JP4854338B2 - 移動体通信における認証システム及び認証方法 - Google Patents
移動体通信における認証システム及び認証方法 Download PDFInfo
- Publication number
- JP4854338B2 JP4854338B2 JP2006061930A JP2006061930A JP4854338B2 JP 4854338 B2 JP4854338 B2 JP 4854338B2 JP 2006061930 A JP2006061930 A JP 2006061930A JP 2006061930 A JP2006061930 A JP 2006061930A JP 4854338 B2 JP4854338 B2 JP 4854338B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- domain
- mobile terminal
- session information
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Description
本発明は、移動体通信において、移動端末が第1の通信ネットワークと第2の通信ネットワークとから構築されるマルチドメイン環境において、ドメイン間を移動する際の認証システム及び認証方法に関する。
近年、複数のネットワークを相互に接続してなるマルチドメインネットワーク環境が普及しつつあり、移動体通信では、ユーザーが移動することによって、認証方式の異なるドメインに移行する、いわゆるドメイン間ハンドオーバーが生じる。この異なる認証方式のドメイン間におけるハンドオーバーでは、移動先ドメインにおける新たなアクセス認証に時間がかかるうえ、移動先のドメインの認証完了するまで移動端末による通信が遮断されるという問題があった。
これに対し、従来では、特許文献1に開示されたような、無線ネットワークにおける高速ローミングサービス方法が提案されている。この高速ローミングサービスでは、無線ネットワークシステムにおいて、予め認証セッションの共通鍵をドメイン間で転送することにより、シームレスなローミングサービスを可能とし、移動端末がシームレスな通信を行う。
特開2004-222300号公報
しかしながら、上述した高速ローミング方式では、マルチドメイン間で、認証方式や、認証ポリシー等の違いがある場合(例えば、EAP-MD5(Enhanced Authentication Protocol-Message Digest 5)とEAP-TLS(Enhanced Authentication Protocol - Transport Layer Security )とでは、その認証強度が違うなど)、旧認証セッション情報の再利用ができず、それに基づいた既存方式を適用できないという問題がある。
詳述すると、例えば、移動前のドメイン上で認証セッションの共通鍵を予め生成し、予測される移動先のドメイン群に予め転送させることは、既存ドメインの認証装置の変更が必須となり、この技術をマルチドメイン環境に適用するためには、膨大なコストを生じる惧れがある。その一方で、マルチドメイン間の認証方式や認証ポリシーの相違をそのままにして、単に、移動前ドメインでの旧認証セッション情報をそのまま利用する高速認証方式では、ドメイン個々の認証ポリシーを結果的に低下させることとなり、その部分がセキュリティホールになり得るという問題がある。
そこで、本発明は、上記のような問題を解決するものであり、マルチドメイン通信環境における移動体通信のハンドオーバに際し、移動前後の認証方式の変更や、ドメイン毎の認証ポリシーの違いに関わらず、認証による通信遮断時間を短縮し、且つセキュリティ強度を維持できる認証システム及び認証方法を提供することを目的とする。
上記課題を解決するために、本発明は、第1の認証サーバによって、第1のドメインでの第1の認証ポリシーに基づいた移動端末の認証を行い、第2の認証サーバによって第2のドメインでの第2の認証ポリシーに基づいて移動端末の認証を行う移動体通信において、移動端末が第1のドメインから第2のドメインへ移行する際の認証システムである。
具体的に、本発明において、第1の認証サーバは、第1及び第2の認証ポリシーを比較し、この比較結果に基づいて、転送すべき認証セッション情報を決定するポリシー管理部と、第1のドメインにおける移動端末の通信状態及び移動端末が実行している通信サービスに関する通信ステータス属性情報を、認証セッション情報に付加し、認証セッション情報を第2の認証サーバに転送する認証セッション情報管理部とを備える。
また、本発明において、第2の認証サーバは、認証セッション情報管理部から転送された認証セッション情報に基づく仮アクセス認証を行い、該仮アクセス認証の結果に応じて、該認証セッション情報に含まれる通信ステータス属性情報によって特定される通信状態及び通信サービスの範囲内におけるアクセスの継続を許可する仮アクセス権限を発行する高速認証制御部を備える。なお、本発明において、上記第2の認証サーバには、第2の認証ポリシーに基づく本認証を実行する本認証制御部を設けてもよい。
そして、本発明では、
(1)第1の認証サーバのポリシー管理部によって、第1及び第2の認証ポリシーを比較し、この比較結果に基づいて、転送すべき認証セッション情報を決定し、
(2)第1の認証サーバに備えられた認証セッション情報管理部によって、第1のドメインにおける移動端末の通信状態及び移動端末が実行している通信サービスに関する通信ステータス属性情報を、認証セッション情報に付加し、認証セッション情報を第2の認証サーバに転送し、
(3)第2の認証サーバに備えられた高速認証制御部によって、認証セッション情報管理部から転送された認証セッション情報に基づく仮アクセス認証を行い、該仮アクセス認証の結果に応じて、該認証セッション情報に含まれる通信ステータス属性情報によって特定される通信状態及び通信サービスの範囲内におけるアクセスの継続を許可する仮アクセス権限を発行する。
(1)第1の認証サーバのポリシー管理部によって、第1及び第2の認証ポリシーを比較し、この比較結果に基づいて、転送すべき認証セッション情報を決定し、
(2)第1の認証サーバに備えられた認証セッション情報管理部によって、第1のドメインにおける移動端末の通信状態及び移動端末が実行している通信サービスに関する通信ステータス属性情報を、認証セッション情報に付加し、認証セッション情報を第2の認証サーバに転送し、
(3)第2の認証サーバに備えられた高速認証制御部によって、認証セッション情報管理部から転送された認証セッション情報に基づく仮アクセス認証を行い、該仮アクセス認証の結果に応じて、該認証セッション情報に含まれる通信ステータス属性情報によって特定される通信状態及び通信サービスの範囲内におけるアクセスの継続を許可する仮アクセス権限を発行する。
ステップを備える。なお、上記(3)に次いで、
(4)第2の認証サーバに備えられた本認証制御部によって、第2の認証ポリシーに基づく本認証を実行する
ステップを設けてもよい。この(4)における本認証のタイミングとしては、例えば、仮アクセス認証の直後に行う場合、所定時間のタイムアウト後に行う場合、移動端末が仮アクセス権限で許可された通信状態及び通信サービスの範囲を超えてアクセスする場合などが挙げられる。
(4)第2の認証サーバに備えられた本認証制御部によって、第2の認証ポリシーに基づく本認証を実行する
ステップを設けてもよい。この(4)における本認証のタイミングとしては、例えば、仮アクセス認証の直後に行う場合、所定時間のタイムアウト後に行う場合、移動端末が仮アクセス権限で許可された通信状態及び通信サービスの範囲を超えてアクセスする場合などが挙げられる。
このような本発明によれば、第1の認証サーバで行った認証結果を認証セッション情報として移動先の第2のドメインに転送するため、移動先の第2の認証サーバは、この認証セッション情報(旧認証セッション情報)を再利用して仮アクセス認証(仮アクセス権限の発行)を行うことができ、移動先での認証処理の高速化を図ることができる。
また、本発明において、前記認証セッション情報には、移動前のドメインでの移動端末の通信状況及び通信サービスに関する情報(通信ステータス属性情報)が含まれるため、移動端末が移動前のドメインで実行していた通信サービスを、移動先のドメインで継続して実行することができ、移動先のドメインの認証サーバ(第2の認証サーバ)は、その範囲でアクセスを制限するとともに、仮アクセス認証後に本認証を行うこともできるため、ドメイン個々の認証ポリシーを低下させることなく、認証処理の高速化を図ることができる。
以上述べたように、本発明によれば、マルチドメイン通信環境における移動体通信のハンドオーバに際し、移動前後の認証方式の変更や、ドメイン毎の認証ポリシーの違いに関わらず、認証による通信遮断時間を短縮し、且つセキュリティ強度を維持することができる。
(認証システムの全体構成)
以下に添付図面を参照して、本発明に係る認証システムの実施形態を詳細に説明する。図1は、本実施形態に係る認証システムの全体構成を示す概念図である。
以下に添付図面を参照して、本発明に係る認証システムの実施形態を詳細に説明する。図1は、本実施形態に係る認証システムの全体構成を示す概念図である。
本実施形態では、図1に示すように、認証ポリシーの異なる第1のドメイン#1、第2のドメイン#2、ホームネットワーク2、及びインターネット4などの複数のネットワークを相互に接続してなる通信ネットワークシステムを前提としており、ここでは、移動端末(MN:Mobile Node)3aが、通信相手の端末装置(CN:Correspondent Node)41と通信をしながら、通信エリアA1からA2へ移動することによって、アクセスするドメインが、ドメイン#1からドメイン#2へ移行する場合を例に説明する。
ドメイン#1では、第1の認証サーバ11により、第1の認証ポリシーに基づいて認証を行い、ドメイン#2では、第2の認証サーバ12により、第2の認証ポリシーに基づいて認証を行う。各認証サーバ11及び12は、各々ポリシーデータベース11a及び12aを備えており、各ドメインでの認証ポリシーの管理を行っている。また、ホームネットワーク2上には、ホーム認証サーバ21が設置されており、このホーム認証サーバ21、上記各認証サーバ11,12は、相互にセキュアな通信経路5で接続されている。
移動端末3aは、通信機能を備えた情報処理装置であり、パーソナルコンピュータ等の汎用コンピュータや、機能を特化させた専用装置により実現することができ、モバイルコンピュータやPDA(Personal Digital Assistance)、携帯電話機が含まれる。そして、この移動端末3aは、各通信エリアに設置されたアクセスポイント(AP)111〜11n、121〜12nにアクセスし、アクセスしたアクセスポイントからアクセス制限装置(NAS:Network Access Server)11bや12bを通じて、通信相手の端末装置(ここでは、端末装置41)と通信する。
(移動端末の構成)
図2は、本実施形態に係る移動端末3aの内部構成を示すブロック図である。同図に示すように、移動端末3aは、認証システムに関するモジュールとして、高速認証制御機能31と、本認証制御機能32と、通信接続を実行するネットワークインターフェース(I/F)33と、認証データベース34とを備えている。
図2は、本実施形態に係る移動端末3aの内部構成を示すブロック図である。同図に示すように、移動端末3aは、認証システムに関するモジュールとして、高速認証制御機能31と、本認証制御機能32と、通信接続を実行するネットワークインターフェース(I/F)33と、認証データベース34とを備えている。
高速認証制御機能31は、仮アクセス認証を行い、仮アクセス権限の取得に関する機能ブロックであり、認証セッション情報管理部31aと、高速認証制御部31bとを備えている。認証セッション情報管理部31aは、現在使用してる認証セッションの属性情報(セッションID、有効期間、暗号アルゴリズム、暗号キー等)を管理・使用するモジュールであり、高速認証制御部31bは、マルチドメイン間を移動時に、高速な仮アクセス認証処理を行うモジュールである。
本認証制御機能32は、各ドメインの認証ポリシーに従った正規の完全アクセス認証処理に関する機能ブロックであり、本認証制御部32aと、認証プロファイル管理部32bとを備えている。本認証制御部32aは、完全アクセス認証に必要な処理を行うモジュールであり、認証プロファイル管理部32bは、ISPやドメイン毎の認証関連情報の管理を行うモジュールであり、このプロファイルには、使用する認証プロトコルや、認証メソッドや、認証情報等が含まれる。
ネットワークインターフェース33は、通信ネットワークに対してデータの送受信を実行するモジュールであり、具体的には、物理ネットワークインターフェース及びそれにリンクされたデバイスドライバ、ダイアルアップ等の網制御機能、TCP/UDP/IP等の基本プロトコルスタックが含まれる。
認証データベース34は、認証プロトコルや認証メソッド、認証情報等を保持する記憶装置であり、認証プロファイル管理部32bによる制御に応じて、データの読み出し・書き込みを行う。ここで、認証プロトコルとは、通信相手の正当性を検証する仕組みであり、802.1x、Radius、Diameter、PANA等の方式が挙げられる、認証メソッドとは、認証プロトコルに使用される具体的な方法であり、大きくは、公開鍵ベースと、秘密鍵ベースの二種類に分けら、例えば、EAP-TLS、EAP-TTLS 、EAP-MD5 、EAP-SIM等が挙げられる。また、認証情報とは、アクセスドメインに対して、自分の正当性やアクセス権限等を証明できる情報であり、例えば、電子証明書、ID/Password、SIM、Token等が含まれる。
(認証サーバの構成)
図3は、本実施形態に係る認証サーバ11の内部構成を示すブロック図である。なお、ここでは、認証サーバ11を例に説明するが、例えば認証サーバ12も同様の構成を有する。同図に示すように、認証サーバ11は、認証システムに関するモジュールとして、認証セッション情報制御部101と、ポリシー管理部102と、高速認証制御部103と、本認証制御部104と、ネットワークインターフェース105と、ポリシーデータベース11aとを備えている。
図3は、本実施形態に係る認証サーバ11の内部構成を示すブロック図である。なお、ここでは、認証サーバ11を例に説明するが、例えば認証サーバ12も同様の構成を有する。同図に示すように、認証サーバ11は、認証システムに関するモジュールとして、認証セッション情報制御部101と、ポリシー管理部102と、高速認証制御部103と、本認証制御部104と、ネットワークインターフェース105と、ポリシーデータベース11aとを備えている。
認証セッション情報制御部101は、転送すべき情報の指令をポリシー管理部102から受け付け、移動先ドメインの認証装置に認証セッション情報を転送するモジュールである。この認証セッション情報は、移動前後の認証ポリシーを比較して求められ、移動前後のドメインで共通する必要最低限の認証情報であり、現在のドメイン(ローカルドメイン)における移動端末の通信状態及び移動端末が実行している通信サービスに関する通信ステータス属性情報が付加されている。
ポリシー管理部102は、移動前のドメイン及び移動後のドメインにおける認証ポリシーを比較し、この比較結果に基づいて、移動後のドメインに転送すべき認証セッション情報を決定するモジュールである。具体的に、ポリシー管理部102は、移動先のドメインの認証方式を、ドメイン間での交渉、又はローカルのポリシーデータベース11aへの問い合わせによって把握し、移動前後に使われる認証方式を基に、転送すべき認証セッション情報を確定し、認証セッション情報制御部101に対する指令を送る。ポリシーデータベース11aは、ドメイン毎の認証方式や、認証ポリシーを保存・更新するデータベース装置であり、各認証装置のポリシー管理部と連携する。
高速認証制御部103は、他のドメインから移行してきた端末装置に対して、仮アクセス認証方式又は簡略化認証等の処理を行うモジュールである。具体的には、移動前のドメインから転送された認証セッション情報に含まれる通信ステータス属性情報によって、ドメイン移行に係る端末装置が移動前ドメインで実行していた通信状態及び通信サービスの範囲を特定し、その特定範囲内におけるアクセスの継続を許可する仮アクセス権限を発行する。なお、この高速認証制御部103における認証結果に基づき、アクセス制限装置(ex. NAS)を通して移動端末に権限付与し、アクセス規制を実行する。
一方、本認証制御部104は、移動後のドメインにおいて、例えば、移動端末が仮アクセス権限で許可された範囲を超えてアクセスする場合などに、ドメイン個々の認証ポリシーに要求される本認証処理を行うモジュールである。なお、この本認証制御部104による本認証に際しても、上述した高速認証制御部103による認証結果によって利用できる認証処理部分については、省略するようにしてもよい。
ネットワークインターフェース105は、物理ネットワークインターフェース及びそれにリンクされたデバイスドライバ、ダイアルアップ等の網制御機能、TCP/UDP/IP等の基本プロトコルスタックを含むモジュールである。
(NASの構成)
図4は、本実施形態に係るNAS11bの内部構成を示すブロック図である。なお、ここでは、NAS11bを例に説明するが、例えばNAS12bも同様の構成を有する。同図に示すように、NAS11bは、認証システムに関するモジュールとして、認証クライアント制御部107と、アクセス制御部108と、ネットワークインターフェース109と、アクセスデータベース110とを備えている。
図4は、本実施形態に係るNAS11bの内部構成を示すブロック図である。なお、ここでは、NAS11bを例に説明するが、例えばNAS12bも同様の構成を有する。同図に示すように、NAS11bは、認証システムに関するモジュールとして、認証クライアント制御部107と、アクセス制御部108と、ネットワークインターフェース109と、アクセスデータベース110とを備えている。
認証クライアント制御部107は、認証サーバ11等に移動端末の認証要求を転送し、その認証結果を移動端末に転送し、アクセス権限に関するルールを認証サーバ11側から受信し、アクセス制御部108に設定指令するモジュールである。アクセス制御部108は、認証クライアント制御部107から受け取ったアクセス権限をアクセスデータベース110内のパケットフィルタリングテーブルに設定し、そのアクセス権限のルールに従って、移動端末のネットワークアクセスを制限するモジュールである。アクセスデータベース110は、移動端末に対する、ネットワークアクセス権限の拒否・許可に関する情報であるフィルタリングテーブルを格納するデータベース装置であり、このテーブルデータを照合することによって移動端末のアクセスルールを管理する。
ネットワークインターフェース109は、物理ネットワークインターフェース及びそれにリンクされたデバイスドライバ、ダイアルアップ等の網制御機能、TCP/UDP/IP等の基本プロトコルスタックを含むモジュールである。
(認証方法の概要)
以上の構成を有する認証システムを動作させることによって、本発明の認証方法を実施することができる。図5は、本実施形態に係る認証方法の概要を模式的に示す説明図である。
以上の構成を有する認証システムを動作させることによって、本発明の認証方法を実施することができる。図5は、本実施形態に係る認証方法の概要を模式的に示す説明図である。
図5に示すように、先ず、移動端末3aは、ドメイン#1において、必要なアクセス認証を行う(f1)。この認証が成功すると、移動端末3aと認証サーバ11の間に認証セッションが確立される。この際、認証サーバは、例えば、移動端末3aの位置情報等に基づいて、次の移動先であるドメイン#2への移動を予測し、高速認証制御を開始する。なお、この移動端末の移動(ハンドオーバー発生)予測は、位置管理サーバなど、他の装置で行ってもよい。
次いで、ローカルのポリシーデータベース11aに問い合わせして、それぞれの認証ポリシーを比較し、各ドメインで使用される認証方式に基づき、転送すべき認証セッション情報を決めるとともに、認証サーバ間のセキュアな通信路(ex. IPsec)を通って、認証サーバ11から認証サーバ12へ必要な認証セッション情報を転送する(f2)。この認証セッション情報には、移動前のドメイン#1において有効となっている移動端末3aの通信状態及び通信サービスに関する通信ステータス属性情報が付加されている。
そして、移動端末3aが、移動先のドメイン#2に移動すると、これらの認証セッション情報に基づき、高速な仮アクセス認証(ex. Challenge/ Responseベースド認証)が可能となる(f3)。次いで、この仮アクセス認証が終わると、認証サーバはNAS12bを通して、条件付き一時アクセス権限を移動端末3aに付与する(f4)。この時点で、移動端末3aの通信が再開できる(f5)。この仮アクセス権限では、通信ステータス属性情報によって特定される、移動前ドメインから継続して実行される通信状態及び通信サービスの範囲内でのみ、アクセスが許可される。
その後、データ通信を継続しながら、新ドメイン#2の認証ポリシーに従い、必要とされる本認証が行われる(f6)。具体的には、例えば、仮アクセス認証の直後、ハンドオーバーから所定時間経過した後、或いは、移動端末が仮アクセス権限で許可された通信状態及び通信サービスの範囲を超えてアクセスする場合などに、現在移動端末が在圏しているドメイン独自の認証ポリシーに基づく本認証を実行する。
(各装置における動作)
・移動端末の動作
以下に各装置における動作について説明する。図6は、移動先ドメインでの認証時における移動端末の高速認証制御部の動作を示すフローチャート図である。なお、ここでは、移動端末3aが、エリアA1に在圏し、ドメイン#1で本認証が成立しており、ドメイン#2へ移行する場合を例に説明する。
・移動端末の動作
以下に各装置における動作について説明する。図6は、移動先ドメインでの認証時における移動端末の高速認証制御部の動作を示すフローチャート図である。なお、ここでは、移動端末3aが、エリアA1に在圏し、ドメイン#1で本認証が成立しており、ドメイン#2へ移行する場合を例に説明する。
そして、移動端末3aは、ドメイン#1において本認証により確立されたセッションによって通信中であり(S101)、新ドメイン(ドメイン#2)への移動が検出されたものとする(S102)。移動端末3aにおいて、認証セッション情報管理部31aに、 現在有効な認証セッション(例えば、期限切れしてないセッション等)の存否を問い合わせし(S103)、有効認証セッションがあるか否かを判断する(S104)。
ステップS104において、有効な認証セッションが存在しない場合(S104における”No”)、仮アクセス認証を行うことなく、本認証制御部32aに対して、本認証指令を発信する(S109)。一方、ステップS104において、有効な認証セッションが存在する場合(S104における”Yes”)、移動先の認証サーバ12へ認証セッション識別子を含む仮アクセス認証要求を送信し、仮アクセス認証処理を行う(S105)。
そして、移動先のドメイン#2において、仮アクセス認証が成功した場合(S106における”Yes”)、一時的な、仮アクセス権限を取得し、通信を継続する(S107)。その後、ドメインポリシーで要求される本認証を行う(S108)。この本認証処理では、ドメイン#2の認証ポリシーに基づき、仮アクセス認証結果を利用した本認証の簡略化を図ってもよい。
一方、ステップS106で仮アクセス認証が失敗した場合(S106における”No”)、改めて本認証制御部32aに対し、本認証指令を出す(S109)。
・認証サーバの動作
図7は、移動先ドメインでの認証時における認証装置の認証セッション情報制御部101及び高速認証制御部103の動作を示すフローチャート図である。
図7は、移動先ドメインでの認証時における認証装置の認証セッション情報制御部101及び高速認証制御部103の動作を示すフローチャート図である。
先ず、待機状態(S201及びS301)において、認証セッション情報制御部101は、他ドメインの認証サーバより認証セッション情報受信(S202)するか、移動先ドメインの認証サーバに認証セッション情報を予め送信(S203)している。
そして、高速認証制御部103が、認証要求を受信すると(S302)、認証セッション識別子があるか否かを判断し(S303)、認証セッション識別子が無ければ(S303における”No”)、本認証制御部に対して、本認証指令を出し(S309)、待機状態(S301)に戻る。
ステップS303において、認証セッション識別子がある場合(S303における”Yes”)、認証セッション情報制御部101に照会する(S304)。この高速認証制御部103からの認証情報照会要求を受信すると(S204)、一致する認証セッション情報があるか否かについて判断する(S205)。一致する認証セッション情報がない場合には、失敗結果を高速認証制御部103に通知し(S206)、一致する認証セッション情報がある場合には、当該認証セッション情報を高速認証制御部103に渡す(S207)。ステップS206において、一致する認証セッション情報がない場合には、隣接ドメインの認証サーバにRequest(問い合わせ)する手順を進める処理を行ってもよい。
ステップS205において一致する認証セッション情報がある場合、高速認証制御部103側では、認証セッション情報取得し、仮アクセス認証を行い(S306)、認証が成功したときには(S307)、NASを通して、一時的な仮アクセス権限を移動端末に付与し(S308)、ドメインポリシーで要求される本認証を行うべく、本認証制御部104に対して、本認証指令を出す(S309)。このときの本認証処理では、ドメイン認証ポリシーにより、仮アクセス認証結果に基づいて、簡略化してもよい。なお、ステップS307で認証が失敗したときも、メインポリシーで要求される本認証を行うべく、本認証制御部104に対して、本認証指令を出す(S309)。
・アクセス制限装置(NAS)における動作
図8及び図9は、移動先ドメインでの高速認証時におけるNASの認証クライアント制御部107及びアクセス制御部108の動作を示すフローチャート図である。
図8及び図9は、移動先ドメインでの高速認証時におけるNASの認証クライアント制御部107及びアクセス制御部108の動作を示すフローチャート図である。
図8に示すように、認証クライアント制御部107は、待機中(S401)に、移動端末3aから認証要求を受信すると(S402)、認証サーバと移動端末間における相互認証処理を行う(S403)。そして、認証が成功したときには(S404における”Yes”)、認証サーバから受信したアクセス権限ルールをアクセス制御部108に設定指令する(S405)。その後、アクセス制御部108からアクセス権限設定処理完了ACKの受信に応じて(S406)、認証結果を移動端末に認証成功を通知する(S407)。一方、ステップS404において、認証を失敗した場合には、認証が失敗した旨を移動端末に通知する(S407)。
他方、アクセス制御部108は、上記ステップS405において、認証クライアント制御部107から、アクセス権限ルールの設定指令を受信すると(S502)、アクセスデータベース110のフィルタリングテーブルに当該移動端末3aのアクセス権限ルールを設定し(S503)、処理完了ACKを認証クライアント制御部へ通知する(S504)。
(認証処理のシーケンス)
図10は、本実施形態に係る認証システムの全体的な動作を示すシーケンス図である。なお、ここでは、前提条件として、移動前の認証方式をEAP-TTLSで行い、移動後の認証方式をEAP-TLSで行うものとする。
図10は、本実施形態に係る認証システムの全体的な動作を示すシーケンス図である。なお、ここでは、前提条件として、移動前の認証方式をEAP-TTLSで行い、移動後の認証方式をEAP-TLSで行うものとする。
先ず、位置管理サーバ等の手段により移動端末のハンドオーバーの発生が予測されると、セキュア通信路5を使い,旧認証セッション情報(EAP-TTLS)を、移動前のドメイン#1から移動後のドメイン#2へ転送する(S601)。L2アソシエーション(S602)及び認証の処理が開始される(S603)。
この認証においては、ドメイン#2のアクセスポイント121を通じて移動端末に対して認証IDの要求(EAP-ID)がなされ(S604)、これに応じて、認証サーバ12に対して仮アクセス認証の要求(EAP-ID,旧Session-ID,RS2へのChallenge)がなされる(S605)。この要求に応じて、認証サーバ12から移動端末3aに対して仮アクセス認証の応答(旧Session-ID,Response,MNへのChallenge)、及び本認証メソッド(EAP-TLS)が発信される。これにより、ドメインポリシーで要求される本認証メソッドが伝えられる(S606)。
そして、認証サーバ12に対してサーバの仮認証が行われ(S607)、認証が成功すると、仮アクセス認証応答(Response)が発信され(S608)、認証サーバ12側でクライアントの仮認証が行われ(S609)、認証サーバ12から移動端末3a(ユーザー)に対して仮アクセス権限が付与される。これに応じて、NASへの設定処理が実行され(S610)、通信が再開される(S611)。
その後、本認証が開始され、EAP-TLS(Client-Cert, etc.)が認証サーバ12に対して送信される(S612)。これに応じて、認証サーバ12では、電子証明書ベースのユーザー認証を実行する(S613)。そして、EAP-TLSの本認証が成功すると、ユーザー権限が確認され(S614)、認証サーバ12から移動端末3aに対して通知(Encryption-algorithm,key-start, etc.)が送信される(S615)。このとき、NASへの再設定も並行して実行され(S616)、ハンドオーバーが完了し、通信が継続される(S617)。
なお、ステップS611の本認証(EAP-TLS)の処理手順は、以下の通りである。図11に示すように、先ず、移動端末3aから認証サーバ12に対してEAP Response (EAP-ID )が送信されると(S701)、これに応じて、EAP Request (TLS start)が認証サーバ12から移動端末3aに対して返信される(S702)。なお、このステップS701及びS702は、省略可能な転送シーケンスである。
そして、移動端末3a側では、Client乱数生成(S703)、及びCipher-Suite list作成(S704)が実行され、生成・作成された結果が、EAP Response (Client乱数,Cipher-Suite list)として認証サーバ12に送信される(S705)。これを受けて認証サーバ12では、Session-ID生成(S706)、Server乱数生成(S707)、及びCipher-Suite選定(S708)を行い、これらの結果を、EAP Request (Session-ID,Server-Cert,Server乱数,Cert-request)として、移動端末3aに送出する(S709)。
移動端末3a側では、上記EAP Requestに応じて、電子証明書を用いてサーバ認証を行う処理としてCert-based Server認証(S710)を実行する。なお、このステップS710の処理は、仮アクセス認証の成功により省略することができる。また、これと併せて、移動端末3a側では、Pre-shared-key生成、PKI-based暗号化(S711)、Cipher-Key(認証サーバと移動端末用の暗号化鍵や、MACシークレット、IV(初期ベクトル)のセット)の生成(S712)、及びネゴシエーションした暗号化仕様や鍵の利用を開始させるためのChange Cipher Spec処理(S713)を行う。
これらステップS710〜S713の処理結果は、EAP Response ( [pre-shared-key],Client-Cert, change_cipher_spec)として、認証サーバ12に送信される(S714)。このEAP Responseに応じて、認証サーバ12では、Cert-based Clientの認証(S715)、Pre-shared-keyの復号化(S716)、Cipher-Keyの生成(S717)、及びChange Cipher Spec処理(S718)を実行する。これらの処理結果は、EAP Request (change_cipher_spec)として移動端末3aに送信される(S719)
(変更例)
なお、本実施形態では、認証ポリシーが異なる第1のドメイン#1と第2のドメイン#2との間における移動を例に説明したが、本発明はこれに限定されるものではなく、例えば、認証ポリシーが同じ(同レベル)場合であっても、本発明を適用することができる。すなわち、認証ポリシーが同じドメイン間において、移動前ドメインの在圏中に行った認証結果を認証セッション情報として移動後のドメインに送信し、この移動後のドメインにおいて認証セッション情報を再利用した仮アクセス認証を行うことができる。この場合であっても、移動前ドメインにおける認証セッション情報を利用することによって、移動先ドメインにおける仮アクセス認証や本認証を省略・高速化することができ、また、この場合にも、認証セッション情報に含まれる通信ステータス属性情報を利用して仮アクセス認証時のアクセス制限を行い、セキュリティレベルの低下を回避することができる。
(変更例)
なお、本実施形態では、認証ポリシーが異なる第1のドメイン#1と第2のドメイン#2との間における移動を例に説明したが、本発明はこれに限定されるものではなく、例えば、認証ポリシーが同じ(同レベル)場合であっても、本発明を適用することができる。すなわち、認証ポリシーが同じドメイン間において、移動前ドメインの在圏中に行った認証結果を認証セッション情報として移動後のドメインに送信し、この移動後のドメインにおいて認証セッション情報を再利用した仮アクセス認証を行うことができる。この場合であっても、移動前ドメインにおける認証セッション情報を利用することによって、移動先ドメインにおける仮アクセス認証や本認証を省略・高速化することができ、また、この場合にも、認証セッション情報に含まれる通信ステータス属性情報を利用して仮アクセス認証時のアクセス制限を行い、セキュリティレベルの低下を回避することができる。
(作用・効果)
このような本実施形態によれば、第1の認証サーバ11で行った認証結果を認証セッション情報として移動先の第2のドメイン#2に転送するため、移動先の第2の認証サーバ12では、この認証セッション情報(旧認証セッション情報)を再利用して仮アクセス認証を行うことができ、移動先での認証処理の高速化を図ることができる。
このような本実施形態によれば、第1の認証サーバ11で行った認証結果を認証セッション情報として移動先の第2のドメイン#2に転送するため、移動先の第2の認証サーバ12では、この認証セッション情報(旧認証セッション情報)を再利用して仮アクセス認証を行うことができ、移動先での認証処理の高速化を図ることができる。
また、本実施形態において、前記認証セッション情報には、移動前のドメインでの移動端末の通信状況及び通信サービスに関する情報(通信ステータス属性情報)が含まれるため、移動端末3aが移動前のドメイン#1で実行していた通信サービスを、移動先のドメイン#2で継続して実行することができ、移動先の認証サーバ12は、その範囲でアクセスを制限するとともに、移動端末3aがこの範囲を超えるアクセスに対してのみ本認証を行うなどの対策を採ることができ、ドメイン個々の認証強度を低下させることなく、認証処理の高速化を図ることができる。
2…ホームネットワーク
3a…移動端末
4…インターネット
5…セキュア通信路
11,12…認証サーバ
11a,12a…ポリシーデータベース
11b,12b…アクセス制限装置(NAS)
21…ホーム認証サーバ
31…高速認証制御機能
31a…認証セッション情報管理部
31b…高速認証制御部
32…本認証制御機能
32a…本認証制御部
32b…認証プロファイル管理部
33,105,109…ネットワークインターフェース
34…認証データベース
41…端末装置
101…認証セッション情報制御部
102…ポリシー管理部
103…高速認証制御部
104…本認証制御部
107…認証クライアント制御部
108…アクセス制御部
110…アクセスデータベース
111〜11n,121〜12n…アクセスポイント
3a…移動端末
4…インターネット
5…セキュア通信路
11,12…認証サーバ
11a,12a…ポリシーデータベース
11b,12b…アクセス制限装置(NAS)
21…ホーム認証サーバ
31…高速認証制御機能
31a…認証セッション情報管理部
31b…高速認証制御部
32…本認証制御機能
32a…本認証制御部
32b…認証プロファイル管理部
33,105,109…ネットワークインターフェース
34…認証データベース
41…端末装置
101…認証セッション情報制御部
102…ポリシー管理部
103…高速認証制御部
104…本認証制御部
107…認証クライアント制御部
108…アクセス制御部
110…アクセスデータベース
111〜11n,121〜12n…アクセスポイント
Claims (4)
- 移動体通信において、移動端末が第1のドメインから第2のドメインへ移行する際の認証システムであって、
第1のドメインにおいて第1の認証ポリシーに基づいて前記移動端末の認証を行う第1の認証サーバと、
第2のドメインにおいて第2の認証ポリシーに基づいて前記移動端末の認証を行う第2の認証サーバと、
前記第1の認証サーバに備えられ、前記第1及び第2の認証ポリシーを比較し、この比較結果に基づいて、転送すべき認証セッション情報を決定するポリシー管理部と、
前記第1の認証サーバに備えられ、前記第1のドメインにおける前記移動端末の通信状態及び該移動端末が実行している通信サービスに関する通信ステータス属性情報を、前記認証セッション情報に付加し、該認証セッション情報を前記第2の認証サーバに転送する認証セッション情報管理部と、
前記第2の認証サーバに備えられ、前記認証セッション情報管理部から転送された認証セッション情報に基づく仮アクセス認証を行い、該仮アクセス認証の結果に応じて、該認証セッション情報に含まれる通信ステータス属性情報によって特定される前記通信状態及び前記通信サービスの範囲内におけるアクセスの継続を許可する仮アクセス権限を発行する高速認証制御部と
を備えることを特徴とする認証システム。 - 前記第2の認証サーバに備えられ、前記第2の認証ポリシーに基づく本認証を実行する本認証制御部をさらに有することを特徴とする請求項1に記載の認証システム。
- 第1の認証サーバによって、第1のドメインでの第1の認証ポリシーに基づいた移動端末の認証を行い、第2の認証サーバによって第2のドメインでの第2の認証ポリシーに基づいて該移動端末の認証を行う移動体通信において、前記第1のドメインから前記第2のドメインへ移行する際の認証方法であって、
前記第1の認証サーバのポリシー管理部によって、前記第1及び第2の認証ポリシーを比較し、この比較結果に基づいて、転送すべき認証セッション情報を決定するステップ(1)と、
前記第1の認証サーバに備えられた認証セッション情報管理部によって、前記第1のドメインにおける前記移動端末の通信状態及び該移動端末が実行している通信サービスに関する通信ステータス属性情報を、前記認証セッション情報に付加し、該認証セッション情報を前記第2の認証サーバに転送するステップ(2)と、
前記第2の認証サーバに備えられた高速認証制御部によって、前記認証セッション情報管理部から転送された認証セッション情報に基づく仮アクセス認証を行い、該仮アクセス認証の結果に応じて、該認証セッション情報に含まれる通信ステータス属性情報によって特定される前記通信状態及び前記通信サービスの範囲内におけるアクセスの継続を許可する仮アクセス権限を発行するステップ(3)と
を備えることを特徴とする認証方法。 - 前記第2の認証サーバに備えられた本認証制御部によって、前記第2の認証ポリシーに基づく本認証を実行するステップをさらに有することを特徴とする請求項3に記載の認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006061930A JP4854338B2 (ja) | 2006-03-07 | 2006-03-07 | 移動体通信における認証システム及び認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006061930A JP4854338B2 (ja) | 2006-03-07 | 2006-03-07 | 移動体通信における認証システム及び認証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007243496A JP2007243496A (ja) | 2007-09-20 |
| JP4854338B2 true JP4854338B2 (ja) | 2012-01-18 |
Family
ID=38588597
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006061930A Expired - Fee Related JP4854338B2 (ja) | 2006-03-07 | 2006-03-07 | 移動体通信における認証システム及び認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4854338B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101557590A (zh) * | 2008-04-07 | 2009-10-14 | 华为技术有限公司 | 一种移动终端接入网络的安全验证方法、系统和装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH04352525A (ja) * | 1991-05-30 | 1992-12-07 | Nippon Telegr & Teleph Corp <Ntt> | 移動通信認証方式 |
| JP3421977B2 (ja) * | 1996-06-10 | 2003-06-30 | 日本電信電話株式会社 | 認証方法及びシステム |
| US8341700B2 (en) * | 2003-10-13 | 2012-12-25 | Nokia Corporation | Authentication in heterogeneous IP networks |
| JP4664050B2 (ja) * | 2004-07-01 | 2011-04-06 | 株式会社エヌ・ティ・ティ・ドコモ | 認証ベクトル生成装置、加入者認証モジュール、移動通信システム、認証ベクトル生成方法、演算方法及び加入者認証方法 |
| BRPI0513195A (pt) * | 2004-07-09 | 2008-04-29 | Matsushita Electric Ind Co Ltd | sistemas para administrar autenticação e autorização de usuário, e para suportar o usuário, métodos para administrar autenticação e autorização de usuário, para acessar serviços de múltiplas redes, para o controlador de autenticação processar uma mensagem de pedido de autenticação, selecionar a combinação de controladores de autenticação do resultado de busca, autenticar um usuário, e descobrir o caminho a um domìnio tendo relação empresarial com o domìnio doméstico, para o controlador de autorização processar a mensagem de pedido de autorização de serviço, e executar autorização de serviço, para um controlador de autenticação e autorização executar autenticação e autorização de serviço, para proteger o sìmbolo de usuário, e para a autoridade de controle de acesso no domìnio doméstico do usuário prover ao controlador de autenticação uma informação de perfil de assinatura limitada do usuário, para alcançar autenticação e autorização rápidas, e para alcançar registro único para acessar múltiplas redes, e, formatos para informação de capacidade de assinatura, para um sìmbolo de usuário, para um domìnio tendo relação empresarial com o domìnio doméstico de um usuário para pedir afirmação de autenticação e de autorização, e para um terminal de usuário indicar suas credenciais para acessar múltiplas redes em múltiplos domìnios administrativos |
| DE102004045147A1 (de) * | 2004-09-17 | 2006-03-23 | Fujitsu Ltd., Kawasaki | Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm |
| JP4793024B2 (ja) * | 2006-02-27 | 2011-10-12 | Kddi株式会社 | ユーザ認証方法、認証サーバ及びシステム |
-
2006
- 2006-03-07 JP JP2006061930A patent/JP4854338B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007243496A (ja) | 2007-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2548229C (en) | Enabling stateless server-based pre-shared secrets | |
| EP1997292B1 (en) | Establishing communications | |
| JP4488719B2 (ja) | ネットワーク通信のためのレイヤ間の高速認証または再認証 | |
| US7493331B2 (en) | Avoiding server storage of client state | |
| US8127136B2 (en) | Method for security association negotiation with extensible authentication protocol in wireless portable internet system | |
| DK1371206T3 (en) | PROCEDURE AND SYSTEM FOR DELEGATING SECURITY PROCEDURES FOR A VISITED DOMAIN | |
| JP4777729B2 (ja) | 設定情報配布装置、方法、プログラム及び媒体 | |
| US8776181B1 (en) | Methods for authenticating and authorizing a mobile device using tunneled extensible authentication protocol | |
| JP6086987B2 (ja) | ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録 | |
| EP1775972A1 (en) | Communication handover method, communication message processing method, and communication control method | |
| JP2008547304A (ja) | 無線携帯インターネットシステム用の認証キー識別子の割り当て方法 | |
| EP2428056A1 (en) | Topology based fast secured access | |
| KR100523058B1 (ko) | 무선랜 시스템에서의 동적 그룹키 관리 장치 및 그 방법 | |
| JP4681990B2 (ja) | 通信システム及び通信方式 | |
| JP4854338B2 (ja) | 移動体通信における認証システム及び認証方法 | |
| JP2006245831A (ja) | 通信方法、通信システム、認証サーバ、および移動機 | |
| JP4584776B2 (ja) | ゲートウェイ装置およびプログラム | |
| Kim et al. | Dual authentications for fast handoff in IEEE 802.11 WLANs: A reactive approach | |
| Komarova et al. | Optimized ticket distribution scheme for fast re-authentication protocol (fap) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20070629 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090306 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111013 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111025 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141104 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4854338 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |