JP5670933B2 - 認証情報変換装置及び認証情報変換方法 - Google Patents

認証情報変換装置及び認証情報変換方法 Download PDF

Info

Publication number
JP5670933B2
JP5670933B2 JP2012031124A JP2012031124A JP5670933B2 JP 5670933 B2 JP5670933 B2 JP 5670933B2 JP 2012031124 A JP2012031124 A JP 2012031124A JP 2012031124 A JP2012031124 A JP 2012031124A JP 5670933 B2 JP5670933 B2 JP 5670933B2
Authority
JP
Japan
Prior art keywords
authentication
network
information
authentication information
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012031124A
Other languages
English (en)
Other versions
JP2013168035A (ja
Inventor
宏基 馬場
宏基 馬場
則武 克誌
克誌 則武
井上 一郎
一郎 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2012031124A priority Critical patent/JP5670933B2/ja
Publication of JP2013168035A publication Critical patent/JP2013168035A/ja
Application granted granted Critical
Publication of JP5670933B2 publication Critical patent/JP5670933B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

本発明は、認証情報変換装置及び認証情報変換方法に関する。
固定通信に関する国際標準仕様を策定するITU-T(International Telecommunication Union-Telecommunication sector)では、次世代ネットワーク(NGN:Next Generation Network)としてパケットベースのネットワークを経てサービスが提供されるネットワークアーキテクチャを規定している。NGNでは、パケットベースの広帯域ネットワーク上で品質を保証し、電話・IPTV(Internet Protocol TeleVision)・インターネット等の複数サービスを一つのネットワーク上で提供することを規定している。
また、移動通信に関する国際標準仕様を策定する3GPP(3rd Generation Partnership Project)でも、ネットワークをすべてIP(Internet Protocol)で構築することを前提としたEPS(Evolved Packet System)を規定している。EPSは、3.9世代の無線インタフェースであるLTE(Long Term Evolution)ですべての信号、ユーザ情報をIP転送することを前提とし、コアネットワークにはLTEに対応したIPパケットコアであるEPC(Evolved Packet Core)を規定している(非特許文献1参照)。
LTEは、無線アクセスネットワークとしてE-UTRAN(Evolved Universal Terrestrial Radio Access Network)を規定し、下り最大100Mbps、上り最大50Mbps程度以上をシステム設計の条件として想定しており、小さい遅延(往復パケット転送遅延は10ms)、異なるサービス品質(QoS:Quality of Service)を提供することができる。一方のコアネットワークであるEPCでは、IP上で移動管理、パケット通信セッションの設定・解放、ハンドオーバ、パケットのルーティングを行う。
NGNやEPSでは、VoIP(Voice over Internet Protocol)による電話サービスを提供するため、IMS(IP Multimedia Subsystem)によるサービス制御を行う。IMSは、3GPPで策定され、音声・映像等の通信サービスをSIP(Session Initiation Protocol)で制御するため(非特許文献2参照)、アプリケーションレベルでのユーザ認証、セッション制御、QoS制御のためのポリシ制御機能との連携、課金などの機能を持つ。また、移動通信ネットワーク、固定通信ネットワークに共通的なIMS仕様(Common IMS)の策定が進められている(非特許文献3参照)。
現在、ネットワークサービスの利用には当該のネットワーク事業者との契約が必要とされる。移動ネットワーク、固定ネットワークでは、各ネットワークのサービスを利用する端末はネットワーク事業者との契約で決められたものに限られる。
図1にIMS等の制御プラットホームのサーバやゲートウェイ(エッジルータ)を使ったユーザ認証方式の概要を示す。
図1(A)に示すように、移動端末は、移動ネットワークの認証装置に対して認証を実施する。認証装置は、移動端末上に保存されたユーザ識別情報(ユーザID)及び秘密鍵と、加入者情報サーバ(HSS:Home Subscriber Server)上に保存されたユーザ識別情報及び秘密鍵とを用いて、AKA(Authentication and Key Agreement)認証を実施する。認証が完了した場合、移動端末は、移動ネットワーク事業者が提供する移動向けサービスを利用することができる。
また、図1(B)に示すように、固定端末は、固定ネットワークの認証装置に対して認証を実施する。認証装置は、固定端末のユーザ識別情報(ユーザID)及びゲートウェイ(HGW:home gateway)からの回線位置と、加入者情報サーバ(HSS)上に保存されたユーザ識別情報及び回線位置とを突き合わせることにより、認証を実施する。認証が完了した場合、固定端末は、固定ネットワーク事業者が提供する固定向けサービスを利用することができる。
図2に、移動ネットワークにおけるネットワークアクセス時の認証及びサービス制御プラットホームの認証を示す。
移動ネットワークでは、移動端末の通信サービス開始時に通信路を設定する。通信サービス開始時に、移動端末は、移動コアネットワークの認証装置であるゲートウェイ(MME:Mobility Management Entity)に対して、移動端末上に保存されたSIM(Subscriber Identity Module)カードのユーザIDを通知する(S11)。これに対して、ゲートウェイはHSSに対して認証データを要求し(S12)、乱数と、認証トークン及び期待するレスポンス値を含む認証ベクトルを受信する(S13)。ゲートウェイは、この認証ベクトルから、認証トークンを取り出して移動端末に通知する(S14)。移動端末は認証トークンの情報を移動端末上の秘密鍵を用いて解析し、ゲートウェイに対して認証トークンに対するレスポンスを生成する(S15、S16)。移動端末から送られたレスポンス値と認証ベクトルの期待するレスポンス値との比較により、ゲートウェイはレスポンスが正しいものかどうかを検証する。以上の手順により、移動コアネットワークはネットワークアクセスが正規のユーザによるものであると認証して、通信路の設定を行う。
また、通信路設定後にIMS等の制御プラットホームに接続する際には、通信路の設定後に、移動端末は、IMS内のサービス認証サーバに対してREGISTER信号を送信する際に、通信路の設定手順と同様にユーザIDを通知する(S21)。これに対してIMS内のサービス認証サーバ(S-CSCF:Serving Call Session Control Function)がHSSに対して認証データを要求し(S22)、乱数と、認証トークン及び期待するレスポンス値を含む認証ベクトルを受信する(S23)。サービス認証サーバは、この認証ベクトルから、認証トークンを取り出して移動端末に通知する(S24)。移動端末は、このベクトルに対する正しい応答を秘密鍵を用いて解析し、サービス認証サーバに対して認証トークンに対するレスポンスを生成する(S25、S26)。移動端末から送られたレスポンス値と認証ベクトルの期待するレスポンス値との比較により、サービス認証サーバはレスポンスが正しいものかどうかを検証する。以上の手順により、IMSでの認証が行われる。
図3に、固定ネットワークにおけるIPアドレス払い出し時の認証及びサービス制御プラットホームの認証を示す。
固定ネットワークでは移動ネットワークの認証とは異なる認証方式を採用している。固定ネットワークの認証の流れを以下に示す。まず固定端末の固定ネットワークへの接続時に端末からアドレスの払い出し要求が行われる(S31)。これを固定ネットワーク内のゲートウェイ(エッジルータ)が受信すると、ゲートウェイの物理的に配線された回線の収容位置情報(アクセスライン情報、物理ポート番号、VLAN ID等)を用いてネットワーク内の加入者情報サーバ(HSS)にアドレスの払い出しを要求する(S32、S33)。これにより物理的に配線されたゲートウェイの回線収容位置をユーザの特定に用いることで、正規のユーザによるネットワークへの接続要求であることを確認し、ネットワーク内で利用可能なアドレスの払い出しを行う(S34、S35、S36)(非特許文献3参照)。
また、固定ネットワークでは、明示的にユーザIDを示すことによる認証も可能である。固定ネットワークへの接続時に端末からアドレスの払い出し要求が行われる(S31)。このとき、ユーザIDが合わせて送られ、これを固定ネットワーク内のゲートウェイ(エッジルータ)が受信すると、ゲートウェイの物理的に配線された回線の収容位置情報(アクセスライン情報、物理ポート番号、VLAN ID等)を用いてネットワーク内の加入者情報サーバ(HSS)にアドレスの払い出しを要求する(S32、S33)。これにより物理的に配線されたゲートウェイの回線収容位置をユーザの特定に用いることで、正規のユーザによるネットワークへの接続要求であることを確認し、ネットワーク内で利用可能なアドレスの払い出しを行う(S34、S35、S36)(非特許文献3参照)。
さらに、固定ネットワークでIMSを使ったサービスを利用する場合には、固定端末は、REGISTER信号の送信時にIMS内のサービス認証サーバにユーザIDを通知する(S41)。これに対して、サービス認証サーバは、HSSに認証データ(ユーザID及びIPアドレス)を要求し(S42、S43)、ユーザIDと認証信号の送信元のIPアドレスの組み合わせの一致により正規のユーザによる信号か否かを判定する。なお、HSSはユーザIDとIPアドレスとの対応を保持している。以上の手順により、IMSでの認証が行われる。
サービスプロバイダ側でも端末利用ユーザの認証をすることで、サービスへの契約の有無によるサービス利用可否の認証を行う。この時、ネットワーク側の回線レベルの認証と合わせて認証を行うことで、ユーザによるユーザ名・パスワードの入力が不要になり、手間を削減しながら、強固な認証を行うことができる。この時の認証情報は、HSSに格納された情報を用いる。すなわち、移動ネットワークであればユーザIDと秘密鍵とを基におこない、固定ネットワークであればユーザIDと回線情報との関係を基に行う。
一方、外国等でも携帯電話で通信を利用できるように、移動体通信事業者間の提携により、利用者が契約しているサービス事業者のサービスエリア外であっても、提携先の事業者のエリア内にあれば、元の事業者と同様のサービスを利用可能とするローミング機能がある。在圏ネットワークとホームネットワークとの間で移動管理、セキュリティ制御、加入者認証を連携して実施することにより、ローミング機能が実現できる。
図4に、3GPP標準によるローミング時の接続アーキテクチャを示す。移動端末がホームIPネットワークから別のIPネットワーク(在圏IPネットワーク)に移動した場合、ホームIPネットワークのHSSと在圏IPネットワークのMMEとが移動管理やセキュリティ制御を実施する。IPパケットの伝達経路は、ホームIPネットワークのP-GW(PDN Gateway)と在圏IPネットワークのS-GW(Serving Gateway)との間で設定する。このようにして、在圏IPネットワークからホームIPネットワークのサービスを利用できる。
このようなローミングはLTEやHSPA(High Speed Packet Access)などの3GPP標準で規定されたネットワークに限定されず、固定系ネットワークも含めた非3GPP標準で規定されたネットワークでのローミングの規定も行われている(非特許文献4参照)。
また、公衆無線LAN(Local Area Network)サービスを使ったインターネットアクセスにおいても、公衆無線LAN事業者間の提携によって、利用者が契約しているサービス事業者のサービス提供エリア外であっても、提携事業者のエリア内であれば提携先事業者のネットワークを介してインターネットにアクセスすることができる。これを実現するため、Wireless Broadband Allianceでは、WRIX(Wireless Roaming Intermediary Exchange)仕様により、公衆無線LANサービスの事業者間の接続インタフェースを規定している。WRIXでは、無線LANサービスを利用しようとしている加入者のアクセス制御、課金情報の交換するため、RADIUS(Remote Authentication Dial In User Service)を用いている。
既存ネットワークサービスでは、契約している通信事業者の提供サービス(電話、インターネットアクセス等)を利用することを前提としてネットワークが構築されており、ローミングにより他の事業者ネットワークを介してサービスを利用する場合にもホームネットワークで提供するサービスが提供される。
図5に、現状の事業者間でのサービスの接続可否を示す。
既存ネットワークサービスでは、事業者Aの契約ユーザは、事業者Aの提供するサービスを利用することができる。事業者Aの契約ユーザが事業者Bのネットワークにローミングした場合でも、事業者Aの契約ユーザは、事業者Aの提供するサービスを利用することができる。しかし、事業者Aの契約ユーザは、事業者Bの提供するサービスを利用することはできない。また、事業者Aの契約ユーザが事業者Bのネットワークにローミングした場合でも、事業者Aの契約では、事業者Bの提供するサービスを利用することはできない。
このため、各通信事業者は同種のアプリケーションサービスを個別に設備構築することになり、結果として、事業者全体での設備構築費用の増加につながる。
本発明は、ネットワーク事業者間の認証機能を連携して、異なる事業者間で端末とサービスとを相互に接続可能にすることを目的とする。
本発明の認証情報変換装置は、
移動ネットワークである第1のネットワークの認証情報と固定ネットワークである第2のネットワークの認証情報とを格納する認証情報格納部と、
第1のネットワークの認証装置での認証が完了した場合、第1のネットワークの認証装置からユーザ識別情報を取得し、
第1のネットワークの加入者情報サーバから、取得したユーザ識別情報に対応する認証トークン及び期待するレスポンス値を含む認証データを取得し、
取得した認証トークンを用いて第1のネットワークの認証装置に認証を要求し、
取得した認証トークンを用いて第1のネットワークの認証装置に認証を要求することで第1のネットワークの認証装置から送られたレスポンス値と第1のネットワークの加入者サーバから取得した期待するレスポンス値との比較により認証を実施し、認証が完了した場合、前記認証情報格納部から、認証が完了した第1のネットワークの認証情報に基づいて第2のネットワークの認証情報を取得する認証情報取得部と、
取得した第2のネットワークの認証情報を用いて第2のネットワークの認証装置に対して認証を要求する認証要求部と、
を有することを特徴とする。
また、本発明の認証情報変換装置は、
固定ネットワークである第1のネットワークの認証情報と移動ネットワークである第2のネットワークの認証情報とを格納する認証情報格納部と、
第1のネットワークの認証装置での認証が完了した場合、第1のネットワークの認証装置からユーザ識別情報を取得し、
第1のネットワークの加入者情報サーバから、取得したユーザ識別情報に対応する回線情報を取得し、
取得したユーザ識別情報及び回線情報と前記認証情報格納部の第1のネットワークの認証情報との比較により認証を実施し、認証が完了した場合、前記認証情報格納部から、認証が完了した第1のネットワークの認証情報に基づいて第2のネットワークの認証情報を取得する認証情報取得部と、
取得した第2のネットワークの認証情報を用いて第2のネットワークの認証装置に対して認証を要求する認証要求部と、
を有することを特徴とする。
また、本発明の認証情報変換方法は、
認証情報変換装置における認証情報変換方法であって、
移動ネットワークである第1のネットワークの認証装置での認証が完了した場合、第1のネットワークの認証装置からユーザ識別情報を取得するステップと、
第1のネットワークの加入者情報サーバから、取得したユーザ識別情報に対応する認証トークン及び期待するレスポンス値を含む認証データを取得するステップと、
取得した認証トークンを用いて第1のネットワークの認証装置に認証を要求するステップと、
取得した認証トークンを用いて第1のネットワークの認証装置に認証を要求することで第1のネットワークの認証装置から送られたレスポンス値と第1のネットワークの加入者サーバから取得した期待するレスポンス値との比較により認証を実施し、認証が完了した場合、第1のネットワークの認証情報と固定ネットワークである第2のネットワークの認証情報とを格納する前記認証情報変換装置の認証情報格納部から、認証が完了した第1のネットワークの認証情報に基づいて第2のネットワークの認証情報を取得するステップと、
取得した第2のネットワークの認証情報を用いて第2のネットワークの認証装置に対して認証を要求するステップと、
を有することを特徴とする。
また、本発明の認証情報変換方法は、
認証情報変換装置における認証情報変換方法であって、
固定ネットワークである第1のネットワークの認証装置での認証が完了した場合、第1のネットワークの認証装置からユーザ識別情報を取得するステップと、
第1のネットワークの加入者情報サーバから、取得したユーザ識別情報に対応する回線情報を取得するステップと、
取得したユーザ識別情報及び回線情報と、第1のネットワークの認証情報と移動ネットワークである第2のネットワークの認証情報とを格納する前記認証情報変換装置の認証情報格納部に格納された第1のネットワークの認証情報との比較により認証を実施し、認証が完了した場合、前記認証情報変換装置の認証情報格納部から、認証が完了した第1のネットワークの認証情報に基づいて第2のネットワークの認証情報を取得するステップと、
取得した第2のネットワークの認証情報を用いて第2のネットワークの認証装置に対して認証を要求するステップと、
を有することを特徴とする。
本発明によれば、異なる事業者間で端末とサービスとを相互に接続することが可能になる。
移動ネットワーク及び固定ネットワークの認証方式の概要を示す図 移動ネットワークにおけるネットワークアクセス時の認証及びサービス制御プラットホームの認証を示すシーケンス図 固定ネットワークにおけるIPアドレス払い出し時の認証及びサービス制御プラットホームの認証を示すシーケンス図 3GPP標準によるローミング時の接続アーキテクチャを示す図 現状の事業者間でのサービスの接続可否を示す図 本発明の実施例を適用した場合のサービスの接続可否を示す図 本発明の実施例に係る通信システムの概略図 既存の移動ネットワーク及び固定ネットワークの認証方式を示す図 本発明の実施例に係る認証情報変換装置の構成図 本発明の実施例に係る認証情報変換装置に格納される変換テーブルの図 本発明の実施例に係る認証情報変換装置を移動ネットワーク及び固定ネットワークに適用したときの概略図 本発明の実施例に従って移動端末から固定ネットワークに接続する際の認証情報変換方法のシーケンス図 本発明の実施例に従って固定端末から移動ネットワークに接続する際の認証情報変換方法のシーケンス図
以下、本発明の実施例について詳細に説明する。
図6に、本発明の実施例を適用した場合のサービスの接続可否を示す。
本発明の実施例では、図6に示すように端末が異なる事業者のネットワーク上のサービスを利用できるようにする。図5を参照して説明した通り、既存ネットワークサービスでは、事業者Aの契約ユーザは、事業者Bの提供するサービスを利用することはできない。また、事業者Aの契約ユーザが事業者Bのネットワークにローミングした場合でも、事業者Aの契約ユーザは、事業者Bの提供するサービスを利用することはできない。この理由は、各ネットワークへの接続認証はネットワーク毎に異なる方式が用いられているためである。
これに対して、本発明の実施例では、事業者Aの契約ユーザが事業者Bの提供するサービスを利用できるようにする。また、事業者Aの契約ユーザが事業者Bのネットワークにローミングした場合でも、事業者Aの契約ユーザが事業者Bの提供するサービスを利用できるようにする。
このようにすることにより、通信事業者が全てのサービス提供設備を構築せずに他事業者のサービス提供設備を利用してサービス提供できるため、設備構築費用が抑えられ、結果としてサービスバリエーションを拡大できる可能性がある。
図7に、本発明の実施例に係る通信システムの概略図を示す。
本発明の実施例では、異なる通信事業者A及びBのネットワーク上で端末とサービスとを相互に接続可能とするために、事業者Aの認証装置と事業者Bの認証装置との間に認証情報変換装置10を設ける。認証情報変換装置10は、事業者A及びBの認証機能を連携して、一方のネットワークに接続した端末から他方のネットワークに接続したサービスへユーザの正当性が確認できるように認証情報・加入者情報を共用・変換する。
具体的には、事業者Bの契約ユーザが事業者Bの認証装置で認証が完了した場合、認証情報変換装置10は、事業者Bの認証情報を事業者Aの認証情報に変換し、事業者Aの認証装置で認証を実施する。事業者Aの認証装置で認証が完了した場合、認証情報変換装置10は、事業者Bの契約ユーザが事業者Aの提供するサービスに接続できるようにする。同様に、認証情報変換装置10は、事業者Aの契約ユーザが事業者Bの提供するサービスに接続できるようにする。
図8に、既存の移動ネットワーク及び固定ネットワークの認証方式を示す。
移動ネットワークではユーザIDにIMSI(International Mobile Subscriber Identity)を用い、端末と認証装置との間で同一の秘密鍵を有することを確認することで、認証を行う。移動ネットワークでの認証方式の例については、図2を参照して説明した通りである。
一方で、固定ネットワークでは固定回線が収容されたゲートウェイ上の回線情報(回線収容位置)と端末が送信するユーザID(NASS User ID)とを用いて、認証装置が加入者情報としてHSSに登録された内容の合致を確認することで認証が行われる。固定ネットワークでの認証方式の例については、図3を参照して説明した通りである。なお、回線情報は、固定回線が収容されたポートでもよく、ポート情報を基に払い出されるネットワークアドレス(IPアドレス)でもよい。
本発明では、異なる事業者間で認証情報を変換、連携することにより端末が本来の契約事業者と異なるネットワーク事業者のサービスに接続できるようにするものである。
<認証情報変換装置の構成>
図9に、本発明の実施例に係る認証情報変換装置10の構成図を示す。また、図10に、本発明の実施例に係る認証情報変換装置10に格納される変換テーブルを示す。
認証情報変換装置10は、認証情報格納部101と、認証情報取得部103と、認証要求部105とを有する。認証情報変換装置10は、ネットワークAの認証装置とネットワークBの認証装置とに接続されている。以下の説明では、ネットワークAの契約ユーザがネットワークBの提供するサービスに接続する場合について説明する。
認証情報格納部101は、ネットワークAの認証情報とネットワークBの認証情報とを格納する。図10(A)に示すように、認証情報格納部101は、ユーザ毎に、ネットワークAの認証情報とネットワークBの認証情報とを対応付けて格納してもよい。例えば、認証情報格納部101は、ユーザAがネットワークAに接続するためのユーザID及び秘密鍵(440109012345678,K1)と、ユーザAがネットワークBに接続するためのユーザID及び回線位置(0312345678,ポート1)とを対応付けて格納してもよく、ユーザBがネットワークAに接続するためのユーザID及び秘密鍵(440109087654321,K2)と、ユーザBがネットワークBに接続するためのユーザID及び回線位置(0387654321,ポート2)とを対応付けて格納してもよい。或いは、図10(B)に示すように、認証情報格納部101は、ユーザA及びBがネットワークAに接続するためのユーザID及び秘密鍵(440109012345678,K1),(440109087654321,K2)を格納し、また、ネットワークAでの認証が完了したユーザに対して自動的にネットワークBでの接続を許可するためのネットワークA及びBの間で合意された認証情報(03011112222,ポート10),(03011113333,ポート20)を格納してもよい。なお、図10では、固定ネットワークの回線情報として、固定回線が収容されたポートが示されているが、固定ネットワークの回線情報は、ポート情報を基に払い出されるネットワークアドレス(IPアドレス)でもよい。また、図10において認証情報格納部101はユーザ毎に認証情報を格納しているが、認証情報格納部101は、事業者毎に認証情報を格納してもよい。この場合、ユーザ毎の管理は不要である。事業者毎に認証情報が管理される場合、ユーザIDの代わりに事業者ID(事業者名、ドメイン名等)が使用される。事業者IDは、端末からのネットワークアクセス時に使用されるユーザID等から判別可能である。
認証情報取得部103は、ネットワークAの認証装置での認証が完了した場合、認証情報格納部101から、ネットワークAの認証情報に基づいてネットワークBの認証情報を取得する。例えば、図10(A)に示すように、ユーザAがネットワークAに接続するための認証情報と、ユーザAがネットワークBに接続するための認証情報とが認証情報格納部101において対応付けられている場合、認証情報取得部103は、ユーザAのネットワークAでの認証情報に対応するユーザAのネットワークBでの認証情報を取得する。例えば、図10(B)に示すように、ネットワークAでの認証が完了したユーザに対して自動的にネットワークBでの接続を許可するためのネットワークA及びBの間で合意された認証情報が認証情報格納部101において格納されている場合、認証情報取得部103は、ユーザAのネットワークAでの認証情報により正当なユーザであることが確認できた場合、ネットワークA及びBの間で合意された認証情報のうち1つを取得する。この際、認証情報格納部101において認証情報が使用されているか未使用であるかを管理しておき、認証情報取得部103は、未使用の認証情報を取得してもよい。
認証要求部105は、認証情報格納部103で取得した認証情報を用いてネットワークBの認証装置に対して認証を要求する。認証要求部105がネットワークBの認証装置で認証が完了すると、ユーザAは、ネットワークAに対してネットワークAの認証情報を用いて通信可能になり、ネットワークBに対してネットワークBの認証情報を用いて通信可能になる。
図9及び図10では、ネットワークAの契約ユーザがネットワークBの提供するサービスに接続する場合について説明したが、ネットワークBの契約ユーザがネットワークAの提供するサービスに接続する場合も同様である。また、認証情報格納部101において2つ以上のネットワーク(ネットワークA,B,C,...)の認証情報を格納することにより、ネットワークAの契約ユーザが2つ以上のネットワーク(ネットワークB,C,...)の提供するサービスに接続することが可能になる。
図11に、本発明の実施例に係る認証情報変換装置10を移動ネットワーク及び固定ネットワークに適用したときの概略図を示す。
図8に示す通り、一般的に、ユーザの通信を管理するために用いるユーザIDとユーザを認証するために用いる情報とは、ネットワーク毎に異なる。移動ネットワークでは、移動ネットワークが用いるユーザID(IMSI)と鍵情報とが用いられ、固定ネットワークでは、固定ネットワークが用いるユーザID(NASS User ID)と回線情報(回線位置)とが用いられる。
図9及び図10を参照して説明した通り、認証情報変換装置10において、ユーザ毎又は事業者毎に変換対象となるユーザIDとユーザを認証するために用いる情報との対応を定義したテーブルを生成する。認証フェーズにおいては、ネットワークに適したユーザID及び認証するために用いる情報により認証を行う。端末が移動ネットワークからアクセスする場合、IMSI及び秘密鍵により端末の認証を行い、固定ネットワークに接続するために、固定ネットワークのNASS User ID及び回線情報を割り当てる。一方、端末が固定ネットワークからアクセスする場合、NASS User ID及び回線情報により端末の認証を行い、移動ネットワークに接続するために、移動ネットワークのIMSI及び秘密鍵を割り当てる。
認証が完了した後の通信中は、ユーザの通信を識別する情報(秘密鍵又は回線情報)によりユーザを識別する。移動ネットワークでは、IMSIと秘密鍵との組み合わせの整合によりユーザを識別し、固定ネットワークでは、NASS User IDと回線情報との整合によりユーザを識別する。通信中は、識別したユーザのユーザID及びユーザを認証するために用いる情報(回線情報又は秘密鍵)を、接続先のネットワークに適したユーザID及び情報に変換して通信を行う。このように、認証情報変換装置10は、ユーザID及びユーザを認証するために用いる情報を双方向に変換する。
<認証情報変換方法の流れ>
以下に、移動・固定業者間で連携して認証処理を実施する流れを示す。なお、以下の説明では認証方式の異なる固定・移動ネットワーク間で認証情報を変換する方法について説明するが、同種の認証方法を使った事業者間でも互いに認証情報を保有することにより、以下に説明する方法と同様にして対応可能である。
図12に、本発明の実施例に従って移動端末から固定ネットワークに接続する際の認証情報変換方法のシーケンス図を示す。
移動端末と移動ネットワークの認証は、例えば図2を参照して説明した通りに行われる。ネットワークアクセス時に、移動端末は、移動ネットワークの認証装置に対して、ユーザID(IMSI)を通知する(S101)。これに対して、認証装置は移動ネットワークのHSSに対して認証データを要求し(S102)、秘密鍵から生成された認証ベクトル(乱数、認証トークン及び期待するレスポンス値)を受信する(S103)。認証装置は、この乱数及び認証トークンを移動端末に通知する(S104)。移動端末は認証トークンの情報を移動端末上の秘密鍵を用いて解析し、認証装置に対して認証トークンに対するレスポンスを生成し、認証装置に通知する(S105)。移動端末から送られたレスポンス値と認証ベクトルの期待するレスポンス値との比較により、認証装置はレスポンスが正しいものかどうかを検証し、認証結果を移動端末に通知する(S106)。
このように移動端末と移動ネットワークとの認証が完了すると、移動ネットワークの認証装置は、移動端末と固定ネットワークとの通信のために、認証情報変換装置に対して移動端末のIMSIで示されるユーザとしてアクセスする(S107)。認証情報変換装置は、アクセス元のIMSIを移動ネットワークのHSSに通知することにより(S108)、HSSから認証データ(乱数、認証トークン及び期待するレスポンス値)を取得し(S109)、移動ネットワークの認証装置に対して認証を要求する(S110)。認証装置は認証トークンの情報を認証装置上の秘密鍵を用いて解析し、認証情報変換装置に対して認証トークンに対するレスポンスを生成し、認証情報変換装置に通知する(S111)。認証装置から送られたレスポンス値と期待するレスポンス値との比較により、認証情報変換装置はレスポンスが正しいものかどうかを検証し、認証結果を認証装置に通知する(S112)。
図10に示すように、認証情報変換装置は、移動ネットワークのIMSI及び鍵情報と、固定ネットワークのユーザID(NASS User ID)及び回線位置とを記憶している。移動ネットワークの認証装置から正しい応答が得られたことを確認すると、認証情報変換装置は、固定ネットワークの認証装置に対して予めIMSIで示されるユーザに関連付けられた固定ネットワークのユーザID(NASS User ID)の回線IDによりアクセスする(S113)。固定ネットワークの認証装置は、固定ネットワークのHSSに対して認証データを要求し(S114)、固定ネットワークのユーザID(NASS User ID)と、固定ユーザの回線情報(回線位置)を取得する(S115)。この情報を基に、認証装置は認証情報変換装置が正しいユーザIDと回線情報を用いてアクセスしていることを確認し、通信の正当性を確認する。そして、認証装置は認証結果を認証情報変換装置に通知する(S116)。
以上のように、移動ネットワークの認証装置は、IMSI及び秘密鍵を記憶し、正しい組み合わせの通信のみ許可する。また、固定ネットワークの認証装置は、NASS User ID及び回線情報を記憶し、正しい組み合わせの通信のみ許可する。そして、認証情報変換装置は、移動ネットワークのユーザが固定ネットワーク内では固定ネットワークのユーザとして通信できるように、ユーザIDとそのユーザIDが通信していることを保証する情報(秘密鍵、回線位置)を変換する。
図13に、本発明の実施例に従って固定端末から移動ネットワークに接続する際の認証情報変換方法のシーケンス図を示す。
固定端末と固定ネットワークの認証は、例えば図3を参照して説明した通りに行われる。ネットワークアクセス時に、固定端末は、固定ネットワークの認証装置に対して、ユーザID(NASS User ID)を通知する(S301)。これに対して、認証装置は固定ネットワークのHSSに対して認証データを要求し(S302)、ユーザIDに対応する回線情報(回線位置)を受信する(S303)。認証装置は、受信した回線情報と固定端末がアクセスする回線位置とを比較し、回線位置が正しい場合に、固定端末にIPアドレスを払い出す(S304)。
このように固定端末と固定ネットワークとの認証が完了すると、固定端末は、固定端末と移動ネットワークとの通信のために、認証情報変換装置に対して、固定ネットワークの認証装置を介して固定端末のNASS User IDで示されるユーザとしてアクセスする(S305、S306)。認証情報変換装置は、アクセス元のNASS User IDを固定ネットワークのHSSに通知することにより(S307)、HSSから認証データ(回線情報)を取得し、固定端末を認証する(S308)。検証結果は、認証装置を介して固定端末に通知される(S309、S310)。
図10に示すように、認証情報変換装置は、移動ネットワークのIMSI及び鍵情報と、固定ネットワークのユーザID(NASS User ID)及び回線位置とを記憶している。認証情報変換装置において固定端末を認証すると、認証情報変換装置は、移動ネットワークの認証装置に対して予めNASS User IDで示されるユーザに関連付けられた移動ネットワークのユーザID(IMSI)によりアクセスする(S311)。移動ネットワークの認証装置は、移動ネットワークのHSSに対して認証データを要求し(S312)、秘密鍵から生成された認証ベクトル(乱数、認証トークン及び期待するレスポンス値)を取得する(S313)。認証装置は、この乱数及び認証トークンを認証情報変換装置に通知する(S314)。認証情報変換装置は認証トークンの情報を認証情報変換装置上の秘密鍵を用いて解析し、認証装置に対して認証トークンに対するレスポンスを生成し、認証装置に通知する(S315)。認証情報変換装置から送られたレスポンス値と認証ベクトルの期待するレスポンス値との比較により、認証装置はレスポンスが正しいものかどうかを検証し、認証結果を認証情報変換装置に通知する(S316)。
以上のように、固定ネットワークの認証装置は、NSSS User ID及び回線情報を記憶し、正しい組み合わせの通信のみ許可する。また、移動ネットワークの認証装置は、IMSI及び秘密鍵を記憶し、正しい組み合わせの通信のみ許可する。そして、認証情報変換装置は、固定ネットワークのユーザが移動ネットワーク内では移動ネットワークのユーザとして通信できるように、ユーザIDとそのユーザIDが通信していることを保証する情報(秘密鍵、回線位置)を変換する。
<本発明の実施例の効果>
本発明の実施例によれば、異なる事業者間で端末とサービスとを相互に接続することが可能になる。
また、事業者間で類似するアプリケーション設備を統合することができ、通信事業者のアプリケーション機能を利用して他事業者の契約者にサービスを提供することができる。その結果、アプリケーション設備の利用効率が向上し、事業者の収益性の向上につながる。
また、アプリケーション機能を持たない事業者にとっては、他事業者が提供済のアプリケーションを活用して自社のサービスとして提供することにより、安価・迅速に新サービスを提供可能になる。
移動・固定ネットワークのようにネットワークの種類が異なる事業者間の協業が可能になり、利用シーンの異なる端末においてもサービスを継続的に提供できる。その結果、より魅力的なネットワークサービスが提供可能となり、事業者の収益性の向上につながる。
説明の便宜上、本発明の実施例に係る装置は機能的なブロック図を用いて説明しているが、本発明の装置は、ハードウェア、ソフトウェア又はそれらの組み合わせで実現されてもよい。また、各機能部が必要に応じて組み合わせて使用されてもよい。
説明の便宜上、本発明の実施例に係る方法は処理の流れを示すフローチャートを用いて説明しているが、本発明の方法は、実施例に示す順序と異なる順序で実施されてもよい。
以上、本発明の実施例について説明したが、本発明は、上記の実施例に限定されることなく、特許請求の範囲内において、種々の変更・応用が可能である。
10 認証情報変換装置
101 認証情報格納部
103 認証情報取得部
105 認証要求部

Claims (6)

  1. 移動ネットワークである第1のネットワークの認証情報と固定ネットワークである第2のネットワークの認証情報とを格納する認証情報格納部と、
    第1のネットワークの認証装置での認証が完了した場合、第1のネットワークの認証装置からユーザ識別情報を取得し、
    第1のネットワークの加入者情報サーバから、取得したユーザ識別情報に対応する認証トークン及び期待するレスポンス値を含む認証データを取得し、
    取得した認証トークンを用いて第1のネットワークの認証装置に認証を要求し、
    取得した認証トークンを用いて第1のネットワークの認証装置に認証を要求することで第1のネットワークの認証装置から送られたレスポンス値と第1のネットワークの加入者サーバから取得した期待するレスポンス値との比較により認証を実施し、認証が完了した場合、前記認証情報格納部から、認証が完了した第1のネットワークの認証情報に基づいて第2のネットワークの認証情報を取得する認証情報取得部と、
    取得した第2のネットワークの認証情報を用いて第2のネットワークの認証装置に対して認証を要求する認証要求部と、
    を有する認証情報変換装置。
  2. 固定ネットワークである第1のネットワークの認証情報と移動ネットワークである第2のネットワークの認証情報とを格納する認証情報格納部と、
    第1のネットワークの認証装置での認証が完了した場合、第1のネットワークの認証装置からユーザ識別情報を取得し、
    第1のネットワークの加入者情報サーバから、取得したユーザ識別情報に対応する回線情報を取得し、
    取得したユーザ識別情報及び回線情報と前記認証情報格納部の第1のネットワークの認証情報との比較により認証を実施し、認証が完了した場合、前記認証情報格納部から、認証が完了した第1のネットワークの認証情報に基づいて第2のネットワークの認証情報を取得する認証情報取得部と、
    取得した第2のネットワークの認証情報を用いて第2のネットワークの認証装置に対して認証を要求する認証要求部と、
    を有する認証情報変換装置。
  3. 前記認証情報格納部は、予め設定された第2のネットワークの認証情報を格納し、
    前記認証情報取得部は、第1のネットワークの認証装置での認証が完了した場合、前記認証情報取得部に格納された第2のネットワークの認証情報のうち1つを取得する、請求項1又は2に記載の認証情報変換装置。
  4. 前記認証情報格納部は、ユーザ毎又は事業者毎に、第1のネットワークの認証情報と第2のネットワークの認証情報とを対応付けて格納し、
    前記認証情報取得部は、第1のネットワークの認証装置での認証が完了した場合、第1のネットワークの認証情報に含まれるユーザ識別情報又は事業者識別情報に対応する第2のネットワークの認証情報を取得する、請求項1又は2に記載の認証情報変換装置。
  5. 認証情報変換装置における認証情報変換方法であって、
    移動ネットワークである第1のネットワークの認証装置での認証が完了した場合、第1のネットワークの認証装置からユーザ識別情報を取得するステップと、
    第1のネットワークの加入者情報サーバから、取得したユーザ識別情報に対応する認証トークン及び期待するレスポンス値を含む認証データを取得するステップと、
    取得した認証トークンを用いて第1のネットワークの認証装置に認証を要求するステップと、
    取得した認証トークンを用いて第1のネットワークの認証装置に認証を要求することで第1のネットワークの認証装置から送られたレスポンス値と第1のネットワークの加入者サーバから取得した期待するレスポンス値との比較により認証を実施し、認証が完了した場合、第1のネットワークの認証情報と固定ネットワークである第2のネットワークの認証情報とを格納する前記認証情報変換装置の認証情報格納部から、認証が完了した第1のネットワークの認証情報に基づいて第2のネットワークの認証情報を取得するステップと、
    取得した第2のネットワークの認証情報を用いて第2のネットワークの認証装置に対して認証を要求するステップと、
    を有する認証情報変換方法。
  6. 認証情報変換装置における認証情報変換方法であって、
    固定ネットワークである第1のネットワークの認証装置での認証が完了した場合、第1のネットワークの認証装置からユーザ識別情報を取得するステップと、
    第1のネットワークの加入者情報サーバから、取得したユーザ識別情報に対応する回線情報を取得するステップと、
    取得したユーザ識別情報及び回線情報と、第1のネットワークの認証情報と移動ネットワークである第2のネットワークの認証情報とを格納する前記認証情報変換装置の認証情報格納部に格納された第1のネットワークの認証情報との比較により認証を実施し、認証が完了した場合、前記認証情報変換装置の認証情報格納部から、認証が完了した第1のネットワークの認証情報に基づいて第2のネットワークの認証情報を取得するステップと、
    取得した第2のネットワークの認証情報を用いて第2のネットワークの認証装置に対して認証を要求するステップと、
    を有する認証情報変換方法。
JP2012031124A 2012-02-15 2012-02-15 認証情報変換装置及び認証情報変換方法 Active JP5670933B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012031124A JP5670933B2 (ja) 2012-02-15 2012-02-15 認証情報変換装置及び認証情報変換方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012031124A JP5670933B2 (ja) 2012-02-15 2012-02-15 認証情報変換装置及び認証情報変換方法

Publications (2)

Publication Number Publication Date
JP2013168035A JP2013168035A (ja) 2013-08-29
JP5670933B2 true JP5670933B2 (ja) 2015-02-18

Family

ID=49178385

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012031124A Active JP5670933B2 (ja) 2012-02-15 2012-02-15 認証情報変換装置及び認証情報変換方法

Country Status (1)

Country Link
JP (1) JP5670933B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016042327A (ja) * 2014-08-19 2016-03-31 株式会社リコー 情報処理システム及び認証方法
US10051473B2 (en) 2016-08-12 2018-08-14 Apple Inc. Secure connection release and network redirection
JP7161108B2 (ja) * 2019-02-26 2022-10-26 日本電信電話株式会社 通信方法、通信システム、中継装置および中継プログラム
CN112449339B (zh) * 2019-08-15 2023-05-09 中国移动通信有限公司研究院 一种网络漫游方法、装置、终端及存储介质
JP7280338B1 (ja) 2021-12-06 2023-05-23 エヌ・ティ・ティ・コミュニケーションズ株式会社 情報処理システム、トークン発行装置、情報処理方法、及びプログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0779243A (ja) * 1993-07-13 1995-03-20 Hitachi Ltd ネットワーク接続装置およびネットワーク接続方法
JP2977476B2 (ja) * 1995-11-29 1999-11-15 株式会社日立製作所 機密保護方法
US6584310B1 (en) * 1998-05-07 2003-06-24 Lucent Technologies Inc. Method and apparatus for performing authentication in communication systems
ATE306799T1 (de) * 2000-11-24 2005-10-15 Betrugsfeststellungsverfahren für mobiltelekommunikationsnetze
US6882839B2 (en) * 2001-05-08 2005-04-19 Lucent Technologies Inc. One-way roaming from ANS-41 to GSM systems
JP2004234329A (ja) * 2003-01-30 2004-08-19 Nippon Telegraph & Telephone East Corp Idマッピングを利用したシングルサインオンシステム、方法、プログラム並びに記憶媒体
JP2005327189A (ja) * 2004-05-17 2005-11-24 Nec Soft Ltd サーバ、認証交換システム及びリクエスト中継方法
JP4984020B2 (ja) * 2005-08-19 2012-07-25 日本電気株式会社 通信システム、ノード、認証サーバ、通信方法及びそのプログラム
JP4793826B2 (ja) * 2006-10-19 2011-10-12 Kddi株式会社 移動端末のハンドオーバにおける認証方法及びシステム
US8666368B2 (en) * 2010-05-03 2014-03-04 Apple Inc. Wireless network authentication apparatus and methods

Also Published As

Publication number Publication date
JP2013168035A (ja) 2013-08-29

Similar Documents

Publication Publication Date Title
US11477242B2 (en) Network security management method, and apparatus
JP7455580B2 (ja) ネットワークスライシングをサポートするモバイルシステムにおける強化された登録手続き
US8261078B2 (en) Access to services in a telecommunications network
US9515850B2 (en) Non-validated emergency calls for all-IP 3GPP IMS networks
JP5351181B2 (ja) 異種ネットワークのためのワンパス認証機構およびシステム
WO2014000265A1 (zh) 在线签约数据配置方法、装置及系统
WO2009033382A1 (fr) Procédé et dispositif d'élément de réseau destinés à acquérir l'information de contrôle des règles d'une session d'accès ip
WO2008000192A1 (fr) Procédé d'accès au réseau de terminaux, système d'accès au réseau et équipement de passerelle
JP5536628B2 (ja) 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント
JP5670933B2 (ja) 認証情報変換装置及び認証情報変換方法
WO2014176964A1 (zh) 一种通信管理方法及通信系统
WO2009152676A1 (zh) Aaa服务器、p-gw、pcrf、用户设备标识的获取方法和系统
JP5931802B2 (ja) ネットワークにおける端末認証方法及びシステム
US9326141B2 (en) Internet protocol multimedia subsystem (IMS) authentication for non-IMS subscribers
TWI592001B (zh) 用於對非蜂巢式裝置在wifi之上提供電話服務之系統與方法
EP3025534B1 (en) Providing telephony services over wifi for non-cellular devices
JP4971445B2 (ja) 通信ネットワークにおける端末機器の緊急メッセージを転送する方法
WO2015100874A1 (zh) 家庭网关接入管理方法和系统
JP5670926B2 (ja) 無線lanのアクセスポイントの端末アクセス制御システム及び認可サーバ装置
WO2016090578A1 (zh) 认证的处理方法、装置和终端
US7974622B1 (en) Provisioning system for fixed vs. nomadic wireless services
WO2010108357A1 (zh) 一种策略控制方法及系统
CN101568096A (zh) 一种通用业务接口系统注册的方法与系统
CN114466360A (zh) 一种语音无线局域网双重鉴权的实现方法和系统
WO2013123849A1 (zh) 资源接纳控制方法、bng和pdp

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20131001

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140909

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140924

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141216

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141218

R150 Certificate of patent or registration of utility model

Ref document number: 5670933

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150