JP2003070068A - 認証区間判定方法、および認証区間判定装置 - Google Patents
認証区間判定方法、および認証区間判定装置Info
- Publication number
- JP2003070068A JP2003070068A JP2001258246A JP2001258246A JP2003070068A JP 2003070068 A JP2003070068 A JP 2003070068A JP 2001258246 A JP2001258246 A JP 2001258246A JP 2001258246 A JP2001258246 A JP 2001258246A JP 2003070068 A JP2003070068 A JP 2003070068A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- network
- connection
- connection form
- management server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
た認証鍵を用いて認証を行うに際し、移動通信端末およ
び網内装置の処理負荷を軽減すること。 【解決手段】 前記パケットを受信した認証管理サーバ
が接続する可能性のあるノードのアドレスまたはノード
識別子を示す網構成情報を導出するステップと、前記導
出された情報に基いて、認証を必要とする区間が予め定
められた接続形態を認定するステップとを含む。
Description
び移動通信網内の装置に対して配布した認証鍵を用いて
認証を行うに際し、移動通信端末および移動通信網内の
装置における処理負荷を軽減する方法に関する。
信を実現する方式のひとつとして、Mobile IP
技術(RFC2002、IP Mobility Su
pport,1996)が知られている。このMobi
le IP技術における認証では、移動通信端末からの
位置登録時に、移動通信端末の正当性が確認された後
に、移動通信端末と、アクセスルータに相当するフォー
リンエージェント(FA:Foreign Agen
t、外部エージェントともいう。)と、その移動通信端
末が契約している網に属するホームエージェント(H
A:Home Agent)に対して、認証管理サーバ
に相当するAAAサーバ(Authenticatio
n,Authorization,Accountin
gに関するサーバ)から認証鍵を配布し、その移動通信
端末と、フォーリンエージェントと、ホームエージェン
ト相互の全区間において認証処理を実行している。な
お、AAAサーバから認証鍵を配布する技術は、IETFの
draft−ietf−mobilerp−aaa−k
ey−08.txtに開示されている。
した基本ネットワーク構成を示す図である。HAは、セ
キュリティの確保されていない接続、例えばインターネ
ットを介してCN(Correspondent No
de)と接続が可能である。また、図9においては、H
AはFA1およびFA2と通信が可能に接続されてお
り、MNは、この時点でFA1と通信しているものとす
る。AAAは、MNの正当性を確認後HA、FA1、およ
びMN間の認証に必要な認証鍵又は認証鍵を生成するた
めの資源の配布を実施する。MNが移動先で送信するパ
ケットは、HAによりインターセプトされ移動先の中継機
であるFA1のIPアドレスでカプセル化され、移動元
の中継機であるFAに届けられ、カプセル化をといた後
にMN宛に転送される。これにより、MNは移動元のIP
アドレスのままで移動元のLANに接続されているかの
ように通信を行うことが可能となる。
図である。図10において、MN(Mobile No
de:移動ノード)はユーザであり、ユーザ識別子であ
るNAI(Network Access Ident
ifier)とMN〜AAA間で予め保存されている共有秘
密鍵をもとに生成したMN−AAA認証拡張を位置登録要求
メッセージ内に格納し、FA宛に送信する。FAは、送
信されてきた位置登録要求メッセージを、AAAとの通
信プロトコルであるDIAMETERメッセージ内にマ
ッピングし、自らが所属するドメイン内のAAAに情報
を送信する。AAAでは、NAIによってユーザのホー
ムのAAAを識別し、プロキシーとなってホームのAA
Aに送信する。AAAでは、事前にMNと共有していた
認証鍵を元にユーザ認証を実施し、AAA内で管理して
いる各認証鍵又は認証鍵を生成する資源をそれぞれ払い
出し、HA宛のメッセージ内にそれらの鍵を格納して転
送する。各認証鍵には、網へのアクセスのためのMN−
FA認証鍵、ノード間認証であるFA−HA認証鍵、M
NとHAとの間の認証であるMN−HA認証鍵がある。
ける各種認証の種類と目的を示す図である。網へのアク
セスのためのMN−FA認証は、不正FAによる盗聴防
止、ローミングに契約していないユーザからの網アクセ
ス防止を目的とする。ノード間認証であるFA−HA認
証は、オープンなネットワーク環境下における不正移動
エージェント(FAまたはHA)のなりすまし防止を目
的とする。ユーザ認証であるMN−HA認証は、HAとして
不正MNへのパケット転送防止、不正HAへの登録防止
を目的とする。なお、MN−AAA認証は、課金、サー
ビス情報、ユーザ認証等の加入者情報を管理するAAA
における不正MNからのアクセス防止を目的とする。し
かし、RFC2002における規定では、対象外とされ
ている。
を実施すると共に、AAAから払い出されたMN−HA
認証鍵とノード間認証鍵であるFA−HA認証鍵を取得
する。また、HAからAAAを経由してFA、MNへ位
置登録の応答メッセージが返信され、そのメッセージを
受信する時点で、FA、MNは、AAAから払い出され
た認証鍵を取得する。
Mobile IPにおける認証鍵の配布技術では、図
10に示すように、無条件に移動通信端末、フォーリン
エージェント、および、その移動通信端末が契約してい
る網に属するホームエージェント相互の全区間において
認証処理を実行する。しかし、例えば、移動通信端末が
通信可能であるフォーリンエージェントがその移動通信
端末と同一の通信事業者で管理されている場合には、両
者の正当性を確認するための認証処理は本来不必要と考
えられる。このため、従来の技術では、本来不必要な認
証処理をせざるをしてしまう場合があった。その結果、
移動通信端末および網内装置の処理負荷が増大するとい
う問題があった。
たものであり、移動通信端末および網内装置に対して配
布した認証鍵を用いて認証を行うに際し、移動通信端末
および網内装置の処理負荷を軽減することができる認証
方法を提供することを目的とする。
めに、本発明は、以下のような手段を講じた。すなわ
ち、本発明は、移動通信端末とパケット通信を行う移動
通信網における認証区間判定方法であって、前記パケッ
トを受信した認証管理サーバが接続する可能性のあるノ
ードに関する網構成情報を導出するステップと、前記導
出された情報に基いて、認証を必要とする区間が予め定
められた接続形態を認定するステップとを含むことを特
徴とする。上記認証区間判定方法において、更に前記パ
ケットに設定されているユーザ識別子を抽出するステッ
プを含み、前記接続形態認定ステップでは、前記抽出さ
れたユーザ識別子に関する情報を加味して、認証を必要
とする区間が予め定められた接続形態を認定するように
してもよい。また、上記認証区間判定方法において、更
に、前記移動通信端末と外部エージェントとの通信可否
を示すローミング契約情報を抽出するステップを含み、
前記接続形態認定ステップでは、前記抽出されたローミ
ング契約情報を加味して、認証を必要とする区間が予め
定められた接続形態を認定するようにしてもうよい。ま
た、上記認証区間判定方法において、更に、前記移動通
信端末が所属する網を識別すると共に、前記移動通信端
末が自網に所属している場合に前記認証管理サーバで管
理しているかどうかを識別するユーザ管理情報を抽出す
るステップを含み、前記接続形態認定ステップでは、前
記抽出されたユーザ管理情報を加味して、認証を必要と
する区間が予め定められた接続形態を認定するようにし
てもよい。また、上記認証区間判定方法において、前記
接続形態を認定するステップで、前記認証管理サーバへ
アクセスするためのメッセージ(例えばDIAMETE
Rメッセージ)の送出元を検出し、検出された送信元が
自網の認証管理サーバ(例えばAAA)であるか他網の
認証管理サーバであるかに応じて接続形態を認定するス
テップと、前記認証管理サーバへアクセスするためのメ
ッセージの送出元が自網の外部エージェントである場合
に、自網のアクセス網をサポートしているかどうかによ
って接続形態を認定するステップとを含むこともでき
る。
記認証管理サーバへアクセスするためのメッセージの送
出元が自網の認証管理サーバである場合に、認証管理サ
ーバ間の接続がセキュリティの確保された接続、例えば
専用線、VPN(仮想プライベートネットワーク)等によ
るものかセキュリティの確保されていない接続、例えば
インターネットを介するものかを判断するステップと、
認証管理サーバ間の接続がセキュリティの確保された接
続、例えば専用線、VPN(仮想プライベートネットワー
ク)等によるものである場合は、自網のアクセス網をサ
ポートしているかどうかによって接続形態を認定するス
テップと、認証管理サーバ間の接続がセキュリティの確
保されていない接続、例えばインターネットを介するも
のである場合は、自網のアクセス網をサポートしている
かどうかによって接続形態を認定するステップとを含む
ようにしてもよい。また、上記認証区間判定方法におい
て、前記ローミング契約情報抽出ステップが、前記移動
通信端末とアクセスルータとの通信可否を示すローミン
グ契約情報を抽出するようにしてもよい。
記接続形態を認定するステップが、前記認証サーバへの
アクセスするためのメッセージの送出元を検出し、検出
された送信元が自網の認証管理サーバであるか他網の認
証管理サーバであるかに応じて接続形態を認定するステ
ップと、前記メッセージの送出元が自網のアクセスルー
タである場合に、自網のアクセス網をサポートしている
かどうかによって接続形態を認定するステップとを含む
ようにしてもよい。
記認定された接続形態に応じて必要な認証鍵または認証
鍵を生成するための資源を該当するノードに払い出すス
テップを含むように構成してもよい。
記認定された接続形態に応じて必要な認証鍵または認証
鍵を生成するための資源を該当するノードに払い出すス
テップを含むこともできる。
移動通信網に設けられる認証区間判定装置であって、前
記パケットを受信した認証管理サーバが接続する可能性
のあるノードに関する網構成情報を導出する網構成情報
導出手段と、前記導出された情報に基いて、認証を必要
とする区間が予め定められた接続形態を認定する接続形
態認定手段とを備える。また、上記認証区間判定装置に
おいて、更に、前記パケットに設定されているユーザ識
別子を抽出するユーザ識別子抽出手段を含み、前記接続
形態認定手段が、前記ユーザ識別子抽出手段で抽出され
た前記ユーザ識別子更に加味して、接続形態を認定する
ように構成してもよい。また、上記認証区間判定装置に
おいて、更に、前記移動通信端末と外部エージェントと
の通信可否を示すローミング契約情報を抽出するローミ
ング契約情報抽出手段を含み、前記接続形態認定手段
が、前記ローミング契約情報抽出手段で抽出された前記
ローミング契約情報を更に加味して、接続形態を認定す
るように構成してもよい。また、上記認証区間判定装置
おいて、更に、前記移動通信端末が所属する網を識別す
ると共に、前記移動通信端末が自網に所属している場合
に前記認証管理サーバで管理しているかどうかを識別す
るユーザ管理情報を抽出するユーザ管理情報抽出手段を
含み、前記接続形態認定手段が、前記抽出されたユーザ
管理情報を更に加味して、接続形態を認定するように構
成してもよい。また、前記接続形態認定手段は、認証管
理サーバへアクセスするためのメッセージ(例えば、D
IAMETERメッセージ)の送出元を検出する送信元
検出手段と、前記検出された送信元が自網の認証管理サ
ーバ(例えば、AAA)であるか他網の認証管理サーバ
であるかに応じて接続形態を定める第1テーブルと、前
記認証管理サーバへアクセスするためのメッセージの送
出元が自網の外部エージェントである場合に、自網のア
クセス網をサポートしているかどうかに応じて接続形態
を定める第2テーブルとを備えることもできる。
ためのメッセージの送出元が自網の認証管理サーバであ
る場合に、認証管理サーバ間の接続がセキュリティの確
保された接続、例えば専用線、VPN(仮想プライベート
ネットワーク)等によるものか、セキュリティの確保さ
れていない接続、例えばインターネットを介するものか
を判断する接続判断手段と、認証管理サーバ間の接続が
セキュリティの確保された接続、例えば専用線、VPN
(仮想プライベートネットワーク)等によるものである
場合は、自網のアクセス網をサポートしているかどうか
に応じて接続形態を定める第3テーブルと、認証管理サ
ーバ間の接続がセキュリティの確保されていない接続、
例えばインターネットを介するものである場合は、自網
のアクセス網をサポートしているかどうかに応じて接続
形態を定める第4テーブルとを備えることもできる。
判断することができるため、接続形態に応じて認証が必
要となる各ノードに、必要な認証鍵または認証鍵を生成
するための資源を配布することが可能となる。このた
め、接続形態によっては不必要な認証鍵を配布すること
がなくなり、各ノード内の認証処理の削減および網内で
配布した認証鍵管理コストの低減を図ることができる。
同時に、接続形態をユーザが判断し、接続形態毎に異な
る位置登録要求を送出する機能、例えば、判定する手順
や機能の実装が不要となる。
て、図面を参照して説明する。本実施の形態において、
MN、HA、FA、およびAAAは、それぞれ、次の条
件を満たすものとする。
ち移動ノードであり、次の条件を満たす。 Mobile IPプロトコルを実装しているこ
と。ここでは、RFC2002で示されているMobi
le IPv4とする。 MN−NAI拡張(RFC2794)をサポートし
ていること。NAIとは、Network Acces
s Identifier、すなわち、ユーザ識別子の
ことである。 MN−AAA認証(RFC3012)をサポートし
ていること。 AAAとの間で共有秘密鍵を保持していること。 MNが認証鍵を作る資源を受け取ったとき、それを
用いて認証鍵を生成することができること。
ホームエージェントであり、次の条件を満たす。 Mobile IPプロトコルを実装しているこ
と。 AAAとの通信プロトコルであるDIAMETER
プロトコルをサポートしていること。
なわち外部エージェントであり、次の条件を満たす。 Mobile IPプロトコルを実装しているこ
と。 AAAとの通信プロトコルであるDIAMETER
プロトコルをサポートしていること。
n,Authorization,Accountin
g、すなわち、認証、承認、課金であり、次の条件を満
たす。 DIAMETERプロトコルをサポートしているこ
と。 MN−AAA認証(RFC3012)をサポートして
いること。 自分がAMR(DIAMETERメッセージ)を受け
取る可能性のある相手ノードに関して、以下の情報を含
む網構成情報を記憶しておくこと。 1)自ノードと接続する可能性のあるノードのIPアドレ
ス及びNAI 2)自ノードと接続するノードの種別(自網又は他網の
AAA、自網のFA) 3)自ノードとそれが接続しているノードとの接続情報
(セキュリティが確保されていない接続、例えばインタ
ーネット経由又は、セキュリティが確保されている接
続、例えば専用線、VPN) 4)接続ノードが自ノードの場合、接続しているアクセ
ス網の種別(自アクセス網又は他アクセス網) 受け取ったAMRメッセージ(DIAMETERメ
ッセージ)に含まれるMNのNAI値とAMR値の送信元
IPアドレス(又はNAI値)、AAA内に保持する網構成情
報から、接続形態を判断可能であること。 MNとの間で共有秘密鍵を保持していること。
0に示されるAAAサーバにおける処理を図1に示すよ
うな処理アルゴリズムで行う。これにより、ユーザ/ノ
ード識別情報(NAIなど)や、ネットワークの接続情
報などを用いて、接続形態をネットワーク側で判断し、
接続形態に応じて必要と考えられる認証鍵(あるいは認
証鍵を生成する資源)を該当するノードに払い出す方法
を提案する。以下、Mobile IPv4を用いた場
合の処理手順を示す。なお、ここでは、気付アドレス
は、外部気付アドレスを使用するものとする。
NAI)と、自分の管理ドメインにあるAAAとの間で
予め保持している共有認証鍵情報を用いて、認証を行う
ための情報(例えば、MN−AAA認証拡張)を付与し
た位置登録要求メッセージをFAに送出する(ステップ
S1)。
ージを元に、MNのユーザ識別情報と認証を行うための
情報、そして位置登録要求メッセージの内容を含むDI
AMETERメッセージを作成し、FAのドメインを管
理するAAAに対して送出する。AAAは、MNが送出
した位置登録情報を含むDIAMETERメッセージ
(例えば、AMRメッセージ)を受信する(ステップS
2)。なお、ステップS6、ステップS8に分岐した場
合は、他網のAAAまたは自網のAAAからDIAME
TERメッセージが転送される。
Nのユーザ識別情報を参照し、自分に割り当てられてい
るNAI値と照合することによって、自網ユーザである
か他網ユーザであるかを識別する(ステップS3)。具
体的には、NAI値から自網ユーザであるか他網ユーザ
であるかを判断するテーブルをAAAで保持しておき、
それと照合することによってMNが自網ユーザであるか
他網ユーザであるかを識別する。
たMNが自網ユーザでない場合は、AAAで保持してい
るドメイン名に基づくローミング契約情報を参照し、M
Nの所属する他網とローミング契約を行っているかどう
かの判定を行う(ステップS4)。ここでは、MN−N
AIとAAAで管理しているローミング契約情報を使用
する。ステップS4において、MNの属する他網とロー
ミング契約を行っていない場合は、ローミング非契約の
MNからの位置登録要求であるため、位置登録を拒否す
るエラーメッセージをFA経由でMNに返す(ステップ
S5)。一方、ステップS4において、MNの属する他
網とローミング契約を行っている場合は、ローミング先
のAAAへDIAMETERメッセージ(AMR)を転
送し(ステップS6)、ステップS2へ移行する。
送出したMNが自網ユーザである場合は、NAI値に含
まれるドメイン名とAAAで管理するドメイン名管理情
報(例えば、サブドメイン名によって自網ユーザであ
り、かつユーザが管理されているAAAまでを識別でき
る情報)により、DIAMETERメッセージ(AM
R)を受信したAAAの管理配下のユーザであるかどう
かを判定する(ステップS7)。
本発明の特徴であり、特に詳細に説明する。
るが、DIAMETERメッセージを受信したAAA配
下のユーザでない場合は、そのユーザの所属するドメイ
ンを管理しているAAAへDIAMETERメッセージ
を転送する(ステップS8)。一方、ステップS7にお
いて、自網のユーザであり、かつDIAMETERメッ
セージを受信したAAA配下のユーザである場合、受信
したDIAMETERメッセージの送信元のIPアドレス
から、AAA内で管理する網接続情報(例えば、Con
figファイル等)を参照することにより、メッセージ
送出元ノードの判定を行う(ステップS9)。
メッセージの送出元ノードが他網のAAAである場合
は、「接続形態A」であると判定する(ステップS1
0)。また、ステップS9において、DIAMETER
メッセージの送出元ノードが自網のAAAである場合
は、「接続形態B」であると判定する(ステップS1
1)。また、ステップS9において、DIAMETER
メッセージの送出元ノードが自網のFAである場合は、
AAA内で管理する網接続情報(例えば、Config
ファイル等)を参照することによって、自網のアクセス
網と接続しているFAであるか、他網のアクセス網に接
続しているFAであるかを判定する(ステップS1
2)。
網をサポートしていない場合は、「接続形態C」である
と判定し、自網のアクセス網をサポートしている場合
は、「接続形態D」であると判定する。
Mobile IPv4の場合と異なりFAが存在しな
いが、ユーザの移動検知を補助するAccess Ro
uter(AR)にAAAと連携する機能を持たせるこ
とにより、図4において、FAをARと置き換えること
が可能である。本発明は、Mobile IPv4のみ
ならず、Mobile IPv6にも適用可能である。
〜Dの具体例について説明する。ここでは、Mobil
e IPv4を例にとって説明する。Mobile I
Pでは、認証区間として、MN〜FA間、FA〜HA
間、MN〜HA間の3種類の区間において、なりすまし
防止や改竄防止のための認証方法がRFC2002で規
定されている。しかし、それぞれの使用方法や目的につ
いては詳細に言及されていないため、明確ではない。M
N〜HA間については、ユーザ認識のために必要となる
認証であると考えられるが、MN〜FA間、FA〜HA
間については、それぞれ網へのアクセス認証やノード間
の認証に用いられると考えられる。
証について、MN〜FA及びFA〜HA間のセキュリティ保
証性により、従って、この2種類の認証方法の必要性か
ら、Mobile IPを用いた接続パターンは、それ
ぞれ、図2に示す接続形態A〜Dの4種類に分類できる
ことが分かる。接続形態A〜Dの4パターンそれぞれの
接続形態例としては、図2に示すような接続形態例(サ
ービス例)が考えられる。各接続形態の構成例を図3に
示す。なお、これらの接続例はあくまでも例示であり、
本発明は、これに限定されるわけではない。
種キャリア間のローミング形態、すなわち、Mobil
e IPを用いた移動制御を網内で適用している移動キ
ャリア間のローミングサービス等が該当する。この接続
形態Aでは、MN〜FA間、FA〜HA間は管理するキ
ャリアが両端ノードで異なるためセキュリティが保証さ
れておらず、両方の区間での認証が必要であると考えら
れる。
よる移動管理機能を有する私設LAN間に、セキュリティ
の確保されていない接続、例えばインターネット網を介
した網において、MNが任意の私設LAN配下にローミング
する形態などが該当する。この接続形態Bでは、MNは、
私設LANと契約もしくは私設LANに管理されているためMN
−FA間の認証は不要であるが、FA〜HA区間はインタ
ーネット内でのデータの改ざん等の可能性があるため認
証が必要であると考えれる。
よる移動管理機能を有するキャリアに複数の私設LAN
が収容されている網においてMNが任意の私設LAN配下に
ローミングする形態などが該当する。例えば、移動キャ
リア内の移動制御を用い、私設LAN間の移動をサービ
スとして提供する形態や、移動キャリア自身がホットS
pot的にLANや異種アクセス網を収容し、その間の
移動サービスを提供する形態も考えられる。この接続形
態Cでは、HAとFAは閉域網内にあるためキャリアが保証
されているためFA〜HA区間の認証は不要であるが、MN
〜FA区間は管理するキャリアが異なるため認証が必要
であると考えられる。
制御の形態が該当する。すなわち、同一キャリア内にお
けるハンドオーバ等の移動制御へのMobile IP
の適用が考えられる。この接続形態Dでは、MN〜FA
間、FA〜HA間いずれも認証は不要であると考えられ
る。
〜HA間、およびMN〜認証管理サーバ間の認証は、い
ずれの接続形態でも必要であることとする。
末が、実施の形態1における「接続形態B」の形態で通
信を行う場合、図1に示すアルゴリズムによって、ま
ず、該当する移動通信端末の所属する網に属するが、そ
の移動通信端末を管理していない認証管理サーバに対
し、その移動通信端末が送出する位置登録メッセージ
を、DIAMETERプロトコルにマッピングしたメッ
セージが送出される。そして、ステップS2、ステップ
S3、ステップS7、ステップS8の処理を経て、その
移動通信端末を管理する認証管理サーバにそのメッセー
ジが転送される。そのメッセージを受信した、その移動
通信端末を管理する認証管理サーバは、ステップS2、
ステップS3、ステップS7、ステップS9、ステップ
S11の処理を経て、接続形態Bであることが判別され
る。このため、この接続形態に必要なMN−HA認証鍵
およびFA−HA認証鍵を、該当するノードである、M
N、FA、HAに対してDIAMETERメッセージと
Mobile IPメッセージを使用して配布する。こ
のような手順により、接続形態に応じた認証を行うこと
が可能となる。
接続形態Bの場合と同様に、必要な認証区間に応じた認
証を行うことが可能となる。
ず、次のような前提条件が設定されている。 MN〜HA、およびMN〜AAA間の認証は必須と
する。 MN〜AAA間では、共有認証鍵を予め保持してい
る。 MN〜FA、FA〜HA間の接続形態により、ユー
ザの接続形態を4つのパターンに分類する。この4つの
パターンを図4に示す。
キャリアのMNのローミングが該当する。接続形態B
は、例えば、セキュリティの確保されていない接続、例
えばインターネット網を介した私設LAN間のローミン
グが該当する。接続形態Cは、例えば、キャリア移動管
理による複数の私設LANを収容する形態が該当する。
接続形態Dは、例えば、同一キャリア内の移動制御の形
態が該当する。これらの各接続形態の構成例を、図5に
示す。
ように設定されている。 自網AAA〜他網AAA間は、セキュリティの確保
されていない接続、例えばインターネット経由を前提と
する。 自網AAA〜自網FA間はセキュリティの確保され
た接続、例えば専用線、VPN(仮想プライベートネット
ワーク)等による接続を前提とする。 自網AAA〜自網AAA間は、セキュリティの確保
されていない接続、例えばインターネット経由またはセ
キュリティの確保された接続、例えば専用線、VPN(仮
想プライベートネットワーク)接続のどちらも許容す
る。
説明する。 (1)MNが保持する情報としては、NAI(Netw
ork AccessIdentifier)であり、
ユーザ名と、そのユーザが所属するドメインが識別可能
なものである。例えば、xxxxxxx@yyy.zzz.ne.jpの形で
ある。 (2)AAAが保持する情報としては、以下のものがあ
る。 まず、NAIであり、自分の管理するドメインが識
別可能なものである。例えば、aaa@yyy.zzz.ne.jpの形
である。 次に、ローミング情報であり、登録要求を送出した
MNがローミング可能なユーザであるかどうかをMN−
NAIのドメイン名を参照することにより判断する。 さらに、網構成情報であり、DIAMETERメッ
セージを送出したノードのIPアドレスと、AAAが接
続する可能性のあるノード(自網のFA、自網/他網の
AAA)との対応表、およびそれらのノードとの間の接
続状況(セキュリティの確保されていない接続、例えば
インターネット経由/セキュリティの確保された接続、
例えば専用線、VPN(仮想プライベートネットワーク)
接続)を含めた情報である。ここでは、接続元IPアド
レスとNAIとの対応表も保持していてもよい。また、
自網ノードである場合、管理するアクセス網が自網/他
網であるかの情報を含む。
する。図6に示すように、AAAの管理テーブルは、I
Pアドレス(NAI値)、接続ノード又は、接続状況、
および管理アクセス網とから構成される。ローミング情
報としては、例えば、ローミング契約を行っているキャ
リアのドメイン名(@以下)を保持する。これにより、
AAAで保持していないドメイン名を持つMNの要求を
拒否することができる。
て図7を参照して説明する。まず、ステップT1〜T7
は、該当するMNを管理しているAAAを特定する手順
である。具体的には、AAAが受信したDIAMETE
Rメッセージに含まれるMNのNAI値とAAAのNA
I値とを比較することにより、該当するユーザが管理さ
れているAAAを特定する。その後、ステップT8にお
いて、受信したDIAMETERメッセージの送信元I
Pアドレスを元にして、AAAで予め保持している網構
成情報から、メッセージの送信元を特定する。その際、
他網のAAAからであれば、ステップT9に移行し、
「接続形態A」であると判断する。
Aからであれば、AAA間の接続はセキュリティの確保
された接続、例えば専用線、VPN(仮想プライベートネ
ットワーク)等であるのか、セキュリティの確保されて
いない接続、例えばインターネット経由であるのかを判
断する(ステップT10)。ステップT10における判
断の結果、セキュリティの確保されていない接続、例え
ばインターネット経由である場合は、DIAMETER
メッセージ中のMobile IPメッセージに含まれ
る気付アドレスと、AAAで予め保持している網構成情
報よりMNが接続しているFAが、自アクセス網/他ア
クセス網のどちらを管理しているかを判定する(ステッ
プT11)。この判定の結果、他アクセス網を管理して
いる場合は、ステップT12に移行し、「接続形態A」
であると判断する。一方、自アクセス網を管理している
場合は、ステップT13に移行し、「接続形態B」であ
ると判断する。
の送信元ノードが自網FAである場合およびステップT
10においてAAA間の接続がセキュリティの確保され
た接続、例えば専用線、VPN(仮想プライベートネット
ワーク)接続である場合は、ステップT14に移行し、
MNが接続しているFAのアクセス網のサポート状況に
ついて判定を行う。この判定の結果、他アクセス網を管
理している場合は、ステップT15に移行し、「接続形
態C」であると判断する。一方、自アクセス網を管理し
ている場合は、ステップT16に移行し、「接続形態
D」であると判断する。
を管理するAAAはその接続形態に応じて必要となる認
証鍵(又は認証鍵の資源)を該当するノードのみに配布
する。
定装置としてのAAAの概略構成について説明する。図
8に示すように、AAA80において、ユーザ識別子抽
出手段81は、移動通信端末が送信したパケットに設定
されているユーザ識別子を抽出する。ローミング契約情
報抽出手段82は、移動通信端末と外部エージェントと
の通信可否を示すローミング契約情報を抽出する。網構
成情報抽出手段83は、パケットを受信した認証管理サ
ーバが接続する可能性のあるノードのアドレスまたはノ
ード識別子を示す網構成情報を抽出する。
端末が所属する網を識別すると共に、移動通信端末が自
網に所属している場合に前記認証管理サーバで管理して
いるかどうかを識別するユーザ管理情報を抽出する。そ
して、本発明の特徴のひとつである接続形態認定手段8
5は、抽出された各情報に基いて、認証を必要とする区
間が予め定められた接続形態を認定する。さらに、送信
元検出手段86は、DIAMETERメッセージの送出
元を検出する。
信元が自網のAAAであるか他網のAAAであるかに応
じて接続形態を定め、DIAMETERメッセージの送
出元が自網の外部エージェントである場合に、自網のア
クセス網をサポートしているかどうかに応じて接続形態
を定め、AAA間の接続がセキュリティの確保された接
続、例えば専用線、VPN(仮想プライベートネットワー
ク)等によるものである場合は、自網のアクセス網をサ
ポートしているかどうかに応じて接続形態を定め、AA
A間の接続がセキュリティの確保されていない接続、例
えばインターネットを介するものである場合は、自網の
アクセス網をサポートしているかどうかに応じて接続形
態を定める。接続判断手段88は、DIAMETERメ
ッセージの送出元が自網のAAAである場合に、AAA
間の接続がセキュリティの確保された接続、例えば専用
線、VPN(仮想プライベートネットワーク)等によるも
のか、セキュリティの確保されていない接続、例えばイ
ンターネットを介するものかを判断する。以上の構成要
素は、制御バス89に接続されており、図示しないCP
Uによる制御を受ける。
ットワーク側で接続形態を判断することができるため、
接続形態に応じて認証が必要となる各ノードに、必要な
認証鍵または認証鍵を生成するための資源を配布するこ
とが可能となる。このため、接続形態によっては不必要
な認証鍵を配布することがなくなり、各ノード内の認証
処理の削減および網内で配布した認証鍵管理コストの低
減を図ることができる。同時に、接続形態をユーザが判
断し、接続形態毎に異なる位置登録要求を送出する機
能、例えば、判定する手順や機能の実装が不要となる。
信端末とパケット通信を行う移動通信網における認証区
間判定方法であって、前記パケットを受信した認証管理
サーバが接続する可能性のあるノードのアドレスまたは
ノード識別子を示す網構成情報を抽出するステップと、
前記抽出された情報に基いて、認証を必要とする区間が
予め定められた接続形態を認定するステップとを含む。
判断することができるため、接続形態に応じて認証が必
要となる各ノードのみに、必要な認証鍵または認証鍵を
生成するための資源を配布することが可能となる。
ク側で識別するためのフローチャートである。
説明を示す図である。
を示す図である。
説明を示す図である。
を示す図である。
ク側で識別するためのフローチャートである。
した場合の基本的なネットワーク構成を示す図である。
置登録とAAAの連携による認証鍵の配布方法の処理シ
ーケンスを示す図である。
の種類と目的を示す図である。
ent、FA…Foerign Agent、AAA…
Authentication,Authorizat
ion,Accounting、CN…Corresp
ondentNode、AR…Access Rout
er、80…AAA、81…ユーザ識別子抽出手段、8
2…ローミング契約情報抽出手段、83…網構成情報抽
出手段、84…ユーザ管理情報抽出手段、85…接続形
態認定手段、86…送信元抽出手段、87…第1〜第4
テーブル、88…接続判断手段。
Claims (15)
- 【請求項1】 移動通信端末とパケット通信を行う移動
通信網における認証区間判定方法であって、 前記パケットを受信した認証管理サーバが接続する可能
性のあるノードに関する網構成情報を導出するステップ
と、 前記導出された情報に基いて、認証を必要とする区間が
予め定められた接続形態を認定するステップとを含むこ
とを特徴とする認証区間判定方法。 - 【請求項2】 請求項1記載の認証区間判定方法におい
て、更に前記パケットに設定されているユーザ識別子を
抽出するステップを含み、 前記接続形態認定ステップでは、前記抽出されたユーザ
識別子に関する情報を加味して、認証を必要とする区間
が予め定められた接続形態を認定することを特徴とす
る。 - 【請求項3】請求項1又は2記載の認証区間判定方法に
おいて、更に、前記移動通信端末と外部エージェントと
の通信可否を示すローミング契約情報を抽出するステッ
プを含み、前記接続形態認定ステップでは、前記抽出さ
れたローミング契約情報を加味して、認証を必要とする
区間が予め定められた接続形態を認定することを特徴と
する。 - 【請求項4】請求項1,2又は3記載の認証区間判定方
法において、更に、前記移動通信端末が所属する網を識
別すると共に、前記移動通信端末が自網に所属している
場合に前記認証管理サーバで管理しているかどうかを識
別するユーザ管理情報を抽出するステップを含み、前記
接続形態認定ステップでは、前記抽出されたユーザ管理
情報を加味して、認証を必要とする区間が予め定められ
た接続形態を認定することを特徴とする。 - 【請求項5】 前記接続形態を認定するステップは、 前記認証管理サーバへアクセスするためのメッセージの
送出元を検出し、検出された送信元が自網の認証管理サ
ーバであるか他網の認証管理サーバであるかに応じて接
続形態を認定するステップと、 前記メッセージの送出元が自網の外部エージェントであ
る場合に、自網のアクセス網をサポートしているかどう
かによって接続形態を認定するステップとを含むことを
特徴とする請求項1乃至4記載の認証区間判定方法。 - 【請求項6】 前記メッセージの送出元が自網の認証管
理サーバである場合に、認証管理サーバ間の接続がセキ
ュリティの確保された接続によるものかセキュリティの
確保されていない接続を介するものかを判断するステッ
プと、 認証管理サーバ間の接続が、セキュリティが確保された
接続によるものである場合は、自網のアクセス網をサポ
ートしているかどうかによって接続形態を認定するステ
ップと、 認証管理サーバ間の接続が、セキュリティが確保されて
いない接続を介するものである場合は、自網のアクセス
網をサポートしているかどうかによって接続形態を認定
するステップとを含むことを特徴とする請求項5記載の
認証区間判定方法。 - 【請求項7】 請求項3記載の認証区間判定方法におい
て、前記ローミング契約情報抽出ステップが、前記移動
通信端末とアクセスルータとの通信可否を示すローミン
グ契約情報を抽出することを特徴とする。 - 【請求項8】 前記接続形態を認定するステップは、 前記認証サーバへのアクセスするためのメッセージの送
出元を検出し、検出された送信元が自網の認証管理サー
バであるか他網の認証管理サーバであるかに応じて接続
形態を認定するステップと、 前記メッセージの送出元が自網のアクセスルータである
場合に、自網のアクセス網をサポートしているかどうか
によって接続形態を認定するステップとを含むことを特
徴とする請求項7記載の認証区間判定方法。 - 【請求項9】 前記認定された接続形態に応じて必要な
認証鍵または認証鍵を生成するための資源を該当するノ
ードに払い出すステップを含むことを特徴とする請求項
1乃至8のいずれかに記載の認証区間判定方法。 - 【請求項10】 移動通信端末とパケット通信を行う移
動通信網に設けられる認証区間判定装置であって、 前記パケットを受信した認証管理サーバが接続する可能
性に関する網構成情報を導出する網構成情報導出手段
と、 前記導出された情報に基いて、認証を必要とする区間が
予め定められた接続形態を認定する接続形態認定手段と
を備えることを特徴とする認証区間判定装置。 - 【請求項11】 請求項10記載の認証区間判定装置に
おいて、更に、前記パケットに設定されているユーザ識
別子を抽出するユーザ識別子抽出手段を含み、前記接続
形態認定手段が、前記ユーザ識別子抽出手段で抽出され
た前記ユーザ識別子更に加味して、接続形態を認定する
ことを特徴とする。 - 【請求項12】 請求項10又は11記載の認証区間判
定装置において、更に、前記移動通信端末と外部エージ
ェントとの通信可否を示すローミング契約情報を抽出す
るローミング契約情報抽出手段を含み、前記接続形態認
定手段が、前記ローミング契約情報抽出手段で抽出され
た前記ローミング契約情報を更に加味して、接続形態を
認定することを特徴とする。 - 【請求項13】 請求項10,11又は12記載の認証
区間判定装置おいて、更に、前記移動通信端末が所属す
る網を識別すると共に、前記移動通信端末が自網に所属
している場合に前記認証管理サーバで管理しているかど
うかを識別するユーザ管理情報を抽出するユーザ管理情
報抽出手段を含み、前記接続形態認定手段が、前記抽出
されたユーザ管理情報を更に加味して、接続形態を認定
することを特徴とする。 - 【請求項14】 前記接続形態認定手段は、 前記認証サーバへアクセスするためのメッセージの送出
元を検出する送信元検出手段と、 前記検出された送信元が自網の認証管理サーバであるか
他網の認証管理サーバであるかに応じて接続形態を定め
る第1テーブルと、 前記メッセージの送出元が自網の外部エージェントであ
る場合に、自網のアクセス網をサポートしているかどう
かに応じて接続形態を定める第2テーブルとを備えるこ
とを特徴とする請求項10乃至12記載の認証区間判定
装置。 - 【請求項15】 前記メッセージの送出元が自網の認証
管理サーバである場合に、認証管理サーバ間の接続がセ
キュリティの確保された接続、例えばセキュリティの確
保された接続によるものかセキュリティの確保されてい
ない接続、例えばインターネットを介するものかを判断
する接続判断手段と、 認証管理サーバ間の接続が信頼性のある接続よるもので
ある場合は、自網のアクセス網をサポートしているかど
うかに応じて接続形態を定める第3テーブルと、 認証管理サーバ間の接続が信頼性に欠ける接続を介する
ものである場合は、自網のアクセス網をサポートしてい
るかどうかに応じて接続形態を定める第4テーブルとを
備えることを特徴とする請求項13記載の認証区間判定
装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001258246A JP4230683B2 (ja) | 2001-08-28 | 2001-08-28 | セキュリティ判定方法、およびセキュリティ判定装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001258246A JP4230683B2 (ja) | 2001-08-28 | 2001-08-28 | セキュリティ判定方法、およびセキュリティ判定装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2003070068A true JP2003070068A (ja) | 2003-03-07 |
JP4230683B2 JP4230683B2 (ja) | 2009-02-25 |
Family
ID=19085801
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001258246A Expired - Fee Related JP4230683B2 (ja) | 2001-08-28 | 2001-08-28 | セキュリティ判定方法、およびセキュリティ判定装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4230683B2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1905734B (zh) * | 2005-07-25 | 2010-05-05 | 华为技术有限公司 | 一种目标基站获取鉴权密钥的方法及系统 |
JP2010537571A (ja) * | 2007-08-17 | 2010-12-02 | クゥアルコム・インコーポレイテッド | アドホック・モバイル・サービス・プロバイダにおけるハンドオフ |
US8644206B2 (en) | 2007-08-17 | 2014-02-04 | Qualcomm Incorporated | Ad hoc service provider configuration for broadcasting service information |
US9179367B2 (en) | 2009-05-26 | 2015-11-03 | Qualcomm Incorporated | Maximizing service provider utility in a heterogeneous wireless ad-hoc network |
-
2001
- 2001-08-28 JP JP2001258246A patent/JP4230683B2/ja not_active Expired - Fee Related
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1905734B (zh) * | 2005-07-25 | 2010-05-05 | 华为技术有限公司 | 一种目标基站获取鉴权密钥的方法及系统 |
JP2010537571A (ja) * | 2007-08-17 | 2010-12-02 | クゥアルコム・インコーポレイテッド | アドホック・モバイル・サービス・プロバイダにおけるハンドオフ |
US8644206B2 (en) | 2007-08-17 | 2014-02-04 | Qualcomm Incorporated | Ad hoc service provider configuration for broadcasting service information |
US9167426B2 (en) | 2007-08-17 | 2015-10-20 | Qualcomm Incorporated | Ad hoc service provider's ability to provide service for a wireless network |
US9392445B2 (en) | 2007-08-17 | 2016-07-12 | Qualcomm Incorporated | Handoff at an ad-hoc mobile service provider |
US9398453B2 (en) | 2007-08-17 | 2016-07-19 | Qualcomm Incorporated | Ad hoc service provider's ability to provide service for a wireless network |
US9179367B2 (en) | 2009-05-26 | 2015-11-03 | Qualcomm Incorporated | Maximizing service provider utility in a heterogeneous wireless ad-hoc network |
Also Published As
Publication number | Publication date |
---|---|
JP4230683B2 (ja) | 2009-02-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1650576B (zh) | 在wlan漫游时用于gsm鉴权的方法和系统 | |
KR101401605B1 (ko) | 접속에 특화된 키를 제공하기 위한 방법 및 시스템 | |
US8477945B2 (en) | Method and server for providing a mobile key | |
US9686669B2 (en) | Method of configuring a mobile node | |
JP4586071B2 (ja) | 端末へのユーザポリシーの提供 | |
KR100651716B1 (ko) | Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템 | |
US9113332B2 (en) | Method and device for managing authentication of a user | |
US8533471B2 (en) | Method and server for providing mobility key | |
US7213144B2 (en) | Efficient security association establishment negotiation technique | |
US20080026724A1 (en) | Method for wireless local area network user set-up session connection and authentication, authorization and accounting server | |
CN101006682B (zh) | 快速网络附着 | |
US9043599B2 (en) | Method and server for providing a mobility key | |
US20040066769A1 (en) | Method and system for establishing a connection via an access network | |
US20040153555A1 (en) | Method and apparatus enabling reauthentication in a cellular communication system | |
WO2000002406A2 (en) | System and method for authentication in a mobile communications system | |
EP1741308A1 (en) | Improved subscriber authentication for unlicensed mobile access signaling | |
JP2004241976A (ja) | 移動通信ネットワークシステムおよび移動端末認証方法 | |
JP5044690B2 (ja) | Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て | |
EP1629653B1 (en) | Secure traffic redirection in a mobile communication system | |
WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
JP2003070068A (ja) | 認証区間判定方法、および認証区間判定装置 | |
CN101355578B (zh) | 基于radius和diameter协议的移动ip应用的兼容方法及系统 | |
US8817786B2 (en) | Method for filtering packets coming from a communication network | |
KR100628304B1 (ko) | 모바일 네트워크에서의 핸드오프 방법 및 그 시스템 | |
EP1443712B1 (en) | A method and a system for controlling handoff of a terminal |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041012 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060710 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070116 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070319 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080108 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080229 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081202 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081204 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4230683 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111212 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111212 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121212 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121212 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131212 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |