JP2006245831A - Communication method, communication system, authentication server and mobile - Google Patents

Communication method, communication system, authentication server and mobile Download PDF

Info

Publication number
JP2006245831A
JP2006245831A JP2005056704A JP2005056704A JP2006245831A JP 2006245831 A JP2006245831 A JP 2006245831A JP 2005056704 A JP2005056704 A JP 2005056704A JP 2005056704 A JP2005056704 A JP 2005056704A JP 2006245831 A JP2006245831 A JP 2006245831A
Authority
JP
Japan
Prior art keywords
authentication
mobile device
home network
communication
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005056704A
Other languages
Japanese (ja)
Inventor
Minoru Matsumoto
実 松本
Tadashi Ito
匡 伊東
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005056704A priority Critical patent/JP2006245831A/en
Publication of JP2006245831A publication Critical patent/JP2006245831A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a security higher than a conventional communication system regarding an authentication between a mobile 3 moved between communication networks using different authentication systems and authentication servers in the communication networks. <P>SOLUTION: In the authentication of the mobile 3, a correctness is decided according to whether or not random numbers transmitted from each of the authentication server 11 for a home network 1 and the mobile 3 to the authentication server 21 for a network 2 are identical with an information obtained by ciphering the result of the authentication computed by a common cipher key. Accordingly, even when a malicious person wire-taps the transmitted and received information in the case of the authentication; a successful impersonation is made unable by succeeding communications, an additional function is not required for the authentication server 21 for the network 2, and a clearing function is not also required. In the authentication in the case of a hand-over, since the result of the authentication used for the authentication in the case of the start of a communication is used as a procedure employed as the random numbers, the procedure of the information from the authentication server 11 for the home network 1 to the mobile 3 is shortened, and a transaction processing can be reduced. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、異なる認証方式を使用する認証サーバをそれぞれ有する通信網間を移動する移動機と、ローミング網およびホーム網それぞれの認証サーバの通信において、移動機とホーム網で算出した認証結果を暗号化して、それぞれの暗号化した認証結果をローミング網の認証サーバで、ローミング網の認証サーバに追加機能を行うことなく、通信のトランザクション数を減少可能な、簡易に移動機の認証を行う通信システムに関する。   The present invention encrypts authentication results calculated by a mobile device and a home network in communication between a mobile device moving between communication networks each having an authentication server using different authentication methods, and an authentication server of each of a roaming network and a home network. Communication system that can easily authenticate a mobile device by reducing the number of communication transactions without adding an additional function to the authentication server of the roaming network using the authentication server of the roaming network. About.

ローミングを実施する移動機は、ローミング網経由でホーム網に位置登録が必要となり、その際には、移動機の認証が実施される。現状のセルラ通信においては、ローミングを行う通信事業者間の合意によって、通信網間で認証仕様が統一されるのが一般的である(非特許文献1および非特許文献2)。   A mobile device that performs roaming needs to be registered in the home network via the roaming network, and at that time, authentication of the mobile device is performed. In the current cellular communication, it is common that authentication specifications are unified between communication networks by agreement between telecommunications carriers that perform roaming (Non-Patent Document 1 and Non-Patent Document 2).

図5は異なる認証方式を使用する認証サーバをそれぞれ有する通信網間でのローミング時の認証を行うためのシステムのブロック図である。図5に示すように、ローミング時の移動機の認証を行うための通信システムは、ユーザがサービスの帰属関係を持つ通信網であるホーム網1と、それ以外の通信網であるローミング網2、そして移動機3から構成されている。そして、ホーム網1とローミング網2は、通信網41を介して接続される。ホーム網1とローミング網2の間を移動する移動機3が、ホーム網1に在圏している場合、移動機3は通信回線42を介してホーム網1に接続される。そして、移動機3がローミング網2に在圏している場合、移動機3は通信回線43を介してローミング網2に接続される。   FIG. 5 is a block diagram of a system for performing authentication during roaming between communication networks each having an authentication server using different authentication methods. As shown in FIG. 5, a communication system for authenticating a mobile device at the time of roaming includes a home network 1 as a communication network to which a user has a service belonging relationship, and a roaming network 2 as another communication network. The mobile device 3 is configured. The home network 1 and the roaming network 2 are connected via a communication network 41. When the mobile device 3 moving between the home network 1 and the roaming network 2 is located in the home network 1, the mobile device 3 is connected to the home network 1 via the communication line 42. When the mobile device 3 is in the roaming network 2, the mobile device 3 is connected to the roaming network 2 via the communication line 43.

移動機3がホーム網1からローミング網2に移動することでローミングを実施した場合、移動機3は通信回線43、通信回線24、通信網41および通信回線14を介して、ホーム網1の位置登録サーバ12に位置登録要求を行う。位置登録要求を受信した位置登録サーバ12は通信回線14で接続されている認証サーバ11に対して移動機3の正当性の確認を要求する。   When the mobile device 3 performs roaming by moving from the home network 1 to the roaming network 2, the mobile device 3 moves to the position of the home network 1 via the communication line 43, the communication line 24, the communication network 41, and the communication line 14. A location registration request is made to the registration server 12. The location registration server 12 that has received the location registration request requests the authentication server 11 connected via the communication line 14 to confirm the validity of the mobile device 3.

ホーム網1の認証サーバ11は、移動機3の認証情報(例:移動機アドレス、共有暗号鍵など)をローミング網2の認証サーバ21に送信する。認証情報を受信したローミング網2の認証サーバ21は、移動機3の認証を実行し、認証が成功すると、ホーム網1の認証サーバ11へ認証が成功したことを通知するとともに、移動機3の認証情報を記憶する。また、ホーム網1の位置登録サーバ12は移動機3がローミング網2に在圏することを記憶する。   The authentication server 11 of the home network 1 transmits authentication information (eg, mobile device address, shared encryption key, etc.) of the mobile device 3 to the authentication server 21 of the roaming network 2. The authentication server 21 of the roaming network 2 that has received the authentication information executes the authentication of the mobile device 3. When the authentication is successful, the authentication server 21 of the home network 1 notifies the authentication server 11 of the home network 1 that the authentication has been successful. Store authentication information. Further, the location registration server 12 of the home network 1 stores that the mobile device 3 is in the roaming network 2.

移動機3がローミング網2に在圏する際の通信開始時は、前記位置登録時と同様の手順で認証が行われ、認証が成功すると、移動機3の認証情報がローミング網2の認証サーバ21に記憶される。   At the start of communication when the mobile device 3 is in the roaming network 2, authentication is performed in the same procedure as in the location registration. When the authentication is successful, the authentication information of the mobile device 3 is the authentication server of the roaming network 2. 21 is stored.

また、移動機3のハンドオーバ時は、ローミング網2の認証サーバ21に記憶している当該移動機の認証情報を使用して、ローミング網2の認証サーバ21が移動機3の認証を実行する。   At the time of handover of the mobile device 3, the authentication server 21 of the roaming network 2 executes authentication of the mobile device 3 using the authentication information of the mobile device stored in the authentication server 21 of the roaming network 2.

非特許文献1および2の方法は、通信事業者間で認証仕様が統一されることが前提となっているが、様々な通信事業者が介在するインターネット通信では、すべての通信事業者で認証仕様を統一することが困難となる。したがって、図5に示すように、現状のインターネット通信では、ローミング網2内にクリアリング装置23を設置するか、もしくはローミング網2の認証サーバ21内に認証仕様の相違を吸収するクリアリング機能(図示せず)を備えることで、ローミング網2とホーム網1の認証方式が異なる場合でも移動機3の認証が可能となる。
3rd Generation Partnership Project Technical Specification23.012 "Location Management Procedures (Release1999)", June 2000. (P.9〜P.36)、[online]、[平成17年2月3日検索]、インターネット <URL:http://www.3gpp.org/ftp/Specs/2004-12/R1999/23_series/> 3rd Generation Partnership Project Technical Specification33.102 "3G Security; Security architecture (Release1999)", December 2002. (P.17〜P.26)、[online]、[平成17年2月3日検索]、インターネット <URL:http://www.3gpp.org/ftp/Specs/2004-12/R1999/33_series/> 特開2002-261761号公報 The methods of Non-Patent Documents 1 and 2 are based on the premise that authentication specifications are unified among communication carriers. However, in Internet communication involving various communication carriers, the authentication specifications are used by all communication carriers. It becomes difficult to unify. Therefore, as shown in FIG. 5, in the current Internet communication, a clearing device 23 is installed in the roaming network 2 or a clearing function that absorbs a difference in authentication specifications in the authentication server 21 of the roaming network 2 ( The mobile device 3 can be authenticated even when the roaming network 2 and the home network 1 have different authentication methods.
3rd Generation Partnership Project Technical Specification 23.012 “Location Management Procedures (Release1999)”, June 2000. (P.9-P.36), [online], [Search February 3, 2005], Internet <URL: http : //www.3gpp.org/ftp/Specs/2004-12/R1999/23_series/> 3rd Generation Partnership Project Technical Specification 33.102 "3G Security; Security architecture (Release1999)", December 2002. (P.17-P.26), [online], [Search February 3, 2005], Internet <URL : Http://www.3gpp.org/ftp/Specs/2004-12/R1999/33_series/> Japanese Patent Laid-Open No. 2002-261761

特許文献1では、ローミング時には、移動機とホーム網の認証サーバとの2者間のみ認識可能な認証情報を、中継するクリアリング装置に相当するローミング網内の認証サーバに通知する必要があるため、悪意者が送受信されるパケットを傍受することでクリアリング装置になりすますことも可能となる。その場合、なりすましを行ったクリアリング装置に他の移動機を介して通信する可能性があり、通信のセキュリティレベルが低下する問題が残る。   In Patent Document 1, when roaming, it is necessary to notify authentication information that can be recognized only between the mobile device and the authentication server of the home network to an authentication server in the roaming network corresponding to the clearing device to be relayed. It is also possible to impersonate a clearing device by intercepting packets sent and received by Service-to-Self. In that case, there is a possibility that the clearing device that has been impersonated may communicate with another clearing device, and there remains a problem that the security level of communication is lowered.

また、ローミング網内で、移動機がハンドオーバを実施する場合においては、常にクリアリング装置を介した認証を行う必要が生じるため、ハンドオーバのトランザクション処理が増加する問題も残る。   In addition, when a mobile station performs a handover within a roaming network, it is necessary to always perform authentication via a clearing device, and thus there remains a problem that transaction processing of the handover increases.

本発明は、このような問題点を鑑みてなされたものであり、異なる認証方式を使用する認証サーバを有する通信網における、ホーム網およびローミング網それぞれの認証サーバの認証において、セキュリティレベルの低下やトランザクション処理の増加を防止可能な移動機間の通信方法を提供することを課題とする。   The present invention has been made in view of such problems. In a communication network having an authentication server that uses different authentication methods, in the authentication of the authentication server of each of the home network and the roaming network, the security level is reduced. It is an object of the present invention to provide a communication method between mobile devices capable of preventing an increase in transaction processing.

前記した課題を解決するため、本発明では、以下のような通信方法を用いることとした。   In order to solve the above-described problems, the present invention uses the following communication method.

請求項1にかかる発明は、異なる認証方式を使用する認証サーバをそれぞれ有する複数の通信網とこの複数の通信網を利用して通信する移動機とによる通信方法であり、前記通信網は移動機とサービスの帰属関係を持つホーム網と、ローミングにより移動機の通信が行われるローミング網とを含み、本通信方法は、移動機がローミング網に移動した際の位置登録時または通信開始時に、移動機とホーム網の認証サーバが作成して所有する認証結果を使用して、ローミング網の認証サーバが認証を行う認証手順と、移動機のハンドオーバ時に、当該移動機とホーム網の認証サーバとが、以前に算出した認証結果を乱数として使用して認証を行う認証手順を特徴とする。
本手順を使用することで、異なる認証方式を使用する認証サーバをそれぞれ有する複数の通信網での移動機の認証が簡易化され、現存するクリアリング装置を特に必要としない認証が可能となる。これにより、送受信されるパケットの傍受などに伴うセキュリティレベルの低下の問題やトランザクション処理の増加の問題が解決される。 The invention according to claim 1 is a communication method by a plurality of communication networks each having an authentication server that uses different authentication methods and a mobile device that communicates using the plurality of communication networks, the communication network being a mobile device And a home network having a service belonging relationship with the service and a roaming network in which the mobile device communicates by roaming. This communication method moves at the time of location registration or communication start when the mobile device moves to the roaming network. The authentication procedure that the authentication server of the roaming network uses the authentication result created and owned by the authentication server of the mobile device and the home network, and the authentication server of the mobile device and the home network The authentication procedure is characterized in that authentication is performed using a previously calculated authentication result as a random number.
By using this procedure, authentication of a mobile device in a plurality of communication networks each having an authentication server using a different authentication method is simplified, and authentication that does not particularly require an existing clearing device is possible. This solves the problem of a decrease in security level due to interception of transmitted and received packets and the problem of increase in transaction processing.

請求項2にかかる発明は、請求項1にかかる発明において、前記位置登録時または前記通信開始時に実行される認証手順で使用される情報は、移動機を一意に識別可能な移動機アドレスと、移動機とホーム網の認証サーバとの間で共に記憶される共有暗号鍵と、ホーム網の認証サーバで生成される乱数と、当該認証手順で移動機とホーム網の認証サーバとでそれぞれ算出される認証結果を前記共有暗号鍵で暗号化した情報を備えることを特徴とする。
これによれば、セキュリティレベルの低下がより確実に防止される。 The invention according to claim 2 is the invention according to claim 1, wherein the information used in the authentication procedure executed at the time of location registration or at the start of communication includes a mobile device address that can uniquely identify a mobile device, The shared encryption key that is stored together between the mobile device and the home network authentication server, the random number generated by the home network authentication server, and the mobile station and the home network authentication server are calculated by the authentication procedure. Information obtained by encrypting the authentication result with the shared encryption key.
According to this, the lowering of the security level can be prevented more reliably.

請求項3にかかる発明は、請求項1にかかる発明において、位置登録時の移動機の認証は、ローミング網の位置登録サーバが、前記移動機が送信する位置登録要求信号に含まれる当該移動機を一意に識別可能な移動機アドレス(例:ユーザ名@ドメイン名)内の、ホーム網を識別可能なホーム網アドレス(例:ドメイン名)から、ホーム網を認識し、位置登録要求信号を送信することを特徴とする。
これによれば、ローミング網位置登録サーバが、前記移動機のホーム網を識別して位置要求信号をホーム網の認証サーバに送信することが可能となり、本発明での認証に必要な情報がホーム網の認証サーバへ送信される。 According to a third aspect of the present invention, in the first aspect of the invention, the authentication of the mobile device at the time of location registration is performed by the location registration request signal transmitted from the location registration server of the roaming network by the mobile device. The home network is recognized from the home network address (example: domain name) that can uniquely identify the home network in the mobile device address (example: user name @ domain name) that can be uniquely identified, and a location registration request signal is transmitted. It is characterized by doing.
According to this, it becomes possible for the roaming network location registration server to identify the home network of the mobile device and transmit a location request signal to the authentication server of the home network. Sent to network authentication server.

請求項4にかかる発明は、請求項1にかかる発明において、ホーム網の認証サーバは、移動機とホーム網の認証サーバで共に予め記憶されている共有暗号鍵およびホーム網の認証サーバで生成される乱数を使用して、認証結果を算出する。この認証結果を前記共有暗号鍵で暗号化して、ローミング網の認証サーバに、移動機アドレス、生成した乱数および暗号化した認証結果を送信する。
ローミング網の認証サーバは、受信した移動機アドレスと暗号化された認証結果を一対のデータとして記憶するとともに、当該移動機に対してホーム網の認証サーバが生成した乱数を送信する。
移動機は、ホーム網の認証サーバと共に予め記憶されている共有暗号鍵および受信した乱数を使用して、認証結果を算出する。その後、ホーム網の認証サーバと同様に、前記共有暗号鍵で認証結果を暗号化して、ローミング網の認証サーバに、移動機アドレスおよび暗号化した認証結果を送信する。
移動機アドレスと暗号化された認証結果を受信したローミング網の認証サーバは、移動機アドレスを検索キーとして、記憶していた当該移動機の暗号化された認証結果を検索し、移動機から受信した暗号化された認証結果と比較する。比較した認証結果が同一の場合は認証成功となり、ホーム網の認証サーバに認証応答信号を送信し、ホーム網の認証サーバ経由でホーム網の位置登録サーバにある当該移動機の位置情報が更新されることを特徴とする。
これによれば、通信網での移動機の認証が簡易化され、送受信されるパケットの傍受などに伴うセキュリティレベルの低下の問題が解決される。 The invention according to claim 4 is the invention according to claim 1, wherein the authentication server of the home network is generated by the shared encryption key stored in advance in the mobile device and the authentication server of the home network and the authentication server of the home network. The authentication result is calculated using a random number. The authentication result is encrypted with the shared encryption key, and the mobile station address, the generated random number, and the encrypted authentication result are transmitted to the authentication server of the roaming network.
The roaming network authentication server stores the received mobile device address and the encrypted authentication result as a pair of data, and transmits a random number generated by the home network authentication server to the mobile device.
The mobile device calculates the authentication result using the shared encryption key stored in advance together with the authentication server of the home network and the received random number. After that, as with the home network authentication server, the authentication result is encrypted with the shared encryption key, and the mobile station address and the encrypted authentication result are transmitted to the roaming network authentication server.
The authentication server of the roaming network that has received the mobile device address and the encrypted authentication result searches the stored authentication result of the mobile device using the mobile device address as a search key and receives it from the mobile device. Compare with the encrypted authentication result. If the compared authentication results are the same, authentication is successful, an authentication response signal is transmitted to the home network authentication server, and the location information of the mobile device in the home network location registration server is updated via the home network authentication server. It is characterized by that.
According to this, authentication of the mobile device in the communication network is simplified, and the problem of a decrease in security level due to interception of transmitted and received packets is solved.

請求項5または6にかかる発明は、請求項1にかかる発明において、移動機の通信開始時においても、位置登録と同様の認証手順が実行される。   In the invention according to claim 5 or 6, in the invention according to claim 1, the authentication procedure similar to the location registration is executed even when communication of the mobile device is started.

請求項8にかかる発明は、請求項1にかかる発明において、ハンドオーバ時に実行される認証手順で使用される情報は、移動機を一意に識別可能な移動機アドレスと、移動機とホーム網の認証サーバ間で共に記憶されている共有暗号鍵と、移動機とホーム網の認証サーバ間で共に記憶されている通信開始時の認証で使用した認証結果と、当該認証手順で移動機とホーム網の認証サーバでそれぞれ算出される認証結果を前記共有暗号鍵で暗号化した認証結果とを備えることを特徴とする。
これによれば、セキュリティレベルの低下がより確実に防止される。 According to an eighth aspect of the present invention, in the first aspect of the invention, the information used in the authentication procedure executed at the time of handover includes a mobile unit address that can uniquely identify the mobile unit, and authentication of the mobile unit and the home network. The shared encryption key stored together between the servers, the authentication result used for authentication at the start of communication stored between the mobile station and the home network authentication server, and the mobile station and home network And an authentication result obtained by encrypting the authentication result respectively calculated by the authentication server with the shared encryption key.
According to this, the lowering of the security level can be prevented more reliably.

請求項7、9または10にかかる発明は、請求項1にかかる発明において、ハンドオーバ時の移動機の認証では、移動機は、通信開始時にホーム網の認証サーバとの間で認証を実行した際の認証結果を乱数として使用する。
認証結果の算出は通信開始時の算出手順と同様で、移動機は、前記認証結果と、移動機とホーム網の認証サーバとの間共に予め記憶されている共有暗号鍵を使用して、認証結果を算出し、当該認証結果を前記共有暗号鍵で暗号化して、ローミング網の認証サーバに、移動機を一意に識別可能な移動機アドレスと、暗号化した認証結果を送信する。
移動機アドレスと暗号化した認証結果を受信したローミング網の認証サーバは、それらの情報を記憶するとともに、位置登録の際と同様に、移動機アドレス(例:ユーザ名@ドメイン名)に含まれるホーム網を識別可能なホーム網アドレス(例:ドメイン名)からホーム網を識別することで、ホーム網の認証サーバに移動機アドレスおよび暗号化した認証結果を送信する。
それらの情報を受信したホーム網の認証サーバは、移動機と同様に、通信開始時に当該移動機との間で、認証を実行した際の認証結果を乱数として使用し、移動機とホーム網の認証サーバ間で共に予め記憶されている共有暗号鍵から、認証結果を算出し、前記共有暗号鍵で暗号化して、ローミング網の認証サーバに、移動機を一意に識別可能な移動機アドレスおよび暗号化した認証結果を送信する。
通信開始時の認証手順と同様に、移動機アドレスおよび暗号化した認証結果を受信したローミング網の認証サーバは、移動機アドレスを検索キーとして、記憶していた当該移動機の暗号化された認証結果を検索し、移動機から受信した暗号化された認証結果と比較する。比較した結果が同一の場合は認証成功となり、ハンドオーバが実行されることを特徴とする。
これによれば、複数の通信網での移動機のハンドオーバ時の認証が簡易化されることにより、送受信されるパケットの傍受などに伴うセキュリティレベルの低下の問題およびトランザクション処理の増加の問題が解決される。
その他の解決手段は、後記する「発明を実施するための最良の形態」の欄で明確化する。 In the invention according to claim 7, 9 or 10, in the invention according to claim 1, in the authentication of the mobile device at the time of handover, when the mobile device executes authentication with the authentication server of the home network at the start of communication The authentication result is used as a random number.
The calculation of the authentication result is the same as the calculation procedure at the start of communication, and the mobile device uses the shared encryption key stored in advance between the authentication result and the mobile server and the home network authentication server. The result is calculated, the authentication result is encrypted with the shared encryption key, and the mobile device address that uniquely identifies the mobile device and the encrypted authentication result are transmitted to the authentication server of the roaming network.
The authentication server of the roaming network that has received the mobile device address and the encrypted authentication result stores the information, and is included in the mobile device address (eg, user name @ domain name) as in the case of location registration. By identifying the home network from a home network address (eg, domain name) that can identify the home network, the mobile station address and the encrypted authentication result are transmitted to the authentication server of the home network.
The authentication server of the home network that has received such information uses the authentication result when the authentication is executed with the mobile device at the start of communication, as a random number, similar to the mobile device. An authentication result is calculated from a shared encryption key stored in advance between the authentication servers, encrypted with the shared encryption key, and the mobile device address and encryption that can uniquely identify the mobile device to the authentication server of the roaming network Send the authentication result.
Similar to the authentication procedure at the start of communication, the roaming network authentication server that has received the mobile device address and the encrypted authentication result stores the encrypted authentication of the mobile device stored using the mobile device address as a search key. The result is retrieved and compared with the encrypted authentication result received from the mobile device. If the comparison results are the same, authentication is successful and handover is executed.
According to this, authentication at the time of handover of a mobile device in a plurality of communication networks is simplified, thereby solving a problem of a decrease in security level due to interception of transmitted and received packets and an increase in transaction processing. Is done.
Other solutions will be clarified in the “Best Mode for Carrying Out the Invention” section below.

本発明によれば、ローミングサービスにおいて、悪意者の送受信パケットの傍受によるセキュリティレベルの低下や、トランザクション処理を抑制することのできる通信方法を提供することができる。   ADVANTAGE OF THE INVENTION According to this invention, the communication method which can suppress the fall of the security level by a interception of the transmission / reception packet of a Service-to-Self and transaction processing can be provided in roaming service.

次に、本発明の実施形態について、図面を参照しながら詳細に説明する。また、必要に応じて図1を参照することとする。図1は、本発明の実施の形態にかかるローミング時の認証を実現する通信網構成図である。   Next, embodiments of the present invention will be described in detail with reference to the drawings. Further, FIG. 1 will be referred to if necessary. FIG. 1 is a configuration diagram of a communication network that realizes authentication at the time of roaming according to an embodiment of the present invention.

(ホーム網・ローミング網・通信回線)
ホーム網1は、認証サーバ11と位置登録サーバ12と、認証サーバ11および位置登録サーバ12を接続する通信回線14とで構成され、ローミング網2は、認証サーバ21と位置登録サーバ22と、認証サーバ21および位置登録サーバ22を接続する通信回線24とで構成される。また、ホーム網1とローミング網2は通信網41を介して接続される。
移動機3がホーム網1に在圏している場合は、移動機3は通信回線42を介してホーム網1に接続され、移動機3がローミング網2に在圏している場合は、移動機3は通信回線43を介してローミング網2に接続される。 (Home network, roaming network, communication line)
The home network 1 includes an authentication server 11, a location registration server 12, and a communication line 14 that connects the authentication server 11 and the location registration server 12. The roaming network 2 includes an authentication server 21, a location registration server 22, and an authentication. The communication line 24 connects the server 21 and the location registration server 22. The home network 1 and the roaming network 2 are connected via a communication network 41.
When the mobile device 3 is in the home network 1, the mobile device 3 is connected to the home network 1 via the communication line 42, and when the mobile device 3 is in the roaming network 2, the mobile device 3 The machine 3 is connected to the roaming network 2 via the communication line 43.

(ホーム網1の認証サーバ11)
ホーム網1の認証サーバ11は、データなどの送受信を行う送受信部111、各データを記憶する記憶部112および各データの認証結果の算出、暗号化などの処理を行う演算部113を含んで構成される。 (Authentication server 11 of home network 1)
The authentication server 11 of the home network 1 includes a transmission / reception unit 111 that transmits and receives data, a storage unit 112 that stores each data, and a calculation unit 113 that performs processing such as calculation and encryption of the authentication result of each data. Is done.

(ホーム網1の位置登録サーバ12)
ホーム網1の位置登録サーバ12は、データなどの送受信を行う送受信部121、および移動機3の位置情報などのデータを記憶する記憶部122を含んで構成される。 (Location registration server 12 of home network 1)
The location registration server 12 of the home network 1 includes a transmission / reception unit 121 that transmits / receives data and the like, and a storage unit 122 that stores data such as location information of the mobile device 3.

(ローミング網2の認証サーバ21)
ローミング網2の認証サーバ21は、データなどの送受信を行う送受信部211、各データを記憶する記憶部212、各データの認証結果の算出、暗号化などの処理を行う演算部213および各認証結果の比較を行う比較部214を含んで構成される。 (Authentication server 21 of roaming network 2)
The authentication server 21 of the roaming network 2 includes a transmission / reception unit 211 that performs transmission / reception of data, a storage unit 212 that stores each data, a calculation unit 213 that performs processing such as calculation and encryption of each data authentication result, and each authentication result The comparison unit 214 is configured to compare the above.

(ローミング網2の位置登録サーバ22)
ローミング網2の位置登録サーバ22は、データなどの送受信を行う送受信部221およびホーム網を識別可能なアドレスを認識する処理を行う演算部223を含んで構成される。 (Roaming network 2 location registration server 22)
The location registration server 22 of the roaming network 2 includes a transmission / reception unit 221 that transmits and receives data and a calculation unit 223 that performs processing for recognizing an address that can identify a home network.

(移動機)
移動機3は、データなどの送受信を行う送受信部31、各データを記憶する記憶部32および認証結果の算出、暗号化などの処理を行う演算部33を含んで構成される。 (Mobile machine)
The mobile device 3 includes a transmission / reception unit 31 that transmits / receives data, a storage unit 32 that stores each data, and a calculation unit 33 that performs processing such as calculation of an authentication result and encryption.

なお、図1に示したホーム網1の認証サーバ11、位置登録サーバ12、ローミング網2の認証サーバ21、および位置登録サーバ22は、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)、ハードディスクドライブ、入出力インターフェースなどを含んで構成されるコンピュータを用いて具現され、これらのサーバの各部は、このコンピュータのハードディスクドライブに格納されたプログラムをRAMに展開し、CPUが実行することで具現される。   Note that the authentication server 11, the location registration server 12, the authentication server 21 of the roaming network 2, and the location registration server 22 shown in FIG. 1 are a CPU (Central Processing Unit), a RAM (Random Access Memory), and a ROM. (Read Only Memory), a hard disk drive, an input / output interface and the like are implemented using a computer. Each unit of these servers expands a program stored in the hard disk drive of the computer into a RAM, and executes a CPU. Is implemented by executing.

図2は、本発明の実施形態にかかる移動機3が、ローミング網2に移動した際に実行する位置登録時の移動機3の認証における処理のフローである。図1を参照しつつ、図2に沿って位置登録時の認証手順の処理の流れを説明する。なお、本実施形態において、ホーム網1とローミング網2間の通信は通信網41を介し、移動機3とホーム網1間での通信は通信回線42を介し、移動機3とローミング網2間における通信は通信回線43を介すものとし、以下これらの記載を省略する。また、ホーム網1の各サーバ間の通信は通信回線14を介し、ローミング網2の各サーバ間の通信は通信回線24を介すものとし、以下これらの記載を省略する。   FIG. 2 is a process flow in authentication of the mobile device 3 at the time of location registration, which is executed when the mobile device 3 according to the embodiment of the present invention moves to the roaming network 2. With reference to FIG. 1, the flow of the authentication procedure at the time of location registration will be described with reference to FIG. In this embodiment, communication between the home network 1 and the roaming network 2 is performed via the communication network 41, and communication between the mobile device 3 and the home network 1 is performed via the communication line 42 between the mobile device 3 and the roaming network 2. Communication in is via the communication line 43, and will not be described below. In addition, communication between the servers of the home network 1 is performed via the communication line 14, and communication between the servers of the roaming network 2 is performed via the communication line 24.

ローミング網2においてローミングを行った移動機3の送受信部31は、ローミング網2の位置登録サーバ22の送受信部221を介して、ローミング網2の位置登録サーバ22の演算部223へ位置登録要求信号を送信する(S401)。
位置登録要求信号に含まれている情報には、移動機3を一意に識別可能な移動機アドレス(例:ユーザ名@ドメイン名など)が含まれ、その移動機アドレスにはホーム網1を識別可能なホーム網アドレス(例:ドメイン名など)が含まれている。ローミング網2の位置登録サーバ22の演算部223は、移動機3のホーム網アドレスの認識処理を行い(S402)、移動機3がサービスの帰属関係を持つホーム網1のホーム網アドレスを認識する。これにより、ローミング網2の位置登録サーバ22の演算部223は、ローミング網2の位置登録サーバ22の送受信部221を介して、認識したホーム網アドレスを有するホーム網1の位置登録サーバ12の送受信部121に、移動機アドレスを含む位置登録要求信号を送信する(S403)。 The transmission / reception unit 31 of the mobile device 3 that has roamed in the roaming network 2 sends a location registration request signal to the calculation unit 223 of the location registration server 22 of the roaming network 2 via the transmission / reception unit 221 of the location registration server 22 of the roaming network 2. Is transmitted (S401).
The information included in the location registration request signal includes a mobile device address (eg, user name @ domain name) that can uniquely identify the mobile device 3, and the mobile device address identifies the home network 1. Contains possible home network addresses (eg domain names). The computing unit 223 of the location registration server 22 of the roaming network 2 performs a home network address recognition process of the mobile device 3 (S402), and the mobile device 3 recognizes the home network address of the home network 1 to which the service belongs. . As a result, the calculation unit 223 of the location registration server 22 of the roaming network 2 transmits / receives the location registration server 12 of the home network 1 having the recognized home network address via the transmission / reception unit 221 of the location registration server 22 of the roaming network 2. A location registration request signal including the mobile device address is transmitted to unit 121 (S403).

位置登録要求信号を受信したホーム網1の位置登録サーバ12の送受信部121は、移動機3の認証を行うために、ホーム網1の認証サーバ11の送受信部111に移動機アドレスを含む認証要求信号を送信して(S404)、移動機3の認証を実行するよう要求する。
ホーム網1の認証サーバ11の送受信部111は、ホーム網1の認証サーバ11の演算部113に対し、第1の認証結果算出の処理を要求する。ホーム網1の認証サーバ11の演算部113は、移動機3の記憶部32とホーム網1の認証サーバ11の記憶部112間で共に予め記憶されている共有暗号鍵、およびホーム網1の認証サーバ11の演算部113で生成される第1の乱数を使用して、第1の認証結果算出処理を行い(S405)、当該認証結果(第1の認証結果)を算出する。なお、この認証結果算出処理とは、例えばハッシュ関数による演算処理などが考えられる。その後、ホーム網1の認証サーバ11の演算部113は算出された第1の認証結果を、前記共有暗号鍵を使用して暗号化処理を行う(S406)。
ホーム網1の認証サーバ11の演算部113は、暗号化された第1の認証結果と当該移動機3の移動機アドレスおよび第1の乱数を含む認証要求信号を、ホーム網1の認証サーバ11の送受信部111、ローミング網2の認証サーバ21の送受信部211を介して、ローミング網2の認証サーバ21の記憶部212へ送信する(S407)。 The transmission / reception unit 121 of the location registration server 12 of the home network 1 that has received the location registration request signal includes an authentication request including a mobile device address in the transmission / reception unit 111 of the authentication server 11 of the home network 1 in order to authenticate the mobile device 3. A signal is transmitted (S404), and the mobile device 3 is requested to be authenticated.
The transmission / reception unit 111 of the authentication server 11 of the home network 1 requests the calculation unit 113 of the authentication server 11 of the home network 1 to perform a first authentication result calculation process. The computing unit 113 of the authentication server 11 of the home network 1 and the shared encryption key stored in advance between the storage unit 32 of the mobile device 3 and the storage unit 112 of the authentication server 11 of the home network 1 and the authentication of the home network 1 A first authentication result calculation process is performed using the first random number generated by the calculation unit 113 of the server 11 (S405), and the authentication result (first authentication result) is calculated. The authentication result calculation process may be, for example, a calculation process using a hash function. Thereafter, the calculation unit 113 of the authentication server 11 of the home network 1 performs an encryption process on the calculated first authentication result using the shared encryption key (S406).
The computing unit 113 of the authentication server 11 of the home network 1 sends the authentication request signal including the encrypted first authentication result, the mobile device address of the mobile device 3 and the first random number to the authentication server 11 of the home network 1. Are transmitted to the storage unit 212 of the authentication server 21 of the roaming network 2 via the transmission / reception unit 111 of the roaming network 2 and the transmission / reception unit 211 of the authentication server 21 of the roaming network 2 (S407).

ローミング網2の認証サーバ21の記憶部212は、受信した移動機アドレスと暗号化された第1の認証結果とを一対のデータとして記憶する処理を行う(S408)。
続いて、ローミング網2の認証サーバ21の記憶部212は、ローミング網2内に在圏している移動機3に対して、ホーム網1の認証サーバ11の演算部113から受信した第1の乱数を含む認証要求信号を、ローミング網2の認証サーバ21の送受信部211と移動機3の送受信部31とを介して、移動機3の演算部33に送信する(S409)。
移動機3の演算部33は、移動機3の記憶部32とホーム網1の認証サーバ11の記憶部113との間で共に予め記憶されている共有暗号鍵、および受信した第1の乱数を使用して、第2の認証結果算出処理を行い(S410)、認証結果(第2の認証結果)を算出し、続いて、第2の認証結果を、前記共有暗号鍵を使用して暗号化処理を行う(S411)。
そして、移動機3の演算部33は、認証応答信号として、暗号化された第2の認証結果および移動機3の移動機アドレスを、移動機3の送受信部31とローミング網2の認証サーバ21の送受信部211とを介して、ローミング網2の認証サーバ21の比較部214に送信する(S412)。 The storage unit 212 of the authentication server 21 of the roaming network 2 performs processing for storing the received mobile device address and the encrypted first authentication result as a pair of data (S408).
Subsequently, the storage unit 212 of the authentication server 21 of the roaming network 2 sends the first mobile station 3 in the roaming network 2 to the mobile device 3 that has been received from the computing unit 113 of the authentication server 11 of the home network 1. An authentication request signal including a random number is transmitted to the computing unit 33 of the mobile device 3 via the transmission / reception unit 211 of the authentication server 21 of the roaming network 2 and the transmission / reception unit 31 of the mobile device 3 (S409).
The computing unit 33 of the mobile device 3 receives the shared encryption key stored in advance between the storage unit 32 of the mobile device 3 and the storage unit 113 of the authentication server 11 of the home network 1 and the received first random number. And performing a second authentication result calculation process (S410), calculating an authentication result (second authentication result), and subsequently encrypting the second authentication result using the shared encryption key. Processing is performed (S411).
Then, the computing unit 33 of the mobile device 3 uses the encrypted second authentication result and the mobile device address of the mobile device 3 as an authentication response signal, and the authentication server 21 of the roaming network 2 and the transmission / reception unit 31 of the mobile device 3. To the comparison unit 214 of the authentication server 21 of the roaming network 2 (S412).

ローミング網2の認証サーバ21の比較部214は、移動機アドレスを検索キーとして、ローミング網2の認証サーバ21の記憶部212から、暗号化された第1の認証結果を検索し、暗号化された第1の認証結果と暗号化された第2の認証結果との比較処理を行う(S413)。比較の結果、互いの暗号化された認証結果が同一でない場合は、移動機3の送受信部31と、ホーム網1の認証サーバ11の送受信部111に対して、通信拒否の信号(図示せず)を送信し、通信を遮断する。一方、互いの暗号化された認証結果が同一の場合は、ローミング網2の認証サーバ21の送受信部211を介して、ホーム網1の認証サーバ11の送受信部111に、認証応答信号を送信する(S414)。   The comparison unit 214 of the authentication server 21 of the roaming network 2 retrieves the encrypted first authentication result from the storage unit 212 of the authentication server 21 of the roaming network 2 using the mobile device address as a search key. Then, a comparison process is performed between the first authentication result and the encrypted second authentication result (S413). As a result of comparison, if the encrypted authentication results are not the same, a communication rejection signal (not shown) is sent to the transmission / reception unit 31 of the mobile device 3 and the transmission / reception unit 111 of the authentication server 11 of the home network 1. ) To block communication. On the other hand, if the encrypted authentication results are the same, an authentication response signal is transmitted to the transmission / reception unit 111 of the authentication server 11 of the home network 1 via the transmission / reception unit 211 of the authentication server 21 of the roaming network 2. (S414).

ホーム網1の認証サーバ11の送受信部111は、ホーム網1の位置登録サーバ12の送受信部121に認証応答信号を送信する(S415)。認証応答信号を受信したホーム網1の位置登録サーバ12の送受信部121は、ホーム網1の位置登録サーバ12の記憶部122に、位置情報の更新を指示する。指示されたホーム網1の位置登録サーバ12の記憶部122は、ホーム網1の位置登録サーバ12の記憶部122に記憶されている移動機3の位置情報更新の処理を行う(S416)。
ホーム網1の位置登録サーバ12の記憶部122は、ホーム網1の位置登録サーバ12の送受信部121を介してローミング網2の位置登録サーバ22の送受信部221へ位置登録応答信号を送信する(S417)。位置登録応答信号を受信したローミング網2の位置登録サーバ22の送受信部221は、さらに移動機3の送受信部31に位置登録応答信号を送信する(S418)。 The transmission / reception unit 111 of the authentication server 11 of the home network 1 transmits an authentication response signal to the transmission / reception unit 121 of the location registration server 12 of the home network 1 (S415). The transmission / reception unit 121 of the location registration server 12 of the home network 1 that has received the authentication response signal instructs the storage unit 122 of the location registration server 12 of the home network 1 to update the location information. The storage unit 122 of the location registration server 12 of the instructed home network 1 performs processing for updating the location information of the mobile device 3 stored in the storage unit 122 of the location registration server 12 of the home network 1 (S416).
The storage unit 122 of the location registration server 12 of the home network 1 transmits a location registration response signal to the transmission / reception unit 221 of the location registration server 22 of the roaming network 2 via the transmission / reception unit 121 of the location registration server 12 of the home network 1 ( S417). The transmission / reception unit 221 of the location registration server 22 of the roaming network 2 that has received the location registration response signal further transmits a location registration response signal to the transmission / reception unit 31 of the mobile device 3 (S418).

(通信開始時の認証手順)
図3は、通信開始時における認証手順の処理の流れを示したフローである。
図1を参照しつつ、図3に沿って通信開始時の認証手順の処理の流れを説明する。 (Authentication procedure at the start of communication)
FIG. 3 is a flowchart showing the flow of the authentication procedure at the start of communication.
With reference to FIG. 1, the flow of the authentication procedure at the start of communication will be described with reference to FIG.

ローミング網2においてローミングを行った移動機3の送受信部31は、ローミング網2の認証サーバ21の送受信部211を介して、ローミング網2の認証サーバ21の演算部213へ認証要求信号を送信する(S501)。認証要求を行うタイミングは、例えば、移動機3において、通話開始もしくはデータ交換が行われた場合である。
認証要求を行う際に使用される情報には、移動機3を一意に識別可能な移動機アドレス(例:ユーザ名@ドメイン名など)が含まれ、その移動機アドレスにはホーム網1を識別可能なホーム網アドレス(例:ドメイン名など)が含まれている。ローミング網2の認証サーバ21の演算部213は、移動機3のホーム網アドレスの認識処理を行い(S502)、移動機3がサービスの帰属関係を持つホーム網1のホーム網アドレスを認識する。これにより、ローミング網2の認証サーバ21の演算部213は、ローミング網2の認証サーバ21の送受信部211とホーム網1の認証サーバ11の送受信部111を介して、ホーム網1の認証サーバ11の演算部113に対して、認証要求信号を送信する(S503)。 The transmission / reception unit 31 of the mobile device 3 that has roamed in the roaming network 2 transmits an authentication request signal to the calculation unit 213 of the authentication server 21 of the roaming network 2 via the transmission / reception unit 211 of the authentication server 21 of the roaming network 2. (S501). The timing for making the authentication request is, for example, when the mobile device 3 starts a call or exchanges data.
The information used when making an authentication request includes a mobile device address (for example, user name @ domain name) that can uniquely identify the mobile device 3, and the mobile network address identifies the home network 1. Contains possible home network addresses (eg domain names). The computing unit 213 of the authentication server 21 of the roaming network 2 performs a home network address recognition process of the mobile device 3 (S502), and the mobile device 3 recognizes the home network address of the home network 1 to which the service belongs. Accordingly, the computing unit 213 of the authentication server 21 of the roaming network 2 passes through the transmission / reception unit 211 of the authentication server 21 of the roaming network 2 and the transmission / reception unit 111 of the authentication server 11 of the home network 1. An authentication request signal is transmitted to the calculation unit 113 (S503).

ホーム網1の認証サーバ11の演算部113は、移動機3の記憶部32とホーム網1の認証サーバ11の記憶部112との間で共に予め記憶されている共有暗号鍵、およびホーム網1の認証サーバ11の演算部113で生成される第2の乱数を使用して、第3の認証結果算出処理を行い(S504)、認証結果(第3の認証結果)を算出する。その後、ホーム網1の認証サーバ11の演算部113は算出された第3の認証結果を、前記共有暗号鍵を使用して暗号化処理を行う(S505)。
ホーム網1の認証サーバ11の演算部113は、暗号化された第3の認証結果、当該移動機の移動機アドレスおよび第2の乱数を含む認証応答信号を、ホーム網1の認証サーバ11の送受信部111、ローミング網2の認証サーバ21の送受信部211を介して、ローミング網2の認証サーバ21の記憶部212へ送信する(S506)。 The computing unit 113 of the authentication server 11 of the home network 1 includes a shared encryption key stored in advance between the storage unit 32 of the mobile device 3 and the storage unit 112 of the authentication server 11 of the home network 1, and the home network 1. A third authentication result calculation process is performed using the second random number generated by the computing unit 113 of the authentication server 11 (S504), and an authentication result (third authentication result) is calculated. Thereafter, the calculation unit 113 of the authentication server 11 of the home network 1 performs an encryption process on the calculated third authentication result using the shared encryption key (S505).
The computing unit 113 of the authentication server 11 of the home network 1 sends the authentication response signal including the encrypted third authentication result, the mobile device address of the mobile device and the second random number to the authentication server 11 of the home network 1. The data is transmitted to the storage unit 212 of the authentication server 21 of the roaming network 2 via the transmission / reception unit 111 and the transmission / reception unit 211 of the authentication server 21 of the roaming network 2 (S506).

ローミング網2の認証サーバ21の記憶部212は、移動機アドレスと暗号化された第3の認証結果とを一対のデータとして記憶する処理を行う(S507)。
続いて、ローミング網2の認証サーバ21の記憶部212は、ローミング網2内に在圏している移動機3に対して受信した第2の乱数を含む認証要求信号を、ローミング網2の認証サーバ21の送受信部211と移動機3の送受信部31を介して、移動機3の演算部33に送信する(S508)。
移動機3の演算部33は、移動機3の記憶部32とホーム網1の認証サーバ11の記憶部112との間で共に予め記憶されている共有暗号鍵、および受信した第2の乱数を使用して、第4の認証結果算出処理を行い(S509)、認証結果(第4の認証結果)を算出する。続いて、第4の認証結果を、前記共有暗号鍵を使用して暗号化処理を行う(S510)。
そして、移動機3の演算部33は、暗号化された第4の認証結果および移動機3の移動機アドレスを、移動機3の送受信部31とローミング網2の認証サーバ21の送受信部211を介して、ローミング網2の認証サーバ21の比較部214に送信する(S511)。 The storage unit 212 of the authentication server 21 of the roaming network 2 performs a process of storing the mobile device address and the encrypted third authentication result as a pair of data (S507).
Subsequently, the storage unit 212 of the authentication server 21 of the roaming network 2 sends the authentication request signal including the second random number received to the mobile device 3 located in the roaming network 2 to the authentication of the roaming network 2. The data is transmitted to the calculation unit 33 of the mobile device 3 via the transmission / reception unit 211 of the server 21 and the transmission / reception unit 31 of the mobile device 3 (S508).
The computing unit 33 of the mobile device 3 receives the shared encryption key stored in advance between the storage unit 32 of the mobile device 3 and the storage unit 112 of the authentication server 11 of the home network 1 and the received second random number. Then, a fourth authentication result calculation process is performed (S509), and an authentication result (fourth authentication result) is calculated. Subsequently, the fourth authentication result is encrypted using the shared encryption key (S510).
Then, the calculation unit 33 of the mobile device 3 sends the encrypted fourth authentication result and the mobile device address of the mobile device 3 to the transmission / reception unit 31 of the mobile device 3 and the transmission / reception unit 211 of the authentication server 21 of the roaming network 2. Then, the data is transmitted to the comparison unit 214 of the authentication server 21 of the roaming network 2 (S511).

ローミング網2の認証サーバ21の比較部214は、移動機アドレスを検索キーとして、ローミング網2の認証サーバ21の記憶部212から、暗号化された第3の認証結果を検索し、暗号化された第3の認証結果と暗号化された第4の認証結果との比較処理を行う(S512)。互いの暗号化された認証結果が同一でない場合は、移動機3の送受信部31と、ホーム網1の認証サーバ11の送受信部111に対して、通信拒否の信号(図示せず)を送信し、通信を遮断する。一方、互いの暗号化された認証結果が同一の場合は、ローミング網2の認証サーバ21の送受信部211とホーム網1の認証サーバ11の送受信部111とを介して、ホーム網1の認証サーバ11の記憶部112に、認証応答信号を送信する(S513)。   The comparison unit 214 of the authentication server 21 of the roaming network 2 retrieves the encrypted third authentication result from the storage unit 212 of the authentication server 21 of the roaming network 2 using the mobile device address as a search key, and is encrypted. The third authentication result is compared with the encrypted fourth authentication result (S512). If the encrypted authentication results are not the same, a communication rejection signal (not shown) is transmitted to the transmission / reception unit 31 of the mobile device 3 and the transmission / reception unit 111 of the authentication server 11 of the home network 1. , Block communication. On the other hand, if the mutually encrypted authentication results are the same, the authentication server of the home network 1 via the transmission / reception unit 211 of the authentication server 21 of the roaming network 2 and the transmission / reception unit 111 of the authentication server 11 of the home network 1. The authentication response signal is transmitted to the storage unit 112 of 11 (S513).

ホーム網1の認証サーバ11の記憶部112は、第3の認証結果を記憶する処理を行う(S514)。
次に、ホーム網1の認証サーバ11の記憶部112は、認証結果の記憶が完了すると、認証応答信号をホーム網1の認証サーバ11の送受信部211を介して、ローミング網2の認証サーバ21の送受信部211に送信する(S515)。
ローミング網2の認証サーバ21の送受信部211は、認証応答信号を移動機3の送受信部31に送信する(S516)。
移動機3の送受信部31は、移動機3の記憶部32に第4の認証結果を記憶する処理を指示し、移動機3の記憶部32は第4の認証結果を記憶する処理を行う(S517)。
これにより、移動機3の認証が完了し、通信開始が可能な状態となる。 The storage unit 112 of the authentication server 11 of the home network 1 performs processing for storing the third authentication result (S514).
Next, when storage of the authentication result is completed, the storage unit 112 of the authentication server 11 of the home network 1 sends an authentication response signal to the authentication server 21 of the roaming network 2 via the transmission / reception unit 211 of the authentication server 11 of the home network 1. Is transmitted to the transmission / reception unit 211 (S515).
The transmission / reception unit 211 of the authentication server 21 of the roaming network 2 transmits an authentication response signal to the transmission / reception unit 31 of the mobile device 3 (S516).
The transmitter / receiver 31 of the mobile device 3 instructs the storage unit 32 of the mobile device 3 to store the fourth authentication result, and the storage unit 32 of the mobile device 3 performs the process of storing the fourth authentication result ( S517).
Thereby, the authentication of the mobile device 3 is completed, and the communication can be started.

(ハンドオーバ時の認証手順)
図4は、移動機3がローミング網2に在圏している状態でのハンドオーバ時における認証手順の処理の流れを示したフローである。図1を参照しつつ、図4に沿ってハンドオーバ時の認証手順を詳細に説明する。 (Authentication procedure during handover)
FIG. 4 is a flowchart showing a flow of authentication procedure processing at the time of handover in a state where the mobile device 3 is located in the roaming network 2. The authentication procedure at the time of handover will be described in detail with reference to FIG. 4 with reference to FIG.

ハンドオーバ時の移動機3の認証は、ホーム網1からの認証要求を受信する前に、移動機3が自発的に認証要求を行うものとする。   As for authentication of the mobile device 3 at the time of handover, the mobile device 3 voluntarily makes an authentication request before receiving the authentication request from the home network 1.

移動機3の演算部33は、移動機3の記憶部32にある、通信開始時にホーム網1の認証サーバ11との間で認証を実行した際に記憶した(図3のS517)第4の認証結果を第3の乱数とし、同様に記憶部32にあるホーム網1の認証サーバ11との間で共に予め記憶されている共有暗号鍵を使用して、前記第3の乱数と前記共有暗号鍵から第5の認証結果算出処理を行う(S601)。その後、算出された第5の認証結果を、前記共有暗号鍵を使用して暗号化処理を行う(S602)。
移動機3の演算部33は、移動機3の送受信部31とローミング網2の送受信部211とを介して、ローミング網2の認証サーバ21の記憶部212へ認証要求信号を送信する(S603)。この認証要求信号には、暗号化された第5の認証結果と、移動機3を一意に識別可能な移動機アドレス(例:ユーザ名@ドメイン名など)が含まれ、その移動機アドレスには、ホーム網1を識別可能なホーム網アドレス(例:ドメイン名など)が含まれている。ローミング網2の認証サーバ21の記憶部212は、移動機アドレスと暗号化された第5の認証結果とを一対のデータとして記憶する処理を行う(S604)。
また、ローミング網2の演算部213は、受信した移動機アドレスから、移動機3がサービスの帰属関係を持つホーム網1のホーム網アドレスを認識する処理を行う(S605)。これにより、ローミング網2の認証サーバ21の演算部213は、ローミング網2の認証サーバ21の送受信部211と、ホーム網1の認証サーバ11の送受信部111とを介して、取得したホーム網アドレスを有するホーム網1の認証サーバ11の演算部113に対して、移動機アドレスおよび暗号化した認証要求信号を送信する(S606)。 The computing unit 33 of the mobile device 3 stores the authentication data stored in the storage unit 32 of the mobile device 3 when authentication is performed with the authentication server 11 of the home network 1 at the start of communication (S517 in FIG. 3). The authentication result is a third random number, and the third random number and the shared encryption key are similarly stored using the shared encryption key stored in advance with the authentication server 11 of the home network 1 in the storage unit 32. A fifth authentication result calculation process is performed from the key (S601). Thereafter, the calculated fifth authentication result is encrypted using the shared encryption key (S602).
The calculation unit 33 of the mobile device 3 transmits an authentication request signal to the storage unit 212 of the authentication server 21 of the roaming network 2 via the transmission / reception unit 31 of the mobile device 3 and the transmission / reception unit 211 of the roaming network 2 (S603). . This authentication request signal includes an encrypted fifth authentication result and a mobile device address (for example, user name @ domain name) that can uniquely identify the mobile device 3. , A home network address (for example, a domain name) that can identify the home network 1 is included. The storage unit 212 of the authentication server 21 of the roaming network 2 performs a process of storing the mobile device address and the encrypted fifth authentication result as a pair of data (S604).
Further, the computing unit 213 of the roaming network 2 performs processing for recognizing the home network address of the home network 1 to which the mobile device 3 has a service belonging relationship from the received mobile device address (S605). Thereby, the computing unit 213 of the authentication server 21 of the roaming network 2 acquires the home network address obtained via the transmission / reception unit 211 of the authentication server 21 of the roaming network 2 and the transmission / reception unit 111 of the authentication server 11 of the home network 1. The mobile station address and the encrypted authentication request signal are transmitted to the calculation unit 113 of the authentication server 11 of the home network 1 having (S606).

ホーム網1の認証サーバ11の演算部113は、ホーム網1の記憶部112にある、通信開始時に移動機3との間で認証を実行した際に記憶した(図3のS514)第3の認証結果を第4の乱数とし、同様に記憶部112にある移動機3との間で共に予め記憶されている共有暗号鍵を使用して、前記第4の乱数と前記共有暗号鍵から第6の認証結果算出処理を行う(S607)。その後、算出した第6の認証結果を、前記共有暗号鍵を使用して暗号化処理を行う(S608)。
ホーム網1の認証サーバ11の演算部113は、暗号化された第6の認証結果および移動機3の移動機アドレスを含む認証応答信号を、ホーム網1の認証サーバ11の送受信部111と、ローミング網2の認証サーバ21の送受信部211を介して、ローミング網2の認証サーバ21の比較部214へ送信する(S609)。 The computing unit 113 of the authentication server 11 of the home network 1 stores the third unit stored in the storage unit 112 of the home network 1 when authentication is performed with the mobile device 3 at the start of communication (S514 in FIG. 3). The authentication result is a fourth random number, and similarly, the shared random key stored in advance with the mobile unit 3 in the storage unit 112 is used to calculate the sixth random number and the shared cryptographic key from the fourth random number. The authentication result calculation process is performed (S607). Thereafter, the calculated sixth authentication result is encrypted using the shared encryption key (S608).
The calculation unit 113 of the authentication server 11 of the home network 1 sends an authentication response signal including the encrypted sixth authentication result and the mobile device address of the mobile device 3 to the transmission / reception unit 111 of the authentication server 11 of the home network 1; The data is transmitted to the comparison unit 214 of the authentication server 21 of the roaming network 2 via the transmission / reception unit 211 of the authentication server 21 of the roaming network 2 (S609).

ローミング網2の認証サーバ21の比較部214は、移動機アドレスを検索キーとして、ローミング網2の認証サーバ21の記憶部212から、暗号化された第5の認証結果を検索し、暗号化された第5の認証結果と暗号化された第6の認証結果との比較処理を行う(S610)。互いの暗号化された認証結果が同一でない場合は、移動機3の送受信部31とホーム網1の認証サーバ11の送受信部111に対して、通信拒否の信号(図示せず)を送信し、通信を遮断する。一方、互いの暗号化された認証結果が同一の場合は、移動機3の送信部31に、ローミング網2の認証サーバ21の送受信部211を介して認証応答信号を送信し(S611)、ハンドオーバが実行される。   The comparison unit 214 of the authentication server 21 of the roaming network 2 retrieves the encrypted fifth authentication result from the storage unit 212 of the authentication server 21 of the roaming network 2 using the mobile device address as a search key. The fifth authentication result is compared with the encrypted sixth authentication result (S610). If the encrypted authentication results are not the same, a communication rejection signal (not shown) is transmitted to the transmission / reception unit 31 of the mobile device 3 and the transmission / reception unit 111 of the authentication server 11 of the home network 1, Block communication. On the other hand, if the encrypted authentication results are the same, an authentication response signal is transmitted to the transmission unit 31 of the mobile device 3 via the transmission / reception unit 211 of the authentication server 21 of the roaming network 2 (S611). Is executed.

以上、異なる認証方式の認証サーバをそれぞれ有する複数の通信網間を移動する移動機3と認証サーバ(11,21)との間で行う、移動機3の位置登録時、通信開始時、ハンドオーバ時のそれぞれの認証方法を分けて説明した。
かかる構成によれば、ホーム網1の認証サーバ11からの暗号化された認証結果と、移動機3からの暗号化された認証結果について、ローミング網2の認証サーバ21が、互いの暗号化された認証結果が同一か否かの比較によって移動機の正当性を判定するため、移動機の簡易な認証が可能となる。また、これらの機能を実現するために、ローミング網の認証サーバに追加機能は必要なく、現存するクリアリング装置の必要もなくなる。
加えて、認証手順で送受信する当該移動機に関するデータは、移動機を一意に識別可能な移動機アドレスを除き、一時的に使用する乱数と、単なるデータ列でしかない暗号化された認証結果であるため、送受信されるパケットの情報を悪意者が傍受した場合も、以降の通信で当該移動機になりすましを行うことが不可能となり、従来の通信方式に比べ高い通信のセキュリティを提供することが可能であるといえる。 As described above, when the location of the mobile device 3 is registered, the communication is started, and the handover is performed between the mobile device 3 moving between a plurality of communication networks each having an authentication server of a different authentication method and the authentication servers (11, 21). Each authentication method was explained separately.
According to such a configuration, the authentication server 21 of the roaming network 2 is encrypted with respect to each other with respect to the encrypted authentication result from the authentication server 11 of the home network 1 and the encrypted authentication result from the mobile device 3. Since the legitimacy of the mobile device is determined by comparing whether or not the authentication results are the same, the mobile device can be simply authenticated. Further, in order to realize these functions, no additional function is required in the authentication server of the roaming network, and the existing clearing device is not necessary.
In addition, the data related to the mobile device that is sent and received in the authentication procedure is a random number used temporarily, except for the mobile device address that can uniquely identify the mobile device, and an encrypted authentication result that is merely a data string. Therefore, even if a Service-to-Self intercepts information on packets sent and received, it becomes impossible to impersonate the mobile device in subsequent communications, providing higher communication security than conventional communication methods. It can be said that it is possible.

ハンドオーバ時の認証手順では、通信開始時に使用した認証結果を認証時に使用する乱数として使用するため、ホーム網の認証サーバから移動機への乱数通知手順が不要となることで、データ送受信回数が減り、ハンドオーバ時のトランザクション処理を削滅することが可能となる。   In the authentication procedure at the time of handover, the authentication result used at the start of communication is used as a random number used at the time of authentication. Therefore, the procedure for notifying the random number from the authentication server of the home network to the mobile device is not necessary, and the number of data transmission / reception is reduced. The transaction processing at the time of handover can be deleted.

本発明の実施形態にかかる異なる認証方式を使用する通信網が提供する通信システムの構成図である。It is a block diagram of the communication system which the communication network which uses the different authentication system concerning embodiment of this invention provides. 本発明の実施形態にかかる位置登録時の認証手順のシーケンスチャートである。It is a sequence chart of the authentication procedure at the time of the location registration concerning embodiment of this invention. 本発明の実施形態にかかる通信開始時の認証手順のシーケンスチャートである。It is a sequence chart of the authentication procedure at the time of the communication start concerning embodiment of this invention. 本発明の実施形態にかかるハンドオーバ時の認証手順のシーケンスチャートである。It is a sequence chart of the authentication procedure at the time of the handover concerning the embodiment of the present invention. 従来の通信システムの構成図である。It is a block diagram of the conventional communication system.

符号の説明Explanation of symbols

1 ホーム網
2 ローミング網
3 移動機
11 認証サーバ(ホーム網の認証サーバ)
12 位置登録サーバ(ホーム網の位置登録サーバ)
21 認証サーバ(ローミング網の認証サーバ)
22 位置登録サーバ(ローミング網の位置登録サーバ)
41 通信網
42,43 通信回線 1 Home network 2 Roaming network 3 Mobile device 11 Authentication server (authentication server for home network)
12 Location registration server (Home network location registration server)
21 Authentication server (roaming network authentication server)
22 Location Registration Server (Roaming Network Location Registration Server)
41 communication network 42, 43 communication line

Claims (15)

異なる認証方式を使用する認証サーバをそれぞれ有する複数の通信網とこの複数の通信網を利用して通信する移動機とによる通信方法において、
前記通信網は前記移動機とサービスの帰属関係を持つホームとなるホーム網と、ローミングにより前記移動機の通信が行われるローミング網とを含み、
前記移動機が前記ローミング網に移動した際の位置登録時または通信開始時に、前記移動機と前記ホーム網の認証サーバとのそれぞれが作成して所有する認証結果を使用して前記ローミング網の認証サーバが認証を行う認証手順と、
前記移動機のハンドオーバ時に、前記移動機と前記ホーム網の認証サーバとが、以前に算出した認証結果を乱数として使用して認証を行う認証手順と
を実行することを特徴とする通信方法。 In a communication method using a plurality of communication networks each having an authentication server that uses different authentication methods and a mobile device that communicates using the plurality of communication networks,
The communication network includes a home network that is a home having a service relationship with the mobile device, and a roaming network in which communication of the mobile device is performed by roaming,
When the mobile device moves to the roaming network, at the time of location registration or at the start of communication, authentication of the roaming network is performed using an authentication result created and owned by each of the mobile device and the home network authentication server. An authentication procedure in which the server authenticates;
A communication method, wherein at the time of handover of the mobile device, the mobile device and an authentication server of the home network execute an authentication procedure for performing authentication using a previously calculated authentication result as a random number. 前記位置登録時または前記通信開始時に実行される認証手順で使用される情報は、
前記移動機を一意に識別可能な移動機アドレスと、
前記移動機と前記ホーム網の認証サーバとの間で共に記憶される共有暗号鍵と、
前記ホーム網の認証サーバで生成される乱数と、
当該認証手順で前記移動機と前記ホーム網の認証サーバとでそれぞれ算出される認証結果を前記共有暗号鍵で暗号化した認証結果と
を備えることを特徴とする請求項1に記載の通信方法。 Information used in the authentication procedure executed at the time of the location registration or the start of communication is:
A mobile address that can uniquely identify the mobile;
A shared encryption key stored together between the mobile device and the home network authentication server;
A random number generated by an authentication server of the home network;
The communication method according to claim 1, further comprising: an authentication result obtained by encrypting an authentication result calculated by the mobile device and the authentication server of the home network by the shared encryption key in the authentication procedure. 前記位置登録時の認証手順は、
前記ローミング網の位置登録サーバが、前記移動機の送信する位置登録要求信号に含まれる移動機アドレスから、当該移動機のホーム網を識別可能なアドレスを認識し、前記ホーム網の位置登録サーバに位置登録信号を送信する
ことを特徴とする請求項1に記載の通信方法。 The authentication procedure at the time of location registration is as follows:
The location registration server of the roaming network recognizes an address that can identify the home network of the mobile device from the mobile device address included in the location registration request signal transmitted by the mobile device, and sends it to the location registration server of the home network. The communication method according to claim 1, wherein a location registration signal is transmitted. 前記位置登録時の認証手順は、
前記移動機と前記ホーム網の認証サーバとが、前記ホーム網の認証サーバで生成される乱数と、前記移動機と前記ホーム網の認証サーバとで共に記憶されている共有暗号鍵から認証結果を算出し、その認証結果を前記共有暗号鍵で暗号化し、前記ローミング網の認証サーバでそれぞれの暗号化された認証結果を比較することで、当該移動機の正当性を確認する
ことを特徴とする請求項1に記載の通信方法。 The authentication procedure at the time of location registration is as follows:
The mobile device and the home network authentication server obtain an authentication result from a random number generated by the home network authentication server and a shared encryption key stored in both the mobile device and the home network authentication server. Calculating, encrypting the authentication result with the shared encryption key, and comparing the encrypted authentication results with the authentication server of the roaming network, thereby confirming the validity of the mobile device. The communication method according to claim 1. 前記通信開始時の認証手順は、
前記ローミング網の認証サーバが、前記移動機の送信する認証要求信号に含まれる移動機アドレスから、当該移動機のホーム網を識別可能なアドレスを認識し、前記ホーム網の認証サーバに認証要求信号を送信する
ことを特徴とする請求項1に記載の通信方法。 The authentication procedure at the start of communication is as follows:
The authentication server of the roaming network recognizes an address that can identify the home network of the mobile device from the mobile device address included in the authentication request signal transmitted by the mobile device, and sends an authentication request signal to the authentication server of the home network. 2. The communication method according to claim 1, wherein: 前記通信開始時の認証手順は、
前記移動機と前記ホーム網の認証サーバとが、前記ホーム網の認証サーバで生成される乱数と、前記移動機と前記ホーム網の認証サーバとで共に記憶されている共有暗号鍵から認証結果を算出し、その認証結果を前記共有暗号鍵で暗号化し、前記ローミング網の認証サーバでそれぞれの暗号化された認証結果を比較することで、当該移動機の正当性を確認する
ことを特徴とする請求項1に記載の通信方法。 The authentication procedure at the start of communication is as follows:
The mobile device and the home network authentication server obtain an authentication result from a random number generated by the home network authentication server and a shared encryption key stored in both the mobile device and the home network authentication server. Calculating, encrypting the authentication result with the shared encryption key, and comparing the encrypted authentication results with the authentication server of the roaming network, thereby confirming the validity of the mobile device. The communication method according to claim 1. 前記通信開始時の認証手順は、
前記移動機と前記ホーム網の認証サーバが当該移動機の正当性を確認した後、前記移動機と前記ホーム網の認証サーバとの間で、認証の際に算出した認証結果を共に記憶することを特徴とする請求項1に記載の通信方法。 The authentication procedure at the start of communication is as follows:
After the mobile device and the home network authentication server confirm the validity of the mobile device, the authentication result calculated at the time of authentication is stored together between the mobile device and the home network authentication server. The communication method according to claim 1, wherein: 前記ハンドオーバ時の認証手順で使用される情報は、
前記移動機を一意に識別可能な移動機アドレスと、
前記移動機と前記ホーム網の認証サーバとの間で共に記憶される共有暗号鍵と、
前記移動機と前記ホーム網の認証サーバとの間で共に記憶される通信開始時の認証で算出した認証結果と
当該認証手順で前記移動機と前記ホーム網の認証サーバとでそれぞれ算出される認証結果を前記共有暗号鍵で暗号化した認証結果と
を備えることを特徴とする請求項1に記載の通信方法。 Information used in the authentication procedure at the time of handover is:
A mobile address that can uniquely identify the mobile;
A shared encryption key stored together between the mobile device and the home network authentication server;
Authentication results calculated by authentication at the start of communication stored together between the mobile device and the home network authentication server, and authentications calculated by the mobile device and the home network authentication server in the authentication procedure, respectively. The communication method according to claim 1, further comprising: an authentication result obtained by encrypting a result with the shared encryption key. 前記ハンドオーバ時の認証手順は、
前記ローミング網の認証サーバが、前記移動機の送信する認証要求信号に含まれる移動機アドレスから、当該移動機のホーム網を識別可能なアドレスを認識し、前記ホーム網の認証サーバに認証要求信号を送信する
ことを特徴とする請求項1に記載の通信方法。 The authentication procedure at the time of the handover is as follows:
The authentication server of the roaming network recognizes an address that can identify the home network of the mobile device from the mobile device address included in the authentication request signal transmitted by the mobile device, and sends an authentication request signal to the authentication server of the home network. The communication method according to claim 1, wherein: 前記ハンドオーバ時の認証手順は、
前記移動機と前記ホーム網の認証サーバとが、それぞれ通信開始時の認証で算出した認証結果を記憶し、その認証結果を乱数として、前記乱数および前記移動機と前記ホーム網の認証サーバとで共に記憶されている共有暗号鍵から認証結果を算出し、その認証結果を前記共有暗号鍵で暗号化し、前記ローミング網の認証サーバでそれぞれの暗号化された認証結果を比較することで、当該移動機の正当性を確認する
ことを特徴とする請求項1に記載の通信方法。 The authentication procedure at the time of the handover is as follows:
The mobile device and the home network authentication server each store an authentication result calculated by authentication at the start of communication, and the authentication result is a random number. The random number and the mobile device and the home network authentication server By calculating an authentication result from the shared encryption key stored together, encrypting the authentication result with the shared encryption key, and comparing each encrypted authentication result with the authentication server of the roaming network, the movement 2. The communication method according to claim 1, wherein the authenticity of the machine is confirmed. 異なる認証方式を使用する認証サーバをそれぞれ有する複数の通信網と、この複数の通信網を利用して通信する移動機とによる通信システムにおいて、
前記通信網は前記移動機とサービスの帰属関係を持つホーム網と、ローミングにより前記移動機の通信が行われるローミング網とを含み、
前記ホーム網および前記ローミング網の間を移動する移動機は、前記移動機の位置登録時および通信開始時において、前記ホーム網の認証サーバが生成した乱数と、前記ホーム網認証サーバと共に記憶されている共有暗号鍵とを用いて認証結果を算出し、その認証結果を前記共有暗号鍵で暗号化する機能を備え、
前記ホーム網は、前記移動機の位置登録時と通信開始時において、前記ホーム網および前記ローミング網の間を移動する前記移動機からの要求によって、乱数を生成し、その生成した乱数を前記移動機と共に記憶されている共有暗号鍵とを用いて認証結果を算出し、この算出した認証結果を前記共有暗号鍵で暗号化する機能を持つ認証サーバを備え、
前記ローミング網は、前記移動機の位置登録時と通信開始時において、前記ホーム網の認証サーバと前記移動機から送信された、暗号化された認証結果を比較して前記移動機の正当性を確認する機能を持つ認証サーバを備える
ことを特徴とする通信システム。 In a communication system with a plurality of communication networks each having an authentication server using different authentication methods and a mobile device that communicates using the plurality of communication networks,
The communication network includes a home network having a service relationship with the mobile device, and a roaming network in which the mobile device communicates by roaming,
The mobile device that moves between the home network and the roaming network is stored together with a random number generated by the home network authentication server and the home network authentication server at the time of location registration and communication start of the mobile device. An authentication result is calculated using the shared encryption key, and the authentication result is encrypted with the shared encryption key.
The home network generates a random number in response to a request from the mobile device that moves between the home network and the roaming network at the time of location registration of the mobile device and at the start of communication, and the generated random number is transferred to the mobile network. An authentication server having a function of calculating an authentication result using a shared encryption key stored together with the machine and encrypting the calculated authentication result with the shared encryption key,
The roaming network compares the encrypted authentication results transmitted from the home network authentication server and the mobile device at the time of registration of the location of the mobile device and at the start of communication to verify the validity of the mobile device. A communication system comprising an authentication server having a function of checking. 異なる認証方式を使用する認証サーバをそれぞれ有する複数の通信網と、この複数の通信網を利用して通信する移動機とによる通信システムにおいて、
前記通信網は前記移動機とサービスの帰属関係を持つホーム網と、ローミングにより前記移動機の通信が行われるローミング網とを含み、
前記ホーム網および前記ローミング網の間を移動する移動機は、ハンドオーバ時において、通信開始時の認証で算出した認証結果を乱数として、前記乱数および前記ホーム網の認証サーバと共に記憶されている共有暗号鍵を用いて認証結果を算出し、その算出した認証結果を前記共有暗号鍵で暗号化する機能を備え、
前記ホーム網は、前記ハンドオーバ時において、前記移動機の要求によって、当該移動機との最後の通信で使用した認証結果および前記移動機と共に記憶されている共有暗号鍵とを用いて認証結果を算出し、その算出した認証結果を前記共有暗号鍵で暗号化する機能を持つ認証サーバを備え、
前記ローミング網は、前記ハンドオーバ時において、前記ホーム網の認証サーバと前記移動機から送信されたそれぞれの暗号化された認証結果を比較して、当該移動機の正当性を確認する機能を持つ認証サーバ
を備えることを特徴とする通信システム。 In a communication system with a plurality of communication networks each having an authentication server using different authentication methods and a mobile device that communicates using the plurality of communication networks,
The communication network includes a home network having a service relationship with the mobile device, and a roaming network in which the mobile device communicates by roaming,
A mobile device that moves between the home network and the roaming network uses a shared encryption stored together with the random number and the authentication server of the home network as an authentication result calculated by authentication at the start of communication at the time of handover. A function of calculating an authentication result using a key and encrypting the calculated authentication result with the shared encryption key;
At the time of the handover, the home network calculates an authentication result by using the authentication result used in the last communication with the mobile device and the shared encryption key stored together with the mobile device at the request of the mobile device. And an authentication server having a function of encrypting the calculated authentication result with the shared encryption key,
The roaming network compares the encrypted authentication results transmitted from the mobile network authentication server and the mobile device at the time of the handover, and has an authentication function for confirming the validity of the mobile device. A communication system comprising a server. 異なる認証方式を使用する認証サーバをそれぞれ有する複数の通信網と、この複数の通信網を利用して通信する移動機とによる通信システムに使用され、前記通信網は前記移動機とサービスの帰属関係を持つホーム網と、ローミングにより前記移動機の通信が行われるローミング網とを含む、前記ホーム網の認証サーバであって、
前記ホーム網および前記ローミング網の間を移動する移動機と共に記憶されている共有暗号鍵と、前記移動機との通信開始時に算出した認証結果とを記憶する記憶手段と、
乱数を生成し、前記乱数と前記共有暗号鍵とを使用して認証結果を算出し、前記認証結果に対して前記共有暗号鍵を使用して暗号化する演算手段と
を備えることを特徴とする認証サーバ。 Used in a communication system by a plurality of communication networks each having an authentication server that uses different authentication methods and a mobile device that communicates using the plurality of communication networks, and the communication network belongs to the mobile device and a service An authentication server for the home network, including a home network having a roaming network in which communication of the mobile device is performed by roaming,
Storage means for storing a shared encryption key stored together with the mobile device moving between the home network and the roaming network, and an authentication result calculated at the start of communication with the mobile device;
Computation means for generating a random number, calculating an authentication result using the random number and the shared encryption key, and encrypting the authentication result using the shared encryption key Authentication server. 異なる認証方式を使用する認証サーバをそれぞれ有する複数の通信網と、この複数の通信網を利用して通信する移動機とによる通信システムに使用され、前記通信網は前記移動機とサービスの帰属関係を持つホーム網と、ローミングにより前記移動機の通信が行われるローミング網とを含む、前記ローミング網の認証サーバであって、
前記ホーム網の認証サーバから送信される暗号化された第1の認証結果と、前記ホーム網および前記ローミング網の間を移動する移動機から送信される、暗号化された第2の認証結果とを記憶する記憶手段と、
前記第1の認証結果と前記第2の認証結果とを比較し、同一か否かを比較する比較手段と、
前記移動機から送信されてくる位置登録要求もしくは認証要求に含まれる移動機アドレスから、当該移動機のホーム網を識別可能なアドレスを認識する認識手段と
を備えることを特徴とする認証サーバ。 Used in a communication system by a plurality of communication networks each having an authentication server that uses different authentication methods and a mobile device that communicates using the plurality of communication networks, and the communication network belongs to the mobile device and a service An authentication server of the roaming network, including a home network having a roaming network in which communication of the mobile device is performed by roaming,
An encrypted first authentication result transmitted from an authentication server of the home network, and an encrypted second authentication result transmitted from a mobile device moving between the home network and the roaming network; Storage means for storing
A comparing means for comparing the first authentication result with the second authentication result and comparing whether or not they are the same;
An authentication server comprising recognition means for recognizing an address capable of identifying the home network of the mobile device from a mobile device address included in a location registration request or authentication request transmitted from the mobile device. 異なる認証方式を使用する認証サーバをそれぞれ有する複数の通信網と、この複数の通信網を利用して通信する移動機とによる通信システムに使用され、前記通信網は前記移動機とサービスの帰属関係を持つホーム網とローミングにより前記移動機の通信が行われるローミング網とを備える前記移動機であって、
前記ホーム網の認証サーバと共に記憶されている共有暗号鍵と、前記移動機が通信開始時に算出した認証結果とを記憶する記憶手段と、
前記ホーム網の認証サーバが生成した乱数もしくは前記認証結果と、共有暗号鍵とを使用して認証結果を算出し、その算出された認証結果を共有暗号鍵で暗号化する演算手段と
を備えることを特徴とする移動機。 Used in a communication system by a plurality of communication networks each having an authentication server that uses different authentication methods and a mobile device that communicates using the plurality of communication networks, and the communication network belongs to the mobile device and a service A mobile network comprising a home network having a roaming network in which communication of the mobile device is performed by roaming,
Storage means for storing a shared encryption key stored together with the authentication server of the home network, and an authentication result calculated when the mobile device starts communication;
Computing means for calculating an authentication result using a random number generated by an authentication server of the home network or the authentication result and a shared encryption key, and encrypting the calculated authentication result with the shared encryption key; A mobile machine characterized by.
JP2005056704A 2005-03-01 2005-03-01 Communication method, communication system, authentication server and mobile Pending JP2006245831A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005056704A JP2006245831A (en) 2005-03-01 2005-03-01 Communication method, communication system, authentication server and mobile

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005056704A JP2006245831A (en) 2005-03-01 2005-03-01 Communication method, communication system, authentication server and mobile

Publications (1)

Publication Number Publication Date
JP2006245831A true JP2006245831A (en) 2006-09-14

Family

ID=37051784

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005056704A Pending JP2006245831A (en) 2005-03-01 2005-03-01 Communication method, communication system, authentication server and mobile

Country Status (1)

Country Link
JP (1) JP2006245831A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009290317A (en) * 2008-05-27 2009-12-10 Nec Corp Packet roaming connection management server, packet roaming connection system, packet roaming connection method, and program
JP2013545367A (en) * 2010-10-22 2013-12-19 クアルコム,インコーポレイテッド Authentication of access terminal identification information in roaming networks
KR20170005400A (en) * 2013-06-12 2017-01-13 크립토매틱 엘티디 System and method for encryption
US9578498B2 (en) 2010-03-16 2017-02-21 Qualcomm Incorporated Facilitating authentication of access terminal identity
US9668128B2 (en) 2011-03-09 2017-05-30 Qualcomm Incorporated Method for authentication of a remote station using a secure element

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009290317A (en) * 2008-05-27 2009-12-10 Nec Corp Packet roaming connection management server, packet roaming connection system, packet roaming connection method, and program
US9578498B2 (en) 2010-03-16 2017-02-21 Qualcomm Incorporated Facilitating authentication of access terminal identity
JP2013545367A (en) * 2010-10-22 2013-12-19 クアルコム,インコーポレイテッド Authentication of access terminal identification information in roaming networks
US9112905B2 (en) 2010-10-22 2015-08-18 Qualcomm Incorporated Authentication of access terminal identities in roaming networks
US9668128B2 (en) 2011-03-09 2017-05-30 Qualcomm Incorporated Method for authentication of a remote station using a secure element
KR20170005400A (en) * 2013-06-12 2017-01-13 크립토매틱 엘티디 System and method for encryption
KR102277060B1 (en) 2013-06-12 2021-07-14 크립토매틱 엘티디 System and method for encryption

Similar Documents

Publication Publication Date Title
JP6877524B2 (en) Devices and methods for wireless communication
JP6612358B2 (en) Method, network access device, application server, and non-volatile computer readable storage medium for causing a network access device to access a wireless network access point
US9853965B2 (en) Authentication service for third party applications
JP4804983B2 (en) Wireless terminal, authentication device, and program
JP5597676B2 (en) Key material exchange
US11075752B2 (en) Network authentication method, and related device and system
JP5144679B2 (en) User access management in communication networks
US8559642B2 (en) Cryptographic communication with mobile devices
JP4965671B2 (en) Distribution of user profiles, policies and PMIP keys in wireless communication networks
EP1775972A1 (en) Communication handover method, communication message processing method, and communication control method
US20040228492A1 (en) Method of distributing encryption keys among nodes in mobile ad hoc network and network device using the same
US7233782B2 (en) Method of generating an authentication
JP2004241976A (en) Mobile communication network system and method for authenticating mobile terminal
WO2018076564A1 (en) Privacy protection method and privacy protection device in vehicle communication
EP4231680A1 (en) Identity authentication system, method and apparatus, device, and computer readable storage medium
JP2006245831A (en) Communication method, communication system, authentication server and mobile
RU2447603C2 (en) Method for dhcp messages transmission
JP4681990B2 (en) Communication system and communication system
US10834063B2 (en) Facilitating provisioning of an out-of-band pseudonym over a secure communication channel
KR101314435B1 (en) Method for security roaming of mobile node and foreign agent apparatus thereof and security roaming system
JP2009031848A (en) Authentication transferring device
WO2019024937A1 (en) Key negotiation method, apparatus and system
CN114978741B (en) Inter-system authentication method and system
EP4027675A1 (en) System and method for authentication of iot devices
KR20140142146A (en) Method for managing key for quick user authentication in wireless communication