JP2006245831A - Communication method, communication system, authentication server and mobile - Google Patents
Communication method, communication system, authentication server and mobile Download PDFInfo
- Publication number
- JP2006245831A JP2006245831A JP2005056704A JP2005056704A JP2006245831A JP 2006245831 A JP2006245831 A JP 2006245831A JP 2005056704 A JP2005056704 A JP 2005056704A JP 2005056704 A JP2005056704 A JP 2005056704A JP 2006245831 A JP2006245831 A JP 2006245831A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- mobile device
- home network
- communication
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、異なる認証方式を使用する認証サーバをそれぞれ有する通信網間を移動する移動機と、ローミング網およびホーム網それぞれの認証サーバの通信において、移動機とホーム網で算出した認証結果を暗号化して、それぞれの暗号化した認証結果をローミング網の認証サーバで、ローミング網の認証サーバに追加機能を行うことなく、通信のトランザクション数を減少可能な、簡易に移動機の認証を行う通信システムに関する。 The present invention encrypts authentication results calculated by a mobile device and a home network in communication between a mobile device moving between communication networks each having an authentication server using different authentication methods, and an authentication server of each of a roaming network and a home network. Communication system that can easily authenticate a mobile device by reducing the number of communication transactions without adding an additional function to the authentication server of the roaming network using the authentication server of the roaming network. About.
ローミングを実施する移動機は、ローミング網経由でホーム網に位置登録が必要となり、その際には、移動機の認証が実施される。現状のセルラ通信においては、ローミングを行う通信事業者間の合意によって、通信網間で認証仕様が統一されるのが一般的である(非特許文献1および非特許文献2)。 A mobile device that performs roaming needs to be registered in the home network via the roaming network, and at that time, authentication of the mobile device is performed. In the current cellular communication, it is common that authentication specifications are unified between communication networks by agreement between telecommunications carriers that perform roaming (Non-Patent Document 1 and Non-Patent Document 2).
図5は異なる認証方式を使用する認証サーバをそれぞれ有する通信網間でのローミング時の認証を行うためのシステムのブロック図である。図5に示すように、ローミング時の移動機の認証を行うための通信システムは、ユーザがサービスの帰属関係を持つ通信網であるホーム網1と、それ以外の通信網であるローミング網2、そして移動機3から構成されている。そして、ホーム網1とローミング網2は、通信網41を介して接続される。ホーム網1とローミング網2の間を移動する移動機3が、ホーム網1に在圏している場合、移動機3は通信回線42を介してホーム網1に接続される。そして、移動機3がローミング網2に在圏している場合、移動機3は通信回線43を介してローミング網2に接続される。
FIG. 5 is a block diagram of a system for performing authentication during roaming between communication networks each having an authentication server using different authentication methods. As shown in FIG. 5, a communication system for authenticating a mobile device at the time of roaming includes a home network 1 as a communication network to which a user has a service belonging relationship, and a roaming network 2 as another communication network. The
移動機3がホーム網1からローミング網2に移動することでローミングを実施した場合、移動機3は通信回線43、通信回線24、通信網41および通信回線14を介して、ホーム網1の位置登録サーバ12に位置登録要求を行う。位置登録要求を受信した位置登録サーバ12は通信回線14で接続されている認証サーバ11に対して移動機3の正当性の確認を要求する。
When the
ホーム網1の認証サーバ11は、移動機3の認証情報(例:移動機アドレス、共有暗号鍵など)をローミング網2の認証サーバ21に送信する。認証情報を受信したローミング網2の認証サーバ21は、移動機3の認証を実行し、認証が成功すると、ホーム網1の認証サーバ11へ認証が成功したことを通知するとともに、移動機3の認証情報を記憶する。また、ホーム網1の位置登録サーバ12は移動機3がローミング網2に在圏することを記憶する。
The
移動機3がローミング網2に在圏する際の通信開始時は、前記位置登録時と同様の手順で認証が行われ、認証が成功すると、移動機3の認証情報がローミング網2の認証サーバ21に記憶される。
At the start of communication when the
また、移動機3のハンドオーバ時は、ローミング網2の認証サーバ21に記憶している当該移動機の認証情報を使用して、ローミング網2の認証サーバ21が移動機3の認証を実行する。
At the time of handover of the
非特許文献1および2の方法は、通信事業者間で認証仕様が統一されることが前提となっているが、様々な通信事業者が介在するインターネット通信では、すべての通信事業者で認証仕様を統一することが困難となる。したがって、図5に示すように、現状のインターネット通信では、ローミング網2内にクリアリング装置23を設置するか、もしくはローミング網2の認証サーバ21内に認証仕様の相違を吸収するクリアリング機能(図示せず)を備えることで、ローミング網2とホーム網1の認証方式が異なる場合でも移動機3の認証が可能となる。
特許文献1では、ローミング時には、移動機とホーム網の認証サーバとの2者間のみ認識可能な認証情報を、中継するクリアリング装置に相当するローミング網内の認証サーバに通知する必要があるため、悪意者が送受信されるパケットを傍受することでクリアリング装置になりすますことも可能となる。その場合、なりすましを行ったクリアリング装置に他の移動機を介して通信する可能性があり、通信のセキュリティレベルが低下する問題が残る。 In Patent Document 1, when roaming, it is necessary to notify authentication information that can be recognized only between the mobile device and the authentication server of the home network to an authentication server in the roaming network corresponding to the clearing device to be relayed. It is also possible to impersonate a clearing device by intercepting packets sent and received by Service-to-Self. In that case, there is a possibility that the clearing device that has been impersonated may communicate with another clearing device, and there remains a problem that the security level of communication is lowered.
また、ローミング網内で、移動機がハンドオーバを実施する場合においては、常にクリアリング装置を介した認証を行う必要が生じるため、ハンドオーバのトランザクション処理が増加する問題も残る。 In addition, when a mobile station performs a handover within a roaming network, it is necessary to always perform authentication via a clearing device, and thus there remains a problem that transaction processing of the handover increases.
本発明は、このような問題点を鑑みてなされたものであり、異なる認証方式を使用する認証サーバを有する通信網における、ホーム網およびローミング網それぞれの認証サーバの認証において、セキュリティレベルの低下やトランザクション処理の増加を防止可能な移動機間の通信方法を提供することを課題とする。 The present invention has been made in view of such problems. In a communication network having an authentication server that uses different authentication methods, in the authentication of the authentication server of each of the home network and the roaming network, the security level is reduced. It is an object of the present invention to provide a communication method between mobile devices capable of preventing an increase in transaction processing.
前記した課題を解決するため、本発明では、以下のような通信方法を用いることとした。 In order to solve the above-described problems, the present invention uses the following communication method.
請求項1にかかる発明は、異なる認証方式を使用する認証サーバをそれぞれ有する複数の通信網とこの複数の通信網を利用して通信する移動機とによる通信方法であり、前記通信網は移動機とサービスの帰属関係を持つホーム網と、ローミングにより移動機の通信が行われるローミング網とを含み、本通信方法は、移動機がローミング網に移動した際の位置登録時または通信開始時に、移動機とホーム網の認証サーバが作成して所有する認証結果を使用して、ローミング網の認証サーバが認証を行う認証手順と、移動機のハンドオーバ時に、当該移動機とホーム網の認証サーバとが、以前に算出した認証結果を乱数として使用して認証を行う認証手順を特徴とする。
本手順を使用することで、異なる認証方式を使用する認証サーバをそれぞれ有する複数の通信網での移動機の認証が簡易化され、現存するクリアリング装置を特に必要としない認証が可能となる。これにより、送受信されるパケットの傍受などに伴うセキュリティレベルの低下の問題やトランザクション処理の増加の問題が解決される。
The invention according to claim 1 is a communication method by a plurality of communication networks each having an authentication server that uses different authentication methods and a mobile device that communicates using the plurality of communication networks, the communication network being a mobile device And a home network having a service belonging relationship with the service and a roaming network in which the mobile device communicates by roaming. This communication method moves at the time of location registration or communication start when the mobile device moves to the roaming network. The authentication procedure that the authentication server of the roaming network uses the authentication result created and owned by the authentication server of the mobile device and the home network, and the authentication server of the mobile device and the home network The authentication procedure is characterized in that authentication is performed using a previously calculated authentication result as a random number.
By using this procedure, authentication of a mobile device in a plurality of communication networks each having an authentication server using a different authentication method is simplified, and authentication that does not particularly require an existing clearing device is possible. This solves the problem of a decrease in security level due to interception of transmitted and received packets and the problem of increase in transaction processing.
請求項2にかかる発明は、請求項1にかかる発明において、前記位置登録時または前記通信開始時に実行される認証手順で使用される情報は、移動機を一意に識別可能な移動機アドレスと、移動機とホーム網の認証サーバとの間で共に記憶される共有暗号鍵と、ホーム網の認証サーバで生成される乱数と、当該認証手順で移動機とホーム網の認証サーバとでそれぞれ算出される認証結果を前記共有暗号鍵で暗号化した情報を備えることを特徴とする。
これによれば、セキュリティレベルの低下がより確実に防止される。
The invention according to claim 2 is the invention according to claim 1, wherein the information used in the authentication procedure executed at the time of location registration or at the start of communication includes a mobile device address that can uniquely identify a mobile device, The shared encryption key that is stored together between the mobile device and the home network authentication server, the random number generated by the home network authentication server, and the mobile station and the home network authentication server are calculated by the authentication procedure. Information obtained by encrypting the authentication result with the shared encryption key.
According to this, the lowering of the security level can be prevented more reliably.
請求項3にかかる発明は、請求項1にかかる発明において、位置登録時の移動機の認証は、ローミング網の位置登録サーバが、前記移動機が送信する位置登録要求信号に含まれる当該移動機を一意に識別可能な移動機アドレス(例:ユーザ名@ドメイン名)内の、ホーム網を識別可能なホーム網アドレス(例:ドメイン名)から、ホーム網を認識し、位置登録要求信号を送信することを特徴とする。
これによれば、ローミング網位置登録サーバが、前記移動機のホーム網を識別して位置要求信号をホーム網の認証サーバに送信することが可能となり、本発明での認証に必要な情報がホーム網の認証サーバへ送信される。
According to a third aspect of the present invention, in the first aspect of the invention, the authentication of the mobile device at the time of location registration is performed by the location registration request signal transmitted from the location registration server of the roaming network by the mobile device. The home network is recognized from the home network address (example: domain name) that can uniquely identify the home network in the mobile device address (example: user name @ domain name) that can be uniquely identified, and a location registration request signal is transmitted. It is characterized by doing.
According to this, it becomes possible for the roaming network location registration server to identify the home network of the mobile device and transmit a location request signal to the authentication server of the home network. Sent to network authentication server.
請求項4にかかる発明は、請求項1にかかる発明において、ホーム網の認証サーバは、移動機とホーム網の認証サーバで共に予め記憶されている共有暗号鍵およびホーム網の認証サーバで生成される乱数を使用して、認証結果を算出する。この認証結果を前記共有暗号鍵で暗号化して、ローミング網の認証サーバに、移動機アドレス、生成した乱数および暗号化した認証結果を送信する。
ローミング網の認証サーバは、受信した移動機アドレスと暗号化された認証結果を一対のデータとして記憶するとともに、当該移動機に対してホーム網の認証サーバが生成した乱数を送信する。
移動機は、ホーム網の認証サーバと共に予め記憶されている共有暗号鍵および受信した乱数を使用して、認証結果を算出する。その後、ホーム網の認証サーバと同様に、前記共有暗号鍵で認証結果を暗号化して、ローミング網の認証サーバに、移動機アドレスおよび暗号化した認証結果を送信する。
移動機アドレスと暗号化された認証結果を受信したローミング網の認証サーバは、移動機アドレスを検索キーとして、記憶していた当該移動機の暗号化された認証結果を検索し、移動機から受信した暗号化された認証結果と比較する。比較した認証結果が同一の場合は認証成功となり、ホーム網の認証サーバに認証応答信号を送信し、ホーム網の認証サーバ経由でホーム網の位置登録サーバにある当該移動機の位置情報が更新されることを特徴とする。
これによれば、通信網での移動機の認証が簡易化され、送受信されるパケットの傍受などに伴うセキュリティレベルの低下の問題が解決される。
The invention according to claim 4 is the invention according to claim 1, wherein the authentication server of the home network is generated by the shared encryption key stored in advance in the mobile device and the authentication server of the home network and the authentication server of the home network. The authentication result is calculated using a random number. The authentication result is encrypted with the shared encryption key, and the mobile station address, the generated random number, and the encrypted authentication result are transmitted to the authentication server of the roaming network.
The roaming network authentication server stores the received mobile device address and the encrypted authentication result as a pair of data, and transmits a random number generated by the home network authentication server to the mobile device.
The mobile device calculates the authentication result using the shared encryption key stored in advance together with the authentication server of the home network and the received random number. After that, as with the home network authentication server, the authentication result is encrypted with the shared encryption key, and the mobile station address and the encrypted authentication result are transmitted to the roaming network authentication server.
The authentication server of the roaming network that has received the mobile device address and the encrypted authentication result searches the stored authentication result of the mobile device using the mobile device address as a search key and receives it from the mobile device. Compare with the encrypted authentication result. If the compared authentication results are the same, authentication is successful, an authentication response signal is transmitted to the home network authentication server, and the location information of the mobile device in the home network location registration server is updated via the home network authentication server. It is characterized by that.
According to this, authentication of the mobile device in the communication network is simplified, and the problem of a decrease in security level due to interception of transmitted and received packets is solved.
請求項5または6にかかる発明は、請求項1にかかる発明において、移動機の通信開始時においても、位置登録と同様の認証手順が実行される。 In the invention according to claim 5 or 6, in the invention according to claim 1, the authentication procedure similar to the location registration is executed even when communication of the mobile device is started.
請求項8にかかる発明は、請求項1にかかる発明において、ハンドオーバ時に実行される認証手順で使用される情報は、移動機を一意に識別可能な移動機アドレスと、移動機とホーム網の認証サーバ間で共に記憶されている共有暗号鍵と、移動機とホーム網の認証サーバ間で共に記憶されている通信開始時の認証で使用した認証結果と、当該認証手順で移動機とホーム網の認証サーバでそれぞれ算出される認証結果を前記共有暗号鍵で暗号化した認証結果とを備えることを特徴とする。
これによれば、セキュリティレベルの低下がより確実に防止される。
According to an eighth aspect of the present invention, in the first aspect of the invention, the information used in the authentication procedure executed at the time of handover includes a mobile unit address that can uniquely identify the mobile unit, and authentication of the mobile unit and the home network. The shared encryption key stored together between the servers, the authentication result used for authentication at the start of communication stored between the mobile station and the home network authentication server, and the mobile station and home network And an authentication result obtained by encrypting the authentication result respectively calculated by the authentication server with the shared encryption key.
According to this, the lowering of the security level can be prevented more reliably.
請求項7、9または10にかかる発明は、請求項1にかかる発明において、ハンドオーバ時の移動機の認証では、移動機は、通信開始時にホーム網の認証サーバとの間で認証を実行した際の認証結果を乱数として使用する。
認証結果の算出は通信開始時の算出手順と同様で、移動機は、前記認証結果と、移動機とホーム網の認証サーバとの間共に予め記憶されている共有暗号鍵を使用して、認証結果を算出し、当該認証結果を前記共有暗号鍵で暗号化して、ローミング網の認証サーバに、移動機を一意に識別可能な移動機アドレスと、暗号化した認証結果を送信する。
移動機アドレスと暗号化した認証結果を受信したローミング網の認証サーバは、それらの情報を記憶するとともに、位置登録の際と同様に、移動機アドレス(例:ユーザ名@ドメイン名)に含まれるホーム網を識別可能なホーム網アドレス(例:ドメイン名)からホーム網を識別することで、ホーム網の認証サーバに移動機アドレスおよび暗号化した認証結果を送信する。
それらの情報を受信したホーム網の認証サーバは、移動機と同様に、通信開始時に当該移動機との間で、認証を実行した際の認証結果を乱数として使用し、移動機とホーム網の認証サーバ間で共に予め記憶されている共有暗号鍵から、認証結果を算出し、前記共有暗号鍵で暗号化して、ローミング網の認証サーバに、移動機を一意に識別可能な移動機アドレスおよび暗号化した認証結果を送信する。
通信開始時の認証手順と同様に、移動機アドレスおよび暗号化した認証結果を受信したローミング網の認証サーバは、移動機アドレスを検索キーとして、記憶していた当該移動機の暗号化された認証結果を検索し、移動機から受信した暗号化された認証結果と比較する。比較した結果が同一の場合は認証成功となり、ハンドオーバが実行されることを特徴とする。
これによれば、複数の通信網での移動機のハンドオーバ時の認証が簡易化されることにより、送受信されるパケットの傍受などに伴うセキュリティレベルの低下の問題およびトランザクション処理の増加の問題が解決される。
その他の解決手段は、後記する「発明を実施するための最良の形態」の欄で明確化する。
In the invention according to claim 7, 9 or 10, in the invention according to claim 1, in the authentication of the mobile device at the time of handover, when the mobile device executes authentication with the authentication server of the home network at the start of communication The authentication result is used as a random number.
The calculation of the authentication result is the same as the calculation procedure at the start of communication, and the mobile device uses the shared encryption key stored in advance between the authentication result and the mobile server and the home network authentication server. The result is calculated, the authentication result is encrypted with the shared encryption key, and the mobile device address that uniquely identifies the mobile device and the encrypted authentication result are transmitted to the authentication server of the roaming network.
The authentication server of the roaming network that has received the mobile device address and the encrypted authentication result stores the information, and is included in the mobile device address (eg, user name @ domain name) as in the case of location registration. By identifying the home network from a home network address (eg, domain name) that can identify the home network, the mobile station address and the encrypted authentication result are transmitted to the authentication server of the home network.
The authentication server of the home network that has received such information uses the authentication result when the authentication is executed with the mobile device at the start of communication, as a random number, similar to the mobile device. An authentication result is calculated from a shared encryption key stored in advance between the authentication servers, encrypted with the shared encryption key, and the mobile device address and encryption that can uniquely identify the mobile device to the authentication server of the roaming network Send the authentication result.
Similar to the authentication procedure at the start of communication, the roaming network authentication server that has received the mobile device address and the encrypted authentication result stores the encrypted authentication of the mobile device stored using the mobile device address as a search key. The result is retrieved and compared with the encrypted authentication result received from the mobile device. If the comparison results are the same, authentication is successful and handover is executed.
According to this, authentication at the time of handover of a mobile device in a plurality of communication networks is simplified, thereby solving a problem of a decrease in security level due to interception of transmitted and received packets and an increase in transaction processing. Is done.
Other solutions will be clarified in the “Best Mode for Carrying Out the Invention” section below.
本発明によれば、ローミングサービスにおいて、悪意者の送受信パケットの傍受によるセキュリティレベルの低下や、トランザクション処理を抑制することのできる通信方法を提供することができる。 ADVANTAGE OF THE INVENTION According to this invention, the communication method which can suppress the fall of the security level by a interception of the transmission / reception packet of a Service-to-Self and transaction processing can be provided in roaming service.
次に、本発明の実施形態について、図面を参照しながら詳細に説明する。また、必要に応じて図1を参照することとする。図1は、本発明の実施の形態にかかるローミング時の認証を実現する通信網構成図である。 Next, embodiments of the present invention will be described in detail with reference to the drawings. Further, FIG. 1 will be referred to if necessary. FIG. 1 is a configuration diagram of a communication network that realizes authentication at the time of roaming according to an embodiment of the present invention.
(ホーム網・ローミング網・通信回線)
ホーム網1は、認証サーバ11と位置登録サーバ12と、認証サーバ11および位置登録サーバ12を接続する通信回線14とで構成され、ローミング網2は、認証サーバ21と位置登録サーバ22と、認証サーバ21および位置登録サーバ22を接続する通信回線24とで構成される。また、ホーム網1とローミング網2は通信網41を介して接続される。
移動機3がホーム網1に在圏している場合は、移動機3は通信回線42を介してホーム網1に接続され、移動機3がローミング網2に在圏している場合は、移動機3は通信回線43を介してローミング網2に接続される。
(Home network, roaming network, communication line)
The home network 1 includes an
When the
(ホーム網1の認証サーバ11)
ホーム網1の認証サーバ11は、データなどの送受信を行う送受信部111、各データを記憶する記憶部112および各データの認証結果の算出、暗号化などの処理を行う演算部113を含んで構成される。
(
The
(ホーム網1の位置登録サーバ12)
ホーム網1の位置登録サーバ12は、データなどの送受信を行う送受信部121、および移動機3の位置情報などのデータを記憶する記憶部122を含んで構成される。
(
The
(ローミング網2の認証サーバ21)
ローミング網2の認証サーバ21は、データなどの送受信を行う送受信部211、各データを記憶する記憶部212、各データの認証結果の算出、暗号化などの処理を行う演算部213および各認証結果の比較を行う比較部214を含んで構成される。
(
The
(ローミング網2の位置登録サーバ22)
ローミング網2の位置登録サーバ22は、データなどの送受信を行う送受信部221およびホーム網を識別可能なアドレスを認識する処理を行う演算部223を含んで構成される。
(Roaming network 2 location registration server 22)
The
(移動機)
移動機3は、データなどの送受信を行う送受信部31、各データを記憶する記憶部32および認証結果の算出、暗号化などの処理を行う演算部33を含んで構成される。
(Mobile machine)
The
なお、図1に示したホーム網1の認証サーバ11、位置登録サーバ12、ローミング網2の認証サーバ21、および位置登録サーバ22は、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)、ハードディスクドライブ、入出力インターフェースなどを含んで構成されるコンピュータを用いて具現され、これらのサーバの各部は、このコンピュータのハードディスクドライブに格納されたプログラムをRAMに展開し、CPUが実行することで具現される。
Note that the
図2は、本発明の実施形態にかかる移動機3が、ローミング網2に移動した際に実行する位置登録時の移動機3の認証における処理のフローである。図1を参照しつつ、図2に沿って位置登録時の認証手順の処理の流れを説明する。なお、本実施形態において、ホーム網1とローミング網2間の通信は通信網41を介し、移動機3とホーム網1間での通信は通信回線42を介し、移動機3とローミング網2間における通信は通信回線43を介すものとし、以下これらの記載を省略する。また、ホーム網1の各サーバ間の通信は通信回線14を介し、ローミング網2の各サーバ間の通信は通信回線24を介すものとし、以下これらの記載を省略する。
FIG. 2 is a process flow in authentication of the
ローミング網2においてローミングを行った移動機3の送受信部31は、ローミング網2の位置登録サーバ22の送受信部221を介して、ローミング網2の位置登録サーバ22の演算部223へ位置登録要求信号を送信する(S401)。
位置登録要求信号に含まれている情報には、移動機3を一意に識別可能な移動機アドレス(例:ユーザ名@ドメイン名など)が含まれ、その移動機アドレスにはホーム網1を識別可能なホーム網アドレス(例:ドメイン名など)が含まれている。ローミング網2の位置登録サーバ22の演算部223は、移動機3のホーム網アドレスの認識処理を行い(S402)、移動機3がサービスの帰属関係を持つホーム網1のホーム網アドレスを認識する。これにより、ローミング網2の位置登録サーバ22の演算部223は、ローミング網2の位置登録サーバ22の送受信部221を介して、認識したホーム網アドレスを有するホーム網1の位置登録サーバ12の送受信部121に、移動機アドレスを含む位置登録要求信号を送信する(S403)。
The transmission /
The information included in the location registration request signal includes a mobile device address (eg, user name @ domain name) that can uniquely identify the
位置登録要求信号を受信したホーム網1の位置登録サーバ12の送受信部121は、移動機3の認証を行うために、ホーム網1の認証サーバ11の送受信部111に移動機アドレスを含む認証要求信号を送信して(S404)、移動機3の認証を実行するよう要求する。
ホーム網1の認証サーバ11の送受信部111は、ホーム網1の認証サーバ11の演算部113に対し、第1の認証結果算出の処理を要求する。ホーム網1の認証サーバ11の演算部113は、移動機3の記憶部32とホーム網1の認証サーバ11の記憶部112間で共に予め記憶されている共有暗号鍵、およびホーム網1の認証サーバ11の演算部113で生成される第1の乱数を使用して、第1の認証結果算出処理を行い(S405)、当該認証結果(第1の認証結果)を算出する。なお、この認証結果算出処理とは、例えばハッシュ関数による演算処理などが考えられる。その後、ホーム網1の認証サーバ11の演算部113は算出された第1の認証結果を、前記共有暗号鍵を使用して暗号化処理を行う(S406)。
ホーム網1の認証サーバ11の演算部113は、暗号化された第1の認証結果と当該移動機3の移動機アドレスおよび第1の乱数を含む認証要求信号を、ホーム網1の認証サーバ11の送受信部111、ローミング網2の認証サーバ21の送受信部211を介して、ローミング網2の認証サーバ21の記憶部212へ送信する(S407)。
The transmission /
The transmission /
The
ローミング網2の認証サーバ21の記憶部212は、受信した移動機アドレスと暗号化された第1の認証結果とを一対のデータとして記憶する処理を行う(S408)。
続いて、ローミング網2の認証サーバ21の記憶部212は、ローミング網2内に在圏している移動機3に対して、ホーム網1の認証サーバ11の演算部113から受信した第1の乱数を含む認証要求信号を、ローミング網2の認証サーバ21の送受信部211と移動機3の送受信部31とを介して、移動機3の演算部33に送信する(S409)。
移動機3の演算部33は、移動機3の記憶部32とホーム網1の認証サーバ11の記憶部113との間で共に予め記憶されている共有暗号鍵、および受信した第1の乱数を使用して、第2の認証結果算出処理を行い(S410)、認証結果(第2の認証結果)を算出し、続いて、第2の認証結果を、前記共有暗号鍵を使用して暗号化処理を行う(S411)。
そして、移動機3の演算部33は、認証応答信号として、暗号化された第2の認証結果および移動機3の移動機アドレスを、移動機3の送受信部31とローミング網2の認証サーバ21の送受信部211とを介して、ローミング網2の認証サーバ21の比較部214に送信する(S412)。
The
Subsequently, the
The
Then, the
ローミング網2の認証サーバ21の比較部214は、移動機アドレスを検索キーとして、ローミング網2の認証サーバ21の記憶部212から、暗号化された第1の認証結果を検索し、暗号化された第1の認証結果と暗号化された第2の認証結果との比較処理を行う(S413)。比較の結果、互いの暗号化された認証結果が同一でない場合は、移動機3の送受信部31と、ホーム網1の認証サーバ11の送受信部111に対して、通信拒否の信号(図示せず)を送信し、通信を遮断する。一方、互いの暗号化された認証結果が同一の場合は、ローミング網2の認証サーバ21の送受信部211を介して、ホーム網1の認証サーバ11の送受信部111に、認証応答信号を送信する(S414)。
The
ホーム網1の認証サーバ11の送受信部111は、ホーム網1の位置登録サーバ12の送受信部121に認証応答信号を送信する(S415)。認証応答信号を受信したホーム網1の位置登録サーバ12の送受信部121は、ホーム網1の位置登録サーバ12の記憶部122に、位置情報の更新を指示する。指示されたホーム網1の位置登録サーバ12の記憶部122は、ホーム網1の位置登録サーバ12の記憶部122に記憶されている移動機3の位置情報更新の処理を行う(S416)。
ホーム網1の位置登録サーバ12の記憶部122は、ホーム網1の位置登録サーバ12の送受信部121を介してローミング網2の位置登録サーバ22の送受信部221へ位置登録応答信号を送信する(S417)。位置登録応答信号を受信したローミング網2の位置登録サーバ22の送受信部221は、さらに移動機3の送受信部31に位置登録応答信号を送信する(S418)。
The transmission /
The
(通信開始時の認証手順)
図3は、通信開始時における認証手順の処理の流れを示したフローである。
図1を参照しつつ、図3に沿って通信開始時の認証手順の処理の流れを説明する。
(Authentication procedure at the start of communication)
FIG. 3 is a flowchart showing the flow of the authentication procedure at the start of communication.
With reference to FIG. 1, the flow of the authentication procedure at the start of communication will be described with reference to FIG.
ローミング網2においてローミングを行った移動機3の送受信部31は、ローミング網2の認証サーバ21の送受信部211を介して、ローミング網2の認証サーバ21の演算部213へ認証要求信号を送信する(S501)。認証要求を行うタイミングは、例えば、移動機3において、通話開始もしくはデータ交換が行われた場合である。
認証要求を行う際に使用される情報には、移動機3を一意に識別可能な移動機アドレス(例:ユーザ名@ドメイン名など)が含まれ、その移動機アドレスにはホーム網1を識別可能なホーム網アドレス(例:ドメイン名など)が含まれている。ローミング網2の認証サーバ21の演算部213は、移動機3のホーム網アドレスの認識処理を行い(S502)、移動機3がサービスの帰属関係を持つホーム網1のホーム網アドレスを認識する。これにより、ローミング網2の認証サーバ21の演算部213は、ローミング網2の認証サーバ21の送受信部211とホーム網1の認証サーバ11の送受信部111を介して、ホーム網1の認証サーバ11の演算部113に対して、認証要求信号を送信する(S503)。
The transmission /
The information used when making an authentication request includes a mobile device address (for example, user name @ domain name) that can uniquely identify the
ホーム網1の認証サーバ11の演算部113は、移動機3の記憶部32とホーム網1の認証サーバ11の記憶部112との間で共に予め記憶されている共有暗号鍵、およびホーム網1の認証サーバ11の演算部113で生成される第2の乱数を使用して、第3の認証結果算出処理を行い(S504)、認証結果(第3の認証結果)を算出する。その後、ホーム網1の認証サーバ11の演算部113は算出された第3の認証結果を、前記共有暗号鍵を使用して暗号化処理を行う(S505)。
ホーム網1の認証サーバ11の演算部113は、暗号化された第3の認証結果、当該移動機の移動機アドレスおよび第2の乱数を含む認証応答信号を、ホーム網1の認証サーバ11の送受信部111、ローミング網2の認証サーバ21の送受信部211を介して、ローミング網2の認証サーバ21の記憶部212へ送信する(S506)。
The
The
ローミング網2の認証サーバ21の記憶部212は、移動機アドレスと暗号化された第3の認証結果とを一対のデータとして記憶する処理を行う(S507)。
続いて、ローミング網2の認証サーバ21の記憶部212は、ローミング網2内に在圏している移動機3に対して受信した第2の乱数を含む認証要求信号を、ローミング網2の認証サーバ21の送受信部211と移動機3の送受信部31を介して、移動機3の演算部33に送信する(S508)。
移動機3の演算部33は、移動機3の記憶部32とホーム網1の認証サーバ11の記憶部112との間で共に予め記憶されている共有暗号鍵、および受信した第2の乱数を使用して、第4の認証結果算出処理を行い(S509)、認証結果(第4の認証結果)を算出する。続いて、第4の認証結果を、前記共有暗号鍵を使用して暗号化処理を行う(S510)。
そして、移動機3の演算部33は、暗号化された第4の認証結果および移動機3の移動機アドレスを、移動機3の送受信部31とローミング網2の認証サーバ21の送受信部211を介して、ローミング網2の認証サーバ21の比較部214に送信する(S511)。
The
Subsequently, the
The
Then, the
ローミング網2の認証サーバ21の比較部214は、移動機アドレスを検索キーとして、ローミング網2の認証サーバ21の記憶部212から、暗号化された第3の認証結果を検索し、暗号化された第3の認証結果と暗号化された第4の認証結果との比較処理を行う(S512)。互いの暗号化された認証結果が同一でない場合は、移動機3の送受信部31と、ホーム網1の認証サーバ11の送受信部111に対して、通信拒否の信号(図示せず)を送信し、通信を遮断する。一方、互いの暗号化された認証結果が同一の場合は、ローミング網2の認証サーバ21の送受信部211とホーム網1の認証サーバ11の送受信部111とを介して、ホーム網1の認証サーバ11の記憶部112に、認証応答信号を送信する(S513)。
The
ホーム網1の認証サーバ11の記憶部112は、第3の認証結果を記憶する処理を行う(S514)。
次に、ホーム網1の認証サーバ11の記憶部112は、認証結果の記憶が完了すると、認証応答信号をホーム網1の認証サーバ11の送受信部211を介して、ローミング網2の認証サーバ21の送受信部211に送信する(S515)。
ローミング網2の認証サーバ21の送受信部211は、認証応答信号を移動機3の送受信部31に送信する(S516)。
移動機3の送受信部31は、移動機3の記憶部32に第4の認証結果を記憶する処理を指示し、移動機3の記憶部32は第4の認証結果を記憶する処理を行う(S517)。
これにより、移動機3の認証が完了し、通信開始が可能な状態となる。
The
Next, when storage of the authentication result is completed, the
The transmission /
The transmitter /
Thereby, the authentication of the
(ハンドオーバ時の認証手順)
図4は、移動機3がローミング網2に在圏している状態でのハンドオーバ時における認証手順の処理の流れを示したフローである。図1を参照しつつ、図4に沿ってハンドオーバ時の認証手順を詳細に説明する。
(Authentication procedure during handover)
FIG. 4 is a flowchart showing a flow of authentication procedure processing at the time of handover in a state where the
ハンドオーバ時の移動機3の認証は、ホーム網1からの認証要求を受信する前に、移動機3が自発的に認証要求を行うものとする。
As for authentication of the
移動機3の演算部33は、移動機3の記憶部32にある、通信開始時にホーム網1の認証サーバ11との間で認証を実行した際に記憶した(図3のS517)第4の認証結果を第3の乱数とし、同様に記憶部32にあるホーム網1の認証サーバ11との間で共に予め記憶されている共有暗号鍵を使用して、前記第3の乱数と前記共有暗号鍵から第5の認証結果算出処理を行う(S601)。その後、算出された第5の認証結果を、前記共有暗号鍵を使用して暗号化処理を行う(S602)。
移動機3の演算部33は、移動機3の送受信部31とローミング網2の送受信部211とを介して、ローミング網2の認証サーバ21の記憶部212へ認証要求信号を送信する(S603)。この認証要求信号には、暗号化された第5の認証結果と、移動機3を一意に識別可能な移動機アドレス(例:ユーザ名@ドメイン名など)が含まれ、その移動機アドレスには、ホーム網1を識別可能なホーム網アドレス(例:ドメイン名など)が含まれている。ローミング網2の認証サーバ21の記憶部212は、移動機アドレスと暗号化された第5の認証結果とを一対のデータとして記憶する処理を行う(S604)。
また、ローミング網2の演算部213は、受信した移動機アドレスから、移動機3がサービスの帰属関係を持つホーム網1のホーム網アドレスを認識する処理を行う(S605)。これにより、ローミング網2の認証サーバ21の演算部213は、ローミング網2の認証サーバ21の送受信部211と、ホーム網1の認証サーバ11の送受信部111とを介して、取得したホーム網アドレスを有するホーム網1の認証サーバ11の演算部113に対して、移動機アドレスおよび暗号化した認証要求信号を送信する(S606)。
The
The
Further, the
ホーム網1の認証サーバ11の演算部113は、ホーム網1の記憶部112にある、通信開始時に移動機3との間で認証を実行した際に記憶した(図3のS514)第3の認証結果を第4の乱数とし、同様に記憶部112にある移動機3との間で共に予め記憶されている共有暗号鍵を使用して、前記第4の乱数と前記共有暗号鍵から第6の認証結果算出処理を行う(S607)。その後、算出した第6の認証結果を、前記共有暗号鍵を使用して暗号化処理を行う(S608)。
ホーム網1の認証サーバ11の演算部113は、暗号化された第6の認証結果および移動機3の移動機アドレスを含む認証応答信号を、ホーム網1の認証サーバ11の送受信部111と、ローミング網2の認証サーバ21の送受信部211を介して、ローミング網2の認証サーバ21の比較部214へ送信する(S609)。
The
The
ローミング網2の認証サーバ21の比較部214は、移動機アドレスを検索キーとして、ローミング網2の認証サーバ21の記憶部212から、暗号化された第5の認証結果を検索し、暗号化された第5の認証結果と暗号化された第6の認証結果との比較処理を行う(S610)。互いの暗号化された認証結果が同一でない場合は、移動機3の送受信部31とホーム網1の認証サーバ11の送受信部111に対して、通信拒否の信号(図示せず)を送信し、通信を遮断する。一方、互いの暗号化された認証結果が同一の場合は、移動機3の送信部31に、ローミング網2の認証サーバ21の送受信部211を介して認証応答信号を送信し(S611)、ハンドオーバが実行される。
The
以上、異なる認証方式の認証サーバをそれぞれ有する複数の通信網間を移動する移動機3と認証サーバ(11,21)との間で行う、移動機3の位置登録時、通信開始時、ハンドオーバ時のそれぞれの認証方法を分けて説明した。
かかる構成によれば、ホーム網1の認証サーバ11からの暗号化された認証結果と、移動機3からの暗号化された認証結果について、ローミング網2の認証サーバ21が、互いの暗号化された認証結果が同一か否かの比較によって移動機の正当性を判定するため、移動機の簡易な認証が可能となる。また、これらの機能を実現するために、ローミング網の認証サーバに追加機能は必要なく、現存するクリアリング装置の必要もなくなる。
加えて、認証手順で送受信する当該移動機に関するデータは、移動機を一意に識別可能な移動機アドレスを除き、一時的に使用する乱数と、単なるデータ列でしかない暗号化された認証結果であるため、送受信されるパケットの情報を悪意者が傍受した場合も、以降の通信で当該移動機になりすましを行うことが不可能となり、従来の通信方式に比べ高い通信のセキュリティを提供することが可能であるといえる。
As described above, when the location of the
According to such a configuration, the
In addition, the data related to the mobile device that is sent and received in the authentication procedure is a random number used temporarily, except for the mobile device address that can uniquely identify the mobile device, and an encrypted authentication result that is merely a data string. Therefore, even if a Service-to-Self intercepts information on packets sent and received, it becomes impossible to impersonate the mobile device in subsequent communications, providing higher communication security than conventional communication methods. It can be said that it is possible.
ハンドオーバ時の認証手順では、通信開始時に使用した認証結果を認証時に使用する乱数として使用するため、ホーム網の認証サーバから移動機への乱数通知手順が不要となることで、データ送受信回数が減り、ハンドオーバ時のトランザクション処理を削滅することが可能となる。 In the authentication procedure at the time of handover, the authentication result used at the start of communication is used as a random number used at the time of authentication. Therefore, the procedure for notifying the random number from the authentication server of the home network to the mobile device is not necessary, and the number of data transmission / reception is reduced. The transaction processing at the time of handover can be deleted.
1 ホーム網
2 ローミング網
3 移動機
11 認証サーバ(ホーム網の認証サーバ)
12 位置登録サーバ(ホーム網の位置登録サーバ)
21 認証サーバ(ローミング網の認証サーバ)
22 位置登録サーバ(ローミング網の位置登録サーバ)
41 通信網
42,43 通信回線
1 Home network 2
12 Location registration server (Home network location registration server)
21 Authentication server (roaming network authentication server)
22 Location Registration Server (Roaming Network Location Registration Server)
41 communication network 42, 43 communication line
Claims (15)
前記通信網は前記移動機とサービスの帰属関係を持つホームとなるホーム網と、ローミングにより前記移動機の通信が行われるローミング網とを含み、
前記移動機が前記ローミング網に移動した際の位置登録時または通信開始時に、前記移動機と前記ホーム網の認証サーバとのそれぞれが作成して所有する認証結果を使用して前記ローミング網の認証サーバが認証を行う認証手順と、
前記移動機のハンドオーバ時に、前記移動機と前記ホーム網の認証サーバとが、以前に算出した認証結果を乱数として使用して認証を行う認証手順と
を実行することを特徴とする通信方法。 In a communication method using a plurality of communication networks each having an authentication server that uses different authentication methods and a mobile device that communicates using the plurality of communication networks,
The communication network includes a home network that is a home having a service relationship with the mobile device, and a roaming network in which communication of the mobile device is performed by roaming,
When the mobile device moves to the roaming network, at the time of location registration or at the start of communication, authentication of the roaming network is performed using an authentication result created and owned by each of the mobile device and the home network authentication server. An authentication procedure in which the server authenticates;
A communication method, wherein at the time of handover of the mobile device, the mobile device and an authentication server of the home network execute an authentication procedure for performing authentication using a previously calculated authentication result as a random number.
前記移動機を一意に識別可能な移動機アドレスと、
前記移動機と前記ホーム網の認証サーバとの間で共に記憶される共有暗号鍵と、
前記ホーム網の認証サーバで生成される乱数と、
当該認証手順で前記移動機と前記ホーム網の認証サーバとでそれぞれ算出される認証結果を前記共有暗号鍵で暗号化した認証結果と
を備えることを特徴とする請求項1に記載の通信方法。 Information used in the authentication procedure executed at the time of the location registration or the start of communication is:
A mobile address that can uniquely identify the mobile;
A shared encryption key stored together between the mobile device and the home network authentication server;
A random number generated by an authentication server of the home network;
The communication method according to claim 1, further comprising: an authentication result obtained by encrypting an authentication result calculated by the mobile device and the authentication server of the home network by the shared encryption key in the authentication procedure.
前記ローミング網の位置登録サーバが、前記移動機の送信する位置登録要求信号に含まれる移動機アドレスから、当該移動機のホーム網を識別可能なアドレスを認識し、前記ホーム網の位置登録サーバに位置登録信号を送信する
ことを特徴とする請求項1に記載の通信方法。 The authentication procedure at the time of location registration is as follows:
The location registration server of the roaming network recognizes an address that can identify the home network of the mobile device from the mobile device address included in the location registration request signal transmitted by the mobile device, and sends it to the location registration server of the home network. The communication method according to claim 1, wherein a location registration signal is transmitted.
前記移動機と前記ホーム網の認証サーバとが、前記ホーム網の認証サーバで生成される乱数と、前記移動機と前記ホーム網の認証サーバとで共に記憶されている共有暗号鍵から認証結果を算出し、その認証結果を前記共有暗号鍵で暗号化し、前記ローミング網の認証サーバでそれぞれの暗号化された認証結果を比較することで、当該移動機の正当性を確認する
ことを特徴とする請求項1に記載の通信方法。 The authentication procedure at the time of location registration is as follows:
The mobile device and the home network authentication server obtain an authentication result from a random number generated by the home network authentication server and a shared encryption key stored in both the mobile device and the home network authentication server. Calculating, encrypting the authentication result with the shared encryption key, and comparing the encrypted authentication results with the authentication server of the roaming network, thereby confirming the validity of the mobile device. The communication method according to claim 1.
前記ローミング網の認証サーバが、前記移動機の送信する認証要求信号に含まれる移動機アドレスから、当該移動機のホーム網を識別可能なアドレスを認識し、前記ホーム網の認証サーバに認証要求信号を送信する
ことを特徴とする請求項1に記載の通信方法。 The authentication procedure at the start of communication is as follows:
The authentication server of the roaming network recognizes an address that can identify the home network of the mobile device from the mobile device address included in the authentication request signal transmitted by the mobile device, and sends an authentication request signal to the authentication server of the home network. 2. The communication method according to claim 1, wherein:
前記移動機と前記ホーム網の認証サーバとが、前記ホーム網の認証サーバで生成される乱数と、前記移動機と前記ホーム網の認証サーバとで共に記憶されている共有暗号鍵から認証結果を算出し、その認証結果を前記共有暗号鍵で暗号化し、前記ローミング網の認証サーバでそれぞれの暗号化された認証結果を比較することで、当該移動機の正当性を確認する
ことを特徴とする請求項1に記載の通信方法。 The authentication procedure at the start of communication is as follows:
The mobile device and the home network authentication server obtain an authentication result from a random number generated by the home network authentication server and a shared encryption key stored in both the mobile device and the home network authentication server. Calculating, encrypting the authentication result with the shared encryption key, and comparing the encrypted authentication results with the authentication server of the roaming network, thereby confirming the validity of the mobile device. The communication method according to claim 1.
前記移動機と前記ホーム網の認証サーバが当該移動機の正当性を確認した後、前記移動機と前記ホーム網の認証サーバとの間で、認証の際に算出した認証結果を共に記憶することを特徴とする請求項1に記載の通信方法。 The authentication procedure at the start of communication is as follows:
After the mobile device and the home network authentication server confirm the validity of the mobile device, the authentication result calculated at the time of authentication is stored together between the mobile device and the home network authentication server. The communication method according to claim 1, wherein:
前記移動機を一意に識別可能な移動機アドレスと、
前記移動機と前記ホーム網の認証サーバとの間で共に記憶される共有暗号鍵と、
前記移動機と前記ホーム網の認証サーバとの間で共に記憶される通信開始時の認証で算出した認証結果と
当該認証手順で前記移動機と前記ホーム網の認証サーバとでそれぞれ算出される認証結果を前記共有暗号鍵で暗号化した認証結果と
を備えることを特徴とする請求項1に記載の通信方法。 Information used in the authentication procedure at the time of handover is:
A mobile address that can uniquely identify the mobile;
A shared encryption key stored together between the mobile device and the home network authentication server;
Authentication results calculated by authentication at the start of communication stored together between the mobile device and the home network authentication server, and authentications calculated by the mobile device and the home network authentication server in the authentication procedure, respectively. The communication method according to claim 1, further comprising: an authentication result obtained by encrypting a result with the shared encryption key.
前記ローミング網の認証サーバが、前記移動機の送信する認証要求信号に含まれる移動機アドレスから、当該移動機のホーム網を識別可能なアドレスを認識し、前記ホーム網の認証サーバに認証要求信号を送信する
ことを特徴とする請求項1に記載の通信方法。 The authentication procedure at the time of the handover is as follows:
The authentication server of the roaming network recognizes an address that can identify the home network of the mobile device from the mobile device address included in the authentication request signal transmitted by the mobile device, and sends an authentication request signal to the authentication server of the home network. The communication method according to claim 1, wherein:
前記移動機と前記ホーム網の認証サーバとが、それぞれ通信開始時の認証で算出した認証結果を記憶し、その認証結果を乱数として、前記乱数および前記移動機と前記ホーム網の認証サーバとで共に記憶されている共有暗号鍵から認証結果を算出し、その認証結果を前記共有暗号鍵で暗号化し、前記ローミング網の認証サーバでそれぞれの暗号化された認証結果を比較することで、当該移動機の正当性を確認する
ことを特徴とする請求項1に記載の通信方法。 The authentication procedure at the time of the handover is as follows:
The mobile device and the home network authentication server each store an authentication result calculated by authentication at the start of communication, and the authentication result is a random number. The random number and the mobile device and the home network authentication server By calculating an authentication result from the shared encryption key stored together, encrypting the authentication result with the shared encryption key, and comparing each encrypted authentication result with the authentication server of the roaming network, the movement 2. The communication method according to claim 1, wherein the authenticity of the machine is confirmed.
前記通信網は前記移動機とサービスの帰属関係を持つホーム網と、ローミングにより前記移動機の通信が行われるローミング網とを含み、
前記ホーム網および前記ローミング網の間を移動する移動機は、前記移動機の位置登録時および通信開始時において、前記ホーム網の認証サーバが生成した乱数と、前記ホーム網認証サーバと共に記憶されている共有暗号鍵とを用いて認証結果を算出し、その認証結果を前記共有暗号鍵で暗号化する機能を備え、
前記ホーム網は、前記移動機の位置登録時と通信開始時において、前記ホーム網および前記ローミング網の間を移動する前記移動機からの要求によって、乱数を生成し、その生成した乱数を前記移動機と共に記憶されている共有暗号鍵とを用いて認証結果を算出し、この算出した認証結果を前記共有暗号鍵で暗号化する機能を持つ認証サーバを備え、
前記ローミング網は、前記移動機の位置登録時と通信開始時において、前記ホーム網の認証サーバと前記移動機から送信された、暗号化された認証結果を比較して前記移動機の正当性を確認する機能を持つ認証サーバを備える
ことを特徴とする通信システム。 In a communication system with a plurality of communication networks each having an authentication server using different authentication methods and a mobile device that communicates using the plurality of communication networks,
The communication network includes a home network having a service relationship with the mobile device, and a roaming network in which the mobile device communicates by roaming,
The mobile device that moves between the home network and the roaming network is stored together with a random number generated by the home network authentication server and the home network authentication server at the time of location registration and communication start of the mobile device. An authentication result is calculated using the shared encryption key, and the authentication result is encrypted with the shared encryption key.
The home network generates a random number in response to a request from the mobile device that moves between the home network and the roaming network at the time of location registration of the mobile device and at the start of communication, and the generated random number is transferred to the mobile network. An authentication server having a function of calculating an authentication result using a shared encryption key stored together with the machine and encrypting the calculated authentication result with the shared encryption key,
The roaming network compares the encrypted authentication results transmitted from the home network authentication server and the mobile device at the time of registration of the location of the mobile device and at the start of communication to verify the validity of the mobile device. A communication system comprising an authentication server having a function of checking.
前記通信網は前記移動機とサービスの帰属関係を持つホーム網と、ローミングにより前記移動機の通信が行われるローミング網とを含み、
前記ホーム網および前記ローミング網の間を移動する移動機は、ハンドオーバ時において、通信開始時の認証で算出した認証結果を乱数として、前記乱数および前記ホーム網の認証サーバと共に記憶されている共有暗号鍵を用いて認証結果を算出し、その算出した認証結果を前記共有暗号鍵で暗号化する機能を備え、
前記ホーム網は、前記ハンドオーバ時において、前記移動機の要求によって、当該移動機との最後の通信で使用した認証結果および前記移動機と共に記憶されている共有暗号鍵とを用いて認証結果を算出し、その算出した認証結果を前記共有暗号鍵で暗号化する機能を持つ認証サーバを備え、
前記ローミング網は、前記ハンドオーバ時において、前記ホーム網の認証サーバと前記移動機から送信されたそれぞれの暗号化された認証結果を比較して、当該移動機の正当性を確認する機能を持つ認証サーバ
を備えることを特徴とする通信システム。 In a communication system with a plurality of communication networks each having an authentication server using different authentication methods and a mobile device that communicates using the plurality of communication networks,
The communication network includes a home network having a service relationship with the mobile device, and a roaming network in which the mobile device communicates by roaming,
A mobile device that moves between the home network and the roaming network uses a shared encryption stored together with the random number and the authentication server of the home network as an authentication result calculated by authentication at the start of communication at the time of handover. A function of calculating an authentication result using a key and encrypting the calculated authentication result with the shared encryption key;
At the time of the handover, the home network calculates an authentication result by using the authentication result used in the last communication with the mobile device and the shared encryption key stored together with the mobile device at the request of the mobile device. And an authentication server having a function of encrypting the calculated authentication result with the shared encryption key,
The roaming network compares the encrypted authentication results transmitted from the mobile network authentication server and the mobile device at the time of the handover, and has an authentication function for confirming the validity of the mobile device. A communication system comprising a server.
前記ホーム網および前記ローミング網の間を移動する移動機と共に記憶されている共有暗号鍵と、前記移動機との通信開始時に算出した認証結果とを記憶する記憶手段と、
乱数を生成し、前記乱数と前記共有暗号鍵とを使用して認証結果を算出し、前記認証結果に対して前記共有暗号鍵を使用して暗号化する演算手段と
を備えることを特徴とする認証サーバ。 Used in a communication system by a plurality of communication networks each having an authentication server that uses different authentication methods and a mobile device that communicates using the plurality of communication networks, and the communication network belongs to the mobile device and a service An authentication server for the home network, including a home network having a roaming network in which communication of the mobile device is performed by roaming,
Storage means for storing a shared encryption key stored together with the mobile device moving between the home network and the roaming network, and an authentication result calculated at the start of communication with the mobile device;
Computation means for generating a random number, calculating an authentication result using the random number and the shared encryption key, and encrypting the authentication result using the shared encryption key Authentication server.
前記ホーム網の認証サーバから送信される暗号化された第1の認証結果と、前記ホーム網および前記ローミング網の間を移動する移動機から送信される、暗号化された第2の認証結果とを記憶する記憶手段と、
前記第1の認証結果と前記第2の認証結果とを比較し、同一か否かを比較する比較手段と、
前記移動機から送信されてくる位置登録要求もしくは認証要求に含まれる移動機アドレスから、当該移動機のホーム網を識別可能なアドレスを認識する認識手段と
を備えることを特徴とする認証サーバ。 Used in a communication system by a plurality of communication networks each having an authentication server that uses different authentication methods and a mobile device that communicates using the plurality of communication networks, and the communication network belongs to the mobile device and a service An authentication server of the roaming network, including a home network having a roaming network in which communication of the mobile device is performed by roaming,
An encrypted first authentication result transmitted from an authentication server of the home network, and an encrypted second authentication result transmitted from a mobile device moving between the home network and the roaming network; Storage means for storing
A comparing means for comparing the first authentication result with the second authentication result and comparing whether or not they are the same;
An authentication server comprising recognition means for recognizing an address capable of identifying the home network of the mobile device from a mobile device address included in a location registration request or authentication request transmitted from the mobile device.
前記ホーム網の認証サーバと共に記憶されている共有暗号鍵と、前記移動機が通信開始時に算出した認証結果とを記憶する記憶手段と、
前記ホーム網の認証サーバが生成した乱数もしくは前記認証結果と、共有暗号鍵とを使用して認証結果を算出し、その算出された認証結果を共有暗号鍵で暗号化する演算手段と
を備えることを特徴とする移動機。 Used in a communication system by a plurality of communication networks each having an authentication server that uses different authentication methods and a mobile device that communicates using the plurality of communication networks, and the communication network belongs to the mobile device and a service A mobile network comprising a home network having a roaming network in which communication of the mobile device is performed by roaming,
Storage means for storing a shared encryption key stored together with the authentication server of the home network, and an authentication result calculated when the mobile device starts communication;
Computing means for calculating an authentication result using a random number generated by an authentication server of the home network or the authentication result and a shared encryption key, and encrypting the calculated authentication result with the shared encryption key; A mobile machine characterized by.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005056704A JP2006245831A (en) | 2005-03-01 | 2005-03-01 | Communication method, communication system, authentication server and mobile |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005056704A JP2006245831A (en) | 2005-03-01 | 2005-03-01 | Communication method, communication system, authentication server and mobile |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006245831A true JP2006245831A (en) | 2006-09-14 |
Family
ID=37051784
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005056704A Pending JP2006245831A (en) | 2005-03-01 | 2005-03-01 | Communication method, communication system, authentication server and mobile |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006245831A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009290317A (en) * | 2008-05-27 | 2009-12-10 | Nec Corp | Packet roaming connection management server, packet roaming connection system, packet roaming connection method, and program |
JP2013545367A (en) * | 2010-10-22 | 2013-12-19 | クアルコム,インコーポレイテッド | Authentication of access terminal identification information in roaming networks |
KR20170005400A (en) * | 2013-06-12 | 2017-01-13 | 크립토매틱 엘티디 | System and method for encryption |
US9578498B2 (en) | 2010-03-16 | 2017-02-21 | Qualcomm Incorporated | Facilitating authentication of access terminal identity |
US9668128B2 (en) | 2011-03-09 | 2017-05-30 | Qualcomm Incorporated | Method for authentication of a remote station using a secure element |
-
2005
- 2005-03-01 JP JP2005056704A patent/JP2006245831A/en active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009290317A (en) * | 2008-05-27 | 2009-12-10 | Nec Corp | Packet roaming connection management server, packet roaming connection system, packet roaming connection method, and program |
US9578498B2 (en) | 2010-03-16 | 2017-02-21 | Qualcomm Incorporated | Facilitating authentication of access terminal identity |
JP2013545367A (en) * | 2010-10-22 | 2013-12-19 | クアルコム,インコーポレイテッド | Authentication of access terminal identification information in roaming networks |
US9112905B2 (en) | 2010-10-22 | 2015-08-18 | Qualcomm Incorporated | Authentication of access terminal identities in roaming networks |
US9668128B2 (en) | 2011-03-09 | 2017-05-30 | Qualcomm Incorporated | Method for authentication of a remote station using a secure element |
KR20170005400A (en) * | 2013-06-12 | 2017-01-13 | 크립토매틱 엘티디 | System and method for encryption |
KR102277060B1 (en) | 2013-06-12 | 2021-07-14 | 크립토매틱 엘티디 | System and method for encryption |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6877524B2 (en) | Devices and methods for wireless communication | |
JP6612358B2 (en) | Method, network access device, application server, and non-volatile computer readable storage medium for causing a network access device to access a wireless network access point | |
US9853965B2 (en) | Authentication service for third party applications | |
JP4804983B2 (en) | Wireless terminal, authentication device, and program | |
JP5597676B2 (en) | Key material exchange | |
US11075752B2 (en) | Network authentication method, and related device and system | |
JP5144679B2 (en) | User access management in communication networks | |
US8559642B2 (en) | Cryptographic communication with mobile devices | |
JP4965671B2 (en) | Distribution of user profiles, policies and PMIP keys in wireless communication networks | |
EP1775972A1 (en) | Communication handover method, communication message processing method, and communication control method | |
US20040228492A1 (en) | Method of distributing encryption keys among nodes in mobile ad hoc network and network device using the same | |
US7233782B2 (en) | Method of generating an authentication | |
JP2004241976A (en) | Mobile communication network system and method for authenticating mobile terminal | |
WO2018076564A1 (en) | Privacy protection method and privacy protection device in vehicle communication | |
EP4231680A1 (en) | Identity authentication system, method and apparatus, device, and computer readable storage medium | |
JP2006245831A (en) | Communication method, communication system, authentication server and mobile | |
RU2447603C2 (en) | Method for dhcp messages transmission | |
JP4681990B2 (en) | Communication system and communication system | |
US10834063B2 (en) | Facilitating provisioning of an out-of-band pseudonym over a secure communication channel | |
KR101314435B1 (en) | Method for security roaming of mobile node and foreign agent apparatus thereof and security roaming system | |
JP2009031848A (en) | Authentication transferring device | |
WO2019024937A1 (en) | Key negotiation method, apparatus and system | |
CN114978741B (en) | Inter-system authentication method and system | |
EP4027675A1 (en) | System and method for authentication of iot devices | |
KR20140142146A (en) | Method for managing key for quick user authentication in wireless communication |