JP5931802B2 - ネットワークにおける端末認証方法及びシステム - Google Patents

ネットワークにおける端末認証方法及びシステム Download PDF

Info

Publication number
JP5931802B2
JP5931802B2 JP2013120111A JP2013120111A JP5931802B2 JP 5931802 B2 JP5931802 B2 JP 5931802B2 JP 2013120111 A JP2013120111 A JP 2013120111A JP 2013120111 A JP2013120111 A JP 2013120111A JP 5931802 B2 JP5931802 B2 JP 5931802B2
Authority
JP
Japan
Prior art keywords
authentication
terminal
information
identification information
communication network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013120111A
Other languages
English (en)
Other versions
JP2014238664A (ja
Inventor
悠希 中原
悠希 中原
清史 早瀬
清史 早瀬
則武 克誌
克誌 則武
高木 康志
康志 高木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013120111A priority Critical patent/JP5931802B2/ja
Publication of JP2014238664A publication Critical patent/JP2014238664A/ja
Application granted granted Critical
Publication of JP5931802B2 publication Critical patent/JP5931802B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

本発明は、通信事業者が運営する複数の通信網において各網が連携して端末の認証処理を行う認証技術に関する。
ネットワーク技術においてはユーザ端末の正当性を確認するための認証処理が重要な技術の1つである。該認証技術はネットワーク形態等に合わせて種々のものが存在している。例えば、非特許文献1に記載のものは最も単純な認証技術の1つであり、端末あるいは端末ユーザと認証機能が管理しているIDとパスワードの組を、端末と認証機能との間で送受する事で端末が正当であることを確認する。また、非特許文献2乃至4に記載のものは、次世代網(NGN:Next Generation Network)における認証技術であって、ある回線に接続し登録要求(SIP Register)を送信する端末の正当性を確認するために、端末IDと回線情報が一致するかをチェックする。
ところで近年では、通信事業が運営する通信網同士が相互に接続され、一方の通信網における認証技術を利用して他方の通信網への接続認証を行うケースが検討されている。典型的な例としては、非特許文献5に記載のものが知られている。非特許文献5に記載のものは、固定網の一部を構成する無線LAN(Local Area Network)に接続する端末の認証方法であるEAP(Extensible Authentication Protocol)において、移動網における認証情報が格納されたSIM(Subscriber Identity Module)カードを用いている。これにより、移動網の認証情報を用いて端末を固定網に接続することができるとともに、無線LANへの接続にあたってユーザによる端末操作を不要としている。
日経NETWORK編、「暗号と認証」、日経BP社、pp.84-88 "Telecommunications and Internet converged Services and Protocols for Advanced Networking (TISPAN); NGN Security; Security Architecture", ETSI ES 187 003 v2.3.2, [online], [平成25年5月23日検索], インターネット<URL:http://www.etsi.org/deliver/etsi#ts/187000#187099/187003/02.03.02#60/ts#187003v020302p.pdf> "3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; IP Multimedia (IM) Subsystem Cx and Dx interfaces; Signalling flows and message contents", 3GPP TS 29.228 v11.7.0, [online], [平成25年5月23日検索], インターネット<URL:http://www.3gpp.org/ftp/Specs/html-info/29228.htm> 高橋 健太郎、「いよいよサービスがスタート NGN大解剖 第三回 回線認証:アドレス配布時に発信者IDを送信」、 [online]、2008年4月2日、Itpro、 [平成25年5月14日検索]、インターネット<URL:http://itpro.nikkeibp.co.jp/article/COLUMN/20080324/296895/> H. Haverinen, J. Salowey, "Extensible Authentication Protocol Method for Global System for Mobile Communications (GSM) Subscriber Identity Modules (EAP-SIM)", RFC4186, Internet Engineering Task Force, January 2006
しかし、非特許文献5に記載のものは、SIMカードを備えていない端末、例えばWi−Fi専用タブレット、テレビ、冷蔵庫などの家電製品などについては適用できないという問題があった。一方、非特許文献1に記載のものは、複数の通信網が連携したネットワーク体系においても適用できるものの、ID及びパスワードの入力にユーザの手間がかかるのでユーザビリティが低いという問題があった。また、非特許文献2乃至4に記載されたものは、そもそも複数の通信網が連携したネットワーク体系を前提としていないため、非特許文献5に記載したようなネットワーク体系での運用が困難であるという問題があった。例えば、非特許文献2においては、一般的にユーザ情報(回線単位)と回線情報の組を管理しているのは固定網の事業者であり、移動網の事業者は回線情報を利用することが出来ないという問題がある。また、仮に回線情報を固定網の事業者から移動網の事業者に通知したとしても、移動網の事業者の管理しているユーザ情報(端末単位)と固定事業者から通知された回線情報を結びつける事が出来ないという問題がある。
本発明は上記事情に鑑みてなされたものであり、複数の通信事業者の通信網を連携させた認証システムにおいて通信網用の認証情報を持たない端末であっても認証処理を行うことができる認証方法及びシステムを提供することにある。
上記目的を達成するために、本願発明に係る端末認証方法は、第1通信事業者が提供する第1通信網と、該第1通信網と通信可能に接続され第2通信事業が提供する第2通信網と、ユーザ宅のLANを第2通信網に接続するための加入者宅内装置と、第2通信網に配置され加入者宅内装置を収容するユーザ収容装置と、第1通信網に配置されユーザ端末の第1通信網での正当性を第1通信網用の認証情報を用いて認証する第1認証サーバとを備えたネットワークにおいて、第1ユーザ端末が第1通信網用の認証情報を含む第1認証要求を加入者宅内装置を介してユーザ収容装置に送信するステップと、ユーザ収容装置が第1認証要求の送信元の加入者宅内装置が収容された回線の回線識別情報を第1認証要求に付加して第1認証サーバに向けて送出するステップと、第1認証サーバが第1認証要求に含まれる認証情報を用いて認証処理を行い第1認証結果を第1ユーザ端末に送出するステップと、第1認証サーバが第1認証要求に含まれる認証情報及び回線識別情報を関連づけて所定の記憶手段に保存するステップと、第2ユーザ端末が第1通信用の認証情報を含まない第2認証要求を加入者宅内装置を介してユーザ収容装置に送信するステップと、ユーザ収容装置が第2認証要求の送信元の加入者宅内装置が収容された回線の回線識別情報を第2認証要求に付与して第1認証サーバに向けて送出するステップと、第1認証サーバが第2認証要求に含まれる回線識別情報に基づき該回線識別情報に関連づけられた認証情報を前記記憶手段から取得し、該認証情報を用いて認証処理を行い第2認証結果を第2ユーザ端末へ送出するステップとを備えたことを特徴とする。
また、本願に係る端末認証システムは、第1通信事業者が提供する第1通信網と、該第1通信網と通信可能に接続され第2通信事業が提供する第2通信網と、ユーザ宅のLANを第2通信網に接続するための加入者宅内装置と、第2通信網に配置され加入者宅内装置を収容するユーザ収容装置と、第1通信網に配置され第1通信網用の認証情報を用いてユーザ端末の第1通信網への接続を認証する第1認証サーバとを備えたネットワークにおいて、ユーザ収容装置はユーザ端末から受信した認証要求に対して該認証要求に加入者宅内装置が収容された回線の回線識別情報を第1認証要求に付加して第1認証サーバに向けて送出する回線情報付加手段を備え、第1認証サーバは、ユーザ収容装置から受信した認証要求が第1通信網用の認証情報を有する第1ユーザ端末に係るものの場合には該認証情報を用いて認証処理を行い認証結果を第1ユーザ端末へ送出するとともに該認証要求に含まれている認証情報と回線識別情報とを関連づけて所定の記憶手段に保存するとともに、ユーザ収容装置から受信した認証要求が第1通信網用の認証情報を有さない第2ユーザ端末に係るものの場合には該認証要求に含まれる回線識別情報に基づき該回線識別情報に関連づけられた第1通信網用の認証情報を前記記憶手段から取得し該認証情報を用いて認証処理を行い認証結果を第2ユーザ端末へ送出することを特徴とする。
本発明の好適な態様の一例としては、第1認証サーバは、予め第1ユーザ端末の認証情報と関連づけたユーザプロファイルを所定の記憶手段に記憶しておき、第1認証サーバは、第2認証要求に含まれる回線識別情報に基づき該回線識別情報に関連づけられた認証情報を前記記憶手段から取得する際に該認証情報に関連づけられたユーザプロファイルを取得し、第2認証結果とともにユーザプロファイルを第2ユーザ端末へ送出することを特徴とする。
また本発明の他の好適な態様の一例としては、第1ユーザ端末は、第1ユーザ端末を識別可能な端末識別情報を第1認証要求に含ませ、第1認証サーバは、第1認証要求に含まれる認証情報及び回線識別情報並びに端末識別情報を関連づけて所定の記憶手段に保存し、第2ユーザ端末は、第2認証要求の送信に先立ち第1ユーザ端末から該第1ユーザ端末の端末識別情報を取得し、該端末識別情報を第2認証要求に含ませ、第1認証サーバは、第2認証要求に含まれる回線識別情報及び端末識別情報に基づき該回線識別情報及び端末識別情報に関連づけられた認証情報を前記記憶手段から取得することを特徴とする。
本発明によれば、第1ユーザ端末が第1通信網用の認証情報を用いて第1認証サーバでの認証処理を行うことにより、同一の加入者宅内装置を介すれば第1通信網用の認証情報を有さない第2ユーザ端末であっても第1ユーザ端末の認証情報を用いて第1認証サーバで認証処理を行うことができる。
本発明の実施形態に係る認証システムの構成図 第1の実施形態に係るユーザプロファイルの一例 第1の実施形態に係る認証シーケンス 第1の実施形態に係る認証シーケンス 第2の実施形態に係るユーザプロファイルの一例 第2の実施形態に係る認証シーケンス 第2の実施形態に係る認証シーケンス
(第1の実施の形態)
本発明の第1の実施の形態に係る認証方法及びシステムについて図面を参照して説明する。図1は本発明の概要を説明するシステム構成図である。本実施の形態では、第1通信網として移動網、第2通信網として固定網である場合について例示する。ここで移動網とは、3G/LTEなどの無線により移動体端末に通信サービス(例えばインターネット接続等)を提供するために通信事業者が配備するネットワークを意味する。また固定網とは、ユーザ宅のネットワークと接続して通信サービス(例えばインターネット接続等)を提供するために通信事業者が配備するネットワークを意味する。なお固定網において、ユーザ宅のネットワークにおいて端末の接続形態は有線(例えばイーサネット(登録商標))又は無線(例えばWi−Fi、Bluetooth、フェムトセルなど)の何れでもよい。また、ユーザ宅と固定網の事業者の設備とを接続する物理媒体(アクセス回線)についても有線又は無線或いはその組合せの何れであってもよい。
図1に示すように、移動網100と固定網200はそれぞれコア網101,201を備えている。移動網100のコア網101と固定網200のコア網201は、各コア網101,201の縁部に配備されたゲートウェイ102,202により相互に通信可能に接続されている。また移動網100のコア網101及び固定網200のコア網201は、それぞれ外部ゲートウェイ103,203を介して例えばインターネットなどの外部ネットワーク900に接続している。
移動網100は、端末に対してサービスを提供するための各種アプリケーション191及びサービス基盤192と、コア網101内でパケットを転送するためのルータ110と、ユーザプロファイルを含む加入者情報125を管理するとともに、ユーザの認証(Authentication)・認可(authorization)・課金(Accounting)を行うAAAサーバ120とを備えている。AAAサーバ120の一例としては、HLR(Home Location Register)やHSS(Home Subscriber Serve)などが挙げられる。AAAサーバ120は、SIM(Subscriber Identity Module)カードを搭載した端末(以下「SIM端末」と言う。)10をSIMカード内の認証情報(以下「SIM情報」と言う。)を用いて認証する。AAAサーバ120が管理する加入者情報125に含まれるユーザプロファイルの一例を図2に示す。ユーザプロファイルはSIM情報と関連づけられており、図2の例では、IMSI(International Mobile Subscriber Identity)をキーとしてユーザプロファイルとSIM情報とユーザプロファイルが関連づけられている。AAAサーバ120における認証動作の詳細については後述する。
固定網200は、図1に示すように、コア網201内でパケットを転送するためのルータ210と、ユーザ宅に設置された加入者宅内装置としてのWi−Fiアクセスポイント220と、加入者宅側の網端に設置され加入者宅内装置であるWi−Fiアクセスポイント220を収容するユーザ収容装置としてのエッジ機能部230と、AAAサーバ120を用いた認証処理に係るメッセージを中継するAAAプロキシ240とを備えている。Wi−Fiアクセスポイント220は、ユーザ宅のLAN300を構成するとともにWi−Fi端末のアクセスポイントとして機能する。エッジ機能部230の構成・動作の詳細については後述する。なお一般的に、Wi−Fiアクセスポイント220が加入者宅内装置としてエッジ機能部230に接続するためには所定の認証処理が必要であるが、ここでは該認証処理の内容及び該認証処理に必要な構成等についての説明は省略し、Wi−Fiアクセスポイント220がエッジ機能部230に既に接続されていることを前提としている点に留意されたい。
本発明は、SIMカードが搭載されていない端末、すなわちAAAサーバ120用の認証情報であるSIM情報を有していない端末(以下「非SIM端末」と言う。)20であっても、AAAサーバ120による認証処理を行うことを目的としている。このため本発明では、非SIM端末20の認証を行うにあたり、同一の加入者宅内装置(本実施の形態ではWi−Fiアクセスポイント220)を介してAAAサーバ120で認証処理が行われたSIM端末10のSIM情報を用いる。以下、本発明の特徴点について詳述する。
本発明に係るエッジ機能部230は、Wi−Fiアクセスポイント220を介してLAN300内の端末からAAAサーバ120に対して送られる認証要求に対して、該Wi−Fiアクセスポイント220を加入者宅内装置として一意に識別可能な情報である回線識別情報を取得し、認証要求に回線識別情報を付加する回線識別情報付加機能部235を有する。回線識別情報としては例えばVLAN−IDや回線加入者IDなどを用いることができる。回線識別情報の取得方法としては、例えばエッジ機能部230を識別する識別子と、Wi−Fiアクセスポイント220への回線が接続されたエッジ機能部230の物理的あるいは論理的なポート番号等に基づき、固定網200内の認証サーバ(図示省略)に対して問い合わせる、などの方法が挙げられる。
AAAサーバ120は、エッジ機能部230・AAAプロキシ240を介して受信した認証要求に対して、該認証要求がSIM端末10に係るものであり該認証要求にSIM情報が含まれている場合には、該SIM情報を用いて認証処理を行う。そしてAAAサーバ120は、認証結果を送信元のSIM端末10に返す。さらにAAAサーバ120は、エッジ機能部230により付加された回線識別情報を認証要求から取得し、該回線識別情報をSIM情報と関連づけて所定の記憶手段(図示省略)に記憶する。
一方、AAAサーバ120は、エッジ機能部230・AAAプロキシ240を介して受信した認証要求に対して、該認証要求が非SIM端末20に係るものであり該認証要求にSIM情報が含まれていない場合には、エッジ機能部230により付加された回線識別情報を認証要求から取得し、該回線識別情報に関連づけられたSIM情報を前記記憶手段から取得する。そしてAAAサーバ120は、該SIM情報を用いて認証処理を行い、認証結果を送信元の非SIM端末20に返すとともに該SIM情報と関連づけられているユーザプロファイルを非SIM端末20に送信する。なお、認証結果とユーザプロファイルの送信タイミングは同時であってもそれぞれ独立していてもよい。
次に、本実施の形態に係る端末認証方法について図3及び図4のシーケンスチャートを参照して説明する。ここではSIM端末10の認証手順としてEAP−SIM(Extensible Authentication Protocol-Subscriber Identity Module)に本発明を適用する例について例示する。なお、他の認証手順、例えばID・パスワードによる認証手順や、チャレンジレスポンス認証手順などにおいても本発明を適用できる点に留意されたい。また、SIM端末10で利用する認証手順と非SIM端末20で利用する認証手順・プロトコルは必ずしも同じである必要がない点に留意されたい。さらに、図3においては、説明の簡単のためEAP−SIMによる認証シーケンスを簡略化している。EAP−SIMの詳細については非特許文献5を参照されたい。
非SIM端末20の認証処理に先立ち、まずSIM端末10の認証処理を行う。図3に示すように、SIM端末10は、Wi−Fiアクセスポイント220へ接続し、SIM情報を含む認証要求メッセージをWi−Fiアクセスポイント220を経由してエッジ機能部230に送出する(ステップS1)。次に、エッジ機能部230は、受信した認証要求メッセージに回線識別情報を付加し(ステップS2)、該認証要求メッセージをルータ210を経由してAAAプロキシ240に転送する(ステップS3)。AAAプロキシ240は、受信した認証要求メッセージをゲートウェイ202,102を経由してAAAサーバ120に転送する(ステップS4)。なお、このときAAAプロキシ240は、認証要求メッセージに含まれるSIM情報を参照して接続先の移動網を複数のうちから選択してもよい。
次にAAAサーバ120は、受信した認証要求メッセージに含まれるSIM情報とAAAサーバ120が管理する加入者情報125を照らし合わせてSIM端末10を認証するとともに(ステップS5)、認証要求メッセージに含まれるSIM情報と回線識別情報とを関連づけて所定の記憶手段に保存する(ステップS6)。そしてAAAサーバ120は、認証結果をゲートウェイ102,202、AAAプロキシ240、ルータ210、エッジ機能部230を経由してWi−Fiアクセスポイント220に通知する(ステップS7)。Wi−Fiアクセスポイント220は認証結果をSIM端末10に通知するとともに(ステップS8)、IPアドレスをSIM端末10に払い出す(ステップS9)。
次に、図4に示すように、非SIM端末20は、Wi−Fiアクセスポイント220へ接続し、自端末内に記録された移動網100のAAAサーバ120のアドレスを宛先とした認証要求メッセージをWi−Fiアクセスポイント220を経由してエッジ機能部230に送出する(ステップS11)。次に、エッジ機能部230は、受信した認証要求メッセージに回線識別情報を付加し(ステップS12)、該認証要求メッセージをルータ210を経由してAAAプロキシ240に転送する(ステップS13)。AAAプロキシ240は、受信した認証要求メッセージをゲートウェイ202,102を経由してAAAサーバ120に転送する(ステップS14)。なお、このときAAAプロキシ240は、DNSサーバ(図示省略)などのアドレス解決手段(移動網100,固定網200或いは外部ネットワーク900に具備されることが考えられるがこれに限定されない)により接続先の移動網を複数のうちから選択しても良い。
次にAAAサーバ120は、受信した認証要求メッセージに含まれる回線識別情報をキーとして所定の記憶手段から該回線識別情報に対応するSIM情報を抽出し(ステップS15)、該SIM情報により非SIM端末20を認証する(ステップS16)。そしてAAAサーバ120は、SIM情報に対応するユーザプロファイルを加入者情報125から抽出し(ステップS17)、認証結果及びユーザプロファイルをゲートウェイ102,202、AAAプロキシ240、ルータ210、エッジ機能部230を経由してWi−Fiアクセスポイント220に通知する(ステップS18)。Wi−Fiアクセスポイント220は認証結果及びユーザプロファイルを非SIM端末20に通知するとともに(ステップS19)、IPアドレスを非SIM端末20に払い出す(ステップS20)。
以上詳述したように、本実施の形態に係る端末認証システムによれば、SIM端末10がSIM情報をAAAサーバ120での認証処理を行うことにより、同一のWi−Fiアクセスポイント220を介すればSIM情報を有さない非SIM端末20であってもSIM端末10のSIM情報を用いてAAAサーバ120で認証処理を行うことができるとともに、SIM端末10と関連づけられたユーザプロファイルを取得することができる。
(第2の実施の形態)
本発明の第2の実施の形態に係る認証方法及びシステムについて図面を参照して説明する。本実施の形態が第1の実施の形態と異なる点は、AAAサーバ120が非SIM端末20からの認証要求に対してSIM端末10のSIM情報を取得するための情報として、回線識別情報だけでなく、該SIM情報が格納されたSIM端末10を識別可能な端末識別情報をも利用する点にある。本実施の形態のシステム構成については第1の実施の形態と同様である。ここでは相違点について詳述する。
本実施の形態では、SIM端末10はAAAサーバ120に対する認証要求に対してSIM情報だけでなく、該SIM端末10を識別可能な端末識別情報を含ませる。端末識別情報としては種々のものが利用できる。例えば、SIM端末10がBluetooth機能を有している場合にはBluetoothIDを用いることが考えられる。他の例としては、SIM端末10のMAC(Media Access Control)アドレス、電話番号、氏名、SIM情報そのもの、SIM情報の一部(例えばSIM情報に含まれるICCIDやIMSIの下位4桁などが考えられるがこれらに限定されない)、ソフトウェア上で登録されるID・パスワード(OpenID等のシングルサインオン用のIDを含む)を用いる方法等が考えられる。
またSIM端末10は、非SIM端末20とピアリングして端末識別情報を非SIM端末20に送信可能となっている。該端末識別情報の送信は、SIM端末10からのプッシュ形式であってもよいし、非SIM端末20からの要求に応じる形式であってもよい。ピアリングの形態としては、例えばBluetooth、RFID(Radio Frequency IDentification)、無線LAN、物理的接触等が考えられるが、これらに限定されない。そして非SIM端末20は、AAAサーバ120に対する認証要求に対して、SIM端末10から取得した端末識別情報を含ませる。
AAAサーバ120は、エッジ機能部230・AAAプロキシ240を介して受信した認証要求に対して、該認証要求がSIM端末10に係るものであり該認証要求にSIM情報が含まれている場合には、該SIM情報を用いて認証処理を行う。そしてAAAサーバ120は、認証結果を送信元のSIM端末10に返す。さらにAAAサーバ120は、端末識別情報とエッジ機能部230により付加された回線識別情報とを認証要求から取得し、該回線識別情報及び端末識別情報をSIM情報と関連づけて所定の記憶手段(図示省略)に記憶する。
一方、AAAサーバ120は、エッジ機能部230・AAAプロキシ240を介して受信した認証要求に対して、該認証要求が非SIM端末20に係るものであり該認証要求にSIM情報が含まれていない場合には、端末識別情報とエッジ機能部230により付加された回線識別情報とを認証要求から取得し、該回線識別情報及び端末識別情報に関連づけられたSIM情報を前記記憶手段から取得する。そしてAAAサーバ120は、該SIM情報を用いて認証処理を行い、認証結果を送信元の非SIM端末20に返すとともに該SIM情報と関連づけられているユーザプロファイルを非SIM端末20に送信する。なお、認証結果とユーザプロファイルの送信タイミングは同時であってもそれぞれ独立していてもよい。
AAAサーバ120において加入者情報125として予め記憶されているユーザプロファイルの一例を図5に示す。図5に示すように、ユーザプロファイルはSIM情報と関連づけられており、図5の例では、IMSI(International Mobile Subscriber Identity)をキーとしてユーザプロファイルとSIM情報とユーザプロファイルが関連づけられている。また、ユーザプロファイルにはSIM端末10の端末識別情報が含まれる。
次に、本実施の形態に係る端末認証方法について図6及び図7のシーケンスチャートを参照して説明する。ここではSIM端末10の認証手順としてEAP−SIM(Extensible Authentication Protocol-Subscriber Identity Module)に本発明を適用する例について例示する。なお、他の認証手順、例えばID・パスワードによる認証手順や、チャレンジレスポンス認証手順などにおいても本発明を適用できる点に留意されたい。また、SIM端末10で利用する認証手順と非SIM端末20で利用する認証手順・プロトコルは必ずしも同じである必要がない点に留意されたい。また、図6においては、説明の簡単のためEAP−SIMによる認証シーケンスを簡略化している。EAP−SIMの詳細については非特許文献5を参照されたい。
非SIM端末20の認証処理に先立ち、まずSIM端末10の認証処理を行う。図6に示すように、SIM端末10は、Wi−Fiアクセスポイント220へ接続し、SIM情報を含む認証要求メッセージをWi−Fiアクセスポイント220を経由してエッジ機能部230に送出する(ステップS31)。ここで本実施の形態が前記第1の実施の形態と異なる点は、認証要求メッセージにSIM端末10の端末識別情報を含ませている点にある。次に、エッジ機能部230は、受信した認証要求メッセージに回線識別情報を付加し(ステップS32)、該認証要求メッセージをルータ210を経由してAAAプロキシ240に転送する(ステップS33)。AAAプロキシ240は、受信した認証要求メッセージをゲートウェイ202,102を経由してAAAサーバ120に転送する(ステップS34)。なお、このときAAAプロキシ240は、認証要求メッセージに含まれるSIM情報を参照して接続先の移動網を複数のうちから選択しても良い。
次にAAAサーバ120は、受信した認証要求メッセージに含まれるSIM情報とAAAサーバ120が管理する加入者情報125を照らし合わせてSIM端末10を認証するとともに(ステップS35)、認証要求メッセージに含まれるSIM情報と回線識別情報及び端末識別情報とを関連づけて所定の記憶手段に保存する(ステップS36)。そしてAAAサーバ120は、認証結果をゲートウェイ102,202、AAAプロキシ240、ルータ210、エッジ機能部230を経由してWi−Fiアクセスポイント220に通知する(ステップS37)。Wi−Fiアクセスポイント220は認証結果をSIM端末10に通知するとともに(ステップS38)、IPアドレスをSIM端末10に払い出す(ステップS39)。
次に、図7に示すように、非SIM端末20は、SIM端末10とピアリングしてSIM端末10の端末識別情報を取得する(ステップS41)。そして非SIM端末20は、Wi−Fiアクセスポイント220へ接続し、自端末内に記録された移動網100のAAAサーバ120のアドレスを宛先とした認証要求メッセージをWi−Fiアクセスポイント220を経由してエッジ機能部230に送出する(ステップS42)。ここで本実施の形態が前記第1の実施の形態と異なる点は、認証要求メッセージにSIM端末10の端末識別情報を含ませている点にある。次に、エッジ機能部230は、受信した認証要求メッセージに回線識別情報を付加し(ステップS43)、該認証要求メッセージをルータ210を経由してAAAプロキシ240に転送する(ステップS44)。AAAプロキシ240は、受信した認証要求メッセージをゲートウェイ202,102を経由してAAAサーバ120に転送する(ステップS45)。なお、このときAAAプロキシ240は、DNSサーバ(図示省略)などのアドレス解決手段(移動網100,固定網200或いは外部ネットワーク900に具備されることが考えられるがこれに限定されない)により接続先の移動網を複数のうちから選択してもよい。
次にAAAサーバ120は、受信した認証要求メッセージに含まれる回線識別情報及び端末識別情報をキーとして所定の記憶手段から該回線識別情報及び端末識別情報に対応するSIM情報を抽出し(ステップS46)、該SIM情報により非SIM端末20を認証する(ステップS47)。そしてAAAサーバ120は、SIM情報に対応するユーザプロファイルを加入者情報125から抽出し(ステップS48)、認証結果及びユーザプロファイルをゲートウェイ102,202、AAAプロキシ240、ルータ210、エッジ機能部230を経由してWi−Fiアクセスポイント220に通知する(ステップS49)。Wi−Fiアクセスポイント220は認証結果及びユーザプロファイルを非SIM端末20に通知するとともに(ステップS50)、IPアドレスを非SIM端末20に払い出す(ステップS51)。
以上詳述したように、本実施の形態に係る端末認証システムによれば、第1の実施の形態と同様に、SIM端末10がSIM情報をAAAサーバ120での認証処理を行うことにより、同一のWi−Fiアクセスポイント220を介すればSIM情報を有さない非SIM端末20であってもSIM端末10のSIM情報を用いてAAAサーバ120で認証処理を行うことができるとともに、SIM端末10と関連づけられたユーザプロファイルを取得することができる。
ここで、本実施の形態が第1の実施の形態と異なる点は、非SIM端末20の認証処理にあたってSIM端末10のSIM情報を取得する際に、回線識別情報だけでなくSIM端末10の識別情報をも用いている点にある。本発明では、同一のWi−Fiアクセスポイント220を用いて複数のSIM端末10がAAAサーバ120で認証処理を行った場合、AAAサーバ120には回線識別情報に関連づけられたSIM情報が複数存在することになる。このため、非SIM端末20の認証処理にあたって、どのSIM端末10のSIM情報を取得するかを何らかのロジックにより選択する必要がある。そこで本実施の形態では、AAAサーバ120において回線識別情報及び端末識別情報に関連づけてSIM情報を記憶する。そして非SIM端末20は、認証処理の開始に先立ってSIM端末10から端末識別情報を取得して認証要求に該端末識別情報を含ませる。これにより、複数のSIM端末10から1つのSIM端末10を特定し、該SIM端末10のSIM情報を用いた認証処理を行うことができるとともに、該SIM端末10と関連づけられたユーザプロファイルを取得することができる。
以上、本発明の実施の形態について詳述したが本発明はこれに限定されるものではない。例えば、上記各実施の形態では、Wi−Fiアクセスポイント220がSIM端末10又は非SIM端末20に認証結果を通知した後にIPアドレスを払い出しているが、認証処理に先立ってIPアドレスを払い出すようにしてもよい。また上記各実施の形態では、Wi−Fiアクセスポイント220がSIM端末10又は非SIM端末20にIPアドレスを払い出しているが、他の装置によって払い出しを行うようにしてもよい。例えば、移動網100内の装置がIPアドレスを払い出すようにしてもよい。
また、上記各実施の形態では、非SIM端末20に対して認証結果を送信する際に、該認証結果とともに認証処理で用いたSIM10端末のSIM情報に対応するユーザプロファイルを送信していたが、ユーザプロファイルの送信は必ずしも必要ではない。
また、上記各実施の形態では、加入者宅内装置としての機能とユーザ宅に無線LANを構築するためのアクセスポイントとしての機能をWi−Fiアクセスポイント220に集約させているが、両機能はそれぞれ別装置として実装するようにしてもよい。また、ユーザ宅のLAN300には、加入者宅内装置に集約されているか否かに拘わらず複数のアクセスポイントを設けてもよい。さらに、移動網100及び固定網200内の各装置の実装形態は不問であり、複数の装置に分散させたり1つの装置に集約させたり種々の実装形態をとることができる。例えば、移動網100における加入者情報125を管理するための実装形態や、回線識別情報(及び端末識別情報)とSIM情報とを関連づけて記憶・管理するための実装形態は種々のものを採用することができる。
また、上記各実施の形態では、SIM情報を有さない非SIM端末20が図4又は図7のシーケンスにしたがった認証手順を行うことによりSIM端末10のSIM情報を用いた認証処理を行っていたが、SIM情報を有するSIM端末が該認証手順を行ってもよい。すなわちこの場合には、SIM端末は自身のSIM情報ではなく他のSIM端末に係るSIM情報を用いて認証処理を行うことになる。
また、上記各実施の形態では、第1通信網が移動網100である場合について例示したため、移動網100における認証情報としてSIMカードに格納されたSIM情報を用いた例について説明したが、端末の認証が可能であるならば他の認証情報を用いてもよい。また、上記実施の形態では、第1通信網が移動網である場合について説明したが、他の通信網であっても本発明を適用できる。例えば、第1通信網としてネットワーク上でユーザに各種サービスを提供するサービスプロバイダの通信網であってもよい。例えば、インターネットは複数の通信網を相互に接続して構成されているが、その構成網の1つの通信網においてユーザに対してサービス(例えば検索サービス)を提供しており、しかも該サービス提供においてユーザ認証を行っている場合、該サービス提供に係る通信網を第1通信網として本発明を適用することができる。すなわち第1通信網としてはユーザ端末からの直接のアクセス手段は必ずしも必要ない点に留意されたい。一方、第2通信網としては回線識別情報が必要となるので加入者宅内装置及びアクセス回線を具備した固定網である必要がある点に留意されたい。また、上記実施の形態では、第1通信網が1つの場合について例示したが第1通信網が複数の場合であってもよい。
100…移動網、120…AAAサーバ、200…固定網、220…Wi−Fiアクセスポイント、230…エッジ機能部、235…回線識別情報付与機能部、240…AAAプロキシ

Claims (5)

  1. 第1通信事業者が提供する第1通信網と、該第1通信網と通信可能に接続され第2通信事業が提供する第2通信網と、ユーザ宅のLANを第2通信網に接続するための加入者宅内装置と、第2通信網に配置され加入者宅内装置を収容するユーザ収容装置と、第1通信網に配置されユーザ端末の第1通信網での正当性を第1通信網用の認証情報を用いて認証する第1認証サーバとを備えたネットワークにおいて、
    第1ユーザ端末が第1通信網用の認証情報を含む第1認証要求を加入者宅内装置を介してユーザ収容装置に送信するステップと、
    ユーザ収容装置が第1認証要求の送信元の加入者宅内装置が収容された回線の回線識別情報を第1認証要求に付加して第1認証サーバに向けて送出するステップと、
    第1認証サーバが第1認証要求に含まれる認証情報を用いて認証処理を行い第1認証結果を第1ユーザ端末に送出するステップと、
    第1認証サーバが第1認証要求に含まれる認証情報及び回線識別情報を関連づけて所定の記憶手段に保存するステップと、
    第2ユーザ端末が第1通信用の認証情報を含まない第2認証要求を加入者宅内装置を介してユーザ収容装置に送信するステップと、
    ユーザ収容装置が第2認証要求の送信元の加入者宅内装置が収容された回線の回線識別情報を第2認証要求に付与して第1認証サーバに向けて送出するステップと、
    第1認証サーバが第2認証要求に含まれる回線識別情報に基づき該回線識別情報に関連づけられた認証情報を前記記憶手段から取得し、該認証情報を用いて認証処理を行い第2認証結果を第2ユーザ端末へ送出するステップとを備えた
    ことを特徴とするネットワークにおける端末認証方法。
  2. 第1認証サーバは、予め第1ユーザ端末の認証情報と関連づけたユーザプロファイルを所定の記憶手段に記憶しておき、
    第1認証サーバは、第2認証要求に含まれる回線識別情報に基づき該回線識別情報に関連づけられた認証情報を前記記憶手段から取得する際に該認証情報に関連づけられたユーザプロファイルを取得し、第2認証結果とともにユーザプロファイルを第2ユーザ端末へ送出する
    ことを特徴とする請求項1記載のネットワークにおける端末認証方法。
  3. 第1ユーザ端末は、第1ユーザ端末を識別可能な端末識別情報を第1認証要求に含ませ、
    第1認証サーバは、第1認証要求に含まれる認証情報及び回線識別情報並びに端末識別情報を関連づけて所定の記憶手段に保存し、
    第2ユーザ端末は、第2認証要求の送信に先立ち第1ユーザ端末から該第1ユーザ端末の端末識別情報を取得し、該端末識別情報を第2認証要求に含ませ、
    第1認証サーバは、第2認証要求に含まれる回線識別情報及び端末識別情報に基づき該回線識別情報及び端末識別情報に関連づけられた認証情報を前記記憶手段から取得する
    ことを特徴とする請求項1又は2記載のネットワークにおける端末認証方法。
  4. 第1通信網は移動網であり、第2通信網は固定網である、
    ことを特徴とする請求項1乃至3何れか1項記載のネットワークにおける端末認証方法。
  5. 第1通信事業者が提供する第1通信網と、該第1通信網と通信可能に接続され第2通信事業が提供する第2通信網と、ユーザ宅のLANを第2通信網に接続するための加入者宅内装置と、第2通信網に配置され加入者宅内装置を収容するユーザ収容装置と、第1通信網に配置され第1通信網用の認証情報を用いてユーザ端末の第1通信網への接続を認証する第1認証サーバとを備えたネットワークにおいて、
    ユーザ収容装置はユーザ端末から受信した認証要求に対して該認証要求に加入者宅内装置が収容された回線の回線識別情報を第1認証要求に付加して第1認証サーバに向けて送出する回線情報付加手段を備え、
    第1認証サーバは、ユーザ収容装置から受信した認証要求が第1通信網用の認証情報を有する第1ユーザ端末に係るものの場合には該認証情報を用いて認証処理を行い認証結果を第1ユーザ端末へ送出するとともに該認証要求に含まれている認証情報と回線識別情報とを関連づけて所定の記憶手段に保存するとともに、ユーザ収容装置から受信した認証要求が第1通信網用の認証情報を有さない第2ユーザ端末に係るものの場合には該認証要求に含まれる回線識別情報に基づき該回線識別情報に関連づけられた第1通信網用の認証情報を前記記憶手段から取得し該認証情報を用いて認証処理を行い認証結果を第2ユーザ端末へ送出する
    ことを特徴とするネットワークにおける端末認証システム。
JP2013120111A 2013-06-06 2013-06-06 ネットワークにおける端末認証方法及びシステム Expired - Fee Related JP5931802B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013120111A JP5931802B2 (ja) 2013-06-06 2013-06-06 ネットワークにおける端末認証方法及びシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013120111A JP5931802B2 (ja) 2013-06-06 2013-06-06 ネットワークにおける端末認証方法及びシステム

Publications (2)

Publication Number Publication Date
JP2014238664A JP2014238664A (ja) 2014-12-18
JP5931802B2 true JP5931802B2 (ja) 2016-06-08

Family

ID=52135795

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013120111A Expired - Fee Related JP5931802B2 (ja) 2013-06-06 2013-06-06 ネットワークにおける端末認証方法及びシステム

Country Status (1)

Country Link
JP (1) JP5931802B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11974128B2 (en) 2019-02-26 2024-04-30 Nippon Telegraph And Telephone Corporation Communication method, communication system, relay device, and relay program

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6471039B2 (ja) * 2015-05-18 2019-02-13 株式会社Nttドコモ 無線通信システムおよび無線端末
CN108738013B (zh) * 2017-04-18 2021-11-19 华为技术有限公司 网络接入方法、装置和网络设备
JP6940044B2 (ja) * 2017-12-05 2021-09-22 株式会社Nttドコモ サーバ、端末、sim情報の提供方法及びsim情報の書き込み方法
CN108769978A (zh) * 2018-04-13 2018-11-06 深圳市优克联新技术有限公司 Sim卡管理服务器、绑定装置、管理方法、绑定方法及系统
CN112292836B (zh) * 2018-06-29 2023-04-18 日本电信电话株式会社 服务开始方法及通信系统
US11552798B2 (en) 2019-07-30 2023-01-10 Waymo Llc Method and system for authenticating a secure credential transfer to a device

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001325141A (ja) * 2000-05-17 2001-11-22 Nec Corp 記憶容量提供システム及び提供方法
JP2004005146A (ja) * 2002-05-31 2004-01-08 Nippon Telegr & Teleph Corp <Ntt> 認証装置
JP2005276122A (ja) * 2004-03-26 2005-10-06 Fujitsu Ltd アクセス元認証方法及びシステム
JP4334515B2 (ja) * 2005-08-30 2009-09-30 日本電信電話株式会社 サービス提供サーバ、認証サーバ、および認証システム
JP4740092B2 (ja) * 2006-11-08 2011-08-03 日本電信電話株式会社 通信システムおよび通信方法
WO2008061570A1 (en) * 2006-11-24 2008-05-29 Telefonaktiebolaget Lm Ericsson (Publ) Authentication in a communications network
JP5342818B2 (ja) * 2008-05-14 2013-11-13 Kddi株式会社 管理装置、登録通信端末、非登録通信端末、ネットワークシステム、管理方法、通信方法、及びコンピュータプログラム。
JP2010250672A (ja) * 2009-04-17 2010-11-04 Billing System Corp 認証サーバ装置、認証方法、および、認証システム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11974128B2 (en) 2019-02-26 2024-04-30 Nippon Telegraph And Telephone Corporation Communication method, communication system, relay device, and relay program

Also Published As

Publication number Publication date
JP2014238664A (ja) 2014-12-18

Similar Documents

Publication Publication Date Title
EP3876493B1 (en) Authentication method based on gba, and device thereof
US20200153830A1 (en) Network authentication method, related device, and system
JP5931802B2 (ja) ネットワークにおける端末認証方法及びシステム
US8261078B2 (en) Access to services in a telecommunications network
CN112219415A (zh) 在第一网络中使用用于第二旧网络的订户标识模块的用户认证
CN112335274A (zh) 用于通信系统中服务访问的安全管理
EP3427503B1 (en) Systems and methods for using gba for services used by multiple functions on the same device
JP2006515486A (ja) セルラ通信システムにおいて再認証を可能にする方法および装置
US10637850B2 (en) Method and system for accessing service/data of a first network from a second network for service/data access via the second network
EP2215803A1 (en) Network access authentication
US9326141B2 (en) Internet protocol multimedia subsystem (IMS) authentication for non-IMS subscribers
JP5670933B2 (ja) 認証情報変換装置及び認証情報変換方法
EP2510717B1 (en) Smart card security feature profile in home subscriber server
US8191153B2 (en) Communication system, server apparatus, information communication method, and program
US10547651B2 (en) System and method for providing telephony services over WiFi for non-cellular devices
EP3025534A1 (en) Providing telephony services over wifi for non-cellular devices
JP2012010051A (ja) Ims認証制御システム及びims認証制御方法
JP5670926B2 (ja) 無線lanのアクセスポイントの端末アクセス制御システム及び認可サーバ装置
JP4107436B2 (ja) 通信制御装置、通信制御方法
US20110153819A1 (en) Communication system, connection apparatus, information communication method, and program
CN118614099A (zh) 基于tls-psk的用于接入边缘数据网络的认证机制
US20110093604A1 (en) Communication system, server apparatus, information communication method, and program
CN101341779A (zh) 用于无线接入网的优先化网络接入
KR20130085622A (ko) 단일 단말에서 서비스 별 등록을 통해 복수 ims 서비스를 제공하는 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150710

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160427

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160427

R150 Certificate of patent or registration of utility model

Ref document number: 5931802

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees