認証方法および認証フレームワーク
アドホックなネットワーク内の認証が、第1のデバイス(例えばサービス要求デバイス)と第2のデバイス(例えばサービス提供デバイス)の間で、第3のデバイス(ピアデバイス)を使用して確立される。前記第1のデバイスから前記第2のデバイスに認証要求が送信される。前記第2のデバイスが、少なくとも1台の第3のデバイス(すなわちピアデバイス)に問い合せメッセージを送信する。前記ピアデバイスが前記第1のデバイスによって以前に認証されている場合、前記ピアデバイスは、前記第1のデバイスと前記第2のデバイスとに認証資格証明(例えば認証キー)を送信する。前記第1のデバイスは、前記認証資格証明を受信すると、前記第2のデバイスに前記認証資格証明を送信する。次に、前記第2のデバイスは、前記第1のデバイスから受信した前記認証資格証明と、前記第3のデバイスから受信した前記認証資格証明とを比較して、前記認証資格証明同士が一致した場合に、前記第2のデバイスにより前記第1のデバイスを認証する。好ましくは、前記第3の(ピア)デバイスから前記第1のデバイスに送信される前記認証資格証明が暗号化される。
【代表図】図4
【代表図】図4
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証方法および認証フレームワークに関し、より詳細には、超広帯域通信ネットワークなどの無線通信ネットワークにおけるピアツーピアの分散認証フレームワークおよびそのための方法に関する。
【背景技術】
【0002】
超広帯域とは、極めて広い周波数範囲(3.1〜10.6GHz)にわたってデジタルデータを伝送する無線技術である。広い帯域幅に無線周波数エネルギーを拡散させると、送信信号が、従来の周波数選択無線周波数技術では事実上検出不可能となる。しかし、送信電力が低いため、通信距離が通常10〜15m未満に制限される。
【0003】
超広帯域(UWB)には、UWB特性によってパルス波形から信号を構成する時間領域のアプローチと、複数の(周波数)バンドにわたって従来のFFTをベースとした直交波周波数分割多重(OFDM)を使用し、MB−OFDMを与える周波数領域変調のアプローチの2つのアプローチがある。この2つのUWBのアプローチは、周波数スペクトル内に、極めて広い帯域幅にまたがるスペクトル成分を生じさせ(このため超広帯域と呼ばれている)、この帯域幅は、中心周波数の20パーセント超、通常は少なくとも500MHzを占める。
【0004】
このような超広帯域の特性と、極めて広い帯域幅とにより、UWBは、通信しているデバイス同士が10〜15mの範囲にあるホーム環境またはオフィス環境に高速無線通信を提供する理想的な技術となる。
【0005】
図1は、超広帯域通信のためのマルチバンド直交周波数分割多重(MB−OFDM)システムにおける周波数バンドの構成を示す。MB−OFDMシステムは、それぞれ528MHzの14のサブバンドを含み、アクセス方式として、各サブバンド間に312.5ナノ秒の周波数ホッピングを使用している。各サブバンド内では、データの伝送にOFDMおよびQPSKまたはDCM符号化が使用される。なお、5GHzを中心としたサブバンド(現在では5.1〜5.8GHz)は、例えば802.11aWLANシステム、保安機関の通信システムまたは航空産業などの既存の狭帯域システムとの干渉を避けるために使用されていない。
【0006】
14のサブバンドは、5つのバンドグループに編成されており、そのうち4つのバンドグループは528MHzのサブバンドを3つ有するが、1つのバンドグループは、528MHzのサブバンドを2つ有する。図1に示すように、第1のバンドグループは、サブバンド1、サブバンド2およびサブバンド3を有する。例として挙げるUWBシステムは、バンドグループのサブバンド間に周波数ホッピングを使用しており、第1の312.5ナノ秒の時間インターバルに、第1のデータシンボルがバンドグループの第1の周波数サブバンドで送信され、第2の312.5ナノ秒の時間インターバルに、第2のデータシンボルがバンドグループの第2の周波数サブバンドで送信され、第3の312.5ナノ秒の時間インターバルに、第3のデータシンボルがバンドグループの第3の周波数サブバンドで送信される。このため、各時間インターバルの間に、データシンボルが、帯域幅528MHzのそれぞれのサブバンド(例えば、中心周波数3960MHzの528MHzのベースバンド信号を含むサブバンド2)で送信される。
【0007】
各データシンボルが送信される3つの周波数のシーケンスは、時間周波数符号(TFC)チャネルを表す。第1のTFCチャネルは、シーケンス1、2、3、1、2、3と続き、1が第1のサブバンド、2が第2のサブバンド、3が第3のサブバンドである。第2および第3のTFCチャネルは、それぞれシーケンス1、3、2、1、3、2、および1、1、2、2、3、3と続きうる。ECMA−368規格によれば、最初の4つのバンドグループのそれぞれに7つのTFCチャネルが定義されており、5番目のバンドグループに2つのTFCチャネルが定義されている。
【0008】
超広帯域の技術的な性質は、データ通信の分野において各種用途に利用されつつあるということである。例えば、以下の環境において、ケーブルの代替として注目した、さまざまな用途が存在する。
−PCと、周辺機器、すなわち外部デバイス(ハードディスクドライブ、CDライタ、プリンタ、スキャナなど)との間の通信
−無線手段によって接続されたテレビとデバイス、無線スピーカなどのホームエンターテイメント
−例えば、携帯電話、PDAなどのハンドへルドデバイスおよびPC、デジタルカメラ、MP3プレーヤなどの間の通信
【0009】
UWBネットワークなどの無線ネットワークでは、1台以上のデバイスが、ビーコン期間中に定期的にビーコンフレームを送信する。ビーコンフレームの主な目的は、媒体にタイミング構造を提供すること、すなわち、時間を、いわゆるスーパーフレームに分割して、ネットワークのデバイスが、近くのデバイスと同期できるようにすることにある。
【0010】
図2に示すように、UWBシステムの基本的なタイミング構造は、スーパーフレームである。欧州電子計算機工業会(ECMA)(ECMA−368第2版)によるスーパーフレームは、それぞれが定義済みの期間(例えば256マイクロ秒)を有する256のメディアアクセススロット(MAS)からなる。各スーパーフレームは、1つのビーコン期間で開始し、1以上の隣接するMASの間続く。ビーコン期間を形成している各MASは、3つのビーコンスロットを含み、ビーコンスロットにおいてデバイスが自身の個々のビーコンフレームを送信する。ビーコン期間の先頭のMASの始点は、「ビーコン期間の始点(BPST)」と呼ばれている。特定のデバイスのビーコングループは、その特定のデバイスとビーコン期間の始点を共有(±1マイクロ秒)しており、その特定のデバイスの送信範囲に存在するデバイスのグループとして定義される。
【発明の概要】
【発明が解決しようとする課題】
【0011】
上で説明したUWBシステムなどの無線システムは、アドホックのピアツーピア構成で使用される場合が増えている。つまり、ネットワークが中心的な制御または組織を持たずに存在しており、各デバイスが、範囲内の全ての他のデバイスと通信する可能性があるということである。このアプローチには、自発性と柔軟な対話などのいくつかの利点もある。しかし、このような柔軟な構成は、解決の必要のあるほかの問題も引き起こす。
【0012】
例えば、監督する権限(authority)が存在しないため、ネットワーク内の個々のデバイスまたはユーザが、このような権限が担うべき役割を負わなければならない。多くのタスクでは、これは各デバイスが独立して行うことができるが、タスクのなかにはこれが機能できないものもある。従来の一元化された認証アーキテクチャは、アドホックなネットワークでは機能できない点に留意することが特に重要である。これは、中央のセキュリティサーバとして動作させるに足る信頼できるピアが存在しないためである。
【0013】
「認証」とは、デバイスまたはユーザの「識別情報」を検査して検証するプロセスでり、偽装攻撃に対抗するために必要とされる。図3は、複数の個々のデバイスまたはユーザ4(A〜Cで示す)を有するネットワーク2において認証を与えるための従来のアプローチを示す。この従来のアプローチに係る認証は、中央の認証サーバ「D」(例えばApacheなどのウェブサーバアプリケーションまたはUNIX上のログインサーバ)のメモリ5に識別情報(例えばユーザ名およびパスワード)のリストと、各識別情報の所有者が保持する資格証明(credential)とを記憶することによって実行される。次に、別のユーザ「B」に対して自身の識別情報を証明したいユーザ「A」が、認証サーバDに自身の資格証明を提供し、認証サーバDは、その資格証明の妥当性を「B」に通知する。このアプローチは、「A」と「B」の両方が「D」を信頼している場合(Dがネットワークのコントローラによって実行されている場合に多い)には、認証を与える非常に単純かつ有効な方法である。このようなシステムでは、サービス提供デバイスが、ユーザごとに認証を実行し、要求ごとに認可を実行する必要がある。
【0014】
アドホックなピアツーピアネットワークには、Dのような信頼されたサーバが1台も存在しないため、この役割を果たすことができない。更に、認証資格証明のリストが複数必要となり、セットアップ段階を完了してから各サービスを使用しなければならないことになる。このように資格証明を事前に共有することは、長期の使用には適切であるが、アドホックな状況では役に立たない。
【0015】
例えばネットワークアクセス中のデバイス認証に対する他の解決策としては、1つの鍵またはパスワードを共有する方法がある(例えば、Wi−Fiアライアンスの2003年"Wi-Fi
Protected Access: Strong, standards-based, interoperable security for today's
Wi-Fi networks"に記載されているIEEE802.11のWPA−PSK)。
【0016】
無線ネットワークで使用される、広く用いられている分散認証プロトコルフレームワークとして、拡張認証プロトコル(EAP)があり、Abobaらによる2004年6月のRFC3748、"Extensible
Authentication Protocol (EAP)"の文献に記載されている。この文脈における「分散」とは、認証サーバが、サービス提供デバイスや未認証のユーザとは異なるネットワークに存在しうることを指す。このため、EAPは、実際上一元化されており、その主な利点は、多くの場所から利用可能な1つの認証サーバを持つ点にある。換言すれば、この2番目の公知のアプローチは、上で説明したアプローチと似ているが、認証情報を一元化している。これには、資格証明の別個のリストの数を減らせるという利点があり、各ユーザデバイスに対してセットアップ段階を1回行うだけで済むことになる。しかし、アドホックなピアツーピアネットワークは、定義上、信頼された中央の認証サーバを持つことができない。
【0017】
このため、本発明の目的は、アドホックなピアツーピアネットワークで使用することができる認証方法および認証フレームワークを提供することにある。
【課題を解決するための手段】
【0018】
本発明の第1の態様によれば、通信ネットワークにおいて、第2のデバイスにより第1のデバイスを認証する方法が提供され、前記方法は、前記認証プロセスにおいて、前記第1のデバイスと前記第2のデバイスとのそれぞれと、既存のセキュアな認証を有する第3のデバイスを使用するステップを有する。
【0019】
下記の請求項1に記載の方法は、ネットワーク全体に権限を分散させることによって、アドホックなネットワークにおける認証の不都合を解決する。このようにすることで、認証プロセスのために1つの実体を信頼する必要がなくなる。更に、ネットワークのデバイスまたはユーザから入手可能な情報の量が増えることで、本発明を使用して、従来のアプローチよりも柔軟な認証を実現することができる。
【図面の簡単な説明】
【0020】
【図1】超広帯域通信のためのマルチバンド直交周波数分割多重(MB−OFDM)システムにおける周波数バンドの構成を示す。
【図2】UWBシステムにおけるスーパーフレームの基本的なタイミング構造を示す。
【図3】従来のネットワークを示す。
【図4】本発明に係る認証フレームワークを示す。
【図5】ネットワークのサービス提供デバイスで実行されるステップを示す。
【図6】ネットワークのサービス要求デバイスで実行されるステップを示す。
【図7】ネットワークのピアデバイスで実行されるステップを示す。
【発明を実施するための形態】
【0021】
本発明をよりよく理解し、本発明を実施することができる方法を明瞭に示すために、例示のみを目的として添付の図面を参照する。
【0022】
本発明を、超広帯域無線通信ネットワークに関して以下に説明する。しかし、本発明が他の通信ネットワークにも利用可能であることはいうまでもない。
【0023】
また、本発明を、サービス要求デバイスの形の未認証のデバイスと、サービス提供デバイスの形のセキュアなデバイスまたは認証されたデバイスとに関して説明する。しかし、本発明がどのような形のデバイスにも利用可能であることはいうまでもない。
【0024】
図4は、未認証のユーザ40(例えばサービス要求デバイス)を、別のデバイス42(例えばサービス提供デバイス)により認証可能にするプロトコルフレームワークを示す。本発明によれば、ネットワーク内の1台以上の他のデバイス441〜44nから認証関連の情報をセキュアに取得するために、複数ステージのプロトコルが使用される。これにより、サービス提供デバイス42は、サービスの提供を続けるべきかどうかを決定するために、サービス要求デバイス40の識別情報を検証することができる。
【0025】
図4は、一般的なプロトコルフレームワークは5つのステップ51〜55を含むことを示す。これらのステップは、時間順に、「51−要求」、「52−問い合せ」、「53−応答」、「54−通知」および「55−認証」である。このステップのそれぞれの目的については、後で更に詳細に説明する。しかし、このフレームワークから生成されるプロトコルが、この特定のステップに限定される必要はなく、一部のアプリケーションではフレームワークのステップの前か後に追加のメッセージが必要となったり、別のアプリケーションではステップ数が少なくてもよいという点に留意されたい。また、これらのメッセージフローが、必ずしもレイヤ2(例えばOSIモデルのデータリンク層)において行われるとは限らず、任意のデバイスが、マルチホップネットワークを介して別のデバイスと通信してもよいという点にも留意されたい。
【0026】
未認証のデバイス(例えばサービス要求デバイス40)がセキュアなデバイス(例えばサービス提供デバイス42)にサービス要求を送信すると、プロトコルが開始する。サービス要求デバイス40が認証されていない場合、サービス提供デバイス42は、サービス提供デバイス42のピア441〜44nの1つ以上に問い合せメッセージ52を送信する。一実施形態によれば、サービス提供デバイス42は、自身のピア441〜44nの全てに問い合せメッセージを送信する。問い合せメッセージ52には、未認証のデバイス40に対応する一意の名前が含まれ、この名前がアドレスとして使用される。ピアデバイス44は、サービス提供デバイス42との間で認証されているデバイスであり、サービス提供デバイス42との間で現在認証されているか、以前に認証されている点に留意されたい。
【0027】
問い合せメッセージ52を受信し、未認証のデバイス40とセキュアな関係(association)を有する任意のピアデバイス44は、2通のメッセージを送信する。1番目のメッセージは、サービス提供デバイス42宛の応答メッセージ53である。2番目のメッセージは、未認証のデバイス40宛の通知メッセージ54である。応答メッセージ53と通知メッセージ54のいずれにも、認証資格証明「R」が含まれる。例えば、認証資格証明「R」は、認証キーでも、ほかのどのような形の認証データでもよい。一例によれば、認証資格証明「R」は、ランダムに生成された認証キーである。
【0028】
未認証のデバイス40とピアデバイス44の間に既にセキュアな関係が存在するため、ピアデバイス44は、暗号化されたフォーマットで通知メッセージ54を送信し、これにより、本当の未認証のデバイス40のみがこの通知メッセージ40を読むことができる。未認証のデバイス40は、認証資格証明「R」を復号化して、サービス提供デバイス42に認証メッセージ55を送信する。
【0029】
サービス提供デバイス42は、サービス要求デバイス40から認証メッセージ55を受信すると、認証資格証明「R」と、応答メッセージ53においてピアデバイス44から受信した認証資格証明とを比較する。認証メッセージ55で受信した認証資格証明が、応答メッセージ53で受信した認証資格証明と一致する場合、サービスを提供できるように、認証メッセージ55の正当性が認められる。
【0030】
いうまでもなく、本当のサービス要求デバイス40のみがサービス提供デバイス42に認証メッセージ55を送信することができるため、偽装が阻止され、認証を行うことが可能となる。
【0031】
上で説明した実施形態では、認証の判定が、1台のピア44から受信した応答メッセージ53に基づいて、サービス提供デバイス42によって行われる。本発明の別の態様によれば、認証の判定が、個々に認証資格証明を有する複数台のピアデバイス44から受信した複数の応答メッセージ53に基づいて行われてもよい。この場合、サービス提供デバイス42は、サービス要求デバイス40からも対応する複数の認証資格証明を受信する。この複数の認証資格証明は、同じであっても、異なってもよい。
【0032】
図5は、未認証のデバイスから要求を受信したときに、例えば、未認証のサービス要求デバイスにサービスを提供するために、セキュアなデバイスで実行されるステップを示すフローチャートである。ステップ501において、デバイスは、サービス要求を受信すると、サービス要求デバイスが既に認証されているかどうかを判定する(ステップ503)。サービス要求デバイスが既に認証されている場合、ステップ515において、サービス提供デバイスは要求されたサービスを提供する。
【0033】
しかし、サービス要求デバイスが未だ認証されていないと判定された場合、サービス提供デバイスは、サービス提供デバイスのピアデバイスの1台以上に問い合せメッセージを送信する(ステップ505)。次に、サービス提供デバイスは、サービス要求デバイスから少なくとも1つの認証資格証明を、ピアデバイスから少なくとも1つの対応する認証資格証明をそれぞれ受信する(ステップ507)。ステップ509において、サービス提供デバイスは、サービス要求デバイスから受信した認証資格証明が、対応するピアデバイスから受信した認証資格証明と一致するかどうかを判定する。認証資格証明が一致する場合、サービス提供デバイスはサービス要求デバイスを認証し(ステップ513)、要求されたサービスを提供する(ステップ515)。
【0034】
サービス要求デバイスから受信した認証資格証明が、ピアデバイスから受信した認証資格証明と一致しない場合、サービス要求デバイスの認証が拒否される(ステップ511)。
【0035】
上の説明から、ほかのデバイスから認証要求を受信したデバイスは、未認証のデバイスに関する情報を、自身のピアの1台以上に問い合せるということはいうまでもない。このようなピアの一部はサービス提供デバイスと未認証のデバイスの両方に応答し、未認証のデバイスが、サービス提供デバイスにコンタクトして、自身の識別情報を提示する。
【0036】
上で説明したように、認証ステップ509が、1台のピアデバイスのみから受信した認証資格証明に基づいて行われても、あるいは複数台のピアデバイスから受信した複数の認証資格証明に基づいて行われてもよい。このため、後者によれば、未認証のデバイスは、認証が許可される前に、サービス提供デバイスの2台以上のピアデバイスと既にセキュアな認証を有している必要がある。
【0037】
図6は、セキュアなデバイスにより認証を受けるときに、未認証のデバイスで実行されるステップを示すフローチャートである。ステップ601において、未認証のデバイスが、サービス提供デバイスにサービス要求を送信する。
【0038】
次に、未認証のデバイスは、別のピアデバイスから認証資格証明を受信する(ステップ603)。受信した認証資格証明が暗号化されたフォーマットである場合、未認証のデバイスは、認証資格証明を復号化してから(ステップ605)、サービス提供デバイスに認証資格証明を送信する(ステップ607)。サービス提供デバイスが、ピアデバイスから、ピアデバイスの認証資格証明(its
own version of the authentication credential)を受信して、認証資格証明同士が一致した場合、未認証のデバイスは、認証されて、サービス提供デバイスからサービスを受ける(ステップ609)。
【0039】
図7は、サービス提供デバイスと、サービス提供デバイスとの間で認証されていないサービス要求デバイスとの間の認証プロセスに参加するときに、ピアデバイスで実行されるステップを示すフローチャートである。ステップ701において、ピアデバイスは、サービス提供デバイスから、未認証のサービス要求デバイスのアドレスを含む問い合せを受信する。
【0040】
ステップ703において、ピアデバイスは、未認証のサービス要求デバイスがピアデバイスとの間で認証されているかどうかを判定する。好ましくは、この際、未認証のサービス要求デバイスがピアデバイスとの間で現在認証されているかどうかが判定される。サービス要求デバイスがピアデバイスとの間で現在認証されているかどうかを判定する代わりに、ステップ703において、サービス要求デバイスがピアデバイスとの間で以前に(おそらく所定期間以内に)認証されているかどうかが判定されてもよい。
【0041】
ピアデバイスが、サービス要求デバイスとの間で認証されている場合、ピアデバイスは、サービス要求デバイスとサービス提供デバイスの両方に認証資格証明を送信する(ステップ705)。一実施形態によれば、ピアデバイスは、未認証のデバイスに送信する認証資格証明を暗号化する。暗号化は、ピアデバイスと未認証のデバイスの間の認証設定に基づいて実行される。
【0042】
ステップ703において、ピアデバイスがサービス要求デバイスとの間にセキュアな認証を有さないと判定されると、応答が送信されない(ステップ707)。別の実施形態では、ピアデバイスが、サービス要求デバイスとの間に認証を有さないことを示す応答を、サービス提供デバイスのみに送信するように、ピアデバイスが構成されてもよい。
【0043】
上で説明した本発明は、ネットワーク全体に権限を分散させることによって、アドホックなネットワークにおける認証の不都合を解決する。このようにすることで、認証プロセスのために1つの実体を信頼する必要がなくなる。更に、ネットワークのデバイスまたはユーザから入手可能な情報の量が増えることで、本発明を使用して、従来のアプローチよりも柔軟な認証を実現することができる。
【0044】
上で説明したプロトコルフレームワークはアプリケーション層で動作することができ、下位レベルの拡張または変更を一切必要としない点に留意されたい。
【0045】
本発明は中央の認証サーバを必要としないという利点を有し、これにより、ネットワーク管理を簡素化できる。中央の認証サーバに代えて、潜在的な認証情報をピアのネットワークから取得できる一方で、認証プロトコルによって、偽装が不可能であることが保証される。
【0046】
また、本発明は、サービスを要求した後に、ユーザと直接対話する必要がないという利点も有する。サービスを、ユーザとの対話を行う必要なく、簡単かつ容易に認証することができる。
【0047】
本発明により、サービス提供デバイスは、必要なときに、アドホックなネットワークから認証情報を取得することができる。その際、セットアップ段階が不要であり、中央の信頼されたサーバが不要であり、長期にわたる一元化された資格証明のリストを収集する必要がない。
【技術分野】
【0001】
本発明は、認証方法および認証フレームワークに関し、より詳細には、超広帯域通信ネットワークなどの無線通信ネットワークにおけるピアツーピアの分散認証フレームワークおよびそのための方法に関する。
【背景技術】
【0002】
超広帯域とは、極めて広い周波数範囲(3.1〜10.6GHz)にわたってデジタルデータを伝送する無線技術である。広い帯域幅に無線周波数エネルギーを拡散させると、送信信号が、従来の周波数選択無線周波数技術では事実上検出不可能となる。しかし、送信電力が低いため、通信距離が通常10〜15m未満に制限される。
【0003】
超広帯域(UWB)には、UWB特性によってパルス波形から信号を構成する時間領域のアプローチと、複数の(周波数)バンドにわたって従来のFFTをベースとした直交波周波数分割多重(OFDM)を使用し、MB−OFDMを与える周波数領域変調のアプローチの2つのアプローチがある。この2つのUWBのアプローチは、周波数スペクトル内に、極めて広い帯域幅にまたがるスペクトル成分を生じさせ(このため超広帯域と呼ばれている)、この帯域幅は、中心周波数の20パーセント超、通常は少なくとも500MHzを占める。
【0004】
このような超広帯域の特性と、極めて広い帯域幅とにより、UWBは、通信しているデバイス同士が10〜15mの範囲にあるホーム環境またはオフィス環境に高速無線通信を提供する理想的な技術となる。
【0005】
図1は、超広帯域通信のためのマルチバンド直交周波数分割多重(MB−OFDM)システムにおける周波数バンドの構成を示す。MB−OFDMシステムは、それぞれ528MHzの14のサブバンドを含み、アクセス方式として、各サブバンド間に312.5ナノ秒の周波数ホッピングを使用している。各サブバンド内では、データの伝送にOFDMおよびQPSKまたはDCM符号化が使用される。なお、5GHzを中心としたサブバンド(現在では5.1〜5.8GHz)は、例えば802.11aWLANシステム、保安機関の通信システムまたは航空産業などの既存の狭帯域システムとの干渉を避けるために使用されていない。
【0006】
14のサブバンドは、5つのバンドグループに編成されており、そのうち4つのバンドグループは528MHzのサブバンドを3つ有するが、1つのバンドグループは、528MHzのサブバンドを2つ有する。図1に示すように、第1のバンドグループは、サブバンド1、サブバンド2およびサブバンド3を有する。例として挙げるUWBシステムは、バンドグループのサブバンド間に周波数ホッピングを使用しており、第1の312.5ナノ秒の時間インターバルに、第1のデータシンボルがバンドグループの第1の周波数サブバンドで送信され、第2の312.5ナノ秒の時間インターバルに、第2のデータシンボルがバンドグループの第2の周波数サブバンドで送信され、第3の312.5ナノ秒の時間インターバルに、第3のデータシンボルがバンドグループの第3の周波数サブバンドで送信される。このため、各時間インターバルの間に、データシンボルが、帯域幅528MHzのそれぞれのサブバンド(例えば、中心周波数3960MHzの528MHzのベースバンド信号を含むサブバンド2)で送信される。
【0007】
各データシンボルが送信される3つの周波数のシーケンスは、時間周波数符号(TFC)チャネルを表す。第1のTFCチャネルは、シーケンス1、2、3、1、2、3と続き、1が第1のサブバンド、2が第2のサブバンド、3が第3のサブバンドである。第2および第3のTFCチャネルは、それぞれシーケンス1、3、2、1、3、2、および1、1、2、2、3、3と続きうる。ECMA−368規格によれば、最初の4つのバンドグループのそれぞれに7つのTFCチャネルが定義されており、5番目のバンドグループに2つのTFCチャネルが定義されている。
【0008】
超広帯域の技術的な性質は、データ通信の分野において各種用途に利用されつつあるということである。例えば、以下の環境において、ケーブルの代替として注目した、さまざまな用途が存在する。
−PCと、周辺機器、すなわち外部デバイス(ハードディスクドライブ、CDライタ、プリンタ、スキャナなど)との間の通信
−無線手段によって接続されたテレビとデバイス、無線スピーカなどのホームエンターテイメント
−例えば、携帯電話、PDAなどのハンドへルドデバイスおよびPC、デジタルカメラ、MP3プレーヤなどの間の通信
【0009】
UWBネットワークなどの無線ネットワークでは、1台以上のデバイスが、ビーコン期間中に定期的にビーコンフレームを送信する。ビーコンフレームの主な目的は、媒体にタイミング構造を提供すること、すなわち、時間を、いわゆるスーパーフレームに分割して、ネットワークのデバイスが、近くのデバイスと同期できるようにすることにある。
【0010】
図2に示すように、UWBシステムの基本的なタイミング構造は、スーパーフレームである。欧州電子計算機工業会(ECMA)(ECMA−368第2版)によるスーパーフレームは、それぞれが定義済みの期間(例えば256マイクロ秒)を有する256のメディアアクセススロット(MAS)からなる。各スーパーフレームは、1つのビーコン期間で開始し、1以上の隣接するMASの間続く。ビーコン期間を形成している各MASは、3つのビーコンスロットを含み、ビーコンスロットにおいてデバイスが自身の個々のビーコンフレームを送信する。ビーコン期間の先頭のMASの始点は、「ビーコン期間の始点(BPST)」と呼ばれている。特定のデバイスのビーコングループは、その特定のデバイスとビーコン期間の始点を共有(±1マイクロ秒)しており、その特定のデバイスの送信範囲に存在するデバイスのグループとして定義される。
【発明の概要】
【発明が解決しようとする課題】
【0011】
上で説明したUWBシステムなどの無線システムは、アドホックのピアツーピア構成で使用される場合が増えている。つまり、ネットワークが中心的な制御または組織を持たずに存在しており、各デバイスが、範囲内の全ての他のデバイスと通信する可能性があるということである。このアプローチには、自発性と柔軟な対話などのいくつかの利点もある。しかし、このような柔軟な構成は、解決の必要のあるほかの問題も引き起こす。
【0012】
例えば、監督する権限(authority)が存在しないため、ネットワーク内の個々のデバイスまたはユーザが、このような権限が担うべき役割を負わなければならない。多くのタスクでは、これは各デバイスが独立して行うことができるが、タスクのなかにはこれが機能できないものもある。従来の一元化された認証アーキテクチャは、アドホックなネットワークでは機能できない点に留意することが特に重要である。これは、中央のセキュリティサーバとして動作させるに足る信頼できるピアが存在しないためである。
【0013】
「認証」とは、デバイスまたはユーザの「識別情報」を検査して検証するプロセスでり、偽装攻撃に対抗するために必要とされる。図3は、複数の個々のデバイスまたはユーザ4(A〜Cで示す)を有するネットワーク2において認証を与えるための従来のアプローチを示す。この従来のアプローチに係る認証は、中央の認証サーバ「D」(例えばApacheなどのウェブサーバアプリケーションまたはUNIX上のログインサーバ)のメモリ5に識別情報(例えばユーザ名およびパスワード)のリストと、各識別情報の所有者が保持する資格証明(credential)とを記憶することによって実行される。次に、別のユーザ「B」に対して自身の識別情報を証明したいユーザ「A」が、認証サーバDに自身の資格証明を提供し、認証サーバDは、その資格証明の妥当性を「B」に通知する。このアプローチは、「A」と「B」の両方が「D」を信頼している場合(Dがネットワークのコントローラによって実行されている場合に多い)には、認証を与える非常に単純かつ有効な方法である。このようなシステムでは、サービス提供デバイスが、ユーザごとに認証を実行し、要求ごとに認可を実行する必要がある。
【0014】
アドホックなピアツーピアネットワークには、Dのような信頼されたサーバが1台も存在しないため、この役割を果たすことができない。更に、認証資格証明のリストが複数必要となり、セットアップ段階を完了してから各サービスを使用しなければならないことになる。このように資格証明を事前に共有することは、長期の使用には適切であるが、アドホックな状況では役に立たない。
【0015】
例えばネットワークアクセス中のデバイス認証に対する他の解決策としては、1つの鍵またはパスワードを共有する方法がある(例えば、Wi−Fiアライアンスの2003年"Wi-Fi
Protected Access: Strong, standards-based, interoperable security for today's
Wi-Fi networks"に記載されているIEEE802.11のWPA−PSK)。
【0016】
無線ネットワークで使用される、広く用いられている分散認証プロトコルフレームワークとして、拡張認証プロトコル(EAP)があり、Abobaらによる2004年6月のRFC3748、"Extensible
Authentication Protocol (EAP)"の文献に記載されている。この文脈における「分散」とは、認証サーバが、サービス提供デバイスや未認証のユーザとは異なるネットワークに存在しうることを指す。このため、EAPは、実際上一元化されており、その主な利点は、多くの場所から利用可能な1つの認証サーバを持つ点にある。換言すれば、この2番目の公知のアプローチは、上で説明したアプローチと似ているが、認証情報を一元化している。これには、資格証明の別個のリストの数を減らせるという利点があり、各ユーザデバイスに対してセットアップ段階を1回行うだけで済むことになる。しかし、アドホックなピアツーピアネットワークは、定義上、信頼された中央の認証サーバを持つことができない。
【0017】
このため、本発明の目的は、アドホックなピアツーピアネットワークで使用することができる認証方法および認証フレームワークを提供することにある。
【課題を解決するための手段】
【0018】
本発明の第1の態様によれば、通信ネットワークにおいて、第2のデバイスにより第1のデバイスを認証する方法が提供され、前記方法は、前記認証プロセスにおいて、前記第1のデバイスと前記第2のデバイスとのそれぞれと、既存のセキュアな認証を有する第3のデバイスを使用するステップを有する。
【0019】
下記の請求項1に記載の方法は、ネットワーク全体に権限を分散させることによって、アドホックなネットワークにおける認証の不都合を解決する。このようにすることで、認証プロセスのために1つの実体を信頼する必要がなくなる。更に、ネットワークのデバイスまたはユーザから入手可能な情報の量が増えることで、本発明を使用して、従来のアプローチよりも柔軟な認証を実現することができる。
【図面の簡単な説明】
【0020】
【図1】超広帯域通信のためのマルチバンド直交周波数分割多重(MB−OFDM)システムにおける周波数バンドの構成を示す。
【図2】UWBシステムにおけるスーパーフレームの基本的なタイミング構造を示す。
【図3】従来のネットワークを示す。
【図4】本発明に係る認証フレームワークを示す。
【図5】ネットワークのサービス提供デバイスで実行されるステップを示す。
【図6】ネットワークのサービス要求デバイスで実行されるステップを示す。
【図7】ネットワークのピアデバイスで実行されるステップを示す。
【発明を実施するための形態】
【0021】
本発明をよりよく理解し、本発明を実施することができる方法を明瞭に示すために、例示のみを目的として添付の図面を参照する。
【0022】
本発明を、超広帯域無線通信ネットワークに関して以下に説明する。しかし、本発明が他の通信ネットワークにも利用可能であることはいうまでもない。
【0023】
また、本発明を、サービス要求デバイスの形の未認証のデバイスと、サービス提供デバイスの形のセキュアなデバイスまたは認証されたデバイスとに関して説明する。しかし、本発明がどのような形のデバイスにも利用可能であることはいうまでもない。
【0024】
図4は、未認証のユーザ40(例えばサービス要求デバイス)を、別のデバイス42(例えばサービス提供デバイス)により認証可能にするプロトコルフレームワークを示す。本発明によれば、ネットワーク内の1台以上の他のデバイス441〜44nから認証関連の情報をセキュアに取得するために、複数ステージのプロトコルが使用される。これにより、サービス提供デバイス42は、サービスの提供を続けるべきかどうかを決定するために、サービス要求デバイス40の識別情報を検証することができる。
【0025】
図4は、一般的なプロトコルフレームワークは5つのステップ51〜55を含むことを示す。これらのステップは、時間順に、「51−要求」、「52−問い合せ」、「53−応答」、「54−通知」および「55−認証」である。このステップのそれぞれの目的については、後で更に詳細に説明する。しかし、このフレームワークから生成されるプロトコルが、この特定のステップに限定される必要はなく、一部のアプリケーションではフレームワークのステップの前か後に追加のメッセージが必要となったり、別のアプリケーションではステップ数が少なくてもよいという点に留意されたい。また、これらのメッセージフローが、必ずしもレイヤ2(例えばOSIモデルのデータリンク層)において行われるとは限らず、任意のデバイスが、マルチホップネットワークを介して別のデバイスと通信してもよいという点にも留意されたい。
【0026】
未認証のデバイス(例えばサービス要求デバイス40)がセキュアなデバイス(例えばサービス提供デバイス42)にサービス要求を送信すると、プロトコルが開始する。サービス要求デバイス40が認証されていない場合、サービス提供デバイス42は、サービス提供デバイス42のピア441〜44nの1つ以上に問い合せメッセージ52を送信する。一実施形態によれば、サービス提供デバイス42は、自身のピア441〜44nの全てに問い合せメッセージを送信する。問い合せメッセージ52には、未認証のデバイス40に対応する一意の名前が含まれ、この名前がアドレスとして使用される。ピアデバイス44は、サービス提供デバイス42との間で認証されているデバイスであり、サービス提供デバイス42との間で現在認証されているか、以前に認証されている点に留意されたい。
【0027】
問い合せメッセージ52を受信し、未認証のデバイス40とセキュアな関係(association)を有する任意のピアデバイス44は、2通のメッセージを送信する。1番目のメッセージは、サービス提供デバイス42宛の応答メッセージ53である。2番目のメッセージは、未認証のデバイス40宛の通知メッセージ54である。応答メッセージ53と通知メッセージ54のいずれにも、認証資格証明「R」が含まれる。例えば、認証資格証明「R」は、認証キーでも、ほかのどのような形の認証データでもよい。一例によれば、認証資格証明「R」は、ランダムに生成された認証キーである。
【0028】
未認証のデバイス40とピアデバイス44の間に既にセキュアな関係が存在するため、ピアデバイス44は、暗号化されたフォーマットで通知メッセージ54を送信し、これにより、本当の未認証のデバイス40のみがこの通知メッセージ40を読むことができる。未認証のデバイス40は、認証資格証明「R」を復号化して、サービス提供デバイス42に認証メッセージ55を送信する。
【0029】
サービス提供デバイス42は、サービス要求デバイス40から認証メッセージ55を受信すると、認証資格証明「R」と、応答メッセージ53においてピアデバイス44から受信した認証資格証明とを比較する。認証メッセージ55で受信した認証資格証明が、応答メッセージ53で受信した認証資格証明と一致する場合、サービスを提供できるように、認証メッセージ55の正当性が認められる。
【0030】
いうまでもなく、本当のサービス要求デバイス40のみがサービス提供デバイス42に認証メッセージ55を送信することができるため、偽装が阻止され、認証を行うことが可能となる。
【0031】
上で説明した実施形態では、認証の判定が、1台のピア44から受信した応答メッセージ53に基づいて、サービス提供デバイス42によって行われる。本発明の別の態様によれば、認証の判定が、個々に認証資格証明を有する複数台のピアデバイス44から受信した複数の応答メッセージ53に基づいて行われてもよい。この場合、サービス提供デバイス42は、サービス要求デバイス40からも対応する複数の認証資格証明を受信する。この複数の認証資格証明は、同じであっても、異なってもよい。
【0032】
図5は、未認証のデバイスから要求を受信したときに、例えば、未認証のサービス要求デバイスにサービスを提供するために、セキュアなデバイスで実行されるステップを示すフローチャートである。ステップ501において、デバイスは、サービス要求を受信すると、サービス要求デバイスが既に認証されているかどうかを判定する(ステップ503)。サービス要求デバイスが既に認証されている場合、ステップ515において、サービス提供デバイスは要求されたサービスを提供する。
【0033】
しかし、サービス要求デバイスが未だ認証されていないと判定された場合、サービス提供デバイスは、サービス提供デバイスのピアデバイスの1台以上に問い合せメッセージを送信する(ステップ505)。次に、サービス提供デバイスは、サービス要求デバイスから少なくとも1つの認証資格証明を、ピアデバイスから少なくとも1つの対応する認証資格証明をそれぞれ受信する(ステップ507)。ステップ509において、サービス提供デバイスは、サービス要求デバイスから受信した認証資格証明が、対応するピアデバイスから受信した認証資格証明と一致するかどうかを判定する。認証資格証明が一致する場合、サービス提供デバイスはサービス要求デバイスを認証し(ステップ513)、要求されたサービスを提供する(ステップ515)。
【0034】
サービス要求デバイスから受信した認証資格証明が、ピアデバイスから受信した認証資格証明と一致しない場合、サービス要求デバイスの認証が拒否される(ステップ511)。
【0035】
上の説明から、ほかのデバイスから認証要求を受信したデバイスは、未認証のデバイスに関する情報を、自身のピアの1台以上に問い合せるということはいうまでもない。このようなピアの一部はサービス提供デバイスと未認証のデバイスの両方に応答し、未認証のデバイスが、サービス提供デバイスにコンタクトして、自身の識別情報を提示する。
【0036】
上で説明したように、認証ステップ509が、1台のピアデバイスのみから受信した認証資格証明に基づいて行われても、あるいは複数台のピアデバイスから受信した複数の認証資格証明に基づいて行われてもよい。このため、後者によれば、未認証のデバイスは、認証が許可される前に、サービス提供デバイスの2台以上のピアデバイスと既にセキュアな認証を有している必要がある。
【0037】
図6は、セキュアなデバイスにより認証を受けるときに、未認証のデバイスで実行されるステップを示すフローチャートである。ステップ601において、未認証のデバイスが、サービス提供デバイスにサービス要求を送信する。
【0038】
次に、未認証のデバイスは、別のピアデバイスから認証資格証明を受信する(ステップ603)。受信した認証資格証明が暗号化されたフォーマットである場合、未認証のデバイスは、認証資格証明を復号化してから(ステップ605)、サービス提供デバイスに認証資格証明を送信する(ステップ607)。サービス提供デバイスが、ピアデバイスから、ピアデバイスの認証資格証明(its
own version of the authentication credential)を受信して、認証資格証明同士が一致した場合、未認証のデバイスは、認証されて、サービス提供デバイスからサービスを受ける(ステップ609)。
【0039】
図7は、サービス提供デバイスと、サービス提供デバイスとの間で認証されていないサービス要求デバイスとの間の認証プロセスに参加するときに、ピアデバイスで実行されるステップを示すフローチャートである。ステップ701において、ピアデバイスは、サービス提供デバイスから、未認証のサービス要求デバイスのアドレスを含む問い合せを受信する。
【0040】
ステップ703において、ピアデバイスは、未認証のサービス要求デバイスがピアデバイスとの間で認証されているかどうかを判定する。好ましくは、この際、未認証のサービス要求デバイスがピアデバイスとの間で現在認証されているかどうかが判定される。サービス要求デバイスがピアデバイスとの間で現在認証されているかどうかを判定する代わりに、ステップ703において、サービス要求デバイスがピアデバイスとの間で以前に(おそらく所定期間以内に)認証されているかどうかが判定されてもよい。
【0041】
ピアデバイスが、サービス要求デバイスとの間で認証されている場合、ピアデバイスは、サービス要求デバイスとサービス提供デバイスの両方に認証資格証明を送信する(ステップ705)。一実施形態によれば、ピアデバイスは、未認証のデバイスに送信する認証資格証明を暗号化する。暗号化は、ピアデバイスと未認証のデバイスの間の認証設定に基づいて実行される。
【0042】
ステップ703において、ピアデバイスがサービス要求デバイスとの間にセキュアな認証を有さないと判定されると、応答が送信されない(ステップ707)。別の実施形態では、ピアデバイスが、サービス要求デバイスとの間に認証を有さないことを示す応答を、サービス提供デバイスのみに送信するように、ピアデバイスが構成されてもよい。
【0043】
上で説明した本発明は、ネットワーク全体に権限を分散させることによって、アドホックなネットワークにおける認証の不都合を解決する。このようにすることで、認証プロセスのために1つの実体を信頼する必要がなくなる。更に、ネットワークのデバイスまたはユーザから入手可能な情報の量が増えることで、本発明を使用して、従来のアプローチよりも柔軟な認証を実現することができる。
【0044】
上で説明したプロトコルフレームワークはアプリケーション層で動作することができ、下位レベルの拡張または変更を一切必要としない点に留意されたい。
【0045】
本発明は中央の認証サーバを必要としないという利点を有し、これにより、ネットワーク管理を簡素化できる。中央の認証サーバに代えて、潜在的な認証情報をピアのネットワークから取得できる一方で、認証プロトコルによって、偽装が不可能であることが保証される。
【0046】
また、本発明は、サービスを要求した後に、ユーザと直接対話する必要がないという利点も有する。サービスを、ユーザとの対話を行う必要なく、簡単かつ容易に認証することができる。
【0047】
本発明により、サービス提供デバイスは、必要なときに、アドホックなネットワークから認証情報を取得することができる。その際、セットアップ段階が不要であり、中央の信頼されたサーバが不要であり、長期にわたる一元化された資格証明のリストを収集する必要がない。
【特許請求の範囲】
【請求項1】
通信ネットワークにおいて、第2のデバイスにより第1のデバイスを認証する方法であって、前記認証プロセスにおいて、前記第1のデバイスと前記第2のデバイスとのそれぞれとの間でセキュアな認証を有する第3のデバイスを使用するステップを有する方法。
【請求項2】
前記第2のデバイスが、前記第1のデバイスから認証要求を受信すると、前記第2のデバイスから前記第3のデバイスに問い合せメッセージを送信するステップと、
前記第3のデバイスが、前記第2のデバイスが、前記第1のデバイスを認証すべきかどうかの判定を支援するための情報を提供するステップと、を更に有する請求項1に記載の方法。
【請求項3】
前記問い合せメッセージは、前記第1のデバイスの識別情報を含む請求項2に記載の方法。
【請求項4】
情報を提供する前記ステップは、前記第3のデバイスから、前記第1のデバイスと前記第2のデバイスとに認証資格証明を送信するステップを有する請求項2または3に記載の方法。
【請求項5】
前記第1のデバイスにおいて受信した前記認証資格証明を前記第2のデバイスに送信するステップと、
前記第2のデバイスにおいて、前記第1のデバイスから受信した前記認証資格証明と、前記第3のデバイスから受信した前記認証資格証明とを比較するステップと、
前記第1のデバイスから受信した前記認証資格証明と、前記第2のデバイスから受信した前記認証資格証明とが一致した場合に、前記第2のデバイスにより前記第1のデバイスを認証するステップと、を更に有する請求項4に記載の方法。
【請求項6】
前記第3のデバイスから前記第1のデバイスに送信される前記認証資格証明を暗号化するステップと、
前記第1のデバイスにおいて前記認証資格証明を復号化してから、前記第1のデバイスから前記第2のデバイスに前記認証資格証明を送信するステップと、を更に有する請求項4に記載の方法。
【請求項7】
前記認証プロセスにおいて、前記第1のデバイスと前記第2のデバイスとのそれぞれとの間でセキュアな認証を有する第4のデバイスを使用するステップを更に有する請求項1〜6のいずれか1項に記載の方法。
【請求項8】
前記第4のデバイスから、前記第1のデバイスと前記第2のデバイスとに第2の認証資格証明を送信するステップと、
前記第1のデバイスにおいて受信した前記第2の認証資格証明を前記第2のデバイスに送信するステップと、
前記第2のデバイスにおいて、前記第1のデバイスから受信した前記第2の認証資格証明と、前記第3のデバイスから受信した前記第2の認証資格証明とを比較して、前記認証資格証明同士が一致した場合に、前記第2のデバイスにより前記第1のデバイスを認証するステップと、を更に有する請求項7に記載の方法。
【請求項9】
前記認証資格証明をランダムに生成するステップを更に有する請求項4〜8のいずれか1項に記載の方法。
【請求項10】
前記認証資格証明は認証キーである請求項9に記載の方法。
【請求項11】
前記第3のデバイスと前記第1のデバイスとの間のセキュアな認証は、前記第3のデバイスと第1のデバイスとが現在認証されていることに基づく請求項1〜10のいずれか1項に記載の方法。
【請求項12】
前記第3のデバイスと前記第1のデバイスとの間のセキュアな認証は、前記第3のデバイスと第1のデバイスとが以前に認証されていることに基づく請求項1〜10のいずれか1項に記載の方法。
【請求項13】
前記第3のデバイスと前記第1のデバイスとが所定期間以内に認証されている請求項12に記載の方法。
【請求項14】
サービス提供デバイスにおいて認証を実行する方法であって、
サービス要求デバイスから認証要求を受信するステップと、
前記サービス提供デバイスとの間で認証されている1台以上のピアデバイスに問い合せメッセージを送信するステップと、
ピアデバイスから認証資格証明を受信するステップと、
前記サービス要求デバイスから認証資格証明を受信するステップと、
前記ピアデバイスからの前記認証資格証明が前記サービス要求デバイスからの前記認証資格証明と一致した場合に、前記サービス要求デバイスを認証するステップと、を有する方法。
【請求項15】
サービス要求デバイスにおいて認証を実行する方法であって、
サービス提供デバイスに認証要求を送信するステップと、
前記サービス提供デバイスとの間で認証されているピアデバイスから認証資格証明を受信するステップと、
前記サービス提供デバイスが認証の判定を実行することができるように、前記受信した認証資格証明を前記サービス提供デバイスに送信するステップと、を有する方法。
【請求項16】
サービス要求デバイスとサービス提供デバイスとの間の認証を支援するために使用されるピアデバイスにおいて、前記認証を実行する方法であって、
前記ピアデバイスとの間で認証されている前記サービス提供デバイスから、前記サービス要求デバイスの識別情報を含む問い合せメッセージを受信するステップと、
前記ピアデバイスが前記サービス要求デバイスとの間で認証されているかどうかを判定するステップと、認証されている場合に、
前記サービス提供デバイスに認証資格証明を送信するステップと、
前記サービス要求デバイスに認証資格証明を送信するステップと、を有する方法。
【請求項17】
前記認証資格証明は認証キーである請求項14〜16のいずれか1項に記載の方法。
【請求項18】
第1のデバイスと第2のデバイスとの間に認証を与えるように構成された通信ネットワークであって、前記ネットワークは、前記認証プロセスにおいて、前記第1のデバイスと前記第2のデバイスとのそれぞれとの間でセキュアな認証を有する第3のデバイスを使用するように適合されているネットワーク。
【請求項19】
前記ネットワークは、
前記第1のデバイスから前記第2のデバイスに認証要求を送信し、
前記第2のデバイスから前記第3のデバイスに問い合せメッセージを送信し、
前記第3のデバイスから、前記第1のデバイスと前記第2のデバイスとに認証資格証明を送信し、
前記第1のデバイスにおいて受信した前記認証資格証明を前記第2のデバイスに送信し、
前記第2のデバイスにおいて、前記第1のデバイスから受信した前記認証資格証明と、前記第3のデバイスから受信した前記認証資格証明とを比較して、前記第1のデバイスから受信した前記認証資格証明と、前記第3のデバイスから受信した前記認証資格証明とが一致した場合に、前記第2のデバイスにより前記第1のデバイスを認証するように構成されている請求項18に記載のネットワーク。
【請求項20】
前記第2のデバイスから前記第3のデバイスに送信される前記問い合せメッセージは、前記第1のデバイスの識別情報を含む請求項19に記載のネットワーク。
【請求項21】
前記第3のデバイスから前記第1のデバイスに送信される前記認証資格証明は、暗号化されており、前記認証資格証明は前記第1のデバイスにおいて復号化されてから、前記認証資格証明が前記第1のデバイスから前記第2のデバイスに送信される請求項19または20に記載のネットワーク。
【請求項22】
前記ネットワークは、前記認証プロセスにおいて、前記第1のデバイスと前記第2のデバイスとのそれぞれとの間でセキュアな認証を有する第4のデバイスを使用するように更に構成されている請求項18〜21のいずれか1項に記載のネットワーク。
【請求項23】
前記ネットワークは、
前記第4のデバイスから、前記第1のデバイスと前記第2のデバイスとに第2の認証資格証明を送信し、
前記第1のデバイスにおいて受信した前記第2の認証資格証明を前記第2のデバイスに送信し、
前記第2のデバイスにおいて、前記第1のデバイスから受信した前記第2の認証資格証明と、前記第3のデバイスから受信した前記第2の認証資格証明とを比較して、前記第2の認証資格証明同士が一致した場合に、前記第2のデバイスにより前記第1のデバイスを認証するように更に構成されている請求項22に記載のネットワーク。
【請求項24】
前記認証資格証明はランダムに生成される請求項19〜23のいずれか1項に記載のネットワーク。
【請求項25】
前記認証資格証明は認証キーである請求項24に記載のネットワーク。
【請求項26】
未認証のデバイスを認証するために使用されるデバイスであって、前記デバイスは、
前記未認証のデバイスから認証要求を受信し、
前記デバイスとの間で現在認証されている1台以上のピアデバイスに問い合せメッセージを送信し、
ピアデバイスから認証資格証明を受信し、
前記未認証のデバイスから認証資格証明を受信し、
前記未認証のデバイスから受信した前記認証資格証明が前記ピアデバイスから受信した前記認証資格証明と一致する場合に、前記未認証のデバイスを認証するように構成された送受信器を有するデバイス。
【請求項27】
第2のデバイスに認証要求を送信するための手段と、
前記第2のデバイスとの間で現在認証されている1台以上のピアデバイスから認証資格証明を受信するための手段と、
前記受信した認証資格証明を前記第2のデバイスに送信するための手段と、を有するデバイス。
【請求項28】
第2のデバイスにより第1のデバイスを認証するために使用されるデバイスであって、前記デバイスは前記第2のデバイスとの間で認証されており、前記デバイスは、
前記第2のデバイスから、前記第1のデバイスの識別情報を含む問い合せメッセージを受信し、
前記デバイスが前記第1のデバイスとの間で認証されているかどうかを判定し、認証されている場合に、
前記第1のデバイスに認証資格証明を送信し、
前記第2のデバイスに認証資格証明を送信するように構成されているデバイス。
【請求項29】
前記認証資格証明は認証キーである請求項26〜28のいずれか1項に記載のデバイス。
【請求項1】
通信ネットワークにおいて、第2のデバイスにより第1のデバイスを認証する方法であって、前記認証プロセスにおいて、前記第1のデバイスと前記第2のデバイスとのそれぞれとの間でセキュアな認証を有する第3のデバイスを使用するステップを有する方法。
【請求項2】
前記第2のデバイスが、前記第1のデバイスから認証要求を受信すると、前記第2のデバイスから前記第3のデバイスに問い合せメッセージを送信するステップと、
前記第3のデバイスが、前記第2のデバイスが、前記第1のデバイスを認証すべきかどうかの判定を支援するための情報を提供するステップと、を更に有する請求項1に記載の方法。
【請求項3】
前記問い合せメッセージは、前記第1のデバイスの識別情報を含む請求項2に記載の方法。
【請求項4】
情報を提供する前記ステップは、前記第3のデバイスから、前記第1のデバイスと前記第2のデバイスとに認証資格証明を送信するステップを有する請求項2または3に記載の方法。
【請求項5】
前記第1のデバイスにおいて受信した前記認証資格証明を前記第2のデバイスに送信するステップと、
前記第2のデバイスにおいて、前記第1のデバイスから受信した前記認証資格証明と、前記第3のデバイスから受信した前記認証資格証明とを比較するステップと、
前記第1のデバイスから受信した前記認証資格証明と、前記第2のデバイスから受信した前記認証資格証明とが一致した場合に、前記第2のデバイスにより前記第1のデバイスを認証するステップと、を更に有する請求項4に記載の方法。
【請求項6】
前記第3のデバイスから前記第1のデバイスに送信される前記認証資格証明を暗号化するステップと、
前記第1のデバイスにおいて前記認証資格証明を復号化してから、前記第1のデバイスから前記第2のデバイスに前記認証資格証明を送信するステップと、を更に有する請求項4に記載の方法。
【請求項7】
前記認証プロセスにおいて、前記第1のデバイスと前記第2のデバイスとのそれぞれとの間でセキュアな認証を有する第4のデバイスを使用するステップを更に有する請求項1〜6のいずれか1項に記載の方法。
【請求項8】
前記第4のデバイスから、前記第1のデバイスと前記第2のデバイスとに第2の認証資格証明を送信するステップと、
前記第1のデバイスにおいて受信した前記第2の認証資格証明を前記第2のデバイスに送信するステップと、
前記第2のデバイスにおいて、前記第1のデバイスから受信した前記第2の認証資格証明と、前記第3のデバイスから受信した前記第2の認証資格証明とを比較して、前記認証資格証明同士が一致した場合に、前記第2のデバイスにより前記第1のデバイスを認証するステップと、を更に有する請求項7に記載の方法。
【請求項9】
前記認証資格証明をランダムに生成するステップを更に有する請求項4〜8のいずれか1項に記載の方法。
【請求項10】
前記認証資格証明は認証キーである請求項9に記載の方法。
【請求項11】
前記第3のデバイスと前記第1のデバイスとの間のセキュアな認証は、前記第3のデバイスと第1のデバイスとが現在認証されていることに基づく請求項1〜10のいずれか1項に記載の方法。
【請求項12】
前記第3のデバイスと前記第1のデバイスとの間のセキュアな認証は、前記第3のデバイスと第1のデバイスとが以前に認証されていることに基づく請求項1〜10のいずれか1項に記載の方法。
【請求項13】
前記第3のデバイスと前記第1のデバイスとが所定期間以内に認証されている請求項12に記載の方法。
【請求項14】
サービス提供デバイスにおいて認証を実行する方法であって、
サービス要求デバイスから認証要求を受信するステップと、
前記サービス提供デバイスとの間で認証されている1台以上のピアデバイスに問い合せメッセージを送信するステップと、
ピアデバイスから認証資格証明を受信するステップと、
前記サービス要求デバイスから認証資格証明を受信するステップと、
前記ピアデバイスからの前記認証資格証明が前記サービス要求デバイスからの前記認証資格証明と一致した場合に、前記サービス要求デバイスを認証するステップと、を有する方法。
【請求項15】
サービス要求デバイスにおいて認証を実行する方法であって、
サービス提供デバイスに認証要求を送信するステップと、
前記サービス提供デバイスとの間で認証されているピアデバイスから認証資格証明を受信するステップと、
前記サービス提供デバイスが認証の判定を実行することができるように、前記受信した認証資格証明を前記サービス提供デバイスに送信するステップと、を有する方法。
【請求項16】
サービス要求デバイスとサービス提供デバイスとの間の認証を支援するために使用されるピアデバイスにおいて、前記認証を実行する方法であって、
前記ピアデバイスとの間で認証されている前記サービス提供デバイスから、前記サービス要求デバイスの識別情報を含む問い合せメッセージを受信するステップと、
前記ピアデバイスが前記サービス要求デバイスとの間で認証されているかどうかを判定するステップと、認証されている場合に、
前記サービス提供デバイスに認証資格証明を送信するステップと、
前記サービス要求デバイスに認証資格証明を送信するステップと、を有する方法。
【請求項17】
前記認証資格証明は認証キーである請求項14〜16のいずれか1項に記載の方法。
【請求項18】
第1のデバイスと第2のデバイスとの間に認証を与えるように構成された通信ネットワークであって、前記ネットワークは、前記認証プロセスにおいて、前記第1のデバイスと前記第2のデバイスとのそれぞれとの間でセキュアな認証を有する第3のデバイスを使用するように適合されているネットワーク。
【請求項19】
前記ネットワークは、
前記第1のデバイスから前記第2のデバイスに認証要求を送信し、
前記第2のデバイスから前記第3のデバイスに問い合せメッセージを送信し、
前記第3のデバイスから、前記第1のデバイスと前記第2のデバイスとに認証資格証明を送信し、
前記第1のデバイスにおいて受信した前記認証資格証明を前記第2のデバイスに送信し、
前記第2のデバイスにおいて、前記第1のデバイスから受信した前記認証資格証明と、前記第3のデバイスから受信した前記認証資格証明とを比較して、前記第1のデバイスから受信した前記認証資格証明と、前記第3のデバイスから受信した前記認証資格証明とが一致した場合に、前記第2のデバイスにより前記第1のデバイスを認証するように構成されている請求項18に記載のネットワーク。
【請求項20】
前記第2のデバイスから前記第3のデバイスに送信される前記問い合せメッセージは、前記第1のデバイスの識別情報を含む請求項19に記載のネットワーク。
【請求項21】
前記第3のデバイスから前記第1のデバイスに送信される前記認証資格証明は、暗号化されており、前記認証資格証明は前記第1のデバイスにおいて復号化されてから、前記認証資格証明が前記第1のデバイスから前記第2のデバイスに送信される請求項19または20に記載のネットワーク。
【請求項22】
前記ネットワークは、前記認証プロセスにおいて、前記第1のデバイスと前記第2のデバイスとのそれぞれとの間でセキュアな認証を有する第4のデバイスを使用するように更に構成されている請求項18〜21のいずれか1項に記載のネットワーク。
【請求項23】
前記ネットワークは、
前記第4のデバイスから、前記第1のデバイスと前記第2のデバイスとに第2の認証資格証明を送信し、
前記第1のデバイスにおいて受信した前記第2の認証資格証明を前記第2のデバイスに送信し、
前記第2のデバイスにおいて、前記第1のデバイスから受信した前記第2の認証資格証明と、前記第3のデバイスから受信した前記第2の認証資格証明とを比較して、前記第2の認証資格証明同士が一致した場合に、前記第2のデバイスにより前記第1のデバイスを認証するように更に構成されている請求項22に記載のネットワーク。
【請求項24】
前記認証資格証明はランダムに生成される請求項19〜23のいずれか1項に記載のネットワーク。
【請求項25】
前記認証資格証明は認証キーである請求項24に記載のネットワーク。
【請求項26】
未認証のデバイスを認証するために使用されるデバイスであって、前記デバイスは、
前記未認証のデバイスから認証要求を受信し、
前記デバイスとの間で現在認証されている1台以上のピアデバイスに問い合せメッセージを送信し、
ピアデバイスから認証資格証明を受信し、
前記未認証のデバイスから認証資格証明を受信し、
前記未認証のデバイスから受信した前記認証資格証明が前記ピアデバイスから受信した前記認証資格証明と一致する場合に、前記未認証のデバイスを認証するように構成された送受信器を有するデバイス。
【請求項27】
第2のデバイスに認証要求を送信するための手段と、
前記第2のデバイスとの間で現在認証されている1台以上のピアデバイスから認証資格証明を受信するための手段と、
前記受信した認証資格証明を前記第2のデバイスに送信するための手段と、を有するデバイス。
【請求項28】
第2のデバイスにより第1のデバイスを認証するために使用されるデバイスであって、前記デバイスは前記第2のデバイスとの間で認証されており、前記デバイスは、
前記第2のデバイスから、前記第1のデバイスの識別情報を含む問い合せメッセージを受信し、
前記デバイスが前記第1のデバイスとの間で認証されているかどうかを判定し、認証されている場合に、
前記第1のデバイスに認証資格証明を送信し、
前記第2のデバイスに認証資格証明を送信するように構成されているデバイス。
【請求項29】
前記認証資格証明は認証キーである請求項26〜28のいずれか1項に記載のデバイス。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2011−503926(P2011−503926A)
【公表日】平成23年1月27日(2011.1.27)
【国際特許分類】
【出願番号】特願2010−527538(P2010−527538)
【出願日】平成20年10月6日(2008.10.6)
【国際出願番号】PCT/GB2008/003383
【国際公開番号】WO2009/044174
【国際公開日】平成21年4月9日(2009.4.9)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.UNIX
【出願人】(507345538)アイティーアイ スコットランド リミテッド (34)
【Fターム(参考)】
【公表日】平成23年1月27日(2011.1.27)
【国際特許分類】
【出願日】平成20年10月6日(2008.10.6)
【国際出願番号】PCT/GB2008/003383
【国際公開番号】WO2009/044174
【国際公開日】平成21年4月9日(2009.4.9)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.UNIX
【出願人】(507345538)アイティーアイ スコットランド リミテッド (34)
【Fターム(参考)】
[ Back to top ]