単一処理で複数のPSKベース認証を実行する方法及びこの方法を実行するシステム
【課題】
1度に複数のPSK(Pre−SharedKey)ベース認証を実行する方法及びこの方法を実行するシステムを開示する。
【解決手段】
本発明に係る単一処理で複数のPSKベース認証を実行する方法は、端末機でユーザID及びPSKを含む複数のクレデンシャルを用いて結合クレデンシャルを生成する段階と、認証サーバで結合クレデンシャルを用いて端末機の認証を実行する段階とを有する。
1度に複数のPSK(Pre−SharedKey)ベース認証を実行する方法及びこの方法を実行するシステムを開示する。
【解決手段】
本発明に係る単一処理で複数のPSKベース認証を実行する方法は、端末機でユーザID及びPSKを含む複数のクレデンシャルを用いて結合クレデンシャルを生成する段階と、認証サーバで結合クレデンシャルを用いて端末機の認証を実行する段階とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、単一処理で複数のPSK(Pre−Shared Key)ベース認証を実行する方法及びこの方法を実行するシステムに関し、より詳細には、端末機でユーザID及びPSKを結合し、認証サーバで結合されたユーザID及びPSKを用いて端末機の認証を実行する方法及びこの方法を実行するシステムに関する。
【背景技術】
【0002】
認証システム(authentication system)とは、通信網を経由してコンピュータにアクセスするユーザが登録されているユーザであるか、あるいは正当な許可を受けているユーザであるかを、信頼できる方法で確認するシステムを意味する。
この認証システムは、開放型ネットワークにおいて特に重要であり、この場合、鍵となる部分は認証サーバに適用されているソフトウェアであって、ここでユーザの名前やパスワードなどを一括管理している。
【0003】
認証サーバは、サービスを提供するプログラムに対して暗号化された認証用プロトコルを用いることで、ユーザが許可を受けた本人であるか否かを確認する。このような認証システム製品の例としては、米国のゼロックス社のプロトコルシステムであるゼロックス網体系(Xerox Network System:XNS)の認証サービスがある。既存のUnix(登録商標)にはこのようなシステムがなかったが、米国マサチューセッツ工科大学(MIT)のアテナ・プロジェクトによって開発されたケルベロス(Kerberos)が登場した。
【0004】
このような認証システムの認証プロセスは、実行中ごとに若干の待機時間を招く。例えば、簡単な暗証番号を暗号化して送信するCHAP(challenge handshake authentication protocol)は、モバイル装置とホームドメインとの間に1度の往復遅延が要求され、これによって1度の認証ごとの1度の往復遅延による待機時間が発生するようになる。
【0005】
図1は、従来技術において、2度の認証による待機時間を説明するための図である。
特に、図1においては、図に示すように、2度の認証を行うモバイル装置101と認証サーバ102との間の認証要請と認証の工程、及びこれによって発生する待機時間を示している。
ステップ103にてモバイル装置101から認証サーバ102に第1認証を要請すれば、ステップ104にてこれに対する認証が実行されるまで、ステップ105の第1待機時間が発生する。ステップ104の認証が実行された後に、モバイル装置101は、ステップ106にて2度目の認証のために認証サーバ102に第2認証を要請し、ステップ107のこれに対する認証が実行されるまでステップ108の第2待機時間が発生する。
【0006】
このように、モバイル装置が2度以上の認証を必要とすれば(例えば、分離している装置の認証および署名認証)、ネットワークへのログインは2倍の待機時間を要求するようになる。このようにもたらされた待機時間は、無線端末機のシームレスハンドオーバの達成に大きな問題を与えるようになる。
すなわち、従来技術の認証方法では、無線端末機が所望するサービスに接続する前に送信が要求される複数の独立した認証に対し、1つの認証による待機時間に認証数を掛けた待機時間をこうむるようになり、基地局間を通信する場合には、ハンドオーバが均等に発生し難くなり、従って少なくとも待機時間を減少させる単一処理で認証を実行する改良された装置及び方法が必要となっているという問題点がある。
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は、上記のような問題点を解決するために案出されたものであって、本発明の好適な実施形態の態様は、単一処理で複数のPSKベース認証を実行する方法及びこの方法を実行するシステムを提供することを目的とする。
また、本発明の好適な実施形態の態様は、複数の認証を単一処理で処理することで、サービスにアクセスするための待機時間を1度の認証による待機時間だけに減らすことのできるPSKベース認証方法を提供することを目的とする。
また、本発明の好適な実施形態の態様は、新たな認証プロトコルを使用せずに既存の認証プロトコルを用いた認証方法によって待機時間を減らすことのできるPSKベース認証方法を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するためになされた本発明の好適な一実施形態の態様に係る単一処理でPSKベース認証実行方法は、端末機においてユーザID及び前記PSKを含む複数のクレデンシャルを用いて結合クレデンシャルを生成する段階と、認証サーバにおいて前記結合クレデンシャルを用いて前記端末機の認証を実行する段階とを含む。
【0009】
また、本発明の好適な実施形態の他の態様に係る、結合クレデンシャルを生成する段階は、前記ユーザIDを連続して結合して結合ユーザIDを生成する段階と、前記PSKを連続して結合して結合PSKを生成する段階と、前記結合ユーザID及び前記結合PSKを含む前記結合クレデンシャルを生成する段階とを含むことが好ましい。
また、本発明の好適な実施形態の他の態様に係る、前記結合ユーザID及び前記結合PSKは、1つの前記クレデンシャルに含まれた前記ユーザID及び前記PSKをそれぞれ同じ順序で含むことが好ましい。
さらに、本発明の好適な実施形態の他の態様に係る、前記PSKを連続して結合して結合PSKを生成する前記段階は、前記認証サーバの認証プロセスが前記PSKすべてにアクセスする場合に実行されることが好ましい。
【0010】
本発明の他の好適な実施形態の態様に係る、端末機でPSKベース認証を実行する方法は、認証サーバから予め設定されたチャレンジコードの入力を受ける段階と、前記チャレンジコード及びN個のPSKに基づいて応答コードを生成する段階と、前記応答コードを前記認証サーバに送信する段階とを含む。
【0011】
本発明のさらに他の好適な実施形態の態様に係る、認証サーバでPSKベース認証を実行する方法は、端末機に予め設定されたチャレンジコードを送信する段階と、前記チャレンジコード及びN個のPSKに基づいて第1応答コードを生成する段階と、前記端末機から送信された第2応答コードと前記第1応答コードとを比較する段階と、前記第2応答コードと前記第1応答コードとが同じである場合に前記端末機を認証する段階とを含む。
【発明の効果】
【0012】
本発明によれば、複数の認証を単一処理で処理することで、サービスへの接近による待機時間を1度の認証による待機時間だけに減らすことができる。
本発明によれば、待機時間を新しい認証プロトコルを使用せずに既存の認証プロトコルを用いた認証方法によって減らすことができる。
【図面の簡単な説明】
【0013】
【図1】従来技術において、2度の認証による待機時間を説明するための図である。
【図2】本発明の実施形態において、複数の認証による待機時間を説明するための図である。
【図3】本発明の第1の実施形態において、単一処理で複数のPSKベース認証を実行する方法を説明するためのフローチャートである。
【図4】本発明の第2の実施形態において、端末機でPSKベース認証を実行する方法を説明するためのフローチャートである。
【図5】本発明の第3の実施形態において、認証サーバでPSKベース認証を実行する方法を説明するためのフローチャートである。
【図6】本発明の第2の実施形態及び第3の実施形態において、PSKベース認証を実行する端末機及び認証サーバのPSKベース認証方法を説明するためのフローチャートである。
【図7】本発明の第4の実施形態において、単一処理で複数のPSKベース認証を実行するシステムの内部構成を説明するためのブロック図である。
【図8】本発明の第5の実施形態において、PSKベース認証を実行する端末機の内部構成を説明するためのブロック図である。
【発明を実施するための形態】
【0014】
まず、本明細書において、「端末機」とは、PDC(Personal Digital Cellular)フォン、PCS(Personal Communication Service)フォン、PHS(Personal Handyphone System)フォン、CDMA−2000(1X、3X)フォン、WCDMA(Wideband CDMA)フォン、デュアルバンド/デュアルモードフォン、GSM(Global Standard for Mobile)フォン、MBS(Mobile Broadband System)フォン、DMB(Digital Multimedia Broadcasting)フォン、スマートフォン、携帯電話などの通信機能が含まれた携帯用機器、PDA(Personal Digital Assistant)、ハンドヘルドPC、ノート型パソコン、ラップトップコンピュータ、WiBro端末機、MP3プレーヤ、MDプレーヤなどの携帯端末機、さらに国際ローミングサービスと拡張した移動通信サービスを提供するIMT−2000(International Mobile Telecommunication−2000)端末機などを含むすべての種類のハンドヘルドベースの無線通信装置を意味する携帯用電気電子装置であって、CDMA(Code Division Multiplexing Access)モジュール、ブルートゥースモジュール、IrDA(Infrared Data Association)、有無線LANカード、及びGPS(Global Positioning System)を介した位置追跡が可能となるようにGPSチップが搭載された無線通信装置などの所定の通信モジュールを具備することができ、マルチメディア再生機能を実行することができるマイクロプロセッサを搭載することで、一定した演算動作を実行することができる端末機を通称する概念として解釈されることができる。
また、ここで、「端末機を認証する」または「端末機の認証を実行する」という用語の意味は、上述したような端末機を用いて認証しようとする複数のユーザIDを認証するという意味と同じである。
【0015】
以下、添付の図面を参照しながら、本発明に係る多様な実施形態について詳しく説明する。
図2は、本発明の実施形態において、複数の認証による待機時間を説明するための図である。図2に示すように、図2は、モバイル装置201から認証サーバ202に認証要請と認証の工程、およびこれによって発生する待機時間を示している。
【0016】
ステップ203において、モバイル装置201は、複数の認証のために、認証に必要なユーザID及びPSKをそれぞれ結合し、結合ユーザID及び結合PSKを生成して送信することで結合認証を要請する。すなわち、複数の認証に対する要請を1度の要請で解決するのである。
ステップ204において、これに対し、認証サーバ202は、複数の認証に対する要請に対して1度の手順でモバイル装置201を認証することで、ステップ205において、図2に示すように、1度の認証に対する待機時間のみが発生するようになる。
【0017】
上述したようなユーザID及びPSKを結合する方法については、以下の図面を用いてさらに詳しく説明する。
図3は、本発明の第1の実施形態において、単一処理で複数のPSKベース認証を実行する方法を説明するためのフローチャートである。
【0018】
ステップS310で、PSKベース認証実行システムは、端末機でユーザID及びPSKを含む複数のクレデンシャルを用いて結合クレデンシャルを生成する。
PSK(またはshared secret)とは、他のクレデンシャル(例えば、ユーザ名及びパスワード)よりも先に獲得されるVPN(Virtual Private network)サービスの文字列である。ウィンドウズ(登録商標)XPでは、認証のためのPSK(pre−shared key for authentication)と呼ばれているが、大部分の運営体制では、共有秘密キー(shared secret)として知られている。
【0019】
VPNサーバへの接続が成されるとき、VPNサーバは、正確な文字列が与えられるまで認証プロセスを承諾しない。もし、VPNサーバがPSKを受けることができなければ、ユーザ名及びパスワードは送信されずに接続が終了するようになる。このような意味において、PSKは多くのユーザにはあまりよく知られていないが、狭い意味でのパスワードの形式であると言える。
このようなPSKベース認証実行システムは、ユーザID(U)およびPSK(K)を含む複数のクレデンシャル(C)を、下記の数式1のように構成することができる。
【0020】
(数1)
C1={U1、K1}、C2={U2、K2}、……、Cn={Un、Kn}
【0021】
数式1のように構成された複数のクレデンシャルを用いて結合クレデンシャルを生成する方法については、ステップS311〜ステップS313を参照して詳しく説明する。
【0022】
ステップS311で、PSKベース認証実行システムは、ユーザIDを連続して結合して結合ユーザIDを生成する。このとき、結合ユーザIDは、「|」、「/」、または「,」などの区分記号を含む区分子によってユーザIDを区分することができる。
この場合、結合ユーザID(Uc)は、下記の数式2のように表現することができる。
【0023】
(数2)
Uc=U1|”,”|U2|”,”|……|Un
【0024】
このように、結合ユーザIDは、ユーザIDを連続した文字列で並べて区分子によって区分し、1つの文字列として生成することができる。例えば、joe.smith@ISP1.com,00:0D:56:DD:C4:49のように、2つのユーザIDを「,」を区分子として1つの文字列で生成することができる。
【0025】
ステップS312で、PSKベース認証実行システムは、PSKを連続して結合して結合PSKを生成する。このようなステップS312は、認証サーバの認証プロセスがPSKすべてにアクセスする場合に実行されることが好ましい。
この場合、結合PSK(Kc)は、下記の数式3のように表現することができる。
【0026】
(数3)
Kc=K1|K2|……|Kn
【0027】
このように、結合PSKは、ステップS310で説明したように、1つの文字列を成しているPSKを連結し、1つの大きい文字列として生成することができる。
この場合、ステップS311及びステップS312で、結合ユーザID及び結合PSKは、1つのクレデンシャルに含まれたユーザID及びPSKをそれぞれ同じ順序で含むことができる。
【0028】
ステップS313で、PSKベース認証実行システムは、結合ユーザIDおよび結合PSKを含む結合クレデンシャルを生成する。
この場合、結合クレデンシャル(cC)は、下記の数式4のように表現することができる。
【0029】
(数4)
cC={Uc、Kc}
【0030】
このように、結合クレデンシャル(cC)は、結合ユーザID(Uc)及び結合PSK(Kc)の2つの文字列を要素とする集合として表現することができる。
【0031】
ステップS320で、PSKベース認証実行システムは、認証サーバで結合クレデンシャルを用いて端末機の認証を実行する。
認証サーバは、結合クレデンシャルを用いてPSKベース認証を実行し、結合クレデンシャルの成功した認証は、暗黙的に複数のクレデンシャル(C1、C2、……、Cn)すべてを認証することになる。
【0032】
このように、複数の認証を単一処理で処理することで、サービスへのアクセスによる待機時間を1度の認証による待機時間だけに減らすことができる上に、新しい認証プロトコルを必要とせずに既存の認証プロトコルを用いた認証方法によって複数の認証に対する待機時間を1度の認証のための待機時間だけに減らすことができる。
【0033】
しかし、単一認証プロセスにおいて、キーのすべてにアクセスしないことが生じる場合もある。例えば、署名キーと装置キーが互いに異なるハードウェア装置に保存されているとする。このような場合には、繰り返し実行される認証方法によるキーに対するハッシュの実行が要求されるようになる。この方法は、依然としてすべてのPSKの所有の証拠を生み出すものであるが、セキュリティドメイン全般に渡ってPSKを共有する必要はないことが確信される。
【0034】
上述の方法については、図4及び図5を参照しながら、さらに詳しく説明する。
図4は、本発明の第2の実施形態において、端末機でPSKベース認証を実行する方法を示したフローチャートである。
【0035】
ステップS410で、端末機は、認証サーバから予め設定されたチャレンジコードの入力を受ける。
ステップS420で、端末機は、チャレンジコード及びN個のPSKに基づいて応答コードを生成する。
【0036】
ステップS421で、端末機は、チャレンジコード及び第1ユーザIDの第1PSKを所定の変換方法によって変換して第1応答結果を生成する。このとき、変換方法は、予め設定されたハッシュ関数(hash function)を含むことができる。
チャレンジコード(ch)と第1PSK(K1)を用いて第1応答結果(R1)を生成する工程は、下記の数式5のように表現することができる。
【0037】
(数5)
R1=hash(ch、K1)
【0038】
ステップS422で、端末機は、第(n−1)応答結果および第nユーザIDの第nPSKを変換方法によって変換して第n応答結果を生成する。
第n応答結果(Rn)は、下記の数式6のように表現することができる。
【0039】
(数6)
Rn=hash(Rn−1、Kn)
【0040】
ステップS423で、端末機は、nがNと同じである場合にはステップS424実行し、nとNが相違する場合にはステップS422を実行する。この場合、nは、2からNまでの数値を含む。ステップS423は、nが含む数値それぞれに対してステップS422を繰り返し実行するための段階であることを意味する。
【0041】
ステップS424で、端末機は、nがNと同じである第n応答結果を応答コードとして生成する。
すなわち、n=Nは、すべてのユーザIDに対するPSKに対してハッシュ関数を適用することを意味している。これは、結果的には、最終応答結果を応答コードとして生成することを意味している。
ステップS430で、端末機は、応答コードを認証サーバに送信する。
【0042】
図5は、本発明の第3の実施形態において、認証サーバでPSKベース認証を実行する方法を説明するためのフローチャートである。
ステップS501で、認証サーバは、端末機に予め設定されたチャレンジコードを送信する。
ステップS502で、認証サーバは、チャレンジコード及びN個のPSKに基づいて第1応答コードを生成する。
【0043】
このとき、ステップS502は、図4のステップS421〜ステップS424で説明したように、チャレンジコード及び第1ユーザIDの第1PSKを所定の変換方法をによって変換して第1応答結果を生成する段階と、第(n−1)応答結果及び第nユーザIDの第nPSKを変換方法によって変換して第n応答結果を生成する段階と、nがNと同じである場合の第n応答結果を第1応答コードとして生成する段階とを含むことができ、nの数値が2からNまでの数値それぞれに対して第(n−1)応答結果及び第nユーザIDの第nPSKを変換方法によって変換して第n応答結果を生成する段階を繰り返し実行する段階をさらに含むことができる。
これに加え、変換方法は、予め設定されたハッシュ関数を含むことができる。
【0044】
ステップS503で、認証サーバは、端末機から第2応答コードの入力を受ける。
ステップS504で、認証サーバは、第2応答コードおよび第1応答コードを比較し、互いに同一である場合にはステップS505を実行し、互いに相違する場合には終了する。
【0045】
ステップS505で、認証サーバは、第2応答コードおよび第1応答コードが同一である場合に端末機を認証する。
すなわち、認証サーバは、図4で説明した端末機が所有している複数のPSKと同じPSKを所有しているため、図4と同じ方法を用いて予め応答コードを生成し、端末機から送信された応答コードと互いに比較し、同じ場合にのみ端末機を認証するようになる。
【0046】
図6は、本発明の第2の実施形態及び第3の実施形態において、PSKベース認証を実行する端末機及び認証サーバのPSKベース認証方法を説明するためのフローチャートである。
ステップ603において、端末機601は、認証サーバ602から送信されたチャレンジコードを受信し、ステップ605において、端末機601が所有しているPSKとチャレンジコードを用いて応答コードを生成する。また、その前に、ステップ604において、認証サーバ602では、認証サーバ602でも所有している同じPSKを用いて第1応答コードを生成する。
【0047】
ステップ606において、端末機601は、応答コードを認証サーバ602に送信し、ステップ607において、認証サーバ602は、送信された応答コードと生成した第1応答コードとを比較し、ステップ608において、互いに同じである場合にはステップ603において、端末機601を認証する。
この場合、認証方法がKDK(Key−Derivation Key)を必要とする場合に、KDKは、下記の数式7のように計算することができる。
【0048】
(数7)
KDKc=KDF(KDK1、KDK2|KDKD3|……KDKn)
【0049】
このとき、適切なKDF(Key Derivation Function)の選択が必要となるが、例えば、KDFは、下記の数式8のように表現することができる。
【0050】
(数8)
M_AES−CTR(K1、K2|K3|……Kn|“Combined KDK”、ctr_iv=1)
【0051】
このKDFは、セキュアキー又はパスワードをより一層堅固にするためにデザインされた暗号ハッシュ関数である。
【0052】
図7は、本発明の第4の実施形態において、単一処理で複数のPSKベース認証を実行するシステムの内部構成を説明するためのブロック図である。図7に示すように、PSKベース認証実行システム700は、生成部710及び認証部720を含むことができる。
【0053】
生成部710は、認証を要請する端末機を、認証部720は、端末機を認証するための認証サーバを意味することができる。なお、ここでは、認証のためのデータを入出力するための装置に対する図示および説明は省略する。
【0054】
生成部710は、端末機においてユーザID及びPSKを含む複数のクレデンシャルを用いて結合クレデンシャルを生成する。この場合、生成部710は、結合ユーザID生成部711、結合PSK生成部712、及び結合クレデンシャル生成部713を含むことができる。
【0055】
結合ユーザID生成部711は、ユーザIDを連続して結合して結合ユーザIDを生成し、結合PSK生成部712は、PSKを連続して結合して結合PSKを生成する。このとき、結合PSK生成部712は、認証サーバの認証プロセスがPSKのすべてにアクセスする場合に実行されることができる。
【0056】
結合クレデンシャル生成部713は、結合ユーザID及び結合PSKを含む結合クレデンシャルを生成する。結合クレデンシャルを用いて複数のユーザIDを認証することにより、1度の待機時間だけで複数のクレデンシャルを認証することが可能となる。
認証部720は、認証サーバで結合クレデンシャルを用いて端末機の認証を実行する。
【0057】
このように、PSKベース認証実行システムを用いて複数の認証を単一処理で処理することで、サービスへのアクセスによる待機時間を1度の認証による待機時間だけに減らすことができる上に、新しい認証プロトコルを必要とせずに既存の認証プロトコルを用いた認証方法によって複数の認証に対する待機時間を1度の認証による待機時間だけに減らすことができる。
【0058】
例えば、このようなPSKベース認証システムにおける装置認証および署名認証は、WiMAX(World Interoperability for Microwave Access)ネットワークでは共通した場所に存在するものとして期待されている。WiMAXとは、インテル社が携帯インターネットの技術標準を目標として開発中である技術方式である。建物の外でインターネット使用半径を大幅に広げられるように、既存の無線RAN(802.11a/b/g)技術を補完するものであるが、移動中に基地局と基地局との間ハンドオフを保障することができないという短所を抱えている。
【0059】
このようなWiMAXの初期規定によれば、WiMAXの端末機は、装置認証及び署名認証すべてを同じ認証サーバで認証することが要求される。
このようなWiMAXに本発明を適用すれば、WiMAXネットワークへのログイン待機時間を半分に減らすことができるようになる。
【0060】
さらに、これを用いてモバイル端末機のハンドオーバを均等にすることができる。ハンドオーバは、通話中の状態であるモバイル端末機が該当する基地局サービス地域から外れて隣接する基地局サービス地域に移動するときに、モバイル端末機が隣接する基地局の新しい通過チャンネルに自動同調されることで、持続して通話状態を維持することができる機能を意味する。
【0061】
このとき、通話チャンネルが自動的に変わる間の通話断絶時間は、約15ms以下である。このような短い時間に、基地局と端末機との間でデジタルメッセージ交信が実行されることで、通話中の加入者は瞬間的な通過途絶状態を殆ど感知することがない。
しかし、待機時間が長くなれば通話断絶時間が長くなる恐れがあるため、加入者は大きい不便を感じるようになる。
上述のように、本発明の実施形態に従えば、待機時間を減らすことで、上述した問題点を解決することができる。
【0062】
図8は、本発明の第5の実施形態において、PSKベース認証を実行する端末機の内部構成を説明するためのブロック図である。図8に示すように、端末機800は、チャレンジコード入力部810、生成部820、および応答コード送信部830を含むことができる。
【0063】
入力部810は、認証サーバから予め設定されたチャレンジコードの入力を受ける。チャレンジコードの値は、認証サーバに応じて予め設定されることができる。
生成部820は、チャレンジコード及びN個のPSKに基づいて応答コードを生成する。このとき、生成部820は、第1応答結果生成部821、第n応答結果生成部822、応答コード生成部823、及び反復部824を含むことができる。
【0064】
第1応答結果生成部821は、チャレンジコード及び第1ユーザIDの第1PSKを所定の変換方法によって変換して第1応答結果を生成する。
第n応答結果生成部822は、第(n−1)応答結果及び第nユーザIDの第nPSKを変換方法によって変換して第n応答結果を生成する。
応答コード生成部823は、nがNと同じである場合、第n応答結果を応答コードとして生成する。
【0065】
応答コードを生成する方法は、図4を用いて説明した応答コードを生成する方法と同じ方法によって実行することができる。
反復部824は、nが含む数値それぞれに対して第(n−1)応答結果及び第nユーザIDの第nPSKを変換方法によって変換して第n応答結果を生成する工程を繰り返し実行させる。
応答コード送信部830は、応答コードを認証サーバに送信する。
【0066】
上述のように、図2〜図8を参照しながら説明したように、ユーザIDを認証するための認証方法は、別途の認証サーバによって実行されることもできる。例えば、複数のクレデンシャルが同じモバイル端末機に含まれていても、それぞれが互いに異なる別途のAAA(Authorization、Authentication and Accounting)サーバによって認証される場合もある。このような場合には、新しい認証プロトコル(例えば、新しいEAP(Extensible Authentication Protocal)方法)およびAAAバックエンドプロトコル(例えば、RADIUS(Remote Authentication Dial−In User Service))の拡張によって解決することができる。
【0067】
なお、本発明に係る実施形態は、コンピュータにより具現される多様な動作を実行するためのプログラム命令を含むコンピュータ読取可能な記録媒体を含む。
当該記録媒体は、プログラム命令、データファイル、データ構造などを単独又は組み合わせて含むこともでき、記録媒体及びプログラム命令は、本発明の目的のために特別に設計されて構成されたものでもよく、コンピュータソフトウェア分野の技術を有する当業者にとって公知であり使用可能なものであってもよい。
【0068】
コンピュータ読取可能な記録媒体の例としては、ハードディスク、フロッピー(登録商標)ディスク及び磁気テープのような磁気媒体、CD−ROM、DVDのような光記録媒体、オプティカルディスクのような磁気−光媒体、及びROM、RAM、フラッシュメモリなどのようなプログラム命令を保存して実行するように特別に構成されたハードウェア装置が含まれる。
また、記録媒体は、プログラム命令、データ構造などを保存する信号を送信する搬送波を含む光または金属線、導波管などの送信媒体でもある。プログラム命令の例としては、コンパイラによって生成されるもののような機械語コードだけでなく、インタプリタなどを用いてコンピュータによって実行される高級言語コードを含む。前記したハードウェア要素は、本発明の動作を実行するために一以上のソフトウェアモジュールとして作動するように構成することができ、その逆もできる。
【0069】
上述したように、本発明の好ましい実施形態を参照して説明したが、該当の技術分野において熟練した当業者にとっては、特許請求の範囲に記載された本発明の思想および領域から逸脱しない範囲内で、本発明を多様に修正および変更させることができることを理解することができるであろう。すなわち、本発明の技術的範囲は、特許請求の範囲に基づいて定められ、発明を実施するための最良の形態により制限されるものではない。
【符号の説明】
【0070】
201、601、800 端末機
202、602 認証サーバ
700 PSKベース認証実行システム
【技術分野】
【0001】
本発明は、単一処理で複数のPSK(Pre−Shared Key)ベース認証を実行する方法及びこの方法を実行するシステムに関し、より詳細には、端末機でユーザID及びPSKを結合し、認証サーバで結合されたユーザID及びPSKを用いて端末機の認証を実行する方法及びこの方法を実行するシステムに関する。
【背景技術】
【0002】
認証システム(authentication system)とは、通信網を経由してコンピュータにアクセスするユーザが登録されているユーザであるか、あるいは正当な許可を受けているユーザであるかを、信頼できる方法で確認するシステムを意味する。
この認証システムは、開放型ネットワークにおいて特に重要であり、この場合、鍵となる部分は認証サーバに適用されているソフトウェアであって、ここでユーザの名前やパスワードなどを一括管理している。
【0003】
認証サーバは、サービスを提供するプログラムに対して暗号化された認証用プロトコルを用いることで、ユーザが許可を受けた本人であるか否かを確認する。このような認証システム製品の例としては、米国のゼロックス社のプロトコルシステムであるゼロックス網体系(Xerox Network System:XNS)の認証サービスがある。既存のUnix(登録商標)にはこのようなシステムがなかったが、米国マサチューセッツ工科大学(MIT)のアテナ・プロジェクトによって開発されたケルベロス(Kerberos)が登場した。
【0004】
このような認証システムの認証プロセスは、実行中ごとに若干の待機時間を招く。例えば、簡単な暗証番号を暗号化して送信するCHAP(challenge handshake authentication protocol)は、モバイル装置とホームドメインとの間に1度の往復遅延が要求され、これによって1度の認証ごとの1度の往復遅延による待機時間が発生するようになる。
【0005】
図1は、従来技術において、2度の認証による待機時間を説明するための図である。
特に、図1においては、図に示すように、2度の認証を行うモバイル装置101と認証サーバ102との間の認証要請と認証の工程、及びこれによって発生する待機時間を示している。
ステップ103にてモバイル装置101から認証サーバ102に第1認証を要請すれば、ステップ104にてこれに対する認証が実行されるまで、ステップ105の第1待機時間が発生する。ステップ104の認証が実行された後に、モバイル装置101は、ステップ106にて2度目の認証のために認証サーバ102に第2認証を要請し、ステップ107のこれに対する認証が実行されるまでステップ108の第2待機時間が発生する。
【0006】
このように、モバイル装置が2度以上の認証を必要とすれば(例えば、分離している装置の認証および署名認証)、ネットワークへのログインは2倍の待機時間を要求するようになる。このようにもたらされた待機時間は、無線端末機のシームレスハンドオーバの達成に大きな問題を与えるようになる。
すなわち、従来技術の認証方法では、無線端末機が所望するサービスに接続する前に送信が要求される複数の独立した認証に対し、1つの認証による待機時間に認証数を掛けた待機時間をこうむるようになり、基地局間を通信する場合には、ハンドオーバが均等に発生し難くなり、従って少なくとも待機時間を減少させる単一処理で認証を実行する改良された装置及び方法が必要となっているという問題点がある。
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は、上記のような問題点を解決するために案出されたものであって、本発明の好適な実施形態の態様は、単一処理で複数のPSKベース認証を実行する方法及びこの方法を実行するシステムを提供することを目的とする。
また、本発明の好適な実施形態の態様は、複数の認証を単一処理で処理することで、サービスにアクセスするための待機時間を1度の認証による待機時間だけに減らすことのできるPSKベース認証方法を提供することを目的とする。
また、本発明の好適な実施形態の態様は、新たな認証プロトコルを使用せずに既存の認証プロトコルを用いた認証方法によって待機時間を減らすことのできるPSKベース認証方法を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するためになされた本発明の好適な一実施形態の態様に係る単一処理でPSKベース認証実行方法は、端末機においてユーザID及び前記PSKを含む複数のクレデンシャルを用いて結合クレデンシャルを生成する段階と、認証サーバにおいて前記結合クレデンシャルを用いて前記端末機の認証を実行する段階とを含む。
【0009】
また、本発明の好適な実施形態の他の態様に係る、結合クレデンシャルを生成する段階は、前記ユーザIDを連続して結合して結合ユーザIDを生成する段階と、前記PSKを連続して結合して結合PSKを生成する段階と、前記結合ユーザID及び前記結合PSKを含む前記結合クレデンシャルを生成する段階とを含むことが好ましい。
また、本発明の好適な実施形態の他の態様に係る、前記結合ユーザID及び前記結合PSKは、1つの前記クレデンシャルに含まれた前記ユーザID及び前記PSKをそれぞれ同じ順序で含むことが好ましい。
さらに、本発明の好適な実施形態の他の態様に係る、前記PSKを連続して結合して結合PSKを生成する前記段階は、前記認証サーバの認証プロセスが前記PSKすべてにアクセスする場合に実行されることが好ましい。
【0010】
本発明の他の好適な実施形態の態様に係る、端末機でPSKベース認証を実行する方法は、認証サーバから予め設定されたチャレンジコードの入力を受ける段階と、前記チャレンジコード及びN個のPSKに基づいて応答コードを生成する段階と、前記応答コードを前記認証サーバに送信する段階とを含む。
【0011】
本発明のさらに他の好適な実施形態の態様に係る、認証サーバでPSKベース認証を実行する方法は、端末機に予め設定されたチャレンジコードを送信する段階と、前記チャレンジコード及びN個のPSKに基づいて第1応答コードを生成する段階と、前記端末機から送信された第2応答コードと前記第1応答コードとを比較する段階と、前記第2応答コードと前記第1応答コードとが同じである場合に前記端末機を認証する段階とを含む。
【発明の効果】
【0012】
本発明によれば、複数の認証を単一処理で処理することで、サービスへの接近による待機時間を1度の認証による待機時間だけに減らすことができる。
本発明によれば、待機時間を新しい認証プロトコルを使用せずに既存の認証プロトコルを用いた認証方法によって減らすことができる。
【図面の簡単な説明】
【0013】
【図1】従来技術において、2度の認証による待機時間を説明するための図である。
【図2】本発明の実施形態において、複数の認証による待機時間を説明するための図である。
【図3】本発明の第1の実施形態において、単一処理で複数のPSKベース認証を実行する方法を説明するためのフローチャートである。
【図4】本発明の第2の実施形態において、端末機でPSKベース認証を実行する方法を説明するためのフローチャートである。
【図5】本発明の第3の実施形態において、認証サーバでPSKベース認証を実行する方法を説明するためのフローチャートである。
【図6】本発明の第2の実施形態及び第3の実施形態において、PSKベース認証を実行する端末機及び認証サーバのPSKベース認証方法を説明するためのフローチャートである。
【図7】本発明の第4の実施形態において、単一処理で複数のPSKベース認証を実行するシステムの内部構成を説明するためのブロック図である。
【図8】本発明の第5の実施形態において、PSKベース認証を実行する端末機の内部構成を説明するためのブロック図である。
【発明を実施するための形態】
【0014】
まず、本明細書において、「端末機」とは、PDC(Personal Digital Cellular)フォン、PCS(Personal Communication Service)フォン、PHS(Personal Handyphone System)フォン、CDMA−2000(1X、3X)フォン、WCDMA(Wideband CDMA)フォン、デュアルバンド/デュアルモードフォン、GSM(Global Standard for Mobile)フォン、MBS(Mobile Broadband System)フォン、DMB(Digital Multimedia Broadcasting)フォン、スマートフォン、携帯電話などの通信機能が含まれた携帯用機器、PDA(Personal Digital Assistant)、ハンドヘルドPC、ノート型パソコン、ラップトップコンピュータ、WiBro端末機、MP3プレーヤ、MDプレーヤなどの携帯端末機、さらに国際ローミングサービスと拡張した移動通信サービスを提供するIMT−2000(International Mobile Telecommunication−2000)端末機などを含むすべての種類のハンドヘルドベースの無線通信装置を意味する携帯用電気電子装置であって、CDMA(Code Division Multiplexing Access)モジュール、ブルートゥースモジュール、IrDA(Infrared Data Association)、有無線LANカード、及びGPS(Global Positioning System)を介した位置追跡が可能となるようにGPSチップが搭載された無線通信装置などの所定の通信モジュールを具備することができ、マルチメディア再生機能を実行することができるマイクロプロセッサを搭載することで、一定した演算動作を実行することができる端末機を通称する概念として解釈されることができる。
また、ここで、「端末機を認証する」または「端末機の認証を実行する」という用語の意味は、上述したような端末機を用いて認証しようとする複数のユーザIDを認証するという意味と同じである。
【0015】
以下、添付の図面を参照しながら、本発明に係る多様な実施形態について詳しく説明する。
図2は、本発明の実施形態において、複数の認証による待機時間を説明するための図である。図2に示すように、図2は、モバイル装置201から認証サーバ202に認証要請と認証の工程、およびこれによって発生する待機時間を示している。
【0016】
ステップ203において、モバイル装置201は、複数の認証のために、認証に必要なユーザID及びPSKをそれぞれ結合し、結合ユーザID及び結合PSKを生成して送信することで結合認証を要請する。すなわち、複数の認証に対する要請を1度の要請で解決するのである。
ステップ204において、これに対し、認証サーバ202は、複数の認証に対する要請に対して1度の手順でモバイル装置201を認証することで、ステップ205において、図2に示すように、1度の認証に対する待機時間のみが発生するようになる。
【0017】
上述したようなユーザID及びPSKを結合する方法については、以下の図面を用いてさらに詳しく説明する。
図3は、本発明の第1の実施形態において、単一処理で複数のPSKベース認証を実行する方法を説明するためのフローチャートである。
【0018】
ステップS310で、PSKベース認証実行システムは、端末機でユーザID及びPSKを含む複数のクレデンシャルを用いて結合クレデンシャルを生成する。
PSK(またはshared secret)とは、他のクレデンシャル(例えば、ユーザ名及びパスワード)よりも先に獲得されるVPN(Virtual Private network)サービスの文字列である。ウィンドウズ(登録商標)XPでは、認証のためのPSK(pre−shared key for authentication)と呼ばれているが、大部分の運営体制では、共有秘密キー(shared secret)として知られている。
【0019】
VPNサーバへの接続が成されるとき、VPNサーバは、正確な文字列が与えられるまで認証プロセスを承諾しない。もし、VPNサーバがPSKを受けることができなければ、ユーザ名及びパスワードは送信されずに接続が終了するようになる。このような意味において、PSKは多くのユーザにはあまりよく知られていないが、狭い意味でのパスワードの形式であると言える。
このようなPSKベース認証実行システムは、ユーザID(U)およびPSK(K)を含む複数のクレデンシャル(C)を、下記の数式1のように構成することができる。
【0020】
(数1)
C1={U1、K1}、C2={U2、K2}、……、Cn={Un、Kn}
【0021】
数式1のように構成された複数のクレデンシャルを用いて結合クレデンシャルを生成する方法については、ステップS311〜ステップS313を参照して詳しく説明する。
【0022】
ステップS311で、PSKベース認証実行システムは、ユーザIDを連続して結合して結合ユーザIDを生成する。このとき、結合ユーザIDは、「|」、「/」、または「,」などの区分記号を含む区分子によってユーザIDを区分することができる。
この場合、結合ユーザID(Uc)は、下記の数式2のように表現することができる。
【0023】
(数2)
Uc=U1|”,”|U2|”,”|……|Un
【0024】
このように、結合ユーザIDは、ユーザIDを連続した文字列で並べて区分子によって区分し、1つの文字列として生成することができる。例えば、joe.smith@ISP1.com,00:0D:56:DD:C4:49のように、2つのユーザIDを「,」を区分子として1つの文字列で生成することができる。
【0025】
ステップS312で、PSKベース認証実行システムは、PSKを連続して結合して結合PSKを生成する。このようなステップS312は、認証サーバの認証プロセスがPSKすべてにアクセスする場合に実行されることが好ましい。
この場合、結合PSK(Kc)は、下記の数式3のように表現することができる。
【0026】
(数3)
Kc=K1|K2|……|Kn
【0027】
このように、結合PSKは、ステップS310で説明したように、1つの文字列を成しているPSKを連結し、1つの大きい文字列として生成することができる。
この場合、ステップS311及びステップS312で、結合ユーザID及び結合PSKは、1つのクレデンシャルに含まれたユーザID及びPSKをそれぞれ同じ順序で含むことができる。
【0028】
ステップS313で、PSKベース認証実行システムは、結合ユーザIDおよび結合PSKを含む結合クレデンシャルを生成する。
この場合、結合クレデンシャル(cC)は、下記の数式4のように表現することができる。
【0029】
(数4)
cC={Uc、Kc}
【0030】
このように、結合クレデンシャル(cC)は、結合ユーザID(Uc)及び結合PSK(Kc)の2つの文字列を要素とする集合として表現することができる。
【0031】
ステップS320で、PSKベース認証実行システムは、認証サーバで結合クレデンシャルを用いて端末機の認証を実行する。
認証サーバは、結合クレデンシャルを用いてPSKベース認証を実行し、結合クレデンシャルの成功した認証は、暗黙的に複数のクレデンシャル(C1、C2、……、Cn)すべてを認証することになる。
【0032】
このように、複数の認証を単一処理で処理することで、サービスへのアクセスによる待機時間を1度の認証による待機時間だけに減らすことができる上に、新しい認証プロトコルを必要とせずに既存の認証プロトコルを用いた認証方法によって複数の認証に対する待機時間を1度の認証のための待機時間だけに減らすことができる。
【0033】
しかし、単一認証プロセスにおいて、キーのすべてにアクセスしないことが生じる場合もある。例えば、署名キーと装置キーが互いに異なるハードウェア装置に保存されているとする。このような場合には、繰り返し実行される認証方法によるキーに対するハッシュの実行が要求されるようになる。この方法は、依然としてすべてのPSKの所有の証拠を生み出すものであるが、セキュリティドメイン全般に渡ってPSKを共有する必要はないことが確信される。
【0034】
上述の方法については、図4及び図5を参照しながら、さらに詳しく説明する。
図4は、本発明の第2の実施形態において、端末機でPSKベース認証を実行する方法を示したフローチャートである。
【0035】
ステップS410で、端末機は、認証サーバから予め設定されたチャレンジコードの入力を受ける。
ステップS420で、端末機は、チャレンジコード及びN個のPSKに基づいて応答コードを生成する。
【0036】
ステップS421で、端末機は、チャレンジコード及び第1ユーザIDの第1PSKを所定の変換方法によって変換して第1応答結果を生成する。このとき、変換方法は、予め設定されたハッシュ関数(hash function)を含むことができる。
チャレンジコード(ch)と第1PSK(K1)を用いて第1応答結果(R1)を生成する工程は、下記の数式5のように表現することができる。
【0037】
(数5)
R1=hash(ch、K1)
【0038】
ステップS422で、端末機は、第(n−1)応答結果および第nユーザIDの第nPSKを変換方法によって変換して第n応答結果を生成する。
第n応答結果(Rn)は、下記の数式6のように表現することができる。
【0039】
(数6)
Rn=hash(Rn−1、Kn)
【0040】
ステップS423で、端末機は、nがNと同じである場合にはステップS424実行し、nとNが相違する場合にはステップS422を実行する。この場合、nは、2からNまでの数値を含む。ステップS423は、nが含む数値それぞれに対してステップS422を繰り返し実行するための段階であることを意味する。
【0041】
ステップS424で、端末機は、nがNと同じである第n応答結果を応答コードとして生成する。
すなわち、n=Nは、すべてのユーザIDに対するPSKに対してハッシュ関数を適用することを意味している。これは、結果的には、最終応答結果を応答コードとして生成することを意味している。
ステップS430で、端末機は、応答コードを認証サーバに送信する。
【0042】
図5は、本発明の第3の実施形態において、認証サーバでPSKベース認証を実行する方法を説明するためのフローチャートである。
ステップS501で、認証サーバは、端末機に予め設定されたチャレンジコードを送信する。
ステップS502で、認証サーバは、チャレンジコード及びN個のPSKに基づいて第1応答コードを生成する。
【0043】
このとき、ステップS502は、図4のステップS421〜ステップS424で説明したように、チャレンジコード及び第1ユーザIDの第1PSKを所定の変換方法をによって変換して第1応答結果を生成する段階と、第(n−1)応答結果及び第nユーザIDの第nPSKを変換方法によって変換して第n応答結果を生成する段階と、nがNと同じである場合の第n応答結果を第1応答コードとして生成する段階とを含むことができ、nの数値が2からNまでの数値それぞれに対して第(n−1)応答結果及び第nユーザIDの第nPSKを変換方法によって変換して第n応答結果を生成する段階を繰り返し実行する段階をさらに含むことができる。
これに加え、変換方法は、予め設定されたハッシュ関数を含むことができる。
【0044】
ステップS503で、認証サーバは、端末機から第2応答コードの入力を受ける。
ステップS504で、認証サーバは、第2応答コードおよび第1応答コードを比較し、互いに同一である場合にはステップS505を実行し、互いに相違する場合には終了する。
【0045】
ステップS505で、認証サーバは、第2応答コードおよび第1応答コードが同一である場合に端末機を認証する。
すなわち、認証サーバは、図4で説明した端末機が所有している複数のPSKと同じPSKを所有しているため、図4と同じ方法を用いて予め応答コードを生成し、端末機から送信された応答コードと互いに比較し、同じ場合にのみ端末機を認証するようになる。
【0046】
図6は、本発明の第2の実施形態及び第3の実施形態において、PSKベース認証を実行する端末機及び認証サーバのPSKベース認証方法を説明するためのフローチャートである。
ステップ603において、端末機601は、認証サーバ602から送信されたチャレンジコードを受信し、ステップ605において、端末機601が所有しているPSKとチャレンジコードを用いて応答コードを生成する。また、その前に、ステップ604において、認証サーバ602では、認証サーバ602でも所有している同じPSKを用いて第1応答コードを生成する。
【0047】
ステップ606において、端末機601は、応答コードを認証サーバ602に送信し、ステップ607において、認証サーバ602は、送信された応答コードと生成した第1応答コードとを比較し、ステップ608において、互いに同じである場合にはステップ603において、端末機601を認証する。
この場合、認証方法がKDK(Key−Derivation Key)を必要とする場合に、KDKは、下記の数式7のように計算することができる。
【0048】
(数7)
KDKc=KDF(KDK1、KDK2|KDKD3|……KDKn)
【0049】
このとき、適切なKDF(Key Derivation Function)の選択が必要となるが、例えば、KDFは、下記の数式8のように表現することができる。
【0050】
(数8)
M_AES−CTR(K1、K2|K3|……Kn|“Combined KDK”、ctr_iv=1)
【0051】
このKDFは、セキュアキー又はパスワードをより一層堅固にするためにデザインされた暗号ハッシュ関数である。
【0052】
図7は、本発明の第4の実施形態において、単一処理で複数のPSKベース認証を実行するシステムの内部構成を説明するためのブロック図である。図7に示すように、PSKベース認証実行システム700は、生成部710及び認証部720を含むことができる。
【0053】
生成部710は、認証を要請する端末機を、認証部720は、端末機を認証するための認証サーバを意味することができる。なお、ここでは、認証のためのデータを入出力するための装置に対する図示および説明は省略する。
【0054】
生成部710は、端末機においてユーザID及びPSKを含む複数のクレデンシャルを用いて結合クレデンシャルを生成する。この場合、生成部710は、結合ユーザID生成部711、結合PSK生成部712、及び結合クレデンシャル生成部713を含むことができる。
【0055】
結合ユーザID生成部711は、ユーザIDを連続して結合して結合ユーザIDを生成し、結合PSK生成部712は、PSKを連続して結合して結合PSKを生成する。このとき、結合PSK生成部712は、認証サーバの認証プロセスがPSKのすべてにアクセスする場合に実行されることができる。
【0056】
結合クレデンシャル生成部713は、結合ユーザID及び結合PSKを含む結合クレデンシャルを生成する。結合クレデンシャルを用いて複数のユーザIDを認証することにより、1度の待機時間だけで複数のクレデンシャルを認証することが可能となる。
認証部720は、認証サーバで結合クレデンシャルを用いて端末機の認証を実行する。
【0057】
このように、PSKベース認証実行システムを用いて複数の認証を単一処理で処理することで、サービスへのアクセスによる待機時間を1度の認証による待機時間だけに減らすことができる上に、新しい認証プロトコルを必要とせずに既存の認証プロトコルを用いた認証方法によって複数の認証に対する待機時間を1度の認証による待機時間だけに減らすことができる。
【0058】
例えば、このようなPSKベース認証システムにおける装置認証および署名認証は、WiMAX(World Interoperability for Microwave Access)ネットワークでは共通した場所に存在するものとして期待されている。WiMAXとは、インテル社が携帯インターネットの技術標準を目標として開発中である技術方式である。建物の外でインターネット使用半径を大幅に広げられるように、既存の無線RAN(802.11a/b/g)技術を補完するものであるが、移動中に基地局と基地局との間ハンドオフを保障することができないという短所を抱えている。
【0059】
このようなWiMAXの初期規定によれば、WiMAXの端末機は、装置認証及び署名認証すべてを同じ認証サーバで認証することが要求される。
このようなWiMAXに本発明を適用すれば、WiMAXネットワークへのログイン待機時間を半分に減らすことができるようになる。
【0060】
さらに、これを用いてモバイル端末機のハンドオーバを均等にすることができる。ハンドオーバは、通話中の状態であるモバイル端末機が該当する基地局サービス地域から外れて隣接する基地局サービス地域に移動するときに、モバイル端末機が隣接する基地局の新しい通過チャンネルに自動同調されることで、持続して通話状態を維持することができる機能を意味する。
【0061】
このとき、通話チャンネルが自動的に変わる間の通話断絶時間は、約15ms以下である。このような短い時間に、基地局と端末機との間でデジタルメッセージ交信が実行されることで、通話中の加入者は瞬間的な通過途絶状態を殆ど感知することがない。
しかし、待機時間が長くなれば通話断絶時間が長くなる恐れがあるため、加入者は大きい不便を感じるようになる。
上述のように、本発明の実施形態に従えば、待機時間を減らすことで、上述した問題点を解決することができる。
【0062】
図8は、本発明の第5の実施形態において、PSKベース認証を実行する端末機の内部構成を説明するためのブロック図である。図8に示すように、端末機800は、チャレンジコード入力部810、生成部820、および応答コード送信部830を含むことができる。
【0063】
入力部810は、認証サーバから予め設定されたチャレンジコードの入力を受ける。チャレンジコードの値は、認証サーバに応じて予め設定されることができる。
生成部820は、チャレンジコード及びN個のPSKに基づいて応答コードを生成する。このとき、生成部820は、第1応答結果生成部821、第n応答結果生成部822、応答コード生成部823、及び反復部824を含むことができる。
【0064】
第1応答結果生成部821は、チャレンジコード及び第1ユーザIDの第1PSKを所定の変換方法によって変換して第1応答結果を生成する。
第n応答結果生成部822は、第(n−1)応答結果及び第nユーザIDの第nPSKを変換方法によって変換して第n応答結果を生成する。
応答コード生成部823は、nがNと同じである場合、第n応答結果を応答コードとして生成する。
【0065】
応答コードを生成する方法は、図4を用いて説明した応答コードを生成する方法と同じ方法によって実行することができる。
反復部824は、nが含む数値それぞれに対して第(n−1)応答結果及び第nユーザIDの第nPSKを変換方法によって変換して第n応答結果を生成する工程を繰り返し実行させる。
応答コード送信部830は、応答コードを認証サーバに送信する。
【0066】
上述のように、図2〜図8を参照しながら説明したように、ユーザIDを認証するための認証方法は、別途の認証サーバによって実行されることもできる。例えば、複数のクレデンシャルが同じモバイル端末機に含まれていても、それぞれが互いに異なる別途のAAA(Authorization、Authentication and Accounting)サーバによって認証される場合もある。このような場合には、新しい認証プロトコル(例えば、新しいEAP(Extensible Authentication Protocal)方法)およびAAAバックエンドプロトコル(例えば、RADIUS(Remote Authentication Dial−In User Service))の拡張によって解決することができる。
【0067】
なお、本発明に係る実施形態は、コンピュータにより具現される多様な動作を実行するためのプログラム命令を含むコンピュータ読取可能な記録媒体を含む。
当該記録媒体は、プログラム命令、データファイル、データ構造などを単独又は組み合わせて含むこともでき、記録媒体及びプログラム命令は、本発明の目的のために特別に設計されて構成されたものでもよく、コンピュータソフトウェア分野の技術を有する当業者にとって公知であり使用可能なものであってもよい。
【0068】
コンピュータ読取可能な記録媒体の例としては、ハードディスク、フロッピー(登録商標)ディスク及び磁気テープのような磁気媒体、CD−ROM、DVDのような光記録媒体、オプティカルディスクのような磁気−光媒体、及びROM、RAM、フラッシュメモリなどのようなプログラム命令を保存して実行するように特別に構成されたハードウェア装置が含まれる。
また、記録媒体は、プログラム命令、データ構造などを保存する信号を送信する搬送波を含む光または金属線、導波管などの送信媒体でもある。プログラム命令の例としては、コンパイラによって生成されるもののような機械語コードだけでなく、インタプリタなどを用いてコンピュータによって実行される高級言語コードを含む。前記したハードウェア要素は、本発明の動作を実行するために一以上のソフトウェアモジュールとして作動するように構成することができ、その逆もできる。
【0069】
上述したように、本発明の好ましい実施形態を参照して説明したが、該当の技術分野において熟練した当業者にとっては、特許請求の範囲に記載された本発明の思想および領域から逸脱しない範囲内で、本発明を多様に修正および変更させることができることを理解することができるであろう。すなわち、本発明の技術的範囲は、特許請求の範囲に基づいて定められ、発明を実施するための最良の形態により制限されるものではない。
【符号の説明】
【0070】
201、601、800 端末機
202、602 認証サーバ
700 PSKベース認証実行システム
【特許請求の範囲】
【請求項1】
複数のPSK(Pre−Shared Key)ベースの認証を実行する方法であって、
端末機においてユーザID及び前記PSKをそれぞれ含む複数のクレデンシャル(credential:信用証明物)の少なくとも2つを用いて結合クレデンシャルを生成する段階と、
認証サーバにおいて前記結合クレデンシャルを用いて前記端末機の認証を実行する段階とを有することを特徴とするPSKベース認証実行方法。
【請求項2】
結合クレデンシャルを生成する前記段階は、前記ユーザIDを結合して結合ユーザIDを生成する段階と、
前記PSKを結合して結合PSKを生成する段階と、
前記結合ユーザID及び前記結合PSKを含む前記結合クレデンシャルを生成する段階とを含むことを特徴とする請求項1に記載のPSKベース認証実行方法。
【請求項3】
前記結合ユーザID及び前記結合PSKは、1つの前記クレデンシャルに含まれた前記ユーザID及び前記PSKをそれぞれ同じ順序で含むことを特徴とする請求項2に記載のPSKベース認証実行方法。
【請求項4】
前記PSKを結合して結合PSKを生成する段階は、前記認証サーバの認証プロセスが前記PSKのすべてにアクセスされた場合に実行されることを特徴とする請求項2に記載のPSKベース認証実行方法。
【請求項5】
前記結合ユーザIDは、予め設定された区分子によって前記ユーザIDを区分することを特徴とし、
前記区分子は、「|」、「/」、および「,」のうちの少なくとも1つの区分記号を含むことを特徴とする請求項2に記載のPSKベース認証実行方法。
【請求項6】
複数のPSK(Pre−Shared Key)ベースの認証を実行する方法であって、
端末機においてユーザID及び前記PSKをそれぞれ含む複数のクレデンシャル(credential:信用証明物)の少なくとも2つを用いて結合クレデンシャルを生成する段階と、
認証サーバにおいて前記結合クレデンシャルを用いて前記端末機の認証を実行する段階とを有することを特徴とするPSKベース認証実行方法を実行させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体。
【請求項7】
複数のPSK(Pre−Shared Key)ベースの認証を実行するシステムであって、
端末機においてユーザID及び前記PSKをそれぞれ含む複数のクレデンシャルの少なくとも2つを用いて結合クレデンシャルを生成する生成部と、
認証サーバにおいて前記結合クレデンシャルを用いて前記端末機の認証を実行する認証部とを有することを特徴とするPSKベース認証実行システム。
【請求項8】
前記生成部は、前記ユーザIDを結合して結合ユーザIDを生成する結合ユーザID生成部と、
前記PSKを結合して結合PSKを生成する結合PSK生成部と、
前記結合ユーザID及び前記結合PSKを含む前記結合クレデンシャルを生成する結合クレデンシャル生成部とを含むことを特徴とする請求項7に記載のPSKベース認証実行システム。
【請求項9】
前記結合PSK生成部は、前記認証サーバの認証プロセスが前記PSKのすべてにアクセスされた場合に実行されることを特徴とする請求項8に記載のPSKベース認証実行システム。
【請求項10】
前記結合ユーザID及び前記結合PSKは、1つの前記クレデンシャルに含まれた前記ユーザID及び前記PSKをそれぞれ同じ順序で含むことを特徴とする請求項8に記載のPSKベース認証実行システム。
【請求項11】
前記ユーザIDを結合して結合ユーザIDを生成する段階は、前記ユーザIDを連続して結合する段階を含み、
前記PSKを結合して結合PSKを生成する前記段階は、前記PSKを連続して結合する段階を含むことを特徴とする請求項2に記載のPSKベース認証実行方法。
【請求項12】
前記結合ユーザID生成部は、前記ユーザIDを連続して結合して前記結合ユーザIDを生成するように設定され、
前記結合PSK生成部は、前記PSKを連続して結合して前記結合PSKを生成するように設定されていることを特徴とする請求項8に記載のPSKベース認証実行システム。
【請求項1】
複数のPSK(Pre−Shared Key)ベースの認証を実行する方法であって、
端末機においてユーザID及び前記PSKをそれぞれ含む複数のクレデンシャル(credential:信用証明物)の少なくとも2つを用いて結合クレデンシャルを生成する段階と、
認証サーバにおいて前記結合クレデンシャルを用いて前記端末機の認証を実行する段階とを有することを特徴とするPSKベース認証実行方法。
【請求項2】
結合クレデンシャルを生成する前記段階は、前記ユーザIDを結合して結合ユーザIDを生成する段階と、
前記PSKを結合して結合PSKを生成する段階と、
前記結合ユーザID及び前記結合PSKを含む前記結合クレデンシャルを生成する段階とを含むことを特徴とする請求項1に記載のPSKベース認証実行方法。
【請求項3】
前記結合ユーザID及び前記結合PSKは、1つの前記クレデンシャルに含まれた前記ユーザID及び前記PSKをそれぞれ同じ順序で含むことを特徴とする請求項2に記載のPSKベース認証実行方法。
【請求項4】
前記PSKを結合して結合PSKを生成する段階は、前記認証サーバの認証プロセスが前記PSKのすべてにアクセスされた場合に実行されることを特徴とする請求項2に記載のPSKベース認証実行方法。
【請求項5】
前記結合ユーザIDは、予め設定された区分子によって前記ユーザIDを区分することを特徴とし、
前記区分子は、「|」、「/」、および「,」のうちの少なくとも1つの区分記号を含むことを特徴とする請求項2に記載のPSKベース認証実行方法。
【請求項6】
複数のPSK(Pre−Shared Key)ベースの認証を実行する方法であって、
端末機においてユーザID及び前記PSKをそれぞれ含む複数のクレデンシャル(credential:信用証明物)の少なくとも2つを用いて結合クレデンシャルを生成する段階と、
認証サーバにおいて前記結合クレデンシャルを用いて前記端末機の認証を実行する段階とを有することを特徴とするPSKベース認証実行方法を実行させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体。
【請求項7】
複数のPSK(Pre−Shared Key)ベースの認証を実行するシステムであって、
端末機においてユーザID及び前記PSKをそれぞれ含む複数のクレデンシャルの少なくとも2つを用いて結合クレデンシャルを生成する生成部と、
認証サーバにおいて前記結合クレデンシャルを用いて前記端末機の認証を実行する認証部とを有することを特徴とするPSKベース認証実行システム。
【請求項8】
前記生成部は、前記ユーザIDを結合して結合ユーザIDを生成する結合ユーザID生成部と、
前記PSKを結合して結合PSKを生成する結合PSK生成部と、
前記結合ユーザID及び前記結合PSKを含む前記結合クレデンシャルを生成する結合クレデンシャル生成部とを含むことを特徴とする請求項7に記載のPSKベース認証実行システム。
【請求項9】
前記結合PSK生成部は、前記認証サーバの認証プロセスが前記PSKのすべてにアクセスされた場合に実行されることを特徴とする請求項8に記載のPSKベース認証実行システム。
【請求項10】
前記結合ユーザID及び前記結合PSKは、1つの前記クレデンシャルに含まれた前記ユーザID及び前記PSKをそれぞれ同じ順序で含むことを特徴とする請求項8に記載のPSKベース認証実行システム。
【請求項11】
前記ユーザIDを結合して結合ユーザIDを生成する段階は、前記ユーザIDを連続して結合する段階を含み、
前記PSKを結合して結合PSKを生成する前記段階は、前記PSKを連続して結合する段階を含むことを特徴とする請求項2に記載のPSKベース認証実行方法。
【請求項12】
前記結合ユーザID生成部は、前記ユーザIDを連続して結合して前記結合ユーザIDを生成するように設定され、
前記結合PSK生成部は、前記PSKを連続して結合して前記結合PSKを生成するように設定されていることを特徴とする請求項8に記載のPSKベース認証実行システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2011−238245(P2011−238245A)
【公開日】平成23年11月24日(2011.11.24)
【国際特許分類】
【出願番号】特願2011−123674(P2011−123674)
【出願日】平成23年6月1日(2011.6.1)
【分割の表示】特願2008−526868(P2008−526868)の分割
【原出願日】平成18年8月10日(2006.8.10)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(503447036)サムスン エレクトロニクス カンパニー リミテッド (2,221)
【Fターム(参考)】
【公開日】平成23年11月24日(2011.11.24)
【国際特許分類】
【出願日】平成23年6月1日(2011.6.1)
【分割の表示】特願2008−526868(P2008−526868)の分割
【原出願日】平成18年8月10日(2006.8.10)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(503447036)サムスン エレクトロニクス カンパニー リミテッド (2,221)
【Fターム(参考)】
[ Back to top ]