Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6892846B2 - User authentication method for core network system including authentication device and service device - Google Patents
[go: Go Back, main page]

JP6892846B2 - User authentication method for core network system including authentication device and service device - Google Patents

User authentication method for core network system including authentication device and service device Download PDF

Info

Publication number
JP6892846B2
JP6892846B2 JP2018138958A JP2018138958A JP6892846B2 JP 6892846 B2 JP6892846 B2 JP 6892846B2 JP 2018138958 A JP2018138958 A JP 2018138958A JP 2018138958 A JP2018138958 A JP 2018138958A JP 6892846 B2 JP6892846 B2 JP 6892846B2
Authority
JP
Japan
Prior art keywords
terminal
access token
authentication
service
private key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2018138958A
Other languages
Japanese (ja)
Other versions
JP2020017032A (en
Inventor
知幸 長野
知幸 長野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2018138958A priority Critical patent/JP6892846B2/en
Publication of JP2020017032A publication Critical patent/JP2020017032A/en
Application granted granted Critical
Publication of JP6892846B2 publication Critical patent/JP6892846B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、IMS(IP Multimedia Subsystem)のコアネットワークシステムにおけるユーザ認証の技術に関する。 The present invention relates to a user authentication technique in a core network system of IMS (IP Multimedia Subsystem).

図1は、従来技術における移動通信のシステム構成図である。 FIG. 1 is a system configuration diagram of mobile communication in the prior art.

図1のシステムによれば、以下の装置から構成されている。
コアネットワークシステム
IMS1 (サービスコアネットワーク)
EPC(Evolved Packet Core)3 (パケットコアネットワーク)
認証データベース(HSS(Home Subscriber Server))2 (加入者情報登録)
基地局(eNB(e-Node B))4
端末(UE(User Equipment))5
According to the system of FIG. 1, it is composed of the following devices.
Core network system
IMS1 (Service Core Network)
EPC (Evolved Packet Core) 3 (Packet Core Network)
Authentication database (HSS (Home Subscriber Server)) 2 (subscriber information registration)
Base station (eNB (e-Node B)) 4
Terminal (UE (User Equipment)) 5

EPC4は、複数の基地局を収容し、MME(Mobility Management Entity)、SGW(Serving-Gateway)、PGW(PDN(Packet Data Network)-Gateway)及びPCRF(Policy and Charging Rules Function)を有する。
MMEは、コアネットワーク制御装置であって、基地局を介して携帯端末と通信する。MMEは、端末の移動管理だけでなく、HSSと連携した移動端末の認証と、IP伝達経路の設定制御も実行する。
SGWは、MMEからの制御に基づいてIPパケットの伝達制御を実行する。
PGWは、インターネット、IMSなどのPDNとの接続点となり、PDNから移動端末へのIPパケットを全て受信する。
PCRFは、PGW及びSGWでの伝達品質制御を実行するための、QoS(Quality of Service)、課金方法などのIPパケット伝達ポリシを決定する。
The EPC4 accommodates a plurality of base stations and has an MME (Mobility Management Entity), an SGW (Serving-Gateway), a PGW (PDN (Packet Data Network) -Gateway) and a PCRF (Policy and Charging Rules Function).
The MME is a core network control device that communicates with a mobile terminal via a base station. The MME not only manages the movement of terminals, but also authenticates mobile terminals linked with HSS and controls the setting of IP transmission routes.
The SGW executes transmission control of IP packets based on the control from the MME.
The PGW serves as a connection point with a PDN such as the Internet or IMS, and receives all IP packets from the PDN to the mobile terminal.
The PCRF determines the IP packet transmission policy such as Quality of Service (QoS) and billing method for performing transmission quality control in PGW and SGW.

IMSは、ネットワークリソースの割り当てやゲートの制御を実行し、例えばVoLTE(Voice over LTE)のようなIPベースの通話サービスを提供する。 IMS performs network resource allocation and gate control, and provides IP-based calling services such as VoLTE (Voice over LTE).

VoLTEを提供するIMS1は、「ユーザ認可情報(電話番号+契約サービス情報等)」を保持する必要がある。そのために、IMS1は、認証データベース2と接続されている必要がある。 IMS1 that provides VoLTE needs to hold "user authorization information (telephone number + contract service information, etc.)". Therefore, IMS1 needs to be connected to the authentication database 2.

ユーザが所持する端末5(例えばスマートフォン)は、VoLTEサービスを利用する際、SIMカードの識別情報を含むユーザ認証要求を送信する。そのユーザ認証要求を受信したIMS1は、その識別情報を認証用データベース2と照合する。認証が成功した場合、認証情報及びユーザ認可情報が発行される。その後、端末5は、認証情報を用いてサービスを利用する。IMS1は、端末5から受信した認証情報に基づくユーザ認可情報を確認することによってサービスを提供する。 When the terminal 5 (for example, a smartphone) possessed by the user uses the VoLTE service, the terminal 5 (for example, a smartphone) transmits a user authentication request including the identification information of the SIM card. Upon receiving the user authentication request, IMS1 collates the identification information with the authentication database 2. If the authentication is successful, the authentication information and the user authorization information are issued. After that, the terminal 5 uses the service by using the authentication information. IMS1 provides the service by confirming the user authorization information based on the authentication information received from the terminal 5.

このようなコアネットワークシステムは、例えば大規模災害の発生における停電や通信設備障害を想定して、耐障害性を高めている。
しかしながら、例えば広範囲地域の自然災害等によって、無線アクセスネットワーク(バックホール回線)に障害が発生した場合、一部の端末から広域ネットワークへの接続が断絶され、通信孤立地域が生じる。
Such a core network system has improved fault tolerance in anticipation of a power outage or communication equipment failure in the event of a large-scale disaster, for example.
However, when a failure occurs in a wireless access network (backhaul line) due to, for example, a natural disaster in a wide area, the connection from some terminals to the wide area network is cut off, resulting in an isolated communication area.

この場合、通信事業者は、通信孤立地域に、広域ネットワークへの接続機能を備えた基地局やコアネットワーク装置を運び込み、通信を復旧させようとする。基地局やコアネットワーク装置は、例えば自動車や気球、ヘリコプターのようなもので運び込まれるために、実際に通信が可能となるまでに比較的長時間を要する。 In this case, the telecommunications carrier brings a base station or a core network device having a function of connecting to a wide area network to a communication isolated area to restore communication. Since base stations and core network devices are carried by such things as automobiles, balloons, and helicopters, it takes a relatively long time before communication can actually be performed.

また、通信孤立地域でのみ使用される専用の通信事業設備を構築することは、コスト的にも問題がある。そのために、ソフトウェア的に構築された既存のコアネットワーク装置や認証データベースのシステム全体を、可搬型ハードウェアに実装してその通信事業設備として利用する技術もある(例えば特許文献1参照)。 In addition, there is a problem in terms of cost to construct a dedicated communication business facility used only in an isolated communication area. For that purpose, there is also a technique of mounting the entire system of an existing core network device or authentication database constructed by software on portable hardware and using it as its communication business equipment (see, for example, Patent Document 1).

特開2017−034470号公報Japanese Unexamined Patent Publication No. 2017-034470

しかしながら、突発的に自然災害等が発生したとはいえ、通信孤立地域におけるユーザの個人情報となる認証データベースを、可搬型装置に搭載することには問題がある。また、認証データベースには、事前にその地域範囲を予測して、そこに滞在する端末の加入者情報を登録しておくことはできない。勿論、日本国内の携帯電話契約者の全ての加入者情報を、通信孤立地域に設置される可搬型装置に予め登録することもできない。 However, even if a natural disaster or the like suddenly occurs, there is a problem in mounting an authentication database, which is personal information of a user in a communication isolated area, on a portable device. In addition, it is not possible to predict the area range in advance and register the subscriber information of the terminal staying there in the authentication database. Of course, it is not possible to pre-register all the subscriber information of mobile phone subscribers in Japan in the portable device installed in the communication isolated area.

そこで、本発明は、認証データベースに基づくユーザ認証処理を実行することができない通信環境であっても、端末は通信サービスを利用することができるコアネットワークシステムのユーザ認証方法を提供することを目的とする。 Therefore, an object of the present invention is to provide a user authentication method for a core network system in which a terminal can use a communication service even in a communication environment in which a user authentication process based on an authentication database cannot be executed. To do.

本発明によれば、認証用装置とサービス用装置と端末とを含むコアネットワークシステムのユーザ認証方法において、
認証用装置は、アクセストークン用秘密鍵を保持し、
サービス用装置は、アクセストークン用秘密鍵に対応するアクセストークン用公開鍵を保持し、
サービス用装置及び端末は、共通鍵を保持し、
認証用装置が、端末からユーザ認証要求を受信した際に、認証データベースに基づくユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたアクセストークンを、端末へ返信する第1のステップと、
端末が認証用装置と通信できない場合に、第2のステップとして、
端末は、アクセストークンを含む制御要求を共通鍵によって暗号化し、暗号化された制御要求をサービス用装置へ送信し、
サービス用装置は、暗号化された制御要求を共通鍵によって復号し、当該アクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号し、当該制御要求を実行し、成功応答を共通鍵によって暗号化した暗号化成功応答を端末へ返信する
ことを特徴する。
According to the present invention, in a user authentication method of a core network system including an authentication device, a service device, and a terminal,
The authentication device holds the private key for the access token and
The service device holds the access token public key corresponding to the access token private key,
Service devices and terminals hold a common key
When the authentication device receives a user authentication request from the terminal, the first step of returning the access token to which the user authorization information based on the authentication database is signed by the private key for the access token is returned to the terminal.
If the terminal cannot communicate with the authentication device, as a second step,
The terminal encrypts the control request including the access token with the common key, and sends the encrypted control request to the service device.
The service device decrypts the encrypted control request with the common key , verifies that the access token has not been tampered with with the access token public key, decrypts the user authorization information, executes the control request, and succeeds. It is characterized in that an encryption success response in which the response is encrypted with a common key is returned to the terminal.

本発明のユーザ認証方法における他の実施形態によれば、
コアネットワークシステムは、IMS(IP Multimedia Subsystem)に基づくものであり、
第2のステップについて、
制御要求は、位置登録要求であり、
サービス用装置は、ユーザ認可情報を復号した際に、セッション情報を作成すると共に、成功応答を端末へ返信することも好ましい。
According to another embodiment of the user authentication method of the present invention.
The core network system is based on IMS (IP Multimedia Subsystem).
About the second step
The control request is a location registration request,
When the user authorization information is decrypted, the service device preferably creates session information and returns a success response to the terminal.

本発明のユーザ認証方法における他の実施形態によれば、
第1のステップについて、
認証用装置が、ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を予め保持すると共に、当該ランダム値を端末へ送信する第11のステップと、
端末が、ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を含むアクセストークン要求を、認証用装置へ送信する第12のステップと、
認証用装置は、予め保持した拡張応答値(XRES)と、端末から受信した拡張応答値(XRES)とが一致する際に、ユーザ認可情報を設定する第13のステップと、
認証用装置は、ユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたアクセストークンを、端末へ返信する第14のステップと
を実行することも好ましい。
According to another embodiment of the user authentication method of the present invention.
About the first step
The eleventh step in which the authentication device holds in advance the extended response value (XRES) encrypted by the terminal private key from the random value (RAND) and transmits the random value to the terminal.
In the twelfth step, the terminal sends an access token request including an extended response value (XRES) encrypted by the terminal private key from a random value (RAND) to the authentication device.
The authentication device has a thirteenth step of setting user authorization information when the extended response value (XRES) held in advance and the extended response value (XRES) received from the terminal match.
It is also preferable that the authentication device executes the fourteenth step of returning the access token whose user authorization information is signed by the private key for the access token to the terminal.

本発明のユーザ認証方法における他の実施形態によれば、
認証用装置と認証データベースとが別個に接続されており、
第11のステップについて、
認証用装置が、ユーザ認証要求を、認証データベースへ送信し、
認証データベースが、ランダム値(RAND)と、当該ランダム値から端末秘密鍵によって暗号化した拡張応答値(XRES)とを、認証用装置へ返信する
を実行することも好ましい。
According to another embodiment of the user authentication method of the present invention.
The authentication device and the authentication database are connected separately,
About the eleventh step
The authentication device sends a user authentication request to the authentication database and
It is also preferable that the authentication database returns a random value (RAND) and an extended response value (XRES) encrypted from the random value by the terminal private key to the authentication device.

本発明のユーザ認証方法における他の実施形態によれば、
認証用装置は、TLS(Transport Layer Security)用のルート証明書を保持し、
サービス用装置は、TLS用のサーバ証明書を保持し、
第1のステップについて、
認証用装置は、端末へ、アクセストークンと共に、ルート証明書を返信し、
第2のステップについて、
サービス用装置は、端末からTLS接続要求を受信した際に、サーバ証明書を端末へ返信し、
端末は、ルート証明書によってサーバ証明書を検証する
ことも好ましい。
According to another embodiment of the user authentication method of the present invention.
The authentication device holds the root certificate for TLS (Transport Layer Security) and holds it.
The service device holds the server certificate for TLS and holds the server certificate.
About the first step
The authentication device returns the root certificate to the terminal together with the access token.
About the second step
When the service device receives the TLS connection request from the terminal, it returns the server certificate to the terminal and returns it to the terminal.
It is also preferable that the terminal verifies the server certificate by the root certificate.

本発明のユーザ認証方法における他の実施形態によれば、
サービス用装置は、サービス公開鍵とサービス秘密鍵とを保持し、
第2のステップについて、
サービス用装置は、端末からTLS接続要求を受信した際に、サービス公開鍵を端末へ返信し、
端末は、暫定秘密鍵を生成し、当該暫定秘密鍵をサービス公開鍵によって暗号化した暗号化暫定秘密鍵を生成し、当該暗号化暫定秘密鍵をサービス用装置へ送信すると共に、当該暫定秘密鍵から共通鍵を作成し、
サービス用装置は、暗号化暫定秘密鍵をサービス秘密鍵によって復号して暫定秘密鍵を取得し、当該暫定秘密鍵から共通鍵を生成する
ことも好ましい。
According to another embodiment of the user authentication method of the present invention.
The service device holds the service public key and the service private key,
About the second step
When the service device receives the TLS connection request from the terminal, the service device returns the service public key to the terminal.
The terminal generates a provisional private key, generates an encrypted provisional private key in which the provisional private key is encrypted with the service public key, transmits the encrypted provisional private key to the service device, and the provisional secret key. Create a common key from
It is also preferable that the service device decrypts the encrypted provisional private key with the service private key to acquire the provisional private key, and generates a common key from the provisional private key.

本発明によれば、認証用装置とサービス用装置と端末とを含むコアネットワークシステムにおいて、
認証用装置は、アクセストークン用秘密鍵を保持し、
サービス用装置は、アクセストークン用秘密鍵に対応するアクセストークン用公開鍵を保持し、
サービス用装置及び端末は、共通鍵を保持し、
認証用装置は、端末からユーザ認証要求を受信した際に、認証データベースに基づくユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたアクセストークンを、端末へ返信するものであり、
端末は、アクセストークンを含む制御要求を共通鍵によって暗号化し、暗号化された制御要求をサービス用装置へ送信するものであり、
サービス用装置は、暗号化された制御要求を共通鍵によって復号し、当該アクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号し、当該制御要求を実行し、成功応答を共通鍵によって暗号化した暗号化成功応答を端末へ返信するものである
ことを特徴する。
According to the present invention, in a core network system including an authentication device, a service device, and a terminal,
The authentication device holds the private key for the access token and
The service device holds the access token public key corresponding to the access token private key,
Service devices and terminals hold a common key
When the authentication device receives a user authentication request from the terminal, the authentication device returns an access token to the terminal, in which the user authorization information based on the authentication database is signed by the private key for the access token.
The terminal encrypts the control request including the access token with the common key and sends the encrypted control request to the service device.
The service device decrypts the encrypted control request with the common key , verifies that the access token has not been tampered with with the access token public key, decrypts the user authorization information, executes the control request, and succeeds. The response is encrypted with a common key, and a successful encryption response is returned to the terminal .

本発明のコアネットワークシステムのユーザ認証方法によれば、認証データベースに基づくユーザ認証処理を実行することができない通信環境であっても、端末は通信サービスを利用することができる。 According to the user authentication method of the core network system of the present invention, the terminal can use the communication service even in a communication environment in which the user authentication process based on the authentication database cannot be executed.

従来技術における移動通信のシステム構成図である。It is a system configuration diagram of the mobile communication in the prior art. 本発明における移動通信のシステム構成図である。It is a system block diagram of the mobile communication in this invention. 本発明における基本的なシーケンス図である。It is a basic sequence diagram in this invention. 本発明の第1のステップの詳細なシーケンス図である。It is a detailed sequence diagram of the first step of this invention. 本発明の第2のステップの詳細なシーケンス図である。It is a detailed sequence diagram of the 2nd step of this invention. 本発明のTLS接続要求に基づく第1のシーケンス図である。It is a 1st sequence diagram based on the TLS connection request of this invention. 本発明のTLS接続要求に基づく第2のシーケンス図である。It is a 2nd sequence diagram based on the TLS connection request of this invention.

以下、本発明の実施の形態について、図面を用いて詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

図2は、本発明における移動通信のシステム構成図である。 FIG. 2 is a system configuration diagram of mobile communication in the present invention.

図2によれば、図1と比較して、VoLTEを提供するIMSのコアネットワークシステムについて、「認証用装置11」と「サービス用装置12」とに分離されている。そのために、認証用装置11のみが、認証データベース2に接続する。
また、例えば自然災害を想定した場合、基地局4は、ソフトウェア的に構築された孤立用コアネットワークシステムとしてのサービス用装置12のみを備えておけばよい。これによって、配下の端末5同士の通信を可能とする。
即ち、本発明によれば、コアネットワークシステムに認証データベース2が接続していなくても、端末5のユーザを認証することができる。
According to FIG. 2, as compared with FIG. 1, the core network system of the IMS that provides VoLTE is separated into the “authentication device 11” and the “service device 12”. Therefore, only the authentication device 11 connects to the authentication database 2.
Further, for example, in the case of assuming a natural disaster, the base station 4 may be provided with only the service device 12 as an isolated core network system constructed by software. This enables communication between the subordinate terminals 5.
That is, according to the present invention, the user of the terminal 5 can be authenticated even if the authentication database 2 is not connected to the core network system.

基地局4の孤立用コアネットワークシステムが起動する場合としては、例えば災害や障害によってコアネットワークから断絶した場合がある。また、例えば特定のイベント会場でコアネットワークからあえて遮断した場合であってもよい。この場合、そのイベント会場に滞在するユーザのみに、孤立した通話サービスを提供することができる。 When the isolated core network system of the base station 4 is activated, it may be disconnected from the core network due to, for example, a disaster or a failure. Further, for example, it may be a case where the core network is intentionally cut off at a specific event venue. In this case, an isolated call service can be provided only to the user who stays at the event venue.

図3は、本発明における基本的なシーケンス図である。 FIG. 3 is a basic sequence diagram in the present invention.

本発明によれば、認証用装置11は、「アクセストークン用秘密鍵」を保持する。
また、サービス用装置12は、アクセストークン用秘密鍵に対応する「アクセストークン用公開鍵」を保持する。
According to the present invention, the authentication device 11 holds an "access token private key".
In addition, the service device 12 holds an "access token public key" corresponding to the access token private key.

本発明によれば、以下の2つのステップを有する。
(S1)認証用装置11は、端末5に対してアクセストークンを発行する。
(S2)サービス用装置12は、端末5から受信したアクセストークンによって、ユーザを認証する。
即ち、端末5は、コアネットワークシステムに認証データベース2が接続されていなくても、サービス用装置12との間のみでユーザ認証を成功させ、VoLTEサービスの提供を受けることができる。
According to the present invention, it has the following two steps.
(S1) The authentication device 11 issues an access token to the terminal 5.
(S2) The service device 12 authenticates the user with the access token received from the terminal 5.
That is, even if the authentication database 2 is not connected to the core network system, the terminal 5 can succeed in user authentication only with the service device 12 and receive the VoLTE service.

「アクセストークン」とは、ユーザ認証後に、IMSが端末5へ通知する文字列の認証情報である。初回、端末5が認証用装置11に接続した時に、アクセストークンが発行され、端末5はそのアクセストークンを保持する。その後、端末5は、コアネットワークシステムに接続する際に、そのアクセストークンを用いてユーザを認証する。 The "access token" is the authentication information of the character string notified by the IMS to the terminal 5 after the user authentication. When the terminal 5 connects to the authentication device 11 for the first time, an access token is issued, and the terminal 5 holds the access token. After that, the terminal 5 authenticates the user by using the access token when connecting to the core network system.

アクセストークンの一例として、JWT(JSON Web Token)を用いてもよい。
<JWTフォーマット>
[HEADER] . [PAYLOAD] . [SIGNATURE]
HEADER及びPAYLOAD: base64エンコード
<JWT PAYLOAD例>
{
"sub": "userhoge",
"phone_number": "080-1234-5678",
"supplementary_service": "communication-diversion=true",
"aud": "audhoge",
"iss": "https://example.com/",
"exp": 1452565628,
"iat": 1452565568
}
JWT (JSON Web Token) may be used as an example of the access token.
<JWT format>
[HEADER]. [PAYLOAD]. [SIGNATURE]
HEADER and PAYLOAD: base64 encoding <JWT PAYLOAD example>
{
"sub": "userhoge",
"phone_number": "080-1234-5678",
"supplementary_service": "communication-diversion = true",
"aud": "audhoge",
"iss": "https://example.com/",
"exp": 1452565628,
"iat": 1452565568
}

[S1:第1のステップ]
(S11)端末5が、認証用装置11へ、ユーザ認証要求を送信する。
(S12)認証用装置11は、認証データベース2に基づく「ユーザ認可情報」を取得する(具体的には図4参照)。
(S13)認証用装置11は、ユーザ認証要求にアクセストークンリクエストが含まれている場合、アクセストークンを生成する。アクセストークンは、ユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたものである。尚、ユーザ認証要求に、アクセストークンリクエストが含まれていない場合、端末5に対しては、既存方式で動作する。その場合、端末5がコアネットワークシステムに接続する毎に、認証データベース2を用いたユーザ認証が必要となる。
(S14)認証用装置11は、そのアクセストークンを、端末5へ返信する。
これによって、端末5は、アクセストークンを保持することができる。
[S1: First step]
(S11) The terminal 5 transmits a user authentication request to the authentication device 11.
(S12) The authentication device 11 acquires "user authorization information" based on the authentication database 2 (specifically, see FIG. 4).
(S13) The authentication device 11 generates an access token when the user authentication request includes an access token request. The access token is the user authorization information signed by the private key for the access token. If the user authentication request does not include the access token request, the terminal 5 operates in the existing method. In that case, every time the terminal 5 connects to the core network system, user authentication using the authentication database 2 is required.
(S14) The authentication device 11 returns the access token to the terminal 5.
As a result, the terminal 5 can hold the access token.

[S2:第2のステップ]
(S21)次に、端末5は、サービス用装置12へ、アクセストークンを含む制御要求を送信する。
(S22)サービス用装置12は、そのアクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号する。
(S23)サービス用装置12は、認証成功として、その制御要求を実行する。
これによって、コアネットワークシステムとしては、サービス用装置12のみで、端末5のユーザを認証することができる。
[S2: Second step]
(S21) Next, the terminal 5 transmits a control request including an access token to the service device 12.
(S22) The service device 12 verifies non-tampering with the access token public key from the access token, and then decrypts the user authorization information.
(S23) The service device 12 executes the control request as the authentication is successful.
As a result, as the core network system, the user of the terminal 5 can be authenticated only by the service device 12.

図4は、本発明の第1のステップの詳細なシーケンス図である。 FIG. 4 is a detailed sequence diagram of the first step of the present invention.

図4によれば、端末5と認証データベース2との両方で、「端末秘密鍵」を保持する。また、認証用装置11は、別個に接続された認証データベース2と通信する。 According to FIG. 4, both the terminal 5 and the authentication database 2 hold the “terminal private key”. Further, the authentication device 11 communicates with the separately connected authentication database 2.

(S11)端末5は、認証用装置11へ、ユーザ認証要求を送信する。端末5がアクセストークン方式に対応している場合、ユーザ認証要求には、アクセストークンリクエストが含められる。
(S111)認証用装置11は、認証データベース2へ、ユーザ認証要求を送信する。
(S112)認証データベース2は、ランダム値(RAND)を生成する。
(S113)また、認証データベース2は、当該ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を生成する。
(S114)認証データベース2は、ランダム値(RAND)と拡張応答値(XRES)とを、認証用装置11へ応答する。
(S115)認証用装置11は、拡張応答値(XRES)を自ら保持すると共に、ランダム値(RAND)を端末5へ応答する。
(S116)端末5は、ランダム値(RAND)から、端末秘密鍵によって暗号化した拡張応答値(XRES)を生成する。
(S11) The terminal 5 transmits a user authentication request to the authentication device 11. When the terminal 5 supports the access token method, the user authentication request includes the access token request.
(S111) The authentication device 11 transmits a user authentication request to the authentication database 2.
(S112) The authentication database 2 generates a random value (RAND).
(S113) Further, the authentication database 2 generates an extended response value (XRES) encrypted by the terminal private key from the random value (RAND).
(S114) The authentication database 2 responds to the authentication device 11 with a random value (RAND) and an extended response value (XRES).
(S115) The authentication device 11 holds the extended response value (XRES) by itself and responds to the terminal 5 with a random value (RAND).
(S116) The terminal 5 generates an extended response value (XRES) encrypted by the terminal private key from the random value (RAND).

(S121)端末5は、拡張応答値(XRES)を含むアクセストークン要求を、認証用装置11へ送信する。
(S122)認証用装置11は、予め保持した拡張応答値(XRES)と、端末5から受信した拡張応答値(XRES)とが一致するか否かを判定する。
(S123)認証用装置11は、S122によって一致した場合、ユーザ認証の成功通知を、認証データベース2へ送信する。
(S12)認証データベース2は、「ユーザ認可情報」を、認証用装置11へ通知する。これによって、認証用装置11は、端末5に対するユーザ認可情報を保持する。
(S13)認証用装置11は、アクセストークンを生成する。アクストークンは、ユーザ認可情報にアクセストークン用秘密鍵によって署名が付与されたものである。
(S14)認証用装置11は、生成したアクセストークンを含む成功応答を、端末5へ返信する。
これによって、端末5は、アクセストークンを保持する。
(S121) The terminal 5 transmits an access token request including an extended response value (XRES) to the authentication device 11.
(S122) The authentication device 11 determines whether or not the extended response value (XRES) held in advance matches the extended response value (XRES) received from the terminal 5.
(S123) If the authentication device 11 matches according to S122, the authentication device 11 transmits a user authentication success notification to the authentication database 2.
(S12) The authentication database 2 notifies the authentication device 11 of the "user authorization information". As a result, the authentication device 11 holds the user authorization information for the terminal 5.
(S13) The authentication device 11 generates an access token. The AX token is the user authorization information signed by the private key for the access token.
(S14) The authentication device 11 returns a success response including the generated access token to the terminal 5.
As a result, the terminal 5 holds the access token.

図5は、本発明の第2のステップの詳細なシーケンス図である。 FIG. 5 is a detailed sequence diagram of the second step of the present invention.

(S21)端末5は、制御要求としての位置登録要求を、サービス用装置12へ送信する。
(S22)サービス用装置12は、アクセストークンから、アクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号する。
(S23)サービス用装置12は、セッション情報を作成する。
(S24)そして、サービス用装置12は、セッション情報を含む成功応答を、端末5へ返信する。
(S21) The terminal 5 transmits a location registration request as a control request to the service device 12.
(S22) The service device 12 verifies the non-tampering with the access token public key from the access token, and then decrypts the user authorization information.
(S23) The service device 12 creates session information.
(S24) Then, the service device 12 returns a success response including the session information to the terminal 5.

(S31)端末5は、アクセストークンを含む発信要求を、サービス用装置12へ送信する。
(S32)サービス用装置12は、アクセストークンから、アクセストークン用公開鍵によって非改竄を検証する。
(S33)非改竄が検証された後、サービス用装置12は、発信要求を他のノードへ送信する。
(S34)サービス用装置12が、他のノードから、端末5に対する発信通知を受信したとする。既に、端末5からのアクセストークンの非改竄が検証済みである。
(S35)そして、サービス用装置12は、その発信通知を、端末5セッション情報を含む成功応答を、端末5へ返信する。
(S31) The terminal 5 transmits a transmission request including an access token to the service device 12.
(S32) The service device 12 verifies that the access token has not been tampered with by the access token public key.
(S33) After the non-tampering is verified, the service device 12 transmits the transmission request to another node.
(S34) It is assumed that the service device 12 receives a transmission notification to the terminal 5 from another node. The non-tampering of the access token from the terminal 5 has already been verified.
(S35) Then, the service device 12 returns the outgoing notification and the success response including the terminal 5 session information to the terminal 5.

図5の場合、S35について、端末5は、信頼できるIMSのサービス用装置12から発信通知か否かを識別することができない。そのために、SIPoverTLSを用いることが好ましい。
尚、既存方式では、端末とIMSとの間で、IPsecを確立することによって、パケット受信時にパケット送信元を検証することができる。但し、IMSのIPアドレスがアタッチ時にPGWから通知されるため、端末が、信頼できないIMSに接続する可能性は低い。
In the case of FIG. 5, regarding S35, the terminal 5 cannot identify whether or not the transmission notification is sent from the reliable IMS service device 12. Therefore, it is preferable to use SIP over TLS.
In the existing method, the packet source can be verified at the time of packet reception by establishing IPsec between the terminal and IMS. However, since the IP address of the IMS is notified from the PGW at the time of attachment, it is unlikely that the terminal will connect to an unreliable IMS.

図6は、本発明のTLS接続要求に基づく第1のシーケンス図である。 FIG. 6 is a first sequence diagram based on the TLS connection request of the present invention.

図6によれば、認証用装置11は、TLS(Transport Layer Security)用の「ルート証明書」を更に保持する。
また、サービス用装置12は、TLS用の「サーバ証明書」と、「サービス公開鍵」及び「サービス秘密鍵」とを保持する。
According to FIG. 6, the authentication device 11 further holds a "root certificate" for TLS (Transport Layer Security).
In addition, the service device 12 holds a "server certificate" for TLS, a "service public key", and a "service private key".

(S11)端末5が、ユーザ認証要求を、認証用装置11へ送信する。
(S12〜S13)例えば前述した図4のシーケンスを実行する。
(S14)認証用装置11は、端末5へ、アクセストークンと共に、ルート証明書を含む成功応答を返信する。
これによって、端末5は、アクセストークン及びルート証明書を保持する。
(S11) The terminal 5 transmits a user authentication request to the authentication device 11.
(S12 to S13) For example, the sequence of FIG. 4 described above is executed.
(S14) The authentication device 11 returns a success response including the root certificate to the terminal 5 together with the access token.
As a result, the terminal 5 holds the access token and the root certificate.

(S201)端末5は、TLS接続要求を、サービス用装置12へ送信する。
(S202)サービス用装置12は、サーバ証明書及びサービス公開鍵を、端末5へ返信する。
(S203)端末5は、ルート証明書で、サーバ証明書の非改竄を検証する。
(S204)端末5は、暫定秘密鍵を生成する。
(S205)端末5は、当該暫定秘密鍵をサービス公開鍵によって暗号化した暗号化暫定秘密鍵を生成する。
(S206)端末5は、当該暗号化暫定秘密鍵を、サービス用装置12へ送信する。
(S207)端末5は、当該暫定秘密鍵から共通鍵を作成する。
(S201) The terminal 5 transmits the TLS connection request to the service device 12.
(S202) The service device 12 returns the server certificate and the service public key to the terminal 5.
(S203) The terminal 5 verifies that the server certificate has not been tampered with with the root certificate.
(S204) The terminal 5 generates a provisional private key.
(S205) The terminal 5 generates an encrypted provisional private key in which the provisional private key is encrypted by the service public key.
(S206) The terminal 5 transmits the encrypted provisional private key to the service device 12.
(S207) The terminal 5 creates a common key from the provisional private key.

(S208)サービス用装置12は、暗号化暫定秘密鍵をサービス秘密鍵によって復号して暫定秘密鍵を取得する。
(S209)サービス用装置12は、当該暫定秘密鍵から共通鍵を作成する。
これによって、端末5及びサービス用装置12の両方とも、共通鍵を作成することができる。
(S208) The service device 12 decrypts the encrypted provisional secret key with the service secret key to acquire the provisional secret key.
(S209) The service device 12 creates a common key from the provisional private key.
As a result, both the terminal 5 and the service device 12 can create a common key.

図7は、本発明のTLS接続要求に基づく第2のシーケンス図である。 FIG. 7 is a second sequence diagram based on the TLS connection request of the present invention.

(S20)端末5は、アクセストークンを含む位置登録要求(制御要求)を共通鍵によって暗号化する。
(S21)端末5は、暗号化された位置登録要求を、サービス用装置12へ送信する。
(S220)サービス用装置12は、暗号化された位置登録要求を共通鍵によって復号する。
(S22)サービス用装置12は、アクセストークンからアクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号する。
(S23)サービス用装置12は、セッション情報を作成する。
(S240)サービス用装置12は、セッション情報を含む成功応答を、共通鍵によって暗号化する。
(S24)サービス用装置12は、暗号化された成功応答を、端末5へ返信する。
(S20) The terminal 5 encrypts the location registration request (control request) including the access token with the common key.
(S21) The terminal 5 transmits an encrypted location registration request to the service device 12.
(S220) The service device 12 decrypts the encrypted location registration request with the common key.
(S22) The service device 12 verifies the non-tampering from the access token with the access token public key, and then decrypts the user authorization information.
(S23) The service device 12 creates session information.
(S240) The service device 12 encrypts the success response including the session information with the common key.
(S24) The service device 12 returns an encrypted success response to the terminal 5.

前述した実施形態によれば、EPC/IMSネットワークについて説明したが、既存の3G (Third Generation)移動通信システムや、将来的な5G(5th Generation)移動通信システムに適用することもできる。 According to the above-described embodiment, the EPC / IMS network has been described, but it can also be applied to an existing 3G (Third Generation) mobile communication system and a future 5G (5th Generation) mobile communication system.

以上、詳細に説明したように、本発明のコアネットワークシステムのユーザ認証方法によれば、認証データベースに基づくユーザ認証処理を実行することができない通信環境であっても、端末は通信サービスを利用することができる。 As described in detail above, according to the user authentication method of the core network system of the present invention, the terminal uses the communication service even in a communication environment in which the user authentication process based on the authentication database cannot be executed. be able to.

本発明によれば、例えば異なる通信事業者間で、アクセストークン検証用公開鍵を共有することによって、サービス用装置12を共有化することもできる。また、アクセストークンを端末間で受け渡すことによって、SIMカードの有無に拘わらず、異なる通信事業者のVoLTEサービスを利用することができる。 According to the present invention, the service device 12 can be shared, for example, by sharing the access token verification public key between different telecommunications carriers. Further, by passing the access token between the terminals, it is possible to use the VoLTE service of different telecommunications carriers regardless of the presence or absence of the SIM card.

前述した本発明の種々の実施形態について、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略は、当業者によれば容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。 With respect to the various embodiments of the present invention described above, various changes, modifications and omissions within the scope of the technical idea and viewpoint of the present invention can be easily made by those skilled in the art. The above explanation is just an example and does not attempt to restrict anything. The present invention is limited only to the scope of claims and their equivalents.

11 認証用装置
12 サービス用装置
2 認証データベース
3 EPC
4 基地局
5 端末

11 Authentication device 12 Service device 2 Authentication database 3 EPC
4 base stations 5 terminals

Claims (7)

認証用装置とサービス用装置と端末とを含むコアネットワークシステムのユーザ認証方法において、
認証用装置は、アクセストークン用秘密鍵を保持し、
サービス用装置は、前記アクセストークン用秘密鍵に対応するアクセストークン用公開鍵を保持し、
サービス用装置及び端末は、共通鍵を保持し、
認証用装置が、端末からユーザ認証要求を受信した際に、認証データベースに基づくユーザ認可情報に前記アクセストークン用秘密鍵によって署名が付与されたアクセストークンを、前記端末へ返信する第1のステップと、
前記端末が認証用装置と通信できない場合に、第2のステップとして、
前記端末は、前記アクセストークンを含む制御要求を共通鍵によって暗号化し、暗号化された制御要求をサービス用装置へ送信し、
サービス用装置は、暗号化された制御要求を共通鍵によって復号し、当該アクセストークンから前記アクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号し、当該制御要求を実行し、成功応答を共通鍵によって暗号化した暗号化成功応答を端末へ返信する
ことを特徴するユーザ認証方法。
In the user authentication method of the core network system including the authentication device, the service device, and the terminal,
The authentication device holds the private key for the access token and
The service device holds the access token public key corresponding to the access token private key, and holds the access token public key.
Service devices and terminals hold a common key
When the authentication device receives the user authentication request from the terminal, the first step is to return the access token to which the user authorization information based on the authentication database is signed by the private key for the access token to the terminal. ,
When the terminal cannot communicate with the authentication device, as a second step,
The terminal encrypts the control request including the access token with the common key, and transmits the encrypted control request to the service device.
The service device decrypts the encrypted control request with the common key , verifies that the access token has not been tampered with with the access token public key, decrypts the user authorization information, executes the control request, and executes the control request . An encryption method in which a success response is encrypted with a common key . A user authentication method characterized in that a success response is returned to a terminal.
前記コアネットワークシステムは、IMS(IP Multimedia Subsystem)に基づくものであり、
第2のステップについて、
前記制御要求は、位置登録要求であり、
サービス用装置は、前記ユーザ認可情報を復号した際に、セッション情報を作成すると共に、成功応答を端末へ返信する
ことを特徴とする請求項1に記載のユーザ認証方法。
The core network system is based on IMS (IP Multimedia Subsystem).
About the second step
The control request is a location registration request.
The user authentication method according to claim 1, wherein the service device creates session information and returns a success response to the terminal when the user authorization information is decrypted.
第1のステップについて、
認証用装置が、ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を予め保持すると共に、当該ランダム値を端末へ送信する第11のステップと、
前記端末が、前記ランダム値(RAND)から端末秘密鍵によって暗号化した拡張応答値(XRES)を含むアクセストークン要求を、認証用装置へ送信する第12のステップと、
認証用装置は、予め保持した拡張応答値(XRES)と、前記端末から受信した拡張応答値(XRES)とが一致する際に、ユーザ認可情報を設定する第13のステップと、
認証用装置は、前記ユーザ認可情報に前記アクセストークン用秘密鍵によって署名が付与されたアクセストークンを、端末へ返信する第14のステップと
を実行することを特徴とする請求項1又は2に記載のユーザ認証方法。
About the first step
The eleventh step in which the authentication device holds in advance the extended response value (XRES) encrypted by the terminal private key from the random value (RAND) and transmits the random value to the terminal.
A twelfth step in which the terminal transmits an access token request including an extended response value (XRES) encrypted by the terminal private key from the random value (RAND) to the authentication device.
The authentication device has a thirteenth step of setting user authorization information when the extended response value (XRES) held in advance and the extended response value (XRES) received from the terminal match.
The authentication device according to claim 1 or 2, wherein the authentication device executes the fourteenth step of returning the access token whose signature is given to the user authorization information by the private key for the access token to the terminal. User authentication method.
認証用装置と認証データベースとが別個に接続されており、
第11のステップについて、
認証用装置が、前記ユーザ認証要求を、認証データベースへ送信し、
認証データベースが、ランダム値(RAND)と、当該ランダム値から端末秘密鍵によって暗号化した拡張応答値(XRES)とを、認証用装置へ返信する
を実行することを特徴とする請求項3に記載のユーザ認証方法。
The authentication device and the authentication database are connected separately,
About the eleventh step
The authentication device sends the user authentication request to the authentication database,
The third aspect of claim 3, wherein the authentication database returns a random value (RAND) and an extended response value (XRES) encrypted from the random value by the terminal private key to the authentication device. User authentication method.
認証用装置は、TLS(Transport Layer Security)用のルート証明書を保持し、
サービス用装置は、TLS用のサーバ証明書を保持し、
第1のステップについて、
認証用装置は、前記端末へ、前記アクセストークンと共に、前記ルート証明書を返信し、
第2のステップについて、
サービス用装置は、前記端末からTLS接続要求を受信した際に、前記サーバ証明書を端末へ返信し、
前記端末は、前記ルート証明書によって前記サーバ証明書を検証する
ことを特徴とする請求項1から4のいずれか1項に記載のユーザ認証方法。
The authentication device holds the root certificate for TLS (Transport Layer Security) and holds it.
The service device holds the server certificate for TLS and holds the server certificate.
About the first step
The authentication device returns the root certificate together with the access token to the terminal.
About the second step
When the service device receives the TLS connection request from the terminal, the service device returns the server certificate to the terminal.
The user authentication method according to any one of claims 1 to 4, wherein the terminal verifies the server certificate with the root certificate.
サービス用装置は、サービス公開鍵とサービス秘密鍵とを保持し、
第2のステップについて、
サービス用装置は、前記端末からTLS接続要求を受信した際に、前記サービス公開鍵を端末へ返信し、
前記端末は、暫定秘密鍵を生成し、当該暫定秘密鍵を前記サービス公開鍵によって暗号化した暗号化暫定秘密鍵を生成し、当該暗号化暫定秘密鍵をサービス用装置へ送信すると共に、当該暫定秘密鍵から共通鍵を作成し、
サービス用装置は、暗号化暫定秘密鍵をサービス秘密鍵によって復号して暫定秘密鍵を取得し、当該暫定秘密鍵から共通鍵を生成する
ことを特徴とする請求項1から5のいずれか1項に記載のユーザ認証方法。
The service device holds the service public key and the service private key,
About the second step
When the service device receives the TLS connection request from the terminal, the service device returns the service public key to the terminal.
The terminal generates a provisional private key, generates an encrypted provisional private key in which the provisional private key is encrypted by the service public key, transmits the encrypted provisional private key to the service device, and the provisional secret key. Create a common key from the private key and
Claims 1 to 5, wherein the service device decrypts the encrypted provisional private key with the service private key, acquires the provisional secret key, and generates a common key from the provisional private key. The user authentication method according to any one item.
認証用装置とサービス用装置と端末とを含むコアネットワークシステムにおいて、
認証用装置は、アクセストークン用秘密鍵を保持し、
サービス用装置は、前記アクセストークン用秘密鍵に対応するアクセストークン用公開鍵を保持し、
サービス用装置及び端末は、共通鍵を保持し、
認証用装置は、端末からユーザ認証要求を受信した際に、認証データベースに基づくユーザ認可情報に前記アクセストークン用秘密鍵によって署名が付与されたアクセストークンを、前記端末へ返信するものであり、
前記端末は、前記アクセストークンを含む制御要求を共通鍵によって暗号化し、暗号化された制御要求をサービス用装置へ送信するものであり、
サービス用装置は、暗号化された制御要求を共通鍵によって復号し、当該アクセストークンから前記アクセストークン用公開鍵によって非改竄を検証した後、ユーザ認可情報を復号し、当該制御要求を実行し、成功応答を共通鍵によって暗号化した暗号化成功応答を端末へ返信するものである
ことを特徴するコアネットワークシステム。
In a core network system that includes an authentication device, a service device, and a terminal
The authentication device holds the private key for the access token and
The service device holds the access token public key corresponding to the access token private key, and holds the access token public key.
Service devices and terminals hold a common key
When the authentication device receives the user authentication request from the terminal, the authentication device returns the access token to which the user authorization information based on the authentication database is signed by the private key for the access token to the terminal.
The terminal encrypts a control request including the access token with a common key, and transmits the encrypted control request to a service device.
The service device decrypts the encrypted control request with the common key , verifies that the access token has not been tampered with with the access token public key, decrypts the user authorization information, executes the control request, and executes the control request . An encrypted success response that is encrypted with a common key . <br /> A core network system that returns a success response to a terminal.
JP2018138958A 2018-07-25 2018-07-25 User authentication method for core network system including authentication device and service device Expired - Fee Related JP6892846B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018138958A JP6892846B2 (en) 2018-07-25 2018-07-25 User authentication method for core network system including authentication device and service device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018138958A JP6892846B2 (en) 2018-07-25 2018-07-25 User authentication method for core network system including authentication device and service device

Publications (2)

Publication Number Publication Date
JP2020017032A JP2020017032A (en) 2020-01-30
JP6892846B2 true JP6892846B2 (en) 2021-06-23

Family

ID=69580433

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018138958A Expired - Fee Related JP6892846B2 (en) 2018-07-25 2018-07-25 User authentication method for core network system including authentication device and service device

Country Status (1)

Country Link
JP (1) JP6892846B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114205819B (en) * 2021-12-10 2024-08-27 中国电信股份有限公司 QoS calling method and device based on hybrid networking and electronic equipment
JP7738490B2 (en) * 2022-01-13 2025-09-12 三菱電機株式会社 Wireless communication system and terminal authentication method
CN116318811B (en) * 2022-12-28 2026-02-17 上海元组科技有限公司 A method and device for network request verification and authentication based on trusted nodes

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10360545B2 (en) * 2001-12-12 2019-07-23 Guardian Data Storage, Llc Method and apparatus for accessing secured electronic data off-line
JP4544956B2 (en) * 2004-10-06 2010-09-15 株式会社エヌ・ティ・ティ・データ Access control system, client terminal device, and program
KR101651808B1 (en) * 2012-02-07 2016-08-26 애플 인크. Network assisted fraud detection apparatus and methods
US9491620B2 (en) * 2012-02-10 2016-11-08 Qualcomm Incorporated Enabling secure access to a discovered location server for a mobile device
JP6101644B2 (en) * 2014-01-29 2017-03-22 Kddi株式会社 COMMUNICATION SYSTEM, IDENTIFIER APPARATUS AND COMMUNICATION METHOD
WO2017130292A1 (en) * 2016-01-26 2017-08-03 株式会社ソラコム Server, mobile terminal, and program
JP2018092446A (en) * 2016-12-05 2018-06-14 キヤノン株式会社 Authentication authorization system, information processing apparatus, authentication authorization method and program

Also Published As

Publication number Publication date
JP2020017032A (en) 2020-01-30

Similar Documents

Publication Publication Date Title
CN107409137B (en) Apparatus and method for guaranteed connectivity to a wireless network using application specific network access credentials
US10638321B2 (en) Wireless network connection method and apparatus, and storage medium
CN107409136B (en) For using application specific network insertion voucher to the device and method by guarantee connectivity of wireless network
US9247427B2 (en) Multi-factor caller identification
US20060059344A1 (en) Service authentication
WO2019017840A1 (en) Network verification method, and relevant device and system
CN111083697B (en) Access method, terminal, micro base station and access system
CN111246477B (en) Access method, terminal, micro base station and access system
JP5536628B2 (en) Wireless LAN connection method, wireless LAN client, and wireless LAN access point
EP2939391A1 (en) Method and device for secure network access
US10390226B1 (en) Mobile identification method based on SIM card and device-related parameters
CN111212426B (en) Terminal access method, terminal, micro base station and access system
CN101138217A (en) Method and apparatus for authenticating a user by comparing non-network-originated identities
JP5931802B2 (en) Terminal authentication method and system in network
US12477326B2 (en) Method of providing a communication function in a user equipment
CN118160338A (en) Secure information push for service applications in communication networks
AU2018216158A1 (en) Methods and systems for connecting a wireless communications device to a deployable wireless communications network
JP6892846B2 (en) User authentication method for core network system including authentication device and service device
WO2017167249A1 (en) Private network access method, device and system
US20190159014A1 (en) Method of registering a mobile terminal in a mobile communication network
CN102695171B (en) Subscriber identity obtaining method, system and equipment thereof
JP2022528124A (en) Caller location validation for use in location-based number assignment
CN104247370A (en) Secure method for SSO subscriber accessing service from outside of home network
US20150031336A1 (en) System and Method for Providing Telephony Services over WiFi for Non-Cellular Devices
US10028141B2 (en) Method and system for determining that a SIM and a SIP client are co-located in the same mobile equipment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200616

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210317

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210409

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210422

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210528

R150 Certificate of patent or registration of utility model

Ref document number: 6892846

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees