JP5709322B2 - 認証方法、システムおよび装置 - Google Patents

認証方法、システムおよび装置 Download PDF

Info

Publication number
JP5709322B2
JP5709322B2 JP2012546310A JP2012546310A JP5709322B2 JP 5709322 B2 JP5709322 B2 JP 5709322B2 JP 2012546310 A JP2012546310 A JP 2012546310A JP 2012546310 A JP2012546310 A JP 2012546310A JP 5709322 B2 JP5709322 B2 JP 5709322B2
Authority
JP
Japan
Prior art keywords
key
identifier
user
authentication
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012546310A
Other languages
English (en)
Other versions
JP2013516121A (ja
Inventor
▲曉▼明 路
▲曉▼明 路
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd filed Critical China Mobile Communications Group Co Ltd
Publication of JP2013516121A publication Critical patent/JP2013516121A/ja
Application granted granted Critical
Publication of JP5709322B2 publication Critical patent/JP5709322B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1063Application servers providing network services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、通信技術分野に関し、特に認証方法、システムおよび装置に関する。
多数の業務発展のニーズにより、3GPP(3rd Generation Partnership Project、 第三世代パートナーシップ・プロジェクト)によりIMS(IP Multimedia Subsystem、IPマルチメディアサブシステム)が提出され、UE(User Equipment、ユーザ端末)は、IMSを介してネットワークにアクセスすることにより多様なIMSのアプリケーションを実現するとともに、業務層の複雑さを下げることができる。なお、業務層では異なるアクセスネットワークまたは認証機構から効率的に保護し、さらなる総合的な業務サービスおよび豊かな業務体験をユーザに提供する。
UEがIMSにアクセスする際に、IMSコアネットではUEの身分を認証する必要があり、IMSがアクセスするユーザ身分に対する認証においては、カードを有する端末に対して、一般にIMS AKA(Authentication and Key Agreement, 認証および鍵合意)による認証機構を採用し、端末におけるSIM(Subscriber Identity Module, ユーザ身分識別モジュール)や、USIM(Universal Subscriber Identity Module, 汎用加入者識別モジュール)、ISIM(IMS Subscriber Identity Module, IMS加入者識別モジュール)により、カードを有する端末のユーザ身分を認証する一方、カードを有さない端末に対して、SIP(Session Initiation Protocol, セッション初期化プロトコル)によるDigest方式の認証機構を採用し、ユーザによるパスワードの入力により、カードを有さない端末のユーザ身分の認証を実現できる。UEは、身分が認証された後にIMSにアクセスすることにより、アプリケーションサーバで業務操作を行える。UEと業務サーバとの間で暗号化データを伝送する場合、ユーザのプライバシー情報あるいは高価コンテンツに対する業務操作をすると、業務サーバとUEとの間で認証を行うことで、暗号化データの業務サーバとUEとの間でのデータ伝送の安全性を確保する必要がある。
カードを有する端末に対しては、業務サーバとUEとの間の認証はSIM/USIM/ISIMに予め設置されたKi/Kを利用し、GBA(General Bootstrapping Architecture, 通用認証機構)を通じてUEと業務サーバとの間で鍵を生成し、鍵を利用して業務サーバとUEとの間の認証プロセスを実現する。しかしながら、カードを有さない端末に対して、従来技術においては、業務サーバと端末との間で鍵を生成することにより鍵に基づいて業務サーバと端末との間の認証プロセスを実現することができなかった。IMSネットワークのほか、その他のネットワークの場合にカードを有さない端末がどのように業務サーバと認証を行うかは、従来技術におけるできるだけ早く解決すべき問題となる。
本発明の実施形態によれば、カードを有さない端末と業務サーバとの間で鍵を生成し、業務サーバが生成された鍵を用いてUEを認証することにより、データ伝送の安全性を上げる認証方法、システムおよび装置を提供する。
本発明の実施形態により、アプリケーションサーバASは、ユーザ端末UEからのユーザ識別子を持つASアクセス要求を受信するステップと、前記ASは、前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成して、ネットワーク側に送信するステップと、前記ASは、前記ネットワーク側からの、前記ユーザ識別子、前記AS識別子および付加パラメータに基づいて生成された鍵を受信し、前記鍵に基づいて前記UEを認証するステップと、を含む認証方法を提供する。
前記認証方法において、前記ASは前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成してネットワーク側に送信することは、前記ASは前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成し、ネットワーク側の認証サーバに送信することを含み、前記ASはネットワーク側からの前記ユーザ識別子、前記AS識別子および付加パラメータに基づいて生成された鍵を受信することは、前記認証サーバは前記ユーザ識別子、前記AS識別子および付加パラメータに基づいて鍵を生成し前記ASに送信することを含む。
前記認証方法において、前記付加パラメータは、ユーザパスワード、乱数、有効期間および一定の文字列のうち1つ以上を含む。
前記認証方法において、前記ASは前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成してネットワーク側に送信することは、前記ASは前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成して、ネットワーク側のゲートウェイ機器に送信することを含み、前記ASはネットワーク側からの前記ユーザ識別子、前記AS識別子および付加パラメータに基づいて生成された鍵を受信することは、前記ゲートウェイ機器は前記ユーザ識別子および前記AS識別子を持つ認証データ要求を生成し、前記認証サーバに送信すると、前記認証サーバは前記ユーザ識別子、前記AS識別子および付加パラメータに基づいて鍵を生成し、前記ゲートウェイ機器に送信すると、前記ゲートウェイ機器は前記認証サーバからの前記鍵を受信し、前記ASに送信するとを含む。
前記認証方法において、前記付加パラメータは、ユーザパスワード、乱数、有効期間、ゲートウェイ機器識別子および一定の文字列のうち1つ以上を含む。
前記認証方法において、前記ASは前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成してネットワーク側に送信することは、前記ASは前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成して、前記ゲートウェイ機器に送信することを含み、前記ASはネットワーク側からの前記ユーザ識別子、前記AS識別子および付加パラメータに基づいて生成された鍵を受信することは、前記ゲートウェイ機器は前記ユーザ識別子を持つ認証データ要求を生成し、前記認証サーバに送信することと、前記認証サーバは前記ユーザ識別子に基づいて第1の鍵を生成して、前記ゲートウェイ機器に送信することと、前記ゲートウェイ機器は前記前記第1の鍵、前記AS識別子および付加パラメータに基づいて鍵を生成して、前記ASに送信することとを含む。
前記認証方法において、前記認証サーバは前記ユーザ識別子に基づいて第1の鍵を生成することは、前記認証サーバは前記ユーザ識別子および付加パラメータに基づいて鍵を生成することをを含み、前記付加パラメータはユーザパスワード、乱数、有効期間、ゲートウェイ機器識別子および一定の文字列のうち1つ以上を含み、前記ゲートウェイ機器は、前記第1の鍵、AS識別子および付加パラメータに基づいて鍵を生成し、この付加パラメータは乱数、有効期間、ゲートウェイ機器識別子および一定の文字列のうち1つ以上を含む。
前記認証方法において、前記ASは前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成してネットワーク側に送信することは、前記ASは前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成して前記ゲートウェイ機器に送信することを含み、前記ASはネットワーク側からの前記ユーザ識別子、前記AS識別子および付加パラメータに基づいて生成された鍵を受信することは、前記ゲートウェイ機器は第1の鍵、前記AS識別子および付加パラメータに基づいて鍵を生成して、ASに送信することを含み、前記第1の鍵は、ゲートウェイ機器がユーザデバイスからの鍵合意要求を受信したときに前記ユーザ識別子を持つ認証データ要求を前記認証サーバに送信し、前記認証サーバにより前記ユーザ識別子に基づいて生成された第1の鍵を受信して記憶したものであるを含む。
本発明の実施形態によれば、ユーザ端末UEからの、ユーザ識別子を持つASアクセス要求を受信し、前記ユーザ識別子に基づいて前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成してネットワーク側の認証サーバに送信し、前記認証サーバからの鍵を受信し、前記鍵に基づいて前記UEを認証するアプリケーションサーバASと、前記ASからの前記ユーザ識別子および前記AS識別子を持つ鍵生成要求を受信し、前記ユーザ識別子、前記AS識別子および付加パラメータに基づいて鍵を生成して前記ASに送信する認証サーバとを含む認証システムを提供する。
本発明の実施形態によれば、ユーザ端末UEからの、ユーザ識別子を持つASアクセス要求を受信し、前記ユーザ識別子に基づいて、前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成してネットワーク側のゲートウェイ機器に送信し、前記ゲートウェイ機器からの鍵を受信し、前記鍵に基づいて前記UEを認証するアプリケーションサーバASと、前記ASからの前記ユーザ識別子および前記AS識別子を持つ鍵生成要求を受信し、前記ユーザ識別子及び前記AS識別子を持つ認証データ要求を生成して前記認証サーバに送信し、前記認証サーバからの鍵を受信し前記ASに送信する、あるいは前記ASからの前記ユーザ識別子および前記AS識別子を持つ鍵生成要求を受信し、前記ユーザ識別子を持つ認証データ要求を生成して前記認証サーバに送信し、前記認証サーバからの第1の鍵を受信し、前記第1の鍵、前記AS識別子および付加パラメータに基づいて鍵を生成して前記ASに送信する、あるいは第1の鍵、前記AS識別子および付加パラメータに基づいて鍵を生成して前記ASに送信するゲートウェイ機器と、前記ゲートウェイ機器からの前記ユーザ識別子および前記AS識別子を持つ認証データ要求を受信し、前記ユーザ識別子、前記AS識別子および付加パラメータに基づいて鍵を生成して前記ゲートウェイ機器に送信する、あるいは前記ゲートウェイ機器からの、前記ユーザ識別子を持つ認証データ要求を受信し、前記ユーザ識別子に基づいて鍵を生成して前記ゲートウェイ機器に送信する認証サーバとを含み、前記ゲートウェイ機器において、前記第1の鍵は、ゲートウェイ機器がユーザデバイスからの鍵合意要求を受信したときに、前記ユーザ識別子を持つ認証データ要求を前記認証サーバに送信し、前記認証サーバにより前記ユーザ識別子に基づいて生成された第1の鍵を記憶して記憶したものである認証システムを提供する。
本発明の実施形態によれば、UEからのユーザ識別子を持つASアクセス要求を受信し、前記ユーザ識別子に基づいて前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成してネットワーク側に送信し、前記ネットワーク側からの鍵を受信する送受信モジュールと、前記送受信モジュールにより受信された鍵に基づいて前記UEを認証する認証モジュールとを含むASを提供する。
本発明の実施形態によれば、ASからの前記ユーザ識別子およびAS識別子を持つ鍵生成要求を受信する、あるいはゲートウェイ機器からの前記ユーザ識別子および前記AS識別子を持つ認証データ要求を受信する、あるいはゲートウェイ機器からの前記ユーザ識別子を持つ認証データ要求を受信する受信モジュールと、前記受信モジュールが前記ASからの前記ユーザ識別子および前記AS識別子を持つ鍵生成要求を受信したときに、前記ユーザ識別子、前記AS識別子および付加パラメータに基づいて鍵を生成する、あるいわ前記受信モジュールが前記ゲートウェイ機器からの前記ユーザ識別子および前記AS識別子を持つ認証データ要求を受信したときに、前記ユーザ識別子、前記AS識別子および付加パラメータに基づいて鍵を生成する、あるいは前記受信モジュールが前記ゲートウェイ機器からの前記ユーザ識別子を持つ認証データ要求を受信したときに、前記ユーザ識別子に基づいて鍵を生成する生成モジュールと、前記生成モジュールにより生成された前記鍵を送信する送信モジュールとを含む認証サーバを提供する。
本発明の実施形態によれば、ASからのユーザ識別子およびAS識別子を持つ鍵生成要求を受信し、認証サーバからの鍵を受信する受信モジュールと、前記ユーザ識別子および前記AS識別子を持つ認証データ要求を生成する、あるいは前記ユーザ識別子を持つ認証データ要求を生成し、前記受信モジュールにより前記認証サーバから受信された鍵、前記AS識別子及び付加パラメータに基づいて鍵を生成する生成モジュールと、前記生成モジュールにより生成された前記ユーザ識別子および前記AS識別子を持つ認証データ要求を前記認証サーバに送信し、前記認証サーバから受信した鍵を前記ASに送信する、あるいは前記生成モジュールにより生成された前記ユーザ識別子を持つ認証データ要求を前記認証サーバに送信し、前記生成モジュールにより生成された鍵を前記ASに送信する送信モジュールとを含むゲートウェイ機器を提供する。
本発明の実施形態による技術的解決方法によれば、カードを有さない端末と業務サーバとの間で鍵を生成し、業務サーバが生成された鍵を用いてUEを認証することにより、データ伝送の安全性をあげることができる。
本発明の他の特徴および利点は以下の明細書に記述され、一部が明細書から明らかになり、あるいは本発明の実施により了解される。本発明の目的およびその他の利点は、明細書、請求の範囲および図面に特に記述された構成により、実現し取得されることができる。
以下は、図面および実施形態により、本発明の技術的解決方法をさらに詳細的に記述する。
本発明あるいは従来技術における技術的解決方法をさらに明確にするために、以下では、本発明あるいは従来技術に対する記述に必要となる図面について簡単に紹介し、以下に記述される図面は本発明のいくつの実施形態に限り、当業者にとって、創意性の作業を要さずにこれらの図面に基づいてその他の図面を得られることが明らかである。
本発明の実施形態1による認証方法を示すブロック図フローチャートである。 本発明の実施形態2による認証方法を示すブロック図フローチャートである。 本発明の実施形態3による認証方法を示すブロック図フローチャートである。 本発明の実施形態4による認証方法を示すブロック図フローチャートである。 本発明の実施形態5による認証方法を示すブロック図フローチャートである。 本発明の実施形態6によるASの構成を示すブロック図である。 本発明の実施形態7による認証サーバの構成を示すブロック図である。 本発明の実施形態8によるゲートウェイ機器の構成を示すブロック図である。
次に、本発明の実施形態について図面を参照しながら説明する。ここに記述される実施形態は本発明の説明あるいは解釈するためのものに限り、本発明を限定するものではないことに留意すべきである。
以下、本発明の図面を参照して、本発明の技術的解決方法を明確で完全に記述する。記述される実施形態は本発明のすべての実施形態ではなく、一部の実施形態であることが明らかである。その他の実施形態のすべては本発明の実施形態に基づいて当業者により創意性の作業を要らずに取得でき、かつ本発明の保護範囲に属する。
本発明の実施形態1によれば、認証方法を提供し、図1に示すように、下記のステップを含む:
ステップs101:ASはUEからのユーザ識別子を持つASアクセス要求を受信し、
ステップs102:ASはユーザ識別子に基づいて鍵生成要求を生成してネットワーク側に送信し、
ステップs103:ASはネットワーク側からの鍵を受信し、鍵に基づいてUEを認証する。
本発明の実施形態による方法によれば、カードを有さない端末とASとの間で鍵を生成し、ASが、生成された鍵を用いてUEを認証することにより、データ伝送の安全性をあげることができる。
以下、具体的な実施形態により、本発明の実施形態による認証方法を詳細に説明する。
本発明の実施形態を適用する場合、UEがカードを有さない端末となり、カードを有さない端末はIMSアクセスにより業務処理を行う際に、AS(Application Server、アプリケーションサーバ)との間に認証プロセスを実施することにより、データ伝送の安全性を強化する。このため、UEがASにアクセスする際に、ASは、ASとUEとの間の認証のために、USとの間の鍵を生成することをネットワーク側に要求する。
本発明の実施形態おいては、UEがIMSネットワークにアクセスし認証する場合に鍵を生成することに限らず、UEとネットワーク側との間で双方向の認証を行う必要がある場合にも、本発明の実施形態による方法で鍵を生成して生成された鍵に基づいて認証を行うことができる。具体的な適用の場合の変更は本発明の保護範囲に影響を与えない。
説明すべきことは、本発明の実施形態において、UEとASとの間の認証プロセスの前に、UEがIMSコアネットに登録し、IMSコアネットによりUEのユーザ身分を認証する必要があるとともに、ユーザのIMSコアネットに登録するためのユーザ名、ユーザパスワードおよびユーザIMPUなどの情報を含むユーザについての情報をIMSコアネットに記憶しておくことである。
具体的には、IMSコアネットにおいては、CSCF(Call Session Control Function,呼び状態制御機能)およびHSS(Home Subscriber Server,ホーム加入者サーバ)という機能主体が含まれる。ただし、CSCFにはP-CSCF(プロキシCSCF)、I-CSCF(問い合わせCSCF)およびS-CSCF(サービスCSCF)という3つの論理主体が含まる。P-CSCFは、端末ユーザがIMSにアクセスするアクセスポイントであり、ユーザのレジストレーション、サービス品質(QoS)の制御およびセキュリティ管理などを実施するためのものである。I-CSCFは、IMSドメインの間の通信、管理S-CSCFの割り当て、ネットワークのトポロジーおよび配置情報の外からの遮断、費用データの生成などのためものである。S-CSCFは、IMSの業務やり取りセンターとなり、セッション制御の実行、セッション状態の維持、ユーザ情報の管理、費用情報の生成などのためのものである。HSSは、ユーザ加入データを記憶し、ネットワーク主体における呼びおよびセッションに対する処理をサポートするためのものであり、UEのデータがHSSに記憶される。
UEのIMSへのアクセスの基本的な流れは次の通りである。UEはIMSアクセスを起動し、ユーザが入力したパスワードを用いて、IMSコアネット上で身分認証を行う。具体的には、UEは、ユーザが入力したパスワードにより、SIP Digest要求をS-CSCFに送出し、IMSレジストレーションについての認証を行い、CSCFがレジストレーションユーザの登録状態をHSSに送信し、HSSがユーザのユーザ名、ユーザパスワードおよびIMPUなどのユーザについての情報を含むユーザの登録状態情報を保存する。
ユーザが入力したパスワードによりIMSコアネット上で身分認証を完了した後、ユーザに関する情報がIMSコアネットに記憶され、このユーザに関する情報がUEとASとの間の鍵の生成に利用される。このため、ユーザがIMSコアネット上での身分認証が完了されユーザに関する情報が記憶された後に、UEとASとの間の鍵の生成中に、IMS身分認証が必要とならなくなる。
具体的には、本発明の実施形態2によれば、ASがUEからのユーザ識別子を持つASアクセス要求を受信し、ユーザ識別子に基づいて鍵生成要求をネットワーク側の認証サーバ、例えばHSSに送信し、HSSからの鍵を受信する認証方法を提供する。図2に示すように、この認証方法は下記のステップを含む:
ステップs201:UEはユーザ識別子を持つASアクセス要求をASに送信する。
UEによるユーザ識別子を持つASアクセス要求をASに送信においては、ユーザ識別子は、ユーザIMPU(IP Multimedia Public Identity, IPマルチメディア公開識別子)、ユーザIMPI(IP Multimedia Private Identity, IPマルチメディアプライベート識別子)あるいはユーザについての他の識別子であってよい。本発明の下記の実施形態においては、すべてASアクセス要求に含まれるユーザ識別子がユーザIMPUであることを例として説明する。
ステップs202:ASはユーザIMPUおよびAS識別子を持つ鍵生成要求をHSSに送信する。
ASは、ASアクセス要求に含まれたユーザIMPUに基づいて、ASとUEとの間の鍵を生成するためのユーザIMPUおよびAS識別子を持つ鍵生成要求を生成し、この鍵生成要求をHSSに送信する。AS識別子は、ドメイン名FQDN(Fully Qualified Domain Name, 完全修飾ドメイン名)、あるいはASのその他の識別子、例えばAS業務名称、アリアス、IPアドレス情報などであってもよい。本発明の実施形態においては、AS識別子がASドメイン名であることを例として説明する。ASドメイン名はASの固有属性となり、ASドメイン名がASにより異なる。
ステップs203:HSSは、ASからの鍵生成要求を受信し、鍵生成要求に含まれたユーザIMPUおよびASドメイン名に基づいて鍵H(A1)を生成する、あるいはユーザIMPU、ASドメイン名および付加パラメータに基づいて鍵H(A1)を生成する。
HSSは、ASからのユーザIMPUおよびAS識別子を持つ鍵生成要求を受信し、鍵生成要求に含まれたユーザIMPUおよびASドメイン名に基づいて、HTTP Digestプロトコル定義で鍵H(A1)を計算して生成する。
あるいは、HSSは、ユーザIMPU、ASドメイン名および付加パラメータに基づいて、HTTP Digestプロトコル定義で鍵H(A1)を計算して生成する。付加パラメータは具体的に、ユーザパスワード、乱数、有効期間および一定の文字列のうち1つ以上である。
以下、HSSがユーザIMPU、ASドメイン名およびユーザパスワードに基づき鍵H(A1)を生成することを説明する。なお、説明すべきことは、ASとUEとの間で鍵を生成し認証を行う際に、HSSとUEとの間に共有する情報を鍵生成の素材としてもよいことである。例えば、HSSとUEとが協定した同じアルゴリスムで算出した鍵、ユーザの特徴情報などを鍵生成の素材としてもよい。具体的な内容は省略する。
ステップs204:HSSは生成された鍵H(A1)をASに送信する。
ステップs205: ASは受信した鍵H(A1)に基づいてUEを認証する。
ASは受信した鍵H(A1)に基づいて、UEとHTTP Digest認証プロセスを実行する。
例えば、ASは、ネットワーク側のHSSからの、HSSによりユーザIMPU、ASドメイン名およびユーザパスワードに基づいて生成された鍵H(A1)を受信する。ASとUEとの間の認証中では、UEはASと同じアルゴリスムで鍵H(A1)を計算し、具体的には、UEは、ユーザによるIMSアクセス認証のユーザパスワードおよびユーザIMPU、またUEによるアクセスに必要となるASドメイン名を取得し、UEは取得したユーザパスワード、ユーザIMPUおよびASドメイン名に基づいて鍵を生成し、UEにより生成された鍵とASにより受信された鍵H(A1)とが一対一対応している。
このため、UEとASとの間の認証中では、UEは複数のASとの間に対応する鍵を保持する必要がなくなり、UEは認証する必要がある場合に鍵を生成することが可能で、この鍵の生成に使われるアルゴリスムおよび鍵生成素材がHSSによりASへの送信する鍵を生成する際に使われるものと同じであり、UEにより生成された鍵とASにより受信された鍵とが一対一対応しているため、UE側の開発複雑さおよび安全性要求を下げ、コストを低減することができる。
本発明の実施形態3によれば、認証方法を提供する。この認証方法において、ASがUEからのユーザ識別子を持つASアクセス要求を受信し、ユーザ識別子に基づいて鍵生成要求をネットワーク側のゲートウェイ機器、例えばAG(Access Gateway、アクセスゲートウェイ)に送信し、AGを介してネットワーク側の認証サーバ例えばHSSと互いに鍵のやり取りを行い、図3に示すように、下記のステップを含む:
ステップs301:UEはユーザIMPUを持つASアクセス要求をASに送信する。
ステップs302:ASはユーザIMPUおよびASドメイン名を持つ鍵生成要求をAGに送信する。
ASはユーザIMPUおよびASドメイン名を持つ鍵生成要求をAGに送信する。
ステップs303:AGはユーザIMPUおよびASドメイン名を持つ認証データ要求をHSSに送信する。
AGは鍵生成要求に基づいてユーザIMPUおよびASドメイン名を持つ認証データ要求を生成してHSSに送信する。具体的には、AGからHSSへ送信する認証データ要求はユーザIMPUおよびASドメイン名を持つMAR要求であってもよい。ただし、AGとHSSとの間のインタフェースMAR要求は、標準的なCxインタフェースによるMAR要求の上で、更にASドメイン名を追加したものである。
説明する必要があるのは、AGはASからのユーザIMPUおよびASドメイン名を持つ鍵生成要求、AGはユーザIMPUおよびASドメイン名を持つ認証データ要求をHSSへ送信することである。そのうち、AGは受信したユーザIMPUおよびASドメイン名に対して処理せず、プロキシASにより要求をHSSへ送信することによりHSSによる鍵生成を起動することで、AGにより、ASとIMSコアネットとの間の通信を実現することになる。
本発明の実施形態においては、ASはAGを介してIMSコアネットにアクセスすることにより鍵生成を要求するので、複数のASからIMSコアネットに直接にアクセスする際にIMSコアネットの負荷に影響を与えることを避け、さらに複数ASからIMSコアネットに頻繁にアクセスすることによるIMSコアネットの非安定性を避けることができる、またASが非安全の状態にある場合、非安全のASからIMSコアネットへ直接アクセスする際にIMSコアネットの安全性に悪い影響を与えることを避けることもできる。
ステップs304:HSSは鍵H(A1)を生成する。具体的には、HSSは、ユーザIMPUおよびASドメイン名に基づいて鍵H(A1)を生成する、あるいはユーザIMPU、ASドメイン名および付加パラメータに基づいて鍵H(A1)を生成する。付加パラメータは乱数、有効期間、ゲートウェイ機器識別子および一定の文字列のうち1以上である。
例えば、HSSはユーザIMPU、ASドメイン名および付加パラメータ(ユーザパスワードおよび乱数など)を鍵生成の素材とし、HTTP Digestプロトコル定義で鍵H(A1)を計算して生成する。
本ステップにおいては、鍵H(A1)はユーザパスワード、ユーザIMPU、ASドメイン名および付加パラメータに基づいて生成されるため、取得した鍵H(A1)はASドメイン名およびユーザと関連付けている。同一のユーザが業務処理を行う際に、UEは複数のASとの間に認証をする必要があり、AS毎に鍵を生成する必要があり、ASドメイン名はASにより異なるため、同一のユーザに対応する複数のASの間で生成された鍵は異なるが、ASドメイン名を利用して鍵H(A1)を計算することにより、同一のユーザに対して複数のASとの間の鍵の唯一性を保持することができ、あるASが攻撃されても、他のASの安全性に影響を与えられない。
ステップs305:HSSは鍵H(A1)をAGに送信する。
ステップs306:AGは鍵H(A1)をASに送信する。
AGはHSSからの鍵H(A1)を受信し、鍵H(A1)をさらに処理せず、受信した鍵H(A1)をそのままASに送信する。ASはこの鍵をASとUEとの認証プロセスに利用する。
ステップs307:ASは受信した鍵H(A1)に基づいてUEを認証する。
ASはAGからの鍵H(A1)を受信する。鍵H(A1)はユーザおよびASに関連付けられ、具体的には、同一のUEと複数のASとの認証中では、各ASは異なるASドメイン名を有し、各ASに対応する鍵H(A1)が唯一となるため、ASは鍵H(A1)を用いて直接に認証を行え、つまりASは直接に鍵H(A1)を用いてUEとの間のHTTP Digest認証プロセスを起動する。
ASはUEとの間の鍵をさらに生成する必要となれば、同じアルゴリスムを採用して鍵H(A1)からセッション鍵Session Keyを派生するようにUEと協定し、ASとUEとの間ではセッション鍵Session Keyにより認証を行う。ASとUEとの認証プロセスの詳細は省略する。
説明する必要があるのは、本発明の実施形態において、AGによりASとIMSコアネットとの間の通信が実現されることである。具体的には、ASがUEとの間の鍵を生成する必要となる場合、AGはASからの鍵生成要求を受信し、ユーザIMPU及びASドメイン名を持つ認証データ要求をHSSに送信する。AGはHSSにより認証データ要求に基づいて生成された鍵H(A1)を受信してこの鍵H(A1)をASに送信する。このため、鍵H(A1)の生成中に、ASの代わりに、AGはIMSコアネットに接続し、ASとHSSとの間のデータのやり取りを担う。
本発明の実施形態4は認証方法を提供する。この認証方法では、ネットワーク側のゲートウェイ機器、例えばAGは、ASからの鍵生成要求を受信し、ネットワーク側の認証サーバ、例えばHSSに送信する。AGはHSSにより生成された第1の鍵を受信し、第1の鍵に基づいて第2の鍵を生成し、生成された第2の鍵をASに送信する。図4に示すように、下記のステップが含まれる。
ステップs401:USは、ユーザIMPUを持つASアクセス要求を送信する。
ステップs402:ASは、ユーザIMPU及びASドメイン名を持つ鍵生成要求をAGに送信する。
ステップs403:AGは、ユーザIMPUを持つ認証データ要求をHSSに送信する。
本ステップにおいては、AGはASからのユーザIMPU及びASドメイン名を持つ鍵生成要求を受信する。AGは、鍵生成要求に基づいて、ユーザIMPUのみを持つ認証データ要求をHSSへ送信する。
ステップs404:HSSは第1の鍵H(A1)を生成する。具体的には、HSSは、認証データ要求に含まれたユーザIMPUに基づいて、第1の鍵H(A1)を生成する、或いは認証データ要求に含まれたユーザIMPUおよび付加パラメータに基づいて第1の鍵H(A1)を生成する。この付加パラメータは、乱数、有効期間、ゲートウェイ機器識別子および一定の文字列のうち1つ以上を含む。
例えば、HSSは、AGからのユーザIMPUを持つ認証データ要求を受信し、ユーザIMPU、ユーザパスワード及び付加パラメータに基づいて第1の鍵H(A1)を生成する。第1の鍵H(A1)の生成中に、ASドメイン名が第1の鍵H(A1)の生成素材ではないので、生成された第1の鍵H(A1)はASドメイン名と関係がない。ユーザが複数のASと業務処理を行う際に、同一のユーザに対して、ユーザと認証を行うASドメイン名が変化しても、HSSにより生成された第1の鍵H(A1)は一定の値となり、第1の鍵H(A1)がユーザのみに関連付けられている。
ステップs405:HSSは第1の鍵H(A1)をAGに送信する。
HSSからAGに送信する第1の鍵H(A1)はユーザのみに関連付けられて、ASとの関連付けがない。
ステップs406:AGは第2の鍵H(A1)’を生成する。具体的には、AGは、第1の鍵H(A1)及びASドメイン名に基づいて、第2の鍵H(A1)’を生成する、或いは第1の鍵H(A1)、ASドメイン名および付加パラメータに基づいて、第2の鍵H(A1)’を生成する。この付加パラメータは、ユーザパスワード、乱数、有効期間、ゲートウェイ機器識別子および一定の文字列のうち1つ以上を含む。
AGは受信した第1の鍵H(A1)およびASドメイン名に基づいて、第2の鍵H(A1)’を生成する。ただし、AGが受信した鍵生成要求にはASドメイン名が含まれている。このため、第1の鍵およびASドメイン名に基づいて生成された第2の鍵H(A1)’はユーザ及びASに関連付けられており、AS毎が唯一の第2の鍵H(A1)’に対応し、ASは第2の鍵H(A1)’を用いてUEとの間で認証を行う。
ステップs407:AGは第2の鍵H(A1)’をASに送信する。
AGからASに送信した第2の鍵H(A1)’はユーザ及びASに関連付けられており、異なるASに対応すれば、取得した第2の鍵H(A1)’も異なる。第2の鍵H(A1)’の唯一性に基づいて、ASは第2の鍵H(A1)’を用いてUEと認証を行う。
ステップs408:ASは受信した第2の鍵H(A1)’に基づいて、UEに対して認証を行う。
説明する必要があるのは、本発明の実施形態において、AGはASからの鍵生成要求に基づいて、ユーザIMPUを持つ認証データ要求をHSSに送信する。HSSは、ユーザIMPUに基づいて、第1の鍵H(A1)を生成する。第1の鍵H(A1)はユーザのみに関連付けられており、ASに関連付けられていない。HSSは第1の鍵H(A1)をAGに送信する。AGは第1の鍵H(A1)及びASドメイン名に基づいて、AS及びユーザに関連付けられている第2の鍵H(A1)’を生成する。ASは第2の鍵H(A1)’を受信すると、第2の鍵H(A1)’を用いてUEとの間に認証を行う。このため、本発明の実施形態においては、AGは、ASとIMSコアネットとの間のデータ伝送だけでなく、IMSコアネットから返信された第1の鍵H(A1)、及び鍵生成要求に含まれたASドメイン名に基づいて、ASとUEとの間の認証のために、第2の鍵H(A1)’を生成してASに送信する必要もある。
本発明の実施形態5によれば認証方法を提供する。この認証方法では、ネットワーク側のゲートウェイ機器、例えばAGは予め認証サーバ例えばHSSから第1の鍵を取得して記憶しており、ASからの鍵生成要求を受信した場合、予め取得した第1の鍵に基づいて第2の鍵を生成してASに送信する。図5に示すように、下記のステップが含まれる。
ステップs501:UEは、ユーザIMPUを持つASアクセス要求を送信する。
ステップs502:ASは、鍵の認証を要求するガイド情報をUEに送信する。
ステップs503:UEは、ユーザIMPUを持つ鍵合意要求をAGに送信する。
ステップs504:AGは、ユーザIMPU、或いはユーザIMPU及びASドメイン名を持つ認証データ要求をHSSに送信する。
認証データ要求には、ユーザIMPU及びAG識別子、或いはユーザIMPU及びASドメイン名及びAG識別子が含まれることが望ましい。
ステップs505:HSSは、第1の鍵H(A1)を生成する。
具体的には、HSSは、認証データ要求に含まれたユーザIMPUに基づいて、第1の鍵H(A1)を生成する、或いは認証データ要求に含まれたユーザIMPU及び付加パラメータに基づいて、第1の鍵H(A1)を生成することができる。この付加パラメータは、ユーザパスワード、乱数、有効期間、ゲートウェイおよび一定の文字列のうち1つ以上を含む。
例えば、HSSは、AGからの、ユーザIMPUを持つ認証データ要求を受信し、ユーザIMPU、ユーザパスワード及び付加パラメータに基づいて第1の鍵H(A1)を生成する。第1の鍵H(A1)の生成中に、ASドメイン名が第1の鍵H(A1)の生成素材ではないので、生成された第1の鍵H(A1)はASドメイン名と関係がない。ユーザが複数のASと業務処理を行う際に、同一のユーザに対して、ユーザと認証を行うASドメイン名が如何に変化しても、HSSにより生成された第1の鍵H(A1)は一定の値となり、第1の鍵H(A1)がユーザのみに関連付けられている。
ステップs506: HSSは第1の鍵H(A1)をAGに送信する。
HSSからAGに送信した第1の鍵H(A1)はユーザのみに関連付けられており、ASと関連付けがない。
AGは第1の鍵H(A1)を取得すると、この第1の鍵H(A1)を記憶する。
ステップs507:AGは乱数についてUEと合意する。
例えば、AGは、1つの乱数を持つチャレンジ情報をUEに送信する。UEは、チャレンジ応答情報を送信することで、AGからのチャレンジ情報に直接に応答する、或いは、UEは、補正後或いは選択し直した乱数を持つチャレンジ応答情報をAGに送信する。
ステップs508:AGは、合意した乱数に基づいて、鍵の算出の中間結果を生成する。
例えば、AGは、UEからのチャレンジ応答情報に応じて、自身から送信したチャレンジ情報に含まれた、乱数、補正後の乱数、或いはUEにより選択し直した乱数のいずれを採用するかを確定し、第1の鍵に基づいて算出することにより、鍵の算出の中間結果を取得する。
前記のステップs507、ステップs508は省略でき、AGによりステップs507、ステップs508を実行して中間結果を計算した後、この中間結果を記憶し、200OKというメッセージをUEに返信する。
ステップs509:UEは、業務要求のための第2の鍵を算出する。
UEは、自身の持つユーザIMPUに基づいて、第1の鍵H(A1)を生成する、或いは自身の持つユーザIMPU及び付加パラメータに基づいて、第1の鍵H(A1)を生成する。この付加パラメータは、ユーザパスワード、乱数、有効期間、ゲートウェイ機器識別子および一定の文字列のうち1つ以上を含む。
第1の鍵H(A1)に基づいて第2の鍵を算出は、具体的に第1の鍵及びASドメイン名に基づいて、第2の鍵を算出する。ステップs507、ステップs508を実行する場合、第1の鍵、合意した乱数及びASドメイン名に基づいて、第2の鍵を算出する。具体的には、まず第1の鍵及び合意した乱数に基づいて、鍵の算出のための中間結果を算出し、次に、中間結果及びASドメイン名に基づいて第2の鍵を算出する。このASドメイン名は1種のAS識別子となる。
ステップs510:UEは、ユーザIMPUを持つASアクセス要求を送信する。
UEは、計算された2の鍵を用いて情報を暗号化してASに送信する。
ステップs511:ASは、鍵生成要求をAGに送信する。
ASは、ユーザIMPU及びASドメイン名を持つ鍵生成要求を生成し、ネットワーク側のゲートウェイ機器AGに送信する。
ステップs512:AGは、ユーザ識別子及び第1の鍵に基づいて、第2の鍵を生成する。
本実施形態においては、AGは、第2の鍵H(A1)’を生成する。具体的には、AGは、予めHSSから取得した第1の鍵H(A1)及びASドメイン名に基づいて、第2の鍵H(A1)’を生成する、或いは第1の鍵H(A1)、ASドメイン名及び付加パラメータに基づいて、第2の鍵H(A1)’を生成する。この付加パラメータは、ユーザパスワード、乱数、有効期間、ゲートウェイ機器識別子および一定の文字列のうち1つ以上を含む。
予めHSSから取得した第1の鍵は、UEからの鍵合意要求を受信した時に取得した第1の鍵H(A1)であってもよい。
乱数に基づいて算出する場合、上記のステップs507により合意して乱数を取得し、これについては、ステップs508で中間結果を生成すると、中間結果及びASドメイン名に基づいて直接に第2の鍵H(A1)’を算出し、中間結果がなければ、ステップs507により合意した乱数及び第1の鍵H(A1)に基づいて、鍵の計算のための中間結果を算出し、中間結果及びASドメイン名に基づいて第2の鍵H(A1)’を算出することにより、第1の鍵H(A1)、乱数及びASドメイン名に基づいて第2の鍵H(A1)’を算出する。
前記AGは、受信した第1の鍵H(A1)及びASドメイン名に基づいて、第2の鍵H(A1)’を生成する。ただし、AGにより受信された鍵生成要求には、ASドメイン名が含まれているため、第1の鍵及びASドメイン名に基づいて生成された第2の鍵H(A1)’は、ユーザ及びASに関連付けられており、各ASが唯一の第2の鍵H(A1)’に対応する。ASは、第2の鍵H(A1)’を利用してUEとの間で認証を行う。
ステップs513:生成された第2の鍵H(A1)’をASに送信する。
AGからASに送信された第2の鍵H(A1)’はユーザ及びASに関連付けられており、異なるASに対応すれば、取得した第2の鍵H(A1)’は異なる。第2の鍵H(A1)’の唯一性に基づいて、ASは第2の鍵H(A1)’を用いてUEと認証を行う。
ステップs514:ASは受信した第2の鍵に基づいて、UEに対して認証を行う。
ASは、第2の鍵を利用してデータを暗号化して伝送し、UEとの間で暗号化データのやり取りをしてもよい。
つまり、本実施形態においては、ASによりネットワーク側からの、ユーザ識別子、AS識別子及び付加パラメータ基づいて生成された鍵を受信することは、ゲートウェイ機器により、第1の鍵について、AS識別子および付加パラメータに基づいて、鍵を生成してASに送信することを含む。第1鍵は、ゲートウェイ機器がユーザデバイスからの鍵合意要求を受信した時、前記ユーザ識別子を持つ認証データ要求を認証サーバに送信し、認証サーバにより前記ユーザ識別子に基づいて第1の鍵を生成して記憶する点で、実施形態4と異なる。
説明する必要があるのは、本発明の実施形態において、AGはASからの鍵生成要求に基づいて、AGは、UEと鍵の合意中、認証データ要求をHSSに送信する。AGは、HSSから取得したHSSによりユーザIMPUに基づいて生成された第1の鍵H(A1)及びASドメイン名に基づいて第2の鍵H(A1)’を生成する。第1の鍵H(A1)はユーザのみに関連付けられており、ASに関連付けられていなく、第2の鍵H(A1)’はAS及びユーザに関連付けられている。ASは、第2の鍵H(A1)’を受信した後に、この第2の鍵H(A1)’を利用してUEとの間に認証を行う。このため、本発明の実施形態においては、AGは、ASとIMSコアネットとの間のデータ伝送だけでなく、IMSコアネットから予め取得された第1の鍵H(A1)、及び鍵生成要求に含まれたASドメイン名に基づいて、ASとUEとの間の認証のために、第2の鍵H(A1)’を生成してASに送信する必要がある。
本発明の実施形態により提供される認証方法は、カードを有さない端末とASとの間で鍵を生成し、この鍵を利用してASとUEとの間に認証を行うことにより、従来の技術におけるカードを有さない端末とASとの間の認証を行うことができないという問題を解決することができる。
本発明の実施形態においては、AGによりASとIMSコアネットとの間のデータのやり取りを実現するため、複数のASがIMSコアネットを直接にアクセスする際にIMSコアネットの負荷に対する影響、また複数のASのIMSコアネットに対する頻繁にアクセスによる不安定を避けることができる。なお、ASが非安全状態となる場合、ASがIMSコアネットに直接にアクセスすることによるIMSコアネットの安全性に対する悪い影響を避けることができる。
また、ASとUEとの間の鍵はユーザパスワードを鍵の生成の素材とすることができるが、ASでは受信した鍵からユーザパスワードを逆に推定することができないので、ASが非安全状態となる場合でも、ユーザの安全性にも影響を与えず、IMSネットワーク全体の安全性にも影響しない。
さらに、ASとUEとの間で認証を行う鍵は、ユーザ識別子、AS識別子及び附加パラメータに基づいて生成されるものである。同一のユーザが複数の業務処理を行う場合、同一のユーザに対応する複数のASの間で生成される鍵が異なるため、ASドメイン名を利用して鍵H(A1)を算出することにより、同一のユーザと複数のASとの間の鍵の唯一性を保証でき、1つのASが攻撃されても、ユーザの他の業務の安全性に影響を与えない。
説明するする必要があるのは、本発明の実施形態においては、ASとUEとの間で鍵を生成するプロセスがASとUEとの間の通信プロトコルと関係なく、IMS ASでも、非IMS ASでも適用することができ、適用範囲が広い。本発明の実施形態における認証サーバはIMSにおけるHSSであってよく、その他の認証システムにおける、ユーザパスワードを管理する機器、例えばRadius/AAAサーバなどであってもよい。
本発明の実施形態による認証方法によれば、カードを有さない端末とASとの間で鍵を生成し、ASによりこの鍵を利用してUEに対して認証を行うことにより、データ伝送の安全性をあげられるとともに、従来の技術におけるカードを有さない端末とASとの間の認証を行うことができないという問題を解決することができる。
本発明の実施形態による認証システムは、UEからの、ユーザ識別子を持つASアクセス要求を受信し、ユーザ識別子基づいて、ユーザ識別子及びAS識別子を持つ鍵生成要求を生成してネットワーク側の認証サーバに送信し、認証サーバからの鍵を受信し、鍵に基づいてUEに対して認証を行うASと、ASからの、ユーザ識別子及びAS識別子を持つ鍵生成要求を受信し、ユーザ識別子及びAS識別子に基づいて鍵を生成してASに送信する認証サーバとを含む。
前記認証サーバは、ユーザ識別子、AS識別子及び附加パラメータに基づいて鍵を生成してASに送信することが望ましい。
本発明の実施形態による認証システムは、UEからの、ユーザ識別子を持つASアクセス要求を受信し、ユーザ識別子基づいて、ユーザ識別子及びAS識別子を持つ鍵生成要求を生成してネットワーク側のゲートウェイ機器に送信し、ゲートウェイからの鍵を受信し、この鍵に基づいてUEに対して認証を行うASと、ASからの、ユーザ識別子及びAS識別子を持つ鍵生成要求を受信し、ユーザ識別子及びAS識別子を持つ認証データ要求を生成して認証サーバに送信し、認証サーバからの鍵を受信してASに送信する、或いは、ASからの、ユーザ識別子及びAS識別子を持つ鍵生成要求を受信し、ユーザ識別子を持つ認証データ要求を生成して認証サーバに送信し、認証サーバからの第1の鍵を受信し、第1の鍵およびAS識別子に基づいて鍵を生成してASに送信するゲートウェイ機器と、ゲートウェイ機器からの、ユーザ識別子及びAS識別子を持つ認証データ要求を受信し、ユーザ識別子及びAS識別子に基づいて鍵を生成してゲートウェイ機器に送信する認証サーバとを含む。
望ましくは、前記ゲートウェイ機器は、第1の鍵、AS識別子及び附加パラメータ基づいて、鍵を生成してASに送信する、或いは第1の鍵、AS識別子及び附加パラメータ基づいて、鍵を生成してASに送信し、ただし第1の鍵は、ゲートウェイ機器がユーザデバイスからの鍵合意要求を受信したときに前記ユーザ識別子を持つ認証データ要求を認証サーバに送信して、前記認証サーバにより前記ユーザ識別子に基づいて生成された第1の鍵を受信して記憶したものである。
また、望ましくは、前記認証サーバは、ユーザ識別子、AS識別子及び附加パラメータに基づいて鍵を生成してASに送信する、或いはゲートウェイ機器からの、ユーザ識別子を持つ認証データ要求を受信し、ユーザ識別子に基づいて鍵を生成してゲートウェイ機器に送信する。
本発明の実施形態によれば、ASを提供する。図6に示すように、本発明の実施形態によるASの構成を示す図であり、このASにおいて、UEからの、ユーザ識別子を持つASアクセス要求を受信し、ユーザ識別子基づいて、ユーザ識別子及びAS識別子を持つ鍵生成要求を生成してネットワーク側に送信し、ネットワーク側からの鍵を受信する送受信モジュール51と、送受信モジュール51により受信された鍵に基づいて、UEに対して認証を行う認証モジュール52とを含む。
本発明の実施形態によれば、認証サーバを提供する。図7に示すように、本発明の実施形態による認証サーバの構成を示す図であり、この認証サーバにおいて、ASからの、ユーザ識別子及びAS識別子を持つ鍵生成要求を受信する、或いはゲートウェイ機器からの、ユーザ識別子及びAS識別子を持つ認証データ要求を受信する、或いは、ゲートウェイ機器からの、ユーザ識別子を持つ認証データ要求を受信する受信モジュール61と、受信モジュール61によりASからのユーザ識別子およびAS識別子を持つ鍵生成要求を受信した場合、ユーザ識別子及びAS識別子に基づいて鍵を生成する、或いは、受信モジュール61によりゲートウェイ機器からのユーザ識別子およびAS識別子を持つ認証データ要求を受信した場合、ユーザ識別子及びAS識別子に基づいて鍵を生成する、或いは、受信モジュール61によりゲートウェイ機器からのユーザ識別子を持つ認証データ要求を受信した場合、ユーザ識別子に基づいて鍵を生成する生成モジュール62と、生成モジュール62により生成された鍵を送信する送信モジュール63とを含む、前記生成モジュール62において、ユーザ識別子、AS識別子及び附加パラメータに基づいて鍵を生成してASに送信することが望ましい。
本発明の実施形態によれば、ゲートウェイ機器を提供する。図8に示すように、本発明の実施形態によるゲートウェイ機器の構成を示す図であり、このゲートウェイ機器において、ASからの、ユーザ識別子及びAS識別子を持つ鍵生成要求を受信し、認証サーバからの鍵を受信する受信モジュール71と、ユーザ識別子およびAS識別子を持つ認証データ要求を生成する、或いは、ユーザ識別子を持つ認証データ要求を生成し、受信モジュール71により認証サーバから受信した鍵及びAS識別子に基づいて鍵を生成する生成モジュール72と、生成モジュール72により生成されたユーザ識別子及びAS識別子を持つ認証データ要求を認証サーバに送信し、認証サーバから受信した鍵をASに送信する、或いは、生成モジュール72により生成されたユーザ識別子を持つ認証データ要求を認証サーバに送信し、生成モジュール72により生成された鍵をASに送信する送信モジュール73とを含む、前記生成モジュール72において、ユーザ識別子、AS識別子及び附加パラメータに基づいて鍵を生成してASに送信することが望ましい。
本発明の実施形態によれば、カードを有さない端末とASサーバとの間で鍵を生成し、生成された鍵を用いてASによりUEに対して認証を行うことで、データ伝送の安全性をあげることができる認証システム及び装置を提供する。
上記の実施形態の記述により、当業者にとっては、ソフトウェアと必要な汎用のハードウェアとの組み合わせにより本発明を実現することができるが、ハードウェアにより実現してもよいことを明らかである。前者が望ましくなる場合が多い。これにより、本発明の技術的解決方法は、本質的に、または従来の技術に対して貢献をした部分がソフトウェア製品の形で実現することができる。このコンピュータソフトウェア製品は、記憶媒体に記憶され、端末機器(携帯電話、パソコン、サーバ、あるいはネットワーク機器など)に、本発明の各実施形態による方法を実現させるいくつの指令を含む。
以上は、本発明の最適な実施形態のみである。当業者にとっては、本発明の旨を超えない範囲で、いくつの改良及び変更ができる。これらの改良及び変更も本発明の保護範囲として見なされるというべきである。
51 送受信モジュール
52 認証モジュール
61 受信モジュール
62 生成モジュール
63 送信モジュール
71 受信モジュール
72 生成モジュール
73 送信モジュール

Claims (3)

  1. アプリケーションサーバASが、ユーザ端末UEからの、ユーザ識別子を持つASアクセス要求を受信するステップと、
    前記ASが、前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成して、ネットワーク側に送信するステップと、
    前記ASが、前記ネットワーク側からの、前記ユーザ識別子、前記AS識別子および付加パラメータに基づいて生成された鍵を受信するステップと、
    前記ASが、前記鍵に基づいて前記UEを認証するステップとを含み、前記ASが前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成してネットワーク側に送信するステップは、前記ASが前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成して、ゲートウェイ機器に送信するステップであり、
    前記ASがネットワーク側からの前記ユーザ識別子、前記AS識別子および付加パラメータに基づいて生成された鍵を受信するステップは、
    前記ゲートウェイ機器が、前記ユーザ識別子を持つ認証データ要求を生成して、認証サーバに送信するステップと、
    前記認証サーバが、前記ユーザ識別子に基づいて第1の鍵を生成して、前記ゲートウェイ機器に送信するステップと、
    前記ゲートウェイ機器が、前記第1の鍵、前記AS識別子および付加パラメータに基づいて鍵を生成して、前記ASに送信するステップとを含む
    ことを特徴とする認証方法。
  2. 前記認証サーバが、前記ユーザ識別子に基づいて第1の鍵を生成するステップは、前記認証サーバが、前記ユーザ識別子および付加パラメータに基づいて鍵を生成するステップであり、前記付加パラメータはユーザパスワード、乱数、有効期間、ゲートウェイ機器識別子および一定の文字列のうち1つ以上を含み、
    前記ゲートウェイ機器は、前記第1の鍵、AS識別子および付加パラメータに基づいて鍵を生成し、この付加パラメータは乱数、有効期間、ゲートウェイ機器識別子および一定の文字列のうち1つ以上を含む
    ことを特徴とする請求項1に記載の認証方法。
  3. アプリケーションサーバASが、ユーザ端末UEからの、ユーザ識別子を持つASアクセス要求を受信するステップと、
    前記ASが、前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成して、ネットワーク側に送信するステップと、
    前記ASが、前記ネットワーク側からの、前記ユーザ識別子、前記AS識別子および付加パラメータに基づいて生成された鍵を受信するステップと、
    前記ASが、前記鍵に基づいて前記UEを認証するステップとを含み、前記ASが前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成してネットワーク側に送信するステップは、前記ASが前記ユーザ識別子およびAS識別子を持つ鍵生成要求を生成してゲートウェイ機器に送信するステップであり、
    前記ASが、ネットワーク側からの前記ユーザ識別子、前記AS識別子および付加パラメータに基づいて生成された鍵を受信するステップは、前記ゲートウェイ機器が、第1の鍵、前記AS識別子および付加パラメータに基づいて鍵を生成して、ASに送信するステップであり、
    前記第1の鍵は、前記ゲートウェイ機器がユーザデバイスからの鍵合意要求を受信したときに前記ユーザ識別子を持つ認証データ要求を認証サーバに送信し、前記認証サーバにより前記ユーザ識別子に基づいて生成された第1の鍵を受信して記憶したものである
    ことを特徴とする認証方法。
JP2012546310A 2009-12-28 2010-12-28 認証方法、システムおよび装置 Active JP5709322B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN2009102435948A CN102111759A (zh) 2009-12-28 2009-12-28 一种认证方法、系统和装置
CN200910243594.8 2009-12-28
PCT/CN2010/002188 WO2011079522A1 (zh) 2009-12-28 2010-12-28 一种认证方法、系统和装置

Publications (2)

Publication Number Publication Date
JP2013516121A JP2013516121A (ja) 2013-05-09
JP5709322B2 true JP5709322B2 (ja) 2015-04-30

Family

ID=44175755

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012546310A Active JP5709322B2 (ja) 2009-12-28 2010-12-28 認証方法、システムおよび装置

Country Status (6)

Country Link
US (1) US8880873B2 (ja)
EP (1) EP2521304B1 (ja)
JP (1) JP5709322B2 (ja)
KR (1) KR101461455B1 (ja)
CN (1) CN102111759A (ja)
WO (1) WO2011079522A1 (ja)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10103887B2 (en) * 2010-12-21 2018-10-16 Koninklijke Kpn N.V. Operator-assisted key establishment
CN103024735B (zh) * 2011-09-26 2015-07-01 中国移动通信集团公司 无卡终端的业务访问方法及设备
US10404615B2 (en) 2012-02-14 2019-09-03 Airwatch, Llc Controlling distribution of resources on a network
US9680763B2 (en) 2012-02-14 2017-06-13 Airwatch, Llc Controlling distribution of resources in a network
CN102833417B (zh) * 2012-08-30 2014-07-09 锐迪科科技有限公司 省略用户识别模块的通信终端
CN104038935B (zh) * 2013-03-06 2018-04-24 北京分享在线网络技术有限公司 基于移动终端智能卡的用户认证方法及设备
US20140280955A1 (en) 2013-03-14 2014-09-18 Sky Socket, Llc Controlling Electronically Communicated Resources
US9401915B2 (en) * 2013-03-15 2016-07-26 Airwatch Llc Secondary device as key for authorizing access to resources
KR102116066B1 (ko) * 2013-06-28 2020-06-05 삼성전자 주식회사 연결된 단말의 접근 관리 방법 및 장치
CN104778421A (zh) * 2014-01-13 2015-07-15 全宏科技股份有限公司 数据安全加密方法、用以加密或认证的数据安全系统及数据载体
KR20150096979A (ko) * 2014-02-17 2015-08-26 한국전자통신연구원 홈 네트워크 접근 제어 장치 및 방법
WO2015137745A1 (en) * 2014-03-12 2015-09-17 Samsung Electronics Co., Ltd. System and method of encrypting folder in device
US9584964B2 (en) 2014-12-22 2017-02-28 Airwatch Llc Enforcement of proximity based policies
US9413754B2 (en) 2014-12-23 2016-08-09 Airwatch Llc Authenticator device facilitating file security
US20160261576A1 (en) * 2015-03-05 2016-09-08 M-Files Oy Method, an apparatus, a computer program product and a server for secure access to an information management system
US9717004B2 (en) * 2015-03-17 2017-07-25 Qualcomm Incorporated Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials
US9692598B2 (en) * 2015-08-07 2017-06-27 Terry L. Davis Multi-use long string authentication keys
KR101680536B1 (ko) 2015-10-23 2016-11-29 한남석 기업용 모바일 업무데이터 보안 서비스 방법 및 그 시스템
CN105323251A (zh) * 2015-11-13 2016-02-10 飞天诚信科技股份有限公司 一种实现语音播报认证的方法及其云认证服务器
CN108353279B (zh) * 2016-07-14 2020-08-14 华为技术有限公司 一种认证方法和认证系统
FR3077175A1 (fr) * 2018-01-19 2019-07-26 Orange Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif
US10326797B1 (en) * 2018-10-03 2019-06-18 Clover Network, Inc Provisioning a secure connection using a pre-shared key
US11139985B2 (en) * 2018-12-04 2021-10-05 Journey.ai Receiving information through a zero-knowledge data management network
EP4284044A3 (en) 2019-04-29 2024-02-21 Telefonaktiebolaget LM Ericsson (publ) Handling of multiple authentication procedures in 5g
WO2021125403A1 (ko) * 2019-12-20 2021-06-24 엘지전자 주식회사 무선 통신 시스템에서 서버를 이용한 v2x 통신을 보호하기 위한 방법
CN111050324B (zh) * 2019-12-30 2023-04-14 江苏全链通信息科技有限公司 5g终端设备接入方法、设备及存储介质
CN111901215B (zh) * 2020-07-31 2022-10-18 智车优行科技(北京)有限公司 多总线混合路由方法及网关装置
WO2024000121A1 (zh) * 2022-06-27 2024-01-04 北京小米移动软件有限公司 Ims会话方法、装置、通信设备及存储介质

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1300976C (zh) * 2004-01-16 2007-02-14 华为技术有限公司 一种网络应用实体获取用户身份标识信息的方法
GB0409496D0 (en) * 2004-04-28 2004-06-02 Nokia Corp Subscriber identities
KR100995423B1 (ko) * 2005-01-28 2010-11-18 텔레폰악티에볼라겟엘엠에릭슨(펍) 통신 시스템에서 사용자 인증 및 권한 부여
US8046824B2 (en) * 2005-04-11 2011-10-25 Nokia Corporation Generic key-decision mechanism for GAA
CN100550731C (zh) * 2005-06-17 2009-10-14 中兴通讯股份有限公司 一种固网用户到ip多媒体子系统的接入安全系统和方法
US20080215888A1 (en) * 2005-07-07 2008-09-04 Telefonaktiebolaget Lm Ericsson Method and Arrangement For Authentication and Privacy
WO2007062689A1 (en) * 2005-12-01 2007-06-07 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for distributing keying information
CN101005359B (zh) * 2006-01-18 2010-12-08 华为技术有限公司 一种实现终端设备间安全通信的方法及装置
TR201819540T4 (tr) * 2006-07-06 2019-01-21 Nokia Technologies Oy Kullanıcı Ekipmanı Kimlik Bilgisi Sistemi
DE102006042554B4 (de) * 2006-09-11 2009-04-16 Siemens Ag Verfahren und System zum kontinuierlichen Übertragen von verschlüsselten Daten eines Broadcast-Dienstes an ein mobiles Endgerät
US8069346B2 (en) * 2006-11-15 2011-11-29 Certicom Corp. Implicit certificate verification
JP4909773B2 (ja) * 2007-03-16 2012-04-04 日本電気株式会社 ホーム加入者サーバ構成方法、構成システム、プログラム及び記憶媒体
JP2008236183A (ja) * 2007-03-19 2008-10-02 Nec Corp 呼セッション制御サーバ割り当て方法および呼セッション制御サーバ割り当てシステム
CN101272297B (zh) * 2007-03-20 2011-10-26 中兴通讯股份有限公司 一种WiMAX网络用户EAP认证方法
JP5161296B2 (ja) * 2007-03-26 2013-03-13 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 不正な加入者によるアクセスを防止する広告サービスシステム
CN101364909B (zh) * 2007-08-07 2011-04-13 华为技术有限公司 无卡设备接入个人网络的方法、装置及系统
CN101437226B (zh) * 2007-09-04 2012-11-07 财团法人工业技术研究院 提供安全通信之方法、提供安全通信之系统、中继站、以及基站
US20090259849A1 (en) * 2008-04-10 2009-10-15 Igor Faynberg Methods and Apparatus for Authenticated User-Access to Kerberos-Enabled Applications Based on an Authentication and Key Agreement (AKA) Mechanism
CN101547095B (zh) * 2009-02-11 2011-05-18 广州杰赛科技股份有限公司 基于数字证书的应用服务管理系统及管理方法

Also Published As

Publication number Publication date
WO2011079522A1 (zh) 2011-07-07
EP2521304A4 (en) 2017-09-06
EP2521304A1 (en) 2012-11-07
JP2013516121A (ja) 2013-05-09
KR20120109580A (ko) 2012-10-08
KR101461455B1 (ko) 2014-11-13
EP2521304B1 (en) 2019-11-27
US20130046971A1 (en) 2013-02-21
US8880873B2 (en) 2014-11-04
CN102111759A (zh) 2011-06-29

Similar Documents

Publication Publication Date Title
JP5709322B2 (ja) 認証方法、システムおよび装置
US10411884B2 (en) Secure bootstrapping architecture method based on password-based digest authentication
EP1879324B1 (en) A method for authenticating user terminal in ip multimedia sub-system
JP5139570B2 (ja) Ipマルチメディア・サブシステムにアクセスする方法および装置
US8578456B2 (en) Authentication in an IP multimedia subsystem network where an in-use line identifier (LID) does not match a registered LID
CN100461942C (zh) Ip多媒体子系统接入域安全机制的选择方法
US10142341B2 (en) Apparatus, system and method for webRTC
US20130227663A1 (en) Method, a system and a network element for ims control layer authentication from external domains
CN102196426B (zh) 一种接入ims网络的方法、装置和系统
WO2007098660A1 (fr) Procédé et système d'authentification d'entités de réseau dans un sous-système multimédia
WO2007009343A1 (fr) Systeme d'autorisation d'acces d'un reseau de communication et son procede
WO2011022999A1 (zh) 一种终端对视频会议数据进行加密的方法及系统
KR20180008411A (ko) 서비스 등록 절차 내에서 다수의 인증을 수행하는 방법
JP5342818B2 (ja) 管理装置、登録通信端末、非登録通信端末、ネットワークシステム、管理方法、通信方法、及びコンピュータプログラム。
US20040043756A1 (en) Method and system for authentication in IP multimedia core network system (IMS)
JP2017512390A (ja) ウェブリアルタイム通信(WebRTC)でのIPマルチメディアサブシステム(IMS)へのアクセスに対するセキュリティ
US11490255B2 (en) RCS authentication
WO2011147258A1 (zh) 一种实现卡鉴权的方法、系统及用户设备
KR102024376B1 (ko) 사물 인터넷 장치의 부트스트랩 방법
Jadoon Evaluation of UICC-based IMS authentication schemes

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131022

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140310

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140610

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140916

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150107

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20150116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150209

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150302

R150 Certificate of patent or registration of utility model

Ref document number: 5709322

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250