JP5178843B2 - 継続した認証方法の選定 - Google Patents

継続した認証方法の選定 Download PDF

Info

Publication number
JP5178843B2
JP5178843B2 JP2010538363A JP2010538363A JP5178843B2 JP 5178843 B2 JP5178843 B2 JP 5178843B2 JP 2010538363 A JP2010538363 A JP 2010538363A JP 2010538363 A JP2010538363 A JP 2010538363A JP 5178843 B2 JP5178843 B2 JP 5178843B2
Authority
JP
Japan
Prior art keywords
authentication
user
server
network
pcrf
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010538363A
Other languages
English (en)
Other versions
JP2011509002A (ja
Inventor
アロンソ, スサナ フェルナンデス
ジョン, マイケル ウォーカー,
マッツ ネスルンド,
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2011509002A publication Critical patent/JP2011509002A/ja
Application granted granted Critical
Publication of JP5178843B2 publication Critical patent/JP5178843B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、一般に、IPマルチメディア・サブシステム(IP Multimedia Subsystem)において適用される認証(authentication)方法を含む、種々の異なる世代の固定および移動ネットワークの中で適用される種々の異なる認証方法に関する。さらに詳細には、本発明は、これらのネットワークにおいて、既に適用されており、また種々の異なる発生イベントおよびポリシーに基づく認証方法と比較して、より強力なまたはより適切な認証方法を動的に選定する方法に関する。
IPマルチメディイア・サブシステム(以後はIMSと記す)によって、公衆陸上移動ネットワーク(Public Land Mobile Network、以後はPLMNと記す)の事業者は自分の加入者に対して、インターネットのアプリケーション、サービスおよびプロトコルに基づいた、および、それらの上に構成された、マルチメディアサービスを提供することができる。これらのマルチメディアサービスは、特にIMSアプリケーションを介してアクセスすることができる。
第3世代パートナーシップ・プロジェクト(3rd Generation Partnership Project)(以後は3GPPと記す)のIMSに関連する技術仕様によれば、IMSアプリケーションの支持に対する完全な解決策は、IMSの加入者またはユーザに対する端末、1つ以上のIP接続アクセスネットワーク(IP−Connectivity Access Network、以後はIP−CANと記す)、および、IMSの特定の機能要素を含む。これは非特許文献1に記載されている。典型的なIP−CANは、GERAN無線アクセスネットワークおよび/またはUTRAN無線アクセスネットワークを持つGPRSコアネットワークであってよい。3GPPTS23.401に従えば、現在進められている3GPPリリース8はまた、System Architecture Evolution(以後はSAEと記す)ネットワークと呼ばれるネットワークを、新しい型のIP−CANとして包含している。
種々の異なるサービスとアップリケーションは、IMSの上部で提供することができる。IMSによって、Multimedia Telephony、Push−to−Talk over Cellular、実時間ビデオ共有等のピアツーピアアプリケーションを展開することができる。これらのためには、2つのエンドポイント(終端点)の間でのプロトコル交換を行うことにより転送接続が動的にネゴシエートされる。このようなプロトコル交換は、従来から、結合プロトコル(coupled protocol)によって実行されており、この結合プロトコルは、セッション開始プロトコル(Session Initiation Protocol、以後はSIPと記す)およびセッション記述プロトコル(Session Description Protocol、以後はSDPと記す)等であってよく、すなわち、SIP/SDPプロトコル交換である。IMSにおける加入者の認証について、欧州特許公開第1853032A1は、ユーザ毎に正当な認証メカニズムを以下に判定するかを開示している。
満足でかつ信頼度の高いサービス体験を提供するために、事業者は、サービスおよびIMSアプリケーションを使用する上での品質、効果的な課金、および、偽装の可能性に特別の配慮を払う必要がある。この目的のために、ポリシーおよび課金制御(Policy and Charging Control、以後はPCCと記す)アーキテクチャが提供され、上記の課題の制御に関して事業者を支援する。これは3GPPTS23.203で開示されている。従ってPCCアーキテクチャは、IMSばかりでなく、固定または移動のアクセスネットワークである任意のアクセスネットワークと共同して働き、サービス品質(Quality of Service、以後はQoSと記す)、ファイアウォール、多重化等のIPフローの選択的制御とともに、ネゴシエートされたIPフローの選択的取り扱いを提供する。
このPCCアーキテクチャは一般的に、アプリケーション機能(Application Function、以後はAFと記す)と、ポリシーおよび課金施行機能(Policy and Charging Enforcement Function、以後はPCEFと記す)と、ポリシーおよび課金ルール機能(Policy and Charging Rules Function、以後はPCRFと記す)とを含む。AFは、ベアラ面においてリソースのポリシーと課金制御とを必要とするアプリケーションを提供し、シグナリング面においてサービス特性がネゴシエートされる。PCEFは、ベアラ面におけるトラフィックの上でサービスデータフローの検出、課金、およびポリシーの施行を提供し、そこを通してサービスが実際に提供される。また、PCRFは、PCEFに制御機能を提供しルールをインストールして、正しいベアラを通して認可されたメディアフローだけが許可され、正しいQoSが適用されることを保証する。
一方、異なるネットワークで適用することができる認証方法および共有鍵の確立は、「認証および鍵合意(authentication and key agreement)」(以後はAKAと記す)としても知られ、現在は区別可能な種々のファミリが共存している。この点に関して、第2世代および第3世代のネットワーク(第2世代および第3世代という表現は一般的に知られており、以後はこれらをそれぞれ、2Gおよび3Gネットワークと略称する)、また、IMSネットワークにおいて現在使用されている認証および鍵合意のメカニズムは、3GPPTS33.102に記載されているAKAフレームワークに基づいている。一方で、拡張認証プロトコル(Extensible Authentication Protocol、以後はEAPと記す)と呼ばれるプロトコルは、IETFの下で仕様化され、非3GPPアクセスシステムから3GPPシステムへのAKAメカニズムを規定するものである。例えば、UMTS−AKAは、3Gネットワークにおいて使用される認証および鍵合意のメカニズムであり、EAP−AKAは、IWLAN(通信コミュニティでは、「Inter−working Wireless Land Access Network」、「Industrial Wireless Land Access Network」、または「Intelligent Wireless Land Access Network」としても知られる)において使用される認証および鍵合意のメカニズムであり、IMS−AKAは、IMSネットワークのアプリケーション層において使用される認証および鍵合意のメカニズムである。
種々の異なる事業者が存在してネットワークが固定−移動の融合したネットワークに向かって進化する、新しいシナリオが現れてくると、セキュリティに対する要求が、関連するネットワーク、ユーザ、サービス、およびアプリケーションの種類に依存して変化してくることが予想される。簡単にするために、ユーザおよびユーザ装置を、以後はUEと略記号を使用することにする。
Evolved Packet Core(System Architecture Evolution(以後はSAEと記す)としても知られる)ネットワークによれば、ユーザは、所定のサービスを受けながら、異なるパケット交換(Packet Switching、以後はPSと記す)アクセスネットワークの間を移動してローミングを行うことが可能になるであろうということを考慮すれば、上記の件は明らかである。従って、現在開発されているSAE通信ネットワークは、3GPPアクセスと非3GPPアクセスとの間のローミング等の、異種のアクセス技術の間をUEがシームレスに移動できる手段を提供する。しかしながら、前記アクセス技術は、データの接続性を維持したままで、多くの種々の異なるネットワークへのアクセスを意図してはいるが、異なるセキュリティの強さと異なる認証技術を持つネットワークの相互接続を可能とするためのセキュリティに関わる課題に関しては、まだ考慮してはいない。この点に関して、例えば、2G/3G/IMSネットワークにおいて使用されている認証方法は、静的な様式で決定されているのであって、実時間で取得可能ないずれの動的な情報にも基づいているものではない。
特に、EAP認証方法は、UEに支持されると仮定する認証方法に基づいて、特定な認証要求を発出する機能を有する。この仮定は、受信したEAPアイデンティティに基づく必要があり、認証サーバは、これによってEAPAKA要求、または、例えばEAPMD5と呼ばれる別の方法に進むことを選択することができるであろう。しかしながら、EAPは、利用するサービス、要求するパケットデータネットワーク(Packet Data Network、以後はPDNと記す)、利用可能なQoS等のユーザの状態データを考慮してはいない。一般的に言って、現在では、動的なデータは、ユーザに適用する認証方法に対して影響を与えるものではない。
しかし、進化しているネットワークのセキュリティに対しては、多くの数の動的なデータが影響を及ぼす可能性があり、これに対しては多くの理由が存在する。
例えば、ユーザがあるサービスに対して極めて長い時間の間アクセスしている場合には疑わしいと判断される場合がある。この状況では、事業者がサービスの利用ごとに最長時間閾値「T−max」を設定しておいて、ユーザがサービスに時間「T−usage」の間アクセスをしており、もし、T−usage>T−maxである場合には、もとのユーザは、例えば、Man−In−the−Middle(以後はMIMと記す)攻撃、端末ハイジャック等によって偽装(impersonate)されていると疑うことができる。現在では、事業者は、標準化された認証手順を再発行することができるだけであり、それが同じ元のユーザであるか偽装しているユーザであるかを判定できない。
また例えば、ユーザは多くのIP−CANセッションへのアクセスを試みている場合には疑わしいと判断される場合がある。この状況では、事業者がユーザによって確立されるIP−CANセッションの数の最大値、すなわち、割り当てるホームIPアドレスの数の最大値を決めておき、ユーザのアクセスがこの最大値に至る、またはこの最大値を超えて試みている場合には疑わしいと判定することができる。この状況では、事業者は、ユーザが盗聴、ユーザクレデンシャルの不正共有等の、いずれかの型の攻撃を実行しているか否かの検証はできないであろう。従って、1つの加入を介して複数のユーザがデータサービスにアクセスすることになる。
ネットワークセキュリティを危うくする疑いのある他の状況は、以下の場合の、単独または組み合わせによって生ずる可能性がある。これらは、ユーザが同一のIP−CANセッションの中で、あまりにも多くのサービスにアクセスしている場合、ユーザが自分の加入の部分としてユーザに許容される最大帯域幅を使用している場合、ユーザが許容される以上のベアラを開始しようとしている場合、または、ユーザが、3GPPアクセスおよびWorldwide Interoperability for Microwave Access(以後はWimaxと記す)等のアクセス技術の間を非常に高い頻度でローミングを行っている場合である。
この状況に対して現状では事業者は手段を有せず、エンドユーザによるこれらの行動がセキュリティに対する脅威であるか否か、またこれらの行動が実際に認可されて、セキュリティまたは収益に対する危険性なく続行することができるか否かを検証することができない。
3GPPTS23.228:「IP Multimedia Subsystem;Stage 2」
本発明の目的は、上記したいくつかの欠点を軽減し、そのための方法、デバイス、およびサーバを提供することである。これにより、ホームネットワークの加入者であるユーザは、現在アクセスしている第1のネットワークにおいては第1の認証方法によって以前に認証されているとして、さらに、第2のネットワークにおいてサービスにアクセスするために第2の認証方法によって認証を受けることができる。一般的に言って、本発明のさらなる目的は、新しい認証が必要であるか否かを検査することにより、アクセスを許可する前にセキュリティを強化することである。さらに、他の種類のセキュリティ強化も起動することができ、例えば、PCCアーキテクチャは、UEがサービスを使用する場合に、暗号化および/またはメッセージ完全性保護をスイッチオンする必要があるとの決定を下すことができる。
特に、前記第1および第2のネットワークは、実際は同一およびユニークなネットワークであってもよいし、異なるネットワークであってもよい。どちらの場合でも、特に、典型的な2Gネットワーク、3Gネットワーク、IMSネットワーク、IWLANネットワーク、またはWimaxネットワークの中から選定することができる。さらに一般的に言うならば、前記の同一または異なる第1のネットワークおよび第2のネットワークは、3GPPまたは非3GPP標準規格に従って動作するアクセスネットワークまたはサービスネットワークであってよい。
一方、ホームネットワークは、3GPP標準規格に従って動作しているネットワークでルことが望ましく、また、ユーザがアクセスしているアクセスネットワークとは独立なネットワークであることが望ましい。または、ユーザが加入していて、上記で特にまたは一般的に選定した上記の同一または異なる第1のネットワークおよび第2のネットワークと互換性のあるネットワークであるならば任意の種類のネットワークであってもよい。
従って、本発明の第1の視点に従えば、第2のネットワークにおいてサービスにアクセスするユーザを認証する方法が提供される。ここで、ユーザは、ホームネットワークの加入者であり、ユーザがアクセスする第1のネットワークにおいては以前に認証されていたとする。
本方法は以下のステップを備える。すなわち、ユーザに対するアクセス情報および加入情報に従って、ホームネットワークの認証サーバにおいて選定した第1の認証方法によって、第1のネットワークにおいてユーザを認証するステップと、ユーザが第2のネットワークにおけるサービスにアクセスする場合に、リソースの取り扱いに責任を持つルール施行デバイス(rules enforcement device)に向けてサービスに対するリソースをリザーブ(予約)するステップと、リソースに対する制御ルールを、ルール施行デバイスから、制御ルールのインストールに責任を持つ制御ルールサーバに向けて要求するステップと、ユーザに適用した第1の認証方法に関する情報を、制御ルールサーバに向けて送信するステップと、制御ルールサーバにおいて、第2の認証方法によってユーザのさらなる認証が必要であるか否かを判定するステップと、制御ルールサーバから認証サーバに向けて第2の認証方法によってさらなる認証を行うよう命令するステップとである。
この方法においては、第2の認証方法によるユーザのさらなる認証は、前記さらなる認証を実行することが、以前にユーザを認証したネットワークによって要求されるか、またはユーザが現在サービスにアクセスするネットワークによって要求されるかによって、第1のネットワークにおいて、または第2のネットワークにおいて、特に実行することができる。
制御ルールサーバにおいて第2の認証方法によってユーザのさらなる認証が必要であるか否かを判定するステップを有利に実行するために、このステップは、認証ポリシーを適用するステップを含むことができる。特に、前記認証ポリシーは、認証メカニズム、暗号の強さ、およびこれらの組み合わせの内から選定した要素を含むことができる。これらの認証メカニズム、暗号の強さ、およびこれらの組み合わせは、1つの実施形態では認証サーバから受信し、別の実施形態ではルール施行デバイスから受信する。また特に、そして必要であれば、これらの2つの実施形態に互換性のある実施形態では、前記認証ポリシーは、ルール施行デバイスから受信した、最近に認証を行った時刻、アクセスネットワーク、ローミング状態、要求されるPDN、およびこれらの組み合わせの内から選定した要素を含むことができる。さらに、前記認証ポリシーは、制御ルールサーバにおいて導出可能な、サービス識別子、利用可能なQoS、およびこれらの組み合わせの内から選定した要素を特に含むことができる。さらに、本方法はまた、制御ルールサーバにおいて制御ポリシーを構成するステップを備えることができる。そして、前記認証ポリシーは、アクセス情報、加入データ、サービスデータ、およびこれらの組み合わせの内から選定した要素によってさらに更新することができる。または、この要素と組み合わせて適用することができる。
本方法の1つの実施形態においては、ユーザに適用する第1の認証方法に関する情報を制御ルールサーバに向けて送信するステップは、この情報を、制御ルールサーバにおいて認証サーバから受信するステップを含むことができる。一方、別の実施形態においては、本方法は、ユーザに適用する第1の認証方法に関する情報を認証サーバからルール施行デバイスに向けて送信するステップをさらに含むことができる。この別の実施形態においては、ユーザに適用する第1の認証方法に関する情報を制御ルールサーバに向けて送信するステップは、この情報を、制御ルールサーバにおいてルール施行デバイスから受信するステップを含むことができる。さらに、この別の実施形態においては、第1の認証方法に関する情報をルール施行デバイスから受信するステップは、ルール施行デバイスから制御ルールサーバに向けて制御ルールを要求するステップと同時に実行することができる。
特に、上記の方法のいくつかのステップは、認証サーバがユーザに関する加入を保持するホーム加入者サーバ(HSS:Home Subscriber Server)である場合に有利に実行することができる。また特に、そして、IPフローの選択的制御に対してPCCアーキテクチャが提供される場合には、ルール施行デバイスがサービスデータフローの検出機能を提供するPCEFである場合、および、制御ルールサーバが制御機能を提供し対応する制御ルールをインストールするPCRFである場合に、上記の方法のいくつかのステップは有利に実行することができる。
本発明の第2の視点に従えば、制御機能を提供し対応する制御ルールをインストールすることに責任を持つ制御ルールサーバが提供される。制御ルールサーバは、リソースを取り扱うための制御ルールに対する要求を受信するための受信機と、リソースを取り扱うためにインストールするべき制御ルールを決定するための制御ユニットと、前記制御ルールをルール施行デバイスに向けてインストールするための送信機とを備える。
上記の方法のいくつかのステップを完遂するために、本制御ルールサーバは、受信機と制御ユニットと送信機とを備え、受信機は、ユーザに適用する第1の認証方法に関する情報を受信するよう構成され、制御ユニットは、第2の認証方法によってユーザのさらなる認証が必要であるか否かを判定するよう構成され、送信機は、ユーザの認証を行うために認証方法の選定に責任を持つ認証サーバに、第2の認証方法によってユーザのさらなる認証を行うように命令するよう構成される。
上記の方法に関連して対応した有利さとしては、本制御ルールサーバの制御ユニットは、認証ポリシーを適用して、第2の認証方法によってユーザのさらなる認証が必要であるか否かの判定を行うよう構成することができる点である。この目的のために、本制御ルールサーバの受信機は、認証メカニズム、暗号の強さ、およびこれらの組み合わせの内から選定した要素を受信するよう構成することができる。これらの認証メカニズム、暗号の強さ、およびこれらの組み合わせは、本発明の1つの実施形態では認証サーバから得られ、また本発明の別の実施形態ではルール施行デバイスから得られる。また、本制御ルールサーバの制御ユニットは、前記要素を含む認証ポリシーを双方の実施形態に適用するよう構成することができる。また、上記の方法の有利なステップに合わせて考えると、本制御ルールサーバの受信機は、ルール施行デバイスから得られる、最近に認証を行った時刻、アクセスネットワーク、ローミング状態、要求されるPDN、およびこれらの組み合わせの内から選定した要素を受信するよう構成することができる。そして、本制御ルールサーバの制御ユニットは、前記要素を含む認証ポリシーを適用するよう構成することができる。さらに、本制御ルールサーバの制御ユニットは、制御ルールサーバにおいて導出可能な、サービス識別子、利用可能なQoS、およびこれらの組み合わせの内から選定した要素を含む認証ポリシーを適用するよう構成することができる。さらに、本制御ルールサーバは、認証ポリシーを構成するための構成手段をさらに備えることができる。認証ポリシーは、アクセス情報、加入データ、サービスデータ、およびこれらの組み合わせの内から選定した要素によってさらに更新することができる。または、この要素と組み合わせて適用することができる。
上記方法の代替的実施形態に従えば、本制御ルールサーバの受信機は、ユーザに適用する第1の認証方法に関する情報を、1つの実施形態においては認証サーバから、別の実施形態においてはルール施行デバイスから受信するよう構成することができる。後者の実施形態を適用する場合には、本制御ルールサーバの受信機は、ユーザに適用する第1の認証方法に関する情報を、リソースを取り扱うための制御ルールに対する要求と共にルール施行デバイスから受信するようさらに構成することができる。
IPフローまたは他の機能の選択的制御のためにPCCアーキテクチャが特に提供される場合には、本制御ルールサーバはPCRFであってよい。
本発明の第3の視点に従えば、ユーザにサービスを提供するためのリソースに対する制御ルールの施行に責任を持つルール施行デバイスが提供され、ルール施行デバイスは、リソースを取り扱うための制御ルールに対する要求を送信するための送信機と、リソースに対してインストールされるべき制御ルールを受信するための受信機と、リソースに制御ルールを適用するための制御ユニットとを備える。
上記の方法のいくつかのステップを完遂するために、本ルール施行デバイスは受信機を備え、受信機はユーザを認証するために選定された認証方法に関する情報を受信するよう構成される。この情報は、ユーザが加入を保持するホームネットワークの認証サーバから送信されたものである。
本ルール施行デバイスにおいては、受信機で受信される認証方法に関する情報は、認証メカニズム、暗号の強さ、およびこれらの組み合わせの内から選定した要素を含むことができる。また本ルール施行デバイスの送信機は、前記情報を、制御機能を提供し制御ルールをインストールすることに責任を持つ制御ルールサーバに向けて送信するよう構成することができる。
特に、および上記の方法と制御ルールサーバに従えば、本ルール施行デバイスの制御ユニットは、第1の認証方法に関する情報とともに、アクセス情報とサービスデータとを同封するよう構成することができる。そして、本ルール施行デバイスの送信機は、前記情報とデータとを、制御ルールサーバに向けて送信するようさらに構成することができる。この点に関しては、送信機によって送信されるアクセス情報とサービスデータとは、最近に認証を行った時刻、アクセスネットワーク、ローミング状態、要求されるPDN、およびこれらの組み合わせの内から選定した要素を含むことができる
制御ルールサーバに関して上記で述べたように、IPフローまたは他の機能の選択的制御のためにPCCアーキテクチャが特に提供された場合には、本ルール施行デバイスはPCEFであってよい。さらに、本ルール施行デバイスは、GGSN(Gateway GPRS Support Node)または、PDN−GW(Packet Data Network Gateway)、または、ユーザがアクセスしているアクセスネットワークに対応した別のネットワークノードの中に組み込むことができる。
本発明の第4の視点に従えば、認証サーバが提供される。本認証サーバは、ユーザがアクセスしているネットワークにおけるホームネットワークのユーザを認証するための認証方法を選定し、認証データをユーザに提供する。本認証サーバは、一般に、ユーザの認証に対する要求を受信するための受信機と、ユーザに適用すべき第1の認証方法を選定するための制御ユニットと、ユーザに対して選定された認証方法に従って認証データを送信するための送信機とを備える。
上記の方法のいくつかのステップを完遂するために、本認証サーバは、送信機と受信機とを備える。送信機は、ユーザに適用する第1の認証方法に関する情報を送信するよう構成され、受信機は、制御機能の提供と制御ルールのインストールに対して責任を持つ制御ルールサーバから、第2の認証方法によってユーザのさらなる認証を行うよう命令を受信するよう構成される。
さらに、本認証サーバの送信機は、ユーザに対して選定された第2の認証方法に従って認証データを送信することにより、ユーザのさらなる認証を起動するようさらに構成することができる。
特に、本認証サーバの送信機は、ユーザに適用する第1の認証方法に関する情報を送信するよう構成することができる。本発明の1つの実施形態に従った場合には、サービスを提供するリソースに対する制御ルールを施行するためのルール施行デバイスに向けて送信し、本発明の別の実施形態に従った場合には、制御ルールサーバに向けて送信する。さらに具体的には、本認証サーバの送信機によって送信される第1の認証方法に関する情報は、これらの実施形態のいずれの場合も、認証メカニズム、暗号の強さ、およびこれらの組み合わせの中から選定した要素を含むことができる。
上記の方法の対応する利点に合わせて考えると、本認証サーバは、ホームネットワークの加入者に対する加入データを保持するHSSであってよい。
本発明は、1つ以上のコンピュータプログラムによって実行することができる。このコンピュータプログラムは、複数のコンピュータの内部メモリの中に搭載することができ、それぞれのコンピュータは入力ユニットと出力ユニットと同時に、処理ユニットを備える。コンピュータプログラムは、コンピュータの中で動作させるときに、上記の方法に従った方法のステップを実行するよう適合された、実行可能なコードを備える。1つ以上のコンピュータプログラムの実行可能なコードは、コンピュータの中の読み出し可能なキャリア(担体)の中に記録することができる。
本発明の特徴、目的、および利点は、添付の図面とともに本明細書の記述を読むことにより明確になるであろう。
ユーザがGPRSアクセスネットワークを通してIMSにアクセスしている場合に使用可能なPCCアーキテクチャの典型的なシナリオを示す図である。 ユーザがSAEアクセスネットワークを通してIMSにアクセスしている場合に使用可能なPCCアーキテクチャの典型的な別のシナリオを示す図である。 ユーザがアクセスしているGPRSアクセスネットワークにおいて、ユーザが最初に認証を受ける場合に実行するべき行動のシーケンスの典型的な実施形態を示す図である。 ユーザが図2に示すように既にアクセスしていて、ユーザが現在サービスにアクセスしつつあるGPRSアクセスネットワークにおいて、ユーザがさらに認証を受ける場合に実行するべき行動のシーケンスの典型的な実施形態を示す図である。 ユーザは、図2に典型的に示す別のアクセスネットワークにおいて、またはユーザが登録しているIMSネットワークにおいて、またはその両方において、以前に認証されており、その後に、現在サービスにアクセスしつつあるIMSネットワークにおいて、ユーザがさらに認証を受ける場合に実行するべき行動のシーケンスの典型的な実施形態を示す図である。 ユーザは、図2に典型的に示す別のアクセスネットワークにおいて、または図3に典型的に示すIMSネットワークにおいて、またはその両方において、以前に認証されており、その後に、現在サービスにアクセスしつつあるGPRSアクセスネットワークにおいて、ユーザがさらに認証を受ける場合に実行するべき行動のシーケンスの典型的な実施形態を示す図である。 本発明の実施形態に従って制御ルールサーバとして動作するPCRFサーバに含まれる構成要素、および他のアーキテクチャノードへの接続を示す図である。 本発明の実施形態に従ってルール施行デバイスとして動作するPCEFデバイスに含まれる構成要素、および他のアーキテクチャノードへの接続を示す図である。 本発明の実施形態に従って認証サーバとして動作するHSSに含まれる構成要素、および他のアーキテクチャノードへの接続を示す図である。
以下では、第2のネットワークにおいてサービスにアクセスしているユーザを認証する方法に対するいくつかの好適な実施形態を記述する。ここで、ユーザはホームネットワークの加入者であり、以前にアクセスしていた第1のネットワークにおいて以前に認証されていた。以下ではまた、本方法を実行するためのデバイスおよびサーバについても記述する。
図1aおよび図1bは、それぞれ、ユーザがGPRSアクセスネットワークを通してIMSにアクセスしている場合と、SAEアクセスネットワークを通してIMSにアクセスしている場合に使用することができる、PCCアーキテクチャの典型的なシナリオを示す。本明細書において、多くの実施形態は図1aにおけるシナリオとそこに示された参照番号に従って典型的に記述されている。これらの実施形態はまた、図1bにおけるシナリオおよびそこに示された参照番号にも均等的に適用される。さらに、機能的に均等なネットワークノードを有する他のシナリオにも適用される。
例えば、特に断らない限り、図1aのシナリオに適用される所定の実施形態における第1のユーザ装置4a(以後はUE−1と記す)に対する今後の記述に関しては、すべて、図1bのシナリオに適用される均等な実施形態における第2のユーザ装置4b(以後はUE−2と記す)に対しても同じ記述が当てはまる。同様に、特に断らない限り、図1aのシナリオに適用される所定の実施形態における第1のProxy Call Session Control Function5a(以後はP−CSCF−1と記す)に対する今後の記述に関しては、すべて、図1bのシナリオに適用される均等な実施形態における第2のProxy Call Session Control Function5b(以後はP−CSCF−2と記す)に対しても同じ記述が当てはまる。
一方、本発明の上記の第2の視点に従えば、制御機能を提供し制御ルールをインストールすることに責任を持つ制御ルールサーバは、PCCアーキテクチャのPCRFとして典型的に実施することができる。従って、特に断らない限り、図1aのシナリオに適用される所定の実施形態における第1のPCRF1a(以後はPCRF−1と記す)に対する今後の記述に関しては、すべて、図1bのシナリオに適用される均等な実施形態における第2のPCRF1b(以後はPCRF−2と記す)に対しても同じ記述が当てはまる。
この制御ルールサーバは、典型的にはPCRF−1 1aおよびPCRF−2 1bであり、リソースを取り扱うための制御ルールに対する要求を受信するための受信機12と、そのリソースを取り扱うためにインストールするべき制御ルールを決定するための制御ユニット10と、前記制御ルールをルール施行デバイスに向けてインストールするための送信機11とを備える。
同様に、本発明の上記の第3の視点に従えば、ユーザに対するサービスを提供するリソースに対する制御ルールを施行することに責任を持つルール施行デバイスは、PCCアーキテクチャのPCEFとして典型的に実施することができる。またこの点に関して、特に断らない限り、図1aのシナリオに適用する所定の実施形態における第1のPCEF2a(以後はPCEF−1と記す)に対する今後の記述に関しては、すべて、図1bのシナリオに適用する均等な実施形態における第2のPCEF2b(以後はPCEF−2と記す)に対しても同じ記述が当てはまる。
このルール施行デバイスは、典型的にはPCEF−1 2aおよびPCEF−2 2bであり、リソースを取り扱うための制御ルールに対する要求を送信するための送信機21と、そのリソースに対してインストールするべき制御ルールを受信するための受信機22と、この制御ルールをリソースに適用するための制御ユニット20とを備える。
本発明の第4の視点に従った認証サーバは、ユーザがアクセスするネットワークにおけるホームネットワークのユーザを認証するための認証方法を選定し、ユーザに認証データを提供することに責任を持つ。このような認証サーバは、図1aまたは図1bには示されていないが、ホームネットワークの加入者に対する加入データを保持するHSSとして典型的に実施することができる。この点に関して、特に断らない限り、図1aのシナリオに適用する所定の実施形態におけるHSS6に対する今後の記述に関しては、すべて、図1bのシナリオに適用する均等な実施形態における同じHSS6に対しても同じ記述が当てはまる。
本認証サーバは、典型的にはHSS6であり、ユーザの認証に対する要求を受信するための受信機62と、ユーザに対するアクセス情報と加入情報とに従ってユーザに適用すべき第1の認証方法を選定するための制御ユニット60と、ユーザに対して選定された認証方法に従って認証データを送信するための送信機61とを備える。
図2は1つの実施形態を示し、ここでは、ユーザ、すなわちUE−1は、GPRSアクセスネットワークを通してアクセスしており、そこで最初に認証される。行動のシーケンス(系列)は、ステップS−010で開始され、ここでは、UE−1 4aは、従来のGPRS登録手順に従って、登録に対する要求をServing GPRS Support Node(以後はSGSNと記す)8aに向けて送信する。SGSNは、この要求を受信すると、ステップS−015において、ホームネットワークのそれぞれのユーザの認証を行うための認証方法を選定することに対して責任を持つHSSに認証情報を要求する。その後、HSSは、ステップS−020において、ユーザ4aに対して適用可能な認証方法を選定する。そして、ステップS−030において、対応する認証情報を含めてSGSN8aに向けて応答を返送する。
選定した認証方法に関しては、HSSはステップS−025において、選定した認証方法をPCRF−1 1aまたはPCEF−1 2aにむけて通知することができる。PCRF−11aに対しては、この図2に示した本発明の第1の実施形態に従って、SGSNに向けて認証情報を返送する以前に、または返送と同時に、または返送した後に、選定した認証方法をPCRF−1 1aに向けて通知することができる。またPCEF−1 2aに対しては、本発明の第2の実施形態に従って、直接的にまたは他のネットワークノードを通して間接的にPCEF−1 2aに向けて通知することができる。本発明の第2の実施形態の場合は、いずれの図面にも示されていない。
この目的のために、HSS6の送信機61は、ユーザに適用する第1の認証方法に関する情報を送信するよう構成され、PCRF−1 1a、またはPCEF−1 2a、または両方に、この情報を送信するよう構成することができる。さらに、送信機61は、認証メカニズム、暗号の強さ、およびこれらの組み合わせの内から選定した要素を、この情報を含めて送信するよう構成することができる。この特徴に合わせて考えると、PCRF−1の受信機12、PCEF−1の受信機22、またはこれらの両方は、ユーザを認証するために選定された認証方法に関する情報を受信するよう構成することができる。
SGSN8aにおいて受信するこの応答は、ユーザの認証を実行するために必要な認証データを含むことができる。特に、応答は、ステップS−035においてUE−1 4aに向けて送信されるべき認証チャレンジを典型的に含むことができる。このチャレンジを受信するUE−1はS−040において、対応する認証応答を処理して、前記認証応答をSGSN向けて返送する。その後、SGSNは、ステップS−045において認証検査を実行し、UE−1によって送信された認証応答が、SGSNにおいて取り扱う、予想される応答に整合しているか否かを検証する。整合している場合には、認証が成功裏に行われたと判断され、従って従来の手順に従って関連するエンティティに対して通知される。
認証が成功した後には、UE−1は、ステップS−050において、SGSN8aに向けたIP−CANセッションを確立することができる。これは、GPRSアクセスネットワークの場合には「PDPコンテキスト」と呼ばれるコンテキストの生成に対応している。IP−CANセッションのこの確立は、SGSNからPCEF−1 2aに向けて転送される。PCEF−1 2aは、図1aの実施形態の構成では、GPRSアクセスネットワークのGGSN7aの中に含まれている。選定された認証方法を通知する実施形態で、上記の第1の実施形態か第2の実施形態であるかに拘わらず、SGSNは、PCEF−1に向けた認証手順に関するさらなる情報を含むことができる。これらの情報は、最近に認証を行った時刻、アクセスネットワーク、ローミング状態、要求されるPDN、およびこれらの組み合わせ等である。さらに、上記の第2の実施形態に続いて、選定された認証方法をHSSからSGSNに向けて通知する場合には、SGSNは、UE−1 4aの認証を実行する認証手順に関して、認証メカニズム、暗号の強さ、およびこれらの組み合わせの内から選定した情報要素を含めることができる。
この目的のために、PCEF−1の受信機22は、最近に認証を行った時刻、アクセスネットワーク、ローミング状態、要求されるPDN、およびこれらの組み合わせの内から選定した情報要素を受信するよう構成することができる。また、PCEF−1の受信機22は、認証メカニズム、暗号の強さ、およびこれらの組み合わせの内から選定した情報要素を受信するよう構成することができる。
PCEF−1 2aは、IP−CANセッションを確立する要求を受信すると、ステップS−060において制御ルールに対する要求をPCRF−1 1aにむけて送信する。ここで、PCRF−1 1aは、図1aに示す構成の実施形態においては制御ルールの提供とインストールに責任を持つ。PCRF−1 1aにむけての制御ルールに対するこの要求は、特に、最近に認証を行った時刻、アクセスネットワーク、ローミング状態、要求されるPDN、およびこれらの組み合わせ等の、認証手順に関するさらなる情報を含むことができる。
この目的のために、PCEF−1の送信機21は、第1の認証方法、アクセス情報、およびサービスデータに関する情報をPCRF−1 1aにむけて送信するよう構成することができ、前記アクセス情報およびサービスデータは、最近に認証を行った時刻、アクセスネットワーク、ローミング状態、要求されるPDN、およびこれらの組み合わせの内から選定した要素を含む。また、PCRF−1の受信機12は、PCEF−1 2aから得られる、最近に認証を行った時刻、アクセスネットワーク、ローミング状態、要求されるPDN、およびこれらの組み合わせの内から選定した前記要素を受信するよう構成することができる。
また特に、そして、上記の第2の実施形態に引き続いて、選定された認証方法を直接的にまたは他のネットワークノードを通して間接的にHSSからSGSNに向けて通知する場合に、PCEF−1 2aからPCRF−1 1aに向けての制御ルールに対する要求は、UE−1 4aの認証を実行する認証手順に関して、認証メカニズム、暗号の強さ、およびこれらの組み合わせの内から選定した情報要素を含むことができる。しかしながら、上記の第1の実施形態に引き続いて、選定された認証方法をHSS6から直接にPCRF−1 1aに通知する場合には、UE−1 4aの認証を実行する認証手順に関して、認証メカニズム、暗号の強さ、およびこれらの組み合わせの内から選定したこれらの情報要素は、前記さらなる情報の有無に拘わらず、PCEF−1 2aから制御ルールに対する要求を受信したときに既に、PCRF−1 1aにおいて利用可能となっている。
この目的のために、PCEF−1 2aの送信機21とHSS6の送信機61とは、認証メカニズム、暗号の強さ、およびこれらの組み合わせの内から選定した情報要素をPCRF−1 1aに向けて送信するよう構成することができる。また、PCRF−1 1aの受信機12は、HSS6から、またはPCEF−1 2aから、またはそれら両方から前記情報要素を受信するよう構成することができる。
認証ポリシーを使用することによりPCRF−1 1aを有利に構成することができ、これにより、いずれの時にも、特にユーザがサービスにアクセスするときに、または第2のネットワークを通してこれを行うときに、第2の認証方法によってユーザの更なる認証が必要であるか否かの判定を行うことができる。これらの認証ポリシーは、HSS6からまたはPCEF−1 2aから受信した、認証メカニズム、暗号の強さ、およびこれらの組み合わせの内から選定した要素と、PCEF−1 2aから受信した、最近に認証を行った時刻、アクセスネットワーク、ローミング状態、要求されるPDN、およびこれらの組み合わせの内から選定した要素と、PCRF−1 1aにおいて導出可能な、サービス識別子、利用可能なQoS、およびこれらの組み合わせの内から選定した要素とを含むことができる。
この目的のために、PCRF−1 1aの制御ユニット10は、さらなる認証方法によってユーザのさらなる認証が必要であるか否かを判定するよう構成される。また特に、本制御ユニット10は、上記の要素を含めて認証ポリシーを適用し、さらなる認証方法によってユーザのさらなる認証が必要であるか否かの判定を行うよう構成することができる。さらに、PCRF−1 1aは、認証ポリシーを構成するための構成手段13をさらに備えることができる。この認証ポリシーは、上記で参照した、アクセス情報、加入データ、サービスデータ、およびこれらの組み合わせの内から選定した要素によって、さらに更新することができる。または、この要素とともに適用することができる。特に、この構成手段13は、認証ポリシーを記憶するよう構成された内部データベース131とメモリハンドラ130とを含むことができる。メモリハンドラ130は、加入データおよび可能性として他の設定可能なデータを取得できる外部データベース132が提供されている場合には、その外部データベース132にアクセスするためのものである。
従って、PCRF−1 1aにおいて制御ルールに対する要求を受信すると、または、認証ポリシーの中に含まれるこれらの要素が利用可能になった時にはいつでも、PCRF−1は、適切な現在の値を使用して認証ポリシーを更新し、ステップS−065において実行する認証ポリシー手順の中にそれらを適用することができる。
図2に示された行動のこの典型的なシーケンスにおいては、このステップS−065において認証ポリシーを適用している結果、ユーザ4aのさらなる認証は決定されない。そして、PCRF−1 1aは、ステップS−070において、インストールするべき制御ルールをPCEF−1 2aに向けて送信する。PCEF−1は、受信した制御ルールがIP−CANセッションのためにインストールされると、ステップS−075において、IP−CANセッションの確立が成功したという応答をSGSN8aに向けて返送する。そしてSGSN8aは、ステップS−080において、この成功したという応答をUE−1 4aに向けて転送する。
ユーザは、後の段階で、同一のアクセスネットワークを通して、ある特定なサービスに対する要求を決めることができる。このアクセスネットワークは、この型的な実施形態においては、図1aに示されたシナリオにおけるGPRSネットワークである。要求するこの特定なサービスには、アクセスネットワークから、追加のまたは代替のリソースがPCEF−1 2aに通知されてPCEF−1 2aにリザーブされる必要がある場合がある。この場合、また上記した概念を明確にするために、ユーザが最初に認証された第1のアクセスネットワークと、ユーザがサービスにアクセスする第2のアクセスネットワークとは同一であるとする。
この目的のために、図3に示すように、また従来のGPRS手順に従って、UE−1は、ステップS−090において、GPRSアクセスネットワークの中でユーザにサービスを提供しているSGSN8aに向けて、以前に確立したIP−CANセッションの更新を送信する。これはすなわち、「PDPコンテキスト」と呼ばれるコンテキストの更新である。
この更新は、ステップS−095において、SGSNからPCEF−1 2aに向けて転送される。PCEF−1 2aは、更新を受信すると、ステップS−100において、要求されるリソースに対する新しいまたは更新した制御ルールに対する要求をPCRF−1 1aに向けて転送する。
IP−CANセッションの確立のときと同様な様式によって、PCEF−1は、最近に認証を行った時刻、アクセスネットワーク、ローミング状態、要求されるPDN、およびこれらの組み合わせ等の認証手順に関する追加の情報を、新しいまたは更新した制御ルールに対するこの要求に含めて、または分離して送信することができる。さらに具体的には、PCEF−1は、以前に送信しなかった要素、または、要求した特定のサービスに従って変更した要素だけを含むことができる。
そして、PCRF−1 1aは、適切な現在の値を使用して認証ポリシーを更新し、図3に示すステップS−105において実行される認証ポリシー手順にそれらを適用することができる。この特定な場合には、PCRF−1は、認証ポリシーを適用した結果、第2の認証方法によってUE−1 4aのさらなる認証が必要であると判定することができる。第2の認証方法は、恐らくは、より高い暗号の強さを持つであろう。この目的のために、PCRF−1は、ステップS−110において、PCRF−1において決定された第2の認証方法によってUE−1のさらなる認証を起動する要求をHSS6に向けて送信する。あるいは、PCRF−1は、単に、要求された暗号の強さを指示するだけでよく、HSS6は、中に含まれる認証データの助けを借りて、要求された暗号の強さを持つ、UE−1 4aのさらなる認証に対する適切な第2の認証方法を選定することができる。
この目的のために、PCRF−1 1aの制御ユニット10は、さらなる認証方法によってユーザのさらなる認証が必要であるか否かの判定を行うよう構成される。PCRF−1の送信機11は、さらなる認証方法によってユーザのさらなる認証を行うことをHSS6に命令するよう構成される。そして、HSS6の受信機62は、さらなる認証方法によってUE−1 4aのさらなる認証を行う命令をPCRF−1 1aから受信するよう構成される。
その後、HSSは、ステップS−115において、PCRF−1によって選定された、または、PCRF−1から受信した暗号の強さの指示を考慮に入れてHSSによって選定された、第2の認証方法によってネットワークが開始するUE−1のさらなる認証をSGSN8aに対して起動する。特に、第2の認証方法は第1の認証方法と同じであってもよい。このようなネットワークが開始する認証は、ステップS−120において、UE−1 4aとSGSN8aとの間で実行され、その中で、SGSN8aは認証チャレンジをUE−1 4aに提供することができ、その結果UE−1 4aから提供される応答を検証することができる。
この目的のために、HSS6の送信機61は、ユーザに対して選定されたさらなる認証方法に従って認証データを送信することにより、ユーザのさらなる認証を起動するよう構成することができる。
ユーザの認証が成功すると、SGSN8aは、ステップS−125において、対応する応答をHSS6に向けて送信する。HSS6は、適宜な折に、ステップ130において、UE−1が最後に認証された認証方法を通知する通知をPCRF−1 1aに向けて送信する。
この点に関して言えば、第1の認証方法による、UE−1の以前の認証においては、HSS6またはPCEF−1 2aのいずれかが、この目的のために上記で説明した第1または第2の実施形態に従ってこの通知を送信できたであろうが、選定された認証方法をHSS6からPCRF−1に通知するためには、この最近の認証に対して示した実施形態がより有効であると考えられる。これは、通知は認証が成功裏に実行された後に行われ、また、この目的のためにPCEF−1 2aが関与していないからである。それでも、PCEF−1 2aが最初に通知を受けて、PCEF−1 2aがこの通知をPCRF−11aに向けて転送する、以前の実施形態と均等的実施形態を提供することができる。
この通知を受信するPCRF−1は、UE−1を認証するために実行された最近の認証方法を確認し、必要に応じて認証ポリシーを更新する。そして、ステップS−135において、新しいまたは更新した制御ルールをインストールするために、それらをPCEF−1 2aに向けて送信する。
PCEF−1は、受信した、新しいまたは更新された制御ルールが、要求したサービスに必要なリソースに対してインストールされると、ステップS−140において、成功したという応答をSGSN8aに向けて返送する。そして、SGSN8aはステップS−145において、この成功したという応答をUE−1 4aに向けて転送する。
さらなるシナリオでは、ユーザ、すなわち上記で挙げたUE−1またはUE−2が、IMSネットワークの中でサービスを受けるために登録を行う場合を考えることができる。特に、図4に示されるIMSネットワークの中でのこの登録は、図3に示される行動のシーケンスが完了した後に実行することができる。または、図2に示される行動のシーケンスが実行されて完了した直後に実行することもできる。またこれは、図3に示される元のGPRSアクセスネットワークを通してサービスを要求するためにIP−CANセッションを更新せずに実行することもできる。
図4に示す典型的な実施形態は、UE−1 4aが、ステップS−150にいて、IMSネットワークへの入り口のノードであるP−CSCF−1 5aに向けて登録を送信することで開始される。このP−CSCF−1 5aは、従来のIMS手順に従ってUE−1にサービスを提供するために、ステップS−155において、この登録を第1のInterrogating Call Session Control Function(以後はI−CSCF−1と記す)51aに向けて転送する。I−CSCF−1 51aは、第1のServing Call Session Control Function(以後はS−CSCF−1と記す)52aの割り当てに責任を持つ。登録要求を受信したI−CSCF−1 51aは、ステップS−160において、登録クエリー(query)をHSS6に向けて送信し、HSS6は、ステップS−165において、選定可能なS−CSCFに要求される能力(ケイパビリティ)、あるいは、以前に割り当てられたS−CSCFがある場合にはその識別子を返送する。
そして、I−CSCF−1 51aは、HSS6から受信した情報に従ってS−CSCF−1 52aを選定し、ステップS−170において、登録要求をこの選定したS−CSCF−1 52aに向けて送信する。S−CSCF−1は、ステップS−175において、UE−1にサービスを行うよう割り当てられたことをHSSに対して確認を行う。これはユーザデータを提供するようインプリシットな要求であると考えることができる。HSS6は、この確認を受信すると、ステップS−180において、ユーザに適用すべき認証方法を選定し、ステップS−185において、ユーザにサービスを提供するために必要な全ての関連するデータを備えるユーザプロファイルとIMSネットワークにおいてユーザを認証するための認証データとを返送する。
この段階では、UE−1のさらなる認証のために選定される認証方法をPCRF−1 1aに向けて通知するには種々の異なる代替が生ずる。一方では、図4に示す本発明の第1の実施形態に従えば、選定した認証方法をS−190においてPCRF−1 1aに向けてHSSが通知するのは、ステップS−185において認証情報をS−CSCF−1に向けて返送する以前に実行することもできるし、返送する時に、または返送した後に実行することもできる。または、いずれの図面にも示されていない本発明の第2の実施形態に従えば、直接的にまたは他のネットワークを通して間接的に、PCEF−1 2aに向けて通知することもできる。
PCRF−1 1aの制御ユニット10は、アプリケーションネットワークと同様に、アクセスネットワークにおいてもそこで実行された最近の認証方法の履歴を追尾することができるように、履歴表を認証ポリシーに含めて保持するよう構成することができる。アプリケーションネットワークの例としては、本発明の目的からしてIMSも当てはまると考えることができる。
この特定な実施形態においては、HSSは、異なる理由によって、シングルサインオン(Single Sign−On、以後はSSOと記す)認証と呼ばれる認証を選定することができる。SSOでは、ユーザのさらなる認証は必要ではない。これは、例えば、HSSが、ユーザが最近に認証されたアクセスネットワークが同一の事業者に属していることを知っている場合に生ずる。従って、S−CSCF−1 52aは、認証データとして含まれる対応するSSO指示を受信すると、ステップS−200において、UE−1がアクセスしていたP−CSCF−1 5aに向けて正(ポジティブ)の登録応答を送信する。そして、P−CSCF−1 5aは、ステップS−205において、この正の登録応答をUE−1 4aに向けて転送する。
その後に、UE−1 4aは、ステップS−210において、P−CSCF−1 5aに向けてインビテーション(招待)を送信することにより、特定のIMSサービスを要求することができる。P−CSCF−1は、ステップS−215において、現在UE−1にサービスを提供しているS−CSCF−1 52aに向けて、このインビテーションを転送する。
それとは別に、P−CSCF−1 5aは、サービスに対して要求され、P−CSCF−1を通してUE−1によってネゴシエートされたメディアを知ると、ステップS−220において、サービスに対して要求されるメディアの記述をPCRF−11aに向けて送信することができる。PCRF−1は、この段階で、適切な現在の値を使用して認証ポリシーを更新することができる。そして、ステップS−225において実行される認証ポリシー手順の中にそれらを適用することができる。または、PCRF−1はそれらを更新するだけで、更新した認証ポリシーを適用する前に、このメディアの記述に対応する新しい制御ルールに対する要求の受信を待つこともできる。一方、PCRF−1は、P−CSCF−1に応答を返送し、いずれの図面にも示されていないが、現在の手順に従って、他の対応するタスク(仕事)を実行することができる。
その後、続いて(この図面には示されていない)、このメディアの記述に対応する新しい制御ルールに対する要求は、以前に図2または図3に示した実施形態に関するP−CRF−1において受信することができる。そして、更新した認証ポリシーの適用が上記のステップS−225における認証ポリシー手順の中で完了しなかった場合には、ここで実行することができる。
最近に更新した認証ポリシーを適用した後に認証ポリシー手順を実行した結果として、PCRF−1 1aは、第2の認証方法によってUE−1のさらなる認証が必要であると判定することができる。この目的のために、PCRF−1は、ステップS−230において、PCRF−1において決定したこの第2の認証方法によってUE−1のさらなる認証を起動する要求をHSS6に向けて送信する。あるいは、上記で説明した以前の実施形態に関しては、PCRF−1は、要求される暗号の強さだけを単に指示することができ、これにより、HSS6は、中に含まれる認証データの助けを借りて、UE−1 4aのさらなる認証を行うために、要求された暗号の強さを持つ適切な第2の認証方法を選定することができる。
そして、HSS6は、ステップS−235において、UE−1のさらなる認証をS−CSCF−1 52aに対して起動する。これはPCRF−1が選定した第2の認証方法によりネットワークによって開始される。または、上記で説明した以前の実施形態では、認証の開始は、PCRF−1から受信した暗号の強さの指示を考慮に入れてHSSによって行われる。このようなネットワークによって開始される、S−CSCF−1 52aとUE−1 4aとの間の認証は、従来の技術に従って実行され従ってこれ以上の記述は行わない。
さらに別のシナリオでは、ユーザ、すなわち上記で挙げたUE−1またはUE−2は、IMSネットワークの中のサービスを受けるためにIMSネットワークによる認証を行った後に、以前のアクセスネットワークを通してではあるが、新しくIP−CANセッションの確立を行って、サービスにアクセスするという場合を考えることができる。特別な実施形態として、以前のアクセスネットワークを通してではあるが、新しくIP−CANセッションの確立を行うという、このアクセスを図5に示す。そして、このアクセスは、図4に示す行動のシーケンスが一度完了してから実行することができる。
従って、図5に示す行動のシーケンスは、ステップS−240において、UE−14aがSGSN8aに対して新しいIP−CANセッションを確立することから開始される。これは、以前のGPRSアクセスネットワークの場合には、第2の「PDPコンテキスト」と呼ばれるコンテキストの生成に対応している。このIP−CANセッションの確立は、ステップS−245において、SGSNからPCEF−1 2aにむけて転送される。PCEF−12aは、図1aの実施形態の構成ではGPRSアクセスネットワークのGGSN7aに含まれる。
PCEF−1 2aは、第2のPDPコンテキストの確立に対する要求を受信すると、ステップS−250において、前記第2のPDPコンテキストに対する制御ルールをPCRF−1 1aに要求する。この場合にはまた、以前の実施形態に関しては、PCRF−1は、制御ルールを受信する以前に、または受信する時に、または受信した後に、PCEF−1 2aから得られる、もし現在わかっていれば最近に認証を行った時刻、アクセスネットワーク、ローミング状態、要求されるPDN、およびこれらの組み合わせの内から選定した要素を受信することができる。その後に、PCRF−1 1aにおいて制御ルールに対する要求が受信されると、または、認証ポリシーの中に含まれるこれらの要素が利用可能になった時にはいつでも、PCRF−1は、適切な現在の値を使用して認証ポリシーを更新し、それらを認証ポリシー手順の中に適用することができる。これはすステップS−255において実行される。
この特別な場合には、PCRF−1は、認証ポリシーを適用した結果として、さらなる認証方法によってUE−1 4aのさらなる認証が必要であると判定することができる。このさらなる認証方法は、恐らくは、より高い暗号の強さを持つものである。これは、最近行われた認証がいわゆるSSO認証であり、SSO認証の暗号の強さはより低いと仮定することができるからである。この目的のために、PCRF−1は、ステップS−260において、PCRF−1において決定されたさらなる認証方法によってUE−1のさらなる認証を起動する要求をHSS6に向けて送信する。
以前の実施形態に関しては、PCRF−1は、代替として、要求される暗号の強さを指示することができ、それによりHSS6は、中に含まれる認証データの助けを借りて、要求された暗号の強さを持つ、UE−1 4aのさらなる認証を行うための適切なさらなる認証方法を選定することができる。
そして、HSSは、ステップS−265において、UE−1のさらなる認証をSGSN8aに対して起動する。これはPCRF−1またはHSSが選定した認証方法によりネットワークによって開始される。このようなネットワークによって開始される認証は、ステップS−270において、UE−1 4aとSGSN8aとの間で行われ、SGSN8aは認証チャレンジをUE−1 4aに提供することができ、その結果UE−1 4aから提供される応答を検証することができる。
ユーザの認証が成功すると、SGSN8aは、ステップS−275において、対応する応答をHSS6に向けて送信する。そして、HSS6は、ステップS280において、UE−1が最後に認証された認証方法を通知する通知をPCRF−1 1aに向けて送信することができる。上記で既に説明したように、HSS6またはPCEF−1 2aは、この目的のために提供された実施形態に従って、この通知を送信できたであろう。しかし、HSS6からPCRF−1に向けての通知は、いくつかの実施形態においてはより有効であると考えられる。
この通知を受信するPCRF−1は、UE−1を認証するために実行された最近の認証方法を確認し、必要に応じて、認証ポリシーを更新する。そして、ステップS−285において、新しい制御ルールをインストールするために、それらをPCEF−1 2aに向けて送信する。
特に、新しい制御ルールは、ステップS−250において制御ルールに対する要求を受信した後には、いつでもPCEF−1 2aにインストールすることができる。これは、この実施形態およびいくつかの以前の実施形態に当てはまるものである。しかしながら、さらなる認証に失敗がある場合には、ルールをアンインストールしてサービスリソースを解放しなければならないであろう。
PCEF−1は、受信した新しい制御ルールが、要求するサービスに必要なリソースに対してインストールされると、ステップS−290において、成功したという応答をSGSN8aに向けて返送する。そして、SGSN8aは、ステップS−295において、この成功したという応答をUE−1 4aに向けて転送する。
本発明は、3GPPネットワークに従って動作するホームネットワークのユーザを認証するための認証方法を選定する場合に特に適用することができる。また、3GPPネットワークに従って動作するネットワークを通してサービスにアクセするユーザ、または3GPPネットワーク以外の標準規格に従って動作するネットワークを通してサービスにアクセするユーザを認証するための認証方法を選定する場合にも適用される。しかしながら、上記の実施形態を見ると、他の組み合わせに対しても可能である。
実施形態の実行に関しては、本発明は、入力ユニットと出力ユニットおよび処理ユニットを含むコンピュータの内部メモリに搭載可能なコンピュータプログラムによって実現することができる。このコンピュータプログラムは、コンピュータの中で動作させるときに、上記の実施形態で記述した行動のシーケンスを実行するよう適合された実行可能なコード(符号)部分を備える。特に、コンピュータプログラムは、CD−ROM、DVD等の、コンピュータ読み取り可能な媒体のキャリアの中に記録することができる。
本発明は、いくつかの実施形態に関連して、例示であり、かつ限定的でない様式で上記に記述した。明らかに、上記の教示を見れば、これらの実施形態の変形、および組み合わせが可能であり、本クレームの範囲の中に入る実施形態のいずれの変更も本発明の中に含まれると意図される。

Claims (26)

  1. ユーザがホームネットワークの加入者であり、前記ユーザがアクセスする第1のネットワークにおいて以前に認証されている中で、第2のネットワークにおいてサービスにアクセスするユーザを認証する方法であって、
    前記ユーザに対するアクセス情報と加入情報とに従って前記ホームネットワークの認証サーバ(6)において選定(S−020)した第1の認証方法によって、前記ユーザがアクセスする第1のネットワークにおけるユーザ(4a)を認証するステップ(S−045)と、
    前記ユーザは第2のネットワークにおいてサービスにアクセスし、サービスデータフローの検出機能を提供し、ベアラプレーンのトラフィックに対するポリシー及び課金、並びに、リソースの取り扱いを担うPolicy and Charging Enforcement Functionデバイス(2a)(以降、PCEFデバイス)に、前記サービスに対するリソースをリザーブ(予約)するステップ(S−095)と、
    前記リソースに対する制御ルールを、前記PCEFデバイス(2a)から、制御機能を提供すると共に前記PCEFデバイスにて制御ルールをインストールすることに責任を持つPolicy and Charging Rule Function)サーバ(1a)(以降、PCRFサーバ)に要求するステップ(S−100)と、
    前記ユーザに適用された前記第1の認証方法に関する情報を、前記PCRFサーバ(1a)に向けて送信するステップ(S−025)と、
    前記PCRFサーバ(1a)において、認証ポリシーを適用することで、第2の認証方法によって前記ユーザのさらなる認証が必要である判定するステップ(S−105)と、
    前記第2の認証方法によって前記ユーザ(4a)の前記さらなる認証を行うよう、前記PCRFサーバ(1a)から前記認証サーバ(6)に命令をするステップ(S−110)とを有し、
    前記第2の認証方法による前記ユーザ(4a)の前記さらなる認証の通知を受けることで、前記PCRFサーバは前記PCEFデバイスに向けて制御ルールをインストールすることを特徴とする方法。
  2. 前記ホームネットワークは、第3世代パートナーシップ・プロジェクト「3GPP」(3rd Generation Partnership Project)ネットワークに従って動作するネットワークであることを特徴とする請求項1に記載の方法。
  3. 前記第1および第2のネットワークの内の少なくとも1つは、第3世代パートナーシップ・プロジェクト「3GPP」ネットワークに従って動作するIP接続アクセスネットワーク「IP−CAN」(IP Connectivity Access Network)であることを特徴とする請求項2に記載の方法。
  4. 前記ユーザの前記さらなる認証は、前記第2のネットワーク(5a)において実行されることを特徴とする請求項1に記載の方法。
  5. 前記ユーザの前記さらなる認証は、前記第1のネットワーク(8a)において実行されることを特徴とする請求項1に記載の方法。
  6. 前記認証ポリシーは、前記認証サーバ(6)から受信した、認証メカニズム、暗号の強さ、およびこれらの組み合わせの内から選定した要素を含むことを特徴とする請求項1に記載の方法。
  7. 前記認証ポリシーは、前記PCEFデバイス(2a)から受信した、認証メカニズム、暗号の強さ、およびこれらの組み合わせの内から選定した要素を含むことを特徴とする請求項1に記載の方法。
  8. 前記認証ポリシーは、前記PCEFデバイス(2a)から受信した、最近に認証を行った時刻、アクセスネットワーク、ローミング状態、要求されるパケットデータネットワーク「PDN」(Packet Data Network)、およびこれらの組み合わせの内から選定した要素を含むことを特徴とする請求項1に記載の方法。
  9. 前記認証ポリシーは、前記PCRFサーバ(1a)において導出可能な、サービス識別子、利用可能なサービス品質「QoS」(Quality of Service)、およびこれらの組み合わせの内から選定した要素を含むことを特徴とする請求項1に記載の方法。
  10. 前記PCRFサーバ(1a)において前記認証ポリシーを構成するステップをさらに備え、前記認証ポリシーは、アクセス情報、加入データ、サービスデータ、およびこれらの組み合わせの内から選定した要素を使用してさらに更新、または、アクセス情報、加入データ、サービスデータ、およびこれらの組み合わせの内から選定した要素と組み合わせて適用されることを特徴とする請求項1に記載の方法。
  11. 前記ユーザに適用される前記第1の認証方法に関する情報を前記PCRFサーバ(1a)に向けて送信する前記ステップは、この情報を、前記PCRFサーバ(1a)において前記認証サーバ(6)から受信するステップを含むことを特徴とする請求項1に記載の方法。
  12. 前記ユーザに適用される第1の認証方法に関する情報を、前記認証サーバ(6)から前記PCEFデバイス(2a)に向けて送信するステップをさらに備えることを特徴とする請求項1に記載の方法。
  13. 前記ユーザに適用される前記第1の認証方法に関する情報を前記PCRFサーバ(1a)に向けて送信する前記ステップは、この情報を、前記PCRFサーバ(1a)において前記PCEFデバイス(2a)から受信するステップを含むことを特徴とする請求項12に記載の方法。
  14. 前記ユーザに適用される前記第1の認証方法に関する情報を前記PCEFデバイス(2a)から受信する前記ステップは、制御ルールを、前記PCEFデバイス(2a)から前記PCRFサーバ(1a)に要求する前記ステップと同時に実行されることを特徴とする請求項13に記載の方法。
  15. 前記認証サーバ(6)は、前記ユーザが加入を保持するホーム加入者サーバ「HSS」(Home Subscriber Server)であることを特徴とする請求項1に記載の方法。
  16. 制御機能を提供し制御ルールをインストールするためのポリシー及び課金制御「PCC(Policy and Charging Control)」に従い動作する、ポリシーおよび課金ルール機能(Policy and Charging Rule Function)サーバ(1a、1b)(以降、PCRFサーバ)であって、リソースを取り扱うための制御ルールに対する要求を受信するための受信機(12)と、前記リソースを取り扱うためにインストールするべき前記制御ルールを決定するための制御ユニット(10)と、前記制御ルールをポリシーおよび課金施行機能(Poicy and Charging Enforcement Function)を有するデバイス(2a)(以降、PCEFデバイス)にインストールするための送信機(11)とを備え、
    前記受信機は、ーザに適用される第1の認証方法に関する情報を受信するよう構成され、
    前記制御ユニットは、第2の認証方法によって、前記ユーザのさらなる認証が必要であることを判定するために認証ポリシーを適用するよう構成され、
    前記送信機は、前記ユーザを認証するため認証方法を選定することに責任を持つ認証サーバ(6)に、前記第2の認証方法によって前記ユーザの前記さらなる認証を行うよう命令するよう構成され
    前記受信機は更に、前記第2の認証方法による前記ユーザの前記さらなる認証の通知を受けるように構成され、
    前記通知の受信に応じて、前記送信機は前記PCEFデバイスに向けて制御ルールをインストールするように構成されることを特徴とするPCRFサーバ。
  17. 前記受信機(12)は、前記認証サーバ(6)から得られる、認証メカニズム、暗号の強さ、およびこれらの組み合わせの内から選定した要素を受信するよう構成され、前記制御ユニット(10)は、前記要素を含む認証ポリシーを適用するよう構成されることを特徴とする請求項16に記載のPCRFサーバ。
  18. 前記受信機(12)は、前記PCEFデバイス(2a)から得られる、認証メカニズム、暗号の強さ、およびこれらの組み合わせの内から選定した要素を受信するよう構成され、前記制御ユニット(10)は、前記要素を含む認証ポリシーを適用するよう構成されることを特徴とする請求項16に記載のPCRFサーバ。
  19. 前記受信機(12)は、前記PCEFデバイス(2a)から得られる、最近に認証を行った時刻、アクセスネットワーク、ローミング状態、要求されるパケットデータネットワーク「PDN」、およびこれらの組み合わせの内から選定した要素を受信するよう構成され、前記制御ユニット(10)は、前記要素を含む認証ポリシーを適用するよう構成されることを特徴とする請求項16に記載のPCRFサーバ。
  20. 前記制御ユニット(10)は、前記制御ルールサーバにおいて導出可能な、サービス識別子、利用可能な「QoS」、およびこれらの組み合わせの内から選定した要素を含む認証ポリシーを適用するよう構成されることを特徴とする請求項16に記載のPCRFサーバ。
  21. アクセス情報、加入データ、サービスデータ、およびこれらの組み合わせの内から選定した要素を使用してさらに更新されるべき、またはアクセス情報、加入データ、サービスデータ、およびこれらの組み合わせの内から選定した要素と組み合わせて適用されるべき前記認証ポリシーを構成するための構成手段(13)をさらに備えることを特徴とする請求項16に記載のPCRFサーバ。
  22. 前記受信機(12)は、前記ユーザに適用される前記第1の認証方法に関する情報を前記認証サーバ(6)から受信するよう構成されることを特徴とする請求項16に記載のPCRFサーバ。
  23. 前記受信機(12)は、前記ユーザに適用される前記第1の認証方法に関する前記情報を前記PCEFデバイス(2a)から受信するよう構成されることを特徴とする請求項16に記載のPCRFサーバ。
  24. 前記受信機(12)は、前記ユーザに適用される前記第1の認証方法に関する前記情報を、前記リソースを取り扱う制御ルールに対する前記要求と共に、前記PCEFデバイス(2a)から受信するようさらに構成されることを特徴とする請求項23に記載のPCRFサーバ。
  25. コンピュータプログラムであって、入力ユニットと出力ユニットと処理ユニットとを備えるコンピュータの内部メモリの中に搭載可能であり、前記コンピュータプログラムは、前記コンピュータの中で動作するときに、請求項1ないし15のいずれか1項に従う前記方法のステップを実行するよう適合された実行可能なコードを備えることを特徴とするコンピュータプログラム。
  26. 前記実行可能なコードは、コンピュータにおいて読み取り可能なキャリアの中に記録されることを特徴とする請求項25に記載のコンピュータプログラム。
JP2010538363A 2007-12-20 2007-12-20 継続した認証方法の選定 Expired - Fee Related JP5178843B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2007/064368 WO2009080106A1 (en) 2007-12-20 2007-12-20 Selection of successive authentication methods

Publications (2)

Publication Number Publication Date
JP2011509002A JP2011509002A (ja) 2011-03-17
JP5178843B2 true JP5178843B2 (ja) 2013-04-10

Family

ID=39764806

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010538363A Expired - Fee Related JP5178843B2 (ja) 2007-12-20 2007-12-20 継続した認証方法の選定

Country Status (4)

Country Link
US (1) US8949950B2 (ja)
EP (1) EP2223495B1 (ja)
JP (1) JP5178843B2 (ja)
WO (1) WO2009080106A1 (ja)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5351181B2 (ja) * 2008-02-21 2013-11-27 アルカテル−ルーセント 異種ネットワークのためのワンパス認証機構およびシステム
EP2263396B1 (en) 2008-04-11 2014-01-15 Telefonaktiebolaget L M Ericsson (PUBL) Access through non-3gpp access networks
CN104363577B (zh) * 2008-06-05 2017-12-05 凯敏公司 用于在网络中提供移动性管理的方法及系统
US8640188B2 (en) * 2010-01-04 2014-01-28 Tekelec, Inc. Methods, systems, and computer readable media for providing group policy configuration in a communications network using a fake user
US8813168B2 (en) * 2008-06-05 2014-08-19 Tekelec, Inc. Methods, systems, and computer readable media for providing nested policy configuration in a communications network
US8392982B2 (en) 2009-03-20 2013-03-05 Citrix Systems, Inc. Systems and methods for selective authentication, authorization, and auditing in connection with traffic management
US8787174B2 (en) * 2009-12-31 2014-07-22 Tekelec, Inc. Methods, systems, and computer readable media for condition-triggered policies
US9166803B2 (en) * 2010-02-12 2015-10-20 Tekelec, Inc. Methods, systems, and computer readable media for service detection over an RX interface
US9319318B2 (en) 2010-03-15 2016-04-19 Tekelec, Inc. Methods, systems, and computer readable media for performing PCRF-based user information pass through
US9603058B2 (en) * 2010-03-15 2017-03-21 Tekelec, Inc. Methods, systems, and computer readable media for triggering a service node to initiate a session with a policy and charging rules function
US20110252123A1 (en) * 2010-04-08 2011-10-13 Kamakshi Sridhar Policy And Charging Rules Function In An Extended Self Optimizing Network
USRE48656E1 (en) * 2010-12-09 2021-07-20 Allot Ltd. System, device, and method of traffic detection
EP2850861B1 (en) * 2012-05-14 2019-05-08 Nec Corporation Method and system for accessing service/data of a first network from a second network for service/data access via the second network
US9215133B2 (en) 2013-02-20 2015-12-15 Tekelec, Inc. Methods, systems, and computer readable media for detecting orphan Sy or Rx sessions using audit messages with fake parameter values
CN103441862B (zh) 2013-08-07 2017-08-04 华为技术有限公司 一种实现终端被叫业务恢复的方法、相关装置及系统
US10715519B1 (en) * 2013-08-08 2020-07-14 Google Technology Holdings LLC Adaptive method for biometrically certified communication
WO2015135572A1 (en) * 2014-03-11 2015-09-17 Telefonaktiebolaget Lm Ericsson (Publ) Methods, devices and computer programs for subjecting traffic associated with a service to a specific treatment
US9832252B2 (en) * 2014-03-27 2017-11-28 Genband Us Llc Systems, methods, and computer program products for third party authentication in communication services
US9961059B2 (en) 2014-07-10 2018-05-01 Red Hat Israel, Ltd. Authenticator plugin interface
US9961076B2 (en) * 2015-05-11 2018-05-01 Genesys Telecommunications Laboratoreis, Inc. System and method for identity authentication
WO2018015033A1 (en) * 2016-07-18 2018-01-25 Telefonaktiebolaget Lm Ericsson (Publ) Network nodes and methods performed by network node for selecting authentication mechanism
US10433163B2 (en) * 2016-09-19 2019-10-01 Qualcomm Incorporated Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure
US10909228B2 (en) * 2017-07-19 2021-02-02 Box, Inc. Server-side authentication policy determination for mobile applications

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11272613A (ja) * 1998-03-23 1999-10-08 Hitachi Information Systems Ltd 利用者認証方法及びこの方法を実現するプログラムを格納した記録媒体並びに上記方法を用いる利用者認証システム
AU2001221632A1 (en) * 2000-11-28 2002-06-11 Nokia Corporation System and method for authentication of a roaming subscriber
JP2002288137A (ja) * 2001-03-27 2002-10-04 Toshiba Corp 電子機器における個人認証方式
WO2002087272A1 (en) * 2001-04-25 2002-10-31 Nokia Corporation Authentication in a communication system
EP1658746B1 (en) * 2003-08-26 2012-06-06 TELEFONAKTIEBOLAGET LM ERICSSON (publ) Apparatus and method for authenticating a user when accessing to multimedia services
JP2008506139A (ja) * 2004-07-09 2008-02-28 松下電器産業株式会社 ユーザ認証及びサービス承認を管理し、シングル・サイン・オンを実現して、複数のネットワーク・インタフェースにアクセスするためのシステム及び方法
EP1853032B1 (en) 2005-07-05 2009-12-23 Huawei Technologies Co., Ltd. An authentication method for the ip multimedia subsystem
US7911943B2 (en) * 2006-01-13 2011-03-22 Nokia Corporation Optimization of PDP context usage
JP4913457B2 (ja) * 2006-03-24 2012-04-11 株式会社野村総合研究所 認証強度の異なるサーバに対応した連携型認証方法及びシステム
JP2007299259A (ja) 2006-05-01 2007-11-15 Nippon Telegr & Teleph Corp <Ntt> 認証情報管理システムおよびアプリケーションサーバ

Also Published As

Publication number Publication date
EP2223495A1 (en) 2010-09-01
US8949950B2 (en) 2015-02-03
EP2223495B1 (en) 2012-08-01
JP2011509002A (ja) 2011-03-17
US20110296489A1 (en) 2011-12-01
WO2009080106A1 (en) 2009-07-02

Similar Documents

Publication Publication Date Title
JP5178843B2 (ja) 継続した認証方法の選定
US9560082B2 (en) Method and network device establishing a binding between a plurality of separate sessions in a network
EP2163068B1 (en) Method, apparatuses and computer program for dynamically configuring a proxy call session control function of the ip multimedia subsystem from a policy control rules server
CA2532538C (en) Apparatus and method for authenticating a user when accessing to multimedia services
RU2390970C2 (ru) Регистрация пользователей в системе связи
EP2215799B1 (en) Pre-authorization of bearer set-up
US9848020B2 (en) User plane control in IMS
US9554401B2 (en) Method and apparatuses for multimedia priority service
EP1994707B1 (en) Access control in a communication network
US20170086162A1 (en) Location Information in Managed Access Networks
US7764963B2 (en) GW coupled SIP proxy
WO2012079451A1 (zh) 用户漫游方法及ics增强网络
EP2659660A1 (en) A method and apparatuses for multimedia priority service

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120530

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120608

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120906

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121005

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121126

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121225

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130108

R150 Certificate of patent or registration of utility model

Ref document number: 5178843

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees