JP5414898B2 - 有線lanのセキュリティアクセス制御方法及びそのシステム - Google Patents
有線lanのセキュリティアクセス制御方法及びそのシステム Download PDFInfo
- Publication number
- JP5414898B2 JP5414898B2 JP2012525018A JP2012525018A JP5414898B2 JP 5414898 B2 JP5414898 B2 JP 5414898B2 JP 2012525018 A JP2012525018 A JP 2012525018A JP 2012525018 A JP2012525018 A JP 2012525018A JP 5414898 B2 JP5414898 B2 JP 5414898B2
- Authority
- JP
- Japan
- Prior art keywords
- aac
- req
- field
- authentication
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 227
- 230000008569 process Effects 0.000 claims description 193
- 230000004044 response Effects 0.000 claims description 128
- 238000012795 verification Methods 0.000 claims description 61
- 238000012545 processing Methods 0.000 claims description 38
- 238000012790 confirmation Methods 0.000 claims description 33
- 101000893549 Homo sapiens Growth/differentiation factor 15 Proteins 0.000 claims description 21
- 101000692878 Homo sapiens Regulator of MON1-CCZ1 complex Proteins 0.000 claims description 21
- 102100026436 Regulator of MON1-CCZ1 complex Human genes 0.000 claims description 21
- 102100032912 CD44 antigen Human genes 0.000 claims description 11
- 101000868273 Homo sapiens CD44 antigen Proteins 0.000 claims description 11
- 101001051490 Homo sapiens Neural cell adhesion molecule L1 Proteins 0.000 claims description 11
- 102100024964 Neural cell adhesion molecule L1 Human genes 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 10
- 102000008482 12E7 Antigen Human genes 0.000 claims description 8
- 108010020567 12E7 Antigen Proteins 0.000 claims description 8
- 102100037904 CD9 antigen Human genes 0.000 claims description 8
- 101000738354 Homo sapiens CD9 antigen Proteins 0.000 claims description 8
- 101100345585 Toxoplasma gondii MIC6 gene Proteins 0.000 claims description 8
- 230000002457 bidirectional effect Effects 0.000 claims description 4
- 230000008859 change Effects 0.000 claims description 3
- 239000002131 composite material Substances 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 2
- 230000000717 retained effect Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
リクエスタREQが、認証アクセスコントローラAACとセキュリティポリシー合意を行うステップ1と、
REQが、AACと身分認証を行うステップ2と、を含むことを特徴とする。
上記ステップ1の具体的な実現方式は、
ステップ11のセキュリティポリシー合意要求を行い、即ち、REQがAACにアクセスする際に、AACはREQにセキュリティポリシー合意要求パケットを送信し、当該パケットにTIEAACが含まれ、
TIEAACフィールドは、AACがサポートする3エレメントピア認証TePAの情報要素を示し、AACがサポートする認証と鍵管理スイート及び暗号スイートを含み、
ステップ12のセキュリティポリシー合意応答を行い、即ち、REQは、セキュリティポリシー合意要求パケットを受信した後に、以下の処理を行い、
即ち、REQは、セキュリティポリシー合意要求パケットにおけるTIEAACフィールドにより与えられた、AACがサポートする認証と鍵管理スイート及び暗号スイートに基づいて、ローカルポリシーを参照して両方が共有する認証と鍵管理スイート及び暗号スイートを選択して、セキュリティポリシー合意応答パケットを構成してAACに送信し、REQがセキュリティポリシー合意要求パケットにおける、AACがサポートする認証と鍵管理スイート及び暗号スイートの何れもサポートしない場合に、ローカルポリシーに基づいて、当該パケットを廃棄することができ、
セキュリティポリシー合意応答パケットの内容にTIEREQが含まれ、TIEREQフィールドは、 REQ が選択したTePA情報要素を示し、REQ が選択した認証と鍵管理スイート及び暗号スイートを含み、
ステップ13を行い、即ち、AACはセキュリティポリシー合意応答パケットを受信した後に、以下の処理を行い、即ち、
ステップ131を行い、即ち、AACは、REQ が選択した認証と鍵管理スイート及び暗号スイートをサポートするか否かを判断し、サポートしない場合に当該パケットを廃棄し、サポートする場合にステップ132を実行し、
ステップ132を行い、即ち、REQ が選択した認証と鍵管理スイートに基づいて相応する身分認証を開始することを含む。
ステップ21の認証のアクティブ化を行い、即ち、AACはREQに認証アクティブパケットを送信して、REQをアクティブにして証明書認証を行い、認証アクティブパケットは、SNonce、IDAS-AAC、CertAAC、ParaECDH 、TIEAAC及びSIGAACを含み、
SNonceフィールドは、認証標識を示し、初回目の身分認証過程の場合に、当該フィールドはAACが生成した乱数であり、身分認証の更新過程の場合に、当該フィールドの値は前回の身分認証過程で合意して生成した認証標識の値であり、
IDAS-AACフィールドは、AACが信頼するASの身分標識IDを示し、AACの証明書CertAACの発行者ASのIDであり、
CertAACフィールドは、AACの証明書を示し、
ParaECDHフィールドは、楕円曲線暗号方式の楕円曲線暗号パラメータを示し、REQとAACが楕円曲線DH(ECDH,Elliptic curve Diffie-Hellman)計算を行う際に採用される楕円曲線暗号パラメータであり、
TIEAACフィールドは、AACがサポートする認証と鍵管理スイート及び暗号スイートを示し、その値は、セキュリティポリシー合意要求パケットにおけるTIEAACフィールドの値と同じであり、
SIGAACフィールドは、AACのサインを示し、AACが自分の私有鍵を利用して本パケットにおける本フィールド以外の全てのフィールドに対して行ったサインであり、選択可能なフィールドであり、
ステップ22のアクセス認証要求を行い、即ち、REQは、認証アクティブパケットを受信した後に、以下の処理を行い、即ち、
ステップ221を行い、即ち、今回の認証過程が身分認証の更新過程であれば、REQは、認証アクティブパケットにおける認証標識のフィールドの値が前回の身分認証過程で保存した認証標識と一致するか否かを検査し、一致しない場合に、当該パケットを廃棄し、さもなければ、ステップ222を実行し、今回の認証過程が証明書認証の更新過程ではなく、初回目の身分認証過程であれば、直接にステップ222を実行し、
ステップ222を行い、即ち、TIEAACフィールドの値が、セキュリティポリシー合意過程で受信したセキュリティポリシー合意要求パケットにおけるTIEAACフィールドの値と一致するか否かを検証し、一致しない場合に、当該パケットを廃棄し、一致する場合にステップ223を実行し、
ステップ223を行い、即ち、受信した認証アクティブパケットにSIGAACフィールドが含まれていれば、SIGAACフィールドの正確性を検証し、正確でない場合に、当該パケットを廃棄し、正確である場合に、ステップ224を実行し、受信した認証アクティブパケットにSIGAACフィールドが含まれていなければ、直接にステップ224を実行し、
ステップ224を行い、即ち、認証アクティブパケットにおけるIDAS-AACフィールドに基づいて、当該ASが発行したREQの証明書CertREQを選択するか、或いはローカルポリシーに基づいてREQの証明書CertREQを選択し、且つECDH交換に用いられるREQ鍵データx・PとREQチャレンジNREQを生成し、アクセス認証要求パケットを生成してAACに送信し、アクセス認証要求パケットの内容には、SNonce、NREQ 、x・P、IDAAC、 CertREQ 、ParaECDH 、ListAS-REQ 、TIE REQ 、及びSIG REQが含まれ、
SNonceフィールドは、認証標識を示し、その値は、認証アクティブパケットにおけるSNonceフィールドの値と同じであり、初回目の身分認証過程であれば、当該フィールドの値は認証アクティブパケットにおけるSNonceフィールドの値によって直接に決められ、身分認証の更新過程であれば、当該フィールドの値は前回の身分認証過程で計算した認証標識の値であり、
NREQフィールドは、REQチャレンジを示し、REQが生成した乱数であり、
x・Pフィールドは、REQの鍵データを示し、REQが生成した、ECDH交換に用いられる一時公開鍵であり、
IDAACフィールドは、AACの身分標識IDを示し、認証アクティブパケットにおけるAACの証明書CertAACフィールドにより得られたものであり、
CertREQフィールドは、REQの証明書を示し、
ParaECDHフィールドは、ECDHパラメータを示し、REQとAACがECDH計算を行う際に採用される楕円曲線暗号パラメータであり、その値は、認証アクティブパケットにおけるParaECDHフィールドの値と同じであり、
ListAS-REQフィールドは、REQが信頼するASのリストを示すが、REQの証明書CertREQの発行者を含まなく、REQはその証明書の発行者以外に、さらに他のエンティティを信頼すれば、このフィールドによりAACに通知することができ、このフィールドは選択可能なフィールドであり、
TIE REQフィールドは、REQが選択した認証と鍵管理スイート及び暗号スイートを示し、その値は、セキュリティポリシー合意応答パケットにおけるTIE REQフィールドの値と同じであり、
SigREQフィールドは、REQのサインを示し、REQが自分の私有鍵を利用して本パケットにおける本フィールド以外の全てのフィールドに対して行ったサインであり、
ステップ23の証明書認証要求を行い、即ち、AACはアクセス認証要求パケットを受信した後に、以下の処理を行い、即ち、
ステップ231を行い、即ち、AACが認証アクティブパケットを送信すると、受信したパケットにおけるSNonce、ParaECDHフィールドの値が、認証アクティブパケットにおける対応するフィールドの値と一致するか否かを検査し、一つでも一致しない場合に、当該パケットを廃棄し、さもなければ、ステップ232を実行し、AACが認証アクティブパケットを送信していない場合に、SNonceフィールドの値が前回の証明書認証過程で計算した認証標識と一致するか否かを検査し、且つParaECDHフィールドが前回の認証アクティブパケットにおけるParaECDHと一致するか否かを検査し、一つでも一致しない場合に、当該パケットを廃棄し、さもなければ、ステップ232を実行し、
ステップ232を行い、即ち、IDAACが自分の身分と一致するか否かを検査し、且つTIE REQフィールドの値がセキュリティポリシー合意過程で受信したセキュリティポリシー合意応答パケットにおけるTIE REQフィールドの値と一致するか否かを検査し、一つでも一致しない場合に、当該パケットを廃棄し、さもなければ、ステップ233を実行し、
ステップ233を行い、即ち、REQのサインSig REQフィールドの正確性を検証し、正確でない場合に、当該パケットを廃棄し、さもなければ、ステップ234を実行し、
ステップ234を行い、即ち、AACのローカルポリシーが、ASを使用してREQの証明書CertREQを認証することを要求する場合に、AACは証明書認証要求パケットを生成してASに送信し、さもなければ、ステップ235を実行し、
ステップ235を行い、即ち、AACはREQの証明書CertREQに対してローカル認証を行い、即ち、ローカルにキャッシングしたREQの証明書CertREQの検証結果及びローカルポリシーで定義された適時性に基づいて、REQの証明書CertREQの検証結果を確認し、正当であれば、ECDH交換に用いられる鍵データ及びAACチャレンジNAACをローカルに生成し、当該鍵データがAACの一時公開鍵y・Pであり、且つ、REQの一時公開鍵x・P及び自分の一時私有鍵yに基づいてECDH計算を行ってベース鍵BK及び次回の身分認証過程の認証標識を取得して保存し、その後にアクセス結果を成功に設定し、アクセス認証応答パケットを構成してREQに送信し、且つユーザのネットワークへのアクセスを許可し、CertREQの検証結果が不正であれば、AACはアクセス結果を不成功に設定し、AACのチャレンジNAACと鍵データy・Pは任意値に設定でき、アクセス認証応答パケットを構成してREQに送信し、その後に当該REQとの関連を解除し、
証明書認証要求パケットの主な内容には、NAAC、 NREQ 、CertREQ 、CertAAC、及びListAS-REQが含まれ、
NAACフィールドは、AACのチャレンジを示し、AACが生成した乱数であり、
NREQフィールドは、REQのチャレンジを示し、REQが生成した乱数であり、その値は、REQが送信したアクセス認証要求パケットにおけるNREQフィールドの値と同じであり、
CertREQフィールドは、REQの証明書を示し、その値は、アクセス認証要求パケットにおけるCertREQフィールドの値と同じであり、
CertAACフィールドは、AACの証明書を示し、その値は、認証アクティブパケットにおけるCertAACフィールドの値と同じであり、
ListAS-REQフィールドは、REQが信頼するASのリストを示し、その値はREQが送信したアクセス認証要求パケットにおけるListAS-REQフィールドの値と同じであり、このフィールドは選択可能なフィールドであり、
ステップ24の証明書認証応答を行い、即ち、ASは、証明書認証要求パケットを受信した後に、以下の処理を行い、即ち、
ステップ241を行い、即ち、今回の認証過程が単一方向認証であれば、REQの証明書CertREQのみを検証すればよく、双方向認証であれば、AACの証明書CertAACとREQの証明書CertREQを同時に検証する必要があり、RFC3280を参照して証明書の検証を行い、検証できない場合に、相応の証明書の検証結果を、証明書の発行者が明確でないと設定し、さもなければ、証明書の状態を検証し、その後にステップ242を実行し、
ステップ242を行い、即ち、証明書の検証結果に基づいて、証明書認証応答パケットを構成し、且つ相応のサインを付加して、AACに送信し、証明書認証応答パケットの主な内容には、REScert 、SIGAS- REQ 、及びSIGAS- AACが含まれ、
REScertフィールドは、証明書の検証結果を示し、AACチャレンジの値NAAC、REQのチャレンジの値NREQ、CertAACの検証結果、CertREQの検証結果を含み、単一方向認証のみである場合に、AACの証明書CertAACの検証結果を含まなく、
SIGAS- REQフィールドは、REQの信頼するASが本パケットにおける証明書の検証結果REScertフィールドに対して行ったサインを示し、
SIGAS- AACフィールドは、AACの信頼するASが証明書認証応答パケットにおける本フィールド以外の全てのフィールドに対して行ったサインを示し、このフィールドは選択可能なフィールドであり、証明書検証結果に対してサインを行うASとAACが信頼するASが同一であれば、このフィールドは必要がなく、
ステップ25のアクセス認証応答を行い、即ち、AACは、証明書認証応答パケットを受信した後に、以下の処理を行い、即ち、
ステップ251を行い、即ち、証明書の検証結果REScertフィールドにおけるAACのチャレンジNAACが証明書認証要求パケットにおけるNAACフィールドの値と同じであるか否かを検査し、同じでない場合に、当該パケットを廃棄し、同じである場合に、ステップ252を実行し、
ステップ252を行い、即ち、パケットに二つのサインのフィールドが含まれている場合に、AACが信頼するASのサインSIGAS- AACフィールドが正確であるか否かを検査し、正確でない場合に、当該パケットを廃棄し、正確である場合にステップ253を実行し、パケットに一つのサインのフィールドしか含まれていない場合に、即ちREQの信頼するASがAACの信頼するASでもあることを表明した場合に、SIGAS- REQフィールドが正確であるか否かを検査し、正確でない場合に、当該パケットを廃棄し、正確である場合にステップ253を実行し、
ステップ253を行い、即ち、証明書の検証結果REScertフィールドにおけるCertREQの検証結果が正当であるか否かを検査し、正当であれば、ECDH交換に用いられる鍵データy・P及びAACチャレンジNAACをローカル生成し、且つ、REQの一時公開鍵x・P及び自分の一時私有鍵yに基づいてECDH計算を行ってBK及び次回の身分認証過程の認証標識を取得して保存し、その後にアクセス結果を成功に設定し、アクセス認証応答パケットを構成してREQに送信し、且つユーザのネットワークへのアクセスを許可し、CertREQの検証結果が不正であれば、AACはアクセス結果を不成功に設定し、AACのチャレンジNAACと鍵データy・Pは任意値に設定でき、アクセス認証応答パケットを構成してREQに送信し、その後にREQとの関連を解除し、アクセス認証応答パケットの主な内容には、NREQ、NAAC、 AccRES、x・P、y・P、IDAAC、IDREQ、MRESCert、及びSIGAAC 或いはMIC1が含まれ、
NREQフィールドは、REQチャレンジを示し、REQが生成した乱数であり、このフィールドは選択可能なフィールドであり、単一方向認証過程のみである場合、アクセス認証応答パケットがこのフィールドを含む必要があり、存在している場合に、その値は、REQが送信したアクセス認証要求パケットにおけるNREQフィールドの値と同じであり、
NAACフィールドは、AACのチャレンジを示し、AACが生成した乱数であり、このフィールドは選択可能なフィールドであり、単一方向認証過程のみである場合、アクセス認証応答パケットがこのフィールドを含む必要があり、存在している場合に、その値は、AACが送信した証明書認証要求パケットにおけるNAACフィールドの値と同じであり、
AccRESフィールドは、アクセス結果を示し、AACが認証結果に基づいて設定したアクセス成功或いは失敗及び失敗の原因であり、
x・Pは、REQの鍵データを示し、REQが生成した、ECDH交換に用いられる一時公開鍵であり、その値は、REQが送信したアクセス認証要求パケットにおけるx・Pフィールドの値と同じであり、
y・Pは、AACの鍵データを示し、AACが生成した、ECDH交換に用いられる一時公開鍵であり、
IDAACフィールドは、AACの身分標識IDを示し、AACの証明書CertAACフィールドにより得られたものであり、
IDREQフィールドは、REQの身分標識IDを示し、受信したアクセス認証要求パケットにおけるREQの証明書CertREQフィールドにより得られたものであり、
MRESCertフィールドは、複合した証明書検証結果を示し、このフィールドは選択可能なフィールドであり、双方向認証過程のみである場合、アクセス認証応答パケットがこのフィールドを含む必要があり、存在している場合に、当該フィールドは証明書認証応答パケットにおける各フィールドにより構成され、且つ値も同じであり、
SIGAACフィールドは、AACのサインを示し、AACが自分の私有鍵を利用してアクセス認証応答パケットにおける本フィールド以外の全てのフィールドに対して行ったサインであり、
MIC1フィールドは、メッセージ認証コードを示し、AACが認証過程で合意生成したBKを利用して、アクセス認証応答パケットにおける本フィールド以外の全てのフィールド及び次回の証明書認証過程の認証標識に対して計算して得られたハッシュ値であり、
アクセス認証応答パケットは、SIGAACフィールドとMIC1フィールドのうちの何れかを含めば良く、今回の身分認証過程に認証アクティブパケットが存在し、且つ認証アクティブパケットにSIGAACフィールドが含まれている場合に、このパケットはMIC1フィールドだけを含み、今回の身分認証過程に認証アクティブパケットが存在しないか、或いは認証アクティブパケットにSIGAACフィールドが含まれていない場合に、このパケットはSIGAACフィールドだけを含み、
ステップ26のアクセス認証確認を行い、即ち、REQは、アクセス認証応答パケットを受信した後に、以下の処理を行い、即ち、
ステップ261を行い、即ち、パケットにおけるIDAAC とIDREQフィールドに基づいて、現在のアクセス認証要求パケットに対応するアクセス認証応答パケットであるか否かを判断し、否定の場合に、当該パケットを廃棄し、肯定の場合に、ステップ262を実行し、
ステップ262を行い、即ち、パケットにおけるREQ鍵データx・Pフィールドの値と、自分が送信したアクセス認証要求パケットにおけるx・Pフィールドの値が一致するか否かを比較し、一致しない場合に、当該パケットを廃棄し、さもなければ、ステップ263を実行し、
ステップ263を行い、即ち、単一方向認証過程であれば、NREQフィールドの値と前に送信したアクセス認証要求パケットにおけるNREQフィールドの値が一致するか否かを比較し、一致しない場合に、当該パケットを廃棄し、さもなければ、ステップ264を実行し、双方向認証過程であれば、直接にステップ264を実行し、
ステップ264を行い、即ち、パケットにおけるAccRESフィールドを調べ、アクセス結果が不成功であれば、当該AACとの関連を解除し、さもなければ、ステップ265を実行し、
ステップ265を行い、即ち、受信したアクセス認証応答パケットにSIGAACフィールドが含まれる場合に、SIGAACの正確性を検証し、正確でない場合に、当該パケットを廃棄し、さもなければ、ステップ266を実行し、受信したパケットにMIC1フィールドが含まれる場合に、MIC1フィールドの正確性を検証し、正確でない場合に、当該パケットを廃棄し、さもなければ、ステップ266を実行し、
ステップ266を行い、即ち、単一方向認証過程であれば、ステップ268を実行し、さもなければ、複合した証明書検証結果MRESCertフィールドに含まれるNREQフィールドの値が自分が送信したアクセス認証要求パケットにおけるNREQフィールドの値と一致するか否かを検証し、一致しない場合に当該パケットを廃棄し、一致する場合に、サインSIGAS- REQが正確であるか否かを検証し、正確でない場合に当該パケットを廃棄し、正確である場合にステップ267を実行し、
ステップ267を行い、即ち、複合した証明書検証結果MRESCertフィールドにおけるAACの証明書検証結果が正当であるか否かを検証し、不正であれば、当該ネットワークが不正であるため、当該ネットワークにアクセスすることができないことがわかり、さもなければ、当該ネットワークが正当であるため、当該ネットワークにアクセスすることができることがわかり、且つステップ268を実行し、
ステップ268を行い、即ち、REQはAACの一時公開鍵y・Pと自分の一時私有鍵xに基づいてECDH計算を行って、BK及び次回の証明書認証過程の認証標識を取得して保存し、
ステップ269を行い、即ち、受信したアクセス認証応答パケットにMIC1フィールドが含まれる場合に、アクセス認証確認パケットの送信が選択可能であり、受信したパケットにAACのサインSIGAACフィールドが含まれる場合に、アクセス認証確認パケットを構成してAACに送信する必要があり、アクセス認証確認パケットの主な内容には、MIC2が含まれ、
MIC2フィールドは、メッセージ認証コードを示し、REQが認証過程で合意生成したBKを利用して、AAC チャレンジの値NAAC、REQチャレンジの値NREQ及び次回の証明書認証過程の認証標識に対して計算して得られたハッシュ値であることを含む。
上記ステップ26において、AACがアクセス認証応答パケットをREQに送信した後に、送信したアクセス認証応答パケットに含まれるのがAACのサインSIG AACフィールドであれば、AACはアクセス認証確認パケットを受信するまで待機する必要がある。
ステップ31のユニキャスト鍵合意要求を行い、即ち、AACと REQが身分認証過程を完成した後に、AACはREQにユニキャスト鍵合意要求パケットを送信して、REQとのユニキャスト鍵合意を開始し、ユニキャスト鍵合意要求パケットの内容には、NAAC 及びMIC3が含まれ、
NAACフィールドは、AACのチャレンジを示し、初回目のユニキャスト鍵合意であれば、当該フィールドはAACが生成した乱数であり、ユニキャスト鍵の更新過程であれば、当該フィールドは前回のユニキャスト鍵合意過程で保存されたNAAC値であり、
MIC3フィールドは、メッセージ認証コードを示し、AACがAACとREQとの間で共有するBKを利用して計算して得られたハッシュ値であり、
ステップ32のユニキャスト鍵合意応答を行い、即ち、REQは、ユニキャスト鍵合意要求パケットを受信した後に、以下の処理を行い、
ステップ321を行い、即ち、今回の鍵合意過程がユニキャスト鍵の更新過程であれば、パケットにおけるNAACフィールドと前回の鍵合意過程で保存されたNAACが一致するか否かを検査し、一致しない場合に、当該パケットを廃棄し、一致する場合にステップ322を実行し、今回の鍵合意過程がユニキャスト鍵の更新過程でない場合に、直接にステップ322を実行し、
ステップ322を行い、即ち、MIC3フィールドが正確であるか否かを検証し、正確でない場合に、当該パケットを廃棄し、正確である場合にステップ323を実行し、
ステップ323を行い、即ち、REQはREQチャレンジNREQを生成し、その後に計算によりユニキャストセッション鍵及び次回の鍵合意過程で使用するNAACを取得して保存し、ユニキャストセッション鍵は、プロトコルデータ鍵PDKとユニキャストデータ鍵UDKを含み、
PDKを利用してMIC4を計算し、ユニキャスト鍵合意応答パケットを構成してAACに送信し、
REQが新たに合意したユニキャストセッション鍵をインストールし、
ユニキャスト鍵合意応答パケットの内容にはNREQ、 NAAC、及び MIC4が含まれ、
NREQフィールドは、REQのチャレンジを示し、REQが生成した乱数であり、
NAACフィールドは、AACのチャレンジを示し、その値はユニキャスト鍵合意要求パケットにおけるNAACフィールドの値と同じであり、初回目のユニキャスト鍵合意過程であれば、当該フィールドの値はユニキャスト鍵合意要求パケットにおけるNAACフィールドの値により直接に決められ、ユニキャスト鍵の更新過程であれば、当該フィールドは前回のユニキャスト鍵合意過程で保存されたNAAC値であり、
MIC4フィールドは、メッセージ認証コードを示し、REQが生成されたPDKを利用して、ユニキャスト鍵合意応答パケットにおける本フィールド以外の全てのフィールドに対して計算して得られたハッシュ値であり、
ステップ33のユニキャスト鍵合意確認を行い、即ち、AACは、ユニキャスト鍵合意応答パケットを受信した後に、以下の処理を行い、即ち、
ステップ331を行い、即ち、今回の鍵合意過程がユニキャスト鍵の更新過程であれば、パケットにおけるNAACフィールドと前回の鍵合意過程で保存されたNAACが一致するか否かを検査し、一致しない場合に、当該パケットを廃棄し、一致する場合にステップ332を実行し、今回の鍵合意過程がユニキャスト鍵の更新過程でない場合に、パケットにおけるNAACフィールドの値がユニキャスト鍵合意要求パケットにおけるNAACフィールの値と一致するか否かを検査する必要があり、一致しない場合に、当該パケットを廃棄し、さもなければ、ステップ332を実行し、
ステップ332を行い、即ち、パケットにおけるフィールドNREQ とNAACフィールドに基づいて、計算によりユニキャストセッション鍵及び次回の鍵合意過程で使用するNAACを取得して保存し、ユニキャストセッション鍵は、PDKとUDKを含み、
ステップ333を行い、即ち、PDKを利用して、パケットにおけるMIC4が正確であるか否かを検証し、正確でない場合に、当該パケットを廃棄し、正確である場合にステップ334を実行し、
ステップ334を行い、即ち、PDKを利用して、MIC5を計算し、ユニキャスト鍵合意確認パケットを構成してREQに送信し、
ステップ335を行い、即ち、AACは新たに合意したユニキャストセッション鍵をインストールし、新たにインストールしたユニキャストセッション鍵の送受信機能を起動し、即ち、当該新たな鍵を利用してユニキャストデータに対して暗号化・復号化することを許可し、今回のユニキャスト鍵合意過程が更新過程であれば、さらに古いユニキャストセッション鍵を削除する必要があり、
ユニキャスト鍵合意確認パケットの内容には、NREQ及びMIC5が含まれ、
NREQフィールドは、REQのチャレンジを示し、REQが生成した乱数であり、その値は、ユニキャスト鍵合意応答パケットにおけるNREQフィールドの値と同じであり、
MIC5フィールドは、メッセージ認証コードを示し、AACが生成されたPDKを利用して、ユニキャスト鍵合意確認パケットにおける本フィールド以外の全てのフィールドに対して計算して得られたハッシュ値であり、
ステップ34を行い、即ち、REQは、ユニキャスト鍵合意確認パケットを受信した後に、以下の処理を行い、
ステップ341を行い、即ち、NREQフィールドが自分の送信したユニキャスト鍵合意応答パケットにおけるNREQフィールドと同じであるか否かを検査し、同じでない場合に、当該パケットを廃棄し、同じである場合に、ステップ342を実行し、
ステップ342を行い、即ち、PDKを利用して、パケットにおけるMIC5が正確であるか否かを検証し、正確でない場合に、当該パケットを廃棄し、正確である場合にステップ343を実行し、
ステップ343を行い、即ち、新たにインストールしたユニキャストセッション鍵の送信機能を起動し、即ち、当該新たな鍵を利用してユニキャストデータを暗号化して送信することを許可し、今回のユニキャスト鍵合意過程が更新過程であれば、さらに古いユニキャストセッション鍵を削除する必要があることを含む。
ステップ34のマルチキャスト鍵通告を行い、マルチキャスト鍵通告パケットの内容には、鍵通告標識KN、鍵暗号化データEMDK、およびMIC6が含まれ、
KNフィールドは、鍵通告標識を示し、一つの整数に初期化され、鍵更新通告の度に当該フィールドの値に1プラスし、通告の鍵が変わらないと、当該フィールドの値がそのまま保持され、
EMDKフィールドは、鍵暗号化データを示し、AACがPDKを利用して、マルチキャストデータ鍵MDKに対して暗号化したデータであり、
MIC6フィールドは、メッセージ認証コードを示し、AACがユニキャスト鍵合意過程で生成したPDKを利用して、マルチキャスト鍵通告パケットにおける本フィールド以外の全てのフィールドに対して計算して得られたものであり、
ステップ35のマルチキャスト鍵応答を行い、即ち、REQは、マルチキャスト鍵通告パケットを受信した後に、以下の処理を行い、
ステップ351を行い、即ち、KNフィールドが単調増加するか否かを調べ、否定の場合に、当該フィールドを廃棄し、肯定の場合に、ステップ352を実行し、
ステップ352を行い、即ち、ユニキャスト鍵合意過程で生成したPDKを利用して、MIC6フィールドが正確であるか否かを検証し、正確でない場合に、当該フィールドを廃棄し、正確である場合に、ステップ353を実行し、
ステップ353を行い、即ち、ユニキャスト鍵合意過程で生成したPDKを利用して、EMDKフィールドに対して復号化してMDKを取得し、
ステップ354を行い、即ち、今回のKNフィールドの値を保存し、且つマルチキャスト鍵応答パケットを生成して、AACに送信し、
マルチキャスト鍵応答パケットの内容にはKN及びMIC7が含まれ、
KNフィールドは、鍵通告標識を示し、その値はマルチキャスト鍵通告パケットにおけるKNフィールドの値と同じであり、
MIC7フィールドは、メッセージ認証コードを示し、REQがユニキャスト鍵合意過程で生成したPDKを利用して、マルチキャスト鍵確認パケットにおける本フィールド以外の全てのフィールドに対して計算して得られたものであり、
ステップ36を行い、即ち、AACは、マルチキャスト鍵応答パケットを受信した後に、以下の処理を行い、即ち、
ステップ361を行い、即ち、KNフィールドが前に送信したマルチキャスト鍵通告パケットにおける対応するフィールドの値と一致するか否かを比較し、一致しない場合に、当該フィールドを廃棄し、一致する場合に、ステップ362を実行し、
ステップ362を行い、即ち、ユニキャスト鍵合意過程で生成したPDKを利用して、MIC7フィールドが正確であるか否かを検証し、正確でない場合に、当該フィールドを廃棄し、正確である場合にマルチキャストデータ鍵を得ることを含む。
セキュリティポリシー合意要求パケットの主な内容には、以下のものが含まれる。
ParaECDHフィールドは、楕円曲線暗号方式の楕円曲線暗号パラメータを示し、リクエスタREQと認証アクセスコントローラAACが楕円曲線DH(ECDH:Elliptic Curve Diffie-Hellman)計算を行う際に採用する楕円曲線暗号パラメータである。
ParaECDHフィールドは、 ECDHパラメータを示し、リクエスタREQと認証アクセスコントローラAACがECDH計算を行う際に採用する楕円曲線暗号パラメータである。その値は、認証アクティブパケットにおけるParaECDHフィールドの値と同じである。
ユニキャスト鍵合意応答パケットの主な内容には以下のものが含まれている。
AAC 認証アクセスコントローラ
Claims (9)
- リクエスタREQが、認証アクセスコントローラAACとセキュリティポリシー合意を行うステップ1と、
REQがAACと身分認証を行うステップ2と、
REQがAACと鍵合意を行うステップ3と、
を含み、
上記ステップ1の具体的な実現方式は、
ステップ11のセキュリティポリシー合意要求を行い、即ち、REQがAACにアクセスする際に、AACはREQにセキュリティポリシー合意要求パケットを送信し、当該パケットにTIE AAC が含まれ、TIE AAC フィールドは、AACがサポートする3エレメントピア認証TePAの情報要素を示し、AACがサポートする認証と鍵管理スイート及び暗号スイートを含み、
ステップ12のセキュリティポリシー合意応答を行い、即ち、REQはセキュリティポリシー合意要求パケットを受信した後に、以下の処理を行い、
即ち、REQは、セキュリティポリシー合意要求パケットにおけるTIE AAC フィールドにより与えられた、AACがサポートする認証と鍵管理スイート及び暗号スイートに基づいて、ローカルポリシーを参照して両方が共有する認証と鍵管理スイート及び暗号スイートを選択して、セキュリティポリシー合意応答パケットを構成してAACに送信し、REQがセキュリティポリシー合意要求パケットにおける、AACがサポートする認証と鍵管理スイート及び暗号スイートの何れもサポートしない場合に、ローカルポリシーに基づいて、当該パケットを廃棄することができ、
セキュリティポリシー合意応答パケットの内容にTIE REQ が含まれ、TIE REQ フィールドは、 REQ が選択したTePA情報要素を示し、REQ が選択した認証と鍵管理スイート及び暗号スイートを含み、
ステップ13を行い、即ち、AACはセキュリティポリシー合意応答パケットを受信した後に、以下の処理を行い、即ち、
ステップ131を行い、即ち、AACは、REQ が選択した認証と鍵管理スイート及び暗号スイートをサポートするか否かを判断し、サポートしない場合に当該パケットを廃棄し、サポートする場合にステップ132を実行し、
ステップ132を行い、即ち、REQ が選択した認証と鍵管理スイートに基づいて相応する身分認証を開始することを含む、
ことを特徴とする有線LANのセキュリティアクセス制御方法。 - 上記鍵合意は、ユニキャスト鍵合意、或いはユニキャスト鍵合意とマルチキャスト鍵通告を含むことを特徴とする請求項1に記載の有線LANのセキュリティアクセス制御方法。
- 上記ステップ131において、REQ が選択した認証と鍵管理スイートは、証明書による認証プロトコルTAEP-CAAPであることを特徴とする請求項1又は2に記載の有線LANのセキュリティアクセス制御方法。
- REQ が選択した認証と鍵管理スイートがTAEP-CAAPの場合に、上記ステップ2の具体的な実現方式は、
ステップ21の認証のアクティブ化を行い、即ち、AACはREQに認証アクティブパケットを送信して、REQをアクティブにして証明書認証を行い、認証アクティブパケットは、SNonce、IDAS-AAC、CertAAC、ParaECDH 、TIEAAC及びSIGAACを含み、
SNonceフィールドは、認証標識を示し、初回目の身分認証過程の場合に、当該フィールドはAACが生成した乱数であり、身分認証の更新過程の場合に、当該フィールドの値は前回の身分認証過程で合意して生成した認証標識の値であり、
IDAS-AACフィールドは、AACが信頼するASの身分標識IDを示し、AACの証明書CertAACの発行者ASのIDであり、
CertAACフィールドは、AACの証明書を示し、
ParaECDHフィールドは、楕円曲線暗号方式の楕円曲線暗号パラメータを示し、REQとAACが楕円曲線DH計算を行う際に採用される楕円曲線暗号パラメータであり、
TIEAACフィールドは、AACがサポートする認証と鍵管理スイート及び暗号スイートを示し、その値は、セキュリティポリシー合意要求パケットにおけるTIEAACフィールドの値と同じであり、
SIGAACフィールドは、AACのサインを示し、AACが自分の私有鍵を利用して本パケットにおける本フィールド以外の全てのフィールドに対して行ったサインであり、選択可能なフィールドであり、
ステップ22のアクセス認証要求を行い、即ち、REQは、認証アクティブパケットを受信した後に、以下の処理を行い、即ち、
ステップ221を行い、即ち、今回の認証過程が身分認証の更新過程であれば、REQは、認証アクティブパケットにおける認証標識のフィールドの値が前回の身分認証過程で保存した認証標識と一致するか否かを検査し、一致しない場合に、当該パケットを廃棄し、さもなければ、ステップ222を実行し、今回の認証過程が証明書認証の更新過程ではなく、初回目の身分認証過程であれば、直接にステップ222を実行し、
ステップ222を行い、即ち、TIEAACフィールドの値が、セキュリティポリシー合意過程で受信したセキュリティポリシー合意要求パケットにおけるTIEAACフィールドの値と一致するか否かを検証し、一致しない場合に、当該パケットを廃棄し、一致する場合にステップ223を実行し、
ステップ223を行い、即ち、受信した認証アクティブパケットにSIGAACフィールドが含まれていれば、SIGAACフィールドの正確性を検証し、正確でない場合に、当該パケットを廃棄し、正確である場合に、ステップ224を実行し、受信した認証アクティブパケットにSIGAACフィールドが含まれていなければ、直接にステップ224を実行し、
ステップ224を行い、即ち、認証アクティブパケットにおけるIDAS-AACフィールドに基づいて、当該ASが発行したREQの証明書CertREQを選択するか、或いはローカルポリシーに基づいてREQの証明書CertREQを選択し、且つECDH交換に用いられるREQ鍵データx・PとREQチャレンジNREQを生成し、アクセス認証要求パケットを生成してAACに送信し、アクセス認証要求パケットの内容には、SNonce、NREQ 、x・P、IDAAC、 CertREQ 、ParaECDH 、ListAS-REQ 、TIE REQ 、及びSIG REQが含まれ、
SNonceフィールドは、認証標識を示し、その値は、認証アクティブパケットにおけるSNonceフィールドの値と同じであり、初回目の身分認証過程であれば、当該フィールドの値は認証アクティブパケットにおけるSNonceフィールドの値によって直接に決められ、身分認証の更新過程であれば、当該フィールドの値は前回の身分認証過程で計算した認証標識の値であり、
NREQフィールドは、REQチャレンジを示し、REQが生成した乱数であり、
x・Pフィールドは、REQの鍵データを示し、REQが生成した、ECDH交換に用いられる一時公開鍵であり、
IDAACフィールドは、AACの身分標識IDを示し、認証アクティブパケットにおけるAACの証明書CertAACフィールドにより得られたものであり、
CertREQフィールドは、REQの証明書を示し、
ParaECDHフィールドは、ECDHパラメータを示し、REQとAACがECDH計算を行う際に採用される楕円曲線暗号パラメータであり、その値は、認証アクティブパケットにおけるParaECDHフィールドの値と同じであり、
ListAS-REQフィールドは、REQが信頼するASのリストを示すが、REQの証明書CertREQの発行者を含まず、REQはその証明書の発行者以外に、さらに他のエンティティを信頼すれば、このフィールドによりAACに通知することができ、このフィールドは選択可能なフィールドであり、
TIE REQフィールドは、REQが選択した認証と鍵管理スイート及び暗号スイートを示し、その値は、セキュリティポリシー合意応答パケットにおけるTIE REQフィールドの値と同じであり、
SigREQフィールドは、REQのサインを示し、REQが自分の私有鍵を利用して本パケットにおける本フィールド以外の全てのフィールドに対して行ったサインであり、
ステップ23の証明書認証要求を行い、即ち、AACはアクセス認証要求パケットを受信した後に、以下の処理を行い、即ち、
ステップ231を行い、即ち、AACが認証アクティブパケットを送信すると、受信したパケットにおけるSNonce、ParaECDHフィールドの値が、認証アクティブパケットにおける対応するフィールドの値と一致するか否かを検査し、一つでも一致しない場合に、当該パケットを廃棄し、さもなければ、ステップ232を実行し、AACが認証アクティブパケットを送信していない場合に、SNonceフィールドの値が前回の証明書認証過程で計算した認証標識と一致するか否かを検査し、且つParaECDHフィールドが前回の認証アクティブパケットにおけるParaECDHと一致するか否かを検査し、一つでも一致しない場合に、当該パケットを廃棄し、さもなければ、ステップ232を実行し、
ステップ232を行い、即ち、IDAACが自分の身分と一致するか否かを検査し、且つTIE REQフィールドの値がセキュリティポリシー合意過程で受信したセキュリティポリシー合意応答パケットにおけるTIE REQフィールドの値と一致するか否かを検査し、一つでも一致しない場合に、当該パケットを廃棄し、さもなければ、ステップ233を実行し、
ステップ233を行い、即ち、REQのサインSig REQフィールドの正確性を検証し、正確でない場合に、当該パケットを廃棄し、さもなければ、ステップ234を実行し、
ステップ234を行い、即ち、AACのローカルポリシーが、ASを使用してREQの証明書CertREQを認証することを要求する場合に、AACは証明書認証要求パケットを生成してASに送信し、さもなければ、ステップ235を実行し、
ステップ235を行い、即ち、AACはREQの証明書CertREQに対してローカル認証を行い、即ち、ローカルにキャッシングしたREQの証明書CertREQの検証結果及びローカルポリシーで定義された適時性に基づいて、REQの証明書CertREQの検証結果を確認し、正当であれば、ECDH交換に用いられる鍵データ及びAACチャレンジNAACをローカルに生成し、当該鍵データがAACの一時公開鍵y・Pであり、且つ、REQの一時公開鍵x・P及び自分の一時私有鍵yに基づいてECDH計算を行ってベース鍵BK及び次回の身分認証過程の認証標識を取得して保存し、その後にアクセス結果を成功に設定し、アクセス認証応答パケットを構成してREQに送信し、且つユーザのネットワークへのアクセスを許可し、CertREQの検証結果が不正であれば、AACはアクセス結果を不成功に設定し、AACのチャレンジNAACと鍵データy・Pは任意値に設定でき、アクセス認証応答パケットを構成してREQに送信し、その後に当該REQとの関連を解除し、
証明書認証要求パケットの主な内容には、NAAC、 NREQ 、CertREQ 、CertAAC、及びListAS-REQが含まれ、
NAACフィールドは、AACのチャレンジを示し、AACが生成した乱数であり、
NREQフィールドは、REQのチャレンジを示し、REQが生成した乱数であり、その値は、REQが送信したアクセス認証要求パケットにおけるNREQフィールドの値と同じであり、
CertREQフィールドは、REQの証明書を示し、その値は、アクセス認証要求パケットにおけるCertREQフィールドの値と同じであり、
CertAACフィールドは、AACの証明書を示し、その値は、認証アクティブパケットにおけるCertAACフィールドの値と同じであり、
ListAS-REQフィールドは、REQが信頼するASのリストを示し、その値はREQが送信したアクセス認証要求パケットにおけるListAS-REQフィールドの値と同じであり、このフィールドは選択可能なフィールドであり、
ステップ24の証明書認証応答を行い、即ち、ASは、証明書認証要求パケットを受信した後に、以下の処理を行い、即ち、
ステップ241を行い、即ち、今回の認証過程が単一方向認証であれば、REQの証明書CertREQのみを検証すればよく、双方向認証であれば、AACの証明書CertAACとREQの証明書CertREQを同時に検証する必要があり、RFC3280を参照して証明書の検証を行い、検証できない場合に、相応の証明書の検証結果を、証明書の発行者が明確でないと設定し、さもなければ、証明書の状態を検証し、その後にステップ242を実行し、
ステップ242を行い、即ち、証明書の検証結果に基づいて、証明書認証応答パケットを構成し、且つ相応のサインを付加して、AACに送信し、証明書認証応答パケットの主な内容には、REScert 、SIGAS- REQ 、及びSIGAS- AACが含まれ、
REScertフィールドは、証明書の検証結果を示し、AACチャレンジの値NAAC、REQのチャレンジの値NREQ、CertAACの検証結果、CertREQの検証結果を含み、単一方向認証のみである場合に、AACの証明書CertAACの検証結果を含まず、
SIGAS- REQフィールドは、REQの信頼するASが本パケットにおける証明書の検証結果REScertフィールドに対して行ったサインを示し、
SIGAS- AACフィールドは、AACの信頼するASが証明書認証応答パケットにおける本フィールド以外の全てのフィールドに対して行ったサインを示し、このフィールドは選択可能なフィールドであり、証明書検証結果に対してサインを行うASとAACが信頼するASが同一であれば、このフィールドは必要がなく、
ステップ25のアクセス認証応答を行い、即ち、AACは、証明書認証応答パケットを受信した後に、以下の処理を行い、即ち、
ステップ251を行い、即ち、証明書の検証結果REScertフィールドにおけるAACのチャレンジNAACが証明書認証要求パケットにおけるNAACフィールドの値と同じであるか否かを検査し、同じでない場合に、当該パケットを廃棄し、同じである場合に、ステップ252を実行し、
ステップ252を行い、即ち、パケットに二つのサインのフィールドが含まれている場合に、AACが信頼するASのサインSIGAS- AACフィールドが正確であるか否かを検査し、正確でない場合に、当該パケットを廃棄し、正確である場合にステップ253を実行し、パケットに一つのサインのフィールドしか含まれていない場合に、即ちREQの信頼するASがAACの信頼するASでもあることを表明した場合に、SIGAS- REQフィールドが正確であるか否かを検査し、正確でない場合に、当該パケットを廃棄し、正確である場合にステップ253を実行し、
ステップ253を行い、即ち、証明書の検証結果REScertフィールドにおけるCertREQの検証結果が正当であるか否かを検査し、正当であれば、ECDH交換に用いられる鍵データy・P及びAACチャレンジNAACをローカル生成し、且つ、REQの一時公開鍵x・P及び自分の一時私有鍵yに基づいてECDH計算を行ってBK及び次回の身分認証過程の認証標識を取得して保存し、その後にアクセス結果を成功に設定し、アクセス認証応答パケットを構成してREQに送信し、且つユーザのネットワークへのアクセスを許可し、CertREQの検証結果が不正であれば、AACはアクセス結果を不成功に設定し、AACのチャレンジNAACと鍵データy・Pは任意値に設定でき、アクセス認証応答パケットを構成してREQに送信し、その後にREQとの関連を解除し、アクセス認証応答パケットの主な内容には、NREQ、NAAC、 AccRES、x・P、y・P、IDAAC、IDREQ、MRESCert、及びSIGAAC 或いはMIC1が含まれ、
NREQフィールドは、REQチャレンジを示し、REQが生成した乱数であり、このフィールドは選択可能なフィールドであり、単一方向認証過程のみである場合、アクセス認証応答パケットがこのフィールドを含む必要があり、存在している場合に、その値は、REQが送信したアクセス認証要求パケットにおけるNREQフィールドの値と同じであり、
NAACフィールドは、AACのチャレンジを示し、AACが生成した乱数であり、このフィールドは選択可能なフィールドであり、単一方向認証過程のみである場合、アクセス認証応答パケットがこのフィールドを含む必要があり、存在している場合に、その値は、AACが送信した証明書認証要求パケットにおけるNAACフィールドの値と同じであり、
AccRESフィールドは、アクセス結果を示し、AACが認証結果に基づいて設定したアクセス成功或いは失敗及び失敗の原因であり、
x・Pは、REQの鍵データを示し、REQが生成した、ECDH交換に用いられる一時公開鍵であり、その値は、REQが送信したアクセス認証要求パケットにおけるx・Pフィールドの値と同じであり、
y・Pは、AACの鍵データを示し、AACが生成した、ECDH交換に用いられる一時公開鍵であり、
IDAACフィールドは、AACの身分標識IDを示し、AACの証明書CertAACフィールドにより得られたものであり、
IDREQフィールドは、REQの身分標識IDを示し、受信したアクセス認証要求パケットにおけるREQの証明書CertREQフィールドにより得られたものであり、
MRESCertフィールドは、複合した証明書検証結果を示し、このフィールドは選択可能なフィールドであり、双方向認証過程のみである場合、アクセス認証応答パケットがこのフィールドを含む必要があり、存在している場合に、当該フィールドは証明書認証応答パケットにおける各フィールドにより構成され、且つ値も同じであり、
SIGAACフィールドは、AACのサインを示し、AACが自分の私有鍵を利用してアクセス認証応答パケットにおける本フィールド以外の全てのフィールドに対して行ったサインであり、
MIC1フィールドは、メッセージ認証コードを示し、AACが認証過程で合意生成したBKを利用して、アクセス認証応答パケットにおける本フィールド以外の全てのフィールド及び次回の証明書認証過程の認証標識に対して計算して得られたハッシュ値であり、
アクセス認証応答パケットは、SIGAACフィールドとMIC1フィールドのうちの何れかを含めば良く、今回の身分認証過程に認証アクティブパケットが存在し、且つ認証アクティブパケットにSIGAACフィールドが含まれている場合に、このパケットはMIC1フィールドだけを含み、今回の身分認証過程に認証アクティブパケットが存在しないか、或いは認証アクティブパケットにSIGAACフィールドが含まれていない場合に、このパケットはSIGAACフィールドだけを含み、
ステップ26のアクセス認証確認を行い、即ち、REQは、アクセス認証応答パケットを受信した後に、以下の処理を行い、即ち、
ステップ261を行い、即ち、パケットにおけるIDAAC とIDREQフィールドに基づいて、現在のアクセス認証要求パケットに対応するアクセス認証応答パケットであるか否かを判断し、否定の場合に、当該パケットを廃棄し、肯定の場合に、ステップ262を実行し、
ステップ262を行い、即ち、パケットにおけるREQ鍵データx・Pフィールドの値と、自分が送信したアクセス認証要求パケットにおけるx・Pフィールドの値が一致するか否かを比較し、一致しない場合に、当該パケットを廃棄し、さもなければ、ステップ263を実行し、
ステップ263を行い、即ち、単一方向認証過程であれば、NREQフィールドの値と前に送信したアクセス認証要求パケットにおけるNREQフィールドの値が一致するか否かを比較し、一致しない場合に、当該パケットを廃棄し、さもなければ、ステップ264を実行し、双方向認証過程であれば、直接にステップ264を実行し、
ステップ264を行い、即ち、パケットにおけるAccRESフィールドを調べ、アクセス結果が不成功であれば、当該AACとの関連を解除し、さもなければ、ステップ265を実行し、
ステップ265を行い、即ち、受信したアクセス認証応答パケットにSIGAACフィールドが含まれる場合に、SIGAACの正確性を検証し、正確でない場合に、当該パケットを廃棄し、さもなければ、ステップ266を実行し、受信したパケットにMIC1フィールドが含まれる場合に、MIC1フィールドの正確性を検証し、正確でない場合に、当該パケットを廃棄し、さもなければ、ステップ266を実行し、
ステップ266を行い、即ち、単一方向認証過程であれば、ステップ268を実行し、さもなければ、複合した証明書検証結果MRESCertフィールドに含まれるNREQフィールドの値が自分が送信したアクセス認証要求パケットにおけるNREQフィールドの値と一致するか否かを検証し、一致しない場合に当該パケットを廃棄し、一致する場合に、サインSIGAS- REQが正確であるか否かを検証し、正確でない場合に当該パケットを廃棄し、正確である場合にステップ267を実行し、
ステップ267を行い、即ち、複合した証明書検証結果MRESCertフィールドにおけるAACの証明書検証結果が正当であるか否かを検証し、不正であれば、当該ネットワークが不正であるため、当該ネットワークにアクセスすることができないことがわかり、さもなければ、当該ネットワークが正当であるため、当該ネットワークにアクセスすることができることがわかり、且つステップ268を実行し、
ステップ268を行い、即ち、REQはAACの一時公開鍵y・Pと自分の一時私有鍵xに基づいてECDH計算を行って、BK及び次回の証明書認証過程の認証標識を取得して保存し、
ステップ269を行い、即ち、受信したアクセス認証応答パケットにMIC1フィールドが含まれる場合に、アクセス認証確認パケットの送信が選択可能であり、受信したパケットにAACのサインSIGAACフィールドが含まれる場合に、アクセス認証確認パケットを構成してAACに送信する必要があり、アクセス認証確認パケットの主な内容には、MIC2が含まれ、
MIC2フィールドは、メッセージ認証コードを示し、REQが認証過程で合意生成したBKを利用して、AAC チャレンジの値NAAC、REQチャレンジの値NREQ及び次回の証明書認証過程の認証標識に対して計算して得られたハッシュ値である、
ことを含むことを特徴とする請求項3に記載の有線LANのセキュリティアクセス制御方法。 - 上記ステップ253において、AACがアクセス認証応答パケットをREQに送信した後に、送信したアクセス認証応答パケットに含まれるのがAACのサインSIG AACフィールドであれば、AACはアクセス認証確認パケットを受信するまで待機する必要があることを特徴とする請求項4に記載の有線LANのセキュリティアクセス制御方法。
- 上記ステップ269において、AACは、REQが送信したアクセス認証確認パケットを受信した後に、パケットにおけるMIC2フィールドの正確性を検証する必要があり、正確である場合に、REQが自分と一致するBKを備え、正確でない場合に、当該フィールドを廃棄することを特徴とする請求項4に記載の有線LANのセキュリティアクセス制御方法。
- 上記ステップ3の具体的な実現方式は、
ステップ31のユニキャスト鍵合意要求を行い、即ち、AACと REQが身分認証過程を完成した後に、AACはREQにユニキャスト鍵合意要求パケットを送信して、REQとのユニキャスト鍵合意を開始し、ユニキャスト鍵合意要求パケットの内容には、NAAC 及びMIC3が含まれ、
NAACフィールドは、AACのチャレンジを示し、初回目のユニキャスト鍵合意であれば、当該フィールドはAACが生成した乱数であり、ユニキャスト鍵の更新過程であれば、当該フィールドは前回のユニキャスト鍵合意過程で保存されたNAAC値であり、
MIC3フィールドは、メッセージ認証コードを示し、AACがAACとREQとの間で共有するBKを利用して計算して得られたハッシュ値であり、
ステップ32のユニキャスト鍵合意応答を行い、即ち、REQは、ユニキャスト鍵合意要求パケットを受信した後に、以下の処理を行い、
ステップ321を行い、即ち、今回の鍵合意過程がユニキャスト鍵の更新過程であれば、パケットにおけるNAACフィールドと前回の鍵合意過程で保存されたNAACが一致するか否かを検査し、一致しない場合に、当該パケットを廃棄し、一致する場合にステップ322を実行し、今回の鍵合意過程がユニキャスト鍵の更新過程でない場合に、直接にステップ322を実行し、
ステップ322を行い、即ち、MIC3フィールドが正確であるか否かを検証し、正確でない場合に、当該パケットを廃棄し、正確である場合にステップ323を実行し、
ステップ323を行い、即ち、REQはREQチャレンジNREQを生成し、その後に計算によりユニキャストセッション鍵及び次回の鍵合意過程で使用するNAACを取得して保存し、ユニキャストセッション鍵は、プロトコルデータ鍵PDKとユニキャストデータ鍵UDKを含み、
PDKを利用してMIC4を計算し、ユニキャスト鍵合意応答パケットを構成してAACに送信し、
REQが新たに合意したユニキャストセッション鍵をインストールし、
ユニキャスト鍵合意応答パケットの内容にはNREQ、 NAAC、及び MIC4が含まれ、
NREQフィールドは、REQのチャレンジを示し、REQが生成した乱数であり、
NAACフィールドは、AACのチャレンジを示し、その値はユニキャスト鍵合意要求パケットにおけるNAACフィールドの値と同じであり、初回目のユニキャスト鍵合意過程であれば、当該フィールドの値はユニキャスト鍵合意要求パケットにおけるNAACフィールドの値により直接に決められ、ユニキャスト鍵の更新過程であれば、当該フィールドは前回のユニキャスト鍵合意過程で保存されたNAAC値であり、
MIC4フィールドは、メッセージ認証コードを示し、REQが生成されたPDKを利用して、ユニキャスト鍵合意応答パケットにおける本フィールド以外の全てのフィールドに対して計算して得られたハッシュ値であり、
ステップ33のユニキャスト鍵合意確認を行い、即ち、AACは、ユニキャスト鍵合意応答パケットを受信した後に、以下の処理を行い、即ち、
ステップ331を行い、即ち、今回の鍵合意過程がユニキャスト鍵の更新過程であれば、パケットにおけるNAACフィールドと前回の鍵合意過程で保存されたNAACが一致するか否かを検査し、一致しない場合に、当該パケットを廃棄し、一致する場合にステップ332を実行し、今回の鍵合意過程がユニキャスト鍵の更新過程でない場合に、パケットにおけるNAACフィールドの値がユニキャスト鍵合意要求パケットにおけるNAACフィールの値と一致するか否かを検査する必要があり、一致しない場合に、当該パケットを廃棄し、さもなければ、ステップ332を実行し、
ステップ332を行い、即ち、パケットにおけるフィールドNREQ とNAACフィールドに基づいて、計算によりユニキャストセッション鍵及び次回の鍵合意過程で使用するNAACを取得して保存し、ユニキャストセッション鍵は、PDKとUDKを含み、
ステップ333を行い、即ち、PDKを利用して、パケットにおけるMIC4が正確であるか否かを検証し、正確でない場合に、当該パケットを廃棄し、正確である場合にステップ334を実行し、
ステップ334を行い、即ち、PDKを利用して、MIC5を計算し、ユニキャスト鍵合意確認パケットを構成してREQに送信し、
ステップ335を行い、即ち、AACは新たに合意したユニキャストセッション鍵をインストールし、新たにインストールしたユニキャストセッション鍵の送受信機能を起動し、即ち、当該新たな鍵を利用してユニキャストデータに対して暗号化・復号化することを許可し、今回のユニキャスト鍵合意過程が更新過程であれば、さらに古いユニキャストセッション鍵を削除する必要があり、
ユニキャスト鍵合意確認パケットの内容には、NREQ 及びMIC5が含まれ、
NREQフィールドは、REQのチャレンジを示し、REQが生成した乱数であり、その値は、ユニキャスト鍵合意応答パケットにおけるNREQフィールドの値と同じであり、
MIC5フィールドは、メッセージ認証コードを示し、AACが生成されたPDKを利用して、ユニキャスト鍵合意確認パケットにおける本フィールド以外の全てのフィールドに対して計算して得られたハッシュ値であり、
ステップ34を行い、即ち、REQは、ユニキャスト鍵合意確認パケットを受信した後に、以下の処理を行い、
ステップ341を行い、即ち、NREQフィールドが自分の送信したユニキャスト鍵合意応答パケットにおけるNREQフィールドと同じであるか否かを検査し、同じでない場合に、当該パケットを廃棄し、同じである場合に、ステップ342を実行し、
ステップ342を行い、即ち、PDKを利用して、パケットにおけるMIC5が正確であるか否かを検証し、正確でない場合に、当該パケットを廃棄し、正確である場合にステップ343を実行し、
ステップ343を行い、即ち、新たにインストールしたユニキャストセッション鍵の送信機能を起動し、即ち、当該新たな鍵を利用してユニキャストデータを暗号化して送信することを許可し、今回のユニキャスト鍵合意過程が更新過程であれば、さらに古いユニキャストセッション鍵を削除する必要がある、
ことを含むことを特徴とする請求項4に記載の有線LANのセキュリティアクセス制御方法。 - 上記ステップ3の具体的な実現方式は、
ステップ35のマルチキャスト鍵通告を行い、マルチキャスト鍵通告パケットの内容には、鍵通告標識KN、鍵暗号化データEMDK、およびMIC6が含まれ、
KNフィールドは、鍵通告標識を示し、一つの整数に初期化され、鍵更新通告の度に当該フィールドの値に1プラスし、通告の鍵が変わらないと、当該フィールドの値がそのまま保持され、
EMDKフィールドは、鍵暗号化データを示し、AACがPDKを利用して、マルチキャストデータ鍵MDKに対して暗号化したデータであり、
MIC6フィールドは、メッセージ認証コードを示し、AACがユニキャスト鍵合意過程で生成したPDKを利用して、マルチキャスト鍵通告パケットにおける本フィールド以外の全てのフィールドに対して計算して得られたものであり、
ステップ36のマルチキャスト鍵応答を行い、即ち、REQは、マルチキャスト鍵通告パケットを受信した後に、以下の処理を行い、
ステップ361を行い、即ち、KNフィールドが単調増加するか否かを調べ、否定の場合に、当該フィールドを廃棄し、肯定の場合に、ステップ362を実行し、
ステップ362を行い、即ち、ユニキャスト鍵合意過程で生成したPDKを利用して、MIC6フィールドが正確であるか否かを検証し、正確でない場合に、当該フィールドを廃棄し、正確である場合に、ステップ363を実行し、
ステップ363を行い、即ち、ユニキャスト鍵合意過程で生成したPDKを利用して、EMDKフィールドに対して復号化してMDKを取得し、
ステップ364を行い、即ち、今回のKNフィールドの値を保存し、且つマルチキャスト鍵応答パケットを生成して、AACに送信し、
マルチキャスト鍵応答パケットの内容にはKN及びMIC7が含まれ、
KNフィールドは、鍵通告標識を示し、その値はマルチキャスト鍵通告パケットにおけるKNフィールドの値と同じであり、
MIC7フィールドは、メッセージ認証コードを示し、REQがユニキャスト鍵合意過程で生成したPDKを利用して、マルチキャスト鍵確認パケットにおける本フィールド以外の全てのフィールドに対して計算して得られたものであり、
ステップ37を行い、即ち、AACは、マルチキャスト鍵応答パケットを受信した後に、以下の処理を行い、即ち、
ステップ371を行い、即ち、KNフィールドが前に送信したマルチキャスト鍵通告パケットにおける対応するフィールドの値と一致するか否かを比較し、一致しない場合に、当該フィールドを廃棄し、一致する場合に、ステップ372を実行し、
ステップ372を行い、即ち、ユニキャスト鍵合意過程で生成したPDKを利用して、MIC7フィールドが正確であるか否かを検証し、正確でない場合に、当該フィールドを廃棄し、正確である場合にマルチキャストデータ鍵を得る、
ことを含むことを特徴とする請求項4に記載の有線LANのセキュリティアクセス制御方法。 - リクエスタREQ、認証アクセスコントローラAAC、認証サーバASを含み、上記REQとASはAACにそれぞれ接続され、上記AACはREQにサービスポートを提供し、上記ASはREQとAACに認証サービスを提供し、
REQがAACとセキュリティポリシー合意を行い、
そのセキュリティポリシー合意を行う具体的な実現方式は、
セキュリティポリシー合意要求を行い、即ち、REQがAACにアクセスする際に、AACはREQにセキュリティポリシー合意要求パケットを送信し、当該パケットにTIE AAC が含まれ、TIE AAC フィールドは、AACがサポートする3エレメントピア認証TePAの情報要素を示し、AACがサポートする認証と鍵管理スイート及び暗号スイートを含み、
セキュリティポリシー合意応答を行い、即ち、REQはセキュリティポリシー合意要求パケットを受信した後に、以下の処理を行い、
即ち、REQは、セキュリティポリシー合意要求パケットにおけるTIE AAC フィールドにより与えられた、AACがサポートする認証と鍵管理スイート及び暗号スイートに基づいて、ローカルポリシーを参照して両方が共有する認証と鍵管理スイート及び暗号スイートを選択して、セキュリティポリシー合意応答パケットを構成してAACに送信し、REQがセキュリティポリシー合意要求パケットにおける、AACがサポートする認証と鍵管理スイート及び暗号スイートの何れもサポートしない場合に、ローカルポリシーに基づいて、当該パケットを廃棄することができ、
セキュリティポリシー合意応答パケットの内容にTIE REQ が含まれ、TIE REQ フィールドは、 REQ が選択したTePA情報要素を示し、REQ が選択した認証と鍵管理スイート及び暗号スイートを含み、
AACはセキュリティポリシー合意応答パケットを受信した後に、以下の処理を行い、
即ち、AACは、REQ が選択した認証と鍵管理スイート及び暗号スイートをサポートするか否かを判断し、サポートしない場合に当該パケットを廃棄し、サポートする場合にREQ が選択した認証と鍵管理スイートに基づいて相応する身分認証を開始することを含む、
ことを特徴とする有線LANのセキュリティアクセス制御システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910023628.2 | 2009-08-19 | ||
CN2009100236282A CN101631113B (zh) | 2009-08-19 | 2009-08-19 | 一种有线局域网的安全访问控制方法及其*** |
PCT/CN2009/075895 WO2011020274A1 (zh) | 2009-08-19 | 2009-12-23 | 一种有线局域网的安全访问控制方法及其*** |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013502762A JP2013502762A (ja) | 2013-01-24 |
JP5414898B2 true JP5414898B2 (ja) | 2014-02-12 |
Family
ID=41576059
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012525018A Active JP5414898B2 (ja) | 2009-08-19 | 2009-12-23 | 有線lanのセキュリティアクセス制御方法及びそのシステム |
Country Status (6)
Country | Link |
---|---|
US (1) | US8689283B2 (ja) |
EP (1) | EP2469788B1 (ja) |
JP (1) | JP5414898B2 (ja) |
KR (1) | KR101505590B1 (ja) |
CN (1) | CN101631113B (ja) |
WO (1) | WO2011020274A1 (ja) |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120291106A1 (en) * | 2010-01-19 | 2012-11-15 | Nec Corporation | Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program |
CN102065086B (zh) * | 2010-12-20 | 2013-01-16 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的平台鉴别过程管理方法 |
GB201106976D0 (en) * | 2011-10-03 | 2011-10-03 | Corcost Ltd | Corcost-SG002 |
US9462005B2 (en) * | 2013-05-24 | 2016-10-04 | Qualcomm Incorporated | Systems and methods for broadcast WLAN messages with message authentication |
US9712323B2 (en) * | 2014-10-09 | 2017-07-18 | Fujitsu Limited | Detection of unauthorized entities in communication systems |
US9621575B1 (en) * | 2014-12-29 | 2017-04-11 | A10 Networks, Inc. | Context aware threat protection |
KR101532024B1 (ko) * | 2015-04-29 | 2015-06-29 | 한밭대학교 산학협력단 | 차량 통신에서의 메시지 전송 방법 및 장치 |
US9692757B1 (en) * | 2015-05-20 | 2017-06-27 | Amazon Technologies, Inc. | Enhanced authentication for secure communications |
US9596079B1 (en) * | 2016-04-14 | 2017-03-14 | Wickr Inc. | Secure telecommunications |
CN105933125B (zh) * | 2016-07-07 | 2019-08-09 | 北京邮电大学 | 一种软件定义网络中的南向安全认证方法及装置 |
KR102382851B1 (ko) * | 2017-07-04 | 2022-04-05 | 삼성전자 주식회사 | eSIM 단말과 서버가 디지털 인증서를 협의하는 방법 및 장치 |
CN108322464B (zh) * | 2018-01-31 | 2020-11-17 | 中国联合网络通信集团有限公司 | 一种密钥验证方法及设备 |
CN109561431B (zh) * | 2019-01-17 | 2021-07-27 | 西安电子科技大学 | 基于多口令身份鉴别的wlan接入访问控制***及方法 |
KR102657527B1 (ko) | 2019-03-21 | 2024-04-15 | 삼성전자주식회사 | 계정 관련 정보에 기반하여 장치를 설정하는 방법 및 그 전자 장치 |
CN114760045A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
CN114760043A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
CN114760039A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
CN114760028A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
CN114760044A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
CN114760046A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
CN114760037A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
CN114760027A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
CN113612802B (zh) * | 2021-10-08 | 2022-02-18 | 苏州浪潮智能科技有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
CN114024767B (zh) * | 2021-11-25 | 2023-06-02 | 郑州信大信息技术研究院有限公司 | 密码定义网络安全体系构建方法、体系架构及数据转发方法 |
CN115134154B (zh) * | 2022-06-30 | 2024-06-18 | 长城汽车股份有限公司 | 认证方法、装置、远程控制车辆的方法及*** |
CN115242509B (zh) * | 2022-07-22 | 2023-10-17 | 河南警察学院 | 一种基于数据分析的网络接入用身份验证*** |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6691227B1 (en) * | 2000-09-08 | 2004-02-10 | Reefedge, Inc. | Location-independent packet routing and secure access in a short-range wireless networking environment |
US7516485B1 (en) * | 2001-05-29 | 2009-04-07 | Nortel Networks Limited | Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic |
US7167919B2 (en) * | 2001-12-05 | 2007-01-23 | Canon Kabushiki Kaisha | Two-pass device access management |
US7996888B2 (en) * | 2002-01-11 | 2011-08-09 | Nokia Corporation | Virtual identity apparatus and method for using same |
US7574603B2 (en) * | 2003-11-14 | 2009-08-11 | Microsoft Corporation | Method of negotiating security parameters and authenticating users interconnected to a network |
CN100389555C (zh) * | 2005-02-21 | 2008-05-21 | 西安西电捷通无线网络通信有限公司 | 一种适合有线和无线网络的接入认证方法 |
JP2006243791A (ja) | 2005-02-28 | 2006-09-14 | Hitachi Software Eng Co Ltd | セキュリティポリシー配布システム及び配布方法 |
US7975140B2 (en) * | 2005-04-08 | 2011-07-05 | Nortel Networks Limited | Key negotiation and management for third party access to a secure communication session |
US7656795B2 (en) * | 2005-04-11 | 2010-02-02 | International Business Machines Corporation | Preventing duplicate sources from clients served by a network address port translator |
US7676676B2 (en) * | 2005-11-14 | 2010-03-09 | Motorola, Inc. | Method and apparatus for performing mutual authentication within a network |
WO2008036694A2 (en) | 2006-09-18 | 2008-03-27 | Intel Corporation | Techniques for negotiation of security policies in wireless mesh networks |
CN100566251C (zh) | 2007-08-01 | 2009-12-02 | 西安西电捷通无线网络通信有限公司 | 一种增强安全性的可信网络连接方法 |
CN100512112C (zh) | 2007-10-16 | 2009-07-08 | 西安西电捷通无线网络通信有限公司 | 一种wapi证书鉴别方法 |
CN101227362B (zh) * | 2008-01-18 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 一种无线个域网接入方法 |
CN101222772B (zh) | 2008-01-23 | 2010-06-09 | 西安西电捷通无线网络通信有限公司 | 一种基于id的无线多跳网络认证接入方法 |
US8792646B2 (en) | 2008-03-25 | 2014-07-29 | Qualcomm Incorporated | Systems and methods for group key distribution and management for wireless communications systems |
CN101447992B (zh) * | 2008-12-08 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种基于三元对等鉴别的可信网络连接实现方法 |
-
2009
- 2009-08-19 CN CN2009100236282A patent/CN101631113B/zh active Active
- 2009-12-23 US US13/391,051 patent/US8689283B2/en active Active
- 2009-12-23 WO PCT/CN2009/075895 patent/WO2011020274A1/zh active Application Filing
- 2009-12-23 JP JP2012525018A patent/JP5414898B2/ja active Active
- 2009-12-23 EP EP09848415.7A patent/EP2469788B1/en active Active
- 2009-12-23 KR KR1020127006978A patent/KR101505590B1/ko active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
US8689283B2 (en) | 2014-04-01 |
EP2469788B1 (en) | 2018-08-01 |
JP2013502762A (ja) | 2013-01-24 |
EP2469788A1 (en) | 2012-06-27 |
EP2469788A4 (en) | 2017-07-26 |
KR101505590B1 (ko) | 2015-03-24 |
WO2011020274A1 (zh) | 2011-02-24 |
US20120151554A1 (en) | 2012-06-14 |
CN101631113B (zh) | 2011-04-06 |
KR20120052396A (ko) | 2012-05-23 |
CN101631113A (zh) | 2010-01-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5414898B2 (ja) | 有線lanのセキュリティアクセス制御方法及びそのシステム | |
JP6923611B2 (ja) | サービス層におけるコンテンツセキュリティ | |
KR101198570B1 (ko) | Id 기반 무선 멀티-홉 네트워크 인증 액세스의 방법,장치 및 시스템 | |
KR102134302B1 (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
US8312278B2 (en) | Access authentication method applying to IBSS network | |
JP5421926B2 (ja) | 無線マルチホップネットワークのための認証アクセス方法及び認証アクセスシステム | |
JP5524336B2 (ja) | 事前共有鍵に基づくネットワークセキュリティアクセス制御方法及びそのシステム | |
WO2013087039A1 (zh) | 一种安全传输数据方法,装置和*** | |
WO2012151351A1 (en) | Wireless authentication using beacon messages | |
CN107396350B (zh) | 基于sdn-5g网络架构的sdn组件间安全保护方法 | |
WO2008083628A1 (fr) | Serveur d'authentification, procédé, système et dispositif d'authentification mutuelle dans un réseau sans fil maillé | |
WO2011020279A1 (zh) | 一种基于公钥证书的身份鉴别方法及其*** | |
JP2014504826A (ja) | Ptpプロトコル用の鍵を配布するための方法および装置 | |
Patel et al. | Vehiclechain: Blockchain-based vehicular data transmission scheme for smart city | |
KR100892616B1 (ko) | 무선 센서 네트워크에서의 새로운 장치 참여 방법 | |
JP2013514018A (ja) | 交換デバイス間の安全な接続の構築方法及びシステム | |
KR20210126319A (ko) | 키 관리 장치 및 방법 | |
JP5011314B2 (ja) | ネットワーク装置からなるコミュニティに装置を組み入れるための方法および装置 | |
Zhang et al. | FKR: An efficient authentication scheme for IEEE 802.11 ah networks | |
WO2022135399A1 (zh) | 身份鉴别方法、鉴别接入控制器和请求设备、存储介质、程序、及程序产品 | |
KR100921153B1 (ko) | 무선 통신 네트워크 상에서의 사용자 인증 방법 | |
KR20080056055A (ko) | 통신 사업자간 로밍 인증방법 및 키 설정 방법과 그 방법을포함하는 프로그램이 저장된 기록매체 | |
JP2009239496A (ja) | 鍵暗号方式を用いたデータ通信方法、データ通信プログラム、データ通信プログラム記憶媒体、データ通信システム | |
WO2022135386A1 (zh) | 一种身份鉴别方法和装置 | |
Liu et al. | The Wi-Fi device authentication method based on information hiding |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130513 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130521 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130821 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131015 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131112 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5414898 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |