JP4793826B2 - Authentication method and system in handover of mobile terminal - Google Patents

Authentication method and system in handover of mobile terminal Download PDF

Info

Publication number
JP4793826B2
JP4793826B2 JP2006285007A JP2006285007A JP4793826B2 JP 4793826 B2 JP4793826 B2 JP 4793826B2 JP 2006285007 A JP2006285007 A JP 2006285007A JP 2006285007 A JP2006285007 A JP 2006285007A JP 4793826 B2 JP4793826 B2 JP 4793826B2
Authority
JP
Japan
Prior art keywords
mobile terminal
network
authentication
access
subscriber
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006285007A
Other languages
Japanese (ja)
Other versions
JP2008104002A (en
Inventor
晴紀 泉川
隆志 松中
直樹 福家
敬三 杉山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2006285007A priority Critical patent/JP4793826B2/en
Publication of JP2008104002A publication Critical patent/JP2008104002A/en
Application granted granted Critical
Publication of JP4793826B2 publication Critical patent/JP4793826B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、移動端末のハンドオーバにおける認証方法及びシステムに関する。 The present invention relates to an authentication method and system in handover of a mobile terminal.

エンド・ツー・エンドのオールIP(Internet Protocol)化のために、NGN(Next Generation Network、次世代ネットワーク)が検討されている。これは、固定系有線ブロードバンドと移動系無線ブロードバンドとを統合したFMC(Fixed Mobile Convergence)によって実現される。NGNは、既存電話網をIPベースの次世代網に再構築するために、IMS(IP Multimedia Subsystem)に基づくSIP(Session Initiation Protocol)サーバ群によって実現される。これにより、多様なマルチメディアサービスが、各サービスに応じたQoS及びセキュリティによって提供される。   NGN (Next Generation Network) is being studied for end-to-end all-IP (Internet Protocol). This is realized by FMC (Fixed Mobile Convergence) that integrates fixed wired broadband and mobile wireless broadband. NGN is realized by a group of SIP (Session Initiation Protocol) servers based on IMS (IP Multimedia Subsystem) in order to reconstruct an existing telephone network into an IP-based next generation network. Accordingly, various multimedia services are provided by QoS and security corresponding to each service.

このようなネットワークに接続される移動端末は、その移動に伴ってアクセスネットワークを切り替えるハンドオーバ技術を必要とする。ハンドオーバ技術は、操作性の観点からハンドオーバ時間の短縮化と、無線リソースの有効利用の観点から制御メッセージのデータ量の最小化とが必要とされる。通常、ハンドオーバに要する時間及びデータ量の大部分は、ハンドオーバ後に接続するアクセスネットワークに対する認証シーケンスである。   A mobile terminal connected to such a network requires a handover technique for switching an access network with the movement. The handover technique requires shortening of the handover time from the viewpoint of operability and minimization of the data amount of the control message from the viewpoint of effective use of radio resources. Usually, most of the time and amount of data required for a handover is an authentication sequence for an access network to be connected after the handover.

図1は、従来技術におけるシステム構成図である。   FIG. 1 is a system configuration diagram in the prior art.

図1によれば、統合網1に、複数のアクセスネットワーク2〜4が相互接続されている。高速無線網(HSWA(High Speed Wireless Access)網)2は、例えば無線LAN(Local Area Network)や無線MAN(Metropolitan Area Network)である。高速無線網2には、移動端末5と無線リンクを介して通信するアクセスポイント21が接続されている。移動網3は、例えばセルラ通信網である。移動網3には、移動端末5と無線リンクを介して通信する基地局(Cellular BS)31が接続されている。固定網4は、例えばFTTH(Fiber To The Home)やADSL(Asymmetric Digital Subscriber Line、非対称デジタル加入者線)によって構成されている。   According to FIG. 1, a plurality of access networks 2 to 4 are interconnected to the integrated network 1. A high-speed wireless network (HSWA (High Speed Wireless Access) network) 2 is, for example, a wireless LAN (Local Area Network) or a wireless MAN (Metropolitan Area Network). Connected to the high-speed wireless network 2 is an access point 21 that communicates with the mobile terminal 5 via a wireless link. The mobile network 3 is, for example, a cellular communication network. A base station (Cellular BS) 31 that communicates with the mobile terminal 5 via a wireless link is connected to the mobile network 3. The fixed network 4 is configured by, for example, FTTH (Fiber To The Home) or ADSL (Asymmetric Digital Subscriber Line).

また、統合網1には、AAAサーバ(Authentication, Authorization and Accounting server、認証、許可及び記憶サーバ)11と、HSS/HLR(Home Subscriber Server/ Home Location Register)12とが接続されている。   Further, an AAA server (Authentication, Authorization and Accounting server) 11 and an HSS / HLR (Home Subscriber Server / Home Location Register) 12 are connected to the integrated network 1.

AAAサーバ11は、加入者認証(Authentication)機能と、サービス許可(Authorization)機能と、イベント記憶(Accounting)機能とを有する。加入者認証機能は、統合網1へのアクセスに対するセキュリティを高めるために、移動端末にログイン/パスワードを要求する方法、証明書を用いる方法、鍵を共有する方法等によって、その正当性を確認する。サービス許可機能は、認証完了後、移動端末に対して許可するサービスを制御する。イベント記憶機能は、発生した各種事象、例えば課金情報を記憶する。   The AAA server 11 has a subscriber authentication (Authentication) function, a service authorization (Authorization) function, and an event storage (Accounting) function. The subscriber authentication function confirms the legitimacy by a method of requesting a login / password to the mobile terminal, a method of using a certificate, a method of sharing a key, etc. in order to increase security for access to the integrated network 1. . The service permission function controls a service permitted to the mobile terminal after the authentication is completed. The event storage function stores various events that have occurred, for example, billing information.

HSS/HLR12は、例えば加入者の所持する移動端末の識別子及び加入者情報(IMSI(International Mobile Subscriber Identifier)を蓄積管理する機能(HSS)と、その移動端末の現在位置情報を蓄積管理する機能(HLR)とを有する。   The HSS / HLR 12 stores, for example, a function (HSS) for accumulating and managing an identifier and subscriber information (IMSI (International Mobile Subscriber Identifier)) of a mobile terminal possessed by the subscriber, and a function for accumulating and managing current position information of the mobile terminal ( HLR).

尚、図1によれば、高速無線網2に、プロキシAAAサーバ22も接続されている。プロキシAAAサーバ22は、高速無線網2内で、AAAサーバの代理サーバとして存在する。   According to FIG. 1, a proxy AAA server 22 is also connected to the high-speed wireless network 2. The proxy AAA server 22 exists as a proxy server for the AAA server in the high-speed wireless network 2.

移動端末5は、SIM(Subscriber Identity Module)を装着している。SIMは、通信事業者が発行する、識別子及び加入者情報(IMSI)を記憶したICカードである。これにより、移動端末5における移動端末識別子及び加入者情報を特定する。図1によれば、移動端末5は、移動網3から高速無線網2へハンドオーバしようとしている。   The mobile terminal 5 is equipped with a SIM (Subscriber Identity Module). The SIM is an IC card that stores an identifier and subscriber information (IMSI) issued by a communication carrier. Thereby, the mobile terminal identifier and subscriber information in the mobile terminal 5 are specified. According to FIG. 1, the mobile terminal 5 is about to hand over from the mobile network 3 to the high-speed wireless network 2.

図2は、図1のシステムにおけるシーケンス図である。   FIG. 2 is a sequence diagram in the system of FIG.

(S201)移動端末5は、移動網3の基地局31との間で無線リンクを接続している際に、高速無線網2へのハンドオーバを検出したとする。このとき、移動端末5は、高速無線網2のアクセスポイント21との間で無線リンクを接続する。 (S201) It is assumed that the mobile terminal 5 detects a handover to the high-speed wireless network 2 when a wireless link is connected to the base station 31 of the mobile network 3. At this time, the mobile terminal 5 connects a wireless link with the access point 21 of the high-speed wireless network 2.

(S202)移動端末5は、移動先となる高速無線網2を介して認証シーケンスを行う。ここでは、認証プロトコルが、EAP−AKA(Extensible Authentication Protocol-Authentication and Key Agreement、拡張可能認証プロトコル−認証/暗号鍵配送方式)であるとして説明する。図2によれば、最初に、移動端末5は、高速無線網2のアクセスポイント21から、EAP-Requestを受信する。
(S203)移動端末5は、SIMに格納されているIMSIを含むEAP-Responseを、アクセスポイント21へ返信する。アクセスポイント21は、そのEAP-Responseを、高速無線網2内のプロキシAAAサーバ22へ転送する。プロキシAAAサーバ22は、そのEAP-Responseを、AAAサーバ11へ転送する。 (S202) The mobile terminal 5 performs an authentication sequence via the high-speed wireless network 2 that is the movement destination. Here, a description will be given assuming that the authentication protocol is EAP-AKA (Extensible Authentication Protocol-Authentication and Key Agreement, Extensible Authentication Protocol-Authentication / Encryption Key Distribution Method). According to FIG. 2, first, the mobile terminal 5 receives an EAP-Request from the access point 21 of the high-speed wireless network 2.
(S203) The mobile terminal 5 returns an EAP-Response including the IMSI stored in the SIM to the access point 21. The access point 21 transfers the EAP-Response to the proxy AAA server 22 in the high speed wireless network 2. The proxy AAA server 22 transfers the EAP-Response to the AAA server 11.

(S204)AAAサーバ11は、移動端末5が高速無線網2に接続することを許可されているか否かを確認するために、HSS/HLR12へ、加入者プロファイルRequestを送信する。加入者プロファイルRequestには、移動端末識別子及びIMSIが含まれる。これに対し、HSS/HLR12は、その移動端末識別子について高速無線網2への接続が許可されているか否かを検索する。HSS/HLR12は、その結果を含む加入者プロファイルResponseを、AAAサーバ11へ返信する。 (S204) The AAA server 11 transmits a subscriber profile Request to the HSS / HLR 12 in order to confirm whether or not the mobile terminal 5 is permitted to connect to the high-speed wireless network 2. The subscriber profile Request includes a mobile terminal identifier and an IMSI. On the other hand, the HSS / HLR 12 searches whether or not connection to the high-speed wireless network 2 is permitted for the mobile terminal identifier. The HSS / HLR 12 returns a subscriber profile Response including the result to the AAA server 11.

(S205)移動端末5が高速無線網2に接続することが許可された場合、次に、AAAサーバ11は、移動端末識別子及びIMSIを含む認証データRequestを、HSS/HLR12へ送信する。HSS/HLR12は、認証データRequestに含まれる移動端末識別子に基づいて、複数のAV(Authentication Vector)を生成する。HSS/HLR12は、これらAVを含む認証データResponseを、AAAサーバ11へ返信する。 (S205) If the mobile terminal 5 is permitted to connect to the high-speed wireless network 2, then the AAA server 11 transmits an authentication data Request including the mobile terminal identifier and the IMSI to the HSS / HLR 12. The HSS / HLR 12 generates a plurality of AVs (Authentication Vectors) based on the mobile terminal identifier included in the authentication data Request. The HSS / HLR 12 returns the authentication data Response including these AVs to the AAA server 11.

(S206)AAAサーバ11は、認証データResponseに含まれるAVを記憶する。そして、AAAサーバ11は、いずれか1つのAVを選択し、そのAVを含むEAP-Request/AKA-Challengeを、プロキシAAAサーバ22へ送信する。プロキシAAAサーバ22は、受信したEAP-Request/AKA-Challengeを、高速無線網2のアクセスポイント21へ転送する。アクセスポイント21は、受信したEAP-Request/AKA-Challengeを、移動端末5へ送信する。これにより、移動端末5は、高速無線網2のネットワーク正当性を確認する。 (S206) The AAA server 11 stores the AV included in the authentication data Response. Then, the AAA server 11 selects any one AV and transmits an EAP-Request / AKA-Challenge including the AV to the proxy AAA server 22. The proxy AAA server 22 transfers the received EAP-Request / AKA-Challenge to the access point 21 of the high-speed wireless network 2. The access point 21 transmits the received EAP-Request / AKA-Challenge to the mobile terminal 5. Thereby, the mobile terminal 5 confirms the network validity of the high-speed wireless network 2.

(S207)これに対し、移動端末5は、当該端末内で計算した値を載せたEAP-Response/AKA-Challengeを、高速無線網2のアクセスポイント21へ送信する。アクセスポイント21は、受信したEAP-Response/AKA-Challengeを、プロキシAAAサーバ22へ送信する。プロキシAAAサーバ22は、受信したEAP-Response/AKA-Challengeを、AAAサーバ11へ送信する。これにより、AAAサーバ11は、EAP-Response/AKA-Challengeに含まれる値によって加入者の正当性を確認する。 (S207) On the other hand, the mobile terminal 5 transmits EAP-Response / AKA-Challenge carrying the value calculated in the terminal to the access point 21 of the high-speed wireless network 2. The access point 21 transmits the received EAP-Response / AKA-Challenge to the proxy AAA server 22. The proxy AAA server 22 transmits the received EAP-Response / AKA-Challenge to the AAA server 11. Thereby, the AAA server 11 confirms the legitimacy of the subscriber by the value included in EAP-Response / AKA-Challenge.

(S208)次に、AAAサーバ11は、鍵を含むEAP-Success Keyingを、プロキシAAAサーバ22へ送信する。プロキシAAAサーバ22は、受信したEAP-Success Keyingを、アクセスポイント21へ送信する。アクセスポイント21は、受信したEAP-Success Keyingを、移動端末5へ送信する。 (S208) Next, the AAA server 11 transmits EAP-Success Keying including the key to the proxy AAA server 22. The proxy AAA server 22 transmits the received EAP-Success Keying to the access point 21. The access point 21 transmits the received EAP-Success Keying to the mobile terminal 5.

前述したように、移動端末が、異なるアクセスネットワークへハンドオーバをするには、認証シーケンスを行う必要がある。前述したシーケンスは、移動先のアクセスネットワークを介して認証シーケンスを行うものである。これに対し、ハンドオーバ前のアクセスネットワークを介して認証シーケンスを行う技術もある(例えば非特許文献1参照)。   As described above, in order for a mobile terminal to perform handover to a different access network, it is necessary to perform an authentication sequence. The above-described sequence is for performing an authentication sequence via a destination access network. On the other hand, there is also a technique for performing an authentication sequence via an access network before handover (see, for example, Non-Patent Document 1).

また、無線LANの間で高速なハンドオーバを実現するために、移動端末から認証要求メッセージを受信したAAAサーバが、ハンドオーバ前のアクセスネットワークのアクセスポイントと、予測されるハンドオーバ後のアクセスネットワークのアクセスポイントとの両方に、認証応答メッセージを送信する技術がある(例えば非特許文献2参照)。この技術によれば、ハンドオーバ後のアクセスネットワークのアクセスポイントは、既に認証応答メッセージを受信している。従って、移動端末は、AAAサーバとの間でシグナリングなしに、高速にハンドオーバを行うことができる。   Further, in order to realize high-speed handover between wireless LANs, the AAA server that has received the authentication request message from the mobile terminal receives the access point of the access network before the handover and the predicted access point of the access network after the handover. And a technique for transmitting an authentication response message (see Non-Patent Document 2, for example). According to this technique, the access point of the access network after the handover has already received the authentication response message. Therefore, the mobile terminal can perform high-speed handover without signaling with the AAA server.

更に、移動端末が行うべき認証シーケンスを、ネットワーク内に備えた認証装置によって行う技術がある(例えば特許文献1参照)。移動端末−AAAサーバ間の認証シーケンスを、ネットワーク内で行うことができるので、認証時間の短縮化、即ちハンドオーバ時間の短縮化を実現することができる。   Furthermore, there is a technique in which an authentication sequence to be performed by a mobile terminal is performed by an authentication device provided in a network (for example, see Patent Document 1). Since the authentication sequence between the mobile terminal and the AAA server can be performed in the network, the authentication time can be shortened, that is, the handover time can be shortened.

Hyun-HoChoi及びSong. O and Dong-Ho Cho、「A seamless handoff scheme for UMTS-WLANinterworking」、Globecom'04、Nov. 2004.Hyun-HoChoi and Song. O and Dong-Ho Cho, “A seamless handoff scheme for UMTS-WLAN interworking”, Globecom'04, Nov. 2004. SangheonPack及びYanghee Choi、「Pre-Authenticated Fast Handoff in a Public Wireless LANBased on IEEE 802.1x Model」、[online]、IFIP TC6 Personal Wireless Communications2002、[平成18年10月12日検索]、インターネット<URL:http://citeseer.ist.psu.edu/542647.html>SangheonPack and Yanghee Choi, “Pre-Authenticated Fast Handoff in a Public Wireless LAN Based on IEEE 802.1x Model”, [online], IFIP TC6 Personal Wireless Communications 2002, [October 12, 2006 search], Internet <URL: http: //citeseer.ist.psu.edu/542647.html> 特開2004−266331号公報JP 2004-266331 A

しかしながら、移動端末が、AAAサーバとの間で、無線リンクを介して認証シーケンスを行うことにより、ハンドオーバ時間が長く、且つ、無線リソースを消費することとなる。前述したように、移動端末は、ハンドオーバの際に、認証シーケンスの中で多くのやりとりをする必要があるからである。   However, when the mobile terminal performs an authentication sequence with the AAA server via the radio link, the handover time is long and radio resources are consumed. This is because, as described above, the mobile terminal needs to perform many exchanges in the authentication sequence at the time of handover.

非特許文献1に記載された技術によれば、事前認証によってハンドオーバ時に必要となる認証シーケンスを行う必要がないが、結局、ハンドオーバ前のアクセスネットワークの無線リソースを利用することとなる。ハンドオーバ開始の判断条件として、例えば、受信レベルが閾値以下となった時を検出することができる。しかしながら、このような電波状態が悪化した際に事前認証を行うと、メッセージの交換ができず、認証シーケンスが完了しない場合が多くなる。この場合、結局、移動後のアクセスネットワークを介して、認証を行うこととなる。   According to the technique described in Non-Patent Document 1, it is not necessary to perform an authentication sequence required at the time of handover by pre-authentication, but eventually, radio resources of the access network before the handover are used. As a judgment condition for starting handover, for example, it is possible to detect when the reception level is equal to or lower than a threshold value. However, if pre-authentication is performed when such a radio wave condition deteriorates, messages cannot be exchanged and the authentication sequence is often not completed. In this case, authentication is eventually performed via the moved access network.

また、ハンドオーバ開始の判断条件を電波受信状態とした場合、周辺建物によってその電波受信状態は大きく変動する。受信レベルが閾値以下となったとして、この変動に反応してハンドオーバを決定し且つ事前認証をすると、無線リソースを無駄に利用することなる。 Further, when the judgment condition for starting handover is the radio wave reception state, the radio wave reception state varies greatly depending on the surrounding buildings. As the reception level is equal to or less than the threshold value, when the reaction to the determined and pre-authenticate handover to this variation, would be wasteful use of radio resources.

更に、特許文献1に記載された技術によれば、移動端末の識別子及び加入者情報を、ネットワーク内に配置された認証装置に記憶させる必要がある。これら情報は、本来、秘匿化される情報であって、HSSではセキュアに管理されている。このような情報を、アクセスネットワーク内に配置された認証装置に記憶させることは、セキュリティの観点から問題となる。   Furthermore, according to the technique described in Patent Document 1, it is necessary to store the identifier of the mobile terminal and the subscriber information in an authentication device arranged in the network. These pieces of information are originally concealed information and are securely managed by the HSS. Storing such information in an authentication device arranged in the access network is a problem from the viewpoint of security.

従って、本発明は、移動端末がハンドオーバする場合の認証シーケンスを、高速且つ安全に実現し、更に無線リソースの使用を減らすことができる認証方法等を提供することを目的とする。   Therefore, an object of the present invention is to provide an authentication method and the like that can realize an authentication sequence when a mobile terminal is handed over at high speed and safely, and further reduce the use of radio resources.

本発明によれば、
相互接続された複数のアクセスネットワークと
端末を認証するべく、事業者網に接続された認証サーバと
ネットワーク接続の可否を判定するべく、事業者網に接続された加入者管理サーバと、
いずれか1つのアクセスネットワークに有線で接続され、加入者宅内に配置されたホームゲートウェイと、
第1のアクセスネットワークに接続された移動端末
を有するシステムについて、移動端末のハンドオーバにおける認証方法であって、
移動端末は、移動端末識別子及び/又は加入者情報を含むSIM(Subscriber Identity Module)を装着しており、
ホームゲートウェイは、ゲートウェイ識別子及び/又は加入者情報を含むSIMを装着しており、
加入者管理サーバは、移動端末の移動端末識別子及び/又は加入者情報と、ホームゲートウェイのゲートウェイ識別子及び/又は加入者情報とに対応付けて、接続許可ネットワーク情報を記憶しており、
ホームゲートウェイが、移動端末における第2のアクセスネットワークへハンドオーバのトリガを検出した際に、移動端末の移動端末識別子及び/又は加入者情報と、ホームゲートウェイのゲートウェイ識別子及び/又は加入者情報とを含む認証開始メッセージを、認証サーバへ送信する第1のステップと、
認証サーバが、加入者管理サーバに対して、移動端末の移動端末識別子及び/又は加入者情報と、ホームゲートウェイのゲートウェイ識別子及び/又は加入者情報とを用いて、接続許可ネットワーク情報に基づく接続可否を問い合わせる第2のステップと、
接続許可ネットワーク情報に基づいて接続可能である場合、認証サーバが、ホームゲートウェイとの間で、認証プロトコルに基づく認証シーケンスを実行する第3のステップと、
ホームゲートウェイ又は認証サーバが、第2のアクセスネットワークのアクセス基地局へ、接続許可を要求する第のステップと、
移動端末が、認証シーケンスを実行することなく、第2のアクセスネットワークのアクセス基地局に接続する第のステップと
を有することを特徴とする。 According to the present invention,
A plurality of interconnected access networks ;
An authentication server connected to the carrier network to authenticate the terminal ;
A subscriber management server connected to the operator network to determine whether or not network connection is possible;
A home gateway connected to any one of the access networks by wire and located in the subscriber premises ;
For systems with <br/> a mobile terminal connected to a first access network, An authentication method in a handover of the mobile terminal,
The mobile terminal is equipped with a SIM (Subscriber Identity Module) including a mobile terminal identifier and / or subscriber information,
The home gateway is equipped with a SIM containing a gateway identifier and / or subscriber information,
The subscriber management server stores connection permission network information in association with the mobile terminal identifier and / or subscriber information of the mobile terminal and the gateway identifier and / or subscriber information of the home gateway,
Home gateway, upon detecting a trigger handover to the second access network in a mobile terminal, a mobile terminal identifier and / or subscriber information of the mobile terminal, the home gateway and a gateway identifier and / or subscriber information A first step of sending an authentication start message including to the authentication server;
The authentication server uses the mobile terminal identifier and / or subscriber information of the mobile terminal and the gateway identifier and / or subscriber information of the home gateway to connect to the subscriber management server based on connection permission network information. A second step of inquiring
A third step in which the authentication server executes an authentication sequence based on an authentication protocol with the home gateway if connection is possible based on the connection-permitted network information ;
A fourth step in which the home gateway or the authentication server requests connection permission from the access base station of the second access network;
The mobile terminal has a fifth step of connecting to an access base station of the second access network without executing an authentication sequence.

本発明の認証方法における他の実施形態によれば、
加入者管理サーバは、移動端末の位置情報を更に蓄積管理しており、
第1のステップの前段階として、移動端末が、位置登録要求を、ホームゲートウェイへ定期的に送信するステップと、ホームゲートウェイが、位置登録要求に含まれる位置情報を移動端末識別子と共に記憶し、位置登録要求を加入者管理サーバへ転送するステップとを有し、
第1のステップは、複数のアクセスネットワークのサービスエリア情報と、移動端末の位置情報とに基づいて、移動端末による第1のアクセスネットワークから第2のアクセスネットワークへハンドオーバするトリガを、ゲートウェイが検出した際に実行されることも好ましい。 According to another embodiment of the authentication method of the present invention,
The subscriber management server further accumulates and manages the location information of the mobile terminal ,
As a step before the first step, the mobile terminal periodically transmits a location registration request to the home gateway, and the home gateway stores the location information included in the location registration request together with the mobile terminal identifier, Transferring the registration request to the subscriber management server,
In the first step, the gateway detects a trigger for handover from the first access network to the second access network by the mobile terminal based on the service area information of the plurality of access networks and the location information of the mobile terminal. It is also preferred that this is performed.

本発明の認証方法における他の実施形態によれば、
第1のステップは、移動端末が第2のアクセスネットワークへハンドオーバするトリガメッセージが、移動端末又は他の通信装置から受信された際に、実行されることも好ましい。 According to another embodiment of the authentication method of the present invention,
The first step is also preferably performed when a trigger message for handover of the mobile terminal to the second access network is received from the mobile terminal or other communication device.

本発明の認証方法における他の実施形態によれば、
アクセスネットワークは、高速無線網、移動網又は固定網であり、
複数のアクセスネットワークは、統合網によって相互接続されており、
ホームゲートウェイは、固定網に有線で接続されたRGW(Residential GateWay)であり、
移動端末に無線リンクで接続するアクセス基地局は、高速無線網のアクセスポイント、又は、移動網の基地局であることも好ましい。 According to another embodiment of the authentication method of the present invention,
The access network is a high-speed wireless network, a mobile network or a fixed network,
Multiple access networks are interconnected by an integrated network,
Home gateway is connected by wire to the fixed network the R GW (Residential GateWay),
The access base station connected to the mobile terminal via a radio link is preferably an access point of a high-speed wireless network or a base station of a mobile network.

本発明によれば、
相互接続された複数のアクセスネットワークと
端末を認証するべく、事業者網に接続された認証サーバと
ネットワーク接続の可否を判定するべく、事業者網に接続された加入者管理サーバと、
いずれか1つのアクセスネットワークに有線で接続され、加入者宅内に配置されたホームゲートウェイと、
第1のアクセスネットワークに接続された移動端末
を有する、移動端末のハンドオーバシステムであって、
移動端末は、移動端末識別子及び/又は加入者情報を含むSIMを装着しており、
ホームゲートウェイは、ゲートウェイ識別子及び/又は加入者情報を含むSIMを装着しており、
加入者管理サーバは、移動端末の移動端末識別子及び/又は加入者情報と、ホームゲートウェイのゲートウェイ識別子及び/又は加入者情報とに対応付けて、接続許可ネットワーク情報を記憶しており、
ホームゲートウェイは、
移動端末における第2のアクセスネットワークへハンドオーバのトリガを検出するハンドオーバ検出手段と、
ハンドオーバのトリガを検出した際に、移動端末の移動端末識別子及び/又は加入者情報と、ホームゲートウェイのゲートウェイ識別子及び/又は加入者情報とを含む認証開始メッセージを、認証サーバへ送信する認証開始メッセージ送信手段と、
認証サーバとの間で、認証プロトコルに基づく認証シーケンスを実行する認証シーケンス実行手段と
を有し、
認証サーバは、
加入者管理サーバに対して、移動端末の移動端末識別子及び/又は加入者情報と、ホームゲートウェイのゲートウェイ識別子及び/又は加入者情報とを用いて、接続許可ネットワーク情報に基づく接続可否を問い合わせる機能と、
接続許可ネットワーク情報に基づいて接続可能である場合、ホームゲートウェイとの間で、認証プロトコルに基づく認証シーケンスを実行する機能と
を有し、
ホームゲートウェイ又は認証サーバが、第2のアクセスネットワークのアクセス基地局へ、接続許可を要求することによって、移動端末が、認証シーケンスを実行することなく、第2のアクセスネットワークのアクセス基地局に接続する
ことを特徴とする。 According to the present invention,
A plurality of interconnected access networks ;
An authentication server connected to the carrier network to authenticate the terminal ;
A subscriber management server connected to the operator network to determine whether or not network connection is possible;
A home gateway connected to any one of the access networks by wire and located in the subscriber premises ;
That having a <br/> a mobile terminal connected to a first access network, a mobile terminals handover system,
The mobile terminal is equipped with a SIM containing a mobile terminal identifier and / or subscriber information,
The home gateway is equipped with a SIM containing a gateway identifier and / or subscriber information,
The subscriber management server stores connection permission network information in association with the mobile terminal identifier and / or subscriber information of the mobile terminal and the gateway identifier and / or subscriber information of the home gateway,
Home gateway
A handover detection unit that detects a trigger handover to the second access network in a mobile terminal,
An authentication start message for transmitting an authentication start message including the mobile terminal identifier and / or subscriber information of the mobile terminal and the gateway identifier and / or subscriber information of the home gateway to the authentication server when a handover trigger is detected A transmission means;
An authentication sequence executing means for executing an authentication sequence based on an authentication protocol with an authentication server;
Have
The authentication server
A function of inquiring the subscriber management server whether or not to connect based on the connection-permitted network information using the mobile terminal identifier and / or subscriber information of the mobile terminal and the gateway identifier and / or subscriber information of the home gateway; ,
A function for executing an authentication sequence based on an authentication protocol with a home gateway when connection is possible based on connection-permitted network information;
Have
Home gateway or an authentication server, connected to a second access network of the access base station, by Rukoto to request a connection permission, the mobile terminal, without performing the authentication sequence, the access base station of the second access network It is characterized by doing.

本発明のシステムにおける他の実施形態によれば、
加入者管理サーバは、移動端末の位置情報を更に蓄積管理しており、
ホームゲートウェイは、移動端末から、位置登録要求を定期的に受信する位置登録要求受信手段と、
位置登録要求に含まれる位置情報を移動端末識別子と共に記憶する位置登録記憶手段と、
位置登録要求を加入者管理サーバへ転送する位置登録要求送信手段と
を有し、
ハンドオーバ検出手段は、複数のアクセスネットワークのサービスエリア情報と、移動端末の位置情報とに基づいて、移動端末による第1のアクセスネットワークから第2のアクセスネットワークへハンドオーバするトリガを検出することも好ましい。 According to another embodiment of the system of the present invention,
The subscriber management server further accumulates and manages the location information of the mobile terminal ,
Home gateway, the mobile terminal, a location registration request receiving means for receiving a location registration request regular basis,
Location registration storage means for storing location information included in the location registration request together with the mobile terminal identifier ;
A location registration request transmitting means for transferring a location registration request to the subscriber management server ;
Have
Handover detection means preferably a service area information of a plurality of access networks, based on the position information of the mobile terminal, also Turkey issue detects the trigger for handover from the first access network by the mobile terminal to the second access network .

本発明のシステムにおける他の実施形態によれば、
ハンドオーバ検出手段は、移動端末が第2のアクセスネットワークへハンドオーバするトリガメッセージ、移動端末又は他の通信装置から受信することも好ましい。 According to another embodiment of the system of the present invention,
It is also preferable that the handover detection means receives a trigger message for handing over the mobile terminal to the second access network from the mobile terminal or another communication device.

本発明のシステムにおける他の実施形態によれば、
アクセスネットワークは、高速無線網、移動網又は固定網であり、
複数のアクセスネットワークは、統合網によって相互接続されており、
ホームゲートウェイは、固定網に有線で接続されたRWであり、
移動端末に無線リンクで接続するアクセス基地局は、高速無線網のアクセスポイント、又は、移動網の基地局であることも好ましい。 According to another embodiment of the system of the present invention,
The access network is a high-speed wireless network, a mobile network or a fixed network,
Multiple access networks are interconnected by an integrated network,
Home gateway is connected by wire to the fixed network R G W,
The access base station connected to the mobile terminal via a radio link is preferably an access point of a high-speed wireless network or a base station of a mobile network.

本発明における認証方法及びシステムによれば、移動端末とAAAサーバとの間で行われる認証シーケンスを、移動端末の加入者が設置するゲートウェイとAAAサーバとの間で行うことができる。ゲートウェイは、通常、有線で接続されており、認証シーケンスを高速に実現することができる。また、移動端末もゲートウェイも同じ加入者が管理するものであるので、加入者情報をネットワーク上のノードに記憶させる必要もなく、安全性が高まる。更に、移動端末とアクセス基地局との間の無線リンクを介して認証シーケンスを行わないために、無線リソースの使用を減らすこともできる。 According to the authentication method and system of the present invention, the authentication sequence performed between the mobile terminal and the AAA server can be performed between the gateway installed by the subscriber of the mobile terminal and the AAA server. The gateway is normally connected by wire, and can realize the authentication sequence at high speed. Further, since the mobile terminal and the gateway are managed by the same subscriber, it is not necessary to store the subscriber information in a node on the network, and the safety is improved. Furthermore, since the authentication sequence is not performed via the radio link between the mobile terminal and the access base station, the use of radio resources can be reduced.

以下では、図面を用いて、本発明を実施するための最良の形態について詳細に説明する。   Hereinafter, the best mode for carrying out the present invention will be described in detail with reference to the drawings.

図3は、本発明におけるシステム構成図である。   FIG. 3 is a system configuration diagram according to the present invention.

図3によれば、図1と同様に、統合網1に、高速無線網2、移動網3及び固定網4が相互接続されている。統合網1には、端末を一元管理して認証するAAAサーバ11と、移動端末の接続の可否を判断するHSS/HLR12とが接続されている。   According to FIG. 3, as in FIG. 1, a high-speed wireless network 2, a mobile network 3, and a fixed network 4 are interconnected to the integrated network 1. Connected to the integrated network 1 are an AAA server 11 that centrally manages and authenticates terminals, and an HSS / HLR 12 that determines whether or not a mobile terminal can be connected.

本発明によれば、固定網4には、FTTH又はメタル回線を介して、RGW(Residential GateWay)6が接続されている。RGW6は、移動端末5の加入者の宅内に設置されており、ホームゲートウェイとして機能する。RGW6は、それに接続される通信機器(電話機、パーソナルコンピュータ等)の入出力信号と、固定網4へのIPパケットとを、相互に変換する。   According to the present invention, an RGW (Residential GateWay) 6 is connected to the fixed network 4 via FTTH or a metal line. The RGW 6 is installed in the subscriber's home of the mobile terminal 5 and functions as a home gateway. The RGW 6 mutually converts an input / output signal of a communication device (telephone, personal computer, etc.) connected thereto and an IP packet to the fixed network 4.

RGW6は、ISIM(Individual Subscriber Identity Module)を装着する。ISIMは、通信事業者が発行する、識別子及び加入者情報(IMSI(International Mobile Subscriber Identifier))を記憶したICカードである。これにより、RGW6の加入者と、移動端末5の加入者とが一致することを、識別することができる。   The RGW 6 is equipped with an ISIM (Individual Subscriber Identity Module). The ISIM is an IC card that stores an identifier and subscriber information (IMSI (International Mobile Subscriber Identifier)) issued by a communication carrier. Thereby, it can be identified that the subscriber of the RGW 6 and the subscriber of the mobile terminal 5 match.

RGW6は、そのRGWを所持する加入者が、更に所持する移動端末の移動端末識別子(UE-ID: User Equipment-IDentifier)と、移動端末の加入者情報IMSIと、ユーザ固有鍵(K:Individual subscriber authentication Key)とを対応付けて保持する。

Figure 0004793826
The RGW 6 is a mobile terminal identifier (UE-ID: User Equipment-IDentifier) of a mobile terminal further owned by a subscriber who owns the RGW, subscriber information IMSI of the mobile terminal, and a user unique key (K: Individual subscriber). authentication Key).
Figure 0004793826

また、移動端末5は、SIMを装着し、以下の表2のようなテーブルを保持する。

Figure 0004793826
The mobile terminal 5 is equipped with a SIM and holds a table as shown in Table 2 below.
Figure 0004793826

更に、HSS/HLR12は、移動端末5に装着されているSIM(M)に基づく識別子及びIMSIと、RGW6に装着されているISIMに基づく識別子及びIMSIと、接続可能なネットワーク識別情報とを対応付けて記憶している。HSS/HLR12は、以下の表3のようなテーブルを保持する。

Figure 0004793826
Further, the HSS / HLR 12 associates an identifier and IMSI based on SIM (M) attached to the mobile terminal 5, an identifier and IMSI based on ISIM attached to the RGW 6, and connectable network identification information. I remember. The HSS / HLR 12 holds a table as shown in Table 3 below.
Figure 0004793826

図3によれば、移動端末5は、ハンドオーバ前のアクセスネットワークである移動網3を介して、位置登録要求をRGW6へ定期的に送信する。この点について、移動端末が位置登録要求を直接的にHSS/HLR12へ送信する従来技術と異なる。RGW6は、移動端末5の現在位置情報を蓄積すると共に、受信した位置登録要求をHSS/HLR12へ転送する。   According to FIG. 3, the mobile terminal 5 periodically transmits a location registration request to the RGW 6 via the mobile network 3 that is an access network before the handover. This is different from the conventional technique in which the mobile terminal directly transmits a location registration request to the HSS / HLR 12. The RGW 6 accumulates the current location information of the mobile terminal 5 and transfers the received location registration request to the HSS / HLR 12.

RGW6は、複数のアクセスネットワークのサービスエリア情報を保持している。尚、サービスエリア情報は、HSS/HLR12のような他のノードからダウンロードするものであってもよい。   The RGW 6 holds service area information of a plurality of access networks. The service area information may be downloaded from another node such as the HSS / HLR 12.

RGW6は、サービスエリア情報と移動端末の位置情報とに基づいて、移動端末5が、移動網3から高速無線網2へハンドオーバするトリガを検出する。移動端末5がハンドオーバすべきと判断した際に、RGW6は、AAAサーバ11との間で、移動端末5の認証シーケンスを行う。尚、RGW6は、移動先の高速無線網2に接続されたプロキシAAAサーバ22との間で、移動端末5の認証シーケンスを行うものであってもよい。   The RGW 6 detects a trigger for the mobile terminal 5 to perform a handover from the mobile network 3 to the high-speed wireless network 2 based on the service area information and the location information of the mobile terminal. When the mobile terminal 5 determines that the handover should be performed, the RGW 6 performs an authentication sequence of the mobile terminal 5 with the AAA server 11. The RGW 6 may perform an authentication sequence of the mobile terminal 5 with the proxy AAA server 22 connected to the destination high-speed wireless network 2.

その後、RGW6又はプロキシAAAサーバ22が、移動先の高速無線網2のアクセスポイント21へ、接続許可を要求する。これにより、移動端末5は、移動先の高速無線網2を介して認証シーケンスを行うことなく、その高速無線網2に接続することができる。   Thereafter, the RGW 6 or the proxy AAA server 22 requests connection permission from the access point 21 of the high-speed wireless network 2 at the movement destination. Thereby, the mobile terminal 5 can connect to the high-speed wireless network 2 without performing an authentication sequence via the high-speed wireless network 2 of the movement destination.

図4は、図3におけるシーケンス図である。   FIG. 4 is a sequence diagram in FIG.

(S401)移動端末5は、RGW6に対して認証処理を予め終えている。従って、移動端末5とRGW6との間では、セキュアなセッションが確立され、データが秘匿化されている。 (S401) The mobile terminal 5 finishes the authentication process for the RGW 6 in advance. Therefore, a secure session is established between the mobile terminal 5 and the RGW 6 and data is concealed.

(S402)移動端末5は、位置登録要求を、RGW6へ定期的に送信する。従って、本発明における移動端末5は、位置登録要求をHSS/HLR12へ直接的に送信しない。位置登録要求を受信したRGW6は、位置登録要求に含まれる位置情報を移動端末識別子と共に記憶する。その後、RGW6は、位置登録要求を、HSS/HLR12へ転送する。 (S402) The mobile terminal 5 periodically transmits a location registration request to the RGW 6. Therefore, the mobile terminal 5 in the present invention does not directly transmit a location registration request to the HSS / HLR 12. The RGW 6 that has received the location registration request stores the location information included in the location registration request together with the mobile terminal identifier. Thereafter, the RGW 6 transfers the location registration request to the HSS / HLR 12.

(S403)RGW6は、複数のアクセスネットワーク2〜4のサービスエリア情報と、移動端末5の位置情報とに基づいて、移動端末5が、第1のアクセスネットワークから第2のアクセスネットワークへハンドオーバするトリガを検出する。例えば、2つのアクセスネットワークの境界に、移動端末5が近づいていることを検出する。図3によれば、移動端末5は、移動網3から高速無線網2へのハンドオーバのトリガが検出される。 (S403) The RGW 6 triggers the mobile terminal 5 to perform handover from the first access network to the second access network based on the service area information of the plurality of access networks 2 to 4 and the location information of the mobile terminal 5. Is detected. For example, it is detected that the mobile terminal 5 is approaching the boundary between two access networks. According to FIG. 3, the mobile terminal 5 detects a handover trigger from the mobile network 3 to the high-speed wireless network 2.

S404〜S409は、図3における認証シーケンスに対応する。
(S404)RGW6は、ハンドオーバを検出した際に、認証開始メッセージとなるEAP-responseをAAAサーバへ送信し、認証を開始する。図4によれば、EAP-responseは、移動先の高速無線網2に接続されたプロキシAAAサーバ22へ送信される。EAP-responseは、移動端末の識別子及びIMSIと、RGWの識別子及びIMSIとを含む。プロキシAAAサーバ22は、EAP-responseを、AAAサーバ11へ転送する。 S404 to S409 correspond to the authentication sequence in FIG.
(S404) Upon detecting a handover, the RGW 6 transmits an EAP-response serving as an authentication start message to the AAA server, and starts authentication. According to FIG. 4, the EAP-response is transmitted to the proxy AAA server 22 connected to the destination high-speed wireless network 2. The EAP-response includes a mobile terminal identifier and IMSI, and an RGW identifier and IMSI. The proxy AAA server 22 transfers the EAP-response to the AAA server 11.

(S405)AAAサーバ11は、移動端末5が高速無線網2に接続することを許可されているか否かを確認するために、HSS/HLR12へ、加入者プロファイルRequestを送信する。加入者プロファイルRequestは、移動端末の識別子及びIMSIを含む。これに対し、HSS/HLR12は、加入者対応テーブルを用いて、その移動端末識別子について高速無線網2への接続が許可されているか否かを検索する。HSS/HLR12は、その結果を含む加入者プロファイルResponseを、AAAサーバ11へ返信する。 (S405) The AAA server 11 transmits a subscriber profile Request to the HSS / HLR 12 in order to confirm whether or not the mobile terminal 5 is permitted to connect to the high-speed wireless network 2. The subscriber profile Request includes the mobile terminal identifier and the IMSI. On the other hand, the HSS / HLR 12 searches for whether the mobile terminal identifier is permitted to connect to the high-speed wireless network 2 using the subscriber correspondence table. The HSS / HLR 12 returns a subscriber profile Response including the result to the AAA server 11.

(S406)移動端末5が高速無線網2に接続することが許可された場合、次に、AAAサーバ11は、移動端末識別子を含む認証データRequestを、HSS/HLR12へ送信する。認証データRequestは、移動端末の識別子及びIMSIを含む。HSS/HLR12は、認証データRequestに含まれる移動端末識別子に基づいて、複数のAVを生成する。HSS/HLR12は、これらAVを含む認証データResponseを、AAAサーバ11へ返信する。 (S406) If the mobile terminal 5 is permitted to connect to the high-speed wireless network 2, then the AAA server 11 transmits an authentication data Request including the mobile terminal identifier to the HSS / HLR 12. The authentication data Request includes the identifier of the mobile terminal and the IMSI. The HSS / HLR 12 generates a plurality of AVs based on the mobile terminal identifier included in the authentication data Request. The HSS / HLR 12 returns the authentication data Response including these AVs to the AAA server 11.

(S407)AAAサーバ11は、認証データResponseに含まれるAVを記憶する。そして、AAAサーバ11は、いずれか1つのAVを選択し、そのAVを含むEAP-Request/AKA-Challengeを、プロキシAAAサーバ22へ送信する。プロキシAAAサーバ22は、受信したEAP-Request/AKA-Challengeを、RGW6へ転送する。これにより、RGW6は、高速無線網2のネットワーク正当性を確認する。 (S407) The AAA server 11 stores the AV included in the authentication data Response. Then, the AAA server 11 selects any one AV and transmits an EAP-Request / AKA-Challenge including the AV to the proxy AAA server 22. The proxy AAA server 22 transfers the received EAP-Request / AKA-Challenge to the RGW 6. Thereby, the RGW 6 confirms the network validity of the high-speed wireless network 2.

(S408)これに対し、RGW6は、RGW内で計算した値を載せたEAP-Response/AKA-Challengeを、プロキシAAAサーバ22へ送信する。プロキシAAAサーバ22は、受信したEAP-Response/AKA-Challengeを、AAAサーバ11へ送信する。これにより、AAAサーバ11は、EAP-Response/AKA-Challengeに含まれる値によって加入者の正当性を確認する。 (S408) On the other hand, the RGW 6 transmits EAP-Response / AKA-Challenge carrying the value calculated in the RGW to the proxy AAA server 22. The proxy AAA server 22 transmits the received EAP-Response / AKA-Challenge to the AAA server 11. Thereby, the AAA server 11 confirms the legitimacy of the subscriber by the value included in EAP-Response / AKA-Challenge.

(S409)次に、AAAサーバ11は、鍵を含むEAP-Success Keyingを、プロキシAAAサーバ22へ送信する。プロキシAAAサーバ22は、受信したEAP-Success Keyingを、RGW6へ送信する。 (S409) Next, the AAA server 11 transmits EAP-Success Keying including the key to the proxy AAA server 22. The proxy AAA server 22 transmits the received EAP-Success Keying to the RGW 6.

S410〜S413は、図3における認証シーケンスに対応する。
(S410)RGW6は、移動先となる高速無線網2のアクセスポイント21へ、接続許可を要求するEAP-Startを送信する。尚、他の実施形態として、プロキシAAAサーバ22が、アクセスポイント21へ、EAP-Startを送信するものであってもよい。
(S411)EAP-Startを受信したアクセスポイント21は、移動端末5がハンドオーバすることを知る。これに対し、アクセスポイント21は、RGW6へ、EAP-Requestを送信する。尚、前述した他の実施形態の場合、アクセスポイント21は、プロキシAAAサーバ22へ、EAP-Requestを送信する。
(S412)次に、RGW6は、アクセスポイント21へ、EAP-Responseを送信する。尚、前述した他の実施形態の場合、プロキシAAAサーバ22が、アクセスポイント21へ、EAP-Responseを送信する。
(S413)更に、RGW6は、アクセスポイント21へ、EAP-Successを送信する。尚、前述した他の実施形態の場合、プロキシAAAサーバ22が、アクセスポイント21へ、EAP-Successを送信する。 S410 to S413 correspond to the authentication sequence in FIG.
(S410) The RGW 6 transmits an EAP-Start requesting connection permission to the access point 21 of the high-speed wireless network 2 that is the movement destination. As another embodiment, the proxy AAA server 22 may transmit EAP-Start to the access point 21.
(S411) The access point 21 that has received EAP-Start knows that the mobile terminal 5 will be handed over. In response to this, the access point 21 transmits an EAP-Request to the RGW 6. In the case of the other embodiments described above, the access point 21 transmits an EAP-Request to the proxy AAA server 22.
(S412) Next, the RGW 6 transmits an EAP-Response to the access point 21. In the case of the other embodiments described above, the proxy AAA server 22 transmits an EAP-Response to the access point 21.
(S413) Further, the RGW 6 transmits an EAP-Success to the access point 21. In the case of the other embodiments described above, the proxy AAA server 22 transmits an EAP-Success to the access point 21.

(S414)最後に、RGW6は、鍵を、移動端末5へ送信する。この移動端末が、ハンドオーバトリガを受信し、その通知をRGW6へ送信した際であってもよい。
(S415)移動端末5が、移動網3から高速無線網2へハンドオーバの処理を開始する。
(S416)これにより、移動端末5は、AAAサーバ11との間で直接的に認証シーケンスを行うことなく、移動網3から高速無線網2へハンドオーバすることができる。認証シーケンスは、RGW6とAAAサーバ11との間で既に実行済みだからである。 (S414) Finally, the RGW 6 transmits the key to the mobile terminal 5. The mobile terminal may receive the handover trigger and transmit the notification to the RGW 6.
(S415) The mobile terminal 5 starts a handover process from the mobile network 3 to the high-speed wireless network 2.
(S416) Thereby, the mobile terminal 5 can be handed over from the mobile network 3 to the high-speed wireless network 2 without directly performing an authentication sequence with the AAA server 11. This is because the authentication sequence has already been executed between the RGW 6 and the AAA server 11.

図5は、本発明におけるRGWの機能構成図である。   FIG. 5 is a functional configuration diagram of the RGW in the present invention.

図5によれば、RGWは、位置登録要求受信部601と、位置登録記憶部602と、位置登録要求送信部603と、ハンドオーバ検出部604と、認証開始メッセージ送信部605と、認証シーケンス実行部606と、接続許可シーケンス実行部607と、IP変換部608とを有する。これら機能部は、RGWに搭載されたコンピュータを機能させるプログラムを実行することによっても実現できる。また、RGWには、ISIMが装着されている。   According to FIG. 5, the RGW includes a location registration request reception unit 601, a location registration storage unit 602, a location registration request transmission unit 603, a handover detection unit 604, an authentication start message transmission unit 605, and an authentication sequence execution unit. 606, a connection permission sequence execution unit 607, and an IP conversion unit 608. These functional units can also be realized by executing a program that causes a computer mounted on the RGW to function. The RGW is equipped with an ISIM.

位置登録要求受信部601は、移動端末から、位置登録要求を定期的に受信する。   The location registration request receiving unit 601 periodically receives location registration requests from mobile terminals.

位置登録記憶部602は、位置登録要求に含まれる位置情報を移動端末識別子と共に記憶する。位置登録記憶部602は、前述した表1のテーブルを記憶する。   The location registration storage unit 602 stores location information included in the location registration request together with the mobile terminal identifier. The location registration storage unit 602 stores the table of Table 1 described above.

位置登録要求送信部603は、位置登録要求を加入者管理サーバへ転送する。前述した図4のS402の動作を実現する。   The location registration request transmission unit 603 transfers the location registration request to the subscriber management server. The operation of S402 in FIG. 4 described above is realized.

ハンドオーバ検出部604は、複数のアクセスネットワークのサービスエリア情報と、位置登録記憶部602に記憶された移動端末の位置情報とに基づいて、移動端末が、第1のアクセスネットワークから第2のアクセスネットワークへハンドオーバするトリガを検出する。前述した図4のS403の動作を実現する。   Based on the service area information of the plurality of access networks and the location information of the mobile terminal stored in the location registration storage unit 602, the handover detection unit 604 is configured so that the mobile terminal can change from the first access network to the second access network. Detect a trigger to hand over to. The operation of S403 in FIG. 4 described above is realized.

また、ハンドオーバ検出部604は、移動端末が第2のアクセスネットワークへハンドオーバするトリガメッセージを、移動端末又は他の通信装置から受信するように構成されていることも好ましい。この実施形態の場合、ハンドオーバ検出部604は、移動端末からの位置登録要求を必要としない。   Moreover, it is preferable that the handover detection unit 604 is configured to receive a trigger message for handing over the mobile terminal to the second access network from the mobile terminal or another communication device. In this embodiment, the handover detection unit 604 does not require a location registration request from the mobile terminal.

認証開始メッセージ送信部605は、移動端末が第2のアクセスネットワークへハンドオーバする際に、認証プロトコルに基づく認証開始メッセージを認証サーバへ送信する。前述した図4のS404の動作を実現する。   The authentication start message transmission unit 605 transmits an authentication start message based on the authentication protocol to the authentication server when the mobile terminal hands over to the second access network. The operation of S404 in FIG. 4 described above is realized.

認証シーケンス実行部606は、認証サーバとの間で、認証シーケンスを実行する。前述した図4のS407〜S409の動作を実現する。   The authentication sequence execution unit 606 executes an authentication sequence with the authentication server. The operations of S407 to S409 in FIG. 4 described above are realized.

接続許可シーケンス実行部607は、移動端末の移動先となる第2のアクセスネットワークのアクセス基地局へ、接続許可要求を送信し、接続許可シーケンスを実行する。また、接続許可シーケンス実行部607は、移動端末へ鍵を送信する。図4におけるS410〜S415の動作を実現する。   The connection permission sequence execution unit 607 transmits a connection permission request to the access base station of the second access network that is the destination of the mobile terminal, and executes the connection permission sequence. Further, the connection permission sequence execution unit 607 transmits the key to the mobile terminal. The operation | movement of S410-S415 in FIG. 4 is implement | achieved.

IP変換部608は、RGWに接続される通信機器の入出力信号と、固定網4へのIPパケットとを、相互に変換する。   The IP conversion unit 608 converts an input / output signal of a communication device connected to the RGW and an IP packet to the fixed network 4 between each other.

ISIM609は、ICカードであって、ゲートウェイ識別子及びIMSIを含む。   The ISIM 609 is an IC card and includes a gateway identifier and an IMSI.

以上、詳細に説明したように、本発明における認証方法及びシステムによれば、移動端末とAAAサーバとの間で行われる認証シーケンスを、移動端末の加入者が設置するゲートウェイとAAAサーバとの間で行うことができる。ゲートウェイは、通常、有線で接続されており、認証シーケンスを高速に実現することができる。また、移動端末もゲートウェイも同じ加入者が管理するものであるので、加入者情報をネットワーク上のノードに記憶させる必要もなく、安全性が高まる。更に、移動端末とアクセス基地局との間の無線リンクを介して認証シーケンスを行わないために、無線リソースの使用を減らすこともできる。 As described above in detail, according to the authentication method and system of the present invention, the authentication sequence performed between the mobile terminal and the AAA server is performed between the gateway installed by the subscriber of the mobile terminal and the AAA server. Can be done. The gateway is normally connected by wire, and can realize the authentication sequence at high speed. Further, since the mobile terminal and the gateway are managed by the same subscriber, it is not necessary to store the subscriber information in a node on the network, and the safety is improved. Furthermore, since the authentication sequence is not performed via the radio link between the mobile terminal and the access base station, the use of radio resources can be reduced.

前述した本発明における種々の実施形態によれば、当業者は、本発明の技術思想及び見地の範囲における種々の変更、修正及び省略を容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。   According to the various embodiments of the present invention described above, those skilled in the art can easily make various changes, modifications and omissions within the scope of the technical idea and the viewpoint of the present invention. The above description is merely an example, and is not intended to be restrictive. The invention is limited only as defined in the following claims and the equivalents thereto.

従来技術におけるシステム構成図である。It is a system block diagram in a prior art. 図1のシステムにおけるシーケンス図である。It is a sequence diagram in the system of FIG. 本発明におけるシステム構成図である。It is a system configuration diagram in the present invention. 図3のシステムにおけるシーケンス図である。FIG. 4 is a sequence diagram in the system of FIG. 3. 本発明におけるRGWの機能構成図である。It is a functional block diagram of RGW in this invention.

符号の説明Explanation of symbols

1 統合網
11 AAAサーバ
12 HSS/HLR
2 高速無線網
21 アクセスポイント
22 プロキシAAAサーバ
3 移動網
31 基地局
4 固定網
5 移動端末
6 RGW、ゲートウェイ
601 位置登録要求受信部
602 位置登録記憶部
603 位置登録要求送信部
604 ハンドオーバ検出部
605 認証開始メッセージ送信部
606 認証シーケンス実行部
607 接続許可シーケンス実行部
608 IP変換部
609 ISIM
7 パーソナルコンピュータ 1 Integrated network 11 AAA server 12 HSS / HLR
2 high-speed wireless network 21 access point 22 proxy AAA server 3 mobile network 31 base station 4 fixed network 5 mobile terminal 6 RGW, gateway 601 location registration request reception unit 602 location registration storage unit 603 location registration request transmission unit 604 handover detection unit 605 authentication Start message transmission unit 606 Authentication sequence execution unit 607 Connection permission sequence execution unit 608 IP conversion unit 609 ISIM
7 Personal computer

Claims (8)

相互接続された複数のアクセスネットワークと
端末を認証するべく、事業者網に接続された認証サーバと
ネットワーク接続の可否を判定するべく、事業者網に接続された加入者管理サーバと、
いずれか1つのアクセスネットワークに有線で接続され、加入者宅内に配置されたホームゲートウェイと、
第1のアクセスネットワークに接続された移動端末
を有するシステムについて、移動端末のハンドオーバにおける認証方法であって、
前記移動端末は、移動端末識別子及び/又は加入者情報を含むSIM(Subscriber Identity Module)を装着しており、
前記ホームゲートウェイは、ゲートウェイ識別子及び/又は加入者情報を含むSIMを装着しており、
前記加入者管理サーバは、前記移動端末の移動端末識別子及び/又は加入者情報と、前記ホームゲートウェイのゲートウェイ識別子及び/又は加入者情報とに対応付けて、接続許可ネットワーク情報を記憶しており、
前記ホームゲートウェイが、前記移動端末における第2のアクセスネットワークへハンドオーバのトリガを検出した際に、前記移動端末の移動端末識別子及び/又は加入者情報と、前記ホームゲートウェイのゲートウェイ識別子及び/又は加入者情報とを含む認証開始メッセージを、前記認証サーバへ送信する第1のステップと、
前記認証サーバが、前記加入者管理サーバに対して、前記移動端末の移動端末識別子及び/又は加入者情報と、前記ホームゲートウェイのゲートウェイ識別子及び/又は加入者情報とを用いて、前記接続許可ネットワーク情報に基づく接続可否を問い合わせる第2のステップと、
前記接続許可ネットワーク情報に基づいて接続可能である場合、前記認証サーバが、前記ホームゲートウェイとの間で、認証プロトコルに基づく認証シーケンスを実行する第3のステップと、
前記ホームゲートウェイ又は前記認証サーバが、第2のアクセスネットワークのアクセス基地局へ、接続許可を要求する第のステップと、
前記移動端末が、認証シーケンスを実行することなく、第2のアクセスネットワークの前記アクセス基地局に接続する第のステップと
を有することを特徴とする認証方法。 A plurality of interconnected access networks ;
An authentication server connected to the carrier network to authenticate the terminal ;
A subscriber management server connected to the operator network to determine whether or not network connection is possible;
A home gateway connected to any one of the access networks by wire and located in the subscriber premises ;
For systems with <br/> a mobile terminal connected to a first access network, An authentication method in a handover of the mobile terminal,
The mobile terminal is equipped with a SIM (Subscriber Identity Module) including a mobile terminal identifier and / or subscriber information,
The home gateway is equipped with a SIM that includes a gateway identifier and / or subscriber information;
The subscriber management server stores connection permission network information in association with a mobile terminal identifier and / or subscriber information of the mobile terminal and a gateway identifier and / or subscriber information of the home gateway,
The home gateway, when detecting a trigger handover to the second access network in the mobile terminal, a mobile terminal identifier and / or subscriber information of the mobile terminal, a gateway identifier and / or subscriber of the home gateway A first step of transmitting an authentication start message including the person information to the authentication server;
The authentication server uses the mobile terminal identifier and / or subscriber information of the mobile terminal and the gateway identifier and / or subscriber information of the home gateway to the subscriber management server, and the connection permission network. A second step for inquiring whether connection is possible based on the information;
A third step in which the authentication server executes an authentication sequence based on an authentication protocol with the home gateway if connection is possible based on the connection-permitted network information ;
A fourth step in which the home gateway or the authentication server requests connection permission from an access base station of a second access network;
An authentication method comprising: a fifth step in which the mobile terminal connects to the access base station of a second access network without executing an authentication sequence. 前記加入者管理サーバは、前記移動端末の位置情報を更に蓄積管理しており、
第1のステップの前段階として、前記移動端末が、位置登録要求を、前記ホームゲートウェイへ定期的に送信するステップと、前記ホームゲートウェイが、前記位置登録要求に含まれる位置情報を移動端末識別子と共に記憶し、前記位置登録要求を前記加入者管理サーバへ転送するステップとを有し、
第1のステップは、複数のアクセスネットワークのサービスエリア情報と、前記移動端末の位置情報とに基づいて、前記移動端末による第1のアクセスネットワークから第2のアクセスネットワークへハンドオーバするトリガを、前記ゲートウェイが検出した際に実行されることを特徴とする請求項1に記載の認証方法。 The subscriber management server further stores and manages location information of the mobile terminal ,
As pre-stage of the first step, the mobile terminal, a location registration request, the steps of: periodically transmitting to the home gateway, the home gateway, the location information included in the location registration request with the mobile terminal identifier Storing, and transferring the location registration request to the subscriber management server,
In the first step, the gateway triggers a handover from the first access network to the second access network by the mobile terminal based on service area information of a plurality of access networks and location information of the mobile terminal. The authentication method according to claim 1, wherein the authentication method is executed upon detection. 第1のステップは、前記移動端末が第2のアクセスネットワークへハンドオーバするトリガメッセージが、前記移動端末又は他の通信装置から受信された際に、実行されることを特徴とする請求項1に記載の認証方法。   The first step is performed when a trigger message for handing over the mobile terminal to a second access network is received from the mobile terminal or another communication device. Authentication method. 前記アクセスネットワークは、高速無線網、移動網又は固定網であり、
前記複数のアクセスネットワークは、統合網によって相互接続されており、
前記ホームゲートウェイは、前記固定網に有線で接続されたRGW(Residential GateWay)であり、
前記移動端末に無線リンクで接続する前記アクセス基地局は、前記高速無線網のアクセスポイント、又は、前記移動網の基地局であることを特徴とする請求項1からのいずれか1項に記載の認証方法。 The access network is a high-speed wireless network, a mobile network or a fixed network,
The plurality of access networks are interconnected by an integrated network;
The home gateway is the the fixed network connected by wire the R GW (Residential GateWay),
Said access the base stations connected by radio link to the mobile terminal, the access point of the high-speed wireless networks, or, according to any one of claims 1 to 3, characterized in that the base station of the mobile network Authentication method. 相互接続された複数のアクセスネットワークと
端末を認証するべく、事業者網に接続された認証サーバと
ネットワーク接続の可否を判定するべく、事業者網に接続された加入者管理サーバと、
いずれか1つのアクセスネットワークに有線で接続され、加入者宅内に配置されたホームゲートウェイと、
第1のアクセスネットワークに接続された移動端末
を有する、移動端末のハンドオーバシステムであって、
前記移動端末は、移動端末識別子及び/又は加入者情報を含むSIMを装着しており、
前記ホームゲートウェイは、ゲートウェイ識別子及び/又は加入者情報を含むSIMを装着しており、
前記加入者管理サーバは、前記移動端末の移動端末識別子及び/又は加入者情報と、前記ホームゲートウェイのゲートウェイ識別子及び/又は加入者情報とに対応付けて、接続許可ネットワーク情報を記憶しており、
前記ホームゲートウェイは、
前記移動端末における第2のアクセスネットワークへハンドオーバのトリガを検出するハンドオーバ検出手段と、
前記ハンドオーバのトリガを検出した際に、前記移動端末の移動端末識別子及び/又は加入者情報と、前記ホームゲートウェイのゲートウェイ識別子及び/又は加入者情報とを含む認証開始メッセージを、前記認証サーバへ送信する認証開始メッセージ送信手段と、
前記認証サーバとの間で、認証プロトコルに基づく認証シーケンスを実行する認証シーケンス実行手段と
を有し、
前記認証サーバは、
前記加入者管理サーバに対して、前記移動端末の移動端末識別子及び/又は加入者情報と、前記ホームゲートウェイのゲートウェイ識別子及び/又は加入者情報とを用いて、前記接続許可ネットワーク情報に基づく接続可否を問い合わせる機能と、
前記接続許可ネットワーク情報に基づいて接続可能である場合、前記ホームゲートウェイとの間で、認証プロトコルに基づく認証シーケンスを実行する機能と
を有し、
前記ホームゲートウェイ又は前記認証サーバが、第2のアクセスネットワークのアクセス基地局へ、接続許可を要求することによって、前記移動端末が、認証シーケンスを実行することなく、第2のアクセスネットワークの前記アクセス基地局に接続する
ことを特徴とするハンドオーバシステム。 A plurality of interconnected access networks ;
An authentication server connected to the carrier network to authenticate the terminal ;
A subscriber management server connected to the operator network to determine whether or not network connection is possible;
A home gateway connected to any one of the access networks by wire and located in the subscriber premises ;
That having a <br/> a mobile terminal connected to a first access network, a mobile terminals handover system,
The mobile terminal is equipped with a SIM including a mobile terminal identifier and / or subscriber information;
The home gateway is equipped with a SIM that includes a gateway identifier and / or subscriber information;
The subscriber management server stores connection permission network information in association with a mobile terminal identifier and / or subscriber information of the mobile terminal and a gateway identifier and / or subscriber information of the home gateway,
The home gateway is
A handover detection unit that detects a trigger handover to the second access network in the mobile terminal,
When the handover trigger is detected, an authentication start message including a mobile terminal identifier and / or subscriber information of the mobile terminal and a gateway identifier and / or subscriber information of the home gateway is transmitted to the authentication server. Authentication start message sending means
Authentication sequence execution means for executing an authentication sequence based on an authentication protocol with the authentication server;
Have
The authentication server is
Whether to connect to the subscriber management server based on the connection-permitted network information using the mobile terminal identifier and / or subscriber information of the mobile terminal and the gateway identifier and / or subscriber information of the home gateway With the ability to query
A function of executing an authentication sequence based on an authentication protocol with the home gateway when connection is possible based on the connection-permitted network information;
Have
The home gateway or the authentication server, to a second access network of the access base station, by Rukoto to request a connection permission, prior Symbol mobile terminal, without performing the authentication sequence, wherein the second access network A handover system characterized by connecting to an access base station. 前記加入者管理サーバは、前記移動端末の位置情報を更に蓄積管理しており、
前記ホームゲートウェイは、前記移動端末から、位置登録要求を定期的に受信する位置登録要求受信手段と、
前記位置登録要求に含まれる位置情報を移動端末識別子と共に記憶する位置登録記憶手段と、
前記位置登録要求を前記加入者管理サーバへ転送する位置登録要求送信手段と
を有し、
前記ハンドオーバ検出手段は、複数のアクセスネットワークのサービスエリア情報と、前記移動端末の位置情報とに基づいて、前記移動端末による第1のアクセスネットワークから第2のアクセスネットワークへハンドオーバするトリガを検出することを特徴とする請求項5に記載のハンドオーバシステム。 The subscriber management server further stores and manages location information of the mobile terminal ,
The home gateway, from said mobile terminal, a location registration request receiving means for receiving a location registration request regular basis,
Location registration storage means for storing location information included in the location registration request together with a mobile terminal identifier ;
Location registration request transmitting means for transferring the location registration request to the subscriber management server ;
Have
The handover detecting means, and the service area information of a plurality of access networks, based on the position information of the mobile terminal, that issues detected a trigger for handover from the first access network by the mobile terminal to the second access network handover system of claim 5, wherein the this. 前記ハンドオーバ検出手段は、前記移動端末が第2のアクセスネットワークへハンドオーバするトリガメッセージ、前記移動端末又は他の通信装置から受信することを特徴とする請求項に記載のハンドオーバシステム。 6. The handover system according to claim 5 , wherein the handover detection unit receives a trigger message for the mobile terminal to perform handover to the second access network from the mobile terminal or another communication apparatus. 前記アクセスネットワークは、高速無線網、移動網又は固定網であり、
前記複数のアクセスネットワークは、統合網によって相互接続されており、
前記ホームゲートウェイは、前記固定網に有線で接続されたRWであり、
前記移動端末に無線リンクで接続する前記アクセス基地局は、前記高速無線網のアクセスポイント、又は、前記移動網の基地局であることを特徴とする請求項5から7のいずれか1項に記載のハンドオーバシステム。 The access network is a high-speed wireless network, a mobile network or a fixed network,
The plurality of access networks are interconnected by an integrated network;
The home gateway is R G W connected by wire to the fixed network,
Said access base station to be connected by radio link to the mobile terminal, the access point of the high-speed wireless networks, or, according to any one of claims 5 to 7, characterized in that the base station of the mobile network Handover system.
JP2006285007A 2006-10-19 2006-10-19 Authentication method and system in handover of mobile terminal Expired - Fee Related JP4793826B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006285007A JP4793826B2 (en) 2006-10-19 2006-10-19 Authentication method and system in handover of mobile terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006285007A JP4793826B2 (en) 2006-10-19 2006-10-19 Authentication method and system in handover of mobile terminal

Publications (2)

Publication Number Publication Date
JP2008104002A JP2008104002A (en) 2008-05-01
JP4793826B2 true JP4793826B2 (en) 2011-10-12

Family

ID=39437987

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006285007A Expired - Fee Related JP4793826B2 (en) 2006-10-19 2006-10-19 Authentication method and system in handover of mobile terminal

Country Status (1)

Country Link
JP (1) JP4793826B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5051656B2 (en) 2008-06-05 2012-10-17 日本電気株式会社 Communication control system and communication control method
US8429728B2 (en) * 2009-08-24 2013-04-23 Alcatel Lucent Pre-registration security support in multi-technology interworking
JP5670933B2 (en) * 2012-02-15 2015-02-18 日本電信電話株式会社 Authentication information conversion apparatus and authentication information conversion method
EP2677789B1 (en) * 2012-06-18 2017-02-22 Alcatel Lucent Method and devices for remote smart card personalization

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001197557A (en) * 2000-01-07 2001-07-19 Sharp Corp Wireless communication system
JP4703238B2 (en) * 2004-12-15 2011-06-15 パナソニック株式会社 Wireless network control device, wireless LAN relay device, wireless communication system, and communication method of wireless communication system

Also Published As

Publication number Publication date
JP2008104002A (en) 2008-05-01

Similar Documents

Publication Publication Date Title
EP1552646B1 (en) Method and apparatus enabling reauthentication in a cellular communication system
EP2432265B1 (en) Method and apparatus for sending a key on a wireless local area network
EP1597866B1 (en) Fast re-authentication with dynamic credentials
EP1693995B1 (en) A method for implementing access authentication of wlan user
US7046989B2 (en) Controlling and enhancing handoff between wireless access points
US9113332B2 (en) Method and device for managing authentication of a user
US20080026724A1 (en) Method for wireless local area network user set-up session connection and authentication, authorization and accounting server
US9548983B2 (en) Cross access login controller
EP2293611A1 (en) A method, apparatus, system and server for network authentication
JP4687788B2 (en) Wireless access system and wireless access method
US20080092212A1 (en) Authentication Interworking
JP2007513536A (en) Method for determining and accessing selected services in a wireless local area network
WO2011137823A1 (en) Key insulation method and device
US8893231B2 (en) Multi-access authentication in communication system
JP4793826B2 (en) Authentication method and system in handover of mobile terminal
JP4642506B2 (en) Identification address setting device and mobile network packet relay device having the same
EP2092714B1 (en) METHOD and device FOR FAST HANDOVER AND AUTHENTICATION IN A PACKET DATA NETWORK
WO2006079953A1 (en) Authentication method and device for use in wireless communication system
WO2009087006A1 (en) Mechanism for authentication and authorization for network and service access
US20160006736A1 (en) Method and system for implementing authentication and accounting in interaction between wireless local area network and fixed network
KR100485517B1 (en) Apparatus and method of user authentication for WLAN system
Gondi et al. Low latency handover and roaming using security context transfer for heterogeneous wireless and cellular networks
CN108702619A (en) Obtain, send the method and apparatus of customer equipment identification
KR20080026419A (en) System and method for authenticating ims in hpi

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090710

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110428

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110511

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110607

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110630

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110701

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110720

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110720

R150 Certificate of patent or registration of utility model

Ref document number: 4793826

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140805

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees