JP2012010051A - Ims認証制御システム及びims認証制御方法 - Google Patents
Ims認証制御システム及びims認証制御方法 Download PDFInfo
- Publication number
- JP2012010051A JP2012010051A JP2010143372A JP2010143372A JP2012010051A JP 2012010051 A JP2012010051 A JP 2012010051A JP 2010143372 A JP2010143372 A JP 2010143372A JP 2010143372 A JP2010143372 A JP 2010143372A JP 2012010051 A JP2012010051 A JP 2012010051A
- Authority
- JP
- Japan
- Prior art keywords
- ims
- authentication
- communication terminal
- proxy
- impu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
【課題】IMS‐Security方式のサポートをしていない通信端末を用いた場合であっても、IMS‐Security方式による端末認証を確実に行うことができるIMS認証制御システム及び制御方法を提供する。
【解決手段】前記通信端末101と前記IMS設備群501との間に代理認証サーバ301を設け、該代理認証サーバ301は、前記通信端末101から送信された認証要求201を受けた後、前記IMS設備群501へ代理認証要求401を送信し、前記通信端末を代理して前記IMS設備群とIMS‐Security方式による認証を行うことを特徴とする。
【選択図】図1
【解決手段】前記通信端末101と前記IMS設備群501との間に代理認証サーバ301を設け、該代理認証サーバ301は、前記通信端末101から送信された認証要求201を受けた後、前記IMS設備群501へ代理認証要求401を送信し、前記通信端末を代理して前記IMS設備群とIMS‐Security方式による認証を行うことを特徴とする。
【選択図】図1
Description
本発明は、IMS(IP Multimedia Subsystem)で規定されている端末の認証方式であるIMS-security方式を実現するIMS認証制御システム及びIMS制御方法に関するものである。
近年、固定、移動体通信を統合し、より高度なサービスを提供するための次世代ネットワーク(NGN:Next Generation Network)が注目されている。現在、NGNの中核技術であるIMS(IP Multimedia Subsystem)の標準化が3GPPによって進められている。
3GPPでは、IMSサービスを提供する上で、なりすましの防止等のセキュリティを担保するため、IMS-security方式が規定されている。IMS-security方式では、携帯電話に搭載されているUICC(Universal Integrated Circuit Card)等の耐タンパ性のある媒体に保存されるISIM(IMS Subscriber Identity Module)を用いたIMS-AKAによる相互認証が行われ、その結果得られる情報からIPsec(IP security protocol)を用いて高いセキュリティを実現する。しかしながら、現状は、ISIMやIMS-AKAなどのように、IMS-security方式に対応した端末は普及しておらず、今後すぐに普及するとも考え難い。
IMSサービスを早期に実現するために、従来より、固定端末向けの回線認証方式(例えば、非特許文献1)や、Wi-Fi端末向けの認証方式(例えば、非特許文献2、3)などが開発されているが、現在広く普及している第3世代携帯電話(以下、3G携帯)を始めとする携帯電話に対応した認証方式は3GPPによる方式(例えば、非特許文献4)に限られている。
上記の3GPPによる認証方式では、3G携帯で利用されているUICCに保存されるUSIM(Universal Subscriber Identity Module)の情報からISIMで用いられる情報を生成して認証を行う方式(以下、Early IMS方式)が規定されている。前記USIMには、電話番号に該当するMSISDNと、加入者識別子に該当するIMSIとが含まれる。ここで、前記MSISDNは、他のユーザに公開する情報であり、前記IMSIは携帯電話網でのアクセス認証や携帯電話サービスの課金登録などに用いられることから、一般的に公開する情報ではないとされている。上記Early IMS方式では、IMSIからISIMで用いられるIMPU(IP Multimedia Private Identity)とIMPI(IP Multimedia Public Identity)を生成する。上記IMPUはパブリックユーザIDであり、電話番号のように他のユーザへ公開してユーザを特定するために利用する識別子である。一方、上記IMPIはプライベートユーザIDであり、IMSIのような加入者情報であり、IMSがユーザを認証する際に利用される。ただし、IMSIから生成されたIMPUは本来公開すべき情報ではないため、IMS認証時に限り利用され、他のユーザへ公開する識別子として、別のIMPUが必要となる。図4に、Early IMS方式の全体構成の一例を示す。
Early IMS方式の基本動作は、以下の通りである(図4参照。)
(1)通信端末101がSGSN/GGSN(Serving GPRS Support Node/Gateway GPRS Support Node) 701へIPアドレス割当要求801を送信し、その後、SGSN/GGSN 701はIMS設備群501へユーザ情報登録要求901を送信し、IPアドレスの割り当てを受ける。ここで、上記IPアドレス割当要求801は、上記通信端末101が備えるUSIMに保存されているMSISDN及びIMSIを運ぶ。上記SGSN/GGSN701はIPアドレス割当要求801に含まれるIMSIから正規ユーザであることを確認し、IPアドレスを割り当てる。また、ユーザ情報登録要求901は、SGSN/GGSN701が通信端末101に割り当てたIPアドレスと、IPアドレス割当要求801に含まれるMSISDN及びIMSIを運ぶ。
(2)次に、IPアドレスを割り当てられた通信端末101がSGSN/GGSN701へ認証要求201を送信し、SGSN/GGSN701は、受信した上記認証要求201をIMS設備群501へと転送する。ここで、上記SGSN/GGSN701は、認証要求201については転送のみを行うため、上記認証要求201は、前記ユーザ登録要求901で登録したIPアドレス及びIMSIから生成されるIMPUを含むREGISTER信号を運ぶ。
(3)その後、IMS設備群501は、認証要求201の情報とユーザ情報登録要求901にて登録した情報が一致することを確認し、通信端末101へと認証結果を返す。
(1)通信端末101がSGSN/GGSN(Serving GPRS Support Node/Gateway GPRS Support Node) 701へIPアドレス割当要求801を送信し、その後、SGSN/GGSN 701はIMS設備群501へユーザ情報登録要求901を送信し、IPアドレスの割り当てを受ける。ここで、上記IPアドレス割当要求801は、上記通信端末101が備えるUSIMに保存されているMSISDN及びIMSIを運ぶ。上記SGSN/GGSN701はIPアドレス割当要求801に含まれるIMSIから正規ユーザであることを確認し、IPアドレスを割り当てる。また、ユーザ情報登録要求901は、SGSN/GGSN701が通信端末101に割り当てたIPアドレスと、IPアドレス割当要求801に含まれるMSISDN及びIMSIを運ぶ。
(2)次に、IPアドレスを割り当てられた通信端末101がSGSN/GGSN701へ認証要求201を送信し、SGSN/GGSN701は、受信した上記認証要求201をIMS設備群501へと転送する。ここで、上記SGSN/GGSN701は、認証要求201については転送のみを行うため、上記認証要求201は、前記ユーザ登録要求901で登録したIPアドレス及びIMSIから生成されるIMPUを含むREGISTER信号を運ぶ。
(3)その後、IMS設備群501は、認証要求201の情報とユーザ情報登録要求901にて登録した情報が一致することを確認し、通信端末101へと認証結果を返す。
また、3G携帯における通信端末及びユーザの認証方式としては、ITU-Tの公開鍵基盤の規格であるX.509の所有者フィールドに記載するID(Subject)を用いる方式(例えば、非特許文献5)も挙げられる。
松本実、「次世代通信網における認証方式の検討」、信学技報、社団法人 電子情報通信学会、2006年3月、p53−56
北見広和 他、「IMS Early DeploymentのWiFi端末向け拡張方式の検討」、信学技報、社団法人 電子情報通信学会、2007年5月、p57-62
北見広和 他、「ノマディックIMSサービス早期実現のための認証方式」、信学技報、社団法人 電子情報通信学会、2007年11月、p7-12
"Security aspects of early IMS"、3GPP TR 33.978、 v8.0.0、2008年12月、p1-27
関野公彦 他、「電子認証局システム構築技術」、NTT DoCoMoテクニカルジャーナル、Vol.11 No.3、p12-17
しかしながら、上述したIMS-security方式及びEarly IMS方式には、以下の問題点がある。
(A)暗号化及び復号化の際の負荷が高いIMS-AKAやIPsecの使用を前提としているため、通信端末の能力に対する要求が高い。
(B)また、IMSサービスの一部の信号に限られる(具体的には、REGISTER信号)のみとはいえ、公開すべきではないIMSI由来のIMPUを使用しており、さらにはその後の信号(INVITE等)で用いるIMPUを定める規則がない。
(C)さらに、独自の認証方式(IMS-security方式、Early IMS方式)を現在普及している端末上に実装しなければならない。
(A)暗号化及び復号化の際の負荷が高いIMS-AKAやIPsecの使用を前提としているため、通信端末の能力に対する要求が高い。
(B)また、IMSサービスの一部の信号に限られる(具体的には、REGISTER信号)のみとはいえ、公開すべきではないIMSI由来のIMPUを使用しており、さらにはその後の信号(INVITE等)で用いるIMPUを定める規則がない。
(C)さらに、独自の認証方式(IMS-security方式、Early IMS方式)を現在普及している端末上に実装しなければならない。
そこで、本発明の目的は、所定の認証代理サーバを設けることによって、IMS-Security方式のサポートをしていない通信端末を用いた場合であっても、IMS-Security方式による端末認証を確実に行うことができるIMS認証制御システム及びIMS制御方法を提供することにある。
本発明は、通信端末とIMS設備群との間に代理認証サーバを設け、該代理認証サーバが、前記通信端末から送信された認証要求を受けた後、前記IMS設備群へ代理認証要求を送信し、前記通信端末を代理して前記IMS設備群とIMS‐Security方式による認証を行うことによって、上述した負荷が高い認証処理の問題を解決することができる。
また、本発明の要旨は以下の通りである。
(1)通信端末とIMS(IP Multimedia Subsystem)網のIMS設備群とを接続するにあたって、IMS-Security方式を用いて通信端末及びユーザの認証を行うIMS認証制御システムであって、前記通信端末と前記IMS設備群との間に代理認証サーバが設けられ、該代理認証サーバは、前記通信端末から送信された認証要求を受けた後、前記IMS設備群へ代理認証要求を送信し、前記通信端末を代理して前記IMS設備群とIMS-Security方式による認証を行う手段を有することを特徴とするIMS認証制御システム。
(1)通信端末とIMS(IP Multimedia Subsystem)網のIMS設備群とを接続するにあたって、IMS-Security方式を用いて通信端末及びユーザの認証を行うIMS認証制御システムであって、前記通信端末と前記IMS設備群との間に代理認証サーバが設けられ、該代理認証サーバは、前記通信端末から送信された認証要求を受けた後、前記IMS設備群へ代理認証要求を送信し、前記通信端末を代理して前記IMS設備群とIMS-Security方式による認証を行う手段を有することを特徴とするIMS認証制御システム。
(2)前記代理認証サーバは、前記通信端末ごとのIMPU(IP Multimedia Public Identity)、IMPI(IP Multimedia Private Identity)及びRealmの情報を保持するデータベースを備え、前記通信端末からの前記認証要求によって運ばれた公開鍵証明書に基づいて前記通信端末を認証し、前記認証要求によって運ばれた情報に基づいて前記データベースを検索し、前記IMPU及び前記IMPIを参照し、認証を行う手段を有することを特徴とする上記IMS認証制御システム。
(3)前記IMPUは、MSISDN(Mobile Subscriber Integrated Services Digital Network Number)由来のIMPUであることを特徴とする上記IMS認証制御システム。
(4)前記通信端末と前記代理認証サーバとの間の認証処理は、SSLを用いて行われることを特徴とする上記IMS認証制御システム。
(5)通信端末とIMS(IP Multimedia Subsystem)網のIMS設備群とを接続するにあたって、IMS-Security方式を用いて通信端末及びユーザの認証を行うIMS認証制御方法であって、前記通信端末と前記IMS設備群との間に代理認証サーバが設けられ、該代理認証サーバの処理手順は、前記通信端末から送信された認証要求を受けるステップと、前記IMS設備群へ代理認証要求を送信し、前記通信端末を代理して前記IMS設備群とIMS-Security方式による認証を行うステップとを含むことを特徴とするIMS認証制御方法。
(6)前記代理認証サーバは、前記通信端末ごとのIMPU(IP Multimedia Public Identity)、IMPI(IP Multimedia Private Identity)及びRealmの情報を保持するデータベースを備え、前記代理認証サーバによる処理手順は、前記通信端末からの前記認証要求によって運ばれた公開鍵証明書に基づいて前記通信端末を認証し、前記認証要求によって運ばれた情報に基づいて前記データベースを検索し、前記IMPU及び前記IMPIを参照し、認証を行うステップを含むことを特徴とする上記IMS認証制御方法。
(7)前記IMPUは、MSISDN(Mobile Subscriber Integrated Services Digital Network Number)由来のIMPUであることを特徴とする上記IMS認証制御方法。
(8)前記通信端末と前記代理認証サーバとの間の認証データのやりとりは、SSLを用いて行われることを特徴とする上記IMS認証制御方法。
本発明によれば、IMS-Security方式のサポートをしていない通信端末を用いた場合であっても、IMS-Security方式による端末認証を、通信端末に負荷をかけることなく確実に行うことができる。加えて、IMSI由来のIMPUの使用をすることなく、通信端末の認証処理では一般的な認証方式を用いることが可能となる。
以下、本発明の構成と限定理由について、図面を用いて説明する。
図1は、本発明によるIMS認証制御システムの一実施例についての概略を示したものである。図1に示すように、本発明にかかる認証制御システムは、通信端末101とIMS(IP Multimedia Subsystem)網50のIMS設備群501とを接続するにあたって、IMS‐Security方式を用いて通信端末101及びユーザの認証を行うIMS認証制御システムである。
そして、本発明にかかる認証制御システムは、図1に示すように、前記通信端末101と前記IMS設備群501との間に代理認証サーバ301を設け、この代理認証サーバ301は、前記通信端末101から送信された認証要求201を受けた後、前記IMS設備群501へ代理認証要求401を送信し、前記通信端末を代理して前記IMS設備群とIMS-Security方式による認証を行う手段を有する。上記構成を備えることによって、IMS-Security方式のサポートをしていない通信端末101を用いた場合であっても、IMS-Security方式による端末認証を行うことが可能となる。
図4は、上述したように従来のEarly IMS方式による認証制御システムの概略を示したものである。本発明にかかる認証制御システム(図1)と、従来のEarly IMS方式による認証制御システム(図4)とを比較すると、本発明にかかる認証制御システムでは、通信端末101は認証要求201を送信するだけで、代理認証サーバ301との間のSSLによる相互認証や暗号化通信を利用して、代理認証サーバ301はIMS設備群501との間のIMS-security方式による相互認証や暗号化通信を利用するため、Early IMS方式による認証制御システムに比べて、強固なセキュリティを提供することがわかる。また、本発明にかかる認証制御システムと、従来のIMS-security方式による認証制御システムとを比較すると、本発明にかかる認証制御システムでは、通信端末101は認証要求201を送信するだけで、IMS設備群501との間のIMS‐Security方式による認証については代理認証サーバ301によって全て行われることから、IMS-security方式による認証制御システムに比べて、通信端末101にかかる負荷が軽減されることがわかる。
(システム構成)
以下に、本発明にかかる認証制御システムの各構成要素について説明する。
本発明に用いられる通信端末101とは、携帯網を利用してデータ通信を行う端末のことであり、例えば、携帯電話や、携帯情報端末(PDA)等が挙げられる。
上記通信端末101は、図1に示すように、USIM(Universal Subscriber Identity Module)を有し、該USIMは、公開鍵証明書の識別子であるSubject、携帯電話ユーザに割り当てられている一意な識別番号であるIMSI、携帯電話番号に該当するMSISDN等の情報を保持している。
以下に、本発明にかかる認証制御システムの各構成要素について説明する。
本発明に用いられる通信端末101とは、携帯網を利用してデータ通信を行う端末のことであり、例えば、携帯電話や、携帯情報端末(PDA)等が挙げられる。
上記通信端末101は、図1に示すように、USIM(Universal Subscriber Identity Module)を有し、該USIMは、公開鍵証明書の識別子であるSubject、携帯電話ユーザに割り当てられている一意な識別番号であるIMSI、携帯電話番号に該当するMSISDN等の情報を保持している。
また、前記通信端末101から送信される認証要求201とは、IMS網へ接続するために、図1に示すように前記通信端末101から前記代理認証サーバ301へと送信される情報のことをいう。該代理認証要求201は、前記USIMに保存されている公開鍵証明書を有する。この公開鍵証明書の種類としては、例えばX.509などが挙げられる。
また、本発明に用いられる代理認証サーバ301とは、その名の通り、前記通信端末101に代わって、前記IMS設備群501とのIMS-Security方式による認証を行うためのサーバのことである。ここで、図3は、代理認証サーバの一例についての概略を示したものである。
前記代理認証サーバ301は、図3に示すように、インタフェース部311と、制御部312と、記憶部323と、予め種々の情報が格納されたデータベース314とを備える。前記代理認証サーバ301は、通信端末101から送信された認証要求201を、インタフェース部311を通じて受信する。その後、制御部312の端末認証部312aでは、得られた認証要求201に含まれる情報(例えばSubject)に基づいて各Key情報データベース314a、IMPU情報データベース314c及びIMPI情報データベース314dを検索し、前記通信端末101のIMPU及びIMPIを参照する。なお、IMPUはMSISDN及びRealmから生成され、前記MIPIは、IMSI及びRealmから生成され、通信端末101からの認証要求201を受ける事前に各データベース314c、dに格納されている。また、Realmとは、IMSサービスのREGISTER信号のAuthorizationヘッダに記述されるRealmに対応し、SIP URI形式のIMPU及びNAI形式のIMPIの双方のドメイン名として用いられる情報のことである。さらに、IMPUについては、メールアドレスのようにユーザ定義の文字列とRealmから生成したものを前記代理認証サーバ301や前記IMS設備群501へIMPIと関連付けて登録することで、複数のIPMUを利用することも可能である。その後、前記制御部312では、前記端末認証部312aから情報を得て、代理認証部312bによって、代理認証要求401が行われる。
なお、通信端末101と代理認証サーバ301との間で行われる認証処理のプロトコルについては、SSLを用いることが好ましい。一般的な認証方式であり、導入することが容易であるためである。
また、図1に示すように、通信端末102が通信端末101へセッション確立要求602(例えばINVITE等)を送信するときは、連絡先の交換などで事前に知っていた通信端末101のIMPUを宛先として信号を送信する。
代理認証サーバ301から送信される前記代理認証要求401とは、通信端末101に代理して、代理認証サーバ301からIMS設備群501へと送信された認証要求のことであり、IMS-Security方式に準拠している。
なお、代理認証サーバ301とIMS設備群501との間のセキュリティの確保については、代理認証サーバ301をIMS網の事業者が管理する場合には、当該事業者の統一的な管理によって確保することが可能である。一方、代理認証サーバ301を第三者が管理する場合には、IPSec等によって暗号化通信及び相互認証を行うことによってセキュリティを確保する必要がある。
また、本発明によるIMS設備群501とは、IMS網50の実体をサポートするための設備群のことである。具体的には、図1に示すように、SIP(Session Initiation Protocol)プロキシであり最初に接触するP-CSCF(Proxy-CSCF)501a、管理ドメインの端に位置するSIP機能の1つであるI-CSCF(Interrogating-CSCF)501b及び信号層の中心的ノードでSIPサーバであり、セッション制御を実行するS-CSCF(Serving-CSCF)501cの各機能(Call Session Control Function)を有し、加入者関連情報(プロフィール)が格納され、ユーザの認証及び認可を実施し、加入者の位置情報及びIP情報を提供するHSS(Home Subscriber Server)501dを備える。
前記代理認証サーバ301は、IMPIやIMSドメインを示すURIを含む「SIP Registerメッセージ」を前記P-CSCF501aに送信する。「SIP Registerメッセージ」を受け取ったP-CSCF501aは、ホームIMSドメインのI-CSCF501bに「Registerメッセージ」を送信する。I-CSCF501bはHSS501dにアクセスし、HSS501dから返信されるS-CSCF501c候補の情報をもとに通信端末101に適するS-CSCF501cを選択し、I-CSCF501bは「Registerメッセージ」をS-CSCF501cに送信する。
S-CSCF501cは、HSS501dに端末101のIMPI、IMPU、自己のS-CSCF501bの名前などを通知し、HSS501dに認証ベクトルの計算と通知を依頼する。HSS501dは認証ベクトル(RAND、AUTN、Ck、Ik)を計算し、S-CSCF501cに転送する。ここでS-CSCF501cは、認証ベクトルの中のXRES(Expected Response、想定される認証応答)を保持している。
S-CSCF501cからの「401Unauthorizedメッセージ」は、I-CSCF501b、P-CSCF501aへと送信され、P-CSCF501aではCk、Ikを端末UEとの間に設定するIPsecのための共有キーとして保持する。代理認証サーバ301にはRANDとAUTNの値が伝えられ、代理認証サーバ301はAUTNを用いてネットワークを認証するとともに、RES(Response、認証応答)、Ck、Ikを計算する。
上記のCk及びIkはIPsec用のキーとされ、RESは認証要求に対する応答値として、2回目の「SIP Registerメッセージ」でS-CSCF501cまで送信される。S-CSCF501cでは、XRESとRESを比較することで、正当な加入ユーザであることを認証する。S-CSCF501cでのユーザ認証が成功すると、HSS501dにユーザが登録されたことを通知し、当該ユーザのユーザー・プロファイル(加入ユーザに割り当てられているすべてのIMPU、登録されたIMPU、IFC(Initial Filter Criteria〕等)のダウンロードを要求する。
HSS501dは、ユーザー・プロファイルをS-CSCF501cに転送し、S-CSCF501cは「200 OKメッセージ」を代理認証サーバ301へ送信して、IMS登録が完了する。
(認証制御方法)
次に、本発明にかかる認証制御方法について、図面を用いて説明する。図2は、本発明によるIMS認証制御システムの一実施例についての動作フローを示したものである。
次に、本発明にかかる認証制御方法について、図面を用いて説明する。図2は、本発明によるIMS認証制御システムの一実施例についての動作フローを示したものである。
本発明にかかる認証制御方法は、図2に示すような形で行われる。
(1)まず、通信端末101から、代理認証サーバ301へ認証要求201が送信される(S1)。代理認証要求201は、USIMに保存されている公開鍵証明書(図示せず)を有し、公開鍵証明書を用いた相互認証のプロトコルとしてはSSLを用いることが好ましい。
(1)まず、通信端末101から、代理認証サーバ301へ認証要求201が送信される(S1)。代理認証要求201は、USIMに保存されている公開鍵証明書(図示せず)を有し、公開鍵証明書を用いた相互認証のプロトコルとしてはSSLを用いることが好ましい。
(2)その後、代理認証サーバ301では、通信端末101の認証作業が行われる(S2)。具体的には、送信された認証要求201に含まれる情報(例えばSubject)に基づいて各Key情報データベース314a、IMPU情報データベース314c及びIMPI情報データベース314d(図3を参照。)を検索し、通信端末101のIMPU及びIMPIを参照する。
(3)続いて、代理認証サーバ301は、IMS設備群501へと、代理認証要求401を送信する(S3)。なお、代理認証サーバ301とIMS設備群501との間のセキュリティの確保については、代理認証サーバ301をIMS網の事業者が管理する場合には、当該事業者の統一的な管理によって確保することが可能である。
(4)その後、IMS設備群501にて、IMS-Security方式による通信端末101の認証が行われる(S4)。
(5)そして、IMS設備群501は代理認証サーバ301へと認証結果を送信し(S5)、代理認証サーバ301は通信端末101へ認証結果を送信する(S6)。
上記の認証制御方法を用いることで、従来のEarly IMS方式による認証制御システム(図4)とを比較すると、本発明にかかる認証制御システムでは、通信端末は認証要求201を送信するだけで、IMS設備群501との間のIMS‐Security方式による認証については代理認証サーバ301によって行われる(S3〜S5)ことから、従来のEarly IMS方式による認証制御方法に比べて、通信端末101の負荷軽減が可能となる。
上述したところは、この発明の実施形態の一例を示したにすぎず、請求の範囲において種々の変更を加えることができる。
本発明によれば、IMS-Security方式のサポートをしていない通信端末を用いた場合であっても、IMS‐Security方式による端末認証を確実に行うことができるため、携帯網を利用する用途に有効である。
10 携帯網
50 IMS網
101 通信端末
102 通信端末
201 認証要求
301 代理認証サーバ
311 インタフェース部
312 制御部
312a 端末認証機能
312b 代理認証機能
313 記憶部
314 データベース
501 IMS設備群
501a P-CSCF
501b I-CSCF
501c S-CSCF
501d HSS
602 セッション確立要求
701 SGSN/GGSN
801 IPアドレス割当要求
901 ユーザ情報登録
50 IMS網
101 通信端末
102 通信端末
201 認証要求
301 代理認証サーバ
311 インタフェース部
312 制御部
312a 端末認証機能
312b 代理認証機能
313 記憶部
314 データベース
501 IMS設備群
501a P-CSCF
501b I-CSCF
501c S-CSCF
501d HSS
602 セッション確立要求
701 SGSN/GGSN
801 IPアドレス割当要求
901 ユーザ情報登録
Claims (8)
- 通信端末とIMS(IP Multimedia Subsystem)網のIMS設備群とを接続するにあたって、IMS-Security方式を用いて通信端末及びユーザの認証を行うIMS認証制御システムであって、
前記通信端末と前記IMS設備群との間に代理認証サーバが設けられ、該代理認証サーバは、前記通信端末から送信された認証要求を受けた後、前記IMS設備群へ代理認証要求を送信し、前記通信端末を代理して前記IMS設備群とIMS-Security方式による認証を行う手段を有することを特徴とするIMS認証制御システム。 - 前記代理認証サーバは、前記通信端末ごとのIMPU(IP Multimedia Public Identity)、IMPI(IP Multimedia Private Identity)及びRealmの情報を保持するデータベースを備え、前記通信端末からの前記認証要求によって運ばれた公開鍵証明書に基づいて前記通信端末を認証し、前記認証要求によって運ばれた情報に基づいて前記データベースを検索し、前記IMPU及び前記IMPIを参照し、認証を行う手段を有することを特徴とする請求項1に記載のIMS認証制御システム。
- 前記IMPUは、MSISDN(Mobile Subscriber Integrated Services Digital Network Number)由来のIMPUであることを特徴とする請求項2に記載のIMS認証制御システム。
- 前記通信端末と前記代理認証サーバとの間の認証処理は、SSLを用いて行われることを特徴とする請求項1に記載のIMS認証制御システム。
- 通信端末とIMS(IP Multimedia Subsystem)網のIMS設備群とを接続するにあたって、IMS-Security方式を用いて通信端末及びユーザの認証を行うIMS認証制御方法であって、
前記通信端末と前記IMS設備群との間に代理認証サーバが設けられ、該代理認証サーバの処理手順は、前記通信端末から送信された認証要求を受けるステップと、前記IMS設備群へ代理認証要求を送信し、前記通信端末を代理して前記IMS設備群とIMS-Security方式による認証を行うステップとを含むことを特徴とするIMS認証制御方法。 - 前記代理認証サーバは、前記通信端末ごとのIMPU(IP Multimedia Public Identity)、IMPI(IP Multimedia Private Identity)及びRealmの情報を保持するデータベースを備え、前記代理認証サーバによる処理手順は、前記通信端末からの前記認証要求によって運ばれた公開鍵証明書に基づいて前記通信端末を認証し、前記認証要求によって運ばれた情報に基づいて前記データベースを検索し、前記IMPU及び前記IMPIを参照し、認証を行うステップを含むことを特徴とする請求項5に記載のIMS認証制御方法。
- 前記IMPUは、MSISDN(Mobile Subscriber Integrated Services Digital Network Number)由来のIMPUであることを特徴とする請求項6に記載のIMS認証制御方法。
- 前記通信端末と前記代理認証サーバとの間の認証データのやりとりは、SSLを用いて行われることを特徴とする請求項5に記載のIMS認証制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010143372A JP2012010051A (ja) | 2010-06-24 | 2010-06-24 | Ims認証制御システム及びims認証制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010143372A JP2012010051A (ja) | 2010-06-24 | 2010-06-24 | Ims認証制御システム及びims認証制御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012010051A true JP2012010051A (ja) | 2012-01-12 |
Family
ID=45540115
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010143372A Pending JP2012010051A (ja) | 2010-06-24 | 2010-06-24 | Ims認証制御システム及びims認証制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012010051A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016019173A (ja) * | 2014-07-09 | 2016-02-01 | ソフトバンク株式会社 | 通信システム |
| JP2017506028A (ja) * | 2014-01-08 | 2017-02-23 | アルカテル−ルーセント | 第三者ユーザのためにコアネットワークサービスを提供するための方法およびネットワーク要素 |
| JP2017076832A (ja) * | 2015-10-13 | 2017-04-20 | 日本電気株式会社 | 代理認証装置、代理認証方法および代理認証プログラム |
-
2010
- 2010-06-24 JP JP2010143372A patent/JP2012010051A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017506028A (ja) * | 2014-01-08 | 2017-02-23 | アルカテル−ルーセント | 第三者ユーザのためにコアネットワークサービスを提供するための方法およびネットワーク要素 |
| KR101799221B1 (ko) | 2014-01-08 | 2017-11-17 | 알까뗄 루슨트 | 제3자 사용자에 대해 코어 네트워크 서비스를 제공하기 위한 방법 및 네트워크 엘리먼트 |
| JP2016019173A (ja) * | 2014-07-09 | 2016-02-01 | ソフトバンク株式会社 | 通信システム |
| JP2017076832A (ja) * | 2015-10-13 | 2017-04-20 | 日本電気株式会社 | 代理認証装置、代理認証方法および代理認証プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7970380B2 (en) | User authentication in a communications system | |
| EP2371154B1 (en) | Creating a globally unique indentifier of a subscriber device | |
| CN102150412B (zh) | 用于基于独特装置标识符的实例标识符的方法和设备 | |
| EP2269362B1 (en) | Method for enabling communication between a user equipment and an ims gateway | |
| US8856880B2 (en) | Method for providing subscriptions to packet-switched networks | |
| EP2938043B1 (en) | Method of access provision | |
| WO2006136097A1 (fr) | Procédé pour traiter une anomalie lors de la procédure d'inscription d'un utilisateur | |
| US8782743B2 (en) | Methods and apparatus for use in a generic bootstrapping architecture | |
| US20110173687A1 (en) | Methods and Arrangements for an Internet Multimedia Subsystem (IMS) | |
| KR20150058534A (ko) | 인증 정보 전송 | |
| JP5931802B2 (ja) | ネットワークにおける端末認証方法及びシステム | |
| US20220408251A1 (en) | Method for supporting authentication of a user equipment | |
| CN107172099B (zh) | 一种MMtel应用服务器中密钥可配置系统及方法 | |
| EP2119178B1 (en) | Method and apparatuses for the provision of network services offered through a set of servers in an ims network | |
| US9326141B2 (en) | Internet protocol multimedia subsystem (IMS) authentication for non-IMS subscribers | |
| WO2019184717A1 (zh) | 一种通信方法、及相关产品 | |
| CN111480355B (zh) | 用于使用临时标识符来注册ims订户的方法和装置 | |
| CN106790055B (zh) | 一种ims系统的注册方法与装置 | |
| JP2012010051A (ja) | Ims認証制御システム及びims認証制御方法 | |
| GB2555926A (en) | System and method of determining real-time location/status of VoWiFi Users in heterogeneous network environment | |
| CN101621501B (zh) | 通信系统的用户注册控制方法和会话功能控制实体 | |
| KR101360151B1 (ko) | Gruu 사용 가입자 간의 ims망에서의 sip 메시지 전송 방법 및 그 장치 | |
| Matsumoto | A study of authentication method on fixed mobile convergence environments | |
| Rajavelsamy et al. | Efficient registration procedure for multi-domain authentication for mission critical communication services | |
| KR20120097897A (ko) | Ims망내 와일드카드 번호체계 가입자의 위치등록전달방법 및 그 장치 |