JP5144679B2 - 通信ネットワークにおけるユーザアクセス管理 - Google Patents
通信ネットワークにおけるユーザアクセス管理 Download PDFInfo
- Publication number
- JP5144679B2 JP5144679B2 JP2009541777A JP2009541777A JP5144679B2 JP 5144679 B2 JP5144679 B2 JP 5144679B2 JP 2009541777 A JP2009541777 A JP 2009541777A JP 2009541777 A JP2009541777 A JP 2009541777A JP 5144679 B2 JP5144679 B2 JP 5144679B2
- Authority
- JP
- Japan
- Prior art keywords
- identifier
- session key
- network
- user
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 11
- 238000000034 method Methods 0.000 claims description 19
- 230000011664 signaling Effects 0.000 claims description 15
- 238000013507 mapping Methods 0.000 claims description 6
- 238000013475 authorization Methods 0.000 claims description 5
- 238000013459 approach Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Eye Examination Apparatus (AREA)
Description
本発明は通信ネットワークにおけるユーザアクセスの管理に関する。
ネットワーク内で継続中のセッションに関与しているユーザがアクセスネットワーク間で移動した場合、一方のアクセスネットワークから他方のアクセスネットワークへのハンドオーバが必要になる。このようなハンドオーバは様々な種類のアクセスネットワーク間で生じうる(例えば、モバイルネットワークにはGSMまたはWCDMAが含まれてもよく、固定回線ネットワークにはWLAN、WiMAX、xDSLが含まれてもよい)。ハンドオーバは、ユーザへの中断が最小限のセッション継続が可能になるように、可能な限り効率的であるべきである。しかし、ハンドオーバ中とハンドオーバ後に、安全性が維持され、認証されたユーザのみがセッションにアクセス可能であることも重要である。ユーザがアクセスネットワーク間を移動する場合、新たなアクセスネットワーク内でユーザが再度認証されることが求められる。これにより、ユーザ課金の正しさが保証され、ハンドオーバ中にセッションが悪意ある第三者にハイジャックされる危険性が低減される。
拡張可能認証プロトコル(EAP:Extensible Authentication Protocol)は、様々な多数の種類の無線ネットワークとポイント・ツー・ポイント・ネットワークで用いられるプロトコルであり、汎用認証フレームワークである(非特許文献1参照)。EAPは認証機構ではないが、認証機構のための共通の機能を提供する認証フレームワークである。本明細書では、EAPは、EAP−AKA(UMTS加入者識別情報(アイデンティティ)モジュール用のEAP認証・鍵共有)、EAP−SIM(GSM加入者識別情報モジュール用のEAP)、及びEAP TLS等のような様々な異なるEAPプロトコルを指す。
現在、規定されているように、EAPは、ピア(ユーザ)といわゆる認証者(オーセンティケータ、ユーザ認証を求めているエンティティ)との間のエンド・ツー・エンド・プロトコルである。認証者の役割がユーザのホーム認証サーバ以外のエンティティ内に存在してもよい場合、ユーザのホーム認証サーバは、まだ「バックエンド」として関与する必要がある。これは、認証者が実際のEAP認証法を「理解する」ことを、EAPは要求しないからである。この能力は、必要な認証データ/ユーザ信任状(クレデンシャル)等のコピーを保持するユーザのホーム認証サーバにのみ存在すると仮定する。したがって、完全なEAP認証はユーザのホームネットワークを伴ってのみ実行可能であり、図1に示すように、クライアント端末とホームネットワークとの間での大量の信号伝達(シグナリング)を必要とする。図1は、WLANアクセスネットワーク(AN:Access Network)とアクセス・認可・アカウンティング(AAA:Access, Authorisation and Accounting)サーバとの間に1以上のプロキシが典型的に存在することを示していない。これにより、新たなアクセスネットワークへのハンドオーバ後の認証処理が遅くなり、ユーザに知覚できてしまう可能性がある。EAPは図2に示す「高速再認証」手順も提供するが、これも図2から分かるように、ユーザのホームネットワークとの信号集約的な通信を必要とし、信号伝達のオーバヘッドが飛躍的に削減されるわけではない。約100msの大西洋横断のラウンド・トリップ・タイム(RTT:Round Trip Time)のような典型的なRTTでは、高速な再認証によっても、ユーザがあるANから他のものへ切り替えるときに、継続中のサービスにおいて知覚可能な外乱が引き起こされうる。ユーザがアクセスネットワーク間を移動する場合、認証の効率性を改善する必要がある。
アクセス間ハンドオーバは一般に、ネットワーク・セントリック(中心)と端末セントリックの2つの方法の一方で管理される。ネットワーク・セントリック・アプローチでは、ネットワークは接続された様々なアクセスに関して重大な「知識」を有しているため、いわゆる「スマート」ハンドオーバを実行することが可能である。例えば、ネットワークは、異なるアクセスネットワークを用いて端末をよりよく管理できることを検出可能であり、したがって準備されたハンドオーバを実行可能である。端末はネットワークの命令に応じてアクセスネットワーク間を移動するが、より重要なことは、ネットワークは新たなアクセスネットワーク上での端末の存在を期待することである。例えば、端末の識別情報(アイデンティティ)及び関連づけられた鍵は既に決定されている。UTRANやGERANのような既存の3GPP専用アクセスは、ネットワーク・セントリック・ハンドオーバの例である。ネットワーク・セントリック・ハンドオーバの欠点は、様々なアクセスネットワークがネットワークと緊密に統合されていることが必要となることである。
RFC3748
ユーザ端末は、新たなアクセスネットワーク内で認証されるために、アクセスネットワークがユーザのホームネットワークと通信することを必要とせず、アクセスネットワーク間での複雑な情報転送を回避するとともに、ユーザのプライバシーを維持しながら、それ自身を識別可能にする必要がある。
本発明の第1の側面によれば、ユーザが第1のアクセスネットワークにおいてネットワークアクセスについて認証されているアクセスネットワーク間で、ハンドオーバを実行するようにノードを動作させる方法が提供される。この方法は、ホームネットワークから、通信セッション期間にユーザに割り当てられる、第1のセッション鍵とテンポラリ識別子(アイデンティファイア)とを受信する工程を有している。この識別子は第2のセッション鍵にマッピングされ、マッピングされた識別子と鍵はノードに格納される。第2のセッション鍵はアクセスネットワークへ送出され、識別子はユーザ端末へ送出される。ユーザ端末が第2のアクセスネットワークへ移動した場合、ノードはユーザ端末からハンドオーバ要求とともに識別子を受信する。識別子にマッピングされた第2のセッション鍵が検索され、第2のアクセスネットワークへ送出される。
第1,第2のセッション鍵は同一のセッション鍵でもよい。あるいは、アクセスネットワークへ送出される第2のセッション鍵は第1のセッション鍵から得られる複数のセッション鍵の1つであり、この複数のセッション鍵の各セッション鍵は、複数のアクセスネットワークのアクセスネットワークについて固有である。これによりセッション鍵をアクセスネットワークについて固有にすることができ、あるアクセスネットワーク内でセッション鍵の安全性が阻害された場合でも、他のアクセスネットワーク内では阻害されなくてよい。
この識別子は、拡張可能認証プロトコル鍵識別子でもよい。
方法は、ハッシュチェーンを用いて、受信したテンポラリ識別子から複数の識別子を取得する工程をさらに有してもよい。
好ましくは、識別子は、Diameterプロトコル信号伝達を用いて、ホームネットワークからノードへ送出される。さらに、識別子はアクセス認可情報を含んでもよい。
本発明の第2の側面によれば、ユーザが第1のアクセスネットワークにおけるアクセスについて認証されている通信ネットワークにおいて用いられる認証プロキシであって、
前記ユーザに割り当てられる、セッション鍵とテンポラリ識別子とを受信する受信手段と、
前記識別子を前記セッション鍵にマッピングするマッピング手段と、
前記マッピングされた識別子と鍵をノードに格納するメモリと、
前記セッション鍵をアクセスネットワークへ送出し、前記識別子をユーザ端末へ送出する送信手段と、
前記ユーザ端末から受信した識別子と、前記メモリに格納された識別子とを比較し、ハンドオーバ要求に関連して、対応する前記鍵に基づいて認証判断を行う認証手段と、
を備えることを特徴とする認証プロキシが提供される。
前記ユーザに割り当てられる、セッション鍵とテンポラリ識別子とを受信する受信手段と、
前記識別子を前記セッション鍵にマッピングするマッピング手段と、
前記マッピングされた識別子と鍵をノードに格納するメモリと、
前記セッション鍵をアクセスネットワークへ送出し、前記識別子をユーザ端末へ送出する送信手段と、
前記ユーザ端末から受信した識別子と、前記メモリに格納された識別子とを比較し、ハンドオーバ要求に関連して、対応する前記鍵に基づいて認証判断を行う認証手段と、
を備えることを特徴とする認証プロキシが提供される。
本発明の第3の側面によれば、通信ネットワークで使用するユーザ端末であって、
認証及び鍵共有の結果としてセッション鍵を生成する手段と、
第1のアクセスネットワーク越しに、前記セッション鍵に関連づけられたテンポラリアクセス独立識別子を受信する受信手段と、
前記セッション鍵と前記受信した識別子とを格納するメモリと、
前記識別子を含むハンドオーバの要求を、第2のアクセスネットワークへ送出する送信手段と、
を供えることを特徴とするユーザ端末が提供される。
認証及び鍵共有の結果としてセッション鍵を生成する手段と、
第1のアクセスネットワーク越しに、前記セッション鍵に関連づけられたテンポラリアクセス独立識別子を受信する受信手段と、
前記セッション鍵と前記受信した識別子とを格納するメモリと、
前記識別子を含むハンドオーバの要求を、第2のアクセスネットワークへ送出する送信手段と、
を供えることを特徴とするユーザ端末が提供される。
上述のアプローチは端末セントリックである。端末は様々なアクセスネットワークについてその環境を監視し、望む場合はハンドオーバを要求する。ネットワーク・セントリック・ハンドオーバと異なり、ネットワークは端末が新たなアクセスネットワークに現れることを事前に知らず、すなわち、端末は「不意に」現れる。一般のマルチアクセス設定(まだ考案されていないアクセス技術を後に導入することが望まれるかもしれない)においては、端末セントリック・アプローチにおいてエンド端末へのハンドオーバを制御するロジックを設ける方が、より単純かもしれない。もちろん、依然として、ハンドオーバをできるだけスムースにすることは望ましく、このことは本発明の1つの目的である。
アクセスネットワーク・ハンドオーバの端末セントリック・アプローチにおいては、典型的なハンドオーバ手順の以下の高レベルステップが適用される。:
1.端末が第1のアクセスネットワーク内に接続する(そして、認証される)。
2.端末は、例えば、無線測定やネットワーク側からのアドバタイズメント(通知)等により、好適なアクセスネットワークを検出する。
3.端末は新たなアクセスネットワーク上でハンドオーバ要求を送出する。
4.ハンドオーバを認可するために、新たなアクセスネットワーク越しに端末が認証される。
5.認可された場合、端末に資源を割り当てること等により、ハンドオーバが進行する。6.古いアクセスは一般に停止される。
1.端末が第1のアクセスネットワーク内に接続する(そして、認証される)。
2.端末は、例えば、無線測定やネットワーク側からのアドバタイズメント(通知)等により、好適なアクセスネットワークを検出する。
3.端末は新たなアクセスネットワーク上でハンドオーバ要求を送出する。
4.ハンドオーバを認可するために、新たなアクセスネットワーク越しに端末が認証される。
5.認可された場合、端末に資源を割り当てること等により、ハンドオーバが進行する。6.古いアクセスは一般に停止される。
ステップ1で端末が継続中のセッションを有していた場合、他のステップが実行されている間に、このセッションを継続可能にすることが望ましく、そして、このセッションは、"Make-Before-Break"アプローチを用いて、新たなアクセスネットワークへ移動される。ただし、例えばステップ4の遅延に起因してセッションが損傷されることもまだあり得る。一般に、処理中に古いアクセスが無線カバレッジを失いうる場合にMake-Before-Breakが可能であることを想定することはできないため、例えばステップ4のオーバヘッドは最小化すべきである。
認証を改善する1つの方法は、端末/ユーザが秘密の共有鍵を知っていることを証明する、暗黙(インプリシット)の認証を信頼するというものである。例えばEAP AKA(RFC4187参照)のような多くのEAP手法は、ネットワーク内の認証済ユーザへセッション鍵を提供し、ユーザ認証が行われるアクセスネットワーク内のAAAクライアントへ(多くはAAAプロキシを介して)鍵のコピーを提供する。ユーザが新たなアクセスネットワークへ移動した場合、この鍵をユーザが知っていることを証明することによって、原理上はユーザは認証されることができる。これが機能するためには、目標のアクセスネットワークは、ユーザのホームネットワーク内に格納されているユーザのプロフィールデータ(あるいは、ソース側のアクセスネットワーク)から同じ鍵のコピーを取得しなければならず、これにより、ユーザが提供した鍵とユーザのプロフィールデータ内に格納された鍵とを比較することが可能である。しかし、アクセスネットワークは多数のユーザを同時に接続させても(あるいは、ハンドオーバを介して接続しようとさせても)よく、ここで各ユーザは対応する鍵を有している。このため、ユーザは、既知でアクセスに独立の識別情報を新たなアクセスネットワークへ提供し、これを、ユーザの正しいプロフィールデータ/鍵を検索するための「インデックス」としてホームネットワークに提供しなければならない。
今のところ、このような目的で使用可能なアクセスに独立の安定した識別子は存在しない。アクセス・認可・アカウンティング(AAA)セッション識別情報は安定しており、ネットワークに知られているが、ユーザ端末には知られていないため、ユーザ端末はこの識別情報をネットワークに提供することができない。たとえこれらの識別子がユーザ/端末に利用可能になったとしても、その安定性は、匿名性がなく追跡可能であるという意味でユーザのプライバシーの問題を引き起こすだろう。従来技術には「鍵識別子」も存在するが、これは、AAA機能に接続されているためユーザ端末には知られないか、又は、アクセス技術専用(例えば、802.11MACアドレスに基づくWLAN/802.11鍵識別子)であるため、異なるアクセス技術を用いる(例えば、MACアドレスが異なる)アクセスネットワーク間でユーザが移動しているときは頼ることができないかのいずれかである。安定したEAPユーザ識別情報は、ユーザとホームネットワークにのみ知られているため、アクセスネットワークは使用することができない。国際移動加入者識別情報(IMSI:International Mobile Subscriber Identity)のような静的なユーザ識別情報は安全性(プライバシー)の理由から使用することができない。
上述の問題を図3に示す。ユーザ端末は、鍵が提供され、アクセスネットワークAN1越しに認証される。これによりネットワーク内での「状態」が作成され、即ち、ネットワークは端末に提供された鍵を知っている。この鍵は、ユーザ端末に格納されるだけでなく、ユーザのホームネットワーク内のホームAAAサーバと、アクセスネットワークAN1内のAAAクライアントにも知られている。端末が他のアクセスネットワークAN2へ移動した場合、ユーザ端末を認証する手法は、アクセスネットワークとユーザのホームネットワークとの間での信号伝達を要する、完全なEAP認証あるいはEAP再認証を実行することか、又は、AN1内のAAAクライアントに格納された鍵を訪問先ネットワークに送信し、ユーザ端末により提供された鍵とネットワークに知られている鍵とをAN2が比較するために、続いてAN2に送信することだけである。どちらの場合も信号伝達が遅くなる可能性があり、後者の場合は、正しい鍵が検索されるために、ユーザ端末がそれ自身をどのようにアクセスネットワークAN2に提示するかが不明確である。理論上は、端末は古いAN1内で用いられていたMACアドレスを提示できようが、これはセッションのプライバシーを侵害し得るだろう。
本発明の一実施形態においては、ユーザを認証するために拡張可能認証プロトコル(EAP)が用いられる。EAPには複数の異なるプロトコルが含まれるが、ここでこの用語を用いたときは、EAP−AKA(UMTS加入者識別情報モジュールを用いたEAP認証・鍵共有)、EAP−SIM(GSM加入者識別情報モジュール用のEAP)、EAP TLS等のような、鍵を生成する全てのEAP法を指す。
EAPフレームワークは汎用の要求・応答パラダイムに基づいている。認証者は、端末/ユーザが応答を提供する要求を発行する(認証者エンティティは、認証サーバエンティティと同一場所に設置してもよいし、設置しなくてもよい。)。
EAP法の一例として、EAP AKA(又はEAP SIM)は、高レベルには以下のように動作する。
1.ユーザ端末識別情報が認証中に知られていない場合(あるいは、最初に提供された識別子が認識されなかった場合)、ユーザのホームAAAサーバはユーザ端末からの識別情報を要求し、ユーザ端末は識別情報を提供して応答する。
2.要求・応答認証交渉が、ホームAAAサーバとユーザ端末との間で以下のように行われる。
3.EAP AKAチャレンジ要求が、ホームAAAサーバからユーザ端末へ送出される。
4.ユーザ端末は、加入者識別情報モジュール(SIM又はUSIM)を用いてEAP AKAチャレンジ応答を生成し、これをホームAAAサーバへ返す。
5.ホームAAAサーバはユーザ端末からの応答をチェックし、この応答が合意するものであれば、ユーザ端末に成功を通知する。この時点で、ユーザ端末はローカルの鍵取得を用いてセッション鍵を取得する。同一のセッション鍵のコピーがAAAサーバに知られており、これは、暗号化のような安全性機能を実行するために、アクセスネットワーク内のAAAクライアントへ転送することができる。
1.ユーザ端末識別情報が認証中に知られていない場合(あるいは、最初に提供された識別子が認識されなかった場合)、ユーザのホームAAAサーバはユーザ端末からの識別情報を要求し、ユーザ端末は識別情報を提供して応答する。
2.要求・応答認証交渉が、ホームAAAサーバとユーザ端末との間で以下のように行われる。
3.EAP AKAチャレンジ要求が、ホームAAAサーバからユーザ端末へ送出される。
4.ユーザ端末は、加入者識別情報モジュール(SIM又はUSIM)を用いてEAP AKAチャレンジ応答を生成し、これをホームAAAサーバへ返す。
5.ホームAAAサーバはユーザ端末からの応答をチェックし、この応答が合意するものであれば、ユーザ端末に成功を通知する。この時点で、ユーザ端末はローカルの鍵取得を用いてセッション鍵を取得する。同一のセッション鍵のコピーがAAAサーバに知られており、これは、暗号化のような安全性機能を実行するために、アクセスネットワーク内のAAAクライアントへ転送することができる。
ユーザ端末とホームAAAサーバとの間の通信は、訪問先ネットワーク内のAAAプロキシを介して通過する。このプロキシはAAAメッセージルーティングの目的で存在し、訪問先ネットワークは、この信号伝達に含まれる情報を、通常役に立つものでないため全く使用しない。AAAプロキシは、ユーザ端末からのEAPメッセージを、ホームAAAサーバに転送する前に、例えばDiameterプロトコルを用いてカプセル化するだけであり、同様に、ホームAAAサーバからのメッセージを、ユーザ端末に転送する前に、例えばEAPオーバLAN(EAP OL)を用いて非カプセル化するだけである。
上述のステップ3で要求されたように、ホームAAAサーバからユーザ端末へEAPチャレンジが送出された場合、ホームAAAサーバは、(エンド・ツー・エンドで暗号化された)仮名や再認証IDのようなEAP専用識別子もユーザ端末に送出してもよい。識別子は、"id@domain"のようなネットワークアクセス識別子(NAI:Network Access Identifier)フォーマットであり、これらが訪問先ネットワーク内で見えないことを保証するために暗号化される。本発明によれば、マルチアクセスID(MID)で示された、新たな種類のEAP識別子が、EAP及びAAA信号伝達に導入される。まず、MIDが、AAAサーバで生成され、安全性を保つために暗号化されたフォームのEAPメッセージ内でユーザ端末へ送出される。ユーザ端末は、MIDがそれに送出されているか否かを、例えば、上述のステップ1で特別なバージョンのEAPを交渉するか、或いは、MIDが他の種類の識別情報から区別可能であることを確認することによって、検出することが可能である。MIDは、例えば、MIDが文字"M"のような特別なキャラクタから開始することを保証することによって、区別することができる。MIDの中身は、「現実の」ユーザIDと関係のない単なるランダムな文字列(ストリング)であるため、ユーザのプライバシーを保護することが可能である。ここではユーザ端末は匿名の安定した識別情報を有しており、この識別情報はハンドオーバ中に要求されたときは後に使用することが可能である。
MIDは訪問先ネットワークにも知らせておかなければならない。このために、MIDは、EAPメッセージを送出するのと同時に、Diameter信号伝達を用いて、ホームAAAサーバから訪問先ネットワークのAAAプロキシへ送出される。Diameter信号伝達の鍵識別子を用いる既存の蓄積が存在する。EAPについては、いわゆる「MSK ID」属性をDiameterメッセージ内で使用することが可能である。MSK ID属性は、Diameterメッセージを送出する前に、関連づけられたMIDを用いてホームAAAサーバ内で配置(ポピュレーション)される。他の選択肢は、CUI(Chargeable User ID、課金可能ユーザID)フィールドを用いることである。AAAプロキシは、AAA信号伝達内のMIDの存在を検出し、後の使用のために、そのコピーを関連づけられた鍵とともに格納する。AAAプロキシは、事実上、「ステイトフル(状態が保持される)」とされているため、後のユーザ認証で使用可能な安定したユーザ識別情報を有している。
EAPとAAAプロトコル内でMIDが通信される方法によれば、ユーザ端末と、訪問先ネットワーク(AAAプロキシ)と、もちろんユーザのホームAAAサーバとの、3つのエンティティのみがMIDを知ることに気づくだろう。
上述のステップ5と同時に、ホームAAAサーバは、取得したセッション鍵を、Diameter信号伝達を用いてAAAプロキシへ送出する。AAAプロキシは、アクセスネットワーク内のAAAクライアントへセッション鍵を転送する。本発明によれば、訪問先ネットワークのAAAプロキシはセッション鍵のコピーを保持し、将来のAN2へのハンドオーバで使用するために、鍵を「アクセスに独立の」場所で利用可能にする。この鍵は、訪問先ネットワークのAAAプロキシでMIDにマッピングされる。
上述のステップを用いることによって、ユーザは、ユーザのホームネットワークへ信号を伝達する必要がなく、新たなアクセスネットワーク内で認証されることが可能である。図4を参照して、新たなプロトコルを以下のように要約することができる。
1.ユーザ端末は、ネットワーク内でEAPを用いて認証され、アクセスネットワークAN1へのアクセスを有する。
2.ホームAAAサーバでは鍵とMIDが作成され、これらは訪問先ネットワーク内のAAAプロキシへAAA信号伝達の一部として送出される。
3.鍵とMIDはAAAプロキシに格納される。
4.AAAプロキシは、MIDを含むEAPメッセージをユーザ端末へ転送する。
5.AAAプロキシは、セッション鍵をアクセスネットワークAN1へ送出するが、MIDは送出しない。ここで、ユーザ端末は認証され、AN1内で(安全な)通信を行うことが可能である。
6.いくらか後の時点で、ユーザ端末は新たなアクセネットワークAN2へ移動する。
7.ユーザ端末はそのMIDをAN2へ送出する。
8.アクセスネットワークAN2は、訪問先ネットワーク内のAAAプロキシに問い合わせて、MIDに関連づけられた鍵を調べる。
9.鍵はAAAプロキシからアクセスネットワークAN2へ返される。
1.ユーザ端末は、ネットワーク内でEAPを用いて認証され、アクセスネットワークAN1へのアクセスを有する。
2.ホームAAAサーバでは鍵とMIDが作成され、これらは訪問先ネットワーク内のAAAプロキシへAAA信号伝達の一部として送出される。
3.鍵とMIDはAAAプロキシに格納される。
4.AAAプロキシは、MIDを含むEAPメッセージをユーザ端末へ転送する。
5.AAAプロキシは、セッション鍵をアクセスネットワークAN1へ送出するが、MIDは送出しない。ここで、ユーザ端末は認証され、AN1内で(安全な)通信を行うことが可能である。
6.いくらか後の時点で、ユーザ端末は新たなアクセネットワークAN2へ移動する。
7.ユーザ端末はそのMIDをAN2へ送出する。
8.アクセスネットワークAN2は、訪問先ネットワーク内のAAAプロキシに問い合わせて、MIDに関連づけられた鍵を調べる。
9.鍵はAAAプロキシからアクセスネットワークAN2へ返される。
アクセスネットワークに返された鍵がユーザ端末に格納された対応する鍵に適合しない場合、ユーザが新たなアクセスネットワーク内で通信することを試みたときはエラーが発生する。特に、鍵が適合しないため、暗号化とデータの完全性との少なくともいずれかに障害が生じる。これは、MIDに対応する鍵を知らない、真正のユーザ端末の偽物が認可されていないことを検出することができ、サービスを拒否することができることを意味する。以前AN1越しに認証された同一の端末のみ、AN2越しにサービスを受け取るだろう。この手順は、ユーザ用の共有鍵を提供することに加えて、新たなアクセスネットワークにおいてユーザを認証する間接的な方法も提供するだろう。
ユーザのプライバシーを保護するために、所与のMIDは1回だけ使用される。MIDはAN2越しに平文で送出されるため、再使用された場合は、第三者は観察されたMIDを比較して同一のユーザであることを検証可能であり、ユーザを追跡する手段を提供して、ユーザのプライバシーが侵害されるかもしれない。この問題を回避するために、ホームAAAサーバは、全てが同一の鍵に関連づけられた、ランダムで固有のMIDの「バッチ」を送出してもよい。例えば、N個のこのようなMIDが同一の鍵にマッピングされている場合、ホームAAAサーバが新たなMIDを生成することが必要になる前に、ユーザ/端末はアクセスをN回変更できるだろう。あるいは、ハッシュチェーンを使用することができ、ここでは、「ベースの」MID識別子MOが初期メッセージで送出され、後続するMIDは以前のMIDのハッシュをとって規定される(即ち、次のMID=hash(以前のMID))。これにより、ホームAAAサーバはM0を提供する必要があるだけで、端末とAAAプロキシは後続するフレッシュなMIDをローカルに取得することが可能になる。ただし、あるMIDを見た第三者はハッシュ関数を適用してチェーン内のMIDを互いにリンクさせることができるため、このアプローチにより得られるユーザのプライバシー/追跡不可能性は完全ではないことに留意すべきである。ハッシュチェーンを逆順に使用することは役に立たない。
アクセスネットワークが公開鍵暗号を展開している場合、MIDは、アクセスネットワークの公開鍵で保護(暗号化)することにより、複数回再使用することができる。しかし、これはより複雑でコストの高い解決法である。
図6にAAAプロキシを模式的に示す。AAAプロキシは、データを送受信するために受信部1と送信部2を必要とする。AAAプロキシが鍵を識別子にマッピングするためにマイクロプロセッサ3が必要であり、マッピングされた鍵と識別子を格納するためにメモリ4も必要である。図6に模式的に示すように、ユーザ端末も、データを送受信するために送信部5と受信部6を必要とする。マイクロプロセッサ7も必要であり、セッション鍵と識別子を格納するメモリ8も必要である。
本発明は、アクセスネットワークAN1、AN2に鍵を直接送出しないことによって、改良してもよい。鍵はAAAプロキシにのみ格納してよく、アクセスネットワーク用のアクセス専用鍵は、key1=hash(key,AN1)、key2=hash(key,AN2)のようにして取得される。ここで、ANjはアクセスネットワークANj用の何らかの固有情報(例えば識別子)である。これは、たとえ、例えばkey1がAN1内で漏洩したとしても、AN2内でkey2は安全のままであることを意味する。
本発明は、ユーザが所定の「許された」アクセスのみ使用可能であることを保証するように、さらに改良することができる。例えば、ユーザのサブスクリプションは、ユーザがWLANアクセスネットワークを使用することはできるが、WiMAXアクセスネットワークを使用することはできないようにしてもよい。これを実現するために、MIDのビットが用いられる。j番目のアクセス型が許可された場合かつその場合に限り、MIDのj番目のビットは「1」に設定される。これにより、ホームネットワークが認可を訪問先ネットワークに委任する方法が提供される。ユーザ端末はこれらのアクセスを用いることが許されるだけであろう。ビット「1」が設定された不正なMIDをユーザ端末が生成した場合、AAAプロキシがこの不正なMIDを登録させないか、或いは、偽のMIDが登録はされるがユーザ端末に知られていない鍵に関連づけられてもよい。どちらの場合も、ユーザ端末はアクセスを得ることができないだろう。
本発明によれば、端末セントリック・アプローチを用いた、アクセスネットワーク間を移動する端末の高速なハンドオーバが提供される。長期の静的なユーザIDにリンクされていない、アクセスに独立の識別子を用いることで、ホームネットワークからのサポートをほとんど要さずに、ネットワーク間の効果的なハンドオーバが可能となる。
この分野の当業者は、本発明の技術的範囲から離れずに、上述の実施形態に様々な修正を行ってもよいことを理解するだろう。
Claims (9)
- ユーザが第1のアクセスネットワークにおけるネットワークアクセスについて認証されているアクセスネットワーク間で、ハンドオーバを実行するように訪問先のネットワーク内でノードを動作させる方法であって、
通信セッションの期間に前記ユーザに割り当てられる、第1のセッション鍵とテンポラリ識別子とをホームネットワークから受信する工程と、
前記識別子を前記第1のセッション鍵にマッピングし、当該マッピングされた識別子と鍵を前記ノードに格納する工程と、
前記第1のセッション鍵から第2のセッション鍵を取得する工程と、
前記第2のセッション鍵をアクセスネットワークへ送出し、前記識別子をユーザ端末へ送出する工程と、
後にハンドオーバ要求に関連して、前記ユーザ端末から第2のアクセスネットワークを介して、前記識別子を受信する工程と、
前記受信した識別子にマッピングされた前記第1のセッション鍵を検索する工程と、
当該第1のセッション鍵から第3のセッション鍵を取得する工程と、
前記第3のセッション鍵を前記第2のアクセスネットワークへ送出する工程と
を有することを特徴とする方法。 - 前記第1、第2、及び第3のセッション鍵は同一のセッション鍵であることを特徴とする請求項1に記載の方法。
- 前記アクセスネットワークへ送出された前記第2及び第3のセッション鍵は、前記第1のセッション鍵から取得された複数のセッション鍵からのものであり、
前記複数のセッション鍵の各セッション鍵は、複数のアクセスネットワークのアクセスネットワークに固有である
ことを特徴とする請求項1に記載の方法。 - 前記識別子は、拡張可能認証プロトコルの鍵識別子であることを特徴とする請求項1から3のいずれか1項に記載の方法。
- 前記受信したテンポラリ識別子からハッシュチェーンを用いて複数の識別子を取得する工程をさらに有することを特徴とする請求項1から3のいずれか1項に記載の方法。
- 複数のテンポラリ識別子を受信する工程と、
当該複数のテンポラリ識別子の各々を前記第1のセッション鍵にマッピングする工程と
を有することを特徴とする請求項1から5のいずれか1項に記載の方法。 - 前記識別子を、前記ホームネットワークから前記ノードへ、Diameterプロトコル信号伝達を用いて送出する工程を有することを特徴とする請求項1から6のいずれか1項に記載の方法。
- アクセス認可情報を前記識別子に含ませる工程をさらに有することを特徴とする請求項1から7のいずれか1項に記載の方法。
- ユーザが第1のアクセスネットワークにおけるアクセスについて認証されている訪問先の通信ネットワークにおいて用いられる認証プロキシであって、
前記ユーザに割り当てられる、セッション鍵とテンポラリ識別子とを受信する受信手段と、
前記識別子を前記セッション鍵にマッピングするマッピング手段と、
前記マッピングされた識別子と鍵をノードに格納するメモリと、
前記セッション鍵をアクセスネットワークへ送出し、前記識別子をユーザ端末へ送出する送信手段と、
ハンドオーバ要求に関連して、前記ユーザ端末から第2のアクセスネットワークを介して、前記識別子を受信する受信手段と、
前記受信した識別子にマッピングされた前記セッション鍵を検索する検索手段と、
前記セッション鍵を前記第2のアクセスネットワークへ送出する送出手段と、
を備えることを特徴とする認証プロキシ。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2006/069906 WO2008074366A1 (en) | 2006-12-19 | 2006-12-19 | Managing user access in a communications network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010514288A JP2010514288A (ja) | 2010-04-30 |
| JP5144679B2 true JP5144679B2 (ja) | 2013-02-13 |
Family
ID=38487305
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009541777A Active JP5144679B2 (ja) | 2006-12-19 | 2006-12-19 | 通信ネットワークにおけるユーザアクセス管理 |
Country Status (7)
| Country | Link |
|---|---|
| US (4) | US8462947B2 (ja) |
| EP (1) | EP2095596B1 (ja) |
| JP (1) | JP5144679B2 (ja) |
| AT (1) | ATE460817T1 (ja) |
| DE (1) | DE602006012888D1 (ja) |
| MX (1) | MX2009006380A (ja) |
| WO (1) | WO2008074366A1 (ja) |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2362444T3 (es) * | 2007-01-04 | 2011-07-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Método y aparato para determinar un procedimiento de autentificación. |
| US10171998B2 (en) * | 2007-03-16 | 2019-01-01 | Qualcomm Incorporated | User profile, policy, and PMIP key distribution in a wireless communication network |
| DK2223493T3 (da) * | 2007-12-19 | 2018-01-29 | Nokia Technologies Oy | Fremgangsmåder, apparater, system og relaterede computerprogramprodukter til sikkerhed af overlevering |
| US8750506B2 (en) * | 2008-07-31 | 2014-06-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods, nodes, system, computer programs and computer program products for secure user subscription or registration |
| GB2464260B (en) * | 2008-10-02 | 2013-10-02 | Motorola Solutions Inc | Method, mobile station, system and network processor for use in mobile communications |
| US20100172500A1 (en) * | 2009-01-05 | 2010-07-08 | Chih-Hsiang Wu | Method of handling inter-system handover security in wireless communications system and related communication device |
| KR101655264B1 (ko) * | 2009-03-10 | 2016-09-07 | 삼성전자주식회사 | 통신시스템에서 인증 방법 및 시스템 |
| US10057239B2 (en) | 2009-12-17 | 2018-08-21 | Pulse Secure, Llc | Session migration between network policy servers |
| CN102131191A (zh) * | 2010-01-15 | 2011-07-20 | 中兴通讯股份有限公司 | 实现密钥映射的方法及认证服务器、终端、系统 |
| US8737354B2 (en) * | 2011-01-10 | 2014-05-27 | Alcatel Lucent | Method of data path switching during inter-radio access technology handover |
| WO2012163207A1 (zh) * | 2011-05-31 | 2012-12-06 | 飞天诚信科技股份有限公司 | 无线智能密钥装置及其签名方法 |
| US9240984B2 (en) | 2011-07-25 | 2016-01-19 | Qterics, Inc. | Configuring an electronic device based on a transaction |
| TWI428031B (zh) | 2011-10-06 | 2014-02-21 | Ind Tech Res Inst | 區域網協存取網路元件與終端設備的認證方法與裝置 |
| EP2850878B1 (en) * | 2012-05-15 | 2020-10-28 | Telefonaktiebolaget LM Ericsson (publ) | Wireless access point connected to two communication networks |
| JP5464232B2 (ja) * | 2012-05-23 | 2014-04-09 | 沖電気工業株式会社 | セキュア通信システム及び通信装置 |
| US9167050B2 (en) * | 2012-08-16 | 2015-10-20 | Futurewei Technologies, Inc. | Control pool based enterprise policy enabler for controlled cloud access |
| US9167427B2 (en) * | 2013-03-15 | 2015-10-20 | Alcatel Lucent | Method of providing user equipment with access to a network and a network configured to provide access to the user equipment |
| US10448286B2 (en) * | 2013-05-13 | 2019-10-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Mobility in mobile communications network |
| US9930613B2 (en) * | 2013-07-08 | 2018-03-27 | Convida Wireless, Llc | Connecting IMSI-less devices to the EPC |
| US9124563B2 (en) * | 2013-08-19 | 2015-09-01 | Gemalto Sa | Method for asynchronously provisioning keys from one secure device to another |
| US10069811B2 (en) | 2013-10-17 | 2018-09-04 | Arm Ip Limited | Registry apparatus, agent device, application providing apparatus and corresponding methods |
| US9860235B2 (en) | 2013-10-17 | 2018-01-02 | Arm Ip Limited | Method of establishing a trusted identity for an agent device |
| US9307405B2 (en) | 2013-10-17 | 2016-04-05 | Arm Ip Limited | Method for assigning an agent device from a first device registry to a second device registry |
| CN105684483B (zh) | 2013-10-17 | 2019-11-22 | 阿姆Ip有限公司 | 注册表装置、代理设备、应用提供装置以及相应的方法 |
| GB2529838B (en) | 2014-09-03 | 2021-06-30 | Advanced Risc Mach Ltd | Bootstrap Mechanism For Endpoint Devices |
| GB2530028B8 (en) | 2014-09-08 | 2021-08-04 | Advanced Risc Mach Ltd | Registry apparatus, agent device, application providing apparatus and corresponding methods |
| WO2017015752A1 (en) * | 2015-07-24 | 2017-02-02 | Radio Ip Software Inc. | Mobile communication system and pre-authentication filters |
| GB2540989B (en) | 2015-08-03 | 2018-05-30 | Advanced Risc Mach Ltd | Server initiated remote device registration |
| GB2540987B (en) | 2015-08-03 | 2020-05-13 | Advanced Risc Mach Ltd | Bootstrapping without transferring private key |
| CN107040922B (zh) * | 2016-05-05 | 2019-11-26 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及系统 |
| US11206251B2 (en) * | 2018-05-11 | 2021-12-21 | Sony Mobile Communications Inc. | System and method for communicating information about a serviceable item |
| US11082838B2 (en) * | 2018-08-06 | 2021-08-03 | Charter Communications Operating, Llc | Extensible authentication protocol with mobile device identification |
| GB2579571B (en) | 2018-12-03 | 2021-05-12 | Advanced Risc Mach Ltd | Device bootstrapping |
| US11475134B2 (en) | 2019-04-10 | 2022-10-18 | Arm Limited | Bootstrapping a device |
| EP3944581A1 (en) * | 2020-07-21 | 2022-01-26 | Mastercard International Incorporated | Authentication method and system |
| WO2022024080A1 (en) * | 2020-07-31 | 2022-02-03 | Lenovo (Singapore) Pte. Ltd. | Dynamic user equipment identifier assignment |
| US11722893B2 (en) * | 2021-04-27 | 2023-08-08 | Charter Communications Operating Llc | Anonymous network access in a network environment |
Family Cites Families (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6002767A (en) * | 1996-06-17 | 1999-12-14 | Verifone, Inc. | System, method and article of manufacture for a modular gateway server architecture |
| US5943424A (en) * | 1996-06-17 | 1999-08-24 | Hewlett-Packard Company | System, method and article of manufacture for processing a plurality of transactions from a single initiation point on a multichannel, extensible, flexible architecture |
| US5915021A (en) * | 1997-02-07 | 1999-06-22 | Nokia Mobile Phones Limited | Method for secure communications in a telecommunications system |
| US20030140007A1 (en) * | 1998-07-22 | 2003-07-24 | Kramer Glenn A. | Third party value acquisition for electronic transaction settlement over a network |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| US7305478B2 (en) * | 2000-06-08 | 2007-12-04 | Symbol Technologies, Inc. | Bar code symbol ticketing for authorizing access in a wireless local area communications network |
| US8996698B1 (en) | 2000-11-03 | 2015-03-31 | Truphone Limited | Cooperative network for mobile internet access |
| JP2002247047A (ja) * | 2000-12-14 | 2002-08-30 | Furukawa Electric Co Ltd:The | セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置 |
| US20050198379A1 (en) * | 2001-06-13 | 2005-09-08 | Citrix Systems, Inc. | Automatically reconnecting a client across reliable and persistent communication sessions |
| US8140845B2 (en) * | 2001-09-13 | 2012-03-20 | Alcatel Lucent | Scheme for authentication and dynamic key exchange |
| CA2468599C (en) * | 2001-11-29 | 2011-08-30 | Siemens Aktiengesellschaft | Use of a public key key pair in the terminal for authentication and authorization of the telecommunication subscriber in respect of the network operator and business partners |
| US8630414B2 (en) * | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| GB2392590B (en) * | 2002-08-30 | 2005-02-23 | Toshiba Res Europ Ltd | Methods and apparatus for secure data communication links |
| US20050044385A1 (en) * | 2002-09-09 | 2005-02-24 | John Holdsworth | Systems and methods for secure authentication of electronic transactions |
| GB0221674D0 (en) * | 2002-09-18 | 2002-10-30 | Nokia Corp | Linked authentication protocols |
| KR100480258B1 (ko) * | 2002-10-15 | 2005-04-07 | 삼성전자주식회사 | 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법 |
| US7318235B2 (en) * | 2002-12-16 | 2008-01-08 | Intel Corporation | Attestation using both fixed token and portable token |
| JP4270888B2 (ja) * | 2003-01-14 | 2009-06-03 | パナソニック株式会社 | Wlan相互接続におけるサービス及びアドレス管理方法 |
| US20040236939A1 (en) * | 2003-02-20 | 2004-11-25 | Docomo Communications Laboratories Usa, Inc. | Wireless network handoff key |
| KR100581590B1 (ko) * | 2003-06-27 | 2006-05-22 | 주식회사 케이티 | 이중 요소 인증된 키 교환 방법 및 이를 이용한 인증방법과 그 방법을 포함하는 프로그램이 저장된 기록매체 |
| EP1531645A1 (en) * | 2003-11-12 | 2005-05-18 | Matsushita Electric Industrial Co., Ltd. | Context transfer in a communication network comprising plural heterogeneous access networks |
| WO2005064973A1 (en) * | 2003-12-24 | 2005-07-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication in a communication network |
| KR100606063B1 (ko) * | 2004-03-16 | 2006-07-26 | 삼성전자주식회사 | 고속 데이터 전용 시스템에서 단말의 서브넷 이동에 따른임시식별자 할당방법 및 장치 |
| GB0409496D0 (en) * | 2004-04-28 | 2004-06-02 | Nokia Corp | Subscriber identities |
| GB0409704D0 (en) * | 2004-04-30 | 2004-06-02 | Nokia Corp | A method for verifying a first identity and a second identity of an entity |
| US7836305B2 (en) * | 2004-05-06 | 2010-11-16 | Telefonaktiebolaget L M Ericsson (Publ) | Method of and system for storage of I-WLAN temporary identities |
| US7502331B2 (en) * | 2004-11-17 | 2009-03-10 | Cisco Technology, Inc. | Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices |
| KR100762644B1 (ko) * | 2004-12-14 | 2007-10-01 | 삼성전자주식회사 | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 |
| JP4703238B2 (ja) * | 2004-12-15 | 2011-06-15 | パナソニック株式会社 | 無線網制御装置、無線lan中継装置、無線通信システム及び無線通信システムの通信方法 |
| US8726023B2 (en) * | 2005-02-03 | 2014-05-13 | Nokia Corporation | Authentication using GAA functionality for unidirectional network connections |
| JP4763726B2 (ja) * | 2005-02-04 | 2011-08-31 | クゥアルコム・インコーポレイテッド | 無線通信のための安全なブートストラッピング |
| FI20050384A0 (fi) * | 2005-04-14 | 2005-04-14 | Nokia Corp | Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä |
| FI20050393A0 (fi) * | 2005-04-15 | 2005-04-15 | Nokia Corp | Avainmateriaalin vaihto |
| CN1870808A (zh) * | 2005-05-28 | 2006-11-29 | 华为技术有限公司 | 一种密钥更新方法 |
| US8621201B2 (en) * | 2005-06-29 | 2013-12-31 | Telecom Italia S.P.A. | Short authentication procedure in wireless data communications networks |
| TWI393414B (zh) * | 2005-07-06 | 2013-04-11 | Nokia Corp | 安全交談金鑰上下文 |
| US7725717B2 (en) * | 2005-08-31 | 2010-05-25 | Motorola, Inc. | Method and apparatus for user authentication |
| US9066344B2 (en) * | 2005-09-19 | 2015-06-23 | Qualcomm Incorporated | State synchronization of access routers |
| KR20070046012A (ko) * | 2005-10-27 | 2007-05-02 | 삼성전자주식회사 | 무선랜과 이동통신 시스템간 핸드오버 방법 및 시스템 |
| US9473265B2 (en) * | 2005-12-22 | 2016-10-18 | Qualcomm Incorporated | Methods and apparatus for communicating information utilizing a plurality of dictionaries |
| ATE445976T1 (de) * | 2006-01-24 | 2009-10-15 | British Telecomm | Verfahren und system zur rekursiven authentifikation in einem mobilnetz |
| US8006089B2 (en) * | 2006-02-07 | 2011-08-23 | Toshiba America Research, Inc. | Multiple PANA sessions |
| US7571471B2 (en) * | 2006-05-05 | 2009-08-04 | Tricipher, Inc. | Secure login using a multifactor split asymmetric crypto-key with persistent key security |
| ATE538581T1 (de) * | 2006-06-20 | 2012-01-15 | Ericsson Telefon Ab L M | Verfahren und anordnung zum sicherstellen von präfix-einheitlichkeit zwischen mehreren mobil- routern |
| DE102014202826A1 (de) * | 2014-02-17 | 2015-08-20 | Robert Bosch Gmbh | Teilnehmerstation für ein Bussystem und Verfahren zur Erhöhung der Datenrate eines Bussystems |
-
2006
- 2006-12-19 WO PCT/EP2006/069906 patent/WO2008074366A1/en active Application Filing
- 2006-12-19 JP JP2009541777A patent/JP5144679B2/ja active Active
- 2006-12-19 AT AT06841452T patent/ATE460817T1/de not_active IP Right Cessation
- 2006-12-19 EP EP06841452A patent/EP2095596B1/en active Active
- 2006-12-19 DE DE602006012888T patent/DE602006012888D1/de active Active
- 2006-12-19 US US12/520,476 patent/US8462947B2/en active Active
- 2006-12-19 MX MX2009006380A patent/MX2009006380A/es active IP Right Grant
-
2013
- 2013-06-07 US US13/912,377 patent/US8885831B2/en active Active
-
2014
- 2014-10-07 US US14/508,373 patent/US9553875B2/en active Active
-
2017
- 2017-01-19 US US15/410,064 patent/US10425808B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US8462947B2 (en) | 2013-06-11 |
| EP2095596B1 (en) | 2010-03-10 |
| US20150026458A1 (en) | 2015-01-22 |
| US8885831B2 (en) | 2014-11-11 |
| EP2095596A1 (en) | 2009-09-02 |
| US20170134941A1 (en) | 2017-05-11 |
| JP2010514288A (ja) | 2010-04-30 |
| US9553875B2 (en) | 2017-01-24 |
| US10425808B2 (en) | 2019-09-24 |
| ATE460817T1 (de) | 2010-03-15 |
| US20090313466A1 (en) | 2009-12-17 |
| DE602006012888D1 (de) | 2010-04-22 |
| WO2008074366A1 (en) | 2008-06-26 |
| MX2009006380A (es) | 2009-06-23 |
| US20140023194A1 (en) | 2014-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5144679B2 (ja) | 通信ネットワークにおけるユーザアクセス管理 | |
| US11463874B2 (en) | User profile, policy, and PMIP key distribution in a wireless communication network | |
| US7984291B2 (en) | Method for distributing certificates in a communication system | |
| CN1764107B (zh) | 在建立对等安全上下文时验证移动网络节点的方法 | |
| US7231521B2 (en) | Scheme for authentication and dynamic key exchange | |
| RU2437238C2 (ru) | Способы и устройство для обеспечения иерархии ключей pmip в сети беспроводной связи | |
| US10477397B2 (en) | Method and apparatus for passpoint EAP session tracking | |
| TW201304486A (zh) | 通信系統中之金鑰產生 | |
| US9084111B2 (en) | System and method for determining leveled security key holder | |
| CN119404481A (zh) | 用于无线局域网中的策略通信的设备和方法 | |
| Latze | Towards a secure and user friendly authentication method for public wireless networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120420 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120720 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120727 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121022 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121116 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121122 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151130 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5144679 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |