[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN101395887A - 用于绑定多个认证的方法和设备 - Google Patents

用于绑定多个认证的方法和设备 Download PDF

Info

Publication number
CN101395887A
CN101395887A CNA200780008063XA CN200780008063A CN101395887A CN 101395887 A CN101395887 A CN 101395887A CN A200780008063X A CNA200780008063X A CN A200780008063XA CN 200780008063 A CN200780008063 A CN 200780008063A CN 101395887 A CN101395887 A CN 101395887A
Authority
CN
China
Prior art keywords
authentication
unique identifier
peer
certificate server
authentications
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA200780008063XA
Other languages
English (en)
Other versions
CN101395887B (zh
Inventor
拉克希米纳特·雷迪·唐德蒂
维迪亚·纳拉亚南
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of CN101395887A publication Critical patent/CN101395887A/zh
Application granted granted Critical
Publication of CN101395887B publication Critical patent/CN101395887B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明描述用于绑定用于同级的多个认证的技术。在一个设计中,可基于用于所述同级的唯一识别符来绑定用于所述同级的多个认证。所述唯一识别符可以是伪随机数且可在所述同级、认证服务器与认证器之间安全地交换以便防止中间人攻击。用于由所述唯一识别符绑定的所有认证的数据可基于由这些认证的全部或子集产生的一个或一个以上密码密钥而安全地交换。在另一设计中,可将多个安全等级用于同级的多个认证。所述同级可与第一认证服务器一起执行第一认证并获得第一密码密钥,且也可与所述第一认证服务器或第二认证服务器一起执行第二认证并获得第二密码密钥。所述同级此后可使用所述两个密钥使用嵌套的安全性来安全地交换数据。

Description

用于绑定多个认证的方法和设备
根据35U.S.C.§119主张优先权
本专利申请案主张2006年4月11日申请的题为“用于绑定多个认证的方法和设备(METHOD AND APPARATUS FOR BINDING MULTIPLE AUTHENTICATIONS)”的第60/791,321号临时申请案的优先权,所述临时申请案转让给本受让人,且明确以引用的方式并入本文中。
技术领域
本发明大体上涉及通信,且更明确地说,涉及用于绑定认证的技术。
背景技术
认证广泛地用于确定给定实体的真实身份、用于确定所述实体是否经授权以接收特定服务和/或用于其它目的。举例来说,终端可试图与无线通信网络建立通信以便获得数据服务,例如,因特网语音协议(VoIP)。可由认证服务器为无线网络认证所述终端的身份以确保所述终端可与所述网络通信。也可由同一认证服务器或不同的认证服务器认证所述终端以确保所述终端具有适当的预约且可接收所请求的数据服务。
可通过从实体发送安全性信息且通过另一实体核实所述信息来执行认证。为了防止恶意攻击,可基于仅这两个实体已知的秘密信息(例如,密码密钥)来产生所述安全信息。安全信息可为加密数据、消息认证码,或基于使用秘密信息的密码技术而产生的一些其它信息。
终端可循序地或并行地执行多个认证。终端可为系统接入执行一认证且为服务请求执行另一认证。终端也可执行装置认证以核实终端且执行用户认证以核实终端的用户。需要以一种方式执行多个认证以使得这些认证可捆在一起(如果适当的话)。
发明内容
本文描述用于绑定用于同级的多个认证的技术。所述同级可与一个或一个以上认证服务器一起执行多个认证,所述一个或一个以上服务器可将认证的结果转发到一个或一个以上认证器。认证器为起始和/或促进认证的实体且通常位于通信网络的边缘处。同级为响应于认证器的实体。认证服务器为将认证服务提供给认证器的实体。
在一个设计中,可基于用于所述同级的唯一识别符(UID)来绑定对于所述同级的多个认证。所述唯一识别符可为伪随机数且可在所述同级、认证服务器与认证器之间安全地交换以便防止中间人(MiTM)攻击。用于由所述唯一识别符绑定的所有认证的数据可基于由这些认证的全部或子集产生的一个或一个以上密码密钥而安全地交换。
根据一方面,一种用于同级的设备获得用于所述同级的唯一识别符且与至少一认证服务器一起执行多个认证。所述唯一识别符用于将多个认证绑定到所述同级。
根据另一方面,一种用于认证服务器的设备获得用于同级的唯一识别符,与所述同级一起执行认证,且使所述唯一识别符与所述同级相关联。
根据又一方面,一种用于认证器的设备接收在至少一认证服务器与同级之间的至少一认证的结果。所述设备基于唯一识别符而将所述至少一认证绑定到所述同级。
在另一设计中,可将多个安全等级(或嵌套的安全性)用于同级的多个认证。所述同级可与第一认证服务器一起执行第一认证且获得第一密码密钥。所述同级也可与第二认证服务器一起执行第二认证且获得第二密码密钥。所述同级此后可使用所述两个密钥来安全地交换数据。
根据又一方面,描述一种设备,所述设备根据从第一认证获得的第一安全性信息来产生用于数据的第一包,根据从第二认证获得的第二安全性信息来产生载运所述第一包的第二包,且发送所述第二包。
下文更详细地描述本发明的各种设计、方面和特征。
附图说明
图1展示用于多个认证的架构。
图2展示用于执行认证的过程。
图3展示在MiTM攻击的情况下用于同级的两个认证。
图4展示使用唯一识别符的用于多个认证的过程。
图5、图6和图7展示分别由同级、认证服务器和认证器使用唯一识别符针对多个认证而执行的过程。
图8展示用于两个认证的嵌套的安全性。
图9展示用于具有嵌套的安全性的多个认证的过程。
图10展示图1中的各种实体的方框图。
具体实施方式
本文中所描述的技术可用于各种通信网络,例如广域网络(WAN)、局域网(LAN)、无线WAN(WWAN)、无线LAN(WLAN)等。通常可互换地使用术语“网络”与“系统”。WWAN可为码分多址(CDMA)网络、时分多址(TDMA)网络、频分多址(FDMA)网络、正交FDMA(OFDMA)网络、单载波FDMA(SC-FDMA)网络等。CDMA网络可实施例如宽带CDMA(W-CDMA)、cdma2000等的无线电技术。cdma2000涵盖IS-2000、IS-95和IS-856标准。TDMA网络可实施无线电技术,例如全球移动通信系统(GSM)。WLAN可实施IEEE 802.11、Hiperlan等。此项技术中已知这些各种无线电技术和标准。为清晰起见,使用公开可获得的RFC3748(标题为“可扩展的认证协议(ExtensibleAuthentication Protocol(EAP))”,2004年6月)中所界定的术语来描述所述技术的某些方面。
图1展示一部署100,在所述部署中同级110可执行多个认证。为简单起见,图1仅展示与认证有关的逻辑实体。部署可包括图1中未展示的其它网络实体。
同级110可为任何装置,例如蜂窝式电话、个人数字助理(PDA)、无线通信装置、手持式装置、无线调制解调器、膝上型计算机、无绳电话等。同级110也可被称作移动台、站、用户装备、终端、接入终端、订户单元、移动装备等。
在图1所示的实例中,网络侧包括L个执行点120a到1201、M个认证器130a到130m,和用于N个提供商150a到150n的N个认证服务器140a到140n,其中一般来说L≥1、M≥1且N≥1。同级110可与执行点120a通信。每一执行点120可与一个或一个以上其它执行点120通信和/或与一个或一个以上认证器130通信。每一认证器130可与一个或一个以上执行点120、一个或一个以上其它认证器130和/或一个或一个以上认证服务器140通信。图1展示部署100中的实体之间的实例性连接。这些实体也可以其它方式连接,例如,可省略虚线连接。执行点为对用于同级的入站数据和出站数据执行或应用所述同级已完成的任何认证的实体。执行点、认证器和认证服务器为逻辑实体,且所述实体的一者或一者以上可共同定位在实体网络实体内。如图1所示,执行点和认证器可为单独的网络实体。单一网络实体也可执行例如执行点和认证器的不同逻辑实体的功能。图1中的各种逻辑实体描述于RFC3748中。
执行点120和认证器130可由在不同通信网络中的不同网络实体实施。在WLAN中,执行点可由接入点实施,且认证器可由WLAN交换机(WLAN switch)实施。在蜂窝式网络中,执行点可由基站实施,且认证器可由无线电网络控制器(RNC)实施。在WLAN和蜂窝式网络中,认证服务器可由认证、授权和记帐(AAA)服务器实施。
图2展示用于认证过程200的消息流。同级110最初可将接入请求发送到执行点120a,执行点120a可将所述请求转发到认证器130a(步骤210)。对于所述认证过程,执行点120a可仅在同级110与认证器130a之间转发消息且为清晰起见,未展示于图2中。同级110可使用指派给同级110的下层识别符LID同级来将接入请求以及其它消息发送到认证器130a。下层识别符可为媒体接入控制(MAC)地址或在同级与认证器/执行点之间使用的某一其它下层识别符。认证器130a可接收接入请求,确定其不具有用于同级110的任何记录,且将认证请求发送到同级110(步骤212)。
同级110可通过发送认证响应来响应于所述认证请求,所述认证响应可包括将要用于同级110的认证的认证服务器的地址或身份、指派给同级110的网络接入识别符NAI同级等(步骤216)。在此实例中,由同级110选择认证服务器140a,且认证响应可包括认证服务器140a的地址(服务器a)。NAI同级可为在同级110与认证服务器140a之间使用的任何识别符且认证器130a可无需已知NAI同级。同级110可因此发送一匿名认证响应且省略NAI同级。认证器130a可从同级110接收所述认证响应且将同级认证请求发送到由所述认证响应识别的认证服务器140a(步骤218)。认证服务器140a可接着为了用于同级110的认证或为了相互认证而与同级110交换消息(步骤220)。认证服务器140a可具有用于同级110的证书(例如,用户姓名和密码)且可基于所述证书来认证同级110。类似地,同级110可具有用于认证服务器140a的已存储信息且可基于所述存储的信息来认证所述服务器。可基于任何认证方案(例如此项技术中已知的认证和密钥协议(AKA)、传送层安全(TLS)、穿隧TLS(TTLS)等)来执行步骤220中的认证。
在完成认证之后,认证服务器140a可将同级经认证消息发送到认证器130a(步骤222)。此消息可包括例如用于与同级110通信的密码密钥KEY1、用于KEY1的密钥ID(密钥1ID)等的相关信息。密码密钥也可被简单地称作密钥。认证器130a可将所述相关信息转发到执行点120a(未展示于图2中)。执行点120a可使用KEY1或从KEY1产生的经导出密钥以用于对在执行点120a与同级110之间交换的数据进行加密和/或完整性保护。加密是指使用密钥来使数据随机化的过程,以使得原始数据不可识别且可使用同一密钥或取决于密码学类型的互补密钥来恢复经加密数据。完整性保护是指使用密钥来产生用于数据的消息认证码且发送此码以及数据的过程。消息认证码可由接受实体用来核实:发送实体使用正确的密钥来产生所述码且数据未被窜改。通过使用由认证产生的密钥,可安全地交换用于认证的数据,其中所述数据为准许由认证发送的数据。
图2展示实例性消息流,其中认证器130a起始认证。同级110也可起始认证,在此状况下,认证请求/响应消息的方向可颠倒。一般来说,较少的、额外的和/或不同的步骤可用于认证的消息流。所述消息流中的每一步骤可代表由一实体发送的一个或一个以上消息或在不同的实体之间交换的多个消息。
图2展示在同级110与认证服务器140a之间的一个认证。同级110可与一个或一个以上认证服务器一起执行多个认证,例如,针对接入认证和服务认证、针对装置认证和用户认证、针对网络接入提供商(NAP)认证和因特网服务提供商(ISP)认证等。所述多个认证可(i)被循序地执行以使得一认证在下一认证开始之前完成,(ii)并行地被执行以使得一个以上认证在给定时刻可为待决的,或(iii)两者的组合。多个认证可经由相同的或不同的认证器。举例来说,不同认证器可用于(i)在一些架构中的不同类型的认证,(ii)接入和服务认证(当接入和服务提供商不同时),等等。多个认证也可与相同的或不同的认证服务器一起。当不同的认证服务器由于不同的原因(例如,当接入和服务提供商不同时)需要认证同级110时,多个认证可尤其适用。
一般来说,认证可导致或可不导致密钥被产生且被传递到认证器。当执行多个认证时,每一认证可产生不同的密钥,所述认证的子集可产生若干密钥,或所述认证不产生任何密钥。当至少一认证不产生密钥时,中间人攻击可为可能的。
图3展示在中间人(MiTM)攻击的情况下用于同级110的两个认证。使用同级110的LID同级和NAI同级(例如,如上文针对图2所描述),同级110可经由认证器130a与认证服务器140a一起执行第一认证。可由认证服务器140a基于存储在服务器140a处的用于同级110的有效证书来认证同级110。
通过使用指派给MiTM攻击者112的下层识别符LIDMiTM和网络接入识别符NAIMiTM,MiTM攻击者112也可经由认证器130a与认证服务器140a一起执行认证。可由认证服务器140a基于存储在服务器140a处的用于MiTM攻击者112的有效证书来认证MiTM攻击者112。
通过使用同级110的LID同级和NAI同级,同级110可经由认证器130a与认证服务器140a一起尝试第二认证。MiTM攻击者112可拦截来自同级110的用于第二认证的认证响应,使用攻击者112的LIDMiTM替换同级110的LID同级,且将经篡改的认证响应转发到认证器130a。认证器130a可能无法检测来自MiTM攻击者112的认证响应已被篡改且可能以正常方式实行认证。MiTM攻击者112可由认证服务器140a认证且可使用其LIDMiTM和同级110的NAI同级获得服务。与第二认证有关的记帐可能被重定向到被指派有NAI同级的同级110。
在图3中,用于同级110的第一认证可产生一密钥,且所述密钥可用于认证来自同级110的数据。用于同级110的第一认证和第二认证可循序地或并行地发生。用于同级110的第二认证可不产生密钥或者产生密钥,但密钥不用于认证来自同级110的数据。
在一方面中,用于同级的多个认证可基于用于所述同级的唯一识别符而被绑定。可在所述同级、认证服务器与认证器之间安全地交换所述唯一识别符,以便防止MiTM攻击。用于由唯一识别符绑定的所有认证的数据可基于由这些认证的全部或子集产生的一个或一个以上密钥而安全地交换。
图4展示用于过程400的消息流,所述过程400用于使用唯一识别符来绑定多个认证。通过使用同级110的LID同级,同级110可最初将接入请求发送到认证器130a(步骤410)。认证器130a可通过将认证请求发送到同级110而作出响应(步骤412)。
如下文所描述,对于第一认证,同级110可导出用于其自身的唯一识别符UID同级(步骤414)。同级110可接着发送一认证响应,所述响应可包括将用于第一认证的认证服务器140a的地址、同级110的NAI同级和UID同级等(步骤416)。可基于同级110与认证服务器140a之间所共用的密钥以安全方式(例如,使用加密和/或完整性保护)发送UID 。可(例如)经由描述于RFC3748中的EAP方法或某一其它安全方法将UID同级从同级110载运到认证服务器140a。可连同或可不连同UID同级以安全方式发送其它信息(例如,NAI同级)。认证器130a可接收来自同级110的认证请求且将一同级认证请求发送到认证服务器140a(步骤418)。
认证服务器140a可接着为了用于同级110的认证或为了相互认证而与同级110交换消息(步骤420)。在完成认证之后,认证服务器140a可将同级经认证消息发送到认证器130a(步骤422)。此消息可包括例如用于与同级110通信的密钥KEY1、用于KEY1的密钥ID、同级110的UID同级等的相关信息。可基于认证服务器140a与认证器130a之间所共用的密钥以安全方式(例如,使用加密和/或完整性保护)发送UID同级。认证器130a可记录同级110的UID同级且可将第一认证以及由此认证产生的KEY1绑定到此UID同级(步骤424)。认证器130a也可将同级110的LID同级绑定到UID同级。绑定是指将不同项目(例如,认证、密钥、UID、LID等)和/或给定项目的不同例子(例如,多个认证、多个密钥等)一起关联。绑定、关联和映射是可互换地使用的同义术语。
在完成第一认证之后或与第一认证并行地,通过使用同级110的LID同级,同级110可将服务请求发送到认证器130a(步骤430)。认证器130a可通过将认证请求发送到同级110而作出响应(步骤432)。一般来说,第二认证可由同级110(例如,在同级110已知多个认证将被执行(例如)以用于装置认证和用户认证的情况下)或由认证器触发。
对于第二认证,同级110可使用先前为第一认证导出的同一UID同级。同级110可发送认证响应,所述响应可包括将用于第二认证的认证服务器140a的地址、同级110的NAI同级和UID同级等(步骤436)。可再次以安全方式发送UID同级。认证器130a可接收来自同级110的认证请求且可将同级认证请求发送到认证服务器140a(步骤438)。
认证服务器140a可接着与同级110交换消息以用于认证(步骤440)。在完成认证之后,认证服务器140a可将同级经认证消息发送到认证器130a(步骤442)。此消息可包括例如用于与同级110通信的密钥KEY2、用于KEY2的密钥ID、同级110的UID同级等的相关信息。一般来说,第二认证可产生或可不产生KEY2。认证器130a可接收同级经认证消息,从所述消息提取UID同级,且认识到所述UID同级已存储在认证器130a处。认证器130a可接着基于经匹配的UID同级来确定所述认证是针对同一同级110。认证器130a可将第二认证以及KEY2(如果由第二认证产生)绑定到UID同级(步骤444)。认证器130a本质上将用于同级110的第一认证和第二认证绑定到同一UID同级
在图4所示的实例中,通过使用同级110的LID同级,同级110可将对不同的网络的接入请求发送到认证器130a(步骤450)。认证器130a可通过将认证请求发送到同级110而作出响应(步骤452)。一般来说,第三认证可由同级110或认证器触发且可出于任何原因被触发。
对于第三认证,同级110可使用先前为第一认证导出的同一UID同级。同级110可发送认证响应,所述响应可包括将用于第三认证的认证服务器140n的地址(服务器n)、同级110的NAI同级和UID同级等(步骤456)。可再次以安全方式发送UID同级。认证器130a可接收来自同级110的认证请求且可将同级认证请求发送到由同级110选择的认证服务器140n(步骤458)。
认证服务器140n可接着与同级110交换消息以用于认证(步骤460)。在完成认证之后,认证服务器140n可将同级经认证消息发送到认证器130a,所述消息可包括例如用于与同级110通信的密钥KEY3、用于KEY3的密钥ID、同级110的UID同级等的相关信息(步骤442)。一般来说,第三认证可产生或可不产生KEY3。认证器130a可接收同级经认证消息,认识到此UID同级已存储在认证器130a处,且将第三认证以及KEY3(如果产生的话)绑定到UID同级(步骤464)。虽然用于同级110的第一认证、第二认证和第三认证是经由不同的认证服务器140a和140n执行,但认证器130a本质上将这些认证绑定到同一UID同级
一般来说,同级110可与任何数目的认证服务器一起执行任何数目的认证。可循序地(如图4所示)或并行地(未展示于图4中)或循序地且并行地执行这些多个认证。每一认证可为相互认证,以使得向认证服务器认证同级110且也向同级110认证所述认证服务器。每一认证可产生或可不产生密钥。认证器130a可将具有同一UID同级的所有认证和所有密钥绑定到同级110。仅一个认证可产生密钥,且与此认证绑定的所有认证可基于来自此一认证的密钥而安全地交换数据。
可基于同级110和认证服务器已知的证书在同级110与每一认证服务器之间(例如,使用加密和/或完整性保护)安全地交换UID同级。在此状况下,MiTM攻击者将不能拦截所述UID同级并劫持认证交换。
在图4所示的设计中,同级110在步骤416、436和456中在认证响应中将UID同级发送到认证器130a,且认证器130a将UID同级转发到认证服务器140a和140n。同级110也可在其它时间(例如,在步骤420、440、460等中)发送UID同级
一般来说,可以各种方式导出UID。在一个设计中,同级110产生伪随机数(PRN)且将此PRN用作UID。不同的同级可独立地产生不同的PRN。两个同级产生相同PRN的可能性(其被称作冲突)取决于所述PRN的长度。举例来说,如果PRN具有32位的长度,则冲突的概率可为1/232。一般来说,PRN可为任何长度,例如,32位、48位、64位等。可将PRN界定为足够长以实现所要的冲突概率。具有相同长度的PRN可用于所有认证。或者,具有不同长度的PRN可用于不同的认证,其中用于每一认证的PRN长度可取决于安全性要求和/或其它因素。
在另一设计中,指派给同级110的ID或此ID的伪版本可用作UID。举例来说,UID可为电子序列号(ESN)、移动装备识别符(MEID)、国际移动订户身份(IMSI)、移动识别号(MIN)、伪ESN、临时IMSI,或指派给同级110的某一其它真ID或伪ID。在又一设计中,指派给同级110的地址可用作UID。举例来说,UID可为MAC地址、IP地址等。一般来说,同级所特有的(或具足够低的冲突概率的)任何种类的ID或地址可用作用于绑定用于同级的认证的UID。
单一UID可用于同级110的所有认证。可将所有这些认证绑定到此单一UID。也可将用于同级110的认证划分为多个群组,每一群组包括一个或一个以上认证。不同的UID可用于每一群组。每一群组中的所有认证均可由用于所述群组的UID绑定。一般来说,一个UID可用于将被绑定在一起的所有认证。给定的UID可用于一个或一个以上认证。
在图4所示的设计中,同级110可导出UID且将此UID安全地发送到每一认证服务器。也可由不是同级110的实体产生UID。在另一设计中,认证服务器可产生UID且将此UID提供到同级110与认证器。同级110可通知用于第一认证的认证服务器(例如,在步骤420期间):尚未为同级110产生UID。作为响应,认证服务器可为同级110产生UID。同级110可将此UID用于将与第一认证绑定的每一后续认证。在又一设计中,认证器可为同级110产生UID。
在图4所示的实例中,同级110经由单一认证器140a来执行多个认证,所述单一认证器140a将所有认证和密钥绑定到同级110的UID同级。同级110也可(例如)使用同一UID同级经由多个认证器来执行多个认证。在此状况下,可将UID同级安全地传送到所有认证器以便使这些认证器同步。
可在一个或一个以上执行点处执行用于同级110的多个认证。如果由单一执行点执行所有认证,则用于多个认证的所有认证器均可将用于同级110的安全性信息(例如,密钥)和可能的UID同级传递到此执行点。或者,一认证器可将同级110的UID同级和安全性信息传递到执行点,且剩余认证器可仅传递同级110的UID同级。如果由多个执行点执行多个认证,则每一执行点可接收同级110的UID同级和用于将由那个执行点执行的认证的任何相关联的安全性信息。一般来说,每一执行点可基于与被执行的认证相关联的安全性信息来执行那个执行点所负责的所有认证。
经由单一UID进行的对多个认证的绑定允许由一认证产生的密钥用于另一认证的数据交换。实际上,由单一认证产生的单一密钥可用于所有认证。可使用来自产生密钥的另一认证的密钥来安全地发送用于不产生密钥的认证的数据。由于所述两个认证被绑定到同一UID且因此绑定到同一同级,所以这是可能的。
可由多个认证产生多个密钥。在此状况下,可以各种方来实现用于多个认证的安全数据交换。在一设计中,可从多个密钥中选择单一密钥且使用其来安全地发送用于所有认证的数据。在另一设计中,可使用多个密钥来产生复合密钥,接着可使用所述复合密钥来安全地发送用于所有认证的数据。在又一设计中,可使用由每一产生密钥的认证产生的密钥来安全地发送用于所述认证的数据。可使用来自产生密钥的认证的密钥或复合密钥来安全地发送用于每一不产生密钥的认证的数据。也可以其它方式安全地发送用于多个认证的数据。
图5展示由同级使用唯一识别符针对多个认证而执行的过程500的设计。可获得用于所述同级的唯一识别符(方框512)。可与至少一认证服务器一起执行多个认证,其中所述唯一识别符用于将多个认证绑定到所述同级(方框514)。同级可基于指派给所述同级的伪随机数、识别符或地址等导出唯一识别符。同级可使用加密和/或完整性保护将唯一识别符安全地发送到每一认证服务器。同级也可从认证服务器或认证器获得唯一识别符。可循序地和/或并行地执行多个认证且其可用于接入认证、服务认证、装置认证、用户认证、NAP认证、ISP认证等。
可从多个认证获得至少一密码密钥(方框516)。可基于所述至少一密码密钥而安全地交换用于多个认证的数据(方框518)。举例来说,可从第一认证获得一密码密钥且可使用所述密码密钥来安全地交换用于第二认证的数据。
图6展示由认证服务器执行的过程600的设计。可获得用于同级的唯一识别符,例如,从所述同级或认证器安全地接收到的唯一识别符,或由所述认证服务器产生的唯一识别符(方框612)。可与同级一起执行认证(方框614)。可使唯一识别符与同级相关联(方框616)。可将对被认证的同级的指示、唯一识别符和可能的安全性信息(例如,密码密钥)发送到认证器,所述认证器可使用唯一识别符来将认证绑定到所述同级(方框616)。
图7展示由认证器执行的过程700的一设计。可接收在至少一认证服务器与同级之间的至少一认证的结果(方框712)。可基于唯一识别符而将至少一认证绑定到所述同级(方框714)。可从至少一认证的结果获得至少一密码密钥(方框716)。可将所述至少一密码密钥或至少一导出密钥(其可基于所述至少一密码密钥而产生)和可能的唯一识别符转发到用于所述至少一认证的执行点(方框718)。也可由认证器基于所述至少一密码密钥来执行所述至少一认证。也可从另一认证器接收用于所述同级的一个或一个以上其它认证的结果和唯一识别符。可基于唯一识别符而绑定所述至少一认证和用于所述同级的一个或一个以上其它认证。
在另一方面中,多个安全等级(或嵌套安全性)可用于同级的多个认证。举例来说,同级110可与第一认证服务器一起执行第一认证(例如,接入或装置认证)且获得第一密钥KEY1。同级110也可与第二认证服务器一起执行第二认证(例如,服务或用户认证)且获得第二密钥KEY2。此后可使用两个密钥KEY1和KEY2来安全地交换用于所要服务的数据。
一般来说,同级110可与任何数目的认证服务器一起执行任何数目的认证。每一认证可产生密钥或可不产生密钥。由给定认证产生的密钥可用于安全地交换用于所述认证的数据。
对于嵌套安全性而言,可经由一个或一个以上认证器执行多个认证且可由一个或一个以上执行点执行多个认证。每一认证器可获得用于一个或一个以上认证的一个或一个以上密钥且可(例如)基于用于所述同级的LID或某一其它ID将所有密钥绑定到所述同级。每一执行点可从一个或一个以上认证器接收用于一个或一个以上认证的一个或一个以上密钥。每一执行点可使用由所述执行点接收到的一个或一个以上密钥来安全地与所述同级交换数据。
图8展示用于两个认证的嵌套的安全性。认证1可用于服务认证,且认证2可为接入认证。可在同级110与用于服务提供商的执行点之间交换用于认证1的数据。可在同级110与接入网络中的接入点之间交换用于认证2的数据。相同或不同执行点可用于认证1和认证2。
用于认证1的包1可包括标头、有效负载和包尾。所述有效负载可载运数据,可使用由认证1产生的密钥对所述数据加密和/或完整性保护。所述标头可载运由认证1产生的密钥的密钥ID且可用于有效负载中所发送的数据。所述包尾可载运消息认证码(MAC1),可使用由认证1产生的密钥基于有效负载中所发送的数据来产生所述消息认证码。所述消息认证码可由包的接受者用来核实有效负载中所发送的数据的完整性以及由包的发送者使用的密钥的所有权证明。
类似地,用于认证2的包2可包括标头、有效负载和包尾。用于包2的有效负载可载运整个包1,可使用由认证2产生的密钥对所述包1加密和/或完整性保护。所述标头可载运由认证2产生的密钥的密钥ID。所述包尾可载运消息认证码(MAC2),所述消息认证码是基于包2的有效负载中的数据且使用由认证2产生的密钥而产生的。
同级110可执行图8所示的嵌套的处理以发送用于认证1和认证2的数据。如果单一执行点用于认证1与认证2,则此执行点可从包1与包2中的两个有效负载提取(例如,解密和/或核实)数据。如果不同执行点用于认证1和认证2,则用于认证2的执行点可从包2的有效负载提取数据,且用于认证1的执行点可从包1的有效负载提取数据。
在另一设计中,使用由认证1与认证2产生的密钥来安全地处理(例如,加密和/或完整性保护)数据以获得数据包。举例来说,可使用由认证1产生的密钥来安全地处理数据以获得第一经处理数据,可使用由认证2产生的密钥来进一步安全地处理所述第一经处理数据以获得第二经处理数据,可在数据包的有效负载中发送所述第二经处理数据。所述数据包可包括单一标头,所述标头可含有两个密钥的密钥ID。所述数据包可进一步包括单一包尾,所述包尾可包括MAC1和/或MAC2。
图9展示由同级针对具有嵌套的安全性的多个认证而执行的过程900的设计。可与至少一认证服务器一起执行第一认证和第二认证(方框912)。可与第一认证服务器一起执行第一认证,且可与所述第一认证服务器或第二认证服务器一起执行第二认证。可分别为第一认证和第二认证获得第一安全性信息和第二安全性信息,例如,第一密码密钥和第二密码密钥(方框914)。此后,可使用从第一认证和第二认证获得的第一安全性信息和第二安全性信息来产生数据包(方框916)。
在一设计中,可基于第一安全性信息(例如,第一密码密钥)来安全地处理(例如,加密和/或完整性保护)数据以获得初始包。可基于第二安全性信息(例如,第二密码密钥)来安全地处理所述初始包以获得数据包。在另一设计中,可使用第一安全性信息与第二安全性信息来安全地处理数据以获得数据包。可使用第一安全性信息与第二安全性信息中的每一者来执行相同的安全处理(例如,加密和/或完整性保护)。或者,可使用第一安全性信息来执行一种类型的安全处理(例如,加密),且可使用第二安全性信息来执行另一类型的安全处理(例如,完整性保护)。
在又一方面中,可针对用于同级的多个认证使用连续安全性。举例来说,同级110可与第一认证服务器一起执行第一认证且获得第一密钥KEY1。在完成第一认证之后,KEY1可用于每一后续认证的安全处理。在第一认证之后,可循序地或并行地执行后续认证。
图10展示图1中的同级110、执行点120a、认证器130a和认证服务器140a的方框图。同级110可为终端等。执行点120a可为基站、接入点等。认证器130a可为WLAN交换机、RNC等。认证服务器140a可为AAA服务器等。为了简单起见,图10展示(a)用于同级110的一控制器/处理器1010、一存储器1012和一收发器1016;(b)用于执行点120a的一控制器/处理器1020、一存储器1022、一通信(Comm)单元1024和一收发器1026;(c)用于认证器130a的一控制器/处理器1030、一存储器1032和一通信单元1034;和(d)用于认证服务器140a的一控制器/处理器1040、一存储器1042和一通信单元1044。一般来说,每一实体可包括任何数目的控制器、处理器、存储器、收发器、通信单元等。
同级110可将数据发送到执行点120a。数据可由处理器1010处理且由收发器1016调节以产生可经由天线传输的经调制信号。在执行点120a处,来自同级110的信号可由收发器1026接收并调节且由处理器1020进一步处理以恢复由同级110发送的数据。执行点120a也可将数据发送到同级110。数据可由处理器1020处理且由收发器1026调节以产生可被传输到同级110的经调制信号。在同级110处,来自执行点120a的信号可由收发器1016接收并调节且由处理器1010处理以恢复由执行点120a发送的数据。
处理器1010可为同级110执行用于认证、数据交换等的处理。处理器1010可执行图5中的过程500、图9中的过程900和/或用于认证和数据交换的其它过程。存储器1012和存储器1022可分别为同级110和执行点120a存储程序代码和数据。执行点120a可经由通信单元1024与例如认证器130a的其它实体通信。
在认证器130a内,处理器1030可为认证器130a执行处理且引导认证器内各种单元的操作。存储器1032可为认证器130a存储程序代码和数据。处理器1030可执行图7中的过程700和/或用于同级的认证的其它过程。通信单元1034可支持认证器130a与例如执行点120a和认证服务器140a的其它实体之间的通信。
在认证服务器140a内,处理器1040可为认证服务器140a执行处理且引导认证服务器内的各种单元的操作。处理器1040可执行图6中的过程600和/或用于同级的认证的其它过程。存储器1042可为认证服务器140a存储程序代码和数据。通信单元1044可支持认证服务器140a与例如认证器130a的其它实体之间的通信。
所属领域的技术人员将了解,可使用各种不同的技艺和技术来表示信息和信号。举例来说,在整个以上描述中可参考的数据、指令、命令、信息、信号、位、符号和码片可由电压、电流、电磁波、磁场或磁粒子、光场或光粒子或其任何组合表示。
所属领域的技术人员将进一步了解,结合本文中的揭示内容所描述的各种说明性逻辑区块、模块、电路和算法步骤可实施为电子硬件、计算机软件或二者的组合。为清楚地说明硬件与软件的此互换性,上文大体在功能性方面描述了各种说明性组件、区块、模块、电路和步骤。此类功能性是实施为硬件还是软件取决于特定应用和施加于整个系统上的设计约束。所属领域的技术人员可针对每一特定应用以不同方式实施所描述的功能性,但此类实施决策不应被解释为会导致背离本发明的范围。
可使用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、离散门或晶体管逻辑、离散硬件组件或设计用以执行本文所述功能的其任何组合来实施或执行结合本文中的揭示内容所描述的各种说明性逻辑区块、模块和电路。通用处理器可为微处理器,但在替代实施例中,处理器可为任何常规的处理器、控制器、微控制器或状态机。处理器也可实施为计算装置的组合,例如,DSP与微处理器的组合、多个微处理器、一个或一个以上微处理器与DSP核心的结合、或任何其它此类配置。
结合本文中的揭示内容所描述的方法或算法的步骤可直接包含在硬件中、由处理器执行的软件模块中或两者的组合中。软件模块可驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、抽取式磁盘、CD-ROM或此项技术中已知的任何其它形式的存储媒体中。示范性存储媒体耦合到处理器以使得处理器可从存储媒体读取信息及将信息定入到存储媒体。在替代方案中,存储媒体可整合到处理器。处理器和存储媒体可驻留在ASIC中。ASIC可驻留在用户终端中。在替代方案中,处理器和存储媒体可作为离散组件驻留在用户终端中。
提供对本发明的先前描述意在使任何所属领域的技术人员能够制作或使用本发明。所属领域的技术人员将明白对本发明的各种修改,且在不脱离本发明的精神或范围的情况下,本文所界定的一般原理可适用于其它变化形式。因此,本发明并不限于本文所描述的实例,而是赋予本发明与本文所揭示的原理和新颖特征一致的最广泛范围。

Claims (53)

1.一种在通信系统中用于同级的设备,所述设备包含:
处理器,其用以获得用于所述同级的唯一识别符且与至少一认证服务器一起执行多个认证,其中所述唯一识别符用于将所述多个认证绑定到所述同级;以及
存储器,其耦合到所述处理器。
2.根据权利要求1所述的设备,其中所述处理器产生伪随机数且将所述伪随机数用作用于所述同级的所述唯一识别符。
3.根据权利要求1所述的设备,其中所述处理器使用指派给所述同级的识别符或地址作为用于所述同级的所述唯一识别符。
4.根据权利要求1所述的设备,其中所述处理器从认证服务器或认证器接收所述唯一识别符。
5.根据权利要求1所述的设备,其中对于所述多个认证中的一者,所述处理器接收来自认证器的认证请求;发送具有所述唯一识别符的认证响应,所述唯一识别符由所述认证器转发到所述认证服务器;以及与所述认证服务器一起执行相互认证。
6.根据权利要求1所述的设备,其中所述处理器将所述唯一识别符安全地发送到用于第一认证的认证服务器,且将所述唯一识别符安全地发送到用于第二认证的所述认证服务器。
7.根据权利要求1所述的设备,其中所述处理器将所述唯一识别符安全地发送到用于第一认证的第一认证服务器,且将所述唯一识别符安全地发送到用于第二认证的第二认证服务器,所述第二认证服务器不同于所述第一认证服务器。
8.根据权利要求1所述的设备,其中所述处理器使用加密或完整性保护或两者来将所述唯一识别符安全地发送到所述至少一认证服务器中的每一者。
9.根据权利要求1所述的设备,其中所述处理器从所述多个认证获得至少一密码密钥且基于所述至少一密码密钥而安全地交换用于所述多个认证的数据。
10.根据权利要求1所述的设备,其中所述处理器从第一认证获得密码密钥且基于从所述第一认证获得的所述密码密钥而安全地交换用于第二认证的数据。
11.根据权利要求1所述的设备,其中所述多个认证包含接入认证和服务认证。
12.根据权利要求1所述的设备,其中所述多个认证包含装置认证和用户认证。
13.根据权利要求1所述的设备,其中所述多个认证包含用于网络接入提供商(NAP)的第一认证和用于因特网服务提供商(ISP)的第二认证。
14.根据权利要求1所述的设备,其中所述处理器以顺序次序执行所述多个认证。
15.根据权利要求1所述的设备,其中所述处理器并行地执行所述多个认证。
16.一种方法,其包含:
获得用于同级的唯一识别符;以及
与至少一认证服务器一起执行多个认证,其中所述唯一识别符用于将所述多个认证绑定到所述同级。
17.根据权利要求16所述的方法,其中所述导出用于所述同级的所述唯一识别符包含:
产生伪随机数,以及
将所述伪随机数用作用于所述同级的所述唯一识别符。
18.根据权利要求16所述的方法,其中所述执行多个认证对于所述多个认证中的一者包含:
接收来自认证器的认证请求,
将具有所述唯一识别符和用于认证服务器的信息的认证响应发送到所述认证器,所述唯一识别符由所述认证器转发到所述认证服务器,以及
与所述认证服务器一起执行相互认证。
19.根据权利要求16所述的方法,其进一步包含:
从所述多个认证获得至少一密码密钥;以及
基于所述至少一密码密钥而安全地交换用于所述多个认证的数据。
20.根据权利要求16所述的方法,其进一步包含:
从第一认证获得密码密钥;以及
基于从所述第一认证获得的所述密码密钥而安全地交换用于第二认证的数据。
21.一种设备,其包含:
用于获得用于同级的唯一识别符的装置;以及
用于与至少一认证服务器一起执行多个认证的装置,其中所述唯一识别符用于将所述多个认证绑定到所述同级。
22.根据权利要求21所述的设备,其中所述用于执行多个认证的装置对于所述多个认证中的一者包含:
用于接收来自认证器的认证请求的装置,
用于将具有所述唯一识别符和用于认证服务器的信息的认证响应发送到所述认证器的装置,所述唯一识别符由所述认证器转发到所述认证服务器,以及
用于与所述认证服务器一起执行相互认证的装置。
23.根据权利要求21所述的设备,其进一步包含:
用于从所述多个认证获得至少一密码密钥的装置;以及
用于基于所述至少一密码密钥而安全地交换用于所述多个认证的数据的装置。
24.一种处理器可读媒体,其用于存储指令以:
获得用于同级的唯一识别符;以及
与至少一认证服务器一起执行多个认证,其中所述唯一识别符用于将所述多个认证绑定到所述同级。
25.根据权利要求24所述的处理器可读媒体,且进一步用于存储指令以:
从所述多个认证获得至少一密码密钥;以及
基于所述至少一密码密钥而安全地交换用于所述多个认证的数据。
26.一种用于认证服务器的设备,其包含:
处理器,其用以获得用于同级的唯一识别符、用以与所述同级一起执行认证、以及用以使所述唯一识别符与所述同级相关联;以及
存储器,其耦合到所述处理器。
27.根据权利要求26所述的设备,其中所述处理器从所述同级或认证器安全地接收所述唯一识别符。
28.根据权利要求26所述的设备,其中所述处理器产生用于所述同级的所述唯一识别符。
29.根据权利要求26所述的设备,其中所述处理器将对被认证的所述同级的指示和所述唯一识别符发送到认证器。
30.根据权利要求26所述的设备,其中所述处理器将对被认证的所述同级的指示、所述唯一识别符和密码密钥发送到认证器。
31.一种方法,其包含:
获得用于同级的唯一识别符;
与所述同级一起执行认证;以及
使所述唯一识别符与所述同级相关联。
32.根据权利要求31所述的方法,其中所述获得用于所述同级的所述唯一识别符包含:
从所述同级或认证器安全地接收所述唯一识别符。
33.根据权利要求31所述的方法,其进一步包含:
将对被认证的所述同级的指示和所述唯一识别符发送到认证器。
34.一种设备,其包含:
处理器,其用以接收在至少一认证服务器与同级之间的至少一认证的结果,以及用以基于唯一识别符而将所述至少一认证绑定到所述同级;以及
存储器,其耦合到所述处理器。
35.根据权利要求34所述的设备,其中对于所述多个认证中的一者,所述处理器将认证请求发送到所述同级、从所述同级接收具有所述唯一识别符的认证响应、将所述唯一识别符转发到认证服务器、以及从所述认证服务器接收所述认证的结果和所述唯一识别符。
36.根据权利要求34所述的设备,其中所述处理器从所述至少一认证的所述结果获得至少一密码密钥,且将所述至少一密码密钥或至少一导出密钥转发到用于所述至少一认证的执行点。
37.根据权利要求34所述的设备,其中所述处理器基于所述至少一密码密钥而执行所述至少一认证。
38.根据权利要求34所述的设备,其中所述处理器从所述同级的第一认证获得密码密钥且将所述密码密钥用于所述同级的第二认证。
39.根据权利要求34所述的设备,其中所述处理器从所述至少一认证服务器接收所述至少一认证的所述结果、从认证器接收所述同级的一个或一个以上其它认证的结果和所述唯一识别符、且基于所述唯一识别符而绑定所述至少一认证和所述同级的所述一个或一个以上其它认证。
40.一种方法,其包含:
接收在至少一认证服务器与同级之间的至少一认证的结果;以及
基于唯一识别符而将所述至少一认证绑定到所述同级。
41.根据权利要求40所述的方法,其进一步包含:
对于所述多个认证中的一者,
将认证请求发送到所述同级,
从所述同级接收具有所述唯一识别符的认证响应,
将所述唯一识别符转发到认证服务器,以及
从所述认证服务器接收所述认证的结果和所述唯一识别符。
42.根据权利要求40所述的方法,其进一步包含:
从所述至少一认证的所述结果获得至少一密码密钥;以及
将所述至少一密码密钥或至少一导出密钥转发到用于所述至少一认证的执行点。
43.一种设备,其包含:
处理器,其与至少一认证服务器一起执行第一认证和第二认证、分别获得用于所述第一认证的第一安全性信息和用于所述第二认证的第二安全性信息、以及使用所述第一安全性信息和所述第二安全性信息来产生数据包;以及
存储器,其耦合到所述处理器。
44.根据权利要求43所述的设备,其中所述处理器与第一认证服务器一起执行所述第一认证,且与第二认证服务器一起执行所述第二认证,所述第二认证服务器不同于所述第一认证服务器。
45.根据权利要求43所述的设备,其中所述处理器与单一认证服务器一起执行所述第一认证和所述第二认证。
46.根据权利要求43所述的设备,其中所述处理器使用所述第一安全性信息来安全地处理数据以获得初始包,且使用所述第二安全性信息来安全地处理所述初始包以获得所述数据包。
47.根据权利要求43所述的设备,其中所述处理器使用所述第一安全性信息与所述第二安全性信息两者来安全地处理数据以获得所述数据包。
48.根据权利要求43所述的设备,其中所述处理器使用从所述第一安全性信息获得的第一密码密钥来对所述数据包执行加密或完整性保护,且使用从所述第二安全性信息获得的第二密码密钥来对所述数据包执行加密或完整性保护。
49.根据权利要求43所述的设备,其中所述处理器使用所述第一安全性信息与所述第二安全性信息中的一者来执行加密且使用所述第一安全性信息与所述第二安全性信息中的另一者来执行完整性保护。
50.一种方法,其包含:
与至少一认证服务器一起执行第一认证和第二认证,
分别获得用于所述第一认证的第一安全性信息和用于所述第二认证的第二安全性信息;以及
使用所述第一安全性信息和所述第二安全性信息来产生数据包。
51.根据权利要求50所述的方法,其中所述执行所述第一认证和所述第二认证包含:
与第一认证服务器一起执行所述第一认证,以及
与第二认证服务器一起执行所述第二认证,所述第二认证服务器不同于所述第一认证服务器。
52.根据权利要求50所述的方法,其中所述产生所述数据包包含:
使用所述第一安全性信息来安全地处理数据以获得初始包,以及
使用所述第二安全性信息来安全地处理所述初始包以获得所述数据包。
53.根据权利要求50所述的方法,其中所述产生所述数据包包含:
使用所述第一安全性信息与所述第二安全性信息两者来安全地处理数据以获得所述数据包。
CN200780008063XA 2006-04-11 2007-04-10 用于绑定多个认证的方法和设备 Active CN101395887B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US79132106P 2006-04-11 2006-04-11
US60/791,321 2006-04-11
PCT/US2007/066344 WO2007121190A2 (en) 2006-04-11 2007-04-10 Method and apparatus for binding multiple authentications

Publications (2)

Publication Number Publication Date
CN101395887A true CN101395887A (zh) 2009-03-25
CN101395887B CN101395887B (zh) 2013-02-13

Family

ID=38461262

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200780008063XA Active CN101395887B (zh) 2006-04-11 2007-04-10 用于绑定多个认证的方法和设备

Country Status (8)

Country Link
US (1) US8607051B2 (zh)
EP (1) EP2005706B1 (zh)
JP (2) JP4933609B2 (zh)
KR (1) KR100988179B1 (zh)
CN (1) CN101395887B (zh)
ES (1) ES2710666T3 (zh)
TW (1) TW200810487A (zh)
WO (1) WO2007121190A2 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453415A (zh) * 2016-12-01 2017-02-22 江苏通付盾科技有限公司 基于区块链的设备认证方法、认证服务器及用户设备

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2023530A1 (en) * 2006-06-01 2009-02-11 NEC Corporation Communication node authentication system and method, and communication node authentication program
US20100070867A1 (en) * 2007-01-19 2010-03-18 Koninklijke Philips Electronics N. V. Network configuration via a wireless device
US8341702B2 (en) * 2007-11-01 2012-12-25 Bridgewater Systems Corp. Methods for authenticating and authorizing a mobile device using tunneled extensible authentication protocol
US8547859B2 (en) * 2007-11-15 2013-10-01 Ubeeairwalk, Inc. System, method, and computer-readable medium for authentication center-initiated authentication procedures for a mobile station attached with an IP-femtocell system
US8705442B2 (en) * 2007-11-15 2014-04-22 Ubeeairwalk, Inc. System, method, and computer-readable medium for mobile station authentication and registration via an IP-femtocell
US20090187978A1 (en) * 2008-01-18 2009-07-23 Yahoo! Inc. Security and authentications in peer-to-peer networks
US8655838B2 (en) * 2008-02-20 2014-02-18 At&T Intellectual Property I, L.P. Selection of peers to cluster within a peer-to-peer network
US8850553B2 (en) * 2008-09-12 2014-09-30 Microsoft Corporation Service binding
US9066232B2 (en) * 2009-06-08 2015-06-23 Qualcomm Incorporated Femtocell access control
US9160545B2 (en) * 2009-06-22 2015-10-13 Beyondtrust Software, Inc. Systems and methods for A2A and A2DB security using program authentication factors
US8863253B2 (en) 2009-06-22 2014-10-14 Beyondtrust Software, Inc. Systems and methods for automatic discovery of systems and accounts
US20110007639A1 (en) * 2009-07-10 2011-01-13 Qualcomm Incorporated Methods and apparatus for detecting identifiers
US20110113146A1 (en) * 2009-11-10 2011-05-12 Li Gordon Yong Dynamic quality of service (qos) setup over wired and wireless networks
CN102196438A (zh) 2010-03-16 2011-09-21 高通股份有限公司 通信终端标识号管理的方法和装置
US9385862B2 (en) * 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
US8839373B2 (en) 2010-06-18 2014-09-16 Qualcomm Incorporated Method and apparatus for relay node management and authorization
US9112905B2 (en) 2010-10-22 2015-08-18 Qualcomm Incorporated Authentication of access terminal identities in roaming networks
WO2012095184A1 (en) * 2011-01-14 2012-07-19 Nokia Siemens Networks Oy External authentication support over an untrusted network
US9668128B2 (en) 2011-03-09 2017-05-30 Qualcomm Incorporated Method for authentication of a remote station using a secure element
JP5962750B2 (ja) * 2012-03-22 2016-08-03 富士通株式会社 アドホックネットワークシステム、ノード、および通信方法
US20130305378A1 (en) * 2012-05-09 2013-11-14 Visa Europe Limited Method and system for establishing trust between a service provider and a client of the service provider
KR102205953B1 (ko) * 2014-01-13 2021-01-20 에스케이플래닛 주식회사 멀티 디바이스 기반의 사용자 인증 방법 및 이를 위한 서비스 장치
US9954679B2 (en) * 2014-03-05 2018-04-24 Qualcomm Incorporated Using end-user federated login to detect a breach in a key exchange encrypted channel
WO2015139725A1 (en) * 2014-03-17 2015-09-24 Telefonaktiebolaget L M Ericsson (Publ) User identifier based device, identity and activity management system
GB2543072B (en) * 2015-10-07 2021-02-10 Enclave Networks Ltd Public key infrastructure & method of distribution
US10977361B2 (en) 2017-05-16 2021-04-13 Beyondtrust Software, Inc. Systems and methods for controlling privileged operations
DE102017208735A1 (de) 2017-05-23 2018-11-29 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Schutz einer Kommunikation zwischen mindestens einer ersten Kommunikationseinrichtung und wenigstens einer zweiten Kommunikationseinrichtung insbesondere innerhalb eines Kommunikationsnetzwerkes einer industriellen Fertigung und/oder Automatisierung
US10965676B2 (en) * 2018-10-02 2021-03-30 Ca, Inc. Peer authentication by source devices
US11528149B2 (en) 2019-04-26 2022-12-13 Beyondtrust Software, Inc. Root-level application selective configuration

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10322328A (ja) * 1997-05-20 1998-12-04 Mitsubishi Electric Corp 暗号通信システム及び暗号通信方法
AU2765699A (en) * 1998-03-20 1999-10-18 Nuvomedia, Inc. Electronic book system
JP2001326632A (ja) 2000-05-17 2001-11-22 Fujitsu Ltd 分散グループ管理システムおよび方法
WO2002057917A2 (en) * 2001-01-22 2002-07-25 Sun Microsystems, Inc. Peer-to-peer network computing platform
JP2002335239A (ja) * 2001-05-09 2002-11-22 Nippon Telegr & Teleph Corp <Ntt> シングルサインオン認証方法及びシステム装置
US7350076B1 (en) * 2001-05-16 2008-03-25 3Com Corporation Scheme for device and user authentication with key distribution in a wireless network
US7373515B2 (en) * 2001-10-09 2008-05-13 Wireless Key Identification Systems, Inc. Multi-factor authentication system
JP3969153B2 (ja) 2002-03-28 2007-09-05 日本電気株式会社 端末認証システム、端末認証装置、および端末認証プログラム
JP4261952B2 (ja) * 2003-03-27 2009-05-13 株式会社富士通ソーシアルサイエンスラボラトリ 携帯機器を用いた身分証明システム及びプログラム
JP2004355562A (ja) * 2003-05-30 2004-12-16 Kddi Corp 機器認証システム
US20050015490A1 (en) * 2003-07-16 2005-01-20 Saare John E. System and method for single-sign-on access to a resource via a portal server
US7509491B1 (en) * 2004-06-14 2009-03-24 Cisco Technology, Inc. System and method for dynamic secured group communication
US20060002557A1 (en) 2004-07-01 2006-01-05 Lila Madour Domain name system (DNS) IP address distribution in a telecommunications network using the protocol for carrying authentication for network access (PANA)
JP2006039206A (ja) * 2004-07-27 2006-02-09 Canon Inc 暗号化装置および復号化装置
US7596690B2 (en) * 2004-09-09 2009-09-29 International Business Machines Corporation Peer-to-peer communications
DE102004045147A1 (de) * 2004-09-17 2006-03-23 Fujitsu Ltd., Kawasaki Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
US8166296B2 (en) * 2004-10-20 2012-04-24 Broadcom Corporation User authentication system
US8037514B2 (en) * 2005-03-01 2011-10-11 Cisco Technology, Inc. Method and apparatus for securely disseminating security server contact information in a network
US8006089B2 (en) * 2006-02-07 2011-08-23 Toshiba America Research, Inc. Multiple PANA sessions
US8239671B2 (en) * 2006-04-20 2012-08-07 Toshiba America Research, Inc. Channel binding mechanism based on parameter binding in key derivation

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453415A (zh) * 2016-12-01 2017-02-22 江苏通付盾科技有限公司 基于区块链的设备认证方法、认证服务器及用户设备

Also Published As

Publication number Publication date
TW200810487A (en) 2008-02-16
EP2005706A2 (en) 2008-12-24
US20080040606A1 (en) 2008-02-14
WO2007121190A2 (en) 2007-10-25
JP4933609B2 (ja) 2012-05-16
JP2012113723A (ja) 2012-06-14
CN101395887B (zh) 2013-02-13
JP5410499B2 (ja) 2014-02-05
EP2005706B1 (en) 2018-12-12
US8607051B2 (en) 2013-12-10
KR100988179B1 (ko) 2010-10-18
KR20080108130A (ko) 2008-12-11
WO2007121190A3 (en) 2008-02-07
JP2009533771A (ja) 2009-09-17
ES2710666T3 (es) 2019-04-26

Similar Documents

Publication Publication Date Title
CN101395887B (zh) 用于绑定多个认证的方法和设备
Arkko et al. Extensible authentication protocol method for 3rd generation authentication and key agreement (EAP-AKA)
RU2374778C2 (ru) Защищенная самонастройка для беспроводной связи
JP4663011B2 (ja) 通信コネクションを保護するために少なくとも1つの第1の通信加入者と少なくとも1つの第2の通信加入者との間で秘密鍵を一致させるための方法
Arkko et al. EAP AKA Authentication
US7546459B2 (en) GSM-like and UMTS-like authentication in a CDMA2000 network environment
CN101160924B (zh) 在通信系统中分发证书的方法
US8959333B2 (en) Method and system for providing a mesh key
US20060155822A1 (en) System and method for wireless access to an application server
CN101379801A (zh) 用于eap扩展(eap-ext)的eap方法
Kambourakis et al. Advanced SSL/TLS-based authentication for secure WLAN-3G interworking
US11228429B2 (en) Communication with server during network device during extensible authentication protocol—authentication and key agreement prime procedure
Mitchell et al. Security Analysis and Improvements for IEEE 802.11 i
US8705734B2 (en) Method and system for authenticating a mobile terminal in a wireless communication system
Abdo et al. EC-AKA2 a revolutionary AKA protocol
Arkko et al. RFC 4187: Extensible authentication protocol method for 3rd generation authentication and key agreement (eap-aka)
Sher et al. 3G-WLAN convergence: Vulnerability, attacks possibilities and security model
Haverinen et al. Rfc 4186: Extensible authentication protocol method for global system for mobile communications (gsm) subscriber identity modules (eap-sim)
Qachri et al. A formally verified protocol for secure vertical handovers in 4G heterogeneous networks
Ahmadian et al. Security enhancements against UMTS–GSM interworking attacks
Baheti Extensible Authentication Protocol Vulnerabilities and Improvements
Pagliusi et al. PANA/GSM authentication for Internet access
WP USECA
Falk Snabb och säker roaming i WLAN
Lee et al. Improved authentication scheme in W-CDMA networks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant