JP5680688B2 - つながれた装置のための代理暗号化認証の方法と装置 - Google Patents

つながれた装置のための代理暗号化認証の方法と装置 Download PDF

Info

Publication number
JP5680688B2
JP5680688B2 JP2013066428A JP2013066428A JP5680688B2 JP 5680688 B2 JP5680688 B2 JP 5680688B2 JP 2013066428 A JP2013066428 A JP 2013066428A JP 2013066428 A JP2013066428 A JP 2013066428A JP 5680688 B2 JP5680688 B2 JP 5680688B2
Authority
JP
Japan
Prior art keywords
request message
authentication
link control
configuration request
wireless unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013066428A
Other languages
English (en)
Other versions
JP2013168974A (ja
JP2013168974A5 (ja
Inventor
シュシャンク・シャーマ
ジェフリー・アラン・ダイク
リオイ・マルセッロ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of JP2013168974A publication Critical patent/JP2013168974A/ja
Publication of JP2013168974A5 publication Critical patent/JP2013168974A5/ja
Application granted granted Critical
Publication of JP5680688B2 publication Critical patent/JP5680688B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/24Negotiation of communication capabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/04Terminal devices adapted for relaying to or from another terminal or user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)

Description

本出願は2003年7月25日提出の米国特許出願番号第10/627,171号の一部分継続であり、それは2005年2月17日に米国特許出願番号第2005/0039005号として発表され、そして2007年7月3日に米国特許番号第7,239,865号として発行するであろう、その全体の内容はそれの引用によって組み込まれる。
本発明は一般に無線通信ネットワークおよびパケットデータ交換ネットワークに関する。より詳しくは、本発明はつながれた装置の代わりにプロキシ認証を実行するために無線通信装置を使用することに関し、ここにおいてこのつながれた装置はパケットデータ交換ネットワークにアクセスするために無線通信ネットワークを使用している。
無線通信の分野は、例えば、コードレス電話機、ページング、無線ローカルループ、パーソナルディジタルアシスタント(PDA)、インターネットテレフォニー、および衛星通信システムを含む多くのアプリケーションを有する。特に重要なアプリケーションは遠隔加入者のためのセルラ電話システムである。この中で使用されたように、術語“セルラ”システムはセルラまたは個人通信サービス(PCS)周波数のどちらかを使用するシステムを含む。種々の大気中送信インターフェイスが、例えば、周波数分割多重アクセス(FDMA)、時分割多重アクセス(TDMA)、および符号分割多重アクセス(CDMA)を含むそのようなセルラ電話システム用に開発された。これと関連して、種々の国内および国際標準が、例えば、進歩した移動電話サービス(AMPS)、移動体用グローバルシステム(GSM(登録商標))、および暫定標準95(IS−95)を含んで制定された。IS−95およびその派生物、IS−95A,IS−95B,ANSI J−STD−008(しばしばこの中では集合的にIS−95と呼ばれる)、および提案された高速データシステムは電気通信工業協会(TIA)および他の周知の標準団体によって公布される。
IS−95標準の使用に従って構成されたセルラ電話システムは高効率のそして強いセルラ電話サービスを提供するためにCDMA信号処理技術を使用する。IS−95標準の使用に従って実質的に構成された例示的なセルラ電話システムは米国特許番号第5,103,459号および第4,901,307号内に記述され、それらは本発明の譲受人に譲渡され、そして引用されてこの中に組み込まれる。CDMA技術を使用している例示的なシステムは、TIAによって発行された、cdma2000 ITU−R無線伝送技術(RTT)候補者寄託(この中でcdma2000と呼ばれる)である。cdma2000のための標準はIS−2000(cdma2000 1xEV−DV)およびIS−856(cdma2000 1xEV−DV)の草案版内に与えられ、そしてTIAによって是認された。もう1つのCDMA標準は第3世代パートナーシッププロジェクト“3GPP”、文書番号第3G TS25.211号、第3G TS25.212号、第3G TS25.213号および第3G TS25.214号内で具体化されたような、W−CDMA標準である。W−CDMA標準はユニバーサル移動電気通信システム(UMTS)として知られるGSM(登録商標)ベースのシステムへの組み込み過程内にある。
上に引用された電気通信標準類は実施されることができる種々の通信システムのいくつかだけの実例である。標準類の1つの一般的なカテゴリは、cdma2000およびW−CDMAがそれの両メンバーである“第3世代”または“3G”と呼ばれる。これらの3G標準は増大するデータ速度に向けられ、それは増大するユーザ数およびデータ集約アプリケーションをサポートするであろう。
無線データアプリケーションについての増大する需要を与えられて、非常に効率的な無線データ通信システムに関する要求がますます重要になった。1つのそのような無線データアプリケーションはパケット交換ネットワークで生起または終結するデータパケットの伝送である。情報がそれの意図された受端に到着するように種々のプロトコルがパケット化されたトラフィックをパケット交換ネットワーク上に送信するために存在する。パケット化されたトラフィックを送信するための基本的なプロトコルは“インターネットプロトコル”、リクエストフォーコメント(RFC)791(1981年9月)である。インターネットプロトコル(IP)はメッセージをパケットに分割し、センダから受端にこのパケットを送り、そしてこのパケットを受端で元のメッセージに再組立てする。IPプロトコルは、各データパケットがホストおよび受端コンピュータを独自に識別する発信源および受端アドレスフィールドを含むIPヘッダで始まることを要求する。もう1つのプロトコルは(1994年7月)RFC1661内に公表されたポイントツーポイントプロトコル(PPP)であり、それはIPトラフィックをポイントツーポイントリンク上で運ぶためのカプセル化プロトコルである。なおもう1つのプロトコルは、(1996年10月)RFC.2002内に公表された、IPモビリティサポートであり、それは移動体ノードにIPデータグラムの明白な出力を供するプロトコルである。
よって、無線通信ネットワーク上でIPネットワークからのまたはIPネットワーク上で無線通信ネットワークからのIPパケットの伝送は、プロトコルスタックと呼ばれる、1組のプロトコルへの支持によって達成されることができる。無線通信装置はIPパケットの生起端または受端であってもよく、あるいは代わりに、無線通信装置は電子装置への明白なリンクであってもよい。いずれの場合も、ペイロード情報はここでヘッダ情報が各パケットに付加されるパケットに細かくされる。IPヘッダは、PPP層のトップに位置し、RLP層上に位置し、無線エアインターフェイスの物理層のトップに位置する。RLP層は無線リンクプロトコル層であり、それは伝送エラーが発生する時にパケットを選択的に再送信する責任がある。WCDMA(登録商標)システムでは、PPP層は無線リンク制御(RLC)層上に位置し、それはRLP層と同様の機能性を有する。
データはアクセスポイント(AP)を介してパケットデータサービスノード(PDSN)に大気中送信されることができ、それからこのデータはIPネットワーク上に続いて送られる。セルラ通信システムからの術語を使用して、APはまた基地局または基地局同等物と考えられることもできる。あるいは、IPパケットはPDSNへのIPネットワーク上に、PDSNからAPに送信されることができ、そしてその後無線通信装置に大気中送信されることができる。無線通信装置は無線通信プロトコルの術語ではアクセス端末(AT)と呼ばれるか、あるいは代わりに無線通信装置はIPプロトコルの術語では移動体ノード(MN)と呼ばれることもできる。
有線環境内で発着信するデータを無線転送することを試みている時にたくさんある夥しい困難がある。1つのそのような困難は無線通信装置を介してパケットデータサービスにアクセスすることを試みる装置の認証である。無線環境上でIPパケットを伝送することに含まれたプロトコルの多様性によって、もし無線通信装置につながれた装置が有線ネットワークへのアクセスを望むならば満足されねばならない種々の認証手順がある。1つの起こりうるシナリオでは、無線通信装置はこの無線ネットワークの認証手順を満足することが必要となるであろうし、このつながれた装置は有線ネットワークの認証手順を満足することを必要とするかもしれないし、そして1つのものの認証手順は他のものの認証手順に影響を及ぼすかもしれない。よって、複数のプロトコルが使用される時には、各プロトコルに対応する種々の認証条件の実施がエンドツーエンド通信セッション内で可能である。しかしながら、種々の認証条件を適時にそして電算機的に効率的なファッションで実施することは疑わしい。
上述された困難と取り組むために方法および装置がこの中に紹介される。1実施形態では、無線ユニットに連結された端末装置の暗号化プロキシ認証を実行するために1方法が紹介され、この方法は端末装置に向けられたリンク制御プロトコルメッセージを無線ユニット内で傍受すること;このリンク制御プロトコルメッセージ内に示された認証プロトコルがこの無線ユニットに受入れ可能かどうかを決定すること;およびこの端末装置からの入力無しにこのリンク制御プロトコルメッセージへの適切なレスポンスを発生することを含む。もう1つの実施形態では、発生されたレスポンスは受入れ可能な認証プロトコルを示すことができる。もう1つの局面では、もし所定数の再試行が終了したならば、発生されたレスポンスは構成オプションとしての認証を棄却することができる。もう1つの実施形態では、もしリンク制御プロトコルメッセージが受入れ可能な認証プロトコルを示すならば、このリンク制御プロトコルメッセージは端末装置に順方向転送される。もう1つの実施形態では、もしリンク制御プロトコルメッセージが認証チャレンジを含むならば、この受入れ可能なレスポンスはチャレンジへのレスポンスであり、そしてこのチャレンジは端末装置に順方向転送され、一方つながれた装置から受信されたチャレンジは無視される。
もう1つの実施形態では、無線ユニット内の装置がこの無線ユニットに連結された端末装置のプロキシ認証を実行するために紹介され、この装置は下記を具備する:少なくとも1つのメモリエレメント;およびこの少なくとも1つのメモリエレメント上に蓄積された1組の命令を実行するように構成された少なくとも1つの処理エレメント、この組の命令は下記を行う:端末装置に向けられたリンク制御プロトコルメッセージを無線ユニット内で傍受する;リンク制御プロトコルメッセージ内に示された認証プロトコルが無線ユニットに受入れ可能かどうかを決定する;および端末装置からの入力無しにリンク制御プロトコルメッセージへの適切なレスポンスを発生する。
もう1つの実施形態では、無線ユニットにつながれた装置のプロキシ認証を実行するための装置が紹介され、この装置は端末装置に向けられたリンク制御プロトコルメッセージを無線ユニット内で傍受するための手段;リンク制御プロトコルメッセージ内に示された認証プロトコルが無線ユニットに受入れ可能かどうかを決定するための手段;および端末装置からの入力無しにリンク制御プロトコルメッセージへの適切なレスポンスを発生するための手段を含む。
図1は、無線通信ネットワークを示す図である。 図2は、アクセス端末(AT)、アクセスネットワーク(AN)、AN−認証、認可、およびアカウンティング(AN−AAA)サーバ、およびPDSN間のデータ連結性を示す図である。 図3は、プロキシ認証のためのプログラムフローを示す図である。 図4は、暗号化プロキシ認証を実施する方法の一部を示す処理フロー図である。 図5は、暗号化プロキシ認証を実施しない移動体ノードの処理の一部を示す処理フロー図である。 図6は、暗号化プロキシ認証を実施する1実施形態の移動体ノードの処理の一部を示す処理フロー図である。 図7は、図6に示された実施形態に従って成功した代理暗号化認証ネゴシエーションについてのプログラムフローを示す図である。 図8は、図6に示された実施形態に従って失敗した代理暗号化認証ネゴシエーションについてのプログラムフローを示す図である。 図9は、図6に示された実施形態に従って失敗した代理暗号化認証ネゴシエーションについての代替のプログラムフローを示す図である。 図10は、暗号化プロキシ認証を実施する代替の実施形態の移動体ノードの処理の一部を示す処理フロー図である。 図11は、図10に示された実施形態に従って失敗した代理暗号化認証ネゴシエーションについてのプログラムフローを示す図である。 図12は、1つの実施形態のプロトコルスタックを示す図である。
詳細な説明
図1に図示されたように、無線通信ネットワーク10は通常複数のアクセス端末(遠隔局、移動局、加入者ユニット、またはユーザ装置とも呼ばれる)12a〜12d、複数の基地局(基地局トランシーバ(BTSs)またはノードBとも呼ばれる)14a〜14c、基地局コントローラ(BSC)(無線ネットワークコントローラまたはパケット制御機能とも呼ばれる)16、移動交換センタ(MSC)またはスイッチ18、パケットデータサービングノード(PDSN)またはインターネットワーキングファンクション(IWF)20、公衆電話交換ネットワーク(PSTN)22(典型的に電話会社)、およびパケットデータ交換ネットワーク24(典型的にインターネットプロトコル(IP)ネットワーク)を含む。簡単のため、4つのアクセス端末12a〜12d、3つの基地局14a〜14c、1つのBSC16、1つのMSC18、および1つのPDSN20が示される。任意の数のアクセス端末12、基地局14、BSC16、MSC18、およびPDSN20があり得ることはこの分野の技術者によって理解されるであろう。
1つの実施形態では無線通信ネットワーク10はパケットデータサービスネットワークである。アクセス端末12a〜12dは携帯電話機、IPベースのウェブブラウザアプリケーション走行のラップトップコンピュータに接続されるセルラ電話機、関連するハンドフリーカーキット付きのセルラ電話機、IPベースのウェブブラウザアプリケーション走行のパーソナルデータアシスタント(PDA)、携帯型、または固定型コンピュータ内に組み込まれた無線通信モジュール:無線ローカルループまたはメータ読取りシステム内で見かけられるかもしれないようなロケーション通信モジュールのような、多数の種々のタイプの無線通信装置の任意のものであってもよい。最も一般的な実施形態では、アクセス端末は任意のタイプの通信ユニットであってもよい。
アクセス端末12a〜12dは好都合に、例えば、EIA/TIA/IS−707標準内に記述されたような1つまたはそれ以上の無線パケットデータプロトコルを実行するように構成されてもよい。特定の実施形態では、アクセス端末12a〜12dはIPネットワーク24を行先と定めるIPパケットを発生して、このIPパケットをポイントツーポイントプロトコル(PPP)を使用しているフレーム内にカプセル化する。
1つの実施形態ではIPネットワーク24はPDSN20に連結され、PDSN20はMSC18に連結され、MSCはBSC16およびPSTN22に連結され、そしてBSC16は、例えば、E1,T1,非同期伝達モード(ATM)、インターネットプロトコル(IP)、ポイントツーポイントプロトコル(PPP)、フレームリレー、ハイビットレートディジタル加入者線(HDSL)、非対称ディジタル加入者線(ADSL)、または他の包括的ディジタル加入者線装置およびサービス(xDSL)を含むいくつかの周知のプロトコルのいずれかに従うボイスおよび/またはデータパケットの伝送のために構成された有線によって基地局14a〜14cに連結される。代替の実施形態では、BSC16はPDSN20に直接連結され、そしてMSC18はPDSN20に連結されない。
無線通信ネットワーク10の典型的な動作の間中、基地局14a〜14cは電話呼、ウェブブラウジング、または他のデータ通信において予約された種々のアクセス端末12a〜12dからの複数組の逆方向リンク信号を受信して復調する。与えられた基地局14a〜14cによって受信された各逆方向リンク信号はこの基地局14a〜14c内で処理される。各基地局14a〜14cはアクセス端末12a〜12dに複数組の順方向リンク信号を変調して送信することによって複数のアクセス端末12a〜12dと通信できる。例えば、図1に示されたように、基地局14aは第1および第2のアクセス端末12a,12bと同時に通信し、そして基地局14cは第3および第4のアクセス端末12c,12dと同時に通信する。結果としてのパケットはBSC16に順方向転送され、それは1つの基地局14a〜14cからもう1つの基地局14a〜14cへの特定のアクセス端末12a〜12dのための呼のソフトハンドオフのオーケストレーションを含む呼資源割当ておよび移動度管理機能性を提供する。例えば、アクセス端末12cは2つの基地局14b,14cと同時に通信している。結局、アクセス端末12cが基地局14cの1つから十分遠くに移動する時には、この呼は他の基地局14bに切り換えられるであろう。
もし送信が従来の電話呼であれば、BSC16は受信データをMSC18に送るであろう、それはPSTN22とのインターフェイスのための付加的なルーチングサービスを提供する。もし送信がIPネットワーク24を行先と定めるデータ呼のようなパケットベースの送信であれば、MSC18はこのデータパケットをPDSN20に送るであろう、それはこのパケットをIPネットワーク24に送るであろう。あるいは、BSC16はこのパケットをPDSN20に直接送るであろう、それはこのパケットをIPネットワーク24に送る。
WCDMA(登録商標)システムでは、無線通信システムコンポーネントの用語は異なるが、しかし機能性は同じである。例えば、基地局はまたUMIS地上無線アクセスネットワーク(U−TRAN)内で動作する無線ネットワークコントローラ(RNC)と呼ばれることもできる。
種々の現存の通信システム内では、種々の術語が、例えば、フレーム、パケット、およびサブパケットのような、その中でボイスおよびデータトラフィックが伝送されることができる種々のフォーマットについて存在する。この中に記述された実施形態の局面は種々の伝送フォーマットのいずれかを使用しているすべての無線通信システムに広がる。しかしながら、図示を容易にするために、術語“パケット”はその中でトラフィックが運ばれる伝送チャネルフォーマットおよびそのトラフィックの構造の両者を記述するために使用されるであろう。
CDMAシステムの“パケット”がパケットデータ交換ネットワークのIP“パケット”とは構造上性質が異なることは注意されねばならない。両者はその中でデータが伝送されるフォーマットを記述しているユニットであるが、しかし一方は無線ネットワークのために最高に活用され、そして他方はパケットデータ交換ネットワークのために最高に活用される。例えば、IPソースからのデータパケットはヘッダ部およびデータ部を含むであろう。しかしながら、大気中転送のためのデータパケットは符号化されて変調され、そして多分1パケットにパックされる前に記号反復を受けたデータを運ぶ。よって、パケットデータ交換ネットワークからのパケットは無線ネットワーク上での使用のためにリフォーマットされねばならないであろう。この中に記述された実施形態では、そしてこの分野では、用語“パケット”の意味はその用語の使用率によって推定されるべきである。
この実施形態の主題は移動IP電話に向けられるので、RFC2002(1996年10月)も直ちに使用されるであろう。この文書内に公表されたプロトコルは移動無線通信装置が装置のIPアドレスを変更せねばならないこと無しにインターネットへのアタッチメントの点を変更することを可能にする。すなわち、RFC2002はホームエージェントがフォーリンエージェントを介してデータパケットを送ることができるように移動通信装置のロケーションのホームエージェントを通知する登録スキームを記述する。“ホームエージェント”はアクセス端末のホームシステムでIPパケットを処理するインフラストラクチャエレメントである。“フォーリンエージェント”はビジテッドシステムでアクセス端末をサービスするインフラストラクチャエレメントである。アクセス端末はまた“移動体ノード”(MN)とも呼ばれる。
図1を参照して、フォーリンエージェントおよび/またはホームエージェントの機能はビジテッドネットワーク内のPDSN20またはホームネットワーク内のPDSN20によって達成されることができる。認証、認可、およびアカウンティング機能は通常サーバによって実行され、それは認証、認可、およびアカウンティング(AAA)サーバと呼ばれる。AAAサーバはPDSNおよび/またはBSCのどちらかに通信的に連結される。
以下EV−DOと呼ばれる、cdma2000 1xEV−DOでは、図1の無線通信システムエンティティは概念的にアクセス端末およびアクセスネットワークに簡略化される。アクセス端末(AT)はユーザがEV−DO無線アクセスネットワークを介してパケットデータ交換ネットワークにアクセスすることを可能にする任意の装置である。アクセスネットワーク(AN)はパケットデータ交換ネットワークとアクセス端末との間のデータ接続可能性を提供する任意のネットワーク装置/エンティティを具備する。
図2はAT200,AN210,AN−AAAサーバ220およびPDSN230間のデータ連結性の図である。通信セッションはAT200がPDSN230へのアクセスを望む時にAT200とAN210との間で確立される。このセッションはPPPプロトコルに従って実施され、そして認証ネットワークストリームと呼ばれる。AN210はAT200がPDSN230にアクセスするのを認めるかどうかを決定するためにAN−AAAサーバ220と通信する。認証ネットワークストリーム内で伝達された認証情報に基づいて、AN210はAT200とPDSN230との間でサービスネットワークストリームを明白に渡す。PDSN230はAT200がパケットデータ交換ネットワーク(図示せず)にアクセスするのを認めるかどうかを決定するためにAN−AAAサーバ220とさらに通信する。サービスネットワークストリーム内で伝達された認証情報に基づいて、PDSN230はパケットデータ交換ネットワーク(図示せず)とAT200との間のIPトラフィックを認める。
よって、EV−DOシステムでは、認証手順はATが無線ネットワークの認可された加入者であることを保証するために起こり、そして認証手順はATが無線セッションのオーナであることを保証するために起こる。典型的に、ATは安全な手法におけるそのような手順のために必要な認証情報およびアカウント情報を蓄積する。1つのそのような認証手順はチャレンジハンドシェーク(Challenge Handshake)認証プロトコル(CHAP)である。他の認証プロトコルは記述された実施形態において過度の実験無しに使用されることができるが、しかし図示を容易にするために、CHAPがこの中に記述されるであろう。他の認証プロトコルの例はモバイルIP認証プロトコルおよびパスワード認証プロトコル(PAP)である。
上記されたもののようなチャレンジ/レスポンス認証プロトコルでは、ユーザは予想できない番号を提供され、そしてこの予想できない番号を暗号化して、予想できる結果に戻るためのタスクを用いてチャレンジされる。もしユーザが認可されれば、その時ユーザは、チャレンジャによって予測される手法では予想できない番号を暗号化するために、ハードウェア内またはソフトウェア内のいずれかに、正確なメカニズムを有するであろう。例えば、もしユーザが認可されれば、このユーザおよびチャレンジャはチャレンジを暗号化するために使用されることができる共有の秘密キーを有するであろう。不認可のユーザはチャレンジャによって予想されるレスポンス内にこのチャレンジを暗号化するのに適切な秘密キーを欠いているであろう。
IPトラフィックを送受信するためのモデムとしてATを使用するために装置がATにつながれる時には、種々の混乱がATにつながれた装置の認証に関して起こる。ここに、用語“つながれた(tethered)”の使用は無線通信装置への装置間の接続性を記述するためである。そのような接続性は、ケーブルアタッチメントまたは直接接触のような物理的接続か、あるいは無線接続、光接続、または赤外線接続のような非物理的接続のいずれかによってなされうることが予想される。
最適の性能として、このつながれた装置はネットワークと直接PPPネゴシエーションに入るであろう。しかしながら、必要なネットワークセキュリティ情報は、このつながれた装置ではなく、AT内に蓄積されるので、このつながれた装置はネットワークとのPPPネゴシエーションのために必要な認証手順を実行できないかもしれない。ネットワークセキュリティ情報をATからこのつながれた装置に渡すことは前記セキュリティ情報の誤用に関する可能性によって非常に望ましくないオプションである。
1つのソリューションはPPPネゴシエーションおよびATとANとの間の認証手順を実行することであり、その後認証手順を実行すること無しにATおよびつながれた装置の間のPPPネゴシエーションを実行することである。しかしながら、このソリューションは受け入れられない時間遅延を誘発する、2つのPPPネゴシエーションが実行されるであろうことにおいて欠点がある。その上、このソリューションは認証が発生したことをこのつながれた装置が通知されないことにおいて欠点がある。エンドツーエンドPPPネゴシエーション手順は、認証におけるような、PPPセッションが完全に確立される前に、おのおのの終了までに完了されるべき、ある処理ステップを必要とすることは注目されねばならない。
この中に記述される実施形態は、つながれた装置およびATの両者の認証手順を満足する一方で、認証およびアカウント情報のセキュリティを高める単一のエンドツーエンドPPPネゴシエーションを実行するためにある。
第1の実施形態では、AT内のハードウェアはつながれた装置のプロキシ認証を実行するように構成される。ATはつながれた装置用のモデムとして使用されているので、ATが移動体ノード(MN)と呼ばれるように、移動体IPプロトコルの術語が図3内では使用される。図3はプロキシ認証のための高レベルの手順を図示する。インスタンス300で、つながれた装置とPDSN/IWFとはリンク制御プロトコル(LCP)を使用してPPPセッションを開始する。LCPはPPPセッションを確立し、構成し、維持しそして終了するために使用される。MNはつながれた装置とPDSN/IWFとの間の明白なリンクとして働く。インスタンス310で、PDSN/IWFはMNにCHAPチャレンジを送る。インスタンス320で、MNはつながれた装置にCHAPチャレンジを順方向転送する。インスタンス330で、MNはパスワードまたは既にMN内に蓄積される共有キーを使用してCHAPレスポンスを発生する。MNが独立してつながれた装置のCHAPレスポンスを発生することに注目されたい。
インスタンス340で、MNはつながれた装置からCHAPレスポンスを受信する。つながれた装置からのCHAPレスポンスの受信で、MNはつながれた装置からPDSN/IWFへのCHAPレスポンスの送信を故意に保留する。
インスタンス350で、MNはPDSN/IWFからCHAP成功/失敗インジケータを受信する。インスタンス360で、MNはつながれた装置にこのCHAP成功/失敗インジケータを順方向転送する。
よって、上記された手法では、第1の実施形態はMNにCHAPを使用してつながれた装置のプロキシ認証を実行させる。この実施形態の他の局面では、PAPおよび移動体IP認証のような他のチャレンジ/レスポンス認証プロトコルが使用されてもよい。もう1つの実施形態では、MNがつながれた装置にチャレンジを順方向転送する前にこのチャレンジへのレスポンスを発生できるように、MNはインスタンス320および330のタイミングを入れ替えてもよい。
一般に、MNはつながれた装置に向けられたチャレンジを傍受するように働き、つながれた装置からの入力を待つこと無しにこのチャレンジへの適切なレスポンスを発生し、このチャレンジをつながれた装置に順方向転送し、そしてこのつながれた装置によって発生されたチャレンジレスポンスを無視する。
もしMNによって発生されたレスポンスが失われれば、それは無線環境のエラーしやすい性質によって起こるかもしれず、その後ネットワークから再送信された次のチャレンジは認証手順が完了したことを保証するであろう。
暗号化認証が使用されることを保証するために、MNはまたつながれた装置からの入力を待つこと無しにPPP認証相に先行するLCP構成要求メッセージ(C−REQ)への応答を発生することもできる。暗号化認証の使用は無線ネットワークのために好ましいが、しかしつながれた装置のような、端末装置の必要条件ではないかもしれない。(この実施形態は、端末装置が、デュアルプロセッサ装置のような、無線モデムに“つながれ”ない状態に平等に適用可能であるので、より一般的な術語“端末装置”がこの中で使用されるであろう。)疑似ネットモデルモードの動作では無線モデムはPPP終点ではないので、無線モデムはLCP構成の交換を制御できない。強化ネットワークセキュリティを供給するおよび/または装置およびソフトウェア構造を簡略化するために、認証およびアカウント情報は、端末装置内よりもむしろ、無線モデム内にあるかもしれない。しかしながら、もし非暗号化認証プロトコル(例えば、PAP)が無線ネットワーク通信リンクを確立するために使用されれば、認証資格はそれらを盗聴装置による傍受に弱くするクリアテキスト内に大気中送信されるであろう。従って、非暗号化認証プロトコルの使用は盗聴技術を使用することによって認証資格を得る不認可のユーザによるネットワークアクセスのリスクを増やす。このリスクを減らすために、MNは暗号化認証ではない認証の使用を提案するLCP構成の要求メッセージへの応答を直接発生することによって暗号化認証プロトコルを実施するように構成されることができる。
PPP LCPプロトコルに関して定義された構成オプションの1つは認証プロトコルである。LCP構成要求(C−REQ)メッセージ内に含まれた値は、もしあるなら、提案されるタイプの認証プロトコルを示すために使用されることができる。従って、この値を初期化テーブルとみなすことによって、受信プロセッサは提案されているタイプの認証プロトコルを決定することができる。
つながれた装置に向けられた構成要求へのMNによる適切なレスポンスの発生は認証がLCP認証要求内に示されるかどうかに依存する。図4はそれによってMNがLCP認証プロトコル(AP)オプションの価値フィールド内に示された認証プロトコルに依存しているLCP構成要求(C−REQ)メッセージに応答することができる一般的な手順を示す。PDSN/IWF装置からLCP構成要求メッセージ410への適切な応答を決定するために、MNは認証プロトコル(AP)値を読み取るべくその要求を分析する、ステップ420。もしLCP構成メッセージ内のAP値が無認証に設定されれば、ステップ430、その時構成要求はつながれた装置とPDSN/IWFとの間の明白なリンクとして働いているMNと共に、端末装置に渡される、ステップ440。しかしながら、もしLCP構成要求メッセージ内のAP値が、認証はPDSN/IWFによって提案されることを示すならば、その時MNはAP値が受入れ可能な認証プロトコルに該当するかどうかを試験する、ステップ450。もしAP値が受入れ可能であれば、その時構成要求メッセージは端末装置に順方向転送される、ステップ460。しかしながら、もしAP値が受け入れられなければ、その時MNはAP値が受け入れられないことを示すPDSN/IWFへの適切な応答を発生する、ステップ470。このメッセージは受入れ可能である値を指定する構成不受理(C−NAK)メッセージの形式内にあってもよい、ステップ480。例えば、C−NAKメッセージは、CHAPのような、受入れ可能値を提案することによってこのAP値が受け入れられないことを指定することができる。図4内に図示された手順は受入れ可能なAP値が構成要求メッセージ内に含まれるか、あるいは再試行(即ち、手順を繰り返す)回数があらかじめ設定された数を超えるまで繰り返される。再試行の回数はMNが認証プロトコルネゴシエーションを止めねばならない前に送られうるC−NAKメッセージの数で始まる構成可能な再試行カウンタによって決定されることができる。
例えば、もしLCP構成要求メッセージ(C−REQ)410が、PAPが提案されることを示すAP値を含む(即ち、AP=PAP)ならば、MNは認証が要求されること(ステップ430)そして要求されたタイプの認証が受け入れられないこと(ステップ450)を決定する。応答で、MNはPAP(即ち、AP=PAP)が受け入れられないことおよびCHAP(即ち、AP=CHAP)が受入れ可能であることを示すPDSN/IWFにC−NAKメッセージ480を送るであろう(ステップ470)。もう1つの実例として、もしLCP C−REQメッセージ410がいかなる認証も使用されないこと(例えば、AP=0)を提案しているAP値を含むならば、認証無しに通信することは認証資格を盗聴に曝さないので、MNは端末装置にLCP C−REQメッセージ440を直接順方向転送する。同様に、もしLCP C−REQメッセージが、認証資格を明文では送信しないCHAPを提案する(即ち、AP=CHAP)ならば、この認証プロトコルもまた認証資格を盗聴に曝さないので、MNは端末装置にLCP C−REQメッセージ440を直接順方向転送する。
AP値を試験することにおいては、無線モデムはこの値を受入れ可能な、望ましいおよび/または受け入れられない認証プロトコルの優先化リストと比較することができる。この中に記述された実例の実施形態はCHAPを受入れ可能な認証プロトコル値として、そしてPAPを受け入れられない認証プロトコル値として引用する。これはPAPが非暗号化であるからであり、それは認可されない当事者によって得られている認証資格のリスクを高める。これと対比して、CHAPは現在盗聴の危険性がない暗号化認証プロトコルである。CHAPのような暗号化認証プロトコルのセキュリティは、一部分は暗号化キーを決定するのに十分な計算パワーの商業上の受入れ不能度およびチャレンジレスポンスハッシュを発生するために使用されたアルゴリズムに依存する。しかしながら、現在のCHAPハッシュアルゴリズムは無防備であるかもしれないように、将来商業上利用可能な計算パワーは増加するであろうことが期待される。この理由で、(例えば、キーのサイズおよびハッシングアルゴリズムの複雑性を増やすことによって)安全性を増やすために追加の暗号化認証プロトコルは時間を掛けて開発されるであろうことが期待される。またいくつかの現在の暗号化認証プロトコルは次第に傍受および妥協に無防備になるかもしれないと思われる。このように、暗号化認証プロトコルは無防備度の程度を変えること、したがって望ましさのレベルを変えることで開発されるであろう。これを調節するために、MNは構成要求内のAP値を認証プロトコルの優先化リストと比較し、そしてこの優先化リストに基づいて適切なレスポンスを発生する。例えば、MNはカウンタが既知のまたはMNにアクセス可能なプロトコルの優先化リスト内の最優先プロトコルを提案するC−NAKレスポンスを送ることができる。もしプロトコルの優先化リストが使用されれば、PDSN/IWFに直接応答するMNの手順はPDSN/IWFから受信された提案の認証値がMNに受入れ可能となるまで続くであろう。したがって、実例となる実施形態内のCHAPおよびPAPの使用は、認証を指定している構成要求にMNの潜在的なレスポンスを限定すると解釈されてはならない。
LCP構成交換の間におけるMNの上記の既知の動作は米国特許番号第6,370,118号の中に記述され、それは本発明の譲受人に譲渡され、そして引用されてこの中に組み込まれる。LCP手順の部分として、MNは構成オプションを得るために構成要求を分析する。図5に図示されたように、MNがLCP C−REQメッセージ500を受信する時には、それはもしそれらがMNに受入れ可能である(即ち、提案された構成が無線モデムによってサポートされる)ならば提案された構成オプションを保護する、ステップ510。そのうえ、MNは装置相がアクティブであるかどうかを決定し、ステップ520、もしそうでなければこの装置相をESTABLISHに設定し、ステップ530、そしてブリッジ装置相がアクティブであるかどうかを決定し、ステップ540、もしそうでなければこのブリッジ装置相をESTABLISHに設定する、ステップ550。これは端末装置との通信を可能にし、その後構成要求メッセージが端末装置に順方向転送される、ステップ560。この処理は適切なレスポンスを発生する端末装置に構成要求メッセージを通過させる。
図6は図4に示された一般的な方法を実施するためにLCP手順の間MNの動作を修正する1実施形態を示す。この実施形態では、入力構成要求メッセージ500は、AP値を含む、提案された構成オプションを得るためにMNによって分析される、ステップ600。もしAP値が受入れ可能な認証プロトコルが提案される(例えば、AP≠PAP)ことを示すならば、ステップ610、その時は図5を参照して上記されたMN手順が実施される。しかしながら、もしAP値が受け入れられない認証プロトコルが提案される(例えば、AP=PAP)ことを示すならば、ステップ610、その時MNは再試行の所定数が超えられたかどうかを決定するためにカウンタに質問する、ステップ620。もし再試行数が超えられなかったならば、MNはこのMNに受入れ可能なAP値(例えば、AP=CHAP)を示すC−NAK応答メッセージを作り出し、ステップ630、それはUmリンク上をPDSN/IWFに送られ、ステップ650、そして再試行カウンタを減少させる。もし再試行数が超えられたならば、これはPDSN/IWFが受入れ可能な認証プロトコルを提案することができないことを示す。この場合には、MNは認証が受け入れられない構成パラメータであることを示す構成リジェクション(C−REJ)応答メッセージを作り出し、ステップ640、それは無線リンク上をPDSN/IWFに送られる、ステップ650。(共通の語法では、無線モデムと端末装置との間のデータリンクはRmリンクまたはRmサイドと呼ばれ、一方無線モデムとPDSN/IWFとの間の無線リンクはUmリンクまたはUmサイドと呼ばれる)。提案された構成がMNに受け入れられなかった各事例では、MNとしては構成要求メッセージを端末装置に順方向転送する必要はない。
図7は受入れ可能な認証プロトコル上で一致に導く1例のLCP構成の交換局におけるメッセージの交換を図示する。LCP手順の開始は端末装置への受入れ可能な構成を提案している端末装置によって送られたLCP構成要求メッセージ(C−REQ)700で始まることができ、それは修正無しにMNを通してPDSN/IWFに渡される。応答では、もし提案された構成が受入れ可能であれば、PDSN/IWFは受信通知メッセージ710を送るであろう。その後PDSN/IWFは認証プロトコルおよび他の構成オプション値を提案する構成要求メッセージ(C−REQ)720を送る。もし、AP=PAPのような、提案されたアプリケーションプロトコルが受け入れられないならば、移動体ノードは、AP=CHAPのような、受入れ可能な認証プロトコルを逆提案するC−NAKメッセージ730でPDSN/IWFに直接応答する。C−NAKメッセージ730内にMNによって提案された認証プロトコルがPDSN/IWFに受入れ可能である場合には、PDSN/IWFは他の構成オプション値と一緒に受入れ可能な値(例えば、CHAP)に等しい認証プロトコルを提案する新しい構成要求メッセージ(C−REQ)740を送る。提案された認証プロトコルがMNに受入れ可能であるので、この構成要求メッセージはこの構成が受入れ可能であったことを示す受信通知C−ACKメッセージ750で応答する端末装置に渡される。端末装置およびPDSN/IWF間のPPPネゴシエーションは両サイドがネゴシエートされた構成に同意するまでのしばらくの間続けられることができる。いったん構成が成功裡にネゴシエートされる(negotiated)と、図3を参照して上記された認証チャレンジ手順が進む。
図8はその中では認証プロトコルが使用されない通信構成に導く1例のLCP構成交換局におけるメッセージの交換を示す。この例では、図7を参照して上記されたメッセージはあらかじめ設定された数の再試行が使い果たされる(即ち、C−NAK再試行が残っていない、図6におけるステップ620)まで交換される。次の構成要求(C−REQ)メッセージ810が、受け入れられない認証プロトコルを提案しているPDSN/IWFから受信される時に、MNは認証プロトコルが構成オプションとして棄却されることを示す構成リジェクト(C−REJ)メッセージ820を送ることによってPDSN/IWFに直接応答する。この例では、PDSN/IWFはその中に認証がない構成を受け入れることができ、よって、認証を提案しない構成要求メッセージ830を送り、そして他の構成オプション値を提案する。構成要求内には提案の受け入れられない認証プロトコルが無いので、MNは構成要求メッセージを端末装置に渡す。もし端末装置が他の構成値のすべてを受け入れれば、それは構成受理(C−ACK)メッセージ840で応答する。その後、LCP手順は図3内に示された認証チャレンジ手順無しに進む。
図9はいかなる受入れ可能な構成もネゴシエートされることができないため通信試行の終了と決定する1例のLCP構成交換局におけるメッセージの交換を示す。この例では、図7を参照して上記されたメッセージはあらかじめ設定された数の再試行が使い果たされる(即ち、C−NAK再試行が残っていない、ステップ620)まで交換される。次の構成要求メッセージ910が、受け入れられない認証プロトコルを提案しているPDSN/IWFから受信される時には、MNは認証プロトコルが棄却されることを示す構成リジェクト(C−REJ)メッセージ920を送ることによってPDSN/IWFに直接応答する。この例では、PDSN/IWFはその中には認証がない構成を受け入れることができず、したがって、通信終了要求(TERM−REQ)メッセージ930を送る。いかなる認証プロトコルもこのメッセージ内に提案されないので、MNはこのメッセージを終了受信通知(TERM−ACK)メッセージ940で応答する端末装置に渡し、その後通信リンクは停止されであろう。
図10は受入れ可能な認証プロトコルがネゴシエートされることができない場合に通信リンクを即座に終結する1つの実施形態を示す。この実施形態は認証者が認証を要求することが知られている所で実施されることができ、構成リジェクションメッセージを送る場合に認証プロトコルを棄却することは時間および通信帯域幅の浪費となるであろう。この実施形態では、入力構成要求(C−REQ)メッセージ500は、AP値を含んでいる、構成オプションを得るためにMN内で分析される、ステップ600。もし受入れ可能な認証プロトコルが提案されること(例えば、AP≠PAP)をAP値が示すならば、ステップ610、その後図5を参照して上記されたMN手順が実施される。しかしながら、もし受け入れられない認証プロトコルが提案されること(例えば、AP=PAP)をAP値が示すならば、ステップ610、その後MNは所定数の再試行が超えられたかどうかを決定するためにカウンタを試験する、ステップ620。もし再試行数が超えられなかったならば、MNはUmリンクを介してPDSN/IWFに送られるCHAPと等しいAP値が受入れ可能であることを示すC−NAK応答を作り出す、ステップ1010。もし再試行数が超えられなかったならば、それはPDSN/IWFが受入れ可能な認証プロトコルを提案することができないことを示し、MNは通信リンクを終了するためにプリエンプティブアクション(preemptive action)をとる。具体的に、MNは終了要求(TERM−REQ)メッセージをPDSN/IWFに送り、それはネットワークとのPPP接続を停止する、1020。同様に、MNは終了要求(TERM−REQ)メッセージを端末装置に送り、それは端末装置とのPPP接続を停止する、1030。
図10に図示された実施形態のメッセージ交換は受入れ可能な認証プロトコルがネゴシエートされることができない事例については図11に図示される。この例では、図7を参照して上記されたメッセージはあらかじめ設定された数の再試行が使い果たされる(即ち、C−NAK再試行が残っていない、ステップ620)まで交換される。次の構成要求(C−REQ)メッセージ1100が、受け入れられない認証プロトコルを提案しているPDSN/IWFから受信される時は、PDSN/IWFが終了受信通知(TERM−ACK)メッセージ1140を送ることによって応答する、終了要求(TERM−REQ)メッセージ1110を送ることによってMNはPDSN/IWFに直接応答する。受信通知を待つこと無しに、MNはまた終了要求(TERM−REQ)メッセージ1120を端末装置に送ってもよく、それは終了受信通知(TERM−ACK)メッセージ1130で応答するであろう。
前述の実施形態はネットワークへの無線データリンクによる無線モデム接続に連結された端末装置に関連して記述されたが、この発明はより広い適用可能性を有する。例えば、図12は前述の実施形態を使用することができるデュアルモードプロセッサ構成のプロトコルスタックを図示する。この例では、端末プロセッサ1210は無線通信リンクを介してPDSN/IWFとの通信を制御するように構成される移動体プロセッサ1220に連結される。端末プロセッサ1210および移動体プロセッサ1220はデュアルプロセッサ構成内の2つのプロセッサ間にふさわしいような、多数の可能性のある電気接続構成およびプロトコルのいずれかによって通信する。図12に図示されたように、2つのプロセッサ1210,1220はファームウェア(即ち、回線接続)またはファームウェアとソフトウェアとの組合せであってもよいプロセッサツープロセッサ中継層1212,1222によって通信する。このレベルの上にはポイントツーポイントプロトコルPPP層1214、種々のネットワーク層プロトコル1216、およびアプリケーションソフトウェアと同様に上位層プロトコル1218があってもよい。移動体プロセッサ1220内には、例えば、移動体IP層1229、ユーザデータグラムプロトコル(UDP)層1228、インターネットプロトコル層1227およびポイントツーポイントプロトコルPPP層1226を含む、無線メッセージングインターネット通信をサポートするために必要な種々の通信プロトコルが供給されることができる。外部無線ノード1230との通信は、IS−95プロトコル層1224と通信する無線リンクプロトコル(RLP)層1225を介して提供されることができ、それは外部無線ノード1230内の同種の層1232,1234と一致する。(IS−707.2内に定義される)無線リンクプロトコル(RLP)1225,1234およびIS−95プロトコル1224,1232は両者がPPPフレーム内にカプセル化されることができるデータパケット送信での使用についてはこの分野において周知である。
図12から分かるように、本発明は、端末プロセッサが中間の通信ノードおよびもう1つのプロセッサまたはネットワークへのリンクとして機能するモデムプロセッサに連結されるいずれかの場面に適用されることができる。例えば、端末プロセッサは移動体送受器(例えば、セルラ電話機)内の第2のプロセッサであることができ、その中では第1のプロセッサは無線モデムを制御し、そして走行中の移動体アプリケーションに専用されることができる第2のプロセッサに通信を渡す。そのような装置では、プロセッサはいずれの不暗号化認証プロトコルも第2のプロセッサと外部コンピュータまたはネットワークとの間の無線通信に使用されないことを保証するために本発明に従って構成されねばならないので、認証資格は第1のプロセッサ内に蓄積されることができる。同様に、本発明の方法はデュアルプロセッサコンピュータアーキテクチャ内で使用されることができ、そこでは1つのプロセッサは、もう1つのプロセッサが認証資格を保持して、疑似ネットモデルオペレーションにおけるモデムタイプ機能を実行する間端末装置として機能し、従ってそれ自身をネットワークへの移動体ノードとして表示する。したがって、種々の実施形態を記述するために端末デバイス、端末装置、移動体ノードおよび無線モデムのような術語の使用はこの発明の範囲を無線モデムにつながれた装置に限定するつもりはなく、そしてそのように解釈されてはならない。
上述の実施形態の事象を実施するために使用されたハードウェアは1組の命令を実行するように構成された処理エレメントおよびメモリエレメントであってもよく、ここにおいてこの組の命令は上記事象に対応する方法のステップを実行するためにある。あるいは、いくつかの事象は与えられた機能に特有である回路によって実行されることができる。例えば、チャレンジレスポンスの発生はリニアフィードバックシフトレジスタおよびハッシング機能または他の暗号化アルゴリズムを実施するように構成された加算器によって実行されることができる。
この分野の技術者はこの中に開示された実施形態と関連して記述された種々の例示的な論理ブロック、モジュール、回路、およびアルゴリズムステップは電子ハードウェア、コンピュータソフトウェア、または両者の組合せとして実施され得ることを認識するであろう。ハードウェアおよびソフトウェアのこの互換性を明確に説明するために、種々の実例となるコンポーネント、ブロック、モジュール、回路、およびステップは一般にそれらの機能性の表現で上述された。そのような機能性がハードウェアまたはソフトウェアとして実施されるかどうかはシステム全体に課された特定のアプリケーションと設計の制約とによる。熟練技工は各特定のアプリケーションについて異なる方法で記述された機能性を実施できるが、しかしそのような実施の決定が本発明の範囲からの逸脱を引き起こすと理解されてはならない。
この中に開示された実施形態と関連して記述された種々の例示的な論理ブロック、モジュール、および回路は汎用プロセッサ、ディジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)または他のプログラマブル論理装置、ディスクリートゲートまたはトランジスタ論理、ディスクリートハードウェアコンポーネント、あるいはこの中に記述された機能を実行するように設計されたそれの任意の組合せで実施または実行されることができる。汎用プロセッサはマイクロプロセッサであってもよいが、しかし、代案では、プロセッサは任意の従来のプロセッサ、コントローラ、マイクロコントローラ、またはステートマシンであってもよい。プロセッサはまた計算装置の組合せ、例えば、DSPとマイクロプロセッサ、複数のマイクロプロセッサ、DSPコアとともに1つまたはそれ以上のマイクロプロセッサの組合せ、あるいは任意の他のそのような構成として実施されることもできる。
この中に開示された実施形態と関連して記述された方法またはアルゴリズムのステップはハードウェアで直接に、プロセッサによって実行されたソフトウェアモジュールで、あるいはこの2者の組合せで具体化されることができる。ソフトウェアモジュールはRAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、着脱可能形ディスク、CD−ROM、あるいはこの分野で知られる任意の他形式の蓄積媒体内に存在することができる。実例の蓄積媒体は、プロセッサがこの蓄積媒体から情報を読み出し、そしてそれに情報を書き込むことができるように、このプロセッサに連結される。代案では、蓄積媒体はプロセッサに統合されてもよい。プロセッサおよび蓄積媒体は1ASIC内に存在してもよい。ASICはユーザ端末内に存在してもよい。代案では、プロセッサおよび蓄積媒体はユーザ端末内のディスクリートコンポーネントとして存在してもよい。
開示された実施形態の前記説明は、当業者が本発明を製作または使用することを可能とするように提供される。これらの実施形態への種々の変更はこの分野の技術者にはたやすく明白であるだろうし、そしてこの中に定義された一般原理はこの発明の精神または範囲から逸脱すること無しに他の実施形態に適用されることができる。したがって、本発明はこの中に示された実施形態に制限されるつもりはなく、しかしこの中に開示された原理および新規な特徴と矛盾しない最も広い範囲が許容されるべきである。
下記に出願時請求項1−39に対応する記載を付記1−39として表記する。付記1
無線ユニットに連結された端末装置の暗号化プロキシ認証を実施するための方法であって、
該端末装置に向けられたリンク制御プロトコル構成要求メッセージを該無線ユニット内で傍受すること;
該リンク制御プロトコル構成要求メッセージ内に示された認証プロトコルが該無線ユニットに受け入れられないかどうかを決定すること;
もし該示された認証プロトコルが該無線ユニットに受け入れられないならば該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを該無線ユニット内で発生することを備える方法。付記2
ここにおいて該リンク制御プロトコル構成要求メッセージ内に示された認証プロトコルが該無線ユニットに受け入れられないかどうかを決定することは、該示された認証プロトコルが不暗号化認証であるかどうかを決定することを具備する、付記1記載の方法。付記3
ここにおいて認証プロトコル値が該無線ユニットに受け入れられないかどうかを決定することは、該認証プロトコル値を受入れ可能な認証プロトコルの優先化リストとみなすことを具備する、付記1記載の方法。付記4
さらに下記を具備する、付記1記載の方法:
該無線ユニット内で発生されたレスポンス数の総数を維持すること;および
該無線ユニット内で各レスポンスを発生する前に該総数を調べること、
ここにおいてもし該総数が所定値を超えるならば、該リンク制御プロトコル構成要求メッセージへの適切な応答を発生することは認証を棄却する構成リジェクションメッセージを発生することを具備する。付記5
さらに下記を具備する、付記1記載の方法:
該無線ユニット内で発生されたレスポンス数の総数を維持すること;および
該無線ユニット内で各レスポンスを発生する前に該総数を調べること、
ここにおいてもし該総数が所定値を超えるならば、該リンク制御プロトコル構成要求メッセージへの適切な応答を発生することは、通信終了要求メッセージを発生することを具備する。付記6
ここにおいて該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを発生することは、受入れ可能な認証プロトコルを示す構成受入れ不能メッセージを発生することを具備する、付記1記載の方法。付記7
ここにおいて該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを発生することは、チャレンジ/レスポンス認証プロトコルを示す構成受入れ不能メッセージを発生することを具備する、付記1記載の方法。付記8
無線ユニットに連結された端末装置の代理暗号化認証を実施するための無線ユニット内の装置であって、
少なくとも1つのメモリエレメント;および
該少なくとも1つのメモリエレメント上に蓄積された1組の命令を実行するように構成された少なくとも1つの処理エレメント、を具備し、該組の命令は下記のための命令である:
該端末装置に向けられたリンク制御プロトコル構成要求メッセージを該無線ユニット内で傍受する;
該リンク制御プロトコル構成要求メッセージ内に示された認証プロトコルが該無線ユニットに受け入れられないかどうかを決定する;
もし該示された認証プロトコルが該無線ユニットに受け入れられないならば該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを該無線ユニット内で発生する、装置。付記9
ここにおいて該少なくとも1つの処理エレメントは該示された認証プロトコルが不暗号化認証であるかどうかを決定するための該少なくとも1つのメモリエレメント上に蓄積された命令を実行するようにさらに構成される、付記8記載の装置。付記10
付記8記載の装置であって、ここにおいて該少なくとも1つの処理エレメントは該認証プロトコル値を受入れ可能認証プロトコルの優先化リストとみなすための該少なくとも1つのメモリエレメント上に蓄積された命令を実行するようにさらに構成される、装置。付記11
付記8記載の装置であって、ここにおいて該少なくとも1つの処理エレメントは下記のための該少なくとも1つのメモリエレメント上に蓄積された命令を実行するようにさらに構成され、該命令は下記のための命令である:
該無線ユニット内で発生されたレスポンス数の総数を維持する;
該無線ユニット内で各レスポンスを発生する前に該総数を調べる;および
もし該総数が所定値を超えるならば、認証を棄却する構成リジェクションメッセージを発生する、装置。付記12
付記8記載の装置であって、ここにおいて該少なくとも1つの処理エレメントは、下記のための該少なくとも1つのメモリエレメント上に蓄積された命令を実行するようにさらに構成され、該命令は下記のための命令である:
該無線ユニット内で発生されたレスポンス数の総数を維持する;
該無線ユニット内で各レスポンスを発生する前に該総数を調べる、
もし該総数が所定値を超えるならば、通信終了要求メッセージを発生する、装置。付記13
付記8記載の装置であって、ここにおいて該少なくとも1つの処理エレメントは該リンク制御プロトコル構成要求メッセージへの適切なレスポンスとして受入れ可能な認証プロトコルを示す構成受入れ不能メッセージを発生するために該少なくとも1つのメモリエレメント上に蓄積された命令を実行するようにさらに構成される、装置。付記14
付記8記載の装置であって、ここにおいて該少なくとも1つの処理エレメントは該リンク制御プロトコル構成要求メッセージへの適切なレスポンスとしてチャレンジ/レスポンス認証プロトコルを示す構成受入れ不能メッセージを発生するために該少なくとも1つのメモリエレメント上に蓄積された命令を実行するようにさらに構成される、装置。付記15
無線ユニットに連結された端末装置のプロキシ認証を実行するための装置であって、
該端末装置に向けられたリンク制御プロトコル構成要求メッセージを該無線ユニット内で傍受するための手段;
該リンク制御プロトコル構成要求メッセージ内に示された認証プロトコルが該無線ユニットに受け入れられないかどうかを決定するための手段;
もし該示された認証プロトコルが該無線ユニットに受け入れられないならば該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを該無線ユニット内で発生するための手段、を具備する装置。付記16
付記15記載の装置であって、ここにおいて、該リンク制御プロトコル構成要求メッセージ内に示された認証プロトコルが該無線ユニットに受け入れられないかどうかを決定するための手段は該示された認証プロトコルが不暗号化認証であるかどうかを決定するための手段を具備する、装置。付記17
付記15記載の装置であって、ここにおいて認証プロトコル値が該無線ユニットに受け入れられないかどうかを決定するための該手段は該認証プロトコル値を受入れ可能な認証プロトコルの優先化リストとみなすための手段を具備する、装置。付記18
付記15記載の装置であって、
該無線ユニット内で発生されたレスポンス数の総数を維持するための手段;および
該無線ユニット内で各レスポンスを発生する前に該総数を調べるための手段、を具備し、
ここにおいてもし該総数が所定値を超えるならば、該リンク制御プロトコル構成要求メッセージへの適切な応答を発生するための該手段は認証を棄却する構成リジェクションメッセージを発生する、装置。付記19
付記15記載の装置であって、
該無線ユニット内で発生されたレスポンス数の総数を維持するための手段;および
該無線ユニット内で各レスポンスを発生する前に該総数を調べるための手段、をさらに具備し、
ここにおいてもし該総数が所定値を超えるならば、該リンク制御プロトコル構成要求メッセージへの適切な応答を発生するための該手段は通信終了要求メッセージを発生する、装置。付記20
付記15記載の装置であって、ここにおいて該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを発生するための該手段は、受入れ可能な認証プロトコルを示す構成受入れ不能メッセージを発生するための手段を具備する、装置。付記21
付記15記載の装置であって、ここにおいて該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを発生するための該手段はチャレンジ/レスポンス認証プロトコルを示す構成受入れ不能メッセージを発生するための手段を具備する、装置。付記22
下記のステップを実行させるように構成されたプロセッサ実行可能命令をその上に蓄積したプロセッサ読取り可能メモリユニット:
該端末装置に向けられたリンク制御プロトコル構成要求メッセージを該無線ユニット内で傍受するステップ;
該リンク制御プロトコル構成要求メッセージ内に示された認証プロトコルが該無線ユニットに受け入れられないかどうかを決定するステップ;
もし該示された認証プロトコルが該無線ユニットに受け入れられないならば該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを該無線ユニット内で発生するステップ。付記23
付記22記載のプロセッサ読取り可能メモリであって、ここにおいて該リンク制御プロトコル構成要求メッセージ内に示された認証プロトコルが該無線ユニットに受け入れられないかどうかを決定することは該示された認証プロトコルが不暗号化認証であるかどうかを決定することを具備する、メモリ。付記24
付記22記載のプロセッサ読取り可能メモリであって、ここにおいて認証プロトコル値が該無線ユニットに受け入れられないかどうかを決定することは該認証プロトコル値を受入れ可能な認証プロトコルの優先化リストとみなすことを具備する、メモリ。付記25
付記22記載のプロセッサ読取り可能メモリであって、ここにおいて該蓄積されたプロセッサ実行可能な命令は、プロセッサに下記のステップを実行させるようにさらに構成される:
該無線ユニット内で発生されたレスポンス数の総数を維持するステップ;および
該無線ユニット内で各レスポンスを発生する前に該総数を調べるステップ、
ここにおいてもし該総数が所定値を超えるならば、該リンク制御プロトコル構成要求メッセージへの適切な応答を発生することは認証を棄却する構成リジェクションメッセージを発生することを具備する、メモリ。付記26
付記22記載のプロセッサ可読メモリであって、ここにおいて該蓄積されたプロセッサ実行可能な命令はプロセッサに下記ステップを実行させるようにさらに構成される:
該無線ユニット内で発生されたレスポンス数の総数を維持するステップ;および
該無線ユニット内で各レスポンスを発生する前に該総数を調べるステップ、
ここにおいてもし該総数が所定値を超えるならば、該リンク制御プロトコル構成要求メッセージへの適切な応答を発生することは通信終了要求メッセージを発生することを具備する、メモリ。付記27
付記22記載のプロセッサ読取り可能メモリであって、ここにおいて該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを発生することは、受入れ可能な認証プロトコルを示す構成受入れ不能メッセージを発生することを具備する、前記メモリ。付記28
付記22記載のプロセッサ読取り可能メモリであって、ここにおいて該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを発生することはチャレンジ/レスポンス認証プロトコルを示す構成受入れ不能メッセージを発生することを具備する、メモリ。付記29
無線ユニットに連結された端末装置の暗号化プロキシ認証をネゴシエートするための方法であって、
該端末装置に向けられたリンク制御プロトコルメッセージを該無線ユニット内で傍受すること;
該リンク制御プロトコルメッセージ内の認証プロトコル値が該無線ユニットに受け入れられない認証プロトコルを示すかどうかを決定すること;
該リンク制御プロトコルメッセージへの適切なレスポンスを該無線ユニット内で発生すること;
チャレンジメッセージを該端末装置に順方向転送すること;および
該端末装置から受信されたチャレンジレスポンスを無視すること、を具備する方法。付記30
付記29記載の方法であって、ここにおいて該リンク制御プロトコルメッセージへの該適切なレスポンスを発生することは、受入れ可能な認証プロトコルを示す構成受入れ不能レスポンスメッセージを発生することを具備する、方法。付記31
付記29記載の方法であって、ここにおいて、もし該リンク制御プロトコルメッセージが構成要求メッセージであるおよび該構成要求内の該認証プロトコル値が暗号化無しの認証を示すならば、該リンク制御プロトコルメッセージへの適切なレスポンスを発生することは(a)暗号化認証プロトコルまたは(b)無認証の1つを示す構成受入れ不能レスポンスメッセージを発生することを具備する、方法。付記32
付記30記載の方法であって、
発生された構成受入れ不能レスポンス数の総数を維持すること;
各構成受入れ不能レスポンスを発生する前に該総数を調べること;および
該総数が所定値を超える場合には認証を棄却する構成リジェクションメッセージを発生すること、をさらに具備する方法。付記33
付記30記載の方法であって、
発生された構成受入れ不能レスポンス数の総数を維持すること;
各構成受入れ不能レスポンスを発生する前に該総数を調べること;および
該総数が所定値を超える場合には通信終了メッセージを発生すること、をさらに具備する方法。付記34
無線ユニットにつながれた装置のプロキシ暗号化認証を実行するための方法であって、
該つながれた装置に向けられたリンク制御プロトコル構成要求を傍受すること;
該構成要求内の認証プロトコル値が受入れ可能かどうかを決定すること;
該つながれた装置への該リンク制御プロトコル構成要求を順方向転送すること無しに該リンク制御プロトコル構成要求への適切なレスポンスを発生すること;
該つながれた装置に向けられたチャレンジを傍受すること;
該つながれた装置からの入力を待つこと無しに該チャレンジへの適切なレスポンスを発生すること;
該チャレンジを該つながれた装置に順方向転送すること;および
該つながれた装置から受信されたチャレンジレスポンスを無視すること、を具備する方法。付記35
付記34記載の方法において、ここにおいて、該チャレンジへの該適切なレスポンスを発生することは、該つながれた装置と関連するパスワード情報を使用することよりもむしろ該適切なレスポンスを発生するために該無線ユニットと関連するパスワード情報を使用することを具備する、方法。付記36
付記34記載の方法であって、ここにおいて該認証はチャレンジ/レスポンス認証手順である、方法。付記37
付記36記載の方法であって、ここにおいて該チャレンジ/レスポンス認証手順はチャレンジハンドシェーク認証プロトコルである、方法。付記38
無線装置につながれた装置のプロキシ暗号化認証を実行するための無線ユニット内の装置であって、
少なくとも1つのメモリエレメント;および
該少なくとも1つのメモリエレメント上に蓄積された1組の命令、該組の命令は下記のためのもの、を実行するように構成された少なくとも1つの処理エレメントを具備し、該組の命令は下記のための命令である:
該つながれた装置に向けられたリンク制御プロトコル構成要求を傍受する;
該構成要求内の認証プロトコル値が受入れ可能かどうかを決定する;
該つながれた装置への該リンク制御プロトコル構成要求を順方向転送すること無しに該リンク制御プロトコル構成要求への適切なレスポンスを発生する;
該つながれた装置に向けられたチャレンジを傍受する;
該つながれた装置からの入力を待つこと無しに該チャレンジへの適切なレスポンスを発生する;
該チャレンジを該つながれた装置に順方向転送する;および
該つながれた装置から受信されたチャレンジレスポンスを無視する、装置。付記39
無線ユニットにつながれた装置のプロキシ認証を実行するための装置:
該つながれた装置に向けられたリンク制御プロトコル構成要求を傍受するための手段;
該構成要求内の認証プロトコル値が受入れ可能かどうかを決定するための手段;
該つながれた装置への該リンク制御プロトコル構成要求を順方向転送すること無しに該リンク制御プロトコル構成要求への適切なレスポンスを発生するための手段;
該つながれた装置に向けられたチャレンジを傍受するための手段;
該つながれた装置からの入力を待つこと無しに該チャレンジへの適切なレスポンスを発生するための手段;
該チャレンジを該つながれた装置に順方向転送するための手段;および
該つながれた装置から受信されたチャレンジレスポンスを無視することを決定するための手段、を具備する、装置。

Claims (21)

  1. 無線ユニットに連結された端末装置の暗号化プロキシ認証を実施するための方法であって、
    該端末装置に向けられたリンク制御プロトコル構成要求メッセージを該無線ユニット内で傍受すること;
    該リンク制御プロトコル構成要求メッセージ内に示された認証プロトコルが該無線ユニットに受け入れられないかどうかを決定すること;
    もし該示された認証プロトコルが該無線ユニットに受け入れられないならば該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを該無線ユニット内で発生すること、ここにおいて、該リンク制御プロトコル構成要求メッセージへの該適切なレスポンスを発生することは、
    受入れ可能な認証プロトコルを示す構成受入れ不能メッセージを発生することと、
    該適切なレスポンス該リンク制御プロトコル構成要求メッセージ内の該認証プロトコルの値を認証プロトコルの優先化リストと比較し発生すること
    を備え、
    もし該無線ユニットに該認証プロトコルの値が受入れられる場合、
    該リンク制御プロトコル構成要求メッセージ該端末装置に順方向転送
    該端末装置の該リンク制御プロトコル構成要求メッセージのレスポンスを該端末装置と独立して発生し、
    該端末装置から、該順方向転送されたリンク制御プロトコル構成要求メッセージの別のレスポンスを受信し、該別のレスポンスの送信を保留し、
    該端末装置と独立して発生した、該リンク制御プロトコル構成要求メッセージの該レスポンスに対する、成功/失敗インジケータを受信し、該端末装置に該成功/失敗インジケータを順方向転送すること
    を備える方法。
  2. ここにおいて該リンク制御プロトコル構成要求メッセージ内に示された認証プロトコルが該無線ユニットに受け入れられないかどうかを決定することは、該示された認証プロトコルが不暗号化認証であるかどうかを決定することを具備する、請求項1記載の方法。
  3. さらに下記を具備する、請求項1記載の方法:
    該無線ユニット内で発生されたレスポンス数の総数を維持すること;および
    該無線ユニット内で各レスポンスを発生する前に該総数を調べること、
    ここにおいてもし該総数が所定値を超えるならば、該リンク制御プロトコル構成要求メッセージへの適切な応答を発生することは認証を棄却する構成リジェクションメッセージを発生することを具備する。
  4. さらに下記を具備する、請求項1記載の方法:
    該無線ユニット内で発生されたレスポンス数の総数を維持すること;および
    該無線ユニット内で各レスポンスを発生する前に該総数を調べること、
    ここにおいてもし該総数が所定値を超えるならば、該リンク制御プロトコル構成要求メッセージへの適切な応答を発生することは、通信終了要求メッセージを発生することを具備する。
  5. ここにおいて該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを発生することは、チャレンジ/レスポンス認証プロトコルを示す構成受入れ不能メッセージを発生することを具備する、請求項1記載の方法。
  6. 無線ユニットに連結された端末装置の代理暗号化認証を実施するための無線ユニット内の装置であって、
    少なくとも1つのメモリエレメント;および
    該少なくとも1つのメモリエレメント上に蓄積された1組の命令を実行するように構成された少なくとも1つの処理エレメント、を具備し、該組の命令は下記のための命令である:
    該端末装置に向けられたリンク制御プロトコル構成要求メッセージを該無線ユニット内で傍受する;
    該リンク制御プロトコル構成要求メッセージ内に示された認証プロトコルが該無線ユニットに受け入れられないかどうかを決定する;
    もし該示された認証プロトコルが該無線ユニットに受け入れられないならば該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを該無線ユニット内で発生する、ここにおいて、該リンク制御プロトコル構成要求メッセージへの該適切なレスポンスを発生することは、
    受入れ可能な認証プロトコルを示す構成受入れ不能メッセージを発生することと、
    該適切なレスポンス該リンク制御プロトコル構成要求メッセージ内の該認証プロトコルの値を認証プロトコルの優先化リストと比較し発生することと
    を備え、
    もし該無線ユニットに該認証プロトコルの値が受入れられる場合、
    該リンク制御プロトコル構成要求メッセージ該端末装置に順方向転送
    該端末装置の該リンク制御プロトコル構成要求メッセージのレスポンスを該端末装置と独立して発生し、
    該端末装置から、該順方向転送されたリンク制御プロトコル構成要求メッセージの別のレスポンスを受信し、該別のレスポンスの送信を保留し、
    該端末装置と独立して発生した、リンク制御プロトコル構成要求メッセージの該レスポンスに対する、成功/失敗インジケータを受信し、該端末装置に該成功/失敗インジケータを順方向転送する、
    を備える装置。
  7. ここにおいて該少なくとも1つの処理エレメントは該示された認証プロトコルが不暗号化認証であるかどうかを決定するための該少なくとも1つのメモリエレメント上に蓄積された命令を実行するようにさらに構成される、請求項記載の装置。
  8. 請求項記載の装置であって、ここにおいて該少なくとも1つの処理エレメントは下記のための該少なくとも1つのメモリエレメント上に蓄積された命令を実行するようにさらに構成され、該命令は下記のための命令である:
    該無線ユニット内で発生されたレスポンス数の総数を維持する;
    該無線ユニット内で各レスポンスを発生する前に該総数を調べる;および
    もし該総数が所定値を超えるならば、認証を棄却する構成リジェクションメッセージを発生する、装置。
  9. 請求項記載の装置であって、ここにおいて該少なくとも1つの処理エレメントは、下記のための該少なくとも1つのメモリエレメント上に蓄積された命令を実行するようにさらに構成され、該命令は下記のための命令である:
    該無線ユニット内で発生されたレスポンス数の総数を維持する;
    該無線ユニット内で各レスポンスを発生する前に該総数を調べる、
    もし該総数が所定値を超えるならば、通信終了要求メッセージを発生する、装置。
  10. 請求項記載の装置であって、ここにおいて該少なくとも1つの処理エレメントは該リンク制御プロトコル構成要求メッセージへの適切なレスポンスとしてチャレンジ/レスポンス認証プロトコルを示す構成受入れ不能メッセージを発生するために該少なくとも1つのメモリエレメント上に蓄積された命令を実行するようにさらに構成される、装置。
  11. 無線ユニットに連結された端末装置のプロキシ認証を実行するための装置であって、
    該端末装置に向けられたリンク制御プロトコル構成要求メッセージを該無線ユニット内で傍受するための手段と、
    該リンク制御プロトコル構成要求メッセージ内に示された認証プロトコルが該無線ユニットに受け入れられないかどうかを決定するための手段と、
    もし該示された認証プロトコルが該無線ユニットに受け入れられないならば該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを該無線ユニット内で発生するための、ここにおいて、該リンク制御プロトコル構成要求メッセージへの該適切なレスポンスを発生することは、
    受入れ可能な認証プロトコルを示す構成受入れ不能メッセージを発生することと、
    該適切なレスポンス該リンク制御プロトコル構成要求メッセージ内の該認証プロトコルの値を認証プロトコルの優先化リストと比較し発生することと、
    を備える手段と、
    もし該無線ユニットに該認証プロトコルの値が受入れられる場合、
    該リンク制御プロトコル構成要求メッセージを該端末装置に順方向転送し、
    該端末装置の該リンク制御プロトコル構成要求メッセージのレスポンスを該端末装置と独立して発生し、
    該端末装置から、該順方向転送されたリンク制御プロトコル構成要求メッセージの別のレスポンスを受信し、該別のレスポンスの送信を保留し、
    該端末装置と独立して発生した、リンク制御プロトコル構成要求メッセージの該レスポンスに対する、成功/失敗インジケータを受信し、該端末装置に該成功/失敗インジケータを順方向転送する、
    手段と、を具備する装置。
  12. 請求項11記載の装置であって、ここにおいて、該リンク制御プロトコル構成要求メッセージ内に示された認証プロトコルが該無線ユニットに受け入れられないかどうかを決定するための手段は該示された認証プロトコルが不暗号化認証であるかどうかを決定するための手段を具備する、装置。
  13. 請求項11記載の装置であって、ここにおいて認証プロトコル値が該無線ユニットに受け入れられないかどうかを決定するための該手段は該認証プロトコル値を受入れ可能な認証プロトコルの優先化リストと比較するための手段を具備する、装置。
  14. 請求項11記載の装置であって、
    該無線ユニット内で発生されたレスポンス数の総数を維持するための手段;および
    該無線ユニット内で各レスポンスを発生する前に該総数を調べるための手段、を具備し、
    ここにおいてもし該総数が所定値を超えるならば、該リンク制御プロトコル構成要求メッセージへの適切な応答を発生するための該手段は認証を棄却する構成リジェクションメッセージを発生する、装置。
  15. 請求項11記載の装置であって、
    該無線ユニット内で発生されたレスポンス数の総数を維持するための手段;および
    該無線ユニット内で各レスポンスを発生する前に該総数を調べるための手段、をさらに具備し、
    ここにおいてもし該総数が所定値を超えるならば、該リンク制御プロトコル構成要求メッセージへの適切な応答を発生するための該手段は通信終了要求メッセージを発生する、装置。
  16. 請求項11記載の装置であって、ここにおいて該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを発生するための該手段はチャレンジ/レスポンス認証プロトコルを示す構成受入れ不能メッセージを発生するための手段を具備する、装置。
  17. 下記のステップを実行させるように構成されたプロセッサ実行可能命令をその上に蓄積したプロセッサ読取り可能メモリユニット:
    末装置に向けられたリンク制御プロトコル構成要求メッセージを無線ユニット内で傍受するステップと、
    該リンク制御プロトコル構成要求メッセージ内に示された認証プロトコルが無線ユニットに受け入れられないかどうかを決定するステップと、
    もし該示された認証プロトコルが該無線ユニットに受け入れられないならば該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを該無線ユニット内で発生する、ここにおいて、該リンク制御プロトコル構成要求メッセージへの該適切なレスポンスを発生することは、
    受入れ可能な認証プロトコルを示す構成受入れ不能メッセージを発生し、
    該適切なレスポンス該リンク制御プロトコル構成要求メッセージ内の該認証プロトコルの値を認証プロトコルの優先化リストと比較し発生する、ステップと、
    もし該無線ユニットに該認証プロトコルの値が受入れられる場合、
    該リンク制御プロトコル構成要求メッセージを該端末装置に順方向転送し、
    該端末装置の該リンク制御プロトコル構成要求メッセージのレスポンスを該端末装置と独立して発生し、
    該端末装置から、該順方向転送されたリンク制御プロトコル構成要求メッセージの別のレスポンスを受信し、該別のレスポンスの送信を保留し、
    該端末装置と独立して発生した、リンク制御プロトコル構成要求メッセージの該レスポンスに対する、成功/失敗インジケータを受信し、該端末装置に該成功/失敗インジケータを順方向転送する、ステップ。
  18. 請求項17記載のプロセッサ読取り可能メモリであって、ここにおいて該リンク制御プロトコル構成要求メッセージ内に示された認証プロトコルが該無線ユニットに受け入れられないかどうかを決定することは該示された認証プロトコルが不暗号化認証であるかどうかを決定することを具備する、メモリ。
  19. 請求項17記載のプロセッサ読取り可能メモリであって、ここにおいて該蓄積されたプロセッサ実行可能な命令は、プロセッサに下記のステップを実行させるようにさらに構成される:
    該無線ユニット内で発生されたレスポンス数の総数を維持するステップ;および
    該無線ユニット内で各レスポンスを発生する前に該総数を調べるステップ、
    ここにおいてもし該総数が所定値を超えるならば、該リンク制御プロトコル構成要求メッセージへの適切な応答を発生することは認証を棄却する構成リジェクションメッセージを発生することを具備する、メモリ。
  20. 請求項17記載のプロセッサ可読メモリであって、ここにおいて該蓄積されたプロセッサ実行可能な命令はプロセッサに下記ステップを実行させるようにさらに構成される:
    該無線ユニット内で発生されたレスポンス数の総数を維持するステップ;および
    該無線ユニット内で各レスポンスを発生する前に該総数を調べるステップ、
    ここにおいてもし該総数が所定値を超えるならば、該リンク制御プロトコル構成要求メッセージへの適切な応答を発生することは通信終了要求メッセージを発生することを具備する、メモリ。
  21. 請求項17記載のプロセッサ読取り可能メモリであって、ここにおいて該リンク制御プロトコル構成要求メッセージへの適切なレスポンスを発生することはチャレンジ/レスポンス認証プロトコルを示す構成受入れ不能メッセージを発生することを具備する、メモリ。
JP2013066428A 2007-07-02 2013-03-27 つながれた装置のための代理暗号化認証の方法と装置 Expired - Fee Related JP5680688B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/772,820 2007-07-02
US11/772,820 US7877081B2 (en) 2003-07-25 2007-07-02 Proxy-encrypted authentication for tethered devices

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2010515236A Division JP2010533397A (ja) 2007-07-02 2008-07-01 つながれた装置のための代理暗号化認証の方法と装置

Publications (3)

Publication Number Publication Date
JP2013168974A JP2013168974A (ja) 2013-08-29
JP2013168974A5 JP2013168974A5 (ja) 2014-09-25
JP5680688B2 true JP5680688B2 (ja) 2015-03-04

Family

ID=40261966

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2010515236A Withdrawn JP2010533397A (ja) 2007-07-02 2008-07-01 つながれた装置のための代理暗号化認証の方法と装置
JP2013066428A Expired - Fee Related JP5680688B2 (ja) 2007-07-02 2013-03-27 つながれた装置のための代理暗号化認証の方法と装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2010515236A Withdrawn JP2010533397A (ja) 2007-07-02 2008-07-01 つながれた装置のための代理暗号化認証の方法と装置

Country Status (6)

Country Link
US (1) US7877081B2 (ja)
EP (1) EP2168348B1 (ja)
JP (2) JP2010533397A (ja)
KR (1) KR101120154B1 (ja)
CN (1) CN101690103A (ja)
WO (1) WO2009006458A2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7239865B2 (en) * 2003-07-25 2007-07-03 Qualcomm Incorporated Proxy authentication for tethered devices
WO2007096884A2 (en) 2006-02-22 2007-08-30 Elad Barkan Wireless internet system and method
US20090328147A1 (en) * 2008-06-27 2009-12-31 Microsoft Corporation Eap based capability negotiation and facilitation for tunneling eap methods
KR101886786B1 (ko) * 2010-10-11 2018-09-11 에스케이텔레콤 주식회사 데이터 세션 상태 관리 시스템 및 방법
US8971849B2 (en) * 2011-12-29 2015-03-03 United States Cellular Corporation System and method for network assisted control and monetization of tethering to mobile wireless devices
KR101979800B1 (ko) 2012-02-16 2019-05-20 삼성전자주식회사 위젯창을 이용한 데이터 전송 시스템 및 방법
JP5650252B2 (ja) * 2013-01-08 2015-01-07 日本電信電話株式会社 権限発行システム、権限発行サーバ、及び権限発行方法
CN104378333B (zh) * 2013-08-15 2018-09-21 华为终端有限公司 调制解调器拨号方法及宽带设备
US9794784B2 (en) * 2015-01-29 2017-10-17 Qualcomm Incorporated Techniques for preventing unauthorized users from controlling modem of mobile device
EP3160176B1 (en) * 2015-10-19 2019-12-11 Vodafone GmbH Using a service of a mobile packet core network without having a sim card

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5668876A (en) * 1994-06-24 1997-09-16 Telefonaktiebolaget Lm Ericsson User authentication method and apparatus
US6512754B2 (en) * 1997-10-14 2003-01-28 Lucent Technologies Inc. Point-to-point protocol encapsulation in ethernet frame
JPH11136396A (ja) * 1997-10-31 1999-05-21 Canon Inc 通信装置
US6370118B1 (en) * 1999-02-24 2002-04-09 Qualcomm Incorporated Simultaneous set up of PPP on AUM and a RM interface
US6785823B1 (en) * 1999-12-03 2004-08-31 Qualcomm Incorporated Method and apparatus for authentication in a wireless telecommunications system
US6539209B1 (en) 2000-05-30 2003-03-25 Lucent Technologies Inc. Code-division, multiple-access base station having transmit diversity
SE518604C2 (sv) * 2000-06-29 2002-10-29 Wireless Login Ab Metod och anordning för säker anslutning till ett kommunikationsnätverk
US7054384B1 (en) 2000-08-04 2006-05-30 Lucent Technologies Inc. Power amplifier sharing in a wireless communication system with transmit diversity
US6745047B1 (en) * 2001-03-07 2004-06-01 Palmone, Inc. System and method for using a wireless enabled portable computer system as a wireless modem
US6748244B2 (en) * 2001-11-21 2004-06-08 Intellisist, Llc Sharing account information and a phone number between personal mobile phone and an in-vehicle embedded phone
US7369529B2 (en) * 2001-05-24 2008-05-06 Qualcomm.Incorporated. Method and apparatus for differentiating point to point protocol session termination points
WO2003017125A1 (en) * 2001-08-07 2003-02-27 Tatara Systems, Inc. Method and apparatus for integrating billing and authentication functions in local area and wide area wireless data networks
KR100450950B1 (ko) * 2001-11-29 2004-10-02 삼성전자주식회사 구내/공중망 무선 패킷데이터 서비스를 받는 이동단말기의 인증 방법 및 그 사설망 시스템
AU2003212635A1 (en) * 2002-03-11 2003-09-22 Seabridge Ltd. Dynamic service-aware aggregation of ppp sessions over variable network tunnels
US7590408B2 (en) * 2002-04-03 2009-09-15 Qualcomm Incorporated Systems and methods for early determination of network support for mobile IP
US7342894B2 (en) * 2002-04-03 2008-03-11 Qualcomm Incorporated System and method for transparent Mobile IP registration within PPP negotiation
US6954793B2 (en) * 2002-05-13 2005-10-11 Thomson Licensing S.A. Pre-paid data card authentication in a public wireless LAN access system
US6879574B2 (en) * 2002-06-24 2005-04-12 Nokia Corporation Mobile mesh Ad-Hoc networking
US6862434B2 (en) 2002-07-26 2005-03-01 Qualcomm Inc. Transmission diversity systems
US8751801B2 (en) * 2003-05-09 2014-06-10 Emc Corporation System and method for authenticating users using two or more factors
US7239865B2 (en) * 2003-07-25 2007-07-03 Qualcomm Incorporated Proxy authentication for tethered devices
JP3973038B2 (ja) * 2003-11-21 2007-09-05 Kddi株式会社 パケット交換網の呼確立方法
EP1562343A1 (fr) * 2004-02-09 2005-08-10 France Telecom Procédé et système de gestion d'autorisation d'accès d'un utilisateur au niveau d'un domaine administratif local lors d'une connexion de l'utilisateur à un réseau IP
US8867505B2 (en) * 2005-06-20 2014-10-21 Sk Telecom Co., Ltd. Fast data-link connection method for saving connection time in CDMA 2000 network
BRPI0614520B1 (pt) * 2005-08-02 2019-07-09 Qualcomm Incorporated Suporte de chamada de emergência voip

Also Published As

Publication number Publication date
KR101120154B1 (ko) 2012-02-23
JP2013168974A (ja) 2013-08-29
US20080003981A1 (en) 2008-01-03
EP2168348A2 (en) 2010-03-31
KR20100029265A (ko) 2010-03-16
JP2010533397A (ja) 2010-10-21
WO2009006458A3 (en) 2009-04-09
WO2009006458A2 (en) 2009-01-08
US7877081B2 (en) 2011-01-25
CN101690103A (zh) 2010-03-31
EP2168348B1 (en) 2016-09-21

Similar Documents

Publication Publication Date Title
JP5680688B2 (ja) つながれた装置のための代理暗号化認証の方法と装置
JP2013168974A5 (ja)
US20070232271A1 (en) Proxy authentication for tethered devices
US7796582B2 (en) Method and apparatus for supporting access network (AN) authentication
KR101019943B1 (ko) 상이한 인증 인증서들을 지원하는 방법 및 장치
Taferner et al. Wireless internet access over GSM and UMTS
US7369529B2 (en) Method and apparatus for differentiating point to point protocol session termination points
JP2003234786A (ja) 構内及び公衆ネットワーク無線パケットデータサービスのための無線データを保安する私設基地局制御装置を含む通信システム及びそのサービスを受ける移動端末機からのインターネット接続要求に従う認証方法
EP1625692B1 (en) System and method for providing end to end authentication in a network environment
JP4886022B2 (ja) 共通ipアドレス付きの移動端末および無線装置
EP1310074B1 (en) A method and an apparatus for granting use of a session of a packet data transmission standard designated by an identifier
WO2024178028A1 (en) User plane ipsec sa modification

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140212

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20140313

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20140318

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20140714

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20140717

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140812

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20140812

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141021

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141112

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141209

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150107

R150 Certificate of patent or registration of utility model

Ref document number: 5680688

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees