JP4547296B2 - アクセス制御システム及びアクセス制御方法 - Google Patents
アクセス制御システム及びアクセス制御方法 Download PDFInfo
- Publication number
- JP4547296B2 JP4547296B2 JP2005133499A JP2005133499A JP4547296B2 JP 4547296 B2 JP4547296 B2 JP 4547296B2 JP 2005133499 A JP2005133499 A JP 2005133499A JP 2005133499 A JP2005133499 A JP 2005133499A JP 4547296 B2 JP4547296 B2 JP 4547296B2
- Authority
- JP
- Japan
- Prior art keywords
- access control
- control information
- access system
- access
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、アクセスシステム、多様アクセスシステム収容装置、認証承認鍵生成装置及びアクセス制御方法に関する。
従来、ネットワークでは多様なサービス形態を実現する為に、3G RANやWLANといった多様なアクセスシステムを収容することが行われている(例えば、非特許文献1参照。)。
将来的には、既存の様々なアクセスシステムに、新規のアクセスシステムを追加するなど多様なアクセスシステムを収容する場合、コアネットワーク内は統一プロトコルで管理して、効率的に多様なアクセスシステムを収容することを目指している。
その中で、アクセス制御については、アクセスシステム毎に依存しない秘匿とIntegrity鍵との生成機能を統一的に管理することが必要となる。
ここで、アクセス制御とは、端末がアクセスシステムを経由してネットワークに接続し契約したサービスを利用する際の、端末を利用するユーザの認証、そのユーザが利用可能なサービスの承認、及び端末とネットワーク間で転送されるデータの秘匿及びインテグリティ確保の為の鍵生成及びその鍵をアクセスシステムへ転送する為の制御のことである。
"複数無線アクセスシステム間調整のためのMASC(Multi-Access System Coordinator)機能"柿島純、田辺哲通、天田博章、田村基、社団法人電子情報通信学会 信学技報、2004年10月
"複数無線アクセスシステム間調整のためのMASC(Multi-Access System Coordinator)機能"柿島純、田辺哲通、天田博章、田村基、社団法人電子情報通信学会 信学技報、2004年10月
上述したように、3G RANやWLANといった多様なアクセスシステムを収容する為には、アクセスシステム毎にアクセス制御を具備する必要がある。殊に、鍵生成機能をアクセスシステム毎に具備しなければならない。
よって、新規アクセスシステム導入に際しては、同等の複数アクセス制御を開発及び実装しなければならず、冗長開発による開発規模肥大と迅速な実装の弊害という課題があった。
そこで、本発明は、上記の課題に鑑み、開発費を低減し、迅速な実装を可能とするアクセスシステム、多様アクセスシステム収容装置、認証承認鍵生成装置及びアクセス制御方法を提供することを目的とする。
上記目的を達成するため、本発明の第1の特徴は、端末装置及びアクセスシステムに対応する鍵生成情報を生成する多様アクセスシステム収容装置に接続されるアクセスシステムであって、(a)端末装置から、アクセスシステムに対応するユーザIDとユーザ認証情報とを含む第1のアクセス制御情報を受信するアクセス制御情報受信部と、(b)第1のアクセス制御情報にアクセスシステムのアクセスシステム識別子情報を付加し、第2のアクセス制御情報を生成するアクセス制御情報処理部と、(c)多様アクセスシステム収容装置に対して第2のアクセス制御情報を転送するアクセス制御情報転送部とを備えるアクセスシステムであることを要旨とする。
第1の特徴に係るアクセスシステムによると、アクセスシステム識別子情報を付加し、第2のアクセス制御情報を生成することにより、多様なアクセスシステムを収容する場合に、開発費を低減し、迅速な実装を可能とすることができる。
又、本発明の第2の特徴は、アクセスシステム及び端末装置のユーザ認証処理とユーザ承認処理と秘匿とインテグリティ確保の為の鍵情報生成処理とを行う認証承認鍵生成装置に接続され、アクセスシステムに対応する鍵生成情報を生成する多様アクセスシステム収容装置であって、(a)アクセスシステムから、アクセスシステムに対応するユーザIDとユーザ認証情報とアクセスシステム識別子情報とを含む第2のアクセス制御情報を受信する第1のアクセス制御情報受信部と、(b)第2のアクセス制御情報に基づいて、認証承認鍵生成装置に対応する統一ユーザIDとユーザ認証情報と鍵生成情報とを含む第3のアクセス制御情報を生成する第1のアクセス制御情報生成部と、(c)認証承認鍵生成装置に対して、第3のアクセス制御情報を転送する第1のアクセス制御情報転送部と、(d)認証承認鍵生成装置から、統一ユーザIDと、秘匿とインテグリティ確保の為の鍵情報とを含む第4のアクセス制御情報を受信する第2のアクセス制御情報受信部と、(e)第4のアクセス制御情報に基づいて、アクセスシステムに対応するユーザIDと秘匿とインテグリティ確保の為の情報とを含む第5のアクセス制御情報を生成する第2のアクセス制御情報生成部と、(f)アクセスシステムに対して、第5のアクセス制御情報を転送する第2のアクセス制御情報転送部とを備える多様アクセスシステム収容装置であることを要旨とする。
第2の特徴に係る多様アクセスシステム収容装置によると、アクセスシステム識別子から鍵生成情報を生成し、アクセスシステム毎のユーザIDを統一ユーザIDに変更することにより、多様なアクセスシステムを収容する場合に、開発費を低減し、迅速な実装を可能とすることができる。
又、本発明の第3の特徴は、アクセスシステムに対応する鍵生成情報を生成する多様アクセスシステム収容装置に接続された、端末装置のユーザ認証処理とユーザ承認処理と秘匿とインテグリティ確保の為の鍵情報生成処理とを行う認証承認鍵生成装置であって、(a)多様アクセスシステム収容装置から、認証承認鍵生成装置に対応する統一ユーザIDとユーザ認証情報と鍵生成情報とを含む第3のアクセス制御情報を受信するアクセス制御情報受信部と、(b)統一ユーザIDとユーザ認証情報とに基づいて、端末装置のユーザについてのユーザ認証処理及びサービス承認処理を行うユーザ認証処理部と、(c)鍵生成情報に基づいて、秘匿とインテグリティ確保の為の鍵情報を生成する鍵生成処理部と、(d)多様アクセス収容装置に対して、統一ユーザIDと、秘匿とインテグリティ確保の為の鍵情報とを含む第4のアクセス制御情報を転送するアクセス制御情報転送部とを備える認証承認鍵生成装置であることを要旨とする。
第3の特徴に係る認証承認鍵生成装置によると、統一ユーザIDとユーザ認証情報とに基づいて、端末装置のユーザについてのユーザ認証処理及びサービス承認処理を行い、鍵生成情報に基づいて、秘匿とインテグリティ確保の為の鍵情報を生成することにより、多様なアクセスシステムを収容する場合に、開発費を低減し、迅速な実装を可能とすることができる。
又、本発明の第4の特徴は、端末装置のユーザについてのユーザ認証処理とサービス承認処理と秘匿とインテグリティ確保の為の鍵情報生成処理と当該鍵のアクセスシステムへの転送処理とを行うアクセス制御方法であって、(a)端末装置がアクセスシステムに対応するユーザIDとユーザ認証情報を含む第1のアクセス制御情報をアクセスシステムに送信するステップと、(b)アクセスシステムが、第1のアクセス制御情報にアクセスシステム識別子情報を付加し、第2のアクセス制御情報を生成するステップと、(c)アクセスシステムが、第2のアクセス制御情報を、アクセスシステムに対応する鍵生成情報を生成する多様アクセスシステム収容装置に転送するステップと、(d)多様アクセスシステム収容装置が、第2のアクセス制御情報のアクセスシステム識別子情報に基づいて、秘匿とインテグリティ確保の為の鍵生成情報を生成するステップと、(e)多様アクセスシステム収容装置が、第2のアクセス制御情報のアクセスシステムに対応するユーザIDに基づいて、ユーザ認証処理とユーザ承認処理と秘匿とインテグリティ確保の為の鍵情報生成処理とを行う認証承認鍵生成装置に対応する統一ユーザIDを生成するステップと、(f)多様アクセスシステム収容装置が、第2のアクセス制御情報のユーザ認証情報と鍵生成情報と統一ユーザIDとを含む第3のアクセス制御情報を生成するステップと、(g)多様アクセスシステム収容装置が、第3のアクセス制御情報を、認証承認鍵生成装置に転送するステップと、(h)認証承認鍵生成装置が、第3のアクセス制御情報の統一ユーザIDとユーザ認証情報に基づいて、端末装置のユーザについての認証処理を行うステップと、(i)認証承認鍵生成装置が、第3のアクセス制御情報の鍵生成情報に基づいて、秘匿とインテグリティ確保の為の鍵情報を生成するステップと、(j)認証承認鍵生成装置が、統一ユーザIDと秘匿とインテグリティ確保の為の鍵情報とを含む第4のアクセス制御情報を多様アクセスシステム収容装置に転送するステップと、(k)アクセスシステム収容装置が、第4のアクセス制御情報の統一ユーザIDをアクセスシステム識別子情報に基づいて、アクセスシステムに対応するユーザIDを生成するステップと、(l)アクセスシステム収容装置が、第4のアクセス制御情報の匿とインテグリティ確保の為の鍵情報とアクセスシステムに対応するユーザIDとを含む第5のアクセス制御情報を生成するステップと含むアクセス制御方法であることを要旨とする。
第4の特徴に係るアクセス制御方法によると、アクセスシステムが3G RANやWLANといったアクセスシステム識別子を多様アクセスシステム収容装置に通知することと、そのアクセスシステム識別子からアルゴリズム種別や鍵長といった鍵生成情報への変換とIMSIやIMPIといったアクセスシステム毎に異なるユーザID様式をNAIといった統一したユーザID様式への変換を実行する多様アクセスシステム収容装置を導入することにより、認証承認鍵生成装置がアクセスシステムを認識せず、統一したアクセス制御を実行することを可能とする。
本発明によると、多様なアクセスシステムを収容する場合に、開発費を低減し、迅速な実装を可能とするアクセスシステム、多様アクセスシステム収容装置、認証承認鍵生成装置及びアクセス制御方法を提供することができる。
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。
(アクセス制御システム)
図1〜図5を参照して、本実施形態に係るアクセス制御システムについて説明する。
図1〜図5を参照して、本実施形態に係るアクセス制御システムについて説明する。
本実施形態に係るアクセス制御システムは、図1に示すように、端末装置100と、アクセスシステム200と、アクセスシステム200に対応する鍵生成情報を生成する多様アクセスシステム収容装置300と、端末装置のユーザ認証処理とユーザ承認処理と秘匿とインテグリティ確保の為の鍵情報生成処理とを行う認証承認鍵生成装置400とを備える。
認証承認鍵生成装置400は、端末装置100のユーザについてのユーザ認証処理と、サービス承認処理と、秘匿とインテグリティ確保の為の鍵生成処理と、それらの鍵のアクセスシステムへの転送処理とを行う。
また、端末装置100は、アクセスシステム200に接続されており、アクセスシステム200は、多様アクセスシステム収容装置300に接続されており、多様アクセスシステム収容装置300は、認証承認鍵生成装置400に接続されている。又、図1では、説明の簡略化のため、アクセスシステム200を1つ図示しているが、図7に示すように、端末装置100は、複数のアクセスシステム200a、200bと接続され、それぞれのアクセスシステム200a、200bは、1つの多様アクセスシステム収容装置300に接続されることができる。
端末装置100は、図2に示すように、ユーザID記憶部101と、アクセス制御情報送信部102とを備える。本実施形態では、端末装置100として、携帯電話、ノートパソコンなどの通信端末が用いられる。
ユーザID記憶部101は、端末装置のユーザを識別するため、アクセスシステム200に対応するユーザIDとユーザ認証情報を記憶する。ユーザIDとしては、例えば、IMSI(International Mobile Subscriber Identity)やIMPI(IMS Private Identity)等が用いられる。又、ユーザID記憶部101は、RAM等の内部記憶装置でもよく、HD等の外部記憶装置でもよい。
アクセス制御情報送信部102は、アクセス制御処理時に、アクセスシステム200に対して、アクセスシステムに対応するユーザIDとユーザ認証情報を含む第1のアクセス制御情報を送信する。
又、本実施形態に係る端末装置100は、処理制御装置(CPU)を有し、アクセス制御情報送信部102などをモジュールとしてCPUに内蔵する構成とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
又、図示していないが、端末装置100は、アクセス制御情報送信処理などを処理制御装置(CPU)に実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
アクセスシステム200は、図3に示すように、アクセス制御情報受信部201と、アクセスシステム識別子情報記憶部202と、アクセス制御情報処理部203と、アクセス制御情報転送部204とを備える。本実施形態では、アクセスシステム200として、RNCやWLAN無線アクセスポイント等が用いられる。
アクセス制御情報受信部201は、第1のアクセス制御情報を、端末装置100から受信する。
アクセスシステム識別子情報記憶部202は、3G RANやWLANなどのアクセスシステム識別子を記憶する。又、アクセスシステム識別子情報記憶部202は、RAM等の内部記憶装置でもよく、HD等の外部記憶装置でもよい。
アクセス制御情報処理部203は、第1のアクセス制御情報にアクセスシステム識別子を付加し、第2のアクセス制御情報を生成する。
アクセス制御情報転送部204は、多様アクセスシステム収容装置300に対して、第2のアクセス制御情報を送信する。
又、アクセス制御情報受信部201は、後述する多様アクセスシステム収容装置300によって生成された、秘匿とインテグリティ確保の為の鍵情報とアクセスシステムに対応するユーザIDとを含む第5のアクセス制御情報を受信する。そして、アクセス制御情報処理部203は、第5のアクセス制御情報に基づいて、端末装置100との間にセキュアな通信路を確立する。
又、本実施形態に係るアクセスシステム200は、処理制御装置(CPU)を有し、アクセス制御情報受信部201、アクセス制御情報処理部203、アクセス制御情報転送部204などをモジュールとしてCPUに内蔵する構成とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
又、図示していないが、アクセスシステム200は、アクセス制御情報受信処理、アクセス制御情報処理、アクセス制御情報転送処理などを処理制御装置(CPU)に実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
多様アクセスシステム収容装置300は、図4に示すように、第1のアクセス制御情報受信部301と、鍵生成情報記憶部302と、アクセスシステム識別子処理部303と、第1のユーザID処理部304と、第1のアクセス制御情報生成部305と、第1のアクセス制御情報転送部306と、第2のアクセス制御情報受信部307と、第2のユーザID処理部308と、第2のアクセス制御情報生成部309と、第2のアクセス制御情報転送部310とを備える。本実施形態では、多様アクセスシステム収容装置300として、局在ノード等が用いられる。
第1のアクセス制御情報受信部301は、第2のアクセス制御情報を、アクセスシステム200から受信する。
鍵生成情報記憶部302は、アクセスシステム識別子に対応する鍵生成情報を記憶する。本実施形態では、鍵生成情報として、鍵生成アルゴリズム(例えば、CK&IK、MSK)や鍵長等が用いられる。又、鍵生成情報記憶部302は、RAM等の内部記憶装置でもよく、HD等の外部記憶装置でもよい。
アクセスシステム識別子処理部303は、鍵生成情報記憶部302を参照し、第2のアクセス制御情報に含まれるアクセスシステム識別子からアクセスシステム識別子に対応する鍵生成情報を取得する。
第1のユーザID処理部304は、第2のアクセス制御情報に含まれるアクセスシステムに対応するユーザIDから、認証承認鍵生成装置に対応する統一ユーザIDを生成する。ここで、統一ユーザIDとは、アクセスシステム毎に異なるユーザID様式を、統一したユーザID様式へ変換したものであり、例えば、NAI(Network Access Identifier)などが用いられる。
第1のアクセス制御情報生成部305は、第2のアクセス制御情報に含まれるユーザ認証情報と、鍵生成情報と、統一ユーザIDとを含む第3のアクセス制御情報を生成する。
第1のアクセス制御情報転送部306は、認証承認鍵生成装置400に対して第3のアクセス制御情報を送信する。
第2のアクセス制御情報受信部307は、秘匿とインテグリティ確保の為の鍵情報と統一ユーザIDとを含む第4のアクセス制御情報を、認証承認鍵生成装置400から受信する。
第2のユーザID処理部308は、第4のアクセス制御情報に含まれる統一ユーザIDから、アクセスシステムに対応するユーザIDを生成する。
第2のアクセス制御情報生成部309は、第4のアクセス制御情報に含まれる秘匿とインテグリティ確保の為の鍵情報とアクセスシステムに対応するユーザIDとを含む第5のアクセス制御情報を生成する。
第2のアクセス制御情報転送部310は、アクセスシステム200に対して第5のアクセス制御情報を送信する。
又、本実施形態に係る多様アクセスシステム収容装置300は、処理制御装置(CPU)を有し、第1のアクセス制御情報受信部301、アクセスシステム識別子処理部303、第1のユーザID処理部304、第1のアクセス制御情報生成部305、第1のアクセス制御情報転送部306、第2のアクセス制御情報受信部307、第2のユーザID処理部308、第2のアクセス制御情報生成部309、第2のアクセス制御情報転送部310などをモジュールとしてCPUに内蔵する構成とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
又、図示していないが、多様アクセスシステム収容装置300は、第1のアクセス制御情報受信処理、アクセスシステム識別子処理などを処理制御装置(CPU)に実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
認証承認鍵生成装置400は、図5に示すように、アクセス制御情報受信部401と、ユーザ認証処理部402と、鍵生成処理部403と、アクセス制御情報生成部404と、アクセス制御情報転送部405とを備える。本実施形態では、認証承認鍵生成装置400として、AAAサーバ等が用いられる。
アクセス制御情報受信部401は、第3のアクセス制御情報を、多様アクセスシステム収容装置300から受信する。
ユーザ認証処理部402は、第3のアクセス制御情報に含まれる統一ユーザIDとユーザ認証情報とに基づいて、端末装置100のユーザについてのユーザ認証処理とサービス承認処理とを行う。
鍵生成処理部403は、第3のアクセス制御情報に含まれる鍵生成情報からアクセスシステムに対応する秘匿とインテグリティ確保の為の鍵を生成する。
アクセス制御情報生成部404は、秘匿とインテグリティ確保の為の鍵情報と統一ユーザIDとを含む第4のアクセス制御情報を生成する。
アクセス制御情報転送部405は、多様アクセスシステム収容装置300に対して第4のアクセス制御情報を送信する。
又、本実施形態に係る認証承認鍵生成装置400は、アクセス制御情報受信部401、ユーザ認証処理部402、鍵生成処理部403、アクセス制御情報生成部404、アクセス制御情報転送部405などをモジュールとしてCPUに内蔵する構成とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
又、図示していないが、認証承認鍵生成装置400は、アクセス制御情報受信処理、ユーザ認証処理、鍵生成処理などを処理制御装置(CPU)に実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
(アクセス制御方法)
次に、図6を参照して、本実施形態に係るアクセス制御システムにおけるアクセス制御方法について説明する。
次に、図6を参照して、本実施形態に係るアクセス制御システムにおけるアクセス制御方法について説明する。
まず、ステップS101において、アクセス制御処理を希望する端末装置100は、アクセスシステムに対応するユーザIDとユーザ認証情報とを含む第1のアクセス制御情報をアクセスシステム200へ送信する。
次に、ステップS102において、アクセスシステム200は、第1のアクセス制御情報にアクセスシステム識別子を付加し、第2のアクセス制御情報を生成する。
次に、ステップS103 において、アクセスシステム200は、第2のアクセス制御情報を多様アクセスシステム収容装置300に対して送信する。
次に、ステップS104において、多様アクセスシステム収容装置300は、第2のアクセス制御情報に含まれるアクセスシステム識別子に基づき、鍵生成情報を生成する。そして、多様アクセスシステム収容装置300は、第2のアクセス制御情報に含まれるアクセスシステムに対応するユーザIDに基づき、統一ユーザIDを生成する。そして、多様アクセスシステム収容装置300は、統一ユーザIDとユーザ認証情報と鍵生成情報とを含む第3のアクセス制御情報を生成する。
次に、ステップS105において、多様アクセスシステム収容装置300は、第3のアクセス制御情報を認証承認鍵生成装置400に対して送信する。
次に、ステップS106において、認証承認鍵生成装置400は、受信した第3のアクセス制御情報に含まれる統一ユーザIDとユーザ認証情報に基づき、端末装置100のユーザについてのユーザ認証処理とサービス承認処理とを行う。そして、ステップS107において、認証承認鍵生成装置400は、受信した第3のアクセス制御情報に含まれる鍵生成情報に基づき秘匿とインテグリティ確保の為の鍵情報を生成する。そして、認証承認鍵生成装置400は、統一ユーザIDと、秘匿とインテグリティ確保の為の鍵情報とを含む第4のアクセス制御情報を生成する。
次に、ステップS108において、認証承認鍵生成装置400は、第4のアクセス制御情報を多様アクセスシステム収容装置300に対して送信する。
次に、ステップS109において、多様アクセスシステム収容装置300は、第4のアクセス制御情報に含まれる統一ユーザIDに基づき、アクセスシステムに対応するユーザIDを生成する。そして、多様アクセスシステム収容装置300は、アクセスシステムに対応するユーザIDと、秘匿とインテグリティ確保の為の鍵情報とを含む第5のアクセス制御情報を生成する。
次に、ステップS110において、多様アクセスシステム収容装置300は、第5のアクセス制御情報をアクセスシステム200に対して送信する。そして、ステップS111において、アクセスシステム200は、第5のアクセス制御情報に基づいて、端末装置100との間にセキュアな通信路を確立する。
(作用及び効果)
本実施形態に係るアクセスシステム200によると、図7に示すように、それぞれのアクセスシステムA200a(例えば、3G RAN)、アクセスシステムB200b(例えば、WLAN)が、3G RAN、WLANなどのアクセスシステム識別子情報を付加し、第2のアクセス制御情報を生成し、多様アクセスシステム収容装置300に通知することにより、多様なアクセスシステムを収容する場合に、開発費を低減し、迅速な実装を可能とすることができる。
本実施形態に係るアクセスシステム200によると、図7に示すように、それぞれのアクセスシステムA200a(例えば、3G RAN)、アクセスシステムB200b(例えば、WLAN)が、3G RAN、WLANなどのアクセスシステム識別子情報を付加し、第2のアクセス制御情報を生成し、多様アクセスシステム収容装置300に通知することにより、多様なアクセスシステムを収容する場合に、開発費を低減し、迅速な実装を可能とすることができる。
又、本実施形態に係る多様アクセスシステム収容装置300によると、アクセスシステム識別子から鍵生成情報を生成し、アクセスシステム毎のユーザIDを統一ユーザIDに変更することにより、多様なアクセスシステムを収容する場合に、開発費を低減し、迅速な実装を可能とすることができる。
又、本実施形態に係る認証承認鍵生成装置400によると、統一ユーザIDとユーザ認証情報とに基づいて、端末装置のユーザについてのユーザ認証処理及びサービス承認処理を行い、鍵生成情報に基づいて、秘匿とインテグリティ確保の為の鍵情報を生成することにより、多様なアクセスシステムを収容する場合に、開発費を低減し、迅速な実装を可能とすることができる。
上述したように、本実施形態では、アクセスシステム200が3G RANやWLANといったアクセスシステム識別子を多様アクセスシステム収容装置300に通知することと、そのアクセスシステム識別子からアルゴリズム種別や鍵長といった鍵生成情報への変換とIMSIやIMPIといったアクセスシステム毎に異なるユーザID様式をNAIといった統一したユーザID様式への変換を実行する多様アクセスシステム収容装置300を導入することにより、認証承認鍵生成装置400がアクセスシステム200を認識せず、統一したアクセス制御を実行することを可能とする。
本実施形態に係るアクセス制御システム及びアクセス制御方法によれば、新規アクセスシステムを収容する際に、新規アクセス制御の為の認証承認鍵生成機能を具備する必要がなく、従来のような冗長開発が不要となる。又、多様アクセスシステム収容機能を局在ノードのみに実装することで収容が可能となる為、迅速な実装が可能となる。
(その他の実施形態)
本発明は上記の実施形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
本発明は上記の実施形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
例えば、図1及び図7において、多様アクセスシステム収容装置300と認証承認鍵生成装置400はそれぞれ別体として説明したが、多様アクセスシステム収容機能と認証承認鍵生成機能を有する1つの装置として実現されてもよい。
このように、本発明はここでは記載していない様々な実施形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
100…端末装置
101…ユーザID記憶部
102…アクセス制御情報送信部
200、200a、200b…アクセスシステム
201…アクセス制御情報受信部
202…アクセスシステム識別子情報記憶部
203…アクセス制御情報処理部
204…アクセス制御情報転送部
300…多様アクセスシステム収容装置
301…第1のアクセス制御情報受信部
302…鍵生成情報記憶部
303…アクセスシステム識別子処理部
304…第1のユーザID処理部
305…第1のアクセス制御情報生成部
306…第1のアクセス制御情報転送部
307…第2のアクセス制御情報受信部
308…第2のユーザID処理部
309…第2のアクセス制御情報生成部
310…第2のアクセス制御情報転送部
400…認証承認鍵生成装置
401…アクセス制御情報受信部
402…ユーザ認証処理部
403…鍵生成処理部
404…アクセス制御情報生成部
405…アクセス制御情報転送部
101…ユーザID記憶部
102…アクセス制御情報送信部
200、200a、200b…アクセスシステム
201…アクセス制御情報受信部
202…アクセスシステム識別子情報記憶部
203…アクセス制御情報処理部
204…アクセス制御情報転送部
300…多様アクセスシステム収容装置
301…第1のアクセス制御情報受信部
302…鍵生成情報記憶部
303…アクセスシステム識別子処理部
304…第1のユーザID処理部
305…第1のアクセス制御情報生成部
306…第1のアクセス制御情報転送部
307…第2のアクセス制御情報受信部
308…第2のユーザID処理部
309…第2のアクセス制御情報生成部
310…第2のアクセス制御情報転送部
400…認証承認鍵生成装置
401…アクセス制御情報受信部
402…ユーザ認証処理部
403…鍵生成処理部
404…アクセス制御情報生成部
405…アクセス制御情報転送部
Claims (2)
- アクセスシステムと、
前記アクセスシステムに接続され、前記アクセスシステムに対応する鍵生成情報を生成する多様アクセスシステム収容装置と、
前記多様アクセスシステム収容装置に接続され、端末装置のユーザ認証処理と、サービス承認処理と、秘匿及びインテグリティ確保の為の鍵情報生成処理とを行う認証承認鍵生成装置と
を備えるアクセス制御システムであって、
前記アクセスシステムは、
前記端末装置から、前記アクセスシステムに対応するユーザIDとユーザ認証情報とを含む第1のアクセス制御情報を受信するアクセス制御情報受信部と、
前記第1のアクセス制御情報に前記アクセスシステムのアクセスシステム識別子情報を付加し、第2のアクセス制御情報を生成するアクセス制御情報処理部と、
前記多様アクセスシステム収容装置に対して前記第2のアクセス制御情報を転送するアクセス制御情報転送部と
を備え、
前記多様アクセスシステム収容装置は、
前記アクセスシステムから、前記アクセスシステムに対応する前記ユーザIDと前記ユーザ認証情報と前記アクセスシステム識別子情報とを含む前記第2のアクセス制御情報を受信する第1のアクセス制御情報受信部と、
前記第2のアクセス制御情報に基づいて、前記認証承認鍵生成装置に対応する統一ユーザIDと前記ユーザ認証情報と前記鍵生成情報とを含む第3のアクセス制御情報を生成する第1のアクセス制御情報生成部と、
前記認証承認鍵生成装置に対して、前記第3のアクセス制御情報を転送する第1のアクセス制御情報転送部とを備え、
前記認証承認鍵生成装置は、
前記多様アクセスシステム収容装置から、前記認証承認鍵生成装置に対応する前記第3のアクセス制御情報を受信する第1のアクセス制御情報受信部と、
前記統一ユーザIDと前記ユーザ認証情報とに基づいて、前記端末装置のユーザについての前記ユーザ認証処理及び前記サービス承認処理を行うユーザ認証処理部と、
前記鍵生成情報に基づいて、前記秘匿とインテグリティ確保の為の鍵情報を生成する鍵生成処理部と、
前記多様アクセスシステム収容装置に対して、前記統一ユーザIDと前記鍵情報とを含む第4のアクセス制御情報を転送するアクセス制御情報転送部と
を備え、
前記多様アクセスシステム収容装置は、
前記認証承認鍵生成装置から、前記第4のアクセス制御情報を受信する第2のアクセス制御情報受信部と、
前記第4のアクセス制御情報に基づいて、前記アクセスシステムに対応する前記ユーザIDと、前記秘匿及びインテグリティ確保の為の情報とを含む第5のアクセス制御情報を生成する第2のアクセス制御情報生成部と、
前記アクセスシステムに対して、前記第5のアクセス制御情報を転送する第2のアクセス制御情報転送部と
をさらに備えることを特徴とするアクセス制御システム。 - 端末装置のユーザについてのユーザ認証処理と、サービス承認処理と、秘匿及びインテグリティ確保の為の鍵情報生成処理と、鍵情報のアクセスシステムへの転送処理とを行うアクセス制御方法であって、
前記端末装置が前記アクセスシステムに対応するユーザIDとユーザ認証情報とを含む第1のアクセス制御情報を前記アクセスシステムに送信するステップと、
前記アクセスシステムが、前記第1のアクセス制御情報に、前記アクセスシステムのアクセスシステム識別子情報を付加し、第2のアクセス制御情報を生成するステップと、
前記アクセスシステムが、前記第2のアクセス制御情報を、前記アクセスシステムに対応する鍵生成情報を生成する多様アクセスシステム収容装置に転送するステップと、
前記多様アクセスシステム収容装置が、前記第2のアクセス制御情報に付加されている前記アクセスシステム識別子情報に基づいて、秘匿及びインテグリティ確保の為の前記鍵生成情報を生成するステップと、
前記多様アクセスシステム収容装置が、前記第2のアクセス制御情報に付加されている前記ユーザIDに基づいて、前記ユーザ認証処理と前記サービス承認処理と前記鍵情報生成処理とを行う認証承認鍵生成装置に対応する統一ユーザIDを生成するステップと、
前記多様アクセスシステム収容装置が、前記ユーザ認証情報と前記鍵生成情報と前記統一ユーザIDとを含む第3のアクセス制御情報を生成するステップと、
前記多様アクセスシステム収容装置が、前記第3のアクセス制御情報を前記認認証承認鍵生成装置に転送するステップと、
前記認証承認鍵生成装置が、前記統一ユーザIDと前記ユーザ認証情報とに基づいて、前記ユーザについての認証処理を行うステップと、
前記認証承認鍵生成装置が、前記鍵生成情報に基づいて、前記鍵情報を生成するステップと、
前記認証承認鍵生成装置が、前記統一ユーザIDと前記鍵情報とを含む第4のアクセス制御情報を前記多様アクセスシステム収容装置に転送するステップと、
前記多様アクセスシステム収容装置が、前記統一ユーザIDを前記アクセスシステム識別子情報に基づいて、前記アクセスシステムに対応する前記ユーザIDを生成するステップと、
前記多様アクセスシステム収容装置が、前記第4のアクセス制御情報の前記鍵情報と前記アクセスシステムに対応する前記ユーザIDとを含む第5のアクセス制御情報を生成するステップと、
前記多様アクセスシステム収容装置が、前記アクセスシステムに対して、前記第5のアクセス制御情報を転送するステップと
含むことを特徴とするアクセス制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005133499A JP4547296B2 (ja) | 2005-04-28 | 2005-04-28 | アクセス制御システム及びアクセス制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005133499A JP4547296B2 (ja) | 2005-04-28 | 2005-04-28 | アクセス制御システム及びアクセス制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006309008A JP2006309008A (ja) | 2006-11-09 |
| JP4547296B2 true JP4547296B2 (ja) | 2010-09-22 |
Family
ID=37475949
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005133499A Expired - Fee Related JP4547296B2 (ja) | 2005-04-28 | 2005-04-28 | アクセス制御システム及びアクセス制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4547296B2 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002524991A (ja) * | 1998-09-08 | 2002-08-06 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 暗号化キーの計算をセンター化する方法及び装置 |
| WO2003055261A1 (en) * | 2001-12-20 | 2003-07-03 | Telefonaktiebolaget L M Ericsson (Publ) | A method and apparatus for switching access between mobile networks |
| WO2004045173A1 (ja) * | 2002-11-13 | 2004-05-27 | Fujitsu Limited | ネットワークアクセス制御システム |
| JP2004214779A (ja) * | 2002-12-27 | 2004-07-29 | Nec Corp | 無線通信システム、共通鍵管理サーバ、および無線端末装置 |
| WO2005027006A1 (ja) * | 2003-09-10 | 2005-03-24 | Fujitsu Limited | ユーザ位置利用システム |
-
2005
- 2005-04-28 JP JP2005133499A patent/JP4547296B2/ja not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002524991A (ja) * | 1998-09-08 | 2002-08-06 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 暗号化キーの計算をセンター化する方法及び装置 |
| WO2003055261A1 (en) * | 2001-12-20 | 2003-07-03 | Telefonaktiebolaget L M Ericsson (Publ) | A method and apparatus for switching access between mobile networks |
| WO2004045173A1 (ja) * | 2002-11-13 | 2004-05-27 | Fujitsu Limited | ネットワークアクセス制御システム |
| JP2004214779A (ja) * | 2002-12-27 | 2004-07-29 | Nec Corp | 無線通信システム、共通鍵管理サーバ、および無線端末装置 |
| WO2005027006A1 (ja) * | 2003-09-10 | 2005-03-24 | Fujitsu Limited | ユーザ位置利用システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006309008A (ja) | 2006-11-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5882474B2 (ja) | 並行した再認証および接続セットアップを使用したワイヤレス通信 | |
| EP2756700B1 (en) | Performing link setup and authentication | |
| EP1671449B1 (en) | Authenticated key exchange based on pairwise master key | |
| KR100672922B1 (ko) | 중계 장치, 인증 서버 및 인증 방법 | |
| JP4989117B2 (ja) | 通信装置およびその方法 | |
| US10798082B2 (en) | Network authentication triggering method and related device | |
| JP5255499B2 (ja) | 鍵情報管理方法、コンテンツ送信方法、鍵情報管理装置、ライセンス管理装置、コンテンツ送信システム、及び端末装置 | |
| US8914066B2 (en) | Field programming of a mobile station with subscriber identification and related information | |
| JP6962432B2 (ja) | 通信方法、コントロールプレーン装置、コントロールプレーン装置もしくは通信端末のための方法、及び通信端末 | |
| JP7398030B2 (ja) | Ue、ネットワーク装置、ueの方法、及びネットワーク装置の方法 | |
| CN111866858A (zh) | 一种注册方法及通信装置 | |
| Lee et al. | Secure handover for Proxy Mobile IPv6 in next‐generation communications: scenarios and performance | |
| US20210112408A1 (en) | Reducing authentication steps during wi-fi and 5g handover | |
| JP4547296B2 (ja) | アクセス制御システム及びアクセス制御方法 | |
| KR102405412B1 (ko) | 무선 통신 시스템에서 정보 보안을 위한 장치 및 방법 | |
| US20100303233A1 (en) | Packet transmitting and receiving apparatus and packet transmitting and receiving method | |
| CN105075285B (zh) | 用于增强型局域网中的多样化安全处理的方法和装置 | |
| WO2022006736A1 (en) | Methods and apparatuses for device provisioning | |
| CN101877834B (zh) | GBA Push中的密钥通知、解密的方法及装置 | |
| CN111132157B (zh) | 密钥处理方法、装置、基站和存储介质 | |
| KR20210125392A (ko) | 무선 통신 시스템에서 비-접속 계층을 이용한 통신 보안 방법 및 장치 | |
| CN115244959A (zh) | 用于在无线通信系统中提供安全性的装置和方法 | |
| CN115706978A (zh) | 通信数据的处理方法及装置、终端设备、网络设备及介质 | |
| CN116132990A (zh) | 卫星通信系统、方法、装置、接收方网元及存储介质 | |
| JP2010171969A (ja) | ユーティリティデータと音声データとを同時に通信する方法及びシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080425 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090514 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100406 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100604 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100629 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100705 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130709 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4547296 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |