説明

ネットワークアプリケーションエンティティのためにユーザーの身元確認を得る方法

本発明は、加入者身元情報を得るネットワークアプリケーション機能のための方法を提供する。本発明のアプリケーションによれば、NAFは、その加入者の管理を容易にするために、例えば加入者の課金および/またはアクセス制御を成し遂げるために、加入者身元情報を得る。NAFがアプリケーションサーバープロキシとして動作するときに、それは、加入者身元情報を、それが転送するメッセージの中に挿入することができ、これは、転送されたメッセージを受信するアプリケーションサーバーが、加入者の身元を識別することを容易にする。本発明を実施することは、容易かつ便利であり、かつ、本発明は、更に、既存の関連するフローと互換性を持っている。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、3G無線通信技術分野、特に、加入者身元(identity)情報を得るための一般的な認証アーキテクチャーの中のネットワークアプリケーション機能(NAF)のための方法に関する。
【背景技術】
【0002】
3G無線通信規格において、一般的な認証アーキテクチャー(GAA)は、加入者の身元の確認を成し遂げるために、複数のアプリケーションサービスの機能によって用いられる一般的アーキテクチャーである。一般的な認証アーキテクチャーは、アプリケーションサービスの加入者のチェックおよび加入者の身元の確認を成し遂げるために用いられ得る。上記のアプリケーションサービスは、マルチキャスト/ブロードキャストサービス、または加入者認可(certificate)サービス、または情報サービスの即時の供給、またはプロキシサービスのいずれかであり得る。例えば、1つのプロキシと関連した、いくつかのサービスの場合、一般的な認証アーキテクチャーは、プロキシをサービスとして同様に処理することができ、かつシステムアーキテクチャーは、フレキシブルであり得る。そして、更に、将来展開される新規なサービスも、一般的な認証アーキテクチャーを用いて、アプリケーションサービスの加入者をチェックして、彼らの身元を確認することができる。
【0003】
図1は、一般的な認証アーキテクチャーの構成を示している概略図である。一般的な認証アーキテクチャーは、概して、加入者101、最初の加入者の身元のチェックおよび確認を実行するブートストラッピングサーバー機能(BSF)102、ホーム加入者システム(HSS)103およびNAF104を備えている。BSF102は、加入者101との相互身元チェックを実行し、同時に、BSF102および加入者101によって共有されるキーを生成するように動作する。HSS103は、プロフィールの中の加入者説明情報を記憶していて、これは、加入者の身元を含む加入者と関連する全ての説明的な情報を含んでいる。加えて、HSS103は、認証情報を生成するように機能する。NAF104は、アプリケーションサーバーであってもよい。それは、アプリケーションサーバープロキシであってもよい。アプリケーションサーバープロキシとして動作するとき、それは、アプリケーションサーバー105およびアプリケーションサーバー106のような、いくつかのアプリケーションサーバーと接続される。
【0004】
加入者がサービスを必要とするとき、もし加入者が、サービスがBSFでの相互認証プロセスを必要とすることを知っているのであれば、この加入者は、相互認証のために直接BSFへ行く。さもなければ、加入者は、最初に、このサービスに対応するNAFと接続する。そして、NAFが、一般的な認証アーキテクチャーを用いていて、身元確認のためにBSFへ行くために加入者を必要とする場合、それは、一般的な認証アーキテクチャーによって、その加入者の身元を確認することを加入者に知らせる。さもなければ、それは、他の関連する処理を実行する。
【0005】
図2は、一般的な認証アーキテクチャーを用いる既存の技術の身元確認のためのフローチャートである。
【0006】
ステップ201で、加入者は、最初の認証要求メッセージをBSFに送信する。
【0007】
BSFは、加入者の認証要求を受信した後に、ステップ202で、HSSから加入者の認証情報およびプロフィールを照会する。
【0008】
HSSから照会情報を含む応答メッセージを得たら、ステップ203で、BSFは、認証およびキーの一致(AKA)を用いて加入者との相互認証を行うために、得られた情報を用いる。BSFと加入者が、AKAプロトコルを用いて相互認証を行った後に、それらは、キーKsを共有する。
【0009】
ステップ204で、BSFは、ブートストラッピング処理アイデンティファイアー(B−TID)を加入者に割り当てる。このB−TIDは、この加入者専用であり、Ksと関連している。
【0010】
B−TIDを受信したら、ステップ205で、加入者は、サービスアプリケーション要求メッセージをNAFに送信するが、この要求メッセージは、B−TID情報を含んでいる。
【0011】
NAFが、加入者によって送信されたB−TID情報を含むサービスアプリケーション要求メッセージを受信すると、ステップ206で、それは、まずNAFでローカル照会を実行する。照会が成功したら、それは、直接ステップ208を実行し、さもなければ、それは、B−TID照会メッセージをBSFに送信し、それからステップ207を実行する。
【0012】
NAFから照会メッセージを受信したら、ステップ207で、BSFは、それが、NAFによって必要なB−TIDを見つけることができれば、NAFに成功の応答メッセージを送信し、NAFは、メッセージの内容を記憶して、ステップ208を実行する。さもなければ、BSFは、応答失敗の照会メッセージをNAFに送信して、加入者の情報が入手できないことを知らせる。そして、NAFは、加入者に、再認証のためにBSFへ行くべきことを知らせ、処理フローを終了する。
【0013】
成功の応答メッセージは、照会されたB−TIDおよび照会されたB−TIDに対応する加入者と関連する共有キーKs、またはNAFのセキュリティクラスに応じて共有キーKsによって生成される派生キーを含んでいる。ここで、NAFと加入者も、共有キーKsまたはその派生キーを共有する。
【0014】
ステップ208で、NAFは、加入者と通信して、共有キーKsまたはKsによって生成される派生キーを用いて、以降の通信を保護する。
【発明の開示】
【発明が解決しようとする課題】
【0015】
上記の解決案の欠点は、NAFがBSFからのB−TID情報を照会するときに、BSFは、もしBSFが情報を見つけることができても、B−TIDおよびB−TIDに対応する加入者と関連する共有キーKs、または共有キーKsによって生成される派生キーを返すだけである点である。しかし、アプリケーションサーバーまたはアプリケーションサーバープロキシとして働くNAFは、加入者の身元情報を得るための過程に関与しない。従って、それは、加入者の課金情報を集め、かつ/またはサービス層への加入者のアクセスを制御することができない。
【課題を解決するための手段】
【0016】
上記を鑑みて、本発明の目的は、加入者身元情報を得るための、ネットワークアプリケーション機能(NAF)のための方法を提供することであり、これにより、NAFは、加入者身元情報を得ることができる。
【0017】
本発明による技術的な解決案は、以下の通りである。
【0018】
加入者身元情報を得るための、ネットワークアプリケーション機能のための方法において、
前もって認証および加入者によって用いられるブートストラッピング処理アイデンティファイアー(B−TID)とその身元情報との間の対応する関係をパスした加入者のB−TIDを記憶するステップを有していて、前記BSFは、加入者の身元の最初の確認を実行するために用いられ、
更に、前記BSFが、前記NAFからB−TID照会メッセージを受信するときに、前記B−TID照会メッセージの中に示されていたB−TIDが、前記BSFの中に記憶されていれば、B−TIDおよび加入者身元情報を送信して、前記B−TIDはNAFに関連付けされるステップと、必要なB−TIDおよび加入者の識別情報を得て、それらの関係を記憶するステップとを有している。
【0019】
好ましくは、この方法は、記憶された関係の時間を予め設定して、加入者がNAFとの接続を断つときに、NAFは、記憶された関係の予め設定された時間が終了したら、B−TIDおよび関連する加入者身元情報を削除または禁止するステップを更に有している。
【0020】
好ましくは、前もって設定された、前記記憶された関係の時間は、B−TIDの存続期間である。
【0021】
好ましくは、前記B−TID照会メッセージの中に示されていたB−TIDが、前記BSFの中に記憶されていれば、この方法は、更に、BSFは、前記加入者身元情報が、前記B−TID照会メッセージの中に示されていた場合に、以降のステップを実行し続ける。
【0022】
好ましくは、前記加入者身元情報が、前記B−TID照会メッセージの中に示されていた場合に、この方法は、更に、オペレータの方針に従って、NAFに加入者身元情報を返すことを許可することを決めた後に、以降のステップを実行し続ける。
【0023】
好ましくは、この方法は、前記NAFが、それが要求する加入者身元情報を得ることに失敗したら、前記NAFは、それ自身の構成に従って、加入者との通信を続けるべきかどうかを判定するステップを更に有している。
【0024】
好ましくは、この方法は、前記NAFが、それが要求する加入者身元情報を得ることに失敗したら、前記NAFは、それ自身の構成に従って、加入者との通信を続けるべきかどうかを判定するステップを更に有している。
【0025】
好ましくは、この方法は、前記NAFが、加入者の身元情報に応じて、加入者の課金および/またはサービスアプリケーション層への加入者のアクセスの制御を実行するステップを更に有している。
【0026】
好ましくは、前記NAFは、アプリケーションサーバープロキシまたはアプリケーションサーバーである。
【0027】
好ましくは、前記NAFがアプリケーションサーバープロキシである場合、この方法は、NAFが他のアプリケーションサーバーにメッセージを転送するときに、加入者身元情報を前記メッセージの中に挿入するステップを更に有している。
【0028】
好ましくは、前記加入者身元情報は、全部のプロフィールまたは加入者の身元と関連するプロフィールの一部、または加入者の身元である。
【発明の効果】
【0029】
本発明によって、NAFは、加入者の身元を得て、加入者のNAFの管理を容易にする、例えば、加入者の課金およびアクセス制御を成し遂げることができ、アクセス制御の助けを借りて、ネットワークの負荷を減らして、ネットワーク資源を最適化することができる。さらにまた、BSFは、それ自身の方針に従って、NAFに身元情報を返すかどうかを決めることもでき、これは、本発明が実現している解決案を、よりフレキシブルかつ制御可能にする。NAFがアプリケーションサーバープロキシとして動作するとき、それは、加入者身元情報を、それが転送するメッセージの中に挿入することができ、これは、転送されたメッセージを受信するアプリケーションサーバーが、加入者の身元を識別することを容易にする。本発明を実施することは、容易かつ便利であり、かつ、本発明は、更に、既存の関連するフローと互換性を持っている。
【発明を実施するための最良の形態】
【0030】
本発明の技術的な解決案をより明確にするために、本発明が、以下のように詳細に説明される。
【0031】
図3は、本発明の一般的な認証アーキテクチャーを用いている加入者身元確認のためのフローチャートである。
【0032】
ステップ301で、加入者は、最初の認証要求メッセージをBSFに送信する。
【0033】
ステップ302で、BSFは、それが加入者の認証要求を受信した後に、HSSから加入者の認証情報およびプロフィールを照会する。
【0034】
HSSからこの情報を含む応答メッセージを得たら、ステップ303で、BSFは、AKAを用いて加入者との相互認証を行うために、この情報を用いる。BSFと加入者がAKAプロトコルを用いて相互認証を行った後に、すなわち、互いの身元を認証した後に、それらは、キーKsを共有する。
【0035】
ステップ304で、BSFは、B−TIDを加入者に割り当てる。このB−TIDは、この加入者専用で、共有キーKsと関連している。
【0036】
BSFは、現在、認証および加入者によって用いられるB−TIDと加入者の身元情報との間の対応する関係をパスした加入者によって用いられるB−TIDを記憶している。加入者の身元情報は、加入者の全部のプロフィール、または加入者の身元情報と関連するプロフィールの一部、または加入者の身元のみである。
【0037】
割り当てられたB−TIDを受信したら、ステップ305で、加入者は、サービスアプリケーション要求メッセージをNAFに送信し、この要求メッセージは、B−TID情報を運ぶ。
【0038】
NAFが、加入者によって送信されたB−TID情報を含むサービスアプリケーション要求メッセージを受信すると、ステップ306で、それは、まずNAFでローカル照会を実行し、照会が成功したら、それは、直接ステップ309を実行する。さもなければ、それは、B−TID照会メッセージをBSFに送信し、それからステップ307を実行する。
【0039】
NAFから照会メッセージを受信したら、ステップ307で、BSFは、それが、NAFによって必要なB−TIDを見つけることができれば、NAFに成功の応答メッセージを送信し、それからステップ308を実行する。さもなければ、BSFは、失敗の照会メッセージをNAFに送信して、加入者の情報が入手できないことを知らせる。そして、NAFは、加入者に、再認証のためにBSFへ行くべきことを知らせ、処理フローを終了する。
【0040】
成功の応答メッセージは、B−TIDに対応する加入者によって用いられる照会されたB−TIDおよび共有キーKs、またはNAFのセキュリティクラスに応じて共有キーKsによって生成される派生キーを含むだけでなく、前記ステップ304の対応する関係に応じて得られるB−TIDに対応する加入者身元情報も含む。ここで、NAFと加入者も、Ksまたはその派生キーを共有する。
【0041】
ステップ308で、NAFは、上述した成功の応答メッセージの中の加入者身元情報と、加入者のB−TID情報との関係を記憶する。
【0042】
ステップ309で、NAFは、加入者と通信して、共有キーKsまたはKsによって生成される派生キーによって以降の通信を保護し、同時に、加入者の身元情報に応じて、加入者の課金および/またはサービスアプリケーション層へのアクセスの制御を実行する。
【0043】
このようにして、NAFは、加入者身元情報を得る。
【0044】
加えて、ステップ307で、BSFは、以下のように動作することもできる。
【0045】
ローカル照会でNAFによって必要なB−TIDを見つけたら、BSFは、更に、加入者身元情報が必要なことが、NAFからのB−TID照会メッセージの中に明確に示されているかどうかを判定する。もしそうであれば、BSFは、NAFによって必要な加入者身元情報を、成功の応答メッセージの中に加える。さもなければ、NAFに返される成功の応答メッセージは、加入者身元情報を含まない。
【0046】
そして、この方法は、BSFが、加入者の身元が必要なことが、NAFからのB−TID照会メッセージの中に明確に示されていると判定した後に、更に以下のステップを有している。BSFは、オペレータの方針に従って、加入者身元情報をNAFに返すことが許可されるかどうかを判定する。もしそうであれば、成功の応答メッセージは、NAFによって必要な加入者身元情報を含んでいて、さもなければ、たとえ、NAFが、B−TID照会メッセージの中に、加入者の身元およびプロフィール情報が必要なことを明確に示していたとしても、BSFは、返されるメッセージの中に加入者身元情報を加えることを拒否する。
【0047】
NAFが、要求した加入者身元情報を得ることに失敗したら、NAFは、それ自身の構成に従って、以降のサービスを続行するか、または加入者とのその通信を終了するかを決めることができる。
【0048】
NAFが、アプリケーションサーバープロキシとして働いていて、他のサーバーにメッセージを転送するときに、それは、加入者の身元を、それが転送するメッセージの中に挿入する。これにより、受信するアプリケーションサーバーは、加入者を識別することができる。
【0049】
加えて、加入者が、NAFの後ろのいくつかのアプリケーションサーバーにアクセスすべきであるときに、NAFは、それの中に記憶された加入者のプロフィール情報に従って、加入者がアクセスしようとしているサービスに加入しているかどうかを判定することができる。加入者がサービスに加入していなかったら、NAFは、直接、加入者に、その加入者がサービスを用いる許可を与えられていないことを知らせる。従って、それは、NAFの背後のアプリケーションサーバーにメッセージを転送する必要はない。このような方法で、ネットワーク資源は最適化される。
【0050】
加入者がNAFとのその通信をリリースするとき、NAFは、加入者によって用いられるB−TIDと加入者の身元との間の対応する関係を記憶し続け、記憶している時間は、通常、B−TIDの存続期間である。なぜなら、B−TIDの存続期間内で、加入者は、B−TIDを用いて、NAFと通信し続けることができるからである。B−TIDの時間が過ぎると、加入者の身元は、この加入者の身元に対応するB−TIDが削除されるときに、削除される。または、この加入者の身元に対応するB−TIDが禁止されるときに、禁止される。
【0051】
上記の説明は、本発明の好ましい実施形態に過ぎず、その保護範囲を限定するために用いられるものではない。本発明の範囲内の全ての変形、等価な代替または改良は、本発明の保護範囲内に含まれるべきである。
【図面の簡単な説明】
【0052】
【図1】一般的な認証アーキテクチャーの構成を示している概略図である。
【図2】一般的な認証アーキテクチャーを用いている従来技術の加入者身元確認のためのフローチャートである。
【図3】一般的な認証アーキテクチャーを用いている本発明の加入者身元確認のためのフローチャートである。
【符号の説明】
【0053】
101 加入者
102 ブートストラッピングサーバー機能(BSF)
103 ホーム加入者システム(HSS)
104 ネットワークアプリケーション機能(NAF)
105、106 アプリケーションサーバー

【特許請求の範囲】
【請求項1】
加入者身元情報を得るためのネットワークアプリケーション機能(NAF)のための方法において、
前もって認証および加入者によって用いられるブートストラッピング処理アイデンティファイアー(B−TID)とその身元情報との間の対応する関係をパスした加入者のB−TIDを記憶するステップを有していて、前記BSFは、加入者の身元の最初の確認を実行するために用いられ、
更に、前記BSFが前記NAFからB−TID照会メッセージを受信したときに、前記B−TID照会メッセージの中に示されていたB−TIDが前記BSFの中に記憶されていれば、B−TIDおよび加入者身元情報を送信して、前記B−TIDはNAFに関連付けされるステップと、
必要なB−TIDおよび加入者の身元情報を得て、それらの関係を記憶するステップとを有していることを特徴とする方法。
【請求項2】
記憶された関係の時間を予め設定して、加入者がNAFとの接続を断つときに、NAFは、記憶された関係の予め設定された時間が終了したら、B−TIDおよび関連する加入者身元情報を削除または禁止するステップを更に有していることを特徴とする請求項1に記載の方法。
【請求項3】
前記記憶された関係の時間は、B−TIDの存続期間であることを特徴とする請求項2に記載の方法。
【請求項4】
前記B−TID照会メッセージの中に示されていたB−TIDが、前記BSFの中に記憶されていれば、更に、BSFは、前記加入者身元情報が、前記B−TID照会メッセージの中に示されていた場合に、以降のステップを実行し続けることを特徴とする請求項1に記載の方法。
【請求項5】
前記加入者身元情報が、前記B−TID照会メッセージの中に示されていた場合に、更に、オペレータの方針に従って、NAFに加入者身元情報を返すことを許可することを決めた後に、以降のステップを実行し続けることを特徴とする請求項4に記載の方法。
【請求項6】
前記NAFが、それが要求する加入者身元情報を得ることに失敗したら、前記NAFは、それ自身の構成に従って、加入者との通信を続けるべきかどうかを判定するステップを更に有していることを特徴とする請求項4または5に記載の方法。
【請求項7】
前記NAFが、加入者の身元情報に応じて、加入者の課金および/またはサービスアプリケーション層への加入者のアクセスの制御を実行するステップを更に有していることを特徴とする請求項1に記載の方法。
【請求項8】
前記NAFは、アプリケーションサーバープロキシまたはアプリケーションサーバーであることを特徴とする請求項1、4または5に記載の方法。
【請求項9】
前記NAFがアプリケーションサーバープロキシである場合、NAFが他のアプリケーションサーバーにメッセージを転送するときに、加入者身元情報を前記メッセージの中に挿入するステップを更に有していることを特徴とする請求項8に記載の方法。
【請求項10】
前記加入者身元情報は、全部のプロフィールまたは加入者の身元と関連するプロフィールの一部、または加入者の身元であることを特徴とする請求項1、4または5に記載の方法。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate


【公表番号】特表2007−529763(P2007−529763A)
【公表日】平成19年10月25日(2007.10.25)
【国際特許分類】
【出願番号】特願2006−548082(P2006−548082)
【出願日】平成17年1月17日(2005.1.17)
【国際出願番号】PCT/CN2005/000065
【国際公開番号】WO2005/074188
【国際公開日】平成17年8月11日(2005.8.11)
【出願人】(504277388)▲ホア▼▲ウェイ▼技術有限公司 (220)
【Fターム(参考)】