JP4675206B2 - ユーザ認証方法、無線通信網、ホームワイヤレス通信網及び認証サーバ - Google Patents

ユーザ認証方法、無線通信網、ホームワイヤレス通信網及び認証サーバ Download PDF

Info

Publication number
JP4675206B2
JP4675206B2 JP2005304796A JP2005304796A JP4675206B2 JP 4675206 B2 JP4675206 B2 JP 4675206B2 JP 2005304796 A JP2005304796 A JP 2005304796A JP 2005304796 A JP2005304796 A JP 2005304796A JP 4675206 B2 JP4675206 B2 JP 4675206B2
Authority
JP
Japan
Prior art keywords
service
user
authentication
home
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005304796A
Other languages
English (en)
Other versions
JP2006121698A (ja
Inventor
チェヌ シヌ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JP2006121698A publication Critical patent/JP2006121698A/ja
Application granted granted Critical
Publication of JP4675206B2 publication Critical patent/JP4675206B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support

Description

本発明は一般に無線通信網に関連する。そのようなネットワークはデータ伝送に加えて電話に使用することもできる。本発明は無線で動作する小規模のプライベートネットワークに使用可能であるだけでなく、任意の大掛かりなオペレータによって運営される移動通信ネットワークを含む如何なる無線ネットワークへのアプリケーションも有する。
従来の無線ローカルエリアネットワーク(ここではWLANと呼ぶ)は1種類のサービス(ユーザに対するインターネットアクセス)しか提供していなかった。従ってサービス認証を明確化する必要性がなかった;ユーザが無線ネットワークのプロバイダにより確認されると、サービスが許可される。インターネット上で及び(ボイスオーバーインターネットプロトコル(VOIP)を用いてインターネットの一部を構成するような)WLAN上で伝送される音声データの出現により、更には情報管理システム(IMS)やショートメッセージサービス(SMS)によるマルチメディアメッセージサービスメッセージ(MMS)のような他のサービス出現により、インターネット以外のサービスにアクセスする必要性が増えている。これは特にWLANが第三世代(3G)移動電話網と相互作用する場合に著しく、そのWLANは以前に利用可能であったものよりも高いデータレートを及び更に多くのサービスをサポートする。
従って、特定のサービスをユーザが要求可能にすること及びそのユーザがそのサービスをアクセスすることが認められているか否かをネットワークが確認可能にすることのために明確なサービス認証手順が必要とされる。この判定はユーザの加入情報、ローカルポリシー及び他の関連事項に基づいて行うことができる。
どの無線システムでもユーザがサービスにアクセスすることを許可する前にいくつかの前提条件がある:ユーザは確認されなければならず;要求されるサービスが確認されなければならず;ユーザがそのサービスに対して認められ;ユーザがそのサービスに接続される必要がある。
これらの前提条件は認証、サービス認証及びトンネリングセットアップの3つの認証ステップを行うことで充足され、それらは後述の従来の2/2.5及び3Gシステムで実行されている。
先ず認証ステップによりユーザが確認され、そのステップではユーザの身元がシステムに与えられ、システムはその身元を検査する。次の認証ステップでは、ユーザは要求するサービスを特定し、システムはユーザがそのサービスを利用できるか否かを検査し、可能ならば認証を与える。最後に、ユーザが認証されると、そのサービスのデータを通信するためにサービス及びユーザ装置間のデータリンク(トンネルとして知られている)を形成する接続手順がなされる。
(2G/2.5Gにおけるサービス認証)
2G及び2.5Gシステムではサービス認証ステップはトンネリングエンドポイントを発見することが意図され、エンドポイントでは所望のサービスのアプリケーションサーバにアクセス可能であり、サービス品質の取り決め(ネゴシエーション)を行うことができる。例えばデータレートその他のファクタによるサービス品質はユーザの装備、ユーザ装置又はネットワーク参入に対してユーザが支払う金額に依存するかもしれない。例えばユーザが未加入であったり、サービスにアクセスするのに充分な残高(クレジット)を持っていなかったならば、サービス認証要求は拒否される。
図1は第2世代(2G又は2.5G)のシステムの概略を表す。ユーザ装置又は移動局(UE)は無線アクセスネットワークによりサービングGRPSノード(SGSN)にリンクされる。これはコアネットワーク(通常的には単独のオペレータにより管理される有線接続されたネットワーク)の一部を形成する。有線接続されたネットワークはユーザ情報のデータベースも含み、そのデータベースは2Gではホームロケーションレジスタ(HLR)及びドメインネームサーバ(DSN)として知られており、これら双方はSGSNに接続される。サービスに接続されるゲートウエーGRPSノードにSGSNは接続される。
認証、サービス認証及びトンネル確立は全てSGSNを通じて実行される。
2G/2.5Gの認証方法ではUEはユーザ識別情報をSGSNに送付する。SGSNはHLRに格納されたそのユーザに関する情報を利用してそのユーザを認証する。
そのサービス認証方法では(ネットワークによって目下認証された)ユーザ装置がその後にSGSNを通じてサービスを要求する。
従来例でのサービス要求はそのサービスに対するアクセスポイント名(APN)を使用する。APNは要求されるサービスを区別するものであり、(サービスのホストを努める)IPネットワークの完全修飾ドメイン名(FQDN: Fully Qualified Domain Name)である。事実上これはトンネルのエンドポイントであり、ユーザ装置によってSGSNに与えられる。
サービス要求はSGSNによって認証される。トンネルのエンドポイント(GGSN)のIPアドレスはその後に内部の(インターナル)DSNから取得され、SGSNは選択されたサービスに接続されたGGSNへのトンネルを確立する。つまり認証用に当初確立された接続はサービス認証及びトンネルの設定にも使用される。トンネルは2つの部分に設定され、それらは:ユーザ及びSGSNの間と、SGSN及びGGSNの間である。従ってSGSNはトンネルの中間点(ミッドポイント)である。
ユーザが異なるサービスを要求すると、新たなサービス認証及びトンネリング設定が必要とされる。
従来のシステムに関する更なる詳細については3GPPTS23.060及び3GPPTS24.008(非特許文献1)を参照されたい。
従来の2Gアーキテクチャの1つの欠点は、第2の認証ステップなしに別のサービスを利用するための対策が無いことである。2つ目の欠点は、サービスへの接続が確立される限りトンネル中間点を形成するだけでなく確認及び認証のステップ全てにSGSNが含まれていることである。
(3Gでのサービス認証)
図2は既存の3Gアーキテクチャを示す。図中上部は上述の2G及び2.5Gの態様を示す。従来の3Gアーキテクチャは同一ネットワークで異なるサービスを利用するための付加的なアーキテクチャをタンデムに(tandem)用意している。ここで、無線ネットワークでの及び特にWLANでの認証は、サービス認証及びトンネル設定から分離されている。特にアクセス及び認証サーバ(即ちAAAサーバ)が認証用に用意される。AAAサーバは認証用にHLRに接続される。
UEは認証のためにAAAサーバと直接的に通信するが、以後のステップでは通信しない。その代わりにサービス認証及びトンネル設定はパケットデータゲートウエイ(PDG)を用いて実行され、PDGはコアネットワーク内で様々なサービスに接続される。ユーザ装置は無線ネットワーク上で公的なDNSにも接続される。既存の3Gの例ではAPNが認証用に再び使用されるが、UEはそのAPNにより公的なDNSにアクセスする。DNSはPDGのIPアドレスを返す。
IPセキュリティプロトコル(IPSec)はPDGを介するサービスへのトンネルを設定するために使用される。
このアーキテクチャの詳細については3GPPTS23.234及びRFC2401(非特許文献2)を参照されたい。
図3は図2に示される3Gアーキテクチャでの様々なエンティティ間の通信を表すデータシーケンスフローを示す図である。左側のUE及びDNSは公的な無線ネットワークの一部であり、右側のサーバ及びPDGは有線接続されたホームネットワークの一部である。
加入者確認モジュール(SIM)又はUMTS(ユニバーサル移動通信システム)のユニバーサル加入者確認モジュール(USIM)を用いて、EAP−USIM/SIMやAAA機能の関連する拡張可能な認証プロトコルに基づいて、UE及びAAAサーバ間でユーザを見分ける認証ステップが最初になされる。
第1のサービス認証ステップではここではラップトップとして示されているユーザ装置がAPN形式でDSNの問い合わせを公的なドメインDNSに送信する。その応答はIPアドレスであり、そのIPアドレスで特定されるPDGのトンネル設定用のパケットデータゲートウエー(PDG)に関するものである。そしてUEはそのPDGのIPアドレス宛にトンネリング要求を送信し、今度はPDGがその後にAAAサーバからそのユーザについての認証を要求しなければならない。認証が認められるとトンネリング設定は成功し、ユーザはそのサービスにアクセスできる。
影の付された下側の図は、ユーザが特定のサービスにアクセスすることを認められたがデフォルトのゲートウエーがもはや不適切になっている場合を示す。これは例えばコアネットワークが再構成されたような場合である。AAAサーバは以後に新たなAPNを当初に選択されたデフォルトPDGに返し、そのPDGはトンネリング設定の失敗メッセージを新たなAPNを含むUEに返す。新たなPDG(ここではPDG2として示される)の関連するIPアドレスを取得するためにUEはその後に新たなDNS問い合わせを送信しなければならず、トンネリングがなされる前に付随する認証ステップを有する第2のトンネリング設定ステップが必要とされる。
図4はユーザ装置がホームネットワーク以外の訪問したネットワークで操作される場合(いわゆるローミング)の従来の3Gシステムを示す。
図中左側に示されるエンティティはユーザ装置、WLANノード(WLAN AN)、無線アクセスゲートウエー(WAG)、3GPP AAAプロキシサーバ及び訪れたPDGである。これらの要素は訪れたネットワーク内にある。右側にはホームネットワークの3GPP AAAサーバ及びホームPDGが示されている。ホームネットワーク及び訪れたネットワークは典型的には標準的な有線接続で接続される。
Aで示される第1ステップはユーザ装置のWLANアクセス、確認及び認証のステップである。プロキシサーバはネットワーク識別子を含むネットワーク情報をUEに広告し、UEはその識別子をAPNの前に(プレフィックスに)結合し、訪問先のAPN(V−APN)を形成し、V−APNは訪れたネットワークを区別し、UEはホームAAAサーバに情報を送信する。
セクションB,Cは訪れたネットワークのサービス利用可能性に依存する、PDGに対するサービス認証及びトンネル設定の別の状況である。
セクションB(好ましい状況)では訪問したネットワークが要求されたサービスを提供することができる。最初にDNS問い合わせが訪問したネットワークのDNSに送付される(これはセクションB,C双方でなされる)。セクションBでは訪問したネットワークが要求されたサービスを提供することができ、訪問先のDNS(図示せず)が訪問したネットワークのPDGのIPアドレスを返す。認証は訪問したPDGによって要求され、そのPDGはホームサーバ及び訪問したAAAサーバ双方と通信しなければならない。AAAサーバ双方により認証が与えられると、訪問したPDGとのトンネルが設定される。従ってエンドトゥエンドのトンネル設定は全体的に訪問したネットワークの中にある。図示のトンネルパケットフローフィルタのデータ交換はパケットルーチンのキャリアプロトコルを参照し、これは本発明の対象外である。
しかしながらセクションCでは要求されたサービスが訪問したネットワークからは利用可能でなく;訪問したネットワークからUEは拒否メッセージを受信し、それ故にUEはホームAPNを使用してDNSを問い合わせる必要があり;訪問したネットワークのDNSはそのホームネットワークのPDGのIPアドレスを返す。ここでのデータは、ホームネットワークから送信されること、訪問したネットワークのコアを介すること及びその後にUEへの送信に備えてWAGで無線信号に変換されることを必要とする。
ホーム及びローミング双方の状況における認証アーキテクチャ及び方法には多数の欠点がある。第1に公のDNSサーバを利用するということはシステムオペレータがPDGのIPアドレスを第三者にさらすことを意味する。例えば無線ネットワークが第三者によって所有され、その第三者がオペレータのネットワークトポロジ(商業上重要な事項である)に関する情報に気づくかもしれない。
更に公のDNSシステムを利用するということは、オペレータがネットワークトポロジを変更し、それが適切なPDGのIPアドレスに影響を及ぼす場合に、そのような変更はDNSシステムに伝わらなければならず、競合状態(race condition)の問題を引き起こすかもしれないことを意味する。
認証の第1ステップとしてDNSの問い合わせを許可するために各APNはUE(しばしば端末とも呼ばれる)に格納されるので、新たなAPNは端末の構成を変更することによってしか導入できない。
更にサービス認証の各々は単独のトンネルのみを認証する。従ってユーザが幾つかのサービスにアクセスすることを希望する場合には、新たなサービスがアクセスされる毎に遅延が生じるかもしれない。
上述の従来のサービス認証はWLANや特定の無線プロトコルに使用するのに適しているが、WLANスタンダードから大幅に発展するかもしれない別の何らかの無線アクセスネットワークには必ずしも有利ではない。
最後に、第1のトンネル設定は2つの理由で失敗するおそれがあり、それらは:ローミングする場合に訪問したネットワークでサービスが利用可能でない場合及びオペレータによりAPNが変更された場合である。そのような失敗はサービスアクセス全体の遅延に影響を及ぼし、無線リソースを浪費してしまう。
3GPPインターフェース規格,3GPP"TS23.060","TS24.008" 3GPPインターフェース規格,3GPP"TS23.234","RFC2401"
本発明の課題は上記の欠点の1以上を克服する又は少なくとも緩和する認証ネットワーク及び方法並びに適切なネットワークエンティティを提供することである。
更なる課題は将来的なシステムに組み込まれるのに充分な柔軟性があり且つ理想的には特定の技術やプロトコルに制限されないような方法、ネットワーク及びエンティティを提供することである。
本発明は特許請求の範囲で参照される独立項で規定される。好適な実施例は縦属項で詳述される。
本発明の第1態様によれば、無線通信網でのサービスのためにユーザを認証する方法が使用され、当該方法は、ユーザ装置及びネットワークの認証サーバの間の接続を設定するステップ;前記ユーザ装置がユーザの身元を前記認証サーバに提供するステップ;前記認証サーバがユーザにサービスを利用可能にするために前記ユーザの身元に基づいて認証データを検索するステップ;前記認証サーバが前記認証データで示されるサービスに対する認証を前記ユーザ装置に返すステップ;及び前記ユーザ装置が前記認証を用いて前記サービスに対する通信経路を設定するステップ;を有する。
本質的には本発明はサービス認証機能をトンネル設定機能から分離する。即ち、上述の従来の3Gでの手法(ソリューション)とは異なり、認証はサービスに対する新たな通信経路の設定を可能にし、その経路は認証サーバを含まない。従来では認証要求に必要とされるものと同じ通信経路が使用されていた。
サービスアクセスについての認証と通信経路設定とを別々にすることは、それら別々のプロセスに含まれる技術が独立に発展することを可能にする。サービス利用に関するPDGへの接続は従来では認証用接続と不可分にリンクしていた。
3Gパートナーシッププロジェクト(3GPP)は3G−WLANアーキテクチャがトンネリングプロトコルとしてIPSecを利用することを想定した。しかしながらIPSecは移動性をサポートしない。その標準化の時点では(移動性)は開発されていなかったので、様々なアクセスネットワーク間で移動性をサポートする条件は一切無く、IPSecは市場に登録するための最も簡易且つ最速の手法として理解されていた。
しかしながら将来的には(開発されているNGN又は他の無線ネットワーク)、様々なアクセスネットワークに渡る充分な移動性が要求される。この場合にIPSecはもはや充分ではなくなり、モバイルIPのような移動性をサポートする別のトンネリングプロトコルが必要になるであろう。
しかしながら従来の3Gの手法の問題点はサービス認証用にもトンネリングプロトコルを使用する点にあり、従って例えばAPNを実行するためのトンネリングプロトコルの修正を必要とする。従って従来の3Gの手法が将来使用されるならば、例えばモバイルIPのような移動性をサポートするために開発された他の如何なるトンネリングプロトコルでも同様な修正が必要とされる。
他の利点は本発明がサービスのアドレスを有する公のDNSを要しないことである。設定される接続は(ホームの有線ネットワークの一部であることが望ましい)ネットワークの認証サーバと直接的になされ、これにより背景技術で言及した公のDNSの欠点を克服できる。
認証サーバのIPアドレスのみが公のDNSドメインに伝わることを必要としてよい。認証サーバのIPアドレスを変更することは非日常的であること及びネットワークごとに少数の認証サーバしか存在しないであろうことを仮定するのは適切である。このことはネットワークトポロジの如何なる露呈も抑制し、ブレイス(brace)状態に関する問題を切り離す。当然にホーム認証サーバIPは端末で事前に構築可能であり、公のDNSで用意する必要性を排除してもよい。
更にこの手法は一般的であり、アクセスネットワークの特定のどの種別にも基づかない。本発明は3G、WLAN及びadsを含むどの種類のアクセスネットワークにも適用できる。
好ましくは、ユーザ装置及び認証サーバ間の接続はデータ暗号化によるセキュアコネクションであり、ユーザ装置及び認証サーバ間の通信はセキュアコネクションの下で実行される。
そのようなセキュアコネクションはユーザの認証を安全性を更に改善する。
具体的には、ユーザ装置及び認証サーバ間で一度設定される接続の通信は、書類要求及び転送のHTTP(ハイパーテキストトランスファプロトコル)又はHTTPS(セキュアハイパーテキストトランスファプロトコル)を用いることができる。
プロトコルとしてHTTPを用いることは幾つかの利点があり、それらは:ほとんどの端末で既にサポートされていること;及び他のサービスと統合するのが容易であり、ユーザフレンドリなウエブページインターフェースを用意するのが容易なことである。
有利なことに、ユーザ装置で動作するブラウザアプリケーションは認証を返す際に利用可能なサービスを表示し、利用可能なサービスのユーザの選択が通信経路の確立を許可する。ウエブページ形式のユーザインターフェースは公に広くアクセス可能であり、直感的で分かりやすい。
無線ネットワークの好ましい動作によれば、通信経路はユーザ装置及びサービス間の安全な暗号化された通信経路を形成するトンネルを与える。
ある有利な態様では、複数のサービスが認証され、認証サーバが特定のサービスに対する個々の特定の認証を含む1つの認証を返すことが好ましい。
ここで、各サーバの認証は複数のトンネルを確認することができ、トンネルが設定される毎に再確認する必要はない。このことはネットワークリソースの更に効率的な利用をもたらす。認証サーバはユーザの身元に基づいてユーザに利用可能なサービス全てに関する認証データを単に検索してもよい。認証サーバは複数のサービスを別々に認証してもよいが、個々の特定の認証と共に1つの認証を返すことが好ましい。認証されたサービスはユーザによる選択用にブラウザアプリケーションにより作成されたディスプレイに列挙されてもよい。
有利なことに、ユーザ装置は特定の認証を用いて特定のサービス各々に対する通信経路を設定する。
簡易な利用を行うために、認証はユーザに利用可能な各サービスについてのアドレスの形式でもよく、該アドレス宛の通信経路が形成されてもよい。
具体的にはアドレスは当該技術分野で知られているようなIPアドレスでもよい。IPアドレスは要求されたサービスの現在のPDGのものである。
本発明による好適実施例の方法は幾つかのサービスについてのユーザ認証を同時に行うことに適しているので、サービスを特定せずに単にユーザの身元を与えることでユーザ装置は認証要求を送信することができる。しかしながらユーザ装置はユーザに身元と共に1以上のサービス名を認証サーバに提供してもよい。
この場合に、それらのサービスに関する認証のみがユーザに返されてもよい。或いはサービスの選択が何らの影響も与えず、全ての可能なサービスが選択されたものに対するリファレンスなしに認証されてもよい。
ユーザ装置が、ユーザの身元を与える場合に要求するサービスを特定しない場合には、返される認証はユーザに利用可能な全てのサービスに対する特定の認証でもよい。本方法が実行される時点でユーザの趣向に依存してサービス仕様に関する上述のどのユーザ認証方法についての機能でも同じユーザ装置が提供してもよい。
好適実施例ではサービスはAPNにより特定される。これら様々な方法の全ては端末に全てのAPNを格納することを要しない点で有利であるかもしれない:なぜなら認証サーバは必要に応じて全てのサービスを自動的に認証できるからである。従ってたとえ新たなサービスが導入されたとしても、端末の再構築は一切不要である。
本発明による方法は、ユーザ装置及び認証サーバの間でなされる初期の認証ステップを含んでもよい。
具体的なネットワークトポロジ及び他の要因に依存して、認証及び確認のサーバが一体であって認証及び確認サーバを形成するならば、認証及び確認サーバ内部で認証データが検索可能である。
或いは、認証サーバが確認サーバとは別のサーバとして用意され、認証データは認証サーバによってコアネットワーク内の確認サーバから検索されてもよい。或いは、ユーザ加入プロファイルを保持するデータベースに認証サーバが直接的に連結され、そのデータベースから認証データが検索されてもよい。
上述したような認証サーバは認証されたサービスの通信を支援する更なる機能を備えてもよい。好ましくは認証サーバは通信経路の設定を支援するために認証データにより示される少なくとも1つのサービスの通信経路パラメータをインストールする。
ローミングの筋書きでは、ユーザ装置はホームネットワークの外側に在圏していても、ホームネットワーク及び(ユーザ装置が在圏している)訪問先のネットワーク間の契約によりサービスを提供することができる。訪問先のネットワークに適用される上述の方法ではユーザの認証手順は次のようにすることができる:
ユーザ装置はホームネットワークの範囲外にいるときに訪問先のネットワークにローミングし;
認証サーバである訪問先の認証サーバは、ユーザの身元をホーム認証サーバに中継し、ホームネットワークにより提供される何らかのホームサービスに対するホーム認証を受信し、ユーザに利用可能な何らかの訪問先のサービスに対する訪問先のユーザ認証データを検索し、何らかのホームサービスに対する認証と訪問先のネットワークで提供される何らかの訪問先のサービスに対する認証とを返す。
ネットワーク間の契約に従って、どの訪問先サービスが訪問先ネットワークにより提供可能であるかを指定するのはホームネットワークである。従って訪問先の認証サービスはホームネットワークにより許可される何らかの訪問先のサービスに関する情報も受信してもよい。
通信経路がUE及び訪問先サービスの間に設けられる場合に、これはユーザ装置と訪問先PDGとの間で直接的に設定されるトンネルで達成可能である。
本発明の更なる態様によれば、訪問した無線通信網でのローミングサービスの認証のためにホーム無線通信網からユーザを認証する方法は:ホームネットワークの認証サーバが訪問先のネットワークからユーザの身元を受信するステップ;ホーム認証サーバが、ホームサービスに又はユーザに利用可能なサービスに関連する認証データをユーザの身元に基づいてホーム無線通信網からを検索し、認証データにより示される少なくとも1つのホームサービスについて訪問先のネットワークの認証を返すステップ;及び認証を用いて訪問先のネットワークから少なくとも1つのホームサービスへの通信経路を設定するステップ;を有する。
上述のように、ホーム認証サーバは、訪問先のネットワークにより提供されるホームネットワークにより許可される何らかの訪問先サービスについての情報を返してもよく、好ましくは何らかのホームサービスについて訪問先のネットワークを介してユーザ装置及びホームPDGの間でトンネルが設定される。
これらのローミング法での1つの好ましい態様は訪問先でのサービスがデフォルトとして用意され、ホームサービスは同様な訪問先サービスが利用可能でない場合でのみ提供される。或いはホームサービスはネットワークプロバイダ間の契約に依存してデフォルトとして用意されてもよい。
本発明の更なる態様では、サービスを利用するのにユーザが認証を要する無線通信網は、ユーザ装置及び認証サーバの間でセキュアコネクションを設定するように動作するユーザ装置及び認証サーバを有し;ユーザ装置はユーザの身元を認証サーバに与え;認証サーバは、ユーザに利用可能な1つ又は複数のサービスに関するユーザ認証データをユーザの身元に基づいて検索し、ユーザ認証データにより示される少なくとも1つのサービスについての認証をユーザ装置に返し;及びユーザ装置は認証を用いて少なくとも1つのサービスに対する通信経路を設定する。
本発明の更なる態様によるホームワイヤレス通信網では、ユーザ装置がローミングする場合にユーザはホームサービスを又は訪問先の無線通信網により提供されるサービスを利用するための認証を必要とし、当該ホームワイヤレス通信網は:前記訪問先のネットワークからユーザの身元を受信するよう動作するホーム認証サーバ;を有し、ホーム認証サーバは、ユーザに利用可能な1以上のホームサービスに関連するユーザ認証データをユーザの身元に基づいて検索し、認証データにより示される少なくとも1つのホームサービスについてのホーム認証を訪問先のネットワークに返し;及び少なくとも1つのホームサーバは認証を利用して通信経路情報を受信する。
これらの更なる態様のネットワークは上述のどの方法でも実行するように及び/又は実行する又は実行させる手段を有することを必要としてもよい。
本発明の更なる態様によれば、無線通信ネットワークでのサービスについてユーザ認証機能を与える認証サーバは:ユーザ装置との接続を設定する手段;ユーザ装置からユーザの身元を受信する手段;ユーザの身元に基づいてユーザに利用可能な1以上のサービスに関する認証データを検索する手段;及び認証データによって示される少なくとも1つのサービスについての認証をユーザ装置に返送し、認証を用いてユーザ装置が少なくとも1つのサービスに対する新たな通信経路を設定可能にする手段;を有する。
認証サーバは上述のどの認証サーバの方法ステップでも実行するように及び/又は実行する又は実行させる手段を有するように構成されてもよい。
本発明の更なる態様によれば、無線通信網でのサービスについてユーザの認証を要求するユーザ装置は:無線通信網の認証サーバへの接続を設定する手段;ユーザの身元を前記認証サーバに提供する手段;前記認証サーバから返された少なくとも1つのサービスについての認証を受信し、該認証を利用して少なくとも1つのサービスに対する新たな通信経路を設定する手段;を有する。
ユーザ装置は上述されたようなユーザ装置で実行される方法ステップのどれでもそれを実行するように適合されてもよいし、及び/又は実行する手段を有してもよいし或いは実行するように動作可能であってもよい。
上述のどの態様においても様々な特徴はハードウエアで実現されてもよいし、1以上のプロセッサ上で動作するソフトウエアモジュールとして実現されてもよい。ある態様の特徴は他の態様のどれとでも適用されてよい。
本発明はここで説明された如何なる方法でも実行するコンピュータプログラム又はコンピュータプログラムプロダクト、一群のそのようなプログラム又はプログラムプロダクト及びここで説明した如何なる方法でも実行するプログラム(又は一群のプログラム)を格納するコンピュータ読取可能な媒体(又は一群のコンピュータ読取可能な媒体)も提供する。本発明を利用する1以上のコンピュータプログラムは、コンピュータ読取可能な媒体に格納されてもよいし、或いは例えばインターネットウエブサイトから提供されるダウンロード可能なデータ信号のような信号形式でもよいし、他の如何なる形式であってもよい。
以下、添付図面を参照しながら単なる例として本発明の好適な特徴が説明される。
従来技術に関する図1乃至4は上記に説明したとおりである。
図5は本発明の一実施例によるサービス認証に関連する無線ネットワークのエンティティを示す。ここで使用される用語は特定のプロトコルに良く対応するかもしれないが、当業者は本発明の概念が他のプロトコルに及び更には将来的なプロトコルにさえ等しく適用できることを認識するであろうことに留意を要する。例えばユーザ装置端末又は装備はここでは一般に3G標準規格によるUEとして参照される。しかしながらそのような用語は限定するものではなく、説明されるネットワークエンティティ各々の機能が本質であってその名称ではないことは明白である。
図5ではPDAとして示されるUE(同様に移動電話、ラップトップ又は他の如何なる無線装置でもよい)は公のDNSに無線で接続され、この場合にDNSは認証サーバのIPアドレスを抽出するためにUEにより使用される。またUEはAAAサーバに無線でもリンクし、AAAサーバはここではHLRとして言及されるユーザデータベースにコアネットワーク内で接続される。またUEは認証サーバにも無線で接続され、認証サーバはAAAサーバと、PDGのIPアドレスを抽出するのに使用される内部DNSとにホームネットワーク内で接続され、特定のサービスはそのPDGを通じてアクセスされる。最後にUEはトンネル設定用にPDGに無線で接続する。PDGは以下に説明される理由で認証サーバにリンクされる。
図5はサービス認証とトンネル設定との分離を明確に図示している。図5はUE及びサービス間の直接的なトンネルの形式で通信経路を示し、図5はサービス認証がトンネル設定以外の異なるネットワークエンティティにより実行されることも示している。
図6は本発明の一実施例による認証の詳細なシーケンス説明図を与える。これらのステップが以下に説明される:
1.端末又はUEはネットワーク選択段階でホーム認証サーバのFQDNを取得する。このステップは選択的である、なぜならFQDNは端末のホームオペレータにより事前に構築可能だからである。これは頻繁に変更するようなものではない。
2.認証は端末及びAAAサーバの間でなされ、セキュリティキーがユーザの認証用に生成される。
3.端末はWLANのDNDサーバから認証サーバのIPアドレスを決める。認証サーバのIPアドレスが端末で事前に構築されるならば、このステップも任意的である。オペレータのネットワークに多くの認証サーバはないであろうし、それらのIPアドレスも頻繁には変わらないであろう。
4.認証中に生成されたキー(鍵)に基づいて、端末は認証サーバとのTLS(トランスポートレイヤセキュリティ)接続を設定する。TLSがどのように設定されるかは本発明の範囲外であるが、それを知るにはTLSの仕様書が利用可能である。
5.ユーザは要求されたサービスを選択し、端末はユーザのid(身元)及び要求されたAPNを含むHTTPsGETを認証サーバに送付する。
6.認証サーバはHLRとのインターフェースを有するAAAサーバからユーザ加入データを検索する。AAAサーバはユーザがアクセスすることを許可される全てのサービスを確認し、対応するAPN全てを認証サーバに返す。
7.認証サーバはインターナルDNSサーバから返ってきたAPNに基づいてPDGのIPアドレスを決定する。
8.認証サーバはトンネルパラメータをPDGにインストールする。そのようなパラメータは例えばユーザ識別子(ユーザid)、トンネルid及びサービス品質(QoS)パラメータを含む。
9.認証サーバはトンネルパラメータを更にどのPDGにもインストールする。
10.PDGのIPアドレス及び対応するトンネリングパラメータを含むHTTPsPUTを認証サーバが返す。
11.端末のブラウザアプリケーションはウエブページのようなインターフェーエスをユーザに表示し、ユーザがアクセスできる全てのサービスを示すことができる。
12.その後にユーザはブラウザアプリケーションに現れているサービスへのリンクをクリックすることで彼/彼女がアクセスすることを望むサービスを選択することができる。この動作は対応するPDGに対するトンネリング設定の契機(トリガ)を与える。
13.利用可能なサービスへの全ての可能なトンネルは既に準備されているので、何らの余分なトンネリング設定なしにユーザは更なるサービスを選択することができる。
図7はローミングの様子を示す。サービス認証の個々のステップが以下に説明される:
21.端末はネットワーク選択段階で訪問先のサーバ即ちV−認証サーバのFQDNを取得する。このステップは必須である、なぜならローミングの場合にはホームネットワークの場合よりも多くの情報が必要になるからである。
22.認証は端末及びAAAサーバの間で行われ、セキュリティキーも生成される。
23.端末はWLAN内の訪問先のDNSサーバからV−認証サーバのIPアドレスを決定する。どのオペレータのネットワークでも多くの認証サーバは存在しないであろうし、それらのIPアドレスは頻繁には変わらないであろう。V−認証サーバのIPアドレスを公のDNSサーバの中で決定されるようにすることはオペレータのネットワークに不都合な影響を与えない。
24.認証中に生成されたキーに基づいて、端末はV−認証サーバと共にTLS接続を確立する。
25.ユーザはサービスを選択し、端末はユーザid及び要求されたAPNを含むHTTPsGETをV−認証サーバに送信する。
26.V−認証サーバはホーム又はH−認証サーバへの要求を代行する。
27.H−認証サーバはホームAAAサーバからユーザ加入データを検索する。AAAサーバは、訪問した又はV−APNを含むユーザがアクセスを許可され且つホームネットワーク内でH−APNを有することを許可されるサービスの全てを確認し、AAAサーバは対応するAPN全てをH−認証サーバに返す。
28.H−認証サーバはインターナルDNSサーバからのH−APNに基づいてホームPDG又はHPDGのIPアドレスを決定する。
29.H−認証サーバはその後にユーザid、トンネルid及びQoSパラメータのようなトンネルパラメータをHPDGにインストールする。
30.H−認証サーバはV−APNとHPDGのIPアドレスとをV−認証サーバに返す。
31.V−認証サーバはインターナルDNSサーバからのV−APNに基づいて訪問したPDG又はVPDGのIPアドレスを決定する。
32.V−認証サーバはその後に例えばユーザid、トンネルid及びQoSパラメータのようなトンネルパラメータをVPDGにインストールする。
33.V−認証サーバはHPDG,VPDGのIPアドレス及び対応するトンネリングパラメータを含むHTTPsPUTを返す。
34.端末のブラウザアプリケーションはウエブページのようなインターフェースをユーザに表示し、そのユーザがアクセスできる全てのサービスを提示することができ、ユーザはリンクをクリックすることでサービスを選択できる。
35.利用可能な全てのトンネルが用意されているので、更なるトンネリング設定は一切必要とされない。
本実施例ではユーザは要求されるサービスを選択し、全ての可能なサービスを受信する。別の実施例ではユーザはそのサービスの認証だけを返すことができる。潜在的には特定のサービス要求又は全ての利用可能なサービスについての要求は一切なくてもよい。3つ全ての可能性が同一のUEに選択肢として用意されてもよいことを当業者は認識するであろう。
図8はAAAサーバが認証及び確認サーバ双方として機能する本発明の実施例を示す。これは公のDNSサーバに関与しないサーバの例を示す。
認証は次のようにして行われる:
41.EAP−AKAを用いてAAAサーバによりUEは認証され、共用されるセキュリティキーが生成される。認証が成功した後で、認証に使用されたAAAサーバのロケーションを識別するURLがユーザに返されてもよい(或いはそのURLは端末で事前に構築されていてもよい。)。そのURLは3GネットワークからPDGアドレスを検索するのに使用される。
42.セキュリティキーに基づいて、UEはAAAサーバとのTLSセキュアコネクションを設定する。端末はそのURLにアクセスするためにHTTPSを使用し、URLのソースは3Gネットワークのエンティティ内に位置し、そのエンティティは認証の責務を有する(本実施例ではAAAサーバ)。
43.UEのブラウザアプリケーションはAAAサーバにサービス認証のためのHTTP要求を送信する。
44.AAAサーバはインターナルDNS中のユーザプロファイルから全てのUEの加入済みAPNを検索する。
45.AAAサーバはインターナルDNSサーバを用いて各APNのIPアドレスを決定する。
46.AAAサーバはUEが加入しているAPN各々に対応するIPアドレスのリストを返す。端末に対するHTTPSの応答は、各ユーザ加入APNに対するPDGのIPアドレスをウエブページリンク形式として含む。(IPアドレスは隠されるが、サービス名はエンドユーザに提示される。)。
47.UEのブラウザアプリケーションはIPアドレスに対応するサービス名を表示する。
48.サービス名の下のリンクをクリックすることによってUEはアクセスするサービスを選択する。このクリックはPDGのIPアドレスに向うトンネル設定のトリガを与える。
端末は返されたHTTP応答を将来的なサービスアクセスに備えてキャッシュし、ネットワークソースを節約することができる。ユーザが利用可能な新たなサービスをオペレータが所有した場合、或いは何らかの理由でオペレータがDNS設定を変更する場合(APNに対するIPアドレスを変更することになる)、オペレータは成功した認証メッセージの中でその端末がHTTPS認証をリスタートすべきであることを通知できる。
本発明は単に例示的に説明され、細部の修正は本発明の範囲内でなされ得ることが理解されるであろう。上述した様々な実施例は1以上のプロセッサ上で動作するソフトウエア通信モジュールを用いて実現されてもよく、そのプロセッサは例えば(請求項で規定される手段として動作する)ネットワーク上の何らかのエンティティの一部でもよいし、ディジタル信号プロセッサでもよいし、その他の如何なる種類のプロセッサでもよい。
そのようなモジュールのプログラミングは様々な機能の説明から当業者には明白であろう。そのようなモジュールは適切な如何なるプログラミング言語でもそれを用いて適切などのプロセッサにプログラムされてもよいことを当業者は認めるであろう。或いは上述の機能の全部又は一部が専用のハードウエア又はファームウエアを用いて実現されてもよい。
以下、本発明により教示される手段を例示的に列挙する。
(付記1)
無線通信網でのサービスのためにユーザを認証する方法であって:
ユーザ装置及びネットワークの認証サーバの間の接続を設定するステップ;
前記ユーザ装置がユーザの身元を前記認証サーバに提供するステップ;
前記認証サーバがユーザにサービスを利用可能にするために前記ユーザの身元に基づいて認証データを検索するステップ;
前記認証サーバが前記認証データで示されるサービスに対する認証を前記ユーザ装置に返すステップ;及び
前記ユーザ装置が前記認証を用いて前記サービスに対する通信経路を設定するステップ;
を有することを特徴とする方法。
(付記2)
前記ユーザ装置及び前記認証サーバ間の接続がデータ暗号化によるセキュアコネクションであり、前記ユーザ装置及び前記認証サーバ間の通信が前記セキュアコネクションの下で実行される
ことを特徴とする付記1記載の方法。
(付記3)
前記ユーザ装置及び前記認証サーバ間の通信では、書類要求及び転送のハイパーテキストトランスファプロトコルを用いて接続が一度確立される
ことを特徴とする付記1又は2に記載の方法。
(付記4)
前記ユーザ装置で動作するブラウザアプリケーションが前記認証を返す際に利用可能なサービスを表示し、利用可能なサービスのユーザの選択が前記通信経路の確立を許可する
ことを特徴とする付記1乃至3の何れか1項に記載の方法。
(付記5)
前記通信経路が、前記ユーザ装置及び前記サービス間の安全な暗号化された通信経路を形成するトンネルを与える
ことを特徴とする付記1乃至4の何れか1項に記載の方法。
(付記6)
複数のサービスが認証され、前記認証サーバが特定のサービスに対する個々の特定の認証を含む1つの認証を返す
ことを特徴とする付記1乃至5の何れか1項に記載の方法。
(付記7)
前記ユーザ装置が特定の認証を用いて特定のサービス各々に対する通信経路を設定する
ことを特徴とする付記6記載の方法。
(付記8)
前記認証が前記ユーザに利用可能な各サービスについてのアドレスの形式であり、該アドレス宛の通信経路が形成される
ことを特徴とする付記1乃至7の何れか1項に記載の方法。
(付記9)
前記ユーザ装置が、前記ユーザの身元確認と同時に前記認証サーバに対する1以上のサービス名を提供する
ことを特徴とする付記1乃至8の何れか1項に記載の方法。
(付記10)
前記ユーザ装置が、ユーザの身元を与える場合に要求するサービスを特定しない
ことを特徴とする付記1乃至9の何れか1項に記載の方法。
(付記11)
初期の認証ステップが、前記ユーザ装置及び認証サーバの間でなされる
ことを特徴とする付記1乃至10の何れか1項に記載の方法。
(付記12)
認証及び確認のサーバが一体であり、認証及び確認サーバの確認部から認証データが内部で検索される
ことを特徴とする付記11記載の方法。
(付記13)
前記認証サーバが確認サーバとは別のサーバとして用意され、認証データは認証サーバによってコアネットワーク内の確認サーバから検索される
ことを特徴とする付記11記載の方法。
(付記14)
前記認証サーバが、通信経路の設定を支援するために前記認証データにより示される少なくとも1つのサービスの通信経路パラメータをインストールする
ことを特徴とする付記1乃至13の何れか1項に記載の方法。
(付記15)
ユーザ装置はホームネットワークの範囲外になった場合に訪問先のネットワークにローミングし;この場合に前記認証サーバである訪問先の認証サーバは、ユーザの身元をホーム認証サーバに中継し、前記ホームネットワークにより提供される何らかのホームサービスに対するホーム認証を受信し、前記ユーザに利用可能な何らかの訪問先のサービスに対する訪問先のユーザ認証データを検索し、何らかのホームサービスに対する認証と訪問先のネットワークで提供される何らかの訪問先のサービスに対する認証とを返す
ことを特徴とする付記1乃至14の何れか1項に記載の方法。
(付記16)
訪問先の認証サービスが、前記ホームネットワークにより許可される何らかの訪問先のサービスに関する情報も受信する
ことを特徴とする付記15記載の方法。
(付記17)
前記ユーザ装置と何らかの訪問先のサービスに対する訪問先のPDGとの間でトンネルが確立される
ことを特徴とする付記15記載の方法。
(付記18)
訪問した無線通信網でのローミングサービスの認証のためにホーム無線通信網からユーザを認証する方法であって:
前記ホームネットワークの認証サーバが訪問先のネットワークからユーザの身元を受信するステップ;
前記ホーム認証サーバが、前記ユーザの身元に基づいてホームサービスに関連する又は前記ユーザに利用可能なサービスに関連する認証データを前記ホーム無線通信網から検索し、前記認証データにより示される少なくとも1つのホームサービスについて訪問先のネットワークの認証を返すステップ;及び
前記認証を用いて訪問先のネットワークから少なくとも1つのホームサービスへの通信経路を設定するステップ;
を有することを特徴とする方法。
(付記19)
前記ホーム認証サーバが、訪問先のネットワークにより提供される前記ホーム無線通信網により許可される何らかのサービスについての情報を返す
ことを特徴とする付記18記載の方法。
(付記20)
何らかのホームサービスについて訪問先のネットワークを介して前記ユーザ装置及びホームPDGの間でトンネルが設定される
ことを特徴とする付記18又は19に記載の方法。
(付記21)
ホーム又は訪問先でのサービスがデフォルトとして用意され、他の種類のサービスは同様なデフォルトサービスが利用可能でない場合でのみ提供される
ことを特徴とする付記15乃至18の何れか1項に記載の方法。
(付記22)
サービスを利用するのにユーザが認証を要する無線通信網であって、
セキュアコネクションを設定するように動作するユーザ装置及び認証サーバを有し;
前記ユーザ装置はユーザの身元を前記認証サーバに与え;
前記認証サーバは、前記ユーザに利用可能なサービスに関するユーザ認証データを前記ユーザの身元に基づいて検索し、前記ユーザ認証データにより示されるサービスについての認証を前記ユーザ装置に返し;及び
前記ユーザ装置は前記認証を用いて前記サービスに対する通信経路を設定する
ことを特徴とする無線通信網。
(付記23)
前記ユーザ装置及び前記認証サーバ間の接続がデータの暗号化を行うセキュアコネクションであり、前記ユーザ装置及び前記認証サーバが前記セキュアコネクションの下で通信可能である
ことを特徴とする付記22記載の無線通信網。
(付記24)
前記ユーザ装置及び前記認証サーバ間の通信において、書類要求及び転送のハイパーテキストトランスファプロトコルを用いて接続が一度設定される
ことを特徴とする付記22又は23に記載の無線通信網。
(付記25)
前記ユーザ装置で動作するブラウザアプリケーションが前記認証の返送の際に利用可能なサービスを表示し、利用可能なサービスのユーザの選択が前記通信経路の設定を許可する
ことを特徴とする付記22乃至24の何れか1項に記載の無線通信網。
(付記26)
前記通信経路が、前記ユーザ装置及び前記サービスの間で安全な暗号化された通信経路を形成するトンネルである
ことを特徴とする付記22乃至25の何れか1項に記載の無線通信網。
(付記27)
複数のサービスが認証され、前記認証サーバは特定のサービスのための個々の認証を含む1つの認証を返す
ことを特徴とする付記22乃至26の何れか1項に記載の無線通信網。
(付記28)
前記ユーザ装置は、特定の認証を利用して特定のサービス各々に対する通信経路を設定する
ことを特徴とする付記27記載の無線通信網。
(付記29)
前記認証が、前記ユーザに利用可能なサービス各々についてのアドレスの形式で示される
ことを特徴とする付記22乃至28の何れか1項に記載の無線通信網。
(付記30)
前記ユーザ装置が、ユーザ確認と同時にサービス名を前記認証サーバに提供する
ことを特徴とする付記22乃至29の何れか1項に記載の無線通信網。
(付記31)
前記ユーザ装置は、ユーザの身元を提供する場合に、要求するサービスを特定しない
ことを特徴とする付記22乃至30の何れか1項に記載の無線通信網。
(付記32)
認証サーバで初期の認証ステップをユーザ装置との間で行う
ことを特徴とする付記22乃至31の何れか1項に記載の無線通信網。
(付記33)
認証及び確認のサーバが一体であり、認証データは認証及び確認のサーバの認証部から内部で検索される
ことを特徴とする付記32記載の無線通信網。
(付記34)
前記認証サーバが前記確認サーバとは別個のサーバとして用意され、認証データが認証サーバによりコアネットワーク内の認証サーバから検索される
ことを特徴とする付記32記載の無線通信網。
(付記35)
前記認証サーバが、通信経路の設定を支援するために前記認証サーバにより示される少なくとも1つのサービスの通信経路パラメータをインストールする
ことを特徴とする付記22乃至34の何れか1項に記載の無線通信網。
(付記36)
当該無線通信網がホームネットワークの範囲外の訪問先のネットワークとして動作し;前記認証サーバである訪問先の認証サーバは、ユーザの身元を前記ユーザ装置のホーム認証サーバに中継し、前記ホームネットワークにより提供される何らかのサービスに対するホーム認証を受信し、前記ユーザに利用可能な何らかの訪問先のサービスに対する訪問先のユーザ認証を検索し、ホームサービスに対する認証と訪問先のネットワークで提供される何らかの訪問先のサービスに対する認証とを返す
ことを特徴とする付記22乃至35の何れか1項に記載の無線通信網。
(付記37)
訪問先の認証サービスが、前記ホームネットワークにより許可される何らかのサービスに関する情報も受信する
ことを特徴とする付記36記載の無線通信網。
(付記38)
前記ユーザ装置と何らかの訪問先のサービスに対する訪問先のPDGとの間でトンネルが確立される
ことを特徴とする付記36又は37に記載の無線通信網。
(付記39)
ホームワイヤレス通信網であって、ユーザ装置がローミングする場合にユーザはホームサービスを又は訪問先の無線通信網により提供されるサービスを利用するための認証を必要とし、当該ホームワイヤレス通信網は:
前記訪問先の無線通信網からユーザの身元を受信するよう動作するホーム認証サーバ;
を有し、前記ホーム認証サーバは、前記ユーザに利用可能なホームサービスに関連するユーザ認証データをユーザの身元に基づいて検索し、前記認証データにより示されるホームサービスについてのホーム認証を前記訪問先のネットワークに返し;及び
少なくとも1つのホームサーバは前記認証を利用して通信経路情報を受信する;
ことを特徴とするホームワイヤレス通信網。
(付記40)
前記ホーム認証サーバが、訪問先のネットワークで提供される、前記ホームネットワークにより許可される何らかの訪問先のサービスに関する情報を返す
ことを特徴とする付記39記載のホームワイヤレス通信網。
(付記41)
訪問先のネットワークを通じて前記ユーザ装置及びホームPDGの間で何らかのホームサービスについてのトンネルが設定される
ことを特徴とする付記39又は41に記載のホームワイヤレス通信網。
(付記42)
ホーム又は訪問先のサービスがデフォルトとして用意され、同様なデフォルトサービスが利用可能でない場合でのみ他の種類のサービスが提供される
ことを特徴とする付記36乃至41の何れか1項に記載のホームワイヤレス通信網。
(付記43)
無線通信ネットワークでのサービスについてユーザ認証機能を与える認証サーバであって:
ユーザ装置との接続を設定する手段;
前記ユーザ装置からユーザの身元を受信する手段;
前記ユーザの身元に基づいて前記ユーザに利用可能なサービスに関する認証データを検索する手段;及び
前記認証データによって示されるサービスについての認証を前記ユーザ装置に返送し、前記認証を用いて前記ユーザ装置が前記サービスに対する新たな通信経路を設定可能にする手段;
を有することを特徴とする認証サーバ。
(付記44)
無線通信網でのサービスについてユーザの認証を要求するユーザ装置であって:
前記無線通信網の認証サーバへの接続を設定する手段;
ユーザの身元を前記認証サーバに提供する手段;
前記認証サーバから返されたサービスについての認証を受信し、該認証を利用して前記サービスに対する新たな通信経路を設定する手段;
を有することを特徴とするユーザ装置。
従来の2G/2.5Gシステムでのサービス認証アーキテクチャの概略図を示す。 従来の3Gシステムでのサービス認証アーキテクチャの概略図を示す。 図2に示される従来の3Gアーキテクチャでの様々なエンティティ間での通信を示すシーケンシャルなデータフローチャートである。 ユーザ装置が訪問したネットワークのホームネットワークで動作する場合における従来の3Gシステムでの動作を示す通信フローチャートである。 本発明の一実施例によるサービス認証アーキテクチャを示す。 図5に示されるアーキテクチャ内の様々なエンティティの間での通信を示すシーケンシャルなデータフローチャートである。 ローミングする場合の様々なエンティティ間の通信を示す本発明の一実施例によるシーケンシャルなデータフローチャートである。 様々なエンティティ間の通信を示す本発明の別の実施例によるシーケンシャルなデータフローチャートである。
符号の説明
WLAN 無線ローカルエリアネットワーク
UE ユーザ装置
SGSN サービングGRPSノード
DNS ドメインネームサーバ
HLR ホームロケーションレジスタ
GGSN ゲートウエーGRPSノード
APN アクセスポイント名
AAAサーバ アクセス認証サーバ
PDG パケットデータゲートウエー
SIM 加入者識別モジュール
USIM ユニバーサル加入者識別モジュール
UMTS ユニバーサル移動通信システム

Claims (5)

  1. 無線通信網でのサービスのためにユーザを認証する方法であって:
    ユーザ装置及びネットワークの認証サーバの間の接続を設定するステップ;
    前記ユーザ装置がユーザのIDを前記認証サーバに提供するステップ;
    前記認証サーバがユーザにサービスを利用可能にするために前記ユーザのIDに基づいて認証データを検索するステップ;
    前記認証サーバが前記認証データで示される前記サービスを提供する装置に前記サービスに対する通信経路を設定するためのトネリングパラメータをインストールするステップ;
    前記認証サーバが前記認証データで示される前記サービスを提供する装置のIPアドレス及び前記サービスに対する通信経路を設定するためのトネリングパラメータを前記ユーザ装置に返すステップ;及び
    前記ユーザ装置が前記IPアドレス及び前記トネリングパラメータを用いて前記サービスに対する通信経路を設定するステップ;
    を有することを特徴とする方法。
  2. 訪問した無線通信網でのローミングサービスの認証のためにホーム無線通信網からユーザを認証する方法であって:
    前記ホームネットワークの認証サーバが訪問先のネットワークからユーザのIDを受信するステップ;
    前記ホーム認証サーバが、前記ユーザのIDに基づいてホームサービスに関連する又は前記ユーザに利用可能なサービスに関連する認証データを前記ホーム無線通信網から検索するステップ;
    前記ホーム認証サーバが前記認証データで示される前記ホームサービスを提供する装置に前記ホームサービスに対する通信経路を設定するためのトネリングパラメータをインストールするステップ;
    前記認証データにより示される少なくとも1つのホームサービスを提供する装置のIPアドレス及び前記ホームサービスに対する通信経路を設定するためのトネリングパラメータ訪問先のネットワークに返すステップ;及び
    前記IPアドレス及び前記トネリングパラメータを用いて訪問先のネットワークから少なくとも1つのホームサービスへの通信経路を設定するステップ;
    を有することを特徴とする方法。
  3. サービスを利用するのにユーザが認証を要する無線通信網であって、
    セキュアコネクションを設定するように動作するユーザ装置及び認証サーバを有し;
    前記ユーザ装置はユーザのIDを前記認証サーバに与え;
    前記認証サーバは、前記ユーザに利用可能なサービスに関するユーザ認証データを前記ユーザのIDに基づいて検索し、前記認証データで示される前記サービスを提供する装置に前記サービスに対する通信経路を設定するためのトネリングパラメータをインストールし、前記ユーザ認証データにより示されるサービスを提供する装置のIPアドレス及び前記サービスに対する通信経路を設定するためのトネリングパラメータを前記ユーザ装置に返し;及び
    前記ユーザ装置は前記IPアドレス及び前記トネリングパラメータを用いて前記サービスに対する通信経路を設定する
    ことを特徴とする無線通信網。
  4. ホームワイヤレス通信網であって、
    ユーザ装置がローミングする場合にユーザはホームサービスを又は訪問先の無線通信網により提供されるサービスを利用するための認証を必要とし、
    当該ホームワイヤレス通信網は:
    前記訪問先の無線通信網からユーザのIDを受信するよう動作するホーム認証サーバ;
    を有し、
    前記ホーム認証サーバは、
    前記ユーザに利用可能なホームサービスに関連するユーザ認証データをユーザのIDに基づいて検索し、前記認証データで示される前記ホームサービスを提供する装置に前記ホームサービスに対する通信経路を設定するためのトネリングパラメータをインストールし、前記認証データにより示されるホームサービスを提供する装置のIPアドレス及び前記ホームサービスに対する通信経路を設定するためのトネリングパラメータを前記訪問先のネットワークに返し;及び
    少なくとも1つのホームサーバは前記IPアドレス及び前記トネリングパラメータを利用して通信経路情報を受信する;
    ことを特徴とするホームワイヤレス通信網。
  5. 無線通信ネットワークでのサービスについてユーザ認証機能を与える認証サーバであって:
    ユーザ装置との接続を設定する手段;
    前記ユーザ装置からユーザのIDを受信する手段;
    前記ユーザのIDに基づいて前記ユーザに利用可能なサービスに関する認証データを検索する手段;
    前記認証データで示される前記サービスを提供する装置に前記サービスに対する通信経路を設定するためのトネリングパラメータをインストールする手段;及び
    前記認証データによって示されるサービスを提供する装置のIPアドレス及び前記サービスに対する通信経路を設定するためのトネリングパラメータを前記ユーザ装置に返送し、前記IPアドレス及び前記トネリングパラメータを用いて前記ユーザ装置が前記サービスに対する新たな通信経路を設定可能にする手段;
    を有することを特徴とする認証サーバ。
JP2005304796A 2004-10-20 2005-10-19 ユーザ認証方法、無線通信網、ホームワイヤレス通信網及び認証サーバ Expired - Fee Related JP4675206B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
GBGB0423301.1A GB0423301D0 (en) 2004-10-20 2004-10-20 User authorization for services in a wireless communications network

Publications (2)

Publication Number Publication Date
JP2006121698A JP2006121698A (ja) 2006-05-11
JP4675206B2 true JP4675206B2 (ja) 2011-04-20

Family

ID=33484892

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005304796A Expired - Fee Related JP4675206B2 (ja) 2004-10-20 2005-10-19 ユーザ認証方法、無線通信網、ホームワイヤレス通信網及び認証サーバ

Country Status (5)

Country Link
US (1) US7971235B2 (ja)
EP (2) EP1650999B1 (ja)
JP (1) JP4675206B2 (ja)
DE (1) DE602005005131T2 (ja)
GB (1) GB0423301D0 (ja)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0423301D0 (en) 2004-10-20 2004-11-24 Fujitsu Ltd User authorization for services in a wireless communications network
WO2007078663A2 (en) * 2005-12-16 2007-07-12 Interdigital Technology Corporation Mobility middleware architecture for multiple radio access technology apparatus
US8274985B2 (en) * 2005-12-30 2012-09-25 United States Cellular Corporation Control of cellular data access
US20080022392A1 (en) * 2006-07-05 2008-01-24 Cisco Technology, Inc. Resolution of attribute overlap on authentication, authorization, and accounting servers
US8094817B2 (en) * 2006-10-18 2012-01-10 Telefonaktiebolaget Lm Ericsson (Publ) Cryptographic key management in communication networks
JP4216876B2 (ja) 2006-12-21 2009-01-28 株式会社東芝 通信端末を認証する装置、方法およびプログラム
KR100861929B1 (ko) * 2007-01-23 2008-10-09 삼성전자주식회사 피디지 정보 제공을 위한 장치 및 방법
CN101855928A (zh) * 2007-12-03 2010-10-06 中兴通讯美国公司 Ip服务能力协商和授权方法和系统
US8171541B2 (en) 2007-12-18 2012-05-01 Nokia Corporation Enabling provider network inter-working with mobile access
FI20080032A0 (fi) 2008-01-16 2008-01-16 Joikusoft Oy Ltd Älypuhelin WLAN-tukiasemana
US8782278B2 (en) * 2008-03-21 2014-07-15 Qualcomm Incorporated Address redirection for nodes with multiple internet protocol addresses in a wireless network
FI20080345A0 (fi) 2008-05-09 2008-05-09 Joikusoft Oy Ltd Symbian S60 puhelin 3G kaistanyhdistäjänä
ES2380526B1 (es) * 2008-05-30 2013-02-22 Zte U.S.A., Inc. Métodos y sistema para negociar y autorizar la capacidad de servicio Ethernet.
US20090300726A1 (en) * 2008-05-30 2009-12-03 Zte (Usa), Inc. Ethernet service capability negotiation and authorization method and system
KR100969470B1 (ko) * 2008-07-24 2010-07-14 에스케이 텔레콤주식회사 리소스 보안 시스템 및 리소스 보안 방법
EP2257096B1 (en) * 2009-05-28 2018-03-14 Telia Company AB Method, system, server and computer program for services
KR101112209B1 (ko) 2009-07-08 2012-02-27 주식회사 케이티 유피엔피 네트워크에서의 사용자 인증 서비스 제공 방법 및 시스템
CN102026193A (zh) * 2009-09-14 2011-04-20 中兴通讯股份有限公司 向机器到机器设备提供机器通信身份模块的系统及方法
CN102106118B (zh) * 2009-09-28 2015-04-15 华为技术有限公司 可扩展的无线局域网网关
US8811942B2 (en) 2009-11-15 2014-08-19 Nokia Corporation Method and apparatus for the activation of services
DE102009054211B4 (de) * 2009-11-21 2020-08-06 Volkswagen Ag Verfahren zur automatischen Erstellung einer Kommunikationsverbindung für ein Fahrzeug sowie entsprechend ausgestaltete(s) Kommunikationsverbindung, System und Fahrzeug
DE102009058193A1 (de) * 2009-12-15 2011-06-16 Vodafone Holding Gmbh Freischalten einer Datenverbindung über ein Mobilfunknetz in ein Datennetz
CN102754400B (zh) * 2010-02-15 2016-03-02 中兴通讯股份有限公司 用于在基于云的网络内实现集成的网络电话的方法和系统
US20130013741A1 (en) * 2011-07-04 2013-01-10 Nederlandse Organisatie Voor Toegepast-Natuurwetenschappelijk Onderzoek Tno Triggering With Time Indicator
US9769659B2 (en) * 2012-08-23 2017-09-19 Telefonaktiebolaget Lm Ericsson (Publ) Access control for a wireless local area network
TWI516151B (zh) * 2013-04-26 2016-01-01 緯創資通股份有限公司 通訊方法與通訊系統
US20160352731A1 (en) * 2014-05-13 2016-12-01 Hewlett Packard Enterprise Development Lp Network access control at controller
US9692711B2 (en) * 2014-12-22 2017-06-27 Verizon Patent And Licensing Inc. DNS redirecting for data roaming offering

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001169341A (ja) * 1999-09-29 2001-06-22 Fujitsu Ltd 移動通信サービス提供システム、移動通信サービス提供方法、認証装置、およびホームエージェント装置
JP2005512358A (ja) * 2001-09-18 2005-04-28 クゥアルコム・インコーポレイテッド 通信システムにおけるサービス認可のための方法及び装置

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6119160A (en) * 1998-10-13 2000-09-12 Cisco Technology, Inc. Multiple-level internet protocol accounting
US6430276B1 (en) 1998-11-18 2002-08-06 Hewlett-Packard Company Telecommunications system and method providing generic network access service
AU7047100A (en) * 1999-08-31 2001-03-26 Telefonaktiebolaget Lm Ericsson (Publ) Gsm security for packet data networks
US6769000B1 (en) * 1999-09-08 2004-07-27 Nortel Networks Limited Unified directory services architecture for an IP mobility architecture framework
WO2001072009A2 (en) 2000-03-17 2001-09-27 At & T Corp. Web-based single-sign-on authentication mechanism
DE10043203A1 (de) * 2000-09-01 2002-03-21 Siemens Ag Generische WLAN-Architektur
US6954790B2 (en) * 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
US7483411B2 (en) * 2001-06-04 2009-01-27 Nec Corporation Apparatus for public access mobility LAN and method of operation thereof
AU2002356669A1 (en) 2001-12-21 2003-07-09 Motorola Inc A terminal-based service identification mechanism
AU2003217301A1 (en) * 2002-02-04 2003-09-02 Flarion Technologies, Inc. A method for extending mobile ip and aaa to enable integrated support for local access and roaming access connectivity
AU2003217103A1 (en) 2002-02-28 2003-09-09 Telefonaktiebolaget L M Ericsson System, method and apparatus for federated single sign-on services
US8077681B2 (en) * 2002-10-08 2011-12-13 Nokia Corporation Method and system for establishing a connection via an access network
US20070127495A1 (en) * 2003-01-10 2007-06-07 De Gregorio Jesus-Angel Single sign-on for users of a packet radio network roaming in a multinational operator network
KR101086349B1 (ko) * 2004-07-30 2011-11-23 텔레콤 이탈리아 소시에떼 퍼 아찌오니 통신 네트워크의 동작 제어방법 및 시스템과 관련된네트워크 및 그 컴퓨터 프로그램 제품
GB0423301D0 (en) 2004-10-20 2004-11-24 Fujitsu Ltd User authorization for services in a wireless communications network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001169341A (ja) * 1999-09-29 2001-06-22 Fujitsu Ltd 移動通信サービス提供システム、移動通信サービス提供方法、認証装置、およびホームエージェント装置
JP2005512358A (ja) * 2001-09-18 2005-04-28 クゥアルコム・インコーポレイテッド 通信システムにおけるサービス認可のための方法及び装置

Also Published As

Publication number Publication date
DE602005005131T2 (de) 2009-05-20
EP1650999B1 (en) 2008-03-05
DE602005005131D1 (de) 2008-04-17
EP1650999A1 (en) 2006-04-26
JP2006121698A (ja) 2006-05-11
US7971235B2 (en) 2011-06-28
GB0423301D0 (en) 2004-11-24
US20060123470A1 (en) 2006-06-08
EP1701577A1 (en) 2006-09-13

Similar Documents

Publication Publication Date Title
JP4675206B2 (ja) ユーザ認証方法、無線通信網、ホームワイヤレス通信網及び認証サーバ
US10834571B1 (en) Steering of roaming for 5G core roaming in an internet packet exchange network
JP4966432B2 (ja) 非3gppアクセスネットワーク経由のアクセス
JP5032582B2 (ja) ゲートウェイ選択機構
EP3120591B1 (en) User identifier based device, identity and activity management system
US20120166803A1 (en) Verification method, apparatus, and system for resource access control
US9071505B2 (en) Method and system for dynamically allocating services for subscribers data traffic
EP2477360B1 (en) Session updating method for authentication, authorization and accounting and equipment and system thereof
US20030163733A1 (en) System, method and apparatus for federated single sign-on services
JP2007536605A (ja) 無料のインターネットプロトコル通信サービスのための方法及びシステム
WO2008110121A1 (fr) Procédé et système d'adaptation de contenus de services de données, et système de portail
WO2014183260A1 (zh) 漫游场景下的数据业务处理方法、装置和系统
WO2017193512A1 (zh) 运营商ePDG网关接入系统及实现移动通信的方法
JP2006005445A (ja) ネットワーク接続システムおよびネットワーク接続方法
JP5025801B2 (ja) 限定された目的のためのネットワークへのアクセス
KR20100029106A (ko) 모바일 단말기들의 웹 기반 오버―디―에어 제공 및 활성화
CN109510906B (zh) 上网业务实现方法、装置、系统及存储介质
US20130276072A1 (en) Method for Enabling Exchange of User Profiles Between a Visited Network and a Home Network
JP2004166226A (ja) 端末ユーザからコンテンツ・サービスへのオンライン・アクセスを制御する方法及びシステム
EP4106375B1 (en) Techniques to enable a secure data communication between a first network and a second network that comprise at least in part a different communication environment
EP1843541B1 (en) A method of securing communication between an access network and a core network
US20240129346A1 (en) Method, apparatus and system for associating different instances of user engagement with a content provider
EP4295641A1 (en) Method and system in 3gpp networks for reporting of vowifi calls over untrusted non-3gpp access

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080324

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100818

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100907

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110118

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110125

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140204

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees