JP5992554B2 - 第1のクライアントステーションのクレデンシャルを使用して第2のクライアントステーションを認証するシステム及び方法 - Google Patents

第1のクライアントステーションのクレデンシャルを使用して第2のクライアントステーションを認証するシステム及び方法 Download PDF

Info

Publication number
JP5992554B2
JP5992554B2 JP2015022354A JP2015022354A JP5992554B2 JP 5992554 B2 JP5992554 B2 JP 5992554B2 JP 2015022354 A JP2015022354 A JP 2015022354A JP 2015022354 A JP2015022354 A JP 2015022354A JP 5992554 B2 JP5992554 B2 JP 5992554B2
Authority
JP
Japan
Prior art keywords
client station
network
request
response
another
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015022354A
Other languages
English (en)
Other versions
JP2015149724A (ja
Inventor
ナジェーブ エム. アブドゥルラヒマン,
ナジェーブ エム. アブドゥルラヒマン,
トーマス エフ. ポーリー,
トーマス エフ. ポーリー,
ヴィクラム ビー. イェラボンマナハリ,
ヴィクラム ビー. イェラボンマナハリ,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Apple Inc
Original Assignee
Apple Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Apple Inc filed Critical Apple Inc
Publication of JP2015149724A publication Critical patent/JP2015149724A/ja
Application granted granted Critical
Publication of JP5992554B2 publication Critical patent/JP5992554B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)

Description

本願は、2014年2月7日に出願された米国仮特許出願第61/937,194号「System and Method for Using Credentials of a First Station to Authenticate a Second Station」、及び2014年5月30日に出願された米国仮特許出願第62/005,933号「System and Method for Using Credentials of a First Station to Authenticate a Second Station」に対する優先権を主張する。これらの両方は、その全体が参照により本明細書に組み込まれている。
クライアントは、クライアントのハードウェア及びソフトウェア構成に基づいて様々な異なるネットワークに接続するように設定され得る。例えば、クライアントステーションが移動体通信ネットワークの周波数帯域で動作するように構成された送受信機を備えている場合、クライアントは移動体通信ネットワークに接続し得る。別の例において、クライアントステーションが、WiFi(登録商標)ネットワークの周波数帯域で動作するように更に構成されている同一の送受信機、又は、WiFiネットワークの周波数帯域で動作するように構成された別の送受信機を備えている場合、クライアントステーションは、WiFiネットワークに接続し得る。WiFiネットワークは、セルラーサービスのプロバイダが提供することが多い「ホットスポット」であってもよい。
「ホットスポット」は、クライアントステーションが「ホットスポット」に接続するための認証手続きを必要とすることがある。例えば、クライアントステーションのユーザは、事前登録したログイン及びパスワードを認証の一部として送信し得る。「ホットスポット」のサーバも、そのクレデンシャルを用いてクライアントステーションを認証し得る。具体的には、クライアントに対する一意の情報である、クライアントステーションの加入者識別モジュール(SIM)に対応する情報が使用され得る。
一例示的実施形態において、ステーションは、方法を実行する。本方法は、アソシエーション要求をネットワークに送信するステップと、識別要求をネットワークから受信するステップと、クレデンシャル情報を含む別のクライアントステーションであって、クライアントステーションがクレデンシャル情報を使用することが許可されるように、クライアントステーションと別のクライアントステーションが互いに関連付けられている、別のクライアントステーションに識別要求を送信するステップと、別のクライアントステーションのクレデンシャル情報の関数として生成される識別応答を別のクライアントから受信するステップと、識別情報をネットワークに送信するステップと、別のクライアントステーションのクレデンシャル情報を用いてクライアントステーションとネットワークとの間の接続を確立するステップとを含む。
別の例示的実施形態において、クライアントステーションは送受信機とプロセッサとを備える。送受信機は、アソシエーション要求をネットワークに送信し、識別要求をネットワークから受信し、クレデンシャル情報を含む別のクライアントステーションであって、クライアントステーションがクレデンシャル情報を使用することが許可されるように、クライアントステーションと別のクライアントステーションが互いに関連付けられている、別のクライアントステーションに識別要求を送信し、別のクライアントステーションのクレデンシャル情報の関数として生成される識別応答を別のクライアントから受信し、識別情報をネットワークに送信し、別のクライアントステーションのクレデンシャル情報を用いてクライアントステーションとネットワークとの間の接続を確立することによってネットワークとの接続を確立するように構成されている。
更に別の例示的実施形態において、クライアントステーションは、更なる別の方法を実行する。本方法は、識別要求がネットワークによって生成され、クライアントステーションと別のクライアントステーションは、クライアントステーションに一意的であるクレデンシャル情報が、別のクライアントステーションによってネットワークに接続するために使用されることが許可されるように、互いに関連付けられていて、ネットワークに接続するための識別要求を別のクライアントステーションから受信するステップと、識別要求に対して、クレデンシャル情報の関数である識別応答を生成するステップと、別のクライアントステーションによってネットワークに送られた識別応答を別のクライアントステーションに送信するステップと、を含む。
別の例示的実施形態において、方法は、第1のクライアントステーションと、第2のクライアントステーションと、上記クライアントステーションが接続し得るネットワークとによって実行される。本方法は、第1のクライアントステーションに固有のクレデンシャル情報を含む第1のクライアントステーションを第2のクライアントステーションに関連付け、第2のクライアントステーションに対してクレデンシャル情報を使用する権限を付与するステップと、ネットワークへのアソシエーション要求を、接続の権限を付与するクレデンシャル情報を利用するネットワークに、ネットワークから受信した要求を第1のクライアントステーションに転送し、第1のクライアントステーションから受信した応答をネットワークに転送する、代理機能を実行するように構成された第2のクライアントステーションによって送信するステップと、第2のクライアントステーションから受信されたクレデンシャル情報が認証されているかネットワークによって判定するステップと、第1のクライアントステーションのクレデンシャル情報を使用して第2のクライアントステーションとネットワークとの間の接続を確立するステップとを含む。
例示的ネットワーク構成を示す図である。 第1のクライアントステーションのクレデンシャルを使用して、第2のクライアントステーションのネットワークへの接続を認証する例示的ネットワーク構成を示す図である。 別のクライアントステーションのクレデンシャルを使用してネットワークに接続するように構成された例示的クライアントステーションを示す図である。 第1のクライアントステーションのクレデンシャルを使用して、第2のクライアントステーションのネットワークへの接続を認証する第1の例示的シグナリング図である。 第1のクライアントステーションのクレデンシャルを使用して、第2のクライアントステーションのネットワークへの接続を認証する第2の例示的シグナリング図である。
例示的実施形態は、以下の説明と関連する添付図面を参照して更に理解し得ることができ、同様の要素には、同一の参照符号が付されている。例示的な実施形態は、第1のクライアントステーションのクレデンシャルを使用して、第2のクライアントステーションによるネットワークへの接続を確立するシステムと方法に関する。具体的には、第1のクライアントステーションは、第1のクライアントステーションがネットワークに接続することを有効にする一意のクレデンシャル情報を含むSIMカードを有し得る。例示的な実施形態は、第2のクライアントステーションが、第1のクライアントステーションとネットワークとの間で要求及び応答を転送するプロキシ機器として機能し、最終的には、ネットワークと第2のクライアントステーションとの間の接続を確立するメカニズムを提供する。
図1は、例示的ネットワーク構成100を示す。例示的ネットワーク構成100は、クライアントステーション110〜114を備える。本実施例において、クライアントステーション100〜114は、単一のユーザに関連付けられているものとする。例えば、クライアントステーション110は、携帯電話であり、クライアントステーション112は、ユーザのタブレットコンピュータであり、クライアントステーション114は、ユーザのデスクトップコンピュータであり得る。当業者には、上記の例に加えて、クライアントステーションが、ネットワークを介して通信するように構成された任意のタイプの電子部品、例えば、スマートフォン、ファブレット、組み込み機器等であり得ることが理解されよう。また、実際のネットワーク構成は、任意の数のユーザに関連付けられた任意の数のクライアントステーションを備え得て、ユーザは、多かれ少なかれ複数のクライアントステーションに関連付け得ることが理解されよう。1つのユーザに関連付けられた3つのクライアントステーションの実施例が、例示的な目的で提供されている。
各クライアントステーション110〜114は、1つ以上のネットワークと直接通信するように構成され得る。本実施例において、クライアントステーション110〜114が通信し得るネットワークは、レガシーの無線アクセスネットワーク(RAN)120と、ロングタームエボリューション無線アクセスネットワーク(LTE−RAN)ネットワーク122と、無線ローカルエリアネットワーク(WLAN)124である。本実施例において、各ネットワーク120〜124は、クライアントステーション110〜114が無線で通信できる無線ネットワークである。しかし、クライアントステーション110〜114は、有線接続を使用して、他のタイプのネットワークとも通信し得ることを理解されたい。また、クライアントステーション110〜114の全てが、必ずしも、ネットワーク120〜124のそれぞれと直接に通信できないことも理解されたい。例えば、クライアントステーション114は、LTEチップセットを有さない場合があり、したがって、LTE−RAN 122と通信できる機能を有さない場合がある。繰り返すが、3つのネットワークを使用することは例示に過ぎず、クライアントステーション110〜114は、任意の数のネットワークと通信し得る。
レガシーRAN 120とLTE−RAN 122は、セルラープロバイダ(例えば、Verizon(登録商標)、AT&T(登録商標)、Sprint(登録商標)、T−Mobile(登録商標)等)によって配備され得るセルラーネットワークの一部である。これらのネットワーク120と122は、例えば、適切なセルラーチップセットを備えたクライアントステーションとトラフィックを送受信するように構成された基地局(Node B、eNodeB、HeNB等)を含み得る。レガシーRANの例には、一般的に2G及び/又は3Gネットワークと標識化され、回路交換音声通話とパケットスイッチデータ操作を含み得るネットワークが挙げられる。当業者は、セルラープロバイダは、そのセルラーネットワーク内に、更に進化したセルラー標準を含む他のタイプのネットワークも配備し得ることを理解されよう。WLAN 124は、任意のタイプの無線ローカルエリアネットワーク(WiFi、ホットスポット、IEEE 802.11xネットワーク等)を含み得る。当業者は、アメリカ合衆国だけで、何千、何十万台、又はそれ以上の異なるWLANが配備されている可能性があることを理解されよう。例えば、WLAN 124は、ユーザの家庭内ネットワーク、ユーザの職場内ネットワーク、公衆ネットワーク(例えば、シティーパーク、コーヒーショップ等における)であり得る。一般的に、WLAN 124は、クライアントステーション110〜114がWLAN 124と通信することを可能にする1つ以上のアクセスポイントを有する。
ネットワーク120〜124に加えて、ネットワーク構成は、セルラーコアネットワーク130と、インターネット140も備える。セルラーコアネットワーク130、レガシーRAN 120、LTE−RAN 122は、特定のセルラープロバイダ(例えば、Verizon、AT&T、Spring、T−Mobile等)と関連付けられたセルラーネットワークと考察し得る。セルラーコアネットワーク130は、セルラーネットワークの動作とトラフィックを管理する相互接続された構成要素のセットと考察し得る。セルラーコアネットワーク130の相互接続された構成要素は、任意の数の、サーバ、スイッチ、ルータなどの構成要素を含み得る。また、セルラーコアネットワーク130は、セルラーネットワークとインターネット140との間を流れるトラフィックを管理する。
ネットワーク構成100は、IPマルチメディアサブシステム(IMS)150も備える。IMS 150は、全体として、IPプロトコルを用いてマルチメディアサービスをクライアントステーション110〜114に配信するアーキテクチャーとして描写し得る。IMS 150は、このタスクを達成するための様々な構成要素を備え得る。例えば、典型的なIMS 150は、クライアントステーション110〜114のユーザについての加入情報を格納するホーム加入者(HS)サーバを備える。この加入情報は、正しいマルチメディアサービスをユーザに提供するために用いられる。IMS 150の他の例示的構成要素は、必要に応じて、以下で説明されている。IMS 150は、セルラーコアネットワーク130及びインターネット140と通信して、マルチメディアサービスをクライアントステーション110〜114に提供し得る。IMS 150は、セルラープロバイダが、典型的には、IMS 150の機能を実行するため、セルラーコアネットワーク130とごく接近して示される。しかし、これが、必ずしも、そうであるとは限らない。IMS 150は、別の構成要素によって提供され得る。
このように、ネットワーク構成100は、クライアントステーション110〜114が、コンピュータ及びセルラーネットワークと全体的に関連付けられた機能を実行することを可能にする。例えば、クライアントステーション110〜114は、他の構成要素に対する音声通話を実行し得て、情報を検索するためにインターネット140をブラウザし得て、マルチメディアデータをクライアント機器等に流し得る。
しかし、上述のように、必ずしも全てのクライアントステーション110〜114が、ネットワーク120、122、124、130、140に対して同じ通信機能を有するとは限らない。これらのネットワークのうちの1つ以上との通信の欠如は、クライアント機器110〜114の機能による、例えば、クライアント機器がセルラーチップを備えていないことに起因する場合と、ネットワークの限界による、例えば、セルラーネットワークが、クライアントステーションの範囲内に基地局を有さないことに起因する場合がある。この1つ以上のネットワークとの通信が欠如すると、その結果、クライアントステーションが、ネットワークのうちの1つ以上を介して利用できる機能を利用できないことがあり得る。
上記の要素に加えて、ネットワーク構成100は、インターネット140及びセルラーコアネットワーク130と直接的又は間接的に通信するネットワークサービスバックボーン160も備える。ネットワークサービスバックボーン160は、全体的に、様々なネットワークと通信するクライアントステーション110〜114の機能を拡張するために使用し得る、一式のサービスを実装する一組の構成要素(例えば、サーバ、ネットワークストレージ構成等)として描写し得る。これらの拡張部は、いくつかの例が上述されている機器及び/又はネットワークの制限のためクライアント機器110〜114がアクセスできない機能を含み得る。ネットワークサービスバックボーン160は、クライアント機器110〜114及び又はネットワーク120、122、124、130、140と対話して、これらの拡張機能を提供する。
ネットワークサービスバックボーン160は、任意のエンティティ、又は一組のエンティティによって提供され得る。一実施例において、ネットワークサービスバックボーン160は、クライアントステーション110〜114のうちの1つ以上の供給者によって提供される。別の実施例において、ネットワークサービスバックボーン160は、セルラーネットワークプロバイダによって提供される。更に別の実施例において、ネットワークサービスバックボーン160は、セルラーネットワークプロバイダ又はクライアントステーション110〜114の供給者とは関係がない第三者によって提供される。
本明細書に記述されている例示的実施形態は、クライアントステーション110〜114に拡張し得る異なるタイプの機能の一例を提供するとともに、ネットワークサービスバックボーン160に含め得る構成要素とサービスの一例を提供する。この実施例において、ネットワークサービスバックボーン160は、クライアントステーション110〜114のうちの第2のクライアントステーションが、ネットワークにアクセスするためのクレデンシャルを、クライアントステーション110〜114のうちの第1のクライアントステーションから提供するために使用される。しかし、ネットワークサービスバックボーン160は、クライアントステーション110〜114とネットワークの動作を高めるために使用し得る、多くの他の構成要素とサービスを含み得ることを理解されたい。
ネットワークサービスバックボーン160が提供するサービスの1つは、異なるクライアントステーション110〜114の間の関連付けの格納及び更新であり得る。上記の通り、本実施例において、これらのクライアントステーション110〜114のそれぞれは、同じユーザに関連付けられている。このように、ネットワークサービスバックボーン160は、このユーザと各クライアントステーション110〜114との関連付けを指示する情報を格納し、更に、このユーザとの関連付けに基づくクライアントステーション110〜114の互いの関係を格納(又はリンク)し得る。クライアントステーション110〜114間のこの関連付けは、ネットワークサービスバックボーン160がクライアントステーション110〜114の拡張動作を提供する基部の1つとして使用し得る。
クライアントステーション(例えば、クライアントステーション110〜114)は、WiFiネットワーク(例えば、IEEE 802.11a/b/g/acによって定義されている)に接続するように構成された送受信機を備え得る。つまり、送受信機は、WiFiネットワークの周波数範囲で動作し得る。上記の通り、WiFiネットワークは、WLAN 124の一タイプであり得る。したがって、本明細書の全体を通じて、用語WiFiは、任意のタイプのWLANを含むものと理解されたい。しかし、クライアントステーションは、WiFiネットワークとの接続を確立するために、認証手続きを実行することが要求され得る。したがって、クライアントステーションは、WiFiネットワークのサーバがアソシエーション要求を認証するためのクレデンシャル情報、ユーザ固有認証情報(例えば、ログイン名及び/又はパスワード)、それらの組み合わせ等を送信し得る。
WiFiネットワークが、プライベートローカルエリアネットワーク(LAN)である第1の実施例において、認証手続きは(特に、隠されている場合)WiFiネットワークの選択を伴い、任意選択で、パスワードの提供を伴い得る。クレデンシャル情報が送信され、プライベートLANのサーバによって認証されると、クライアントステーションがプライベートLANとの接続を確立するためのアソシエーション手続きが実行され得る。
第2の実施例において、及び例示的な実施形態によると、WiFiネットワークが「ホットスポット」である場合、認証手続きは、ログイン及び/又はパスワードを提供するステップを伴い得るが、更に、クライアントステーションに一意のクレデンシャルの提供を含むことがあり得る。具体的には、クライアントステーションのSIMカードに対応する情報が使用され得る。「ホットスポット」は、セルラーサービスプロバイダによって提供され得る。つまり、セルラーサービスプロバイダは、これらのWiFiネットワークにアクセスするためにセルラーサービスプロバイダに登録済みのユーザに対して様々な「ホットスポット」ロケーションを提供し得る。したがって、クライアントステーションは、セルラーサービスプロバイダによって提供されるセルラーネットワークとWiFiネットワークに接続し得る。セルラーサービスプロバイダに登録されているユーザが、セルラーサービスプロバイダが提供する「ホットスポット」にも接続を試みていることを確認する1つの方法は、SIMカードの情報を利用することである。しかし、クライアントステーションを一意に識別するいくつかの他の方法を使用することも可能である。例えば、一意的な識別が、SIMカードの情報でなければならないということは要求されない。
クライアントステーションの「ホットスポット」への参加を認証する方法の観点から、第1のクライアントステーションの使用について適正に登録されたユーザが、第2のクライアントステーションの「ホットスポット」への参加を試みる場合、特に、第2のクライアントステーションが、SIMカード、又は認証を確認するためにセルラーサービスプロバイダが使用し得る他の一意的な識別構成要素を有さない場合に、問題が生じる。例えば、ユーザは、セルラー機能を有し、第1のクライアントステーションに対応するSIMカードを介してセルラーサービスプロバイダに登録された、第1のクライアントステーションを所有し得る。セルラーサービスプロバイダは、「ホットスポット」などのWiFiネットワークもユーザに提供し得る。ユーザは、更に、セルラー機能は有さないが、WiFi機能を有する第2のクライアントステーションを所有し得る。したがって、第2のクライアントステーションは、任意のセルラーサービスプロバイダ、特に、第1のモバイルクライアントステーションのセルラーサービスプロバイダに登録しなくてもよい。しかし、第2のクライアントステーションはWiFi機能を有するため、WiFi技術を利用する「ホットスポット」に接続できる可能性を有する。
このようなシナリオが存在する時、ユーザは「ホットスポット」に接続して第2のクライアントステーションを利用することを希望し得る。しかし、SIMカードに対応するクレデンシャル情報が利用できないため、第1のクライアントステーションが適正なクレデンシャル情報を有し、両方のクライアントステーションが同じユーザに属しているにもかかわらず、第2のクライアントステーションは「ホットスポット」に接続できないことがあり得る。したがって、第1のクライアントステーションと第2のクライアントステーションの両方を所有するユーザは、第1のクライアントステーションを使用して「ホットスポット」に接続することしか許されない。
例示的な実施形態は、共通のユーザの2つ以上のクライアントステーションを対にして、SIMカードクレデンシャルがアソシエーション要求の認証基準として使用されるセルラーサービスプロバイダによって提供されるWiFiネットワークに自動的に接続するメカニズムを提供する。具体的には、SIMカードを有する第1のクライアントステーションが、SIMカードを有さない第2のクライアントステーションに安全な方法でSIMクレデンシャル(又は、第1のクライアントステーションのSIMカードのクレデンシャル情報を含む任意の他の構成要素)提供し得る。第2のクライアントステーションは、対である第1のクライアントステーションに対して、SIMカードクレデンシャル情報を取り込むように問い合わせ、及び、更に、第1のクライアントステーションに対して、WiFiネットワークへの接続の認証手続きを完了する(例えば、試みる)ように問い合わせできる。
以下で詳細に記述されているように、第1のクライアントステーションと第2のクライアントステーションの対の組み合わせは、第2のクライアントステーションの代理機能を含み得る。当業者は、ネットワーク環境において、プロキシが、別の構成要素間でデータを授受するように構成された中間構成要素であり得ることを理解されよう。例えば、クライアントステーションからのデータは、そのデータが最初にプロキシサーバに送信され、その後でネットワークサーバに転送されるように、プロキシサーバを使ってネットワークサーバに送信し得る。第2のクライアントステーションもこの代理機能を備え得て、また、交換されたデータを利用して独自にWiFiネットワークへの接続を確立し得る。具体的には、クレデンシャル情報が、アソシエーション要求について第1のクライアントステーションとネットワークサーバとの間で使用される他のデータと共に第1のクライアントステーションからネットワークサーバに渡され得る。しかし、第2のクライアントステーションは、最終的に、渡されたこのクレデンシャル情報を使用してWiFiネットワークに接続し得る。
本明細書において用いられている用語「対」は、第1のクライアントステーションと第2のクライアントステーションとの間の任意の許可された関連付けに関することを留意願いたい。例えば、第1及び第2のクライアントステーションは共通の所有者によって所有され得る。共通の所有権を指示する1つの方法は、クラウドサーバがこれらの機器を一緒に「対として組み合わせる」ように共通のログイン名とパスワードを使ったクラウドネットワークへの接続である。上記のように、この対の組み合わせ機能は、ネットワークサービスバックボーン160によって実行され得る。このように、クラウドサーバはネットワークサービスバックボーン160内に含まれ得る。第1及び第2のクライアントステーションの使用は、用語「対」がこれらの機器に対応する実施例における例示に過ぎないことを留意願いたい。しかし、当業者は、例示的な実施形態が、許可された関連付けを有する2つ以上のクライアントステーションに関することを理解されよう。
図2は、図1のネットワーク構成100よりも更に詳細な例示的ネットワーク構成200を示す。ネットワーク構成200は、プロキシクライアントステーション235のWiFiネットワーク205への接続を認証するためのSIMクライアントステーション230のクレデンシャルの使用について説明するために使用される。図1を参照すると、SIMクライアントステーション230とプロキシクライアントステーション235は、クライアントステーション110〜114のうちの任意のクライアントステーションであり得る。WiFiネットワーク205は、WLAN 124であり得る。例示的な実施形態は、WiFiネットワーク205への接続の認証手続きに関する。したがって、ネットワーク構成200は、認証、許可、アカウンティング(AAA)サーバ215、ホーム加入者(HS)サーバ220、ホームロケーションレジスタ(HLR)認証センター(AuC)225などのセルラーコアネットワーク212に関連付けられた様々な異なる認証ネットワーク構成要素を含み得る。
上記のように、ネットワーク構成200におけるWiFiネットワーク205は、クライアントステーション固有のクレデンシャルを利用してアソシエーション要求を認証する「ホットスポット」を表し得る。しかし、本明細書における「ホットスポット」の使用は例示に過ぎず、また、WiFi技術を利用するWiFiネットワーク205は例示に過ぎないことを留意願いたい。当業者は、任意のネットワーク技術を利用する任意のネットワークタイプは、クライアントステーション固有の情報を利用する一認証方法を含み得ることを理解されよう。また、上記のように、クライアントステーション固有のクレデンシャルは、クライアントステーションのSIMカードに対応する情報であり得る。しかし、SIMカードの使用は、例示的に過ぎず、クライアントステーション及び/又はクライアントステーションのユーザに一意的な情報を含む任意の構成要素を表すことを留意願いたい。
WiFiネットワーク205は、アソシエーション要求を提供するクライアントステーションに対してWiFiネットワークへの接続を認証するために、様々な異なる認証フレームワークを利用し得る。例えば、WiFiネットワーク205は、拡張認証プロトコル(EAP)を利用し得る。EAPは、無線ネットワーク及び二地点同接続で使用される認証フレームワークであり得る。EAPは、使用されている通信プロトコルのタイプのメッセージフォーマットを定義するために使用し得る認証フレームワークを提供する。このようにして、機器は、EAPを使用して、所望のタイプのプロトコルを使用した通信におけるEAPメッセージのカプセル化方法を定義し得る。EAPは、例えば、WiFiネットワーク205を定義するIEEE 802.11で使用し得る。具体的な例として、WiFi Protected Access(WPA)及びWiFi Protected Access II(WPA2)規格は、公式の認証メカニズムとして5つのEAPタイプを有するIEEE 802.1Xを採用している。
AAAサーバ215は、コンピュータセキュリティのために使用されるネットワーク構成要素であり得、AAA機能を実行する。AAA機能は、ユーザのWiFiネットワーク205との接続などのサービスへのアクセスを制御するために使用され得る。AAAサーバ215は、ユーザがアクセスしたリソースを記録することもできる。AAAサーバ215は、クライアントステーションのアイデンティティを認証する認証機能を提供し得る。例えば、クライアントステーションは、識別子及び対応するクレデンシャルなどの特定のデジタルアイデンティティ(例えば、パスワード、ワンタイムトークン、デジタル証明書、デジタル署名、電話番号(発呼、被呼)等)に対応する情報を提供し得る。AAAサーバ215は、クライアントステーションが所与のアクティビティを実行することを許可する許可機能を提供し得る。許可は、例えば、アプリケーション又はサービスにログインする時に、許可機能から引き継がれ得る。許可機能の他の実施例は、異なる制限(例えば、日時限定の制限、物理的位置の制限、同一エンティティ又はユーザによる複数アクセスの制限等)に基づくことがあり得る。AAAサーバ215は、容量及び傾向分析、コスト割り当て、課金等の目的のためにネットワークの使用を追跡するアカウンティング機能も提供し得る。また、アカウンティング機能は、認証及び許可の試み/失敗を記録し、手続きがアカウンティングデータに基づいて正しく行われたことを確認し得る。
HSサーバ220は、IMS 150が使用する加入関連情報(例えば、加入者プロファイル)を格納し得る。また、HSサーバ220は、ユーザ/クライアントステーションを認証及び許可し、ユーザ(つまり、プロキシクライアントステーション235のユーザ)についてのロケーション及びIP情報を提供し得る。HSサーバ220は、移動通信用のグローバルシステム(GSM)ネットワークのHLR/Auc 225と実質的に類似し得る。HSサーバ220の認証及び許可機能に関する動作は下記で説明されている。
HLR/AuC 225は、HLR部とAuC部を備え得る。AuCは、HLRの一構成要素と考えられ得る。具体的には、AuCは、WiFiネットワーク205への接続を試みるSIMカードを検証する構成要素である。AuCによるセキュリティは、ネットワーク加入者に提供される「ホットスポット」アクセスなどのネットワーク加入者サービスへの第三者のアクセスを防止し得る。HLRは、GSMネットワークの使用を許可された各加入者に関連付けられた情報を含む。この情報は、セルラーサービスプロバイダが発行する各SIMカードの一意の識別子を含み得る。一旦、AuCによって認証の成功が判定されると、HLRは提供されるSIMとサービスを管理する。HLRは、後にクライアントステーションとGSMネットワークとの間の全ての無線通信(例えば、音声、SMS等)を暗号化するために使用される暗号化キーも生成し得る。認証に失敗すると、クライアントステーションはサービスを利用できない。
AuCは、認証プロセスには直接関わらないが、手続き時に使用する移動交換センター(MSC)のトリプレットとして定義されるデータを生成する。AuCとSIMは、製造時にSIMに安全に焼き付けられ、AuCに安全に複製されるKと呼ぶ共有シークレットキーを有する。このKはIMSIと結合され、識別用のチャレンジ/応答と、通信時に使用するKと呼ぶ暗証化キーを生成する。この特別な実施形態は、以下で更に詳細に説明されている。当業者は、HSサーバ120が提供する実質的に類似の機能が、異なるシグナリング構成要素を利用し得ることを理解されよう。具体的には、HSサーバ220は、クインティプレットを利用し得る。
上記のように、例示的実施形態は、第1のクライアントステーションを、WiFiネットワーク205も提供するセルラーサービスプロバイダに登録し、第2のクライアントステーションをWiFiネットワーク205に接続することを希望するユーザに関する。このように、SIMクライアントステーション230とプロキシクライアントステーション235は、両方とも共通のユーザに関連付けられ得る。通信メカニズムは具体的に示されていないが、SIMクライアントステーション230とプロキシクライアントステーション235は、両方の間でデータが授受されるように互いに通信するように構成され得る。以下で更に詳細に説明されているように、プロキシクライアントステーション235は、WiFiネットワーク205へのアソシエーション要求を開始し得る。プロキシクライアントステーション235は、WiFiネットワーク205からの信号の受信点として機能し得る。また、プロキシクライアントステーション235は、この信号をSIMクライアントステーション230に転送し、WiFiネットワーク205に転送するデータをSIMクライアントステーション230から受信し得る。
図3は、SIMクライアントステーション230のクレデンシャルを使用してWiFiネットワーク205に接続するように構成されたプロキシクライアントステーション235を示す。図2は、プロキシクライアントステーション235に関するが、SIMクライアントステーション230も、本明細書で記述されている実質的に類似の構成要素を備え得る。具体的には、SIMクライアントステーション230は、プロキシクライアントステーション235によって実行される代理機能を有効にするように実行される実質的に類似のアプリケーションを含み得る。プロキシクライアントステーション235は、ポータブル装置(例えば、セルラー電話、スマートフォン、タブレット、ファブレット、ラップトップ等)又は据付装置(例えば、デスクトップ端末、VolP電話等)などのWiFiネットワーク205に接続するように構成された任意の電子機器であり得る。クライアントステーション235は、プロセッサ305、メモリ配置310、ディスプレイデバイス315、入/出力(I/O)機器320、送受信機325、及び他の構成要素330を備え得る。
プロセッサ305は、クライアントステーション235の複数のアプリケーションを実行するように構成され得る。例えば、アプリケーションは、WiFiネットワーク305に接続された時、インターネットなどの公衆網とデータをやり取りするウェブブラウザアプリケーションを含み得る。別の実施例において、アプリケーションは、SIMクライアントステーション230のクレデンシャル情報が、以下で更に詳細に説明されている、プロキシクライアントステーション235のWiFiネットワーク205への接続を認証するために使用される、代理認証機能を実行する代理認証アプリケーション335を含み得る。プロセッサ305によって実行されるプログラムであるこれらのアプリケーションは例示的に過ぎないことを留意願いたい。これらのアプリケーションは、プロキシクライアントステーション235の別体の組み込まれた構成要素として表すことができ、又はプロキシクライアントステーション235に連結されたモジュール構成要素であり得る。
代理認証アプリケーション335は、SIMクライアントステーション230にも含まれ得る。具体的には、SIMクライアントステーション230上で実行された時、代理認証アプリケーション335は、転送された要求に対して、プロキシクライアントステーション235に確実に送信する応答をパッケージし得る。このように、プロキシクライアントステーション235は、要求をSIMクライアントステーション230に転送するが、その要求が、例示的実施形態に係る認証手続きのためであって、SIMクライアントステーション230のWiFiネットワーク205への接続の認証手続きのためではないことを認識し得る。
メモリ配置310は、クライアントステーション235が実行する動作に関するデータを格納するように構成されたハードウェア構成要素であり得る。例えば、メモリ配置310は、SIMクライアントステーション230とプロキシクライアントステーション235の両方が関連付けられているクラウドネットワークに対応するクラウドデータを格納し得る。別の実施例において、メモリ配置310は、また、その代理的役割における転送機能を実行するために、WiFiネットワーク205とSIMクライアントステーション230とから受信されたデータを(一時的に)格納し得る。ディスプレイデバイス315は、データをユーザに対して示すように構成されたハードウェア構成要素であり得、I/O機器320は、ユーザから入力情報を受信し、対応するデータを出力するように構成されたハードウェア構成要素であり得る。他の構成要素330は、携帯電源(例えば、バッテリ)、データ取得装置、クライアントステーション235を他の電子機器に電気的に接続するポート、オーディオI/O機器等を含み得る。具体的には、他の構成要素330は、SIMカードを含み得る。
SIMは、国際移動体加入者識別番号(IMSI)と、モバイル電話機器上で加入者を識別及び認証するために使用する関連キーを安全に格納する集積回路であり得る。SIM回路は、「SIMカード」を作成するために着脱可能なプラスチックカードに埋め込まれており、異なるモバイル機器間で移動し得る。SIMカードには、その一意のシリアル番号(ICCID)、IMSI、セキュリティ認証及び暗号化情報、ローカルネットワークに関する一時情報、ユーザがアクセスするサービスのリスト、通常使用する個人識別番号(PIN)及びPINロック解除ための個人ブロック解除コード(PUK)が入っている。このようにして、SIMカードは、WiFiネットワーク205がアソシエーション要求における認証目的で使用し得る様々なユーザ固有の及び/又はクライアントステーション固有のクレデンシャル情報を含み得る。
送受信機325は、WiFiネットワーク205とデータを送信及び/又は受信するように構成されたハードウェア構成要素であり得る。また、送受信機325は、SIMクライアントステーション230との通信を可能にし得る。プロキシクライアントステーション235とSIMクライアントステーション230との間の通信は、通信技術を使用して行われ得る。例えば、クラウドネットワークは、クラウドネットワークが、プロキシクライアントステーション235とSIMクライアントステーション230との間で共有されるデータの中間記憶構成要素として機能する環境において使用され得る。したがって、送受信機325を利用して、その動作周波数でクラウドネットワークと通信し得る。別の実施例において、プロキシクライアントステーション235とSIMクライアントステーション230は、有線(例えば、ユニバーサルシリアルバス(USB)ケーブル)又は無線(例えば、Bluetooth、赤外線(IR)等)を使用して互いの間で直接的な接続を確立し得る。したがって、送受信機325は、それぞれの方法を使用した通信を可能にするハードウェア構成要素を備えた送受信機構成を表し得る。
例示的実施形態によると、プロキシクライアントステーション235は、WiFiネットワーク205を検出すると、WiFiネットワーク205に接続するためのアソシエーション手続きを開始し得る。繰り返すが、プロキシクライアントステーション235は、SIMクライアントステーション230をWiFiネットワーク205に接続するために使用されるクレデンシャル情報を備えていないことがあり得る。具体的には、プロキシクライアントステーション235は、SIMクライアントステーション230と同じSIMカードを備えていないことがあり得る。したがって、プロキシクライアントステーション235(及びSIMクライアントステーション230)のユーザが、プロキシクライアントステーション235をWiFiネットワーク205に接続することを希望する時、本実施形態は、プロキシクライアントステーション235を認証するために、プロキシクライアントステーション235がSIMクライアントステーション230のクレデンシャル情報(例えば、SIMカード)を使用するメカニズムを提供する。具体的には、アソシエーション手続きが開始された後、プロキシクライアントステーション235は、プロキシクライアントステーション235が認証され、WiFiネットワーク205に接続されるまで、信号を転送する代理機能を提供する。本例示的実施形態によると、プロキシクライアントステーション235は、WiFiネットワーク205から識別情報についての第1の要求を受け取り、この要求をSIMクライアントステーション230に転送して、WiFiネットワーク105に送信するアイデンティティ応答を受信し得る。また、プロキシクライアントステーション235は、SIMクライアントステーション230のみが正しく応答するように構成され得るというチャレンジである第2の要求をWiFiネットワーク205から受け取り、この要求をSIMクライアントステーション230に転送して、WiFiネットワーク205に送信するチャレンジアンサー応答を受け取り得る。接続の成功を指示する後続の確認応答信号も交換され得る。
図4は、SIMクライアントステーション230のクレデンシャルを使用してプロキシクライアントステーション235のWiFiネットワーク205への接続を認証する第1の例示的シグナリング図400を示す。具体的には、シグナリング図400は、WiFiネットワーク205が、AAAサーバ215とHSサーバ220を利用して認証手続きを実行する手順に関する。上記のように、これには、クインティプレットの使用を伴い得る。また、以下で説明されているように、これには、認証及びキー合意(AKA)チャレンジの使用を伴い得る。
シグナリング図400は、本例示的実施形態に係る認証手続きに関係する様々な異なる構成要素を示す。図示されるように、この認証手続きには、SIMクライアントステーション230、プロキシクライアントステーション235、WiFi基地局210、AAAサーバ215、HSサーバ220が関わり得る。当業者であれば理解されるように、SIMクライアントステーション230とプロキシクライアントステーション235は、WiFi基地局210、AAAサーバ215、HSサーバ220によって実行される動作とは異なるエンティティによって実行される動作を含み得る。例えば、SIMクライアントステーション230がApple Inc.(登録商標)から供給されるiPhone(登録商標)であり、プロキシクライアントステーション235がApple Inc.から供給されるiPod(登録商標)であることが考えられ得る。このような実施例において、両方のクライアントステーション間の様々な動作を実行するエンティティは、Apple(登録商標)Inc.によって管理されるネットワークサービスバックボーン160構成要素であり得る。更に、WiFi基地局210、AAAサーバ215、HSサーバ220は、AT&T、Verizon等などのセルラーサービスプロバイダによって管理されるネットワーク構成要素であり得る。
最初に、SIMクライアントステーション230とプロキシクライアントステーション235のユーザは、共通のアカウントにログイン405し得る。例えば、SIMクライアントステーション230及びプロキシクライアントステーション235上でApple Inc.によって提供されるプラットフォームを実行している時に、iCloud(登録商標)又はiTunes(登録商標)などのクラウドネットワークにアクセスし得る。クラウドネットワークに接続すると、同期機能410が実行され得る。具体的には、SIMクライアントステーション230及び/又はプロキシクライアントステーション235が初めてクラウドネットワークに接続した時、これらのクライアントステーションは対に組まれ、同一のユーザに関連付けられ得る。シグナリング図の手順は、アソシエーション要求がプロキシクライアントステーション235から送信される前の任意の時間に実行し得ることを留意願いたい。繰り返すが、この同期機能は、ネットワークサービスバックボーン160で実行され得る。
同期機能は、サービスセット識別(SSID)に関係する共有データも含み得る。例えば、SIMクライアントステーション230は、SIMクレデンシャル情報が認証用に使用されているWiFiネットワーク205を含む様々なWiFiネットワークに接続されている場合がある。SIMクライアントステーション230は、SSID情報をクラウドネットワークにアップリンクし得る。この後、このSSID情報は、プロキシクライアントステーション235に転送され、メモリ配置310に格納され得る。したがって、プロキシクライアントステーション235は、SIMクレデンシャル情報が使用されるWiFiネットワークを認識し得る。このように、プロキシクライアントステーション235が、WiFiネットワークを検出し、SSIDが、SIMクレデンシャル情報の使用を指示しているSSIDのうちの1つと一致すると、プロキシクライアントステーション235は、本実施形態に係る認証手続きが使用できることを認識し得る。
プロキシクライアントステーション235は、検出手続きを実施して利用可能なネットワークを判定し得る。具体的には、プロキシクライアントステーション235は、利用可能なネットワークのビーコンの周波数範囲でスキャンを実行し得る。周波数範囲は、送受信機325が動作するように構成された周波数範囲を含み得る。プロキシクライアントステーション235は、動作415において、クラウドネットワークを介して同期されたリストに基づいて、検出されたネットワークのうちの1つのSSIDが、SIMクライアントステーション230が以前に接続されたネットワーク(例えば、WiFiネットワーク205)のSSIDと一致するか判定する。
WiFiネットワーク105を検出すると、プロキシクライアントステーション135は、WiFi基地局210に対してオープンなアソシエーション要求420を生成し得る。WiFi基地局210は、オープンなアソシエーション要求420を送信したクライアントステーションのアイデンティティについての要求425で応答し得る。例えば、このアイデンティティ要求は、EAPを使用して定義し得る。プロキシクライアントステーション235は、SIMクレデンシャル情報がWiFiネットワーク205における認証で使用されていることを認識しているので、プロキシクライアントステーション235の代理認証アプリケーション335が、アイデンティティ要求430をSIMクライアントステーション230に転送し得る。本明細書における記述全体を通じて、用語「転送」は、プロキシクライアントステーション235の動作を説明するために用いられている。この用語は、プロキシクライアントステーション235が、説明されている通信(例えば、アイデンティティ要求430)をそれがプロキシクライアントステーション235によって受け取られた時の形態と実質的に同じ形態で送信することを意味すると理解されたい。しかし、プロキシクライアントステーション235は、受信側機器/エンティティに正しく送信されるように通信をフォーマットし得る(例えば、通信がTCP/IPプロトコルを介して送信されている場合、プロキシクライアントステーションは、必要に応じてヘッダ及びルーティング情報を追加し得る)ことを理解されたい。アイデンティティ要求のプロキシクライアントステーション235からSIMクライアントステーションへの転送は、上記のように、両クライアントステーション間の既知の通信方法を介して達成し得る。
SIMクライアントステーション230は、アイデンティティ要求430を受信し、アイデンティティ応答を生成し得る。具体的には、アイデンティティ応答は、SIMカードに含まれる情報に対応し得る。例えば、アイデンティティ応答は、EAPによって定義され得て、IMSIを含み得る。アイデンティティ応答435は、プロキシクライアントステーション235に送信され、プロキシクライアントステーション235は、アイデンティティ応答440をWiFiネットワーク基地局110とWiFiネットワーク105を介してセルラーコアネットワーク212のAAAサーバ215に転送する。
AAAサーバ215が、EAPに基づく、IMSIを含むアイデンティティ応答440を受信すると、AAAサーバ215は、HSサーバ220からのIMSIに対応する認証ベクトル445を要求し得る。HSサーバ220は、認証ベクトル450を生成し得る。上記の通り、AAAサーバ215は、後に使用する認証ベクトルに対応するクインティプレットも受信し得る。例えば、このクインティプレットは、AT_RAND、AT_AUTN、AT_MAC、S−RES、Kを含み得る。
クインティプレット455を受信すると、AAAサーバ215は、クインティプレットに基づくAKAチャレンジを含む要求460を生成し得る。例えば、要求/AKAチャレンジ460は、EAPに基づいて定義され得る。要求/AKAチャレンジ460は、SIMクライアントステーション230のSIMカードのIMSIから形成されたクインティプレットに基づいて生成されるので、正しい応答は、SIMクライアントステーション230によってのみ生成され得る。要求/AKAチャレンジ460を生成すると、AAAサーバ215は、それをプロキシクライアントステーション230に送信し得る。プロキシクライアントステーション135は、この要求/AKAチャレンジ465をSIMクライアントステーション230に転送し得る。
SIMクライアントステーション230は、AKAアルゴリズム470を実行して、それに対する応答を生成し得る。例えば、AKAアルゴリズム470は、AUTNとMACを検証し、RESとKを引き出し得る。これは、AT_RESとAT_MACを含む応答/AKAチャレンジ475に含まれ得る。この応答は、EAPに基づいても定義され得る。応答/AKAチャレンジ475は、応答/AKAチャレンジ480をAAAサーバ215に転送するプロキシクライアントステーション235に送信され得る。AAAサーバ215は、応答を検証485し、認証手続きを完了し得る。具体的には、AAAサーバ215は、認証手続きが成功した確認応答490を送信し得る。この時点で、プロキシクライアントステーション235が、WiFiネットワーク205に接続され、通信495が、プロキシクライアントステーション235とWiFiネットワーク205との間で行われ得る。完了のため、及びSIMクライアントステーション230に通知するために、プロキシクライアントステーション235は、成功の確認応答497をSIMクライアントステーション230に転送し得る。
図5は、SIMクライアントステーション230のクレデンシャルを使用してプロキシクライアントステーション235のWiFiネットワーク205への接続を認証する第2の例示的シグナリング図500を示す。具体的には、シグナリング図500は、WiFiネットワーク205が、AAAサーバ215とHLR/AuC 225を利用して認証手続きを実行する手順に関する。上記のように、これは、トリプレットの使用を伴い得る。以下で説明されているように、これは、また、ノンスの使用を伴う。
最初に、シグナリング図500は、シグナリング図400の初期手順セット、例えば、ステップ405〜435、に実質的に類似している初期手順セットを含み得ることを留意願いたい。したがって、シグナリング図500に関する説明は、プロキシクライアントステーション135からAAAサーバ115に転送される、EAPに基づいて定義されるIMSIを含むアイデンティティ応答505、例えば、図4のシグナリングステップ440に対応するシグナリングステップから始まる。
上記のように、HLR/AuC 225が認証に使用される場合、HSサーバ220を使用したシグナリング図400に関して上述されているクインティプレットの代わりにトリプレットが使用され得る。したがって、AAAサーバ215が応答アイデンティティ505を受信すると、AAAサーバ215は、HLR/AuC 225からのSIMクライアントステーション230のIMSIに対応するトリプレットを要求510し得る。HLR/AuC 225は、トリプレットを含む認証ベクトルを生成し515、AAAサーバ215にそのトリプレットを転送520し得る。
AAAサーバ215がトリプレットを受信すると、AAAサーバ215はプロキシクライアントステーション235に送信する要求/SIM/Start 525を生成し得る。例えば、要求/SIM/Start 525は、EAPに基づいて定義され得る。繰り返すが、プロキシクライアントステーション235は、SIMクライアントステーション230が、認証用のSIMクレデンシャル情報を利用して以前にWiFiネットワーク205に接続されていたことを認識しているので、要求/SIM/Start 530が、SIMクライアントステーション230に転送され得る。
SIMクライアントステーション230が要求/SIM/Start 530を受信すると、SIMクライアントステーション230はノンス535を生成し得る。このようにして、SIMクライアントステーション230は、ノンスを含む要求/SIM/Startに対する応答540を生成し得る。具体的には、SIMクライアントステーション230は、(ノンス[N]を含む)応答/SIM/Start 540を生成し、それを応答/SIM/Start[N]545をAAAサーバ215に転送するプロキシクライアントステーション230に送信する。AAAサーバ215は、応答/SIM/Start[N]545を受信し、Kとノンスを使ってMACを計算550し得る。AAAサーバ215は、MACと(ノンスに基づく)RANDを含む要求/SIM/Challenge555を生成し得る。この要求は、EAPに基づいても定義され得る。AAAサーバ215は、この要求/SIM/Challenge 555を、要求/SIM/Challenge 560をSIMクライアントステーション230に転送するプロキシクライアントステーション235に対して生成し得る。
SIMクライアントステーション230はMACを検証565し、RANDのGSMアルゴリズムを実行して、SRESとMAC2を生成し得る。繰り返すが、HLR/AuCは、GSMネットワークと関連付け得る。検証が完了すると、SIMクライアントステーション230は、MAC2を含む要求/SIM/Challengeに対する応答570を生成し得る。つまり、SIMクライアントステーション230は、MAC2を含み、EAPに基づいて定義された応答/SIM/Challenge 570を生成し得る。SIMクライアントステーション230は、応答/SIM/Challenge 570を、575応答/SIM/ChallengeをAAAサーバ215に転送するプロキシクライアントステーション235に送信し得る。
AAAサーバ215がMAC2を含む応答/SIM/Challenge 575を受信すると、AAAサーバ215は、MAC2を検証580し、認証手続きを完了する。具体的には、AAAサーバ215は、認証手続きが成功したという確認応答585を送信し得る。この時点で、プロキシクライアントステーション235が、WiFiネットワーク205に接続され、通信590が、プロキシクライアントステーション235とWiFiネットワーク205との間で行われ得る。完了のため、及びSIMクライアントステーション230に通知するため、プロキシクライアントステーション135は、成功確認応答をSIMクライアントステーション230に転送595し得る。
様々なステップを含む上記のシグナリング図400、500は例示に過ぎないことを留意されたい。当業者は、認証手続きが任意の数のステップを含み得ることを理解されよう。例えば、認証は、WiFiネットワーク205との接続のために、後続のチャレンジなしで、SIMクレデンシャル情報の提出のみを要求することがあり得る。このような実施形態において、プロキシクライアントステーション235は、SIMクライアントステーション230のSIMクレデンシャル情報を予めメモリ配置310に格納し得る。このように、プロキシクライアントステーション235は、アソシエーション要求を送信し、SIMクライアントステーション230への問い合わせを必要とせずにSIMクレデンシャル情報が転送され得る、WiFiネットワーク205からアイデンティティ要求を受信し得る。
本例示的実施形態は、第1のクライアントステーションがクレデンシャル情報を使用して接続することが許可されているネットワークに第2のクライアントステーションが接続し得るように、第1のクライアントステーションのクレデンシャル情報を使用して第2のクライアントステーションを認証するシステム及び方法を提供する。第1のクライアントステーションと第2のクライアントステーションは、第2のクライアントステーションが、クレデンシャル情報を利用することを許可された機器となるように対に組み合わされ得る。第1のクライアントステーションは、クレデンシャル情報を生成するクライアントステーション固有識別情報を含み得る。第2のクライアントステーションは、このクレデンシャル情報を有さないことがあり得る。更に、第1のクライアントステーションは、チャレンジ要求に正しく応答するように構成された唯一の機器であり得る。つまり、第2のクライアントステーションは、正しく応答しないことがあり得る。
したがって、第2のクライアントステーションが、ネットワークとのアソシエーション要求を開始し得る。この手順を実行した後、第2のクライアントステーションは、認証手続きを実行するために第1のクライアントステーションとネットワークとの間でデータをやり取りするプロキシ機器として機能し得る。認証手続きが完了すると、第2のクライアントステーションは、第1のクライアントステーションのクレデンシャルを使用してネットワークとの接続に成功し得る。
当業者は、上記の例示的実施形態が、任意の好適なハードウェア又はソフトウェア構成又はこれらの組み合わせにおいて実行し得ることを理解するであろう。例示的な実施形態を実行するための例示的なハードウェアプラットフォームには、例えば、互換性のあるオペレーティングシステムを有するプラットフォームをベースとしたIntel(登録商標)x86、Macプラットフォーム、MAC OS、iOS、Android(登録商標)OS等が挙げられる。別の実施例において、上記方法の例示的実施形態は、コンパイルすると、プロセッサ又はマイクロプロセッサ上で実行し得る永続的コンピュータ可読媒体に格納されるコード行を含むプログラムとして例示され得る。
本発明の趣旨又は範囲から逸脱することなく様々な変更が可能であることが当業者には明らかであろう。したがって、本発明は、特許請求項及びその同等物の範囲における本発明の修正及び変更を網羅するものと意図されている。

Claims (18)

  1. クライアントステーションにおいて、
    前記クライアントステーションを別のクライアントステーションと関連付けるアカウントにログインすることであって、前記アカウントにログインすることで、前記クライアントステーションが前記別のクライアントステーションのクレデンシャル情報を使用することが許可される、前記ログインすることと、
    前記アカウントから、前記クレデンシャル情報が接続のために使用されるネットワークを示す情報を受信することと、
    アソシエーション要求を前記ネットワークに送信することと、
    前記ネットワークから識別要求を受信することと、
    前記識別要求を前記クレデンシャル情報を有する前記別のクライアントステーションに送信することと
    前記別のクライアントステーションの前記クレデンシャル情報の関数として生成される識別応答を前記別のクライアントステーションから受信することと、
    前記クライアントステーションと前記ネットワークとの間の接続を確立するために前記識別応答を前記ネットワークに送信すること
    含む方法。
  2. 利用可能なネットワークのビーコンを走査することと、
    前記ネットワークが、前記利用可能なネットワークに含まれるか否かを判定することと、
    を更に含む、請求項1に記載の方法。
  3. 前記ネットワークが、前記利用可能なネットワークに含まれるか否かを判定することは、
    前記利用可能なネットワークの前記ビーコンに含まれるサービスセット識別子(SSID)を、格納されているSSIDと照合することを含む、請求項2に記載の方法。
  4. 前記アカウントが、前記ネットワークを管理するエンティティとは独立したエンティティによって管理されている、請求項1から3のいずれか1項に記載の方法。
  5. ネットワークとの接続を確立するように構成された送受信機と、
    プロセッサと、
    を含むクライアントステーションであって、
    前記プロセッサと前記送受信機は、
    前記クライアントステーションを別のクライアントステーションと関連付けるアカウントにログインすることであって、前記アカウントにログインすることで、前記クライアントステーションが前記別のクライアントステーションのクレデンシャル情報を使用することが許可される、前記ログインすることと、
    前記アカウントから、前記クレデンシャル情報が接続のために使用されるネットワークを示す情報を受信することと、
    アソシエーション要求を前記ネットワークに送信することと、
    前記ネットワークから識別要求を受信することと、
    前記識別要求を前記クレデンシャル情報を有する前記別のクライアントステーションに送信することと、
    前記別のクライアントステーションの前記クレデンシャル情報の関数として生成される識別応答を前記別のクライアントステーションから受信することと、
    前記クライアントステーションと前記ネットワークとの間の接続を確立するために前記識別応答を前記ネットワークに送信することと、
    よって、前記ネットワークの前記接続を確立するように構成されている、クライアントステーション。
  6. クライアントステーションにおいて、
    前記クライアントステーションを別のクライアントステーションと関連付けるアカウントにログインすることであって、前記アカウントにログインすることで、前記別のクライアントステーションが前記クライアントステーションのクレデンシャル情報を使用することが許可され、前記クレデンシャル情報が接続のために使用されるネットワークを示す情報が、前記アカウントから前記別のクライアントステーションに送信されることになる、前記ログインすることと、
    ネットワークに接続するための識別要求を前記別のクライアントステーションから受信することであって、前記識別要求は前記ネットワークによって生成され、前記受信することと、
    前記識別要求の応答として、前記クレデンシャル情報の関数である識別応答を生成することと、
    前記識別応答を前記別のクライアントステーションに送信することであって、前記識別応答は前記別のクライアントステーションによって前記ネットワークに転送される、前記送信することと、
    を含む方法。
  7. 前記ネットワークに接続するための更なる情報の要求を含む、前記ネットワークによって生成された別の要求を、前記別のクライアントステーションから受信することと、
    前記別の要求に対する応答を生成することと、
    前記別の要求に対する前記応答を前記別のクライアントステーションに送信することであって、前記応答は、前記別のクライアントステーションによって前記ネットワークに転送される、前記送信することと、
    を更に含む、請求項に記載の方法。
  8. 前記クレデンシャル情報は、前記クライアントステーションの加入者識別モジュール(SIM)カードに関連付けられており、前記SIMカードが、前記ネットワークのプロバイダに関連付けられている、請求項6又は7に記載の方法。
  9. 前記クライアントステーションが前記クレデンシャル情報を使用して接続している各ネットワークのサービスセット識別子(SSID)をアソシエーションアカウントに送信することを更に含む、請求項6から8のいずれか1項に記載の方法。
  10. 前記識別応答を生成することは、前記識別応答に含まれるノンスを生成することを含む、請求項6から9のいずれか1項に記載の方法。
  11. 前記別の要求は、認証及びキー合意(AKA)チャレンジを含み、前記応答を生成することは、AKAアルゴリズムを実行することを含む、請求項に記載の方法。
  12. 第1クライアントステーションを第2クライアントステーションに関連付けさせるアカウントに前記第1クライアントステーションと前記第2クライアントステーションがログインすることであって、前記アカウントにログインすることで、前記第2クライアントステーションが前記第1クライアントステーションのクレデンシャル情報を使用することが許可され、前記クレデンシャル情報が接続のために使用されるネットワークを示す情報が、前記アカウントから前記第2クライアントステーションに送信されることになる、前記ログインすることと、
    前記第2クライアントステーションがネットワークにアソシエーション要求を送信することであって、前記第2クライアントステーションは、前記ネットワークから受信した要求を前記第1クライアントステーションに転送し、前記第1クライアントステーションから受信した応答を前記ネットワークに転送する代理機能を実行するように構成された、前記送信することと、
    前記第2クライアントステーションから受信した前記クレデンシャル情報が認証されているかを、前記ネットワークが判定することと、
    記第2クライアントステーションと前記ネットワークとの間の接続を確立することと、
    を含む方法。
  13. 前記第1クライアントステーションと前記第2クライアントステーションとの間のアソシエーション情報を格納することであって、前記アソシエーション情報は、前記第1クライアントステーションが前記クレデンシャル情報を使用して接続した各ネットワークのサービスセット識別子(SSID)を含む、前記格納することと、
    前記アソシエーション情報を前記第2クライアントステーションに送信することと、
    を更に含む、請求項12に記載の方法。
  14. 前記第2クライアントステーションが、利用可能なネットワークのビーコンを走査することと、
    前記利用可能なネットワークのビーコンに含まれるSSIDを前記アソシエーション情報における前記SSIDと比較すること、前記ネットワークが、前記利用可能なネットワークに含まれているか否かを前記第2クライアントステーションが判定することを更に含む、請求項13に記載の方法。
  15. 前記アソシエーション情報は、前記ネットワークのプロバイダとは別のエンティティによって管理される、請求項13又は14に記載の方法。
  16. 前記接続を確立することが、
    前記ネットワークへの接続のための更なる情報に対する別の要求を、前記ネットワークが生成することと、
    前記別の要求を前記第2クライアントステーションに送信することと、
    前記別の要求を前記第1クライアントステーションに転送することと、
    前記別の要求に対する応答を前記第1クライアントステーションが生成することと、
    前記別の要求に対する前記応答を前記第2クライアントステーションに送信することと、
    前記応答を前記ネットワークに転送することと、
    前記応答を前記ネットワークが認証することと、
    を含む、請求項12から15のいずれか1項に記載の方法。
  17. 前記別の要求が前記ネットワークのホーム加入者(HS)サーバによって生成された場合、前記別の要求は、認証及びキー合意(AKA)チャレンジである、請求項16に記載の方法。
  18. 前記別の要求が前記ネットワークのホームロケーションレジスタ(HLR)/認証センター(AuC)サーバによって生成された場合、前記別の要求は、SIMチャレンジである、請求項16に記載の方法。
JP2015022354A 2014-02-07 2015-02-06 第1のクライアントステーションのクレデンシャルを使用して第2のクライアントステーションを認証するシステム及び方法 Active JP5992554B2 (ja)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
US201461937194P 2014-02-07 2014-02-07
US61/937,194 2014-02-07
US201462005933P 2014-05-30 2014-05-30
US62/005,933 2014-05-30
US14/502,786 2014-09-30
US14/502,786 US9432363B2 (en) 2014-02-07 2014-09-30 System and method for using credentials of a first client station to authenticate a second client station

Publications (2)

Publication Number Publication Date
JP2015149724A JP2015149724A (ja) 2015-08-20
JP5992554B2 true JP5992554B2 (ja) 2016-09-14

Family

ID=53775993

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015022354A Active JP5992554B2 (ja) 2014-02-07 2015-02-06 第1のクライアントステーションのクレデンシャルを使用して第2のクライアントステーションを認証するシステム及び方法

Country Status (3)

Country Link
US (2) US9432363B2 (ja)
JP (1) JP5992554B2 (ja)
CN (1) CN104836787B (ja)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9801044B2 (en) * 2014-05-13 2017-10-24 Samsung Electronics Co., Ltd. Apparatus and method for accessing wireless network
CN105098268B (zh) * 2014-05-14 2019-03-12 中兴通讯股份有限公司 一种终端的充电方法及装置
US9883384B2 (en) * 2014-07-16 2018-01-30 Qualcomm Incorporated UE-based network subscription management
EP3289788B1 (en) * 2015-04-28 2023-09-13 Telecom Italia S.p.A. Method and system for authenticating users in public wireless networks
CN105471920A (zh) * 2016-01-15 2016-04-06 天脉聚源(北京)科技有限公司 一种验证码处理方法及装置
US10615844B2 (en) * 2016-03-15 2020-04-07 Huawei Technologies Co., Ltd. System and method for relaying data over a communication network
US10542570B2 (en) * 2016-03-15 2020-01-21 Huawei Technologies Co., Ltd. System and method for relaying data over a communication network
US10880304B2 (en) * 2016-04-06 2020-12-29 Qualcomm Incorporated Network verification of wearable devices
US10616808B2 (en) * 2016-07-19 2020-04-07 Qualcomm Incorporated Exchanging network server registration credentials over a D2D network
US11096049B2 (en) 2016-07-26 2021-08-17 Ipcom Gmbh & Co. Kg Connection of wearable devices
US9985834B1 (en) 2016-11-30 2018-05-29 Wipro Limited Methods and systems for auto-configuration of digital subscriber line (DSL) modems in wireline broadband networks
US11832100B2 (en) * 2017-05-16 2023-11-28 Apple Inc. Secure password sharing for wireless networks
WO2019017835A1 (zh) * 2017-07-20 2019-01-24 华为国际有限公司 网络验证方法、相关设备及系统
US11723063B2 (en) * 2017-08-11 2023-08-08 Qualcomm Incorporated Different configurations for message content and transmission in a random access procedure
US10715609B2 (en) 2018-05-07 2020-07-14 Apple Inc. Techniques for adjusting notifications on a computing device based on proximities to other computing devices
US10356620B1 (en) * 2018-05-07 2019-07-16 T-Mobile Usa, Inc. Enhanced security for electronic devices
WO2019232464A1 (en) 2018-06-01 2019-12-05 Apple Inc. Techniques for enabling computing devices to identify when they are in proximity to one another
EP3618383A1 (en) * 2018-08-30 2020-03-04 Koninklijke Philips N.V. Non-3gpp device access to core network
US10826704B2 (en) * 2018-08-31 2020-11-03 Hewlett Packard Enterprise Development Lp Blockchain key storage on SIM devices
CN109041036A (zh) * 2018-10-29 2018-12-18 青岛海信传媒网络技术有限公司 Wifi连接方法及设备
US20200404735A1 (en) * 2019-06-21 2020-12-24 Qualcomm Incorporated Drx and wake-up operation based on predetermined state variation
US11539545B2 (en) * 2019-08-19 2022-12-27 Sonos, Inc. Multi-network playback devices

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7900242B2 (en) * 2001-07-12 2011-03-01 Nokia Corporation Modular authentication and authorization scheme for internet protocol
ES2295336T3 (es) * 2002-05-01 2008-04-16 Telefonaktiebolaget Lm Ericsson (Publ) Sistema, aparato y metodo para la autentificacion y encriptacion basadas en sim (modulo de identificacion del suscriptor) en el acceso de una red de area local inalambrica (wlan).
US20070149170A1 (en) * 2005-12-23 2007-06-28 Sony Ericsson Mobile Communications Ab Sim authentication for access to a computer/media network
US20080081611A1 (en) * 2006-10-03 2008-04-03 Sierra Wireless, Inc. Method and apparatus for sharing cellular account subscription among multiple devices
KR20090101900A (ko) * 2006-11-14 2009-09-29 쌘디스크 코포레이션 개별 메모리 디바이스에 콘텐트를 결합하기 위한 방법과 장치
US8116735B2 (en) * 2008-02-28 2012-02-14 Simo Holdings Inc. System and method for mobile telephone roaming
US8265599B2 (en) * 2008-05-27 2012-09-11 Intel Corporation Enabling and charging devices for broadband services through nearby SIM devices
EP2368390A4 (en) * 2008-12-19 2016-05-04 Ericsson Telefon Ab L M METHOD AND ARRANGEMENT FOR PRODUCING AN ASSOCIATION BETWEEN A USER DEVICE AND AN ACCESS POINT
US8892869B2 (en) * 2008-12-23 2014-11-18 Avaya Inc. Network device authentication
US8509431B2 (en) * 2010-09-20 2013-08-13 Interdigital Patent Holdings, Inc. Identity management on a wireless device
KR101556046B1 (ko) * 2010-12-30 2015-09-30 인터디지탈 패튼 홀딩스, 인크 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정
US20120170559A1 (en) 2011-01-05 2012-07-05 Feinberg Eugene M Method and system for out-of-band delivery of wireless network credentials

Also Published As

Publication number Publication date
JP2015149724A (ja) 2015-08-20
US20160337853A1 (en) 2016-11-17
US10904751B2 (en) 2021-01-26
US20150229639A1 (en) 2015-08-13
CN104836787B (zh) 2018-05-01
CN104836787A (zh) 2015-08-12
US9432363B2 (en) 2016-08-30

Similar Documents

Publication Publication Date Title
JP5992554B2 (ja) 第1のクライアントステーションのクレデンシャルを使用して第2のクライアントステーションを認証するシステム及び方法
KR102428262B1 (ko) 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치
US9716999B2 (en) Method of and system for utilizing a first network authentication result for a second network
KR101068424B1 (ko) 통신시스템을 위한 상호동작 기능
US20150327073A1 (en) Controlling Access of a User Equipment to Services
KR100755394B1 (ko) Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법
CN110557751A (zh) 基于服务器信任评估的认证
US20060154645A1 (en) Controlling network access
WO2009152749A1 (zh) 一种绑定认证的方法、系统和装置
US9788202B2 (en) Method of accessing a WLAN access point
CN102318386A (zh) 向网络的基于服务的认证
JPWO2007097101A1 (ja) 無線アクセスシステムおよび無線アクセス方法
EP3158827B1 (en) Method for generating a common identifier for a wireless device in at least two different types of networks
WO2009074050A1 (fr) Procede, systeme et appareil d'authentification de dispositif de point d'acces
JP2022043175A (ja) コアネットワークへの非3gpp装置アクセス
TWI592001B (zh) 用於對非蜂巢式裝置在wifi之上提供電話服務之系統與方法
EP3025534B1 (en) Providing telephony services over wifi for non-cellular devices
JP6861285B2 (ja) 緊急アクセス中のパラメータ交換のための方法およびデバイス
JP2023520387A (ja) 通信方法、装置およびシステム
WO2010060296A1 (zh) 认证方法、可信任环境单元及家庭基站
Vargic et al. Provisioning of VoIP services for mobile subscribers using WiFi access network
WO2016065847A1 (zh) WiFi分流的方法、装置及系统
KR101068426B1 (ko) 통신시스템을 위한 상호동작 기능

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160129

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160502

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160722

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160817

R150 Certificate of patent or registration of utility model

Ref document number: 5992554

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250