JP4331848B2 - 通信ネットワーク用セキュリティ方法及び安全なデータ転送方法 - Google Patents

通信ネットワーク用セキュリティ方法及び安全なデータ転送方法 Download PDF

Info

Publication number
JP4331848B2
JP4331848B2 JP2000014375A JP2000014375A JP4331848B2 JP 4331848 B2 JP4331848 B2 JP 4331848B2 JP 2000014375 A JP2000014375 A JP 2000014375A JP 2000014375 A JP2000014375 A JP 2000014375A JP 4331848 B2 JP4331848 B2 JP 4331848B2
Authority
JP
Japan
Prior art keywords
subscriber
service provider
data
numerical value
communication network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2000014375A
Other languages
English (en)
Other versions
JP2000232690A (ja
Inventor
ジャン‐フィリップ・ワリー
Original Assignee
ソシエテ・フランセーズ・デュ・ラディオテレフォン
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ソシエテ・フランセーズ・デュ・ラディオテレフォン filed Critical ソシエテ・フランセーズ・デュ・ラディオテレフォン
Publication of JP2000232690A publication Critical patent/JP2000232690A/ja
Application granted granted Critical
Publication of JP4331848B2 publication Critical patent/JP4331848B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Meter Arrangements (AREA)
  • Telephonic Communication Services (AREA)
  • Exchange Systems With Centralized Control (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、一つ又は複数の遠隔通信ネットワークを経由するデータ転送のセキュリティ技術に関する。
【0002】
この場合、セキュリティとは、通信したいと思っている関係者を認証する能力、そしてその後必要ならばそれらの関係者の間に安全な通信チャネルをセットアップする能力を意味している。
【0003】
本発明は、特に、遠隔通信ネットワークの加入者が移動形機器を使って、例えばGSM(移動体通信のグローバル・システム(Global System for Mobile communications))遠隔通信標準、又は、DCS1800(デジタル・セルラーシステム1800MHz(Digital Cellular System 1800MHz))、PC1900(パーソナル通信システム(Personal Communication System))、DECT(デジタル・欧州コードレス遠隔通信(Digital European Cordless Telecommunications))、もしくはUMTS(ユニバーサル移動電話通信システム(Universal Mobile Telecommunication System))のような同等もしくは競合する標準を使用して接続されるアプリケーションに適しているが、それらには限定されない。
【0004】
【従来の技術】
移動体機器を使うこれらの通信ネットワークは、全ての加入管理及び通信ルーチング機能と、(これらの通信ネットワークの)加入者のために通信ネットワークを介してアクセス可能なサービス・プロバイダ(「サービス・サーバあるいはコンテント・サーバ」)へのアクセス条件の交渉を実行する「移動通信ネットワーク・オペレータ」(以下において、「オペレータ」と記載する)によって管理される。
【0005】
本発明による方法は、好ましくは、遠隔通信ネットワークの加入者が移動端末を使って、その加入者のネットワークと相互接続された別の遠隔通信ネットワーク上でアクセス可能な通信者(一般にサービス・プロバイダ)と安全な方法で接続したいと考えている場合に適用可能である。
【0006】
しかし、本発明による(ネットワーク用)セキュリティ方法は、遠隔通信を介してアクセス可能なサービスへの加入権を取得した加入者が、遠く離れた第三者とネットワークを介して、単一ネットワーク又は相互接続された複数のネットワークを含むデータ通信で一つのネットワークから他のネットワークへの転送にプロトコル変更が伴うときに、秘密要素を転送することのない安全な方法で通信したいと考える他のどんな状況においても有利に適用できる。
【0007】
本発明は、元来、まず加入者が付属する閉じた(GSMタイプの)ネットワークと、開放した(インターネットタイプの)ネットワークとの間でセットアップされる通信に適用可能であるが、各伝送ネットワークの(開放した、又は閉じた)性質は本発明の一般原理に限った特性ではない。
【0008】
多くのコンテント・サービスは、それ自身の通信プロトコルを持つ開放した通信ネットワーク(一般にインターネット)を介してアクセス可能である。そのためにGSM移動端末がこのタイプのサービスにアクセスしようとするとき、GSMネットワークとインターネット型サービス・プロバイダへのアクセスネットワークとの接点でプロトコル変更が存在する。遠距離通信オペレータの役割はこれらの変更と仲立ちを実行し、管理することである。
【0009】
【発明が解決しようとする課題】
現時点では、これらの2つのネットワークのそれぞれに特有な認証及び機密保持の方法がある。従って、既知の解決法としては、各データストリームが送信されるときに、最初に一つのネットワーク上で、次いで他方のネットワーク上で利用可能な手続きを端から端へと実行することである。その結果として接点において機密性の損失が通常生じる。特に、上流部と下流部のそれぞれで安全なプロトコルを使用するには、オペレータは、それぞれの認証及び機密保持のプロセスで要求される、秘密要素、キー及び/暗号化アルゴリズム、を所有する必要がある。この責務によって、機密性保持の義務がオペレータに負わされることになり、このことはサービス・プロバイダや、加入者、そしてオペレータ自身にとっても望ましいことではないであろう。
【0010】
もう1つの既知の解決法としては、秘密を管理するために(通常「信頼の置ける第三者」と呼ばれる)第三者を使うことがあるが、しかしこの解決法も複雑で、従ってコストや管理の複雑さが正当化されない一部の状況では不適切である。
【0011】
そこで本発明の一つの課題は、従来技術のこれらさまざまな不都合を克服することにある。
【0012】
より正確には、本発明の第1の課題は通信に使用される連続するネットワークとは独立に実行されてよい認証手続きを提供することにある。このタイプの認証手続きはサービス・プロバイダに加入者を認証させ、かつ好ましくは加入者にもサービス・プロバイダを識別させることが少なくともできなければならない。
【0013】
本発明のもう一つの課題は、加入者とサービス・プロバイダが安全な方法で、なにもすることなく、そしてできればその加入者が付属するネットワークのオペレータに知られないように、通信できるように、暗号化チャネルを介してデータを転送する方法を提供することにある。
【0014】
本発明のもう一つの課題は、オペレータがセキュリティ・システムを確定し、かつ、そのオペレータが暗号化チャネルのコンテンツ又は運営上の要素(operating element)を知る必要なしに、そのオペレータが制御するリンク上での認証の質を保証することができるようにする方法を提供することにある。
【0015】
本発明のさらにもう一つの課題は、加入者とサービス・プロバイダが、ネットワーク上で彼らが交換するメッセージに対する暗号化キーの知識を共有することができるようにする方法を提供することにある。ただし、暗号化キーはどんなときもネットワーク上で送信されることなく、各キーは通信セッションのそれぞれで異なっていると有利である。
【0016】
本発明のさらなる一つの課題は、GSMネットワークに固有なセキュリティ資源を最適に使用する方法、すなわち基本的には、ネットワーク加入者の端末、一般的には加入者の無線電話端末と協働する加入者識別モジュール(SIMカード)、に存在する秘密要素とアルゴリズムを最適に使用する方法、を提供することにある。
【0017】
本発明のさらなるもう一つの課題は、加入者にパスワードと、暗号化/解読キーを計算する手段を提供することにある。それらはサービス・プロバイダによって独占的に付与され、管理されるので、従って、オペレータ又は第三者に知らされる必要はない。
【0018】
本発明のさらにもう一つの課題は、通信セキュリティの観点から、さまざまなサービス・プロバイダとの間に、そして加入者によって開始されるどんな取引の間にも、本当の「仕切(compartmentalization)」を提供することにある。
【0019】
【課題を解決するための手段】
以上の課題及び以下明らかになる他の課題は、本発明によるセキュリティ方法によって解決される。このセキュリティ方法は、まず遠隔通信ネットワークの加入者、次に該加入者が付属する前記遠隔通信ネットワークのオペレータを介してアクセス可能なサービス・プロバイダとの間の通信のセキュリティを保証するための方法であって、
第一に前記オペレータを介して前記加入者が前記サービス・プロバイダへ初期登録を行うプロセスと、第二に前記加入者と前記サービス・プロバイダとの間の各通信セッションが開始されるプロセスとを含むことを特徴とする。
【0020】
ここで加入者とは明らかにユーザだけではなく、特にそのユーザのネットワーク装置も意味する。同様に、サービス・プロバイダとは、ネットワークに接続されたコンピュータ・サーバを主に意味する。しかしながら、以下に示されるが、一部の情報転送が(例えばメール又はファクスなどによって)ネットワーク外で生じ、従ってそうした情報転送の実行に、他の構成要素、特に人、が含まれる。
【0021】
本発明によれば、前記初期登録を行うプロセスは、
第一に、前記遠隔通信オペレータから前記サービス・プロバイダに、
前記加入者の付属ネットワークにおける該加入者の識別子(DeviceID)と、
前記オペレータのネットワークにおける前記サービス・プロバイダの識別子(IDx)と、前記加入者の付属ネットワークにおける該加入者の前記識別子(DeviceID)と、前記加入者を特徴付ける秘密要素(Sec.Op.)とから計算される第1の数値を含む前記加入者の認証符号(R1)とが与えられるステップと、
第二に、前記サービス・プロバイダから前記加入者に、前記サービス・プロバイダによる前記加入者の識別/認証(login,mdp)に関するデータが与えられるステップとを含む。
【0022】
さらに本発明によれば、前記各セッションが実行されるプロセスには、前記サービス・プロバイダが加入者の認証を、
第2の数値(R2)が、前記サービス・プロバイダでの加入者識別子(mdp)と前記加入者において生成された多様化データ(Dtae)とから計算されるステップと、
前記第1の数値(R1)と、前記第2の数値(R2)と、前記サービス・プロバイダが前記加入者を識別する第3のデータ(Login)とから第3の数値(R3)が計算されるステップと、
前記第3の数値(R3)と、入力データ、すなわち前記サービス・プロバイダが前記加入者を識別するデータ(Login)と、前記加入者において生成された前記多様化データ(Date)とから構成された第1のデータフレームが前記サービス・プロバイダに送信されるステップと、
確認として前記サービス・プロバイダが、前記第1のデータフレーム内の前記入力データ(Login,date)と、既に前記サービス・プロバイダに提供された前記加入者に付随したデータ(R1,mdp)とから、前記第3の数値(R3)を再計算することによって、前記加入者を認証するステップとを通して、実行することが含まれる。
【0023】
また、本発明によるセキュリティ方法には、一つの有利な特徴として、
第4の数値が、前記加入者認証符号(R1)と、前記サービス・プロバイダにおいて生成されたランダム変数(Random)と、多様化データ(Date)とから計算されるステップと、
前記第4の数値(R4)と前記ランダム変数(Random)を含む第2のデータフレームが前記サービス・プロバイダから前記加入者へ送信されるステップと、
前記加入者が確認として、前記第2のデータフレーム中の前記ランダム変数(Random)と前記加入者へ提供されるデータ(R1,Date)から前記第4の数値(R4)を再計算することによって、前記サービス・プロバイダを認証するステップとを実行することによって、前記加入者が前記サービス・プロバイダを認証することも含まれる。
【0024】
こうして、以上の特徴全てを考慮した場合、本発明によるセキュリティ方法では、サプライヤとサービス・プロバイダとの相互の認証が可能である。
【0025】
好ましくは互いに認証が確認されているとき、前記加入者及び前記サービス・プロバイダに共通するセッション・キー(Kses)が生成される段階(phase)と、暗号化データが該セッション・キー(Kses)を使って送信される段階(phase)もが含まれることが有利である。
【0026】
この場合、前記セッション・キーが生成される段階には好ましくは、
前記サービス・プロバイダが、前記第2の数値(R2)とランダム変数(Random2)を含む計算データから、セッション・キー(Kses)を計算するステップと、
前記単一のランダム変数(Random2)が前記加入者に送信されるステップと、
前記加入者が、前記計算データ、すなわち前記送信されたランダム変数(Random2)と前記加入者に与えられた前記第2の数値(R2)とから、前記セッション・キー(Kses)を計算するステップとが含まれる。
【0027】
上記本発明による方法には、その特徴として、
前記サービス・プロバイダが前記加入者を認証するステップと、
前記加入者が前記サービス・プロバイダを認証するステップと、
セッション・キーが暗号化チャネルをセットアップするために計算されるステップと、といった連続するステップあるいは個々のステップが含まれる。
【0028】
提案された方法の全てあるいは一部は結果的に選択的に実行可能である。
【0029】
しかしながら、別の変形では、加入者がサービス・プロバイダを認証するステップは、セッション・キーが暗号化チャネルをセットアップするために計算されるステップと組み合わせることができる。この変形によれば、前記セッション・キー(Kses)のための前記計算データは、前記サービス・プロバイダと前記加入者の双方に提供されており、前記サービス・プロバイダから前記加入者へ送信される必要の無い前記加入者の認証符号(R1)も含む。この時点において、もし前記計算されたセッション・キー(Kses)が正しく得られたならば、前記加入者によって計算された前記セッション・キー(Kses)を使って解読される、前記サービス・プロバイダから受信した前記暗号化データが理解可能であるという事実によって、前記サービス・プロバイダが前記加入者によって効率的に認証される。
【0030】
それ故に、前記第4の数値R4に関する計算と情報転送を使用する必要はもはやない。
【0031】
セッション・キーの計算はそれ自体、個々のステップを備えた場合、又はキーの逆認証(return authentication)と計算を組み合わせた場合のいずれかにおいて、セッション・キーの計算に使用される前記データが多様化データも含むようにしてよい。この多様化データはサービス・プロバイダと加入者の双方に提供され、従ってサービス・プロバイダから加入者に再送信される必要はないことがわかる。
【0032】
従って、本発明によれば、これらの変形とは無関係に、認証の仕組みに2つのセキュリティ層が組み合わされる。すなわちネットワークレベルにおける識別/認証(DeviceID,R1)がアプリケーションレベルにおける識別(login,mdp)と組み合わされる。それ故に、遠隔通信ネットワークで利用可能な本来備わっているセキュリティが、関係者の認証の間及び/又は暗号化通信をセットアップするときに、アプリケーションで使用される。
【0033】
相互の認証は、加入者がサービス・プロバイダに登録される時にオペレータが値R1を配信することに基づいており、サービス・プロバイダは、それが保持するこの値がその認証データベースに保護されていることを保証する責任がある。原則として、加入者は(セキュリティの理由のために)この値R1を保持しないが、しかし、新たなセッションが開始されるときにいつでもそれを自動的に再計算できる立場にある。2つの交換が、関係者が相互に互いを認証して、安全なチャネルをセットアップするために必要とされる。
【0034】
暗号化チャネルをセットアップすることのみ、付属するオペレータの責任下で生成される一つの項目の秘密情報を必要とする。この秘密情報は加入者によって保持され、あるいはネットワークに接続された加入者の装置内に制限されるものである。
【0035】
本発明の一つの有利な特徴として、前記サービス・プロバイダは、登録加入者ごとに、
加入者のその付属ネットワークにおける識別子(DeviceId)と、
前記サービス・プロバイダでの加入者識別/認証(Login,mdp)データと、
初期登録時に前記オペレータから受信した前記数値R1と、
できれば、最新の通信セッションに特有な前記多様化データ(Date)と前記第3の数値R3と前記ランダム変数(RandomとRandom2)と前記セッション・キー(Kses)の一部又は全てとを含む項目のデータを蓄積するデータベースを構築している。
【0036】
本発明のもう一つの有利な特徴として、前記第1の数値(R1)、前記第2の数値(R2)、前記第3の数値(R3)、そして前記第4の数値(R4)と、前記セッション・キー(Kses)の少なくとも一部が、暗号アルゴリズムf1、f2、f3、f4とfkを使って計算される。
【0037】
好ましくは、前記暗号アルゴリズムは、
MAC方式におけるDESのような、キーを使用する単一方向的チョッピング関数のアルゴルズムと、
md5(登録商標)、RIPEM、SHAのような、キーを使用する単一方向的チョッピング関数のアルゴルズムと、
ビット・ミキシングを使用するアルゴリズムと、
を含むグループから選択される。
【0038】
前記第1の数値(R1)はA3/A8型アルゴリズムf1を使って計算されることが有利である。
本発明のもう一つの好ましい特徴として、前記加入者を特徴付ける前記秘密要素(Sec.Op.)は、前記加入者の携帯電話のSIMカードに含まれるキーKiと、前記加入者の端末において利用可能な任意のキーKkmを含むグループに属する。
【0039】
同様に、加入者がGSMネットワークに付属するとき、該加入者のその付属ネットワーク内における識別子(DeviceID)はIMSI(International Mobile Subscriber Identity)とMSISDN(Mobile Station ISDN number)とを含むグループに属する。
【0040】
好ましくは、前記サービス・プロバイダによる前記加入者の識別/認証(Login,mdp)データは、
前記サービス・プロバイダのネットワークにおける加入者識別子(Login)と、
前記サービス・プロバイダによって前記加入者に供給される秘密要素(mdp)とを含む。
【0041】
有利には、前記第2の数値(R2)を計算するために使用される前記多様化データ(Date)は、セッションの日付/時刻、前記加入者によって要求される新たなセッション毎に増加する数と、そして前記加入者において生成される乱数とを含むグループに属する。
【0042】
有利には、サービス・プロバイダは加入者の多様化データ(Date)の質を、その多様化データが実際に時間とともに変化することをチェックすることによって、保証することができる。例えば、最後に接続を試みた値(Date)を保持して、この値が実際に最新の値(Date)と異なっているかどうかをチェックすることによって、この確認を行うことができる。
【0043】
本発明により提案されたセキュリティの仕組みを劣化させた変形では、上記方法において、前記第1の数値(R1)が計算されず、そのため該数値が前記ステップの少なくとも一部において知られることがなく、さらにそのとき前記加入者の認証段階が削除されている。この単純化の結果、相互認証が損なわれ、「中間にいる人間(man in the middle)」型攻撃(通信への侵入と呼ばれる)に傷つきやすくなる。しかし、他の識別と認証機能は残っている。
【0044】
第2の数値R2の使用も、サービス・プロバイダによって加入者に供給される秘密要素(mdp)の値に簡略することによって単純化できる。この場合、この値は(換言すれば発生で変化するという意味で可変的で)もう「動的」ではないが、固定されている。明らかに、暗号機能f2はそのとき使用されない。
【0045】
【発明の実施の形態】
以下、図面を参照して本発明の好ましい実施態様を詳細に説明する。
【0046】
図1の構成は、まずオペレータ12によって管理され、加入者13を含む、通信ネットワーク11を備える。より正確にこの構成を説明すると、ネットワーク11は、GSMネットワークのような閉じた加入契約型ネットワークであると考えてよい。加入者13には、移動電話、一般に「SIM」カードが組み込まれた携帯電話機が提供され、基地局(BTS)を介してネットワーク11と通信を行う。例えば、同じオペレータ12が第2の加入者14が接続されたインターネットの管理も行うことがある。加入者14は、モデム19を介して接続されたコンピュータ18を使って通信を行う。
【0047】
加入者に要求されると、オペレータ12はそれ自身多くのユーザを持ちオンライン・サービス・プロバイダ17を含む第2のネットワーク16に相互接続15する。
【0048】
例えば、ネットワーク16はIP通信プロトコルを使用する開放したインターネット型ネットワークでよい。オンライン・サービス・プロバイダ17は、サービスへの加入を済ませてからアクセス可能な、コンテンツ・サービスである。例えば、それは、そこから銀行の顧客が彼らの口座を見ることでき、及び/又は遠く離れた取引を行うことができる、銀行サイトであってよい。これらの運営は、機密であり、そのため、まず互いに関心のある関係者(まず加入顧客、次に銀行)が互いに身元を認証して、いかなる詐欺も防止し、次いで交換情報を暗号化して機密性が損なわれることを防ぐことが、必要とされる。
【0049】
加入消費者からオンライン・サービス・プロバイダへのそれぞれの接続において、本発明による安全なチャネルデータ転送方法に従ってセットアップされ、実行される、通信セッションが開始される。
【0050】
本発明によれば、安全なチャネルをセットアップするには、加入者がまずサービス・プロバイダに登録され、そしてオペレータがそのサービス・プロバイダに、通信セッションがその後セットアップされたときに使用される加入者/サービス・プロバイダの識別及び認証に関するデータを送信してしまうことが必要とされる。他方、安全なチャネルはセットアップされ、それは、加入者のネットワークオペレータが、秘密要素が加入者とサービス・プロバイダのみに知られるように解読されず置かれそのオペレータが解読不能な通信それ自体の転送以外は明らかに何もすることなく、使用される。オペレータは単にセキュリティの仕組みを確定する、言い換えれば、本発明の実施を可能にする。オペレータは認証と機密性サービスのための仕組みの質を保証する。他方、サービス・プロバイダは明らかに彼自身のレベルにおいてセキュリティ・システムを継続する責任があり続ける。
【0051】
図2は、
前記加入者が前記オペレータを介して前記サービス・プロバイダへの初期加入を行う第1のプロセス20と、
前記加入者と前記サービス・プロバイダとの間の各通信が開始される第2のプロセス30と、
から成る、本発明による方法を実行するために必要な、連続する2つのプロセスを示している。
【0052】
以下の基本的なデータ交換が、最初の登録プロセス(又は加入)20の間に起きる。
【0053】
第一に、遠距離通信オペレータは加入者に、その加入者が登録したいと考えるサービス・プロバイダの識別子(IDx)を送信する(21)。本発明によるセキュリティの仕組みでは、その識別子IDxは、オペレータのネットワークを介してアクセス可能なサービス・プロバイダのそれぞれに対して唯一のものである。例えば、サービス・プロバイダがインターネット型ネットワーク上でアクセス可能であるとき、IDx識別子はURL(Uniform Resource Locator)でよい。
【0054】
オペレータは、考慮するサービス・プロバイダに2つのデータ項目からなる集合の経路も決める。2つのデータ項目とは、すなわち、
加入者の付属ネットワークにおけるその加入者の識別子(DeviceID)と、
以下図3を参照して詳細に説明される条件下で有利に計算される前記加入者の認証符号(R1)と、
である。
【0055】
認証符号R1は、オペレータのネットワークにおけるユニークなデータの一集合から計算され、それ故に、議論される特定の加入者と特定のサービス・プロバイダの間の組み合わせに特有であって、この点で、サービス・プロバイダによって保護されるべきである。そのためにこの値R1は、所定の加入者に対してサービス・プロバイダによって異なる。認証符号R1はサービス・プロバイダの認証ベースにいつも記憶される。
【0056】
これに対し、サービス・プロバイダは、そのサービス・プロバイダへの加入者を識別する2つの加入項目のデータを提供する(23)。それらは、
そのサービス・プロバイダのネットワークにおける加入者識別子(Login)と、
例えばパスワードといった形の秘密要素(mdp)と、
である。
【0057】
この段階で交換される全てあるいは一部は、有利には、(例えばファクス、メール又は他のいずれかの手段によって)それぞれの関係者に特有な手続きを使って、オフラインで実行されてよい。けれども、一部の場合には、オンラインで上記データを送信することがより簡単である。
【0058】
加入者とサービス・プロバイダとの間の各通信セッションが開始される第2のプロセス30には、いくつかの連続する別個の段階が存在する。
第一に、加入者は彼自身を、数値(R3)と2つの入力データの集合、すなわちサービス・プロバイダが加入者を識別するデータ(Login)と加入者のために生成された多様化データ(Date)、を含むデータフレームをサービス・プロバイダへ送信する(31)ことによって、そのサービス・プロバイダに認証させる。
【0059】
このフレームは、加入者が、サービス・プロバイダがその加入者を識別して認証する一組の値(Login/mdp)を、例えばその加入者の遠隔通信端末上のキーパッドを使用して、入力した直後に送られる。Login値はサービス・プロバイダに送られた上記フレームに直に含まれる。一方、mdp値は送信されないが、それは数値R3を計算するときに使用される。
【0060】
数値R3を計算するための方法は、以下において図3を参照して詳細に説明される。
多様化データは、可変性を保証するどんなデータでもよく、それは以前の繰り返し(iteration)の間に加入者によって供給されたデータの繰り返し使用を防止する。その目的は明らかに、第三者が加入者になりすます「繰り返し攻撃」侵入試行を防止することにある。前記多様化データは有利にはセッションの日付及び/又は時刻で構成されるが、しかし、新たなセッションのそれぞれの間に増加されるいかなる数、あるいは、加入者によって生成されるランダムもしくは擬似ランダム(pseudo-random)な数でもよい。
【0061】
サービス・プロバイダはステップ31で送信されたフレームを受信する(31)と、そのプロバイダは確認のため、前記データフレームの前記入力データ(login,date)と、そのプロバイダに既に知られておりその加入者に付随する認証データ(R1,mdp)とから計算される前記数値R3を再計算することによって加入者を認証する(32)。もしサービス・プロバイダがこの確認再計算の間に加入者から受信した数値R3に等しい値を得るなら、その加入者は確認され、認証される。
【0062】
次のステップ33では、サービス・プロバイダが、一つのランダム変数(Random)を含む多数のデータ(以下参照)からセッション・キー(Kses)を生成する。この瞬間、サービス・プロバイダは、単一のランダム変数を加入者に送信する(34)ことだけに制限し、加入者は最後にこの値を同じセッション・キー(Kses)を再計算する(35)ために使用する。もしこの計算が正しいなら、そのサービス・プロバイダから受信され、その加入者によって再計算された前記セッション・キーを使用して解読される暗号化データが理解可能であるということから、その加入者はそのサービス・プロバイダを認証することができる。
【0063】
その後、加入者とサービス・プロバイダはセットアップされた暗号チャネル上で安全な方法で通信できる(40)。
【0064】
図に示されたこの実施態様は、逆認証(言い換えれば、加入者によるサービス・プロバイダの認証)とセッション・キーの計算が組み合わされたある一つの場合にすぎない。当業者は容易にここに説明された実施態様から他の変形を考えることができるであろう。
【0065】
図3は、ある加入者を登録して、その後、その加入者とサービス・プロバイダとの間の通信の認証及び暗号化を行う最初のプロセスの間に実行される、数値の計算におけるメインステップを説明するための図である。
【0066】
第1の数値R1は、例えばA3/A8、MD5又はDES型の暗号化アルゴリズムf1を使って、好ましくは「IDx」値と、「DeviceID」値と、秘密要素(SecOpe)といった入力値を使って、計算される。「IDx」値はサービス・プロバイダを加入者の付属ネットワークにおいて識別する。例えば、この識別子は、加入者によってアクセス可能なさまざまなサービス・プロバイダに異なって値を使用して参照符を付けるネットワーク・オペレータによって確定される。既に言及したように、各サービス・プロバイダ「x」は、異なった「IDx」値によって識別される。「DeviceID」値は加入者をその加入者の付属ネットワークにおいて識別する。それは、例えば、オペレータにより付与された加入者名あるいは他の加入者識別子から構成される。加入者識別子(DeviceID)は、その加入者のIMSI(International Mobile Subscriber Identity)数又はMSISDN(Mobile Station ISDN)数から成るものでもよい。秘密要素(SecOpe)はオペレータのネットワークにおいて加入者を認証する。例えば、この秘密要素は、パスワード、PINコード(Personal Identity Code)、又はネットワーク装置内に制限されたキー、でよい。GMSネットワークの場合では、問題となる秘密要素はSIMカード内に制限されたKiキーであることが有利である。しかし、例えば全てのコンテンツ・サーバによるGMS加入者の認証に使用される特殊キーKkmのような、他のどの秘密要素も、R1を計算するために使用される入力値として受け入れられる。もし加入者端末がPC(Personal Computer)又は他のタイプのコンピュータであるならば、「ハードウェアキー」も使用できる。
【0067】
値R1は公式R1=f1(DevicelD,IDx,Sec.Ope)を使って計算される。暗号アルゴリズムA3A8は、それがSIMカードに既に存在している限りにおいて、特に適当である。この場合R1=f1(DevicelD、IDx、Ki)で、それはf1=A3A8を使って12バイトで有利に表現される。それ故に、それは開発を最小限にし、第三者に対して秘密に保たれることができ、付属ネットアークと両立するセキュリティ水準を提供する、という利点がある。例えばDESアルゴリズムのように、既にSIMカード上に存在している他のいかなるアルゴリズムでも有利である。他の暗号アルゴリズムも考慮できる。
【0068】
加入者の装置は、それはGMSネットワークの場合ではGMS端末にそのSIMカード及び適切なブラウザソフトウェアを加えたものであって、明らかにその加入者が自身をネットワーク・オペレータに認証させた後、特定のサービス・プロバイダにアクセスすることを選択するときに、自動的に数値R1を計算することができる。
【0069】
第2の数値R2は、公式R2=f2(date,mdp)を使って計算される。ここで、アルゴリズムf2は適切な暗号アルゴリズムのいずれかである。好ましくは、それは単一方向的チョッピング関数(single directional chopping function)を使用してシール(seal)を計算するアルゴリズムである。一般には、MAC方式におけるDESのような、キーを使用するアルゴリズム、又は、md5(RSA社によって市場に出されている圧縮アルゴリズムの登録商標)、RIPEMあるいはSHAのようなキーの無いアルゴリズムでよい。これらのアルゴリズムは本発明を制限しない。従って、混合ビットを使用するアルゴリズムも使用できるが、しかしこれは暗号的には弱いソリューションである。値(date)は上で議論された多様化データである。値mdpはステップ23においてサービス・プロバイダによって加入者に送られた秘密要素であるが、しかし、サービス・プロバイダもその認証ベース内にそれを保持している。
【0070】
この値R2はサービス・プロバイダへは送信されない。それは数値R3を計算するために使用される中間変数である。この値R2は、もし加入者装置端末がメモリ(例えばキャッシュメモリ)を備えているなら、そのメモリに記憶されても都合がよい。本発明によるキュリティ方法は、値R2の記憶によって決して変更されない。
【0071】
第3の数値R3は公式R3=f3(R1,R2,login)を使って計算される。ここで、
− 数値R1は、既に詳細に説明されたように計算され、かつ加入プロセスの間にサービス・プロバイダに送られた加入者の認証符号である。
− 数値R2を計算する方法は、既に上記の如く特定される。
− login値は、サービス・プロバイダのネットワークにおける加入者識別子で、図2のステップ31において経路付けされたデータフレーム内で加入者によってサービス・プロバイダに再送信される。
− アルゴリズムf3は、f2に対して選択されたアルゴリズムと同一である。
ことが有利である。どんな場合も、f2に関して言及された同じ可能なものから選択されてよい。
【0072】
セッション・キーKsesは、公式Kses=fk(R1,R2,Random)で表現できる。ここで、
− アルゴリズムfkは、f2とf3に対して選択されたアルゴリズムと同一であることが有利である。どんな場合も、f2に関して言及された同じ可能なものから選択されてよい。
− 数値R1とR2は、既に言及された値と同一である。
− ランダム(Random)又は擬似ランダム(pseudo-random)はサービス・プロバイダによって選ばれる。
【0073】
本発明によって同じくカバーされる、安全なデータ転送方法を劣化させた実施例において、数値R1は計算もされず、どのステップにおいても使用されない。その結果、サービス・プロバイダは加入者によってもはや認証されず、それによって通信セキュリティは「中間にいる人間」型侵入の被害を一層受けやすくなる。
【図面の簡単な説明】
【図1】本発明を使用できる一通信ネットワークの略構成図である。
【図2】逆認証がセッション・キーの計算と組み合わされた、本発明によるセキュリティ方法の実施態様における一連の段階を説明するための図である。
【図3】本発明による安全なデータ転送方法の枠組みで使用される数値の計算における主なステップを説明するための図である。
【符号の説明】
11 通信ネットワーク
12 オペレータ
13,14 加入者
15 相互接続回線
16 ネットワーク
17 サービス・プロバイダ
18 コンピュータ(PC)
19 モデム

Claims (18)

  1. まず遠隔通信ネットワークの加入者、次に該加入者が付属する前記遠隔通信ネットワークのオペレータを介してアクセス可能なサービス・プロバイダとの間の通信のセキュリティを保証するための方法であって、
    第一に前記オペレータを介して前記加入者が前記サービス・プロバイダへ初期登録を行うプロセスと、第二に前記加入者と前記サービス・プロバイダとの間の各通信セッションが開始されるプロセスとを含み、
    前記初期登録を行うプロセスは、
    − 第一に、前記遠隔通信オペレータから前記サービス・プロバイダに、
    前記加入者の付属ネットワークにおける該加入者の識別子(DeviceID)と、
    前記オペレータのネットワークにおける前記サービス・プロバイダの識別子(IDx)と、前記加入者の付属ネットワークにおける該加入者の前記識別子(DeviceID)と、前記加入者を特徴付ける秘密要素(Sec.Op.)とから計算される第1の数値を含む前記加入者の認証符号(R1)と、
    が与えられるステップと、
    − 第二に、前記サービス・プロバイダから前記加入者に、前記サービス・プロバイダによる前記加入者の識別/認証(login,mdp)に関するデータが与えられるステップとを含み、
    前記各通信セッションが実行されるプロセスでは、前記サービス・プロバイダが加入者の認証を、
    − 第2の数値(R2)が、前記サービス・プロバイダでの加入者識別子(mdp)と前記加入者において生成された多様化データ(Dtae)とから計算されるステップと、
    − 前記第1の数値(R1)と、前記第2の数値(R2)と、前記サービス・プロバイダが前記加入者を識別する第3のデータ(Login)とから第3の数値(R3)が計算されるステップと、
    − 前記第3の数値(R3)と、入力データ、すなわち前記サービス・プロバイダが前記加入者を識別するデータ(Login)と、前記加入者において生成された前記多様化データ(Date)とから構成された第1のデータフレームが前記サービス・プロバイダに送信されるステップと、
    − 確認として前記サービス・プロバイダが、前記第1のデータフレーム内の前記入力データ(Login,date)と、既に前記サービス・プロバイダに提供された前記加入者に付随したデータ(R1,mdp)とから、前記第3の数値(R3)を再計算することによって、前記加入者を認証するステップと、
    を通して実行することを特徴とする通信ネットワーク用セキュリティ方法。
  2. 第4の数値が、前記加入者認証符号(R1)と、前記サービス・プロバイダにおいて生成されたランダム変数(Random)と、多様化データ(Date)とから計算されるステップと、
    前記第4の数値(R4)及び前記ランダム変数(Random)を含む第2のデータフレームが前記サービス・プロバイダから前記加入者へ送信されるステップと、
    前記加入者が確認として、前記第2のデータフレーム中の前記ランダム変数(Random)及び前記加入者へ提供されたデータ(R1,Date)から前記第4の数値(R4)を再計算することによって、前記サービス・プロバイダを認証するステップとを実行することによって、前記加入者が前記サービス・プロバイダを認証するステップと、
    が含まれることを特徴とする請求項1に記載の通信ネットワーク用セキュリティ方法。
  3. 前記加入者及び前記サービス・プロバイダに共通するセッション・キー(Kses)が生成される段階と、暗号化データが該セッション・キー(Kses)を使って送信される段階もが含まれ、
    前記セッション・キーが生成される段階には好ましくは、
    前記サービス・プロバイダが、前記第2の数値(R2)とランダム変数(Random2)を含む計算データから、セッション・キー(Kses)を計算するステップと、
    前記単一のランダム変数(Random2)が前記加入者に送信されるステップと、
    前記加入者が、前記計算データ、すなわち前記送信されたランダム変数(Random2)と前記加入者に与えられた前記第2の数値(R2)とから、前記セッション・キー(Kses)を計算するステップとが含まれることを特徴とする請求項1又は2に記載の通信ネットワーク用セキュリティ方法。
  4. 請求項2及び請求項3に記載された特徴を有する方法であって、請求項2に記載された前記ランダム変数(Random)と請求項3に記載された前記ランダム変数(Random2)は同一であり、
    前記セッション・キー(Kses)を生成する段階では前記サービス・プロバイダから前記加入者へのデータ送信は一切無く、前記ランダム変数は既に前記第2のデータフレームによって前記加入者が入手可能であることを特徴とする通信ネットワーク用セキュリティ方法。
  5. 前記セッション・キー(Kses)のための前記計算データは、前記サービス・プロバイダと前記加入者の双方に提供されており、前記サービス・プロバイダから前記加入者へ送信される必要の無い前記加入者の認証符号(R1)も含むと共に、
    もし前記計算されたセッション・キー(Kses)が正しく得られたならば、前記加入者によって計算された前記セッション・キー(Kses)を使って解読される、前記サービス・プロバイダから受信した前記暗号化データが理解可能であるという事実によって、前記サービス・プロバイダが前記加入者によって効率的に認証されることを特徴とする請求項3に記載の通信ネットワーク用セキュリティ方法。
  6. 前記セッション・キー(Kses)のための前記計算データは、前記サービス・プロバイダと前記加入者の双方に提供されており、前記サービス・プロバイダから前記加入者へ送信される必要の無い多様化データ(Date)も含むことを特徴とする請求項1乃至5の何れか1項に記載の通信ネットワーク用セキュリティ方法。
  7. 前記サービス・プロバイダは、登録加入者ごとに、
    加入者のその付属ネットワークにおける識別子(DeviceId)と、
    前記サービス・プロバイダでの加入者識別/認証(Login,mdp)データと、
    初期登録時に前記オペレータから受信した前記数値R1と、
    できれば、最新の通信セッションに特有な前記多様化データ(Date)と前記第3の数値R3と前記ランダム変数(RandomとRandom2)と前記セッション・キー(Kses)の一部又は全てとを含む項目のデータを蓄積するデータベースを構築していることを特徴とする請求項1乃至6の何れか1項に記載の通信ネットワーク用セキュリティ方法。
  8. 前記第1の数値(R1)、前記第2の数値(R2)、前記第3の数値(R3)、そして前記第4の数値(R4)と、前記セッション・キー(Kses)の少なくとも一部が、暗号アルゴリズムf1、f2、f3、f4とfkを使って計算されることを特徴とする請求項1乃至7の何れか1項に記載の通信ネットワーク用セキュリティ方法。
  9. 前記第1の数値(R1)はA3/A8型アルゴリズムf1を使って計算されることを特徴とする請求項8に記載の通信ネットワーク用セキュリティ方法。
  10. 前記暗号アルゴリズムは、
    MAC方式におけるDESのような、キーを使用する単一方向的チョッピング関数のアルゴルズムと、
    md5(登録商標)、RIPEM、SHAのような、キーを使用する単一方向的チョッピング関数のアルゴルズムと、
    ビット・ミキシングを使用するアルゴリズムとを含むグループから選択されることを特徴とする請求項8に記載の通信ネットワーク用セキュリティ方法。
  11. 前記加入者を特徴付ける前記秘密要素(Sec.Op.)は、前記加入者の携帯電話のSIMカードに含まれるキーKiと、前記加入者の端末において利用可能な任意のキーKkmを含むグループに属することを特徴とする請求項1乃至10の何れか1項に記載の通信ネットワーク用セキュリティ方法。
  12. 加入者がGSMネットワークに付属するとき、該加入者の付属ネットワーク内における該加入者の識別子(DeviceID)は有利には、IMSI(International Mobile Subscriber Identity)とMSISDN(Mobile Station ISDN number)とを含むグループに属することを特徴とする請求項1乃至11の何れか1項に記載の通信ネットワーク用セキュリティ方法。
  13. 前記サービス・プロバイダによる前記加入者の識別/認証(Login,mdp)データは、
    前記サービス・プロバイダのネットワークにおける加入者識別子(Login)と、
    前記サービス・プロバイダによって前記加入者に供給される秘密要素(mdp)とを含むことを特徴とする請求項1乃至12の何れか1項に記載の通信ネットワーク用セキュリティ方法。
  14. 前記第2の数値(R2)を計算するために使用される前記多様化データ(Date)は、セッションの日付/時刻、前記加入者によって要求される新たなセッション毎に増加する数と、そして前記加入者において生成される乱数とを含むグループに属することを特徴とする請求項1乃至13の何れか1項に記載の通信ネットワーク用セキュリティ方法。
  15. 前記加入者の認証符号を形成する前記第1の数値(R1)は。それぞれのセッションの間に生成され、前記加入者によって保持されないことを特徴とする請求項1乃至14の何れか1項に記載の通信ネットワーク用セキュリティ方法。
  16. 請求項1乃至15のいずれかに記載された通信ネットワーク用セキュリティ方法において、前記第1の数値(R1)が計算されず、そのため該数値が前記ステップの少なくとも一部において知られることがなく、さらにそのとき前記加入者の認証段階が削除されているデータ転送方法。
  17. 前記加入者の初期加入段階の間に前記サービス・プロバイダと交換される前記データ(DeviceID、R1;login、mdp)の少なくとも一部は、オンライン送信とオフライン送信を含む手段を使って送信されることを特徴とする請求項1乃至16の何れか1項に記載の通信ネットワーク用セキュリティ方法。
  18. 前記第2の数値(R2)は前記サービス・プロバイダによって前記加入者に供給される前記秘密要素(mdp)と単に等しいことを特徴とする請求項1乃至17の何れか1項に記載の通信ネットワーク用セキュリティ方法。
JP2000014375A 1999-01-22 2000-01-24 通信ネットワーク用セキュリティ方法及び安全なデータ転送方法 Expired - Lifetime JP4331848B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9900901 1999-01-22
FR9900901A FR2788914B1 (fr) 1999-01-22 1999-01-22 Procede d'authentification, avec etablissement d'un canal securise, entre un abonne et un fournisseur de services accessible via un operateur de telecommunication

Publications (2)

Publication Number Publication Date
JP2000232690A JP2000232690A (ja) 2000-08-22
JP4331848B2 true JP4331848B2 (ja) 2009-09-16

Family

ID=9541282

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000014375A Expired - Lifetime JP4331848B2 (ja) 1999-01-22 2000-01-24 通信ネットワーク用セキュリティ方法及び安全なデータ転送方法

Country Status (9)

Country Link
US (1) US6745326B1 (ja)
EP (1) EP1022922B1 (ja)
JP (1) JP4331848B2 (ja)
AT (1) ATE287188T1 (ja)
DE (1) DE60017292T2 (ja)
DK (1) DK1022922T3 (ja)
ES (1) ES2233316T3 (ja)
FR (1) FR2788914B1 (ja)
PT (1) PT1022922E (ja)

Families Citing this family (100)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL128720A (en) 1999-02-25 2009-06-15 Cidway Technologies Ltd Method for confirming actions performed over the phone
KR100368069B1 (ko) * 2000-07-06 2003-01-15 주식회사 케이티프리텔 네트워크 보안 기법 상에서 요금 부과가 용이한 통신 방법
US7739409B2 (en) * 2000-09-26 2010-06-15 King Green Ltd. System and method for making available identical random data to seperate and remote parties
US7627116B2 (en) * 2000-09-26 2009-12-01 King Green Ltd. Random data method and apparatus
EP1213882A3 (en) * 2000-12-08 2002-09-18 Telefonaktiebolaget L M Ericsson (Publ) Method, system and device for granting access to a service
US20070198432A1 (en) 2001-01-19 2007-08-23 Pitroda Satyan G Transactional services
EP1365611B1 (en) 2001-03-02 2013-06-12 Fujitsu Limited Mobile communication system and apparatus constituting the same
ATE291807T1 (de) * 2001-05-08 2005-04-15 Ericsson Telefon Ab L M Sicherer zugang zu einem entfernten teilnehmermodul
US8140845B2 (en) * 2001-09-13 2012-03-20 Alcatel Lucent Scheme for authentication and dynamic key exchange
US7570764B2 (en) * 2001-10-10 2009-08-04 Nortel Networks Limited Sequence number calculation and authentication in a communications system
JP3668175B2 (ja) * 2001-10-24 2005-07-06 株式会社東芝 個人認証方法、個人認証装置および個人認証システム
JP2005515664A (ja) 2002-01-08 2005-05-26 セブン ネットワークス, インコーポレイテッド モバイル通信ネットワークのための安全な伝送
US20030159067A1 (en) * 2002-02-21 2003-08-21 Nokia Corporation Method and apparatus for granting access by a portable phone to multimedia services
US7054613B2 (en) * 2002-05-03 2006-05-30 Telefonaktiebolaget Lm Ericsson (Publ) SIM card to mobile device interface protection method and system
US9064281B2 (en) 2002-10-31 2015-06-23 Mastercard Mobile Transactions Solutions, Inc. Multi-panel user interface
US8468126B2 (en) 2005-08-01 2013-06-18 Seven Networks, Inc. Publishing data in an information community
US7853563B2 (en) 2005-08-01 2010-12-14 Seven Networks, Inc. Universal data aggregation
US7917468B2 (en) 2005-08-01 2011-03-29 Seven Networks, Inc. Linking of personal information management data
US20050047575A1 (en) 2003-08-29 2005-03-03 Stephen Parker Secure valet telephone system
JP4185852B2 (ja) * 2003-11-20 2008-11-26 日本電信電話株式会社 通信システム
US7548744B2 (en) * 2003-12-19 2009-06-16 General Motors Corporation WIFI authentication method
US20050266826A1 (en) * 2004-06-01 2005-12-01 Nokia Corporation Method for establishing a security association between a wireless access point and a wireless node in a UPnP environment
US7765404B2 (en) * 2004-06-29 2010-07-27 Nokia Corporation Providing content in a communication system
US8265282B2 (en) * 2004-08-13 2012-09-11 Telecom Italia S.P.A. Method of and system for secure management of data stored on electronic tags
US20060046690A1 (en) * 2004-09-02 2006-03-02 Rose Gregory G Pseudo-secret key generation in a communications system
US8611536B2 (en) * 2004-09-08 2013-12-17 Qualcomm Incorporated Bootstrapping authentication using distinguished random challenges
US7441271B2 (en) 2004-10-20 2008-10-21 Seven Networks Method and apparatus for intercepting events in a communication system
US8010082B2 (en) 2004-10-20 2011-08-30 Seven Networks, Inc. Flexible billing architecture
EP1815634B1 (en) * 2004-11-22 2015-01-07 Seven Networks, Inc. Data security in a mobile e-mail service
US7643818B2 (en) * 2004-11-22 2010-01-05 Seven Networks, Inc. E-mail messaging to/from a mobile terminal
US7706781B2 (en) * 2004-11-22 2010-04-27 Seven Networks International Oy Data security in a mobile e-mail service
FI117152B (fi) 2004-12-03 2006-06-30 Seven Networks Internat Oy Sähköpostiasetusten käyttöönotto matkaviestimelle
EP1684238A1 (de) * 2005-01-21 2006-07-26 Swisscom Mobile AG Identifikationsverfahren und System und dafür geeignete Vorrichtung
US7752633B1 (en) 2005-03-14 2010-07-06 Seven Networks, Inc. Cross-platform event engine
US7796742B1 (en) 2005-04-21 2010-09-14 Seven Networks, Inc. Systems and methods for simplified provisioning
US8438633B1 (en) 2005-04-21 2013-05-07 Seven Networks, Inc. Flexible real-time inbox access
FI20050562A0 (fi) * 2005-05-26 2005-05-26 Nokia Corp Menetelmä avainmateriaalin tuottamiseksi
WO2006136660A1 (en) 2005-06-21 2006-12-28 Seven Networks International Oy Maintaining an ip connection in a mobile network
US8069166B2 (en) 2005-08-01 2011-11-29 Seven Networks, Inc. Managing user-to-user contact with inferred presence information
US20130339232A1 (en) 2005-10-06 2013-12-19 C-Sam, Inc. Widget framework for securing account information for a plurality of accounts in a wallet
US10032160B2 (en) 2005-10-06 2018-07-24 Mastercard Mobile Transactions Solutions, Inc. Isolating distinct service provider widgets within a wallet container
JP5123209B2 (ja) * 2006-01-24 2013-01-23 ▲ホア▼▲ウェイ▼技術有限公司 モバイルネットワークに基づくエンドツーエンド通信での認証の方法、システム、および認証センタ
US7769395B2 (en) 2006-06-20 2010-08-03 Seven Networks, Inc. Location-based operations and messaging
US20080072295A1 (en) * 2006-09-20 2008-03-20 Nathaniel Solomon Borenstein Method and System for Authentication
US8782414B2 (en) * 2007-05-07 2014-07-15 Microsoft Corporation Mutually authenticated secure channel
US8693494B2 (en) 2007-06-01 2014-04-08 Seven Networks, Inc. Polling
US8805425B2 (en) 2007-06-01 2014-08-12 Seven Networks, Inc. Integrated messaging
US8364181B2 (en) 2007-12-10 2013-01-29 Seven Networks, Inc. Electronic-mail filtering for mobile devices
US9002828B2 (en) 2007-12-13 2015-04-07 Seven Networks, Inc. Predictive content delivery
US8793305B2 (en) 2007-12-13 2014-07-29 Seven Networks, Inc. Content delivery to a mobile device from a content service
US8107921B2 (en) 2008-01-11 2012-01-31 Seven Networks, Inc. Mobile virtual network operator
US8862657B2 (en) 2008-01-25 2014-10-14 Seven Networks, Inc. Policy based content service
US20090193338A1 (en) 2008-01-28 2009-07-30 Trevor Fiatal Reducing network and battery consumption during content delivery and playback
EP2277351A4 (en) * 2008-04-30 2015-12-23 Mediatek Inc METHOD FOR LEADING A TRAFFIC ENCRYPTION KEY
US8787947B2 (en) 2008-06-18 2014-07-22 Seven Networks, Inc. Application discovery on mobile devices
US8078158B2 (en) 2008-06-26 2011-12-13 Seven Networks, Inc. Provisioning applications for a mobile device
US8909759B2 (en) 2008-10-10 2014-12-09 Seven Networks, Inc. Bandwidth measurement
US9043731B2 (en) 2010-03-30 2015-05-26 Seven Networks, Inc. 3D mobile user interface with configurable workspace management
US8838783B2 (en) 2010-07-26 2014-09-16 Seven Networks, Inc. Distributed caching for resource and mobile network traffic management
WO2012018477A2 (en) 2010-07-26 2012-02-09 Seven Networks, Inc. Distributed implementation of dynamic wireless traffic policy
GB2495066B (en) 2010-07-26 2013-12-18 Seven Networks Inc Mobile application traffic optimization
JP5620578B2 (ja) 2010-07-26 2014-11-05 セブン ネットワークス インコーポレイテッド 複数のアプリケーションにわたるモバイルネットワークトラフィック調整
WO2012060997A2 (en) 2010-11-01 2012-05-10 Michael Luna Application and network-based long poll request detection and cacheability assessment therefor
CN103620576B (zh) 2010-11-01 2016-11-09 七网络公司 适用于移动应用程序行为和网络条件的缓存
WO2012061437A1 (en) 2010-11-01 2012-05-10 Michael Luna Cache defeat detection and caching of content addressed by identifiers intended to defeat cache
US8843153B2 (en) 2010-11-01 2014-09-23 Seven Networks, Inc. Mobile traffic categorization and policy for network use optimization while preserving user experience
US8326985B2 (en) 2010-11-01 2012-12-04 Seven Networks, Inc. Distributed management of keep-alive message signaling for mobile network resource conservation and optimization
WO2012060995A2 (en) 2010-11-01 2012-05-10 Michael Luna Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
US8484314B2 (en) 2010-11-01 2013-07-09 Seven Networks, Inc. Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
US9330196B2 (en) 2010-11-01 2016-05-03 Seven Networks, Llc Wireless traffic management system cache optimization using http headers
US9060032B2 (en) 2010-11-01 2015-06-16 Seven Networks, Inc. Selective data compression by a distributed traffic management system to reduce mobile data traffic and signaling traffic
CA2798523C (en) 2010-11-22 2015-02-24 Seven Networks, Inc. Aligning data transfer to optimize connections established for transmission over a wireless network
GB2500327B (en) 2010-11-22 2019-11-06 Seven Networks Llc Optimization of resource polling intervals to satisfy mobile device requests
US9325662B2 (en) 2011-01-07 2016-04-26 Seven Networks, Llc System and method for reduction of mobile network traffic used for domain name system (DNS) queries
US9084105B2 (en) 2011-04-19 2015-07-14 Seven Networks, Inc. Device resources sharing for network resource conservation
EP2702500B1 (en) 2011-04-27 2017-07-19 Seven Networks, LLC Detecting and preserving state for satisfying application requests in a distributed proxy and cache system
EP2702827A4 (en) 2011-04-27 2014-10-22 Seven Networks Inc MOBILE DEVICE DISCHARGING REQUESTS MOBILE APPLICATION TO REMOTE ENTITY TO KEEP MOBILE DEVICE RESOURCES AND NETWORK RESOURCES AND RELATED METHODS
WO2013015994A1 (en) 2011-07-27 2013-01-31 Seven Networks, Inc. Monitoring mobile application activities for malicious traffic on a mobile device
EP2767110A4 (en) 2011-10-12 2015-01-28 C Sam Inc PLATFORM FOR MULTI-STAGE SECURE MOBILE TRANSACTIONS
EP2789137A4 (en) 2011-12-06 2015-12-02 Seven Networks Inc SYSTEM OF REDUNDANTLY CLUSTERED MACHINES FOR PROVIDING TILTING MECHANISMS IN MOBILE TRAFFIC MANAGEMENT AND NETWORK RESOURCE PRESERVATION
US8934414B2 (en) 2011-12-06 2015-01-13 Seven Networks, Inc. Cellular or WiFi mobile traffic optimization based on public or private network destination
GB2498064A (en) 2011-12-07 2013-07-03 Seven Networks Inc Distributed content caching mechanism using a network operator proxy
US9277443B2 (en) 2011-12-07 2016-03-01 Seven Networks, Llc Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol
WO2013090821A1 (en) 2011-12-14 2013-06-20 Seven Networks, Inc. Hierarchies and categories for management and deployment of policies for distributed wireless traffic optimization
US9832095B2 (en) 2011-12-14 2017-11-28 Seven Networks, Llc Operation modes for mobile traffic optimization and concurrent management of optimized and non-optimized traffic
WO2013090212A1 (en) 2011-12-14 2013-06-20 Seven Networks, Inc. Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system
WO2013103988A1 (en) 2012-01-05 2013-07-11 Seven Networks, Inc. Detection and management of user interactions with foreground applications on a mobile device in distributed caching
WO2013116856A1 (en) 2012-02-02 2013-08-08 Seven Networks, Inc. Dynamic categorization of applications for network access in a mobile network
US9326189B2 (en) 2012-02-03 2016-04-26 Seven Networks, Llc User as an end point for profiling and optimizing the delivery of content and data in a wireless network
US8812695B2 (en) 2012-04-09 2014-08-19 Seven Networks, Inc. Method and system for management of a virtual network connection without heartbeat messages
WO2013155208A1 (en) 2012-04-10 2013-10-17 Seven Networks, Inc. Intelligent customer service/call center services enhanced using real-time and historical mobile application and traffic-related statistics collected by a distributed caching system in a mobile network
WO2014011216A1 (en) 2012-07-13 2014-01-16 Seven Networks, Inc. Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications
US9161258B2 (en) 2012-10-24 2015-10-13 Seven Networks, Llc Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion
US9215591B2 (en) 2012-12-06 2015-12-15 At&T Intellectual Property I, L.P. Security for network load broadcasts over cellular networks
US20140177497A1 (en) 2012-12-20 2014-06-26 Seven Networks, Inc. Management of mobile device radio state promotion and demotion
US9271238B2 (en) 2013-01-23 2016-02-23 Seven Networks, Llc Application or context aware fast dormancy
US8874761B2 (en) 2013-01-25 2014-10-28 Seven Networks, Inc. Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols
US8750123B1 (en) 2013-03-11 2014-06-10 Seven Networks, Inc. Mobile device equipped with mobile network congestion recognition to make intelligent decisions regarding connecting to an operator network
US9065765B2 (en) 2013-07-22 2015-06-23 Seven Networks, Inc. Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network
US8965342B1 (en) * 2013-08-08 2015-02-24 Vonage Network Llc Method and apparatus for verifying the authenticity of mobile device information

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9709136D0 (en) * 1997-05-02 1997-06-25 Certicom Corp A log-on verification protocol

Also Published As

Publication number Publication date
US6745326B1 (en) 2004-06-01
PT1022922E (pt) 2005-05-31
EP1022922A1 (fr) 2000-07-26
FR2788914B1 (fr) 2001-03-23
DE60017292D1 (de) 2005-02-17
ATE287188T1 (de) 2005-01-15
FR2788914A1 (fr) 2000-07-28
DE60017292T2 (de) 2005-12-01
JP2000232690A (ja) 2000-08-22
EP1022922B1 (fr) 2005-01-12
ES2233316T3 (es) 2005-06-16
DK1022922T3 (da) 2005-05-17

Similar Documents

Publication Publication Date Title
JP4331848B2 (ja) 通信ネットワーク用セキュリティ方法及び安全なデータ転送方法
EP1751945B1 (en) Method and system for a secure connection in communication networks
US7231203B2 (en) Method and software program product for mutual authentication in a communications network
CN1969501B (zh) 安全地产生共享密钥的***和方法
KR101050335B1 (ko) 이동 무선 시스템에서 암호화 키들을 생성하여 배포하기위한 방법 및 상응하는 이동 무선 시스템
FI117181B (fi) Menetelmä ja järjestelmä käyttäjän identiteetin tunnistamiseksi
US7844834B2 (en) Method and system for protecting data, related communication network and computer program product
CN1842993B (zh) 提供证书
EP1759550B1 (en) Method and system for protecting information exchanged during communication between users
JP2010259074A (ja) ワイヤレスアプリケーションプロトコルに基づく機密セッションの設定
JP2000083286A (ja) 無線システムにおける空中通信を機密化するための方法
GB2355140A (en) Security mechanisms and architecture for collaborative systems using tuple space
Chikomo et al. Security of mobile banking
Pütz et al. Security mechanisms in UMTS
Khozooyi et al. Security in mobile governmental transactions
WO2003034772A1 (en) Method and arrangement in a communications network
Cimato Design of an authentication protocol for GSM Javacards
He et al. An asymmetric authentication protocol for M-Commerce applications
CN114205170B (zh) 跨接口平台组网通信及服务加密调用方法
Schuba et al. Security for Mobile Commerce Applications
Barriga et al. Communications security in an all-IP world
Dankers et al. PKI in mobile systems
Zouari et al. A novel authentication model based on secured IP smart cards
Page Report Highlights
JP2003229955A (ja) 通話方法及び通話システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090520

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090605

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090619

R150 Certificate of patent or registration of utility model

Ref document number: 4331848

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120626

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130626

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term