JP4864094B2 - 通信制御システム - Google Patents
通信制御システム Download PDFInfo
- Publication number
- JP4864094B2 JP4864094B2 JP2008536872A JP2008536872A JP4864094B2 JP 4864094 B2 JP4864094 B2 JP 4864094B2 JP 2008536872 A JP2008536872 A JP 2008536872A JP 2008536872 A JP2008536872 A JP 2008536872A JP 4864094 B2 JP4864094 B2 JP 4864094B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- server
- network
- master
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 title claims description 6
- 238000012546 transfer Methods 0.000 claims description 14
- 238000013475 authorization Methods 0.000 claims description 3
- 238000000034 method Methods 0.000 description 21
- 230000001413 cellular effect Effects 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 9
- 229920002239 polyacrylonitrile Polymers 0.000 description 9
- 201000006292 polyarteritis nodosa Diseases 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/005—Multiple registrations, e.g. multihoming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/04—Terminal devices adapted for relaying to or from another terminal or user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
アドホックネットワークは、基幹施設への依存度が最小であるため急速に普及している。アドホックネットワークは、基幹ネットワークに接続された移動局ノードを他のノードによるアクセスポイントとし使用する、既存のネットワークの範囲を拡張する手段と見なされる場合がある。
アドホックネットワークのこのような利用は、ネットワークへのアクセスが制限された装置にとって非常に便利である。パーソナルエリアネットワーク(「PAN」)をアドホック的に形成することによって、装置は低電力短距離接続を用いたネットワークに対してもなおアクセス可能となる。これによりMP3プレイヤやカメラなどの装置はその電力を長距離の無線送信にあてる代わりに音楽やビデオキャプチャの処理のための特定の機能に電力資源をあてることができる。PANにより周辺装置はネットワーク上の他のノードを介して広域ネットワークとの周辺装置の接続を維持しながらそれぞれの特徴的機能を実現することができる。
セルラーネットワークは、普及した広域アクセスネットワーク技術である。セルラーネットワークは、その加入者に対する音声・データアクセスを提供し、データ利用者の数は第3世代セルラーシステムの音声利用者よりもずっと急速に増加している。セルラーシステムは普及したアクセス技術ではあるが、セルラーアクセス技術(例えば, WCDMA やcdma2000規格)に対するアクセスに限定され、最近基幹施設の一部としてWLANが含まれるようになった。近く発表予定のWANにはWiFiおよびWiMAX技術が含まれる。
現在、3GPPはパーソナルエリアネットワークにも対応しており、特にPAN上のすべての装置が単一ユーザに属する、単一ユーザPANに的を絞っている。
したがって、本発明の目的は、すべてのアクセスネットワークインタフェース(特に、短距離ワイヤレスネットワーク)を搭載した装置が利用可能なモバイル装置を介して安全にWANにアクセスできるようにし、それによってPANをマルチユーザに拡張することである。
WANに対して既存の関係を持ち直接アクセスする装置を、以下「ユーザ機器(「UE」)」と称し、WANに対して既存の関係や直接のアクセスインタフェースを持たない装置を、以下「端末機器(「TE」)」と称す。
特許文献1には発信装置に対するネゴーシエーション・課金プロセスにおける、ブリッジ装置を用いたWANとの接続のための発信装置の同様のケースが記載されている。この方法は両装置上に存在する信頼できるコードに依存し、したがって信頼できる相手と信頼できない相手同士の通信にまでシステムを拡張する。
上記特許文献1によれば、TE中の信頼できるコードはUEを介してダウンロードしてインストールするか、信頼できるコードをあらかじめロードして装置上のソフトウェアに統合するかのいずれかである。前者のUEを使用したダウンロード方法は当事者同士間に相互信頼が成立していることを前提とした技術であり、信頼できない場合もありうるためセキュリティ上の問題が存在する。問題の一つはUEが信頼できるコードを操作したり、信頼できるコードをコピーしてTEアクセスと見せかけるために用いる場合である。すべての装置に信頼できるコードをあらかじめロードし統合する後者の方法は、そのようなコードをすべての一般的装置に新たに標準化すること、オーナの変更、サービスプロバイダの変更、これらの装置のネットワークに対するアクセス制御に関するユーザ要件など、より多くの問題を提起する。本発明は、ユーザとネットワーク間の既存の関係を再利用することによってこの問題を解決するものである。ユーザはTEを登録し、その利用制限を規定することにより自らのTEとネットワーク間の信頼を確立し、それによってTEが信頼できないUEを介してネットワークにアクセスする際、システムへの信頼を高める。
次の問題はUEがTEに課金する際に見られる。これはイベント監視の柔軟性に欠ける方法であり、バイトカウントなどのいくつかの課金方式しか実際上対応しない。課金方式のこれ以上の高度化にはUE課金ソフトウェアがデータのコンテンツについての知識を増やす必要がある。したがって、この方法においてコンテンツに基づく課金方式に対応することは非常に困難である。
本発明はUEを単にTEとネットワーク間のメッセージをリレーするプロキシとして用いることによってこの問題を解決することを目的とし、したがってネットワーク上での課金実行を可能にする。
本発明はサービスプロバイダがTEに関して持つ詳細、および既存の加入者関係に基づいて信頼できるコードを転送する方法についてのソリューションを提供することを目的とする。
米国特許出願公開第2005/0197098号明細書
上記問題のいくつかを解決するため、本発明は必要に応じて間接アクセスのため装置を登録することによってネットワークに対するアクセス権限を装置に提供するためのユーザ指向ソリューションを提案する。サービスプロバイダがこのシステムを使用することによってサービスプロバイダのネットワークにアクセスするアクセス技術、または信頼性を確立するためのセキュリティ手段を持たない装置にもネットワークを拡張する。ユーザは間接アクセスのためにPNサーバにTEを登録することができる。こうすることにより、直接アクセス機能を持たない装置は他のマルチインタフェース搭載UEをアクセスポイントとして使用してセルラーネットワークへのアクセスを得る。
本発明の焦点はユーザが所有するTEと同ユーザとの既存の加入者関係に基づくネットワーク間にあらかじめ決められた信頼を提供し、その信頼に対してアクセス制限を規定することである。本発明はこの信頼を用いてUEが課金ソフトウェアを必要とせずTE認証の負担を負うことなく、アクセスポイントとして動作する他のUEがアドホック的に安全にTEに対応できるようにすることを提案する。本発明はアクセスポイントモードのUEが転送装置としてのみ動作し、そうすることで信用を得ることを可能にする。
本発明は、サービスプロバイダと既存の加入者関係を既に持つユーザが各TEを所有していることを前提としている。本発明はユーザがネットワークへの間接アクセスのためTEを登録できるようにする。「間接アクセス」とはUEが同じユーザに属さなくても装置が他のいずれかのUEを用いて、あるいはUEをアクセスポイントとして、あるいは転送装置として用いてネットワークに接続できることを意味する。ネットワークはTEに格納される情報を利用してユーザに対するリンクを認識するので、PNである。このように、ネットワーク上のどのUEもPANを形成することによって他の装置に対してアドホック的にアクセスポイントとして動作する。また、TEはUEがそのデータへの意図的アクセスができないようにするセキュリティキーを所有することもできるので、アクセスポイントとして動作するUEは単に転送装置として動作する。このように、TEがPNサーバとの安全な通信を維持できるようにする所定のキーを既に持っているので従来例のようにUEはTEに関するセキュリティ関連の情報を取得し操作することができない場合がある。
以下に詳述する本発明の実施の形態において、添付の図を参照するものとするが、これらは本発明の一部を構成し、本発明が実施される特定の実施の形態を実例として示すものである。各実施の形態は当業者が本発明を実施できるよう十分な詳細を以って記述されており、本発明の精神または範囲から逸脱しない範囲で他の実施の形態を使用したり、他の変更を加えたりすることができることは言うまでもない。したがって、以下に詳述する内容は限定的意味で解釈されるべきではなく、本発明の範囲は添付の請求項においてのみ規定される。
本発明を例証するため実例を使用するものとする。以下の説明において特に明確な指定がない限り、以下の用語はそれぞれの特定の意味を有するものとする。
「ユーザA」はパーソナルネットワーク(「PN」)において複数の装置を所有する。
「サービスプロバイダ」はネットワークなどを維持しあるいはそれに関するサービスを提供する組織または技術者を意味する。
「マスタUE」はパーソナルネットワークにおけるマスタノードを意味し、サービスプロバイダとの間に加入契約を有する。
「TE A」はサービスプロバイダネットワークにアクセスするための加入契約または手段を有しない。
「UE B」は他の装置からデータを転送できる複数のインタフェースを持つ。UE Bはサービスプロバイダからの信頼を得ることによりデータ転送を行うよう促されるが、そうすることによってオペレータネットワークの拡張を支援することができる。
PNを管理するのに必要なデータはPNサーバ10に格納される。PNサーバ10はユーザ(ホームネットワーク)側に局在してもよいし加入者に対してパーソナルネットワーク管理を提供するサービスプロバイダが集中管理してもよい。
PN上の各装置はパーソナルネットワーク識別情報(「PNI」)などの共通の識別情報によって相互識別する。特定のTEに固有のキーはPNI_keyとして指定される。PNIはマスタUE12またはPNサーバ10によって生成される。
ネットワークへのアクセスは通常、事前の会員証明およびアクセスネットワーク制限によって制限される。例えば、UEに加入者識別モジュール(「SIM」)が存在するかあるいはスマートカード技術によって事前の関連付けを行っている場合がある。PNサーバ10はセルラーシステムかWiFiあるいはWiMAXによってのみアクセス可能である。
本発明の実施形態を以下に示す。
図1は本発明のハイレベルダイアグラムであり、PNサーバ10はPN17のTEが他のいずれかのUEをアクセスポイント(UE B13)として利用し、かつPNサーバ10からはネットワークの独立したエンティティとして認識されるようにマスタUE12による事前登録を可能にする。PN17は自分の装置同士が安全かつシームレスに相互に通信ができるユーザ自身のネットワークである。PNサーバ10はパーソナルネットワーク情報を格納し、あるPN17の複数装置同士のシームレス、安全かつプライベートな接続を管理する。リンク11(リンク11aおよび/またはリンク11b)は、セルラーシステム(CDMA2000、WCDMAなど)、WiMAX、WLAN、BluetoothなどPNサーバ10がサポートしているいずれのワイヤレスネットワークインタフェースであってもよいがこれらには限定されない。リンク14はEthernet(登録商標)、WLAN、BluetoothなどPNサーバ10がサポートしているいずれのアクセス技術であってもよいがこれらには限定されない。直接接続できればマスタUE12とTE A16間の物理インタフェースであってもよい。マスタUE12は、TE A16に転送されるTE装置情報22を格納するためにも安全なメモリ装置を使用することによってセキュリティキーを転送する安全な手段を提供する。リンク15はUWB、Bluetoothあるいは直接接続などのPAN技術によってサポートされるアドホックネットワークである。UE B13はアクセスポイントとして動作するとき他のTEがネットワークにアクセスできるようにするアクセスポイントモードのUEである。ネットワークは他の装置がそれを介してネットワークにアクセスするのを支援する場合、UE B13にある形式の信用を与えてもよい。
TE A16によるネットワークの間接アクセスを可能にするシステムは、TE装置情報、パーソナルネットワーク(PN)サーバ10、パーソナルネットワークのマスタUE12、パーソナルネットワークのTE A16、およびTEとの間でデータ転送を行うWANに接続されたUE B13から構成される。TE A16はマスタUE12とともにユーザが所有する装置である。ユーザはマスタUE12を使用してTE装置情報でありPNサーバ10に格納される構成の詳細を設定する。TE A16が(ユーザが所有していない)他のUEを使用してネットワークにアクセスする際、TE装置情報はTE A16からネットワークへのアクセスを許可したりアクセスを制御(アクセス制限)したりするために使用するデータを含む。TE A16が別のUE (UE B13)を介してネットワークへのアクセスを試みる場合、PNサーバ10はTE装置情報を用いてTE A16のアクセスを認証し制御する。UE B13はTE A16とPNサーバ10間のこのシーケンスにおける転送装置として動作する。間接アクセスのためのTE A16の登録方法は、マスタUE12がPNサーバ10にTE A16を間接アクセスのため登録するよう要求し、PNサーバ10はTE A16用にアクセスキーを生成し、アクセスキーをマスタUE12に転送し、マスタUE12はアクセスキーをTE A16に安全に転送するステップからなる。マスタUE12はさらにTE A16に対してPNサーバ10による仮IDを提供することによりアクセス制限を設定してもよい。TE A16がUE B13を介して間接的にネットワークにアクセスする方法は、PNサーバ10がTE A16を有効なノードとして認証し、TE A16がそのアクセス制限以内に入っているかを確認するステップから構成される。
図2Aにおいて、ユーザはサービスプロバイダとの間に加入契約を有しているものとする。サービスプロバイダは、ユーザのPN17に関する詳細を記憶し、ユーザが登録したUEに関するすべての情報を維持する、PNサーバ10をホストとして操作する。しかし前述したようにWAN21へのアクセスは制限され、ユーザの装置のいくつかはサービスプロバイダとのSIM関係もサーバにアクセスするアクセス手段も持っていない。TEがネットワークにアクセスする唯一の方法は、図2Aに示すようにネットワークがマスタUE12をその存在を意識していないブリッジ装置として使用することである。図2Bにおいて、本発明はユーザが指定したUEをより低レベルのネットワークを提供する装置として動作する、マスタUE12とすることができる。本発明はPNサーバ10にTEの識別情報を登録することによってTEをPNサーバ10におけるエンティティとして識別する。さらにマスタUE12はTEに対してあるアクセス制限44を設定してもよい。PNサーバ10はすべての該当TE情報を22そのデータベースに記憶する。
また、PNサーバ10はローカル的にホストとして動作してもよい。PNサーバ10はWLAN、UWBまたはBluetoothなどのローカルワイヤレス接続を有するホームゲートウェイであってもよいが、これらに限定されない。
別の実施の形態において、マスタUE12は登録済みの任意のTE A16を登録から外すことができる。この場合、PNサーバ10は特定のTEに関連したすべてのデータを抹消することができる。
図3はアクセスポイントとして動作している別のUE(UE B13)を介して間接的にネットワークにアクセスするTEを示す。以前の登録が存在しない場合、アクセスノードはPNサーバ10からUE B13として見える。UE B13はTE A16にとって未知なのでアドホックアクセスにとっては推奨すべきケースではなくUE B13はアクセスポイントとして動作することには積極的ではなく、アクセスに対して引き続き課金される場合がある。図3において本発明によれば、TEはUE B13を純粋にアクセスポイントとして安全に通信できる。TE情報22に格納されたセキュリティキー45を用いてPNサーバ10はこのTEの信憑性およびそのマスタUE12との関連を確認し、TE A16のデータストリームがUE B13を介して送信されていることを認識する。さらに、PNサーバはTEに対して許可されたアクセス制限44を有効にすることによってTEのアクセスを制御することもできる。
別の実施の形態において、UE B13はマスタUEにとって既知であるかマスタUEから信頼されている。また、マスタUE12はTE A16用のゲートウェイ装置としての権限を与えるUEのリストを保持している。PNサーバ10はUE B13の信頼を受けたUEのリストを認識しておりリストを用いてTE A16が信頼できるUEに必ず接続されるようにする。
図4はTEがネットワークに間接的にアクセスできるように用いる情報であるTE装置情報22の一般的データ構造を示したものである。TE装置情報22は特定のTEを登録したマスタUE12の識別情報を含む。このIDはMSISDN、IMSI、IPアドレスまたはローカルIDのいずれであってもよいがこれらに限定されない。この識別情報はTEをそのパーソナルネットワークにリンクするために使用される。仮ID43はTEを一意的に識別するものでTEに割り当てられる。TEのオーナは装置の安全が脅かされた場合の損害を最小にするためTEに対してアクセス制限を課す場合もある。これらのアクセス制限としてはTEによる成功した最大試行回数、TEによる最大ダウンロード回数、TEに課金される最大信用度などがある。これらの制限に達した場合、PNサーバ10はTEに対するアクセスを拒否する。新たなセキュリティを確実にするために、ユーザは間接的にアクセスしている時点でマスタUE12によるTEの新たな認証46も保持することができる。したがって、TEはPNサーバ10とそのマスタUE12の双方に対して認証されなければならない。PNサーバ10はネットワークアクセス時にTEが現在に接続しているUEの装置ID47(MSISDN、IPアドレスまたはURLを含むがこれらに限定されない)も格納してもよい。TE装置情報22には現在の有効性48のフィールドが含まれる場合もある。TE A16の登録の場合、このフィールドにはTE A16によるアクセスの有効性が含まれる場合もある。登録解除の場合、このフィールドにはTE A16によるアクセスの停止・無効を表示することができる。将来TE A16が同じ条件でのアクセスを要求する場合、TE装置情報22の抹消を選択しなければこのフィールドが使用される。
図5は本発明に係わるマスタUE12の装置を示したものである。マスタUE12には複数のインタフェース15a、11aが搭載されている。15aはリンク15をリンクするためのインタフェースであり11aはリンク11をリンクするためのインタフェースである。マスタUE12はキー生成、インタフェース間のデータ転送、格納したTE装置情報22の処理とアクセス、ユーザ手順を開始するためユーザインタフェースの有効化などの様々な処理を実行するコードを実行するプロセッサ50を有している。マスタUE12はマスタUE12としてUEを指定し、TEの登録・登録解除を行い、TEに対する種々のアクセス制限を有効にするなどの種々のユーザ手順をユーザが実行できるようにするユーザインタフェース53を有している。マスタUE12は、TE登録時にパラメータを設定するために使用するTE装置情報22も有している。
転送装置として動作し必ずしもマスタUE12として動作していないUEは単に複数のインタフェース15aおよび11aから構成され、プロセッサ50はインタフェース間のデータ転送を可能にするコードを実行する。アクセスポイントとして動作するUEのユーザインタフェースは他のTEのそれに対する接続を許可または拒否するための手順も提供する。
図6は本発明に係わるTE A16の装置を示す。装置は少なくともリンク15に対する単一インタフェース15aを含む。また、PNサーバ10とマスタUE12とのセキュリティ対応付け、マスタUE12からのアクセスおよびPNIキーの取得、TE装置情報22のアクセスおよび処理、TE A16のアクセス制限を用いたアクセス機能の推定などの種々の手順を有効にするコードを実行するプロセッサ60も含む。TE A16 プロセッサ60は、キー情報、装置ID、アクセス機能を決定するための他の基準値を含むTE装置情報22から構成される。
図7は本発明に係わるPNサーバ10の装置を示す。PNサーバ10はUEとのすべての通信に用いられるネットワークインタフェース70を具備する。また、パーソナルネットワークおよびPANに関連した情報にアクセスし処理を行うプロセッサ71も具備する。プロセッサは間接アクセスのためのTEの登録・登録解除、パーソナルネットワーク情報のアクセス、TEに関連したキー生成およびアクセスキーの格納、TEとのセキュリティ対応付け手順、アクセス制限情報の処理、TE装置情報22の処理などの処理のためのコードを実行する。PNサーバ10はすべてのパーソナルネットワーク関連情報用の格納領域であるPNデータベースも含む。本発明に関連してPNデータベース73は各ユーザのパーソナルネットワークに登録されたUEのリストを持っている。登録された各UEは、さらにセキュリティキーや位置情報などの自身の装置情報を有している。各UEはまたその配下に直接登録されたTEのリストも有している。登録されたそれぞれのTEのTE装置情報22も格納されている。
図8はPNサーバ10において間接アクセスのためTEを登録する際に関わるステップを示す。これらのステップはTE AがユーザAのパーソナルネットワーク内にある場合、リンク11aおよびリンク14を用いて実行される。ユーザがTEに対し間接アクセス機能の提供を望む場合、ユーザはマスタUE12のユーザインタフェース53を用いてステップS80のように間接アクセスメッセージに対して登録を開始する。次のステップS81において、PNサーバ10はこのメッセージを認識しPNサーバ プロセッサ71は以降TE_A1 43と称するTE A用の仮IDを生成する。ステップS82に示すようにPNサーバはこのID、TE_A1 43をそのTE装置情報22に追加する。ステップS83に示すようにPNサーバ10はTE A16を登録するUE12の要求を受付け、さらにオプションがある場合にはユーザにそのオプションを提供するように促す。ユーザは他のUEを介して独自にネットワークにアクセスする場合、TE A16に対するアクセスに制限を行使することを望む場合もある。これらの制限とは成功した最大試行回数、最大ダウンロード機能および割り当てられた最大信用度、あるいはTE A16がアクセスするコンテンツ/サービスの種類に関するものである。マスタUE12はステップS84に示すようにこの情報をTE A16の仮IDを割り当ててPNサーバ10に送る。ステップS85に示すように、PNサーバ10は次にこれらの詳細をPNデータベース73のTE装置情報22に追加する。ステップS86〜S89は、ユーザがTE_A1 16の最終的認証をマスタUEまで拡張してTEアクセスの通知とより高いセキュリティを確かなものにすることを望む場合に実行する。ステップS88においてこの情報はマスタUE12によりPNサーバ10に渡され、ステップS89に示すようにPNサーバ10によってTE装置情報22に追加される。次に、PNサーバ10のプロセッサ71はステップS810に示すようにTE_A1 16用アクセスキーを生成する。このアクセスキーは、別のUEを介してアクセスする際TE_A1 16が自身をPNサーバ10に対して認証するために使用する。次のステップS811において、PNサーバ10はネットワークへの間接アクセスを求めるTE_A1 16の追加を受け付ける。次のステップS812において、マスタUE12はTE_A1 16にアクセスキーを安全に転送する。この転送はセキュアメモリまたは代替のセキュア手段を用いて実行する。
別の実施の形態において、マスタUEはPNのPNI_keyをS86に示すPNサーバ10に送ってもよい。PNI_keyは共有された秘密キー、あるいはパーソナルネットワーク上の装置がマスタUE12または他の装置に対して認証のため使用するユーザパスワードであってもよい。このPNI_keyもTE装置情報22に追加してよい。次にPNI_keyはステップS87においてPNサーバによってTE装置情報22に格納される。
別の実施の形態において、ユーザはTE装置情報22用のパラメータをマスタUE12に格納している場合もある。マスタUE12は単に上記のシーケンスのステップの効率を向上するためにこれらのあらかじめ格納されたパラメータを使用してもよい。
別の実施の形態において、ステップS80にけるマスタUE12による登録を要求する単純メッセージ、およびステップS811におけるPNサーバ10による追加の受け付けとともにデフォルトモードを使用してもよい。ユーザが間接アクセスになんらの制限も設定しない場合、サービスプロバイダは自身にとって都合のよいパラメータを追加するか、あるいはそれらを無視して無制限に間接アクセスを認めてもよい。
図9は転送装置として動作するUE B13を介してTE A16がネットワークへアクセスするシーケンスのステップを示す。TE AがアドホックネットワークPAN内に存在する場合、これらのステップはリンク11bおよびリンク15を用いて実行される。ステップS90において、TE A16はアクセス要求を開始する。このメッセージはすべての隣接UEに向けた報知メッセージであってもよい。逆に、UEはルータ広告や上位レイヤの接続メッセージなどの他のTEを接続する旨を報知してもよい。TEはこれらの報知メッセージを用いて将来の通信のため自身をUEに接続することができる。ユーザに接続の要求を行うためにUE B13にユーザインタフェースが設けられていてもよいし、既に他のTEによる接続の要求を受け付けるアクセスポイントモードになっていてもよい。TE A16を接続として受け付けるかどうかを判定するステップをステップS91に示す。UE B13がTE A16のサポートを決定すると、S92でUE B13がアクセスポイントモードに入れるようPNサーバ10に要求する。そしてPNサーバ10はステップS94a、S94bでDIAMETER、RADIUS、SIP認証あるいはEAPなどの標準認証プロトコルを用いてセキュリティ関連付け手順を開始し、UE B13は単にすべてのメッセージをTE A16に転送する。TE A16はPNサーバ10からのメッセージに応答しTE登録時に取得したアクセスキーを用いてステップS95に示すようなSAを確立することができる。セキュリティ関連付けはステップS96a、S96bのように完了する。PNサーバ10は次に応答を確認しステップS97でTE A16が有効かどうかを判定する。登録されるとTE AはさらにIPアドレスをPNサーバから取得するが、これは経路指定の可能性を支援するUE Bのプレフィックスに基づいている。さらにステップS97でPNサーバ10はTE装置情報22の現在の有効状態も確認しTE Aが登録解除されていないかを確認する。TE装置情報22の状態が無効である場合、ステップS98a、S98bに示すようにTE A16へのアクセスを拒否する。有効の場合、PNサーバ10はネットワークへのTE A16アクセスを許可するかステップS99に示すようにTE A16が現在そのアクセス制限内にあるかどうかを確認する。たとえば、TE A16が最大アクセス試行数を超えたか、ダウンロード制限を超えたか、あるいは割り当てられた最大信用度を超えたかを確認する。この確認はPNプロセッサがそのPNデータベース中のTE装置情報に入力があったかどうかを確認することにより行われる。この制限を既に超えている場合、PNサーバ10はステップS901a、S901bに示すようにUE Bを介してアクセス拒否メッセージを出す。TE A16がアクセス制限以内である場合、UE B13を介してネットワークへのアクセスを許可する。そしてPNサーバ10はステップS611に示すようにTE装置情報のネットワーク上のTE A16の接続ポイントをUE B13として更新する。
別の実施の形態において、ステップS99の制限確認後、PNサーバ10は特定のTE A16がそのマスタUE12からさらに許可を必要とするかどうか確認する。許可が必要な場合、TE A16とマスタUE12の間にSAが確立され、それによってTE A16はそのPNI_keyを用いてマスタUE12によって認証される。
別の実施の形態において、PNサーバ10は有効フィールドを確認することによってマスタUEによってTE A16が既に登録解除されたかどうかを確認する。
本発明の使用例として、ユーザが携帯電話(マスタUE12)、PDAやMP3プレイヤ(TE A16)を所有しているものとする。携帯電話はセルラー方式の接続が可能であるのに対し、PDAとMP3プレイヤ(TE A16)はBluetooth方式の接続のみ有している。PDAとMP3プレイヤ(TE A16)は携帯電話(マスタUE12)をアクセスポイントあるいはネットワークへアクセスするための転送装置として使用することができる。しかしこのような利用の仕方は帯域、電力、処理能力の観点から携帯電話にとって過負荷となりその実用性を制限するものになってしまう。本発明を用いることによって携帯電話(マスタUE12)はそれに接続された装置(TE A16)のいくつかを間接アクセスのためサービスプロバイダに登録できるようにする。例えば、MP3プレイヤ(TE A16)が登録できるものとする。そしてMP3プレイヤ(TE A16)は、例えばサービスプロバイダからの信用を要求するためアクセスポイントとして動作することを望む他の隣接携帯電話(UE B13)に接続することができる。他の携帯電話に接続すると、ネットワークへのアクセスを継続しネットワークは、異なる接続ポイント(UE B13)にもかかわらず以前の登録パラメータ(アクセスキー、アクセス制限)を用いてMP3プレイヤ(TE A16)を明確に認識しそのアクセスを制御することができる。このようにサービスプロバイダはシングルユーザが多数の接続ポイントを使用しているネットワークを最大限活用してネットワークの利用を拡大することができる。
セキュリティを高めるため、TE A16は定期的にステータスメッセージを処理し確かにマスタUE12にローカル的に接続されていることを確認するようさらに要求される。この点については本発明の範囲外である。このように、サービスプロバイダはすべての装置にあらかじめインストールされた信頼できるコードの複雑化を招くことなく、また信頼できないソースからのダウンロードなしに単一の加入契約で多数のアクセスを管理することができる。
本発明の別の応用では、ネットワークがネットワーク自身のサービスプロバイダの課金ソフトウェアを使用してUE Bによる課金に代わってTEに課金するので課金が簡素化される。PNサーバ10はTE A16とそのオーナとの対応付けを加えることができるのでTE A16に課金することができる。追加の信用を求める複製したメッセージをUE B13が再送しなくてもすむだけでなく、TE A16はそのデータに順序付けを追加することができる。そのデータはTE A16とPNサーバ10しか見ることができないので、PNサーバ10またはネットワーク上の他の課金ソフトウェアはこれらのシーケンスを確認することによって繰り返しデータなのかTE A16が送った有効なデータなのかを確認することができる。
本明細書は、2006年2月6日出願の米国仮出願第60/765,169号に基づくものである。この内容は全てここに含めておく。
本発明はネットワークへの間接アクセスに適用できる。
Claims (1)
- ユーザが所有する端末機器と、
前記端末機器のネットワークに対するアクセスを許可するために使用するデータを含む端末機器装置情報を格納し、前記端末機器装置情報に基づいて前記端末機器を認証するパーソナルネットワークサーバと、
前記端末機器の前記パーソナルネットワークサーバへの登録を要求し、前記要求が受け付けられた場合、前記パーソナルネットワークサーバから得た前記アクセスを許可するために使用するデータを前記端末機器に転送するマスタユーザ機器と、
前記アクセスを許可するために使用するデータが転送された前記端末機器からアクセス要求を受けると、前記端末機器と前記パーソナルネットワークサーバとの間で、前記パーソナルネットワークサーバにおける前記端末機器の認証のためのメッセージの転送動作を実行し、前記アクセス要求を送信した前記端末機器のアクセスポイントとして動作することにより、前記アクセス要求を送信した前記端末機器が前記パーソナルネットワークサーバを介して間接的にネットワークにアクセスできるようにするユーザ機器と、
を具備する通信制御システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US76516906P | 2006-02-06 | 2006-02-06 | |
| US60/765,169 | 2006-02-06 | ||
| PCT/JP2007/052440 WO2007091699A2 (en) | 2006-02-06 | 2007-02-06 | Method, system and apparatus for indirect access by communication device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009526418A JP2009526418A (ja) | 2009-07-16 |
| JP4864094B2 true JP4864094B2 (ja) | 2012-01-25 |
Family
ID=38198308
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008536872A Expired - Fee Related JP4864094B2 (ja) | 2006-02-06 | 2007-02-06 | 通信制御システム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8276189B2 (ja) |
| JP (1) | JP4864094B2 (ja) |
| WO (1) | WO2007091699A2 (ja) |
Families Citing this family (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102006018092B4 (de) * | 2006-04-18 | 2012-11-08 | Hewlett-Packard Development Co., L.P. | Verfahren, persönliche Netzwerkeinheit, Vorrichtung und Computerprogrammprodukt |
| EP1968273B1 (en) * | 2007-03-06 | 2018-10-24 | Koninklijke KPN N.V. | Personal network and method to secure a paersonal network |
| US20090047964A1 (en) | 2007-08-17 | 2009-02-19 | Qualcomm Incorporated | Handoff in ad-hoc mobile broadband networks |
| US20090047930A1 (en) * | 2007-08-17 | 2009-02-19 | Qualcomm Incorporated | Method for a heterogeneous wireless ad hoc mobile service provider |
| US20090047966A1 (en) * | 2007-08-17 | 2009-02-19 | Qualcomm Incorporated | Method for a heterogeneous wireless ad hoc mobile internet access service |
| US20090073943A1 (en) * | 2007-08-17 | 2009-03-19 | Qualcomm Incorporated | Heterogeneous wireless ad hoc network |
| US20090046598A1 (en) * | 2007-08-17 | 2009-02-19 | Qualcomm Incorporated | System and method for acquiring or distributing information related to one or more alternate ad hoc service providers |
| US8644206B2 (en) | 2007-08-17 | 2014-02-04 | Qualcomm Incorporated | Ad hoc service provider configuration for broadcasting service information |
| GB2456290B (en) * | 2007-10-05 | 2011-03-30 | Iti Scotland Ltd | Distributed protocol for authorisation |
| US8934476B2 (en) * | 2007-11-26 | 2015-01-13 | Cisco Technology, Inc. | Enabling AD-HOC data communication over established mobile voice communications |
| US8855103B2 (en) * | 2008-01-17 | 2014-10-07 | Blackberry Limited | Personal network access control system and method |
| JP5342818B2 (ja) * | 2008-05-14 | 2013-11-13 | Kddi株式会社 | 管理装置、登録通信端末、非登録通信端末、ネットワークシステム、管理方法、通信方法、及びコンピュータプログラム。 |
| US8140061B2 (en) * | 2008-08-26 | 2012-03-20 | Christopher Ricci | Telephony system |
| EP2166790A1 (en) * | 2008-09-19 | 2010-03-24 | NEC Corporation | Method for personal network service configuration |
| US9084282B2 (en) * | 2008-10-17 | 2015-07-14 | Qualcomm Incorporated | Apparatus and method for providing a portable broadband service using a wireless convergence platform |
| KR101190966B1 (ko) * | 2008-10-22 | 2012-10-12 | 에스케이플래닛 주식회사 | 근거리 무선 통신망을 통해 데이터 서비스를 제공하기 위한콘텐츠 제공 시스템 및 방법과 이를 위한 cpns 서버와이동통신 단말기 |
| KR101297164B1 (ko) * | 2008-10-28 | 2013-08-21 | 에스케이플래닛 주식회사 | 복수의 종단 단말기에 대한 컨텐츠 제공 시스템, 방법, 서비스 서버, 컨텐츠 중계 방법, 저장 매체, 어플리케이션 서버, 컨텐츠 제공 방법 및 이동통신단말기 |
| KR101253547B1 (ko) * | 2008-10-29 | 2013-04-11 | 에스케이플래닛 주식회사 | 근거리 통신망을 이용한 게임 제공 시스템, 방법, 서비스 서버, 게임 중계 방법, 이동통신단말기 및 저장 매체 |
| WO2010087748A1 (en) * | 2009-01-30 | 2010-08-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for multi device provisioning and configuration |
| US9179367B2 (en) | 2009-05-26 | 2015-11-03 | Qualcomm Incorporated | Maximizing service provider utility in a heterogeneous wireless ad-hoc network |
| WO2011007963A2 (en) * | 2009-07-13 | 2011-01-20 | Lg Electronics Inc. | Method and device for controlling ad-hoc network in cpns enabler |
| US8331923B2 (en) * | 2009-07-20 | 2012-12-11 | Qualcomm Incorporated | Wireless provisioning solution for target devices |
| US20110117914A1 (en) * | 2009-11-12 | 2011-05-19 | Electronics And Telecommunications Research Institute | Method and apparatus for deregistration of personal network element(pne) in 3gpp personal network(pn) |
| CN102209367B (zh) * | 2010-03-30 | 2016-01-20 | 中兴通讯股份有限公司 | 一种基于区域的个人网及其设备接入方法 |
| US8504042B2 (en) | 2010-08-25 | 2013-08-06 | Htc Corporation | Method of handling service group ownership transfer in a communication system and related communication device |
| CN102111766B (zh) * | 2011-01-10 | 2015-06-03 | 中兴通讯股份有限公司 | 网络接入方法、装置及系统 |
| JP5913381B2 (ja) * | 2011-03-01 | 2016-04-27 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 装置間の無線安全通信を可能にする方法 |
| US9058565B2 (en) | 2011-08-17 | 2015-06-16 | At&T Intellectual Property I, L.P. | Opportunistic crowd-based service platform |
| FR2985149A1 (fr) * | 2011-12-23 | 2013-06-28 | France Telecom | Procede d'acces par un terminal de telecommunication a une base de donnees hebergee par une plateforme de services accessible via un reseau de telecommunications |
| EP2658297A1 (en) * | 2012-04-27 | 2013-10-30 | Gemalto SA | Method and system for accessing a service |
| CN104052682B (zh) | 2013-03-13 | 2018-04-10 | 华为终端(东莞)有限公司 | 一种网络接入方法及设备、系统 |
| US9403482B2 (en) | 2013-11-22 | 2016-08-02 | At&T Intellectual Property I, L.P. | Enhanced view for connected cars |
| US9585177B2 (en) * | 2013-12-11 | 2017-02-28 | At&T Intellectual Property I, L.P. | Cellular connection sharing |
| US9426649B2 (en) * | 2014-01-30 | 2016-08-23 | Intel IP Corporation | Apparatus, system and method of securing communications of a user equipment (UE) in a wireless local area network |
| US9251334B1 (en) * | 2014-01-30 | 2016-02-02 | Amazon Technologies, Inc. | Enabling playback of media content |
| US20150317758A1 (en) * | 2014-04-30 | 2015-11-05 | Desire2Learn Incorporated | Systems and method for associating a resource with a course |
| US9872174B2 (en) | 2014-09-19 | 2018-01-16 | Google Inc. | Transferring application data between devices |
| JP6536037B2 (ja) * | 2014-09-25 | 2019-07-03 | 株式会社バッファロー | 通信システム、情報処理装置、情報処理装置における通信方法及びプログラム |
| US20190089806A1 (en) * | 2017-09-15 | 2019-03-21 | Qualcomm Incorporated | Provisioning a device for use in a personal area network |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1178693A1 (en) * | 2000-08-03 | 2002-02-06 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Method for accessing a cellular telecommunication network |
| JP2007528162A (ja) * | 2004-03-02 | 2007-10-04 | ノキア コーポレイション | 信頼できる通信相手間に、および、信頼できない通信相手間に提供するアドホックサービスの課金処理を行う方法および装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050272408A1 (en) * | 2004-06-04 | 2005-12-08 | Deanna Wilkes-Gibbs | Method for personal notification indication |
-
2007
- 2007-02-06 JP JP2008536872A patent/JP4864094B2/ja not_active Expired - Fee Related
- 2007-02-06 WO PCT/JP2007/052440 patent/WO2007091699A2/en active Application Filing
- 2007-02-06 US US12/159,888 patent/US8276189B2/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1178693A1 (en) * | 2000-08-03 | 2002-02-06 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Method for accessing a cellular telecommunication network |
| JP2007528162A (ja) * | 2004-03-02 | 2007-10-04 | ノキア コーポレイション | 信頼できる通信相手間に、および、信頼できない通信相手間に提供するアドホックサービスの課金処理を行う方法および装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007091699A2 (en) | 2007-08-16 |
| WO2007091699A3 (en) | 2007-11-15 |
| US20100229229A1 (en) | 2010-09-09 |
| US8276189B2 (en) | 2012-09-25 |
| JP2009526418A (ja) | 2009-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4864094B2 (ja) | 通信制御システム | |
| CN110557751B (zh) | 基于服务器信任评估的认证 | |
| US20200153830A1 (en) | Network authentication method, related device, and system | |
| US8913995B2 (en) | Ticket-based configuration parameters validation | |
| KR101556046B1 (ko) | 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정 | |
| RU2406252C2 (ru) | Способ и система предоставления защищенной связи с использованием сотовой сети для множества устройств специализированной связи | |
| RU2440688C2 (ru) | Профиль пользователя, политика и распределение ключей pmip в сети беспроводной связи | |
| KR101068424B1 (ko) | 통신시스템을 위한 상호동작 기능 | |
| US20080026724A1 (en) | Method for wireless local area network user set-up session connection and authentication, authorization and accounting server | |
| US20140310782A1 (en) | Ticket-based spectrum authorization and access control | |
| EP2534889B1 (en) | Method and apparatus for redirecting data traffic | |
| KR20060056956A (ko) | 재전송을 이용한 네트워크로의 액세스 제어 | |
| CN104956638A (zh) | 用于在热点网络中未知设备的受限证书注册 | |
| WO2009135367A1 (zh) | 用户设备验证方法、设备标识寄存器以及接入控制系统 | |
| WO2007106620A2 (en) | Method for authenticating a mobile node in a communication network | |
| WO2019137030A1 (zh) | 安全认证方法、相关设备及系统 | |
| JP2022043175A (ja) | コアネットワークへの非3gpp装置アクセス | |
| CN115706997A (zh) | 授权验证的方法及装置 | |
| WO2022247812A1 (zh) | 一种鉴权方法、通信装置和系统 | |
| US9137661B2 (en) | Authentication method and apparatus for user equipment and LIPA network entities | |
| CN114946153A (zh) | 与服务应用进行加密通信的通信网络中的应用密钥生成与管理的方法、设备及系统 | |
| WO2010124569A1 (zh) | 用户接入控制方法和系统 | |
| WO2008148348A1 (fr) | Procédé de communication, système et station de base domestique | |
| US11546339B2 (en) | Authenticating client devices to an enterprise network | |
| KR101068426B1 (ko) | 통신시스템을 위한 상호동작 기능 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091215 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110802 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111003 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111025 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111108 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141118 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |