JP2006230011A - Authentication method and system - Google Patents

Authentication method and system Download PDF

Info

Publication number
JP2006230011A
JP2006230011A JP2006102071A JP2006102071A JP2006230011A JP 2006230011 A JP2006230011 A JP 2006230011A JP 2006102071 A JP2006102071 A JP 2006102071A JP 2006102071 A JP2006102071 A JP 2006102071A JP 2006230011 A JP2006230011 A JP 2006230011A
Authority
JP
Japan
Prior art keywords
network
authentication
subscriber
address
mapping
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006102071A
Other languages
Japanese (ja)
Inventor
Vitikainen Timo
ティモ ヴィティカイネン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Oyj
Original Assignee
Nokia Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Oyj filed Critical Nokia Oyj
Priority to JP2006102071A priority Critical patent/JP2006230011A/en
Publication of JP2006230011A publication Critical patent/JP2006230011A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a authentication method and system with which a VAS platform can identify an MS accessing the service of the VAS platform. <P>SOLUTION: In the authentication method and system for identifying subscribers of a first network in a second network, the address of the second network is assigned to the subscribers. Information on mapping between the address and subscriber recognition of the second network is generated and transmitted to the second network. Thus, authentication server connection is formed between the first and second networks and the subscriber recognition is handed over to the second network. The VAS platform of the second network receives the address and the subscriber recognition of the second network and consequently, subscriber access service of the VAS platform is identified for the purpose of charging and/or addressing. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、第1ネットワークの加入者を第2ネットワークにおいて識別するための認証方法及びシステムに係る。   The present invention relates to an authentication method and system for identifying a subscriber of a first network in a second network.

GPRS(汎用パケット無線サービス)システムでは、パケットモード技術を使用して高速及び低速データ及びシグナリングが効率的に転送される。GPRSは、ネットワーク及び無線リソースの使用を最適化する。標準的なデータプロトコルをベースとするアプリケーションがサポートされ、そしてIPネットワークとのインターワーキングが定義される。GPRSは、間欠的及びバーストデータの転送から大量データの時々の送信までをサポートするように構成される。課金は、通常、転送されるデータの量に基づいて行われる。   In GPRS (General Packet Radio Service) systems, packet mode technology is used to efficiently transfer high and low speed data and signaling. GPRS optimizes the use of network and radio resources. Applications based on standard data protocols are supported and interworking with IP networks is defined. GPRS is configured to support from intermittent and burst data transfers to occasional transmission of large amounts of data. Billing is usually based on the amount of data transferred.

GPRSは、GSM移動ネットワークに2つの新たなネットワークノードを導入する。サービングGPRSサポートノード(SGSN)は、移動交換センター(MSC)と同じハイアラーキーレベルにあって、移動ステーション(MS)の個々の位置を追跡しそしてセキュリティ機能及びアクセス制御を遂行する。SGSNは、フレームリレーでベースステーションシステムに接続される。ゲートウェイGSN(GGSN)は、外部パケット交換ネットワークとのインターワーキングを与え、そしてIPベースのGPRSバックボーンネットワークを経てSGSNに接続される。GSMシステムのHLR(ホーム位置レジスタ)は、GPRS加入者情報で改善され、そしてVLR(ビジター位置レジスタ)は、GPRS及び非GPRSサービス及び機能の更に効率的な整合に対して改善することができ、例えば、SGSNを経て更に効率的に遂行できる回路交換コールのページングや、複合GPRS及び非GPRS位置更新に対して改善することができる。   GPRS introduces two new network nodes in the GSM mobile network. The serving GPRS support node (SGSN) is at the same hierarchical level as the mobile switching center (MSC), tracks the individual location of the mobile station (MS) and performs security functions and access control. The SGSN is connected to the base station system by a frame relay. A gateway GSN (GGSN) provides interworking with external packet switched networks and is connected to the SGSN via an IP-based GPRS backbone network. The GLR system's HLR (Home Location Register) can be improved with GPRS subscriber information, and the VLR (Visitor Location Register) can be improved for more efficient alignment of GPRS and non-GPRS services and functions, For example, improvements can be made to paging of circuit-switched calls that can be performed more efficiently via SGSN, and to combined GPRS and non-GPRS location updates.

GPRSサービスにアクセスするために、MSは、先ず、GPRSアタッチを実行することによりその存在をネットワークに知らせる。このオペレーションは、MSとSGSNとの間に論理的リンクを確立し、そしてMSがSGSNを経てのページング及び到来するGPRSデータの通知を使用できるようにする。GPRSデータを送信及び受信するために、MSは、それが使用することを望むパケットデータアドレスをアクチベートしなければならない。このオペレーションは、MSを対応するGGSNに知らしめ、そして外部データネットワークとのインターワーキングを開始することができる。ユーザデータは、カプセル化及びトンネル化として知られている方法でMSと外部データネットワークとの間で透過的に転送され、この場合、データパケットは、GPRS特有のプロトコル情報が設けられ、そしてMSとGGSNとの間で転送される。この透過的な転送方法は、GPRS移動ネットワークが外部データプロトコルを解釈する必要性を低減し、そして付加的なインターワーキングプロトコルを将来容易に導入できるようにする。   In order to access the GPRS service, the MS first informs the network of its presence by performing a GPRS attach. This operation establishes a logical link between the MS and the SGSN and allows the MS to use paging via the SGSN and notification of incoming GPRS data. In order to send and receive GPRS data, the MS must activate the packet data address that it wants to use. This operation can inform the MS to the corresponding GGSN and initiate interworking with the external data network. User data is transferred transparently between the MS and the external data network in a manner known as encapsulation and tunneling, in which case the data packet is provided with GPRS-specific protocol information and Transferred to / from GGSN. This transparent forwarding method reduces the need for GPRS mobile networks to interpret external data protocols and allows additional interworking protocols to be easily introduced in the future.

移動加入者が、IPネットワークにより提供される付加価値サービス(VAS)にアクセスしたい場合には、サービス特有の課金が、移動オペレータに対する対応VASプラットホームの必須の特徴である。これは、オペレータが、例えばアクセスされたWML内容又はURL(均一リソースロケータ)及び供給されたメッセージに基づいて課金を実行できるサービスプラットホームを必要とすることを意味する。しかしながら、GPRSネットワーク又は他の移動パケット交換ネットワークに接続されたVASプラットホームにおけるMS識別は、普通のものではない。その理由は、VASプラットホームは、あるソースアドレスからIPパケットしか受信しないが、これが、通常、MSの動的なIPアドレスに過ぎず、従って、そのMSを識別するのに全く充分ではないからである。更に、付加的なHLR問い合わせを防止するためにメッセージングサービス(例えば、マルチメディアメッセージング)にとって特に重要なMSISDN(移動ステーションISDN番号)も必要とされる。   If the mobile subscriber wants to access the value added service (VAS) provided by the IP network, service specific billing is an essential feature of the corresponding VAS platform for the mobile operator. This means that the operator needs a service platform that can perform billing based on the accessed WML content or URL (Uniform Resource Locator) and the supplied message, for example. However, MS identification in a VAS platform connected to a GPRS network or other mobile packet switched network is unusual. The reason is that the VAS platform only receives IP packets from a certain source address, but this is usually just the dynamic IP address of the MS and is therefore not quite enough to identify that MS. . In addition, a MSISDN (Mobile Station ISDN Number) that is particularly important for messaging services (eg, multimedia messaging) to prevent additional HLR queries is also required.

既知のMS識別は、例えば、ユーザ名、パスワード又は暗号キーを使用することにより実行される。しかしながら、これらの形式の解決策は、移動オペレータにとって操作及び管理が複雑である。更に、これら解決策は、通常、それら自身のマネージメントシステム及びデータベースを必要とするが、これは、IMSI(国際移動加入者認識)又はMSISDNがCDR(コール詳細記録)のキーである移動オペレータの既存のビリングシステム又は課金システムに必ずしも適合しない。   Known MS identification is performed, for example, by using a username, password or encryption key. However, these types of solutions are complex to operate and manage for mobile operators. In addition, these solutions typically require their own management system and database, which is the existing mobile operator's existing key where IMSI (International Mobile Subscriber Identification) or MSISDN is a key to CDR (Call Detail Record). It is not necessarily compatible with any billing system or billing system.

或いは又、HLRにおいて認証サービスを遂行することもできる。しかしながら、この解決策は、既に極めて厳しいノードであるHLRに顕著な負荷上昇を招く。   Alternatively, an authentication service can be performed in the HLR. However, this solution leads to a significant load increase on the HLR, which is already a very demanding node.

それ故、本発明の目的は、VASプラットホームが、そのVASプラットホームのサービスにアクセスするMSを識別できるようにする認証方法及びシステムを提供することである。   Therefore, it is an object of the present invention to provide an authentication method and system that allows a VAS platform to identify an MS accessing a service of that VAS platform.

この目的は、第1ネットワークの加入者を第2ネットワークにおいて識別するための認証方法であって、上記第2ネットワークのアドレスを上記加入者に割り当て、上記第2ネットワークにおける加入者のアドレスと加入者の認識との間のマッピングに関する情報を発生し、そして上記マッピングを上記第2ネットワークに送信するという段階を含む認証方法によって達成される。   The purpose is an authentication method for identifying a subscriber of a first network in a second network, assigning the address of the second network to the subscriber, and the subscriber's address and subscriber in the second network. Is generated by an authentication method comprising the steps of generating information about the mapping between the recognition and sending the mapping to the second network.

更に、上記目的は、第1ネットワークの加入者を第2ネットワークにおいて識別するための認証システムであって、ゲートウェイ装置を備え、このゲートウェイ装置は、上記第2ネットワークのアドレスを上記加入者に割り当てるための割り当て手段と、上記第2ネットワークの上記アドレスと加入者認識との間のマッピングに関する情報を発生しそしてそのマッピング情報を上記第2ネットワークに送信するための認証クライアント手段とを含み、そして更に、上記第2ネットワークに設けられそして上記マッピング情報をロギング及び維持するように構成された認証サーバーを備えた認証システムによって達成される。   Furthermore, the object is an authentication system for identifying a subscriber of a first network in a second network, comprising a gateway device, which assigns an address of the second network to the subscriber. And an authentication client means for generating information about mapping between the address of the second network and subscriber identity and transmitting the mapping information to the second network, and Achieved by an authentication system comprising an authentication server provided in the second network and configured to log and maintain the mapping information.

更に、上記目的は、第1ネットワークを第2ネットワークに接続するためのゲートウェイ装置において、上記第2ネットワークのアドレスを上記第1ネットワークの加入者に割り当てるための割り当て手段と、上記第2ネットワークの上記アドレスと加入者認識との間のマッピングに関する情報を発生し、そして上記マッピング情報を上記IPネットワークに送信するための認証クライアント手段とを備えたゲートウェイ装置によって達成される。   Further, the object is to provide an assigning means for assigning an address of the second network to a subscriber of the first network in a gateway device for connecting the first network to the second network, and the second network. This is accomplished by a gateway device comprising authentication client means for generating information about the mapping between address and subscriber identity and sending the mapping information to the IP network.

従って、第2ネットワークのアドレスと加入者認識との間のマッピング情報が発生されて第2ネットワークに供給される。これにより、クライアント−サーバー接続が達成され、これは、第2ネットワークの動的アドレスの実際の加入者認識を第2ネットワークへとハンドオーバーできるようにする。第2ネットワークは、第2ネットワークのアドレスと加入者認識とのマッピングを使用して加入者を識別する。   Accordingly, mapping information between the address of the second network and the subscriber identity is generated and supplied to the second network. This achieves a client-server connection, which allows the actual subscriber identity of the dynamic address of the second network to be handed over to the second network. The second network identifies the subscriber using a mapping between the address of the second network and the subscriber identity.

第1ネットワーク、例えばGGSNは、第2ネットワークのアドレスと加入者認識との間のマッピングに関する情報を含むので、マッピングが変化した場合に新たなマッピングデータを第2ネットワークに送信することができる。   Since the first network, eg GGSN, contains information about the mapping between the second network address and the subscriber identity, new mapping data can be sent to the second network when the mapping changes.

上記加入者認識は、加入者のIMSI及び/又はMSISDNであるのが好ましい。従って、マルチメディアメッセージングサービスは、MSISDNを使用して受信者を識別し、そして受信者は、マルチメディアメッセージングサービスセンターにより与えられるMSISDNに基づいてメッセージの送信者を識別することができ、HLR問合せは、もはや必要とされない。更に、MSISDN又はIMSIは、加入者を識別してサービス特有の課金を実行するために課金機能によって使用される。   The subscriber identity is preferably the subscriber's IMSI and / or MSISDN. Thus, the multimedia messaging service uses MSISDN to identify the recipient, and the recipient can identify the sender of the message based on the MSISDN provided by the multimedia messaging service center, and the HLR query is Is no longer needed. In addition, MSISDN or IMSI is used by the charging function to identify subscribers and perform service specific charging.

マッピング情報は、アクセス要求メッセージ、例えば、RADIUSアクセス要求メッセージにおいて送信することができる。   The mapping information can be sent in an access request message, eg, a RADIUS access request message.

認証サーバー機能がVASプラットホームに対して設けられ、アクセス要求メッセージがVASプラットホームの認証サーバー機能へ送信され、そして移動ターミナルがVASプラットホームにおいてマッピング情報に基づいて識別されるのが好ましい。この場合に、認証サーバー機能がVASプラットホームに含まれてもよいし、或いは認証サーバー機能が専用の認証サーバーによって与えられてもよい。   An authentication server function is preferably provided for the VAS platform, an access request message is sent to the authentication server function of the VAS platform, and the mobile terminal is identified on the VAS platform based on the mapping information. In this case, the authentication server function may be included in the VAS platform, or the authentication server function may be provided by a dedicated authentication server.

ゲートウェイ装置がGGSNである場合には、マッピング情報は、GGSNの認証クライアント機能によって発生される。   When the gateway device is a GGSN, the mapping information is generated by the authentication client function of the GGSN.

マッピング情報は、サービス特有の課金に使用することもできる。   The mapping information can also be used for service specific billing.

認証サーバーは、第2ネットワークに設けられたVASプラットホームに対するRADIUSサーバーでよく、この場合、VASプラットホームは、マッピング情報に基づいて加入者を識別するように構成される。   The authentication server may be a RADIUS server for the VAS platform provided in the second network, where the VAS platform is configured to identify the subscriber based on the mapping information.

以下、添付図面を参照して、本発明の好ましい実施形態を詳細に説明する。   Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

本発明による認証方法及びシステムの好ましい実施形態を、第1ネットワークの一例であるGPRSネットワークと、第2ネットワークの一例であるIPネットワークとに基づいて以下に説明する。   A preferred embodiment of an authentication method and system according to the present invention will be described below based on a GPRS network which is an example of a first network and an IP network which is an example of a second network.

図1に示すように、移動ターミナル又は移動ステーション(MS)1は、GSMネットワーク2に無線接続され、該ネットワークは、次いで、GPRSバックボーンネットワークのSGSN3に接続される。GPRSバックボーンネットワークは、課金サーバー4と、GGSN5を備え、これは、IPネットワーク9、例えば、特定のオペレータのイントラネット又はインターネットに接続される。   As shown in FIG. 1, a mobile terminal or mobile station (MS) 1 is wirelessly connected to a GSM network 2, which is then connected to a SGRS 3 of a GPRS backbone network. The GPRS backbone network comprises a billing server 4 and a GGSN 5, which is connected to an IP network 9, for example a specific operator's intranet or the Internet.

GGSN5は、IPネットワーク9へのアクセスを与えるアクセスポイントユニット(AP)51を備え、これは、IPネットワーク9に接続されるべきMSにIPアドレスを割り当てるように構成される。更に、GGSN5は、IPネットワーク9へ発生されるアクセス要求に対して必要なパラメータを与えるように構成された認証クライアントユニット52を備えている。更に、この認証クライアントユニット52は、IPネットワーク9の所望のVASへ供給されるユーザ名及びパスワードパラメータの取り扱いを明瞭化及び指定するよう構成される。   The GGSN 5 comprises an access point unit (AP) 51 that provides access to the IP network 9, which is configured to assign an IP address to the MS to be connected to the IP network 9. In addition, the GGSN 5 comprises an authentication client unit 52 configured to provide the necessary parameters for access requests generated to the IP network 9. Furthermore, this authentication client unit 52 is configured to clarify and specify the handling of username and password parameters supplied to the desired VAS of the IP network 9.

図1に示す好ましい実施形態によれば、IPネットワーク9は、オペレータのイントラネットバックボーンであり、これは、アドレス割り当てサーバー6、例えば、RADIUS(リモート認証ダイヤルインユーザサービス)サーバーや、DHCP(ダイナミックホストコンフィギュレーションプロトコル)サーバー又はDNS(ドメイン名サーバー)等を含む。このアドレス割り当てサーバー6は、GGSN5からのアクセス要求に、アクセス受け入れ又はアクセス拒絶メッセージで応答するように構成される。更に、アドレス割り当てサーバー6は、IPネットワーク9においてホスト構成及びアドレス割り当てを遂行する。   According to the preferred embodiment shown in FIG. 1, the IP network 9 is the operator's intranet backbone, which is an address assignment server 6, for example a RADIUS (Remote Authentication Dial-in User Service) server, a DHCP (Dynamic Host Configuration). Protocol) server or DNS (domain name server). The address assignment server 6 is configured to respond to an access request from the GGSN 5 with an access accept or access reject message. Furthermore, the address assignment server 6 performs host configuration and address assignment in the IP network 9.

更に、IPネットワーク9、例えば、オペレータのイントラネットは、付加価値サービス(VAS)プラットホーム7を備えている。このようなVASプラットホームの一例は、MS1のような要求を発している加入者へマルチメディアメッセージを供給するためのマルチメディアメッセージセンター(MMSC)である。更に、VASプラットホームの別の例は、対応する均一リソースロケーター(URL)に基づいてワールドワイドウェブ(WWW)へのアクセスを与えるワイヤレスアプリケーションプロトコル(WAP)である。   Furthermore, the IP network 9, for example the operator's intranet, comprises a value added service (VAS) platform 7. An example of such a VAS platform is a Multimedia Message Center (MMSC) for supplying multimedia messages to requesting subscribers such as MS1. Yet another example of a VAS platform is the Wireless Application Protocol (WAP) that provides access to the World Wide Web (WWW) based on a corresponding uniform resource locator (URL).

本発明の好ましい実施形態によれば、VASプラットホーム7に対する専用の認証サーバー8がIPネットワーク9に設けられる。この認証サーバー8は、VASプラットホーム7へのアクセス要求を受け入れるか又は拒絶するRADIUSサーバーである。更に、認証サーバー8は、GGSN5の認証クライアント52、例えば、RADIUSクライアントから受け取ったアクセス要求又はそれに対応する移動加入者認識をロギング又は記憶するように構成される。従って、GGSN5の認証クライアント52は、アドレス割り当てサーバー又は特定の認証サーバー8と通信して、認証クライアント−サーバー接続が確立されるようにする。   According to a preferred embodiment of the present invention, a dedicated authentication server 8 for the VAS platform 7 is provided in the IP network 9. The authentication server 8 is a RADIUS server that accepts or rejects an access request to the VAS platform 7. Further, the authentication server 8 is configured to log or store an access request received from an authentication client 52 of the GGSN 5, eg, a RADIUS client, or a corresponding mobile subscriber identity. Accordingly, the authentication client 52 of the GGSN 5 communicates with an address assignment server or a specific authentication server 8 so that an authentication client-server connection is established.

特に、認証クライアント52は、マッピング情報を組み込むか又はそれをアクセス要求に追加し、それに基づいて、IPネットワーク9からサービスを要求するMSの実際のMSISDN及び/又はIMSIを認証サーバー8において導出することができる。マッピング情報は、現在IPアドレス、MSISDN及び/又はIMSI、或いはその組合せ又は短縮バージョンを含み、これに基づいて、MSISDN及び/又はIMSIを現在のIPアドレスから導出することができる。MSISDNは、GGSN5によりGSMネットワーク2からSGSN3を経て得ることができる。   In particular, the authentication client 52 incorporates the mapping information or adds it to the access request and, based on it, derives the actual MSISDN and / or IMSI of the MS requesting service from the IP network 9 at the authentication server 8. Can do. The mapping information includes the current IP address, MSISDN and / or IMSI, or a combination or shortened version thereof, based on which the MSISDN and / or IMSI can be derived from the current IP address. MSISDN can be obtained from GSM network 2 via SGSN 3 by GGSN 5.

従って、GGSN5の認証クライアントユニット52は、IPアドレスと、MSISDN及び/又はIMSIとの間のマッピングに関する情報を与える。このマッピングが変更される場合には、認証クライアントユニット52は、IPネットワーク9の認証サーバー8に新たなマッピング情報を送信する。これにより、MSISDN及び/又はIMSIが常にVASプラットホーム7に得られる。   Thus, the authentication client unit 52 of the GGSN 5 provides information regarding the mapping between the IP address and the MSISDN and / or IMSI. When this mapping is changed, the authentication client unit 52 transmits new mapping information to the authentication server 8 of the IP network 9. Thereby, MSISDN and / or IMSI are always obtained in the VAS platform 7.

MSISDNは、SGSN3からGGSN5へ供給される付加的なGTPパラメータとして与えることができる。IMSIは、これもSGSN3からGGSN5へ供給されるTIDから導出することができる。   MSISDN can be provided as an additional GTP parameter supplied from SGSN 3 to GGSN 5. The IMSI can also be derived from the TID supplied from SGSN 3 to GGSN 5.

GGSN5は、IPネットワーク9とインターワーキングするためのGSM GPRSデータネットワークのアクセスポイントとして機能する。この場合に、GPRSネットワークは、他のIPネットワーク又はサブネットワークのように見える。IPネットワーク9へのアクセスは、ユーザ認証、ユーザ許可、MSとIPネットワーク9との間の端−端暗号化、IPネットワーク9のアドレススペースに属するダイナミックIPアドレスの割り当てといった特定の機能を伴う。より詳細には、IPネットワーク9へのアクセスを要求するMS1には、オペレータアドレッシングスペースに属するアドレスが与えられる。このアドレスは、契約時に与えられるか(この場合は、スタティックアドレスである)又はPDP(パケットデータプロトコル)コンテキストアクチベーションにおいて与えられる(この場合は、ダイナミックアドレスである)。このアドレスは、IPネットワーク9とGGSN5との間及びGGSN5内でのパケット転送に使用される。   The GGSN 5 functions as an access point of the GSM GPRS data network for interworking with the IP network 9. In this case, the GPRS network looks like any other IP network or subnetwork. Access to the IP network 9 involves specific functions such as user authentication, user authorization, end-to-end encryption between the MS and the IP network 9, and assignment of dynamic IP addresses belonging to the IP network 9 address space. More specifically, the MS 1 that requests access to the IP network 9 is given an address that belongs to the operator addressing space. This address is given at contract time (in this case it is a static address) or in a PDP (Packet Data Protocol) context activation (in this case it is a dynamic address). This address is used for packet transfer between the IP network 9 and the GGSN 5 and within the GGSN 5.

GPRSバックボーンネットワークを経てIPネットワーク9へ行われるアクセスオペレーションの一例を、図2を参照して以下に説明する。   An example of an access operation performed on the IP network 9 through the GPRS backbone network will be described below with reference to FIG.

図2は、例示的なアクセスオペレーション中に実行されるシグナリング及び処理動作を示す情報流及び処理図である。図2によれば、MS1は、「PDPコンテキストアクチベート要求」メッセージをSGSN3へ送信し、これは、NSAPI(ネットワークレイヤーサービスアクセスポイント識別子)のようなプロトコルコンフィギュレーションオプション及びパラメータを含む。次いで、SGSN3は、MM(移動管理)コンテキストに記憶されたIMSIを、MSから受け取ったMSAPIと合成することにより、要求されたPDPコンテキストに対するTIDを形成し、ここで、SGSNは、HLRからMSISDNをフェッチする。その後、SGSN3は、「PDPコンテキスト形成要求」メッセージをGGSN5へ送信し、これは、APN(アクセスポイント名)、TID及びMSISDNのようなパラメータを含む。GGSN5のAPユニット51は、MS1に対するIPアドレスを割り当て、そして認証クライアントユニット52は、アクセス要求に対して要求されるパラメータを認証サーバー8に組み込む。より詳細には、認証クライアントユニット52は、割り当てられたIPアドレスとMSISDN/IMSIとの間のマッピングを指示するマッピングデータを発生する。   FIG. 2 is an information flow and processing diagram illustrating signaling and processing operations performed during an exemplary access operation. According to FIG. 2, MS1 sends a “PDP context activation request” message to SGSN3, which includes protocol configuration options and parameters such as NSAPI (Network Layer Service Access Point Identifier). SGSN 3 then forms the TID for the requested PDP context by combining the IMSI stored in the MM (Mobility Management) context with the MSAPI received from the MS, where the SGSN obtains the MSISDN from the HLR. Fetch. SGSN 3 then sends a “Create PDP Context Request” message to GGSN 5, which includes parameters such as APN (Access Point Name), TID and MSISDN. The AP unit 51 of the GGSN 5 assigns an IP address for the MS 1 and the authentication client unit 52 incorporates the parameters required for the access request into the authentication server 8. More specifically, the authentication client unit 52 generates mapping data indicating the mapping between the assigned IP address and the MSISDN / IMSI.

GGSN5は、IPアドレス及びマッピングデータを含むアクセス要求を、VASプラットホーム7に対して設けられた認証サーバー8へ送信する。次いで、認証サーバー8は、受け取った要求を受け入れ又は拒絶する。更に、認証サーバー8は、IPアドレス及びマッピングデータを含む要求をロギングする。従って、VASプラットホーム7は、認証サーバー8に記憶されたアクセス要求に含まれたマッピングデータに基づいてMS1を識別することができる。   The GGSN 5 transmits an access request including the IP address and mapping data to the authentication server 8 provided for the VAS platform 7. The authentication server 8 then accepts or rejects the received request. Further, the authentication server 8 logs a request including the IP address and mapping data. Accordingly, the VAS platform 7 can identify the MS 1 based on the mapping data included in the access request stored in the authentication server 8.

GGSN5は、「PDPコンテキスト形成応答」メッセージをSGSN3に返送し、ここで、原因値が、認証の結果、即ちアクセス拒絶又は受け入れに基づいてセットされる。「PDPコンテキスト形成応答」メッセージにおいて受け取られる原因値に基づいて、SGSN3は、「PDPコンテキストアクチベート受け入れ」メッセージ又は「PDPコンテキストアクチベート拒絶」メッセージをMS1に送信する。   The GGSN 5 sends a “PDP Context Formation Response” message back to the SGSN 3 where the cause value is set based on the result of the authentication, ie access denied or accepted. Based on the cause value received in the “PDP Context Create Response” message, SGSN 3 sends a “PDP Context Activate Accept” message or a “PDP Context Activate Reject” message to MS1.

従って、上記アクセス手順により、VASプラットホーム7は、IPアドレスと、アクセスしているMSのIMSI及びMSISDNとを受け取ることができ、マルチメディアメッセージングサービスのアドレッシングは、MSISDNをベースとすることができ、そしてサービス特有の課金を行うことができる。   Thus, with the above access procedure, VAS platform 7 can receive the IP address and the IMSI and MSISDN of the accessing MS, the addressing of the multimedia messaging service can be based on MSISDN, and Service-specific billing can be performed.

要約すれば、本発明は、第1ネットワークの加入者を第2ネットワークにおいて識別するための認証方法及びシステムであって、第2ネットワークのアドレスが加入者に割り当てられる方法及びシステムに係る。第2ネットワークのアドレスと加入者認識との間のマッピングに関する情報が発生されて第2ネットワークに送信される。これにより、第1ネットワークと第2ネットワークとの間に認証サーバー接続が形成され、加入者認識を第2ネットワークへハンドオーバーすることができる。従って、第2ネットワークのVASプラットホームは、第2ネットワークのアドレス及び加入者の認識を受け取ることができ、従って、VASプラットホームの加入者アクセスサービスを課金及び/又はアドレッシングの目的で識別することができる。   In summary, the present invention relates to an authentication method and system for identifying a subscriber of a first network in a second network, wherein the address of the second network is assigned to the subscriber. Information about the mapping between the address of the second network and the subscriber identity is generated and transmitted to the second network. Thereby, an authentication server connection is formed between the first network and the second network, and the subscriber recognition can be handed over to the second network. Thus, the VAS platform of the second network can receive the second network's address and subscriber identity, and thus can identify the VAS platform's subscriber access services for billing and / or addressing purposes.

上述した認証方法及びシステムは、移動ネットワークとIPネットワーク、或いは電話ネットワーク(例えば、ISDN、PSTN)と閉又は開データネットワークのような2つのネットワーク間のゲートウェイ装置に適用できることに注意されたい。更に、認証サーバー8及び認証クライアントユニット52は、RADIUSサーバー及びクライアントに限定されるものではない。又、互いに同様の又は異なる多数のVASプラットホームを第2ネットワークに同時にアタッチできることにも注意されたい。   Note that the authentication method and system described above can be applied to gateway devices between two networks, such as mobile networks and IP networks, or telephone networks (eg, ISDN, PSTN) and closed or open data networks. Further, the authentication server 8 and the authentication client unit 52 are not limited to the RADIUS server and the client. Note also that multiple VAS platforms, similar or different from each other, can be attached to the second network simultaneously.

好ましい実施形態の上記説明及び添付図面は、本発明を単に例示するものに過ぎない。従って、本発明の好ましい実施形態は、特許請求の範囲内で変更し得るものである。   The above description of the preferred embodiments and the accompanying drawings are only intended to illustrate the present invention. Accordingly, the preferred embodiments of the invention can be modified within the scope of the claims.

本発明の好ましい実施形態によりIPネットワークに接続されたGPRSネットワークのブロック図である。1 is a block diagram of a GPRS network connected to an IP network according to a preferred embodiment of the present invention. 本発明の好ましい実施形態によりIPネットワークにアクセスするオペレーションを示す情報流及び処理図である。FIG. 3 is an information flow and processing diagram illustrating an operation of accessing an IP network according to a preferred embodiment of the present invention.

符号の説明Explanation of symbols

1 移動ターミナル又は移動ステーション
2 GSMネットワーク
3 SGSN
4 課金サーバー
5 GGSN
6 アドレス割り当てサーバー
7 VASプラットホーム
8 認証サーバー
9 IPネットワーク
51 アクセスポイントユニット
52 認証クライアントユニット 1 Mobile terminal or mobile station 2 GSM network 3 SGSN
4 Billing server 5 GGSN
6 Address allocation server 7 VAS platform 8 Authentication server 9 IP network 51 Access point unit 52 Authentication client unit

Claims (17)

第1ネットワーク(2)の加入者を、VASプラットホームに対する認証サーバー機能が設けられた第2ネットワークにおいて識別するための認証方法であって、
a)上記第2ネットワーク(9)のアドレスを上記加入者に割り当て、
b)上記第2ネットワーク(9)における加入者のアドレスと加入者の認識との間のマッピングに関する情報を発生し、そして
c)上記マッピングを上記第2ネットワークに送信する、
という段階を含み、上記加入者は、VASプラットホームにおいて上記マッピング情報に基づいて識別されることを特徴とする認証方法。 An authentication method for identifying a subscriber of a first network (2) in a second network provided with an authentication server function for a VAS platform,
a) assigning the address of the second network (9) to the subscriber;
b) generating information about the mapping between the subscriber's address and the subscriber's identity in the second network (9); and c) sending the mapping to the second network;
The authentication method is characterized in that the subscriber is identified on the VAS platform based on the mapping information. 上記マッピング情報は、上記第2ネットワークにおける上記アドレスと加入者の認識との間の上記マッピングが変化したときに、上記第2ネットワークに送信される請求項1に記載の認証方法。   The authentication method according to claim 1, wherein the mapping information is transmitted to the second network when the mapping between the address and subscriber recognition in the second network changes. 上記加入者の認識は、加入者のIMSI及び/又はMSISDNである請求項1又は2に記載の認証方法。   The authentication method according to claim 1 or 2, wherein the subscriber's recognition is the subscriber's IMSI and / or MSISDN. 上記マッピング情報は、アクセス要求メッセージにおいて送信される請求項1ないし3のいずれかに記載の認証方法。   4. The authentication method according to claim 1, wherein the mapping information is transmitted in an access request message. 上記アクセス要求メッセージは、RADIUSアクセス要求メッセージである請求項4に記載の認証方法。   The authentication method according to claim 4, wherein the access request message is a RADIUS access request message. 上記認証サーバー機能は、VASプラットホームに含まれる請求項1に記載の認証方法。   The authentication method according to claim 1, wherein the authentication server function is included in a VAS platform. 上記認証サーバー機能は、専用の認証サーバーによって与えられる請求項1に記載の認証方法。   The authentication method according to claim 1, wherein the authentication server function is provided by a dedicated authentication server. 上記マッピング情報は、GGSNにおいて認証クライアント機能により発生される請求項1ないし7のいずれかに記載の認証方法。   The authentication method according to claim 1, wherein the mapping information is generated by an authentication client function in the GGSN. 上記マッピング情報は、移動ターミナルのサービス特有の課金及び/又はアドレッシングに対して使用される請求項1ないし8のいずれかに記載の認証方法。   9. The authentication method according to claim 1, wherein the mapping information is used for service-specific charging and / or addressing of a mobile terminal. 第1ネットワーク(2)の加入者(1)を第2ネットワーク(9)において識別するための認証システムであって、
a)ゲートウェイ装置(5)を備え、このゲートウェイ装置は、上記第2ネットワーク(9)のアドレスを上記加入者(1)に割り当てるための割り当て手段(51)と、上記第2ネットワーク(9)の上記アドレスと加入者認識との間のマッピングに関する情報を発生しそしてそのマッピング情報を上記第2ネットワーク(9)に送信するための認証クライアント手段(52)とを含み、そして
b)上記第2ネットワーク(9)に設けられそして上記マッピング情報をロギング及び維持するように構成された認証サーバー(8)を更に備え、
c)上記認証サーバー(8)は、上記第2ネットワーク(9)に設けられたVASプラットホーム(7)のサーバーであり、このVASプラットホーム(7)は、上記マッピング情報に基づいて上記加入者(1)を識別するよう構成されたことを特徴とする認証システム。 An authentication system for identifying a subscriber (1) of a first network (2) in a second network (9),
a) a gateway device (5), which includes an assigning means (51) for assigning an address of the second network (9) to the subscriber (1), and a second network (9) Authentication client means (52) for generating information about the mapping between the address and subscriber identity and transmitting the mapping information to the second network (9), and b) the second network An authentication server (8) provided in (9) and configured to log and maintain the mapping information;
c) The authentication server (8) is a server of the VAS platform (7) provided in the second network (9), and the VAS platform (7) is connected to the subscriber (1) based on the mapping information. An authentication system configured to identify a). 上記ゲートウェイ装置は、GGSN(5)である請求項10に記載の認証システム。   The authentication system according to claim 10, wherein the gateway device is GGSN (5). 上記認証クライアント手段(52)は、RADIUSクライアントである請求項10又は11に記載の認証システム。   The authentication system according to claim 10 or 11, wherein the authentication client means (52) is a RADIUS client. 上記認証サーバー(8)は、RADIUSサーバーである請求項10ないし12のいずれかに記載の認証システム。   The authentication system according to any one of claims 10 to 12, wherein the authentication server (8) is a RADIUS server. 上記加入者認識は、IMSI又はMSISDNである請求項10ないし13のいずれかに記載の認証システム。   14. The authentication system according to claim 10, wherein the subscriber recognition is IMSI or MSISDN. 上記認証クライアント手段(52)は、上記マッピング情報をアクセス要求メッセージにおいて上記認証サーバー(8)へ送信するように構成される請求項10ないし14のいずれかに記載の認証システム。   The authentication system according to any one of claims 10 to 14, wherein the authentication client means (52) is configured to transmit the mapping information to the authentication server (8) in an access request message. 第1ネットワーク(2)を第2ネットワーク(9)に接続するためのゲートウェイ装置において、
a)上記第2ネットワーク(9)のアドレスを上記第1ネットワーク(2)の加入者(1)に割り当てるための割り当て手段(51)と、
b)上記第2ネットワーク(9)の上記アドレスと加入者認識との間のマッピングに関する情報を発生し、そして上記マッピング情報を上記IPネットワーク(9)に送信するための認証クライアント手段(52)と、
を備え、この認証クライアント手段(52)はRADIUSクライアントであることを特徴とするゲートウェイ装置。 In the gateway device for connecting the first network (2) to the second network (9),
a) assigning means (51) for assigning the address of the second network (9) to the subscriber (1) of the first network (2);
b) authentication client means (52) for generating information relating to the mapping between the address of the second network (9) and the subscriber identity, and for transmitting the mapping information to the IP network (9); ,
And the authentication client means (52) is a RADIUS client. 上記認証クライアント手段(52)は、上記マッピング情報をアクセス要求メッセージにおいて送信するように構成された請求項16に記載のゲートウェイ装置。   The gateway apparatus according to claim 16, wherein the authentication client means (52) is configured to transmit the mapping information in an access request message.
JP2006102071A 2006-04-03 2006-04-03 Authentication method and system Pending JP2006230011A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006102071A JP2006230011A (en) 2006-04-03 2006-04-03 Authentication method and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006102071A JP2006230011A (en) 2006-04-03 2006-04-03 Authentication method and system

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2001508140A Division JP3811064B2 (en) 1999-07-02 1999-07-02 Authentication method and system

Publications (1)

Publication Number Publication Date
JP2006230011A true JP2006230011A (en) 2006-08-31

Family

ID=36990862

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006102071A Pending JP2006230011A (en) 2006-04-03 2006-04-03 Authentication method and system

Country Status (1)

Country Link
JP (1) JP2006230011A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011009918A (en) * 2009-06-24 2011-01-13 Ntt Docomo Inc Roaming system, home location register, and packet communication restricting method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011009918A (en) * 2009-06-24 2011-01-13 Ntt Docomo Inc Roaming system, home location register, and packet communication restricting method

Similar Documents

Publication Publication Date Title
JP3811064B2 (en) Authentication method and system
EP1119986B1 (en) Method and apparatus for communicating data packets from an external packet network to a mobile radio station
KR100750370B1 (en) Address acquisition
CA2257981C (en) Method and apparatus for addressing a wireless communication station with a dynamically-assigned address
EP1493289B1 (en) System and method for pushing data in an internet protocol network environment
KR100442594B1 (en) Packet data service method for wireless telecommunication system and apparatus therefor
EP1163810B1 (en) A system and method for providing address discovery of services in mobile networks
JP4230106B2 (en) Selection of multiple Internet service providers by GPRS subscribers
US8077681B2 (en) Method and system for establishing a connection via an access network
US6885870B2 (en) Transferring of a message
US7127489B2 (en) Messaging service
CA2383897C (en) Facilitating data transmission
EP1786176B9 (en) System and method for processing packet mobile-terminated calls using dynamic IP
CN102651862B (en) IP (Internet Protocol) address configuration method of WAP (Wireless Application Protocol) gateway and equipment thereof
KR100399576B1 (en) The Servicing Method of Simple IP and Mobile IP Service in IMT-2000 Packet Data Service Node
US7246176B2 (en) PDP context distribution among multiple GGSNs
JP2006505206A (en) System and method for managing access to mobile terminal from communication network
JP2006230011A (en) Authentication method and system
KR20040026891A (en) Mobile Communication Network and Arrival Call Service Method from Internet Host to Mobile Stations

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081125

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090224

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090227

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090721