JP2020017032A - 認証用装置とサービス用装置とを含むコアネットワークシステムのユーザ認証方法 - Google Patents
認証用装置とサービス用装置とを含むコアネットワークシステムのユーザ認証方法 Download PDFInfo
- Publication number
- JP2020017032A JP2020017032A JP2018138958A JP2018138958A JP2020017032A JP 2020017032 A JP2020017032 A JP 2020017032A JP 2018138958 A JP2018138958 A JP 2018138958A JP 2018138958 A JP2018138958 A JP 2018138958A JP 2020017032 A JP2020017032 A JP 2020017032A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- access token
- authentication
- service
- secret key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
【課題】認証データベースに基づくユーザ認証処理を実行することができない通信環境であっても、端末は通信サービスを利用することができるコアネットワークシステムのユーザ認証方法を提供する。【解決手段】認証用装置は、アクセストークン用秘密鍵を保持し、サービス用装置は、アクセストークン用秘密鍵に対応するアクセストークン用公開鍵を保持する。認証用装置が、端末からユーザ認証要求を受信した際に、認証データベースに基づくユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたアクセストークンを、端末へ返信する。次に、サービス用装置が、端末からアクセストークンを含む制御要求を受信した際に、当該アクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号し、当該制御要求を実行する。【選択図】図3
Description
本発明は、IMS(IP Multimedia Subsystem)のコアネットワークシステムにおけるユーザ認証の技術に関する。
図1は、従来技術における移動通信のシステム構成図である。
図1のシステムによれば、以下の装置から構成されている。
コアネットワークシステム
IMS1 (サービスコアネットワーク)
EPC(Evolved Packet Core)3 (パケットコアネットワーク)
認証データベース(HSS(Home Subscriber Server))2 (加入者情報登録)
基地局(eNB(e-Node B))4
端末(UE(User Equipment))5
コアネットワークシステム
IMS1 (サービスコアネットワーク)
EPC(Evolved Packet Core)3 (パケットコアネットワーク)
認証データベース(HSS(Home Subscriber Server))2 (加入者情報登録)
基地局(eNB(e-Node B))4
端末(UE(User Equipment))5
EPC4は、複数の基地局を収容し、MME(Mobility Management Entity)、SGW(Serving-Gateway)、PGW(PDN(Packet Data Network)-Gateway)及びPCRF(Policy and Charging Rules Function)を有する。
MMEは、コアネットワーク制御装置であって、基地局を介して携帯端末と通信する。MMEは、端末の移動管理だけでなく、HSSと連携した移動端末の認証と、IP伝達経路の設定制御も実行する。
SGWは、MMEからの制御に基づいてIPパケットの伝達制御を実行する。
PGWは、インターネット、IMSなどのPDNとの接続点となり、PDNから移動端末へのIPパケットを全て受信する。
PCRFは、PGW及びSGWでの伝達品質制御を実行するための、QoS(Quality of Service)、課金方法などのIPパケット伝達ポリシを決定する。
MMEは、コアネットワーク制御装置であって、基地局を介して携帯端末と通信する。MMEは、端末の移動管理だけでなく、HSSと連携した移動端末の認証と、IP伝達経路の設定制御も実行する。
SGWは、MMEからの制御に基づいてIPパケットの伝達制御を実行する。
PGWは、インターネット、IMSなどのPDNとの接続点となり、PDNから移動端末へのIPパケットを全て受信する。
PCRFは、PGW及びSGWでの伝達品質制御を実行するための、QoS(Quality of Service)、課金方法などのIPパケット伝達ポリシを決定する。
IMSは、ネットワークリソースの割り当てやゲートの制御を実行し、例えばVoLTE(Voice over LTE)のようなIPベースの通話サービスを提供する。
VoLTEを提供するIMS1は、「ユーザ認可情報(電話番号+契約サービス情報等)」を保持する必要がある。そのために、IMS1は、認証データベース2と接続されている必要がある。
ユーザが所持する端末5(例えばスマートフォン)は、VoLTEサービスを利用する際、SIMカードの識別情報を含むユーザ認証要求を送信する。そのユーザ認証要求を受信したIMS1は、その識別情報を認証用データベース2と照合する。認証が成功した場合、認証情報及びユーザ認可情報が発行される。その後、端末5は、認証情報を用いてサービスを利用する。IMS1は、端末5から受信した認証情報に基づくユーザ認可情報を確認することによってサービスを提供する。
このようなコアネットワークシステムは、例えば大規模災害の発生における停電や通信設備障害を想定して、耐障害性を高めている。
しかしながら、例えば広範囲地域の自然災害等によって、無線アクセスネットワーク(バックホール回線)に障害が発生した場合、一部の端末から広域ネットワークへの接続が断絶され、通信孤立地域が生じる。
しかしながら、例えば広範囲地域の自然災害等によって、無線アクセスネットワーク(バックホール回線)に障害が発生した場合、一部の端末から広域ネットワークへの接続が断絶され、通信孤立地域が生じる。
この場合、通信事業者は、通信孤立地域に、広域ネットワークへの接続機能を備えた基地局やコアネットワーク装置を運び込み、通信を復旧させようとする。基地局やコアネットワーク装置は、例えば自動車や気球、ヘリコプターのようなもので運び込まれるために、実際に通信が可能となるまでに比較的長時間を要する。
また、通信孤立地域でのみ使用される専用の通信事業設備を構築することは、コスト的にも問題がある。そのために、ソフトウェア的に構築された既存のコアネットワーク装置や認証データベースのシステム全体を、可搬型ハードウェアに実装してその通信事業設備として利用する技術もある(例えば特許文献1参照)。
しかしながら、突発的に自然災害等が発生したとはいえ、通信孤立地域におけるユーザの個人情報となる認証データベースを、可搬型装置に搭載することには問題がある。また、認証データベースには、事前にその地域範囲を予測して、そこに滞在する端末の加入者情報を登録しておくことはできない。勿論、日本国内の携帯電話契約者の全ての加入者情報を、通信孤立地域に設置される可搬型装置に予め登録することもできない。
そこで、本発明は、認証データベースに基づくユーザ認証処理を実行することができない通信環境であっても、端末は通信サービスを利用することができるコアネットワークシステムのユーザ認証方法を提供することを目的とする。
本発明によれば、認証用装置とサービス用装置とを含むコアネットワークシステムのユーザ認証方法において、
認証用装置は、アクセストークン用秘密鍵を保持し、
サービス用装置は、アクセストークン用秘密鍵に対応するアクセストークン用公開鍵を保持し、
認証用装置が、端末からユーザ認証要求を受信した際に、認証データベースに基づくユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたアクセストークンを、端末へ返信する第1のステップと、
サービス用装置が、端末からアクセストークンを含む制御要求を受信した際に、当該アクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号し、当該制御要求を実行する第2のステップと
を実行することを特徴する。
認証用装置は、アクセストークン用秘密鍵を保持し、
サービス用装置は、アクセストークン用秘密鍵に対応するアクセストークン用公開鍵を保持し、
認証用装置が、端末からユーザ認証要求を受信した際に、認証データベースに基づくユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたアクセストークンを、端末へ返信する第1のステップと、
サービス用装置が、端末からアクセストークンを含む制御要求を受信した際に、当該アクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号し、当該制御要求を実行する第2のステップと
を実行することを特徴する。
本発明のユーザ認証方法における他の実施形態によれば、
コアネットワークシステムは、IMS(IP Multimedia Subsystem)に基づくものであり、
第2のステップについて、
制御要求は、位置登録要求であり、
サービス用装置は、ユーザ認可情報を復号した際に、セッション情報を作成すると共に、成功応答を端末へ返信することも好ましい。
コアネットワークシステムは、IMS(IP Multimedia Subsystem)に基づくものであり、
第2のステップについて、
制御要求は、位置登録要求であり、
サービス用装置は、ユーザ認可情報を復号した際に、セッション情報を作成すると共に、成功応答を端末へ返信することも好ましい。
本発明のユーザ認証方法における他の実施形態によれば、
第1のステップについて、
認証用装置が、ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を予め保持すると共に、当該ランダム値を端末へ送信する第11のステップと、
端末が、ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を含むアクセストークン要求を、認証用装置へ送信する第12のステップと、
認証用装置は、予め保持した拡張応答値(XRES)と、端末から受信した拡張応答値(XRES)とが一致する際に、ユーザ認可情報を設定する第13のステップと、
認証用装置は、ユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたアクセストークンを、端末へ返信する第14のステップと
を実行することも好ましい。
第1のステップについて、
認証用装置が、ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を予め保持すると共に、当該ランダム値を端末へ送信する第11のステップと、
端末が、ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を含むアクセストークン要求を、認証用装置へ送信する第12のステップと、
認証用装置は、予め保持した拡張応答値(XRES)と、端末から受信した拡張応答値(XRES)とが一致する際に、ユーザ認可情報を設定する第13のステップと、
認証用装置は、ユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたアクセストークンを、端末へ返信する第14のステップと
を実行することも好ましい。
本発明のユーザ認証方法における他の実施形態によれば、
認証用装置と認証データベースとが別個に接続されており、
第11のステップについて、
認証用装置が、ユーザ認証要求を、認証データベースへ送信し、
認証データベースが、ランダム値(RAND)と、当該ランダム値から端末秘密鍵によって暗号化した拡張応答値(XRES)とを、認証用装置へ返信する
を実行することも好ましい。
認証用装置と認証データベースとが別個に接続されており、
第11のステップについて、
認証用装置が、ユーザ認証要求を、認証データベースへ送信し、
認証データベースが、ランダム値(RAND)と、当該ランダム値から端末秘密鍵によって暗号化した拡張応答値(XRES)とを、認証用装置へ返信する
を実行することも好ましい。
本発明のユーザ認証方法における他の実施形態によれば、
認証用装置は、TLS(Transport Layer Security)用のルート証明書を保持し、
サービス用装置は、TLS用のサーバ証明書を保持し、
第1のステップについて、
認証用装置は、端末へ、アクセストークンと共に、ルート証明書を返信し、
第2のステップについて、
認証用装置は、端末からTLS接続要求を受信した際に、サーバ証明書を端末へ返信し、
端末は、ルート証明書によってサーバ証明書を検証する
ことも好ましい。
認証用装置は、TLS(Transport Layer Security)用のルート証明書を保持し、
サービス用装置は、TLS用のサーバ証明書を保持し、
第1のステップについて、
認証用装置は、端末へ、アクセストークンと共に、ルート証明書を返信し、
第2のステップについて、
認証用装置は、端末からTLS接続要求を受信した際に、サーバ証明書を端末へ返信し、
端末は、ルート証明書によってサーバ証明書を検証する
ことも好ましい。
本発明のユーザ認証方法における他の実施形態によれば、
サービス用装置は、サービス公開鍵とサービス秘密鍵とを保持し、
第2のステップについて、
サービス用装置は、端末からTLS接続要求を受信した際に、サービス公開鍵を端末へ返信し、
端末は、暫定秘密鍵を生成し、当該暫定秘密鍵をサービス公開鍵によって暗号化した暗号化暫定秘密鍵を生成し、当該暗号化暫定秘密鍵をサービス用装置へ送信すると共に、当該暫定秘密鍵から共通鍵を作成し、
サービス用装置は、暗号化暫定秘密鍵をサービス秘密鍵によって復号して暫定秘密鍵を取得し、当該暫定秘密鍵から共通鍵を生成し、
端末は、アクセストークンを含む制御要求を共通鍵によって暗号化し、暗号化された制御要求をサービス用装置へ送信し、
サービス用装置は、暗号化された制御要求を共通鍵によって復号し、成功応答を共通鍵によって暗号化した暗号化成功応答を端末へ返信する
ことも好ましい。
サービス用装置は、サービス公開鍵とサービス秘密鍵とを保持し、
第2のステップについて、
サービス用装置は、端末からTLS接続要求を受信した際に、サービス公開鍵を端末へ返信し、
端末は、暫定秘密鍵を生成し、当該暫定秘密鍵をサービス公開鍵によって暗号化した暗号化暫定秘密鍵を生成し、当該暗号化暫定秘密鍵をサービス用装置へ送信すると共に、当該暫定秘密鍵から共通鍵を作成し、
サービス用装置は、暗号化暫定秘密鍵をサービス秘密鍵によって復号して暫定秘密鍵を取得し、当該暫定秘密鍵から共通鍵を生成し、
端末は、アクセストークンを含む制御要求を共通鍵によって暗号化し、暗号化された制御要求をサービス用装置へ送信し、
サービス用装置は、暗号化された制御要求を共通鍵によって復号し、成功応答を共通鍵によって暗号化した暗号化成功応答を端末へ返信する
ことも好ましい。
本発明によれば、認証用装置とサービス用装置とを含むコアネットワークシステムにおいて、
認証用装置は、アクセストークン用秘密鍵を保持し、
サービス用装置は、アクセストークン用秘密鍵に対応するアクセストークン用公開鍵を保持し、
認証用装置は、端末からユーザ認証要求を受信した際に、認証データベースに基づくユーザ認可情報をアクセストークン用秘密鍵によって暗号化したアクセストークンを、端末へ返信するものであり、
サービス用装置は、端末からアクセストークンを含む制御要求を受信した際に、当該アクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号し、当該制御要求を実行するものである
ことを特徴する。
認証用装置は、アクセストークン用秘密鍵を保持し、
サービス用装置は、アクセストークン用秘密鍵に対応するアクセストークン用公開鍵を保持し、
認証用装置は、端末からユーザ認証要求を受信した際に、認証データベースに基づくユーザ認可情報をアクセストークン用秘密鍵によって暗号化したアクセストークンを、端末へ返信するものであり、
サービス用装置は、端末からアクセストークンを含む制御要求を受信した際に、当該アクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号し、当該制御要求を実行するものである
ことを特徴する。
本発明のコアネットワークシステムのユーザ認証方法によれば、認証データベースに基づくユーザ認証処理を実行することができない通信環境であっても、端末は通信サービスを利用することができる。
以下、本発明の実施の形態について、図面を用いて詳細に説明する。
図2は、本発明における移動通信のシステム構成図である。
図2によれば、図1と比較して、VoLTEを提供するIMSのコアネットワークシステムについて、「認証用装置11」と「サービス用装置12」とに分離されている。そのために、認証用装置11のみが、認証データベース2に接続する。
また、例えば自然災害を想定した場合、基地局4は、ソフトウェア的に構築された孤立用コアネットワークシステムとしてのサービス用装置12のみを備えておけばよい。これによって、配下の端末5同士の通信を可能とする。
即ち、本発明によれば、コアネットワークシステムに認証データベース2が接続していなくても、端末5のユーザを認証することができる。
また、例えば自然災害を想定した場合、基地局4は、ソフトウェア的に構築された孤立用コアネットワークシステムとしてのサービス用装置12のみを備えておけばよい。これによって、配下の端末5同士の通信を可能とする。
即ち、本発明によれば、コアネットワークシステムに認証データベース2が接続していなくても、端末5のユーザを認証することができる。
基地局4の孤立用コアネットワークシステムが起動する場合としては、例えば災害や障害によってコアネットワークから断絶した場合がある。また、例えば特定のイベント会場でコアネットワークからあえて遮断した場合であってもよい。この場合、そのイベント会場に滞在するユーザのみに、孤立した通話サービスを提供することができる。
図3は、本発明における基本的なシーケンス図である。
本発明によれば、認証用装置11は、「アクセストークン用秘密鍵」を保持する。
また、サービス用装置12は、アクセストークン用秘密鍵に対応する「アクセストークン用公開鍵」を保持する。
また、サービス用装置12は、アクセストークン用秘密鍵に対応する「アクセストークン用公開鍵」を保持する。
本発明によれば、以下の2つのステップを有する。
(S1)認証用装置11は、端末5に対してアクセストークンを発行する。
(S2)サービス用装置12は、端末5から受信したアクセストークンによって、ユーザを認証する。
即ち、端末5は、コアネットワークシステムに認証データベース2が接続されていなくても、サービス用装置12との間のみでユーザ認証を成功させ、VoLTEサービスの提供を受けることができる。
(S1)認証用装置11は、端末5に対してアクセストークンを発行する。
(S2)サービス用装置12は、端末5から受信したアクセストークンによって、ユーザを認証する。
即ち、端末5は、コアネットワークシステムに認証データベース2が接続されていなくても、サービス用装置12との間のみでユーザ認証を成功させ、VoLTEサービスの提供を受けることができる。
「アクセストークン」とは、ユーザ認証後に、IMSが端末5へ通知する文字列の認証情報である。初回、端末5が認証用装置11に接続した時に、アクセストークンが発行され、端末5はそのアクセストークンを保持する。その後、端末5は、コアネットワークシステムに接続する際に、そのアクセストークンを用いてユーザを認証する。
アクセストークンの一例として、JWT(JSON Web Token)を用いてもよい。
<JWTフォーマット>
[HEADER] . [PAYLOAD] . [SIGNATURE]
HEADER及びPAYLOAD: base64エンコード
<JWT PAYLOAD例>
{
"sub": "userhoge",
"phone_number": "080-1234-5678",
"supplementary_service": "communication-diversion=true",
"aud": "audhoge",
"iss": "https://example.com/",
"exp": 1452565628,
"iat": 1452565568
}
<JWTフォーマット>
[HEADER] . [PAYLOAD] . [SIGNATURE]
HEADER及びPAYLOAD: base64エンコード
<JWT PAYLOAD例>
{
"sub": "userhoge",
"phone_number": "080-1234-5678",
"supplementary_service": "communication-diversion=true",
"aud": "audhoge",
"iss": "https://example.com/",
"exp": 1452565628,
"iat": 1452565568
}
[S1:第1のステップ]
(S11)端末5が、認証用装置11へ、ユーザ認証要求を送信する。
(S12)認証用装置11は、認証データベース2に基づく「ユーザ認可情報」を取得する(具体的には図4参照)。
(S13)認証用装置11は、ユーザ認証要求にアクセストークンリクエストが含まれている場合、アクセストークンを生成する。アクセストークンは、ユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたものである。尚、ユーザ認証要求に、アクセストークンリクエストが含まれていない場合、端末5に対しては、既存方式で動作する。その場合、端末5がコアネットワークシステムに接続する毎に、認証データベース2を用いたユーザ認証が必要となる。
(S14)認証用装置11は、そのアクセストークンを、端末5へ返信する。
これによって、端末5は、アクセストークンを保持することができる。
(S11)端末5が、認証用装置11へ、ユーザ認証要求を送信する。
(S12)認証用装置11は、認証データベース2に基づく「ユーザ認可情報」を取得する(具体的には図4参照)。
(S13)認証用装置11は、ユーザ認証要求にアクセストークンリクエストが含まれている場合、アクセストークンを生成する。アクセストークンは、ユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたものである。尚、ユーザ認証要求に、アクセストークンリクエストが含まれていない場合、端末5に対しては、既存方式で動作する。その場合、端末5がコアネットワークシステムに接続する毎に、認証データベース2を用いたユーザ認証が必要となる。
(S14)認証用装置11は、そのアクセストークンを、端末5へ返信する。
これによって、端末5は、アクセストークンを保持することができる。
[S2:第2のステップ]
(S21)次に、端末5は、サービス用装置12へ、アクセストークンを含む制御要求を送信する。
(S22)サービス用装置12は、そのアクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号する。
(S23)サービス用装置12は、認証成功として、その制御要求を実行する。
これによって、コアネットワークシステムとしては、サービス用装置12のみで、端末5のユーザを認証することができる。
(S21)次に、端末5は、サービス用装置12へ、アクセストークンを含む制御要求を送信する。
(S22)サービス用装置12は、そのアクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号する。
(S23)サービス用装置12は、認証成功として、その制御要求を実行する。
これによって、コアネットワークシステムとしては、サービス用装置12のみで、端末5のユーザを認証することができる。
図4は、本発明の第1のステップの詳細なシーケンス図である。
図4によれば、端末5と認証データベース2との両方で、「端末秘密鍵」を保持する。また、認証用装置11は、別個に接続された認証データベース2と通信する。
(S11)端末5は、認証用装置11へ、ユーザ認証要求を送信する。端末5がアクセストークン方式に対応している場合、ユーザ認証要求には、アクセストークンリクエストが含められる。
(S111)認証用装置11は、認証データベース2へ、ユーザ認証要求を送信する。
(S112)認証データベース2は、ランダム値(RAND)を生成する。
(S113)また、認証データベース2は、当該ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を生成する。
(S114)認証データベース2は、ランダム値(RAND)と拡張応答値(XRES)とを、認証用装置11へ応答する。
(S115)認証用装置11は、拡張応答値(XRES)を自ら保持すると共に、ランダム値(RAND)を端末5へ応答する。
(S116)端末5は、ランダム値(RAND)から、端末秘密鍵によって暗号化した拡張応答値(XRES)を生成する。
(S111)認証用装置11は、認証データベース2へ、ユーザ認証要求を送信する。
(S112)認証データベース2は、ランダム値(RAND)を生成する。
(S113)また、認証データベース2は、当該ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を生成する。
(S114)認証データベース2は、ランダム値(RAND)と拡張応答値(XRES)とを、認証用装置11へ応答する。
(S115)認証用装置11は、拡張応答値(XRES)を自ら保持すると共に、ランダム値(RAND)を端末5へ応答する。
(S116)端末5は、ランダム値(RAND)から、端末秘密鍵によって暗号化した拡張応答値(XRES)を生成する。
(S121)端末5は、拡張応答値(XRES)を含むアクセストークン要求を、認証用装置11へ送信する。
(S122)認証用装置11は、予め保持した拡張応答値(XRES)と、端末5から受信した拡張応答値(XRES)とが一致するか否かを判定する。
(S123)認証用装置11は、S122によって一致した場合、ユーザ認証の成功通知を、認証データベース2へ送信する。
(S12)認証データベース2は、「ユーザ認可情報」を、認証用装置11へ通知する。これによって、認証用装置11は、端末5に対するユーザ認可情報を保持する。
(S13)認証用装置11は、アクセストークンを生成する。アクストークンは、ユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたものである。
(S14)認証用装置11は、生成したアクセストークンを含む成功応答を、端末5へ返信する。
これによって、端末5は、アクセストークンを保持する。
(S122)認証用装置11は、予め保持した拡張応答値(XRES)と、端末5から受信した拡張応答値(XRES)とが一致するか否かを判定する。
(S123)認証用装置11は、S122によって一致した場合、ユーザ認証の成功通知を、認証データベース2へ送信する。
(S12)認証データベース2は、「ユーザ認可情報」を、認証用装置11へ通知する。これによって、認証用装置11は、端末5に対するユーザ認可情報を保持する。
(S13)認証用装置11は、アクセストークンを生成する。アクストークンは、ユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたものである。
(S14)認証用装置11は、生成したアクセストークンを含む成功応答を、端末5へ返信する。
これによって、端末5は、アクセストークンを保持する。
図5は、本発明の第2のステップの詳細なシーケンス図である。
(S21)端末5は、制御要求としての位置登録要求を、サービス用装置12へ送信する。
(S22)サービス用装置12は、アクセストークンから、アクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号する。
(S23)サービス用装置12は、セッション情報を作成する。
(S24)そして、サービス用装置12は、セッション情報を含む成功応答を、端末5へ返信する。
(S22)サービス用装置12は、アクセストークンから、アクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号する。
(S23)サービス用装置12は、セッション情報を作成する。
(S24)そして、サービス用装置12は、セッション情報を含む成功応答を、端末5へ返信する。
(S31)端末5は、アクセストークンを含む発信要求を、サービス用装置12へ送信する。
(S32)サービス用装置12は、アクセストークンから、アクセストークン用公開鍵によって非改竄を検証する。
(S33)非改竄が検証された後、サービス用装置12は、発信要求を他のノードへ送信する。
(S34)サービス用装置12が、他のノードから、端末5に対する発信通知を受信したとする。既に、端末5からのアクセストークンの非改竄が検証済みである。
(S35)そして、サービス用装置12は、その発信通知を、端末5セッション情報を含む成功応答を、端末5へ返信する。
(S32)サービス用装置12は、アクセストークンから、アクセストークン用公開鍵によって非改竄を検証する。
(S33)非改竄が検証された後、サービス用装置12は、発信要求を他のノードへ送信する。
(S34)サービス用装置12が、他のノードから、端末5に対する発信通知を受信したとする。既に、端末5からのアクセストークンの非改竄が検証済みである。
(S35)そして、サービス用装置12は、その発信通知を、端末5セッション情報を含む成功応答を、端末5へ返信する。
図5の場合、S35について、端末5は、信頼できるIMSのサービス用装置12から発信通知か否かを識別することができない。そのために、SIPoverTLSを用いることが好ましい。
尚、既存方式では、端末とIMSとの間で、IPsecを確立することによって、パケット受信時にパケット送信元を検証することができる。但し、IMSのIPアドレスがアタッチ時にPGWから通知されるため、端末が、信頼できないIMSに接続する可能性は低い。
尚、既存方式では、端末とIMSとの間で、IPsecを確立することによって、パケット受信時にパケット送信元を検証することができる。但し、IMSのIPアドレスがアタッチ時にPGWから通知されるため、端末が、信頼できないIMSに接続する可能性は低い。
図6は、本発明のTLS接続要求に基づく第1のシーケンス図である。
図6によれば、認証用装置11は、TLS(Transport Layer Security)用の「ルート証明書」を更に保持する。
また、サービス用装置12は、TLS用の「サーバ証明書」と、「サービス公開鍵」及び「サービス秘密鍵」とを保持する。
また、サービス用装置12は、TLS用の「サーバ証明書」と、「サービス公開鍵」及び「サービス秘密鍵」とを保持する。
(S11)端末5が、ユーザ認証要求を、認証用装置11へ送信する。
(S12〜S13)例えば前述した図4のシーケンスを実行する。
(S14)認証用装置11は、端末5へ、アクセストークンと共に、ルート証明書を含む成功応答を返信する。
これによって、端末5は、アクセストークン及びルート証明書を保持する。
(S12〜S13)例えば前述した図4のシーケンスを実行する。
(S14)認証用装置11は、端末5へ、アクセストークンと共に、ルート証明書を含む成功応答を返信する。
これによって、端末5は、アクセストークン及びルート証明書を保持する。
(S201)端末5は、TLS接続要求を、サービス用装置12へ送信する。
(S202)サービス用装置12は、サーバ証明書及びサービス公開鍵を、端末5へ返信する。
(S203)端末5は、ルート証明書で、サーバ証明書の非改竄を検証する。
(S204)端末5は、暫定秘密鍵を生成する。
(S205)端末5は、当該暫定秘密鍵をサービス公開鍵によって暗号化した暗号化暫定秘密鍵を生成する。
(S206)端末5は、当該暗号化暫定秘密鍵を、サービス用装置12へ送信する。
(S207)端末5は、当該暫定秘密鍵から共通鍵を作成する。
(S202)サービス用装置12は、サーバ証明書及びサービス公開鍵を、端末5へ返信する。
(S203)端末5は、ルート証明書で、サーバ証明書の非改竄を検証する。
(S204)端末5は、暫定秘密鍵を生成する。
(S205)端末5は、当該暫定秘密鍵をサービス公開鍵によって暗号化した暗号化暫定秘密鍵を生成する。
(S206)端末5は、当該暗号化暫定秘密鍵を、サービス用装置12へ送信する。
(S207)端末5は、当該暫定秘密鍵から共通鍵を作成する。
(S208)サービス用装置12は、暗号化暫定秘密鍵をサービス秘密鍵によって復号して暫定秘密鍵を取得する。
(S209)サービス用装置12は、当該暫定秘密鍵から共通鍵を作成する。
これによって、端末5及びサービス用装置12の両方とも、共通鍵を作成することができる。
(S209)サービス用装置12は、当該暫定秘密鍵から共通鍵を作成する。
これによって、端末5及びサービス用装置12の両方とも、共通鍵を作成することができる。
図7は、本発明のTLS接続要求に基づく第2のシーケンス図である。
(S20)端末5は、アクセストークンを含む位置登録要求(制御要求)を共通鍵によって暗号化する。
(S21)端末5は、暗号化された位置登録要求を、サービス用装置12へ送信する。
(S220)サービス用装置12は、暗号化された位置登録要求を共通鍵によって復号する。
(S22)サービス用装置12は、アクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号する。
(S23)サービス用装置12は、セッション情報を作成する。
(S240)サービス用装置12は、セッション情報を含む成功応答を、共通鍵によって暗号化する。
(S24)サービス用装置12は、暗号化された成功応答を、端末5へ返信する。
(S21)端末5は、暗号化された位置登録要求を、サービス用装置12へ送信する。
(S220)サービス用装置12は、暗号化された位置登録要求を共通鍵によって復号する。
(S22)サービス用装置12は、アクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号する。
(S23)サービス用装置12は、セッション情報を作成する。
(S240)サービス用装置12は、セッション情報を含む成功応答を、共通鍵によって暗号化する。
(S24)サービス用装置12は、暗号化された成功応答を、端末5へ返信する。
前述した実施形態によれば、EPC/IMSネットワークについて説明したが、既存の3G (Third Generation)移動通信システムや、将来的な5G(5th Generation)移動通信システムに適用することもできる。
以上、詳細に説明したように、本発明のコアネットワークシステムのユーザ認証方法によれば、認証データベースに基づくユーザ認証処理を実行することができない通信環境であっても、端末は通信サービスを利用することができる。
本発明によれば、例えば異なる通信事業者間で、アクセストークン検証用公開鍵を共有することによって、サービス用装置12を共有化することもできる。また、アクセストークンを端末間で受け渡すことによって、SIMカードの有無に拘わらず、異なる通信事業者のVoLTEサービスを利用することができる。
前述した本発明の種々の実施形態について、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略は、当業者によれば容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。
11 認証用装置
12 サービス用装置
2 認証データベース
3 EPC
4 基地局
5 端末
12 サービス用装置
2 認証データベース
3 EPC
4 基地局
5 端末
Claims (7)
- 認証用装置とサービス用装置とを含むコアネットワークシステムのユーザ認証方法において、
認証用装置は、アクセストークン用秘密鍵を保持し、
サービス用装置は、前記アクセストークン用秘密鍵に対応するアクセストークン用公開鍵を保持し、
認証用装置が、端末からユーザ認証要求を受信した際に、認証データベースに基づくユーザ認可情報に前記アクセストークン用秘密鍵によって署名が付与されたアクセストークンを、前記端末へ返信する第1のステップと、
サービス用装置が、前記端末から前記アクセストークンを含む制御要求を受信した際に、当該アクセストークンから前記アクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号し、当該制御要求を実行する第2のステップと
を実行することを特徴するユーザ認証方法。 - 前記コアネットワークシステムは、IMS(IP Multimedia Subsystem)に基づくものであり、
第2のステップについて、
前記制御要求は、位置登録要求であり、
サービス用装置は、前記ユーザ認可情報を復号した際に、セッション情報を作成すると共に、成功応答を端末へ返信する
ことを特徴とする請求項1に記載のユーザ認証方法。 - 第1のステップについて、
認証用装置が、ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を予め保持すると共に、当該ランダム値を端末へ送信する第11のステップと、
前記端末が、前記ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を含むアクセストークン要求を、認証用装置へ送信する第12のステップと、
認証用装置は、予め保持した拡張応答値(XRES)と、前記端末から受信した拡張応答値(XRES)とが一致する際に、ユーザ認可情報を設定する第13のステップと、
認証用装置は、前記ユーザ認可情報に前記アクセストークン用秘密鍵によって署名が付与されたアクセストークンを、端末へ返信する第14のステップと
を実行することを特徴とする請求項1又は2に記載のユーザ認証方法。 - 認証用装置と認証データベースとが別個に接続されており、
第11のステップについて、
認証用装置が、前記ユーザ認証要求を、認証データベースへ送信し、
認証データベースが、ランダム値(RAND)と、当該ランダム値から端末秘密鍵によって暗号化した拡張応答値(XRES)とを、認証用装置へ返信する
を実行することを特徴とする請求項3に記載のユーザ認証方法。 - 認証用装置は、TLS(Transport Layer Security)用のルート証明書を保持し、
サービス用装置は、TLS用のサーバ証明書を保持し、
第1のステップについて、
認証用装置は、前記端末へ、前記アクセストークンと共に、前記ルート証明書を返信し、
第2のステップについて、
認証用装置は、前記端末からTLS接続要求を受信した際に、前記サーバ証明書を端末へ返信し、
前記端末は、前記ルート証明書によって前記サーバ証明書を検証する
ことを特徴とする請求項1から4のいずれか1項に記載のユーザ認証方法。 - サービス用装置は、サービス公開鍵とサービス秘密鍵とを保持し、
第2のステップについて、
サービス用装置は、前記端末からTLS接続要求を受信した際に、前記サービス公開鍵を端末へ返信し、
前記端末は、暫定秘密鍵を生成し、当該暫定秘密鍵を前記サービス公開鍵によって暗号化した暗号化暫定秘密鍵を生成し、当該暗号化暫定秘密鍵をサービス用装置へ送信すると共に、当該暫定秘密鍵から共通鍵を作成し、
サービス用装置は、暗号化暫定秘密鍵をサービス秘密鍵によって復号して暫定秘密鍵を取得し、当該暫定秘密鍵から共通鍵を生成し、
前記端末は、前記アクセストークンを含む制御要求を共通鍵によって暗号化し、暗号化された制御要求をサービス用装置へ送信し、
サービス用装置は、暗号化された制御要求を共通鍵によって復号し、成功応答を共通鍵によって暗号化した暗号化成功応答を端末へ返信する
ことを特徴とする請求項1から5のいずれか1項に記載のユーザ認証方法。 - 認証用装置とサービス用装置とを含むコアネットワークシステムにおいて、
認証用装置は、アクセストークン用秘密鍵を保持し、
サービス用装置は、前記アクセストークン用秘密鍵に対応するアクセストークン用公開鍵を保持し、
認証用装置は、端末からユーザ認証要求を受信した際に、認証データベースに基づくユーザ認可情報を前記アクセストークン用秘密鍵によって暗号化したアクセストークンを、前記端末へ返信するものであり、
サービス用装置は、前記端末から前記アクセストークンを含む制御要求を受信した際に、当該アクセストークンから前記アクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号し、当該制御要求を実行するものである
ことを特徴するコアネットワークシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018138958A JP6892846B2 (ja) | 2018-07-25 | 2018-07-25 | 認証用装置とサービス用装置とを含むコアネットワークシステムのユーザ認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018138958A JP6892846B2 (ja) | 2018-07-25 | 2018-07-25 | 認証用装置とサービス用装置とを含むコアネットワークシステムのユーザ認証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020017032A true JP2020017032A (ja) | 2020-01-30 |
| JP6892846B2 JP6892846B2 (ja) | 2021-06-23 |
Family
ID=69580433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018138958A Active JP6892846B2 (ja) | 2018-07-25 | 2018-07-25 | 認証用装置とサービス用装置とを含むコアネットワークシステムのユーザ認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6892846B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114205819A (zh) * | 2021-12-10 | 2022-03-18 | 中国电信股份有限公司 | 一种基于混合组网的QoS调用方法及装置、电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003228520A (ja) * | 2001-12-12 | 2003-08-15 | Pervasive Security Systems Inc | 保護電子データにオフラインでアクセスする方法及び装置 |
| JP2006107182A (ja) * | 2004-10-06 | 2006-04-20 | Ntt Data Corp | アクセス制御システム及びプログラム |
| JP2015511467A (ja) * | 2012-02-10 | 2015-04-16 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | モバイル・デバイスのため、発見された位置決めサーバへのセキュアなアクセスをイネーブルすること |
| JP2015513344A (ja) * | 2012-02-07 | 2015-05-07 | アップル インコーポレイテッド | ネットワーク支援の不正検出装置及び方法 |
| JP2015142271A (ja) * | 2014-01-29 | 2015-08-03 | Kddi株式会社 | 通信システム、識別子付与装置および通信方法 |
| WO2017130292A1 (ja) * | 2016-01-26 | 2017-08-03 | 株式会社ソラコム | サーバ、モバイル端末及びプログラム |
| JP2018092446A (ja) * | 2016-12-05 | 2018-06-14 | キヤノン株式会社 | 認証認可システム及び情報処理装置と認証認可方法とプログラム |
-
2018
- 2018-07-25 JP JP2018138958A patent/JP6892846B2/ja active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003228520A (ja) * | 2001-12-12 | 2003-08-15 | Pervasive Security Systems Inc | 保護電子データにオフラインでアクセスする方法及び装置 |
| JP2006107182A (ja) * | 2004-10-06 | 2006-04-20 | Ntt Data Corp | アクセス制御システム及びプログラム |
| JP2015513344A (ja) * | 2012-02-07 | 2015-05-07 | アップル インコーポレイテッド | ネットワーク支援の不正検出装置及び方法 |
| JP2015511467A (ja) * | 2012-02-10 | 2015-04-16 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | モバイル・デバイスのため、発見された位置決めサーバへのセキュアなアクセスをイネーブルすること |
| JP2015142271A (ja) * | 2014-01-29 | 2015-08-03 | Kddi株式会社 | 通信システム、識別子付与装置および通信方法 |
| WO2017130292A1 (ja) * | 2016-01-26 | 2017-08-03 | 株式会社ソラコム | サーバ、モバイル端末及びプログラム |
| JP2018092446A (ja) * | 2016-12-05 | 2018-06-14 | キヤノン株式会社 | 認証認可システム及び情報処理装置と認証認可方法とプログラム |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114205819A (zh) * | 2021-12-10 | 2022-03-18 | 中国电信股份有限公司 | 一种基于混合组网的QoS调用方法及装置、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6892846B2 (ja) | 2021-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107409137B (zh) | 用于使用应用专用网络接入凭证到无线网络的受担保连通性的装置和方法 | |
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
| CN107409136B (zh) | 用于使用应用专用网络接入凭证到无线网络的受担保连通性的装置和方法 | |
| US10681548B2 (en) | Authenticating mobile devices | |
| EP3726797B1 (en) | Key distribution method, device and system | |
| CN104956638B (zh) | 用于在热点网络中未知设备的受限证书注册 | |
| US20060059344A1 (en) | Service authentication | |
| US20150365403A1 (en) | Network-based authentication for third party content | |
| US9055437B2 (en) | Communication system, femtocell base station, authentication apparatus, communication method, and recording medium | |
| JP5977834B2 (ja) | ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント | |
| WO2022073420A1 (zh) | 认证系统,注册及认证方法、装置,存储介质及电子设备 | |
| US10212144B2 (en) | Digital credential with embedded authentication instructions | |
| JP5536628B2 (ja) | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント | |
| CN105027529A (zh) | 用于安全网络接入的方法和装置 | |
| US10390226B1 (en) | Mobile identification method based on SIM card and device-related parameters | |
| CN103067337A (zh) | 一种身份联合的方法、IdP、SP及系统 | |
| US20240080316A1 (en) | Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network | |
| JP6892846B2 (ja) | 認証用装置とサービス用装置とを含むコアネットワークシステムのユーザ認証方法 | |
| JP2016051268A (ja) | 認証システム、認証サーバ、クライアント装置及び認証方法 | |
| CN105592433A (zh) | 设备到设备限制发现业务广播、监听方法、装置及系统 | |
| JP5670926B2 (ja) | 無線lanのアクセスポイントの端末アクセス制御システム及び認可サーバ装置 | |
| CN101742507B (zh) | 一种WAPI终端访问Web应用站点的系统及方法 | |
| KR101480706B1 (ko) | 인트라넷에 보안성을 제공하는 네트워크 시스템 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법 | |
| US11974131B2 (en) | Systems and methods for seamless cross-application authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200616 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210317 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210409 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210422 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210510 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210528 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6892846 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |