワークアクセスを拒否する
    ことを行わせる1つまたは複数の命令を含む、請求項34に記載のプロセッサ可読記録媒体。
  37. プロセッサによって実行されると、前記プロセッサに、
    加入者に関連する情報を含む加入者認証メッセージを前記アクセス端末から受信する
    ことを行わせる1つまたは複数の命令をさらに含む、請求項33に記載のプロセッサ可読記録媒体。
  38. 訪問先ネットワーク内でローミングしているアクセス端末のデバイス認証を円滑にするための、ホーム検証サーバにおいて使用可能な方法であって、
    前記アクセス端末のアクセス端末識別子および前記アクセス端末識別子に関連する検証鍵を使用して生成されたアクセス端末認証データを含む第1のデバイス認証メッセージを受信した訪問先検証サーバから、前記アクセス端末に関係するデバイス認証情報を要求する、前記アクセス端末に関連する前記アクセス端末識別子を含む送信を受信するステップと、
    前記要求されたデバイス認証情報を含む第2のデバイス認証メッセージを生成するステップと、
    前記訪問先検証サーバによる前記第1のデバイス認証メッセージと前記第2のデバイス認証メッセージとの比較に基づく前記アクセス端末の認証のために、前記訪問先検証サーバに前記第2のデバイス認証メッセージを送信するステップと
    を含む方法。
  39. 前記アクセス端末に関係するデバイス認証情報を要求する前記送信を受信するステップは、
    前記アクセス端末に関連する認証トークンに対する要求を前記訪問先検証サーバから受信するステップ
    を含む、請求項38に記載の方法。
  40. 前記要求されたデバイス認証情報を含む前記第2のデバイス認証メッセージを生成するステップは、
    前記送信に含まれている前記アクセス端末識別子を使用して前記認証トークンを生成するステップ
    を含む、請求項39に記載の方法。
  41. 前記アクセス端末のユーザに関連する加入者情報を含む加入者認証メッセージを受信するステップ
    をさらに含む、請求項38に記載の方法。
  42. ホーム検証サーバであって、
    通信インターフェースと、
    前記通信インターフェースに結合された処理回路と
    を含み、前記処理回路は、
    アクセス端末のアクセス端末識別子および前記アクセス端末識別子に関連する検証鍵を使用して生成されたアクセス端末認証データを含む第1のデバイス認証メッセージを受信した訪問先検証サーバから、前記アクセス端末に関係するデバイス認証情報を要求する、前記アクセス端末に関連する前記アクセス端末識別子を含む送信を受信し、
    前記要求されたデバイス認証情報を含む第2のデバイス認証メッセージを生成し、
    前記訪問先検証サーバによる前記第1のデバイス認証メッセージと前記第2のデバイス認証メッセージとの比較に基づく前記アクセス端末の認証のために、前記訪問先検証サーバに前記第2のデバイス認証メッセージを送信する
    ように適合される、ホーム検証サーバ。
  43. デバイス認証情報を要求する前記送信は、前記アクセス端末に関連する認証トークンに対する前記訪問先検証サーバからの要求を含む、請求項42に記載のホーム検証サーバ。
  44. 前記要求されたデバイス認証情報を含む前記第2のデバイス認証メッセージを生成するように適合される前記処理回路は、
    前記送信に含まれている前記アクセス端末識別子を使用して前記認証トークンを生成する
    ように適合される前記処理回路を含む、請求項43に記載のホーム検証サーバ。
  45. 前記処理回路は、
    前記アクセス端末のユーザに関連する加入者情報を含む加入者認証メッセージを受信する
    ようにさらに適合される、請求項42に記載のホーム検証サーバ。
  46. ホーム検証サーバであって、
    アクセス端末のアクセス端末識別子および前記アクセス端末識別子に関連する検証鍵を使用して生成されたアクセス端末認証データを含む第1のデバイス認証メッセージを受信した訪問先検証サーバから、前記アクセス端末に関係するデバイス認証情報を要求する、前記アクセス端末に関連する前記アクセス端末識別子を含む送信を受信するための手段と、
    前記要求されたデバイス認証情報を含む第2のデバイス認証メッセージを生成するための手段と、
    前記訪問先検証サーバによる前記第1のデバイス認証メッセージと前記第2のデバイス認証メッセージとの比較に基づく前記アクセス端末の認証のために、前記訪問先検証サーバに前記第2のデバイス認証メッセージを送信するための手段と
    を含むホーム検証サーバ。
  47. ホーム検証サーバ上で動作可能な1つまたは複数の命令を有するプロセッサ可読記録媒体であって、前記命令は、プロセッサによって実行されると、前記プロセッサに、
    アクセス端末のアクセス端末識別子および前記アクセス端末識別子に関連する検証鍵を使用して生成されたアクセス端末認証データを含む第1のデバイス認証メッセージを受信した訪問先検証サーバから、前記アクセス端末に関係するデバイス認証情報を要求する、前記アクセス端末に関連する前記アクセス端末識別子を含む送信を受信し、
    前記要求されたデバイス認証情報を含む第2のデバイス認証メッセージを生成し、
    前記訪問先検証サーバによる前記第1のデバイス認証メッセージと前記第2のデバイス認証メッセージとの比較に基づく前記アクセス端末の認証のために、前記訪問先検証サーバに前記第2のデバイス認証メッセージを送信する
    ことを行わせる、プロセッサ可読記録媒体。
JP2013534071A 2010-10-22 2011-10-23 ローミングネットワークにおけるアクセス端末識別情報の認証 Active JP5579938B2 (ja)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US40601710P 2010-10-22 2010-10-22
US61/406,017 2010-10-22
US201161435267P 2011-01-22 2011-01-22
US61/435,267 2011-01-22
US13/243,185 2011-09-23
US13/243,185 US9112905B2 (en) 2010-10-22 2011-09-23 Authentication of access terminal identities in roaming networks
PCT/US2011/057412 WO2012054911A1 (en) 2010-10-22 2011-10-23 Authentication of access terminal identities in roaming networks

Publications (2)

Publication Number Publication Date
JP2013545367A JP2013545367A (ja) 2013-12-19
JP5579938B2 true JP5579938B2 (ja) 2014-08-27

Family

ID=45973434

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013534071A Active JP5579938B2 (ja) 2010-10-22 2011-10-23 ローミングネットワークにおけるアクセス端末識別情報の認証

Country Status (6)

Country Link
US (1) US9112905B2 (ja)
EP (1) EP2630816B1 (ja)
JP (1) JP5579938B2 (ja)
KR (1) KR101536489B1 (ja)
CN (1) CN103155614B (ja)
WO (1) WO2012054911A1 (ja)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102196438A (zh) 2010-03-16 2011-09-21 高通股份有限公司 通信终端标识号管理的方法和装置
US9385862B2 (en) 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
US9141780B2 (en) * 2010-11-22 2015-09-22 Smsc Holdings S.A.R.L. Method and system for authenticating communication
US9668128B2 (en) 2011-03-09 2017-05-30 Qualcomm Incorporated Method for authentication of a remote station using a secure element
US9184917B2 (en) * 2011-05-27 2015-11-10 Google Technology Holdings LLC Method and system for registering a DRM client
KR20130085509A (ko) * 2011-12-14 2013-07-30 삼성전자주식회사 어플리케이션 사용자 인증 장치 및 방법
KR20140138982A (ko) * 2012-04-24 2014-12-04 닛본 덴끼 가부시끼가이샤 홈 네트워크의 외부로부터 서비스에 액세스하는 sso 가입자에 대한 보안 방법
US9537663B2 (en) * 2012-06-20 2017-01-03 Alcatel Lucent Manipulation and restoration of authentication challenge parameters in network authentication procedures
US9154945B2 (en) * 2012-09-12 2015-10-06 Nokia Technologies Oy Methods and apparatus for privacy protection in ad hoc networks
US9424249B1 (en) * 2012-09-18 2016-08-23 Amazon Technologies, Inc. Encoding text units
US20140282696A1 (en) * 2013-03-15 2014-09-18 Qualcomm Incorporated Advertising download verification
CN104184713B (zh) 2013-05-27 2018-03-27 阿里巴巴集团控股有限公司 终端识别方法、机器识别码注册方法及相应系统、设备
US9525705B2 (en) * 2013-11-15 2016-12-20 Oracle International Corporation System and method for managing tokens authorizing on-device operations
CN103618610B (zh) * 2013-12-06 2018-09-28 上海上塔软件开发有限公司 一种基于智能电网中能量信息网关的信息安全算法
CN104168361A (zh) * 2014-08-29 2014-11-26 宇龙计算机通信科技(深圳)有限公司 通话方法、通话装置、服务器和通话系统
CN104202341B (zh) * 2014-09-22 2018-01-19 英华达(南京)科技有限公司 进行智能终端设备信息传输的方法、系统及智能终端设备
US9692711B2 (en) * 2014-12-22 2017-06-27 Verizon Patent And Licensing Inc. DNS redirecting for data roaming offering
CN105827669B (zh) * 2015-01-04 2019-06-11 中国移动通信集团江苏有限公司 一种终端虚拟存储的方法、设备和系统
US10237722B2 (en) * 2015-03-11 2019-03-19 Futurewei Technologies, Inc. System and method for multi-SIM profiles or embedded SIM
US9900156B2 (en) * 2015-04-15 2018-02-20 Cisco Technology, Inc. Cloud service validation
KR102233860B1 (ko) 2016-07-18 2021-03-31 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) 비밀 식별자를 사용하는 사용자 장비에 관련된 동작
GB2556906A (en) * 2016-11-24 2018-06-13 Trustonic Ltd Handset identifier verification
CN106790251B (zh) * 2017-01-24 2020-05-05 中国联合网络通信集团有限公司 用户接入方法和用户接入系统
CN111512330B (zh) 2017-07-13 2024-04-19 软银股份有限公司 跨网络身份验证方法以及系统
WO2019011751A1 (en) * 2017-07-14 2019-01-17 Telefonaktiebolaget Lm Ericsson (Publ) AUTHENTICATION CONTROL IN A HOME NETWORK
WO2019025603A1 (en) * 2017-08-03 2019-02-07 Ipcom Gmbh & Co. Kg EU DESIGNED TO TRANSMIT SERVICE VALIDATION MESSAGES
CN109391601B (zh) * 2017-08-10 2021-02-12 华为技术有限公司 一种授予终端网络权限的方法、装置及设备
US11290466B2 (en) * 2017-08-16 2022-03-29 Cable Television Laboratories, Inc. Systems and methods for network access granting
CN114501448A (zh) 2017-11-17 2022-05-13 中兴通讯股份有限公司 拒绝接入方法、装置及系统
CN112136299B (zh) * 2018-05-17 2023-02-14 诺基亚技术有限公司 经由公共服务提供方网络上的vpn连接性促进住宅无线漫游
JP7096736B2 (ja) * 2018-08-28 2022-07-06 キヤノン株式会社 システム、及びデータ処理方法
CN109302412B (zh) * 2018-11-06 2021-09-21 晋商博创(北京)科技有限公司 基于CPK的VoIP通信处理方法、终端、服务器及存储介质
CN110311783B (zh) * 2019-05-30 2022-09-23 平安科技(深圳)有限公司 基于群签名的用户归属验证方法、装置和计算机设备
GB2586223A (en) * 2019-08-05 2021-02-17 British Telecomm Conditional message routing in a telecommunications network
TWI734270B (zh) * 2019-11-25 2021-07-21 財團法人工業技術研究院 接取私有網路服務之方法及系統
CN112910826B (zh) * 2019-12-03 2022-08-23 中国移动通信有限公司研究院 一种初始配置方法及终端设备
US11381941B2 (en) 2020-10-13 2022-07-05 Cisco Technology, Inc. Dynamic permit/deny UE/realm list update and cost optimization based on network attach failure incidents
US20220294639A1 (en) * 2021-03-15 2022-09-15 Synamedia Limited Home context-aware authentication
US11877218B1 (en) 2021-07-13 2024-01-16 T-Mobile Usa, Inc. Multi-factor authentication using biometric and subscriber data systems and methods
US11800596B2 (en) * 2021-07-26 2023-10-24 Verizon Patent And Licensing Inc. Systems and methods for temporary service provisioning
CN115361685B (zh) * 2022-10-21 2022-12-20 北京全路通信信号研究设计院集团有限公司 一种端到端漫游认证方法、系统

Family Cites Families (74)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI952146A (fi) 1995-05-04 1996-11-05 Nokia Telecommunications Oy Tilaajalaitteen käyttoikeuden tarkistus
FI101031B (fi) 1995-05-12 1998-03-31 Nokia Telecommunications Oy Tilaajalaitteen käyttöoikeuden tarkistus
SE506584C2 (sv) 1996-05-13 1998-01-19 Ericsson Telefon Ab L M Förfarande och anordning vid övervakning av mobilkommunikationsenhet
FI103469B (fi) 1996-09-17 1999-06-30 Nokia Telecommunications Oy Kopioidun tilaajatunnuksen väärinkäytön estäminen matkaviestinjärjeste lmässä
WO1999003285A2 (de) 1997-07-10 1999-01-21 Detemobil Deutsche Telekom Mobilnet Gmbh Verfahren und vorrichtung zur gegenseitigen authentisierung von komponenten in einem netz mit dem challenge-response-verfahren
KR100315641B1 (ko) 1999-03-03 2001-12-12 서평원 오티에이피에이를 위한 단말기와 시스템의 상호 인증 방법
DE19812215A1 (de) * 1998-03-19 1999-09-23 Siemens Ag Verfahren, Mobilstation und Funk-Kommunikationssystem zur Steuerung von sicherheitsbezogenen Funktionen bei der Verbindungsbehandlung
FI110224B (fi) * 1999-09-17 2002-12-13 Nokia Corp Valvontajärjestelmä
US6826690B1 (en) * 1999-11-08 2004-11-30 International Business Machines Corporation Using device certificates for automated authentication of communicating devices
AU1734101A (en) 1999-12-08 2001-06-18 Fujitsu Limited Key control system and key control method
EP1156694B1 (en) 1999-12-27 2004-08-18 Mitsubishi Denki Kabushiki Kaisha Radio communication device
DE10026326B4 (de) 2000-05-26 2016-02-04 Ipcom Gmbh & Co. Kg Verfahren zur kryptografisch prüfbaren Identifikation einer physikalischen Einheit in einem offenen drahtlosen Telekommunikationsnetzwerk
JP4839554B2 (ja) 2000-10-19 2011-12-21 ソニー株式会社 無線通信システム、クライアント装置、サーバ装置および無線通信方法
US7668315B2 (en) * 2001-01-05 2010-02-23 Qualcomm Incorporated Local authentication of mobile subscribers outside their home systems
US20080301776A1 (en) * 2001-02-14 2008-12-04 Weatherford Sidney L System method for providing secure access to a communications network
JP2002345041A (ja) 2001-05-21 2002-11-29 Mitsubishi Electric Corp 加入者端末における秘密情報の登録方法
US7779267B2 (en) 2001-09-04 2010-08-17 Hewlett-Packard Development Company, L.P. Method and apparatus for using a secret in a distributed computing system
US20040022748A1 (en) 2002-03-12 2004-02-05 Unilever Home & Personal Care Usa, Division Of Conopco, Inc. Method of enhancing skin lightening
US8060139B2 (en) 2002-06-24 2011-11-15 Toshiba American Research Inc. (Tari) Authenticating multiple devices simultaneously over a wireless link using a single subscriber identity module
JP4018573B2 (ja) 2003-03-25 2007-12-05 株式会社エヌ・ティ・ティ・ドコモ 認証システム及び通信端末
CN100420171C (zh) * 2003-03-25 2008-09-17 华为技术有限公司 一种使用用户标识模块信息进行用户认证的方法
JP2005078220A (ja) 2003-08-28 2005-03-24 Matsushita Electric Ind Co Ltd 情報処理装置ならびにサービス提供システムおよびサービス提供方法
US7325133B2 (en) 2003-10-07 2008-01-29 Koolspan, Inc. Mass subscriber management
CA2546700C (en) 2003-11-07 2013-03-05 Telecom Italia S.P.A. Method and system for the authentication of a user of a data processing system
CN1684411B (zh) 2004-04-13 2010-04-28 华为技术有限公司 一种验证移动终端用户合法性的方法
FR2864410B1 (fr) 2003-12-19 2006-03-03 Gemplus Card Int Telephone portable et procede associe de securisation de son identifiant.
CN1719919A (zh) 2004-07-09 2006-01-11 上海迪比特实业有限公司 一种获取移动电话用户信息的方法
US8611536B2 (en) 2004-09-08 2013-12-17 Qualcomm Incorporated Bootstrapping authentication using distinguished random challenges
US20060089123A1 (en) * 2004-10-22 2006-04-27 Frank Edward H Use of information on smartcards for authentication and encryption
US7769175B2 (en) 2004-11-24 2010-08-03 Research In Motion Limited System and method for initiation of a security update
NO20050152D0 (no) 2005-01-11 2005-01-11 Dnb Nor Bank Asa Fremgangsmate ved frembringelse av sikkerhetskode og programmbar anordning for denne
TWI475862B (zh) 2005-02-04 2015-03-01 高通公司 無線通信之安全引導
JP2006245831A (ja) 2005-03-01 2006-09-14 Nippon Telegr & Teleph Corp <Ntt> 通信方法、通信システム、認証サーバ、および移動機
US20060206710A1 (en) * 2005-03-11 2006-09-14 Christian Gehrmann Network assisted terminal to SIM/UICC key establishment
US20060236369A1 (en) 2005-03-24 2006-10-19 Covington Michael J Method, apparatus and system for enforcing access control policies using contextual attributes
US20060291422A1 (en) * 2005-06-27 2006-12-28 Nokia Corporation Mobility management in a communication system of at least two communication networks
KR100770928B1 (ko) 2005-07-02 2007-10-26 삼성전자주식회사 통신 시스템에서 인증 시스템 및 방법
DE202005021930U1 (de) * 2005-08-01 2011-08-08 Corning Cable Systems Llc Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen
NO324315B1 (no) * 2005-10-03 2007-09-24 Encap As Metode og system for sikker brukerautentisering ved personlig dataterminal
CN100563159C (zh) 2006-02-23 2009-11-25 华为技术有限公司 通用鉴权系统及访问该系统中网络业务应用的方法
JP2007281861A (ja) 2006-04-06 2007-10-25 Nec Corp 端末認証方法及び携帯端末装置
CN101056456A (zh) 2006-04-10 2007-10-17 华为技术有限公司 无线演进网络实现认证的方法及安全系统
KR100988179B1 (ko) 2006-04-11 2010-10-18 퀄컴 인코포레이티드 다중 인증을 바인딩하는 방법 및 장치
JP4527085B2 (ja) 2006-06-14 2010-08-18 株式会社エヌ・ティ・ティ・ドコモ 加入者認証モジュール
CN100456725C (zh) 2007-03-15 2009-01-28 北京安拓思科技有限责任公司 用于wapi的获取公钥证书的网络系统和方法
RU2009146556A (ru) 2007-05-16 2011-06-27 Панасоник Корпорэйшн (Jp) Способы смешанного управления мобильностью на уровне сети и на уровне хоста
US7929959B2 (en) 2007-09-01 2011-04-19 Apple Inc. Service provider activation
KR101458205B1 (ko) * 2007-09-17 2014-11-12 삼성전자주식회사 휴대 방송 시스템에서 방송 서비스 송수신 방법 및 장치
CN101448257A (zh) 2007-11-28 2009-06-03 陈静 一种对用户终端进行验证的控制系统及控制方法
KR100905072B1 (ko) 2007-12-18 2009-06-30 주식회사 케이티프리텔 강제 재위치 등록에 의한 도난 단말 사용 저지 방법 및시스템
US8561135B2 (en) 2007-12-28 2013-10-15 Motorola Mobility Llc Wireless device authentication using digital certificates
US9197746B2 (en) * 2008-02-05 2015-11-24 Avaya Inc. System, method and apparatus for authenticating calls
JP4586075B2 (ja) 2008-02-06 2010-11-24 株式会社エヌ・ティ・ティ・ドコモ 無線端末及び無線通信方法
US8249553B2 (en) 2008-03-04 2012-08-21 Alcatel Lucent System and method for securing a base station using SIM cards
US20090239503A1 (en) 2008-03-20 2009-09-24 Bernard Smeets System and Method for Securely Issuing Subscription Credentials to Communication Devices
US8001379B2 (en) * 2008-03-26 2011-08-16 Mformation Technologies Inc. Credential generation system and method for communications devices and device management servers
US8145195B2 (en) * 2008-04-14 2012-03-27 Nokia Corporation Mobility related control signalling authentication in mobile communications system
US20090282256A1 (en) 2008-05-12 2009-11-12 Sony Ericsson Mobile Communications Ab Secure push messages
JP5388088B2 (ja) 2008-05-14 2014-01-15 独立行政法人情報通信研究機構 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。
GB2464260B (en) 2008-10-02 2013-10-02 Motorola Solutions Inc Method, mobile station, system and network processor for use in mobile communications
EP2368339B2 (en) 2008-12-03 2022-10-05 Entersekt International Limited Secure transaction authentication
US8121600B2 (en) * 2008-12-30 2012-02-21 Motorola Mobility, Inc. Wide area mobile communications over femto-cells
WO2010075650A1 (en) * 2008-12-31 2010-07-08 Nokia (China) Investment Co. Ltd Solutions for identifying legal user equipments in a communication network
TW201728195A (zh) * 2009-03-06 2017-08-01 內數位專利控股公司 無縣裝置平台認證及管理
US8059586B2 (en) 2009-06-04 2011-11-15 Motorola Mobility, Inc. Mobility management entity tracking for group mobility in wireless communication network
EP2291015A1 (en) 2009-08-31 2011-03-02 Gemalto SA A method for communicating data between a secure element and a network access point and a corresponding secure element
US20110219427A1 (en) * 2010-03-04 2011-09-08 RSSBus, Inc. Smart Device User Authentication
US8645699B2 (en) * 2010-03-15 2014-02-04 Blackberry Limited Use of certificate authority to control a device's access to services
CN102196438A (zh) 2010-03-16 2011-09-21 高通股份有限公司 通信终端标识号管理的方法和装置
US8566926B1 (en) * 2010-03-18 2013-10-22 Sprint Communications Company L.P. Mobility protocol selection by an authorization system
US9385862B2 (en) 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
CN101945386B (zh) 2010-09-10 2015-12-16 中兴通讯股份有限公司 一种实现安全密钥同步绑定的方法及系统
US8868915B2 (en) 2010-12-06 2014-10-21 Verizon Patent And Licensing Inc. Secure authentication for client application access to protected resources
US9668128B2 (en) 2011-03-09 2017-05-30 Qualcomm Incorporated Method for authentication of a remote station using a secure element

Also Published As

Publication number Publication date
KR101536489B1 (ko) 2015-08-21
WO2012054911A1 (en) 2012-04-26
EP2630816A1 (en) 2013-08-28
EP2630816B1 (en) 2020-01-08
US9112905B2 (en) 2015-08-18
CN103155614B (zh) 2019-01-18
JP2013545367A (ja) 2013-12-19
CN103155614A (zh) 2013-06-12
KR20130089651A (ko) 2013-08-12
US20120100832A1 (en) 2012-04-26

Similar Documents

Publication Publication Date Title
JP5579938B2 (ja) ローミングネットワークにおけるアクセス端末識別情報の認証
US9788209B2 (en) Apparatus and methods for controlling distribution of electronic access clients
JP5629788B2 (ja) アクセス端末識別情報の認証の円滑化
US8726019B2 (en) Context limited shared secret
US11870765B2 (en) Operation related to user equipment using secret identifier
US8320883B2 (en) Method to dynamically authenticate and control mobile devices
CN108471610B (zh) 蓝牙连接控制系统
EP2208330B1 (en) Method and apparatuses for determining whether femtocell is authorized to provide wireless connectivity to a mobile unit
US20110271330A1 (en) Solutions for identifying legal user equipments in a communication network
US20090191845A1 (en) Network enforced access control for femtocells
US11711693B2 (en) Non-3GPP device access to core network
EP3525503A1 (en) Registering or authenticating user equipment to a visited public land mobile network
WO2013185709A1 (zh) 一种呼叫认证方法、设备和系统
US20210329461A1 (en) Non-3gpp device access to core network
WO2011124051A1 (zh) 终端鉴权方法及系统
EP3673675B1 (en) Registering user equipment with a visited public land mobile network

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140210

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140512

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140609

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140709

R150 Certificate of patent or registration of utility model

Ref document number: 5579938

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250