ネットワークにアクセスするユーザ端末に対してジェネリック認証アーキテクチャーを応用して管理する方法及びシステム
ネットワークにアクセスするユーザ端末を管理する方法を提供する。ジェネリック認証アーキテクチャーを応用するとき、情報検索を提供できるネットワークエンティティはNAFからの検索要求を受信した後、アクセスを要求するユーザ端末がネットワーク内サービスの使用権限を持っているかどうかを判断して、持っていれば、検索成功応答メッセージをNAFに返信し、当該応答メッセージにNAF所要の情報を付け、当該NAFは受信した情報に基づいてユーザ端末との間で通信を実現し、持っていなければ、検索失敗応答メッセージをNAFに返信して、NAFによって当該ユーザ端末のアクセスが拒絶される。本発明によれば、ネットワークにアクセスするユーザ端末を、ジェネリック認証アーキテクチャーを応用して管理することができ、権限無しのユーザ端末がネットワークサービス、特に訪問ネットワークサービスを使用することを回避できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は第三世代無線通信技術分野に関し、特にネットワークにアクセスするユーザ端末に対してジェネリック認証アーキテクチャー(GAA,Generic Authentication Architecture)を応用して管理する方法に関する。
【背景技術】
【0002】
第三世代無線通信標準におけるジェネリック認証アーキテクチャーは、ユーザへの検査と認証のために種々の応用サービスエンティティに使用される一般フレームワーク (general framework)である。上記種々の応用サービスとは、マルチキャスト/ブロードキャストサービス、ユーザ認可サービス、インスタントメッセージ(instant message)サービスなどでもいいし、プロキシ(proxy)サービスでもいい。
【0003】
図1はジェネリック認証アーキテクチャーの構成図である。ジェネリック認証アーキテクチャーは一般に、ユーザ端末(UE)101、初期検査認証エンティティ(BSF、Bootstrapping Server Function)102、ユーザホームサブスクライバーサーバ(HSS、Home Subscriber System)103及びネットワークサービス応用エンティティ(NAF、Network Application Function)104などで構成される。BSF102は、ユーザ身分に関する初期検査と認証を実行するエンティティであって、ユーザ端末101との間で相互認証を行うと共に、BSF102とユーザ端末101との共有キー(shared key)を生成する。HSS103は、ユーザ情報を説明するプロフィール(Profile)を収納すると共に、認証情報の生成機能も持っている。上記ユーザ情報を説明するプロフィールとは一般に、ジェネリック認証アーキテクチャーの一部分関連情報、及び応用されている全てのUSS(User Security Setting)を指している。サービス毎に、応用に関連する一つのセキュリティパラメータ集、即ちUSS情報集に対応し、一つのユーザに対応する全てUSSの集合はGUSS(GBA User Security Settings)と称されている。
【0004】
ユーザがあるサービスを必要するとき、BSFとの相互認証が必要であることがユーザに知られたら、ユーザは相互認証のためにBSFと直接に連絡し、他の場合、ユーザはまず当該サービスに対応するNAFと連絡する。もし当該NAFがジェネリック認証アーキテクチャーを応用しており、且つ、ユーザ端末とBSFとの間で相互認証が行われる必要があるとき、当該NAFはユーザ端末に、ジェネリック認証アーキテクチャーを応用して認証を行おうと知らせ、他の場合、当該NAFは他の相応処理を行う。
【0005】
ユーザ端末とBSFとの間の相互認証プロセスは以下の通りである。BSFはユーザ端末からの認証要求を受信した後、まず、HSSから当該ユーザ端末の認証情報を取得し、取得した認証情報に基づいてユーザ端末との間で認証とキーアグリーメント(AKA、Authentication and Key Agreement)協議を実行して相互認証を行う。認証に成功した後、ユーザ端末とBSFとの間では相互に認証されたと共に、共有キーKsが生成されたことになる。その後、BSFは一つの会話トランザクション識別子(B-TID、Bootstrapping Transaction Identifier)をユーザに割り当て、当該B-TIDとはKsに関連されるものである。
【0006】
ユーザ端末はこのB-TIDを受信した後、再びNAFに接続要求を送信するが、この要求メッセージには当該B-TIDが付けられる。同時に、ユーザ側はKsに基づいて派生キーKs_NAFを計算して得る。NAFは、要求を受信した後、まず、ユーザの要求メッセージに付けられている当該B-TIDがローカルにあるかどうかを検索する。NAFは、当該B-TIDをローカルで見つけなかったら、BSFに対して検索を行い、当該検索要求メッセージにはNAF識別子とB-TIDが付けられる。BSFは、当該B-TIDをローカルで見つけなかったら、当該ユーザ端末の情報がないことをNAFに知らせる。この場合、NAFはUEに、BSFと認証を行おうと知らせる。BSFは、当該B-TIDを見付けたら、ユーザ側のと同じアルゴリズムを用いてキーKsの派生キーKs_NAFを計算し、その後成功の応答メッセージをNAFに送信する。当該成功の応答には、NAF所要のB-TIDと、当該B-TIDに対応する派生キーKs_NAFと、当該キーのためにBSFによって設定された有効期限とが含まれる。NAFはBSFの成功応答メッセージを受信した後、当該ユーザ端末をBSFによって認証された合法的ユーザと認める。同時に、Ksから派生したキーKs_NAF はNAFとユーザ端末とに共有されている。NAFとユーザ端末は後の通信プロセスでKs_NAFを通じて通信保護を行う。
【0007】
図2はユーザ端末が訪問ネットワークサービスを使用する際のジェネリック認証アーキテクチャーの構成図である。当該ジェネリック認証アーキテクチャーの構成は図1に示した構成ととても似ている。その区別は、一つの認証プロキシ論理エンティティ(D-Proxy、Diameter Proxy)105が追加されたことにある。当該D-Proxy105は、訪問ネットワーク内のBSFでもいいし、訪問ネットワーク内の専門に設定されたプロキシサーバでもいい。訪問ネットワーク内のNAFは、直接にホームネットワーク内のBSFに接続されるのではなく、みなD-Proxyと接続される。ホームネットワークと訪問ネットワークとの間はネットワークを通じて接続され、例えば、バーチャルプライベートネットワーク(VPN)などの技術を通じて接続が確立される。ローミングしているユーザ端末は、訪問ネットワークのローカルサービスを使用する際に、依然としてホームネットワーク内のBSFへ認証を行う必要がある。その認証プロセスは、ユーザ端末がホームネットワークにある際の認証プロセスと同じである。
【0008】
ユーザ端末がその所属ホームネットワーク内のBSFと相互認証を完成し、B-TID及び関連キー情報を得た後、当該ユーザ端末は訪問ネットワーク内のNAFにB-TIDが付けられたサービス要求を送信することができる。訪問ネットワーク内のNAFは当該要求を受信した後、当該B-TIDが付けられた検索要求メッセージをD-Proxyに送信する。D-Proxyは要求を送信したNAFへの認証に成功した後、ユーザのB-TIDに基づいて当該ユーザ端末の所属ホームネットワーク情報を取得し、当該検索要求をホームネットワーク内のBSFに転送する。BSFのKs_NAF計算のために、当該転送されるメッセージにはB-TIDと、検索要求を開始したNAFの識別子とが付けられる。同時に、当該転送されるメッセージでは、当該NAFが認証された信頼できるNAFであることを声明する必要がある。ホームネットワーク内のBSFは要求メッセージを受信し且つB-TIDを見付けた後、成功の応答メッセージをD-Proxyに返信する。当該成功の応答メッセージにはB-TID及び当該B-TIDに対応するキーKs_NAFなどの情報が付けられる。D-Proxyは受信したメッセージを、検索要求を送信したNAFに転送する。ユーザ端末とNAFとの間では、キーKs_NAFの保護で安全なサービス通信が行われる。
【0009】
上記ネットワークにアクセスするプロセスからわかるように、ジェネリック認証アーキテクチャーを使用するユーザ端末にとって、従来のプロトコルでは、ホームネットワーク及び/又は訪問ネットワーク内サービスの使用のためにユーザ端末がジェネリック認証アーキテクチャーをいかに応用するかだけが規定され、ジェネリック認証アーキテクチャーがネットワークにアクセスするユーザをいかに管理するかは規定されていない。つまり、従来のジェネリック認証アーキテクチャーにとって、サービスを使用するユーザ端末が合法的ユーザ端末であるかどうかは確定できるが、ユーザ端末に要求されたサービスの使用権限を当該ユーザ端末が持っているかどうかは確定できない。しかも、ユーザ端末が、ホームネットワークにアクセスするユーザ端末であるか、及び/又は訪問ネットワークにアクセスするユーザ端末であるかにかかわらず、従来のジェネリック認証アーキテクチャーでは、皆、ユーザ端末のネットワークサービス使用状況を制御できない。
【発明の開示】
【発明が解決しようとする課題】
【0010】
上記の内容に鑑みて、本発明の目的は、ユーザ端末のネットワークサービス使用状況を制御できるように、ネットワークにアクセスするユーザ端末に対してジェネリック認証アーキテクチャーを応用して管理する方法を提供することにある。
【課題を解決するための手段】
【0011】
上記目的を達成するため、本発明の技術的方案は以下のように実現される。
ネットワークにアクセスするユーザ端末に対してジェネリック認証アーキテクチャーを応用して管理する方法であって、サービス応用エンティティNAFは、会話トランザクション識別子B-TIDが付けられたサービス要求を認証にパスしたUEから受信した後、検索要求を送信するステップと、情報検索を提供できるネットワークエンティティは、NAFからの検索要求を受信した後、サービス要求を送信したUEがネットワーク内サービスの使用権限を持っているかどうかを判断して、持っていれば、NAF所要の情報が付けられた検索成功応答メッセージをNAFに返信し、NAFはサービス要求を開始したUEとの間の通信を、受信した情報に基づいて制御し、持っていなければ、検索失敗応答メッセージをNAFに返信して、NAFによって当該UEのアクセスが拒絶されるステップと、を含む。
【0012】
好ましくは、前記UEはあるホームネットワーク内のUEであり、前記NAFは訪問ネットワーク内NAFであり、前記ネットワークエンティティは前記NAFの所属訪問ネットワーク内D-Proxyの転送によって、当該訪問ネットワーク内NAFからの検索要求を受信し、且つ、検索成功応答メッセージ又は検索失敗応答メッセージを当該訪問ネットワーク内NAFに返信する。
【0013】
好ましくは、前記ネットワークエンティティが、サービス要求を送信したUEがネットワーク内サービスの使用権限を持っているかどうかを判断するとは、ネットワークエンティティは、当該UEの所属ホームネットワークと当該訪問ネットワークとの間にインターネットワークプロトコル(inter-network agreements)及びサービスプロトコルがあるかどうかを判断し、及び/又は、当該UEのプロフィール情報、又はUEの信用性及び/又は権限を示すリスト、又は上記条件の任意の組み合わせに基づいて当該UEが当該サービスの使用権限を持っているかどうかを判断して、当該UEの所属ホームネットワークと当該訪問ネットワークとの間にインターネットワークプロトコル及び当該サービスのプロトコルがあり、また当該UEが当該サービスの使用権限を持っている場合、当該UEが訪問ネットワーク内サービスの使用権限を持っていると確定し、さもなければ、当該UEが訪問ネットワーク内サービスの使用権限を持っていないと確定することである。
【0014】
好ましくは、前記訪問ネットワーク内D-Proxyが検索要求メッセージを転送する前に、D-Proxyが、当該UEが当該訪問ネットワーク内のサービスを使用できるかどうかを判断して、使用できれば、当該メッセージを前記ネットワークエンティティに転送し、さもなければ、当該UEのアクセスを拒絶するメッセージを直接にNAFに返信するステップを、更に含む。
【0015】
好ましくは、前記直接にD-ProxyからNAFに返信される検索失敗応答メッセージに失敗原因値が付けられる。
【0016】
好ましくは、前記D-Proxyが、当該UEが当該訪問ネットワーク内のサービスを使用できるかどうかを判断するとは、D-Proxyは、当該訪問ネットワークとUEの所属ホームネットワークとの間にインターネットワークプロトコル及びサービスプロトコルがあるかどうかを判断して、あれば、当該UEが当該訪問ネットワーク内のサービスを使用できると確定し、さもなければ、当該UEが当該訪問ネットワーク内のサービスを使用できないと確定することである。
【0017】
好ましくは、前記D-Proxyが、当該訪問ネットワークとUEの所属ホームネットワークとの間にインターネットワークプロトコル及びサービスプロトコルがあると判定した後、D-Proxyは、UEによって要求されたNAFが、現在、当該UEにサービスを提供できるかどうかを判断して、提供できれば、当該UEが当該訪問ネットワーク内のサービスを使用できると確定し、さもなければ、当該UEが当該訪問ネットワーク内のサービスを使用できないと確定するステップを、更に含む。
【0018】
好ましくは、前記検索失敗応答メッセージに失敗原因値が付けられる。
【0019】
好ましくは、前記ネットワークエンティティは、UEの所属ホームネットワーク内の初期検査認証エンティティBSFであり、又は、ホームネットワークと訪問ネットワークとの間に接続されたゲートウェイエンティティ、及びUEの所属ホームネットワーク内BSFによって共同で構成された論理エンティティである。
【0020】
好ましくは、前記UEはあるホームネットワーク内UEであり、前記NAFは当該ホームネットワーク内NAFであり、前記ネットワークエンティティは、当該NAFからの検索要求を直接に受信し、かつ、当該NAFに検索成功応答メッセージ又は検索失敗応答メッセージを直接に返信する。
【0021】
好ましくは、前記ネットワークエンティティが、サービス要求を送信したUEがネットワーク内サービスの使用権限を持っているかどうかを判断するとは、ネットワークエンティティは、UEの所属ホームネットワーク内に当該サービスのサービスプロトコルがあるかどうかを判断し、及び/又は、当該UEのプロフィール情報、又はUE信用性及び/又は権限を示すリスト、又は上記条件の任意の組み合わせに基づいて、当該UEが当該サービスの使用権限を持っているかどうかを判断して、UEの所属ホームネットワーク内に当該サービスのサービスプロトコルがあり、且つ当該UEが当該サービスの使用権限を持っている場合、当該UEがホームネットワーク内サービスの使用権限を持っていると確定し、さもなければ、当該UEがホームネットワーク内サービスの使用権限を持っていないと確定することである。
【0022】
好ましくは、前記ネットワークエンティティから直接に当該NAFに返信される検索失敗応答メッセージに失敗原因値が付けられる。
【0023】
好ましくは、前記ネットワークエンティティはUEの所属ホームネットワーク内の初期検査認証エンティティBSFである。
【発明の効果】
【0024】
本発明のキーポイントは以下の通りである。情報検索を提供できるネットワークエンティティは、NAFからの検索要求を受信した後、アクセスを要求するユーザ端末がネットワーク内サービスの使用権限を持っているかどうか判断して、持っていれば、検索成功応答メッセージをNAFに返信し、当該検索成功応答メッセージにNAF所要の情報を付け、当該NAFは受信した情報に基づいてユーザ端末との間で通信を実現し、持っていなければ、検索失敗応答メッセージをNAFに返信して、NAFによって当該ユーザ端末のアクセスが拒絶されることである。
【0025】
本発明を応用しては、ネットワークにアクセスするユーザ端末に対してジェネリック認証アーキテクチャーを応用して管理することを実現できる。ホームネットワークにとっては、ユーザ端末のネットワークサービス使用状況を制御でき、ネットワークサービスが権限無しのユーザ端末に使用されることを回避できる。且つ、訪問ネットワークにとっても、本訪問ネットワーク内サービスの使用を当該ユーザに許可するかどうかを検査できて、訪問ネットワーク自身のサービスをより良く制御でき、管理できる。同時に、返信される検索失敗応答メッセージに失敗原因値が付けられているため、ユーザ端末は失敗の知らせを受信した後、どのような操作を採用するべきかを失敗原因値に基づいて知られて、種々の無駄な試みによるネットワークリソースの浪費を回避することができる。
【発明を実施するための最良の形態】
【0026】
本発明の技術的方案を更に明確にするため、以下、図面を参照して本発明を更に詳しく説明する。
【0027】
本発明の考えは以下の通りである。ネットワークエンティティは、NAFからのB-TID検索要求を受信した後、アクセスを要求するユーザ端末がネットワーク内サービスの使用権限を持っているかどうかを判断する。持っていれば、検索成功応答メッセージをNAFに返信し、当該応答メッセージにNAF所要の情報を付け、当該NAFは受信した情報に基づいてユーザ端末との間で通信を実現する。持っていなければ、検索失敗応答メッセージをNAFに返信して、NAFによって当該ユーザ端末のアクセスが拒絶される。このように、ネットワークにアクセスするユーザ端末をジェネリック認証アーキテクチャーを応用して管理する。
【0028】
図3は本発明による一実施例のフローチャートである。本実施例において、ローミングしているUEは、現在所在の訪問ネットワーク内のサービスを使用することを希望している。図3におけるBSFhはホームネットワーク内のBSFを表し、NAFvは訪問ネットワーク内のネットワークサービス応用エンティティを表す。
【0029】
ステップ301〜ステップ303で、ローミングしているUEがある訪問ネットワーク内のあるサービスを使用することを希望しているとき、当該UEはまずそれのホームネットワーク内のBSFに認証要求を開始する。BSFは、該認証要求を受信した後、当該UEの認証ベクトル及び関連プロフィール情報についてHSSに要求する。その後、BSFとUEとの間に相互認証が行われ、認証が成功した後、BSFとUEとにキーKsが共有されると共に、BSFにより割当てられたB-TIDがUEに得られる。
【0030】
もちろん、B-TID が既にUEに得られたら、上記ステップを実行しなくて、直接にステップ304からプロセスを始めてもよい。
【0031】
ステップ304〜ステップ305で、UEは訪問ネットワーク内のNAF即ちNAFvにB-TIDが付けられたサービス要求を送信する。訪問ネットワーク内のNAFは当該要求を受信した後、本訪問ネットワーク内のD-Proxyに検索要求を送信するが、当該検索要求にはNAFの識別子及びB-TIDが付けられる。
【0032】
ステップ306で、検索要求を送信するNAFに対する認証でD-Proxyが成功した後、以下の二つの処理方式がある。
【0033】
D-Proxyは受信した検索要求を直接にUEの所属ホームネットワーク内のBSF即ちBSFhに転送するが、当該転送されるメッセージには本訪問ネットワークの識別子が付けられ、その後、続いて後続のステップを実行する。又は、
【0034】
D-Proxyは、サービス要求を開始したUEが当該UE自身に要求されたサービスを使用できるかどうかを検査して、サービス要求を開始したUEが当該UE自身に要求されたサービスを使用できると確定するなら、受信した検索要求をUEの所属ホームネットワーク内のBSFに転送し、且つ当該転送されるメッセージに本訪問ネットワークの識別子を付け、その後、続いて後続のステップを実行する。D-Proxyは、サービス要求を開始したUEが当該UE自身に要求されたサービスを使用できないと確定するなら、UEの所属ホームネットワーク内のBSFに当該検索メッセージを転送せず、直接に検索失敗応答メッセージをNAFに返信し、且つ当該検索失敗応答メッセージに失敗原因値を付ける。NAFは当該失敗応答メッセージを受信した後、当該UEのアクセスを拒絶し、今度のプロセスを終了する。
【0035】
上記検査には以下の内容が含まれる。当該UEの所属ホームネットワークと当該訪問ネットワークとの間にインターネットワークプロトコル(inter-network agreements)及びサービスプロトコル(service agreements)があるかどうかを検査して、あれば、検査でパスしたと確定し、なければ、サービス要求を開始したUEが当該UE自身に要求されたサービスを使用できないと確定する。インターネットワークプロトコル及びサービスプロトコルがある上で、上記検査には以下の内容が更に含まれていい。UEによって要求されたNAFが、現在、当該UEにサービスを提供できるかどうかを検査する。例えば、もし当該要求されたサービスが比較的特殊であって、本訪問ネットワーク内のUEのみに使用を提供し、又は、当該NAFが現在比較的忙しくて、本訪問ネットワーク内のUEのみに優先に使用を提供する場合、D-Proxyは、UEによって要求されたNAFが、現在、当該UEにサービスを提供できないと確定する。ここで、D-Proxyが、UEによって要求されたNAFが現在当該UEにサービスを提供できると確定するなら、検査でパスしたことになり、さもなければ、検査でパスしなかったことになる。
【0036】
D-Proxyが上記検査を行うメリットについては、訪問ネットワークにとっても本訪問ネットワーク内サービスの使用を当該UEに許可するかどうかを検査できて、訪問ネットワークが本訪問ネットワーク内のサービスに対して更に良く制御でき、管理できることである。
【0037】
ステップ307〜ステップ308で、BSFhはD-Proxyからの検索メッセージを受信した後、検索待ちのB-TIDと、訪問ネットワーク識別子と、NAF識別子とを当該検索メッセージから抽出する。その後、BSFhは本ホームネットワークと当該訪問ネットワークとの間にインターネットワークプロトコル及びサービスプロトコルがあるかどうかを検査する。一般的にはあるサービスに対応するUSSがあるかどうかを検査することによって当該サービスプロトコルがあるかどうかが確定される。及び/又は、BSFhは、当該UEの具体的プロフィール情報即ち当該USS内の具体的な内容、又は当該UEの信用性及び/又は権限を示すリスト、例えば信用性の悪いユーザ情報リスト(black list)、又は上記条件の任意の組み合わせによって検査を行って、当該UEが当該サービスの使用権限を持っているかどうかを確定する。ここで、本ホームネットワークと当該訪問ネットワークとの間にインターネットワークプロトコル及び当該サービスのプロトコルがあり、また当該UEが当該サービスの使用権限を持っている場合、当該UEが当該訪問ネットワーク内当該サービスの使用権限を持っていると確認し、このとき、検査はパスされる。BSFhは、ただ検査でパスしてこそ、ローカルで検索して得たB-TID及びキーKsなど情報に基づいて派生キーKs-NAFを計算して得、その後、検索成功応答メッセージをD-Proxyに返信し、且つ検索して得たB-TID及び当該B-TIDに対応するキーKs-NAFなど情報を当該検索成功応答メッセージに付ける。同時に、BSFhはまた、キャリアー(事業者)によって配置されたBSF内の戦術に基づいて、当該サービスで必要なUSS又は一部分USS情報をNAFに返信して、NAFに使用させられることができる。
【0038】
上記検査において、一項又は複数項の検査でパスしなかったら、BSFhは原因値が付けられた失敗応答メッセージをD-Proxyに返信するが、ここで、具体的な検査項目及び検査数はキャリアにより予め設定された戦術に基づいて確定される。上記失敗の原因については、本ホームネットワークと当該訪問ネットワークとの間に関連サービスプロトコルがないこと、又は、本ホームネットワークと当該訪問ネットワークとの間にサービスプロトコルはあるが、当該UEによって要求されたサービスが含まれないこと、又は、本ネットワークと当該訪問ネットワークとの間にサービスプロトコルはあるが、当該UEが当該サービスの使用権限を持っていないこと、又は、当該UEのB-TIDが無効であること、又は、上記失敗原因の組み合わせであって良い。検索失敗応答メッセージに失敗原因値が付けられたので、ユーザ端末は、失敗の知らせを受信した後、どのような操作を採用するべきかを失敗原因値に基づいて知られて、種々の無駄な試みによるネットワークリソースの浪費を回避することができる。
【0039】
上記ホームネットワークと訪問ネットワークとの間のプロトコル及び検査戦術は、BSF内に予め配置されて良いし、BSFhによってHSSからダウンロードされても良い。
【0040】
ステップ309で、D-Proxyは受信したメッセージを、検索要求を開始したNAFに送信する。NAFは検索失敗応答メッセージを受信したら、当該サービスを使用できないことをUEに知らせ、即ち、当該UEのアクセスを拒絶し、且つ当該拒絶メッセージに失敗原因値を付け、今度のプロセスを終了する。NAFは検索成功応答メッセージを受信したら、ステップ310に進む。
【0041】
ステップ310で、UEとNAFとはキーKs_NAFの保護でサービス通信を行う。
【0042】
上記実施例において、BSFhは情報検索を提供できるネットワークエンティティと見なされることができる。もちろん、当該情報検索を提供できるネットワークエンティティはUEの所属ホームネットワーク内のBSFとゲートウェイエンティティによって共同で構成された論理エンティティであっても良い。ここで、ゲートウェイエンティティはホームネットワークと訪問ネットワークとの間に接続されている。当該ゲートウェイエンティティは現有ネットワークにおける既存のエンティティであってもいいし、単独に設定されたプロキシエンティティであっても良い。
【0043】
情報検索を提供できるネットワークエンティティが、UEの所属ホームネットワーク内のBSFとゲートウェイエンティティによって共同で構成された論理エンティティである場合、ゲートウェイエンティティはD-Proxyからの検索メッセージを受信した後、まず、検索操作を実行する。例えば、UEの所属ホームネットワークと当該訪問ネットワークとの間にインターネットワークプロトコル及びサービスプロトコルがあるかどうかを検査する。検査でパスしたら、ゲートウェイエンティティはD-Proxyからの検索メッセージをBSFに転送する。BSFは依然として元の機能によって動作する。例えば、B-TIDを検索し、キー情報を生成することなどである。ゲートウェイエンティティの検査でパスしなかったら、ゲートウェイエンティティはD-Proxyに検索失敗応答メッセージを直接に返信していいが、当該検索失敗応答メッセージには同様に失敗原因値が付けられる。UEへの検査機能をゲートウェイエンティティで実現する必要があれば、当該ゲートウェイエンティティにUEの本当の身分を知らせてUEのプロフィール情報を検索できるようにするために、当該ゲートウェイエンティティに予め関連情報、例えば、B-TIDとUE識別子など情報を配置するべきである。ゲートウェイエンティティを応用して検査操作を完成するメリットは、BSFの負担を適当に低減できることである。
【0044】
上記実施例ではUEが訪問ネットワーク内サービスを使用する場合について説明したが、上記実施例のような制御メカニズムは同様にNAFがホームネットワークに位置する場合にも適用できる。ここで、NAFがホームネットワークに位置する場合にとっては、BSFとNAFが同一のホームネットワーク内にあるため、BSFがインターネットワークプロトコルを検査する必要がなくなり、インターネットワークプロトコル以外の内容は依然としてキャリアの戦術に基づいて検査されることができる。即ち、BSFは、UEの所属ホームネットワーク内に当該サービスのサービスプロトコルがあるかどうかを判断し、及び/又は、当該UEのプロフィール情報、又はUE信用性及び/又は権限を示すリスト、又は上記条件の任意の組み合わせに基づいて、当該UEが当該サービスの使用権限を持っているかどうかを判断して、UEの所属ホームネットワーク内に当該サービスのサービスプロトコルがあり、且つ当該UEが当該サービスの使用権限を持っている場合、当該UEがホームネットワーク内当該サービスの使用権限を持っていると確定し、他の場合には、当該UEがホームネットワーク内当該サービスの使用権限を持っていないと確定する。またここで、NAFがホームネットワークに位置する場合にとって、BSFと当該ホームネットワーク内NAFとの通信は、他の中間エンティティの転送を必要しなく、直接に行われることができる。
【0045】
上記説明されたのは、本発明の好ましい実施例にすぎず、本発明の保護範囲を限定するものではない。本発明の精神と原則内で行われる種々の修正、均等切替、改善などは全て本発明の保護範囲内に含まれるべきである。
【図面の簡単な説明】
【0046】
【図1】ジェネリック認証アーキテクチャーの構成図である。
【図2】ユーザ端末が訪問ネットワークサービスを使用する際のジェネリック認証アーキテクチャーの構成図である。
【図3】本発明による一実施例のフローチャートである。
【符号の説明】
【0047】
101 ユーザ端末(UE)
102 初期検査認証エンティティ(BSF)
103 ユーザホームサブスクライバーサーバ(HSS)
104 ネットワークサービス応用エンティティ(NAF)
105 認証プロキシ論理エンティティ(D−Proxy)
【技術分野】
【0001】
本発明は第三世代無線通信技術分野に関し、特にネットワークにアクセスするユーザ端末に対してジェネリック認証アーキテクチャー(GAA,Generic Authentication Architecture)を応用して管理する方法に関する。
【背景技術】
【0002】
第三世代無線通信標準におけるジェネリック認証アーキテクチャーは、ユーザへの検査と認証のために種々の応用サービスエンティティに使用される一般フレームワーク (general framework)である。上記種々の応用サービスとは、マルチキャスト/ブロードキャストサービス、ユーザ認可サービス、インスタントメッセージ(instant message)サービスなどでもいいし、プロキシ(proxy)サービスでもいい。
【0003】
図1はジェネリック認証アーキテクチャーの構成図である。ジェネリック認証アーキテクチャーは一般に、ユーザ端末(UE)101、初期検査認証エンティティ(BSF、Bootstrapping Server Function)102、ユーザホームサブスクライバーサーバ(HSS、Home Subscriber System)103及びネットワークサービス応用エンティティ(NAF、Network Application Function)104などで構成される。BSF102は、ユーザ身分に関する初期検査と認証を実行するエンティティであって、ユーザ端末101との間で相互認証を行うと共に、BSF102とユーザ端末101との共有キー(shared key)を生成する。HSS103は、ユーザ情報を説明するプロフィール(Profile)を収納すると共に、認証情報の生成機能も持っている。上記ユーザ情報を説明するプロフィールとは一般に、ジェネリック認証アーキテクチャーの一部分関連情報、及び応用されている全てのUSS(User Security Setting)を指している。サービス毎に、応用に関連する一つのセキュリティパラメータ集、即ちUSS情報集に対応し、一つのユーザに対応する全てUSSの集合はGUSS(GBA User Security Settings)と称されている。
【0004】
ユーザがあるサービスを必要するとき、BSFとの相互認証が必要であることがユーザに知られたら、ユーザは相互認証のためにBSFと直接に連絡し、他の場合、ユーザはまず当該サービスに対応するNAFと連絡する。もし当該NAFがジェネリック認証アーキテクチャーを応用しており、且つ、ユーザ端末とBSFとの間で相互認証が行われる必要があるとき、当該NAFはユーザ端末に、ジェネリック認証アーキテクチャーを応用して認証を行おうと知らせ、他の場合、当該NAFは他の相応処理を行う。
【0005】
ユーザ端末とBSFとの間の相互認証プロセスは以下の通りである。BSFはユーザ端末からの認証要求を受信した後、まず、HSSから当該ユーザ端末の認証情報を取得し、取得した認証情報に基づいてユーザ端末との間で認証とキーアグリーメント(AKA、Authentication and Key Agreement)協議を実行して相互認証を行う。認証に成功した後、ユーザ端末とBSFとの間では相互に認証されたと共に、共有キーKsが生成されたことになる。その後、BSFは一つの会話トランザクション識別子(B-TID、Bootstrapping Transaction Identifier)をユーザに割り当て、当該B-TIDとはKsに関連されるものである。
【0006】
ユーザ端末はこのB-TIDを受信した後、再びNAFに接続要求を送信するが、この要求メッセージには当該B-TIDが付けられる。同時に、ユーザ側はKsに基づいて派生キーKs_NAFを計算して得る。NAFは、要求を受信した後、まず、ユーザの要求メッセージに付けられている当該B-TIDがローカルにあるかどうかを検索する。NAFは、当該B-TIDをローカルで見つけなかったら、BSFに対して検索を行い、当該検索要求メッセージにはNAF識別子とB-TIDが付けられる。BSFは、当該B-TIDをローカルで見つけなかったら、当該ユーザ端末の情報がないことをNAFに知らせる。この場合、NAFはUEに、BSFと認証を行おうと知らせる。BSFは、当該B-TIDを見付けたら、ユーザ側のと同じアルゴリズムを用いてキーKsの派生キーKs_NAFを計算し、その後成功の応答メッセージをNAFに送信する。当該成功の応答には、NAF所要のB-TIDと、当該B-TIDに対応する派生キーKs_NAFと、当該キーのためにBSFによって設定された有効期限とが含まれる。NAFはBSFの成功応答メッセージを受信した後、当該ユーザ端末をBSFによって認証された合法的ユーザと認める。同時に、Ksから派生したキーKs_NAF はNAFとユーザ端末とに共有されている。NAFとユーザ端末は後の通信プロセスでKs_NAFを通じて通信保護を行う。
【0007】
図2はユーザ端末が訪問ネットワークサービスを使用する際のジェネリック認証アーキテクチャーの構成図である。当該ジェネリック認証アーキテクチャーの構成は図1に示した構成ととても似ている。その区別は、一つの認証プロキシ論理エンティティ(D-Proxy、Diameter Proxy)105が追加されたことにある。当該D-Proxy105は、訪問ネットワーク内のBSFでもいいし、訪問ネットワーク内の専門に設定されたプロキシサーバでもいい。訪問ネットワーク内のNAFは、直接にホームネットワーク内のBSFに接続されるのではなく、みなD-Proxyと接続される。ホームネットワークと訪問ネットワークとの間はネットワークを通じて接続され、例えば、バーチャルプライベートネットワーク(VPN)などの技術を通じて接続が確立される。ローミングしているユーザ端末は、訪問ネットワークのローカルサービスを使用する際に、依然としてホームネットワーク内のBSFへ認証を行う必要がある。その認証プロセスは、ユーザ端末がホームネットワークにある際の認証プロセスと同じである。
【0008】
ユーザ端末がその所属ホームネットワーク内のBSFと相互認証を完成し、B-TID及び関連キー情報を得た後、当該ユーザ端末は訪問ネットワーク内のNAFにB-TIDが付けられたサービス要求を送信することができる。訪問ネットワーク内のNAFは当該要求を受信した後、当該B-TIDが付けられた検索要求メッセージをD-Proxyに送信する。D-Proxyは要求を送信したNAFへの認証に成功した後、ユーザのB-TIDに基づいて当該ユーザ端末の所属ホームネットワーク情報を取得し、当該検索要求をホームネットワーク内のBSFに転送する。BSFのKs_NAF計算のために、当該転送されるメッセージにはB-TIDと、検索要求を開始したNAFの識別子とが付けられる。同時に、当該転送されるメッセージでは、当該NAFが認証された信頼できるNAFであることを声明する必要がある。ホームネットワーク内のBSFは要求メッセージを受信し且つB-TIDを見付けた後、成功の応答メッセージをD-Proxyに返信する。当該成功の応答メッセージにはB-TID及び当該B-TIDに対応するキーKs_NAFなどの情報が付けられる。D-Proxyは受信したメッセージを、検索要求を送信したNAFに転送する。ユーザ端末とNAFとの間では、キーKs_NAFの保護で安全なサービス通信が行われる。
【0009】
上記ネットワークにアクセスするプロセスからわかるように、ジェネリック認証アーキテクチャーを使用するユーザ端末にとって、従来のプロトコルでは、ホームネットワーク及び/又は訪問ネットワーク内サービスの使用のためにユーザ端末がジェネリック認証アーキテクチャーをいかに応用するかだけが規定され、ジェネリック認証アーキテクチャーがネットワークにアクセスするユーザをいかに管理するかは規定されていない。つまり、従来のジェネリック認証アーキテクチャーにとって、サービスを使用するユーザ端末が合法的ユーザ端末であるかどうかは確定できるが、ユーザ端末に要求されたサービスの使用権限を当該ユーザ端末が持っているかどうかは確定できない。しかも、ユーザ端末が、ホームネットワークにアクセスするユーザ端末であるか、及び/又は訪問ネットワークにアクセスするユーザ端末であるかにかかわらず、従来のジェネリック認証アーキテクチャーでは、皆、ユーザ端末のネットワークサービス使用状況を制御できない。
【発明の開示】
【発明が解決しようとする課題】
【0010】
上記の内容に鑑みて、本発明の目的は、ユーザ端末のネットワークサービス使用状況を制御できるように、ネットワークにアクセスするユーザ端末に対してジェネリック認証アーキテクチャーを応用して管理する方法を提供することにある。
【課題を解決するための手段】
【0011】
上記目的を達成するため、本発明の技術的方案は以下のように実現される。
ネットワークにアクセスするユーザ端末に対してジェネリック認証アーキテクチャーを応用して管理する方法であって、サービス応用エンティティNAFは、会話トランザクション識別子B-TIDが付けられたサービス要求を認証にパスしたUEから受信した後、検索要求を送信するステップと、情報検索を提供できるネットワークエンティティは、NAFからの検索要求を受信した後、サービス要求を送信したUEがネットワーク内サービスの使用権限を持っているかどうかを判断して、持っていれば、NAF所要の情報が付けられた検索成功応答メッセージをNAFに返信し、NAFはサービス要求を開始したUEとの間の通信を、受信した情報に基づいて制御し、持っていなければ、検索失敗応答メッセージをNAFに返信して、NAFによって当該UEのアクセスが拒絶されるステップと、を含む。
【0012】
好ましくは、前記UEはあるホームネットワーク内のUEであり、前記NAFは訪問ネットワーク内NAFであり、前記ネットワークエンティティは前記NAFの所属訪問ネットワーク内D-Proxyの転送によって、当該訪問ネットワーク内NAFからの検索要求を受信し、且つ、検索成功応答メッセージ又は検索失敗応答メッセージを当該訪問ネットワーク内NAFに返信する。
【0013】
好ましくは、前記ネットワークエンティティが、サービス要求を送信したUEがネットワーク内サービスの使用権限を持っているかどうかを判断するとは、ネットワークエンティティは、当該UEの所属ホームネットワークと当該訪問ネットワークとの間にインターネットワークプロトコル(inter-network agreements)及びサービスプロトコルがあるかどうかを判断し、及び/又は、当該UEのプロフィール情報、又はUEの信用性及び/又は権限を示すリスト、又は上記条件の任意の組み合わせに基づいて当該UEが当該サービスの使用権限を持っているかどうかを判断して、当該UEの所属ホームネットワークと当該訪問ネットワークとの間にインターネットワークプロトコル及び当該サービスのプロトコルがあり、また当該UEが当該サービスの使用権限を持っている場合、当該UEが訪問ネットワーク内サービスの使用権限を持っていると確定し、さもなければ、当該UEが訪問ネットワーク内サービスの使用権限を持っていないと確定することである。
【0014】
好ましくは、前記訪問ネットワーク内D-Proxyが検索要求メッセージを転送する前に、D-Proxyが、当該UEが当該訪問ネットワーク内のサービスを使用できるかどうかを判断して、使用できれば、当該メッセージを前記ネットワークエンティティに転送し、さもなければ、当該UEのアクセスを拒絶するメッセージを直接にNAFに返信するステップを、更に含む。
【0015】
好ましくは、前記直接にD-ProxyからNAFに返信される検索失敗応答メッセージに失敗原因値が付けられる。
【0016】
好ましくは、前記D-Proxyが、当該UEが当該訪問ネットワーク内のサービスを使用できるかどうかを判断するとは、D-Proxyは、当該訪問ネットワークとUEの所属ホームネットワークとの間にインターネットワークプロトコル及びサービスプロトコルがあるかどうかを判断して、あれば、当該UEが当該訪問ネットワーク内のサービスを使用できると確定し、さもなければ、当該UEが当該訪問ネットワーク内のサービスを使用できないと確定することである。
【0017】
好ましくは、前記D-Proxyが、当該訪問ネットワークとUEの所属ホームネットワークとの間にインターネットワークプロトコル及びサービスプロトコルがあると判定した後、D-Proxyは、UEによって要求されたNAFが、現在、当該UEにサービスを提供できるかどうかを判断して、提供できれば、当該UEが当該訪問ネットワーク内のサービスを使用できると確定し、さもなければ、当該UEが当該訪問ネットワーク内のサービスを使用できないと確定するステップを、更に含む。
【0018】
好ましくは、前記検索失敗応答メッセージに失敗原因値が付けられる。
【0019】
好ましくは、前記ネットワークエンティティは、UEの所属ホームネットワーク内の初期検査認証エンティティBSFであり、又は、ホームネットワークと訪問ネットワークとの間に接続されたゲートウェイエンティティ、及びUEの所属ホームネットワーク内BSFによって共同で構成された論理エンティティである。
【0020】
好ましくは、前記UEはあるホームネットワーク内UEであり、前記NAFは当該ホームネットワーク内NAFであり、前記ネットワークエンティティは、当該NAFからの検索要求を直接に受信し、かつ、当該NAFに検索成功応答メッセージ又は検索失敗応答メッセージを直接に返信する。
【0021】
好ましくは、前記ネットワークエンティティが、サービス要求を送信したUEがネットワーク内サービスの使用権限を持っているかどうかを判断するとは、ネットワークエンティティは、UEの所属ホームネットワーク内に当該サービスのサービスプロトコルがあるかどうかを判断し、及び/又は、当該UEのプロフィール情報、又はUE信用性及び/又は権限を示すリスト、又は上記条件の任意の組み合わせに基づいて、当該UEが当該サービスの使用権限を持っているかどうかを判断して、UEの所属ホームネットワーク内に当該サービスのサービスプロトコルがあり、且つ当該UEが当該サービスの使用権限を持っている場合、当該UEがホームネットワーク内サービスの使用権限を持っていると確定し、さもなければ、当該UEがホームネットワーク内サービスの使用権限を持っていないと確定することである。
【0022】
好ましくは、前記ネットワークエンティティから直接に当該NAFに返信される検索失敗応答メッセージに失敗原因値が付けられる。
【0023】
好ましくは、前記ネットワークエンティティはUEの所属ホームネットワーク内の初期検査認証エンティティBSFである。
【発明の効果】
【0024】
本発明のキーポイントは以下の通りである。情報検索を提供できるネットワークエンティティは、NAFからの検索要求を受信した後、アクセスを要求するユーザ端末がネットワーク内サービスの使用権限を持っているかどうか判断して、持っていれば、検索成功応答メッセージをNAFに返信し、当該検索成功応答メッセージにNAF所要の情報を付け、当該NAFは受信した情報に基づいてユーザ端末との間で通信を実現し、持っていなければ、検索失敗応答メッセージをNAFに返信して、NAFによって当該ユーザ端末のアクセスが拒絶されることである。
【0025】
本発明を応用しては、ネットワークにアクセスするユーザ端末に対してジェネリック認証アーキテクチャーを応用して管理することを実現できる。ホームネットワークにとっては、ユーザ端末のネットワークサービス使用状況を制御でき、ネットワークサービスが権限無しのユーザ端末に使用されることを回避できる。且つ、訪問ネットワークにとっても、本訪問ネットワーク内サービスの使用を当該ユーザに許可するかどうかを検査できて、訪問ネットワーク自身のサービスをより良く制御でき、管理できる。同時に、返信される検索失敗応答メッセージに失敗原因値が付けられているため、ユーザ端末は失敗の知らせを受信した後、どのような操作を採用するべきかを失敗原因値に基づいて知られて、種々の無駄な試みによるネットワークリソースの浪費を回避することができる。
【発明を実施するための最良の形態】
【0026】
本発明の技術的方案を更に明確にするため、以下、図面を参照して本発明を更に詳しく説明する。
【0027】
本発明の考えは以下の通りである。ネットワークエンティティは、NAFからのB-TID検索要求を受信した後、アクセスを要求するユーザ端末がネットワーク内サービスの使用権限を持っているかどうかを判断する。持っていれば、検索成功応答メッセージをNAFに返信し、当該応答メッセージにNAF所要の情報を付け、当該NAFは受信した情報に基づいてユーザ端末との間で通信を実現する。持っていなければ、検索失敗応答メッセージをNAFに返信して、NAFによって当該ユーザ端末のアクセスが拒絶される。このように、ネットワークにアクセスするユーザ端末をジェネリック認証アーキテクチャーを応用して管理する。
【0028】
図3は本発明による一実施例のフローチャートである。本実施例において、ローミングしているUEは、現在所在の訪問ネットワーク内のサービスを使用することを希望している。図3におけるBSFhはホームネットワーク内のBSFを表し、NAFvは訪問ネットワーク内のネットワークサービス応用エンティティを表す。
【0029】
ステップ301〜ステップ303で、ローミングしているUEがある訪問ネットワーク内のあるサービスを使用することを希望しているとき、当該UEはまずそれのホームネットワーク内のBSFに認証要求を開始する。BSFは、該認証要求を受信した後、当該UEの認証ベクトル及び関連プロフィール情報についてHSSに要求する。その後、BSFとUEとの間に相互認証が行われ、認証が成功した後、BSFとUEとにキーKsが共有されると共に、BSFにより割当てられたB-TIDがUEに得られる。
【0030】
もちろん、B-TID が既にUEに得られたら、上記ステップを実行しなくて、直接にステップ304からプロセスを始めてもよい。
【0031】
ステップ304〜ステップ305で、UEは訪問ネットワーク内のNAF即ちNAFvにB-TIDが付けられたサービス要求を送信する。訪問ネットワーク内のNAFは当該要求を受信した後、本訪問ネットワーク内のD-Proxyに検索要求を送信するが、当該検索要求にはNAFの識別子及びB-TIDが付けられる。
【0032】
ステップ306で、検索要求を送信するNAFに対する認証でD-Proxyが成功した後、以下の二つの処理方式がある。
【0033】
D-Proxyは受信した検索要求を直接にUEの所属ホームネットワーク内のBSF即ちBSFhに転送するが、当該転送されるメッセージには本訪問ネットワークの識別子が付けられ、その後、続いて後続のステップを実行する。又は、
【0034】
D-Proxyは、サービス要求を開始したUEが当該UE自身に要求されたサービスを使用できるかどうかを検査して、サービス要求を開始したUEが当該UE自身に要求されたサービスを使用できると確定するなら、受信した検索要求をUEの所属ホームネットワーク内のBSFに転送し、且つ当該転送されるメッセージに本訪問ネットワークの識別子を付け、その後、続いて後続のステップを実行する。D-Proxyは、サービス要求を開始したUEが当該UE自身に要求されたサービスを使用できないと確定するなら、UEの所属ホームネットワーク内のBSFに当該検索メッセージを転送せず、直接に検索失敗応答メッセージをNAFに返信し、且つ当該検索失敗応答メッセージに失敗原因値を付ける。NAFは当該失敗応答メッセージを受信した後、当該UEのアクセスを拒絶し、今度のプロセスを終了する。
【0035】
上記検査には以下の内容が含まれる。当該UEの所属ホームネットワークと当該訪問ネットワークとの間にインターネットワークプロトコル(inter-network agreements)及びサービスプロトコル(service agreements)があるかどうかを検査して、あれば、検査でパスしたと確定し、なければ、サービス要求を開始したUEが当該UE自身に要求されたサービスを使用できないと確定する。インターネットワークプロトコル及びサービスプロトコルがある上で、上記検査には以下の内容が更に含まれていい。UEによって要求されたNAFが、現在、当該UEにサービスを提供できるかどうかを検査する。例えば、もし当該要求されたサービスが比較的特殊であって、本訪問ネットワーク内のUEのみに使用を提供し、又は、当該NAFが現在比較的忙しくて、本訪問ネットワーク内のUEのみに優先に使用を提供する場合、D-Proxyは、UEによって要求されたNAFが、現在、当該UEにサービスを提供できないと確定する。ここで、D-Proxyが、UEによって要求されたNAFが現在当該UEにサービスを提供できると確定するなら、検査でパスしたことになり、さもなければ、検査でパスしなかったことになる。
【0036】
D-Proxyが上記検査を行うメリットについては、訪問ネットワークにとっても本訪問ネットワーク内サービスの使用を当該UEに許可するかどうかを検査できて、訪問ネットワークが本訪問ネットワーク内のサービスに対して更に良く制御でき、管理できることである。
【0037】
ステップ307〜ステップ308で、BSFhはD-Proxyからの検索メッセージを受信した後、検索待ちのB-TIDと、訪問ネットワーク識別子と、NAF識別子とを当該検索メッセージから抽出する。その後、BSFhは本ホームネットワークと当該訪問ネットワークとの間にインターネットワークプロトコル及びサービスプロトコルがあるかどうかを検査する。一般的にはあるサービスに対応するUSSがあるかどうかを検査することによって当該サービスプロトコルがあるかどうかが確定される。及び/又は、BSFhは、当該UEの具体的プロフィール情報即ち当該USS内の具体的な内容、又は当該UEの信用性及び/又は権限を示すリスト、例えば信用性の悪いユーザ情報リスト(black list)、又は上記条件の任意の組み合わせによって検査を行って、当該UEが当該サービスの使用権限を持っているかどうかを確定する。ここで、本ホームネットワークと当該訪問ネットワークとの間にインターネットワークプロトコル及び当該サービスのプロトコルがあり、また当該UEが当該サービスの使用権限を持っている場合、当該UEが当該訪問ネットワーク内当該サービスの使用権限を持っていると確認し、このとき、検査はパスされる。BSFhは、ただ検査でパスしてこそ、ローカルで検索して得たB-TID及びキーKsなど情報に基づいて派生キーKs-NAFを計算して得、その後、検索成功応答メッセージをD-Proxyに返信し、且つ検索して得たB-TID及び当該B-TIDに対応するキーKs-NAFなど情報を当該検索成功応答メッセージに付ける。同時に、BSFhはまた、キャリアー(事業者)によって配置されたBSF内の戦術に基づいて、当該サービスで必要なUSS又は一部分USS情報をNAFに返信して、NAFに使用させられることができる。
【0038】
上記検査において、一項又は複数項の検査でパスしなかったら、BSFhは原因値が付けられた失敗応答メッセージをD-Proxyに返信するが、ここで、具体的な検査項目及び検査数はキャリアにより予め設定された戦術に基づいて確定される。上記失敗の原因については、本ホームネットワークと当該訪問ネットワークとの間に関連サービスプロトコルがないこと、又は、本ホームネットワークと当該訪問ネットワークとの間にサービスプロトコルはあるが、当該UEによって要求されたサービスが含まれないこと、又は、本ネットワークと当該訪問ネットワークとの間にサービスプロトコルはあるが、当該UEが当該サービスの使用権限を持っていないこと、又は、当該UEのB-TIDが無効であること、又は、上記失敗原因の組み合わせであって良い。検索失敗応答メッセージに失敗原因値が付けられたので、ユーザ端末は、失敗の知らせを受信した後、どのような操作を採用するべきかを失敗原因値に基づいて知られて、種々の無駄な試みによるネットワークリソースの浪費を回避することができる。
【0039】
上記ホームネットワークと訪問ネットワークとの間のプロトコル及び検査戦術は、BSF内に予め配置されて良いし、BSFhによってHSSからダウンロードされても良い。
【0040】
ステップ309で、D-Proxyは受信したメッセージを、検索要求を開始したNAFに送信する。NAFは検索失敗応答メッセージを受信したら、当該サービスを使用できないことをUEに知らせ、即ち、当該UEのアクセスを拒絶し、且つ当該拒絶メッセージに失敗原因値を付け、今度のプロセスを終了する。NAFは検索成功応答メッセージを受信したら、ステップ310に進む。
【0041】
ステップ310で、UEとNAFとはキーKs_NAFの保護でサービス通信を行う。
【0042】
上記実施例において、BSFhは情報検索を提供できるネットワークエンティティと見なされることができる。もちろん、当該情報検索を提供できるネットワークエンティティはUEの所属ホームネットワーク内のBSFとゲートウェイエンティティによって共同で構成された論理エンティティであっても良い。ここで、ゲートウェイエンティティはホームネットワークと訪問ネットワークとの間に接続されている。当該ゲートウェイエンティティは現有ネットワークにおける既存のエンティティであってもいいし、単独に設定されたプロキシエンティティであっても良い。
【0043】
情報検索を提供できるネットワークエンティティが、UEの所属ホームネットワーク内のBSFとゲートウェイエンティティによって共同で構成された論理エンティティである場合、ゲートウェイエンティティはD-Proxyからの検索メッセージを受信した後、まず、検索操作を実行する。例えば、UEの所属ホームネットワークと当該訪問ネットワークとの間にインターネットワークプロトコル及びサービスプロトコルがあるかどうかを検査する。検査でパスしたら、ゲートウェイエンティティはD-Proxyからの検索メッセージをBSFに転送する。BSFは依然として元の機能によって動作する。例えば、B-TIDを検索し、キー情報を生成することなどである。ゲートウェイエンティティの検査でパスしなかったら、ゲートウェイエンティティはD-Proxyに検索失敗応答メッセージを直接に返信していいが、当該検索失敗応答メッセージには同様に失敗原因値が付けられる。UEへの検査機能をゲートウェイエンティティで実現する必要があれば、当該ゲートウェイエンティティにUEの本当の身分を知らせてUEのプロフィール情報を検索できるようにするために、当該ゲートウェイエンティティに予め関連情報、例えば、B-TIDとUE識別子など情報を配置するべきである。ゲートウェイエンティティを応用して検査操作を完成するメリットは、BSFの負担を適当に低減できることである。
【0044】
上記実施例ではUEが訪問ネットワーク内サービスを使用する場合について説明したが、上記実施例のような制御メカニズムは同様にNAFがホームネットワークに位置する場合にも適用できる。ここで、NAFがホームネットワークに位置する場合にとっては、BSFとNAFが同一のホームネットワーク内にあるため、BSFがインターネットワークプロトコルを検査する必要がなくなり、インターネットワークプロトコル以外の内容は依然としてキャリアの戦術に基づいて検査されることができる。即ち、BSFは、UEの所属ホームネットワーク内に当該サービスのサービスプロトコルがあるかどうかを判断し、及び/又は、当該UEのプロフィール情報、又はUE信用性及び/又は権限を示すリスト、又は上記条件の任意の組み合わせに基づいて、当該UEが当該サービスの使用権限を持っているかどうかを判断して、UEの所属ホームネットワーク内に当該サービスのサービスプロトコルがあり、且つ当該UEが当該サービスの使用権限を持っている場合、当該UEがホームネットワーク内当該サービスの使用権限を持っていると確定し、他の場合には、当該UEがホームネットワーク内当該サービスの使用権限を持っていないと確定する。またここで、NAFがホームネットワークに位置する場合にとって、BSFと当該ホームネットワーク内NAFとの通信は、他の中間エンティティの転送を必要しなく、直接に行われることができる。
【0045】
上記説明されたのは、本発明の好ましい実施例にすぎず、本発明の保護範囲を限定するものではない。本発明の精神と原則内で行われる種々の修正、均等切替、改善などは全て本発明の保護範囲内に含まれるべきである。
【図面の簡単な説明】
【0046】
【図1】ジェネリック認証アーキテクチャーの構成図である。
【図2】ユーザ端末が訪問ネットワークサービスを使用する際のジェネリック認証アーキテクチャーの構成図である。
【図3】本発明による一実施例のフローチャートである。
【符号の説明】
【0047】
101 ユーザ端末(UE)
102 初期検査認証エンティティ(BSF)
103 ユーザホームサブスクライバーサーバ(HSS)
104 ネットワークサービス応用エンティティ(NAF)
105 認証プロキシ論理エンティティ(D−Proxy)
【特許請求の範囲】
【請求項1】
ネットワークにアクセスするユーザ端末に対してジェネリック認証アーキテクチャーを応用して管理する方法であって、
サービス応用エンティティNAFは、会話トランザクション識別子B-TIDが付けられたサービス要求を認証にパスしたUEから受信した後、検索要求を送信するステップと、 情報検索を提供できるネットワークエンティティは、NAFからの検索要求を受信した後、サービス要求を送信したUEがネットワーク内サービスの使用権限を持っているかどうかを判断して、持っていれば、NAF所要の情報が付けられた検索成功応答メッセージをNAFに返信し、NAFはサービス要求を開始したUEとの間の通信を、受信した情報に基づいて制御し、持っていなければ、検索失敗応答メッセージをNAFに返信して、NAFによって当該UEのアクセスが拒絶されるステップと、
を含むことを特徴とする方法。
【請求項2】
前記UEはあるホームネットワーク内のUEであり、前記NAFは訪問ネットワーク内NAFであり、 前記ネットワークエンティティは前記NAFの所属訪問ネットワーク内D-Proxyの転送によって、当該訪問ネットワーク内NAFからの検索要求を受信し、且つ、検索成功応答メッセージ又は検索失敗応答メッセージを当該訪問ネットワーク内NAFに返信する、
ことを特徴とする請求項1に記載の方法。
【請求項3】
前記ネットワークエンティティが、サービス要求を送信したUEがネットワーク内サービスの使用権限を持っているかどうかを判断するとは、
ネットワークエンティティは、当該UEの所属ホームネットワークと当該訪問ネットワークとの間にインターネットワークプロトコル(inter-network agreements)及びサービスプロトコルがあるかどうかを判断し、及び/又は、当該UEのプロフィール情報、又はUEの信用性及び/又は権限を示すリスト、又は上記条件の任意の組み合わせに基づいて当該UEが当該サービスの使用権限を持っているかどうかを判断して、当該UEの所属ホームネットワークと当該訪問ネットワークとの間にインターネットワークプロトコル及び当該サービスのプロトコルがあり、また当該UEが当該サービスの使用権限を持っている場合、当該UEが訪問ネットワーク内サービスの使用権限を持っていると確定し、さもなければ、当該UEが訪問ネットワーク内サービスの使用権限を持っていないと確定することである、
ことを特徴とする請求項2に記載の方法。
【請求項4】
前記訪問ネットワーク内D-Proxyが検索要求メッセージを転送する前に、
D-Proxyが、当該UEが当該訪問ネットワーク内のサービスを使用できるかどうかを判断して、使用できれば、当該メッセージを前記ネットワークエンティティに転送し、さもなければ、当該UEのアクセスを拒絶するメッセージを直接にNAFに返信するステップを、
更に含むことを特徴とする請求項2に記載の方法。
【請求項5】
前記直接にD-ProxyからNAFに返信される検索失敗応答メッセージに失敗原因値が付けられることを特徴とする請求項4に記載の方法。
【請求項6】
前記D-Proxyが、当該UEが当該訪問ネットワーク内のサービスを使用できるかどうかを判断するとは、
D-Proxyは、当該訪問ネットワークとUEの所属ホームネットワークとの間にインターネットワークプロトコル及びサービスプロトコルがあるかどうかを判断して、あれば、当該UEが当該訪問ネットワーク内のサービスを使用できると確定し、さもなければ、当該UEが当該訪問ネットワーク内のサービスを使用できないと確定することである、
ことを特徴とする請求項4に記載の方法。
【請求項7】
前記D-Proxyが、当該訪問ネットワークとUEの所属ホームネットワークとの間にインターネットワークプロトコル及びサービスプロトコルがあると判定した後、
D-Proxyは、UEによって要求されたNAFが、現在、当該UEにサービスを提供できるかどうかを判断して、提供できれば、当該UEが当該訪問ネットワーク内のサービスを使用できると確定し、さもなければ、当該UEが当該訪問ネットワーク内のサービスを使用できないと確定するステップを、
更に含むことを特徴とする請求項6に記載の方法。
【請求項8】
前記検索失敗応答メッセージに失敗原因値が付けられることを特徴とする請求項2に記載の方法。
【請求項9】
前記ネットワークエンティティは、UEの所属ホームネットワーク内の初期検査認証エンティティBSFであり、又は、ホームネットワークと訪問ネットワークとの間に接続されたゲートウェイエンティティ、及びUEの所属ホームネットワーク内BSFによって共同で構成された論理エンティティであることを特徴とする請求項2に記載の方法。
【請求項10】
前記UEはあるホームネットワーク内UEであり、前記NAFは当該ホームネットワーク内NAFであり、
前記ネットワークエンティティは、当該NAFからの検索要求を直接に受信し、かつ、当該NAFに検索成功応答メッセージ又は検索失敗応答メッセージを直接に返信する、
ことを特徴とする請求項1に記載の方法。
【請求項11】
前記ネットワークエンティティが、サービス要求を送信したUEがネットワーク内サービスの使用権限を持っているかどうかを判断するとは、
ネットワークエンティティは、UEの所属ホームネットワーク内に当該サービスのサービスプロトコルがあるかどうかを判断し、及び/又は、当該UEのプロフィール情報、又はUE信用性及び/又は権限を示すリスト、又は上記条件の任意の組み合わせに基づいて、当該UEが当該サービスの使用権限を持っているかどうかを判断して、UEの所属ホームネットワーク内に当該サービスのサービスプロトコルがあり、且つ当該UEが当該サービスの使用権限を持っている場合、当該UEがホームネットワーク内サービスの使用権限を持っていると確定し、さもなければ、当該UEがホームネットワーク内サービスの使用権限を持っていないと確定することである、
ことを特徴とする請求項10に記載の方法。
【請求項12】
前記ネットワークエンティティから直接に当該NAFに返信される検索失敗応答メッセージに失敗原因値が付けられることを特徴とする請求項10に記載の方法。
【請求項13】
前記ネットワークエンティティはUEの所属ホームネットワーク内の初期検査認証エンティティBSFであることを特徴とする請求項10に記載の方法。
【請求項1】
ネットワークにアクセスするユーザ端末に対してジェネリック認証アーキテクチャーを応用して管理する方法であって、
サービス応用エンティティNAFは、会話トランザクション識別子B-TIDが付けられたサービス要求を認証にパスしたUEから受信した後、検索要求を送信するステップと、 情報検索を提供できるネットワークエンティティは、NAFからの検索要求を受信した後、サービス要求を送信したUEがネットワーク内サービスの使用権限を持っているかどうかを判断して、持っていれば、NAF所要の情報が付けられた検索成功応答メッセージをNAFに返信し、NAFはサービス要求を開始したUEとの間の通信を、受信した情報に基づいて制御し、持っていなければ、検索失敗応答メッセージをNAFに返信して、NAFによって当該UEのアクセスが拒絶されるステップと、
を含むことを特徴とする方法。
【請求項2】
前記UEはあるホームネットワーク内のUEであり、前記NAFは訪問ネットワーク内NAFであり、 前記ネットワークエンティティは前記NAFの所属訪問ネットワーク内D-Proxyの転送によって、当該訪問ネットワーク内NAFからの検索要求を受信し、且つ、検索成功応答メッセージ又は検索失敗応答メッセージを当該訪問ネットワーク内NAFに返信する、
ことを特徴とする請求項1に記載の方法。
【請求項3】
前記ネットワークエンティティが、サービス要求を送信したUEがネットワーク内サービスの使用権限を持っているかどうかを判断するとは、
ネットワークエンティティは、当該UEの所属ホームネットワークと当該訪問ネットワークとの間にインターネットワークプロトコル(inter-network agreements)及びサービスプロトコルがあるかどうかを判断し、及び/又は、当該UEのプロフィール情報、又はUEの信用性及び/又は権限を示すリスト、又は上記条件の任意の組み合わせに基づいて当該UEが当該サービスの使用権限を持っているかどうかを判断して、当該UEの所属ホームネットワークと当該訪問ネットワークとの間にインターネットワークプロトコル及び当該サービスのプロトコルがあり、また当該UEが当該サービスの使用権限を持っている場合、当該UEが訪問ネットワーク内サービスの使用権限を持っていると確定し、さもなければ、当該UEが訪問ネットワーク内サービスの使用権限を持っていないと確定することである、
ことを特徴とする請求項2に記載の方法。
【請求項4】
前記訪問ネットワーク内D-Proxyが検索要求メッセージを転送する前に、
D-Proxyが、当該UEが当該訪問ネットワーク内のサービスを使用できるかどうかを判断して、使用できれば、当該メッセージを前記ネットワークエンティティに転送し、さもなければ、当該UEのアクセスを拒絶するメッセージを直接にNAFに返信するステップを、
更に含むことを特徴とする請求項2に記載の方法。
【請求項5】
前記直接にD-ProxyからNAFに返信される検索失敗応答メッセージに失敗原因値が付けられることを特徴とする請求項4に記載の方法。
【請求項6】
前記D-Proxyが、当該UEが当該訪問ネットワーク内のサービスを使用できるかどうかを判断するとは、
D-Proxyは、当該訪問ネットワークとUEの所属ホームネットワークとの間にインターネットワークプロトコル及びサービスプロトコルがあるかどうかを判断して、あれば、当該UEが当該訪問ネットワーク内のサービスを使用できると確定し、さもなければ、当該UEが当該訪問ネットワーク内のサービスを使用できないと確定することである、
ことを特徴とする請求項4に記載の方法。
【請求項7】
前記D-Proxyが、当該訪問ネットワークとUEの所属ホームネットワークとの間にインターネットワークプロトコル及びサービスプロトコルがあると判定した後、
D-Proxyは、UEによって要求されたNAFが、現在、当該UEにサービスを提供できるかどうかを判断して、提供できれば、当該UEが当該訪問ネットワーク内のサービスを使用できると確定し、さもなければ、当該UEが当該訪問ネットワーク内のサービスを使用できないと確定するステップを、
更に含むことを特徴とする請求項6に記載の方法。
【請求項8】
前記検索失敗応答メッセージに失敗原因値が付けられることを特徴とする請求項2に記載の方法。
【請求項9】
前記ネットワークエンティティは、UEの所属ホームネットワーク内の初期検査認証エンティティBSFであり、又は、ホームネットワークと訪問ネットワークとの間に接続されたゲートウェイエンティティ、及びUEの所属ホームネットワーク内BSFによって共同で構成された論理エンティティであることを特徴とする請求項2に記載の方法。
【請求項10】
前記UEはあるホームネットワーク内UEであり、前記NAFは当該ホームネットワーク内NAFであり、
前記ネットワークエンティティは、当該NAFからの検索要求を直接に受信し、かつ、当該NAFに検索成功応答メッセージ又は検索失敗応答メッセージを直接に返信する、
ことを特徴とする請求項1に記載の方法。
【請求項11】
前記ネットワークエンティティが、サービス要求を送信したUEがネットワーク内サービスの使用権限を持っているかどうかを判断するとは、
ネットワークエンティティは、UEの所属ホームネットワーク内に当該サービスのサービスプロトコルがあるかどうかを判断し、及び/又は、当該UEのプロフィール情報、又はUE信用性及び/又は権限を示すリスト、又は上記条件の任意の組み合わせに基づいて、当該UEが当該サービスの使用権限を持っているかどうかを判断して、UEの所属ホームネットワーク内に当該サービスのサービスプロトコルがあり、且つ当該UEが当該サービスの使用権限を持っている場合、当該UEがホームネットワーク内サービスの使用権限を持っていると確定し、さもなければ、当該UEがホームネットワーク内サービスの使用権限を持っていないと確定することである、
ことを特徴とする請求項10に記載の方法。
【請求項12】
前記ネットワークエンティティから直接に当該NAFに返信される検索失敗応答メッセージに失敗原因値が付けられることを特徴とする請求項10に記載の方法。
【請求項13】
前記ネットワークエンティティはUEの所属ホームネットワーク内の初期検査認証エンティティBSFであることを特徴とする請求項10に記載の方法。
【図1】
【図2】
【図3】
【図2】
【図3】
【公表番号】特表2007−535047(P2007−535047A)
【公表日】平成19年11月29日(2007.11.29)
【国際特許分類】
【出願番号】特願2007−509860(P2007−509860)
【出願日】平成17年6月22日(2005.6.22)
【国際出願番号】PCT/CN2005/000899
【国際公開番号】WO2006/000152
【国際公開日】平成18年1月5日(2006.1.5)
【出願人】(504277388)▲ホア▼▲ウェイ▼技術有限公司 (220)
【Fターム(参考)】
【公表日】平成19年11月29日(2007.11.29)
【国際特許分類】
【出願日】平成17年6月22日(2005.6.22)
【国際出願番号】PCT/CN2005/000899
【国際公開番号】WO2006/000152
【国際公開日】平成18年1月5日(2006.1.5)
【出願人】(504277388)▲ホア▼▲ウェイ▼技術有限公司 (220)
【Fターム(参考)】
[ Back to top ]