[go: up one dir, main page]

JP2009531764A - アプリケーションの認証 - Google Patents

アプリケーションの認証 Download PDF

Info

Publication number
JP2009531764A
JP2009531764A JP2009502128A JP2009502128A JP2009531764A JP 2009531764 A JP2009531764 A JP 2009531764A JP 2009502128 A JP2009502128 A JP 2009502128A JP 2009502128 A JP2009502128 A JP 2009502128A JP 2009531764 A JP2009531764 A JP 2009531764A
Authority
JP
Japan
Prior art keywords
application
server
bootstrapping
response
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009502128A
Other languages
English (en)
Other versions
JP4824813B2 (ja
Inventor
ラクシュメシュワール,シュリーカンス
ギンズブールグ,フィリップ
ライチネン,ペッカ
ホルトマンス,シルケ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Oyj
Original Assignee
Nokia Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Oyj filed Critical Nokia Oyj
Publication of JP2009531764A publication Critical patent/JP2009531764A/ja
Application granted granted Critical
Publication of JP4824813B2 publication Critical patent/JP4824813B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Stored Programmes (AREA)
  • Computer And Data Communications (AREA)

Abstract

本発明の1つの観点はアプリケーションを認証するための方法を開示する。本方法は、サーバーアプリケーション(408)を用いて、サーバーアプリケーション(408)とブートストラッピングサーバー機能(400)の間でブートストラッピング手順(412)を実行するステップ、少なくともブートストラッピング手順(412)中にブートストラッピングサーバー機能サーバー(400)から受信される鍵及びネットワークアプリケーション機能識別子基づき共有鍵を導出する(420、422)ステップ、ブートストラッピング手順(412)中にブートストラッピングサーバー機能サーバー(400)から受信されるブートストラッピングトランザクション識別子をアプリケーション(406)に供給する(414)ステップ、アプリケーション(406)からレスポンスを受信するステップ、及び共有鍵を用いてレスポンスの正当性を確認することによりアプリケーションを認証する(426)ステップを有する。

Description

本発明は、認証に関する。特に、本発明は、クライアントアプリケーションを認証するための、新規な及び改良された方法、コンピュータプログラム及びモバイル端末に関する。
真にモバイルコンピューティング及びネットワーキングに向かう現在の進展は、様々なアクセス技術の進化をもたらし、また、ユーザーが彼ら自身のホームネットワークの外部にいるとき、インターネットへのアクセスをユーザーに提供する。これまでのところ、インターネットの使用は、個人対機械の通信、即ち、情報サービスにより占められてきた。いわゆる第3世代(3G)ワイヤレスネットワークへの進展は、モバイルマルチメディア通信をもたらし、また、IPベースサービスが公衆モバイルネットワークで利用される方法を変化させるであろう。3GPP(3rd Generation Partnership Project)により規定されているように、IPマルチメディアサブシステム(IMS)は、モバイル音声通信とインターネット技術を統合し、IPベースマルチメディアサービスがモバイルネットワーク内で利用されることを可能にする。
新たなマルチメディア対応モバイル端末(マルチメディアフォーン)は、アプリケーション開発者に対しオープンな開発プラットフォームを提供し、独立しているアプリケーション開発者がマルチメディア環境に対する新たなサービス及びアプリケーションを設計することを可能にする。ユーザーは、次々と新たなアプリケーション/サービスをそのモバイル端末にダウンロードし、その中でそれらを使用することができる。
例えば、技術仕様3GPP TS 33.220は、汎用認証アーキテクチャ(GAA: Generic Authentication Architecture)の一部である汎用ブートストラッピングアーキテクチャ(GBA: Generic Bootstrapping Architecture)を開示している。GBAの一般的なネットワークモデルが、図1に開示される。図1に開示されたモデルは、4つの異なる構成要素を有する。ユーザー装置(UE)14、ブートストラッピングサーバー機能(BSF)12、ネットワークアプリケーション機能(NAF)16、及びホーム加入者システム(HSS)10である。図1は、構成要素間のインタフェースも開示している。
図2は、GBA内のブートストラッピング手順を説明するダイアグラムである。UE200がNAFとの情報のやり取りを希望し、及びブートストラッピング手順が必要であることを知っているとき、UE200は、まずブートストラッピング認証を実行しなければならない。ブートストラッピングが開始されると、UE200はBSF202に対しHTTP要求を送信する(21)。BSF202は、参照ポイントZh上でGBAユーザーセキュリティ設定の完全なセット及び1つの認証ベクター(AV: Authentication Vector、 AV = RAND || AUTN || XRES || CK || IK)をHSS204から取り込む(22)。そして、BSF202は、401メッセージ内で、RAND及びAUTNをUE200に転送する(23)(CK、IK及びXRESなしで)。これは、UE200が自身で認証するよう要求するためである。UE200は、チャレンジ(challenge)が認可されたネットワークからのものであるかを検証するため、AUTNを検査する(24)。UE200は、また、CK、IK及びRESを計算する。これは、BSF202及びUE200の両方におけるセッション鍵IK及びCKをもたらす。UE200は、Digest AKAレスポンス(RESを用いて計算される)を含むその他のHTTP要求をBSF202に送信する(25)。BSF202は、Digest AKAレスポンスを検証することによりUE200を認証し(26)、CKとIKを連結することによりマスター鍵Ksを生成する(27)。B-TID値も生成されなければならない。BSF202は、認証の成功を通知するために、B-TIDを含む200 OKメッセージをUE200に送信する(28)。さらに、200 OKメッセージ内で、BSF202は鍵Ksの有効期間を提供しなければならない。鍵KsはCKとIKを連結することによりUE200内に生成される。UE200とBSF202の両方は、鍵Ks_NAFを導出するためにKsを使用しなければならない。Ks_NAFは参照ポイントUaを保証するために使用されるものとする(図1参照)。
Ks_NAFは、Ks_NAF = KDF(Ks、鍵導出パラメータ)として計算され、ここでKDFは適切な鍵導出関数であり、鍵導出パラメータは、ユーザーのプライベート識別、NAF_Id及びRANDを有する。GBAに対するKDFは、3GPP TS 33.220、Annex B内で定義される。NAF_Idは、NAFの完全なDNSネーム及びUaプロトコルセキュリティ識別子をからなる。KDFはモバイル装置内に実装されなければならない。
端末内のアプリケーションがネットワークアプリケーションサーバーへの認証を希望するとき、端末内の信頼アプリケーションにより提供されるAPIを通して、NAF特定共有秘密Ks_NAFを得る。信頼アプリケーションは、NAF特定共有秘密Ks_NAFを導出するため、ネットワーク内のブートストラッピングサーバー機能(BSF)サーバーとの上記したブートストラッピング手順を使用する。NAFは、BSFとの通信により、このクライアントアプリケーションに対する共有秘密を得る。
サービスプロバイダーは、その他のサービスプロバイダーにより開発及び所有され、並びにそのサービスにアクセスするためにモバイル端末内に導入されたクライアントアプリケーションを阻止することができる。この目的を達成するために、サービスプロバイダーは、例えば、アプリケーションがサービスにアクセスを試みる度に、モバイル端末内のそのアプリケーションを認証してもよい。しかし、この方法は、サービスプロバイダーとアプリケーションの各展開されたコピーの間で、長期間のセキュリティ関係を必要とする。これら長期間のセキュリティ関係を保持することは、サービスプロバイダーのコストを大きく増大させるであろう。
NAF特定鍵、即ちKs_NAFは、実際にNAF(即ちサービス)特定であるから、NAFサービスプロバイダーにより信頼されたそれらアプリケーションのみKs_NAFへアクセスできるよう制限することによって、目的はモバイル端末により達成できる。この制限は、モバイル端末のプラットフォームハードウェア及びソフトウェアが次のセキュリティ特性を持つのであれば可能となる。(1)プロセスは互いを認証できる、及び(2)1つのプロセスはその他プロセスのデータにアクセスできない。しかし、モバイル端末は、どのアプリケーションが何のNAF特定証明書(即ち、NAF特定鍵)へのアクセスを許可されるかを知る必要があり、その様に構成されなければならない。
モバイル端末内にGBA証明書(即ち、NAF特定鍵のセット)へのアクセス許可を設定するために、少なくとも2つのオプションがある。
第1では、モバイル端末が、外部発信元(source)から全NAFアプリケーションに対する許可を持つ構成(configuration)データを得ることができる。この場合、構成データは、信頼された発信元からもたらされ、且つ安全保護されていることが要求される。GBA証明書へアクセスするための許可は、デバイス管理フレームワーク(例えば、OMAデバイス管理手順)を用いて、その他構成データと共にMEに供給され、これらの要求を実行する。構成データのセキュリティは、1)対称、2)非対称暗号に基づくことができる。このオプションは、外部のデバイス管理フレームワークなしでも使用することができる。例えば、モバイル端末は、それがエンドユーザーに配達されるまでに、例えば、製造業者により工場内において、又はモバイル端末の販売員により店内において、設定される。モバイル端末がそのエンドユーザーに届いた後、例えば、モバイル端末が各新たな許可を設定するようにその所有者に要請するなど、許可を手動で変更することができる。しかし、モバイル端末の手動設定はサービス利用の使い勝手を損なうかも知れず、そのため、出来る限り自動的に許可を設定することが望ましい。更に、このオプションの潜在的な不利点は、構成データの発信元が全NAFアプリケーションに対する許可を定義するため、その発信元が全てのサービスプロバイダーにより信頼されなければならないことである。
第2では、各アプリケーションに対するアクセス権が、外部発信元との通信に基づき、1つずつ端末内で設定できる。
各アプリケーションに対してアクセス権を個々に設定するためのその他の方法は、公開鍵基盤(PKI: Public Key Infrastructure)及び署名されたアプリケーションを使用することである。通常、署名されたアプリケーションの署名は、アプリケーション特定デジタル証明書を用いて検証することができる。アプリケーションを認証及び検証するために使用されるPKIシステムは、サービス、又は複数サービスを定義するための可能性を有するかもしれず、このアプリケーションはアクセスする(即ち、アプリケーションがアクセス権を持つNAF特性証明書に)ことを許可される。この情報は、アプリケーション証明書自体内にコード化される、又はアプリケーションのメタデータの一部とすることができる。通常、この情報は各NAF特性証明書を一意的に識別するNAF識別子からなる。
GBA対称鍵を用いた構成のセキュリティは、NAF及びモバイル端末が鍵Ks_NAFを共有するという事実に基づく。この代替を実行するための2つの主な方法は、次である。(1)もしアプリケーションがKs_NAFにより署名されているのなら、そのNAFの証明書の今後の事例にアクセスを得ることが信頼されている、及び、(2)もしアプリケーションがKs_NAFを知っていることをモバイル端末に一度証明できるなら、そのNAFの証明書の今後の事例にアクセスを得ることが信頼されている。
クライアントアプリケーションがモバイル端末に導入されるとき、このアプリケーションがGAA_MEサーバーから得られるNAF特定鍵を得ることを希望するのであれば、このアプリケーションとモバイル端末内に導入されるGAA_MEサーバー(即ち、BSFを用いたブートストラッピング手順を実行する信頼アプリケーション)の間の信頼を確立する必要がある。しかし、NAF特定デジタル証明書を用いてアプリケーションに署名する方法、及び端末内のアプリケーションの信頼を確立するために署名を使用する方法がある。例えば、これはSymbian端末内で使用されている。しかし、GAA_MEサーバーは全ての導入されたアプリケーション(信頼された)以外が、NAF特定鍵と共に供給されるべきかどうかは知らない。
上記した問題は、アプリケーションにより署名されたこのアプリケーションはGAAクライアント能力と共に提供されるべきである(即ち、NAF証明書はGAA_MEサーバーからモバイル端末アプリケーションに取得される)ということを述べている証明書に幾つかのエントリーを加えることにより解決することができる。この解決方法は、信頼を調整するためにGAA_MEサーバーと(プラットフォームセキュリティを伴う)プラットフォーム間に幾つかのメカニズムを必要とする。クライアントアプリケーションがラップトップ(分離端末使用例)のような近接装置内にあり、電話のGAA_MEサーバーを使用することを希望するとき、この解決方法は実行するのに手の込んだものとなる。
上記に基づき、従来技術の解決方法において解決する必要がある幾つかの問題がある。例えば、モバイル端末内のどのアプリケーションが何のNAF証明書へのアクセスを許可され、どのようにこれを設定するかである。更に、その他の問題は、モバイル端末内のGAA_MEサーバーにどのようにアプリケーションを認証するかである。
本発明の1つの観点によれば、アプリケーションを認証する方法が提供される。本方法は、信頼されたサーバーアプリケーションを用いて、信頼されたサーバーアプリケーションとブートストラッピングサーバー機能の間でブートストラッピング手順を実行するステップ、少なくともブートストラッピング手順中にブートストラッピングサーバー機能サーバーと一致した鍵及びネットワークアプリケーション機能識別子に基づき共有鍵を導出するステップ、ブートストラッピング手順中にブートストラッピングサーバー機能サーバーから受信されるブートストラッピングトランザクション識別子をアプリケーションに提供するステップ、アプリケーションからのレスポンスを受信するステップ、及び共有鍵を用いてレスポンスの正当性を確認(validate)することによりアプリケーションを認証するステップを有する。
本発明のその他の観点によれば、信頼されたサーバーアプリケーションを持つアプリケーションを認証する方法が提供される。本方法は、信頼されたサーバーアプリケーションから、アプリケーションと共に少なくともブートストラッピングトランザクション識別子を受信するステップ、ネットワークアプリケーション機能サーバーとの通信リンクを開けるステップ、通信リンクを介して、少なくともブートストラッピングトランザクション識別子をネットワークアプリケーション機能サーバーに供給するステップ、ブートストラッピングトランザクション識別子を供給することに応答して、ネットワークアプリケーション機能サーバーから少なくともレスポンスを受信するステップ、及びネットワークアプリケーション機能サーバーから受信された少なくともレスポンスを信頼されたサーバーアプリケーションに供給することによりアプリケーションを認証するステップを有する。
本発明のその他の観点によれば、認証鍵を導出する方法が提供される。本方法は、アプリケーションとの通信リンクを開くステップ、通信リンクを介して、アプリケーションから少なくともブートストラッピングトランザクション識別子を受信するステップ、共有鍵を受信するため、ブートストラッピングサーバー機能サーバーに要求を送信するステップで、該要求は少なくともブートストラッピングトランザクション識別子を有するステップ、要求に応答し、ブートストラッピングトランザクション識別子から共有鍵を受信するステップ、少なくとも共有鍵を用いてレスポンスを導出するステップ、及びアプリケーションに少なくともレスポンスを送信するステップを有する。
上記の観点の各々は、コンピューター読み取り可能媒体に搭載可能なコンピュータープログラムとして実装することができる。
本発明のその他の観点によれば、アプリケーションを認証するためのモバイル端末が提供される。本モバイル端末は、信頼されたサーバーアプリケーションとブートストラッピングサーバー機能の間でブートストラッピング手順を実行し、少なくともブートストラッピング手順中にブートストラッピングサーバー機能サーバーから受信される鍵要素及びネットワークアプリケーション機能識別子に基づき共有鍵を導出し、ブートストラッピング手順の間にブートストラッピングサーバー機能サーバーから受信されるブートストラッピングトランザクション識別子をアプリケーションに供給し、アプリケーションからレスポンスを受信し、共有鍵を用いてレスポンスの正当性を確認することによりアプリケーションを認証するよう構成された信頼されたサーバーアプリケーションを有する。
本発明は、従来技術の解決方法に対し幾つかの有利点を持つ。GAA証明書が幾つかのNAFを認証し、GAA_MEサーバーへの登録に対し使用される共有秘密(即ち、KS_NAF_install)を導出できない限り、ウィルスアプリケーション又はどのようなサードパーティーアプリケーションでさえも、モバイル装置内にインストールされたGAA_MEサーバーからのGAA証明書を要求できない。
更に、本発明は、GAA_MEサーバーと近接端末上のアプリケーションの間の共有秘密を導出するための解決方法を提供する。本発明内で開示される解決方法は、GAA_MEサーバーに対し近接アプリケーションを認証するために使用される。しかし、これは、近接デバイス内にもある種の信頼されたコンピューティング(プラットフォームセキュリティ)があることが必要となる。
更に、本発明は、アプリケーションを配信するために魅力あるオプションをオペレーターに提供する。ユーザーネーム−パスワードに基づく認証(又はその他の認証メカニズム)を既に持つオペレーターにとって、本発明内で開示される解決方法は、GAAに基づく証明利用の方へ移ることを簡単にする。
更に、2つのデバイスがグループ共有鍵を生成できるように本発明を使用することもでき、グループ共有鍵はグループ通信に対し使用され、並びにその他ユーザーに更に割振ることができ、これは、例えば、ユーザー間で秘密トンネルを設定するため、及びユーザー間で仮想プライベートネットワーク(VPN)を設定するための証明書を交換するため、又はユーザー間で転送レイヤセキュリティ(TLS: Transport Layer Security)を設定するためである。
一般的に、本発明内で開示される解決方法は、オペレーター特定アプリケーションの導入のため、及び存在する要素と新たに導入される要素の間の信頼を確立するために使用される。
本発明の更なる理解をもたらすために包含され、本明細書の一部を構成する添付の図面は、本発明の実施例を説明し、記述と共に、本発明の原理を説明することを補助する。
ここで、本発明の実施例について詳細に述べ、それらの例は添付の図面内で説明される。
図3は、本発明内に開示される解決方法の一部となる様々な要素を説明するブロックダイアグラムを開示する。図3は、5つの異なる構成要素を開示する。モバイル装置(ME: Mobile Equipment)300、ブートストラッピングサーバー機能(BSF: Bootstrapping Server Function)302、ネットワークアプリケーション機能(NAF: Network Application Function)306、ホーム加入者システム(HSS: Home Subscriber System)304、及びコンピューター308である。図3のブロックダイアグラムは、分離端末の状態も考慮している。分離端末状態において、局部アプリケーション320は、例えば、コンピューター308内に属する。局部アプリケーションは、GAAモジュール318及び近接モジュール312を介しモバイル装置のGAA_MEサーバー314に接続される。モバイル装置314とコンピューター308の間の実際の接続は、例えば、ブルートゥースなどの近接リンクなどを介して達成される。APP_ME310は、モバイル装置300内に組み込まれた(クライアント)アプリケーションである。言い換えると、このアプリケーションは、モバイル装置自体、又はモバイル装置300との局部接続を有するコンピューター308のどちらか一方内に組み込むことができる。
GAAアーキテェクチャーは、モバイル装置300とNAF306の間の共有秘密を生成するための方法を供給する。この秘密は、モバイル装置300がNAF306に認証することを希望するときはいつでも使用される。モバイル装置300内のアプリケーションは、NAF特定鍵を生成するためのGAAブートストラッピングを実行するためにUSIM(又はISIM又はSIM)証明書を必要とする。USIMからUSIM証明書を得るための機能は、セキュリティ脅威のため、好適にはモバイル装置300内の全アプリケーションが利用できるようすべきではない。このため、信頼されたGAA_MEサーバー314が、製造過程又は後程において、モバイル装置300内に組み込まれ、これはUSIMからUSIM証明書を得るための機能、従って、NAF証明書を生成するためのブートストラッピングを行う機能を持つ。そして、クライアントアプリケーション(APP_ME)は、NAF特定証明書を得るためにGAA_MEサーバー314のサービスを使用する。そのようなGAA_MEクライアントアプリケーションは、NAFプロバイダーにより準備され、まとめられる。そのようなアプリケーションは、プラットフォーム(symbian、xp、Linux(登録商標)、Java(登録商標)など)が了解するデジタル署名を用いて署名される。導入後、そのようなアプリケーションは、その最初の実行中にGAA_MEサーバー314に登録される。
モバイル装置300及びネットワークアプリケーション機能306は、コンピュータープログラム(又はその一部)も有することができるメモリ又は複数メモリ(図3内には開示されない)を有することができ、これはデータ処理ユニット上で実行されるとき、本発明の少なくとも幾つかのステップを実行する。データ処理ユニットはメモリを有することもでき、又は1つのメモリは、コンピュータープログラム(又はその一部)を有するものと関連し、これはデータ処理ユニット上で実行されるとき、本発明の少なくとも幾つかのステップを実行する。
図4は、本発明に従い、モバイル装置内のサーバーアプリケーションにアプリケーションを登録及び認証するための一実施例を説明するシグナリングダイアグラムである。図4は、3つの異なる構成要素を開示する。ブートストラッピングサーバー機能(BSF: Bootstrapping Server Function)サーバー400、ネットワークアプリケーション機能(NAF)サーバー402及びモバイル装置(ME)404である。モバイル装置404は、図3内に既に開示されているクライアントアプリケーションAPP_ME406及びサーバーアプリケーションGAA_ME408を有する。その他の実施例においては、クライアントアプリケーションAPP_MEは、例えばモバイル装置404に接続される外部デバイス内など、モバイル装置404の外に置かれる。
図4の実施例において、APP_ME406は、GAA_MEサーバー408に登録要求を送る(410)。要求は、APP_MEがGAA_MEサーバー408に対して自身を認証したい旨をGAA_MEサーバー408に示す。要求は、NAF識別子及び/又はアプリケーションインスタンス識別子を含むこともできる。アプリケーションプロバイダーは、アプリケーションをハードコードする、又は何らかの形で、その中にNAF識別子及びアプリケーションインスタンス識別子を設けるよう構成することができる。
GAA_MEサーバー408は、BSF400と共に3GPPブートストラッピングプロトコルを実行する(412)。ブートストラッピングプロトコルは、例えば、3GPP技術仕様書3GPP TS 33.220 V7.2.0 (2005-12)内に詳細に開示される。ブートストラッピングの間、GAA_MEサーバー408は、BSF400から少なくともブートストラッピングトランザクション識別子(BTID: Bootstrapping Transaction Identifier)及び鍵有効時間を受信し、APP_ME406に少なくともBTIDブロックを戻す(414)。GAA_MEサーバー408は、要素Ksを導出することができ、NAF識別子を知るため、GAA_MEサーバー408とNAF402の間の共有秘密である鍵Ks_NAFを導出することができる。そして、GAA_MEサーバー408は、Ks_NAFを用いて導入鍵Ks_NAF_installを、及び任意には、何らかの適切な方法を用いて、先に述べたアプリケーションインスタンス識別子を導出する(422)。
GAA_MEサーバー408からBTIDを受信した後、APP_ME406はNAF402との通信リンクを開く。通信リンクは、例えば、セキュアソケットレイヤ(SSL: Secure Socket Layer)又はその他適切な方法を使用することにより、可能性のある介入者攻撃(man-in-the-middle attack)を軽減することを保証される。
その後、APP_ME406は、適切な認証手順を用いて、NAF402に自身を認証する(416)。従来技術の中に、使用することができる幾つかの適用可能認証方法がある。認証手順は以下の1つを有することができる。
- アプリケーションに対しハードコードされたワンタイムパスワード。この場合、単にコードを検査することによりパスワードを取り出すことが非常に困難となるよう、アプリケーションのコードは難読化されることが望ましい。
- バンド(band)外で得られたユーザーネーム及びパスワード(ポストのような又は店を訪れる)。
- 証明書を得るためにオンラインでNAFに登録する。
更に、認証方法及びチャネルの保証はNAF特定とできる。共有鍵TLSは、共有秘密の場合においても使用することができる。また、HTTP-DIGEST認証方法は、認証に対しよく使用される。
ひとたびAPP_ME406がNAF402に認証されると、NAF402は、BTIDを用いてBSF400からNAF特定鍵Ks_NAFを持ってきて(418)、Ks_NAF_installを導出する(420)(ステップ422と同様)。そして、Ks_NAF_installをAPP_ME406に転送する(424)。その転送は、好ましくは秘密とすべきである。
APP_ME406は、共有秘密としてKs_NAF_installを用いてGAA_MEサーバー408に自身を認証することができる(426)。認証が成功であるなら、GAA_MEサーバー408は、その局部構成に応じて、その信頼されたアプリケーションリスト内にアプリケーションを追加する(428)。それゆえに、ステップ428は、任意のステップとすることもできる。アプリケーションが信頼されたアプリケーションリスト内にあるなら、将来的にAPP_ME406がNAF鍵を要求するときは何時でも、GAA_MEサーバー408は、NAF402からの追加の認証なしにブートストラップし、NAF鍵を供給する。
図4で開示される実施例において、2つの導入鍵導出ボックス(420、422)が同一レベルに置かれる。しかし、各々は要求に応じて上又は下に移動することができる。導入鍵の導出は、例えば、Ks_(ext)_NAF及びアプリケーションインスタンス識別子を用いてハッシング(hashing)を使用することで行われる、又はKs_NAF_installとしてKs_ (ext) _NAF自体を使用する。
APP_ME406及びNAF402を初期に認証するために使用される共有秘密は、ワンタイムパスワードとすることもできる。端末がクライアントのGAA_MEサーバー408との信頼を確立した時点で、パスワードはNAF402において削除できる。共有秘密は、幾つかのモバイル端末特性に基づき導出することもできる。更に、APP_ME406とNAF402自体の間の認証プロトコルは、よく知られた認証プロトコルの何れかとすることができる。認証が完了すると、APP_ME406とNAF402の間の通信を保証するための方法は、よく知られた方法の1つとすることができる。共有秘密(例えば、ユーザーネーム及びパスワード)が使用される場合、共有鍵TLSプロトコルが1つの代替となる。
本発明の1つの実施例において、GAA_MEサーバー408が、特定のNAF idを用いてAPP_ME406を首尾よく認証したとき、GAA_MEサーバー408は、同一NAF idに属する鍵Ks_NAF の将来のインスタンスのみへのアクセスをAPP_MEに承諾することができ、その他のNAF特定鍵はアクセスできない。本発明のその他の実施例において、APP_ME406への完全なアクセスが承諾される、即ち、APP_ME406はいずれのNAFのKs_NAF鍵を得ることができる。
更に、本発明の1つの実施例において、手順の間、複数のKs_NAF鍵が複数の鍵へのアクセスを承諾するために使用され、即ち、NAF 402は、BSF400(そうなるように認証されているという条件において)から複数のKs_NAF鍵を取ってくる、そしてNAF 402は複数のKs_NAF_install鍵を導出し、それらをAPP_ME406に送信する。そしてAPP_ME406はGAA_MEサーバー408にそれらを登録できる。このようにAPP_ME406は、1つより多いNAF特定鍵へのアクセスを得ることになる。
図5は、本発明に従い、モバイル装置内のサーバーアプリケーションにアプリケーションを登録及び認証するためのその他の実施例を説明するシグナリングダイアグラムである。図5は、3つの異なる構成要素を開示する。ブートストラッピングサーバー機能(BSF)サーバー500、ネットワークアプリケーション機能(NAF)サーバー502及びモバイル装置(ME)504である。モバイル装置504は、図3内に既に開示されているクライアントアプリケーションAPP_ME506及びサーバーアプリケーションGAA_ME508を有する。その他の実施例では、クライアントアプリケーションAPP_MEは、例えばモバイル装置504に接続される外部デバイス内など、モバイル装置504の外部に置くことができる。
図5の実施例において、APP_ME506は、GAA_MEサーバー508に登録要求を送る(510)。要求は、APP_MEがGAA_MEサーバー508に自身を認証することを希望する旨をGAA_MEサーバー508に示す。要求は、NAF識別子及び/又はアプリケーションインスタンス識別子を含むこともできる。アプリケーションプロバイダーは、アプリケーションをハードコードする、又は何らかの形で、その中にNAF識別子及びアプリケーションインスタンス識別子を設けるよう構成することができる。
GAA_MEサーバー508は、BSF500と共に3GPPブートストラッピングプロトコルを実行する(512)。ブートストラッピングプロトコルは、例えば、3GPP技術仕様書3GPP TS 33.220 V7.2.0 (2005-12)内に詳細に開示される。ブートストラッピングの間、GAA_MEサーバー508は、BSF500から少なくともブートストラッピングトランザクション識別子(BTID: Bootstrapping Transaction Identifier)及び鍵有効時間を受信する。GAA_MEサーバー508は、鍵Ksを導出することができ、NAF識別子を知るため、GAA_MEサーバー508とNAF502の間の共有秘密である鍵Ks_NAFを導出することができる(514)。GAA_MEサーバー508は、またAPP_ME506に対しランダムチャレンジを生成する(514)。この後、GAA_MEサーバー508は、少なくともBTID及びチャレンジをAPP_ME506に渡す(514)。
GAA_MEサーバー508からBTID及びチャレンジを受信した後、APP_ME506はNAF502との通信リンクを開き、BTID及びチャレンジをNAF502に渡す(518)。通信リンクは、可能性のある介入者攻撃を軽減することを保証される。
NAF502は、BTIDを用いてBSF400からNAF特定鍵Ks_NAFを取ってくる(520)、及びKs_NAFを用いてチャレンジに対するレスポンスを導出する(522)。レスポンスは、例えば、1方向ハッシュ関数又は鍵のあるハッシュメッセージ認証コード(HMAC: hash message authentication code)を使用することにより計算することができ、入力パラメータは少なくともKs_NAF及びチャレンジを有する。NAF502は、Ks_NAFでデータに署名することもできる。データは、NAF特定鍵(Ks_NAF)へアクセスできるように、NAF502が認証するアプリケーションの1つ以上のハッシュを有することができる。これらハッシュの1つは、ME504内に先に導入されているAPP_MEアプリケーション506のハッシュとできる。アプリケーションのハッシュは、単に1つの可能性であることに注意すべきである。情報のその他の部分、即ち、アプリケーションの適切な特性化をハッシュの代わりに使用することができる。例えば、アプリケーションが、WLAN又はブルートゥースなどのローカルネットワークを介しユーザーの端末に接続されている別のデバイス内に置かれるなら、アプリケーションの特性化はデバイスのネットワークアドレスとできる。また、外部デバイス内のアプリケーションの1つの可能性ある特性化は、そのデバイスのシリアル番号である。更に、1つの可能性ある特性化は、コンテンツ署名公開鍵である。更に、本発明の1つの実施例において、NAF502への要求(518)はプラットフォーム(例えば、「Nokia device running Series 60 v3.1」)の一部の特性化を有することができ、NAF502がアプリケーションの正しく条件のあった特性化を送り戻すことを補助する。そして、NAF502は、レスポンス及び場合により署名されたデータをAPP_ME506に転送する(524)。
署名されたデータは、例えば、NAF502がメッセージに追加する幾つかの追加のデータを参照し、これはKs_NAFを用いて署名される。このように、GAA_MEサーバーは、この追加データの署名を検証し、それがKs_NAFを知る信頼される発信元から来たことを確認できる。
APP_ME506は、レスポンス及び署名されたデータを用いてGAA_MEサーバー508に自身を認証することができる(526)。認証が成功であれば、即ち、レスポンス、及び署名されたデータの署名が正しいなら、GAA_MEサーバー508は認証手順を続行し、Ks_NAFにAPP_ME506へのアクセスを承諾する。更に、GAA_MEサーバー508は、APP_ME506のハッシュを計算し、このハッシュが署名されたデータ内のものかを検査することもできる。上記検査の少なくとも1つが成功であれば、GAA_MEサーバー508は、その局部構成に従い、その信頼されたリスト内にアプリケーションを追加できる(528)。アプリケーションが信頼されたリスト内にあるのであれば、今後、APP_ME506がNAF鍵を要求するときは何時でも、GAA_MEサーバー508はNAFからの追加の認証なしに、ブートストラップし、NAF鍵を供給する。
信頼されたリスト内へアプリケーションを追加することは、「ワンタイム承諾」及び「完全承諾」を持つ可能性を与える。第1のケースでは、APP_MEはKs_NAFへの各要求に対して追加の認証(レスポンス又は署名されたデータ又は両方)を常に得ることが必要であり、そして、第2のケースでは、APP_MEはKs_NAFへの今後の要求において追加の認証を得る必要はない。
最後に、上で行われた検証が成功した場合、GAA_MEサーバー508は、手順が成功したことをAPP_MEに示し(530)、場合により、このメッセージにKs_NAFを含める。
本発明の1つの実施例において、GAA_MEサーバー508が首尾よくAPP_ME506を認証したとき、GAA_MEサーバー408は、手順中に使用された特定のNAF特定鍵Ks_NAFのみへのアクセスを承諾することができ、その他のNAF特定鍵はアクセスできない。特に、署名されたデータが、APP_ME506を介してNAF502からGAA_MEサーバー508に送信されなかった場合がそうである。本発明のその他の実施例では、完全なアクセスがAPP_ME506に与えられ、即ち、APP_ME506は全ての可能なKs_NAF鍵を得ることができる。
本発明のその他の実施例では、Ks_(ext)_NAFが、グループ通信を保証するため、グループ鍵として使用され、何らかの形式のGBA鍵生成又は要求能力を全く持たないかもしれないその他のデバイスと共有しても良い。この実施例は、例えば、ホーム環境において、多くの低能力デバイスとの通信リンクを保証するために、又はパーソナルVPN(仮想プライベートネットワーク)を設定するために使用できる。
更に、本発明の1つの実施例において、上記したステップ510又はステップ526のどちらか一方において、NAF_IDをAPP_ME506からGAA_MEサーバー508に送信することができる。
更に、本発明の1つの実施例において、手順中、複数のKs_NAF鍵が複数鍵へのアクセスを承諾するために使用できる、即ち、NAF502は、BSF500(そのように認証されているという条件で)から複数のKs_NAF鍵を取って来て、及びNAF502はこれらKs_NAF鍵を用いてチャレンジに対する複数のレスポンスを計算し、そして、Ks_NAF鍵の全て又はサブセットを使用しデータに任意に署名し、それらをAPP_ME506に送信する。そして、APP_ME506はそれらをGAA_MEサーバー508に登録できる。このように、APP_ME506は1つより多いNAF特定鍵へのアクセスを得る。
更に、本方式は、多くのその他の使用例に適用することができ、端末装置がサービスプロバイダー(例えば、装置製造業者、又はネットワークオペレーターによる)を信頼するよう構成され、そのため、端末装置及びサービスプロバイダーは共有鍵を所有する、又は一致することができる。新たなアプリケーションがサービスプロバイダーにより信頼されていることを端末に証明できる場合、どのようにアプリケーションが「信頼されている」ことの印を付けられ、ユーザーの端末に導入されるかを詳細に記述してきた。この証明は、端末とサービスプロバイダーの間で共有される鍵の知識に基づく。
例えば、端末内に導入されるべきアプリケーションの代わりに、ユーザーの端末に接続されることを希望する近接ネットワーク(ブルートゥース、又はWLANネットワークなど)内の周辺デバイス又はその他端末が存在することもあり得る。信頼確立の手順はこれらケースでも同じである。
3GPP GBAは、共有鍵を導出し、端末とサービスプロバイダー間での信頼を確立するための1つの方法である。その他方法も同様に思いつくことができる。例えば、整備された公開鍵基盤(PKI)を用いて、両当事者は彼らの公開鍵の証明書を交換し、互いの署名を検証し、そして共有鍵を導出することを開始する。又は、その他の例として、ネットワークオペレーター若しくは端末製造業者により、長期間の共有鍵を端末内に事前導入することができる。
技術の進歩に伴い、本発明の基本的な考えは様々な方法において実装することができるであろうことは、当業者においては明白なことである。このため、本発明及びその実施例は、上記した例には制限されず、その代わりに、それらは本請求の範囲内において変わることができる。
汎用ブートストラッピングアーキテェクチャー(GBA)の従来技術のアーキテェクチャーを説明するブロックダイアグラム。 従来技術のブートストラッピング手順を説明するシグナリングダイアグラム。 本発明の1つの実施例による様々な要素を説明するブロックダイアグラム。 本発明によるモバイル装置内のサーバーアプリケーションに対してアプリケーションを認証するための1つの実施例を説明するシグナリングダイアグラム。 本発明によるモバイル装置内のサーバーアプリケーションに対してアプリケーションを認証するための別の実施例を説明するシグナリングダイアグラム。

Claims (52)

  1. アプリケーションを認証する方法であって、該方法は、
    サーバーアプリケーションを用いて、該サーバーアプリケーションとブートストラッピングサーバー機能の間でブートストラッピング手順を実行するステップ、
    少なくとも前記ブートストラッピング手順中に前記ブートストラッピングサーバー機能サーバーから受信される鍵及びネットワークアプリケーション機能識別子に基づき共有鍵を導出するステップ、
    前記アプリケーションにブートストラッピングトランザクション識別子を供給するステップであって、該ブートストラッピングトランザクション識別子は前記ブートストラッピング手順中に前記ブートストラッピングサーバー機能サーバーから受信されるステップ、
    前記アプリケーションからレスポンスを受信するステップ、及び
    前記共有鍵で前記レスポンスの正当性を確認することにより前記アプリケーションを認証するステップ、
    を有する方法。
  2. 前記アプリケーションの前記認証するステップは、
    前記共有鍵と前記レスポンスを比較することにより、前記アプリケーションを認証することを有する、請求項1に記載の方法。
  3. チャレンジを生成するステップ、及び
    前記アプリケーションに前記チャレンジを供給するステップ、
    を更に有し、
    前記認証するステップは、前記チャレンジ及び前記共有鍵で前記レスポンスの正当性を確認することによりアプリケーションを認証することを有する、請求項1に記載の方法。
  4. 前記レスポンスと共に署名されたデータを受信するステップ、
    を更に有し、
    前記認証するステップは、前記共有鍵で前記署名されたデータを検証することを更に有する、請求項3に記載の方法。
  5. 前記アプリケーションから登録要求を受信するステップであって、前記アプリケーションに前記ブートストラッピングトランザクション識別子を供給する前に、該要求は前記ネットワークアプリケーション機能識別子及びアプリケーションインスタンス識別子の少なくとも1つを有するステップ、
    を更に有する、請求項1に記載の方法。
  6. 前記アプリケーションに前記ブートストラッピングトランザクション識別子を供給する前に、前記アプリケーションから登録要求を受信するステップ、
    を更に有する、請求項1に記載の方法。
  7. 前記登録要求は、アプリケーションインスタンス識別子を有する、請求項6に記載の方法。
  8. 前記共有鍵の前記導出するステップは、
    前記ブートストラッピング手順中に前記ブートストラッピングサーバー機能サーバーから受信される前記鍵、前記ネットワークアプリケーション機能識別子及び前記アプリケーションインスタンス識別子に基づき前記共有鍵を導出することを有する、請求項5又は7に記載の方法。
  9. 前記認証が成功であれば、前記アプリケーションを信頼されたものとして印を付けるステップ、
    を更に有する、請求項1に記載の方法。
  10. 前記アプリケーションに前記共有鍵を供給するステップ、
    を更に有する、請求項9に記載の方法。
  11. ネットワークアプリケーション機能鍵に対する要求を前記アプリケーションから受信するステップ、及び、
    前記要求に応答し、前記ネットワークアプリケーション機能鍵を前記アプリケーションに送信するステップ、
    を更に有する、請求項9に記載の方法。
  12. サーバーアプリケーションでアプリケーションを認証する方法であって、該方法は、
    前記アプリケーションと共に、少なくともブートストラッピングトランザクション識別子をサーバーアプリケーションから受信するステップ、
    ネットワークアプリケーション機能サーバーとの通信リンクを開くステップ、
    前記通信リンクを介して、前記ネットワークアプリケーション機能サーバーに少なくともブートストラッピングトランザクション識別子を供給するステップ、
    前記ブートストラッピングトランザクション識別子を供給するステップに応答して、少なくともレスポンスを前記ネットワークアプリケーション機能サーバーから受信するステップ、
    前記サーバーアプリケーションに前記ネットワークアプリケーション機能サーバーから受信される少なくとも前記レスポンスを供給することにより、前記アプリケーションを認証するステップ、
    を有する方法。
  13. 前記サーバーアプリケーションから前記受信するステップは、前記ブートストラッピングトランザクション識別子及びチャレンジを受信することを有し、及び
    前記ネットワークアプリケーション機能サーバーに前記供給するステップは、前記通信リンクを介して前記ネットワークアプリケーション機能サーバーに前記ブートストラッピングトランザクション識別子及び前記チャレンジを供給することを有する、
    請求項12に記載の方法。
  14. 前記ネットワークアプリケーション機能から前記受信するステップは、前記ネットワークアプリケーション機能から前記レスポンス及び署名されたデータを受信することを有し、及び
    前記アプリケーションを前記認証するステップは、前記サーバーアプリケーションに前記ネットワークアプリケーション機能サーバーから受信される前記レスポンス及び前記署名されたデータを供給することを有する、
    請求項13に記載の方法。
  15. 認証成功の後、前記サーバーアプリケーションから共有鍵を受信するステップ、
    を更に有する、請求項12に記載の方法。
  16. 認証後、ネットワークアプリケーション機能鍵に対する要求を前記サーバーアプリケーションに送信するステップ、及び、
    前記要求に応答して、前記サーバーアプリケーションから前記ネットワークアプリケーション機能鍵を受信するステップ、
    を更に有する、請求項12に記載の方法。
  17. 認証鍵を導出する方法であって、該方法は、
    アプリケーションとの通信リンクを開くステップ、
    前記通信リンクを介して、少なくともブートストラッピングトランザクション識別子を前記アプリケーションから受信するステップ、
    共有鍵を受信するためにブートストラッピングサーバー機能サーバーへ要求を送信するステップであって、該要求は少なくとも前記ブートストラッピングトランザクション識別子を有するステップ、
    前記要求に応答して、前記共有鍵を前記ブートストラッピングトランザクション識別子から受信するステップ、
    少なくとも前記共有鍵を用いることでレスポンスを導出するステップ、及び、
    少なくとも前記レスポンスを前記アプリケーションに送信するステップ、
    を有する方法。
  18. 前記アプリケーションから前記受信するステップは、前記通信リンクを介して前記ブートストラッピングトランザクション識別子及びチャレンジを受信することを有し、及び
    前記レスポンスを前記導出するステップは、少なくとも前記共有鍵及び前記チャレンジを用いることにより前記レスポンスを導出することを有する、
    請求項17に記載の方法。
  19. 前記少なくとも1つのレスポンスを前記送信するステップは、前記レスポンス及び前記共有鍵で署名された署名されたデータを前記アプリケーションに送信することを有する、
    請求項17又は18に記載の方法。
  20. アプリケーションを認証するためのコンピュータプログラムであって、データ処理デバイス上で実行されるとき、該コンピュータプログラムは、
    ブートストラッピングサーバー機能を用いてブートストラッピング手順を実行するステップ、
    少なくとも前記ブートストラッピング手順中に前記ブートストラッピングサーバー機能サーバーから受信される鍵及びネットワークアプリケーション機能識別子に基づき共有鍵を導出するステップ、
    アプリケーションにブートストラッピングトランザクション識別子を供給するステップであって、該ブートストラッピングトランザクション識別子は前記ブートストラッピング手順中に前記ブートストラッピングサーバー機能サーバーから受信されるステップ、
    前記アプリケーションからレスポンスを受信するステップ、及び
    前記共有鍵で前記レスポンスの正当性を確認することにより前記アプリケーションを認証するステップ、
    を実行するよう適合されたコードを有するコンピュータプログラム。
  21. 前記アプリケーションの前記認証するステップは、
    前記共有鍵と前記レスポンスを比較することにより、前記アプリケーションを認証することを有する、請求項20に記載のコンピュータプログラム。
  22. 前記データ処理デバイス上で実行されるとき、
    チャレンジを生成するステップ、及び
    前記アプリケーションに前記チャレンジを供給するステップ、
    を実行するよう更に適合され、
    前記アプリケーションを前記認証するステップは、前記チャレンジ及び前記共有鍵で前記レスポンスの正当性を確認することにより前記アプリケーションを認証することを有する、請求項20に記載のコンピュータプログラム。
  23. 前記データ処理デバイス上で実行されるとき、
    前記レスポンスと共に署名されたデータを受信するステップ、
    を実行するよう更に適合され、
    前記アプリケーションを前記認証するステップは、前記共有鍵で前記署名されたデータを検証することを更に有する、請求項22に記載のコンピュータプログラム。
  24. 前記データ処理デバイス上で実行されるとき、
    前記アプリケーションから登録要求を受信するステップであって、前記アプリケーションに前記ブートストラッピングトランザクション識別子を供給する前に、該要求は前記ネットワークアプリケーション機能識別子及びアプリケーションインスタンス識別子の少なくとも1つを有するステップ、
    を実行するよう更に適合された、請求項20に記載のコンピュータプログラム。
  25. 前記データ処理デバイス上で実行されるとき、
    前記アプリケーションに前記ブートストラッピングトランザクション識別子を供給する前に、前記アプリケーションから登録要求を受信するステップ、
    を実行するよう更に適合された、請求項20に記載のコンピュータプログラム。
  26. 前記登録要求は、アプリケーションインスタンス識別子を有する、請求項25に記載のコンピュータプログラム。
  27. 前記共有鍵の前記導出するステップは、
    前記ブートストラッピング手順中に前記ブートストラッピングサーバー機能サーバーから受信される前記鍵、前記ネットワークアプリケーション機能識別子及び前記アプリケーションインスタンス識別子に基づき前記共有鍵を導出することを有する、請求項24又は26に記載のコンピュータプログラム。
  28. 前記データ処理デバイス上で実行されるとき、
    前記認証が成功であれば、前記アプリケーションを信頼されたものとして印を付けるステップ、
    を実行するよう更に適合された、請求項20に記載のコンピュータプログラム。
  29. 前記データ処理デバイス上で実行されるとき、
    前記アプリケーションに前記共有鍵を供給するステップ、
    を実行するよう更に適合された、請求項28に記載のコンピュータプログラム。
  30. 前記データ処理デバイス上で実行されるとき、
    ネットワークアプリケーション機能鍵に対する要求を前記アプリケーションから受信するステップ、及び、
    前記要求に応答し、前記ネットワークアプリケーション機能鍵を前記アプリケーションに送信するステップ、
    を実行するよう更に適合された、請求項28に記載のコンピュータプログラム。
  31. 前記コンピュータプログラムがコンピュータ読み取り可能な記録媒体上に搭載される、請求項20−30のいずれかに記載のコンピュータプログラム。
  32. サーバーアプリケーションでアプリケーションを認証するためのコンピュータプログラムであって、データ処理デバイス上で実行されるとき、該コンピュータプログラムは、
    少なくともブートストラッピングトランザクション識別子をサーバーアプリケーションから受信するステップ、
    ネットワークアプリケーション機能サーバーとの通信リンクを開くステップ、
    前記通信リンクを介して、前記ネットワークアプリケーション機能サーバーに少なくとも前記ブートストラッピングトランザクション識別子を供給するステップ、
    前記ブートストラッピングトランザクション識別子を供給するステップに応答して、少なくともレスポンスを前記ネットワークアプリケーション機能サーバーから受信するステップ、及び
    前記サーバーアプリケーションに前記ネットワークアプリケーション機能サーバーから受信される少なくとも前記レスポンスを供給することにより、前記アプリケーションを認証するステップ、
    を実行するよう適合されたコードを有するコンピュータプログラム。
  33. 前記サーバーアプリケーションから前記受信するステップは、前記ブートストラッピングトランザクション識別子及びチャレンジを受信することを有し、及び
    前記ネットワークアプリケーションサーバーに前記供給するステップは、前記通信リンクを介して前記ネットワークアプリケーション機能サーバーに前記ブートストラッピングトランザクション識別子及び前記チャレンジを供給することを有する、
    請求項32に記載のコンピュータプログラム。
  34. ネットワークアプリケーション機能から前記受信するステップは、ネットワークアプリケーション機能から前記レスポンス及び署名されたデータを受信することを有し、及び
    前記アプリケーションを前記認証するステップは、前記サーバーアプリケーションに前記ネットワークアプリケーション機能サーバーから受信される前記レスポンス及び前記署名されたデータを供給することを有する、
    請求項33に記載のコンピュータプログラム。
  35. 前記データ処理デバイス上で実行されるとき、
    認証成功の後、前記サーバーアプリケーションから共有鍵を受信するステップ、
    を実行するよう更に適合された、請求項32に記載のコンピュータプログラム。
  36. 前記データ処理デバイス上で実行されるとき、
    認証後、ネットワークアプリケーション機能鍵に対する要求を前記サーバーアプリケーションに送信するステップ、及び、
    前記要求に応答して、前記ネットワークアプリケーション機能鍵を前記サーバーアプリケーションから受信するステップ、
    を実行するよう更に適合された、請求項32に記載のコンピュータプログラム。
  37. 前記コンピュータプログラムがコンピュータ読み取り可能な記録媒体上に搭載される、請求項32−36のいずれかに記載のコンピュータプログラム。
  38. 認証鍵を導出するためのコンピュータプログラムであって、データ処理デバイス上で実行されるとき、該コンピュータプログラムは、
    アプリケーションとの通信リンクを開くステップ、
    前記通信リンクを介して、少なくともブートストラッピングトランザクション識別子を前記アプリケーションから受信するステップ、
    共有鍵を受信するためにブートストラッピングサーバー機能サーバーに要求を送信するステップであって、該要求は少なくとも前記ブートストラッピングトランザクション識別子を有するステップ、
    前記要求に応答して、前記共有鍵を前記ブートストラッピングトランザクション識別子から受信するステップ、
    少なくとも前記共有鍵を用いることでレスポンスを導出するステップ、及び、
    少なくとも前記レスポンスを前記アプリケーションに送信するステップ、
    を実行するよう適合されたコードを有するコンピュータプログラム。
  39. 前記受信するステップは、前記通信リンクを介して前記ブートストラッピングトランザクション識別子及びチャレンジを受信することを有し、及び
    前記導出するステップは、少なくとも前記共有鍵及び前記チャレンジを用いることにより前記レスポンスを導出することを有する、
    請求項38に記載のコンピュータプログラム。
  40. 少なくとも前記レスポンスを前記送信するステップは、前記レスポンス及び前記共有鍵で署名された署名されたデータを前記アプリケーションに送信することを有する、
    請求項38又は39に記載のコンピュータプログラム。
  41. 前記コンピュータプログラムがコンピュータ読み取り可能な記録媒体上に搭載される、請求項38−40のいずれかに記載のコンピュータプログラム。
  42. アプリケーションを認証するためのモバイル端末であって、
    サーバーアプリケーションとブートストラッピングサーバー機能の間でブートストラッピング手順を実行し、少なくとも前記ブートストラッピング手順中に前記ブートストラッピングサーバー機能サーバーから受信される鍵及びネットワークアプリケーション機能識別子に基づき共有鍵を導出し、アプリケーションにブートストラッピングトランザクション識別子を供給し、該ブートストラッピングトランザクション識別子は前記ブートストラッピング手順中に該ブートストラッピングサーバー機能サーバーから受信され、該アプリケーションからレスポンスを受信し、及び該共有鍵で該レスポンスの正当性を確認することにより該アプリケーションを認証するよう構成された該サーバーアプリケーションを有するモバイル端末。
  43. 前記サーバーアプリケーションは、前記共有鍵と前記レスポンスを比較することにより、前記アプリケーションを認証するよう構成された、請求項42に記載のモバイル端末。
  44. 前記サーバーアプリケーションは、チャレンジを生成し、前記アプリケーションに該チャレンジを供給し、並びに該チャレンジ及び前記共有鍵で前記レスポンスの正当性を確認するよう構成された、請求項42に記載のモバイル端末。
  45. 前記サーバーアプリケーションは、前記レスポンスと共に署名されたデータを受信し、及び前記共有鍵で前記署名されたデータを検証することを更に有するステップを認証するよう構成された、請求項44に記載のモバイル端末。
  46. 前記サーバーアプリケーションは、前記アプリケーションから登録要求を受信するよう構成され、前記アプリケーションに前記ブートストラッピングトランザクション識別子を供給する前に、該要求は前記ネットワークアプリケーション機能識別子及びアプリケーションインスタンス識別子の少なくとも1つを有する、請求項42に記載のモバイル端末。
  47. 前記サーバーアプリケーションは、前記アプリケーションに前記ブートストラッピングトランザクション識別子を供給する前に、前記アプリケーションから登録要求を受信するよう構成された、請求項42に記載のモバイル端末。
  48. 前記登録要求は、アプリケーションインスタンス識別子を有する、請求項47に記載のモバイル端末。
  49. 前記サーバーアプリケーションは、前記ブートストラッピング手順中に前記ブートストラッピングサーバー機能サーバーから受信される前記鍵、前記ネットワークアプリケーション機能識別子及び前記アプリケーションインスタンス識別子に基づき前記共有鍵を導出するよう構成された、請求項46又は48に記載のモバイル端末。
  50. 前記認証が成功であれば、前記サーバーアプリケーションは前記アプリケーションを信頼されたものとして印を付けるよう構成された、請求項42に記載のモバイル端末。
  51. 前記サーバーアプリケーションは、前記アプリケーションに前記共有鍵を供給するよう構成された、請求項50に記載のモバイル端末。
  52. 前記サーバーアプリケーションは、ネットワークアプリケーション機能鍵に対する要求を前記アプリケーションから受信し、及び前記要求に応答し、前記ネットワークアプリケーション機能鍵を前記アプリケーションに送信するよう構成された、請求項50に記載のモバイル端末。
JP2009502128A 2006-03-28 2007-03-26 アプリケーションの認証 Active JP4824813B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US78635706P 2006-03-28 2006-03-28
US60/786,357 2006-03-28
PCT/FI2007/000073 WO2007110468A1 (en) 2006-03-28 2007-03-26 Authenticating an application

Publications (2)

Publication Number Publication Date
JP2009531764A true JP2009531764A (ja) 2009-09-03
JP4824813B2 JP4824813B2 (ja) 2011-11-30

Family

ID=38540823

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009502128A Active JP4824813B2 (ja) 2006-03-28 2007-03-26 アプリケーションの認証

Country Status (15)

Country Link
US (1) US8522025B2 (ja)
EP (1) EP2005702B1 (ja)
JP (1) JP4824813B2 (ja)
KR (1) KR101038064B1 (ja)
CN (1) CN101455053B (ja)
AU (1) AU2007231303A1 (ja)
BR (1) BRPI0710257B1 (ja)
ES (1) ES2661307T3 (ja)
IL (1) IL194428A (ja)
MX (1) MX2008012363A (ja)
MY (1) MY149495A (ja)
PL (1) PL2005702T3 (ja)
RU (1) RU2414086C2 (ja)
WO (1) WO2007110468A1 (ja)
ZA (1) ZA200809137B (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012517185A (ja) * 2009-02-05 2012-07-26 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ネットワークにおけるブートストラップ・メッセージを保護するための装置と方法

Families Citing this family (57)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1744567A1 (en) * 2005-07-12 2007-01-17 Hewlett-Packard Development Company, L.P. Signalling gateway
PL2039199T3 (pl) 2006-07-06 2019-06-28 Nokia Technologies Oy System poświadczania urządzenia użytkownika
KR101495722B1 (ko) * 2008-01-31 2015-02-26 삼성전자주식회사 홈 네트워크에서의 통신 보안성을 보장하는 방법 및 이를위한 장치
US20090220075A1 (en) * 2008-02-28 2009-09-03 Akros Techlabs, Llc Multifactor authentication system and methodology
US9402277B2 (en) * 2008-03-03 2016-07-26 Qualcomm Incorporated Proxy server for facilitating power conservation in wireless client terminals
US8478360B2 (en) * 2008-03-03 2013-07-02 Qualcomm Incorporated Facilitating power conservation in wireless client terminals
US8934404B2 (en) * 2008-03-03 2015-01-13 Qualcomm Incorporated Access point with proxy functionality for facilitating power conservation in wireless client terminals
US8503462B2 (en) * 2008-03-14 2013-08-06 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for remote access to a local network
US20090259851A1 (en) * 2008-04-10 2009-10-15 Igor Faynberg Methods and Apparatus for Authentication and Identity Management Using a Public Key Infrastructure (PKI) in an IP-Based Telephony Environment
WO2010082362A1 (en) * 2009-01-16 2010-07-22 Telefonaktiebolaget L M Ericsson (Publ) Proxy server, control method thereof, content server, and control method thereof
US8639273B2 (en) * 2009-02-06 2014-01-28 Qualcomm Incorporated Partitioned proxy server for facilitating power conservation in wireless client terminals
KR101012872B1 (ko) 2009-09-16 2011-02-08 주식회사 팬택 플랫폼 보안 장치 및 방법
KR101659082B1 (ko) * 2010-04-06 2016-09-22 주식회사 엘지유플러스 휴대용 단말기에 설치된 애플리케이션 실행 제어 방법 및 시스템
WO2011128183A2 (en) * 2010-04-13 2011-10-20 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for interworking with single sign-on authentication architecture
US8761064B2 (en) 2010-04-14 2014-06-24 Qualcomm Incorporated Power savings through cooperative operation of multiradio devices
US8566594B2 (en) * 2010-04-14 2013-10-22 Qualcomm Incorporated Power savings through cooperative operation of multiradio devices
US8527017B2 (en) 2010-04-14 2013-09-03 Qualcomm Incorporated Power savings through cooperative operation of multiradio devices
CN102934118B (zh) * 2010-06-10 2015-11-25 瑞典爱立信有限公司 用户设备及其控制方法
CN102595389B (zh) * 2011-01-14 2017-11-03 中兴通讯股份有限公司 一种mtc服务器共享密钥的方法及系统
EP2695410B1 (en) * 2011-04-01 2017-04-19 Telefonaktiebolaget LM Ericsson (publ) Methods and apparatuses for avoiding damage in network attacks
US9608971B2 (en) 2011-09-08 2017-03-28 Telefonaktiebolaget Lm Ericcson (Publ) Method and apparatus for using a bootstrapping protocol to secure communication between a terminal and cooperating servers
US9503460B2 (en) * 2011-10-13 2016-11-22 Cisco Technology, Inc. System and method for managing access for trusted and untrusted applications
US20150163669A1 (en) * 2011-10-31 2015-06-11 Silke Holtmanns Security mechanism for external code
GB201122206D0 (en) 2011-12-22 2012-02-01 Vodafone Ip Licensing Ltd Sampling and identifying user contact
EP2815623B1 (en) * 2012-02-14 2018-08-29 Nokia Technologies Oy Device to device security using naf key
FR2992811A1 (fr) * 2012-07-02 2014-01-03 France Telecom Mise en place d'une association de securite lors de l'attachement d'un terminal a un reseau d'acces
CN104272287A (zh) * 2012-07-31 2015-01-07 惠普发展公司,有限责任合伙企业 管理应用和网络之间的接口
WO2014067543A1 (en) * 2012-10-29 2014-05-08 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for securing a connection in a communications network
US9253185B2 (en) * 2012-12-12 2016-02-02 Nokia Technologies Oy Cloud centric application trust validation
US9032212B1 (en) * 2013-03-15 2015-05-12 Emc Corporation Self-refreshing distributed cryptography
US9332011B2 (en) * 2013-04-09 2016-05-03 Yash Karakalli Sannegowda Secure authentication system with automatic cancellation of fraudulent operations
WO2014190186A1 (en) 2013-05-22 2014-11-27 Convida Wireless, Llc Network assisted bootstrapping for machine-to-machine communication
US9521000B1 (en) * 2013-07-17 2016-12-13 Amazon Technologies, Inc. Complete forward access sessions
CN105431860B (zh) * 2013-07-31 2018-09-14 惠普发展公司,有限责任合伙企业 保护可消耗产品的存储器中的数据
GB2518257A (en) * 2013-09-13 2015-03-18 Vodafone Ip Licensing Ltd Methods and systems for operating a secure mobile device
CN105706390B (zh) * 2013-10-30 2020-03-03 三星电子株式会社 在无线通信网络中执行设备到设备通信的方法和装置
US9801002B2 (en) 2013-11-26 2017-10-24 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for identifying application instances within a machine-to-machine network domain
CN105814834B (zh) 2013-12-20 2019-12-20 诺基亚技术有限公司 用于公共云应用的基于推送的信任模型
CN107079038B (zh) 2013-12-31 2020-11-03 谷歌有限责任公司 用于提供对计算设备的访问控制的方法、系统、以及介质
US10664833B2 (en) 2014-03-05 2020-05-26 Mastercard International Incorporated Transactions utilizing multiple digital wallets
US10326597B1 (en) 2014-06-27 2019-06-18 Amazon Technologies, Inc. Dynamic response signing capability in a distributed system
MY184944A (en) * 2014-07-24 2021-04-30 Mimos Berhad Method and system for computation and verification of authentication parameters from independant measurements of time or location
RU2663972C1 (ru) 2015-02-27 2018-08-14 Телефонактиеболагет Лм Эрикссон (Пабл) Обеспечение безопасности при связи между устройством связи и сетевым устройством
WO2016191376A1 (en) * 2015-05-22 2016-12-01 Antique Books, Inc. Initial provisioning through shared proofs of knowledge and crowdsourced identification
LT3188435T (lt) * 2015-12-28 2020-04-10 Lleidanetworks Serveis Telematics S.A. Ryšio operatoriaus vykdomo elektroninio laiško su patikimu skaitmeniniu parašu patvirtinimo būdas
WO2017137809A1 (en) * 2016-02-12 2017-08-17 Telefonaktiebolaget Lm Ericsson (Publ) Securing an interface and a process for establishing a secure communication link
US10482255B2 (en) * 2016-02-16 2019-11-19 Atmel Corporation Controlled secure code authentication
JP7136087B2 (ja) * 2017-04-14 2022-09-13 ソニーグループ株式会社 通信装置、情報処理装置、およびデータ処理システム
US20220086632A1 (en) * 2019-01-14 2022-03-17 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for security
PL3915289T3 (pl) 2019-01-21 2023-08-07 Telefonaktiebolaget Lm Ericsson (Publ) Sposoby uwierzytelniania i zarządzania kluczami w sieci komunikacji bezprzewodowej i powiązane aparaty
CN113574829B (zh) * 2019-03-12 2025-01-10 诺基亚技术有限公司 与第三方应用共享通信网络锚定加密密钥
EP3726873A1 (en) * 2019-04-18 2020-10-21 Thales Dis France SA Method to authenticate a user at a service provider
US12056243B2 (en) 2019-08-27 2024-08-06 Comcast Cable Communications, Llc Methods and systems for verifying applications
US11238147B2 (en) * 2019-08-27 2022-02-01 Comcast Cable Communications, Llc Methods and systems for verifying applications
US10986504B1 (en) 2020-03-24 2021-04-20 Appbrilliance, Inc. System architecture for accessing secure data from a mobile device in communication with a remote server
US11520895B2 (en) 2020-12-07 2022-12-06 Samsung Electronics Co., Ltd. System and method for dynamic verification of trusted applications
EP4402926B1 (en) * 2021-09-18 2025-11-19 Telefonaktiebolaget LM Ericsson (publ) Gba key diversity for multiple applications in ue

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003202929A (ja) * 2002-01-08 2003-07-18 Ntt Docomo Inc 配信方法および配信システム
US7698550B2 (en) * 2002-11-27 2010-04-13 Microsoft Corporation Native wi-fi architecture for 802.11 networks
US8037515B2 (en) * 2003-10-29 2011-10-11 Qualcomm Incorporated Methods and apparatus for providing application credentials
CN1315268C (zh) * 2003-11-07 2007-05-09 华为技术有限公司 一种验证用户合法性的方法
EP1536606A1 (fr) 2003-11-27 2005-06-01 Nagracard S.A. Méthode d'authentification d'applications
US20050135622A1 (en) * 2003-12-18 2005-06-23 Fors Chad M. Upper layer security based on lower layer keying
CN1300976C (zh) * 2004-01-16 2007-02-14 华为技术有限公司 一种网络应用实体获取用户身份标识信息的方法
CN1265676C (zh) * 2004-04-02 2006-07-19 华为技术有限公司 一种实现漫游用户使用拜访网络内业务的方法
GB0409496D0 (en) * 2004-04-28 2004-06-02 Nokia Corp Subscriber identities
GB0409704D0 (en) * 2004-04-30 2004-06-02 Nokia Corp A method for verifying a first identity and a second identity of an entity
US20060020791A1 (en) * 2004-07-22 2006-01-26 Pekka Laitinen Entity for use in a generic authentication architecture
US8543814B2 (en) 2005-01-12 2013-09-24 Rpx Corporation Method and apparatus for using generic authentication architecture procedures in personal computers
US8726023B2 (en) * 2005-02-03 2014-05-13 Nokia Corporation Authentication using GAA functionality for unidirectional network connections
TWI394466B (zh) * 2005-02-04 2013-04-21 高通公司 無線通信之安全引導
US7628322B2 (en) * 2005-03-07 2009-12-08 Nokia Corporation Methods, system and mobile device capable of enabling credit card personalization using a wireless network
US20060206710A1 (en) * 2005-03-11 2006-09-14 Christian Gehrmann Network assisted terminal to SIM/UICC key establishment
FI20050384A0 (fi) * 2005-04-14 2005-04-14 Nokia Corp Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä
FI20050562A0 (fi) * 2005-05-26 2005-05-26 Nokia Corp Menetelmä avainmateriaalin tuottamiseksi
US8087069B2 (en) * 2005-06-13 2011-12-27 Nokia Corporation Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA)
US8353011B2 (en) * 2005-06-13 2013-01-08 Nokia Corporation Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA)
EP1900169B1 (en) * 2005-07-07 2010-02-03 Telefonaktiebolaget LM Ericsson (publ) Method and arrangement for authentication and privacy
US20070042754A1 (en) * 2005-07-29 2007-02-22 Bajikar Sundeep M Security parameter provisioning in an open platform using 3G security infrastructure
US20070086590A1 (en) * 2005-10-13 2007-04-19 Rolf Blom Method and apparatus for establishing a security association

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012517185A (ja) * 2009-02-05 2012-07-26 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ネットワークにおけるブートストラップ・メッセージを保護するための装置と方法

Also Published As

Publication number Publication date
MY149495A (en) 2013-09-13
WO2007110468A1 (en) 2007-10-04
US20070234041A1 (en) 2007-10-04
EP2005702B1 (en) 2017-12-20
MX2008012363A (es) 2008-10-09
AU2007231303A1 (en) 2007-10-04
EP2005702A4 (en) 2012-04-04
KR101038064B1 (ko) 2011-06-01
ZA200809137B (en) 2009-11-25
JP4824813B2 (ja) 2011-11-30
KR20080106982A (ko) 2008-12-09
US8522025B2 (en) 2013-08-27
IL194428A0 (en) 2009-08-03
BRPI0710257A2 (pt) 2011-08-09
IL194428A (en) 2012-04-30
CN101455053A (zh) 2009-06-10
CN101455053B (zh) 2012-07-04
BRPI0710257A8 (pt) 2016-07-12
PL2005702T3 (pl) 2018-05-30
RU2008141089A (ru) 2010-05-10
BRPI0710257B1 (pt) 2019-11-05
RU2414086C2 (ru) 2011-03-10
ES2661307T3 (es) 2018-03-28
EP2005702A1 (en) 2008-12-24

Similar Documents

Publication Publication Date Title
JP4824813B2 (ja) アプリケーションの認証
US12041452B2 (en) Non-3GPP device access to core network
US10284555B2 (en) User equipment credential system
US8738898B2 (en) Provision of secure communications connection using third party authentication
JP7564919B2 (ja) コアネットワークへの非3gppデバイスアクセス
CN104115465A (zh) 具有本地功能的身份管理
CN108886688A (zh) 用于中立主机lte的lte层级安全性
AU2012203961B2 (en) Authenticating an application

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110809

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110908

R150 Certificate of patent or registration of utility model

Ref document number: 4824813

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140916

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250