JP2010532596A - 証明書処理のための方法および装置 - Google Patents
証明書処理のための方法および装置 Download PDFInfo
- Publication number
- JP2010532596A JP2010532596A JP2010512108A JP2010512108A JP2010532596A JP 2010532596 A JP2010532596 A JP 2010532596A JP 2010512108 A JP2010512108 A JP 2010512108A JP 2010512108 A JP2010512108 A JP 2010512108A JP 2010532596 A JP2010532596 A JP 2010532596A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- security gateway
- user equipment
- server
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【選択図】 なし
Description
−ユーザ機器が、その利用可能なルート証明書の指示をセキュリティゲートウェイに提供するステップと、
−セキュリティゲートウェイが、ユーザ機器からの利用可能な証明書の指示を記憶されている証明書と比較するステップと、
−セキュリティゲートウェイが、指示されている証明書に一致する記憶されている証明書を検出できない場合、証明書サーバから一致する証明書をリクエストするステップと、
−証明書サーバが、一致する証明書およびそれに関連する鍵ペアを生成するステップと、
−証明書サーバが、その証明書およびそれに関連する鍵ペアをセキュリティゲートウェイに送信するステップと、
−セキュリティゲートウェイが、一致する証明書をユーザ機器に送信するステップと、
−ユーザ機器が、受信した証明書を有効にするステップと
を備える。
−セキュリティゲートウェイが、少なくとも1つの証明書をユーザ機器に送信するステップと、
−ユーザ機器が、セキュリティゲートウェイから受信される証明書を、記憶されているルート証明書と比較するステップと、
−ユーザ機器が、自身に記憶されているルート証明書を使用して、セキュリティゲートウェイから受信される証明書の有効にできない場合に、その受信した証明書を証明書サーバに送信するステップと、
−証明書サーバが、セキュリティゲートウェイからの証明書を有効にするステップと、
−証明書サーバが、有効性にすることである有効化の結果の表示を、ユーザ機器に送信するステップと
を備えてもよい。
これは、プロトコルXメッセージにカプセル化されているプロトコルYメッセージを示している。例えば、IKEv2{EAP}は、IKEv2[6]メッセージにカプセル化されているEAPパケットを示している。「(…)」の表記は、プロトコルXメッセージの取り得る属性/パラメータ/ペイロードを示している。
これは、属性Zを含むプロトコルXのメッセージを示している。例えば、IKEv2(CERTREQ…)は、少なくとも(点々で示される)CERTREQペイロードを含むIKEv2メッセージを示している。
これは、オプションの属性Rを含むことができるプロトコルXのメッセージを示している。例えば、IKEv2([CERTREQ]…)は、オプションで(少なくとも)CERTREQペイロードを含むIKEv2メッセージを示している。
これは、属性Zが「z」を示すプロトコルXのメッセージを示している。これは、例えば、IKEv2(CERTREQ=VeriSign)は、CA VeriSignを示すCERTREQペイロードを有するIKEv2メッセージを示している。
410:UE105が、その利用可能なルート証明書(群)の指示をSEGW120/125に提供する。この指示は、UE105によってサポートされるCAを指示する形式である。CAの指示は、IKVEv2交換の第3のメッセージであるメッセージcのCERTREQパラメータの中に含まれてもよい。
[1] C.Rigney他著、「RADIUS(Remote Authentication Dial In User Service)(Remote Authentication Dial In User Service(RADIUS))」、RFC 2865、2000年6月
[2] C.Rigney他著、「RADIUS拡張(RADIUS Extensions)」、RFC 2869、2000年6月
[3] Pat Calhoun他著、「Diameterに基づくプロトコル(Diameter Base Protocol)」、RFC 3588、2003年9月
[4] P.Eronen他著、「Diameter拡張認証プロトコル(EAP)アプリケーション(Diameter Extensible Authentication Protocol (EAP) Application)」、インターネットドラフト draft−ietf−aaa− eap−10.txt、2004年11月
[5] Pat Calhoun他著、「Diameterネットワーク・アクセス・サーバ・アプリケーション(Diameter Network Access Server Application)」、インターネットドラフト draft−ietf−aaa−diameter−nasreq−17.txt、2004年7月
[6] C.Kaufman著、「インターネット鍵交換(IKEv2)プロトコル(Internet Key Exchange (IKEv2) Protocol)」、RFC 4306、2005年12月
[7] S.Kent、R.Atkinson共著、「インターネットプロトコル用のセキュリティアーキテクチャ(Security Architecture for the Internet Protocol)」、RFC 2401、1998年11月
[8] S.Kent、K.Seo共著、「インターネットプロトコル用のセキュリティアーキテクチャ(Security Architecture for the Internet Protocol)」、RFC 4301、2005年12月
[9] B.Aboba他著、「拡張認証プロトコル(EAP)(Extensible Authentication Protocol (EAP))」、RFC 3748、2004年6月
[10] H.Haverinen、J.Salowey共著、「GSM(Global System for Mobile Communications)SIM(Subscriber Identity Module)のための拡張認証プロトコル方法(EAP−SIM)(Extensible Authentication Protocol Method for Global System for Mobile Communications (GSM) Subscriber Identity Modules (EAP−SIM))」、RFC 4186、2006年1月
[11] J.Arkko、H.Haverinen共著、「第3世代認証および鍵協定用の拡張認証プロトコル方法(EAP−AKA)(Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP−AKA))」、RFC 4187、2006年1月
[12] 3GPP TS 43.318 v6.9.0、「第3世代パートナーシッププロジェクト:GSM/EDGE無線アクセスネットワーク技術仕様グループ:A/Gbインタフェースへの包括的アクセス:ステージ2(リリース6)(3rd Generation Partnership Project; Technical Specification Group GSM/EDGE Radio Access Network; Generic access to the A/Gb interface; Stage 2 (Release 6))」
[13] 3GPP TS 44.318 v6.8.0、「第3世代パートナーシッププロジェクト:GSM/EDGE無線アクセスネットワーク技術仕様グループ:A/Gbインタフェースへの包括的アクセス(GA):モバイルGAインタフェースレイヤ3仕様(リリース6)(3rd Generation Partnership Project; Technical Specification Group GSM/EDGE Radio Access Network; Generic Access (GA) to the A/Gb interface; Mobile GA interface layer 3 specification (Release 6))」
[14] 3GPP TS 23.234 v6.10.0、「第3世代パートナーシッププロジェクト:サービス・システムアスペクト技術仕様グループ:3GPPシステムと無線ローカルエリアネットワーク(WLAN)のインターワーキング:システム解説(リリース6)(3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3GPP system to Wireless Local Area Network (WLAN) interworking; System description (Release 6))」
[15] 3GPP TS 24.234 v7.5.0、「第3世代パートナーシッププロジェクト:コアネットワークおよび端末技術仕様グループ:3GPPシステムと無線ローカルエリアネットワーク(WLAN)のインターワーキング:ユーザ機器(UE)からネットワークプロトコル:ステージ3(リリース7)(3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 3GPP system to Wireless Local Area Network (WLAN) interworking; User Equipment (UE) to network protocols; Stage 3 (Release 7))」
[16] 3GPP TS 33.234 v7.4.0、「第3世代パートナーシッププロジェクト:サービス・システムアスペクト技術仕様グループ:3Gセキュリティ:無線ローカルエリアネットワーク(WLAN)インターワーキングセキュリティ(リリース7)(3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3G Security; Wireless Local Area Network (WLAN) interworking security (Release 7))」
Claims (32)
- ユーザ機器(105)が、セキュリティゲートウェイ(120/125)経由で訪問先ネットワークまたはホームネットワーク(110/115)にアクセスする場合における、アクセスネットワークへのアクセスにおける認証手順に対する方法であって、
前記ユーザ機器(105)と前記セキュリティゲートウェイ(120/125)とが、利用可能な証明書(群)についての情報を交換するステップ(310)と、
前記セキュリティゲートウェイ(120/125)の試行された認証の進行を妨げる不一致であって、前記ユーザ機器(105)と前記セキュリティゲートウェイ(120/125)との間の証明書の不一致を識別するステップ(315)と、
前記認証手順の少なくとも一部を支援する証明書サーバ(140)を参加させるステップ(320)と
を備えることを特徴とする方法。 - 前記証明書サーバ(140)が、前記セキュリティゲートウェイ(120/125)あるいは前記ユーザ機器(105)に少なくとも1つの証明書を提供することによって、前記セキュリティゲートウェイ(120/125)と前記ユーザ機器(105)が、一致する証明書を少なくとも1つ有するように、前記認証手順の少なくとも一部を支援する
ことを特徴とする請求項1に記載の方法。 - 前記ユーザ機器(105)が、前記セキュリティゲートウェイ(120/125)に、自身の利用可能なルート証明書(群)の指示を提供するステップ(410)と、
前記セキュリティゲートウェイ(120/125)が、前記ユーザ機器(105)から指示される利用可能な証明書(群)と、記憶されている証明書(群)とを比較するステップ(415)と、
前記セキュリティゲートウェイ(120/125)が、前記指示される証明書(群)に一致する記憶されている証明書を検出できない場合、前記セキュリティゲートウェイ(120/125)が、前記証明書サーバ(140)から一致する証明書をリクエストするステップ(420)と、
前記証明書サーバ(140)が、一致する証明書とそれに関係する鍵ペアを生成するステップ(422)と、
前記証明書サーバ(140)が、前記一致する証明書とそれに関係する鍵ペアを、前記セキュリティゲートウェイ(120/125)へ送信するステップ(425)と、
前記セキュリティゲートウェイ(120/125)が、前記一致する証明書を、前記ユーザ機器(105)へ送信するステップ(427)と、
前記ユーザ機器(105)が、受信した前記一致する証明書を有効にするステップ(428)と
を更に備えることを特徴とする請求項2に記載の方法。 - 前記証明書サーバは、前記セキュリティゲートウェイのネットワーク内のAAAサーバである
ことを特徴とする請求項3に記載の方法。 - 前記証明書サーバは、前記ユーザ機器(105)の前記ホームネットワーク内のAAAサーバである
ことを特徴とする請求項4に記載の方法。 - 前記証明書サーバは、訪問先ネットワーク内のAAAプロキシである
ことを特徴とする請求項4に記載の方法。 - 前記証明書サーバは、リアルタイム性能を向上するために、前記セキュリティゲートウェイ(120/125)からのリクエストの前に、1つ以上の証明書とそれに関係する鍵ペアを生成し、記憶している
ことを特徴とする請求項3乃至6のいずれか1項に記載の方法。 - 前記証明書サーバ(140)は、前記ユーザ機器(105)に代って、前記セキュリティゲートウェイの認証の一部を実行することによって、前記認証手順を支援する
ことを特徴とする請求項1に記載の方法。 - 前記セキュリティゲートウェイ(120/125)が、少なくとも1つの証明書を、前記ユーザ機器(105)へ送信するステップ(510)と、
前記ユーザ機器(105)が、前記セキュリティゲートウェイ(120/125)から受信される前記証明書と、記憶されているルート証明書群とを比較するステップ(515)と、
前記ユーザ機器(105)が、前記ユーザ機器(105)に記憶されているルート証明書群を使用して、前記セキュリティゲートウェイ(120/125)から受信した前記証明書を有効にできない場合、前記ユーザ機器(105)が、前記受信した証明書を、前記証明書サーバ(140)へ送信するステップ(520)と、
前記証明書サーバ(140)が、前記セキュリティゲートウェイ(120/125)からの前記証明書を有効にするステップ(522)と、
前記証明書サーバ(140)が、前記有効にすることである有効化の結果の指示を、前記ユーザ機器(105)へ送信するステップ(525)と
を更に備えることを特徴とする請求項8に記載の方法。 - 前記証明書サーバは、前記ユーザ機器(105)の前記ホームネットワーク内のAAAサーバである
ことを特徴とする請求項8または9に記載の方法。 - 前記証明書サーバ(140)が、前記セキュリティゲートウェイ(120/125)からの前記証明書を有効にするステップ(522)と、前記証明書サーバ(140)が、前記有効にすることである有効化の結果の表示を、前記ユーザ機器(105)へ送信するステップ(525)とは、拡張認証プロトコルを使用して実行される
ことを特徴とする請求項9または10に記載の方法。 - 前記セキュリティゲートウェイ(120/125)の前記証明書は、EAP認証手順中に前記証明書サーバ(140)へ送信され、
前記証明書は、メッセージ属性に含まれる
ことを特徴とする請求項9乃至11のいずれか1項に記載の方法。 - 前記有効化の結果の表示は、EAP認証手順中に前記ユーザ機器へ送信され、
前記表示は、メッセージ属性に含まれる
ことを特徴とする請求項9乃至11のいずれか1項に記載の方法。 - 前記有効にするステップ(522)において、前記証明書サーバ(140)が、記憶されているルート証明書を利用する
ことを特徴とする請求項8乃至12のいずれか1項に記載の方法。 - 前記有効にするステップ(522)において、前記証明書サーバ(140)が、前記証明書サーバ(140)と前記セキュリティゲートウェイ(120/125)との間の、あるいは前記証明書サーバとプロキシAAAサーバとの間の、既存の信頼/セキュリティ関係に依存する
ことを特徴とする請求項8乃至12のいずれか1項に記載の方法。 - 前記証明書サーバ(140)は、前記セキュリティゲートウェイ、プロキシAAAサーバ(120/125)及び前記証明書サーバ(140)間の推移信頼を信頼することによって、前記ユーザ機器(105)に代って、前記認証手順の少なくとも一部を実行する
ことを特徴とする請求項1に記載の方法。 - 前記セキュリティゲートウェイ(120/125)が、少なくとも1つの証明書を、前記ユーザ機器(105)へ送信するステップ(510)と、
前記ユーザ機器(105)が、前記セキュリティゲートウェイ(120/125)から受信した前記証明書を、記憶されているルート証明書群と比較するステップと、
前記ユーザ機器(105)が、前記ユーザ機器(105)に記憶されているルート証明書群を使用して、前記セキュリティゲートウェイ(120/125)から受信した前記証明書を有効にできない場合、前記ユーザ機器(105)が、必要とされるルート証明書を送信することを前記証明書サーバ(140)へリクエストするステップと、
前記証明書サーバ(140)が、前記必要とされるルート証明書を、前記ユーザ機器(105)へ送信するステップと、
前記ユーザ機器(105)が、前記証明書サーバ(140)から受信した前記ルート証明書を使用して、前記セキュリティゲートウェイ(120/125)の前記証明書を有効にするステップと
を更に備えることを特徴とする請求項1に記載の方法。 - 前記証明書サーバ(140)へリクエストするステップと、前記ユーザ機器(105)へ送信するステップとは、拡張認証プロトコルを使用して実行される
ことを特徴とする請求項17に記載の方法。 - 前記ユーザ機器(105)が、前記ルート証明書を記憶するステップを更に備える
ことを特徴とする請求項17または18に記載の方法。 - 前記証明書サーバ(140)は、前記ユーザ機器(105)に代って、前記セキュリティゲートウェイ(105)から提供される証明書を有効にすることによって、前記認証手順を支援する
ことを特徴とする請求項1に記載の方法。 - 前記ユーザ機器(105)が、前記セキュリティゲートウェイ(120/125)へ、自身の利用可能なルート証明書(群)の表示を提供するステップ(610)と、
前記セキュリティゲートウェイ(120/125)が、前記ユーザ機器(105)から示される利用可能な証明書(群)と、記憶されている証明書(群)とを比較するステップ(615)と、
前記セキュリティゲートウェイ(120/125)が一致する証明書を検出できない場合、前記セキュリティゲートウェイ(120/125)が、自身に記憶されている証明書群の1つの証明書を前記証明書サーバ(140)に送信して、前記証明書サーバ(140)に、その1つの証明書にサインすることをリクエストするステップ(620)と、
前記証明書サーバ(140)が、前記セキュリティゲートウェイ(120/125)によって提供される前記証明書を有効にし、かつ署名するステップ(622)と、
前記証明書サーバ(140)が、前記署名された証明書を、前記セキュリティゲートウェイ(120/125)へ送信するステップ(625)と、
前記セキュリティゲートウェイ(120/125)が、前記証明書と前記証明書サーバの署名とを、前記ユーザ機器(105)へ送信するステップ(627)と、
前記ユーザ機器(105)が、前記証明書サーバの署名を有効にし、かつ前記セキュリティゲートウェイ(120/125)の前記証明書が有効であることを受け付けるステップ(628)と
を更に備えることを特徴とする請求項20に記載の方法。 - 前記署名するステップにおいて、前記証明書サーバ(140)は、前記記憶されているルート証明書を使用して、前記セキュリティゲートウェイ(120/125)によって提供される前記証明書を有効にする
ことを特徴とする請求項21に記載の方法。 - 前記署名するステップにおいて、前記証明書サーバ(140)は、前記証明書サーバ(140)と前記セキュリティゲートウェイ(120/125)との間の、あるいは前記証明書サーバとプロキシAAAサーバとの間の、既存の信頼/セキュリティ関係とセキュア通信とを利用して、前記セキュリティゲートウェイ(120/125)によって提供される前記証明書を有効にする
ことを特徴とする請求項21に記載の方法。 - 通信ネットワークにおけるセキュリティゲートウェイ(120/125)と通信するように構成されている証明書サーバ(140)であって、
通信モジュール(805)と、
前記セキュリティゲートウェイ(120/125)を介して前記通信ネットワークにアクセスするユーザ機器(105)に対する前記セキュリティゲートウェイ(120/125)の認証を支援するように構成されている認証モジュール(810)と
を備えることを特徴とする証明書サーバ。 - 証明書記憶モジュール(815)を更に備え、
前記証明書サーバ(140)は、前記セキュリティゲートウェイ(120/125)あるいは前記ユーザ機器(105)に、前記証明書記憶モジュール(815)から取得される証明書を、提供するように構成されている
ことを特徴とする請求項24に記載の証明書サーバ。 - 前記認証モジュール(810)は、前記セキュリティゲートウェイ(120/125)の前記認証の少なくとも一部を実行し、かつその結果の指示を生成するように構成されていて、
前記結果の指示は、前記通信モジュール(805)によって、前記セキュリティゲートウェイ(120/125)あるいは前記ユーザ機器(105)へ送信される
ことを特徴とする請求項24に記載の証明書サーバ。 - 通信ネットワークにおけるセキュリティゲートウェイ(120/125)と通信するように構成されているユーザ機器(105)であって、
通信モジュール(820)と、
証明書記憶モジュール(830)に接続している証明書処理モジュール(825)とを備え、
前記証明書処理モジュール(825)は、セキュリティゲートウェイの試行されている認証中に、一致している証明書が前記証明書記憶モジュール(830)に記憶されていないかどうかを確認し、一致する証明書が記憶されていない場合、証明書サーバに前記認証に参加することをリクエストするように構成されている
ことを特徴とするユーザ機器。 - 前記証明書処理モジュール(825)は、前記証明書サーバから証明書を受信し、前記証明書を前記認証に使用するように構成されている
ことを特徴とする請求項27に記載のユーザ機器。 - 前記証明書処理モジュール(825)は、前記セキュリティゲートウェイが、前記ユーザ機器(105)と通信する別のノードによって有効にされていることを示す指示を受信するように構成されている
ことを特徴とする請求項27に記載のユーザ機器。 - 通信ネットワークにおけるユーザ機器(105)と証明書サーバ(140)と通信するように構成されているセキュリティゲートウェイ(120/125)であって、
通信モジュール(835)と、
証明書記憶モジュール(845)に接続している証明書処理モジュール(840)とを備え、
前記証明書処理モジュール(840)は、前記ユーザ機器(105)との認証手順において、少なくとも1つ提供されている証明書と、予め記憶されている少なくとも1つの証明書とを比較し、一致する証明書が識別されない場合、前記証明書サーバ(140)を前記認証手順に参加させるように構成されている
ことを特徴とするセキュリティゲートウェイ。 - 前記認証処理モジュール(840)は、前記証明書サーバに、一致する証明書を提供することをリクエストし、前記一致する証明書を受信し、前記ユーザ機器との前記認証手順において前記一致する証明書を使用するように構成されている
ことを特徴とする請求項30に記載のセキュリティゲートウェイ。 - 前記証明書処理モジュール(840)は、証明書を前記証明書サーバへ送信し、前記証明書サーバに、前記証明書を署名することをリクエストし、その署名された証明書を受信し、前記ユーザ機器との前記認証手順において前記署名された証明書を使用するように構成されている
ことを特徴とする請求項30に記載のセキュリティゲートウェイ。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/SE2007/050407 WO2008153456A1 (en) | 2007-06-11 | 2007-06-11 | Method and arrangement for certificate handling |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010532596A true JP2010532596A (ja) | 2010-10-07 |
JP5166524B2 JP5166524B2 (ja) | 2013-03-21 |
Family
ID=40129929
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010512108A Expired - Fee Related JP5166524B2 (ja) | 2007-06-11 | 2007-06-11 | 証明書処理のための方法および装置 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20100185849A1 (ja) |
EP (1) | EP2168068B1 (ja) |
JP (1) | JP5166524B2 (ja) |
CN (1) | CN101681402A (ja) |
WO (1) | WO2008153456A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012199679A (ja) * | 2011-03-18 | 2012-10-18 | Ricoh Co Ltd | 通信装置、通信システムおよびプログラム |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101013654B1 (ko) * | 2007-08-09 | 2011-02-10 | 엘지전자 주식회사 | 이동통신 시스템에서의 이동성 프로토콜 선택 및 관리 방법및 장치 |
US20090126001A1 (en) * | 2007-11-08 | 2009-05-14 | Microsoft Corporation | Techniques to manage security certificates |
EP2091204A1 (en) | 2008-02-18 | 2009-08-19 | Panasonic Corporation | Home agent discovery upon changing the mobility management scheme |
US8584214B2 (en) * | 2008-09-18 | 2013-11-12 | Motorola Mobility Llc | Secure server certificate trust list update for client devices |
KR101358846B1 (ko) | 2008-11-17 | 2014-02-06 | 퀄컴 인코포레이티드 | 로컬 네트워크에 대한 원격 액세스 |
CN101754211A (zh) * | 2008-12-15 | 2010-06-23 | 华为技术有限公司 | 认证协商方法及***、安全网关、家庭无线接入点 |
US9602499B2 (en) * | 2009-04-07 | 2017-03-21 | F-Secure Corporation | Authenticating a node in a communication network |
US8804682B2 (en) | 2009-04-17 | 2014-08-12 | Panasonic Intellectual Property Corporation Of America | Apparatus for management of local IP access in a segmented mobile communication system |
US9197420B2 (en) | 2010-01-06 | 2015-11-24 | International Business Machines Corporation | Using information in a digital certificate to authenticate a network of a wireless access point |
US9215220B2 (en) | 2010-06-21 | 2015-12-15 | Nokia Solutions And Networks Oy | Remote verification of attributes in a communication network |
CA2801960C (en) * | 2010-09-17 | 2018-02-13 | Nokia Siemens Networks Oy | Remote verification of attributes in a communication network |
US10701113B2 (en) | 2011-10-25 | 2020-06-30 | Nokia Technologies Oy | Method for securing host configuration messages |
US9842335B2 (en) * | 2012-03-23 | 2017-12-12 | The Toronto-Dominion Bank | System and method for authenticating a payment terminal |
CN102711106B (zh) * | 2012-05-21 | 2018-08-10 | 中兴通讯股份有限公司 | 建立IPSec隧道的方法及*** |
CN104704789B (zh) * | 2012-10-15 | 2018-06-22 | 诺基亚通信公司 | 网络认证 |
US9166969B2 (en) * | 2012-12-06 | 2015-10-20 | Cisco Technology, Inc. | Session certificates |
US9226153B2 (en) * | 2013-08-23 | 2015-12-29 | Cisco Technology, Inc. | Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP |
WO2015072899A1 (en) * | 2013-11-15 | 2015-05-21 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and devices for bootstrapping of resource constrained devices |
CN105450583B (zh) * | 2014-07-03 | 2019-07-05 | 阿里巴巴集团控股有限公司 | 一种信息认证的方法及装置 |
EP3076583B1 (en) * | 2015-04-02 | 2019-10-09 | Totemo AG | Central certificate management |
EP3160176B1 (en) * | 2015-10-19 | 2019-12-11 | Vodafone GmbH | Using a service of a mobile packet core network without having a sim card |
CN107766716B (zh) * | 2016-08-16 | 2021-08-31 | 阿里巴巴集团控股有限公司 | 证书检测方法及装置、电子设备 |
US11553561B2 (en) * | 2016-10-28 | 2023-01-10 | Apple Inc. | Protection of the UE identity during 802.1x carrier hotspot and wi-fi calling authentication |
US10833876B2 (en) * | 2016-10-28 | 2020-11-10 | Apple Inc. | Protection of the UE identity during 802.1x carrier hotspot and Wi-Fi calling authentication |
CN112532390B (zh) * | 2019-08-30 | 2022-05-10 | 华为技术有限公司 | 加载数字证书认证机构证书的方法及装置 |
CN112512047B (zh) * | 2020-11-19 | 2022-06-10 | 四川省肿瘤医院 | 一种无线网络安全认证的检测方法 |
CN114117373B (zh) * | 2021-11-25 | 2022-10-28 | 云南电网有限责任公司信息中心 | 一种基于密钥的设备认证***和方法 |
US20230283485A1 (en) * | 2022-03-07 | 2023-09-07 | Benjamin Lamm | Method and device for dynamic public key infrastructure |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020152382A1 (en) * | 1999-06-11 | 2002-10-17 | Sihai Xiao | Trust information delivery scheme for certificate validation |
US20030028805A1 (en) * | 2001-08-03 | 2003-02-06 | Nokia Corporation | System and method for managing network service access and enrollment |
JP2004023166A (ja) * | 2002-06-12 | 2004-01-22 | Nippon Telegr & Teleph Corp <Ntt> | モバイル通信サービスシステム |
US20060253703A1 (en) * | 2005-05-09 | 2006-11-09 | Nokia Corporation | Method for distributing certificates in a communication system |
JP2006527967A (ja) * | 2003-06-18 | 2006-12-07 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | モバイルIP(モバイルIP:MobileIP)バージョン6サービスをサポートするための方法、システム及び装置 |
JP2008228089A (ja) * | 2007-03-14 | 2008-09-25 | Nippon Telegr & Teleph Corp <Ntt> | 通信接続方式の選択装置、方法及びプログラム |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030014629A1 (en) * | 2001-07-16 | 2003-01-16 | Zuccherato Robert J. | Root certificate management system and method |
US6397197B1 (en) * | 1998-08-26 | 2002-05-28 | E-Lynxx Corporation | Apparatus and method for obtaining lowest bid from information product vendors |
US6223291B1 (en) * | 1999-03-26 | 2001-04-24 | Motorola, Inc. | Secure wireless electronic-commerce system with digital product certificates and digital license certificates |
US7290133B1 (en) * | 2000-11-17 | 2007-10-30 | Entrust Limited | Method and apparatus improving efficiency of end-user certificate validation |
US7240194B2 (en) * | 2002-03-22 | 2007-07-03 | Microsoft Corporation | Systems and methods for distributing trusted certification authorities |
AU2003237094A1 (en) * | 2002-04-12 | 2003-10-27 | Karbon Systems, Llc | System and method for secure wireless communications using pki |
US7171555B1 (en) * | 2003-05-29 | 2007-01-30 | Cisco Technology, Inc. | Method and apparatus for communicating credential information within a network device authentication conversation |
KR100546778B1 (ko) * | 2003-12-17 | 2006-01-25 | 한국전자통신연구원 | 무선 인터넷 가입자 인증 방법 및 그 장치 |
KR20050064119A (ko) * | 2003-12-23 | 2005-06-29 | 한국전자통신연구원 | 인터넷접속을 위한 확장인증프로토콜 인증시 단말에서의서버인증서 유효성 검증 방법 |
US7444509B2 (en) * | 2004-05-27 | 2008-10-28 | International Business Machines Corporation | Method and system for certification path processing |
EP1754335B1 (en) * | 2005-06-24 | 2009-10-28 | Research In Motion Limited | System and method for associating message addresses with certificates |
US8181262B2 (en) * | 2005-07-20 | 2012-05-15 | Verimatrix, Inc. | Network user authentication system and method |
KR100759168B1 (ko) * | 2005-11-16 | 2007-09-14 | 엘지노텔 주식회사 | 안전키 생성기능이 구비된 이동통신시스템 및 그 제어방법 |
KR100653638B1 (ko) * | 2005-11-25 | 2006-12-06 | 주식회사 엘지텔레콤 | 모바일 뱅킹 서비스 시스템 및 그 방법 |
US20070283143A1 (en) * | 2006-06-06 | 2007-12-06 | Kabushiki Kaisha Toshiba | System and method for certificate-based client registration via a document processing device |
US7814161B2 (en) * | 2006-06-23 | 2010-10-12 | Research In Motion Limited | System and method for handling electronic mail mismatches |
US8327132B2 (en) * | 2007-02-26 | 2012-12-04 | Microsoft Corporation | Automated certificate provisioning for non-domain-joined entities |
-
2007
- 2007-06-11 WO PCT/SE2007/050407 patent/WO2008153456A1/en active Application Filing
- 2007-06-11 CN CN200780053298A patent/CN101681402A/zh active Pending
- 2007-06-11 JP JP2010512108A patent/JP5166524B2/ja not_active Expired - Fee Related
- 2007-06-11 US US12/601,193 patent/US20100185849A1/en not_active Abandoned
- 2007-06-11 EP EP07748567.0A patent/EP2168068B1/en not_active Not-in-force
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020152382A1 (en) * | 1999-06-11 | 2002-10-17 | Sihai Xiao | Trust information delivery scheme for certificate validation |
US20030028805A1 (en) * | 2001-08-03 | 2003-02-06 | Nokia Corporation | System and method for managing network service access and enrollment |
JP2004023166A (ja) * | 2002-06-12 | 2004-01-22 | Nippon Telegr & Teleph Corp <Ntt> | モバイル通信サービスシステム |
JP2006527967A (ja) * | 2003-06-18 | 2006-12-07 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | モバイルIP(モバイルIP:MobileIP)バージョン6サービスをサポートするための方法、システム及び装置 |
US20060253703A1 (en) * | 2005-05-09 | 2006-11-09 | Nokia Corporation | Method for distributing certificates in a communication system |
JP2008228089A (ja) * | 2007-03-14 | 2008-09-25 | Nippon Telegr & Teleph Corp <Ntt> | 通信接続方式の選択装置、方法及びプログラム |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012199679A (ja) * | 2011-03-18 | 2012-10-18 | Ricoh Co Ltd | 通信装置、通信システムおよびプログラム |
Also Published As
Publication number | Publication date |
---|---|
EP2168068B1 (en) | 2015-08-26 |
EP2168068A1 (en) | 2010-03-31 |
EP2168068A4 (en) | 2012-03-21 |
US20100185849A1 (en) | 2010-07-22 |
JP5166524B2 (ja) | 2013-03-21 |
WO2008153456A1 (en) | 2008-12-18 |
CN101681402A (zh) | 2010-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5166524B2 (ja) | 証明書処理のための方法および装置 | |
US7984291B2 (en) | Method for distributing certificates in a communication system | |
US8667151B2 (en) | Bootstrapping method for setting up a security association | |
US8561200B2 (en) | Method and system for controlling access to communication networks, related network and computer program therefor | |
JP5069320B2 (ja) | Uiccなしコールのサポート | |
JP4723158B2 (ja) | パケット・データ・ネットワークにおける認証方法 | |
RU2437238C2 (ru) | Способы и устройство для обеспечения иерархии ключей pmip в сети беспроводной связи | |
US7900242B2 (en) | Modular authentication and authorization scheme for internet protocol | |
US8769647B2 (en) | Method and system for accessing 3rd generation network | |
EP3382990B1 (en) | User profile, policy and pmip key distribution in a wireless communication network | |
US20080178274A1 (en) | System for using an authorization token to separate authentication and authorization services | |
US20060019635A1 (en) | Enhanced use of a network access identifier in wlan | |
US9226153B2 (en) | Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP | |
JP2008537398A (ja) | モバイルインターネットプロトコル鍵配布のためのジェネリック認証アーキテクチャの利用 | |
US20110035592A1 (en) | Authentication method selection using a home enhanced node b profile | |
WO2006135217A1 (en) | System and method for otimizing tunnel authentication procedure over a 3g-wlan interworking system | |
WO2009086769A1 (zh) | 一种网络服务的协商方法和*** | |
Asokan et al. | Man-in-the-middle in tunnelled authentication | |
Mizikovsky et al. | CDMA 1x EV-DO security | |
Hoeper | EMU Working Group S. Hartman, Ed. Internet-Draft Painless Security Intended status: Standards Track T. Clancy Expires: May 2, 2012 Electrical and Computer Engineering | |
Hoeper | Channel Binding Support for EAP Methods draft-ietf-emu-chbind-16. txt |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120717 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121015 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121130 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121220 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151228 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5166524 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |