JP2008535422A - 認証方法および認証ユニット - Google Patents
認証方法および認証ユニット Download PDFInfo
- Publication number
- JP2008535422A JP2008535422A JP2008504675A JP2008504675A JP2008535422A JP 2008535422 A JP2008535422 A JP 2008535422A JP 2008504675 A JP2008504675 A JP 2008504675A JP 2008504675 A JP2008504675 A JP 2008504675A JP 2008535422 A JP2008535422 A JP 2008535422A
- Authority
- JP
- Japan
- Prior art keywords
- user
- internet protocol
- fixed access
- access line
- sub
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/40—Support for services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M1/00—Substation equipment, e.g. for use by subscribers
- H04M1/66—Substation equipment, e.g. for use by subscribers with means for preventing unauthorised or fraudulent calling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
Abstract
本発明は、顧客構内マルチメディア装置EQUIPの端末T1、T2、T3を使用し、ユーザIDU1、U2、U3、U4を有するユーザにインターネットプロトコルマルチメディアサービスを提供する電気通信システムで使用する認証方法を記載している。この方法は、ユーザIDが第1の固定アクセスラインを共有する複数の第1のユーザIDの1つである場合に、第1の固定アクセスラインを備えた複数の固定アクセスラインL1、・・・、L16のそれぞれ1つに対する記憶手段MEM内に、1つの固定アクセスラインと複数のインターネットプロトコルマルチメディアサブシステムプロファイルの間の接続を予め定義し、それによって複数の接続を提供するステップにおいて、複数のインターネットプロトコルマルチメディアサブシステムプロファイルのそれぞれ1つは1つの固定アクセスラインを共有する複数のユーザIDの1つに関連しており、複数の接続はそれによって第1の固定アクセスラインと、複数の第1のユーザIDの1つにそれぞれ関連している第1の複数のインターネットプロトコルマルチメディアサブシステムプロファイルの間に複数の第1の接続を含んでいるステップと、ユーザIDU3を含むサービスリクエストREQを第1の固定アクセスラインを介して端末によって伝達するステップと、サービスリクエストに対してプロセッサPでユーザIDおよび第1の固定アクセスラインを判断するステップと、第1の固定アクセスラインとユーザIDに関連しているインターネットプロトコルマルチメディアサブシステムプロファイルP13の間に接続がある場合、プロセッサで複数の接続を制御するステップと、少なくとも1つのインターネットプロトコルマルチメディアサブシステムサービスに対して、ユーザID用認証OKをプロセッサによって提供するステップとを含んでいる。
Description
本発明は、以下では略してIMSと呼ぶインターネットプロトコルマルチメディアサービスをユーザに提供する認証方法を実現させる認証ユニットに関する。
IMSは、移動通信用グローバルシステム、3GPP電気通信システム内でよく知られている。「3rd Generation Partnership Project;Technical Specification Group Services and System Aspects;Security Aspects of Early IMS(Release 6)」というタイトルの参考文献3GPP TR 33.878 V1.0.0(2004年12月)の技術報告書の序文では、3GPP IMSが、セッションイニシャルプロトコルに基づくIPベースのセッションコントロール能力を提供することを記載している。IMSは、プッシュトゥトーク、インスタントメッセージ、出席および会議などのサービスを可能にするのに使用することができる。序文ではまた、簡単で十分安全な機構が、最も重要な安全性の脅威に対して保護するように定位置にあることを保証する必要があることを記載している。
これは、移動3GPP IMS法が、移動端末とネットワークの間の安全接続を想定することを意味する。
ほとんどの端末が常にログオンされる、このような安全接続の固定環境での実施は、これらの端末全てに対して、恒久ベースの安全接続を暗示する。これはネットワークに対する高いリソース消費である。というのは、安全接続はIMSネットワークエンティティが多くの状況を維持し、拡張性ボトルネックとして考えるべきであることが必要であるからである。
IMSは固定および移動内容の両方で、例えば、自分のデジタル加入者ライン、すなわちDSLライン上で単純通話を行う加入者から、例えば世界の対極側での休暇中に公衆ホットスポットを介して自分のIMSサービスにアクセスする加入者までにわたる大きな組の使用計画を含んでいる。
これらの異なる使用例は、異なる委託モデル、および異なる安全方法での対応する異なる安全要件を必要とする。顧客構内マルチメディア設備の端末を使用してユーザIDでユーザにIMSサービスを提供する電気通信システムで使用する認証方法は、このような安全方法の一部である。
完全なIMSは、エンドユーザはパプリックドメイン内にあってもよく、IMSの安全性は基本となるアクセスネットワークから独立しているべきであることを前提とする。全ての各計画を含む安全モデルを設計する必要がある場合、安全性は最も厳しい場合を含んでいなければならない。しかし、最も厳しい場合を含む全安全ソリューションは、ネットワークリソースおよび端末への費用および影響を意味することが知られている。
本発明の目的は、知られている従来技術の認証方法などの認証方法であるが、ネットワークリソースおよび端末に所要の費用および影響の上記欠点がない、固定電気通信環境でユーザに適切である認証方法を提供することである。
実際、本応用例は、ユーザが家にいる場合の多くでは、自分の固定アクセスラインを介した電気通信システムへのアクセス、したがってIMSサービスの使用の多くは、より低い安全性要件を有するより単純な計画が十分である家からであり、それによってこのような家庭用配置の大部分に対してより単純な解決法を設計することが有用であるという見識に部分的に基づく。さらに、提案した解決法は簡単な計画および最も複雑な計画の円滑な共存を保証する。減少する音声収入で、固定ネットワークオペレータは今日、IMSサービス、およびIMSをその現在のサービス提供と組み合わせることに高い関心を持っている。それによって、本応用例はさらに、以下の見識に基づくものである。
固定アクセスラインを共有する全てのユーザは、互いに完全な信頼を有する。
アクセスリソース消費およびIMSサービスの使用の両方のための、1つの固定次世代ネットワークNGNサブスクリプションがある。
固定アクセスラインサブスクリプション、例えばxDSLラインとIMSプロファイルと呼ばれる1式の固定NGNサービスIMS識別の間に管理接続がある。例として、家族のうちの異なる会員が、オペレータによって設定された個別のIMS識別を有し、それによって独自の(1つまたは複数の)プロファイルを使用して、同じ固定アクセスライン上でIMS通話を受け開始することが説明されている。本発明によれば、この目的は、従来技術の方法およびユニットなどの認証ユニットによって実現される認証方法によって達成されるが、認証ユニットが顧客構内マルチメディア設備にこれを介して結合された第1の固定アクセスラインを共有している複数のユーザID(user identification)の1つである場合、この方法は、この第1の固定アクセスラインを含む複数の固定アクセスラインのそれぞれ1つ用の認証ユニットの記憶手段内に1つの固定アクセスラインと複数のインターネットプロトコルマルチメディアサブシステムプロファイルの間の接続を予め定義し、それによって複数の接続を提供するステップであって、複数のインターネットプロトコルマルチメディアサブシステムプロファイルのそれぞれ1つは1つの固定アクセスラインを共有する複数のユーザIDの1つに関連し、複数の接続はしたがって、第1の固定アクセスラインと、複数の第1のユーザIDの1つに関連している複数の第1のインターネットプロトコルマルチメディアサブシステムプロファイルの間に複数の第1の接続であるステップと、ユーザの端末によってサービスリクエストを第1の固定アクセスラインを介して伝達するステップであって、サービスリクエストはユーザIDを含んでいるステップと、認証ユニットのプロセッサで、サービスリクエスト、ユーザIDおよび第1の固定アクセスラインを判断するステップと、第1のアクセスラインとユーザIDに関連しているインターネットプロトコルマルチメディアサブシステムプロファイルの間の接続がある際に、プロセッサで複数の接続を制御するステップと、ユーザID用のプロセッサ認証によって、少なくとも1つのインターネットプロトコルマルチメディアサブシステムサービスを提供するステップを特徴的なステップとして含んでいる。
これは、多くの安全接続を保持する代わりに、ネットワークが、場合によっては割り当てたIPアドレス上の固定アクセスラインを特定するデジタル加入者ラインDSLライン認証または等価認証とこのような特定のラインに対応する異なるIMS識別との間にマッピングを保持しているだけである。普通は顧客ライン認証CLIDと呼ばれる可能な固定アクセスライン認証は、例えば、バーチャルプライベートネットワークVPN認証、イーサネット(登録商標)バーチャルローカルエリアネットワークVLAN認証である。このように、ネットワークはIMSレベルでソースフィルタリングを行う。例えばxDSLネットワーク内のライン認証は、そのIP接続性を得て、IMSサービスへのアクセスを得る唯一の所要の認証機構であることを説明しなければならないが、本認証方法はまた、例えば、PPPベースまたはIEEE 802.1.xベースなどの他のアクセス認証方法で働く。これは、本発明による認証方法は、ライン認証のみに限らないということである。
目的は、ユーザのグループがアクセスネットワークにアクセスするのに共通の固定アクセスリンクを共有しており、このユーザのグループが一意的に認証されることである。この認証は、固定アクセスライン認証自体により直接、または上記のようなこのユーザのグループの他の種類の一意的な認証により判断することができる。
アクセスプロバイダは、アクセスラインと、対応するセットの固定次世代ネットワークNGN−IMS識別およびサービス、ここではIMSプロファイルと呼ばれるもの、の間にマッピングを維持する。IMS特定認証シグナリングは、そのIMSサービスへのアクセスを得るために顧客構内設備の端末により必要ない。さらに、IMSシグナリングの暗号化保護を提供する必要がない。
3GPPによって特定されたような先のIMSはこのIMSを記述するが、IMS IDは割り当てられたIPアドレスにマッピングされ、このような実施は異なるネットワーク構成要素間のより多くの通信、およびアンチIPアドレススプーフィング手段の実施を必要とする。本出願は、固定ライン認証、すなわち第1の固定ラインと1セットのユーザIDの間にマッピングを提供する。先のIMSに反して、本出願では、DSLライン認証は一から多数のマッピングを可能にする、すなわち、1つの単一のライン認証は多数のIMS加入者をマッピングすることができる。
3GPPによって特定されたようなIMSは、相互認証のために、IP安全性をサポートし、IMSを備えたスマートカード、ISIMと呼ばれる加入者特定モジュールを有する端末を必要とする。本出願の端末は、IP安全性のサポートを必要としておらず、しばしば固定世界での端末はスマートカードをサポートしていない。
本発明の別の特性は、エンドユーザが、例えば専用アプリケーションを通して、または他の手段、例えばSMS、eメールなどを介して許可されたIMSユーザ自体のリストを管理することができる。
それによって、複数の接続を予め定義するステップは、予め定義されたウェブインターフェイス、およびユーザIDを介して複数の第1の接続を動的に提供するステップを含んでいる。複数の第1の接続を動的に提供するステップは、DSL加入者、すなわちDSLラインに責任のある複数の第1のユーザの1つが、そのユーザIDを介して、および予め定義したウェブインターフェイスを介して、そのDSLラインの異なるIMSプロファイルを管理することが可能であるということを意味している。複数の第1のIMSプロファイルを管理するステップは、そのユーザは、異なるIMSプロファイルを生成する、削除するおよび適応させる、すなわち最新についていくことが可能であるということを意味している。
このような動的特性はまた、この固定アクセスライン加入者がアクセスラインリソースの使用を行うIMS加入者の訪問をホスティングすることを可能にし、それによってIMSサービスに対するこの訪れるIMS加入者の認証は、アクセスネットワークまたはIMSオペレータによって、およびDSLラインを「所有する」、すなわちアクセスラインへのサブスクリプションを有するDSLまたはIMS加入者によって管理されたリストにより制御される。それによって、単純な可搬性は、ビジタが誰かの家庭用固定アクセスラインを使用することを可能にすることによって可能になり、それによってアクセスラインの所有者は複数の第1の接続内にこのビジタに対するIMSプロファイルを作成する。それによって、本出願の別の特性は、複数の第1の接続は、ユーザの制御による1つの固定アクセスラインを共有するホストユーザを特定するホストユーザIDに関連しているホストユーザインターネットプロトコルマルチメディアサブシステムプロファイルを備えていることを記載している。開始されたIMS通話全てはそれによって、固定次世代ネットワークサブスクリプションに課金されたデフォルトによるものであると説明しなければならないが、その機構は訪れるIMSユーザの通話を独自のサブスクリプションに課金するように開発することができる。
以下の特性は、予め定義する、判断する、制御する、および提供するステップは、アクセスノードまたは別のネットワーク構成要素などの個別のアクセスラインを特定することが可能なノードによって実行されることである。
これは、認証ユニット、例えば第1のアクセスラインが結合されたアクセスノードの集積により、利用可能な固定アクセスライン認証を判断する機能性を有する利点を提供する。
実際、IMSをデジタル加入者ラインアクセスノード、すなわち転送ネットワークノード、IPエッジサービスルータ、または普通は固定アクセスネットワークオペレータに興味のある他のネットワークノードなどの転送ネットワークノード内に集積することによって、安全接続が容易に保証される。
本出願の別の特性は、予め定義するステップは分配方法により実施されるということである。このステップは、記憶手段の第1のサブ記憶手段内に、複数の固定アクセスラインのそれぞれ1つと1つの固定アクセスラインに割り当てられた割当インターネットプロトコルアドレスの間で第1のサブ接続を予め定義する第1のサブステップと、記憶手段の第2のサブ記憶手段内に、割当インターネットプロトコルアドレスと複数のインターネットプロトコルマルチメディアサブシステムプロファイルの間で第2のサブ接続を予め定義する第2のサブステップとを含んでおり、制御ステップは、プロセッサの第1のサブプロセッサによって実行される、第1の固定アクセスラインと割当インターネットプロトコルアドレスの間の接続が存在する際に第1のサブ記憶手段を制御し、それによって割当インターネットプロトコルアドレスを提供する第1のサブ制御ステップと、割当インターネットプロトコルアドレスに基づき、プロセッサの第2のサブプロセッサによって実行される、割当インターネットプロトコルアドレスとユーザIDに関連しているインターネットプロトコルマルチメディアサブシステムプロファイルの間の接続が存在する際に、第2のサブ記憶手段を制御する第2のサブ制御ステップとを含んでいる。
さらに、本出願による認証方法は、アクセスノードによって第1のサブ制御ステップを実行するステップと、アプリケーションサーバプロバイダによって第2のサブ制御ステップを実行するステップとを含んでいる。
特許請求の範囲で使用される「備える」という用語は、これ以下に挙げる手段に対する限定として解釈すべきではないことに留意するものとする。したがって、「手段AおよびBを備えた装置」という表現の範囲は、構成要素AおよびBのみからなる装置に限るものではない。本発明に関して、装置の唯一の関連構成要素がAおよびBであるということを意味する。
同様に、特許請求の範囲で使用される「結合された」という用語は、直接接続のみに限るものとして解釈すべきではないことに留意するものとする。したがって、「装置Bに結合された装置A」という表現の範囲は、装置Aの出力が装置Bの入力に直接接続される装置またはシステムに限るべきではない。他の装置または手段を含む経路であってもよいAの出力とBの出力の間の経路が存在するということを意味する。
添付の図面と合わせて実施形態の以下の説明を参照することによって、本発明の上記および他の目的および特性はより明らかになり、本発明自体は最もよく理解されるであろう。
図に示したその電気通信環境に従った本発明による装置の作動が、そこに示した異なるブロックの機能的説明により説明される。この説明に基づき、ブロックの実用的な実施は当業者に自明であり、したがって詳細には説明しない。加えて、認証方法の原則的な作動をさらに詳細に説明する。
図1を参照すると、電気通信システムが示されている。電気通信システムは、顧客構内マルチメディア設備EQUIPおよびアクセスノードANを備えている。顧客構内マルチメディア設備EQUIPは、第1の固定アクセスラインL1を介してアクセスノードに結合されている。アクセスノードANはまた、他のアクセスラインを介して他の顧客構内マルチメディア設備(図示せず)に結合されており、そのいくつかがL2、・・・、L16で示されている。
顧客構内マルチメディア設備EQUIPは、以下の種類の端末を含んでいる。例えば固定アクセスラインL1に無線インターフェイスを介して結合されたユーザU1によって使用される無線IP電話T1と、例えば第1の固定アクセスラインL1に固定ラインを介して結合されたユーザU2またはU4によって使用されるパソコンPC T2と、ユーザU3によって使用され、固定アクセスラインL1に固定ラインインターフェイスを介して結合される、以下では端末T3と呼ぶ固定電話である。
アクセスノードは、本発明による認証ユニットAUを備えている。認証ユニットAUは、アクセスノードANの入力に結合されている。認証ユニットAUは、プロセッサPおよびメモリMEMを備えている。メモリMEMは、記憶要素の可能な実施である。プロセッサPは、認証ユニットAUの入力、およびメモリMEMに結合されている。
認証ユニットは、端末T3を使用し、ユーザIDU3を有するユーザ、例えばユーザU3にインターネットプロトコルマルチメディアサービスを提供するように電気通信システムで使用する認証方法を実行するように設けられている。
この説明および図を簡潔にするように、ユーザ、例えばU3およびそのユーザIDU3は同一の名前が付けられていることに注目しなければならない。実際、ユーザIDは、使用されるおよび/またはネットワークで使用されている基準に関連するユーザへの基準を備えていることが当業者には明らかである。しかし、これは本発明の目的を超えたものである。
アクセスネットワークの接続形態によると、ユーザU1、U2、U3およびU4は、同じ固定アクセスライン、すなわちアクセスラインL1を共有している複数の第1のユーザIDU1、U2、U3およびU4の一部であることが明らかである。
メモリMEMは、複数のアクセスラインL1、L2、・・・、L16などの複数のアクセスラインのそれぞれ1つに対して、固定アクセスラインの1つと複数のインターネットプロトコルマルチメディアサブシステムプロファイルの間の接続を記憶するための認証ユニットAU内に含まれている。
このように、複数の固定アクセスラインのそれぞれ1つ、例えばアクセスラインL1に対して、この固定アクセスラインL1および複数のインターネットプロトコルマルチメディアサブシステムプロファイルの間に接続が予め定義される。より正確には、L1に関連するように予め定義されているこのような複数のインターネットプロトコルマルチメディアサブシステムプロファイルのそれぞれ1つは、この固定アクセスラインL1を共有している複数のユーザID、すなわちU1、U2、U3およびU4の1つに関連している。複数の定義された接続はしたがって、第1の固定アクセスラインL1と複数の第1のインターネットプロトコルマルチメディアサブシステムプロファイルP11(U1)、P12(U2)、P13(U3)およびP14(U4)の間に複数の第1の接続を含んでおり、それぞれ複数の第1のユーザIDU1、U2、U3およびU4の1つに関連している。
その端子で異なるユーザU1、U2、U3およびU4の間で共有されるこのような固定アクセスラインL1では、共通の信用および理解が、固定アクセスラインの使用に関して利用可能であることが明らかでなければならない。ユーザの1つ、例えばユーザU3はまた、オペレータでのアクセスラインのサブスクリプションを有する。
このように、複数の接続が、固定アクセスラインのそれぞれ1つに対してメモリMEM内に予め定義され、設けられている。
異なる接続の予めの定義は、動的方法で提供および適応されることができることを述べなければならない。これは、例えば同じ固定アクセスラインを共有している利用可能な端末が、時間の経過と共に、例えば端末の数の拡張機能を変更する可能性があり、それによってメモリMEM内の接続が適応されるべきであることを意味している。
インターネットプロトコルマルチメディアサービスのユーザに向けてフレキシビリティを提供するため、接続の予めの定義は予め定義された安全なウェブインターフェイスを介して動的に提供することができる。固定アクセスラインを共有しているユーザのみが、この固定アクセスラインに関連する接続を適応させるために認証を受ける、例えばユーザU3がユーザIDU1、U2、U3およびU4に関連する接続を適応させるために認証を受けることが理解される。
このフレキシビリティは、SMSおよびeメールベースの方法で拡張することができることに留意しなければならない。
このようにして、このようなユーザU3は、例えば、このユーザU3の制御により一時的に自分の固定アクセスラインを共有しているホストユーザを認証するホストユーザIDに関連しているホストユーザインターネットプロトコルマルチメディアサブシステムプロファイルを生成することができる。
ユーザの1つ、例えばU3がネットワークにログオンし、インターネットプロトコルマルチメディアサービスを使用することを望む場合、その端末T3はサービスリクエストREQ(U3)を伝達することが可能である。このサービスリクエストREQ(U3)は、その他に、ユーザIDU3を備えている。
このサービスリクエストREQ(U3)は、固定アクセスラインL1を介してネットワークに設けられている。
認証ユニットAUのプロセッサPは、このサービスリクエストREQ(U3)に対して、ユーザIDU3、またこのサービスリクエストREQ(U3)がこれを介してアクセスネットワークによって受けられた第1の固定アクセスラインL1を判断することが可能である。これは、例えば、プロセッサPで、サービスリクエストREQ(U3)からユーザIDU3を検索することによって、また認証ユニットAUがこのように記述した実施により埋め込まれたアクセスノードANから、サービスリクエストREQ(U3)がこれを介して受けられたアクセスライン基準L1を受けることによって実現することができる。これは、図1に矢印(REQ(U3)、L1)で示されている。
ユーザU3が実際に所望のインターネットプロトコルマルチメディアサービスを使用するために認証されるかどうかを制御するため、プロセッサPはメモリMEM上で制御試験を実行する。プロセッサPは、サービスリクエストREQ(U3)がこれを介して伝達された第1の固定アクセスラインL1と、サービスの使用を行いたいユーザのユーザID、すなわちユーザIDU3に関連するインターネットプロトコルマルチメディアサブシステムプロファイルの間の接続がある場合に、メモリMEMの複数の接続を制御する。メモリMEM上のプロセッサPからのこの試験は、矢印(L1、U3)で示されている。
接続が存在しない場合、メモリMEMは負の制御信号を戻す可能性がある。接続が存在する場合、メモリMEMは正の制御信号を戻し、これは図1にP13で、すなわち、ユーザU3のインターネットプロトコルマルチメディアサブシステムプロファイルを参照して示されている。
メモリMEMの負の制御信号の受信の際、プロセッサPは負の認証を端末に向けて提供することができるが、またIMSで知られているISIM認証などの知られている認証方法に行われるように、ネットワーク内により深く認証リクエストを転送することができる。
メモリMEMの正の制御信号の受信の際、プロセッサPは所望のインターネットプロトコルマルチメディアサブシステムサービスに対してユーザIDU3用の認証制御信号を提供する。これは、図1に矢印(OK;P13)で示されている。
図2を参照すると、認証ユニットAUが分配方法により実施されている本発明の一実施形態が示されている。それによって、図2の電気通信システムは、第1の固定アクセスリンクL1’を介してアクセスノードAN’に結合されている、図1のような顧客構内設備EQUIP’を備えている。顧客構内設備EQUIP’は、ユーザU1’によって使用される端末T1’、およびユーザU2および/またはユーザU4によって使用される端末T2’、およびユーザU3’によって使用される端末T3’を備えている。
顧客構内設備EQUIP’は、第1の固定アクセスラインL1’を介してアクセスノードAN’に結合されている。アクセスノードAN’はまた、例えばL2’およびL16’などの他の固定アクセスリンクに結合されている。
この電気通信システムはさらに、アプリケーションサーバプロバイダASPおよびインターネットサービスプロバイダISPを備えている。
インターネットサービスプロバイダISPは、アクセスノードAN’およびアプリケーションサーバプロバイダASPに結合されている。
本発明による認証ユニットは、分配実施により、2つの部分AU21およびAU22を備えている。
第1の部分AU21はアクセスノードAN’内に含まれており、第2の部分AU22はアプリケーションサーバプロバイダに含まれている。それによって、メモリは第1のサブメモリMEM21および第2のサブメモリMEM22を備えており、プロセッサは第1のサブプロセッサP21および第2のサブプロセッサP22を備えている。第1のサブメモリMEM21および第1のサブプロセッサP21はアクセスノードAN’に含まれており、第2のサブメモリMEM22および第2のサブプロセッサP22はアプリケーションサーバプロバイダASPに含まれている。
第1のサブメモリMEM21は、複数の固定アクセスラインのそれぞれ1つ、例えばL1’と、1つの固定アクセスライン、例えばL1’に割り当てられた割当インターネットプロトコルアドレス、例えばIP@L1’の間に第1のサブ接続を記憶するように、認証ユニットAU21の第1の部分に含まれている。
固定アクセスラインへのインターネットアドレスのこの割当は必ずしも恒久的な割当ではないことを理解しなければならない。実際、固定アクセスラインへのインターネットアドレスの割当は普通、固定アクセスラインが動的に使用される時に提供される。したがって、インターネットプロトコルアドレスの割当は普通、一時的に提供されたアドレスである。
第2のサブメモリMEM22は、割当インターネットプロトコルアドレスと複数のインターネットプロトコルマルチメディアサブシステムプロファイルの間に第2のサブ接続を記憶するように、認証ユニットAU22の第2の部分に含まれている。このようなサブメモリMEM22はまた、図2に示すもののような他の固定アクセスラインに割り当てられ、図示したアクセスノードAN’に結合されたインターネットプロトコルアドレスに関連する接続を備えることができることに留意しなければならない。実際、このような第2のサブメモリMEM22はまた、図2に示す独自のAN’以外の他のアクセスノードを提供することができる。
第1のサブプロセッサP21は、第1の固定アクセスラインL1’と割当インターネットプロトコルアドレスIP@L1’の間に接続がある場合に第1のサブメモリMEM21を制御し、それによって割当インターネットプロトコルアドレスを提供するように、認証ユニットの第1の部分AU21内に含まれている。
第2のサブプロセッサP22は、割当インターネットプロトコルアドレスIP@L1’とユーザIDU3’に関連しているインターネットプロトコルマルチメディアサブシステムプロファイル、例えばP13(U3’)の間の接続がある場合に、第2のサブメモリM22を、さらに割当インターネットプロトコルアドレスに基づき制御するように、認証ユニットAU22の第2の部分に含まれている。
次に、ユーザの1つ、例えばU3’がネットワークにログオンし、インターネットプロトコルマルチメディアサービスを使用したい場合、その端末T3’はサービスリクエストREQ(U3’)を伝達することを可能にする。このサービスリクエストREQ(U3’)はその他に、ユーザIDU3’を備えている。
このサービスリクエストREQ(U3’)は、固定アクセスラインL1’を介してネットワークに提供される。
アクセスノードAN’によるサービスリクエストREQ(U3’)の受信の際、第2のサブプロセッサP21は第1のサブ制御ステップを実行する、すなわち、第1の固定アクセスラインL1’と割当インターネットプロトコルアドレスの間の接続がある場合に、第1のサブメモリMEM21を制御する。これは、図2に矢印(L1’)で示されている。この制御ステップが肯定である場合、第1の固定アクセスラインL1’の割当インターネットプロトコルアドレスIP@L1’が第1のサブプロセッサP21に提供される。
第1のサブプロセッサP21は、割当インターネットプロトコルアドレスIP@L1’およびユーザIDU3’をアクセスノードAN’に戻す。
この割当インターネットプロトコルアドレスIP@L1’およびユーザIDU3’は両方とも、任意選択でインターネットサービスプロバイダISPを介してアプリケーションサーバプロバイダASPに提供される。
検索した割当インターネットプロトコルアドレスIP@L1’およびユーザIDU3’に基づき、第2のサブ制御ステップが第2のサブプロセッサP22によって実行される、すなわち、割当インターネットプロトコルアドレスIP@L1’とユーザIDU3’に関連するインターネットプロトコルマルチメディアサブシステムプロファイルの間の接続がある場合に第2のサブメモリMEM22を制御する。これは、図2に(IP@L1’;U3’)で示されている。
このような接続が存在する場合、第2のサブメモリMEM22は正の制御信号(P13’)を戻す。それによって、第2のサブプロセッサP22は、所望のインターネットプロトコルマルチメディアサブシステムサービスにユーザIDU3’用の認証制御信号(OK;P13’)を提供する。これは、図2に矢印(OK;P13’)で示されている。
認証ユニットの集積に関する他の実施形態が可能であることに留意しなければならない。実際、認証ユニットの少なくとも一部、すなわち図1の認証ユニットAU、または図2の認証ユニットAU21の第1の部分、または図2の認証ユニットAU22の第2の部分のいずれかがインターネットサービスプロバイダISP内に集積される実施形態を適応させるために、小さな変更を上記記載に行うことができる。
本発明の実施形態は機能ブロックに関して上に記載していることに最終的に留意する。上記のこれらのブロックの機能的説明により、電子装置を設計する当業者には、どのようにこれらのブロックの実施形態をよく知られている電子構成部品で製造することができるのかが明らかであろう。機能ブロックの内容の詳細な構成はしたがって、提供しない。
本発明の原理を特定の装置に関して上に説明したが、この説明は単に例として行ったものであり、頭記の特許請求の範囲で規定したように、本発明の範囲を限定するものではないことを明らかに理解するものとする。
Claims (12)
- 顧客構内マルチメディア設備(EQUIP)の端末(T3)を使用し、ユーザID(U3)を有するユーザにインターネットプロトコルマルチメディアサービスを提供する電気通信システムで使用する認証方法であって、前記ユーザIDが第1の固定アクセスライン(L1)を共有する複数の第1のユーザID(U1、U2、U3、U4)の1つである場合に、
前記第1の固定アクセスライン(L1)を備えた複数の固定アクセスライン(L1、L2、・・・、L16)のそれぞれ1つに対する記憶手段(MEM)内に、前記1つの固定アクセスラインと複数のインターネットプロトコルマルチメディアサブシステムプロファイルの間の接続を予め定義し、それによって複数の接続を提供するステップにおいて、前記複数のインターネットプロトコルマルチメディアサブシステムプロファイルのそれぞれ1つが前記1つの固定アクセスラインを共有する複数のユーザIDの1つに関連しており、前記複数の接続がそれによって前記第1の固定アクセスライン(L1)と、前記複数の第1のユーザID(U1、U2、U3、U4)の1つにそれぞれ関連している第1の複数のインターネットプロトコルマルチメディアサブシステムプロファイル(P13)の間に複数の第1の接続を含んでいる、ステップと、
前記ユーザID(U3)を含むサービスリクエスト(REQ)を前記第1の固定アクセスライン(L1)を介して前記端末(T3)によって伝達するステップと、
前記サービスリクエスト(REQ)に対してプロセッサ(P)で前記ユーザID(U3)および前記第1の固定アクセスライン(L1)を判断するステップと、
前記第1の固定アクセスライン(L1)と前記ユーザID(U3)に関連しているインターネットプロトコルマルチメディアサブシステムプロファイル(P13)の間に接続がある場合、前記プロセッサ(P)で前記複数の接続を制御するステップと、
少なくとも1つのインターネットプロトコルマルチメディアサブシステムサービスに対して、前記ユーザID(U3)用認証(OK;P13)を前記プロセッサ(P)によって提供するステップとを含んでいることを特徴とする、認証方法。 - 前記接続を予め定義する前記ステップが、予め定義された安全なウェブインターフェイス、および前記ユーザID(U3)を介して前記複数の第1の接続を動的に提供するステップを含んでいることを特徴とする、請求項1に記載の認証方法。
- 前記複数の第1の接続が、前記ユーザの制御において、前記1つの固定アクセスラインを共有するホストユーザを特定するホストユーザIDに関連しているホストユーザインターネットプロトコルマルチメディアサブシステムプロファイルを含んでいることを特徴とする、請求項1に記載の認証方法。
- さらに、アクセスノード(AN)によって予め定義し、判断し、制御し、提供する前記ステップを実行することを特徴とする、請求項1に記載の認証方法。
- 前記予め定義するステップが、分配方法に従って実施され、認証方法が、
前記記憶手段の第1のサブ記憶手段(MEM21)内に、前記複数の固定アクセスラインの前記それぞれ1つと前記1つの固定アクセスラインに割り当てられている割当インターネットプロトコルアドレスの間で第1のサブ接続を予め定義する第1のサブステップと、
前記記憶手段の第2のサブ記憶手段(MEM22)内に、前記割当インターネットプロトコルアドレスと前記複数のインターネットプロトコルマルチメディアサブシステムプロファイルの間で第2のサブ接続を予め定義する第2のサブステップとを含み、
前記制御ステップが、前記第1の固定アクセスラインと前記割当インターネットプロトコルアドレスの間に接続がある場合に、前記第1のサブ記憶手段(MEM21)を制御し、それによって割当インターネットプロトコルアドレスを提供する第1のサブ制御ステップと、
前記割当インターネットプロトコルアドレスに基づき、前記割当インターネットプロトコルアドレスと前記ユーザIDに関連しているインターネットプロトコルマルチメディアサブシステムプロファイルの間に接続がある場合に、前記第2のサブ記憶手段(MEM22)を制御する第2のサブ制御ステップとを含んでいることを特徴とする、請求項1に記載の認証方法。 - アクセスノード(AN)によって前記第1のサブ制御ステップを実行するステップと、
アプリケーションサーバプロバイダ(ASP)によって前記第2のサブ制御ステップを実行するステップとをさらに特徴とする、請求項4に記載の認証方法。 - 顧客構内マルチメディア設備(EQUIP)の端末(T3)を使用し、ユーザID(U3)を有するユーザにインターネットプロトコルマルチメディアサブシステムサービスを提供する電気通信システムで使用する認証ユニット(AU)であって、前記ユーザIDが、認証ユニット(AU)がこれを介して前記顧客構内マルチメディア設備(EQUIP)に結合される第1の固定アクセスライン(L1)を共有する複数の第1のユーザID(U1、U2、U3、U4)の1つである場合に、
前記第1の固定アクセスライン(L1)を備えた複数の固定アクセスライン(L1、L2、・・・、L16)のそれぞれ1つに対して、前記1つの固定アクセスラインと複数のインターネットプロトコルマルチメディアサブシステムプロファイルの間の接続を予め定義し、それによって複数の接続を提供する記憶手段(MEM)において、前記複数のインターネットプロトコルマルチメディアサブシステムプロファイルのそれぞれ1つが前記1つの固定アクセスラインを共有する複数のユーザIDの1つに関連しており、前記記憶手段(MEM)がそれによって前記第1の固定アクセスライン(L1)と、前記複数の第1のユーザID(U1、U2、U3、U4)の1つにそれぞれ関連している第1の複数のインターネットプロトコルマルチメディアサブシステムプロファイル(P13)の間に複数の第1の接続を含んでいる、記憶手段と、
前記ユーザID(U3)を含み、前記第1の固定アクセスライン(L1)を介して前記端末(T3)によって伝達されるサービスリクエスト(REQ)に対して、前記ユーザID(U3)および前記第1の固定アクセスライン(L1)を判断し、前記第1の固定アクセスライン(L1)と前記ユーザID(U3)に関連しているインターネットプロトコルマルチメディアサブシステムプロファイル(P13)の間に接続がある場合に、前記複数の接続を制御し、それによって少なくとも1つのインターネットプロトコルマルチメディアサブシステムサービスに対して前記ユーザID(U3)用認証(OK;P13)を提供するプロセッサ(P)とを備えていることを特徴とする、認証ユニット(AU)。 - 前記複数の第1の接続が、予め定義された安全なウェブインターフェイスを介して前記ユーザID(U3)で前記ユーザによって動的に提供されることを特徴とする、請求項7に記載の認証ユニット(AU)。
- 前記第1の複数の接続が、前記ユーザ(U3)の制御において、前記1つの固定アクセスラインを共有するホストユーザを特定するホストユーザIDに関連しているホストユーザインターネットプロトコルマルチメディアサブシステムプロファイルを含んでいることを特徴とする、請求項7に記載の認証ユニット(AU)。
- 前記認証ユニット(AU)が、アクセスノード(AN)内に含まれることをさらに特徴とする、請求項7に記載の認証ユニット(AU)。
- 前記認証ユニット(AU)が分配方法に従って実施され、
前記記憶手段が、前記複数の固定アクセスラインの前記それぞれ1つと前記1つの固定アクセスラインに割り当てられている割当インターネットプロトコルアドレスの間に第1のサブ接続を記憶する第1のサブ記憶手段(MEM21)と、
前記割当インターネットプロトコルアドレスと前記複数のインターネットプロトコルマルチメディアサブシステムプロファイルの間に第2のサブ接続を記憶する第2のサブ記憶手段(MEM22)とを備え、
前記プロセッサが、前記第1の固定アクセスラインと前記割当インターネットプロトコルアドレスの間に接続がある場合に前記第1のサブ記憶手段(MEM21)を制御し、それによって前記割当インターネットプロトコルアドレスを提供する第1のサブプロセッサ(P21)と、
さらに前記割当インターネットプロトコルアドレスに基づき、前記割当インターネットプロトコルアドレスと前記ユーザIDに関連しているインターネットプロトコルマルチメディアサブシステムプロファイルの間に接続がある場合に、前記第2のサブ記憶手段(MEM22)を制御する第2のサブプロセッサ(P22)とを備えていることを特徴とする、請求項7に記載の認証ユニット(AU)。 - さらに、前記第1のサブ記憶手段(MEM21)および前記第1のサブプロセッサ(P21)がアクセスノード(AN)に含まれ、前記第2のサブ記憶手段(MEM22)および前記第2のサブプロセッサ(P22)がアプリケーションサーバプロバイダ(ASP)に含まれることを特徴とする、請求項11に記載の認証ユニット(AU)。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP05290741A EP1710982A1 (en) | 2005-04-04 | 2005-04-04 | Authentication method and authentication unit |
PCT/EP2006/003073 WO2006105938A1 (en) | 2005-04-04 | 2006-03-27 | Authentication method and authentication unit |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008535422A true JP2008535422A (ja) | 2008-08-28 |
Family
ID=34942066
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008504675A Withdrawn JP2008535422A (ja) | 2005-04-04 | 2006-03-27 | 認証方法および認証ユニット |
Country Status (11)
Country | Link |
---|---|
US (1) | US20060223501A1 (ja) |
EP (1) | EP1710982A1 (ja) |
JP (1) | JP2008535422A (ja) |
KR (1) | KR20070118294A (ja) |
CN (1) | CN1848850A (ja) |
AU (1) | AU2006232820A1 (ja) |
BR (1) | BRPI0607877A2 (ja) |
IL (1) | IL186262A0 (ja) |
MX (1) | MX2007012292A (ja) |
RU (1) | RU2007140992A (ja) |
WO (1) | WO2006105938A1 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7817607B1 (en) * | 2006-06-29 | 2010-10-19 | Sprint Communications Company L.P. | Private mobile IP connection in a shared-pool environment |
US9491599B2 (en) | 2006-06-29 | 2016-11-08 | At&T Mobility Ii Llc | Systems and methods for providing wireless account feature notifications to mobile communication devices |
US7606554B1 (en) * | 2006-06-29 | 2009-10-20 | At&T Mobility Ii Llc | Systems for providing wireless account feature notifications to mobile communication devices |
US9871828B2 (en) * | 2014-07-18 | 2018-01-16 | T-Mobile Usa, Inc. | Enhanced IMS services restriction and selection control for mobile devices roaming in foreign networks |
US10015671B2 (en) | 2016-01-19 | 2018-07-03 | T-Mobile Usa, Inc. | Network service access control |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7194554B1 (en) * | 1998-12-08 | 2007-03-20 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization authentication and accounting |
CA2388623C (en) * | 1999-10-22 | 2010-06-22 | Nomadix,Inc. | Systems and methods for redirecting users attempting to access a network site |
US6963579B2 (en) * | 2001-02-02 | 2005-11-08 | Kyocera Wireless Corp. | System and method for broadband roaming connectivity using DSL |
US20020162029A1 (en) * | 2001-04-25 | 2002-10-31 | Allen Keith Joseph | Method and system for broadband network access |
US7624266B2 (en) * | 2002-03-22 | 2009-11-24 | Nokia Corporation | System and method using temporary identity for authentication with session initiation protocol |
US20050021716A1 (en) * | 2003-05-15 | 2005-01-27 | Maria Adamczyk | Methods, systems and computer program products for authentication of session requests from service providers in communication networks |
GB0316080D0 (en) * | 2003-07-09 | 2003-08-13 | Nokia Corp | Service halt |
GB0400270D0 (en) * | 2004-01-07 | 2004-02-11 | Nokia Corp | A method of authorisation |
FI20040076A0 (fi) * | 2004-01-20 | 2004-01-20 | Nokia Corp | Autentikoinnit kommunikaatiojärjestelmässä |
-
2005
- 2005-04-04 EP EP05290741A patent/EP1710982A1/en not_active Withdrawn
-
2006
- 2006-03-27 BR BRPI0607877-0A patent/BRPI0607877A2/pt not_active Application Discontinuation
- 2006-03-27 RU RU2007140992/09A patent/RU2007140992A/ru not_active Application Discontinuation
- 2006-03-27 AU AU2006232820A patent/AU2006232820A1/en not_active Abandoned
- 2006-03-27 MX MX2007012292A patent/MX2007012292A/es not_active Application Discontinuation
- 2006-03-27 WO PCT/EP2006/003073 patent/WO2006105938A1/en not_active Application Discontinuation
- 2006-03-27 KR KR1020077025591A patent/KR20070118294A/ko not_active Application Discontinuation
- 2006-03-27 JP JP2008504675A patent/JP2008535422A/ja not_active Withdrawn
- 2006-04-03 US US11/395,179 patent/US20060223501A1/en not_active Abandoned
- 2006-04-04 CN CNA2006100720436A patent/CN1848850A/zh active Pending
-
2007
- 2007-09-25 IL IL186262A patent/IL186262A0/en unknown
Also Published As
Publication number | Publication date |
---|---|
RU2007140992A (ru) | 2009-05-20 |
US20060223501A1 (en) | 2006-10-05 |
IL186262A0 (en) | 2008-01-20 |
BRPI0607877A2 (pt) | 2009-10-20 |
AU2006232820A1 (en) | 2006-10-12 |
CN1848850A (zh) | 2006-10-18 |
KR20070118294A (ko) | 2007-12-14 |
WO2006105938A1 (en) | 2006-10-12 |
EP1710982A1 (en) | 2006-10-11 |
MX2007012292A (es) | 2007-10-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10972385B2 (en) | Methods and apparatus to provide a consumer services cloud in a communications network | |
US8139515B2 (en) | Device and method of managing data communications of a device in a network via a split tunnel mode connection | |
US9059841B2 (en) | Auto-discovery of a non-advertised public network address | |
JP4754964B2 (ja) | 無線網制御装置及び無線網制御システム | |
CN102077546B (zh) | UPnP设备之间的远程访问 | |
CN105991796B (zh) | 一种用于部署网络中的用户终端的配置服务的方法和系统 | |
CN102113405B (zh) | 针对个人网络服务配置的方法和针对个人网络服务配置的系统 | |
CN100433645C (zh) | 网络设备的管理方法及网络管理系统 | |
CN101345724A (zh) | 提供对因特网协议多媒体子系统(ims)服务和非ims服务的访问的多模式客户端网关 | |
US20130235822A1 (en) | Method and system for efficient management of a telecommunications network and the connection between the telecommunications network and a customer premises equipment | |
RU2387089C2 (ru) | Способ предоставления ресурсов с ограниченным доступом | |
EP2218214B1 (en) | Network location service | |
JP2008535422A (ja) | 認証方法および認証ユニット | |
KR101471316B1 (ko) | 디바이스 사이의 접속을 제어하는 방법 | |
US20100278174A1 (en) | Method and Arrangement for Network Roaming of Corporate Extension Identities | |
US20070254637A1 (en) | Device, Method and Computer Program Product Readable Medium for Establishing a Communication Session | |
CN107343285A (zh) | 一种管理设备及设备管理方法 | |
KR100824177B1 (ko) | 사설 ip주소를 이용한 인터넷기반의 응용서비스제공시스템 및 그 방법 | |
US8611510B2 (en) | System and method for guest voicemail box | |
CN107800569B (zh) | 一种基于ont的vpn快速接入系统和方法 | |
Martucci et al. | Identity deployment and management in wireless mesh networks | |
KR101258508B1 (ko) | 단말기 식별을 통한 공통 경로 접속 시스템 및 그 방법 | |
Miyoshi et al. | Network-based single sign-on architecture for IP-VPN | |
CN116471590A (zh) | 终端接入方法、装置及鉴权服务功能网元 | |
KR20020024077A (ko) | 동적 인터넷 프로토콜 주소 할당 방식을 사용하여 댁내에설치되어 있는 기기를 원격으로 접근/제어하는 장치, 방법및 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20090602 |