端末のユーザ識別情報転送による非携帯端末のネットワーク接続方法
【課題】
ICカードに保存されたセキュリティ情報を公開せずに他の機器の利用を可能とする。また、携帯端末を他の連携機器と連携させた場合、コンテンツプロバイダが連携機器の利用者を特定できる手段を提供する。
【解決手段】
携帯端末と連携端末が共通網に接続するための独立した通信アクセス経路を持ち、かつ、携帯端末と連携端末が近距離で通信させ、携帯端末に保存された認証用のユーザ識別情報を連携端末に転送する。また、長期共有秘密鍵は転送しない手続きとする事で高いセキュリティを実現する。
ICカードに保存されたセキュリティ情報を公開せずに他の機器の利用を可能とする。また、携帯端末を他の連携機器と連携させた場合、コンテンツプロバイダが連携機器の利用者を特定できる手段を提供する。
【解決手段】
携帯端末と連携端末が共通網に接続するための独立した通信アクセス経路を持ち、かつ、携帯端末と連携端末が近距離で通信させ、携帯端末に保存された認証用のユーザ識別情報を連携端末に転送する。また、長期共有秘密鍵は転送しない手続きとする事で高いセキュリティを実現する。
【発明の詳細な説明】
【技術分野】
【0001】
発明は、端末ユーザの認証が必要となるネットワークにおいて、ユーザ識別情報を持たない端末をネットワークに接続するための技術に関し、特に、携帯電話に関する標準化機構 3GPP(Third Generation Partnership Project), 3GPP2(Third Generation Partnership Project 2)にて規定されるIMS(IP Multimedia Subsystem)ネットワークでの利用を想定した、ネットワークへ接続する際の安全かつ利便性の高い端末の認証方法に関する。
【背景技術】
【0002】
携帯電話における第3世代(3G : Third Generation)ネットワークは、携帯電話網とインターネットという2つのパラダイムを統合しようとする技術である。インターネットが提供するあらゆるサービスへのユビキタスな無線アクセスを実現する3Gアーキテクチャの鍵となる技術がIMS (IP Multimedia Subsystem)である。IMSは、標準化機構 3GPP(Third Generation Partnership Project), 3GPP2(Third Generation Partnership Project 2)にて標準化が進められている。また、IMSはシステムを構成する各ノードに至るアクセス経路が携帯電話網でない場合にも動作するよう設計されており、固定電話網、ADSLなどのブロードバンドアクセス網などを統合しようとする次世代ネットワークNGN(Next Generation Network)においても採用されている。
【0003】
NGN上にIMSを実装する事により、固定電話やPCなど携帯電話以外の機器に対する加入者特定・認証に関しても、携帯電話と同様の方法を持って実施でき、通信事業者がシステムを構築する上でのメリットがある。また、加入者に対しても、携帯電話と固定電話の契約を一本化できたり、携帯電話やPCからのインターネットアクセスにおける通信事業者からのサービスをシームレスに享受できるというメリットがある。GPP/3GPP2により規定されているIMSにおいては、3G携帯電話端末を使用している加入者を認証するために、端末に搭載されるUICC(Universal Integrated Circuit Card)というICカードを利用する。認証するIMSシステム側と、端末上ICカードの双方に記憶された長期共有秘密鍵をベースに加入者の認証を行う(3GPP TS 24.228, 3GPP TS 33.102, 3GPP TS 33.102)。
【0004】
一方で、携帯電話端末の処理能力やメモリ容量、ディスプレイの大きさに制限がある事からマルチメディアコンテンツを十分な品質で視聴できないという課題の解決のために、PCのような比較的高機能な端末と携帯電話端末を連携させ、マルチメディアコンテンツの視聴の利便性を向上しようとする提案がなされている(特開2002-358260 号公報)。
【0005】
【特許文献1】特開2002-358260 号公報
【非特許文献1】3GPP TS 24.228; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; Signalling flows for the IP multimedia call control based on Session Initiation Protocol (SIP) and Session Description Protocol (SDP); Stage 3
【非特許文献2】3GPP TS 31.103; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; Characteristics of the IP Multimedia Services Identity Module (ISIM) application
【非特許文献3】3GPP TS 33.102; 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3G Security; Security architecture
【非特許文献4】IETF; Network Working Group; Request for Comments: 3310; Hypertext Transfer Protocol (HTTP) Digest Authentication Using Authentication and Key Agreement (AKA)
【発明の開示】
【発明が解決しようとする課題】
【0006】
ユーザがユーザ識別情報を持たない端末を用いて認証が必要なネットワークに接続する場合、なんらかの手段を用いて認証に必要な情報を端末に入力する必要がある。例えば、IMS (IP Multimedia Subsystem)における端末の認証にはICカードの搭載を必須としているため、外出時には携帯電話を使用しているが在宅時には固定電話を使用したいなどの理由で、一時的に他の端末を使用したい場合、端末の使用者が同一の加入者である事をシステム側に認識させるために、ICカードを該当機器に差し替える必要があり、利便性に欠ける。本発明では、ICカードの差し替えを不要とする事で、この第1の課題を解決する。
【0007】
さらに、外出先などに設置してある機器にICカードを差し替えるケースを考えた場合、ICカードに記録された長期共有秘密鍵を不正に読み取り、端末に記録される危険を伴っており、セキュリティ上の欠点がある。本発明では、ICカードの差し替えを行わず、長期共有秘密鍵を他の端末に公開しない事で、この第2の課題を解決する。また、携帯電話で再生できないマルチメディアコンテンツを他の機器に再生させようとした場合、特開2002-358260 号公報のような方法が利用できるが、「携帯加入者がサービス契約している場合のみ視聴可能なコンテンツの提供をする」など、コンテンツ提供側で加入者の特定を必要としたサービスを提供しようとした場合、特開2002-358260 号公報の方法では実現する事ができない。本発明では、他の機器へユーザ識別情報を転送する事で、コンテンツ提供側からの加入者特定を可能にし、この第3の課題を解決する。
【課題を解決するための手段】
【0008】
本発明では、携帯端末のユーザ識別情報を別の連携端末に転送させる事で、ユーザ識別情報を持たない連携端末が携帯端末に成り代わる手段を提供する。
ユーザ識別情報を有する認証デバイスと、ユーザ認証サーバと、接続される連携端末であって、前記認証デバイスと通信するための第1の通信用インタフェースと、前記ユーザ認証サーバと通信するための第2の通信用インタフェースと前記第1の通信用インタフェースを介し、前記認証デバイスから、前記ユーザ識別情報を含む第1のメッセージを受信すると、前記第1のメッセージから前記ユーザ識別情報を取り出し、前記第2の通信用インタフェースを介し、前記ユーザ識別情報を含む第2のメッセージを前記ユーザ認証サーバへ送信し、前記第2の通信用インタフェースを介し、前記ユーザ認証サーバから、前記ユーザ認証サーバが生成したパラメータを含む第3のメッセージを受信すると、前記第1の通信用インタフェースを介し、前記パラメータを前記認証デバイスと前記ユーザ認証サーバで共有する秘密鍵により処理することを要求するメッセージを前記認証デバイスに送信するためのプログラム処理部と、を有することを特徴とする連携端末。
【発明の効果】
【0009】
ICカードの差し替えを伴わずに連携端末が携帯端末に成り代わる事により、携帯端末の使用者は、他の端末を従来より簡単に利用する事が可能となる。また、秘密共有鍵の不正読取を防止する事で、外出先などに設置してある公衆端末の高いセキュリティレベルでの利用を可能にする。さらに、システム側から携帯端末と同一加入者と認識されるため、携帯端末の加入契約状況を引き継いだ状態で他の端末を利用する事ができる。システム側は、携帯端末以外の端末を認証するための専用の機能を具備しなくても済むため、システム保持者の設備の有効利用が図れる。
【発明を実施するための最良の形態】
【0010】
本発明の実施例を図面に基づいて説明する。
【実施例1】
【0011】
図1はIMS (IP Multimedia Subsystem) システムを含んだ全体構成図の例を示している。
携帯端末100はIC (Integrated Circuit) カードを搭載しており、連携端末200は携帯端末100と連携する。近端通信網300は携帯端末100と連携端末200を接続するためのものである。網のトポロジ、アーキテクチャに制限はない。本実施例では、USB (Universal Serial Bus) - 携帯電話用コネクタによる直接接続または無線接続(BlueTooth等)を実現方式として想定する。
【0012】
SIPプロキシサーバ P-CSCF(Proxy - Call/Session Control Function) 1 400は携帯端末100が接続されるアクセス網600に接続される。これは3GPP(Third Generation Partnership Project), 3GPP2(Third Generation Partnership Project 2)により規定された機能を具備する。また、P-CSCF1 400はユーザの登録時に割り当てられ、ユーザとアクセス網を通じて接続される。認証を行った後のユーザ端末との間の通信はIPsecで行われる。P-CSCF1 400は携帯端末100とのSIP (Session Initiation Protocol) リクエストの送受信を直接行う。SIPプロキシサーバ P-CSCF2。 500は連携端末200が接続されるアクセス網700に接続される。これは3GPP/3GPP2により規定された機能を具備する。P-CSCF2 500は連携端末200とのSIPリクエストの送受信を直接行う。
【0013】
アクセス網600は携帯端末100がIMS共通網800に接続するためのものである。網のトポロジ、アーキテクチャに制限はない。本実施例では、3GにおけるGPRS (General Packet Radio Service) を実現方式として想定する。IMSにおけるローミング網の位置づけとなる。アクセス網700は連携端末200がIMS共通網800に接続するためのものである。網のトポロジ、アーキテクチャに制限はない。本実施例では、インターネット接続(ダイヤルアップ接続、ADSL (Asymmetric Digital Subscriber Line、FTTH (Fiber To The Home)等)を想定する。IMSにおけるローミング網の位置づけとなる。IMS共通網800はアクセス網600、アクセス網700、IMSホーム網900を相互接続するものである。網のトポロジ、アーキテクチャに制限はない。IMSホーム網900はIMS共通網800と接続するものである。網のトポロジ、アーキテクチャに制限はない。携帯端末100を使用する加入者が契約している通信事業者が管理するネットワークであり、加入者に対するサービスを提供する各ノードが接続されている。
【0014】
SIPプロキシサーバ I-CSCF 910はIMSホーム網900と接続するものである。これは3GPP/3GPP2により規定された機能を具備する。I-CSCF910はIMSホーム網に位置し、登録しようとしているユーザの加入者情報が格納されたHSS930を特定する。次に、HSS930からの指示によりS-CSCF920に登録処理を引き継ぐ。また、アクセス網600に接続されたP-CSCF1 400、アクセス網700に接続されたP-CSCF2 500から転送されたSIPリクエストを送受信する。I-CSCF (Interrogating - Call/Session Control Function) のSIP URI(Uniformed Resorce Identifier)はIMS共通網上のDNS(Domain Name Server)に登録され、IMSホーム網の持つドメイン名と関連付けられている。そのため、P-CSCFからIMSホーム網へ接続する際の入り口となる。
【0015】
SIPプロキシサーバ S-CSCF (Serving - Call/Session Control Function) 920はIMSホーム網900と接続するである。これは3GPP/3GPP2により規定された機能を具備する。また、S-CSCF920はユーザ識別情報の管理、各加入者の加入しているサービスのプロファイル情報、認証用情報の管理等を行う。I-CSCF 910から転送されたSIPリクエストを送受信する。加入者毎に特定のS-CSCF920が割り当てられ、S-CSCF920は割り当てられた加入者に対するサービス処理を行う。アプリケーションサーバ HSS (Home Subscriber Server) 930はIMSホーム網900と接続するものである。これは3GPP/3GPP2により規定された機能を具備する。加入者に関する情報を全て記録しており、契約状況などのデータベースを保持する。I-CSCF 910、S-CSCF 920とDiameterプロトコル (RFC 3588) により通信を行う。アプリケーションサーバ AS (Application Server) 940はIMSホーム網900と接続するものである。これは3GPP/3GPP2により規定された機能を具備する。加入者サービスに対するアプリケーションを実装しており、HSS 930とのインタフェースを持つ。
【0016】
図2は携帯端末100の構成を示している。第1の通信制御部101は、アクセス網1 600と接続するための通信制御を行う。具体的な処理方式は3G (Third Generation) 携帯電話端末のそれと同様に実装できる。102は通信制御部101と接続される通信用インタフェースであり、携帯電話の送受信アンテナと同様に実装できる。第2の通信制御部103は、近端通信網300と接続するための通信制御を行う。具体的な処理方式は3G携帯電話端末のそれと同様に実装できる。通信用インタフェース104は通信制御部103と接続される。携帯電話の外部接続用コネクタまたはBlueTooth等の送受信アンテナと同様に実装できる。プログラム処理部105は、メモリ上のプログラムを実行(演算)するプロセッサである。CPU (Central Procession Unit)のような汎用プロセッサ等で実現可能である。制御部106は、バスに接続される各機能部の管理を行ったり、データ転送タイミングの制御等、装置全体の処理制御を行う。メモリ107は、通信用プログラム113を記録する。
【0017】
画面出力部108は、使用者への情報表示等の画面出力に使用される。液晶画面等により実現可能である。入力部109は、使用者からのプログラム起動指示等の入力に使用される。キーボード等により実現可能である。ICカード読取部110は、ICカード格納部 111に格納されたICカード 112に記録された情報を読み取る装置である。3G携帯電話端末と同様に実現可能である。ICカード格納部111はICカード112を格納し、ICカード読取部110と接続する装置である。3G携帯電話端末と同様に実現可能である。ICカード112は、3GPP TS 31.103により規定されるユーザ識別情報が記録される。3G携帯電話端末と同様に実現可能である。通信用プログラム113はメモリ107に記録されるものであり、連携端末200に搭載された通信プログラム213とプロセス間通信を行うための処理手続きが示されている。
【0018】
図3は連携端末200の構成を示している。第1の通信制御部201は、アクセス網2 700と接続するための通信制御を行う。具体的な処理方式はパーソナルコンピュータ用のネットワークインタフェースカード等と同様に実装できる。通信用インタフェース202は通信制御部201と接続されるものであり、パーソナルコンピュータ用のネットワークインタフェースコネクタ等と同様に実装できる。第2の通信制御部203は、近端通信網300と接続するための通信制御を行う。具体的な処理方式は3G携帯電話端末のそれと同様に実装できる。通信用インタフェース204は通信制御部2 203と接続されるものであり、携帯電話の外部接続用コネクタまたはBlueTooth等の送受信アンテナと同様に実装できる。
【0019】
プログラム処理部205は、メモリ上のプログラムを実行(演算)するプロセッサである。CPUのような汎用プロセッサ等で実現可能である。制御部206は、バスに接続される各機能部の管理を行ったり、データ転送タイミングの制御等、装置全体の処理制御を行う。従来技術により実装できる。メモリ207は、通信用プログラム213を記録する。画面出力部208は、使用者への情報表示等の画面出力に使用される。液晶画面等により実現可能である。入力部209は、使用者からのプログラム起動指示等の入力に使用される。キーボード等により実現可能である。通信用プログラム213はメモリ207に記録されるものであり、携帯端末100に搭載された通信プログラム113とプロセス間通信を行うための処理手続きが示されている。
【0020】
図4はICカード112に記録される情報を示している。記録される情報は、3GPP TS 31.103により規定される。全てのフィールド(114〜117)は読出しのみ可能であり、ユーザは値を変更する事はできない。Private User ID(IMPI)114は、ユーザに割り当てられるプライベートユーザIDを示すSIP URIである。ICカード112に格納されるIMPI114は1つのみである。Public User ID(IMPU)115は、ユーザに割り当てられるパブリックユーザIDを示すSIP URIである。ICカード112には1つ以上のIMPU115が格納される。ホームネットワークドメインURI(HomeURI)116は、ホームネットワークのドメイン名を含むSIP URIである。この情報は、IMS登録処理時にホームネットワークのアドレスを探すために用いられる。ICカード112に格納されるHomeURI116は1つのみである。長期秘密鍵(長期共有秘密鍵)117は、認証に使用したり、端末とネットワーク間で使われる完全性保証鍵(IK)と暗号化鍵(CK)の計算のために使用したりする。
【0021】
図5は携帯端末 100のメモリ107に記録された通信用プログラム 113と連携端末 200のメモリ207に記録された通信用プログラム213のメイン処理フローを示している。まず、通信プログラム113,213双方において、通信開始処理(1001,2001)が起動され、通信プログラム113と213との通信が開始する。サブルーチンの内部は後述する。次に、通信プログラム113,213双方において、ID転送処理(1002,2002)が起動され、携帯端末100に格納されたICカード112に記録されたユーザ識別情報(ID情報)を携帯端末200に転送する。サブルーチンの内部は後述する。次に、通信プログラム213において、IMS登録処理(2003)が起動される。これは、3GPP TS 24.229に規定されるIMS登録処理における1回目のSIP REGISTERリクエストをP-CSCF2 500に送信する処理である。次に、通信プログラム113,213双方において、認証計算処理(1003,2004)が起動される。通信プログラム213は、IMS登録処理(2003)の処理の中でP-CSCF2 500から受信したパラメータを使用して、通信プログラム113に認証情報の作成を依頼する。サブルーチンの内部は後述する。次に、通信プログラム213において、IMS登録処理(2005)が起動される。これは、3GPP TS 24.229に規定されるIMS登録処理における2回目のSIP REGISTERリクエストをP-CSCF2 500に送信する処理である。この処理でIMS登録処理が完了する。最後に、通信プログラム113,213双方において、通信終了処理(1004,2006)が起動され、通信プログラム113と213との通信が終了する。サブルーチンの内部は後述する。
【0022】
図6は通信用プログラム 113と通信用プログラム213のサブルーチン 通信開始処理(1001,2001)の処理フローを示している。まず、携帯端末100と連携端末200を近端通信網300によって接続することにより、もしくは、携帯端末100と連携端末200を近端通信網300によって接続し連携端末200の入力部209からの操作することにより、通信プログラム113において、連携端末200からの通信待受けを開始する(1011)。並行して、通信プログラム213において、自身のインタフェースの状態を取得し、携帯端末 100と直接接続であるかを判断する(2011)。直接接続であった場合、直接接続された機器を携帯端末 100と設定し、次の処理に進む(2013)。直接接続でない場合、画面出力部 208に携帯端末 100のネットワークID(アドレス等)を入力させる画面を表示する。入力部 209から入力を受けると、入力されたネットワークIDを携帯端末100と設定し、次の処理に進む(2012)。
【0023】
次に、通信プログラム213において、設定された携帯端末100に対し通信開始要求を送信する(2014)。通信プログラム113は、通信プログラム213から送信された通信開始要求を受信する(1012)。ここで、通信プログラム113において、連携端末200と接続可能かどうかの判定を行う事も可能だが、この実施例では省略している。次に、通信プログラム113は、通信プログラム213に対し通信開始応答を送信する(1013)。通信プログラム213は、通信プログラム113からの通信開始応答を受信する(2015)。この受信完了により、通信プログラム113と213との通信処理を可能とする。次に、通信プログラム113,213双方において、お互いの通信をオンライン状態に内部メモリを更新し(1014, 2016)、サブルーチン 通信開始処理を終了する。
【0024】
図7は通信用プログラム 113と通信用プログラム213のサブルーチン ID転送処理(1002,2002)の処理フローを示している。まず、通信プログラム213において、通信プログラム113に対しID転送要求を送信する(2021)。通信プログラム113は、通信プログラム213からのID転送要求を受信すると、次の処理に進む(1021)。次に、通信プログラム113において、自身のICカード読取部110に対しID情報のREAD要求を発行し、データを読み取る(1022)。ここで読み取られるデータは、IMPI114, IMPU115, HomeURI116の3つである。これらの情報は、通信プログラム213が処理2003にてP-CSCF2 500に対し送信するSIP REGISTERリクエストを作成するのに必要な情報である。次に、通信プログラム113は、処理1022にて読み取ったID情報を通信プログラム213に送信する(1023)。通信プログラム213は、通信プログラム113からのID情報を受信し(2022)、サブルーチン ID転送処理を終了する。
【0025】
図8は通信用プログラム 113と通信用プログラム213のサブルーチン 認証計算処理(1003,2004)の処理フローを示している。まず、通信プログラム213において、通信プログラム113に対し認証計算処理要求を送信する(2031)。この時、処理2003の応答としてP-CSCF2 500から受信したパラメータ、RAND(ランダムチャレンジ値)、AUTN(ネットワーク認証トークン)を要求に含める。通信プログラム113は、通信プログラム213からの認証計算処理要求を受信すると、次の処理に進む(1031)。次に、通信プログラム113において、自身のICカード読取部110に対し長期秘密鍵(KI)117のREAD要求を発行し、データを読み取る(1032)。
【0026】
次に、通信プログラム113は、処理1031において通信プログラム213から受信したRANDと処理1032において読み取った長期秘密鍵(KI)117から、認証情報を算出する(1033)。認証情報とは、RES(チャレンジ値に対するレスポンス値)、CK(暗号化のためのセッション鍵)、IK(完全性保証のためのセッション鍵)の3つである。算出方法は、3GPP TS 33.102に規定されたアルゴリズムに従う。また、このタイミングでネットワーク認証トークン AUTNの正当性確認を行い、ネットワーク認証を行う。次に、通信プログラム113は、処理1023にて算出した認証情報(RES, CK, IK)を通信プログラム213に送信する(1034)。通信プログラム213は、通信プログラム113からの認証情報を受信し(2032)、サブルーチン 認証計算処理を終了する。
【0027】
図9は通信用プログラム 113と通信用プログラム213のサブルーチン 通信終了処理(1004,2006)の処理フローを示している。まず、通信プログラム213において、通信プログラム113に対し通信終了要求を送信する(2041)。通信プログラム113は、通信プログラム213から送信された通信終了要求を受信する(1041)。次に、通信プログラム113は、通信プログラム213に対し通信終了応答を送信する(1042)。通信プログラム213は、通信プログラム113からの通信終了応答を受信する(2042)。この受信完了により、通信プログラム113と213との通信処理を終了する。次に、通信プログラム113,213双方において、お互いの通信をオフライン状態にメモリ107を更新し(1043, 2043)、サブルーチン 通信終了処理を終了する。
【0028】
図10は、3GPP TS 24.228にて規定されるIMS登録処理のシーケンス図である。図10において、縦の線はそれぞれ、携帯端末 100、連携端末 200、P-CSCF2 500、I-CSCF 910、S-CSCF 920、HSS 930を示している。シーケンスの中で、連携端末200がSIP UA(User Agent)として動作し、IMSシステムノード(P-CSCF2 500、I-CSCF 910、S-CSCF 920、HSS 930)からは、携帯端末100は隠蔽される。言い換えると、シーケンス上では連携端末200はあたかもICカード112を搭載した携帯端末100のように振舞う。通信開始要求(3001)は、前述した処理1012, 2014を示している。通信開始応答(3002)は、前述した処理1013, 2015を示している。ID転送要求(3003)は、前述した処理1021, 2021を示している。ID転送応答(3004)は、前述した処理1022, 1023, 2022を示している。転送されたID情報(IMPI114, IMPU115, HomeURI116)は連携端末200に保持される。
【0029】
図11は、3GPP TS 24.228にて規定されるIMS登録処理のシーケンス図であり、図10の続きである。認証計算処理要求(3018)は、前述した処理1031, 2031を示している。認証計算処理応答(3019)は、前述した処理1032, 1033, 1034, 2032を示している。転送された認証情報(CK, IK, RES)は連携端末200に保持される。通信終了要求(3031)は、前述した処理1041, 2041を示している。 通信終了応答(3032)は、前述した処理1042, 2042を示している。
【0030】
図12は、IMS登録処理後の連携端末200によるコンテンツダウンロードの例を示している。IMS登録が完了すると、IMSシステム側(P-CSCF2 500, S-CSCF920, HSS930など)からは、連携端末200が携帯端末100のIMPU116と関連付けられているため、連携端末200は携帯端末100の加入契約者が使用していると判断する事ができる。
【0031】
図12において、縦の線はそれぞれ、携帯端末100、連携端末200、P-CSCF2 500、I-CSCF910、S-CSCF 920、AS 940、HSS 930、コンテンツプロバイダを示している。シーケンスの中で、連携端末200がSIP UA(User Agent)として動作する。連携端末 200からP-CSCF2 500に対するセッション開始要求(SIP INVITEリクエスト)が送信される(4001)。P-CSCF2 500は、送信元のIPアドレスとリクエストに付与されたIMPU116が、自身に登録された情報と一致する事を検証した上で、SIP INVITEリクエストをS-CSCF 920へ転送する(4002)。IMS登録の際、該当のIMPU116に対するS-CSCF920のIPアドレスをP-CSCF2 500は通知されているため、I-CSCF910を経由せずにS-CSCF920にリクエストを転送する。次に、S-CSCF 920はフィルタクライテリア(フィルタ基準)という従来技術を用いて、リクエストの転送先を決定する(4003)。図12の例では、リクエストに付与されたサービスIDを基準として、サービス認証用のAS(Application Server)940へリクエストを転送する。
【0032】
AS 940はS-CSCF 920から転送されたリクエストを受信し、リクエスト送信元であるIMPU116が、同リクエストに付与されたサービスIDの契約が行われているかどうかを、HSS 930へ確認する(4004)。HSS 930は、IMPU116、サービスIDから契約状況をHSS 930上のデータベースから検索し、AS 940へ応答する(4005)。AS 940はHSS 930からの契約状況の応答を受信し、契約済であれば、以降の処理を継続できるようにS-CSCF 920に応答する(4006)。もし、IMPUの不正や未契約を検知した場合は、エラーをS-CSCF 920に応答する。S-CSCF 920は契約状況が確認できた場合、コンテンツプロバイダに連携端末 200から発信されたSIP INVITEリクエストを転送する(4007)。
【0033】
コンテンツプロバイダはSIP UAとして動作し、SIP 200 OKレスポンスを応答する(4008)。SIP 200 OKレスポンスは、S-CSCF 920、P-CSCF2 500を経由して、連携端末 200に応答される(4009,4010)。この応答が到着すると、SIPセッションが連携端末 200とコンテンツプロバイダの間で確立され、任意のデータ転送が可能となる。また、通常のSIPセッション開始において、図12に示した処理の他に、QoS(Quality of Service)能力やコンテンツ再生能力の通知、QoSリソースの割当確認などが行われる。連携端末 200がコンテンツをダウンロードする一連の処理(4011)〜(4016)は、コンテンツダウンロード完了まで、複数のリクエスト・レスポンスがやり取りされる事になる。
SIPセッション上でのコンテンツのやり取りが完了し、SIPセッションを終了する手続き(4017)〜(4022)は、具体的には、連携端末 200がSIP BYEリクエストを送信し、P-CSCF2 500、S-CSCF 920を経由してコンテンツプロバイダに到着する。コンテンツプロバイダは、BYEリクエストに対するACKレスポンスを送信し、SIPセッションを完了させる。
【0034】
図12の例で示したように、IMS登録処理の後は連携端末 200と携帯端末 100の通信は行われず、連携端末 200のみでSIPセッションの確立を行ったり、携帯端末加入者向けのサービスをプロバイダから受ける事が可能となる。実施例1ののより具体的な応用例を図16に示す。携帯端末100に成り代わる連携端末200の例として、IP-TV6002、PC6003、固定電話6004を示している。
【0035】
IP-TV6002の例(図16上段)では、あるコンテンツプロバイダ6005が提供する映像をIP-TV6002 - コンテンツプロバイダ6005間のSIPセッション上で配信を受け、映像をIP-TV6002上に表示させる。この際、連携端末200であるIP-TV6002は携帯端末100のIMPU115を持っており、コンテンツプロバイダ6005はSIPリクエスト等に含まれるIMPU115を確認する事ができる。これにより、コンテンツプロバイダ6005は、IMPU115と関連付けられる加入者を特定する事ができ、加入者のサービス契約状況に応じたコンテンツ配信を行う事が可能となる。また、従来技術との組合せにより、IMSシステム上でオンライン課金を実現する事も可能となり、新たなビジネスモデル創発の可能性がある。
【0036】
PC6003の例(図16中段)では、PC6003が連携端末200となりIMSシステム上に登録される。一旦IMSシステム上に登録されると、他のIMS端末からその端末への発着信が可能となる。すなわち、他のIMS端末から連携端末200が持つ(携帯端末100から転送された)IMPU115に対するSIPセッションの発信が可能となり、TV電話端末6006から連携端末200となるPC6003に発信をして、TV電話セッションを開始する、などのサービスが実現可能となる。
【0037】
公衆電話6004の例(図16下段)では、公衆電話6004が連携端末200となりIMSシステム上に登録される。PCの例と同様に、発着信が可能であるため、例えば携帯端末100の電波が届かない場所などで有線の公衆電話6004へIMPU115を転送し、通話発信をするというサービスが実現可能となる。
【0038】
また、本発明の特徴として、携帯端末100と連携端末200が近端通信によりIMPU115の転送を行う点、連携端末200に長期共有秘密鍵117を転送しない点から、連携端末200の不正使用を極力防止する事が可能である。これは、連携端末200を公衆化できる可能性を含んでおり、産業上重要である。連携端末200が公衆化できれば、例えば上記の3つの例においても、使用者が連携端末200を保持したり持ち歩いたりする必要がなく、外出先、出張先、屋外での公衆の連携端末200を使用してサービスを利用する事が可能となる。
【0039】
連携端末200が公衆設置である事を考えた場合、使用者による連携端末200の使用が終了した後、使用者のIMPU115を持った連携端末200が他人に使用される恐れがある。これを防ぐには、連携端末200のIMPU115を無効化するため、使用者が保持する携帯端末200から同じIMPU115に対するIMS再登録処理(3GPP TS 24.228準拠)を行えば良い。IMPU115を連携端末200から携帯端末100に引き寄せれば、IMSシステム側で携帯端末200のコンタクトアドレスとIMPU115が関連付けされ、逆に、連携端末200のコンタクトアドレスとIMPU115の関連付けは解除されるためである。
【実施例2】
【0040】
第2の実施例は、実施例1を拡張し、よりセキュリティを高めた実施例である。携帯端末100が予め使い捨てのユーザIDを入手することにより、連携端末200に対しICカード112内のID情報を開示しない形態である。本実施例を図面に基づいて説明する。本実施例では、図13に示すように、実施例1の構成要素に携帯端末100に使い捨てのワンタイムIDを発行するワンタイムID発行サーバ450と、連携端末200がIMS登録処理を行う場合と、IMS登録処理後のコンテンツダウンロード時に仲介役となるプロキシサーバ550を含む。
【0041】
図14は本実施例のIMS登録処理のシーケンス図である。図14では、図10に対し、ワンタイムID発行サーバ450とプロキシサーバ550が追加されている。ワンタイムID発行サーバ450は携帯端末100のワンタイムID発行要求に対しワンタイムIDを発行する。この際、複数のワンタイムIDを発行してもよい。携帯端末100はワンタイムIDを利用することにより、真正のID(IMPI114、IMPU115)を開示することなく連携端末200でIMS登録処理を行うことができる。また、連携端末200がプロキシサーバ550を介してIMS登録処理とコンテンツダウンロードを行うことにより、プロキシサーバ550がセッションを保持し、連携端末200にはコンテンツの配信元を隠蔽する。
【0042】
ワンタイムID発行要求(5001)は、携帯端末100が連携端末200との認証処理に先立ってワンタイムID発行サーバ450に対して行うものである。ワンタイムID発行要求を受信したワンタイムID発行サーバ450は、HSS930に対し、発行する1以上のワンタイムIDと携帯端末100の真正のID(IMPI114、IMPU115)との紐付け登録を行う(5002)。紐付け登録確認応答(5003)受信後に、携帯端末100にワンタイムIDの発行がなされる(5004)。上記処理後、図10と同様に、携帯端末100と連携端末200の間で、通信開始要求、通信開始応答がなされる(5005,5006)。
【0043】
携帯端末100は連携端末200からID転送要求を受信すると(5007)、ワンタイムID転送要求を返信する(5008)。連携端末200が受信するのは使い捨てのワンタイムIDのみであり、ここからユーザを特定することは不可能であり、ユーザの通信履歴などが連携端末200に残る心配はない。また、ID転送要求はプロキシサーバに転送され、IMSネットワークへの登録処理をプロキシサーバ550に代行させる。実施例1と異なり、HSSはワンタイムIDから紐付けされた真正IDを検索する(5015)。その後は、実施例1と同様の動作を行う。認証計算処理要求(5022)は、プロキシサーバ550から、連携端末200を介して携帯端末100に送信される。
【0044】
図15は、図14の続きである。認証計算処理応答(5023)は、実施例1と同様の手順で行われる。以後SIP Register(5024)から200 OK(5034)までは図11と同様の手順で行われる。接続完了通知(5035)は、プロキシサーバ550がIMS登録処理を完了したことを連携端末200に通知するものであり、これを受けた連携端末200は実施例1と同様に携帯端末100との間で通信終了要求(5036)、通信終了応答(5037)を行う。
【0045】
IMS登録処理後の連携端末200によるコンテンツダウンロードは、プロキシサーバ550を介して行われる。本実施例では、IMS登録が完了すると、IMSシステム側(P-CSCF2 500, S-CSCF920, HSS930など)からは、プロキシサーバが携帯端末100のIMPU115と関連付けられているため、プロキシサーバ550は携帯端末100の加入契約者が使用していると判断する事ができる。実施例1と異なり、プロキシサーバ550がIMSネットワークに登録され、サービスを受けることとなる。
【0046】
連携端末200がコンテンツプロバイダからコンテンツをダウンロードする場合、プロキシサーバ550にコンテンツのダウンロードの転送要求を行う形態をとる。これにより、連携端末200が街中などに設置される不特定多数の端末である場合でも、連携端末200にセッションを持たさないことにより、ユーザは安心して利用することができる。
また、連携端末200とコンテンツプロバイダ等との間にプロキシサーバ550が介在することにより、連携端末200に対して、コンテンツ配信元を隠蔽することが可能となる。
【0047】
例えば、ユーザが出先で連携端末200となるネットワークに接続されたTVなどにより自宅のDVDレコーダーの録画を鑑賞する場合を考える。ユーザは自宅のホームゲートウェイを介してDVDレコーダーの録画を連携端末200にダウンロードする。この際に、プロキシサーバ550が間に介在しない場合は、ホームゲートウェイのURLなど、個人に係る情報が連携端末200に記録される可能性がある。プロキシサーバ550を間に介在させることにより、配信元のURLを連携端末200に教えることなくDVDプレーヤーの録画のみをダウンロード可能となり、よりセキュリティ性を高めることができる。また、ワンタイムIDに使用期限を設けることにより、連携端末200が不正にワンタイムIDを保持しておき、ユーザの許可なくサービスを受けようとしても、図12でいうHSS930にサービスの契約情報を確認する際(4004)に、ワンタイムIDの使用期限を調べることにより、不正使用を防ぐことが可能となる。サービスを受ける処理については、図12で示す処理を基に、HSS930でワンタイムIDの使用期限を調べる機能を追加することにより実現できるので、詳細な説明については省略する。
【図面の簡単な説明】
【0048】
【図1】IMSシステムを含んだ全体構成図の一例を示している。
【図2】携帯端末100の構成の一例を示している。
【図3】連携端末200の構成の一例を示している。
【図4】ICカード112に記録される情報を示している。
【図5】携帯端末 100のメモリ107に記録された通信用プログラム 113と連携端末 200のメモリ207に記録された通信用プログラム213のメイン処理フローの一例を示している。
【図6】通信用プログラム 113と通信用プログラム213のサブルーチン 通信開始処理(1001,2001)の処理フローの一例を示している。
【図7】通信用プログラム 113と通信用プログラム213のサブルーチン ID転送処理(1002,2002)の処理フローの一例を示している。
【図8】通信用プログラム 113と通信用プログラム213のサブルーチン 認証計算処理(1003,2004)の処理フローの一例を示している。
【図9】通信用プログラム 113と通信用プログラム213のサブルーチン 通信終了処理(1004,2006)の処理フローの一例を示している。
【図10】3GPP TS 24.228にて規定されるIMS登録処理のシーケンス図の一例を示している。
【図11】3GPP TS 24.228にて規定されるIMS登録処理のシーケンス図の一例であり、図10の続きである。
【図12】IMS登録処理後の連携端末によるコンテンツダウンロードの一例を示している。
【図13】実施例2におけるIMSシステムを含んだ全体構成図の一例を示している。
【図14】実施例2におけるIMS登録処理のシーケンス図の一例を示している。
【図15】実施例2におけるIMS登録処理のシーケンス図の一例であり、図13の続きである。
【図16】本発明の応用例を示している。
【符号の説明】
【0049】
100 ICカードを搭載した携帯端末
101 携帯端末100の第1の通信制御部
102 携帯端末100の通信制御部101と接続される通信用インタフェース
103 端末100の第2の通信制御部
104 端末100の通信制御部103と接続される通信用インタフェース
105 携帯端末100のプログラム処理部
106 携帯端末100の制御部
107 携帯端末100のメモリ
108 携帯端末100の画面出力部
109 携帯端末100の入力部
110 携帯端末100のICカード読取部
111 携帯端末100のICカード格納部
112 携帯端末100のICカード
113 携帯端末100のメモリ107に記録される通信用プログラム
114 携帯端末100のICカード112上のデータ Private User ID(IMPI)
115 携帯端末100のICカード112上のデータ Public User ID(IMPU)
116 携帯端末100のICカード112上のデータ ホームネットワークドメインURI(HomeURI)
117 携帯端末100のICカード112上のデータ 長期秘密鍵(長期共有秘密鍵)
200 携帯端末100と連携する連携端末
201 200の第1の通信制御部
202 連携端末200の通信制御部201と接続される通信用インタフェース
203 連携端末200の第2の通信制御部
204 連携端末200の通信制御部203と接続される通信用インタフェース
205 連携端末200のプログラム処理部
206 連携端末200の制御部
207 連携端末200のメモリ
208 連携端末200の画面出力部
209 連携端末200の入力部
213 連携端末200のメモリ207に記録される通信用プログラム
300 近端通信網
400 SIPプロキシサーバ P-CSCF1
450 ワインタイムID発行サーバ
500 SIPプロキシサーバ P-CSCF2
550 プロキシサーバ
600 携帯端末100がIMS共通網800に接続するためのアクセス網
700 連携端末200がIMS共通網800に接続するためのアクセス網
800 IMS共通網
900 IMSホーム網
910 SIPプロキシサーバ I-CSCF
920 SIPプロキシサーバ S-CSCF
930 アプリケーションサーバ HSS
940 アプリケーションサーバ AS
【技術分野】
【0001】
発明は、端末ユーザの認証が必要となるネットワークにおいて、ユーザ識別情報を持たない端末をネットワークに接続するための技術に関し、特に、携帯電話に関する標準化機構 3GPP(Third Generation Partnership Project), 3GPP2(Third Generation Partnership Project 2)にて規定されるIMS(IP Multimedia Subsystem)ネットワークでの利用を想定した、ネットワークへ接続する際の安全かつ利便性の高い端末の認証方法に関する。
【背景技術】
【0002】
携帯電話における第3世代(3G : Third Generation)ネットワークは、携帯電話網とインターネットという2つのパラダイムを統合しようとする技術である。インターネットが提供するあらゆるサービスへのユビキタスな無線アクセスを実現する3Gアーキテクチャの鍵となる技術がIMS (IP Multimedia Subsystem)である。IMSは、標準化機構 3GPP(Third Generation Partnership Project), 3GPP2(Third Generation Partnership Project 2)にて標準化が進められている。また、IMSはシステムを構成する各ノードに至るアクセス経路が携帯電話網でない場合にも動作するよう設計されており、固定電話網、ADSLなどのブロードバンドアクセス網などを統合しようとする次世代ネットワークNGN(Next Generation Network)においても採用されている。
【0003】
NGN上にIMSを実装する事により、固定電話やPCなど携帯電話以外の機器に対する加入者特定・認証に関しても、携帯電話と同様の方法を持って実施でき、通信事業者がシステムを構築する上でのメリットがある。また、加入者に対しても、携帯電話と固定電話の契約を一本化できたり、携帯電話やPCからのインターネットアクセスにおける通信事業者からのサービスをシームレスに享受できるというメリットがある。GPP/3GPP2により規定されているIMSにおいては、3G携帯電話端末を使用している加入者を認証するために、端末に搭載されるUICC(Universal Integrated Circuit Card)というICカードを利用する。認証するIMSシステム側と、端末上ICカードの双方に記憶された長期共有秘密鍵をベースに加入者の認証を行う(3GPP TS 24.228, 3GPP TS 33.102, 3GPP TS 33.102)。
【0004】
一方で、携帯電話端末の処理能力やメモリ容量、ディスプレイの大きさに制限がある事からマルチメディアコンテンツを十分な品質で視聴できないという課題の解決のために、PCのような比較的高機能な端末と携帯電話端末を連携させ、マルチメディアコンテンツの視聴の利便性を向上しようとする提案がなされている(特開2002-358260 号公報)。
【0005】
【特許文献1】特開2002-358260 号公報
【非特許文献1】3GPP TS 24.228; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; Signalling flows for the IP multimedia call control based on Session Initiation Protocol (SIP) and Session Description Protocol (SDP); Stage 3
【非特許文献2】3GPP TS 31.103; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; Characteristics of the IP Multimedia Services Identity Module (ISIM) application
【非特許文献3】3GPP TS 33.102; 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3G Security; Security architecture
【非特許文献4】IETF; Network Working Group; Request for Comments: 3310; Hypertext Transfer Protocol (HTTP) Digest Authentication Using Authentication and Key Agreement (AKA)
【発明の開示】
【発明が解決しようとする課題】
【0006】
ユーザがユーザ識別情報を持たない端末を用いて認証が必要なネットワークに接続する場合、なんらかの手段を用いて認証に必要な情報を端末に入力する必要がある。例えば、IMS (IP Multimedia Subsystem)における端末の認証にはICカードの搭載を必須としているため、外出時には携帯電話を使用しているが在宅時には固定電話を使用したいなどの理由で、一時的に他の端末を使用したい場合、端末の使用者が同一の加入者である事をシステム側に認識させるために、ICカードを該当機器に差し替える必要があり、利便性に欠ける。本発明では、ICカードの差し替えを不要とする事で、この第1の課題を解決する。
【0007】
さらに、外出先などに設置してある機器にICカードを差し替えるケースを考えた場合、ICカードに記録された長期共有秘密鍵を不正に読み取り、端末に記録される危険を伴っており、セキュリティ上の欠点がある。本発明では、ICカードの差し替えを行わず、長期共有秘密鍵を他の端末に公開しない事で、この第2の課題を解決する。また、携帯電話で再生できないマルチメディアコンテンツを他の機器に再生させようとした場合、特開2002-358260 号公報のような方法が利用できるが、「携帯加入者がサービス契約している場合のみ視聴可能なコンテンツの提供をする」など、コンテンツ提供側で加入者の特定を必要としたサービスを提供しようとした場合、特開2002-358260 号公報の方法では実現する事ができない。本発明では、他の機器へユーザ識別情報を転送する事で、コンテンツ提供側からの加入者特定を可能にし、この第3の課題を解決する。
【課題を解決するための手段】
【0008】
本発明では、携帯端末のユーザ識別情報を別の連携端末に転送させる事で、ユーザ識別情報を持たない連携端末が携帯端末に成り代わる手段を提供する。
ユーザ識別情報を有する認証デバイスと、ユーザ認証サーバと、接続される連携端末であって、前記認証デバイスと通信するための第1の通信用インタフェースと、前記ユーザ認証サーバと通信するための第2の通信用インタフェースと前記第1の通信用インタフェースを介し、前記認証デバイスから、前記ユーザ識別情報を含む第1のメッセージを受信すると、前記第1のメッセージから前記ユーザ識別情報を取り出し、前記第2の通信用インタフェースを介し、前記ユーザ識別情報を含む第2のメッセージを前記ユーザ認証サーバへ送信し、前記第2の通信用インタフェースを介し、前記ユーザ認証サーバから、前記ユーザ認証サーバが生成したパラメータを含む第3のメッセージを受信すると、前記第1の通信用インタフェースを介し、前記パラメータを前記認証デバイスと前記ユーザ認証サーバで共有する秘密鍵により処理することを要求するメッセージを前記認証デバイスに送信するためのプログラム処理部と、を有することを特徴とする連携端末。
【発明の効果】
【0009】
ICカードの差し替えを伴わずに連携端末が携帯端末に成り代わる事により、携帯端末の使用者は、他の端末を従来より簡単に利用する事が可能となる。また、秘密共有鍵の不正読取を防止する事で、外出先などに設置してある公衆端末の高いセキュリティレベルでの利用を可能にする。さらに、システム側から携帯端末と同一加入者と認識されるため、携帯端末の加入契約状況を引き継いだ状態で他の端末を利用する事ができる。システム側は、携帯端末以外の端末を認証するための専用の機能を具備しなくても済むため、システム保持者の設備の有効利用が図れる。
【発明を実施するための最良の形態】
【0010】
本発明の実施例を図面に基づいて説明する。
【実施例1】
【0011】
図1はIMS (IP Multimedia Subsystem) システムを含んだ全体構成図の例を示している。
携帯端末100はIC (Integrated Circuit) カードを搭載しており、連携端末200は携帯端末100と連携する。近端通信網300は携帯端末100と連携端末200を接続するためのものである。網のトポロジ、アーキテクチャに制限はない。本実施例では、USB (Universal Serial Bus) - 携帯電話用コネクタによる直接接続または無線接続(BlueTooth等)を実現方式として想定する。
【0012】
SIPプロキシサーバ P-CSCF(Proxy - Call/Session Control Function) 1 400は携帯端末100が接続されるアクセス網600に接続される。これは3GPP(Third Generation Partnership Project), 3GPP2(Third Generation Partnership Project 2)により規定された機能を具備する。また、P-CSCF1 400はユーザの登録時に割り当てられ、ユーザとアクセス網を通じて接続される。認証を行った後のユーザ端末との間の通信はIPsecで行われる。P-CSCF1 400は携帯端末100とのSIP (Session Initiation Protocol) リクエストの送受信を直接行う。SIPプロキシサーバ P-CSCF2。 500は連携端末200が接続されるアクセス網700に接続される。これは3GPP/3GPP2により規定された機能を具備する。P-CSCF2 500は連携端末200とのSIPリクエストの送受信を直接行う。
【0013】
アクセス網600は携帯端末100がIMS共通網800に接続するためのものである。網のトポロジ、アーキテクチャに制限はない。本実施例では、3GにおけるGPRS (General Packet Radio Service) を実現方式として想定する。IMSにおけるローミング網の位置づけとなる。アクセス網700は連携端末200がIMS共通網800に接続するためのものである。網のトポロジ、アーキテクチャに制限はない。本実施例では、インターネット接続(ダイヤルアップ接続、ADSL (Asymmetric Digital Subscriber Line、FTTH (Fiber To The Home)等)を想定する。IMSにおけるローミング網の位置づけとなる。IMS共通網800はアクセス網600、アクセス網700、IMSホーム網900を相互接続するものである。網のトポロジ、アーキテクチャに制限はない。IMSホーム網900はIMS共通網800と接続するものである。網のトポロジ、アーキテクチャに制限はない。携帯端末100を使用する加入者が契約している通信事業者が管理するネットワークであり、加入者に対するサービスを提供する各ノードが接続されている。
【0014】
SIPプロキシサーバ I-CSCF 910はIMSホーム網900と接続するものである。これは3GPP/3GPP2により規定された機能を具備する。I-CSCF910はIMSホーム網に位置し、登録しようとしているユーザの加入者情報が格納されたHSS930を特定する。次に、HSS930からの指示によりS-CSCF920に登録処理を引き継ぐ。また、アクセス網600に接続されたP-CSCF1 400、アクセス網700に接続されたP-CSCF2 500から転送されたSIPリクエストを送受信する。I-CSCF (Interrogating - Call/Session Control Function) のSIP URI(Uniformed Resorce Identifier)はIMS共通網上のDNS(Domain Name Server)に登録され、IMSホーム網の持つドメイン名と関連付けられている。そのため、P-CSCFからIMSホーム網へ接続する際の入り口となる。
【0015】
SIPプロキシサーバ S-CSCF (Serving - Call/Session Control Function) 920はIMSホーム網900と接続するである。これは3GPP/3GPP2により規定された機能を具備する。また、S-CSCF920はユーザ識別情報の管理、各加入者の加入しているサービスのプロファイル情報、認証用情報の管理等を行う。I-CSCF 910から転送されたSIPリクエストを送受信する。加入者毎に特定のS-CSCF920が割り当てられ、S-CSCF920は割り当てられた加入者に対するサービス処理を行う。アプリケーションサーバ HSS (Home Subscriber Server) 930はIMSホーム網900と接続するものである。これは3GPP/3GPP2により規定された機能を具備する。加入者に関する情報を全て記録しており、契約状況などのデータベースを保持する。I-CSCF 910、S-CSCF 920とDiameterプロトコル (RFC 3588) により通信を行う。アプリケーションサーバ AS (Application Server) 940はIMSホーム網900と接続するものである。これは3GPP/3GPP2により規定された機能を具備する。加入者サービスに対するアプリケーションを実装しており、HSS 930とのインタフェースを持つ。
【0016】
図2は携帯端末100の構成を示している。第1の通信制御部101は、アクセス網1 600と接続するための通信制御を行う。具体的な処理方式は3G (Third Generation) 携帯電話端末のそれと同様に実装できる。102は通信制御部101と接続される通信用インタフェースであり、携帯電話の送受信アンテナと同様に実装できる。第2の通信制御部103は、近端通信網300と接続するための通信制御を行う。具体的な処理方式は3G携帯電話端末のそれと同様に実装できる。通信用インタフェース104は通信制御部103と接続される。携帯電話の外部接続用コネクタまたはBlueTooth等の送受信アンテナと同様に実装できる。プログラム処理部105は、メモリ上のプログラムを実行(演算)するプロセッサである。CPU (Central Procession Unit)のような汎用プロセッサ等で実現可能である。制御部106は、バスに接続される各機能部の管理を行ったり、データ転送タイミングの制御等、装置全体の処理制御を行う。メモリ107は、通信用プログラム113を記録する。
【0017】
画面出力部108は、使用者への情報表示等の画面出力に使用される。液晶画面等により実現可能である。入力部109は、使用者からのプログラム起動指示等の入力に使用される。キーボード等により実現可能である。ICカード読取部110は、ICカード格納部 111に格納されたICカード 112に記録された情報を読み取る装置である。3G携帯電話端末と同様に実現可能である。ICカード格納部111はICカード112を格納し、ICカード読取部110と接続する装置である。3G携帯電話端末と同様に実現可能である。ICカード112は、3GPP TS 31.103により規定されるユーザ識別情報が記録される。3G携帯電話端末と同様に実現可能である。通信用プログラム113はメモリ107に記録されるものであり、連携端末200に搭載された通信プログラム213とプロセス間通信を行うための処理手続きが示されている。
【0018】
図3は連携端末200の構成を示している。第1の通信制御部201は、アクセス網2 700と接続するための通信制御を行う。具体的な処理方式はパーソナルコンピュータ用のネットワークインタフェースカード等と同様に実装できる。通信用インタフェース202は通信制御部201と接続されるものであり、パーソナルコンピュータ用のネットワークインタフェースコネクタ等と同様に実装できる。第2の通信制御部203は、近端通信網300と接続するための通信制御を行う。具体的な処理方式は3G携帯電話端末のそれと同様に実装できる。通信用インタフェース204は通信制御部2 203と接続されるものであり、携帯電話の外部接続用コネクタまたはBlueTooth等の送受信アンテナと同様に実装できる。
【0019】
プログラム処理部205は、メモリ上のプログラムを実行(演算)するプロセッサである。CPUのような汎用プロセッサ等で実現可能である。制御部206は、バスに接続される各機能部の管理を行ったり、データ転送タイミングの制御等、装置全体の処理制御を行う。従来技術により実装できる。メモリ207は、通信用プログラム213を記録する。画面出力部208は、使用者への情報表示等の画面出力に使用される。液晶画面等により実現可能である。入力部209は、使用者からのプログラム起動指示等の入力に使用される。キーボード等により実現可能である。通信用プログラム213はメモリ207に記録されるものであり、携帯端末100に搭載された通信プログラム113とプロセス間通信を行うための処理手続きが示されている。
【0020】
図4はICカード112に記録される情報を示している。記録される情報は、3GPP TS 31.103により規定される。全てのフィールド(114〜117)は読出しのみ可能であり、ユーザは値を変更する事はできない。Private User ID(IMPI)114は、ユーザに割り当てられるプライベートユーザIDを示すSIP URIである。ICカード112に格納されるIMPI114は1つのみである。Public User ID(IMPU)115は、ユーザに割り当てられるパブリックユーザIDを示すSIP URIである。ICカード112には1つ以上のIMPU115が格納される。ホームネットワークドメインURI(HomeURI)116は、ホームネットワークのドメイン名を含むSIP URIである。この情報は、IMS登録処理時にホームネットワークのアドレスを探すために用いられる。ICカード112に格納されるHomeURI116は1つのみである。長期秘密鍵(長期共有秘密鍵)117は、認証に使用したり、端末とネットワーク間で使われる完全性保証鍵(IK)と暗号化鍵(CK)の計算のために使用したりする。
【0021】
図5は携帯端末 100のメモリ107に記録された通信用プログラム 113と連携端末 200のメモリ207に記録された通信用プログラム213のメイン処理フローを示している。まず、通信プログラム113,213双方において、通信開始処理(1001,2001)が起動され、通信プログラム113と213との通信が開始する。サブルーチンの内部は後述する。次に、通信プログラム113,213双方において、ID転送処理(1002,2002)が起動され、携帯端末100に格納されたICカード112に記録されたユーザ識別情報(ID情報)を携帯端末200に転送する。サブルーチンの内部は後述する。次に、通信プログラム213において、IMS登録処理(2003)が起動される。これは、3GPP TS 24.229に規定されるIMS登録処理における1回目のSIP REGISTERリクエストをP-CSCF2 500に送信する処理である。次に、通信プログラム113,213双方において、認証計算処理(1003,2004)が起動される。通信プログラム213は、IMS登録処理(2003)の処理の中でP-CSCF2 500から受信したパラメータを使用して、通信プログラム113に認証情報の作成を依頼する。サブルーチンの内部は後述する。次に、通信プログラム213において、IMS登録処理(2005)が起動される。これは、3GPP TS 24.229に規定されるIMS登録処理における2回目のSIP REGISTERリクエストをP-CSCF2 500に送信する処理である。この処理でIMS登録処理が完了する。最後に、通信プログラム113,213双方において、通信終了処理(1004,2006)が起動され、通信プログラム113と213との通信が終了する。サブルーチンの内部は後述する。
【0022】
図6は通信用プログラム 113と通信用プログラム213のサブルーチン 通信開始処理(1001,2001)の処理フローを示している。まず、携帯端末100と連携端末200を近端通信網300によって接続することにより、もしくは、携帯端末100と連携端末200を近端通信網300によって接続し連携端末200の入力部209からの操作することにより、通信プログラム113において、連携端末200からの通信待受けを開始する(1011)。並行して、通信プログラム213において、自身のインタフェースの状態を取得し、携帯端末 100と直接接続であるかを判断する(2011)。直接接続であった場合、直接接続された機器を携帯端末 100と設定し、次の処理に進む(2013)。直接接続でない場合、画面出力部 208に携帯端末 100のネットワークID(アドレス等)を入力させる画面を表示する。入力部 209から入力を受けると、入力されたネットワークIDを携帯端末100と設定し、次の処理に進む(2012)。
【0023】
次に、通信プログラム213において、設定された携帯端末100に対し通信開始要求を送信する(2014)。通信プログラム113は、通信プログラム213から送信された通信開始要求を受信する(1012)。ここで、通信プログラム113において、連携端末200と接続可能かどうかの判定を行う事も可能だが、この実施例では省略している。次に、通信プログラム113は、通信プログラム213に対し通信開始応答を送信する(1013)。通信プログラム213は、通信プログラム113からの通信開始応答を受信する(2015)。この受信完了により、通信プログラム113と213との通信処理を可能とする。次に、通信プログラム113,213双方において、お互いの通信をオンライン状態に内部メモリを更新し(1014, 2016)、サブルーチン 通信開始処理を終了する。
【0024】
図7は通信用プログラム 113と通信用プログラム213のサブルーチン ID転送処理(1002,2002)の処理フローを示している。まず、通信プログラム213において、通信プログラム113に対しID転送要求を送信する(2021)。通信プログラム113は、通信プログラム213からのID転送要求を受信すると、次の処理に進む(1021)。次に、通信プログラム113において、自身のICカード読取部110に対しID情報のREAD要求を発行し、データを読み取る(1022)。ここで読み取られるデータは、IMPI114, IMPU115, HomeURI116の3つである。これらの情報は、通信プログラム213が処理2003にてP-CSCF2 500に対し送信するSIP REGISTERリクエストを作成するのに必要な情報である。次に、通信プログラム113は、処理1022にて読み取ったID情報を通信プログラム213に送信する(1023)。通信プログラム213は、通信プログラム113からのID情報を受信し(2022)、サブルーチン ID転送処理を終了する。
【0025】
図8は通信用プログラム 113と通信用プログラム213のサブルーチン 認証計算処理(1003,2004)の処理フローを示している。まず、通信プログラム213において、通信プログラム113に対し認証計算処理要求を送信する(2031)。この時、処理2003の応答としてP-CSCF2 500から受信したパラメータ、RAND(ランダムチャレンジ値)、AUTN(ネットワーク認証トークン)を要求に含める。通信プログラム113は、通信プログラム213からの認証計算処理要求を受信すると、次の処理に進む(1031)。次に、通信プログラム113において、自身のICカード読取部110に対し長期秘密鍵(KI)117のREAD要求を発行し、データを読み取る(1032)。
【0026】
次に、通信プログラム113は、処理1031において通信プログラム213から受信したRANDと処理1032において読み取った長期秘密鍵(KI)117から、認証情報を算出する(1033)。認証情報とは、RES(チャレンジ値に対するレスポンス値)、CK(暗号化のためのセッション鍵)、IK(完全性保証のためのセッション鍵)の3つである。算出方法は、3GPP TS 33.102に規定されたアルゴリズムに従う。また、このタイミングでネットワーク認証トークン AUTNの正当性確認を行い、ネットワーク認証を行う。次に、通信プログラム113は、処理1023にて算出した認証情報(RES, CK, IK)を通信プログラム213に送信する(1034)。通信プログラム213は、通信プログラム113からの認証情報を受信し(2032)、サブルーチン 認証計算処理を終了する。
【0027】
図9は通信用プログラム 113と通信用プログラム213のサブルーチン 通信終了処理(1004,2006)の処理フローを示している。まず、通信プログラム213において、通信プログラム113に対し通信終了要求を送信する(2041)。通信プログラム113は、通信プログラム213から送信された通信終了要求を受信する(1041)。次に、通信プログラム113は、通信プログラム213に対し通信終了応答を送信する(1042)。通信プログラム213は、通信プログラム113からの通信終了応答を受信する(2042)。この受信完了により、通信プログラム113と213との通信処理を終了する。次に、通信プログラム113,213双方において、お互いの通信をオフライン状態にメモリ107を更新し(1043, 2043)、サブルーチン 通信終了処理を終了する。
【0028】
図10は、3GPP TS 24.228にて規定されるIMS登録処理のシーケンス図である。図10において、縦の線はそれぞれ、携帯端末 100、連携端末 200、P-CSCF2 500、I-CSCF 910、S-CSCF 920、HSS 930を示している。シーケンスの中で、連携端末200がSIP UA(User Agent)として動作し、IMSシステムノード(P-CSCF2 500、I-CSCF 910、S-CSCF 920、HSS 930)からは、携帯端末100は隠蔽される。言い換えると、シーケンス上では連携端末200はあたかもICカード112を搭載した携帯端末100のように振舞う。通信開始要求(3001)は、前述した処理1012, 2014を示している。通信開始応答(3002)は、前述した処理1013, 2015を示している。ID転送要求(3003)は、前述した処理1021, 2021を示している。ID転送応答(3004)は、前述した処理1022, 1023, 2022を示している。転送されたID情報(IMPI114, IMPU115, HomeURI116)は連携端末200に保持される。
【0029】
図11は、3GPP TS 24.228にて規定されるIMS登録処理のシーケンス図であり、図10の続きである。認証計算処理要求(3018)は、前述した処理1031, 2031を示している。認証計算処理応答(3019)は、前述した処理1032, 1033, 1034, 2032を示している。転送された認証情報(CK, IK, RES)は連携端末200に保持される。通信終了要求(3031)は、前述した処理1041, 2041を示している。 通信終了応答(3032)は、前述した処理1042, 2042を示している。
【0030】
図12は、IMS登録処理後の連携端末200によるコンテンツダウンロードの例を示している。IMS登録が完了すると、IMSシステム側(P-CSCF2 500, S-CSCF920, HSS930など)からは、連携端末200が携帯端末100のIMPU116と関連付けられているため、連携端末200は携帯端末100の加入契約者が使用していると判断する事ができる。
【0031】
図12において、縦の線はそれぞれ、携帯端末100、連携端末200、P-CSCF2 500、I-CSCF910、S-CSCF 920、AS 940、HSS 930、コンテンツプロバイダを示している。シーケンスの中で、連携端末200がSIP UA(User Agent)として動作する。連携端末 200からP-CSCF2 500に対するセッション開始要求(SIP INVITEリクエスト)が送信される(4001)。P-CSCF2 500は、送信元のIPアドレスとリクエストに付与されたIMPU116が、自身に登録された情報と一致する事を検証した上で、SIP INVITEリクエストをS-CSCF 920へ転送する(4002)。IMS登録の際、該当のIMPU116に対するS-CSCF920のIPアドレスをP-CSCF2 500は通知されているため、I-CSCF910を経由せずにS-CSCF920にリクエストを転送する。次に、S-CSCF 920はフィルタクライテリア(フィルタ基準)という従来技術を用いて、リクエストの転送先を決定する(4003)。図12の例では、リクエストに付与されたサービスIDを基準として、サービス認証用のAS(Application Server)940へリクエストを転送する。
【0032】
AS 940はS-CSCF 920から転送されたリクエストを受信し、リクエスト送信元であるIMPU116が、同リクエストに付与されたサービスIDの契約が行われているかどうかを、HSS 930へ確認する(4004)。HSS 930は、IMPU116、サービスIDから契約状況をHSS 930上のデータベースから検索し、AS 940へ応答する(4005)。AS 940はHSS 930からの契約状況の応答を受信し、契約済であれば、以降の処理を継続できるようにS-CSCF 920に応答する(4006)。もし、IMPUの不正や未契約を検知した場合は、エラーをS-CSCF 920に応答する。S-CSCF 920は契約状況が確認できた場合、コンテンツプロバイダに連携端末 200から発信されたSIP INVITEリクエストを転送する(4007)。
【0033】
コンテンツプロバイダはSIP UAとして動作し、SIP 200 OKレスポンスを応答する(4008)。SIP 200 OKレスポンスは、S-CSCF 920、P-CSCF2 500を経由して、連携端末 200に応答される(4009,4010)。この応答が到着すると、SIPセッションが連携端末 200とコンテンツプロバイダの間で確立され、任意のデータ転送が可能となる。また、通常のSIPセッション開始において、図12に示した処理の他に、QoS(Quality of Service)能力やコンテンツ再生能力の通知、QoSリソースの割当確認などが行われる。連携端末 200がコンテンツをダウンロードする一連の処理(4011)〜(4016)は、コンテンツダウンロード完了まで、複数のリクエスト・レスポンスがやり取りされる事になる。
SIPセッション上でのコンテンツのやり取りが完了し、SIPセッションを終了する手続き(4017)〜(4022)は、具体的には、連携端末 200がSIP BYEリクエストを送信し、P-CSCF2 500、S-CSCF 920を経由してコンテンツプロバイダに到着する。コンテンツプロバイダは、BYEリクエストに対するACKレスポンスを送信し、SIPセッションを完了させる。
【0034】
図12の例で示したように、IMS登録処理の後は連携端末 200と携帯端末 100の通信は行われず、連携端末 200のみでSIPセッションの確立を行ったり、携帯端末加入者向けのサービスをプロバイダから受ける事が可能となる。実施例1ののより具体的な応用例を図16に示す。携帯端末100に成り代わる連携端末200の例として、IP-TV6002、PC6003、固定電話6004を示している。
【0035】
IP-TV6002の例(図16上段)では、あるコンテンツプロバイダ6005が提供する映像をIP-TV6002 - コンテンツプロバイダ6005間のSIPセッション上で配信を受け、映像をIP-TV6002上に表示させる。この際、連携端末200であるIP-TV6002は携帯端末100のIMPU115を持っており、コンテンツプロバイダ6005はSIPリクエスト等に含まれるIMPU115を確認する事ができる。これにより、コンテンツプロバイダ6005は、IMPU115と関連付けられる加入者を特定する事ができ、加入者のサービス契約状況に応じたコンテンツ配信を行う事が可能となる。また、従来技術との組合せにより、IMSシステム上でオンライン課金を実現する事も可能となり、新たなビジネスモデル創発の可能性がある。
【0036】
PC6003の例(図16中段)では、PC6003が連携端末200となりIMSシステム上に登録される。一旦IMSシステム上に登録されると、他のIMS端末からその端末への発着信が可能となる。すなわち、他のIMS端末から連携端末200が持つ(携帯端末100から転送された)IMPU115に対するSIPセッションの発信が可能となり、TV電話端末6006から連携端末200となるPC6003に発信をして、TV電話セッションを開始する、などのサービスが実現可能となる。
【0037】
公衆電話6004の例(図16下段)では、公衆電話6004が連携端末200となりIMSシステム上に登録される。PCの例と同様に、発着信が可能であるため、例えば携帯端末100の電波が届かない場所などで有線の公衆電話6004へIMPU115を転送し、通話発信をするというサービスが実現可能となる。
【0038】
また、本発明の特徴として、携帯端末100と連携端末200が近端通信によりIMPU115の転送を行う点、連携端末200に長期共有秘密鍵117を転送しない点から、連携端末200の不正使用を極力防止する事が可能である。これは、連携端末200を公衆化できる可能性を含んでおり、産業上重要である。連携端末200が公衆化できれば、例えば上記の3つの例においても、使用者が連携端末200を保持したり持ち歩いたりする必要がなく、外出先、出張先、屋外での公衆の連携端末200を使用してサービスを利用する事が可能となる。
【0039】
連携端末200が公衆設置である事を考えた場合、使用者による連携端末200の使用が終了した後、使用者のIMPU115を持った連携端末200が他人に使用される恐れがある。これを防ぐには、連携端末200のIMPU115を無効化するため、使用者が保持する携帯端末200から同じIMPU115に対するIMS再登録処理(3GPP TS 24.228準拠)を行えば良い。IMPU115を連携端末200から携帯端末100に引き寄せれば、IMSシステム側で携帯端末200のコンタクトアドレスとIMPU115が関連付けされ、逆に、連携端末200のコンタクトアドレスとIMPU115の関連付けは解除されるためである。
【実施例2】
【0040】
第2の実施例は、実施例1を拡張し、よりセキュリティを高めた実施例である。携帯端末100が予め使い捨てのユーザIDを入手することにより、連携端末200に対しICカード112内のID情報を開示しない形態である。本実施例を図面に基づいて説明する。本実施例では、図13に示すように、実施例1の構成要素に携帯端末100に使い捨てのワンタイムIDを発行するワンタイムID発行サーバ450と、連携端末200がIMS登録処理を行う場合と、IMS登録処理後のコンテンツダウンロード時に仲介役となるプロキシサーバ550を含む。
【0041】
図14は本実施例のIMS登録処理のシーケンス図である。図14では、図10に対し、ワンタイムID発行サーバ450とプロキシサーバ550が追加されている。ワンタイムID発行サーバ450は携帯端末100のワンタイムID発行要求に対しワンタイムIDを発行する。この際、複数のワンタイムIDを発行してもよい。携帯端末100はワンタイムIDを利用することにより、真正のID(IMPI114、IMPU115)を開示することなく連携端末200でIMS登録処理を行うことができる。また、連携端末200がプロキシサーバ550を介してIMS登録処理とコンテンツダウンロードを行うことにより、プロキシサーバ550がセッションを保持し、連携端末200にはコンテンツの配信元を隠蔽する。
【0042】
ワンタイムID発行要求(5001)は、携帯端末100が連携端末200との認証処理に先立ってワンタイムID発行サーバ450に対して行うものである。ワンタイムID発行要求を受信したワンタイムID発行サーバ450は、HSS930に対し、発行する1以上のワンタイムIDと携帯端末100の真正のID(IMPI114、IMPU115)との紐付け登録を行う(5002)。紐付け登録確認応答(5003)受信後に、携帯端末100にワンタイムIDの発行がなされる(5004)。上記処理後、図10と同様に、携帯端末100と連携端末200の間で、通信開始要求、通信開始応答がなされる(5005,5006)。
【0043】
携帯端末100は連携端末200からID転送要求を受信すると(5007)、ワンタイムID転送要求を返信する(5008)。連携端末200が受信するのは使い捨てのワンタイムIDのみであり、ここからユーザを特定することは不可能であり、ユーザの通信履歴などが連携端末200に残る心配はない。また、ID転送要求はプロキシサーバに転送され、IMSネットワークへの登録処理をプロキシサーバ550に代行させる。実施例1と異なり、HSSはワンタイムIDから紐付けされた真正IDを検索する(5015)。その後は、実施例1と同様の動作を行う。認証計算処理要求(5022)は、プロキシサーバ550から、連携端末200を介して携帯端末100に送信される。
【0044】
図15は、図14の続きである。認証計算処理応答(5023)は、実施例1と同様の手順で行われる。以後SIP Register(5024)から200 OK(5034)までは図11と同様の手順で行われる。接続完了通知(5035)は、プロキシサーバ550がIMS登録処理を完了したことを連携端末200に通知するものであり、これを受けた連携端末200は実施例1と同様に携帯端末100との間で通信終了要求(5036)、通信終了応答(5037)を行う。
【0045】
IMS登録処理後の連携端末200によるコンテンツダウンロードは、プロキシサーバ550を介して行われる。本実施例では、IMS登録が完了すると、IMSシステム側(P-CSCF2 500, S-CSCF920, HSS930など)からは、プロキシサーバが携帯端末100のIMPU115と関連付けられているため、プロキシサーバ550は携帯端末100の加入契約者が使用していると判断する事ができる。実施例1と異なり、プロキシサーバ550がIMSネットワークに登録され、サービスを受けることとなる。
【0046】
連携端末200がコンテンツプロバイダからコンテンツをダウンロードする場合、プロキシサーバ550にコンテンツのダウンロードの転送要求を行う形態をとる。これにより、連携端末200が街中などに設置される不特定多数の端末である場合でも、連携端末200にセッションを持たさないことにより、ユーザは安心して利用することができる。
また、連携端末200とコンテンツプロバイダ等との間にプロキシサーバ550が介在することにより、連携端末200に対して、コンテンツ配信元を隠蔽することが可能となる。
【0047】
例えば、ユーザが出先で連携端末200となるネットワークに接続されたTVなどにより自宅のDVDレコーダーの録画を鑑賞する場合を考える。ユーザは自宅のホームゲートウェイを介してDVDレコーダーの録画を連携端末200にダウンロードする。この際に、プロキシサーバ550が間に介在しない場合は、ホームゲートウェイのURLなど、個人に係る情報が連携端末200に記録される可能性がある。プロキシサーバ550を間に介在させることにより、配信元のURLを連携端末200に教えることなくDVDプレーヤーの録画のみをダウンロード可能となり、よりセキュリティ性を高めることができる。また、ワンタイムIDに使用期限を設けることにより、連携端末200が不正にワンタイムIDを保持しておき、ユーザの許可なくサービスを受けようとしても、図12でいうHSS930にサービスの契約情報を確認する際(4004)に、ワンタイムIDの使用期限を調べることにより、不正使用を防ぐことが可能となる。サービスを受ける処理については、図12で示す処理を基に、HSS930でワンタイムIDの使用期限を調べる機能を追加することにより実現できるので、詳細な説明については省略する。
【図面の簡単な説明】
【0048】
【図1】IMSシステムを含んだ全体構成図の一例を示している。
【図2】携帯端末100の構成の一例を示している。
【図3】連携端末200の構成の一例を示している。
【図4】ICカード112に記録される情報を示している。
【図5】携帯端末 100のメモリ107に記録された通信用プログラム 113と連携端末 200のメモリ207に記録された通信用プログラム213のメイン処理フローの一例を示している。
【図6】通信用プログラム 113と通信用プログラム213のサブルーチン 通信開始処理(1001,2001)の処理フローの一例を示している。
【図7】通信用プログラム 113と通信用プログラム213のサブルーチン ID転送処理(1002,2002)の処理フローの一例を示している。
【図8】通信用プログラム 113と通信用プログラム213のサブルーチン 認証計算処理(1003,2004)の処理フローの一例を示している。
【図9】通信用プログラム 113と通信用プログラム213のサブルーチン 通信終了処理(1004,2006)の処理フローの一例を示している。
【図10】3GPP TS 24.228にて規定されるIMS登録処理のシーケンス図の一例を示している。
【図11】3GPP TS 24.228にて規定されるIMS登録処理のシーケンス図の一例であり、図10の続きである。
【図12】IMS登録処理後の連携端末によるコンテンツダウンロードの一例を示している。
【図13】実施例2におけるIMSシステムを含んだ全体構成図の一例を示している。
【図14】実施例2におけるIMS登録処理のシーケンス図の一例を示している。
【図15】実施例2におけるIMS登録処理のシーケンス図の一例であり、図13の続きである。
【図16】本発明の応用例を示している。
【符号の説明】
【0049】
100 ICカードを搭載した携帯端末
101 携帯端末100の第1の通信制御部
102 携帯端末100の通信制御部101と接続される通信用インタフェース
103 端末100の第2の通信制御部
104 端末100の通信制御部103と接続される通信用インタフェース
105 携帯端末100のプログラム処理部
106 携帯端末100の制御部
107 携帯端末100のメモリ
108 携帯端末100の画面出力部
109 携帯端末100の入力部
110 携帯端末100のICカード読取部
111 携帯端末100のICカード格納部
112 携帯端末100のICカード
113 携帯端末100のメモリ107に記録される通信用プログラム
114 携帯端末100のICカード112上のデータ Private User ID(IMPI)
115 携帯端末100のICカード112上のデータ Public User ID(IMPU)
116 携帯端末100のICカード112上のデータ ホームネットワークドメインURI(HomeURI)
117 携帯端末100のICカード112上のデータ 長期秘密鍵(長期共有秘密鍵)
200 携帯端末100と連携する連携端末
201 200の第1の通信制御部
202 連携端末200の通信制御部201と接続される通信用インタフェース
203 連携端末200の第2の通信制御部
204 連携端末200の通信制御部203と接続される通信用インタフェース
205 連携端末200のプログラム処理部
206 連携端末200の制御部
207 連携端末200のメモリ
208 連携端末200の画面出力部
209 連携端末200の入力部
213 連携端末200のメモリ207に記録される通信用プログラム
300 近端通信網
400 SIPプロキシサーバ P-CSCF1
450 ワインタイムID発行サーバ
500 SIPプロキシサーバ P-CSCF2
550 プロキシサーバ
600 携帯端末100がIMS共通網800に接続するためのアクセス網
700 連携端末200がIMS共通網800に接続するためのアクセス網
800 IMS共通網
900 IMSホーム網
910 SIPプロキシサーバ I-CSCF
920 SIPプロキシサーバ S-CSCF
930 アプリケーションサーバ HSS
940 アプリケーションサーバ AS
【特許請求の範囲】
【請求項1】
ユーザ識別情報を有する認証デバイスと、ユーザ認証サーバと、接続される連携端末であって、
前記認証デバイスと通信するための第1の通信用インタフェースと、
前記ユーザ認証サーバと通信するための第2の通信用インタフェースと
前記第1の通信用インタフェースを介し、前記認証デバイスから、前記ユーザ識別情報を含む第1のメッセージを受信すると、前記第1のメッセージから前記ユーザ識別情報を取り出し、前記第2の通信用インタフェースを介し、前記ユーザ識別情報を含む第2のメッセージを前記ユーザ認証サーバへ送信し、前記第2の通信用インタフェースを介し、前記ユーザ認証サーバから、前記ユーザ認証サーバが生成したパラメータを含む第3のメッセージを受信すると、前記第1の通信用インタフェースを介し、前記パラメータを前記認証デバイスと前記ユーザ認証サーバで共有する秘密鍵により処理することを要求するメッセージを前記認証デバイスに送信するためのプログラム処理部と、を有することを特徴とする連携端末。
【請求項2】
請求項1記載の連携端末であって、
ユーザからの入力処理を受け付けるための入力インタフェースと、
ユーザへの指示又は処理結果、コンテンツを表示するための出力インタフェースと、を有することを特徴とする連携端末。
【請求項3】
ユーザ識別情報を格納する手段を有する認証デバイスであって、
前記ユーザ識別情報を用いてユーザを認証するユーザ認証サーバとの間で秘密鍵を共有し、
前記ユーザ認証サーバとネットワークを介して接続された連携端末と通信を行うための通信用インタフェースと、
前記通信用インタフェースを介し、前記ユーザ識別情報を含む第1のメッセージを前記連携端末に送信し、前記通信用インタフェースを介し、前記連携端末から、前記秘密鍵で処理するパラメータを含む第2のメッセージを受信すると、前記通信用インタフェースを介し、前記秘密鍵により前記パラメータを処理した結果を前記連携端末に送信するための制御部と、を有することを特徴とする認証デバイス。
【請求項4】
請求項3記載の認証デバイスであって、
前記ユーザ識別情報と前記秘密鍵を格納するための記憶手段と、
前記記憶手段を格納するための記憶手段格納部と、
前記記憶手段に格納された前記ユーザ識別情報と前記秘密鍵を読み取るための記憶手段読取部と、を有することを特徴とする認証デバイス。
【請求項5】
ユーザ識別情報を有しない連携端末を認証するユーザ認証システムであって、
ユーザ識別情報を有する認証デバイスから、前記ユーザ識別情報を含む第1のメッセージを受信すると、前記第1のメッセージから前記ユーザ識別情報を取り出し、前記ユーザ識別情報を含む第2のメッセージをユーザ認証サーバに送信する前記連携端末と、
前記第2のメッセージを受信すると、前記認証デバイスとの間で共有する秘密鍵による認証に用いるパラメータを含む第3のメッセージを前記連携端末に送信する前記ユーザ認証サーバと、
前記連携端末から、前記連携端末が受信した前記パラメータを前記秘密鍵により処理することを要求する第4のメッセージを受信すると、前記秘密鍵により前記パラメータを処理した結果を含む第5のメッセージを前記連携端末に送信する前記ユーザ認証デバイスと、から構成されることを特徴とするユーザ認証システム。
【請求項6】
請求項5記載のユーザ認証システムであって、
前記ユーザ認証サーバは、前記ユーザ識別情報と、前記秘密鍵と、登録ユーザの加入サービスプロファイルを管理することを特徴とするユーザ認証システム。
【請求項7】
ユーザ識別情報を有しない連携端末を認証するユーザ認証システムであって、
前記連携端末との連携に使用するワンタイムユーザ識別情報を発行するワンタイムユーザ識別情報発行サーバと、
前記ワンタイムユーザ識別情報発行サーバから前記ワンタイムユーザ識別情報を含む第1のメッセージを受信し、前記ワンタイムユーザ識別情報を含む第2のメッセージを前記連携端末に送信する認証デバイスと、
前記認証デバイスから前記第2のメッセージを受信すると、前記ワンタイムユーザ識別情報を含む第3のメッセージをプロキシサーバに送信する前記連携端末と、
前記第3のメッセージを受信すると、前記ワンタイムユーザ識別情報を含む第4のメッセージをユーザ認証サーバに送信し、前記ユーザ認証サーバから前記認証デバイスと前記ユーザ認証サーバで共有する秘密鍵による認証に用いるパラメータを含む第5のメッセージを受信すると、前記連携端末を介し、前記パラメータを含む第6のメッセージを前記認証デバイスに送信する前記プロキシサーバと、
前記第6のメッセージに対する返答として前記秘密鍵により前記パラメータを処理した結果を含む第7のメッセージを前記プロキシサーバ経由で受信すると、自身が保有する前記秘密鍵により前記パラメータを処理した結果と照合する前記ユーザ認証サーバと、
を有することを特徴とするユーザ認証システム。
【請求項8】
請求項7記載のユーザ認証システムであって、
前記ワンタイムユーザ識別情報発行サーバは、前記認証デバイスからワンタイムユーザ識別情報の発行要求を受信すると、前記ワンタイムユーザ識別情報を発行し、
前記ユーザ認証サーバに、前記ワンタイムユーザ識別情報と前記認証デバイスが有する前記ユーザ識別情報とを関連付けて登録することを特徴とするユーザ認証システム。
【請求項9】
請求項7記載のユーザ認証システムであって、
前記認証デバイスは、ワンタイムユーザ識別情報の発行要求を前記ワンタイムユーザ識別情報発行サーバに送信し、
前記ワンタイムユーザ識別情報発行サーバから前記ワンタイムユーザ識別情報を受信すると、前記ワンタイム識別情報を記憶手段に格納することを特徴とするユーザ認証システム。
【請求項10】
請求項9記載の認証デバイスであって、
前記ユーザ識別情報と前記秘密鍵を格納するための前記記憶手段と、
前記記憶手段を格納するための記憶手段格納部と、
前記記憶手段に格納された前記ユーザ識別情報と前記秘密鍵を読み取るための記憶手段読取部と、
を有することを特徴とする認証デバイス。
【請求項11】
請求項7記載のユーザ認証システムであって、
前記連携端末は、前記ワンタイムユーザ識別情報を含むセッション開始要求を前記プロキシサーバに送信し、
前記プロキシサーバは、受信したセッション開始要求から、前記ワンタイムユーザ識別情報を取り出し、前記ワンタイムユーザ識別情報を含むユーザの契約状況要求を前記ユーザ認証サーバに送信し、
前記ユーザ認証サーバからユーザの契約状況応答を受信すると、前記セッション開始要求をコンテンツ配信サーバに転送することを特徴とするユーザ認証システム。
【請求項12】
請求項11記載のユーザ認証システムであって、
前記プロキシサーバは、前連携端末から、前記セッション開始要求を受信すると、前記ワンタイムユーザ識別情報の有効期限以内の場合は、前記セッション開始応答を返信し、コンテンツサーバからの通信を転送し、前記ワンタイムユーザ識別情報の有効期限が切れていた場合は、エラーメッセージを返信することを特徴とするユーザ認証システム。
【請求項1】
ユーザ識別情報を有する認証デバイスと、ユーザ認証サーバと、接続される連携端末であって、
前記認証デバイスと通信するための第1の通信用インタフェースと、
前記ユーザ認証サーバと通信するための第2の通信用インタフェースと
前記第1の通信用インタフェースを介し、前記認証デバイスから、前記ユーザ識別情報を含む第1のメッセージを受信すると、前記第1のメッセージから前記ユーザ識別情報を取り出し、前記第2の通信用インタフェースを介し、前記ユーザ識別情報を含む第2のメッセージを前記ユーザ認証サーバへ送信し、前記第2の通信用インタフェースを介し、前記ユーザ認証サーバから、前記ユーザ認証サーバが生成したパラメータを含む第3のメッセージを受信すると、前記第1の通信用インタフェースを介し、前記パラメータを前記認証デバイスと前記ユーザ認証サーバで共有する秘密鍵により処理することを要求するメッセージを前記認証デバイスに送信するためのプログラム処理部と、を有することを特徴とする連携端末。
【請求項2】
請求項1記載の連携端末であって、
ユーザからの入力処理を受け付けるための入力インタフェースと、
ユーザへの指示又は処理結果、コンテンツを表示するための出力インタフェースと、を有することを特徴とする連携端末。
【請求項3】
ユーザ識別情報を格納する手段を有する認証デバイスであって、
前記ユーザ識別情報を用いてユーザを認証するユーザ認証サーバとの間で秘密鍵を共有し、
前記ユーザ認証サーバとネットワークを介して接続された連携端末と通信を行うための通信用インタフェースと、
前記通信用インタフェースを介し、前記ユーザ識別情報を含む第1のメッセージを前記連携端末に送信し、前記通信用インタフェースを介し、前記連携端末から、前記秘密鍵で処理するパラメータを含む第2のメッセージを受信すると、前記通信用インタフェースを介し、前記秘密鍵により前記パラメータを処理した結果を前記連携端末に送信するための制御部と、を有することを特徴とする認証デバイス。
【請求項4】
請求項3記載の認証デバイスであって、
前記ユーザ識別情報と前記秘密鍵を格納するための記憶手段と、
前記記憶手段を格納するための記憶手段格納部と、
前記記憶手段に格納された前記ユーザ識別情報と前記秘密鍵を読み取るための記憶手段読取部と、を有することを特徴とする認証デバイス。
【請求項5】
ユーザ識別情報を有しない連携端末を認証するユーザ認証システムであって、
ユーザ識別情報を有する認証デバイスから、前記ユーザ識別情報を含む第1のメッセージを受信すると、前記第1のメッセージから前記ユーザ識別情報を取り出し、前記ユーザ識別情報を含む第2のメッセージをユーザ認証サーバに送信する前記連携端末と、
前記第2のメッセージを受信すると、前記認証デバイスとの間で共有する秘密鍵による認証に用いるパラメータを含む第3のメッセージを前記連携端末に送信する前記ユーザ認証サーバと、
前記連携端末から、前記連携端末が受信した前記パラメータを前記秘密鍵により処理することを要求する第4のメッセージを受信すると、前記秘密鍵により前記パラメータを処理した結果を含む第5のメッセージを前記連携端末に送信する前記ユーザ認証デバイスと、から構成されることを特徴とするユーザ認証システム。
【請求項6】
請求項5記載のユーザ認証システムであって、
前記ユーザ認証サーバは、前記ユーザ識別情報と、前記秘密鍵と、登録ユーザの加入サービスプロファイルを管理することを特徴とするユーザ認証システム。
【請求項7】
ユーザ識別情報を有しない連携端末を認証するユーザ認証システムであって、
前記連携端末との連携に使用するワンタイムユーザ識別情報を発行するワンタイムユーザ識別情報発行サーバと、
前記ワンタイムユーザ識別情報発行サーバから前記ワンタイムユーザ識別情報を含む第1のメッセージを受信し、前記ワンタイムユーザ識別情報を含む第2のメッセージを前記連携端末に送信する認証デバイスと、
前記認証デバイスから前記第2のメッセージを受信すると、前記ワンタイムユーザ識別情報を含む第3のメッセージをプロキシサーバに送信する前記連携端末と、
前記第3のメッセージを受信すると、前記ワンタイムユーザ識別情報を含む第4のメッセージをユーザ認証サーバに送信し、前記ユーザ認証サーバから前記認証デバイスと前記ユーザ認証サーバで共有する秘密鍵による認証に用いるパラメータを含む第5のメッセージを受信すると、前記連携端末を介し、前記パラメータを含む第6のメッセージを前記認証デバイスに送信する前記プロキシサーバと、
前記第6のメッセージに対する返答として前記秘密鍵により前記パラメータを処理した結果を含む第7のメッセージを前記プロキシサーバ経由で受信すると、自身が保有する前記秘密鍵により前記パラメータを処理した結果と照合する前記ユーザ認証サーバと、
を有することを特徴とするユーザ認証システム。
【請求項8】
請求項7記載のユーザ認証システムであって、
前記ワンタイムユーザ識別情報発行サーバは、前記認証デバイスからワンタイムユーザ識別情報の発行要求を受信すると、前記ワンタイムユーザ識別情報を発行し、
前記ユーザ認証サーバに、前記ワンタイムユーザ識別情報と前記認証デバイスが有する前記ユーザ識別情報とを関連付けて登録することを特徴とするユーザ認証システム。
【請求項9】
請求項7記載のユーザ認証システムであって、
前記認証デバイスは、ワンタイムユーザ識別情報の発行要求を前記ワンタイムユーザ識別情報発行サーバに送信し、
前記ワンタイムユーザ識別情報発行サーバから前記ワンタイムユーザ識別情報を受信すると、前記ワンタイム識別情報を記憶手段に格納することを特徴とするユーザ認証システム。
【請求項10】
請求項9記載の認証デバイスであって、
前記ユーザ識別情報と前記秘密鍵を格納するための前記記憶手段と、
前記記憶手段を格納するための記憶手段格納部と、
前記記憶手段に格納された前記ユーザ識別情報と前記秘密鍵を読み取るための記憶手段読取部と、
を有することを特徴とする認証デバイス。
【請求項11】
請求項7記載のユーザ認証システムであって、
前記連携端末は、前記ワンタイムユーザ識別情報を含むセッション開始要求を前記プロキシサーバに送信し、
前記プロキシサーバは、受信したセッション開始要求から、前記ワンタイムユーザ識別情報を取り出し、前記ワンタイムユーザ識別情報を含むユーザの契約状況要求を前記ユーザ認証サーバに送信し、
前記ユーザ認証サーバからユーザの契約状況応答を受信すると、前記セッション開始要求をコンテンツ配信サーバに転送することを特徴とするユーザ認証システム。
【請求項12】
請求項11記載のユーザ認証システムであって、
前記プロキシサーバは、前連携端末から、前記セッション開始要求を受信すると、前記ワンタイムユーザ識別情報の有効期限以内の場合は、前記セッション開始応答を返信し、コンテンツサーバからの通信を転送し、前記ワンタイムユーザ識別情報の有効期限が切れていた場合は、エラーメッセージを返信することを特徴とするユーザ認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2009−152812(P2009−152812A)
【公開日】平成21年7月9日(2009.7.9)
【国際特許分類】
【出願番号】特願2007−328136(P2007−328136)
【出願日】平成19年12月20日(2007.12.20)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成21年7月9日(2009.7.9)
【国際特許分類】
【出願日】平成19年12月20日(2007.12.20)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Bluetooth
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]