JP4195450B2 - 複数国運用事業者ネットワークをローミングするパケット無線ネットワークユーザのためのシングルサインオン方法 - Google Patents

複数国運用事業者ネットワークをローミングするパケット無線ネットワークユーザのためのシングルサインオン方法 Download PDF

Info

Publication number
JP4195450B2
JP4195450B2 JP2004566364A JP2004566364A JP4195450B2 JP 4195450 B2 JP4195450 B2 JP 4195450B2 JP 2004566364 A JP2004566364 A JP 2004566364A JP 2004566364 A JP2004566364 A JP 2004566364A JP 4195450 B2 JP4195450 B2 JP 4195450B2
Authority
JP
Japan
Prior art keywords
user
network
authentication
mno
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004566364A
Other languages
English (en)
Other versions
JP2006513631A (ja
Inventor
グレゴリオ, ヘスス, アンヘル デ
ルイス バリガ,
アヴェリナ パルド−ベラスケス,
ジョン, マイケル ウォーカー−ピナ,
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2006513631A publication Critical patent/JP2006513631A/ja
Application granted granted Critical
Publication of JP4195450B2 publication Critical patent/JP4195450B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/06Registration at serving network Location Register, VLR or user mobility server

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、一般にパケット無線ネットワークによるインターネットを介してサービスネットワークにアクセスする複数のユーザのためのシングルサインオンサービスに関する。より詳細には、本発明は、複数国ネットワーク運用事業者の所有するサービスネットワークのユーザに対して、当該ユーザがローミングしているパケット無線ネットワークを通じてシングルサインオンサービスを提供する通信システムおよび方法に関する。
シングルサインオン(以下、SSO)は、今後広まるであろう原理であり、それぞれ特定の異なるサービスに対して、ユーザが、明示的に認証をすることなく、種々のサービスにアクセスできるようになるサービスのことである。インターネットの世界では、この原理をサポートすることで、所与のアイデンティティ(ID)プロバイダにおいて一度だけユーザがパスワードにより本人証明(ID)を準備すれば、他のサービスあるいはサービスプロバイダへ接続する際にも、このIDによる認証が有効となる。しかしながら移動通信の世界では、SSOの原理は、さらにアクセスネットワークにおいて一度ユーザが認証されれば、追加の明示的な認証を必要とすることなく、ユーザが加入するホームネットワークにおけるサービスにアクセスできることを意味する。
ここ数年の間、いくつかの移動ネットワーク運用事業者(以下、MNO)は、各国内の運用事業者を吸収合併し、種々の国において新規事業を運用するためのライセンスを取得している。これにより、MNOは、国際的に知名度を高めてきた。従って、そのような運用事業者は、複数国にわたる移動ネットワークの運用事業者となった。特定の複数国ネットワーク事業者(MN−MNO)の各々は、種々の国に分散するいくつかのローカルの会社、すなわち、いくつかの国内ネットワーク事業者(N−MNO)を含む。
従って、複数国のネットワークを複数国移動ネットワーク運用事業者(MN−MNO)が運用する方法に関する自然な展開として、それぞれのビジネスモデルを伴う2つの異なるシナリオが生じうる。第1のシナリオでは、各自国内ネットワーク運用事業者(N−MNO)が、いわゆる柔軟な結束モデルにおいて、自己のローカルブランド、および独立性を維持するように、複数国移動ネットワーク運用事業者(MN−MNO)が機能する。一方、第2のシナリオでは、いわゆる緊密な結束モデルにおいて、種々の国に分散する国内ネットワーク運用事業者(N−MNO)により運用されるネットワーク全体にまたがって、単一の共通ブランドおよび共通のユーザイクスペリエンスを維持するように、複数国移動ネットワーク運用事業者(MN−MNO)が機能する。
緊密な結束モデル下では、それぞれ特定の国内運用事業者が、その特定の国内ネットワークにおいて特定のサービスを依然として提供する可能性がある一方、加入者がそれぞれ加入する特定の国内ネットワーク運用事業者(N−MNO)に係わらず複数国移動ネットワーク運用事業者(MN−MNO)の加入者にはグローバルなサービス、すなわち、共通のサービスを提供する必要がある。しかしながら、柔軟な結束モデル下では、複数国移動ネットワーク運用事業者(MN−MNO)に含まれる全ての国内ネットワーク運用事業者(N−MNO)は、類似の権限および責任を有し、そのそれぞれが互いに独立であり、従ってグローバルあるいは共通のサービスを提供する明確な場所がネットワークには存在しないことになる。
そのため、種々の国内ネットワーク運用事業者(N−MNO)のネットワークをユーザがローミングする間に得た体験(イクスペリエンス)を統一することについて、緊密な結束の複数国移動ネットワーク運用事業者(MN−MNO)は、関心を持つ可能性がある。このようなユーザは、シームレスに、適用可能な認証機構に関して共通の外見と理解に基づいてサービスへのアクセスと利用を試みであろうから、認証機構はできるだけユーザから見えないことが望ましい。サービスプロバイダ(SP)と複数国移動ネットワーク運用事業者(MN−MNO)に含まれる各自国内運用事業者との間ではなく、複数国移動ネットワーク運用事業者(MN−MNO)と第3者サービスプロバイダ(SP)との間で、サービスレベルに関する契約(SLA)が常に締結される。従って、複数国移動ネットワーク運用事業者(MN−MNO)の全てのユーザが、このサービスプロバイダ(SP)へのアクセス資格を得ることは、このモデルに関する一般的な前提となる。今日、大規模な複数国移動ネットワーク運用事業者間では、益々この緊密な結束による複数国移動ネットワーク運用事業者(MN−MNO)モデルが受け入れられつつあるように見える。
シングルサインオン(SSO)サービスに関しては、自由連合プロジェクト(LAP)として知られる産業フォーラムがある。自由連合プロジェクト(LAP)は、いくつかのビジネスエンティティ(すなわち本人確認プロバイダ(IdP)あるいはサービスプロバイダ(SP)のいずれかとして動作するビジネスモデルのエンティティ)の間で、シングルサインオン(SSO)サービスをサポートするシナリオを実現するための、1組のプロトコルを開発した。このプロトコルを用いることで、インターネットの種々のサービスにアクセスする際に、SPおよびIdPがユーザにSSOを提供することが可能になる。SPおよびIdPは、事前に相互契約に締結し、いわゆる連合を形成するものと想定される。産業フォーラムは、特定の認証機構を規定してはいないものの、本人確認プロバイダ(IdP)からサービスプロバイダ(SP)への認証コンテキストの転送方法については規定している。サービスプロバイダ(SP)が最終的にエンドユーザへのサービスを提供する。さらに自由連合プロジェクトは、IdPの内部動作の仕方、および異なる国内ネットワーク運用事業者間における可能な相互動作を規定してはいない。従って、複数国移動ネットワーク運用事業者(MN−MNO)内の異なる国内ネットワーク運用事業者間を、ユーザがローミングしている時のSSOに関するソリューションは、自由連合プロジェクトの範囲外である。
汎用パケット無線サービス(GPRS)ネットワークのようなパケット無線ネットワークにおけるユーザのローミングに関しては、サービスプロバイダネットワークとの接続を提供するために割り当てられたゲートウエイGPRSサポートノード(GGSN)の位置に応じて、いくつかのシナリオがある。GGSNは、コアネットワーク(CN)ドメインとサービスネットワーク(SN)ドメインとの間の境界に位置することが好ましい。
第1の従来のシナリオでは、割り当てられたゲートウエイGPRSサポートノード(GGSN)は、ホームネットワークに属す。例えば、現在、いわゆる「壁で囲まれた庭(walled garden)」のシナリオが存在する。このシナリオでは、ホームとなる国内ネットワーク運用事業者(N−MNO)に属する汎用パケット無線サービス(GPRS)アクセスネットワークを通して、ユーザは、常にホームサービスネットワークに接続される。この「壁で囲まれた庭」シナリオでは、シングルサインオン(SSO)サービスのサポートはいわゆる「MSISDN転送」機構をベースとしている。MSISDNは、広義には加入者管理番号を意味するが、伝統的には移動加入者のISDN番号を表す。簡略に記せば、ユーザに対するMSISDNおよびIPアドレスを含むRADIUSアクセス要求メッセージを、ホームサービスネットワークドメインの「ホーム認証、認可および課金」(H−AAA)サーバに送信することにより、ホームコアネットワークドメインのホームゲートウエイGPRSサポートノード(H−GGSN)から、「MSISDN転送」機構が起動される。この情報により、H−AAAサーバは、ユーザにマスターセッションを確立することができ、その結果、ユーザがサービスへのアクセスを要求すればいつでも、マスターセッションが調べられ、ユーザが既に正しく認証されていることを確認する。さらに詳細には、本発明に最も近い技術と考えられる「壁で囲まれた庭のSSO」のシナリオにおいて、無線アプリケーションプロトコル(WAP)ゲートウエイへRADIUS課金開始メッセージを送信する「MSISDN転送」機構について、国際公開第01/67716号(WO01/67716A1)による国際出願が記述している。
第01/67716号国際公開公報(WO01/67716A1)
第2のシナリオによれば、割り当てられたゲートウエイGPRSサポートノード(GGSN)は、ユーザがローミングしている訪問先ネットワークに属している。そのような訪問先ネットワークは、ユーザアクセス認証の実行を引き受けることが好ましい。それ故に、上記の「MSISDN転送」機構を利用することにより、訪問先コアネットワークドメインにおいて割り当てられた訪問先ゲートウエイGPRSサポートノード(V−GGSN)は、ホームサービスネットワークの「ホーム認証、認可および課金」(H−AAA)サーバと直接通信することが可能となる。
従って、上記でコメントした両方のシナリオにおいて、ユーザによって生成されたIPトラフィックは、ユーザのホームサービスネットワーク(SN)へと物理的にルーティング(経路制御)される。緊密な結束モデルに従って組織された任意の訪問先国内ネットワーク運用事業者(N−MNO)をローミングする加入者に、複数国移動ネットワーク運用事業者(MN−MNO)によって提供されるグローバルサービスへのアクセス、ならびに複数国移動ネットワーク運用事業者(MN−MNO)傘下の所与の訪問先国内ネットワーク運用事業者(N−MNO)によって提供されるローカルサービスへのアクセスを、ユーザが希望するときは、ホームサービスネットワークを通じてこのユーザのIPトラフィックをルーティングすることは効率的ではない。さらにユーザがローミングしている特定の国内ネットワーク運用事業者(N−MNO)のそのような訪問先サービスネットワークにおいて、グローバルサービスが実際に実行されるときは、この効率性の欠如はさらに深刻となる。
さらに現時点でGPRSローミングを提供するいくつかのソリューションが存在するが、緊密な結束モデルに従う複数国移動ネットワーク運用事業者(MN−MNO)のパケット無線ネットワークを、ユーザがローミングしている場合、シングルサインオン(SSO)サービスを効率的にサポートするための要求条件を満たす、必要な全ての構造的手段を、いずれのソリューションも提供してはいない。
そのため、MN−MNOとの相互契約に締結している外部サービスプロバイダのサービス、ならびに複数国移動ネットワーク運用事業者(MN−MNO)のサービスネットワークのサービスへのアクセスを、ユーザに提供する手段および方法を提供することが、本発明の目的である。これにより、サービスが要求される度に、ユーザが明示的に認証を受ける必要はない。また、GPRSコアネットワークへ、ユーザが最初にアクセスするときに実行された元の認証をサービスネットワークは信頼することになる。
また、種々の国内ネットワーク運用事業者(N−MNO)間を、ユーザがローミングしている場合にもこのようなアクセスベースの認証が信頼されるようにすることが、本発明の別の目的である。N−MNOは、MN−MNOを構成しているため、パケット無線ネットワークをローミングする加入者にシングルサインオン(SSO)サービスを享受させることが可能になる。
さらに、ユーザがローミングしている訪問先サービスネットワークを通じてユーザのIPトラフィックをルーティングする。従って、上記の緊密な結束モデルにより組織された複数国移動ネットワーク運用事業者(MN−MNO)傘下の訪問先国内ネットワーク運用事業者(N−MNO)により提供されるシングルサインオンのグローバルサービスおよびローカルサービスに、ユーザがアクセスし、サービスを実行することを可能にする手段および方法を提供することが、本発明のさらなる目的である。
上記の目的および他の目的は、本発明に従って達成される。すなわち、本発明は、複数国移動ネットワーク運用事業者(MN−MNO)のパケット無線ネットワーク(CN−1、SN−1;CN−2、SN−2)をローミングするユーザ(3)に、シングルサインオンサービスを提供する通信システムおよび方法に関する。MN−MNOは、国内ネットワーク運用事業者(N−MNO−A;N−MNO−B)の連合を含む。国内ネットワーク運用事業者の1つ(N−MNO−A)に、ユーザは加入している。
従って、本発明による通信システムは、
−訪問先パケット無線ネットワーク(CN−1)においてユーザに割り当てられた訪問先ゲートウエイGPRSサポートノード(V−GGSN)(14)であって、ユーザはローミングしており、本発明の目的に従って、V−GGSNは、ユーザの最初の認証に関するユーザの識別子をユーザのホームネットワークに送信する処理を担当する、訪問先ゲートウエイGPRSサポートノード(V−GGSN)(14)と、
−ユーザのホームサービスネットワーク(SN−2)におけるホーム認証、認可および課金(H−AAA)サーバ(23)であって、前記ユーザの識別子によりユーザのマスターセッションを維持する処理を担当する、ホーム認証、認可および課金(H−AAA)サーバ(23)と、
−訪問先サービスネットワーク(SN−1)の訪問先認証、認可および課金(V−AAA)サーバ(13)であって、V−GGSN(14)とH−AAA(23)との間でプロキシとして動作し、H−AAAのアドレスを前記ユーザの識別子と関連付ける処理を担当する訪問先認証、認可および課金(V−AAA)サーバ(13)と、
−複数国移動ネットワーク運用事業者(MN−MNO)のシングルサインオンサービスへの単一のエントリーポイントとして動作することが意図されているグローバル・シングルサインオン・フロントエンド(G−SSO−FE)インフラストラクチャ(33)と
を含む。
また、この通信システムは、複数国移動ネットワーク運用事業者(MN−MNO)連合のグローバルディレクトリ(31)を含んでもよい。このグローバルディレクトリ(31)は、ユーザがローミングしている訪問先サービスネットワーク(SN−1)のV−AAAサーバ(13)と協働するために、ユーザのホームサービスネットワーク(SN−2)のH−AAAサーバ(23)の位置を探し出す。このグローバルディレクトリ(31)は、ユーザの認証に関するユーザの識別子と対応するH−AAAサーバ(23)のアドレスとの間の関連付けを記憶するために設けられたエンティティである。
この通信システムによれば、ユーザがローミングしている訪問先サービスネットワーク(SN−1)のV−AAAサーバ(13)は、H−AAAサーバ(23)のアドレスとユーザの識別子とのバインディング(結合関係)を、ローカルな動的ルーティングデータベース(LDR DB)(11)内に保持する。この観点によれば、上記のユーザの識別子は、ユーザの管理番号とユーザ(UE)(3)に割り当てられたIPアドレスとを含む。
また、この通信システムによればユーザのホームサービスネットワーク(SN−2)のH−AAAサーバ(23)は、セッション関連情報の記憶を担当するシングルサインオンセッションデータベース(SSO セッション DB)(21)と協働して、ユーザのマスターセッションを維持する。このセッション関連情報は、ユーザ管理番号、ユーザに割り当てられたIPアドレス、選択した認証機構のインジケータ、および認証イベントのタイムスタンプを含んでもよい。
この通信システムは、さらに、連合に含まれる任意の国内ネットワーク運用事業者(N−MNO−A;N−MNO−B)の加入者であるユーザに、シングルサインオンサービスを提供するために、複数国移動ネットワーク運用事業者(MN−MNO)連合とサービス提携契約に締結しているいくつかのサービスプロバイダ(2)を含んでもよい。従って、各サービスプロバイダ(2)は、
−連合へのエントリー(入場)ポイントとしてのグローバル・シングルサインオン・フロントエンド(G−SSO−FE)インフラストラクチャ(33)へとユーザをリダイレクトするリダイレクト手段と、
−認証アサーション、または、そのような認証アサーションが生成された場所のインジケータ(表示)と同様のリファレンス(参照)のいずれかであるトークンを、ユーザから受信する受信手段と、
−前記認証アサーションが生成されたサイトからの前記認証アサーションを検索する検索手段と、
−そのようなサイトが信頼できるサイトであることをチェックするチェック手段と
を含む。
この通信システムによれば、連合においてエントリーポイントとして動作するために、それぞれ特定のサービスプロバイダ(2)は、種々のグローバル・シングルサインオン・フロントエンド(G−SSO−FE)(33)を有してもよい。この観点において、1つのグローバル・シングルサインオン・フロントエンドから前、記連合のエントリーポイントとして動作する連合内の他のフロントエンドへと変更する変更手段が提供される。
従って、本発明による方法は、
−ユーザのホームサービスネットワーク(SN−2)に対して、訪問先パケット無線ネットワーク(CN−1、SN−1)をローミングしているユーザの最初の認証を実施する第1のステップと、
−シングルサインオンの関連データにより、ユーザのホームサービスネットワーク(SN−2)にマスターセッションを確立する第2のステップと、
−シングルサインオンの認証アサーションを得るために、連合のエントリーポイントとして動作するグローバル・シングルサインオン・フロントエンド(G−SSO−FE)インフラストラクチャ(33)を介して、複数国移動ネットワーク運用事業者(MN−MNO)とサービス提携契約に締結しているサービスプロバイダ(2)にアクセスするユーザを、ユーザのホームネットワーク(N−MNO−A)に向けてリダイレクトする第3のステップと、
−ユーザから、または認証アサーションを生成したエンティティから、シングルサインオンの認証アサーションを受信する第4のステップと
を含む。
この方法によれば、シングルサインオンの関連データによりユーザのホームサービスネットワーク(SN−2)にマスターセッションを確立する第2のステップは、さらに、
−シングルサインオンセッションデータベース(21)に、セッション識別子、セッション状態、ユーザ管理番号、ユーザに割り当てられたIPアドレス、選択した認証機構のインジケータ、および認証イベントのタイムスタンプを含むシングルサインオン関連データを記憶するステップと、
−ユーザの訪問先サービスネットワーク(SN−1)において、ユーザのホームサービスネットワーク(SN−2)のそのようなユーザのマスターセッションを処理するエンティティのアドレスと、少なくともユーザ管理番号、およびユーザ(3)に割り当てられたIPアドレスを含む1組のユーザの識別子とをバインディングするステップと
をさらに含む。
この方法によれば、訪問先パケット無線ネットワーク(CN−1)をローミングするユーザの最初の認証を実施する第1のステップは、訪問先パケット無線ネットワークのユーザに対して、訪問先ゲートウエイGPRSサポートノード(V−GGSN)(14)が割り当てられていること、およびユーザのマスターセッションを維持するために、前記V−GGSN(14)からユーザのホームサービスネットワーク(SN−2)のホーム認証、認可および課金(H−AAA)サーバ(23)に向けて、ユーザの最初の認証に関するユーザの識別子が送信されることを前提としている。また、ユーザの最初の認証を実施するこのステップは、この目的のために、訪問先パケット無線ネットワークの前記V−GGSN(14)とユーザのホームサービスネットワーク(SN−2)のH−AAAサーバ(23)との間に、プロキシとして動作する、訪問先サービスネットワーク(SN−1)の訪問先認証、認可および課金サーバ(V−AAA)(13)を中間配置するステップを含む。
この方法では、グローバル・シングルサインオン・フロントエンド(G−SSO−FE)インフラストラクチャ(33)を介して、ユーザのホームネットワーク(N−MNO−A)に向けてユーザをリダイレクトする第3のステップは、好ましくは、
−連合ネットワークにアクセスする際に、ユーザに現在のIPアドレスを割り当てた訪問先ネットワーク(N−MNO−B)を判別するステップと、
−ユーザのホームサービスネットワーク(SN−2)のユーザのマスターセッションを扱うエンティティのアドレスを訪問先ネットワーク(N−MNO−B)から取得するステップと
を含んでもよい。
とりわけ、現在の訪問先ネットワーク(N−MNO−B)にユーザをリダイレクトする(S−54、S−55)か、またはバックエンドプロトコルの支援によりグローバル・シングルサインオン・フロントエンド(33)から訪問先ネットワーク(N−MNO−B)にそのようなアドレスを要求する(S−90)ことにより、そのようなユーザのマスターセッションを扱うエンティティのアドレスを取得する上記のステップを実行してもよい。
また、所与のユーザに係るIPアドレスの割り当てを担当する国内ネットワーク運用事業者に関して、グローバルディレクトリ(31)にクエリー(問い合わせ)を行うステップを、訪問先ネットワーク(N−MNO−B)を判別する上記のステップが含んでもよい。
さらに正確には、そのようなアサーションが生成されたエンティティからシングルサインオンの認証アサーションを受信するこの方法の上記第4ステップは、
−ユーザからそのようなエンティティのアドレスとともに前記アサーションへの参照を受信するステップと、
−アサーションを生成したエンティティによりアサーションを有効にするステップと
を含む。
本発明の特徴、目的および利点は、添付する図面とともに本説明を読むことで、より明らかになろう。
前記複数国移動ネットワーク運用事業者において、緊密な結束モデルの下に連帯した種々の国内ネットワーク運用事業者(N−MNO)間をユーザがローミングしているときに、外部サービスプロバイダ、および複数国にわたる移動ネットワーク運用事業者(MN−MNO)のシングルサインオン(SSO)サービスにアクセスできる可能性をユーザに提供する。従って、上記連合のパケット無線ネットワークをローミングするユーザにシングルサインオン(SSO)サービスを提供するシステムおよび方法に関し、現時点において好ましい実施形態を以下に説明する。
複数国移動ネットワーク運用事業者(MN−MNO)のユーザに対して、当該ユーザがローミングしている訪問先ネットワークに属するゲートウエイGPRSサポートノード(GGSN)を割り当てたこと、およびそのような訪問先ネットワークが好ましくはユーザのアクセス認証の実行を担うことに関して、本発明はいくつかの側面を提示する。
本発明の第1の側面によれば、ユーザのマスターセッションを設定する際に必要となるユーザの情報をホームネットワークに供給する新しい機構が提供される。より正確には、シングルサインオンサービス、すなわち訪問先国内ネットワーク運用事業者により提供される「ローカル」サービス、ならびに複数国移動ネットワーク運用事業者により提供される「グローバル」サービスの両方にユーザがアクセスして、実行することを可能にするために、ユーザのIPトラフィックが、当該ユーザがローミングしている訪問先サービスネットワークを通してルーティングされることを保証する新しい機構が提供される。一方で、訪問先コアネットワークにおいて割り当てられたゲートウエイGPRSサポートノード(V−GGSN)からホームサービスネットワークの「ホーム認証、認可および課金」(H−AAA)サーバに、当該ユーザの情報を提供する新しい機構も提供される。本発明のこの第1の側面による本ソリューション全体の概略図は、図1により提示されている。訪問先サービスネットワーク(SN−1)は、訪問先コアネットワーク(CN−1)からホームサービスネットワーク(SN−2)への認証、認可およびセッション関連メッセージのプロキシとして動作する。
従って、図1は、緊密な結束シナリオに関与する種々の装置を示している。複数国移動ネットワーク運用事業者(MN−MNO)は、複数の連合国内ネットワーク運用事業者(SN−1、CN−1;SN−2、CN−2)を含む。
第1の装置は、ユーザ(3)が有するユーザ装置(UE)である。当該ユーザは、ホームネットワーク(SN−2、CN−2)に加入しており、訪問先ネットワーク(SN−1、CN−1)をローミング中にサービスへのアクセスを希望する。
第2の装置は、訪問先サービスGPRSサポートノード(V−SGSN)(15)である。V−SGSNは、ユーザに割り当てられたゲートウエイGPRSサポートノードを分析するように意図されたエンティティである。従って、V−SGSNは、アクセスポイントネットワーク(APN)に依存するサービスネットワークにアクセスするために使用される訪問先ゲートウエイGPRSサポートノード(V−GGSN)(14)を決定する。
第3の装置は、訪問先ゲートウエイGPRSサポートノード(V−GGSN)(14)であり、これは(UE)(3)へのIPアドレスの割り当てを担う。本発明の実施形態によれば、これを実現するために、(V−GGSN)(14)は、訪問先サービスネットワーク(SN−1)の「訪問先認証、認可および課金」(V−AAA)サーバ(13)にアクセス要求メッセージを送信する。メッセージ属性の1つとして、このアクセス要求は、MSISDN、あるいはユーザ管理番号を含む。
本発明に従い、この新しい装置、(V−AAA)(13)は、訪問先ネットワーク(SN−1、CN−1)に属している、これらのIPアドレスのうち、あるIPアドレスをユーザに割り当てる処理を担当する。それ故、V−AAAは、訪問先ネットワークなど、あるドメインにおいてIPアドレスをリース(貸与)することを意図されたDHCP(12)サーバを使用してもよい。あるいは、V−AAAが、自己のネットワーク内においてIPアドレス割り当てを実行してもよい。本発明の目的に対して、ユーザのホームサービスネットワーク(SN−2)における「ホーム認証、認可および課金」(H−AAA)サーバ(23)へのユーザの認証、認可、セッションおよび課金メッセージのプロキシとして、V−AAAを観念してもよい。この目的のために、V−AAA(13)は、ローカルの動的ルーティングデータベース(LDR DB)(11)内に、H−AAA(23)のアドレス、MDISDNおよびUE(3)IPアドレスのバインディングを保持する。本発明の実施形態によれば、V−AAA(13)は、このユーザのマスターセッションの確立処理および終了処理に関与する。しかしながら、マスターセッションの制御は、ユーザのホームサービスネットワーク(SN−2)において実行されることが好ましい。
他の新しい装置は、グローバルディレクトリ(31)であり、これはユーザのホームサービスネットワーク(SN−2)におけるH−AAA(23)の位置指定を行うために、訪問先サービスネットワーク(SN−1)のV−AAA(13)と協働する。物理的には、このグローバルディレクトリ(31)を専用かつ新規のエンティティとしてよい。あるいは、このグローバルディレクトリ(31)として、より汎用の中央ディレクトリサーバ(CDS)を利用してもよい。あるいは、このグローバルディレクトリ(31)は、ENUMデータベースの形式を採用してもよい。あるいは、このグローバルディレクトリ(31)は、既存のサービス位置指定機能(SLF)に実装されてもよい。
さらなる装置は、上記のH−AAA(23)であり、これはサービスネットワークレベルにおけるユーザの認証状態を保持する処理を担当する。さらに、H−AAA(23)は、また、所与のユーザのマスターセッションを処理し、制御することを担う。
なお、さらなる装置は、「シングルサインオン・セッションデータベース」(SSO セッション DB)(21)であり、これは、ユーザのIPアドレス、MSISDN、タイムスタンプおよびその他など、所与のユーザのセッション関連情報を持続的に記憶する処理を担当する。
本発明のこの第1の側面によれば、ユーザが加入するいくつかの国内ネットワーク運用事業者(SN−1、CN−1;SN−2、CN−2)を含む、複数国移動ネットワーク運用事業者(MN−MNO)のネットワークをローミングするパケット無線ネットワークのユーザに、効率的なシングルサインオン認証を提供する方法が提供される。
従って、図2に示すように、ユーザ(3)は、ユーザがローミングしている訪問先ネットワーク(CN−1)のV−SGSN(15)に対して、PDPコンテキストをアクティブ(C−01)にするためのGPRS手順を開始する。例えば、DNSの分析を通じて、固有のサービスネットワークに関連するアクセスポイントネットワーク(APN)を分析することにより、V−SGSNは、PDPコンテキストの創設をサポートするGGSNを選択する。現在のシナリオによれば、V−SGSN(15)は、ユーザがローミングしている訪問先ネットワーク(CN−1)のV−GGSN(14)を選択し、V−GGSN(14)に「PDPコンテキストの創設」メッセージを送信する(C−02)。「PDPコンテキストの創設」メッセージを受信すると(C−02)、V−GGSNは、APNの認証処理を実行する。この目的のために、V−GGSN(14)は、V−AAA(13)に「アクセス要求」あるいは「課金開始」メッセージを送信する(C−03)。これについて図2は、「アクセス要求」あるいは「課金開始」メッセージを区別なく参照することより、汎用的なRADIUSメッセージ(C−03;C−07)を示している。さらに、当業者であれば理解できるように、この説明の範囲と本質的に異なることなく、RADIUSの代わりに、例えば、DIAMETERなどの他の類似のプロトコルを使用してもよい。
技術的観点からは、V−GGSN(14)は、H−AAA(23)と直接的に通信できるが、ホームネットワークからV−GGSNへIPトラフィックを正しくルーティングできるためには、V−GGSNからのポイントツーポイントのトンネルが必要であり、かつ、ホームサービスネットワーク(SN−2)におけるエントリーポイントも必要となろう。ホームサービスネットワーク(SN−2)と、ホームサービスネットワークおよび訪問先サービスネットワーク(SN−2、SN−1)間の専用リンクに、追加のインフラストラクチャが必要となることを意味する。上述のように、いくつかのドメインが関与する多くのケースでは、これは最適なソリューションではない。本発明は、これらを改良することについて着目している。
次いで、V−AAA(13)は、DHCPサーバ(12)により、あるいは自己のネットワーク内のIPアドレスのプールを使用して、ユーザにIPアドレスを割り当てる(C−04)。
本発明の実施形態によれば、グローバルディレクトリ(31)というよりは、むしろ他のシナリオにおいても有効な前記ユーザに対する認証信認とともに、所与のユーザに対するIDがH−AAA(23)において供給される。一方、サービスネットワークにおいて、ユーザは、一般にサービスを提供される場合、国内ネットワーク運用事業者(SN−2、CN−2)によりユーザがサービスを提供されることを、本発明の現時点での好ましい実施形態は前提としている。なお、当該ユーザは、複数国移動ネットワーク運用事業者(MN−MNO)に加入しているものとする。
それ故、V−AAA(13)は、H−AAA(23)に対する認証プロセスのプロキシとして機能する。これを達成するために、V−GGSN(14)から受信したMSISDN、あるいは任意の加入者管理番号により、当該ユーザに係るH−AAAを発見するようにV−AAAは構成される。現時点での好ましい実施形態によれば、グローバルディレクトリ(31)により、これを実行することができる。グローバルディレクトリ(31)は、MSISDN番号とそれに対応するH−AAAサーバアドレスとの間のマッピングを有している。上記の同じソリューションに関する他の実施形態は、ENUMデータベースと、IPマルチメディアネットワーク(IPMM)において使用されるサービス位置指定機能(SLF)であってもよいだろう。明確さのために、用語「グローバルディレクトリ」を以後、複数国移動ネットワーク運用事業者(MN−MNO)の構内において、MSISDNなどの加入者管理番号とその対応するH−AAAサーバアドレスとの間の対応付けを記憶するために構成される物理的エンティティを意味するものとして使用する。
次いで訪問先ネットワーク(CN−1、SN−1)を、ユーザがローミングしていることが判明すれば、V−AAA(13)は、グローバルディレクトリに問い合わせを送信し(C−05、C−06)、前記ユーザに係るH−AAAの位置を探し出す。一度適切なH−AAA(23)が同定されれば、プロキシの動作を担当するV−AAAは、H−AAA(23)に対してユーザのIPアドレスおよびMSISDNを含む「アクセス要求」あるいは「課金開始」メッセージを送信する。DIAMETERなどの他のプロトコルにおける対応するメッセージを使用する、他の好ましい実施形態が後に続きうるが、簡潔さを維持するために、「アクセス要求」あるいは「課金開始」メッセージをRADIUSメッセージとして図2に示す。
そのような「アクセス要求」あるいは「課金開始」メッセージを受信すると(C−07)、H−AAA(23)は、ユーザの加入者データを調査し、当該ユーザにマスターセッションを確立する。ホームサービスネットワーク(SN−2)のシングルサインオン・セッションデータベース(SSOセッションDB)(21)に、ユーザのMSISDNおよびIPアドレス、セッションID、適用可能な認証イベントのタイムスタンプ、および選択した認証機構を含むSSO関連データを、H−AAAは記憶する(C−08)。
このSSOセッションDB(21)を、過去に実行された認証イベントの存在と信用を是認する主要リポジトリと見なすことができる。よって、SSOの機能を達成する本発明によれば、これは重要な問題である。さらに、この情報を使用して、連合SSOのシナリオにおいて将来のアサーションを生成し、また、緊密に結束した複数国移動ネットワーク運用事業者(MN−MNO)のシナリオにおいて、ユーザがそのホームサービスにアクセスすることを容認する。
さらにマスターセッションは、ユーザのホームサービスネットワーク(SN−2)により固有に制御される。複数国移動ネットワーク運用事業者(MN−MNO)に含まれる特定の国内ネットワーク運用事業者(SN−1、CN−1;SN−2、CN−2)の種々のネットワークに、セッション制御が分散される場合、SSOの機能を提供するためには、グローバルな動的セッションデータベース(GDS DB)が要求される。しかしながら、スケーラビリティと性能の問題ゆえに、そのようなグローバルな動的セッションデータベース(GDS DB)は、システムの大きなボトルネックとなる可能性がある。
一度ユーザにマスターセッションが確立されれば(C−08)、H−AAA(23)は、V−AAA(13)に対応するアクセス要求あるいは課金応答の受理を返信する(C−09)。一貫性を保つために、図2は、上記のアクセス要求あるいは課金応答の受理を意味するRADIUSメッセージ受諾(C−09)を示している。次いで、V−AAA(13)は、ローカルな動的ルーティングデータベース(LDR DB)(11)に、ユーザのIPアドレス、H−AAAサーバの位置あるいはアドレス、およびユーザのMSISDN間のバインディングを記憶する(C−10)。さらにそのような情報により、MN−MNOシナリオにおける完全な連合SSOソリューションが実現される。
さらに、V−AAA(13)は、「アクセス要求」あるいは「課金開始」メッセージの受諾を送信機V−GGSN(14)に返送し(C−11)、代わってV−GGSNは逆にV−SGSN(15)へのPDPコンテキスト要求の創設を実行する(C−12)。最終的に、V−SGSN(15)は、UE(3)にPDPコンテキスト受諾の起動を返送する(C−13)。
本発明の第2の側面によれば、緊密に結束した複数国移動ネットワーク運用事業者(MN−MNO)シナリオにおける連合SSOサービスをサポートする新しい機構が提供される。
図3に示すこのシナリオでは、ウエブブラウザを通してユーザ(3)は、ホームあるいは外部サービスにアクセスしている。従って、複数国移動ネットワーク運用事業者(MN−MNO)のグローバルサービスネットワーク(1)におけるユーザから、到着IPコネクションが受信されると、ユーザが信頼されるものか、すなわち第1に当該ユーザが連合(複数国移動ネットワーク運用事業者(MN−MNO))に属するか、第2に当該ユーザが以前に認証されており、なお動作中のアクティブなセッションを有しているかを、グローバルサービスネットワークが調査する。この調査および確認は、到着IPコネクションのユーザIPアドレスから実行されることが好ましい。これは、ユーザにとってトランスペアレントな処理である。IPアドレスは、UEに確実に割り当てられ、運用事業者の内部パケット交換ネットワークもまた安全である。従って、割り当てられたIPアドレスが偽物でないことを前提としている。そのようなユーザが接続されている間は、この前提により、ユーザの疑似的なIDとしてユーザのIPアドレスを使用することができる。
上記で説明したように、複数国移動ネットワーク運用事業者によって所有され、あるいは制御される全ネットワーク内にシングルサインオン(SSO)サービスのための単一の論理エントリーポイント(33)が存在することを、複数国移動ネットワーク運用事業者(MN−MNO)に対する緊密な結束モデルは前提としている。この前提は、ビジネスモデルに基づいている。このモデルによれば、複数国移動ネットワーク運用事業者(MN−MNO)により含まれるこれらローカルの国内ネットワーク運用事業者(N−MNO−A;N−MNO−B)より、むしろ、複数国移動ネットワーク運用事業者(MN−MNO)と、種々のサービスプロバイダ(SP)(2)は相互契約に締結する。さらに、複数国移動ネットワーク運用事業者(1)にとっては、より簡単な構成を提供することによりサービスプロバイダ(2)との相互動作を容易にすることが重要である。その結果、サービスプロバイダ(SP)は、複数国移動ネットワーク運用事業者のパートナーであることで、より簡易な利点を得ることができる。
この点で、シングルサインオン(SSO)サービスのためのこの単一の論理エントリーポイント(33)は、単一の物理的エントリーポイントを意味しない。むしろ、種々のURIを、各自のサービスプロバイダ(2)は、実際に持つことができる。ユーザのブラウザ、あるいは、より一般的に言えばユーザのエージェントは、URIによりリダイレクトされることになる。従って、複数国移動ネットワーク運用事業者(1)によって所有され、あるいは制御されるネットワーク内において、ユーザが信頼されるか否かを判定することを意図されているSSOサービスは、グローバルに使用される。その際、所与のサービスプロバイダは、ユーザ(3)に対して同じ機能を保持しつつ、連合に対する物理的SSOエントリーポイント(33)を変更させることができる。これを、単一のエントリーポイントは意味している。
さらに、実際の認証は、特定の国内ネットワーク運用事業者(N−MNO−A)に属すユーザのホームネットワークにおいて実行される。しかしながら、この手順はサービスプロバイダ(SP)にはトランスペアレント(透過的)である。従って、サービスプロバイダ(2)は、常に、連合の同一のエントリーポイントにユーザをリダイレクトする。一般には、「http」のリダイレクトであるいくつかのステップを実行した後で、一度ブラウザ、あるいはユーザのエージェントが、再度サービスプロバイダに接続すると、ユーザは、トークンを提示する。トークンは、認証アサーションを生成したサービスプロバイダを示す、SAML用語における人為的な結果のことである。従って、サービスプロバイダ(2)は、ユーザの国内ネットワーク運用事業者(N−MNO−A)を意識する必要はなく、認証アサーションが生成されたサイトと単に通信し、そのようなサイトが信頼されることを調査する。要するに、連合におけるエントリーポイント(33)である、グローバルSSOフロントエンド(G−SSO−FE)インフラストラクチャは、それがあたかもグローバルサービス・ネットワークインフラストラクチャに属するシングルサインオンサービスであるかのように観念することができる。従って、連合の全てにおいて共通のサービスとなる。
図3の装置間のより詳細な相互動作のシーケンスを図4に示す。まず、複数国移動ネットワーク運用事業者(MN−MNO)のコアネットワーク(1)を通して、ユーザがパケット無線ネットワークへのアクセスを取得したと仮定する。
図4に示すように、ユーザ(3)は、サービスプロバイダ(2)と通信し、連合のシングルサインオン(F−SSO)機構により認証されることを要求する(S−51)。単一の論理URI、あるいは種々の論理URIを通して、ユーザのウエブブラウザ、あるいはユーザのエージェントは、連合(33)における単一のエントリーポイント、すなわち上記のグローバルSSOフロントエンド(G−SSO−FE)にリダイレクトされる(S−52、S−53)。従ってグローバルSSOフロントエンド(G−SSO−FE)(33)は、到着IPコネクションを受信し(S−53)、送信者のIPアドレスを調査することにより、そのようなユーザが信頼されるか否かを判定しなければならない。
連合における種々の国内ネットワーク運用事業者(N−MNO−A;N−MNO−B)に対するIPアドレスマッピングとともに、MN−MNO関連IPインフラストラクチャに対する構成の詳細が記憶されている、図4に図示しないグローバルサービスネットワーク内において、G−SSO−FE(33)の論理手段は、「サービス問い合わせ」を実行する。この問い合わせの結果、ユーザがMN−MNOネットワークにアクセスした訪問先国内ネットワーク運用事業者(N−MNO−B)、すなわちユーザによって現在使用されているIPアドレスを割り当てた特定の国内ネットワーク運用事業者(N−MNO−B)を、G−SSO−FE(33)は判別する。
グローバルサービスネットワーク内における上記の「サービス問い合わせ」は、内部データベースもしくは内部テーブルにおけるIPアドレスの範囲を単に分析することによるG−SSO−FE(33)構内の内部調査であってもよい。あるいは、グローバルディレクトリ(31)への外部問い合わせであってもよい。従って、本実施形態によれば、後者は、複数国移動ネットワーク運用事業者(MN−MNO)の緊密な結束モデル内においてサービスを要求されると、より完全なサービスを提供する。
一度G−SSO−FE(33)が訪問先国内ネットワーク運用事業者(N−MNO−B)を判別すると、次にG−SSO−FE(33)は、ユーザのブラウザ(3)を訪問先国内ネットワーク運用事業者(N−MNO−B)にリダイレクトするか(S−54、S−55)、あるいはバックエンドプロトコルを介して訪問先国内ネットワーク運用事業者(N−MNO−B)に、ユーザのホームとなる国内ネットワーク運用事業者(N−MNO−A)ネットワークにおけるIDを要求する(S−90)かの、いずれかを選択してもよい。
現時点における好ましい実施形態によれば、帯域幅と信頼性の点で、通常、ボトルネックとなる、ユーザ(3)への「フロントチャネル」のトラフィックを最適化するために、このバックエンドプロトコルを使用することは、よりよい手法であると思われる。さらにこのバックエンドプロトコルを使用することは、また、ユーザのログイン処理を短縮し、それ故、ユーザイクスペリエンスの内容を高度化することができよう。
図4に示した手順に戻って説明する。ユーザが最初にMN−MNOパケット無線ネットワークにアクセスしたときに、図2に示したユーザのホームおよび訪問先ネットワークの両者間で認証機構を実行する際に、LDR DB(11)に記憶されているユーザのIPアドレスとH−AAA(23)との間のバインディングにより、訪問先国内ネットワーク運用事業者(N−MNO−B)のネットワークには、ユーザのホーム国内ネットワーク運用事業者(N−MNO−A)ネットワークは既知である。
最終的にユーザのブラウザ(3)は、ユーザのマスターセッションが記憶されているユーザのホーム国内ネットワーク運用事業者(N−MNO−A)ネットワークのSSOサービスへとリダイレクトされる(S−56、S−57)。ユーザウェブブラウザは、訪問先国内ネットワーク運用事業者(N−MNO−B)のネットワークによる以前のリダイレクト(S−54、S−55)から、あるいはバックエンドプロトコルを介して得られた(S−90)情報のおかげでG−SSO−FE(33)からリダイレクトされる。従って、ユーザのホーム国内ネットワーク運用事業者(N−MNO−A)ネットワークのSSOサービスは、そのようなユーザの信頼状態を確認し、断定することができる。もしユーザがSSOセッションDB(21)にアクティブなSSOセッションを持っていれば、SAMLアサーションが生成され、さらにサービスプロバイダにより検索され、ユーザは認証される(S−58)。
以上にいくつかの実施形態を用いて、例証的かつ非制限的に本発明を説明した。上記の説明に照らして、明らかに本発明について多くの修正および変形を実現可能である。本発明の範囲は特許請求の範囲により決定され、これら請求の範囲に入る実施形態の修正は、いずれも請求の範囲に含まれるものと考えられる。
いくつかの国内ネットワーク運用事業者(SN−1、CN−1;SN−2、CN−2)を含む複数国移動ネットワーク運用事業者(MN−MNO)を有する緊密な結束シナリオに含まれる種々の装置とインタフェースの基本的概観を示す図である。 ユーザが加入している国内ネットワーク運用事業者(SN−1、CN−1;SN−2、CN−2)を含む複数国移動ネットワーク運用事業者(MN−MNO)のネットワークをローミングするパケット無線ネットワークのユーザに対する、効率的なシングルサインオン認証の実行に含まれうる種々のエンティティ間の相互動作を説明するフローシーケンス図である。 複数国移動ネットワーク運用事業者(MN−MNO)を有する緊密な結束シナリオの連合シングルサインオンサービスをサポートする種々の装置とインタフェースの簡略化した外観を示す図である。 ユーザにシングルサインオンサービスを提供するために、ユーザ、複数国移動ネットワーク運用事業者とのサービス提携契約を有するサービスプロバイダ、および複数国移動ネットワーク運用事業者に含まれる国内ネットワーク運用事業者連合との間で行われるトラフィックフローの概観を示す図である。

Claims (19)

  1. 国内ネットワーク運用事業者(N−MNO−A;N−MNO−B)の連合を含み、該国内ネットワーク運用事業者の1つ(N−MNO−A)にユーザが加入している、複数数国移動ネットワーク運用事業者(MN−MNO)におけるパケット無線ネットワーク(CN−1、SN−1;CN−2、SN−2)をローミングする該ユーザ(3)に、シングルサインオンサービスを提供する通信システムであって、
    −訪問先パケット無線ネットワーク(CN−1)において、ローミングしている前記ユーザに割り当てられた訪問先ゲートウエイGPRSサポートノード(V−GGSN)(14)であって、該ユーザの最初の認証に関する該ユーザの識別子を該ユーザのホームサービスネットワーク(SN−2)に送信する処理を担当する、訪問先ゲートウエイGPRSサポートノード(V−GGSN)(14)と、
    −前記ユーザのホームサービスネットワーク(SN−2)におけるホーム認証、認可および課金(H−AAA)サーバ(23)であって、該ユーザの前記識別子により該ユーザのマスターセッションを維持するための処理を担当する、ホーム認証、認可および課金(H−AAA)サーバ(23)と、
    −訪問先サービスネットワーク(SN−1)の訪問先認証、認可および課金(V−AAA)サーバ(13)であって、前記訪問先ゲートウエイGPRSサポートノード(14)と前記ホーム認証、認可および課金サーバ(23)との間でプロキシとして動作し、該ホーム認証、認可および課金サーバ(23)のアドレスを前記ユーザの前記識別子と関連付ける処理を担当する訪問先認証、認可および課金(V−AAA)サーバ(13)と、
    −前記複数国移動ネットワーク運用事業者(MN−MNO)のシングルサインオンサービスへの単一のエントリーポイントとして動作することが意図されているグローバル・シングルサインオン・フロントエンド(G−SSO−FE)インフラストラクチャ(33)と
    を含むことを特徴とする通信システム。
  2. 前記複数国移動ネットワーク運用事業者(MN−MNO)の連合のグローバルディレクトリ(31)をさらに含み、
    前記グローバルディレクトリ(31)は、前記ユーザがローミングしている前記訪問先サービスネットワーク(SN−1)における前記訪問先認証、認可および課金サーバ(13)と協働するとともに、前記ユーザの前記ホームサービスネットワーク(SN−2)における前記ホーム認証、認可および課金サーバ(23)の位置を探し出す、請求項1に記載の通信システム。
  3. 前記グローバルディレクトリ(31)は、前記ユーザの認証に関する該ユーザの識別子と、対応する前記ホーム認証、認可および課金サーバ(23)のアドレスとの間の関連付けを記憶するために設けられたエンティティである、請求項2に記載の通信システム。
  4. 前記ユーザがローミングしている前記訪問先サービスネットワーク(SN−1)における前記訪問先認証、認可および課金サーバ(13)は、前記ホーム認証、認可および課金サーバ(23)のアドレスとユーザの識別子とのバインディングを、ローカルな動的ルーティングデータベース(LDR DB)(11)内に保持する、請求項1に記載の通信システム。
  5. 前記ユーザの識別子は、前記ユーザの管理番号と、前記ユーザ(UE)(3)に割り当てられたIPアドレスとを含む、請求項4に記載の通信システム。
  6. 前記ユーザのホームサービスネットワーク(SN−2)における前記ホーム認証、認可および課金サーバ(23)は、セッション関連情報の記憶を担当するシングルサインオン・セッションデータベース(SSO セッション DB)(21)と協働して、前記ユーザのマスターセッションを維持し、
    前記セッション関連情報は、ユーザ管理番号、前記ユーザに割り当てられたIPアドレス、選択された認証機構のインジケータ、および認証イベントのタイムスタンプを含む、請求項1に記載の通信システム。
  7. 前記複数国移動ネットワーク運用事業者(MN−MNO)の連合に含まれる任意の国内ネットワーク運用事業者(N−MNO−A;N−MNO−B)の加入者である前記ユーザに、前記シングルサインオンサービスを提供するために、前記連合とサービス提携契約に締結しているいくつかのサービスプロバイダ(2)をさらに含み、
    前記サービスプロバイダ(2)のそれぞれは、
    −前記連合へのエントリーポイントとしての前記グローバル・シングルサインオン・フロントエンド(G−SSO−FE)インフラストラクチャ(33)へと前記ユーザをリダイレクトするリダイレクト手段と、
    −認証アサーション、または該認証アサーションが生成された場所のインジケータと同等の参照であるトークンを、前記ユーザから受信する受信手段と、
    −前記認証アサーションが生成されたサイトからの該認証アサーションを検索する検索手段と、
    −前記サイトが信頼できるサイトであることをチェックするチェック手段と
    を含む、請求項1に記載の通信システム。
  8. 前記サービスプロバイダ(2)うち特定のサービスプロバイダ(2)は、さらに、
    前記連合においてエントリーポイントとして動作している、種々のグローバル・シングルサインオン・フロントエンド(G−SSO−FE)(33)を含みうる、請求項7に記載の通信システム。
  9. 前記特定のサービスプロバイダ(2)は、さらに、前記グローバル・シングルサインオン・フロントエンド(33)から、前記連合のエントリーポイントとして動作する他のグローバル・シングルサインオン・フロントエンド(33)へと変更する変更手段を含む、請求項8に記載の通信システム。
  10. いくつかのサービスプロバイダ(2)を通じて、複数数国移動ネットワーク運用事業者(MN−MNO)におけるパケット無線ネットワーク(CN−1、SN−1;CN−2、SN−2)をローミングするユーザ(3)に、シングルサインオンのサービスを提供する方法であって、前記サービスプロバイダ(2)は、前記複数数国移動ネットワーク運用事業者(MN−MNO)とサービス提携契約を締結しており、前記複数数国移動ネットワーク運用事業者(MN−MNO)は、国内ネットワーク運用事業者(N−MNO−A;N−MNO−B)の連合を含み、該国内ネットワーク運用事業者の1つ(N−MNO−A)にユーザが加入しており、
    前記方法は、
    (a)前記ユーザのホームサービスネットワーク(SN−2)に対して、訪問先パケット無線ネットワーク(CN−1、SN−1)をローミングしている前記ユーザの最初の認証を実行する第1のステップと、
    (b)前記シングルサインオンの関連データにより、前記ユーザの前記ホームサービスネットワーク(SN−2)にマスターセッションを確立する第2のステップと、
    (c)前記シングルサインオンの認証アサーションを得るために、前記連合のエントリーポイントとして動作するグローバル・シングルサインオン・フロントエンド(G−SSO−FE)インフラストラクチャ(33)を介して、前記複数国移動ネットワーク運用事業者(MN−MNO)とサービス提携契約に締結している前記サービスプロバイダ(2)にアクセスする前記ユーザを、前記ユーザの前記ホームネットワーク(N−MNO−A)に向けてリダイレクトする第3のステップと、
    (d)前記ユーザから、または前記認証アサーションを生成したエンティティから、前記シングルサインオンの前記認証アサーションを受信する第4のステップと
    を含むことを特徴とする方法。
  11. 前記シングルサインオンの関連データにより前記ユーザの前記ホームサービスネットワーク(SN−2)にマスターセッションを確立する前記第2のステップ(b)は、さらに、
    −シングルサインオン・セッションデータベース(21)に、セッション識別子、セッション状態、ユーザ管理番号、前記ユーザに割り当てられたIPアドレス、選択された認証機構のインジケータ、および認証イベントのタイムスタンプを含むシングルサインオン関連データを記憶するステップと、
    −前記ユーザの前記訪問先サービスネットワーク(SN−1)において、該ユーザのマスターセッションを処理する前記ホームサービスネットワーク(SN−2)のエンティティのアドレスと、少なくともユーザ管理番号、および該ユーザ(3)に割り当てられたIPアドレスを含む1組のユーザの識別子とをバインディングするステップと
    をさらに含む、請求項10に記載の方法。
  12. 前記第1のステップ(a)は、前記訪問先パケット無線ネットワークにおいて、前記ユーザに対し、前記訪問先ゲートウエイGPRSサポートノード(V−GGSN)(14)を割り当てるステップをさらに含む、請求項10に記載の方法。
  13. 前記訪問先ゲートウエイGPRSサポートノード(V−GGSN)(14)を割り当てる前記ステップは、
    前記ユーザのマスターセッションを維持するために、前記訪問先ゲートウエイGPRSサポートノード(14)から前記ユーザの前記ホームサービスネットワーク(SN−2)のホーム認証、認可および課金(H−AAA)サーバ(23)に向けて、前記ユーザの最初の認証に関するユーザの識別子を送信するステップを含む、請求項12に記載の方法。
  14. 前記ユーザの識別子を送信する前記ステップは、前記訪問先パケット無線ネットワークの前記訪問先ゲートウエイGPRSサポートノード(14)と前記ユーザの前記ホームサービスネットワーク(SN−2)の前記ホーム認証、認可および課金サーバ(23)との間に、プロキシとして動作する、前記訪問先サービスネットワーク(SN−1)における訪問先認証、認可および課金サーバ(V−AAA)(13)を中間配置するステップを含む、請求項13に記載の方法。
  15. 前記第3のステップ(c)は、
    (c1)前記連合のネットワークにアクセスする際に、前記ユーザに現在のIPアドレスを割り当てた訪問先ネットワーク(N−MNO−B)を判別するステップと、
    (c2)前記ユーザの前記ホームサービスネットワーク(SN−2)において前記ユーザのマスターセッションを扱うエンティティのアドレスを前記訪問先ネットワーク(N−MNO−B)から取得するステップと
    を含む、請求項10に記載の方法。
  16. 前記エンティティのアドレスを取得する前記ステップ(c2)は、現在の訪問先ネットワーク(N−MNO−B)に前記ユーザをリダイレクトするステップ(S−54、S−55)を含む、請求項15に記載の方法。
  17. 前記エンティティのアドレスを取得する前記ステップ(c2)は、バックエンドプロトコルの支援により前記グローバル・シングルサインオン・フロントエンド(33)から前記訪問先ネットワーク(N−MNO−B)に前記アドレスを要求するステップ(S−90)を含む、請求項15に記載の方法。
  18. 前記訪問先ネットワーク(N−MNO−B)を判別する前記ステップ(c1)は、所与のユーザにIPアドレスを割り当てる前記国内ネットワーク運用事業者に関して、グローバルディレクトリ(31)に問い合わせを行うステップを含む、請求項15に記載の方法。
  19. 前記認証アサーションを受信する前記第4ステップ(d)は、
    −前記ユーザから前記エンティティのアドレスとともに前記認証アサーションへの参照を受信するステップと、
    −前記認証アサーションを生成した前記エンティティにより前記認証アサーションを有効にするステップと
    を含む、請求項10に記載の方法。
JP2004566364A 2003-01-10 2003-01-10 複数国運用事業者ネットワークをローミングするパケット無線ネットワークユーザのためのシングルサインオン方法 Expired - Fee Related JP4195450B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/SE2003/000024 WO2004064442A1 (en) 2003-01-10 2003-01-10 Single sign-on for users of a packet radio network roaming in a multinational operator network

Publications (2)

Publication Number Publication Date
JP2006513631A JP2006513631A (ja) 2006-04-20
JP4195450B2 true JP4195450B2 (ja) 2008-12-10

Family

ID=32710034

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004566364A Expired - Fee Related JP4195450B2 (ja) 2003-01-10 2003-01-10 複数国運用事業者ネットワークをローミングするパケット無線ネットワークユーザのためのシングルサインオン方法

Country Status (9)

Country Link
US (1) US20070127495A1 (ja)
EP (1) EP1582081B1 (ja)
JP (1) JP4195450B2 (ja)
AT (1) ATE390816T1 (ja)
AU (1) AU2003202182A1 (ja)
BR (1) BRPI0317804B1 (ja)
DE (1) DE60320028T2 (ja)
MX (1) MXPA05006470A (ja)
WO (1) WO2004064442A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8924422B2 (en) 2010-08-25 2014-12-30 Nec Corporation Condition matching system, linked conditional matching device, and condition matching processing method

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060185013A1 (en) * 2003-06-18 2006-08-17 Telefonaktiebolaget Lm Ericsson (Publ) Method, system and apparatus to support hierarchical mobile ip services
US7917152B2 (en) * 2003-06-27 2011-03-29 Nokia Corporation Enhanced fast handover procedures
US20050060551A1 (en) * 2003-09-15 2005-03-17 Barchi Ronald S. Terminal device IP address authentication
US7444519B2 (en) 2003-09-23 2008-10-28 Computer Associates Think, Inc. Access control for federated identities
CN100344094C (zh) * 2004-09-01 2007-10-17 华为技术有限公司 IPv6网络中对多地址用户进行授权计费的实现方法
KR100813791B1 (ko) * 2004-09-30 2008-03-13 주식회사 케이티 유무선 통합서비스 망에서의 개인 이동성을 위한 통합인증 처리 장치 및 그 방법
US7298725B2 (en) 2004-10-08 2007-11-20 Telefonaktiebolaget Lm Ericsson (Publ) Enhancement of AAA routing initiated from a home service network involving intermediary network preferences
US7551926B2 (en) 2004-10-08 2009-06-23 Telefonaktiebolaget Lm Ericsson (Publ) Terminal-assisted selection of intermediary network for a roaming mobile terminal
US7292592B2 (en) * 2004-10-08 2007-11-06 Telefonaktiebolaget Lm Ericsson (Publ) Home network-assisted selection of intermediary network for a roaming mobile terminal
US7590732B2 (en) 2004-10-08 2009-09-15 Telefonaktiebolaget Lm Ericsson (Publ) Enhancement of AAA routing originated from a local access network involving intermediary network preferences
GB0423301D0 (en) * 2004-10-20 2004-11-24 Fujitsu Ltd User authorization for services in a wireless communications network
CN101069402B (zh) * 2004-10-26 2010-11-03 意大利电信股份公司 透明地验证访问web服务的移动用户的方法和***
ATE553584T1 (de) 2004-12-17 2012-04-15 Tekelec Us Verfahren, systeme und computerprogrammprodukte zum clustern und kommunizieren zwischen entitäten des internet-protokoll-multimediasubsystems (ims)
US7784092B2 (en) * 2005-03-25 2010-08-24 AT&T Intellectual I, L.P. System and method of locating identity providers in a data network
US20070136785A1 (en) * 2005-12-08 2007-06-14 Utstarcom, Inc. Content-based authorization method and apparatus
DE102006015044A1 (de) * 2006-03-31 2007-10-18 Siemens Ag Verfahren zur Kommunikation von Endgeräten über paketvermittelte Mobilfunknetze
CN101064937B (zh) * 2006-04-28 2010-09-08 华为技术有限公司 一种漫游用户的归属地的接入方法及***
US7865173B2 (en) 2006-07-10 2011-01-04 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement for authentication procedures in a communication network
CN103067399B (zh) 2006-08-22 2016-03-09 交互数字技术公司 无线发射/接收单元
WO2008082337A1 (en) * 2006-12-28 2008-07-10 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for integration of different authentication infrastructures
DE602007013101D1 (de) * 2007-01-04 2011-04-21 Ericsson Telefon Ab L M Verfahren und vorrichtung zur bestimmung einer authentifikationsprozedur
US20080168539A1 (en) * 2007-01-05 2008-07-10 Joseph Stein Methods and systems for federated identity management
JP4719701B2 (ja) * 2007-02-15 2011-07-06 日本電信電話株式会社 通信制御システム、通信装置および通信制御方法
WO2009022568A1 (ja) * 2007-08-16 2009-02-19 Nec Corporation 情報配信システム、配信先制御方法、および配信先制御用プログラム
US8462728B2 (en) * 2007-12-24 2013-06-11 Apple Inc. Method and wireless system for achieving local anchoring of a mobile node
EP2272242B1 (en) * 2008-04-08 2014-03-05 Nokia Solutions and Networks Oy Correlating communication sessions
US20090282251A1 (en) * 2008-05-06 2009-11-12 Qualcomm Incorporated Authenticating a wireless device in a visited network
US8700033B2 (en) * 2008-08-22 2014-04-15 International Business Machines Corporation Dynamic access to radio networks
KR101001555B1 (ko) * 2008-09-23 2010-12-17 한국전자통신연구원 네트워크 id 기반 연합 및 싱글사인온 인증 방법
EP2641163B1 (en) * 2010-11-17 2019-09-04 ARRIS Enterprises LLC Cross access login controller
CN103493522B (zh) * 2011-03-03 2016-12-07 泰科来股份有限公司 用于丰富Diameter信令消息的方法、***和计算机可读介质
US9172822B2 (en) 2011-05-06 2015-10-27 Tekelec, Inc. Methods, systems, and computer readable media for providing a user record deletion notification
US9319378B2 (en) 2013-01-23 2016-04-19 Tekelec, Inc. Methods, systems, and computer readable media for using a diameter routing agent (DRA) to obtain mappings between mobile subscriber identification information and dynamically assigned internet protocol (IP) addresses and for making the mappings accessible to applications
US9009806B2 (en) 2013-04-12 2015-04-14 Globoforce Limited System and method for mobile single sign-on integration
US9553867B2 (en) * 2013-08-01 2017-01-24 Bitglass, Inc. Secure application access system
US10122714B2 (en) 2013-08-01 2018-11-06 Bitglass, Inc. Secure user credential access system
CN113596032B (zh) * 2015-05-12 2024-04-26 瑞典爱立信有限公司 处理经由非3gpp网络到epc服务的接入的方法和节点
US10027760B2 (en) 2015-05-22 2018-07-17 Oracle International Corporation Methods, systems, and computer readable media for short and long term policy and charging rules function (PCRF) load balancing
US10951519B2 (en) 2015-06-17 2021-03-16 Oracle International Corporation Methods, systems, and computer readable media for multi-protocol stateful routing
FR3039954A1 (fr) * 2015-08-05 2017-02-10 Orange Procede et dispositif d'identification de serveurs d'authentification visite et de domicile
US9668135B2 (en) 2015-08-14 2017-05-30 Oracle International Corporation Methods, systems, and computer readable media for providing access network signaling protocol interworking for user authentication
US10084755B2 (en) 2015-08-14 2018-09-25 Oracle International Corporation Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) proxy and diameter agent address resolution
US9923984B2 (en) 2015-10-30 2018-03-20 Oracle International Corporation Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) message loop detection and mitigation
US10554661B2 (en) 2015-08-14 2020-02-04 Oracle International Corporation Methods, systems, and computer readable media for providing access network session correlation for policy control
US9668134B2 (en) 2015-08-14 2017-05-30 Oracle International Corporation Methods, systems, and computer readable media for providing access network protocol interworking and authentication proxying
EP3485668B1 (en) * 2016-07-18 2021-07-07 Telefonaktiebolaget LM Ericsson (PUBL) Network nodes and methods performed by network node for selecting authentication mechanism
US11089028B1 (en) * 2016-12-21 2021-08-10 Amazon Technologies, Inc. Tokenization federation service
US11283883B1 (en) 2020-11-09 2022-03-22 Oracle International Corporation Methods, systems, and computer readable media for providing optimized binding support function (BSF) packet data unit (PDU) session binding discovery responses

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3012231C2 (de) * 1980-03-28 1987-09-10 Siemens AG, 1000 Berlin und 8000 München Mobiles Funknetz auf Landesebene
DE19832302B4 (de) * 1998-07-17 2006-10-12 Telefonaktiebolaget Lm Ericsson (Publ) Dienstvermittlungsvorrichtung und Dienststeuervorrichtung für ein in einem Mobilnetz integriertes intelligentes Netzwerk
US6578085B1 (en) * 1999-01-27 2003-06-10 Nortel Networks Limited System and method for route optimization in a wireless internet protocol network
IL151534A0 (en) * 2000-02-29 2003-04-10 Verisign Inc System and method for controlling and monitoring a wireless roaming call
US6728536B1 (en) * 2000-05-02 2004-04-27 Telefonaktiebolaget Lm Ericsson Method and system for combined transmission of access specific access independent and application specific information over public IP networks between visiting and home networks
GB2367213B (en) * 2000-09-22 2004-02-11 Roke Manor Research Access authentication system
US7184764B2 (en) * 2001-02-08 2007-02-27 Starhome Gmbh Method and apparatus for supporting cellular data communication to roaming mobile telephony devices
US6795701B1 (en) * 2002-05-31 2004-09-21 Transat Technologies, Inc. Adaptable radio link for wireless communication networks
US6603968B2 (en) * 2001-06-22 2003-08-05 Level Z, L.L.C. Roaming in wireless networks with dynamic modification of subscriber identification
US7171460B2 (en) * 2001-08-07 2007-01-30 Tatara Systems, Inc. Method and apparatus for integrating billing and authentication functions in local area and wide area wireless data networks
CA2358083A1 (en) * 2001-09-28 2003-03-28 Bridgewater Systems Corporation A method for session accounting in a wireless data networks using authentication, authorization and accounting (aaa) protocols (such as ietf radius or diameter) where there is no session handoff communication between the network elements
SE0103337D0 (sv) * 2001-10-08 2001-10-08 Service Factory Sf Ab System and method relating to mobile communications
US7275260B2 (en) * 2001-10-29 2007-09-25 Sun Microsystems, Inc. Enhanced privacy protection in identification in a data communications network
US7085840B2 (en) * 2001-10-29 2006-08-01 Sun Microsystems, Inc. Enhanced quality of identification in a data communications network
US7996888B2 (en) * 2002-01-11 2011-08-09 Nokia Corporation Virtual identity apparatus and method for using same
US20030139180A1 (en) * 2002-01-24 2003-07-24 Mcintosh Chris P. Private cellular network with a public network interface and a wireless local area network extension
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
US7882346B2 (en) * 2002-10-15 2011-02-01 Qualcomm Incorporated Method and apparatus for providing authentication, authorization and accounting to roaming nodes
EP1595190B1 (en) * 2003-02-21 2006-09-27 Telefonaktiebolaget LM Ericsson (publ) Service provider anonymization in a single sign-on system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8924422B2 (en) 2010-08-25 2014-12-30 Nec Corporation Condition matching system, linked conditional matching device, and condition matching processing method

Also Published As

Publication number Publication date
DE60320028D1 (de) 2008-05-08
EP1582081A1 (en) 2005-10-05
MXPA05006470A (es) 2005-09-30
US20070127495A1 (en) 2007-06-07
AU2003202182A1 (en) 2004-08-10
BR0317804A (pt) 2005-11-29
WO2004064442A1 (en) 2004-07-29
ATE390816T1 (de) 2008-04-15
JP2006513631A (ja) 2006-04-20
BRPI0317804B1 (pt) 2016-06-28
EP1582081B1 (en) 2008-03-26
DE60320028T2 (de) 2009-07-09

Similar Documents

Publication Publication Date Title
JP4195450B2 (ja) 複数国運用事業者ネットワークをローミングするパケット無線ネットワークユーザのためのシングルサインオン方法
US7221935B2 (en) System, method and apparatus for federated single sign-on services
US6769000B1 (en) Unified directory services architecture for an IP mobility architecture framework
CA2462691C (en) Method and system for allowing multiple service providers to serve users via a common access network
US7079499B1 (en) Internet protocol mobility architecture framework
US7882346B2 (en) Method and apparatus for providing authentication, authorization and accounting to roaming nodes
US7707310B2 (en) Mobile IP registration supporting port identification
CA2530891C (en) Apparatus and method for a single sign-on authentication through a non-trusted access network
EP1695185B1 (en) Method and systems for toll-free internet protocol communication services
US20050228893A1 (en) Method of configuring a mobile node
US8701178B2 (en) Method and system for managing mobility of access terminal using proxy mobile internet protocol in a mobile communication system, and method for allocating home address of access terminal for the same
WO2003073783A1 (en) System, method and apparatus for federated single sign-on services
EP1347661B1 (en) Visitor portal for supporting data communication from roaming mobile devices
CN101447976B (zh) 动态ip会话接入的方法、***及装置
KR100471615B1 (ko) Radius 서버를 이용한 인터넷 서비스 프로바이더가입자의 아이피 주소 관리 시스템 및 그 방법
KR20020021825A (ko) 차세대이동통신시스템에서의 단순한 아이피와 이동성아이피 서비스 지원시스템 및 방법
CN115086956A (zh) 通信网络的入网方法、入网装置、介质和电子设备
KR20040043735A (ko) 다이어미터 기반 aaa 인증서버와 분리된 과금서버의연동처리 방법
EP1269716B1 (en) Method and apparatus for managing a plurality of mobile nodes in a network
FI112137B (fi) Järjestelmä ja menetelmä dynaamisten IP-osoitteiden jakamiseksi
KR20060035301A (ko) 이기종 망에서의 엔에이아이 기반 모바일 브이피엔 서비스시스템 및 방법

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080604

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080901

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080925

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111003

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121003

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131003

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees