リアクティブオペレーションのために最適化されるケルベロス化ハンドオーバキーイング
【課題】サーバ、オーセンティケータ及びモバイルノードの間の安全キー配信のためにケルベロスを使用するメディア独立ハンドオーバキー管理アーチテクチャを提供する。
【解決手段】好適実施形態では、キー配信のための信号伝達は再キーイングに基づいており、EAP(拡張認証プロトコル)及び初期ネットワークアクセス認証と同様なAAA(認証、許可及び課金)信号伝達を要求する再認証から切り離す。このフレームワークにおいて、モバイルノードはハンドオーバ以前に1セットのオーセンティケータと通信しないでそれらとのセキュリティ関連性を動的に確立するために必要とするマスタセッションキーを取得できる。再キー動作を再認証から分離することによって、提案のアーチテクシャは事前モード動作のためにより最適化される。それはモバイルノードとターゲットアクセスノードとの間でキー配信役割を逆転することによってリアクティブモード動作のために最適化もし得る。
【解決手段】好適実施形態では、キー配信のための信号伝達は再キーイングに基づいており、EAP(拡張認証プロトコル)及び初期ネットワークアクセス認証と同様なAAA(認証、許可及び課金)信号伝達を要求する再認証から切り離す。このフレームワークにおいて、モバイルノードはハンドオーバ以前に1セットのオーセンティケータと通信しないでそれらとのセキュリティ関連性を動的に確立するために必要とするマスタセッションキーを取得できる。再キー動作を再認証から分離することによって、提案のアーチテクシャは事前モード動作のためにより最適化される。それはモバイルノードとターゲットアクセスノードとの間でキー配信役割を逆転することによってリアクティブモード動作のために最適化もし得る。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はメディア独立ハンドオーバキー管理アーチテクチャに関する。
【背景技術】
【0002】
本出願は2007年3月1日付で提出した、ケルベロス化ハンドオーバキーイングの改良として名称付けた、仮出願番号:60/892,532の非仮出願であるとして米国特許法119に基づいて請求している。
【0003】
一般的背景検討
背景出願
背景文献として、次の特許出願の各々の全開示は参照することにより本明細書に援用される。1)2007年1月19日付で提出され、ケルベロス化ハンドオーバキーイングと名称付けられた、仮出願:No.60/885,795、2)全ての追加を含む、2007年3月1日付で提出された、ケルベロス化ハンドオーバキーイングの改良と名称付けられた、仮出願:No.60/892,532、3)2007年10月4日付で提出された、EAP拡張(EAP−EXT)のためのEAP方法と名称付けられた、非仮出願:No.11/867,659、及び4)2007年11月24日付で提出された、EAPからケルベロスのブートストラップと名称付けられた、非仮出願:No. 11/944,605。
【0004】
ネットワーク及びインターネット(登録商標)プロトコル
多様なコンピュータネットワークがあり、インターネットは最も有名である。インターネットは、コンピュータネットワークの世界規模のネットワークである。今日、インターネットは、何百万人ものユーザが利用可能な、公衆の自律的ネットワークである。インターネットは、TCP/IP(すなわち、伝送制御プロトコル/インターネットプロトコル)と呼ばれる1組の通信プロトコルを使って各ホストを接続する。インターネットは、インターネットバックボーンとして呼ばれる通信インフラストラクチャを有する。インターネットバックボーンへのアクセスは大部分企業及び個人へのアクセスを再販するインターネットサービスプロバイダ(ISP)によって制御される。
【0005】
IP(インターネットプロトコル)に関して、これは、ネットワーク上である装置(電話機、PDA[携帯情報端末]、コンピュータなど)から別の装置にデータを送るためのプロトコルである。今日、IPv4、IPv6などを含めて、様々なIPのバージョンがある。ネットワーク上の各ホスト装置は、独自の一意の識別子である少なくとも1つのIPアドレスを有する。
【0006】
IPはコネクションレス型プロトコルである。通信時の端点間接続は連続的ではない。ユーザがデータ又はメッセージを送信し、又は受信するとき、データ又はメッセージは、パケットと呼ばれる要素に分割される。各パケットは、独立のデータ単位として扱われる。
【0007】
インターネット又は同様なネットワークを介した地点間の伝送を標準化するために、OSI(開放型システム間相互接続)モデルが確立された。OSIモデルは、ネットワーク中の2地点間の通信プロセスを7つの階層に分け、各層は独自の機能セットを付加する。各装置は、送信側端点では各層を通る下り回線(downward flow)があり、受信側端点では各層を通る上り回線(upward flow)があるようにメッセージを取り扱う。7つの機能層を提供するプログラミング及び/又はハードウェアは、通常、デバイスオペレーティングシステム、アプリケーションソフトウェア、TCP/IP及び/又は他のトランスポート及びネットワークプロトコル、並びに他のソフトウェア及びハードウェアの組み合わせである。
【0008】
通常、上位4層は、メッセージがユーザから、又はユーザへ渡されるときに使用され、下位3層は、メッセージが装置(IPホスト装置など)を通過するときに使用される。IPホストは、サーバ、ルータ、ワークステーションなど、IPパケットを送受信することのできるネットワーク上の任意の装置である。他の何らかのホストに向けられているメッセージは、各上位層には通過させないが、他のホストに送られる。OSIモデル及び他の同様なモデルでは、IPが層3、ネットワーク層にある。
【0009】
無線ネットワーク:
無線ネットワークは、例えば、セルラ及び無線電話機、PC(パーソナルコンピュータ)、ラップトップコンピュータ、装着型コンピュータ、コードレス電話機、ポケットベル、ヘッドセット、プリンタ、PDAなど、多種多様なモバイル機器を組み込むことができる。例えば、モバイル機器は、音声及び/又はデータの高速無線伝送を確保するデジタルシステムを含むことができる。一般的なモバイル機器は、次の構成要素の一部又は全部、即ち送受信機(すなわち、例えば、送信機、受信機及び、必要に応じて、他の機能が統合されたシングルチップ送受信機などを含む、送信機及び受信機)、アンテナ、プロセッサ、1つ又は複数の音声変換器(例えば、音声通信用機器でのスピーカやマイクロホンなど)、電磁データ記憶(データ処理が提供される機器の場合などでの、ROM、RAM、デジタルデータ記憶など)、メモリ、フラッシュメモリ、フルチップセット又は集積回路、インターフェース(USB、CODEC、UART、PCMなど)及び/又は同種のものを含む。
【0010】
モバイルユーザが無線接続を介してローカルエリアネットワーク(LAN)に接続することのできる無線LAN(WLAN)が、無線通信に用いることができる。無線通信には、例えば、光、赤外線、電波、マイクロ波などの電磁波を介して伝搬する通信などが含めることができる。現在、ブルートゥース(登録商標)、IEEE802.11、HomeRFなど、様々なWLAN標準が存在する。
【0011】
一例として、ブルートゥース製品は、モバイルコンピュータ、モバイル電話機、携帯式ハンドヘルド機器、携帯情報端末(PDA)、及び他のモバイル機器の間のリンク、並びにインターネットへの接続を提供するのに使用できる。ブルートゥースは、モバイル機器が、短距離無線接続を使って、相互に、また非モバイル機器と、どのようにして容易に相互接続し合うことができるかを詳述するコンピュータ及び電気通信業界仕様である。ブルートゥースは、ある機器と別の機器との間でデータを同期させ、整合させ続けることを必要とする、様々なモバイル機器の普及から生じるエンドユーザ問題に対処して、異なるベンダからの装置を相互にシームレスに動作させるデジタル無線プロトコルを作成する。ブルートゥース機器は、共通の名称概念に従って名称付けできる。例えば、ブルートゥース機器は、ブルートゥース機器名(BDN)又は一意のブルートゥース機器アドレス(BDA)に関連付けられた名称を持ち得る。また、ブルートゥース機器は、インターネットプロトコル(IP)ネットワークに参加することもできる。ブルートゥース機器がIPネットワーク上で機能する場合、この機器は、IPアドレス及びIP(ネットワーク)名を備えることができる。よって、IPネットワークに参加するように構成されたブルートゥース機器は、BDN、BDA、IPアドレス及びIP名などを含むことができる。「IP名」という用語は、インターフェースのIPアドレスに対応する名称を指す。
【0012】
IEEE標準であるIEEE802.11は、無線LAN及び機器の技術の仕様を定める。802.11を使えば、各単一基地局がいくつかの機器をサポートする無線ネットワークが実現できる。いくつかの例では、機器に無線ハードウェアが事前装備されていることもあり、ユーザが、アンテナを含めることができ、カードなどの別個のハードウェアをインストールすることもできる。例えば、802.11で使用される機器は、通常、機器がアクセスポイント(AP)であるか、移動局(STA)であるか、ブリッジであるか、PCMCIAカードであるか、それとも別の機器であるか否かを問わず、無線送受信機、アンテナ、及びネットワークにおける各点間のパケットの流れを制御するMAC(媒体アクセス制御)層という3つの注目すべき要素を含む。
【0013】
更に、いくつかの無線ネットワークでは、複数インターフェース機器(MID)が利用できる。MIDは、ブルートゥースインターフェースと802.11インターフェースなど、2つの独立のネットワークインターフェースを含むことができ、よって、MIDが2つの別個のネットワーク上に参加すると同時に、ブルートゥース機器ともインターフェースすることが可能になる。MIDは、IPアドレス、及びIPアドレスに関連付けられた共通IP(ネットワーク)名を持つことができる。
【0014】
無線ネットワーク機器には、それだけに限らないが、ブルートゥース機器、複数インターフェース機器(MID)、802.11x機器(802.11a、802.11b、802.11g機器などを含む、IEEE802.11機器)、HomeRF(家庭内無線周波数)機器、Wi−Fi(Wireless Fidelity)機器、GPRS(汎用パケット無線システム)機器、3Gセルラ機器、2.5Gセルラ機器、GSM(移動通信用グローバルシステム)機器、EDGE(Enhanced Data for GSM Evolution)機器、TDMA型(時分割多重接続)機器、又はCDMA2000を含むCDMA型(符号分割多重接続)機器が含めることができる。各ネットワーク機器は、それだけに限らないが、IPアドレス、ブルートゥース機器アドレス、ブルートゥース共通名、ブルートゥースIPアドレス、ブルートゥースIP共通名、802.11IPアドレス、802.11IP共通名、又はIEEE MACアドレスを含む、様々な種類のアドレスを含むことができる。
【0015】
また、無線ネットワークは、例えば、モバイルIP(インターネットプロトコル)システム、PCSシステム、及び他のモバイルネットワークシステムにおいて見られるメソッド及びプロトコルも関与できる。モバイルIPでは、これに、インターネット技術標準化委員会(IETF)によって作成された標準通信プロトコルが関与する。モバイルIPでは、モバイル機器ユーザは、これらの一旦割り当てられたIPアドレスを維持しつつ、各ネットワークにまたがって移動することができる。コメントリクエスト(RFC)3344を参照されたい。注:RFCはインターネット技術標準化委員会(IETF)の公式文書である。モバイルIPは、インターネットプロトコル(IP)を拡張し、モバイル機器のホームネットワーク外部に接続するときに、モバイル機器にインターネットトラフィックを転送する手段を付加する。モバイルIPは、各モバイルノードに、これのホームネットワーク上のホームアドレスと、ネットワーク及びこれのサブネット内の機器の現在位置を識別する気付アドレス(CoA)を割り当てる。機器が異なるネットワークに移動すると、機器は、新しい気付アドレスを受け取る。ホームネットワーク上のモビリティエージェントは、各ホームアドレスを、これの気付アドレスと関連付けることができる。モバイルノードは、インターネット制御メッセージプロトコル(ICMP)などを使って、これの気付アドレスを変更する都度ホームエージェントにバインディング更新を送ることができる。
【0016】
(例えば、モバイルIP外部などの)基本的なIP経路指定において、経路指定機構は、各ネットワークノードが、常に、インターネットなどへの一定の接続点を有し、かつ各ノードのIPアドレスが、これが接続されているネットワークリンクを識別するという仮定を利用する。本明細書において、「ノード」という用語は、例えば、データ伝送のための再配信点や端点などを含むことができ、他のノードへの通信を認識し、処理し、及び/又は転送することのできる接続点を含む。例えば、インターネットルータは、機器のネットワークを識別するIPアドレスなどを調べることができる。次いで、ネットワークレベルにおいて、ルータは、特定のサブネットを識別するビットセットを調べることができる。次いで、サブネットレベルにおいて、ルータは、特定の機器を識別するビットセットを調べることができる。一般的なモバイルIP通信の場合、ユーザが、例えば、インターネットなどからモバイル機器を切断し、これを新しいサブネットで再接続しようとする場合、機器は、新しいIPアドレス、適正なネットマスク及びデフォルトのルータを用いて再構成する必要がある。そうでなければ、経路指定プロトコルは、パケットを適正に配信することができないはずである。
【0017】
ケルベロス(Kerberos)に関する背景
ケルベロスはネットワーク認証プロトコルである。http://web.mit.edu/Kerberos/を参照。それは秘密キー暗号文を用いてクライアント/サーバアプリケーションの認証を行う。このプロトコルの自由な実施はマサチューセッツ工科大学から利用可能である。ケルベロスは更に多くの商品に利用できる。
【0018】
ケルベロスはコンピュータネットワークにおけるサービスの要求を認証するための確実な方法である。ケルベロスはユーザに認証プロセスから暗号化チケットを要求させる。このとき、認証プロセスはサーバから特定のサービスを要求するために使用できる。ユーザのパスワードはネットワークを通過する必要がない。
【0019】
ケルベロス[RFC1510]は認証、許可及びキー配信を与える周知のセキュリティプロトコルである。それは複数のプロトコルを確保するために使用される。
【0020】
ケルベロスはユーザがパスワードを再入力する必要がなくクライアントAがチケット付与サービス(Ticket Granting Service (TGS))をアクセスする初期チケットを取得することを可能にする。その初期チケットはクライアントAがサービスBをアクセスするための他のチケットを得るためTGSとのケルベロル取り決めを開始することを可能にする。この方法を用いることによって、ケルベロスもAが(ビジテッドドメイン(visited domain)において)ローカルTGSをアクセスするため(Aのホームドメインにおける)リモートTGSからチケットを回復できる場合にクロスレルムオペレーション(cross-realm operation)を可能にする。しかしながら、ケルベロスは3人のメンバ間で時間同期を必要とする。
【0021】
幾つかの例では、EAPフレームワークの柔軟性と大学でのケルベロスの幅広い展開とを組合すことによってケルベロスチケット付与チケットをブートすることが可能になる。このときこのケルベロスチケット付与チケットは各種プロトコルと共に使用するためサービスチケットを探索するために使用できる。EAPプロトコル相互作用を利用してケルベロスチケットをブートするこの方法は[I-D.tschofenig-pana-bootstrap-kerberos]に開示されている。その全ての開示は参照することにより本願に援用される。
【0022】
EAPとケルベロスとを組み合わせる他の方法はEAP利用事前認証機構(EAP-based pre-authentication mechanism)をケルベロスに統合することである。しかしながら、証明をブートする一般的なプロトコルを使用することは(MIPv6ブートストラッピングワーク[I-D.ietf-mip6-bootstrap-ps]の一部として検討されているような)使用モバイルIPのための対象キーをブートするためにも又は公開/個人キーをブートするためにも利用できる。故に、一時公開及び個人キー対をエンドホストに送ることを機密保護する必要がある。このキー対は取り消し機構を多分必要としないで、短寿命であり、(IKEv2又はTLSを含む)公開キー利用機構を利用する全てのセキュリティプロトコルにおいて使用できる。対称暗号化に基づく認証プロトコルはなおEAP内で使用できるので、回避された公開キー基盤が大きな利点となる。以下のセクションで検討するように、拡張可能認証プロトコル(Extensible Authentication Protocol (EAP))[全体的に本願に引用して援用されるRFC3748を参照]が認証メソッドを提供する。幾つかの例では、PANAプロトコル[I-D.ietf-pana-pana]はアクセスネットワークにおいてPaC(PANAクライアント)とPAA(PANA認証エージェント)と間でEAPメッセージを伝える。
【0023】
EAPに関する背景
(以下に引用する)Aboba,RFC 3748を参照すると、拡張可能認証プロトコル(EAP)の具体的態様が説明されている。EAPは複数の認証メソッドをサポートする認証フレームワークである。EAPは一般的にはIPを必要としない、ポイントツーポイントプロトコル(PPP)又はIEEE802のような複数のデータリンク層上で直接に実行する。EAPは二重削除及び再送信のため独自のサポートを備えているが、下位層順の保証に依存する。断片化はEAP自体内でサポートされないが、個々のEAPメソッドがこれをサポートできる。
【0024】
EAPは切換回路だけでなく、専用リンクに使用でき、無線リンクだけでなく有線であってもよい。今まで、EAPはPPP [RFC1661]を用いて切換回路又はダイアルアップネットワークを介して接続するホスト及びルータによって実現されていた。それはまたIEEE 802[IEEE−802]を用いてスイッチ及びアクセスポイントによっても実現されていた。IEEE 802有線媒体に関するEAPカプセル化が[IEEE−802.1X]に説明されており、IEEE無線LANsに関するカプセル化は[IEEE−802.11i]に開示されている。
【0025】
EAPアーチテクチャの利点の1つはその柔軟性にある。EAPは、特定の認証機構を選択するため、一般的にはオーセンティケータ(authenticator)が使用すべき特定の認証メソッドを決定するためにより多くの情報を要求した後に選択するために使用される。各新しい認証メソッドをサポートするために更新されることをオーセンティケータが必要とする以外に、EAPは幾つか又は全てのメソッドに対するパススルーとして行動するオーセンティケータ及びピアによって、幾つか又は全ての認証メソッドを実施できるバックエンド認証サーバの使用を可能にする。
【0026】
この後者の引用文献の中で、オーセンティケータがパススルーとして行動するか否かに関係なくオーセンティケータの要求が適用される。要求がオーセンティケータ又はバックエンド認証サーバのいずれかに適用されることを意味している場合、EAP認証が終了される場所に依存して、用語「EAPサーバ」が使用されている。
【0027】
EAPは再送信のサポートを行っている間、それは下位層によって提供される順序付け保証を仮定し、故に異常のある受信はサポートされない。
【0028】
EAPは断片化及び再構築をサポートしないので、最小EAP MTUより大きなペイロードを生成するEAP認証メソッドは断片化サポートを提供する必要がある。
【0029】
EAP−TLSのような認証メソッドは断片化及び再構築を提供するが、この後者の引用文献で定義されたEPAメソッドは行わない。その結果、EAPパケットサイズがリンクのEAP MTUを越えれば、これらのメソッドは困難に合うことになる。
【0030】
EAP認証はサーバ(オーセンティケータ)によって初期化されるが、多くの認証プロトコルはクライアント(ピア)によって初期化される。その結果、EAPを通過するために1つ又は2つの追加メッセージ(多くとも1往復)を追加することが認証アルゴリズムに必要となるかもしれない。
【0031】
証明利用認証がサポートされる場合、追加往復の数は証明書チェーン(certificate chains)の断片化によりかなり多くなるかもしれない。一般的に、断片化EPAパケットは断片があるだけ多くの往復で送る必要がある。例えば、サイズが14960オクテットの証明書チェーンは1496オクテットEAP MTUで10往復する必要がある。EAPが重大なパケットロスを起こす下位層を繰り返す場合、又はオーセンティケータと認証サーバとの接続が重要なパケットロスを起こす場合、多くの往復を必要とするEAPメソッドは困難に直面することもある。これらの状況において、少ない往復を用いたEAPメソッドの使用が望まれる。
【0032】
EAP認証交換は次のように処理される。
【0033】
[1]オーセンティケータはピアを認証するためリクエスト(Request)を送る。リクエストは要求されているものを示すタイプフィールドを有する。リクエストタイプの例は識別(Identity)、MD5−チャレンジなどを含む。MD5−チャレンジタイプはCHAP認証プロトコルに密接に対応する[RFC1994参照]。一般的には、オーセンティケータは初期認証リクエストを送ることになるが、初期認証リクエストは必要とされなく、バイパスされないこともある。例えば、識別はピアが接続されているポート(専用回線、専用スイッチ又はダイアルアップポート)によって決定される場合、又は識別が(MD5−チャレンジレスポンスなどのネームフィールドにおいて、呼出局識別又はMACアドレスを介して)他のメソッドで得られる場合には要求されないこともある。
【0034】
[2]ピアは有効リクエストに答えてレスポンスパケット(Response packet)を送る。リクエストパケットと同様に、レスポンスパケットはリクエストのタイプフィールドに対応するタイプフィールドを含む。
【0035】
[3]オーセンティケータは追加リクエストパケットを送り、ピアはレスポンスで答える。リクエスト及びレスポンスのシーケンスは必要なだけ継続する。EAPは‘横並び(lock step)’プロトコルであり、故に、初期リクエスト以外は、新たなリクエストは有効なレスポンを受理する前に送ることができない。オーセンティケータはリクエストを再送信する責任がある。適正数の再送信の後には、オーセンティケータはEAP対話を終了すべきである。オーセンティケータは再送信するとき、又はピアからのレスポンスが得られないときには成功又は失敗パケットを送る必要がない。
【0036】
[4]対話はオーセンティケータがピア(1以上のリクエストに対して受入れがたいレスポンス)を認証できなくなるまで続けられる。この場合、オーセンティケータの実行にはEAP失敗(コード4)を送信する必要がある。あるいは、認証対話は認証が成功したことをオーセンティケータが決定するまで継続する。この場合、オーセンティケータはEAP成功(コード3)を送信する必要がある。
【0037】
他の利点では、EAPプロトコルは特定のものを事前に取り決めする必要が無く多くの認証機構をサポートできる。更に、ネットワークアクセスサーバ(NAS)装置(例えば、スイッチ又はアクセスポイント)は各認証メソッドを理解する必要が無く、バックエンド認証サーバに対するパススルーエージェントとして動作できる。パススルーのためのサポートは随意的である。オーセンティケータはローカルピアを認証でき、更に、同時に非ローカルピア及びローカル的には実行しない認証メソッドに対するパススルーとして作用する。更に、バックエンド認証サーバからオーセンティケータを分離することによって証明管理及びポリシー決定を簡単にする。
【0038】
概念的に、EAP実施は次の要素からなる。
【0039】
[a]下位層。下位層はピアとオーセンティケータとの間でEAPを送受信する義務がある。EAPはPPP,有線IEEE802ラン[IEEE−802.1X], IEEE 802.11 wireless LANs [IEEE−802.11],UDP(L2TP [RFC2661]及びIKEv2参照)及びTCPを含む各種下位層上で実行していた。
【0040】
[b]EAP層。EAP層は下位層を介してEAPパケットを送受信し、二重検出及び再送信を実行し、EAPメッセージをEAPピア及びオーセンティケータ層に送信し、オーセンティケータ層から受信する。
【0041】
[c]EAPピア及びオーセンティケータ層。コードフィールドに基づいて、EAP層は入力EAPパケットをEAPピア及びオーセンティケータ層に分離する。一般的には、所定ホストでのEAP実行はピア又はオーセンティケータ機能のいずれかをサポートすることになるが、ホストがEAPピア及びオーセンティケータの両方として作用することを可能にする。そのような実行においては、EAP及びオーセンティケータ層の両方が存在することになる。
【0042】
[d]EAPメソッド層。EAPメソッドはオーセンティケータアルゴリズムを実行し、EAPピア及びオーセンティケータ層を介してEAPメッセージを送受信する。断片化のサポートはEAP自体によっては得られないが、これはEAPメソッドの責任である。id.
以後の参考文献はここに参照として引用される次の定義を説明している。
【0043】
オーセンティケータ:
EAP認証を初期化するリンクの終端。期間オーセンティケータは[IEEE−802.1X]に使用され、この文献では同様の意味を有する。
【0044】
ピア:
オーセンティケータに応答するリンクの終端。[IEEE−802.1X]では、この終端はサプリカント(Supplicant)として知られている。
【0045】
バックエンド認証サーバ:
バックエンド認証サーバは認証サービスをオーセンティケータに提供するエンティティ(entity)である。使用時には、このサーバは一般的にはオーセンティケータのためにEAPメソッドを実行する。この専門用語は[IEEE−802.1X]に使用されている。
【0046】
AAA:
EAPサポートを持つ認証、許可、及び課金(Authentication, Authorization, and Accounting(AAA))プロトコルはRADIUS及びダイアミタ(Diameter)を含む。この文献では、用語“AAAサーバ”及び“バックエンド認証サーバ”は交換可能に使用される。
【0047】
EAPサーバ又はサーバ:
ピアによってEAP認証メソッドを終了するエンティティ。バックエンド認証サーバが使用されない場合には、EAPサーバはオーセンティケータの一部である。オーセンティケータがパススルーモードで動作する場合、EAPサーバはバックエンド認証サーバに設けられる。
【0048】
成功した認証:
この文献の内容では、「成功した認証」はEAPメッセージの交換であり、その結果オーセンティケータはピアによってアクセスできることを決定し、ピアがこのアクセスを使用することを決定する。オーセンティケータの決定は一般的には認証及び許可面の両方を含み、ピアはオーセンティケータに首尾良く証明できるが、アクセスは政策的理由によりオーセンティケータによって拒絶されるかもしれない。
【0049】
マスタセッションキー(MSK):
EAPピアとサーバ間で得られ、EAPメソッドによって転送されるキーイングマテリアル。MSKは長さが少なくとも64オクテットである。既存の実施では、EAPサーバとして作用するAAAサーバはMSKをオーセンティケータに送る。
【0050】
拡張マスタセッションキー(EMSK):
EAPクライアントとサーバとの間で得られ、EAP法によって転送される追加キーイングマテリアル。EMSKは長さが少なくとも64オクテットである。EMSKはオーセンティケータ又は任意の他の第三者によっては共有されない。EMSKはまだ定義されていない将来の使用のために予約される。
【0051】
EAP拡張:
参考のため、出願人はthttp://www.ietf.org/internet-drafts/draft-ietf-hokey-erx-04.txtのサイトに掲載されているEAP Extensions for EAP Reauthentication Protocol (ERP), IETF Internet Draft, August 24, 2007, of V. Narayanan, et al.を参照する。この参考文献は次のようにEAP再認証プロトコルのためのEAP拡張を説明している。拡張可能認証プロトコルは2つのグループを認証するメソッドの搬送のための総括フレームワークであり、認証は一方向又は相互のいずれかである。主要目的はネットワークアクセス制御であり、キー生成メソッドはアクセス制御を実施するために推奨される。EAPキーイング階層は2つのキーを定義する。これらのキーはトップレベルで、即ちマスタキーセッション(MSK)及び拡張MSK(EMSK)で得られる。最も一般的な展開シナリオにおいては、ピア及びサーバはオーセンティケータとして知られている第三者を介して互いに認証する。オーセンティケータ又はオーセンティケータによって管理されるエンティティはアクセス制御を実施する。認証の成功後には、サーバはMSKをオーセンティケータに搬送し、オーセンティケータ及びピアはMSKを認証キー又はキー誘導キーとして用いて一時セッションキー(TSK)を取得し、単位パケットアクセス実施のためにTSKを使用する。Id。ピアがあるオーセンティケータから他のオーセンティケータに移動するときは、完全EAP認証を避けることが望ましい。EAPメソッドの他の実行との完全EAP交換は完了するために数回の往復及びかなりの時間を取り、ハンドオフ時間に遅延が生じる。幾つかのEAPメソッドは計算オーバヘッドを減じることによって再認証を最適化するために初期認証からの状態の使用を特定するが、メソッド特定再認証は殆どのケースでは少なくとも2往復する。殆どのメソッドは再認証に対するサポートを提供しないことに留意することも重要でもある。故に、個々のメソッドにおけるよりもEAPにおいて効果的な再認証サポートを受けるのがよい。
【0052】
オーセンティケータにわたって共有するキーはハンドオフタイムを低減するため現実的な解決法として時々使用される。その場合、オーセンティケータの譲歩が他のオーセンティケータを介して確立されるEAPセッションの譲歩となる。ld。要するに、再びEAPメソッドを実行することを必要としないでピアとオーセンティケータ間にフレッシュキーを確立することを可能にする有効EAP再認証機構を設計する必要がある。ld。この文献はEAPを用いて有効再認証のためにEAP再認証拡張(ERX)を特定している。ERXに基づくEAP再認証プロトコル(ERP)はピアに対するEAPメソッド非依存再認証をサポートする。このピアは以前に実行されたEAP認証からの有効な残りキーマテリアルを有する。プロトコル及びEAP再認証に必要なキー階層がこの文献に記載されている。ld。
【0053】
EAPの拡張(EAP−EXT):
本願はいずれも「EAP拡張(EAP−EXT)のためのEAP方法」と名称付けられ、Y. Oba, et al.による2007年10月4日付提出の本譲渡人の先願米国非仮出願番号11/867,659及びY. Oba, et al.による2006年12月8日付提出の米国仮出願番号60/869,113に記載されているような発明を越える更なる進展を提供している。両出願の全開示は全てここに記載されているようにここに引用して援用される。背景参照として、本譲渡人の前記背景出願の技術に関する情報は次のパラグラフに含まれる。
【0054】
1.EAP−EXTの序論
上記検討に加えて、EAP(拡張可能認証プロトコル)は“EAPメソッド”[RFC3748]として知られている多くの認証アルゴリズムを支援する認証プロトコルである。EAPでは、EAPピア及びEAPサーバはEAPキーイングマテリアル、即ち、MSK(マスタセッションキー)及びEMSK(拡張マスタセッションキー)を生成する。MSKの生成、搬送及び使用の詳しいフレームワークは[I-D.ietf-eap-keying]に記載されている。
【0055】
EMSK用法の1つが再認証である場合にEMSK(拡張マスタセッションキー)の幾つかの用法を定義することによってEAP [RFC3748]の拡張機能がある。EAPの他の拡張機能は[I-D.ohba-eap-channel-binding]に定義されているチャネル結合方式(channel binding scheme)である。チャネル結合に関する追加の背景文献として、2006年4月20日にY.Ohbaによって出願された、CHANNEL BINDING MECHANISM BASED PARAMETER BINDING IN KEY DERIVATIONと名称付けられた同時継続出願番号11/379,568の全開示が全体として参照することによって本明細書に援用される。EAPの拡張機能をサポートする実施は拡張機能をサポートしない実施と相互運用する必要があり、故に、前者の実施は後者の実施と通信するとき拡張機能を無効にするので、EAPピアに対する機構が必要となり、EAPの拡張機能に関してケイパビリティを取り決めるEAPサーバが必要となる。
【0056】
EAP機能を拡張するために2つの基本的な方法がある。1つの方法は既存の方法、即ち、リクエスト、レスポンス、成功及び失敗に加えて拡張EAP機能を実現するために新たなEAPコードを定義することである。しかしながら、この方法はRFC3748への変更を必要とし、下位層プロトコルへの変更も必要とするかもしれない。他の方法は拡張機能を実現するために新たなEAPメソッドを定義することである。この文献は既存のEAP展開への攻撃を最小にする後者の方法と取る。
【0057】
EAP−EXTはEAP機能を拡張するEAPメソッドを説明している。幾つかの好適実施形態では、拡張EAP機能はチャネル結合及び再認証を含む。また、EAP−EXTメソッドはその内部の多くのEAPメソッドの順序づけを可能にする。
【0058】
2.EAP−EXT概要
好適実施形態では、EAP−EXTはケイパビリティ交換を提供する。これに関して、メッセージ内のビットはケイパビリティの表示に使用できる。幾つかの実施形態では、1ビット(R−ビット)は再認証ケイパビリティに使用される。幾つかの実施形態では、1ビット(C−ビット)はチャネル結合ケイパビリティを示すために使用される。
【0059】
EAP−EXTが使用されると、サーバは第1のEAPリクエストを送る前にサーバにピアの識別が知られれば先のEAP−識別交換が省略できる。この点について、ピアの識別をサーバに提供する、例えば、オーセンティケータとサーバとの間でピアの識別を転送する幾つかのアウトバンド(outband)機構がある。
【0060】
EAP−EXTにおいて、チャネル結合及び再認証のような拡張EAPケイパビリティはピア及びサーバ間で交換される。同時に、少なくとも1つのEAPメソッド(例えば、EAP−TLS)はピアを認証するためのEAP−EXT内で実行される。内部メソッドがEAPキーイングマテリアルを生成するまで、AUTH TLV(Type-Length-Value)は含まれず、ケイパビリティは保護されない。故に、1つの内部EAPメソッドだけがあれば、AUTH TLVを有するがメソッドTLVを有さない追加のEAP−EXTがEAP成功又はEAP失敗メッセージを送る前に実行される。TLVs(Type-Length-Value)に関する背景参照として、データ通信プロトコルにおいて情報はType-Length-Value又はプロトコルの内部のTLV要素として符号化できることを留意する。一例として、タイプ及び長さフィールドはサイズが(例えば、数バイトに)固定され、値フィールドは一般的には可変サイズである。これらのフィールドは一般的には次のように使用される、即ち、タイプはメッセージのこの部分が表すフィールドの種類を示す数値コード、長さ、即ち値フィールドのサイズ(一般的にはバイトで)、及び値、即ちメッセージのこの部分に対するデータを含む可変サイズのバイトセットを用いた。TLV表現を用いる利点の幾つかはTLVシーケンスが発生した構文解析関数を用いて容易に探索されること、古いノードで受信される新しいメッセージ要素が支障なく省略でき、メッセージの残りが構文解析できること、そしてTLV要素が一般的に早く構文解析を行い、データを小さくする二進形式で使用されることを含む。
【0061】
内部EAPメソッドはEAPキーイングマテリアルを生成した後、EAP−EXTメッセージはAUTH TLVによってサポートする必要がある。EAP−EXTメッセージの中のAUTH TLVsは最後に成功した内部メソッドのEAPキーイングマテリアルから生成されるEAP−EXT−KEYを用いて計算する必要がある。これはEAP−EXT内部で順次実行される複数の内部EAPメソッドがあれば、新たなEAP−EXT−KEYがシーケンスの内部EAPメソッドがEAPキーイングマテリアルを生成する毎に生成されることを意味する。任意の内部EAPメソッドはEAPキーイングマテリアルを生成できる用になる必要がある。
【0062】
成功したEAP−EXT実行の最後に、最後に成功した内部EAPメソッドによって生成されるEAPキーイングマテリアルはEAP層に転送される。F−ビットはEXP−EXT交換の終了を示すために使用される。
【0063】
図1は単一の内部EAPメソッドを持つEAP−EXTメッセージシーケンスの例を示す。図2は複数の内部EAPメソッドを有するEAP−EXTメッセージシーケンスの例を示す。
【0064】
3.エラー処理
エラーは複数の理由、例えば、内部EAPメソッド認証の失敗又は異常、未知、紛失EAP−EXT TLVにより生じるかもしれない。エラーはピア又はサーバのいずれかによって検出できる。エラーを起こしたEAP−EXTメッセージは誤りメッセージと見なされる。E−ビットセットを持つEAP−EXTメッセージはエラー表示のために使用される。これらのメッセージはエラー表示と見なされる。エラー表示はAUTH TLVを含める必要があり、他のTLVsを含めるべきでない。
【0065】
有効AUTH TLVを持たない(間違ったエラー表示を含む)どんな間違いメッセージも無許可で破棄する必要がある。
【0066】
有効AUTH TLVを持つ間違いリクエストに対して、ピアはエラー表示レスポンスを送る。有効AUTH TLVを伴わない間違いレスポンスに対して、サーバはエラー表示リクエストを送り、このリクエストはエラー表示レスポンスでピアによって応答される。サーバは有効AUTH TLVを伴うエラー表示レスポンスに応答してEAP失敗メッセージを送り返す。
【0067】
4.完全性保護キー
EAP−EXTは2種類のキー、即ち、1)EAP−EXT−KEY及び2)EAP−REAUTH−KEYを定義する。
【0068】
4.1.EAP−EXT−KEYは完全性保護EAP−EXTメッセージのためにAUTH TLVsの計算に使用される。HMAC−SHA−256(上記文献に含まれる参考[sha256]を参照)は完全性アルゴリズムに使用されると、EAP−EXT−KEYのレングスは32オクテットである。EAP−EXT−KEYは次のように定義されるUSRK(Usage Specific Root Key)誘導アルゴリズムを用いて内部EAPメソッドによって生成されるEMSKから得られる(例えば、上記に参照することによって援用される参考[I-D.salowey-eap-emsk-deriv]を参照)。
【0069】
EAP−EXT−KEY=KDF(EMSK, [Epsilon]AP-EXT-Integrity-Key”, length).
KDFでは、EAP−EXT−KEYは上記に参照することによって援用される参考文献[I-D.salowey-eap-emsk-deriv]に特定されているデフォルトPRFを用いる。
【0070】
背景参考として、USRKキー誘導関数(KDF)は拡張マスタセッションキー(EMSK)、キーラベル、オプションデータ及び出力レングスからUSRKを求める。KDFは同じ入力に対して同じ出力を与えるはずである。基本キー誘導関数はUSRK = KDF(EMSK、キーラベル、オプションデータ、レングス)である。Idを参照。一般的には、キーラベルは各使用定義に独特のプリント可能なASCIIストリングであり、最大255バイトである。Idを参照。一般的には、それらはドメインがUSRKの使用定義の仕様を管理する組織(organization)であるところのフォームlabel-string@domainである。キーラベルは広域的特異性を持つ。これらラベルの割り当てのルールは[I-D.salowey-eap-emsk-deriv]のセクション7に示されている。
【0071】
前記文献に説明されているように、EMSKキー誘導関数は次の関数プロトタイプを持つ仮想ランダム関数に基づいている。
【0072】
KDF=PRF(key,data)。Idを参照。USRKsをEMSKから得るために使用されるデフォルトPRFはHMAC−SHA−256に基づいて[RFC4306]に由来するPRF+キー拡張PRFから引き出される。prf+構成が[RFC2246]に使用されるもののような他のPRFsを超えるその簡単さ及び効率のために選択された。[RFC4306]によるPRF+の定義は以下に示される。
【0073】
prf+(K,S)=T1|T2|T3|T4|...
但し
T1=prf(K,S|0x01)
T2=prf(K,T1|S|0x02)
T3=prf(K,T2|S|0x03)
T4=prf(K,T3|S|0x04)
キーマテリアルの必要レングスを計算するために必要に応じて継続する。
【0074】
キーKはEMSKであり、Sは[I-D.salowey-eap-emsk-deriv]のセクション1に定義されたデータである。Idを参照。図のように、PRFはHMAC−SHA−256と考えられる。Idを参照。
【0075】
4.2.EAP−REAUTH−KEY
EAP−REAUTH−KEYは再認証機構に使用されるEAPメソッドによって要求される事前共有キーとして使用される。EAP−REAUTH−KEYのレングスは再認証機構に依存する。EAP−REAUTH−KEYは上記で援用される参考文献[I-D.salowey-eap-emsk-deriv]に次のように定義されるUSRK誘導アルゴリズムを用いてEAP−EXTから転送されるEMSKから得られる。
【0076】
EAP−REAUTH−KEY=KDF(EMSK,“EAP-EXT-Reauthentication-Key”, length)
5.メッセージフォーマット
EAP−EXTは(IANAによって割り当てられるべき)EAP Type Xを用いる。[RFC3748]に定義された共通EAPフィールド(例えば、コード、識別子、長さ及び種類)を含むメッセージフォーマットは図3(A)に示される。
【0077】
F:
このビットはこれが送信者からの最後のEAP−EXTメッセージであることを示すように設定する必要がある。そうでなければ、このビットは設定する必要がない。
【0078】
このビットはメッセージがエラー表示であるときに設定される。このビットが設定されると、Fビットも設定する必要がある。エラー表示に関する詳細な説明のセクション3を参照。
【0079】
バージョン:
この8ビットフィールドはEAP−EXTメソッドのバージョンを示す。この文献はバージョン1を定義している。
【0080】
予約(Reserved):
この6ビットフィールドは将来の拡張のために予約される。このフィールドは送信者によってゼロに設定する必要があり、受信者はこのフィールドを無視する必要がある。
【0081】
ケイパビリティ
ケイパビリティが扱うこのフィールドは拡張EAPケイパビリティを含む。ケイパビリティは図3(B)に示されるフォーマットを扱う。
【0082】
各ビットは特定ケイパビリティに対応する。各ビットの意味は次の通りである。
【0083】
C:
このビットは送信者がMSKのための[I-D.ohba-eap-channel-binding]に定義されるチャネル結合機構をサポートすることを示すために設定される。このビットはリクエスト及びレスポンスの両方に対して設定され、EAP−EXTメソッドが首尾よく完了すると、ピア及びサーバはチャネル結合機構を可能にする必要がある。prf+用デフォルトハッシュアルゴリズム(default hash algorithm)はAUTH_HMAC_SHA1_160である。
【0084】
R:
このビットは送信者が再認証EAPメソッドをサポートすることを示すために設定される。このビットは最後のリクエスト/EXTメッセージに設定されると(即ち、Fビットを有するリクエスト/EXTが設定されると)、メッセージはサーバID TLV及びピアID TLVを含める必要があり、Reauth-Key-Lifetime AVPを含めることができる。このビットが最後のリクエスト/EXT及びレスポンス/EXTメッセージ交換に設定されると、ピア及びサーバはEAP−REAUTH−KEYを発生する必要がある。サーバID及びピアIDはサーバID及びピアID TLVsに含められ、EAP−REAUTH−KEYは再認証EAPメソッドに使用される。デフォルト再認証機構はこの開示に基づく従来技術のそれらによって選択できる。
【0085】
他のビットは将来の使用のために予約され、送信者によってゼロに設定する必要があり、受信者によって無視される必要がある。
【0086】
TLV(Type-Length-Value's):
ゼロ,1以上のTLVs。TLVフォーマットは図3(C)に示される。
【0087】
タイプ:
このフィールドはこのTLVのタイプを示す。
【0088】
レングス:
このフィールドは種類及びTLVのレングスフィールドを含めて、オクテットでこのTLVのレングスを示す。
【0089】
バリュー:
このフィールドはTLVタイプに特定されるデータを含む。
【0090】
6.EAP−EXT TLVs
次のTLVsが定義される。
【0091】
6.1.メソッドTLV
メソッドTLV(タイプ1)はタイプフィールドから開始するEAPメソッドペイロードを含む。
【0092】
6.2.AUTH TLV
AUTH TLV(タイプ2)はEAP−EXTメッセージを保護するために使用される完全性データを含む。EAP−EXT−KEYはAUTH TLVsを計算するために使用される。
【0093】
TLVバリューフィールドはこのフィールドを含む全体のEAPメッセージわたって計算される。完全性データを計算する前に、このフィールドは全てゼロに初期化する必要がある。このフィールドのレングスは使用時に完全性アルゴリズムに依存する。完全性チェックが失敗すると、メッセージは無許可で破棄する必要がある。デフォルト完全性アルゴリズムはHMAC−SHA−256である(例えば、以下で援用されている文献[sha256]を参照)。
【0094】
6.3.ピアID TLV
ピアID TLV(タイプ3)は再認証に使用されるピアの識別を含む。
【0095】
6.4.サーバID TLV
サーバID TLV(タイプ4)は再認証に使用されるサーバの識別を含む。
【0096】
6.5.Reauth−Key−Lifetime TLV
Reauth−Key−Lifetime TLV(タイプ5)はEAP−REAUTH−KEYの寿命を秒単位で含む。
【0097】
7.安全性考察
内部EAPメソッドがEAPキーイングマテリアルを送る前にケイパビリティ交換は保護されない。故に、EAPキーイングマテリアルの作成後の追加サポートメッセージ交換は能力情報がピア及びサーバによって検出されないで攻撃者によって変更されるのを避けるために義務付けられる。
【0098】
EAP−EXTはその中の多くのEAPメソッドの順序付けを可能にする。複数の入れ子又は順序認証メソッド(multiple nested or sequential authentication methods)を暗号的に結合しないでそれらで構成される複合認証メソッドが介入者攻撃(man-in-the-middle attack)に対して無防備である。EAP−EXTはシーケンスにおいて前に成功した内部メソッドによって生成されるキーを用いて外部EAPメソッド(即ち、EAP−EXT)と共に各内部EAPメソッドを保護し、最後に成功した内部EAPメソッドによって生成されるEAPキーイングマテリアルを最終的に転送することによって必要な暗号化的結合を作ることができる。暗号化結合を達成するために、EAP−EXTはEAPキーイングマテリアルを生成できる内部EAPメソッドを必要とする。
【0099】
ブートストラッピングケルベロス
1.序論
ケルベロス[RFC4120]は共有秘密キー暗号化を用いてオープン(非保護)ネットワーク上の各種ネットワークアプリケーションの端点(end-points)の同一性を証明する手段を提供する第三者認証プロトコルである。ケルベロスに対する拡張は認証プロトコル[RFC4556]のある段階中の公開キー暗号化の使用のために提供できる。
【0100】
EAP(拡張可能認証プロトコル)は“EAPメソッド”[RFC3748]として知られている複数の認証アルゴリズムをサポートする認証プロトコルである。しかしながら、EAPの適用はネットワークアクセス認証のためである。EAPは各種ネットワークアプリケーションに対して認証を提供するためには予定されていない。
【0101】
参考として、以下の表はケルベロスとEAPとの差の幾つかを強調している表である。
【表1】
【0102】
新たなシングルサインオン(single sign-on)の必要性があり、シングルサインオンでは、ビジテッド又はホームドメインにおけるネットワークアクセスのための初期認証がリンク層からアプリケーション層に及んで、ドメイン内で使用される複数の異なるプロトコルにセッションキーを与えることができる。
【0103】
特に、セッションキーをリンク層プロトコルに与えることによって、リンク層ハンドオーバ性能がオーセンティケータ内及びオーセンティケータ間ハンドオーバを含めてドメイン内でハンドオーバ毎にEAP信号経路を除去することによって最適化できる。このセクションはEAPからケルベロスをブートする機構を説明しており、このセクションでは、EAPが初期ネットワークアクセス認証のために使用され、ケルベロスは複数の異なるプロトコルにセッションキーを付与するために使用される。このセクションでは、機構を実現するためにEAP−EXT暗号化が使用される。
【0104】
2.EAP−EXTの再検討
幾つかの好適実施形態によると、新たなキャパビリティはケルベロスの新たなキャパビリティを含めて、(上述した)EAP−EXT暗号化内で定義される。
【0105】
これらの実施形態はキャパビリティフィールドに新たなキャパビリティビット(K)を定義し、EAP−EXTの新たなTLVs(例えば、KRB−BOOT TLV及びKRB−MSG TLV)も定義する。好適実施形態では、新たなキャパビリティビット(K)及びこれらの新たなTLVsは次のように使用される。
【0106】
EAP−EXT交換においては、ピア及びサーバが機能性(BKEとしてここに参照されているような機能性)を使用することを望めばピア及びサーバはキャパビリティフィールドにKビットを設定する。ピア及びサーバの両者はAUTH TLVセットによってKビットを設定すれば、そのとき、好適実施形態では、システムは以下の方法で追加のEAP−EXT交換を使用する。
【0107】
最初にサーバはケルベロスブートストラッピングパラメータをピアに送る。好ましくは、ケルベロスブートストラッピングパラメータはケルベロスブート(KRB−BOOT)TLVに含まれる。このとき、ピアはケルベロスAS−REQメッセージをケルベロスKDC(Key Distribution Center)に送る。このとき、信号伝達のこの部分がEAP−EXT外で行われる場合、KDCはAS−REPをサーバに戻す。AS−REPがKRB−MSG TLVに含まれる場合、サーバはAS−REPをピアに送る。
【0108】
最後に、ピアは確認をサーバに送り、サーバはEAP成功又はEAP失敗メッセージをピアに送る。好適実施形態では、これら交換の全てはAUTH TLVによって保護される必要がある。
【0109】
ケルベロスがEAPからブートされた後にケルベロスが使用される方法は環境に基づいて当業者によって決定でき、それに関する詳細はここでの目的のためには必要としない。
【0110】
図1はBKEを持つEAP−EXTメッセージの例を示している。
【0111】
3.新たなメッセージフォーマット
好適実施形態によると、上記で示すように、EAP−EXTのキャパビリティフラグの新たなビット、即ち新Kビットが定義される。
【0112】
図4を参照して、好適実施形態に従ったEAP−EXTメッセージフォーマットへの変更について説明する。
【0113】
KビットはEAP(ここではBKEと称する)からケルベロスをブートするためのサポートを示す。好適実施形態では、ピア及びサーバの両者は一度AUTH TLVセットによってKビットを設定すると、そのとき付加交換が上述したようにEAP−EXT内で行われる。
【0114】
4.新キー
好適実施形態では、1つの新キーがここで説明された機能性を提供するために定義される。この新キーはEAP−KRB−KEYと称される。EAP−KRB−KEYはケルベロスによって要求される事前共有キーとして使用される。好適実施形態では、ERP−KRB−KEYのレングス及び寿命はEAP−EXT内でサーバからピアに伝えられる。例えば、ERP−KRB−KEYのレングスがEAP−EXT内で取決められる。好適実施形態では、ERP−KRB−KEYキーは例えば、上記参照によって援用される文献[I-D.salowey-eap-emsk-deriv]に定義されたUSRK誘導アルゴリズムを用いてEAP−EXTから転送されるEMSKから次のように得られる。
【0115】
EAP−KRB−KEY=KDF(EMSK, “EAP-EXT-Kerberos-Bootstrapping-Key”, length)
KDFでは,EAP−EXT−KRBは[I-D.salowey-eap-emsk-deriv]に明記されたデフォルトPRFを使用する。
【0116】
5.新EAP−EXT TLVs
好適実施形態によると、次の新TLVsが定義される。
【0117】
5.1.ケルベロスブート(KRB−BOOT)TLV
好適実施形態では、ケルベロスブートストラッピングパラメータを含む新ケルベロスブートTLV(タイプ6)が確立される。好適実施形態では、次のケルベロスブートストラッピングパラメータが出現順に含まれる。
【0118】
a)EAP−KRB−KEYレングス(2オクテット)
好適実施形態では、このフィールドはEAP−KRB−KEYのレングスをオクテットで示す。
【0119】
b)EAP−KRB−KEY寿命(2オクテット)
好適実施形態では、このフィールドはEAP−KRB−KEYの寿命はEMSKの寿命を超える必要がある。
【0120】
c)主要名(可変長)
好適実施形態では、このフィールドはASN.1(Abstract Syntax Notation One)のDER(Distinguished Encoding Rules)によって符号化される、ピアのケルベロス主要名を含む。ASN.1の有名な符号化ルールがX.509によって基本符号化ルール(BER)符号化を行う制約から得られる国際基準である。抽象シンタックス概念1(Abstract Syntax Notation One :ASN.1)はコンピュータ間で送られているデータ構造がどのように符号化及び復号化されているかを制御する次のルールセット、即ち、基本符号化ルール(BER);正規符号化ルール(CER);有名符号化ルール(DER);及びパック符号化ルール(PER)を定義する。オリジナルルールセットはBER仕様によって定義された。CER及びDERはBERの特定サブセットとして最近開発された。PERはBER又はその改良型を用いてデータを送信するために必要な帯域幅量についての批判に応じて開発された。PERは大きな省力をもたらす。DERは安全なデータ転送のためX.509仕様の要求を満たすように作られた。例えば、証明登録(Certificate Enrollment)APIはDERを単独に使用する。参考までに、INTERNATIONAL TELECOMMUNICATION UNION, Information Technology - ASN.1 Encoding Rules - Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER)及びDistinguished Encoding Rules (DER), ITU-T Recommendation X.690, July 2002を参照。これらの全開示は参照として援用される。
【0121】
d)レルム(可変長)
好適実施形態では、このフィールドはASN.1(Abstract Syntax Notation One)のDER (Distinguished Encoding Rules)によって符号化された、ピア及びKDCのケルベロスレルムを含む。
【0122】
e)IPアドレスレングス(1オクテット)
好適実施形態では、このフィールドはKDCのIPアドレスを含む。
【0123】
f)KDCのIPアドレス(4又は16オクテット)
好適実施形態では、このフィールドはKDCの二進符号化IPアドレスを含む。IPアドレスレングスが4であれば、それは好ましくはIPv4アドレスを含む。IPアドレスレングスが16であれば、それは好ましくはIPv6アドレスを含む。
【0124】
5,2.ケルベロスメッセージ(KRB−MSG)TLV
好適実施形態では、ケルベロスメッセージTLV(タイプ7)はAS−REQ及びAS−REPのようなケルベロスメッセージ(例えば、DER符号化メッセージ)を含む。
【0125】
6.0具体的メセージ交換シーケンス
図5乃至9はコンポーネント又はモジュール間の具体的通信を記載した、幾つかの具体的メッセージ交換シーケンスを示す。
【0126】
これに関して、図5乃至7はBKE機能を採用している幾つかの具体的実施形態に従ったメッセージシーケンスを示す。ここでは、図5はクライアント/ピア10、サーバ30及びキー配信センタ(KDC)40の間のメッセージシーケンスを示し、図6及び7はクライアント/ピア10、サーバ30、オーセンティケータ20及びKDC(40)の間のメッセージシーケンスを示す。
【0127】
これに関して、クライアント/ピア10は、好適実施形態では、例えば、携帯電話、パーソナルコンピュータ、卓上コンピュータ、ウェラブルコンピュータ、PDAなどのようなモバイルノード又は装置に含めることができる。この際、クライアント/ピア10は(図6及び7に緑で表された)EAPピアの機能性及び(図6及び7に赤で表された)ケルベロスクライアントを含むことができる。
【0128】
図5に示すように、クライアント/ピア10、サーバ30及びキー配信センタ(KDC)40の間のような通信がBKEを採用する幾つかの実施例において次のようにできる。
【0129】
最初に、図5にa)で示すように、サーバ30はEAPリクエスト/識別をピア10に選択的に送信でき、ピアは、図5にb)で示すように、EAPリクエスト/識別をサーバ30に選択的に送信できる。
【0130】
次に、図5のc)に示されるように、サーバ30はEAPリクエスト/EXT{Cap.(K),メソッド}メッセージをピア10に送信する。ここで、Cap.(K)はメッセージがキャパビリティフィールドセット有し、メソッドはメソッドTLVに関することを示す。応答として、図5にd)で示されるように、ピア10はEAPレスポンス/EXT{Cap.(K),メソッド}メッセージをサーバ30に送信できる。
【0131】
次に、図5にe)で示されるように、サーバ30はEAP−リクエスト/EXT{Cap.(K),AUTH}メッセージをピア10に送信する。ここで、Cap.(K)はメッセージがキャパビリティフィールドセットのKビットを有し、AUTHがAUTH TLVに関連することを示している。応答として、図5にf)で示すように、ピア10はEAP−レスポンス/EXT{Cap.(K),AUTH}メッセージをサーバ30に送信できる。
【0132】
次に、図5にg)で示すように、サーバ30はEAP−リクエスト/EXT{Cap.(K),KRB−BOOT,AUTH}メッセージをピア10に送信する。ここで、Cap.(K)はキャパビリティフィールドセットを有し、KRB−BOOTは(ケルベロスブートストラッピングパラメータを含む)ケルベロスブートTLVに関連し、かつAUTHはAUTH TLVに関連する。応答として、図5にh)で示されるように、ピア10はEAP−レスポンス/EXT{Cap.(K),KRB−MSG,AUTH}メッセージをサーバ30に送信できる。ここで、AS−REQメッセージはケルベロスメッセージTLV(KRB−MSG)に含まれる。
【0133】
図5にl)で示されるように、サーバ30もケルベロスブートストラッピングパラメータをKDCに送信する。
【0134】
更に、図5にm)で示されるように、サーバ30はこのときAS−REQメッセージをケルベロスKDC(キー配信センタ)に送る。それから、図5にn)で示されるように、信号伝達のこの部分がEAP−EXT外で行われる場合、KDCはAS−REPメッセージをサーバに返す。
【0135】
次に、図5にi)で示されるように、AS−REPがKRB−MSG TLVに含まれる場合、サーバ30はAS−REPをピア10に送る。その際、サーバ30は図示のようにi)でEAP−リクエスト/EXT{Cap.(K),KRB−MSG,AUTH}メッセージを送信する。
【0136】
最後に、ピアは確認をサーバに送り、サーバはEAPサクセス(成功)又はEAPフェイラ(失敗)メッセージをピアに送る。ここで、好ましくは、図5にj)で示されるように、ピア10はEAP−レスポンス/EXT{Cap.(K),AUTH}メッセージをサーバ30に送り、サーバ30はEAPサクセスメッセージをピア10に送る。
【0137】
好適実施形態では、これら交換の全てはAUTH TLVによって保護される必要がある。
【0138】
図6を参照して、この図は図5に示されるメッセージシーケンスと実質的に同じである。しかしながら、図6は更にオーセンティケータ20に関してメッセージ交換を示している。これに関して、図6にx)で示されるように図5に示されるステップj)後に、サーバはMSKをオーセンティケータ20に送信し、それからy)にて、安全関連性(Secure Association)がピア/クライアントとオーセンティケータとの間に確立される。
【0139】
図7はBKE機能性を採用し、更にTGS−REQ/REPを含む幾つかの具体的実施形態に従った他のメッセージシーケンスである。背景参考のために、ケルベロスにおいて、クライアントはチケット付与サービス(TGS)にアプリケーションサーバと通信するために必要なチケットを問い合わせる。TGSによって生成されたチケットは全てアプリケーションサーバキーによって暗号化された、クライアントの識別及びセッションキーを含む。TGSは全てクライアントキーで暗号化された、チケット及びセッションキーのコピーをクライアントに戻す。しかしながら、この交換はクライアントの識別のいかなる認証も単独で提供しない。クライアントの識別の認証はチケット検証に基づいてクライアントとアプリケーションサーバとの他の交換によって成される。TGSはチケットを発行することによってクライアントの識別に同意する。クライアント及びアプリケーションサーバはTGSによって発行されたチケットを検証することによってクライアントの識別に同意する。クライアント識別に関する第三者の同意は、チケットがセッションキーとクライアントの識別との結合を持つ場合、クライアントとアプリケーションサーバとの間にセッションキーを保有する暗号証明に基づいて安全になされる。
【0140】
図7を参照して、x1)で示されるように、ピア10はフォーマットEAPレスポンス/EXT{F,KRB−MSG(TGS−REQ),AUTH}のサーバ30にメッセージを送信し、x2)で示すように、サーバ30はTGS−REQをKDCに送信する。このとき、KDCは図7にy2)で示すようにTGS−REPを返信する。次に、サーバ30はメッセージをフォーマットEAPリクエスト/EXT{F,KRB−MSG(TGS−REP),AUTH}のピア10へ送信する。このとき、ピアは上記と同様にEAPレスポンス/EXT{F,AUTH}を送信する。
【0141】
参考のため、図8はアプリケーションクライアント(C),アプリケーションサーバ(S)、及びキー配信センタ(KDC)を含む具体的なケルベロスメッセージシーケンスを示す。KDCはチケット発行サーバ(TGS)及び認証サーバ(AS)を含む。この具体的実施例では、3つのメッセージ交換ステップが示される。即ち、a)シーケンスのステップS1はオーセンティケータを紹介し、TGTを取得する(この際、100で示すように、AS_REQメッセージは認証サーバ(AS)に送信され、110で示すように、AS_REPメッセージが認証サーバから送信される)。b)シーケンスのステップS2はTGTを紹介し、チケットを取得する(この際、120で示されるように、TGS_REQメッセージがチケット発行サーバ(TGS)に送信され、130で示されるように、TGS_REPメッセージがTGSサーバから送信される)。
【0142】
参考のために、図9はピア、オーセンティケータ及びサーバを含む具体的EAPメッセージシーケンスを示す。図では、メッセージ200はサーバからのEAPリクエストを示し、メッセージ201はピアからのEAPレスポンスを示し、メッセージ202はサーバからのEAPサクセスメッセージを示し、メッセージ203はサーバからのMSKメッセージを示し、204は確立された安全関連性(下位層)を示す。ここでは、オーセンティケータはピアへネットワークアクセスサービスを提供する。幾つかの実施形態では、オーセンティケータ及びサーバは同じ装置で実行できるが、幾つかの実施形態では、オーセンティケータ及びサーバは分離された装置で実行できる。分離された装置で実行されるとき、オーセンティケータはピアとサーバとのEAPメッセージの「パススルー」転送者として機能する。
【先行技術文献】
【非特許文献】
【0143】
【非特許文献1】Bradner, S., “Key words for use in RFCs to Indicate Requirement Levels”, BCP 14, RFC 2119, March 1997 (Referred to herein as [RFC2119]).
【非特許文献2】Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J., and H. Levkowetz, “Extensible Authentication Protocol (EAP),” RFC 3748, June 2004 (Referred to herein as [RFC3748]).
【非特許文献3】Aboba, B., “Extensible Authentication Protocol (EAP) Key Management Framework”, draft-ietf-eap-keying-16 (work in progress), January 2007 (Referred to herein as [I-D.ietf-eap-keying]); and [I-D.ietf-eap-keying] Aboba, B., “Extensible Authentication Protocol (EAP) Key Management Framework”, draft-ietf-eap-keying-15 (work in progress), October 2006.
【非特許文献4】Narayanan, V. and L. Dondeti, “Problem Statement on EAP Efficient Re-authentication and Key Management”, draft-vidya-eap-reauth-ps-00 (work in progress), October 2006 (ここでは[I-D.vidya-eap-reauth-ps]と称する).
【非特許文献5】Ohba, Y., “Channel Binding Mechanism based on Parameter Binding in Key Derivation”, draft-ohba-eap-channel-binding-02 (work in progress), December 2006 (ここでは[I-D.ohba-eap-channel-binding]と称する).
【非特許文献6】Salowey, J., “Specification for the Derivation of Usage Specific Root Keys (USRK) from an Extended Master Session Key (EMSK)”, draft-salowey-eap-emsk-deriv-01 (work in progress), June 2006 (ここでは[I-D.salowey-eap-emsk-deriv]と称する).
【非特許文献7】National Institute of Standards and Technology, “Secure Hash Standard”, August 2002 (ここでは[sha256]と称する).
【非特許文献8】Arkko, J. and P. Eronen, “Authenticated Service Information for the Extensible Authentication Protocol (EAP)”, http://tools.ietf.org/html/draft-arkko-eap-service-identity-auth-04, October 2005 (ここでは[arkko-eap-service-identity-auth]と称する).
【非特許文献9】Kaufman, C., “Internet Key Exchange (IKEv2) Protocol”, RFC 4306, December 2005 (ここでは[RFC4306]と称する).
【非特許文献10】Narayanan, V. and L. Dondeti, “EAP Re-authentication Extensions”, draft-ietf-hokey-erx-02 (work in progress), July 2007 (ここでは[I-D.ietf-hokey-erx]と称する).
【非特許文献11】Salowey, J., “Specification for the Derivation of Root Keys from an Extended Master Session Key (EMSK)”, draft-ietf-hokey-emsk-hierarchy-01 (work in progress), June 2007 (ここでは[I-D.ietf-hokey-emsk-hierarchy]と称する).
【非特許文献12】Neuman, C., Yu, T., Hartman, S., and K. Raeburn, “The Kerberos Network Authentication Service (V5)”, RFC 4120, July 2005 (ここでは[RFC4120]と称する).
【非特許文献13】Zhu, L. and B. Tung, “Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)”, RFC 4556, June 2006 (ここでは[RFC4556]と称する). 各種方式及び方法は知られているが、改良された方式及び方法の必要性がある。
【発明の開示】
【0144】
本発明は、上述したシステム及び方法を含む、既存のシステム及び方法を改良する。
【0145】
幾つかの好適実施形態によると、サーバ、オーセンティケータ及びモバイルノードの間の安全なキー配信のためにケルベロスを使用するメディア独立ハンドオーバキー管理アーチテクチャが記載されている。このアーチテクチャを用いて、好適実施形態では、キー配信のための信号伝達は再キーイングに基づいており、初期ネットワークアクセス認証と同様なEAP(Extensible Authentication Protocol(拡張認証プロトコル))及びAAA(Authentication(認証),Authorization(許可)及びAccounting(課金))信号伝達を要求する再認証から切り離される。このフレームワークにおいて、モバイルノードはハンドオーバ前に一組のオーセンティケータと通信しないでそれらとのセキュリティ関連付けを動的に確立することを要求するマスタセッションキーを取得することを可能にする。再キー動作を再認証から分離することによって、提案アーチテクチャは事前動作モードに対してより最適化される。それはモバイルノードとターゲットアクセスノードとの間でキー配信を逆にすることによってリアクティブオペレーションモードに対して最適化もし得る。
【0146】
幾つかの好適実施形態によると、ハンドオーバ後にチケット配送を採用するリアクティブモードにおいてケルベロス化ハンドオーバキーイングを用いてサーバ、オーセンティケータ及びモバイルノード間の安全キー配信のためのメディア独立ハンドオーバキー管理のためのシステム及び/又は方法はa)モバイルノードにAS−REQをキー配信センタに送信させ、モバイルノードにチケット付与チケット(TGT)によってキー配信センタからAS−REPを受け取らせること、b)ターゲットオーセンティケータに対するモバイルノードのハンドオーバ後に、ターゲットオーセンティケータにTGS−REQをキー配信センタに送信させ、モバイルノードのためのチケット(T)を取得するためターゲットオーセンティケータにキー配信センタからTGS−REPを受信させること、及び(c)オーセンティケータにAP−REQをモバイルノードに送信させ、モバイルノードを認証するためにモバイルノードにAP−REPメッセージをオーセンティケータに送信させることを含む。幾つかの例では、本方法はチケット(T)を用いてモバイルノードとターゲットオーセンティケータとの間に安全関連性を確立することを含む。幾つかの例では、本方法はステップb)の前に、ターゲットオーセンティケータに対するモバイルノードのハンドオーバ後に、モバイルノードにトリガメッセージをターゲットオーセンティケータに送信させることを更に含む。幾つかの例では、本方法はターゲットオーセンティケータが許可のためのハンドオーバ後にAAA信号伝達無しにアクセス制御を行うようにチケット承諾データに承諾情報を埋め込ませることを更に含む。
【0147】
幾つかの他の実施形態によると、サーバ、オーセンティケータ及びモバイルノードの間の安全キー配信のためのメディア独立ハンドオーバキー管理アーチテクチャが設けられる。これはEAPサーバと通信するように構成されるEAPピアを持つモバイルノードを含む。モバイルノードは個別のケルベロスクライアントを有する少なくとも1つのターゲットネットワークに対する少なくとも1つのオーセンティケータと通信するように構成されるケルベロスサーバを更に有する。モバイルノードは少なくとも1つのオーセンティケータを介して少なくとも1つのターゲットネットワークにハンドオーバに関してセキュリティ信号伝達を行うように構成され、EAP及びAAA信号伝達を用いて再認証しないで少なくとも1つのオーセンティケータを介してセキュリティ関連性を動的に確立するためケルベロスを用いてマスタセッションキーを取得するネットワークアクセス認証及びキー管理信号伝達を含む。
【0148】
幾つかの他の実施形態によると、サーバ、オーセンティケータ及びモバイルノードの間の安全キー配信のためのメディア独立ハンドオーバキー管理のためのシステム及び/又は方法はa)EAP方法を用いてネットワークアクセス認証証明からブートストラップを介して初期ネットワークアクセス認証中にモバイルノードにキー配信センタの識別及びアプリケーションサーバと共有するシークレットキーを取得させること、及びb)ハンドオーバ後にセキュリティを用いて1セットのオーセンティケータによってモバイルノードにセキュリティに関連性を持たせることを含む。幾つかの例では、本方法はモバイルノードにオーセンティケータの個別のケルベロスクライアントと通信するケルベロスサーバを含ませる。
【0149】
上記及び/又は発明、態様、種々の実施形態の特徴及び/又は利点は添付図面と関連して次の説明を鑑みて更に理解される。種々実施形態は適用可能である場合異なる態様、特徴及び/利点を含める及び/又は除外できる。更に、種々実施形態は適用可能な場合他の実施形態の1以上の態様又は特徴を組合すことができる。特定の実施形態の態様、特徴及び/又は利点の説明は他の実施形態又は請求の範囲を限定するように解釈されるべきでない。
【図面の簡単な説明】
【0150】
【図1】幾つかの実施形態に従った単一の内部方法によってEAPサーバとEAPピアとの間の具体的EAP−EXTメッセージシーケンスを示す図である。
【図2】幾つかの実施形態に従った複数の内部方法によってEAPサーバとEAPピアとの間の具体的EAP−EXTメッセージシーケンスを示す図である。
【図3】(A)は、EAP−EXPに関する幾つかの例示的実施例に従った具体的メッセージフォーマットを示す図である。(B)は、EAP−EXPに関する幾つかの例示的実施例に従った具体的キャパビリティフィールドを示す図である。(C)は、EAP−EXPに関する幾つかの例示的実施例に従った具体的TLVフォーマットを示す図である。
【図4】本発明の幾つかの例示的実施形態に従った具体的メッセージフォーマットを示す図である。
【図5】BKE機能の幾つかの具体的実施形態に従ったメッセージシーケンスを示し、クライアント/ピア、サーバ及びKDC1の間のメッセージシーケンスを示す。
【図6】BKE機能の幾つかの具体的実施形態に従ったメッセージシーケンスを示し、クライアント/ピア、サーバ、オーセンティケータ及びKDC1の間のメッセージシーケンスを示す。
【図7】BKE機能を採用し、更にTGS−REQ/REPを含む幾つかの具体的実施形態に従った他のメッセージシーケンスである。
【図8】基準のためのケルベロスメッセージシーケンスを示す背景図である。
【図9】基準のためのEAPメッセージシーケンスを示す背景図である。
【図10A】本発明の幾つかの実施形態に従ったケルベロス化ハンドオーバキーイングメッセージシーケンスを示す図である。
【図10B】リアクティブオペレーションのために最適化されている、本発明の幾つかの実施形態に従ったケルベロス化ハンドオーバキーイングメッセージシーケンスを示す図である。
【図11】EAP機能及びパススルーオーセンティケーションを持つEAPを示す図である。
【図12】図8に示されるものと同様のケルベロスメッセージシーケンスを示す背景図である。
【図13】リアクティブモードにおいて、図10(A)に示されるものと同様な、幾つかの実施形態に従ったケルベロスハンドオーバキーイングメッセージシーケンスを示す図である。
【図14】リアクティブモードにおいて、図10(B)に示されるものと同様な、幾つかの実施形態に従ったケルベロスハンドオーバキーイングメッセージシーケンスを示す図である。
【図15】本発明の幾つかの事前モード及びリアクティブモード実施形態に従った承諾及び課金のためのAAA相互関係を示すアーチテクチャ図である。
【図16】AAAドメインと複数のケルベロスレルムとの間の一例のそう関係を示す概略図である。
【図17】幾つかの実施形態に従ったケルベロスブートストラップキャパビリティを持つEEAP−EXTメッセージフォーマットを示す図である。
【図18】幾つかの実施例に従ったケルベロスブートストラップシーケンスを示す図である。
【図19】幾つかの実施形態に従った装置内で採用し得る幾つかの具体的アーチテクチャコンポーネントを示す図である。
【発明を実施するための形態】
【0151】
本発明は多くの異なる形態で実施してもよいが、本開示は本発明の原理の実施例を提供するとして考慮されるべきであり、そのような実施例は本発明をここに説明され及び/又はここに示された好適実施形態に限定されると意図していないとの理解の下に複数の具体的実施形態が説明されている。
【0152】
ケルベロス化ハンドオーバキーイング概要
ハンドオーバキーイングのためのケルベロス利用法
本発明の幾つかの好適実施形態によると、ハンドオーバキーイングのためにケルベロス使用法が採用される。その際、ケルベロスは、例えば、ケルベロスアップリケーションサーバを各ネットワーク接着点(point of attachment:PoA)(例えば、アクセスポイント、基地局及び/又はアクセスルータ)に配置することによってハンドオーバキー管理に利用可能にすることができる。
【0153】
特に、この実施は次の及び/又は他の利点及び利益を達成できる。
【0154】
a)EAP/AAAを用いた認証信号伝達はケルベロスレルム内でハンドオーバ毎に除外できる。
【0155】
b)同じフレームワークは、例えばFMIPv6,HMIPv6,HMIPv[theta],HCP認証などに対して任意の層で使用される任意のプロトコルをブートするために適用できる。
【0156】
ケルベロス化ハンドオーバキーイングステップ
図10を参照して、本発明の幾つかの具体的実施形態に従って、ケルベロスハンドオーバキーイングは次のステップを採用できる。
【0157】
図10Aに示される実施形態では、第1ステップ、ステップ1,は初期接着点(PoA)を介して初期ネットワークアクセス認証の時にチケット付与チケット(TGT)の取得を含む。この際、AS−REQ/AS−REP交換はRFC 4120(i.e., Neuman, C., Yu, T., Hartman, S., and K. Raeburn, “The Kerberos Network Authentication Service (V5)”, RFC 4120, July 2005 ここに参照により援用される)に特定されているようにTCP又はUDPを介して、若しくは(上述したようなEAPからケルベロスをブートする)BKEを持つEAP−EXTを介して使用され及び搬送できる。図示のように、AS−REQは(例えば、モバイル装置又はノード内の)アプリケーションクライアントCからキー配信センタ(KDC)に送信されることになる。
【0158】
図10Aに示される実施形態において、第2ステップ、ステップ2は候補PoA毎にPoA当たりの事前チケット取得(proactive per-PoA ticket acquisition)を含む。この際、TGS−REQ/TGS−REP交換がRFC 4120において特定されたようなTCP又はUDP若しくは上述したようなEAP−EXTにわたって使用され、転送される。そのような場合、クライアントCはそれが引き継がれるかもしれないPoA毎にチケットを取得する。例えば、図9はクライアントCが第1接着点PoA1を発見し、それに関連するチケットT1を取得し、そしてクライアントCが第2接着点PoA2を発見し、それに関連するチケットT2を取得する具体的な事例を示している。図示のように、接着点毎に、TGS−REQはアプリケーションクライアントCからキー配信センタ(KDC)に送信されることになり、TGS−REPはキー配信センタ(KDC)からアプリケーションクライアントCに送信されることになる。
【0159】
図10Aに示される実施形態において、第3ステップ、ステップ3、は取得したチケットを用いて目標PoA(s)に対する安全関連性を確立することを含む。
【0160】
このステップ3では、KRB−SAFE又はKRB−PRIV交換が選択的に後続するAP−REQ/AP−REP交換はRFC 4120において特定されているようにTCP又はUDPにわたり、若しくはIP接続性がなければリンク層にわたり使用及び配送できる。これらメッセージがリンク層にわたり配送される場合に、それらはa)ケルベロス交換をサポートするための新たなEAP認証方法、又はb)ケルベロス交換をサポートするための新たなEAPコードを規定することによってEAPメッセージ内に取り込むことができる。そうでなければ、メディア特定情報がKRB−SAFE又はKRB−PRIV交換に取り込まれる。
【0161】
このステップ3において、安全関連性信号送信の幾らかの部分はハンドオーバ前に積極的に行うことができる。例えば、AP−REQ/AP−REP交換は候補PoAsにおいてセッションキーの記憶個所を作成するためにハンドオーバ前に行うことができる。
【0162】
PoAディスカバリ
上述のようにステップ2においてPoA当たりのチケットを取得するために、PoAsはステップ2においてPoA当たりのチケットを得ることを見つける必要がある。その際、PoAディスカバリを実施するために、IEEE 802.21情報サービスが採用できる。Draft Standard for Local and Metropolitan Area Networksと名称付けられた2007年2月発行のI.E.E.E.P802.21TM/D04.00を参照する。この全体の開示は省略せずに個々に記載されているように参照によって援用される。
【0163】
キー寿命
チケットは寿命を有することは知られている。その際、この寿命は(サブ)セッションキー寿命を決定する。ここで、(サブ)セッションキーの寿命はチケット寿命より長くないことが必要である。
【0164】
許可
幾つかの実施形態によると、許可情報がチケットに含めることができる。その際、(TGTsを含む)チケットの寿命はAAA許可寿命より長くない必要がある。ここで、オーセンティケータはチケットがそのような許可情報を含むならば許可信号送信のためにAAA信号伝達を必要としない。そうでなければ、許可のためのAAA信号伝達は行われるべきである。
【0165】
再キーイング
幾つかの好適実施形態によると、リンク層暗号キーの再キーイングはホームAAAサーバに行き着くまでEAP再認証無しに行うことができる。例えば、これはステップ2において新たなチケットを再発行し、それから上述のようにステップ3を実行することによって達成できる。
【0166】
再認証
幾つかのケースでは、認証寿命を延ばす必要があればEAP再認証が必要となる。幾つかの好適実施形態では、これは新たなTGTを再発行し、それからPoA当たりのチケットを再発行することによって達成できる。
【0167】
AAAドメイン間オペレーション(Inter-AAA Domain Operation)
AAAドメイン間オペレーションに関して、ケルベロスはクロスレルム動作を有利に可能にする。更に、1つはAAAドメイン当たりのケルベロスレルム(又は複数のレルム)を形成できる。
【0168】
クロスレルム/ドメインオペレーションのために、クライアントはTGTをビジテッドレルム/ドメイン(visited realm/domain)に使用されるそのローカルASから得る必要がある。
【0169】
初期エントリ発行
幾つかの好適実施形態によると、初期PoAはBKEのためのEAP オーセンティケータとして作用する。幾つかの実施形態では、初期PoAはPMKを生成するためにEAP MSKを用いることができる。これは初期PoAがケルベロスをサポートしなければ使用されるべきである。幾つかの代替実施例では、初期PoAは成功したEAP認証後にステップ3を実行することによってPMKを生成するためにケルベロスチケットを使用できる。この後者の例では、ステップ1だけでなくステップ2もBKE内で行われる必要がある。更に、成功したEAP認証自体はこの後者の例において安全関連性をトリガしない。これは初期PoAがケルベロスをサポートすれば使用されるべきである。
【0170】
リアクティブオペレーション(Reactive Operation)のために最適化されるケルベロス化ハンドオーバキーイング
幾つかの代替実施形態では、ケルベロス化ハンドオーバキーイングはリアクティブオペレーションのために最適化されるように変形できる。この際、幾つかの実施形態では、10Aを参照した上記のケルベロス化ハンドオーバキーイングステップが変形できる。例えば、幾つかの具体的実施形態では、図10Bに示されるように、下記のステップが採用できる。
【0171】
第1ステップ1は初期接着点(PoA)を介して初期ネットワークアクセス認証のときにチケット付与チケット(TGT)取得を含めることができる。これは図10Aを参照した上記通常動作と同じ方法で行うことができる。
【0172】
第2ステップ2は目標PoAに対するPoA当たりのリアクティブチケット取得及びチケットを用いた目標PoAに対する安全関連性を含むことができる。この際、モバイルノード(MN)はトリガメッセージを目標PoAに送ることができ、又は目標ターゲットはリンク層指標を介してモバイルノードを見つけることができる。リアクティブオペレーション実施形態では、目標PoAはケルベロスクライアントとして作用し、モバイルノードのためにチケットを得るためTGS−REQ/TGS−REP交換を初期化する。目標PoAがモバイルノードのためのチケットを取得した後、それは(チケット導入のための)モバイルノードによってAP−REQ/AP−REP交換を初期化し、次いで(メデイア特定情報交換のための)KRB−SAFE又はKRB−PRIV交換を初期化する、
幾つかの実施形態に関する追加の検討
このセクションはサーバ、オーセンティケータ及びモバイルノード間の安全キー配信のためケルベロスを使用するメディア独立ハンドオーバキー管理の具体的実施形態を更に説明する。このアーチテクチャに関して、キー配信のための信号伝達は再キーイングに基づいており、初期ネットワークアクセス認証と同様なEAP(拡張認証プロトコル)及びAAA(認証、許可及び課金)信号伝達を必要とする再認証から切り離される。このフレームワークでは、モバイルノードはハンドオーバ前に一組のオーセンティケータと通信しないでそれらとの安全関連性を動的に確立するために必要なマスタセッションキーを得ることができる。再認証から再キー動作を分離することによって、提案のアーチテクチャは事前動作モードに対してより最適化される。それはまたモバイルノードと目標アクセスノードとの間のキー配信役割を逆にすることによってリアクティブオペレーションモードのために最適化できる。このセクションはまたこの現アーチテクチャがどのように(例えば、IEEE 802.11及び802.16を含む)既存のリンク層技術に適用でき、複数のAAAドメインにわたることを示している。このセクションはまたどのようにケルベロスがEAPメソッドを用いて初期アクセス認証からブートできるかを説明している。
【0173】
1.序論
無線ネットワーク技術は多くの異なるリンク層技術にわたりシームレスオーバヘッドを可能にするために発展している。例えば、I.E.E.E.802.21(下記文献1を参照)はリンク層と上位層プロトコルに対する統一的インターフェースによってメディア独立ハンドオーバ(MIH)関数を定義している。この関数は幾つかのサービスをモビリティ管理エンティティに提供し、これらサービスを届けるためのプロトコルをリモートモードで他のMIH関数に提供することによってハンドオーバを容易にする。ハンドオーバ中の安全信号伝達最適化はシームレスハンドオーバを達成するための重要な要素の一つであるが、それは最近ではI.E.E.E.802.21仕様の範囲外である。ハンドオーバ中の安全信号伝達はネットワークアクセス認証及びリンク層暗号化のための次のキー管理信号伝達を含む。IETF(Internet Engineering Task Force)はEAP (Extensible Authentication Protocol)(下記文献[2]参照)を定義する。EAPはUDP/IP(例えば、下記文献[6]及び[7]参照)にわたってだけでなくイーサネット(登録商標)、I.E.E.E.802.11及びI.E.E.E.802.16(下記文献[3][4][5]参照)のような幾つかのリンク層技術にわたりさまざまな認証方法のサポートによってネットワークアクセス認証のための統一的機構を提供する。上述したように、EAPメソッドはピア(例えば、モバイルノード)とサーバ(例えば、バックエンド認証サーバ)との間で認証メソッドを実行する2グループ認証プロトコルであり、これに対して、EAPは図11に示されるようにオーセンティケータ(例えば、I.E.E.E.802.11の場合のアクセスポイント)を介してEAPメソッドを搬送するためのコンテナ、即ちパススルーオーセンティケータを持つEAPに過ぎない。
【0174】
EAPはネットワークアクセス認証のためのメディア独立機構を提供するが、その基本設計はピアが特定のEAPメソッドを除いてハンドオーバにより1つのオーセンティケータから他のオーセンティケータに変更するときその信号伝達を最適化することを十分考慮していなかった。特定EAPメソッドはこの問題を扱うためにセッション回収を用いてエンハンスメントを与えることによってこの問題を扱う(例えば下記文献[8]参照)。しかしながら、そのようなエンハンスメントは他のEAPメソッドが初期ネットワークアクセス認証に使用されるとき利用できない。
【0175】
最近、ハンドオーバ用EAP最適化のための機構及びプロトコルを定義するためIETFはHOKEY(ハンドオーバキーイング)ワーキンググループを着手した(例えば、下記文献[9]参照)。HOKEYワーキンググループは3つの要素、例えば低待ち時間再認証(又はHOKEY再認証)、ハンドオーバキー管理及び事前認証を定義している。HOKEY再認証は前回のEAPセッションによって生成されたキーイングマテリアルを利用してメッセージ往復を最小限にするためにEAPに拡張を定義する。ハンドオーバキー管理はサーバからオーセンティケータへのキー配信機構だけでなく複数のオーセンティケータに及ぶ新たなキー階層を定義する。事前認証はピアがサービングアクセスネットワークから候補目標オーセンティケータに対するEAPを実行する事前ハンドオーバ最適化技術である(例えば、下記文献[10]参照)。
【0176】
しかしながら、HOKEY要素に関する2つの問題がある。第1に、HOKEY再認証はピアにサーバと通信することをなおも要求する。このサーバは家に在住する又はビジタオペレータネットワークに属し、ピアの場所から物理的に離れている可能性のあるAAAサーバと通常同じ場所にいる。(注:ビジタオペレータネットワークのAAAサーバはオペレータのサブスクライバのためのホームAAAサーバとしても寄与する。)故に、HOKEY再認証にがリアルタイムアプリケーションの性能に影響しない程度にハンドオーバ待ち時間を減少するのは困難である。第2に、HOKEY事前認証はモバイルノードの動きの正確な予想を必要とする。しかしながら、隣接ネットワークに多くの候補オーセンティケータが存在するとき動き予測は困難である。
【0177】
上述したように、好適実施形態は、とりわけ、HOKEYに関する問題を扱うためにケルベロスを用いるハンドオーバキー管理のためのケルベロスハンドオーバキーイングと呼ばれる新たなアーチテクチャを確立する(例えば、下記文献[11]参照)。
【0178】
好適実施形態では、ケルベロスハンドオーバキーイング(KHK)は次の特徴を提供する。即ち、a)KHKはモバイルノードが積極的にper−オーセンティケータキーを取得している限り認証及び許可のためにポストハンドオーバAAA信号伝達を必要としなく、b)ポストハンドオーバ信号伝達待ち時間は下位層安全関連プロトコルのケルベロスチケット導入及び実行のためピアとオーセンティケータとの若干のメッセージ交換に基づいてアクセスネットワーク内での伝搬遅延の程度まで減少されることが予想され、c)KHKは各オーセンティケータがハンドオーバ前にモバイルノードのキーを記憶する必要がないので事前キーイングオペレーションのための必要なキーキャッシュのサイズを減少できる。
【0179】
ネットワークアクセス認証及びキー管理のためにケルベロスを使用する既存ワークEAP−GSS(下記文献[12]参照)がある。ワークは最初I.E.E.E.802.11iの候補として考えられていた。しかしながら、KHKとは異なり、ワークはハンドオーバ最適化を考慮もしなく、任意のEAPメソッドが初期ネットワークアクセス認証のために使用されるのを可能にしない。
【0180】
2.ケルベロスの追加的概略
上記の検討に加えて、ケルベロス(下記文献[10]参照)は対称的キーに基づく3グループ認証及びキー管理プロトコルである。ケルベロスに3つの基本構成がある。即ち、クライアント、サーバ及びキー配信センタ(KDC)がある。更に、KDCは2つの特別なサーバ、即ち、認証サーバ(AS)及びチケット許可サーバ(TGS)を提供する。そのような事例では、各クライアント及びサーバは秘密キーに基づいてKDCとの事前に確立された信頼関係を持つことが仮定とされる。ケルベロスにおいて、セッションを安全に確立するためクライアント及びサーバによって使用されるセッションキーはKDCによって生成され、クライアントに配信される。それから、クライアントは「チケット」を用いてセッションをサーバに配信し、又はクライアントが自らの証明に役立てるためにKDCによって生成される記録をサーバに配信する。チケットはクライアントの識別、セッションキー、タイムスタンプ及び他の情報を含み、(チケットバージョン番号、領域及びサーバ名を除く)全てのそのような情報がKDCによってだけ共有されるサーバ秘密キーを用いて暗号化される。ケルベロスプロトコルは初期交換が一度だけ行われる場合に3つの交換を含む。ケルベロスシーケンスとして表記された図12はケルベロスの代表的プロトコルシーケンスを示す。
【0181】
図12に示すように、初期交換(AS−REQ/AS−REP交換)において、クライアントはチケット付与チケット(TGT)、又は他のチケットをASから生成するために使用される特別のチケットを要求する。ASはTSG用セッションキー(TSGセッションキー)を含むTGTを生成し、クライアントとだけ共有される秘密キーによって暗号化されるTSGセッションキーのコピーと共にTGTをクライアントに送る。
【0182】
第2交換、TGS−REQ/TGS−REP交換では、クライアントは同じTGSセッションキーを保有することをTSGが証明できるようにTGSセッションキーを用いて作られる証明と共にクライアントはサーバ識別及びTGTをTGSに送る。証明の確認が成功した後、TGSはサーバ用セッションキーを含むチケットを生成し、そのチケット及びクライアントとだけ共有される秘密キーによって暗号化されるセッションキーのコピーをクライアントに送る。
【0183】
第3交換、AP−REQ/AP−REP交換において、クライアントがセッションキーを保有することをサーバが証明できるようにクライアントはセッションキーを用いてクライアントによって計算されたメッセージ認証コードと共に、第2交換に含まれるチケットを送る。AP−REPメッセージはクライアントがサーバを認証する必要がなければ省略できる。信用の確認が成功した後、クライアント及びサーバはこれらのアプリケーションプロトコルを保護するためにセッションキーを用いることができる。
【0184】
3.ケルベロス化ハンドオーバキーイング(KHK)。
【0185】
好適実施形態によると、ケルベロスハンドオーバキーイング(KHK)が採用される。ここでは、モバイルノード及びオーセンティケータ(例えば、アクセスポイント又は基地局)がクライアント又はケルベロスのサーバとして作用する。
【0186】
これに関して、クライアント及びサーバの役割はチケットがオーセンティケータに送付されるときのタイミングに応じて逆転される。幾つかの実施形態によると、オーセンティケータへのチケット送付がハンドオーバ前に発生する事前モードが採用される。他方、実施形態によると、オーセンティケータへのチケット送付がハンドオーバ後に起きるリアクティブモードが採用される。
【0187】
事前モードはモバイルノードがハンドオーバ後にKDCと通信することを必要としないので事前モード実施形態はリアクティブモード実施形態よりも最適化される。そのような事例では、ハンドオーバ後の信号伝達待ち時間が、ある実施形態では、I.E.E.E.802.11i 4−方向ハンドシェイク(I.E.E.E.802.11i 4-way handshake)(下記文献[4]参照)のためのものに類似し、ある例では20msec以下であるとして知られている(下記文献[13]参照)。
【0188】
好適実施形態によって、KHKアーチテクチャは事前モードにおいてさえ、ハンドオーバ前にモバイルノードのために任意の状態を作ることをオーセンティケータに要求しない。好適実施形態では、最初に、モバイルノードはKDCの識別及びセクション4において以下に記載されているようにブートストラッピング機構を用いて初期ネットワークアクセス認証中にASと共有する秘密キーを取得する。初期化後に、上記のセクション2で説明されているケルベロスの3つのステップが実行される。3つのステップは事前及びリアクティブモードにおいて異なって実行される。これらの違いの詳細は3.1及び3.2に説明されている。
【0189】
3.1事前モード
このセクションでは、事前モードはKHK事前モードと表記された図13を参照して説明する。最初に、モバイルノード(MN)はTGTを取得するためにKDCでAS−REQ/AS−REP交換を実行する。MNがセクション3.4で説明されているようにオーセンティケータ発見機構を用いて1以上のオーセンティケータ(例えば、事象D1,D2)を見つけると、それは発見されたオーセンティケータ(例えば、A1及びA2)ごとにチケットを得るためにKDCによってTGS−REQ/TGS−REP交換を実行する。MNが発見したオーセンティケータの1つ(例えば、事象H1)に対してハンドオーバを作成すると、それはオーセンティケータでAP−REQ/AP−REP交換を実行する(AP−REPメッセージは選択的である)。MNが異なるオーセンティケータ(例えば、事象H2)に対して他のハンドオーバを作成すると、それはオーセンティケータによってAP−REQ/AP−REP交換を実行する。この場合、モバイルノード及び目標オーセンティケータはクライアント及びケルベロスのサーバとしてそれぞれ作用する。
【0190】
AP−REQ/AP−REP交換の後に、1以上の追加KRB−SAFEメッセージ又はリンク層特定SAP(Secure Association Protocol(安全関連性プロトコル))メッセージがモバイルノードとオーセンティケータとのリンク層安全関連性を確立するためにモバイルノードと目標オーセンティケータとの間で交換される。これらメッセージはリンク層暗号組パラメータのようなリンク層特定パラメータを有する。KRB−SAFEメッセージの使用によってアーチテクチャはリンク層技術から独立できる。そして、各リンク層技術はKRB−SAFEに保有されるべきリンク層特定パラメータのフォーマット及びセマンティックスだけでなくモバイルノードとオーセンティケータとの間にケルベロストランスポートを定義することを必要とするに過ぎない。IEEE 802.11の事例では、リンク層認証フレームがモバイルノードとオーセンティケータとの間のケルベロストランスポートとして使用でき、802.11i 4−方向ハンドシェイクはKRB−SAFEメッセージの代わりにSAPとして使用できる。同様に、IEEE 802.16の事例では、新たなPKM(Privacy Key Management)メッセージタイプが移動局と基地局との間にケルベロスメッセージを搬送するよう定義でき、PKM 3−方向ハンドシェイクがKRB−SAFEメッセージの代わりにSAPとして使用できる。これらの両事例では、リンク層仕様に変更を加える必要がある。
【0191】
3.2リアクティブモード
このセクションでは、リアクティブモードがKHKリアクティブモードとして表記された図14を参照して説明する。
【0192】
まず、モバイルノード(MN)は事前モードと同じ方法で、TGTを得るためKDCによってAS−REQ/AS−REP交換を実行する。
【0193】
しかしながら、リアクティブモードでは、モバイルノード及び目標オーセンティケータのケルベロスの役割が逆転する、即ち、モバイルノードと目標オーセンティケータはサーバとクライアントとしてそれぞれ作用する。好ましくは、目標オーセンティケータに対するハンドオーバの後に、モバイルノードは最初にトリガメッセージを目標オーセンティケータに送る。それから、目標オーセンティケータはモバイルノード用チケットを取得するためにKDCによってTGS−REQ/TGS−REP交換を実行し、その後、モバイルノードによってAP−REQ/AP−REP交換を実行する(AP−REPメッセージはKRB安全又はSAP交換前にモバイルノード(MN)を認証するために必須である)。
【0194】
AP−REQ/AP−REP交換後に、1以上の追加KRB−SAFEメッセージ又はリンク層特定SAP(Secure Association Protocol)メッセージがモバイルノードとオーセンティケータとの間にリンク層安全関連性を確立するためにモバイルノードと目標オーセンティケータとの間で交換される。この交換は事前モードと同様の方法で行うことができる。
【0195】
トリガメッセージが保護されていなければ、資源消費DoS(Denial of Service)攻撃がリアクティブモードに対して可能性がある。従って、追加機構がそのようなDoS攻撃を緩和するために採用できる。
【0196】
リアクティブモードのためのハンドオーバ後の信号伝達待ち時間は実質的に事前モードの待ち時間+オーセンティケータとKDC間の1往復になることが予想される。故に、リアクティブモードのためのリアルタイムアップリケーションに対するハンドオーバ性能はKDCの位置に依存する。以下のセクション3.6に説明されるように、KDCはクロスレルムオペレーションを用いてオーセンティケータに近い位置に配置できる。しかしながら、ハンドオーバ性能はKDCの位置に依存しないので事前モードを使用することがリアクティブモードにわたり多くの環境においてより望ましい。
【0197】
3.3キー寿命
ケルベロスチケットはキー寿命を含むので、異機種リンク層技術(heterogeneous link-layer technologies)に対するキー管理に柔軟性を得るために、(限定されないが)リンク層タイプに依存する異なるオーセンティケータに対して異なるキー寿命(又はキー寿命が認証時間と同じであれば異なる許可寿命(authorization lifetimes))を割り当てることが可能である。
【0198】
3.4 オーセンティケータディスカバリ
KHKの事前モードにおいて、モバイルノードは隣接ネットワークにおいてオーセンティケータを見つける必要がある。オーセンティケータディスカバリ機構は少なくとも次の情報を得るために必要である。
【0199】
・KDCからオーセンティケータのためのチケットを得るときにモバイルノードが認識できるようにオーセンティケータの識別の発見。単一のオーセンティケータ識別は複数のネットワーク接着点(例えば、アクセス点、基地局及び/又はアクセスルータ)に対して使用できることを留意する。
【0200】
・モバイルノードがAP−REQ/AP−REP交換に対してオーセンティケータと通信できるようにオーセンティケータのアドレスの発見。アドレスはリンク層アドレス又はIPアドレスでできる。単一オーセンティケータ識別は複数のネットワーク接着点のために使用されるとき、オーセンティケータ識別は複数のアドレスと関連する。
【0201】
IEEE 802.11r(例えば、下記文献[14]参照)において、ビーコンフレーム(Beacon frame)において通知されたR0KH−ID及びBSSIDはオーセンティケータの識別及びアドレスにそれぞれ対応するが、それはIEEE 802.11リンク層だけに適用できる。他方、メディア独立オーセンティケータディスカバリ機構(media-independent authenticator discovery mechanism)は、例えば、上述した全ての情報を提供するために望ましい。例えば、IEEE 802.21、情報サービス(例えば、下記文献[1]参照)を参照する。IEEE 802.21情報サービスはハンドオーバ意思決定プロセス(handover decision-making process)を容易にするために隣接ネットワークに関する種々の情報を提供し、任意のメディアを徹底的に調査するために設計されるのでIEEE 802.21情報サービスはそのような機構を提供できる。
【0202】
3.5 許可及び課金
ケルベロスは許可情報がKDC発行許可データ要素によってカプセル化されるときチケットの許可データに埋め込むことを可能にする。KDCによって発行される許可証明がアクセス制御を行うためオーセンティケータによって必要とされる全許可情報を含むならば、認証のためだけでなく許可のためにもハンドオーバ後にAAA信号伝達を廃止することを可能になる。
【0203】
ケルベロス化ハンドオーバキーイングに使用される好適な許可モデルは次のように説明される。
【0204】
・KDCを実施するノードは許可目的のためにAAAサーバと通信するためAAAクライアントも実施する。
【0205】
・KDCがケルベロスクライアント(即ち、事前モードのモバイルノード又はリアクティブモードのオーセンティケータ)からTGS−REQメッセージを受信すると、それはケルベロスクライアントに対する許可情報をAAAクライアントに要請する。AAAクライアントはAAAプロトコルを用いてAAAサーバから許可情報を取得し、取得した情報をKDCに戻す。
【0206】
・KDCはTGS−REPメッセージに含まれるべきチケットの許可データフィールドに許可情報を埋め込む。
【0207】
好適実施形態では、許可モデルは次の2つの要求を有する。第1に、許可証明のフォーマット及びセマンティクスは相互接続のために標準化される。第2に、リアクティブモードの事例では、許可情報はリアクティブモードでのケルベロスクライアント(例えば、オーセンティケータ)がモバイルノードに使用されるべき許可情報を取得できるようにTGS−REPメッセージの暗号化データ部分に取り込まれる。
【0208】
課金は既存のリンク層技術において行われるようにオーセンティケータに行われ、例えば、オーセンティケータを実施し、課金のためのAAAクライアントをも実施するノードで行われる。課金記録を妥当な許可セッションと関連するため、好ましくは許可セッション識別子は許可証明に含まれる。幾つかの実施形態に従った許可及び課金のためのAAA相互作用が図15に示されている。許可及び課金に関して事前モードとリアクティブモード間の注目すべき差はKDCが事前モードでモバイルノードを介してオーセンティケータに許可情報を好ましくは間接的に通過させ、これに対してKDCがリアクティブモードにおいてオーセンティケータに許可情報を好ましくは直接的に通過させることである。
【0209】
オーセンティケータノードのAAAクライアントも初期ネットワークアクセスのための認証機能性を持っている。
【0210】
3.6 AAAドメインへのケルベロスレルムのマッピング
上述のように、ケルベロスは組織的境界にわたり動作するように設計されている。例えば、1組織のクライアントは他の組織のサーバに認証され得る。この際、ケルベロスサーバを実施する各組織の願望は自らの「レルム」を確立する。クライアントは登録されているレルム名はローカルレルムと呼ばれる。
【0211】
「インタレルム」キーを確立することによって、2つのレルムのアドミニストレイタはローカルレルムで認証されたクライアントが他のレルムのサーバに対してその識別を立証することを可能にする。この際、レルム間キーの交換が各レルムのチケット許可サービスを他のレルムの主体として登録する。それから、クライアントはリモートレルムチケット許可サービスのためのTGTをそのクライアントローカルレルムから取得できる。そのTGTが使用されると、リモートチケット許可サービスはTGTを解読するため(自己の標準TGSキーとは通常異なる)レルム間キーを使用する。好ましくは、リモートチケット許可サービスによって発行されるキーはクライアントが他の領域から認証されたことをエンドサービスに示すことになる。
【0212】
一般的に、ケルベロルレルム及びAAAドメインは独立している。しかしながら、単純化した具体例の代わりに、我々は典型的な実施面で妥当なモデルを導入する。ここで、我々はケルベロス化ハンドオーバキーイングがDNSドメイン名をケルベロスレルム名及びAAAドメイン名として使用するものとする。
【0213】
D(n)はDNSメイン名がnであるAAAドメインを示すものとする。Rnはレルム名がそれらの添え字nを含むケルベロスレルムのセットであるとする。KHKにおけるAAAドメインとケルベロスレルムとの関係は次のように表される。
【0214】
D(n)=Rn
この式はAAAドメインがケルベロスレルムのセットを有すること及び特定のケルベロスレルムがケルベロスレルム名及びAAAドメイン名を用いて特定のAAAドメインに属するか否かをモバイルノードが伝えることができることを表している。具体的AAAドメインと複数の具体的ケルベロスレルムとの間のマッピングを示す具体的実施例がAAAドメインとケルベロスレルムとの例示的関係を表記した図16に示されている。モバイルノードにできるだけ物理的に近づくような位置にKDCを配置することによって信号伝達待ち時間を減じるだけでなくKHKが拡張可能であるために単一AAAドメイン内に複数のレルムを定義することが望ましい。
【0215】
好適実施形態では、AAAドメインにわたってシームレスハンドオーバをサポートするために、互いにローミング関係にある2つのAAAドメイン間にケルベロスレルム間キーが予め確立されることが望ましい。モバイルノードがAAAドメインを横切ってサービングオーセンティケータから目標オーセンティケータに移動すると、それはホームAAAドメインのローカルKDCに接触することによってビジテッドAAAドメインのリモートKDCに有効なクロスレルムTGTを取得する。好ましくは、ローカルとリモートレルム間に1以上の中間領域があれば、モバイルノードが認証路に沿ってTGT取得手順を繰り返す。ローカルKDCによって生成される許可証明はリモートKDCに使用されたクロスレルムTGTに保存される必要がある。
【0216】
2つのAAAドメインが一般的にはDNSドメイン階層の異なる分岐に属するので、認証経路の決定プロセスが重要である。この場合、認証経路は下記文献[15]に明記されているように、KDCsの照会を用いて動的に決定し得る。更に、下記文献[16]に記載されているように、TGT取得手順の繰り返しを排除するより最適化された機構も存在する。
【0217】
ケルベロスのクロスレルムオペレーションも同じAAAドメイン内のハンドオーバに対して可能である。モバイルノードが同じドメイン内のケルベロスレルムを横切ってサービングオーセンティケータから目標オーセンティケータに移動するとき、それはサービングKDC(即ち、サービングオーセンティケータのためのKDC)に接触することによって目標KDC(即ち、目標オーセンティケータのためのKDC)に有効なcross-realm TGTを取得する。同じAAAドメイン内の2つのKDC間に1以上の中間レルムが存在する場合、好ましくはモバイルノードは認証経路に沿ったTGT取得手順を繰り返す。サービングKDCによって作成される認証証明は目標KDCに使用されるクロスレルムTGTに保存される必要がある。認証経路はDNSドメイン階層に基づいて構成できる。このDNSドメイン階層はインタードメインの事例よりも容易な認証経路を横切る。
【0218】
リアクティブモードでは、クロスレルムオペレーションに必要なTGT取得手順の繰り返しがモバイルノードの代わりに目標オーセンティケータによって行われる。これはモバイルノードとオーセンティケータとの間のリンクにわたりケルベロスメッセージ交換を効果的に減少する。
【0219】
4.EAPからのケルベロスブートストラッピング
複数のAAAドメイン間のローミングをサポートするために、機構はローカルKDCの主要名及びそのためにできるだけ使用される秘密キーを動的に構成するために定義される。この目的のために、機構は、上述された及び以下の文献[17]で検討された新たなEAPメソッドであるEAP−EXTを用いてネットワークアクセス認証証明からケルベロスをブートストラップすることを提示している。上述したように、EAP−EXTは任意のEAP認証メソッドをカプセル化するトンネルメソッドであり、新たに定義された機能性が可能とされるキャパビリティネゴシエーションを提供する。既存のEAPメソッドにどのような変更もしないでそれらをなおも用いながら利用できる新たな機能性を作るのでEAP−EXTは既存のEAP認証メソッドに対して下位互換性を与える。EAP−EXTは現在若干のキャパビリティ、例えば、チャネル結合及び再認証を定義する。しかしながら、これに関連して、新たなキャパビリティがケルベロスとしてEAP−EXTに加えられる。ケルベロスブートストラッピングのために付加的キャパビリティビット(例えば、‘K’ビット)を持つEAP−EXTメッセージフォーマットがケルベロスブートストラッピングキャパビリティを持つEAP−EXTメッセージフォーマットと表記された図17に示されている。
【0220】
好ましくは、ピア及びサーバの両方が内部EAP認証メソッドから転送されるキーを用いて保護された完全性である最終EAP−EXTメッセージ交換に‘K’ビットを設定すると、ピア及びサーバはケルベロスをブートする。次の情報、即ちa)モバイルノードとローカルKDCとで共有される秘密キー(EAP−KRB−KEY)の長さ及び寿命、b)ローカルKDCの主要名及びレルム並びにc)ローカルKDCのIPアドレスがケルベロスをブートするために必要とされ、‘K’ビットが設定された最終EAP−EXT要求メッセージのケルベロスブート(KRB−BOOT)TLV(Type-Length-Value)で搬送される。
【0221】
EAP−KRB−KEYは次のようにEMSK(EAP Master Session Key)からUSRK(Usage Specific Root Key) (例えば、下記文献[18]参照)として得られる。但し、KDFは文献[18]に定義されたキー導出関数を示し、lengthは取得キーの長さを示す。
【0222】
EAP−KRB−KEY=KDF(EMSK,“EAP-EXT-Kerberos-Boot-Key”, length)
EAPサーバもケルベロスブートストラッピングシーケンスとして表記された図8に示されるようにKRB−BOOT TLVに搬送された情報をローカルKDCにインストールする。但し、「メソッド」はEAPメソッドペイロードを保有するメソッドTLVを示し、AUTHは完全保護データを保有するAUTH TLVを示す。
【0223】
ケルベロスブートストラッピング手順を簡単化するために、最も好ましくは、EAPサーバ及びローカルKDCはEAPサーバ及びローカルKDCに対して同じ識別子を用いて同じノードにおいて実行される。そうでなければ、秘密キーを秘密に搬送するために3グループキー配信プロトコルがEAPピア、EAPサーバ及びローカルKDCの間でキー配信を必要とされることになる。
【0224】
5.結末注記
上記セクションは複数の問題を扱うためケルベロスを用いて新たなメディア独立ハンドオーバキー管理アーチテクチャを説明し、また、アーチテクチャがどのように複数のAAAドメインにわたり働くかを説明し、かつケルベロスがEAPメソッドを用いてどのように初期アクセス認証からブートし得るのかを説明している。KHK手順を実施するときに、ケルベロスプロトコル、ケルベロスブートストラッピング及びケルベロスのリンク層搬送に対する変更を含めて、KHKに必要な一連のプロトコルを定義することが、例えば、I.E.T.F.及びI.E.E.E.802のような標準体には望ましくなる。更に、セクション4で説明したような初期ネットワークアクセス認証からのブートストラッピングはKHKをブートするだけでなくSSO(Single-Sign On)のような多くの他のアプリケーション対するセキュリティをもブートすることを可能にする。
【0225】
文献
下記の背景文献の全開示は参照としてここに援用される。
【0226】
[1] “Draft IEEE Standard for Local and Metropolitan Area Networks: Media Independent Handover Services,” IEEE LAN/MAN Draft IEEE P802.21/D05.00, April 2007.
[2] B. Aboba, L. Blunk, J. Vollbrecht, J. Carlson and H. Levkowetz, “Extensible Authentication Protocol (EAP),” RFC 3748, June 2004 (上述した文献[RFC3748]も参照).
[3] “IEEE Standard for Local and Metropolitan Area Networks Port-Based Network Access Control,” IEEE Std. 802.1X-2004.
[4] “IEEE Standard for Local and metropolitan area networks - Specific requirements Part 11: Wireless LAN MAC and PHY specifications Amendment 6: Medium Access control (MAC) Security Enhancements,” IEEE 802.11i-2004.
[5] “IEEE Standard for Local and metropolitan area network Part 16: Air Interface for Fixed and Mobile Broadband Wireless Access Systems Amendment 2,” IEEE 802.162005 and IEEE Std 802.16-2004/Cor1-2005.
[6] C. Kaufman, “Internet Key Exchange (IKEv2) Protocol”, December 2005 (上述した文献[RFC4306]も参照).
[7] D. Forsberg, Y. Ohba, B. Patil, H. Tschofenig, and A. Yegin, “Protocol for Carrying Authentication for Network Access (PANA),” Internet-Draft, work in progress, May 2007.
[8] B. Aboba, D. Simon, “PPP EAP TLS Authentication Protocol”, RFC 2716, October 1999.
[9] IETF HOKEY WG charter, http://www.ietf.org/html.charters/hokey-charter.html.
[10] A. Dutta, T. Zhang, Y. Ohba, K. Taniuchi, and J. Schulzrinne, “MPA assisted Optimized Proactive Handover Scheme,” Mobiquitous 2005.
[11] C. Neuman, T. Yu, S. Hartman and K. Raeburn, “The Kerberos Network Authentication Service (V5)”, RFC 4120, July 2005 (上述した文献[RFC4120]も参照).
[12] B. Aboba, “EAP GSS Authentication Protocol”, http://tools.ietf.org/html/draft-aboba-pppext-eapgss-12, August 2002.
[13] R. Lopez, A. Dutta, Y. Ohba, H. Schulzrinne and A. Skarmeta, “Network-Layer Assisted Mechanism for reducing authentication delay during handoff in 802.11 Networks”, to appear in Mobiquitous 2007.
[14] “Draft IEEE Standard for Local and metropolitan area networks - Specific requirements Part 11: Wireless LAN MAC and PHY specifications Amendment 2: Fast BSS Transition”, IEEE P802.11r/D6.0, May 2007.
[15] K. Raeburn and L. Zhu, “Generating KDC Referrals to Locate Kerberos Realms”, Internet-Draft, work in progress, March 2007.
[16] S. Zrelli, Y. Shinoda, S. Sakane, K. Kamada and M. Ishiyama, “XTGSP, the Inter-TGS protocol for cross-realm operations in Kerberos”, Internet-Draft, work in progress, March 2007.
[17] Y. Ohba, S. Das and R. Lopez, “An EAP Method for EAP Extension (EAP-EXT)”, Internet-Draft, work in progress, March 2007.
[18] J. Salowey, L. Dondeti, V. Narayanan and M. Nakhjiri, “Specification for the Derivation of Usage Specific Root Keys (USRK) from an Extended Master Session Key (EMSK)”, Internet-Draft, work in progress, January 2007.
具体的コンピュータアーチテクチャ
図19は、幾つかの実施形態において、例えば、ピア、クライアント、サーバ、オーセンティケータ、モバイル装置、アクセスポイントなどのような装置又はエンティティによって行われるプロセスステップ及び通信を実行するために使用できる具体的コンピュータ又は同様な構成を示す。幾つかの実施形態では、そのような装置又はエンティティはバス326を介して一組の入出力(I/O)装置324と通信できる中央処理装置(CPU)322を含む。I/O装置324は、例えば、キーパッド及び/又は他の装置を含むことができる。また、装置は(例えば、アンテナなどを使用する)通信用の送信機、受信機及び/又は送受信機を含むことができる。この通信は、この開示に基づく当業者には言うまでもないような妥当な装置機能性を達成するために必要に応じて無線通信、有線通信などを含むことができる。CPU322はバス326を介してコンピュータ読み取り可能媒体(例えば、一般的な揮発性又は不揮発性データ記憶装置)328(以後、「メモリ328」)と通信できる。CPU322、I/O装置324、バス326及びメモリ328の相互関係は従来知られているものと同様にできる。メモリ328は例えば、データ330を含むことができる。メモリ328はソフトウェア338も記憶できる。ソフトウェア338はプロセスのステップを実行するための複数のモジュール340を含むことができる。一般的プログラミング技術がこれらのモジュールを実施するために使用できる。メモリ328は上記及び/又は他のデータファイルも記憶できる。幾つかの実施形態では、ここに記載されている種々の方法はコンピュータシステムを用いてコンピュータプログラム製品を介して実施され得る。この実施は、コンピュータ読み取り可能媒体(例えば、ディスケット、CD−ROM, ROM又は同種のもの)に固定され、モデム又は同様なもののようなインターフェース装置を介してコンピュータシステムに送信できる一連のコンピュータ命令を含むことができる。通信媒体は実質的に有形(例えば、通信ライン)及び/又は実質的に無形(例えば、マイクロ波、光、赤外線などを用いた無線媒体)であってもよい。コンピュータ命令は種々のプログラム言語で書くことができ及び/又は半導体装置(例えば、チップ又は回路)、磁気装置、光学装置及び/又は他の記憶装置のような記憶装置に記憶できる。種々の実施形態では、送信は任意の適当な通信技術を使用できる。
【0227】
本発明の広い範囲
本明細書では、本発明の具体的実施形態を説明しているが、本発明は、本明細書で説明した様々な好ましい実施形態だけに限定されず、本開示に基づけば当分野の技術者によって理解されるはずの、等価の要素、改変、省略、(様々な実施形態にまたがる態様などの)組合せ、適合及び/又は変更を有するありとあらゆる実施形態を含むものである。特許請求の範囲における限定は、特許請求の範囲で用いられる言葉に基づいて幅広く解釈されるべきであり、本明細書において、又は本出願の出願中において記述される例だけに限定されず、これらの例は、非排他的であると解釈されるべきである。例えば、本開示において、「好ましくは」という用語は、非排他的であり、「それだけに限らないが、好ましくは」を意味する。本開示において、かつ本出願の出願中において、手段プラス機能又はステッププラス機能限定は、特定のクレーム限定について、この限定において、a)「〜の手段」又は「〜のステップ」が明記されている、b)対応する機能が明記されている、及びc)構造、材料又はこの構造をサポートする動作が記載されていないという条件すべてが存在する場合に限り用いられる。本開示において、かつ本出願の出願中において、「本発明」又は「発明」という用語は、本開示内の1つ又は複数の態様を指すものとして使用され得る。本発明又は発明という言葉は、誤って重要度の識別と解釈されるべきではなく、誤ってすべての態様又は実施形態にわたって適用されるものと解釈されるべきではなく(すなわち、本発明はいくつかの態様及び実施形態を有すると理解されるべきであり)、また、誤って本出願又は特許請求の範囲を限定するものと解釈されるべきではない。本開示において、かつ本出願の出願中において、「実施形態」という用語は、任意の態様、特徴、プロセス又はステップ、これらの任意の組合せ、及び/又はこれらの任意の部分などを記述するのに使用され得る。いくつかの例では、様々な実施形態が重なり合う特徴を含み得る。本開示では、「例えば」を意味する「e.g.」という省略用語が用いられ得る。
【0228】
EPOはEPO以外の他の官庁から由来するデータ及び情報の正確性に対するどんな義務も受入れない。特に、EPOはそれらが特定の目的に対して完了し、最新であり、又は適合していることを保証しない。WO 2008109039 (A1)のこの明細書を翻訳する。
【技術分野】
【0001】
本発明はメディア独立ハンドオーバキー管理アーチテクチャに関する。
【背景技術】
【0002】
本出願は2007年3月1日付で提出した、ケルベロス化ハンドオーバキーイングの改良として名称付けた、仮出願番号:60/892,532の非仮出願であるとして米国特許法119に基づいて請求している。
【0003】
一般的背景検討
背景出願
背景文献として、次の特許出願の各々の全開示は参照することにより本明細書に援用される。1)2007年1月19日付で提出され、ケルベロス化ハンドオーバキーイングと名称付けられた、仮出願:No.60/885,795、2)全ての追加を含む、2007年3月1日付で提出された、ケルベロス化ハンドオーバキーイングの改良と名称付けられた、仮出願:No.60/892,532、3)2007年10月4日付で提出された、EAP拡張(EAP−EXT)のためのEAP方法と名称付けられた、非仮出願:No.11/867,659、及び4)2007年11月24日付で提出された、EAPからケルベロスのブートストラップと名称付けられた、非仮出願:No. 11/944,605。
【0004】
ネットワーク及びインターネット(登録商標)プロトコル
多様なコンピュータネットワークがあり、インターネットは最も有名である。インターネットは、コンピュータネットワークの世界規模のネットワークである。今日、インターネットは、何百万人ものユーザが利用可能な、公衆の自律的ネットワークである。インターネットは、TCP/IP(すなわち、伝送制御プロトコル/インターネットプロトコル)と呼ばれる1組の通信プロトコルを使って各ホストを接続する。インターネットは、インターネットバックボーンとして呼ばれる通信インフラストラクチャを有する。インターネットバックボーンへのアクセスは大部分企業及び個人へのアクセスを再販するインターネットサービスプロバイダ(ISP)によって制御される。
【0005】
IP(インターネットプロトコル)に関して、これは、ネットワーク上である装置(電話機、PDA[携帯情報端末]、コンピュータなど)から別の装置にデータを送るためのプロトコルである。今日、IPv4、IPv6などを含めて、様々なIPのバージョンがある。ネットワーク上の各ホスト装置は、独自の一意の識別子である少なくとも1つのIPアドレスを有する。
【0006】
IPはコネクションレス型プロトコルである。通信時の端点間接続は連続的ではない。ユーザがデータ又はメッセージを送信し、又は受信するとき、データ又はメッセージは、パケットと呼ばれる要素に分割される。各パケットは、独立のデータ単位として扱われる。
【0007】
インターネット又は同様なネットワークを介した地点間の伝送を標準化するために、OSI(開放型システム間相互接続)モデルが確立された。OSIモデルは、ネットワーク中の2地点間の通信プロセスを7つの階層に分け、各層は独自の機能セットを付加する。各装置は、送信側端点では各層を通る下り回線(downward flow)があり、受信側端点では各層を通る上り回線(upward flow)があるようにメッセージを取り扱う。7つの機能層を提供するプログラミング及び/又はハードウェアは、通常、デバイスオペレーティングシステム、アプリケーションソフトウェア、TCP/IP及び/又は他のトランスポート及びネットワークプロトコル、並びに他のソフトウェア及びハードウェアの組み合わせである。
【0008】
通常、上位4層は、メッセージがユーザから、又はユーザへ渡されるときに使用され、下位3層は、メッセージが装置(IPホスト装置など)を通過するときに使用される。IPホストは、サーバ、ルータ、ワークステーションなど、IPパケットを送受信することのできるネットワーク上の任意の装置である。他の何らかのホストに向けられているメッセージは、各上位層には通過させないが、他のホストに送られる。OSIモデル及び他の同様なモデルでは、IPが層3、ネットワーク層にある。
【0009】
無線ネットワーク:
無線ネットワークは、例えば、セルラ及び無線電話機、PC(パーソナルコンピュータ)、ラップトップコンピュータ、装着型コンピュータ、コードレス電話機、ポケットベル、ヘッドセット、プリンタ、PDAなど、多種多様なモバイル機器を組み込むことができる。例えば、モバイル機器は、音声及び/又はデータの高速無線伝送を確保するデジタルシステムを含むことができる。一般的なモバイル機器は、次の構成要素の一部又は全部、即ち送受信機(すなわち、例えば、送信機、受信機及び、必要に応じて、他の機能が統合されたシングルチップ送受信機などを含む、送信機及び受信機)、アンテナ、プロセッサ、1つ又は複数の音声変換器(例えば、音声通信用機器でのスピーカやマイクロホンなど)、電磁データ記憶(データ処理が提供される機器の場合などでの、ROM、RAM、デジタルデータ記憶など)、メモリ、フラッシュメモリ、フルチップセット又は集積回路、インターフェース(USB、CODEC、UART、PCMなど)及び/又は同種のものを含む。
【0010】
モバイルユーザが無線接続を介してローカルエリアネットワーク(LAN)に接続することのできる無線LAN(WLAN)が、無線通信に用いることができる。無線通信には、例えば、光、赤外線、電波、マイクロ波などの電磁波を介して伝搬する通信などが含めることができる。現在、ブルートゥース(登録商標)、IEEE802.11、HomeRFなど、様々なWLAN標準が存在する。
【0011】
一例として、ブルートゥース製品は、モバイルコンピュータ、モバイル電話機、携帯式ハンドヘルド機器、携帯情報端末(PDA)、及び他のモバイル機器の間のリンク、並びにインターネットへの接続を提供するのに使用できる。ブルートゥースは、モバイル機器が、短距離無線接続を使って、相互に、また非モバイル機器と、どのようにして容易に相互接続し合うことができるかを詳述するコンピュータ及び電気通信業界仕様である。ブルートゥースは、ある機器と別の機器との間でデータを同期させ、整合させ続けることを必要とする、様々なモバイル機器の普及から生じるエンドユーザ問題に対処して、異なるベンダからの装置を相互にシームレスに動作させるデジタル無線プロトコルを作成する。ブルートゥース機器は、共通の名称概念に従って名称付けできる。例えば、ブルートゥース機器は、ブルートゥース機器名(BDN)又は一意のブルートゥース機器アドレス(BDA)に関連付けられた名称を持ち得る。また、ブルートゥース機器は、インターネットプロトコル(IP)ネットワークに参加することもできる。ブルートゥース機器がIPネットワーク上で機能する場合、この機器は、IPアドレス及びIP(ネットワーク)名を備えることができる。よって、IPネットワークに参加するように構成されたブルートゥース機器は、BDN、BDA、IPアドレス及びIP名などを含むことができる。「IP名」という用語は、インターフェースのIPアドレスに対応する名称を指す。
【0012】
IEEE標準であるIEEE802.11は、無線LAN及び機器の技術の仕様を定める。802.11を使えば、各単一基地局がいくつかの機器をサポートする無線ネットワークが実現できる。いくつかの例では、機器に無線ハードウェアが事前装備されていることもあり、ユーザが、アンテナを含めることができ、カードなどの別個のハードウェアをインストールすることもできる。例えば、802.11で使用される機器は、通常、機器がアクセスポイント(AP)であるか、移動局(STA)であるか、ブリッジであるか、PCMCIAカードであるか、それとも別の機器であるか否かを問わず、無線送受信機、アンテナ、及びネットワークにおける各点間のパケットの流れを制御するMAC(媒体アクセス制御)層という3つの注目すべき要素を含む。
【0013】
更に、いくつかの無線ネットワークでは、複数インターフェース機器(MID)が利用できる。MIDは、ブルートゥースインターフェースと802.11インターフェースなど、2つの独立のネットワークインターフェースを含むことができ、よって、MIDが2つの別個のネットワーク上に参加すると同時に、ブルートゥース機器ともインターフェースすることが可能になる。MIDは、IPアドレス、及びIPアドレスに関連付けられた共通IP(ネットワーク)名を持つことができる。
【0014】
無線ネットワーク機器には、それだけに限らないが、ブルートゥース機器、複数インターフェース機器(MID)、802.11x機器(802.11a、802.11b、802.11g機器などを含む、IEEE802.11機器)、HomeRF(家庭内無線周波数)機器、Wi−Fi(Wireless Fidelity)機器、GPRS(汎用パケット無線システム)機器、3Gセルラ機器、2.5Gセルラ機器、GSM(移動通信用グローバルシステム)機器、EDGE(Enhanced Data for GSM Evolution)機器、TDMA型(時分割多重接続)機器、又はCDMA2000を含むCDMA型(符号分割多重接続)機器が含めることができる。各ネットワーク機器は、それだけに限らないが、IPアドレス、ブルートゥース機器アドレス、ブルートゥース共通名、ブルートゥースIPアドレス、ブルートゥースIP共通名、802.11IPアドレス、802.11IP共通名、又はIEEE MACアドレスを含む、様々な種類のアドレスを含むことができる。
【0015】
また、無線ネットワークは、例えば、モバイルIP(インターネットプロトコル)システム、PCSシステム、及び他のモバイルネットワークシステムにおいて見られるメソッド及びプロトコルも関与できる。モバイルIPでは、これに、インターネット技術標準化委員会(IETF)によって作成された標準通信プロトコルが関与する。モバイルIPでは、モバイル機器ユーザは、これらの一旦割り当てられたIPアドレスを維持しつつ、各ネットワークにまたがって移動することができる。コメントリクエスト(RFC)3344を参照されたい。注:RFCはインターネット技術標準化委員会(IETF)の公式文書である。モバイルIPは、インターネットプロトコル(IP)を拡張し、モバイル機器のホームネットワーク外部に接続するときに、モバイル機器にインターネットトラフィックを転送する手段を付加する。モバイルIPは、各モバイルノードに、これのホームネットワーク上のホームアドレスと、ネットワーク及びこれのサブネット内の機器の現在位置を識別する気付アドレス(CoA)を割り当てる。機器が異なるネットワークに移動すると、機器は、新しい気付アドレスを受け取る。ホームネットワーク上のモビリティエージェントは、各ホームアドレスを、これの気付アドレスと関連付けることができる。モバイルノードは、インターネット制御メッセージプロトコル(ICMP)などを使って、これの気付アドレスを変更する都度ホームエージェントにバインディング更新を送ることができる。
【0016】
(例えば、モバイルIP外部などの)基本的なIP経路指定において、経路指定機構は、各ネットワークノードが、常に、インターネットなどへの一定の接続点を有し、かつ各ノードのIPアドレスが、これが接続されているネットワークリンクを識別するという仮定を利用する。本明細書において、「ノード」という用語は、例えば、データ伝送のための再配信点や端点などを含むことができ、他のノードへの通信を認識し、処理し、及び/又は転送することのできる接続点を含む。例えば、インターネットルータは、機器のネットワークを識別するIPアドレスなどを調べることができる。次いで、ネットワークレベルにおいて、ルータは、特定のサブネットを識別するビットセットを調べることができる。次いで、サブネットレベルにおいて、ルータは、特定の機器を識別するビットセットを調べることができる。一般的なモバイルIP通信の場合、ユーザが、例えば、インターネットなどからモバイル機器を切断し、これを新しいサブネットで再接続しようとする場合、機器は、新しいIPアドレス、適正なネットマスク及びデフォルトのルータを用いて再構成する必要がある。そうでなければ、経路指定プロトコルは、パケットを適正に配信することができないはずである。
【0017】
ケルベロス(Kerberos)に関する背景
ケルベロスはネットワーク認証プロトコルである。http://web.mit.edu/Kerberos/を参照。それは秘密キー暗号文を用いてクライアント/サーバアプリケーションの認証を行う。このプロトコルの自由な実施はマサチューセッツ工科大学から利用可能である。ケルベロスは更に多くの商品に利用できる。
【0018】
ケルベロスはコンピュータネットワークにおけるサービスの要求を認証するための確実な方法である。ケルベロスはユーザに認証プロセスから暗号化チケットを要求させる。このとき、認証プロセスはサーバから特定のサービスを要求するために使用できる。ユーザのパスワードはネットワークを通過する必要がない。
【0019】
ケルベロス[RFC1510]は認証、許可及びキー配信を与える周知のセキュリティプロトコルである。それは複数のプロトコルを確保するために使用される。
【0020】
ケルベロスはユーザがパスワードを再入力する必要がなくクライアントAがチケット付与サービス(Ticket Granting Service (TGS))をアクセスする初期チケットを取得することを可能にする。その初期チケットはクライアントAがサービスBをアクセスするための他のチケットを得るためTGSとのケルベロル取り決めを開始することを可能にする。この方法を用いることによって、ケルベロスもAが(ビジテッドドメイン(visited domain)において)ローカルTGSをアクセスするため(Aのホームドメインにおける)リモートTGSからチケットを回復できる場合にクロスレルムオペレーション(cross-realm operation)を可能にする。しかしながら、ケルベロスは3人のメンバ間で時間同期を必要とする。
【0021】
幾つかの例では、EAPフレームワークの柔軟性と大学でのケルベロスの幅広い展開とを組合すことによってケルベロスチケット付与チケットをブートすることが可能になる。このときこのケルベロスチケット付与チケットは各種プロトコルと共に使用するためサービスチケットを探索するために使用できる。EAPプロトコル相互作用を利用してケルベロスチケットをブートするこの方法は[I-D.tschofenig-pana-bootstrap-kerberos]に開示されている。その全ての開示は参照することにより本願に援用される。
【0022】
EAPとケルベロスとを組み合わせる他の方法はEAP利用事前認証機構(EAP-based pre-authentication mechanism)をケルベロスに統合することである。しかしながら、証明をブートする一般的なプロトコルを使用することは(MIPv6ブートストラッピングワーク[I-D.ietf-mip6-bootstrap-ps]の一部として検討されているような)使用モバイルIPのための対象キーをブートするためにも又は公開/個人キーをブートするためにも利用できる。故に、一時公開及び個人キー対をエンドホストに送ることを機密保護する必要がある。このキー対は取り消し機構を多分必要としないで、短寿命であり、(IKEv2又はTLSを含む)公開キー利用機構を利用する全てのセキュリティプロトコルにおいて使用できる。対称暗号化に基づく認証プロトコルはなおEAP内で使用できるので、回避された公開キー基盤が大きな利点となる。以下のセクションで検討するように、拡張可能認証プロトコル(Extensible Authentication Protocol (EAP))[全体的に本願に引用して援用されるRFC3748を参照]が認証メソッドを提供する。幾つかの例では、PANAプロトコル[I-D.ietf-pana-pana]はアクセスネットワークにおいてPaC(PANAクライアント)とPAA(PANA認証エージェント)と間でEAPメッセージを伝える。
【0023】
EAPに関する背景
(以下に引用する)Aboba,RFC 3748を参照すると、拡張可能認証プロトコル(EAP)の具体的態様が説明されている。EAPは複数の認証メソッドをサポートする認証フレームワークである。EAPは一般的にはIPを必要としない、ポイントツーポイントプロトコル(PPP)又はIEEE802のような複数のデータリンク層上で直接に実行する。EAPは二重削除及び再送信のため独自のサポートを備えているが、下位層順の保証に依存する。断片化はEAP自体内でサポートされないが、個々のEAPメソッドがこれをサポートできる。
【0024】
EAPは切換回路だけでなく、専用リンクに使用でき、無線リンクだけでなく有線であってもよい。今まで、EAPはPPP [RFC1661]を用いて切換回路又はダイアルアップネットワークを介して接続するホスト及びルータによって実現されていた。それはまたIEEE 802[IEEE−802]を用いてスイッチ及びアクセスポイントによっても実現されていた。IEEE 802有線媒体に関するEAPカプセル化が[IEEE−802.1X]に説明されており、IEEE無線LANsに関するカプセル化は[IEEE−802.11i]に開示されている。
【0025】
EAPアーチテクチャの利点の1つはその柔軟性にある。EAPは、特定の認証機構を選択するため、一般的にはオーセンティケータ(authenticator)が使用すべき特定の認証メソッドを決定するためにより多くの情報を要求した後に選択するために使用される。各新しい認証メソッドをサポートするために更新されることをオーセンティケータが必要とする以外に、EAPは幾つか又は全てのメソッドに対するパススルーとして行動するオーセンティケータ及びピアによって、幾つか又は全ての認証メソッドを実施できるバックエンド認証サーバの使用を可能にする。
【0026】
この後者の引用文献の中で、オーセンティケータがパススルーとして行動するか否かに関係なくオーセンティケータの要求が適用される。要求がオーセンティケータ又はバックエンド認証サーバのいずれかに適用されることを意味している場合、EAP認証が終了される場所に依存して、用語「EAPサーバ」が使用されている。
【0027】
EAPは再送信のサポートを行っている間、それは下位層によって提供される順序付け保証を仮定し、故に異常のある受信はサポートされない。
【0028】
EAPは断片化及び再構築をサポートしないので、最小EAP MTUより大きなペイロードを生成するEAP認証メソッドは断片化サポートを提供する必要がある。
【0029】
EAP−TLSのような認証メソッドは断片化及び再構築を提供するが、この後者の引用文献で定義されたEPAメソッドは行わない。その結果、EAPパケットサイズがリンクのEAP MTUを越えれば、これらのメソッドは困難に合うことになる。
【0030】
EAP認証はサーバ(オーセンティケータ)によって初期化されるが、多くの認証プロトコルはクライアント(ピア)によって初期化される。その結果、EAPを通過するために1つ又は2つの追加メッセージ(多くとも1往復)を追加することが認証アルゴリズムに必要となるかもしれない。
【0031】
証明利用認証がサポートされる場合、追加往復の数は証明書チェーン(certificate chains)の断片化によりかなり多くなるかもしれない。一般的に、断片化EPAパケットは断片があるだけ多くの往復で送る必要がある。例えば、サイズが14960オクテットの証明書チェーンは1496オクテットEAP MTUで10往復する必要がある。EAPが重大なパケットロスを起こす下位層を繰り返す場合、又はオーセンティケータと認証サーバとの接続が重要なパケットロスを起こす場合、多くの往復を必要とするEAPメソッドは困難に直面することもある。これらの状況において、少ない往復を用いたEAPメソッドの使用が望まれる。
【0032】
EAP認証交換は次のように処理される。
【0033】
[1]オーセンティケータはピアを認証するためリクエスト(Request)を送る。リクエストは要求されているものを示すタイプフィールドを有する。リクエストタイプの例は識別(Identity)、MD5−チャレンジなどを含む。MD5−チャレンジタイプはCHAP認証プロトコルに密接に対応する[RFC1994参照]。一般的には、オーセンティケータは初期認証リクエストを送ることになるが、初期認証リクエストは必要とされなく、バイパスされないこともある。例えば、識別はピアが接続されているポート(専用回線、専用スイッチ又はダイアルアップポート)によって決定される場合、又は識別が(MD5−チャレンジレスポンスなどのネームフィールドにおいて、呼出局識別又はMACアドレスを介して)他のメソッドで得られる場合には要求されないこともある。
【0034】
[2]ピアは有効リクエストに答えてレスポンスパケット(Response packet)を送る。リクエストパケットと同様に、レスポンスパケットはリクエストのタイプフィールドに対応するタイプフィールドを含む。
【0035】
[3]オーセンティケータは追加リクエストパケットを送り、ピアはレスポンスで答える。リクエスト及びレスポンスのシーケンスは必要なだけ継続する。EAPは‘横並び(lock step)’プロトコルであり、故に、初期リクエスト以外は、新たなリクエストは有効なレスポンを受理する前に送ることができない。オーセンティケータはリクエストを再送信する責任がある。適正数の再送信の後には、オーセンティケータはEAP対話を終了すべきである。オーセンティケータは再送信するとき、又はピアからのレスポンスが得られないときには成功又は失敗パケットを送る必要がない。
【0036】
[4]対話はオーセンティケータがピア(1以上のリクエストに対して受入れがたいレスポンス)を認証できなくなるまで続けられる。この場合、オーセンティケータの実行にはEAP失敗(コード4)を送信する必要がある。あるいは、認証対話は認証が成功したことをオーセンティケータが決定するまで継続する。この場合、オーセンティケータはEAP成功(コード3)を送信する必要がある。
【0037】
他の利点では、EAPプロトコルは特定のものを事前に取り決めする必要が無く多くの認証機構をサポートできる。更に、ネットワークアクセスサーバ(NAS)装置(例えば、スイッチ又はアクセスポイント)は各認証メソッドを理解する必要が無く、バックエンド認証サーバに対するパススルーエージェントとして動作できる。パススルーのためのサポートは随意的である。オーセンティケータはローカルピアを認証でき、更に、同時に非ローカルピア及びローカル的には実行しない認証メソッドに対するパススルーとして作用する。更に、バックエンド認証サーバからオーセンティケータを分離することによって証明管理及びポリシー決定を簡単にする。
【0038】
概念的に、EAP実施は次の要素からなる。
【0039】
[a]下位層。下位層はピアとオーセンティケータとの間でEAPを送受信する義務がある。EAPはPPP,有線IEEE802ラン[IEEE−802.1X], IEEE 802.11 wireless LANs [IEEE−802.11],UDP(L2TP [RFC2661]及びIKEv2参照)及びTCPを含む各種下位層上で実行していた。
【0040】
[b]EAP層。EAP層は下位層を介してEAPパケットを送受信し、二重検出及び再送信を実行し、EAPメッセージをEAPピア及びオーセンティケータ層に送信し、オーセンティケータ層から受信する。
【0041】
[c]EAPピア及びオーセンティケータ層。コードフィールドに基づいて、EAP層は入力EAPパケットをEAPピア及びオーセンティケータ層に分離する。一般的には、所定ホストでのEAP実行はピア又はオーセンティケータ機能のいずれかをサポートすることになるが、ホストがEAPピア及びオーセンティケータの両方として作用することを可能にする。そのような実行においては、EAP及びオーセンティケータ層の両方が存在することになる。
【0042】
[d]EAPメソッド層。EAPメソッドはオーセンティケータアルゴリズムを実行し、EAPピア及びオーセンティケータ層を介してEAPメッセージを送受信する。断片化のサポートはEAP自体によっては得られないが、これはEAPメソッドの責任である。id.
以後の参考文献はここに参照として引用される次の定義を説明している。
【0043】
オーセンティケータ:
EAP認証を初期化するリンクの終端。期間オーセンティケータは[IEEE−802.1X]に使用され、この文献では同様の意味を有する。
【0044】
ピア:
オーセンティケータに応答するリンクの終端。[IEEE−802.1X]では、この終端はサプリカント(Supplicant)として知られている。
【0045】
バックエンド認証サーバ:
バックエンド認証サーバは認証サービスをオーセンティケータに提供するエンティティ(entity)である。使用時には、このサーバは一般的にはオーセンティケータのためにEAPメソッドを実行する。この専門用語は[IEEE−802.1X]に使用されている。
【0046】
AAA:
EAPサポートを持つ認証、許可、及び課金(Authentication, Authorization, and Accounting(AAA))プロトコルはRADIUS及びダイアミタ(Diameter)を含む。この文献では、用語“AAAサーバ”及び“バックエンド認証サーバ”は交換可能に使用される。
【0047】
EAPサーバ又はサーバ:
ピアによってEAP認証メソッドを終了するエンティティ。バックエンド認証サーバが使用されない場合には、EAPサーバはオーセンティケータの一部である。オーセンティケータがパススルーモードで動作する場合、EAPサーバはバックエンド認証サーバに設けられる。
【0048】
成功した認証:
この文献の内容では、「成功した認証」はEAPメッセージの交換であり、その結果オーセンティケータはピアによってアクセスできることを決定し、ピアがこのアクセスを使用することを決定する。オーセンティケータの決定は一般的には認証及び許可面の両方を含み、ピアはオーセンティケータに首尾良く証明できるが、アクセスは政策的理由によりオーセンティケータによって拒絶されるかもしれない。
【0049】
マスタセッションキー(MSK):
EAPピアとサーバ間で得られ、EAPメソッドによって転送されるキーイングマテリアル。MSKは長さが少なくとも64オクテットである。既存の実施では、EAPサーバとして作用するAAAサーバはMSKをオーセンティケータに送る。
【0050】
拡張マスタセッションキー(EMSK):
EAPクライアントとサーバとの間で得られ、EAP法によって転送される追加キーイングマテリアル。EMSKは長さが少なくとも64オクテットである。EMSKはオーセンティケータ又は任意の他の第三者によっては共有されない。EMSKはまだ定義されていない将来の使用のために予約される。
【0051】
EAP拡張:
参考のため、出願人はthttp://www.ietf.org/internet-drafts/draft-ietf-hokey-erx-04.txtのサイトに掲載されているEAP Extensions for EAP Reauthentication Protocol (ERP), IETF Internet Draft, August 24, 2007, of V. Narayanan, et al.を参照する。この参考文献は次のようにEAP再認証プロトコルのためのEAP拡張を説明している。拡張可能認証プロトコルは2つのグループを認証するメソッドの搬送のための総括フレームワークであり、認証は一方向又は相互のいずれかである。主要目的はネットワークアクセス制御であり、キー生成メソッドはアクセス制御を実施するために推奨される。EAPキーイング階層は2つのキーを定義する。これらのキーはトップレベルで、即ちマスタキーセッション(MSK)及び拡張MSK(EMSK)で得られる。最も一般的な展開シナリオにおいては、ピア及びサーバはオーセンティケータとして知られている第三者を介して互いに認証する。オーセンティケータ又はオーセンティケータによって管理されるエンティティはアクセス制御を実施する。認証の成功後には、サーバはMSKをオーセンティケータに搬送し、オーセンティケータ及びピアはMSKを認証キー又はキー誘導キーとして用いて一時セッションキー(TSK)を取得し、単位パケットアクセス実施のためにTSKを使用する。Id。ピアがあるオーセンティケータから他のオーセンティケータに移動するときは、完全EAP認証を避けることが望ましい。EAPメソッドの他の実行との完全EAP交換は完了するために数回の往復及びかなりの時間を取り、ハンドオフ時間に遅延が生じる。幾つかのEAPメソッドは計算オーバヘッドを減じることによって再認証を最適化するために初期認証からの状態の使用を特定するが、メソッド特定再認証は殆どのケースでは少なくとも2往復する。殆どのメソッドは再認証に対するサポートを提供しないことに留意することも重要でもある。故に、個々のメソッドにおけるよりもEAPにおいて効果的な再認証サポートを受けるのがよい。
【0052】
オーセンティケータにわたって共有するキーはハンドオフタイムを低減するため現実的な解決法として時々使用される。その場合、オーセンティケータの譲歩が他のオーセンティケータを介して確立されるEAPセッションの譲歩となる。ld。要するに、再びEAPメソッドを実行することを必要としないでピアとオーセンティケータ間にフレッシュキーを確立することを可能にする有効EAP再認証機構を設計する必要がある。ld。この文献はEAPを用いて有効再認証のためにEAP再認証拡張(ERX)を特定している。ERXに基づくEAP再認証プロトコル(ERP)はピアに対するEAPメソッド非依存再認証をサポートする。このピアは以前に実行されたEAP認証からの有効な残りキーマテリアルを有する。プロトコル及びEAP再認証に必要なキー階層がこの文献に記載されている。ld。
【0053】
EAPの拡張(EAP−EXT):
本願はいずれも「EAP拡張(EAP−EXT)のためのEAP方法」と名称付けられ、Y. Oba, et al.による2007年10月4日付提出の本譲渡人の先願米国非仮出願番号11/867,659及びY. Oba, et al.による2006年12月8日付提出の米国仮出願番号60/869,113に記載されているような発明を越える更なる進展を提供している。両出願の全開示は全てここに記載されているようにここに引用して援用される。背景参照として、本譲渡人の前記背景出願の技術に関する情報は次のパラグラフに含まれる。
【0054】
1.EAP−EXTの序論
上記検討に加えて、EAP(拡張可能認証プロトコル)は“EAPメソッド”[RFC3748]として知られている多くの認証アルゴリズムを支援する認証プロトコルである。EAPでは、EAPピア及びEAPサーバはEAPキーイングマテリアル、即ち、MSK(マスタセッションキー)及びEMSK(拡張マスタセッションキー)を生成する。MSKの生成、搬送及び使用の詳しいフレームワークは[I-D.ietf-eap-keying]に記載されている。
【0055】
EMSK用法の1つが再認証である場合にEMSK(拡張マスタセッションキー)の幾つかの用法を定義することによってEAP [RFC3748]の拡張機能がある。EAPの他の拡張機能は[I-D.ohba-eap-channel-binding]に定義されているチャネル結合方式(channel binding scheme)である。チャネル結合に関する追加の背景文献として、2006年4月20日にY.Ohbaによって出願された、CHANNEL BINDING MECHANISM BASED PARAMETER BINDING IN KEY DERIVATIONと名称付けられた同時継続出願番号11/379,568の全開示が全体として参照することによって本明細書に援用される。EAPの拡張機能をサポートする実施は拡張機能をサポートしない実施と相互運用する必要があり、故に、前者の実施は後者の実施と通信するとき拡張機能を無効にするので、EAPピアに対する機構が必要となり、EAPの拡張機能に関してケイパビリティを取り決めるEAPサーバが必要となる。
【0056】
EAP機能を拡張するために2つの基本的な方法がある。1つの方法は既存の方法、即ち、リクエスト、レスポンス、成功及び失敗に加えて拡張EAP機能を実現するために新たなEAPコードを定義することである。しかしながら、この方法はRFC3748への変更を必要とし、下位層プロトコルへの変更も必要とするかもしれない。他の方法は拡張機能を実現するために新たなEAPメソッドを定義することである。この文献は既存のEAP展開への攻撃を最小にする後者の方法と取る。
【0057】
EAP−EXTはEAP機能を拡張するEAPメソッドを説明している。幾つかの好適実施形態では、拡張EAP機能はチャネル結合及び再認証を含む。また、EAP−EXTメソッドはその内部の多くのEAPメソッドの順序づけを可能にする。
【0058】
2.EAP−EXT概要
好適実施形態では、EAP−EXTはケイパビリティ交換を提供する。これに関して、メッセージ内のビットはケイパビリティの表示に使用できる。幾つかの実施形態では、1ビット(R−ビット)は再認証ケイパビリティに使用される。幾つかの実施形態では、1ビット(C−ビット)はチャネル結合ケイパビリティを示すために使用される。
【0059】
EAP−EXTが使用されると、サーバは第1のEAPリクエストを送る前にサーバにピアの識別が知られれば先のEAP−識別交換が省略できる。この点について、ピアの識別をサーバに提供する、例えば、オーセンティケータとサーバとの間でピアの識別を転送する幾つかのアウトバンド(outband)機構がある。
【0060】
EAP−EXTにおいて、チャネル結合及び再認証のような拡張EAPケイパビリティはピア及びサーバ間で交換される。同時に、少なくとも1つのEAPメソッド(例えば、EAP−TLS)はピアを認証するためのEAP−EXT内で実行される。内部メソッドがEAPキーイングマテリアルを生成するまで、AUTH TLV(Type-Length-Value)は含まれず、ケイパビリティは保護されない。故に、1つの内部EAPメソッドだけがあれば、AUTH TLVを有するがメソッドTLVを有さない追加のEAP−EXTがEAP成功又はEAP失敗メッセージを送る前に実行される。TLVs(Type-Length-Value)に関する背景参照として、データ通信プロトコルにおいて情報はType-Length-Value又はプロトコルの内部のTLV要素として符号化できることを留意する。一例として、タイプ及び長さフィールドはサイズが(例えば、数バイトに)固定され、値フィールドは一般的には可変サイズである。これらのフィールドは一般的には次のように使用される、即ち、タイプはメッセージのこの部分が表すフィールドの種類を示す数値コード、長さ、即ち値フィールドのサイズ(一般的にはバイトで)、及び値、即ちメッセージのこの部分に対するデータを含む可変サイズのバイトセットを用いた。TLV表現を用いる利点の幾つかはTLVシーケンスが発生した構文解析関数を用いて容易に探索されること、古いノードで受信される新しいメッセージ要素が支障なく省略でき、メッセージの残りが構文解析できること、そしてTLV要素が一般的に早く構文解析を行い、データを小さくする二進形式で使用されることを含む。
【0061】
内部EAPメソッドはEAPキーイングマテリアルを生成した後、EAP−EXTメッセージはAUTH TLVによってサポートする必要がある。EAP−EXTメッセージの中のAUTH TLVsは最後に成功した内部メソッドのEAPキーイングマテリアルから生成されるEAP−EXT−KEYを用いて計算する必要がある。これはEAP−EXT内部で順次実行される複数の内部EAPメソッドがあれば、新たなEAP−EXT−KEYがシーケンスの内部EAPメソッドがEAPキーイングマテリアルを生成する毎に生成されることを意味する。任意の内部EAPメソッドはEAPキーイングマテリアルを生成できる用になる必要がある。
【0062】
成功したEAP−EXT実行の最後に、最後に成功した内部EAPメソッドによって生成されるEAPキーイングマテリアルはEAP層に転送される。F−ビットはEXP−EXT交換の終了を示すために使用される。
【0063】
図1は単一の内部EAPメソッドを持つEAP−EXTメッセージシーケンスの例を示す。図2は複数の内部EAPメソッドを有するEAP−EXTメッセージシーケンスの例を示す。
【0064】
3.エラー処理
エラーは複数の理由、例えば、内部EAPメソッド認証の失敗又は異常、未知、紛失EAP−EXT TLVにより生じるかもしれない。エラーはピア又はサーバのいずれかによって検出できる。エラーを起こしたEAP−EXTメッセージは誤りメッセージと見なされる。E−ビットセットを持つEAP−EXTメッセージはエラー表示のために使用される。これらのメッセージはエラー表示と見なされる。エラー表示はAUTH TLVを含める必要があり、他のTLVsを含めるべきでない。
【0065】
有効AUTH TLVを持たない(間違ったエラー表示を含む)どんな間違いメッセージも無許可で破棄する必要がある。
【0066】
有効AUTH TLVを持つ間違いリクエストに対して、ピアはエラー表示レスポンスを送る。有効AUTH TLVを伴わない間違いレスポンスに対して、サーバはエラー表示リクエストを送り、このリクエストはエラー表示レスポンスでピアによって応答される。サーバは有効AUTH TLVを伴うエラー表示レスポンスに応答してEAP失敗メッセージを送り返す。
【0067】
4.完全性保護キー
EAP−EXTは2種類のキー、即ち、1)EAP−EXT−KEY及び2)EAP−REAUTH−KEYを定義する。
【0068】
4.1.EAP−EXT−KEYは完全性保護EAP−EXTメッセージのためにAUTH TLVsの計算に使用される。HMAC−SHA−256(上記文献に含まれる参考[sha256]を参照)は完全性アルゴリズムに使用されると、EAP−EXT−KEYのレングスは32オクテットである。EAP−EXT−KEYは次のように定義されるUSRK(Usage Specific Root Key)誘導アルゴリズムを用いて内部EAPメソッドによって生成されるEMSKから得られる(例えば、上記に参照することによって援用される参考[I-D.salowey-eap-emsk-deriv]を参照)。
【0069】
EAP−EXT−KEY=KDF(EMSK, [Epsilon]AP-EXT-Integrity-Key”, length).
KDFでは、EAP−EXT−KEYは上記に参照することによって援用される参考文献[I-D.salowey-eap-emsk-deriv]に特定されているデフォルトPRFを用いる。
【0070】
背景参考として、USRKキー誘導関数(KDF)は拡張マスタセッションキー(EMSK)、キーラベル、オプションデータ及び出力レングスからUSRKを求める。KDFは同じ入力に対して同じ出力を与えるはずである。基本キー誘導関数はUSRK = KDF(EMSK、キーラベル、オプションデータ、レングス)である。Idを参照。一般的には、キーラベルは各使用定義に独特のプリント可能なASCIIストリングであり、最大255バイトである。Idを参照。一般的には、それらはドメインがUSRKの使用定義の仕様を管理する組織(organization)であるところのフォームlabel-string@domainである。キーラベルは広域的特異性を持つ。これらラベルの割り当てのルールは[I-D.salowey-eap-emsk-deriv]のセクション7に示されている。
【0071】
前記文献に説明されているように、EMSKキー誘導関数は次の関数プロトタイプを持つ仮想ランダム関数に基づいている。
【0072】
KDF=PRF(key,data)。Idを参照。USRKsをEMSKから得るために使用されるデフォルトPRFはHMAC−SHA−256に基づいて[RFC4306]に由来するPRF+キー拡張PRFから引き出される。prf+構成が[RFC2246]に使用されるもののような他のPRFsを超えるその簡単さ及び効率のために選択された。[RFC4306]によるPRF+の定義は以下に示される。
【0073】
prf+(K,S)=T1|T2|T3|T4|...
但し
T1=prf(K,S|0x01)
T2=prf(K,T1|S|0x02)
T3=prf(K,T2|S|0x03)
T4=prf(K,T3|S|0x04)
キーマテリアルの必要レングスを計算するために必要に応じて継続する。
【0074】
キーKはEMSKであり、Sは[I-D.salowey-eap-emsk-deriv]のセクション1に定義されたデータである。Idを参照。図のように、PRFはHMAC−SHA−256と考えられる。Idを参照。
【0075】
4.2.EAP−REAUTH−KEY
EAP−REAUTH−KEYは再認証機構に使用されるEAPメソッドによって要求される事前共有キーとして使用される。EAP−REAUTH−KEYのレングスは再認証機構に依存する。EAP−REAUTH−KEYは上記で援用される参考文献[I-D.salowey-eap-emsk-deriv]に次のように定義されるUSRK誘導アルゴリズムを用いてEAP−EXTから転送されるEMSKから得られる。
【0076】
EAP−REAUTH−KEY=KDF(EMSK,“EAP-EXT-Reauthentication-Key”, length)
5.メッセージフォーマット
EAP−EXTは(IANAによって割り当てられるべき)EAP Type Xを用いる。[RFC3748]に定義された共通EAPフィールド(例えば、コード、識別子、長さ及び種類)を含むメッセージフォーマットは図3(A)に示される。
【0077】
F:
このビットはこれが送信者からの最後のEAP−EXTメッセージであることを示すように設定する必要がある。そうでなければ、このビットは設定する必要がない。
【0078】
このビットはメッセージがエラー表示であるときに設定される。このビットが設定されると、Fビットも設定する必要がある。エラー表示に関する詳細な説明のセクション3を参照。
【0079】
バージョン:
この8ビットフィールドはEAP−EXTメソッドのバージョンを示す。この文献はバージョン1を定義している。
【0080】
予約(Reserved):
この6ビットフィールドは将来の拡張のために予約される。このフィールドは送信者によってゼロに設定する必要があり、受信者はこのフィールドを無視する必要がある。
【0081】
ケイパビリティ
ケイパビリティが扱うこのフィールドは拡張EAPケイパビリティを含む。ケイパビリティは図3(B)に示されるフォーマットを扱う。
【0082】
各ビットは特定ケイパビリティに対応する。各ビットの意味は次の通りである。
【0083】
C:
このビットは送信者がMSKのための[I-D.ohba-eap-channel-binding]に定義されるチャネル結合機構をサポートすることを示すために設定される。このビットはリクエスト及びレスポンスの両方に対して設定され、EAP−EXTメソッドが首尾よく完了すると、ピア及びサーバはチャネル結合機構を可能にする必要がある。prf+用デフォルトハッシュアルゴリズム(default hash algorithm)はAUTH_HMAC_SHA1_160である。
【0084】
R:
このビットは送信者が再認証EAPメソッドをサポートすることを示すために設定される。このビットは最後のリクエスト/EXTメッセージに設定されると(即ち、Fビットを有するリクエスト/EXTが設定されると)、メッセージはサーバID TLV及びピアID TLVを含める必要があり、Reauth-Key-Lifetime AVPを含めることができる。このビットが最後のリクエスト/EXT及びレスポンス/EXTメッセージ交換に設定されると、ピア及びサーバはEAP−REAUTH−KEYを発生する必要がある。サーバID及びピアIDはサーバID及びピアID TLVsに含められ、EAP−REAUTH−KEYは再認証EAPメソッドに使用される。デフォルト再認証機構はこの開示に基づく従来技術のそれらによって選択できる。
【0085】
他のビットは将来の使用のために予約され、送信者によってゼロに設定する必要があり、受信者によって無視される必要がある。
【0086】
TLV(Type-Length-Value's):
ゼロ,1以上のTLVs。TLVフォーマットは図3(C)に示される。
【0087】
タイプ:
このフィールドはこのTLVのタイプを示す。
【0088】
レングス:
このフィールドは種類及びTLVのレングスフィールドを含めて、オクテットでこのTLVのレングスを示す。
【0089】
バリュー:
このフィールドはTLVタイプに特定されるデータを含む。
【0090】
6.EAP−EXT TLVs
次のTLVsが定義される。
【0091】
6.1.メソッドTLV
メソッドTLV(タイプ1)はタイプフィールドから開始するEAPメソッドペイロードを含む。
【0092】
6.2.AUTH TLV
AUTH TLV(タイプ2)はEAP−EXTメッセージを保護するために使用される完全性データを含む。EAP−EXT−KEYはAUTH TLVsを計算するために使用される。
【0093】
TLVバリューフィールドはこのフィールドを含む全体のEAPメッセージわたって計算される。完全性データを計算する前に、このフィールドは全てゼロに初期化する必要がある。このフィールドのレングスは使用時に完全性アルゴリズムに依存する。完全性チェックが失敗すると、メッセージは無許可で破棄する必要がある。デフォルト完全性アルゴリズムはHMAC−SHA−256である(例えば、以下で援用されている文献[sha256]を参照)。
【0094】
6.3.ピアID TLV
ピアID TLV(タイプ3)は再認証に使用されるピアの識別を含む。
【0095】
6.4.サーバID TLV
サーバID TLV(タイプ4)は再認証に使用されるサーバの識別を含む。
【0096】
6.5.Reauth−Key−Lifetime TLV
Reauth−Key−Lifetime TLV(タイプ5)はEAP−REAUTH−KEYの寿命を秒単位で含む。
【0097】
7.安全性考察
内部EAPメソッドがEAPキーイングマテリアルを送る前にケイパビリティ交換は保護されない。故に、EAPキーイングマテリアルの作成後の追加サポートメッセージ交換は能力情報がピア及びサーバによって検出されないで攻撃者によって変更されるのを避けるために義務付けられる。
【0098】
EAP−EXTはその中の多くのEAPメソッドの順序付けを可能にする。複数の入れ子又は順序認証メソッド(multiple nested or sequential authentication methods)を暗号的に結合しないでそれらで構成される複合認証メソッドが介入者攻撃(man-in-the-middle attack)に対して無防備である。EAP−EXTはシーケンスにおいて前に成功した内部メソッドによって生成されるキーを用いて外部EAPメソッド(即ち、EAP−EXT)と共に各内部EAPメソッドを保護し、最後に成功した内部EAPメソッドによって生成されるEAPキーイングマテリアルを最終的に転送することによって必要な暗号化的結合を作ることができる。暗号化結合を達成するために、EAP−EXTはEAPキーイングマテリアルを生成できる内部EAPメソッドを必要とする。
【0099】
ブートストラッピングケルベロス
1.序論
ケルベロス[RFC4120]は共有秘密キー暗号化を用いてオープン(非保護)ネットワーク上の各種ネットワークアプリケーションの端点(end-points)の同一性を証明する手段を提供する第三者認証プロトコルである。ケルベロスに対する拡張は認証プロトコル[RFC4556]のある段階中の公開キー暗号化の使用のために提供できる。
【0100】
EAP(拡張可能認証プロトコル)は“EAPメソッド”[RFC3748]として知られている複数の認証アルゴリズムをサポートする認証プロトコルである。しかしながら、EAPの適用はネットワークアクセス認証のためである。EAPは各種ネットワークアプリケーションに対して認証を提供するためには予定されていない。
【0101】
参考として、以下の表はケルベロスとEAPとの差の幾つかを強調している表である。
【表1】
【0102】
新たなシングルサインオン(single sign-on)の必要性があり、シングルサインオンでは、ビジテッド又はホームドメインにおけるネットワークアクセスのための初期認証がリンク層からアプリケーション層に及んで、ドメイン内で使用される複数の異なるプロトコルにセッションキーを与えることができる。
【0103】
特に、セッションキーをリンク層プロトコルに与えることによって、リンク層ハンドオーバ性能がオーセンティケータ内及びオーセンティケータ間ハンドオーバを含めてドメイン内でハンドオーバ毎にEAP信号経路を除去することによって最適化できる。このセクションはEAPからケルベロスをブートする機構を説明しており、このセクションでは、EAPが初期ネットワークアクセス認証のために使用され、ケルベロスは複数の異なるプロトコルにセッションキーを付与するために使用される。このセクションでは、機構を実現するためにEAP−EXT暗号化が使用される。
【0104】
2.EAP−EXTの再検討
幾つかの好適実施形態によると、新たなキャパビリティはケルベロスの新たなキャパビリティを含めて、(上述した)EAP−EXT暗号化内で定義される。
【0105】
これらの実施形態はキャパビリティフィールドに新たなキャパビリティビット(K)を定義し、EAP−EXTの新たなTLVs(例えば、KRB−BOOT TLV及びKRB−MSG TLV)も定義する。好適実施形態では、新たなキャパビリティビット(K)及びこれらの新たなTLVsは次のように使用される。
【0106】
EAP−EXT交換においては、ピア及びサーバが機能性(BKEとしてここに参照されているような機能性)を使用することを望めばピア及びサーバはキャパビリティフィールドにKビットを設定する。ピア及びサーバの両者はAUTH TLVセットによってKビットを設定すれば、そのとき、好適実施形態では、システムは以下の方法で追加のEAP−EXT交換を使用する。
【0107】
最初にサーバはケルベロスブートストラッピングパラメータをピアに送る。好ましくは、ケルベロスブートストラッピングパラメータはケルベロスブート(KRB−BOOT)TLVに含まれる。このとき、ピアはケルベロスAS−REQメッセージをケルベロスKDC(Key Distribution Center)に送る。このとき、信号伝達のこの部分がEAP−EXT外で行われる場合、KDCはAS−REPをサーバに戻す。AS−REPがKRB−MSG TLVに含まれる場合、サーバはAS−REPをピアに送る。
【0108】
最後に、ピアは確認をサーバに送り、サーバはEAP成功又はEAP失敗メッセージをピアに送る。好適実施形態では、これら交換の全てはAUTH TLVによって保護される必要がある。
【0109】
ケルベロスがEAPからブートされた後にケルベロスが使用される方法は環境に基づいて当業者によって決定でき、それに関する詳細はここでの目的のためには必要としない。
【0110】
図1はBKEを持つEAP−EXTメッセージの例を示している。
【0111】
3.新たなメッセージフォーマット
好適実施形態によると、上記で示すように、EAP−EXTのキャパビリティフラグの新たなビット、即ち新Kビットが定義される。
【0112】
図4を参照して、好適実施形態に従ったEAP−EXTメッセージフォーマットへの変更について説明する。
【0113】
KビットはEAP(ここではBKEと称する)からケルベロスをブートするためのサポートを示す。好適実施形態では、ピア及びサーバの両者は一度AUTH TLVセットによってKビットを設定すると、そのとき付加交換が上述したようにEAP−EXT内で行われる。
【0114】
4.新キー
好適実施形態では、1つの新キーがここで説明された機能性を提供するために定義される。この新キーはEAP−KRB−KEYと称される。EAP−KRB−KEYはケルベロスによって要求される事前共有キーとして使用される。好適実施形態では、ERP−KRB−KEYのレングス及び寿命はEAP−EXT内でサーバからピアに伝えられる。例えば、ERP−KRB−KEYのレングスがEAP−EXT内で取決められる。好適実施形態では、ERP−KRB−KEYキーは例えば、上記参照によって援用される文献[I-D.salowey-eap-emsk-deriv]に定義されたUSRK誘導アルゴリズムを用いてEAP−EXTから転送されるEMSKから次のように得られる。
【0115】
EAP−KRB−KEY=KDF(EMSK, “EAP-EXT-Kerberos-Bootstrapping-Key”, length)
KDFでは,EAP−EXT−KRBは[I-D.salowey-eap-emsk-deriv]に明記されたデフォルトPRFを使用する。
【0116】
5.新EAP−EXT TLVs
好適実施形態によると、次の新TLVsが定義される。
【0117】
5.1.ケルベロスブート(KRB−BOOT)TLV
好適実施形態では、ケルベロスブートストラッピングパラメータを含む新ケルベロスブートTLV(タイプ6)が確立される。好適実施形態では、次のケルベロスブートストラッピングパラメータが出現順に含まれる。
【0118】
a)EAP−KRB−KEYレングス(2オクテット)
好適実施形態では、このフィールドはEAP−KRB−KEYのレングスをオクテットで示す。
【0119】
b)EAP−KRB−KEY寿命(2オクテット)
好適実施形態では、このフィールドはEAP−KRB−KEYの寿命はEMSKの寿命を超える必要がある。
【0120】
c)主要名(可変長)
好適実施形態では、このフィールドはASN.1(Abstract Syntax Notation One)のDER(Distinguished Encoding Rules)によって符号化される、ピアのケルベロス主要名を含む。ASN.1の有名な符号化ルールがX.509によって基本符号化ルール(BER)符号化を行う制約から得られる国際基準である。抽象シンタックス概念1(Abstract Syntax Notation One :ASN.1)はコンピュータ間で送られているデータ構造がどのように符号化及び復号化されているかを制御する次のルールセット、即ち、基本符号化ルール(BER);正規符号化ルール(CER);有名符号化ルール(DER);及びパック符号化ルール(PER)を定義する。オリジナルルールセットはBER仕様によって定義された。CER及びDERはBERの特定サブセットとして最近開発された。PERはBER又はその改良型を用いてデータを送信するために必要な帯域幅量についての批判に応じて開発された。PERは大きな省力をもたらす。DERは安全なデータ転送のためX.509仕様の要求を満たすように作られた。例えば、証明登録(Certificate Enrollment)APIはDERを単独に使用する。参考までに、INTERNATIONAL TELECOMMUNICATION UNION, Information Technology - ASN.1 Encoding Rules - Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER)及びDistinguished Encoding Rules (DER), ITU-T Recommendation X.690, July 2002を参照。これらの全開示は参照として援用される。
【0121】
d)レルム(可変長)
好適実施形態では、このフィールドはASN.1(Abstract Syntax Notation One)のDER (Distinguished Encoding Rules)によって符号化された、ピア及びKDCのケルベロスレルムを含む。
【0122】
e)IPアドレスレングス(1オクテット)
好適実施形態では、このフィールドはKDCのIPアドレスを含む。
【0123】
f)KDCのIPアドレス(4又は16オクテット)
好適実施形態では、このフィールドはKDCの二進符号化IPアドレスを含む。IPアドレスレングスが4であれば、それは好ましくはIPv4アドレスを含む。IPアドレスレングスが16であれば、それは好ましくはIPv6アドレスを含む。
【0124】
5,2.ケルベロスメッセージ(KRB−MSG)TLV
好適実施形態では、ケルベロスメッセージTLV(タイプ7)はAS−REQ及びAS−REPのようなケルベロスメッセージ(例えば、DER符号化メッセージ)を含む。
【0125】
6.0具体的メセージ交換シーケンス
図5乃至9はコンポーネント又はモジュール間の具体的通信を記載した、幾つかの具体的メッセージ交換シーケンスを示す。
【0126】
これに関して、図5乃至7はBKE機能を採用している幾つかの具体的実施形態に従ったメッセージシーケンスを示す。ここでは、図5はクライアント/ピア10、サーバ30及びキー配信センタ(KDC)40の間のメッセージシーケンスを示し、図6及び7はクライアント/ピア10、サーバ30、オーセンティケータ20及びKDC(40)の間のメッセージシーケンスを示す。
【0127】
これに関して、クライアント/ピア10は、好適実施形態では、例えば、携帯電話、パーソナルコンピュータ、卓上コンピュータ、ウェラブルコンピュータ、PDAなどのようなモバイルノード又は装置に含めることができる。この際、クライアント/ピア10は(図6及び7に緑で表された)EAPピアの機能性及び(図6及び7に赤で表された)ケルベロスクライアントを含むことができる。
【0128】
図5に示すように、クライアント/ピア10、サーバ30及びキー配信センタ(KDC)40の間のような通信がBKEを採用する幾つかの実施例において次のようにできる。
【0129】
最初に、図5にa)で示すように、サーバ30はEAPリクエスト/識別をピア10に選択的に送信でき、ピアは、図5にb)で示すように、EAPリクエスト/識別をサーバ30に選択的に送信できる。
【0130】
次に、図5のc)に示されるように、サーバ30はEAPリクエスト/EXT{Cap.(K),メソッド}メッセージをピア10に送信する。ここで、Cap.(K)はメッセージがキャパビリティフィールドセット有し、メソッドはメソッドTLVに関することを示す。応答として、図5にd)で示されるように、ピア10はEAPレスポンス/EXT{Cap.(K),メソッド}メッセージをサーバ30に送信できる。
【0131】
次に、図5にe)で示されるように、サーバ30はEAP−リクエスト/EXT{Cap.(K),AUTH}メッセージをピア10に送信する。ここで、Cap.(K)はメッセージがキャパビリティフィールドセットのKビットを有し、AUTHがAUTH TLVに関連することを示している。応答として、図5にf)で示すように、ピア10はEAP−レスポンス/EXT{Cap.(K),AUTH}メッセージをサーバ30に送信できる。
【0132】
次に、図5にg)で示すように、サーバ30はEAP−リクエスト/EXT{Cap.(K),KRB−BOOT,AUTH}メッセージをピア10に送信する。ここで、Cap.(K)はキャパビリティフィールドセットを有し、KRB−BOOTは(ケルベロスブートストラッピングパラメータを含む)ケルベロスブートTLVに関連し、かつAUTHはAUTH TLVに関連する。応答として、図5にh)で示されるように、ピア10はEAP−レスポンス/EXT{Cap.(K),KRB−MSG,AUTH}メッセージをサーバ30に送信できる。ここで、AS−REQメッセージはケルベロスメッセージTLV(KRB−MSG)に含まれる。
【0133】
図5にl)で示されるように、サーバ30もケルベロスブートストラッピングパラメータをKDCに送信する。
【0134】
更に、図5にm)で示されるように、サーバ30はこのときAS−REQメッセージをケルベロスKDC(キー配信センタ)に送る。それから、図5にn)で示されるように、信号伝達のこの部分がEAP−EXT外で行われる場合、KDCはAS−REPメッセージをサーバに返す。
【0135】
次に、図5にi)で示されるように、AS−REPがKRB−MSG TLVに含まれる場合、サーバ30はAS−REPをピア10に送る。その際、サーバ30は図示のようにi)でEAP−リクエスト/EXT{Cap.(K),KRB−MSG,AUTH}メッセージを送信する。
【0136】
最後に、ピアは確認をサーバに送り、サーバはEAPサクセス(成功)又はEAPフェイラ(失敗)メッセージをピアに送る。ここで、好ましくは、図5にj)で示されるように、ピア10はEAP−レスポンス/EXT{Cap.(K),AUTH}メッセージをサーバ30に送り、サーバ30はEAPサクセスメッセージをピア10に送る。
【0137】
好適実施形態では、これら交換の全てはAUTH TLVによって保護される必要がある。
【0138】
図6を参照して、この図は図5に示されるメッセージシーケンスと実質的に同じである。しかしながら、図6は更にオーセンティケータ20に関してメッセージ交換を示している。これに関して、図6にx)で示されるように図5に示されるステップj)後に、サーバはMSKをオーセンティケータ20に送信し、それからy)にて、安全関連性(Secure Association)がピア/クライアントとオーセンティケータとの間に確立される。
【0139】
図7はBKE機能性を採用し、更にTGS−REQ/REPを含む幾つかの具体的実施形態に従った他のメッセージシーケンスである。背景参考のために、ケルベロスにおいて、クライアントはチケット付与サービス(TGS)にアプリケーションサーバと通信するために必要なチケットを問い合わせる。TGSによって生成されたチケットは全てアプリケーションサーバキーによって暗号化された、クライアントの識別及びセッションキーを含む。TGSは全てクライアントキーで暗号化された、チケット及びセッションキーのコピーをクライアントに戻す。しかしながら、この交換はクライアントの識別のいかなる認証も単独で提供しない。クライアントの識別の認証はチケット検証に基づいてクライアントとアプリケーションサーバとの他の交換によって成される。TGSはチケットを発行することによってクライアントの識別に同意する。クライアント及びアプリケーションサーバはTGSによって発行されたチケットを検証することによってクライアントの識別に同意する。クライアント識別に関する第三者の同意は、チケットがセッションキーとクライアントの識別との結合を持つ場合、クライアントとアプリケーションサーバとの間にセッションキーを保有する暗号証明に基づいて安全になされる。
【0140】
図7を参照して、x1)で示されるように、ピア10はフォーマットEAPレスポンス/EXT{F,KRB−MSG(TGS−REQ),AUTH}のサーバ30にメッセージを送信し、x2)で示すように、サーバ30はTGS−REQをKDCに送信する。このとき、KDCは図7にy2)で示すようにTGS−REPを返信する。次に、サーバ30はメッセージをフォーマットEAPリクエスト/EXT{F,KRB−MSG(TGS−REP),AUTH}のピア10へ送信する。このとき、ピアは上記と同様にEAPレスポンス/EXT{F,AUTH}を送信する。
【0141】
参考のため、図8はアプリケーションクライアント(C),アプリケーションサーバ(S)、及びキー配信センタ(KDC)を含む具体的なケルベロスメッセージシーケンスを示す。KDCはチケット発行サーバ(TGS)及び認証サーバ(AS)を含む。この具体的実施例では、3つのメッセージ交換ステップが示される。即ち、a)シーケンスのステップS1はオーセンティケータを紹介し、TGTを取得する(この際、100で示すように、AS_REQメッセージは認証サーバ(AS)に送信され、110で示すように、AS_REPメッセージが認証サーバから送信される)。b)シーケンスのステップS2はTGTを紹介し、チケットを取得する(この際、120で示されるように、TGS_REQメッセージがチケット発行サーバ(TGS)に送信され、130で示されるように、TGS_REPメッセージがTGSサーバから送信される)。
【0142】
参考のために、図9はピア、オーセンティケータ及びサーバを含む具体的EAPメッセージシーケンスを示す。図では、メッセージ200はサーバからのEAPリクエストを示し、メッセージ201はピアからのEAPレスポンスを示し、メッセージ202はサーバからのEAPサクセスメッセージを示し、メッセージ203はサーバからのMSKメッセージを示し、204は確立された安全関連性(下位層)を示す。ここでは、オーセンティケータはピアへネットワークアクセスサービスを提供する。幾つかの実施形態では、オーセンティケータ及びサーバは同じ装置で実行できるが、幾つかの実施形態では、オーセンティケータ及びサーバは分離された装置で実行できる。分離された装置で実行されるとき、オーセンティケータはピアとサーバとのEAPメッセージの「パススルー」転送者として機能する。
【先行技術文献】
【非特許文献】
【0143】
【非特許文献1】Bradner, S., “Key words for use in RFCs to Indicate Requirement Levels”, BCP 14, RFC 2119, March 1997 (Referred to herein as [RFC2119]).
【非特許文献2】Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J., and H. Levkowetz, “Extensible Authentication Protocol (EAP),” RFC 3748, June 2004 (Referred to herein as [RFC3748]).
【非特許文献3】Aboba, B., “Extensible Authentication Protocol (EAP) Key Management Framework”, draft-ietf-eap-keying-16 (work in progress), January 2007 (Referred to herein as [I-D.ietf-eap-keying]); and [I-D.ietf-eap-keying] Aboba, B., “Extensible Authentication Protocol (EAP) Key Management Framework”, draft-ietf-eap-keying-15 (work in progress), October 2006.
【非特許文献4】Narayanan, V. and L. Dondeti, “Problem Statement on EAP Efficient Re-authentication and Key Management”, draft-vidya-eap-reauth-ps-00 (work in progress), October 2006 (ここでは[I-D.vidya-eap-reauth-ps]と称する).
【非特許文献5】Ohba, Y., “Channel Binding Mechanism based on Parameter Binding in Key Derivation”, draft-ohba-eap-channel-binding-02 (work in progress), December 2006 (ここでは[I-D.ohba-eap-channel-binding]と称する).
【非特許文献6】Salowey, J., “Specification for the Derivation of Usage Specific Root Keys (USRK) from an Extended Master Session Key (EMSK)”, draft-salowey-eap-emsk-deriv-01 (work in progress), June 2006 (ここでは[I-D.salowey-eap-emsk-deriv]と称する).
【非特許文献7】National Institute of Standards and Technology, “Secure Hash Standard”, August 2002 (ここでは[sha256]と称する).
【非特許文献8】Arkko, J. and P. Eronen, “Authenticated Service Information for the Extensible Authentication Protocol (EAP)”, http://tools.ietf.org/html/draft-arkko-eap-service-identity-auth-04, October 2005 (ここでは[arkko-eap-service-identity-auth]と称する).
【非特許文献9】Kaufman, C., “Internet Key Exchange (IKEv2) Protocol”, RFC 4306, December 2005 (ここでは[RFC4306]と称する).
【非特許文献10】Narayanan, V. and L. Dondeti, “EAP Re-authentication Extensions”, draft-ietf-hokey-erx-02 (work in progress), July 2007 (ここでは[I-D.ietf-hokey-erx]と称する).
【非特許文献11】Salowey, J., “Specification for the Derivation of Root Keys from an Extended Master Session Key (EMSK)”, draft-ietf-hokey-emsk-hierarchy-01 (work in progress), June 2007 (ここでは[I-D.ietf-hokey-emsk-hierarchy]と称する).
【非特許文献12】Neuman, C., Yu, T., Hartman, S., and K. Raeburn, “The Kerberos Network Authentication Service (V5)”, RFC 4120, July 2005 (ここでは[RFC4120]と称する).
【非特許文献13】Zhu, L. and B. Tung, “Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)”, RFC 4556, June 2006 (ここでは[RFC4556]と称する). 各種方式及び方法は知られているが、改良された方式及び方法の必要性がある。
【発明の開示】
【0144】
本発明は、上述したシステム及び方法を含む、既存のシステム及び方法を改良する。
【0145】
幾つかの好適実施形態によると、サーバ、オーセンティケータ及びモバイルノードの間の安全なキー配信のためにケルベロスを使用するメディア独立ハンドオーバキー管理アーチテクチャが記載されている。このアーチテクチャを用いて、好適実施形態では、キー配信のための信号伝達は再キーイングに基づいており、初期ネットワークアクセス認証と同様なEAP(Extensible Authentication Protocol(拡張認証プロトコル))及びAAA(Authentication(認証),Authorization(許可)及びAccounting(課金))信号伝達を要求する再認証から切り離される。このフレームワークにおいて、モバイルノードはハンドオーバ前に一組のオーセンティケータと通信しないでそれらとのセキュリティ関連付けを動的に確立することを要求するマスタセッションキーを取得することを可能にする。再キー動作を再認証から分離することによって、提案アーチテクチャは事前動作モードに対してより最適化される。それはモバイルノードとターゲットアクセスノードとの間でキー配信を逆にすることによってリアクティブオペレーションモードに対して最適化もし得る。
【0146】
幾つかの好適実施形態によると、ハンドオーバ後にチケット配送を採用するリアクティブモードにおいてケルベロス化ハンドオーバキーイングを用いてサーバ、オーセンティケータ及びモバイルノード間の安全キー配信のためのメディア独立ハンドオーバキー管理のためのシステム及び/又は方法はa)モバイルノードにAS−REQをキー配信センタに送信させ、モバイルノードにチケット付与チケット(TGT)によってキー配信センタからAS−REPを受け取らせること、b)ターゲットオーセンティケータに対するモバイルノードのハンドオーバ後に、ターゲットオーセンティケータにTGS−REQをキー配信センタに送信させ、モバイルノードのためのチケット(T)を取得するためターゲットオーセンティケータにキー配信センタからTGS−REPを受信させること、及び(c)オーセンティケータにAP−REQをモバイルノードに送信させ、モバイルノードを認証するためにモバイルノードにAP−REPメッセージをオーセンティケータに送信させることを含む。幾つかの例では、本方法はチケット(T)を用いてモバイルノードとターゲットオーセンティケータとの間に安全関連性を確立することを含む。幾つかの例では、本方法はステップb)の前に、ターゲットオーセンティケータに対するモバイルノードのハンドオーバ後に、モバイルノードにトリガメッセージをターゲットオーセンティケータに送信させることを更に含む。幾つかの例では、本方法はターゲットオーセンティケータが許可のためのハンドオーバ後にAAA信号伝達無しにアクセス制御を行うようにチケット承諾データに承諾情報を埋め込ませることを更に含む。
【0147】
幾つかの他の実施形態によると、サーバ、オーセンティケータ及びモバイルノードの間の安全キー配信のためのメディア独立ハンドオーバキー管理アーチテクチャが設けられる。これはEAPサーバと通信するように構成されるEAPピアを持つモバイルノードを含む。モバイルノードは個別のケルベロスクライアントを有する少なくとも1つのターゲットネットワークに対する少なくとも1つのオーセンティケータと通信するように構成されるケルベロスサーバを更に有する。モバイルノードは少なくとも1つのオーセンティケータを介して少なくとも1つのターゲットネットワークにハンドオーバに関してセキュリティ信号伝達を行うように構成され、EAP及びAAA信号伝達を用いて再認証しないで少なくとも1つのオーセンティケータを介してセキュリティ関連性を動的に確立するためケルベロスを用いてマスタセッションキーを取得するネットワークアクセス認証及びキー管理信号伝達を含む。
【0148】
幾つかの他の実施形態によると、サーバ、オーセンティケータ及びモバイルノードの間の安全キー配信のためのメディア独立ハンドオーバキー管理のためのシステム及び/又は方法はa)EAP方法を用いてネットワークアクセス認証証明からブートストラップを介して初期ネットワークアクセス認証中にモバイルノードにキー配信センタの識別及びアプリケーションサーバと共有するシークレットキーを取得させること、及びb)ハンドオーバ後にセキュリティを用いて1セットのオーセンティケータによってモバイルノードにセキュリティに関連性を持たせることを含む。幾つかの例では、本方法はモバイルノードにオーセンティケータの個別のケルベロスクライアントと通信するケルベロスサーバを含ませる。
【0149】
上記及び/又は発明、態様、種々の実施形態の特徴及び/又は利点は添付図面と関連して次の説明を鑑みて更に理解される。種々実施形態は適用可能である場合異なる態様、特徴及び/利点を含める及び/又は除外できる。更に、種々実施形態は適用可能な場合他の実施形態の1以上の態様又は特徴を組合すことができる。特定の実施形態の態様、特徴及び/又は利点の説明は他の実施形態又は請求の範囲を限定するように解釈されるべきでない。
【図面の簡単な説明】
【0150】
【図1】幾つかの実施形態に従った単一の内部方法によってEAPサーバとEAPピアとの間の具体的EAP−EXTメッセージシーケンスを示す図である。
【図2】幾つかの実施形態に従った複数の内部方法によってEAPサーバとEAPピアとの間の具体的EAP−EXTメッセージシーケンスを示す図である。
【図3】(A)は、EAP−EXPに関する幾つかの例示的実施例に従った具体的メッセージフォーマットを示す図である。(B)は、EAP−EXPに関する幾つかの例示的実施例に従った具体的キャパビリティフィールドを示す図である。(C)は、EAP−EXPに関する幾つかの例示的実施例に従った具体的TLVフォーマットを示す図である。
【図4】本発明の幾つかの例示的実施形態に従った具体的メッセージフォーマットを示す図である。
【図5】BKE機能の幾つかの具体的実施形態に従ったメッセージシーケンスを示し、クライアント/ピア、サーバ及びKDC1の間のメッセージシーケンスを示す。
【図6】BKE機能の幾つかの具体的実施形態に従ったメッセージシーケンスを示し、クライアント/ピア、サーバ、オーセンティケータ及びKDC1の間のメッセージシーケンスを示す。
【図7】BKE機能を採用し、更にTGS−REQ/REPを含む幾つかの具体的実施形態に従った他のメッセージシーケンスである。
【図8】基準のためのケルベロスメッセージシーケンスを示す背景図である。
【図9】基準のためのEAPメッセージシーケンスを示す背景図である。
【図10A】本発明の幾つかの実施形態に従ったケルベロス化ハンドオーバキーイングメッセージシーケンスを示す図である。
【図10B】リアクティブオペレーションのために最適化されている、本発明の幾つかの実施形態に従ったケルベロス化ハンドオーバキーイングメッセージシーケンスを示す図である。
【図11】EAP機能及びパススルーオーセンティケーションを持つEAPを示す図である。
【図12】図8に示されるものと同様のケルベロスメッセージシーケンスを示す背景図である。
【図13】リアクティブモードにおいて、図10(A)に示されるものと同様な、幾つかの実施形態に従ったケルベロスハンドオーバキーイングメッセージシーケンスを示す図である。
【図14】リアクティブモードにおいて、図10(B)に示されるものと同様な、幾つかの実施形態に従ったケルベロスハンドオーバキーイングメッセージシーケンスを示す図である。
【図15】本発明の幾つかの事前モード及びリアクティブモード実施形態に従った承諾及び課金のためのAAA相互関係を示すアーチテクチャ図である。
【図16】AAAドメインと複数のケルベロスレルムとの間の一例のそう関係を示す概略図である。
【図17】幾つかの実施形態に従ったケルベロスブートストラップキャパビリティを持つEEAP−EXTメッセージフォーマットを示す図である。
【図18】幾つかの実施例に従ったケルベロスブートストラップシーケンスを示す図である。
【図19】幾つかの実施形態に従った装置内で採用し得る幾つかの具体的アーチテクチャコンポーネントを示す図である。
【発明を実施するための形態】
【0151】
本発明は多くの異なる形態で実施してもよいが、本開示は本発明の原理の実施例を提供するとして考慮されるべきであり、そのような実施例は本発明をここに説明され及び/又はここに示された好適実施形態に限定されると意図していないとの理解の下に複数の具体的実施形態が説明されている。
【0152】
ケルベロス化ハンドオーバキーイング概要
ハンドオーバキーイングのためのケルベロス利用法
本発明の幾つかの好適実施形態によると、ハンドオーバキーイングのためにケルベロス使用法が採用される。その際、ケルベロスは、例えば、ケルベロスアップリケーションサーバを各ネットワーク接着点(point of attachment:PoA)(例えば、アクセスポイント、基地局及び/又はアクセスルータ)に配置することによってハンドオーバキー管理に利用可能にすることができる。
【0153】
特に、この実施は次の及び/又は他の利点及び利益を達成できる。
【0154】
a)EAP/AAAを用いた認証信号伝達はケルベロスレルム内でハンドオーバ毎に除外できる。
【0155】
b)同じフレームワークは、例えばFMIPv6,HMIPv6,HMIPv[theta],HCP認証などに対して任意の層で使用される任意のプロトコルをブートするために適用できる。
【0156】
ケルベロス化ハンドオーバキーイングステップ
図10を参照して、本発明の幾つかの具体的実施形態に従って、ケルベロスハンドオーバキーイングは次のステップを採用できる。
【0157】
図10Aに示される実施形態では、第1ステップ、ステップ1,は初期接着点(PoA)を介して初期ネットワークアクセス認証の時にチケット付与チケット(TGT)の取得を含む。この際、AS−REQ/AS−REP交換はRFC 4120(i.e., Neuman, C., Yu, T., Hartman, S., and K. Raeburn, “The Kerberos Network Authentication Service (V5)”, RFC 4120, July 2005 ここに参照により援用される)に特定されているようにTCP又はUDPを介して、若しくは(上述したようなEAPからケルベロスをブートする)BKEを持つEAP−EXTを介して使用され及び搬送できる。図示のように、AS−REQは(例えば、モバイル装置又はノード内の)アプリケーションクライアントCからキー配信センタ(KDC)に送信されることになる。
【0158】
図10Aに示される実施形態において、第2ステップ、ステップ2は候補PoA毎にPoA当たりの事前チケット取得(proactive per-PoA ticket acquisition)を含む。この際、TGS−REQ/TGS−REP交換がRFC 4120において特定されたようなTCP又はUDP若しくは上述したようなEAP−EXTにわたって使用され、転送される。そのような場合、クライアントCはそれが引き継がれるかもしれないPoA毎にチケットを取得する。例えば、図9はクライアントCが第1接着点PoA1を発見し、それに関連するチケットT1を取得し、そしてクライアントCが第2接着点PoA2を発見し、それに関連するチケットT2を取得する具体的な事例を示している。図示のように、接着点毎に、TGS−REQはアプリケーションクライアントCからキー配信センタ(KDC)に送信されることになり、TGS−REPはキー配信センタ(KDC)からアプリケーションクライアントCに送信されることになる。
【0159】
図10Aに示される実施形態において、第3ステップ、ステップ3、は取得したチケットを用いて目標PoA(s)に対する安全関連性を確立することを含む。
【0160】
このステップ3では、KRB−SAFE又はKRB−PRIV交換が選択的に後続するAP−REQ/AP−REP交換はRFC 4120において特定されているようにTCP又はUDPにわたり、若しくはIP接続性がなければリンク層にわたり使用及び配送できる。これらメッセージがリンク層にわたり配送される場合に、それらはa)ケルベロス交換をサポートするための新たなEAP認証方法、又はb)ケルベロス交換をサポートするための新たなEAPコードを規定することによってEAPメッセージ内に取り込むことができる。そうでなければ、メディア特定情報がKRB−SAFE又はKRB−PRIV交換に取り込まれる。
【0161】
このステップ3において、安全関連性信号送信の幾らかの部分はハンドオーバ前に積極的に行うことができる。例えば、AP−REQ/AP−REP交換は候補PoAsにおいてセッションキーの記憶個所を作成するためにハンドオーバ前に行うことができる。
【0162】
PoAディスカバリ
上述のようにステップ2においてPoA当たりのチケットを取得するために、PoAsはステップ2においてPoA当たりのチケットを得ることを見つける必要がある。その際、PoAディスカバリを実施するために、IEEE 802.21情報サービスが採用できる。Draft Standard for Local and Metropolitan Area Networksと名称付けられた2007年2月発行のI.E.E.E.P802.21TM/D04.00を参照する。この全体の開示は省略せずに個々に記載されているように参照によって援用される。
【0163】
キー寿命
チケットは寿命を有することは知られている。その際、この寿命は(サブ)セッションキー寿命を決定する。ここで、(サブ)セッションキーの寿命はチケット寿命より長くないことが必要である。
【0164】
許可
幾つかの実施形態によると、許可情報がチケットに含めることができる。その際、(TGTsを含む)チケットの寿命はAAA許可寿命より長くない必要がある。ここで、オーセンティケータはチケットがそのような許可情報を含むならば許可信号送信のためにAAA信号伝達を必要としない。そうでなければ、許可のためのAAA信号伝達は行われるべきである。
【0165】
再キーイング
幾つかの好適実施形態によると、リンク層暗号キーの再キーイングはホームAAAサーバに行き着くまでEAP再認証無しに行うことができる。例えば、これはステップ2において新たなチケットを再発行し、それから上述のようにステップ3を実行することによって達成できる。
【0166】
再認証
幾つかのケースでは、認証寿命を延ばす必要があればEAP再認証が必要となる。幾つかの好適実施形態では、これは新たなTGTを再発行し、それからPoA当たりのチケットを再発行することによって達成できる。
【0167】
AAAドメイン間オペレーション(Inter-AAA Domain Operation)
AAAドメイン間オペレーションに関して、ケルベロスはクロスレルム動作を有利に可能にする。更に、1つはAAAドメイン当たりのケルベロスレルム(又は複数のレルム)を形成できる。
【0168】
クロスレルム/ドメインオペレーションのために、クライアントはTGTをビジテッドレルム/ドメイン(visited realm/domain)に使用されるそのローカルASから得る必要がある。
【0169】
初期エントリ発行
幾つかの好適実施形態によると、初期PoAはBKEのためのEAP オーセンティケータとして作用する。幾つかの実施形態では、初期PoAはPMKを生成するためにEAP MSKを用いることができる。これは初期PoAがケルベロスをサポートしなければ使用されるべきである。幾つかの代替実施例では、初期PoAは成功したEAP認証後にステップ3を実行することによってPMKを生成するためにケルベロスチケットを使用できる。この後者の例では、ステップ1だけでなくステップ2もBKE内で行われる必要がある。更に、成功したEAP認証自体はこの後者の例において安全関連性をトリガしない。これは初期PoAがケルベロスをサポートすれば使用されるべきである。
【0170】
リアクティブオペレーション(Reactive Operation)のために最適化されるケルベロス化ハンドオーバキーイング
幾つかの代替実施形態では、ケルベロス化ハンドオーバキーイングはリアクティブオペレーションのために最適化されるように変形できる。この際、幾つかの実施形態では、10Aを参照した上記のケルベロス化ハンドオーバキーイングステップが変形できる。例えば、幾つかの具体的実施形態では、図10Bに示されるように、下記のステップが採用できる。
【0171】
第1ステップ1は初期接着点(PoA)を介して初期ネットワークアクセス認証のときにチケット付与チケット(TGT)取得を含めることができる。これは図10Aを参照した上記通常動作と同じ方法で行うことができる。
【0172】
第2ステップ2は目標PoAに対するPoA当たりのリアクティブチケット取得及びチケットを用いた目標PoAに対する安全関連性を含むことができる。この際、モバイルノード(MN)はトリガメッセージを目標PoAに送ることができ、又は目標ターゲットはリンク層指標を介してモバイルノードを見つけることができる。リアクティブオペレーション実施形態では、目標PoAはケルベロスクライアントとして作用し、モバイルノードのためにチケットを得るためTGS−REQ/TGS−REP交換を初期化する。目標PoAがモバイルノードのためのチケットを取得した後、それは(チケット導入のための)モバイルノードによってAP−REQ/AP−REP交換を初期化し、次いで(メデイア特定情報交換のための)KRB−SAFE又はKRB−PRIV交換を初期化する、
幾つかの実施形態に関する追加の検討
このセクションはサーバ、オーセンティケータ及びモバイルノード間の安全キー配信のためケルベロスを使用するメディア独立ハンドオーバキー管理の具体的実施形態を更に説明する。このアーチテクチャに関して、キー配信のための信号伝達は再キーイングに基づいており、初期ネットワークアクセス認証と同様なEAP(拡張認証プロトコル)及びAAA(認証、許可及び課金)信号伝達を必要とする再認証から切り離される。このフレームワークでは、モバイルノードはハンドオーバ前に一組のオーセンティケータと通信しないでそれらとの安全関連性を動的に確立するために必要なマスタセッションキーを得ることができる。再認証から再キー動作を分離することによって、提案のアーチテクチャは事前動作モードに対してより最適化される。それはまたモバイルノードと目標アクセスノードとの間のキー配信役割を逆にすることによってリアクティブオペレーションモードのために最適化できる。このセクションはまたこの現アーチテクチャがどのように(例えば、IEEE 802.11及び802.16を含む)既存のリンク層技術に適用でき、複数のAAAドメインにわたることを示している。このセクションはまたどのようにケルベロスがEAPメソッドを用いて初期アクセス認証からブートできるかを説明している。
【0173】
1.序論
無線ネットワーク技術は多くの異なるリンク層技術にわたりシームレスオーバヘッドを可能にするために発展している。例えば、I.E.E.E.802.21(下記文献1を参照)はリンク層と上位層プロトコルに対する統一的インターフェースによってメディア独立ハンドオーバ(MIH)関数を定義している。この関数は幾つかのサービスをモビリティ管理エンティティに提供し、これらサービスを届けるためのプロトコルをリモートモードで他のMIH関数に提供することによってハンドオーバを容易にする。ハンドオーバ中の安全信号伝達最適化はシームレスハンドオーバを達成するための重要な要素の一つであるが、それは最近ではI.E.E.E.802.21仕様の範囲外である。ハンドオーバ中の安全信号伝達はネットワークアクセス認証及びリンク層暗号化のための次のキー管理信号伝達を含む。IETF(Internet Engineering Task Force)はEAP (Extensible Authentication Protocol)(下記文献[2]参照)を定義する。EAPはUDP/IP(例えば、下記文献[6]及び[7]参照)にわたってだけでなくイーサネット(登録商標)、I.E.E.E.802.11及びI.E.E.E.802.16(下記文献[3][4][5]参照)のような幾つかのリンク層技術にわたりさまざまな認証方法のサポートによってネットワークアクセス認証のための統一的機構を提供する。上述したように、EAPメソッドはピア(例えば、モバイルノード)とサーバ(例えば、バックエンド認証サーバ)との間で認証メソッドを実行する2グループ認証プロトコルであり、これに対して、EAPは図11に示されるようにオーセンティケータ(例えば、I.E.E.E.802.11の場合のアクセスポイント)を介してEAPメソッドを搬送するためのコンテナ、即ちパススルーオーセンティケータを持つEAPに過ぎない。
【0174】
EAPはネットワークアクセス認証のためのメディア独立機構を提供するが、その基本設計はピアが特定のEAPメソッドを除いてハンドオーバにより1つのオーセンティケータから他のオーセンティケータに変更するときその信号伝達を最適化することを十分考慮していなかった。特定EAPメソッドはこの問題を扱うためにセッション回収を用いてエンハンスメントを与えることによってこの問題を扱う(例えば下記文献[8]参照)。しかしながら、そのようなエンハンスメントは他のEAPメソッドが初期ネットワークアクセス認証に使用されるとき利用できない。
【0175】
最近、ハンドオーバ用EAP最適化のための機構及びプロトコルを定義するためIETFはHOKEY(ハンドオーバキーイング)ワーキンググループを着手した(例えば、下記文献[9]参照)。HOKEYワーキンググループは3つの要素、例えば低待ち時間再認証(又はHOKEY再認証)、ハンドオーバキー管理及び事前認証を定義している。HOKEY再認証は前回のEAPセッションによって生成されたキーイングマテリアルを利用してメッセージ往復を最小限にするためにEAPに拡張を定義する。ハンドオーバキー管理はサーバからオーセンティケータへのキー配信機構だけでなく複数のオーセンティケータに及ぶ新たなキー階層を定義する。事前認証はピアがサービングアクセスネットワークから候補目標オーセンティケータに対するEAPを実行する事前ハンドオーバ最適化技術である(例えば、下記文献[10]参照)。
【0176】
しかしながら、HOKEY要素に関する2つの問題がある。第1に、HOKEY再認証はピアにサーバと通信することをなおも要求する。このサーバは家に在住する又はビジタオペレータネットワークに属し、ピアの場所から物理的に離れている可能性のあるAAAサーバと通常同じ場所にいる。(注:ビジタオペレータネットワークのAAAサーバはオペレータのサブスクライバのためのホームAAAサーバとしても寄与する。)故に、HOKEY再認証にがリアルタイムアプリケーションの性能に影響しない程度にハンドオーバ待ち時間を減少するのは困難である。第2に、HOKEY事前認証はモバイルノードの動きの正確な予想を必要とする。しかしながら、隣接ネットワークに多くの候補オーセンティケータが存在するとき動き予測は困難である。
【0177】
上述したように、好適実施形態は、とりわけ、HOKEYに関する問題を扱うためにケルベロスを用いるハンドオーバキー管理のためのケルベロスハンドオーバキーイングと呼ばれる新たなアーチテクチャを確立する(例えば、下記文献[11]参照)。
【0178】
好適実施形態では、ケルベロスハンドオーバキーイング(KHK)は次の特徴を提供する。即ち、a)KHKはモバイルノードが積極的にper−オーセンティケータキーを取得している限り認証及び許可のためにポストハンドオーバAAA信号伝達を必要としなく、b)ポストハンドオーバ信号伝達待ち時間は下位層安全関連プロトコルのケルベロスチケット導入及び実行のためピアとオーセンティケータとの若干のメッセージ交換に基づいてアクセスネットワーク内での伝搬遅延の程度まで減少されることが予想され、c)KHKは各オーセンティケータがハンドオーバ前にモバイルノードのキーを記憶する必要がないので事前キーイングオペレーションのための必要なキーキャッシュのサイズを減少できる。
【0179】
ネットワークアクセス認証及びキー管理のためにケルベロスを使用する既存ワークEAP−GSS(下記文献[12]参照)がある。ワークは最初I.E.E.E.802.11iの候補として考えられていた。しかしながら、KHKとは異なり、ワークはハンドオーバ最適化を考慮もしなく、任意のEAPメソッドが初期ネットワークアクセス認証のために使用されるのを可能にしない。
【0180】
2.ケルベロスの追加的概略
上記の検討に加えて、ケルベロス(下記文献[10]参照)は対称的キーに基づく3グループ認証及びキー管理プロトコルである。ケルベロスに3つの基本構成がある。即ち、クライアント、サーバ及びキー配信センタ(KDC)がある。更に、KDCは2つの特別なサーバ、即ち、認証サーバ(AS)及びチケット許可サーバ(TGS)を提供する。そのような事例では、各クライアント及びサーバは秘密キーに基づいてKDCとの事前に確立された信頼関係を持つことが仮定とされる。ケルベロスにおいて、セッションを安全に確立するためクライアント及びサーバによって使用されるセッションキーはKDCによって生成され、クライアントに配信される。それから、クライアントは「チケット」を用いてセッションをサーバに配信し、又はクライアントが自らの証明に役立てるためにKDCによって生成される記録をサーバに配信する。チケットはクライアントの識別、セッションキー、タイムスタンプ及び他の情報を含み、(チケットバージョン番号、領域及びサーバ名を除く)全てのそのような情報がKDCによってだけ共有されるサーバ秘密キーを用いて暗号化される。ケルベロスプロトコルは初期交換が一度だけ行われる場合に3つの交換を含む。ケルベロスシーケンスとして表記された図12はケルベロスの代表的プロトコルシーケンスを示す。
【0181】
図12に示すように、初期交換(AS−REQ/AS−REP交換)において、クライアントはチケット付与チケット(TGT)、又は他のチケットをASから生成するために使用される特別のチケットを要求する。ASはTSG用セッションキー(TSGセッションキー)を含むTGTを生成し、クライアントとだけ共有される秘密キーによって暗号化されるTSGセッションキーのコピーと共にTGTをクライアントに送る。
【0182】
第2交換、TGS−REQ/TGS−REP交換では、クライアントは同じTGSセッションキーを保有することをTSGが証明できるようにTGSセッションキーを用いて作られる証明と共にクライアントはサーバ識別及びTGTをTGSに送る。証明の確認が成功した後、TGSはサーバ用セッションキーを含むチケットを生成し、そのチケット及びクライアントとだけ共有される秘密キーによって暗号化されるセッションキーのコピーをクライアントに送る。
【0183】
第3交換、AP−REQ/AP−REP交換において、クライアントがセッションキーを保有することをサーバが証明できるようにクライアントはセッションキーを用いてクライアントによって計算されたメッセージ認証コードと共に、第2交換に含まれるチケットを送る。AP−REPメッセージはクライアントがサーバを認証する必要がなければ省略できる。信用の確認が成功した後、クライアント及びサーバはこれらのアプリケーションプロトコルを保護するためにセッションキーを用いることができる。
【0184】
3.ケルベロス化ハンドオーバキーイング(KHK)。
【0185】
好適実施形態によると、ケルベロスハンドオーバキーイング(KHK)が採用される。ここでは、モバイルノード及びオーセンティケータ(例えば、アクセスポイント又は基地局)がクライアント又はケルベロスのサーバとして作用する。
【0186】
これに関して、クライアント及びサーバの役割はチケットがオーセンティケータに送付されるときのタイミングに応じて逆転される。幾つかの実施形態によると、オーセンティケータへのチケット送付がハンドオーバ前に発生する事前モードが採用される。他方、実施形態によると、オーセンティケータへのチケット送付がハンドオーバ後に起きるリアクティブモードが採用される。
【0187】
事前モードはモバイルノードがハンドオーバ後にKDCと通信することを必要としないので事前モード実施形態はリアクティブモード実施形態よりも最適化される。そのような事例では、ハンドオーバ後の信号伝達待ち時間が、ある実施形態では、I.E.E.E.802.11i 4−方向ハンドシェイク(I.E.E.E.802.11i 4-way handshake)(下記文献[4]参照)のためのものに類似し、ある例では20msec以下であるとして知られている(下記文献[13]参照)。
【0188】
好適実施形態によって、KHKアーチテクチャは事前モードにおいてさえ、ハンドオーバ前にモバイルノードのために任意の状態を作ることをオーセンティケータに要求しない。好適実施形態では、最初に、モバイルノードはKDCの識別及びセクション4において以下に記載されているようにブートストラッピング機構を用いて初期ネットワークアクセス認証中にASと共有する秘密キーを取得する。初期化後に、上記のセクション2で説明されているケルベロスの3つのステップが実行される。3つのステップは事前及びリアクティブモードにおいて異なって実行される。これらの違いの詳細は3.1及び3.2に説明されている。
【0189】
3.1事前モード
このセクションでは、事前モードはKHK事前モードと表記された図13を参照して説明する。最初に、モバイルノード(MN)はTGTを取得するためにKDCでAS−REQ/AS−REP交換を実行する。MNがセクション3.4で説明されているようにオーセンティケータ発見機構を用いて1以上のオーセンティケータ(例えば、事象D1,D2)を見つけると、それは発見されたオーセンティケータ(例えば、A1及びA2)ごとにチケットを得るためにKDCによってTGS−REQ/TGS−REP交換を実行する。MNが発見したオーセンティケータの1つ(例えば、事象H1)に対してハンドオーバを作成すると、それはオーセンティケータでAP−REQ/AP−REP交換を実行する(AP−REPメッセージは選択的である)。MNが異なるオーセンティケータ(例えば、事象H2)に対して他のハンドオーバを作成すると、それはオーセンティケータによってAP−REQ/AP−REP交換を実行する。この場合、モバイルノード及び目標オーセンティケータはクライアント及びケルベロスのサーバとしてそれぞれ作用する。
【0190】
AP−REQ/AP−REP交換の後に、1以上の追加KRB−SAFEメッセージ又はリンク層特定SAP(Secure Association Protocol(安全関連性プロトコル))メッセージがモバイルノードとオーセンティケータとのリンク層安全関連性を確立するためにモバイルノードと目標オーセンティケータとの間で交換される。これらメッセージはリンク層暗号組パラメータのようなリンク層特定パラメータを有する。KRB−SAFEメッセージの使用によってアーチテクチャはリンク層技術から独立できる。そして、各リンク層技術はKRB−SAFEに保有されるべきリンク層特定パラメータのフォーマット及びセマンティックスだけでなくモバイルノードとオーセンティケータとの間にケルベロストランスポートを定義することを必要とするに過ぎない。IEEE 802.11の事例では、リンク層認証フレームがモバイルノードとオーセンティケータとの間のケルベロストランスポートとして使用でき、802.11i 4−方向ハンドシェイクはKRB−SAFEメッセージの代わりにSAPとして使用できる。同様に、IEEE 802.16の事例では、新たなPKM(Privacy Key Management)メッセージタイプが移動局と基地局との間にケルベロスメッセージを搬送するよう定義でき、PKM 3−方向ハンドシェイクがKRB−SAFEメッセージの代わりにSAPとして使用できる。これらの両事例では、リンク層仕様に変更を加える必要がある。
【0191】
3.2リアクティブモード
このセクションでは、リアクティブモードがKHKリアクティブモードとして表記された図14を参照して説明する。
【0192】
まず、モバイルノード(MN)は事前モードと同じ方法で、TGTを得るためKDCによってAS−REQ/AS−REP交換を実行する。
【0193】
しかしながら、リアクティブモードでは、モバイルノード及び目標オーセンティケータのケルベロスの役割が逆転する、即ち、モバイルノードと目標オーセンティケータはサーバとクライアントとしてそれぞれ作用する。好ましくは、目標オーセンティケータに対するハンドオーバの後に、モバイルノードは最初にトリガメッセージを目標オーセンティケータに送る。それから、目標オーセンティケータはモバイルノード用チケットを取得するためにKDCによってTGS−REQ/TGS−REP交換を実行し、その後、モバイルノードによってAP−REQ/AP−REP交換を実行する(AP−REPメッセージはKRB安全又はSAP交換前にモバイルノード(MN)を認証するために必須である)。
【0194】
AP−REQ/AP−REP交換後に、1以上の追加KRB−SAFEメッセージ又はリンク層特定SAP(Secure Association Protocol)メッセージがモバイルノードとオーセンティケータとの間にリンク層安全関連性を確立するためにモバイルノードと目標オーセンティケータとの間で交換される。この交換は事前モードと同様の方法で行うことができる。
【0195】
トリガメッセージが保護されていなければ、資源消費DoS(Denial of Service)攻撃がリアクティブモードに対して可能性がある。従って、追加機構がそのようなDoS攻撃を緩和するために採用できる。
【0196】
リアクティブモードのためのハンドオーバ後の信号伝達待ち時間は実質的に事前モードの待ち時間+オーセンティケータとKDC間の1往復になることが予想される。故に、リアクティブモードのためのリアルタイムアップリケーションに対するハンドオーバ性能はKDCの位置に依存する。以下のセクション3.6に説明されるように、KDCはクロスレルムオペレーションを用いてオーセンティケータに近い位置に配置できる。しかしながら、ハンドオーバ性能はKDCの位置に依存しないので事前モードを使用することがリアクティブモードにわたり多くの環境においてより望ましい。
【0197】
3.3キー寿命
ケルベロスチケットはキー寿命を含むので、異機種リンク層技術(heterogeneous link-layer technologies)に対するキー管理に柔軟性を得るために、(限定されないが)リンク層タイプに依存する異なるオーセンティケータに対して異なるキー寿命(又はキー寿命が認証時間と同じであれば異なる許可寿命(authorization lifetimes))を割り当てることが可能である。
【0198】
3.4 オーセンティケータディスカバリ
KHKの事前モードにおいて、モバイルノードは隣接ネットワークにおいてオーセンティケータを見つける必要がある。オーセンティケータディスカバリ機構は少なくとも次の情報を得るために必要である。
【0199】
・KDCからオーセンティケータのためのチケットを得るときにモバイルノードが認識できるようにオーセンティケータの識別の発見。単一のオーセンティケータ識別は複数のネットワーク接着点(例えば、アクセス点、基地局及び/又はアクセスルータ)に対して使用できることを留意する。
【0200】
・モバイルノードがAP−REQ/AP−REP交換に対してオーセンティケータと通信できるようにオーセンティケータのアドレスの発見。アドレスはリンク層アドレス又はIPアドレスでできる。単一オーセンティケータ識別は複数のネットワーク接着点のために使用されるとき、オーセンティケータ識別は複数のアドレスと関連する。
【0201】
IEEE 802.11r(例えば、下記文献[14]参照)において、ビーコンフレーム(Beacon frame)において通知されたR0KH−ID及びBSSIDはオーセンティケータの識別及びアドレスにそれぞれ対応するが、それはIEEE 802.11リンク層だけに適用できる。他方、メディア独立オーセンティケータディスカバリ機構(media-independent authenticator discovery mechanism)は、例えば、上述した全ての情報を提供するために望ましい。例えば、IEEE 802.21、情報サービス(例えば、下記文献[1]参照)を参照する。IEEE 802.21情報サービスはハンドオーバ意思決定プロセス(handover decision-making process)を容易にするために隣接ネットワークに関する種々の情報を提供し、任意のメディアを徹底的に調査するために設計されるのでIEEE 802.21情報サービスはそのような機構を提供できる。
【0202】
3.5 許可及び課金
ケルベロスは許可情報がKDC発行許可データ要素によってカプセル化されるときチケットの許可データに埋め込むことを可能にする。KDCによって発行される許可証明がアクセス制御を行うためオーセンティケータによって必要とされる全許可情報を含むならば、認証のためだけでなく許可のためにもハンドオーバ後にAAA信号伝達を廃止することを可能になる。
【0203】
ケルベロス化ハンドオーバキーイングに使用される好適な許可モデルは次のように説明される。
【0204】
・KDCを実施するノードは許可目的のためにAAAサーバと通信するためAAAクライアントも実施する。
【0205】
・KDCがケルベロスクライアント(即ち、事前モードのモバイルノード又はリアクティブモードのオーセンティケータ)からTGS−REQメッセージを受信すると、それはケルベロスクライアントに対する許可情報をAAAクライアントに要請する。AAAクライアントはAAAプロトコルを用いてAAAサーバから許可情報を取得し、取得した情報をKDCに戻す。
【0206】
・KDCはTGS−REPメッセージに含まれるべきチケットの許可データフィールドに許可情報を埋め込む。
【0207】
好適実施形態では、許可モデルは次の2つの要求を有する。第1に、許可証明のフォーマット及びセマンティクスは相互接続のために標準化される。第2に、リアクティブモードの事例では、許可情報はリアクティブモードでのケルベロスクライアント(例えば、オーセンティケータ)がモバイルノードに使用されるべき許可情報を取得できるようにTGS−REPメッセージの暗号化データ部分に取り込まれる。
【0208】
課金は既存のリンク層技術において行われるようにオーセンティケータに行われ、例えば、オーセンティケータを実施し、課金のためのAAAクライアントをも実施するノードで行われる。課金記録を妥当な許可セッションと関連するため、好ましくは許可セッション識別子は許可証明に含まれる。幾つかの実施形態に従った許可及び課金のためのAAA相互作用が図15に示されている。許可及び課金に関して事前モードとリアクティブモード間の注目すべき差はKDCが事前モードでモバイルノードを介してオーセンティケータに許可情報を好ましくは間接的に通過させ、これに対してKDCがリアクティブモードにおいてオーセンティケータに許可情報を好ましくは直接的に通過させることである。
【0209】
オーセンティケータノードのAAAクライアントも初期ネットワークアクセスのための認証機能性を持っている。
【0210】
3.6 AAAドメインへのケルベロスレルムのマッピング
上述のように、ケルベロスは組織的境界にわたり動作するように設計されている。例えば、1組織のクライアントは他の組織のサーバに認証され得る。この際、ケルベロスサーバを実施する各組織の願望は自らの「レルム」を確立する。クライアントは登録されているレルム名はローカルレルムと呼ばれる。
【0211】
「インタレルム」キーを確立することによって、2つのレルムのアドミニストレイタはローカルレルムで認証されたクライアントが他のレルムのサーバに対してその識別を立証することを可能にする。この際、レルム間キーの交換が各レルムのチケット許可サービスを他のレルムの主体として登録する。それから、クライアントはリモートレルムチケット許可サービスのためのTGTをそのクライアントローカルレルムから取得できる。そのTGTが使用されると、リモートチケット許可サービスはTGTを解読するため(自己の標準TGSキーとは通常異なる)レルム間キーを使用する。好ましくは、リモートチケット許可サービスによって発行されるキーはクライアントが他の領域から認証されたことをエンドサービスに示すことになる。
【0212】
一般的に、ケルベロルレルム及びAAAドメインは独立している。しかしながら、単純化した具体例の代わりに、我々は典型的な実施面で妥当なモデルを導入する。ここで、我々はケルベロス化ハンドオーバキーイングがDNSドメイン名をケルベロスレルム名及びAAAドメイン名として使用するものとする。
【0213】
D(n)はDNSメイン名がnであるAAAドメインを示すものとする。Rnはレルム名がそれらの添え字nを含むケルベロスレルムのセットであるとする。KHKにおけるAAAドメインとケルベロスレルムとの関係は次のように表される。
【0214】
D(n)=Rn
この式はAAAドメインがケルベロスレルムのセットを有すること及び特定のケルベロスレルムがケルベロスレルム名及びAAAドメイン名を用いて特定のAAAドメインに属するか否かをモバイルノードが伝えることができることを表している。具体的AAAドメインと複数の具体的ケルベロスレルムとの間のマッピングを示す具体的実施例がAAAドメインとケルベロスレルムとの例示的関係を表記した図16に示されている。モバイルノードにできるだけ物理的に近づくような位置にKDCを配置することによって信号伝達待ち時間を減じるだけでなくKHKが拡張可能であるために単一AAAドメイン内に複数のレルムを定義することが望ましい。
【0215】
好適実施形態では、AAAドメインにわたってシームレスハンドオーバをサポートするために、互いにローミング関係にある2つのAAAドメイン間にケルベロスレルム間キーが予め確立されることが望ましい。モバイルノードがAAAドメインを横切ってサービングオーセンティケータから目標オーセンティケータに移動すると、それはホームAAAドメインのローカルKDCに接触することによってビジテッドAAAドメインのリモートKDCに有効なクロスレルムTGTを取得する。好ましくは、ローカルとリモートレルム間に1以上の中間領域があれば、モバイルノードが認証路に沿ってTGT取得手順を繰り返す。ローカルKDCによって生成される許可証明はリモートKDCに使用されたクロスレルムTGTに保存される必要がある。
【0216】
2つのAAAドメインが一般的にはDNSドメイン階層の異なる分岐に属するので、認証経路の決定プロセスが重要である。この場合、認証経路は下記文献[15]に明記されているように、KDCsの照会を用いて動的に決定し得る。更に、下記文献[16]に記載されているように、TGT取得手順の繰り返しを排除するより最適化された機構も存在する。
【0217】
ケルベロスのクロスレルムオペレーションも同じAAAドメイン内のハンドオーバに対して可能である。モバイルノードが同じドメイン内のケルベロスレルムを横切ってサービングオーセンティケータから目標オーセンティケータに移動するとき、それはサービングKDC(即ち、サービングオーセンティケータのためのKDC)に接触することによって目標KDC(即ち、目標オーセンティケータのためのKDC)に有効なcross-realm TGTを取得する。同じAAAドメイン内の2つのKDC間に1以上の中間レルムが存在する場合、好ましくはモバイルノードは認証経路に沿ったTGT取得手順を繰り返す。サービングKDCによって作成される認証証明は目標KDCに使用されるクロスレルムTGTに保存される必要がある。認証経路はDNSドメイン階層に基づいて構成できる。このDNSドメイン階層はインタードメインの事例よりも容易な認証経路を横切る。
【0218】
リアクティブモードでは、クロスレルムオペレーションに必要なTGT取得手順の繰り返しがモバイルノードの代わりに目標オーセンティケータによって行われる。これはモバイルノードとオーセンティケータとの間のリンクにわたりケルベロスメッセージ交換を効果的に減少する。
【0219】
4.EAPからのケルベロスブートストラッピング
複数のAAAドメイン間のローミングをサポートするために、機構はローカルKDCの主要名及びそのためにできるだけ使用される秘密キーを動的に構成するために定義される。この目的のために、機構は、上述された及び以下の文献[17]で検討された新たなEAPメソッドであるEAP−EXTを用いてネットワークアクセス認証証明からケルベロスをブートストラップすることを提示している。上述したように、EAP−EXTは任意のEAP認証メソッドをカプセル化するトンネルメソッドであり、新たに定義された機能性が可能とされるキャパビリティネゴシエーションを提供する。既存のEAPメソッドにどのような変更もしないでそれらをなおも用いながら利用できる新たな機能性を作るのでEAP−EXTは既存のEAP認証メソッドに対して下位互換性を与える。EAP−EXTは現在若干のキャパビリティ、例えば、チャネル結合及び再認証を定義する。しかしながら、これに関連して、新たなキャパビリティがケルベロスとしてEAP−EXTに加えられる。ケルベロスブートストラッピングのために付加的キャパビリティビット(例えば、‘K’ビット)を持つEAP−EXTメッセージフォーマットがケルベロスブートストラッピングキャパビリティを持つEAP−EXTメッセージフォーマットと表記された図17に示されている。
【0220】
好ましくは、ピア及びサーバの両方が内部EAP認証メソッドから転送されるキーを用いて保護された完全性である最終EAP−EXTメッセージ交換に‘K’ビットを設定すると、ピア及びサーバはケルベロスをブートする。次の情報、即ちa)モバイルノードとローカルKDCとで共有される秘密キー(EAP−KRB−KEY)の長さ及び寿命、b)ローカルKDCの主要名及びレルム並びにc)ローカルKDCのIPアドレスがケルベロスをブートするために必要とされ、‘K’ビットが設定された最終EAP−EXT要求メッセージのケルベロスブート(KRB−BOOT)TLV(Type-Length-Value)で搬送される。
【0221】
EAP−KRB−KEYは次のようにEMSK(EAP Master Session Key)からUSRK(Usage Specific Root Key) (例えば、下記文献[18]参照)として得られる。但し、KDFは文献[18]に定義されたキー導出関数を示し、lengthは取得キーの長さを示す。
【0222】
EAP−KRB−KEY=KDF(EMSK,“EAP-EXT-Kerberos-Boot-Key”, length)
EAPサーバもケルベロスブートストラッピングシーケンスとして表記された図8に示されるようにKRB−BOOT TLVに搬送された情報をローカルKDCにインストールする。但し、「メソッド」はEAPメソッドペイロードを保有するメソッドTLVを示し、AUTHは完全保護データを保有するAUTH TLVを示す。
【0223】
ケルベロスブートストラッピング手順を簡単化するために、最も好ましくは、EAPサーバ及びローカルKDCはEAPサーバ及びローカルKDCに対して同じ識別子を用いて同じノードにおいて実行される。そうでなければ、秘密キーを秘密に搬送するために3グループキー配信プロトコルがEAPピア、EAPサーバ及びローカルKDCの間でキー配信を必要とされることになる。
【0224】
5.結末注記
上記セクションは複数の問題を扱うためケルベロスを用いて新たなメディア独立ハンドオーバキー管理アーチテクチャを説明し、また、アーチテクチャがどのように複数のAAAドメインにわたり働くかを説明し、かつケルベロスがEAPメソッドを用いてどのように初期アクセス認証からブートし得るのかを説明している。KHK手順を実施するときに、ケルベロスプロトコル、ケルベロスブートストラッピング及びケルベロスのリンク層搬送に対する変更を含めて、KHKに必要な一連のプロトコルを定義することが、例えば、I.E.T.F.及びI.E.E.E.802のような標準体には望ましくなる。更に、セクション4で説明したような初期ネットワークアクセス認証からのブートストラッピングはKHKをブートするだけでなくSSO(Single-Sign On)のような多くの他のアプリケーション対するセキュリティをもブートすることを可能にする。
【0225】
文献
下記の背景文献の全開示は参照としてここに援用される。
【0226】
[1] “Draft IEEE Standard for Local and Metropolitan Area Networks: Media Independent Handover Services,” IEEE LAN/MAN Draft IEEE P802.21/D05.00, April 2007.
[2] B. Aboba, L. Blunk, J. Vollbrecht, J. Carlson and H. Levkowetz, “Extensible Authentication Protocol (EAP),” RFC 3748, June 2004 (上述した文献[RFC3748]も参照).
[3] “IEEE Standard for Local and Metropolitan Area Networks Port-Based Network Access Control,” IEEE Std. 802.1X-2004.
[4] “IEEE Standard for Local and metropolitan area networks - Specific requirements Part 11: Wireless LAN MAC and PHY specifications Amendment 6: Medium Access control (MAC) Security Enhancements,” IEEE 802.11i-2004.
[5] “IEEE Standard for Local and metropolitan area network Part 16: Air Interface for Fixed and Mobile Broadband Wireless Access Systems Amendment 2,” IEEE 802.162005 and IEEE Std 802.16-2004/Cor1-2005.
[6] C. Kaufman, “Internet Key Exchange (IKEv2) Protocol”, December 2005 (上述した文献[RFC4306]も参照).
[7] D. Forsberg, Y. Ohba, B. Patil, H. Tschofenig, and A. Yegin, “Protocol for Carrying Authentication for Network Access (PANA),” Internet-Draft, work in progress, May 2007.
[8] B. Aboba, D. Simon, “PPP EAP TLS Authentication Protocol”, RFC 2716, October 1999.
[9] IETF HOKEY WG charter, http://www.ietf.org/html.charters/hokey-charter.html.
[10] A. Dutta, T. Zhang, Y. Ohba, K. Taniuchi, and J. Schulzrinne, “MPA assisted Optimized Proactive Handover Scheme,” Mobiquitous 2005.
[11] C. Neuman, T. Yu, S. Hartman and K. Raeburn, “The Kerberos Network Authentication Service (V5)”, RFC 4120, July 2005 (上述した文献[RFC4120]も参照).
[12] B. Aboba, “EAP GSS Authentication Protocol”, http://tools.ietf.org/html/draft-aboba-pppext-eapgss-12, August 2002.
[13] R. Lopez, A. Dutta, Y. Ohba, H. Schulzrinne and A. Skarmeta, “Network-Layer Assisted Mechanism for reducing authentication delay during handoff in 802.11 Networks”, to appear in Mobiquitous 2007.
[14] “Draft IEEE Standard for Local and metropolitan area networks - Specific requirements Part 11: Wireless LAN MAC and PHY specifications Amendment 2: Fast BSS Transition”, IEEE P802.11r/D6.0, May 2007.
[15] K. Raeburn and L. Zhu, “Generating KDC Referrals to Locate Kerberos Realms”, Internet-Draft, work in progress, March 2007.
[16] S. Zrelli, Y. Shinoda, S. Sakane, K. Kamada and M. Ishiyama, “XTGSP, the Inter-TGS protocol for cross-realm operations in Kerberos”, Internet-Draft, work in progress, March 2007.
[17] Y. Ohba, S. Das and R. Lopez, “An EAP Method for EAP Extension (EAP-EXT)”, Internet-Draft, work in progress, March 2007.
[18] J. Salowey, L. Dondeti, V. Narayanan and M. Nakhjiri, “Specification for the Derivation of Usage Specific Root Keys (USRK) from an Extended Master Session Key (EMSK)”, Internet-Draft, work in progress, January 2007.
具体的コンピュータアーチテクチャ
図19は、幾つかの実施形態において、例えば、ピア、クライアント、サーバ、オーセンティケータ、モバイル装置、アクセスポイントなどのような装置又はエンティティによって行われるプロセスステップ及び通信を実行するために使用できる具体的コンピュータ又は同様な構成を示す。幾つかの実施形態では、そのような装置又はエンティティはバス326を介して一組の入出力(I/O)装置324と通信できる中央処理装置(CPU)322を含む。I/O装置324は、例えば、キーパッド及び/又は他の装置を含むことができる。また、装置は(例えば、アンテナなどを使用する)通信用の送信機、受信機及び/又は送受信機を含むことができる。この通信は、この開示に基づく当業者には言うまでもないような妥当な装置機能性を達成するために必要に応じて無線通信、有線通信などを含むことができる。CPU322はバス326を介してコンピュータ読み取り可能媒体(例えば、一般的な揮発性又は不揮発性データ記憶装置)328(以後、「メモリ328」)と通信できる。CPU322、I/O装置324、バス326及びメモリ328の相互関係は従来知られているものと同様にできる。メモリ328は例えば、データ330を含むことができる。メモリ328はソフトウェア338も記憶できる。ソフトウェア338はプロセスのステップを実行するための複数のモジュール340を含むことができる。一般的プログラミング技術がこれらのモジュールを実施するために使用できる。メモリ328は上記及び/又は他のデータファイルも記憶できる。幾つかの実施形態では、ここに記載されている種々の方法はコンピュータシステムを用いてコンピュータプログラム製品を介して実施され得る。この実施は、コンピュータ読み取り可能媒体(例えば、ディスケット、CD−ROM, ROM又は同種のもの)に固定され、モデム又は同様なもののようなインターフェース装置を介してコンピュータシステムに送信できる一連のコンピュータ命令を含むことができる。通信媒体は実質的に有形(例えば、通信ライン)及び/又は実質的に無形(例えば、マイクロ波、光、赤外線などを用いた無線媒体)であってもよい。コンピュータ命令は種々のプログラム言語で書くことができ及び/又は半導体装置(例えば、チップ又は回路)、磁気装置、光学装置及び/又は他の記憶装置のような記憶装置に記憶できる。種々の実施形態では、送信は任意の適当な通信技術を使用できる。
【0227】
本発明の広い範囲
本明細書では、本発明の具体的実施形態を説明しているが、本発明は、本明細書で説明した様々な好ましい実施形態だけに限定されず、本開示に基づけば当分野の技術者によって理解されるはずの、等価の要素、改変、省略、(様々な実施形態にまたがる態様などの)組合せ、適合及び/又は変更を有するありとあらゆる実施形態を含むものである。特許請求の範囲における限定は、特許請求の範囲で用いられる言葉に基づいて幅広く解釈されるべきであり、本明細書において、又は本出願の出願中において記述される例だけに限定されず、これらの例は、非排他的であると解釈されるべきである。例えば、本開示において、「好ましくは」という用語は、非排他的であり、「それだけに限らないが、好ましくは」を意味する。本開示において、かつ本出願の出願中において、手段プラス機能又はステッププラス機能限定は、特定のクレーム限定について、この限定において、a)「〜の手段」又は「〜のステップ」が明記されている、b)対応する機能が明記されている、及びc)構造、材料又はこの構造をサポートする動作が記載されていないという条件すべてが存在する場合に限り用いられる。本開示において、かつ本出願の出願中において、「本発明」又は「発明」という用語は、本開示内の1つ又は複数の態様を指すものとして使用され得る。本発明又は発明という言葉は、誤って重要度の識別と解釈されるべきではなく、誤ってすべての態様又は実施形態にわたって適用されるものと解釈されるべきではなく(すなわち、本発明はいくつかの態様及び実施形態を有すると理解されるべきであり)、また、誤って本出願又は特許請求の範囲を限定するものと解釈されるべきではない。本開示において、かつ本出願の出願中において、「実施形態」という用語は、任意の態様、特徴、プロセス又はステップ、これらの任意の組合せ、及び/又はこれらの任意の部分などを記述するのに使用され得る。いくつかの例では、様々な実施形態が重なり合う特徴を含み得る。本開示では、「例えば」を意味する「e.g.」という省略用語が用いられ得る。
【0228】
EPOはEPO以外の他の官庁から由来するデータ及び情報の正確性に対するどんな義務も受入れない。特に、EPOはそれらが特定の目的に対して完了し、最新であり、又は適合していることを保証しない。WO 2008109039 (A1)のこの明細書を翻訳する。
【特許請求の範囲】
【請求項1】
ハンドオーバ後にチケット配送を採用するリアクティブモードにおいてケルベロス化ハンドオーバキーイングを用いてサーバ、オーセンティケータ及びモバイルノード間の安全キー配信のためのメディア独立ハンドオーバキー管理方法であって、
a)モバイルノードにAS−REQをキー配信センタに送信させ、前記モバイルノードにチケット許可チケット(TGT)によって前記キー配信センタからAS−REPを受信させること、
b)ターゲットオーセンティケータに対する前記モバイルのハンドオーバ後に、モバイルノードに対するチケット(T)を取得するためターゲットオーセンティケータにTGS−REPをキー配信センタに受信させること、
c)前記オーセンティケータにAP−REQを前記モバイルノードに送信させ、前記モバイルノードを認証するため前記モバイルノードにAP−REPメッセージを前記オーセンティケータに送信させること、
を含むメディア独立ハンドオーバキー管理方法。
【請求項2】
前記チケット(T)を用いて前記モバイルノードと前記ターゲットオーセンティケータとの間に安全関連性を確立することを更に含む、請求項1の方法。
【請求項3】
前記ターゲットオーセンティケータに対する前記モバイルノードのハンドオーバ後に、前記モバイルノードにトリガメッセージを前記ターゲットオーセンティケータに送信させることをステップ(b)の前に含む、請求項1の方法。
【請求項4】
前記オーセンティケータと前記キー配信センタとの間の往復信号伝達による前記反動モードでの信号的遅延を減少するためにクロスレルム動作を用いて前記ターゲットオーセンティケータに近い位置に前記キー配信センタを配置することを更に含む、請求項1の方法。
【請求項5】
前記ターゲットオーセンティケータが許可のためのハンドオーバ後にAAA信号伝達を行わないでアクセス制御を行うようにチケット許可データに許可情報を埋め込ませることを更に含む、請求項1の方法。
【請求項6】
TGS−REPメッセージの暗号化データ部分に前記許可情報を取り込むことを更に含む、請求項5の方法。
【請求項7】
次の許可方法、即ち、a)キー配信センタを使用するノードに許可目的のためにAAAサーバと通信するAAAクライアントをも使用させること、及び(b)前記AAAクライアントに前記AAAサーバからAAAプロトコルを用いて許可情報を取得させ、取得した情報を前記キー配信センタに戻させることを実行することを更に含む、請求項1の方法。
【請求項8】
前記キー配信センタにリアクティブモードで前記許可情報を前記オーセンティケータに直接通過させることを更に含む、請求項7の方法。
【請求項9】
前記ターゲットオーセンティケータノードがローカルケルベロスレルムからリモートケルベロルレルムチケット許可サービスのためのチケット許可チケット(TGT)を取得できるように、異なるケルベロスレルムに対してインタレルムキーを確立することを更に含む、請求項1の方法。
【請求項10】
前記ローカルレルムと前記リモートレルムとの間に1以上の中間レルムを持つことを更に含み、前記ターゲットオーセンティケータは前記レルム間の認証経路に沿って前記チケット許可チケット(TGT)手順を繰り返す、請求項8の方法。
【請求項11】
サーバ、オーセンティケータ及びモバイルノードの間の安全キー配信のためのメディア独立ハンドオーバキー管理アーチテクチャであって、
a)EAPサーバと通信するように構成されるEAPピアを持つモバイルノードと、
b)個別のケルベロスクライアントを有する少なくとも1つのターゲットネットワークに対して少なくとも1つのオーセンティケータと通信するように構成されるケルベロスサーバを更に含む前記モバイルノードと、
c)前記少なくとも1つのオーセンティケータを介して前記少なくとも1つのターゲットネットワークに対するハンドオーバに関してセキュリティ信号伝達を行うように構成され、EAP及びAAA信号伝達を用いて再認証をしないで前記少なくとも1つのオーセンティケータを介してセキュリティ関連性を動的に確立するためケルベロスを用いてマスタセッションキーを取得するネットワークアクセス認証及びキー管理信号伝達を含む前記モバイルノードと、により構成されるメディア独立ハンドオーバキー管理アーチテクチャ。
【請求項12】
前記少なくとも1つのオーセンティケータはケルベロスクライアントを有する、請求項11のメディア独立ハンドオーバキー管理アーチテクチャ。
【請求項13】
前記少なくとも1つのオーセンティケータは前記複数のオーセンティケータを含み、前記複数のオーセンティケータに対する事前オーセンティケータキーをリアクティブ的に取得するように構成される、請求項11のメディア独立ハンドオーバキー管理アーチテクチャ。
【請求項14】
前記複数のオーセンティケータは少なくとも1つのアクセスポイント又は基地局を含む、請求項11のメディア独立ハンドオーバキー管理アーチテクチャ。
【請求項15】
サーバ、オーセンティケータ及びモバイルノードの間の安全キー配信のためのメディア独立ハンドオーバキー管理方法であって、
a)モバイルノードにキー配信センタ及びEAPを用いてネットワークアクセス認証クレデンシャルから第一のオーセンティケータを介して初期ネットワークアクセス認証中にケルベロスをブートストラップするとともに前記オーセンティケータと共有するシークレットキーを取得させること、及び(b)前記モバイルノードに第二のオーセンティケータへのハンドオーバ後にケルベロスを用いて前記第二のオーセンティケータとのセキュリティ関連性を確立させること、を含むメディア独立ハンドオーバキー管理方法。
【請求項16】
前記モバイルノードに前記第二のオーセンティケータ上のケルベロスクライアントと通信するケルベロスサーバを含ませることをさらに含む、請求項15の方法。
【請求項17】
前記モバイルのハンドオーバ後に前記モバイルノードに対するチケット(T)を前記第二のオーセンティケータに配送することを更に含む、請求項15の方法。
【請求項18】
前記ブートストラップに関して、EAPサーバ及び前記キー配信センタは前記EAPサーバ及び前記キー配信センタに対して同じ識別子を用いて同じノードで実施される、請求項15の方法。
【請求項1】
ハンドオーバ後にチケット配送を採用するリアクティブモードにおいてケルベロス化ハンドオーバキーイングを用いてサーバ、オーセンティケータ及びモバイルノード間の安全キー配信のためのメディア独立ハンドオーバキー管理方法であって、
a)モバイルノードにAS−REQをキー配信センタに送信させ、前記モバイルノードにチケット許可チケット(TGT)によって前記キー配信センタからAS−REPを受信させること、
b)ターゲットオーセンティケータに対する前記モバイルのハンドオーバ後に、モバイルノードに対するチケット(T)を取得するためターゲットオーセンティケータにTGS−REPをキー配信センタに受信させること、
c)前記オーセンティケータにAP−REQを前記モバイルノードに送信させ、前記モバイルノードを認証するため前記モバイルノードにAP−REPメッセージを前記オーセンティケータに送信させること、
を含むメディア独立ハンドオーバキー管理方法。
【請求項2】
前記チケット(T)を用いて前記モバイルノードと前記ターゲットオーセンティケータとの間に安全関連性を確立することを更に含む、請求項1の方法。
【請求項3】
前記ターゲットオーセンティケータに対する前記モバイルノードのハンドオーバ後に、前記モバイルノードにトリガメッセージを前記ターゲットオーセンティケータに送信させることをステップ(b)の前に含む、請求項1の方法。
【請求項4】
前記オーセンティケータと前記キー配信センタとの間の往復信号伝達による前記反動モードでの信号的遅延を減少するためにクロスレルム動作を用いて前記ターゲットオーセンティケータに近い位置に前記キー配信センタを配置することを更に含む、請求項1の方法。
【請求項5】
前記ターゲットオーセンティケータが許可のためのハンドオーバ後にAAA信号伝達を行わないでアクセス制御を行うようにチケット許可データに許可情報を埋め込ませることを更に含む、請求項1の方法。
【請求項6】
TGS−REPメッセージの暗号化データ部分に前記許可情報を取り込むことを更に含む、請求項5の方法。
【請求項7】
次の許可方法、即ち、a)キー配信センタを使用するノードに許可目的のためにAAAサーバと通信するAAAクライアントをも使用させること、及び(b)前記AAAクライアントに前記AAAサーバからAAAプロトコルを用いて許可情報を取得させ、取得した情報を前記キー配信センタに戻させることを実行することを更に含む、請求項1の方法。
【請求項8】
前記キー配信センタにリアクティブモードで前記許可情報を前記オーセンティケータに直接通過させることを更に含む、請求項7の方法。
【請求項9】
前記ターゲットオーセンティケータノードがローカルケルベロスレルムからリモートケルベロルレルムチケット許可サービスのためのチケット許可チケット(TGT)を取得できるように、異なるケルベロスレルムに対してインタレルムキーを確立することを更に含む、請求項1の方法。
【請求項10】
前記ローカルレルムと前記リモートレルムとの間に1以上の中間レルムを持つことを更に含み、前記ターゲットオーセンティケータは前記レルム間の認証経路に沿って前記チケット許可チケット(TGT)手順を繰り返す、請求項8の方法。
【請求項11】
サーバ、オーセンティケータ及びモバイルノードの間の安全キー配信のためのメディア独立ハンドオーバキー管理アーチテクチャであって、
a)EAPサーバと通信するように構成されるEAPピアを持つモバイルノードと、
b)個別のケルベロスクライアントを有する少なくとも1つのターゲットネットワークに対して少なくとも1つのオーセンティケータと通信するように構成されるケルベロスサーバを更に含む前記モバイルノードと、
c)前記少なくとも1つのオーセンティケータを介して前記少なくとも1つのターゲットネットワークに対するハンドオーバに関してセキュリティ信号伝達を行うように構成され、EAP及びAAA信号伝達を用いて再認証をしないで前記少なくとも1つのオーセンティケータを介してセキュリティ関連性を動的に確立するためケルベロスを用いてマスタセッションキーを取得するネットワークアクセス認証及びキー管理信号伝達を含む前記モバイルノードと、により構成されるメディア独立ハンドオーバキー管理アーチテクチャ。
【請求項12】
前記少なくとも1つのオーセンティケータはケルベロスクライアントを有する、請求項11のメディア独立ハンドオーバキー管理アーチテクチャ。
【請求項13】
前記少なくとも1つのオーセンティケータは前記複数のオーセンティケータを含み、前記複数のオーセンティケータに対する事前オーセンティケータキーをリアクティブ的に取得するように構成される、請求項11のメディア独立ハンドオーバキー管理アーチテクチャ。
【請求項14】
前記複数のオーセンティケータは少なくとも1つのアクセスポイント又は基地局を含む、請求項11のメディア独立ハンドオーバキー管理アーチテクチャ。
【請求項15】
サーバ、オーセンティケータ及びモバイルノードの間の安全キー配信のためのメディア独立ハンドオーバキー管理方法であって、
a)モバイルノードにキー配信センタ及びEAPを用いてネットワークアクセス認証クレデンシャルから第一のオーセンティケータを介して初期ネットワークアクセス認証中にケルベロスをブートストラップするとともに前記オーセンティケータと共有するシークレットキーを取得させること、及び(b)前記モバイルノードに第二のオーセンティケータへのハンドオーバ後にケルベロスを用いて前記第二のオーセンティケータとのセキュリティ関連性を確立させること、を含むメディア独立ハンドオーバキー管理方法。
【請求項16】
前記モバイルノードに前記第二のオーセンティケータ上のケルベロスクライアントと通信するケルベロスサーバを含ませることをさらに含む、請求項15の方法。
【請求項17】
前記モバイルのハンドオーバ後に前記モバイルノードに対するチケット(T)を前記第二のオーセンティケータに配送することを更に含む、請求項15の方法。
【請求項18】
前記ブートストラップに関して、EAPサーバ及び前記キー配信センタは前記EAPサーバ及び前記キー配信センタに対して同じ識別子を用いて同じノードで実施される、請求項15の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10A】
【図10B】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10A】
【図10B】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【公表番号】特表2010−521086(P2010−521086A)
【公表日】平成22年6月17日(2010.6.17)
【国際特許分類】
【出願番号】特願2009−551756(P2009−551756)
【出願日】平成20年3月3日(2008.3.3)
【国際出願番号】PCT/US2008/002798
【国際公開番号】WO2008/109039
【国際公開日】平成20年9月12日(2008.9.12)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(504473670)テルコーディア・テクノロジーズ・インコーポレーテッド (72)
【Fターム(参考)】
【公表日】平成22年6月17日(2010.6.17)
【国際特許分類】
【出願日】平成20年3月3日(2008.3.3)
【国際出願番号】PCT/US2008/002798
【国際公開番号】WO2008/109039
【国際公開日】平成20年9月12日(2008.9.12)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(504473670)テルコーディア・テクノロジーズ・インコーポレーテッド (72)
【Fターム(参考)】
[ Back to top ]