JP2017017571A - アクセスポイント、サーバ、通信システム、無線通信方法、接続制御方法、無線通信プログラム及び接続制御プログラム - Google Patents

アクセスポイント、サーバ、通信システム、無線通信方法、接続制御方法、無線通信プログラム及び接続制御プログラム Download PDF

Info

Publication number
JP2017017571A
JP2017017571A JP2015133441A JP2015133441A JP2017017571A JP 2017017571 A JP2017017571 A JP 2017017571A JP 2015133441 A JP2015133441 A JP 2015133441A JP 2015133441 A JP2015133441 A JP 2015133441A JP 2017017571 A JP2017017571 A JP 2017017571A
Authority
JP
Japan
Prior art keywords
authentication
information
request
communication service
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015133441A
Other languages
English (en)
Other versions
JP6205391B2 (ja
Inventor
吉田 達也
Tatsuya Yoshida
達也 吉田
真也 崎野
Shinya Sakino
真也 崎野
悠輝 伊勢
Yuki Ise
悠輝 伊勢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone West Corp
Original Assignee
Nippon Telegraph and Telephone West Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone West Corp filed Critical Nippon Telegraph and Telephone West Corp
Priority to JP2015133441A priority Critical patent/JP6205391B2/ja
Publication of JP2017017571A publication Critical patent/JP2017017571A/ja
Application granted granted Critical
Publication of JP6205391B2 publication Critical patent/JP6205391B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】仮想移動体通信事業者の通信サービスを利用する利用者端末に対して、所定の認証方式を利用して利用者端末の認証を行うことができるアクセスポイント、サーバ、通信システム、無線通信方法、接続制御方法、無線通信プログラム及び接続制御プログラムを提供する。
【解決手段】移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の通信サービスを利用する利用者端末に対して、移動体通信事業者を特定する第1情報及び通信サービスへの加入者を特定する第2情報を用いて通信サービスの利用を許可するための認証を行うアクセスポイントであって、利用者端末に対して、認証を行うための情報をリクエストする認証リクエストを送信する認証処理部と、仮想移動体通信事業者に関する情報を含めるよう要求する要求情報を認証リクエストに含める要求処理部とを備える。
【選択図】図2

Description

本発明は、アクセスポイント、サーバ、通信システム、無線通信方法、接続制御方法、無線通信プログラム及び接続制御プログラムに関する。
移動体回線網を自社では持たないで、実際に移動体回線網を保有する事業者であるMNO(Mobile Network Operator;移動体通信事業者)から、移動体回線網を借りて自社ブランドで通信サービスを行う事業者としてMVNO(Mobile Virtual Network Operator;仮想移動体通信事業者)がある。近年、MVNOの増加に伴い、MVNOが提供する通信サービスを利用するユーザが急激に増加している。また、フリーWi−Fi(登録商標)スポット等の公衆無線LANを利用可能なエリアが拡充している。これにより、MVNOが提供する通信サービスを利用する携帯無線端末であるMVNO端末からの公衆無線LANの利用が増加傾向にある。
携帯電話等の携帯無線端末は、加入者を特定するためのID番号が記録されたICカードであるSIM(Subscriber Identity Module)カードを内蔵している。そして、MVNOは、MNOからSIMカードを借りて、通信サービスの提供を行っている。よって、MVNO端末が内蔵するSIMカードの内部には、MNOを特定する情報は含まれているが、MVNOを特定する情報は含まれていない。
携帯無線端末は、公衆無線LANを利用する際にアクセスポイントに接続する。アクセスポイントは、通信の秘匿性を高めるため未認証の携帯無線端末からの接続を防ぐ機能を有し、公衆無線LANを利用する携帯無線端末に対して所定の認証方式により認証を行う。その認証方式の一つとして、SIMカードの情報を用いた認証方式であるEAP−SIM(Extensible Authentication Protocol-SIM)認証方式やEAP−AKA(Extensible Authentication Protocol-Authentication and Key Agreement)認証方式があり、新たな認証方式として利用され始めている。
特開2011−015021号公報 特開2005−045324号公報
ここで、MVNO端末において、EAP−SIM認証方式やEAP−AKA認証方式を利用した認証を受けようとした場合の問題点について、EAP−SIM認証方式を例に説明する。
MVNO端末は、上述したようにMNOを特定する情報が含まれているSIMカードを内蔵している。このため、MVNO端末よりEAP−SIM認証方式を利用した接続要求を受けたアクセスポイントは、MNOを特定する情報に基づいて、特定のMNOの認証サーバに認証の要求を送信してしまう。しかし、特定のMNOの認証サーバでは、MVNOの認証情報を持っていないため、接続要求元のMVNO端末を認証することができない。すなわち、MVNO端末は、アクセスポイントへの接続に際して、SIMカードの情報を用いた認証方式であるEAP−SIM認証方式を利用することができなかった。
このように、従来の技術では、移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の通信サービスを利用する利用者端末に対して、通信サービスへの加入者を特定する情報を用いて通信サービスの利用を許可するための認証を行う認証方式を利用した場合に、利用者端末の認証を行うことができなかった。
上記事情に鑑み、本発明は、移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の通信サービスを利用する利用者端末に対して、通信サービスへの加入者を特定する情報を用いて通信サービスの利用を許可するための認証を行う認証方式を利用した場合でも、利用者端末の認証を行うことができるアクセスポイント、サーバ、通信システム、無線通信方法、接続制御方法、無線通信プログラム及び接続制御プログラムを提供することを目的としている。
本発明の一態様は、移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の前記通信サービスを利用する利用者端末に対して、前記移動体通信事業者を特定する第1情報及び前記通信サービスへの加入者を特定する第2情報を用いて前記通信サービスの利用を許可するための認証を行うアクセスポイントであって、前記利用者端末に対して、前記認証を行うための情報をリクエストする認証リクエストを送信する認証処理部と、前記仮想移動体通信事業者に関する情報を含めるよう要求する要求情報を前記認証リクエストに含める要求処理部と、を備えるアクセスポイントである。
本発明の一態様は、上記のアクセスポイントであって、前記利用者端末から前記認証リクエストに応じた応答である認証レスポンスを受信する第1受信部をさらに備え、前記認証レスポンスは、前記要求情報に応じて前記仮想移動体通信事業者に関する情報を含むものである。
本発明の一態様は、上記のアクセスポイントであって、前記通信サービスの利用を許可するための認証を行う認証サーバに対して前記利用者端末の認証を要求する認証要求を生成し、前記認証サーバへ前記認証要求を送信するプロキシ機能を有するサーバへ生成した認証情報を送信する送信部をさらに備える。
本発明の一態様は、移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の前記通信サービスを利用する利用者端末に対して、前記移動体通信事業者を特定する第1情報及び前記通信サービスへの加入者を特定する第2情報を用いて前記通信サービスの利用を許可するための認証を行うアクセスポイントと通信可能なプロキシ機能を有するサーバであって、前記仮想移動体通信事業者に関する情報を含み、前記通信サービスの利用を許可するための認証を行う認証サーバに対して前記利用者端末の認証を要求する認証要求を前記アクセスポイントより受信する第2受信部と、前記仮想移動体通信事業者に関する情報と、前記通信サービスの利用を許可するための認証を行う認証サーバを特定する情報とを対応させて格納する事業者管理テーブルと、前記事業者管理テーブルを参照して、前記第2受信部が受信した前記認証要求に含まれる前記仮想移動体通信事業者に関する情報に対応する認証サーバを特定して、特定した認証サーバに前記第2受信部が受信した前記認証要求を送信する認証要求処理部と、を備えるサーバである。
本発明の一態様は、移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の前記通信サービスを利用する利用者端末に対して、前記移動体通信事業者を特定する第1情報及び前記通信サービスへの加入者を特定する第2情報を用いて前記通信サービスの利用を許可するための認証を行うアクセスポイントと、前記アクセスポイントと通信可能なプロキシ機能を有するサーバとを備える通信システムであって、前記アクセスポイントは、前記利用者端末に対して、前記認証を行うための情報をリクエストする認証リクエストを送信する認証処理部と、前記仮想移動体通信事業者に関する情報を含めるよう要求する要求情報を前記認証リクエストに含める要求処理部と、前記利用者端末から、前記認証リクエストに応じた応答であって、前記要求情報に応じて前記仮想移動体通信事業者に関する情報を含む認証レスポンスを受信する第1受信部と、前記通信サービスの利用を許可するための認証を行う認証サーバに対して前記利用者端末の認証を要求する認証要求であって、前記仮想移動体通信事業者に関する情報を含む認証要求を生成し、生成した認証要求を前記サーバへ送信する送信部と、を備え、前記サーバは、前記アクセスポイントより前記認証要求を受信する第2受信部と、前記仮想移動体通信事業者に関する情報と、前記通信サービスの利用を許可するための認証を行う認証サーバを特定する情報とを対応させて格納する事業者管理テーブルと、前記事業者管理テーブルを参照して、前記第2受信部が受信した前記認証要求に含まれる前記仮想移動体通信事業者に関する情報に対応する認証サーバを特定して、特定した認証サーバに前記第2受信部が受信した前記認証要求を送信する認証要求処理部と、を備える通信システムである。
本発明の一態様は、移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の前記通信サービスを利用する利用者端末に対して、前記移動体通信事業者を特定する第1情報及び前記通信サービスへの加入者を特定する第2情報を用いて前記通信サービスの利用を許可するための認証を行うアクセスポイントを用いた無線通信方法であって、前記利用者端末に対して、前記認証を行うための情報をリクエストする認証リクエストであって、前記仮想移動体通信事業者に関する情報を含めるよう要求する要求情報を含む認証リクエストを生成する生成ステップと、前記生成ステップで生成した前記認証リクエストを前記利用者端末へ送信する送信ステップと、を有する無線通信方法である。
本発明の一態様は、上記の無線通信方法であって、前記利用者端末から前記認証リクエストに応じた応答である認証レスポンスを受信する受信ステップをさらに有し、前記認証レスポンスは、前記要求情報に応じて前記仮想移動体通信事業者に関する情報を含むものである。
本発明の一態様は、上記の無線通信方法であって、前記通信サービスの利用を許可するための認証を行う認証サーバに対して前記利用者端末の認証を要求する認証要求を生成し、前記認証サーバへ前記認証要求を送信するプロキシ機能を有するサーバへ生成した認証情報を送信する送信ステップをさらに有する。
本発明の一態様は、移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の前記通信サービスを利用する利用者端末に対して、前記移動体通信事業者を特定する第1情報及び前記通信サービスへの加入者を特定する第2情報を用いて前記通信サービスの利用を許可するための認証を行うアクセスポイントと通信可能なプロキシ機能を有するサーバを用いた接続制御方法であって、前記仮想移動体通信事業者に関する情報を含み、前記通信サービスの利用を許可するための認証を行う認証サーバに対して前記利用者端末の認証を要求する認証要求を前記アクセスポイントより受信する受信ステップと、前記仮想移動体通信事業者に関する情報と、前記通信サービスの利用を許可するための認証を行う認証サーバを特定する情報とを対応させて格納する事業者管理テーブルを参照して、前記受信ステップにおいて受信した前記認証要求に含まれる前記仮想移動体通信事業者に関する情報に対応する認証サーバを特定して、特定した認証サーバに前記受信ステップにおいて受信した前記認証要求を送信する認証要求処理ステップと、を有する接続制御方法である。
本発明の一態様は、移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の前記通信サービスを利用する利用者端末に対して、前記移動体通信事業者を特定する第1情報及び前記通信サービスへの加入者を特定する第2情報を用いて前記通信サービスの利用を許可するための認証を行うアクセスポイントで実行される無線通信プログラムであって、前記利用者端末に対して、前記認証を行うための情報をリクエストする認証リクエストであって、前記仮想移動体通信事業者に関する情報を含めるよう要求する要求情報を含む認証リクエストを生成する生成ステップと、前記生成ステップで生成した前記認証リクエストを前記利用者端末へ送信する送信ステップと、をコンピュータに実行させるための無線通信プログラムである。
本発明の一態様は、上記の無線通信プログラムであって、前記利用者端末から前記認証リクエストに応じた応答である認証レスポンスを受信する受信ステップをさらに有し、前記認証レスポンスは、前記要求情報に応じて前記仮想移動体通信事業者に関する情報を含むものである。
本発明の一態様は、上記の無線通信プログラムであって、前記通信サービスの利用を許可するための認証を行う認証サーバに対して前記利用者端末の認証を要求する認証要求を生成し、前記認証サーバへ前記認証要求を送信するプロキシ機能を有するサーバへ生成した認証情報を送信する送信ステップをさらに有する。
本発明の一態様は、移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の前記通信サービスを利用する利用者端末に対して、前記移動体通信事業者を特定する第1情報及び前記通信サービスへの加入者を特定する第2情報を用いて前記通信サービスの利用を許可するための認証を行うアクセスポイントと通信可能なプロキシ機能を有するサーバで実行される接続制御プログラムであって、前記仮想移動体通信事業者に関する情報を含み、前記通信サービスの利用を許可するための認証を行う認証サーバに対して前記利用者端末の認証を要求する認証要求を前記アクセスポイントより受信する受信ステップと、前記仮想移動体通信事業者に関する情報と、前記通信サービスの利用を許可するための認証を行う認証サーバを特定する情報とを対応させて格納する事業者管理テーブルを参照して、前記受信ステップにおいて受信した前記認証要求に含まれる前記仮想移動体通信事業者に関する情報に対応する認証サーバを特定して、特定した認証サーバに前記受信ステップにおいて受信した前記認証要求を送信する認証要求処理ステップと、をコンピュータに実行させるための接続制御プログラムである。
本発明により、MVNO端末であってもEAP−SIM認証方式やEAP−AKA認証方式を利用することができる。
本実施形態におけるアクセスポイントと、プロキシサーバとを備える通信システムの構成例を示すブロック図である。 本実施形態の通信システム4の構成例を示す図である。 本実施形態の事業者管理DB74の具体的な構成例を示す図である。 本実施形態の通信システム4の動作を示すフロー図である。 EAP−SIM認証方式の認証を行う場合のアクセスポイント6及びユーザ端末5間の処理を示すシーケンス図である。 EAP−AKA認証方式の認証を行う場合のアクセスポイント6及びユーザ端末5間の処理を示すシーケンス図である。
以下、図面を参照して、本発明に係る一実施形態におけるアクセスポイントと、プロキシサーバとを備える通信システムについて説明する。
図1は、本実施形態におけるアクセスポイントと、プロキシサーバとを備える通信システムの構成例を示すブロック図である。図1に示すように、本実施形態の通信システム4は、アクセスポイント6と、プロキシサーバ7とを備える。
通信ネットワーク1は、通信事業者が提供する移動体通信ネットワークであり、例えば、NGN(次世代ネットワーク)等のIP(Internet Protocol)ネットワークである。アクセスポイント6及びプロキシサーバ7は、通信ネットワーク1内に配置されている。すなわち、通信システム4は、通信ネットワーク1内に構築されている。無線通信2は、アクセスポイント6と、ユーザ端末5を含む携帯無線端末との間における無線による通信であって、例えばWi−Fi(登録商標)通信を示す。インターネット3は、複数のネットワークを相互に接続したコンピュータネットワークである。
ユーザ端末5は、アクセスポイント6と無線通信可能な無線通信端末であって、MVNO(仮想移動体通信事業者)が提供する通信サービスを利用するMVNO端末である。ユーザ端末5は、MNO(移動体通信事業者)を特定する情報及び加入者を特定するためのID番号が記録されたSIMカード51を内蔵している。すなわち、SIMカード51は、上記MNOを特定する情報によって特定されるMNOがMVNOに貸与したものである。
アクセスポイント6は、インターネット3への接続サービスである公衆無線LANのサービスを携帯無線端末(ユーザ端末5を含む)へ提供する装置である。アクセスポイント6は、公衆無線LANを利用する携帯無線端末に対してEAP−SIM認証方式やEAP−AKA認証方式を用いた認証を行う機能を有する。アクセスポイント6は、通信ネットワーク1に接続されており、認証した携帯無線端末のみを通信ネットワーク1及びゲートウェイサーバ9経由でインターネット3へ接続する。
プロキシサーバ7は、IPパケットの送信先の振り分けを行うプロキシ機能を有するサーバであって、アクセスポイント6からの認証要求を処理する認証サーバ8a、8A、8B、8C、…を特定して、アクセスポイント6からの認証要求を特定した認証サーバへ送信する機能を有する。
認証サーバ8a、8A、8B、8C、…(以下、まとめて認証サーバ8とする。)は、アクセスポイント6からの認証要求に応じて認証結果を出力する認証サーバであり、例えば、AAA(Authentication(認証)、Authorization(認可)、Accounting(アカウンティング))サーバである。本実施形態では、認証サーバ8A、8B、8C、…は、MVNOがMVNO端末に対して無線通信サービスを提供するための認証サーバである。例えば、MVNOとしてA社、B社、C社、…がある場合に、A社の認証サーバが認証サーバ8Aであり、B社の認証サーバが認証サーバ8Bであり、C社の認証サーバが認証サーバ8Cである。
また、認証サーバ8aは、MNOが加入者の無線通信端末に対して無線通信サービスを提供するための認証サーバである。例えば、MNOとしてD社があり、通信ネットワーク1を所有している場合に、D社の認証サーバが認証サーバ8aである。なお、本実施形態においては、MVNOのA社、B社、C社、…は、MNOのD社より通信ネットワーク1を借りて通信サービスを行っている。
なお、アクセスポイント6が行う認証とは、認証サーバ8に対して認証要求を送信し、その認証要求に応じた認証結果を取得し、取得した認証結果に基づいて携帯無線端末の認証を行うことである。
ゲートウェイサーバ9は、通信ネットワーク1内に設定されたゲートウェイ機能を有するサーバであって、通信ネットワーク1の通信プロトコルに応じた通信データを、インターネット3の通信プロトコルに応じた通信データへ変換する処理等を行う。
次に、本実施形態の通信システム4の構成例について説明する。
図2は、本実施形態の通信システム4の構成例を示す図である。図2に示すように、アクセスポイント6は、WLAN IF(インタフェース)61と、WAN IF(インタフェース)62と、認証機能部63とを備える。プロキシサーバ7は、WAN IF71、72と、認証情報処理部73と、事業者管理DB(データベース)74とを備える。
WLAN IF61は、ユーザ端末5を含む携帯無線端末と無線通信の接続を行うためのインタフェース部である。WAN IF62は、プロキシサーバ7と接続するためのインタフェース部である。認証機能部63は、ユーザ端末5を含む携帯無線端末に対してEAP−SIM認証方式やEAP−AKA認証方式を用いた認証を行う。認証機能部63は、ユーザ端末5を含む携帯無線端末を認証するための認証要求を、対応する認証サーバ8に送信して、当該認証サーバ8から認証要求に応じた認証結果を取得する機能を有する。
また、認証機能部63は、ユーザ端末5を含む携帯無線端末に対してAPN(Access Point Name)情報を要求するAPN要求部631を備える。APN情報とは、接続先を指定する文字列の情報であり、具体的には、携帯無線端末からMVNOが提供する通信サービスのネットワークに接続する際に必要な接続先を特定する情報である。携帯無線端末からネットワークに接続する際に必要な接続先を特定する情報とは、例えばMVNOであるインターネット・サービス・プロバイダの接続先に関する情報である。
WAN IF71は、アクセスポイント6と接続するためのインタフェース部である。WAN IF72は、認証サーバ8又はゲートウェイサーバ9と接続するためのインタフェース部である。認証情報処理部73は、MVNOである通信事業者毎に認証要求を振り分ける処理を行う。事業者管理DB74は、MVNOが提供する通信サービスを利用するための認証サーバ8A、8B、8C、…に関する管理テーブルであって、APN情報と、振り分け先となる認証サーバに関する情報とを対応させた管理テーブルを記録している。
次に、事業者管理DB74の具体的な構成例について説明する。
図3は、本実施形態の事業者管理DB74の具体的な構成例を示す図である。図3に示すように、MVNOである通信事業者A社、B社、C社、…のAPN情報として「aaa.co.jp」、「bbb.co.jp」、「ccc.co.jp」、…が格納されている。また、各APN情報に対応して振り分け先となるA社、B社、C社、…に対応する認証サーバ8を特定する情報として「認証サーバ8A」、「認証サーバ8B」、「認証サーバ8C」、…が格納されている。すなわち、事業者管理DB74は、APN情報である「aaa.co.jp」、「bbb.co.jp」、「ccc.co.jp」、…と、認証サーバ8を特定する情報である「認証サーバ8A」、「認証サーバ8B」、「認証サーバ8C」、…とを対応させて格納する管理テーブルで構成されている。
次に、通信システム4の動作について、アクセスポイント6、ユーザ端末5及びプロキシサーバ7における処理の具体例を示して説明する。
図4は、本実施形態の通信システム4の動作を示すフロー図である。図4に示すように、アクセスポイント6は、ユーザ端末5とWLAN IF61を用いて無線通信を開始して、ユーザ端末5を帰属させる(ステップS101)。次に、認証機能部63は、ユーザ端末5に対して、EAP−SIM認証方式又はEAP−AKA認証方式に基づいた認証リクエストであるEAP−RequestをWLAN IF61を介して送信する(ステップS102)。この時、APN要求部631は、EAP−RequestのData部にAPN情報の抽出依頼のフラグを含める処理を行う。なお、フラグは、例えば所定の文字列である。
これにより、ユーザ端末5は、アクセスポイント6からEAP−Requestを受信して、以下の処理を行う(ステップS103)。ユーザ端末5は、EAP−RequestのData部にAPN情報の抽出依頼のフラグが含まれている場合に、ユーザ端末5内のプロファイル情報からAPN情報を抽出して、EAP−ResponseのData部に格納する。なお、ユーザ端末5内のプロファイル情報とは、ユーザ端末5内に保存されているAPN情報等について設定されている設定ファイルである。ユーザ端末5は、認証レスポンスであるEAP−ResponseのData部に、ユーザ端末5の識別子を格納する。ユーザ端末5の識別子とは、アクセスポイント6がユーザ端末5を特定するための情報であって、SIMカード51に格納されているSIM認証に用いる情報である。ユーザ端末5は、Data部にAPN情報および識別子を格納するEAP−Responseをアクセスポイント6へ送信する。
これにより、アクセスポイント6は、WLAN IF61を介してData部にAPN情報および識別子を格納するEAP−Responseを受信する。次に、アクセスポイント6及びユーザ端末5は、EAP−SIM認証方式又はEAP−AKA認証方式に準じた処理を行う(ステップS104)。アクセスポイント6は、認証サーバ8に対して認証要求を行う認証パケットであって、ユーザ端末5のAPN情報を含む認証パケットをWAN IF62を介してプロキシサーバ7へ送信する。ここでは、認証パケットに含まれるユーザ端末5のAPN情報は「aaa.co.jp」であるとする。なお、ステップS104のEAP−SIM認証方式又はEAP−AKA認証方式に準じた処理の詳細については、図5、図6を用いて後で説明する。
次に、プロキシサーバ7のWAN IF71は、ユーザ端末5のAPN情報を含む認証要求(認証パケット)を受信する(ステップS105)。次に、認証情報処理部73は、受信した認証パケットからAPN情報を抽出して、事業者管理DB74の管理テーブルに含まれるAPN情報と照合する(ステップS106)。ここで、一致するAPN情報が管理テーブルにあった場合(ステップS107のYES)には、認証情報処理部73は、一致したAPN情報で特定される認証サーバへ認証要求をWAN IF72を介して送信する(ステップS108)。APN情報が「aaa.co.jp」である場合、認証情報処理部73は、認証サーバ8Aへ認証要求を送信する。
次に、認証サーバ8Aは、認証要求に応じた認証結果をプロキシサーバ7へ返信する。認証サーバ8Aは、ユーザ端末5に対して通信サービスを提供するMVNOの認証サーバであるから、ユーザ端末5からの認証要求に対して適切な認証結果を返信することができる。プロキシサーバ7のWAN IF72は、その認証結果を受信する。次に、プロキシサーバ7は、WAN IF72が受信した認証結果をアクセスポイント6へ送信する(ステップS109)。
一致するAPN情報が管理テーブルにない場合(ステップS107のNO)には、認証情報処理部73は、アクセスポイント6から受信した認証要求に対して、EAP−SIM認証方式又はEAP−AKA認証方式に準じた振り分けを行う(ステップS110)。具体的には、認証情報処理部73は、SIMカード51に格納されていた識別子に基づいてMNOを特定して、特定されたMNOの認証サーバへ認証要求を送信する。これにより、MNOの認証サーバは、認証要求に応じた認証結果をプロキシサーバ7へ返信する。プロキシサーバ7のWAN IF72は、その認証結果を受信する。次に、プロキシサーバ7は、WAN IF72が受信した認証結果をアクセスポイント6へ送信する(ステップS109)。
以上に説明したとおり、本実施形態における通信システム4によれば、ユーザ端末5に対してEAP−SIM認証方式又はEAP−AKA認証方式の認証を行う際に、認証リクエストの処理に応じてユーザ端末5からAPN情報を取得して、このAPN情報に基づいてMVNOの認証サーバに認証要求を送信することができる。これにより、通信システム4は、MVNO端末に対してEAP−SIM認証方式又はEAP−AKA認証方式を利用する認証を行うことができる。また、MVNO端末を利用しているユーザの利便性が向上する。また、プロキシサーバ7が、流動的に認証サーバへ振分ける構成であっても、通信システム4は、ユーザ端末5に対してEAP−SIM認証方式又はEAP−AKA認証方式の認証を提供することができる。
次に、図4に示したステップS104のEAP−SIM認証方式又はEAP−AKA認証方式に準じた処理の詳細について図5、図6を用いて説明する。
まず、EAP−SIM認証方式の認証を行う場合のアクセスポイント6及びユーザ端末5間の処理について説明する。図5は、EAP−SIM認証方式の認証を行う場合のアクセスポイント6及びユーザ端末5間の処理を示すシーケンス図である。なお、EAP−SIM認証方式は、公知の認証方式であるので、アクセスポイント6及びユーザ端末5間で送受信される各メッセージの詳細については省略する。
図5に示すように、アクセスポイント6は、ユーザ端末5に対して、認証リクエストである「EAP−Request/Identity」を送信する(ステップS201)。このステップS201の処理は、図4に示したステップS102と同じ処理である。すなわち、「EAP−Request/Identity」には、APN情報の抽出依頼のフラグが含まれている。
次に、ユーザ端末5は、アクセスポイント6に対して、認証レスポンスである「EAP−Response/Identity」を送信する(ステップS202)。このステップS202の処理は、図4に示したステップS103と同じ処理である。すなわち、「EAP−Response/Identity」のData部には、APN情報および識別子が格納されている。次に、アクセスポイント6は、ユーザ端末5に対して、利用可能な暗号方式のリストであるVERSION_LISTを含む「EAP−Request/SIM/Start (AT_VERSION_LIST)」を送信する。
次に、ユーザ端末5は、暗号化に一度だけ使われる番号(乱数値)であるナンス(NONCE)を生成する(ステップS204)。次に、ユーザ端末5は、アクセスポイント6に対して、ナンスと選択した暗号方式であるSELECTED_VERSIONを含む「EAP−Response/SIM/Start(AT_NONCE_MT,AT_SELECTED_VERSION)」を送信する(ステップS205)。次に、アクセスポイント6は、ユーザ端末5に対して、ナンスRAND及びナンスと事前共有鍵から生成したMAC値を含む「EAP−Request/SIM/Challenge (AT_RAND, AT_MAC)」を送信する(ステップS206)。次に、ユーザ端末5は、GSM(登録商標)アルゴリズムを実行し、MAC値の正当性を確認し、セッション鍵を取得する(ステップS207)。
次に、ユーザ端末5は、アクセスポイント6に対して、MAC値を含む「EAP−Response/SIM/Challenge(AT_MAC)」を送信する(ステップS208)。次に、アクセスポイント6は、ユーザ端末5に対して、EAP認証成功を示す「EAP−Success」を送信する(ステップS209)。以上の処理により、アクセスポイント6は、ユーザ端末5に対してEAP−SIM認証方式を利用した認証を行う。
次に、EAP−AKA認証方式の認証を行う場合のアクセスポイント6及びユーザ端末5間の処理について説明する。図6は、EAP−AKA認証方式の認証を行う場合のアクセスポイント6及びユーザ端末5間の処理を示すシーケンス図である。なお、EAP−AKA認証方式は、公知の認証方式であるので、アクセスポイント6及びユーザ端末5間で送受信される各メッセージの詳細については省略する。
図6に示すように、アクセスポイント6は、ユーザ端末5に対して、認証リクエストである「EAP−Request/Identity」を送信する(ステップS301)。このステップS301の処理は、図4に示したステップS102と同じ処理である。すなわち、「EAP−Request/Identity」には、APN情報の抽出依頼のフラグが含まれている。
次に、ユーザ端末5は、アクセスポイント6に対して、ユーザのNAI(Network Access Identifier;ネットワークアクセス識別子)を含む認証レスポンスである「EAP−Response/Identity(Includes user‘s NAI)」を送信する(ステップS302)。このステップS302の処理は、図4に示したステップS103と同じ処理である。すなわち、「EAP−Response/Identity」のData部には、APN情報および識別子が格納されている。
次に、アクセスポイント6は、AKAアルゴリズムを実行して認証ベクトルの乱数であるRAND及び認証トークンであるAUTNを生成する(ステップS303)。次に、アクセスポイント6は、ユーザ端末5に対して、RAND、AUTN及びMAC値を含む「EAP−Request/AKA−Challenge(AT_RAND,AT_AUTN,AT_MAC)」を送信する(ステップS304)。
次に、ユーザ端末5は、AKAアルゴリズムを実行して、AUTN及びMAC値の正当性を確認し、その確認の結果であるRES及びセッション鍵を取得する(ステップS305)。次に、ユーザ端末5は、アクセスポイント6に対して、RESとMAC値を含む「EAP−Response/AKA−Challenge (AT_RES,AT_MAC)」を送信する(ステップS306)。次に、アクセスポイント6は、RESの確認を行い、RES及びMAC値の正当性を確認する(ステップS307)。次に、アクセスポイント6は、ユーザ端末5に対して、EAP認証成功を示す「EAP−Success」を送信する(ステップS308)。以上の処理により、アクセスポイント6は、ユーザ端末5に対してEAP−AKA認証方式を利用した認証を行う。
上述したEAP−SIM認証方式及びEAP−AKA認証方式を用いた認証は、IDとパスワードを入力して行う認証等に比べると、認証処理に要する時間を大幅に短縮することができる。また、MNOが提供するアクセスポイントが複数のMVNOの通信サービスの一次窓口になる場合に、MNOは、複数のMVNOに対するローミング費用等を適切に管理することができる。
上述した実施形態におけるアクセスポイント6及びプロキシサーバ7内の各機能をコンピュータで実現するようにしてもよい。その場合、この機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって実現してもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含んでもよい。また上記プログラムは、前述した機能の一部を実現するためのものであってもよく、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよく、FPGA(Field Programmable Gate Array)等のプログラマブルロジックデバイスを用いて実現されるものであってもよい。
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
1…通信ネットワーク,2…無線通信,3…インターネット,4…通信システム,5…ユーザ端末,6…アクセスポイント,7…プロキシサーバ,8、8a、8A、8B、8C…認証サーバ,9…ゲートウェイサーバ,51…SIMカード,63…認証機能部,73…認証情報処理部,74…事業者管理DB

Claims (13)

  1. 移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の前記通信サービスを利用する利用者端末に対して、前記移動体通信事業者を特定する第1情報及び前記通信サービスへの加入者を特定する第2情報を用いて前記通信サービスの利用を許可するための認証を行うアクセスポイントであって、
    前記利用者端末に対して、前記認証を行うための情報をリクエストする認証リクエストを送信する認証処理部と、
    前記仮想移動体通信事業者に関する情報を含めるよう要求する要求情報を前記認証リクエストに含める要求処理部と、
    を備えるアクセスポイント。
  2. 前記利用者端末から前記認証リクエストに応じた応答である認証レスポンスを受信する第1受信部をさらに備え、
    前記認証レスポンスは、前記要求情報に応じて前記仮想移動体通信事業者に関する情報を含むものである請求項1に記載のアクセスポイント。
  3. 前記通信サービスの利用を許可するための認証を行う認証サーバに対して前記利用者端末の認証を要求する認証要求を生成し、前記認証サーバへ前記認証要求を送信するプロキシ機能を有するサーバへ生成した認証情報を送信する送信部をさらに備える請求項1又は請求項2に記載のアクセスポイント。
  4. 移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の前記通信サービスを利用する利用者端末に対して、前記移動体通信事業者を特定する第1情報及び前記通信サービスへの加入者を特定する第2情報を用いて前記通信サービスの利用を許可するための認証を行うアクセスポイントと通信可能なプロキシ機能を有するサーバであって、
    前記仮想移動体通信事業者に関する情報を含み、前記通信サービスの利用を許可するための認証を行う認証サーバに対して前記利用者端末の認証を要求する認証要求を前記アクセスポイントより受信する第2受信部と、
    前記仮想移動体通信事業者に関する情報と、前記通信サービスの利用を許可するための認証を行う認証サーバを特定する情報とを対応させて格納する事業者管理テーブルと、
    前記事業者管理テーブルを参照して、前記第2受信部が受信した前記認証要求に含まれる前記仮想移動体通信事業者に関する情報に対応する認証サーバを特定して、特定した認証サーバに前記第2受信部が受信した前記認証要求を送信する認証要求処理部と、
    を備えるサーバ。
  5. 移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の前記通信サービスを利用する利用者端末に対して、前記移動体通信事業者を特定する第1情報及び前記通信サービスへの加入者を特定する第2情報を用いて前記通信サービスの利用を許可するための認証を行うアクセスポイントと、前記アクセスポイントと通信可能なプロキシ機能を有するサーバとを備える通信システムであって、
    前記アクセスポイントは、
    前記利用者端末に対して、前記認証を行うための情報をリクエストする認証リクエストを送信する認証処理部と、
    前記仮想移動体通信事業者に関する情報を含めるよう要求する要求情報を前記認証リクエストに含める要求処理部と、
    前記利用者端末から、前記認証リクエストに応じた応答であって、前記要求情報に応じて前記仮想移動体通信事業者に関する情報を含む認証レスポンスを受信する第1受信部と、
    前記通信サービスの利用を許可するための認証を行う認証サーバに対して前記利用者端末の認証を要求する認証要求であって、前記仮想移動体通信事業者に関する情報を含む認証要求を生成し、生成した認証要求を前記サーバへ送信する送信部と、
    を備え、
    前記サーバは、
    前記アクセスポイントより前記認証要求を受信する第2受信部と、
    前記仮想移動体通信事業者に関する情報と、前記通信サービスの利用を許可するための認証を行う認証サーバを特定する情報とを対応させて格納する事業者管理テーブルと、
    前記事業者管理テーブルを参照して、前記第2受信部が受信した前記認証要求に含まれる前記仮想移動体通信事業者に関する情報に対応する認証サーバを特定して、特定した認証サーバに前記第2受信部が受信した前記認証要求を送信する認証要求処理部と、
    を備える通信システム。
  6. 移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の前記通信サービスを利用する利用者端末に対して、前記移動体通信事業者を特定する第1情報及び前記通信サービスへの加入者を特定する第2情報を用いて前記通信サービスの利用を許可するための認証を行うアクセスポイントを用いた無線通信方法であって、
    前記利用者端末に対して、前記認証を行うための情報をリクエストする認証リクエストであって、前記仮想移動体通信事業者に関する情報を含めるよう要求する要求情報を含む認証リクエストを生成する生成ステップと、
    前記生成ステップで生成した前記認証リクエストを前記利用者端末へ送信する送信ステップと、
    を有する無線通信方法。
  7. 前記利用者端末から前記認証リクエストに応じた応答である認証レスポンスを受信する受信ステップをさらに有し、
    前記認証レスポンスは、前記要求情報に応じて前記仮想移動体通信事業者に関する情報を含むものである請求項6に記載の無線通信方法。
  8. 前記通信サービスの利用を許可するための認証を行う認証サーバに対して前記利用者端末の認証を要求する認証要求を生成し、前記認証サーバへ前記認証要求を送信するプロキシ機能を有するサーバへ生成した認証情報を送信する送信ステップをさらに有する請求項6又は請求項7に記載の無線通信方法。
  9. 移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の前記通信サービスを利用する利用者端末に対して、前記移動体通信事業者を特定する第1情報及び前記通信サービスへの加入者を特定する第2情報を用いて前記通信サービスの利用を許可するための認証を行うアクセスポイントと通信可能なプロキシ機能を有するサーバを用いた接続制御方法であって、
    前記仮想移動体通信事業者に関する情報を含み、前記通信サービスの利用を許可するための認証を行う認証サーバに対して前記利用者端末の認証を要求する認証要求を前記アクセスポイントより受信する受信ステップと、
    前記仮想移動体通信事業者に関する情報と、前記通信サービスの利用を許可するための認証を行う認証サーバを特定する情報とを対応させて格納する事業者管理テーブルを参照して、前記受信ステップにおいて受信した前記認証要求に含まれる前記仮想移動体通信事業者に関する情報に対応する認証サーバを特定して、特定した認証サーバに前記受信ステップにおいて受信した前記認証要求を送信する認証要求処理ステップと、
    を有する接続制御方法。
  10. 移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の前記通信サービスを利用する利用者端末に対して、前記移動体通信事業者を特定する第1情報及び前記通信サービスへの加入者を特定する第2情報を用いて前記通信サービスの利用を許可するための認証を行うアクセスポイントで実行される無線通信プログラムであって、
    前記利用者端末に対して、前記認証を行うための情報をリクエストする認証リクエストであって、前記仮想移動体通信事業者に関する情報を含めるよう要求する要求情報を含む認証リクエストを生成する生成ステップと、
    前記生成ステップで生成した前記認証リクエストを前記利用者端末へ送信する送信ステップと、
    をコンピュータに実行させるための無線通信プログラム。
  11. 前記利用者端末から前記認証リクエストに応じた応答である認証レスポンスを受信する受信ステップをさらに有し、
    前記認証レスポンスは、前記要求情報に応じて前記仮想移動体通信事業者に関する情報を含むものである請求項10に記載の無線通信プログラム。
  12. 前記通信サービスの利用を許可するための認証を行う認証サーバに対して前記利用者端末の認証を要求する認証要求を生成し、前記認証サーバへ前記認証要求を送信するプロキシ機能を有するサーバへ生成した認証情報を送信する送信ステップをさらに有する請求項10又は請求項11に記載の無線通信プログラム。
  13. 移動体通信事業者の所有する通信ネットワークを借りて通信サービスを提供する仮想移動体通信事業者の前記通信サービスを利用する利用者端末に対して、前記移動体通信事業者を特定する第1情報及び前記通信サービスへの加入者を特定する第2情報を用いて前記通信サービスの利用を許可するための認証を行うアクセスポイントと通信可能なプロキシ機能を有するサーバで実行される接続制御プログラムであって、
    前記仮想移動体通信事業者に関する情報を含み、前記通信サービスの利用を許可するための認証を行う認証サーバに対して前記利用者端末の認証を要求する認証要求を前記アクセスポイントより受信する受信ステップと、
    前記仮想移動体通信事業者に関する情報と、前記通信サービスの利用を許可するための認証を行う認証サーバを特定する情報とを対応させて格納する事業者管理テーブルを参照して、前記受信ステップにおいて受信した前記認証要求に含まれる前記仮想移動体通信事業者に関する情報に対応する認証サーバを特定して、特定した認証サーバに前記受信ステップにおいて受信した前記認証要求を送信する認証要求処理ステップと、
    をコンピュータに実行させるための接続制御プログラム。
JP2015133441A 2015-07-02 2015-07-02 アクセスポイント、サーバ、通信システム、無線通信方法、接続制御方法、無線通信プログラム及び接続制御プログラム Active JP6205391B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015133441A JP6205391B2 (ja) 2015-07-02 2015-07-02 アクセスポイント、サーバ、通信システム、無線通信方法、接続制御方法、無線通信プログラム及び接続制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015133441A JP6205391B2 (ja) 2015-07-02 2015-07-02 アクセスポイント、サーバ、通信システム、無線通信方法、接続制御方法、無線通信プログラム及び接続制御プログラム

Publications (2)

Publication Number Publication Date
JP2017017571A true JP2017017571A (ja) 2017-01-19
JP6205391B2 JP6205391B2 (ja) 2017-09-27

Family

ID=57831098

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015133441A Active JP6205391B2 (ja) 2015-07-02 2015-07-02 アクセスポイント、サーバ、通信システム、無線通信方法、接続制御方法、無線通信プログラム及び接続制御プログラム

Country Status (1)

Country Link
JP (1) JP6205391B2 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006005445A (ja) * 2004-06-15 2006-01-05 Nec Corp ネットワーク接続システムおよびネットワーク接続方法
JP2006517359A (ja) * 2003-01-13 2006-07-20 モトローラ・インコーポレイテッド 無線ローカルエリアネットワークにより移動局にネットワークサービス情報を提供する方法及び装置
JP2010028422A (ja) * 2008-07-18 2010-02-04 Hitachi Kokusai Electric Inc ゲートウェイ装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006517359A (ja) * 2003-01-13 2006-07-20 モトローラ・インコーポレイテッド 無線ローカルエリアネットワークにより移動局にネットワークサービス情報を提供する方法及び装置
JP2006005445A (ja) * 2004-06-15 2006-01-05 Nec Corp ネットワーク接続システムおよびネットワーク接続方法
JP2010028422A (ja) * 2008-07-18 2010-02-04 Hitachi Kokusai Electric Inc ゲートウェイ装置

Also Published As

Publication number Publication date
JP6205391B2 (ja) 2017-09-27

Similar Documents

Publication Publication Date Title
CN107409137B (zh) 用于使用应用专用网络接入凭证到无线网络的受担保连通性的装置和方法
US11082838B2 (en) Extensible authentication protocol with mobile device identification
CN107409136B (zh) 用于使用应用专用网络接入凭证到无线网络的受担保连通性的装置和方法
US8526408B2 (en) Support of UICC-less calls
EP2184934B1 (en) Method and apparatuses for single sign-on access to a service network through an access network
JP5992554B2 (ja) 第1のクライアントステーションのクレデンシャルを使用して第2のクライアントステーションを認証するシステム及び方法
JP6668407B2 (ja) 移動通信システムに用いられる端末認証方法及び装置
CN101610241B (zh) 一种绑定认证的方法、系统和装置
US20060019635A1 (en) Enhanced use of a network access identifier in wlan
CN109922474B (zh) 触发网络鉴权的方法及相关设备
KR102456280B1 (ko) 원격 통신 네트워크의 단말 내에서 모바일 장비와 협력하는 보안 엘리먼트를 인증하기 위한 방법
JP2018523418A (ja) セルラーアクセスネットワークノードのための識別子を含むネットワークアクセス識別子
WO2017219673A1 (zh) VoWiFi网络接入方法和系统、终端
US10462671B2 (en) Methods and arrangements for authenticating a communication device
KR20180057665A (ko) 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템
US20130104207A1 (en) Method of Connecting a Mobile Station to a Communcations Network
US20140011479A1 (en) Identification method for accessing mobile broadband services or applications
US12052358B2 (en) Method and apparatus for multiple registrations
JP6205391B2 (ja) アクセスポイント、サーバ、通信システム、無線通信方法、接続制御方法、無線通信プログラム及び接続制御プログラム
WO2017000620A1 (zh) 重认证识别方法、演进分组数据网关及系统
JP5670926B2 (ja) 無線lanのアクセスポイントの端末アクセス制御システム及び認可サーバ装置
Vargic et al. Provisioning of VoIP services for mobile subscribers using WiFi access network
Huang et al. A secure and efficient multi-device and multi-service authentication protocol (semmap) for 3gpp-lte networks
Santos Secure Wifi Portals in WIFI4EU Environment
WO2024049335A1 (en) Two factor authentication

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170530

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170724

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170808

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170904

R150 Certificate of patent or registration of utility model

Ref document number: 6205391

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250