JP4170912B2 - ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用 - Google Patents

ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用 Download PDF

Info

Publication number
JP4170912B2
JP4170912B2 JP2003550434A JP2003550434A JP4170912B2 JP 4170912 B2 JP4170912 B2 JP 4170912B2 JP 2003550434 A JP2003550434 A JP 2003550434A JP 2003550434 A JP2003550434 A JP 2003550434A JP 4170912 B2 JP4170912 B2 JP 4170912B2
Authority
JP
Japan
Prior art keywords
telecommunications
network
access device
secret
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003550434A
Other languages
English (en)
Other versions
JP2005512396A (ja
Inventor
キュラー ヨルゲ
マルヘーファー ミヒャエル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of JP2005512396A publication Critical patent/JP2005512396A/ja
Application granted granted Critical
Publication of JP4170912B2 publication Critical patent/JP4170912B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は遠隔通信ネットワークのアクセス装置又はこのネットワークを介して到達可能な更に別のサービスプロバイダに対する加入者の資格(認証及び/又は許可)の検査のための装置及び方法に関する。
EP−A2−0903887は移動無線ネットワークの認証ユニットにより発生される秘密(シークレット)を記述しており、この秘密は移動局に伝送され、この移動局はこの秘密を移動無線ネットワークの基地局に対する移動局の認証のために使用し、基地局は認証検査を認証ユニットによって実施することができる。とりわけRSA鍵ペア(F、G)を有するサービスプロバイダが独自の鍵ペア(D、E)を有する移動局にサービスプロバイダのプライベート鍵Fによる移動局の公開鍵Eの暗号化の結果F(E)を送信することが提案される。これに基づいて、移動局が移動無線ネットワークにE及びF(E)を送信することができ、次いで、サービスプロバイダがそのプライベート鍵GによってF(E)から再びEを算定することができる。これに基づいてサービスプロバイダは移動無線端末の公開鍵Eにより暗号化された乱数E(X)をこの移動無線端末に送信し、この移動無線端末がそのプライベート鍵Dによって乱数XをE(X)から算定し、暗号化せずに認証のためにサービスプロバイダに返送することができる。
Stefan Puetz著のXP10314761、ISBN0−7803−4872−9は第3世代の移動無線ネットワークのための認証方法を記述しており、この認証はチャレンジレスポンス法によって行われる。
例えばGSMスタンダードに従ってGSM移動局(携帯)は加入者のSIMカードを使用し、このSIMカードはこのSIMカードを識別する秘密(シークレット)を含み、この秘密はネットワークプロバイダにも周知(共有秘密)でありならびに移動無線局を利用する加入者によって問い合わせられるPIN番号である。適当なプロトコル(例えばGSM認証のためのチャレンジレスポンスプロトコル)によって、ネットワークプロバイダはユーザのSIMカードを識別し、加入者に例えば移動無線ネットワークの利用を許可又は拒否することができる。この方法はしかしn:1関係における認証、例えば1つのネットワークプロバイダに対する移動無線ネットワークのn人の潜在的加入者の認証には適しているが、複数の潜在的な(予め最終的な数が分かっていない)ビジネスパートナーに対してもユーザを認証する(n:m関係)ためには適していない。
本発明の課題は、それゆえ、遠隔通信加入者が遠隔通信加入者アイデンティティモジュールを有する遠隔通信端末を介して利用したい遠隔通信ネットワークのアクセス装置に対して遠隔通信ネットワークを介する所定のサービス又はトランザクションのための遠隔通信加入者の簡単かつ効率的な認証及び許可を可能にすることである。上記課題は、サービスの使用及び/又は遠隔通信ネットワークの利用のための遠隔通信端末の加入者の資格の検査のための方法において、遠隔通信ネットワークのアクセス装置は遠隔通信端末から少なくとも1つの証明書及び1つのアイデンティティデータを受け取り、その後で、ネットワークマネジメント装置又は認証装置は証明書がアイデンティティデータの正しさを証明しポジティブステータスを有するかどうか検査し、イエスの場合には、アクセス装置には、少なくとも1つの公開鍵によって暗号化されて遠隔通信端末にも送信される秘密が送信され、アクセス装置及び遠隔通信端末に送信されるこの秘密はネットワークマネジメント装置によりその都度生成されるセッションキーであり、この秘密は遠隔通信端末とアクセス装置との間の機密通信のために使用されることによって解決され、さらに上記課題は、遠隔通信ネットワークは以下のものを有する、すなわち遠隔通信端末から送信された少なくとも1つの証明書及び1つのアイデンティティデータを受信するためのアクセス装置を有し、証明書がアイデンティティデータの正しさを証明しポジティブステータスを有するかどうか検査するためのネットワークマネジメント装置又は認証装置を有し、検査がイエスの場合には、ネットワークマネジメント装置がアクセス装置及び遠隔通信端末に送信される秘密をセッションキーとしてその都度生成し、この秘密は遠隔通信端末とアクセス装置との間の機密通信のためにも使用されることによって解決される。
本発明は、遠隔通信ネットワークに対する遠隔通信加入者の簡単かつ効率的な認証を可能にし、この遠隔通信ネットワークを介してこの加入者はトランザクションなどのようなサービスを処理するために通信し、また、本発明は、トランザクション(機密のEメール、銀行業務、支払いなど)のような所定のサービスのために第3者に対する簡単かつ効率的な認証及び/又は許可をも可能にする。
本発明の方法は、エンドユーザ間のピアツーピアトランザクションのための複数の(m個の)コネクティビティプロバイダに対する遠隔通信端末における遠隔通信加入者アイデンティティモジュールによる潜在的遠隔通信加入者の認証のようなn:m関係においても機能し、アドホックネットワークなどにおいてパブリックキー鍵ペアの使用における(注文、振替などの法的な拘束に対する)付加価値の生成を可能にし、端末側のハードウェアコストの上昇なしに既存のコンポーネント(遠隔通信加入者アイデンティティモジュール)の多重利用を可能にし、非常に高い度合いの安全性をもたらす。
本発明の方法は、とりわけ移動端末をインターネットプロトコルネットワークに対してこのネットワーク自体の利用のためにならびに第3者がこのインターネットプロトコルネットワークを介して提供するサービスのために認証することに適している。
本発明の他の特徴及び利点は以下のようなものである、すなわち、
秘密の送信の後でアクセス装置は加入者を遠隔通信ネットワーク及び/又はサービスへのアクセスを有する遠隔通信加入者のリストに登録し、アクセス装置は遠隔通信ネットワーク及び/又はサービスへのアクセスをリストに登録された加入者のみに許可する。
アクセス装置は遠隔通信端末から受け取った証明書、アイデンティティ及びリプレイプロテクションを遠隔通信ネットワークのネットワークマネジメント装置に送信し、このネットワークマネジメント装置は認証装置によって検査を実施させられ、検査がポジティブな場合には、秘密をアクセス装置に送信し、さらにこのアクセス装置を介して遠隔通信端末に送信する。
認証装置の検査の結果はネットワークマネジメント装置からサービス管理装置に通知される。
認証エンティティはアクセス装置とは異なるネットワークに配置される。
認証装置はアクセス装置と同じ遠隔通信ネットワークに配置される。
鍵ペアのプライベート鍵は遠隔通信端末の遠隔通信加入者アイデンティティモジュールだけに格納されている。
遠隔通信ネットワークはインターネットプロトコルネットワークである。
遠隔通信ネットワークはセルラー移動無線ネットワークである。
遠隔通信加入者アイデンティティモジュールに対して、複数の証明書、とりわけ属性証明書が使用可能であり、属性証明書のポジティブな検査がそれぞれ遠隔通信端末に少なくとも1つタイプのトランザクション又はその他のサービス又は資格を許可する。
検査がポジティブである場合、遠隔通信端末に第三者により遠隔通信ネットワークを介して提供されるトランザクション又はサービスの利用が許される。
遠隔通信加入者アイデンティティモジュールは公開鍵に適合するプライベート鍵を格納しており、公開鍵により暗号化された秘密の復号化のために使用する。
次に実施例の記述を図面に基づいて示す。この場合、
図1は本発明の資格検査を概略的に示す。
図1は遠隔通信端末1(モバイルノードMN、例えばGSM、UMTSなどのためのセルラー移動無線端末)とこれに接続された(例えばこれに挿入可能な)遠隔通信加入者アイデンティティモジュール2(例えばSIM、W−SIM、U−SIMのUICCなど)、訪問される遠隔通信ネットワーク3(例えば移動遠隔通信ネットワークのインターネットプロトコルネットワークなど)とこの遠隔通信ネットワーク3へのアクセス装置4(AP=Access Point)とネットワークマネジメント装置5(NMT=Network Management Tool)及びアクセス管理エンティティ6(PDP=Policy Decision Point)を示している。遠隔通信端末1のユーザが利用したい遠隔通信ネットワーク3から、認証装置7が、遠隔通信端末1に格納されたアイデンティティデータ(MSISDNなど)、証明書の検査のために及びサービスの実施に関する遠隔通信加入者1の所属のステータスデータの問い合わせのためにコンタクトされる。この認証装置7はこの装置により生成された証明書のならびにこの証明書に割り当てられたステータスデータの公的にアクセス可能なディレクトリを(同じ遠隔通信ネットワーク3又は別の遠隔通信ネットワーク8又は別のプロバイダ又は遠隔通信ネットワーク3のエレメントによってアクセス可能なトラストセンタにおいて)提供する。上記のサービスは例えばトランスポートサービス、とりわけ遠隔通信ネットワーク3自体の利用及び/又は例えば位置に関するサービスのような応用サービス及び/又は遠隔通信ネットワーク3を介するプロバイダ9との例えば注文、振替などのようなトランザクションを含む。
遠隔通信端末1のユーザは、ネットワーク3のプロバイダ及び/又は遠隔通信ネットワーク3の内部の又は遠隔通信ネットワーク3の外部の例えば自分のサービスを遠隔通信ネットワーク3を介してのみ提供する遠隔通信ネットワークから独立している第3者のプロバイダ9に対して、3又は9のプロバイダのサービスの利用のために自分の資格を証明したいのであり、すなわち認証及び/又は許可を実施したい。この認証及び/又は許可は、アイデンティティデータ(MSISDNなど)及び遠隔通信加入者1(乃至は遠隔通信加入者アイデンティティモジュール2)の資格が検査されるやいなや、遠隔通信ネットワーク3又はサービスのプロバイダ9に対して(例えばNMT5によって)行われる。アイデンティティデータ及び遠隔通信加入者1の資格の検査はこの場合この遠隔通信加入者1の遠隔通信加入者アイデンティティモジュール2に格納された1つ又は複数の証明書の検査によってならびに同様に加入者アイデンティティモジュール2に格納された非対称(PKIベースの)鍵ペアのプライベート鍵を使用して行われる。この検査は、例えば遠隔通信加入者端末1の遠隔通信ネットワーク3へのログインの試みの際にNMT、アクセス装置AP4及び遠隔通信加入者端末1の間の認証検査方法の枠内で1つの証明書/複数の証明書の検査及び割り当てられたステータスデータの問い合わせによって認証装置7において実施される。NMTはCA7におけるOCSP又はCRL問い合わせによって証明書の有効性をベリファイする。
遠隔通信加入者アイデンティティモジュール2がアクセス装置4に対して認証されたい場合には、この遠隔通信加入者アイデンティティモジュール2はPINの入力の後で又は遠隔通信加入者に固有のその他の入力(フィンガープリントなど)の後で、アクセス装置4に、例えばチャレンジナンバーの伝送によるアクセス装置4のチャレンジに対して、遠隔通信加入者アイデンティティモジュールの又は端末の及び/又はユーザのアイデンティティに関するアイデンティティデータ、アイデンティティデータ及び/又は割り当てられた資格データ及び非対称鍵ペアの公開鍵から認証装置7によってのみ知られている証明書生成方法で生成可能な1つ又は複数の証明書、ならびに、第3者による横取りされた問い合わせの悪用的反復に対する遠隔通信加入者アイデンティティモジュールの中のプライベート鍵により署名された保護(リプレイプロテクション、nonce)を送信する。アクセスポイント(AP4)は、正確な送信(例えばチャレンジが十分に最近である、nonceが正確である及び加入者アイデンティティモジュールに格納されたプライベート鍵により署名されている)の検査の後で1つの/複数の証明書をネットワーク3の部分又はネットワーク3全体を担当するネットワークマネジメント装置5(NMT=ネットワークマネジメントツール)へとステップ11において伝達する。
ネットワークマネジメント装置5は1つの/複数の証明書をステップ12において認証装置7(CA=Certification Authority)に送信し、この認証装置7は例えばOCSPレスポンダ−によって及び撤回された証明書のリスト(certificate revocation list, CRL)を使用してこの/これらの証明書の有効性及び提供されたアイデンティティデータの正確さ及び場合によっては資格を検査し、この/これらの証明書のステータス(例えば有効/無効など)ならびに場合によっては遠隔通信加入者の資格に関する情報を与える。認証装置がその既知の方法によって証明書からアイデンティティデータを生成することができる場合には、この証明書はアイデンティティデータの正しさを証明する。
この/これらの証明書から認証装置7によって公開鍵及び遠隔通信加入者1、2及び/又は移動無線機器のアイデンティティ/資格が獲得され、さらにステータス情報(証明書は期間切れになっていない、撤回されてない、資格など)がもとめられる場合、証明書のステータスは認証装置7からネットワーク3のネットワークマネジメント装置5に通知される(13)。ネットワークマネジメント装置5は通知されたステータスデータ及び資格に基づいてMN1の資格の範囲に亘って遠隔通信ネットワーク3のサービス及びリソースを利用することを決定し、これをステップ14においてアクセス管理エンティティPDP6に通知する。次いで、この決定に相応して、PDP6は相応のポリシーを遠隔通信加入者1のためのAP4に伝送することによって遠隔通信ネットワーク3の利用をリリースするか、又は、この遠隔通信ネットワーク3の利用はNMT5の完全にネガティブな決定においてはさらに阻止されつづけるかである。
ネットワークマネジメント装置5は中央でネットワーク3に関して第3者9の問い合わせに対して、移動無線機器1が瞬時に認証装置7から資格があると見なされるのか及びどのサービスなどに対して移動無線機器1が瞬時に認証装置7から資格があると見なされるのかを通知することができる。さらに、ポジティブな証明書ステータス(証明書は有効など)において、ネットワーク3において使用される暗号化方法によってNMT5により生成された秘密(例えばセッションキー)がアクセス装置4に送信され、そこで復号化される。さらに、同じ秘密がネットワークマネジメント装置5によって遠隔通信アイデンティティモジュール2の公開鍵によって暗号化される。この公開鍵をネットワークマネジメント装置は端末1のログインの開始時にアクセス装置4を介してステップ10において受け取ることができる。さらに、NMT5はそれ自身の証明書をAP4を介してMN1に伝送することができる。次いで、アクセス装置4によってこの装置4に既知の(遠隔通信ネットワークに設けられた)鍵によってこの秘密が復号化され、次いでステップ16においてまだ遠隔通信加入者アイデンティティモジュール2の公開鍵により暗号化されている秘密が遠隔通信加入者アイデンティティモジュール2に伝送される。この遠隔通信加入者アイデンティティモジュール2には、上記の公開鍵に所属するプライベート鍵が格納されており、この秘密を復号化するために利用される。次いで、この秘密は例えば端末1とアクセス装置4との間の機密通信のために使用される。
アクセス装置4はこの加入者を遠隔通信ネットワーク3及び/又はサービス9へのアクセスを有する遠隔通信加入者のリストに登録し、この遠隔通信ネットワーク及び/又はサービス9へのアクセスをリストに登録された加入者だけに許可する。
さらに、遠隔通信加入者アイデンティティモジュール2を有する遠隔通信端末1は第3者9において例えば1つの/複数の証明書が許可することに応じて更に別のサービス及びリソースを使用し、商品を注文し、電子支払いなどをすることができ、この第3者9は遠隔通信ネットワーク3の装置NMT5で資格の程度を確認されるか又はCA7(上掲)に照会する。
本発明の資格検査を概略的に示す。
符号の説明
1 遠隔通信端末NM
2 遠隔通信加入者アイデンティティモジュールIM
3 遠隔通信ネットワーク
4 アクセス装置(アクセスポイント)AP
5 ネットワークマネジメント装置NMT
6 アクセス管理エンティティPDP
7 認証装置CA
8 別の遠隔通信ネットワーク
9 第3者、サービス

Claims (13)

  1. サービス(9)の使用及び/又は遠隔通信ネットワークの利用のための遠隔通信端末(1)の加入者の資格の検査のための方法において、
    遠隔通信ネットワーク(3)のアクセス装置(4)は遠隔通信端末(1)から少なくとも1つの証明書及び1つのアイデンティティデータを受け取り(10)、
    その後で、ネットワークマネジメント装置(NMT5)又は認証装置(7)は前記証明書が前記アイデンティティデータの正しさを証明しポジティブステータスを有するかどうか検査し、
    イエスの場合には、前記アクセス装置(4)には、少なくとも1つの公開鍵によって暗号化されて前記遠隔通信端末(1、2)にも送信される秘密が送信され、前記アクセス装置(4)及び前記遠隔通信端末(1,2)に送信されるこの秘密は前記ネットワークマネジメント装置(NMT5)によりその都度生成されるセッションキーであり、
    前記秘密は前記遠隔通信端末(1,2)と前記アクセス装置(4)との間の機密通信のためにも使用されることを特徴とする、サービス(9)の使用及び/又は遠隔通信ネットワークの利用のための遠隔通信端末(1)の加入者の資格の検査のための方法。
  2. 前記秘密の送信の後でアクセス装置(4)は加入者を遠隔通信ネットワーク(3)及び/又はサービス(9)へのアクセスを有する遠隔通信加入者のリストに登録し、
    前記アクセス装置(4)は前記遠隔通信ネットワーク(3)及び/又は前記サービス(9)へのアクセスを前記リストに登録された加入者のみに許可することを特徴とする、請求項1記載の方法。
  3. アクセス装置(4)は遠隔通信端末(1)から受け取った証明書、アイデンティティ及びリプレイプロテクションを遠隔通信ネットワーク(3)のネットワークマネジメント装置(5)に送信し、該ネットワークマネジメント装置(5)は認証装置(7)によって検査を実施させられ、検査がポジティブな場合には、秘密を前記アクセス装置(4)に送信し、さらに該アクセス装置(4)を介して遠隔通信端末(1)に送信する(15、16)ことを特徴とする、請求項1又は2記載の方法。
  4. 認証装置(7)の検査の結果はネットワークマネジメント装置(5)からサービス管理装置(6)に通知されることを特徴とする、請求項1〜3のうちの1項記載の方法。
  5. 認証エンティティ(7)はアクセス装置(4)とは異なるネットワークに配置されることを特徴とする、請求項1〜4のうちの1項記載の方法。
  6. 認証装置(7)はアクセス装置(4)と同じ遠隔通信ネットワークに配置されることを特徴とする、請求項1〜4のうちの1項記載の方法。
  7. 鍵ペアのプライベート鍵は遠隔通信端末(1)の遠隔通信加入者アイデンティティモジュール(2)だけに格納されていることを特徴とする、請求項1〜6のうちの1項記載の方法。
  8. 遠隔通信ネットワークはインターネットプロトコルネットワークであることを特徴とする、請求項1〜7のうちの1項記載の方法。
  9. 遠隔通信ネットワークはセルラー移動無線ネットワークであることを特徴とする、請求項1〜8のうちの1項記載の方法。
  10. 遠隔通信加入者アイデンティティモジュールに対して、複数の証明書、とりわけ属性証明書が使用可能であり、該属性証明書のポジティブな検査がそれぞれ遠隔通信端末に少なくとも1つタイプのトランザクション又はその他のサービス又は資格を許可することを特徴とする、請求項1〜9のうちの1項記載の方法。
  11. 検査(7)がポジティブである場合、遠隔通信端末に第3者(9)により遠隔通信ネットワーク(3)を介して提供されるトランザクション又はサービスの利用が許されることを特徴とする、請求項1〜10のうちの1項記載の方法。
  12. 遠隔通信加入者アイデンティティモジュール(2)は公開鍵に適合するプライベート鍵を格納しており、前記公開鍵により暗号化された秘密の復号化のために使用することを特徴とする、請求項1〜11のうちの1項記載の方法。
  13. とりわけ請求項1〜12のうちの1項記載の方法を実施するための遠隔通信ネットワークにおいて、
    該遠隔通信ネットワークは以下のものを有する、すなわち、
    遠隔通信端末(1)から送信(10)された少なくとも1つの証明書及び1つのアイデンティティデータを受信するためのアクセス装置(4)を有し、
    前記証明書が前記アイデンティティデータの正しさを証明しポジティブステータスを有するかどうか検査するためのネットワークマネジメント装置(NMT5)又は認証装置(7)を有し、検査がイエスの場合には、前記ネットワークマネジメント装置(NMT5)が前記アクセス装置(4)及び前記遠隔通信端末(1,2)に送信される秘密をセッションキーとしてその都度生成し、前記秘密は前記遠隔通信端末(1,2)と前記アクセス装置(4)との間の機密通信のためにも使用されることを特徴とする、とりわけ請求項1〜12のうちの1項記載の方法を実施するための遠隔通信ネットワーク。
JP2003550434A 2001-11-29 2001-11-29 ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用 Expired - Fee Related JP4170912B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/DE2001/004461 WO2003049365A1 (de) 2001-11-29 2001-11-29 Nutzung eines public-key-schlüsselpaares im endgerät zur authentisierung und autorisierung des telekommunikations-teilnehmers gegenüber dem netzbetreiber und geschäftspartnern

Publications (2)

Publication Number Publication Date
JP2005512396A JP2005512396A (ja) 2005-04-28
JP4170912B2 true JP4170912B2 (ja) 2008-10-22

Family

ID=5648318

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003550434A Expired - Fee Related JP4170912B2 (ja) 2001-11-29 2001-11-29 ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用

Country Status (11)

Country Link
US (1) US9088565B2 (ja)
EP (1) EP1449324B1 (ja)
JP (1) JP4170912B2 (ja)
KR (1) KR100882033B1 (ja)
CN (1) CN100444545C (ja)
AU (1) AU2002226278B2 (ja)
CA (1) CA2468599C (ja)
DE (2) DE50107864D1 (ja)
ES (1) ES2247199T3 (ja)
IL (2) IL162011A0 (ja)
WO (1) WO2003049365A1 (ja)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1215386C (zh) * 2002-04-26 2005-08-17 St微电子公司 根据量子软计算控制过程或处理数据的方法和硬件体系结构
MXPA04012157A (es) 2002-06-06 2005-04-19 Thomson Licensing Sa Interfuncionamiento con base de intermediario con el uso de certificados jerarquicos.
US7490348B1 (en) 2003-03-17 2009-02-10 Harris Technology, Llc Wireless network having multiple communication allowances
DE10344483A1 (de) * 2003-09-24 2005-05-12 Vodafone Holding Gmbh Verfahren zur Berechtigungsprüfung beim Aufbau und/oder Weitervermittlung einer Telekommunikationsverbindung
JP4690007B2 (ja) * 2004-01-22 2011-06-01 Kddi株式会社 通信システムおよび通信端末
US7600113B2 (en) * 2004-02-20 2009-10-06 Microsoft Corporation Secure network channel
JP4601979B2 (ja) * 2004-03-22 2010-12-22 エヌ・ティ・ティ・コムウェア株式会社 証明書相互認証システム、及び証明書相互認証方法
US8141142B2 (en) * 2005-02-14 2012-03-20 International Business Machines Corporation Secure authentication of service users of a remote service interface to a storage media
WO2007004623A1 (ja) * 2005-07-04 2007-01-11 Matsushita Electric Industrial Co., Ltd. グループネットワーク形成方法及びグループネットワークシステム
CN100349496C (zh) * 2005-07-15 2007-11-14 华为技术有限公司 一种消息认证方法
EP1752937A1 (en) * 2005-07-29 2007-02-14 Research In Motion Limited System and method for encrypted smart card PIN entry
US11418318B2 (en) * 2006-08-18 2022-08-16 Motorola Solutions, Inc. Portable certification authority
CN100433888C (zh) * 2006-09-18 2008-11-12 中国联合通信有限公司 一种利用多个802.16d基站密集覆盖用户群的方法及***
ATE455429T1 (de) * 2006-10-13 2010-01-15 Quipa Holdings Ltd Verfahren zum aufbau eines gesicherten virtuellen privaten netzes zur peer-to-peer-kommunikation
JP5144679B2 (ja) * 2006-12-19 2013-02-13 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信ネットワークにおけるユーザアクセス管理
JP4488018B2 (ja) * 2007-03-28 2010-06-23 株式会社日立製作所 公開鍵証明書検証システム
CN101345623B (zh) * 2007-07-09 2010-11-10 中茂电子(深圳)有限公司 具有认证功能的控制***及方法
KR101383810B1 (ko) * 2011-11-14 2014-04-14 한전케이디엔주식회사 스마트 그리드 기기 보안인증 시스템 및 방법
CN104704769B (zh) 2012-10-15 2018-07-27 皇家飞利浦有限公司 无线通信***
US9350550B2 (en) 2013-09-10 2016-05-24 M2M And Iot Technologies, Llc Power management and security for wireless modules in “machine-to-machine” communications
US9100175B2 (en) 2013-11-19 2015-08-04 M2M And Iot Technologies, Llc Embedded universal integrated circuit card supporting two-factor authentication
US10498530B2 (en) 2013-09-27 2019-12-03 Network-1 Technologies, Inc. Secure PKI communications for “machine-to-machine” modules, including key derivation by modules and authenticating public keys
WO2015066208A1 (en) 2013-11-04 2015-05-07 Illumio, Inc. Pairing in a distributed network management system that uses a logical multi-dimensional label-based policy model
US10700856B2 (en) 2013-11-19 2020-06-30 Network-1 Technologies, Inc. Key derivation for a module using an embedded universal integrated circuit card
US9853977B1 (en) 2015-01-26 2017-12-26 Winklevoss Ip, Llc System, method, and program product for processing secure transactions within a cloud computing system
US11146406B2 (en) 2017-07-26 2021-10-12 Hewlett-Packard Development Company, L.P. Managing entitlement
US10855674B1 (en) * 2018-05-10 2020-12-01 Microstrategy Incorporated Pre-boot network-based authentication
US10686369B1 (en) 2019-07-24 2020-06-16 Dean Hatsuo Motoyama Device and process for detecting and mitigating reverse power-flow

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5204902A (en) * 1991-09-13 1993-04-20 At&T Bell Laboratories Cellular telephony authentication arrangement
US5222140A (en) * 1991-11-08 1993-06-22 Bell Communications Research, Inc. Cryptographic method for key agreement and user authentication
US5371794A (en) * 1993-11-02 1994-12-06 Sun Microsystems, Inc. Method and apparatus for privacy and authentication in wireless networks
JPH08223152A (ja) 1995-02-14 1996-08-30 Nec Corp 暗号化方法および暗号情報変換装置
JP2877199B2 (ja) * 1996-06-21 1999-03-31 日本電気株式会社 ローミング方式
JPH10112883A (ja) * 1996-10-07 1998-04-28 Hitachi Ltd 無線通信交換システム、交換機、公開鍵管理装置、移動端末および移動端末認証方法
US6934838B1 (en) * 1998-06-01 2005-08-23 Entrust Technologies Ltd. Method and apparatus for a service provider to provide secure services to a user
JP3640237B2 (ja) 1998-06-11 2005-04-20 株式会社エヌ・ティ・ティ・ドコモ 移動通信網における情報配信方法
US6628652B1 (en) * 1998-09-18 2003-09-30 Lucent Technologies Inc. Flexible telecommunications switching network
US6463534B1 (en) * 1999-03-26 2002-10-08 Motorola, Inc. Secure wireless electronic-commerce system with wireless network domain
FI991105A (fi) * 1999-05-14 2000-11-15 Nokia Networks Oy Menetelmä ja digitaalinen matkaviestinjärjestelmä
SG118221A1 (en) 1999-05-21 2006-01-27 Ibm Method and apparatus for initializing secure communications among and for exclusively pairing wireless devices
JP3412687B2 (ja) 1999-06-15 2003-06-03 日本電気株式会社 Lan間接続方法、アクセスポイント装置及びlanシステム
JP3924465B2 (ja) * 1999-06-15 2007-06-06 シーメンス アクチエンゲゼルシヤフト 通信ネットワークにおける第1通信関与体の正当性をチェックする方法および装置
CA2414768C (en) * 1999-06-30 2009-10-13 Paul Lapstun Method and system for user registration on terminal
ATE297645T1 (de) 1999-10-22 2005-06-15 Ericsson Telefon Ab L M Mobiltelefon mit eingebauter sicherheitsfirmware
US7028186B1 (en) * 2000-02-11 2006-04-11 Nokia, Inc. Key management methods for wireless LANs
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
FI20001837A (fi) * 2000-08-18 2002-02-19 Nokia Corp Autentikointi
US7017041B2 (en) * 2000-12-19 2006-03-21 Tricipher, Inc. Secure communications network with user control of authenticated personal information provided to network entities
KR20010079161A (ko) * 2001-06-19 2001-08-22 김영진 무선통신환경에서 인증서를 사용한 장치 인증 및 통신암호 키 분배 방법

Also Published As

Publication number Publication date
AU2002226278B2 (en) 2007-01-04
CN1559117A (zh) 2004-12-29
JP2005512396A (ja) 2005-04-28
KR20040058354A (ko) 2004-07-03
US9088565B2 (en) 2015-07-21
CA2468599A1 (en) 2003-06-12
US20050120202A1 (en) 2005-06-02
ES2247199T3 (es) 2006-03-01
DE10197165D2 (de) 2004-10-28
CN100444545C (zh) 2008-12-17
AU2002226278A1 (en) 2003-06-17
DE50107864D1 (de) 2005-12-01
EP1449324A1 (de) 2004-08-25
IL162011A (en) 2009-08-03
CA2468599C (en) 2011-08-30
KR100882033B1 (ko) 2009-02-09
EP1449324B1 (de) 2005-10-26
WO2003049365A1 (de) 2003-06-12
IL162011A0 (en) 2005-11-20

Similar Documents

Publication Publication Date Title
JP4170912B2 (ja) ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用
US8582762B2 (en) Method for producing key material for use in communication with network
KR101485230B1 (ko) 안전한 멀티 uim 인증 및 키 교환
US7707412B2 (en) Linked authentication protocols
DK1348280T3 (en) Approval data communications
CN101156352B (zh) 基于移动网络端到端通信的认证方法、***及认证中心
RU2404520C2 (ru) Способ предоставления подписывающего ключа для цифрового подписания, верифицирования или шифрования данных, а также мобильный терминал
US20090063851A1 (en) Establishing communications
US20060059344A1 (en) Service authentication
EP2879421B1 (en) Terminal identity verification and service authentication method, system, and terminal
WO2005096644A1 (fr) Procede d'etablissement d'une association de securite entre l'abonne itinerant et le serveur du reseau visite
KR20080089500A (ko) 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터
US20050144144A1 (en) System and method for authenticating a terminal based upon at least one characteristic of the terminal located at a position within an organization
JP2007525125A (ja) 移動端末による公開鍵の送信
US20050149724A1 (en) System and method for authenticating a terminal based upon a position of the terminal within an organization
Khoury et al. Generic hybrid methods for secure connections based on the integration of GBA and TLS/CA
RU2282311C2 (ru) Использование пары открытых ключей в оконечном устройстве для аутентификации и авторизации пользователя телекоммуникационной сети по отношению к сетевому провайдеру и деловым партнерам
He et al. An asymmetric authentication protocol for M-Commerce applications
Schنfer et al. Current Approaches to Authentication in Wireless and Mobile Communications Networks
RU2779029C1 (ru) Доступ не отвечающего спецификациям 3gpp устройства к базовой сети
WO2003071736A1 (en) Method and apparatus for reducing the use of signalling plane in certificate provisioning procedures
Almuhaideb et al. Toward a Ubiquitous Mobile Access Model: A roaming agreement-less approach
Pagliusi Internet Authentication for Remote Access
Almuhaideb et al. Authentication in ubiquitous networking
Almuhaideb Secure mobile authentication in ubiquitous networking environments

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070711

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20071011

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20071018

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080709

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080807

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110815

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110815

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120815

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120815

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130815

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees