説明

ネットワークへのアクセスを制御するための方法およびシステム

第1および第2のネットワーク(1、2)の両方へアクセスする方法は、端末(4)が前記第1のネットワーク(1)を介して前記第1のネットワークへのアクセスを要求(RQ1)しつつ第1の識別子(ID1)を提供するステップと、前記第1のネットワークが前記第1の識別子を検証し、前記検証が成功である場合に第2の識別子(ID2)を発行するステップと、前記端末(4)が前記第1のネットワーク(1)を介して前記第2のネットワーク(2)へのアクセスを要求(RQ2)しつつ前記第2の識別子(ID2)を提供するステップと、認証サーバ(112)が前記第2の識別子を検証し、前記検証が成功である場合に第3の識別子(ID3)を発行するステップと、前記第1のネットワーク(1)が前記端末(4)に前記第3の識別子(ID3)を送信するステップと、前記端末(4)が前記第3の識別子(ID3)を使用して前記第2のネットワーク(2)へアクセスするステップとを有する。前記第1の識別子(ID1)はSIMカード識別子でよく、前記第2の識別子(ID2)はネットワーク・アドレスでよく、一方、前記第3の識別子(ID3)はワンタイム・パスワードによって構成されてよい。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、第1のネットワークおよび第2のネットワークへアクセスするための方法およびシステムに関する。
【背景技術】
【0002】
通信ネットワークへのアクセスを可能とする方法およびシステムが一般に知られている。たとえば、ほとんどのコンピュータ・ネットワークは、端末でユーザ名とパスワードを入力することをユーザに求め、その後当該のコンピュータ・ネットワークにアクセスされる。コンピュータ・ネットワーク内にはアクセス・コントロールが存在しており、多くの場合このアクセス・コントロールは、ネットワーク・サーバによって実行される適切なコンピュータ・プログラムとして提供され、このネットワーク・サーバは、ユーザ名およびパスワードを適切な認証判定基準と比較し、入力されたユーザ名およびパスワードがこの認証判定基準を満たす場合に端末からのアクセスを可能とする。
【0003】
しかしユーザは、どんなユーザ名およびパスワードを使用すべきかを知らされなければならない。共通有線コンピュータ・ネットワークでは、ユーザは通常、どんなユーザ名およびパスワードが割り当てられたかを書面または口頭で伝えられる。これは、多数の普通郵便が送られることを必要とするので、割り当てられるパスワードが頻繁に変わる場合はより不便となる。さらに、ユーザ名およびパスワードがユーザによって受け取られるのに比較的長い時間が掛かる。
【0004】
当技術分野では、無線ローカル・エリア・ネットワーク(WLAN)へのアクセスを制御するためのシステムが知られており、このシステムは、スウェーデンのストックホルムに拠点がおかれている会社「サービスファクトリ社(ServiceFactory A.B.)」により、「オーバイト認証管理プログラム(Orbyte Authentication Manager)」の名称で販売されている。このシステムは、ワンタイム・パスワード(OTP)を取得するために端末によってアクセスされることができる認証サーバを含んでいる。端末は、インターネットを経由し、WLANゲートウェイ・ノードを介してこの認証サーバにアクセスすることが可能である。この点に関連して、WLANゲートウェイ・ノードは、「ホットスポット・ゲートウェイ」または単に「ホットスポット」として一般に知られている。認証サーバは、このWLANゲートウェイ・ノードを介して、加入者識別モジュール(Subscriber Identification Module)(SIM)カードからデータを取得して端末ユーザがWLANサービスに加入しているかどうかを検証できる。ユーザが加入している場合は、認証サーバは、OTPを生成し、この割り当てられたOTPを、インターネットを経由しWLANゲートウェイ・ノードを介して、したがってWLANを経由して端末に送信する。その後、端末は、WLANへアクセスするために、このOTPをRADIUSサーバに提供する。RADIUSサーバは、この提供されたOTPを、割り当てられたOTPと比較して、アクセスが許可されるべきかどうかを判定する。
【0005】
しかし、「オーバイト認証管理プログラム」の短所は、実際に端末がWLANへのアクセスを許可される前に、OTPを取得するために、WLANが使用されることである。それゆえ、WLANゲートウェイおよびWLANの他の部分は不正アクセスにさらされやすい。さらに、不正アクセスを防ぐには、広範なセキュリティ対策が必要とされる。これは、WLANが、SIMカードが有効となっているネットワークを動作させるエンティティとは別のエンティティによって運用される場合、特に厄介である。その上、認証サーバはインターネットを介してアクセス可能であり、このことは、認証サーバが不正アクセスにさらされやすくし、したがってやはり広範なセキュリティ対策が必要となる。
【0006】
米国特許出願公開US2004/0233893(トランサット・テクノロジーズ(Transat Technologies))は、無線ネットワーク・アクセス・パスワードを転送するためのシステムおよび方法を開示している。前記特許出願公開で開示されたシステムにおいて、ネットワーク・パスワードを転送するおよび/または割り当てるアクセス・ノードは、WLAN内で動作している第1のノードにおよび該第1のノードから、第1のタイプの通信を送信および受信するための第1のインターフェイスを含んでいる。またこのアクセス・ノードは、GSM/GPRSネットワークなどモバイル・ネットワーク内の第2のノードにおよび該第2のノードから、第2のタイプの通信を送信および受信するための第2のインターフェイスも含む。このアクセス・ノードは、モバイルのMSISDNを保持しているモバイル装置からモバイル・ネットワークを介してショート・メッセージ・サービス(SMS)メッセージを受信でき、WLANアクセス用に割り当てられたOTP(ワンタイム・パスワード)を保持している前記モバイル装置にSMSメッセージを送信することができる。次いで、この割り当てられたOTPは、WLANへアクセスするために、WLANに入力されることが可能である。
【0007】
しかし、この先行技術文書によって知られているシステムの短所は、認証サーバがSMSメッセージを生成および受信することを可能とするために、認証サーバに対し広範な修正が成されなければならないことである。
【0008】
その上、たとえば、モバイルのMSISDNを組み込んだショート・メッセージを生成および送信し、受信されたSMSからOTPを抽出可能とするために、無線クライアントおよびモバイルが自動的にアクセスを取得するのに、修正が必要とされ、あるいはユーザが、提供されたOTPをWLAN内で手動により入力する必要がある。
【0009】
この点に関連して、SMSは実際の回線交換GSMネットワークを使用せず、SMSメッセージは、GSMネットワークの信号チャネル、すなわち監視信号および制御信号がモバイル装置からおよびモバイル装置に伝送されるチャネルを介して送信されることに留意すべきである。したがって、SMSメッセージの送信を可能とするためだけでなく、接続を制御するのとまたはメッセージを携帯電話のディスプレイに視覚的に出力するのとは別の態様で信号チャネルからのメッセージを処理するためにも、広範な修正が必要とされる。
【0010】
国際特許出願公開WO03/088577(ノキア(Nokia))は、無線ローカル・エリア・ネットワーク(WLAN)内の端末のユーザを認証するための方法を開示している。この知られた方法では、ユーザ端末はまずWLANのサーバ・アクセス・ポイント(つまり「ホットスポット」)と連絡を取り、その後に初めて、ユーザがアクセス権を有するかどうかがユーザのモバイル通信システムを用いてチェックされる。言い換えると、ユーザ端末とそのホーム・モバイル通信システムの間で交換されるメッセージが、来訪されたシステムを通って移動する。これは、ユーザ端末が、(完全な)アクセスが許可される前に何らかの(限定された)アクセスをすでに有していることを必要とする。したがって、サービス・ポイントへの限定的アクセスを来訪ユーザ端末に許可するための適切な措置が講じられなければならない。
【0011】
国際特許出願公開WO01/17310(エリクソン(Ericsson))は、GSMセキュリティ原則を使用して、パケット・データ・ネットワークへのアクセスを要求しているユーザを認証する認証方法を開示している。この方法は、ユーザがアクセス・ネットワークへアクセスしようとすることによって開始される。次いでこのアクセス・ネットワークに接続された認証エンティティは、認証サーバに認証要求を送信する。アクセス・ネットワークを介してユーザに送信された認証トークンは、モバイル・ネットワークを介して認証サーバに送り返される。したがって、アクセス・ネットワークが、実際の(完全な)アクセスが許可される前の認証手続きに関与している。したがって、この既知のアクセス・ネットワークは、限定されたアクセス権と完全なアクセス権とを区別できる必要がある。
【0012】
2006年9月28日公開の国際特許出願公開WO2006/101183(松下)は、無線ネットワークにおける自動的セキュリティ認証用のシステムを記述している。端末は、アクセス・ポイントとの通信用の第1のユニット、およびGSMネットワークまたは同様のネットワークとの通信用の第2のユニットという2つの通信ユニットを有する。このアクセス・ポイントは、端末によって使用されるべき識別コードを発行することができる。言い換えると、アクセス・ポイントが、前述の他の先行技術文書におけるのと同じく、実際のアクセスが許可される前の情報の交換に関与している。
【発明の概要】
【発明が解決しようとする課題】
【0013】
本発明の目的は、既存のネットワークおよびネットワーク構成要素に対するそれほど広範な修正を必要としない第1のネットワークおよび第2のネットワークへアクセスするための方法およびシステムを提供することである。
【課題を解決するための手段】
【0014】
したがって、本発明によれば、端末を使用することにより第1のネットワークおよび第2のネットワークへアクセスする方法は、
前記端末が、前記第1のネットワークを介して前記第1のネットワークへのアクセスを要求しつつ、第1の識別子を提供するステップと、
前記第1のネットワークが前記第1の識別子を検証し、前記検証が成功である場合に第2の識別子を発行するステップと、
前記端末が、前記第1のネットワークを介して前記第2のネットワークへのアクセスを要求しつつ、前記第2の識別子を提供するステップと、
認証サーバが前記第2の識別子を検証し、前記検証が成功である場合に第3の識別子を発行するステップと、
前記第1のネットワークが前記端末に前記第3の識別子を送信するステップと、
前記端末が前記第3の識別子を使用して前記第2のネットワークへアクセスするステップと
を有する。
【0015】
第2のネットワークへのアクセスが許可されるまでは第1のネットワークのみにアクセスすることにより、第2のネットワークに対する部分的および/または一時的アクセスを許可することがもはや不要となる。
【0016】
かかる方法はそれほど広範な修正を必要としない。その理由は、ほとんどの端末が、パケット交換ネットワーク、たとえばIPプロトコルに従って動作するネットワークに接続されるべき適切なソフトウェアおよび/またはハードウェア、ならびに該パケット交換ネットワークから受信されるデータおよび命令を受信、送信および処理するソフトウェアおよび/またはハードウェア、典型的にはウェブ・ブラウザをすでに含んでいるからである。さらに、ほとんどの認証サーバ、たとえばWLANへのアクセスを可能とするRADIUSサーバがすでに、パケット交換ネットワーク、たとえばインターネット・プロトコル(IP)規格に従って動作するネットワークに接続されるべき適切なソフトウェアおよび/またはハードウェアを含み、該パケット交換ネットワークから受信されるデータおよび命令を受信、送信および処理するソフトウェアおよび/またはハードウェア、たとえばウェブサーバ・アプリケーションを含んでいる。したがって、たとえば、端末のウェブ・ブラウザ・アプリケーションに要求を送信させ、この要求に応答して認証サーバ上のウェブサーバ・アプリケーションに認証コードを生成および送信させるなどの、わずかな適応が加えられるだけで済む。
【0017】
前記第1の識別子は、好ましくはSIMカード識別子であり、したがってGSM端末および同様の端末内に存在する識別子ファシリティを使用する。前記第2の識別子は、好ましくはネットワーク・アドレスであり、より好ましくはIP(インターネット・プロトコル)アドレスである。これは、既存のリソースを使用した簡便な識別を可能とする。前記第3の識別子は、好ましくは、高レベルのセキュリティを達成するために、ワンタイム・パスワードである。
【0018】
種々の(タイプの)ネットワークが使用されることが可能である。しかし、好ましい実施形態では、前記第1のネットワークは、無線ネットワーク、好ましくはGPRSネットワークまたはGSMネットワークなどのパケット交換無線ネットワークであり、一方、前記第2のネットワークは、ローカル・エリア・ネットワーク(LAN)、好ましくは無線ローカル・エリア・ネットワーク(WLAN)である。
【0019】
前記第2の識別子は記憶装置内に格納されてよく、この記憶装置は、前記第2の識別子に関連付けられたユーザ情報も格納している。前記第2の識別子がネットワーク・アドレスである場合、ユーザ(および/または端末)情報は、適切な記憶装置内、たとえばIPセッション・データベース中にネットワーク・アドレスと一緒に格納されてよい。このユーザ情報は加入者情報を有してよい。
【0020】
本発明は、第1のネットワークおよび第2のネットワークが異なるオペレータを擁している場合、第1のネットワークのオペレータが、どの第2のネットワークへのアクセスを第1のネットワークの顧客が取得可能となるのかを決定できるので、特に有利である。
【0021】
本発明はまた、上記で規定した方法を実施するための、少なくとも1つのコンピュータ・プログラムを提供する。コンピュータ・プログラムは、CDまたはDVDなどのデータ・キャリア上に格納されているコンピュータ実行可能命令群を備えてよい。これらのコンピュータ実行可能命令群は、プログラム可能コンピュータが、上記に規定されたような方法を実施することを可能とするが、リモート・サーバから、たとえばインターネットを介してダウンロードすることで入手可能となっていてもよい。
【0022】
さらに本発明は、第1のネットワークおよび第2のネットワークへアクセスするためのアクセス制御構成、ならびにかかるアクセス制御構成を備えるネットワークを提供する。加えて、本発明は、第1のネットワークおよび第2のネットワークを備えるシステムを提供し、前記第1のネットワークは、
端末から第1のアクセス要求および第1の識別子を受信すると、前記第1の識別子を検証し、前記検証が成功である場合に第2の識別子を発行し、
前記端末から第2のアクセス要求および前記第2の識別子を受信すると、認証サーバを使用して、前記端末から受信された前記第2の識別子を検証し、前記検証が成功である場合に前記端末に第3の識別子を送信する
ように構成される。
【0023】
本発明のこれらおよび他の態様は、後述の諸実施形態から明らかとなり、これらの諸実施形態に関して説明される。本発明の特定の諸実施形態は、従属請求項において規定される。
【0024】
本発明のさらなる詳細、態様および実施形態は、単なる例として、図面を参照して説明される。
【図面の簡単な説明】
【0025】
【図1】本発明による遠隔通信システムの例示の一実施形態を概略的に示すブロック図である。
【図2】本発明による端末の例示の一実施形態を概略的に示すブロック図である。
【図3】本発明によるアクセス制御構成の例示の一実施形態を概略的に示すブロック図である。
【発明を実施するための形態】
【0026】
本文書において、以下の略語および/または用語は、少なくとも以下の意味を有するものと理解される。「無線LAN」または「WLAN」は、モバイル・ユーザが、ワイヤレス(無線)接続、たとえばIEEE規格802.11に準拠したネットワークを通じてローカル・エリア・ネットワーク(LAN)に接続可能なネットワークである。「RADIUSクライアント」(この「RADIUSクライアント」は、たとえば、ダイアルアップ・サーバなどのネットワーク用アクセス・サーバ、または無線アクセス・ポイントでよい)は、RADIUSサーバに、RADIUSメッセージの形式でユーザ資格証明および接続パラメータの情報を送信する。「RADIUSプロトコル」は、インターネット技術運営グループ(IESG)コメント要求(RFC)2865(Internet Engineering Steering Group (IESG) Request for Comments (RFC) 2865)で定義されている。「RADIUSサーバ」は、RADIUSクライアント要求を認証および許可し、RADIUSメッセージ応答を送り返す。「RADIUSプロキシ」は、RADIUSクライアントと、RADIUSサーバと、他のRADIUSプロキシとの間でRADIUSメッセージを転送するコンピュータである。
【0027】
「SIM」は加入者識別モジュール(Subscriber Identity Module)を表す。「SIMカード」は、GSM電話内に挿入されるスマート・カードの一種である。SIMカードは、ネットワークに対するユーザ・アカウントを識別し、認証を処理し、基本的なユーザ・データおよびネットワーク情報に関するデータ記憶を行う。
【0028】
「モバイル加入者ISDN番号(Mobile Subscriber ISDN Number)」(MSISDN)は、発呼者がダイアルしてモバイル加入者と連絡を取る番号である。「国際移動局識別子(International Mobile Station Identity)(IMSI)」は、GSMシステム内で各モバイル加入者に割り当てられた、ダイアル不能な固有の番号であり、この番号が、GSMネットワーク内で加入者、およびこの加入者の加入の有無を識別する。IMSIは通常、SIMカード内に格納される。
【0029】
「サービングGPRSサポート・ノード(serving GPRS support node)」つまりSGSNは、SGSNサービス・エリア内の移動局からおよびこの移動局にデータ・パケットを配信することを担当する。「ゲートウェイGPRSサポート・ノード(gateway GPRS support node)」つまり「GGSN」は、バックボーン・ノードと「SGSN」の間のインターフェイスとして働く。「GGSN」は、SGSNから来たパケット・データをバックボーン・ネットワーク用の適切なパケット・データ・プロトコルに変換し、この変換されたパケット・データをバックボーン・ネットワーク上に送信する。逆方向については、バックボーン・ネットワークからの受信データ・パケットは、SGSNサービス・エリア内の移動局にSGSNによって転送されるのに適したパケットに変換される。GGSNはまた、認証および課金の機能も行う。一般に、SGSNとGGSNの間には多対多の関係がある。つまり、GGSNは1つまたは複数のSGSNに対して動作することができ、SGSNは、異なるバックボーン・ネットワークと連絡を取るために、1つまたは複数のGGSNを介してこのSGSNのパケットをルーティングすることができる。
【0030】
「ホーム・ロケーション・レジスタ(Home Location Register)」つまりHLRは、加入者のモバイル装置のMSISDN(つまり、携帯電話番号)、IMSI、アクセス権限および/または現在位置など、正当な加入者についての関連情報を格納している無線ネットワーク上の(中央)データベースを含む。HLRは、たとえばGGSN上に存在してよい。
【0031】
図1を参照すると、図1に示された例にすぎない通信システム3は、パケット交換第1ネットワーク1および第2のネットワーク2を含んでいる。図1の例では、パケット交換第1ネットワーク1は、遠隔通信ネットワークであり、さらにとりわけ、GPRS(General Packet Radio Services)またはUMTS(Universal Mobile Telecommunications System)ネットワークなどのパケット交換モバイル・ネットワークである。しかし、パケット交換第1ネットワークは、適切などんなタイプのパケット交換ネットワークでもよい。パケット交換第1ネットワークは、たとえば、第2のネットワークと同じオペレータによって運用されるネットワークでもよく、あるいは異なるオペレータによって運用されてもよい。
【0032】
第2のネットワーク2は適切などんなタイプのネットワークであってもよい。例として、第2のネットワークは、たとえば無線接続を介して端末によってアクセスされ得る無線ローカル・エリア・ネットワーク(WLAN)などの無線ネットワークでもよい。
【0033】
図1に示されたシステム3はさらに、端末4およびアクセス・コントロールを含んでいる。この例では、アクセス・コントロールは、SGSN100、GGSN110、GPRS IPコア113および認証サーバ112を含む第1のアクセス制御構成(第1のアクセス制御装置)と、ゲートウェイ200、プロキシ210、サーバ220および認証サーバ112を含む第2のアクセス制御構成(第2のアクセス制御装置)とを含んでいる。
【0034】
端末4は、図2に示されたように実装されてよい。図2に示された例は、パケット交換ネットワーク、たとえば図1に示された第1のネットワーク1に接続可能な第1の端末出力40を含んでいる。端末4はさらに、パケット交換ネットワークに接続可能な端末入力41を有する。端末4は、他のネットワーク、たとえば図1の例における第2のネットワーク2に接続可能な第2の端末出力42を有する。端末4はさらに、端末入力41、端末出力40、42に接続された処理ユニット43を有する。端末4はさらに、処理ユニット43に接続された記憶装置44を有する。
【0035】
この記憶装置44は、たとえば、適切なSIMカードが挿入されたSIMカード・リーダとして実装されてよい。しかし、記憶装置44は、適切などんな態様によって実装されてもよく、この記憶装置44には、たとえばSIMカードまたは他のタイプのスマート・カードなどの不揮発性メモリを挙げることができる。記憶装置44内には、第1のネットワーク1用の識別コード、たとえばMSISDN、IMSIまたは他の適切なタイプのコードが格納されてよい。
【0036】
処理ユニット43は記憶装置44から、識別コード、および第1のネットワーク1へアクセスするのに必要な他の任意の適切なタイプの情報を取り出すことができる。処理ユニット43にはさらに、接続がパケット交換ネットワーク上に確立されることを可能とするのに適したハードウェアおよび/またはソフトウェアが設けられる。例として、処理ユニット43は、たとえばIPネットワークなどに接続するのに適したネットワーク接続モジュールを含んでよく、この処理ユニット43は、たとえば当該接続上でデータを送信および受信しこのデータを処理することのできるウェブ・ブラウザ・アプリケーションを実行できるものでもよい。たとえば、このブラウザ・アプリケーションは、あるウェブ・ページに対する要求をウェブ・サーバに送り、当該のウェブ・ページを受信し、このウェブ・ページが端末4のユーザに視覚的に出力されるようにこのウェブ・ページを処理することができる。処理ユニット43は、第1の端末出力40を介して、したがって第1のネットワーク1を介してアクセス・コントロールに第1のネットワーク用の識別コードを送信することができる。端末入力41を介して処理ユニット43は、第2のネットワーク2用に、たとえば図1の例ではWLAN用に割り当てられた認証コードをアクセス・コントロールから受信することができる。受信されたコードは次いで、ユーザ・インターフェイスに出力されてよい。その後、第2のネットワーク4へアクセスするために、端末認証コードが、ユーザにより端末で適切な入力で入力されることが可能である。この端末認証コードは、処理ユニット43により端末4から第2の端末出力42を介して第2のネットワークに送信されてよい。あるいは、処理ユニット43は、受信されたコードを認証コードとして第2のネットワークに自動的に転送するように構成されてもよい。
【0037】
図3は、アクセス制御構成(アクセス制御装置)5の例を概略的に示す。図3においてアクセス制御構成5は単一のエンティティとして示されているが、たとえば図1に示されるように、アクセス制御構成5は、適切な態様で互いに接続されたSGSN100、GGSN100などといった複数の別々のエンティティを含んでもよいことに留意すべきである。
【0038】
図3において、アクセス制御構成5は、パケット交換第1ネットワークを介して認証コードを求める要求を受信する制御入力50を含んでいる。この制御入力50には認証コード生成器51が接続されている。この認証コード生成器51は、要求に応答して、第2のネットワーク2用に割り当てられた認証コードを生成することができる。認証コード生成器51は、第1のネットワークに接続された制御出力52に接続されている。この制御出力52を介して、認証コードは、第1のネットワーク1を介し端末4に送信されることが可能である。
【0039】
アクセス制御構成5はさらに、認証コード生成器51と第2のネットワーク2とに接続された認証制御器53を含む。認証制御器53は、割り当てられた認証コードをイネーブルすることができる。すなわち、認証コードがイネーブルされたときは、この割り当てられた認証コードに対応している認証コードが第2のネットワーク2によって受信された際に、第2のネットワーク2へのアクセスが端末4に許可される。本例では認証制御器53は認証コード・プロセッサ54に接続されており、認証制御器53は、生成されたまたは割り当てられた認証コードをこの認証コード・プロセッサ54に送信する。
【0040】
認証制御器システム5はさらに、認証制御器入力55を有する。この認証制御器入力55は第2のネットワーク2に接続される。認証制御器入力55において、第2のネットワーク2を経由して端末4によって送信された端末認証コードが受信されることが可能である。認証コード・プロセッサ54は認証制御器入力55に接続される。認証コード・プロセッサ54は、受信された端末認証コードを、割り当てられた認証コードと比較することができる。認証コードは、この比較の結果を、認証コード・プロセッサ53に接続されている第2のアクセス・コントロール56に出力する。端末認証コードが、割り当てられた認証コードと対応するとき、第2のアクセス・コントロール56は第2のネットワーク4へのアクセスを可能とする。本明細書で使用される用語「対応する」は、認証コードが完全に同一であることを必ずしも含意するものでないことが留意される。認証コードどうしの不一致は、何らかの状況下では許容可能であり得る。しかし好ましくは、認証コードは、不正なまたは悪意のあるアクセス試行をほとんどまたはすべて排除できるのに十分なほど同一でなければならない。
【0041】
アクセス制御構成5はさらに、第1のネットワークへのアクセスを制御する構成を含んでよい。図1の例においてこれは、SGSN100およびGGSN110によって実装され、第2のネットワークへのアクセスを制御するエンティティ、つまりゲートウェイ200、プロキシ210、サーバ220および認証サーバ112からは分離されている。しかし図3では、第1のネットワークへのアクセスを制御するためにシステム3内にいかなるユニットが存在し得るのかをよりはっきりさせるために、ブロック図は単一のエンティティとして示されている。
【0042】
図3において、アクセス制御構成5は、端末4から制御入力50を介して認証コードを受信することができる。図3に示されるように、検証プロセッサ57は制御入力50に接続されている。この検証プロセッサ57は、受信された識別コードを検証判定基準に照らしてチェックすることができる。図1の例では、SGSN100は、記憶装置101、たとえばHLR(ホーム・ロケーション・レジスタ)から加入者情報を取り出し、第1のネットワーク1へのアクセスが許可されてよいかどうかをこの受信された識別コードから決定できる。アクセス制御ユニット58は検証プロセッサ57に接続されている。このアクセス制御ユニット58は、識別コードが検証判定基準を満たしているときに端末4から第1のネットワーク1へのアクセスを可能とし、識別コードが検証判定基準を満たしていないときに第1のネットワーク1への端末4のアクセスを終了させる。アクセス制御ユニット58は、アクセスを可能とするまたは終了させるのに適した信号を送信するために、制御出力52に接続されている。
【0043】
図1の例において、本発明による方法が実施されることが可能である。かかる方法は、第1のネットワーク1へアクセスするステップと、第1のネットワーク1へアクセスされたときに第2のネットワーク2へアクセスするステップを含む。第1のネットワーク1へアクセスするステップは、第2のネットワーク2へアクセスする方法の一部を成してよい。しかし、第2のネットワーク2へアクセスされるよりもある(長い)時間だけ前に、たとえば端末4が第2のネットワーク2のカバー・エリア範囲内に存在するようになる前に、端末が第1のネットワーク1へアクセスし終えていることも可能である。したがって、第2のネットワークへのアクセスが、端末が第2のネットワークへのアクセスを実際に取得するよりも(十分)前に可能とされてよい。
【0044】
第1のネットワーク1へのアクセスは、たとえば、第1のネットワークへのアクセス用の識別コードID1を端末4から送信することによってなされてよい。識別コードID1にアクセス要求RQ1が添付されてよく、またこの識別コードID1がこの要求RQ1中に組み込まれてもよい。
【0045】
識別コードID1は、第1のネットワークに送信され、この第1のネットワークにおいて、たとえば図1の例ではSGSN100およびGGSN110において、検証判定基準に照らしてチェックされる。たとえば、図1の例では、端末4はMSISDNおよび/またはIMSIを送信することができ、SGSN100は、とりわけ、このMSISDNおよび/またはIMSIをHLR101内に格納された情報と比較することができる。識別コードが正しい場合は、たとえば、MSISDNおよび/またはIMSIが、SGSN100に接続されたネットワークの加入者に属し、端末が盗難にあったとしてデータベース中にリストされてはいない場合、SGSN100はアクセスを提供する。(もちろんたとえば、端末が盗難にあったとしてリストされている、または識別コードが別の点で正しくない、つまり識別コードが検証判定基準を満たしていない場合は、第1のネットワークへの端末のアクセスはSGSNによって終了される。)SGSN100がアクセスを可能とした後に、GGSNは、認証サーバをこのGGSNに接続するパケット交換ネットワークへのアクセスを可能とするために、識別コードを検証することができる。GGSNは、たとえば、GPRS IPネットワークへアクセスするのに必要とされる、会計(accounting)、認証(authentication)、管理(administration)(AAA)ネットワーク・セキュリティ・サービスを実施することができる。図1の例では、たとえば、GPRS IPコア・ネットワーク113は、認証サーバ112をSGSN100およびGGSN110を介して端末4に接続する。GSM/GPRSネットワークは、音声およびデータの混成通信ネットワークであり、このネットワーク内でSGSNはネットワーク全体へのアクセスを制御するが、GGSNは、データ通信ネットワーク、たとえば図1内のGPRS IPコア113へのアクセス用の制御ノードと見なされ得ることに留意すべきである。
【0046】
第1のネットワーク1へアクセスする前、取得している最中、または取得した後に、この第1のネットワーク1のネットワーク・アドレスが、端末4に割り当てられることが可能であり、この端末4は、第1のネットワーク1内の認証サーバのネットワーク・アドレスを示すデータを供給されることが可能である。たとえば図1の例では、GGSNおよび/またはSGSNは、動的ホスト構成プロトコル(Dynamic Host Configuration Protocol)(DHCP)を介してIPアドレスを端末4に割り当てることができ、あるいは特定タイプのネットワークに適した他の任意のタイプのネットワーク・アドレスを端末4に割り当てることができる。
【0047】
第1のネットワークにアクセスされた後、第2のネットワークへアクセスする手続きが開始されることが可能となる。前述のように、第2のネットワークへアクセスするステップと第1のネットワークへアクセスするステップの間に時間間隔があってよい。また、第2のネットワークに対する複数のアクセスが、事前に要求および許可されてよい。
【0048】
第1のネットワーク1へのアクセスは、たとえば図1の例ではSGSN100およびGGSN110によって検証および制御されるので、認証サーバ112は、識別コードを検証する必要がなく、第2のネットワーク2用の認証コードを端末4に割り当てるための端末4の識別性に関する情報を必要とするのみである。したがって、認証サーバにはこの情報を取得するために小さな修正のみが必要とされ、一方、第1のネットワーク1には、たとえばSGSN100およびGGSN110にはまったく修正が必要とされない。図1の例では、認証サーバ112は、記憶装置に、図1ではIPセッション・データベース111に接続されており、GGSNはこの記憶装置内に、端末および/または端末ユーザの識別性、ならびに端末のネットワーク・アドレス、たとえばIPアドレスに関する情報を格納している。
【0049】
第2のネットワーク2への、たとえば図1の例ではWLANへのアクセスは、端末4から、パケット交換第1ネットワーク1を介して認証サーバ112に認証コードのアクセス要求RQ2を送信することによってなされることが可能である。認証サーバ112は、この要求RQ2に応答して、第2のネットワーク2用に、たとえば図1の例ではWLANに割り当てられた認証コードID3を生成し、この割り当てられた認証コードをイネーブルすることができる。すなわち、認証コードID3がイネーブルされると、この割り当てられた認証コードID3に対応している認証コードが第2のネットワーク2によって、たとえば図1の例ではWLANによって受信された際に、第2のネットワーク2へのアクセスが端末4に対して可能とされる。図1の例では、例として、認証サーバは、たとえば要求RQ2の発信元であるIPアドレスを決定することにより、要求RQ2から要求元を決定することができる。認証サーバ112は、例として、この決定されたIPアドレスに関連付けられているユーザの識別性に関する情報ID2、たとえばこの決定されたIPアドレスに関連付けられているMSISDNまたはIMSIをIPセッション・データベース111から取り出すことが可能である。
【0050】
ユーザの識別性に関する情報ID2に、またはIPアドレスそれ自体に基づいて、認証サーバ112は、端末が第2のネットワーク2用の認証コードを取得することが可能とされているかどうかを決定できる。たとえば、決定されたIPアドレスに関連付けられているMSISDNまたはIMSIのいずれもIPセッション・データベース111内に存在しない場合、認証サーバ112は、要求が不正であり当該手続きを終了させ得ると決定できる。また、決定されたIPアドレスに関連付けられているMSISDNまたはIMSIが、加入者が第2のネットワーク2を介してサービスに加入してはいないことを明らかにした場合、認証サーバ4は当該手続きを終了させることができる。
【0051】
認証サーバ112が当該手続きを継続する場合、たとえば、IPアドレスが、第2のネットワーク2を介してサービスに加入している加入者のMSISDNまたはIMSIに対応しているときは、認証サーバ112は、端末4にパケット交換第1ネットワーク1を介して認証コードID3を、オプションで暗号化された形式で送信する。たとえば、図1の例では、認証サーバ112は、https(hypertext over secure socket layer protocol)に準拠した安全なハイパーテキスト・ドキュメントとして認証コードを要求IPアドレスに送信することができる。端末4は、受信された認証コードID3をユーザ・インターフェイスに出力してよい。ユーザは、受信された認証コードを(たとえば視覚的にまたは音声として)認識した後に続いて、第2のネットワーク2にアクセスするために、端末4上で実行中の認証アプリケーションに端末認証コードを入力することが可能である。
【0052】
しかし、端末4が、受信された認証コードを端末認証コードとして自動的に認証アプリケーションに入力することも可能である。たとえば、端末上でウェブ・ブラウザ・アプリケーションが動作していてよく、このウェブ・ブラウザ・アプリケーションは、最初に認証サーバにウェブ・ページを要求し、認証サーバはこの要求に応答して、認証コードが書き込まれた第2のネットワーク用のログイン・スクリプトを含むウェブ・ページをこの端末に送信することができる。端末のウェブ・ブラウザ・アプリケーションは受信すると、ログイン・スクリプトを実行し、あらかじめ書き込まれていたこの認証コードを第2のネットワーク2に送信する。
【0053】
こうした第2のネットワーク2への自動的アクセスは、いわゆる「シームレス・ローミング」を可能とする。「シームレス・ローミング」においては、端末4は、この端末のユーザを煩わせることなしに自動的にネットワーク間で、たとえば最適なネットワークに切り換えられる。シームレス・ローミングを円滑にするために、たとえば、端末にはさらに、第2のネットワークの存在を自動的に検出することが可能な検出器が設けられてよい。この後、第2のネットワークへのアクセスは自動的に取得されることが可能となり、端末からデータを送信および受信するために、この第2のネットワークが、第1のネットワークの代わりに使用されることが可能となる。また、第1のネットワーク用に前記端末に割り当てられるネットワーク・アドレスは、前記第2のネットワーク用に前記端末に割り当てられるネットワーク・アドレスと同じでもよい。さらに、端末が第2のネットワークのカバー・エリア外に来たとき、データを送信または受信するために第1のネットワークまたは他のネットワークが第2のネットワークの代わりに使用されるように、端末が制御されてもよい。
【0054】
第2のネットワークにおいて、次いで端末認証コードは、割り当てられた認証コードと比較されることが可能であり、この端末認証コードが、割り当てられた認証コードと対応しているときは、端末から第2のネットワークへのアクセスが可能とされてよい。たとえば、図1の例では、端末4は、第2のネットワーク2のゲートウェイ200に端末認証コードを、オプションでユーザ名、端末ネットワーク・アドレスなどの他のデータと一緒に送信する。端末4は、たとえば、端末認証コードおよびオプションの他のデータを含むアクセス要求を送信することができる。
【0055】
このアクセス要求は第2のネットワーク2内で受信される。たとえば、このアクセス要求は、第2のネットワーク内の第1のノードで受信されることが可能であり、第2のノードは、受信された認証コードに基づいて選択されることが可能であり、この後、受信された認証コードは第1のノードから、選択された第2のノードに転送される。たとえば図1の例において、ゲートウェイは、アクセス要求に応答して、必要なデータを認証サーバに転送する。例として、ゲートウェイは、適切な認証サーバをこのアクセス要求から決定することができ、たとえばユーザ名がuser@provider.comのタイプのものである場合、ゲートウェイ200はアクセス要求を当該プロバイダのネットワークに転送することができる。たとえば図1の例では、ゲートウェイ200は、アクセス要求を、RADIUSプロキシ210を介してRADIUSサーバ220に転送することができる。RADIUSプロキシ210は、たとえばゲートウェイ200と同じオペレータによって運用されてよく、ゲートウェイ・オペレータとの間で合意を取り交わしているプロバイダのRADIUSサーバのアドレスおよび名前、ならびにこのプロバイダ用の識別子、たとえばユーザ名中の記号「@」の後の文字列を有していてよい。RADIUSプロキシ210は、たとえば、ゲートウェイ200からアクセス要求を受信し、関連付けられているRADIUSサーバをユーザ名から決定し、このRADIUSサーバに第2のネットワーク2のアクセス要求を送信することが可能である。RADIUSサーバ220は、このアクセス要求を受信し、当該端末にどの認証コードが割り当てられているかを、たとえば端末のIPアドレス、または端末のユーザの識別性に基づいて認証サーバから検索する。RADIUSサーバは、割り当てられた認証コードを端末認証コードと比較し、「アクセス許可」または「アクセス拒否」メッセージのいずれかをゲートウェイ200に送信する。ゲートウェイ200は、このメッセージに応答して、アクセス許可またはアクセス拒否のいずれかを行う。破線矢印で示されている通り、ゲートウェイ200と認証サーバ112の間の通信は、サーバ220(および/またはプロキシ210)を介してルーティングされないことも可能である。
【0056】
第1のネットワークが前記第2のネットワークとは別のオペレータを擁している場合、第2のノード、本例ではRADIUSサーバ220は、第2のネットワークの使用について端末4のユーザに請求するために、このユーザによる第2のネットワークの使用に関する情報が格納された記憶装置を含んでよい。第2のネットワークについての請求は、第1のネットワークについての請求と組み合わされることが可能である。これにより、ユーザが複数のエンティティによって請求されなくなるので、管理上の負担が軽減される。
【0057】
割り当てられた認証コードは、たとえば、ワンタイム・パスワード(OTP)であってよい。通常、WLANは、バー、レストラン、駅、空港などの公共の場所に設置される。それゆえ、WLANのユーザは比較的短時間WLANに接続され、多数の異なるユーザがWLANに接続し、たとえば旅行中の1人のユーザが、異なるWLANに接続する。WLANは通常、ユーザが加入しているグループ(party)とは異なるエンティティ、たとえばモバイル・オペレータによって運用される。したがって、2回以上使用され得る認証コードが加入者に提供される場合、同じ認証コードが多数のWLANに入力されることによって大きなセキュリティ・リスクが生じるか、あるいはユーザが、きわめて限られた数のWLANしか使用できなくなる。それゆえに、OTPを提供することは、セキュリティ・リスクを低減させ、および/または使用され得るWLANの数を増大させる。
【0058】
端末4には、第2のネットワークの存在の検出手段が備えられてよい。たとえば、端末は、第2のネットワークに適した送信機/受信機を含んでよく、図2の例における処理ユニット43は、第2のネットワークから受信される信号を検出し、第2のネットワーク、たとえばゲートウェイ200との通信を開始できるものでよい。この方法で第2のネットワークの存在が検出された場合は、オプションで端末から第1のネットワークへのアクセスを可能としてからいくらかの時間の後に、およびオプションで要求を送信するためのユーザ許可を端末のユーザ・インターフェイスで要求した後に、端末4は、アクセス要求をゲートウェイに自動的に送信することができる。
【0059】
本発明はまた、コンピュータ・システムなどプログラム可能な装置上で実行されるときに本発明による方法の諸ステップを実施するためのコード部分を少なくとも含む、あるいはプログラム可能な装置が本発明によるデバイスまたはシステムの諸機能を実施することを可能とする、コンピュータ・システム上で実行するためのコンピュータ・プログラムとして実装されることも可能である。かかるコンピュータ・プログラムは、このコンピュータ・プログラムを表しコンピュータ・システムのメモリ内にロード可能なデータが記録されたCD−ROMまたはディスケットなどのデータ・キャリア上に提供されてよい。このデータ・キャリアはさらに、電話ケーブルまたは無線接続などのデータ接続であってもよい。
【0060】
上述の本明細書において、本発明は、本発明の諸実施形態の特定の例を参照して説明された。しかし、添付の特許請求の範囲に規定される本発明のより広範な趣旨および範囲から逸脱することなく、本発明に種々の修正および変更が加えられ得るということは明らかである。たとえば、図1に示された実施形態において、第1のネットワーク1は、GPRSネットワークの代わりに、UMTSネットワークまたはその他を含んでもよい。さらに、端末には、たとえばノートブック・コンピュータ、携帯情報端末または他の適切な装置を挙げることができる。
【0061】
また、本発明は、プログラム不能なハードウェアとして実装される物理的デバイスまたはユニットに限定されず、適切なプログラム・コードに従って動作することにより所望のデバイス機能を果たし得るプログラム可能なデバイスまたはユニット中で適用されることも可能である。さらに、このデバイスは、機能的には単一のデバイスとして動作しながらも、いくつかの装置上に物理的に分散されることも可能である。たとえば、図3に示されたアクセス制御構成5は、第1のネットワーク1内の別々のノード上で、たとえば図1に示されたSGSN100、GGSN110および認証サーバ112として実装されてもよい。また、機能上別々のデバイスを形成している各デバイスが、単一の物理的デバイスに一体化されてもよい。たとえば、RADIUSサーバ220と認証サーバ112が、第2のネットワーク内で単一のノードとして実装されてもよい。
【0062】
また、第1のネットワークは、適切などんなタイプのモバイル遠隔通信ネットワークを含んでもよく、たとえばGPRSまたはUMTSネットワークを含んでよい。また、第1のネットワークと第2のネットワークのうちの一方または両方が、少なくとも部分的に、無線ローカル・エリア・ネットワークなどの無線データ・ネットワークであってもよい。さらに、第1のネットワークが、第2のネットワーク(の一部)とは別のオペレータを擁していてもよい。たとえば図1の例において、図1の破線で示されるように、ゲートウェイ200およびプロキシ210を含む、第2のネットワーク2の第1の部分21が、第1のネットワーク1と、RADIUSサーバ220を含む第2のネットワーク2の第2の部分22とは異なるエンティティによって運用されていてもよい。同様に、第1のネットワーク1は第1の部分11および第2の部分12から成っていてよいが、これらの第1の部分11および第2の部分12は、異なるエンティティによって運用されることが可能である。
【0063】
しかし、他の修正、変更、改変も可能である。したがって、明細書および図面は、限定的ではなく例示的なものと見なされるべきものである。
【0064】
特許請求の範囲において、括弧内に置かれた任意の参照符号は、請求項を限定するものと解釈されるべきでない。用語「有する、備える(comprising)」は、請求項に列挙された以外の他の要素またはステップの存在を排除しない。さらに、用語「a」および「an」は、「ただ1つ」に限定されていると解釈されるべきでなく、その代わりに、「少なくとも1つ」を意味するのに用いられ複数であることを排除しない。いくつかの手段が、互いに異なる請求項中に記載されていることだけで、これら手段の組合せが有利に使用できないことを意味するものではない。

【特許請求の範囲】
【請求項1】
端末を使用することにより第1のネットワークおよび第2のネットワークへアクセスする方法であって、
前記端末が、前記第1のネットワークを介して前記第1のネットワークへのアクセスを要求しつつ、第1の識別子を提供するステップと、
前記第1のネットワークが前記第1の識別子を検証し、前記検証が成功である場合に第2の識別子を発行するステップと、
前記端末が、前記第1のネットワークを介して前記第2のネットワークへのアクセスを要求しつつ、前記第2の識別子を提供するステップと、
認証サーバが前記第2の識別子を検証し、前記検証が成功である場合に第3の識別子を発行するステップと、
前記第1のネットワークが前記端末に前記第3の識別子を送信するステップと、
前記端末が前記第3の識別子を使用して前記第2のネットワークへアクセスするステップと
を有する方法。
【請求項2】
前記第1の識別子がSIMカード識別子である、請求項1に記載の方法。
【請求項3】
前記第2の識別子がネットワーク・アドレスであり、好ましくはIPアドレスである、請求項1または2に記載の方法。
【請求項4】
前記第3の識別子がワンタイム・パスワードである、請求項1、2または3に記載の方法。
【請求項5】
前記第1のネットワークが、無線ネットワーク、好ましくはGPRSネットワークもしくはGSMネットワークであり、および/または前記第2のネットワークが、ローカル・エリア・ネットワーク、好ましくは無線ローカル・エリア・ネットワークである、前記請求項のいずれかに記載の方法。
【請求項6】
前記第2の識別子が記憶装置内に格納され、この記憶装置は、前記第2の識別子に関連付けられたユーザ情報も格納している、請求項1ないし5のいずれかに記載の方法。
【請求項7】
前記端末に前記認証サーバのネットワーク・アドレスを供給するステップをさらに有する、請求項1ないし6のいずれかに記載の方法。
【請求項8】
前記第2のネットワークが第1のノードで前記第3の識別子を受信するステップと、
前記第1のノードが、前記第2のネットワークの選択された第2のノードに前記第3の識別子を転送する、前記第2のノードは前記第1のネットワークと結合された、ステップとをさらに有し、
前記第2のノードが、好ましくは前記受信された第3の識別子を用いて選択される、
請求項1ないし7のいずれかに記載の方法。
【請求項9】
前記第1のネットワークおよび前記第2のネットワークが異なるオペレータによって運用される、請求項1ないし8のいずれかに記載の方法。
【請求項10】
前記端末が第2のネットワークを検出した際に自動的に実施される、請求項1ないし9のいずれかに記載の方法。
【請求項11】
請求項1から10のいずれかによる方法を実施するためのコンピュータ・プログラム。
【請求項12】
第1のネットワークおよび第2のネットワークへアクセスするためのアクセス制御構成であって、
第1の受信された識別子と第1の割り当てられた識別子とを比較するための第1の検証プロセッサ・ユニットと、
前記第1のネットワークへアクセスするための、前記検証プロセッサ・ユニットに接続された第1のアクセス制御ユニットと、
第2の受信された識別子と第2の割り当てられた識別子とを比較するための第2の検証プロセッサ・ユニットと、
前記第2のネットワークへアクセスするための、前記第2の検証プロセッサ・ユニットに結合された第2のアクセス制御ユニットと
を備えるアクセス制御構成。
【請求項13】
請求項12に記載のアクセス制御構成を備える通信ネットワーク。
【請求項14】
第1のネットワークおよび第2のネットワークを備えるシステムであって、前記第1のネットワークは、
端末から第1のアクセス要求および第1の識別子を受信すると、前記第1の識別子を検証し、前記検証が成功である場合に第2の識別子を発行し、
前記端末から第2のアクセス要求および前記第2の識別子を受信すると、認証サーバを使用して、前記端末から受信された前記第2の識別子を検証し、前記検証が成功である場合に前記端末に第3の識別子を送信することにより前記第2のネットワークへのアクセスを許容する
ように構成される、システム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate


【公表番号】特表2009−541843(P2009−541843A)
【公表日】平成21年11月26日(2009.11.26)
【国際特許分類】
【出願番号】特願2009−516418(P2009−516418)
【出願日】平成19年6月19日(2007.6.19)
【国際出願番号】PCT/NL2007/050296
【国際公開番号】WO2007/148969
【国際公開日】平成19年12月27日(2007.12.27)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(501259662)ネイダーランゼ、オルガニザティー、ボー、トゥーゲパストナトゥールウェテンシャッペルーク、オンダーツォーク、ティーエヌオー (28)
【氏名又は名称原語表記】NEDERLANDSE ORGANISATIE VOOR TOEGEPASTNATUURWETENSCHAPPELIJK ONDERZOEK TNO
【Fターム(参考)】