JP5775174B2 - 通信ハンドオフのシナリオのための認証およびセキュアチャネルの設定 - Google Patents

通信ハンドオフのシナリオのための認証およびセキュアチャネルの設定 Download PDF

Info

Publication number
JP5775174B2
JP5775174B2 JP2013547709A JP2013547709A JP5775174B2 JP 5775174 B2 JP5775174 B2 JP 5775174B2 JP 2013547709 A JP2013547709 A JP 2013547709A JP 2013547709 A JP2013547709 A JP 2013547709A JP 5775174 B2 JP5775174 B2 JP 5775174B2
Authority
JP
Japan
Prior art keywords
layer
access
server
authentication
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013547709A
Other languages
English (en)
Other versions
JP2014506060A (ja
Inventor
シー.シャー ヨゲンドラ
シー.シャー ヨゲンドラ
チャ インヒョク
チャ インヒョク
アンドレアス シュミット
シュミット アンドレアス
ジェイ.グッチョーネ ルイス
ジェイ.グッチョーネ ルイス
ケース ローレンス
ケース ローレンス
レイチェル アンドレアス
レイチェル アンドレアス
タルガリ ヨウシフ
タルガリ ヨウシフ
Original Assignee
インターデイジタル パテント ホールディングス インコーポレイテッド
インターデイジタル パテント ホールディングス インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by インターデイジタル パテント ホールディングス インコーポレイテッド, インターデイジタル パテント ホールディングス インコーポレイテッド filed Critical インターデイジタル パテント ホールディングス インコーポレイテッド
Publication of JP2014506060A publication Critical patent/JP2014506060A/ja
Application granted granted Critical
Publication of JP5775174B2 publication Critical patent/JP5775174B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Description

本発明は、無線通信に関する。
(関連出願の相互参照)
本出願は、2010年12月30日に出願された米国仮特許出願第61/428,663号の利益を主張し、同出願の内容は参照により全体が本明細書に取り込まれる。
ユーザは、一般に、ネットワーク間を移動しながら1つのサービスを継続して使用することができる。ユーザが、現在のネットワークによってサービスされている場所から、移動先ネットワークによってサービスされている場所に移動する時には、例えばアクセス層でハンドオフを行うことができる。ハンドオフが行われる時、ユーザは、移動しようとする場所にサービスしている移動先ネットワークに対して認証される必要がある場合がある。アクセス層における認証はハンドオフのたびに発生する可能性があり、ユーザ装置は、事前に供給された認証情報を使用してアクセス層で移動先ネットワークにアクセスすることができる。
ユーザの通信装置は、階層化された通信機構を使用して通信することができる。多くの場合、異なる層の通信はそれぞれ独自のセキュリティを必要とする。ハンドオフは、階層化されたネットワーク内の1つのノードと別のノードとの間で発生する場合がある。そのようなハンドオフを実現する技術は存在するが、通信は、現在使用されているセキュリティの関連付けまたは機構の中断を要する可能性がある。
一例によると、アクセス層のハンドオフでは、アクセス層で別のネットワークへのハンドオフが行われる時に追加的なセキュリティの確立を使用することにより、現在使用されているセキュリティ機構のそのような中断を生じさせる可能性がある。例えば、追加的なセキュリティの確立は、アクセス層でハンドオフが発生するたびに、認証および/またはセキュリティ鍵合意の別のセッションを含む場合がある。アクセス層のハンドオフはより頻繁になる可能性があり、アクセス層のハンドオフが発生するたびに追加的なセキュリティセッションを確立すると、遅延および/または不必要な無線通信および/またはネットワークの認証の基盤機構への負担を引き起こす可能性がある。その結果、シームレスなハンドオフを実現することが難しくなる可能性がある。
この概要は、以下の詳細な説明でさらに説明する様々な概念を簡略化した形態で紹介するために提供される。
ネットワークサーバのサービスにアクセスするためにモバイル装置を認証するための認証の認証情報をモバイル装置で生成するシステム、方法、および装置の実施形態が本明細書に記載される。1つの層における認証とそれに関連する認証情報の持続性を使用して、別の層で認証情報を確立することができる。本明細書に記載されるように、ネットワークサーバと共有される、持続的な通信層の認証情報を確立することができる。例えば、持続的な通信層の認証情報は、アプリケーション層で生成されるアプリケーション層の認証情報、または1つのネットワークから別のネットワークへのハンドオフ後も存続する持続的な通信層で生成される他の認証情報とすることができる。持続的な通信層の認証情報は、第1のネットワークの持続的な通信層を介して確立することができる。持続的な通信層の認証情報は、その第1のネットワークを使用してネットワークサーバからサービスを受けるためにモバイル装置を認証するように構成される。第2のネットワーク上のネットワーク通信エンティティを発見することができ、持続的な通信層の認証情報に基づいて認証の認証情報を生成することができる。その認証の認証情報を使用して、持続的な通信層以外の通信層を介して第2のネットワークに対して認証して、モバイル装置が第2のネットワークを使用してネットワークサーバからサービスを受けられるようにすることができる。
別の例示的実施形態によると、通信ネットワーク上に存在するアプリケーションサーバでモバイル装置を認証する際に使用する認証の認証情報をアプリケーションサーバで得ることができる。例えば、アプリケーション層の認証情報から導出される認証の認証情報を得ることができる。認証の認証情報は、アプリケーションサーバに関連付けられたアプリケーション層を介して得ることができる。認証の認証情報は、アプリケーションサーバからのサービスにアクセスするためにモバイル通信装置を認証するように構成することができる。他の通信層でモバイル装置を認証するために、認証の認証情報をアプリケーション層から他の通信層に送信することができる。
例示的実施形態によると、他の通信層はアクセス層とすることができる。アクセス層は、物理層、データリンク層、および/またはネットワーク層である。他の通信層がアクセス層である場合は、認証の認証情報は、アクセス層での認証に使用されるアクセス層の認証情報とすることができる。
上記概要は、以下の詳細な説明でさらに説明する概念の抜粋を簡略化した形態で紹介するために提供される。この概要は、特許請求の範囲の主題の主要な特徴や必須の特徴を明らかにするものでも、特許請求の範囲の主題の範囲を限定するために使用されるものでもない。さらに、特許請求の範囲の主題は、本開示の任意の箇所に記述される不利点のいずれかまたはすべてを解決する制限事項にも限定されない。
添付図面との関連で例として与える以下の記述から、より詳細な理解が得られる。
1つまたは複数の開示される実施形態を実施することが可能な例示的通信システムのシステム図である。 図1Aに示す通信システム内で使用することが可能な例示的ワイヤレス送信/受信ユニット(WTRU)のシステム図である。 図1Aに示す通信システム内で使用することが可能な例示的無線アクセスネットワークおよび例示的コアネットワークのシステム図である。 アプリケーション層のセッションについてのハンドオフシナリオを説明する流れ図である。 アプリケーション層のセッションについての別のハンドオフシナリオを説明する流れ図である。 ローカルOpenIDを使用したプロトコルの実現を説明する流れ図である。 ローカルOpenIDを使用したプロトコルの実現を説明する流れ図である。 ローカルOpenIDを使用し、アクセス/権限を付与するプロトコルの実現を説明する流れ図である。 ローカルOpenIDを使用し、アクセス/権限を付与するプロトコルの実現を説明する流れ図である。 リライングパーティ(relying party)(RP)として機能する認証、認可および課金(AAA)サーバを用いる、ユニバーサルアクセス方法(UAM)とOpenIDとの統合を説明する流れ図である。 RPとして機能するワイヤレスローカルエリアネットワーク(WLAN)ゲートウェイ(GW)を用いる、UAMとOpenIDとの統合を説明する流れ図である。 RPとして機能するAAAサーバを用いる、拡張可能認証プロトコル(EAP)とOpenIDとの統合を説明する流れ図である。 RPとして機能するAAAサーバを用いる、EAPとOpenIDとの統合を説明する流れ図である。 RPとして機能するAAAサーバを用いるEAPとOpenIDとの統合、およびローカルOpenIDプロバイダ(ローカルOP)の実装を説明する流れ図である。 RPとして機能するAAAサーバを用いる、EAPとOpenIDとの統合を説明する別の流れ図である。 AAAサーバをOPサーバとして実装する認証プロトコルを説明する流れ図である。 EAPプロトコルメッセージへのOpenIDメッセージの組み込みを説明する流れ図である。 OpenID Connectを使用する、サービスのためのユーザ機器(UE)の認証を説明する流れ図である。 OpenID ConnectおよびローカルOPを使用する、サービスのためのUEの認証を説明する流れ図である。
本明細書には、例えばOpenIDプロトコルなどの連携識別(federated identity)およびシングルサインオン(SSO)を使用して、異種のネットワーク間のシームレスなユーザ/装置の認証とセキュアな移動性とを可能にするための各種実装が記載される。本明細書に記載される実施形態は、あるネットワークに対する認証情報を活用して、別のネットワークに対する認証を行うことができる。一例示的実施形態では、1つのネットワークの持続的な通信層で生成される持続的な通信層の認証情報を使用して逆ブートストラップを行い、別のネットワークで要求に応じてかつシームレスな方式でセキュリティ層の認証および/またはセキュアなトンネルの設定を完了することができる。例示的実施形態によると、持続的な通信層の認証情報は、アプリケーション層で生成されるアプリケーション層の認証情報、または1つのネットワークから別のネットワークへのハンドオフ後も存続する通信層で生成される別の認証情報である。本発明の実施形態では、ハンドオフのシナリオでアプリケーション層の認証情報を使用して別の層(例えば、非持続性の通信層)における認証を行うことを記載するが、持続的な通信層で確立され、ネットワーク間のハンドオフ後も存続する任意の他の認証情報が使用されてよいことは理解されよう。
一実施形態によると、ハンドオフ(例えばアクセス層のハンドオフ)時にモバイル装置の認証で使用するアクセス層の認証の認証情報を生成するシステムおよび方法が記載される。認証の認証情報は、モバイル装置からアクセスされるサービスがハンドオフ中にシームレスに中断せずに継続するように生成することができる。本明細書に記載されるように、アクセス層で第1のネットワークエンティティとの間にセキュアな通信を確立することができる。第1のネットワークエンティティとのセキュアな通信に基づいて、セキュアなアプリケーション層の通信をアプリケーションサーバとの間にも確立することができる。サービスはセキュアな通信を使用して受信することができる。第2のネットワークエンティティを発見することができる。第2のネットワークエンティティに対する認証のために認証の認証情報(例えば、アクセス層の認証情報)を生成することができる。認証の認証情報は、アプリケーション層の通信に関連付けられたアプリケーション層の情報を使用して生成することができる。認証の認証情報は、ハンドオフ中にサービスがシームレスに中断されずに生成されうる。
例示的実施形態によると、認証は、例えばシングルサインオン(SSO)プロトコルを使用して1つのネットワークから別のネットワークへのハンドオフ時に行って、アプリケーションサーバからのサービスにワイヤレス通信装置がアクセスできるようにすることができる。例えば、ハンドオフは、セルラ通信ネットワーク(例えば、3GPPネットワーク)からワイヤレスローカルエリアネットワーク(WLAN)(例えば、ブラウザベースのWLANまたは802.1x/EAPに基づくWLAN)へと行われることができる。SSOプロトコルは、汎用ブートストラッピングアーキテクチャ(GBA)に基づくことができる。SSOプロトコルはOpenIDを実装することもできる。SSOプロトコルを使用して、例えば逆ブートストラップなどの鍵導出機能を実装して、アプリケーションサーバでユーザおよび/または装置を認証するために使用される認証の認証情報を生成することができる。アプリケーションサーバは、OpenIDプロバイダ(OP)またはリライングパーティ(RP)として機能する、認証、認可および課金(AAA)サーバを含むことができる。別の実施形態によると、アプリケーションサーバは、RPとして機能するワイヤレスローカルエリアネットワーク(WLAN)ゲートウェイまたはWLANアクセスポイント(AP)を含むことができる。WLAN APは、UEと別のSSOエンティティとの間のSSOの交換を可能にすることができる。
本明細書で使用される用語の説明を提供する。「ローカル識別プロバイダ(ローカルIdP)」は、ローカルに、すなわち装置上で、またはその非常に近くで行われるユーザ/装置の識別のアサーション(assertion)を可能にするクライアントのローカルにあるエンティティおよびそのようなエンティティの機能を意味する用語である。「RP」は、OpenIDプロトコルのリライングパーティまたは他のアプリケーションサービスプロバイダであり、ユーザ/装置の識別の検証を試み、識別プロバイダとの間に信頼関係を有する。「OP」は、OpenIDプロトコルのOpenIDプロバイダまたはアプリケーションサービスプロバイダに代わってユーザおよび/または装置を認証することができる識別プロバイダである。「GW」は、例えば接続されたエンティティ間のインターネットトラフィックを制御するエンティティなどのゲートウェイである。「BA」は、ブラウジングエージェントである。「U」は一般的なモバイルユーザである。「UE」は一般的なモバイルユーザのモバイル装置である。
「ローカルモバイルSSO」は、従来はウェブベースのSSOサーバによって行われていたシングルサインオン(SSO)および/またはそれに関連する識別管理機能の一部またはすべてを装置上でローカルに行う方法を総称的に指すために使用される用語である。ローカルモバイルSSOは、ローカルにあるエンティティおよび/またはモジュールによって行うことができ、それらのエンティティおよび/またはモジュールは例えば通信装置自体の一部または全体である。ローカルにあるエンティティ/モジュールは、通信装置および/またはそのユーザの近傍に物理的および/または論理的に位置する(すなわちローカルに位置する)ことができる(例えばそのようなエンティティ/モジュールが装置に内蔵されるか、ローカルインタフェースまたは配線または短距離のワイヤレス手段で装置に取り付けまたは接続される)。
「ローカルOpenID」は、SSOまたは識別の管理をOpenIDプロトコルに基づかせることができるローカルモバイルSSOのサブセットの意味で使用される用語である。OpenID識別プロバイダ(OPまたはOpenID IdP)の機能の一部またはすべてを、ローカルに位置するエンティティ/モジュールによって行うことができる。
「ローカルOP」は、OpenIDサーバの機能の一部またはすべてを行うエンティティまたはモジュールの意味で使用される用語である。ローカルOPは、OpenIDプロトコルを使用して実装されるローカルIdPとすることができる。用語「ローカルOP」は、本明細書に記載される実施形態で実施することができるが、ローカルIdPは、OpenIDプロトコルを実装しない同様の実施形態でも使用できることが理解されよう。「OPloc」をローカルのOPを意味するために使用する場合もある。ローカルOPの機能の1つは、ユーザおよび/または装置の識別についてのアサーションを通じてユーザおよび/またはワイヤレス通信装置の認証を容易にすることである。そのようなアサーションは、ローカルOPから装置(例えば、装置のブラウザエージェント)に送信することができ、装置はそのアサーションを外部のリライングパーティ(RP)に転送することができる。ローカルOPによって提供される機能が主にそのような識別のアサーションの提供に限られる場合は、そのような機能を行うローカルエンティティをローカルアサーションプロバイダ(LAP)と呼ぶことができる。
ローカルOPは、1つまたは複数のアサーションメッセージを処理(例えば、作成、管理、および/または送信)することができる。ローカルOPは、そのメッセージを使用してユーザおよび/または装置に関連する1つまたは複数の識別の検証の状態をアサートすることができる。このアサーションは、そのようなメッセージの1つまたは複数の外部受信者に対して行うことができる。例えばリライングパーティ(RP)などの第3者エンティティがそのようなアサーションメッセージの受信者の1つとなることができる。ローカルOPは、例えば暗号鍵を使用する等してそのようなアサーションメッセージに署名することができる。
ローカルOpenIDの方法では1つまたは複数の暗号鍵を使用することができる。そのような鍵の1つは、ルートセッション鍵と呼ばれるものであり、Krpで表すことができ、これは、そこから他の鍵を導出できるルートセッション鍵の役割を果たすようにRPとOPとの間で使用されることが意図されるセッション鍵である。別のそのような鍵は、アサーション鍵と呼ばれるものであり、Kascと表すことができ、これは、ユーザの認証用のアサーションメッセージの1つまたは複数に署名するために使用できる署名鍵である。KascはKrpから導出することができる。
ローカルOpenIDは、OpenIDサーバ機能(OPSF)と呼ばれるサービスを使用して実装することもでき、その役割は、ローカルOPおよび任意でリライングパーティ(RP)に使用される秘密を生成、共有、および/または配布することである。OPSFおよびローカルOPは、外部のRPからは1つのエンティティとして見える。OPSFは、ローカルOPによって発行された署名を検証することができ、例えば公衆のインターネットまたは他の有線もしくは無線の通信を介してRPに直接到達することができる。装置は、例えばOPSFのアドレスがローカルOPに対応付けられるように装置上のローカルDNSリゾルビングキャッシュ(resolving cache)を変更する等により、(例えばブラウザを介して)ローカルOPにリダイレクトされることができる。ローカルOpenIDは、「OP−agg」と表されるサービスを使用することもでき、その役割は、RPに代わってローカルOPの発見を容易にすることである。
上述の用語および説明が本明細書に記載される実施形態で参照される場合がある。本明細書の実施形態はOpenIDの用語および/またはOpenIDプロトコルの一部を使用して説明することができるが、それらの実施形態は、OpenIDプロトコルまたはOpenIDエンティティの使用に限定されないことが理解されよう。
例示的実施形態によると、本明細書にさらに説明するように、例えばスマートフォンなどのモバイル通信装置は、階層化された通信を使用して通信することができる。モバイル通信装置は、アクセス層で例えばアクセス層ネットワークとの間に通信を確立することができる。モバイル通信装置は、アプリケーション層またはアクセス層でも、アプリケーションサービスプロバイダおよび/またはそのようなプロバイダのそれぞれアプリケーション層ネットワークまたはアクセスネットワーク等との間に通信を確立することができる。各層で、通信はそれぞれ独自のセキュリティを有することができる。そのような層固有のセキュリティは、各層で認証および/またはセキュリティ鍵の合意を実装することができる。例えばアプリケーション層などの上位層における認証および/またはセキュリティ鍵の合意では、セキュリティ鍵および/または他のセキュリティ関連情報、例えば下位層のセキュリティの関連付けのコンテクストを利用して、アプリケーション層のための鍵または他のセキュリティ関連パラメータを導出することができる。そのような技術は、例えばブートストラッピング技術と呼ばれることがある。
例示的実施形態によると、モバイル装置がそのアクセス層通信をあるアクセスネットワークから別のアクセスネットワークに切り替える時、そのような工程をアクセス層のハンドオフと呼ぶことがある。アクセス層のハンドオフは、例えば通信を行っている装置の移動に起因して発生する。アクセス層のハンドオフは、アクセス層ネットワーク内の例えば基地局などの1つのアクセス層ノードと、例えば別の基地局などの別のそのようなノードとの間で発生する。2つのアクセス層ノードは、例えば、同じネットワーク内にある場合も、あるアクセス層ネットワークと別のアクセス層ネットワーク、すなわち異なるアクセス層ネットワークにある場合もある。アクセス層のハンドオフは、モバイル通信装置のユーザに対して透過であることが望ましい場合がある。また、アクセス層のハンドオフは、アプリケーション層の通信の継続した滑らかな動作を行うために中断がないことも望ましい場合がある。
アプリケーション層のセキュリティ認証情報を使用して、例えばアクセス層の状況時などにアクセス層のセキュリティの確立を助けることができる。例示的実施形態によると、例えばOpenIDを実装することが可能な委託認証をアプリケーション層で行って、ハンドオフ時の後続ネットワークへのアクセス時に発見および/または接続を支援することができる。
一実施形態によると、ブートストラップを使用することができる。アクセス層のセキュリティ鍵を、既存のアプリケーション層の通信で入手できるセキュリティ材料から導出することができる。例えば、アクセス層のセキュリティ鍵は、例えばGBAまたはOpenIDなどの委託形態の認証を使用して確立されたセキュリティ材料から導出することができる。
別の実施形態によると、逆ブートストラップを使用することができる。アクセス層のセキュリティ鍵は、既存のアプリケーション層の通信で入手可能なセキュリティ材料から導出することができる。例えば、アクセス層のセキュリティ鍵は、例えばOpenIDなどの委託形態の認証を使用して確立されたセキュリティ材料から導出することができる。
本明細書に記載されるように、認証を行う際にはローカルのアサーションプロバイダも使用することができる。例えば、ローカルOPを、アプリケーション層で使用されるOpenIDプロトコルの一部として使用することができる。ローカルOPは、アクセス層のハンドオフ時にシームレスな認証および/または鍵合意を容易にすることができる。アクセス層の認証および/または鍵合意ならびにアクセス層の認可を、シームレスなハンドオフ中に可能にすることができる。
図1A〜1Cに、本明細書に記載される実施形態で実装することが可能なネットワーク通信システムおよび/または装置の例を示す。図1Aは、1つまたは複数の開示実施形態を実施することが可能な例示的通信システム100の図である。通信システム100は、音声、データ、映像、メッセージング、放送等のコンテンツを複数のワイヤレスユーザに提供する多重接続システムとすることができる。通信システム100は、複数のワイヤレスユーザが、ワイヤレス帯域幅を含むシステム資源の共有を通じてそのようなコンテンツにアクセスすることを可能にすることができる。例えば、通信システム100は、符号分割多重接続(CDMA)、時分割多重接続(TDMA)、周波数分割多重接続(FDMA)、直交FDMA(OFDMA)、単一キャリアFDMA(SC−FDMA)等の1つまたは複数のチャネルアクセス方法を用いることができる。
図1Aに示すように、通信システム100は、ワイヤレス送信/受信ユニット(WTRU)102a、102b、102c、102d、無線アクセスネットワーク(RAN)104、コアネットワーク106、公衆交換電話網(PSTN)108、インターネット110、および他のネットワーク112を含むことができる。ただし、開示される実施形態では、任意の数のWTRU、基地局、ネットワーク、および/またはネットワーク要素を企図することが理解されよう。各WTRU102a、102b、102c、102dは、ワイヤレス環境で動作および/または通信するように構成された任意の種類の装置であってよい。例として、WTRU102a、102b、102c、102dは、ワイヤレス信号を送信および/または受信するように構成することができ、ユーザ機器(UE)、移動局、固定型または移動型の加入者ユニット、タブレット、ページャ、携帯電話、携帯情報端末(PDA)、スマートフォン、ラップトップ機、ネットブック、パーソナルコンピュータ、ワイヤレスセンサ、消費者電子製品等を含むことができる。
通信システム100は、基地局114aおよび基地局114bも含むことができる。
各基地局114a、114bは、WTRU102a、102b、102c、102dの少なくとも1つとワイヤレスにインタフェースを取って、コアネットワーク106、インターネット110、および/またはネットワーク112等の1つまたは複数の通信ネットワークへのアクセスを容易にするように構成された任意の種類の装置であってよい。例として、基地局114a、114bは、ベーストランシーバ局(BTS)、ノードB、eノードB、ホームノードB、ホームeノードB、サイトコントローラ、アクセスポイント(AP)、ワイヤレスルータ等である。図では基地局114a、114bは1つの要素としてそれぞれ図示するが、基地局114a、114bは任意の数の相互接続された基地局および/またはネットワーク要素を含んでよいことは理解されよう。
基地局114aは、RAN104の一部とすることができ、RAN104は、他の基地局および/または、基地局コントローラ(BSC)、無線ネットワークコントローラ(RNC)、中継ノード等のネットワーク要素(図示せず)も含むことができる。基地局114aおよび/または基地局114bは、セルと呼ぶ場合もある特定の地理領域(図示せず)内でワイヤレス信号を送信および/または受信するように構成することができる。セルはさらにセルセクタに分割することができる。例えば、基地局114aに関連付けられたセルを3つのセクタに分割することができる。そのため、一実施形態では、基地局114aは、3つのトランシーバ、すなわちセルのセクタごとに1つのトランシーバを含むことができる。一実施形態では、基地局114aは、多入力多出力(MIMO)技術を用いることができ、したがってセルの各セクタに複数のトランシーバを利用することができる。
基地局114a、114bは、エアインタフェース116を通じてWTRU102a、102b、102c、102dの1つまたは複数と通信することができる。エアインタフェース116は、任意の適切なワイヤレス通信リンク(例えば無線周波(RF)、マイクロ波、赤外線(IR)、紫外線(UV)、可視光等)であってよい。エアインタフェース116は、適切な無線アクセス技術(RAT)を使用して確立することができる。
より具体的には、上記で述べたように、通信システム100は多重接続システムであってよく、CDMA、TDMA、FDMA、OFDMA、SC−FDMA等の1つまたは複数のチャネルアクセス方式を用いることができる。例えば、RAN104の基地局114aとWTRU102a、102b、102cは、Universal Mobile Telecommunication System(UMTS)Terrestrial Radio Access(UTRA)等の無線技術を実装することができ、その場合は広帯域CDMA(WCDMA(登録商標))を使用してエアインタフェース116を確立することができる。WCDMAは、High−Speed Packet Access(HSPA)および/またはEvolved HSPA(HSPA+)等の通信プロトコルを含むことができる。HSPAはHigh−Speed Downlink Packet Access(HSDPA)および/またはHigh−Speed Uplink Packet Access(HSUPA)を含むことができる。
一実施形態では、基地局114aおよびWTRU102a、102b、102cは、Evolved UMTS Terrestrial Radio Access(E−UTRA)等の無線技術を実装することができ、その場合、エアインタフェース116はLong Term Evolution(LTE)および/またはLTE−Advanced(LTE−A)を使用して確立することができる。
他の実施形態では、基地局114aおよびWTRU102a、102b、102cは、IEEE802.16(すなわちWorldwide Interoperability for Microwave Access(WiMAX))、CDMA2000、CDMA2000 1X、CDMA2000 EV−DO、Interim Standard 2000(IS−2000)、Interim Standard 95(IS−95)、Interim Standard 856(IS−856)、Global System for Mobile Communication(GSM(登録商標))、Enhanced Data rates for GSM Evolution(EDGE)、GSMEDGE(GERAN)等の無線技術を実装することができる。
図1Aの基地局114bは、例えばワイヤレスルータ、ホームノードB、ホームeノードB、フェムトセルの基地局、またはアクセスポイントであり、職場、家庭、乗り物、学校構内等の局所的な領域内でのワイヤレス接続を容易にする任意の適切なRATを利用することができる。一実施形態では、基地局114bおよびWTRU102c、102dは、IEEE802.11等の無線技術を実装してワイヤレスローカルエリアネットワーク(WLAN)を確立することができる。一実施形態では、基地局114bおよびWTRU102c、102dは、IEEE802.15等の無線技術を実装してワイヤレスパーソナルエリアネットワーク(WPAN)を確立することができる。さらに一実施形態では、基地局114bおよびWTRU102c、102dは、セルラ方式のRAT(例えばWCDMA、CDMA2000、GSM、LTE、LTE−A等)を利用してピコセルまたはフェムトセルを確立することができる。図1Aに示すように、基地局114bは、インターネット110への直接の接続を有することができる。そのため、基地局114bは、コアネットワーク106を介してインターネット110にアクセスする必要がない場合もある。
RAN104はコアネットワーク106と通信状態にあることができ、コアネットワークは、WTRU102a、102b、102c、102dの1つまたは複数に音声、データ、アプリケーション、および/またはVoice over Internet Protocol(VoIP)サービスを提供するように構成された任意の種類のネットワークであってよい。例えば、コアネットワーク106は、呼制御、課金サービス、モバイル位置を利用するサービス、料金前払いの通話、インターネット接続、映像配布等を提供する、および/またはユーザ認証等の高レベルのセキュリティ機能を行うことができる。図1Aには示さないが、RAN104および/またはコアネットワーク106は、RAN104と同じRATまたは異なるRATを用いる他のRANと直接通信状態にあっても、または間接的な通信状態にあってもよいことが理解されよう。例えば、E−UTRA無線技術を利用する可能性のあるRAN104に接続されるのに加えて、コアネットワーク106は、GSM無線技術を用いる別のRAN(図示せず)とも通信状態にあることができる。
コアネットワーク106は、WTRU102a、102b、102c、102dがPSTN108、インターネット110および/または他のネットワーク112にアクセスするためのゲートウェイの役割を果たすこともできる。PSTN108は、従来の電話サービス(POTS)を提供する回線交換電話網を含むことができる。インターネット110は、TCP/IPインターネットプロトコルスイートの伝送制御プロトコル(TCP)、ユーザデータグラムプロトコル(UDP)、インターネットプロトコル(IP)等の一般的な通信プロトコルを使用する相互接続されたコンピュータネットワークおよび装置からなる世界規模のシステムを含むことができる。ネットワーク112は、他のサービス提供者に所有および/または運営される有線またはワイヤレスの通信ネットワークを含むことができる。例えば、ネットワーク112は、RAN104と同じRATまたは異なるRATを用いる可能性のある1つまたは複数のRANに接続された別のコアネットワークを含むことができる。
通信システム100内のWTRU102a、102b、102c、102dの一部またはすべては、多モード機能を備えることができる。すなわち、WTRU102a、102b、102c、102dは、種々のワイヤレスリンクを通じて種々のワイヤレスネットワークと通信するための複数のトランシーバを含むことができる。例えば、図1Aに示すWTRU102cは、セルラ方式の無線技術を用いる可能性のある基地局114a、およびIEEE802無線技術を用いる可能性のある基地局114bと通信するように構成することができる。
図1Bは、例示的なWTRU102のシステム図である。図1Bに示すように、WTRU102は、プロセッサ118、トランシーバ120、送信/受信要素122、スピーカ/マイクロフォン124、キーパッド126、ディスプレイ/タッチパッド128、取外し不能メモリ130、取外し可能メモリ132、電源134、全地球測位システム(GPS)チップセット136、および他の周辺機能138を備えることができる。WTRU102は、実施形態との整合性を保ちながら、上述の要素の任意のサブコンビネーションを含むことが可能であることが理解されよう。
プロセッサ118は、汎用プロセッサ、特殊目的プロセッサ、従来のプロセッサ、デジタル信号プロセッサ(DSP)、複数のマイクロプロセッサ、DSPコアと関連した1つまたは複数のマイクロプロセッサ、コントローラ、マイクロコントローラ、特定用途集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)回路、任意の他の種類の集積回路(IC)、状態機械等である。プロセッサ118は、信号の符号化、データ処理、電力制御、入出力処理、および/またはWTRU102がワイヤレス環境で動作することを可能にする任意の他の機能を行うことができる。プロセッサ118はトランシーバ120に結合することができ、トランシーバ120は送信/受信要素122に結合することができる。図1Bではプロセッサ118とトランシーバ120を別個の構成要素として示すが、プロセッサ118とトランシーバ120は電子パッケージやチップに共に一体化してよいことが理解されよう。プロセッサ118は、アプリケーション層のプログラム(例えば、ブラウザ)および/または無線アクセス層(RAN)のプログラムおよび/または通信を行うことができる。プロセッサ118は、例えばアクセス層および/またはアプリケーション層における、認証、セキュリティ鍵の合意、および/または暗号動作などのセキュリティ動作を行うことができる。
送信/受信要素122は、エアインタフェース116を通じて基地局(例えば基地局114a)との間で信号を送信または受信するように構成することができる。例えば、一実施形態では、送信/受信要素122は、RF信号を送信および/または受信するように構成されたアンテナとすることができる。一実施形態では、送信/受信要素122は、例えばIR、UV、または可視光信号を送信および/または受信するように構成されたエミッタ/検出器とすることができる。一実施形態では、送信/受信要素122は、RF信号と光信号の両方を送受信するように構成することができる。送信/受信要素122は、各種ワイヤレス信号の任意の組合せを送信および/または受信するように構成してよいことが理解されよう。
また、図1Bでは送信/受信要素122を1つの要素として示すが、WTRU102は任意の数の送信/受信要素122を含んでよい。より具体的には、WTRU102はMIMO技術を用いることができる。そのため、一実施形態では、WTRU102は、エアインタフェース116を通じてワイヤレス信号を送受信するために2つ以上の送信/受信要素122(例えば複数のアンテナ)を含むことができる。
トランシーバ120は、送信/受信要素122によって送信される信号を変調し、送信/受信要素122によって受信された信号を復調するように構成することができる。上記のように、WTRU102は多モード機能を有することができる。そのため、トランシーバ120は、WTRU102が例えばUTRAやIEEE802.11等の複数のRATを介して通信することを可能にする複数のトランシーバを含むことができる。
WTRU102のプロセッサ118は、スピーカ/マイクロフォン124、キーパッド126、および/またはディスプレイ/タッチパッド128(例えば液晶ディスプレイ(LCD)表示装置または有機発光ダイオード(OLED)表示装置)に結合し、それらからユーザ入力データを受け取ることができる。プロセッサ118は、スピーカ/マイクロフォン124、キーパッド126、および/またはディスプレイ/タッチパッド128にユーザデータを出力することもできる。また、プロセッサ118は、取外し不能メモリ130および/または取外し可能メモリ132等の任意の種類の適切なメモリからの情報にアクセスし、これらにデータを記憶することができる。取外し不能メモリ130は、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、ハードディスク、および/または任意の他の種類のメモリ記憶装置を含むことができる。取外し可能メモリ132は、加入者識別モジュール(SIM)カード、メモリスティック、セキュアデジタル(SD)メモリカード等を含むことができる。他の実施形態では、プロセッサ118は、サーバや家庭コンピュータ(図示せず)等、物理的にWTRU102に位置しないメモリからの情報にアクセスし、そのメモリにデータを記憶することができる。
プロセッサ118は、電源134から電力を受け取り、その電力をWTRU102中の他の構成要素に分配および/または制御するように構成することができる。電源134は、WTRU102に電力を供給するのに適した任意の装置でよい。例えば、電源134は、1つまたは複数の乾電池(例えばニッケルカドミウム(NiCd)、ニッケル亜鉛(NiZn)、ニッケル水素(NiMH)、リチウムイオン(Li−ion)等)、太陽電池、燃料電池等を含むことができる。
プロセッサ118はGPSチップセット136にも結合することができ、GPSチップセット136は、WTRU102の現在の位置に関する位置情報(例えば経度および緯度)を提供するように構成することができる。GPSチップセット136からの情報に加えて、またはその代わりに、WTRU102は、基地局(例えば基地局114a、114b)からエアインタフェース116を介して位置情報を受信し、および/または、2つ以上の近隣の基地局から信号が受信されるタイミングに基づいて自身の位置を判定することもできる。WTRU102は、実施形態との整合性を保ちながら、任意の適切な位置判定方法で位置情報を取得してよいことが理解されよう。
プロセッサ118はさらに他の周辺機能138に結合することができ、それらは、追加的な機能、機能性、および/または有線もしくは無線接続を提供する1つまたは複数のソフトウェアおよび/またはハードウェアモジュールを含むことができる。例えば、周辺機能138は、加速度計、電子コンパス、衛星トランシーバ、デジタルカメラ(写真または映像用)、ユニバーサルシリアルバス(USB)ポート、振動装置、テレビトランシーバ、ハンドフリーヘッドセット、Bluetooth(登録商標)モジュール、周波数変調(FM)無線ユニット、デジタル音楽プレーヤ、メディアプレーヤ、ビデオゲームプレーヤモジュール、インターネットブラウザ等を含むことができる。
図1Cは、一実施形態によるRAN104およびコアネットワーク106のシステム図である。上記のように、RAN104は、UTRA無線技術を用いてエアインタフェース116を介してWTRU102a、102b、102cと通信することができる。RAN104は、コアネットワーク106とも通信状態にあることができる。図1Cに示すように、RAN104は、ノードB140a、140b、140cを含み、ノードB140a、140b、140cは各々、エアインタフェース116を通じてWTRU102a、102b、102cと通信するために1つまたは複数のトランシーバを含むことができる。ノードB140a、140b、140cは各々、RAN104内の特定のセル(図示せず)に関連付けることができる。RAN104はRNC142a、142bも含むことができる。RAN104は実施形態との整合性を保ちながら、任意の数のノードBおよびRNCを含むことが可能であることが理解されよう。
図1Cに示すように、ノードB140a、140bはRNC142aと通信状態にあることができる。また、ノードB140cはRNC142bと通信状態にあることができる。ノードB140a、140b、140cは、Iubインタフェースを介してそれぞれのRNC142a、142bと通信することができる。RNC142a、142bは、Iurインタフェースを介して互いに通信することができる。各RNC142a、142bは、それぞれが接続されたノードB140a、140b、140cを制御するように構成することができる。また、各RNC142a、142bは、外部ループ電力制御、負荷制御、アドミッション制御、パケットのスケジューリング、ハンドオーバー制御、マクロダイバーシティ、セキュリティ機能、データ暗号化等の他の機能を実行および/または支援するように構成することができる。
図1Cに示すコアネットワーク106は、メディアゲートウェイ(MGW)144、モバイル交換センター(MSC)146、サービングGPRSサポートノード(SGSN)148、および/またはゲートウェイGPRSサポートノード(GGSN)150を含むことができる。上記の各要素はコアネットワーク106の一部として図示するが、これらの要素の任意の1つはコアネットワークの運営者以外のエンティティにより所有および/または運営され得ることが理解されよう。
RAN104内のRNC142aは、IuCSインタフェースを介してコアネットワーク106内のMSC146に接続することができる。MSC146はMGW144に接続することができる。MSC146およびMGW144は、WTRU102a、102b、102cに、PSTN108等の回線交換ネットワークへのアクセスを提供して、WTRU102a、102b、102cと従来の固定電話機器との間の通信を容易にすることができる。
RAN104内のRNC142aは、IuPSインタフェースを介してコアネットワーク106のSGSN148にも接続することができる。SGSN148はGGSN150に接続することができる。SGSN148およびGGSN150は、WTRU102a、102b、102cに、インターネット110等のパケット交換ネットワークへのアクセスを提供して、WTRU102a、102b、102cとIP対応機器との間の通信を容易にすることができる。
上記のように、コアネットワーク106はネットワーク112にも接続することができ、ネットワーク112は、他のサービス提供者によって所有および/または運営される有線または無線のネットワークを含む。
上記の通信システムおよび/または装置を、本明細書に記載される認証ハンドオフのシナリオで使用することができる。認証ハンドオフは、ユーザが、アクセスネットワーク間、および/または同じもしくは異なるアクセスネットワーク内のアクセスポイント間を切り替わる間にサービスおよび/またはアプリケーションを継続的に使用できるようにすることができる。ハンドオフの決定は、例えばアクセス層および/またはアプリケーション層で行うことができる。これは、各層における認証がハンドオフのたびに行われること、および/またはユーザ装置に移動先のネットワーク/アクセスポイントのための認証情報を事前に供給しておく場合があることを意味する。それには、集中化された基盤および/または認証情報の事前供給が必要となる可能性がある。独立した委託認証エンティティを使用すると、複数形態のネットワーク間を移動する際のシームレスな認証を容易にする際のモバイルネットワーク事業者(MNO)との複数のサービスレベル契約(SLA)の確立や、MNO認証用の基盤との緊密な結合を回避することができる。例えばOpenIDなどの連携識別管理方式および/またはインターネットへのアクセスを、本明細書に記載される認証の実施形態で支援することができる。
事前に供給された認証情報を使用してアクセス層のハンドオフを行う装置の一例を図2に示し、この場合、装置215は2つのアクセスネットワーク間を切り替える。図2は、アプリケーション層のセッションの場合のハンドオフシナリオを説明する流れ図である。図2に示すハンドオフシナリオは装置215を含み、装置215は、アプリケーション層での通信が可能なアプリケーション214およびアクセス層での通信が可能なアクセス層モジュール216を含むか、またはそれらと通信状態にある。図2に示すハンドオフシナリオは、MNO A 217、ホットスポットB 218、およびアプリケーションサーバ219も含むことができる。MNO A 217および/またはホットスポットB 218は、各自のアプリケーション層機能で委託認証サーバの能力があるOpenIDサーバ機能で使用可能とすることができる。委託形態の認証方法は例えばOpenIDである。したがって、MNO A 217を「MNO OpenIDプロバイダ(OP)A 217」(すなわち、このエンティティがMNO Aのアクセス層の機能とOpenIDのサーバ機能を有することができる)、および/またはホットスポットB 218を「ホットスポットOP B 218」と表すことができる。装置215は、アクセス層モジュール216を介してMNO A 217および/またはホットスポットB 218と通信することができる。装置215は、アプリケーション214を介してアプリケーションサーバ219とも通信することができる。
図2に示すように、装置215は、例えばモバイルネットワーク事業者(MNO)A 217のセルラネットワークと、例えばホットスポットB 218などのフェムトネットワークまたはWLANネットワークとの間を切り替えることができる。装置215は、装置のアプリケーションおよび/またはネットワークアプリケーションサーバ219でブートストラップされたアクセス層の認証情報220を使用して、アプリケーション層の認証のためのアプリケーション層の認証情報221を作成することができる。そして、装置215は、ホットスポットB 218で後続ネットワーク(例えば、WLANネットワーク)にアタッチ(attach)し、装置215とホットスポットB 218との間で事前に供給された認証情報222を使用して認証を行うことができる。
図2に示すハンドオフシナリオに示すように、201で、装置215は、MNO A 217のアクセスネットワークを発見することができる。装置215は、それぞれ202および203でMNO A 217のアクセスネットワークにアタッチおよび/または認証することができる。例えば、装置215は、アクセス層モジュール216を介してMNO A 217のアクセスネットワークに対してアタッチおよび/または認証することができる。装置215は、認証の認証情報220を使用してMNO A 217に対して認証することができる。認証の認証情報220は、例えば装置215とMNO A 217間の事前に供給された認証情報とすることができる。203の認証が成功すると、装置215およびMNO A 217のアクセスネットワークは、204でアクセス層モジュール216を介してセキュアなアクセス層の通信を確立することができる。
装置215は、MNO A 217のネットワークを使用してアプリケーションサーバ219へのログインを試みて、アプリケーションサーバ219からのサービスにアクセスすることができる。例えば、装置215のアプリケーション214が、205でネットワークベースのアプリケーションサーバ219にログインすることができる。アプリケーションサーバ219は、リライングパーティ(RP)として機能し、MNO A 217はOpenID識別プロバイダ(OP)として機能することができる。例えば、206で、アプリケーションサーバ219は、MNO A 217を発見すること、および/またはMNO A 217にユーザを認証するように要求することができる。この要求および/または認証は、例えばOpenIDを使用して行うことができる。207で、装置のアプリケーション214とOPとして機能するMNO A 217との間で、アプリケーション層の認証の認証情報221を、MNO A 217のアクセス層に対する装置のアクセス層モジュール216のアクセス層認証を可能にしたアクセス層の認証情報220からブートストラップ(例えば生成または導出)することができる。装置215および/またはそのアプリケーション214は、208でMNO A 217にリダイレクトされ、アクセス層の認証情報220からブートストラップされたアプリケーション層の認証の認証情報221を使用してアプリケーション層でMNO A 217に対して認証することができる。207における認証情報221のブートストラップは、208の認証の一部として行っても、別個に行ってもよい。MNO A 217は、装置215の認証ステータスをリライングパーティ(RP)(図示せず)として機能するアプリケーションサーバ219に対してアサートすることができる。209で、アプリケーション層のセキュアな通信を、装置のアプリケーション214とネットワークベースのアプリケーションサーバ219との間に確立することができる。
210で、装置のアクセス層モジュール216がホットスポットB 218を発見することができる。ホットスポットB 218は、WLAN上のノードとすることができ、装置215がアプリケーションサーバ219のサービスにアクセスすることを可能にする。例示的実施形態によると、装置215は、ホットスポットB 218のサービスエリアの範囲に入るとホットスポットB 218を発見することができる。装置215は、ユーザ設定、アプリケーション要件、ホットスポットの条件、および/または装置215に記憶されたサービスプロバイダのポリシに基づいてホットスポットB 218にアタッチを試みることができる。211で、装置215は、アクセス層モジュール216を介してアクセス層でホットスポットB 218にアタッチすることができる。一実施形態によると、209で確立されるアプリケーション層の接続は、211で行われる後続のアクセス層の(ホットスポットB 218への)アタッチ後も存続することができる。
212で、装置215は、認証情報222を使用してアクセス層モジュール216を介してホットスポットB 218に対して認証することができる。212で使用される認証情報222は、それぞれ203および208で認証に使用される認証情報220または認証情報221とは関係がなくてよい。したがって、212で、装置215に対する認証では、後続の移動先アクセスネットワーク(例えばホットスポットB 218)に適する可能性のある事前に供給されたアクセス層の認証情報222を使用することができる。212で認証が成功すると、213で装置215およびホットスポットB 218はアクセス層でセキュアな通信を確立することができる。
上記のように、図2には、装置215が事前に供給された認証情報222を使用してハンドオフおよび/または後続ネットワークでアクセス層の認証を行えるようにする認証プロトコルを示す。本明細書には、ハンドオフ用のアクセス層またはアプリケーション層の認証情報などの持続的な認証情報を活用して、要求時にかつシームレスな方式で他の層(例えばアクセス層)における認証および/またはセキュアなトンネルの確立を完了するための各種実装も記載される。
例示的実施形態によると、アプリケーション層の認証情報を活用して、続く後続のアクセス層の認証手順で使用可能なアクセス層の認証情報を(例えばアプリケーション層の認証情報の逆ブートストラップを行うことにより)生成することができる。図3に示すように、ハンドオフシナリオでは、アプリケーション層の認証情報331の逆ブートストラップを実施して、後続ネットワークで認証を行うことができる。図3に示すハンドオフシナリオは装置321を含み、装置321は、アプリケーション層で通信可能なアプリケーション320およびアクセス層で通信可能なアクセス層モジュール322を含むか、それらと通信状態にある。アクセス層モジュール322は、装置321上の接続マネジャ(CM)を含む、および/または通信状態にあることができる。図3に示すハンドオフシナリオは、MNO A 323、ホットスポットB 324、およびアプリケーションサーバ325も含む。MNO A 323は、アクセス層326および/またはアプリケーション層327を介して他のネットワークエンティティと通信することができる。MNO A 323はOpenIDプロバイダとして機能することができる。ホットスポットB324は、アクセス層328および/またはアプリケーション層329を介して他のネットワークエンティティと通信することができる。ホットスポットB 324はリライングパーティ(RP)として機能することができる。アクセス層モジュール322は、MNO A 323のアクセス層326および/またはホットスポットB 324のアクセス層328と通信することができる。アプリケーション320は、アプリケーションサーバ325、MNO A 323のアプリケーション層327、および/またはホットスポットB 324のアプリケーション層329と通信することができる。アプリケーションサーバ325は、本明細書に記載のいくつかの実施形態によると、リライングパーティ(RP)として機能することもできる。
図3に示すように、例えばハンドオフのシナリオなどで、アプリケーション層の認証情報を生成し、逆ブートストラップして、後続アクセスネットワークのホットスポットB 324への認証のためのアクセス層の認証の認証情報333を生成することができる。逆ブートストラップは、移動先のアクセス層ネットワークのホットスポットB 324の代わりにMNO A 323によるアプリケーション層の認証を含み、後続のアクセス層の認証の認証情報333の生成に使用される材料を生成することができる。逆ブートストラップは、1)移動元ネットワークMNO A 323内のユーザ/装置321の識別、および/または、2)例えばアプリケーションサーバ325またはMNO A 323に関するユーザ/アプリケーション320のアプリケーション層の識別(例えばOpenID識別)、の少なくとも1つを条件とすることができる。
MNO A 323による以前の成功したアプリケーション層の認証を使用して、ネットワークホットスポットB 324へのアクセスを許可することができる。追加的な認証の情報をネットワークホットスポットB 324に提供して、装置321のアクセス層の認証を支援することができる。例えば、アサーション(例えば「ユーザはネットワークMNO A 323から移動して来て、認証済み」)がネットワークホットスポットB 324に提供されると、アプリケーション層の認証を使用してネットワークホットスポットB 324へのアクセスを許可することができる。
一実施形態によると、図3に示すように呼び出しのフローを提供することができる。301〜309で、呼び出しのフローは、アプリケーション層のブートストラップ手順を使用してアクセス層のセキュリティの関連付けおよびアプリケーション層のセキュリティの関連付けを設定することができ、ブートストラップ手順でアクセス層の認証情報をOpenIDの処理に結び付けることができる。例えば、301〜304でアクセス層のセキュリティの関連付けを装置321とMNO A 323との間に確立することができる。301で、アクセス層モジュール322が、アクセス層326を介してMNO A 323のネットワークを発見することができる。アクセス層モジュール322は、302でMNO A 323にアタッチし、303で認証を行うことができる。303のアクセス層の認証は、装置321とMNO A 323との間で共有されるアクセス層の認証情報330を使用して行うことができる。アクセス層の認証情報330は、本明細書に記載されるように、事前に供給された認証情報であっても、または別のネットワークからのアプリケーション層の認証情報を逆ブートストラップすることによって確立された認証情報であってもよい。装置321とMNO A 323との間のアクセス層の認証が成功すると、304で装置321とMNO A 323との間にアクセス層326のセキュアな通信を確立することができる。
305〜309でアプリケーション層のセキュリティの関連付けを装置321とアプリケーションサーバ325との間に確立することができる。例えば、305で、アプリケーション320がアプリケーションサーバ325へのログインを試みることができる。306で、アプリケーション層327を介してMNO A 323のOPサーバがアプリケーションサーバ325によって発見され、アプリケーションサーバ325はユーザ/装置321を認証のためにMNO A 323にリダイレクトすることができる。MNO A 323のOPは、306でユーザ/装置321を認証するか、および/またはアプリケーションサーバ325に対してユーザ/装置321の認証をアサートすることができる。次いで、ユーザ/装置321をホットスポットB 324にリダイレクトすることができる。
307で、アプリケーション320とMNO A 323との間で、装置321とMNO A 323との間のアクセス層の認証を可能にしたアクセス層の認証情報330および/またはMNO A 323からの認証のアサーションからアプリケーション層の認証情報331をブートストラップ(例えば生成または導出)することができる。アプリケーション320およびアプリケーションサーバ325は、308で、アプリケーション層の認証情報331を使用してアプリケーション層のセキュリティの関連付けを設定することができる。308のアプリケーション層のセキュリティの関連付けの結果、アプリケーション層の認証情報がアプリケーション320とアプリケーションサーバ325との間で共有される。307の認証情報331のブートストラップは、308のアプリケーション層のセキュリティの関連付けの一部として行っても、独立して行ってもよい。309で、装置のアプリケーション320とネットワークベースのアプリケーションサーバ325との間にアプリケーション層のセキュアな通信を確立することができる。
310で、装置321がホットスポットB 324を発見することができる。例えば、装置321のローカルコンポーネント、例えばアクセス層モジュール322がホットスポットB 324および/またはその識別情報(例えば、SSIDまたはIPアドレス)を発見することができる。ホットスポットBのアプリケーション層329は発見可能にすることができ、そのIPアドレスなどのアクセス層328のネットワーク発見情報を使用して、例えば公衆のインターネットを介して発見および/または到達されている可能性がある。アクセス層モジュール322は接続マネジャ(CM)を含むことができ、接続マネジャは、ホットスポットB 324を発見し、および/または接続の決定を行う際に実装することができる。ホットスポットB 324および/またはその識別情報は、例えばビーコンチャネルなどのアクセス層のシグナリングを介して発見することができる。MNO A 323、ホットスポットB 324、および装置321から得られるホットスポットB 324についての発見された情報間の関係に基づいて、何らかの発見を行うことができる。ホットスポットB 324からの発見された情報(例えば信号の強度、位置等)に基づいて、装置321のアクセス層モジュール322は、装置321がネットワーク通信のためにホットスポットB 324に切り替わるべきであると判断することができる。アクセス層モジュール322はその指令を装置のアプリケーション320に伝えることができる。例えば、311でCMがアプリケーション層のネットワーク発見情報を装置のアプリケーション320に送信することができる。
装置321は、アプリケーション層とアクセス層との間でブートストラップ認証情報(例えば鍵導出処理を使用して生成された)の転送が可能となるように構成することができる。アプリケーション320は、ネットワーク発見情報を処理してアクセス層ネットワークに適した識別を生成することができる。一実施形態によると、ネットワークのアクセス層に適した識別は、ユーザ/装置321のOpenID URLまたは電子メールアドレスログインであり、それをさらに処理/操作(例えばハッシュ処理して一意のユーザ/装置識別を生成する)して、アクセス層328のホットスポットB 324に対する識別に適した形式にすることができる。任意で、ノンス(nonce)またはシーケンスカウンタ値などの情報要素をハッシュ処理に加えるか、および/またはそれらの情報要素の一部をホットスポットB 324に通信してもよい。装置のアプリケーション320は、308で確立された自身のアプリケーション層識別および/またはホットスポットB 324のアクセス層発見情報に基づいて適切なアクセス層識別を決定することができる。アクセス層識別はアプリケーション層識別に結び付けられ、312で以後の送信のためにアクセス層モジュール322に送信されることができる。
313で、装置321は、アクセス層の適切な識別を使用してホットスポットB 324のアクセス層328にアタッチすることができ、装置のアクセス層モジュール322は、そのネットワークのアクセス層に適したアクセス層識別をホットスポットBのアクセス層328に中継することができる。次いで、314で装置321のアクセス層識別をホットスポットBのアプリケーション層329に渡し、装置のアクセス層識別子で装置321を識別できるようにアプリケーション層329に通知することができる。ホットスポットB 324のアプリケーション層329は、アクセス層328とは物理的に分離されるが、論理的に関連付けることができる。315で、装置321のアプリケーション320が、アプリケーション層の識別情報、および任意でアクセス層の識別をホットスポットBのアプリケーション層329に送信することができる。このアプリケーション層の識別を提供して、例えばホットスポットB 324にログオンすることができる。アプリケーション層の識別は装置321のアクセス層識別に結び付けることができる。
アプリケーション層の識別およびアクセス層の識別情報がアプリケーション層329を介して通信されると、316でアプリケーション層の識別および/または発見されたホットスポットB 324の情報を使用して、OpenIDに基づくMNO A 323の発見を行うことができる。315の識別情報の送信は、例えば313から314の呼び出しフローと同時に行っても、または別の時に行ってもよい。アプリケーション層の識別情報の例は、例えば、OpenID URLまたは電子メールアドレスのログイン識別またはアサーションを含むことができる。識別情報は、ユーザ/装置321の補足情報も含むことができる。
ホットスポットB 324は、自身のアクセス層328から受け取るアクセス層の識別情報と、アプリケーション層329から受け取る結び付けられたアプリケーション層の識別およびアクセス層の識別情報との両方を(例えばアクセス層で)統合および/または相関付けることができる。ホットスポットB 324は、313および315で受信したメッセージが同じユーザ/装置321からのものであるかどうかを判定することができる。例えば、アプリケーション層329で、ホットスポットB 324は、315で受け取ったアプリケーション層識別が314で受け取ったアクセス層識別に結び付けられていることを特定することができる。自身のアクセス層328およびアプリケーション層329で同じユーザ/装置321と通信していることを確認すると、ホットスポットB 324は、OPとして機能するMNO A 323と共にRPとして機能することができる。ホットスポットB 324は、316でMNO A 323の発見を行い、認証のためにMNO A 323をユーザ/装置321に誘導することができる(例えばOpenIDプロトコルの実行により)。装置のアプリケーション320は、MNO Aのアプリケーション327に対して(例えばアプリケーション層327のOPで)認証することができる。認証が成功した後、装置321をリダイレクトしてホットスポットB 324のアプリケーション329に戻すことができる。317で、ホットスポットB 324および装置321は各々、鍵導出機能を使用して成功したアプリケーション層の認証からアクセス層の認証情報333を生成することができる。例えば、アプリケーション320およびホットスポットB 324のアプリケーション層329は、アプリケーション層で逆ブートストラップ手順を行うことができ、それによりユーザ/装置321および/またはホットスポットB 324がアクセス層の認証情報333を作成することが可能になる。したがって、アクセス層の認証情報333は、316で行われるアプリケーション層の認証手順の副産物と言える。これらのアクセス層の認証情報333は、装置321のアクセス層モジュール322および/またはホットスポットB 324のアクセス層328に送信することができる。呼び出しフロー318および319で、アプリケーション層で生成されたアクセス層の認証情報333を使用して、装置321およびホットスポットB 324は認証を行い、通信のためにアクセス層のセキュアな関連付けを設定することができる。認証後、アクセス層の認証情報333は、ユーザ/装置321が後にアクセス層328でホットスポットB 324への認証を試みる時に記憶するか、および/またはユーザ/装置321に関連付けることができる。
一実施形態によると、モバイル装置321を持つユーザは、MNO A323に接続することができる。ユーザは、例えば映像サービス提供者などのサービス提供者に対してブートストラップ認証手順で認証することができる。この認証では、図3の307に示すように認証情報がブートストラップされる限り、当業者に知られる任意の各種技術を使用して、装置321にある事前に供給されたアクセス層の認証情報330を使用することができ、それによりアプリケーション層の識別を一意にネットワーク識別に関連付けることができる。MNO A 323はOpenIDプロバイダとして機能することができる。ホットスポットB 324はリライングパーティ(RP)として機能することができる。例示的実施形態によると、例えば映像サービス提供者からの映像を閲覧するなどのサービスにアクセスしている間に、ユーザがホットスポットBの範囲内に移動する可能性がある。ネットワークホットスポットBは、例えば、より高い帯域幅をより低い費用で提供する、および/または例えばOpenIDネットワークと提携している(または例えばMNO A 323もしくは別のMNOに関連付けられている)ような場合がある。ユーザは、原則として、提携しているOpenIDネットワーク(または関連付けられたMNO A 323)へのアクセスを許可される。例えば、ユーザは、自身が、OpenIDプロバイダのMNO A 323に関連付けられていることを証明することができる。
装置321は、例えばビーコンおよび/または同報通信メッセージを監視する等により、後続ネットワークのホットスポットB 324を発見する、および/または後続ネットワークについての情報を把握することができる。情報は、例えば接続マネジャ(CM)を通じてアクセス層モジュール322からアプリケーション320に渡すことができ、アプリケーション320はその情報を使用して、ユーザ/装置321のアプリケーション層識別を用いてアプリケーション層329でホットスポットB 324に接触することができる。装置321は、アクセス層322および328を通じてホットスポットB 324に識別情報を送信することができる。
アプリケーション層329ではなく、アクセス層328を介して識別情報が通信されると、ユーザ/装置321の識別情報を、例えば314に示すようにホットスポットB 324のアプリケーションまで渡すことができる。ホットスポットB 324は、OpenIDに基づくMNO A 323の発見に適するようにその情報をフォーマットすることができる。識別情報は、316でホットスポットB 324がMNO A 323を発見する、および/または要求しているユーザ/装置321の認証を試みるのに十分である可能性がある。ホットスポットB 324は、例えばリライングパーティとして機能することができ、OpenIDプロトコルを実行してユーザ/装置をリダイレクトして、MNO A 323で認証させることができる。MNO A 323は、例えばOpenIDサーバとして機能することができ、OpenIDプロトコルを実行してユーザ/装置321を認証することができる。ユーザ/装置321の認証が成功すると、ホットスポットB 324は、319で装置321とネットワークとの間にセキュアな接続を確立することができる。
ホットスポットB 324およびユーザ/装置321は、成功したOpenIDに基づく認証に基づいて共有認証情報を作成することができる。例えば、ユーザ/装置321および/またはホットスポットB 324は、後続アクセス層の認証情報333を逆ブートストラップすることができる。ホットスポットB 324とMNO A 323との間の関係に基づいて何らかの発見を行うことができる。この情報は、ユーザ/装置321のアプリケーション層識別および/または装置321のアプリケーション320から得られる発見されたホットスポットB 324の情報を介して取得することができる。ユーザ/装置321がMNO A 323に認証されると、ホットスポットB 324のアプリケーションからホットスポットB 324のアクセスネットワークへの認証情報の(逆)ブートストラップを通じて、装置321とネットワークとの間にセキュアな接続を確立することができる。
一実施形態によると、ホットスポットB 324がアプリケーション層の認証情報331からアクセス層の認証情報333を逆ブートストラップするために、ホットスポットB 324は、層間通信およびデータ操作/処理が可能となり、および/または層間に関係が存在するようにアクセス層の機能とアプリケーション層の機能とが設計される能力を有することができる。逆ブートストラップはユーザに対してシームレスに行うことができ、後続のネットワークホットスポットB 324のための認証情報332を装置321に事前に供給もしくはインストールする必要がなく、および/または人的介在は必要とされない。
後続ネットワークのアクセス層で認証を行うための本明細書に記載される実施形態は、ユーザレベルで顕著な特性を有することができる。例えば、ユーザは、ユーザまたは装置の識別子(例えば、OpenID識別子)を入力してサービスにログオンすることができ、ユーザは、事前に未知であったアクセスネットワーク(例えばホットスポットB 324)にアクセスすることができ、その間サービスはシームレスに中断のない状態を保つことができる。例えばアクセス層の認証情報333などの認証の認証情報は、後続ネットワークで事前に供給されなくてよい。これは、すでに実行されているアプリケーションサービスセキュリティまたはアプリケーション層の認証から認証の認証情報を逆ブートストラップできるためである。サービスは、固定線および/またはワイヤレスである。サービスは、さらに、例えば公衆のインターネットおよび/または同様のアクセス手段を介して到達可能な、ユーザの自宅にある独立したアクセスポイント(AP)であってもよい。
一実施形態によると、ハンドオフ(例えば、アクセス層のハンドオフ)の後にアプリケーション層のセキュリティを再度確立すべき場合は順方向の(forward)ブートストラップを使用することができる。順方向ブートストラップでは、そのような後続のアプリケーション層の認証のためのセキュリティ認証情報を、様々な以前の事例で確立されたセキュリティ認証情報(例えば、ハンドオフアクセス層の認証で使用された認証情報、以前のアプリケーション層の認証で使用された認証情報、またはさらにはハンドオフ以前にアクセス層の認証で使用された認証情報)に結び付ける。
本明細書に記載される実施形態では、独立した識別プロバイダを使用することができる。例えば、MNO A 323がOpenID識別プロバイダでなくてよく、および/または識別管理機能は別の第3者によって行われてもよい。第3者の識別プロバイダは、事前に確立されたMNO A 323との関係を使用してOpenIDプロバイダの役割を果たし、例えばOpenID/EAP−SIMやOpenID/GBAのブートストラップ能力などのプロトコルを使用して、MNO A 323から供給されたアクセス層の認証情報330からアプリケーション層の認証情報331を認証およびブートストラップすることができる。それと同じまたは同様のブートストラップ処理を後に使用して、装置321上にあるMNO A 323から供給された認証情報を利用して、ホットスポットB 324のためのアクセス層の認証情報333をブートストラップすることができる。
別の実施形態によると、ネットワーク主導のハンドオフを実装することができる。ネットワーク主導のハンドオフでは、ハンドオフは、例えばアクセスネットワークやアプリケーションサーバなどのネットワークによって開始することができる。一例では、MNO A 323が継続的に装置321を監視することができ、監視内容は、装置のある場所、測定情報、サービス品質等の情報を含むことができる。MNO A 323は、装置321周辺のローカル環境を把握することができる。MNO A 323がOpenIDプロバイダでもある場合は、MNO A 323は、装置321がハンドオフを発見および開始できるようにする適切なパラメータと共に、アプリケーション層でユーザ/装置にメッセージを送信して、ホットスポットB 324とのハンドオフを行わせることができる。シームレスなハンドオフを本明細書に記載されるように行うことができる。別の実施形態では、MNO A 323は、装置321とのアクセス層の通信を介して、装置321にハンドオフのトリガ情報を送信することができる。
別の実施形態によると、MNO A 323は、近くのローカルアクセスノードに要求を発行して、装置がそのノードの範囲内にある時に、装置321のアタッチおよび/または認証を試みることができる。ハンドオフをトリガするのはMNO A 323でなくともよい。装置321についての十分な情報を持つ任意のネットワーク構成要素、装置のローカルな通信環境、および/またはユーザ/装置321と通信する能力を持つエンティティがハンドオフをトリガできる場合がある。そのような場合、ネットワーク構成要素は、後続のアクセスネットワーク(例えば、ホットスポットB 324)を発見し、および/または、ユーザ/装置321と通信するためのセキュリティ能力および無線アクセス能力を取り決めることができる。ネットワーク構成要素は、その情報とハンドオフ情報をユーザ/装置321に通信することができる。
別の実施形態によると、アプリケーションで支援された認証情報のブートストラップを行うことができる。アプリケーションで支援された認証情報のブートストラップでは、装置321のアプリケーション320が、アプリケーションサーバ325が、ハンドオフを容易にするアプリケーション320の助けを借りて、後続のアクセスネットワークのホットスポットB 324のための認証情報のセットをブートストラップできることをアプリケーションサーバ325に通知することができる。アプリケーション320は、発見されたホットスポットB 324に関連する識別、例えばIPアドレス、および任意でOpenIDログインに類似する要求をアプリケーションサーバ325に送信することができる。アプリケーションサーバ325は、OpenIDプロバイダのように機能して、ホットスポットB 324のセキュリティ能力を取り決めることができる。アプリケーションサーバ325は、アクセス層でのホットスポットB 324および装置321のためのアクセス層の認証情報のセット333を逆ブートストラップすることができる。装置321のアプリケーション320とホットスポットB 324は、318に示すように互いを認証し、および/またはセキュアなチャネルを確立することができる。アプリケーションサーバ325と対象ホットスポットB 324との間の関係に基づいて何らかの発見を行うことができる。この情報は、装置321のアプリケーション320からの発見された情報を介して取得することができる。
後に発見されるネットワークの認証のための認証情報は、両終端点で事前に処理して、後の認証手順をより迅速に完了できるようにすることができる。これは、ネットワークが、装置が位置するローカルエリア、または装置が移動して向かっている先のローカルエリアを把握しているという知識に基づくことができる。装置がハンドオフの機会を探すように事前に構成されている場合、装置は、何らかの周期的な頻度で代替ネットワークを探し、検出された場合はハンドオフを要求することができる。ネットワーク側の事前処理は、2つ以上の代替アクセスノードで、またはそのようなノードに対して実施することができる。装置および/またはネットワークは、以前に使用したネットワークに使用した認証情報をキャッシュしておくことができる。装置および/またはネットワークは後にそれらの認証情報を認証に再使用することができる。この認証情報の再使用は、例えば装置が以前に離れたノードに戻る時に有用である場合がある。認証情報の再使用は、1つまたは複数のノードを代替的に動的に選択する場合も有用である場合がある(例えば、局所的に動的に変化する雑音のあるチャネルや品質のサービス環境などで)。
本明細書に記載される実施形態は、ローカルのOpenIDを使用することができる。例えば、独立型のローカルOpenIDを実装することができる。本明細書に記載されるように、プロトコルフローは、ローカルOpenIDを利用し、アクセス権/権限を付与することができる。
図4は、独立型のローカルOpenIDを使用したプロトコルの実現を説明する流れ図である。図4に示すように、流れ図は、ローカルIdP432、アプリケーション433(例えばブラウジングエージェント)、アクセス層モジュール434、MNO435、ホットスポット436、および/またはアプリケーションサーバ437間の通信を含むことができる。ローカルIdP432は、ユーザのワイヤレス通信装置に配置することができる。アプリケーション433および/またはアクセス層モジュール434は、ローカルIdP 432と同じワイヤレス通信装置に配置しても、異なるワイヤレス通信装置に配置してもよい。
図4に示すプロトコルは、シームレスなハンドオフおよび/または後続のアクセス層のセキュリティの関連付けの設定を可能にする。このプロトコルは、例えばクライアントのローカルにあるOpenID(すなわちローカルOpenID)プロトコルを使用する等により、装置と装置の現在のアクセス層ネットワークとの間のアクセス層のセキュリティ、および/またはユーザ/装置と外部のアプリケーションサーバ(AS)437との間に以前に確立されたアプリケーションセキュリティを実装することができる。
図4に示すように、装置は、ステップ401〜419の組合せを使用してアプリケーションサーバ(AS)/RP437との間でアプリケーション層で認証されることができ、装置は、ステップ419〜431の組合せを使用してアクセス層で後続ネットワーク(例えば、ホットスポット436)に対して認証されることができる。401で、装置のアクセス層モジュール434がMNO435にアタッチすることができる。装置のアクセス層モジュール434およびMNO435は、共有認証情報を使用して認証を行うことができる。認証の結果、アクセス層鍵Kを、装置のアクセス層モジュール434および/またはMNO435で確立することができる。402で、アクセス層鍵Kを装置に記憶することができる。例えば、アクセス層鍵Kは、例えば加入者識別モジュール(SIM)カード、汎用集積回路カード(UICC)、トラステッドプラットフォームモジュール(TPM)、または他の高信頼環境などの装置上の高信頼環境に記憶することができる。高信頼環境は、装置に含まれても、または例えば別個のモジュールや別個の装置/機器として装置に接続されてもよい。高信頼環境はローカルIdP432を含むことができる。例示的実施形態によると、高信頼環境とローカルIdP432は同一のエンティティとすることができる。ただし、高信頼環境は、例えば、アプリケーション433、アクセス層モジュール434、および/または装置に位置する他のエンティティも含むことができる。
403で、MNO435と装置のアクセス層モジュール434との両方がアクセス層鍵Kからアプリケーション層鍵K_appを導出することができる(すなわちK_app=f(K)。fは、MNO435と装置のアクセス層モジュール434との両方に知られている何らかの関数)。アプリケーション層鍵K_appは、ローカルIdP432が入手可能な状態にされる。404で、アクセス層鍵Kを使用して、アクセス層のセキュリティの関連付けが装置のアクセス層モジュール434とMNO435との間に確立される。
405で、ユーザがアプリケーション433を介してアプリケーションサーバ(AS)437にログインすることができる。ユーザは、例えばOpenIDプロバイダ(OP)識別子(例えば、URLまたは電子メールアドレス)を用いてログインすることができる。AS437はリライングパーティ(RP)として機能することができ、したがって本明細書ではAS/RP437と呼ぶことができる。406で、AS/RP437は MNO435の識別の発見を行うことができる。407で、MNO435とAS/RP437間の関連付けを設定し、関連付けハンドルを生成することができる。MNO435は、408で、アプリケーション鍵K_appおよび関連付けハンドルからセッション鍵K_sessionを導出することができる。409で、関連付けセキュリティプロトコルを使用してK_sesssionをAS/RP437に渡し、K_sessionを以後の関連付け鍵として使用することができる。410で、AS/RP437は、セッション鍵K_sessionおよび以後の関連付け情報を記憶することができる。411で、アプリケーション433は装置でリダイレクトされて、ローカルIdP432に対して認証することができる。リダイレクトメッセージは、セッションノンスおよび/または関連付けハンドルを含むことができる。412で、アプリケーション433は、カードアクセス層モジュール434を通じてローカルIdP432への接続を要求することができる。この要求は、例えばセッションノンスおよび/または関連付けハンドルを含むことができる。413で、ローカルIdP432へのリダイレクトを行うことができる。このリダイレクトも、セッションノンスおよび/または関連付けハンドルを含むことができる。414で、ローカルIdP432は、アプリケーション層鍵K_appおよび関連付けハンドルを使用して署名鍵K_sessionを導出することができる。ローカルIdP432は、装置にあるアプリケーション層鍵K_appにアクセスすることができる。ローカルIdP432は、415でOpenIDのアサーションメッセージを作成し、K_sessionを使用してそれに署名することができる。416で、ローカルIdP432は、署名したOpenIDアサーションメッセージをリダイレクトして、カードアクセスを通じて装置のアクセス層モジュール434に戻すことができる。装置のアクセス層モジュール434は、417で、署名済みのOpenIDアサーションを透過に装置のアプリケーション433にリダイレクトすることができる。装置のアプリケーション433は、418で署名済みのOpenIDアサーションメッセージを、ステップ411で受け取ったノンスと共に外部のAS/RP437にリダイレクトすることができる。419で、AS/RP437は、受信した署名済みのアサーションメッセージを記憶することができる。
装置がアプリケーション層でAS/RP437に対して認証されると、装置は、アプリケーション層の認証からの認証情報または鍵を使用して、アクセス層で後続ネットワーク(例えば、ホットスポット436)に対して認証することができる。図4に示すように、420で、装置のアクセス層モジュール434はホットスポット436を発見することができる。装置のローカルエンティティ(例えば、接続マネジャ(CM))が、装置が発見されたホットスポット436に切り替わるべきであると判断することができる。421で、装置のアクセス層モジュール434がホットスポット436の情報を装置のアプリケーション433に渡すことができる。422で、装置のアプリケーション433がOpenID識別子(例えば、URLまたは電子メールアドレス)を、前回使用されたアプリケーションサーバ437の識別と共に、後の発見のためにホットスポット436のアクセス層に渡すことができる。423で、装置のアプリケーション433は、ハンドオフの開始をAS/RP437に通知することができる。423のハンドオフの初期化は、発見されたホットスポット436の情報を使用して行うことができる。装置のアプリケーション433は、418で確立された自身のアプリケーション層の識別および/またはホットスポットB 436のアクセス層発見情報に基づいて、アクセス層の適切な識別を決定することができる。アクセス層の識別はアプリケーション層の識別に結び付けることができ、422で後の送信のためにアクセス層モジュール434に送信することができる。
図4のステップ424〜429に示すように、AS/RP437は、装置のアクセス層の認証を容易にすることができる。例えば、AS/RP437は、アサーションメッセージをアクセス層モジュール434に転送することができる。MNO435はアサーションを検証し、したがってアクセス層の識別を保証することができる。424で、装置のアクセス層モジュール434がホットスポット436にログイン要求を発行することができる。このメッセージに含まれるのは、例えば422で説明したOpenID識別子(例えば、URLまたは電子メールアドレス)、および/または前回アプリケーションサーバで使用された識別である。425で、ホットスポット436は、装置およびそのユーザの認証の情報をAS/RP437に要求することができる。例えば、ホットスポット436は、装置のアクセス層434から受け取ったOpenID識別子(例えば、URLまたは電子メールアドレス)についてのアサーションを要求することができる。426で、AS/RP437は、ステップ418でAS/RP437に受信され、ステップ425で受信されたOpenID識別子に対応する署名済みのアサーションメッセージをホットスポット436に返すことができる。427で、ホットスポット436は、MNO435のOpenIDサービスに、OpenID識別子(例えば、URLまたは電子メールアドレス)に対応する署名済みアサーションメッセージについて署名の検証を要求することができる。428で、MNO435は、署名を(例えばOpenIDサーバで)検証することができる。MNO435は、ステップ408からセッション鍵K_sessionを保持していることができる。MNO435は、429で、署名検証メッセージを(例えば自身のOpenIDサーバを使用して)ホットスポット436に提供することができる。
認証が成功した場合、ホットスポット436は、430で認証成功の肯定応答を装置のアクセス層モジュール434に送信することができる。装置のアクセス層モジュール434およびホットスポット436は、431で関連付けを設定して、両者の共通チャネルをセキュリティ保護することができる。対称鍵構造の導出で通信をセキュリティ保護することができる。図4に示すプロトコルのステップ431では、当業者に知られる各種の代替法を使用してアクセス層の鍵/認証情報を導出することができる。例えば、鍵導出機能を、署名の検証が済んだアプリケーション層のアサーションメッセージに使用することができる。
逆ブートストラップの実装は、本明細書に記載されるように明示的であっても暗黙的であってもよい。例えば、図4に示すプロトコルでは逆ブートストラップを暗黙的に実装することができる。アクセス層のセキュリティの関連付けがアプリケーション層から提供されるアサーションに基づいて確立されることが想定される場合は、例えばアクセス層鍵および/または認証情報を直接アプリケーション層の認証情報から明示的に導出するのではなく、逆ブートストラップは暗黙的に行うことができる。明示的な逆ブートストラップは、アクセス層鍵が、例えばアプリケーション層の認証情報から直接の逆ブートストラップの明示的なプロセスを介して導出される場合に行うことができる。
別の実施形態によると、プロトコルで、アクセス権/権限も付与するシームレスなハンドオフを可能にすることができる。例えば、図5は、アクセス権/権限も付与する、暗黙的な逆ブートストラップを使用したシームレスなハンドオフを可能にするプロトコルを説明する流れ図である。図5に示すプロトコルを使用すると、ホットスポット536が、例えばサービスにアクセスするためのアクセス層のハンドオフおよび権限、またはユーザのプライベートデータを得られるようにすることができる。
図5に示すように、501で、装置のアクセス層モジュール534は、例えばアクセス層でMNO535にアタッチすることができる。装置のアクセス層モジュール534およびMNO535は、共有認証情報を使用して相互認証を行うことができる。共有認証情報は、例えばアクセス層の共有認証情報である。認証の結果、アクセス層鍵Kを、装置のアクセス層モジュール534と、MNO535、例えばMNOのアクセス層との両方で確立することができる。502で、アクセス層鍵Kを装置に記憶することができる。例えば、アクセス層鍵Kは装置上の高信頼環境に記憶することができる。高信頼環境は、装置に含まれても、または例えば別個のモジュールや別個の装置/機器として装置に接続されてもよい。高信頼環境はローカルIdP532の機能を有することができる。高信頼環境は、図5に示すようにローカルIdP532と同じエンティティであってもよい。
503で、MNO535および/または装置のアクセス層モジュール534がアクセス層鍵Kからアプリケーション層鍵K_appを導出することができ(すなわちK_app=f(K)。fは、MNO535と装置のアクセス層534の両方に知られている何らかの関数)、K_appをローカルIdP532が入手可能な状態にすることができる。504で、K_appを使用して、アクセス層の関連付けを装置のアクセス層モジュール534とMNO535との間に確立することができる。505で、ユーザがアプリケーション533を介してアプリケーション層でAS/RP537にログインすることができる。例えばユーザはOP識別子(例えば、URLまたは電子メールアドレス)を用いてログインすることができる。506で、AS/RP537はMNO535の発見を行うことができる。507で、MNO535とAS/RP537間の関連付けを設定し、関連付けハンドルを生成することができる。508で、MNO535は、K_appおよび関連付けハンドルからK_sessionを導出することができる。509で、例えば元の関連付けセキュリティおよびK_sessionを以後の関連付け鍵として使用することにより、K_sesssionをAS/RP537に渡すことができる。510で、AS/RP537はK_sessionおよび後続の関連付け情報を記憶することができる。511で、アプリケーション533(例えば、BA)をAS/RP537により装置上でリダイレクトして、ローカルIdP532に対して認証させることができる。メッセージは、ノンスおよび/または関連付けハンドルを含むことができる。512で、アプリケーション533が、アクセス層534を通じてローカルIdP532への接続を要求することができる。この要求はノンスおよび/または関連付けハンドルを含むことができる。513で、ローカルIdP532へのリダイレクトが行われる。リダイレクトメッセージもノンスおよび/または関連付けハンドルを含むことができる。
514で、ローカルIdP532は、K_appおよび関連付けハンドルを使用して署名鍵K_session(例えば、アサーションメッセージを署名するため)を導出することができる。ローカルIdP532は、K_appにアクセスできる可能性がある。515で、ローカルIdP532はOpenIDアサーションメッセージを作成し、K_sessionを使用してアサーションメッセージに署名することができる。516で、ローカルに生成されたアクセス/権限付与トークンの提供元として機能するローカルIdP532が署名鍵K_tokenを導出することができる。署名鍵K_tokenは後にアクセス/権限付与トークンに署名するために使用することができる。そのようなK_tokenを導出する方式の1つは、K_appとK_sessionの両方を入力とする鍵生成機能(KGF)を使用するものである。例えば、K_token=f(K_app,K_session)である。517で、ローカルに生成されたアクセス/権限付与トークンの提供元として機能するローカルIdP532がアクセス/権限付与トークンを作成し、および/またはK_tokenでトークンに署名することができる。518で、ローカルIdP532は、署名したアサーション(署名済みOpenIDアサーションおよび署名済みアクセス/権限付与トークンの両方)をリダイレクトしてアクセス層534(例えば、カードアクセス)を通じて装置のアクセス層に戻すことができる。519で、装置のアクセス層534は、署名したアサーション(OpenIDアサーションおよびアクセス/権限付与トークン)を装置のアプリケーション533にリダイレクトすることができる(透過なリダイレクトで)。520で、装置のアプリケーション(例えば、BA)が、署名したアサーション(OpenIDアサーションおよびアクセス/権限付与トークン)を、511で受け取ったノンスと共に外部のアプリケーションAS/RP537にリダイレクトすることができる。AS/RP537は、受け取った署名済みアサーションメッセージを記憶することができる。
521で、装置は、自身のアクセス層モジュール534を介してホットスポット536を発見することができる。装置の接続マネジャ(CM)は、装置が発見されたホットスポット536に切り替わるべきと判断することができる。522で、装置のアクセス層モジュール534は後続ホットスポットの情報を装置のアプリケーション533に渡すことができる。523で、装置のアプリケーション533は、OpenID識別子を、前回使用されたアプリケーションサーバ識別と共にホットスポット536のアクセス層に渡すことができる。装置のアプリケーション533は、524で、発見されたホットスポット536へのハンドオフの開始をAS/RP537に通知することができる。これは、装置のアクセス層モジュール534が、例えばホットスポット536にログイン要求を送信することによって行うことができる。このメッセージには、OpenID識別子および/またはアクセストークンを含めることができる。アプリケーション533は、このトークンをステップ519から保持していることができる。525で、ホットスポット536は、MNO535のOpenID/OAuthサーバを発見することができる。526で、ホットスポット536は、MNO535のOpenID/OAuthサーバに、OpenID識別子および/または署名済みアクセストークンを使用してユーザ/装置を認証し、アクセスを許可するように要求することができる。527で、MNO535のOpenID/OAuthサーバは署名鍵K_tokenを計算することができる。署名鍵K_tokenは、例えばステップ516でK_tokenが計算されたとの同じ方式で計算することができる。528で、MNO535のOpenID/OAuthサーバは、ステップ527で計算したK_tokenを使用して、受け取ったアクセストークンの署名を検証することができる。529で、MNO535のOpenID/OAuthサーバは、アクセストークンの肯定のアサーションを、ユーザ/装置の任意の追加的な識別情報と共にホットスポットに送信することができる。530で、認証が成功した場合、ホットスポット536は、アクセス層モジュール534で装置に認証成功の肯定応答を送信することができる。531で、装置531のアクセス層モジュール534およびホットスポット536は、セキュリティの関連付けを相互に設定することができる。その後に鍵の導出および/またはセキュアな通信が行われることができる。
本明細書に記載されるように、アプリケーション層の認証情報を使用して、本明細書に記載されるように、ユニバーサルアクセス方法(UAM)および/または拡張可能認証プロトコル(EAP)を利用した公衆のホットスポットにおける後のアクセス層またはIP層の認証で使用される認証情報を生成することができる。
OpenIDとUAMを利用する公衆のホットスポットとを統合するための実装の選択肢は、種々のネットワークエンティティがリライングパーティ(RP)またはOpenIDプロバイダ(OP)として機能する各種実装を含むことができる。例えば、ホットスポットの認証、認可および課金(AAA)サーバがRPとして機能する、ホットスポットのワイヤレスローカルエリアネットワーク(WLAN)ゲートウェイがRPとして機能する、ホットスポットのキャプティブポータルがRPとして機能する、ホットスポットアクセスポイント(AP)がRPとして機能する(例えばカフェで使用されるホットスポットなど小さなホットスポットの場合)、および/またはホットスポットのAAAサーバがOPとして機能する等が可能である。RP機能を実装するホットスポットのAAAサーバおよびWLANゲートウェイを使用する、OpenIDとUAMの統合の例示的実施形態を図6および図7に説明することができる。他の実施形態も実装は同様であるが、異なる展開モデルを有することが理解されよう。
例示的実施形態によると、モバイル装置を持つユーザが、OPサーバとして機能するMNO Aに接続することができる。ユーザは、装置上の事前に供給されたアクセス層の認証情報を使用して、ブートストラップ認証手順でサービスに対して認証することができる。ブートストラップ認証手順は、アプリケーション層識別を一意にネットワーク識別に関連付けることができる。例として、認証はOpenIDを使用して行うことができるが、任意の他の同様の認証プロトコルを使用してもよい。OpenIDが実装されている場合、MNO AはOpenIDプロバイダとして機能し、および/または、ホットスポットBのWLANゲートウェイがリライングパーティとして機能することができる。
装置は、MNO Aに接続すると、別のネットワークを(例えば、ビーコンまたは同報通信メッセージを監視することにより)発見する、および/またはアクセス層で新たに発見したネットワークについての情報を把握することができる。この情報は、例えば接続マネジャ(CM)を通じて、装置上のアプリケーションに渡すことができる。装置のアプリケーションは、発見されたネットワークに関する情報を使用して、ユーザ/装置の識別を用いてアプリケーション層でホットスポットBのWLANゲートウェイに接触することができる。この識別情報は、図6に示すようにRPとして機能するAAAサーバおよび/または図7に示すようにRPとして機能するWLANゲートウェイがMNO Aを発見し、要求元のユーザ/装置の認証を試みるのに十分である可能性がある。OP←→RPプロトコルを、MNO A(OpenIDサーバとして機能する)と、ホットスポットBのWLANゲートウェイまたはAAAサーバ(リライングパーティとして機能する)の少なくとも一方とによって実行して、ユーザ/装置を認証することができる。ユーザ/装置の認証が成功すると、ユーザ/装置はホットスポットBへのアクセスを許可されることができる。例えば、図6では、AAAサーバがユーザを認証し、認証成功の通知(アクセス受付けメッセージ)をホットスポットBのWLANゲートウェイに送信すると、ユーザのホットスポットBへのアクセスを許可することができる。同様に、図7では、ホットスポットBのWLANゲートウェイがユーザ/装置を認証すると、ユーザ/装置のホットスポットBへのアクセスを許可することができる。この認証は、ユーザに対してシームレスに、および/または後に発見されるネットワーク(ホットスポットB)のための認証情報を装置に事前に供給またはインストールする必要なしに、または人的介在を必要とせずに行うことができる。
図6は、RPとして機能するAAAサーバ617を使用する、UAMとOpenIDの統合を説明する流れ図である。図6に示すように、UE614、AP615、WLAN GW 616、AAAサーバ/RP617、および/またはOPサーバ618が通信を行って、UE614がワイヤレスネットワークに対して認証することを可能にする。UE614のローカルコンポーネント(例えばCM)が、ホットスポットの識別の情報(例えば「MNO−WiFi」SSID)に基づいてホットスポットAP615を発見することができる。識別の情報は、例えばビーコンチャネルなどのアクセス層のシグナリングを介して発見することができる。UE614のローカルコンポーネント(例えばCM)は、UE614がそのホットスポットに切り替わるべきであると判断し、その指令をUE614のアプリケーション層に伝えることができる。UE614のローカルコンポーネントは、アプリケーション層ネットワークの発見情報をUE614のアプリケーション(例えばブラウザ)に送信することができる。
図6に示すように、601で、UE614は、オープンモードのアクセスポイント(AP)615に関連付けることができる。例えば、UE614は、アクセス層で取得した識別の情報(例えば、「MNO−WiFi」SSID)を使用してそのような関連付けおよび/またはオープンモードアクセスを行うことができる。UE614が(例えば、DHCPを使用して)IPアドレスを取得するように構成されている場合、WLANゲートウェイ(GW)616は、602でUE614にプライベートIPアドレスを割り当てることができる。WLAN GW616でUE614の状態が「未許可」に設定されている場合があるため、ユーザは、そのプライベートIPアドレスを使用してインターネットにアクセスできない場合がある。
ユーザは、UE614でウェブブラウザアプリケーションを開き、603でWLAN GW616がウェブページ(例えばユーザのホームページ)の要求をUE614から受け取ることができる。WLAN GW616は、604でUE614のブラウザをポータルページ(例えばIP/URI)にリダイレクトし、ポータルページがユーザにログイン認証情報を要求する。ユーザは自身のOpenID識別子(例えば、URLまたは電子メールアドレス)をログインページで入力することができる。605で、WLAN GW616は、UE614からログイン認証情報を受け取り、WLAN GW616は、受け取ったログイン認証情報を使用して、設定されたAAAサーバ/RP617へのアクセス要求メッセージを生成することができる。WLAN GW616は、606でアクセス要求メッセージをAAAサーバ/RP617に送信することができる。
RPとして機能するAAAサーバ617は、607でOPサーバ618の発見および/またはOPサーバ618との関連付けを行うことができる(例えばOpenIDプロトコルを使用して)。608で、AAAサーバ/RP617は、UE614をOPサーバ618にリダイレクトすることができる。UE614は、609でOPサーバ618に対して認証することができる(例えばOpenID認証情報を使用して)。OPサーバ618は、610で、認証アサーションと共にUE614をAAAサーバ/RP617にリダイレクトすることができる。UE614は、611で、アサーションおよびUE614が認証が成功した旨の通知をAAAサーバ/RP617に提示することができる。
612で、AAAサーバ/RPは、認証成功の通知(例えばアクセス受付けメッセージ)をWLAN GW616に送信するか、および/またはWLAN GW616におけるユーザ/UE614のステータスを「許可」状態に変更する指示を送信することができる。WLAN GW616は、613で、ユーザのブラウザを開始ページにリダイレクトし、ユーザがWLANネットワークを通じてインターネットにアクセスすることを可能にすることにより、ユーザ/UE614に認証成功を知らせることができる。
OpenID RP機能をAAAサーバ617に組み込むことにより、AAAサーバ617は認証のためにHLR/HSSと通信せずに済む。また、ユーザは自身の認証情報をWLAN GW/RPに送信せずに認証および/またはWLAN GW/RPにアクセスすることができるため、ユーザ認証をセキュアにすることができる。
図7は、RPとして機能するWLAN GW714を使用する、UAMとOpenIDとの統合を説明する流れ図である。図7に示すように、UE712、AP713、WLAN GW/RP714、および/またはOPサーバ715が通信を行って、UE712がワイヤレスネットワークに認証してサービスにアクセスできるようにする。UE712のローカルコンポーネント(例えば、CM)が、ホットスポットの識別の情報(例えば、「MNO−WiFi」SSID)に基づいてホットスポットAP713を発見することができる。AP713は、例えばビーコンチャネルなどのアクセス層のシグナリングを介して発見することができる。UE712のローカルコンポーネント(例えばCM)は、UE712がホットスポットAP713に切り替わるべきであると判断し、その指令をUE712のアプリケーション層に伝えることができる。UE712のローカルコンポーネントは、アプリケーション層ネットワークの発見情報をUE712のアプリケーション(例えばブラウザ)に送信することができる。
図7に示すように、701で、UE712は、オープンモードのアクセスポイント(AP)713に関連付けることができる。例えば、UE712は、「MNO−WiFi」SSIDおよび/またはオープンモードアクセス使用してそのような関連付けを行うことができる。UE712がDHCPを使用してIPアドレスを取得するように構成されている場合、WLAN GW/RP714が702でプライベートIPアドレスをUE712に割り当てることができる。ユーザは、そのIPアドレスを使用してインターネットにアクセスできない場合がある。この時点で、WLAN GW/RP714におけるUE712の状態は「未許可」に設定されている場合があり、そのためWLAN GW/RP714を介してサービスにアクセスできない場合がある。
ユーザは、UE712でウェブブラウザアプリケーションを開くことができる。703で、WLAN GW/RP714は、UE712からウェブページ(例えばユーザのホームページ)の要求を受け取ることができる。WLAN GW/RP714は、704でUE712のブラウザをポータルページ(例えば、IP/URI)にリダイレクトし、ポータルページがユーザにログイン認証情報を要求する。ユーザは自身のOpenID識別子(例えば、URLまたは電子メールアドレス)をログインページで入力することができる。
705で、WLAN GW/RP714はUE712からログイン認証情報を受け取り、WLAN GW/RP714は、受け取ったログイン認証情報を使用してOPサーバ715の発見および/またはOPサーバ715との関連付けを行うことができる。706で、RPとして機能するWLAN GW/RP714が(例えば、OpenIDプロトコルを使用して)OPサーバ715の発見および/またはOPサーバ715との関連付けを行うことができる。WLAN GW/RP714は、707でUE712をOPサーバ715にリダイレクトすることができる。UE712は、708で(例えば、OpenID認証情報を使用して)OPサーバ715に対して認証することができる。709で、OPサーバ715は、UE712をWLAN GW/RP 714にリダイレクトすることができる。709のリダイレクトメッセージは認証アサーション情報を含むことができる。UE712は、710で、アサーション情報および/またはOPサーバ715への認証が成功した旨の通知をWLAN GW/RP714に提示することができる。受け取ったアサーション情報および/または認証成功の通知に基づいて、WLAN GW/RP714はユーザのステータスを「許可」状態に変更することができる。WLAN GW/RP714は、UE712のブラウザを開始ページにリダイレクトすることによって認証の成功をユーザ/UE712に知らせ、ユーザはWLANネットワークを通じてインターネットにアクセスすることができる。711で、ユーザ712がWLANネットワークを通じてインターネットにアクセスできるようにすることができる。
図7に示すようにOpenIDのRP機能をホットスポットのWLAN GW714に組み込むことにより、AAAサーバを認証のために使用せずに済む。WLAN GW714はRADIUS機能を使用しなくてよい。図6に示す実施形態と同様に、図7の認証の実装は、ユーザが自身の認証情報をWLAN GW714に送信せずに認証および/またはホットスポットにアクセスすることができることから、セキュアな認証を含むことができる。図7に示す実装では、WLANサービス/ホットスポットの提供者は、認証が簡略化されるために、大きな顧客基盤に達することができる。例えば、1つのホットスポットで複数のOPに対応することができ、サービスを複数のMNO(例えばOPサーバ715として機能する)から顧客に提供することが可能となり、同時にMNOにより提供される認証の基盤から利益を得ることができる。
本明細書には、EAPを利用する公衆ホットスポットで後続のアクセス層またはIP層の認証で使用するために、(例えば逆ブートストラップを使用して)アプリケーション層の認証情報から認証情報を生成する認証の実施形態も記載される。ユーザレベルでは、ユーザはOpenID識別子を入力してサービスにログインし、例えばホットスポットBなどの事前に未知であったアクセスネットワークにアクセスすることができ、その間サービスはシームレスに中断のない状態を保つことができる。アクセス層またはIP層の認証情報は、すでに実行されているアプリケーションサービスセキュリティからブートストラップすることができるため、後続アクセスネットワークで事前に供給されなくてよい。
EAPを利用した公衆ホットスポットを使用する認証の記載される実施形態は、OpenIDを組み込むための実装の選択肢を含むことができる。OpenIDと802.1x/EAPの公衆ホットスポットを統合するための実装の選択肢は、RPとして機能するホットスポットAAAサーバの使用、OPとして機能するホットスポットのAAAサーバの使用、および/またはEAP−OpenIDの使用を含むことができる。
図8は、RPとして機能するAAAサーバ820を使用する、EAPとOpenIDとの統合を説明する流れ図である。ホットスポットのAAAサービスにRP機能を組み込むことにより、例えば3GPPネットワークとWLANネットワーク間のシームレスな認証および/またはサービスの継続性の支援を可能にすることができる。UE818および/またはOPサーバ821で導出された鍵を利用してEAP−SIM/AKA認証を完了し、アクティブな接続(例えば、3GPP接続)を使用してOpenID認証を交換し、および/またはホットスポットAP819がUEとOpenIDの交換を行えるようにすることにより、ユーザは、AAAサーバ820にRPモジュールを組み込んだ公衆のホットスポットでシームレスに認証されることができる。
図8に示すように、UE818および/またはそのユーザは、UE818、AP819、AAA/RPサーバ820、および/またはOPサーバ821間の通信を使用して認証することができる。UE818、AAA/RPサーバ820、および/またはOPサーバ821は各々、アプリケーション層で通信することが可能なアプリケーションを含むことができる。UE818、AP819、および/またはAAA/RPサーバ820は各々、IP層の通信が可能なIP層通信モジュールを含むことができる。UE818および/またはAAA/RPサーバ820は、各自のアプリケーションとIP層通信モジュールとの間の通信を可能にするように構成することができる。OpenID識別プロバイダ(OP)は、例えばMNOまたはMNOに関連付けられたアプリケーションサービスプロバイダである。OPサーバ821は複数のMNOに対応することができ、広い顧客基盤がホットスポットを使用できるようにする。AAAサーバ820はRPとして実装することができ、UE818および/またはOPサーバ821上の鍵822(例えばアプリケーション層で導出される)を活用することができる。例示的実施形態によると、アプリケーション層の鍵822を活用してEAP−SIM/AKA認証を完了することができる。
図8に示すように、801で、UE818はアクセスネットワークの通信(例えば、3GPPアクセスネットワーク通信)を介してOPサーバ821に対する認証を成功して完了することができる。801で、UE818とOPサーバ821は共有鍵822を設定することができる。共有鍵822は、例えばUE818とOPサーバ821との間でアプリケーション層で確立されたアプリケーション層の認証情報である。UE818のローカルコンポーネント(例えば、接続マネジャ(CM))は、802で、例えば「MNO−WiFi」SSIDなどのAP819の識別の情報に基づいてAP819を発見することができる。AP819の識別の情報は、例えばビーコンチャネルなどのアクセス層のシグナリングを介して発見することができる。UE818(例えば、CMを実装している)は、サービスにアクセスするためにAP819に切り替わるべきであると判断することができる。UE818は、AP819のネットワークの未許可クライアントである可能性がある。
AP819(例えば認証者)は、803で、UE818の識別を求めるEAP要求を発行することができる。804で、UE818は、識別子、例えば自身の永続的な識別(例えば、移動加入者識別番号(IMSI))、仮名(pseudonym)識別、高速認証識別、またはUE818の他の同様の識別子を返すことができる。アクセス層識別子は、例えば領域(realm)などの追加的な認証の情報と共に返すことができる。領域は、例えばシングルサインオン(SSO)認証を使用するためのヒント(例えば、IMSI@sso.MNO.com)など、認証を行う際に使用する追加的な情報を含むことができる。
AP819は、805でアクセス層識別子をAAA/RPサーバ820に送信することができる。アクセス層識別子、およびAP819とAAA/RPサーバ820との間の他の通信は、例えばRADIUSのアクセス要求、アクセスチャレンジ、および/またはアクセス受付けメッセージを使用して送信することができる。AAA/RPサーバ820は、AAA/RPサーバ820のアプリケーション層にアクセス層識別子を送信することができる。アクセス層識別子および/または事業者のポリシに基づいて、AAAサーバ820のRP機能は、806でOPサーバ821の発見および/またはOPサーバ821との関連付けを行うことができる。発見および/または関連付けは、例えばOpenIDプロトコルを使用して行うことができる。806の発見および/または関連付けの際に、AAA/RPサーバ820はアクセス層識別子をOPサーバ821に送信することができる。例えば、アクセス層識別子は、アプリケーション層でAAA/RPサーバ820とOPサーバ821との間で送信することができる。OPサーバ821は、アクセス層識別子および/またはアプリケーション層の認証情報822を使用して、AAA/RPサーバ820でUE818の認証に使用することができる鍵材料を生成することができる。例えば、OPサーバ821はアクセス層識別子を使用して、UE818に関連付けられたアプリケーション層の認証情報822を判定することができる。鍵材料は、アプリケーション層の認証情報822から鍵導出機能を使用して導出することができる。例示的実施形態によると、鍵材料は、UE818とAAA/RPサーバ820との間の認証に使用できるセッション鍵を含むことができる。807で、OPサーバ821は鍵材料をAAA/RPサーバ820に送信することができる。
AAA/RPサーバ820は、OPサーバ821から受け取った鍵材料を使用して、EAP−SIM/AKAチャレンジをUE818に送信することができる。EAP−SIM/AKAチャレンジを送信することにより、例えばHLR/HSSとインタフェースを取る、または通信する必要なく、再認証手順を可能にすることができる。808で、AAA/RPサーバ820は、アクセスチャレンジをAP819に送信することができる。アクセスチャレンジは、UE818に関連付けられた識別子および/または807で受け取られた鍵材料を含むことができる。AP819は、809で、AAA/RPサーバ820から受信したEAPメッセージ(例えば、EAP−要求/チャレンジ)を無線アクセスネットワークを介してUE818に送信することができる。EAP−要求/チャレンジメッセージを受信すると、UE818は鍵材料を確認してメッセージの有効性を確認し、810でアプリケーション層の認証情報822を使用してEAPレスポンスを生成することができる。例えば、UE818は、UE818に存在する高信頼環境(例えば、信頼できる処理モジュール、UICC、SIM、スマートカード等)にチャレンジを送信し、高信頼環境で鍵導出機能を使用してアプリケーション層の認証情報822から鍵材料を導出することができる。鍵材料は、アプリケーション層の認証情報を使用してOPサーバ821で生成された鍵材料と同じであってよい。例えば、鍵材料は、UE818とAAA/RPサーバ820との間の認証に使用することが可能なセッション鍵を含むことができる。810で、鍵材料を使用してレスポンスを生成することができる。レスポンスは、UE818のアプリケーション層で生成し、AP819に送信するためにアクセス層に送ることができる。
UE818は、811で、例えば再認証手順を使用して、EAPレスポンスメッセージの形態でAP819にレスポンスを返すことができる。レスポンスは、UEの識別子および/またはUE818で生成された鍵材料(例えば、セッション鍵)を含むことができる。AP819は、812で、EAP−レスポンス/チャレンジメッセージを、例えばアクセス要求メッセージの形態などでAAA/RPサーバ820に転送することができる。812におけるアクセス要求は、EAP IDおよび/または811でUE818から得られた鍵材料を含むことができる。AAA/RPサーバ820は、812で、受信したメッセージの有効性を確認し、および/または受信したレスポンスが予想されるレスポンスと一致するかどうかを検査し、その検査が合格すると、AAA/RPサーバ820は、認証の成功および/またはUE818がWLANネットワークを使用してサービスにアクセスできることを知らせることができる。例えば、813で、AAA/RP820は、アクセス受付けメッセージをAP819に送信することができる。アクセス受付けメッセージは、EAP成功の通知および/または鍵材料を含むことができる。AP819は、814でEAP成功の指示をUE818に転送することができる。815で、AP819におけるUE818のステータスが、AP819の使用を許可された状態になることができる。UE818に権限が付与されるのに伴って、UE818は、816でDHCPを使用してIPアドレスを取得することができる。例えば、UE818は、817で例えばそのIPアドレスを使用してWLANネットワークを通じてインターネットにアクセスすることができる。
図8に示す呼び出しフローまたはその一部を使用すると、ホットスポットのAAAサーバ820は、EAPプロトコルを使用して認証を行うためにMNO HLR/HSSに接続せずに済む。例えば、本明細書に記載されるようにOpenIDを使用することにより、例えばAAAサーバ820または他のRPエンティティは、ユーザ認証を行うための例えばHLR/HSSまたは他のSS7エンティティとの通信を回避することができる。代わりに、AAAサーバ820は、例えばOpenID用のインターネットプロトコル(IP)に基づくHTTP(S)インタフェースなどのIPに基づくHTTP(S)インタフェースと通信することができる。
図9は、RPとして機能するAAAサーバ923を使用する、EAPとOpenIDとの統合を説明する別の流れ図である。図9に示すように、UE921および/またはそのユーザは、UE921、AP922、AAA/RPサーバ923、および/またはOPサーバ924間の通信を使用して、WLAN通信のための認証を受けることができる。UE921、AAA/RPサーバ923、および/またはOPサーバ924は各々、アプリケーション層の通信が可能なアプリケーションを含むことができる。UE921、AP922、および/またはAAA/RPサーバ923は各々、IP層の通信が可能なIP層通信モジュールを含むことができる。UE921および/またはAAA/RPサーバ923は各々、各自のアプリケーションとIP層通信モジュールとの間の通信を可能にするように構成することができる。例示的実施形態によると、AP922は、未許可のUE921についてのOpenIDの交換を可能にするように構成することができ、UE921は、AP922を介してAAA/RPサーバ923および/またはOPサーバ924に到達し、通信することができる。
図9に示す実施形態では、例えば図8に示すようにUE921とOPサーバ924間で以前に共有されていた新しい鍵がない場合がある。したがって、UE921および/またはOPサーバ924は、認証およびアプリケーション層の識別鍵925の生成を行うことができる。AAAサーバ923はRPとして機能し、接続(例えば3GPP接続)を使用してOpenID認証を行うことができる。UE921は、複数のネットワークとの間に同時に接続を確立することが可能な装置とすることができる(例えばUE921は、3GPPネットワークおよびWLANホットスポットを同時に介して接続を確立することが可能なマルチRAT装置とすることができる)。図9に示すように、確立された3GPP接続を使用してOpenIDメッセージを交換し、EAP−SIM/AKA認証を完了することができる。図9ではアクティブな3GPP接続で確立された認証情報を使用してWLANを通じた通信のための認証を行うが、他形態のワイヤレス接続を同様に使用して図9に示すように認証を行ってよいことは理解されよう。
901で、UE921は、アクティブな3GPP接続を確立し、その接続を通じてAAA/RPサーバ923および/またはOPサーバ924に到達することができる。別の例示的実施形態によると、AP922は、901で確立された3GPP接続を使用するのではなく、UE921の認証のためにOpenIDの交換を可能にすることができる。いずれの実施形態でも、プロトコルの流れは図9に示すものと同じまたは同様である。引き続き図9のプロトコルフローを参照すると、UE921のローカルコンポーネント(例えばCM)は、902でAP922および/またはその識別情報、例えば「MNO−WiFi」SSIDを発見することができる。AP922は、例えばビーコンチャネルなどのアクセス層のシグナリングを介して発見することができる。UE921のローカルコンポーネント(例えば、CM)は、UE921がAP922に接続すべきであると判断することができる。UE921はAP922においては未許可クライアントであり、ネットワークを通じたアクセスができない場合がある。
903で、AP922(例えば、認証者)は、UE921のIP層の識別を求めるEAP要求を発行することができる。UE921は、904でEAPレスポンスを介して自身のIP層識別を返すことができる。UE921のIP層識別は、移動加入者識別番号(IMSI)および/または追加的な認証の情報を含むことができる。追加的な情報は例えばUE921の領域を含むことができる。領域は、例えばSSO認証を使用するためのヒント(例えば、IMSI@sso.MNO.com)などの追加的な認証の情報を含むことができる。AP922は、905でIP層の識別(EAP ID)をAAA/RPサーバ923に送信することができる。IP層の識別ならびにAP922とAAA/RPサーバ923との間の他の通信は、RADIUSアクセスメッセージ、例えばRADIUSアクセス要求メッセージ、RADIUSアクセスチャレンジメッセージ、および/またはRADIUSアクセス受付けメッセージなどを使用して送信することができる。
AAA/RPサーバ923は、906でOPサーバ924を発見し、OPサーバ924との関連付けを行うことができる。例えば、AAAサーバ923のRP機能で、OpenIDプロトコルを使用してOPサーバ924の発見と関連付けを行うことができる。907で、UE921のアプリケーションが、リライングパーティ(RP)として機能することができるAAA/RPサーバ924にログイン要求を送信することができる。907におけるログイン要求は、例えばOpenIDを用いた3GPP接続を通じて送信することができる。UE921のアプリケーションは、UE921のローカルエンティティ(例えば、CM)からの通信開始の指示に基づいてログイン要求を送信することができる。3GPPのワイヤレス接続を通じてUE921と通信する間、AAA/RPサーバ923は、908でUE921をOPサーバ924にリダイレクトすることができる。
UE921は、909で3GPP接続を通じてOPサーバ924に対して(OpenID認証情報を使用して)認証することができる。例えば、UEは、OpenID認証情報を使用してOPに認証することができる。OPサーバ924に対する認証が成功すると、アプリケーション層の認証情報925をUE921および/またはOPサーバ924で確立することができる。OPサーバ924は、アプリケーション層の認証情報925に基づいて鍵材料を生成することができる。鍵材料は、UE921とAAA/RPサーバ923との間の認証に使用することができる。鍵材料は、鍵導出機能を使用してアプリケーション層の認証情報925から導出することができる。例示的実施形態によると、鍵材料は、AAA/RPサーバを使用した認証に使用されるセッション鍵を含むことができる。
OPサーバ924は、910で、アプリケーション層の認証情報925に基づく鍵材料をAAA/RPサーバ923に送信することができる。AAA/RPサーバ923は、鍵材料をアプリケーション層で受信し、鍵材料をAP922に送信するためにIP層通信モジュールに通信することができる。AAA/RPサーバ923は、911で、鍵材料を使用してAP922を介してEAP−SIM/AKAチャレンジをUE921に送信することができる。このチャレンジは再認証手順に基づくことができ、その場合AAA/RPサーバ923は例えばHLR/HSSと通信する必要なしに認証を行うことができる。911におけるチャレンジは、EAP IDおよび/または910で受け取った鍵材料を含むことができる。AP922は911でチャレンジを受信し、912で、AAA/RPサーバ923から受信したEAPメッセージ(EAP−要求/チャレンジメッセージ)をUE921に送信することができる。
912でEAP−要求/チャレンジメッセージを受信すると、UE921は、913でアプリケーション層の認証情報925を使用してレスポンスを生成することができる。UE921は、AAA/RPサーバから受信した鍵材料を調べ、高信頼環境(例えば、信頼できる処理モジュール、UICC、SIM、スマートカード等)にチャレンジを送信し、高信頼環境はアプリケーション層の認証情報925を使用してレスポンスを生成する。例えば、UE921の高信頼環境は、鍵導出機能を使用してアプリケーション層の認証情報925から鍵材料を導出することができる。鍵材料は、OPサーバ924でアプリケーション層の認証情報925を使用して生成された鍵材料と同じであってよい。例えば、鍵材料は、UE921とAAA/RPサーバ923との間の認証に使用できるセッション鍵を含むことができる。913で、鍵材料を使用してレスポンスを生成することができる。レスポンスは、UE921のアプリケーション層で生成し、AP922に送信するためにアクセス層に送信することができる。
UE921は、914で再認証手順に基づいてEAP−レスポンスメッセージでレスポンスをAP922に返すことができる。EAP−レスポンスメッセージは、IP層識別子および/またはアプリケーション層の認証情報925から生成された鍵材料を含むことができる。AP922は、915でEAP−レスポンス/チャレンジメッセージをAAA/RPサーバ923に転送することができる。AAA/RPサーバ923は、EAP−レスポンス/チャレンジメッセージ内の鍵材料を検査することによりUE921を認証することができ、検査が合格した場合、AAA/RPサーバ923は、UE921がWLANネットワークを通じてサービスにアクセスすることを可能にすることができる。例えば、AAA/RPサーバ923は、EAP成功および鍵材料を含むアクセス受付けメッセージを916でAP922に送信することができる。917で、EAP成功メッセージをUE921に転送することができる。918で、UE921のステータスがAP922で「許可」の状態になることができる。UE921は、919で例えばDHCPを使用してAP922からIPアドレスを取得し、920でWLANネットワークを通じてインターネットにアクセスすることができる。
本発明ではOpenIDを使用して、UE921とOPサーバ924との間で共有認証情報(例えばアプリケーション層の認証情報925)を作成する。アプリケーション層の認証情報925は、AAA/RPサーバ923でユーザ/UE921の認証に使用することができる。図9に示す実施形態は、UE921がOPサーバ924に対して認証し、秘密925を共有することを可能にする。UE921とOPサーバ924との間の認証により、UE921とOPサーバ924との間の(例えば、OpenID−AKAを使用した)認証が成功すると、アプリケーション層の認証情報925を生成できるようにする。次いで、OPサーバ924は、アプリケーション層の認証情報925を使用してアサーションに署名し、アサーションは910でAAA/RPサーバ923に送信され、次いでアプリケーション層の認証情報925を使用してAAA/RPサーバ923によって検証される。例えばOpenID手順の一部としてOPサーバ924とUE921との間で秘密鍵925が生成されると、別のネットワークエンティティを使用してEAP認証情報(例えば、鍵材料)をUE921に(例えば、UE921のCMに)送付することができる。
この場合も、図9に示すプロトコルフローまたはその一部を使用すると、ホットスポットのAAAサーバ923は、EAPプロトコルを使用して認証を行うためにMNO HLR/HSSに接続せずに済む。代わりに、AAAサーバ923は、例えばOpenID用のインターネットプロトコル(IP)に基づくHTTP(S)インタフェースなどの単純なIPに基づくHTTP(S)インタフェースと通信することができる。ホットスポットのAP922は、APメッセージまたは未許可状態の装置に加えてOpenIDの交換を可能にすることができる。
図10は、RPとして機能するAAAサーバ1022を使用する、EAPとOpenIDとの統合と、ローカルOpenIDプロバイダ(ローカルOP)の実装を説明する流れ図である。図10に示すように、UE1018および/またはそのユーザは、UE1018、AP1021、AAA/RPサーバ1022、および/またはOPサーバ1023間の通信を使用して認証されることができる。図10に示すように、UE1018は、ローカルOP1019およびブラウジングエージェント(BA)/接続マネジャ(CM)1020を含むことができ、それぞれ相互および/または他のネットワークエンティティと通信して認証を行い、サービスへのアクセスを得るように構成される。図10ではBA/CM1020を1つのエンティティとして図示するが、BAとCMは、UE1018内で独立した機能を行う別個のエンティティであってよい。ローカルOP1019は、UE1018上のセキュアな環境(例えば、信頼できる処理モジュール、UICC、SIM、スマートカード等)内にインストールすることができる。ローカルOP1019は、UE1018に対してOPサーバとして機能することができる。ローカルOP1019は、ネットワーク上のOPサーバ1023と共有することができる長期間の秘密1024を含むことができる。ローカルOP1019は、ローカルのユーザ認証が成功すると、識別のアサーションを作成および/または署名することができる。
1001で、UE1018はアクティブな3GPP接続を有することができ、その接続を通じてAAA/RP1022および/またはOPサーバ1023に到達することができる(例えばBA/CM1020を介して)。図10では3GPP接続とWLAN接続間に認証とサービスの継続性を確立することができるが、他のネットワーク間の認証およびサービスの継続性のために同様の通信を使用できることは理解されよう。1002で、BA/CM1020は、(例えば、アクセスネットワークで)AP1021および/またはその識別情報を発見することができる。この時点で、UE1018は、WLANネットワーク上では未許可クライアントである可能性がある。AP1021の識別の情報は、「MNO−WiFi」SSIDを含むことができる。AP1023および/またはその識別の情報は、例えばビーコンチャネルなどのアクセス層のシグナリングを介して発見することができる。BA/CM1020は、UE1018がAP1021に接続すべきであると判断することができる。1003で、AP1021(例えば、認証者)は、UE1018の識別を求めるEAP要求を発行することができる。1004で、UE1018は自身のIP層識別を返すことができる。UE1018のIP層識別は、移動加入者識別番号(IMSI)および/または機器の領域などの追加的な認証の情報を含むことができる。領域は、例えばSSO認証を使用するためのヒント(例えば、IMSI@sso.MNO.com)を含むことができる。
1005で、AP1021は、EAP ID(例えば、IP層識別)をAAA/RPサーバ1022に送信することができる。1006で、UE1018のBA/CM1020は、HTTP GET要求をOpenID識別と共にAAA/RP1022に送信することができる。1007で、AAAサーバ1022のRP機能が、OPサーバ1023の発見および/またはOPサーバ1023との関連付けを行うことができる。その結果、関連付け鍵1024および/または関連付けハンドルを作成し、OPサーバ1023とAAA/RPサーバ1022との間で共有することができる。例示的実施形態によると、OPサーバ1023は、UE1018に関連付けられたアクセス層識別を受け取り、関連付け鍵1024および/または関連付けハンドルをアプリケーション層でAAA/RPサーバ1022に送信することができる。AAA/RPサーバ1022は、その関連付け鍵1024からEAP鍵1025および/またはチャレンジを導出することができる。例えば、EAP鍵1025は、鍵導出機能または逆ブートストラップ手順を使用して関連付け鍵1024から導出することができる。1008で、AAA/RPサーバ1022は、認証のためにUE1018をローカルOP1019にリダイレクトすることができる。このAAA/RP1022からローカルOP1019へのリダイレクトメッセージは関連付けハンドルを含むことができるが、関連付け鍵1024は含まなくてよい。
1009で、UE1018および/またはBA/CM1020は、ローカルOP1019に対してローカルに認証する、および/または署名されたアサーションを生成することができる。UE1018は、関連付けハンドルからローカルアサーション鍵1024を導出し、アサーション鍵1024を使用してアサーションに署名することができる。ローカルOP1019へのリダイレクト要求は関連付けハンドルを含むことができ、ローカルOP1019はその関連付けハンドルを使用して、OPサーバ1023とAAA/RPサーバ1022との間で共有されているものと同じ署名鍵1024を導出することができる。認証が成功して完了すると、署名済みのアサーションメッセージをローカルOP1019で作成することができる。ローカルOP1019は、1007において生成されたAAA/RPサーバ1022と同じEAP鍵1025も導出することができる。ステップ1009の変形形態では、OpenIDプロトコルの実行を完了するために、1009(b)で、ローカルOP1019が、検証のために署名済みアサーションメッセージと共にBA/CM1020をAAA/RPサーバ1022にリダイレクトすることができる。ローカルOP1019とネットワークOPサーバ1023は、署名鍵1025の導出に使用できる長期間の秘密1024を共有することができる。
AAA/RPサーバ1022は、生成されたEAP鍵1025に基づくEAPチャレンジを生成することができる。EAPチャレンジはEAP−SIM/AKAチャレンジとすることができ、HLR/HSSと通信する必要なしにUE1018に送信することができる。例えば、AP1021は、1010でAAA/RP1022からアクセスチャレンジを受信し、1011でUE1018のBA/CM1020にEAP要求を送信することができる。アクセスチャレンジおよびEAP要求は、EAP識別および/またはEAPチャレンジを含むことができる。EAP−要求/チャレンジメッセージを受信すると、UE1018は、メッセージの有効性を確認し、および/またはEAP鍵1025を使用してレスポンスを生成することができる。例えば、UE1018は、UE1018上のセキュアな環境(例えば、信頼できる処理モジュール、UICC、SIM、スマートカード等)にチャレンジを送信し、セキュアな環境はEAP鍵1025を使用してEAPレスポンスを生成することができる。
UE1018は、1012でAP1021にEAPレスポンスを返すことができる。EAPレスポンスは、EAP識別および/または共有鍵1025から生成されたEAP鍵1025を含むことができる。1013で、AP1021は、EAP−レスポンス/チャレンジメッセージをAAA/RPサーバ1022に転送することができる。AAA/RPサーバは、メッセージの有効性を確認し、導出されたEAP鍵1025に基づいて、受信したレスポンスを予想されるレスポンスと比較することができる。AAA/RPサーバ1022で行われる認証検査が合格すると、AAA/RPサーバ1022は1014で認証成功の通知をAP1021に送信することができる。例えば、AAA/RPサーバ1022は、EAP成功および鍵材料を含むアクセス受付けメッセージをAP1021に送信することができる。認証成功の通知は1015でUE1018に転送することができる。成功した認証が行われると、UE1018のステータスは、AP1021で通信を許可された状態になることができる。UE1018は、1016でIPアドレスを取得し(例えばDHCPを使用して)、1017でAP1021を使用してWLANを通じてインターネットにアクセスすることができる。
図10に示すプロトコルフローまたはその一部を使用すると、ホットスポットのAAAサーバ1022は、EAPプロトコルを使用した認証を行うためにMNO HLR/HSSに接続せずに済む。また、ローカルOP1019の使用により、UE1018がEAP処理のためのローカルな鍵の生成を行うことが可能となり、またローカルのユーザ認証も可能となる。
図11は、RPとして機能するAAAサーバ1121を使用するEAPとOpenIDとの統合を説明する別の流れ図である。AAA/RP1121は、UE1018からのサービス要求の前に、既知のOPサーバとの関連付けの事前読み込みを開始することができる。図11に示すように、UE1117および/またはそのユーザは、UE1117、AP1120、AAA/RPサーバ1121、および/またはOPサーバ1122間の通信を使用して、サービスへのアクセスのために認証を受けることができる。図11に示す例示的実施形態によると、UE1117はローカルOP1118を使用してローカル認証と、UE1117のOpenID署名鍵1123からのEAP鍵1124の鍵生成を行うことができる。また、図11に示す実施形態では、UE1117がAAA/RPサーバ1121に対して認証する前に、OpenIDの識別子選択モードを使用してAAA/RPサーバ1121とOPサーバ1122との間の関連付けを設定することができる。これにより、OPサーバ1122とAAA/RPサーバ1121との間の関連付けを事前に確立しておくことにより、OPの発見を回避することが可能となる。その結果、例えばUE1117などのUEがアクセスネットワークに移動する際にSSO手順を完了するのに要する時間が短縮され、ネットワークのハンドオフをユーザに対してシームレスにすることが可能になる。
例示的実施形態によると、AAA/RPサーバ1121は、例えばOPサーバ1122など、既知のOPサーバとの間に複数の関連付けを開始することができる。AAA/RPサーバ1121は、例えばOpenIDの識別子選択モードを使用してそのような関連付けを開始することができる(その場合は、完全な識別子URLの代わりにプロバイダのURLを使用することができ、プロバイダのURLは後にローカルOP1118によって完全にすることができる)。AAA/RPサーバ1121は、OPサーバから取得した関連付けハンドルおよび関連付けの秘密を記憶することができる。AAA/RPサーバ1121によって行われる発見および関連付けの1つは、1101におけるOPサーバ1121の発見と関連付けを含むことができる。AAA/RP1121は、OPサーバ1122から受け取った関連付けハンドルおよび/または関連付けの秘密1123を記憶することができる。
1102で、UEのローカルコンポーネント、例えばBA/CM1119が、APの識別の情報に基づいてAP1120を発見することができる。AP1120は、例えばアクセス層のシグナリングを介して特定することができる。この時点で、UE1117は、AP1120に関連付けられたネットワーク(例えば、WLAN)上では未許可クライアントである可能性がある。BA/CM1119は、UE1117がAP1120に接続すべきであると判断することができる。1103で、AP1120は、UE1117のIP層識別を要求することができる。UE1117は、1104で、自身のIP層識別および/または追加的な認証の情報をAP1120に返すことができる。AP1120は、1105でUE1117のIP層識別子をAAA/RPサーバ1121に送信することができる。
UE1117のBA/CM1119は、1106でOpenIDのプロバイダURL、電子メールアドレス、または他のログイン識別子と共に(例えば、識別子選択モードで)AAA/RP1121に要求を送信することができる。AAA/RPサーバ1121は、事前に設定された関連付けハンドルおよび関連付け鍵の1つを選択することができる。例えば、AAA/RPサーバ1121は、UE1117から受け取ったログイン識別子に基づいて、OPサーバ1122との間で事前に設定された関連付けハンドルおよび関連付け鍵1123を選択することができる。AAA/RPサーバ1121は、その関連付け鍵1123からEAP鍵1124および/またはEAPチャレンジを導出することができる。EAP鍵1124は、例えば鍵導出機能または逆ブートストラップ手順を使用して関連付け鍵1123から導出することができる。AAA/RP1121は、1107で、認証のためにUE1117をローカルOP1118にリダイレクトすることができる。ローカルOP1118が配置されているので、認証をローカルOP1118にリダイレクトすることができる。このローカルOP1118へのリダイレクトは関連付けハンドルを含むことができるが、関連付けの秘密1123は含まなくてよい。
UE1117および/またはBA/CM1119は、1108でローカルOP1118に対してローカルに認証することができる。ローカルOP1118へのリダイレクト要求は関連付けハンドルを含むことができ、ローカルOP1118はその関連付けハンドルを使用して、OPサーバ1122とAAA/RP1121との間で共有される関連付け鍵1123を導出することができる。ローカルOP1118およびネットワークOPサーバ1122は、署名鍵1123の導出に使用できる長期間の秘密を共有することができる。認証が成功して完了すると、ローカルOP1118は、署名鍵1123からEAP鍵1124を導出することができ、EAP鍵1124はAAA/RPサーバ1121でも導出される。EAP鍵は例えば鍵導出機能を使用して導出することができる。ローカルOP1118はEAP鍵1124を使用して、AAA/RPサーバ1121に送信する署名済みアサーションメッセージを生成することができる。
AAA/RP1121は、生成したEAP鍵1124に基づくEAPチャレンジを生成し、HLR/HSSと通信する必要なしにそのEAPチャレンジをUE1117に送信することができる。例えば、アクセスチャレンジは1109でAAA/RP1121からAP1120に送信することができる。アクセスチャレンジはEAP IDおよび/またはチャレンジを含むことができる。1110で、AP1120は、AAA/RPサーバ1121から受信したEAPメッセージ(EAP−要求/チャレンジ)をBA/CM1119に送信することができる。
EAP−要求/チャレンジメッセージを受信すると、UE1118はメッセージの有効性を確認し、EAP鍵1124を使用してレスポンスを生成することができる。UE1118はEAPチャレンジを高信頼環境(例えば、信頼できる処理モジュール、UICC、SIM、スマートカード等)に送信し、高信頼環境はEAP鍵1124を使用してEAPレスポンスを生成することができる。UE1117は、1111でレスポンスメッセージをAP1120に返すことができる。レスポンスメッセージは、EAP IDおよび/またはEAPレスポンスを含むことができる。1112で、AP1120はEAP−レスポンス/チャレンジメッセージをAAA/RPサーバ1121に転送する。AAA/RPはEAP鍵1124を使用して認証を行うことができる。AAA/RPサーバ1121で行われる認証検査が合格すると、AAA/RPサーバ1121は、1113で認証成功の通知を送信することができる。例えば、AAA/RPサーバ1121は、認証の成功を知らせるメッセージをAP1120に送信することができる。例えば、認証成功の通知は、EAP成功および鍵材料を含むことができる。認証成功の通知は、1114でUE1117に転送することができる。成功した認証が行われると、UE1117のステータスはAP1120上で「許可」の状態になることができる。UE1117は、1115でAP1120で通信するためのIPアドレスを(例えば、DHCPを使用して)取得し、1116でAP1120を使用してインターネットにアクセスすることができる。
図12は、AAAサーバ1218をOPサーバとして実装する認証プロトコルを説明する流れ図である。図12に示す流れ図は、UE1216、AP1217、およびAAA/OPサーバ1218を使用して実施することができる。AP1217は、ホットスポット、または例えばWLANネットワークを通じて通信可能な他のノードとすることができる。ホットスポットのAAAサービスにOPサーバの機能を組み込むことにより、例えば3GPPネットワークとWLANネットワークとの間など、ネットワーク間のシームレスな認証および/またはサービスの継続性の支援を可能にすることができる。AAA/OPサーバ1218は、UE1216および/またはAAA/OPサーバ1218上の事前に生成された鍵1219を使用して、WLANネットワークを通じてサービスにアクセスするための認証を行うことができる。例示的実施形態によると、事前に生成された鍵1219はアプリケーション層の認証情報である。図12では3GPPネットワークとWLANネットワークとの間のシームレスな認証および/またはサービスの継続性のためのネットワーク通信を説明するが、同様の通信を他の種類のワイヤレスネットワーク間のシームレスな認証およびサービスの継続性に使用できることは理解されよう。
本明細書に記載されるように、ユーザは、公衆のホットスポット(例えば、AP1217)で、AAAサーバ1218に組み込まれたOPモジュールに対してシームレスに認証されることができる。一実施形態によると、AAA/OPサーバ1218を使用して認証を行って、UE1216および/またはAAA/OPサーバ1218で導出された鍵1219を活用して認証(例えば、EAP−SIM/AKA認証)を完了することができる。アクティブな3GPP接続を使用して、WLANネットワークで認証するための認証メッセージ(例えば、OpenID認証メッセージ)を交換することができる。
図12に示すように、UE1216は、1201で、3GPPアクセスネットワークを通じてAAA/OPサーバ1218に対する認証を成功させて完了することができる。3GPPアクセスネットワークを通じた認証プロトコル時に、共有鍵1219をUE1216および/またはAAA/OPサーバ1218で確立することができる。1202で、UEのローカルコンポーネント(例えば、CM)がAPの識別の情報に基づいてAP1217を発見することができる。AP1217の識別の情報は例えば「MNO−WiFi」SSIDである。AP1217は、例えばビーコンチャネルなどのアクセス層のシグナリングを介して発見することができる。UE1216のローカルコンポーネント(例えば、CM)は、UE1216がそのホットスポットに切り替わるべきであると判断することができる。
AP1217(例えば、認証者)は、1203で、UE1216のIP層識別を求めるEAP要求を発行することができる。UE1216は、1204で自身のIP層識別および/または追加的な認証の情報をAP1217に返すことができる。例えば、UE1216は自身の移動加入者識別番号(IMSI)を返すことができる。追加的な認証の情報は領域を含むことができる。領域は、SSO認証を使用するためのヒント(例えば、IMSI@sso.MNO.com)を含む。例示的実施形態によると、UE1216は、IMSIの先頭にビット(「0」または「1」)を付加して、それぞれEAP−AKA手順を使用するのか、またはEAP−SIM手順を使用するのかをサーバに示唆すること等により、UE1216の認証能力の発見を支援する追加的情報を提供することができる。
AP1217は、1205で、EAP ID(例えば、アクセス層識別)をAAA/OPサーバ1218に送信することができる。AAAサーバ1218のOP機能が、1206で、UE1216と共有される、事前に生成された鍵1219に基づいてチャレンジを生成することができる。例えば、AAA/OPサーバ1218は、アクセス層の認証で使用するセッション鍵を導出することができる。セッション鍵は、例えば鍵導出機能または汎用的なブートストラップ手順を使用して導出することができる。AAA/OPサーバ1218は再認証手順を使用して、EAP−SIM/AKAチャレンジメッセージでUE1216にチャレンジを送信することができる。例えば、AP1217は、1207で、共有鍵1219から生成されたセッション鍵および/またはAAA/OPサーバ1218からのEAP IDを含むEAPメッセージを受信することができる。次いで、AP1217は、AAA/OPサーバから受信したEAPメッセージ(EAP−要求/チャレンジ)を1208でUE1216に転送することができる。
EAP−要求/チャレンジメッセージを受信すると、UE1216はセッション鍵を使用して認証を行うことができる。UE1216は、UE1216に常駐するセキュアな環境(例えば、信頼できる処理モジュール、UICC、SIM、スマートカード等)にチャレンジを送り、セキュアな環境は1209でAAA/OPサーバ1218との共有鍵1219を使用してEAPレスポンスを生成することができる。例えば、EAPレスポンスメッセージは、共有鍵1219から生成されたレスポンスを含むことができる。
UE1216は、1210で、再認証手順に基づいて、AP1217へのレスポンスでEAPメッセージをAP1217に返すことができる。EAPメッセージは、EAP IDおよび/または共有鍵1219を使用して生成されたレスポンスを含むことができる。1211で、AP1217は、EAP−レスポンス/チャレンジメッセージをAAA/OPサーバ1218に転送することができる。AAA/OPサーバは、メッセージの有効性を確認し、および/またはEAP−レスポンス/チャレンジメッセージで受信したレスポンスを予想されるレスポンスと比較することができる。AAA/OPサーバ1218で行われる検査に合格すると、AAA/OPサーバ1218は、AP1217を介して認証成功の通知をUE1216に送信することができる。例えば、AAA/OPサーバ1218は、1212でEAPの成功および/または鍵材料を含むアクセス受付けメッセージをAP1217に送信することができる。EAP成功メッセージは1213でUE1216に転送することができる。認証が成功すると、UE1216のステータスがAP1217で「許可」の状態になることができる。UE1216は、1214でAP1217からIPアドレスを(例えばDHCPを使用して)取得し、1215でWLANネットワークを通じてインターネットにアクセスすることができる。
本明細書に記載されるように、UE1216とAAA/OPサーバ1218との間で共有認証情報1219を生成することができる。共有認証情報は、例えば別のネットワークにおける認証中または認証後に確立することができる。UE1216は、AAA/OPサーバ1218に対して認証することができ、AAA/OPサーバ1218は共有認証情報1219を使用してアサーションに署名し、アサーションはRPに送信され、次いで共有認証情報1219を使用してRPによって検証される。認証(例えば、OpenID−AKAを使用する)が成功すると、UE1216とAAA/OP1218との間の認証で共有認証情報1219を生成することができる。AAA/OP1218とUE1216との間で共有認証情報1219が生成されると、別のエンティティがEAPの認証情報をUE1216に(例えば、CMに)送付することができる。
本明細書に記載の実施形態は、複雑なMAP/DiameterインタフェースをホットスポットのAAAサーバで実装する必要、またはAVフェッチングのためにMNO HLR/HSSとインタフェースを取り、通信する必要をなくすことができる。また、3GPPとWLANホットスポットとの間のシームレスな認証およびサービスの継続性を可能にすることができる。図12に示すように、ホットスポットのAAAサーバ1218にOPモジュールを実装することができる。ホットスポットのAAAサーバにOPを組み込む代替として、またはそれに加えて、MNO AAAサーバにOP機能を実装し、ホットスポットのAAAサーバがAAAプロキシとして機能し、要求をMNO AAAサーバに中継することもできる。
図13は、OpenIDメッセージをEAPプロトコルメッセージに組み込むためのプロトコルフローの例示的実施形態を示す。このプロトコルフローまたはそれに同様のプロトコルフローを実装して、例えば図11および図12に示すネットワーク通信の一部を可能にすることができる。
図13に示すように、UE1316、AP/RP1317、および/またはOPサーバ1318が通信を行って、ネットワークにおけるUE1316の認証を可能にすることができる。UE1316は、1301でAP/RP1317に関連付けられたアクセスネットワークを発見することができる。この時点で、UE1316は、ネットワーク上の通信を許可されていない可能性がある。1302で、AP/RP1317は、EAP ID(例えば、アクセス層識別)の要求を送信することができる。UE1316は、1303で、AP1317へのEAPレスポンスでOpenID識別子を送信することができる。OpenID識別子を使用して、1304で、AP1317は、OPサーバ1318の発見および/またはOPサーバ1318とのOpenIDプロトコルの関連付けのステップを行うことができる。発見および/または関連付けを行うために、AP1317は、OpenIDメッセージ(例えば、OpenID識別子)をEAPプロトコルからアンラップ(unwrap)し、HTTP(S)を介してOPサーバ1318と通信することができる。OpenIDプロトコルでの関連付けの確立は任意であってよい。
関連付け後、OPサーバ1318は1305でチャレンジを生成し、AP1317は1306でOPサーバ1318からOpenIDチャレンジを受信することができる。AP1317は、1307でEAP要求(OpenIDプロトコルのOpenIDリダイレクトに対応する)をUE1316に送信することができる。ローカルOPの助けを借りて、UE1316は、1308で適切なレスポンスを生成し、1309でEAPレスポンスを署名済みのOpenIDアサーションと共にAP1317に送信することができる。AP1317がOPサーバ1318との関連付けを確立している場合は、AP1317は、アサーション署名を自律的に検証し、したがってUE1316を認証し、権限を付与することができる。事前に関連付けが確立されていない場合は、AP1317は、例えば1310で、ステートレスモードを使用してOPサーバ1318による署名の検証を要求することができる。OPサーバ1318で認証が成功した場合、OPサーバ1318は、1311でOpenIDメッセージを識別および認証アサーションと共にAP/RP1317に送信することができる。AP/RP1317は、1312でUE1316に認証の成功を通知し、1313でUEはAP/RP1317を介してサービスを許可されることができる。1314で、UE1316はAP/RP1317からIPアドレスを取得し(例えば、DHCP要求を介して)、1315でWLANネットワークを通じたインターネットアクセスを許される。
ステートレスモードは、AP1317とOPサーバ1318とがすでに関連付けを確立している場合でも、ローカルOPによって「強制」することができる。ローカルOPは、アサーションメッセージ中に「invalidate_handle」のフィールドを設定し、新しい関連付けハンドルを作成することができる。次いで、AP1317は、署名の検証のためにOPサーバ1318に戻ることができる。ローカルOPが配置され、アサーションを発行する場合でも、OpenIDの動作を使用してAP1317からOPサーバ1318へのフィードバック機構をトリガすることができる。関連付けが使用されており、無効にされない場合は、OPサーバ1318へのフィードバックはなくてよい。本明細書に記載の実施形態は、例えば何らかの支払いシナリオおよび/またはプライバシーを可能にすることができる。
例示的実施形態によると、サービスのためのユーザ認証は、EAPプロトコルのAVフェッチングのためにAPとMNOのAAAサーバとの間に接続を確立することによって行うことができる。OpenIDを実装することにより、APとMNOネットワークとの間に追加的な抽象化層を作り出すことができる。OPは、ネットワークの認証基盤に対してプロキシとして機能し、APに接続されたネットワークAVへの直接のアクセスを与えることなく、ネットワーク認証情報に基づいてUEを認証することができる。OPが認証点として機能するので、APのロジックを減らしてOpenIDのアサーションを検証することができる。OpenIDを使用すると、APでAVを扱う必要がなくなる。また、APがMNOの基盤への直接の接続を有する必要がないため、OPが、異なるAP事業者の複数のAPに対応することができる。OPは、トランザクションの認証者としても機能することができる(これは、例えばローカルOPを含むことができる)。これにより、AP事業者に対してはMNOのバックエンドを介した課金および/または利益/特典の支払いを可能にすることができる。したがって、複数のMNOが同じOPを使用することができる。複数のAP提供者も同じOPを使用することができる。その結果、例えば「スター型」のアーキテクチャとなる。
本明細書に記載の実施形態では、汎用的なブートストラップ手順などの鍵導出機能を使用することができる。例えば、汎用ブートストラッピングアーキテクチャ(GBA)を実装することができる。GBAの例示的実施形態の1つが、3GPP技術仕様(TS)33.220に記載される。ただし、GBAはUICCによる認証情報に制限される場合がある。本明細書に記載の実施形態は、UICCによる認証情報および/または非UICCの認証情報を使用して実装することができる。GBAは、ブートストラップおよび認証を行うためのUE−BSFとUE−NAF間のIP接続にも制限される場合がある。その結果、GBAでは、例えばMobile IPなどのシームレスな移動性プロトコルを中断させる可能性がある。Mobile IPでは、IP層またはそれより下位層での認証を使用して、切替えと、WLANインタフェースなどの新しいインタフェースの立ち上げおよびホームエージェント(HA)への登録を行うことができる。IP層におけるMobile IP登録とアプリケーション層におけるGBAによるブートストラップとの間の競合状態は、移動性を破綻させ、MIP登録を失敗させ、その結果WLANネットワークへの切替えが失敗する可能性がある。
EAPとGBAの統合の選択肢を使用して、例えばGBAに基づくデュアルモード装置の場合の3GPPとWLANネットワークとの間の移動性の問題を解決することができる。GBA認証は、既存の3GPPインタフェースを通じて行うことができる。GBA認証の結果(例えば装置に記憶されたKs_NAF)を使用して、ホットスポットでEAP認証を完了することができる。移動性の問題は、例えば、3GPPインタフェースを介してGBA認証のためのIP接続性を提供すること、およびGBAとEAPの統合を使用することによってGBAで解決することができる。
図14は、OpenID Connectを使用したサービスのためのUE1421の認証を説明する流れ図である。図14に示すように、UE1421は、アクティブなワイヤレス接続(例えば、3GPP接続)を有することができ、その接続を通じてAAA/RPサーバ1425および/またはOPサーバ1426に到達することができる。1401で、UE1421は、AAA/RPサーバ1425にOpenID Connectログインを行い、AAA/RPサーバ1425はアクセストークンを作成することができる。アクセストークンは1402でBA1422によって保存(またはOSによって保存)されることができる。UEのローカルコンポーネント、例えばCM1423が、ビーコンチャネル等のアクセス層のシグナリングを介してAP1424および「MNO−WiFi」SSIDなどのその識別の情報を発見することができる。CM1423は、UE1421がAP1424に接続すべきであると判断することができる。1403で、CMはAP1424にアタッチすることができる。AP1424(例えば、認証者)は、1404でUE1421の状態を「未認証」または「未許可」に設定することができる。
1405で、AP1424は、UE1421のEAP/IP層の識別を求めるEAP要求を発行することができる。1406で、UE1421は、移動加入者識別番号(IMSI)および/または他の認証の情報を返すことができる。他の認証の情報は領域を含むことができ、領域は、例えばSSO認証を使用するためのヒント(例えば、IMSI@sso.MNO.com)を含むことができる。1407で、AP1424は、UE1421から受け取ったEAP IDをAAA/RPサーバ1425に(例えば、RADIUSアクセス要求を使用して)送信することができる。
1408で、AAA/RPサーバ1425は、受け取ったEAP IDに基づいて(または受け取ったEAP IDを使用してデータベースを検索することにより)、UE1421がOpenID Connectに基づくフローを使用できることを検出することができる。AAA/RPサーバ1425は、1409でAP1424にEAP−SIM/AKAチャレンジを送信し、OpenID ConnectをEAPプロトコルで使用すべきことを知らせることができる。AP1424は、AAA/RPサーバ1425から受信したEAPメッセージ(EAP−要求/チャレンジ)をUE1421に(例えば、CM1423に)送信することができる。
EAP−要求/チャレンジメッセージを受信すると、1411で、UE1421はメッセージ中の認証パラメータを調べ、BA1422にトークンを要求することができる(例えばBAは代わりにOSまたはAPIであってもよい)。1412でアクセストークンをCM1423に返すことができる。1413で、CM1423は、アクセストークンをEAPメッセージでAP1424に送信することができる。AP1424は、1414で、EAPレスポンス/チャレンジメッセージをAAA/RPサーバに転送することができる。AAA/RPサーバ1425は、1415で、トークンを検証し、OPサーバ1426からのユーザ情報エンドポイントと共にトークンを使用して、OPサーバ1426から認証用のユーザ情報を取り出すことができる。
OPサーバ1426は、ユーザ情報を公開する前にトークンの有効性を確認することができる。AAA/RPサーバ1425は、1417でユーザ情報を受け取ることができる。ユーザ情報は、例えばユーザ名、住所、課金情報、および/または課金トークンを含むことができる。AAA/RPサーバ1425は、1417で、受信したユーザ情報に基づいて認証の検査を行うことができる。すべての検査が合格すると、AAA/RPサーバは、認証成功の通知をUE1421に送信することができる。例えば、AAA/RPサーバ1425は、1418で、EAP成功および鍵材料を含むアクセス受付けメッセージをAP1424に送信することができる。EAP成功メッセージは、1419でUE1421に転送することができる。1420で、UE1421のステータスが、AP1424でネットワーク上でアクセスを許可された状態になる。UE1421は、IPアドレスを取得し(例えばDHCPを使用して)、AP1424を介してインターネットにアクセスすることができる。
図15は、OpenID ConnectおよびローカルOPを使用した、サービスのためのUE1520の認証を説明する流れ図である。図15に示すように、UE1520のローカルコンポーネント、例えばCM1522がAP1524、および/またはその識別の情報を発見することができる。AP1524および/またはその識別の情報は「MNO−WiFi」SSIDを含むことができ、例えばビーコンチャネルなどのアクセス層のシグナリングを介して発見することができる。CM1522は、UE1520がAP1524に接続すべきであると判断することができる。
1501で、UE1520はAP1524にアタッチすることができる。AP1524(例えば、認証者)は、1520でUE1520の状態を通信について未認証または未許可の状態に設定することができる。AP1524は、1503でUEのIP層/EAP識別を求めるEAP要求を発行することができる。UE1520は、1504で自身のIP層/EAP識別子を返すことができる。例えば、UE1520は、移動加入者識別番号(IMSI)および/または追加的な認証の情報を返すことができる。追加的な認証の情報はUEの領域を含むことができ、領域は、例えばSSO認証を使用するためのヒント(例えば、IMSI@sso.MNO.com)を含むことができる。
AP1524は、1505でEAP IDをAAA/RPサーバ1525に送信することができる。AP1524とAAA/RPサーバ1525との間の通信は、例えばアクセス要求メッセージ、アクセスチャレンジ、および/またはアクセス受付けメッセージなどのRADIUSメッセージを使用して行うことができる。1506で、AAA/RPサーバは、受け取ったEAP識別に基づいて、UE1520がOpenID Connectに基づくフローを使用できることを検出することができる(または例えば受け取ったEAP識別を使用してデータベースを検索することにより)。AAA/RPサーバは、1507でEAP−SIM/AKAチャレンジをAP1524に送信することができる。このチャレンジは、OpenID ConnectをEAPプロトコルで使用することを指示することができる。指示は、AP1524および/またはEAPプロトコルに対して透過にすることができる。指示に代えて、AAA/RPサーバ1525は、OpenID Connect要求オブジェクト(例えば、JSON)を作成し、要求中に指示子(URL)を入れてもよい。
1508で、AP1524は、AAA/RPサーバ1525から受信したEAPメッセージ(EAP−要求/チャレンジ)をUE1520に(例えば、CM1522に)送信することができる。EAP−要求/チャレンジメッセージを受信すると、1509で、UE1520は認証パラメータを調べることができ、OpenID Connect要求オブジェクトを使用して、ローカルOP1521とのOpenID Connectセッションを開始する。ローカルOP1521は、1510でアクセストークンを作成することができる(例えばローカルのユーザ認証が成功した後に)。1511で、アクセストークンをCM1522に返すことができる。1512で、CM1522は、アクセストークンをEAPメッセージでAP1524に送信することができる。AP1524は、EAP−レスポンス/チャレンジメッセージをAAA/RPサーバ1525に転送することができる。AAA/RPサーバ1525は、1514でトークンを検証し、トークンをOPサーバ1526からのユーザ情報エンドポイントと共に使用して、認証用のユーザデータを取り出すことができる。
1515で、OPサーバ1526は、トークンの有効性を確認してから認証用のユーザ情報を公開することができる。AAA/RPサーバ1525は、1516でユーザ情報を受信することができる。ユーザ情報は、例えばユーザ名、住所、課金情報、および/または課金トークンを含むことができる。AAA/RPサーバ1525は、1516で受け取ったユーザ情報を使用してユーザの認証を行い、検査が合格であると、AAA/RPサーバ1525は1517で認証成功の通知をUE1520に送信することができる。例えば、AAA/RPサーバ1525は、EAP成功メッセージおよび/または鍵材料を含むことが可能なアクセス受付けメッセージをAP1524に送信することができる。EAP成功メッセージは、1518でUE1520に(例えばCM1522に)転送することができる。UE1520のステータスは、1519でAP1524において「許可」の状態になることができる。UE1520は、(例えばDHCPを使用して)IPアドレスを取得し、AP1524を介してインターネットにアクセスすることができる。
上記では特定の組合せで特徴および要素について説明したが、当業者は、各特徴または要素は単独で、または他の特徴および要素との任意の組合せで使用可能であることを認識されよう。また、本明細書に記載の方法は、コンピュータまたはプロセッサによる実行のためにコンピュータ可読媒体に組み込まれた、コンピュータプログラム、ソフトウェア、またはファームウェアにて実装することができる。コンピュータ可読媒体の例は、電子信号(有線または無線接続を通じて伝送される)、およびコンピュータ可読記憶媒体を含む。コンピュータ可読記憶媒体の例は、これらに限定されないが、読み出し専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、レジスタ、キャッシュメモリ、半導体メモリ装置、内蔵ハードディスクや取外し可能ディスクなどの磁気媒体、光磁気媒体、およびCD−ROMディスクやデジタル多用途ディスク(DVD)などの光学媒体を含む。ソフトウェアと関連したプロセッサを使用して、WTRU、UE、端末、基地局、RNC、または任意のホストコンピュータで使用するための無線周波トランシーバを実装することができる。

Claims (15)

  1. モバイル装置の認証で使用するための認証の認証情報を生成する方法であって、
    前記モバイル装置と第1のアクセスネットワークとの間の持続的な通信層を介して、ネットワークサーバと前記モバイル装置との間で共有される持続的な通信層の認証情報を確立するステップであって、前記持続的な通信層の認証情報は、前記第1のアクセスネットワークを使用して前記ネットワークサーバからサービスを受けるために前記モバイル装置を前記持続的な通信層上で認証するように構成される、確立するステップと、
    第2のアクセスネットワーク上のネットワーク通信エンティティを発見するステップであって、前記モバイル装置は前記第2のアクセスネットワークの通信層上で認証を行なうためおよび前記第2のアクセスネットワークを使用して前記ネットワークサーバから前記サービスを受けるために第2の通信層の認証情報を使用し、前記第2の通信層の認証情報は前記持続的な通信層の認証情報と異なる、発見するステップと、
    前記持続的な通信層の認証情報に基づいて、前記第2の通信層の認証情報を生成するステップであって、前記第2の通信層の認証情報は前記第2のアクセスネットワークの前記通信層上で認証を行なうためのものであり、前記第2のアクセスネットワークにおける前記認証は、前記モバイル装置が前記第1のアクセスネットワークから前記第2のアクセスネットワークに切り替わることおよび前記第2のアクセスネットワークを使用して前記ネットワークサーバから前記サービスを受けることを可能にし、前記持続的な通信層の認証情報は前記第1のアクセスネットワークから前記第2のアクセスネットワークへの前記切り替え後も存続する、生成するステップと
    を含むことを特徴とする方法。
  2. 前記持続的な通信層はアプリケーション層を含み、前記持続的な通信層の認証情報はアプリケーション層の認証情報を含むことを特徴とする請求項1に記載の方法。
  3. 前記ネットワーク通信エンティティと前記第2のアクセスネットワークのアプリケーション層で通信するためのアプリケーション層識別を決定するステップと、
    前記ネットワーク通信エンティティと前記第2のアクセスネットワークのアクセス層で通信するためのアクセス層識別を前記アプリケーション層識別から決定するステップと、
    前記アクセス層識別を前記第2のアクセスネットワークの前記ネットワーク通信エンティティに送信して、前記第2の通信層の認証情報の生成を開始するステップと
    をさらに含むことを特徴とする請求項2に記載の方法。
  4. 前記モバイル装置は、前記第2の通信層の認証情報を前記アプリケーション層から前記第2のアクセスネットワークの前記通信層に通信するように構成されることを特徴とする請求項2に記載の方法。
  5. 前記第2の通信層の認証情報は、鍵導出機能を使用して前記アプリケーション層の認証情報から生成されることを特徴とする請求項2に記載の方法。
  6. 前記第2のアクセスネットワークの前記通信層は前記第2のアクセスネットワークのアクセス層を含み、前記第2の通信層の認証情報はアクセス層の認証情報であることを特徴とする請求項1に記載の方法。
  7. 前記アクセス層の認証情報はセッション鍵を含むことを特徴とする請求項6に記載の方法。
  8. 別のアクセス層の認証情報を使用して、前記第1のアクセスネットワーク上で前記モバイル装置を認証するステップをさらに含むことを特徴とする請求項6に記載の方法。
  9. 前記持続的な通信層の認証情報は、前記第1のアクセスネットワークのアクセス層上で前記モバイル装置を認証するために使用される前記アクセス層の認証情報を使用して確立されることを特徴とする請求項8に記載の方法。
  10. 前記第1のアクセスネットワークはセルラ通信ネットワークであり、前記第2のアクセスネットワークはワイヤレスローカルエリアネットワーク(WLAN)であることを特徴とする請求項1に記載の方法。
  11. 前記方法は通信層のハンドオフ中に行われることを特徴とする請求項1に記載の方法。
  12. 前記ネットワーク通信エンティティはアクセスポイント(AP)またはホットスポットを含み、前記ネットワークサーバは、認証、認可および課金(AAA)サーバ、ワイヤレスローカルエリアネットワーク(WLAN)ゲートウェイ、またはWLANアクセスポイント(AP)を含むことを特徴とする請求項1に記載の方法。
  13. 前記AAAサーバはOpenIDプロバイダ(OP)サーバを含み、前記WLANゲートウェイおよび前記WLAN APはリライングパーティ(RP)を含むことを特徴とする請求項12に記載の方法。
  14. 前記OPは、モバイルネットワーク事業者(MNO)または前記MNOに関連付けられたアプリケーションサービスプロバイダ(ASP)を含むことを特徴とする請求項13に記載の方法。
  15. 前記第2の通信層の認証情報はローカルOpenIDプロバイダ(OP)にて生成されることを特徴とする請求項1に記載の方法。
JP2013547709A 2010-12-30 2011-12-30 通信ハンドオフのシナリオのための認証およびセキュアチャネルの設定 Expired - Fee Related JP5775174B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201061428663P 2010-12-30 2010-12-30
US61/428,663 2010-12-30
PCT/US2011/068206 WO2012092604A2 (en) 2010-12-30 2011-12-30 Authentication and secure channel setup for communication handoff scenarios

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2015133744A Division JP6093810B2 (ja) 2010-12-30 2015-07-02 通信ハンドオフのシナリオのための認証およびセキュアチャネルの設定

Publications (2)

Publication Number Publication Date
JP2014506060A JP2014506060A (ja) 2014-03-06
JP5775174B2 true JP5775174B2 (ja) 2015-09-09

Family

ID=45507916

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2013547709A Expired - Fee Related JP5775174B2 (ja) 2010-12-30 2011-12-30 通信ハンドオフのシナリオのための認証およびセキュアチャネルの設定
JP2015133744A Expired - Fee Related JP6093810B2 (ja) 2010-12-30 2015-07-02 通信ハンドオフのシナリオのための認証およびセキュアチャネルの設定
JP2017024222A Withdrawn JP2017123667A (ja) 2010-12-30 2017-02-13 通信ハンドオフのシナリオのための認証およびセキュアチャネルの設定

Family Applications After (2)

Application Number Title Priority Date Filing Date
JP2015133744A Expired - Fee Related JP6093810B2 (ja) 2010-12-30 2015-07-02 通信ハンドオフのシナリオのための認証およびセキュアチャネルの設定
JP2017024222A Withdrawn JP2017123667A (ja) 2010-12-30 2017-02-13 通信ハンドオフのシナリオのための認証およびセキュアチャネルの設定

Country Status (6)

Country Link
US (3) US9009801B2 (ja)
EP (1) EP2659649A2 (ja)
JP (3) JP5775174B2 (ja)
KR (2) KR20140109478A (ja)
CN (2) CN106131081A (ja)
WO (1) WO2012092604A2 (ja)

Families Citing this family (77)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2377706A1 (en) * 1999-06-18 2000-12-28 Echarge Corporation Method and apparatus for ordering goods, services and content over an internetwork using a virtual payment account
US6711554B1 (en) * 1999-12-30 2004-03-23 Lee Salzmann Method and system for managing and preparing documentation for real estate transactions
US8881247B2 (en) * 2010-09-24 2014-11-04 Microsoft Corporation Federated mobile authentication using a network operator infrastructure
KR20160130870A (ko) * 2010-11-15 2016-11-14 인터디지탈 패튼 홀딩스, 인크 인증서 검증 및 채널 바인딩
KR20140109478A (ko) 2010-12-30 2014-09-15 인터디지탈 패튼 홀딩스, 인크 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정
US8831568B2 (en) 2011-09-27 2014-09-09 Qualcomm Incorporated Automatic configuration of a wireless device
CN103096311B (zh) * 2011-10-31 2018-11-09 中兴通讯股份有限公司 家庭基站安全接入的方法及系统
US20130159195A1 (en) * 2011-12-16 2013-06-20 Rawllin International Inc. Authentication of devices
US10433161B2 (en) * 2012-01-30 2019-10-01 Telefonaktiebolaget Lm Ericsson (Publ) Call handover between cellular communication system nodes that support different security contexts
US9380038B2 (en) * 2012-03-09 2016-06-28 T-Mobile Usa, Inc. Bootstrap authentication framework
US9031050B2 (en) * 2012-04-17 2015-05-12 Qualcomm Incorporated Using a mobile device to enable another device to connect to a wireless network
US10423952B2 (en) * 2013-05-06 2019-09-24 Institutional Cash Distributors Technology, Llc Encapsulated security tokens for electronic transactions
US11250423B2 (en) * 2012-05-04 2022-02-15 Institutional Cash Distributors Technology, Llc Encapsulated security tokens for electronic transactions
US10410212B2 (en) * 2012-05-04 2019-09-10 Institutional Cash Distributors Technology, Llc Secure transaction object creation, propagation and invocation
KR101453154B1 (ko) * 2012-05-30 2014-10-23 모다정보통신 주식회사 M2m 통신에서 리소스 접근 권한 설정 방법
KR101453155B1 (ko) * 2012-05-30 2014-10-23 모다정보통신 주식회사 M2m 통신에서 리소스 접근 권한 설정 방법
KR20130143263A (ko) * 2012-06-21 2013-12-31 에스케이플래닛 주식회사 트러스티드 플랫폼 기반의 개방형 아이디 인증 방법, 이를 위한 장치 및 시스템
FR2992811A1 (fr) * 2012-07-02 2014-01-03 France Telecom Mise en place d'une association de securite lors de l'attachement d'un terminal a un reseau d'acces
CN103686710B (zh) * 2012-09-26 2017-03-22 中国移动通信集团公司 一种gba初始化方法、装置
US9655012B2 (en) 2012-12-21 2017-05-16 Qualcomm Incorporated Deriving a WLAN security context from a WWAN security context
US8893230B2 (en) * 2013-02-22 2014-11-18 Duo Security, Inc. System and method for proxying federated authentication protocols
EP2770470A1 (en) * 2013-02-26 2014-08-27 Nxp B.V. Method for personalizing a secure element, method for enabling a service, secure element and computer program product
US9356918B2 (en) * 2013-03-13 2016-05-31 Google Inc. Identification delegation for devices
KR102044002B1 (ko) * 2013-05-09 2019-12-02 한국전자통신연구원 철도 무선 센서 네트워크에서 데이터 고속 전송을 위한 전용채널 설정 및 운용 방법
PL3005640T3 (pl) * 2013-05-29 2018-12-31 Ericsson Telefon Ab L M Bramka, urządzenie klienta i sposoby do umożliwiania komunikacji pomiędzy urządzeniem klienta a serwerem aplikacji
US9118650B1 (en) * 2013-09-23 2015-08-25 Amazon Technologies, Inc. Persistent connections for email web applications
US9369342B2 (en) * 2013-11-15 2016-06-14 Microsoft Technology Licensing, Llc Configuring captive portals with a cloud service
US9554323B2 (en) 2013-11-15 2017-01-24 Microsoft Technology Licensing, Llc Generating sequenced instructions for connecting through captive portals
US10382305B2 (en) 2013-11-15 2019-08-13 Microsoft Technology Licensing, Llc Applying sequenced instructions to connect through captive portals
US9432363B2 (en) * 2014-02-07 2016-08-30 Apple Inc. System and method for using credentials of a first client station to authenticate a second client station
US20150237554A1 (en) * 2014-02-19 2015-08-20 Qualcomm Incorporated Systems, methods and apparatus for seamless handoff at the application layer between disparate networks for interactive applications
JP6327881B2 (ja) * 2014-02-24 2018-05-23 キヤノン株式会社 情報処理装置、その制御方法、及びプログラム
US9332480B2 (en) * 2014-03-28 2016-05-03 Qualcomm Incorporated Decoupling service and network provider identification in wireless communications
US9641512B2 (en) * 2014-04-10 2017-05-02 EMC IP Holding Company LLC Identity protocol translation gateway
GB2527276B (en) * 2014-04-25 2020-08-05 Huawei Tech Co Ltd Providing network credentials
US9596600B2 (en) * 2014-04-25 2017-03-14 Thomson Reuters Global Resources Uc Systems and methods for generating location based entitlements
US10158995B2 (en) * 2014-06-25 2018-12-18 Mitel Networks Corporation Personal area network system and method
US9794266B2 (en) * 2014-09-05 2017-10-17 Qualcomm Incorporated Using multiple credentials for access and traffic differentiation
KR102021213B1 (ko) * 2014-10-31 2019-09-11 콘비다 와이어리스, 엘엘씨 엔드 투 엔드 서비스 계층 인증
US9525675B2 (en) * 2014-12-26 2016-12-20 Mcafee, Inc. Encryption key retrieval
EP3254502B1 (en) * 2015-02-03 2023-07-26 Telefonaktiebolaget LM Ericsson (publ) Signaling interface to support real-time traffic steering networks
US20160270141A1 (en) * 2015-03-12 2016-09-15 Qualcomm Incorporated Wireless network connection setup using multiple radio access technologies
JP2018518854A (ja) 2015-03-16 2018-07-12 コンヴィーダ ワイヤレス, エルエルシー 公開キー機構を用いたサービス層におけるエンドツーエンド認証
US20160302144A1 (en) * 2015-04-08 2016-10-13 Nokia Technologies Oy Method, apparatus, and computer program product for efficient use of frequency bands and channels in wireless environment
US10810176B2 (en) * 2015-04-28 2020-10-20 International Business Machines Corporation Unsolicited bulk email detection using URL tree hashes
WO2017007385A1 (en) * 2015-07-06 2017-01-12 Telefonaktiebolaget Lm Ericsson (Publ) Facilitating secure communcation between a client device and an application server
US10051644B2 (en) * 2015-07-31 2018-08-14 T-Mobile Usa, Inc. Transitioning a conversation between an unlicensed data network and a cellular network
EP3328106B1 (en) * 2015-08-11 2020-08-12 Huawei Technologies Co., Ltd. Access verification method and apparatus
US11063981B2 (en) * 2015-09-11 2021-07-13 Telefonaktiebolaget Lm Ericsson (Publ) Gateway, client device and methods for facilitating secure communication between a client device and an application server using redirect
US10517126B2 (en) * 2015-10-19 2019-12-24 Time Warner Cable Enterprises Llc Communication management and wireless roaming support
CN106714254B (zh) * 2015-11-17 2020-02-21 中国移动通信集团公司 一种音视频业务应用网络的切换方法、终端及应用服务器
WO2017204435A1 (ko) * 2016-05-27 2017-11-30 엘지전자 주식회사 분산 안테나 통신 시스템에서 단말 식별자를 할당하는 방법 및 이를 위한 장치
SG10201605752PA (en) 2016-07-13 2018-02-27 Huawei Int Pte Ltd A unified authentication work for heterogeneous network
KR102190312B1 (ko) * 2016-08-03 2020-12-14 노키아 솔루션스 앤드 네트웍스 오와이 로컬 운영자에 의한 서비스 프로비저닝
US20180063152A1 (en) * 2016-08-29 2018-03-01 Matt Erich Device-agnostic user authentication and token provisioning
US10158684B2 (en) * 2016-09-26 2018-12-18 Cisco Technology, Inc. Challenge-response proximity verification of user devices based on token-to-symbol mapping definitions
GB2556060B (en) * 2016-11-16 2020-02-12 Wifispark Ltd Seamless handover between wireless communications networks
CN108092748A (zh) * 2016-11-21 2018-05-29 中国移动通信有限公司研究院 一种进行反馈的方法和接入层设备
CN108235317B (zh) 2016-12-21 2019-06-21 电信科学技术研究院有限公司 一种接入控制的方法及设备
WO2018112895A1 (zh) * 2016-12-23 2018-06-28 华为技术有限公司 一种切换方法、终端及域主节点
CN108307468A (zh) * 2017-01-13 2018-07-20 联发科技(新加坡)私人有限公司 网络切换认证方法
JP6857065B2 (ja) * 2017-03-27 2021-04-14 キヤノン株式会社 認証認可サーバー、リソースサーバー、認証認可システム、認証方法及びプログラム
US10581842B2 (en) 2017-03-30 2020-03-03 At&T Intellectual Property I, L.P. Seamless authentication device
US10045216B1 (en) * 2017-05-01 2018-08-07 Sprint Communications Company L.P. WiFi access point connection protocol adaptation
US20190014095A1 (en) * 2017-07-06 2019-01-10 At&T Intellectual Property I, L.P. Facilitating provisioning of an out-of-band pseudonym over a secure communication channel
US10541990B2 (en) 2017-07-31 2020-01-21 Hewlett Packard Enterprise Development Lp Client device ticket
US11190510B2 (en) * 2017-11-15 2021-11-30 Parallel Wireless, Inc. Two-factor authentication in a cellular radio access network
US10880291B2 (en) 2018-02-09 2020-12-29 Cisco Technology, Inc. Mobile identity for single sign-on (SSO) in enterprise networks
US10542466B1 (en) 2018-05-25 2020-01-21 Sprint Communications Company L.P. Mobile phone authentication in WiFi coverage
US11082838B2 (en) * 2018-08-06 2021-08-03 Charter Communications Operating, Llc Extensible authentication protocol with mobile device identification
US10944757B2 (en) 2018-09-19 2021-03-09 Cisco Technology, Inc. Granting wireless network access based on application authentication credentials of client devices
US11863665B2 (en) * 2019-08-16 2024-01-02 Lenovo (Singapore) Pte. Ltd. Security capabilities in an encryption key request
US11265690B2 (en) * 2019-09-13 2022-03-01 Sling Media L.L.C. Ecosystem-based wireless network setup
US11689919B2 (en) 2021-01-21 2023-06-27 Cisco Technology, Inc. Dynamic exchange of metadata
CN113015164B (zh) * 2021-02-24 2022-09-30 中国联合网络通信集团有限公司 应用程序认证方法及装置
US20220311626A1 (en) * 2021-03-24 2022-09-29 Cisco Technology, Inc. Cloud-based identity provider interworking for network access authentication
US11722893B2 (en) * 2021-04-27 2023-08-08 Charter Communications Operating Llc Anonymous network access in a network environment

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050198379A1 (en) * 2001-06-13 2005-09-08 Citrix Systems, Inc. Automatically reconnecting a client across reliable and persistent communication sessions
US20070208864A1 (en) * 2002-10-21 2007-09-06 Flynn Lori A Mobility access gateway
US7774828B2 (en) 2003-03-31 2010-08-10 Alcatel-Lucent Usa Inc. Methods for common authentication and authorization across independent networks
ES2281599T3 (es) 2003-06-26 2007-10-01 Telefonaktiebolaget Lm Ericsson (Publ) Aparato y metodo para la autentificacion de identificacion unica a traves de una red de acceso no confiable.
US7167705B2 (en) * 2003-06-27 2007-01-23 Oracle International Corporation Roaming across different access mechanisms and network technologies
EP1842319B1 (en) 2005-01-28 2017-12-27 Telefonaktiebolaget LM Ericsson (publ) User authentication and authorisation in a communications system
WO2006085207A1 (en) * 2005-02-11 2006-08-17 Nokia Corporation Method and apparatus for providing bootstrapping procedures in a communication network
CN101389132B (zh) * 2007-09-14 2013-04-17 华为技术有限公司 获得介质无关切换业务信息的方法和网元设备和网络系统
ATE518397T1 (de) * 2007-09-14 2011-08-15 Huawei Tech Co Ltd Verfahren, vorrichtung und system zum erhalten von mih-serviceinformationen
US20110173105A1 (en) * 2010-01-08 2011-07-14 Nokia Corporation Utilizing AAA/HLR infrastructure for Web-SSO service charging
KR20140109478A (ko) 2010-12-30 2014-09-15 인터디지탈 패튼 홀딩스, 인크 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정

Also Published As

Publication number Publication date
JP2015195599A (ja) 2015-11-05
JP6093810B2 (ja) 2017-03-08
WO2012092604A2 (en) 2012-07-05
KR101556046B1 (ko) 2015-09-30
US20170171184A1 (en) 2017-06-15
WO2012092604A3 (en) 2012-09-20
JP2017123667A (ja) 2017-07-13
CN103392319A (zh) 2013-11-13
CN106131081A (zh) 2016-11-16
US9614831B2 (en) 2017-04-04
US20150326561A1 (en) 2015-11-12
JP2014506060A (ja) 2014-03-06
EP2659649A2 (en) 2013-11-06
CN103392319B (zh) 2016-09-28
KR20140109478A (ko) 2014-09-15
KR20130114701A (ko) 2013-10-17
US9009801B2 (en) 2015-04-14
US20130007858A1 (en) 2013-01-03

Similar Documents

Publication Publication Date Title
JP6093810B2 (ja) 通信ハンドオフのシナリオのための認証およびセキュアチャネルの設定
US11818566B2 (en) Unified authentication for integrated small cell and Wi-Fi networks
US9185560B2 (en) Identity management on a wireless device
US20130298209A1 (en) One round trip authentication using sngle sign-on systems
US10044713B2 (en) OpenID/local openID security
US20120284785A1 (en) Method for facilitating access to a first access nework of a wireless communication system, wireless communication device, and wireless communication system
US10104544B2 (en) LTE-level security for neutral host LTE
TW201306610A (zh) 驗證協定之自動協商及選擇
US20170339626A1 (en) Method, apparatus and system
TW201626832A (zh) 具軀域OpenID用戶端及伺服器群SSO
TW201731274A (zh) 具友多sso技術之sso架構的用戶設備
Singh et al. Heterogeneous networking: Security challenges and considerations

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140613

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140902

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20141202

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20141209

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150602

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150702

R150 Certificate of patent or registration of utility model

Ref document number: 5775174

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees