JP2019020902A - Authentication server, authentication core system, authentication system, and authentication method - Google Patents

Authentication server, authentication core system, authentication system, and authentication method Download PDF

Info

Publication number
JP2019020902A
JP2019020902A JP2017137094A JP2017137094A JP2019020902A JP 2019020902 A JP2019020902 A JP 2019020902A JP 2017137094 A JP2017137094 A JP 2017137094A JP 2017137094 A JP2017137094 A JP 2017137094A JP 2019020902 A JP2019020902 A JP 2019020902A
Authority
JP
Japan
Prior art keywords
authentication
user information
terminal
token
lte
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017137094A
Other languages
Japanese (ja)
Other versions
JP6901922B2 (en
Inventor
浩 江副
Hiroshi Ezoe
浩 江副
可久 伊藤
Yoshihisa Ito
可久 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lte X Inc
Original Assignee
Lte X Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lte X Inc filed Critical Lte X Inc
Priority to JP2017137094A priority Critical patent/JP6901922B2/en
Publication of JP2019020902A publication Critical patent/JP2019020902A/en
Application granted granted Critical
Publication of JP6901922B2 publication Critical patent/JP6901922B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】平易な操作ながらも、安全性が高く通信処理の負担を抑制し得る認証技術を提供する。【解決手段】認証サーバは、アプリケーションサーバへのアクセスを要求する第1の端末に第1のトークンを送信し、LTE通信が可能な第2の端末から発信され、EPCを経由して送信された第2のトークンを受信し、第1のトークンと第2のトークンが一致するか否かを判定し、第1のトークンと第2のトークンが一致する場合に、EPCから第2の端末に関するLTE通信の利用者を特定するLTE利用者情報を取得し、LTE利用者情報が、アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている情報か否かを判定し、LTE利用者情報が、アプリケーション利用者情報のデータベースへのログインが許可されている場合、アプリケーションサーバに対し、第1の端末からのアクセス要求を許可するログイン許可を送信する。【選択図】図2PROBLEM TO BE SOLVED: To provide an authentication technique capable of suppressing a burden of communication processing with high security while being simple operation. An authentication server transmits a first token to a first terminal requesting access to an application server, is transmitted from a second terminal capable of LTE communication, and is transmitted via an EPC. The second token is received, it is determined whether the first token and the second token match, and if the first token and the second token match, the LTE related to the second terminal from the EPC Information that acquires LTE user information that identifies communication users, and that the LTE user information is permitted to log in to the application user information database that identifies users who are permitted to access the application server. If it is determined whether or not the LTE user information is permitted to log in to the application user information database, a login permission is sent to the application server to allow an access request from the first terminal. .. [Selection diagram] Fig. 2

Description

本発明は、認証サーバ、認証コアシステム、認証システム及び認証方法に関する。   The present invention relates to an authentication server, an authentication core system, an authentication system, and an authentication method.

不正なアクセス等の防止のため、セキュリティの強固な認証方法が求められている。その一方で、一般に用いられている認証方法においては、パスワードや生体認証情報等の入力が必要であり、煩雑な操作が必要になることも多い。   In order to prevent unauthorized access, a strong security authentication method is required. On the other hand, generally used authentication methods require input of a password, biometric authentication information, etc., and often require complicated operations.

特許文献1は、少なくとも2台の端末を組み合わせたプッシュ認証を採用した認証システムを開示している。これにより、セキュリティを高めつつ平易な操作による認証の実現を目指している。   Patent Document 1 discloses an authentication system that employs push authentication in which at least two terminals are combined. This aims to realize authentication by simple operation while enhancing security.

特許第6104439号公報Japanese Patent No. 6104439

特許文献1に開示された様な認証システムは、その認証の信頼性が、端末の固有の識別情報である端末IDに依存している。このような端末IDは偽装の防止に限界があり、偽装がされてしまうとセキュリティが低下するおそれがある。   In the authentication system as disclosed in Patent Document 1, the reliability of authentication depends on the terminal ID, which is identification information unique to the terminal. Such a terminal ID has a limit in prevention of impersonation, and if it is impersonated, there is a possibility that security is lowered.

本発明は、平易な認証操作と高度なセキュリティを両立し得る認証技術を提供する。   The present invention provides an authentication technique that can achieve both a simple authentication operation and high security.

本発明の認証サーバは、アプリケーションサーバへのアクセスを要求する第1の端末に第1のトークンを送信し、LTE通信が可能な第2の端末から発信され、EPCを経由して送信された第2のトークンを受信し、前記第1のトークンと前記第2のトークンが一致するか否かを判定し、前記第1のトークンと前記第2のトークンが一致する場合に、前記EPCから前記第2の端末に関するLTE通信の利用者を特定するLTE利用者情報を取得し、前記LTE利用者情報が、前記アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている情報か否かを判定し、前記LTE利用者情報が、前記アプリケーション利用者情報のデータベースへのログインが許可されている情報である場合、前記アプリケーションサーバに対し、前記第1の端末からのアクセス要求を許可するログイン許可を送信する。   The authentication server of the present invention transmits the first token to the first terminal that requests access to the application server, is transmitted from the second terminal capable of LTE communication, and is transmitted via the EPC. 2 tokens are received, it is determined whether or not the first token and the second token match, and when the first token and the second token match, the EPC receives the second token. LTE user information specifying a user of LTE communication related to the second terminal is acquired, and the LTE user information is stored in an application user information database that specifies a user permitted to access the application server. It is determined whether login is permitted or not, and the LTE user information is permitted to log in to the application user information database. If the information that is relative to the application server sends a login authorization to allow access request from the first terminal.

本発明の認証サーバが実施する認証方法は、アプリケーションサーバへのアクセスを要求する第1の端末に第1のトークンを送信し、LTE通信が可能な第2の端末から発信され、EPCを経由して送信された第2のトークンを受信し、前記第1のトークンと前記第2のトークンが一致するか否かを判定し、前記第1のトークンと前記第2のトークンが一致する場合に、前記EPCから前記第2の端末に関するLTE通信の利用者を特定するLTE利用者情報を取得し、前記LTE利用者情報が、前記アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている情報か否かを判定し、前記LTE利用者情報が、前記アプリケーション利用者情報のデータベースへのログインが許可されている情報である場合、前記アプリケーションサーバに対し、前記第1の端末からのアクセス要求を許可するログイン許可を送信する。   The authentication method implemented by the authentication server of the present invention transmits a first token to a first terminal that requests access to an application server, is transmitted from a second terminal capable of LTE communication, and passes through an EPC. Receiving the second token transmitted in step S4, determining whether the first token and the second token match, and if the first token and the second token match, An application user who acquires LTE user information for specifying a user of LTE communication related to the second terminal from the EPC, and for which the LTE user information specifies a user permitted to access the application server. It is determined whether or not login to the information database is permitted, and the LTE user information is a database of the application user information. If the information that login to have been permitted, to the application server sends a login authorization to allow access request from the first terminal.

本発明の認証技術は、ユーザ操作の負担を抑制しつつも、より安全性を高めるとともに、通信処理の負担を抑制することが可能となる。   The authentication technique of the present invention can further improve the safety and suppress the burden of communication processing while suppressing the burden of user operation.

本発明の一実施形態である認証システムの概要図。1 is a schematic diagram of an authentication system according to an embodiment of the present invention. 実施形態の認証システムが実行するシーケンスを示すシーケンス図。The sequence diagram which shows the sequence which the authentication system of embodiment performs.

以下、図面を用いて、本発明に係る通信方法の具体的な実施の形態について詳述する。特許文献1に記載された従来技術は、認証時に、例えばユーザIDやカードIDといった識別情報以外の知識認証情報、所有物認証情報、及び生体認証情報の入力を必要としない簡便な認証方法を実現することを目的としている。また、プッシュ認証が要求されると、プッシュIDを生成し、第1の端末及び第2の端末に送信し、第1の端末経由のプッシュIDと第2の端末経由のプッシュIDを照合することにより、セキュリティの強固な認証方法を実現することを目的としている。   Hereinafter, specific embodiments of a communication method according to the present invention will be described in detail with reference to the drawings. The prior art described in Patent Document 1 realizes a simple authentication method that does not require input of knowledge authentication information other than identification information such as a user ID and a card ID, property authentication information, and biometric information at the time of authentication. The purpose is to do. Also, when push authentication is requested, a push ID is generated and transmitted to the first terminal and the second terminal, and the push ID via the first terminal and the push ID via the second terminal are collated. The purpose is to realize a strong security authentication method.

ところが、上記従来技術は、その認証の信頼性が、第2の端末4の固有の識別情報である端末IDに依存している。このような端末IDは、偽装(例えば他人の端末のMACアドレスの複製など)に対する防衛策に限界があり、ある程度の偽装の可能性が否定できないという意味から、依然として安全性に懸念が残る。   However, in the above prior art, the reliability of authentication depends on the terminal ID that is unique identification information of the second terminal 4. Such a terminal ID has a limit in the defensive measures against impersonation (for example, duplication of the MAC address of another person's terminal), and there still remains a concern about safety in the sense that the possibility of impersonation to some extent cannot be denied.

また、第1の端末3の操作を契機とする第2の端末4へのプッシュ通知が、任意のタイミングで発生する可能性があるため、第2の端末4に対して、常時ログインの許可がなされている状態を維持するための通信が必要となる。これにより、通信シーケンス、通信コストの増加といった通信負担の増加を招くおそれがある。   In addition, since there is a possibility that a push notification to the second terminal 4 triggered by the operation of the first terminal 3 may occur at an arbitrary timing, the second terminal 4 is always permitted to log in. Communication is necessary to maintain the state made. This may lead to an increase in communication burden such as an increase in communication sequence and communication cost.

図1は、本発明の一実施形態の認証システム100の概要図であり、上述した様な課題の解消を実現するものである。図示した認証システム100はあくまで一実施形態であり、本発明が適用される認証システムはこのような形態に限定されるものではない。実施形態の認証システム100は、第1の端末10と、第2の端末20と、アプリケーションサーバ(APサーバ)30と、認証サーバ40と、EPC(Evolved Packet Core)50と、を含む。また、認証サーバ40とEPC50は、認証コアシステム60を構成する。尚、本明細書において、「サーバ」は、1つのサーバのみならず、複数のサーバにより構成されるものも含む。   FIG. 1 is a schematic diagram of an authentication system 100 according to an embodiment of the present invention, which realizes the solution of the problems as described above. The illustrated authentication system 100 is only one embodiment, and the authentication system to which the present invention is applied is not limited to such a form. The authentication system 100 according to the embodiment includes a first terminal 10, a second terminal 20, an application server (AP server) 30, an authentication server 40, and an EPC (Evolved Packet Core) 50. Further, the authentication server 40 and the EPC 50 constitute an authentication core system 60. In the present specification, the “server” includes not only one server but also a plurality of servers.

第1の端末10及び第2の端末20は、PC、スマートフォン、タブレット端末、ICカードリーダライタを備える端末、携帯端末と通信可能な端末等の任意の適切な端末を用いることができる。ここで、少なくとも第2の端末20はLTE(Long Term Evolution)通信が可能であり、通信プロトコルとしてLTEプロトコルのデータ(具体的にはパケットデータ)を通信対象としたLTE通信システム下で通信を行う端末である。LTEは、3GPP(Third Generation Partnership Project)により制定された、第3世代移動体通信規格(3G)を更に高速化させたものであり、3.9Gまたは4Gと呼ばれる。   As the first terminal 10 and the second terminal 20, any appropriate terminal such as a PC, a smartphone, a tablet terminal, a terminal including an IC card reader / writer, a terminal capable of communicating with a portable terminal, or the like can be used. Here, at least the second terminal 20 is capable of LTE (Long Term Evolution) communication, and performs communication under an LTE communication system that uses LTE protocol data (specifically, packet data) as a communication protocol. It is a terminal. LTE is a further speed-up of the third generation mobile communication standard (3G) established by 3GPP (Third Generation Partnership Project), and is called 3.9G or 4G.

また、第2の端末20は撮影機能を持つ撮影装置(カメラ)を有している。撮影装置は、第2の端末20の内部に組み込まれるものであっても、第2の端末20とは別体で、第2の端末20に接続されるものであってもよい。   The second terminal 20 has a photographing device (camera) having a photographing function. The imaging device may be incorporated in the second terminal 20 or may be connected to the second terminal 20 separately from the second terminal 20.

アプリケーションサーバ(APサーバ)30は、ユーザが第1の端末10を用いてアクセスを要求するアプリケーション(サイト等)を記憶するサーバであり、アプリケーションによるサービスを提供する事業者等が設置する。本実施形態による認証後に、第1の端末10は、アプリケーションサーバ30に実質的にアクセス可能となる。   The application server (AP server) 30 is a server that stores an application (site or the like) that a user requests access using the first terminal 10, and is installed by a provider that provides a service by the application. After the authentication according to the present embodiment, the first terminal 10 can substantially access the application server 30.

認証サーバ40は、認証の実行主体となるサーバであり、本実施形態ではアプリケーションサーバ30にログインを試みる端末がアクセスを許可されたものか否かを判定(認証)し、ひいては不正なアクセスを防止するためのものである。アプリケーションサーバ30は、上述したサービスの事業者等が設置することが多い。アプリケーションサーバ30と認証サーバ40は一体になって提供されてもよい。   The authentication server 40 is a server that performs authentication. In this embodiment, the authentication server 40 determines (authenticates) whether or not a terminal that attempts to log in to the application server 30 is permitted to access, thereby preventing unauthorized access. Is to do. The application server 30 is often installed by the service provider described above. The application server 30 and the authentication server 40 may be provided integrally.

認証サーバ40は、認証処理部41と、利用者情報管理部42とを含む。認証処理部41は認証サーバ40による認証処理の主要部分を担う制御部である。利用者情報管理部42は、個々の端末固有のID(例えば端末のMACアドレスの様な物理アドレス)ではなく、認証システム100の利用者、特にアプリケーションサーバ30が提供するアプリケーションを利用するため、アプリケーションサーバ30へのアクセスが予め許可された利用者を特定する情報(アプリケーション利用者情報)を記憶し、管理する。すなわち、利用者情報管理部42は、アプリケーション利用者情報のデータベースとして機能する。ここでの利用者情報には、例えば、IMSI(International Mobile Subscriber Identity)、電話番号、他の契約者情報(認証システム用に独自に付与された独自ID等)があり、例えば通信会社が顧客毎に提供する回線ID(顧客ID)を含む。   The authentication server 40 includes an authentication processing unit 41 and a user information management unit 42. The authentication processing unit 41 is a control unit that bears the main part of the authentication processing by the authentication server 40. The user information management unit 42 uses an application provided by the user of the authentication system 100, particularly the application server 30, not an ID unique to each terminal (for example, a physical address such as the MAC address of the terminal). Information (application user information) that identifies users who are permitted to access the server 30 in advance is stored and managed. That is, the user information management unit 42 functions as a database of application user information. The user information here includes, for example, IMSI (International Mobile Subscriber Identity), telephone number, and other contractor information (such as a unique ID uniquely assigned for the authentication system). The line ID (customer ID) to be provided is included.

EPC50は、3GPPのRelease8で標準化されたコアネットワークであり、3GPPにより制定されたLTEと同時期に制定され、多様な無線アクセスを収容することができる。EPC50は、S−GW(Serving Gateway)51と、P−GW(Packet Data Network-Gateway)52と、API(Application Programming Interface)提供部53と、AAAサーバ(トリプルエーサーバ)54と、HSS(Home Subscriber Server)55と、MME(Mobility Management Entity)56とを含む。ただし、EPC50はこのような構成には限定されず、他の付随的な要素を含むことができる。   The EPC 50 is a core network standardized by Release 8 of 3GPP, and is established at the same time as LTE established by 3GPP, and can accommodate various wireless accesses. The EPC 50 includes an S-GW (Serving Gateway) 51, a P-GW (Packet Data Network-Gateway) 52, an API (Application Programming Interface) providing unit 53, an AAA server (Triple Aserver) 54, and an HSS (Home). Subscriber Server) 55 and MME (Mobility Management Entity) 56 are included. However, the EPC 50 is not limited to such a configuration, and may include other incidental elements.

S−GW51、P−GW52は、例えばユーザデータであるUプレーンデータの伝送を処理するESPGW(EPC Serving and PDN Gateway)を構成する。S−GW51は3GPPアクセスシステムを収容し、データを伝送するパケットゲートウェイである。P−GW52は外部ネットワーク(PDN)との接続点でIPアドレスの割り当てや、パケット転送等を行うゲートウェイである。   The S-GW 51 and the P-GW 52 constitute, for example, an ESPG (EPC Serving and PDN Gateway) that processes transmission of U-plane data that is user data. The S-GW 51 is a packet gateway that accommodates the 3GPP access system and transmits data. The P-GW 52 is a gateway that performs IP address assignment, packet transfer, and the like at a connection point with an external network (PDN).

MME56はS−GW51に接続され、EPC50に接続されたアクセスポイントを収容し、移動制御などを提供する論理ノードであって、位置登録、ページング、ハンドオーバー等の移動制御およびベアラ(データの伝送経路)の確立または削除を行う。   The MME 56 is a logical node that is connected to the S-GW 51, accommodates an access point connected to the EPC 50, and provides mobility control and the like, and includes mobility control such as location registration, paging, handover, and bearer (data transmission path). ) Is established or deleted.

HSS55は、LTEにおける加入者管理データベースあって、LTE通信のサービスに加入し、LTE通信を利用する利用者を特定するLTE利用者情報を登録するデータベースである。HSS55は、LTE利用者情報として、回線ID等など共に、利用者の契約情報、認証情報、位置情報等の管理をも行う。MME56は、HSS55から通知される認証情報に基づき、ユーザ認証を実施する。このようなLTE利用者情報は、一般的に第2の端末20等に装着されるSIM(Subscriber Identity Module)にも記憶されLTE通信システムを利用する利用者を特定する。   The HSS 55 is a subscriber management database in LTE, and is a database for registering LTE user information for specifying a user who subscribes to an LTE communication service and uses the LTE communication. The HSS 55 also manages user contract information, authentication information, location information, and the like as LTE user information together with a line ID and the like. The MME 56 performs user authentication based on the authentication information notified from the HSS 55. Such LTE user information is generally stored in a SIM (Subscriber Identity Module) attached to the second terminal 20 or the like, and identifies a user who uses the LTE communication system.

AAAサーバ54はP−GW52に接続され、認証に基づき、データベースなどのリソースに対するアクセス制御を行うものであり、RADIUS(Remote Authentication Dial In User Service)等が含まれる。また、AAAサーバ54は、各端末に対するIPアドレスの払い出し(付与)を行うIPアドレス払出部として機能するとともに、各端末の電話番号および/又はIMSIとIPアドレスを対応付けて記憶している。特にAAAサーバ54は、LTE通信の利用者が用いる第2の端末20のIPアドレスを少なくとも予め保持しており(例えば利用者のLTE通信サービスへの加入時に登録)、IPアドレスを保持していないHSS55とは異なる。AAAサーバ54はHSS55と同様にLTE利用者情報のデータベースとして機能する。後述するように、AAAサーバ54、HSS55を含むLTE利用者情報のデータベースに登録されたLTE利用者情報は、認証サーバ40の利用者情報管理部(アプリケーション利用者情報のデータベース)42に登録されたアプリケーション利用者情報と、共通する情報の形式(種々の回線ID等)を有しており、両者は対比可能である。   The AAA server 54 is connected to the P-GW 52 and controls access to resources such as a database based on authentication, and includes RADIUS (Remote Authentication Dial In User Service) and the like. The AAA server 54 functions as an IP address issuing unit that issues (assigns) an IP address to each terminal, and stores the telephone number and / or IMSI of each terminal in association with the IP address. In particular, the AAA server 54 holds at least the IP address of the second terminal 20 used by the user of LTE communication (for example, registered when the user subscribes to the LTE communication service), and does not hold the IP address. Different from HSS55. The AAA server 54 functions as a database of LTE user information like the HSS 55. As will be described later, the LTE user information registered in the LTE user information database including the AAA server 54 and the HSS 55 is registered in the user information management unit (application user information database) 42 of the authentication server 40. It has application user information and a common information format (various line IDs, etc.), which can be compared.

API提供部53は、認証サーバ40の認証処理部41と、EPC50のAAAサーバ54及びHSS55との間の情報のやり取りに関するインターフェースの役割を担う。特にAPI提供部53は、認証サーバ40から受信した第2の端末20のIPアドレスを、最初にAAAサーバ54に問い合わせる。   The API providing unit 53 plays a role of an interface related to the exchange of information between the authentication processing unit 41 of the authentication server 40 and the AAA server 54 and the HSS 55 of the EPC 50. In particular, the API providing unit 53 first queries the AAA server 54 for the IP address of the second terminal 20 received from the authentication server 40.

図2は、実施形態の認証システム100が実行するシーケンスを示すシーケンス図である。まず、ユーザがPCの如き第1の端末10を利用して、アプリケーションサーバ30に対し、提供するアプリケーションのサイトにアクセスするため、ログインの要求を試みる(ステップS101)。この要求を受けたアプリケーションサーバ30は、認証サーバ40に対し、このログイン要求を通知して問い合わせる(ステップS102)。認証サーバ40の認証処理部41は、ログインのための第1のトークンを生成し、ログイン要求元の第1の端末10に対し送信する(ステップS103)。ここでのトークンは、認証サーバ40等の装置が生成する、一度の認証処理のみに利用可能なワンタイムパスワードに相当し、認証に必要な情報を意味する。   FIG. 2 is a sequence diagram illustrating a sequence executed by the authentication system 100 according to the embodiment. First, the user attempts a login request to access the application site to be provided to the application server 30 using the first terminal 10 such as a PC (step S101). Upon receiving this request, the application server 30 notifies the authentication server 40 by notifying this login request (step S102). The authentication processing unit 41 of the authentication server 40 generates a first token for login and transmits it to the first terminal 10 that is the login request source (step S103). The token here corresponds to a one-time password generated by a device such as the authentication server 40 and usable only for one-time authentication processing, and means information necessary for authentication.

第1のトークンを受信した第1の端末10は、トークンをQRコード(登録商標)等のような、外部の撮影装置等が読み取り可能な表示形式に変換し、その表示画面に表示する(ステップS104)。ユーザは、スマートフォンの如き第2の端末20の撮影装置を用いて、表示されたQRコード等を読取り、撮影し、第1のトークンを第2の端末20に収納する(ステップS105)。第2の端末20は、撮影した第1のトークンに基づき、実質的に同一の第2のトークンをEPC50に送信する(ステップS106)。   The first terminal 10 that has received the first token converts the token into a display format, such as a QR code (registered trademark), which can be read by an external photographing device and the like, and displays it on the display screen (step). S104). The user reads and captures the displayed QR code or the like using the photographing device of the second terminal 20 such as a smartphone, and stores the first token in the second terminal 20 (step S105). The second terminal 20 transmits substantially the same second token to the EPC 50 based on the photographed first token (step S106).

EPC50のS−GW51及びP−GW52は、受信した第2のトークンを、第2の端末20のIPアドレスと共に認証サーバ40に送信する(ステップS107)。認証サーバ40の認証処理部41は、第2の端末20から発信され、EPC50を経由して(ステップS106参照)送信された第2のトークンと、自らが生成し、第1の端末10に送信した第1のトークン(ステップS103参照)とが一致するか否かを判定する(ステップS108)。第1のトークンと第2のトークンが一致する場合、認証処理部41は、ステップS106において第2のトークンを送信した送信元の第2の端末20の利用者情報、特にLTE利用者情報を要求する問い合わせを、第2の端末20のIPアドレスと共にEPC50に送信する(ステップS109)。   The S-GW 51 and the P-GW 52 of the EPC 50 transmit the received second token together with the IP address of the second terminal 20 to the authentication server 40 (step S107). The authentication processing unit 41 of the authentication server 40 generates the second token transmitted from the second terminal 20 and transmitted via the EPC 50 (see step S106), and is transmitted to the first terminal 10 by itself. It is determined whether or not the first token (see step S103) matches (step S108). When the first token and the second token match, the authentication processing unit 41 requests user information of the second terminal 20 that has transmitted the second token in step S106, particularly LTE user information. The inquiry to be transmitted is transmitted to the EPC 50 together with the IP address of the second terminal 20 (step S109).

問い合わせを受信したEPC50のAPI提供部53は、LTE利用者情報のデータベースであるAAAサーバ54及びHSS55に対し、受信した第2の端末20のIPアドレスに対応するLTE利用者情報が登録されているか否かについて問い合わせる(ステップS110)。ここでAPI提供部53は、認証サーバ40から受信したIPアドレスを、まずはIPアドレスを保持しているAAAサーバ54に問い合わせる(HSS55はIPアドレスを保持していない)。ここで、認証サーバ40の利用者情報管理部42には、アプリケーション利用者情報として電話番号が登録されており、AAAサーバ54にはIPアドレスに対応したLTE利用者情報として、1)電話番号、または、2)IMSI、が登録されているケースを想定する。   The API providing unit 53 of the EPC 50 that has received the inquiry has registered the LTE user information corresponding to the received IP address of the second terminal 20 in the AAA server 54 and the HSS 55 that are LTE user information databases. An inquiry is made as to whether or not (step S110). Here, the API providing unit 53 inquires of the AAA server 54 that holds the IP address for the IP address received from the authentication server 40 (the HSS 55 does not hold the IP address). Here, in the user information management unit 42 of the authentication server 40, a telephone number is registered as application user information, and in the AAA server 54, as LTE user information corresponding to the IP address, 1) a telephone number, Or, 2) Assume a case where IMSI is registered.

1)のケースにおいて、API提供部53は、IPアドレスに基づき電話番号を取得することができる。API提供部53がこの取得した電話番号を、後述するステップS111で認証サーバ40に送信することにより、認証サーバ40は利用者情報管理部42に登録された電話番号を参照してログイン許可の確認が可能となるため(後述するステップS112)、ステップS110はここで終了する。   In the case of 1), the API providing unit 53 can acquire a telephone number based on the IP address. The API providing unit 53 transmits the acquired telephone number to the authentication server 40 in step S111 described later, whereby the authentication server 40 refers to the telephone number registered in the user information management unit 42 and confirms the login permission. Therefore, step S110 ends here.

一方、2)のケースにおいて、API提供部53は、AAAサーバ54への問い合わせのみでは、IMSIを取得できても電話番号を取得することはできず、後述するステップS112が不可能となる。   On the other hand, in the case of 2), the API providing unit 53 cannot acquire the telephone number even if it can acquire the IMSI only by making an inquiry to the AAA server 54, and step S112 described later becomes impossible.

そこで2)のケースにおいては、AAAサーバ54への問い合わせから、まずAPI提供部53はIPアドレスに対応するIMSIを取得し、次に当該IMSIから、HSS55に登録されているLTE利用者情報としての電話番号を取得する。この取得した電話番号により、後に説明する様にステップS111以降の処理が可能となる。   Therefore, in the case of 2), from the inquiry to the AAA server 54, the API providing unit 53 first acquires the IMSI corresponding to the IP address, and then uses the IMSI as the LTE user information registered in the HSS 55. Get a phone number. With this acquired telephone number, the processing after step S111 becomes possible as will be described later.

尚、利用者情報管理部42のアプリケーション利用者情報の種別と、AAAサーバ54のLTE利用者情報の種別には、それぞれ以下のようなものが挙げられる。   The types of application user information of the user information management unit 42 and the types of LTE user information of the AAA server 54 are as follows.

・利用者情報管理部42のアプリケーション利用者情報・・・(A)電話番号、(B)IMSI、(C)他の契約者情報
・AAAサーバ54のLTE利用者情報・・・(1)電話番号、(2)IMSI Application user information of user information management unit 42 (A) telephone number, (B) IMSI, (C) other contractor information LTE user information of AAA server 54 (1) Telephone Number, (2) IMSI

上記のような想定において、(A)及び(1)の組み合わせ、又は、(B)及び(2)の組み合わせが認証コアシステム60に存在している場合、API提供部53は、HSS55を参照せずに、取得した電話番号又はIMSIを認証サーバ40に送信すればよい。利用者情報管理部42のアプリケーション利用者情報の種別と、AAAサーバ54のLTE利用者情報の種別の組み合わせは任意であり、両者に共通の種別(電話番号又はIMSI)があれば、API提供部53は、AAAサーバ54のみを参照して取得した電話番号又はIMSIを認証サーバ40に送信すればよい。この部分の処理は、利用者情報管理部42、AAAサーバ54への利用者情報の登録の実装に依存し、必要に応じてAPI提供部53の処理方法を変更すればよい。   In the above assumption, when the combination of (A) and (1) or the combination of (B) and (2) exists in the authentication core system 60, the API providing unit 53 refers to the HSS 55. Instead, the acquired telephone number or IMSI may be transmitted to the authentication server 40. The combination of the application user information type of the user information management unit 42 and the LTE user information type of the AAA server 54 is arbitrary, and if both have a common type (phone number or IMSI), the API providing unit 53 may transmit the telephone number or IMSI acquired by referring only to the AAA server 54 to the authentication server 40. The processing of this part depends on the implementation of registration of user information in the user information management unit 42 and the AAA server 54, and the processing method of the API providing unit 53 may be changed as necessary.

上述した様に、LTE利用者情報のデータベース(AAAサーバ54及びHSS55)から第2の端末20のIPアドレスに対応するLTE利用者情報(電話番号又はIMSI)を取得すると、API提供部53は、当該LTE利用者情報を認証サーバ40に送信(ステップS109への応答)する(ステップS111)。LTE利用者情報を受信した認証サーバ40の認証処理部41は、利用者情報管理部(アプリケーション利用者情報のデータベース)42に対し、LTE利用者情報を問い合わせて、少なくとも当該LTE利用者情報が、利用者情報管理部42へのログインを許可されている情報か否か(または利用者情報管理部42への登録そのもの)を確認する(ステップS112)。利用者情報管理部42において、問い合わせたLTE利用者情報のログイン許可(または利用者情報管理部42における当該LTE利用者情報の登録)が確認されたら(ステップS113)、認証処理部41は、アプリケーションサーバ30に対し、第1の端末10からのアクセス要求(ログイン要求)を許可するログイン許可を送信する(ステップS114)。ログイン許可を受信したアプリケーションサーバ30は、ログイン後の画面を表示、すなわち第1の端末10をログイン後の画面にリダイレクトする(ステップS115)。これにより、ユーザは、第1の端末10を用いてアプリケーションサーバ30にアクセス可能となる。   As described above, when the LTE user information (phone number or IMSI) corresponding to the IP address of the second terminal 20 is acquired from the LTE user information database (AAA server 54 and HSS 55), the API providing unit 53 The LTE user information is transmitted to the authentication server 40 (response to step S109) (step S111). Upon receiving the LTE user information, the authentication processing unit 41 of the authentication server 40 inquires of the user information management unit (application user information database) 42 about the LTE user information, and at least the LTE user information is It is confirmed whether or not the information is permitted to log in to the user information management unit 42 (or registration itself in the user information management unit 42) (step S112). When the user information management unit 42 confirms the login permission of the inquired LTE user information (or registration of the LTE user information in the user information management unit 42) (step S113), the authentication processing unit 41 A login permission for permitting an access request (login request) from the first terminal 10 is transmitted to the server 30 (step S114). The application server 30 that has received the login permission displays the screen after login, that is, redirects the first terminal 10 to the screen after login (step S115). As a result, the user can access the application server 30 using the first terminal 10.

本発明においては、EPCがトークンを送信する第2の端末の利用者情報(LTE利用者情報)を管理しており、認証はこのLTE利用者情報とアプリケーション利用者情報に基づいて実行される。よって、本発明によれば、端末固有の端末ID、特に第2の端末の固有IDに依存した認証処理を排除することができ、より安全に認証を行うことが可能となる。   In the present invention, the EPC manages user information (LTE user information) of the second terminal that transmits the token, and authentication is executed based on the LTE user information and application user information. Therefore, according to the present invention, it is possible to eliminate the authentication process depending on the terminal ID unique to the terminal, particularly the unique ID of the second terminal, and it is possible to perform authentication more safely.

本発明においては、認証サーバが第2の端末から送信されるトークンの受信を契機として認証を開始するため、第2の端末に対するプッシュ通知を削除することが可能となり、通信シーケンス、通信コストを削減することが可能となる。   In the present invention, since the authentication server starts authentication upon reception of a token transmitted from the second terminal, it is possible to delete the push notification to the second terminal, and reduce the communication sequence and communication cost. It becomes possible to do.

よって、本発明によれば、二つの端末を通じたトークンによる認証により、ユーザ操作の負担を抑制しつつも、より安全性を高め、通信処理の負担を抑制することが可能となる。   Therefore, according to the present invention, it is possible to improve the safety and suppress the burden of communication processing while suppressing the burden of user operation by the authentication by the token through the two terminals.

尚、本発明は、上述した実施形態に限定されるものではなく、適宜、変形、改良、等が可能である。その他、上述した実施形態における各構成要素の材質、形状、寸法、数値、形態、数、配置箇所、等は本発明を達成できるものであれば任意であり、限定されない。   In addition, this invention is not limited to embodiment mentioned above, A deformation | transformation, improvement, etc. are possible suitably. In addition, the material, shape, dimension, numerical value, form, number, arrangement location, and the like of each component in the above-described embodiment are arbitrary and are not limited as long as the present invention can be achieved.

本発明によれば、平易な操作ながらも、安全性が高く通信処理の負担を抑制し得る認証技術が提供され得る。   ADVANTAGE OF THE INVENTION According to this invention, the authentication technique which can suppress the burden of communication processing with high safety | security can be provided, though it is easy operation.

10 第1の端末
20 第2の端末
30 アプリケーションサーバ(APサーバ)
40 認証サーバ
41 認証処理部
42 利用者情報管理部(アプリケーション利用者情報のデータベース)
50 EPC
51 S−GW
52 P−GW
53 API提供部
54 AAAサーバ(LTE利用者情報のデータベース)
55 HSS(LTE利用者情報のデータベース)
56 MME
60 認証コアシステム
100 認証システム 10 First terminal 20 Second terminal 30 Application server (AP server)
40 Authentication Server 41 Authentication Processing Unit 42 User Information Management Unit (Application User Information Database)
50 EPC
51 S-GW
52 P-GW
53 API providing unit 54 AAA server (LTE user information database)
55 HSS (LTE user information database)
56 MME
60 Authentication Core System 100 Authentication System

Claims (7)

認証サーバであって、
アプリケーションサーバへのアクセスを要求する第1の端末に第1のトークンを送信し、
LTE通信が可能な第2の端末から発信され、EPCを経由して送信された第2のトークンを受信し、
前記第1のトークンと前記第2のトークンが一致するか否かを判定し、
前記第1のトークンと前記第2のトークンが一致する場合に、前記EPCから前記第2の端末に関するLTE通信の利用者を特定するLTE利用者情報を取得し、
前記LTE利用者情報が、前記アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている情報か否かを判定し、
前記LTE利用者情報が、前記アプリケーション利用者情報のデータベースへのログインが許可されている情報である場合、前記アプリケーションサーバに対し、前記第1の端末からのアクセス要求を許可するログイン許可を送信する、
認証サーバ。 An authentication server,
Sending a first token to a first terminal requesting access to an application server;
Receiving a second token transmitted from a second terminal capable of LTE communication and transmitted via EPC;
Determining whether the first token and the second token match;
When the first token and the second token match, obtain LTE user information specifying the user of LTE communication related to the second terminal from the EPC;
Determining whether the LTE user information is information permitted to log in to a database of application user information for identifying a user permitted to access the application server;
If the LTE user information is information that allows login to the application user information database, a login permission for permitting an access request from the first terminal is transmitted to the application server. ,
Authentication server. 請求項1に記載の認証サーバと、前記EPCとを含む認証コアシステム。   An authentication core system including the authentication server according to claim 1 and the EPC. 請求項2に記載の認証コアシステムであって、
前記認証サーバは、前記第2の端末のIPアドレスを前記EPCに送信し、
前記EPCは、前記IPアドレスに対応した前記LTE利用者情報が、当該LTE利用者情報のデータベースに登録されているか否かを判定し、
前記LTE利用者情報が、前記LTE利用者情報のデータベースに登録されている場合、前記EPCは、前記IPアドレスに対応した前記LTE利用者情報を前記認証サーバに送信する、
認証コアシステム。 The authentication core system according to claim 2,
The authentication server sends the IP address of the second terminal to the EPC;
The EPC determines whether or not the LTE user information corresponding to the IP address is registered in a database of the LTE user information,
When the LTE user information is registered in the LTE user information database, the EPC transmits the LTE user information corresponding to the IP address to the authentication server.
Authentication core system. 請求項3に記載の認証コアシステムであって、
前記LTE利用者情報のデータベースが少なくとも前記第2の端末のIPアドレスを保持するAAAサーバを含む、認証コアシステム。 An authentication core system according to claim 3,
An authentication core system, wherein the LTE user information database includes an AAA server that holds at least an IP address of the second terminal. 請求項4に記載の認証コアシステムであって、
前記LTE利用者情報のデータベースがHSSを更に含む、認証コアシステム。 An authentication core system according to claim 4,
The authentication core system, wherein the LTE user information database further includes an HSS. 請求項2から5のいずれか1項に記載の認証コアシステムと、前記第1の端末と、前記第2の端末と、前記アプリケーションサーバと、を含み、
前記第2の端末は、前記第1の端末が表示する前記第1のトークンを撮影可能であって、撮影した前記第1のトークンに基づき、前記第2のトークンを前記EPCに送信する、認証システム。 The authentication core system according to any one of claims 2 to 5, the first terminal, the second terminal, and the application server,
The second terminal is capable of photographing the first token displayed by the first terminal, and transmits the second token to the EPC based on the photographed first token. system. 認証サーバが実施する認証方法であって、
アプリケーションサーバへのアクセスを要求する第1の端末に第1のトークンを送信し、
LTE通信が可能な第2の端末から発信され、EPCを経由して送信された第2のトークンを受信し、
前記第1のトークンと前記第2のトークンが一致するか否かを判定し、
前記第1のトークンと前記第2のトークンが一致する場合に、前記EPCから前記第2の端末に関するLTE通信の利用者を特定するLTE利用者情報を取得し、
前記LTE利用者情報が、前記アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている情報か否かを判定し、
前記LTE利用者情報が、前記アプリケーション利用者情報のデータベースへのログインが許可されている場合、前記アプリケーションサーバに対し、前記第1の端末からのアクセス要求を許可するログイン許可を送信する、
認証方法。 An authentication method performed by an authentication server,
Sending a first token to a first terminal requesting access to an application server;
Receiving a second token transmitted from a second terminal capable of LTE communication and transmitted via EPC;
Determining whether the first token and the second token match;
When the first token and the second token match, obtain LTE user information specifying the user of LTE communication related to the second terminal from the EPC;
Determining whether the LTE user information is information permitted to log in to a database of application user information for identifying a user permitted to access the application server;
When the LTE user information is permitted to log in to the database of the application user information, a login permission for permitting an access request from the first terminal is transmitted to the application server.
Authentication method.
JP2017137094A 2017-07-13 2017-07-13 Authentication server, authentication core system, authentication system and authentication method Active JP6901922B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017137094A JP6901922B2 (en) 2017-07-13 2017-07-13 Authentication server, authentication core system, authentication system and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017137094A JP6901922B2 (en) 2017-07-13 2017-07-13 Authentication server, authentication core system, authentication system and authentication method

Publications (2)

Publication Number Publication Date
JP2019020902A true JP2019020902A (en) 2019-02-07
JP6901922B2 JP6901922B2 (en) 2021-07-14

Family

ID=65354303

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017137094A Active JP6901922B2 (en) 2017-07-13 2017-07-13 Authentication server, authentication core system, authentication system and authentication method

Country Status (1)

Country Link
JP (1) JP6901922B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220008112A (en) * 2020-07-13 2022-01-20 주식회사 엘지유플러스 User authentication method and system of thereof
JP2022025607A (en) * 2020-07-29 2022-02-10 Tvs Regza株式会社 Server device, broadcast receiver, server management device, information cooperation system, and program
JP2022052607A (en) * 2020-09-23 2022-04-04 Tvs Regza株式会社 Server device, server managing device and program
WO2025094300A1 (en) * 2023-11-01 2025-05-08 株式会社Nttドコモ Network node, terminal, and communication method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011238036A (en) * 2010-05-11 2011-11-24 Ikutoku Gakuen Authentication system, single sign-on system, server device and program
JP2017027207A (en) * 2015-07-17 2017-02-02 ソフトバンク株式会社 Authentication system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011238036A (en) * 2010-05-11 2011-11-24 Ikutoku Gakuen Authentication system, single sign-on system, server device and program
JP2017027207A (en) * 2015-07-17 2017-02-02 ソフトバンク株式会社 Authentication system

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102380919B1 (en) * 2020-07-13 2022-03-30 주식회사 엘지유플러스 User authentication method and system of thereof
KR20220008112A (en) * 2020-07-13 2022-01-20 주식회사 엘지유플러스 User authentication method and system of thereof
JP2023088957A (en) * 2020-07-29 2023-06-27 Tvs Regza株式会社 Server equipment
JP7356955B2 (en) 2020-07-29 2023-10-05 Tvs Regza株式会社 server equipment
JP2023073311A (en) * 2020-07-29 2023-05-25 Tvs Regza株式会社 program
JP2023080105A (en) * 2020-07-29 2023-06-08 Tvs Regza株式会社 Broadcast receiver
JP2023080102A (en) * 2020-07-29 2023-06-08 Tvs Regza株式会社 Server device
JP2023080106A (en) * 2020-07-29 2023-06-08 Tvs Regza株式会社 Server management device
JP2023080104A (en) * 2020-07-29 2023-06-08 Tvs Regza株式会社 Server device
JP2023085347A (en) * 2020-07-29 2023-06-20 Tvs Regza株式会社 program
JP2022025607A (en) * 2020-07-29 2022-02-10 Tvs Regza株式会社 Server device, broadcast receiver, server management device, information cooperation system, and program
JP7554863B2 (en) 2020-07-29 2024-09-25 Tvs Regza株式会社 Server management device
JP7454080B2 (en) 2020-07-29 2024-03-21 Tvs Regza株式会社 server equipment
JP7454081B2 (en) 2020-07-29 2024-03-21 Tvs Regza株式会社 server equipment
JP7458526B2 (en) 2020-07-29 2024-03-29 Tvs Regza株式会社 server equipment
JP7505070B2 (en) 2020-07-29 2024-06-24 Tvs Regza株式会社 program
JP7513785B2 (en) 2020-07-29 2024-07-09 Tvs Regza株式会社 program
JP7513784B2 (en) 2020-07-29 2024-07-09 Tvs Regza株式会社 Broadcast receiving equipment
JP7543049B2 (en) 2020-09-23 2024-09-02 Tvs Regza株式会社 Server device and program
JP2022052607A (en) * 2020-09-23 2022-04-04 Tvs Regza株式会社 Server device, server managing device and program
WO2025094300A1 (en) * 2023-11-01 2025-05-08 株式会社Nttドコモ Network node, terminal, and communication method

Also Published As

Publication number Publication date
JP6901922B2 (en) 2021-07-14

Similar Documents

Publication Publication Date Title
CN102714791B (en) Terminal identifiers in a communications network
JP4301997B2 (en) Authentication method for information appliances using mobile phones
EP3008935B1 (en) Mobile device authentication in heterogeneous communication networks scenario
US9197639B2 (en) Method for sharing data of device in M2M communication and system therefor
US10291613B1 (en) Mobile device authentication
CN111869182B (en) Method for authenticating equipment, communication system, communication equipment
US9107072B2 (en) Seamless mobile subscriber identification
KR20090036562A (en) Method and system for controlling access to network
JP6901922B2 (en) Authentication server, authentication core system, authentication system and authentication method
US11165768B2 (en) Technique for connecting to a service
US10887754B2 (en) Method of registering a mobile terminal in a mobile communication network
US20140323090A1 (en) Subscriber data management
EP2802116A1 (en) Mobile device security
US9426721B2 (en) Temporary access to wireless networks
KR20200010417A (en) Improved network communication
EP3840322A1 (en) Method to facilitate user authenticating in a wireless network
CN103227991A (en) Trigger method, device and system for MTC (Machine Type Communication) equipment
KR102422719B1 (en) Method of user authentication uisng usim information and device for user authentication performing the same
JP5670926B2 (en) Wireless LAN access point terminal access control system and authorization server device
KR101832366B1 (en) Method for Providing WiFi Wireless Internet Service Without SIM Card to Inbound Roamer
US20170094498A1 (en) Formatting an endpoint as a private entity
JP2019020903A (en) Authentication server, authentication core system, authentication system, and authentication method
JP7311200B2 (en) Communications system
JP7204714B2 (en) Wireless repeater, communication system, method and program
JP7417858B2 (en) System, mobile phone terminal, program, and management server

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200706

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210430

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210525

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210618

R150 Certificate of patent or registration of utility model

Ref document number: 6901922

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250