JP4319691B2 - Authentication device - Google Patents
Authentication device Download PDFInfo
- Publication number
- JP4319691B2 JP4319691B2 JP2008102518A JP2008102518A JP4319691B2 JP 4319691 B2 JP4319691 B2 JP 4319691B2 JP 2008102518 A JP2008102518 A JP 2008102518A JP 2008102518 A JP2008102518 A JP 2008102518A JP 4319691 B2 JP4319691 B2 JP 4319691B2
- Authority
- JP
- Japan
- Prior art keywords
- decryption key
- authentication
- terminal
- key
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、認証装置に係り、主に放送チャネルにより暗号化されたデータ配信を可能とする無線通信方法に関するものであって、特にCDMA無線通信システムにおける認証装置に関する。 The present invention relates to an authentication apparatus, and more particularly to a wireless communication method capable of distributing data encrypted by a broadcast channel, and more particularly to an authentication apparatus in a CDMA wireless communication system.
国際標準化機関である3GPP2(3rd Generation Partnership Project 2)において、音声通信及びデータ通信が可能な移動体通信方式であるcdma2000 1x方式や、データ通信専用に特化することにより周波数利用効率を向上した移動体無線通信方式であるcdma2000 1xEV−DO(1x Evolution −Data Only)方式について標準化が行われている。cdma2000 1x方式及び1xEV−DO通信方式は、1対1の端末で通信を行うユニキャスト通信を移動体ネットワークで実現するものであったが、1対多の通信を行うマルチキャスト通信の実現が検討されている。 In 3GPP2 (3rd Generation Partnership Project 2), which is an international standardization organization, the cdma2000 1x method, which is a mobile communication method capable of voice communication and data communication, and the mobile with improved frequency utilization efficiency by specializing exclusively in data communication The cdma2000 1xEV-DO (1x Evolution-Data Only) system, which is a body radio communication system, has been standardized. The cdma2000 1x method and the 1xEV-DO communication method are intended to realize unicast communication in which a one-to-one terminal performs communication in a mobile network, but realization of multicast communication in which one-to-many communication is performed has been studied. ing.
マルチキャスト通信を実現するための技術の要素として、無線インタフェースにおいて、データ伝送を行うチャネルとしてBroadcast channelと呼ばれる放送チャネルが規格化されている。例えば、cdma2000 1x用としては3GPP2標準であるC.S0001−D v1.0、C.S0002−D v1.0、C.S0003−D v1.0、C.S0004−D v1.0、C.S0005−D v1.0で規格化されている。また、例えば、cdma2000 1xEV−DO用としてはC.S0054−0 v1.0で規格化されている。放送チャネルを用いたサービスのことをBCMCS(Broadcast Multicast Service)と呼んでいる。 As an element of technology for realizing multicast communication, a broadcast channel called “broadcast channel” is standardized as a channel for data transmission in a wireless interface. For example, for cdma2000 1x, the C.P. S0001-D v1.0, C.I. S0002-D v1.0, C.I. S0003-D v1.0, C.I. S0004-D v1.0, C.I. It is standardized by S0005-D v1.0. For example, C.D. for cdma2000 1xEV-DO It is standardized by S0054-0 v1.0. A service using a broadcast channel is called BCMCS (Broadcast Multicast Service).
従来から基地局−移動機間の通信で使用されていたユニキャスト用のチャネルは、基地局から送信されるデータを単一移動機のみで受信可能であるという特徴を持つ。一方、マルチキャスト通信サポートの為に規格化された放送チャネルは、基地局から送信されるデータを、電波受信可能な全移動機が受信可能であるという特徴を持つ。従って、放送チャネルを用いて送信したデータは全移動機で受信可能となる。選択された移動機群のみデータの受信を可能とするため、データの暗号化を行い、その暗号化されたデータの復号に必要な鍵(復号鍵)を、選択された移動機群にユニキャスト通信等の手段により予め配布する方式が議論されている。復号鍵を移動機へ配信する方式については、3GPP2標準候補 X.P0022−0 v.0.2の7章及び10.2章(非特許文献1)の中で、移動機からの問い合わせに応じてXML(Extensible Markup Language)フォーマット化された復号鍵(BAK;Broadcast Access Key)を送信する方法が開示されている。
Conventionally, a unicast channel used for communication between a base station and a mobile device has a feature that data transmitted from a base station can be received only by a single mobile device. On the other hand, a broadcast channel standardized for multicast communication support has a feature that all mobile devices capable of receiving radio waves can receive data transmitted from a base station. Therefore, the data transmitted using the broadcast channel can be received by all mobile devices. Data is encrypted so that only the selected mobile station group can receive data, and the key (decryption key) necessary for decrypting the encrypted data is unicast to the selected mobile station group. A method of distributing in advance by means of communication or the like has been discussed. 3GPP2 standard candidate X. for the method of distributing the decryption key to the mobile device. P0022-0 v. In
図24は、1xEV−DOネットワークにおけるBCMCSを提供する場合におけるシステム構成図を示す。同図は、1xEV−DOの放送チャネルを用いて複数移動機にデータを送信している状況を示したものである。
コンテンツサーバ108は、放送チャネル用データを生成・送信する機能を有する。これらのデータは、マルチキャストIPアドレスが付与されたIPパケットとしてBSN(Broadcast Serving Node)106に送信される。このIPパケットはBCMCS Controller109で管理する暗号鍵を用いてコンテンツサーバ108にて暗号化されて送信される。コンテンツサーバ108は放送データを送信する際、暗号化を行うために必要な暗号鍵をBCMCS Controller109から予め受信する。
FIG. 24 is a system configuration diagram in the case of providing BCMCS in a 1xEV-DO network. The figure shows a situation in which data is transmitted to a plurality of mobile devices using a 1xEV-DO broadcast channel.
The
BSN106で受信されたデータは、移動機がIPパケット境界を判断することができるようIETF RFC1662にて定義されているHDLCライクフレーミングなどのフレーミング処理が施され、パケット制御装置PCF(Packet Control Function)104へ送信される。PCF104では、BSN106から受信したパケットをバッファリングし、無線帯域に合った伝送速度に調整し、基地局AN(Access Node)103へ送信する。
The data received by the
AN103でPCF104から受信されたデータは、放送チャネルを用いて無線で送信される。放送チャネル上で送信されたデータは、移動機であるAT(Access Terminal)101、AT102のように複数の移動機によって受信される。これら放送データに関する情報や放送データの暗号化・復号化に用いる暗号鍵・復号鍵を持つデータベース、移動機に受信権限の有無などを管理しているのがBCMCS Controller109である。 Data received from the PCF 104 by the AN 103 is transmitted wirelessly using a broadcast channel. Data transmitted on the broadcast channel is received by a plurality of mobile devices such as AT (Access Terminal) 101 and AT 102 which are mobile devices. The BCMCS Controller 109 manages information related to the broadcast data, a database having an encryption key / decryption key used for encryption / decryption of the broadcast data, and the presence / absence of reception authority of the mobile device.
また、同図に示されるAN−AAA(Access Network − Authentication、 Authorization and Accounting)105は、移動機認証に用いられる認証サーバである。例えば、移動機のハードウェアとして事業者によって無線接続が承認されているか否かを認証するためのサーバである。PDSN(Packet Data Serving Node)107は、移動機とのユニキャスト通信をサポートするため、PPP(Point−to−Point Protocol)を終端するノードである。また、PDSN107は、インターネット111で使用されているIPプロトコルに準拠したパケットと、無線ネットワークで使用されるプロトコルの仲介を行う装置である。AAA(Authentication、 Authorization and Accounting)110は、移動機を使用するユーザの認証に用いられる認証サーバであり、移動機を使用するユーザが無線接続を介してインターネット111への接続が承認されているか否かを認証するためのサーバである。 An AN-AAA (Access Network-Authentication, Authorization and Accounting) 105 shown in the figure is an authentication server used for mobile device authentication. For example, it is a server for authenticating whether or not wireless connection is approved by a business operator as hardware of a mobile device. A PDSN (Packet Data Serving Node) 107 is a node that terminates a point-to-point protocol (PPP) in order to support unicast communication with a mobile device. The PDSN 107 is a device that mediates between a packet conforming to the IP protocol used in the Internet 111 and a protocol used in the wireless network. AAA (Authentication, Authorization and Accounting) 110 is an authentication server used to authenticate a user using a mobile device, and whether or not the user using the mobile device is authorized to connect to the Internet 111 via a wireless connection. It is a server for authenticating.
図2に、3GPP2標準候補であるX.P0022−0のAnnex Aに基づく復号鍵配信手順を示す。
BSN106は、コンテンツサーバ108から放送チャネル上で送信するためのデータを受信する。その放送データは、PCF104を介してAN103へ送信される。また、AN103で受信された放送データは、放送チャネルを使用して無線によりAT101へ送信される(201)。このときAT101で受信するデータは暗号化されており、AT101は復号化するための鍵(復号鍵)を保持していないことから、受信データはAT101で廃棄される。
FIG. 2 shows X.3 which is a 3GPP2 standard candidate. The decryption key distribution procedure based on Annex A of P0022-0 is shown.
The BSN 106 receives data for transmission on the broadcast channel from the
例えば、AT101の電源が投入されると、AT101とAN103の間で1xEV−DOセッションの確立を行い、この中で以降の処理で使用する無線プロトコルのパラメータ等の決定が行われる(202)。AT101は、確立された1xEV−DOセッションの情報に基づき、データの通信を行うためのコネクション確立を行う(203)。なお、このコネクションはAT101とAN103間で1対1のユニキャスト通信を行うもので、放送チャネルとは別個に用意されるものである。手順203〜215の通信内容は、このコネクション上で通信が行われるため、他ATは情報を受信できないものとなる。
For example, when the power of the
AN103及びPCF104は、AT101がセッション確立後(202)、最初にコネクションを確立したことを検出し、AT101を通信可能とする前に、AT101に通信する資格が与えられているかを判断する端末認証を実施する。この端末認証を実施するための準備として、AN103とPCF104の間に認証用パスを確立する(204)。
The AN 103 and the PCF 104 detect that the terminal first establishes a connection after the
AT101とPCF104との間で端末認証を実施するため、手順203で確立されたコネクション及び手順204で確立された認証用パスを用いて、PPPに定義されているLCP(link control protocol)の確立を行う(205)。PCF104は端末認証を要求するため、例えば、CHAP Requestメッセージを送信する(206)。AT101は、CHAP Requestメッセージで受信した情報とAT101で保持する移動機固有情報などを使用して認証子を計算し、認証子を含むCHAP ResponseメッセージをPCF104へ送信する(207)。PCF104は、受信した認証子をAccess Acceptメッセージに含めてAN−AAA105へ送信する(208)。AN−AAA105は、受信した認証子の妥当性を計算し、妥当であると判断すると、端末認証を通過したとしてAccess AcceptメッセージをPCF104へ送信する(209)。PCF104は、認証が通過したことを通知するためCHAP SuccessメッセージをAT101へ送信する(210)。
In order to perform terminal authentication between the
次に、AN103とPCF104の間でユニキャスト通信用のパスを確立するためデータ用パスを確立する(211)。また、PCF104とPDSN107の間においてもデータ用パスを確立する(212)。ユニキャスト通信の際必要となるフレーミングを行うために、AT101とPDSN107の間でPPPを確立する(213)。
Next, a data path is established to establish a unicast communication path between the
AT101は、例えば手順201で示す暗号化された放送データを復号するための鍵を受信するため、BCMCS Controller109にHTTP Information Acquisition Requestメッセージを送信する(214)。BCMCS Controller109は、復号鍵と、その復号鍵有効期限情報を含むHTTP Information Acquisition ResponseメッセージをAT101に送信する(215)。
For example, the AT 101 transmits an HTTP Information Acquisition Request message to the BCMCS
その後、AT101は、手順215で受信した復号鍵を使用して、AN103から送信されている暗号化された放送データを復号化し、データ受信をすることが可能となる(216)。
従来の放送チャネルを用いたデータ送信方式では、送信するデータを暗号化せずに送信した場合、受信が意図された移動機以外においても受信が可能となってしまう。例えば、通信事業者とのサービス契約が終了した移動機であっても受信が可能な場合がある。従って、意図された移動機のみによってデータ受信が可能となるように、送信するデータを暗号化して送信し、暗号化されたデータを復号化するための鍵(復号鍵)を送信する方式が考えられている。 In a conventional data transmission method using a broadcast channel, when data to be transmitted is transmitted without being encrypted, it can be received even by a mobile device other than the mobile device intended for reception. For example, even a mobile device for which a service contract with a communication carrier has ended may be received. Therefore, there is a method of encrypting and transmitting data to be transmitted and transmitting a key (decryption key) for decrypting the encrypted data so that the data can be received only by the intended mobile device. It has been.
従来の復号鍵送信方式では、移動機が復号鍵を取得するために、ユニキャスト用の無線リソースを確保し、そのリソースを用いた無線通信を介して復号鍵を管理するサーバとの通信を行うことで復号鍵を取得する。図2はX.P0022−0のAnnex Aで開示されている手順であるが、このような手順では、ユニキャスト用のパスを使用して復号鍵の取得が行われるため、例えば、手順211〜手順215に示す手順が必要となる。これは、手順213で示すPDSNのPPPセッション終端が必要なこと、手順214〜215で示すBCMCS Controllerによるトランザクション処理が必要なことから、PDSN及びBCMCS Controllerにおける資源が浪費されることとなる。また、復号鍵を取得するための手順が多く、復号鍵取得に要する時間が長くなる。
In the conventional decryption key transmission method, in order for a mobile device to acquire a decryption key, a radio resource for unicast is secured, and communication with a server that manages the decryption key is performed via wireless communication using the resource. To obtain the decryption key. FIG. The procedure disclosed in Annex A of P0022-0. In such a procedure, since a decryption key is acquired using a unicast path, for example, the procedures shown in Procedure 211 to
このように、復号鍵取得用に無線リソースを確保しないと復号鍵を取得することができず、放送チャネル上で送信されるデータの受信ができない。従って、通信を提供する基地局により通信実態を把握する必要のない放送データの受信に際しても、移動機からの復号鍵取得のための通信が必要となり、その結果、通信量が増大し、無線トラヒック及び通信網トラヒックが増加する。 As described above, unless a radio resource is secured for obtaining the decryption key, the decryption key cannot be obtained, and the data transmitted on the broadcast channel cannot be received. Therefore, even when receiving broadcast data that does not need to be grasped by the base station that provides the communication, communication for obtaining a decryption key from the mobile device is required. As a result, the communication volume increases and wireless traffic is increased. And network traffic increases.
また、復号鍵取得のための通信量を抑制するために、放送チャネルで送信するデータの暗号化を行わない場合、上述のように受信が意図された受信移動機以外においても受信が可能となってしまい、根本的な解決策とは言えない。 In addition, in order to reduce the amount of communication for obtaining the decryption key, if the data transmitted through the broadcast channel is not encrypted, the reception can be performed by other than the receiving mobile device intended for reception as described above. This is not a fundamental solution.
また、従来の方法では、PDSN107とAT101との間でPPPを確立し、更にBCMCS Controller109との通信を行うために、PDSN107で管理・処理しなければならないセッション数が増加し、BCMCS Controller109で管理・処理しなければならないトランザクションが増加する。このことで、PDSN107及びBCMCS Controller109に要求される処理能力が大きくなり多量の設備を用意することが必要な場合がある。また、PPP確立、BCMCS Controllerとの通信を必要とするため、AT101が復号鍵を得るまでの処理時間を必要とし、AT101がセッションを確立してから放送データの受信開始までに時間を要することとなる。
Further, in the conventional method, in order to establish PPP between the
本発明は、以上の点に鑑み、復号鍵を取得するための特別な通信による通信量を増加させることなく、復号鍵の配信を意図した受信移動機のみに安全に実施する認証装置を提供することを目的のひとつとする。また、本発明は、放送チャネルでデータを受信中に無瞬断で復号鍵を更新することを目的とする。本発明は、セッション数の増加、及び、トランザクション数の増加を抑えつつ復号鍵を受信することを目的のひとつとする。また本発明は、端末が復号鍵を得るための処理時間を短くすることを目的のひとつとする。さらに、本発明は、端末がセッションを開始してから放送データの受信開始までの時間を短くすることを目的とする。また、本発明は、復号鍵を配信するタイミングを無線端末毎にずらすことにより、同時期に通信が集中することを防ぐことを目的のひとつとする。 In view of the above, the present invention provides an authentication device that is safely implemented only for a receiving mobile device intended to distribute a decryption key without increasing the amount of communication by special communication for obtaining the decryption key. One of the purposes. Another object of the present invention is to update a decryption key without interruption while receiving data on a broadcast channel. An object of the present invention is to receive a decryption key while suppressing an increase in the number of sessions and an increase in the number of transactions. Another object of the present invention is to shorten the processing time for the terminal to obtain the decryption key. Furthermore, an object of the present invention is to shorten the time from the start of a session to the start of reception of broadcast data. Another object of the present invention is to prevent communication from being concentrated at the same time by shifting the timing for distributing the decryption key for each wireless terminal.
上記課題を解決すべく、本発明は、例えば移動機の認証を行うための手順に復号鍵を送信する手段を提供することにより、放送チャネルで送信するデータの受信が許可された移動機のみに復号鍵を送信することを特徴のひとつとする。本発明は、従来必要とされていたAT101とPDSN107間のPPP確立処理、AT101とBCMCS Controller109との間で発生していたトランザクションを省くことが可能となり、PDSN107およびBCMCS Controller109の処理量低減、トランザクションが減ることによる処理遅延の低減が可能となる。
In order to solve the above problems, the present invention provides only a mobile device that is permitted to receive data to be transmitted on a broadcast channel, for example, by providing means for transmitting a decryption key to a procedure for authenticating a mobile device. One of the features is that the decryption key is transmitted. The present invention makes it possible to omit the PPP establishment process between the
また、本発明では、一度送信した復号鍵に有効期限を設け、定期的に復号鍵を更新する手段を提供する。このように、一度復号鍵を受信した移動機が放送チャネル上で送信されるデータの受信資格を失った場合、継続してデータの受信ができなくなる手順を設けることを特徴のひとつとする。このデータの受信資格を失う一例としては、移動機の契約を解約した場合が挙げられる。 Further, the present invention provides means for setting an expiration date for a decryption key once transmitted and periodically updating the decryption key. As described above, one feature is that a procedure is provided in which a mobile device that has received a decryption key once cannot receive data when it loses the reception qualification of data transmitted on the broadcast channel. An example of losing the qualification to receive this data is when the mobile device contract is canceled.
本発明の復号鍵配信方法は、例えば、無線基地局と無線端末とからなるデータ配信のための放送チャネルを有し、前記放送チャネルで送信するデータを暗号化して送信する無線方式を用いた無線通信システムにおける復号鍵配信方法において、
前記無線端末が端末認証を行うことを契機に、前記端末認証を行うための信号に、前記暗号化されたデータを復号化する鍵を伝送することを特徴のひとつとする。
The decryption key distribution method of the present invention has, for example, a wireless channel using a wireless system that has a broadcast channel for data distribution composed of a wireless base station and a wireless terminal, and encrypts and transmits data transmitted on the broadcast channel. In a decryption key distribution method in a communication system,
One of the characteristics is that a key for decrypting the encrypted data is transmitted to a signal for performing the terminal authentication when the wireless terminal performs terminal authentication.
上述の復号鍵配信方法において、復号鍵の更新を行うために、現在送信しているデータに対する第一の復号鍵と、未来に送信される予定のデータに対する第二の復号鍵又は任意の数の復号鍵と、前記第二の復号鍵の使用開始時間を指定することにより、又は、前記任意の数の復号鍵のそれぞれに対する使用開始時間を指定することにより、復号鍵の切替を行うことができる。 In the decryption key distribution method described above, in order to update the decryption key, the first decryption key for the currently transmitted data and the second decryption key for the data scheduled to be transmitted in the future, or any number By specifying the decryption key and the use start time of the second decryption key, or by specifying the use start time for each of the arbitrary number of decryption keys, the decryption key can be switched. .
また、上述の復号鍵配信方法において、前記無線基地局から端末認証を実施するための呼び出し信号を契機として、端末認証を開始し、前記第一の復号鍵と、前記第二の復号鍵又は前記任意の数の復号鍵と、復号鍵の使用開始時間を前記無線端末に伝送することができる。 Further, in the above-described decryption key distribution method, terminal authentication is started by using a call signal for performing terminal authentication from the radio base station, and the first decryption key and the second decryption key or the An arbitrary number of decryption keys and a use start time of the decryption key can be transmitted to the wireless terminal.
上述の復号鍵配信方法において、前記無線基地局と前記無線端末がユニキャスト通信用のコネクションを用いて通信中、前記無線基地局から端末認証を実施するための呼び出し信号を送信することを契機として、端末認証を開始し、前記第一の復号鍵と、前記第二の復号鍵又は前記任意の数の復号鍵と、復号鍵の使用開始時間を前記無線端末に伝送することができる。
上述の復号鍵配信方法において、前記無線基地局が前記呼び出し信号を前記無線端末に送信する時間を前記無線端末により変えることにより、復号鍵配信するためのトラヒックを分散化させることができる。
In the above-described decryption key distribution method, when the wireless base station and the wireless terminal are communicating using a connection for unicast communication, the wireless base station transmits a call signal for performing terminal authentication. The terminal authentication is started, and the first decryption key, the second decryption key or the arbitrary number of decryption keys, and the use start time of the decryption key can be transmitted to the wireless terminal.
In the decryption key distribution method described above, traffic for distributing the decryption key can be distributed by changing the time at which the wireless base station transmits the call signal to the wireless terminal.
本発明の第1の解決手段によると、
コンテンツサーバが、暗号鍵及び/又は復号鍵を管理する制御装置から受信した暗号鍵を用いて暗号化されたデータを、無線端末へ放送チャネルにより送信し、無線端末は、暗号鍵に対応した予め配信される復号鍵を用いて受信したデータを復号化する無線通信システムにおいて、該復号鍵を無線端末に配信するための復号鍵配信方法であって、
認証装置が、コンテンツ種別又は識別情報と、対応する復号鍵及び有効時間とを制御装置から受信し、受信されたコンテンツ種別又は識別情報と、復号鍵と、有効時間とを対応させて復号鍵データベースに記憶するステップと、
認証装置が、端末識別子を含む認証要求を無線端末から受信するステップと、
認証装置が、受信された認証要求に従い端末認証を行うステップと、
認証装置が、受信された認証要求内の端末識別子に基づき、端末識別子と端末が受信可能なコンテンツのコンテンツ種別又は識別情報とが対応して予め記憶されたコンテンツ登録データベースを参照し、対応するコンテンツ種別又は識別情報を取得するステップと、
認証装置が、取得されたコンテンツ種別又は識別情報に基づき、復号鍵データベースを参照し、対応する復号鍵と有効時間とを取得するステップと、
認証装置が、前記端末認証を行うステップでの認証結果と、取得された復号鍵及び有効時間とを無線端末又はパケット制御装置へ送信するステップと
を含む前記復号鍵配信方法が提供される。
According to the first solution of the present invention,
The content server transmits the data encrypted using the encryption key received from the control device that manages the encryption key and / or the decryption key to the wireless terminal via the broadcast channel, and the wireless terminal previously corresponds to the encryption key. In a wireless communication system for decrypting received data using a distributed decryption key, a decryption key distribution method for distributing the decryption key to a wireless terminal,
The authentication device receives the content type or identification information and the corresponding decryption key and valid time from the control device, and associates the received content type or identification information, decryption key, and valid time with the decryption key database. The step of storing in
An authentication device receiving an authentication request including a terminal identifier from a wireless terminal;
An authentication device performing terminal authentication in accordance with the received authentication request;
Based on the terminal identifier in the received authentication request, the authentication device refers to the content registration database in which the terminal identifier and the content type or identification information of the content that can be received by the terminal are stored in advance, and the corresponding content Obtaining a type or identification information;
The authentication device refers to the decryption key database based on the acquired content type or identification information, and acquires the corresponding decryption key and valid time;
There is provided the decryption key distribution method including a step in which an authentication device transmits an authentication result in the step of performing terminal authentication and an acquired decryption key and valid time to a wireless terminal or a packet control device.
本発明の第2の解決手段によると
コンテンツサーバが、暗号鍵及び/又は復号鍵を管理する制御装置から受信した暗号鍵を用いて暗号化されたデータを、無線端末へ放送チャネルにより送信し、無線端末は、暗号鍵に対応した予め配信される復号鍵を用いて受信したデータを復号化する無線通信システムにおける認証装置であって、
受信されたコンテンツ種別又は識別情報と、復号鍵と、有効時間とが対応して記憶される復号鍵データベースと、
端末識別子と、端末が受信可能なコンテンツのコンテンツ種別又は識別情報とが対応して予め記憶されたコンテンツ登録データベースと、
端末認証及び復号鍵の配信を行う処理部と
を備え、
前記処理部は、
コンテンツ種別又は識別情報と、対応する復号鍵及び有効時間とを前記制御装置から受信して、前記復号鍵データベースに記憶し、
端末識別子を含む認証要求を前記無線端末から受信し、
受信された認証要求に従い端末認証を行い、
受信された認証要求内の端末識別子に基づき、前記コンテンツ登録データベースを参照し、対応するコンテンツ種別又は識別情報を取得し、
取得されたコンテンツ種別又は識別情報に基づき、前記復号鍵データベースを参照し、対応する復号鍵と有効時間とを取得し、
認証結果と、取得された復号鍵及び有効時間とを前記無線端末又はパケット制御装置へ送信する前記認証装置が提供される。
According to the second solution of the present invention, the content server transmits the data encrypted using the encryption key received from the control device that manages the encryption key and / or the decryption key to the wireless terminal through the broadcast channel, The wireless terminal is an authentication device in a wireless communication system that decrypts data received using a decryption key distributed in advance corresponding to an encryption key,
A decryption key database in which the received content type or identification information, a decryption key, and an effective time are stored correspondingly;
A content registration database in which a terminal identifier and content type or identification information of content that can be received by the terminal are stored in advance;
A processing unit that performs terminal authentication and decryption key distribution,
The processor is
Receiving the content type or identification information and the corresponding decryption key and valid time from the control device, and storing them in the decryption key database;
Receiving an authentication request including a terminal identifier from the wireless terminal;
Perform terminal authentication according to the received authentication request,
Based on the terminal identifier in the received authentication request, refer to the content registration database to obtain the corresponding content type or identification information,
Based on the acquired content type or identification information, refer to the decryption key database, acquire the corresponding decryption key and valid time,
The authentication device is provided that transmits an authentication result and the acquired decryption key and valid time to the wireless terminal or the packet control device.
本発明によると、復号鍵を取得するための特別な通信による通信量を増加させることなく、復号鍵の配信を意図した受信移動機のみに安全に実施する認証装置を提供することができる。また、本発明によると、放送チャネルでデータを受信中に無瞬断で復号鍵を更新することができる。本発明によると、セッション数の増加、及び、トランザクション数の増加を抑えつつ復号鍵を受信することができる。また、本発明によると、端末が復号鍵を作るための処理時間を短くすることができる。さらに、本発明によると、端末がセッションを開始してから放送データの受信開始までの時間を短くすることができる。また、本発明によると、復号鍵を配信するタイミングを無線端末毎にずらすことにより、同時期に通信が集中することを防ぐことができる。 According to the present invention, it is possible to provide an authentication device that can be safely performed only on a receiving mobile device intended to distribute a decryption key without increasing the amount of communication by special communication for obtaining the decryption key. Further, according to the present invention, the decryption key can be updated without interruption while receiving data on the broadcast channel. According to the present invention, it is possible to receive a decryption key while suppressing an increase in the number of sessions and an increase in the number of transactions. Further, according to the present invention, it is possible to shorten the processing time for the terminal to generate the decryption key. Furthermore, according to the present invention, it is possible to shorten the time from the start of the session to the start of reception of broadcast data. Also, according to the present invention, it is possible to prevent communication from being concentrated at the same time by shifting the timing for distributing the decryption key for each wireless terminal.
(ハード構成及びデータフォーマット)
図1は、本実施の形態における1xEV−DOネットワークシステムの構成図である。
以下では、発明の実施形態の一例として図1にて示した1xEV−DOネットワークをベースとして説明する。なお、図1に示すシステム以外にも、本発明は、暗号化したデータを送信可能な放送チャネルを有し、移動機認証を備えるシステム全般に適用が可能である。
(Hardware configuration and data format)
FIG. 1 is a configuration diagram of a 1xEV-DO network system in the present embodiment.
In the following, an example of an embodiment of the invention will be described based on the 1xEV-DO network shown in FIG. In addition to the system shown in FIG. 1, the present invention can be applied to all systems having a broadcast channel capable of transmitting encrypted data and having mobile device authentication.
本システムは、例えば、AN(基地局)103と、PCF104(パケット制御装置)104と、AN−NNN(認証装置)105と、BSN106(BCMCSサービス装置)106と、PDSN(パケットデータサービス装置)107と、コンテンツサーバ108と、BCMCS Controller109(BCMCS制御装置)109と、AAA110とを備える。また、ATへ放送データの復号に用いる復号鍵を配信するため、復号鍵を管理するBCMCS Controller109との接続を持つ。なお、各装置については上述と同様であるので説明を省略する。
This system includes, for example, an AN (base station) 103, a PCF 104 (packet control device) 104, an AN-NNN (authentication device) 105, a BSN 106 (BCMCS service device) 106, and a PDSN (packet data service device) 107. A
図10に、ATのハードウェア構成図を示す。ATは、AN103との通信を行うための呼制御プロトコル及びデータ転送機構を処理するCPU1001と、実行中のソフトウェアやデータ処理の一時記憶媒体として使用されるメモリ1002と、暗号化された放送データを復号するための復号鍵を管理する復号鍵データベースを有する外部記憶装置1003と、AN103へ送信するデータを無線信号への変調を行いおよびAN103から受信したデータを無線信号から取り出す復調を行うための変復調器1005と、無線の受信及び送信を行うRF(Radio Frequency)回路1006とを備える。各部は、例えば、機能間の通信を実現するための通信線である通信バス1004を介して接続される。
FIG. 10 shows a hardware configuration diagram of the AT. The AT stores a
ATは放送データをAN103から受信する際には、RF回路1006にて電波の受信を行い、変復調回路1005にて無線信号からデータの取り出しを行う。取り出された放送データは一旦メモリ1002に書き込まれる。CPU1001はメモリ1002に書き込まれた受信データの復号化を行うため、復号鍵データベースを備える外部記憶装置1003へアクセスし、対応する復号鍵の取得を行う。例えば、復号鍵データベースの有効時間を参照し、現在時刻に応じた復号鍵を取得する。また、CPU1001は、メモリ1002に書き込まれている受信データの復号化を行うことで、放送データの受信が完了する。
When the AT receives broadcast data from the
図11に、ATで保持する復号鍵データベースの詳細構成例を示す。復号鍵データベース1003には、コンテンツ種別1101と、鍵の種別1102と、鍵の有効時間1103と、そのコンテンツの種類1101と鍵の有効時間1103に対応する復号鍵1104とを含む。このデータベースには複数のコンテンツ情報を含むことが可能である。ATは、暗号化された放送データを受信した際に、現在時刻と受信した放送データのコンテンツ種別から、本復号鍵データベース1003に書き込まれている復号鍵を選択し、その復号鍵を使用することで放送データの復号化を行う。なお、鍵種別は省略してもよい。また、コンテンツ種別は、各コンテンツを識別するための識別情報であってもよいし、コンテンツのグループを示す情報であってもよい。
FIG. 11 shows a detailed configuration example of the decryption key database held in the AT. The
図12に、AN−AAA105のハードウェア構成図を示す。AN−AAA105は、PCF104やBCMCS Controller109との通信を行うための呼制御プロトコル及び端末認証時の演算、復号鍵の配信を処理するCPU1201と、実行中のソフトウェアやデータ処理の一時記憶媒体として使用されるメモリ1202と、暗号化された放送データを復号するための復号鍵を管理する復号鍵データベースを有する第1の外部記憶装置1203と、端末認証に使用されるパスワードの管理及びその移動機に対しどのコンテンツに関する復号鍵を送信可能かについて登録している加入者データベースを有する第2の外部記憶装置1204と、PCF104やBCMCS Controller109など外部装置と通信を行うためのインタフェースであるネットワークI/F1206とを備える。各部は、例えば、機能間の通信を実現するための通信線である通信バス1204を介して接続される。また、第1及び第2の外部記憶装置はひとつの記憶装置で構成されてもよい。
FIG. 12 shows a hardware configuration diagram of the AN-
AN−AAA105は、PCF104から端末認証要求をネットワークI/F1206を介して受信し、その端末認証要求は一旦メモリ1202に保存される。CPU1201は、メモリ1202に保存された端末認証要求を読み取り、端末認証要求を生成した移動機に対するパスワードを取得するため、加入者データベースを備える外部記憶装置1204にアクセスする。CPU1201は、端末認証要求で受信したパスワードと、加入者データベースを備える外部記憶装置1204に保存されているパスワードの一致(又はパスワードに基づく認証子の一致)を確認すると、端末認証が成功したとみなす。そして、移動機へ送信するための復号鍵を取得するため、復号鍵データベースを備える外部記憶装置1203へアクセスし、復号鍵の取得を行う。CPU1201はネットワークI/F1206を介して端末認証が成功したとの結果と、復号鍵をPCF104に対し送信する。なお、端末認証が成功しない場合には、復号鍵の取得・送信は省略することができる。
The AN-
図13に、AN−AAA105で保持する復号鍵データベース1203の詳細構成例を示す。復号鍵データベース1203には、コンテンツ種別1301と、鍵の種別1302と、鍵の有効時間1303と、そのコンテンツ種別1301と鍵の有効時間1303に対応する復号鍵1304とを含む。このデータベースには複数のコンテンツ情報を含むことが可能である。AN−AAA105は、端末認証の成功したATに対し復号鍵を送信するために、本復号鍵データベース1203を参照して所望の復号鍵を取得する。なお、鍵種別は省略してもよい。AN−AAA105は、暗号鍵及び復号鍵を管理するBCMCS Controller109から、予め復号鍵等を取得して記憶しておく。詳細な手順は後述する。
FIG. 13 shows a detailed configuration example of the
図14に、AN−AAA105で保持する加入者データベースの詳細構成例を示す。加入者データベース1204は、端末認証用に使用する端末認証テーブル1401と、端末がどのコンテンツ受信が許可されているかの登録状況を示すコンテンツ登録テーブル1402とを有する。
FIG. 14 shows a detailed configuration example of the subscriber database held by the AN-
端末認証テーブル1401は、移動機識別子1403とパスワード1404との対応を示すテーブルとなっている。コンテンツ登録テーブル1402は、移動機識別子1405と、その移動機に対しコンテンツ受信が許可されているかを示す登録コンテンツ1406との対応テーブルとなっている。端末認証テーブル1401及びコンテンツ登録テーブル1402は、予め登録されておくことができる。なお、これらふたつのテーブル1401及び1402をひとつのテーブルで構成してもよい。また、テーブル構成とする以外にも、適宜の形式で記憶することができる。この点、他のテーブルについても同様である。
The terminal authentication table 1401 is a table indicating the correspondence between the
図15に、BCMCS Controller109のハードウェア構成図を示す。BCMCS Controller109は、AN−AAA105やコンテンツサーバ108との通信を行うための呼制御プロトコルを処理するCPU1501と、実行中のソフトウェアやデータ処理の一時記憶媒体として使用されるメモリ1502と、各放送データコンテンツに対する暗号鍵と復号鍵のテーブルを管理する暗号鍵・復号鍵データベースを有する外部記憶装置1503と、AN−AAA105やコンテンツサーバ108など外部装置と通信を行うためのインタフェースであるネットワークI/F1505とを備える。各部は、例えば、機能間の通信を実現するための通信線である通信パス1504を介して接続される。BCMCS Controller109は、AN−AAA105やコンテンツサーバ108に対し暗号鍵・復号鍵を配信する際に、CPU1501が暗号鍵・復号鍵データベースを備える外部記憶装置1503にアクセスし、暗号鍵・復号鍵を取得する。これらの鍵は、ネットワークI/F1505を介してAN−AAA105やコンテンツサーバ108へ送信される。
FIG. 15 shows a hardware configuration diagram of the
図16に、BCMCS Controller109で保持する暗号鍵・復号鍵データベースの詳細構成例を示す。暗号鍵・復号鍵データベース1503には、コンテンツ種別1601と、鍵の有効時間1602と、そのコンテンツの種類1601と鍵の有効時間1602に対応する暗号鍵1603及び復号鍵1604を含む。このデータベースには複数のコンテンツ情報を含むことが可能である。BCMCS Controller109は、AN−AAA105へ復号鍵を配信する場合、および、コンテンツサーバ108へ暗号鍵を配信する場合に本データベースに登録されている情報を使用する。なお、各情報は、手動又は自動で予め登録されることができる。
FIG. 16 shows a detailed configuration example of the encryption key / decryption key database held by the
図17に、コンテンツサーバ108のハードウェア構成図を示す。コンテンツサーバ108は、BSN106やBCMCS Controller109との通信を行うための呼制御プロトコルを処理するCPU1701と、実行中のソフトウェアやデータ処理の一時記憶媒体として使用されるメモリ1702と、各放送データコンテンツに対する暗号鍵のテーブルを管理する暗号鍵データベースを有する外部記憶装置1703と、BSN106やBCMCS Controller109など外部装置と通信を行うためのインタフェースであるネットワークI/F1705とを含む。各部は、例えば、機能間の通信を実現するための通信線である通信バス1704を介して接続される。
FIG. 17 shows a hardware configuration diagram of the
コンテンツサーバ108は、BCMCS Controller109から放送データを暗号化するために必要な暗号鍵と暗号鍵の有効時間を示す情報を受信し、暗号鍵データベースを備える外部記憶装置1703に保存する。コンテンツサーバ108が放送データを送信する際には、暗号鍵データベース1703に保存された、コンテンツ種別及び現在時刻に応じた暗号鍵情報を使用して放送データの暗号化を行い、ネットワークI/F1705を介してBSN106へ送信される。
The
図18に、コンテンツサーバ108で保持する暗号鍵データベース1703の詳細構成例を示す。暗号鍵データベース1703には、コンテンツ種別1801と、鍵の有効時間1802と、そのコンテンツ種別1801と鍵の有効時間1802に対応する暗号鍵1803とを含む。このデータベースには複数のコンテンツ情報を含むことが可能である。コンテンツサーバ108は、BSN106へ放送データを送信する際に、本データベース1703に保存されている暗号鍵1803を用いて暗号化を行う。
FIG. 18 shows a detailed configuration example of the
図19に、PCF104のハードウェア構成図を示す。PCF104は、BSN106やAN103との通信を行うための呼制御プロトコルを処理するCPU1901と、実行中のソフトウェアやデータ処理の一時記憶媒体として使用されるメモリ1902と、各放送データコンテンツに対する復号鍵のテーブルを管理する復号鍵データベースを有する第3の外部記憶装置1903と、ATへ送信済みの復号鍵を管理する呼制御データベースを有する第4の外部記憶装置1904と、BSN106やAN103など外部装置と通信を行うためのインタフェースであるネットワークI/F1906とを備える。各部は、例えば、機能間の通信を実現するための通信線である通信バス1905を介して接続される。
FIG. 19 shows a hardware configuration diagram of the
PCF104は、端末認証によりAN−AAA105から取得した復号鍵を復号鍵データベースを備える外部記憶装置1903に保存する。また、PCF104は、ATへ送信済みの復号鍵を管理するために、呼制御データベースを備える外部記憶装置1904で、配信済みの復号鍵及び/又はその有効時間を移動機ごとに管理する。呼制御データベース1904に記録された内容に基づき、復号鍵の再配信処理を行うことが可能である。
The
図20に、PCF104で保持する復号鍵データベースの詳細構成例を示す。復号鍵データベースには、コンテンツ種別2001と、鍵の有効時間2002と、そのコンテンツの種類2001と鍵の有効時間2002に対応する暗号鍵2003とを含む。このデータベースには複数のコンテンツ情報を含むことが可能である。PCF104は、端末認証時にAN−AAA105から復号鍵を受信し、本データベースに記録を残す。なお、復号鍵データベース1903は省略することもできる。
FIG. 20 shows a detailed configuration example of the decryption key database held in the
図21に、PCF104で保持する呼制御データベースの詳細構成例を示す。呼制御データベースは、移動機を識別するために使用される移動機識別子2101と、移動機識別子2101で識別される移動機へ送信済みの復号鍵に対応するコンテンツ種別2102と、移動機へ送信済みの復号鍵の有効時間を示す送信済み鍵有効時間2103とを含む。PCF104は、呼制御データベースに記録された内容を基に、鍵の有効時間を確認し、鍵の再配信時刻の判断に使用することが可能である。例えば、送信済み鍵有効時間2103を参照し、有効時間の修了時刻より所定時間前に、新たな復号鍵をATに送信することができる。なお、送信済み鍵有効時間には、最新の復号鍵に対応するもののみを記憶してもよいし、最新の復号鍵の有効時間の終了時刻のみを記憶してもよい。また、送信済みの複数の有効時間を含むものでもよい。
FIG. 21 shows a detailed configuration example of the call control database held by the
図22に、AN−AAA105からPCF104へ復号鍵を伝送するために用いられるAccess Acceptメッセージのフォーマットの例を示す。Codeフィールド2201は、Access Acceptメッセージのメッセージ種別を表す。Identifierフィールド2202は、メッセージ送信ごとに変更される値で、メッセージの再送制御などに用いられる。Lengthフィールド2203は、メッセージの全体長をオクテット単位で表している。Response Authenticatorフィールド2204は、AN−AAA105とPCF104との間での認証を行うために用いられる。
FIG. 22 shows an example of the format of an Access Accept message used for transmitting a decryption key from the AN-
Decryption Key情報要素2205にて、本発明で使用される復号鍵とその有効時間を送信するためのフィールドが定義される。Vendor Idフィールド2206では3GPP2で定義される159FHという値を例として設定することを示している。Vendor typeフィールド2207では、例えば復号鍵が本情報要素に含まれていることを示す3FHという値を入れている。Vendor−lengthフィールド2208にはVentor−typeフィールド2207以降に含まれるフィールド長をVendor−typeフィールド2208を含めた長さで格納する。
In the Description
Content IDフィールド2209はコンテンツの種別を示し、Decryption Keyフィールド2210は復号鍵を示す。Start Timeフィールド2211は、復号鍵有効時間の開始時間を示し、End Timeフィールド2212は復号鍵有効時間の終了時間を示す。なお、AN−AAA105は、Access Acceptメッセージ以外にも、認証の承認/非承認を通知するための適宜のメッセージ信号に、復号鍵、有効時間等を含めてATに送信するようにしてもよい。
A
(復号鍵配信手順)
図3に、端末認証時の復号鍵配信手順を示す。
コンテンツサーバ108は放送データを、BSN106、PCF104を介してAN103へ送信する。また、AN103で受信した放送データは、放送チャネルを使用して無線によりAT101へ送信される(301)。このときAT101で受信するデータは暗号化されており、AT101は復号化するための鍵(復号鍵)を保持していないことから、受信データはAT101で廃棄される。コンテンツサーバ108は、放送データを送信する際に、内部で保持する暗号鍵データベース1703に保存されている暗号鍵を使用して放送データの暗号化を行った後、送信を行う。
(Decryption key distribution procedure)
FIG. 3 shows a decryption key distribution procedure at the time of terminal authentication.
The
AT101とAN103の間で1xEV−DOセッションの確立を行う(302)。例えば、電源投入などの予め定められた適宜の契機により確立されることができる。また、ユニキャスト通信を行うためのコネクションを確立する(303)。このコネクション確立は1xEV−DOセッション確立後の最初のコネクション確立であるため、端末認証を実施するための準備として、AN103とPCF104の間に認証用パスを確立する(304)。
A 1xEV-DO session is established between the
AT101とPCF104との間で端末認証を実施するため、PPPに定義されているLCPの確立を行う(305)。PCF104は、端末認証を要求するためCHAP Requestメッセージを送信する(306)。AT101は、CHAP Requestメッセージで受信した情報とAT101で保持する移動機固有情報などを使用して認証子を計算し、認証子と移動機識別子とを含むCHAP ResponseメッセージをPCF104へ送信する(307)。なお、CHAP Requestメッセージ、CHAP Responseメッセージ以外にも、適宜のメッセージを用いてもよい。
In order to perform terminal authentication between the
PCF104は、受信した認証子と移動機識別子とを含むAccess RequestメッセージをAN−AAA105へ送信する(308)。AN−AAA105は、受信した認証子の妥当性を判断すると、端末認証を通過したとしてAccess AcceptメッセージをPCF104へ送信する(309)。本実施の形態では、このAccess Acceptメッセージの中で、例えば手順301で送信中の放送データを復号化するのに必要な復号鍵(図中の現在の復号鍵)と、未来に送信する放送データを復号化するのに必要な復号鍵(図中の未来の復号鍵)と、鍵の有効時間を送信する。これらの情報の用途については、後に説明する。
The
図23は、AN−AAA105の認証・鍵配信の処理ついてのフローチャートである。なお、これら各処理は、例えばAN−AAA105のCPU1201で実行されることができる。
まず、AN−AAA105は、Access Requestメッセージを受信し(S11、図3の308に対応)、端末認証を行う(S13)。例えば、AN−AAA105は、メッセージに含まれる移動機識別子に基づき加入者データベース1204の端末認証テーブルを参照して、対応するパスワードを取得する。また、AN−AAA105は、移動機識別子とパスワード等に基づいて、ATと同様の手法により認証子を求め、求められた認証子をAccess Requestメッセージに含まれる認証子を照合して、一致すれば端末認証を通過したと判断する。一方、一致しない場合は、認証不成功を示す情報をPCF104に送信するなどの所定の処理を行うことができる。なお、認証子を計算する以外にも、例えば、移動機識別子とパスワードを照合することで認証するなど適宜の認証方法を用いてもよい。
FIG. 23 is a flowchart of the authentication / key distribution processing of the AN-
First, the AN-
端末認証を通過すると、AN−AAA105は、受信された移動機識別子に基づき加入者データベース1204のコンテンツ登録テーブルを参照し、対応する登録コンテンツの種別(例えば、識別子)を取得する(S15)。さらに、取得された登録コンテンツの種別に基づき復号鍵データベース1203を参照し、対応する復号鍵と有効時間とを取得する(S17)。なお、復号鍵と有効時間は、予め定められた数をそれぞれ取得することができる。AN−AAA105は、Access Acceptメッセージに、取得された復号鍵と有効時間を含めて、PCF104又はATへ送信する(S19、図3の309に対応)。例えば、AN−AAA105は、図22に示すAccess Acceptメッセージのフォーマットにおいて、取得されたコンテンツの種別をContent IDフィールド2209に、取得された復号鍵Descryption Keyフィールド2210に、取得された有効時間のうちの開始時刻をStart Timeフィールド2211に、終了時刻をEnd Timeフィールド2212に、それぞれ格納して送信することができる。
If the terminal authentication is passed, the AN-
図3に戻り、PCF104は、AN−AAA105から受信した情報を、PCF104内部に保持する復号鍵データベース及び呼制御データベースに記録する。例えば、Access Acceptメッセージに含まれるコンテンツの種別、有効時間、復号鍵をそれぞれ対応させて復号鍵データベースに記憶する。ここでデータベースに保存した情報は、復号鍵の切り替えを行う際に使用される。PCF104はCHAP Successメッセージを送信することにより、認証が通過したことをAT101に通知する。また、PCF104は、現在の復号鍵、未来の復号鍵、鍵有効時間をAT101へ送信する(310)。これら復号鍵等は、CHAP Successメッセージに含めて送信されることができる。また、PCF104は、復号鍵を送信したAT101の移動機識別子に対応して、コンテンツ種別と送信した鍵の有効時間を呼制御データベース1904に記憶する。なお、有効時間は、送信した複数の有効時間のうち最も遅いもの(最新のもの)であってもよいし、最も早いものからもっとも遅いものまでの時間幅であってもよいし、有効時間の終了時刻であってもよい。
Returning to FIG. 3, the
AT101は、手順310で受信したコンテンツ種別に対応して、有効時間と復号鍵を復号鍵データベース1003に保存し、復号鍵を使用して、AN103から送信されている暗号化された放送データを復号化する(311)。
このように、端末認証時に放送データ復号化のための復号鍵を送信することによって、図2の既知手順に見られるようなAT101とPDSN107との間のPPP確立処理、AT101とBCMCS Controller109との間のトランザクションを省略することが可能となる。
The
In this way, by transmitting a decryption key for decrypting broadcast data at the time of terminal authentication, PPP establishment processing between the
次に、鍵の更新について説明する。
図4に、復号鍵切り替え方法の説明図を示す。コンテンツサーバ108は、暗号化されたデータを送信しており、例えば、時間t0から時間t3の間(暗号鍵1の有効時間)は暗号鍵1により暗号化されたデータを送信している(401)。この間、暗号鍵1で暗号化されているため、データの復号を行うためには復号鍵1が必要となることを仮定している。また、時間t3以降は別の暗号鍵2により暗号されたデータが送信されており、この間のデータを復号するためには復号鍵2が必要である(402)。
Next, key update will be described.
FIG. 4 is an explanatory diagram of the decryption key switching method. The
AT101は、時間t0の時点で復号鍵1を保持しており、時間t0の時点でコンテンツサーバ108から送信されている暗号鍵1を使用して暗号化されたデータを復調可能な状態にある(403)。また、AT101は、コンテンツサーバ108が時間t3の時点から送信される暗号鍵2で暗号化されたデータを復調可能とするため、時間t3よりも前の時間t1の時点で復号鍵2を取得する。従って、時間t1から時間t3の間(復号鍵1の有効時間)は復号鍵1を使用してコンテンツサーバ108から送信されるデータを復調可能とすると同時に、未来の時間t3からのデータ受信に備えて未来に使用する復号鍵2を保持することとなる(404)。時間t3以降は復号鍵1を破棄し、復号鍵2を使用してコンテンツサーバ108から送信される暗号鍵2を使用して暗号化されたデータを復調する(405)。
The
AT102は、時間t0の時点で復号鍵1を保持しており、時間t0の時点でコンテンツサーバ108から送信されている暗号鍵1を使用して暗号化されたデータを復調可能な状態にある(406)。AT102はコンテンツサーバ108が時間t3の時点から送信される暗号鍵2で暗号化されたデータを復調可能とするため、時間t3よりも前の時間t2の時点で復号鍵2を取得する。従って、時間t2から時間t3の間は復号鍵1を使用してコンテンツサーバ108から送信されるデータを復調可能とすると同時に、未来の時間t3からのデータ受信に備えて未来に使用する復号鍵2を保持することとなる(407)。時間t3以降は復号鍵1を破棄し、復号鍵2を使用してコンテンツサーバ108から送信される暗号鍵2を使用して暗号化されたデータを復調する(408)。
The
このようにコンテンツサーバ108が使用する暗号鍵を切り替える前に、各ATに予め切り替え後の復号鍵を送信しておくことで、ATは継続してデータの受信が可能となる。また、復号鍵の更新タイミングをAT毎に変えることによって、ネットワークや無線に集中的に負荷が集まらないようにすることが可能となる。
Thus, before switching the encryption key used by the
(第1の復号鍵更新手順)
図5に、再認証処理を契機に復号鍵をATへ送信する手順を示す。これらの手順は、例えば図3に示す処理の後に実行されることができる。
BSN106は放送データを、PCF104を介してAN103へ送信する。また、AN103で受信した放送データは、放送チャネルを使用して無線によりAT101へ送信される(501)。このときAT101で受信するデータは暗号化されており、AT101は復号化するための鍵(復号鍵)である復号鍵1を上述の処理によりすでに保持しているため、受信データはAT101で復号化され(復号化1)正常に受信される。
(First decryption key update procedure)
FIG. 5 shows a procedure for transmitting the decryption key to the AT in response to the re-authentication process. These procedures can be executed after the processing shown in FIG. 3, for example.
The
PCF104は、AT101に未来に使用する復号鍵2を配信するためAT呼び出し信号をAN103経由でAT101へ送信する(502)。PCF104は手順309において、呼制御データベースにAT101へ配信済みの復号鍵の有効時間を記録しており、AT呼び出し信号はこの有効時間の終了時刻より一定時間前に送信することが可能である。この時、呼び出し信号に端末認証を実施するための呼び出し信号であるという情報を付加して送信する。この呼び出し信号送出契機は、復号鍵有効時間満了より一定時間前とし、放送データ受信中の全ATと同時期に集中して通信を行うことを避けるために、ATごとに時間をずらして送信するような方式をとっても良い。例えば、予め定められた時間間隔をあけてAT呼び出し信号を各ATへ送信してもよいし、AT呼び出し信号を送信したATに復号鍵が送信された後に、他のATに対してAT呼び出し信号を送信してもよい。
AT101は、呼び出し信号に応答し、AT101とAN103の間でユニキャスト通信を行うためのコネクションを確立する(503)。コネクション確立後、端末認証を実施するための準備として、AN103とPCF104の間に認証用パスを確立する(504)。
The
In response to the call signal, the
また、AT101とPCF104との間で端末認証を実施するため、PPPに定義されているLCPの確立を行う(505)。PCF104は、端末認証を要求するためCHAP Requestメッセージを送信する(506)。AT101はCHAP Responseメッセージで受信した情報とAT101で保持する移動機固有情報などを使用して認証子を計算し、認証子を含むCHAP ResponseメッセージをPCF104へ送信する(507)。PCF104は、受信した認証子を含むAccess RequestメッセージをAN−AAA105へ送信する(508)。AN−AAA105は、受信した認証子の妥当性を判断し、妥当であると判断すると、端末認証を通過したとしてAccess AcceptメッセージをPCF104へ送信する(509)。このAccess Acceptメッセージの中で、手順501で送信中の放送データを復号化するのに必要な復号鍵(図中の復号鍵1)と、未来に送信する放送データを復号化するのに必要な復号鍵(図中の復号鍵2)と、各鍵の有効時間を送信する。また、これらの情報は、PCF104の復号鍵データベースおよび呼制御データベースに保存される。なお、AN−AAA105における処理の詳細は上述と同様である。PCF104はCHAP Successメッセージを送信することにより、認証が通過したことを通知し、また、復号鍵1、復号鍵2、鍵有効時間をAT101へ送信する(510)。
Further, in order to perform terminal authentication between the
AT101は、手順510で受信した復号鍵1または元々保持していた復号鍵1を使用して、AN103から送信されている暗号化された放送データを復号化し(復号化1)、データ受信を行うことが可能である(511)。
AT101は、手順510で受信した鍵有効時間の終了時刻(又は次の鍵の開始時刻)になった時点で、使用する復号鍵を復号鍵2に切り替え、復号鍵2を使用して放送データを復号化(復号化2)する(512)。従って、鍵切替時間を経て、暗号鍵2を使用して暗号化された放送データについても、AT101は無瞬断で受信し続けることが可能となる(513)。
The
The
(第2の復号鍵更新手順)
図6に、AT101が他の目的でユニキャストデータ通信を行っており、その最中に復号鍵を更新する手順を示す。既にユニキャスト通信が行われているため、図5で示したAT呼び出しを行う手順よりも無線リソースの有効利用を図ることができる。例えば、AT呼び出し信号が不要になり、ATとAN103のコネクションはデータ通信のために既に確立しているので、復号鍵配信のために改めてセッションを確立する必要がない。
例えば、既に通信中のATに対して優先的に復号鍵の更新を行い、復号鍵の有効時間満了まで(又はその所定時間前まで)にユニキャスト通信の無かったATに対してのみ上述の図5に示した方法をとることができる。以下、通信中のATに対する復号鍵更新手順を示す。
(Second decryption key update procedure)
FIG. 6 shows a procedure in which the
For example, the above-mentioned figure is applied only to an AT that has preferentially updated a decryption key with respect to an AT that is already in communication and has not performed unicast communication until the expiration time of the decryption key expires (or until a predetermined time before that). The method shown in 5 can be taken. The decryption key update procedure for the AT during communication is shown below.
BSN106は放送データを、PCF104を介してAN103へ送信する。またAN103で受信した放送データは、放送チャネルを使用して無線によりAT101へ送信される(601)。このときAT101で受信するデータは暗号化されており、AT101は復号化するための鍵(復号鍵)である復号鍵1を保持しているため、受信データはAT101で復号され、データの受信がなされている。
The
AT101は、例えばWebアクセスなどのユニキャストデータ通信を開始するため(602)、AT101とAN103の間でコネクションを確立する(603)。このデータ通信の開始契機は、AT101を使用してデータ通信を行おうとしているユーザがWebブラウザでホームページにアクセスした場合など、AT101を使用するユーザによるものが想定される。AT101とPDSN107は、AN103、PCF104を介してユニキャストによるデータ通信を行う(604)。PCF104は、データ通信中のAT101を識別して、例えば、端末の識別子等を管理してもよい。
The
PCF104は、AT101に未来に使用する復号鍵2を配信するため認証用コネクションの確立処理をAN103との間で行う(605)。この認証用コネクションの確立契機は、復号鍵有効時間満了より一定時間前とし、放送データ受信中の全ATと同時期に集中して通信を行うことを避けるために、ATごとに時間をずらして実施するような方式をとっても良い。AT101とPCF104との間で、端末認証を実施するため、PPPに定義されているLCPの確立を行う(606)。PCF104は、端末認証を要求するためCHAP Requestメッセージを送信し(607)、AT101はCHAP Responseメッセージで受信した情報とAT101で保持する移動機固有情報などを使用して認証子を計算し、認証子を含むCHAP ResponseメッセージをPCF104へ送信する(608)。PCF104は、受信した認証子を含むAccess RequestメッセージをAN−AAA105へ送信する(609)。AN−AAA105は受信した認証子の妥当性を判断し、妥当であると判断し、端末認証を通過したとしてAccess AcceptメッセージをPCF104へ送信する(610)。このAccess Acceptメッセージの中で、手順601で送信中の放送データを復号化するのに必要な復号鍵(図中の復号鍵1)と、未来に送信する放送データを復号化するのに必要な復号鍵(図中の復号鍵2)と、各鍵の有効時間を送信する。なお、より詳細な処理は上述と同様である。PCF104は、CHAP Successメッセージを送信することにより、認証が通過したことをAT101へ通知し、また、現在の復号鍵、未来の復号鍵、鍵の有効時間をAT101へ送信する(611)。
The
AT101は、手順611で受信した復号鍵1または元々保持していた復号鍵1を使用して、AN103から送信されている暗号化された放送データを復号化し(復号化1)、データ受信を行うことが可能である(612)。
AT101は手順611で受信した鍵切替時間になった時点で、使用する復号鍵を復号鍵2に切り替える(613)。従って、鍵切替時間を経て、暗号鍵2を使用して暗号化された放送データについても復号鍵2を用いて復号化でき(復号化2)、AT101は無瞬断で受信し続けることが可能となる(614)。
The
The
(第1の復号鍵更新手順の変形)
図7に、3つ以上の複数(以後n個とする)の復号鍵を送信する手順を示す。BSN106は放送データを、PCF104を介してAN103へ送信する。またAN103で受信した放送データは、放送チャネルを使用して無線によりAT101へ送信される(701)。このときAT101で受信するデータは暗号化されており、AT101は復号化するための鍵(復号鍵)である復号鍵1を保持しているため、受信データはAT101で復号化され正常に受信する。
PCF104は、AT101に未来に使用するn個の復号鍵を配信するためAT呼び出し信号をAN103経由でAT101へ送信する(702)。この時、呼び出し信号に端末認証を実施するための呼び出し信号であるという情報を付加して送信する。
(Modification of first decryption key update procedure)
FIG. 7 shows a procedure for transmitting three or more (hereinafter referred to as n) decryption keys. The
The
AT101は、呼び出し信号に応答し、AT101とAN103の間でユニキャスト通信を行うためのコネクションを確立する(703)。コネクション確立後、端末認証を実施するための準備として、AN103とPCF104の間に認証用パスを確立する(704)。
AT101とPCF104との間で端末認証を実施するため、PPPに定義されているLCPの確立を行う(705)。PCF104は端末認証を要求するためCHAP Requestメッセージを送信し(706)、AT101はCHAP Responseメッセージで受信した情報とAT101で保持する移動機固有情報などを使用して認証子を計算し、認証子を含むCHAP ResponseメッセージをPCF104へ送信する(707)。PCF104は受信した認証子をAccess Requestメッセージに含むAN−AAA105へ送信する(708)。AN−AAA105は受信した認証子の妥当性を判断し、妥当であると判断し、端末認証を通過したとしてAccess AcceptメッセージをPCF104へ送信する(709)。このAccess Acceptメッセージの中で、手順701で送信中の放送データを復号化するのに必要な復号鍵(図中の復号鍵1)と、未来に送信する放送データを復号化するのに必要なn個の復号鍵(図中の復号鍵2、…、復号鍵n)と、それぞれの復号鍵の有効時間を送信する。例えば、AN−AAA105は、復号鍵データベース1203から予め定められた数の復号鍵及び有効時間をそれぞれ取得して通信する。PCF104はCHAP Successメッセージを送信することにより、認証が通過したことを通知し、また、現在の復号鍵、未来の復号鍵、鍵有効時間をAT101へ送信する(710)。
In response to the call signal, the
In order to perform terminal authentication between the
AT101は、手順710で受信した復号鍵1または元々保持していた復号鍵1を使用して、AN103から送信されている暗号化された放送データを復号化し、データ受信を行うことが可能である(711)。
AT101は、手順710で受信した復号鍵1の鍵有効時間の終了時刻又は復号鍵2の有効時間の開始時刻になった時点で、復号鍵を復号鍵2に切り替える(712)。従って、鍵切替時間を経て、暗号鍵2を使用して暗号化された放送データについても、AT101は無瞬断で受信し続けることが可能となる(713)。
AT101は、同様に、手順710で受信した復号鍵3への鍵切替時間になった時点で、復号鍵を復号鍵3に切り替える(714)。従って、手順710において複数の復号鍵を予めAT101へ送信しておくことにより、AT101は復号鍵を得るために再度端末認証を行う必要がない。また手順702で呼び出し信号がAT101で正常に受信できなかった場合、復号鍵を正常に送信することができなくなるが、予め複数の復号鍵を送信しているために、AT101は継続して放送データの受信が可能となる(715)。なお、上述のデータ通信中の復号鍵更新においても3つ以上の複数の復号鍵を通信する変形が可能である。
The
The
Similarly, the
図8に、n個の復号鍵を送信した場合の復号鍵切り替え方法の説明図を示す。コンテンツサーバ108は暗号化されたデータを送信しており、時間t0から時間t2の間(暗号鍵1の有効時間)は暗号鍵1により暗号化されたデータを送信している(801)。この間、暗号鍵1で暗号化されているため、データの復号を行うためには復号鍵1が必要となることを仮定している。また、時間t2からt3の間(暗号鍵2の有効時間)は暗号鍵2により暗号化されたデータを送信しており、データの復号を行うためには復号鍵2が必要となる(802)。時間tn以降は暗号鍵nにより暗号されたデータが送信されており、この間のデータを復号するためには復号鍵nが必要である(803)。
FIG. 8 is an explanatory diagram of a decryption key switching method when n decryption keys are transmitted. The
AT101は、時間t0の時点で復号鍵1を保持しており、時間t0の時点でコンテンツサーバ108から送信されている暗号鍵1を使用して暗号化されたデータを復調可能な状態にある(804)。AT101は、コンテンツサーバ108により時間t2の時点から送信される暗号鍵2で暗号化されたデータを復調可能とするため、例えば時間t2よりも前の時間t1の時点で復号鍵2を取得する必要がある。この図では時間t1の時点で復号鍵2〜復号鍵nを同時に取得した場合を示している。従って、時間t0から時間t2の間は復号鍵1を使用してコンテンツサーバ108から送信されるデータを復調可能とすると同時に、未来の時間t2からt3に送信されるデータ受信に備えて未来に使用する復号鍵2、時間t3以降に使用する復号鍵3、・・・、復号鍵nを保持することとなる(805)。時間t2から時間t3の間では、既に復号鍵1を保持する必要がないため、復号鍵2、復号鍵3、・・・、復号鍵nを保持しており、復号鍵2を使用して放送データの復調を行う(806)。時間tn以降は復号鍵nを使用してコンテンツサーバ108から送信される暗号鍵nを使用して暗号化されたデータを復調する(807)。また、同様に適宜のタイミングで時刻tn+1以降の復号鍵n+1・・・を取得する。このタイミングとしては、例えば、PCF104の呼制御データベース1904に記憶された送信済み鍵有効時間を参照し、有効時間の終了時刻より所定時間前に復号鍵n+1・・・を取得できる。
The
ここで、ATごとに時間をずらして復号鍵の更新をする方法の例について、より詳細に説明する。
PCF104は、呼制御データベース1904のあるエントリについて、送信済み鍵有効時間の終了時刻よりも所定時間前になると、AT呼び出し信号を端末に送信する。図21の例では、PCF104は、有効時間の終了時刻10:00の所定時間前(例えば、30分前)になると、有効時間の終了時刻10:00の移動機識別子のいずれか(例えば、#1)が示すATにAT呼び出し信号を送信する(図5、502に対応)。その後、端末認証及び新たな復号鍵(例えば、10:00〜12:00の有効時間の鍵fghijk)の送信が行われる(図5、503〜510に対応)。その際、移動機識別子#1については、新たな復号鍵が送信されたので、呼制御データベース1904の送信済み鍵有効時間は、例えば、10:00〜12:00と書き換えられる。
Here, an example of a method for updating the decryption key while shifting the time for each AT will be described in more detail.
When an entry in the
次に、PCF104は、有効時間の終了時刻10:00の移動機識別子のいずれか(例えば、#2)が示すATにAT呼び出し信号を送信する(図5、502に対応)。上述と同様に、端末認証及び新たな復号鍵の送信が行われる(図5、503〜510に対応)。その際、移動機識別子#2については、新たな復号鍵が送信されたので、呼制御データベース1904の送信済み鍵有効時間は、例えば、10:00〜12:00と書き換えられる。これで、有効時間の終了時刻が10:00のATがなくなるので、PCF104は、現時刻における鍵の更新を終了する。
Next, the
また、PCF104は、有効時間の終了時刻12:00の所定時間前になると、上述と同様にAT読み出し信号を送信する。なお、ここでは復号鍵を1つずつ送信する場合について述べたが、複数の復号鍵を送信する場合でも同様である。なお、復号鍵を複数を送信する場合、送信済み鍵有効時間には、送信した複数の鍵のうち、最も早い有効時間の開始時刻と、最も遅い有効時間の終了時刻を記憶してもよいし、もっとも遅い有効時間の開始時刻及び終了時刻を記憶してもよい。
このように、復号鍵を配信する対象となるATに対して、順にAT読み出し信号を送信することができる。また、呼制御データベースに送信済み鍵有効時間を参照して、新たな復号鍵を送信したATと、これから送信すべきATを識別することができる。
Further, the
In this way, the AT read signal can be sequentially transmitted to the AT to which the decryption key is distributed. Further, by referring to the transmitted key valid time in the call control database, it is possible to identify the AT that has transmitted a new decryption key and the AT that is to be transmitted.
図9に、コンテンツサーバ108で放送データの暗号化に用いる暗号鍵と、コンテンツサーバ108によって暗号化された放送データをATで復号するために必要な復号鍵をAN−AAA105で保持するための復号鍵の配信手順を示す。放送データを暗号化するための暗号鍵・復号鍵及び鍵有効時間は、BCMCS Controller109にて設定される。例えば、図16に示すようなデータが暗号鍵・復号鍵データベースに記憶される。これらの鍵の設定は、自動生成及び自動設定であっても良いし、人による手動設定でも良い。
FIG. 9 shows a decryption key for holding in the AN-
BCMCS Controller109に設定された暗号鍵は、放送データの暗号化を行うコンテンツサーバ108へ暗号鍵更新要求を送信することで通知される。このメッセージの中には、例えば、コンテンツ種別と、放送データを暗号化するための暗号鍵と、鍵の有効時間を示す情報が含まれている(901)。なお、BCMCS Controller109は、ひとつ又は複数の暗号鍵と各鍵の有効時間を、暗号鍵・復号鍵データベース1503を参照して取得できる。コンテンツサーバ108は、暗号鍵更新要求に含まれる情報を正常に受信すると、暗号鍵更新応答をBCMCS Controller109に送信することによって、更新が正常に完了したことをBCMCS Controller109に通知する(902)。また、コンテンツサーバ108は各情報を暗号鍵データベース1703に記憶する。
The encryption key set in the
BCMCS Controller109に設定された復号鍵は、復号鍵等のATへ配信する情報を管理するAN−AAA105へ復号鍵更新要求を送信することで通知される。このメッセージの中には、例えば、コンテンツ種別と、放送データを復号化するための復号鍵と、鍵の有効時間を示す情報が含まれている(903)。BCMCS Controller109は、ひとつ又は複数の復号鍵と、対応するコンテンツ種別と各鍵の有効時間とを暗号鍵・復号鍵データベース1503から取得し、送信することができる。AN−AAA105は、復号鍵更新要求に含まれる情報を正常に受信すると、復号鍵更新応答をBCMCS Controller109に送信することによって、更新が正常に完了したことをBCMCS Controller109に通知する(904)。また、AN−AAA105は、受信されたコンテンツ種別に対応して、復号鍵と有効時間を復号鍵データベース1203に記憶する。なお、BCMCS Controller109は、予め定められた時間間隔毎、又は、暗号鍵・復号鍵データベース1503の情報が更新される毎等に、暗号鍵又は復号鍵更新要求を送信することができる。また、AN−AAA105やコンテンツサーバ108からの要求に応じて暗号鍵・復号鍵を送信するようにしてもよい。
The decryption key set in the
本発明は、例えば、放送チャネルにより暗号化されたデータ配信を可能とする無線通信に関する産業に利用可能である。 The present invention can be used, for example, in an industry related to wireless communication that enables distribution of data encrypted by a broadcast channel.
101…放送チャネルの受信が可能な移動機1(AT1;Access Terminal 1)
102…放送チャネルの受信が可能な移動機2(AT2;Access Terminal 2)
103…放送チャネルの送信が可能な基地局(AN;Access Network)
104…パケット制御装置(PCF;Packet Control Function)
105…端末認証用AAA(AN−AAA;Access Network−Authentication、 Authorization and Accounting)
106…BCMCSサービス装置(BSN;BCMCS Serving Node)
107…パケットデータサービス装置(PDSN;Packet Data Serving Node)
108…コンテンツサーバ
109…BCMCS制御装置(BCMCS Controller)
110…ユーザ認証用AAA(AAA;Authentication、 Authorization and Accounting)
111…インターネット
1203…復号鍵データベース
1204…加入者データベース
1903…復号鍵データベース
1904…呼制御データベース
101: Mobile device 1 (AT1; Access Terminal 1) capable of receiving a broadcast channel
102 ... Mobile station 2 (AT2; Access Terminal 2) capable of receiving a broadcast channel
103 ... A base station (AN; Access Network) capable of transmitting a broadcast channel
104 ... Packet control device (PCF)
105: AAA for terminal authentication (AN-AAA; Access Network-Authentication, Authorization and Accounting)
106 ... BCMCS service device (BSN; BCMCS Serving Node)
107: Packet data service device (PDSN)
108 ...
110: AAA for user authentication (AAA; Authentication, Authorization and Accounting)
111 ...
Claims (5)
受信されたコンテンツ種別又は識別情報と、復号鍵と、有効時間とが対応して記憶される復号鍵データベースと、
端末識別子と、端末が受信可能なコンテンツのコンテンツ種別又は識別情報とが対応して予め記憶されたコンテンツ登録データベースと、
端末認証及び復号鍵の配信を行う処理部と
を備え、
前記処理部は、
コンテンツ種別又は識別情報と、対応する復号鍵及び有効時間とを前記制御装置から受信して、前記復号鍵データベースに記憶し、
端末識別子を含む認証要求を前記無線端末から受信し、
受信された認証要求に従い端末認証を行い、
受信された認証要求内の端末識別子に基づき、前記コンテンツ登録データベースを参照し、対応するコンテンツ種別又は識別情報を取得し、
取得されたコンテンツ種別又は識別情報に基づき、前記復号鍵データベースを参照し、対応する復号鍵と有効時間とを取得し、
認証結果と、取得された復号鍵及び有効時間とを前記無線端末又はパケット制御装置へ送信する前記認証装置。 The content server transmits the data encrypted using the encryption key received from the control device that manages the encryption key and / or the decryption key to the wireless terminal via the broadcast channel, and the wireless terminal previously corresponds to the encryption key. An authentication device in a wireless communication system for decrypting received data using a distributed decryption key,
A decryption key database in which the received content type or identification information, a decryption key, and an effective time are stored correspondingly;
A content registration database in which a terminal identifier and content type or identification information of content that can be received by the terminal are stored in advance;
A processing unit that performs terminal authentication and decryption key distribution,
The processor is
Receiving the content type or identification information and the corresponding decryption key and valid time from the control device, and storing them in the decryption key database;
Receiving an authentication request including a terminal identifier from the wireless terminal;
Perform terminal authentication according to the received authentication request,
Based on the terminal identifier in the received authentication request, refer to the content registration database to obtain the corresponding content type or identification information,
Based on the acquired content type or identification information, refer to the decryption key database, acquire the corresponding decryption key and valid time,
The said authentication apparatus which transmits an authentication result and the acquired decoding key and effective time to the said radio | wireless terminal or a packet control apparatus.
前記処理部は、
受信された認証要求に従い再度端末認証を行い、コンテンツ登録データベース及び復号鍵データベースを参照して、コンテンツ種別又は識別情報と、現在時刻よりも未来の有効時間を有するひとつ又は複数の復号鍵と、復号鍵に対応するひとつ又は複数の有効時間とを取得し、無線端末又はパケット制御装置へ送信する処理を行う請求項1又は2に記載の認証装置。 The packet control apparatus transmits a terminal call signal to which information that it is a call signal for performing terminal authentication is added, and the wireless terminal that has received the terminal call signal includes a terminal identifier transmitted according to the terminal call signal When the processing unit receives the authentication request,
The processor is
Re-authenticate the terminal according to the received authentication request, refer to the content registration database and the decryption key database, decrypt the content type or identification information, one or more decryption keys having an effective time in the future from the current time, and decryption The authentication apparatus according to claim 1, wherein the authentication apparatus performs processing of acquiring one or a plurality of valid times corresponding to the key and transmitting the acquired time to the wireless terminal or the packet control apparatus.
データ通信のために確立された無線端末と無線基地局とのセッションを利用して、データ通信中の無線端末から端末識別子を含む認証要求を受信し、及び、
受信された認証要求に従い、再度端末認証を行い、コンテンツ登録データベース及び復号鍵データベースを参照して、コンテンツ種別又は識別情報と、現在時刻よりも未来の有効時間を有するひとつ又は複数の復号鍵と、復号鍵に対応するひとつ又は複数の有効時間とを取得し、無線端末又はパケット制御装置へ送信する処理を行う請求項1乃至3のいずれかに記載の認証装置。 The processor is
Using a session between a wireless terminal and a wireless base station established for data communication, receiving an authentication request including a terminal identifier from the wireless terminal in data communication; and
In accordance with the received authentication request, terminal authentication is performed again, referring to the content registration database and the decryption key database, the content type or identification information, and one or more decryption keys having a valid time in the future from the current time, The authentication device according to claim 1, wherein the authentication device performs processing for acquiring one or a plurality of valid times corresponding to the decryption key and transmitting them to the wireless terminal or the packet control device.
データ通信のために確立された前記無線端末と無線基地局とのセッションを利用して、該無線端末から端末識別子を含む認証要求を受信し、及び、
受信された認証要求に従い再度端末認証を行い、前記コンテンツ登録データベース及び前記復号鍵データベースを参照して、コンテンツ種別又は識別情報と、現在時刻よりも未来の有効時間を有するひとつ又は複数の復号鍵と、復号鍵に対応するひとつ又は複数の有効時間とを取得し、前記無線端末又は前記パケット制御装置へ送信し、
一方、前記処理部は、データ通信中ではない前記無線端末については、
端末認証を実施するための呼び出し信号であるという情報を付加した端末呼び出し信号を受信した該無線端末から、該端末呼び出し信号に従って送信される、端末識別子を含む認証要求を受信し、及び、
受信された認証要求に従い再度端末認証を行い、前記コンテンツ登録データベース及び前記復号鍵データベースを参照して、コンテンツ種別又は識別情報と、現在時刻よりも未来の有効時間を有するひとつ又は複数の復号鍵と、復号鍵に対応するひとつ又は複数の有効時間とを取得し、前記無線端末又は前記パケット制御装置へ送信する請求項1又は2に記載の認証装置。 Wherein the processing unit, for the wireless terminal in data communication,
Using a session between the wireless terminal and the wireless base station established for data communication, receiving an authentication request including a terminal identifier from the wireless terminal; and
Terminal authentication is performed again in accordance with the received authentication request, the content registration database and the decryption key database are referred to, the content type or identification information, and one or a plurality of decryption keys having an effective time in the future from the current time Obtaining one or a plurality of valid times corresponding to the decryption key, and transmitting to the wireless terminal or the packet control device,
Meanwhile, the processing unit, for the wireless terminal is not in data communication,
Receiving an authentication request including a terminal identifier, transmitted according to the terminal call signal, from the wireless terminal that has received the terminal call signal to which information that it is a call signal for implementing terminal authentication is received; and
Terminal authentication is performed again in accordance with the received authentication request, the content registration database and the decryption key database are referred to, the content type or identification information, and one or a plurality of decryption keys having an effective time in the future from the current time The authentication device according to claim 1, wherein one or a plurality of valid times corresponding to a decryption key are acquired and transmitted to the wireless terminal or the packet control device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008102518A JP4319691B2 (en) | 2008-04-10 | 2008-04-10 | Authentication device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008102518A JP4319691B2 (en) | 2008-04-10 | 2008-04-10 | Authentication device |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005165685A Division JP4275108B2 (en) | 2005-06-06 | 2005-06-06 | Decryption key distribution method |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009105401A Division JP4847555B2 (en) | 2009-04-23 | 2009-04-23 | Decryption key distribution method and authentication device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008178152A JP2008178152A (en) | 2008-07-31 |
JP4319691B2 true JP4319691B2 (en) | 2009-08-26 |
Family
ID=39704758
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008102518A Expired - Fee Related JP4319691B2 (en) | 2008-04-10 | 2008-04-10 | Authentication device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4319691B2 (en) |
-
2008
- 2008-04-10 JP JP2008102518A patent/JP4319691B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2008178152A (en) | 2008-07-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4275108B2 (en) | Decryption key distribution method | |
EP1860906B1 (en) | A general authentication form and a method for implementing the authentication | |
EP1796342B1 (en) | A method for transmitting requests | |
CN109922474B (en) | Method for triggering network authentication and related equipment | |
US20080080408A1 (en) | Method for implementing broadcast/multicast area management in a wireless communication system | |
WO2017105777A1 (en) | Securing signaling interface between radio access network and a service management entity to support service slicing | |
EP1705828B1 (en) | A method of obtaining the user identification for the network application entity | |
EP2702741A1 (en) | Authenticating a device in a network | |
TW200910826A (en) | A method and apparatus for new key derivation upon handoff in wireless networks | |
KR102632519B1 (en) | Method for determining keys to secure communication between user device and application server | |
CN114222298B (en) | Terminal access method, device, network equipment, terminal and medium | |
WO2008006312A1 (en) | A realizing method for push service of gaa and a device | |
US9143482B1 (en) | Tokenized authentication across wireless communication networks | |
CN101568116B (en) | Method for obtaining certificate state information and certificate state management system | |
US8191153B2 (en) | Communication system, server apparatus, information communication method, and program | |
JP4319691B2 (en) | Authentication device | |
JP4847555B2 (en) | Decryption key distribution method and authentication device | |
KR101535446B1 (en) | Method and system for registering a smartcard terminal with a broadcast server | |
KR101485801B1 (en) | Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system | |
KR100787415B1 (en) | Apparatus and method for authentification in mobile communication system | |
WO2019141135A1 (en) | Trusted service management method and apparatus capable of supporting wireless network switching | |
EP3454583B1 (en) | Network connection method, and secure node determination method and device | |
US20110153819A1 (en) | Communication system, connection apparatus, information communication method, and program | |
EP4203392A1 (en) | Authentication support for an electronic device to connect to a telecommunications network | |
KR20140095050A (en) | Method and apparatus for supporting single sign-on in a mobile communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090114 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090224 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090423 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090526 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090528 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120605 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120605 Year of fee payment: 3 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120605 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130605 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |