JP6892846B2 - User authentication method for core network system including authentication device and service device - Google Patents
User authentication method for core network system including authentication device and service device Download PDFInfo
- Publication number
- JP6892846B2 JP6892846B2 JP2018138958A JP2018138958A JP6892846B2 JP 6892846 B2 JP6892846 B2 JP 6892846B2 JP 2018138958 A JP2018138958 A JP 2018138958A JP 2018138958 A JP2018138958 A JP 2018138958A JP 6892846 B2 JP6892846 B2 JP 6892846B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- access token
- authentication
- service
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Description
本発明は、IMS(IP Multimedia Subsystem)のコアネットワークシステムにおけるユーザ認証の技術に関する。 The present invention relates to a user authentication technique in a core network system of IMS (IP Multimedia Subsystem).
図1は、従来技術における移動通信のシステム構成図である。 FIG. 1 is a system configuration diagram of mobile communication in the prior art.
図1のシステムによれば、以下の装置から構成されている。
コアネットワークシステム
IMS1 (サービスコアネットワーク)
EPC(Evolved Packet Core)3 (パケットコアネットワーク)
認証データベース(HSS(Home Subscriber Server))2 (加入者情報登録)
基地局(eNB(e-Node B))4
端末(UE(User Equipment))5
According to the system of FIG. 1, it is composed of the following devices.
Core network system
IMS1 (Service Core Network)
EPC (Evolved Packet Core) 3 (Packet Core Network)
Authentication database (HSS (Home Subscriber Server)) 2 (subscriber information registration)
Base station (eNB (e-Node B)) 4
Terminal (UE (User Equipment)) 5
EPC4は、複数の基地局を収容し、MME(Mobility Management Entity)、SGW(Serving-Gateway)、PGW(PDN(Packet Data Network)-Gateway)及びPCRF(Policy and Charging Rules Function)を有する。
MMEは、コアネットワーク制御装置であって、基地局を介して携帯端末と通信する。MMEは、端末の移動管理だけでなく、HSSと連携した移動端末の認証と、IP伝達経路の設定制御も実行する。
SGWは、MMEからの制御に基づいてIPパケットの伝達制御を実行する。
PGWは、インターネット、IMSなどのPDNとの接続点となり、PDNから移動端末へのIPパケットを全て受信する。
PCRFは、PGW及びSGWでの伝達品質制御を実行するための、QoS(Quality of Service)、課金方法などのIPパケット伝達ポリシを決定する。
The EPC4 accommodates a plurality of base stations and has an MME (Mobility Management Entity), an SGW (Serving-Gateway), a PGW (PDN (Packet Data Network) -Gateway) and a PCRF (Policy and Charging Rules Function).
The MME is a core network control device that communicates with a mobile terminal via a base station. The MME not only manages the movement of terminals, but also authenticates mobile terminals linked with HSS and controls the setting of IP transmission routes.
The SGW executes transmission control of IP packets based on the control from the MME.
The PGW serves as a connection point with a PDN such as the Internet or IMS, and receives all IP packets from the PDN to the mobile terminal.
The PCRF determines the IP packet transmission policy such as Quality of Service (QoS) and billing method for performing transmission quality control in PGW and SGW.
IMSは、ネットワークリソースの割り当てやゲートの制御を実行し、例えばVoLTE(Voice over LTE)のようなIPベースの通話サービスを提供する。 IMS performs network resource allocation and gate control, and provides IP-based calling services such as VoLTE (Voice over LTE).
VoLTEを提供するIMS1は、「ユーザ認可情報(電話番号+契約サービス情報等)」を保持する必要がある。そのために、IMS1は、認証データベース2と接続されている必要がある。
IMS1 that provides VoLTE needs to hold "user authorization information (telephone number + contract service information, etc.)". Therefore, IMS1 needs to be connected to the
ユーザが所持する端末5(例えばスマートフォン)は、VoLTEサービスを利用する際、SIMカードの識別情報を含むユーザ認証要求を送信する。そのユーザ認証要求を受信したIMS1は、その識別情報を認証用データベース2と照合する。認証が成功した場合、認証情報及びユーザ認可情報が発行される。その後、端末5は、認証情報を用いてサービスを利用する。IMS1は、端末5から受信した認証情報に基づくユーザ認可情報を確認することによってサービスを提供する。
When the terminal 5 (for example, a smartphone) possessed by the user uses the VoLTE service, the terminal 5 (for example, a smartphone) transmits a user authentication request including the identification information of the SIM card. Upon receiving the user authentication request, IMS1 collates the identification information with the
このようなコアネットワークシステムは、例えば大規模災害の発生における停電や通信設備障害を想定して、耐障害性を高めている。
しかしながら、例えば広範囲地域の自然災害等によって、無線アクセスネットワーク(バックホール回線)に障害が発生した場合、一部の端末から広域ネットワークへの接続が断絶され、通信孤立地域が生じる。
Such a core network system has improved fault tolerance in anticipation of a power outage or communication equipment failure in the event of a large-scale disaster, for example.
However, when a failure occurs in a wireless access network (backhaul line) due to, for example, a natural disaster in a wide area, the connection from some terminals to the wide area network is cut off, resulting in an isolated communication area.
この場合、通信事業者は、通信孤立地域に、広域ネットワークへの接続機能を備えた基地局やコアネットワーク装置を運び込み、通信を復旧させようとする。基地局やコアネットワーク装置は、例えば自動車や気球、ヘリコプターのようなもので運び込まれるために、実際に通信が可能となるまでに比較的長時間を要する。 In this case, the telecommunications carrier brings a base station or a core network device having a function of connecting to a wide area network to a communication isolated area to restore communication. Since base stations and core network devices are carried by such things as automobiles, balloons, and helicopters, it takes a relatively long time before communication can actually be performed.
また、通信孤立地域でのみ使用される専用の通信事業設備を構築することは、コスト的にも問題がある。そのために、ソフトウェア的に構築された既存のコアネットワーク装置や認証データベースのシステム全体を、可搬型ハードウェアに実装してその通信事業設備として利用する技術もある(例えば特許文献1参照)。 In addition, there is a problem in terms of cost to construct a dedicated communication business facility used only in an isolated communication area. For that purpose, there is also a technique of mounting the entire system of an existing core network device or authentication database constructed by software on portable hardware and using it as its communication business equipment (see, for example, Patent Document 1).
しかしながら、突発的に自然災害等が発生したとはいえ、通信孤立地域におけるユーザの個人情報となる認証データベースを、可搬型装置に搭載することには問題がある。また、認証データベースには、事前にその地域範囲を予測して、そこに滞在する端末の加入者情報を登録しておくことはできない。勿論、日本国内の携帯電話契約者の全ての加入者情報を、通信孤立地域に設置される可搬型装置に予め登録することもできない。 However, even if a natural disaster or the like suddenly occurs, there is a problem in mounting an authentication database, which is personal information of a user in a communication isolated area, on a portable device. In addition, it is not possible to predict the area range in advance and register the subscriber information of the terminal staying there in the authentication database. Of course, it is not possible to pre-register all the subscriber information of mobile phone subscribers in Japan in the portable device installed in the communication isolated area.
そこで、本発明は、認証データベースに基づくユーザ認証処理を実行することができない通信環境であっても、端末は通信サービスを利用することができるコアネットワークシステムのユーザ認証方法を提供することを目的とする。 Therefore, an object of the present invention is to provide a user authentication method for a core network system in which a terminal can use a communication service even in a communication environment in which a user authentication process based on an authentication database cannot be executed. To do.
本発明によれば、認証用装置とサービス用装置と端末とを含むコアネットワークシステムのユーザ認証方法において、
認証用装置は、アクセストークン用秘密鍵を保持し、
サービス用装置は、アクセストークン用秘密鍵に対応するアクセストークン用公開鍵を保持し、
サービス用装置及び端末は、共通鍵を保持し、
認証用装置が、端末からユーザ認証要求を受信した際に、認証データベースに基づくユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたアクセストークンを、端末へ返信する第1のステップと、
端末が認証用装置と通信できない場合に、第2のステップとして、
端末は、アクセストークンを含む制御要求を共通鍵によって暗号化し、暗号化された制御要求をサービス用装置へ送信し、
サービス用装置は、暗号化された制御要求を共通鍵によって復号し、当該アクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号し、当該制御要求を実行し、成功応答を共通鍵によって暗号化した暗号化成功応答を端末へ返信する
ことを特徴する。
According to the present invention, in a user authentication method of a core network system including an authentication device, a service device, and a terminal,
The authentication device holds the private key for the access token and
The service device holds the access token public key corresponding to the access token private key,
Service devices and terminals hold a common key
When the authentication device receives a user authentication request from the terminal, the first step of returning the access token to which the user authorization information based on the authentication database is signed by the private key for the access token is returned to the terminal.
If the terminal cannot communicate with the authentication device, as a second step,
The terminal encrypts the control request including the access token with the common key, and sends the encrypted control request to the service device.
The service device decrypts the encrypted control request with the common key , verifies that the access token has not been tampered with with the access token public key, decrypts the user authorization information, executes the control request, and succeeds. It is characterized in that an encryption success response in which the response is encrypted with a common key is returned to the terminal.
本発明のユーザ認証方法における他の実施形態によれば、
コアネットワークシステムは、IMS(IP Multimedia Subsystem)に基づくものであり、
第2のステップについて、
制御要求は、位置登録要求であり、
サービス用装置は、ユーザ認可情報を復号した際に、セッション情報を作成すると共に、成功応答を端末へ返信することも好ましい。
According to another embodiment of the user authentication method of the present invention.
The core network system is based on IMS (IP Multimedia Subsystem).
About the second step
The control request is a location registration request,
When the user authorization information is decrypted, the service device preferably creates session information and returns a success response to the terminal.
本発明のユーザ認証方法における他の実施形態によれば、
第1のステップについて、
認証用装置が、ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を予め保持すると共に、当該ランダム値を端末へ送信する第11のステップと、
端末が、ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を含むアクセストークン要求を、認証用装置へ送信する第12のステップと、
認証用装置は、予め保持した拡張応答値(XRES)と、端末から受信した拡張応答値(XRES)とが一致する際に、ユーザ認可情報を設定する第13のステップと、
認証用装置は、ユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたアクセストークンを、端末へ返信する第14のステップと
を実行することも好ましい。
According to another embodiment of the user authentication method of the present invention.
About the first step
The eleventh step in which the authentication device holds in advance the extended response value (XRES) encrypted by the terminal private key from the random value (RAND) and transmits the random value to the terminal.
In the twelfth step, the terminal sends an access token request including an extended response value (XRES) encrypted by the terminal private key from a random value (RAND) to the authentication device.
The authentication device has a thirteenth step of setting user authorization information when the extended response value (XRES) held in advance and the extended response value (XRES) received from the terminal match.
It is also preferable that the authentication device executes the fourteenth step of returning the access token whose user authorization information is signed by the private key for the access token to the terminal.
本発明のユーザ認証方法における他の実施形態によれば、
認証用装置と認証データベースとが別個に接続されており、
第11のステップについて、
認証用装置が、ユーザ認証要求を、認証データベースへ送信し、
認証データベースが、ランダム値(RAND)と、当該ランダム値から端末秘密鍵によって暗号化した拡張応答値(XRES)とを、認証用装置へ返信する
を実行することも好ましい。
According to another embodiment of the user authentication method of the present invention.
The authentication device and the authentication database are connected separately,
About the eleventh step
The authentication device sends a user authentication request to the authentication database and
It is also preferable that the authentication database returns a random value (RAND) and an extended response value (XRES) encrypted from the random value by the terminal private key to the authentication device.
本発明のユーザ認証方法における他の実施形態によれば、
認証用装置は、TLS(Transport Layer Security)用のルート証明書を保持し、
サービス用装置は、TLS用のサーバ証明書を保持し、
第1のステップについて、
認証用装置は、端末へ、アクセストークンと共に、ルート証明書を返信し、
第2のステップについて、
サービス用装置は、端末からTLS接続要求を受信した際に、サーバ証明書を端末へ返信し、
端末は、ルート証明書によってサーバ証明書を検証する
ことも好ましい。
According to another embodiment of the user authentication method of the present invention.
The authentication device holds the root certificate for TLS (Transport Layer Security) and holds it.
The service device holds the server certificate for TLS and holds the server certificate.
About the first step
The authentication device returns the root certificate to the terminal together with the access token.
About the second step
When the service device receives the TLS connection request from the terminal, it returns the server certificate to the terminal and returns it to the terminal.
It is also preferable that the terminal verifies the server certificate by the root certificate.
本発明のユーザ認証方法における他の実施形態によれば、
サービス用装置は、サービス公開鍵とサービス秘密鍵とを保持し、
第2のステップについて、
サービス用装置は、端末からTLS接続要求を受信した際に、サービス公開鍵を端末へ返信し、
端末は、暫定秘密鍵を生成し、当該暫定秘密鍵をサービス公開鍵によって暗号化した暗号化暫定秘密鍵を生成し、当該暗号化暫定秘密鍵をサービス用装置へ送信すると共に、当該暫定秘密鍵から共通鍵を作成し、
サービス用装置は、暗号化暫定秘密鍵をサービス秘密鍵によって復号して暫定秘密鍵を取得し、当該暫定秘密鍵から共通鍵を生成する
ことも好ましい。
According to another embodiment of the user authentication method of the present invention.
The service device holds the service public key and the service private key,
About the second step
When the service device receives the TLS connection request from the terminal, the service device returns the service public key to the terminal.
The terminal generates a provisional private key, generates an encrypted provisional private key in which the provisional private key is encrypted with the service public key, transmits the encrypted provisional private key to the service device, and the provisional secret key. Create a common key from
It is also preferable that the service device decrypts the encrypted provisional private key with the service private key to acquire the provisional private key, and generates a common key from the provisional private key.
本発明によれば、認証用装置とサービス用装置と端末とを含むコアネットワークシステムにおいて、
認証用装置は、アクセストークン用秘密鍵を保持し、
サービス用装置は、アクセストークン用秘密鍵に対応するアクセストークン用公開鍵を保持し、
サービス用装置及び端末は、共通鍵を保持し、
認証用装置は、端末からユーザ認証要求を受信した際に、認証データベースに基づくユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたアクセストークンを、端末へ返信するものであり、
端末は、アクセストークンを含む制御要求を共通鍵によって暗号化し、暗号化された制御要求をサービス用装置へ送信するものであり、
サービス用装置は、暗号化された制御要求を共通鍵によって復号し、当該アクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号し、当該制御要求を実行し、成功応答を共通鍵によって暗号化した暗号化成功応答を端末へ返信するものである
ことを特徴する。
According to the present invention, in a core network system including an authentication device, a service device, and a terminal,
The authentication device holds the private key for the access token and
The service device holds the access token public key corresponding to the access token private key,
Service devices and terminals hold a common key
When the authentication device receives a user authentication request from the terminal, the authentication device returns an access token to the terminal, in which the user authorization information based on the authentication database is signed by the private key for the access token.
The terminal encrypts the control request including the access token with the common key and sends the encrypted control request to the service device.
The service device decrypts the encrypted control request with the common key , verifies that the access token has not been tampered with with the access token public key, decrypts the user authorization information, executes the control request, and succeeds. The response is encrypted with a common key, and a successful encryption response is returned to the terminal .
本発明のコアネットワークシステムのユーザ認証方法によれば、認証データベースに基づくユーザ認証処理を実行することができない通信環境であっても、端末は通信サービスを利用することができる。 According to the user authentication method of the core network system of the present invention, the terminal can use the communication service even in a communication environment in which the user authentication process based on the authentication database cannot be executed.
以下、本発明の実施の形態について、図面を用いて詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
図2は、本発明における移動通信のシステム構成図である。 FIG. 2 is a system configuration diagram of mobile communication in the present invention.
図2によれば、図1と比較して、VoLTEを提供するIMSのコアネットワークシステムについて、「認証用装置11」と「サービス用装置12」とに分離されている。そのために、認証用装置11のみが、認証データベース2に接続する。
また、例えば自然災害を想定した場合、基地局4は、ソフトウェア的に構築された孤立用コアネットワークシステムとしてのサービス用装置12のみを備えておけばよい。これによって、配下の端末5同士の通信を可能とする。
即ち、本発明によれば、コアネットワークシステムに認証データベース2が接続していなくても、端末5のユーザを認証することができる。
According to FIG. 2, as compared with FIG. 1, the core network system of the IMS that provides VoLTE is separated into the “
Further, for example, in the case of assuming a natural disaster, the
That is, according to the present invention, the user of the
基地局4の孤立用コアネットワークシステムが起動する場合としては、例えば災害や障害によってコアネットワークから断絶した場合がある。また、例えば特定のイベント会場でコアネットワークからあえて遮断した場合であってもよい。この場合、そのイベント会場に滞在するユーザのみに、孤立した通話サービスを提供することができる。
When the isolated core network system of the
図3は、本発明における基本的なシーケンス図である。 FIG. 3 is a basic sequence diagram in the present invention.
本発明によれば、認証用装置11は、「アクセストークン用秘密鍵」を保持する。
また、サービス用装置12は、アクセストークン用秘密鍵に対応する「アクセストークン用公開鍵」を保持する。
According to the present invention, the
In addition, the
本発明によれば、以下の2つのステップを有する。
(S1)認証用装置11は、端末5に対してアクセストークンを発行する。
(S2)サービス用装置12は、端末5から受信したアクセストークンによって、ユーザを認証する。
即ち、端末5は、コアネットワークシステムに認証データベース2が接続されていなくても、サービス用装置12との間のみでユーザ認証を成功させ、VoLTEサービスの提供を受けることができる。
According to the present invention, it has the following two steps.
(S1) The
(S2) The
That is, even if the
「アクセストークン」とは、ユーザ認証後に、IMSが端末5へ通知する文字列の認証情報である。初回、端末5が認証用装置11に接続した時に、アクセストークンが発行され、端末5はそのアクセストークンを保持する。その後、端末5は、コアネットワークシステムに接続する際に、そのアクセストークンを用いてユーザを認証する。
The "access token" is the authentication information of the character string notified by the IMS to the
アクセストークンの一例として、JWT(JSON Web Token)を用いてもよい。
<JWTフォーマット>
[HEADER] . [PAYLOAD] . [SIGNATURE]
HEADER及びPAYLOAD: base64エンコード
<JWT PAYLOAD例>
{
"sub": "userhoge",
"phone_number": "080-1234-5678",
"supplementary_service": "communication-diversion=true",
"aud": "audhoge",
"iss": "https://example.com/",
"exp": 1452565628,
"iat": 1452565568
}
JWT (JSON Web Token) may be used as an example of the access token.
<JWT format>
[HEADER]. [PAYLOAD]. [SIGNATURE]
HEADER and PAYLOAD: base64 encoding <JWT PAYLOAD example>
{
"sub": "userhoge",
"phone_number": "080-1234-5678",
"supplementary_service": "communication-diversion = true",
"aud": "audhoge",
"iss": "https://example.com/",
"exp": 1452565628,
"iat": 1452565568
}
[S1:第1のステップ]
(S11)端末5が、認証用装置11へ、ユーザ認証要求を送信する。
(S12)認証用装置11は、認証データベース2に基づく「ユーザ認可情報」を取得する(具体的には図4参照)。
(S13)認証用装置11は、ユーザ認証要求にアクセストークンリクエストが含まれている場合、アクセストークンを生成する。アクセストークンは、ユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたものである。尚、ユーザ認証要求に、アクセストークンリクエストが含まれていない場合、端末5に対しては、既存方式で動作する。その場合、端末5がコアネットワークシステムに接続する毎に、認証データベース2を用いたユーザ認証が必要となる。
(S14)認証用装置11は、そのアクセストークンを、端末5へ返信する。
これによって、端末5は、アクセストークンを保持することができる。
[S1: First step]
(S11) The
(S12) The
(S13) The
(S14) The
As a result, the
[S2:第2のステップ]
(S21)次に、端末5は、サービス用装置12へ、アクセストークンを含む制御要求を送信する。
(S22)サービス用装置12は、そのアクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号する。
(S23)サービス用装置12は、認証成功として、その制御要求を実行する。
これによって、コアネットワークシステムとしては、サービス用装置12のみで、端末5のユーザを認証することができる。
[S2: Second step]
(S21) Next, the
(S22) The
(S23) The
As a result, as the core network system, the user of the
図4は、本発明の第1のステップの詳細なシーケンス図である。 FIG. 4 is a detailed sequence diagram of the first step of the present invention.
図4によれば、端末5と認証データベース2との両方で、「端末秘密鍵」を保持する。また、認証用装置11は、別個に接続された認証データベース2と通信する。
According to FIG. 4, both the
(S11)端末5は、認証用装置11へ、ユーザ認証要求を送信する。端末5がアクセストークン方式に対応している場合、ユーザ認証要求には、アクセストークンリクエストが含められる。
(S111)認証用装置11は、認証データベース2へ、ユーザ認証要求を送信する。
(S112)認証データベース2は、ランダム値(RAND)を生成する。
(S113)また、認証データベース2は、当該ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を生成する。
(S114)認証データベース2は、ランダム値(RAND)と拡張応答値(XRES)とを、認証用装置11へ応答する。
(S115)認証用装置11は、拡張応答値(XRES)を自ら保持すると共に、ランダム値(RAND)を端末5へ応答する。
(S116)端末5は、ランダム値(RAND)から、端末秘密鍵によって暗号化した拡張応答値(XRES)を生成する。
(S11) The
(S111) The
(S112) The
(S113) Further, the
(S114) The
(S115) The
(S116) The
(S121)端末5は、拡張応答値(XRES)を含むアクセストークン要求を、認証用装置11へ送信する。
(S122)認証用装置11は、予め保持した拡張応答値(XRES)と、端末5から受信した拡張応答値(XRES)とが一致するか否かを判定する。
(S123)認証用装置11は、S122によって一致した場合、ユーザ認証の成功通知を、認証データベース2へ送信する。
(S12)認証データベース2は、「ユーザ認可情報」を、認証用装置11へ通知する。これによって、認証用装置11は、端末5に対するユーザ認可情報を保持する。
(S13)認証用装置11は、アクセストークンを生成する。アクストークンは、ユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたものである。
(S14)認証用装置11は、生成したアクセストークンを含む成功応答を、端末5へ返信する。
これによって、端末5は、アクセストークンを保持する。
(S121) The
(S122) The
(S123) If the
(S12) The
(S13) The
(S14) The
As a result, the
図5は、本発明の第2のステップの詳細なシーケンス図である。 FIG. 5 is a detailed sequence diagram of the second step of the present invention.
(S21)端末5は、制御要求としての位置登録要求を、サービス用装置12へ送信する。
(S22)サービス用装置12は、アクセストークンから、アクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号する。
(S23)サービス用装置12は、セッション情報を作成する。
(S24)そして、サービス用装置12は、セッション情報を含む成功応答を、端末5へ返信する。
(S21) The
(S22) The
(S23) The
(S24) Then, the
(S31)端末5は、アクセストークンを含む発信要求を、サービス用装置12へ送信する。
(S32)サービス用装置12は、アクセストークンから、アクセストークン用公開鍵によって非改竄を検証する。
(S33)非改竄が検証された後、サービス用装置12は、発信要求を他のノードへ送信する。
(S34)サービス用装置12が、他のノードから、端末5に対する発信通知を受信したとする。既に、端末5からのアクセストークンの非改竄が検証済みである。
(S35)そして、サービス用装置12は、その発信通知を、端末5セッション情報を含む成功応答を、端末5へ返信する。
(S31) The
(S32) The
(S33) After the non-tampering is verified, the
(S34) It is assumed that the
(S35) Then, the
図5の場合、S35について、端末5は、信頼できるIMSのサービス用装置12から発信通知か否かを識別することができない。そのために、SIPoverTLSを用いることが好ましい。
尚、既存方式では、端末とIMSとの間で、IPsecを確立することによって、パケット受信時にパケット送信元を検証することができる。但し、IMSのIPアドレスがアタッチ時にPGWから通知されるため、端末が、信頼できないIMSに接続する可能性は低い。
In the case of FIG. 5, regarding S35, the
In the existing method, the packet source can be verified at the time of packet reception by establishing IPsec between the terminal and IMS. However, since the IP address of the IMS is notified from the PGW at the time of attachment, it is unlikely that the terminal will connect to an unreliable IMS.
図6は、本発明のTLS接続要求に基づく第1のシーケンス図である。 FIG. 6 is a first sequence diagram based on the TLS connection request of the present invention.
図6によれば、認証用装置11は、TLS(Transport Layer Security)用の「ルート証明書」を更に保持する。
また、サービス用装置12は、TLS用の「サーバ証明書」と、「サービス公開鍵」及び「サービス秘密鍵」とを保持する。
According to FIG. 6, the
In addition, the
(S11)端末5が、ユーザ認証要求を、認証用装置11へ送信する。
(S12〜S13)例えば前述した図4のシーケンスを実行する。
(S14)認証用装置11は、端末5へ、アクセストークンと共に、ルート証明書を含む成功応答を返信する。
これによって、端末5は、アクセストークン及びルート証明書を保持する。
(S11) The
(S12 to S13) For example, the sequence of FIG. 4 described above is executed.
(S14) The
As a result, the
(S201)端末5は、TLS接続要求を、サービス用装置12へ送信する。
(S202)サービス用装置12は、サーバ証明書及びサービス公開鍵を、端末5へ返信する。
(S203)端末5は、ルート証明書で、サーバ証明書の非改竄を検証する。
(S204)端末5は、暫定秘密鍵を生成する。
(S205)端末5は、当該暫定秘密鍵をサービス公開鍵によって暗号化した暗号化暫定秘密鍵を生成する。
(S206)端末5は、当該暗号化暫定秘密鍵を、サービス用装置12へ送信する。
(S207)端末5は、当該暫定秘密鍵から共通鍵を作成する。
(S201) The
(S202) The
(S203) The
(S204) The
(S205) The
(S206) The
(S207) The
(S208)サービス用装置12は、暗号化暫定秘密鍵をサービス秘密鍵によって復号して暫定秘密鍵を取得する。
(S209)サービス用装置12は、当該暫定秘密鍵から共通鍵を作成する。
これによって、端末5及びサービス用装置12の両方とも、共通鍵を作成することができる。
(S208) The
(S209) The
As a result, both the
図7は、本発明のTLS接続要求に基づく第2のシーケンス図である。 FIG. 7 is a second sequence diagram based on the TLS connection request of the present invention.
(S20)端末5は、アクセストークンを含む位置登録要求(制御要求)を共通鍵によって暗号化する。
(S21)端末5は、暗号化された位置登録要求を、サービス用装置12へ送信する。
(S220)サービス用装置12は、暗号化された位置登録要求を共通鍵によって復号する。
(S22)サービス用装置12は、アクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号する。
(S23)サービス用装置12は、セッション情報を作成する。
(S240)サービス用装置12は、セッション情報を含む成功応答を、共通鍵によって暗号化する。
(S24)サービス用装置12は、暗号化された成功応答を、端末5へ返信する。
(S20) The
(S21) The
(S220) The
(S22) The
(S23) The
(S240) The
(S24) The
前述した実施形態によれば、EPC/IMSネットワークについて説明したが、既存の3G (Third Generation)移動通信システムや、将来的な5G(5th Generation)移動通信システムに適用することもできる。 According to the above-described embodiment, the EPC / IMS network has been described, but it can also be applied to an existing 3G (Third Generation) mobile communication system and a future 5G (5th Generation) mobile communication system.
以上、詳細に説明したように、本発明のコアネットワークシステムのユーザ認証方法によれば、認証データベースに基づくユーザ認証処理を実行することができない通信環境であっても、端末は通信サービスを利用することができる。 As described in detail above, according to the user authentication method of the core network system of the present invention, the terminal uses the communication service even in a communication environment in which the user authentication process based on the authentication database cannot be executed. be able to.
本発明によれば、例えば異なる通信事業者間で、アクセストークン検証用公開鍵を共有することによって、サービス用装置12を共有化することもできる。また、アクセストークンを端末間で受け渡すことによって、SIMカードの有無に拘わらず、異なる通信事業者のVoLTEサービスを利用することができる。
According to the present invention, the
前述した本発明の種々の実施形態について、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略は、当業者によれば容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。 With respect to the various embodiments of the present invention described above, various changes, modifications and omissions within the scope of the technical idea and viewpoint of the present invention can be easily made by those skilled in the art. The above explanation is just an example and does not attempt to restrict anything. The present invention is limited only to the scope of claims and their equivalents.
11 認証用装置
12 サービス用装置
2 認証データベース
3 EPC
4 基地局
5 端末
11
4
Claims (7)
認証用装置は、アクセストークン用秘密鍵を保持し、
サービス用装置は、前記アクセストークン用秘密鍵に対応するアクセストークン用公開鍵を保持し、
サービス用装置及び端末は、共通鍵を保持し、
認証用装置が、端末からユーザ認証要求を受信した際に、認証データベースに基づくユーザ認可情報に前記アクセストークン用秘密鍵によって署名が付与されたアクセストークンを、前記端末へ返信する第1のステップと、
前記端末が認証用装置と通信できない場合に、第2のステップとして、
前記端末は、前記アクセストークンを含む制御要求を共通鍵によって暗号化し、暗号化された制御要求をサービス用装置へ送信し、
サービス用装置は、暗号化された制御要求を共通鍵によって復号し、当該アクセストークンから前記アクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号し、当該制御要求を実行し、成功応答を共通鍵によって暗号化した暗号化成功応答を端末へ返信する
ことを特徴するユーザ認証方法。 In the user authentication method of the core network system including the authentication device, the service device, and the terminal,
The authentication device holds the private key for the access token and
The service device holds the access token public key corresponding to the access token private key, and holds the access token public key.
Service devices and terminals hold a common key
When the authentication device receives the user authentication request from the terminal, the first step is to return the access token to which the user authorization information based on the authentication database is signed by the private key for the access token to the terminal. ,
When the terminal cannot communicate with the authentication device, as a second step,
The terminal encrypts the control request including the access token with the common key, and transmits the encrypted control request to the service device.
The service device decrypts the encrypted control request with the common key , verifies that the access token has not been tampered with with the access token public key, decrypts the user authorization information, executes the control request, and executes the control request . An encryption method in which a success response is encrypted with a common key . A user authentication method characterized in that a success response is returned to a terminal.
第2のステップについて、
前記制御要求は、位置登録要求であり、
サービス用装置は、前記ユーザ認可情報を復号した際に、セッション情報を作成すると共に、成功応答を端末へ返信する
ことを特徴とする請求項1に記載のユーザ認証方法。 The core network system is based on IMS (IP Multimedia Subsystem).
About the second step
The control request is a location registration request.
The user authentication method according to claim 1, wherein the service device creates session information and returns a success response to the terminal when the user authorization information is decrypted.
認証用装置が、ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を予め保持すると共に、当該ランダム値を端末へ送信する第11のステップと、
前記端末が、前記ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を含むアクセストークン要求を、認証用装置へ送信する第12のステップと、
認証用装置は、予め保持した拡張応答値(XRES)と、前記端末から受信した拡張応答値(XRES)とが一致する際に、ユーザ認可情報を設定する第13のステップと、
認証用装置は、前記ユーザ認可情報に前記アクセストークン用秘密鍵によって署名が付与されたアクセストークンを、端末へ返信する第14のステップと
を実行することを特徴とする請求項1又は2に記載のユーザ認証方法。 About the first step
The eleventh step in which the authentication device holds in advance the extended response value (XRES) encrypted by the terminal private key from the random value (RAND) and transmits the random value to the terminal.
A twelfth step in which the terminal transmits an access token request including an extended response value (XRES) encrypted by the terminal private key from the random value (RAND) to the authentication device.
The authentication device has a thirteenth step of setting user authorization information when the extended response value (XRES) held in advance and the extended response value (XRES) received from the terminal match.
The authentication device according to claim 1 or 2, wherein the authentication device executes the fourteenth step of returning the access token whose signature is given to the user authorization information by the private key for the access token to the terminal. User authentication method.
第11のステップについて、
認証用装置が、前記ユーザ認証要求を、認証データベースへ送信し、
認証データベースが、ランダム値(RAND)と、当該ランダム値から端末秘密鍵によって暗号化した拡張応答値(XRES)とを、認証用装置へ返信する
を実行することを特徴とする請求項3に記載のユーザ認証方法。 The authentication device and the authentication database are connected separately,
About the eleventh step
The authentication device sends the user authentication request to the authentication database,
The third aspect of claim 3, wherein the authentication database returns a random value (RAND) and an extended response value (XRES) encrypted from the random value by the terminal private key to the authentication device. User authentication method.
サービス用装置は、TLS用のサーバ証明書を保持し、
第1のステップについて、
認証用装置は、前記端末へ、前記アクセストークンと共に、前記ルート証明書を返信し、
第2のステップについて、
サービス用装置は、前記端末からTLS接続要求を受信した際に、前記サーバ証明書を端末へ返信し、
前記端末は、前記ルート証明書によって前記サーバ証明書を検証する
ことを特徴とする請求項1から4のいずれか1項に記載のユーザ認証方法。 The authentication device holds the root certificate for TLS (Transport Layer Security) and holds it.
The service device holds the server certificate for TLS and holds the server certificate.
About the first step
The authentication device returns the root certificate together with the access token to the terminal.
About the second step
When the service device receives the TLS connection request from the terminal, the service device returns the server certificate to the terminal.
The user authentication method according to any one of claims 1 to 4, wherein the terminal verifies the server certificate with the root certificate.
第2のステップについて、
サービス用装置は、前記端末からTLS接続要求を受信した際に、前記サービス公開鍵を端末へ返信し、
前記端末は、暫定秘密鍵を生成し、当該暫定秘密鍵を前記サービス公開鍵によって暗号化した暗号化暫定秘密鍵を生成し、当該暗号化暫定秘密鍵をサービス用装置へ送信すると共に、当該暫定秘密鍵から共通鍵を作成し、
サービス用装置は、暗号化暫定秘密鍵をサービス秘密鍵によって復号して暫定秘密鍵を取得し、当該暫定秘密鍵から共通鍵を生成する
ことを特徴とする請求項1から5のいずれか1項に記載のユーザ認証方法。 The service device holds the service public key and the service private key,
About the second step
When the service device receives the TLS connection request from the terminal, the service device returns the service public key to the terminal.
The terminal generates a provisional private key, generates an encrypted provisional private key in which the provisional private key is encrypted by the service public key, transmits the encrypted provisional private key to the service device, and the provisional secret key. Create a common key from the private key and
Claims 1 to 5, wherein the service device decrypts the encrypted provisional private key with the service private key, acquires the provisional secret key, and generates a common key from the provisional private key. The user authentication method according to any one item.
認証用装置は、アクセストークン用秘密鍵を保持し、
サービス用装置は、前記アクセストークン用秘密鍵に対応するアクセストークン用公開鍵を保持し、
サービス用装置及び端末は、共通鍵を保持し、
認証用装置は、端末からユーザ認証要求を受信した際に、認証データベースに基づくユーザ認可情報に前記アクセストークン用秘密鍵によって署名が付与されたアクセストークンを、前記端末へ返信するものであり、
前記端末は、前記アクセストークンを含む制御要求を共通鍵によって暗号化し、暗号化された制御要求をサービス用装置へ送信するものであり、
サービス用装置は、暗号化された制御要求を共通鍵によって復号し、当該アクセストークンから前記アクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号し、当該制御要求を実行し、成功応答を共通鍵によって暗号化した暗号化成功応答を端末へ返信するものである
ことを特徴するコアネットワークシステム。 In a core network system that includes an authentication device, a service device, and a terminal
The authentication device holds the private key for the access token and
The service device holds the access token public key corresponding to the access token private key, and holds the access token public key.
Service devices and terminals hold a common key
When the authentication device receives the user authentication request from the terminal, the authentication device returns the access token to which the user authorization information based on the authentication database is signed by the private key for the access token to the terminal.
The terminal encrypts a control request including the access token with a common key, and transmits the encrypted control request to a service device.
The service device decrypts the encrypted control request with the common key , verifies that the access token has not been tampered with with the access token public key, decrypts the user authorization information, executes the control request, and executes the control request . An encrypted success response that is encrypted with a common key . <br /> A core network system that returns a success response to a terminal.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018138958A JP6892846B2 (en) | 2018-07-25 | 2018-07-25 | User authentication method for core network system including authentication device and service device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018138958A JP6892846B2 (en) | 2018-07-25 | 2018-07-25 | User authentication method for core network system including authentication device and service device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020017032A JP2020017032A (en) | 2020-01-30 |
| JP6892846B2 true JP6892846B2 (en) | 2021-06-23 |
Family
ID=69580433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018138958A Expired - Fee Related JP6892846B2 (en) | 2018-07-25 | 2018-07-25 | User authentication method for core network system including authentication device and service device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6892846B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114205819B (en) * | 2021-12-10 | 2024-08-27 | 中国电信股份有限公司 | QoS calling method and device based on hybrid networking and electronic equipment |
| JP7738490B2 (en) * | 2022-01-13 | 2025-09-12 | 三菱電機株式会社 | Wireless communication system and terminal authentication method |
| CN116318811B (en) * | 2022-12-28 | 2026-02-17 | 上海元组科技有限公司 | A method and device for network request verification and authentication based on trusted nodes |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10360545B2 (en) * | 2001-12-12 | 2019-07-23 | Guardian Data Storage, Llc | Method and apparatus for accessing secured electronic data off-line |
| JP4544956B2 (en) * | 2004-10-06 | 2010-09-15 | 株式会社エヌ・ティ・ティ・データ | Access control system, client terminal device, and program |
| KR101651808B1 (en) * | 2012-02-07 | 2016-08-26 | 애플 인크. | Network assisted fraud detection apparatus and methods |
| US9491620B2 (en) * | 2012-02-10 | 2016-11-08 | Qualcomm Incorporated | Enabling secure access to a discovered location server for a mobile device |
| JP6101644B2 (en) * | 2014-01-29 | 2017-03-22 | Kddi株式会社 | COMMUNICATION SYSTEM, IDENTIFIER APPARATUS AND COMMUNICATION METHOD |
| WO2017130292A1 (en) * | 2016-01-26 | 2017-08-03 | 株式会社ソラコム | Server, mobile terminal, and program |
| JP2018092446A (en) * | 2016-12-05 | 2018-06-14 | キヤノン株式会社 | Authentication authorization system, information processing apparatus, authentication authorization method and program |
-
2018
- 2018-07-25 JP JP2018138958A patent/JP6892846B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020017032A (en) | 2020-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107409137B (en) | Apparatus and method for guaranteed connectivity to a wireless network using application specific network access credentials | |
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| CN107409136B (en) | For using application specific network insertion voucher to the device and method by guarantee connectivity of wireless network | |
| US9247427B2 (en) | Multi-factor caller identification | |
| US20060059344A1 (en) | Service authentication | |
| WO2019017840A1 (en) | Network verification method, and relevant device and system | |
| CN111083697B (en) | Access method, terminal, micro base station and access system | |
| CN111246477B (en) | Access method, terminal, micro base station and access system | |
| JP5536628B2 (en) | Wireless LAN connection method, wireless LAN client, and wireless LAN access point | |
| EP2939391A1 (en) | Method and device for secure network access | |
| US10390226B1 (en) | Mobile identification method based on SIM card and device-related parameters | |
| CN111212426B (en) | Terminal access method, terminal, micro base station and access system | |
| CN101138217A (en) | Method and apparatus for authenticating a user by comparing non-network-originated identities | |
| JP5931802B2 (en) | Terminal authentication method and system in network | |
| US12477326B2 (en) | Method of providing a communication function in a user equipment | |
| CN118160338A (en) | Secure information push for service applications in communication networks | |
| AU2018216158A1 (en) | Methods and systems for connecting a wireless communications device to a deployable wireless communications network | |
| JP6892846B2 (en) | User authentication method for core network system including authentication device and service device | |
| WO2017167249A1 (en) | Private network access method, device and system | |
| US20190159014A1 (en) | Method of registering a mobile terminal in a mobile communication network | |
| CN102695171B (en) | Subscriber identity obtaining method, system and equipment thereof | |
| JP2022528124A (en) | Caller location validation for use in location-based number assignment | |
| CN104247370A (en) | Secure method for SSO subscriber accessing service from outside of home network | |
| US20150031336A1 (en) | System and Method for Providing Telephony Services over WiFi for Non-Cellular Devices | |
| US10028141B2 (en) | Method and system for determining that a SIM and a SIP client are co-located in the same mobile equipment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200616 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210317 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210409 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210422 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210510 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210528 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6892846 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |