JP2015509671A - ホーム網の外部からサービスへアクセスするsso加入者のためのセキュア方法 - Google Patents

ホーム網の外部からサービスへアクセスするsso加入者のためのセキュア方法 Download PDF

Info

Publication number
JP2015509671A
JP2015509671A JP2014543671A JP2014543671A JP2015509671A JP 2015509671 A JP2015509671 A JP 2015509671A JP 2014543671 A JP2014543671 A JP 2014543671A JP 2014543671 A JP2014543671 A JP 2014543671A JP 2015509671 A JP2015509671 A JP 2015509671A
Authority
JP
Japan
Prior art keywords
home network
service provider
service
network
visited
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014543671A
Other languages
English (en)
Inventor
暁維 張
暁維 張
アナンド ラガワ プラサド
アナンド ラガワ プラサド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2014543671A priority Critical patent/JP2015509671A/ja
Publication of JP2015509671A publication Critical patent/JP2015509671A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

UE(10)がホームMNO(20)から他のネットワーク(在圏網)(30)へ移行する場合、在圏網(30)又はUE(10)は、ホームMNO(20)へUEの位置を通知する。ホームMNO(20)は、UEの信頼性及びその位置を検証し、在圏網(30)又はUE(10)を介して、アサーションをSP(40)へ送信する。SP(40)は、アサーションの妥当性をチェックし、在圏網(30)を介したUE(10)へのサービス提供を開始する。【選択図】図2

Description

本発明は、SSO(Single Sign−On)サービス加入者が、ホーム3GPP(Third Generation Partnership Project)ネットワークドメイン外へ移行した際に継続してサービスへアクセスするためのメカニズムに関し、SSOサービスをユーザへ提供するものでもある。このメカニズムは、ユーザが移動する際にSSOサービスを提供し、SP(service provider)からのサービスへアクセスしつつ透過的且つシームレスな移行を可能にする。メカニズムは、在圏網における又は悪意ある在圏網による、ユーザ及びその契約へのアタックを防止する。また、メカニズムは、在圏網を介して直接的にサービスを提供することにより、ユーザ・エクスペリエンスを向上させることも可能である。
SSO(Single Sign−On)サービスは、ユーザへ、一度だけユーザ名及びパスワードを入力することにより全ての契約サービスへログインするという新たなエクスペリエンスを提供する。SSOは、3GPP(Third Generation Partnership Project)において、SSOサービスプロバイダとしての3GPPオペレータを有する意向で検討されている(非特許文献1参照)。モバイルオペレータをSSOビジネスの一部として提供する3GPPにより予測されるソリューションの一つは、オペレータが、ネットワーク認証の際にユーザを認証するのに使用可能なユーザSSO認証情報(credentials)を記憶出来るようにすることである。よって、モバイルオペレータは、IdP(Identity provider)であるだけで無く、SSOサービスプロバイダでもある。通常のSSOサービスシナリオと同様にして、SSOプロバイダ(ホーム3GPPネットワーク)は、UE(User Equipment)/ユーザ認証のアサーションをSP(service provider)へ提供し、以てユーザが、契約サービスへアクセスすることが可能である。
UEは、予測されるSSOサービスを提供する現在の3GPPネットワークから、他のネットワークへローミング/移行することが可能である。在圏網(visited network)は、非3GPPネットワーク、又はSSOサービスを提供しない3GPPネットワークであり得る。UE/ユーザが、介入無しに現在のサービスを利用可能であるべきことが期待される。
在圏網からアクセスするUE/ユーザは、サービスを、継続的に且つホーム網(home network)と同様の品質で使用することを望む。予測されるソリューションでは、ホーム3GPPネットワークがユーザのSSO認証情報を記憶するため、次のような課題が生じる。
1.ホーム3GPPネットワーク外へ移行したユーザのために、ホーム3GPPネットワークは、SSOサービスを当該ユーザへ継続して提供すべきであろうし、UEの現在位置を認識し検証可能なべきである。
2.UEが在圏網に存在する一方で、特定サービスのためのデータは常時、ホームMNO(Mobile Network Operator)を経由する。このことは、トラヒック負荷を引き起こすのでホームMNOにとって痛手であり、低品質のサービスがユーザへ提供されてしまう。
3.SPにより新たなアサーションが要求され得て、ホーム3GPPネットワークは当該アサーションを提供可能なべきである。
4.ユーザがホームMNOドメイン外からサービスへアクセスする一方で、SPによりユーザ再認証が要求され得る。このことは、ホームMNOが再認証手順に巻き込まれることを必要とするであろう。
本発明の態様は、ホーム網の外部からサービスへアクセスするユーザを考慮する。UE/ユーザは、特定のSPにより提供されるサービスを利用しつつ、自身のホーム3GPPネットワークから在圏網へ移動する。在圏網は、(SSOサービスをサポートする若しくはサポートしない)他の3GPPネットワーク、又は非3GPPネットワークのいずれかであり得る。
UEは、その位置情報をホーム3GPPネットワークへ送信するであろう。ホーム3GPPネットワークは、位置情報及びUEの信頼性を検証し、以てこれらの検証に基づき、SSOサービスを提供し続けることが可能であろう。また、在圏網がSSOサービスを提供可能であり且つ両網が契約を結んでいるならば、ホーム3GPPネットワークは、在圏網へアサーションを送信し、以てサービスを在圏網を介してユーザへ提供可能にし得る。新たなアサーション又はユーザ再認証を要求された時、ホーム3GPPネットワーク及び在圏網が契約を結んでいるならば、ホーム3GPPネットワークは、これら新たなアサーション及びユーザ再認証を提供可能である。或いは、アサーション又はユーザ認証の証明書が、UEへ送信され且つSPへリダイレクトされるべきであろう。
本発明によれば、上述した課題を解決することが可能である。
本発明の実施の形態に係るシステムの構成例を示したブロック図である。 本発明の実施の形態に係るシステムにおける一の動作例を示したシーケンス図である。 本発明の実施の形態に係るシステムにおける他の動作例を示したシーケンス図である。 本発明の実施の形態に係るUEの構成例を示したブロック図である。 本発明の実施の形態に係る、ホーム網用のノードの構成例を示したブロック図である。 本発明の実施の形態に係る、在圏網用のノードの構成例を示したブロック図である。
本発明は上述した課題を考慮するものであり、その更なる詳細は本章において提供される。
以下、本発明の実施の形態を、図1〜図6を参照して説明する。
図1に示すように、本実施の形態に係るシステムは、ユーザにより使用されるUE 10と、UE/ユーザのホームMNO 20と、UE/ユーザが移行する在圏網30と、UE 10/ユーザへサービスを提供するSP 40とを含む。ホームMNO 20は、IdP及びSSOサービスプロバイダとして機能する。なお、図2に示すように、ユーザとUE 10との間の相互認証、UE 10とホームMNO 20との間の相互認証、及びホームMNO 20と在圏網30との間の相互認証が行われる(ステップS2〜S4)。また、UE 10とSP 40との間で、セキュア通信が確立される(ステップS5)。
次の通りに、幾つかの前提を立てる。
1.ユーザは、ホーム3GPPオペレータにより提供されるSSOサービスを契約している。
2.在圏網は、SSOサービスをサポートしても良いし、サポートしなくても良い。
3.在圏網は、UEとの相互認証を行うことが可能である。
図2に示す如く、UE 10がホームMNO 20の外部へ移行するシナリオを例に取って、本実施の形態の動作を説明する。
1.位置情報
ユーザが新たなネットワーク30へ移動する場合(ステップS6)、ホーム3GPPオペレータは、(1)UE 10が存在する場所を知るべきであり、UE 10に対して、現在の位置情報をセキュアに送信するよう要求し、(2)位置情報が正しいUEからのものであることを検証可能なべきである。
次の通りに、2つの異なるシチュエイションを検討する。
(1)ホーム網20及び在圏網30がローミング契約を結んでいる(ステップS7):
この場合、在圏網30は、UE 10に対する認証を行い、ホーム網20へUE 10が自網30に存在することを確認するであろう(ステップS8)。認証の間、ホーム網20は、UEの信頼性及びその位置を検証可能である(ステップS9)。
(2)ホーム網20及び在圏網30がローミング契約を結んでおらず、在圏網30でのUE認証に異なる認証情報が使用される(或いは、フリーWiFiネットワークの場合には認証情報が用いられない)(ステップS13):
この場合、UE 10は、その位置をホーム網20へセキュアに知らせ、自身の信頼性をホーム網20へ証明すべきであろう(ステップS14及びS15)。
例えば、ソリューションは、次の(a)又は(b)である。
(a)ホーム3GPP 20ネットワークとUE 10との間の共有キー:
このキーは、サービス初期化の際に設定され、ホーム3GPPネットワーク20により定期的に変更され得る。キーは、トランスポート・セキュリティ(transport security)を用いて、セキュアに送信することが可能である。このキーは、UE 10によって、UE 10が在圏網へ移動するに際しての認証値(authentication value)を作成するために使用され、以てUE 10及びホーム3GPPネットワーク20が互いを相互認証できるようにする。キーは、位置情報を保護するために用いることも可能であり、以て位置は、アタッカへは露呈しないであろう。
(b)UE 10へ送信される又はUE 10で作成されるトークン:
UE 10及びホーム3GPPネットワーク20の両者が、トークンを用いて互いを認証する。
2.サービス提供の最適化
従来の方式では、SPは、ホーム3GPPネットワークがUEであると見做し、データをホーム3GPPネットワークへ送信するであろう。ホーム3GPPネットワークは、トラヒックを、在圏網中のUEへ転送するであろう。このことは、ホーム3GPPワークへの重いトラヒック負荷、及び劣悪なサービスアクセスを引き起こすであろう。
サービス配信のパスを最適化するため、すなわち、SP 40からUE 10へのデータを、ホーム3GPPネットワークのパスを取ることに代えて、在圏網30を直接的に経由して配信するために、異なるシチュエイションのためのソリューションが以下の通りに与えられる。
(1)在圏網30が新たなサービス能力を有する:
このケースでは、在圏網30が、3GPPネットワークであり且つホーム3GPPネットワーク20とローミング契約を結んでいるものとする。ホーム3GPPネットワーク20は、新たなアサーションを在圏網のIdP(SSOサービス可能なもの)へ送信し、在圏網30は、この新たなアサーションをSP 40へ転送する(ステップS10)。SP 40は、当該アサーションの妥当性をチェックし、在圏網30へのデータ送信を開始するであろう(ステップS11及びS12)。
在圏網30からSP 40へ提供されるアサーションは、ダイレクト通信を介したものであるか、或いはUE 10からSP 40へのリダイレクションであり得る。
(2)在圏網30が新たなサービス能力を有さない:
新たなアサーションがUE 10へ送信される(ステップS16及びS17)ことを除き、上記(1)で定義したステップに従う。このケースでは、UEがアップデートされる必要があるだろう。
次に、本実施の形態の他の動作を、図3を参照して説明する。
3.新たなアサーションの提供及びユーザ再認証
アサーションはしばらくしてタイムアウトするか、或いはその前に、SPが自身のポリシに従ってユーザ/UEの再認証を要求し得る。この場合、SPは、UE又はホーム3GPPネットワークのいずれかへコンタクトするであろう。予測されるソリューションのために、より早い段階でシチュエイションに応じて、UEは、ホーム3GPPネットワーク、新たなSSOサービスを有する在圏網又はUE自身によって示され得る。
(1)SP40は、ホーム3GPPネットワーク20(SSOプロバイダ)へコンタクトする(ステップS22)。ホーム3GPPネットワーク20は、新たなアサーションを生成するか、又はユーザ再認証を行うであろう(ステップS23)。前章で説明した通り、ホーム3GPPネットワーク20は、SP 40とのダイレクト通信又はトラヒック最適化により、新たなアサーション又はユーザ再認証の証明書のいずれかを提供可能である(ステップS24)。
(2)SP 40は、在圏網3GPPネットワーク30へコンタクトする(ステップS26)。在圏3GPPネットワーク30は、ホーム3GPPネットワーク20に、アサーション又はユーザ再認証を要求するであろう(ステップS27)。ホーム網と在圏網の間に契約が在るかどうかに応じて、ホーム3GPPネットワーク20は、アサーション又はユーザ再認証の証明書を在圏網30へ送信するか否かを決定可能である(ステップS28及びS29)。
(3)SP 40がUE 10へコンタクトし、UE 10は、それに応えてホーム3GPPネットワーク20と通信し、アサーションを取得してSP 40へ知らせる。トラヒックは、在圏網30を介して流れる(ステップS31〜S35)。
次に、本実施の形態に係るUE 10、ホーム網20及び在圏網30の構成例を、図4〜図6を参照して順に説明する。
図4に示すように、UE 10は、送信部11を含む。送信部11は、図14のステップS14に示す如く、位置情報をホーム網20へセキュアに送信する。この送信部11は、例えば、ホーム網20及び在圏網30との無線通信を行うトランシーバと、このトランシーバを制御して、図2及び図3に示した処理或いはこれと同等の処理を実行するコントローラとで構成できる。
また、ホーム網20は、図5に示すノード50を含む。ノード50は、受信部51と、検証部52と、送信部53と、認証部54とを含む。受信部51は、図2のステップS8及びS14に示す如く、位置情報を在圏網30又はUE 10から受信する。また、受信部51は、図3のステップS22、S27及びS32に示す如く、ユーザ再認証要求をSP 40、在圏網30又はUE 10から受信する。検証部52は、図2のステップS9及びS15に示す如く、UE 10の信頼性及び位置情報を検証する。送信部53は、図2のステップS10、S16及びS17に示す如く、アサーションを、在圏網30又はUE 10を介してSP 40へ送信する。また、送信部53は、図3のステップS23、S24、S28、S29及びS33〜S35に示す如く、再認証要求に応じて、アサーションをSP 40へ再送する。認証部54は、図3のステップS23、S28及びS33に示す如く、再認証要求に応じて、UE 10を再認証する。なお、これらのユニット51〜54は、バス等を介して相互接続される。これらのユニット51〜54は、例えば、UE 10との無線通信を行うトランシーバと、在圏網30及びSP 40との通信を行うトランシーバと、これらのトランシーバを制御して、図2及び図3に示した処理或いはこれと同等の処理を実行するコントローラとで構成できる。
さらに、在圏網30は、図6に示すノード60を含む。ノード60は、認証部61と、送信部62とを含む。認証部61は、UE 10を認証する。送信部62は、図2のステップS8に示す如く、位置情報をホーム網20へ送信する。なお、これらのユニット61及び62は、バス等を介して相互接続される。これらのユニット61及び62は、例えば、UE 10との無線通信を行うトランシーバと、ホーム網20及びSP 40との通信を行うトランシーバと、これらのトランシーバを制御して、図2及び図3に示した処理或いはこれと同等の処理を実行するコントローラとで構成できる。
なお、本発明は、上記の実施の形態によって限定されるものではなく、特許請求の範囲の記載に基づき、当業者によって種々の変更が可能なことは明らかである。
この出願は、2012年4月24日に出願された日本出願特願2012−098605を基礎とする優先権を主張し、その開示の全てをここに取り込む。
上記の実施の形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
(付記1)
SSO加入者がホーム網とローミング契約を結んでいる在圏網へ移行する場合、前記在圏網は、UE認証を行い、UEの位置情報を前記ホーム網へ送信する。前記ホーム網は、前記UEの信頼性とその位置を検証する。
(付記2)
UEがホーム網とローミング契約を結んでいない在圏網へ移行する間、UEと前記ホーム網IdPとの間の共有キー、又はUEにより作成されるトークンは、UEが位置情報をホーム3GPPネットワークへセキュアに送信するために使用され、そしてホーム網は、UEの信頼性を検証する。
(付記3)
ホーム網IdPは、ローミングUEがサービスにアクセスするためのアサーションを提供する。
(付記4)
SPがUEの新たなアサーション又はユーザ再認証を要求するための手段であって、ホーム3GPPネットワークへコンタクトすること、在圏網へコンタクトすること、又はUEへコンタクトすることのいずれか一つを含む手段。
(付記5)
ホーム3GPPネットワークは、在圏網におけるUEのためにユーザ再認証を行う。
(付記6)
ホーム3GPPネットワークは、在圏網からサービスへアクセスするUEのための新たなアサーションを生成する。
(付記7)
在圏網を介してUEへサービスを配信するSPによる、トラヒック最適化。
10 UE
11,53,62 送信部
20 ホームMNO
30 在圏網
40 SP
50,60 ノード
51 受信部
52 検証部
54,61 認証部

Claims (36)

  1. UE(User Equipment)と、
    サービスプロバイダから前記UEへサービスを配信する、前記UEのホーム網と、
    前記ホーム網とローミングに関する契約を結んでいる在圏網と、を備え、
    前記在圏網は、前記UEが前記サービスプロバイダと通信しつつ前記ホーム網を離れて前記在圏網へ移行する場合、前記UEを認証し、前記UEの位置情報を前記ホーム網へ送信し、
    前記ホーム網は、前記位置情報を受信した際、前記UEの信頼性及び前記位置情報を検証して、前記サービスが継続して前記UEへ提供されるようにする、
    システム。
  2. 請求項1において、
    前記ホーム網は、前記在圏網を介して前記サービスプロバイダへ、前記サービスプロバイダに前記ホーム網を経由せず前記在圏網を介して前記サービスを提供させるためのアサーションを、送信する、
    ことを特徴としたシステム。
  3. 請求項2において、
    前記ホーム網は、前記サービスプロバイダからの要求に応じて、前記アサーションを再送する、
    ことを特徴としたシステム。
  4. 請求項1〜3のいずれか一項において、
    前記ホーム網は、前記サービスプロバイダからの要求に応じて、前記UEを再認証する、
    ことを特徴としたシステム。
  5. 請求項3又は4において、
    前記ホーム網は、前記要求を、前記サービスプロバイダから直接、又は前記在圏網若しくは前記UEを介して受信する、
    ことを特徴としたシステム。
  6. UEと、
    サービスプロバイダから前記UEへサービスを配信する、前記UEのホーム網と、
    前記ホーム網とローミングに関する契約を結んでいない在圏網と、を備え、
    前記UEは、前記UEが前記サービスプロバイダと通信しつつ前記ホーム網を離れて前記在圏網へ移行する場合、前記UEの位置情報を前記ホーム網へセキュアに送信し、
    前記ホーム網は、前記位置情報を受信した際、前記UEの信頼性及び前記位置情報を検証して、前記サービスが継続して前記UEへ提供されるようにする、
    システム。
  7. 請求項6において、
    前記UEは、前記位置情報をセキュアに送信するために、前記UEと前記ホーム網との間で共有されるキー、又は前記UEへ送信される若しくは前記UEで作成されるトークンを用いる、
    ことを特徴としたシステム。
  8. 請求項7において、
    前記キーは、前記サービスが開始される際に共有され、前記ホーム網によって定期的に変更される、
    ことを特徴としたシステム。
  9. 請求項6〜8のいずれか一項において、
    前記ホーム網は、前記UEを介して前記サービスプロバイダへ、前記サービスプロバイダに前記ホーム網を経由せず前記在圏網を介して前記サービスを提供させるためのアサーションを、送信する、
    ことを特徴としたシステム。
  10. 請求項9において、
    前記ホーム網は、前記サービスプロバイダからの要求に応じて、前記アサーションを再送する、
    ことを特徴としたシステム。
  11. 請求項6〜10のいずれか一項において、
    前記ホーム網は、前記サービスプロバイダからの要求に応じて、前記UEを再認証する、
    ことを特徴としたシステム。
  12. 請求項10又は11において、
    前記ホーム網は、前記要求を、前記サービスプロバイダから直接、又は前記UEを介して受信する、
    ことを特徴としたシステム。
  13. UE(User Equipment)と、
    サービスプロバイダから前記UEへサービスを配信する、前記UEのホーム網と、
    前記ホーム網とローミングに関する契約を結んでいる在圏網と、を備え、
    前記ホーム網は、前記UEが前記サービスプロバイダと通信しつつ前記ホーム網を離れて前記在圏網へ移行する場合、前記在圏網を介して前記サービスプロバイダへ、前記サービスプロバイダに前記ホーム網を経由せず前記在圏網を介して前記サービスを提供させるためのアサーションを、送信する、
    システム。
  14. UEと、
    サービスプロバイダから前記UEへサービスを配信する、前記UEのホーム網と、
    前記ホーム網とローミングに関する契約を結んでいない在圏網と、を備え、
    前記ホーム網は、前記UEが前記サービスプロバイダと通信しつつ前記ホーム網を離れて前記在圏網へ移行する場合、前記UEを介して前記サービスプロバイダへ、前記サービスプロバイダに前記ホーム網を経由せず前記在圏網を介して前記サービスを提供させるためのアサーションを、送信する、
    システム。
  15. UEのホーム網内に設置され、サービスプロバイダから前記UEへサービスを配信するノードであって、
    前記UEが前記サービスプロバイダと通信しつつ前記ホーム網を離れて前記ホーム網とローミングに関する契約を結んでいる在圏網へ移行する場合、前記在圏網から、前記UEの位置情報を受信する受信手段と、
    前記UEの信頼性及び前記位置情報を検証して、前記サービスが継続して前記UEへ提供されるようにする検証手段と、
    を備えたノード。
  16. 請求項15において、
    前記在圏網を介して前記サービスプロバイダへ、前記サービスプロバイダに前記ホーム網を経由せず前記在圏網を介して前記サービスを提供させるためのアサーションを、送信する送信手段、
    をさらに備えたノード。
  17. 請求項16において、
    前記送信手段は、前記サービスプロバイダからの要求に応じて、前記アサーションを再送する、
    ことを特徴としたノード。
  18. 請求項15〜17のいずれか一項において、
    前記サービスプロバイダからの要求に応じて、前記UEを再認証する認証手段、
    をさらに備えたノード。
  19. 請求項17又は18において、
    前記受信手段は、前記要求を、前記サービスプロバイダから直接、又は前記在圏網若しくは前記UEを介して受信する、
    ことを特徴としたノード。
  20. UEのホーム網内に設置され、サービスプロバイダから前記UEへサービスを配信するノードであって、
    前記UEが前記サービスプロバイダと通信しつつ前記ホーム網を離れて前記ホーム網とローミングに関する契約を結んでいない在圏網へ移行する場合、前記UEから、前記UEの位置情報を受信する受信手段と、
    前記UEの信頼性及び前記位置情報を検証して、前記サービスが継続して前記UEへ提供されるようにする検証手段と、
    を備えたノード。
  21. 請求項20において、
    前記UEを介して前記サービスプロバイダへ、前記サービスプロバイダに前記ホーム網を経由せず前記在圏網を介して前記サービスを提供させるためのアサーションを、送信する送信手段、
    をさらに備えたノード。
  22. 請求項21において、
    前記送信手段は、前記サービスプロバイダからの要求に応じて、前記アサーションを再送する、
    ことを特徴としたノード。
  23. 請求項20〜22のいずれか一項において、
    前記サービスプロバイダからの要求に応じて、前記UEを再認証する認証手段、
    をさらに備えたノード。
  24. 請求項22又は23において、
    前記受信手段は、前記要求を、前記サービスプロバイダから直接、又は前記UEを介して受信する、
    ことを特徴としたノード。
  25. UEのホーム網内に設置され、サービスプロバイダから前記UEへサービスを配信するノードであって、
    前記UEが前記サービスプロバイダと通信しつつ前記ホーム網を離れて前記ホーム網とローミングに関する契約を結んでいる在圏網へ移行する場合、前記在圏網を介して前記サービスプロバイダへ、前記サービスプロバイダに前記ホーム網を経由せず前記在圏網を介して前記サービスを提供させるためのアサーションを、送信する送信手段、
    を備えたノード。
  26. UEのホーム網内に設置され、サービスプロバイダから前記UEへサービスを配信するノードであって、
    前記UEが前記サービスプロバイダと通信しつつ前記ホーム網を離れて前記ホーム網とローミングに関する契約を結んでいない在圏網へ移行する場合、前記UEを介して前記サービスプロバイダへ、前記サービスプロバイダに前記ホーム網を経由せず前記在圏網を介して前記サービスを提供させるためのアサーションを、送信する送信手段、
    を備えたノード。
  27. サービスプロバイダからUEへサービスを配信する前記UEのホーム網とローミングに関する契約を結んでいる在圏網に、設置されるノードであって、
    前記UEが前記サービスプロバイダと通信しつつ前記ホーム網を離れて前記在圏網へ移行する場合、前記UEを認証する認証手段と、
    前記ホーム網に前記UEの信頼性及び位置情報を検証させるために、前記位置情報を前記ホーム網へ送信して、前記サービスが継続して前記UEへ提供されるようにする送信手段と、
    を備えたノード。
  28. 自UEのホーム網によりサービスプロバイダから自UEへ配信されるサービスを受信するUEであって、
    自UEが前記サービスプロバイダと通信しつつ前記ホーム網を離れて前記ホーム網とローミングに関する契約を結んでいない在圏網へ移行する場合、前記ホーム網に自UEの信頼性及び位置情報を検証させるために、前記位置情報を前記ホーム網へセキュアに送信して、前記サービスが継続して自UEへ提供されるようにする送信手段、
    を備えたUE。
  29. 請求項28において、
    前記送信手段は、前記位置情報をセキュアに送信するために、自UEと前記ホーム網との間で共有されるキー、又は自UEへ送信される若しくは自UEで作成されるトークンを用いる、
    ことを特徴としたUE。
  30. 請求項29において、
    前記キーは、前記サービスが開始される際に共有され、前記ホーム網によって定期的に変更される、
    ことを特徴としたUE。
  31. UEのホーム網内に設置され、サービスプロバイダから前記UEへサービスを配信するノードの動作を制御する方法であって、
    前記UEが前記サービスプロバイダと通信しつつ前記ホーム網を離れて前記ホーム網とローミングに関する契約を結んでいる在圏網へ移行する場合、前記在圏網から、前記UEの位置情報を受信し、
    前記UEの信頼性及び前記位置情報を検証して、前記サービスが継続して前記UEへ提供されるようにする、
    ことを含む方法。
  32. UEのホーム網内に設置され、サービスプロバイダから前記UEへサービスを配信するノードの動作を制御する方法であって、
    前記UEが前記サービスプロバイダと通信しつつ前記ホーム網を離れて前記ホーム網とローミングに関する契約を結んでいない在圏網へ移行する場合、前記UEから、前記UEの位置情報を受信し、
    前記UEの信頼性及び前記位置情報を検証して、前記サービスが継続して前記UEへ提供されるようにする、
    ことを含む方法。
  33. UEのホーム網内に設置され、サービスプロバイダから前記UEへサービスを配信するノードの動作を制御する方法であって、
    前記UEが前記サービスプロバイダと通信しつつ前記ホーム網を離れて前記ホーム網とローミングに関する契約を結んでいる在圏網へ移行する場合、前記在圏網を介して前記サービスプロバイダへ、前記サービスプロバイダに前記ホーム網を経由せず前記在圏網を介して前記サービスを提供させるためのアサーションを、送信する、
    ことを含む方法。
  34. UEのホーム網内に設置され、サービスプロバイダから前記UEへサービスを配信するノードの動作を制御する方法であって、
    前記UEが前記サービスプロバイダと通信しつつ前記ホーム網を離れて前記ホーム網とローミングに関する契約を結んでいない在圏網へ移行する場合、前記UEを介して前記サービスプロバイダへ、前記サービスプロバイダに前記ホーム網を経由せず前記在圏網を介して前記サービスを提供させるためのアサーションを、送信する、
    ことを含む方法。
  35. サービスプロバイダからUEへサービスを配信する前記UEのホーム網とローミングに関する契約を結んでいる在圏網に設置されるノード、の動作を制御する方法であって、
    前記UEが前記サービスプロバイダと通信しつつ前記ホーム網を離れて前記在圏網へ移行する場合、前記UEを認証し、
    前記ホーム網に前記UEの信頼性及び位置情報を検証させるために、前記位置情報を前記ホーム網へ送信して、前記サービスが継続して前記UEへ提供されるようにする、
    ことを含む方法。
  36. 自UEのホーム網によりサービスプロバイダから自UEへ配信されるサービスを受信するUE、の動作を制御する方法であって、
    自UEが前記サービスプロバイダと通信しつつ前記ホーム網を離れて前記ホーム網とローミングに関する契約を結んでいない在圏網へ移行する場合、前記ホーム網に自UEの信頼性及び位置情報を検証させるために、前記位置情報を前記ホーム網へセキュアに送信して、前記サービスが継続して自UEへ提供されるようにする、
    ことを含む方法。
JP2014543671A 2012-04-24 2013-04-18 ホーム網の外部からサービスへアクセスするsso加入者のためのセキュア方法 Pending JP2015509671A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014543671A JP2015509671A (ja) 2012-04-24 2013-04-18 ホーム網の外部からサービスへアクセスするsso加入者のためのセキュア方法

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2012098605 2012-04-24
JP2012098605 2012-04-24
PCT/JP2013/002636 WO2013161230A1 (en) 2012-04-24 2013-04-18 Secure method for sso subscriber accessing service from outside of home network
JP2014543671A JP2015509671A (ja) 2012-04-24 2013-04-18 ホーム網の外部からサービスへアクセスするsso加入者のためのセキュア方法

Publications (1)

Publication Number Publication Date
JP2015509671A true JP2015509671A (ja) 2015-03-30

Family

ID=48428578

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014543671A Pending JP2015509671A (ja) 2012-04-24 2013-04-18 ホーム網の外部からサービスへアクセスするsso加入者のためのセキュア方法

Country Status (8)

Country Link
US (1) US20150074782A1 (ja)
EP (1) EP2842289A1 (ja)
JP (1) JP2015509671A (ja)
KR (1) KR20140138982A (ja)
CN (1) CN104247370A (ja)
BR (1) BR112014026119A2 (ja)
IN (1) IN2014DN08095A (ja)
WO (1) WO2013161230A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105580310B (zh) * 2013-09-23 2019-10-08 三星电子株式会社 家庭网络***中的安全管理方法和安全管理设备
WO2018019838A1 (en) * 2016-07-25 2018-02-01 Telefonaktiebolaget Lm Ericsson (Publ) Proof-of-presence indicator
CN111869182B (zh) 2018-03-22 2023-01-17 英国电讯有限公司 对设备进行认证的方法、通信***、通信设备
GB2587815B (en) * 2019-10-02 2021-12-29 British Telecomm Wireless telecommunications network authentication

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1013945A (ja) * 1996-06-21 1998-01-16 Nec Corp ローミング方式

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8849276B2 (en) * 2000-12-29 2014-09-30 At&T Mobility Ii Llc Intelligent network selection based on quality of service and applications over different wireless networks
KR100459183B1 (ko) * 2002-06-29 2004-12-03 엘지전자 주식회사 조합 모바일 ip 시스템 및 그를 이용한 모빌리티 관리방법
US20070281687A1 (en) * 2003-02-14 2007-12-06 Roamware Inc. Method and system for providing PLN service to inbound roamers in a VPMN using a sponsor network when no roaming relationship exists between HPMN and VPMN
US7813718B2 (en) * 2003-12-24 2010-10-12 Telefonaktiebolaget Lm Ericsson (Publ) Authentication in a communication network
US20090122759A1 (en) * 2004-02-18 2009-05-14 Megasoft Ltd. Network-Based System and Method for Global Roaming
US8411562B2 (en) * 2004-05-26 2013-04-02 Panasonic Corporation Network system and method for providing an ad-hoc access environment
GB2421874B (en) * 2004-12-31 2008-04-09 Motorola Inc Mobile station, system, network processor and method for use in mobile communications
US8055258B2 (en) * 2005-10-14 2011-11-08 Samsung Electronics Co., Ltd. Roaming service method in a mobile broadcasting system, and system thereof
US7778638B2 (en) * 2006-02-28 2010-08-17 Lg Electronics Inc. Method of roaming in broadcast service and system and terminal thereof
US9031557B2 (en) * 2006-04-21 2015-05-12 Itxc Ip Holdings S.A.R.L. Method and apparatus for steering of roaming
KR101467780B1 (ko) * 2007-10-17 2014-12-03 엘지전자 주식회사 이기종 무선접속망간 핸드오버 방법
US8116735B2 (en) * 2008-02-28 2012-02-14 Simo Holdings Inc. System and method for mobile telephone roaming
US8244238B1 (en) * 2008-04-11 2012-08-14 Cricket Communications, Inc. Dynamic configuration of unlimited service for roaming subscriber
KR101546789B1 (ko) * 2008-12-29 2015-08-24 삼성전자주식회사 위치등록 수행방법, 장치 및 시스템
US20100234022A1 (en) * 2009-03-16 2010-09-16 Andrew Llc System and method for supl roaming in wimax networks
EP2273820A1 (en) * 2009-06-30 2011-01-12 Panasonic Corporation Inter-VPLMN handover via a handover proxy node
CN102036215B (zh) * 2009-09-25 2013-05-08 中兴通讯股份有限公司 实现网间漫游的方法、***及查询和网络附着方法及***
US8737318B2 (en) * 2009-12-01 2014-05-27 At&T Intellectual Property I, L.P. Service models for roaming mobile device
US9112905B2 (en) * 2010-10-22 2015-08-18 Qualcomm Incorporated Authentication of access terminal identities in roaming networks
US8590023B2 (en) * 2011-06-30 2013-11-19 Intel Corporation Mobile device and method for automatic connectivity, data offloading and roaming between networks

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1013945A (ja) * 1996-06-21 1998-01-16 Nec Corp ローミング方式

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6015025506; 'Technical Specification Group Services and System Aspects;Study on Service aspects of integration of' 3GPP TSG-SA WG1♯56 S1-113450 , 201111, p.9, 14-15 *

Also Published As

Publication number Publication date
KR20140138982A (ko) 2014-12-04
IN2014DN08095A (ja) 2015-05-01
BR112014026119A2 (pt) 2017-06-27
US20150074782A1 (en) 2015-03-12
EP2842289A1 (en) 2015-03-04
WO2013161230A1 (en) 2013-10-31
CN104247370A (zh) 2014-12-24

Similar Documents

Publication Publication Date Title
US9225706B2 (en) Multiple access point zero sign-on
US8332912B2 (en) Method and apparatus for determining an authentication procedure
CA2656919C (en) Method and system for controlling access to networks
KR102040231B1 (ko) 이동 통신에서 가입 사업자 변경 제한 정책을 지원하는 정책 적용 방법 및 장치
US9503890B2 (en) Method and apparatus for delivering keying information
US20080072301A1 (en) System And Method For Managing User Authentication And Service Authorization To Achieve Single-Sign-On To Access Multiple Network Interfaces
KR101146204B1 (ko) 패킷 데이터 네트워크에 응급 서비스 신뢰를 제공하기 위한 시스템 및 방법
CN101675644A (zh) 无线通信网络中的用户概况、策略、及pmip密钥分发
EP2415226A1 (en) Mechanism for authentication and authorization for network and service access
WO2008019615A1 (fr) Procédé, dispositif et système pour authentification d'accès
EP3143780B1 (en) Device authentication to capillary gateway
WO2012174959A1 (zh) 一种机器到机器通信中组认证的方法、***及网关
JP2015509671A (ja) ホーム網の外部からサービスへアクセスするsso加入者のためのセキュア方法
WO2008099254A2 (en) Authorizing n0n-3gpp ip access during tunnel establishment
JP6153622B2 (ja) インターネットプロトコルマルチメディアサブシステム端末のネットワークへのアクセス方法及び装置
KR100933782B1 (ko) 이동 ip망에서 핸드오버를 처리하는 장치 및 그 방법
KR101480706B1 (ko) 인트라넷에 보안성을 제공하는 네트워크 시스템 및 이동통신 네트워크의 보안 게이트웨이를 이용하여 인트라넷에 보안성을 제공하는 방법
WO2022262975A1 (en) Methods and entites for end-to-end security in communication sessions
WO2023217685A1 (en) A method of joining a communication network

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150624

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150630

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20151104