JP2022134280A - Authentication system - Google Patents
Authentication system Download PDFInfo
- Publication number
- JP2022134280A JP2022134280A JP2021033320A JP2021033320A JP2022134280A JP 2022134280 A JP2022134280 A JP 2022134280A JP 2021033320 A JP2021033320 A JP 2021033320A JP 2021033320 A JP2021033320 A JP 2021033320A JP 2022134280 A JP2022134280 A JP 2022134280A
- Authority
- JP
- Japan
- Prior art keywords
- user terminal
- authentication
- communication control
- authentication server
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012546 transfer Methods 0.000 claims abstract description 13
- 230000005540 biological transmission Effects 0.000 claims abstract 2
- 238000004891 communication Methods 0.000 claims description 19
- 238000000034 method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 230000010365 information processing Effects 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 2
- 240000007594 Oryza sativa Species 0.000 description 1
- 235000007164 Oryza sativa Nutrition 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 235000009566 rice Nutrition 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Abstract
Description
本発明は、インターネット上のサーバがIPアドレスに基づきモバイルユーザを認証するシステムに関する。 The present invention relates to a system where a server on the Internet authenticates a mobile user based on IP address.
従来、インターネット上のサービスを利用するユーザを、割り当てられたIPアドレスに紐づくユーザ識別情報(通信事業者の加入者識別番号)を用いて認証するシステム(回線認証システム)が提供されている。
例えば、非特許文献1では、IPアドレスに対して、MACアドレス等を登録するIP管理データベースを用いて、MACアドレス認証を実現する技術が提案されている。
Conventionally, there has been provided a system (line authentication system) that authenticates a user using a service on the Internet by using user identification information (a subscriber identification number of a telecommunications carrier) associated with an assigned IP address.
For example, Non-Patent
しかしながら、従来の回線認証システムは、例えば、ユーザに割り当てられたIPアドレスと加入者識別番号(IMSI)とを紐づけたデータベースにより、ユーザを認証している。したがって、インターネット上のサーバは、IPアドレスが同一であれば、アクセス元が同一のユーザであることを推定できることから、同一ユーザによるサービスの利用履歴等を追跡することが可能となっていた。 However, conventional line authentication systems authenticate users using a database that links IP addresses assigned to users and subscriber identification numbers (IMSI), for example. Therefore, if the IP address is the same, the server on the Internet can presume that the access source is the same user, so it has become possible to track the usage history of services by the same user.
このようなセキュリティ問題は、例えばIPv4であれば、NAT(Network Address Translation)を利用することにより緩和することができるが、IPv6のように、NATを通常用いないネットワークでは、この問題が顕在化していた。 With IPv4, for example, such security problems can be alleviated by using NAT (Network Address Translation). rice field.
本発明は、回線認証におけるセキュリティを向上できる認証システムを提供することを目的とする。 SUMMARY OF THE INVENTION An object of the present invention is to provide an authentication system capable of improving security in line authentication.
本発明に係る通信制御装置は、インターネット上の認証サーバにアクセスするユーザ端末に対して、セッション毎に異なるセッション番号を生成して前記ユーザ端末の識別番号と演算し、前記認証サーバと予め共有した鍵により暗号化した値と、前記セッション番号とを含んだIPアドレスを割り当てる割り当て部と、前記ユーザ端末のデータパケットを、割り当てられた前記IPアドレスを送信元として前記認証サーバへ転送することにより、前記認証サーバにおいて、前記IPアドレスから前記ユーザ端末の識別番号を導出させる転送部と、を備える。 A communication control apparatus according to the present invention generates a session number that differs for each session for a user terminal that accesses an authentication server on the Internet, calculates it with the identification number of the user terminal, and shares it with the authentication server in advance. an allocation unit that allocates an IP address containing a value encrypted with a key and the session number; The authentication server includes a forwarding unit that derives an identification number of the user terminal from the IP address.
前記ユーザ端末の識別番号は、SIMに記録された加入者識別番号であってもよい。 The user terminal identification number may be a subscriber identification number recorded in the SIM.
本発明に係る認証システムは、前記通信制御装置が複数の認証サーバのそれぞれに対応して複数と、前記ユーザ端末と通信する基地局と、を備え、前記基地局は、前記ユーザ端末から受信した前記データパケットを、当該ユーザ端末に予め紐づけられた前記通信制御装置へ転送し、前記通信制御装置は、それぞれに固有の前記鍵を、複数の前記認証サーバのいずれかと予め共有する。 The authentication system according to the present invention comprises a plurality of said communication control devices corresponding respectively to a plurality of authentication servers, and a base station communicating with said user terminal, said base station receiving from said user terminal The data packet is transferred to the communication control device pre-associated with the user terminal, and the communication control device shares the unique key with one of the plurality of authentication servers in advance.
前記通信制御装置は、前記ユーザ端末に割り当てられるネットワークスライス毎に設けられてもよい。 The communication control device may be provided for each network slice assigned to the user terminal.
本発明に係る通信制御プログラムは、前記通信制御装置としてコンピュータを機能させるためのものである。 A communication control program according to the present invention is for causing a computer to function as the communication control device.
本発明によれば、回線認証におけるセキュリティを向上できる。 According to the present invention, security in line authentication can be improved.
以下、本発明の実施形態の一例について説明する。
図1は、本実施形態における認証システム1の構成を示す図である。
認証システム1は、モバイル通信を行うユーザ端末10と、ユーザ端末10と通信する基地局20と、モバイルネットワークからインターネットへデータ転送(ルーティング)を行う通信制御装置であるUPF(User Plane Function)30とを備え、インターネット上の認証サーバ2に対して、回線認証の仕組みを提供する。
An example of an embodiment of the present invention will be described below.
FIG. 1 is a diagram showing the configuration of an
The
UPF30は、第5世代移動通信システム(5G)において導入された複数のネットワークスライスそれぞれに設けられ、ユーザ端末のSIM(Subscriber Identity Module)に記録された加入者識別番号(International Mobile Subscriber Identity; IMSI)に紐づけて、ネットワークスライス番号が予め契約情報として登録される。 The UPF 30 is provided in each of a plurality of network slices introduced in the fifth generation mobile communication system (5G), and is recorded in the SIM (Subscriber Identity Module) of the user terminal Subscriber identification number (International Mobile Subscriber Identity; IMSI) , the network slice number is registered in advance as contract information.
ネットワークスライス番号は、ユーザに提供されるサービス毎、又はサービス事業者毎に設定され、該当のUPF30とユーザが利用するサービスの認証サーバ2とで固有の鍵が共有される。
基地局20は、ユーザ端末10から受信したデータパケットを、このユーザ端末10が利用するサービスに予め紐づけられたUPF30へ転送する。
A network slice number is set for each service provided to the user or for each service provider, and a unique key is shared between the corresponding UPF 30 and the
The
UPF30は、ユーザ端末10がインターネットと通信を行う際に、認証情報としてのIMSIを導出可能なIPアドレスをユーザ端末10に割り当てる。
認証サーバ2は、このユーザ端末10に割り当てられたIPアドレスから、UPF30と予め共有した鍵を用いてIMSIを導出することにより認証を行う。
The UPF 30 assigns to the
The
図2は、本実施形態におけるUPF30の機能構成を示す図である。
UPF30は、制御部31及び記憶部32の他、通信デバイス等を備えた情報処理装置(コンピュータ)であり、制御部31が記憶部32に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における次の各部として機能する。
UPF30の制御部31は、割り当て部311と、保持部312と、転送部313とを備える。
FIG. 2 is a diagram showing the functional configuration of the UPF 30 in this embodiment.
The UPF 30 is an information processing apparatus (computer) including a communication device and the like in addition to the
The
割り当て部311は、インターネット上の認証サーバ2にアクセスするユーザ端末10に対して、セッション毎に異なるセッション番号を生成してユーザ端末10の識別番号(IMSI)と演算し、認証サーバ2と予め共有した鍵により暗号化した値と、セッション番号とを含んだIPアドレスを割り当てる。
The
図3は、本実施形態におけるユーザ端末10に割り当てられるIPアドレスの算出方法を示す図である。
IPアドレス全体を、3つの部分B、N、Uに分けたとき、Bは、事業者に割り当てられるIPアドレスの範囲を示す部分、Nは、セッション毎に異なる任意の値である。
FIG. 3 is a diagram showing a method of calculating the IP address assigned to the
When the entire IP address is divided into three parts B, N, and U, B is the part indicating the range of IP addresses assigned to the service provider, and N is an arbitrary value that differs for each session.
Uは、IMSIをZ、鍵をXとしたとき、NとZの演算結果をXで暗号化したものである。NとZの演算は、例えば、ビット列の結合(N∥Z又はZ∥N)、加算、排他的論理和等、適宜設定されてよい。
これにより、鍵Xを保有するUPF30及び認証サーバ2は、IPアドレスの一部分Uを鍵Xで復号し、さらに、Nを用いて逆演算を行うことにより、Zを導出できる。
U is obtained by encrypting the operation result of N and Z with X, where Z is the IMSI and X is the key. The operation of N and Z may be appropriately set, for example, combination of bit strings (N∥Z or Z∥N), addition, exclusive OR, or the like.
As a result, the UPF 30 and the
保持部312は、ユーザ端末10に割り当てられたIPアドレスと、このユーザ端末の識別番号であるIMSIとを紐付けて認証情報として所定のデータベースに保持する。
The
転送部313は、ユーザ端末10から送信されたデータパケットを、割り当てられたIPアドレスを送信元として認証サーバ2へ転送する。
The
図4は、本実施形態における認証方法の流れを示すシーケンス図である。
このシーケンスは、ユーザ端末10と基地局20との通信接続が確立した後、ユーザ端末10がインターネット上で契約済みのサービスを利用するため、該当の認証サーバ2にアクセスする際の流れを示している。
FIG. 4 is a sequence diagram showing the flow of the authentication method according to this embodiment.
This sequence shows the flow when the
ステップS1において、ユーザ端末10は、認証サーバ2を宛先とするデータパケットを、基地局20へ送信する。
In step S<b>1 , the
ステップS2において、基地局20は、ユーザ端末10のSIMに記録されているネットワークスライス番号に基づいて、転送先であるUPF30を特定する。
In step S<b>2 , the
ステップS3において、基地局20は、受信したデータパケットを、ステップS2で特定されたUPF30に転送する。
At step S3, the
ステップS4において、UPF30は、ユーザ端末10に対して、認証サーバ2との間の現在のセッションに関するIPアドレスが割り当てられているか否かを判定する。この判定がYESの場合、処理はステップS6に移り、判定がNOの場合、処理はステップS5に移る。
In step S<b>4 , the UPF 30 determines whether or not an IP address related to the current session with the
ステップS5において、UPF30は、新たなセッション番号を生成し、ユーザ端末10のIMSIと合わせて暗号化した値を含む、新たなIPアドレスを算出し、ユーザ端末10に対して割り当てる。
In step S<b>5 , the UPF 30 generates a new session number, calculates a new IP address including a value encrypted together with the IMSI of the
ステップS6において、UPF30は、データパケットを、ユーザ端末10に割り当てられたIPアドレスを送信元として、認証サーバ2に対して送信する。
In step S6, the UPF 30 transmits a data packet to the
本実施形態によれば、認証システム1は、UPF30において、インターネット上の認証サーバ2にアクセスするユーザ端末10に対して、セッション毎に異なるセッション番号を生成してユーザ端末10の識別番号と演算し、認証サーバ2と予め共有した鍵により暗号化した値と、セッション番号とを含んだIPアドレスを割り当てる。
したがって、ユーザ端末10のデータパケットを、割り当てられたIPアドレスを送信元として認証サーバ2へ転送することにより、認証サーバ2は、送信元のIPアドレスから、共有鍵を用いてユーザ端末10のIMSIを導出し、ユーザ認証を行える。
この結果、ユーザ端末10のIPアドレスがセッション毎に異なるため、第三者による追跡を回避し、回線認証におけるセキュリティを向上できる。
According to this embodiment, the
Therefore, by transferring the data packet of the
As a result, since the IP address of the
具体的には、SIMに記録されたIMSIをユーザ端末10の識別番号として、容易にセキュアな回線認証システムを構築できる。
Specifically, a secure line authentication system can be easily constructed by using the IMSI recorded in the SIM as the identification number of the
さらに、認証システム1は、複数のUPF30を、サービス(事業者)毎に設けられた認証サーバ2と対応して設置することにより、各UPF30に固有の鍵を、対応する認証サーバ2と共有する。このとき、基地局20がデータパケットを、ユーザ端末10に予め紐づけられたUPF30に転送することにより、対応する認証サーバ2でのみIPアドレスからIMSIを導出して認証を行うことができる。
Furthermore, the
具体的には、ユーザに割り当てられたネットワークスライスに対応して、UPF30が設けられ、認証システム1は、ユーザ毎の契約内容に応じて、許可した認証サーバ2に対してのみ回線認証の仕組みを提供することができる。
Specifically, the UPF 30 is provided corresponding to the network slice assigned to the user, and the
なお、これにより、例えば、より安全なインターネットアクセスを実現できることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。 As a result, for example, safer Internet access can be realized, so it is important to realize Goal 9 of the Sustainable Development Goals (SDGs) led by the United Nations, which states, "Build resilient infrastructure, promote sustainable industrialization, It will be possible to contribute to "expanding innovation".
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。 Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments. Moreover, the effects described in the above-described embodiments are merely enumerations of the most suitable effects produced by the present invention, and the effects of the present invention are not limited to those described in the embodiments.
認証システム1による認証方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
An authentication method by the
1 認証システム
2 認証サーバ
10 ユーザ端末
20 基地局
30 UPF(通信制御装置)
31 制御部
32 記憶部
311 当て部
312 保持部
313 転送部
1
31
Claims (5)
前記ユーザ端末のデータパケットを、割り当てられた前記IPアドレスを送信元として前記認証サーバへ転送することにより、前記認証サーバにおいて、前記IPアドレスから前記ユーザ端末の識別番号を導出させる転送部と、を備える通信制御装置。 For a user terminal accessing an authentication server on the Internet, a different session number is generated for each session, calculated with the identification number of the user terminal, and a value encrypted with a key shared in advance with the authentication server; an assigning unit that assigns an IP address including a session number;
a transfer unit that transfers a data packet of the user terminal to the authentication server using the assigned IP address as a transmission source, thereby causing the authentication server to derive an identification number of the user terminal from the IP address; communication control device.
前記ユーザ端末と通信する基地局と、を備え、
前記基地局は、前記ユーザ端末から受信した前記データパケットを、当該ユーザ端末に予め紐づけられた前記通信制御装置へ転送し、
前記通信制御装置は、それぞれに固有の前記鍵を、複数の前記認証サーバのいずれかと予め共有する認証システム。 a plurality of communication control devices according to claim 1 or claim 2 corresponding to each of a plurality of authentication servers;
a base station that communicates with the user terminal;
The base station transfers the data packet received from the user terminal to the communication control device pre-associated with the user terminal;
An authentication system in which the communication control device shares the unique key with one of the plurality of authentication servers in advance.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021033320A JP7412377B2 (en) | 2021-03-03 | 2021-03-03 | Authentication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021033320A JP7412377B2 (en) | 2021-03-03 | 2021-03-03 | Authentication system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022134280A true JP2022134280A (en) | 2022-09-15 |
JP7412377B2 JP7412377B2 (en) | 2024-01-12 |
Family
ID=83232373
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021033320A Active JP7412377B2 (en) | 2021-03-03 | 2021-03-03 | Authentication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7412377B2 (en) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030086390A1 (en) * | 2001-11-02 | 2003-05-08 | General Instrument Corporation | Method and apparatus for transferring a communication session |
JP2011039725A (en) * | 2009-08-10 | 2011-02-24 | Hitachi Ltd | Gateway system and control method |
JP2017143364A (en) * | 2016-02-09 | 2017-08-17 | 日本電信電話株式会社 | Address generation method, apparatus, and program, and address delivery method |
WO2019245783A1 (en) * | 2018-06-22 | 2019-12-26 | Idac Holdings, Inc. | Procedures enabling privacy for wtrus using pc5 communication |
WO2020049754A1 (en) * | 2018-09-05 | 2020-03-12 | コネクトフリー株式会社 | Information processing method, information processing program, information processing apparatus, and information processing system |
WO2020184341A1 (en) * | 2019-03-08 | 2020-09-17 | コネクトフリー株式会社 | Gate opening method and door unlocking method using portable terminal network address |
-
2021
- 2021-03-03 JP JP2021033320A patent/JP7412377B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030086390A1 (en) * | 2001-11-02 | 2003-05-08 | General Instrument Corporation | Method and apparatus for transferring a communication session |
JP2011039725A (en) * | 2009-08-10 | 2011-02-24 | Hitachi Ltd | Gateway system and control method |
JP2017143364A (en) * | 2016-02-09 | 2017-08-17 | 日本電信電話株式会社 | Address generation method, apparatus, and program, and address delivery method |
WO2019245783A1 (en) * | 2018-06-22 | 2019-12-26 | Idac Holdings, Inc. | Procedures enabling privacy for wtrus using pc5 communication |
JP2021527972A (en) * | 2018-06-22 | 2021-10-14 | アイディーエーシー ホールディングス インコーポレイテッド | Procedure for enabling WTRU privacy using PC5 communication |
WO2020049754A1 (en) * | 2018-09-05 | 2020-03-12 | コネクトフリー株式会社 | Information processing method, information processing program, information processing apparatus, and information processing system |
WO2020184341A1 (en) * | 2019-03-08 | 2020-09-17 | コネクトフリー株式会社 | Gate opening method and door unlocking method using portable terminal network address |
Also Published As
Publication number | Publication date |
---|---|
JP7412377B2 (en) | 2024-01-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110800331B (en) | Network verification method, related equipment and system | |
US9197615B2 (en) | Method and system for providing access-specific key | |
ES2769528T3 (en) | User authentication | |
US8479298B2 (en) | Method for encrypting and embedding information in a URL for content delivery | |
KR102332020B1 (en) | Communication method and communication device | |
JP2004241976A (en) | Mobile communication network system and method for authenticating mobile terminal | |
CN114846764A (en) | Method, apparatus and system for updating anchor keys in a communication network for encrypted communication with service applications | |
EP2027666A1 (en) | Access to services in a telecommunications network | |
WO2019214623A1 (en) | Authentication method, related equipment, and system | |
WO2013040957A1 (en) | Single sign-on method and system, and information processing method and system | |
US20220368684A1 (en) | Method, Device, and System for Anchor Key Generation and Management in a Communication Network for Encrypted Communication with Service Applications | |
KR20040098212A (en) | Apparatus and method for authorizing a gateway | |
US20220337408A1 (en) | Method, Device, and System for Application Key Generation and Management in a Communication Network for Encrypted Communication with Service Applications | |
KR20200130106A (en) | Apparatus and method for providing mobile edge computing service in wireless communication system | |
KR20200130141A (en) | Apparatus and method for providing mobile edge computing service in wireless communication system | |
Shi et al. | A service-agent-based roaming architecture for WLAN/cellular integrated networks | |
CN113472668A (en) | Routing method and system in multi-party security computing | |
KR20080081018A (en) | Method, system and apparatus for creating a reverse tunnel | |
US8776197B2 (en) | Secure enterprise service delivery | |
Compagno et al. | An ICN-based authentication protocol for a simplified LTE architecture | |
JP7412377B2 (en) | Authentication system | |
JP4078289B2 (en) | Authentication system | |
TWI837450B (en) | Method for key regeneration and terminal device | |
CN114978741B (en) | Inter-system authentication method and system | |
Kallash et al. | A security framework for node-to-node communications based on the LISP architecture |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230306 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231128 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20231129 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231226 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7412377 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |