JP4984020B2 - 通信システム、ノード、認証サーバ、通信方法及びそのプログラム - Google Patents

通信システム、ノード、認証サーバ、通信方法及びそのプログラム Download PDF

Info

Publication number
JP4984020B2
JP4984020B2 JP2005238707A JP2005238707A JP4984020B2 JP 4984020 B2 JP4984020 B2 JP 4984020B2 JP 2005238707 A JP2005238707 A JP 2005238707A JP 2005238707 A JP2005238707 A JP 2005238707A JP 4984020 B2 JP4984020 B2 JP 4984020B2
Authority
JP
Japan
Prior art keywords
authentication
node
network
copy
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005238707A
Other languages
English (en)
Other versions
JP2007053674A (ja
Inventor
庄三 藤野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005238707A priority Critical patent/JP4984020B2/ja
Publication of JP2007053674A publication Critical patent/JP2007053674A/ja
Application granted granted Critical
Publication of JP4984020B2 publication Critical patent/JP4984020B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、クライアント−サーバの相互認証技術に関し、特にAKA認証キーを異なるネットワーク上に設けられているノードで共有する技術に関する。
従来、3GPP網(第3世代移動網)サービスは、UMTS(Universal Mobile Telecommunications Service)と呼ばれ、日本では無線方式としてWCDMA(Wideband Code Division Multiple Access)を使っている。
このUMTSベースの認証においては、クライアント−サーバ間で相互認証するためにUSIM(UMTS Subscriber Identity Module:ユーザ加入識別モジュール)カード情報を使ったAKA(Authentication and Key Agreement)認証方式が採られている。
例えば、3GPP標準におけるAKA認証は、3GPP TS 33.102によると、HLR(Home Location Register)がSGSN(Serving GPRS Support Node)に対して発行したAV(Authentication Vector)に含まれる認証キー及び自身の秘密鍵と、MN(Mobile Node)がSGSNより受けた認証要求メッセージ中のパラメータを使って算出した認証キー及び自身の秘密鍵とをそれぞれにおいて適用することで行われる。なお、AVは1ユーザ用に複数個をセットにして発行され、利用時に毎回違うものを利用できるようにAVにはシーケンスナンバーが振られている。
また、3GPPの標準化(3GPP TS 23.234、3GPP TS 33.234)において、コアネットワークがWLAN(無線LAN)アクセス網を収容する標準も作成されている。そこでは3GPP網と同様にWLAN網でアクセスした場合にもAKA認証を行う手順が記載されている。この手法は、EAP/AKAと呼ばれており、3GPP網のAKA認証とは独立して規定されている。これは、AVがHSS(Home Subscriber Server)より3GPP AAA(Authentication, Authorization and Accounting) Serverに対して発行され、このAVに含まれる認証キー及び自身の秘密鍵と、MNが3GPP AAA Serverより受けた認証要求メッセージ中のパラメータを使って算出した認証キー及び自身の秘密鍵とをそれぞれにおいて適用することでAKA認証が行われる。すなわち、各種無線アクセス網ごとに個別の認証方法が規定されている。即ち、事業者が複数の無線アクセスサービスを提供していて、それぞれにSIMカードやUSIMカードを使ったAKA認証方式を適用する際には、上記のように複数のアクセス網ごとに個別の認証方法が規定されている。しかしながら、各無線アクセス網間で連携がないと、システムごとに別々の認証証明が必要となる。従って、特許文献1では、共通の認証証明を保持する技術が提案されている。
しかしながら、特許文献1に記載の技術は、AAAサーバ間のみで連携させるため、AAAサーバを持たないネットワーク、例えば3GPP網等に適用させることができず、以下のような課題が発生する。
1.MNが複数の異なる種類の無線アクセスサービスを受けようとするとき、即ち、互いに非対称の構成をとっている複数の無線アクセスサービスを受けようとするとき、いずれの無線種でもサーバが加入者データベースに基づいてコアネットワークノードに対して発行するAVとMNとの間でAKA認証を行うが、無線種の切り換えごとに加入者データベースを有するサーバにてAKA認証キーを作成する演算がなされるために、サーバの負荷が大きくなる。
2.MNが新たな無線アクセスサービス用にAKA認証方式に対応する場合に、特殊なヘッダ生成部が必要となる。
特開2004-304804号公報
従って、本発明が解決しようとする課題は上記問題点を解決することにあり、MNがAKA認証を適用して複数の異なる種類の無線アクセスサービスを受けようとするとき、加入者データベースを有するサーバの負荷を下げることにある。
また、本発明が解決しようとする課題は、特殊なヘッダを扱うことなくAKA認証を実現する技術を提供することにある。
上記課題を解決するための第1の発明は、通信システムであって、認証サーバを有するネットワークに接続されているノードと認証サーバを有しないネットワークに接続されているノードをコアネットワーク上に有し、加入者データベースに基づいて発行されるAV(Authentication
Vector)のコピーを前記ノード間で送受信し、前記加入者データベースに基づいて発行されるAV又は前記受信したAVのコピーを用いて、自ノードが設けられているネットワークにアクセスしてきた端末のAKA(Authentication
and Key Agreement)認証を行うように構成されていることを特徴とする。
上記課題を解決するための第2の発明は、上記第1の発明において、前記ノードは、前記AVのコピーを受信する受信手段と、前記加入者データベースに基づいて前記認証サーバに対して発行されるAV又は前記受信されるAVのコピーを保持する認証情報保持手段と、前記認証情報保持手段が保持するAVを用いて、無線LANのネットワークにアクセスしてきた端末の認証を行う認証手段とを有することを特徴とする。
上記課題を解決するための第3の発明は、上記第2の発明において、端末から送信される認証応答値を有するパケットに認証キーを使って計算したチェックサム値を追加して、前記認証サーバへ送信する手段を有することを特徴とする。
上記課題を解決するための第4の発明は、上記第2又は第3の発明において、前記認証保持手段は、前記加入者データベースに基づいて前記認証サーバに対して発行されるAVの一部又は前記受信されるAVのコピーの一部を保持する認証保持手段であることを特徴とする。
上記課題を解決するための第5の発明は、上記第1から第4のいずれかの発明において、前記ノードは、受信したAVのコピーを他ノードに送信する送信手段を有することを特徴とする。
上記課題を解決するための第6の発明は、認証サーバを有するネットワークと認証サーバを有しないネットワークとを収容するコアネットワーク上のノードであって、加入者データベースに基づいて発行されるAV(Authentication
Vector)のコピーを、自ノードと異なる構成のネットワーク上のノードとの間で送受信する送受信手段と、送信されて来るAV又は前記受信されるAVのコピーを保持する認証情報保持手段と、前記認証情報保持手段が保持するAVを用いて、自ノードが設けられているネットワークにアクセスしてきた端末の認証を行う認証手段とを有することを特徴とする。
上記課題を解決するための第7の発明は、上記第6の発明において、加入者データベースに基づいて前記認証サーバに対して発行されるAV又は前記受信されるAVのコピーを保持する手段であることを特徴とする。
上記課題を解決するための第8の発明は、上記第6又は第7の発明において、端末から送信される認証応答値を有するパケットに認証キーを使って計算したチェックサム値を追加して、前記認証サーバへ送信する手段を有することを特徴とする。
上記課題を解決するための第9の発明は、上記第の発明において、前記認証保持手段は、前記加入者データベースに基づいて認証サーバに対して発行されるAVの一部又は前記受信されるAVのコピーの一部を保持する手段であることを特徴とする。
上記課題を解決するための第10の発明は、上記第6から第9のいずれかの発明において、受信したAVのコピーを他ノードに送信する送信手段を有することを特徴とする。
上記課題を解決するための第11の発明は、認証サーバを有するネットワークと認証サーバを有しないネットワークとを収容するコアネットワーク上のノードのプログラムであって、前記プログラムは、前記ノードを、加入者データベースに基づいて発行されるAV(Authentication
Vector)のコピーを、自ノードと異なる構成のネットワーク上のノードとの間で送受信する送受信手段と、送信されて来るAV又は前記受信されるAVのコピーを保持する認証情報保持手段と、前記認証情報保持手段が保持するAVを用いて、自ノードが設けられているネットワークにアクセスしてきた端末の認証を行う認証手段として機能させることを特徴とする。
上記課題を解決するための第12の発明は、上記第11の発明において、前記プログラムは、前記認証情報保持手段を、加入者データベースに基づいて前記認証サーバに対して発行されるAV又は前記受信されるAVのコピーを保持する手段として機能させることを特徴とする。
上記課題を解決するための第13の発明は、上記第11又は大12の発明において、端末から送信される認証応答値を有するパケットに認証キーを使って計算したチェックサム値を追加して、前記認証サーバへ送信する手段として機能させることを特徴とする。
上記課題を解決するための第14の発明は、上記第13の発明において、前記プログラムは、前記認証保持手段を、前記加入者データベースに基づいて認証サーバに対して発行されるAVの一部又は前記受信されるAVのコピーの一部を保持する手段として機能させることを特徴とする。
上記課題を解決するための第15の発明は、上記第11から第14のいずれかの発明において、端前記プログラムは、前記ノードを、受信したAVのコピーを他ノードに送信する送信手段として機能させることを特徴とする。
上記課題を解決するための第16の発明は、認証サーバを有するネットワークと認証サーバを有しないネットワークとを収容するコアネットワーク上のノードの通信方法であって、前記ノードが加入者データベースに基づいて発行されるAV(Authentication
Vector)のコピーを、自ノードと異なる構成のネットワーク上のノードとの間で送受信する送受信ステップと、送信されて来るAV又は前記受信されるAVのコピーを保持する認証情報保持ステップと、前記認証情報保持ステップで保持したAVを用いて、自ノードが設けられているネットワークにアクセスしてきた端末の認証を行う認証ステップとを有することを特徴とする。
上記課題を解決するための第17の発明は、上記第16に記載の発明において、前記認証情報保持ステップは、加入者データベースに基づいて前記認証サーバに対して発行されるAV又は前記受信されるAVのコピーを保持するステップであることを特徴とする。
上記課題を解決するための第18の発明は、上記第16又は第17の発明において、端末から送信される認証応答値を有するパケットに認証キーを使って計算したチェックサム値を追加して、前記認証サーバへ送信するステップを有することを特徴とする。
上記課題を解決するための第19の発明は、上記第18の発明において、前記認証保持ステップは、前記加入者データベースに基づいて認証サーバに対して発行されるAVの一部又は前記受信されるAVのコピーの一部を保持するステップであることを特徴とする。
上記課題を解決するための第20の発明は、上記第16から第19のいずれかの発明において、前記ノードが、受信したAVのコピーを他ノードに送信する送信ステップを有することを特徴とする。
本発明は、アクセス網A経由でネットワーク−ユーザ端末間のAKA相互認証が開始されると、まず加入者データベースAよりアクセス網A中のコアネットワークノードAの認証ベクトル保持部に対し1ユーザ用のAVが複数個セットで発行される。
次に、コアネットワークノードAの認証ベクトル保持部は認証ベクトル仲介部経由でアクセス網B中のコアネットワークノードBの認証ベクトル仲介部と通信し、コピーしたAVセットを送信してコアネットワークノードBの認証ベクトル保持部に持たせる(S1)。
アクセス網A経由のAKA相互認証をユーザ端末のUSIMカードとコアネットワークノードAの認証部との間で完了させる。
一方、しばらくしてユーザ端末がアクセス網Bのサービスを使い始め、アクセス網B経由のAKA相互認証を開始すると、ユーザ端末はコアネットワークノードBのAAA代行部との間でAKA認証を行う。その際、ネットワーク側のAKA認証キーとしてはコアネットワークノードBの認証ベクトル保持部が持っているAVセットの内の次のシーケンスナンバーのものが使われる。
上記とは逆に、先にアクセス網B経由でネットワーク−ユーザ端末間のAKA相互認証が開始されると、まず加入者データベースBよりAAA Serverに対し1ユーザ用のAVが複数個セットで発行される(S2)。
AAA Serverはアクセス網B中のコアネットワークノードBの認証ベクトル仲介部と通信し、コピーしたAVセットを送信してコアネットワークノードBの認証ベクトル保持部に持たせる。また、さらにアクセス網A中のコアネットワークノードAの認証ベクトル仲介部と通信し、コピーしたAVセットを送信してコアネットワークノードAの認証ベクトル保持部に持たせる。それから、アクセス網B経由のAKA相互認証をユーザ端末のUSIMカードとコアネットワークノードBのAAA代行部との間で完了させる。
一方、しばらくしてユーザ端末がアクセス網Aのサービスを使い始め、アクセス網A経由のAKA相互認証を開始すると、ユーザ端末はコアネットワークノードAの認証部との間でAKA認証を行う。その際、ネットワーク側のAKA認証キーとしてはコアネットワークノードAの認証ベクトル保持部が持っているAVセットの内の次のシーケンスナンバーのものが使われる。
上記によって、本発明の課題は解決される。
また、本発明は、ユーザ端末がアクセス網B経由のAKA相互認証用の専用特殊ヘッダを作成できないとき、コアネットワークノードBの特殊ヘッダ作成部との間でアクセス網Bの汎用認証プロトコルにより通信を行う。この特殊ヘッダは、送受信の双方でAVが含むIK(Integrity Key)、CK(Cipher Key)を使ったチェックサム計算を行う点が特徴である。上記のS1までが完了すると、コアネットワークノードBの認証ベクトル保持部にAVが作成されている。ユーザ端末は、コアネットワークノードBの特殊ヘッダ作成部との間でUSIMカード中のAKA計算結果である認証応答値(RES値)をアクセス網Bの汎用認証プロトコルに載せてやり取りする。一方、コアネットワークノードBの特殊ヘッダ作成部は、AAA Serverとの間で認証ベクトル保持部中のAVが含むIK、CKを使って計算したチェックサム値を認証プロトコルに載せてやり取りする。こうして、ユーザ端末とAAA Serverとの間でAKA認証を完了させる。
上記S2までが完了した後、AAA ServerはコアネットワークノードBの認証ベクトル仲介部と通信し、AVセットの中のIK、CKのみをコピーして送信し、コアネットワークノードBの認証ベクトル保持部に持たせる。ユーザ端末は、コアネットワークノードBの特殊ヘッダ作成部との間でUSIMカード中のAKA計算結果である認証応答値(RES値)をアクセス網Bの汎用認証プロトコルに載せてやり取りする。一方、コアネットワークノードBの特殊ヘッダ作成部は、AAA Serverとの間で認証ベクトル保持部中のIK、CKを使って計算したチェックサム値を認証プロトコルに載せてやり取りする。こうして、ユーザ端末とAAA Serverとの間でAKA認証を完了させる。
上記によって、本発明の課題は解決される。
本発明によると、MNがAKA認証を適用して複数の無線アクセスサービスを受けようとするとき、加入者データベースのサーバ負荷を下げることができる。
また、ネットワーク側でAKA認証キーの連携を行うため、ユーザ端末は既存のものをそのまま用いることができる。
また、特殊なヘッダを扱うことなくAKA認証を実現できる。
また、新たな無線インタフェース利用時にSIM、USIMカードベースのAKA認証を行う必要があるとき、ユーザ端末に新たに特殊なヘッダを作成するプロトコルを追加する必要がない。
本発明を実施するための第1の実施の形態について図1を用いて詳細に説明する。
図1に本発明の第1の実施の形態のシステム構成図を示す。
アクセス網A70は、方式Aの無線アクセスネットワークであり、複数台の基地局51を有する。
アクセス網B71は、方式Bの無線アクセスネットワークであり、複数台の基地局52を有する。この方式Bは方式Aとは異なる種類の無線アクセスネットワークである。
コアネットワーク72は、通信事業車間を結ぶ基幹通信回線であり、複数の無線アクセス網を収容している。コアネットワーク72が収容している無線アクセス網は複数の種類からなる無線アクセスサービス網であり、種類が異なる無線アクセス網同士の構成要素は同一ではない。
アクセス網A70は、コアネットワークノードA53、インターネットゲートウェイであるGWA58、加入者データベースA56から構成される。
アクセス網B71は、コアネットワークノードB54、インターネットゲートウェイであるGWB59、加入者データベースB57、認証サーバであるAAA Server55から構成される。
ユーザ端末50はアクセス方式A、Bの両無線カードを搭載している。
AAA Server55中にはAV69が保持されている。
GWA58およびGWB59はInternet60への接続ゲートウェイとなっている。
コアネットワークノードA53中には、認証部61及びAV67を保持している認証ベクトル保持部63があり、さらに本発明用に追加した認証ベクトル仲介部62がある。
コアネットワークノードB54中には、本発明用に追加した認証ベクトル仲介部64、AAA代行部65、及びAV68を保持している認証ベクトル保持部66がある。
続いて、図2を用いて、本実施の形態の動作について説明する。
<1>アクセス網Aのサービスを利用した後でアクセス網Bのサービスを利用する場合
ユーザがユーザ端末50を用いてアクセス網A70経由でサービスを利用するとき、ネットワーク側からの起動でネットワーク−ユーザ端末間のAKA相互認証が開始される(ステップS101)。
加入者データベースA56に基づいて、アクセス網A70の制御部よりコアネットワークノードA53の認証ベクトル保持部63に対し1ユーザ用のAV67が複数個をセットにして発行される(ステップS102)。
次に、コアネットワークノードA53の認証ベクトル保持部63は、認証ベクトル仲介部62経由でアクセス網B71の接続ゲートウェイであるコアネットワークノードB54の認証ベクトル仲介部64と通信し、コピーしたAVセットを送信して(ステップS103)、コアネットワークノードB54の認証ベクトル保持部66に持たせる(ステップS104)。
アクセス網A70経由のAKA相互認証は、ユーザ端末50のUSIMカードとコアネットワークノードA53の認証部61との間で完了される(ステップS105)。なお、認証ベクトル保持部63、66はAVを加入者識別子で検索できるようなテーブルとして保持している。
一方、しばらくして、ユーザ端末がアクセス網B71経由のサービスを使い始めると、アクセス網B71経由のAKA相互認証が開始される(ステップS106)。これによって、ユーザ端末はコアネットワークノードB54のAAA代行部65との間でAKA認証を行う(ステップS107)。その際、ネットワーク側のAKA認証キーとしてはコアネットワークノードB54の認証ベクトル保持部66が持っているAVセット68の中の次のシーケンスナンバーが使われる。尚、AV67、68、69は、乱数RAND、ユーザ端末50から受信するRESの期待値XRES、特殊ヘッダ作成時のチェックサム計算に使うIntegrityキー IK、Cipherキー CK、認証トークンAUTNから成る。
一方、ユーザ端末50は、受信したRAND、AUTNを元にUSIMカード中でレスポンス値RES、ネットワーク側から受信するMACの期待値XMAC、特殊ヘッダ作成時のチェックサム計算に使うIntegrityキー IK、Cipherキー CKを算出し、ネットワークの正当性を確認した上でネットワークにRESを送信する(ステップS108)。
<2>アクセス網Bのサービスを利用した後でアクセス網Aのサービスを利用する場合
ユーザ端末がアクセス網B71経由でサービスを利用するとき、ネットワーク−ユーザ端末間のAKA相互認証が開始される(ステップS201)。
加入者データベースB57に基づいて、アクセス網B71の制御部よりAAA Server55に対し1ユーザ用のAV69が複数個をセットにして発行される(ステップS202)。
次に、AAA Server55は、コアネットワークノードB54の認証ベクトル仲介部64と通信し、コピーしたAVセットを送信して(ステップS203)、コアネットワークノードB54の認証ベクトル保持部66に持たせる(ステップS204)。
さらに、認証ベクトル仲介部64は、コアネットワークノードA53の認証ベクトル仲介部62と通信し、コピーしたAVセットを送信して(ステップS205)コアネットワークノードA53の認証ベクトル保持部63に持たせる(ステップS206)。
アクセス網B71経由のAKA相互認証は、ユーザ端末50のUSIMカードとコアネットワークノードB54のAAA代行部65との間で完了される(ステップS207)。
一方、しばらくして、ユーザ端末がアクセス網A70経由のサービスを使い始めると、アクセス網A70経由のAKA相互認証が開始される(ステップS208)。これにより、ユーザ端末はコアネットワークノードA53の認証部61との間でAKA認証を行う(ステップS209)。その際、ネットワーク側のAKA認証キーとしてはコアネットワークノードA53の認証ベクトル保持部63が持っているAVセット67の中の次のシーケンスナンバーが使われる。
続いて、本発明における第2の実施の形態について説明する。
図4に本発明の第2の実施の形態のシステム構成図を示す。
アクセス網A93は、方式Aの無線アクセスネットワークであり、複数台の基地局74を有する。
アクセス網B94は、方式Bの無線アクセスネットワークであり、複数台の基地局75を有する。この方式Bは方式Aとは異なる種類である。
コアネットワーク95は、複数の無線アクセス網を収容している。この複数の無線アクセス網は異なる無線アクセスサービス網であり、各無線アクセス網の構成要素は同一ではない。
アクセス網A93は、コアネットワークノードA76、インターネットゲートウェイであるGWA81、及び加入者データベースA79から構成されている。
アクセス網B94は、コアネットワークノードB77、インターネットゲートウェイであるGWB82、加入者データベースB80、及び認証サーバであるAAA Server78から構成される。
ユーザ端末73は、アクセス方式A、Bの両無線カードを搭載している。
AAA Server78中にはAV92が保持されている。
GWA81およびGWB82はInternet83への接続ゲートウェイとなっている。
コアネットワークノードA76中には、認証部84、AV90を保持している認証ベクトル保持部86があり、さらに本発明用に追加した認証ベクトル仲介部85がある。
コアネットワークノードB77中には、本発明の特徴である認証ベクトル仲介部87、第1の実施の形態とは異なる追加点の特殊ヘッダ作成部88、AVまたはIK/CK91を保持している認証ベクトル保持部89がある。
次に、本実施の形態の動作について図2を使って詳細に説明する。
<1>アクセス網Aのサービスを利用した後でアクセス網Bのサービスを利用する場合
ユーザ端末73がアクセス網B94経由のAKA相互認証用の専用特殊ヘッダを作成できない構成の場合、ユーザ端末73はコアネットワークノードB77の特殊ヘッダ作成部88との間でアクセス網B94の汎用認証プロトコルによる通信を行う。この特殊ヘッダ作成部88は、送受信の双方で、AVに含まれているIK(Integrity Key)及びCK(Cipher Key)を使ったチェックサム計算を行う点が特徴となっている。
アクセス網A93経由でネットワーク−ユーザ端末間のAKA相互認証を開始し(ステップS301)、加入者データベースA79よりコアネットワークノードA76の認証ベクトル保持部86に対し1ユーザ用のAV90が複数個セットで発行される(ステップS302)。
コアネットワークノードA76の認証ベクトル保持部86は、認証ベクトル仲介部85経由でコアネットワークノードB77の認証ベクトル仲介部87と通信し、コピーしたAVセットを送信して(ステップS303)コアネットワークノードB77の認証ベクトル保持部89に持たせる(ステップS304)。
アクセス網A93経由のAKA相互認証はユーザ端末73のUSIMカードとコアネットワークノードA76の認証部84との間で完了される(ステップS305)。なお、認証ベクトル保持部86、89はAVを加入者識別子で検索できるようなテーブルとして保持している。
一方、しばらくして、ユーザ端末がアクセス網B94経由のサービスを使い始めると、アクセス網B94経由のAKA相互認証を開始する(ステップS306)。そして、ユーザ端末は、特殊ヘッダ作成部88との間でAKA認証を行う(ステップS307)。その際、ネットワーク側のAKA認証キーとしては、コアネットワークノードB77の認証ベクトル保持部89が持っているAVセット又はIK/CK91中の次のシーケンスナンバーが使われる。尚、AV90、91、92は、乱数RAND、ユーザ端末50から受信するRESの期待値XRES、特殊ヘッダ作成時のチェックサム計算に使うIntegrityキー IK、Cipherキー CK、認証トークンAUTNから成る。しかしながら、AV91は、少なくとも特殊ヘッダ作成時のチェックサム計算に使うIntegrityキー IK、Cipherキー CKからなっていれば良い。
ユーザ端末73は、認証の際、コアネットワークノードB77の特殊ヘッダ作成部88との間でUSIMカード中のAKA計算結果である認証応答値(RES値)をアクセス網B94の汎用認証プロトコルに載せてやり取りする(ステップS308)。
一方、コアネットワークノードB77の特殊ヘッダ作成部88は、AAA Server78との間で認証ベクトル保持部89中のIK、CK91を使って計算したチェックサム値を認証プロトコルに載せてやり取りする(ステップS309)。
こうして、ユーザ端末73とAAA Server78との間でAKA認証が完了する。
<2>アクセス網Bのサービスを利用した後でアクセス網Aのサービスを利用する場合
上記<1>とは逆に、先にアクセス網B94経由でネットワーク−ユーザ端末間のAKA相互認証が開始すると(ステップS401)、まず加入者データベースB80よりAAA Server78に対し1ユーザ用のAV92が複数個をセットにして発行される(ステップS402)。
AAA Server78は、コアネットワークノードB77の認証ベクトル仲介部87と通信し、AVセット92の内IK、CKのみをコピーして送信し(ステップS403)、コアネットワークノードB77の認証ベクトル保持部89に持たせる(ステップS404)。
ユーザ端末73は、USIMカード中のAKA計算結果である認証応答値(RES値)をアクセス網B94の汎用認証プロトコルに載せて、コアネットワークノードB77の特殊ヘッダ作成部88との間でやり取りする(ステップS405)。
一方、コアネットワークノードB77の特殊ヘッダ作成部88は、AAA Server78との間で認証ベクトル保持部89中のIK、CK91を使って計算したチェックサム値を認証プロトコルに載せてやり取りする(ステップS406)。こうして、ユーザ端末73とAAA Server78との間でAKA認証が完了する。
一方、しばらくして、ユーザ端末がアクセス網A93経由のサービスを使い始め、アクセス網A93経由のAKA相互認証を開始する。そして、ユーザ端末は、コアネットワークノードA76の認証部84との間でAKA認証を行う。その際、ネットワーク側のAKA認証キーとして、コアネットワークノードA93の認証ベクトル保持部86が持っているAVセット90の中の次のシーケンスナンバーが使われる。
上記は各アクセス網間でコアネットワークノード中の認証ベクトル仲介部によって通信してAVを渡している方法について説明したが、コアネットワークノード同士を一体に統合する方法であってもよい。
第1の実施の形態においてAAA Serverをコアネットワークノードと統合する構成であっても良い。このような構成をとると、AVをコアネットワーク中で転送する手間が省け、さらにコアネットワークノード同士も統合すればより手間が省ける。
第1の実施の形態において、アクセス網B側でAAA代行処理をやめ、AAA Serverとの認証を行うようにする構成であっても良い。
次に、本発明の実施例1を、図面を参照して説明する。かかる実施例1は、本発明の第1の実施の形態に対応するものである。
3GPPコアネットワークが3GPPサービスとWLANサービスとを収容する場合について説明をする。
図7は、本発明の実施例1のシステム構成図である。
3GPP RAN(Radio Access Network)22は、3GPP網サービスの無線アクセスネットワークであり、複数台のRNC(Radio Network Controller)4から構成される。RNC4は複数台のWCDMA基地局Node−B2を有する。
WLAN Access Network23は、WLAN網サービスの無線アクセスネットワークであり、複数台のAP(Access Point)3を有する。
3GPP CN(Core Network)24は、3GPP網(第3世代移動網)サービスのコアネットワークであり、3GPP及びWLANの両無線サービスを収容している。
3GPPRAN22はSGSN5、GGSN10、及び加入者データベースであるHLR8から構成される。
WLAN Access Network23は、WAG(WLAN Access Gateway)6、PDG(Packet Data Gateway)11、加入者データベース拡張版であるHSS9、及び認証サーバである3GPP AAA Server7から構成される。
ユーザ端末1は3GPPとWLANとの両無線カードを搭載している。
3GPP AAA Server7中にはAV21が保持されている。
GGSN10およびPDG11はInternet12への接続ゲートウェイとなっている。
SGSN5は、3GPPの標準機能として認証部13及びAV19を保持している認証ベクトル保持部15がある。さらにSGSN5は、本発明用に追加した認証ベクトル仲介部14がある。
WAG6は、本発明で追加された認証ベクトル仲介部16、AAA代行部17、AV20を保持している認証ベクトル保持部18がある。
続いて、本実施例の動作について説明する。
<1>3GPPサービスを利用した後でWLANサービスを利用する場合
ユーザ端末が3GPPアクセス網経由でサービスを利用するとき、ネットワーク側からの起動でネットワーク−ユーザ端末間のAKA相互認証が開始される。
HLR8よりSGSN5の認証ベクトル保持部15に対し1ユーザ用のAV19が複数個をセットにして発行される。
次に、SGSN5の認証ベクトル保持部15は、認証ベクトル仲介部14経由でWLANアクセス網の接続ゲートウェイであるWAG6の認証ベクトル仲介部16と通信し、コピーしたAVセットを送信してWAG6の認証ベクトル保持部18に持たせる。
3GPPアクセス網経由のAKA相互認証をユーザ端末1のUSIMカードとSGSN5の認証部13との間で3GPP標準通りに完了させる。なお、認証ベクトル保持部15、18は、AVを加入者識別子であるIMSI(International Mobile Subscriber Identity)で検索できるテーブルとして保持している。
一方、しばらくして、ユーザ端末が、WLANサービスを使い始め、WLAN網経由のAKA相互認証を開始する。そして、ユーザ端末は、WAG6のAAA代行部17との間でAKA認証を行う。その際、ネットワーク側のAKA認証キーとして、WAG6の認証ベクトル保持部18が持っているAVセット20の内の次のシーケンスナンバーが使われる。なお、3GPP標準では3GPP AAA Server7の持つAV21との間でAKA認証を行うことになっているため、この点で従来技術とは異なっている。
AV19、20、21は、乱数RAND、ユーザ端末1から受信するRESの期待値XRES、EAP/AKAヘッダ作成時のチェックサム計算に使うIntegrityキー IK、Cipherキー CK、認証トークンAUTNから成る。
一方、ユーザ端末1は、受信したRAND、AUTNを基に、USIMカード中でレスポンス値RES、ネットワーク側から受信するMACの期待値XMAC、EAP/AKAヘッダ作成時のチェックサム計算に使うIntegrityキー IK、Cipherキー CKを算出し、ネットワークの正当性を確認した上でネットワークにRESを送信する。
<2>WLANサービスを利用した後で3GPPサービスを利用する場合
ユーザ端末がWLANアクセス網経由でサービスを利用するとき、3GPP TS 33.234の標準シーケンスに沿ってネットワーク−ユーザ端末間のAKA相互認証が開始される。
HSS9より3GPP AAA Server7に対し1ユーザ用のAV21が複数個をセットにして発行される。次に、3GPP AAA Server7はWAG6の認証ベクトル仲介部16と通信し、コピーしたAVセットを送信してWAG6の認証ベクトル保持部18に持たせる。
さらに、認証ベクトル仲介部16は、SGSN5の認証ベクトル仲介部14と通信し、コピーしたAVセットを送信してSGSN5の認証ベクトル保持部15に持たせる。
WLANアクセス網経由のAKA相互認証をユーザ端末1のUSIMカードとWAG6のAAA代行部17との間で3GPP標準通りに完了させる。
一方、しばらくして、ユーザ端末が、3GPPサービスを使い始め、3GPP網経由のAKA相互認証を開始する。そして、ユーザ端末はSGSN5の認証部13との間でAKA認証を行う。その際、ネットワーク側のAKA認証キーとして、SGSN5の認証ベクトル保持部15が持っているAVセット19の内の次のシーケンスナンバーが使われる。
次に実施例2について図8を使って説明する。
図8は、本発明の手段2のシステム構成図である。実施例1と同様の構成であるが、3GPP RAN46は3GPP網サービスの無線アクセスネットワークであり、複数台のRNC28から構成される。
RNC28は複数台のWCDMA基地局Node−B26を有する。
WLAN Access Network47は、WLAN網サービスの無線アクセスネットワークであり、複数台のAP27を有する。
3GPP CN48は、3GPP網サービスのコアネットワークであり、3GPP、WLANの両無線サービスを収容している。
3GPP無線は、SGSN29およびGGSN34、加入者データベースであるHLR32から構成される。
WLAN無線は、WAG30、PDG35、加入者データベース拡張版であるHSS33、認証サーバである3GPP AAA Server31から構成される。
ユーザ端末25は3GPPとWLANの両無線カードを搭載している。
3GPP AAA Server31中にはAV45が保持されている。
GGSN34およびPDG35はInternet36への接続ゲートウェイとなっている。
SGSN29中には3GPP標準通りの機能として認証部37、AV43を保持している認証ベクトル保持部39があり、さらに本発明用に追加した認証ベクトル仲介部38がある。
WAG30中には本発明用に追加した認証ベクトル仲介部40、手段1とは異なる追加点のEAP/AKA代行部41、AVまたはIK/CK44を保持している認証ベクトル保持部42がある。
続いて、本実施例の動作について説明する。
<1>3GPPサービスを利用した後でWLANサービスを利用する場合
ユーザ端末25がWLAN Access Network47経由のAKA相互認証用の専用EAP/AKAヘッダを作成できないとき、ユーザ端末がWAG30のEAP/AKA代行部41との間でWLAN Access Network47の汎用認証プロトコルにより通信を行う。このEAP/AKAヘッダは、送受信の双方でAVに含まれているIK(Integrity Key)、CK(Cipher Key)を使ったチェックサム計算を行う点が特徴となっている。
3GPP RAN46経由でネットワーク−ユーザ端末間のAKA相互認証が開始され、HLR32よりSGSN29の認証ベクトル保持部39に対し1ユーザ用のAV43が複数個をセットにして発行される。
SGSN29の認証ベクトル保持部39は、認証ベクトル仲介部38経由でWAG30の認証ベクトル仲介部40と通信し、コピーしたAVセットを送信してWAG30の認証ベクトル保持部42に持たせる。
ユーザ端末25は、USIMカード中のAKA計算結果である認証応答値(RES値)をWLAN Access Network47の汎用認証プロトコルに載せて、WAG30のEAP/AKA代行部41との間でやり取りする。
一方、WAG30のEAP/AKA代行部41は、3GPP AAA Server31との間で認証ベクトル保持部42中のIK、CK44を使って計算したチェックサム値を認証プロトコルに載せてやり取りする。
こうして、ユーザ端末25と3GPP AAA Server31との間でAKA認証を完了させる。
<2>WLANサービスを利用した後で3GPPサービスを利用する場合
上記<1>とは逆に、先にWLAN Access Network47経由でネットワーク−ユーザ端末間のAKA相互認証が開始されると、まずHSS33より3GPP AAA Server31に対し1ユーザ用のAV45が複数個をセットにして発行される。
3GPP AAA Server31はWAG30の認証ベクトル仲介部40と通信し、AVセット45の内IK、CKのみをコピーして送信し、WAG30の認証ベクトル保持部42に持たせる。
ユーザ端末25は、WAG30のEAP/AKAヘッダ作成部41との間でUSIMカード中のAKA計算結果である認証応答値(RES値)をWLAN Access Network47の汎用認証プロトコルに載せて、WAG30のEAP/AKAヘッダ作成部41との間でやり取りする。
一方、WAG30のEAP/AKAヘッダ作成部41は、3GPP AAA Server31との間で認証ベクトル保持部42中のIK、CK44を使って計算したチェックサム値を認証プロトコルに載せてやり取りする。
こうして、ユーザ端末25と3GPP AAA Server31との間でAKA認証を完了させる。
尚、上述した各処理部を、プログラムで動作するプロセッサや、情報が記憶されるメモリや、記憶媒体によって、上述した実施の形態と同様の機能、動作を実現させても良い。
図1は、本発明の第1の実施の形態のシステム構成図である。 図2は、本発明の第1の実施の形態の動作を説明するためのフローチャートである。 図3は、本発明の第1の実施の形態の動作を説明するためのフローチャートである。 図4は、本発明の第2の実施の形態のシステム構成図である。 図5は、本発明の第2の実施の形態の動作を説明するためのフローチャートである。 図6は、本発明の第2の実施の形態の動作を説明するためのフローチャートである。 図7は、本発明の実施例1のシステム構成図である。 図8は、本発明の実施例2のシステム構成図である。
符号の説明
1、25、50、73 ユーザ端末
2、26 Node−B(WCDMA基地局)
3、27 AP(WLANアクセスポイント)
4、28 RNC(無線ネットワークコントローラ)
5、29 SGSN(サービングGSNノード)
6、30 WAG(WLANアクセスゲートウェイ)
7、31 3GPP AAA Server(3GPP A
AAサーバ)
8、32 HLR(加入者データベース)
9、33 HSS(加入者データベース拡張版)
10、34 GGSN(ゲートウェイGSNノード)
11、35 PDG(パケットデータゲートウェイ)
22、46 3GPP RAN(第3世代移動網 無線アクセ
スネットワーク)
24、48 3GPP CN(第3世代移動網 コアネットワ
ーク)
23、47 WLAN Access Network(WL
ANアクセスネットワーク)
58、59、81、82 GWA(B)(インターネットゲートウェイ)

Claims (20)

  1. 通信システムであって、
    認証サーバを有するネットワークに接続されているノードと認証サーバを有しないネットワークに接続されているノードをコアネットワーク上に有し、
    加入者データベースに基づいて発行されるAV(Authentication
    Vector)のコピーを前記ノード間で送受信し、前記加入者データベースに基づいて発行されるAV又は前記受信したAVのコピーを用いて、自ノードが設けられているネットワークにアクセスしてきた端末のAKA(Authentication
    and Key Agreement)認証を行うように構成されている
    ことを特徴とする通信システム。
  2. 前記ノードは、
    前記AVのコピーを受信する受信手段と、
    前記加入者データベースに基づいて前記認証サーバに対して発行されるAV又は前記受信されるAVのコピーを保持する認証情報保持手段と、
    前記認証情報保持手段が保持するAVを用いて、無線LANのネットワークにアクセスしてきた端末の認証を行う認証手段と
    を有することを特徴とする請求項1に記載の通信システム。
  3. 端末から送信される認証応答値を有するパケットに認証キーを使って計算したチェックサム値を追加して、前記認証サーバへ送信する手段を有することを特徴とする請求項2に記載の通信システム。
  4. 前記認証保持手段は、前記加入者データベースに基づいて前記認証サーバに対して発行されるAVの一部又は前記受信されるAVのコピーの一部を保持する認証保持手段であることを特徴とする請求項2又は請求項3に記載の通信システム。
  5. 前記ノードは、受信したAVのコピーを他ノードに送信する送信手段を有することを特徴とする請求項1から請求項4のいずれかに記載の通信システム。
  6. 認証サーバを有するネットワークと認証サーバを有しないネットワークとを収容するコアネットワーク上のノードであって、
    加入者データベースに基づいて発行されるAV(Authentication
    Vector)のコピーを、自ノードと異なる構成のネットワーク上のノードとの間で送受信する送受信手段と、
    前記加入者データベースに基づいて発行されるAV又は前記受信されるAVのコピーを保持する認証情報保持手段と、
    前記認証情報保持手段が保持するAVを用いて、自ノードが設けられているネットワークにアクセスしてきた端末の認証を行う認証手段と
    を有することを特徴とするノード。
  7. 前記認証情報保持手段は、加入者データベースに基づいて前記認証サーバに対して発行されるAV又は前記受信されるAVのコピーを保持する手段であることを特徴とする請求項6に記載のノード。
  8. 端末から送信される認証応答値を有するパケットに認証キーを使って計算したチェックサム値を追加して、前記認証サーバへ送信する手段を有することを特徴とする請求項6又は請求項7に記載のノード。
  9. 前記認証保持手段は、前記加入者データベースに基づいて認証サーバに対して発行されるAVの一部又は前記受信されるAVのコピーの一部を保持する手段であることを特徴とする請求項8に記載のノード。
  10. 受信したAVのコピーを他ノードに送信する送信手段を有することを特徴とする請求項6から請求項9のいずれかに記載のノード。
  11. 認証サーバを有するネットワークと認証サーバを有しないネットワークとを収容するコアネットワーク上のノードのプログラムであって、
    前記プログラムは、
    前記ノードを、
    加入者データベースに基づいて発行されるAV(Authentication
    Vector)のコピーを、自ノードと異なる構成のネットワーク上のノードとの間で送受信する送受信手段と、
    送信されて来るAV又は前記受信されるAVのコピーを保持する認証情報保持手段と、
    前記認証情報保持手段が保持するAVを用いて、自ノードが設けられているネットワークにアクセスしてきた端末の認証を行う認証手段と
    して機能させることを特徴とするプログラム。
  12. 前記プログラムは、前記認証情報保持手段を、加入者データベースに基づいて前記認証サーバに対して発行されるAV又は前記受信されるAVのコピーを保持する手段として機能させることを特徴とする請求項11に記載のプログラム。
  13. 端末から送信される認証応答値を有するパケットに認証キーを使って計算したチェックサム値を追加して、前記認証サーバへ送信する手段として機能させることを特徴とする請求項11又は請求項12に記載のプログラム。
  14. 前記プログラムは、前記認証保持手段を、前記加入者データベースに基づいて認証サーバに対して発行されるAVの一部又は前記受信されるAVのコピーの一部を保持する手段として機能させることを特徴とする請求項13に記載のプログラム。
  15. 前記プログラムは、前記ノードを、受信したAVのコピーを他ノードに送信する送信手段として機能させることを特徴とする請求項11から請求項14のいずれかに記載のプログラム。
  16. 認証サーバを有するネットワークと認証サーバを有しないネットワークとを収容するコアネットワーク上のノードの通信方法であって、前記ノードが
    加入者データベースに基づいて発行されるAV(Authentication
    Vector)のコピーを、自ノードと異なる構成のネットワーク上のノードとの間で送受信する送受信ステップと、
    送信されて来るAV又は前記受信されるAVのコピーを保持する認証情報保持ステップと、
    前記認証情報保持ステップで保持したAVを用いて、自ノードが設けられているネットワークにアクセスしてきた端末の認証を行う認証ステップと
    を有することを特徴とする通信方法。
  17. 前記認証情報保持ステップは、加入者データベースに基づいて前記認証サーバに対して発行されるAV又は前記受信されるAVのコピーを保持するステップであることを特徴とする請求項16に記載の通信方法。
  18. 前記ノードが、端末から送信される認証応答値を有するパケットに認証キーを使って計算したチェックサム値を追加して、前記認証サーバへ送信するステップを有することを特徴とする請求項16又は請求項17に記載の通信方法。
  19. 前記認証保持ステップは、前記加入者データベースに基づいて認証サーバに対して発行されるAVの一部又は前記受信されるAVのコピーの一部を保持するステップであることを特徴とする請求項18に記載の通信方法。
  20. 前記ノードが、受信したAVのコピーを他ノードに送信する送信ステップを有することを特徴とする請求項16から請求項19のいずれかに記載の通信方法。
JP2005238707A 2005-08-19 2005-08-19 通信システム、ノード、認証サーバ、通信方法及びそのプログラム Expired - Fee Related JP4984020B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005238707A JP4984020B2 (ja) 2005-08-19 2005-08-19 通信システム、ノード、認証サーバ、通信方法及びそのプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005238707A JP4984020B2 (ja) 2005-08-19 2005-08-19 通信システム、ノード、認証サーバ、通信方法及びそのプログラム

Publications (2)

Publication Number Publication Date
JP2007053674A JP2007053674A (ja) 2007-03-01
JP4984020B2 true JP4984020B2 (ja) 2012-07-25

Family

ID=37917802

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005238707A Expired - Fee Related JP4984020B2 (ja) 2005-08-19 2005-08-19 通信システム、ノード、認証サーバ、通信方法及びそのプログラム

Country Status (1)

Country Link
JP (1) JP4984020B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8094817B2 (en) * 2006-10-18 2012-01-10 Telefonaktiebolaget Lm Ericsson (Publ) Cryptographic key management in communication networks
JP4980813B2 (ja) * 2007-07-23 2012-07-18 株式会社エヌ・ティ・ティ・ドコモ 認証処理装置、認証処理方法及び認証処理システム
JP5275050B2 (ja) * 2009-01-06 2013-08-28 Kddi株式会社 端末間ハンドオーバにおける認証方法及びシステム
JP5670933B2 (ja) * 2012-02-15 2015-02-18 日本電信電話株式会社 認証情報変換装置及び認証情報変換方法
EP2677789B1 (en) * 2012-06-18 2017-02-22 Alcatel Lucent Method and devices for remote smart card personalization

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3930258B2 (ja) * 2001-02-27 2007-06-13 株式会社日立製作所 インターネットローミング方法
US8077681B2 (en) * 2002-10-08 2011-12-13 Nokia Corporation Method and system for establishing a connection via an access network
US7774828B2 (en) * 2003-03-31 2010-08-10 Alcatel-Lucent Usa Inc. Methods for common authentication and authorization across independent networks
ATE360948T1 (de) * 2003-06-26 2007-05-15 Ericsson Telefon Ab L M Apparat und methode für eine authentisierung mit einmaliger passworteingabe über einen unsicheren netzwerkzugang
JP2005142848A (ja) * 2003-11-06 2005-06-02 Toshiba Corp 無線lanシステム、およびその通信制御方法、ならびにアクセスポイント
JP2006203581A (ja) * 2005-01-20 2006-08-03 Matsushita Electric Ind Co Ltd 通信制御システム

Also Published As

Publication number Publication date
JP2007053674A (ja) 2007-03-01

Similar Documents

Publication Publication Date Title
JP5199405B2 (ja) 通信システムにおける認証
US8972582B2 (en) Method and apparatus enabling reauthentication in a cellular communication system
CN101300861B (zh) 用于把具有接入节点的第二通信网络连接到具有接触节点的第一通信网络的方法
EP1504617B1 (en) Method and system for performing the transfer of provisioning data in a wireless communication system
CN101606372B (zh) 支持无uicc呼叫
US7512783B2 (en) Provision of security services for an ad-hoc network
US8457598B2 (en) Authentication in mobile interworking system
JP4687788B2 (ja) 無線アクセスシステムおよび無線アクセス方法
WO2006024969A1 (en) Wireless local area network authentication method
WO2003037023A1 (en) Roaming arrangement
CN101496387A (zh) 用于移动无线网络中的接入认证的系统和方法
EP1842385A1 (en) Controlling network access
JP4377328B2 (ja) ホーム・ロケーション・レジスタの改良による移動端末の個人情報保護
JP4984020B2 (ja) 通信システム、ノード、認証サーバ、通信方法及びそのプログラム
JP6861285B2 (ja) 緊急アクセス中のパラメータ交換のための方法およびデバイス
US20110311047A1 (en) Method of making secure a link between a data terminal and a data processing local area network, and a data terminal for implementing the method
KR101025083B1 (ko) 확장가능 인증 프로토콜에서의 인증함수 식별 방법
EP1438869B1 (en) Roaming arrangement
TWI246300B (en) Method and apparatus enabling reauthentication in a cellular communication system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080711

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110706

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110905

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110928

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111128

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120328

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120410

R150 Certificate of patent or registration of utility model

Ref document number: 4984020

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150511

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees