JP2013135255A - Terminal authentication method based on switching of ip subsystem network and proxy subscriber information server - Google Patents

Terminal authentication method based on switching of ip subsystem network and proxy subscriber information server Download PDF

Info

Publication number
JP2013135255A
JP2013135255A JP2011282758A JP2011282758A JP2013135255A JP 2013135255 A JP2013135255 A JP 2013135255A JP 2011282758 A JP2011282758 A JP 2011282758A JP 2011282758 A JP2011282758 A JP 2011282758A JP 2013135255 A JP2013135255 A JP 2013135255A
Authority
JP
Japan
Prior art keywords
subscriber information
server
authentication information
proxy
session control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011282758A
Other languages
Japanese (ja)
Other versions
JP5809048B2 (en
Inventor
Hidetoshi Yokota
英俊 横田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2011282758A priority Critical patent/JP5809048B2/en
Publication of JP2013135255A publication Critical patent/JP2013135255A/en
Application granted granted Critical
Publication of JP5809048B2 publication Critical patent/JP5809048B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a terminal authentication method and a proxy subscriber information server which allow a number of user terminals to switch IMS networks at a time without placing a heavy processing load on a specific HSS.SOLUTION: First, a user terminal 1 executes a position registration sequence between itself and a first S-CSCF41 of a first IMS network. At this time, the first S-CSCF41 transmits a position registration request to a proxy HSS7. The proxy HSS7 acquires authentication information of the user terminal 1 from a proxy HSS6 and retains it. Next, the user terminal 1 transmits a position registration request to a second S-CSCF42 when switching the first IMS network to a second IMS network. The second S-CSCF42 acquires the authentication information based on the user terminal 1 from the proxy HSS7 and retains it.

Description

本発明は、IP(Internet Protocol)サブシステムネットワーク(以下「IMS」(IP Multimedia Subsystem)ネットワークという)を切り替える際に実行される端末認証シーケンスの技術に関する。   The present invention relates to a technique of a terminal authentication sequence executed when switching an IP (Internet Protocol) subsystem network (hereinafter referred to as an “IMS” (IP Multimedia Subsystem) network).

従来、第3世代移動通信システムにおけるセキュリティアーキテクチャとして、認証方法及び鍵配送方法に関する技術がある(例えば非特許文献1参照)。また、第3世代移動通信システム上に構築されるIMSネットワークにおけるセキュリティに関する技術もある(例えば非特許文献2参照)。   Conventionally, there is a technique related to an authentication method and a key distribution method as a security architecture in a third generation mobile communication system (see, for example, Non-Patent Document 1). There is also a technology related to security in an IMS network constructed on a third generation mobile communication system (see, for example, Non-Patent Document 2).

IMSネットワークは、IPネットワークを介するマルチメディアアプリケーション(音声、映像及びデータ)を提供するために標準化されたサービス制御方式である。これは、次世代携帯電話ネットワーク又はNGN(Next Generation Network)を実現する中核技術である。これにより、固定網及び移動網が統合され、全ての端末がIPベースで通信するオールIP化が実現される。具体的には、IMSネットワークは、複数のSIP(Session Initiation Protocol)サーバを用いて、必要なネットワークリソースの割り当て及びゲートの制御を実行するためのものである。SIPは、IPにおける呼制御プロトコルであって、端末間で通信に必要なIPアドレス、ポート番号及びエンコーディングをネゴシエーションすると共に、発呼及び着呼を制御する。   The IMS network is a standardized service control method for providing multimedia applications (voice, video and data) via an IP network. This is a core technology that realizes the next generation mobile phone network or NGN (Next Generation Network). As a result, the fixed network and the mobile network are integrated, and all-IP communication is realized in which all terminals communicate on an IP basis. Specifically, the IMS network is for performing necessary network resource allocation and gate control using a plurality of SIP (Session Initiation Protocol) servers. SIP is a call control protocol in IP, which negotiates an IP address, a port number, and encoding necessary for communication between terminals, and controls outgoing and incoming calls.

図1は、従来技術におけるIMSネットワークのシステム構成図である。   FIG. 1 is a system configuration diagram of an IMS network in the prior art.

図1のシステムによれば、第1及び第2のIMSネットワークが、トランスポートネットワークにおけるネットワークリソースの管理のために備えられている。第1のIMSネットワークは通常時に使用されるものであり、第2のIMSネットワークはバックアップ時に使用されるものである。このように、IMSネットワークを冗長的に構成することによって、システム全体の耐障害性を高めることができる。   According to the system of FIG. 1, first and second IMS networks are provided for managing network resources in a transport network. The first IMS network is used during normal times, and the second IMS network is used during backup. Thus, the fault tolerance of the whole system can be improved by configuring the IMS network redundantly.

トランスポートネットワークは、ゲートウェイ2を介してアクセスネットワークと相互接続される。アクセスネットワークとは、例えば携帯電話網や、無線/有線ブロードバンドアクセスネットワークであって、例えば携帯電話機やスマートフォンのようなユーザ端末1から接続されるものである。ユーザ端末1は、アクセスネットワークを介してトランスポートネットワークに接続し、IMSネットワーク内のSIPサーバと通信することによって相手方端末とセッションを確立することができる。   The transport network is interconnected with the access network via the gateway 2. The access network is, for example, a mobile phone network or a wireless / wired broadband access network, and is connected from the user terminal 1 such as a mobile phone or a smartphone. The user terminal 1 can establish a session with the counterpart terminal by connecting to the transport network via the access network and communicating with the SIP server in the IMS network.

各IMSネットワークは、呼セッション制御機能(CSCF(Call Session Control Function))として、P−CSCF(Proxy-CSCF)3と、S−CSCF(Serving-CSCF)4と、I−CSCF(Interrogating-CSCF)5とを有する。また、全てのIMSネットワークから共通にアクセス可能であって、加入者情報(加入者プロファイルUP、UserProfile)を蓄積したHSS(加入者情報サーバ、Home Subscriber Server)6を有する。   Each IMS network has P-CSCF (Proxy-CSCF) 3, S-CSCF (Serving-CSCF) 4, and I-CSCF (Interrogating-CSCF) as a call session control function (CSCF). And 5. Further, it has an HSS (Subscriber Information Server, Home Subscriber Server) 6 that can be commonly accessed from all the IMS networks and stores subscriber information (subscriber profile UP, UserProfile).

P−CSCF3は、ユーザ端末1から、ゲートウェイ2を介して直接的にアクセスされる。P−CSCF3は、セッション毎にメディア情報を抽出し、セッション確立時にゲートウェイ2に対するゲート制御及びリソース制御を指示する。P−CSCF3は、ユーザ端末からの位置登録時に決定され、ゲートウェイ2(又はSIP対応端末)との間にセキュアなIPsecトンネルを確立する。そのために、第1のIMSネットワークに障害が発生し、第2のIMSネットワークへ切り替える場合、ユーザ端末1は、第2のIMSネットワークへ向けてセッションを再確立する必要がある。   The P-CSCF 3 is directly accessed from the user terminal 1 via the gateway 2. The P-CSCF 3 extracts media information for each session and instructs gate control and resource control for the gateway 2 when the session is established. The P-CSCF 3 is determined at the time of location registration from the user terminal, and establishes a secure IPsec tunnel with the gateway 2 (or SIP compatible terminal). Therefore, when a failure occurs in the first IMS network and switching to the second IMS network, the user terminal 1 needs to re-establish a session toward the second IMS network.

S−CSCF4は、サービス実行及び呼セッション制御のための中心的なSIPサーバである。S−CSCF4は、自身が管理するホームネットワークのドメインを有し、そのドメインの範囲内の端末のSIP-URI(SIP - Uniform Resource Identifier)を管理する。また、S−CSCF4は、HSS6と通信することによってユーザ認証を実行する。尚、S−CSCF4は、様々なアプリケーションサーバ(AS:Application Server)と通信することによって、ユーザ端末1に対して様々なサービスを提供することができる。   The S-CSCF 4 is a central SIP server for service execution and call session control. The S-CSCF 4 has a domain of a home network managed by the S-CSCF 4 and manages a SIP-URI (SIP-Uniform Resource Identifier) of terminals within the domain. In addition, the S-CSCF 4 performs user authentication by communicating with the HSS 6. The S-CSCF 4 can provide various services to the user terminal 1 by communicating with various application servers (AS).

I−CSCF5は、ユーザ端末1の登録時に、例えば加入者ロケータ機能にアクセスすることによって、そのユーザ端末の加入者情報を蓄積したHSS6を特定する。そして、HSS6からの指示に応じて、ユーザ端末1を担当するS−CSCF4へ、登録処理を引き継く。I−CSCF5は、複数あるHSS6を負荷分散すると共に、ネットワーク内構成を外部から隠蔽する。   When the user terminal 1 is registered, the I-CSCF 5 specifies the HSS 6 that stores the subscriber information of the user terminal, for example, by accessing the subscriber locator function. And according to the instruction | indication from HSS6, the registration process is taken over to S-CSCF4 in charge of the user terminal 1. FIG. The I-CSCF 5 distributes a plurality of HSSs 6 and conceals the configuration in the network from the outside.

図2は、従来技術のIMSネットワークにおける認証シーケンスである。   FIG. 2 is an authentication sequence in a prior art IMS network.

(S201)ユーザ端末は、通常時、アクセスネットワークを介して、第1のIMSネットワークのP−CSCF31へ、Registerメッセージを送信する。Registerメッセージには、IMPI(IMS Private User Identity)と称されるユーザ端末識別子が含まれる。IMPIは、IMSネットワーク内での一意な識別子であって、SIP URIと同様の形式で表現される。P−CSCF31は、そのRegisterメッセージをI−CSCF51へ転送し、I−CSCF51は、そのRegisterメッセージをS−CSCF41へ転送する。 (S201) The user terminal normally transmits a Register message to the P-CSCF 31 of the first IMS network via the access network. The Register message includes a user terminal identifier called IMPI (IMS Private User Identity). The IMPI is a unique identifier in the IMS network and is expressed in the same format as the SIP URI. The P-CSCF 31 transfers the Register message to the I-CSCF 51, and the I-CSCF 51 transfers the Register message to the S-CSCF 41.

(S202)これに対し、S−CSCF41は、認証情報(認証と鍵生成に必要な情報)として、AV(Authentication Vector)を取得するべく、HSS6へAV-Reqを送信する。AVは、例えば以下の要素を含む。
AV:=RAND || XRES || CK || IK || AUTN
RAND:乱数 128bit
XRES:期待される応答 32-128bit
CK :暗号鍵 128bit
IK :完全性鍵 128bit
AUTN:認証トークン 128bit
SQN :AUTNに基づくシーケンス番号(AVが生成される毎に単調増加) (S202) On the other hand, the S-CSCF 41 transmits an AV-Req to the HSS 6 in order to acquire an AV (Authentication Vector) as authentication information (information necessary for authentication and key generation). AV includes, for example, the following elements.
AV: = RAND || XRES || CK || IK || AUTN
RAND: random number 128bit
XRES: Expected response 32-128bit
CK: Encryption key 128bit
IK: Integrity key 128bit
AUTN: Authentication token 128bit
SQN: Sequence number based on AUTN (monotonically increasing each time an AV is generated)

(S203)ここで、HSS6は、通常、一度にN個(N>1)のAVを生成する。そして、HSS6は、これらN個のAVを含むAV-Req-Respを、S−CSCF41へ応答する。これによって、S−CSCF41は、認証情報としてのAVを保持する。 (S203) Here, the HSS 6 normally generates N (N> 1) AVs at a time. Then, the HSS 6 responds to the S-CSCF 41 with AV-Req-Resp including these N AVs. Accordingly, the S-CSCF 41 holds AV as authentication information.

(S204)そして、S−CSCF41は、401 Auth_Challengeを、I−CSCF51へ応答する。401 Auth_Challengeは、少なくともRAND、AUTN及びSQNを含む。I−CSCF51は、その401 Auth_ChallengeをP−CSCF41へ応答し、P−CSCF41は、その401 Auth_Challengeをユーザ端末1へ応答する。これによって、ユーザ端末は、SQNを復号して保持することができる。 (S204) Then, the S-CSCF 41 responds 401 Auth_Challenge to the I-CSCF 51. 401 Auth_Challenge includes at least RAND, AUTN, and SQN. The I-CSCF 51 responds with the 401 Auth_Challenge to the P-CSCF 41, and the P-CSCF 41 responds with the 401 Auth_Challenge to the user terminal 1. Thereby, the user terminal can decode and hold the SQN.

(S205)次に、ユーザ端末1は、Registerメッセージを、P−CSCF41へ再び送信する。P−CSCF41は、そのRegisterメッセージをI−CSCF51へ転送し、I−CSCF51は、そのRegisterメッセージをS−CSCF41へ転送する。 (S205) Next, the user terminal 1 transmits a Register message to the P-CSCF 41 again. The P-CSCF 41 transfers the Register message to the I-CSCF 51, and the I-CSCF 51 transfers the Register message to the S-CSCF 41.

(S206)これに対し、S−CSCF41は、当該ユーザ端末の加入者情報UP(User Profile)を取得するべく、HSS6へUP-Reqを送信する(Cx-Pull)。 (S206) On the other hand, S-CSCF41 transmits UP-Req to HSS6 in order to acquire the subscriber information UP (User Profile) of the said user terminal (Cx-Pull).

(S207)ここで、HSS6は、そのユーザ端末における加入者情報UPを検索する。そsて、その加入者情報UPを含むUP-Req-Respを、S−CSCF41へ応答する。これによって、S−CSCF41は、ユーザ端末1の加入者情報UPを保持する。 (S207) Here, the HSS 6 searches for the subscriber information UP in the user terminal. Then, UP-Req-Resp including the subscriber information UP is returned to the S-CSCF 41. As a result, the S-CSCF 41 holds the subscriber information UP of the user terminal 1.

(S208)最後に、S−CSCF41は、認証成功を表す200 Auth_Okを、I−CSCF51へ応答する。そして、I−CSCF51は、その200 Auth_OkメッセージをP−CSCF31へ応答し、P−CSCF31は、その200 Auth_Okメッセージをユーザ端末1へ応答する。これによって、ユーザ端末1は、第1のIMSネットワークに対して認証処理を完了する。 (S208) Finally, the S-CSCF 41 responds to the I-CSCF 51 with 200 Auth_Ok indicating a successful authentication. Then, the I-CSCF 51 responds with the 200 Auth_Ok message to the P-CSCF 31, and the P-CSCF 31 responds with the 200 Auth_Ok message to the user terminal 1. As a result, the user terminal 1 completes the authentication process for the first IMS network.

(S220)ここで、第1のIMSネットワークに障害や災害が発生し、ユーザ端末1は、バックアップ用に用意された第2のIMSネットワークに再度、位置登録をする必要性が生じたとする。 (S220) Here, it is assumed that a failure or disaster occurs in the first IMS network, and the user terminal 1 needs to perform location registration again in the second IMS network prepared for backup.

(S221〜S228)ユーザ端末1と第2のIMSネットワークとの間で、前述したS201〜S208と全く同様のシーケンスが実行される。これによって、ユーザ端末1は、第2のIMSネットワークに対して認証処理を完了する。 (S221 to S228) The same sequence as S201 to S208 described above is executed between the user terminal 1 and the second IMS network. As a result, the user terminal 1 completes the authentication process for the second IMS network.

3GPP TS33.102、「3G Security; Securityarchitecture」3GPP TS33.102, "3G Security; Securityarchitecture" 3GPP TS33.203、「3G security; Access securityfor IP-based services」3GPP TS33.203, "3G security; Access security for IP-based services"

図2によれば、第1のIMSネットワークに障害が発生した場合、第1のIMSネットワークに接続する全てのユーザ端末1が、第2のIMSネットワークへ切り替えなければならない。即ち、全てのユーザ端末1が、第2のIMSネットワークとの間で、再度、位置登録シーケンスにおける認証処理を実行する必要がある。このとき、ユーザ端末1毎に実行される認証処理によって、HSS6に対するトラヒック負荷が急激に増加するという問題があった。特に、HSS6によれば、AVの生成に係る処理負荷量が多い。そのために、HSS6は、多数のユーザ端末1における多数のAV-reqがS−CSCFから受信された場合、処理負荷が膨大となって、処理遅延が大きく発生する。   According to FIG. 2, if a failure occurs in the first IMS network, all user terminals 1 connected to the first IMS network must switch to the second IMS network. That is, all the user terminals 1 need to execute the authentication process in the location registration sequence again with the second IMS network. At this time, there has been a problem that the traffic load on the HSS 6 is rapidly increased by the authentication process executed for each user terminal 1. In particular, according to HSS6, the processing load amount related to the generation of AV is large. Therefore, in the HSS 6, when a large number of AV-reqs in a large number of user terminals 1 are received from the S-CSCF, the processing load becomes enormous and a processing delay is greatly generated.

勿論、前述したように、HSS6は、一度にN個のAVを生成することができる。しかしながら、これらAVは全て、通常時の第1のIMSネットワークのS−CSCF41に格納される。即ち、バックアップ時の第2のIMSネットワークのS−CSCF42は、それらAVを利用することができず、再度、AV-reqをHSS6へ送信する必要がある。   Of course, as described above, the HSS 6 can generate N AVs at a time. However, all these AVs are stored in the S-CSCF 41 of the first IMS network at the normal time. That is, the S-CSCF 42 of the second IMS network at the time of backup cannot use these AVs and needs to transmit AV-req to the HSS 6 again.

そこで、本発明は、特定のHSSに膨大な処理負荷がかかることなく、多数のユーザ端末がIMSネットワークを一度に切り替えることができる端末認証方法及びプロキシ加入者情報サーバを提供することを目的とする。   Therefore, an object of the present invention is to provide a terminal authentication method and a proxy subscriber information server in which a large number of user terminals can switch an IMS network at a time without enormous processing load on a specific HSS. .

本発明によれば、
第1のIPサブシステムネットワークに配置された第1のセッション制御サーバと、
第2のIPサブシステムネットワークに配置された第2のセッション制御サーバと、
第1及び第2のIPサブシステムネットワークからアクセス可能な加入者情報サーバと、
第1及び第2のIPサブシステムネットワークに相互接続されるトランスポートネットワークを介して通信可能なユーザ端末と
を有するシステムにおけるIPサブシステムネットワークの切り替え方法であって、
システムは、第1及び第2のIPサブシステムネットワークからアクセス可能な代理加入者情報サーバを更に配置しており、
ユーザ端末が、第1のIPサブシステムネットワークの第1のセッション制御サーバとの間で、位置登録シーケンスを実行する第1のステップと、
第1のセッション制御サーバが、代理加入者情報サーバへ、位置登録要求を送信する第2のステップと、
代理加入者情報サーバが、加入者情報サーバからユーザ端末における認証情報を取得し且つ保持する第3のステップと、
ユーザ端末が、第1のIMSネットワークから第2のIMSネットワークへ切り替える際に、第2のセッション制御サーバへ、位置登録要求を送信する第4のステップと、
第2のセッション制御サーバが、代理加入者情報サーバから当該ユーザ端末に基づく認証情報を取得し且つ保持する第5のステップと
を有することを特徴とする。 According to the present invention,
A first session control server located in the first IP subsystem network;
A second session control server located in the second IP subsystem network;
A subscriber information server accessible from the first and second IP subsystem networks;
A method of switching an IP subsystem network in a system having user terminals capable of communicating via a transport network interconnected to a first and second IP subsystem network,
The system further comprises a proxy subscriber information server accessible from the first and second IP subsystem networks,
A first step in which a user terminal executes a location registration sequence with a first session control server of a first IP subsystem network;
A second step in which the first session control server transmits a location registration request to the proxy subscriber information server;
A third step in which the proxy subscriber information server acquires and holds authentication information in the user terminal from the subscriber information server;
A fourth step of transmitting a location registration request to the second session control server when the user terminal switches from the first IMS network to the second IMS network;
The second session control server includes a fifth step of acquiring and holding authentication information based on the user terminal from the proxy subscriber information server.

本発明のIPサブシステムネットワークの切り替え方法における他の実施形態によれば、
代理加入者情報サーバが、加入者情報サーバから当該ユーザ端末に基づく加入者情報を取得し且つ保持する第6のステップと、
ユーザ端末が、第2のIPサブシステムネットワークの第2のセッション制御サーバへ、位置登録要求を再度送信する第7のステップと、
第2のセッション制御サーバが、代理加入者情報サーバから加入者情報を取得し且つ保持する第8のステップと
を更に有することも好ましい。 According to another embodiment of the IP subsystem network switching method of the present invention,
A proxy subscriber information server acquires and holds subscriber information based on the user terminal from the subscriber information server;
A seventh step in which the user terminal transmits the location registration request again to the second session control server of the second IP subsystem network;
It is also preferable that the second session control server further includes an eighth step of acquiring and holding the subscriber information from the proxy subscriber information server.

本発明のIPサブシステムネットワークの切り替え方法における他の実施形態によれば、
第1のセッション制御サーバ及び第2のセッション制御サーバは、S−CSCF(Serving - Call Session Control Function)であり、
加入者情報サーバは、HSS(Home Subscriber Server)であり、
代理加入者情報サーバは、プロキシHSSであり、
認証情報は、AV(Authentication Vector)であり、
第2のステップについて、第1のS−CSCFは、プロキシHSSへ、iFC(initial Filter Criteria)によって、3rd-Party Registerの位置登録要求を送信することも好ましい。 According to another embodiment of the IP subsystem network switching method of the present invention,
The first session control server and the second session control server are S-CSCF (Serving-Call Session Control Function),
The subscriber information server is an HSS (Home Subscriber Server),
The proxy subscriber information server is a proxy HSS,
The authentication information is AV (Authentication Vector),
Regarding the second step, it is also preferable that the first S-CSCF transmits a 3rd-Party Register location registration request to the proxy HSS by iFC (initial Filter Criteria).

本発明のIPサブシステムネットワークの切り替え方法における他の実施形態によれば、
第1のステップについて、加入者情報サーバは、N個の認証情報(AV0〜AVN-1)を、セッション制御サーバへ割り当て、
第3のステップについて、加入者情報サーバは、N個の認証情報(AVN〜AV2N-1)を、代理加入者情報サーバへ割り当て、
所定値Lに対して、kN-1<Lである限り、第3のステップは実行されないようにすることも好ましい。 According to another embodiment of the IP subsystem network switching method of the present invention,
For the first step, the subscriber information server assigns N pieces of authentication information (AV 0 to AV N-1 ) to the session control server,
For the third step, the subscriber information server assigns N pieces of authentication information (AV N to AV 2N-1 ) to the proxy subscriber information server,
It is also preferable that the third step is not executed as long as kN−1 <L for the predetermined value L.

本発明のIPサブシステムネットワークの切り替え方法における他の実施形態によれば、
代理加入者情報サーバは、複数の認証情報を、R個の集合に区分し、
認証情報の集合単位で、地理的に異なる場所に配置された記憶装置に記憶することも好ましい。 According to another embodiment of the IP subsystem network switching method of the present invention,
The proxy subscriber information server divides a plurality of pieces of authentication information into R sets,
It is also preferable to store the authentication information in a storage device arranged in a geographically different place in units of sets.

本発明のIPサブシステムネットワークの切り替え方法における他の実施形態によれば、代理加入者情報サーバは、各認証情報をR個に分割し、認証情報の分割単位で、地理的に異なる場所に配置された記憶装置に記憶することも好ましい。   According to another embodiment of the IP subsystem network switching method of the present invention, the proxy subscriber information server divides each piece of authentication information into R pieces and arranges them at geographically different locations in units of division of the authentication information. It is also preferable to store in a stored storage device.

本発明によれば、
第1のIPサブシステムネットワークに配置された第1のセッション制御サーバと、
第2のIPサブシステムネットワークに配置された第2のセッション制御サーバと、
第1及び第2のIPサブシステムネットワークからアクセス可能な加入者情報サーバと、
第1及び第2のIPサブシステムネットワークに相互接続されるトランスポートネットワークを介して通信可能なユーザ端末と
通信可能であって、第2のIPサブシステムネットワークに配置された代理加入者情報サーバであって、
第1のIPサブシステムネットワークの第1のセッション制御サーバから、位置登録要求を受信する位置登録要求受信手段と、
位置登録要求を受信した際に、加入者情報サーバへ、認証情報要求を送信し、該認証情報を含む認証情報応答を受信する認証情報要求手段と、
取得した認証情報を、一定期間だけ記憶する認証情報記憶手段と、
第2のIPサブシステムネットワークの第2のセッション制御サーバから、認証情報要求を受信し、認証情報記憶手段から認証情報を選択し、該認証情報を含む認証情報応答を、第2のセッション制御サーバへ応答する認証情報応答手段と
を有することを特徴とする。 According to the present invention,
A first session control server located in the first IP subsystem network;
A second session control server located in the second IP subsystem network;
A subscriber information server accessible from the first and second IP subsystem networks;
A proxy subscriber information server located in the second IP subsystem network, capable of communicating with user terminals capable of communicating via a transport network interconnected to the first and second IP subsystem networks There,
A location registration request receiving means for receiving a location registration request from the first session control server of the first IP subsystem network;
An authentication information requesting means for transmitting an authentication information request to the subscriber information server and receiving an authentication information response including the authentication information when receiving the location registration request;
Authentication information storage means for storing the acquired authentication information for a certain period;
An authentication information request is received from the second session control server of the second IP subsystem network, authentication information is selected from the authentication information storage means, and an authentication information response including the authentication information is sent to the second session control server. And an authentication information response means for responding to.

本発明の代理加入者情報サーバにおける他の実施形態によれば、
認証情報応答手段が実行された後、加入者情報サーバへ、加入者情報要求を送信し、当該ユーザ端末の加入者情報を含む加入者情報応答を受信する加入者情報要求手段と、
取得した加入者情報を、一定期間だけ記憶する加入者情報記憶手段と、
第2のIPサブシステムネットワークの第2のセッション制御サーバから、加入者情報要求を受信し、加入者情報記憶手段から加入者情報を選択し、該加入者情報を含む加入者情報応答を、第2のセッション制御サーバへ応答する加入者情報応答手段と
を有することも好ましい。 According to another embodiment of the proxy subscriber information server of the present invention,
After the authentication information response means is executed, a subscriber information request means for transmitting a subscriber information request to the subscriber information server and receiving a subscriber information response including the subscriber information of the user terminal;
Subscriber information storage means for storing the acquired subscriber information for a certain period;
A subscriber information request is received from the second session control server of the second IP subsystem network, subscriber information is selected from the subscriber information storage means, and a subscriber information response including the subscriber information is sent to the second session control server. It is also preferable to have subscriber information response means for responding to the second session control server.

本発明の代理加入者情報サーバにおける他の実施形態によれば、
第1のセッション制御サーバ及び第2のセッション制御サーバは、S−CSCFであり、
加入者情報サーバは、HSSであり、
代理加入者情報サーバは、プロキシHSSであり、
認証情報は、AVであり、
位置登録要求受信手段は、第1のS−CSCFから、iFCに基づく3rd-Party Registerの位置登録要求を受信することも好ましい。 According to another embodiment of the proxy subscriber information server of the present invention,
The first session control server and the second session control server are S-CSCFs,
The subscriber information server is HSS,
The proxy subscriber information server is a proxy HSS,
The authentication information is AV,
The location registration request receiving means also preferably receives a location registration request for a 3rd-Party Register based on iFC from the first S-CSCF.

本発明の端末認証方法及びプロキシ加入者情報サーバによれば、特定のHSSに膨大な処理負荷がかかることなく、多数のユーザ端末がIMSネットワークを一度に切り替えることができる。   According to the terminal authentication method and proxy subscriber information server of the present invention, a large number of user terminals can switch the IMS network at a time without imposing a huge processing load on a specific HSS.

従来技術におけるIMSネットワークのシステム構成図である。It is a system block diagram of the IMS network in a prior art. 従来技術のIMSネットワークにおける認証シーケンスである。It is an authentication sequence in the IMS network of a prior art. 本発明におけるIMSネットワークのシステム構成図である。It is a system configuration diagram of an IMS network in the present invention. 本発明の通常時のIMSネットワークにおける位置登録シーケンスである。It is a location registration sequence in the IMS network at the normal time of the present invention. 本発明のバックアップ時のIMSネットワークにおける認証シーケンスである。It is an authentication sequence in the IMS network at the time of backup of the present invention. 本発明におけるプロキシHSSの機能構成図である。It is a functional block diagram of the proxy HSS in this invention. HSSからの認証情報の出力経過を表す説明図である。It is explanatory drawing showing the output progress of the authentication information from HSS. プロキシHSSによって認証情報AVを分散管理する第1の説明図である。It is the 1st explanatory view which distributes and manages authentication information AV by proxy HSS. プロキシHSSによって認証情報AVを分散管理する第2の説明図である。It is the 2nd explanatory view which distributes and manages authentication information AV by proxy HSS.

以下では、本発明の実施の形態について、図面を用いて詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

図3は、本発明におけるIMSネットワークのシステム構成図である。   FIG. 3 is a system configuration diagram of the IMS network in the present invention.

図3のシステムによれば、図1と比較して、バックアップ用の第2のIMSネットワークに、プロキシHSS7が更に接続されている。従って、第2のIMSネットワークのS−CSCF42は、HSS6ではなく、プロキシHSS7と通信することによってユーザ認証を実行する。プロキシHSS7は、第1のIMSネットワークのS−CSCF41から登録要求(Register)を受信した際に、HSS6から認証情報(AV)を取得する。そして、プロキシHSS7は、その認証情報を、S−CSCF42からの認証情報要求のために保持する。   According to the system of FIG. 3, as compared with FIG. 1, the proxy HSS 7 is further connected to the second IMS network for backup. Accordingly, the S-CSCF 42 of the second IMS network performs user authentication by communicating with the proxy HSS 7 instead of the HSS 6. When the proxy HSS 7 receives the registration request (Register) from the S-CSCF 41 of the first IMS network, the proxy HSS 7 acquires the authentication information (AV) from the HSS 6. Then, the proxy HSS 7 holds the authentication information for an authentication information request from the S-CSCF 42.

図4は、本発明の通常時のIMSネットワークにおける位置登録シーケンスである。   FIG. 4 is a location registration sequence in a normal IMS network according to the present invention.

(S401〜S408)通常時、ユーザ端末1と第1のIMSネットワークとの間で、前述したS201〜S208と全く同様のシーケンスが実行される。ここで、HSS6から取得した加入者情報UPには、アプリケーションサーバに対する呼び出し条件としてのiFC(initial Filter Criteria)情報が含まれる。図4によれば、iFC情報には、アプリケーションサーバとしてのプロキシHSS6へ、3rd-Party Registerの位置登録要求を送信するべく規定されている。 (S401 to S408) In the normal state, the same sequence as S201 to S208 described above is executed between the user terminal 1 and the first IMS network. Here, the subscriber information UP acquired from the HSS 6 includes iFC (initial Filter Criteria) information as a calling condition for the application server. According to FIG. 4, the iFC information is defined to transmit a location registration request for the 3rd-Party Register to the proxy HSS 6 as the application server.

(S411)第1のS−CSCF41は、ユーザ端末1の位置登録シーケンスの実行後、iFCの処理によって、プロキシHSS7へ、3rd-Party Registerの位置登録要求を送信する。 (S411) After executing the location registration sequence of the user terminal 1, the first S-CSCF 41 transmits a location registration request for the 3rd-Party Register to the proxy HSS 7 by iFC processing.

(S412)プロキシHSS7は、ユーザ端末1における認証情報を保持していない場合、HSS6に対して、Diameterプロトコルを用いて認証情報を問い合わせる。Diameterプロトコルとは、RADIUS(Remote Authentication Dial In User Service)に代わる次世代のAAA(Authentication, Authorization and Accounting)標準プロトコルである。プロキシHSS7は、ユーザ端末1の認証情報を取得するために、DiameterMARを、HSS6へ送信する。 (S412) When the proxy HSS 7 does not hold the authentication information in the user terminal 1, the proxy HSS 7 inquires the HSS 6 about the authentication information using the Diameter protocol. The Diameter protocol is a next-generation AAA (Authentication, Authorization and Accounting) standard protocol that replaces RADIUS (Remote Authentication Dial In User Service). The proxy HSS 7 transmits DiameterMAR to the HSS 6 in order to acquire the authentication information of the user terminal 1.

(S413)HSS6は、受信したDiameterMARに基づいて、更に、N個(N>1)のAVを生成する。通常の位置登録シーケンスであるS403では、AV0〜AVN-1を生成している。そのために、S413では、次のAVN〜AV2N-1が生成される。そして、HSS6は、これらN個のAVを含むDimameterMAAを、プロキシHSS7へ応答する。 (S413) The HSS 6 further generates N (N> 1) AVs based on the received DiameterMAR. In S403, which is a normal location registration sequence, AV 0 to AV N-1 are generated. Therefore, in S413, the following AV N to AV 2N-1 are generated. Then, the HSS 6 responds to the proxy HSS 7 with the DiameterMAA including these N AVs.

(S414)そして、プロキシHSS7は、HSS6から受信したAVを、未使用状態のままで保持する。最後に、プロキシHSS7は、S411の3rd Party Registerに対する401 Okを、S−CSCF41へ応答する。 (S414) Then, the proxy HSS 7 holds the AV received from the HSS 6 in an unused state. Finally, the proxy HSS 7 responds to the S-CSCF 41 with 401 Ok for the third party register in S411.

このように、本発明の位置登録シーケンスは、S401〜S408に加えて、S411〜S414を更に有する。   Thus, the location registration sequence of the present invention further includes S411 to S414 in addition to S401 to S408.

(S420)ここで、第1のIMSネットワークに障害や災害が発生し、ユーザ端末1は、バックアップ用に用意された第2のIMSネットワークに切り替える必要性が生じたとする。即ち、ユーザ端末1は、第2のIMSネットワークに対して、再度、位置登録シーケンスを実行する必要がある。 (S420) Here, it is assumed that a failure or disaster occurs in the first IMS network, and the user terminal 1 needs to switch to the second IMS network prepared for backup. That is, the user terminal 1 needs to execute the location registration sequence again for the second IMS network.

図5は、本発明のバックアップ時のIMSネットワークにおける認証シーケンスである。   FIG. 5 is an authentication sequence in the IMS network at the time of backup according to the present invention.

(S501)ユーザ端末は、バックアップ時、アクセスネットワークを介して、第2のIMSネットワークのP−CSCF32へ、Registerメッセージを送信する。P−CSCF32は、そのRegisterメッセージをI−CSCF52へ転送し、I−CSCF52は、そのRegisterメッセージをS−CSCF42へ転送する。 (S501) At the time of backup, the user terminal transmits a Register message to the P-CSCF 32 of the second IMS network via the access network. The P-CSCF 32 transfers the Register message to the I-CSCF 52, and the I-CSCF 52 transfers the Register message to the S-CSCF 42.

(S502)これに対し、S−CSCF42は、認証情報のAVを取得するべく、プロキシHSS7へAV-Reqを送信する。 (S502) On the other hand, the S-CSCF 42 transmits AV-Req to the proxy HSS 7 in order to acquire the AV of the authentication information.

(S503)ここで、プロキシHSS7は、通常時に保持しておいたN個のAVを選択する。そして、プロキシHSS7は、これらN個のAVを含むAV-Req-Respを、S−CSCF42へ応答する。これによって、S−CSCF41は、認証情報としてのAVを保持する。このように、通常時にプロキシHSS7が認証情報を予め保持しておくことによって、バックアップ時に、S−CSCF42は、特定のHSS6ではなくプロキシHSS7から認証情報を取得することができ、認証処理に係る処理負荷及び処理時間を低減させることができる。 (S503) Here, the proxy HSS 7 selects the N AVs stored in the normal time. Then, the proxy HSS 7 responds to the S-CSCF 42 with AV-Req-Resp including these N AVs. Accordingly, the S-CSCF 41 holds AV as authentication information. As described above, when the proxy HSS 7 normally holds the authentication information in a normal state, the S-CSCF 42 can acquire the authentication information from the proxy HSS 7 instead of the specific HSS 6 at the time of backup. Load and processing time can be reduced.

(S504)このとき、プロキシHSS7は、加入者情報UPを予め取得し且つ保持するべく、HSS6へUP-Reqを送信する。 (S504) At this time, the proxy HSS 7 transmits UP-Req to the HSS 6 in order to acquire and hold the subscriber information UP in advance.

(S505)これに対し、HSS6は、加入者情報UPを検索し、その加入者情報UPを含むUP-Req-Respを、プロキシHSS7へ応答する。これによって、プロキシHSS7は、認証シーケンスが成功する以前に、加入者情報UPを予め保持することができる。 (S505) In response to this, the HSS 6 searches for the subscriber information UP, and responds to the proxy HSS 7 with UP-Req-Resp including the subscriber information UP. Accordingly, the proxy HSS 7 can hold the subscriber information UP before the authentication sequence is successful.

(S506)S503の後、S−CSCF42は、認証成功を表す200 Auth_Okを、I−CSCF52へ応答する。そして、I−CSCF52は、その200 Auth_OkメッセージをP−CSCF32へ応答し、P−CSCF32は、その200 Auth_Okメッセージをユーザ端末1へ応答する。 (S506) After S503, the S-CSCF 42 responds to the I-CSCF 52 with 200 Auth_Ok indicating successful authentication. Then, the I-CSCF 52 responds with the 200 Auth_Ok message to the P-CSCF 32, and the P-CSCF 32 responds with the 200 Auth_Ok message to the user terminal 1.

(S507)次に、ユーザ端末1は、Registerメッセージを、P−CSCF42へ再び送信する。P−CSCF42は、そのRegisterメッセージをI−CSCF52へ転送し、I−CSCF52は、そのRegisterメッセージをS−CSCF42へ転送する。 (S507) Next, the user terminal 1 transmits a Register message to the P-CSCF 42 again. The P-CSCF 42 transfers the Register message to the I-CSCF 52, and the I-CSCF 52 transfers the Register message to the S-CSCF 42.

(S508)これに対し、S−CSCF42は、当該ユーザ端末の加入者情報UPを取得するべく、プロキシHSS7へUP-Reqを送信する(Cx-Pull)。 (S508) On the other hand, the S-CSCF 42 transmits UP-Req to the proxy HSS 7 in order to acquire the subscriber information UP of the user terminal (Cx-Pull).

(S509)ここで、プロキシHSS7は、加入者情報UPを含むUP-Req-Respを、S−CSCF42へ応答する。これによって、S−CSCF42は、ユーザ端末1の加入者情報UPを保持する。このように、プロキシHSS7は、認証シーケンスが成功する以前に、加入者情報UPをHSS6から予め取得しておくことができ、登録時間を短縮することができる。 (S509) Here, the proxy HSS 7 responds to the S-CSCF 42 with UP-Req-Resp including the subscriber information UP. As a result, the S-CSCF 42 holds the subscriber information UP of the user terminal 1. As described above, the proxy HSS 7 can acquire the subscriber information UP from the HSS 6 in advance before the authentication sequence is successful, and the registration time can be shortened.

(S510)そして、S−CSCF42は、認証成功を表す200 Auth_Okを、I−CSCF52へ応答する。そして、I−CSCF52は、その200 Auth_OkメッセージをP−CSCF32へ応答し、P−CSCF32は、その200 Auth_Okメッセージをユーザ端末1へ応答する。 (S510) Then, the S-CSCF 42 responds to the I-CSCF 52 with 200 Auth_Ok indicating a successful authentication. Then, the I-CSCF 52 responds with the 200 Auth_Ok message to the P-CSCF 32, and the P-CSCF 32 responds with the 200 Auth_Ok message to the user terminal 1.

図6は、本発明におけるプロキシHSSの機能構成図である。   FIG. 6 is a functional configuration diagram of the proxy HSS in the present invention.

図6によれば、プロキシHSS7は、位置登録要求受信部71と、認証情報要求部72と、認証情報記憶部73と、認証情報応答部74と、加入者情報要求部75と、加入者情報記憶部76と、加入者情報応答部77とを有する。これら機能構成部は、アプリケーションサーバに搭載されたコンピュータを機能させるプログラムを実行することによって実現され、プロキシHSSとして機能する。   According to FIG. 6, the proxy HSS 7 includes a location registration request receiving unit 71, an authentication information requesting unit 72, an authentication information storing unit 73, an authentication information responding unit 74, a subscriber information requesting unit 75, and subscriber information. A storage unit 76 and a subscriber information response unit 77 are provided. These functional components are realized by executing a program that causes a computer installed in the application server to function, and function as a proxy HSS.

位置登録要求受信部71は、第1のIMSネットワークの第1のS−CSCF41から、3rd Party Registerの位置登録要求を受信する(図4のS411参照)。3rd Party Registerの位置登録要求は、第1のS−CSCF41におけるiFC(initial Filter Criteria)に基づくものである。位置登録要求を受信した旨が、認証情報要求部72へ出力される。   The location registration request receiving unit 71 receives a location registration request for the 3rd Party Register from the first S-CSCF 41 of the first IMS network (see S411 in FIG. 4). The location registration request of the 3rd Party Register is based on iFC (initial Filter Criteria) in the first S-CSCF 41. The fact that the location registration request has been received is output to the authentication information request unit 72.

認証情報要求部72は、位置登録要求を受信した際に、HSS6へ、認証情報要求(Diameter MAR)を送信し、その認証情報を含む認証情報応答(Diameter MAA)を受信する(図4のS412及びS413参照)。受信した認証情報AVは、認証情報記憶部73へ出力される。   When receiving the location registration request, the authentication information request unit 72 transmits an authentication information request (Diameter MAR) to the HSS 6 and receives an authentication information response (Diameter MAA) including the authentication information (S412 in FIG. 4). And S413). The received authentication information AV is output to the authentication information storage unit 73.

認証情報記憶部73は、取得した認証情報AVを、一定期間だけ記憶する(図4のS414参照)。   The authentication information storage unit 73 stores the acquired authentication information AV for a certain period (see S414 in FIG. 4).

認証情報応答部74は、第2のIMSネットワークの第2のS−CSCF42から、認証情報要求AV-Reqを受信し、認証情報記憶部73から認証情報を選択し、その認証情報を含む認証情報応答AV-Req-Respを、第2のS−CSCF42へ応答する(図5のS502及びS503参照)。   The authentication information response unit 74 receives the authentication information request AV-Req from the second S-CSCF 42 of the second IMS network, selects the authentication information from the authentication information storage unit 73, and includes the authentication information. The response AV-Req-Resp is returned to the second S-CSCF 42 (see S502 and S503 in FIG. 5).

加入者情報要求部75は、認証情報応答部74が実行された後、HSS6へ、加入者情報要求UP-Reqを送信し、当該ユーザ端末の加入者情報を含む加入者情報応答UP-Req-Respを受信する(図5のS504及びS505参照)。受信した加入者情報UPは、加入者情報記憶部76へ出力される。   After the authentication information response unit 74 is executed, the subscriber information request unit 75 transmits a subscriber information request UP-Req to the HSS 6, and a subscriber information response UP-Req- including the subscriber information of the user terminal. Resp is received (see S504 and S505 in FIG. 5). The received subscriber information UP is output to the subscriber information storage unit 76.

加入者情報記憶部76は、取得した加入者情報UPを、一定期間だけ記憶する。   The subscriber information storage unit 76 stores the acquired subscriber information UP for a certain period.

加入者情報応答部77は、第2のIMSネットワークの第2のS−CSCF42から、加入者情報要求UP-Reqを受信し、加入者情報記憶部76から加入者情報を選択し、その加入者情報を含む加入者情報応答UP-Req-Respを、第2のS−CSCF42へ応答する(図5のS508及びS509参照)。   The subscriber information response unit 77 receives the subscriber information request UP-Req from the second S-CSCF 42 of the second IMS network, selects the subscriber information from the subscriber information storage unit 76, and receives the subscriber information. The subscriber information response UP-Req-Resp including the information is returned to the second S-CSCF 42 (see S508 and S509 in FIG. 5).

図7は、HSSからの認証情報の出力経過を表す説明図である。   FIG. 7 is an explanatory diagram showing the output progress of authentication information from the HSS.

図7によれば、通常時に、HSS6が、S−CSCF41及びプロキシHSS7へ割り当てる認証情報AVの出力経過を表す。
(S71)最初に、HSS6は、第1のIMSネットワークのS−CSCF41からのAV-Reqを受信した際に、N個の認証情報(AV0〜AVN-1)を生成する。認証情報AV (k-1)N〜AVkN-1と表した場合、k=1とする。k=シーケンス番号SQNは、認証情報AVが生成される毎に更新される。そして、HSS6は、これら認証情報を含むAV-Req-Respを、S−CSCF41へ応答する。 According to FIG. 7, the output process of the authentication information AV that the HSS 6 assigns to the S-CSCF 41 and the proxy HSS 7 at the normal time is shown.
(S71) First, when receiving the AV-Req from the S-CSCF 41 of the first IMS network, the HSS 6 generates N pieces of authentication information (AV 0 to AV N-1 ). When authentication information AV (k-1) N to AV kN-1 is expressed, k = 1. k = sequence number SQN is updated every time the authentication information AV is generated. Then, the HSS 6 responds to the S-CSCF 41 with AV-Req-Resp including these authentication information.

(S72)次に、本発明によれば、HSS6は、プロキシHSS7からのAV-Reqを受信した際に、N個の認証情報(AVN〜AV2N-1)を生成する。認証情報AV(k-1)N〜AVkN-1と表した場合、k=2とする。そして、HSS6は、これら認証情報を含むAV-Req-RespをプロキシHSS7へ応答する。 (S72) Next, according to the present invention, the HSS 6 generates N pieces of authentication information (AV N to AV 2N-1 ) when receiving the AV-Req from the proxy HSS 7. When authentication information AV (k-1) N to AV kN-1 is expressed, k = 2. Then, the HSS 6 responds to the proxy HSS 7 with AV-Req-Resp including these authentication information.

(S73)次に、第1のIMSネットワークのS−CSCF41からのAV-Reqを受信した際に、N個の認証情報(AV2N〜AV3N-1)を生成する。認証情報AV(k-1)N〜AVkN-1と表した場合、k=3とする。そして、HSS6は、これら認証情報を含むAV-Req-Respを、S−CSCF41へ応答する。 (S73) Next, when AV-Req is received from the S-CSCF 41 of the first IMS network, N pieces of authentication information (AV 2N to AV 3N-1 ) are generated. When authentication information AV (k-1) N to AV kN-1 is expressed, k = 3. Then, the HSS 6 responds to the S-CSCF 41 with AV-Req-Resp including these authentication information.

(S74)ここで、HSS6は、所定値Lに対して、kN-1<Lである限り、S72(図4のS411〜S414)は実行されないようにする。 (S74) Here, as long as kN-1 <L with respect to the predetermined value L, the HSS 6 does not execute S72 (S411 to S414 in FIG. 4).

(S75)第1のIMSネットワークのS−CSCF41からのAV-Reqを受信した際に、N個の認証情報(AV(K-1)N〜AVKN-1)を生成する。ここでは、k=K(所定最大値)とする。そして、HSS6は、これら認証情報を含むAV-Req-Respを、S−CSCF41へ応答すると共に、k=0にリセットする。 (S75) Upon receiving AV-Req from the S-CSCF 41 of the first IMS network, N pieces of authentication information (AV (K-1) N to AV KN-1 ) are generated. Here, k = K (predetermined maximum value). Then, the HSS 6 responds to the S-CSCF 41 with AV-Req-Resp including these authentication information, and resets k = 0.

(S76)次に、HSS6は、第1のIMSネットワークのS−CSCF41からのAV-Reqを受信した際に、N個の認証情報(AV0〜AVN-1)を生成する。認証情報AV (k-1)N〜AVkN-1と表した場合、k=1とする。そして、HSS6は、これら認証情報を含むAV-Req-Respを、S−CSCF41へ応答する。 (S76) Next, when receiving the AV-Req from the S-CSCF 41 of the first IMS network, the HSS 6 generates N pieces of authentication information (AV 0 to AV N-1 ). When authentication information AV (k-1) N to AV kN-1 is expressed, k = 1. Then, the HSS 6 responds to the S-CSCF 41 with AV-Req-Resp including these authentication information.

(S77)次に、HSS6は、プロキシHSS7からのAV-Reqを受信した際に、N個の認証情報(AVN〜AV2N-1)を生成する。認証情報AV(k-1)N〜AVkN-1と表した場合、k=2とする。そして、HSS6は、これら認証情報を含むAV-Req-RespをプロキシHSS7へ応答する。 (S77) Next, when receiving the AV-Req from the proxy HSS 7, the HSS 6 generates N pieces of authentication information (AV N to AV 2N-1 ). When authentication information AV (k-1) N to AV kN-1 is expressed, k = 2. Then, the HSS 6 responds to the proxy HSS 7 with AV-Req-Resp including these authentication information.

HSS6は、認証情報AVを生成する毎に、シーケンス番号SQNを更新する。最新のSQNは、ユーザ端末によっても保持される。常に新しいSQNが利用される場合、SQN>SQNMSが仮定されるが、特許文献1の記載によれば、許容値Lが定義されている。ユーザ端末は、「(SQNMS−SQN)<L」である限り、そのAVを受け入れる。従って、バックアップ用の第2のIMSネットワークのための認証情報AVは、第1のIMSネットワークの第1のS−CSCFからAV-Reqを受信する毎に生成する必要はない。即ち、AV-Reqを一定回数受信するまで、バックアップ用の第2のIMSネットワークのための認証情報AVは生成しない。 The HSS 6 updates the sequence number SQN every time the authentication information AV is generated. The latest SQN is also maintained by the user terminal. When a new SQN is always used, SQN> SQN MS is assumed, but according to the description in Patent Document 1, an allowable value L is defined. The user terminal accepts the AV as long as “(SQN MS− SQN) <L”. Therefore, the authentication information AV * for the second IMS network for backup need not be generated every time AV-Req is received from the first S-CSCF of the first IMS network. That is, the authentication information AV * for the second IMS network for backup is not generated until AV-Req is received a certain number of times.

図8は、プロキシHSSによって認証情報AVを分散管理する第1の説明図である。   FIG. 8 is a first explanatory diagram in which the authentication information AV is distributed and managed by the proxy HSS.

プロキシHSS7は、HSS6からバックアップ用のN個の認証情報を受信した際に、それら認証情報を、遠隔に位置する複数のデータベースサーバへ分散して管理する。図8によれば、N個のAV[1]〜AV[N]を、データベースの数のR個(R>1)に分割する。そして、分割されたAVをそれぞれ、各データベースへ転送し、分散管理する。R個のデータベースに分散されることによって、1つのデータベースに障害が発生し、認証情報AVを取得することができなくなっても、別のデータベースを参照することによって、HSS6に対して新たな認証情報AVの生成を依頼する必要もなく、認証情報の蓄積における信頼性が向上する。   When the proxy HSS 7 receives N pieces of authentication information for backup from the HSS 6, the proxy HSS 7 distributes and manages these pieces of authentication information to a plurality of remotely located database servers. According to FIG. 8, N AV [1] to AV [N] are divided into R (R> 1) as the number of databases. Then, each divided AV is transferred to each database and distributedly managed. Even if a failure occurs in one database and the authentication information AV cannot be acquired by being distributed to R databases, new authentication information can be obtained for the HSS 6 by referring to another database. There is no need to request generation of AV, and reliability in accumulating authentication information is improved.

図9は、プロキシHSSによって認証情報AVを分散管理する第2の説明図である。   FIG. 9 is a second explanatory diagram in which the authentication information AV is distributed and managed by the proxy HSS.

図8と異なる他の実施形態として、1つの認証情報AVをR個に分割し、各AVのr番目の複数のブロックを1つのブロックとして、R個のデータベースに分散管理する。これによって、1つのデータベースの内容が悪意の第三者に開示されたとしても、他のR−1個のデータベースを参照しない限り、認証情報AVを完全に復元することができず、認証情報の安全性が向上する。   As another embodiment different from FIG. 8, one piece of authentication information AV is divided into R pieces, and the r-th plurality of blocks of each AV are distributed and managed in R pieces of databases as one block. As a result, even if the contents of one database are disclosed to a malicious third party, the authentication information AV cannot be completely restored unless the other R-1 databases are referred to. Safety is improved.

以上、詳細に説明したように、本発明の端末認証方法及びプロキシ加入者情報サーバによれば、特定のHSSに膨大な処理負荷がかかることなく、多数のユーザ端末がIMSネットワークを一度に切り替えることができる。   As described above in detail, according to the terminal authentication method and proxy subscriber information server of the present invention, a large number of user terminals can switch an IMS network at a time without imposing a huge processing load on a specific HSS. Can do.

前述した本発明の種々の実施形態について、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略は、当業者によれば容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。   Various changes, modifications, and omissions of the above-described various embodiments of the present invention can be easily made by those skilled in the art. The above description is merely an example, and is not intended to be restrictive. The invention is limited only as defined in the following claims and the equivalents thereto.

1 ユーザ端末
2 ゲートウェイ
3、31、32 P−CSCF
4、41、42 S−CSCF
5、51、52 I−CSCF
6 HSS
7 プロキシHSS
71 位置登録要求受信部
72 認証情報要求部
73 認証情報記憶部
74 認証情報応答部
75 加入者情報要求部
76 加入者情報記憶部
77 加入者情報応答部 1 User terminal 2 Gateway 3, 31, 32 P-CSCF
4, 41, 42 S-CSCF
5, 51, 52 I-CSCF
6 HSS
7 Proxy HSS
71 Location Registration Request Reception Unit 72 Authentication Information Request Unit 73 Authentication Information Storage Unit 74 Authentication Information Response Unit 75 Subscriber Information Request Unit 76 Subscriber Information Storage Unit 77 Subscriber Information Response Unit

Claims (9)

第1のIPサブシステムネットワークに配置された第1のセッション制御サーバと、
第2のIPサブシステムネットワークに配置された第2のセッション制御サーバと、
第1及び第2のIPサブシステムネットワークからアクセス可能な加入者情報サーバと、
第1及び第2のIPサブシステムネットワークに相互接続されるトランスポートネットワークを介して通信可能なユーザ端末と
を有するシステムにおけるIPサブシステムネットワークの切り替え方法であって、
前記システムは、第1及び第2のIPサブシステムネットワークからアクセス可能な代理加入者情報サーバを更に配置しており、
前記ユーザ端末が、第1のIPサブシステムネットワークの第1のセッション制御サーバとの間で、位置登録シーケンスを実行する第1のステップと、
第1のセッション制御サーバが、前記代理加入者情報サーバへ、位置登録要求を送信する第2のステップと、
前記代理加入者情報サーバが、前記加入者情報サーバから前記ユーザ端末における認証情報を取得し且つ保持する第3のステップと、
前記ユーザ端末が、第1のIMSネットワークから第2のIMSネットワークへ切り替える際に、第2のセッション制御サーバへ、位置登録要求を送信する第4のステップと、
第2のセッション制御サーバが、前記代理加入者情報サーバから当該ユーザ端末に基づく前記認証情報を取得し且つ保持する第5のステップと
を有することを特徴とするIPサブシステムネットワークの切り替え方法。 A first session control server located in the first IP subsystem network;
A second session control server located in the second IP subsystem network;
A subscriber information server accessible from the first and second IP subsystem networks;
A method of switching an IP subsystem network in a system having user terminals capable of communicating via a transport network interconnected to a first and second IP subsystem network,
The system further includes a proxy subscriber information server accessible from the first and second IP subsystem networks,
A first step in which the user terminal executes a location registration sequence with a first session control server of a first IP subsystem network;
A second step in which a first session control server transmits a location registration request to the proxy subscriber information server;
A third step in which the proxy subscriber information server obtains and holds authentication information in the user terminal from the subscriber information server;
A fourth step of transmitting a location registration request to the second session control server when the user terminal switches from the first IMS network to the second IMS network;
A second session control server has a fifth step of acquiring and holding the authentication information based on the user terminal from the proxy subscriber information server, and a method for switching an IP subsystem network. 前記代理加入者情報サーバが、前記加入者情報サーバから当該ユーザ端末に基づく加入者情報を取得し且つ保持する第6のステップと、
前記ユーザ端末が、第2のIPサブシステムネットワークの第2のセッション制御サーバへ、位置登録要求を再度送信する第7のステップと、
第2のセッション制御サーバが、前記代理加入者情報サーバから前記加入者情報を取得し且つ保持する第8のステップと
を更に有することを特徴とする請求項1に記載のIPサブシステムネットワークの切り替え方法。 A sixth step in which the proxy subscriber information server acquires and holds subscriber information based on the user terminal from the subscriber information server;
A seventh step in which the user terminal again transmits a location registration request to the second session control server of the second IP subsystem network;
2. The IP subsystem network switching according to claim 1, further comprising an eighth step in which the second session control server acquires and holds the subscriber information from the proxy subscriber information server. 3. Method. 第1のセッション制御サーバ及び第2のセッション制御サーバは、S−CSCF(Serving - Call Session Control Function)であり、
前記加入者情報サーバは、HSS(Home Subscriber Server)であり、
前記代理加入者情報サーバは、プロキシHSSであり、
前記認証情報は、AV(Authentication Vector)であり、
第2のステップについて、第1のS−CSCFは、前記プロキシHSSへ、iFC(initial Filter Criteria)によって、3rd-Party Registerの位置登録要求を送信する
ことを特徴とする請求項1又は2に記載のIPサブシステムネットワークの切り替え方法。 The first session control server and the second session control server are S-CSCF (Serving-Call Session Control Function),
The subscriber information server is an HSS (Home Subscriber Server),
The proxy subscriber information server is a proxy HSS;
The authentication information is AV (Authentication Vector),
3. The second step, wherein the first S-CSCF transmits a location registration request for a 3rd-Party Register to the proxy HSS by iFC (initial Filter Criteria). IP subsystem network switching method. 第1のステップについて、前記加入者情報サーバは、N個の認証情報(AV0〜AVN-1)を、前記セッション制御サーバへ割り当て、
第3のステップについて、前記加入者情報サーバは、N個の認証情報(AVN〜AV2N-1)を、前記代理加入者情報サーバへ割り当て、
所定値Lに対して、kN-1<Lである限り、第3のステップは実行されないようにすることを特徴とする請求項1から3のいずれか1項に記載のIPサブシステムネットワークの切り替え方法。 For the first step, the subscriber information server assigns N pieces of authentication information (AV 0 to AV N-1 ) to the session control server,
For the third step, the subscriber information server assigns N pieces of authentication information (AV N to AV 2N-1 ) to the proxy subscriber information server,
4. The IP subsystem network switching according to claim 1, wherein the third step is not executed as long as kN−1 <L with respect to the predetermined value L. 5. Method. 前記代理加入者情報サーバは、複数の前記認証情報を、R(R>1)個の集合に区分し、
前記認証情報の集合単位で、地理的に異なる場所に配置された記憶装置に記憶する
ことを特徴とする請求項1から4のいずれか1項に記載のIPサブシステムネットワークの切り替え方法。 The proxy subscriber information server divides a plurality of the authentication information into R (R> 1) sets,
5. The IP subsystem network switching method according to claim 1, wherein the authentication information is stored in a storage device arranged in a geographically different place in units of the authentication information. 前記代理加入者情報サーバは、各認証情報をR(R>1)個に分割し、
前記認証情報の分割単位で、地理的に異なる場所に配置された記憶装置に記憶する
ことを特徴とする請求項1から4のいずれか1項に記載のIPサブシステムネットワークの切り替え方法。 The proxy subscriber information server divides each authentication information into R (R> 1) pieces,
5. The method of switching an IP subsystem network according to claim 1, wherein the authentication information is stored in a storage device arranged in a geographically different place in units of division of the authentication information. 6. 第1のIPサブシステムネットワークに配置された第1のセッション制御サーバと、
第2のIPサブシステムネットワークに配置された第2のセッション制御サーバと、
第1及び第2のIPサブシステムネットワークからアクセス可能な加入者情報サーバと、
第1及び第2のIPサブシステムネットワークに相互接続されるトランスポートネットワークを介して通信可能なユーザ端末と
通信可能であって、第2のIPサブシステムネットワークに配置された代理加入者情報サーバであって、
第1のIPサブシステムネットワークの第1のセッション制御サーバから、位置登録要求を受信する位置登録要求受信手段と、
前記位置登録要求を受信した際に、前記加入者情報サーバへ、認証情報要求を送信し、該認証情報を含む認証情報応答を受信する認証情報要求手段と、
取得した前記認証情報を、一定期間だけ記憶する認証情報記憶手段と、
第2のIPサブシステムネットワークの第2のセッション制御サーバから、認証情報要求を受信し、前記認証情報記憶手段から前記認証情報を選択し、該認証情報を含む認証情報応答を、第2のセッション制御サーバへ応答する認証情報応答手段と
を有することを特徴とする代理加入者情報サーバ。 A first session control server located in the first IP subsystem network;
A second session control server located in the second IP subsystem network;
A subscriber information server accessible from the first and second IP subsystem networks;
A proxy subscriber information server located in the second IP subsystem network, capable of communicating with user terminals capable of communicating via a transport network interconnected to the first and second IP subsystem networks There,
A location registration request receiving means for receiving a location registration request from the first session control server of the first IP subsystem network;
An authentication information requesting means for transmitting an authentication information request to the subscriber information server when receiving the location registration request and receiving an authentication information response including the authentication information;
Authentication information storage means for storing the acquired authentication information for a certain period;
An authentication information request is received from the second session control server of the second IP subsystem network, the authentication information is selected from the authentication information storage means, and an authentication information response including the authentication information is sent to the second session. A proxy subscriber information server comprising authentication information response means for responding to the control server. 前記認証情報応答手段が実行された後、前記加入者情報サーバへ、加入者情報要求を送信し、当該ユーザ端末の加入者情報を含む加入者情報応答を受信する加入者情報要求手段と、
取得した前記加入者情報を、一定期間だけ記憶する加入者情報記憶手段と、
第2のIPサブシステムネットワークの第2のセッション制御サーバから、加入者情報要求を受信し、前記加入者情報記憶手段から前記加入者情報を選択し、該加入者情報を含む加入者情報応答を、第2のセッション制御サーバへ応答する加入者情報応答手段と
を有することを特徴とする請求項7に記載の代理加入者情報サーバ。 After the authentication information response means is executed, a subscriber information request means for transmitting a subscriber information request to the subscriber information server and receiving a subscriber information response including subscriber information of the user terminal;
Subscriber information storage means for storing the acquired subscriber information for a predetermined period;
A subscriber information request is received from the second session control server of the second IP subsystem network, the subscriber information is selected from the subscriber information storage means, and a subscriber information response including the subscriber information is received. The proxy subscriber information server according to claim 7, further comprising subscriber information response means for responding to the second session control server. 第1のセッション制御サーバ及び第2のセッション制御サーバは、S−CSCFであり、
前記加入者情報サーバは、HSSであり、
前記代理加入者情報サーバは、プロキシHSSであり、
前記認証情報は、AVであり、
前記位置登録要求受信手段は、第1のS−CSCFから、iFCに基づく3rd-Party Registerの位置登録要求を受信する
ことを特徴とする請求項7又は8に記載の代理加入者情報サーバ。 The first session control server and the second session control server are S-CSCFs,
The subscriber information server is an HSS;
The proxy subscriber information server is a proxy HSS;
The authentication information is AV;
9. The proxy subscriber information server according to claim 7, wherein the location registration request receiving unit receives a location registration request of a 3rd-Party Register based on iFC from the first S-CSCF.
JP2011282758A 2011-12-26 2011-12-26 Terminal authentication method based on switching of IP subsystem network and proxy subscriber information server Expired - Fee Related JP5809048B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011282758A JP5809048B2 (en) 2011-12-26 2011-12-26 Terminal authentication method based on switching of IP subsystem network and proxy subscriber information server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011282758A JP5809048B2 (en) 2011-12-26 2011-12-26 Terminal authentication method based on switching of IP subsystem network and proxy subscriber information server

Publications (2)

Publication Number Publication Date
JP2013135255A true JP2013135255A (en) 2013-07-08
JP5809048B2 JP5809048B2 (en) 2015-11-10

Family

ID=48911703

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011282758A Expired - Fee Related JP5809048B2 (en) 2011-12-26 2011-12-26 Terminal authentication method based on switching of IP subsystem network and proxy subscriber information server

Country Status (1)

Country Link
JP (1) JP5809048B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017208728A (en) * 2016-05-19 2017-11-24 ソフトバンク株式会社 Communication terminal and communication program

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006332837A (en) * 2005-05-24 2006-12-07 Nec Mobiling Ltd Mobile communication system, line controller, mobile communication method, and program
CN101090569A (en) * 2006-10-18 2007-12-19 中兴通讯股份有限公司 Automatic selecting method for attached user server of IP multimedium subsystem
US20080311917A1 (en) * 2007-06-15 2008-12-18 Tekelec Methods, systems, and computer program products for identifying a serving home subscriber server (HSS) in a communications network
US20100250662A1 (en) * 2009-03-25 2010-09-30 Devesh Agarwal Methods, systems, and computer readable media for providing home subscriber server (hss) proxy
US20110029689A1 (en) * 2004-08-19 2011-02-03 Alan Darbyshire Resilient network database

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110029689A1 (en) * 2004-08-19 2011-02-03 Alan Darbyshire Resilient network database
JP2006332837A (en) * 2005-05-24 2006-12-07 Nec Mobiling Ltd Mobile communication system, line controller, mobile communication method, and program
CN101090569A (en) * 2006-10-18 2007-12-19 中兴通讯股份有限公司 Automatic selecting method for attached user server of IP multimedium subsystem
US20080311917A1 (en) * 2007-06-15 2008-12-18 Tekelec Methods, systems, and computer program products for identifying a serving home subscriber server (HSS) in a communications network
US20100250662A1 (en) * 2009-03-25 2010-09-30 Devesh Agarwal Methods, systems, and computer readable media for providing home subscriber server (hss) proxy

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JPN6015017927; 高橋英雄, 他: 'HSS の固定IP 網への適用に関する考察 -SIP サーバ移行工事の保守作業時間短縮に向けた検討-' 電子情報通信学会技術研究報告. NS, ネットワークシステム 110巻(448号), 20110224, p.399-402 *
JPN6015017928; Matuszewski, M., ET AL: 'A Distributed IP Multimedia Subsystem (IMS)' World of Wireless, Mobile and Multimedia Networks, 2007. WoWMoM 2007. IEEE International Symposium , 20070621, p.1-8 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017208728A (en) * 2016-05-19 2017-11-24 ソフトバンク株式会社 Communication terminal and communication program

Also Published As

Publication number Publication date
JP5809048B2 (en) 2015-11-10

Similar Documents

Publication Publication Date Title
US9906566B2 (en) Voice session termination for messaging clients in IMS
US8170005B2 (en) Methods and systems for assigning call session control server
ES2831255T3 (en) Dynamic allocation of a service network node
JP4909773B2 (en) Home subscriber server configuration method, configuration system, program, and storage medium
US9294337B2 (en) Methods and systems for integrating independent IMS and WebRTC networks
CN107925848B (en) Method and system for identity management across multiple planes
CN102177698B (en) Correlating communication sessions
US10757144B2 (en) Session control logic with internet protocol (IP)-based routing
KR20130024953A (en) Transmitting authentication information
EP2569998B1 (en) Enabling set up of a connection from a non-registered UE in IMS
AU2010295060A1 (en) Method, device and system for implementing emergency call override service
JP5366861B2 (en) Method, management device, and program for migrating session between gateway and SIP server
US9578068B2 (en) Methods and apparatus for processing an IMS session
EP3471379B1 (en) Method and apparatuses for multi-identity service based on registration of shared identities
RU2600105C2 (en) Network object and method for controlling transmission of protocol data for initiation of communication session to user object in communication network
CN106790055B (en) Registration method and device of IMS (IP multimedia subsystem)
JP5173865B2 (en) Location registration method and system for connecting SIP client compatible device to IP subsystem network
JP5809048B2 (en) Terminal authentication method based on switching of IP subsystem network and proxy subscriber information server
CN108881118B (en) IMS (IP multimedia subsystem) cascade networking method and equipment
JP2016213604A (en) Communication device and management method
JP4854035B2 (en) Call connection method and system using a plurality of policy control servers in IMS / MMD system
JP7045129B2 (en) Session control server switching method, management server and program
JP2011172036A (en) Method for changing sip server connecting by terminal under registration, server, and program
Čačković et al. Interoperability between machine-to-machine communication system and IP multimedia subsystem
Ali et al. SIP based IMS registration signalling for LTE-based femtocell networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140725

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150430

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150511

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150709

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150818

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150910

R150 Certificate of patent or registration of utility model

Ref document number: 5809048

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees