JP5351181B2 - 異種ネットワークのためのワンパス認証機構およびシステム - Google Patents
異種ネットワークのためのワンパス認証機構およびシステム Download PDFInfo
- Publication number
- JP5351181B2 JP5351181B2 JP2010547018A JP2010547018A JP5351181B2 JP 5351181 B2 JP5351181 B2 JP 5351181B2 JP 2010547018 A JP2010547018 A JP 2010547018A JP 2010547018 A JP2010547018 A JP 2010547018A JP 5351181 B2 JP5351181 B2 JP 5351181B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- network
- user identity
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000007246 mechanism Effects 0.000 title abstract description 21
- 230000004044 response Effects 0.000 claims abstract description 13
- 238000000034 method Methods 0.000 claims description 99
- 238000012795 verification Methods 0.000 claims 3
- 238000004587 chromatography analysis Methods 0.000 claims 2
- 230000006870 function Effects 0.000 description 27
- 239000013598 vector Substances 0.000 description 22
- 230000007774 longterm Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000004846 x-ray emission Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 241000543381 Cliftonia monophylla Species 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は、概して認証の分野に関し、より詳細には本発明は、異種ネットワークのためのワンパス認証機構およびシステムに関する。
次世代通信ネットワークは、データレート、無線受信可能範囲、配備コスト、およびマルチメディアサービスに関する多様な要件により、様々なネットワークアーキテクチャが共存するということを特徴とする。3GPP(第3世代パートナーシッププロジェクト)は、統合された無線LAN(Local Area Network)/UMTS(Universal Mobile Telecommunication System)ネットワークにおけるローミング機構を積極的に規定している。このシナリオは、特定の異種ネットワークにすぎないことに注意されたい。IEEE802.16規格(WiMAX)は、ラストマイルをブリッジするWireless Metropolitan Area Networks(Wireless MAN)に指定された新生のブロードバンド無線アクセスシステムであり、コストの高い有線に取って代わり、高速マルチメディアサービスも提供している。マルチメディアサービスのプロビジョニングが、次世代ネットワークに対する主要な要求および動機の1つである。この目的を達成するために、例えば音声電話、テレビ会議、リアルタイムのストリーミングメディア、双方向ゲーム、およびインスタントメッセージングなどのマルチメディアサービスを提供するコアネットワーク部分として、IPマルチメディアサブシステム(IMS)が追加される。マルチメディアのセッション管理、初期化、および終了は、セッション開始プロトコル(SIP)で指定され、実装される。
今日世界市場では、WiMAXおよびIMSが使用されている。WiMAXは、IMSを通してインターネットプロトコル(IP)のマルチメディアサービスをサポートする。事業者およびベンダは、WiMAX移動局(MS)がどのようにIMSにアクセスするか、およびユーザエクスペリエンスをどのように向上させるかにもっぱら関心を持っている。IMS情報はWiMAX伝送網を介して配信されるので、WiMAXのMSは、IMSネットワークに登録できるようになるには、WiMAX IP接続アクセスネットワーク(IP−CAN)のセッションを起動させなければならない。重要な技術的な課題は、ネットワークのパフォーマンスおよび加入者のエクスペリエンスを考慮しながらこのような異種ネットワークにわたるセキュリティアーキテクチャおよびプロトコルを設計し、実装することである。例えば、ネットワークのセキュリティ管理の構成において最も重要な特徴の1つは、加入者がネットワークを認証することができ、ネットワークもまた加入者を認証することができる、相互認証機構である。
関連するWiMAX Forumおよび3GPP規格では、WiMAXネットワークレベルとIMSネットワークレベルの両方で認証が行われた後に、MSがIMSサービスにアクセスすることができる。例えば、Extensible Authentication Protocol−Authentication and Key Agreement (EAP−AKA)は、WiMAXネットワークレベルでWiMAXのMSを認証するために使用されることが可能であり、IMS−AKAは、図1に示すように、IMSレベルにおける認証方法である。この完全な認証手順が、2つの独立したサブ手順、すなわちWiMAX IP−CANレベル(図1の上部参照)での認証サブ手順と、IMSレベル(図1の下部参照)での別の認証サブ手順を含むことは、非常に明らかである。簡単にするために、この完全な認証手順を「ツーパス」認証手順と呼ぶことにする。技術的な問題は、MSがWiMAXを介してIMSにアクセスするとき使用されることが可能である、ワンパスのWiMAXおよびIMS認証機構をいかに設計するかということである。
現在利用できる既存のワンパスWiMAXおよびIMS認証機構はない。Yi−Bing Lin他が、「One−Pass GPRS and IMS Authentication Procedure for UMTS」、IEEE Journal on selected areas in communications、vol.23、no.6、1233−1239頁、2005年6月の中でワンパス認証手順を提案している。しかしながら、この論文は、UMTSのためのワンパスGPRSおよびIMS認証手順を含んでいるにすぎず、WiMAXには役に立たない。さらに、上記の提案は、MSとProxy Call Session Control Function(P−CSCF)との間のセキュリティアソシエーションをいかに確立するかを提案しておらず、またユーザがIMSネットワークを正しく認証することを証明していないので不十分である。
一方で、WiMAXおよびIMS認証のための既存の解決法は通常の「ツーパス」認証手順であり、この手順は、「ワンパス」認証手順より、登録/認証のトラフィックのような、より多くのネットワークトラフィックをもたらす。
Yi−Bing Lin他、「One−Pass GPRS and IMS Authentication Procedure for UMTS」、IEEE Journal on selected areas in communications、vol.23、no.6、1233−1239頁、2005年6月
「WiMAX Forum Network Architecture stage 3,Detailed Protocols and Procedures」、WiMAX NWG仕様
「Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement(EAP−AKA)」、IETF RFC4187、2006年1月
「WiMAX Forum Network Architecture stage 3、Detailed Protocols and Procedures」
3GPP TS 23.003
WiMAX Forum、「WiMAX End−to−End Network Systems Architecture,(Stage 3:WiMAX−3GPP Interworking)」
3GPP TS 33.102、「3rd Generation Partnership Project;Technical Specification Group Services and System Aspects;3G Security;Security Architecture」
本発明の目的は、異種ネットワークのためのワンパス認証機構およびシステムを提供することであり、詳細には、MSがWiMAXを介してIMSにアクセスするときに使用されることが可能であるワンパス認証機構を提供することである。提案されるワンパスWiMAXおよびIMS認証機構は、WiMAX認証を行うだけでよく、したがって、IMS登録/認証トラフィックを大幅に削減し、ネットワークのパフォーマンスを向上させ、加入者のエクスペリエンスを高めることができる。
本発明の1つの態様では、異種ネットワークのためのワンパス認証機構が提供される。この機構は、第1のネットワークに登録したいというユーザの要求に応じて、第1のネットワーク用の第1のユーザアイデンティティおよび第2のネットワーク用の第2のユーザアイデンティティと関連する認証キーおよび認証アルゴリズムに基づいてユーザを認証することと、認証が正常である場合、第2のネットワークに登録したいというユーザの要求に応じて、ユーザによって提供された第2のユーザアイデンティティを通して認証データベースから取り出された第1のユーザアイデンティティを、認証時にユーザによって提供された第1のユーザアイデンティティと比較することと、取り出された第1のユーザアイデンティティが、ユーザによって提供された第1のユーザアイデンティティと一致する場合、ユーザと第2のネットワークとの間でセキュリティアソシエーションを構築することとを含む。
本発明の別の態様では、異種ネットワークのためのワンパス認証システムが提供される。このシステムは、第1のネットワーク用の第1のユーザアイデンティティ、第2のネットワーク用の第2のユーザアイデンティティ、ならびに第1および第2のユーザアイデンティティと関連する認証キーおよび認証アルゴリズムを格納する認証データベースと、第1のネットワークに登録したいというユーザの要求に応じて認証キーおよび認証アルゴリズムに基づいてユーザを認証するように構成された第1の認証サーバと、第2のネットワークに登録したいというユーザの要求に応じて、ユーザによって提供された第2のユーザアイデンティティを通して認証データベースから取り出された第1のユーザアイデンティティを、認証時にユーザによって提供された第1のユーザアイデンティティと比較し、取り出された第1のユーザアイデンティティが、ユーザによって提供された第1のユーザアイデンティティと一致する場合、ユーザと第2のネットワークとの間でセキュリティアソシエーションを構築するように構成された第2の認証サーバとを含む。
本発明の新規の特徴は、添付の特許請求の範囲に記載されている。本発明自体、さらなる目的、およびその利点は、添付の図面と併せて読まれるとき、次の好ましい実施形態の詳細な説明を参照することによって最も良く理解されるであろう。
図1は、従来の技術のツーパスWiMAXおよびIMS認証手順を示している例示的メッセージフロー図である。図1では、上記のように、WiMAXネットワークレベルとIMSネットワークレベルの両方で認証が行われた後に、MSはIMSサービスにアクセスすることができる。WiMAXネットワークレベルでは、WiMAXのMSに認証手順を行うために、例えばEAP−AKAが使用される。この認証手順は、初期ネットワーク進入、WiMAXアクセスネットワーク認証、およびIP−CANセッション確立の手順からなり、これは図1のステップ101−125で表されており、以下に図3に関してさらに説明される。しかしながらIMSネットワークレベルでは、MSはステップ126−133で示されるIMS−AKAのような別の認証手順を通して認証される必要がある。この「ツーパス」認証手順の中のいくつかのステップは全く同じであるので、本発明はWiMAX認証を行うだけでよいワンパス認証手順を提案する。IMSレベルでは、認証はIMS登録の際に暗黙的に行われる。このような認証機構は、ツーパス手順と比べると、IMS登録/認証のネットワークトラフィックを少なくとも25%、最大50%節約することができ、これについては図4で説明する。
本発明の下では、WiMAXネットワークレベルにおけるWiMAXユーザの認証に対して、MSは、「WiMAX Forum Network Architecture stage 3,Detailed Protocols and Procedures」と題するWiMAX NWG仕様で指定されるように、EAP−AKAまたはEAP−TTLSのうちの少なくとも1つに対応する。EAP−AKAがWiMAXユーザ認証に使用されるとき、MSは、「Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement(EAP−AKA)」、IETF RFC4187、2006年1月に記載される認証手順をサポートし、(WiMAX加入を認証するために使用される)Subscriber Credentials(SUBC)が、RFC4187で定義される認証ベクトルの生成に使用される証明書になる。さらに、NWG仕様は、SUBCのフォーマットが配置に依存し、SUBCはホームネットワークおよびMSに知られることを規定する。しかしながら、NWG仕様は、SUBCのフォーマットを定義していない。
本発明との関連においては、EAP−AKAはWiMAXユーザ認証に使用され、SUBCは、IMS認証で使用される長期セキュリティキーKと同じものであると仮定する。言い換えれば、WiMAX認証手順およびIMS認証手順は、同じ認証キーKおよび(認証ベクトルを生成するために使用される)認証関数を使用する。WiMAXネットワークおよびIMSネットワークが同じ事業者に属する、またはWiMAXネットワークの事業者がIMSネットワークの事業者と一致しているとき、この仮定は理にかなっている。
こうした仮定に基づいて、次の結論を引き出すことができる。第1に、2つのパス認証手順では、ユーザ認証は最初にWiMAXネットワークレベルで行われ、その後認証はIMSネットワークレベルで行われる。IMS−AKAがIMS認証に使用され、EAP−AKA方法がWiMAX認証に使用されるので、この「ツーパス」認証手順におけるステップの大部分は全く同じである。第2にWiMAX認証手順およびIMS認証手順は、同じ認証キーKおよび認証関数を使用する。したがって、WiMAXユーザがWiMAXネットワークレベルで正常に認証されたとき、WiMAX端末の中の長期事前共有IMSセキュリティキーKは、(ホーム加入者サーバ(HSS)で見つけることができる)IMSネットワークのものと同じであり、すなわちMSとIMSネットワークとの間で相互認証が実現されることを意味する。
上記の結論から、提案するワンパス認証手順は、WiMAX認証を行うだけでよいことが理解される。IMSレベルでは、認証はIMS登録時に暗黙的に行われる。以下では、ワンパス手順が、IMSレベルにおいてMSとネットワークとの間で相互認証を達成することが明白に証明される。また、本発明がWiMAX/IMS認証トラフィックを節約する量を評価することもできる。
本明細書を通して「1つの実施形態」、「一実施形態」、または同様の言葉への言及は、本発明の少なくとも1つの実施形態の中にこの実施形態と関連して説明される特定の特徴、構造、または特性が含まれていることを意味する。したがって、本明細書を通して「1つの実施形態では」、「一実施形態では」という語句、および同様の言葉があると、必ずしもそうではないが、すべて同じ実施形態を指している可能性がある。
次に、本発明の一実施形態によるワンパス認証機構の機能アーキテクチャ200を概略的に示している図2を参照する。図2に示すように、機能アーキテクチャ200は、WiMAX認証では機能拡張されたAuthentication Authorization Accounting(認証、認可、アカウンティング、AAA)サーバ202、およびIMS認証ではInterrogating/Serving Call Session Control Function(I/S−CSCF)204のような、様々な関連機能のエンティティおよびインタフェースを含んでいることがある。このような機能拡張されたAAAサーバ202は、Diameterベースのインタフェースが認証ベクトルのような認証パラメータをHSS201から取り出することができる。Connectivity Service Network(CSN)の中のAAAプロキシ203が、Access Service Networkのゲートウェイ(ASN GW)207とWiMAXネットワークの中の機能拡張されたAAAサーバ202との間で認証メッセージをプロキシする。IMSネットワークでは、例えばI/S−CSCF204が、HSS201とのCxメッセージの配信によって認証ベクトルの配信手順を呼び出すことができる。Home Agent(HA)206およびP−CSCF205は、ASN GW207とI/S−CSCF204との間の通信を支援することができる。BS208は、MS209とASN GW207を介した通信ネットワークとの対話を容易にする。
1つの例示的実施形態では、WiMAX加入者がIMS加入者でもあって、同じMSを使用してWiMAXおよびIMSネットワークにアクセスするとき、次のように仮定される:
(1)WiMAXユーザ認証にEAP−AKAが使用される。
(2)SUBC(WiMAXユーザ認証で使用される長期セキュリティキー)は、IMS認証で使用される長期事前共有セキュリティキーKと同じものであり、SUBC(K)は、MSおよびHSSに格納されている。
(3)認証キーKの他に、WiMAXとIMS認証レベルとの間で認証関数が共有される。言い換えれば、WiMAX認証手順およびIMS認証手順が、同じ認証関数および同じ認証キーKを使用する。
(4)AAAサーバは、HSSから認証ベクトルを取り出するためにDiameterベースのインタフェースで機能拡張される。この機能拡張されたAAAサーバは、3GPP I−WLAN仕様(TS23.234)の中の3GGP AAAサーバのサブセットとすることができる。3GPP AAAサーバのWxインタフェースは、HSSから認証ベクトルを取り出するために使用されることが可能である。したがって3GPP AAAサーバは、本発明の解決法において再利用される可能性がある。
(5)WiMAXユーザがIMSサービスに加入するとき、IMS事業者は、IMPI値impiの他にIMSI値imsiをユーザに割り当てる。言い換えれば、WiMAXのMSはIMSI値imsiおよびIMPI値impiを有し、HSSもまたサポートするユーザ/MSのimsiおよびimpiを格納している。imsiは、WiMAXネットワークの認証レベルにおいてK値kを捜し出すために使用され、impiは、IMSネットワークの認証レベルにおいてK値kを捜し出すために使用される。仮定(2)および(3)に示すように、imsiおよびimpiは、同じK値kおよび認証関数と関連している。WiMAXのMSでは、アウターアイデンティティ/インナーアイデンティティ(これはWiMAXネットワークレベルにおけるEAPベースの認証で使用される)を取得するために、imsiが使用される。
(6)本発明の手法では、ASN GWは、SIPメッセージのフォーマットを変更することができるSIPアプリケーションレベルゲートウェイ(ALG)(図3のステップ326で詳しく述べる)を実装することができる。
(1)WiMAXユーザ認証にEAP−AKAが使用される。
(2)SUBC(WiMAXユーザ認証で使用される長期セキュリティキー)は、IMS認証で使用される長期事前共有セキュリティキーKと同じものであり、SUBC(K)は、MSおよびHSSに格納されている。
(3)認証キーKの他に、WiMAXとIMS認証レベルとの間で認証関数が共有される。言い換えれば、WiMAX認証手順およびIMS認証手順が、同じ認証関数および同じ認証キーKを使用する。
(4)AAAサーバは、HSSから認証ベクトルを取り出するためにDiameterベースのインタフェースで機能拡張される。この機能拡張されたAAAサーバは、3GPP I−WLAN仕様(TS23.234)の中の3GGP AAAサーバのサブセットとすることができる。3GPP AAAサーバのWxインタフェースは、HSSから認証ベクトルを取り出するために使用されることが可能である。したがって3GPP AAAサーバは、本発明の解決法において再利用される可能性がある。
(5)WiMAXユーザがIMSサービスに加入するとき、IMS事業者は、IMPI値impiの他にIMSI値imsiをユーザに割り当てる。言い換えれば、WiMAXのMSはIMSI値imsiおよびIMPI値impiを有し、HSSもまたサポートするユーザ/MSのimsiおよびimpiを格納している。imsiは、WiMAXネットワークの認証レベルにおいてK値kを捜し出すために使用され、impiは、IMSネットワークの認証レベルにおいてK値kを捜し出すために使用される。仮定(2)および(3)に示すように、imsiおよびimpiは、同じK値kおよび認証関数と関連している。WiMAXのMSでは、アウターアイデンティティ/インナーアイデンティティ(これはWiMAXネットワークレベルにおけるEAPベースの認証で使用される)を取得するために、imsiが使用される。
(6)本発明の手法では、ASN GWは、SIPメッセージのフォーマットを変更することができるSIPアプリケーションレベルゲートウェイ(ALG)(図3のステップ326で詳しく述べる)を実装することができる。
この仮定は、WiMAXネットワークおよびIMSネットワークが同じ事業者に属している、またはWiMAXネットワークの事業者がIMSネットワークの事業者と一致しているとき、理にかなったものである。
したがって、図2の機能アーキテクチャを考慮すると、ネットワークレベルにおいてMS209は、HSS201からのMSのIMSI値imsiに基づいて認証ベクトルを取り出することができる、機能拡張されたAAAサーバ202によって認証される。CSN203の中のAAAプロキシは、ASN GW207と機能拡張されたAAAサーバ202との間で認証メッセージをプロキシすることができる。MS209は、IMSネットワークレベルにおいて、HSS201からのMSのIMPI値impiに基づいて認証ベクトルを取り出することができるS−CSCF204によって認証される。仮定(2)および(3)に示すように、HSS201およびWiMAXのMS209は、ネットワークによってMS209に割り当てられたimpi(IMSの認証レベルで使用される)およびimsi(WiMAXネットワークの認証レベルで使用される)と関連している同じ長期セキュリティキーKおよび認証関数を共有する。
本発明の例示的実施形態の次の詳細な説明では、ワンパス認証機構によってWiMAXネットワークレベルとIMSネットワークレベルの両方においてWiMAXのMSをどのように認証するかについて示される。
次に図3を参照すると、本発明の一実施形態によりワンパスWiMAXおよびIMS認証手順を示す例示的メッセージフロー図が示されている。この手順は2つの部分からなり、その中のWiMAX部分はWiMAXネットワークレベルにおける認証手順を説明し、IMS部分はIMSネットワークレベルにおける認証手順を示している。この手順では、MSは、P−CSCFおよびI−CSCFを介してS−CSCFと対話する可能性があることに注意されたい。説明を簡単にするために、図3は、「CSCF」という用語を使用して、CSCFのプロキシ機能、問い合わせ機能、およびサービス機能を表している。
ステップ301に示すように、WiMAX無線リンクアクセスの初期設定が終了し、MS209のようなMSとBS208のようなWiMAXのBSとの間に基本的な機能のネゴシエーションが正常に確立されると、ステップ302においてBSは、ASN GW207のようなASN GWに新しいMSがネットワークに入ることを知らせる。
MSのアイデンティティを要求するために、ASN GWは、ステップ303および304に示すように、BSを通してMSにEAP−Request/Identityメッセージを送信することができる。その後MSは、ステップ305および306に示すように、「WiMAX Forum Network Architecture stage 3、Detailed Protocols and Procedures」で指定されるフォーマットに従ってそのアウターアイデンティティと共にEPA−Response/Identityを、BSを通してASN GWに返送する。アウターアイデンティティは、前の認証でMSに割り当てられた仮名か、または第1の認証の場合は、IMSI値imsiを含んでいる。アウターアイデンティティのユーザ名フィールドは、3GPP TS 23.003に従って、EAP−AKA認証方法が使用されていることを示す。アウターアイデンティティのユーザ名フィールドは、例えばEAP−AKA認証では「0<imsi>@WiMAX.mnc<MNC>.mcc<MCC>.3gppnetwork.org」となる可能性がある。
ステップ307では、ASN GWは、MSによって提供されたアウターアイデンティティを分析し、WiMAX MSのimsiを格納する。EAP−Response/Identityメッセージは、アウターアイデンティティの領域部分およびルーティング領域部分に基づいて、1つまたはいくつかのAAAプロキシを介して適切な機能拡張されたAAAサーバへルーティングされる。AAAプロキシは、WiMAX Forumの中の「WiMAX End−to−End Network Systems Architecture,(Stage 3:WiMAX−3GPP Interworking)」に従って受信メッセージを変更することができる。
機能拡張されたAAAサーバは、受信されたアウターアイデンティティに基づきEAP−AKAを用いて加入者を認証の候補者として識別し、その後、ステップ308に記載するように、加入者に利用できる未使用の認証ベクトルを有するかどうかを調べる。機能拡張されたAAAサーバが未使用の認証ベクトルを有する場合、ステップ308は省略される。そうでない場合は、機能拡張されたAAAサーバは(パラメータimsiと共に)DiameterベースのメッセージをHSS201のようなHSSに送信する。HSSはimsiを使用してMSの(長期セキュリティキーK値kおよび認証関数などを含む)レコードを取り出し、それらに基づいて認証ベクトル(例えばRAND、AUTN、XRES、IK、CK)の順序付けられた配列を生成することができる。HSSは、AVの配列を機能拡張されたAAAサーバに送信することができる。
ステップ309から314では、機能拡張されたAAAサーバが、EAP Request/AKA Identityメッセージを使用することによって、ユーザアイデンティティを再び要求する。MSは、EAP Response Identityメッセージで使用した同じアイデンティティ(インナーアイデンティティと呼ばれる)と共に応答する。
ステップ315においてWiMAX加入者に利用できる未使用の認証ベクトルがない場合、機能拡張されたAAAサーバは、ステップ308のようにHSSから認証ベクトル(AV)の順序付けられた配列を取り出する。
ステップ316から318では、機能拡張されたAAAサーバは、順序付けられたAVの配列から次の未使用の認証ベクトルを選択し、CK、IK、およびユーザアイデンティティからマスターセッションキー(MSK)、拡張マスターセッションキー(EMSK)などのような関連する個人情報を引き出す。例えば、MSK、EMSKなどは、ユーザのデータチャネルを保護するためにWiMAXネットワークレベルで使用される。次に、拡張されたAAAサーバは、ASN GWおよびBSを通じてEAP―Request/AKA−ChallengeメッセージをMSに送信する。メッセージは、属性にパラメータを含んでおり、これらは乱数(AT_RAND)、ネットワーク認証トークン(AT_AUTN)、およびメッセージ認証コード(AT_MAC)である。
EAP−Request/AKA−Challengeメッセージを受け取ると、MSは、WiMAXのMSの中の長期セキュリティキーkおよび認証関数に基づいてAKAアルゴリズムを実行し、AT_AUTNを検証する。これが正常である場合、MSは認証ベクトル(RES、CK、IK)を生成すべきであり、TEK、MSK、およびEMSKを導き出す。MSは次に、機能拡張されたAAAサーバによって送信されたAT_MAC値を検証する。正常である場合、MSはステップ319から321に記載するように、BSおよびASN GWを通じてEAP Response/AKA−ChallengeメッセージをAAAサーバに送信する。このメッセージは、AT_RESおよびAT_MACを含んでいる。
機能拡張されたAAAサーバは、EAP−Response/AKA−Challengeパケットの中のAT_RESおよびAT_MACが正しいことを検証する。これが正常である場合、機能拡張されたAAAサーバは、ステップ322から324に記載するように、EAP−SuccessメッセージをMSに送信する。このとき、AAAサーバは、メッセージの中にMSKを含んでいるべきである。
MSがIPネットワークに接続できるように、前の諸ステップにおいて基本的なアクセス認証手順を正常に完了した後、MSはステップ325においてWiMAX認証手順を行う。その後、WiMAXユーザがIMS加入者でもある場合、MSは次の諸ステップでIMS登録手順を行う。
ステップ326では、P−CSCF発見手順の後に、MSがBSを通じてASN GWにパラメータimpiと共にSIP REGISTERメッセージを送信する。ASN GWは、WiMAXの基本的なアクセス認証手順後に、データパケットを送信するMSのIMSI(ユーザアイデンティティ)値imsiを識別することができることに注意されたい。ASN GWは、図3に示すようにMSのIMSI値imsiを取り出する。その後、ASN GWの中のSIP ALGがSIP REGISTERメッセージの中にMSのIMSI値imsiを追加し、これをCSCFに転送する。CSCFは、その後この(imsi,impi)ペアをMSレコードの中に格納する。
このCSCFには、このMS用のAVがないと仮定する。CSCFは、パラメータimpiと共にCx Multimedia Authentication Request(マルチメディア認証要求)メッセージをHSSに送信することによって、ステップ327において認証ベクトル配信手順を呼び出す。ステップ328では、HSSが、受信したimpiをインデックスとして使用してMSのレコード(長期セキュリティキーk、および認証関数を含む)を取り出し、AVの順序付けられた配列を生成する。HSSは、このAV配列をCx Multimedia Authentication Answer(マルチメディア認証応答)メッセージを通じてCSCFに送信する。CSCFがすでにこのAV配列を有する場合、ステップ327および328は省略される。
ステップ329では、CSCFはパラメータimpiと共にHSSへCx Server Assignment Request(サーバ割当て要求)メッセージを送信する。HSSは受信したimpiをインデックスとして使用して、MSのimsiを取り出する。HSSから取り出されたIMSI値は、IMSIHSS(impi)と示される。HSSはCSCF名を格納し、ステップ330において(パラメータIMSIHSS(impi)と共に)Cx Server Assignment AnswerをCSCFに送信する。
ステップ331では、CSCFは(CSCFがステップ326で格納する)IMSI値imsiとIMSIHSS(impi)が同じものであるかどうかを調べる。同じものである場合、S−CSCFは次の未使用のAVを選択し、AVのRAND、CK、およびIKパラメータと共にSIP 200 OkメッセージをP−CSCFに送信し、P−CSCFはCKおよびIKを格納して、これらを取り除いた後、SIP 200 OKメッセージの残りをMSに転送する。imsiおよびIMSIHSS(impi)が異なる場合、この登録は不正であることを意味する。この200 OK SIPメッセージを受信すると、MSはkおよび受信したRANDに基づいてセッションキーCKおよびIKを計算する。その後、IKに基づいてMSとP−CSCFとの間でセキュリティアソシエーションが構築される。
WiMAXおよびIMS認証の既存の解決法は、図1に示すように、通常の「ツーパス」認証手順であり、これは上記の「ワンパス」認証手順よりも多くのネットワークトラフィックをもたらす。しかしながら、この「ツーパス」認証手順のいくつかのステップは全く同じであることを、図1および図3から観察することができる。図1に返ると、ツーパスWiMAXおよびIMS手順の諸ステップは、次のように詳細に説明される。図1のステップ101から125は、図3のステップ301から325と同じものであり、これらは初期ネットワーク進入、WiMAXアクセスネットワーク認証、およびIP−CANセッション確立の手順からなる。
P−CSCF発見手順後に、MSは、ステップ126においてWiMAX IP−CANを通じてパラメータimpiと一緒にSIP REGISTERメッセージをCSCFに送信する。CSCFにMS用のAVがない場合、CSCFは、ステップ127においてパラメータimpiと一緒にCx Multimedia Authentication RequestメッセージをHSSに送信することによって、認証ベクトル配信手順を呼び出す。その後HSSは、impiを使用してMSのレコードを取り出し、AVの順序付けられた配列を生成する。HSSは、ステップ128においてCx Multimedia Authentication Answerメッセージを通じてAV配列をCSCFに送信する。CSCFがすでにAV配列を有する場合、ステップ127および128は省略される。
ステップ129では、CSCFは、順序付けられたAV配列から次の未使用の認証ベクトル(RAND、AUTN、XRES、IK、CKを含む)を選択し、SIP 401 Unauthorizedメッセージを通じてMSにパラメータRANDおよびAUTNを送信する。MSは、受信したAUTNが受け入れ可能であるかどうか調べる。受け入れ可能である場合、MSは応答RESを生成し、セッションキーCKおよびIKを計算する。その後、MSとP−CSCF間のセキュリティアソシエーションが構築される。次にMSは、ステップ130においてSIP REGISTERメッセージを通じてCSCFにRESを返信する。
CSCFは、受信したRESをXRESと比較する。これらが一致する場合、認証およびキー一致のやりとりは正常に完了する。CSCFはその後、ステップ131においてCx Server Assignment RequestメッセージをHSSに送信する。このSerever Assignment Requestを受信すると、HSSはCSCF名を格納し、ステップ132においてCx Server Assignment AnswerメッセージをCSCFに返信する。その後CSCFは、ステップ133においてIP−CANを通じてMSにSIP 200 OKメッセージを送信し、IMS登録手順が完了する。
表1は、図3に示すワンパス認証手順および図1に示すツーパス認証手順で行われる諸ステップを比較している。
MSとCSCFとの間の予想されるSIPメッセージ配信コスト(ネットワーク送信コスト)が1単位であり、CSCFとHSSとの間の予想されるCxメッセージ配信コストがβ単位であると仮定する。次の2つの理由から、β<1であることが予想される。
・CSCFおよびHSSは、IPネットワークを通じてCxメッセージを交換する。一方、MSとCSCFとの間のSIP通信は、IPネットワークのオーバーヘッドの他に、WiMAXコアネットワークおよび無線ネットワークを含んでいる。
・CSCFおよびHSSは、通常同じ場所に位置しているが、MSは離れた場所にある可能性がある。
・CSCFおよびHSSは、IPネットワークを通じてCxメッセージを交換する。一方、MSとCSCFとの間のSIP通信は、IPネットワークのオーバーヘッドの他に、WiMAXコアネットワークおよび無線ネットワークを含んでいる。
・CSCFおよびHSSは、通常同じ場所に位置しているが、MSは離れた場所にある可能性がある。
ワンパス認証手順において、HSSからCSCFへの認証ベクトルの配信(図3のステップ327および328)が行われる場合、予想されるIMS登録コストC1,1は次のように表される。
C1,1=2+4β (1)
C1,1=2+4β (1)
認証ベクトルの配信がワンパス認証手順において行われない場合、予想されるIMS登録コストC1,2は次のように表される。
C1,2=2+2β (2)
C1,2=2+2β (2)
IMS登録は、定期的に行われる。ワンパス認証手順のステップ327および328では、大きさn(ただしn≧1)のAV配列がHSSからCSCFに送信される。したがって、n個のIMS登録のうちの1つが、ステップ327および328の実行を招く。したがって、式(1)および(2)から、ワンパス認証手順の予想されるIMS登録コストC1は、次のようになる。
ツーパス認証手順において、認証ベクトルの配信(図1のステップ127および128)が行われる場合、予想されるIMS登録コストC2,1は次のように表される。
C2,1=4+4β (4)
C2,1=4+4β (4)
認証ベクトルの配信がツーパス認証手順において行われない場合、予想されるIMS登録コストC2,2は次のように表される。
C2,2=4+2β (5)
C2,2=4+2β (5)
ワンパス認証手順と同様に、n個のIMS登録のうちの1つが、ツーパス認証手順のステップ127および128の実行を招く。したがって、式(4)および(5)から、ツーパス認証手順の予想されるIMS登録コストC2は、次のようになる。
式(3)および(6)から、ツーパス認証手順と比べたワンパス認証手順のトラフィックコストの節約Sは、次のようになる。
上記の分析から、本発明の一実施形態により、ツーパス認証手順に比べたワンパス認証手順のトラフィックコストの節約を表す図が図4に提供されている。図4は、ユーザがWiMAXネットワークを介してIMSネットワークにアクセスしたいと要求することを例として挙げ、式(7)に基づいてnおよびβの関数としてSをグラフ化している。この図は、ツーバス認証手順と比べて提案するワンパス認証手順が、IMS登録/認証によって生成されるネットワークトラフィックの最大50%、少なくとも25%を節約することができることを示している。
図5は、本発明の一実施形態によるワンパス認証機構を示す概略的なフロー図である。このワンパス認証機構では、第1のネットワークおよび第2のネットワークが同じ認証キーKおよび認証関数を共有すると仮定し、異なるネットワークに対してあるユーザに割り当てられるそれぞれのユーザアイデンティティは、このような認証キーKおよび認証関数と関連していると仮定する。認証キーKおよび認証関数は、ゆえにそれぞれのネットワークの対応するユーザアイデンティティによって捜し出されることが可能である。したがって、ユーザによって提供されるユーザアイデンティティが、第1および第2のネットワークに対してそれぞれに認証データベースに事前に格納されたユーザアイデンティティと一致する場合、これらのユーザアイデンティティは同じ認証キーKおよび認証関数をサポートする。この機構を用いると、ユーザが第1のネットワークへ登録したいと要求し、さらに第1のネットワークを介して第2のネットワークにアクセスすることを希望する場合、第1のネットワークにおいてこのユーザの認証が正常であるとき、第2のネットワークにおいて追加の認証を行う必要がない。これは、第2のネットワークにおける認証は、第2のネットワークのための登録手順で暗黙的に行われることが可能であるからである。次の段落では、本発明のワンパス認証手順を通して第2のネットワークが正しくユーザを認証することができ、このユーザが正しく第2のネットワークを認証することができることを正式に証明する。
図2に示すWiMAX−IMSアーキテクチャを考えると、すべてのMSが、属性IMSI、IMPI、および長期事前共有秘密キーKを保持している。IMSI=imsi、IMPI=impi、およびK=kであるMS209のようなMSがあるとする。説明を簡単にするために、これらのパラメータは、MSにおいて集合RMS={imsi,impi,k}にグループ分けされると仮定する。関数IMSIMS、IMPIMS、およびKMSを任意のx∈RMSに対して以下のように定義する。
IMSIMS(X)=imsi、ただしimsiはRMSにおけるIMSI値である。 (8)
IMPIMS(x)=impi、ただしimpiはRMSにおけるIMPI値である。 (9)
KMS(x)=k、ただしkはRMSにおけるK値である。 (10)
IMSIMS(X)=imsi、ただしimsiはRMSにおけるIMSI値である。 (8)
IMPIMS(x)=impi、ただしimpiはRMSにおけるIMPI値である。 (9)
KMS(x)=k、ただしkはRMSにおけるK値である。 (10)
同様に、図2に示すアーキテクチャのすべてのMSについて、HSS201は、MSの属性IMSI、IMPI、およびKからなるレコードRHSSを保持している。すなわち、
RHSS={imsi,impi,k}=RMSである。
RHSS={imsi,impi,k}=RMSである。
また、関数IMSIHSS、IMPIHSS、およびKHSSを任意のx∈RHSSに対して次のように定義する。
IMSIHSS(x)=imsi、ただしimsiはRHSSにおけるIMSI値である。 (11)
IMPIHSS(x)=impi、ただしimpiはRHSSにおけるIMPI値である。 (12)
KHSS(x)=k、ただしkはRHSSにおけるK値である。 (13)
IMSIHSS(x)=imsi、ただしimsiはRHSSにおけるIMSI値である。 (11)
IMPIHSS(x)=impi、ただしimpiはRHSSにおけるIMPI値である。 (12)
KHSS(x)=k、ただしkはRHSSにおけるK値である。 (13)
本発明で使用されるAKA認証機構は、3GPP TS 33.102、「3rd Generation Partnership Project;Technical Specification Group Services and System Aspects;3G Security;Security Architecture」に記載されている。これは、ユーザによる相互認証、およびMSとHSSの間で共有される長期秘密キーKの知識を示すネットワークを実現する。図2に示すWiMAX−IMSインターワーキングネットワークアーキテクチャについては、WiMAXネットワークレベルとIMSネットワークレベルでの相互認証は、次の定理に基づいている。
定理1:MSは正規のWiMAXユーザであって、KMS(imsi)=KHSS(imsi)である場合、WiMAXネットワークを正常に認証する。また、相互認証がWiMAXネットワークレベルで正常に完了される場合、KMS(imsi)=KHSS(imsi)であることは明らかである。
定理2:MSは、正規のIMSユーザであって、KMS(impi)=KHSS(impi)である場合、IMSネットワークを正常に認証する。
次に、ワンパス認証手順(図3に示す)が、IMSレベルでMSとネットワークとの間で相互認証を達成することができることを証明する(すなわち、ワンパス認証手順は、定理2によりKMS(impi)=KHSS(impi)であるかどうか調べることができる)。
図3のワンパス認証手順では、ステップ301−325において相互認証が正常に完了されるとき、定理1に基づいて、次のように結論付けることができる。
KMS(imsi)=KHSS(imsi) (14)
KMS(imsi)=KHSS(imsi) (14)
図3のステップ326では、IMPI値impiおよび秘密キーkを有するMSは、IMSI値がimsiである、すなわちRMS={imsi,impi,k}であることを求める。(9)および(10)から、これは次のように結論付けられることが可能である。
IMPIMS(imsi)=IMPIMS(k)=impi (15)
KMS(imsi)=KMS(impi) (16)
IMPIMS(imsi)=IMPIMS(k)=impi (15)
KMS(imsi)=KMS(impi) (16)
ステップ330から331まで、HSSはIMPIをIMSI値IMSIHSS(impi)にマップし、CSCFは、次のことを確認する。
IMSIHSS(impi)=imsi (17)
IMSIHSS(impi)=imsi (17)
impi∈RHSSおよびIMSIHSS(impi)∈RHSSであることに注意されたい。(13)から、次のように結論付けられることが可能である。
KHSS(impi)=KHSS(IMSIHSS(impi)) (18)
KHSS(impi)=KHSS(IMSIHSS(impi)) (18)
(17)および(18)から、次のように結論付けられることが可能である。
KHSS(impi)=KHSS(imsi) (19)
KHSS(impi)=KHSS(imsi) (19)
(19)および(14)から、次のように結論付けられることが可能である。
KHSS(impi)=KMS(imsi) (20)
KHSS(impi)=KMS(imsi) (20)
(20)および(16)から、次のように結論付けられることが可能である。
KHSS(impi)=KMS(impi) (21)
KHSS(impi)=KMS(impi) (21)
(21)から、また定理2に基づいて、図3に示すワンパス認証手順は、MSが正規のIMSユーザであること、およびIMSネットワークはMSによって正常に認証されること、すなわちワンパス認証手順がIMSレベルにおいてMSとネットワークとの間で相互認証を実現することを検証すると結論付けられることが可能である。
上記の分析に照らして、本発明によるワンパス認証機構は、ユーザがWiMAX、GPRS、UMTS、WLANなどのような別のネットワークを介してIMSのようなネットワークの中のサービスおよびアプリケーションにアクセスしたいと要求する他のインターワーキングの解決法にも適用できる。2つのネットワークが同じ認証キーおよび認証アルゴリズム/関数を共有し、異なるネットワークにおいてユーザに割り当てられたそれぞれのユーザアイデンティティがこのような認証キーおよび認証アルゴリズム/関数と関連していると仮定すると、本発明の認証プロセスは、ステップ502に示すように、ユーザから第1のネットワークへの登録要求を受信することによって始まる。その後、第1のネットワークは、ステップ504においてユーザによって提供された第1のユーザアイデンティティを取得して格納することができ、この第1のユーザアイデンティティは、第1のネットワークで使用するためにネットワーク事業者によってユーザに割り当てられ、またHSS201のような認証データベースに格納される。第1のユーザアイデンティティに基づき、ユーザと第1のネットワークとの間の認証一致により、関連する認証キーおよび関数を用いて、ステップ506で認証が行われる。ステップ508において認証が正常である場合、ユーザはステップ510において第1のネットワークの登録を完了する。そうでない場合、登録が不正であることを意味し、プロセスは終了する。
このユーザが第1のネットワークを介してアクセス可能である第2のネットワークの加入者でもある場合、ユーザは登録要求を第2のネットワークに送信することができる。ステップ512では、ユーザが第2のネットワークに登録したいと要求する場合、プロセスはステップ514へと続き、ユーザによって提供された(ステップ504で格納された)第1のユーザアイデンティティを追加することによって登録要求はインターセプトされ、変更される。ステップ516では、登録のためにユーザによって提供された第2のユーザアイデンティティが使用されて、ユーザに割り当てられたときに認証データベースの中に事前に格納されている第1のユーザアイデンティティを取り出する。ユーザによって提供された第1のユーザアイデンティティ(すなわち、ステップ504で格納された第1のユーザアイデンティティ)が、認証データベースの中に事前に格納された第1のユーザアイデンティティに一致するかどうかに関して判定が行われる。ステップ518では、ユーザによって提供された第1のユーザアイデンティティが事前に格納された第1のユーザアイデンティティと一致する場合、ステップ520においてユーザと第2のネットワークとの間の認証一致に基づいて、ユーザと第2のネットワークとの間のセキュリティアソシエーションが構築される。そうでない場合、登録は不正であることを意味し、プロセスは終了する。
本発明の特定の実施形態についての前述の説明は、例示および説明の目的で提示した。これらは、包括的であること、または開示した厳密な形式に本発明を限定することを意図しておらず、上記の教示に照らして多くの変更形態および変形形態が可能であることは明らかである。本発明の原理およびその実際の応用を最も良く説明し、それによって当業者が本発明および様々な実施形態を、検討される特定の利用に適合する様々な変更形態と共に最も良く利用できるように、諸実施形態が選択され、記載された。本発明の範囲は、添付の特許請求の範囲およびその均等物によって定義されるものとする。
Claims (15)
- 複数の異種のネットワークに対してユーザを認証するためのワンパス認証システムにおいて実行される方法であって、
第1のネットワーク用の第1のユーザアイデンティティおよび第2のネットワーク用の第2のユーザアイデンティティは、認証データベースに格納された、1つの認証キーおよび認証アルゴリズムに関連づけられており、
第1の認証サーバにより実行される、第1のネットワークに登録したいというユーザの要求に応じて、第1のネットワーク用の第1のユーザアイデンティティと関連する認証データベースに格納された認証キーおよび認証アルゴリズムに基づいてユーザを認証するステップと、認証が正常である場合、
第2の認証サーバにより実行される、第2のユーザアイデンティティを含む第2のネットワークに登録したいというユーザの要求に応じて、該要求内でユーザによって提供された第2のネットワークの第2のユーザアイデンティティに基づいて認証データベースから取り出された第1のユーザアイデンティティを、前記第1の認証サーバによる認証時にユーザによって提供された第1のユーザアイデンティティと比較するステップと、
第2の認証サーバにより実行される、認証データベースから取り出された第1のユーザアイデンティティが、前記第1の認証サーバによる認証時にユーザによって提供された第1のユーザアイデンティティと一致する場合、ユーザと第2のネットワークとの間でセキュリティアソシエーションを構築するステップと
を含む、方法。 - ユーザによって提供された第2のユーザアイデンティティを含んでいる、第2のネットワークに登録したいというユーザの要求をインターセプトするステップと、
要求を転送する前に、認証時にユーザによって提供された第1のユーザアイデンティティを追加することによって要求を変更するステップと
をさらに含む、請求項1に記載の方法。 - 認証キーおよび認証アルゴリズムに基づいてユーザを認証するステップが、
ユーザの第1の認証パラメータを選択することと、
ユーザと第1のネットワークとの間の第1の認証のために、第1の認証パラメータに基づいて検証を行うことと、
検証を正常に行った後に、ユーザに対して第1のネットワークの登録手順を行うこと
を含む、請求項1または2に記載の方法。 - 第1の認証のための認証キーおよび認証アルゴリズムは、ユーザと第2のネットワークとの間の第2の認証のための認証キーおよび認証アルゴリズムと同一である、請求項3に記載の方法。
- 利用できる未使用の認証パラメータがない場合には、ユーザによって提供された第1のユーザアイデンティティを通して認証データベースから取り出された、少なくとも認証キーおよび認証アルゴリズムを含んでいるユーザのレコードに基づいて第1の認証パラメータを生成することをさらに含む、請求項3または4に記載の方法。
- ユーザと第2のネットワークとの間でセキュリティアソシエーションを構築することが、ユーザと第2のネットワークのセッションキー(CKおよびIK)である第2の認証パラメータに基づいている、請求項4または5に記載の方法。
- ユーザによって提供された第2のユーザアイデンティティを通して認証データベースから取り出された、少なくとも認証キーおよび認証アルゴリズムを含んでいるユーザのレコードに基づいて第2の認証パラメータを生成することをさらに含む、請求項6に記載の方法。
- 第1のネットワークがWiMAXネットワークであり、第2のネットワークがIMSネットワークである、請求項1から7のいずれか一項に記載の方法。
- 複数の異種のネットワークに対してユーザを認証するためのワンパス認証システムであって、
第1のネットワーク用の第1のユーザアイデンティティ、第2のネットワーク用の第2のユーザアイデンティティ、ならびに第1および第2のユーザアイデンティティと関連する認証キーおよび認証アルゴリズムを格納する認証データベースと、
第1のネットワークに登録したいというユーザの要求に応じて認証キーおよび認証アルゴリズムに基づいてユーザを認証するように構成された第1の認証サーバと、
第2のネットワークに登録したいというユーザの要求に応じて、ユーザによって提供された第2のユーザアイデンティティを通して認証データベースから取り出された第1のユーザアイデンティティを、前記第1の認証サーバによる認証時にユーザによって提供された第1のユーザアイデンティティと比較し、前記認証データベースから取り出された第1のユーザアイデンティティが、前記第1の認証サーバによる認証時にユーザによって提供された第1のユーザアイデンティティと一致する場合、ユーザと第2のネットワークとの間でセキュリティアソシエーションを構築するように構成された第2の認証サーバと
を含む、システム。 - 第1および第2の認証サーバに接続されたアクセスゲートウェイをさらに含み、アクセスゲートウェイが、
ユーザによって提供された第2のユーザアイデンティティを含んでいる、第2のネットワークに登録したいというユーザの要求をインターセプトし、
要求を転送する前に、認証時にユーザによって提供された第1のユーザアイデンティティを追加することによって要求を変更する
ように構成された、請求項9に記載のシステム。 - 第1の認証サーバがさらに、
ユーザの第1の認証パラメータを選択し、
ユーザと第1のネットワークとの間の第1の認証のために、第1の認証パラメータに基づいて検証を行い、
検証を正常に行った後に、ユーザに対して第1のネットワークの登録手順を行う
ように構成された、請求項9または10に記載のシステム。 - 第1の認証のための認証キーおよび認証アルゴリズムは、ユーザと第2のネットワークとの間の第2の認証のための認証キーおよび認証アルゴリズムと同一である、請求項11に記載のシステム。
- 利用できる未使用の認証パラメータがない場合には、第1の認証サーバがさらに、認証データベースから第1の認証パラメータにアクセスするように構成され、認証データベースがさらに、
ユーザによって提供された第1のユーザアイデンティティを通して、少なくとも認証キーおよび認証アルゴリズムを含んでいるユーザのレコードを取り出し、
ユーザのレコードに基づいて第1の認証パラメータを生成する
ように構成された、請求項11または12に記載のシステム。 - 第2の認証サーバがさらに、ユーザと第2のネットワークのセッションキー(CKおよびIK)である第2の認証パラメータに基づいてユーザと第2のネットワークとの間でセキュリティアソシエーションを構築するように構成された、請求項12または13に記載のシステム。
- 第2の認証サーバがさらに、認証データベースから第2の認証パラメータにアクセスするように構成され、認証データベースがさらに、
ユーザによって提供された第2のユーザアイデンティティを通して、少なくとも認証キーおよび認証アルゴリズムを含んでいるユーザのレコードを取り出し、
ユーザのレコードに基づいて第2の認証パラメータを生成する
ように構成された、請求項14に記載のシステム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2008/000372 WO2009103188A1 (en) | 2008-02-21 | 2008-02-21 | One-pass authentication mechanism and system for heterogeneous networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011515898A JP2011515898A (ja) | 2011-05-19 |
| JP5351181B2 true JP5351181B2 (ja) | 2013-11-27 |
Family
ID=40985040
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010547018A Expired - Fee Related JP5351181B2 (ja) | 2008-02-21 | 2008-02-21 | 異種ネットワークのためのワンパス認証機構およびシステム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9332000B2 (ja) |
| EP (1) | EP2248296A4 (ja) |
| JP (1) | JP5351181B2 (ja) |
| KR (1) | KR101427447B1 (ja) |
| CN (1) | CN101946455B (ja) |
| WO (1) | WO2009103188A1 (ja) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102217366A (zh) * | 2008-11-17 | 2011-10-12 | 诺基亚西门子通信公司 | 联网能力确定机制 |
| US8973125B2 (en) * | 2010-05-28 | 2015-03-03 | Alcatel Lucent | Application layer authentication in packet networks |
| WO2012045376A1 (en) * | 2010-10-08 | 2012-04-12 | Telefónica, S.A. | A method, a system and a network element for ims control layer authentication from external domains |
| JP2012247886A (ja) * | 2011-05-26 | 2012-12-13 | Sony Corp | 無線通信装置、情報処理装置、通信システムおよび無線通信装置の制御方法 |
| US9264898B2 (en) * | 2012-04-26 | 2016-02-16 | Juniper Networks, Inc. | Non-mobile authentication for mobile network gateway connectivity |
| FR2994624B1 (fr) * | 2012-08-17 | 2014-08-15 | Halys | Systeme de communication telephonique par voip |
| CN103853949A (zh) * | 2012-12-04 | 2014-06-11 | 中山大学深圳研究院 | 一个异构的计算机环境上进行用户身份验证的方法 |
| KR20160009276A (ko) * | 2014-07-16 | 2016-01-26 | 한국전자통신연구원 | Ims 기반의 서비스 공유를 위한 마스터 ims 단말, ims 기반의 서비스 공유를 위한 슬레이브 ims 단말, ims 기반의 서비스 공유 시스템, 및 공유 방법. |
| US9667600B2 (en) | 2015-04-06 | 2017-05-30 | At&T Intellectual Property I, L.P. | Decentralized and distributed secure home subscriber server device |
| CN107800539B (zh) | 2016-09-05 | 2020-07-24 | 华为技术有限公司 | 认证方法、认证装置和认证系统 |
| US11483706B2 (en) | 2018-12-21 | 2022-10-25 | Sprint Communications Company L.P. | Wireless media conferencing |
| CN113498055B (zh) * | 2020-03-20 | 2022-08-26 | 维沃移动通信有限公司 | 接入控制方法及通信设备 |
| CN115396126A (zh) * | 2021-05-08 | 2022-11-25 | 华为技术有限公司 | Nswo业务的认证方法、设备和存储介质 |
| US12294649B2 (en) | 2021-08-04 | 2025-05-06 | Alarm.Com Incorporated | Decentralized home sensor network |
| US12273725B2 (en) * | 2023-04-27 | 2025-04-08 | Private Tech Inc. | Mobile subscriber identity rotation |
Family Cites Families (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2315193B (en) * | 1996-07-10 | 2000-11-15 | Orange Personal Comm Serv Ltd | Mobile communications system |
| US6069877A (en) * | 1996-10-18 | 2000-05-30 | Telxon Corporation | Duplicate device detection system |
| EP0869628A1 (en) * | 1997-04-01 | 1998-10-07 | ICO Services Ltd. | Interworking between telecommunications networks |
| US7313381B1 (en) * | 1999-05-03 | 2007-12-25 | Nokia Corporation | Sim based authentication as payment method in public ISP access networks |
| GB9913102D0 (en) * | 1999-06-04 | 1999-08-04 | Nokia Telecommunications Oy | An element for a communications system |
| EP1198941B1 (en) * | 1999-07-02 | 2008-09-03 | Nokia Corporation | Authentication method and system |
| NL1013930C2 (nl) * | 1999-12-22 | 2001-06-25 | Koninkl Kpn Nv | Systeem voor mobiele telecommunicatie. |
| DE10043203A1 (de) * | 2000-09-01 | 2002-03-21 | Siemens Ag | Generische WLAN-Architektur |
| US20030115452A1 (en) * | 2000-12-19 | 2003-06-19 | Ravi Sandhu | One time password entry to access multiple network sites |
| US7743404B1 (en) * | 2001-10-03 | 2010-06-22 | Trepp, LLC | Method and system for single signon for multiple remote sites of a computer network |
| WO2004019640A1 (de) * | 2002-08-16 | 2004-03-04 | Siemens Aktiengesellschaft | Verfahren zum identifizieren eines kommunikationsendgeräts |
| US7441043B1 (en) * | 2002-12-31 | 2008-10-21 | At&T Corp. | System and method to support networking functions for mobile hosts that access multiple networks |
| KR101035216B1 (ko) * | 2003-03-18 | 2011-05-18 | 퀄컴 인코포레이티드 | Cdma 네트워크와 gsm 네트워크 사이의 인증 |
| US7774828B2 (en) * | 2003-03-31 | 2010-08-10 | Alcatel-Lucent Usa Inc. | Methods for common authentication and authorization across independent networks |
| JP4705021B2 (ja) * | 2003-04-02 | 2011-06-22 | クゥアルコム・インコーポレイテッド | Cdmaネットワークとgsmネットワークとの間の暗号化 |
| US7930253B1 (en) * | 2003-08-26 | 2011-04-19 | Mbira Technologies LLC | System and method for correlating use of separate network services |
| JP4303752B2 (ja) * | 2003-09-12 | 2009-07-29 | 株式会社エヌ・ティ・ティ・ドコモ | 安全なドメイン内およびドメイン間ハンドオーバ |
| US7873661B2 (en) * | 2004-03-31 | 2011-01-18 | Siemens Aktiengesellschaft | Network system as well as a method for controlling access from a first network component to at least one second network component |
| USRE48758E1 (en) * | 2004-06-24 | 2021-09-28 | Intellectual Ventures I Llc | Transfer of packet data in system comprising mobile terminal, wireless local network and mobile network |
| US7194763B2 (en) * | 2004-08-02 | 2007-03-20 | Cisco Technology, Inc. | Method and apparatus for determining authentication capabilities |
| CA2588919A1 (en) * | 2004-11-18 | 2006-05-26 | Azaire Networks Inc. | Service authorization in a wi-fi network interworked with 3g/gsm network |
| EP1829281B1 (en) * | 2004-12-21 | 2016-11-23 | Emue Limited | Authentication device and/or method |
| EP1708423A1 (en) * | 2005-03-29 | 2006-10-04 | Matsushita Electric Industrial Co., Ltd. | Inter-domain context transfer using context tranfer managers |
| EP1891821A2 (en) * | 2005-06-15 | 2008-02-27 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Method and apparatus for providing a telecommunications service |
| CN100379315C (zh) * | 2005-06-21 | 2008-04-02 | 华为技术有限公司 | 对用户终端进行鉴权的方法 |
| US7783041B2 (en) * | 2005-10-03 | 2010-08-24 | Nokia Corporation | System, method and computer program product for authenticating a data agreement between network entities |
| US8229398B2 (en) * | 2006-01-30 | 2012-07-24 | Qualcomm Incorporated | GSM authentication in a CDMA network |
| KR100753285B1 (ko) * | 2006-03-17 | 2007-08-29 | 주식회사 팬택앤큐리텔 | 이동통신시스템에서의 가입자 인증 방법 |
| JP2007299259A (ja) * | 2006-05-01 | 2007-11-15 | Nippon Telegr & Teleph Corp <Ntt> | 認証情報管理システムおよびアプリケーションサーバ |
| EP2055085A4 (en) * | 2006-08-17 | 2013-05-29 | Neustar Inc | SYSTEM AND METHOD FOR USER IDENTITY PORTABILITY IN COMMUNICATION SYSTEMS |
| EP1892940A1 (en) * | 2006-08-23 | 2008-02-27 | Thomson Telecom Belgium | Device and method for enabling SIP DECT terminal mobility |
| US7929993B2 (en) * | 2007-08-30 | 2011-04-19 | International Business Machines Corporation | Multi-SIM-based mobile device |
| US8949950B2 (en) * | 2007-12-20 | 2015-02-03 | Telefonaktiebolaget L M Ericsson (Publ) | Selection of successive authentication methods |
| CN101521581A (zh) * | 2008-02-25 | 2009-09-02 | 上海贝尔阿尔卡特股份有限公司 | 用于对WiMAX网络接入IMS进行计费关联的方法和系统 |
-
2008
- 2008-02-21 US US12/735,588 patent/US9332000B2/en not_active Expired - Fee Related
- 2008-02-21 JP JP2010547018A patent/JP5351181B2/ja not_active Expired - Fee Related
- 2008-02-21 EP EP08714830.0A patent/EP2248296A4/en not_active Withdrawn
- 2008-02-21 WO PCT/CN2008/000372 patent/WO2009103188A1/en not_active Ceased
- 2008-02-21 KR KR1020107018451A patent/KR101427447B1/ko active Active
- 2008-02-21 CN CN2008801270551A patent/CN101946455B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009103188A1 (en) | 2009-08-27 |
| EP2248296A1 (en) | 2010-11-10 |
| US9332000B2 (en) | 2016-05-03 |
| KR20100123834A (ko) | 2010-11-25 |
| KR101427447B1 (ko) | 2014-08-08 |
| JP2011515898A (ja) | 2011-05-19 |
| CN101946455B (zh) | 2012-09-05 |
| CN101946455A (zh) | 2011-01-12 |
| US20110010764A1 (en) | 2011-01-13 |
| EP2248296A4 (en) | 2017-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5351181B2 (ja) | 異種ネットワークのためのワンパス認証機構およびシステム | |
| US8335487B2 (en) | Method for authenticating user terminal in IP multimedia sub-system | |
| US9503890B2 (en) | Method and apparatus for delivering keying information | |
| US9166799B2 (en) | IMS security for femtocells | |
| EP1875707B1 (en) | Utilizing generic authentication architecture for mobile internet protocol key distribution | |
| CN100542086C (zh) | 无需额外的认证记帐授权设施的快速可靠的802.11重关联方法 | |
| US20080026724A1 (en) | Method for wireless local area network user set-up session connection and authentication, authorization and accounting server | |
| US20090313466A1 (en) | Managing User Access in a Communications Network | |
| EP2103077B1 (en) | Method and apparatus for determining an authentication procedure | |
| EP1693995B1 (en) | A method for implementing access authentication of wlan user | |
| CN100384120C (zh) | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 | |
| TW201316792A (zh) | 區域網協存取網路元件與終端設備的認證方法與裝置 | |
| Sharma et al. | Improved IP multimedia subsystem authentication mechanism for 3G-WLAN networks | |
| KR100874263B1 (ko) | 휴대인터넷에서 ims 인증 시스템 및 방법 | |
| Díaz-Sánchez et al. | A general IMS registration protocol for wireless networks interworking | |
| Dagiuklas et al. | Hierarchical AAA architecture for user and multimedia service authentication in hybrid 3G/WLAN networking environments | |
| Matsumoto | A study of authentication method on fixed mobile convergence environments | |
| Celentano et al. | Improved authentication for ims registration in 3g/wlan interworking | |
| Swain et al. | A micro-mobility management scheme for handover and roaming | |
| Salsano et al. | Technical Report N: T2. 1_2005_PR_R02 WLAN/3G secure authentication based on SIP | |
| EP1958370A2 (en) | Method and apparatus for delivering keying information |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130212 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130509 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130813 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130822 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5351181 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |