JP3421977B2 - Authentication method and system - Google Patents
Authentication method and systemInfo
- Publication number
- JP3421977B2 JP3421977B2 JP14769996A JP14769996A JP3421977B2 JP 3421977 B2 JP3421977 B2 JP 3421977B2 JP 14769996 A JP14769996 A JP 14769996A JP 14769996 A JP14769996 A JP 14769996A JP 3421977 B2 JP3421977 B2 JP 3421977B2
- Authority
- JP
- Japan
- Prior art keywords
- communication network
- authentication
- subscriber
- signal
- authentication key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
【0001】[0001]
【発明の属する技術分野】本発明は、認証方法及びシス
テムに係り、特に、通信事業者がそれぞれ独自の通信網
を構築して、通信サービスを提供している場合に、特定
の加入者がそれらの複数の通信事業者のサービスを受け
る(所謂ローミング)ための加入者の認証を行う認証方
法及びシステムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an authentication method and system, and in particular, when a telecommunications carrier constructs its own communication network to provide communication services, a particular subscriber can The present invention relates to an authentication method and system for authenticating a subscriber for receiving services of a plurality of communication carriers (so-called roaming).
【0002】[0002]
【従来の技術】図20は、通信システムの構成を示す。
同図に示すシステムは、通信サービスを提供する第1の
事業者が構築した第1の通信網100、第1の通信網1
00に含まれる通信処理装置11、第1の通信網100
のサービスエリア12、通信サービスを提供する第2の
事業者が構築した第2の通信網200、第2の通信網2
00に含まれる通信処理装置21、第2の通信網20の
サービスエリア22、本来の第1の事業者の加入者であ
って第2の通信事業者のローミングも受けられるように
契約している加入者300、第1の通信網100と第2
の通信網200を接続する通信回線400より構成され
る。2. Description of the Related Art FIG. 20 shows the structure of a communication system.
The system shown in the figure includes a first communication network 100 and a first communication network 1 constructed by a first business operator that provides communication services.
00 included in the communication processing device 11 and the first communication network 100
Service area 12, a second communication network 200 constructed by a second operator that provides communication services, and a second communication network 2
00, the communication processing device 21, the service area 22 of the second communication network 20, and the subscriber of the original first carrier who is also a subscriber to the roaming of the second carrier. Subscriber 300, first communication network 100 and second
The communication network 400 is connected to the communication line 400.
【0003】加入者300と通信処理装置11または、
通信処理装置21との間で通信回線400は、無線回線
または、有線回線であり、無線回線の場合は、例えば、
移動体通信システムであって、通信処理装置11また
は、通信処理装置21は、基地局または、交換局であ
り、有線回線の場合は、例えば、一般加入者電話系を用
いたパーソナル通信システムであり、通信処理装置11
または、通信処理装置21または、交換機である。The subscriber 300 and the communication processing device 11 or
The communication line 400 with the communication processing device 21 is a wireless line or a wired line. In the case of a wireless line, for example,
In the mobile communication system, the communication processing device 11 or the communication processing device 21 is a base station or a switching center. In the case of a wired line, for example, it is a personal communication system using a general subscriber telephone system. , Communication processing device 11
Alternatively, it is the communication processing device 21 or an exchange.
【0004】各通信網は、自分のサービスエリアである
ことを示す報知情報を常時送信している。従って、加入
者300は、当該報知情報を受信することによって、ど
この通信網のエリアにいるかがわかる。勿論、第1の通
信網から第2の通信網に移動することもわかる。[0004] Each communication network constantly transmits notification information indicating its own service area. Therefore, the subscriber 300 can know the area of the communication network by receiving the notification information. Of course, it can be seen that the first communication network moves to the second communication network.
【0005】従来の方法として、特公平6−69882
「移動通信方式における認証方法」には、以下の内容が
開示されている。図21は、従来の認証システムの動作
を示す図である。加入者300、ゾーン移行を検出する
と、自分の加入者識別番号[ID]を移動先の第2の通
信網(以下、単に第2の網と記す)200に向けて送出
する(ステップ1)。この[ID]は、加入者300と
第1の事業者との間で決められている加入者を識別する
ための番号である。これを受信した第2の網200は、
当該加入者がローミングサービス可能な加入者か否かを
確認し、可能な場合に、第1の通信網(以下、単に第1
の網と記す)100に当該[ID]と、第2の網200
と加入者300との間で共有する認証鍵[K12]を設
定して第1の網100に送信する(ステップ2)。As a conventional method, Japanese Patent Publication No. 6-69882
The following contents are disclosed in "Authentication method in mobile communication system". FIG. 21 is a diagram showing the operation of the conventional authentication system. When the subscriber 300 detects the zone shift, it sends out its own subscriber identification number [ID] to the second communication network (hereinafter simply referred to as the second network) 200 of the moving destination (step 1). This [ID] is a number for identifying the subscriber determined between the subscriber 300 and the first business operator. The second network 200 receiving this,
It is confirmed whether the subscriber is a subscriber capable of roaming service, and if possible, the first communication network (hereinafter, simply referred to as the first communication network).
And the second network 200.
And the authentication key [K12] shared between the subscriber and the subscriber 300 is set and transmitted to the first network 100 (step 2).
【0006】第1の網100は、認証鍵[K12]を受
け取ると、認証鍵[K12]を加入者300と共有する
鍵[K13]で暗号化し、暗号化された鍵である認証信
号を第2の網に返送する(ステップ3)。認証信号を受
信した第2の網200は、乱数を発生させ、当該乱数と
上記の認証信号を加入者300に送信する(ステップ
4)。When the first network 100 receives the authentication key [K12], the first network 100 encrypts the authentication key [K12] with the key [K13] shared with the subscriber 300, and outputs the encrypted authentication signal as the first signal. It is returned to the second network (step 3). The second network 200 having received the authentication signal generates a random number and transmits the random number and the authentication signal to the subscriber 300 (step 4).
【0007】これを受けた加入者300は、認証鍵[K
13]を用いて暗号化信号を復号して、認証鍵[K1
2]を復元し、それを用いて受信した乱数を暗号化し
て、認証応答信号を生成し、当該認証応答信号を第2の
網200に返送する(ステップ5)。Upon receiving this, the subscriber 300 receives the authentication key [K
13] is used to decrypt the encrypted signal, and the authentication key [K1
[2] is restored, the received random number is encrypted by using it to generate an authentication response signal, and the authentication response signal is returned to the second network 200 (step 5).
【0008】第2の網200は、当該認証応答信号を認
証鍵[K12]を用いて復号し、乱数を復元し、当該乱
数とステップ4において送信した乱数とを比較照合し、
一致したら加入者300を正規加入者として認証する。
もしくは、第2の網200は、ステップ4で送信した乱
数を認証鍵を[K12]を用いて暗号化し、この値と認
証応答信号とを比較照合し、一致したら加入者300を
正規の加入者として認証する。この認証が完了したら、
第2の網200は、当該加入者の識別番号[ID]と認
証鍵[K12]との関係を記憶しておくことによりステ
ップ6とステップ7に示すように以降の加入者300と
の呼接続の際に認証を行うことができる。The second network 200 decrypts the authentication response signal using the authentication key [K12], restores the random number, compares and collates the random number with the random number transmitted in step 4,
If they match, the subscriber 300 is authenticated as a regular subscriber.
Alternatively, the second network 200 encrypts the random number transmitted in step 4 by using the authentication key [K12], compares and collates this value with the authentication response signal, and if they match, the subscriber 300 is regarded as an authorized subscriber. Authenticate as. Once this verification is complete,
The second network 200 stores the relationship between the identification number [ID] of the subscriber concerned and the authentication key [K12], so that the subsequent call connection with the subscriber 300 is performed as shown in steps 6 and 7. At that time, authentication can be performed.
【0009】[0009]
【発明が解決しようとする課題】しかしながら、上記の
従来の方式では、第2の通信網が第1の通信網に送信す
る平文を自由に指定し、その平文より認証鍵によって暗
号化された暗号文を入手することができるため、(いわ
ゆる選択平文攻撃)、加入者と第1の通信網で共有して
いる認証鍵の第2の事業者に対する守秘性の点で問題が
ある。However, in the above-mentioned conventional method, the second communication network freely specifies the plaintext to be transmitted to the first communication network, and the encryption encrypted from the plaintext by the authentication key. Since the text can be obtained (so-called selective plaintext attack), there is a problem in the confidentiality of the authentication key shared by the subscriber and the first communication network to the second operator.
【0010】本発明は、上記の点に鑑みなされたもの
で、認証鍵の第2の事業者に対する守秘性を確保したま
まローミングサービスにおける加入者を認証するための
認証方法及びシステムを提供することを目的とする。The present invention has been made in view of the above points, and provides an authentication method and system for authenticating a subscriber in a roaming service while ensuring the confidentiality of an authentication key to a second operator. With the goal.
【0011】[0011]
【0012】[0012]
【0013】本発明は、正規の加入者であることを認証
により確認した後に、該加入者の加入者端末との通信を
開始する第1の通信網と、該第1の通信網と通信回線で
接続される第2の通信網とを含み、該加入者端末と該第
1の通信網は、該加入者を認証するための第1の認証鍵
を共有し、さらに、該第1の通信網と該第2の通信網
は、第2の認証鍵を共有し、且つ、該加入者端末が該第
2の通信網とも接続資格を有する場合に、該第2の通信
網が該加入者の認証を行うための認証方法において、加
入者端末は、第2の通信網に対して該加入者に一意に付
与されている加入者識別番号を送信し、第2の通信網
は、加入者識別番号を第1の通信網に送信し、第1の通
信網は、生成した仮の認証鍵を第1の認証鍵で暗号化し
た信号である第1の認証信号と、該仮の認証鍵を第2の
認証鍵で暗号化し、暗号化された信号である第2の認証
信号を、第2の通信網に送信し、第2の通信網は、第1
の認証信号と生成した乱数を加入者端末に送信し、加入
者端末は、予め具備している第1の認証鍵を用いて第1
の認証信号を復号して仮の認証鍵を復元し、該仮の認証
鍵で受信した乱数を暗号化した信号である認証応答信号
を第2の通信網に送信し、第2の通信網は、認証応答信
号により加入者の認証を行う。 According to the present invention , a first communication network that starts communication with a subscriber terminal of the subscriber after confirming that the subscriber is a legitimate subscriber by authentication, and the first communication network and the communication line And a second communication network connected to each other, the subscriber terminal and the first communication network share a first authentication key for authenticating the subscriber, and further, the first communication The network and the second communication network share the second authentication key, and when the subscriber terminal is also qualified to connect to the second communication network, the second communication network determines the subscriber In the authentication method for authenticating, the subscriber terminal transmits a subscriber identification number uniquely assigned to the subscriber to the second communication network, and the second communication network is the subscriber. The identification number is transmitted to the first communication network, and the first communication network transmits the first authentication key, which is a signal obtained by encrypting the generated temporary authentication key with the first authentication key. A signal, the authentication key provisional encrypted by the second authentication key, the second authentication signal is encrypted signal, transmitted to the second communication network, the second communication network, first
The authentication signal and the generated random number are transmitted to the subscriber terminal , and the subscriber terminal uses the first authentication key provided in advance to make the first
The authentication signal is decrypted to restore the temporary authentication key, and the authentication response signal, which is a signal obtained by encrypting the random number received with the temporary authentication key, is transmitted to the second communication network, and the second communication network , The subscriber is authenticated by the authentication response signal.
【0014】本発明は、正規の加入者であることを認証
により確認した後に、該加入者の加入者端末との通信を
開始する第1の通信網と、該第1の通信網と通信回線で
接続される第2の通信網とを含み、該加入者端末と該第
1の通信網は、該加入者を認証するための第1の認証鍵
を共有し、さらに、該第1の通信網と該第2の通信網
は、第2の認証鍵を共有し、且つ、該加入者端末が該第
2の通信網とも接続資格を有する場合に、該第2の通信
網が該加入者の認証を行うための認証方法において、加
入者端末は、第2の通信網に対して、該加入者の加入者
識別番号を送信し、第2の通信網は、受信した加入者識
別番号を第1の通信網に送信すると共に、該第1の通信
網で生成された乱数を第2の認証鍵で暗号化した値であ
る仮の認証鍵を、第1の認証鍵で暗号化した信号である
認証信号と該第1の乱数を受信し、第1の乱数を該第2
の認証鍵で暗号化して、第2の通信網でも仮の認証鍵を
生成すると共に、認証信号と第2の通信網で生成された
第2の乱数を加入者端末に送信し、加入者端末は、予め
具備している第1の認証鍵を用いて、第1の認証信号を
復号し、仮の認証鍵を復元し、仮の認証鍵で第2の乱数
を暗号化した信号である認証応答信号を第2の通信網に
送信し、第2の通信網は、認証応答信号により加入者の
認証を行う。[0014] The present invention is, after confirming the authentication that is a subscriber of the regular first communication and the communication network, the first communication network line to initiate communication with a subscriber terminal in the subscriber And a second communication network connected to each other, the subscriber terminal and the first communication network share a first authentication key for authenticating the subscriber, and further, the first communication network and the second communication network, and share the second authentication key, one 且, if the subscriber terminal has a connection credentials with the second communication network, the second communication network the subscriber In the authentication method for authenticating a subscriber, the subscriber terminal transmits the subscriber identification number of the subscriber to the second communication network, and the second communication network receives the subscriber identification number. Is transmitted to the first communication network and a temporary authentication key, which is a value obtained by encrypting the random number generated by the first communication network with the second authentication key, Receiving the encrypted signal in which the authentication signal and the first random number in the authentication key, the second the first random number
The second communication network generates a temporary authentication key, and the authentication signal and the second random number generated by the second communication network are transmitted to the subscriber terminal to encrypt the subscriber terminal. Is a signal which is a signal obtained by decrypting the first authentication signal using the first authentication key that is provided in advance, restoring the temporary authentication key, and encrypting the second random number with the temporary authentication key. The response signal is transmitted to the second communication network, and the second communication network authenticates the subscriber by the authentication response signal.
【0015】[0015]
【0016】本発明は、正規の加入者であることを認証
により確認した後に、該加入者の加入者端末との通信を
開始する第1の通信網と、該第1の通信網と通信回線で
接続される第2の通信網とを含み、該加入者端末と該第
1の通信網は、該加入者を認証するための第1の認証鍵
を共有し、さらに、該第1の通信網と該第2の通信網
は、第2の認証鍵を共有し、且つ、該加入者端末が該第
2の通信網とも接続資格を有する場合に、該第2の通信
網が該加入者の認証を行うための認証方法において、加
入者端末は、第2の通信網に対して該加入者の加入者識
別番号を送信し、第2の通信網は、受信した加入者識別
番号を第1の通信網に送信した後、該第1の通信網で生
成された仮の認証鍵を第1の認証鍵で暗号化した信号で
ある第1の認証信号と、該仮の認証鍵を第2の認証鍵で
暗号化した信号である第2の認証信号を該第1の通信網
より受信し、該第1の認証信号と該第2の通信網で生成
された第1の乱数を加入者端末に送信し、加入者端末
は、予め具備している第1の認証鍵を用いて、第1の認
証信号を復号して、仮の認証鍵を復元した上で、該仮の
認証鍵で第1の乱数を暗号化した信号である認証応答信
号と該加入者端末により生成された第2の乱数を第2の
通信網に送信し、第2の通信網は、認証応答信号によ
り、加入者の認証を行うと共に、第2の乱数を仮の認証
鍵で暗号化した信号を認証応答信号として、該加入者端
末に返送し、加入者端末は、認証応答信号に基づいて第
2の通信網の認証を行う。[0016]The present invention isAuthenticate as a legitimate subscriber
After confirming by the subscriberSubscriber terminalWhenofCommunication
In the first communication network to start and the communication line with the first communication network
A second communication network connected to the subscriber,TerminalAnd the said
The first communication network is a first authentication key for authenticating the subscriber.
And further, the first communication network and the second communication network
Share a second authentication key,AndOne, the subscriberTerminalIs the first
If the second communication network is also qualified to connect, the second communication
In the authentication method for the network to authenticate the subscriber,
NewcomerTerminalIs the subscriber identity of the subscriber to the second communication network.
Another number is transmitted, and the second communication network receives the received subscriber identification.
After sending the number to the first communication network,
The temporary authentication key generated is encrypted with the first authentication key.
A certain first authentication signal and the temporary authentication keyWith the second authentication key
The second authentication signal, which is an encrypted signal, is transmitted to the first communication network.
Generated by the first authentication signal and the second communication network
Subscribed first random numberTerminalSend to the subscriberTerminal
Uses the first authentication key that it has in advance to
After decrypting the identification signal and restoring the temporary authentication key,
Authentication response signal that is a signal obtained by encrypting the first random number with the authentication key
No. and the subscriberTerminalGenerated byWas doneThe second random number to the second
The second communication network transmits to the communication network by the authentication response signal.
And authenticate the subscriber, and temporarily authenticate the second random number.
The signal encrypted by the key is used as the authentication response signal, and the subscriberend
EndReturned to the subscriberTerminalBased on the authentication response signal
Authenticate the second communication network.
【0017】本発明は、正規の加入者であることを認証
により確認した後に、該加入者の加入者端末との通信を
開始する第1の通信網と、該第1の通信網と通信回線で
接続される第2の通信網とを含み、該加入者端末と該第
1の通信網は、該加入者を認証するための第1の認証鍵
を共有し、さらに、該第1の通信網と該第2の通信網
は、第2の認証鍵を共有し、且つ、該加入者端末が該第
2の通信網とも接続資格を有する場合に、該第2の通信
網が該加入者の認証を行うための認証方法において、加
入者端末は、第2の通信網に対して該加入者の加入者識
別番号を送信し、第2の通信網は、受信した加入者識別
番号を第1の通信網に送信すると共に、第1の通信網で
生成された第1の乱数を第2の認証鍵で暗号化した値で
ある仮の認証鍵を第1の認証鍵で暗号化した信号である
認証信号と、第1の乱数を受信すると、該第1の乱数を
該第2の認証鍵で暗号化し、仮の認証鍵を生成し、該認
証信号と生成した第2の乱数を加入者端末に送信し、加
入者端末は、予め具備している第1の認証鍵を用いて、
認証信号を復号し、仮の認証鍵を復元した上で、該仮の
認証鍵で第2の乱数を暗号化した信号である認証応答信
号と該加入者端末で生成された第3の乱数を第2の通信
網に送信し、第2の通信網は、認証応答信号により加入
者の認証を行うと共に、第3の乱数を仮の認証鍵で暗号
化した信号を認証応答信号として加入者端末に返送し、
加入者端末は、認証応答信号に基づいて第2の通信網の
認証を行う。[0017] The present invention is, after confirming the authentication that is a subscriber of the regular first communication line and a communication network, with the first communication network to initiate communication with the subscriber terminal in the subscriber And a second communication network connected to each other, the subscriber terminal and the first communication network share a first authentication key for authenticating the subscriber, and further, the first communication network and the second communication network, and share the second authentication key, one 且, if the subscriber terminal has a connection credentials with the second communication network, the second communication network the subscriber In the authentication method for authenticating a subscriber, the subscriber terminal transmits the subscriber identification number of the subscriber to the second communication network, and the second communication network uses the received subscriber identification number. The temporary authentication key, which is a value obtained by encrypting the first random number generated by the first communication network with the second authentication key, is transmitted to the first communication network. When the authentication signal that is the signal encrypted with the authentication key of 1 and the first random number are received, the first random number is encrypted with the second authentication key, a temporary authentication key is generated, and the authentication signal The generated second random number is transmitted to the subscriber terminal , and the subscriber terminal uses the first authentication key provided in advance,
The authentication signal is decrypted, the temporary authentication key is restored, and the authentication response signal, which is a signal obtained by encrypting the second random number with the temporary authentication key, and the third random number generated by the subscriber terminal. It transmits to the second communication network, and the second communication network authenticates the subscriber with the authentication response signal, and at the same time, the subscriber terminal uses the signal obtained by encrypting the third random number with the temporary authentication key as the authentication response signal. Sent back to
The subscriber terminal authenticates the second communication network based on the authentication response signal.
【0018】[0018]
【0019】本発明は、正規の加入者であることを認証
により確認した後に、該加入者の加入者端末との通信を
開始する第1の通信網と、該第1の通信網と通信回線で
接続される第2の通信網とを含み、該加入者端末と該第
1の通信網は、該加入者を認証するための第1の認証鍵
を共有し、さらに、該第1の通信網と該第2の通信網
は、第2の認証鍵を共有し、且つ、該加入者端末が該第
2の通信網とも接続資格を有する場合に、該第2の通信
網が該加入者の認証を行うための認証方法において、加
入者端末は、第2の通信網に対して該加入者の加入者識
別番号を送信し、第2の通信網は、受信した加入者識別
番号を第1の通信網に送信し、該第1の通信網で生成さ
れた第1の乱数を受信し、受信した該第1の乱数を該第
1の通信網と、該第2の通信網で共有する第2の認証鍵
により暗号化した認証応答信号を第1の通信網に返送
し、第1の通信網において、第2の通信網を認証し、生
成した仮の認証鍵を第1の認証鍵で暗号化した信号であ
る第1の認証信号と、該仮の認証鍵で暗号化した信号で
ある第2の認証信号を第2の通信網に送信し、第2の通
信網は、第1の認証信号と、第2の通信網で生成された
第1の乱数を加入者端末に送信し、加入者端末は、予め
具備している第1の認証鍵を用いて第1の認証信号を復
号して、仮の認証鍵を復元し、該仮の認証鍵で第2の乱
数を暗号化した信号である応答信号を第2の通信網に送
信し、第2の通信網は、認証応答信号により加入者の認
証を行う。[0019] The present invention is, after confirming the authentication that the subscriber of the regular, the first communication and the communication network, the first communication network line to initiate communication with a subscriber terminal in the subscriber And a second communication network connected to each other, the subscriber terminal and the first communication network share a first authentication key for authenticating the subscriber, and further, the first communication network and the second communication network, and share the second authentication key, one 且, if the subscriber terminal has a connection credentials with the second communication network, the second communication network the subscriber In the authentication method for authenticating a subscriber, the subscriber terminal transmits the subscriber identification number of the subscriber to the second communication network, and the second communication network uses the received subscriber identification number. Transmitting to the first communication network, receiving the first random number generated by the first communication network, and receiving the received first random number from the first communication network and the first random number. The authentication response signal encrypted by the second authentication key shared by the second communication network is returned to the first communication network, the second communication network is authenticated in the first communication network, and the generated temporary authentication key is generated. A first authentication signal, which is a signal encrypted with the first authentication key, and a second authentication signal, which is a signal encrypted with the temporary authentication key, are transmitted to the second communication network, and the second authentication signal is transmitted. The communication network transmits the first authentication signal and the first random number generated by the second communication network to the subscriber terminal , and the subscriber terminal uses the first authentication key that it has in advance. The first authentication signal is decrypted to restore the temporary authentication key, and the response signal, which is a signal obtained by encrypting the second random number with the temporary authentication key, is transmitted to the second communication network, The communication network authenticates the subscriber by the authentication response signal.
【0020】本発明は、正規の加入者であることを認証
により確認した後に、該加入者の加入者端末との通信を
開始する第1の通信網と、該第1の通信網と通信回線で
接続される第2の通信網とを含み、該加入者端末と該第
1の通信網は、該加入者を認証するための第1の認証鍵
を共有し、さらに、該第1の通信網と該第2の通信網
は、第2の認証鍵を共有し、且つ、該加入者端末が該第
2の通信網とも接続資格を有する場合に、該第2の通信
網が該加入者の認証を行うための認証方法において、加
入者端末は、第2の通信網に対して、該加入者の加入者
識別番号を送信し、第2の通信網は、加入者識別番号を
第1の通信網に送信し、第1の通信網は、生成した第1
の乱数を第2の通信網に送信し、第2の通信網は、第1
の通信網で生成された第1の乱数を受信し、該第1の乱
数を第1の通信網と該第2の通信網において共有する第
2の認証鍵によって、暗号化した認証応答信号を第1の
通信網に返送し、第1の通信網は、第2の通信網を認証
し、生成した第2の乱数を第2の認証鍵で暗号化した値
である仮の認証鍵を第1の認証鍵で暗号化した信号であ
る認証信号と該第2の乱数を該第2の通信網に送信し、
第2の通信網は、第2の乱数を第2の認証鍵で暗号化
し、該第2の通信網でも仮の認証鍵を生成すると共に、
認証信号と、生成した第3の乱数を加入者端末に送信
し、加入者端末は、予め具備している第1の認証鍵を用
いて、認証信号を復号して、仮の認証鍵を復元し、該仮
の認証鍵で第3の乱数を暗号化した信号である認証応答
信号を第2の通信網に送信し、第2の通信網は、認証応
答信号により加入者の認証を行う。[0020] The present invention is, after confirming the authentication that is a subscriber of the regular first communication and the communication network, the first communication network line to initiate communication with a subscriber terminal in the subscriber And a second communication network connected to each other, the subscriber terminal and the first communication network share a first authentication key for authenticating the subscriber, and further, the first communication network and the second communication network, and share the second authentication key, one 且, if the subscriber terminal has a connection credentials with the second communication network, the second communication network the subscriber In the authentication method for authenticating a subscriber, the subscriber terminal transmits the subscriber identification number of the subscriber to the second communication network, and the second communication network assigns the subscriber identification number to the second communication network. To the first communication network, and the first communication network generates the first
Is transmitted to the second communication network, and the second communication network
Receiving the first random number generated in the communication network of the first communication network, and transmitting the encrypted authentication response signal by the second authentication key that shares the first random number in the first communication network and the second communication network. It returns to the first communication network, the first communication network authenticates the second communication network, and the temporary authentication key which is a value obtained by encrypting the generated second random number with the second authentication key is transmitted to the first communication network. An authentication signal which is a signal encrypted with the authentication key of 1 and the second random number are transmitted to the second communication network,
The second communication network encrypts the second random number with the second authentication key, and also generates a temporary authentication key in the second communication network.
The authentication signal and the generated third random number are transmitted to the subscriber terminal , and the subscriber terminal decrypts the authentication signal using the first authentication key provided in advance and restores the temporary authentication key. Then, an authentication response signal, which is a signal obtained by encrypting the third random number with the temporary authentication key, is transmitted to the second communication network, and the second communication network authenticates the subscriber by the authentication response signal.
【0021】[0021]
【0022】本発明は、正規の加入者であることを認証
により確認した後に、該加入者の加入者端末との通信を
開始する第1の通信網と、該第1の通信網と通信回線で
接続される第2の通信網とを含み、該加入者端末と該第
1の通信網は、該加入者を認証するための第1の認証鍵
を共有し、さらに、該第1の通信網と該第2の通信網
は、第2の認証鍵を共有し、且つ、該加入者端末が該第
2の通信網とも接続資格を有する場合に、該第2の通信
網が該加入者の認証を行うための認証方法において、加
入者端末は、第2の通信網に対して加入者の加入者識別
番号を送信し、第2の通信網は、加入者識別番号を第1
の通信網に送信し、第1の通信網は、第1の乱数を生成
して、第2の通信網に送信し、第2の通信網は、第1の
乱数と第2の通信網で共有する第2の認証鍵によって暗
号化した認証応答信号を返送し、第1の通信網は、第2
の通信網を認証し、該第1の通信網により該第1の通信
網で生成した仮の認証鍵を第1の認証鍵で暗号化した信
号である第1の認証信号と仮の認証鍵を第2の認証鍵で
暗号化した信号である第2の認証信号を第2の通信網に
送信し、第2の通信網は、第2の認証信号を第1の認証
信号と、第1の乱数を加入者端末に送信し、加入者端末
は、予め具備している第1の認証鍵を用いて第1の認証
信号を復号して仮の認証鍵を復元し、仮の認証鍵で第2
の乱数を暗号化した信号である認証応答信号と加入者端
末で生成された第2の乱数を第2の通信網に送信し、第
2の通信網は、認証応答信号により加入者の認証を行う
と共に、第3の乱数を仮の認証鍵で暗号化した信号を認
証応答信号として加入者端末に返送し、加入者端末は、
認証応答信号に基づいて第2の通信網の認証を行う。[0022] The present invention is, after confirming the authentication that is a subscriber of the regular first communication and the communication network, the first communication network line to initiate communication with a subscriber terminal in the subscriber And a second communication network connected to each other, the subscriber terminal and the first communication network share a first authentication key for authenticating the subscriber, and further, the first communication network and the second communication network, and share the second authentication key, one 且, if the subscriber terminal has a connection credentials with the second communication network, the second communication network the subscriber In the authentication method for authenticating a subscriber, the subscriber terminal transmits the subscriber identification number of the subscriber to the second communication network, and the second communication network transmits the subscriber identification number as the first subscriber identification number.
, The first communication network generates a first random number and transmits it to the second communication network, and the second communication network uses the first random number and the second communication network. The authentication response signal encrypted by the shared second authentication key is returned, and the first communication network sends the second communication key to the second communication key.
A first authentication signal and a temporary authentication key which are signals obtained by authenticating the first communication network and authenticating the temporary communication key generated by the first communication network by the first communication key. Is transmitted to the second communication network, which is a signal encrypted with the second authentication key, and the second communication network transmits the second authentication signal to the first authentication signal and the first authentication signal. Of the random number is transmitted to the subscriber terminal , and the subscriber terminal decrypts the first authentication signal by using the first authentication key provided in advance and restores the temporary authentication key. Second with the authentication key of
Authentication response signal and subscriber end, which are encrypted random number signals
The second random number generated at the end is transmitted to the second communication network, and the second communication network authenticates the subscriber by the authentication response signal and encrypts the third random number with the temporary authentication key. The signal sent as an authentication response signal is returned to the subscriber terminal , and the subscriber terminal
Authentication of the second communication network is performed based on the authentication response signal.
【0023】本発明は、正規の加入者であることを認証
により確認した後に、該加入者の加入者端末との通信を
開始する第1の通信網と、該第1の通信網と通信回線で
接続される第2の通信網とを含み、該加入者端末と該第
1の通信網は、該加入者を認証するための第1の認証鍵
を共有し、さらに、該第1の通信網と該第2の通信網
は、第2の認証鍵を共有し、且つ、該加入者端末が該第
2の通信網とも接続資格を有する場合に、該第2の通信
網が該加入者の認証を行うための認証方法において、加
入者端末は、第2の通信網に対して、該加入者の加入者
識別番号を送信し、第2の通信網は、加入者識別番号を
第1の通信網に送信し、第1の通信網は、第1の乱数を
生成して第2の通信網に送信し、第1の通信網は、第1
の乱数を受信し、該第1の乱数を第1の通信網と、該第
2の通信網で共有する第2の認証鍵によって暗号化した
認証応答信号を第1の通信網に返送し、第1の通信網に
おいて、第2の通信網を認証し、第1の通信網で生成さ
れた第2の乱数を第2の認証鍵で暗号化した値である仮
の認証鍵を第1の認証鍵で暗号化した信号である第2の
乱数を第2の通信網に送信し、第2の通信網は、第2の
乱数を第2の認証鍵で暗号化し、仮の認証鍵を生成し、
認証信号と、生成した第3の乱数を加入者端末に送信
し、加入者端末は、予め具備している第1の認証鍵を用
いて認証信号を復号して仮の認証鍵を復元し、仮の認証
鍵を第3の乱数を暗号化した信号である認証応答信号と
該加入者端末で生成された第4の乱数を第2の通信網に
送信し、第2の通信網は、認証応答信号により加入者の
認証を行うと共に、第4の乱数を仮の認証鍵で暗号化し
た信号を認証応答信号として加入者端末に返送し、加入
者端末は、認証応答信号に基づいて第2の通信網の認証
を行う。[0023] The present invention, after confirming the authentication that is a subscriber of the regular first communication line and a communication network, with the first communication network to initiate communication with the subscriber terminal in the subscriber And a second communication network connected to each other, the subscriber terminal and the first communication network share a first authentication key for authenticating the subscriber, and further, the first communication network and the second communication network, and share the second authentication key, one 且, if the subscriber terminal has a connection credentials with the second communication network, the second communication network the subscriber In the authentication method for authenticating a subscriber, the subscriber terminal transmits the subscriber identification number of the subscriber to the second communication network, and the second communication network assigns the subscriber identification number to the second communication network. To the first communication network, the first communication network generates a first random number and transmits it to the second communication network, and the first communication network transmits the first random number to the first communication network.
Of the first communication number and the second communication key shared by the first communication network and the second communication key, the authentication response signal encrypted by the second communication key is returned to the first communication network. In the first communication network, the second communication network is authenticated, and the temporary authentication key that is a value obtained by encrypting the second random number generated by the first communication network with the second authentication key is used as the first authentication key. The second random number, which is a signal encrypted with the authentication key, is transmitted to the second communication network, and the second communication network encrypts the second random number with the second authentication key to generate a temporary authentication key. Then
The authentication signal and the generated third random number are transmitted to the subscriber terminal , and the subscriber terminal decrypts the authentication signal by using the first authentication key provided in advance to restore the temporary authentication key, A temporary authentication key and an authentication response signal which is a signal obtained by encrypting a third random number.
Sending a fourth random number generated by the subscriber terminal to a second communication network, the second communication network, performs authentication of the subscriber by the authentication response signal, the authentication key of the temporary fourth random number in return the subscriber terminal the encrypted signal as an authentication response signal, the subscriber terminal performs authentication of the second communication network based on the authentication response signal.
【0024】[0024]
【0025】[0025]
【0026】これにより、本発明では、第2の通信網か
ら第1の通信網に平文を送出するのではなく、第1の通
信網から第2の通信網に向けて第1の通信網と加入者で
共有する鍵で、第1の通信網で発生した仮の認証鍵を暗
号化した暗号化信号を送出しているため、本発明の目的
である認証鍵の第2の事業者に対する守秘性を確保する
ことができる。また、本発明は、加入者側において、第
2の事業者で暗号化された認証応答信号を受信して、当
該第2の事業者を認証することも可能である。As a result, in the present invention, the plaintext is not sent from the second communication network to the first communication network, but the first communication network is transmitted from the first communication network toward the second communication network. Since the encrypted signal is generated by encrypting the temporary authentication key generated in the first communication network with the key shared by the subscribers, the confidentiality of the authentication key, which is the object of the present invention, to the second business operator is kept. It is possible to secure the sex. Further, according to the present invention, the subscriber side can also receive the authentication response signal encrypted by the second business operator and authenticate the second business operator.
【0027】[0027]
[第1の認証方法]図3は、本発明の第1の認証方法を
示すシーケンスチャートである。加入者300が第1の
通信網(以下第1の網という)から第2の通信網(以
下、単に第2の網という)に移行したことを検出して、
自分の加入者識別番号[ID]を第2の網に送信するま
で(ステップ201)は、従来と同一である。この[I
D]は加入者300と第1の事業者との間で決めたこの
加入者を識別するための番号である。移行の検出も各網
が報知している情報に基づいて実行出来ることも従来ど
おりである。本発明で対象とする通信網として、無線回
線制御を行う基地局と加入者のデータを保持する記憶装
置が必要である。[First Authentication Method] FIG. 3 is a sequence chart showing the first authentication method of the present invention. Detecting that the subscriber 300 has moved from the first communication network (hereinafter referred to as the first network) to the second communication network (hereinafter simply referred to as the second network),
Until the subscriber's own identification number [ID] is transmitted to the second network (step 201), it is the same as the conventional one. This [I
D] is a number for identifying this subscriber, which is determined between the subscriber 300 and the first business operator. As in the past, the transition can be detected based on the information notified by each network. As a communication network to which the present invention is applied, a base station for performing wireless line control and a storage device for holding subscriber data are required.
【0028】加入者300から[ID]を受信した第2
の網は、この[ID]を第1の網に送信する(ステップ
202)。第1の網はこれを受け取ると、仮の認証鍵
[Kt]を発生させ、この仮の認証鍵と仮の認証鍵を第
1の網と加入者300との間で共有する認証鍵[K1
3]で暗号化した認証信号を第2の網に送信する(ステ
ップ203)。Second receiving the [ID] from the subscriber 300
This network transmits this [ID] to the first network (step 202). When the first network receives this, it generates a temporary authentication key [Kt], and the temporary authentication key and the temporary authentication key [K1] shared between the first network and the subscriber 300.
3], the authentication signal encrypted in [3] is transmitted to the second network (step 203).
【0029】これを受けた第2の網は乱数値を発生さ
せ、その乱数値と上記の認証番号を加入者300に送出
する(ステップ204)。これを受けた加入者300は
認証鍵[K13]を用いて認証信号を復号して仮の認証
鍵[Kt]を復元し、それを用いて受信した乱数値を暗
号化して認証応答信号を生成し、その認証応答信号を第
2の網に返送する(ステップ205)。Upon receipt of this, the second network generates a random number value and sends the random number value and the above authentication number to the subscriber 300 (step 204). Receiving this, the subscriber 300 decrypts the authentication signal by using the authentication key [K13] to restore the temporary authentication key [Kt], encrypts the received random number value by using it, and generates the authentication response signal. Then, the authentication response signal is returned to the second network (step 205).
【0030】第2の網はこの認証応答信号を、仮の認証
鍵[Kt]で乱数値を暗号化した値と比較照合し、一致
したら加入者300を正規の加入者として認証する。も
しくは仮の認証鍵[Kt]によってこの認証応答信号を
復号して得られた乱数値を工程4で送出した乱数値と比
較照合し、一致したら加入者300を正規の加入者とし
て認証する。The second network compares and verifies the authentication response signal with a value obtained by encrypting a random number value with the temporary authentication key [Kt], and if they match, authenticates the subscriber 300 as a regular subscriber. Alternatively, the random number value obtained by decrypting this authentication response signal with the temporary authentication key [Kt] is compared and collated with the random number value sent in step 4, and if they match, the subscriber 300 is authenticated as a regular subscriber.
【0031】この認証が完了したら、第2の網はこの加
入者の識別番号[ID]と仮の認証鍵[Kt]との関係
を記憶しておくことにより、ステップ206とステップ
207に示すように以降の加入者300との呼接続の際
に認証を行うことができる。仮の認証鍵[Kt]はロー
ミングする毎に発生する一時的な乱数値であるため守秘
性が高い。When this authentication is completed, the second network stores the relationship between the subscriber's identification number [ID] and the temporary authentication key [Kt], as shown in steps 206 and 207. Further, it is possible to perform authentication at the time of subsequent call connection with the subscriber 300. Since the temporary authentication key [Kt] is a temporary random number value generated each time roaming, the confidentiality is high.
【0032】図4は、本発明の第1の認証方法における
加入者の制御手順を示すフローチャートである。ステッ
プ301は、サービスゾーンを移行したときに報知情報
を受信して移行先のサービス事業者を判定する部分であ
る。加入者300は、在圏している事業者名を記憶して
いるから、移行先の事業者名と記憶中のそれとを比較す
ることにより事業者判定が可能である。これが一致して
いれば、移行しても事業者が変わらないため、後述のス
テップ305に移ればよい。不一致ならステップ302
に移るが、この場合は異なる事業者のゾーンに移行した
ため、移行先のゾーンが第1の事業者かどうかを調べ
る。FIG. 4 is a flowchart showing the subscriber control procedure in the first authentication method of the present invention. Step 301 is a part for receiving the notification information when the service zone is transferred and determining the service provider of the transfer destination. Since the subscriber 300 stores the name of the business operator in the area, it can determine the business operator by comparing the name of the business operator of the transfer destination and that in memory. If they match, the business operator does not change even after the migration, so the procedure may proceed to step 305 described later. If they do not match, step 302
However, in this case, since it has moved to a different business operator's zone, it is checked whether the transfer destination zone is the first business operator.
【0033】第1の事業者であれば他の事業者のゾーン
から戻った場合であり、ステップ303で認証鍵をK1
3に設定してステップ305に移る。第1の事業者でな
ければ、本発明の第1の認証方法の場合と同一となり、
ステップ304で暗号解読鍵をK13に設定する。これ
は図3に示す制御手順の中のステップ204で、第2の
網から送信される暗号化信号を復号するためである。こ
の後にステップ305に移る。これは網へのサービス要
求の部分であり、図3ではステップ201に相当する。
ここでは加入者300は第1の事業者との間で取り交わ
した識別番号[ID]を送信する。If it is the first business operator, it means returning from the zone of another business operator, and the authentication key is set to K1 in step 303.
Set to 3 and move to step 305. If it is not the first business operator, it is the same as the case of the first authentication method of the present invention,
In step 304, the decryption key is set to K13. This is to decrypt the encrypted signal transmitted from the second network in step 204 in the control procedure shown in FIG. After this, the process proceeds to step 305. This is a part of the service request to the network and corresponds to step 201 in FIG.
Here, the subscriber 300 transmits the identification number [ID] exchanged with the first business operator.
【0034】その後、図3を見ればわかるように第1の
網と第2の網との間で所要の信号の受信を行った後、図
3のステップ204で記載のように網から乱数値と暗号
化した信号からなる認証要求信号が送られ、これを受信
する工程になる。例えば、認証種別1=乱数無し、認証
種別2=乱数有りのように種別分けされた情報があり、
これにより区別する方法も考えられるから、この認証要
求信号から、ステップ307においていかなる認証方式
を行うのかを検出する。After that, as can be seen from FIG. 3, after receiving a required signal between the first network and the second network, a random number value is output from the network as described in step 204 of FIG. And an authentication request signal including an encrypted signal is sent, and this is the step of receiving this. For example, there is information classified into authentication type 1 = no random number, authentication type 2 = random number,
Since a method of distinction can be considered in this way, it is detected from this authentication request signal what authentication method is to be performed in step 307.
【0035】加入者300が異なる事業者のゾーンに移
った場合は乱数値以外に暗号化した信号が送られるが、
同一事業者のゾーンの場合には乱数値だけが送られるた
め、この内容を見れば異なる事業者のゾーンに移行した
かどうかがわかる。乱数値以外の情報が含まれている場
合には異なる事業者のゾーンに移行した場合だから、ス
テップ308でその暗号化信号を復号して認証鍵[K
t]を復元し、それを認証鍵にする。そうでない場合に
は認証鍵はそのままにする。その後ステップ309で、
認証鍵を用いて網へ認証応答を行う。もし異なる事業者
へ移行した場合には、新たな認証鍵[Kt]を用いて認
証を応答することになる。これが図3のステップ205
に相当する。When the subscriber 300 moves to a different operator's zone, an encrypted signal other than a random number value is sent.
In the case of the same business operator's zone, only the random number is sent, so if you look at this content, you can tell whether you have moved to a different business operator's zone. If the information other than the random number value is included, it means that the zone has been moved to a different carrier. Therefore, in step 308, the encrypted signal is decrypted and the authentication key [K
t] and restore it as the authentication key. Otherwise, leave the authentication key unchanged. Then in step 309,
Sends an authentication response to the network using the authentication key. If the service is transferred to a different business, the new authentication key [Kt] will be used to respond the authentication. This is step 205 in FIG.
Equivalent to.
【0036】[第2の認証方法]図5は、本発明の第2
の認証方法を示すシーケンスチャートである。第2の認
証方法は、第1の網と第2の網の間の信号の盗聴者から
上記の仮の認証鍵[Kt]を秘匿したい場合の認証手順
である。ここではステップ403で第1の認証方法にお
ける仮の認証鍵[Kt]を送信する代わりに、この鍵を
第1の網と第2の網で共有する認証鍵[K23]で暗号
化した信号K23[Kt]を送信する事を特徴とする。[Second Authentication Method] FIG. 5 shows the second authentication method of the present invention.
4 is a sequence chart showing the authentication method of FIG. The second authentication method is an authentication procedure when it is desired to conceal the temporary authentication key [Kt] from an eavesdropper of a signal between the first network and the second network. Here, instead of transmitting the temporary authentication key [Kt] in the first authentication method in step 403, the signal K23 obtained by encrypting this key with the authentication key [K23] shared by the first network and the second network is used. It is characterized by transmitting [Kt].
【0037】加入者300が第1の網から第2の網に移
行したことを検出して、自分の識別番号[ID]を第2
の網に送信し(ステップ401)、加入者300から
[ID]を送信した第2の網は、この[ID]を第1の
網に送信する(ステップ402)までは第1の認証方法
と同一である。It is detected that the subscriber 300 has moved from the first network to the second network, and the own identification number [ID] is set to the second network.
The second network which has transmitted the [ID] from the subscriber 300 (step 401) and the subscriber 300 has transmitted the [ID] to the first network (step 402) by the first authentication method. It is the same.
【0038】第1の網はこれを受信すると、仮の認証鍵
[Kt]を発生させ、この仮の認証鍵を第1の網と加入
者300との間で共有する認証鍵K13で暗号化した第
1の認証信号と第1の網と第2の網との間で共有する認
証鍵[K23]で暗号化した第2の認証信号を第2の網
に送信する(ステップ403)。Upon receipt of this, the first network generates a temporary authentication key [Kt], and this temporary authentication key is encrypted with the authentication key K13 shared between the first network and the subscriber 300. The first authentication signal and the second authentication signal encrypted with the authentication key [K23] shared between the first network and the second network are transmitted to the second network (step 403).
【0039】これを受けた第2の網は乱数値を発生さ
せ、その乱数値と上記の第1の認証信号を加入者300
に送出する(ステップ404)。これを受けた加入者3
00は認証鍵[K13]を用いて暗号化信号を復号して
仮の認証鍵[Kt]を復元し、それを用いて受信した乱
数値を暗号化して認証応答信号を生成し、その認証応答
信号を第2の網に返送する(ステップ405)。Upon receipt of this, the second network generates a random number value, and sends the random number value and the above-mentioned first authentication signal to the subscriber 300.
(Step 404). Subscriber 3 who received this
00 decrypts the encrypted signal by using the authentication key [K13] to restore the temporary authentication key [Kt], encrypts the received random number value by using the encrypted key, generates an authentication response signal, and outputs the authentication response. The signal is sent back to the second network (step 405).
【0040】第2の網は、この認証応答信号を、第1の
網と第2の網で共有する認証鍵[K23]を用いて上記
の第2の認証信号を復号した仮の認証鍵[Kt]で乱数
値を暗号化した値と比較照合し、一致したら加入者30
0を正規の加入者として認証する。もしくは第2の認証
信号を第1の網と第2の網で共有する鍵[K23]で復
号して得られた仮の認証鍵[Kt]によって復号して得
られた乱数値を工程4で送出した乱数値と比較照合し、
一致したら加入者300を正規の加入者として認証す
る。The second network decrypts this authentication response signal using the authentication key [K23] shared by the first network and the second network, and outputs the temporary authentication key [ Kt] compares and collates the random number value with the encrypted value.
Authenticate 0 as a legitimate subscriber. Alternatively, in step 4, the random number value obtained by decrypting the second authentication signal with the temporary authentication key [Kt] obtained by decrypting the key [K23] shared by the first network and the second network is obtained. Compare and collate with the sent random value,
If they match, the subscriber 300 is authenticated as an authorized subscriber.
【0041】この認証が完了したら、第2の網はこの加
入者の識別番号[ID]と仮の認証鍵[Kt]との関係
を記憶しておくことにより、ステップ406とステップ
407に示すように以降の加入者300との呼接続の際
に認証を行うことができる。
[第3の認証方法]図6は、本発明の第3の認証方法を
示すシーケンスチャートである。第3の認証方法は、第
2の認証方法と同様に第1の網と第2の網の間の信号の
盗聴者から上記の仮の認証鍵[Kt]を秘匿したい場合
の認証手順である。ここではステップ503で第1の認
証方法の仮の認証鍵[Kt]の代わりに、この鍵を発生
させるための乱数を送信する事を特徴とする。When this authentication is completed, the second network stores the relationship between the identification number [ID] of this subscriber and the temporary authentication key [Kt], as shown in steps 406 and 407. Further, it is possible to perform authentication at the time of subsequent call connection with the subscriber 300. [Third Authentication Method] FIG. 6 is a sequence chart showing a third authentication method of the present invention. Similar to the second authentication method, the third authentication method is an authentication procedure when it is desired to keep the above-mentioned temporary authentication key [Kt] secret from an eavesdropper of a signal between the first network and the second network. . Here, in step 503, instead of the temporary authentication key [Kt] of the first authentication method, a random number for generating this key is transmitted.
【0042】ステップ501、502は、第1の認証方
法と同一である。第1の網は加入者識別番号を受け取る
と、乱数値1を発生させ、この乱数値1を第1の網と第
2の網との間で共有する認証鍵[K23]で暗号化した
値を仮の認証鍵[Kt]とする。第1の網は乱数値1と
さらにこの仮の認証鍵[Kt]を第1の網と加入者30
0との間で共有する鍵[K13]で暗号化した認証信号
を第2の網に送信する(ステップ503)。これを受け
た第2の網は乱数値2を発生させ、その乱数値2と上記
の認証信号を加入者300に送出する(ステップ50
4)。これを受けた加入者300は、認証鍵[K13]
を用いて暗号化信号を復号して仮の認証鍵[Kt]を復
元し、その仮の認証鍵[Kt]を用いて受信した乱数値
2を暗号化して生成した認証応答信号を第2の網に返送
する(ステップ505)。第2の網はこの認証応答信号
を、第1の網と第2の網で共有する認証鍵[K23]を
用いて乱数値1を暗号化した仮の認証鍵[Kt]により
乱数値2を暗号化した値と比較照合し、一致したら加入
者300を正規の加入者として認証する。もしくはこの
認証応答信号を認証鍵[K23]を用いて乱数値1を暗
号化した仮の鍵[Kt]により復号化した値と、ステッ
プ504で送出した乱数値2と比較照合し、一致したら
加入者300を正規の加入者として認証する。Steps 501 and 502 are the same as those in the first authentication method. When the first network receives the subscriber identification number, it generates a random number value 1 and a value obtained by encrypting the random number value 1 with the authentication key [K23] shared between the first network and the second network. Is a temporary authentication key [Kt]. The first network sends the random value 1 and the temporary authentication key [Kt] to the first network and the subscriber 30.
The authentication signal encrypted with the key [K13] shared with 0 is transmitted to the second network (step 503). In response to this, the second network generates a random value 2 and sends the random value 2 and the above authentication signal to the subscriber 300 (step 50).
4). Upon receipt of this, the subscriber 300 receives the authentication key [K13].
Is used to decrypt the encrypted signal to restore the temporary authentication key [Kt], and the temporary authentication key [Kt] is used to encrypt the received random number value 2 to generate an authentication response signal It is returned to the network (step 505). The second network transmits this authentication response signal to the random number value 2 by the temporary authentication key [Kt] which is obtained by encrypting the random number value 1 by using the authentication key [K23] shared by the first network and the second network. It is compared and collated with the encrypted value, and if they match, the subscriber 300 is authenticated as an authorized subscriber. Alternatively, this authentication response signal is compared and collated with the random number value 2 sent in step 504 and the value decrypted with the temporary key [Kt] obtained by encrypting the random number value 1 using the authentication key [K23]. Person 300 is authenticated as a legitimate subscriber.
【0043】この認証が完了したら、第2の網はこの加
入者の識別番号[ID]と仮の認証鍵[Kt]との関係
を記憶しておくことにより、ステップ506とステップ
507に示すように以降の加入者300との呼接続の際
に認証を行うことができる。
[第4の認証方法]図7は、本発明の第4の認証方法を
示すシーケンスチャートである。第4の認証方法は、第
1の認証方法に加えて加入者300が第2の網を認証し
たい場合の認証手順である。ここでは、ステップ605
で第2の認証方法に加えて加入者300で発生した乱数
値を送出し、第2の網からこの乱数を仮の認証鍵[K
t]で暗号化した認証応答信号を受信し、加入者300
で認証することを特徴とする。その他の工程は第1の認
証方法と同一である。When this authentication is completed, the second network stores the relationship between the subscriber's identification number [ID] and the temporary authentication key [Kt], as shown in steps 506 and 507. Further, it is possible to perform authentication at the time of subsequent call connection with the subscriber 300. [Fourth Authentication Method] FIG. 7 is a sequence chart showing a fourth authentication method of the present invention. The fourth authentication method is an authentication procedure when the subscriber 300 wants to authenticate the second network in addition to the first authentication method. Here, step 605
In addition to the second authentication method, the random number value generated by the subscriber 300 is transmitted, and the random number is sent from the second network to the temporary authentication key [K
The subscriber 300 receives the authentication response signal encrypted in [t].
It is characterized by authenticating with. The other steps are the same as those in the first authentication method.
【0044】[第5の認証方法]図8は、本発明の第5
の認証方法を示すシーケンスチャートである。第5の認
証方法は、第2の認証方法に加えて加入者300が第2
の網を認証したい場合の認証手順である。ここでは、ス
テップ705で第2の認証方法に加えて加入者300で
発生した乱数値を送出し、第2の網からこの乱数を仮の
認証鍵[Kt]で暗号化した認証応答信号を受信し加入
者300で認証することを特徴とする。その他の工程は
第2の認証方法と同一である。[Fifth Authentication Method] FIG. 8 shows the fifth authentication method of the present invention.
4 is a sequence chart showing the authentication method of FIG. In the fifth authentication method, in addition to the second authentication method, the subscriber 300
This is the authentication procedure when you want to authenticate the network. Here, in step 705, a random number value generated by the subscriber 300 is transmitted in addition to the second authentication method, and an authentication response signal obtained by encrypting this random number with the temporary authentication key [Kt] is received from the second network. The subscriber 300 is then authenticated. The other steps are the same as those in the second authentication method.
【0045】[第6の認証方法]図9は、本発明の第6
の認証方法を示すシーケンスチャートであり、第3の認
証方法に加えて加入者300が第2の網を認証したい場
合の認証手順である。ここではステップ805で第2の
認証方法に加えて加入者300で発生した乱数値を送出
し、第2の網からこの乱数を仮の認証鍵[Kt]で暗号
化した認証応答信号を受信し加入者300で認証するこ
とを特徴とする。その他の工程は第3の認証方法と同一
である。[Sixth Authentication Method] FIG. 9 shows the sixth authentication method of the present invention.
3 is a sequence chart showing the authentication method of No. 3, which is an authentication procedure when the subscriber 300 wants to authenticate the second network in addition to the third authentication method. Here, in step 805, in addition to the second authentication method, a random number value generated by the subscriber 300 is transmitted, and an authentication response signal obtained by encrypting this random number with the temporary authentication key [Kt] is received from the second network. It is characterized in that the subscriber 300 authenticates. The other steps are the same as in the third authentication method.
【0046】[第7の認証方法]図10は、本発明の第
7の認証方法を示すシーケンスチャートであり、第1の
認証方法に加えて第1の網が第2の網を認証したい場合
の認証手順であり第1の例に加えて第1の網と第2の網
で認証鍵[K23]を共有することが必要となる。ここ
では、ステップ903で第1の網で発生した乱数値を認
証信号として第2の網に送信し、ステップ904で第2
の網より返送された認証応答信号を、ステップ903で
送信した乱数値を第1の網と第2の網で共有する認証鍵
[K23]で暗号化した値と比較照合する事により、第
2の網を認証することを特徴とする。その他の工程は第
1の認証方法と同一である。[Seventh Authentication Method] FIG. 10 is a sequence chart showing a seventh authentication method of the present invention. In the case where the first network wants to authenticate the second network in addition to the first authentication method. In addition to the first example, it is necessary to share the authentication key [K23] between the first network and the second network. Here, the random number value generated in the first network is transmitted to the second network as an authentication signal in step 903, and the second random number is transmitted in step 904.
The authentication response signal returned from the second network is compared with the value obtained by encrypting the random number value transmitted in step 903 with the authentication key [K23] shared by the first network and the second network, thereby obtaining the second It is characterized by authenticating the web. The other steps are the same as those in the first authentication method.
【0047】[第8の認証方法]図11は、本発明の第
8の認証方法を示すシーケンスチャートであり、第2の
認証方法に加えて、第1の網が第2の網を認証したい場
合の認証手順である。ここではステップ1003で第1
の網で発生した乱数値を認証信号として第2の網に送信
し、ステップ1004で第2の網より返送された認証応
答信号を、ステップ1003で送信した乱数値を第1の
網と第2の網で共有する認証鍵[K23]で暗号化した
値と比較照合する事により、第2の網を認証することを
特徴とする。その他の工程は第2の認証方法と同一であ
る。[Eighth Authentication Method] FIG. 11 is a sequence chart showing an eighth authentication method of the present invention. In addition to the second authentication method, the first network wants to authenticate the second network. This is the authentication procedure for the case. Here, in step 1003, the first
The random number value generated in this network is transmitted to the second network as an authentication signal, the authentication response signal returned from the second network in step 1004, and the random number value transmitted in step 1003 to the first network and the second network. It is characterized in that the second network is authenticated by comparing and collating with the value encrypted by the authentication key [K23] shared by the network. The other steps are the same as those in the second authentication method.
【0048】[第9の認証方法]図12は、本発明の第
9の認証方法を示すシーケンスチャートであり、第3の
認証方法に加えて第1の網が第2の網を認証したい場合
の認証手順である。ここではステップ1103で第1の
網で発生した乱数値を認証信号として第2の網に送信
し、ステップ1104で第2の網より返送された認証応
答信号を、ステップ1103で送信した乱数値を第1の
網と第2の網で共有する認証鍵[K23]で暗号化した
値と比較照合する事により、第2の網を認証することを
特徴とする。その他の工程は第3の認証方法と同一であ
る。[Ninth Authentication Method] FIG. 12 is a sequence chart showing a ninth authentication method of the present invention. When the first network wants to authenticate the second network in addition to the third authentication method. Is the authentication procedure. Here, in step 1103, the random number value generated in the first network is transmitted to the second network as an authentication signal, and in step 1104, the authentication response signal returned from the second network is set to the random number value transmitted in step 1103. It is characterized in that the second network is authenticated by comparing and collating with the value encrypted with the authentication key [K23] shared by the first network and the second network. The other steps are the same as in the third authentication method.
【0049】[第10の認証方法]図13は、本発明の
第10の認証方法を示すシーケンスチャートである。第
10の認証方法は、第4の認証方法に加えて第1の網が
第2の網を認証したい場合の認証手順であり、第1の認
証方法に加えて第1の網と第2の網で認証鍵[K23]
を共有することが必要となる。ここではステップ120
3で第1の網で発生した乱数値を認証信号として第2の
網に送信し、ステップ1204で第2の網より返送され
た認証応答信号を、ステップ1203で送信した乱数値
を第1の網と第2の網で共有する認証鍵[K23]で暗
号化した値と比較照合する事により、第2の網を認証す
ることを特徴とする。その他の工程は第4の認証方法と
同一である。[Tenth Authentication Method] FIG. 13 is a sequence chart showing a tenth authentication method of the present invention. The tenth authentication method is an authentication procedure when the first network wants to authenticate the second network in addition to the fourth authentication method, and in addition to the first authentication method, the first network and the second network. Authentication key on network [K23]
Will need to be shared. Here, step 120
In step 3, the random number value generated in the first network is transmitted to the second network as an authentication signal, and in step 1204, the authentication response signal returned from the second network is transmitted. It is characterized in that the second network is authenticated by comparing and collating with the value encrypted by the authentication key [K23] shared by the network and the second network. The other steps are the same as in the fourth authentication method.
【0050】[第11の認証方法]図14は、本発明の
第11の認証方法を示すシーケンスチャートである。第
11の認証方法は、第5の認証方法に加えて第1の網が
第2の網を認証したい場合の認証手順である。ここで
は、ステップ1303で第1の網で発生した乱数値を認
証信号として第2の網に送信し、ステップ1304で、
第2の網より返送された認証応答信号を、ステップ13
03で送信した乱数値を第1の網と第2の網で共有する
認証鍵[K23]で暗号化した値と比較照合する事によ
り、第2の網を認証することを特徴とする。その他の工
程は第5の認証方法と同一である。[Eleventh Authentication Method] FIG. 14 is a sequence chart showing the eleventh authentication method of the present invention. The eleventh authentication method is an authentication procedure when the first network wants to authenticate the second network in addition to the fifth authentication method. Here, in step 1303, the random number value generated in the first network is transmitted to the second network as an authentication signal, and in step 1304,
The authentication response signal returned from the second network is sent to step 13
It is characterized in that the second network is authenticated by comparing and collating the random number value transmitted in 03 with the value encrypted with the authentication key [K23] shared by the first network and the second network. The other steps are the same as in the fifth authentication method.
【0051】[第12の認証方法]図15は、本発明の
第12の認証方法を示すシーケンスチャートである。第
12の認証方法は、第6の認証方法に加えて第1の網が
第2の網を認証したい場合の認証手順である。ここで
は、ステップ1403で第1の網で発生した乱数値を認
証信号として第2の網に送信し、ステップ1404で第
2の網より返送された認証応答信号を、ステップ140
3で送信した乱数値を第1の網と第2の網で共有する認
証鍵[K23]で暗号化した値と比較照合する事によ
り、第2の網を認証することを特徴とする。その他の工
程は第6の認証方法と同一である。[Twelfth Authentication Method] FIG. 15 is a sequence chart showing a twelfth authentication method of the present invention. The twelfth authentication method is an authentication procedure when the first network wants to authenticate the second network in addition to the sixth authentication method. Here, in step 1403, the random number value generated in the first network is transmitted to the second network as an authentication signal, and in step 1404, the authentication response signal returned from the second network is transmitted to step 140.
The second network is authenticated by comparing and collating the random number value transmitted in 3 with the value encrypted by the authentication key [K23] shared by the first network and the second network. The other steps are the same as in the sixth authentication method.
【0052】[0052]
【実施例】本発明の実施例を以下、図面と共に説明す
る。以下に示す認証システムの全体の構成は、図20と
同様の構成である。図16は、本発明の一実施例の第1
事業者の通信処理装置の構成を示す。同図に示す第1事
業者の通信処理装置100は、第2事業者に信号を送信
する送信部110、第2事業者から加入者識別番号(I
D)を受信する受信部115、仮の認証鍵[Kt]を乱
数を発生させることにより生成する仮の認証鍵生成部1
20、加入者間の暗号鍵である認証鍵(K13)を格納
する加入者間暗号鍵メモリ150及び、仮の認証鍵生成
部120で生成された仮の認証鍵[Kt]と加入者間暗
号鍵メモリ150から取得した認証鍵(K13)により
暗号化して、認証信号[K13(Kt)]を生成し、送
信部110に転送する暗号化部1300及び、第2事業
者から加入者識別番号(ID)または、第2事業者から
認証応答信号を受信した場合に、加入者を認証するか、
第2事業者を認証するかを判定する認証種別判定部14
0より構成される。Embodiments of the present invention will be described below with reference to the drawings. The overall configuration of the authentication system shown below is the same as that of FIG. FIG. 16 shows a first embodiment of the present invention.
The structure of the communication processing apparatus of a business operator is shown. The communication processing device 100 of the first operator shown in the figure is a transmitter 110 that transmits a signal to the second operator, and a subscriber identification number (I) from the second operator.
D) for receiving the temporary authentication key generation unit 1 for generating the temporary authentication key [Kt] by generating a random number.
20, an inter-subscriber encryption key memory 150 that stores an authentication key (K13) that is an encryption key between subscribers, a temporary authentication key [Kt] generated by the temporary authentication key generation unit 120, and an inter-subscriber encryption The encryption unit 1300 that encrypts with the authentication key (K13) acquired from the key memory 150 to generate the authentication signal [K13 (Kt)] and transfers the authentication signal [K13 (Kt)] to the transmitting unit 110, and the subscriber identification number (from the second operator) ( ID) or authenticate the subscriber when an authentication response signal is received from the second operator,
Authentication type determination unit 14 for determining whether to authenticate the second business operator
It consists of zero.
【0053】図17は、本発明の一実施例の第2事業者
の通信処理装置の構成を示す。同図に示す第2事業者の
通信処理装置200は、加入者に信号[K13(K
t)]を送信する加入者送信部210、第1事業者に加
入者300から取得したIDを送信する事業者送信部2
11、加入者から信号を受信する加入者受信部212
と、第1事業者から信号[K13(Kt)]を受信する
事業者受信部213、乱数を生成する乱数生成部22
0、第1事業者100から取得している仮の認証鍵[K
t]を格納する仮の認証鍵メモリ260と、加入者30
0から取得した認証応答信号[Kt(rnd)]を仮の
認証鍵メモリ260に格納されている仮の認証鍵[K
t]で復号して得た乱数値と、乱数生成部220で生成
された乱数値を比較して、一致するか否かを判定し、一
致すれば、当該加入者がローミングサービス可能な加入
者であると判定する認証部230、及び、加入者受信部
212から入力された認証応答信号[Kt(rnd)]
と、仮の認証鍵メモリ260に格納されている仮の認証
鍵[Kt]により復号を行う復号化部270から構成さ
れる。FIG. 17 shows the configuration of the communication processing device of the second operator in one embodiment of the present invention. The communication processing device 200 of the second operator shown in FIG.
t)] for transmitting the subscriber transmission unit 210, and the transmission unit 2 for transmitting the ID obtained from the subscriber 300 to the first carrier.
11. Subscriber receiver 212 for receiving signals from subscribers
And a carrier reception unit 213 that receives a signal [K13 (Kt)] from the first carrier, and a random number generation unit 22 that generates a random number.
0, the temporary authentication key [K obtained from the first business operator 100
t] for storing the temporary authentication key memory 260 and the subscriber 30.
The authentication response signal [Kt (rnd)] acquired from the temporary authentication key [Kt (rnd)] is stored in the temporary authentication key memory 260.
t], the random number value obtained by decoding is compared with the random number value generated by the random number generation unit 220, and it is determined whether or not there is a match. The authentication response signal [Kt (rnd)] input from the authentication unit 230 that determines that it is and the subscriber reception unit 212.
And a decryption unit 270 that decrypts the temporary authentication key [Kt] stored in the temporary authentication key memory 260.
【0054】図18は、本発明の一実施例の加入者の通
信処理装置の構成を示す。同図に示す加入者の通信処理
装置300は、第2事業者にサービス提供を要求するた
めに、IDを含む認証要求信号(位置登録信号)を送信
するための送信部310、IDを格納し、当該IDを送
信部310に転送するIDメモリ320、第2事業者2
00から取得した認証信号[K13(Kt)]を受信す
る受信部315、認証鍵(K13)を格納する認証鍵メ
モリ350、受信した認証信号を認証鍵メモリ350に
格納されている認証鍵(K13)を用いて復号する復号
化部330、復号化部330より復号された仮の認証鍵
[Kt]を格納する仮の認証鍵メモリ360と、認証応
答信号[Kt(rnd)]を生成して、送信部310に
転送する暗号化部340、受信部315で受信した信号
が、第2事業者から受信した乱数値と認証番号である
か、認証時における乱数値であるかを判定し、乱数値と
認証番号[K13(Kt)]である場合には、復号化部
330に制御を移し、乱数値(rnd)である場合に
は、暗号化部340に制御を移す認証種別判定部380
より構成される。FIG. 18 shows the configuration of a subscriber communication processing apparatus according to an embodiment of the present invention. The subscriber's communication processing device 300 shown in the figure stores a transmitting unit 310 for transmitting an authentication request signal (position registration signal) including an ID and an ID in order to request the service provision to the second operator. , The ID memory 320 that transfers the ID to the transmission unit 310, the second business operator 2
Receiving unit 315 that receives the authentication signal [K13 (Kt)] acquired from 00, the authentication key memory 350 that stores the authentication key (K13), and the authentication key (K13 that stores the received authentication signal in the authentication key memory 350. ) Is used to generate the authentication response signal [Kt (rnd)] and the temporary authentication key memory 360 that stores the temporary authentication key [Kt] decrypted by the decoding unit 330. , The signal received by the encryption unit 340 and the reception unit 315, which are transferred to the transmission unit 310, is the random number value and the authentication number received from the second operator, or the random number value at the time of authentication, and the random number is determined. If it is a numerical value and the authentication number [K13 (Kt)], the control is transferred to the decryption unit 330, and if it is a random number value (rnd), the control is transferred to the encryption unit 340.
It is composed of
【0055】以下に、具体的な動作を説明する。図19
は、本発明の一実施例の具体的な適用例として、位置登
録時に認証を行う場合を示す。ゾーンを以降したときに
は加入者300は位置登録を行うから、その時に本発明
の認証動作を行う。The specific operation will be described below. FIG. 19
Shows a case where authentication is performed at the time of location registration as a specific application example of the embodiment of the present invention. Since the subscriber 300 performs location registration after leaving the zone, the authentication operation of the present invention is performed at that time.
【0056】なお、これまでの記述では第1事業者は、
第1の通信網等として説明していたが、ここでは第1事
業者等として説明する。どちらでも本発明の要旨を変え
ることはないからである。加入者300と第1事業者1
00又は、第2事業者200の間の通信回線が無線の場
合は、第1事業者100又は、第2事業者200は、例
えば、移動体通信事業者であり、加入者300と第1事
業者100又は、第2事業者200の間の通信回線が有
線の場合は第1事業者100又は、第2事業者200
は、例えば、パーソナル通信事業者である。In the above description, the first business operator
Although it was explained as the first communication network etc., it will be explained here as the first operator etc. This is because neither of them changes the gist of the present invention. Subscriber 300 and first operator 1
00 or the communication line between the second operators 200 is wireless, the first operator 100 or the second operator 200 is, for example, a mobile communication operator, and the subscriber 300 and the first operator. When the communication line between the person 100 or the second operator 200 is wired, the first operator 100 or the second operator 200
Is a personal communication carrier, for example.
【0057】まず、加入者300は、移行先の通信網で
ある第2事業者に対して位置登録要求信号を送信する
(ステップ1501)。当然この信号には加入者300
の識別番号[ID]を含む。この信号を受信した第2事
業者200は、この[ID]を通信回線を経由して第1
事業者100に送信する(ステップ1502)。First, the subscriber 300 transmits a location registration request signal to the second operator, which is the destination communication network (step 1501). Of course, this signal has subscriber 300
Including the identification number [ID]. Upon receiving this signal, the second company 200 sends this [ID] to the first via the communication line.
It is transmitted to the business operator 100 (step 1502).
【0058】第1事業者100は、[ID]を検出し
て、加入者300が自分の契約加入者であることを確認
したら、仮の認証鍵[Kt]と仮の認証鍵[Kt]を加
入者との間で共有する認証鍵[K13]で暗号化した認
証信号[K13(Kt)]を第2事業者200に送出す
る(ステップ1503)。When the first operator 100 detects the [ID] and confirms that the subscriber 300 is his / her contract subscriber, he / she obtains the temporary authentication key [Kt] and the temporary authentication key [Kt]. The authentication signal [K13 (Kt)] encrypted with the authentication key [K13] shared with the subscriber is sent to the second business operator 200 (step 1503).
【0059】これを受けた第2事業者200は、認証用
の乱数値を発生させ、それと認証信号[K13(K
t)]をセットにして加入者300に送信する(ステッ
プ1504)。加入者300は、これを受けて、認証信
号を認証鍵[K13]で復号して鍵[Kt]を復元・記
憶したうえで、この鍵[Kt]で第2事業者から受信し
た乱数値を信号化した認証応答信号[Kt(rnd)]
かを第2事業者に送信する(ステプ1505)。Receiving this, the second business operator 200 generates a random number value for authentication and outputs it together with the authentication signal [K13 (K13
t)] is set and transmitted to the subscriber 300 (step 1504). In response to this, the subscriber 300 decrypts the authentication signal with the authentication key [K13] to restore / store the key [Kt], and then uses this key [Kt] to determine the random number value received from the second operator. Signalized authentication response signal [Kt (rnd)]
Is transmitted to the second operator (step 1505).
【0060】第2事業者200は、第1事業者100か
ら受信した仮の認証鍵[Kt]によって認証応答信号
[Kt(rnd)]を復号して得た乱数値と、ステップ
1504で送出した乱数値と比較照合し、一致すれば、
この加入者300がローミングサービス可能な加入者で
あると判断して、認証が完了したことを第1事業者に送
信した後(ステップ1506)、第1事業者100から
の位置登録完了信号を受信する(ステップ1507)。The second operator 200 decrypts the authentication response signal [Kt (rnd)] with the temporary authentication key [Kt] received from the first operator 100, and sends it in step 1504. Compare and collate with the random number, and if they match,
After determining that this subscriber 300 is a roaming service-capable subscriber and transmitting the fact that the authentication is completed to the first operator (step 1506), the location registration completion signal from the first operator 100 is received. (Step 1507).
【0061】これを受けた第2事業者は、この位置登録
完了信号を加入者300へ送信して、この加入者の[I
D]と鍵[Kt]を記憶するとともに呼接続処理を可能
とする。ステップ1509〜ステップ1512は、加入
者300から発呼要求があった場合の呼接続手順であ
る。まず加入者300は発呼信号を第2事業者に送信す
る(ステップ1509)。Upon receipt of this, the second business operator transmits this location registration completion signal to the subscriber 300, and the [I
D] and the key [Kt] are stored, and call connection processing is enabled. Steps 1509 to 1512 are call connection procedures when the subscriber 300 makes a call request. First, the subscriber 300 transmits a calling signal to the second carrier (step 1509).
【0062】第2事業者は、これを受けて呼設定受付信
号を加入者に返送する(ステップ1510)とともに乱
数値[rnd]を含む認証要求信号を送信する(ステッ
プ1511)。加入者300は,記憶済みの鍵[Kt]
を用いてこの乱数値を暗号化し、それを認証応答信号と
して返送する(ステップ1512)。In response to this, the second business operator returns the call setting acceptance signal to the subscriber (step 1510) and also transmits the authentication request signal including the random number value [rnd] (step 1511). Subscriber 300 has stored key [Kt]
This random number value is encrypted by using and is returned as an authentication response signal (step 1512).
【0063】第2事業者200は、ここで認証を行い、
完了したら回線接続処理に移る。この処理は従来の処理
と同様であって、本発明の特徴ではないから省略する。
位置登録の具体例として第1の実施例に適応した場合を
ここでは示したが、全ての実施例に示すことが可能であ
る。The second company 200 authenticates here,
When completed, move to line connection processing. This processing is the same as the conventional processing and is not a feature of the present invention, and therefore will be omitted.
Although a case where the first embodiment is applied as a specific example of the location registration is shown here, it can be shown in all the embodiments.
【0064】本発明は第1の網と第2の網を接続する通
信回線を持たない場合でも、事前に第2の網が第1の網
から第1の網に属する全ての[ID]と一時的な認証鍵
[Kt]と一時的な認証鍵[Kt]がその[ID]をも
つ加入者の認証鍵[K13]で暗号化された認証信号
[K13(Kt)]をオフラインで通知することによっ
ても達成される。ここで、オフラインとは、例えば郵便
などが考えられる。According to the present invention, even if the communication network for connecting the first network and the second network is not provided, the second network preliminarily stores all the [IDs] belonging to the first network from the first network. Offline notification of the temporary authentication key [Kt] and the authentication signal [K13 (Kt)] encrypted by the temporary authentication key [Kt] and the subscriber's authentication key [K13] having that [ID]. It can also be achieved. Here, the offline may be, for example, mail.
【0065】なお、本発明は、上記の実施例に限定され
ることなく、特許請求の範囲内で種々変更・応用が可能
である。The present invention is not limited to the above embodiment, but various modifications and applications are possible within the scope of the claims.
【0066】[0066]
【発明の効果】本発明によれば、ローミング先の事業者
が加入者を認証する際、第2事業者から第1事業者に平
文を送出するのではなく、第1事業者から第2事業者に
向けて平文を送出しているため、第2事業者の選択平文
攻撃を防ぎ、認証鍵の第2事業者に対する守秘性を確保
することができる。さらに加入者や第1事業者が第2事
業者を認証することも可能である。According to the present invention, when the roaming destination operator authenticates the subscriber, the first operator does not send the plain text to the first operator, but the first operator sends the second business. Since the plaintext is sent to the person in charge, it is possible to prevent the selected plaintext attack of the second operator and to secure the confidentiality of the authentication key to the second operator. Further, the subscriber or the first business operator can authenticate the second business operator.
【図1】本発明の原理を説明するための図である。FIG. 1 is a diagram for explaining the principle of the present invention.
【図2】本発明の原理構成図である。FIG. 2 is a principle configuration diagram of the present invention.
【図3】本発明の第1の認証方法を示すシーケンスチャ
ートである。FIG. 3 is a sequence chart showing a first authentication method of the present invention.
【図4】本発明の第1の認証方法における加入者の制御
手順を示すフローチャートである。FIG. 4 is a flowchart showing a subscriber control procedure in the first authentication method of the present invention.
【図5】本発明の第2の認証方法を示すシーケンスチャ
ートである。FIG. 5 is a sequence chart showing a second authentication method of the present invention.
【図6】本発明の第3の認証方法を示すシーケンスチャ
ートである。FIG. 6 is a sequence chart showing a third authentication method of the present invention.
【図7】本発明の第4の認証方法を示すシーケンスチャ
ートである。FIG. 7 is a sequence chart showing a fourth authentication method of the present invention.
【図8】本発明の第5の認証方法を示すシーケンスチャ
ートである。FIG. 8 is a sequence chart showing a fifth authentication method of the present invention.
【図9】本発明の第6の認証方法を示すシーケンスチャ
ートである。FIG. 9 is a sequence chart showing a sixth authentication method of the present invention.
【図10】本発明の第7の認証方法を示すシーケンスチ
ャートである。FIG. 10 is a sequence chart showing a seventh authentication method of the present invention.
【図11】本発明の第8の認証方法を示すシーケンスチ
ャートである。FIG. 11 is a sequence chart showing an eighth authentication method of the present invention.
【図12】本発明の第9の認証方法を示すシーケンスチ
ャートである。FIG. 12 is a sequence chart showing a ninth authentication method of the present invention.
【図13】本発明の第10の認証方法を示すシーケンス
チャートである。FIG. 13 is a sequence chart showing a tenth authentication method of the present invention.
【図14】本発明の第11の認証方法を示すシーケンス
チャートである。FIG. 14 is a sequence chart showing an eleventh authentication method of the present invention.
【図15】本発明の第12の認証方法を示すシーケンス
チャートである。FIG. 15 is a sequence chart showing a twelfth authentication method of the present invention.
【図16】本発明の一実施例の第1事業者の通信処理装
置の構成図である。FIG. 16 is a configuration diagram of a communication processing device of a first business operator in one embodiment of the present invention.
【図17】本発明の一実施例の第2事業者の通信処理装
置の構成図である。FIG. 17 is a configuration diagram of a communication processing device of a second business operator according to an embodiment of the present invention.
【図18】本発明の一実施例の加入者(加入者)の通信
処理装置の構成図である。FIG. 18 is a configuration diagram of a subscriber (subscriber) communication processing device according to an embodiment of the present invention.
【図19】本発明の一実施例の認証動作を説明するため
のシーケンスチャートである。FIG. 19 is a sequence chart for explaining the authentication operation of the embodiment of the present invention.
【図20】通信システムの構成図である。FIG. 20 is a configuration diagram of a communication system.
【図21】従来の認証システムの動作を示す図である。FIG. 21 is a diagram showing an operation of a conventional authentication system.
100 第1の通信網、第1事業者 110 第1の送受信手段、送信部 115 受信部 120 仮の認証鍵生成手段、仮の認証鍵生成部 1300 認証信号生成手段、暗号化部 140 比較部 150 加入者間暗号鍵メモリ、第1の認証鍵保持手段 200 第2の通信網、第2事業者 210 第2の送受信手段、加入者送信部 211 事業者送信部 212 加入者受信部 213 事業者受信部 220 乱数生成手段、乱数生成部 2300 認証手段、比較部 260 仮の認証鍵メモリ 270 復号化部 3000 加入者端末、第1事業者契約加入者 310 第3の送受信手段、送信部 315 受信部 320 加入者識別番号保持手段、IDメモリ 330 復号化手段、復号化部 340 認証応答信号生成手段、暗号化部 350 認証鍵メモリ 360 仮の認証鍵メモリ、第1の認証鍵保持手段 380 認証種別判定部 100 First communication network, first operator 110 First transmitting / receiving means, transmitting unit 115 Receiver 120 Temporary authentication key generation means, temporary authentication key generation unit 1300 Authentication signal generation means, encryption unit 140 Comparison section 150 encryption key memory between subscribers, first authentication key holding means 200 Second communication network, second operator 210 Second Transmission / Reception Means, Subscriber Transmission Unit 211 Business Transmitter 212 Subscriber receiver 213 Business Receiver 220 random number generation means, random number generation unit 2300 Authentication means, comparison section 260 temporary authentication key memory 270 Decoding unit 3000 subscriber terminal, first business contract subscriber 310 Third Transmission / Reception Means, Transmission Unit 315 Receiver 320 subscriber identification number holding means, ID memory 330 Decoding means, decoding section 340 Authentication response signal generation means, encryption unit 350 Authentication key memory 360 temporary authentication key memory, first authentication key holding means 380 Authentication type determination unit
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI H04L 9/08 H04L 9/00 601B 9/32 601E 675A 675D (72)発明者 中西 孝夫 東京都新宿区西新宿三丁目19番2号 日 本電信電話株式会社内 (56)参考文献 特開 平4−352525(JP,A) 特開 平7−59154(JP,A) 特開 平5−250326(JP,A) (58)調査した分野(Int.Cl.7,DB名) H04B 7/24 - 7/26 102 H04Q 7/00 - 7/38 ─────────────────────────────────────────────────── ─── Continuation of front page (51) Int.Cl. 7 Identification code FI H04L 9/08 H04L 9/00 601B 9/32 601E 675A 675D (72) Inventor Takao Nakanishi 3-19-3 Nishishinjuku, Shinjuku-ku, Tokyo No. 2 Nihon Telegraph and Telephone Corporation (56) Reference JP-A-4-352525 (JP, A) JP-A-7-59154 (JP, A) JP-A-5-250326 (JP, A) (58) Fields investigated (Int.Cl. 7 , DB name) H04B 7/ 24-7/26 102 H04Q 7/ 00-7/38
Claims (8)
認した後に、該加入者の加入者端末との通信を開始する
第1の通信網と、該第1の通信網と通信回線で接続され
る第2の通信網とを含み、該加入者端末と該第1の通信
網は、該加入者を認証するための第1の認証鍵を共有
し、さらに、該第1の通信網と該第2の通信網は、第2
の認証鍵を共有し、且つ、該加入者端末が該第2の通信
網とも接続資格を有する場合に、該第2の通信網が該加
入者の認証を行うための認証方法において、 前記加入者端末は、前記第2の通信網に対して該加入者
に一意に付与されている加入者識別番号を送信し、 前記第2の通信網は、前記加入者識別番号を前記第1の
通信網に送信し、 前記第1の通信網は、生成した仮の認証鍵を前記第1の
認証鍵で暗号化した信号である第1の認証信号と、該仮
の認証鍵を前記第2の認証鍵で暗号化し、暗号化された
信号である第2の認証信号を、前記第2の通信網に送信
し、 前記第2の通信網は、前記第1の認証信号と生成した乱
数を前記加入者端末に送信し、 前記加入者端末は、予め具備している前記第1の認証鍵
を用いて前記第1の認証信号を復号して前記仮の認証鍵
を復元し、該仮の認証鍵で受信した乱数を暗号化した信
号である認証応答信号を前記第2の通信網に送信し、 前記第2の通信網は、前記認証応答信号により前記加入
者の認証を行うことを特徴とする認証方法。 1. A first communication network, which starts communication with a subscriber terminal of the subscriber after confirming that the subscriber is a legitimate subscriber by authentication, and is connected to the first communication network through a communication line. And a second communication network provided by the subscriber terminal , the subscriber terminal and the first communication network share a first authentication key for authenticating the subscriber, and further, The second communication network is the second
In the authentication method, the second communication network authenticates the subscriber when the subscriber terminal has a connection qualification with the second communication network. The subscriber terminal transmits a subscriber identification number uniquely assigned to the subscriber to the second communication network, and the second communication network transmits the subscriber identification number to the first communication. The first communication network transmits the generated temporary authentication key to the network, the first authentication signal being a signal obtained by encrypting the generated temporary authentication key with the first authentication key, and the temporary authentication key to the second authentication signal. The second authentication network, which is encrypted with an authentication key and is an encrypted signal, is transmitted to the second communication network, and the second communication network includes the first authentication signal and the generated random number. transmitted to the subscriber terminal, the subscriber terminal, the first authentication signal by using the first authentication key which is previously provided And transmitting the authentication response signal, which is a signal obtained by encrypting the random number received with the temporary authentication key, to the second communication network, wherein the second communication network is An authentication method, characterized in that the subscriber is authenticated by the authentication response signal .
認した後に、該加入者の加入者端末との通信を開始する
第1の通信網と、該第1の通信網と通信回線で接続され
る第2の通信網とを含み、該加入者端末と該第1の通信
網は、該加入者を認証するための第1の認証鍵を共有
し、さらに、該第1の通信網と該第2の通信網は、第2
の認証鍵を共有し、且つ、該加入者端末が該第2の通信
網とも接続資格を有する場合に、該第2の通信網が該加
入者の認証を行うための認証方法において、 前記加入者端末は、前記第2の通信網に対して、該加入
者の加入者識別番号を送信し、 前記第2の通信網は、受信した前記加入者識別番号を前
記第1の通信網に送信すると共に、該第1の通信網で生
成された乱数を前記第2の認証鍵で暗号化した値である
仮の認証鍵を、前記第1の認証鍵で暗号化した信号であ
る認証信号と該第1の乱数を受信し、 前記第1の乱数を該第2の認証鍵で暗号化して、前記第
2の通信網でも仮の認証鍵を生成すると共に、前記認証
信号と前記第2の通信網で生成された第2の乱数を前記
加入者端末に送信し、 前記加入者端末は、予め具備している前記第1の認証鍵
を用いて、前記第1の認証信号を復号し、前記仮の認証
鍵を復元し、 前記仮の認証鍵で前記第2の乱数を暗号化した信号であ
る認証応答信号を前記第2の通信網に送信し、 前記第2の通信網は、前記認証応答信号により前記加入
者の認証を行うことを特徴とする認証方法。 After confirming the authentication that is wherein legitimate subscriber, connected via a communication line and a first communication network to initiate communication with a subscriber terminal of the subscriber, with the first communication network And a second communication network provided by the subscriber terminal , the subscriber terminal and the first communication network share a first authentication key for authenticating the subscriber, and further, The second communication network is the second
In the authentication method, the second communication network authenticates the subscriber when the subscriber terminal has a connection qualification with the second communication network. The personal terminal transmits the subscriber identification number of the subscriber to the second communication network, and the second communication network transmits the received subscriber identification number to the first communication network. In addition, a temporary authentication key, which is a value obtained by encrypting the random number generated by the first communication network with the second authentication key, and an authentication signal, which is a signal encrypted with the first authentication key, The first random number is received, the first random number is encrypted with the second authentication key, and a temporary authentication key is also generated in the second communication network, and the authentication signal and the second random number are generated. A second random number generated by a communication network is transmitted to the subscriber terminal , and the subscriber terminal is provided with the first random number. Of the authentication key, the first authentication signal is decrypted, the temporary authentication key is restored, and the authentication response signal, which is a signal obtained by encrypting the second random number with the temporary authentication key, is transmitted to the first authentication signal. 2 is transmitted to the communication network, and the second communication network authenticates the subscriber by the authentication response signal .
認した後に、該加入者の加入者端末との通信を開始する
第1の通信網と、該第1の通信網と通信回線で接続され
る第2の通信網とを含み、該加入者端末と該第1の通信
網は、該加入者を認証するための第1の認証鍵を共有
し、さらに、該第1の通信網と該第2の通信網は、第2
の認証鍵を共有し、且つ、該加入者端末が該第2の通信
網とも接続資格を有する場合に、該第2の通信網が該加
入者の認証を行うための認証方法において、 前記加入者端末は、前記第2の通信網に対して該加入者
の加入者識別番号を送信し、 前記第2の通信網は、受信した加入者識別番号を前記第
1の通信網に送信した後、該第1の通信網で生成された
仮の認証鍵を第1の認証鍵で暗号化した信号である第1
の認証信号と、該仮の認証鍵を前記第2の認証鍵で暗号
化した信号である第2の認証信号を該第1の通信網より
受信し、該第1の認証信号と該第2の通信網で生成され
た第1の乱数を前記加入者端末に送信し、 前記加入者端末は、予め具備している前記第1の認証鍵
を用いて、前記第1の認証信号を復号して、前記仮の認
証鍵を復元した上で、該仮の認証鍵で前記第1の乱数を
暗号化した信号である認証応答信号と該加入者端末によ
り生成された第2の乱数を前記第2の通信網に送信し、 前記第2の通信網は、前記認証応答信号により、前記加
入者の認証を行うと共に、前記第2の乱数を前記仮の認
証鍵で暗号化した信号を認証応答信号として、該加入者
端末に返送し、 前記加入者端末は、前記認証応答信号に基づいて前記第
2の通信網の認証を行うことを特徴とする認証方法。 That wherein is an authorized subscriber after confirming the authentication, connected via a communication line and a first communication network to initiate communication with a subscriber terminal of the subscriber, with the first communication network And a second communication network provided by the subscriber terminal , the subscriber terminal and the first communication network share a first authentication key for authenticating the subscriber, and further, The second communication network is the second
Share authentication key, one 且, if the subscriber terminal has a connection credentials with the second communication network, the authentication method for the second communication network to authenticate the subscriber, the The subscriber terminal transmits the subscriber identification number of the subscriber to the second communication network, and the second communication network transmits the received subscriber identification number to the first communication network. After that, the temporary authentication key generated in the first communication network is a signal obtained by encrypting the temporary authentication key with the first authentication key.
Authentication signal and a second authentication signal, which is a signal obtained by encrypting the temporary authentication key with the second authentication key , are received from the first communication network, and the first authentication signal and the second authentication signal are received. Transmits a first random number generated in the communication network of the subscriber terminal to the subscriber terminal , and the subscriber terminal decrypts the first authentication signal using the first authentication key provided in advance. Then, the temporary authentication key is restored, and then the authentication response signal, which is a signal obtained by encrypting the first random number with the temporary authentication key, and the first generated by the subscriber terminal . 2 is transmitted to the second communication network, and the second communication network authenticates the subscriber by the authentication response signal and encrypts the second random number with the temporary authentication key. The subscriber using the converted signal as an authentication response signal.
Authentication method returns to the terminal, the subscriber terminal, characterized in that to authenticate the second communication network on the basis of the authentication response signal.
認した後に、該加入者の加入者端末との通信を開始する
第1の通信網と、該第1の通信網と通信回線で接続され
る第2の通信網とを含み、該加入者端末と該第1の通信
網は、該加入者を認証するための第1の認証鍵を共有
し、さらに、該第1の通信網と該第2の通信網は、第2
の認証鍵を共有し、且つ、該加入者端末が該第2の通信
網とも接続資格を有する場合に、該第2の通信網が該加
入者の認証を行うための認証方法において、 前記加入者端末は、前記第2の通信網に対して該加入者
の加入者識別番号を送信し、 前記第2の通信網は、受信した前記加入者識別番号を前
記第1の通信網に送信すると共に、前記第1の通信網で
生成された第1の乱数を前記第2の認証鍵で暗号化した
値である仮の認証鍵を前記第1の認証鍵で暗号化した信
号である認証信号と、前記第1の乱数を受信すると、該
第1の乱数を該第2の認証鍵で暗号化し、仮の認証鍵を
生成し、該認証信号と生成した第2の乱数を前記加入者
端末に送信し、 前記加入者端末は、予め具備している前記第1の認証鍵
を用いて、前記認証信号を復号し、前記仮の認証鍵を復
元した上で、該仮の認証鍵で前記第2の乱数を暗号化し
た信号である認証応答信号と該加入者端末で生成された
第3の乱数を前記第2の通信網に送信し、 前記第2の通信網は、前記認証応答信号により前記加入
者の認証を行うと共に、前記第3の乱数を前記仮の認証
鍵で暗号化した信号を認証応答信号として前記加入者端
末に返送し、 前記加入者端末は、前記認証応答信号に基づいて前記第
2の通信網の認証を行うことを特徴とする認証方法。 That 4. is an authorized subscriber after confirming the authentication, connected via a communication line and a first communication network to initiate communication with a subscriber terminal of the subscriber, with the first communication network And a second communication network provided by the subscriber terminal , the subscriber terminal and the first communication network share a first authentication key for authenticating the subscriber, and further, The second communication network is the second
Share authentication key, one 且, if the subscriber terminal has a connection credentials with the second communication network, the authentication method for the second communication network to authenticate the subscriber, the The subscriber terminal transmits the subscriber identification number of the subscriber to the second communication network, and the second communication network transmits the received subscriber identification number to the first communication network. At the same time, the authentication is a signal obtained by encrypting the temporary authentication key, which is a value obtained by encrypting the first random number generated by the first communication network with the second authentication key, with the first authentication key. When the signal and the first random number are received, the first random number is encrypted with the second authentication key, a temporary authentication key is generated, and the authentication signal and the generated second random number are used by the subscriber.
To the terminal , the subscriber terminal decrypts the authentication signal using the first authentication key provided in advance, restores the temporary authentication key, and then uses the temporary authentication key. An authentication response signal, which is a signal obtained by encrypting the second random number, and a third random number generated by the subscriber terminal are transmitted to the second communication network, and the second communication network transmits the authentication response. performs authentication of the subscriber by the signal, the subscriber terminal a signal which the third random number is encrypted with the authentication key of the temporary as an authentication response signal
The authentication method , wherein the subscriber terminal authenticates the second communication network based on the authentication response signal .
認した後に、該加入者の加入者端末との通信を開始する
第1の通信網と、該第1の通信網と通信回線で接続され
る第2の通信網とを含み、該加入者端末と該第1の通信
網は、該加入者を認証するための第1の認証鍵を共有
し、さらに、該第1の通信網と該第2の通信網は、第2
の認証鍵を共有し、且つ、該加入者端末が該第2の通信
網とも接続資格を有する場合に、該第2の通信網が該加
入者の認証を行うための認証方法において、 前記加入者端末は、前記第2の通信網に対して該加入者
の加入者識別番号を送信し、 前記第2の通信網は、受信した前記加入者識別番号を前
記第1の通信網に送信し、該第1の通信網で生成された
第1の乱数を受信し、受信した該第1の乱数を該第1の
通信網と、該第2の通信網で共有する前記第2の認証鍵
により暗号化した認証応答信号を前記第1の通信網に返
送し、 前記第1の通信網において、前記第2の通信網を認証
し、生成した仮の認証鍵を前記第1の認証鍵で暗号化し
た信号である第1の認証信号と、該仮の認証鍵で暗号化
した信号である第2の認証信号を前記第2の通信網に送
信し、 前記第2の通信網は、前記第1の認証信号と、前記第2
の通信網で生成された前記第1の乱数を前記加入者端末
に送信し、 前記加入者端末は、予め具備している前記第1の認証鍵
を用いて前記第1の認証信号を復号して、前記仮の認証
鍵を復元し、該仮の認証鍵で前記第2の乱数を暗号化し
た信号である応答信号を前記第2の通信網に送信し、 前記第2の通信網は、前記認証応答信号により前記加入
者の認証を行うことを特徴とする認証方法。 That wherein is an authorized subscriber after confirming the authentication, connected via a communication line and a first communication network to initiate communication with a subscriber terminal of the subscriber, with the first communication network And a second communication network provided by the subscriber terminal , the subscriber terminal and the first communication network share a first authentication key for authenticating the subscriber, and further, The second communication network is the second
Share authentication key, one 且, if the subscriber terminal has a connection credentials with the second communication network, the authentication method for the second communication network to authenticate the subscriber, the The subscriber terminal transmits the subscriber identification number of the subscriber to the second communication network, and the second communication network transmits the received subscriber identification number to the first communication network. And receiving the first random number generated by the first communication network, and sharing the received first random number with the first communication network and the second communication network. An authentication response signal encrypted by a key is returned to the first communication network, the second communication network is authenticated in the first communication network, and the generated temporary authentication key is the first authentication key. The first authentication signal, which is a signal encrypted by the above method, and the second authentication signal, which is a signal encrypted by the temporary authentication key, are used for the second communication. Transmitted to, the second communication network, the first authentication signal and, the second
Transmitting the first random number generated by the communication network of the subscriber terminal to the subscriber terminal , and the subscriber terminal using the first authentication key provided in advance. The signal is decrypted to restore the temporary authentication key, and a response signal, which is a signal obtained by encrypting the second random number with the temporary authentication key, is transmitted to the second communication network, An authentication method , wherein the communication network authenticates the subscriber based on the authentication response signal .
認した後に、該加入者の加入者端末との通信を開始する
第1の通信網と、該第1の通信網と通信回線で接続され
る第2の通信網とを含み、該加入者端末と該第1の通信
網は、該加入者を認証するための第1の認証鍵を共有
し、さらに、該第1の通信網と該第2の通信網は、第2
の認証鍵を共有し、且つ、該加入者端末が該第2の通信
網とも接続資格を有する場合に、該第2の通信網が該加
入者の認証を行うための認証方法において、 前記加入者端末は、前記第2の通信網に対して、該加入
者の加入者識別番号を送信し、 前記第2の通信網は、前記加入者識別番号を前記第1の
通信網に送信し、 前記第1の通信網は、生成した第1の乱数を前記第2の
通信網に送信し、 前記第2の通信網は、前記第1の通信網で生成された前
記第1の乱数を受信し、該第1の乱数を前記第1の通信
網と該第2の通信網において共有する前記第2の認証鍵
によって、暗号化した認証応答信号を前記第1の通信網
に返送し、 前記第1の通信網は、前記第2の通信網を認証し、生成
した第2の乱数を前記第2の認証鍵で暗号化した値であ
る仮の認証鍵を前記第1の認証鍵で暗号化した信号であ
る認証信号と該第2の乱数を該第2の通信網に送信し、 前記第2の通信網は、前記第2の乱数を前記第2の認証
鍵で暗号化し、該第2の通信網でも仮の認証鍵を生成す
ると共に、前記認証信号と、生成した第3の乱数を前記
加入者端末に送信し、 前記加入者端末は、予め具備している前記第1の認証鍵
を用いて、前記認証信号を復号して、前記仮の認証鍵を
復元し、該仮の認証鍵で前記第3の乱数を暗号化した信
号である認証応答信号を前記第2の通信網に送信し、 前記第2の通信網は、前記認証応答信号により前記加入
者の認証を行うことを特徴とする認証方法。 That 6. is an authorized subscriber after confirming the authentication, connected via a communication line and a first communication network to initiate communication with a subscriber terminal of the subscriber, with the first communication network And a second communication network provided by the subscriber terminal , the subscriber terminal and the first communication network share a first authentication key for authenticating the subscriber, and further, The second communication network is the second
Share authentication key, one 且, if the subscriber terminal has a connection credentials with the second communication network, the authentication method for the second communication network to authenticate the subscriber, the The subscriber terminal transmits the subscriber identification number of the subscriber to the second communication network, and the second communication network transmits the subscriber identification number to the first communication network. The first communication network transmits the generated first random number to the second communication network, and the second communication network transmits the first random number generated by the first communication network. Receiving the first random number and returning the encrypted authentication response signal to the first communication network by the second authentication key that is shared between the first communication network and the second communication network; The first communication network is a value obtained by authenticating the second communication network and encrypting the generated second random number with the second authentication key. And transmitting the authentication signal, which is a signal obtained by encrypting the authentication key of the above with the first authentication key, and the second random number to the second communication network, and the second communication network transmits the second random number. the second encrypted authentication key, with also generates an authentication key of the temporary in the second communication network, sends the authentication signal, the generated third random number to the subscriber terminal, the subscriber terminal Is a signal obtained by decrypting the authentication signal by using the first authentication key that is included in advance, restoring the temporary authentication key, and encrypting the third random number by the temporary authentication key. Is transmitted to the second communication network, and the second communication network authenticates the subscriber by the authentication response signal .
認した後に、該加入者の加入者端末との通信を開始する
第1の通信網と、該第1の通信網と通信回線で接続され
る第2の通信網とを含み、該加入者端末と該第1の通信
網は、該加入者を認証するための第1の認証鍵を共有
し、さらに、該第1の通信網と該第2の通信網は、第2
の認証鍵を共有し、且つ、該加入者端末が該第2の通信
網とも接続資格を有する場合に、該第2の通信網が該加
入者の認証を行うための認証方法において、 前記加入者端末は、前記第2の通信網に対して加入者の
加入者識別番号を送信し、 前記第2の通信網は、前記加入者識別番号を前記第1の
通信網に送信し、 前記第1の通信網は、第1の乱数を生成して、前記第2
の通信網に送信し、 前記第2の通信網は、前記第1の乱数と前記第2の通信
網で共有する前記第2の認証鍵によって暗号化した認証
応答信号を返送し、 前記第1の通信網は、前記第2の通信網を認証し、該第
1の通信網により該第1の通信網で生成した仮の認証鍵
を前記第1の認証鍵で暗号化した信号である第1の認証
信号と仮の認証鍵を前記第2の認証鍵で暗号化した信号
である第2の認証信号を前記第2の通信網に送信し、 前記第2の通信網は、前記第2の認証信号を前記第1の
認証信号と、前記第1の乱数を前記加入者端末に送信
し、 前記加入者端末は、予め具備している前記第1の認証鍵
を用いて前記第1の認証信号を復号して前記仮の認証鍵
を復元し、前記仮の認証鍵で前記第2の乱数を暗号化し
た信号である認証応答信号と加入者端末で生成された第
2の乱数を前記第2の通信網に送信し、 前記第2の通信網は、前記認証応答信号により前記加入
者の認証を行うと共に、前記第3の乱数を前記仮の認証
鍵で暗号化した信号を認証応答信号として前記加入者端
末に返送し、 前記加入者端末は、前記認証応答信号に基づいて第2の
通信網の認証を行うことを特徴とする認証方法。 That 7. is an authorized subscriber after confirming the authentication, connected via a communication line and a first communication network to initiate communication with a subscriber terminal of the subscriber, with the first communication network And a second communication network provided by the subscriber terminal , the subscriber terminal and the first communication network share a first authentication key for authenticating the subscriber, and further, The second communication network is the second
Share authentication key, one 且, if the subscriber terminal has a connection credentials with the second communication network, the authentication method for the second communication network to authenticate the subscriber, the The subscriber terminal transmits a subscriber identification number of the subscriber to the second communication network, the second communication network transmits the subscriber identification number to the first communication network, The first communication network generates a first random number to generate the second random number.
The second communication network sends back an authentication response signal encrypted by the first random number and the second authentication key shared by the second communication network, Is a signal obtained by authenticating the second communication network and encrypting the temporary authentication key generated by the first communication network in the first communication network with the first authentication key. A second authentication signal, which is a signal obtained by encrypting a first authentication signal and a temporary authentication key with the second authentication key, and transmits the second authentication signal to the second communication network; Of the first authentication signal and the first random number to the subscriber terminal , the subscriber terminal using the first authentication key that is provided in advance, The authentication signal is decrypted to restore the temporary authentication key, and the temporary authentication key is added to the authentication response signal which is a signal obtained by encrypting the second random number. The second random number generated by the subscriber terminal is transmitted to the second communication network, and the second communication network authenticates the subscriber by the authentication response signal and sends the third random number. The subscriber terminal uses the signal encrypted with the temporary authentication key as an authentication response signal.
The authentication method , wherein the subscriber terminal authenticates the second communication network based on the authentication response signal .
認した後に、該加入者の加入者端末との通信を開始する
第1の通信網と、該第1の通信網と通信回線で接続され
る第2の通信網とを含み、該加入者端末と該第1の通信
網は、該加入者を認証するための第1の認証鍵を共有
し、さらに、該第1の通信網と該第2の通信網は、第2
の認証鍵を共有し、且つ、該加入者端末が該第2の通信
網とも接続資格を有する場合に、該第2の通信網が該加
入者の認証を行うための認証方法において、 前記加入者端末は、前記第2の通信網に対して、該加入
者の加入者識別番号を送信し、 前記第2の通信網は、前記加入者識別番号を前記第1の
通信網に送信し、 前記第1の通信網は、第1の乱数を生成して前記第2の
通信網に送信し、 前記第1の通信網は、前記第1の乱数を受信し、該第1
の乱数を前記第1の通信網と、該第2の通信網で共有す
る前記第2の認証鍵によって暗号化した認証応答信号を
前記第1の通信網に返送し、 前記第1の通信網において、前記第2の通信網を認証
し、 前記第1の通信網で生成された第2の乱数を前記第2の
認証鍵で暗号化した値である仮の認証鍵を前記第1の認
証鍵で暗号化した信号である前記第2の乱数を前記第2
の通信網に送信し、 前記第2の通信網は、前記第2の乱数を前記第2の認証
鍵で暗号化し、仮の認証鍵を生成し、前記認証信号と、
生成した第3の乱数を前記加入者端末に送信し、 前記加入者端末は、予め具備している前記第1の認証鍵
を用いて前記認証信号を復号して前記仮の認証鍵を復元
し、前記仮の認証鍵を前記第3の乱数を暗号化した信号
である認証応答信号と該加入者端末で生成された第4の
乱数を前記第2の通信網に送信し、 前記第2の通信網は、前記認証応答信号により前記加入
者の認証を行うと共に、前記第4の乱数を前記仮の認証
鍵で暗号化した信号を認証応答信号として前記加入者端
末に返送し、 前記加入者端末は、前記認証応答信号に基づいて前記第
2の通信網の認証を行うことを特徴とする認証方法。 That 8. is an authorized subscriber after confirming the authentication, connected via a communication line and a first communication network to initiate communication with a subscriber terminal of the subscriber, with the first communication network And a second communication network provided by the subscriber terminal , the subscriber terminal and the first communication network share a first authentication key for authenticating the subscriber, and further, The second communication network is the second
Share authentication key, one 且, if the subscriber terminal has a connection credentials with the second communication network, the authentication method for the second communication network to authenticate the subscriber, the The subscriber terminal transmits the subscriber identification number of the subscriber to the second communication network, and the second communication network transmits the subscriber identification number to the first communication network. The first communication network generates a first random number and transmits the first random number to the second communication network, the first communication network receives the first random number, and
An authentication response signal encrypted by the second authentication key shared by the first communication network and the second communication network, is returned to the first communication network, and the first communication network In the first authentication, the second authentication network is authenticated, and the temporary authentication key, which is a value obtained by encrypting the second random number generated in the first communication network with the second authentication key, is used in the first authentication. The second random number, which is a signal encrypted with a key, is transferred to the second
The second communication network encrypts the second random number with the second authentication key, generates a temporary authentication key, and transmits the authentication signal,
The generated third random number is transmitted to the subscriber terminal , and the subscriber terminal decrypts the authentication signal using the first authentication key that is included in advance to restore the temporary authentication key. , transmits a fourth random number generated authentication key of the temporary in the third authentication response signal and said subscriber terminal a random number is encrypted signal to said second communication network, the second communication network, the authentication performs authentication of the subscriber by the response signal, the subscriber terminal a signal which the fourth random number is encrypted with the authentication key of the temporary as an authentication response signal
The authentication method , wherein the subscriber terminal authenticates the second communication network based on the authentication response signal .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP14769996A JP3421977B2 (en) | 1996-06-10 | 1996-06-10 | Authentication method and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP14769996A JP3421977B2 (en) | 1996-06-10 | 1996-06-10 | Authentication method and system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH09331578A JPH09331578A (en) | 1997-12-22 |
| JP3421977B2 true JP3421977B2 (en) | 2003-06-30 |
Family
ID=15436264
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP14769996A Expired - Fee Related JP3421977B2 (en) | 1996-06-10 | 1996-06-10 | Authentication method and system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3421977B2 (en) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4765377B2 (en) * | 2005-04-07 | 2011-09-07 | ソニー株式会社 | Content providing server and mobile phone |
| JP4854338B2 (en) * | 2006-03-07 | 2012-01-18 | ソフトバンクBb株式会社 | Authentication system and authentication method in mobile communication |
| JP4491007B2 (en) * | 2007-10-11 | 2010-06-30 | 日本電信電話株式会社 | Roaming system, roaming method, and terminal identification method |
| JP5108634B2 (en) * | 2008-05-30 | 2012-12-26 | パナソニック株式会社 | Key exchange method |
-
1996
- 1996-06-10 JP JP14769996A patent/JP3421977B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH09331578A (en) | 1997-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3105361B2 (en) | Authentication method in mobile communication system | |
| US5689563A (en) | Method and apparatus for efficient real-time authentication and encryption in a communication system | |
| CN107800539B (en) | Authentication method, authentication device and authentication system | |
| US7734280B2 (en) | Method and apparatus for authentication of mobile devices | |
| KR101438243B1 (en) | Sim based authentication | |
| EP1982547B1 (en) | Method and system for recursive authentication in a mobile network | |
| JP2001524777A (en) | Data connection security | |
| JPH08340331A (en) | Method and apparatus for certificating access of user terminal to network | |
| US20060056634A1 (en) | Apparatus, system and method for setting security information on wireless network | |
| EP2856789B1 (en) | Method for tracking a mobile device onto a remote displaying unit via a mobile switching center and a head-end | |
| CN112566119A (en) | Terminal authentication method and device, computer equipment and storage medium | |
| CN101247295A (en) | Method and device for acquiring access controller information in wireless local area network | |
| JP2001505749A (en) | Authentication between communicating parties in a telecommunications network | |
| EP1811719A1 (en) | Internetwork key sharing | |
| JP3421977B2 (en) | Authentication method and system | |
| JPH0759154A (en) | Inter-network authentication key generating method | |
| CN111800791B (en) | Authentication method, core network equipment and terminal | |
| JP3246969B2 (en) | Authentication method | |
| JPH04352525A (en) | Mobile communication authentification system | |
| JPH0897811A (en) | Data service system | |
| CN110234110B (en) | Automatic switching method for mobile network | |
| CN115987583B (en) | Binding control method for base of intelligent device, base, intelligent device and storage medium | |
| JPH05183507A (en) | Mobile communication verification method | |
| CN113316141B (en) | Wireless network access method, sharing server and wireless access point | |
| JP3054282B2 (en) | Authentication method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090425 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090425 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100425 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100425 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110425 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110425 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120425 Year of fee payment: 9 |
|
| LAPS | Cancellation because of no payment of annual fees |