認証システム、方法および設備
【解決手段】本発明は認証システム、方法および設備を開示した。認証システムは非IMSサービスを提供するAS、認証ゲートウェイとIMS端末を備え、前記ASは、IMS端末が送信した接続リクエストメッセージを前記認証ゲートウェイへ転送し、認証ゲートウェイが送信した第1乱数を前記IMS端末へ転送し、かつ、前記IMS端末によりフィードバックされた前記第1乱数に基づいて生成した第1応答値を前記認証ゲートウェイへ送信し、前記認証ゲートウェイの指示に基づいて前記IMS端末へ非IMSサービスを提供し、前記認証ゲートウェイは、第1乱数と前記IMS端末の所望応答値を獲得し、獲得した第1乱数を前記ASへ送信し、かつ、ASが送信した第1応答値と獲得した所望応答値が一致だと比較された場合、当該IMS端末認証が成功したと確認し、かつ、前記ASに前記IMS端末へ非IMSサービスを提供することを指示し、前記IMS端末は、前記ASへ接続リクエストメッセージを送信し、前記ASが送信した第1乱数に基づいて第1応答値を生成し、かつ、生成した第1応答値を前記ASへ送信する。本発明の技術方案を採用することにより、従来技術における非IMS ASが各非IMSサービスを獲得するIMS端末毎にそれぞれ認証を実行しなければならないために、ASのサービス処理効率を低下させる問題を解決する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は通信技術分野に関し、特に認証システム、方法および設備に関する。
【背景技術】
【0002】
インターネット・プロトコル・マルチメディア・サブシステム(IMS、Internet Protocol Multimedia Subsystem)はセッション開始プロトコル(SIP、Session Initiation Protocol)に基づくセッション制御システムであり、パケットスイッチング(PS、Packet Switching)に対しドメインネットワークを拡張したものである。IMSシステムは呼出セッション制御機能(CSCF、Call Session Control Function)、メディア・ゲートウェイ制御機能(MGCF 、Media Gateway Control Function)、メディアリソース機能コントローラ(MRFC、Multimedia Resource Function Controller)、ホーム・サブスクライバー・サーバー(HSS、Home Subscriber Server)、ブレークアウト・ゲートウェイ制御機能(BGCF、Breakout Gateway Control Function)、メディアリソース機能プロセッサ(MRFP、Multimedia Resource Function
Processor)、メディア・ゲートウェイ(MGW、Media Gateway)、IMSサービスを提供するアプリケーションサーバ(AS、Application Server)等の機能エンティティにより構成されている。ここで、機能論理上からCSCFはサービスCSCF(S−CSCF、Serving−CSCF)、プロセッサCSCF(P−CSCF、Proxy−CSCF)と照会CSCF(I−CSCF、Interrogating−CSCF)の3つの論理エンティティに分けることができる。S−CSCFは、セッション制御の実行、セッション状態の維持、IMS端末情報の管理、課金データの作成等に用いるIMSシステムのサービススイッチングセンターである。P−CSCFは、IMS端末登録の完了、サービス品質(QoS)の制御と安全管理、汎用パケット無線サービス(GPRS、General Packet Radio Service)システムとの通信等に用いるIMS端末アクセスIMSシステムの第1アクセスポイントである。I−CSCFは、IMSシステム間の通信、S−CSCFの割り当てと選択の管理、対外ネットワークトポロジと配置を隠し、課金データの作成等に用いられる。BGCFは、その他のIMSシステムとの通信制御を提供する。MGCFとMGWは、IMSシステムと回路スイッチング(CS、Circuit Switching)ドメインシステムおよび公共スイッチング電話ネットワーク(PSTN、Public
Switched Telephone Network )の通信確立の実現に用いる。MRFCは、メディアリソースを提供する。HSSは、IMS端末の契約データ、割当て情報およびIMS端末の認証データ等を保存する。
【0003】
図1は従来技術におけるIMSシステム構造を示す図である。IMS端末はIMSシステムのP−SCCFにアクセスし、IMSへの登録を完了する。その後、IMSサービスを提供するASによりIMS端末へIMSサービスを提供する。この他に、IMS端末はさらにUtインターフェースを介して非IMSサービスを提供するASと相互に接続し、非IMSサービスを取得できる。IMSサービスを提供するASを「IMS AS」と呼び、非IMSサービスを提供するASを「非IMS AS」と呼ぶ。以下にIMSサービスの取得と非IMSサービスの取得に関してそれぞれ詳細に説明する。
【0004】
図2は従来技術におけるIMS端末がIMSサービスを獲得する方法のフローチャートである。具体的な処理プロセスは、ステップ21〜ステップ29からなる。
【0005】
ステップ21において、IMS端末はIMSシステムにおけるP−SCSF/S−CSCFへIMS登録と認証フローを起動する。
【0006】
ステップ22において、IMSシステムにおけるP−SCSF/S−CSCFはHSSに当該IMS端末の登録状態を登記する。この際、HSSには当該IMS端末の契約データと配置情報が保存されている。
【0007】
ステップ23において、IMS端末はP−SCSF/S−CSCFへSIPサービスリクエストを送信する。当該SIPサービスリクエストには当該IMS端末のユーザー識別子が含まれる。ここで、IMS端末のユーザー識別子はSIPサービスリクエストメッセージヘッダの「P−Preferred−Identity」に含まれている。
【0008】
ステップ24において、P−SCSFは当該SIPサービスリクエストを受信後に、当該IMS端末がすでに登録しているかどうかを判断し、もし当該IMS端末がすでに登録していると判断すればSIPサービスリクエストメッセージヘッダの「P−Preferred−Identity」を「P−Asserted−Identity」に交換し、これにより当該IMS端末の身分認証の成功を識別する。P−SCSFには、認証済みのユーザー識別子も含まれる。IMS端末の登録時、P−CSCFではすでに当該IMS端末のユーザー識別子を保存しているため、直接P−CSCFにより、IMS端末の身分認証を実行できる。
【0009】
ステップ25において、P−CSCFはS−CSCFを介し、IMS ASに訂正後のSIPサービスリクエストを転送する。
【0010】
ステップ26において、IMS ASは訂正後のSIPサービスリクエストを受信後に、受信したSIPサービスリクエストに「P−Asserted−Identity」が含まれているかどうかを確認する。もし、「P−Asserted−Identity」を含んでいれば、当該IMS端末の身分認証は成功である。
【0011】
ステップ27において、IMS ASはP−SCSF/S−CSCFへ認証成功の認証結果を返答する。
【0012】
ステップ28において、P−SCSF/S−CSCFは当該IMS端末へSIPサービスリクエストを返答し、当該IMS端末の身分認証が成功したためにIMS ASと相互サービスを実行できると指示する。
【0013】
ステップ29において、当該IMS端末は直接IMS ASと相互サービスを行い、IMS ASより提供されたIMSサービスを獲得する。
【0014】
IMSシステムにP−CSCFがない場合、直接P−CSCFとS−CSCF機能を兼備するS−CSCFにより処理できる。もしP−CSCFがある場合、IMS端末が現在所属しているP−CSCFとS−CSCFにより相互サービスを実行して処理する。
【0015】
前記処理プロセスから分かるように、IMS端末がIMSサービスを獲得する場合、IMSシステムにおけるIMS ASのIMSの代わりにP−CSCFにより端末の身分認証を実行できるし、IMS ASが単独でIMS端末の身分認証プロセスを実行する必要はない。
【0016】
図3は従来技術におけるIMS端末の非IMSサービスの獲得方法を示すフローチャー
トである。具体的な処理プロセスは、ステップ31〜ステップ312に示す通りである。
【0017】
ステップ31において、IMS端末は非IMS ASへハイパーテキスト転送プロトコル(HTTP、Hypertext Transfer Protocol)リクエストを送信する。
【0018】
ステップ32において、非IMS ASは未認可メッセージを返答し、上記未認可メッセージには、当該非IMS ASがランダムに生成した第1乱数とIMS端末のレルム名(realm)が含まれる。ここで、realmはIMS端末がユーザー名とパスワードを使用し認証を実行させることを指示する。
【0019】
ステップ33において、IMS端末は当該メッセージを受信した後に、当該メッセージにrealmを含むと測定すれば、自身のユーザー名、パスワードおよび受信した第1乱数に基づきあらかじめ設定した演算方法により第1応答値を算出する。
【0020】
ステップ34において、IMS端末は算出した第1応答値とIMS端末がランダムに生成した第2乱数をHTTP応答メッセージに含めて非IMS ASに送信する。
【0021】
ステップ35において、非IMS ASはHTTP応答メッセージを受信した後に、自身の生成した第1乱数および当該IMS端末のユーザー名とパスワードに基づきあらかじめ設定した演算方法により第2応答値を算出する。
【0022】
ステップ36において、非IMS ASは算出した第2応答値と受信した第1応答値が一致するかどうかを確定し、もし一致すれば、IMS端末の身分認証を完了する。
【0023】
ステップ37において、非IMS ASはHTTP応答メッセージに含むIMS端末がランダムに生成した第2乱数および当該IMS端末のユーザー名とパスワードの受信に基づきあらかじめ設定した算出方法により第3応答値を算出する。
【0024】
ステップ38において、非IMS ASは算出した第3応答値を200OKメッセージに含めてIMS端末に送信する。これにより、IMS端末に当該非IMS ASの認証を実行させる。
【0025】
ステップ39において、IMS端末は200OKメッセージを受信した後に、自身がランダムに生成した第2乱数および当該IMS端末のユーザー名とパスワードに基づきあらかじめ設定した算出方法により第4応答値を算出する。
【0026】
ステップ310において、IMS端末は算出した第4応答値と受信した第3応答値が一致するかどうかを確定する。もし一致すれば、当該非IMS ASの認証を完了する。
【0027】
ステップ311において、IMS端末は非IMS ASにHTTPサービスリクエストを送信する。
【0028】
ステップ312において、非IMS ASはIMS端末に200OKメッセージを返答し、非IMS ASとIMS端末間にサービス接続を確立し、IMS端末は非IMS ASより提供された非IMSサービスを獲得する。
【0029】
ここで、IMS端末は非IMS ASの認証を実行しなくてもよい。
【0030】
前記処理プロセスから明らかなように、IMS端末が非IMSサービスを獲得する場合
、非IMS ASはIMSシステムからIMS端末の認証データを獲得できないため、非IMS ASはIMS端末に対し直接に認証する必要がある。異なる非IMS ASとIMS端末間の認証方式もまた統一した基準はなく、採用できる認証メカニズムには、ユーザー名/パスワード認証メカニズム、HTTP 概要(Digest)メカニズム、事前共用キーワード伝送レベル安全メカニズム等がある。
【先行技術文献】
【特許文献】
【0031】
【特許文献1】中華人民共和国特許第101197673号明細書
【発明の概要】
【発明が解決しようとする課題】
【0032】
従来技術においては、非IMS ASは各非IMSサービスを獲得したIMS端末毎に認証する必要があり、これはASのサービス処理効率を低下させる。
【課題を解決するための手段】
【0033】
本発明に係る実施形態は認証システムおよび方法を提供することにより、従来技術における非IMS ASが各非IMSサービスを獲得したIMS端末毎に認証する必要があるために、ASのサービス処理効率を低下させる問題を解決する。
【0034】
また、本発明に係る実施形態は認証ゲートウェイ、アプリケーションサーバとIMS端末を提供する。
【0035】
本発明に係る実施形態の技術方案は以下の通りである。
【0036】
本発明に係る認証システムは、非インターネット・プロトコル・マルチメディア・サブシステムIMSサービスを提供するアプリケーションサーバAS、認証ゲートウェイとIMS端末を備える。ここで、前記ASは、IMS端末から送信された接続リクエストメッセージを前記認証ゲートウェイに転送し、かつ、認証ゲートウェイから送信された第1乱数を前記IMS端末に転送;そして、前記IMS端末がフィードバックした前記第1乱数に基づき生成した第1応答値を前記認証ゲートウェイに送信し、かつ、前記認証ゲートウェイの指示に基づき前記IMS端末へ非IMSサービスを提供する。前記認証ゲートウェイは、第1乱数と前記IMS端末の期待応答値を獲得し、獲得した第1乱数を前記ASに送信し、かつASが送信した第1応答値と獲得した期待応答値が比較して一致する場合、当該IMS端末の認証が成功したことを確認し、さらに、前記ASに対し前記IMS端末へ非IMSサービスを提供させることを指示する。前記IMS端末は、前記ASに接続リクエストメッセージを送信し、前記ASから送信された第1乱数に基づき、第1応答値を生成し、生成した第1応答値を前記ASに送信する。
【0037】
本発明に係る認証方法は、認証ゲートウェイが、インターネット・プロトコル・マルチメディア・サブシステムIMS端末が非IMSサービスを提供するアプリケーションサーバASを介し送信した接続リクエストメッセージを受信するステップと、第1乱数と前記IMS端末の期待応答値を獲得するステップと、前記認証ゲートウェイが獲得した第1乱数を前記ASを介し前記IMS端末へ送信するステップと、前記IMS端末が前記ASから送信された、前記IMS端末が前記第1乱数に基づき生成した第1応答値に基づいて受信するステップと、前記認証ゲートウェイが受信した第1応答値と獲得した所望応答値を比較して一致だと判断する場合、当該IMS端末の認証成功を確認するステップと、前記ASに対し前記IMS端末へ非IMSサービスを提供することを指示するステップとを含む。
【0038】
本発明に係る認証ゲートウェイは、インターネット・プロトコル・マルチメディア・サブシステムIMS端末が非IMSサービスを提供するアプリケーションサーバASを介し送信した接続リクエストメッセージを受信する第1受信ユニットと、第1乱数と前記IMS端末の期待応答値を獲得する獲得ユニットと、獲得ユニットの獲得した第1乱数を前記ASを介し前記IMS端末へ送信する第1送信ユニットと、前記IMS端末が前記ASを介し送信した、前記IMS端末が前記第1乱数により生成した第1応答値を受信する第2受信ユニットと、第2受信ユニットが受信した第1応答値と獲得ユニットが獲得した期待応答値が一致するかどうかを比較する比較ユニットと、比較ユニットの比較結果が一致である場合、当該IMS端末の認証成功を確認する確認ユニットと、前記ASに対し前記IMS端末へ非IMSサービスを提供させることを指示する指示ユニットとを備える。
【0039】
非インターネット・プロトコル・マルチメディア・サブシステムIMSサービスを提供するアプリケーションサーバは、IMS端末が送信した接続リクエストメッセージを受信する第1受信ユニットと、第1受信ユニットが受信した接続リクエストメッセージを認証ゲートウェイへ転送する第1転送ユニットと、認証ゲートウェイが送信した第1乱数を受信する第2受信ユニットと、第2受信ユニットが受信した第1乱数を前記IMS端末へ転送する第2転送ユニットと、前記IMS端末が送信した第1応答値を受信する第3受信ユニットと、第3受信ユニットが受信した第1応答値を前記認証ゲートウェイへ転送する第3転送ユニットと、前記認証ゲートウェイの指示に基づき前記IMS端末へ非IMSサービス提供する提供ユニットとを備える。
【0040】
インターネット・プロトコル・マルチメディア・サブシステム端末は、非インターネット・プロトコル・マルチメディア・サブシステムIMSサービスを提供するアプリケーションサーバASへ接続リクエストメッセージを送信する第1送信ユニットと、認証ゲートウェイが前記ASを介して送信した第1乱数を受信する第1受信ユニットと、第1受信ユニットが受信した第1乱数に基づき第1応答値を生成する第1生成ユニットと、第1生成ユニットが生成した第1応答値を前記ASへ送信する第2送信ユニットと、前記ASにて非IMSサービス獲得するサービス獲得ユニットとを備える。
【発明の効果】
【0041】
本発明に係る実施形態の技術方案において、認証システムは非IMSサービスを提供するAS、認証ゲートウェイとIMS端末とを備える。ASはIMS端末が送信した接続リクエストメッセージを前記認証ゲートウェイへ転送し、認証ゲートウェイは獲得した第1乱数をASを介し前記IMS端末へ送信する。IMS端末は第1乱数に基づき第1応答値を生成し、生成した第1応答値をASを介し認証ゲートウェイへ送信する。認証ゲートウェイが受信した第1応答値と獲得した所望応答値が一致だと判断する場合、当該IMS端末の認証が成功したと確認し、かつASにIMS端末へ非IMSサービスを提供することを指示する。これから明らかなように、本発明に係る認証システムにおいて、IMS端末の認証は認証ゲートウェイにより実施でき、効果的にASのサービス処理効率を高め、非IMSサービスを提供するASがIMS端末に対する簡単かつ統一した認証を実現した。IMS端末は非IMSサービスを提供する一つ一つのASと認証メカニズムを協議する必要がなく、認証の実現が容易になる。
【図面の簡単な説明】
【0042】
【図1】従来技術におけるIMSシステム構造を示す図である。
【図2】従来技術における、IMS端末がIMSサービスを獲得方法のフローチャートである。
【図3】従来技術における、IMS端末の非IMSサービスの獲得方法フローチャートである。
【図4】本発明に係る実施形態における、認証システムの構造図である。
【図5】本発明に係る実施形態における、認証方法のフローチャートである。
【図6】本発明に係る第1実施形態における、非IMSサービスを提供するASのIMS端末認証を実行する方法のフローチャートである。
【図7】本発明に係る第2実施形態における、共用キーを生成する方法のフローチャートである。
【図8】本発明に係る第3実施形態における、IEブラウザのCookieを設定する方法のフローチャートである。
【図9】本発明に係る実施形態4における、IMS端末が非IMSサービスを獲得する時の方法フローチャートである。
【図10】本発明に係る第5実施形態における、IEブラウザを有するIMS端末が非IMSサービス獲得時の方法フローチャートである。
【図11】本発明に係る第6実施形態における、IMS端末が非IMSサービス獲得時の認証方法フローチャートである。
【図12】本発明に係る第7実施形態における、IEブラウザを有するIMS端末が非IMSサービス獲得時の認証方法フローチャートである。
【図13】本発明に係る実施形態における、認証ゲートウェイの構造図である。
【図14】本発明に係る実施形態における、非IMSサービスを提供するASの構造図である。
【図15】本発明に係る実施形態における、IMS端末の構造図である。
【発明を実施するための形態】
【0043】
以下図面を結合して本発明に係る実施形態の技術方案の主な実現原理、具体的な実施形態およびこれが実現できる有益な効果に対し詳細に説明する。
【0044】
従来技術において、非IMSサービスを獲得する場合、IMS端末は非IMSサービスを提供するAS(非IMS AS)と接続を確立する必要がある。接続を確立する前に、非IMS ASはIMS端末の認証を行う必要がある。IMS端末が直接Utインターフェースを介し非IMS ASと信号を交換するため、IMSシステムのコアネットワークを経由しない。よって、図3に示すプロセスの通りIMSのコアネットワークを非IMS
ASに代えてのIMS端末認証を実行できない。もし、IMS端末と直接非IMS ASとの間で認証を実行すれば、ASのサービス処理効率は低下し、かつ、あらかじめ両者(IMS端末と非IMS AS)間で事前に認証メカニズムを協議した後に認証を実行する必要がある。一つのIMS端末にとって、異なる非IMS ASから提供される異なる非IMSサービスを獲得するため、異なる非IMS ASとの認証が必要になる。これでは、IMS端末は一つ一つの異なる非IMS ASとの間で事前に認証メカニズムを協議した後に、認証を実行する必要があり、かつ、認証の時、いずれかの異なる非IMS ASはIMS端末の認証データを保存しなければならない。これはIMS端末の認証データ漏を招き、認証の信頼性および安全性低下をもたらす。
【0045】
上述問題点を解決するために、本発明に係る実施形態は認証システムを提供しており、図4に示すように、非IMSサービスを提供するAS41と、認証ゲートウェイ42とIMS端末43とを備える。
【0046】
AS41は、IMS端末43から送信された接続リクエストメッセージを認証ゲートウェイ42へ転送し、認証ゲートウェイ42から送信された第1乱数(RAND)をIMS端末43へ転送し、かつ、IMS端末43がフィードバックした、前記第1RANDに基づき生成した第1応答値(RES,Response Internet Explorer)を認証ゲートウェイ42へ送信し、さらに、認証ゲートウェイ42の指示に基づきIMS端末43へ非IMSサービスを提供する。
【0047】
認証ゲートウェイ42は、第1RANDとIMS端末43の期待応答値(XRES,Expected Response Internet Explorer)を獲得し、獲得した第1RANDへAS41送信し、かつAS41から送信された第1RESと獲得したXRESとを比較し、両者が一致する場合、当該IMS端末43の認証が成功したと確認し、AS41にIMS端末43へ非IMSサービスを提供することを指示する。
【0048】
IMS端末43は、AS41へ接続リクエストメッセージを送信し、さらにAS42から送信された第1RANDに基づき第1RESを生成し、生成した第1RESをAS41へ送信する。
【0049】
本発明に係る実施形態において、IMS端末が送信した接続リクエストメッセージはHTTPメッセージであってもよいがこれに限らない。
【0050】
ここで、認証ゲートウェイが第1RANDと所望RESを獲得する具体的な実現フローは以下の2つの実施状況があるがこれに限らない。
【0051】
<第1実施状況>
認証ゲートウェイは前記IMS端末の認証パラメータを獲得する。ここで、前記認証パラメータには第1RANDと前記IMS端末のXRESが含まれる。認証ゲートウェイは、HSSを介し認証パラメータ獲得できるがこれに限らない。よって、認証ゲートウェイが受信した接続リクエストメッセージには、当該IMS端末のIMS公共ユーザー識別子(IMPU,IMS Public User Identity)が含まれ、認証ゲートウェイは当該IMPUを含む獲得リクエストをHSSへ送信する。当該HSSは受信したIMPUに基づき、保存したIMPUと認証パラメータとの対応関係から受信したIMPUに対応する認証パラメータを検出し、かつ検出した認証パラメータを認証ゲートウェイへ送信する。
【0052】
<第2実施状況>
認証ゲートウェイは第1RANDを生成し、かつ前記IMS端末の認証データを獲得する。そして生成した第1RANDと獲得した認証データに基づきXRESを生成する。ここで、認証ゲートウェイはHSSを介し認証データを獲得できるがこれに限らない。よって、認証ゲートウェイが受信した接続リクエストメッセージには、当該IMS端末のIMPUが含まれ、認証ゲートウェイは当該IMPUを含む獲得リクエストをHSSへ送信する。当該HSSは受信したIMPUに基づき、保存したIMPUと認証データとの対応関係から受信したIMPUに対応する認証データを検出し、かつ検出した認証データを認証ゲートウェイへ送信する。
【0053】
認証ゲートウェイとHSS間のインターフェースはShインターフェースであってもよいがこれに限らず、直径(Diameter)プロトコルを採用してもよい。認証ゲートウェイとAS間とのインターフェースを非SIPプロトコルとしてもよく、例えば、HTTPプロトコルを採用してもよいし、インターネットを介して接続してもよい。
【0054】
前記プロセスはIMS端末の単方向認証である。当然、双方向認証も実現でき、即ち、IMS端末もAS認証を行える。これについて具体的に説明する。
【0055】
前記第1実施状況の場合、認証ゲートウェイが獲得した認証パラメータは第1認証トークン(AUTN、Authentication Token)をさらに含む。
【0056】
認証ゲートウェイは、前記ASを介して前記IMS端末から送信された第1RESを受信する前に、獲得した第1AUTNを前記ASへ送信する。
【0057】
ASは、さらに認証ゲートウェイから送信された第1AUTNを前記IMS端末へ送信する。
【0058】
IMS端末は、さらに第1RESを生成する前に、前記第1RANDに基づき第2AUTNを生成し、かつ、生成した第2AUTNと受信した第1AUTNを比較し、両者が一致であれば、前記AS認証が成功だと確認する。
【0059】
前記第1実施状況の場合、IMS端末はさらに第2RANDを生成し、かつ生成した第2RANDをASへ送信し、ASから送信された第2RESを受信する。前記第2RANDと自身の認証データに基づき第3RESを生成する。そして、受信した第2RESと生成した第3RESを比較して一致する場合、前記AS認証が成功したと確認し、ASから提供された非IMSサービスを獲得する。
【0060】
ASは、さらにIMS端末が送信した第2RANDを前記認証ゲートウェイへ送信し、前記認証ゲートウェイから送信された第2RESを前記IMS端末へ送信する。
【0061】
認証ゲートウェイは、さらに前記ASから送信された第2RANDを受信し、受信した第2RANDと獲得した認証データに基づき第2RES生成する。そして生成した第2RESを前記ASへ送信する。
【0062】
本発明に係るシステムにおいて、IMS端末がIEブラウザを介し非IMSサービスを獲得する場合、認証を実行するプロセスでは、ASはセッション識別子(SessiongID)をIMS端末へ送信して、IEブラウザのCookieに保存する。こうすることにより、IMS端末がIEブラウザを介し非IMSサービスを獲得する場合、直接セッション識別子を獲得できるため、IEブラウザを採用する際にセッション識別子を再度入力する必要がない。ここで、SessiongIDは認証ゲートウェイより生成でき、その後ASへ送信される。また、SessiongIDはASにより生成されることもできる。
【0063】
前記処理プロセスから明らかなように、本発明の実施形態に係る技術方案において、認証システムは非IMSサービスを提供するAS、認証ゲートウェイとIMS端末を備える。ASはIMS端末から送信された接続リクエストメッセージを前記認証ゲートウェイへ転送する。認証ゲートウェイは獲得した第1RANDをASを介し前記IMS端末へ送信する。IMS端末は、第1RANDが生成した第1RESに基づき生成した第1RESを、ASを介し認証ゲートウェイへ送信する。認証ゲートウェイは、受信した第1RESと獲得したXRESとを比較して両者が一致する場合、当該IMS端末認証が成功したと確認し、かつASにIMS端末へ非IMSサービスを提供することを指示する。これから明らかなように、本発明に係る認証システムにおいて、IMS端末認証が認証ゲートウェイにより実施されることができるため、ASのサービス処理効率をより効果的に向上させ、非IMSサービスを提供するASの簡単かつ統一したIMS端末認証を実現できる。IMS端末は非IMSサービスを提供する一つ一つのASと認証メカニズムを協議する必要がなくなり、認証の実現が容易になる。
【0064】
また、IMS端末の認証パラメータ/認証データは認証ゲートウェイに保存されるか、或いは認証ゲートウェイによりHSSから獲得され、非IMSサービスを提供する全ASに保存していないため、IMS端末の認証データの漏をもたらさず、認証の信頼性およびその後の非IMSサービスの獲得安全性を高める。
【0065】
図4に示す認証システムに基づく本発明に係る実施形態は図5示すような認証方法を提
供する。具体的な処理プロセスはステップ51〜56に従って実行する。
【0066】
ステップ51において、認証ゲートウェイは、IMS端末が非IMSサービスを提供するASを介し送信した接続リクエストメッセージを受信する。
【0067】
本発明に係る実施形態において、接続リクエストメッセージはHTTPメッセージとしてもよいがこれに限らない。
【0068】
IMS端末がASへ接続リクエストメッセージを送信する前に、IMSシステムに登録する必要がある。具体的な登録フローは従来技術と一致しているため、ここでは説明しない。
【0069】
ステップ52において、認証ゲートウェイは第1RANDと当該IMS端末のXRESを獲得する。
【0070】
ここで、認証ゲートウェイが第1RANDとXRESを獲得する具体的な実現フローは以下の2つの実施状況があるがこれに限らない。
【0071】
<第1実施状況>
認証ゲートウェイは前記IMS端末の第1RANDと前記IMS端末のXRESを含む認証パラメータを獲得する。ここで、認証ゲートウェイは、HSSを介し認証パラメータを獲得してもよいがこれに限らない。よって認証ゲートウェイが受信した接続リクエストメッセージに、当該IMS端末のIMPUが含まれ、認証ゲートウェイは当該IMPUを含む獲得リクエストをHSSへ送信する。当該HSSは受信したIMPUに基づき、保存したIMPUと認証パラメータとの対応関係において、受信したIMPUと対応する認証パラメータを検出し、かつ検出した認証パラメータを認証ゲートウェイへ送信する。ここで、HSSが検出した認証パラメータは認証五タプルパラメータとしてもよく、認証三タプルパラメータとしてもよい。もし認証ゲートウェイが獲得した認証パラメータが認証五タプルパラメータであれば、認証パラメータには第1RAND、第1AUTN、暗号化キー(CK、Cipher Key)、完全性キー(IK、Integrity Key)とXRESが含まれる。
【0072】
<第2実施状況>
認証ゲートウェイは第1RANDを生成し、かつ前記IMS端末の認証データを獲得する。そして生成した第1RANDと獲得した認証データに基づきXRESを生成する。ここで、認証ゲートウェイは、HSSを介し認証データを獲得してもよいが、これに限らない。よって認証ゲートウェイが受信した接続リクエストメッセージには、当該IMS端末のIMPUが含まれ、認証ゲートウェイは当該IMPUを含む獲得リクエストをHSSへ送信する。当該HSSは受信したIMPUに基づき保存したIMPUと認証データとの対応関係から、受信したIMPUと対応する認証データを検出し、かつ検出した認証データを認証ゲートウェイへ送信する。
【0073】
本ステップにおいて、HSSは認証パラメータ或いは認証データをASへは送信しないことにより、IMS端末を認証する場合、盗聴或いは偽造認証を防止し、認証の安全性を高める。
【0074】
ステップ53において、認証ゲートウェイは獲得した第1RANDを介し前記ASを当該IMS端末へ送信する。
【0075】
もしASのIMS端末認証を実行することだけが必要であれば、認証ゲートウェイは第
1RANDをIMS端末へ送信するだけでよい。もしIMS端末がAS認証を実行する必要があれば、双方向認証を実現する。以下にこれの2つの認証実施状況を示す。
【0076】
<第1実施状況>
認証ゲートウェイはさらに獲得した認証パラメータに含まれる第1AUTNを当該IMS端末へ送信する必要がある。第1AUTNは、IMS端末のAS認証に用いられる。IMS端末は第1RANDに基づき第2AUTNを生成し、生成した第2AUTNと受信した第1AUTNを比較して一致すると判断する場合、AS認証が成功したと確認する。ここで、認証ゲートウェイは、第1AUTNと第1RANDをともにIMS端末へ送信してもよいし、先に第1RANDを送信して次に第1AUTNを送信してもよい。或いは先に第1AUTN送信して次に第1RANDを送信してもよいがこれに限らない。つまり、認証ゲートウェイはIMS端末がASを介し送信した第1RESを受信する前に第1AUTNを送信すればよい。
【0077】
<第2実施状況>
IMS端末は第2RANDを生成し、生成した第2RANDをASを介し認証ゲートウェイへ送信する。認証ゲートウェイは、第2RANDとIMS端末の認証データに基づき第2RESを生成し、ASを介しIMS端末へ送信する。IMS端末は生成した第2RANDと自身の認証データに基づき第3RESを生成し、生成した第3RESと受信した第2RESを比較して一致すると判断する場合、当該AS認証が成功したと確認し、当該ASより提供された非IMSサービスを獲得できる。
【0078】
ステップ54において、IMS端末は受信した第1RANDに基づき第1RESを生成し、かつ生成した第1RESを前記ASを介し認証ゲートウェイへ送信する。
【0079】
IMS端末は第1RANDを受信後、あらかじめ設定した第1演算方法により第1RESを算出する。さらに受信した第1RAND基づき第2演算方法によってCKを算出できる。受信した第1RANDに基づき第3演算方法によってIKを算出する。このように、認証ゲートウェイとIMS端末はCKとIKを有することになる。
【0080】
IMS端末は算出した第1RESをASを介し認証ゲートウェイへ送信し、当該第1RESは認証ゲートウェイのIMS端末の認証を実行する。
【0081】
ステップ55において、認証ゲートウェイは受信した第1RESと獲得したXRESを比較して一致すると判断する場合、当該IMS端末認証が成功したと確認する。
【0082】
本ステップにおいて、もし比較結果が一致しない場合、認証は失敗である。
【0083】
ステップ56において、認証ゲートウェイは前記ASに前記IMS端末へ非IMSサービスを提供することを指示する。
【0084】
認証ゲートウェイは当該IMS端末認証の成功を確認した後に、認証成功の結果を直接ASへ送信する。ASは認証成功の結果を受信した後に、IMS端末間との接続を確立し、かつ、確立した接続に基づきIMS端末へ非IMSサービスを提供する。ここで認証ゲートウェイ認証成功の結果を200OKメッセージに含めてASへ送信できるが、これに限らない。
【0085】
もしIMS端末がIEブラウザにより非IMSサービスを獲得する場合、IEブラウザは認証プロセスにおいて自動的にIMS端末の認証データを獲得できないため、ユーザーにより入力する必要があり、ユーザーの利用満足度が低い。よって、本発明はこのような
IMS端末認証のプロセスも訂正する。ASはSessiongIDをIMS端末へ送信し、IEブラウザのCookieに保存し、即ち、ASはSessiongIDに基づきIMS端末が起動するIEブラウザのCookieを設定する。IMS端末がIEブラウザを介し非IMSサービスを獲得する場合、SessiongIDを直接に獲得することができ、IEブラウザ採用時の再度入力が必要ではなくなる。ここで、SessiongIDは認証ゲートウェイにより生成でき、ASへ送信してもよいし、ASにより生成されてもよい。
【0086】
以下に具体的な実施方式を示す。
【0087】
図6は、本発明に係る第1実施形態における非IMSサービスを提供するAS(非IMS AS)のIMS端末認証を実行する方法のフローチャートである。具体的な処理プロセスはステップ61〜ステップ617の通りである。
【0088】
ステップ61において、IMS端末は非IMS ASへIMPUを含むHTTPリクエストメッセージを送信する。
【0089】
ステップ62において、非IMS ASは受信したHTTPリクエストメッセージを認証ゲートウェイへ転送する。
【0090】
ステップ63において、認証ゲートウェイは受信したIMPUを獲得リクエストに含めてHSSへ送信する。
【0091】
ステップ64において、HSSは受信したIMPUに基づきIMPUと認証五タプルパラメータとの対応関係から、対応する認証五タプルパラメータを検出する。
【0092】
ステップ65において、HSSは検出した認証五タプルパラメータを認証ゲートウェイへ送信する。
【0093】
ステップ66において、認証ゲートウェイは受信した認証五タプルパラメータにおけるRANDとAUTNを非IMS ASへ送信する。
【0094】
ステップ67において、非IMS ASは受信したRANDとAUTNをIMS端末へ送信する。
【0095】
ステップ68において、IMS端末は受信したRANDに基づきAUTNを算出する。
【0096】
ステップ69において、IMS端末は算出したAUTNと受信したAUTNが一致するかどうかを比較する。
【0097】
ステップ610において、ステップ69の比較結果がAUTNと受信したAUTNが一致すれば、当該非IMS AS認証が成功したと確認する。
【0098】
ステップ611において、IMS端末は受信したRANDに基づきRESを算出する。
【0099】
ステップ612において、IMS端末は算出したRESをASへ送信する。
【0100】
ステップ613において、非IMS ASは受信したRESを認証ゲートウェイへ転送する。
【0101】
ステップ614において、認証ゲートウェイは受信したRESと受信したXRESを比較する。
【0102】
ステップ615において、比較結果としてRESと受信したXRESが一致すれば、当該IMS端末認証が成功したと確認する。
【0103】
ステップ616において、認証ゲートウェイは認証成功の結果を200OKメッセージに含めて非IMS ASへ送信する。
【0104】
ステップ617において、非IMS ASはIMS端末へ非IMSサービスを提供する。
【0105】
さらに、前記第1実施形態においてIMS端末が後続の非IMSサービスを獲得する場合、前記認証プロセスを実行する必要はなくなるために、認証ゲートウェイとIMS端末は後続のIMS端末が非IMSサービスを獲得する場合に必要な共用キーを確定できる。共用キー確定のプロセスは非IMS ASのIMS端末認証の成功後に、図7に示すような共用キーを生成する。本発明に係る第2実施形態の共用キーの生成方法は具体的にステップ71〜ステップ711の通りである。
【0106】
ステップ71において、認証ゲートウェイは獲得した認証パラメータに含まれるCKとIKに基づきキーKsを算出し、かつRANDとAS識別子(AS_ID)に基づきブートストラッピング・トランザクション識別子(B−TID、Bootstrapping
Transaction Identifier)を生成する。さらに、Ksに有効期限を定義し当該有効期限は主にKsの更新のためである。
【0107】
ステップ72において、認証ゲートウェイはB−TIDと有効期限情報を含む200OKメッセージを非IMS ASへ送信する。つまり、認証ゲートウェイはIMS端末との間の今回の認証のために1つのB−TIDを割当て、当該B−TIDをKsと関連付けさせ、引き続き当該B−TIDに基づきKsを検出できるようにする。
【0108】
ステップ73において、非IMS ASは受信した200OKメッセージをIMS端末へ転送する。
【0109】
ステップ74において、IMS端末は200OKメッセージを受信した後に、取得したB−TIDと有効期限情報を保存する。
【0110】
ステップ75において、IMS端末はKsを生成し、当該Ksをルートキーとして、ASとの通信時の共用キーを派生する。この際、IMS端末と認証ゲートウェイはともにKsを有するようになる。
【0111】
ステップ76において、IMS端末は自身のIMS私有ユーザー識別子(IMPI、IMS Private User Identity)、KsとRAND等パラメータに基づき、キーにより関数を導き出し、共用キーKs_ASを算出する。
【0112】
ステップ77において、IMS端末はB−TIDを非IMS ASへ送信する。
【0113】
ステップ78において、非IMS ASはB−TIDとAS_IDを認証ゲートウェイへ送信する。
【0114】
ステップ79において、認証ゲートウェイはAS_IDの有效性を認証し、かつ共用キ
ーKs_ASを算出する。
【0115】
ステップ710において、認証ゲートウェイは共用キーKs_ASとユーザー安全装置を非IMS ASへ送信する。
【0116】
ステップ711において、非IMS ASは共用キーKs_ASとユーザー安全装置を保存する。このように非IMS ASとIMS端末は共用キーKs_ASを有するようになる。IMS端末が引き続き非IMSサービスを獲得する場合、非IMS ASは共用キーKs_ASに基づき、当該IMS端末の認証を実行する。
【0117】
もし前記IMS端末はIEブラウザを介し非IMSサービスを獲得すれば、即ち、IMS端末がIEブラウザを有すれば、この際、非IMS ASは当該IMS端末へ非IMSサービスを提供する前に、IEブラウザのCookieを設定する必要がある。図8は、本発明に係る第3実施形態におけるIEブラウザのCookieの設定方法フローチャートである。具体的な処理プロセスは以下の通りである。
【0118】
ステップ81において、非IMS ASはSessiongIDを生成し、受信した共用キーKs_ASに基づき生成したSessiongIDを暗号化する。
【0119】
ステップ82において、非IMS ASは生成したSessiongIDと当該IMS端末のIMPUを対応させて保存する。
【0120】
ステップ83において、非IMS ASは暗号化後のSessiongIDをIMS端末へ送信する。
【0121】
ステップ84において、IMS端末は算出した共用キーKs_ASに基づき、受信した暗号化後のSessiongIDを復号する。
【0122】
ステップ85において、IMS端末は復号後に得たSessiongIDと自身のIMPUに基づきIEブラウザを起動する。
【0123】
ステップ86において、IMS端末はIEブラウザにおいて非IMS ASへ自身のIMPUと復号後に得たSessiongIDを含むHTTPリクエストメッセージを送信する。
【0124】
ステップ87において、非IMS ASは保存したSessiongIDとIMPUとの対応関係に基づき受信したIMPUとSessiongIDを認証する。
【0125】
ステップ88において、もし認証が成功すれば、SessiongIDとIMPUとの対応関係において、受信したIMPUとSessiongIDを削除し、これによりリプレイ攻撃を防止する。
【0126】
ステップ89において、非IMS ASは受信したIMPUとSessiongIDに基づき、IMS端末が起動したIEブラウザのCookieを設定する。
【0127】
図9は本発明に係る実施形態4におけるIMS端末の非IMSサービスを獲得時の認証方法フローチャートである。ここで、IMS端末の認証データをH(A1)とする。具体的な処理プロセスは以下の通りである。
【0128】
ステップ91において、IMS端末は非IMS ASへIMPUを含むHTTPリクエ
ストメッセージを送信し、当該IMPUはIMSシステムにおいて唯一IMS端末を識別する。
【0129】
ステップ92において、非IMS ASは受信したHTTPリクエストメッセージを認証ゲートウェイへ転送する。
【0130】
ステップ93において、認証ゲートウェイは受信したIMPUを獲得リクエストに含めてHSSへ送信する。
【0131】
ステップ94において、HSSは受信したIMPUに基づきIMPUと認証データとの対応関係から対応する認証データを検出し、本ステップにおいては、検出した認証データをH(A1)とする。
【0132】
ステップ95において、HSSは検出したH(A1)を認証ゲートウェイへ送信する。
【0133】
ステップ96において、認証ゲートウェイは生成した第1RANDを非IMS ASへ送信する。
【0134】
ステップ97において、非IMS ASは受信した第1RANDをIMS端末へ送信する。
【0135】
ステップ98において、IMS端末は受信した第1RANDと自身に保存されたH(A1)に基づき第1RESを生成する。
【0136】
ステップ99において、IMS端末は生成した第1RESと第2RANDを非IMS ASへ送信する。
【0137】
ステップ910において、非IMS ASは当該第1RESと第2RANDを認証ゲートウェイへ転送する。
【0138】
ステップ911において、認証ゲートウェイはHSSから送信されたH(A1)と自身が生成した第1RANDに基づきXRESを生成する。
【0139】
ステップ912において、認証ゲートウェイは生成したXRESと獲得した第1RESを比較する。
【0140】
ステップ913において、もし比較結果としてXRESと第1RESが一致であれば、当該IMS端末認証が成功したと確認する。
【0141】
ステップ914において、認証ゲートウェイは受信した第2RANDとHSSが送信したH(A1)に基づき第2RESを生成する。
【0142】
ステップ915において、認証ゲートウェイは生成した第2RESに認証成功の結果を含めて非IMS ASへ送信する。
【0143】
ステップ916において、非IMS ASは認証成功の結果をIMS端末へ送信する。
【0144】
ステップ917において、IMS端末は生成した第2RANDおよび自身に保存されたH(A1)に基づき第3RESを生成する。
【0145】
ステップ918において、IMS端末は生成した第3RESと受信した第2RESを比較する。
【0146】
ステップ919において、もし比較結果として第3RESと第2RESが一致であれば、当該非IMS AS認証が成功したと確認する。
【0147】
ステップ920において、IMS端末と非IMS AS間で接続を確立し、IMS端末は非IMS ASから非IMSサービスを獲得する。
【0148】
もし本発明に係る実施形態四においてIMS端末を介しIEブラウザが非IMSサービスを獲得する場合、IMS端末はIEブラウザを有する。図10は、本発明に係る第5実施形態においてIEブラウザを有するIMS端末の非IMSサービスを獲得時の認証方法フローチャートである。具体的な処理プロセスは以下の通りである。
【0149】
ステップ101において、IMS端末は非IMS ASへIMPUを含むHTTPリクエストメッセージを送信する。
【0150】
ステップ102において、非IMS ASは受信したHTTPリクエストメッセージを認証ゲートウェイへ転送する。
【0151】
ステップ103において、認証ゲートウェイは受信したIMPUを獲得リクエストに含ませHSSへ送信する。
【0152】
ステップ104において、HSSは受信したIMPUに基づきIMPUと認証データとの対応関係から対応する認証データを探し、本ステップにおいて探し出した認証データをH(A1)とする。
【0153】
ステップ105において、HSSは探し出したH(A1)認証ゲートウェイへ送信する。
【0154】
ステップ106において、認証ゲートウェイは生成した第1RANDを非IMS ASへ送信する。
【0155】
ステップ107において、非IMS ASは受信した第1RANDをIMS端末へ送信する。
【0156】
ステップ108において、IMS端末は第1RANDと自身が保存したH(A1)に基づき第1RESを生成する。
【0157】
ステップ109において、IMS端末は生成した第1RESと生成した第2RANDを非IMS ASへ送信する。
【0158】
ステップ1010において、非IMS ASは当該第1RESと第2RANDを認証ゲートウェイへ転送する。
【0159】
ステップ1011において、認証ゲートウェイはHSSが送信したH(A1)と生成した第1RANDに基づきXRESを生成する。
【0160】
ステップ1012において、認証ゲートウェイは生成したXRESと獲得した第1RESを比較する。
【0161】
ステップ1013において、もし比較結果としてXRESと第1RESが一致であれば、当該IMS端末の認証成功を確認する。
【0162】
ステップ1014において、認証ゲートウェイは受信した第2RANDとHSSから送信あれたH(A1)に基づき第2RESを生成する。
【0163】
ステップ1015において、認証ゲートウェイはHSSから送信されたH(A1)に基づき生成したSessionIDを暗号化し、EH (A1)(SessionID)を取得する。
【0164】
ステップ1016において、認証ゲートウェイは生成した第2RES、SessionIDおよびEH (A1)(SessionID)を認証成功結果に含めて非IMS ASへ送信する。
【0165】
ステップ1017において、非IMS ASは第2RESおよびEH(A1)(SessionID)を認証成功結果に含めてIMS端末へ送信し、かつ自身のIMPUとSessionIDとの対応関係に保存する。
【0166】
ステップ1018において、IMS端末は自身が生成した第2RANDおよび自身に保存されたH(A1)に基づき第3RESを生成する。
【0167】
ステップ1019において、IMS端末は生成した第3RESと受信した第2RESを比較する。
【0168】
ステップ1020において、もし比較結果として第3RESと第2RESが一致であれば、当該非IMS AS認証が成功したと確認する。
【0169】
ステップ1021において、IMS端末は自身が保存したH(A1)に基づきEH(A1)(SessionID)を復号し、SessionIDを取得する。
【0170】
ステップ1022において、IMS端末は復号後のSessionIDとIMPUをユニバーサルリソースロケータ(URL、Universal Resource Locator)パラメータとし、IEブラウザを起動する。
【0171】
ステップ1023において、IMS端末はIEブラウザにおいて非IMS ASへ自身のIMPUと復号後のSessionIDを含むHTTPリクエストメッセージを送信する。
【0172】
ステップ1024において、非IMS ASは当該HTTPリクエストメッセージを受信した後に、保存したIMPUとSessionIDとの対応関係に基づき受信したIMPUとSessionIDを認証する。
【0173】
ステップ1025において、もし認証が成功すればIMPUとSessionIDとの対応関係において、受信したIMPUとSessionIDを削除し、リプレイ攻撃を防止する。
【0174】
ステップ1026において、非IMS ASは受信したIMPUとSessionIDに基づき、IMS端末が起動したIEブラウザのCookieを設定する。
【0175】
本ステップを実行した後に、IEブラウザが起動されている場合、当該IMS端末は、直接非IMS ASにCookie認証通過をリクエストし、前記ステップの認証を再度実行する必要はない。
【0176】
ステップ1027において、IMS端末は非IMS AS間との接続を確立し、IMS端末は非IMS ASから非IMSサービスを獲得する。
【0177】
前記2つのプロセスにおいて、非IMS ASは非信任ドメインに位置する可能性があるし、かつ、認証ゲートウェイがIMSシステムにおけるネットワーク・エレメントであり、認証ゲートウェイの安全性を確保するために、認証ゲートウェイと非IMS ASの間で、確立した伝送層安全/インターネットプロトコル安全トンネルの方式で情報交換し、安全性を確保する。
【0178】
本発明に係る実施形態4において、認証ゲートウェイよりIMS端末の認証データH(A1)を暗号化することができる。例えば非IMS ASのドメイン名に基づく暗号化することによりH(A1)’を取得し、そして非IMS ASへ送信する。その後、IMS
ASはH(A1)’を採用してIMS端末認証を行えるために、非IMS ASの機能が強化される。以下通常のIMS端末とIEブラウザを有するIMS端末をそれぞれ例を挙げて実施法案を説明する。
【0179】
図11は本発明に係る実施形態6に係る、IMS端末が非IMSサービスを獲得する場合の認証方法フローチャートである。具体的な処理プロセスは以下の通りである。
【0180】
ステップ111において、IMS端末は非IMS ASへIMPUを含むHTTPリクエストメッセージを送信する。
【0181】
ステップ112において、非IMS ASはIMPUに対応するH(A1)’を保存しているかどうかを判断する。もし保存していれば、直接第1RANDIMSを生成して端末へ送信し、IMS端末間との認証プロセスを完了する。このプロセスは従来技術と同じであるため、ここでは繰り返さない。
【0182】
もし保存していなければ、非IMS ASは受信したHTTPリクエストメッセージを認証ゲートウェイへ転送する。
【0183】
ステップ113において、認証ゲートウェイは受信したIMPUに基づいてHSSからIMS端末の認証データを獲得する。
【0184】
具体的には、認証ゲートウェイは、IMPUが現在登録しているS−CSCFのフルドメイン名(FQDN、Fully Qualified Domain Name)を照会するために、HSSへLIRメッセージを送信する。
【0185】
HSSは認証ゲートウェイへLIAメッセージを送信する。
【0186】
認証ゲートウェイはHSSから返送されたLIAメッセージを判断する。もしIMPUがワイルドカードIMPUであれば、非IMS ASへ失敗応答を送信する。もしIMPUに対応するIMS端末がまだIMSシステムへ登録していなければ、非IMS ASへ失敗応答を返送する。もしIMPUに対応するIMS端末がすでに登録に成功していれば、認証ゲートウェイはLIAメッセージからIMS端末に登録したS−CSCFのFQDNを獲得する。
【0187】
認証ゲートウェイは、IMPUとIMPIとの対応関係に基づいてIMS端末のIMPIを検出する。
【0188】
認証ゲートウェイはIMPU、IMPIとFQDNを含むマルチメディア認証リクエスト(MAR、 Multimedia Auth Request)メッセージをHSSへ送信する。
【0189】
HSSはマルチメディア認証応答(MAA、Multimedia Auth Answer)メッセージを返送する。当該マルチメディア認証応答メッセージはIMS端末の認証データH(A1)を含む。
【0190】
ステップ114において、認証ゲートウェイはIMS端末のH(A1)を保存し、生成した第1RANDを非IMS ASへ送信する。
【0191】
ステップ115において、非IMS ASはIMS端末へ認証ゲートウェイが生成した第1RANDを送信する。
【0192】
ステップ116において、IMS端末は自身が保存したH(A1)と受信した第1RANDに基づき第1RESを生成する。
【0193】
本ステップにおいて、IMS端末はさらに非IMS ASのFQDN(即ち、FQDNAS)に基づきMD5暗号化演算方法により、H(A1)を暗号化しH(A1)’を取得できる。
【0194】
ステップ117において、IMS端末は非IMS ASへ、生成した第1RESおよびIMS端末が生成した第2RANDを返送する。
【0195】
ステップ118において、非IMS ASは当該第1RESおよび第2RANDを認証ゲートウェイへ転送する。
【0196】
ステップ119において、認証ゲートウェイはH(A1)と第1RANDに基づきXRESを生成する。
【0197】
ステップ1110において、生成したXRESを受信した第1RESと比較する。
【0198】
ステップ1111において、もし比較結果としてXRESと第1RESが一致であれば当該IMS端末認証が成功したと確認する。
【0199】
ステップ1112において、認証ゲートウェイは受信した第2RANDとH(A1)に基づき第2RESを生成する。
【0200】
本ステップにおいて、認証ゲートウェイはさらに非IMS ASのFQDNASに基づきMD5暗号化演算方法により、H(A1)を暗号化し、H(A1)’を取得できる。
【0201】
ステップ1113において、認証ゲートウェイは生成した第2RESおよびH(A1)’を認証成功の結果に含めて非IMS ASへ送信する。
【0202】
ステップ1114において、非IMS ASは受信したH(A1)’をIMS端末のIMPUと対応するように保存する。
【0203】
ステップ1115において、非IMS ASは第2RESを含む認証成功結果をIMS端末へ送信する。
【0204】
ステップ1116において、IMS端末は自身の生成した第2RANDおよび自身に保存されたH(A1)に基づき第3RESを生成する。
【0205】
ステップ1117において、生成した第3RESと受信した第2RESを比較する。
【0206】
ステップ1118において、もし比較結果として第3RESと第2RESが一致であれば、非IMS ASの認証成功を確認する。
【0207】
ステップ1119において、非IMS ASはIMS端末のCookieを設定する。
【0208】
ステップ1120において、IMS端末と非IMS ASとの間に接続を確立し、IMS端末は非IMS ASから非IMSサービスを獲得する。
【0209】
ステップ1121において、IMS端末は引き続き非IMS ASを訪問する時、アクセスリクエストメッセージに設定したCookieが含まれる。
【0210】
ステップ1122において、当該Cookieが失効後に、IMS端末が非IMS ASをアクセスする場合、IMS端末と非IMS ASの間はH(A1)’により認証を行い、認証ゲートウェイは参与必要がなくなり、認証のステップと時間を省略する。
【0211】
上述のプロセスにおいて、認証ゲートウェイとHSSの間はインターフェースSh以外に、さらにCxインターフェース或いはZhインターフェースを採用し、IMS端末が現在登録しているS−CSCFのFQDN照会に用いる。当認証ゲートウェイとHSSの間にCxインターフェースを採用する場合、FQDNASをIMS端末の現在のS−CSCFとする。認証ゲートウェイとHSSの間にZhインターフェースを採用する場合、非IMS ASは直接認証ゲートウェイのFQDNを採用できる。
【0212】
図12は、本発明の実施形態7に係る、IEブラウザを有するIMS端末が非IMSサービスを獲得する時の認証方法フローチャートでる。具体的な処理プロセスは以下の通りである。
【0213】
ステップ121において、IMS端末は非IMS ASへIMPUを含むHTTPリクエストメッセージを送信する。
【0214】
ステップ122において、非IMS ASはIMPUに対応するH(A1)’を保存しているかどうかを判断する。もし保存していれば、直接第1RANDを生成してIMS端末へ送信し、IMS端末との間の認証プロセスを完了する。このプロセスは従来技術と同じであるため、ここでは繰り返さない。
【0215】
もし保存していなければ、非IMS ASは受信したHTTPリクエストメッセージを認証ゲートウェイへ転送する。
【0216】
ステップ123において、認証ゲートウェイは、受信したIMPUに基づいてHSSからIMS端末の認証データH(A1)を獲得する。
【0217】
ステップ124において、認証ゲートウェイはIMS端末のH(A1)を保存し、生成した第1RANDを非IMS ASへ送信する。
【0218】
ステップ125において、非IMS ASはIMS端末へ認証ゲートウェイより生成された第1RANDを送信する。
【0219】
ステップ126において、IMS端末は自身に保存されたH(A1)と受信した第1RANDに基づいて、第1RESを生成する。
【0220】
本ステップにおいて、IMS端末はさらに非IMS ASのFQDNASに基づき、MD5暗号化演算方法により、H(A1)を暗号化してH(A1)’を取得できる。
【0221】
ステップ127において、IMS端末は非IMS ASへ生成した第1RESと生成した第2RANDを返送する。
【0222】
ステップ128において、非IMS ASは当該第1RESと第2RANDを認証ゲートウェイへ転送する。
【0223】
ステップ129において、認証ゲートウェイはIMS端末のH(A1)と第1RANDに基づいてXRESを生成する。
【0224】
ステップ1210において、生成したXRESを受信した第1RESと比較する。
【0225】
ステップ1211において、もし比較結果としてXRESと第1RESが一致であれば、当該IMS端末認証が成功したと確認する。
【0226】
ステップ1212において、認証ゲートウェイは受信した第2RANDとIMS端末のH(A1)に基づいて第2RESを生成する。
【0227】
本ステップにおいて、認証ゲートウェイはさらに、非IMS ASとIMS端末のIEブラウザとの一回信号交換のセッション識別子とするSessionIDを生成し、H(A1)を暗号化後に、EH(A1)(SessionID)を取得する。認証ゲートウェイはさらに非IMS ASのFQDNASに基づきMD5暗号化演算方法により、H(A1)を暗号化してH(A1)’を取得できる。
【0228】
ステップ1213において、認証ゲートウェイは取得した第2RES、H(A1)’とEH(A1)(SessionID)を認証成功結果に含めて非IMS ASへ送信する。
【0229】
ステップ1214において、非IMS ASは受信したH(A1)’とSessionIDをIMS端末のIMPUと対応するように保存する。
【0230】
ステップ1215において、非IMS ASは第2RESとEH(A1)(SessionID)を含む認証成功結果をIMS端末へ送信する。
【0231】
ステップ1216において、IMS端末は生成した第2RAND、SessionIDおよび自身に保存されたH(A1)に基づき第3RESを生成する。
【0232】
ステップ1217において、生成した第3RESと受信した第2RESを比較する。
【0233】
ステップ1218において、もし比較結果として第3RESと第2RESが一致であれば、非IMS AS認証が成功したと確認する。
【0234】
ステップ1219において、IMS端末はEH(A1)(SessionID)を復号し、SessionIDを取得する。
【0235】
本ステップにおいて、IMS端末のCookieを設定することも含む。
【0236】
本ステップにおいて、当該認証成功結果は200OKメッセージを介し送信できるがこれに限らない。
【0237】
ステップ1220において、IMS端末はSessionIDとIMPUをURLパラメータとしてIEブラウザを起動し、IMS ASへIMPUとSessionIDを含むHTTPリクエストメッセージを送信する。
【0238】
ステップ1221において、非IMS ASは当該HTTPリクエストメッセージを受信した後に、保存したIMPUとSessionIDとの対応関係に基づき受信したIMPUとSessionIDを認証する。
【0239】
ステップ1222において、もし認証が成功すればIMPUとSessionIDとの対応関係において、受信したIMPUとSessionIDを削除し、リプレイ攻撃を防止する。
【0240】
ステップ1223において、受信したIMPUとSessionIDに基づきIMS端末が起動したIEブラウザのCookieを設定する。
【0241】
本ステップ後、当該IMS端末はIEブラウザを操作する時、直接非IMS ASにCookie認証通過をリクエストし、再度前記ステップ認証を実行する必要がなくなる。
【0242】
ステップ1224において、IMS端末と非IMS ASの間に接続を確立し、IMS端末は非IMS ASから非IMSサービスを獲得する。
【0243】
ステップ1225において、当該Cookie失効後、IMS端末が非IMS ASにアクセスする場合、IMS端末と非IMS AS間のH(A1)’認証は成功し、認証ゲートウェイが参加する必要がなくなり、認証のステップと時間を節約する。
【0244】
上述した2つの実施形態において、IMS端末がHSSからIMS端末の認証データを獲得する場合、HSSは認証ゲートウェイから送信されたMARリクエストメッセージを受信した後に、Server−nameが示すS−CSCFがここにすでに保存しているものと同じかどうかを比較する。もし同じでなければ、現在IMS端末にサービスを提供するS−CSCFの1つを登録させるプロセスをトリガーする。このようなことを避けるために、本発明は以下の二種類の解決方式を提供する。
【0245】
<方式一>
認証ゲートウェイにIMS端末のIMPUとS−CSCF間との対応関係を配置し、認証ゲートウェイはS−CSCF情報を当該MAR認証リクエストに含めて転送する。
【0246】
<方式二>
認証ゲートウェイは非IMS ASから送信された接続リクエストを受信する場合、まず、HSSへLIRリクエストメッセージを送信し、現在IMS端末にサービスを提供するS−CSCFを獲得する。そしてMARリクエストメッセージにS−CSCF情報を含める。
【0247】
本発明において、IMS端末の第1回認証が通過できた後に、認証ゲートウェイはIMS端末の認証データと第1RANDを保存する。次回認証時、上記IMS端末の認証データと第1RANDは再利用可能であり、認証される。また、保存する場合は定期的に更新できる。
【0248】
本発明に係る認証システム、方法および設備は、IMS端末と異なる非IMS AS間との統一した認証プラットフォームを提供し、非IMSサービス獲得時の複雑さを低下させ、ユーザー使用感を改善した。非IMS ASがIMS端末の認証パラメータ/認証データを有しないことにより、非IMS ASの認証プロセスを減少し、データ維持の負担を減らす。認証時、認証ゲートウェイがIMS端末の認証パラメータ/認証データを非IMS AS上に送信しないことにより、改ざん、盗聴と虚偽認証を防止できる。IEブラウザを介し非IMSサービスを獲得するIMS端末は認証プロセスにおいて、暗号化したSessionIDを採用・伝送し、SessionIDの改ざんを防止する。また、本発明はSessionID転送および保存関係の処理により、リプレイ攻撃を防止できる。
【0249】
本発明の実施形態にかかる認証ゲートウェイは、図13に示すように、第1受信ユニット131、獲得ユニット132、第1送信ユニット133、第2受信ユニット134、比較ユニット135、確認ユニット136および指示ユニット137とを備える。
【0250】
第1受信ユニット131は、IMS端末が非IMSサービスを提供するASを介し送信した接続リクエストメッセージを受信する。
【0251】
獲得ユニット132は、第1RANDと前記IMS端末のXRESを獲得する。
【0252】
第1送信ユニット133は、獲得ユニット132が獲得した第1RANDを前記ASを介し前記IMS端末へ送信する。
【0253】
第2受信ユニット134は、前記AS送信した前記IMS端末に基づき前記第1RAND生成した第1RESを介し前記IMS端末を受信する。
【0254】
比較ユニット135は、第2受信ユニット134が受信した第1RESと獲得ユニット132が獲得したXRESが一致するかどうかを比較する。
【0255】
確認ユニット136は、比較ユニット135の比較結果が一致である場合、当該IMS端末認証が成功したと確認する。
【0256】
指示ユニット137は、前記ASが前記IMS端末に非IMSサービスを提供することを指示する。
【0257】
好ましくは、獲得ユニット132は前記IMS端末の第1RANDと前記IMS端末のXRESを含む認証パラメータを獲得する。
【0258】
さらに好ましくは、第1受信ユニット131が受信した接続リクエストメッセージに前記IMS端末のIMPUを含む。
【0259】
獲得ユニット132は具体的に送信サブユニットと、受信サブユニットとを備える。
【0260】
送信サブユニットは、第1受信ユニット131が受信した前記IMPUを含む獲得リク
エストをHSSへ送信する。
【0261】
受信サブユニットは、前記HSSが送信した認証パラメータを受信する。前記認証パラメータは、前記HSSが前記IMPUに基づいてIMPUとの対応関係から検出されたものである。
【0262】
好ましくは、獲得ユニット132が獲得した認証パラメータに第1AUTNがさらに含まれる。
【0263】
前記認証ゲートウェイは第2送信ユニットをさらに備える。前記第2送信ユニットは、第2受信ユニット134が前記IMS端末の前記ASを介して送信した第1RESを受信する前に、獲得ユニットが獲得した第1AUTNを前記ASを介し前記IMS端末へ送信する。
【0264】
好ましくは、前記認証ゲートウェイは確定ユニットと、第3送信ユニットとをさらに備える。
【0265】
確定ユニットは、指示ユニット137が前記ASに前記IMS端末へ非IMSサービスを提供することを指示する前に、前記IMS端末が引き続き非IMSサービス獲得時、必要な共用キーを確定する。
【0266】
第3送信ユニットは、確定ユニットが確定した共用キーを前記ASへ送信する。
【0267】
好ましくは、獲得ユニット132は具体的に第1生成サブユニットと、獲得サブユニットと第2生成するサブユニットとを備える。
【0268】
第1生成するサブユニットは、第1RANDを生成する。
【0269】
獲得サブユニットは、前記IMS端末の認証データを獲得する。
【0270】
第2生成サブユニットは、第1生成サブユニットが生成した第1RANDと獲得サブユニットが獲得した認証データに基づいて前記IMS端末のXRESを生成する。
【0271】
前記認証ゲートウェイは第3受信ユニット、生成ユニットと第4送信ユニットを備えることをさらに好ましい。
【0272】
第3受信ユニットは、前記IMS端末が前記ASを介し送信した第2RANDを受信する。
【0273】
生成ユニットは、第3受信ユニットが受信した第2RANDと獲得サブユニットが獲得した認証データに基づいて第2RESを生成する。
【0274】
第4送信ユニットは、生成ユニットが生成した第2RESを前記ASを介し前記IMS端末へ送信する。
【0275】
前記指示ユニット137は、認証成功結果を前記ASへ送信し、前記ASに前記IMS端末へ非IMSサービスを提供することを指示する。
【0276】
本発明に係る実施形態はASを提供しており、当該ASは非IMSサービスを提供する。図14に示すように、第1受信ユニット141と、第1転送ユニット142と、第2受
信ユニット143と、第2転送ユニット144と、第3受信ユニット145と、第3転送ユニット146と提供ユニット147とを備える。
【0277】
ここで、第1受信ユニット141は、IMS端末が送信した接続リクエストメッセージを受信する。
【0278】
第1転送ユニット142は、第1受信ユニット141が受信した接続リクエストメッセージを認証ゲートウェイへ転送する。
【0279】
第2受信ユニット143は、認証ゲートウェイが送信した第1RANDを受信する。
【0280】
第2転送ユニット144は、第2受信ユニット143が受信した第1RANDを前記IMS端末へ転送する。
【0281】
第3受信ユニット145は、前記IMS端末が送信した第1RESを受信する。
【0282】
第3転送ユニット146は、第3受信ユニット145が受信した第1RESを前記認証ゲートウェイへ転送する。
【0283】
提供ユニット147は、前記認証ゲートウェイの指示に基づき前記IMS端末へ非IMSサービスを提供する。
【0284】
好ましくは、前記ASは第4受信ユニットと第4転送ユニットをさらに備える。
【0285】
第4受信ユニットは、第3受信ユニット145が第1RESを受信する前に、認証ゲートウェイが送信したAUTNを受信する。
【0286】
第4転送ユニットは、第4受信ユニットが受信したAUTNを前記IMS端末へ転送する。
【0287】
好ましくは、提供ユニット147は具体的に受信サブユニットと、接続確立サブユニットと、提供サブユニットとを備える。
【0288】
受信サブユニットは、前記認証ゲートウェイが送信した認証成功結果を受信する。
【0289】
接続確立サブユニットは、受信サブユニットが認証成功結果を受信した後に、前記IMS端末との間の接続を確立する。
【0290】
提供サブユニットは、接続確立サブユニットが確立した接続により、前記IMS端末へ非IMSサービスを提供する。
【0291】
好ましくは、前記ASは第5受信ユニットをさらに備える。前記第5受信ユニットは、提供ユニット147が前記IMS端末へ非IMSサービスを提供する前に、前記認証ゲートウェイが送信した共用キーを受信、かつ保存する。
【0292】
もし前記IMS端末がIEブラウザを介し非IMSサービス獲得すれば前記ASは生成ユニットと、暗号化ユニットと、送信ユニットと、第6受信ユニットと、設定ユニットとをさらに備えることがさらに好ましい。
【0293】
生成ユニットは、SessiongIDを生成する。
【0294】
暗号化ユニットは、第5受信ユニットが受信した共用キーに基づき、生成ユニットが生成したSessiongIDを暗号化する。
【0295】
送信ユニットは、暗号化ユニットが暗号化したSessiongIDを前記IMS端末へ送信する。
【0296】
第6受信ユニットは、前記IMS端末が受信したIMPUとSessiongIDを含む接続リクエストメッセージを受信する。
【0297】
設定ユニットは、第6受信ユニットが受信したIMPUとSessiongIDに基づき、前記IMS端末が起動したIEブラウザのCookieを設定する。
【0298】
前記ASは保存ユニットと、認証ユニットと、認証ユニットとを備えることがさらに好ましい。
【0299】
保存ユニットは、送信ユニットが暗号化ユニットにより暗号化されたSessiongIDを前記IMS端末へ送信する前に、生成ユニットが生成したSessiongIDと前記IMS端末のIMPUを対応させるように保存する。
【0300】
認証ユニットは、設定ユニットが前記IMS端末により起動されたIEブラウザのCookieを設定する前に、保存ユニットのSessiongIDとIMPUとの対応関係に基づき、第6受信ユニットが受信したIMPUとSessiongIDを認証する。
【0301】
削除ユニットは、認証ユニットの認証結果が成功となった後に、保存ユニットが保存するSessiongIDとIMPUとの対応関係において、第6受信ユニットが受信した前記IMPUとSessiongIDを削除する。
【0302】
好ましくは、前記ASは第7受信ユニット、第5転送ユニット、第8受信ユニットと第6転送ユニットとをさらに備える。
【0303】
第7受信ユニットは、前記IMS端末が送信した第2RANDを受信する。
【0304】
第5転送ユニットは、第7受信ユニットが受信した第2RANDを前記認証ゲートウェイへ転送する。
【0305】
第8受信ユニットは、認証ゲートウェイが送信した第2RESを受信する。
【0306】
第6転送ユニットは、第8受信ユニットが受信した第2RESを前記IMS端末へ転送する。
【0307】
本発明に係る実施形態はIMS端末を提供しており、図15示すように、第1送信ユニット151、第1受信ユニット152、第1生成ユニット153、第2送信ユニット154とサービス獲得ユニット155とを備える。
【0308】
第1送信ユニット151は、非IMSサービスを提供するASへ接続リクエストメッセージを送信する。
【0309】
第1受信ユニット152は、認証ゲートウェイが前記ASを介し送信した第1RANDを受信する。
【0310】
第1生成ユニット153は、第1受信ユニット152が受信した第1RANDに基づきRESを生成する。
【0311】
第2送信ユニット154は、第1生成ユニット153が生成した第1RESを前記ASへ送信する。
【0312】
サービス獲得ユニット155は、前記ASにて非IMSサービスを獲得する。
【0313】
好ましくは、前記IMS端末は第2受信ユニットと、第2生成ユニットと、第1比較ユニットと第1確認ユニットとをさらに備える。
【0314】
第2受信ユニットは、第1生成ユニット153が第1RESを生成する前に、前記認証ゲートウェイが前記ASを介し送信した第1AUTNを受信する。
【0315】
第2生成ユニットは、第1受信ユニット152が受信した第1RANDに基づき第2AUTNを生成する。
【0316】
第1比較ユニットは、第2生成ユニットが生成した第2AUTNと第2受信ユニットが受信した第1AUTNが一致するかどうかを比較する。
【0317】
第1確認ユニットは、第1比較ユニットの比較結果として第2AUTNと第1AUTNが一致であれば、前記AS認証が成功したと確認する。
【0318】
好ましくは、前記IMS端末は第3生成ユニット、第3送信ユニット、第3受信ユニット、第4生成ユニット、第2比較ユニットと第2確認ユニットとをさらに備える。
【0319】
第3生成ユニットは、第2RANDを生成する。
【0320】
第3送信ユニットは、第3生成ユニットが生成した第2RANDを前記ASを介し前記認証ゲートウェイへ送信する。
【0321】
第3受信ユニットは、前記認証ゲートウェイが前記ASを介し送信した第2RESを受信する。
【0322】
第4生成ユニットは、第3生成ユニットが生成した第2RANDと自身の認証データに基づき第3RESを生成する。
【0323】
第2比較ユニットは、第3受信ユニットが受信した第2RESと第4生成ユニット生成した第3RESが一致するかどうか比較する。
【0324】
第2確認ユニットは、第2比較ユニットの比較結果として第2RESと第3RESが一致であれば、前記AS認証が成功したと確認する。
【0325】
当業者であれば、本発明の技術的思想の範囲内において、本発明に対し種種の変更・改変を実行できる。そのような変更・改変は、本発明の請求の範囲及びその均等の範囲に属するので、つまり、本発明は、そのような変更・改変も意図しているということである。
【技術分野】
【0001】
本発明は通信技術分野に関し、特に認証システム、方法および設備に関する。
【背景技術】
【0002】
インターネット・プロトコル・マルチメディア・サブシステム(IMS、Internet Protocol Multimedia Subsystem)はセッション開始プロトコル(SIP、Session Initiation Protocol)に基づくセッション制御システムであり、パケットスイッチング(PS、Packet Switching)に対しドメインネットワークを拡張したものである。IMSシステムは呼出セッション制御機能(CSCF、Call Session Control Function)、メディア・ゲートウェイ制御機能(MGCF 、Media Gateway Control Function)、メディアリソース機能コントローラ(MRFC、Multimedia Resource Function Controller)、ホーム・サブスクライバー・サーバー(HSS、Home Subscriber Server)、ブレークアウト・ゲートウェイ制御機能(BGCF、Breakout Gateway Control Function)、メディアリソース機能プロセッサ(MRFP、Multimedia Resource Function
Processor)、メディア・ゲートウェイ(MGW、Media Gateway)、IMSサービスを提供するアプリケーションサーバ(AS、Application Server)等の機能エンティティにより構成されている。ここで、機能論理上からCSCFはサービスCSCF(S−CSCF、Serving−CSCF)、プロセッサCSCF(P−CSCF、Proxy−CSCF)と照会CSCF(I−CSCF、Interrogating−CSCF)の3つの論理エンティティに分けることができる。S−CSCFは、セッション制御の実行、セッション状態の維持、IMS端末情報の管理、課金データの作成等に用いるIMSシステムのサービススイッチングセンターである。P−CSCFは、IMS端末登録の完了、サービス品質(QoS)の制御と安全管理、汎用パケット無線サービス(GPRS、General Packet Radio Service)システムとの通信等に用いるIMS端末アクセスIMSシステムの第1アクセスポイントである。I−CSCFは、IMSシステム間の通信、S−CSCFの割り当てと選択の管理、対外ネットワークトポロジと配置を隠し、課金データの作成等に用いられる。BGCFは、その他のIMSシステムとの通信制御を提供する。MGCFとMGWは、IMSシステムと回路スイッチング(CS、Circuit Switching)ドメインシステムおよび公共スイッチング電話ネットワーク(PSTN、Public
Switched Telephone Network )の通信確立の実現に用いる。MRFCは、メディアリソースを提供する。HSSは、IMS端末の契約データ、割当て情報およびIMS端末の認証データ等を保存する。
【0003】
図1は従来技術におけるIMSシステム構造を示す図である。IMS端末はIMSシステムのP−SCCFにアクセスし、IMSへの登録を完了する。その後、IMSサービスを提供するASによりIMS端末へIMSサービスを提供する。この他に、IMS端末はさらにUtインターフェースを介して非IMSサービスを提供するASと相互に接続し、非IMSサービスを取得できる。IMSサービスを提供するASを「IMS AS」と呼び、非IMSサービスを提供するASを「非IMS AS」と呼ぶ。以下にIMSサービスの取得と非IMSサービスの取得に関してそれぞれ詳細に説明する。
【0004】
図2は従来技術におけるIMS端末がIMSサービスを獲得する方法のフローチャートである。具体的な処理プロセスは、ステップ21〜ステップ29からなる。
【0005】
ステップ21において、IMS端末はIMSシステムにおけるP−SCSF/S−CSCFへIMS登録と認証フローを起動する。
【0006】
ステップ22において、IMSシステムにおけるP−SCSF/S−CSCFはHSSに当該IMS端末の登録状態を登記する。この際、HSSには当該IMS端末の契約データと配置情報が保存されている。
【0007】
ステップ23において、IMS端末はP−SCSF/S−CSCFへSIPサービスリクエストを送信する。当該SIPサービスリクエストには当該IMS端末のユーザー識別子が含まれる。ここで、IMS端末のユーザー識別子はSIPサービスリクエストメッセージヘッダの「P−Preferred−Identity」に含まれている。
【0008】
ステップ24において、P−SCSFは当該SIPサービスリクエストを受信後に、当該IMS端末がすでに登録しているかどうかを判断し、もし当該IMS端末がすでに登録していると判断すればSIPサービスリクエストメッセージヘッダの「P−Preferred−Identity」を「P−Asserted−Identity」に交換し、これにより当該IMS端末の身分認証の成功を識別する。P−SCSFには、認証済みのユーザー識別子も含まれる。IMS端末の登録時、P−CSCFではすでに当該IMS端末のユーザー識別子を保存しているため、直接P−CSCFにより、IMS端末の身分認証を実行できる。
【0009】
ステップ25において、P−CSCFはS−CSCFを介し、IMS ASに訂正後のSIPサービスリクエストを転送する。
【0010】
ステップ26において、IMS ASは訂正後のSIPサービスリクエストを受信後に、受信したSIPサービスリクエストに「P−Asserted−Identity」が含まれているかどうかを確認する。もし、「P−Asserted−Identity」を含んでいれば、当該IMS端末の身分認証は成功である。
【0011】
ステップ27において、IMS ASはP−SCSF/S−CSCFへ認証成功の認証結果を返答する。
【0012】
ステップ28において、P−SCSF/S−CSCFは当該IMS端末へSIPサービスリクエストを返答し、当該IMS端末の身分認証が成功したためにIMS ASと相互サービスを実行できると指示する。
【0013】
ステップ29において、当該IMS端末は直接IMS ASと相互サービスを行い、IMS ASより提供されたIMSサービスを獲得する。
【0014】
IMSシステムにP−CSCFがない場合、直接P−CSCFとS−CSCF機能を兼備するS−CSCFにより処理できる。もしP−CSCFがある場合、IMS端末が現在所属しているP−CSCFとS−CSCFにより相互サービスを実行して処理する。
【0015】
前記処理プロセスから分かるように、IMS端末がIMSサービスを獲得する場合、IMSシステムにおけるIMS ASのIMSの代わりにP−CSCFにより端末の身分認証を実行できるし、IMS ASが単独でIMS端末の身分認証プロセスを実行する必要はない。
【0016】
図3は従来技術におけるIMS端末の非IMSサービスの獲得方法を示すフローチャー
トである。具体的な処理プロセスは、ステップ31〜ステップ312に示す通りである。
【0017】
ステップ31において、IMS端末は非IMS ASへハイパーテキスト転送プロトコル(HTTP、Hypertext Transfer Protocol)リクエストを送信する。
【0018】
ステップ32において、非IMS ASは未認可メッセージを返答し、上記未認可メッセージには、当該非IMS ASがランダムに生成した第1乱数とIMS端末のレルム名(realm)が含まれる。ここで、realmはIMS端末がユーザー名とパスワードを使用し認証を実行させることを指示する。
【0019】
ステップ33において、IMS端末は当該メッセージを受信した後に、当該メッセージにrealmを含むと測定すれば、自身のユーザー名、パスワードおよび受信した第1乱数に基づきあらかじめ設定した演算方法により第1応答値を算出する。
【0020】
ステップ34において、IMS端末は算出した第1応答値とIMS端末がランダムに生成した第2乱数をHTTP応答メッセージに含めて非IMS ASに送信する。
【0021】
ステップ35において、非IMS ASはHTTP応答メッセージを受信した後に、自身の生成した第1乱数および当該IMS端末のユーザー名とパスワードに基づきあらかじめ設定した演算方法により第2応答値を算出する。
【0022】
ステップ36において、非IMS ASは算出した第2応答値と受信した第1応答値が一致するかどうかを確定し、もし一致すれば、IMS端末の身分認証を完了する。
【0023】
ステップ37において、非IMS ASはHTTP応答メッセージに含むIMS端末がランダムに生成した第2乱数および当該IMS端末のユーザー名とパスワードの受信に基づきあらかじめ設定した算出方法により第3応答値を算出する。
【0024】
ステップ38において、非IMS ASは算出した第3応答値を200OKメッセージに含めてIMS端末に送信する。これにより、IMS端末に当該非IMS ASの認証を実行させる。
【0025】
ステップ39において、IMS端末は200OKメッセージを受信した後に、自身がランダムに生成した第2乱数および当該IMS端末のユーザー名とパスワードに基づきあらかじめ設定した算出方法により第4応答値を算出する。
【0026】
ステップ310において、IMS端末は算出した第4応答値と受信した第3応答値が一致するかどうかを確定する。もし一致すれば、当該非IMS ASの認証を完了する。
【0027】
ステップ311において、IMS端末は非IMS ASにHTTPサービスリクエストを送信する。
【0028】
ステップ312において、非IMS ASはIMS端末に200OKメッセージを返答し、非IMS ASとIMS端末間にサービス接続を確立し、IMS端末は非IMS ASより提供された非IMSサービスを獲得する。
【0029】
ここで、IMS端末は非IMS ASの認証を実行しなくてもよい。
【0030】
前記処理プロセスから明らかなように、IMS端末が非IMSサービスを獲得する場合
、非IMS ASはIMSシステムからIMS端末の認証データを獲得できないため、非IMS ASはIMS端末に対し直接に認証する必要がある。異なる非IMS ASとIMS端末間の認証方式もまた統一した基準はなく、採用できる認証メカニズムには、ユーザー名/パスワード認証メカニズム、HTTP 概要(Digest)メカニズム、事前共用キーワード伝送レベル安全メカニズム等がある。
【先行技術文献】
【特許文献】
【0031】
【特許文献1】中華人民共和国特許第101197673号明細書
【発明の概要】
【発明が解決しようとする課題】
【0032】
従来技術においては、非IMS ASは各非IMSサービスを獲得したIMS端末毎に認証する必要があり、これはASのサービス処理効率を低下させる。
【課題を解決するための手段】
【0033】
本発明に係る実施形態は認証システムおよび方法を提供することにより、従来技術における非IMS ASが各非IMSサービスを獲得したIMS端末毎に認証する必要があるために、ASのサービス処理効率を低下させる問題を解決する。
【0034】
また、本発明に係る実施形態は認証ゲートウェイ、アプリケーションサーバとIMS端末を提供する。
【0035】
本発明に係る実施形態の技術方案は以下の通りである。
【0036】
本発明に係る認証システムは、非インターネット・プロトコル・マルチメディア・サブシステムIMSサービスを提供するアプリケーションサーバAS、認証ゲートウェイとIMS端末を備える。ここで、前記ASは、IMS端末から送信された接続リクエストメッセージを前記認証ゲートウェイに転送し、かつ、認証ゲートウェイから送信された第1乱数を前記IMS端末に転送;そして、前記IMS端末がフィードバックした前記第1乱数に基づき生成した第1応答値を前記認証ゲートウェイに送信し、かつ、前記認証ゲートウェイの指示に基づき前記IMS端末へ非IMSサービスを提供する。前記認証ゲートウェイは、第1乱数と前記IMS端末の期待応答値を獲得し、獲得した第1乱数を前記ASに送信し、かつASが送信した第1応答値と獲得した期待応答値が比較して一致する場合、当該IMS端末の認証が成功したことを確認し、さらに、前記ASに対し前記IMS端末へ非IMSサービスを提供させることを指示する。前記IMS端末は、前記ASに接続リクエストメッセージを送信し、前記ASから送信された第1乱数に基づき、第1応答値を生成し、生成した第1応答値を前記ASに送信する。
【0037】
本発明に係る認証方法は、認証ゲートウェイが、インターネット・プロトコル・マルチメディア・サブシステムIMS端末が非IMSサービスを提供するアプリケーションサーバASを介し送信した接続リクエストメッセージを受信するステップと、第1乱数と前記IMS端末の期待応答値を獲得するステップと、前記認証ゲートウェイが獲得した第1乱数を前記ASを介し前記IMS端末へ送信するステップと、前記IMS端末が前記ASから送信された、前記IMS端末が前記第1乱数に基づき生成した第1応答値に基づいて受信するステップと、前記認証ゲートウェイが受信した第1応答値と獲得した所望応答値を比較して一致だと判断する場合、当該IMS端末の認証成功を確認するステップと、前記ASに対し前記IMS端末へ非IMSサービスを提供することを指示するステップとを含む。
【0038】
本発明に係る認証ゲートウェイは、インターネット・プロトコル・マルチメディア・サブシステムIMS端末が非IMSサービスを提供するアプリケーションサーバASを介し送信した接続リクエストメッセージを受信する第1受信ユニットと、第1乱数と前記IMS端末の期待応答値を獲得する獲得ユニットと、獲得ユニットの獲得した第1乱数を前記ASを介し前記IMS端末へ送信する第1送信ユニットと、前記IMS端末が前記ASを介し送信した、前記IMS端末が前記第1乱数により生成した第1応答値を受信する第2受信ユニットと、第2受信ユニットが受信した第1応答値と獲得ユニットが獲得した期待応答値が一致するかどうかを比較する比較ユニットと、比較ユニットの比較結果が一致である場合、当該IMS端末の認証成功を確認する確認ユニットと、前記ASに対し前記IMS端末へ非IMSサービスを提供させることを指示する指示ユニットとを備える。
【0039】
非インターネット・プロトコル・マルチメディア・サブシステムIMSサービスを提供するアプリケーションサーバは、IMS端末が送信した接続リクエストメッセージを受信する第1受信ユニットと、第1受信ユニットが受信した接続リクエストメッセージを認証ゲートウェイへ転送する第1転送ユニットと、認証ゲートウェイが送信した第1乱数を受信する第2受信ユニットと、第2受信ユニットが受信した第1乱数を前記IMS端末へ転送する第2転送ユニットと、前記IMS端末が送信した第1応答値を受信する第3受信ユニットと、第3受信ユニットが受信した第1応答値を前記認証ゲートウェイへ転送する第3転送ユニットと、前記認証ゲートウェイの指示に基づき前記IMS端末へ非IMSサービス提供する提供ユニットとを備える。
【0040】
インターネット・プロトコル・マルチメディア・サブシステム端末は、非インターネット・プロトコル・マルチメディア・サブシステムIMSサービスを提供するアプリケーションサーバASへ接続リクエストメッセージを送信する第1送信ユニットと、認証ゲートウェイが前記ASを介して送信した第1乱数を受信する第1受信ユニットと、第1受信ユニットが受信した第1乱数に基づき第1応答値を生成する第1生成ユニットと、第1生成ユニットが生成した第1応答値を前記ASへ送信する第2送信ユニットと、前記ASにて非IMSサービス獲得するサービス獲得ユニットとを備える。
【発明の効果】
【0041】
本発明に係る実施形態の技術方案において、認証システムは非IMSサービスを提供するAS、認証ゲートウェイとIMS端末とを備える。ASはIMS端末が送信した接続リクエストメッセージを前記認証ゲートウェイへ転送し、認証ゲートウェイは獲得した第1乱数をASを介し前記IMS端末へ送信する。IMS端末は第1乱数に基づき第1応答値を生成し、生成した第1応答値をASを介し認証ゲートウェイへ送信する。認証ゲートウェイが受信した第1応答値と獲得した所望応答値が一致だと判断する場合、当該IMS端末の認証が成功したと確認し、かつASにIMS端末へ非IMSサービスを提供することを指示する。これから明らかなように、本発明に係る認証システムにおいて、IMS端末の認証は認証ゲートウェイにより実施でき、効果的にASのサービス処理効率を高め、非IMSサービスを提供するASがIMS端末に対する簡単かつ統一した認証を実現した。IMS端末は非IMSサービスを提供する一つ一つのASと認証メカニズムを協議する必要がなく、認証の実現が容易になる。
【図面の簡単な説明】
【0042】
【図1】従来技術におけるIMSシステム構造を示す図である。
【図2】従来技術における、IMS端末がIMSサービスを獲得方法のフローチャートである。
【図3】従来技術における、IMS端末の非IMSサービスの獲得方法フローチャートである。
【図4】本発明に係る実施形態における、認証システムの構造図である。
【図5】本発明に係る実施形態における、認証方法のフローチャートである。
【図6】本発明に係る第1実施形態における、非IMSサービスを提供するASのIMS端末認証を実行する方法のフローチャートである。
【図7】本発明に係る第2実施形態における、共用キーを生成する方法のフローチャートである。
【図8】本発明に係る第3実施形態における、IEブラウザのCookieを設定する方法のフローチャートである。
【図9】本発明に係る実施形態4における、IMS端末が非IMSサービスを獲得する時の方法フローチャートである。
【図10】本発明に係る第5実施形態における、IEブラウザを有するIMS端末が非IMSサービス獲得時の方法フローチャートである。
【図11】本発明に係る第6実施形態における、IMS端末が非IMSサービス獲得時の認証方法フローチャートである。
【図12】本発明に係る第7実施形態における、IEブラウザを有するIMS端末が非IMSサービス獲得時の認証方法フローチャートである。
【図13】本発明に係る実施形態における、認証ゲートウェイの構造図である。
【図14】本発明に係る実施形態における、非IMSサービスを提供するASの構造図である。
【図15】本発明に係る実施形態における、IMS端末の構造図である。
【発明を実施するための形態】
【0043】
以下図面を結合して本発明に係る実施形態の技術方案の主な実現原理、具体的な実施形態およびこれが実現できる有益な効果に対し詳細に説明する。
【0044】
従来技術において、非IMSサービスを獲得する場合、IMS端末は非IMSサービスを提供するAS(非IMS AS)と接続を確立する必要がある。接続を確立する前に、非IMS ASはIMS端末の認証を行う必要がある。IMS端末が直接Utインターフェースを介し非IMS ASと信号を交換するため、IMSシステムのコアネットワークを経由しない。よって、図3に示すプロセスの通りIMSのコアネットワークを非IMS
ASに代えてのIMS端末認証を実行できない。もし、IMS端末と直接非IMS ASとの間で認証を実行すれば、ASのサービス処理効率は低下し、かつ、あらかじめ両者(IMS端末と非IMS AS)間で事前に認証メカニズムを協議した後に認証を実行する必要がある。一つのIMS端末にとって、異なる非IMS ASから提供される異なる非IMSサービスを獲得するため、異なる非IMS ASとの認証が必要になる。これでは、IMS端末は一つ一つの異なる非IMS ASとの間で事前に認証メカニズムを協議した後に、認証を実行する必要があり、かつ、認証の時、いずれかの異なる非IMS ASはIMS端末の認証データを保存しなければならない。これはIMS端末の認証データ漏を招き、認証の信頼性および安全性低下をもたらす。
【0045】
上述問題点を解決するために、本発明に係る実施形態は認証システムを提供しており、図4に示すように、非IMSサービスを提供するAS41と、認証ゲートウェイ42とIMS端末43とを備える。
【0046】
AS41は、IMS端末43から送信された接続リクエストメッセージを認証ゲートウェイ42へ転送し、認証ゲートウェイ42から送信された第1乱数(RAND)をIMS端末43へ転送し、かつ、IMS端末43がフィードバックした、前記第1RANDに基づき生成した第1応答値(RES,Response Internet Explorer)を認証ゲートウェイ42へ送信し、さらに、認証ゲートウェイ42の指示に基づきIMS端末43へ非IMSサービスを提供する。
【0047】
認証ゲートウェイ42は、第1RANDとIMS端末43の期待応答値(XRES,Expected Response Internet Explorer)を獲得し、獲得した第1RANDへAS41送信し、かつAS41から送信された第1RESと獲得したXRESとを比較し、両者が一致する場合、当該IMS端末43の認証が成功したと確認し、AS41にIMS端末43へ非IMSサービスを提供することを指示する。
【0048】
IMS端末43は、AS41へ接続リクエストメッセージを送信し、さらにAS42から送信された第1RANDに基づき第1RESを生成し、生成した第1RESをAS41へ送信する。
【0049】
本発明に係る実施形態において、IMS端末が送信した接続リクエストメッセージはHTTPメッセージであってもよいがこれに限らない。
【0050】
ここで、認証ゲートウェイが第1RANDと所望RESを獲得する具体的な実現フローは以下の2つの実施状況があるがこれに限らない。
【0051】
<第1実施状況>
認証ゲートウェイは前記IMS端末の認証パラメータを獲得する。ここで、前記認証パラメータには第1RANDと前記IMS端末のXRESが含まれる。認証ゲートウェイは、HSSを介し認証パラメータ獲得できるがこれに限らない。よって、認証ゲートウェイが受信した接続リクエストメッセージには、当該IMS端末のIMS公共ユーザー識別子(IMPU,IMS Public User Identity)が含まれ、認証ゲートウェイは当該IMPUを含む獲得リクエストをHSSへ送信する。当該HSSは受信したIMPUに基づき、保存したIMPUと認証パラメータとの対応関係から受信したIMPUに対応する認証パラメータを検出し、かつ検出した認証パラメータを認証ゲートウェイへ送信する。
【0052】
<第2実施状況>
認証ゲートウェイは第1RANDを生成し、かつ前記IMS端末の認証データを獲得する。そして生成した第1RANDと獲得した認証データに基づきXRESを生成する。ここで、認証ゲートウェイはHSSを介し認証データを獲得できるがこれに限らない。よって、認証ゲートウェイが受信した接続リクエストメッセージには、当該IMS端末のIMPUが含まれ、認証ゲートウェイは当該IMPUを含む獲得リクエストをHSSへ送信する。当該HSSは受信したIMPUに基づき、保存したIMPUと認証データとの対応関係から受信したIMPUに対応する認証データを検出し、かつ検出した認証データを認証ゲートウェイへ送信する。
【0053】
認証ゲートウェイとHSS間のインターフェースはShインターフェースであってもよいがこれに限らず、直径(Diameter)プロトコルを採用してもよい。認証ゲートウェイとAS間とのインターフェースを非SIPプロトコルとしてもよく、例えば、HTTPプロトコルを採用してもよいし、インターネットを介して接続してもよい。
【0054】
前記プロセスはIMS端末の単方向認証である。当然、双方向認証も実現でき、即ち、IMS端末もAS認証を行える。これについて具体的に説明する。
【0055】
前記第1実施状況の場合、認証ゲートウェイが獲得した認証パラメータは第1認証トークン(AUTN、Authentication Token)をさらに含む。
【0056】
認証ゲートウェイは、前記ASを介して前記IMS端末から送信された第1RESを受信する前に、獲得した第1AUTNを前記ASへ送信する。
【0057】
ASは、さらに認証ゲートウェイから送信された第1AUTNを前記IMS端末へ送信する。
【0058】
IMS端末は、さらに第1RESを生成する前に、前記第1RANDに基づき第2AUTNを生成し、かつ、生成した第2AUTNと受信した第1AUTNを比較し、両者が一致であれば、前記AS認証が成功だと確認する。
【0059】
前記第1実施状況の場合、IMS端末はさらに第2RANDを生成し、かつ生成した第2RANDをASへ送信し、ASから送信された第2RESを受信する。前記第2RANDと自身の認証データに基づき第3RESを生成する。そして、受信した第2RESと生成した第3RESを比較して一致する場合、前記AS認証が成功したと確認し、ASから提供された非IMSサービスを獲得する。
【0060】
ASは、さらにIMS端末が送信した第2RANDを前記認証ゲートウェイへ送信し、前記認証ゲートウェイから送信された第2RESを前記IMS端末へ送信する。
【0061】
認証ゲートウェイは、さらに前記ASから送信された第2RANDを受信し、受信した第2RANDと獲得した認証データに基づき第2RES生成する。そして生成した第2RESを前記ASへ送信する。
【0062】
本発明に係るシステムにおいて、IMS端末がIEブラウザを介し非IMSサービスを獲得する場合、認証を実行するプロセスでは、ASはセッション識別子(SessiongID)をIMS端末へ送信して、IEブラウザのCookieに保存する。こうすることにより、IMS端末がIEブラウザを介し非IMSサービスを獲得する場合、直接セッション識別子を獲得できるため、IEブラウザを採用する際にセッション識別子を再度入力する必要がない。ここで、SessiongIDは認証ゲートウェイより生成でき、その後ASへ送信される。また、SessiongIDはASにより生成されることもできる。
【0063】
前記処理プロセスから明らかなように、本発明の実施形態に係る技術方案において、認証システムは非IMSサービスを提供するAS、認証ゲートウェイとIMS端末を備える。ASはIMS端末から送信された接続リクエストメッセージを前記認証ゲートウェイへ転送する。認証ゲートウェイは獲得した第1RANDをASを介し前記IMS端末へ送信する。IMS端末は、第1RANDが生成した第1RESに基づき生成した第1RESを、ASを介し認証ゲートウェイへ送信する。認証ゲートウェイは、受信した第1RESと獲得したXRESとを比較して両者が一致する場合、当該IMS端末認証が成功したと確認し、かつASにIMS端末へ非IMSサービスを提供することを指示する。これから明らかなように、本発明に係る認証システムにおいて、IMS端末認証が認証ゲートウェイにより実施されることができるため、ASのサービス処理効率をより効果的に向上させ、非IMSサービスを提供するASの簡単かつ統一したIMS端末認証を実現できる。IMS端末は非IMSサービスを提供する一つ一つのASと認証メカニズムを協議する必要がなくなり、認証の実現が容易になる。
【0064】
また、IMS端末の認証パラメータ/認証データは認証ゲートウェイに保存されるか、或いは認証ゲートウェイによりHSSから獲得され、非IMSサービスを提供する全ASに保存していないため、IMS端末の認証データの漏をもたらさず、認証の信頼性およびその後の非IMSサービスの獲得安全性を高める。
【0065】
図4に示す認証システムに基づく本発明に係る実施形態は図5示すような認証方法を提
供する。具体的な処理プロセスはステップ51〜56に従って実行する。
【0066】
ステップ51において、認証ゲートウェイは、IMS端末が非IMSサービスを提供するASを介し送信した接続リクエストメッセージを受信する。
【0067】
本発明に係る実施形態において、接続リクエストメッセージはHTTPメッセージとしてもよいがこれに限らない。
【0068】
IMS端末がASへ接続リクエストメッセージを送信する前に、IMSシステムに登録する必要がある。具体的な登録フローは従来技術と一致しているため、ここでは説明しない。
【0069】
ステップ52において、認証ゲートウェイは第1RANDと当該IMS端末のXRESを獲得する。
【0070】
ここで、認証ゲートウェイが第1RANDとXRESを獲得する具体的な実現フローは以下の2つの実施状況があるがこれに限らない。
【0071】
<第1実施状況>
認証ゲートウェイは前記IMS端末の第1RANDと前記IMS端末のXRESを含む認証パラメータを獲得する。ここで、認証ゲートウェイは、HSSを介し認証パラメータを獲得してもよいがこれに限らない。よって認証ゲートウェイが受信した接続リクエストメッセージに、当該IMS端末のIMPUが含まれ、認証ゲートウェイは当該IMPUを含む獲得リクエストをHSSへ送信する。当該HSSは受信したIMPUに基づき、保存したIMPUと認証パラメータとの対応関係において、受信したIMPUと対応する認証パラメータを検出し、かつ検出した認証パラメータを認証ゲートウェイへ送信する。ここで、HSSが検出した認証パラメータは認証五タプルパラメータとしてもよく、認証三タプルパラメータとしてもよい。もし認証ゲートウェイが獲得した認証パラメータが認証五タプルパラメータであれば、認証パラメータには第1RAND、第1AUTN、暗号化キー(CK、Cipher Key)、完全性キー(IK、Integrity Key)とXRESが含まれる。
【0072】
<第2実施状況>
認証ゲートウェイは第1RANDを生成し、かつ前記IMS端末の認証データを獲得する。そして生成した第1RANDと獲得した認証データに基づきXRESを生成する。ここで、認証ゲートウェイは、HSSを介し認証データを獲得してもよいが、これに限らない。よって認証ゲートウェイが受信した接続リクエストメッセージには、当該IMS端末のIMPUが含まれ、認証ゲートウェイは当該IMPUを含む獲得リクエストをHSSへ送信する。当該HSSは受信したIMPUに基づき保存したIMPUと認証データとの対応関係から、受信したIMPUと対応する認証データを検出し、かつ検出した認証データを認証ゲートウェイへ送信する。
【0073】
本ステップにおいて、HSSは認証パラメータ或いは認証データをASへは送信しないことにより、IMS端末を認証する場合、盗聴或いは偽造認証を防止し、認証の安全性を高める。
【0074】
ステップ53において、認証ゲートウェイは獲得した第1RANDを介し前記ASを当該IMS端末へ送信する。
【0075】
もしASのIMS端末認証を実行することだけが必要であれば、認証ゲートウェイは第
1RANDをIMS端末へ送信するだけでよい。もしIMS端末がAS認証を実行する必要があれば、双方向認証を実現する。以下にこれの2つの認証実施状況を示す。
【0076】
<第1実施状況>
認証ゲートウェイはさらに獲得した認証パラメータに含まれる第1AUTNを当該IMS端末へ送信する必要がある。第1AUTNは、IMS端末のAS認証に用いられる。IMS端末は第1RANDに基づき第2AUTNを生成し、生成した第2AUTNと受信した第1AUTNを比較して一致すると判断する場合、AS認証が成功したと確認する。ここで、認証ゲートウェイは、第1AUTNと第1RANDをともにIMS端末へ送信してもよいし、先に第1RANDを送信して次に第1AUTNを送信してもよい。或いは先に第1AUTN送信して次に第1RANDを送信してもよいがこれに限らない。つまり、認証ゲートウェイはIMS端末がASを介し送信した第1RESを受信する前に第1AUTNを送信すればよい。
【0077】
<第2実施状況>
IMS端末は第2RANDを生成し、生成した第2RANDをASを介し認証ゲートウェイへ送信する。認証ゲートウェイは、第2RANDとIMS端末の認証データに基づき第2RESを生成し、ASを介しIMS端末へ送信する。IMS端末は生成した第2RANDと自身の認証データに基づき第3RESを生成し、生成した第3RESと受信した第2RESを比較して一致すると判断する場合、当該AS認証が成功したと確認し、当該ASより提供された非IMSサービスを獲得できる。
【0078】
ステップ54において、IMS端末は受信した第1RANDに基づき第1RESを生成し、かつ生成した第1RESを前記ASを介し認証ゲートウェイへ送信する。
【0079】
IMS端末は第1RANDを受信後、あらかじめ設定した第1演算方法により第1RESを算出する。さらに受信した第1RAND基づき第2演算方法によってCKを算出できる。受信した第1RANDに基づき第3演算方法によってIKを算出する。このように、認証ゲートウェイとIMS端末はCKとIKを有することになる。
【0080】
IMS端末は算出した第1RESをASを介し認証ゲートウェイへ送信し、当該第1RESは認証ゲートウェイのIMS端末の認証を実行する。
【0081】
ステップ55において、認証ゲートウェイは受信した第1RESと獲得したXRESを比較して一致すると判断する場合、当該IMS端末認証が成功したと確認する。
【0082】
本ステップにおいて、もし比較結果が一致しない場合、認証は失敗である。
【0083】
ステップ56において、認証ゲートウェイは前記ASに前記IMS端末へ非IMSサービスを提供することを指示する。
【0084】
認証ゲートウェイは当該IMS端末認証の成功を確認した後に、認証成功の結果を直接ASへ送信する。ASは認証成功の結果を受信した後に、IMS端末間との接続を確立し、かつ、確立した接続に基づきIMS端末へ非IMSサービスを提供する。ここで認証ゲートウェイ認証成功の結果を200OKメッセージに含めてASへ送信できるが、これに限らない。
【0085】
もしIMS端末がIEブラウザにより非IMSサービスを獲得する場合、IEブラウザは認証プロセスにおいて自動的にIMS端末の認証データを獲得できないため、ユーザーにより入力する必要があり、ユーザーの利用満足度が低い。よって、本発明はこのような
IMS端末認証のプロセスも訂正する。ASはSessiongIDをIMS端末へ送信し、IEブラウザのCookieに保存し、即ち、ASはSessiongIDに基づきIMS端末が起動するIEブラウザのCookieを設定する。IMS端末がIEブラウザを介し非IMSサービスを獲得する場合、SessiongIDを直接に獲得することができ、IEブラウザ採用時の再度入力が必要ではなくなる。ここで、SessiongIDは認証ゲートウェイにより生成でき、ASへ送信してもよいし、ASにより生成されてもよい。
【0086】
以下に具体的な実施方式を示す。
【0087】
図6は、本発明に係る第1実施形態における非IMSサービスを提供するAS(非IMS AS)のIMS端末認証を実行する方法のフローチャートである。具体的な処理プロセスはステップ61〜ステップ617の通りである。
【0088】
ステップ61において、IMS端末は非IMS ASへIMPUを含むHTTPリクエストメッセージを送信する。
【0089】
ステップ62において、非IMS ASは受信したHTTPリクエストメッセージを認証ゲートウェイへ転送する。
【0090】
ステップ63において、認証ゲートウェイは受信したIMPUを獲得リクエストに含めてHSSへ送信する。
【0091】
ステップ64において、HSSは受信したIMPUに基づきIMPUと認証五タプルパラメータとの対応関係から、対応する認証五タプルパラメータを検出する。
【0092】
ステップ65において、HSSは検出した認証五タプルパラメータを認証ゲートウェイへ送信する。
【0093】
ステップ66において、認証ゲートウェイは受信した認証五タプルパラメータにおけるRANDとAUTNを非IMS ASへ送信する。
【0094】
ステップ67において、非IMS ASは受信したRANDとAUTNをIMS端末へ送信する。
【0095】
ステップ68において、IMS端末は受信したRANDに基づきAUTNを算出する。
【0096】
ステップ69において、IMS端末は算出したAUTNと受信したAUTNが一致するかどうかを比較する。
【0097】
ステップ610において、ステップ69の比較結果がAUTNと受信したAUTNが一致すれば、当該非IMS AS認証が成功したと確認する。
【0098】
ステップ611において、IMS端末は受信したRANDに基づきRESを算出する。
【0099】
ステップ612において、IMS端末は算出したRESをASへ送信する。
【0100】
ステップ613において、非IMS ASは受信したRESを認証ゲートウェイへ転送する。
【0101】
ステップ614において、認証ゲートウェイは受信したRESと受信したXRESを比較する。
【0102】
ステップ615において、比較結果としてRESと受信したXRESが一致すれば、当該IMS端末認証が成功したと確認する。
【0103】
ステップ616において、認証ゲートウェイは認証成功の結果を200OKメッセージに含めて非IMS ASへ送信する。
【0104】
ステップ617において、非IMS ASはIMS端末へ非IMSサービスを提供する。
【0105】
さらに、前記第1実施形態においてIMS端末が後続の非IMSサービスを獲得する場合、前記認証プロセスを実行する必要はなくなるために、認証ゲートウェイとIMS端末は後続のIMS端末が非IMSサービスを獲得する場合に必要な共用キーを確定できる。共用キー確定のプロセスは非IMS ASのIMS端末認証の成功後に、図7に示すような共用キーを生成する。本発明に係る第2実施形態の共用キーの生成方法は具体的にステップ71〜ステップ711の通りである。
【0106】
ステップ71において、認証ゲートウェイは獲得した認証パラメータに含まれるCKとIKに基づきキーKsを算出し、かつRANDとAS識別子(AS_ID)に基づきブートストラッピング・トランザクション識別子(B−TID、Bootstrapping
Transaction Identifier)を生成する。さらに、Ksに有効期限を定義し当該有効期限は主にKsの更新のためである。
【0107】
ステップ72において、認証ゲートウェイはB−TIDと有効期限情報を含む200OKメッセージを非IMS ASへ送信する。つまり、認証ゲートウェイはIMS端末との間の今回の認証のために1つのB−TIDを割当て、当該B−TIDをKsと関連付けさせ、引き続き当該B−TIDに基づきKsを検出できるようにする。
【0108】
ステップ73において、非IMS ASは受信した200OKメッセージをIMS端末へ転送する。
【0109】
ステップ74において、IMS端末は200OKメッセージを受信した後に、取得したB−TIDと有効期限情報を保存する。
【0110】
ステップ75において、IMS端末はKsを生成し、当該Ksをルートキーとして、ASとの通信時の共用キーを派生する。この際、IMS端末と認証ゲートウェイはともにKsを有するようになる。
【0111】
ステップ76において、IMS端末は自身のIMS私有ユーザー識別子(IMPI、IMS Private User Identity)、KsとRAND等パラメータに基づき、キーにより関数を導き出し、共用キーKs_ASを算出する。
【0112】
ステップ77において、IMS端末はB−TIDを非IMS ASへ送信する。
【0113】
ステップ78において、非IMS ASはB−TIDとAS_IDを認証ゲートウェイへ送信する。
【0114】
ステップ79において、認証ゲートウェイはAS_IDの有效性を認証し、かつ共用キ
ーKs_ASを算出する。
【0115】
ステップ710において、認証ゲートウェイは共用キーKs_ASとユーザー安全装置を非IMS ASへ送信する。
【0116】
ステップ711において、非IMS ASは共用キーKs_ASとユーザー安全装置を保存する。このように非IMS ASとIMS端末は共用キーKs_ASを有するようになる。IMS端末が引き続き非IMSサービスを獲得する場合、非IMS ASは共用キーKs_ASに基づき、当該IMS端末の認証を実行する。
【0117】
もし前記IMS端末はIEブラウザを介し非IMSサービスを獲得すれば、即ち、IMS端末がIEブラウザを有すれば、この際、非IMS ASは当該IMS端末へ非IMSサービスを提供する前に、IEブラウザのCookieを設定する必要がある。図8は、本発明に係る第3実施形態におけるIEブラウザのCookieの設定方法フローチャートである。具体的な処理プロセスは以下の通りである。
【0118】
ステップ81において、非IMS ASはSessiongIDを生成し、受信した共用キーKs_ASに基づき生成したSessiongIDを暗号化する。
【0119】
ステップ82において、非IMS ASは生成したSessiongIDと当該IMS端末のIMPUを対応させて保存する。
【0120】
ステップ83において、非IMS ASは暗号化後のSessiongIDをIMS端末へ送信する。
【0121】
ステップ84において、IMS端末は算出した共用キーKs_ASに基づき、受信した暗号化後のSessiongIDを復号する。
【0122】
ステップ85において、IMS端末は復号後に得たSessiongIDと自身のIMPUに基づきIEブラウザを起動する。
【0123】
ステップ86において、IMS端末はIEブラウザにおいて非IMS ASへ自身のIMPUと復号後に得たSessiongIDを含むHTTPリクエストメッセージを送信する。
【0124】
ステップ87において、非IMS ASは保存したSessiongIDとIMPUとの対応関係に基づき受信したIMPUとSessiongIDを認証する。
【0125】
ステップ88において、もし認証が成功すれば、SessiongIDとIMPUとの対応関係において、受信したIMPUとSessiongIDを削除し、これによりリプレイ攻撃を防止する。
【0126】
ステップ89において、非IMS ASは受信したIMPUとSessiongIDに基づき、IMS端末が起動したIEブラウザのCookieを設定する。
【0127】
図9は本発明に係る実施形態4におけるIMS端末の非IMSサービスを獲得時の認証方法フローチャートである。ここで、IMS端末の認証データをH(A1)とする。具体的な処理プロセスは以下の通りである。
【0128】
ステップ91において、IMS端末は非IMS ASへIMPUを含むHTTPリクエ
ストメッセージを送信し、当該IMPUはIMSシステムにおいて唯一IMS端末を識別する。
【0129】
ステップ92において、非IMS ASは受信したHTTPリクエストメッセージを認証ゲートウェイへ転送する。
【0130】
ステップ93において、認証ゲートウェイは受信したIMPUを獲得リクエストに含めてHSSへ送信する。
【0131】
ステップ94において、HSSは受信したIMPUに基づきIMPUと認証データとの対応関係から対応する認証データを検出し、本ステップにおいては、検出した認証データをH(A1)とする。
【0132】
ステップ95において、HSSは検出したH(A1)を認証ゲートウェイへ送信する。
【0133】
ステップ96において、認証ゲートウェイは生成した第1RANDを非IMS ASへ送信する。
【0134】
ステップ97において、非IMS ASは受信した第1RANDをIMS端末へ送信する。
【0135】
ステップ98において、IMS端末は受信した第1RANDと自身に保存されたH(A1)に基づき第1RESを生成する。
【0136】
ステップ99において、IMS端末は生成した第1RESと第2RANDを非IMS ASへ送信する。
【0137】
ステップ910において、非IMS ASは当該第1RESと第2RANDを認証ゲートウェイへ転送する。
【0138】
ステップ911において、認証ゲートウェイはHSSから送信されたH(A1)と自身が生成した第1RANDに基づきXRESを生成する。
【0139】
ステップ912において、認証ゲートウェイは生成したXRESと獲得した第1RESを比較する。
【0140】
ステップ913において、もし比較結果としてXRESと第1RESが一致であれば、当該IMS端末認証が成功したと確認する。
【0141】
ステップ914において、認証ゲートウェイは受信した第2RANDとHSSが送信したH(A1)に基づき第2RESを生成する。
【0142】
ステップ915において、認証ゲートウェイは生成した第2RESに認証成功の結果を含めて非IMS ASへ送信する。
【0143】
ステップ916において、非IMS ASは認証成功の結果をIMS端末へ送信する。
【0144】
ステップ917において、IMS端末は生成した第2RANDおよび自身に保存されたH(A1)に基づき第3RESを生成する。
【0145】
ステップ918において、IMS端末は生成した第3RESと受信した第2RESを比較する。
【0146】
ステップ919において、もし比較結果として第3RESと第2RESが一致であれば、当該非IMS AS認証が成功したと確認する。
【0147】
ステップ920において、IMS端末と非IMS AS間で接続を確立し、IMS端末は非IMS ASから非IMSサービスを獲得する。
【0148】
もし本発明に係る実施形態四においてIMS端末を介しIEブラウザが非IMSサービスを獲得する場合、IMS端末はIEブラウザを有する。図10は、本発明に係る第5実施形態においてIEブラウザを有するIMS端末の非IMSサービスを獲得時の認証方法フローチャートである。具体的な処理プロセスは以下の通りである。
【0149】
ステップ101において、IMS端末は非IMS ASへIMPUを含むHTTPリクエストメッセージを送信する。
【0150】
ステップ102において、非IMS ASは受信したHTTPリクエストメッセージを認証ゲートウェイへ転送する。
【0151】
ステップ103において、認証ゲートウェイは受信したIMPUを獲得リクエストに含ませHSSへ送信する。
【0152】
ステップ104において、HSSは受信したIMPUに基づきIMPUと認証データとの対応関係から対応する認証データを探し、本ステップにおいて探し出した認証データをH(A1)とする。
【0153】
ステップ105において、HSSは探し出したH(A1)認証ゲートウェイへ送信する。
【0154】
ステップ106において、認証ゲートウェイは生成した第1RANDを非IMS ASへ送信する。
【0155】
ステップ107において、非IMS ASは受信した第1RANDをIMS端末へ送信する。
【0156】
ステップ108において、IMS端末は第1RANDと自身が保存したH(A1)に基づき第1RESを生成する。
【0157】
ステップ109において、IMS端末は生成した第1RESと生成した第2RANDを非IMS ASへ送信する。
【0158】
ステップ1010において、非IMS ASは当該第1RESと第2RANDを認証ゲートウェイへ転送する。
【0159】
ステップ1011において、認証ゲートウェイはHSSが送信したH(A1)と生成した第1RANDに基づきXRESを生成する。
【0160】
ステップ1012において、認証ゲートウェイは生成したXRESと獲得した第1RESを比較する。
【0161】
ステップ1013において、もし比較結果としてXRESと第1RESが一致であれば、当該IMS端末の認証成功を確認する。
【0162】
ステップ1014において、認証ゲートウェイは受信した第2RANDとHSSから送信あれたH(A1)に基づき第2RESを生成する。
【0163】
ステップ1015において、認証ゲートウェイはHSSから送信されたH(A1)に基づき生成したSessionIDを暗号化し、EH (A1)(SessionID)を取得する。
【0164】
ステップ1016において、認証ゲートウェイは生成した第2RES、SessionIDおよびEH (A1)(SessionID)を認証成功結果に含めて非IMS ASへ送信する。
【0165】
ステップ1017において、非IMS ASは第2RESおよびEH(A1)(SessionID)を認証成功結果に含めてIMS端末へ送信し、かつ自身のIMPUとSessionIDとの対応関係に保存する。
【0166】
ステップ1018において、IMS端末は自身が生成した第2RANDおよび自身に保存されたH(A1)に基づき第3RESを生成する。
【0167】
ステップ1019において、IMS端末は生成した第3RESと受信した第2RESを比較する。
【0168】
ステップ1020において、もし比較結果として第3RESと第2RESが一致であれば、当該非IMS AS認証が成功したと確認する。
【0169】
ステップ1021において、IMS端末は自身が保存したH(A1)に基づきEH(A1)(SessionID)を復号し、SessionIDを取得する。
【0170】
ステップ1022において、IMS端末は復号後のSessionIDとIMPUをユニバーサルリソースロケータ(URL、Universal Resource Locator)パラメータとし、IEブラウザを起動する。
【0171】
ステップ1023において、IMS端末はIEブラウザにおいて非IMS ASへ自身のIMPUと復号後のSessionIDを含むHTTPリクエストメッセージを送信する。
【0172】
ステップ1024において、非IMS ASは当該HTTPリクエストメッセージを受信した後に、保存したIMPUとSessionIDとの対応関係に基づき受信したIMPUとSessionIDを認証する。
【0173】
ステップ1025において、もし認証が成功すればIMPUとSessionIDとの対応関係において、受信したIMPUとSessionIDを削除し、リプレイ攻撃を防止する。
【0174】
ステップ1026において、非IMS ASは受信したIMPUとSessionIDに基づき、IMS端末が起動したIEブラウザのCookieを設定する。
【0175】
本ステップを実行した後に、IEブラウザが起動されている場合、当該IMS端末は、直接非IMS ASにCookie認証通過をリクエストし、前記ステップの認証を再度実行する必要はない。
【0176】
ステップ1027において、IMS端末は非IMS AS間との接続を確立し、IMS端末は非IMS ASから非IMSサービスを獲得する。
【0177】
前記2つのプロセスにおいて、非IMS ASは非信任ドメインに位置する可能性があるし、かつ、認証ゲートウェイがIMSシステムにおけるネットワーク・エレメントであり、認証ゲートウェイの安全性を確保するために、認証ゲートウェイと非IMS ASの間で、確立した伝送層安全/インターネットプロトコル安全トンネルの方式で情報交換し、安全性を確保する。
【0178】
本発明に係る実施形態4において、認証ゲートウェイよりIMS端末の認証データH(A1)を暗号化することができる。例えば非IMS ASのドメイン名に基づく暗号化することによりH(A1)’を取得し、そして非IMS ASへ送信する。その後、IMS
ASはH(A1)’を採用してIMS端末認証を行えるために、非IMS ASの機能が強化される。以下通常のIMS端末とIEブラウザを有するIMS端末をそれぞれ例を挙げて実施法案を説明する。
【0179】
図11は本発明に係る実施形態6に係る、IMS端末が非IMSサービスを獲得する場合の認証方法フローチャートである。具体的な処理プロセスは以下の通りである。
【0180】
ステップ111において、IMS端末は非IMS ASへIMPUを含むHTTPリクエストメッセージを送信する。
【0181】
ステップ112において、非IMS ASはIMPUに対応するH(A1)’を保存しているかどうかを判断する。もし保存していれば、直接第1RANDIMSを生成して端末へ送信し、IMS端末間との認証プロセスを完了する。このプロセスは従来技術と同じであるため、ここでは繰り返さない。
【0182】
もし保存していなければ、非IMS ASは受信したHTTPリクエストメッセージを認証ゲートウェイへ転送する。
【0183】
ステップ113において、認証ゲートウェイは受信したIMPUに基づいてHSSからIMS端末の認証データを獲得する。
【0184】
具体的には、認証ゲートウェイは、IMPUが現在登録しているS−CSCFのフルドメイン名(FQDN、Fully Qualified Domain Name)を照会するために、HSSへLIRメッセージを送信する。
【0185】
HSSは認証ゲートウェイへLIAメッセージを送信する。
【0186】
認証ゲートウェイはHSSから返送されたLIAメッセージを判断する。もしIMPUがワイルドカードIMPUであれば、非IMS ASへ失敗応答を送信する。もしIMPUに対応するIMS端末がまだIMSシステムへ登録していなければ、非IMS ASへ失敗応答を返送する。もしIMPUに対応するIMS端末がすでに登録に成功していれば、認証ゲートウェイはLIAメッセージからIMS端末に登録したS−CSCFのFQDNを獲得する。
【0187】
認証ゲートウェイは、IMPUとIMPIとの対応関係に基づいてIMS端末のIMPIを検出する。
【0188】
認証ゲートウェイはIMPU、IMPIとFQDNを含むマルチメディア認証リクエスト(MAR、 Multimedia Auth Request)メッセージをHSSへ送信する。
【0189】
HSSはマルチメディア認証応答(MAA、Multimedia Auth Answer)メッセージを返送する。当該マルチメディア認証応答メッセージはIMS端末の認証データH(A1)を含む。
【0190】
ステップ114において、認証ゲートウェイはIMS端末のH(A1)を保存し、生成した第1RANDを非IMS ASへ送信する。
【0191】
ステップ115において、非IMS ASはIMS端末へ認証ゲートウェイが生成した第1RANDを送信する。
【0192】
ステップ116において、IMS端末は自身が保存したH(A1)と受信した第1RANDに基づき第1RESを生成する。
【0193】
本ステップにおいて、IMS端末はさらに非IMS ASのFQDN(即ち、FQDNAS)に基づきMD5暗号化演算方法により、H(A1)を暗号化しH(A1)’を取得できる。
【0194】
ステップ117において、IMS端末は非IMS ASへ、生成した第1RESおよびIMS端末が生成した第2RANDを返送する。
【0195】
ステップ118において、非IMS ASは当該第1RESおよび第2RANDを認証ゲートウェイへ転送する。
【0196】
ステップ119において、認証ゲートウェイはH(A1)と第1RANDに基づきXRESを生成する。
【0197】
ステップ1110において、生成したXRESを受信した第1RESと比較する。
【0198】
ステップ1111において、もし比較結果としてXRESと第1RESが一致であれば当該IMS端末認証が成功したと確認する。
【0199】
ステップ1112において、認証ゲートウェイは受信した第2RANDとH(A1)に基づき第2RESを生成する。
【0200】
本ステップにおいて、認証ゲートウェイはさらに非IMS ASのFQDNASに基づきMD5暗号化演算方法により、H(A1)を暗号化し、H(A1)’を取得できる。
【0201】
ステップ1113において、認証ゲートウェイは生成した第2RESおよびH(A1)’を認証成功の結果に含めて非IMS ASへ送信する。
【0202】
ステップ1114において、非IMS ASは受信したH(A1)’をIMS端末のIMPUと対応するように保存する。
【0203】
ステップ1115において、非IMS ASは第2RESを含む認証成功結果をIMS端末へ送信する。
【0204】
ステップ1116において、IMS端末は自身の生成した第2RANDおよび自身に保存されたH(A1)に基づき第3RESを生成する。
【0205】
ステップ1117において、生成した第3RESと受信した第2RESを比較する。
【0206】
ステップ1118において、もし比較結果として第3RESと第2RESが一致であれば、非IMS ASの認証成功を確認する。
【0207】
ステップ1119において、非IMS ASはIMS端末のCookieを設定する。
【0208】
ステップ1120において、IMS端末と非IMS ASとの間に接続を確立し、IMS端末は非IMS ASから非IMSサービスを獲得する。
【0209】
ステップ1121において、IMS端末は引き続き非IMS ASを訪問する時、アクセスリクエストメッセージに設定したCookieが含まれる。
【0210】
ステップ1122において、当該Cookieが失効後に、IMS端末が非IMS ASをアクセスする場合、IMS端末と非IMS ASの間はH(A1)’により認証を行い、認証ゲートウェイは参与必要がなくなり、認証のステップと時間を省略する。
【0211】
上述のプロセスにおいて、認証ゲートウェイとHSSの間はインターフェースSh以外に、さらにCxインターフェース或いはZhインターフェースを採用し、IMS端末が現在登録しているS−CSCFのFQDN照会に用いる。当認証ゲートウェイとHSSの間にCxインターフェースを採用する場合、FQDNASをIMS端末の現在のS−CSCFとする。認証ゲートウェイとHSSの間にZhインターフェースを採用する場合、非IMS ASは直接認証ゲートウェイのFQDNを採用できる。
【0212】
図12は、本発明の実施形態7に係る、IEブラウザを有するIMS端末が非IMSサービスを獲得する時の認証方法フローチャートでる。具体的な処理プロセスは以下の通りである。
【0213】
ステップ121において、IMS端末は非IMS ASへIMPUを含むHTTPリクエストメッセージを送信する。
【0214】
ステップ122において、非IMS ASはIMPUに対応するH(A1)’を保存しているかどうかを判断する。もし保存していれば、直接第1RANDを生成してIMS端末へ送信し、IMS端末との間の認証プロセスを完了する。このプロセスは従来技術と同じであるため、ここでは繰り返さない。
【0215】
もし保存していなければ、非IMS ASは受信したHTTPリクエストメッセージを認証ゲートウェイへ転送する。
【0216】
ステップ123において、認証ゲートウェイは、受信したIMPUに基づいてHSSからIMS端末の認証データH(A1)を獲得する。
【0217】
ステップ124において、認証ゲートウェイはIMS端末のH(A1)を保存し、生成した第1RANDを非IMS ASへ送信する。
【0218】
ステップ125において、非IMS ASはIMS端末へ認証ゲートウェイより生成された第1RANDを送信する。
【0219】
ステップ126において、IMS端末は自身に保存されたH(A1)と受信した第1RANDに基づいて、第1RESを生成する。
【0220】
本ステップにおいて、IMS端末はさらに非IMS ASのFQDNASに基づき、MD5暗号化演算方法により、H(A1)を暗号化してH(A1)’を取得できる。
【0221】
ステップ127において、IMS端末は非IMS ASへ生成した第1RESと生成した第2RANDを返送する。
【0222】
ステップ128において、非IMS ASは当該第1RESと第2RANDを認証ゲートウェイへ転送する。
【0223】
ステップ129において、認証ゲートウェイはIMS端末のH(A1)と第1RANDに基づいてXRESを生成する。
【0224】
ステップ1210において、生成したXRESを受信した第1RESと比較する。
【0225】
ステップ1211において、もし比較結果としてXRESと第1RESが一致であれば、当該IMS端末認証が成功したと確認する。
【0226】
ステップ1212において、認証ゲートウェイは受信した第2RANDとIMS端末のH(A1)に基づいて第2RESを生成する。
【0227】
本ステップにおいて、認証ゲートウェイはさらに、非IMS ASとIMS端末のIEブラウザとの一回信号交換のセッション識別子とするSessionIDを生成し、H(A1)を暗号化後に、EH(A1)(SessionID)を取得する。認証ゲートウェイはさらに非IMS ASのFQDNASに基づきMD5暗号化演算方法により、H(A1)を暗号化してH(A1)’を取得できる。
【0228】
ステップ1213において、認証ゲートウェイは取得した第2RES、H(A1)’とEH(A1)(SessionID)を認証成功結果に含めて非IMS ASへ送信する。
【0229】
ステップ1214において、非IMS ASは受信したH(A1)’とSessionIDをIMS端末のIMPUと対応するように保存する。
【0230】
ステップ1215において、非IMS ASは第2RESとEH(A1)(SessionID)を含む認証成功結果をIMS端末へ送信する。
【0231】
ステップ1216において、IMS端末は生成した第2RAND、SessionIDおよび自身に保存されたH(A1)に基づき第3RESを生成する。
【0232】
ステップ1217において、生成した第3RESと受信した第2RESを比較する。
【0233】
ステップ1218において、もし比較結果として第3RESと第2RESが一致であれば、非IMS AS認証が成功したと確認する。
【0234】
ステップ1219において、IMS端末はEH(A1)(SessionID)を復号し、SessionIDを取得する。
【0235】
本ステップにおいて、IMS端末のCookieを設定することも含む。
【0236】
本ステップにおいて、当該認証成功結果は200OKメッセージを介し送信できるがこれに限らない。
【0237】
ステップ1220において、IMS端末はSessionIDとIMPUをURLパラメータとしてIEブラウザを起動し、IMS ASへIMPUとSessionIDを含むHTTPリクエストメッセージを送信する。
【0238】
ステップ1221において、非IMS ASは当該HTTPリクエストメッセージを受信した後に、保存したIMPUとSessionIDとの対応関係に基づき受信したIMPUとSessionIDを認証する。
【0239】
ステップ1222において、もし認証が成功すればIMPUとSessionIDとの対応関係において、受信したIMPUとSessionIDを削除し、リプレイ攻撃を防止する。
【0240】
ステップ1223において、受信したIMPUとSessionIDに基づきIMS端末が起動したIEブラウザのCookieを設定する。
【0241】
本ステップ後、当該IMS端末はIEブラウザを操作する時、直接非IMS ASにCookie認証通過をリクエストし、再度前記ステップ認証を実行する必要がなくなる。
【0242】
ステップ1224において、IMS端末と非IMS ASの間に接続を確立し、IMS端末は非IMS ASから非IMSサービスを獲得する。
【0243】
ステップ1225において、当該Cookie失効後、IMS端末が非IMS ASにアクセスする場合、IMS端末と非IMS AS間のH(A1)’認証は成功し、認証ゲートウェイが参加する必要がなくなり、認証のステップと時間を節約する。
【0244】
上述した2つの実施形態において、IMS端末がHSSからIMS端末の認証データを獲得する場合、HSSは認証ゲートウェイから送信されたMARリクエストメッセージを受信した後に、Server−nameが示すS−CSCFがここにすでに保存しているものと同じかどうかを比較する。もし同じでなければ、現在IMS端末にサービスを提供するS−CSCFの1つを登録させるプロセスをトリガーする。このようなことを避けるために、本発明は以下の二種類の解決方式を提供する。
【0245】
<方式一>
認証ゲートウェイにIMS端末のIMPUとS−CSCF間との対応関係を配置し、認証ゲートウェイはS−CSCF情報を当該MAR認証リクエストに含めて転送する。
【0246】
<方式二>
認証ゲートウェイは非IMS ASから送信された接続リクエストを受信する場合、まず、HSSへLIRリクエストメッセージを送信し、現在IMS端末にサービスを提供するS−CSCFを獲得する。そしてMARリクエストメッセージにS−CSCF情報を含める。
【0247】
本発明において、IMS端末の第1回認証が通過できた後に、認証ゲートウェイはIMS端末の認証データと第1RANDを保存する。次回認証時、上記IMS端末の認証データと第1RANDは再利用可能であり、認証される。また、保存する場合は定期的に更新できる。
【0248】
本発明に係る認証システム、方法および設備は、IMS端末と異なる非IMS AS間との統一した認証プラットフォームを提供し、非IMSサービス獲得時の複雑さを低下させ、ユーザー使用感を改善した。非IMS ASがIMS端末の認証パラメータ/認証データを有しないことにより、非IMS ASの認証プロセスを減少し、データ維持の負担を減らす。認証時、認証ゲートウェイがIMS端末の認証パラメータ/認証データを非IMS AS上に送信しないことにより、改ざん、盗聴と虚偽認証を防止できる。IEブラウザを介し非IMSサービスを獲得するIMS端末は認証プロセスにおいて、暗号化したSessionIDを採用・伝送し、SessionIDの改ざんを防止する。また、本発明はSessionID転送および保存関係の処理により、リプレイ攻撃を防止できる。
【0249】
本発明の実施形態にかかる認証ゲートウェイは、図13に示すように、第1受信ユニット131、獲得ユニット132、第1送信ユニット133、第2受信ユニット134、比較ユニット135、確認ユニット136および指示ユニット137とを備える。
【0250】
第1受信ユニット131は、IMS端末が非IMSサービスを提供するASを介し送信した接続リクエストメッセージを受信する。
【0251】
獲得ユニット132は、第1RANDと前記IMS端末のXRESを獲得する。
【0252】
第1送信ユニット133は、獲得ユニット132が獲得した第1RANDを前記ASを介し前記IMS端末へ送信する。
【0253】
第2受信ユニット134は、前記AS送信した前記IMS端末に基づき前記第1RAND生成した第1RESを介し前記IMS端末を受信する。
【0254】
比較ユニット135は、第2受信ユニット134が受信した第1RESと獲得ユニット132が獲得したXRESが一致するかどうかを比較する。
【0255】
確認ユニット136は、比較ユニット135の比較結果が一致である場合、当該IMS端末認証が成功したと確認する。
【0256】
指示ユニット137は、前記ASが前記IMS端末に非IMSサービスを提供することを指示する。
【0257】
好ましくは、獲得ユニット132は前記IMS端末の第1RANDと前記IMS端末のXRESを含む認証パラメータを獲得する。
【0258】
さらに好ましくは、第1受信ユニット131が受信した接続リクエストメッセージに前記IMS端末のIMPUを含む。
【0259】
獲得ユニット132は具体的に送信サブユニットと、受信サブユニットとを備える。
【0260】
送信サブユニットは、第1受信ユニット131が受信した前記IMPUを含む獲得リク
エストをHSSへ送信する。
【0261】
受信サブユニットは、前記HSSが送信した認証パラメータを受信する。前記認証パラメータは、前記HSSが前記IMPUに基づいてIMPUとの対応関係から検出されたものである。
【0262】
好ましくは、獲得ユニット132が獲得した認証パラメータに第1AUTNがさらに含まれる。
【0263】
前記認証ゲートウェイは第2送信ユニットをさらに備える。前記第2送信ユニットは、第2受信ユニット134が前記IMS端末の前記ASを介して送信した第1RESを受信する前に、獲得ユニットが獲得した第1AUTNを前記ASを介し前記IMS端末へ送信する。
【0264】
好ましくは、前記認証ゲートウェイは確定ユニットと、第3送信ユニットとをさらに備える。
【0265】
確定ユニットは、指示ユニット137が前記ASに前記IMS端末へ非IMSサービスを提供することを指示する前に、前記IMS端末が引き続き非IMSサービス獲得時、必要な共用キーを確定する。
【0266】
第3送信ユニットは、確定ユニットが確定した共用キーを前記ASへ送信する。
【0267】
好ましくは、獲得ユニット132は具体的に第1生成サブユニットと、獲得サブユニットと第2生成するサブユニットとを備える。
【0268】
第1生成するサブユニットは、第1RANDを生成する。
【0269】
獲得サブユニットは、前記IMS端末の認証データを獲得する。
【0270】
第2生成サブユニットは、第1生成サブユニットが生成した第1RANDと獲得サブユニットが獲得した認証データに基づいて前記IMS端末のXRESを生成する。
【0271】
前記認証ゲートウェイは第3受信ユニット、生成ユニットと第4送信ユニットを備えることをさらに好ましい。
【0272】
第3受信ユニットは、前記IMS端末が前記ASを介し送信した第2RANDを受信する。
【0273】
生成ユニットは、第3受信ユニットが受信した第2RANDと獲得サブユニットが獲得した認証データに基づいて第2RESを生成する。
【0274】
第4送信ユニットは、生成ユニットが生成した第2RESを前記ASを介し前記IMS端末へ送信する。
【0275】
前記指示ユニット137は、認証成功結果を前記ASへ送信し、前記ASに前記IMS端末へ非IMSサービスを提供することを指示する。
【0276】
本発明に係る実施形態はASを提供しており、当該ASは非IMSサービスを提供する。図14に示すように、第1受信ユニット141と、第1転送ユニット142と、第2受
信ユニット143と、第2転送ユニット144と、第3受信ユニット145と、第3転送ユニット146と提供ユニット147とを備える。
【0277】
ここで、第1受信ユニット141は、IMS端末が送信した接続リクエストメッセージを受信する。
【0278】
第1転送ユニット142は、第1受信ユニット141が受信した接続リクエストメッセージを認証ゲートウェイへ転送する。
【0279】
第2受信ユニット143は、認証ゲートウェイが送信した第1RANDを受信する。
【0280】
第2転送ユニット144は、第2受信ユニット143が受信した第1RANDを前記IMS端末へ転送する。
【0281】
第3受信ユニット145は、前記IMS端末が送信した第1RESを受信する。
【0282】
第3転送ユニット146は、第3受信ユニット145が受信した第1RESを前記認証ゲートウェイへ転送する。
【0283】
提供ユニット147は、前記認証ゲートウェイの指示に基づき前記IMS端末へ非IMSサービスを提供する。
【0284】
好ましくは、前記ASは第4受信ユニットと第4転送ユニットをさらに備える。
【0285】
第4受信ユニットは、第3受信ユニット145が第1RESを受信する前に、認証ゲートウェイが送信したAUTNを受信する。
【0286】
第4転送ユニットは、第4受信ユニットが受信したAUTNを前記IMS端末へ転送する。
【0287】
好ましくは、提供ユニット147は具体的に受信サブユニットと、接続確立サブユニットと、提供サブユニットとを備える。
【0288】
受信サブユニットは、前記認証ゲートウェイが送信した認証成功結果を受信する。
【0289】
接続確立サブユニットは、受信サブユニットが認証成功結果を受信した後に、前記IMS端末との間の接続を確立する。
【0290】
提供サブユニットは、接続確立サブユニットが確立した接続により、前記IMS端末へ非IMSサービスを提供する。
【0291】
好ましくは、前記ASは第5受信ユニットをさらに備える。前記第5受信ユニットは、提供ユニット147が前記IMS端末へ非IMSサービスを提供する前に、前記認証ゲートウェイが送信した共用キーを受信、かつ保存する。
【0292】
もし前記IMS端末がIEブラウザを介し非IMSサービス獲得すれば前記ASは生成ユニットと、暗号化ユニットと、送信ユニットと、第6受信ユニットと、設定ユニットとをさらに備えることがさらに好ましい。
【0293】
生成ユニットは、SessiongIDを生成する。
【0294】
暗号化ユニットは、第5受信ユニットが受信した共用キーに基づき、生成ユニットが生成したSessiongIDを暗号化する。
【0295】
送信ユニットは、暗号化ユニットが暗号化したSessiongIDを前記IMS端末へ送信する。
【0296】
第6受信ユニットは、前記IMS端末が受信したIMPUとSessiongIDを含む接続リクエストメッセージを受信する。
【0297】
設定ユニットは、第6受信ユニットが受信したIMPUとSessiongIDに基づき、前記IMS端末が起動したIEブラウザのCookieを設定する。
【0298】
前記ASは保存ユニットと、認証ユニットと、認証ユニットとを備えることがさらに好ましい。
【0299】
保存ユニットは、送信ユニットが暗号化ユニットにより暗号化されたSessiongIDを前記IMS端末へ送信する前に、生成ユニットが生成したSessiongIDと前記IMS端末のIMPUを対応させるように保存する。
【0300】
認証ユニットは、設定ユニットが前記IMS端末により起動されたIEブラウザのCookieを設定する前に、保存ユニットのSessiongIDとIMPUとの対応関係に基づき、第6受信ユニットが受信したIMPUとSessiongIDを認証する。
【0301】
削除ユニットは、認証ユニットの認証結果が成功となった後に、保存ユニットが保存するSessiongIDとIMPUとの対応関係において、第6受信ユニットが受信した前記IMPUとSessiongIDを削除する。
【0302】
好ましくは、前記ASは第7受信ユニット、第5転送ユニット、第8受信ユニットと第6転送ユニットとをさらに備える。
【0303】
第7受信ユニットは、前記IMS端末が送信した第2RANDを受信する。
【0304】
第5転送ユニットは、第7受信ユニットが受信した第2RANDを前記認証ゲートウェイへ転送する。
【0305】
第8受信ユニットは、認証ゲートウェイが送信した第2RESを受信する。
【0306】
第6転送ユニットは、第8受信ユニットが受信した第2RESを前記IMS端末へ転送する。
【0307】
本発明に係る実施形態はIMS端末を提供しており、図15示すように、第1送信ユニット151、第1受信ユニット152、第1生成ユニット153、第2送信ユニット154とサービス獲得ユニット155とを備える。
【0308】
第1送信ユニット151は、非IMSサービスを提供するASへ接続リクエストメッセージを送信する。
【0309】
第1受信ユニット152は、認証ゲートウェイが前記ASを介し送信した第1RANDを受信する。
【0310】
第1生成ユニット153は、第1受信ユニット152が受信した第1RANDに基づきRESを生成する。
【0311】
第2送信ユニット154は、第1生成ユニット153が生成した第1RESを前記ASへ送信する。
【0312】
サービス獲得ユニット155は、前記ASにて非IMSサービスを獲得する。
【0313】
好ましくは、前記IMS端末は第2受信ユニットと、第2生成ユニットと、第1比較ユニットと第1確認ユニットとをさらに備える。
【0314】
第2受信ユニットは、第1生成ユニット153が第1RESを生成する前に、前記認証ゲートウェイが前記ASを介し送信した第1AUTNを受信する。
【0315】
第2生成ユニットは、第1受信ユニット152が受信した第1RANDに基づき第2AUTNを生成する。
【0316】
第1比較ユニットは、第2生成ユニットが生成した第2AUTNと第2受信ユニットが受信した第1AUTNが一致するかどうかを比較する。
【0317】
第1確認ユニットは、第1比較ユニットの比較結果として第2AUTNと第1AUTNが一致であれば、前記AS認証が成功したと確認する。
【0318】
好ましくは、前記IMS端末は第3生成ユニット、第3送信ユニット、第3受信ユニット、第4生成ユニット、第2比較ユニットと第2確認ユニットとをさらに備える。
【0319】
第3生成ユニットは、第2RANDを生成する。
【0320】
第3送信ユニットは、第3生成ユニットが生成した第2RANDを前記ASを介し前記認証ゲートウェイへ送信する。
【0321】
第3受信ユニットは、前記認証ゲートウェイが前記ASを介し送信した第2RESを受信する。
【0322】
第4生成ユニットは、第3生成ユニットが生成した第2RANDと自身の認証データに基づき第3RESを生成する。
【0323】
第2比較ユニットは、第3受信ユニットが受信した第2RESと第4生成ユニット生成した第3RESが一致するかどうか比較する。
【0324】
第2確認ユニットは、第2比較ユニットの比較結果として第2RESと第3RESが一致であれば、前記AS認証が成功したと確認する。
【0325】
当業者であれば、本発明の技術的思想の範囲内において、本発明に対し種種の変更・改変を実行できる。そのような変更・改変は、本発明の請求の範囲及びその均等の範囲に属するので、つまり、本発明は、そのような変更・改変も意図しているということである。
【特許請求の範囲】
【請求項1】
非インターネット・プロトコル・マルチメディア・サブシステムIMSサービスを提供するアプリケーションサーバASと、認証ゲートウェイと、IMS端末とを備える認証システムであって、
前記ASは、IMS端末が送信した接続リクエストメッセージを前記認証ゲートウェイへ転送し、認証ゲートウェイが送信した第1乱数を前記IMS端末へ転送し、かつ、前記IMS端末によりフィードバックされた前記第1乱数に基づいて生成した第1応答値を前記認証ゲートウェイへ送信し、前記認証ゲートウェイの指示に基づいて前記IMS端末へ非IMSサービスを提供し、
前記認証ゲートウェイは、第1乱数と前記IMS端末の所望応答値を獲得し、獲得した第1乱数を前記ASへ送信し、かつ、ASが送信した第1応答値と獲得した所望応答値が一致だと比較された場合、当該IMS端末認証が成功したと確認し、かつ、前記ASに前記IMS端末へ非IMSサービスを提供することを指示し、
前記IMS端末は、前記ASへ接続リクエストメッセージを送信し、前記ASが送信した第1乱数に基づいて第1応答値を生成し、かつ、生成した第1応答値を前記ASへ送信する
ことを特徴とする認証システム。
【請求項2】
認証ゲートウェイは前記IMS端末の認証パラメータを獲得することにより、第1乱数と前記所望応答値を獲得し、
前記認証パラメータは第1乱数と前記IMS端末の所望応答値を含む
ことを特徴とする請求項2に記載の認証システム。
【請求項3】
認証ゲートウェイが獲得した認証パラメータには第1認トークンAUTNがさらに含まれ、
認証ゲートウェイはさらに、前記IMS端末が前記ASを介して送信した第1応答値を受信する前に、獲得した第1AUTNを前記ASへ送信し、
ASはさらに、認証ゲートウェイが送信した第1AUTNを前記IMS端末へ送信し、
IMS端末はさらに、第1応答値を生成する前に、前記第1乱数に基づいて第2AUTNを生成し、かつ、生成した第2AUTNと受信した第1AUTNが一致だと比較された場合、前記AS認証が成功したと確認する
ことを特徴とする請求項2に記載の認証システム
【請求項4】
前記第1乱数は前記認証ゲートウェイにより生成されたものであり、
前記所望応答値は前記認証ゲートウェイが獲得した前記IMS端末の認証データと、生成した第1乱数に基づいて生成したものである
ことを特徴とする請求項1に記載の認証システム。
【請求項5】
IMS端末はさらに、第2乱数を生成し、かつ生成した第2乱数をASへ送信し、ASから送信された第2応答値を受信し、前記第2乱数と自身の認証データに基づいて第3応答値を生成し、受信した第2応答値と生成した第3応答値が一致だと比較された場合、前記AS認証が成功したと確認し、ASにより提供された非IMSサービスを獲得し、
ASはさらに、IMS端末が送信した第2乱数を前記認証ゲートウェイへ送信し、前記認証ゲートウェイが送信した第2応答値を前記IMS端末へ送信し、
認証ゲートウェイはさらに、前記ASが送信した第2乱数を受信し、受信した第2乱数と獲得した認証データに基づいて第2応答値を生成し、生成した第2応答値を前記ASへ送信する
ことを特徴とする請求項4に記載の認証システム。
【請求項6】
認証ゲートウェイは、インターネット・プロトコル・マルチメディア・サブシステムIMS端末が非IMSサービスを提供するアプリケーションサーバASを介して送信した接続リクエストメッセージを受信するステップと、
第1乱数と前記IMS端末の所望応答値を獲得するステップと、
前記認証ゲートウェイが、獲得した第1乱数を前記ASを介して前記IMS端末へ送信するステップと、
前記IMS端末が前記ASを介して送信した第1応答値を受信するステップと、
ここで、前記第1応答値は第1乱数に基づいてが生成したものであり、
前記認証ゲートウェイが受信した第1応答値と獲得した所望応答値が一致だと比較された場合、当該IMS端末認証が成功したと確認するステップと、
前記ASに前記IMS端末へ非IMSサービスを提供することを指示するステップと
を備えることを特徴とする認証方法。
【請求項7】
認証ゲートウェイが第1乱数と前記IMS端末の所望応答値を獲得するステップは、
認証ゲートウェイが前記IMS端末の第1乱数と前記IMS端末の所望応答値を含む認証パラメータを獲得するステップ
を備えることを特徴とする請求項6に記載の認証方法。
【請求項8】
認証ゲートウェイが獲得した認証パラメータには第1認証トークンAUTNがさらに含まれ;
認証ゲートウェイは、前記IMS端末が前記ASを介して送信した第1応答値を受信する前に、獲得した第1AUTNを前記ASを介して前記IMS端末へ送信し;
前記IMS端末が第1応答値を生成する前に、
前記IMS端末が前記第1乱数に基づいて第2AUTNを生成するステップと、
前記IMS端末が生成した第2AUTNと受信した第1AUTNが一致だと比較された場合、前記AS認証が成功したと確認するステップと
をさらに備えることを特徴とする請求項7に記載の認証方法。
【請求項9】
認証ゲートウェイが前記ASに前記IMS端末へ非IMSサービスを提供することを指示する前に、
認証ゲートウェイと前記IMS端末がそれぞれ前記IMS端末が引き続き非IMSサービスを獲得時に必要とする共用キーを確定するステップと、
前記認証ゲートウェイが確定した前記共用キーを前記ASへ送信するステップと、
前記ASが前記共用キーを受信かつ保存するステップと、
前記IMS端末が引き続き非IMSサービスを獲得時、前記ASが前記共用キーに基づいて前記IMS端末を認証するステップと
をさらに備えることを特徴とする請求項7に記載の認証方法。
【請求項10】
前記IMS端末がIEブラウザを介して非IMSサービスを獲得すれば、前記ASが前記共用キーを受信かつ保存する後に、
前記ASが、受信した共用キーに基づいて生成したセッション識別子を暗号化した後に前記IMS端末へ送信するステップと、
前記IMS端末が確定した共用キーに基づき、受信した暗号化されたセッション識別後を復号するステップと、
復号後に取得したセッション識別子と自身のIMPUに基づいてIEブラウザを起動した後に、IEブラウザにおいて、前記ASへ前記IMPUと復号後に取得したセッション識別子の接続リクエストメッセージを送信するステップと、
前記ASが、受信したIMPUとセッション識別子に基づき、前記IMS端末が起動したIEブラウザのCookieを設定するステップと
をさらに備えることを特徴とする請求項9に記載の認証方法。
【請求項11】
前記ASは暗号化後のセッション識別子を前記IMS端末へ送信する前に、生成したセッション識別子と前記IMPUとを対応させて保存し;
前記ASが前記IMS端末により起動されたIEブラウザのCookieを設定する前に、
前記ASが保存したセッション識別子とIMPUとの対応関係に基づき、受信したIMPUとセッション識別子を認証するステップと、
認証成功後、セッション識別子とIMPUとの対応関係において受信した前記IMPUとセッション識別子を削除するステップと
をさらに備えることを特徴とする請求項10に記載の認証方法。
【請求項12】
認証ゲートウェイは第1乱数と前記IMS端末の所望応答値を獲得するステップは、
認証ゲートウェイが第1乱数を生成するステップと、
前記IMS端末が認証データを獲得するステップと、
生成した第1乱数と獲得した認証データに基づいて前記IMS端末の所望応答値を生成するステップと
を備えることを特徴とする請求項6に記載の認証方法。
【請求項13】
前記認証ゲートウェイが前記IMS端末が前記ASを介し送信した第2乱数を受信するステップと、
受信した第2乱数と獲得した認証データに基づき、第2応答値を生成するステップと、
生成した第2応答値を前記ASを介して前記IMS端末へ送信するステップと、
前記IMS端末が前記第2乱数と自身の認証データに基づいて第3応答値を生成するステップと、
受信した第2応答値と生成した第3応答値が一致だと比較された場合、前記AS認証が成功したと確認するステップと
をさらに備えることを特徴とする請求項12に記載の認証方法。
【請求項14】
前記IMS端末がIEブラウザを介して非IMSサービスを獲得する場合、
認証ゲートウェイがセッション識別子を生成するステップと、
前記獲得した認証データに基づき、生成したセッション識別子を暗号化した後に、前記ASを介して前記IMS端末へ送信するステップと、
前記IMS端末が、自身の認証データに基づいて受信した暗号化後のセッション識別子を復号するステップと、
前記IMS端末が、復号後に取得したセッション識別子と自身のIMPUに基づいてIEブラウザを起動した後に、IEブラウザにおいて前記ASへ前記IMPUと復号後に取得したセッション識別子を含む接続リクエストメッセージを送信するステップと、
前記ASが受信したIMPUとセッション識別子に基づいて前記IMS端末により起動されたIEブラウザのCookieを設定するステップと
をさらに備えることを特徴とする請求項12に記載の認証方法。
【請求項15】
認証ゲートウェイが前記ASに前記IMS端末へ非IMSサービスを提供することを指示する前に、
前記IMS端末が前記ASのドメイン名情報に基づいて自身の認証データを暗号化するステップと、
暗号化された認証データを前記ASへ送信するステップと、
前記IMS端末が引き続き非IMSサービスを獲得時に、前記ASが前記暗号化された認証データに基づいて前記IMS端末を認証するステップと
をさらに備えることを特徴とする請求項12に記載の認証方法。
【請求項16】
インターネット・プロトコル・マルチメディア・サブシステムIMS端末が非IMSサービスを提供するアプリケーションサーバASを介して送信した接続リクエストメッセージを受信する、第1受信ユニットと、
第1乱数と前記IMS端末の所望応答値を獲得する、獲得ユニットと、
獲得ユニットが獲得した第1乱数を前記ASを介して前記IMS端末へ送信する、第1送信ユニットと、
前記IMS端末が前記ASを介して送信した第1応答値を受信する、第2受信ユニットと、
ここで、前記第1応答値は前記IMS端末が前記第1乱数に基づいて生成されたものであり、
第2受信ユニットが受信した第1応答値と獲得ユニットが獲得した所望応答値が一致するかどうかを比較する、比較ユニットと、
比較ユニットの比較結果が一致である場合、当該IMS端末認証が成功したと確認する、確認ユニットと、
前記ASに前記IMS端末へ非IMSサービスを提供することを指示する、指示ユニットと
を備えることを特徴とする認証ゲートウェイ。
【請求項17】
獲得ユニットは前記IMS端末の第1乱数と前記IMS端末の所望応答値とを含む認証パラメータを獲得する
ことを特徴とする請求項16に記載の認証ゲートウェイ。
【請求項18】
獲得ユニットが獲得した認証パラメータには、第1認証トークンAUTNがさらに含まれ、
前記認証ゲートウェイは第2受信ユニットをさらに備え、
前記第2受信ユニットは、前記IMS端末が前記ASを介して送信した第1応答値を受信する前に、獲得ユニットが獲得した第1AUTNを前記ASを介して前記IMS端末へ送信する
ことを特徴とする請求項17に記載の認証ゲートウェイ。
【請求項19】
指示ユニットが前記ASに前記IMS端末へ非IMSサービスを提供することを指示する前に、前記IMS端末が引き続き非IMSサービスの獲得時に必要とする共用キーを確定する、確定ユニットと、
確定ユニットが確定した共用キーを前記ASへ送信する第3送信ユニットと
をさらに備えることを特徴とする請求項17に記載の認証ゲートウェイ。
【請求項20】
獲得ユニットは、
第1乱数を生成する第1生成サブユニットと、
前記IMS端末の認証データを獲得する獲得サブユニットと、
第1生成サブユニットが生成した第1乱数と獲得サブユニットが獲得した認証データに基づいて前記IMS端末の所望応答値を生成する、第2生成サブユニットと
を備えることを特徴とする請求項16に記載の認証ゲートウェイ。
【請求項21】
前記IMS端末が前記ASを介して送信した第2乱数を受信する、第3受信ユニットと、
第3受信ユニットが受信した第2乱数と獲得サブユニットが獲得した認証データに基づいて第2応答値を生成する、生成ユニットと、
生成ユニットが生成した第2応答値を前記ASを介して前記IMS端末へ送信する、第4送信ユニットと
をさらに備えることを特徴とする請求項20に記載の認証ゲートウェイ。
【請求項22】
非インターネット・プロトコル・マルチメディア・サブシステムIMSサービスを提供するアプリケーションサーバであって、
IMS端末が送信した接続リクエストメッセージを受信する、第1受信ユニットと、
第1受信ユニットが受信した接続リクエストメッセージを認証ゲートウェイへ転送する、第1転送ユニットと、
認証ゲートウェイが送信した第1乱数を受信する、第2受信ユニットと、
第2受信ユニットが受信した第1乱数を前記IMS端末へ転送する、第2転送ユニットと、
前記IMS端末が送信した第1応答値を受信する、第3受信ユニットと、
第3受信ユニットが受信した第1応答値を前記認証ゲートウェイへ転送する、第3転送ユニットと、
前記認証ゲートウェイの指示に基づいて前記IMS端末へ非IMSサービスを提供する、提供ユニットと
を備えることを特徴とするアプリケーションサーバ。
【請求項23】
第3受信ユニットが第1応答値を受信する前に、認証ゲートウェイが送信した認証トークンAUTNを受信する、第4受信ユニットと、
第4受信ユニットが受信したAUTNを前記IMS端末へ転送する、第4転送ユニットと
をさらに備えることを特徴とする請求項22に記載のアプリケーションサーバ。
【請求項24】
前記提供ユニットは、
前記認証ゲートウェイが送信した認証成功の結果を受信する、受信サブユニットと、
受信サブユニットが認証成功の結果を受信した後に、前記IMS端末との間の接続を確立する接続確立サブユニットと、
接続確立サブユニットが確立した接続に基づいて前記IMS端末へ非IMSサービスを提供する提供サブユニットと
を備えることを特徴とする請求項22に記載のアプリケーションサーバ。
【請求項25】
提供ユニットが前記IMS端末へ非IMSサービスを提供する前に、前記認証ゲートウェイが送信した共用キーを受信かつ保存する第5受信ユニットをさらに備え、
前記IMS端末がIEブラウザを介して非IMSサービスを獲得すれば、前記アプリケーションサーバは、
セッション識別子を生成する、生成ユニットと、
第5受信ユニットが受信した共用キーに基づいて生成ユニットにより生成されたセッション識別子を暗号化する、暗号化ユニットと、
暗号化ユニットが暗号化した後のセッション識別子を前記IMS端末へ送信する、送信ユニットと、
前記IMS端末が送信したIMPUとセッション識別子を含む接続リクエストメッセージを受信する、第6受信ユニットと、
第6受信ユニットが受信したIMPUとセッション識別子に基づいて前記IMS端末が起動したIEブラウザのCookieを設定する、設定ユニットと
をさらに備えることを特徴とする請求項22に記載のアプリケーションサーバ。
【請求項26】
送信ユニットが暗号化ユニットにより暗号化されたセッション識別子を前記IMS端末へ送信する前に、生成ユニットが生成したセッション識別子と前記IMS端末のIMPUを対応させて保存する、保存ユニットと、
設定ユニットが前記IMS端末により起動されたIEブラウザのCookieを設定する前に、保存ユニットのセッション識別子とIMPUとの対応関係に基づいて第6受信ユ
ニットが受信したIMPUとセッション識別子を認証する、認証ユニットと、
認証ユニットの認証結果が成功である後、保存ユニットが保存したセッション識別子とIMPUとの対応関係において、第6受信ユニットが受信した前記IMPUとセッション識別子を削除する、削除ユニットと
をさらに備えることを特徴とする請求項25に記載のアプリケーションサーバ。
【請求項27】
前記IMS端末が送信した第2乱数を受信する、第7受信ユニットと、
第7受信ユニットが受信した第2乱数を前記認証ゲートウェイへ転送する、第5転送ユニットと、
認証ゲートウェイが送信した第2応答値を受信する、第8受信ユニットと、
第8受信ユニットが受信した第2応答値を前記IMS端末へ転送する、第6転送ユニットと
をさらに備えることを特徴とする請求項22に記載のアプリケーションサーバ。
【請求項28】
非インターネット・プロトコル・マルチメディア・サブシステムIMSサービスを提供するアプリケーションサーバASへ接続リクエストメッセージを送する、第1送信ユニットと、
認証ゲートウェイが前記ASを介して送信した第1乱数を受信する、第1受信ユニットと、
第1受信ユニットが受信した第1乱数に基づいて第1応答値を生成する、第1生成ユニットと、
第1生成ユニットが生成した第1応答値を前記ASへ送信する、第2送信ユニットと、
前記ASにて非IMSサービスを獲得する、サービス獲得ユニットと
を備えることを特徴とするインターネット・プロトコル・マルチメディア・サブシステム端末。
【請求項29】
第1生成ユニットが第1応答値を生成する前に、前記認証ゲートウェイが前記ASを介して送信した第1認証トークンAUTNを受信する、第2受信ユニットと、
第1受信ユニットが受信した前記第1乱数に基づいて第2AUTNを生成する、第2生成ユニットと、
第2生成ユニットが生成した第2AUTNと第2受信ユニットが受信した第1AUTNが一致するかどうかを比較する、第1比較ユニットと、
第1比較ユニットの比較結果が一致である場合、前記AS認証が成功したと確認する、第1確認ユニットと
をさらに備えることを特徴とする請求項28に記載のインターネット・プロトコル・マルチメディア・サブシステム端末。
【請求項30】
第2乱数を生成する、第3生成ユニットと、
第3生成ユニットが生成した第2乱数を前記ASを介して前記認証ゲートウェイへ送信する、第3送信ユニットと、
前記認証ゲートウェイが前記ASを介して送信した第2応答値を受信する、第3受信ユニットと、
第3生成ユニットが生成した第2乱数と自身の認証データに基づいて第3応答値を生成する、第4生成ユニットと、
第3受信ユニットが受信した第2応答値と第4生成ユニットが生成した第3応答値が一致するかどうか比較する、第2比較ユニットと、
第2比較ユニットの比較結果が一致である場合、前記AS認証が成功したと確認する第2確認ユニットと
をさらに備えることを特徴とする請求項28に記載のインターネット・プロトコル・マルチメディア・サブシステム端末。
【請求項1】
非インターネット・プロトコル・マルチメディア・サブシステムIMSサービスを提供するアプリケーションサーバASと、認証ゲートウェイと、IMS端末とを備える認証システムであって、
前記ASは、IMS端末が送信した接続リクエストメッセージを前記認証ゲートウェイへ転送し、認証ゲートウェイが送信した第1乱数を前記IMS端末へ転送し、かつ、前記IMS端末によりフィードバックされた前記第1乱数に基づいて生成した第1応答値を前記認証ゲートウェイへ送信し、前記認証ゲートウェイの指示に基づいて前記IMS端末へ非IMSサービスを提供し、
前記認証ゲートウェイは、第1乱数と前記IMS端末の所望応答値を獲得し、獲得した第1乱数を前記ASへ送信し、かつ、ASが送信した第1応答値と獲得した所望応答値が一致だと比較された場合、当該IMS端末認証が成功したと確認し、かつ、前記ASに前記IMS端末へ非IMSサービスを提供することを指示し、
前記IMS端末は、前記ASへ接続リクエストメッセージを送信し、前記ASが送信した第1乱数に基づいて第1応答値を生成し、かつ、生成した第1応答値を前記ASへ送信する
ことを特徴とする認証システム。
【請求項2】
認証ゲートウェイは前記IMS端末の認証パラメータを獲得することにより、第1乱数と前記所望応答値を獲得し、
前記認証パラメータは第1乱数と前記IMS端末の所望応答値を含む
ことを特徴とする請求項2に記載の認証システム。
【請求項3】
認証ゲートウェイが獲得した認証パラメータには第1認トークンAUTNがさらに含まれ、
認証ゲートウェイはさらに、前記IMS端末が前記ASを介して送信した第1応答値を受信する前に、獲得した第1AUTNを前記ASへ送信し、
ASはさらに、認証ゲートウェイが送信した第1AUTNを前記IMS端末へ送信し、
IMS端末はさらに、第1応答値を生成する前に、前記第1乱数に基づいて第2AUTNを生成し、かつ、生成した第2AUTNと受信した第1AUTNが一致だと比較された場合、前記AS認証が成功したと確認する
ことを特徴とする請求項2に記載の認証システム
【請求項4】
前記第1乱数は前記認証ゲートウェイにより生成されたものであり、
前記所望応答値は前記認証ゲートウェイが獲得した前記IMS端末の認証データと、生成した第1乱数に基づいて生成したものである
ことを特徴とする請求項1に記載の認証システム。
【請求項5】
IMS端末はさらに、第2乱数を生成し、かつ生成した第2乱数をASへ送信し、ASから送信された第2応答値を受信し、前記第2乱数と自身の認証データに基づいて第3応答値を生成し、受信した第2応答値と生成した第3応答値が一致だと比較された場合、前記AS認証が成功したと確認し、ASにより提供された非IMSサービスを獲得し、
ASはさらに、IMS端末が送信した第2乱数を前記認証ゲートウェイへ送信し、前記認証ゲートウェイが送信した第2応答値を前記IMS端末へ送信し、
認証ゲートウェイはさらに、前記ASが送信した第2乱数を受信し、受信した第2乱数と獲得した認証データに基づいて第2応答値を生成し、生成した第2応答値を前記ASへ送信する
ことを特徴とする請求項4に記載の認証システム。
【請求項6】
認証ゲートウェイは、インターネット・プロトコル・マルチメディア・サブシステムIMS端末が非IMSサービスを提供するアプリケーションサーバASを介して送信した接続リクエストメッセージを受信するステップと、
第1乱数と前記IMS端末の所望応答値を獲得するステップと、
前記認証ゲートウェイが、獲得した第1乱数を前記ASを介して前記IMS端末へ送信するステップと、
前記IMS端末が前記ASを介して送信した第1応答値を受信するステップと、
ここで、前記第1応答値は第1乱数に基づいてが生成したものであり、
前記認証ゲートウェイが受信した第1応答値と獲得した所望応答値が一致だと比較された場合、当該IMS端末認証が成功したと確認するステップと、
前記ASに前記IMS端末へ非IMSサービスを提供することを指示するステップと
を備えることを特徴とする認証方法。
【請求項7】
認証ゲートウェイが第1乱数と前記IMS端末の所望応答値を獲得するステップは、
認証ゲートウェイが前記IMS端末の第1乱数と前記IMS端末の所望応答値を含む認証パラメータを獲得するステップ
を備えることを特徴とする請求項6に記載の認証方法。
【請求項8】
認証ゲートウェイが獲得した認証パラメータには第1認証トークンAUTNがさらに含まれ;
認証ゲートウェイは、前記IMS端末が前記ASを介して送信した第1応答値を受信する前に、獲得した第1AUTNを前記ASを介して前記IMS端末へ送信し;
前記IMS端末が第1応答値を生成する前に、
前記IMS端末が前記第1乱数に基づいて第2AUTNを生成するステップと、
前記IMS端末が生成した第2AUTNと受信した第1AUTNが一致だと比較された場合、前記AS認証が成功したと確認するステップと
をさらに備えることを特徴とする請求項7に記載の認証方法。
【請求項9】
認証ゲートウェイが前記ASに前記IMS端末へ非IMSサービスを提供することを指示する前に、
認証ゲートウェイと前記IMS端末がそれぞれ前記IMS端末が引き続き非IMSサービスを獲得時に必要とする共用キーを確定するステップと、
前記認証ゲートウェイが確定した前記共用キーを前記ASへ送信するステップと、
前記ASが前記共用キーを受信かつ保存するステップと、
前記IMS端末が引き続き非IMSサービスを獲得時、前記ASが前記共用キーに基づいて前記IMS端末を認証するステップと
をさらに備えることを特徴とする請求項7に記載の認証方法。
【請求項10】
前記IMS端末がIEブラウザを介して非IMSサービスを獲得すれば、前記ASが前記共用キーを受信かつ保存する後に、
前記ASが、受信した共用キーに基づいて生成したセッション識別子を暗号化した後に前記IMS端末へ送信するステップと、
前記IMS端末が確定した共用キーに基づき、受信した暗号化されたセッション識別後を復号するステップと、
復号後に取得したセッション識別子と自身のIMPUに基づいてIEブラウザを起動した後に、IEブラウザにおいて、前記ASへ前記IMPUと復号後に取得したセッション識別子の接続リクエストメッセージを送信するステップと、
前記ASが、受信したIMPUとセッション識別子に基づき、前記IMS端末が起動したIEブラウザのCookieを設定するステップと
をさらに備えることを特徴とする請求項9に記載の認証方法。
【請求項11】
前記ASは暗号化後のセッション識別子を前記IMS端末へ送信する前に、生成したセッション識別子と前記IMPUとを対応させて保存し;
前記ASが前記IMS端末により起動されたIEブラウザのCookieを設定する前に、
前記ASが保存したセッション識別子とIMPUとの対応関係に基づき、受信したIMPUとセッション識別子を認証するステップと、
認証成功後、セッション識別子とIMPUとの対応関係において受信した前記IMPUとセッション識別子を削除するステップと
をさらに備えることを特徴とする請求項10に記載の認証方法。
【請求項12】
認証ゲートウェイは第1乱数と前記IMS端末の所望応答値を獲得するステップは、
認証ゲートウェイが第1乱数を生成するステップと、
前記IMS端末が認証データを獲得するステップと、
生成した第1乱数と獲得した認証データに基づいて前記IMS端末の所望応答値を生成するステップと
を備えることを特徴とする請求項6に記載の認証方法。
【請求項13】
前記認証ゲートウェイが前記IMS端末が前記ASを介し送信した第2乱数を受信するステップと、
受信した第2乱数と獲得した認証データに基づき、第2応答値を生成するステップと、
生成した第2応答値を前記ASを介して前記IMS端末へ送信するステップと、
前記IMS端末が前記第2乱数と自身の認証データに基づいて第3応答値を生成するステップと、
受信した第2応答値と生成した第3応答値が一致だと比較された場合、前記AS認証が成功したと確認するステップと
をさらに備えることを特徴とする請求項12に記載の認証方法。
【請求項14】
前記IMS端末がIEブラウザを介して非IMSサービスを獲得する場合、
認証ゲートウェイがセッション識別子を生成するステップと、
前記獲得した認証データに基づき、生成したセッション識別子を暗号化した後に、前記ASを介して前記IMS端末へ送信するステップと、
前記IMS端末が、自身の認証データに基づいて受信した暗号化後のセッション識別子を復号するステップと、
前記IMS端末が、復号後に取得したセッション識別子と自身のIMPUに基づいてIEブラウザを起動した後に、IEブラウザにおいて前記ASへ前記IMPUと復号後に取得したセッション識別子を含む接続リクエストメッセージを送信するステップと、
前記ASが受信したIMPUとセッション識別子に基づいて前記IMS端末により起動されたIEブラウザのCookieを設定するステップと
をさらに備えることを特徴とする請求項12に記載の認証方法。
【請求項15】
認証ゲートウェイが前記ASに前記IMS端末へ非IMSサービスを提供することを指示する前に、
前記IMS端末が前記ASのドメイン名情報に基づいて自身の認証データを暗号化するステップと、
暗号化された認証データを前記ASへ送信するステップと、
前記IMS端末が引き続き非IMSサービスを獲得時に、前記ASが前記暗号化された認証データに基づいて前記IMS端末を認証するステップと
をさらに備えることを特徴とする請求項12に記載の認証方法。
【請求項16】
インターネット・プロトコル・マルチメディア・サブシステムIMS端末が非IMSサービスを提供するアプリケーションサーバASを介して送信した接続リクエストメッセージを受信する、第1受信ユニットと、
第1乱数と前記IMS端末の所望応答値を獲得する、獲得ユニットと、
獲得ユニットが獲得した第1乱数を前記ASを介して前記IMS端末へ送信する、第1送信ユニットと、
前記IMS端末が前記ASを介して送信した第1応答値を受信する、第2受信ユニットと、
ここで、前記第1応答値は前記IMS端末が前記第1乱数に基づいて生成されたものであり、
第2受信ユニットが受信した第1応答値と獲得ユニットが獲得した所望応答値が一致するかどうかを比較する、比較ユニットと、
比較ユニットの比較結果が一致である場合、当該IMS端末認証が成功したと確認する、確認ユニットと、
前記ASに前記IMS端末へ非IMSサービスを提供することを指示する、指示ユニットと
を備えることを特徴とする認証ゲートウェイ。
【請求項17】
獲得ユニットは前記IMS端末の第1乱数と前記IMS端末の所望応答値とを含む認証パラメータを獲得する
ことを特徴とする請求項16に記載の認証ゲートウェイ。
【請求項18】
獲得ユニットが獲得した認証パラメータには、第1認証トークンAUTNがさらに含まれ、
前記認証ゲートウェイは第2受信ユニットをさらに備え、
前記第2受信ユニットは、前記IMS端末が前記ASを介して送信した第1応答値を受信する前に、獲得ユニットが獲得した第1AUTNを前記ASを介して前記IMS端末へ送信する
ことを特徴とする請求項17に記載の認証ゲートウェイ。
【請求項19】
指示ユニットが前記ASに前記IMS端末へ非IMSサービスを提供することを指示する前に、前記IMS端末が引き続き非IMSサービスの獲得時に必要とする共用キーを確定する、確定ユニットと、
確定ユニットが確定した共用キーを前記ASへ送信する第3送信ユニットと
をさらに備えることを特徴とする請求項17に記載の認証ゲートウェイ。
【請求項20】
獲得ユニットは、
第1乱数を生成する第1生成サブユニットと、
前記IMS端末の認証データを獲得する獲得サブユニットと、
第1生成サブユニットが生成した第1乱数と獲得サブユニットが獲得した認証データに基づいて前記IMS端末の所望応答値を生成する、第2生成サブユニットと
を備えることを特徴とする請求項16に記載の認証ゲートウェイ。
【請求項21】
前記IMS端末が前記ASを介して送信した第2乱数を受信する、第3受信ユニットと、
第3受信ユニットが受信した第2乱数と獲得サブユニットが獲得した認証データに基づいて第2応答値を生成する、生成ユニットと、
生成ユニットが生成した第2応答値を前記ASを介して前記IMS端末へ送信する、第4送信ユニットと
をさらに備えることを特徴とする請求項20に記載の認証ゲートウェイ。
【請求項22】
非インターネット・プロトコル・マルチメディア・サブシステムIMSサービスを提供するアプリケーションサーバであって、
IMS端末が送信した接続リクエストメッセージを受信する、第1受信ユニットと、
第1受信ユニットが受信した接続リクエストメッセージを認証ゲートウェイへ転送する、第1転送ユニットと、
認証ゲートウェイが送信した第1乱数を受信する、第2受信ユニットと、
第2受信ユニットが受信した第1乱数を前記IMS端末へ転送する、第2転送ユニットと、
前記IMS端末が送信した第1応答値を受信する、第3受信ユニットと、
第3受信ユニットが受信した第1応答値を前記認証ゲートウェイへ転送する、第3転送ユニットと、
前記認証ゲートウェイの指示に基づいて前記IMS端末へ非IMSサービスを提供する、提供ユニットと
を備えることを特徴とするアプリケーションサーバ。
【請求項23】
第3受信ユニットが第1応答値を受信する前に、認証ゲートウェイが送信した認証トークンAUTNを受信する、第4受信ユニットと、
第4受信ユニットが受信したAUTNを前記IMS端末へ転送する、第4転送ユニットと
をさらに備えることを特徴とする請求項22に記載のアプリケーションサーバ。
【請求項24】
前記提供ユニットは、
前記認証ゲートウェイが送信した認証成功の結果を受信する、受信サブユニットと、
受信サブユニットが認証成功の結果を受信した後に、前記IMS端末との間の接続を確立する接続確立サブユニットと、
接続確立サブユニットが確立した接続に基づいて前記IMS端末へ非IMSサービスを提供する提供サブユニットと
を備えることを特徴とする請求項22に記載のアプリケーションサーバ。
【請求項25】
提供ユニットが前記IMS端末へ非IMSサービスを提供する前に、前記認証ゲートウェイが送信した共用キーを受信かつ保存する第5受信ユニットをさらに備え、
前記IMS端末がIEブラウザを介して非IMSサービスを獲得すれば、前記アプリケーションサーバは、
セッション識別子を生成する、生成ユニットと、
第5受信ユニットが受信した共用キーに基づいて生成ユニットにより生成されたセッション識別子を暗号化する、暗号化ユニットと、
暗号化ユニットが暗号化した後のセッション識別子を前記IMS端末へ送信する、送信ユニットと、
前記IMS端末が送信したIMPUとセッション識別子を含む接続リクエストメッセージを受信する、第6受信ユニットと、
第6受信ユニットが受信したIMPUとセッション識別子に基づいて前記IMS端末が起動したIEブラウザのCookieを設定する、設定ユニットと
をさらに備えることを特徴とする請求項22に記載のアプリケーションサーバ。
【請求項26】
送信ユニットが暗号化ユニットにより暗号化されたセッション識別子を前記IMS端末へ送信する前に、生成ユニットが生成したセッション識別子と前記IMS端末のIMPUを対応させて保存する、保存ユニットと、
設定ユニットが前記IMS端末により起動されたIEブラウザのCookieを設定する前に、保存ユニットのセッション識別子とIMPUとの対応関係に基づいて第6受信ユ
ニットが受信したIMPUとセッション識別子を認証する、認証ユニットと、
認証ユニットの認証結果が成功である後、保存ユニットが保存したセッション識別子とIMPUとの対応関係において、第6受信ユニットが受信した前記IMPUとセッション識別子を削除する、削除ユニットと
をさらに備えることを特徴とする請求項25に記載のアプリケーションサーバ。
【請求項27】
前記IMS端末が送信した第2乱数を受信する、第7受信ユニットと、
第7受信ユニットが受信した第2乱数を前記認証ゲートウェイへ転送する、第5転送ユニットと、
認証ゲートウェイが送信した第2応答値を受信する、第8受信ユニットと、
第8受信ユニットが受信した第2応答値を前記IMS端末へ転送する、第6転送ユニットと
をさらに備えることを特徴とする請求項22に記載のアプリケーションサーバ。
【請求項28】
非インターネット・プロトコル・マルチメディア・サブシステムIMSサービスを提供するアプリケーションサーバASへ接続リクエストメッセージを送する、第1送信ユニットと、
認証ゲートウェイが前記ASを介して送信した第1乱数を受信する、第1受信ユニットと、
第1受信ユニットが受信した第1乱数に基づいて第1応答値を生成する、第1生成ユニットと、
第1生成ユニットが生成した第1応答値を前記ASへ送信する、第2送信ユニットと、
前記ASにて非IMSサービスを獲得する、サービス獲得ユニットと
を備えることを特徴とするインターネット・プロトコル・マルチメディア・サブシステム端末。
【請求項29】
第1生成ユニットが第1応答値を生成する前に、前記認証ゲートウェイが前記ASを介して送信した第1認証トークンAUTNを受信する、第2受信ユニットと、
第1受信ユニットが受信した前記第1乱数に基づいて第2AUTNを生成する、第2生成ユニットと、
第2生成ユニットが生成した第2AUTNと第2受信ユニットが受信した第1AUTNが一致するかどうかを比較する、第1比較ユニットと、
第1比較ユニットの比較結果が一致である場合、前記AS認証が成功したと確認する、第1確認ユニットと
をさらに備えることを特徴とする請求項28に記載のインターネット・プロトコル・マルチメディア・サブシステム端末。
【請求項30】
第2乱数を生成する、第3生成ユニットと、
第3生成ユニットが生成した第2乱数を前記ASを介して前記認証ゲートウェイへ送信する、第3送信ユニットと、
前記認証ゲートウェイが前記ASを介して送信した第2応答値を受信する、第3受信ユニットと、
第3生成ユニットが生成した第2乱数と自身の認証データに基づいて第3応答値を生成する、第4生成ユニットと、
第3受信ユニットが受信した第2応答値と第4生成ユニットが生成した第3応答値が一致するかどうか比較する、第2比較ユニットと、
第2比較ユニットの比較結果が一致である場合、前記AS認証が成功したと確認する第2確認ユニットと
をさらに備えることを特徴とする請求項28に記載のインターネット・プロトコル・マルチメディア・サブシステム端末。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公表番号】特表2013−512594(P2013−512594A)
【公表日】平成25年4月11日(2013.4.11)
【国際特許分類】
【出願番号】特願2012−540260(P2012−540260)
【出願日】平成22年11月26日(2010.11.26)
【国際出願番号】PCT/CN2010/001907
【国際公開番号】WO2011/063612
【国際公開日】平成23年6月3日(2011.6.3)
【出願人】(507142144)中国移▲動▼通信集▲団▼公司 (51)
【氏名又は名称原語表記】CHINA MOBILE COMMUNICATIONS CORPORATION
【Fターム(参考)】
【公表日】平成25年4月11日(2013.4.11)
【国際特許分類】
【出願日】平成22年11月26日(2010.11.26)
【国際出願番号】PCT/CN2010/001907
【国際公開番号】WO2011/063612
【国際公開日】平成23年6月3日(2011.6.3)
【出願人】(507142144)中国移▲動▼通信集▲団▼公司 (51)
【氏名又は名称原語表記】CHINA MOBILE COMMUNICATIONS CORPORATION
【Fターム(参考)】
[ Back to top ]