JP5920891B2 - Communication service authentication / connection system and method thereof - Google Patents

Communication service authentication / connection system and method thereof Download PDF

Info

Publication number
JP5920891B2
JP5920891B2 JP2013023141A JP2013023141A JP5920891B2 JP 5920891 B2 JP5920891 B2 JP 5920891B2 JP 2013023141 A JP2013023141 A JP 2013023141A JP 2013023141 A JP2013023141 A JP 2013023141A JP 5920891 B2 JP5920891 B2 JP 5920891B2
Authority
JP
Japan
Prior art keywords
profile
communication network
authentication
server
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013023141A
Other languages
Japanese (ja)
Other versions
JP2014153917A (en
Inventor
宏基 馬場
宏基 馬場
河村 憲一
憲一 河村
安川 正祥
正祥 安川
則武 克誌
克誌 則武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013023141A priority Critical patent/JP5920891B2/en
Publication of JP2014153917A publication Critical patent/JP2014153917A/en
Application granted granted Critical
Publication of JP5920891B2 publication Critical patent/JP5920891B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

本発明は、複数の通信網を介した通信サービス利用時のユーザ認証・接続に関し、特に、固定網やモバイル網への接続時の認証・接続を行う通信サービス認証・接続システム及びその方法に関するものである。   The present invention relates to user authentication / connection when using a communication service via a plurality of communication networks, and more particularly to a communication service authentication / connection system and method for performing authentication / connection when connecting to a fixed network or a mobile network. It is.

移動体端末の認証に用いられるUICC(Universal Integrated Circuit Card:SIM(Subscriber Identity Module) カード)は、セキュリティ機能の高さから広く用いられている。さらに、SIMカードの認証結果を基にして上位のサービス(Webサービス)に対してシングルサインオンを実現するため、3GPP(Third Generation Partnership Project)ではGBA(Generalized Bootstrapping Architecture, 非特許文献1 TS33.220)によるアプリケーションレベルでのSIM認証技術や、1つのユーザーIDで複数のWebサイトを使える認証技術であるOpenIDとの連携技術が検討されている。(非特許文献2 3GPP TR33.980、非特許文献3、非特許文献4)
IEEE 802.1XはLAN接続時に使用する認証技術であり、あらかじめ決められた端末機器以外がコンピュータ・ネットワークに参加しないように認証によって接続を規制する規格である。また、EAP-AKAは、EAP(Extensible Authentication Protorol)上でSIMを使ったAKA認証を実施するプロトコルである。 A UICC (Universal Integrated Circuit Card: SIM (Subscriber Identity Module) card) used for authentication of a mobile terminal is widely used because of its high security function. Furthermore, 3GPP (Third Generation Partnership Project) uses GBA (Generalized Bootstrapping Architecture, Non-Patent Document 1 TS33.220) to realize single sign-on for higher-level services (Web services) based on SIM card authentication results. ) Application-level SIM authentication technology, and a technology for linking with OpenID, which is an authentication technology that can use multiple websites with a single user ID. (Non-patent document 2 3GPP TR33.980, Non-patent document 3, Non-patent document 4)
IEEE 802.1X is an authentication technology used when connecting to a LAN, and is a standard that regulates connection by authentication so that no terminal device other than a predetermined terminal device participates in the computer network. EAP-AKA is a protocol for performing AKA authentication using SIM on EAP (Extensible Authentication Protocol).

例えば、802.1X(EAP-AKA)による通信では、図4に示すように、通信が行われる。すなわち、端末(801)と公衆WiFi(802)の接続時に端末(801)から認証要求が送信される(901)と、固定網(804)のWiFi AP(802)はEAP-SIMによる認証を要求する(902)。端末(801)はSIMカード内に保存されたID情報をEAP応答に含めて送信する(903)。   For example, in communication using 802.1X (EAP-AKA), communication is performed as shown in FIG. That is, when an authentication request is sent from the terminal (801) when the terminal (801) is connected to the public WiFi (802) (901), the WiFi AP (802) of the fixed network (804) requests authentication by EAP-SIM. (902). The terminal (801) transmits the ID information stored in the SIM card in the EAP response (903).

WiFi AP(802)はID情報を固定網(804)の認証サーバ((AAA)サーバ)(803)に送信する(904)。AAAサーバ(803)はEAP-AKA認証の開始を要求する(905)。   The WiFi AP (802) transmits the ID information to the authentication server ((AAA) server) (803) of the fixed network (804) (904). The AAA server (803) requests the start of EAP-AKA authentication (905).

WiFI AP(802)は端末(801)にEAP-AKA認証開始要求を送信する(906)。   The WiFI AP (802) transmits an EAP-AKA authentication start request to the terminal (801) (906).

端末(801)はWiFi AP(802)にEAP-AKA認証開始要求に対する応答を送信する(907)。WiFi AP(802)はEAP-AKA認証開始要求への応答をAAAサーバ(803)に送信する(908)。   The terminal (801) transmits a response to the EAP-AKA authentication start request to the WiFi AP (802) (907). The WiFi AP (802) transmits a response to the EAP-AKA authentication start request to the AAA server (803) (908).

AAAサーバ(803)は移動網(809)のHSS(807)から認証データ(認証ベクトル)を取得する(909,910)。   The AAA server (803) acquires authentication data (authentication vector) from the HSS (807) of the mobile network (809) (909,910).

AAAサーバ(803)はAKA認証のチャレンジをWiFi AP(802)に送信し(911)、WiFi AP(802)は端末(801)にチャレンジを送信する(912)。   The AAA server (803) transmits an AKA authentication challenge to the WiFi AP (802) (911), and the WiFi AP (802) transmits a challenge to the terminal (801) (912).

端末(801)はチャレンジにあったレスポンス値を計算し、WiFi AP(802)経由でAAAサーバ(803)に送信する(913.914)。   The terminal (801) calculates the response value in response to the challenge and transmits it to the AAA server (803) via the WiFi AP (802) (913.914).

AAAサーバ(803)はチャレンジとレスポンス値の関係が正しければ認証を完了し、接続を許可するようにWiFi AP(802)に通知する(915)。   If the relationship between the challenge and the response value is correct, the AAA server (803) completes the authentication and notifies the WiFi AP (802) to permit the connection (915).

WiFi AP(802)は当該端末(801)の通信を許可するようMACアドレス等の端末情報を接続許可リストに登録し、端末(801)に認証完了を通知する(916)。   The WiFi AP (802) registers terminal information such as a MAC address in the connection permission list so as to permit communication of the terminal (801), and notifies the terminal (801) of the completion of authentication (916).

また、GBAは移動体網のネットワーク接続時に用いるSIM認証をHTTPベースのサービスにおいても利用する技術である。図4における移動網(809)のNAF(Network Application Function)(805)は、実際にアプリケーションを提供する機能であり、移動網(809)のBSF(Bootstrapping function)(808)は、HTTPを使ってSIM認証を行う機能である。   GBA is also a technology that uses SIM authentication for HTTP-based services when connecting to a mobile network. The NAF (Network Application Function) (805) of the mobile network (809) in FIG. 4 is a function that actually provides an application, and the BSF (Bootstrapping function) (808) of the mobile network (809) uses HTTP. This function performs SIM authentication.

GBAを用いた通信では、まず端末(801)からNAF(805)へ接続を要求する(931)とNAF(805)は認証処理を端末に要求する(932)。   In communication using GBA, first, the terminal (801) requests connection to the NAF (805) (931), and the NAF (805) requests authentication processing from the terminal (932).

端末(801)は指定されたBSF(808)にユーザIDを含む認証要求を送信する(933)。   The terminal (801) transmits an authentication request including the user ID to the designated BSF (808) (933).

BSF(808)はHSS(807)から当該ユーザのAKA認証データ(認証ベクトル)を取得する(934,935)。   The BSF (808) acquires the AKA authentication data (authentication vector) of the user from the HSS (807) (934, 935).

BSF(808)は認証データをもとにしてチャレンジを端末(801)に送信する(936)。   The BSF (808) transmits a challenge to the terminal (801) based on the authentication data (936).

端末(801)はチャレンジに対するレスポンスを計算し、認証応答としてBSF(808)に送信する(937)。   The terminal (801) calculates a response to the challenge and transmits it as an authentication response to the BSF (808) (937).

BSF(808)はチャレンジに対するレスポンスの関係が正しいかを検証し、正しい場合には認証を完了し、端末(801)に認証成功を通知する(938)。このとき、Bootstrapping Transaction Identifier(B-TID)を付与する。   The BSF (808) verifies whether the response relationship to the challenge is correct, and if it is correct, completes authentication and notifies the terminal (801) of successful authentication (938). At this time, a Bootstrapping Transaction Identifier (B-TID) is assigned.

端末(801)はB-TIDを以ってNAF(805)に再度アクセスする(939)。   The terminal (801) accesses the NAF (805) again with B-TID (939).

NAF(805)は送信されたB-TIDが本当にBSFによって払い出されたものかを検証するため、B-TIDの検証をBSF(808)に依頼する(940)。   The NAF (805) requests the BSF (808) to verify the B-TID (940) in order to verify whether the transmitted B-TID is actually issued by the BSF.

BSF(808)は検証結果をNAF(805)に通知して(941)、NAF(805)は端末(801)の認証を完了し(942)、セッションを確立する(943)。   The BSF (808) notifies the verification result to the NAF (805) (941), the NAF (805) completes authentication of the terminal (801) (942), and establishes a session (943).

また、3GPP TR33.980ではGBAを使ったアプリケーションレベルのSIM認証とOpenID/SAMLを連動して、シングルサインオンの技術を検討している。GBA-OpenID/SAML連携を用いた通信では、図5に示すように、 端末(801)からWebサービス(810)にHTTPでのシングルサインオンを用いた接続を要求する(961)。   In addition, 3GPP TR33.980 is considering single sign-on technology in conjunction with application level SIM authentication using GBA and OpenID / SAML. In communication using GBA-OpenID / SAML cooperation, as shown in FIG. 5, the terminal (801) requests a connection using HTTP single sign-on to the Web service (810) (961).

Webサービス(810)は、端末(801)に対してIdP/NAF(811)と認証するようにリダイレクトする(962)。   The Web service (810) redirects the terminal (801) to authenticate with IdP / NAF (811) (962).

端末(801)がIdP/NAF(811)に認証を要求する(963)と、IdP/NAF(811)は、BSF(808)とSIM認証するようにリダイレクトする(964)。   When the terminal (801) requests authentication from the IdP / NAF (811) (963), the IdP / NAF (811) redirects so as to perform SIM authentication with the BSF (808) (964).

端末(801)はBSF(808)にHTTPでSIMカードに記録されたユーザIDを送信して認証を要求し(965)、以降はGBAのメカニズムでHTTPによるSIM認証実施し、B-TIDを生成し、端末(801)に送付する。IdP/NAF(811)がBSF(808)にB-TIDの正当性を検証して(972,973)、端末(801)とIdP/NAF(811)間の認証が完了して、セッションが確立される(974)。   The terminal (801) sends the user ID recorded on the SIM card via HTTP to the BSF (808) and requests authentication (965). Thereafter, the SIM authentication is performed by HTTP using the GBA mechanism, and a B-TID is generated. To the terminal (801). The IdP / NAF (811) verifies the validity of the B-TID to the BSF (808) (972,973), the authentication between the terminal (801) and the IdP / NAF (811) is completed, and the session is established (974).

IdP/NAF(811)は認証が完了すると、それを示すトークンを端末(801)に払い出す(975)。   When the authentication is completed, the IdP / NAF (811) pays out a token indicating it to the terminal (801) (975).

端末(801)はそのトークンを以てWebサービス(810)に再度アクセスする(976)。   The terminal (801) accesses the Web service (810) again with the token (976).

Webサービス(810)はトークンがIdP/NAF(811)によって発行されたかどうかを検証し(977)、正当性が確認できれば(978)、Webサービス(810)と端末(801)間の認証が完了して、セッションが確立される(979)。そして、Webサービス(810)は、端末(801)に対してHTTPの応答を行う(980)。   The web service (810) verifies whether the token is issued by the IdP / NAF (811) (977), and if the validity is confirmed (978), the authentication between the web service (810) and the terminal (801) is completed. Then, the session is established (979). Then, the Web service (810) makes an HTTP response to the terminal (801) (980).

次に、3GPP TR33.980の概要を図6を参照して説明する。   Next, an outline of 3GPP TR33.980 will be described with reference to FIG.

図6において、モバイル網(移動網)(101)におけるIdP(102)は、ユーザの認証と属性情報を提供する機能であり、ユーザがWebサービス(103)にアクセスすると、Webサービス(103)はIdP(102)にアクセスをリダイレクトする。IdP(102)はこれを受けてSIMを用いた端末認証を行う。また、IdP(102)はユーザのCookieを確認して、既に認証済みである場合は、2回目以降のユーザに対する認証は行わず、シングルサインオンを実施する。また、IdP(102)はユーザに関してWebサービス(103)が要求する属性情報を、DBから取得して、Webサービスに送信する。この際、サービスに情報を送信して良いかどうか、ポリシーを確認する。   In FIG. 6, an IdP (102) in the mobile network (mobile network) (101) is a function for providing user authentication and attribute information. When the user accesses the Web service (103), the Web service (103) Redirect access to the IdP (102). In response to this, the IdP (102) performs terminal authentication using SIM. Also, the IdP (102) confirms the user's cookie, and if it has already been authenticated, the user is not authenticated for the second and subsequent times, and single sign-on is performed. Also, the IdP (102) acquires attribute information requested by the Web service (103) regarding the user from the DB and transmits it to the Web service. At this time, the policy is checked to see if information can be sent to the service.

HSS(104)は、加入者データベースサーバであり、ユーザのNW(ネットワーク)接続に関する認証情報、ネットワークサービス加入属性情報を管理する。   The HSS (104) is a subscriber database server, and manages authentication information related to user NW (network) connection and network service subscription attribute information.

ID連携プロファイルサーバ(105)は、IdP(102)IDを発行する際にWebサービス(103
)に対して認証情報や属性情報の提供をして良いか否かの情報であるID発行条件を、ユーザ毎に管理するサーバである。 ID federation profile server (105), IdP (102) W when to issue ID eb service (103
) Is a server that manages ID issuing conditions, which are information indicating whether or not to provide authentication information and attribute information for each user .

上記構成のシステムにおいては、次のように端末とWebサービスとの間の認証か行われる。   In the system configured as described above, authentication between the terminal and the Web service is performed as follows.

端末(106)がWebサービス(103)を利用するためアクセスする。   The terminal (106) accesses to use the Web service (103).

Webサービス(103)はユーザの認証を要求し、IdP(102)と通信するように端末(106)からのアクセスをリダイレクトする。   The web service (103) requests user authentication and redirects access from the terminal (106) to communicate with the IdP (102).

端末(106)とIdP(102)の間でSIMカードを使った認証を実行する(認証(SIM))。   Authentication using a SIM card is executed between the terminal (106) and the IdP (102) (authentication (SIM)).

IdP(102)はID連携プロファイルサーバ(105) にID発行条件を問い合わせ、ID連携プロファイルサーバ(105)はID発行条件を応答する(プロファイル確認)。 The IdP (102) inquires of the ID association profile server (105) about the ID issuance conditions , and the ID association profile server (105) responds with the ID issuance conditions (profile confirmation).

Webサービス(103)はIdP(102)に対して当該のアクセスに対する認証をIdP(102)に依頼し、当該ユーザのIDの検証を要求する(ID検証要求)。   The Web service (103) requests the IdP (102) to authenticate the access to the IdP (102) and requests verification of the ID of the user (ID verification request).

IdP(102)からWebサービス(103)にID検証結果を通知する(ID検証結果)。   The ID verification result is notified from the IdP (102) to the Web service (103) (ID verification result).

端末(106)とWebサービス(103)の認証が完了する(認証完了)。   Authentication of the terminal (106) and the Web service (103) is completed (authentication complete).

3GPP TR33.980 V11.4.0(2012-09)3GPP TR33.980 V11.4.0 (2012-09) 3GPP TR33.980 V11.0.0(2012-09)3GPP TR33.980 V11.0.0 (2012-09) Andreas Leicher, Andreas U. Schmidt, and Yogendra Shah, “SmartOpenID: A Smart Card Based OpenID Protocol,” SEC 2012, IFIP AICT 376, pp. 75-86, 2012, IFIP International Federation for Information Processing 2012Andreas Leicher, Andreas U. Schmidt, and Yogendra Shah, “SmartOpenID: A Smart Card Based OpenID Protocol,” SEC 2012, IFIP AICT 376, pp. 75-86, 2012, IFIP International Federation for Information Processing 2012 Charlott Lorentzen, Markus Fiedler, and Peter Lorentzen, “Decisive Factors for Quality of Experience of OpenID Authentication Using EAP,” ADVANCES IN ELECTRONICS AND TELECOMMUNICATIONS, VOL. 2, NO. 3, SEPTEMBER 2011Charlott Lorentzen, Markus Fiedler, and Peter Lorentzen, “Decisive Factors for Quality of Experience of OpenID Authentication Using EAP,” ADVANCES IN ELECTRONICS AND TELECOMMUNICATIONS, VOL. 2, NO. 3, SEPTEMBER 2011

しかしながら、前述した従来のシステムにおいては、ID提供サーバ(IdP:Identity Provider)(102)は、端末が認証を要求してきたサービスに対して、SIMカードを使った認証結果を提供する機能である。また、IdP(102)は、本来単一の通信網事業者が管理・運用するものであったが、異なるネットワーク(通信網)間で同一IDに基づいた認証情報をWebサービス事業者に提供する場合、IDの払い出し条件が統一できない。   However, in the above-described conventional system, the ID providing server (IdP: Identity Provider) (102) is a function that provides an authentication result using a SIM card to a service that the terminal requests authentication. In addition, IdP (102) was originally managed and operated by a single network operator, but provides authentication information based on the same ID to web service providers across different networks (communication networks). In this case, the ID payout conditions cannot be unified.

上記課題に関して図7を参照して詳細に説明する。   The above problem will be described in detail with reference to FIG.

図7において、前述した図6と同一構成部分は同一符号をもって表す。   In FIG. 7, the same components as those of FIG.

AAAサーバ(204)は、固定網(201)においてモバイル網(101)を運営する移動体事業者のSIMカードを使ってネットワークに接続するための認証サーバであり、認証データの問い合わせのため、モバイル網(101)のHSS(104)にSIMによる認証に必要な認証情報を問い合わせる。   The AAA server (204) is an authentication server for connecting to the network using the SIM card of the mobile operator operating the mobile network (101) in the fixed network (201). The HSS (104) of the network (101) is inquired about authentication information required for SIM authentication.

ここでは固定網(201)でもIdP機能を持ち、移動体端末(106)が固定網(201)にWiFi等で移動体事業者のSIMカードを使って接続し、WebサービスにSIMの認証データを提供するケースを想定して説明する。   Here, the fixed network (201) also has an IdP function, the mobile terminal (106) connects to the fixed network (201) using a mobile operator's SIM card via WiFi, etc., and SIM authentication data is sent to the web service. This will be explained assuming the case to be provided.

図4を参照して説明したEAP-AKAと同様に、端末(106)は固定網(201)にSIM認証による認証後、固定網(201)に接続する。   Similar to EAP-AKA described with reference to FIG. 4, the terminal (106) connects to the fixed network (201) after authenticating to the fixed network (201) by SIM authentication.

端末(106)からWebサービス(103A,103B)にアクセスする。   The Web service (103A, 103B) is accessed from the terminal (106).

Webサービス(103A,103B)は端末を認証のためIdP(202)にリダイレクトして、ID発行を依頼する。   The Web service (103A, 103B) redirects the terminal to the IdP (202) for authentication and requests ID issuance.

端末(106)とIdP(202)の間でSIM認証手続きを実施する。   A SIM authentication procedure is performed between the terminal (106) and the IdP (202).

IdP(202)はSIM認証に用いる認証データを取得するためAAAサーバ(204)を介してHSS(104)からSIM認証データを取得する。   The IdP (202) acquires SIM authentication data from the HSS (104) via the AAA server (204) in order to acquire authentication data used for SIM authentication.

認証完了後、IdP(202)はID連携プロファイルサーバ(203)にID発行条件を要求する。   After the authentication is completed, the IdP (202) requests an ID issue condition from the ID association profile server (203).

このとき、固定網(201)のID連携プロファイルサーバ(203)は当該のユーザに対応したID発行条件を持っていないため、IdP(202)において認可を要求してきたWebサービス(103A,103B)に対してID情報を提供してよいのか判断できない。   At this time, since the ID federation profile server (203) of the fixed network (201) does not have the ID issuing condition corresponding to the user, the Web service (103A, 103B) that requested authorization in the IdP (202) On the other hand, it is impossible to determine whether ID information can be provided.

本発明は上記の問題点に鑑み、固定網やモバイル網などの通信網の違いによらずSIM等を用いるネットワーク認証を使ったシングルサインオンが可能であり、端末がアクセスするネットワーク(通信網)の違いによりWebサービス側でSIM認証が使えなくなることがない通信サービスの認証・接続システム、及びその方法を提供することである。   In view of the above problems, the present invention is capable of single sign-on using network authentication using SIM or the like regardless of a difference between communication networks such as a fixed network and a mobile network, and a network (communication network) accessed by a terminal It is to provide a communication service authentication / connection system and method for preventing the SIM authentication from being used on the Web service side due to the difference between the two.

本発明は上記の目的を達成するために、第1通信網に接続された端末から第2通信網に対応する認証情報を用いてWebサービスにアクセスしたときに、該Webサービスが前記第1通信網のID提供サーバに前記端末に対するID発行を依頼し、該ID提供サーバは前記第1通信網のID連携プロファイルサーバにID発行条件を要求し、前記ID提供サーバが前記ID連携プロファイルサーバからID発行条件を得られたときに前記端末の前記Webサービスへのアクセスが可能となる通信サービス認証・接続システムにおいて、複数の通信網の前記ID連携プロファイルサーバに接続可能なプロファイル連携プロキシを設け、前記プロファイル連携プロキシは、前記複数の通信網におけるID連携プロファイルサーバ間でID発行条件を流通する機能と、前記第1通信網のID連携プロファイルサーバからの前記ID発行条件の問い合わせを解析して、前記認証情報を発行した問い合わせ対象となる前記第2通信網のID連携プロファイルサーバを解析する機能と、前記問い合わせ対象となる第2通信網のID連携プロファイルサーバに対してID発行条件を問い合わせる機能と、前記問い合わせ対象となる第2通信網のID連携プロファイルサーバから受信したID発行条件を問い合わせ元の前記ID連携プロファイルサーバに送信する機能とを備え、前記第1通信網のID提供サーバは、前記Webサービスから前記端末に対するID発行依頼を受けたときに、前記第1通信網のID連携プロファイルサーバと前記プロファイル連携プロキシとを介して前記第2通信網のID連携プロファイルサーバから前記端末のID発行条件を取得することにより、前記端末のシングルサインオンを確立する機能を備えていることを特徴とする通信サービス認証・接続システムを提案する。   In order to achieve the above object, according to the present invention, when a Web service is accessed from a terminal connected to the first communication network using authentication information corresponding to the second communication network, the Web service is configured to receive the first communication. Requesting the ID provision server of the network to issue an ID to the terminal, the ID provision server requests an ID issuance condition from the ID cooperation profile server of the first communication network, and the ID provision server receives an ID from the ID cooperation profile server. In a communication service authentication / connection system that enables access to the Web service of the terminal when an issuance condition is obtained, a profile cooperation proxy that can be connected to the ID cooperation profile server of a plurality of communication networks is provided, The profile cooperation proxy has a function of distributing ID issuance conditions between ID cooperation profile servers in the plurality of communication networks, and an ID cooperation process of the first communication network. A function of analyzing an inquiry about the ID issuance condition from a file server and analyzing an ID association profile server of the second communication network that is an inquiry target that issued the authentication information; and a second communication network that is the inquiry target A function for inquiring ID issuing conditions from the ID association profile server, and a function for transmitting the ID issuing conditions received from the ID association profile server of the second communication network to be inquired to the ID association profile server that is the inquiry source When the ID providing server of the first communication network receives an ID issuance request for the terminal from the Web service, the ID providing server via the ID cooperation profile server of the first communication network and the profile cooperation proxy By acquiring the terminal ID issuing condition from the ID link profile server of the second communication network, the terminal We propose a communication service authentication and connection system characterized to have a function to establish a single sign-on.

さらに、本発明は上記の目的を達成するために、第1通信網に接続された端末から第2通信網に対応する認証情報を用いてWebサービスにアクセスしたときに、該Webサービスが前記第1通信網のID提供サーバにID発行を依頼し、該ID提供サーバは前記第1通信網のID連携プロファイルサーバにID発行条件を要求し、前記ID提供サーバが前記ID連携プロファイルサーバからID発行条件を得られたときに前記端末の前記Webサービスへのアクセスを可能にする通信サービス認証・接続方法において、複数の通信網の前記ID連携プロファイルサーバに接続可能なプロファイル連携プロキシを設け、前記プロファイル連携プロキシは、前記複数の通信網におけるID連携プロファイルサーバ間でID発行条件を流通し、前記第1通信網のID連携プロファイルサーバからの前記ID発行条件の問い合わせを解析して、前記認証情報を発行した問い合わせ対象となる前記第2通信網のID連携プロファイルサーバを解析し、前記問い合わせ対象となる第2通信網のID連携プロファイルサーバに対してID発行条件の問い合わせを行い、前記問い合わせ対象となる第2通信網のID連携プロファイルサーバから受信したID発行条件を問い合わせ元の前記ID連携プロファイルサーバに送信し、前記第1通信網のID提供サーバは、前記Webサービスから前記端末に対するID発行依頼を受けたときに、前記第1通信網のID連携プロファイルサーバと前記プロファイル連携プロキシとを介して前記第2通信網のID連携プロファイルサーバから前記端末のID発行条件を取得することにより、前記端末のシングルサインオンを確立することを特徴とする通信サービス認証・接続方法を提案する。   Further, in order to achieve the above object, according to the present invention, when a Web service is accessed from a terminal connected to the first communication network using authentication information corresponding to the second communication network, Request an ID issuance from an ID providing server of one communication network, the ID providing server requests an ID issuance condition from the ID association profile server of the first communication network, and the ID providing server issues an ID from the ID association profile server. In a communication service authentication / connection method that enables access to the Web service of the terminal when conditions are obtained, a profile cooperation proxy that can be connected to the ID cooperation profile server of a plurality of communication networks is provided, and the profile The cooperative proxy distributes ID issuing conditions between the ID cooperative profile servers in the plurality of communication networks, and from the ID cooperative profile server of the first communication network Analyzing the inquiry of the ID issue condition, analyzing the ID linkage profile server of the second communication network that is the inquiry target that issued the authentication information, and sending it to the ID linkage profile server of the second communication network that is the inquiry target The ID issuance condition is inquired, and the ID issuance condition received from the ID association profile server of the second communication network to be inquired is transmitted to the ID association profile server of the inquiry source, and the ID of the first communication network is transmitted. When the provision server receives an ID issuance request for the terminal from the Web service, the provision server receives the ID cooperation profile server of the second communication network via the ID cooperation profile server of the first communication network and the profile cooperation proxy. By establishing the terminal ID issuance conditions, the terminal establishes single sign-on. To propose a communication service authentication and connection method that.

本発明の通信サービス認証・接続システム及びその方法によれば、固定網やモバイル網などの通信網の違いによらずSIM等の認証情報を用いるネットワーク認証を使ったシングルサインオンが可能となり、端末がアクセスする通信網の違いによりWebサービス側で認証情報が使えなくなることがない。   According to the communication service authentication / connection system and the method of the present invention, single sign-on using network authentication using authentication information such as SIM is possible regardless of the difference of communication networks such as a fixed network and a mobile network, and a terminal The authentication information cannot be used on the Web service side due to the difference in the communication network to access.

本発明の通信サービス認証・接続システムの概要を説明する図The figure explaining the outline | summary of the communication service authentication and connection system of this invention 本発明の一実施形態における通信サービス認証・接続システムを示す構成図The block diagram which shows the communication service authentication and the connection system in one Embodiment of this invention 本発明の一実施形態における通信サービス認証・接続システムの通信の詳細を説明する図The figure explaining the detail of communication of the communication service authentication and the connection system in one Embodiment of this invention 802.1X(EAP-AKA)による通信を説明する図Diagram explaining 802.1X (EAP-AKA) communication GBA-OpenID/SAML連携(3GPP 33.980)を用いた通信を説明する図Diagram explaining communication using GBA-OpenID / SAML integration (3GPP 33.980) 従来例の3GPP TR33.980の概要を説明する図Diagram explaining the outline of the conventional 3GPP TR33.980 従来例の通信サービス認証・接続システムにおける課題を説明する図The figure explaining the subject in the communication service authentication and connection system of a prior art example

本発明はネットワーク(通信網)間においてシングルサインオン可能なサイト情報の交換機能を配備することで、ユーザがシングルサインオンにより認証する登録サイト情報を交換し、異なるネットワークにアクセスしてもSIMカード等による認証を可能とし、同一の条件で共通IDによってサービスへの認証・接続を行う技術である。   The present invention provides a site information exchange function capable of single sign-on between networks (communication networks), thereby exchanging registered site information authenticated by single sign-on by a user and accessing a different network with a SIM card. This is a technology that enables authentication by means of, etc., and authenticates and connects to services using a common ID under the same conditions.

以下に、その一実施形態の詳細を説明する。   Details of the embodiment will be described below.

なお、本実施形態では、固定網(201)においてモバイル網(101)を運営する移動体事業者のSIM認証カードを使って接続する場合に関して説明する。   In the present embodiment, a case will be described in which a fixed network (201) is connected using a SIM authentication card of a mobile operator operating the mobile network (101).

まず、図1を参照して、本発明の通信サービス認証・接続システムの概要を説明する。なお、以下の説明においては、固定通信網を固定網、モバイル通信網をモバイル網と称する。   First, the outline of the communication service authentication / connection system of the present invention will be described with reference to FIG. In the following description, the fixed communication network is referred to as a fixed network, and the mobile communication network is referred to as a mobile network.

図1において、前述した従来例と同一構成部分は同一符号をもって表す。   In FIG. 1, the same components as those of the conventional example described above are denoted by the same reference numerals.

モバイル網(移動網)(101)におけるIdP(ID提供サーバ:Identity Provider)(102)は、ユーザの認証と属性情報を提供する機能を有し、ユーザがモバイル網(101)を介して端末(106)によってWebサービス(103A,103B)にアクセスすると、Webサービス(103A,103B)はIdP(102)にアクセスをリダイレクトする。IdP(102)はこれを受けてSIMを用いた端末認証を行う。   An IdP (Identity Provider Server: Identity Provider) (102) in a mobile network (mobile network) (101) has a function of providing user authentication and attribute information, and a user (terminal ( When the Web service (103A, 103B) is accessed by 106), the Web service (103A, 103B) redirects the access to the IdP (102). In response to this, the IdP (102) performs terminal authentication using SIM.

また、IdP(102)はCookie等を利用してユーザ認証状態を確認して、既に認証済みである場合は、2回目以降のユーザに対する認証は行わず、シングルサインオン機能を実現する。また、IdP(102)はユーザに関してWebサービス(103A,103B)が要求する属性情報を、データベースから取得して、Webサービス(103A,103B)に送信する。この際、サービスに情報を送信して良いかどうかのポリシーを確認する。   Also, the IdP (102) confirms the user authentication status using a cookie or the like, and if it has already been authenticated, the user is not authenticated for the second and subsequent times, and realizes a single sign-on function. Also, the IdP (102) acquires attribute information requested by the Web service (103A, 103B) regarding the user from the database, and transmits the attribute information to the Web service (103A, 103B). At this time, the policy of whether or not to send information to the service is confirmed.

HSS(104)は、加入者データベースサーバであり、ユーザのモバイル網(ネットワーク)(101)への接続に関する認証情報とネットワークサービス加入属性情報などを管理する。
The HSS (104) is a subscriber database server, and manages authentication information related to the user's connection to the mobile network (network) (101), network service subscription attribute information, and the like.

ID連携プロファイルサーバ(105)は、IdP(102)IDを発行する際にWebサービス(103A,103B)に対して認証情報や属性情報の提供をして良いか否かの情報であるID発行条件を、ユーザ毎に管理するサーバである。 ID federation profile server (105) is a W eb service (103A, 103B) with respect to it whether the information by providing authentication information and attribute information when IdP to (102) issues an ID ID It is a server that manages issuing conditions for each user .

IdP(202)は、ユーザの認証情報と属性情報を提供する機能を有し、ユーザが端末(106)によって固定網(201)を介してWebサービス(103A,103B)にアクセスすると、Webサービス(103A,103B)はIdP(202)にアクセスをリダイレクトする。IdP(202)はこれを受けてSIMを用いた端末認証を行う。   The IdP (202) has a function of providing user authentication information and attribute information.When the user accesses the web service (103A, 103B) via the fixed network (201) by the terminal (106), the web service (103A, 103B) 103A, 103B) redirects access to the IdP (202). In response to this, the IdP (202) performs terminal authentication using SIM.

また、IdP(202)はCookie等を利用してユーザの認証状態を確認して、既に認証済みである場合は、2回目以降のユーザに対する認証は行わず、シングルサインオン機能を実現する。また、IdP(202)はユーザに関してWebサービス(103A,103B)が要求する属性情報を、データベースから取得して、Webサービス(103A,103B)に送信する。この際、サービスに情報を送信して良いかどうかポリシー、すなわちID発行条件を確認する。   Also, the IdP (202) confirms the user authentication state using a cookie or the like, and if it has already been authenticated, it does not authenticate the user for the second time or later, and realizes a single sign-on function. Also, the IdP (202) acquires attribute information requested by the Web service (103A, 103B) regarding the user from the database, and transmits the attribute information to the Web service (103A, 103B). At this time, the policy, that is, the ID issuance condition, is checked to determine whether information can be transmitted to the service.

ID連携プロファイルサーバ(203)は、IdP(202)IDを発行する際にWebサービス(103A,103B)に対して認証情報や属性情報の提供をして良いか否かの情報であるID発行条件を、ユーザ毎に管理するサーバである。 ID federation profile server (203) is a W eb service (103A, 103B) with respect to it whether the information by providing authentication information and attribute information when IdP to (202) issues an ID ID It is a server that manages issuing conditions for each user .

AAAサーバ(204)は、固定網(201)においてモバイル網(101)を運営する移動体事業者のSIMカードを使って接続するための認証サーバであり、認証データの問い合わせのため、モバイル網(101)のHSS(104)にSIMによる認証データを問い合わせる。   The AAA server (204) is an authentication server for connecting using a SIM card of a mobile operator operating the mobile network (101) in the fixed network (201). 101) HSS (104) of 101) is inquired about authentication data by SIM.

プロファイル連携プロキシ(300)は、ネットワークサービス事業者間、ここでは固定網(201)とモバイル網(101)との間でユーザIDの発行事業者が管理しているID情報のWebサービス(103A,103B)へのID発行条件を管理流通するために、ID発行条件の取得・回答を行う機能を有する。   The profile linkage proxy (300) is a web service (103A, ID information) managed by a user ID issuer between network service providers, here between the fixed network (201) and the mobile network (101). In order to manage and distribute ID issuing conditions to 103B), it has a function to acquire and reply to ID issuing conditions.

なお、プロファイル連携プロキシ(300)の配備については2つのモデルが考えられる。1つは、固定網(201)に配備して、固定網(201)が複数のモバイル網のモバイルネットワーク事業者とIDを連携する場合に各モバイル網に問い合わせるために中継するモデルである。他方は、固定網(201)でもなく、モバイル網(101)でもなく、固定網(201)とモバイル網(101)の接続可能な第三者の仲介事業者の通信網にプロファイル連携プロキシ(300)を配備し、第三者の仲介事業者が固定網(201)とモバイル網(101)の事業者間のID連携を仲介するモデルである。この場合、固定網(201)でもモバイル網(101)でもない第三のネットワーク(インターネットも含む)にプロファイル連携プロキシ(300)が配備されることになる。プロファイル連携プロキシはサーバであるので、ネットワークに接続したコンピュータ上のソフトウェア機能になる。   There are two models for the deployment of the profile cooperation proxy (300). One is a model that is deployed in a fixed network (201) and relays to inquire each mobile network when the fixed network (201) links IDs with mobile network operators of a plurality of mobile networks. The other is not the fixed network (201) or the mobile network (101), but the profile link proxy (300) is connected to the communication network of a third party intermediary that can connect the fixed network (201) and the mobile network (101). ), And a third-party intermediary operator mediates ID linkage between the operators of the fixed network (201) and the mobile network (101). In this case, the profile linkage proxy (300) is deployed in a third network (including the Internet) that is neither the fixed network (201) nor the mobile network (101). Since the profile linkage proxy is a server, it becomes a software function on a computer connected to the network.

次に、図1に示す構成からなる通信サービス認証・接続システムの動作を説明する。   Next, the operation of the communication service authentication / connection system configured as shown in FIG. 1 will be described.

端末(106)は固定網(201)にSIM認証による認証後、固定網(201)に接続する。   The terminal (106) connects to the fixed network (201) after authenticating to the fixed network (201) by SIM authentication.

端末(106)からWebサービス(103A,103B)にアクセスする。   The Web service (103A, 103B) is accessed from the terminal (106).

Webサービス(103A,103B)はIdP(202)にID発行を依頼する。   The Web service (103A, 103B) requests the IdP (202) to issue an ID.

端末(106)とIdP(202)の間でSIM認証手続きを実施する。   A SIM authentication procedure is performed between the terminal (106) and the IdP (202).

IdP(202)はSIM認証に用いる認証データを取得するためAAAサーバか(204)らSIM認証データを取得する。   The IdP (202) acquires SIM authentication data from the AAA server (204) in order to acquire authentication data used for SIM authentication.

認証完了後、IdP(202)はID連携プロファイルサーバ(203)にID発行条件を要求する。   After the authentication is completed, the IdP (202) requests an ID issue condition from the ID association profile server (203).

ID連携プロファイルサーバ(203)は、モバイル網(101)の事業者が発行したユーザIDであることをキーとして発行元にID情報の発行条件を問い合わせるため、プロファイル連携プロキシ(300)に問い合わせる。   The ID linkage profile server (203) makes an inquiry to the profile linkage proxy (300) to inquire the issuer of the ID information using the user ID issued by the operator of the mobile network (101) as a key.

プロファイル連携プロキシ(300)は、要求されたユーザIDの発行元の通信網事業者を特定し、当該通信網事業者のID連携プロファイルサーバ(105)からID発行条件を取得し、固定網(201)のID連携プロファイルサーバ(203)に応答する。   The profile cooperation proxy (300) identifies the communication network operator that issued the requested user ID, acquires the ID issuance conditions from the ID cooperation profile server (105) of the communication network operator, and acquires the fixed network (201 ) To the ID federated profile server (203).

ID連携プロファイルサーバ(203)は、IdP(202)にID発行条件を応答する。 The ID association profile server (203) returns an ID issuance condition to the IdP (202).

以上の処理によって、移動体事業者が発行したIDの発行条件に沿って固定網(201)のIdP(202)でもユーザIDの発行を制御することが可能となる。   Through the above processing, it is possible to control the issuance of user IDs even with the IdP (202) of the fixed network (201) in accordance with the issuance conditions of IDs issued by mobile carriers.

次に、本実施形態におけるプロファイル連携プロキシの詳細を図2及び図3を参照して説明する。図2は構成図であり、図3は通信の詳細を説明する図である。   Next, details of the profile cooperation proxy in the present embodiment will be described with reference to FIGS. FIG. 2 is a configuration diagram, and FIG. 3 is a diagram illustrating details of communication.

図2に示すように、固定網(201)のIdP(202)はID発行部(202A)と認証処理部(202B)とID発行条件確認部(202C)を備えてる。 As shown in FIG. 2, the IdP (202) of the fixed network (201) includes an ID issuing unit (202A), an authentication processing unit (202B), and an ID issuing condition confirmation unit (202C).

ID発行部(202A)は、Webサービス(103A,103B)に対してIdP(202)が認証したユーザのID情報を発行する機能を有する。   The ID issuing unit (202A) has a function of issuing ID information of a user authenticated by the IdP (202) to the Web service (103A, 103B).

認証処理部(202B)は、端末(106)と通信して、SIM認証要求をAAAサーバ(204)に送信し、AAAサーバ(204)でSIM認証が完了するとAAAサーバ(204)に認可情報を要求する機能を有する。   The authentication processing unit (202B) communicates with the terminal (106), sends a SIM authentication request to the AAA server (204), and when the AAA authentication is completed by the AAA server (204), authorization information is sent to the AAA server (204). Has the required function.

ID発行条件確認部(202C)は、ID連携プロファイルサーバ(203)と通信してユーザのID連携に関する属性情報であるID発行条件を取得する機能を有する。 The ID issuance condition confirmation unit (202C) has a function of communicating with the ID association profile server (203) to acquire an ID issuance condition that is attribute information related to user ID association.

ID連携プロファイルサーバ(203)は、IdP(202)に対してユーザのID連携属性情報であるID発行条件を提供する機能を有する。具体的には、WebサービスごとにユーザがID連携機能によって認証することを登録しているかどうかなどの情報を送信する。このとき、IDを自網で発行した場合には、ID連携プロファイルサーバ(203)内のユーザ属性情報DB(203B)のデータを参照する。他の事業者が発行するIDの場合は、他事業者のIDに関するID発行条件を取得するため、プロファイル連携プロキシ(300)にサービス登録状況を要求する。 The ID link profile server (203) has a function of providing ID issue conditions , which are user ID link attribute information, to the IdP (202). Specifically, for each Web service, information such as whether the user is registered to authenticate using the ID linkage function is transmitted. At this time, when the ID is issued in the own network, the data of the user attribute information DB (203B) in the ID association profile server (203) is referred to. In the case of an ID issued by another business operator, a service registration status is requested to the profile linkage proxy (300) in order to acquire an ID issue condition related to the ID of the other business operator.

また、固定網(201)のID連携プロファイルサーバ(203)はサービス登録状況判定部(203A)と認可事業者識別部(203C)、他事業者認可条件判定部(203D)を備え、サービス登録状況判定部(203A)はユーザ属性情報DB(203B)有する。   In addition, the ID link profile server (203) of the fixed network (201) includes a service registration status determination unit (203A), an authorized operator identification unit (203C), and another operator authorization condition determination unit (203D), and the service registration status The determination unit (203A) has a user attribute information DB (203B).

サービス登録状況判定部(203A)は、自社が発行したIDについてユーザ毎にID連携対象として登録されたサービスの一覧を管理するユーザ属性情報DB(203B)を有し、ID連携サービスに登録しているユーザについて、登録された属性を管理し、IdP(202)からの問い合わせに応じてユーザ毎のサービス登録状況を確認し、ID連携可否情報であるID発行条件をIdPに応答するとともに、IdP(202)からのID発行条件の要求に応じてユーザ属性情報DB(203B)から当該ユーザのID発行条件を取り出して応答する機能を有する。 The service registration status determination unit (203A) has a user attribute information DB (203B) that manages a list of services registered as ID linkage targets for each user for IDs issued by the company, and registers with the ID linkage service. For registered users, the registered attributes are managed, the service registration status for each user is confirmed in response to an inquiry from the IdP (202) , the ID issuance information that is ID linkage availability information is returned to the IdP, and the IdP ( 202) has a function of responding by retrieving the ID issuing condition of the user from the user attribute information DB (203B) in response to the ID issuing condition request from 202).

また、サービス登録状況判定部(203A)は、特定ユーザの特定サービスへの登録状況を確認し、登録状態を応答する機能も持つ。このため、サービス登録状況判定部(203A)は、ユーザ属性情報データベース(203B)によりユーザのID発行条件を保存する。 The service registration status determination unit (203A) also has a function of confirming the registration status of a specific user with a specific service and responding with the registration status. Therefore, the service registration status determination unit (203A) stores the user ID issuance condition by the user attribute information database (203B).

認可事業者識別部(203C)は、IdP(202)から問い合わせを受けたユーザの各サービスへの登録状況の問い合わせに対して、問い合わせ対象のユーザIDのドメイン情報等からID発行元である通信網事業者を特定し、他の通信網事業者かどうかを判定し、自社ユーザについてはサービス登録状況判定部(203A)に問い合わせ、他の通信網事業者のユーザについては他の通信網事業者の認可条件判定部(203D)によってプロファイル連携プロキシ(300)に対して他通信網事業者IDによるサービス登録状況を問い合わせるように振り分け処理を行う機能を有する。   In response to the inquiry about the registration status of each user's service inquired from the IdP (202), the authorized carrier identification unit (203C) determines the communication network that is the ID issuer from the domain information of the user ID to be inquired Identify the operator, determine whether it is another network operator, inquire about the service registration status determination unit (203A) for its own users, and other network operators for users of other network operators The authorization condition determination unit (203D) has a function of performing distribution processing so that the profile cooperation proxy (300) is inquired about the service registration status by the other communication network operator ID.

他の通信網事業者の認可条件判定部(203D)は、認可事業者識別部(203C)で振り分けた要求を受信し、認可事業者識別部(203C)において他の通信網事業者のユーザと判定された場合に、プロファイル連携プロキシ(300)を介して他の通信網事業者のID連携プロファイルサーバ(105)に対してサービス登録状況を問い合わせ、ID連携可否情報であるID発行条件をIdP(202)に応答する機能を有する。 The authorization condition determination unit (203D) of another network operator receives the request distributed by the authorized operator identification unit (203C), and the authorized carrier identification unit (203C) communicates with the user of the other network operator. If it is determined, the ID registration profile server (105) of the other network operator is inquired of the service registration status via the profile cooperation proxy (300), and the ID issuance information which is ID cooperation availability information is set to IdP ( 202).

プロファイル連携プロキシ(300)は、サービス登録状況要求受信部(311)、サービス登録状況要求送信部(312)、サービス登録状況応答受信部(313)、サービス登録状況応答送信部(314)、リクエスト生成・管理部(315)を備えている。   The profile linkage proxy (300) includes a service registration status request reception unit (311), a service registration status request transmission unit (312), a service registration status response reception unit (313), a service registration status response transmission unit (314), and a request generation -A management unit (315) is provided.

サービス登録状況要求受信部(311) および送信部(312)は、サービス登録状況の要求を送受信する機能を有する。 The service registration status request reception unit (311) and the transmission unit (312) have a function of transmitting and receiving a request for service registration status.

サービス登録状況応答受信部(313) および送信部(314)は、サービス登録状況の応答を送受信する機能を有する。 The service registration status response reception unit (313) and the transmission unit (314) have a function of transmitting and receiving a service registration status response.

また、リクエスト生成・管理部(315)は、宛先事業者判定機能(315A)と、リクエストID対応生成機能(315B)、リクエスト生成元事業者判定機能(315C)、リクエストID対応確認・復元機能(315D)を備えている。   The request generation / management unit (315) includes a destination operator determination function (315A), a request ID correspondence generation function (315B), a request generation source operator determination function (315C), a request ID correspondence confirmation / restore function ( 315D).

リクエスト生成・管理部(315)は、ID発行元の通信網事業者を識別し、管理用のIDを付与して認可条件の取得に必要な信号を生成し、ID発行元のID連携プロファイルサーバに問い合わせる機能を有する。このため、リクエスト生成・管理部(315)は、宛先となる通信網事業者の判定機能(315A)と、受信した応答とリクエストの対応関係を管理するためのリクエストIDの生成機能(315A)、リクエスト生成元の通信網事業者の判定機能(315C)、リクエストID対応確認・復元機能(315D)を備え、要求送信元と要求送信先の通信網事業者へのID発行条件の送受信に必要な信号の変換機能(プロトコル、ヘッダ情報の生成、削除等)を有する。   The request generation / management unit (315) identifies the ID network operator of the ID issuer, assigns an ID for management, generates a signal necessary for obtaining the authorization conditions, and generates an ID link profile server of the ID issuer It has a function to make an inquiry. For this reason, the request generation / management unit (315) includes a determination function (315A) of the destination network operator, a request ID generation function (315A) for managing the correspondence between the received response and the request, It is equipped with a function to determine the request carrier's network operator (315C) and a request ID correspondence confirmation / restoration function (315D), which is necessary for sending and receiving ID issuance conditions to the request source and request destination network operators. It has signal conversion functions (protocol, header information generation, deletion, etc.).

これにより、プロファイル連携プロキシ(300)は、複数の通信網の事業者間でID発行条件の流通を可能とする機能と、所定通信網のID連携プロファイルサーバからのID発行条件の問い合わせを解析し、端末(106)が送信した認証情報を発行した問い合わせ対象の通信網事業者のID連携プロファイルサーバを解析する機能と、問い合わせ対象となる通信網事業者のID連携プロファイルサーバにID発行条件を問い合わせる機能と、問い合わせ対象のID連携プロファイルサーバから受信したID発行条件を問い合わせ元のID連携プロファイルサーバに送信する機能とを持つ。   As a result, the profile cooperation proxy (300) analyzes the ID issuance condition inquiry from the ID cooperation profile server of the predetermined communication network and the function that enables the distribution of the ID issuance conditions among the operators of the plurality of communication networks. The function of analyzing the ID link profile server of the communication target network operator that issued the authentication information transmitted from the terminal (106), and the ID link profile server of the communication target network provider that is the target of the inquiry And a function for transmitting the ID issuing condition received from the ID federated profile server to be inquired to the ID federated profile server that is the inquiry source.

すなわち、プロファイル連携プロキシ(300)は、通信網事業者間でID連携プロファイルを交換する際に、問い合わせ対象のユーザIDからIDの発行元通信網事業者を特定し、当該通信網事業者のID連携プロファイルサーバの宛先を解決し、宛先通信網事業者に対応した要求信号に整形してリクエストを転送し、その応答として受信したID連携可否情報を変形してリクエスト送信元の通信網事業者のID連携プロファイルサーバに返送する。この際、ID発行条件の問い合わせの要求・応答の信号の中継時に、問い合わせ元通信網事業者及び問い合わせ先通信網事業者のポリシーによって信号内容を変換情報の削除・置換等することにより、通信網事業者間で流通すべきでない情報を隠ぺい可能とする。 That is, when exchanging an ID federation profile between communication network operators, the profile linkage proxy (300) specifies the ID issuing network operator from the user ID to be inquired, and the ID of the communication network operator. Resolve the destination of the linkage profile server, format the request signal corresponding to the destination network operator, transfer the request, transform the ID linkage availability information received as a response, and change the request carrier's network operator Return to the ID federation profile server. At this time, by relaying the request / response signal of the ID issuance condition inquiry, the signal content is converted ( deletion / replacement of information, etc. ) according to the policy of the inquiry source network operator and the inquiry destination communication network operator, It is possible to conceal information that should not be distributed among communication network operators.

このため、プロファイル連携プロキシ(300)は、問い合わせ先となる各通信網事業者のID連携プロファイルサーバの宛先情報(ホスト名、アドレス、接続プロトコル、信号条件(パラメータ等)、等)を保持する。   For this reason, the profile cooperation proxy (300) holds the destination information (host name, address, connection protocol, signal condition (parameters, etc.), etc.) of the ID cooperation profile server of each communication network operator as the inquiry destination.

次に、端末(106)が固定網(201)を介してWebサービス1(103A)に接続する際の具体的な動作を説明する。   Next, a specific operation when the terminal (106) connects to the Web service 1 (103A) via the fixed network (201) will be described.

固定網(201)のIdP(202)のID発行部(202A)は、認可要求をWebサービス1(103A)から受信し、それを受けて認証処理部(202B)から認証トークン#1を取得し、認証トークン#1をWebサービス1(103A)に送信する。   The ID issuing unit (202A) of the IdP (202) of the fixed network (201) receives the authorization request from the Web service 1 (103A) and receives the authentication request to obtain the authentication token # 1 from the authentication processing unit (202B). Authentication token # 1 is transmitted to Web service 1 (103A).

認証処理部(202B)は、端末(106)から当該の認証トークン#1による認証要求を受信し、GBA等の技術を使って端末(106)のSIMカード等により認証処理を行う。さらに、認証処理部(202B)は、認証が成功すると、当該ユーザのIDをWebサービス1(103A)に発行可能か確認するため、ID発行条件確認部(202C)に問い合わせる。 The authentication processing unit (202B) receives an authentication request using the authentication token # 1 from the terminal (106), and performs an authentication process using the SIM card or the like of the terminal (106) using a technique such as GBA. Further, when the authentication is successful, the authentication processing unit (202B) inquires of the ID issuance condition confirmation unit (202C) to confirm whether the user ID can be issued to the Web service 1 (103A).

ID発行条件確認部(202C)は、ID連携プロファイルサーバ(203)に認証されたユーザIDとID要求元のWebサービス1(103A)の情報を送信し、ID発行条件を要求する。 The ID issuance condition confirmation unit (202C) sends the authenticated user ID and information of the Web service 1 (103A) of the ID request source to the ID association profile server (203), and requests the ID issuance condition .

ID連携プロファイルサーバ(203)の認可事業者識別部(203C)はユーザIDから認可元の通信網事業者を割り出して、自社のユーザであればWebサービス1(103A)の情報とともにサービス登録状況判定部(203A)にID発行条件確認を要求する。他の通信網事業者のユーザであれば、Webサービス1(103A)の情報とともに他の通信網事業者のID発行条件判定部(203D)にID発行条件確認を要求する。以下では他の通信網事業者のユーザである場合の処理の流れを述べる。 The authorized carrier identification unit (203C) of the ID linkage profile server (203) calculates the authorization network carrier from the user ID, and if it is a user of the company, it determines the service registration status together with the information of the Web service 1 (103A). to request a confirmation of ID issuance conditions in section (203A). Any user of another network operator, requesting confirmation of the ID issue condition together with information of the Web Service 1 (103A) to the ID issue condition determining unit of the other communication network operator (203D). In the following, the flow of processing when the user is another network operator will be described.

他の通信網事業者のID発行条件判定部(203D)はプロファイル連携プロキシ(300)に対してユーザIDと要求元Webサービス事業者の情報でID発行条件確認要求を送信する。   The ID issue condition determination unit (203D) of another communication network operator transmits an ID issue condition confirmation request with the user ID and information of the requesting Web service operator to the profile cooperation proxy (300).

プロファイル連携プロキシ(300)は、ID発行条件確認要求の受信後、ユーザIDから宛先となる通信網事業者を識別して、ID連携プロファイルサーバ(203)のユーザ属性情報DB(203B)内から当該のユーザIDを発行する通信網事業者のID連携プロファイルサーバ(105)に接続するために必要な情報(ホスト名、アドレス、接続プロトコル、信号条件(パラメータ等)、等)を取得する。この情報をもとに、接続先のID連携プロファイルサーバ(105)に対して、ID発行条件の確認を要求する。   After receiving the ID issuance condition confirmation request, the profile linkage proxy (300) identifies the destination network operator from the user ID and applies the relevant information from the user attribute information DB (203B) of the ID linkage profile server (203). The information (host name, address, connection protocol, signal condition (parameters, etc.), etc.) necessary for connection to the ID link profile server (105) of the network operator that issues the user ID is acquired. Based on this information, the ID link profile server (105) of the connection destination is requested to confirm the ID issue condition.

ID連携プロファイルサーバ(203)は、ID発行条件を含んだサービス登録状況応答を生成し、プロファイル連携プロキシ(300)に応答する。 The ID linkage profile server (203) generates a service registration status response including the ID issuance condition and responds to the profile linkage proxy (300).

プロファイル連携プロキシ(300)は、応答に含まれる識別IDから対応する要求信号を特定し、固定網(201)から送信された要求の応答として、受信した応答に含まれるサービス登録状況応答を送信する。   The profile cooperation proxy (300) specifies the corresponding request signal from the identification ID included in the response, and transmits the service registration status response included in the received response as a response to the request transmitted from the fixed network (201). .

固定網(201)のID連携プロファイルサーバ(203)は、応答を受信するとそこに含まれるID発行条件を参照し、IdP(202)に対して、対象のWebサービス1(103A)へのID発行条件を含む応答を送信する。 ID federation profile server fixed network (201) (203) refers to the ID issue condition contained therein upon receiving the response, the ID issuing against IdP (202), of the target to the Web Service 1 (103A) Send a response that includes the condition.

次に、図3を参照して、本実施形態の通信サービス認証・接続システムにおいて、端末(106)が固定網(201)を介してWebサービス1(103A)に接続する際の具体的な通信に関して説明する。   Next, referring to FIG. 3, in the communication service authentication / connection system of this embodiment, specific communication when the terminal (106) connects to the Web service 1 (103A) via the fixed network (201). Will be described.

ユーザが端末(106)から固定網(201)を通じてWebサービス1(103A)へアクセスし(401)、Webサービス(103)上で認証を行う際に固定網(201)が払い出すIDにより認証することを選択した場合、Webサービス1(103A)から固定網(201)のIdP(202)に対して認証要求が行われる(402)。   When the user accesses the Web service 1 (103A) from the terminal (106) through the fixed network (201) (401) and authenticates on the Web service (103), the user authenticates with the ID issued by the fixed network (201). If selected, an authentication request is made from the Web service 1 (103A) to the IdP (202) of the fixed network (201) (402).

IdP(202)はどのサービスのどの認証要求に対してトークンを払い出すのかを識別するために、Webサービス1(103A)に認証要求識別ID#1を払い出し、Webサービス1(103A)に通知する(403)。   The IdP (202) issues an authentication request identification ID # 1 to the Web service 1 (103A) and notifies the Web service 1 (103A) in order to identify which authentication request of which service is to be paid out. (403).

Webサービス1(103A)は認証要求識別ID#1を端末(106)に通知し固定網(201)のIdPサーバ(202)と認証するように端末(106)をリダイレクトする(404)。   The Web service 1 (103A) notifies the authentication request identification ID # 1 to the terminal (106) and redirects the terminal (106) to authenticate with the IdP server (202) of the fixed network (201) (404).

端末(106)は、IdP(202)に対して認証要求識別ID#1を通知して認証を開始する(405)。   The terminal (106) notifies the IdP (202) of the authentication request identification ID # 1 and starts authentication (405).

IdP(202)は端末(106)をSIMにより認証するため、固定網(201)のAAAサーバ(204)に対してSIM認証要求を行う(406)。   In order to authenticate the terminal (106) by SIM, the IdP (202) makes a SIM authentication request to the AAA server (204) of the fixed network (201) (406).

AAAサーバ(204)はIdP(202)に対してどのIdP(202,102)の認証要求へのトークンを払い出すのかを識別するため、SIM認証要求識別ID#2をIdP(202)に通知する(407)。   The AAA server (204) notifies the IdP (202) of the SIM authentication request identification ID # 2 in order to identify which IdP (202,102) authentication request is issued to the IdP (202) (407). ).

IdP(202)はSIM認証要求識別ID#2を端末(106)に通知するとともに、AAAサーバ(204)とSIM認証を行うように端末(106)からの信号をリダイレクトする(408)。   The IdP (202) notifies the SIM authentication request identification ID # 2 to the terminal (106) and redirects the signal from the terminal (106) to perform SIM authentication with the AAA server (204) (408).

端末(106)は、AAAサーバ(204)に対してSIM認証要求識別ID#2により認証要求を行う(409)。   The terminal (106) makes an authentication request to the AAA server (204) using the SIM authentication request identification ID # 2 (409).

AAAサーバ(204)は認証情報をモバイル網(101)のHSS(Home Subscriber Server)(104)から取得し、端末(106)との間でSIM等を使った認証を行う(410,411)。認証が完了した(412)後、AAAサーバ(204)は端末(106)に対して認証されたことを示すSIM認証トークン#2を発行する(413)。   The AAA server (204) acquires authentication information from an HSS (Home Subscriber Server) (104) of the mobile network (101), and performs authentication using the SIM or the like with the terminal (106) (410, 411). After the authentication is completed (412), the AAA server (204) issues a SIM authentication token # 2 indicating that the terminal (106) has been authenticated (413).

端末(106)はAAAサーバ(204)から受け取ったSIM認証要求識別IDとSIM認証トークンをIdP(202)に送信し、認証処理を要求する(414)。   The terminal (106) transmits the SIM authentication request identification ID and the SIM authentication token received from the AAA server (204) to the IdP (202) and requests authentication processing (414).

IdP(202)はSIM認証の結果をAAAサーバ(204)に問い合わせるため、SIM認証要求識別ID#2をAAAサーバ(204)に送信する(415)。   The IdP (202) transmits a SIM authentication request identification ID # 2 to the AAA server (204) in order to inquire the AAA server (204) about the SIM authentication result (415).

AAAサーバ(204)はSIM認証結果をもとに、SIM認証トークン#2をIdP(202)に送信する(416)。   The AAA server (204) transmits SIM authentication token # 2 to the IdP (202) based on the SIM authentication result (416).

IdP(202)は端末(106)とAAAサーバ(204)から送られたSIM認証トークンの一致を確認し、IdP(202)は要求元のWebサービス1(103A)が認証代行することを登録されているか否かを確認するため、ID発行条件の要求を固定網(201)のID連携プロファイルサーバ(203)に送信する(417)。 The IdP (202) confirms the match of the SIM authentication token sent from the terminal (106) and the AAA server (204), and the IdP (202) is registered that the requesting Web service 1 (103A) performs the authentication agency. In order to check whether or not the ID is issued , an ID issue condition request is transmitted to the ID link profile server (203) of the fixed network (201) (417).

ID連携プロファイルサーバ(203)は、受信したID発行条件要求をプロファイル連携プロキシ(300)に送信する(418)。 The ID association profile server (203) transmits the received ID issue condition request to the profile association proxy (300) (418).

これを受けた、プロファイル連携プロキシ(300)は、要求元の通信網と、ID、サービス等の情報から適切な事業者のID連携プロファイルサーバ(105)に対してユーザとサービスの対応からID発行条件を問い合わせる(419)。 In response to this, the profile linkage proxy (300) issues the ID from the correspondence between the user and the service to the ID linkage profile server (105) of the appropriate carrier from the communication network of the request source and information such as ID and service. Queries the condition (419).

ID連携プロファイルサーバ(105)は、ユーザとサービスの情報からID発行条件を確認し、プロファイル連携プロキシ(300)を介して、固定網(201)のID連携プロファイルサーバ(203)にID発行条件を送信し(420,421)、ID連携プロファイルサーバ(203)はIdP(202)にID発行条件を送信する(422)。 ID federation profile server (105) checks the ID issue condition information from its user and the service, through the profile linkage proxy (300), the ID federation profile server (203) to the ID issue condition of the fixed network (201) The ID link profile server (203) transmits ID issue conditions to the IdP (202) (422).

IdP(202)はID発行条件の情報をもとに、端末(106)に対してWebサービス1(103A)への認証用トークン#1を通知する(423)。 The IdP (202) notifies the authentication token # 1 to the Web service 1 (103A) to the terminal (106) based on the ID issuance condition information (423).

端末(106)は認証要求識別ID#1とトークン#1の組をWebサービス1(103A)に送信し、認証処理を要求する(424)。   The terminal (106) transmits a set of the authentication request identification ID # 1 and token # 1 to the Web service 1 (103A) and requests authentication processing (424).

Webサービス1(103A)は認証要求識別ID#1によりIdP(202)から認可情報を問い合わせ(425)、トークン#1を取得し(426)、端末(106)が送信したトークンと比較して認証処理を完了し、シングルサインオンが実現される(427)。   Web service 1 (103A) queries authorization information from IdP (202) using authentication request identification ID # 1 (425), obtains token # 1 (426), and compares it with the token sent by terminal (106) The processing is completed and single sign-on is realized (427).

上記実施形態の通信サービス認証・接続システムによれば、固定網(201)やモバイル網(101)などの通信網の違いによらずSIMを用いるネットワーク認証を使ったシングルサインオンが可能となり、従来のような問題すなわち端末(106)がアクセスするネットワーク(通信網)の違いによりWebサービス側でSIM認証情報が使えなくなるという問題を解消する
ことができる。 According to the communication service authentication / connection system of the above embodiment, single sign-on using network authentication using SIM is possible regardless of the difference between communication networks such as the fixed network (201) and the mobile network (101). That is, the problem that the SIM authentication information cannot be used on the Web service side due to the difference in the network (communication network) accessed by the terminal (106) can be solved.

固定網やモバイル網などの通信網の違いによらずSIM等を用いるネットワーク認証を使ったシングルサインオンが可能となり、端末(106)がアクセスするネットワーク(通信網)の違いによりWebサービス側で認証情報が使えなくなることがない通信サービス認証・接続システム及びその方法を提供することができる。   Single sign-on using network authentication using SIM etc. is possible regardless of the difference in communication networks such as fixed network and mobile network, and authentication on the Web service side due to the difference in network (communication network) accessed by terminal (106) It is possible to provide a communication service authentication / connection system and method in which information cannot be used.

101…モバイル網、102…IdP、103A,103B…Webサービス、104…HSS、105…ID連携プロファイルサーバ、106…端末、201…固定網、202…IdP、203…ID連携プロファイルサーバ、204…AAAサーバ(認証サーバ)、300…プロファイル連携プロキシ、311…サービス登録状況要求受信部、312…サービス登録状況要求送信部、313…サービス登録状況応答受信部、314…サービス登録状況応答送信部、315…リクエスト生成・管理部、315A…宛先事業者判定機能、315B…リクエストID対応生成機能、315C…リクエスト生成元事業者判定機能、315D…リクエストID対応確認・復元機能。   101 ... Mobile network, 102 ... IdP, 103A, 103B ... Web service, 104 ... HSS, 105 ... ID linkage profile server, 106 ... Terminal, 201 ... Fixed network, 202 ... IdP, 203 ... ID linkage profile server, 204 ... AAA Server (authentication server), 300 ... Profile linkage proxy, 311 ... Service registration status request reception unit, 312 ... Service registration status request transmission unit, 313 ... Service registration status response reception unit, 314 ... Service registration status response transmission unit, 315 ... Request generation / management unit, 315A ... destination operator determination function, 315B ... request ID correspondence generation function, 315C ... request generation source operator determination function, 315D ... request ID correspondence confirmation / restoration function.

Claims (8)

第1通信網に接続された端末から第2通信網に対応する認証情報を用いてWebサービスにアクセスしたときに、該Webサービスが前記第1通信網のID提供サーバに前記端末に対するID発行を依頼し、該ID提供サーバは前記第1通信網のID連携プロファイルサーバにID発行条件を要求し、前記ID提供サーバが前記ID連携プロファイルサーバからID発行条件を得られたときに前記端末の前記Webサービスへのアクセスが可能となる通信サービス認証・接続システムにおいて、
複数の通信網の前記ID連携プロファイルサーバに接続可能なプロファイル連携プロキシを設け、
前記プロファイル連携プロキシは、
前記複数の通信網におけるID連携プロファイルサーバ間でID発行条件を流通する機能と、
前記第1通信網のID連携プロファイルサーバからの前記ID発行条件の問い合わせを解析して、前記認証情報を発行した問い合わせ対象となる前記第2通信網のID連携プロファイルサーバを解析する機能と、
前記問い合わせ対象となる第2通信網のID連携プロファイルサーバに対してID発行条件を問い合わせる機能と、
前記問い合わせ対象となる第2通信網のID連携プロファイルサーバから受信したID発行条件を問い合わせ元の前記ID連携プロファイルサーバに送信する機能とを備え、
前記第1通信網のID提供サーバは、
前記Webサービスから前記端末に対するID発行依頼を受けたときに、前記第1通信網のID連携プロファイルサーバと前記プロファイル連携プロキシとを介して前記第2通信網のID連携プロファイルサーバから前記端末のID発行条件を取得することにより、前記端末のシングルサインオンを確立する機能を備えている
ことを特徴とする通信サービス認証・接続システム。 When a Web service is accessed from a terminal connected to the first communication network using authentication information corresponding to the second communication network, the Web service issues an ID to the terminal to the ID providing server of the first communication network. The ID providing server requests an ID issuance condition from the ID association profile server of the first communication network, and the ID providing server obtains the ID issuance condition from the ID association profile server. In a communication service authentication / connection system that enables access to Web services,
Providing a profile linkage proxy that can be connected to the ID linkage profile server of multiple communication networks,
The profile linkage proxy is
A function of distributing ID issuance conditions between ID federated profile servers in the plurality of communication networks;
A function of analyzing an inquiry about the ID issuance condition from an ID association profile server of the first communication network, and analyzing an ID association profile server of the second communication network that is an inquiry target that issued the authentication information;
A function for inquiring ID issuing conditions to the ID link profile server of the second communication network to be inquired;
A function of transmitting the ID issuing condition received from the ID link profile server of the second communication network to be inquired to the ID link profile server of the inquiry source;
The ID providing server of the first communication network is
When receiving an ID issuance request for the terminal from the Web service, the ID of the terminal from the ID federated profile server of the second communication network via the ID federated profile server of the first communication network and the profile linked proxy A communication service authentication / connection system comprising a function for establishing a single sign-on of the terminal by acquiring an issuance condition. 前記プロファイル連携プロキシは、
前記ID発行条件の問い合わせの要求・応答の信号の中継時に、問い合わせ元通信網及び問い合わせ先通信網のポリシーによって信号内容を変換する
ことを特徴とする請求項1に記載の通信サービス認証・接続システム。 The profile linkage proxy is
2. The communication service authentication / connection system according to claim 1, wherein at the time of relaying the request / response signal of the inquiry about the ID issuing condition, the signal content is converted according to a policy of the inquiry source communication network and the inquiry destination communication network. . 前記プロファイル連携プロキシは、問い合わせ先となる複数の通信網のID連携プロファイルサーバの宛先情報を保持する機能を有する
ことを特徴とする請求項1又は2に記載の通信サービス認証・接続システム。 The communication service authentication / connection system according to claim 1, wherein the profile cooperation proxy has a function of holding destination information of ID cooperation profile servers of a plurality of communication networks that are inquiry destinations. 前記プロファイル連携プロキシは、複数のモバイル通信網に接続された固定通信網に配備されている
ことを特徴とする請求項1乃至3の何れかに記載の通信サービス認証・接続システム。 The communication service authentication / connection system according to any one of claims 1 to 3, wherein the profile cooperation proxy is arranged in a fixed communication network connected to a plurality of mobile communication networks. 前記プロファイル連携プロキシは、固定通信網とモバイル通信網に接続された第三者の仲介事業者の通信網に配備されている
ことを特徴とする請求項1乃至3の何れかに記載の通信サービス認証・接続システム。 The communication service according to any one of claims 1 to 3, wherein the profile cooperation proxy is provided in a communication network of a third-party brokerage company connected to a fixed communication network and a mobile communication network. Authentication / connection system. 第1通信網に接続された端末から第2通信網に対応する認証情報を用いてWebサービスにアクセスしたときに、該Webサービスが前記第1通信網のID提供サーバにID発行を依頼し、該ID提供サーバは前記第1通信網のID連携プロファイルサーバにID発行条件を要求し、前記ID提供サーバが前記ID連携プロファイルサーバからID発行条件を得られたときに前記端末の前記Webサービスへのアクセスを可能にする通信サービス認証・接続方法において、
複数の通信網の前記ID連携プロファイルサーバに接続可能なプロファイル連携プロキシを設け、
前記プロファイル連携プロキシは、
前記複数の通信網におけるID連携プロファイルサーバ間でID発行条件を流通し、
前記第1通信網のID連携プロファイルサーバからの前記ID発行条件の問い合わせを解析して、前記認証情報を発行した問い合わせ対象となる前記第2通信網のID連携プロファイルサーバを解析し、
前記問い合わせ対象となる第2通信網のID連携プロファイルサーバに対してID発行条件の問い合わせを行い、
前記問い合わせ対象となる第2通信網のID連携プロファイルサーバから受信したID発行条件を問い合わせ元の前記ID連携プロファイルサーバに送信し、
前記第1通信網のID提供サーバは、前記Webサービスから前記端末に対するID発行依頼を受けたときに、前記第1通信網のID連携プロファイルサーバと前記プロファイル連携プロキシとを介して前記第2通信網のID連携プロファイルサーバから前記端末のID発行条件を取得することにより、前記端末のシングルサインオンを確立する
ことを特徴とする通信サービス認証・接続方法。 When a Web service is accessed from a terminal connected to the first communication network using authentication information corresponding to the second communication network, the Web service requests the ID providing server of the first communication network to issue an ID. The ID provision server requests an ID issuance condition from the ID association profile server of the first communication network, and when the ID provision server obtains the ID issuance condition from the ID association profile server, the ID provision server sends the ID provision condition to the web service of the terminal. In the communication service authentication and connection method that enables access to
Providing a profile linkage proxy that can be connected to the ID linkage profile server of multiple communication networks,
The profile linkage proxy is
Distributing ID issuance conditions between ID federated profile servers in the plurality of communication networks,
Analyzing the ID issuance condition inquiry from the ID association profile server of the first communication network, and analyzing the ID association profile server of the second communication network that is the inquiry target that issued the authentication information;
Inquires about the ID issuance condition to the ID link profile server of the second communication network to be inquired,
Sending the ID issuing condition received from the ID federation profile server of the second communication network to be inquired to the inquiring source ID federated profile server;
When the ID providing server of the first communication network receives an ID issuance request for the terminal from the Web service, the second communication is performed via the ID cooperation profile server of the first communication network and the profile cooperation proxy. A communication service authentication / connection method, characterized in that single sign-on of the terminal is established by acquiring an ID issuing condition of the terminal from an ID link profile server of the network. 前記プロファイル連携プロキシは、前記ID発行条件の問い合わせの要求・応答の信号の中継時に、問い合わせ元通信網及び問い合わせ先通信網のポリシーによって信号内容を変換する
ことを特徴とする請求項6に記載の通信サービス認証・接続方法。 7. The profile linkage proxy converts signal contents according to a policy of an inquiry source communication network and an inquiry destination communication network when relaying an inquiry request / response signal of the ID issuance condition. Communication service authentication / connection method. 前記プロファイル連携プロキシは、問い合わせ先となる複数の通信網のID連携プロファイルサーバの宛先情報を保持する
ことを特徴とする請求項6又は7に記載の通信サービス認証・接続方法。 The communication service authentication / connection method according to claim 6 or 7, wherein the profile cooperation proxy holds destination information of ID cooperation profile servers of a plurality of communication networks as inquiry destinations.
JP2013023141A 2013-02-08 2013-02-08 Communication service authentication / connection system and method thereof Expired - Fee Related JP5920891B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013023141A JP5920891B2 (en) 2013-02-08 2013-02-08 Communication service authentication / connection system and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013023141A JP5920891B2 (en) 2013-02-08 2013-02-08 Communication service authentication / connection system and method thereof

Publications (2)

Publication Number Publication Date
JP2014153917A JP2014153917A (en) 2014-08-25
JP5920891B2 true JP5920891B2 (en) 2016-05-18

Family

ID=51575728

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013023141A Expired - Fee Related JP5920891B2 (en) 2013-02-08 2013-02-08 Communication service authentication / connection system and method thereof

Country Status (1)

Country Link
JP (1) JP5920891B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018055582A (en) 2016-09-30 2018-04-05 富士通株式会社 Communication management program, communication management method and communication management apparatus

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7219154B2 (en) * 2002-12-31 2007-05-15 International Business Machines Corporation Method and system for consolidated sign-off in a heterogeneous federated environment
BRPI0513195A (en) * 2004-07-09 2008-04-29 Matsushita Electric Ind Co Ltd systems for administering user authentication and authorization, and for user support, methods for administering user authentication and authorization, for accessing services from multiple networks, for the authentication controller to process an authentication request message, to select the combination of authentication controllers. search result authentication, authenticating a user, and finding the way to a domain having business relationship with the home domain, for the authorization controller to process the service authorization request message, and perform service authorization for a domain controller. authentication and authorization perform authentication and service authorization, to protect the user token, and for the user's home domain access control authority to provide the authentication controller with a limited user signature profile information, to achieve authentication and authorize fast access, and to achieve single registration to access multiple networks, and formats for subscription capability information, for a user symbol, for a domain having business relationship with a user's home domain to request authentication and authorization assertion , and for a user terminal to indicate their credentials for accessing multiple networks across multiple administrative domains.
US7631346B2 (en) * 2005-04-01 2009-12-08 International Business Machines Corporation Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment
US10594695B2 (en) * 2007-12-10 2020-03-17 Nokia Technologies Oy Authentication arrangement
GB0916582D0 (en) * 2009-09-22 2009-10-28 Software Cellular Network Ltd Subscriber identification management broker for fixed/mobile networks
WO2012062915A2 (en) * 2010-11-11 2012-05-18 Nec Europe Ltd. Method and system for providing service access to a user
JP5433647B2 (en) * 2011-07-29 2014-03-05 日本電信電話株式会社 User authentication system, method, program, and apparatus

Also Published As

Publication number Publication date
JP2014153917A (en) 2014-08-25

Similar Documents

Publication Publication Date Title
US7221935B2 (en) System, method and apparatus for federated single sign-on services
CA2473793C (en) System, method and apparatus for federated single sign-on services
JP4801147B2 (en) Method, system, network node and computer program for delivering a certificate
US7665129B2 (en) Method and system for managing access authorization for a user in a local administrative domain when the user connects to an IP network
US9178857B2 (en) System and method for secure configuration of network attached devices
US8555345B2 (en) User authentication and authorisation in a communications system
US8336082B2 (en) Method for realizing the synchronous authentication among the different authentication control devices
CA2789495C (en) Seamless mobile subscriber identification
US20160373431A1 (en) Method to enroll a certificate to a device using scep and respective management application
JP2008506139A (en) System and method for managing user authentication and service authorization, realizing single sign-on, and accessing multiple network interfaces
JP2015537471A (en) Restricted certificate enrollment for unknown devices in hotspot networks
US10284562B2 (en) Device authentication to capillary gateway
US20040010713A1 (en) EAP telecommunication protocol extension
WO2009129753A1 (en) A method and apparatus for enhancing the security of the network identity authentication
US20180077139A1 (en) Method and system for accessing service/data of a first network from a second network for service/data access via the second network
KR101824562B1 (en) Gateway and method for authentication
US11394747B2 (en) Method for setting up a communication channel between a server device and a client device
US20120106399A1 (en) Identity management system
JP2009217722A (en) Authentication processing system, authentication device, management device, authentication processing method, authentication processing program and management processing program
JP5920891B2 (en) Communication service authentication / connection system and method thereof
WO2011131002A1 (en) Method and system for identity management
JP2015204499A (en) Communication system, access point device, server device, gateway device, and communication method
JP6920614B2 (en) Personal authentication device, personal authentication system, personal authentication program, and personal authentication method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151014

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151127

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160113

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160406

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160406

R150 Certificate of patent or registration of utility model

Ref document number: 5920891

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees