JP2009105739A - 通信システム、通信方法、認証情報管理サーバおよび小型基地局 - Google Patents

通信システム、通信方法、認証情報管理サーバおよび小型基地局 Download PDF

Info

Publication number
JP2009105739A
JP2009105739A JP2007276543A JP2007276543A JP2009105739A JP 2009105739 A JP2009105739 A JP 2009105739A JP 2007276543 A JP2007276543 A JP 2007276543A JP 2007276543 A JP2007276543 A JP 2007276543A JP 2009105739 A JP2009105739 A JP 2009105739A
Authority
JP
Japan
Prior art keywords
authentication
authentication information
server
network
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007276543A
Other languages
English (en)
Other versions
JP5167759B2 (ja
Inventor
Tetsuo Inoue
哲夫 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2007276543A priority Critical patent/JP5167759B2/ja
Priority to US12/256,622 priority patent/US20090117876A1/en
Publication of JP2009105739A publication Critical patent/JP2009105739A/ja
Application granted granted Critical
Publication of JP5167759B2 publication Critical patent/JP5167759B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • H04W84/045Public Land Mobile systems, e.g. cellular systems using private Base Stations, e.g. femto Base Stations, home Node B

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】 回線交換方式の通信端末を、小型基地局を介してマルチメディア通信網に接続する際に、通信端末の認証に必要な暗号化鍵の情報を小型基地局に取得させる通信システムの提供。
【解決手段】 小型基地局に設けられ、回線交換用通信端末から第1認証情報を取得しその第1認証情報を第2認証情報処理手段へ送信する第1認証処理手段と、第2認証情報処理手段に設けられ、小型基地局から得た第1認証情報に基づき第1認証情報処理手段から回線交換用通信端末の暗号化鍵情報を取得する暗号化鍵情報取得手段と、第2認証情報処理手段に設けられ、暗号化鍵情報を第2認証情報にマッピングする認証情報マッピング手段と、第2認証情報処理手段に設けられ、マッピングした情報を小型基地局へ送信するマッピング情報送信手段と、小型基地局に設けられ、マッピングした情報から暗号化鍵情報を抽出する暗号化鍵情報抽出手段とを含む。
【選択図】 図1

Description

本発明は、通信システム、通信方法、認証情報管理サーバおよび小型基地局に関し、特に第二世代CAVE(Cellular Authentication and Voice Encryption algorithm)認証情報をMMD(Multi Media Domain)網で定義するIMS−AKA(IMS Authentication and Key Agreement)認証情報にマッピングする通信システム、通信方法、認証情報管理サーバおよび小型基地局に関する。
図15は本発明に関連する通信システムの一例の構成図である。同図を参照すると、関連する通信システムの一例は、3GPP(3rd Generation Partnership Project) WCDMA(Wideband Code Division Multiple Access)方式および3GPP2 CDMA2000方式移動網101と、固定網102と、通信網たとえばインターネット104とを含んで構成される。
移動網101は旧認証方式の2G (Second Generation )移動機111と、旧認証方式の3G (Third Generation)移動機112と、新型認証方式の3G回線交換およびパケット交換両用移動機113と、回線交換網114と、パケット交換網115と、IMS(IP Multimedia Subsystem )およびMMD(Multi Media Domain )網116と、超小型基地局117とを含んでいる。
また、固定網102は旧型認証方式の移動機121と、固定IP(Internet Protocol) 電話機またはPC(Personal Computer) 122と、固定VoIP(Voice over Internet Protocol)網、PWLAN(Public Wireless Local Area Network)網、CATV(Community Antenna Television)網等の通信網123と、超小型基地局124とを含んでいる。
この2つの通信網101および102はインターネット104を介して接続されている。
移動網101内の2G 移動機111は超小型基地局117と回線交換網114とを介してIMSおよびMMD網116と接続され、3G 移動機112も同様に超小型基地局117と回線交換網114とを介してIMSおよびMMD網116と接続され、3G回線交換およびパケット交換両用移動機113は回線交換網114とパケット交換網115とを介してIMSおよびMMD網116と接続される。
固定網102内の移動機121は超小型基地局124を介してインターネット104と接続され、さらにインターネット104はIMSおよびMMD網116と接続される。固定IP電話機またはPC122は通信網123と接続される。
急速な発展を遂げている移動体通信の市場は、その技術的背景を見ると、現在主流の第二世代(2G)から第三世代(3G)へと移行しつつある。
第三世代の移動体通信網は、各国のキャリアーやベンダー或いは各国の標準化団体が参加した3Gパートナーシッププロジェクト(3GPP)としてその標準仕様を策定し、ITU(International Telecommunication Union) への標準仕様提言や参加各国の標準化団体へフィードバックしている。
第三世代の移動体通信網の仕様策定には世界的には大きく2つの団体と無線部の方式がある。
一つは欧州のGSM(Global System for Mobile communication)仕様から発展した3GPPのWCDMA方式、もう一つは北米圏および日本、中国、韓国など一部のアジアで採用されている3GPP2のCDMA2000方式である。
我が国においては、WCDMA方式を採用するキャリアとCDMA2000方式を採用するキャリアが混在している。
WCDMAもCDMA2000も、無線部の信号を処理する基地局とその網構成には用途に応じてそれぞれ大きく2種類の仕様が策定されている。一つは回線交換用、もう一つはパケット交換用である。
また、両方式ともそれぞれ第二世代移動機をサポートするバックワードコンパチビリティを確保できるように仕様策定されている。
ところで、第三世代の仕様策定が先行していた欧州勢の3GPPにおいて、パケット交換網からアクセス可能なVoIPサービスを含んだマルチメディアサービス(音声、映像、データ交換など)を実現する新たなサブシステムの仕様化がなされた。
これを3GPPでは、IMSと命名している。IMSの目指すところは、アクセス網の仕様に依存しない共通的なマルチメディアサービスの実現にある。
3GPP2においても同様の考えからIMS仕様の多くを3GPP2のパケット交換網に適合するように改良を加えながら仕様化している。これを3GPP2においては、MMDと命名している。
昨今、IMSにしろMMDにしろ、その根底のコンセプトである「アクセス網の仕様に依存しない共通的なマルチメディアサービスの実現」により、移動体通信事業のみならず固定通信事業においてもその仕様が注目され、次世代ネットワーク(NGN)の中核となるサブシステムとして、現在では固定通信事業の関連事業者、キャリア、標準化団体も交えて次世代の共通的なIMS仕様の策定が始まろうとしている。これを3GPP標準化団体においてCommom IMSと命名している。
そのような状況の下、無線電波カバー範囲が比較的狭い超小型の3G基地局(いわゆるFemto Cell)が登場し、標準仕様はこれからであるが、移動体通信キャリアの間では、固定と移動機の統合サービス(FMC)を補助する狙い、及び3G無線電波の不感地対策狙いとしてその利用を検討していると思われる。
また、現在主流の第二世代移動機や第三世代であるが回線交換機能しか持たない旧型の3G移動機に対してマルチメディア通信を可能にするアーキテクチャが3GPP/3GPP2標準化作業上で議論され始めており、Femto Cellの標準化がここにも絡んでくる可能性がある。
次に、本発明の前提条件となる、既存の回線交換サービスとパケット交換サービスからマルチメディアサービスへ移行していく3つの通信システムについて考える。
図16は、既存の回線交換サービスとパケット交換サービスからマルチメディアサービスへ移行していく3つの通信システムの説明図である。同図(A)は第1のMMD機能付き移動機を用いる場合、同図(B)は第2のMMD機能付き移動機を用いる場合、同図(C)は既存移動機を用いる場合をそれぞれ示している。
まず、同図(A)の第1のMMD機能付き移動機を用いる場合について説明する。
マルチメディアサービス専用の認証制御が可能な移動機脱着可能のカードモジュールISIM(IMS Subscriber Identification Module)131を搭載し、マルチメディアサービスを制御するMMD方式SIP(Session Initiation Protocol) 信号を理解する制御部を持った移動機141に対してマルチメディアサービスを実現する方式である。
この方式では、MMD網におけるアクセス制御で使用されるのは移動機141と全MMD網装置を通して一貫してIMS−AKA(IMS Authentication and Key Agreement)方式の認証情報のみである。
次に、同図(B)の第2のMMD機能付き移動機を用いる場合について説明する。
これは、既存の旧型CAVE(Cellular Authentication and Voice Encryption algorithm)認証制御が可能なR−UIM(Removal User Identification Module)133を搭載しマルチメディアサービスを制御するMMD方式SIP信号を理解する制御部134を持った移動機142に対してマルチメディアサービスを実現する方式である。
この方式では、移動機142の制御部134がR−UIM133とやり取りする旧式のCAVE認証情報と網側と無線電波上のSIP信号でやり取りするMMD層におけるIMS−AKA認証情報とを相互変換する必要がある。
次に、同図(C)の既存移動機を用いる場合について説明する。これは、現在CDMA2000移動体通信の大多数のユーザが使用している前述のようなマルチメディアサービスの機能を持たない既存移動機143に対して、小型基地局(Femot cell)144を経由させることでマルチメディアサービスを実現するものである。
この方式では、Femto Cell144が移動機143と無線電波でやり取りする旧式のCAVE認証情報と、Femto Cell144が網側とSIP信号でやり取りするMMD層におけるIMS−AKA認証情報とを相互変換する。
本発明は同図(C)の既存移動機を用いる場合を前提としている。
次に、本発明の前提となるMMD網規定のIMS−AKA認証シーケンス(図16(A)参照)について説明する。
IMS−AKA認証は、移動機141に搭載された認証カードモジュールISIM131に対して、MMD網内のAuCが生成するユーザ毎の認証ベクターAV(Authentication Vector)の乱数(RAND−aka)とトークン(AUTN)を認証チャレンジとして送信し、ISIMからの認証応答(RES)をMMD網に返信し認証ベクターAVの期待応答値(XRES)と比較することで実現している。
実際に認証応答値を比較するのはHSS経由でAuCの生成した認証ベクターAVを共有するS−CSCFの役割となっている。
また、IMS−AKA認証が成功すると、網側では認証ベクターAVの情報要素の一つであるIPSec用整合鍵(IK)と暗号鍵( CK) 情報をサーバS−CSCFからサーバP−CSCFに共有し、以降P−CSCFは移動機との間でこれらの鍵を使ってIPSec SA (Security Association)を確立する。
これにより、MMDへのアクセス制御を実施すると同時に、P−CSCFと移動機141の間の通信をよりセキュアにすることができる。
図17は関連する通信システムのIMS−AKA認証シーケンスの一例を示すシーケンス図である。IMS−AKA認証における具体的な信号の流れは次のようになる。
移動機141の電源ONやMMDサービスへのログインなどにより、移動機141のMMD制御部132よりP−CSCF151に対してMMD規定のSIP:REGISTER信号が送信される(ステップS1)。この信号には、認証情報が無い或いは古い情報によって計算された認証情報が設定されている。
次に、P−CSCF151から適切なS−CSCF152をMMD規定の方式で選択後、P−CSCF151からS−CSCF152へそのSIP:REGISTER信号が送信される(ステップS2)。
さらにS−CSCF152からHSS153に対してMMD規定のDiameter:MAR信号が送信される(ステップS3)。この信号にはユーザID等の必要な情報が設定されている。
HSS153は、該当ユーザID毎の認証ベクターAVを払い出す認証情報取得要求信号をAuC154に出す(ステップS4)。
AuC154はMMD規定の計算アルゴリズムによって、AVの各種パラメータを計算し(ステップS5)、HSS153に認証情報払出信号を返信する(ステップS6)。AVのパラメータはRAND−aka、AUTN、XRES、IK、CKの5個である。
HSS153はこの5個のパラメータをMMD規定のDiameter:MAA信号に設定し、MAR信号の応答信号としてDiameter:MAA信号をS−CSCF152に返信する(ステップS7)。
S−CSCF152は、AVの5個のパラメータの内、RAND−akaとAUTNのみをMMD規定のSIP:401信号に設定しSIP:REGISTER信号の応答信号としてP−CSCF151に返信する(ステップS8)。
P−CSCF151はS−CSCF152からのSIP:401信号を移動機141に対してMMD網規定のユーザインターフェースに変換し中継する(ステップS9)。これは移動機からのSIP:REGISTER信号に対する応答信号となる。
移動機141内のMMD制御部132は、P−CSCF151からのSIP:401信号をIMS−AKA認証のチャレンジ信号と見なし、信号内のRAND−akaとAUTNをISIMカード131に入力し(ステップS10)、認証応答結果を計算させる(ステップS10)。
ISIMカード131内では、MMD規定の計算アルゴリズムによって、入力されたRAND−aka、AUTN及びISIM内メモリに保持している情報を使って、網を逆認証し、網からのユーザ認証に対するレスポンス値(RES)の計算を行い(ステップS11)、P−CSCF151とのIPSec SA確立のための整合鍵( IK) および暗号鍵(CK)を生成し、移動機141内のMMD制御部132に応答する(ステップS12)。
移動機141内のMMD制御部132では、ISIM131から受領したレスポンス値(RES)をMMD網規定のSIP:REGISTER信号に設定し前回と同じP−CSCF151に送信する(ステップS13)。
P−CSCF151はこれをMMD網規定の手順によって前回と同じS−CSCF152に中継し(ステップS14)、S−CSCF152によって移動機141内ISIM131によって計算されたレスポンス値(RES)とAuC154によって計算されたAVの期待応答値(XRES)を比較する(ステップS15)。これによりユーザ認証を実施する。
認証が成功した場合、S−CSCF152は保持していたAVのIKとCKを、MMD規定のSIP:200 OK信号に設定し、SIP:REGISTER信号の応答としてP−CSCF151に返信する(ステップS16)。
P−CSCF151では、これをMMD規定のユーザインターフェースに変換し、SIP:REGISTER信号の応答としてSIP:200 OK信号を移動機141に中継する(ステップS17)。
この際に、S−CSCF152から受領したIK、CKは移動機141には中継せず、代わりにこれを使って移動機141との間にIPSec SAを確立し(ステップS18)、以降の移動機141との信号をIPSecで暗号化・復号化する。
移動機141もSIP:REGISTERに対するSIP:200 OK信号を受信後、ISIM131が計算したIK、CKを使ってP−CSCF151との間でIPSec SAを確立し、以降の信号をセキュアにする。
次に、MMD網と同様に、まず本発明の前提となるCDMA2000方式における回線交換網規定のCAVE認証シーケンスについて説明する。
図18は関連するグローバルチャレンジレスポンス認証の一例のシーケンス図、図19は関連するユニークチャレンジレスポンス認証の一例のシーケンス図である。
CAVE認証には、グローバルチャレンジレスポンス認証とユニークチャレンジレスポンス認証の二種類が存在し、用途に応じて使い分けている。
図18を参照すると、グローバルチャレンジレスポンス認証は通常の端末認証で使用され、マクロ基地局( BS) 162が独自に生成した32ビットの乱数( RAND) を設定したグローバルチャレンジ信号を無線区間に常時ブロードキャストする(ステップS21)。
各移動機161は、自ら保持している秘密情報171およびRANDを入力としてCAVEアルゴリズムを用いレスポンス値(AUTHR)を計算し(ステップS22)、受信したRAND値と共に位置登録、発信、着信時の応答信号など移動機161が網側に発する最初の信号に設定する。
網側でこの情報が中継され(ステップS23〜S25)、最終的にHLR/AC164が認証を実施する(ステップS26)。
SMEKEY(Signaling Message Encryption Key)は、グローバルチャレンジレスポンス認証の副産物として、移動機161とHLR/AC164双方で生成され、認証成功後の制御信号の暗号化に利用される。
PLCM(Private Long Code Mask)は、同様にグローバルチャレンジレスポンス認証の副産物として、移動機161とHLR/AC164双方で生成され、こちらは認証成功後の音声信号の暗号化に利用される。
一方、図19を参照すると、ユニークチャレンジレスポンス認証は、グローバルチャレンジレスポンス認証の失敗時や通話中認証を行う場合などに回線交換網163側から特定の移動機161に対してチャレンジ信号を出す(ステップS31〜32)。
この手順は位置登録や呼制御信号とは別の信号で実施される。チャレンジ信号にはHLR/AC164が生成した24ビットの乱数と特定の移動機Id( MIN)から抽出した8ビットを合わせたユニークチャレンジ専用の32ビットの乱数(RANDU)が設定される。
移動機161側では、自ら保持している秘密情報171およびRANDUを入力としてCAVEアルゴリズムを用いレスポンス値(AUTHU)を計算し、基地局(BS)162に対してAUTHUを設定した応答信号を返信する(ステップS33)。
CDMA2000方式の回線交換網規定のCAVE認証では、これらの認証アルゴリズムを搭載した認証カードモジュールUIMが移動機161に搭載され実施される。
次に、CAVE認証パラメータとIMS−AKA認証パラメータのマッピングを考える前に、それぞれ規定されているビット長について整理しておく。
CAVE認証で使われるパラメータは、RAND(32ビット)、AUTHR(18ビット)、RANDU(32ビット)、AUTHU(18ビット)、SMEKEY(64ビット)、PLCM(42ビット)である。
一方、IMS−AKA認証で使われるパラメータは、RAND−aka(128ビット)、AUTN(128ビット)、XRES/RES(32−128ビット)、IK(128ビット)、CK(128ビット)、K(128ビット)である。
上記を見て判るように、IMS−AKA認証のパラメータ長の方がCAVE認証パラメータ長よりも大きいことから、CAVE認証パラメータを入れ子式にIMS−AKA認証パラメータに含めることを検討していく。
次に、IMS−AKA認証ベクター(AV)の各パラメータの構成と計算アルゴリズムとの関係を見る。
MMD網のAuCが生成するAVは、次の5つのパラメータから構成される。
AV=(RAND−aka,AUTN,XRES,IK,CK) ・・・(1)
さらに、AUTNは次のような構成となっている。
AUTN=(SQN eor AK,AMF,MAC ) ・・・(2)
ここで、“eor”は排他的論理和(exclusive OR)を意味する。また、SQNはAuCと移動機内ISIMカードとの認証同期を取るためのシーケンス番号であり、AK(Anonymity Key )はIMS−AKA認証における秘密情報(K)とRAND−akaを入力として計算された認証鍵で、網と移動機間で送信される信号上に設定されるトークン(AUTN)内SQNの生データを隠す目的で使用される。
SQN eor AKはSQNとAKとの排他的論理和の結果であり、SQNやAKと同様に48ビット長となっている。AMF (Authentication Management Field)は16ビット長の認証アルゴリズムバージョンなどAuCとISIMカード間でのアルゴリズムに関する事前の取り決めなどに利用される。
MAC(Message Authentication Code )は、移動機が網を認証する(相互認証)際に利用する。MACはAuCが生成し、XMACは移動機側の期待値となる。
これらのIMS−AKA認証の各パラメータとアルゴリズムの関係を図式化すると図20および図21に示すようになる。一つは図20に示す関連する通信システムにおけるMMD網AuC内での計算アルゴリズムパラメータ関連図である。これは、MMD網のAuC側でのアルゴリズムに基づいている。
二つ目は図21に示す関連する通信システムにおける移動機ISIMカード内での計算アルゴリズムパラメータである。これは、移動機のISIMカード内でのアルゴリズムに基づいている。
なお、関連する通信システムの一例として、外部の基地局による一局型交換および認証により、システムの構成を容易にすることが可能なIP電話システムにおける構内交換方式および同方式における暗号化認証が開示されている(たとえば、特許文献1参照)。
特開2004−235697号公報
既存CAVE認証情報とIMS−AKA認証情報とのマッピングについては、図16(B)に示す第2のMMD機能付き移動機を用いる通信システムを前提として3GPP2標準化会合において提案されている。
後述するが、本発明は、この第2のMMD機能付き移動機を用いる通信システムをベースとして図16(C)に示す既存移動機を用いる通信システムを改良している。
まず、3GPP2標準化会合で提案の第2のMMD機能付き移動機を用いる通信システムの概要を説明する。図22は関連する第2のMMD機能付き移動機を用いる通信システムの処理手順の一例を示すシーケンス図である。
同図を参照すると、この方式では、移動機142からのMMD網116アクセス時に(ステップS41)、MMD116網のHSS153が回線交換網114のHLR155に対して該当の移動機142のCAVE認証情報の取得を要求し、HLR155はAC156が計算したCAVE認証情報をHSS153に返信する(ステップS42)。
HSS153はこのCAVE認証情報を使って別途AuC154に対してIMS−AKA認証情報を計算させ(ステップS43)、CAVE認証情報を含んだIMS−AKA認証情報をS−CSCF152に送信する。
MMD網116のS−CSCF152、P−CSCF151はそれぞれMMD網116所定のIMS−AKA認証をユーザ端末142に対して実施する(ステップS44)。
この際、移動機142内のMMD制御部134では、網側(P−CSCF151)から受信した認証チャレンジ信号内のIMS−AKA認証情報よりR−UIM133に計算させるCAVE認証応答の入力となるCAVE認証用の乱数を取出し、R−UIM133にこれを与え認証応答結果を計算させる(ステップS45)。
移動機142内のMMD制御部134は、R−UIM133から受領したCAVE認証応答結果を再利用してIMS−AKA認証応答結果を計算し、これをIMS−AKA認証のチャレンジ応答信号として網側(P−CSCF151)に送信する(ステップS46)。
その後は、P−CSCF151、S−CSCF152はそれぞれMMD網116所定のIMS−AKA認証手順を実施する。
次に前述の動作を図16(C)に示す既存移動機を用いる通信システムに置き換えてみる。図23は関連する既存移動機を用いる通信システムの処理手順の一例を示すシーケンス図である。
網側装置の動作としては第2のMMD機能付き移動機を用いる通信システムでの動作と変わりない。
既存移動機143を用いる通信システムでは、CAVE認証情報とIMS−AKA認証情報のマッピングを実施するのが小型基地局のFemto Cell144であるので、第2のMMD機能付き移動機を用いる通信システムにおける移動機142内のMMD制御部134との置かれた条件の違いを検討した。
違いとしては、第2の移動機142内のMMD制御部134では、第2の移動機142に脱着式のR−UIM133から必要な情報を十分に取得できる状況にあるが、既存移動機143を用いるFemto Cell144の場合には既存CDMA2000方式の無線信号で取得可能な範囲でしか既存移動機143内のR−UIM135から情報を得られない。
この無線信号では得られない情報として、R−UIM135がCAVE認証の応答結果を計算する過程で算出するSMEKEY( Signaling Message Encryption Key )とPLCM( Private Long Code Mask )がある。
SMEKEYは回線交換制御信号の暗号化に利用され、PLCMは回線交換音声信号の暗号化に利用されるため、その理由から盗聴の可能性のある無線区間にそれ自体が流通されることはない。
しかし、既存移動機143はこれらのSMEKEYやPLCMを使って信号を暗号化してくる可能性があり、Femto Cell144は無線信号を復号化しMMD網116に対してSIP信号に変換する必要があるので、Femto Cell144に対して網側から何らかの手段でSMEKEYとPLCMを伝達する必要が生じてくる。
一方で、第2のMMD機能付き移動機を用いる通信システムでも採用されているが、認証情報のマッピングの際に、IMS−AKA認証の応答結果に極力R−UIMからのCAVE認証応答結果を多く反映させることで、よりセキュアに出来ると考えられている。
第2のMMD機能付き移動機を用いる通信システムでは、CAVE認証応答結果それ自体であるAUTHR(Authentication Response )とSMEKEY、PLCMの三つのパラメータを利用してIMS−AKA認証の応答結果を計算していたが、既存移動機143を用いる通信システムでは前述したとおりSMEKEYとPLCMについては移動機143側からの取得は出来ないためAUTHRのみ利用可能である。
本発明が解決しようとする課題は、MMD網116内においては既存のIMS−AKA認証手順を継承しつつ、回線交換網114のAC156で生成するCAVE認証情報の内、特に認証乱数であるRAND、認証応答であるAUTHR、制御信号暗号化鍵であるSMEKEY、音声信号暗号化鍵であるPLCMを如何にFemto Cell144に伝達し、Femto Cell144が移動機143側から取得し得るCAVE認証応答結果AUTHRを如何にIMS−AKA認証応答結果に組入れ、IMS−AKA認証をよりセキュアにするかを考えた認証情報のマッピング方法である。
そこで本発明の目的は、回線交換方式の通信端末を、小型基地局を介してマルチメディア通信網に接続する際に、通信端末の認証に必要な暗号化鍵の情報を小型基地局に取得させることが可能な通信システム、通信方法、認証情報管理サーバおよび小型基地局を提供することにある。
前記課題を解決するために本発明による通信システムは、回線交換網に設けられ前記回線交換網内の通信端末の第1認証を行う第1認証情報処理手段と、マルチメディア通信網に設けられ前記マルチメディア通信網内の通信端末の第2認証を行う第2認証情報処理手段と、構内情報通信網に設けられ前記構内情報通信網内の通信端末と無線通信を行う小型基地局と、前記回線交換網或いは前記構内情報通信網を介して通信を行う回線交換用通信端末とを含む通信システムであって、前記小型基地局に設けられ、前記回線交換用通信端末から前記第1認証情報を取得しその第1認証情報を前記第2認証情報処理手段へ送信する第1認証処理手段と、前記第2認証情報処理手段に設けられ、前記小型基地局から得た前記第1認証に基づき前記第1認証情報処理手段から前記回線交換用通信端末の暗号化鍵情報を取得する暗号化鍵情報取得手段と、前記第2認証情報処理手段に設けられ、前記暗号化鍵情報を前記第2認証情報にマッピングする認証情報マッピング手段と、前記第2認証情報処理手段に設けられ、前記マッピングした情報を前記小型基地局へ送信するマッピング情報送信手段と、前記小型基地局に設けられ、前記マッピングした情報から前記暗号化鍵情報を抽出する暗号化鍵情報抽出手段とを含むことを特徴とする。
また、本発明による通信方法は、回線交換網に設けられ前記回線交換網内の通信端末の第1認証を行う第1認証情報処理装置と、マルチメディア通信網に設けられ前記マルチメディア通信網内の通信端末の第2認証を行う第2認証情報処理装置と、構内情報通信網に設けられ前記構内情報通信網内の通信端末と無線通信を行う小型基地局と、前記回線交換網或いは前記構内情報通信網を介して通信を行う回線交換用通信端末とを含む通信システムにおける通信方法であって、前記小型基地局に設けられ、前記回線交換用通信端末から前記第1認証情報を取得しその第1認証情報を前記第2認証情報処理装置へ送信する第1認証処理ステップと、前記第2認証情報処理装置に設けられ、前記小型基地局から得た前記第1認証に基づき前記第1認証情報処理装置から前記回線交換用通信端末の暗号化鍵情報を取得する暗号化鍵情報取得ステップと、前記第2認証情報処理装置に設けられ、前記暗号化鍵情報を前記第2認証情報にマッピングする認証情報マッピングステップと、前記第2認証情報処理装置に設けられ、前記マッピングした情報を前記小型基地局へ送信するマッピング情報送信ステップと、前記小型基地局に設けられ、前記マッピングした情報から前記暗号化鍵情報を抽出する暗号化鍵情報抽出ステップとを含むことを特徴とする。
また、本発明による認証情報管理サーバは、回線交換網に設けられ前記回線交換網内の通信端末の第1認証を行う第1認証情報処理手段と、マルチメディア通信網に設けられ前記マルチメディア通信網内の通信端末の第2認証を行う第2認証情報処理手段と、構内情報通信網に設けられ前記構内情報通信網内の通信端末と無線通信を行う小型基地局と、前記回線交換網或いは前記構内情報通信網を介して通信を行う回線交換用通信端末とを含む通信システムにおける認証情報管理サーバであって、前記認証情報管理サーバは前記第1および第2認証情報処理手段を含んで構成され、前記第2認証情報処理手段に設けられ、前記小型基地局から得た前記第1認証に基づき前記第1認証情報処理手段から前記回線交換用通信端末の暗号化鍵情報を取得する暗号化鍵情報取得手段と、前記第2認証情報処理手段に設けられ、前記暗号化鍵情報を前記第2認証情報にマッピングする認証情報マッピング手段と、前記第2認証情報処理手段に設けられ、前記マッピングした情報を前記小型基地局へ送信するマッピング情報送信手段とを含み、前記小型基地局にて前記マッピングした情報から前記暗号化鍵情報が抽出されることを特徴とする。
また、本発明による小型基地局は、回線交換網に設けられ前記回線交換網内の通信端末の第1認証を行う第1認証情報処理手段と、マルチメディア通信網に設けられ前記マルチメディア通信網内の通信端末の第2認証を行う第2認証情報処理手段と、構内情報通信網に設けられ前記構内情報通信網内の通信端末と無線通信を行う小型基地局と、前記回線交換網或いは前記構内情報通信網を介して通信を行う回線交換用通信端末とを含む通信システムにおける小型基地局であって、前記回線交換用通信端末から前記第1認証情報を取得しその第1認証情報を前記第2認証情報処理手段へ送信する第1認証処理手段と、マッピングした情報から暗号化鍵情報を抽出する暗号化鍵情報抽出手段とを含み、前記マッピングした情報とは、前記第2認証情報処理手段が受信した前記第1認証に基づき前記第1認証情報処理手段から前記回線交換用通信端末の暗号化鍵情報を取得し、その暗号化鍵情報を前記第2認証情報にマッピングして得られた情報であることを特徴とする。
本発明によれば、回線交換方式の通信端末を、小型基地局を介してマルチメディア通信網に接続する際に、通信端末の認証に必要な暗号化鍵の情報を小型基地局に取得させることで、無線区間においては既存の旧型CAVE認証の制御、MMD網に対してIMS−AKA認証の制御を小型基地局に同時に実行させることが可能となる。
まず、本発明の要旨を述べる。本発明はCDMA2000方式の移動体通信網において、比較的小型の基地局(小型基地局:Femto Cell)を用いて第二世代CAVE認証をサポートしている旧型の回線交換専用の移動機に対してMMD網へのアクセス制御をサポートするために、第二世代CAVE認証情報をMMD網で定義しているIMS−AKA認証情報に如何にマッピングするかを提案する。
本発明において主要な役割を担うのは、MMD網内の装置であり、マルチメディアサービスの加入者情報を管理しているサーバHSS(Home Subscriber Server)、サーバHSSと連動して動作或いはサーバHSSに内蔵して動作しマルチメディアサービスのアクセス制御を実施するために必要なIMS−AKA(IMS Authentication and Key Agreement)認証情報を加入者毎に生成し管理するサーバAuC(Authentication Center )、および既存のCDMA2000方式の移動機との無線電波を理解しこれをMMD網内の代理の呼およびセッション制御機能を持つサーバP−CSCF(Proxy Call Session Control Function )とSIP信号でやり取りする能力を持つ小型基地局(Femto Cell)である。
Femto Cellは無線電波のカバー範囲が半径10mから50m程度の小型のものから半径100m 程度のものまで存在する。
その用途としては、Femto Cellをブロードバンド環境の整備された家庭に置くことで移動機のユーザが自宅にいる場合はFemto Cellを経由して安価なブロードバンド通信を利用してマルチメディアサービスを提供し、外出している場合は公衆用基地局を利用した従来の通信を提供する、といった固定と移動の統合サービス:FMC (Fixed Mobile Convergence)を補助する利用方法が考えられる。
一方で、無線電波のカバー範囲が狭くかつ小型で安価であると予想されるためその特性を活かした3G無線電波の不感地帯における公衆用基地局としても利用できると期待されている。
尚、本発明においてその信号流通経路に登場する各装置を次のように定義する。
既存移動機をMS (Mobile Station)、移動機内に組込まれた或いは着脱式小型カードに契約ID情報や認証情報が保存され、CDMA2000移動体通信網へのアクセスの際に移動機MSと連動して旧式認証方式であるCAVE(Cellular Authentication and Voice Encryption algorithm)方式を使って認証情報を計算し管理するモジュールUIM(User Identification Module)、移動機MSに着脱式小型カードの場合はR−UIM(Removal UIM )、MMD網内において実際のVoIPやマルチメディアサービスを実施する呼およびセッション制御機能を持つサーバをS−CSCF(Serving Call Session Control Function )、CDMA2000における回線交換網内の装置であり旧型の回線交換専用の移動機に対する各種音声サービスの加入者情報と移動機の位置情報を管理しているサーバHLR(Home Location Register)、サーバHLRと連動して動作或いはサーバHLRに内臓して動作し旧式のCAVE認証情報を加入者毎に生成し管理するサーバAC(Authentication Center )とする。
尚、本発明では方式の違いから便宜上Authentication Center の略語をMMD網ではAuC、回線交換網ではACとして分けた。
以下、本発明の実施形態について添付図面を参照しながら説明する。
まず、本発明の第1実施形態について説明する。
図1は本発明に係る通信システムの第1実施形態の構成図である。
同図を参照すると、本発明に係る通信システムの第1実施形態は、CDMA2000方式の回線交換網1と、MMD網2と、LAN(Local Area Network)等の構内情報通信網4とを含んでいる。
回線交換網1はCAVE認証情報処理装置91を含んでいる。
MMD網2はIMS−AKA認証情報処理装置92を含んでいる。
構内情報通信網4は小型基地局(Femto Cell)41と、通信端末(MS)42とを含んでいる。
回線交換網1内のCAVE認証情報処理装置91とMMD網2内のIMS−AKA認証情報処理装置92は伝送線路93を介して接続されている。
MMD網2内のIMS−AKA認証情報処理装置92と構内情報通信網4のFemto Cell41は伝送線路94を介して接続されている。
構内情報通信網4内のFemto Cell41と通信端末42は無線95を介して接続されている。
通信端末42は、回線交換網1内の図示しない既存公衆用基地局或いは構内情報通信網4内のFemto Cell41との接続が可能なCDMA2000方式の通信端末である。
CAVE認証情報処理装置91はCAVE認証を行う機能を備えている。
IMS−AKA認証情報処理装置92はIMS−AKA認証を行う機能を備えている。
また、通信端末42はCAVE認証情報を保持している。
次に、第1実施形態の動作について説明する。図2は第1実施形態の動作を示すフローチャートである。
Femto Cell41は通信端末42からCAVE認証情報を取得する(ステップS101)。
Femto Cell41はそのCAVE認証情報を所定情報に変換し、IMS−AKA認証情報処理装置92に送信する(ステップS102)。
IMS−AKA認証情報処理装置92は、通信端末42に関するCAVE認証情報をCAVE認証情報処理装置91から取得する(ステップS103)。
このCAVE認証情報には、通信端末42から送信される暗号を解読するための暗号化鍵の情報が含まれている。
IMS−AKA認証情報処理装置92は、所定情報とCAVE認証情報処理装置91から得たCAVE認証情報とをIMS−AKA認証情報にマッピングする(ステップS104)。
IMS−AKA認証情報処理装置92は、マッピングしたIMS−AKA認証情報をFemto Cell41へ送信する(ステップS105)。
Femto Cell41は受信したIMS−AKA認証情報から、暗号化鍵の情報を抽出する(ステップS106)。
以上説明したように、本発明の第1実施形態によれば、回線交換方式の通信端末を、小型基地局を介してMMD網に接続する際に、通信端末の認証に必要な暗号化鍵の情報を小型基地局に取得させることで、無線区間においては既存の旧型CAVE認証の制御、MMDに対してはIMS−AKA認証の制御を小型基地局に同時に実行させることが可能となる。
次に、本発明の第2実施形態について説明する。
図3は本発明に係る通信システムの第2実施形態の構成図である。
同図を参照すると、本発明に係る通信システムの第2実施形態は、一例としてCDMA2000方式の回線交換網1と、MMD網2と、インターネット等のブロードバンド通信網3と、LAN(Local Area Network)等の構内情報通信網4とを含んでいる。
CDMA2000方式の回線交換網1は、サーバAC11と、サーバHLR12と、既存回線交換用交換機13と、既存公衆用基地局14と、通信端末(MS)15とを含んでいる。
また、通信端末15は制御部51と、R−UIM52とを含んでいる。
MMD網2は、サーバAuC21と、サーバHSS22と、サーバS−CSCF23と、サーバP−CSCF24とを含んでいる。
構内情報通信網4は小型基地局(Femto Cell)41と、通信端末(MS)42とを含んでいる。
また、通信端末42は制御部61と、R−UIM62とを含んでいる。
通信端末15および42の構成は同様であり、既存公衆用基地局14或いはFemto Cell)41との接続が可能なCDMA2000方式の通信端末である。
回線交換網1内の通信端末15は既存公衆用基地局14とCDMA2000方式の電波により無線通信を行う。また、通信端末15内の制御部51とR−UIM52との間でCAVE認証情報の処理が行われる。
既存公衆用基地局14は既存回線交換用交換機13とCDMA2000方式回線交換信号により通信を行う。
既存回線交換用交換機13はサーバHLR12とCDMA2000方式MAP信号により通信を行う。
サーバAC11とサーバHLR12との間でCAVE認証情報の処理が行われる。
MMD網2内のサーバAuC21とサーバHSS22との間でIMS−AKA認証情報の処理が行われる。
サーバHSS22はCDMA2000方式MAP信号により回線交換網1内のサーバHLR12と通信する。また、サーバHSS22はMMD方式Diameter信号によりサーバS―CSCF23と通信する。
サーバS―CSCF23はMMD方式SIP信号によりサーバP−CSCF24と通信する。
サーバP―CSCF24はブロードバンド通信網3を介し、MMD方式SIP信号により構内情報通信網4内のFemto Cell41と通信する。
Femto Cell41はCDMA2000方式無線電波により構内情報通信網4内の通信端末42と通信する。また、通信端末42内の制御部61とR−UIM62との間でCAVE認証情報の処理が行われる。
なお、本実施形態では構内情報通信網4として、家庭内に設けられる通信網或いは不感地帯を例に挙げている。
次に、Femto Cell41の一例の構成について説明する。図4はFemto Cell41の一例の構成図である。
同図を参照すると、Femto Cell41の一例は、送信部71と、受信部72と、記憶部73と、制御部74と、インタフェース75と、アンテナ76および77とを含んで構成される。
送信部71はアンテナ76を介してCDMA2000方式の電波により構内情報通信網4内の通信端末42に対し、信号を送信する。
受信部72はアンテナ77を介してCDMA2000方式の電波により構内情報通信網4内の通信端末42から信号を受信する。
記憶部73には通信に必要な情報が格納されている。
制御部74は送信部71、受信部72および記憶部73を制御する。また、制御部74は処理した情報を、インタフェース75および外部のブロードバンド通信網3を介してMMD網2内のサーバP−CSCF24へ送信する。
次に、HSS22およびAuC21の一例の構成について説明する。図5はHSS22およびAuC21の一例の構成図である。HSS22およびAuC21の構成は同様であるが、制御部84における処理がそれぞれ異なる。
同図を参照すると、HSS22およびAuC21の一例は、送信部81と、受信部82と、記憶部83と、制御部84と、出力端子85と、入力端子86とを含んで構成される。
送信部81は出力端子85を介して信号を送信する。
受信部82は入力端子86を介して信号を受信する。
記憶部83には通信に必要な情報が格納されている。
制御部84は送信部81、受信部82および記憶部83を制御する。
次に、HSS22の動作について説明する。送信部81は出力端子85を介してCDMA2000方式のMAP信号により回線交換網1内のサーバHLR12へ情報を送信し、受信部82は入力端子86を介してCDMA2000方式のMAP信号により回線交換網1内のサーバHLR12から送信された情報を受信する。
また、送信部81は出力端子85を介してMMD方式Diameter信号によりサーバS−CSCF23へ情報を送信し、受信部82は入力端子86を介してMMD方式Diameter信号によりサーバS−CSCF23から送信された情報を受信する。
また、送信部81および受信部82はサーバAuC21との通信も行う。
次に、サーバAuC21の動作について説明する。送信部81は出力端子85を介してIMS−AKA認証情報をサーバHSS22側の受信部82へ送信する。
また、受信部82は入力端子86を介してサーバHSS22側の送信部81からIMS−AKA認証情報を受信する。
以下、第2実施形態における信号シーケンスについて説明する。
本発明に係る通信システムの第2実施形態は、既存のCAVE認証機能を備えたR−UIMカードを搭載した既存移動機(MS with R−UIM)42と、小型基地局(Femto Cell)41と、MMD網規定のサーバP−CSCF24およびS−CSCF23と、サーバHSS/AuC22,21と、既存のCDMA2000方式回線交換網のHLR/AC12,11とを含んで構成される。
図6は本発明に係る通信システムの第2実施形態の信号シーケンス図である。まず、図18に示すCDMA2000方式回線交換網におけるグローバルチャレンジレスポンスと同様の動作をFemtoCellにおいても実施する。
Femto Cell41は32ビットの乱数(RAND)を含んだグローバルチャレンジ信号を無線区間にブロードキャストする(ステップS51)。
既存移動機およびR−UIM42(以下、既存移動機42と記す)はこれに対してRegister信号など網に発する最初の信号(回線交換位置登録信号)に、受信したRANDおよびRANDと秘密情報を入力としてCAVE認証アルゴリズムで計算したグローバルチャレンジレスポンス値(AUTHR)を設定する。このRegister信号をFemtoCellへ送信する(ステップS52)。
次に、Femto Cell41内でこれを図17に示すMMD網規定のSIP:REGISTER信号(図17のステップS1参照)に変換する。この際、Femto Cell41における既存移動機42からの受信信号は符号化されない。
或いは符号化されたとしてもFemto Cell41は古い認証情報にて復号化が可能、或いは既存移動機42からの位置登録信号(Register)に対して直ぐに失敗信号を返送し、暗号化されない位置登録信号を既存移動機42に再送信させる。
これらの手順の結果、Femto Cell41は既存移動機42からの該当リクエストをMMD網のP−CSCF24に対してSIPプロトコル1stREGISTER信号送信の判断を実施する(ステップS53)。
次に、Femto Cell41からP−CSCF24に対してSIPプロトコル1stREGISTER(SIP1stREGISTER)信号を送信する(ステップS54)。この信号は暗号化されていない。また、この信号にはFemto Cell41を経由したユーザアクセスであることを示す情報が含まれている。認証情報に関しては、設定しない。
P−CSCF24からHSS/AuU22,21に対して、該当ユーザのセッション制御可能な能力を持つS−CSCFアドレス情報を問い合わせるため、DiameterプロトコルUAR信号(DiameterUAR信号)を送信する(ステップS55)。
HSS/AuU22,21からDiameterプロトコルUAA信号(DiameterUAA信号)がP−CSCF24へ返送される(ステップS56)。この信号にはS−CSCFアドレス情報が格納されている。
P−CSCF24よりステップS54で受信したSIP1stREGISTER信号をステップS56で受信し、入手したS−CSCFアドレスに対して転送する(ステップS57)。
S−CSCF23からHSS/AuU22,21に対して、該当ユーザのIMS−AKA認証情報を問い合わせるために、DiameterプロトコルMAR信号(DiameterMAR信号)を送信する(ステップS58)。
仮に、P−CSCF24からSIP REGISTER信号内に認証情報が設定されていた場合、S−CSCF23が保存している認証情報と照合し、認証可能か否かを判断し、不可の場合(既存移動機42側は古い認証情報と判断)に本ステップを実施する。
また、この信号にはステップS54で設定されステップS57で引き継がれたFemto Cell41を経由したユーザアクセスであることを示す情報が含まれている。
図7は本発明のHSS/AuC22,21およびHLR/AC12,11間のシーケンスの一部(ステップS59からS65まで)を示す図である。
HSS/AuU22,21は、受信したMAR信号のユーザIDより、そのデータベースを索引し、Femto Cell41の利用契約が存在し、さらに受信したMAR信号内の、Femto Cell41を経由したユーザアクセスであることを示す情報を確認すると、該当ユーザの回線交換専用のCAVE認証情報をHLR/AC12,11に問い合わせるために、既存のMAPプロトコルAUTHREQ信号(MAP AUTHREQ信号)を送信する(ステップS59)。
この信号には、“all 0”等の無効なグローバルチャレンジ・レスポンスのための乱数(RAND)と応答値(AUTHR)が設定される。
HLR/AC12,11は、受信したAUTHREQ信号内の認証情報(RANDとAUTHR)が“all 0”で無効と判断し(invalid value)、既存の手順通りにユニークチャレンジレスポンス手順(Unique Challenge−Responseinvoke)を実施する。
また、これに先立ちHLR/AC12,11は、ステップS59のAUTHREQ信号に対しては、適切なエラー応答(MAP authreq(failure))をHSS/AuU22,21へ返す(ステップS60)。
これに対し、HLR/AC12,11はHSS/AuU22,21に対して、該当ユーザへのユニークチャレンジレスポンス認証要求のためのMAPプロトコルAUTHDIR(MAP AUTHDIR)信号を」送信する(ステップS61)。
この信号には、モバイルユーザIDであるMIN,HLR/AC12,11がステップS60にて新たに生成した乱数(RANDU)と期待応答値(AUTHU)が含まれる。
HSS/AuU22,21はステップS61への適切な応答(MAP authdir)を返答し(ステップS62)、オプションである既存移動機42とFemto Cell41間の信号暗号化のための鍵情報SMEKEYとPLCMを求めるために、ステップS61で受信したユニークチャレンジレスポンス用の乱数(RANDU)と期待応答値(AUTHU)を、グローバルチャレンジ用の乱数(RAND)と期待応答値(AUTHU)としてコピーする(ステップS63)。
次に、HSS/AuU22,21は、これが設定されたMAPプロトコルAUTHREQ(MAPプロトコルAUTHREQ)信号をHLR/AC12,11に対して送信する(ステップS64)。
HLR/AC12,11は、ステップS64で受信したグローバルチャレンジレスポンス用の認証情報(RAND、AUTHR)の正当性(Valid value)を判断し(ステップS60およびS61で自身が生成したものであるため当然であるが)、オペレータポリシーでオプションとなっている既存移動機42とFemto Cell41間での信号の暗号化のための鍵情報SMEKEYとPLCMを、受信したRANDとAUTHRおよび既存のアルゴリズムを使用して生成する。
HLR/AC12,11は、ステップS64に対する適切な応答信号をHSS/AuU22,21に返信する(ステップS65)。
これには、前述のグローバルチャレンジレスポンス用の認証情報(RAND、AUTHR)の正当性(Valid value)の判断後に求めたSMEKEYとPLCMが設定されている。なお、これらはオプションであるため、暗号化を実施しない場合は情報要素を設定しないか、或いは“all 0”が設定される。これは既存の規定どおりの動作である。
HSS/AuC22,21は、ステップS62およびS63で入手した回線交換用のCAVE認証情報要素であるRANDとAUTHR、及びステップS65で入手したSMEKEYとPLCMを使って、本発明のCAVE認証情報とIMS−AKA認証情報とのマッピング方法に従って、まずIMS−AKA認証情報の要素であるRAND−akaとSQNを求める。
次に、このRAND−akaとSQNを使って、IMS−AKA認証規定の手順に従って、その他のIMS−AKA認証情報であるAUTN、XRES、CK、IKを求める。ここで求めたRAND−aka、AUTN、XRES、CK、IKの5つのパラメータを、該当ユーザの該当SIP1st REGISTERリクエスト有効期間におけるIMS−AKA認証情報ベクターセット(AV)としてユーザ毎にそのデータベースに保存する(ステップS66)。
ステップS58のDiameterプロトコルMAR信号に対する応答信号として、HSS/AuC22,21はS−CSCF23に対してDiameterプロトコルMAA信号を送信する(ステップS67)。
これには、ステップS66で求めたAVが設定され、ユーザIDと括り付けられて、S−CSCF23のデータベースにも保存される。
Diameter MAA信号でAVが設定された成功応答を受信するとS−CSCF23は、ステップS57に対する応答信号としてSIPプロトコル401応答をP−CSCF24に返信する(ステップS68)。
これには、ステップS67で受信したAVの5つのパラメータの内のRAND−akaとAUTNのみ設定される。
ステップS54に対する応答信号として、ステップS68で受信したSIP 401応答は、P−CSCF24からFemto Cell41に転送される(ステップS69)。
Femto Cell41はステップS69で受信した信号内のRAND―akaより、本発明の認証情報マッピング方法に従ってCAVE認証用の乱数(RAND)を取り出し(ステップS70)、これを無線信号区間にグローバルチャレンジ信号としてブロードキャストする(ステップS71)。
新しいRAND値を含むグローバルチャレンジ信号を受信した既存移動機42は、自身に搭載しているUIMにこれを指示し、CAVE認証規定のアルゴリズムでグローバルチャレンジに対する応答コード(AUTHR)を計算させる。
この際、オペレータ規定のオプションで無線区間の信号を暗号化する場合は、UIM内でSMEKEYとPLCMも同時に計算され、既存移動機42内のメモリにこの情報は保存され、ステップS71で受信したRANDとUIM内で計算されたAUTHRのみが位置登録信号(Register)に設定されFemto Cell41に向けて送信される(ステップS72)。
二度目の位置登録信号(Register)を移動機より受信したFemto Cell41は、本発明の認証情報のマッピング方法を使用して、ステップS69で受信したRAND―akaとAUTNを使い、ステップS72で受信したAUTHRの値でRAND―akaを上書き後に、既存IMS―AKA認証規定の方法にて独自にIMS―AKAの応答コード(RES)およびCK、IKを計算する(ステップS73)。
次に、Femto Cell41は、MMD網規定の方法にてステップS73で計算したRES値をSIPプロトコル2nd REGISTER信号に設定し、これをP―CSCF24に送信する(ステップS74)。
P―CSCF24からHSS/AuC22,21に対して、該当ユーザのセッション制御可能な能力を持つS―CSCFアドレス情報を問合せるため、DiameterプロトコルUAR信号を送信する(ステップS75)。
HSS/AuC22,21よりDiameterプロトコルUAA信号がP―CSCF24ni返信される(ステップS76)。
これには、S―CSCFアドレス情報が格納されている。このS―CSCFアドレス情報には、ステップS58でHSS/AuC22,21が記憶していたS―CSCF23と同じアドレス情報を設定する。
P―CSCF24よりステップS74で受信したSIP 1st REGISTER信号をステップS76で受信し入手したS―CSCF23アドレスに対して転送する(ステップS77)。
S―CSCF23において、MMD網規定のIMS―AKA認証が実施される(ステップS78)。
これは、ステップS67でHSS/AuC22,21から受信した信号内のAVを予め覚えており、AV内の期待応答値(XRES)とステップS77で受信した信号内のユーザ端末からの応答地(RES)を突合することにより実施される。
認証が成功すると、S―CSCF23はまず認証が成功したことをHSS/AuC22,21に報告し記憶させ(push)、且つHSS/AuC22,21がそのデータベースに保持するユーザの契約情報をダウンロード(Pull)する目的で、DiameterプロトコルのSAR信号をHSS/AuC22,21に送信する(ステップS79)。
HSS/AuC22,21は、自身のデータベース上の該当ユーザの状態を“位置登録認証済み”に更新し、関連のサーバ情報(S―CSCF23のアドレス情報)を正式に保存し、その後該当ユーザの契約情報を既存MMD網規定の方法で編集し、これをステップS79に対する応答信号としてDiameter SAA信号をS―CSCF23に送信する(ステップS80)。
HSS/AuC22,21は、ステップS80に引続き、該当ユーザが小型基地局経由でのMMD網アクセスの場合に、既存回線交換網におけるCAVE認証の結果報告として、MAPプロトコルASREPORT信号をHLR/AC12,11に送信する(ステップS81)。
HLR/AC12,11は、これに対して適切な応答信号をHSS/AuC22,21に返す(ステップS82)。
ステップS80の信号を受信したS―CSCF23は、信号内のユーザ契約情報を記憶するとともに、ステップS77に対する応答信号としてSIPプロトコル200 OK信号をP―CSCF24に返信する(ステップS83)。
この信号には、既存IMS―AKA認証の手順に従って、ステップS67によってHSS/AuC22,21より受信したAVを予め記憶していたが、この内のIKとCKが設定される。
P―CSCF24は、SIP 2nd REGISTERに対するステップS83のSIP 200 OK信号(成功応答)を受信すると、ステップS74に対する応答信号としてSIP 200 OK信号を該当のFemto Cell41に返信する(ステップS84)。
この信号にはIKとCKは設定されない。さらにその後、既存MMD網規定の手順に従って、このIKとCKをその計算時の入力鍵としたIPSec SA(Security Association) の確立をユーザ端末サイド(本発明の場合はFemto Cell41)と確立すべく動作する。
Femto Cell41側でもSIP 200 OK信号を受信後に同様の目的で規定の動作を実施する。以降のFemto Cell41とP―CSCF24間の信号のやり取りは、この確立したIPSec SA上で流れ、信号の改ざん防止、成りすまし防止、秘匿などセキュア通信が可能となる。
次に、本発明のCAVE認証情報とIMS−AKA認証情報のマッピング方法について説明する。図8は本発明に係る通信システムにおけるMMD網HSS/AuC内でのマッピング方法の一例を示す図、図9は本発明に係る通信システムにおけるFemto Cellでのマッピング方法の一例を示す図である。図8はMMD網のAuC側のマッピングを示し、図9はFemto Cell内でのマッピングを示している。
以下、図8および図9を参照しながら本発明に係る通信システムの動作の一例について説明する。RAND−akaおよびSQNは次の(3)式および(4)式で示される。
RAND−aka=RAND||AUTHR||SMEKEY||PLCM higher 14bits ・・・(3)
SQN=PLCM lower 28bits||SEQ ・・・(4)
上記(3)式および(4)式で、左辺はIMS−AKA認証情報のパラメータを表しており、右辺はCAVE認証情報のパラメータを表している。ただし、(4)式のSEQは、IMS−AKA認証で規定されている本来のSQNの目的として使用が可能な残りのビットを意味しており、オペレ−タポリシ−でその使用方法について定義できるが、本発明ではこれ以上言及しない。
また、“||”の記号の意味は、右辺における各パラメータの規定のビット長のまま繋ぎ合わせることを意味している。
本発明は、MMD網のHSS/AuC22,21において上記マッピングをしたRAND−akaとSQNを用いてIMS−AKA認証の網側で規定された残りのパラメータ、つまりAUTN、XRES、IK、CKを規定のアルゴリズムで完成させることと(図6のステップS66)、Femto Cell41においてMMD網から受信するIMS−AKA認証チャレンジのRAND−akaとAUTNを用いてCAVE認証に必要な情報を抽出し既存移動機との間で規定のCAVE認証を実施し(図6のステップS70)、その結果であるAUTHRと受信済みのRAND−akaおよびAUTNを用いてIMS−AKA認証のユーザ側で規定のパラメータ、つまりXMAC、RES、CK、IKを規定のアルゴリズムで計算させることである(図6のステップS73)。
次に、本発明における認証情報のマッピング方法について、その理由を説明する。本発明に関連する図20および図21を見て判るように、各出力パラメータの計算には必ずRAND−akaとMMD認証における秘密情報(K)が入力として存在する。このKについてはR−UIMカードを搭載した旧式のCAVE認証移動機側には持ち得ない情報の為、ユーザ認証としては利用できない。
本発明におけるケースでは、Kについては、all “0”などの固定値、或いは事業者マターとして扱ってよいと考えられるためここではこれ以上言及しない。
また、本発明に係る図6を見て判るようにFemto Cell41まで伝達されるIMS−AKA認証における入力としてのチャレンジ情報はRAND−akaとAUTNである(図6のステップS69参照)。
このことにより、RAND−aka(128ビット)にCAVE認証でFemto Cell41が必要とする最低限の情報をマッピングし、AUTNには認証そのものには関連しないがFemto Cell41が認証成功後に必要とする情報をマッピングする。
Femto Cell41が移動機42との無線区間におけるCAVE認証におけるセキュリティを保証するのに必要な情報は、認証乱数RAND(32bits)、認証コードAUTHR(18bits)、およびSMEKEY(64bits)とPLCM( 42bits) であり、合計で156bits必要だが、IMS−AKA認証のRAND−aka(128bits)にこれらを設定する場合、28bits不足する。
また、2GR−UIMを搭載した実際の既存移動機42からの認証レスポンス信号に設定される認証コードAUTHR(18bits)の値をFemto cellにおいてIMS−AKA認証におけるレスポンス値(RES)に反映させよりセキュアにしたい(図6のステップS73参照)。
従って、RAND−aka(128bits)へのマッピングには、2GR−UIMベースCAVE認証の認証乱数RAND(32bits)および認証コードAUTHR(18bits)は必須とし、残り78bitsにSMEKEY(64bits)とPLCMの上位14bitsをマッピングすることとする(図8(A)参照)。
PLCMの不足分28bitsについては、P−CSCF24からFemto cell411に認証チャレンジで流通される2つのパラメータRAND−akaとAUTNのうちのAUTNにマッピングする(図8(B)参照)。
一方、P−CSCF24からRAND−akaおよびAUTNを受信したFemto cell411は、RAND−akaから2GR−UIMベ−スCAVE認証に必要な認証乱数RANDだけでなく、SMEKEYおよびPLCMの上位14ビットを抽出し(図9(A)参照)、AUTNからSQNに含まれるPLCMの下位28ビットを抽出する(図9(B)参照)。そして、このRANDを用いて無線区間において2GR−UIMベ−スCAVE認証を実施後に、これらSMEKEYおよびPLCMを用いて、移動機42からの暗号化された信号を解読する(図6のステップS73参照)。
以上説明したように、本発明の第2実施形態によれば、HSS/AuC22,21がHLR/AC12,11から2GR−UIMベ−スCAVE認証に必要な認証乱数RANDと認証コ−ドAUTHR,および移動機42からの暗号化された受信信号の解読に必要なSMEKEYおよびPLCMを受取り、RAND(32bits)、AUTHRR(18bits)、SMEKEY(64ビット)およびPLCMの上位14ビットをFemto cell411へ送信するRAND−aka(128ビット)内に組み込み、かつPLCMの下位28ビットをFemto cell411へ送信するAUTNに含まれるSQN(48ビットない)に組み込むことにより、Femto cell411はRAND、SMEKEYおよびPLCMを取得することが可能となる。これにより、無線区間においては既存の旧型CAVE認証の制御、MMD網に対しては、IMS−AKA認証の制御をFemto cellで同時に実行することが可能となる。
次に、本発明の第3実施形態について説明する。第3実施形態は第2世代R−UIMカードを用いたフェムトセルにおける認証方式に関するものである。
第2世代R−UIMカードを備えた既存の携帯端末にてフェムトセルを通じてIMSサービスに接続するためのIMSセキュリティについて説明する。加えて、第2世代R−UIM基準のセキュリティとIMSセキュリティ間においてセキュリティパラメータをどのようにマッピングするかを提案する。
ここではCAVE認証を基本とする第2世代携帯端末のIMSセキュリティについて説明している3GPP2標準化団体に提案の文献X00−20070723−036Aを参照する。これによると、CAVE認証を基本とした第2世代R−UIMを備えた移動機は、そのME機能(移動機制御部)が改良されるので、この文献による提案にて本目的であるIMSセキュリティは達成されると思われる。
本発明で主に議論したいのは、次の条件下でのIMSセキュリティについてである。
1)第2世代R−UIMを備えた携帯機器の機能はME機能(移動機制御部)についても改良されない。つまり既存の携帯端末のままである。
2)フェムトセルの役割はCDMA2000方式回線交換網の無線信号をMMD網のSIP信号に、もしくはその逆に変換し、伝送することである。
加えて、家庭内のようにセキュリティ上十分に信頼できないIP環境においてフェムトセルを設置する状況を想定する。
3)CDMA2000方式回線交換網で規定されているCAVE認証の計算で使用する利用者のA−Key(Authentication Key)とSSD(Shared Secret Data)はフェムトセルへは送信されない。このような状況では第2世代R−UIM基準のセキュリティパラメータはフェムトセルでは計算できない。SMEKEYとPLCMもまた同様にフェムトセルでは計算できないパラメータに分類される。これらはCDMA2000方式回線交換網で規定されている無線信号の制御信号と音声信号の片方もしくは両方を暗号化したり解読したりする鍵として用いられる。このことはつまりSMEKEYとPLCMは携帯端末から無線部を通して伝送されることは決してないことを意味する。フェムトセルはSMEKEYとPLCMをネットワーク側から取得する必要がある。
図10はAV生成を行う際のAuCでの認証パラメータ間の関係を示す。図11はSIMカードにおける認証パラメータ間の関係と相互認証機能との関係である。これらの図は3GPP標準化団体で規定の標準規格書に基づいている。その規格書は3GPP TS33.102である。
図10と図11を見て明らかなことは、全ての関数(計算アルゴリズムの各関数)に対してRAND−akaとKが入力パラメータとして使用されてていることである。このうちIMSセキュリティのKに関しては、CAVE認証を基本とした第2世代のR−UIMを有する既存の携帯機器はKについての情報を持っていないということが言える。このような状況ではKをユーザ認証に用いることはできない。Kは未使用として固定的に0として計算もしくはオペレータの決定に従った使用方法で設定され計算されるかもしれない。しかし本特許ではKに関してはこれ以上言及しない。全ての関数(計算アルゴリズムの各関数)に対して入力パラメータとして使用されている他方の(K以外の残りの)RAND−aka(128ビット)はネットワーク側からフェムトセルへの必要な情報を伝達するのに使用することが可能である。この情報はフェムトセルで設定したり生成したりすることのないデータを含むものであり、少なくとも第2世代R−UIMのユーザ認証を行うためには必要である。
これらフェムトセルにおいて必要な第2世代R−UIMにおけるCAVE認証情報の全ビット長は156ビットであり、それぞれのパラメータとそのビット長は次のようなものである。RANDが32ビット、AUTHRが18ビット、SMEKEYが64ビット、PLCMが42ビットである。
IMSセキュリティパラメータであるRAND−akaのビット長は128ビットであるため、これらフェムトセルにおいて必要な情報をRAND−akaに設定して伝送するには不十分である。ここで本発明で特筆したいこととして、少なくともRANDとAUTHRはRAND−akaに含めフェムトセルに伝送すべきであるということである。というのもRANDとAUTHRの組は第2世代R−UIM基準のセキュリティ手順における認証チャレンジ値と応答値であり、且つRAND−akaの値はIMSセキュリティ計算の全ての関数によってその入力パラメータの一つとして取り扱われるため、こうすることでフェムトセルにおいてCAVE認証実施に必要な情報が得られるとともにIMS−AKA認証の過程においてユーザ端末の代理端末として十分な情報をその計算関数の入力に含めることができるからである。
それゆえ、次のように第2世代R−UIM基準からIMS基準へのセキュリティパラメータのマッピングを提案する。
提案(1)式
RAND−aka: = RAND || AUTHR || SMEKEY || PLCM higher 14bits
提案(2)式
SQN := PLCM lower 28bits || SEQ
ここで、提案(2)式について、少し説明する。IMS−AKA認証におけるユーザ側へ送信される認証チャレンジ信号の2つのパラメータRAND−akaとAUTNの内、片方のRAND−akaについては前記の提案(1)式でその全てのビット使用方法を本発明で提案している。他方AUTNについては図10からAUTNの構成がわかるが、これは128ビットであり、次のようなものである。
AUTN := SQN eor AK || AMF || MAC
AUTN内の各ビットの内、MAC(64ビット)はAuCといったネットワーク側とフェムトセルなどのユーザ側の両方から計算され、出力されるIMS−AKA認証パラメータの一つである。そのためMACフィールドをCAVE認証パラメータであるPLCMの下位28ビットとして使用することはできない。AMF(16ビット)はネットワークとユーザ端末(この場合はフェムトセルである)間におけるアルゴリズムバージョンとして運営者の使用方法に従い、用いられるかもしれない。ゆえに、AMFは変更しないほうが望ましい。
そのため、本発明ではSQN(全部で48ビット)の一部を利用することを提案する。提案(2)式においてSEQは本来のSQNとして利用可能な残り20ビットである。フェムトセルに対し、SEQを使用するかしないかは運営者の方針とする。
図12は本発明の第3実施形態による信号シーケンスの例である。
「SIP 1st REGISTER」を処理するS−CSCFからDiameter MAR信号が届くと、HSS/AuCはユーザがフェムトセルに加入し、フェムトセルを通して要求が伝達されたことを知り、関連するHLR/ACに対し第2世代R−UIM基準の認証情報を尋ねる。HLR/ACからの応答を受けると、HSS/AuCはRAND−akaとSQNを提案した規則で構成し、その後これを使ってIMS−AKAのためのAV生成を行う。
「SIP 1st REGISTER」に対するSIP401応答信号がP−CSCFから届くと、フェムトセルはWWW−Authenticate header中のRAND−akaから抽出されたRANDの値を得る。さらにこれを無線区間に認証チャレンジ信号として送信する。
認証応答情報が設定された無線区間の信号が届くと、フェムトセルは前記P−CSCFから得られたRAND−akaのAUTHRフィールドを携帯端末の無線信号から得られたAUTHR値で書き換える。そして、提案した規則によりIMS−AKA認証のレスポンス値としてのRESおよびIKとCKを算出する。
図13は提案するHSS/AuCにおけるAV生成の論理である。
図14は提案するフェムトセルにおけるAV論理である。
以上説明したように、本発明の第3実施形態によれば、回線交換方式の通信端末を、小型基地局を介してMMD網に接続する際に、通信端末の認証に必要な暗号化鍵等の情報を小型基地局に取得させることで、無線区間においては既存の旧型CAVE認証の制御、MMD網に対してはIMS−AKA認証の制御を小型基地局に同時に実行させることが可能となる。
本発明に係る通信システムの一実施形態の構成図である。 第1実施形態の動作を示すフローチャートである。 本発明に係る通信システムの第2実施形態の構成図である。 Femto Cell41の一例の構成図である。 HSS22およびAuC21の一例の構成図である。 本発明に係る通信システムの第2実施形態の信号シーケンス図である。 本発明のHSS/AuC22,21およびHLR/AC12,11間のシーケンスの一部(ステップS59からS64まで)を示す図である。 本発明に係る通信システムにおけるMMD網HSS/AuC内でのマッピング方法の一例を示す図である。 本発明に係る通信システムにおけるFemto Cellでのマッピング方法の一例を示す図である。 AV生成を行う際のAuCでの認証パラメータ間の関係を示す図である。 認証パラメータとSIMカードにおける相互認証機能との関係を示す図である。 この提案による信号シーケンスの例を示す図である。 提案するHSS/AuCにおけるAV生成の論理を示す図である。 提案するフェムトセルにおけるAV論理を示す図である。 本発明に関連する通信システムの一例の構成図である。 既存の回線交換サービスとパケット交換サービスからマルチメディアサービスへ移行していく3つの通信システムの説明図である。 関連する通信システムのIMS−AKAシ−ケンスの一例を示すシ−ケンス図である。 関連するグロ−バルチャレンジレスポンス認証の一例のシ−ケンス図である。 関連するユニークチャレンジレスポンス認証の一例のシーケンス図である。 関連する通信システムにおけるMMD網AuC内での計算アルゴリズムパラメータ関連図である。 関連する通信システムにおける移動機ISIMカード内での計算アルゴリズムパラメータである。 関連する第2のMMD機能付き移動機を用いる通信システムの処理手順の一例を示すシーケンス図である。 関連する既存移動機を用いる通信システムの処理手順の一例を示すシーケンス図である。
符号の説明
1 回線交換網
2 MMD網
3 ブロードバンド通信網
4 構内情報通信網
11 サーバAC
12 サーバHLR
13 既存回線交換用交換機
14 既存公衆用基地局
15 通信端末(MS)
21 サーバAuC
22 サーバHSS
23 サーバS−CSCF
24 サーバP−CSCF
41 Femto Cell
42 通信端末
51 制御部
52 R−UIM
61 制御部
62 R−UIM
71 送信部
72 受信部
73 記憶部
74 制御部
75 インタフェース
76、77 アンテナ
81 送信部
82 受信部
83 記憶部
84 制御部
85 出力端子
86 入力端子
91 CAVE認証情報処理装置
92 IMS−AKA認証情報処理装置

Claims (23)

  1. 回線交換網に設けられ前記回線交換網内の通信端末の第1認証を行う第1認証情報処理手段と、マルチメディア通信網に設けられ前記マルチメディア通信網内の通信端末の第2認証を行う第2認証情報処理手段と、構内情報通信網に設けられ前記構内情報通信網内の通信端末と無線通信を行う小型基地局と、前記回線交換網或いは前記構内情報通信網を介して通信を行う回線交換用通信端末とを含む通信システムであって、
    前記小型基地局に設けられ、前記回線交換用通信端末から前記第1認証情報を取得しその第1認証情報を前記第2認証情報処理手段へ送信する第1認証処理手段と、
    前記第2認証情報処理手段に設けられ、前記小型基地局から得た前記第1認証に基づき前記第1認証情報処理手段から前記回線交換用通信端末の暗号化鍵情報を取得する暗号化鍵情報取得手段と、
    前記第2認証情報処理手段に設けられ、前記暗号化鍵情報を前記第2認証情報にマッピングする認証情報マッピング手段と、
    前記第2認証情報処理手段に設けられ、前記マッピングした情報を前記小型基地局へ送信するマッピング情報送信手段と、
    前記小型基地局に設けられ、前記マッピングした情報から前記暗号化鍵情報を抽出する暗号化鍵情報抽出手段とを含むことを特徴とする通信システム。
  2. 前記回線交換網は前記回線交換用通信端末と無線通信を行う既存公衆用基地局と、前記既存公衆用基地局と回線交換信号により通信を行う既存回線交換用交換機とを含み、既存回線交換用交換機は前記第1認証情報処理手段とMAP信号により通信を行うことを特徴とする請求項1記載の通信システム。
  3. マルチメディア通信網は前記小型基地局とMMD(Multi Media Domain)方式SIP(Session Initiation Protocol) 信号により通信を行うサーバP−CSCF(Proxy Call Session Control Function )と、前記サーバP−CSCFとMMD方式SIP信号により通信を行うサーバS−CSCF(Serving Call Session Control Function )とを含み、前記サーバS−CSCFは前記第2認証情報処理手段とMMD方式Diameter信号により通信を行うことを特徴とする請求項1または2記載の通信システム。
  4. 前記第1認証情報処理手段はサーバAC(Authentication Center )と、サーバHLR(Home Location Register)とを含んで構成され、前記サーバACおよびサーバHLR間でCAVE(Cellular Authentication and Voice Encryption algorithm)認証情報の処理が行われることを特徴とする請求項1から3いずれかに記載の通信システム。
  5. 前記第2認証情報処理手段はサーバAuC(Authentication Center )と、サーバHSS(Home Subscriber Server)とを含んで構成され、前記サーバAuCおよびサーバHSS間でIMS−AKA(IMS Authentication and Key Agreement)認証情報の処理が行われることを特徴とする請求項1から4いずれかに記載の通信システム。
  6. 前記第1認証情報処理手段の前記サーバHLRと、前記第2認証情報処理手段の前記サーバHSSとの間でMAP信号により通信が行われることを特徴とする請求項5記載の通信システム。
  7. 前記マルチメディア通信網と前記構内情報通信網との間にブロードバンド通信網が接続されることを特徴とする請求項1から6いずれかに記載の通信システム。
  8. 前記回線交換網はCDMA(Code Division Multiple Access) 2000方式回線交換網であることを特徴とする請求項1から7いずれかに記載の通信システム。
  9. 回線交換網に設けられ前記回線交換網内の通信端末の第1認証を行う第1認証情報処理装置と、マルチメディア通信網に設けられ前記マルチメディア通信網内の通信端末の第2認証を行う第2認証情報処理装置と、構内情報通信網に設けられ前記構内情報通信網内の通信端末と無線通信を行う小型基地局と、前記回線交換網或いは前記構内情報通信網を介して通信を行う回線交換用通信端末とを含む通信システムにおける通信方法であって、
    前記小型基地局に設けられ、前記回線交換用通信端末から前記第1認証情報を取得しその第1認証情報を前記第2認証情報処理装置へ送信する第1認証処理ステップと、
    前記第2認証情報処理装置に設けられ、前記小型基地局から得た前記第1認証に基づき前記第1認証情報処理装置から前記回線交換用通信端末の暗号化鍵情報を取得する暗号化鍵情報取得ステップと、
    前記第2認証情報処理装置に設けられ、前記暗号化鍵情報を前記第2認証情報にマッピングする認証情報マッピングステップと、
    前記第2認証情報処理装置に設けられ、前記マッピングした情報を前記小型基地局へ送信するマッピング情報送信ステップと、
    前記小型基地局に設けられ、前記マッピングした情報から前記暗号化鍵情報を抽出する暗号化鍵情報抽出ステップとを含むことを特徴とする通信方法。
  10. 前記回線交換網は前記回線交換用通信端末と無線通信を行う既存公衆用基地局と、前記既存公衆用基地局と回線交換信号により通信を行う既存回線交換用交換機とを含み、既存回線交換用交換機は前記第1認証情報処理装置とMAP信号により通信を行うことを特徴とする請求項9 記載の通信方法。
  11. マルチメディア通信網は前記小型基地局とMMD方式SIP信号により通信を行うサーバP−CSCFと、前記サーバP−CSCFとMMD方式SIP信号により通信を行うサーバS−CSCFとを含み、前記サーバS−CSCFは前記第2認証情報処理装置とMMD方式Diameter信号により通信を行うことを特徴とする請求項9または10記載の通信方法。
  12. 前記第1認証情報処理装置はサーバACと、サーバHLRとを含んで構成され、前記サーバACおよびサーバHLR間でCAVE認証情報の処理が行われることを特徴とする請求項9から11いずれかに記載の通信方法。
  13. 前記第2認証情報処理装置はサーバAuCと、サーバHSSとを含んで構成され、前記サーバAuCおよびサーバHSS間でIMS−AKA認証情報の処理が行われることを特徴とする請求項9から12いずれかに記載の通信方法。
  14. 前記第1認証情報処理装置の前記サーバHLRと、前記第2認証情報処理装置の前記サーバHSSとの間でMAP信号により通信が行われることを特徴とする請求項13記載の通信方法。
  15. 前記マルチメディア通信網と前記構内情報通信網との間にブロードバンド通信網が接続されることを特徴とする請求項9から14いずれかに記載の通信方法。
  16. 前記回線交換網はCDMA2000方式回線交換網であることを特徴とする請求項9から15いずれかに記載の通信方法。
  17. 回線交換網に設けられ前記回線交換網内の通信端末の第1認証を行う第1認証情報処理手段と、マルチメディア通信網に設けられ前記マルチメディア通信網内の通信端末の第2認証を行う第2認証情報処理手段と、構内情報通信網に設けられ前記構内情報通信網内の通信端末と無線通信を行う小型基地局と、前記回線交換網或いは前記構内情報通信網を介して通信を行う回線交換用通信端末とを含む通信システムにおける認証情報管理サーバであって、
    前記認証情報管理サーバは前記第1および第2認証情報処理手段を含んで構成され、
    前記第2認証情報処理手段に設けられ、前記小型基地局から得た前記第1認証に基づき前記第1認証情報処理手段から前記回線交換用通信端末の暗号化鍵情報を取得する暗号化鍵情報取得手段と、
    前記第2認証情報処理手段に設けられ、前記暗号化鍵情報を前記第2認証情報にマッピングする認証情報マッピング手段と、
    前記第2認証情報処理手段に設けられ、前記マッピングした情報を前記小型基地局へ送信するマッピング情報送信手段とを含み、
    前記小型基地局にて前記マッピングした情報から前記暗号化鍵情報が抽出されることを特徴とする認証情報管理サーバ。
  18. 前記第1認証情報処理手段はサーバACと、サーバHLRとを含んで構成され、前記サーバACおよびサーバHLR間でCAVE認証情報の処理が行われることを特徴とする請求項17記載の認証情報管理サーバ。
  19. 前記第2認証情報処理手段はサーバAuCと、サーバHSSとを含んで構成され、前記サーバAuCおよびサーバHSS間でIMS−AKA認証情報の処理が行われることを特徴とする請求項17または18記載の認証情報管理サーバ。
  20. 前記第1認証情報処理手段の前記サーバHLRと、前記第2認証情報処理手段の前記サーバHSSとの間でMAP信号により通信が行われることを特徴とする請求項19記載の認証情報管理サーバ。
  21. 前記マルチメディア通信網と前記構内情報通信網との間にブロードバンド通信網が接続されることを特徴とする請求項17から20いずれかに記載の認証情報管理サーバ。
  22. 前記回線交換網はCDMA2000方式回線交換網であることを特徴とする請求項17から21いずれかに記載の認証情報管理サーバ。
  23. 回線交換網に設けられ前記回線交換網内の通信端末の第1認証を行う第1認証情報処理手段と、マルチメディア通信網に設けられ前記マルチメディア通信網内の通信端末の第2認証を行う第2認証情報処理手段と、構内情報通信網に設けられ前記構内情報通信網内の通信端末と無線通信を行う小型基地局と、前記回線交換網或いは前記構内情報通信網を介して通信を行う回線交換用通信端末とを含む通信システムにおける小型基地局であって、
    前記回線交換用通信端末から前記第1認証情報を取得しその第1認証情報を前記第2認証情報処理手段へ送信する第1認証処理手段と、
    マッピングした情報から暗号化鍵情報を抽出する暗号化鍵情報抽出手段とを含み、
    前記マッピングした情報とは、前記第2認証情報処理手段が受信した前記第1認証に基づき前記第1認証情報処理手段から前記回線交換用通信端末の暗号化鍵情報を取得し、その暗号化鍵情報を前記第2認証情報にマッピングして得られた情報であることを特徴とする小型基地局。
JP2007276543A 2007-10-24 2007-10-24 通信システム、通信方法、認証情報管理サーバおよび小型基地局 Expired - Fee Related JP5167759B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007276543A JP5167759B2 (ja) 2007-10-24 2007-10-24 通信システム、通信方法、認証情報管理サーバおよび小型基地局
US12/256,622 US20090117876A1 (en) 2007-10-24 2008-10-23 Communication system, communication method, authentication information managing server, and small base station

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007276543A JP5167759B2 (ja) 2007-10-24 2007-10-24 通信システム、通信方法、認証情報管理サーバおよび小型基地局

Publications (2)

Publication Number Publication Date
JP2009105739A true JP2009105739A (ja) 2009-05-14
JP5167759B2 JP5167759B2 (ja) 2013-03-21

Family

ID=40588594

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007276543A Expired - Fee Related JP5167759B2 (ja) 2007-10-24 2007-10-24 通信システム、通信方法、認証情報管理サーバおよび小型基地局

Country Status (2)

Country Link
US (1) US20090117876A1 (ja)
JP (1) JP5167759B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010074122A1 (ja) * 2008-12-26 2010-07-01 日本電気株式会社 通信システム、フェムトセル用基地局、認証装置、通信方法および記録媒体
WO2010146765A1 (ja) * 2009-06-15 2010-12-23 シャープ株式会社 無線通信装置
EP2385741A1 (en) 2010-05-06 2011-11-09 Fujitsu Limited Communications system, base station apparatus, and communication method for dual-mode femtocells
JP2013529012A (ja) * 2010-05-04 2013-07-11 クゥアルコム・インコーポレイテッド 共用回線交換セキュリティコンテキスト
JP2013158059A (ja) * 2013-05-20 2013-08-15 Nec Corp 通信システム、フェムトセル用基地局、認証装置、通信方法及び通信プログラム

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2934107B1 (fr) * 2008-07-17 2010-08-27 Alcatel Lucent Methode de gestion d'un reseau de telecommunication et equipements associes
US8422461B2 (en) * 2008-11-24 2013-04-16 Pctel, Inc. Self-configurable wireless network with cooperative interference measurements by base stations
JP5151997B2 (ja) * 2009-01-08 2013-02-27 富士通株式会社 通信サーバ、無線基地局、通信システムおよび通信方法
CN102196435B (zh) * 2010-03-11 2016-06-15 中兴通讯股份有限公司 家庭基站接入到接入网关的方法及系统
CN103262431B (zh) * 2010-10-15 2015-04-01 瑞典爱立信有限公司 用于执行m2me故障切换机制的方法和用于提供m2me故障切换机制的设备
CN103297958B (zh) * 2012-02-22 2017-04-12 华为技术有限公司 建立安全上下文的方法、装置及系统
CN103379490A (zh) * 2012-04-12 2013-10-30 华为技术有限公司 用户设备的认证方法、装置及系统
CN106257945B (zh) * 2015-06-16 2024-04-09 北京佰才邦技术股份有限公司 基站的认证方法、装置及系统
US10051000B2 (en) * 2015-07-28 2018-08-14 Citrix Systems, Inc. Efficient use of IPsec tunnels in multi-path environment
ES2828575T3 (es) * 2016-10-14 2021-05-26 Telefonica Digital Espana Slu Acceso a través de una segunda red de telecomunicaciones móviles a los servicios ofrecidos por una primera red de telecomunicaciones móviles
CN112956236B (zh) * 2019-02-02 2022-10-21 Oppo广东移动通信有限公司 切换过程中安全信息的处理方法及装置、网络设备、终端
US11228896B2 (en) * 2019-09-20 2022-01-18 Verizon Patent And Licensing Inc. Authorization of roaming for new radio subscribers via an alternative radio access technology

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003094438A1 (en) * 2002-05-01 2003-11-13 Telefonaktiebolaget Lm Ericsson (Publ) System, apparatus and method for sim-based authentication and encryption in wireless local area network access
WO2006084183A1 (en) * 2005-02-04 2006-08-10 Qualcomm Incorporated Secure bootstrapping for wireless communications
WO2006085207A1 (en) * 2005-02-11 2006-08-17 Nokia Corporation Method and apparatus for providing bootstrapping procedures in a communication network
WO2006120288A2 (en) * 2005-05-09 2006-11-16 Nokia Corporation Method for distributing certificates in a communication system
WO2007024455A1 (en) * 2005-08-19 2007-03-01 Lucent Technologies Inc. Providing multimedia system security to removable user identity modules

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7970398B2 (en) * 2007-06-25 2011-06-28 Alcatel-Lucent Usa Inc. Method and apparatus for provisioning and authentication/registration for femtocell user on IMS core network
US8428554B2 (en) * 2007-10-04 2013-04-23 Alcatel Lucent Method for authenticating a mobile unit attached to a femtocell that operates according to code division multiple access
US8249554B2 (en) * 2007-10-26 2012-08-21 Alcatel Lucent Methods for provisioning mobile stations and wireless communications with mobile stations located within femtocells

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003094438A1 (en) * 2002-05-01 2003-11-13 Telefonaktiebolaget Lm Ericsson (Publ) System, apparatus and method for sim-based authentication and encryption in wireless local area network access
WO2006084183A1 (en) * 2005-02-04 2006-08-10 Qualcomm Incorporated Secure bootstrapping for wireless communications
WO2006085207A1 (en) * 2005-02-11 2006-08-17 Nokia Corporation Method and apparatus for providing bootstrapping procedures in a communication network
WO2006120288A2 (en) * 2005-05-09 2006-11-16 Nokia Corporation Method for distributing certificates in a communication system
WO2007024455A1 (en) * 2005-08-19 2007-03-01 Lucent Technologies Inc. Providing multimedia system security to removable user identity modules

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010074122A1 (ja) * 2008-12-26 2010-07-01 日本電気株式会社 通信システム、フェムトセル用基地局、認証装置、通信方法および記録媒体
JP2010157807A (ja) * 2008-12-26 2010-07-15 Nec Corp 通信システム、フェムトセル用基地局、認証装置、通信方法及び通信プログラム
US9055437B2 (en) 2008-12-26 2015-06-09 Nec Corporation Communication system, femtocell base station, authentication apparatus, communication method, and recording medium
WO2010146765A1 (ja) * 2009-06-15 2010-12-23 シャープ株式会社 無線通信装置
JP5441130B2 (ja) * 2009-06-15 2014-03-12 シャープ株式会社 無線通信装置
JP2013529012A (ja) * 2010-05-04 2013-07-11 クゥアルコム・インコーポレイテッド 共用回線交換セキュリティコンテキスト
US10075420B2 (en) 2010-05-04 2018-09-11 Qualcomm Incorporated Shared circuit switched security context
US10389691B2 (en) 2010-05-04 2019-08-20 Qualcomm Incorporated Shared security context
EP2385741A1 (en) 2010-05-06 2011-11-09 Fujitsu Limited Communications system, base station apparatus, and communication method for dual-mode femtocells
US8892089B2 (en) 2010-05-06 2014-11-18 Fujitsu Limited Communications system, base station apparatus, and communication method
JP2013158059A (ja) * 2013-05-20 2013-08-15 Nec Corp 通信システム、フェムトセル用基地局、認証装置、通信方法及び通信プログラム

Also Published As

Publication number Publication date
JP5167759B2 (ja) 2013-03-21
US20090117876A1 (en) 2009-05-07

Similar Documents

Publication Publication Date Title
JP5167759B2 (ja) 通信システム、通信方法、認証情報管理サーバおよび小型基地局
US11228442B2 (en) Authentication method, authentication apparatus, and authentication system
US7817986B2 (en) Method and system for providing cellular assisted secure communications of a plurality of ad hoc devices
US8374582B2 (en) Access method and system for cellular mobile communication network
DK2039199T3 (en) ACCESSORIES SYSTEM FOR USER EQUIPMENT
JP4284324B2 (ja) 移動無線システムにおける暗号鍵を形成および配布する方法および移動無線システム
US8582762B2 (en) Method for producing key material for use in communication with network
US8726023B2 (en) Authentication using GAA functionality for unidirectional network connections
CN101635823B (zh) 一种终端对视频会议数据进行加密的方法及系统
KR101309426B1 (ko) 모바일 네트워크에서 재귀 인증을 위한 방법 및 시스템
CN109076339A (zh) 异构网络的统一认证框架
WO2010012203A1 (zh) 鉴权方法、重认证方法和通信装置
JP2006025420A (ja) 無線ローカルエリアネットワークの関連付けのためのデバイスおよびプロセスならびに対応する製品
JP2011508991A (ja) セキュアな通信のための鍵管理
MX2009002507A (es) Autentificacion de seguridad y gestion de claves dentro de una red de multisalto inalambrica basada en infraestructura.
CN111787532B (zh) 一种协商5g移动通信网络安全能力的方法
CN107251512B (zh) 用于建立安全通信会话的方法、设备和系统
JP2009303188A (ja) 管理装置、登録通信端末、非登録通信端末、ネットワークシステム、管理方法、通信方法、及びコンピュータプログラム。
WO2011035579A1 (zh) Wapi终端接入ims网络的认证方法、系统和终端
EP1844595B1 (en) Authentication using GAA functionality for unidirectional network connections
CN117560795A (zh) 一种基于多个接入点ap的自主组网的处理方法和装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100916

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120425

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120522

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120709

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121127

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121210

R150 Certificate of patent or registration of utility model

Ref document number: 5167759

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees