JP4767736B2 - 基地局装置、認証サーバ、移動局装置、及び通信制御方法 - Google Patents
基地局装置、認証サーバ、移動局装置、及び通信制御方法 Download PDFInfo
- Publication number
- JP4767736B2 JP4767736B2 JP2006095626A JP2006095626A JP4767736B2 JP 4767736 B2 JP4767736 B2 JP 4767736B2 JP 2006095626 A JP2006095626 A JP 2006095626A JP 2006095626 A JP2006095626 A JP 2006095626A JP 4767736 B2 JP4767736 B2 JP 4767736B2
- Authority
- JP
- Japan
- Prior art keywords
- mobile station
- authentication
- station apparatus
- station device
- base station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
本発明は基地局装置、認証サーバ、移動局装置、及び通信制御方法に関し、特に移動局装置が基地局装置に接続するときに使用される端末証明書の有効期限に関する。
移動体通信システムには、移動局装置が基地局装置経由で通信ネットワークに接続しようとするとき、玄関口となる基地局装置において、接続してきた移動局装置をデジタル証明書(端末証明書と呼ばれる。)により認証することにより、偽物の移動局装置による通信ネットワークとの通信を排除しているものがある。このような移動体通信システムの具体的な例としてはiBurst(登録商標)システムが挙げられる。
この認証にかかる処理について、具体的な例を挙げて説明する。この例では、通信ネットワークに認証サーバが設置される。この認証サーバは、公開鍵と秘密鍵からなる暗号鍵セットを生成して保持するとともに、公開鍵を基地局装置に送信する。また、基地局装置と移動局装置に同じ内容の署名情報(移動局装置の正当性を確認するための情報)が予め記憶される。
初めに、認証サーバが発行した端末証明書が移動局装置のメモリに書き込まれる。具体的には、電気通信事業者は販売店等に認証サーバと通信可能なコンピュータ端末(以下、販売店設置端末という。)を設置しており、担当者が販売店設置端末に移動局装置を接続する。移動局装置は、販売店設置端末を介して、認証サーバに対し上記署名情報を送信する。認証サーバは、これらを受信すると、販売店設置端末経由で受信されたものであるか否かを確認する。この確認により販売店設置端末経由で受信されたことが確認された場合、認証サーバは、受信した署名情報を上記秘密鍵で暗号化し、さらに当該認証サーバを示す認証サーバ情報及び有効期限を示す有効期限情報を付加してなる端末証明書を生成し、移動局装置に対して送信する(これらの一連の処理を「端末証明書の初期発行」という。)。こうして移動局装置に対して端末証明書が送信され、移動局装置のメモリに書き込まれる。
通信を開始しようとするとき、移動局装置はそのメモリに保持している端末証明書を基地局装置に対して送信する。基地局装置は、受信した端末証明書の内容からまず有効期限情報を取得し、有効期限が経過していれば認証失敗と判定し、移動局装置の通信開始を拒否する。一方、有効期限が経過していなければ、基地局装置は次に認証サーバ情報を取得し、該認証サーバ情報により示される認証サーバから受信している公開鍵により、端末証明書に含まれる署名情報を復号化する。こうして得られる署名情報が記憶している署名情報と一致しなければ、認証失敗と判定し、移動局装置の通信開始を拒否する。一方、一致すれば、認証成功と判定し、移動局装置の通信開始を許可する。こうして通信開始が許可されると、移動局装置は、基地局装置を介しネットワークとの通信を開始する。
ところで、端末証明書には上述のように有効期限が設定されるが、有効期限が切れてしまうと通信開始できなくなるので、移動局装置が通信を行うときにこの有効期限の延長処理が行われる(例えば特許文献1)。すなわち、移動局装置は、上記認証が成功して通信ネットワークとの通信を行う際に、保持している端末証明書を示す端末証明書情報を上記認証サーバに対し送信する。認証サーバは、この端末証明書情報を受信すると、該端末証明書情報により示される端末証明書を取得し、その中に含まれる有効期限を延長した上で移動局装置に対して送信する(これらの一連の処理を「端末証明書の再発行」という。)。移動局装置は、こうして再発行された端末証明書を受信し、それまで保持していた端末証明書に換えてメモリに書き込む。有効期限の延長処理は以上のようにして行われる。
特開2005−269558号公報
しかしながら、上記背景技術では、基地局装置において端末証明書による認証が失敗したことをもって、その理由を問わず移動局装置の通信開始を拒否するようにしているので、失敗の理由が有効期限切れによる認証失敗であったとしても移動局装置の通信開始はやはり拒否される。このため、端末証明書の有効期限が切れた移動局装置は、そもそも認証サーバにも通信接続することができず、有効期限の延長処理すらできなくなり、全く通信を行えない状態となる。この場合、通信を再開するためには端末証明書の初期発行を再度実施する必要があるが、例えば上記具体例ではこの初期発行を行うためにユーザが販売店に赴く必要があり、大変面倒であった。
この点、端末証明書の有効期限が切れた移動局装置に認証サーバへの通信接続のみを許可するようにすれば偽物の移動局装置による通信ネットワーク(認証サーバを除く)との通信を排除しつつ、有効期限切れの端末証明書の有効期限延長を行えるが、このようにした場合、認証サーバのみへの通信許可とはいえ、認証サーバにより裏付けられた認証(すなわち端末証明書による認証)を行わずに通信ネットワークに接続させていることには変わりがなく、セキュリティの面で問題があった。
従って、本発明の課題の一つは、端末証明書の有効期限が切れている移動局装置であっても、セキュリティを確保しつつ、通信ネットワークに接続させることができる基地局装置、認証サーバ、移動局装置、及び通信制御方法を提供することにある。
上記課題を解決するための本発明にかかる基地局装置は、移動局装置及び認証サーバに通信接続される基地局装置であって、前記移動局装置から端末証明書を受信する端末証明書受信手段と、前記端末証明書の有効期限が切れている場合に、前記認証サーバに対し、該端末証明書を送信した移動局装置を認証するための移動局装置認証情報を送信する送信手段と、前記認証サーバから、前記移動局装置認証情報により前記移動局装置を認証した結果を示す認証結果情報を受信する第1認証結果情報受信手段と、前記認証結果情報に応じて、前記移動局装置が当該基地局装置を介して行う通信を制御する通信制御手段と、を含むことを特徴とする。
これによれば、端末証明書の有効期限が切れた移動局装置が行う通信については、まず認証サーバに認証させ、その結果に応じて制御するようにすることができるので、端末証明書の有効期限が切れている移動局装置であっても、セキュリティを確保しつつ、通信ネットワークに接続させることができる。そして、こうして通信ネットワークに接続することができた移動局装置は、有効期限切れの端末証明書の有効期限延長を行うことができる。
また、上記基地局装置において、前記通信制御手段は、前記移動局装置が当該基地局装置を介して前記認証サーバへの通信接続を行うことができるよう、前記通信を制御する、こととしてもよい。
これによれば、端末証明書の有効期限が切れた移動局装置は認証サーバへの通信接続を行うことができるので、有効期限切れの端末証明書の有効期限延長を行える。
また、上記各基地局装置において、当該基地局装置は、前記第1認証結果情報受信手段により受信した前記認証結果情報を前記移動局装置に対して送信する認証結果情報送信手段と、前記移動局装置から前記認証結果情報を受信する第2認証結果情報受信手段と、をさらに含み、前記通信制御手段は、前記第2認証結果情報受信手段により受信された認証結果情報に応じて、前記移動局装置が当該基地局装置を介して行う通信を制御する、こととしてもよい。
これによれば、基地局装置は、認証結果情報(簡易証明書)により移動局装置を通信接続させることができる。
また、上記基地局装置において、前記認証結果情報送信手段は、前記移動局装置の要求に応じて、前記第1認証結果情報受信手段により受信した前記認証結果情報を該移動局装置に対して送信し、当該基地局装置は、前記第1認証結果情報受信手段により前記認証結果情報を受信してからの経過時間に応じて、前記認証結果情報送信手段による前記認証結果情報の送信を制限する送信制限手段、を含む、こととしてもよい。
これによれば、基地局装置は、所定期間内に要求がなかった場合には認証結果情報を送信しないようにすることができる。
また、本発明にかかる認証サーバは、基地局装置に通信接続される認証サーバであって、前記基地局装置から、該基地局装置に端末証明書を送信した移動局装置を認証するための移動局装置認証情報を受信する移動局装置認証情報受信手段と、前記移動局装置認証情報により前記移動局装置を認証し、認証が成功した場合にはその結果を示す認証結果情報を前記基地局装置に対して送信する認証結果情報送信手段と、を含むことを特徴とする。
また、本発明にかかる移動局装置は、基地局装置に通信接続される移動局装置であって、当該移動局装置の端末証明書の有効期限が切れている場合に、当該移動局装置を認証するための移動局装置認証情報により認証サーバが当該移動局装置を認証した結果を示す認証結果情報を取得する認証結果情報取得手段と、前記基地局装置に対し、前記認証結果情報を送信する認証結果情報送信手段と、を含むことを特徴とする。
また、本発明にかかる通信制御方法は、移動局装置から基地局装置に対し端末証明書を送信する端末証明書送信ステップと、前記端末証明書の有効期限が切れている場合に、前記基地局装置から認証サーバに対し、該端末証明書を送信した移動局装置を認証するための移動局装置認証情報を送信する送信ステップと、前記認証サーバから前記基地局装置に対し、前記移動局装置認証情報により前記移動局装置を認証した結果を示す認証結果情報を受信する認証結果情報受信ステップと、前記認証結果情報に応じて、前記移動局装置が当該基地局装置を介して行う通信を制御する通信制御ステップと、を含むことを特徴とする。
本発明の実施の形態について、図面を参照しながら説明する。
図1は、本実施の形態にかかる移動体通信システム1のシステム構成及び機能ブロックを示す図である。同図に示すように、移動体通信システム1は移動局装置10、基地局装置20、ネットワーク30、認証サーバ40を含んで構成される。
移動局装置10、基地局装置20、認証サーバ40は、いずれもCPU及びメモリを備えるコンピュータである。CPUは、メモリに記憶されるプログラムを実行するための処理ユニットであり、各装置の各部を制御する処理を行うとともに、後述する各機能を実現する。メモリは本実施の形態を実施するためのプログラムやデータを記憶している。また、CPUのワークメモリとしても動作する。
移動局装置10は移動可能に構成される無線通信装置として機能し、各所に設置された基地局装置20のうち、もっとも通信しやすい基地局装置20と無線通信を行う。さらに、基地局装置20との無線通信を介して、ネットワーク30に接続された他の通信装置との間で通信を行う。
基地局装置20も無線通信装置として機能し、同様の装置が各所に設置される。いずれの基地局装置20もネットワーク30と接続されており、移動局装置10がネットワーク30と行う通信を中継する。
ネットワーク30は複数の通信装置により構成される。これらの通信装置は相互に通信接続するとともに、外部の通信装置とも接続する。具体的には、交換機により構成される交換網やルータにより構成されるIP網などにより構成される。
認証サーバ40は移動局装置10の端末証明書を発行する。また、ネットワーク30と接続されており、ネットワーク30を介して移動局装置10の端末証明書の有効期限延長処理を行う。
以下では、機能ブロックを参照しながら、移動局装置10、基地局装置20、及び認証サーバ40の機能のうち本実施の形態にかかる部分について、詳細に説明する。
図1に示すように、移動局装置10は機能的に端末証明書記憶部11、簡易証明書記憶部12、証明書送信部13、簡易証明書取得部14を含んで構成される。また、基地局装置20は機能的に、証明書受信部21、認証部22、署名情報記憶部23、通信制御部24、移動局装置認証情報取得部25、簡易証明書受信部26、簡易証明書記憶部27、簡易証明書送信部28を含んで構成される。また、認証サーバ40は機能的に、簡易証明書発行部41、移動局装置認証情報記憶部42を含んで構成される。
端末証明書記憶部11は、当該移動局装置10に対して認証サーバ40が発行した端末証明書を記憶する。この端末証明書には、当該端末証明書を発行した認証サーバを示す認証サーバ情報と、当該端末証明書の有効期限を示す有効期限情報と、当該端末証明書を発行した認証サーバの秘密鍵により暗号化された署名情報と、が含まれる。この署名情報は移動体通信システム1に含まれる全ての移動局装置10に共通なものであってもよいし、移動局装置10ごとに異なるものであってもよい。
簡易証明書記憶部12は、簡易証明書を記憶する。この簡易証明書の詳細については後述する。
移動局装置10がネットワーク30との通信を開始しようとするとき、証明書送信部13は、まず簡易証明書記憶部12に簡易証明書が記憶されているか否かを判断する。記憶されていない場合には、端末証明書記憶部11に記憶される端末証明書を基地局装置20に対して送信する。記憶されている場合には、端末証明書記憶部11に記憶される端末証明書と、簡易証明書記憶部12に記憶される簡易証明書と、を基地局装置20に対して送信する。
以下、まず簡易証明書記憶部12に簡易証明書が記憶されていない場合について説明する。
この場合、証明書送信部13は端末証明書記憶部11に記憶される端末証明書を基地局装置20に対して送信する。証明書受信部21は、移動局装置10から端末証明書を受信し、認証部22に対して出力する。
認証部22は、証明書受信部21から入力された端末証明書による移動局装置10の認証を行う。具体的には、端末証明書から有効期限情報を取り出し、該有効期限情報により示される有効期限が切れているか否かを判断する。より具体的には、有効期限により示される日時が、現在日時の前である場合に、有効期限が切れていると判断する。
有効期限が切れていなければ、認証部22は次に認証サーバ情報を取り出し、該認証サーバ情報により示される認証サーバ(ここでは認証サーバ40とする。)が予め公表している公開鍵により、署名情報を復号化する。
署名情報記憶部23は、端末証明書に含まれるべき署名情報を記憶している。認証部22は、復号化した署名情報と、署名情報記憶部23に記憶される署名情報と、を比較し、一致すれば認証成功と判断し、一致しなければ認証失敗と判断する。
認証部22が認証成功と判断した場合、通信制御部24は移動局装置10がネットワーク30との間で行う通信の中継を開始する。一方、認証部22が認証失敗と判断した場合、通信制御部24は移動局装置10の通信開始を拒否する。
有効期限が切れている場合にも、認証部22は認証失敗と判断する。ただし、この場合には、移動局装置認証情報取得部25は、端末証明書を送信した移動局装置10を認証するための移動局装置認証情報を取得し、移動局装置10を示す移動局装置情報とともに認証サーバ40に対して送信する。移動局装置認証情報は、認証サーバ40が移動局装置10の正当性を確認するための情報であり、例えば機体番号と電話番号の組み合わせをこの移動局装置認証情報として使用することができる。
簡易証明書発行部41は、基地局装置20から、該基地局装置20に端末証明書を送信した移動局装置10を認証するための移動局装置認証情報及び移動局装置情報を受信する。
次に、簡易証明書発行部41は、移動局装置認証情報により、移動局装置情報により示される移動局装置10を認証する。具体的には、移動局装置認証情報記憶部42は各移動局装置10の移動局装置認証情報を記憶しており、簡易証明書発行部41は、受信した移動局装置認証情報が移動局装置認証情報記憶部42に記憶される移動局装置認証情報に含まれるか否かを判断することによって認証を行う。より具体的には、含まれる場合に認証成功、含まれない場合に認証失敗と判断する。
認証が成功した場合、簡易証明書発行部41は、認証結果を示すとともに、上記移動局装置情報と、該移動局装置情報により示される移動局装置10の署名情報であって当該認証サーバ40の秘密鍵により暗号化された署名情報と、当該認証サーバ40を示す認証サーバ情報と、当該簡易証明書の有効期限を示す有効期限情報と、を含む認証結果情報(簡易証明書)を発行し、基地局装置20に対して送信する。
簡易証明書受信部26は、認証サーバ40から簡易証明書を受信し、簡易証明書記憶部27に記憶させる。
簡易証明書送信部28は、簡易証明書記憶部27に1つ以上の簡易証明書が記憶されている場合、定期的に無線送信する報知チャネルにおいて、簡易証明書の送信が可能であることを報知する。具体的には、報知チャネルに簡易証明書送信可否ビットを含め、簡易証明書記憶部27に1つ以上の簡易証明書が記憶されている場合にビット「1」を、簡易証明書記憶部27に簡易証明書が記憶されていない場合にビット「0」を、それぞれ設定する。
簡易証明書取得部14は、端末証明書記憶部11に記憶される端末証明書の有効期限が切れているか否かを、有効期限情報により示される有効期限と、現在日時と、を比較することにより判断する。そして、有効期限が切れている場合に、基地局装置20が送信している報知チャネルに含まれる簡易証明書送信可否ビットを監視する。
監視の結果、簡易証明書送信可否ビットに「1」が設定されていた場合、簡易証明書取得部14は、該簡易証明書送信可否ビットを含む報知チャネルを送信している基地局装置20に対して、簡易証明書の送信を要求する。
簡易証明書送信部28は、移動局装置10が簡易証明書の送信を要求すると、該要求に応じて、該移動局装置10に対し、簡易証明書を送信する。具体的には、簡易証明書送信部28は、該移動局装置10を示す移動局装置情報が含まれる簡易証明書が簡易証明書記憶部27に記憶されているか否かを判断する。簡易証明書送信部28は、該簡易証明書が記憶されていた場合、記憶されている簡易証明書を、簡易証明書の送信を要求した移動局装置10に対して送信するとともに、簡易証明書記憶部27から削除する。
簡易証明書取得部14は、こうして基地局装置20から送信された簡易証明書を受信することにより簡易証明書を取得し、簡易証明書記憶部12に記憶させる。
次に、簡易証明書記憶部12に簡易証明書が記憶されている場合について説明する。
この場合、証明書送信部13は、端末証明書記憶部11に記憶される端末証明書と、簡易証明書記憶部12に記憶される簡易証明書と、を基地局装置20に対して送信する。証明書受信部21は、移動局装置10から端末証明書及び簡易証明書を受信し、認証部22に対して出力する。
認証部22は、まず証明書受信部21から入力された端末証明書による移動局装置10の認証を行う。この認証処理については上述のものと同様である。この認証の結果、端末証明書の有効期限が切れていた場合、認証部22は簡易証明書が入力されているか否かを判断し、入力されている場合には簡易証明書による移動局装置10の認証を行う。
具体的には、簡易証明書から有効期限情報を取り出し、該有効期限情報により示される有効期限が切れているか否かを判断する。有効期限が切れていれば認証失敗と判断する。
有効期限が切れていなければ、認証部22は次に認証サーバ情報を取り出し、該認証サーバ情報により示される認証サーバ40が予め公表している公開鍵により、署名情報を復号化する。そして、復号化した署名情報と、署名情報記憶部23に記憶される署名情報と、を比較し、一致すれば認証成功と判断し、一致しなければ認証失敗と判断する。
通信制御部24は、移動局装置10から受信した簡易証明書に応じて、移動局装置10が当該基地局装置20を介して行う通信を制御する。具体的には、認証部22が認証成功と判断した場合、通信制御部24は移動局装置10がネットワーク30との間で行う通信のうち、認証サーバ40との間で行う通信のみの中継を開始し、他の通信装置との間で行う通信については拒否する。認証部22が認証失敗と判断した場合には、通信制御部24は移動局装置10の通信開始を拒否する。
このように、基地局装置20は、移動局装置10の端末証明書の有効期限が切れている場合であっても、簡易証明書による認証結果に応じて、認証サーバ40との通信のみを許可するようにしている。このため、移動局装置10は端末証明書の有効期限が切れていても、認証サーバ40との間で有効期限の延長処理を行うことができる。この延長処理が完了すると、移動局装置10は簡易証明書記憶部12に記憶している簡易証明書を破棄する。
以上説明した処理を、移動体通信システム1の処理シーケンスを参照しながら再度より詳細に説明する。
図2は、移動体通信システム1の処理シーケンスを示す図である。同図に示すように、移動局装置10は、通信を開始しようとするときに端末証明書を含む端末証明書認証要求を送信する(S1)。ここでは、端末証明書の有効期限が切れており、かつ端末証明書認証要求に簡易証明書は含まれないものとする。
上記端末証明書認証要求を受信した基地局装置20は端末証明書の認証を行うが、ここでは有効期限が切れているので認証失敗となり、認証失敗を通知するための端末証明書認証応答を移動局装置10に対して送信する(S2)。同時に、基地局装置20は、認証サーバ40に対して移動局装置認証情報を含む簡易証明書送信要求を送信する(S3)。
簡易証明書送信要求を受信した認証サーバ40は、移動局装置認証情報により移動局装置10の認証を行い、認証成功であった場合には簡易証明書を含む簡易証明書通知を基地局装置20に対して送信する(S4)。認証失敗であった場合には簡易証明書通知の送信を行わない。
簡易証明書通知を受信すると、基地局装置20は簡易証明書の送信が可能であることを示す報知情報を報知チャネルにおいて送信する(S5)。この報知情報を受信した移動局装置10は、制御チャネル(RACH)において、簡易証明書の送信を要求するための簡易証明書送信要求を送信する(S6)。
簡易証明書送信要求を受信した基地局装置20は、制御チャネル(AACH)において、簡易証明書を含む簡易証明書通知を移動局装置10に対して送信する(S7)。
こうして移動局装置10は簡易証明書を取得し、その後通信を開始しようとするときには、端末証明書及び簡易証明書を含む端末証明書認証要求を送信する(S8)。
上記端末証明書認証要求を受信した基地局装置20は端末証明書の認証を行い、ここでは有効期限が切れているものの簡易証明書の認証が成功するので、認証成功を通知するための端末証明書認証応答を移動局装置10に対して送信する(S9)。
認証成功を通知するための端末証明書認証応答を受信した移動局装置10は、ネットワーク30に含まれる交換機との間でユーザセッションを確立する(S10乃至S12)。そして、こうして確立したユーザセッションを利用し、認証サーバ40に対して期限を延長した端末証明書を送信するよう要求するための端末証明書送信要求を送信する(S13)。
端末証明書送信要求を受信した認証サーバ40は、期限を延長した端末証明書を発行し、該端末証明書を含む端末証明書通知を移動局装置10に対して送信する(S14)。
なお、基地局装置20は、S5において送信する報知情報を、特定の移動局装置10について簡易証明書の送信が可能であることを示す報知情報とすることとしてもよい。そしてこのようにした場合、認証サーバ40から簡易証明書を受信してからの経過時間に応じて、簡易証明書の送信を制限するようにすることが好適である。具体的には、認証サーバ40からの受信の後、定期的に送信する報知チャネルには同様な報知情報を含め、受信から所定時間が経過した以後に送信する報知チャネルには、上記特定の移動局装置10について簡易証明書の送信が不能であることを示す報知情報を含めるようにすることが好適である(S15)。こうすれば、移動局装置10が簡易証明書を取得することのできる期間を、基地局装置20が決定できる。
次に、以上説明した処理を、移動局装置10及び基地局装置20の処理フローを参照しながら再度より詳細に説明する。
図3は、簡易証明書を取得するために移動局装置10が行う処理及び通信を開始する際に移動局装置10が行う処理の処理フローを示す図である。同図に示すように、移動局装置10は基地局装置20が送信している報知情報を定期的に受信している(S100)。報知情報の受信時に、移動局装置10は、記憶している端末証明書の有効期限が期限内か否か判定する(S101)。期限内であればS105の処理に移動し、期限外であれば報知情報が簡易証明書の送信が可能であることを示しているか否かを判定する(S102)。送信可能であることを示していなければS105の処理に移動し、示していれば基地局装置20に対して簡易証明書送信要求を送信する(S103)。その結果、移動局装置10は、基地局装置20から簡易証明書を受信する(S104)。
通信を開始するとき、移動局装置10は端末証明書認証要求を送信する(S105)。この端末証明書認証要求には、端末証明書と、簡易証明書がある場合には簡易証明書と、が含まれる。端末証明書認証要求を受信した基地局装置20は端末証明書認証応答を返送するので、移動局装置10はこれを受信し(S106)、認証が成功したか否かを判断する。認証が成功していれば、ネットワーク30に含まれる交換機との間でユーザセッションを確立する(S107、S108)。
ユーザセッションが確立されると、移動局装置10は認証サーバ40に対して有効期限を延長した端末証明書を送信するよう要求するための端末証明書更新要求を送信する(S109)。この端末証明書更新要求を受信した認証サーバ40は有効期限を延長した端末証明書を含む端末証明書更新応答を送信するので、移動局装置10はこれを受信し(S110)、記憶する。これ以降、移動局装置10は新たな端末証明書を用いて通信を行う。
図4は、簡易証明書を認証サーバ40から取得し、移動局装置10に対して送信するために基地局装置20が行う処理の処理フローを示す図である。
同図に示すように、基地局装置20は端末証明書の有効期限が切れている移動局装置10から通信開始を要求されたか否か(ユーザセッション接続要求を受信したか否か)を判定する。受信していなければ、処理を終了する。一方、受信していれば、該端末証明書が簡易証明書要求を送信する条件を満たしているか否かを判定する(S201)。具体的には、有効期限が切れていないと仮定した場合に認証成功となること、簡易証明書記憶部27の記憶エリアに空きがあること、通信開始を要求した移動局装置10の簡易証明書が簡易証明書記憶部27に既に記憶されていないこと、の全てを満たす場合に、簡易証明書要求を送信する条件を満たしていると判定する。
簡易証明書要求を送信する条件を満たしていれば、基地局装置20は簡易証明書送信要求を認証サーバ40に対して送信する(S202)。一方、簡易証明書要求を送信する条件を満たしていなければ、処理を終了する。
簡易証明書送信要求を受信した認証サーバ40は簡易証明書を返送するので、基地局装置20はこれを受信し(S203)、記憶する。
簡易証明書が受信されると、基地局装置20は、定期的に送信している報知情報に、簡易証明書の送信が可能であることを示すパラメータを設定する(S204)。すると、報知情報を受信した移動局装置10が簡易証明書送信要求を送信するので、基地局装置20はこれを受信し(S205)、記憶している簡易証明書を移動局装置10に対して送信する(S206)。
以上説明したように、移動体通信システム1では、端末証明書の有効期限が切れた移動局装置10が行う通信については、まず認証サーバ40に認証させ、その結果に応じて制御するようにすることができるので、端末証明書の有効期限が切れている移動局装置10であっても、セキュリティを確保しつつ、通信ネットワークに接続させることができる。そして、こうして通信ネットワークに接続することができた移動局装置10は、有効期限切れの端末証明書の有効期限延長を行うことができる。
1 移動体通信システム、10 移動局装置、11 端末証明書記憶部、12 簡易証明書記憶部、13 証明書送信部、14 簡易証明書取得部、20 基地局装置、21 証明書受信部、22 認証部、23 署名情報記憶部、24 通信制御部、25 移動局装置認証情報取得部、26 簡易証明書受信部、27 簡易証明書記憶部、28 簡易証明書送信部、30 ネットワーク、40 認証サーバ、41 簡易証明書発行部、42 移動局装置認証情報記憶部。
Claims (7)
- 移動局装置及び認証サーバに通信接続される基地局装置であって、
前記移動局装置から端末証明書を受信する端末証明書受信手段と、
前記端末証明書の有効期限が切れている場合に、前記認証サーバに対し、該端末証明書を送信した移動局装置を認証するための移動局装置認証情報を送信する送信手段と、
前記認証サーバから、前記移動局装置認証情報により前記移動局装置を認証した結果を示す認証結果情報を受信する第1認証結果情報受信手段と、
前記認証結果情報に応じて、前記移動局装置が当該基地局装置を介して行う通信を制御する通信制御手段と、
を含むことを特徴とする基地局装置。 - 請求項1に記載の基地局装置において、
前記通信制御手段は、前記移動局装置が当該基地局装置を介して前記認証サーバへの通信接続を行うことができるよう、前記通信を制御する、
ことを特徴とする基地局装置。 - 請求項1又は2に記載の基地局装置において、
当該基地局装置は、
前記第1認証結果情報受信手段により受信した前記認証結果情報を前記移動局装置に対して送信する認証結果情報送信手段と、
前記移動局装置から前記認証結果情報を受信する第2認証結果情報受信手段と、
をさらに含み、
前記通信制御手段は、前記第2認証結果情報受信手段により受信された認証結果情報に応じて、前記移動局装置が当該基地局装置を介して行う通信を制御する、
ことを特徴とする基地局装置。 - 請求項3に記載の基地局装置において、
前記認証結果情報送信手段は、前記移動局装置の要求に応じて、前記第1認証結果情報受信手段により受信した前記認証結果情報を該移動局装置に対して送信し、
当該基地局装置は、
前記第1認証結果情報受信手段により前記認証結果情報を受信してからの経過時間に応じて、前記認証結果情報送信手段による前記認証結果情報の送信を制限する送信制限手段、
を含む、
ことを特徴とする基地局装置。 - 基地局装置に通信接続される認証サーバであって、
前記基地局装置から、該基地局装置に端末証明書を送信した移動局装置を認証するための移動局装置認証情報を受信する移動局装置認証情報受信手段と、
前記移動局装置認証情報により前記移動局装置を認証し、認証が成功した場合にはその結果を示す認証結果情報を前記基地局装置に対して送信する認証結果情報送信手段と、
を含むことを特徴とする認証サーバ。 - 基地局装置に通信接続される移動局装置であって、
当該移動局装置の端末証明書の有効期限が切れている場合に、当該移動局装置を認証するための移動局装置認証情報により認証サーバが当該移動局装置を認証した結果を示す認証結果情報を取得する認証結果情報取得手段と、
前記基地局装置に対し、前記認証結果情報を送信する認証結果情報送信手段と、
を含むことを特徴とする移動局装置。 - 移動局装置から基地局装置に対し端末証明書を送信する端末証明書送信ステップと、
前記端末証明書の有効期限が切れている場合に、前記基地局装置から認証サーバに対し、該端末証明書を送信した移動局装置を認証するための移動局装置認証情報を送信する送信ステップと、
前記認証サーバから前記基地局装置に対し、前記移動局装置認証情報により前記移動局装置を認証した結果を示す認証結果情報を受信する認証結果情報受信ステップと、
前記認証結果情報に応じて、前記移動局装置が当該基地局装置を介して行う通信を制御する通信制御ステップと、
を含むことを特徴とする通信制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006095626A JP4767736B2 (ja) | 2006-03-30 | 2006-03-30 | 基地局装置、認証サーバ、移動局装置、及び通信制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006095626A JP4767736B2 (ja) | 2006-03-30 | 2006-03-30 | 基地局装置、認証サーバ、移動局装置、及び通信制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007274192A JP2007274192A (ja) | 2007-10-18 |
| JP4767736B2 true JP4767736B2 (ja) | 2011-09-07 |
Family
ID=38676556
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006095626A Expired - Fee Related JP4767736B2 (ja) | 2006-03-30 | 2006-03-30 | 基地局装置、認証サーバ、移動局装置、及び通信制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4767736B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010056925A (ja) * | 2008-08-28 | 2010-03-11 | Kyocera Corp | 端末認証システム、無線端末、認証装置および端末認証方法 |
-
2006
- 2006-03-30 JP JP2006095626A patent/JP4767736B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007274192A (ja) | 2007-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6457698B2 (ja) | 非車載無線ネットワークへのアクセスを制御する方法 | |
| JP6062828B2 (ja) | 加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置 | |
| JP4923283B2 (ja) | 無線通信システムおよび通信装置および通信制御プログラム | |
| US20170063807A1 (en) | Method for automatically establishing wireless connection, gateway device and client device for internet of things using the same | |
| CN103460674A (zh) | 用于供应推送通知会话的方法、装置与系统 | |
| EP1760945A2 (en) | Wireless LAN security system and method | |
| KR102119586B1 (ko) | 통신 네트워크를 통해 데이터를 릴레이하는 시스템 및 방법 | |
| JP2007503637A (ja) | クレデンシャルを提供する方法、システム、認証サーバ、及びゲートウェイ | |
| CN102111766A (zh) | 网络接入方法、装置及系统 | |
| JP6997886B2 (ja) | コアネットワ-クへの非3gpp装置アクセス | |
| KR100796525B1 (ko) | 이동통신단말기의 가입자식별모듈 정보를 공유하는 시스템및 그 제어방법 | |
| CN109565441B (zh) | 一种用于通过使用第二通信设备来配置第一通信设备的方法 | |
| CN113348689B (zh) | 中继方法、中继系统以及中继用程序 | |
| CN112053477A (zh) | 智能门锁的控制系统、方法、装置及可读存储介质 | |
| US20100071033A1 (en) | Authentication coordination system, terminal apparatus, storage medium, authentication coordination method, and authentication coordination program | |
| JP2008263445A (ja) | 接続設定システム、認証装置、無線端末、及び接続設定方法 | |
| CN101568116B (zh) | 一种证书状态信息的获取方法及证书状态管理系统 | |
| JP4767736B2 (ja) | 基地局装置、認証サーバ、移動局装置、及び通信制御方法 | |
| JP4584776B2 (ja) | ゲートウェイ装置およびプログラム | |
| CN110896683A (zh) | 数据保护方法、装置以及系统 | |
| KR20130046781A (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
| JP6813030B2 (ja) | 通信システム | |
| JP2006185389A (ja) | 通信装置および方法、並びにプログラム | |
| JP4757723B2 (ja) | 保守用無線端末の認証方法および無線通信システム | |
| JP2008109612A (ja) | 無線通信方法及び無線通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080902 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110614 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110615 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4767736 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140624 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |