WO2009157172A1 - 通信システム及び通信処理装置並びに認証処理装置 - Google Patents

通信システム及び通信処理装置並びに認証処理装置 Download PDF

Info

Publication number
WO2009157172A1
WO2009157172A1 PCT/JP2009/002833 JP2009002833W WO2009157172A1 WO 2009157172 A1 WO2009157172 A1 WO 2009157172A1 JP 2009002833 W JP2009002833 W JP 2009002833W WO 2009157172 A1 WO2009157172 A1 WO 2009157172A1
Authority
WO
WIPO (PCT)
Prior art keywords
authentication
node
session
network
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/JP2009/002833
Other languages
English (en)
French (fr)
Inventor
平野純
荒牧隆
池田新吉
青山高久
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Original Assignee
Panasonic Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp filed Critical Panasonic Corp
Priority to US13/001,009 priority Critical patent/US8964694B2/en
Priority to JP2010517748A priority patent/JP5286360B2/ja
Priority to EP09769882.3A priority patent/EP2293624B1/en
Publication of WO2009157172A1 publication Critical patent/WO2009157172A1/ja
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0016Hand-off preparation specially adapted for end-to-end data sessions

Definitions

  • the present invention relates to a communication technology in a packet-switched data communication network, and in particular, when a user terminal (UE: User Equipment) connects to a network using an authentication protocol such as EAP (Extensible Authentication Protocol).
  • UE User Equipment
  • EAP Extensible Authentication Protocol
  • each base station has a wireless communication function such as cellular communication that includes medium-long-distance service areas, and a wireless LAN (Local Area Network) function that has a relatively short service area.
  • a wireless communication function such as cellular communication that includes medium-long-distance service areas
  • a wireless LAN (Local Area Network) function that has a relatively short service area.
  • networks composed of a plurality of different networks, and wireless communication terminals that can be connected to these networks.
  • 3GPP Third Generation Partnership Project
  • 3G network a network composed of a plurality of different types of networks
  • WiMAX Worldwide Interoperability for Microwave Access, IEEE802.16
  • WWAN Wireless Wide Area Network
  • Non-Patent Document 1 discusses the relationship between a 3G network and a non-3G network in a heterogeneous network environment, and mainly discusses a physical handover between heterogeneous networks by a UE.
  • EAP-SIM described in Non-Patent Document 2
  • Non-Patent Document 3 authentication and session key exchange are performed using information in the SIM card based on the EAP protocol.
  • EAP-AKA described in Non-Patent Document 5 below is extended to be usable in a 3G network in consideration of compatibility with authentication in GSM.
  • IEEE 802.1X which is an authentication standard used at the time of LAN connection, also includes EAP-MD5 (EAP-Message Digest version 5) and EAP-TLS (EAP-Transport Transport Layer Security). Authentication using various EAPs is possible.
  • Non-Patent Document 6 describes a technique related to session mobility in which a communication session performed by a UE is transferred to another UE.
  • the continuity of a session when a part or all of a session used by a UE is transferred to another UE is studied.
  • Non-Patent Document 7 studies are being made on a mechanism for notifying disaster information such as earthquakes and tsunamis.
  • the system described in Non-Patent Document 7 is a system for notifying disaster information using a 3GPP network in the event of a disaster such as an earthquake or tsunami, and is called ETWS (Earthquake Tsunami Warning System). ing.
  • This ETWS is a system for reporting the occurrence of a disaster to a terminal (UE: User Equipment).
  • the first report (hereinafter referred to as “Primary Notification: Primary”) notifies the occurrence of about 100 types of disasters including earthquakes and tsunamis. Notification) and a second report (hereinafter referred to as “Secondary Notification: Notification”) for notifying detailed information of the disaster.
  • the 3G network side notifies the base station of the occurrence of the disaster, and the base station notifies the terminal urgently as notification information.
  • the base station is required to transmit the first report to the terminal within 4 seconds after receiving the primary notification. It is considered that the emergency notification to the primary notification terminal is notified as system information.
  • system information such as emergency access class control due to sudden increase in traffic in the communication cell should be notified of changes within a specific period (Modification period). Therefore, it is considered that the access control of the terminal can be made finer.
  • At least the primary notification needs to be notified to the terminal with the highest priority, and in the future, notification of secondary information by MBMS (Multimedia Broadcast and Multicast Service) is also under consideration.
  • MBMS Multimedia Broadcast and Multicast Service
  • the disaster information notification service in ETWS is provided not only to the macro base station (NE / eNB) but also to a more local base station (HNB / HeNB). Functionally, it can also be provided to a local base station.
  • the same connection base station 460 (FIG. 1 described later)
  • the real-time video session is handed over to the target node (TV set) 300 existing under (or reachable via the network) under the HeNB / Home-GW 100 of the network, and the target node 300 can watch the real-time video. I want to do it.
  • the target node 300 also has the same authentication function requirements for the 3G network 400 as the UE 200 (for example, the target node 300 has a SIM card, and the SIM card has a SIM card depending on the contract with the operator of the 3G network 400) If the authentication key using the above information is usable), the target node 300 is authenticated by the 3G network 400 by some operation on the operator side of the 3G network 400 and session handover can be realized. May be.
  • the target node 300 such as a TV set usually does not have a main function as a mobile terminal, and an authentication function used for connection to the 3G network 400 (specified by the operator of the 3G network 400). In many cases, it has only an authentication function different from the authentication method). Therefore, even if the target node 300 is a device owned by the user of the UE 200, authentication with the 3G network 400 is not successful, and connection to the 3G network 400 cannot be performed, or 3G There is a problem that the session handover cannot be realized because the session key of the session from the network 400 cannot be generated.
  • an object of the present invention is to provide a communication system, a user terminal, and an authentication server that enable session handover between devices having different key generation functions in an authentication protocol.
  • the communication system of the present invention uses the information for authentication between the first node and the first network held by the first node belonging to the first network. Authentication for handing over a session in communication with the first network to a second node belonging to a second network different from the first network is performed. With this configuration, session handover can be performed between devices having different key generation functions in the authentication protocol.
  • the communication processing device of the present invention uses the information for authentication with the first network held by the first node belonging to the first network to perform the first operation.
  • a first communication system configured to perform authentication for handing over a session in communication between a node and the first network to a second node belonging to a second network different from the first network;
  • a communication processing device implemented in a node Information necessary for authentication for handover of the session for notifying the authentication server when the second node performs authentication processing for handover of the session with the authentication server of the first network , Configured to notify the second node.
  • the communication processing device of the present invention uses the information for authentication with the first network held by the first node belonging to the first network to perform the first operation.
  • a first communication system configured to perform authentication for handing over a session in communication between a node and the first network to a second node belonging to a second network different from the first network;
  • a communication processing device implemented in a node When performing authentication processing for handover of the session with the authentication server of the first network, the identification information of the second node is notified to the authentication server.
  • the communication processing device of the present invention uses the information for authentication with the first network held by the first node belonging to the first network to perform the first operation.
  • a second communication system configured to perform authentication for handing over a session in communication between a node and the first network to a second node belonging to a second network different from the first network;
  • a communication processing device implemented in a node When receiving information required for authentication for handover of the session from the first node and performing authentication processing for handover of the session with the authentication server of the first network, handover of the session is performed.
  • the authentication server is configured to notify information generated based on information necessary for authentication for the authentication server.
  • the communication processing device of the present invention uses the information for authentication with the first network held by the first node belonging to the first network to perform the first operation.
  • a second communication system configured to perform authentication for handing over a session in communication between a node and the first network to a second node belonging to a second network different from the first network;
  • a communication processing device implemented in a node When the first node performs authentication processing for handover of the session with the authentication server of the first network, the identification information of the second node for notifying the authentication server is the first node. Configured to notify. With this configuration, it is possible to perform session handover between devices having different key generation functions in the authentication protocol by the first node that is the session handover source performing authentication processing.
  • the authentication processing device of the present invention uses the information for authentication with the first network held by the first node belonging to the first network, to perform the first operation.
  • a first communication system configured to perform authentication for handing over a session in communication between a node and the first network to a second node belonging to a second network different from the first network;
  • An authentication processing device implemented in an authentication server belonging to a network, When performing authentication processing for handover of the session with the second node, the second node is generated based on information necessary for authentication for handover of the session received from the first node Configured to receive authentication information for handover of the session using the information generated based on information necessary for authentication for handover of the session. Yes.
  • session handover can be performed between devices having different key generation functions in the authentication protocol by the second node serving as a session handover destination performing authentication processing.
  • the authentication processing device of the present invention uses the information for authentication with the first network held by the first node belonging to the first network, to perform the first operation.
  • a first communication system configured to perform authentication for handing over a session in communication between a node and the first network to a second node belonging to a second network different from the first network;
  • An authentication processing device implemented in an authentication server belonging to a network, When performing authentication processing for handover of the session with the first node, the identification information of the second node is received from the first node.
  • the present invention has the above-described configuration and has an effect that session handover can be performed between devices having different key generation functions in the authentication protocol.
  • the figure which shows an example of a structure of the network system in the 1st and 2nd embodiment of this invention The figure which shows an example of a structure of UE in the 1st Embodiment of this invention.
  • the figure which shows an example of a structure of the target node in the 1st Embodiment of this invention The figure which shows an example of a structure of the authentication server in the 1st and 2nd embodiment of this invention.
  • the sequence chart which shows an example of the operation
  • movement in the 2nd Embodiment of this invention The figure which shows an example of the network system structure in the prior art for demonstrating the subject which concerns on this invention.
  • movement in the 3rd Embodiment of this invention The sequence chart which shows an example of the operation
  • FIG. 1 is a diagram showing an example of a configuration of a network system in the first and second embodiments of the present invention.
  • a user's UE for example, a mobile phone capable of 3G communication
  • HeNB Home eNB
  • the UE 200 passes through a small base station (HeNB: Home eNB) installed in the user's own house. It is connected to a 3G network (first network) 400 managed by the first network operator.
  • the UE 200 completes authentication with the first network operator that manages the 3G network 400 using EAP, and corresponds to a content server of the service network 450 (not shown in FIG. 1, but corresponds to a content server 700 described later).
  • content for example, real-time video
  • the target node (for example, TV set) 300 is connected to the network 500 managed by the second network operator (a network operator different from the first network operator) via the home gateway (Home-GW).
  • Home-GW home gateway
  • HeNB and Home-GW are mounted on the same device, and HeNB and Home-GW are collectively referred to as HeNB / Home-GW 100.
  • HeNB and Home-GW are separated. Also good.
  • authentication is also performed between the target node 300 and the second network operator, it is assumed that authentication is performed using an authentication function and an authentication key different from those between the UE 200 and the first network operator.
  • the UE 200 has a SIM card (SIM) 250 that can be used for authentication in the 3G network 400, while the target node 300 does not have a SIM card 250 that can be used for authentication in the 3G network 400.
  • SIM SIM card
  • some or all of the functions of the authentication entity that functions as an authentication server when connecting to the 3G network 400 may be implemented in, for example, the HeNB / Home-GW 100, or other functions in the 3G network 400 It may be implemented in any node.
  • FIG. 2 is a diagram illustrating an example of a configuration of the UE in the first embodiment of the present invention.
  • 2 includes a communication unit (lower layer) 211, a SIM interface 212, a session handover information preparation unit 213, a UE / target node communication unit 214, and a 3G network communication unit 215.
  • the 3G network communication unit 215 further includes an EAP authentication function unit 216.
  • the communication unit (lower layer) 211 represents a communication function for communicating with other nodes and has one or a plurality of network interfaces.
  • the communication unit (lower layer) 211 has a wireless communication function.
  • the communication function of the communication unit (lower layer) 211 allows the UE 200 to communicate with a node connected to the 3G network 400 and other networks, and also with the target node 300. It is.
  • the SIM interface 212 has a function of reading SIM information stored in a SIM card 250 (or USIM (Universal Subscriber Identity Module) card) attached to the UE 200.
  • SIM card 250 or USIM (Universal Subscriber Identity Module) card
  • the SIM interface 212 and the SIM card 250 are an example particularly when connecting to the 3G network 400 (when the UE 200 is a mobile phone), and can be replaced with a function for holding, acquiring, or generating information used by the UE 200 for authentication. It is.
  • the session handover information preparation unit 213 includes information necessary for session handover authentication (hereinafter referred to as session HO (Handover) information) among the SIM information that can be read from the SIM card 250 by the SIM interface 212. It has a function of taking out and preparing to transfer the session HO information to the target node 300. Note that the transfer preparation (or actual transfer) of the session HO information can be executed at an arbitrary timing including an input instruction by the user, a request from the target node 300, an instruction from the network side, and the like.
  • the UE / target node communication unit 214 has a function for the UE 200 to communicate with the target node 300.
  • the UE / target node communication unit 214 can transmit the session HO information prepared by the session handover information preparation unit 213 to the target node 300.
  • the 3G network communication unit 215 has a function for the UE 200 to communicate with an arbitrary node of the 3G network 400.
  • the 3G network communication unit 215 can also receive content (for example, real-time video) from a server (for example, a content server 700 described later) of the service network 450 belonging to the 3G network 400.
  • the 3G network communication unit 215 transmits signaling for handing over the session to a node in the 3G network 400 (for example, the authentication server 600 of the 3G network 400).
  • a session handover start instruction may be transmitted to the target node 300, and signaling for handover of the session may be transmitted to the target node 300.
  • the EAP authentication function unit 216 of the 3G network communication unit 215 has a function of performing EAP authentication with the 3G network 400 (for example, an authentication server 600 described later) when the UE 200 connects to the 3G network 400. is doing.
  • This EAP authentication is the same as the EAP authentication performed by the conventional UE 200, and is performed using the SIM information read from the SIM card 250 by the SIM interface 212.
  • FIG. 3 is a diagram showing an example of the configuration of the target node in the first embodiment of the present invention.
  • the target node 300 illustrated in FIG. 3 includes a communication unit (lower layer) 311, a session handover information acquisition unit 312, a UE / target node communication unit 313, a session handover communication unit 314, and a second network operator communication unit 316.
  • the session handover communication unit 314 further includes a session handover EAP authentication extended function unit 315.
  • the communication unit (lower layer) 311 represents a communication function for communicating with other nodes, and has one or a plurality of network interfaces. With the communication function of this communication unit (lower layer) 311, the target node 300 can communicate with the second network 500 and nodes connected to other networks, and can also communicate with the UE 200. Is possible.
  • the session handover information acquisition unit 312 acquires the session HO information received from the UE 200 by the UE / target node communication unit 313, performs preprocessing if necessary, and then performs an EAP authentication extended function unit for session handover 315. It has a function to pass to.
  • the UE / target node communication unit 313 has a function for the target node 300 to communicate with the UE 200.
  • the UE / target node communication unit 313 can receive the session HO information transmitted from the UE 200. As will be described later, it is desirable that a trust relationship exists between the UE 200 and the target node 300, and the session HO information received by the UE / target node communication unit 313 from the UE 200 is transmitted in a secure state. It is desirable.
  • the session handover communication unit 314 has a function of performing a process for acquiring a session held by the UE 200 with the 3G network 400.
  • the session handover communication unit 314 succeeds in session handover authentication in the session handover EAP authentication extended function unit 315, the session handover communication unit 314 sends a session to a node in the 3G network 400 (for example, the authentication server 600 of the 3G network 400).
  • Signaling for handover may be transmitted, or after receiving a session handover start instruction from the UE 200, signaling for handover of the session may be transmitted.
  • the session handover EAP authentication extension function unit 315 of the session handover communication unit 314 receives a session held between the UE 200 and the 3G network 400, and the 3G network 400 (for example, the authentication server 600). Has a function of performing EAP authentication.
  • the session handover EAP authentication extension function unit 315 receives authentication using the session HO information acquired from the session handover information acquisition unit 312 in the process of EAP authentication with the 3G network 400, 300 exchanges the session key of the session about to be received.
  • the second network operator communication unit 316 has a function for the target node 300 to communicate with an arbitrary node of the second network 500. Note that the second network operator communication unit 316 also performs authentication processing when the target node 300 connects to the second network 500.
  • FIG. 4 is a diagram showing an example of the configuration of the authentication server in the first embodiment of the present invention.
  • the authentication server 600 illustrated in FIG. 4 includes a communication unit (lower layer) 611, a session handover processing unit 612, a second network operator communication unit 613, and a 3G network communication unit 614, and 3G network communication.
  • the unit 614 further includes an EAP authentication function unit 615, and the EAP authentication function unit 615 further includes a session handover EAP authentication extended function unit 616.
  • the function of the authentication server 600 illustrated in FIG. 4 can be implemented in any node (eg, HeNB / Home-GW 100) belonging to the 3G network 400, and distributed to a plurality of nodes (eg, authentication) Entities may be configured in multiple stages on the 3G network 400.
  • the communication unit (lower layer) 611 represents a communication function for performing communication with other nodes, and has one or a plurality of network interfaces.
  • the communication function of the communication unit (lower layer) 611 can communicate with the second network 500 and nodes connected to other networks, and can also communicate with the UE 200 and the target node 300. It is.
  • the session handover processing unit 612 when EAP authentication in the session handover EAP authentication extended function unit 616 permits the UE 200 to move the session held with the 3G network 400 to the target node 300. , And has a function of handing over the session from the UE 200 to the target node 300.
  • the session handover processing unit 612 switches the session transmission destination from the UE 200 to the target node 300 with respect to the session transmission source (for example, the content server 700) or the session passing point node (via the second network).
  • the authentication server 600 is implemented in the node at the passing point of this session (for example, the authentication server 600 is implemented in the HeNB / Home-GW 100).
  • the transmission destination of the session may be switched from the UE 200 to the target node 300 at its own node (eg, HeNB / Home-GW 100).
  • the authentication server 600, UE 200, target The node 300 and other nodes in the 3G network 400 may start the actual session handover process, and the session transmission destination may be switched from the UE 200 to the target node 300.
  • the session is switched using a DIFFER message, an INVITE message, and the like defined by SIP. be able to.
  • SIP Session Initiation Protocol
  • the second network operator communication unit 613 has a function for the authentication server 600 to communicate with an arbitrary node (for example, the target node 300) belonging to the second network 500.
  • the 3G network communication unit 614 has a function for the authentication server 600 to communicate with an arbitrary node of the 3G network 400.
  • the actual session handover is performed within the 3G network 400 such that, for example, a session switching instruction is issued from the authentication server 600 to the content server 700 and the content server 700 delivers the content to the target node 300.
  • the distribution destination of the content may be switched from the UE 200 to the target node 300 at a branch point such as the HeNB / Home-GW 100.
  • the 3G network communication unit 614 sends the data related to the session (the device that relays the session or the content server 700 that is the session transmission source) to the device.
  • signaling for switching the session transfer destination from the UE 200 to the target node 300 may be transmitted.
  • the authentication server 600 relays the session for example, the authentication server 600 is implemented in the HeNB / Home-GW 100.
  • the device itself may switch the session transfer destination from the UE 200 to the target node 300.
  • the EAP authentication function unit 615 of the 3G network communication unit 614 has a function of performing EAP authentication with the UE 200 when the UE 200 connects to the 3G network 400.
  • the session handover EAP authentication extension function unit 616 of the EAP authentication function unit 615 performs a function of performing EAP authentication with the target node 300 that is about to transfer a session held with the 3G network 400 by the UE 200. have. Note that the session handover EAP authentication extension function unit 616 holds the session that the target node 300 is trying to transfer by receiving session HO information from the target node 300 in the process of EAP authentication with the target node 300. The user (UE 200) is authenticated, and the session key of the session that the target node 300 is going to receive is exchanged with the target node 300.
  • FIG. 5 is a sequence chart showing an example of the operation in the first embodiment of the present invention.
  • the session handover information preparation unit 213 of the UE 200 starts from SIM information that can be read from the SIM card 250 attached to the UE 200 itself.
  • the session HO information is taken out and prepared so that the session HO information can be transferred to the target node 300.
  • the session HO information includes information necessary for session handover authentication.
  • information for specifying the session (or , Information necessary for handing over the session) may be included.
  • the session HO information is preferably negotiated with the first network operator who manages the 3G network 400 in advance.
  • it is configured with information related to time series (serial number, time information, etc.) and can be limited to one-time use (one-time use) (replay attack resistance is considered), or by using a hash function etc.
  • Information elements cannot be inferred, separated from information used for normal connection authentication, and configured so that the connection for other communications is not affected even if the information element is leaked It is desirable to be.
  • the UE / target node communication unit 214 of the UE 200 transmits the session HO information prepared as described above to the target node 300 (step S1001).
  • the authentication function between the devices different from the authentication function connected to the network operator can confirm that the devices are unity or the intended device, or collect information by a third party It is desirable that it has been confirmed that it has not been tampered with or tampered with (for example, encrypted).
  • EAP authentication may be performed between the UE 200 and the target node 300.
  • the UE 200 and the target node 300 may communicate with each other through a direct link (including wired connection) such as short-range wireless communication, and the 3G network 400 or the network to which the target node 300 belongs. Communication may be performed via a communication path via (second network 500 managed by the second network operator) or both networks, and further may be performed via HeNB / Home-GW 100.
  • the target node 300 that has received the session HO information from the UE 200 in step S1001 uses the information generated based on the session HO information received from the UE 200 in the session handover EAP authentication extension function unit 315 to the 3G network 400. Then, EAP authentication is performed (step S1003).
  • the authentication server 600 as the authentication destination may be indicated from the 3G network 400 side or the UE 200, or an integrated device such as the HeNB / Home-GW 100, or a device serving as a branch point of information transfer May be the authentication server 600.
  • the Home-GW and HeNB for which the target node 300 normally performs EAP authentication are the same device (HeNB / Home-GW 100), and therefore the target node 300 performs the EAP authentication for the 3G network 400.
  • Authentication for session handover can be completed by using session HO information (or information that can be generated as an authentication key based on this information) and acquiring information such as a session key. If access authentication between the target node 300 and the Home-GW has already been completed by the conventional access authentication operation, the HeNB may perform re-authentication or additional authentication of the target node 300.
  • the authentication server 600 performs authentication for session handover based on the session HO information received from the target node 300 in the session handover EAP authentication extended function unit 315, verifies the UE 200 that is the handover source of the session, The target node 300 of the handover destination is specified.
  • the session handover processing unit 612 of the authentication server 600 starts processing for handing over the session from the UE 200 to the target node 300.
  • the content (real-time video) session that has been transmitted to the UE 200 on the 3G network 400 side is handed over to the target node 300, so that the content (real-time video) session moves to the target node 300, and the service network 450 Content (real-time video) is distributed from the content server 700 to the target node 300 (step S1005).
  • the 3G network 400 side performs handover only for that session.
  • the actual session handover is performed within the 3G network 400 such that, for example, a session switching instruction is issued from the authentication server 600 to the content server 700 and the content server 700 delivers the content to the target node 300.
  • the distribution destination of the content may be switched from the UE 200 to the target node 300 at a branch point such as the HeNB / Home-GW 100.
  • any method can be used for the session handover procedure based on the successful authentication from the authentication server 600 to the content server 700. Also in the drawing, the procedure between the two parties (or an intermediary may intervene) is not shown.
  • the target node 300 completes the authentication for the session handover even when the EAP authentication is not directly possible with its own authentication information (such as the ID of the target node 300). Can do. Even when a session is handed over to the target node 300, the right of the session (or responsibility for charging or the like) remains in the UE 200.
  • the session handover for returning the session once transferred to the target node 300 to the original UE 200, since the UE 200 has original authentication information, the session handover is performed as it is when the authentication relationship is maintained. Even if the preparation for the session is completed and the authentication relationship is not maintained, the preparation for the session handover is completed by performing the authentication again. Thereafter, when the UE 200 or the target node 300 to which the session has been transferred starts a session handover procedure, the 3G network 400 causes the UE 200 to hand over the content (real-time video) session that has been transmitted to the target node 300 until then. As a result, the session is returned to the UE 200.
  • a handover from the UE 200 to the target node 300 may be initiated from the network side.
  • the original target node 300 transfers information necessary for the session handover to another target node 300 (next target node 300).
  • the UE 200 performs the above-described procedure for the next target node 300 again.
  • FIG. 6 is a diagram illustrating an example of a configuration of the UE in the second embodiment of the present invention.
  • 6 includes a communication unit (lower layer) 221, a SIM interface 222, a session handover ID acquisition unit 223, a UE / target node communication unit 224, and a 3G network communication unit 225.
  • the 3G network communication unit 225 further includes an EAP authentication function unit 226, and the EAP authentication function unit 226 further includes a session handover EAP authentication extended function unit 227.
  • the communication unit (lower layer) 221 represents a communication function for communicating with other nodes, and has one or a plurality of network interfaces.
  • the communication unit (lower layer) 221 has a wireless communication function.
  • the communication function of the communication unit (lower layer) 221 allows the UE 200 to communicate with the node connected to the 3G network 400 and other networks, and also with the target node 300. It is.
  • the SIM interface 222 has a function of reading SIM information stored in the SIM card 250 (or USIM card) attached to the UE 200.
  • the SIM interface 222 and the SIM card 250 are an example particularly when connecting to the 3G network 400 (when the UE 200 is a mobile phone), and can be replaced with a function that holds, acquires, or generates information used by the UE 200 for authentication. It is.
  • the session handover ID acquisition unit 223 acquires the identification information of the target node 300 (ID of the target node 300) received from the UE 200 by the UE / target node communication unit 224, and acquires the session handover of the 3G network communication unit 225. A function to pass to the EAP authentication extended function unit 227.
  • the UE / target node communication unit 224 has a function for the UE 200 to communicate with the target node 300.
  • the UE / target node communication unit 224 can receive the identification information of the target node 300 transmitted from the target node 300.
  • a trust relationship may exist between the UE 200 and the target node 300, and in this case, the target node 300 received by the UE / target node communication unit 224 from the target node 300.
  • This identification information can be transmitted in a secure state.
  • the 3G network communication unit 225 has a function for the UE 200 to communicate with an arbitrary node of the 3G network 400.
  • the 3G network communication unit 215 can also receive content (for example, real-time video) from a content server on the service network 450 belonging to the 3G network 400.
  • content for example, real-time video
  • the 3G network communication unit 215 transmits signaling for handing over the session to a node in the 3G network 400 (for example, the authentication server 600 of the 3G network 400).
  • a session handover start instruction may be transmitted to the target node 300, and signaling for handover of the session may be transmitted to the target node 300.
  • the EAP authentication function unit 226 of the 3G network communication unit 225 has a function of performing EAP authentication with the 3G network 400 (for example, the authentication server 600) when the UE 200 connects to the 3G network 400. Yes.
  • This EAP authentication is performed using the SIM information read from the SIM card 250 by the SIM interface 222.
  • the session handover EAP authentication extension function unit 227 of the EAP authentication function unit 226 transfers the session held with the 3G network 400 by the UE 200 to the target node 300 (for example, an authentication server). 600) to perform EAP authentication.
  • the session handover EAP authentication extension function unit 227 notifies the 3G network 400 of the identification information of the target node 300 acquired from the session handover ID acquisition unit 223 in the process of EAP authentication with the 3G network 400. Then, the 3G network 400 can identify the target node 300 and request to move the session to the target node 300.
  • FIG. 7 is a diagram showing an example of the configuration of the target node in the second embodiment of the present invention. 7 includes a communication unit (lower layer) 321, a session handover ID generation unit 322, a UE / target node communication unit 323, a session handover communication unit 324, and a second network operator communication unit. 325.
  • the communication unit (lower layer) 321 represents a communication function for communicating with other nodes, and has one or a plurality of network interfaces. With the communication function of the communication unit (lower layer) 321, the target node 300 can communicate with the second network 500 and nodes connected to other networks and can also communicate with the UE 200. Is possible.
  • the session handover ID generation unit 322 includes identification information of the target node 300 (because the 3G network 400 identifies the target node 300) that is necessary for the UE 200 to take over the session held with the 3G network 400. Information). Note that generation of the target node 300 (or notification to the UE 200) to the UE 200 may be performed in advance (before it is determined that session handover is performed), and session handover is performed. May be performed after the determination.
  • the UE / target node communication unit 323 has a function for the target node 300 to communicate with the UE 200.
  • the UE / target node communication unit 323 can transmit the identification information of the target node 300 generated by the session handover ID generation unit 322 to the UE 200.
  • a trust relationship may exist between the UE 200 and the target node 300, and in this case, the target node transmitted to the target node 300 by the UE / target node communication unit 323.
  • the identification information 300 can be transmitted in a secure state.
  • the session handover communication unit 324 has a function of performing a process for acquiring a session held by the UE 200 with the 3G network 400.
  • the session handover communication unit 324 can transmit the identification information of the target node 300 generated by the session handover ID generation unit 322 to the UE 200.
  • the second network operator communication unit 325 has a function for the target node 300 to communicate with an arbitrary node of the second network 500.
  • the authentication process when the target node 300 connects to the second network 500 is also performed by the second network operator communication unit 325.
  • the authentication server 600 in the second embodiment of the present invention has the same configuration as the authentication server 600 shown in FIG. 4, but in the above-described first embodiment of the present invention. While the information related to EAP authentication is received from the target node 300 and processed, the second embodiment of the present invention is different in that information related to EAP authentication is received from the UE 200 and processed.
  • the session handover EAP authentication extended function unit 616 of the EAP authentication function unit 615 of the authentication server 600 transfers the session held with the 3G network 400 to the target node 300. It has a function of performing EAP authentication with the UE 200 to be handed over. Note that the session handover EAP authentication extension function unit 616 receives the identification information of the target node 300 from the UE 200 in the process of EAP authentication with the UE 200, so that the UE 200 tries to transfer the session to the target node 300. To be able to identify.
  • the authentication server 600, UE 200, target The node 300 and other nodes in the 3G network 400 may start the actual session handover process, and the session transmission destination may be switched from the UE 200 to the target node 300.
  • the session can be switched using a RE-INVITE message defined by the SIP.
  • FIG. 8 is a sequence chart showing an example of the operation in the second exemplary embodiment of the present invention.
  • the UE 200 when session handover from the UE 200 to the target node 300 is started, the UE 200 first acquires identification information of the target node 300 in the session handover ID acquisition unit 223 (step S2001).
  • UE200 is acquiring the identification information of the target node 300 from the target node 300 with the start of a session handover here, UE200 uses the identification information of the target node 300 previously registered inside UE200. Alternatively, it may be acquired from the target node 300 as necessary. Further, when the target node 300 requests the UE 200 for a session handover request, the identification information of the target node 300 is notified. You may make it do.
  • the identification information of the target node 300 any information that can identify the target node 300, such as the IP address of the target node 300 or a device identification code, can be used.
  • This identification information of the target node 300 specifies the branch point (for example, HeNB / Home-GW 100) when performing a session handover from the UE 200 to the target node 300, and the target node 300 at the time of authentication in the authentication server 600 for session handover. It is desirable that the information be able to be authenticated.
  • the authentication function between the devices different from the authentication function connected to the network operator can confirm that the devices are unity or the intended device, or collect information by a third party It is desirable that it has been confirmed that it has not been tampered with or tampered with (for example, encrypted).
  • EAP authentication may be performed between the UE 200 and the target node 300.
  • the UE 200 and the target node 300 may communicate with each other through a direct link (including wired connection) such as short-range wireless communication, and the 3G network 400 or the network to which the target node 300 belongs. Communication may be performed via a communication path via (second network 500 managed by the second network operator) or both networks, and further may be performed via HeNB / Home-GW 100.
  • the session HO information is passed from the UE 200 to the target node 300.
  • the target node 300 is identified from the target node 300 to the UE 200.
  • Information is passed.
  • the identification information of the target node 300 is identification information that can reach (specify) the target node 300, and it is sufficient that the UE 200 can confirm the target node 300. Therefore, compared with communication for notifying session HO information (that is, transmission of session HO information in the first embodiment of the present invention), transmission of identification information of the target node 300 in the second embodiment of the present invention. Then, there is a merit that it may be possible to use an encryption or a communication protocol with a low processing load.
  • the UE 200 that acquired the identification information of the target node 300 in step S2001 adds the identification information of the target node 300 to the authentication server 600 that is the connection authentication destination of the UE 200 itself in the session handover EAP authentication extended function unit 227.
  • EAP authentication is performed by transmitting the information included as (step S2003). Note that, when the UE 200 has already completed access authentication with the authentication server 600, EAP re-authentication is performed.
  • information for specifying the session may be included as additional information.
  • the fact that the session for receiving content is switched to the target node 300 may be transmitted to an entity (such as the content server 700) of the service network 450.
  • the connection node of UE 200 is HeNB / Home-GW 100, and since UE 200 is considered to perform connection authentication with HeNB / Home-GW 100, authentication for session handover is also performed for HeNB / Home-GW 100.
  • the final authentication server 600 may exist in the 3G network 400 or the service network 450).
  • the authentication server 600 performs EAP authentication for session handover with the UE 200 in the session handover EAP authentication extended function unit 315.
  • the session handover processing unit 612 of the authentication server 600 starts processing for handing over the session to the target node 300 acquired in the authentication process.
  • the content (real-time video) session that has been transmitted to the UE 200 until then is handed over to the target node 300, so that the content (real-time video) session moves to the target node 300, and the content on the service network 450 Content (real-time video) is distributed from the server 700 to the target node 300 (step S1005).
  • the 3G network 400 side performs handover only for that session.
  • the actual session handover is performed within the 3G network 400 such that, for example, a session switching instruction is issued from the authentication server 600 to the content server 700 and the content server 700 delivers the content to the target node 300.
  • the distribution destination of the content may be switched from the UE 200 to the target node 300 at a branch point such as the HeNB / Home-GW 100.
  • any method can be used for the session handover procedure based on the successful authentication from the authentication server 600 to the content server 700. In the drawing, the procedure between the two parties (or an intermediary may intervene) is not shown.
  • the target node 300 completes the authentication for the session handover even when the EAP authentication cannot be directly performed with its own authentication information (identification information of the target node 300, etc.). be able to. Even when a session is handed over to the target node 300, the right of the session (or responsibility for charging or the like) remains in the UE 200.
  • the session handover for returning the session once transferred to the target node 300 to the original UE 200, since the UE 200 has original authentication information, the session handover is performed as it is when the authentication relationship is maintained. Even if the preparation for the session is completed and the authentication relationship is not maintained, the preparation for the session handover is completed by performing the authentication again. Thereafter, when the UE 200 or the target node 300 to which the session has been transferred starts a handover procedure, the 3G network 400 causes the UE 200 to hand over the content (real-time video) session that has been transmitted to the target node 300 until then. Then, the session is returned to the UE 200.
  • a handover from the UE 200 to the target node 300 may be initiated from the network side.
  • the original target node 300 transfers information necessary for the session handover to another target node 300 (next target node 300).
  • the UE 200 performs the above-described procedure for the next target node 300 again.
  • authentication for session handover according to the present invention is preferably distinguished from normal connection authentication and normal authentication for a target content session.
  • authentication for session handover according to the present invention is not distinguished from normal connection authentication or authentication for a session and is authenticated as a single one, other communication (session with the UE 200) There is a possibility that communication other than the session related to the handover) stops or the connection of the UE 200 is canceled. In order to avoid such a situation, it is possible to separate a single session into a plurality of sessions, or to distribute data used in a single session.
  • the distribution type such as real-time video (content data distributed from the service network 450 occupies most of the content, and only the control communication is performed from the content data receiving side node).
  • the information to be notified at the time of session handover for example, when the reception address and the transmission address are different
  • the detailed authentication procedure may be different. This is just a difference in parameters when executing the above, and the present invention can be applied regardless of the type and direction of the session.
  • the session handover from the UE 200 existing in the same house to the target node 300 is described as an example. Although it went, UE200 and the target node 300 may be owned by a different user, and each installation place (connection place) may be separated.
  • the number of sessions transferred from the UE 200 to the target node 300 by the session handover is arbitrary, only one session may be transferred, and a plurality of sessions (and all sessions of the UE 200) may be transferred. May be moved. Further, instead of moving the session, the session may be copied (branched) to move the session from the UE 200 to the target node 300, and the UE 200 itself may still be able to perform communication related to the session. In this case, the UE 200 requests session replication for starting a session between the target node 300 and the first network 400 while leaving a session being communicated by the UE 200 as information necessary for authentication for session handover. Information or information requesting session switching for switching the session from the UE 200 to the target node 300 may be inserted.
  • the UE 200 is, for example, a PC (Personal Computer). Any communication apparatus including the above may be used.
  • the connection to the network by the UE 200 may be either a wireless connection or a wired connection.
  • the session HO information described above only needs to read information necessary for session handover authentication read from an arbitrary storage medium in accordance with various communication apparatuses, and the access authentication method is also limited to the EAP authentication method described above. Is not to be done.
  • the UE 200 that is the session handover source and the target node 300 that is the session handover destination are connected to the same authentication server (HeNB / Home-GW 100). However, they may be realized by different devices (that is, the UE 200 and the target node 300 may be connected to different authentication servers), and further, the respective authentication servers May exist far away. In this configuration, each authentication server may need to exchange information (preferably in a secure state), but the session right (or responsibility such as charging) remains in the UE 200.
  • the content can be provided to the target node 300 existing remotely. In this way, the present invention can be implemented even when the owner of the UE 200 and the owner of the target node 300 are different, such as donating content to an educational institution far away by providing the owner of the UE 200, for example.
  • a session of one UE 200 has been described.
  • a plurality of different UE 200 sessions can be collectively handed over.
  • the representative UE 200 one of the plurality of UEs 200
  • the other UE 200 may notify the representative UE 200 in advance of information necessary for session handover.
  • a restriction at the target node 300 regarding the use of the session may be a restriction at the target node 300 regarding the use of the session that is the target of session handover.
  • a session duration that can be used by the target node 300 or a fixed charge upper limit may be set so that a session that has been handed over can be used within the permitted range.
  • the UE 200 and the authentication server 600 or the content server 700 may perform a procedure for setting an upper limit in advance, or the UE 200 may uniquely set and authenticate (or prepare information necessary for authentication). May be notified as authentication information.
  • the UE 200 and the target node 300 can synchronize timings to enable seamless switching of sessions.
  • the UE 200 collects information necessary for authentication and enables collective authentication so that a session return from the target node 300 and a new session handover to the target node 300 can be performed simultaneously.
  • This makes it possible to exchange sessions with a single authentication procedure.
  • the UE 200 holds the rights of both sessions (the session that has already been transferred to the target node 300 by the session handover and the session that will be transferred to the target node 300 by the session handover).
  • FIG. 10 is a diagram illustrating an example of the configuration of the authentication server according to the third embodiment of the present invention.
  • the authentication server 600 illustrated in FIG. 10 has the same configuration as that of the authentication server 600 illustrated in FIG. 4, but the 3G network communication unit 614 further includes a disaster information processing unit 651. ing.
  • the disaster information processing unit 651 has a function of acquiring disaster information notification and processing the content. For example, when the authentication server 600 receives disaster information notified from the 3G network to each base station, the disaster information processing unit 651 transfers the disaster information to a device that is a notification target of the disaster information. When the disaster information is notified to the notification target device, the disaster information may be notified in addition to the session provided for the notification target device, or the notification target device. The disaster information may be notified in the form of being mixed in the session provided to the user.
  • the disaster information processing unit 651 may extract and process the disaster information in a format suitable for the notification target device, such as voice, video, and control signal.
  • the authentication of the present invention related to the notification of disaster information by ETWS or the like needs to operate differently in the notification of disaster information.
  • the disaster information processing unit 651 receives the disaster information, the disaster information processing unit 651 notifies the EAP authentication function unit 226 to perform authentication (rapid authentication) different from normal authentication for the session for notifying the disaster information.
  • the EAP authentication function unit 226 has a function of controlling processing.
  • the disaster information processing unit 651 may start an operation of controlling a predetermined device or system when receiving the notification of the disaster information.
  • the disaster information processing unit 651 may have a home gateway function capable of controlling each device (it may be provided in the same device as the authentication server 600, or may be provided in another device). (It may be provided) that the disaster information has been received.
  • the home gateway instructs a certain operation for a disaster even for a device that cannot acquire / display the disaster information itself, for example, to control power on / off for a predetermined device or system. It is possible to start an emergency mode (emergency mode).
  • Examples of controls performed during such an emergency include, for example, shutting down appliances that use fire, such as gas stoves, hot water and air conditioning (cooling / heating), switching from normal lighting to emergency lighting, operating security systems, broadcasting For example, the operation of the receiving device.
  • the TV is first turned on from the home gateway, and then the session handover according to the present invention is performed. It is possible to notify disaster information.
  • FIG. 11 is a diagram illustrating an example of the configuration of the UE according to the third embodiment of the present invention.
  • the UE 200 illustrated in FIG. 11 has the same configuration as the UE 200 illustrated in FIG. 2, but the 3G network communication unit 215 further includes a disaster information processing unit 251.
  • the 3G network communication unit 225 of the UE 200 illustrated in FIG. An information processing unit 251 may be added.
  • the disaster information processing unit 251 of the UE 200 also has a function for promptly and more notified of authentication related to notification of disaster information by ETWS or the like. is doing. That is, the disaster information processing unit 251 of the UE 200 notifies the EAP authentication function unit 216 to perform authentication different from normal authentication (rapid simple authentication) for the session for notifying disaster information, It has a function of controlling the processing of the function unit 216.
  • the disaster information processing unit 251 is configured to provide a process related to providing a disaster information notification session to a new device that is a disaster information notification target so that more devices are notified of the disaster information ( For example, it is possible to perform processing for notifying the authentication server 600 of a new target node.
  • the disaster information processing unit 251 of the UE 200 may perform an operation of controlling a predetermined device or system (for example, notifying the home gateway that disaster information has been received).
  • the configuration of the target node 300 in the third embodiment of the present invention is the same as that of the target node shown in FIG. 3 or FIG. 7, but for example, the session of the target node 300 shown in FIG. It is desirable that the handover EAP authentication extended function unit 315 supports an additional authentication process (described later) that is simplified in order to promptly notify the disaster information.
  • FIG. 12 is a sequence chart showing an example of the operation in the third embodiment of the present invention.
  • the UE 200 receives a session related to some service from the service network 450 as an initial state. That is, it is assumed that the UE 200 performs an authentication process with the authentication server 600 and is approved as a terminal suitable for receiving a service, and as a result, receives a session related to a desired service. .
  • an arbitrary session can be transmitted to a specific target node 300. It is assumed that session handover is performed (step S3001).
  • the authentication server 600 an integrated device such as the HeNB / Home-GW 100 or a device serving as a branch point of information transfer may be the authentication server 600
  • the 3G network Assume that disaster information notifying disaster information such as ETWS is received from 400 (for example, the disaster information notification server 750 corresponding to the content server 700) (step S3003).
  • the disaster information processing unit 651 of the authentication server 600 that has received the disaster information notifies the UE 200 of the disaster information (step S3005).
  • This notification of disaster information is performed by a normal operation (for example, an operation defined by ETWS).
  • the authentication server 600 determines whether there is any other device to be notified. At this time, if the session handover is being performed for the target node 300 by the method described in the first or second embodiment of the present invention, the target node 300 has already been The authentication server 600 knows the target node 300 because it has been authenticated. In this case, the authentication server 600 performs a process of notifying the disaster information in a form added to or mixed with the session provided to the target node 300.
  • the authentication server 600 when notifying disaster information in a different session, the authentication server 600 lowers the authentication level at least for the authentication part determined by the authentication server itself (so that disaster information can be notified to more devices). ) Additional authentication processing must be performed (step S3007).
  • the authentication server 600 performs additional authentication with the target node 300 based on the information used in the already authenticated session handover EAP authentication.
  • authentication related to receiving this session / disaster information may be required as usual. That is, the target node 300 may need to determine as usual whether the incoming session is legitimate.
  • the additional authentication processing related to the notification of the disaster information is basically performed according to the method described in the first or second embodiment of the present invention, and is originally authenticated by this. Authentication processing of the target node 300 that cannot be performed is performed. However, the additional authentication process needs to be performed quickly and in a manner that is notified to more devices, and is preferably a simplified authentication process. For example, in the additional authentication process, it is desirable to use a simplified authentication information or perform a simplified authentication procedure to quickly and lower the authentication level. Further, the authentication server 600 may notify only that the session can be started without requiring a particularly complicated authentication procedure, or may forcibly transmit disaster information without performing authentication processing. .
  • the authentication server 600 when the authentication server 600 succeeds in the additional authentication process with the target node 300 that has already been authenticated by the session handover, for example, the authentication server 600 adds a session for notifying disaster information or an existing session.
  • the disaster information is notified to the target node 300 by mixing the disaster information with (step S3009).
  • the authentication server 600 is connected to another device that has not been authenticated by session handover (a device that does not have SIM information that can be used for authentication in the 3G network 400, hereinafter referred to as a new target node 350).
  • a new target node 350 a device that does not have SIM information that can be used for authentication in the 3G network 400, hereinafter referred to as a new target node 350.
  • An authentication process for notifying the disaster information is performed (step S3011).
  • the UE 200 that has received the disaster information transmits session HO information related to the disaster information to the new target node 350, thereby performing session handover (the method described in the above-described first embodiment of the present invention).
  • the UE 200 May be started, and the UE 200 transmits the ID information of the new target node 350 to the authentication server 600 (or the authentication process related to another apparatus that the authentication server 600 knows in advance by some method in advance) Session handover (the method described in the above-described second embodiment of the present invention) may be started.
  • Session handover (the method described in the above-described second embodiment of the present invention) may be started.
  • the session HO information and the authentication procedure in this case are also simplified, and it is desirable that authentication with a low authentication level be performed quickly.
  • the authentication server 600 informs the new target node 350 whose existence is specified only that the session can be started without requiring a complicated authentication procedure, or forces the authentication without performing an authentication process. Disaster information may be communicated.
  • the authentication server 600 performs a process of notifying the apparatus of disaster information (step S3013).
  • the authentication server 600 performs independent and parallel processing for notifying the disaster information to each of the UE 200, the target node 300 that has been authenticated by session handover, and the new target node 350 that has not been authenticated by session handover. It is desirable to do so. Further, the authentication server 600 needs to transmit the initial information (primary information) of the disaster information within a predetermined time (within 4 seconds), but the notification of the first report is delayed by performing additional authentication processing. (Especially for the new target node 350). In order to prevent such a delay from occurring, for example, the authentication server 600 notifies the initial information (primary information) of disaster information in parallel during the authentication process, and details of the disaster information after successful authentication process. Information (secondary information) may be notified.
  • the authentication server 600 may start an operation for controlling a predetermined device or system when receiving a notification of disaster information.
  • the authentication server 600 may have a home gateway function that can control each device upon receiving notification of disaster information (may be provided in the same device as the authentication server 600 or in a different device. May be notified that the disaster information has been received so that the home gateway can immediately start control of a predetermined device or system.
  • the processing related to notification of disaster information is as follows: It is desirable that the processing is performed with priority (or top priority) over other processing.
  • a fourth embodiment of the present invention will be described.
  • the authentication server 600 receives the disaster information from the 3G network 400 and notifies the UE 200 of the disaster information.
  • the UE 200 also receives 3G through the macro base station.
  • the UE 200 can be connected to the network 400, and the UE 200 may receive the disaster information from the 3G network 400 before the authentication server 600.
  • the fourth embodiment of the present invention a case where the UE 200 receives a notification of disaster information from the 3G network 400 will be described.
  • the UE 200 may participate in a disaster information notification service and may be able to directly receive disaster information from a disaster information notification system (for example, ETWS).
  • a disaster information notification system for example, ETWS
  • the authentication server 600 an integrated device such as the HeNB / Home-GW 100 or a device serving as a branch point of information transfer may be the authentication server 600
  • the macro base station There is a possibility of receiving disaster information first.
  • the UE 200 needs to be connected to the macro base station.
  • the UE 200 may be connected to the macro base station so that disaster information can be easily received from the ETWS, or, for example, when the user comes home and moves his / her session to the target node 300 such as a TV set, May be connected to the macro base station.
  • the UE 200 according to the fourth embodiment of the present invention further receives disaster information from the 3G network 400 side.
  • the unit 251 has a function of transferring disaster information to the authentication server 600.
  • the authentication server 600 according to the fourth embodiment of the present invention further includes disaster information from the UE 200 as well as from the 3G network 400 side. It has a function to receive notifications.
  • FIG. 13 is a sequence chart showing an example of operation in the fourth embodiment of the present invention.
  • the UE 200 receives a session related to some service from the service network 450 as an initial state. That is, it is assumed that the UE 200 performs an authentication process with the authentication server 600 and is approved as a terminal suitable for receiving a service, and as a result, receives a session related to a desired service. .
  • an arbitrary session can be transmitted to a specific target node 300. It is assumed that session handover is being performed (step S4001).
  • the UE 200 has received the disaster information for notifying the disaster information such as ETWS from the 3G network 400 (for example, the disaster information notification server 750 corresponding to the content server 700) via the macro base station 410. (Step S4003). At this time, the disaster information processing unit 251 of the UE 200 transfers the disaster information to the authentication server 600 (step S4005).
  • the disaster information processing unit 251 of the UE 200 transfers the disaster information to the authentication server 600 (step S4005).
  • the authentication server 600 receives the disaster information transferred from the UE 200, performs authentication for transferring the disaster information to the target node 300 and the new target node 350, and notifies the disaster information. In addition, since the authentication server 600 has received the disaster information from the UE 200, it is not necessary to notify the UE 200 of the disaster information again.
  • the UE 200 when the UE 200 receives the disaster information from the 3G network 400, the UE 200 transfers the disaster information to the authentication server 600, and the process for enabling the disaster information to be transferred to the target node 300 or the new target node 350 (target It is desirable to voluntarily start (preparation for additional authentication processing) between the node 300 or the new target node 350 and the authentication server 600.
  • the UE 200 itself receives disaster information from the 3G network 400
  • the disaster information is transferred to the target node 300, the new target node 350, a home gateway capable of controlling devices and systems, and the like. You may perform directly and UE200 itself may play the role of a home gateway and may control an apparatus and a system.
  • the mobile network gateway corresponding to the HeNB / Home-GW 100 is a mobile (such as a vehicle or a train).
  • the present invention can be applied even in the case where it is mounted on a).
  • the mobile network gateway may be directly connected to the 3G network 400, or the UE 200 that can be connected to the 3G network 400 exists in the mobile body, and the mobile network gateway passes through the UE 200 ( You may connect with 3G network 400 (UE200 plays the role of a gateway).
  • a session that can be received by a device having SIM information such as a UE 200 or a navigation system having SIM information
  • a device having no SIM information a monitor installed in a moving body
  • connection between the mobile network gateway and the 3G network 400 is also a wireless connection.
  • the wireless connection may be disconnected, but in such a case, it is possible to automatically return the session to the UE 200 (session handover), which is useful.
  • the content of the mobile network may be provided to the UE 200 via the 3G network 400.
  • the target node (for example, a camera installed in the moving body) 300 that does not have the SIM information is authenticated by the method according to the present invention based on the SIM information of the moving body network gateway, and then the moving body network gateway.
  • Content (for example, an image captured by a camera) can be transmitted to the network that provides the connection service via the mobile network gateway, and the UE 200 is provided with the content from the 3G network 400. It can be received as a service. For example, when the UE 200 receives the content service via the mobile network gateway in the mobile body, the UE 200 acquires the session HO information from the mobile network gateway and performs the connection service for the mobile network gateway.
  • the UE 200 can receive content via the 3G network 400 by performing authentication related to the session handover with the authentication server of the existing network. Thereby, the UE 200 can receive the content transmitted from the macro base station via the 3G network 400 by the target node. For example, even when the user of the UE 200 leaves the moving body, the camera in the moving body It becomes possible to receive and view the image captured by. Moreover, not only a moving body but the video of a door phone installed in a house can be received and viewed by the UE 200 in the same manner.
  • the method according to the present invention can also be applied to an upload type session in which data is transmitted from the UE 200 or the target node 300 to the network side.
  • a session for uploading the captured image using the camera of the UE 200 is handed over to the video camera connected to the home network, and thereafter, the upload is performed by switching from the captured image of the UE to the captured image of the video camera.
  • the imaging subject is changed from the UE 200 camera to the camera installed in the moving body by performing a session handover from the UE 200 camera to the camera installed in the moving object. It is also possible to perform a session handover for switching.
  • the operation for performing a session handover relating to data upload is basically the same as the operation for session handover relating to data download, and the transfer of content between the content server and the UE 200 (or the target node 300). Only the direction is reversed.
  • HeNB-GW a GW for connecting the HeNB to the 3G network
  • the HeNB-GW may act as a gateway device to the 3G network for a plurality of HeNBs, and may share and share some functions with the HeNB.
  • each functional block used in the description of the embodiment of the present invention is typically realized as an LSI (Large Scale Integration) which is an integrated circuit. These may be individually made into one chip, or may be made into one chip so as to include a part or all of them.
  • LSI Large Scale Integration
  • IC Integrated Circuit
  • system LSI super LSI
  • ultra LSI ultra LSI depending on the degree of integration.
  • the method of circuit integration is not limited to LSI, and may be realized by a dedicated circuit or a general-purpose processor.
  • An FPGA Field Programmable Gate Array
  • a reconfigurable processor that can reconfigure the connection and setting of circuit cells inside the LSI may be used.
  • the present invention has an effect that session handover can be performed between devices having different key generation functions in an authentication protocol, and can be applied to a communication technique in a packet-switched data communication network. It can be applied to authentication technology and session mobility technology.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

 認証プロトコルにおいて鍵生成機能が異なる装置間においてセッションハンドオーバを行えるようにする技術が開示され、その技術によればUE200がコンテンツサーバ700からコンテンツを受信するセッションをターゲットノード300へハンドオーバさせる際、まずUEは、そのセッションをハンドオーバさせるために必要な情報(セッションHO情報)をターゲットノードへ渡す(ステップS1001)。ターゲットノードは、UEが接続しているネットワークの認証サーバ600との間で認証処理を行うと共に、UEから渡されたセッションHO情報を認証サーバへ通知する(ステップS1003)。認証サーバは、このセッションHO情報に基づいてセッションハンドオーバのための認証を行い、認証に成功するとコンテンツサーバからターゲットノードへセッションがハンドオーバされて、ターゲットノードへコンテンツが配信されるようになる(ステップS1005)。

Description

通信システム及び通信処理装置並びに認証処理装置
 本発明は、パケット交換型データ通信ネットワークにおける通信技術に関し、特に、ユーザ端末(UE:User Equipment)がEAP(Extensible Authentication Protocol:拡張認証プロトコル)などの認証プロトコルを用いてネットワークへの接続を行う際の通信技術に関する。
 現在、基地局1台あたりが中長距離のサービスエリアを包含するセルラ通信などの無線通信機能や、サービスエリアが比較的短距離な無線LAN(Local Area Network:ローカルエリアネットワーク)機能などを有し、複数の異種ネットワークで構成されるネットワークを用いて通信サービスを行うシステムや、これらのネットワークに接続可能な無線通信端末が存在している。
 このような複数の異種ネットワークから構成されるネットワークとして、3GPP(Third Generation Partnership Project:第3世代パートナーシッププロジェクト)では、3GPPネットワーク(以下3Gネットワークと記載)に加えて、無線LAN、その他のセルラネットワーク(第2世代までのネットワーク、3GPP2ネットワークなどを含む)、WiMAX(Worldwide Interoperability for Microwave Access、IEEE802.16)タイプの無線ワイドエリアネットワーク(WWAN:Wireless Wide Area Network)などの様々な異種ネットワークとの通信機能を有する無線通信端末及び関連する通信技術に関する議論が行われている。
 特に、このような異種ネットワークにおいて、シームレスなモビリティの実現や、リアルタイムビデオ、VoIP(Voice over Internet Protocol)などのセッションにモビリティサービスを付加することなどを目指した議論が行われている。例えば、下記の非特許文献1には、異種ネットワーク環境において、3Gネットワークと非3Gネットワークとの関係が検討されており、主に、UEによる異種ネットワーク間の物理的なハンドオーバに関して考察されている。
 また、これらのネットワークにおいては、認証、アクセスコントロール、課金に関する規定も重要な要件となる。例えばセルラネットワークにおいてはUMTS(Universal Mobile Telecommunications System)でのAKA(Authentication and Key Agreement)やGSM(Global System for Mobile communications)でのSIM(GSM Subscriber Identification Module)の機能に基づいて認証を行うことが検討されている。
 これらの機能の多くは、例えば、下記の非特許文献2や下記の非特許文献3に記載されているEAPを用いた通信方法で使用される。例えば、下記の非特許文献4に記載されているEAP-SIMにおいては、EAPのプロトコルに基づいて、SIMカード内の情報を用いて認証とセッション鍵の交換が行われる。また、下記の非特許文献5に記載されているEAP-AKAは、GSMでの認証との互換性を考慮して3Gネットワークで使用できるよう拡張されたものである。また、LAN接続時に使用する認証規格であるIEEE(Institute of Electrical and Electronic Engineers)802.1Xにおいても、EAP-MD5(EAP - Message Digest version 5)やEAP-TLS(EAP - Transport Layer Security)など、様々なEAPを用いた認証が可能である。
 一方、下記の非特許文献6には、UEが行っている通信のセッションを他のUEへ移すセッションのモビリティに関する技術が記載されている。この非特許文献6に記載されている技術では、あるUEが利用しているセッションの一部又はすべてを別のUEへ移す際のセッションの連続性に関して検討されている。
 また、下記の非特許文献7及び非特許文献8において、地震や津波などの災害情報を通知する仕組みに関する検討がなされている。非特許文献7に記載されているシステムは、地震や津波などの災害発生時に3GPPネットワークを利用して災害情報を通知するシステムであり、ETWS(Earthquake Tsunami Warning System:地震津波警報システム)と呼ばれている。
 このETWSは、端末(UE:User Equipment)に災害の発生を伝えるためのシステムであり、地震や津波などを始めとする100種類程度の災害の発生を知らせる第1報(以下、プライマリ通知:Primary Notificationと記載)と、災害の詳細な情報を知らせる第2報(以下、セカンダリ通知:Secondary Notificationと記載)を報知する。
 具体的には、例えば、災害発生時に3Gネットワーク側から基地局に対して災害発生が通知され、基地局から端末に対して緊急に報知情報として通知が行われる。基地局は、プライマリ通知を受信してから4秒以内に、第1報を端末に伝えることが要求されている。このプライマリ通知の端末への緊急通知には、システム情報として報知することが考えられている。また、このような災害の緊急通知以外においても、通信セル内のトラフィックの急激な増加などによる緊急のアクセスクラス制御などのシステム情報に関しても、特定の期間(Modification period)内で変更を通知することにより、より端末のアクセス制御が細かくできるようになると考えられる。
 少なくともプライマリ通知は最優先で端末に通知される必要があり、将来的にはMBMS(Multimedia Broadcast and Multicast Service:マルチメディアブロードキャスト/マルチキャストサービス)によってセカンダリ情報を通知することも検討されている。また、ETWSにおける災害情報の通知サービスはマクロ基地局(NE/eNB)だけではなく、よりローカルな基地局(HNB/HeNB)に対しても提供されるかどうかに関しては議論が行われているが、機能的にはローカルの基地局に対しても提供可能である。
3GPP TS 23.402 V8.0.0、2007-12 RFC2284、"PPP Extensible Authentication Protocol"、March 1998 RFC3748、"Extensible Authentication Protocol (EAP)"、June 2004 RFC4186、"Extensible Authentication Protocol Method for Global System for Mobile Communications (GSM) Subscriber Identity Modules (EAP-SIM)"、January 2006 RFC4187、"Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA)"、January 2006 3GPP TR 23.893 V8.0.0、2008-06(5.4章) 3GPP TS22.168 V8.1.0、Earthquake and Tsunami Warning System (ETWS) requirements, 2008-06 3GPP TS36.331 V8.4.0、Evolved Universal Terrestrial Radio Access (E-UTRA); Radio Resource Control (RRC); Protocol specification, 2008-12
 しかしながら、利用者の利便性をより高めるために利用者の所有する装置間でセッションにモビリティサービスを付加した場合、オペレーションの要件によっては必ずしも自由にセッションのハンドオーバが行えるとは限らないという問題がある。すなわち、例えば認証に必要な機能を持たない装置や認証の方式が異なる装置に対しては、機器間でのセッションハンドオーバを行うことができない場合がある。
 例えば、図9において、利用者の端末(UE200)が接続している3Gネットワーク400に存在するサービスネットワーク450からリアルタイムビデオの提供を受けている場合に、同一の接続基地局460(後述の図1のHeNB/Home-GW100に対応)の配下(若しくはネットワークを介して到達可能な状態)に存在するターゲットノード(TVセット)300へリアルタイムビデオのセッションをハンドオーバし、ターゲットノード300においてリアルタイムビデオの視聴を行いたいとする。
 このとき、ターゲットノード300もUE200と同様の3Gネットワーク400に対する認証機能の要件(例えば、ターゲットノード300がSIMカードを有しており、3Gネットワーク400のオペレータとの契約などの関係によって、SIMカード内の情報を利用した認証鍵が使用可能である場合など)を満たしていれば、3Gネットワーク400のオペレータ側の何らかの操作によって、ターゲットノード300が3Gネットワーク400に認証されてセッションのハンドオーバが実現可能となるかもしれない。
 しかしながら、通常、TVセットのようなターゲットノード300には移動端末としての主要な機能が実装されていないことが多く、3Gネットワーク400への接続に利用される認証機能(3Gネットワーク400のオペレータが規定している認証方式)とは異なる認証機能しか有していない場合が多い。そのため、ターゲットノード300が、たとえUE200の利用者本人が所有する機器であっても3Gネットワーク400との間の認証が成功せず、3Gネットワーク400への接続を行うことができないか、あるいは、3Gネットワーク400からのセッションのセッション鍵を生成することができないために、セッションのハンドオーバが実現できないという問題がある。
 上記の課題を解決するため、本発明は、認証プロトコルにおいて鍵生成機能が異なる装置間においてセッションハンドオーバを行えるようにする通信システム及び利用者端末並びに認証サーバを提供することを目的とする。
 上記の目的を達成するため、本発明の通信システムは、第1ネットワークに属する第1ノードが保持している前記第1ネットワークとの間の認証用情報を利用して、前記第1ノードと前記第1ネットワークとの間の通信中のセッションを前記第1ネットワークとは異なる第2ネットワークに属する第2ノードへハンドオーバさせるための認証が行われるよう構成されている。
 この構成により、認証プロトコルにおいて鍵生成機能が異なる装置間においてセッションハンドオーバを行うことが可能となる。
 また、上記の目的を達成するため、本発明の通信処理装置は、第1ネットワークに属する第1ノードが保持している前記第1ネットワークとの間の認証用情報を利用して、前記第1ノードと前記第1ネットワークとの間の通信中のセッションを前記第1ネットワークとは異なる第2ネットワークに属する第2ノードへハンドオーバさせるための認証が行われるよう構成されている通信システムの前記第1ノードに実装される通信処理装置であって、
 前記第2ノードが前記第1ネットワークの認証サーバとの間で前記セッションのハンドオーバのための認証処理を行う際に前記認証サーバへ通知するための前記セッションのハンドオーバのための認証に必要な情報を、前記第2ノードへ通知するよう構成されている。
 この構成により、認証プロトコルにおいて鍵生成機能が異なる装置間において、セッションのハンドオーバ先となる第2ノードが認証処理を行うことによってセッションハンドオーバを行うことが可能となる。
 また、上記の目的を達成するため、本発明の通信処理装置は、第1ネットワークに属する第1ノードが保持している前記第1ネットワークとの間の認証用情報を利用して、前記第1ノードと前記第1ネットワークとの間の通信中のセッションを前記第1ネットワークとは異なる第2ネットワークに属する第2ノードへハンドオーバさせるための認証が行われるよう構成されている通信システムの前記第1ノードに実装される通信処理装置であって、
 前記第1ネットワークの認証サーバとの間で前記セッションのハンドオーバのための認証処理を行う際に、前記第2ノードの識別情報を前記認証サーバへ通知するよう構成されている。
 この構成により、認証プロトコルにおいて鍵生成機能が異なる装置間において、セッションのハンドオーバ元となる第1ノードが認証処理を行うことによってセッションハンドオーバを行うことが可能となる。
 また、上記の目的を達成するため、本発明の通信処理装置は、第1ネットワークに属する第1ノードが保持している前記第1ネットワークとの間の認証用情報を利用して、前記第1ノードと前記第1ネットワークとの間の通信中のセッションを前記第1ネットワークとは異なる第2ネットワークに属する第2ノードへハンドオーバさせるための認証が行われるよう構成されている通信システムの前記第2ノードに実装される通信処理装置であって、
 前記セッションのハンドオーバのための認証に必要な情報を前記第1ノードから受信し、前記第1ネットワークの認証サーバとの間で前記セッションのハンドオーバのための認証処理を行う際に、前記セッションのハンドオーバのための認証に必要な情報に基づいて生成された情報を前記認証サーバへ通知するよう構成されている。
 この構成により、認証プロトコルにおいて鍵生成機能が異なる装置間において、セッションのハンドオーバ先となる第2ノードが認証処理を行うことによってセッションハンドオーバを行うことが可能となる。
 また、上記の目的を達成するため、本発明の通信処理装置は、第1ネットワークに属する第1ノードが保持している前記第1ネットワークとの間の認証用情報を利用して、前記第1ノードと前記第1ネットワークとの間の通信中のセッションを前記第1ネットワークとは異なる第2ネットワークに属する第2ノードへハンドオーバさせるための認証が行われるよう構成されている通信システムの前記第2ノードに実装される通信処理装置であって、
 前記第1ノードが前記第1ネットワークの認証サーバとの間で前記セッションのハンドオーバのための認証処理を行う際に前記認証サーバへ通知するための前記第2ノードの識別情報を、前記第1ノードへ通知するよう構成されている。
 この構成により、認証プロトコルにおいて鍵生成機能が異なる装置間において、セッションのハンドオーバ元となる第1ノードが認証処理を行うことによってセッションハンドオーバを行うことが可能となる。
 また、上記の目的を達成するため、本発明の認証処理装置は、第1ネットワークに属する第1ノードが保持している前記第1ネットワークとの間の認証用情報を利用して、前記第1ノードと前記第1ネットワークとの間の通信中のセッションを前記第1ネットワークとは異なる第2ネットワークに属する第2ノードへハンドオーバさせるための認証が行われるよう構成されている通信システムの前記第1ネットワークに属する認証サーバに実装される認証処理装置であって、
 前記第2ノードとの間で前記セッションのハンドオーバのための認証処理を行う際に、前記第2ノードが前記第1ノードから受信した前記セッションのハンドオーバのための認証に必要な情報に基づいて生成した情報を前記第2ノードから受信し、前記セッションのハンドオーバのための認証に必要な情報に基づいて生成された前記情報を利用して前記セッションのハンドオーバのための認証を行うように構成されている。
 この構成により、認証プロトコルにおいて鍵生成機能が異なる装置間において、セッションのハンドオーバ先となる第2ノードが認証処理を行うことによってセッションハンドオーバを行うことが可能となる。
 また、上記の目的を達成するため、本発明の認証処理装置は、第1ネットワークに属する第1ノードが保持している前記第1ネットワークとの間の認証用情報を利用して、前記第1ノードと前記第1ネットワークとの間の通信中のセッションを前記第1ネットワークとは異なる第2ネットワークに属する第2ノードへハンドオーバさせるための認証が行われるよう構成されている通信システムの前記第1ネットワークに属する認証サーバに実装される認証処理装置であって、
 前記第1ノードとの間で前記セッションのハンドオーバのための認証処理を行う際に、前記第2ノードの識別情報を前記第1ノードから受信するように構成されている。
 この構成により、認証プロトコルにおいて鍵生成機能が異なる装置間において、セッションのハンドオーバ元となる第1ノードが認証処理を行うことによってセッションハンドオーバを行うことが可能となる。
 本発明は、上記の構成を有しており、認証プロトコルにおいて鍵生成機能が異なる装置間においてセッションハンドオーバを行えるようになるという効果を有する。
本発明の第1及び第2の実施の形態におけるネットワークシステムの構成の一例を示す図 本発明の第1の実施の形態におけるUEの構成の一例を示す図 本発明の第1の実施の形態におけるターゲットノードの構成の一例を示す図 本発明の第1及び第2の実施の形態における認証サーバの構成の一例を示す図 本発明の第1の実施の形態における動作の一例を示すシーケンスチャート 本発明の第2の実施の形態におけるUEの構成の一例を示す図 本発明の第2の実施の形態におけるターゲットノードの構成の一例を示す図 本発明の第2の実施の形態における動作の一例を示すシーケンスチャート 本発明に係る課題を説明するための従来の技術におけるネットワークシステム構成の一例を示す図 本発明の第3の実施の形態における認証サーバの構成の一例を示す図 本発明の第3の実施の形態におけるUEの構成の一例を示す図 本発明の第3の実施の形態における動作の一例を示すシーケンスチャート 本発明の第4の実施の形態における動作の一例を示すシーケンスチャート
 以下、図面を参照しながら、本発明の第1及び第2の実施の形態について説明する。まず、本発明の第1及び第2の実施の形態におけるネットワークシステムの構成について説明する。
 図1は、本発明の第1及び第2の実施の形態におけるネットワークシステムの構成の一例を示す図である。図1に図示されているネットワークシステムにおいて、あるユーザのUE(例えば、3G通信可能な携帯電話機)200が、ユーザ自身の家屋に設置された小型の基地局(HeNB:Home eNB)を介して、第1ネットワークオペレータが管理する3Gネットワーク(第1ネットワーク)400に接続している。ここでは、UE200は、3Gネットワーク400を管理する第1ネットワークオペレータとの間でEAPを用いて認証を完了し、サービスネットワーク450のコンテンツサーバ(図1には不図示、後述のコンテンツサーバ700に対応)からコンテンツ(例えば、リアルタイムビデオ)の配信を受けているとする。
 また、ターゲットノード(例えば、TVセット)300はホームゲートウェイ(Home-GW)経由で、第2ネットワークオペレータ(第1ネットワークオペレータとは異なるネットワークオペレータ)が管理するネットワーク500に接続している。なお、ここでは、HeNBとHome-GWとが同一の装置に実装されているとし、HeNB及びHome-GWを合わせてHeNB/Home-GW100と記載するが、HeNB及びHome-GWは分離されていてもよい。ターゲットノード300と第2ネットワークオペレータとの間においても認証が行われているが、UE200と第1ネットワークオペレータとの間とは異なる認証機能及び認証鍵を用いて行われているとする。すなわち、UE200は3Gネットワーク400での認証に利用可能なSIMカード(SIM)250を有している一方、ターゲットノード300は3Gネットワーク400での認証に利用可能なSIMカード250を有していない。なお、3Gネットワーク400へ接続する際に認証サーバとして機能する認証エンティティの機能の一部又はすべては、例えば、HeNB/Home-GW100に実装されていてもよく、あるいは、3Gネットワーク400内の他の任意のノードに実装されていてもよい。
<第1の実施の形態>
 以下、本発明の第1の実施の形態について説明する。本発明の第1の実施の形態では、UE200が読み出し可能なSIMカード250内の情報(以下、SIM情報と呼ぶ)を利用して、ターゲットノード300が3Gネットワーク400側からセッションハンドオーバを受ける方法について説明する。
 図2は、本発明の第1の実施の形態におけるUEの構成の一例を示す図である。図2に図示されているUE200は、通信部(下位レイヤ)211、SIMインタフェース212、セッションハンドオーバ情報準備部213、UE・ターゲットノード間通信部214、3Gネットワーク用通信部215を有しており、3Gネットワーク用通信部215はEAP認証機能部216を更に有している。
 通信部(下位レイヤ)211は、他のノードと通信を行うための通信機能を表すものであり、1つ又は複数のネットワークインタフェースを有している。UE200が携帯電話機の場合には、通信部(下位レイヤ)211は無線通信機能を有している。この通信部(下位レイヤ)211の通信機能によって、UE200は、3Gネットワーク400やその他のネットワークに接続されているノードと通信を行うことが可能であるとともに、ターゲットノード300と通信を行うことも可能である。
 また、SIMインタフェース212は、UE200に装着されているSIMカード250(あるいは、USIM(Universal Subscriber Identity Module)カード)に格納されているSIM情報を読み出す機能を有している。なお、SIMインタフェース212及びSIMカード250は、特に3Gネットワーク400に接続する場合(UE200が携帯電話機である場合)の一例であり、UE200が認証に用いる情報を保持、取得又は生成する機能と置き換え可能である。
 また、セッションハンドオーバ情報準備部213は、SIMインタフェース212によりSIMカード250から読み出せるSIM情報のうち、セッションハンドオーバの認証のために必要な情報(以下、セッションHO(Handover:ハンドオーバ)情報と記載)を取り出して、そのセッションHO情報をターゲットノード300へ転送できるように準備する機能を有している。なお、セッションHO情報の転送準備(あるいは、実際の転送)は、ユーザによる入力指示、ターゲットノード300からの要求、ネットワーク側からの指示などを始めとして、任意のタイミングで実行可能である。
 また、UE・ターゲットノード間通信部214は、UE200がターゲットノード300との間で通信を行うための機能を有している。UE・ターゲットノード間通信部214は、セッションハンドオーバ情報準備部213によって準備されたセッションHO情報をターゲットノード300へ送信することが可能である。なお、後述のように、UE200とターゲットノード300との間には信用関係が存在することが望ましく、UE・ターゲットノード間通信部214によってターゲットノード300へ送信されるセッションHO情報は、セキュアな状態で伝送されることが望ましい。
 また、3Gネットワーク用通信部215は、UE200が3Gネットワーク400の任意のノードと通信を行うための機能を有している。3Gネットワーク用通信部215は、3Gネットワーク400に属するサービスネットワーク450のサーバ(例えば、後述のコンテンツサーバ700)からコンテンツ(例えば、リアルタイムビデオ)を受信することも可能である。なお、3Gネットワーク用通信部215は、セッションハンドオーバの認証に成功した場合に、3Gネットワーク400内のノード(例えば、3Gネットワーク400の認証サーバ600)に対して、セッションをハンドオーバさせるためのシグナリングを送信してもよく、あるいは、ターゲットノード300に対してセッションハンドオーバの開始指示を送信し、セッションをハンドオーバさせるためのシグナリングをターゲットノード300に送信させてもよい。
 また、3Gネットワーク用通信部215のEAP認証機能部216は、UE200が3Gネットワーク400へ接続する際に、3Gネットワーク400(例えば、後述の認証サーバ600)との間でEAP認証を行う機能を有している。このEAP認証は、従来のUE200によって行われているEAP認証と同一であり、SIMインタフェース212によってSIMカード250から読み出されたSIM情報を用いて行われる。
 また、図3は、本発明の第1の実施の形態におけるターゲットノードの構成の一例を示す図である。図3に図示されているターゲットノード300は、通信部(下位レイヤ)311、セッションハンドオーバ情報取得部312、UE・ターゲットノード間通信部313、セッションハンドオーバ用通信部314、第2ネットワークオペレータ通信部316を有しており、セッションハンドオーバ用通信部314はセッションハンドオーバ用EAP認証拡張機能部315を更に有している。
 通信部(下位レイヤ)311は、他のノードと通信を行うための通信機能を表すものであり、1つ又は複数のネットワークインタフェースを有している。この通信部(下位レイヤ)311の通信機能によって、ターゲットノード300は、第2ネットワーク500やその他のネットワークに接続されているノードと通信を行うことが可能であるとともに、UE200と通信を行うことも可能である。
 また、セッションハンドオーバ情報取得部312は、UE・ターゲットノード間通信部313でUE200から受信したセッションHO情報を取得し、必要であれば前処理を行った後、セッションハンドオーバ用EAP認証拡張機能部315へ渡す機能を有している。
 また、UE・ターゲットノード間通信部313は、ターゲットノード300がUE200との間で通信を行うための機能を有している。UE・ターゲットノード間通信部313は、UE200から送信されたセッションHO情報を受信することが可能である。なお、後述のように、UE200とターゲットノード300との間には信用関係が存在することが望ましく、UE・ターゲットノード間通信部313がUE200から受信するセッションHO情報は、セキュアな状態で伝送されることが望ましい。
 また、セッションハンドオーバ用通信部314は、UE200によって3Gネットワーク400との間で保持されているセッションを譲り受けるための処理を行う機能を有している。セッションハンドオーバ用通信部314は、セッションハンドオーバ用EAP認証拡張機能部315におけるセッションハンドオーバの認証に成功した場合、3Gネットワーク400内のノード(例えば、3Gネットワーク400の認証サーバ600)に対して、セッションをハンドオーバさせるためのシグナリングを送信してもよく、あるいは、UE200からセッションハンドオーバの開始指示を受信してから、セッションをハンドオーバさせるためのシグナリングを送信してもよい。
 また、セッションハンドオーバ用通信部314のセッションハンドオーバ用EAP認証拡張機能部315は、UE200によって3Gネットワーク400との間で保持されているセッションを譲り受けるために、3Gネットワーク400(例えば、認証サーバ600)との間でEAP認証を行う機能を有している。なお、セッションハンドオーバ用EAP認証拡張機能部315は、3Gネットワーク400との間のEAP認証の過程で、セッションハンドオーバ情報取得部312から取得したセッションHO情報を利用して、認証を受けるとともに、ターゲットノード300が受信しようとしているセッションのセッション鍵の交換を行う。
 また、第2ネットワークオペレータ通信部316は、ターゲットノード300が第2ネットワーク500の任意のノードと通信を行うための機能を有している。なお、ターゲットノード300が第2ネットワーク500に接続する際の認証処理も、この第2ネットワークオペレータ通信部316によって行われる。
 また、図4は、本発明の第1の実施の形態における認証サーバの構成の一例を示す図である。図4に図示されている認証サーバ600は、通信部(下位レイヤ)611、セッションハンドオーバ処理部612、第2ネットワークオペレータ通信部613、3Gネットワーク用通信部614を有しており、3Gネットワーク用通信部614はEAP認証機能部615を更に有しており、EAP認証機能部615はセッションハンドオーバ用EAP認証拡張機能部616を更に有している。なお、図4に図示されている認証サーバ600の機能は、3Gネットワーク400に属する任意のノード(例えば、HeNB/Home-GW100)に実装可能であり、また、複数のノードに分散(例えば、認証エンティティが3Gネットワーク400上で多段に構成)されていてもよい。
 通信部(下位レイヤ)611は、他のノードと通信を行うための通信機能を表すものであり、1つ又は複数のネットワークインタフェースを有している。この通信部(下位レイヤ)611の通信機能によって、第2ネットワーク500やその他のネットワークに接続されているノードと通信を行うことが可能であるとともに、UE200やターゲットノード300と通信を行うことも可能である。
 また、セッションハンドオーバ処理部612は、セッションハンドオーバ用EAP認証拡張機能部616におけるEAP認証によって、UE200によって3Gネットワーク400との間で保持されているセッションをターゲットノード300へ移すことが許可された場合に、そのセッションをUE200からターゲットノード300へハンドオーバさせる機能を有している。なお、セッションハンドオーバ処理部612は、このセッションの送信元(例えば、コンテンツサーバ700)やセッションの通過点のノードに対して、セッションの送信先をUE200からターゲットノード300へ切り換える(第2ネットワーク経由となる場合も考えられる)よう指示してもよく、また、認証サーバ600がこのセッションの通過点のノードに実装されている場合(例えば、認証サーバ600がHeNB/Home-GW100に実装されている場合)には、自身のノード(例えば、HeNB/Home-GW100)でセッションの送信先をUE200からターゲットノード300へ切り換えてもよい。なお、セッションハンドオーバのための認証と、実際のセッションハンドオーバの処理が分離されている場合は、例えば、セッションハンドオーバ用EAP認証拡張機能部616におけるEAP認証が完了した後、認証サーバ600、UE200、ターゲットノード300、その他の3Gネットワーク400内のノードが実際のセッションハンドオーバの処理を開始し、セッションの送信先をUE200からターゲットノード300へ切り換えてもよい。特に、UE200及びターゲットノード300が上位レイヤプロトコルとしてセッションの制御にSIP(Session Initiation Protocol)を使用している場合は、SIPで規定されているDIFFERメッセージ及びINVITEメッセージなどを用いてセッションの切り換えを行うことができる。
 また、第2ネットワークオペレータ通信部613は、認証サーバ600が第2ネットワーク500に属する任意のノード(例えば、ターゲットノード300)と通信を行うための機能を有している。
 また、3Gネットワーク用通信部614は、認証サーバ600が3Gネットワーク400の任意のノードと通信を行うための機能を有している。また、実際のセッションハンドオーバは、例えば、認証サーバ600からコンテンツサーバ700へセッションの切り換え指示が行われてコンテンツサーバ700がターゲットノード300に対してコンテンツを配信するなどのように、3Gネットワーク400内部で行われてもよく、また、HeNB/Home-GW100のような分岐点においてUE200からターゲットノード300へコンテンツの配信先を切り換えてもよい。なお、3Gネットワーク用通信部614は、セッションハンドオーバの認証に成功した場合に、セッションに係るデータを転送している装置(セッションを中継する装置、又は、セッションの送信元であるコンテンツサーバ700)に対して、セッションの転送先をUE200からターゲットノード300へ切り換えさせるシグナリングを送信してもよく、認証サーバ600自身がセッションを中継しているとき(例えば、HeNB/Home-GW100に認証サーバ600が実装されているとき)には、この装置自身が、セッションの転送先をUE200からターゲットノード300へ切り換えてもよい。
 また、3Gネットワーク用通信部614のEAP認証機能部615は、UE200が3Gネットワーク400へ接続する際に、UE200との間でEAP認証を行う機能を有している。
 また、EAP認証機能部615のセッションハンドオーバ用EAP認証拡張機能部616は、UE200によって3Gネットワーク400との間で保持されているセッションを譲り受けようとしているターゲットノード300との間でEAP認証を行う機能を有している。なお、セッションハンドオーバ用EAP認証拡張機能部616は、ターゲットノード300との間のEAP認証の過程で、ターゲットノード300からセッションHO情報を受信することにより、ターゲットノード300が譲り受けようとしているセッションの保持者(UE200)の認証を行って、ターゲットノード300との間でターゲットノード300が受信しようとしているセッションのセッション鍵の交換を行う。
 次に、図1のネットワークシステム構成、及び、図2に図示されているUE200、図3に図示されているターゲットノード300、図4に図示されている認証サーバの各構成に基づいて、本発明の第1の実施の形態における動作について説明する。図5は、本発明の第1の実施の形態における動作の一例を示すシーケンスチャートである。
 図5において、UE200からターゲットノード300へのセッションハンドオーバが開始されると、まず、UE200のセッションハンドオーバ情報準備部213は、UE200自身に取り付けられているSIMカード250から読み出すことが可能なSIM情報からセッションHO情報を取り出し、そのセッションHO情報をターゲットノード300に転送できるように準備する。セッションHO情報には、セッションハンドオーバの認証のために必要な情報が含まれているが、特定のセッションのみをUE200からターゲットノード300へ移したい場合には、そのセッションを特定するための情報(あるいは、そのセッションをハンドオーバさせるために必要な情報)が含まれていてもよい。
 このとき、セッションHO情報は、あらかじめ3Gネットワーク400を管理する第1ネットワークオペレータとの間で取り決めがなされていることが望ましい。特に、時系列に関する情報(シリアルナンバーや時間情報など)と共に構成され、1回のみの使用(ワンタイム使用)に制限できるようになっていたり(リプレイ攻撃耐性を考慮)、ハッシュ関数などにより元の情報要素を類推できないようになっていたり、通常の接続認証に用いる情報とは分離され、情報要素が万一漏洩した場合であっても他の通信のための接続には影響がないように構成されていたりすることが望ましい。
 次に、UE200のUE・ターゲットノード間通信部214は、上記のように準備したセッションHO情報をターゲットノード300へ送信する(ステップS1001)。なお、UE200とターゲットノード300との間には、信用関係が存在することが望ましい。例えば、ネットワークオペレータに接続する認証機能とは別の機器間の認証機能によって互いの装置の単一性や意図している装置であることが確認できているか、さらには第3者によって情報を収集されていないことや改ざんされていないことが確認できている(例えば、暗号化されている)ことが望ましい。このとき、例えばUE200とターゲットノード300との間においてEAP認証が行われてもよい。
 また、UE200とターゲットノード300との間は、短距離無線通信などのような直接のリンク(有線接続を含む)で通信が行われてもよく、また、3Gネットワーク400又はターゲットノード300の属するネットワーク(第2ネットワークオペレータが管理する第2ネットワーク500)若しくはその両方のネットワークを介した通信経路によって通信が行われてもよく、さらには、HeNB/Home-GW100経由で通信が行われてもよい。
 ステップS1001でUE200からセッションHO情報を受信したターゲットノード300は、セッションハンドオーバ用EAP認証拡張機能部315において、UE200から受信したセッションHO情報に基づいて生成された情報を利用して、3Gネットワーク400に対してEAP認証を行う(ステップS1003)。このとき、認証先となる認証サーバ600は、3Gネットワーク400側やUE200から示されてもよく、また、HeNB/Home-GW100のように一体化された装置、若しくは情報転送の分岐点となる装置が認証サーバ600であってもよい。
 この例では、ターゲットノード300が通常EAP認証を行っているHome-GWとHeNBとは同一の装置(HeNB/Home-GW100)であるため、ターゲットノード300は、3Gネットワーク400に対するEAP認証の際にセッションHO情報(若しくは、この情報に基づいて認証鍵として生成できる情報)を使用し、セッション鍵などの情報を取得することでセッションハンドオーバのための認証を完了することが可能である。なお、既に従来のアクセス認証の動作によってターゲットノード300とHome-GWとの間におけるアクセス認証が完了している場合には、HeNBによってターゲットノード300の再認証や追加認証として行われてもよい。
 認証サーバ600は、セッションハンドオーバ用EAP認証拡張機能部315において、ターゲットノード300から受信したセッションHO情報に基づいてセッションハンドオーバのための認証を行い、セッションのハンドオーバ元のUE200を検証するとともに、セッションのハンドオーバ先のターゲットノード300を特定する。セッションハンドオーバのための認証が完了すると、認証サーバ600のセッションハンドオーバ処理部612は、UE200からターゲットノード300へセッションをハンドオーバさせる処理を開始する。これにより、3Gネットワーク400側ではそれまでUE200に送信していたコンテンツ(リアルタイムビデオ)のセッションをターゲットノード300にハンドオーバさせることによって、コンテンツ(リアルタイムビデオ)のセッションがターゲットノード300へ移り、サービスネットワーク450上のコンテンツサーバ700からターゲットノード300へコンテンツ(リアルタイムビデオ)が配信されるようになる(ステップS1005)。
 なお、特定のセッションのハンドオーバが指定されている場合には、3Gネットワーク400側はそのセッションのみハンドオーバさせる。また、実際のセッションハンドオーバは、例えば、認証サーバ600からコンテンツサーバ700へセッションの切り換え指示が行われてコンテンツサーバ700がターゲットノード300に対してコンテンツを配信するなどのように、3Gネットワーク400内部で行われてもよく、また、HeNB/Home-GW100のような分岐点においてUE200からターゲットノード300へコンテンツの配信先を切り換えてもよい。また、認証サーバ600からコンテンツサーバ700への認証の成功に基づくセッションハンドオーバの手続きは、任意の方法が利用可能である。図面においても、この2者間(若しくは仲介者が介在するかもしれない)の手続きについては不図示としている。
 以上のような認証方法により、ターゲットノード300は自身の認証情報(ターゲットノード300のIDなど)では直接的にEAP認証が不可能な場合であっても、セッションハンドオーバのための認証を完了することができる。なお、ターゲットノード300へセッションのハンドオーバが行われた場合であっても、そのセッションの権利(あるいは、課金などの責任)はUE200に残ることになる。
 また、いったんターゲットノード300へ移されたセッションを元のUE200に戻すためのセッションハンドオーバでは、本来の認証情報をUE200が持っているので、認証関係が維持されている場合はそのままの状態でセッションハンドオーバの準備が完了しており、また、認証関係が維持されていない場合であっても、再度認証を行うことによりセッションハンドオーバの準備が完了する。この後、UE200若しくはセッションが移されていたターゲットノード300がセッションハンドオーバの手順を開始すると、3Gネットワーク400側ではそれまでターゲットノード300に送信していたコンテンツ(リアルタイムビデオ)のセッションをUE200にハンドオーバさせることで、セッションがUE200に戻される。
 なお、UE200やターゲットノード300からの3Gネットワークへの通信の一部又はすべてや、UE200からターゲットノード300へのハンドオーバ、ターゲットノード300からUE200へのハンドオーバなどは、ネットワーク側からイニシエートされてもよい。また、ターゲットノード300へ移されたセッションを別のターゲットノードに更にハンドオーバさせる場合は、元のターゲットノード300がセッションハンドオーバに必要な情報を別のターゲットノード300(次のターゲットノード300)に転送することでセッションハンドオーバが行われるようにしてもよいが、認証情報の性質上(若しくはリプレイ攻撃耐性機能を考慮した場合)、UE200が次のターゲットノード300に対して再び上述の手順を行うことが望ましい。また、単純に、いったんUE200にセッションを戻した後、上述の手順を行って別のターゲットノード300に対してセッションハンドオーバを行うことも可能である。
<第2の実施の形態>
 次に、本発明の第2の実施の形態について説明する。本発明の第2の実施の形態では、UE200が読み出し可能なSIM情報とターゲットノードの情報とを利用して、UE200がセッションのハンドオーバをターゲットノードに対して実行する方法について説明する。
 図6は、本発明の第2の実施の形態におけるUEの構成の一例を示す図である。図6に図示されているUE200は、通信部(下位レイヤ)221、SIMインタフェース222、セッションハンドオーバ用ID取得部223、UE・ターゲットノード間通信部224、3Gネットワーク用通信部225を有しており、3Gネットワーク用通信部225はEAP認証機能部226を更に有しており、EAP認証機能部226はセッションハンドオーバ用EAP認証拡張機能部227を更に有している。
 通信部(下位レイヤ)221は、他のノードと通信を行うための通信機能を表すものであり、1つ又は複数のネットワークインタフェースを有している。UE200が携帯電話機の場合には、通信部(下位レイヤ)221は無線通信機能を有している。この通信部(下位レイヤ)221の通信機能によって、UE200は、3Gネットワーク400やその他のネットワークに接続されているノードと通信を行うことが可能であるとともに、ターゲットノード300と通信を行うことも可能である。
 また、SIMインタフェース222は、UE200に装着されているSIMカード250(あるいは、USIMカード)に格納されているSIM情報を読み出す機能を有している。なお、SIMインタフェース222及びSIMカード250は、特に3Gネットワーク400に接続する場合(UE200が携帯電話機である場合)の一例であり、UE200が認証に用いる情報を保持、取得又は生成する機能と置き換え可能である。
 また、セッションハンドオーバ用ID取得部223は、UE・ターゲットノード間通信部224でUE200から受信したターゲットノード300の識別情報(ターゲットノード300のID)を取得し、3Gネットワーク用通信部225のセッションハンドオーバ用EAP認証拡張機能部227へ渡す機能を有している。
 また、UE・ターゲットノード間通信部224は、UE200がターゲットノード300との間で通信を行うための機能を有している。UE・ターゲットノード間通信部224は、ターゲットノード300から送信されたターゲットノード300の識別情報を受信することが可能である。なお、後述のように、UE200とターゲットノード300との間には信用関係が存在していてもよく、この場合には、UE・ターゲットノード間通信部224がターゲットノード300から受信するターゲットノード300の識別情報は、セキュアな状態で伝送可能となる。
 また、3Gネットワーク用通信部225は、UE200が3Gネットワーク400の任意のノードと通信を行うための機能を有している。3Gネットワーク用通信部215は、3Gネットワーク400に属するサービスネットワーク450上のコンテンツサーバからコンテンツ(例えば、リアルタイムビデオ)を受信することも可能である。なお、3Gネットワーク用通信部215は、セッションハンドオーバの認証に成功した場合に、3Gネットワーク400内のノード(例えば、3Gネットワーク400の認証サーバ600)に対して、セッションをハンドオーバさせるためのシグナリングを送信してもよく、あるいは、ターゲットノード300に対してセッションハンドオーバの開始指示を送信し、セッションをハンドオーバさせるためのシグナリングをターゲットノード300に送信させてもよい。
 また、3Gネットワーク用通信部225のEAP認証機能部226は、UE200が3Gネットワーク400へ接続する際に、3Gネットワーク400(例えば、認証サーバ600)との間でEAP認証を行う機能を有している。このEAP認証は、SIMインタフェース222によってSIMカード250から読み出されたSIM情報を用いて行われる。
 また、EAP認証機能部226のセッションハンドオーバ用EAP認証拡張機能部227は、UE200によって3Gネットワーク400との間で保持されているセッションをターゲットノード300へ譲り渡すために、3Gネットワーク400(例えば、認証サーバ600)との間でEAP認証を行う機能を有している。なお、セッションハンドオーバ用EAP認証拡張機能部227は、3Gネットワーク400との間のEAP認証の過程で、セッションハンドオーバ用ID取得部223から取得したターゲットノード300の識別情報を3Gネットワーク400へ通知することで、3Gネットワーク400がターゲットノード300を特定できるようにし、そのターゲットノード300へセッションを移すように要求する。
 図7は、本発明の第2の実施の形態におけるターゲットノードの構成の一例を示す図である。図7に図示されているターゲットノード300は、通信部(下位レイヤ)321、セッションハンドオーバ用ID生成部322、UE・ターゲットノード間通信部323、セッションハンドオーバ用通信部324、第2ネットワークオペレータ通信部325を有している。
 通信部(下位レイヤ)321は、他のノードと通信を行うための通信機能を表すものであり、1つ又は複数のネットワークインタフェースを有している。この通信部(下位レイヤ)321の通信機能によって、ターゲットノード300は、第2ネットワーク500やその他のネットワークに接続されているノードと通信を行うことが可能であるとともに、UE200と通信を行うことも可能である。
 また、セッションハンドオーバ用ID生成部322は、UE200によって3Gネットワーク400との間で保持されているセッションを譲り受けるために必要となるターゲットノード300の識別情報(3Gネットワーク400がターゲットノード300を特定するための情報)を生成する機能を有している。なお、UE200へのターゲットノード300の生成(あるいは、UE200への通知)は、事前に(セッションハンドオーバが行われることが決定する前に)行われていてもよく、また、セッションハンドオーバが行われることが決定してから行われてもよい。
 UE・ターゲットノード間通信部323は、ターゲットノード300がUE200との間で通信を行うための機能を有している。UE・ターゲットノード間通信部323は、セッションハンドオーバ用ID生成部322によって生成されたターゲットノード300の識別情報をUE200へ送信することが可能である。なお、後述のように、UE200とターゲットノード300との間には信用関係が存在していてもよく、この場合には、UE・ターゲットノード間通信部323によってターゲットノード300へ送信されるターゲットノード300の識別情報は、セキュアな状態で伝送可能となる。
 また、セッションハンドオーバ用通信部324は、UE200によって3Gネットワーク400との間で保持されているセッションを譲り受けるための処理を行う機能を有している。セッションハンドオーバ用通信部324は、セッションハンドオーバ用ID生成部322によって生成されたターゲットノード300の識別情報をUE200へ送信することが可能である。
 また、第2ネットワークオペレータ通信部325は、ターゲットノード300が第2ネットワーク500の任意のノードと通信を行うための機能を有している。なお、ターゲットノード300が第2ネットワーク500に接続する際の認証処理も、この第2ネットワークオペレータ通信部325によって行われる。
 また、本発明の第2の実施の形態における認証サーバ600は、図4に図示されている認証サーバ600と同様の構成を有しているが、上述の本発明の第1の実施の形態では、EAP認証に係る情報をターゲットノード300から受信して処理する一方、本発明の第2の実施の形態では、EAP認証に係る情報をUE200から受信して処理する点で異なっている。
 すなわち、本発明の第2の実施の形態における認証サーバ600のEAP認証機能部615のセッションハンドオーバ用EAP認証拡張機能部616は、3Gネットワーク400との間で保持されているセッションをターゲットノード300へ譲り渡そうとしているUE200との間でEAP認証を行う機能を有している。なお、セッションハンドオーバ用EAP認証拡張機能部616は、UE200との間のEAP認証の過程で、ターゲットノード300の識別情報をUE200から受信することにより、UE200がセッションを譲り渡そうとしているターゲットノード300を特定することができるようになる。なお、セッションハンドオーバのための認証と、実際のセッションハンドオーバの処理が分離されている場合は、例えば、セッションハンドオーバ用EAP認証拡張機能部616におけるEAP認証が完了した後、認証サーバ600、UE200、ターゲットノード300、その他の3Gネットワーク400内のノードが実際のセッションハンドオーバの処理を開始し、セッションの送信先をUE200からターゲットノード300へ切り換えてもよい。特に、UE200が上位レイヤプロトコルとしてセッションの制御にSIPを使用している場合は、SIPで規定されているRE-INVITEメッセージなどを用いてセッションの切り換えを行うことができる。
 次に、図1のネットワークシステム構成、及び、図6に図示されているUE200、図7に図示されているターゲットノード300、図4に図示されている認証サーバの各構成に基づいて、本発明の第2の実施の形態における動作について説明する。図8は、本発明の第2の実施の形態における動作の一例を示すシーケンスチャートである。
 図8において、UE200からターゲットノード300へのセッションハンドオーバが開始されると、まず、UE200は、セッションハンドオーバ用ID取得部223において、ターゲットノード300の識別情報を取得する(ステップS2001)。なお、ここでは、セッションハンドオーバの開始とともに、UE200はターゲットノード300の識別情報をターゲットノード300から取得しているが、UE200は、UE200内部に事前に登録されているターゲットノード300の識別情報を利用してもよく、あるいは、必要に応じてターゲットノード300から取得するようにしてもよく、さらには、ターゲットノード300がセッションハンドオーバの要求をUE200に対して求める際にターゲットノード300の識別情報を通知するようにしてもよい。
 ターゲットノード300の識別情報は、ターゲットノード300のIPアドレスや機器識別コードなど、ターゲットノード300を特定できる任意の情報を用いることが可能である。このターゲットノード300の識別情報は、UE200からターゲットノード300へセッションハンドオーバを行う際の分岐点(例えば、HeNB/Home-GW100)や、セッションハンドオーバのための認証サーバ600において認証時にターゲットノード300を特定し、認証できるようにする情報であることが望ましい。
 なお、上述の本発明の第1の実施の形態と同様に、UE200とターゲットノード300との間には、信用関係が存在することが望ましい。例えば、ネットワークオペレータに接続する認証機能とは別の機器間の認証機能によって互いの装置の単一性や意図している装置であることが確認できているか、さらには第3者によって情報を収集されていないことや改ざんされていないことが確認できている(例えば、暗号化されている)ことが望ましい。このとき、例えばUE200とターゲットノード300との間においてEAP認証が行われてもよい。
 また、UE200とターゲットノード300との間は、短距離無線通信などのような直接のリンク(有線接続を含む)で通信が行われてもよく、また、3Gネットワーク400又はターゲットノード300の属するネットワーク(第2ネットワークオペレータが管理する第2ネットワーク500)若しくはその両方のネットワークを介した通信経路によって通信が行われてもよく、さらには、HeNB/Home-GW100経由で通信が行われてもよい。
 なお、上述の本発明の第1の実施の形態ではUE200からターゲットノード300へセッションHO情報が渡されたが、本発明の第2の実施の形態ではターゲットノード300からUE200へターゲットノード300の識別情報が渡される。ターゲットノード300の識別情報は、ターゲットノード300への到達可能な(特定可能な)識別情報であり、UE200がターゲットノード300を確認できればよい。したがって、セッションHO情報を通知する通信(すなわち、本発明の第1の実施の形態におけるセッションHO情報の伝送)に比べて、本発明の第2の実施の形態におけるターゲットノード300の識別情報の伝送では、処理負荷の低い暗号化や通信プロトコルを用いることができるかもしれないというメリットがある。
 ステップS2001でターゲットノード300の識別情報を取得したUE200は、セッションハンドオーバ用EAP認証拡張機能部227において、UE200自身の接続認証先である認証サーバ600に対して、ターゲットノード300の識別情報を追加情報として含んだ情報を送信してEAP認証を行う(ステップS2003)。なお、UE200が既に認証サーバ600との間におけるアクセス認証を完了している場合には、EAP再認証を行うことになる。また、特定のセッションのみをUE200からターゲットノード300へ移したい場合には、そのセッションを特定するための情報が追加情報として含まれていてもよい。
 なお、このステップS2003におけるEAP認証において、コンテンツを受信するためのセッションがターゲットノード300あてに切り換えられる旨がサービスネットワーク450のエンティティ(コンテンツサーバ700など)に伝わるようになっていてもよい。ここでは、UE200の接続ノードはHeNB/Home-GW100であり、UE200は接続認証をHeNB/Home-GW100との間で行っていると考えられるので、セッションハンドオーバのための認証もHeNB/Home-GW100との間のEAP認証(最終的な認証サーバ600は、3Gネットワーク400やサービスネットワーク450に存在するかもしれない)で実行されることが考えられる。
 認証サーバ600は、セッションハンドオーバ用EAP認証拡張機能部315において、UE200との間のセッションハンドオーバのためのEAP認証を行う。セッションハンドオーバのための認証が完了すると、認証サーバ600のセッションハンドオーバ処理部612は、この認証過程で取得したターゲットノード300へセッションをハンドオーバさせる処理を開始する。3Gネットワーク400側ではそれまでUE200に送信していたコンテンツ(リアルタイムビデオ)のセッションをターゲットノード300にハンドオーバさせることによって、コンテンツ(リアルタイムビデオ)のセッションがターゲットノード300へ移り、サービスネットワーク450上のコンテンツサーバ700からターゲットノード300へコンテンツ(リアルタイムビデオ)が配信されるようになる(ステップS1005)。
 なお、特定のセッションのハンドオーバが指定されている場合には、3Gネットワーク400側はそのセッションのみハンドオーバさせる。また、実際のセッションハンドオーバは、例えば、認証サーバ600からコンテンツサーバ700へセッションの切り換え指示が行われてコンテンツサーバ700がターゲットノード300に対してコンテンツを配信するなどのように、3Gネットワーク400内部で行われてもよく、また、HeNB/Home-GW100のような分岐点においてUE200からターゲットノード300へコンテンツの配信先を切り換えてもよい。また、認証サーバ600からコンテンツサーバ700への認証の成功に基づくセッションハンドオーバの手続きは、任意の方法が利用可能である。図面においてもこの2者間(若しくは仲介者が介在するかもしれない)の手続きについては不図示としている。
 以上のような認証方法により、ターゲットノード300は自身の認証情報(ターゲットノード300の識別情報など)では直接的にEAP認証が不可能な場合であっても、セッションハンドオーバのための認証を完了することができる。なお、ターゲットノード300へセッションのハンドオーバが行われた場合であっても、そのセッションの権利(あるいは、課金などの責任)はUE200に残ることになる。
 また、いったんターゲットノード300へ移されたセッションを元のUE200に戻すためのセッションハンドオーバでは、本来の認証情報をUE200が持っているので、認証関係が維持されている場合はそのままの状態でセッションハンドオーバの準備が完了しており、また、認証関係が維持されていない場合であっても、再度認証を行うことによりセッションハンドオーバの準備が完了する。この後、UE200若しくはセッションが移されていたターゲットノード300がハンドオーバの手順を開始すると、3Gネットワーク400側ではそれまでターゲットノード300に送信していたコンテンツ(リアルタイムビデオ)のセッションをUE200にハンドオーバさせることで、セッションがUE200に戻される。
 なお、UE200やターゲットノード300からの3Gネットワークへの通信の一部又はすべてや、UE200からターゲットノード300へのハンドオーバ、ターゲットノード300からUE200へのハンドオーバなどは、ネットワーク側からイニシエートされてもよい。また、ターゲットノード300へ移されたセッションを別のターゲットノードに更にハンドオーバさせる場合は、元のターゲットノード300がセッションハンドオーバに必要な情報を別のターゲットノード300(次のターゲットノード300)に転送することでセッションハンドオーバが行われるようにしてもよいが、認証情報の性質上(若しくはリプレイ攻撃耐性機能を考慮した場合)、UE200が次のターゲットノード300に対して再び上述の手順を行うことが望ましい。また、単純に、いったんUE200にセッションを戻した後、上述の手順を行って別のターゲットノード300に対してセッションハンドオーバを行うことも可能である。
 なお、本発明に係るセッションハンドオーバのための認証は、通常の接続認証や、対象となるコンテンツのセッションのための通常の認証とは区別されていることが望ましい。本発明に係るセッションハンドオーバのための認証が、通常の接続認証やセッションのための認証と区別されておらず、単一のものとして認証がなされている場合には、UE200に対する他の通信(セッションハンドオーバに係るセッション以外の通信)が止まったりUE200の接続が解消されてしまったりする可能性もある。また、このような状況を回避するために単一のセッションを複数のセッションに分離したり、単一のセッションで使用されるデータを振り分けるようにしたりすることも可能である。
 また、コンテンツにはリアルタイムビデオなどのような配信型(サービスネットワーク450から配信されるコンテンツデータがほとんどを占めており、コンテンツデータ受信側のノードからは制御用通信のみがなされる)のもののほかに、UE200やターゲットノード300からデータをネットワーク側に送信するアップロード型や、双方向にやり取りされるコンテンツなども存在する。それぞれの形態に応じて、セッションハンドオーバの際に通知すべき情報(例えば、受信用アドレスと送信用アドレスが異なる場合など)や詳細な認証手順などが異なることが考えられるが、こうした差異はセッションハンドオーバを実行するうえでのパラメータの差異に過ぎないものであり、セッションの種類や方向などによらず、本発明を適用することが可能である。
 また、上述の本発明の第1及び第2の実施の形態では、図1に図示されているように、同一家屋内に存在するUE200からターゲットノード300へのセッションハンドオーバを一例に挙げて説明を行ったが、UE200及びターゲットノード300が異なるユーザによって所有されていてもよく、また、それぞれの設置場所(接続場所)が離れていてもよい。
 また、本発明に係るセッションハンドオーバによって、UE200からターゲットノード300へ移るセッションの数は任意であり、1つのセッションのみが移されてもよく、複数のセッション(さらには、UE200のすべてのセッション)が移されてもよい。また、セッションの移動ではなくセッションを複製(分岐)し、UE200からターゲットノード300へセッションを移すとともに、UE200自体も依然としてそのセッションに係る通信が行えるようにしてもよい。この場合、UE200は、セッションのハンドオーバのための認証に必要な情報に、UE200による通信中のセッションを残したままターゲットノード300と第1ネットワーク400との間のセッションを開始するセッション複製を要求する情報や、セッションをUE200からターゲットノード300へ切り換えるセッション切り換えを要求する情報を挿入してもよい。
 また、セッションの複製は第1ネットワークの管理上、UE200の単独の判断のみで行うことには制限が設けられているほうが望ましい。この場合、セッションハンドオーバのためのEAP認証のほかに(若しくはセッションハンドオーバのためのEAP認証の中で)セッションの複製に関する追加の認証を行えるようにしてもよい。これにより、第1ネットワークの管理の下でセッションの複製が可能となる。
 また、上述の本発明の第1及び第2の実施の形態では、UE200が主にSIMカード250を有する携帯電話機であることを前提として説明を行ったが、UE200は、例えばPC(Personal Computer)などを始めとする任意の通信装置であってもよく、さらには、UE200によるネットワークへの接続は、無線接続あるいは有線接続のどちらであってもよい。また、上述のセッションHO情報は、各種通信装置に応じて任意の記憶媒体から読み出されるセッションハンドオーバの認証に必要な情報が読み出されればよく、さらには、アクセス認証方式も上述のEAP認証方式に限定されるものではない。
 また、上述の本発明の第1及び第2の実施の形態では、セッションハンドオーバ元であるUE200とセッションハンドオーバ先であるターゲットノード300とが同一の認証サーバ(HeNB/Home-GW100)に接続している場合について説明しているが、それぞれが異なる装置で実現されていてもよく(すなわち、UE200とターゲットノード300と、それぞれ異なる認証サーバに接続していてもよい)、さらには、それぞれの認証サーバが遠く離れたところに存在していてもよい。この構成では、それぞれの認証サーバが情報交換(セキュアな状態であることが望ましい)を行う必要があるかもしれないが、そのセッションの権利(あるいは、課金などの責任)をUE200に残した状態で、リモートに存在するターゲットノード300にコンテンツを提供できるようになる。このように、例えば、UE200の所有者の提供で遠く離れた教育機関にコンテンツを寄贈するなど、UE200の所有者とターゲットノード300の所有者とが異なる場合においても本発明が実施可能となる。
 また、上述の本発明の第1及び第2の実施の形態では、1つのUE200のセッションについて説明しているが、複数の異なるUE200のセッションを一括してセッションハンドオーバすることも可能である。この場合は、本発明の方法を複数回繰り返して(並行して)実施するほかに、代表となるUE200(複数のUE200のうちの1つ)が、他のUE200のセッションハンドオーバを一括して行うことで効率化が期待できる。このとき、他のUE200は代表となるUE200に対してあらかじめセッションハンドオーバに必要な情報を通知しておくとよい。さらに、ターゲットノード300が複数であってもよい。
 また、セッションハンドオーバの対象となるセッションの使用に関して、ターゲットノード300において制限が設けられていてもよい。例えば、ターゲットノード300が利用できるセッションの持続時間や一定額の課金上限を設定し、この許可された範囲内でハンドオーバされたセッションを使用できるようにしてもよい。このためには、UE200と認証サーバ600若しくはコンテンツサーバ700があらかじめ上限を設定する手順を行ってもよく、あるいは、UE200が独自に設定し、認証時(若しくは、認証に必要な情報の準備時)に認証情報として通知してもよい。
 また、本発明の方法において、UE200及びターゲットノード300がタイミングの同期を取ることで、セッションのシームレスな切り換えを行えるようにすることも可能である。このとき、UE200は、ターゲットノード300からのセッションの返還と、ターゲットノード300への新たなセッションハンドオーバとを同時に行えるよう、認証に必要となる情報をまとめ、一括して認証できるようにする。これにより、1回の認証手順でセッションの交換が実現可能となる。これは、UE200が両方のセッション(既にセッションハンドオーバによってターゲットノード300へ移されていたセッション、及び、これからセッションハンドオーバによってターゲットノード300へ移されるセッション)の権利を保持しているため、UE200及びターゲットノード300のそれぞれが各セッションの権利を保持している場合に比べて、簡素な認証手順で実行できるというメリットがある。
<第3の実施の形態>
 次に、本発明の第3の実施の形態について説明する。本発明の第3の実施の形態では、上述の本発明の第1又は第2の実施の形態に記載されている方法を、ETWSなどの災害情報通知システムに適用する場合について説明する。なお、本発明の第3の実施の形態においても、図1に図示されているネットワーク構成を参照しながら説明する。
 図10は、本発明の第3の実施の形態における認証サーバの構成の一例を示す図である。図10に図示されている認証サーバ600は、図4に図示されている認証サーバ600と同様の構成を有しているが、さらに、3Gネットワーク用通信部614が災害情報処理部651を有している。
 災害情報処理部651は、災害情報通知を取得し、その内容を処理する機能を有している。認証サーバ600は、例えば、3Gネットワークから各基地局へ向けて通知される災害情報を受信すると、災害情報処理部651が、災害情報の通知対象となる装置に対して災害情報の転送を行う。通知対象の装置に対して災害情報を通知する際には、その通知対象の装置に対して提供されているセッションに追加する形で災害情報の通知を行ってもよく、あるいは、通知対象の装置に対して提供されているセッションに混在させる形で災害情報の通知を行ってもよい。また、災害情報処理部651は、音声、映像、制御信号など、通知対象の装置に適した形式に災害情報を抽出及び加工してもよい。
 また、ETWSなどの災害情報の通知は緊急時の通知であるという意味合いから、個別の詳細の認証によらず、ユーザの所有する通知可能な装置にできるだけ多く通知されることが望ましい。このため、ETWSなどによる災害情報の通知に関する本発明の認証は、災害情報の通知においては通常と異なる動作をすることが必要となる。災害情報処理部651は、災害情報を受信した場合に、災害情報を通知するためのセッションに関しては、通常の認証と異なる認証(より迅速な認証)とするようEAP認証機能部226に通知したり、EAP認証機能部226の処理を制御したりする機能を有している。
 さらに、災害情報処理部651は、災害情報の通知を受けた場合に、所定の機器やシステムを制御する動作を開始してもよい。例えば、災害情報処理部651は、災害情報の通知を受けると、各機器の制御を行うことが可能なホームゲートウェイの機能(認証サーバ600と同一装置内に備わっていてもよく、別の装置に備わっていてもよい)に対して災害情報を受信した旨を通知する。これにより、ホームゲートウェイは、災害情報の取得/表示自体ができないような機器に対しても、災害に対する何らかの動作を指示し、例えば所定の機器やシステムに対して電源のオン/オフを制御したり、非常事態時のモード(非常モード)を開始させたりすることが可能となる。こうした非常事態時に行われる制御の一例としては、例えば、ガスコンロなどの火を使う器具の停止、給湯や空調(冷房/暖房)の停止、通常照明から非常照明への切り換え、セキュリティシステムの作動、放送受信機器の作動などが挙げられる。また、災害情報の表示はできるものの、その時点で電源が入っていないテレビなどにおいても、まずホームゲートウェイからテレビの電源を入れる処理を行い、その後に本発明に係るセッションハンドオーバを行うことで、テレビから災害情報の報知を行うことが可能となる。
 また、図11は、本発明の第3の実施の形態におけるUEの構成の一例を示す図である。図11に図示されているUE200は、図2に図示されているUE200と同様の構成を有しているが、さらに、3Gネットワーク用通信部215が災害情報処理部251を有している。なお、図示省略するが、上述の本発明の第2の実施の形態に記載されている方法をETWSに適用する場合には、図6に図示されているUE200の3Gネットワーク用通信部225に災害情報処理部251が追加されればよい。
 UE200の災害情報処理部251も、認証サーバ600の災害情報処理部651と同様に、ETWSなどによる災害情報の通知に関する認証が迅速かつより多くの装置に通知されるようにするための機能を有している。すなわち、UE200の災害情報処理部251は、災害情報を通知するためのセッションに関しては、通常の認証と異なる認証(より迅速な簡易認証)とするようEAP認証機能部216に通知したり、EAP認証機能部216の処理を制御したりする機能を有している。また、災害情報処理部251は、より多くの装置に災害情報が通知されるように、災害情報の通知対象となる新たな装置に災害情報に係るセッションが提供されるようにするための処理(例えば、新たなターゲットノードを認証サーバ600へ通知する処理)を行うことが可能である。また、UE200の災害情報処理部251が、災害情報の通知を受けた場合に所定の機器やシステムを制御する動作(例えば、災害情報を受信した旨をホームゲートウェイに通知)を行ってもよい。
 また、本発明の第3の実施の形態におけるターゲットノード300の構成は、図3又は図7に図示されているターゲットノードと同様であるが、例えば図3に図示されているターゲットノード300のセッションハンドオーバ用EAP認証拡張機能部315が、災害情報の迅速な通知が行われるために簡素化された追加の認証処理(後述)に対応していることが望ましい。
 次に、図1のネットワークシステム構成、及び、図10に図示されている認証サーバ600、図11に図示されているUE200の各構成に基づいて、本発明の第3の実施の形態における動作について説明する。図12は、本発明の第3の実施の形態における動作の一例を示すシーケンスチャートである。
 図12において、初期状態として、例えばUE200がサービスネットワーク450から何らかのサービスに係るセッションを受けているとする。すなわち、UE200は、認証サーバ600との間で認証処理を行い、サービスを受けることが適切な端末であることが承認され、その結果、所望のサービスに係るセッションを受けていることを前提とする。
 また、上述の本発明の第1又は第2の実施の形態に記載されている方法(図5又は図8に図示されている認証処理)によって、特定のターゲットノード300に対して任意のセッションのセッションハンドオーバが行われているとする(ステップS3001)。
 ここで、何らかの災害が発生し、認証サーバ600(HeNB/Home-GW100のように一体化された装置、若しくは情報転送の分岐点となる装置が認証サーバ600であってもよい)が、3Gネットワーク400(例えば、コンテンツサーバ700に対応する災害情報通知サーバ750)からETWSなどの災害情報を通知する災害情報を受信したとする(ステップS3003)。
 災害情報を受信した認証サーバ600の災害情報処理部651は、UE200に対して災害情報を通知する(ステップS3005)。この災害情報の通知は、通常の動作(例えばETWSで規定されている動作)によって行われる。
 また、並行して、認証サーバ600は、通知対象の装置が他に存在しないかどうかを判断する。このとき、上述の本発明の第1又は第2の実施の形態に記載されている方法によって、ターゲットノード300に対してセッションハンドオーバが行われている状態の場合には、そのターゲットノード300は既に認証済みであり、認証サーバ600はそのターゲットノード300について把握している。この場合、認証サーバ600は、そのターゲットノード300に対して提供されているセッションに追加、若しくは混在させる形で災害情報を通知する処理を行う。
 なお、特に災害情報を異なるセッションで通知する場合、認証サーバ600は、少なくとも認証サーバ自身が判断する認証部分に関しては、その認証レベルを低く(より多くの装置に対して災害情報を通知できるように)した追加の認証処理を行う必要がある(ステップS3007)。認証サーバ600は、既に認証済みのセッションハンドオーバ用EAP認証で用いられた情報を基に、ターゲットノード300との間で追加認証を行う。一方、ターゲットノード300側においてはこのセッション/災害情報を受けることに関する認証は通常通り必要となるかもしれない。すなわち、ターゲットノード300は、送られてくるセッションが正当なものであるかどうかを通常通り判断する必要があるかもしれない。
 災害情報の通知に係る追加の認証処理は、基本的に、上述の本発明の第1又は第2の実施の形態に記載されている方法に従って行われるものであり、これによって、本来は認証することができないターゲットノード300の認証処理が行われる。ただし、追加の認証処理は、迅速かつより多くの装置に対して通知されるように行われる必要があり、簡素化された認証処理であることが望ましい。例えば、追加の認証処理では、簡素化された認証情報が用いられたり、簡素化された認証手順が行われたりすることによって、迅速かつ認証レベルを低くすることが望ましい。また、認証サーバ600は、特に複雑な認証手順を必要とせずにセッション開始が可能であることのみを伝えたり、認証処理を行うことなく強制的に災害情報を伝達したりするようにしてもよい。
 このように、認証サーバ600は、セッションハンドオーバによって既に認証済みのターゲットノード300との間における追加の認証処理に成功すると、例えば、災害情報を通知するためのセッションを追加するか、若しくは既存のセッションに災害情報を混在させることで、ターゲットノード300に対して災害情報の通知を行う(ステップS3009)。
 また、認証サーバ600は、セッションハンドオーバによる認証が行われていない別の装置(3Gネットワーク400での認証に利用可能なSIM情報を有していない装置、以下、新たなターゲットノード350と記載)に対して災害情報の通知を行うための認証処理を行う(ステップS3011)。このとき、災害情報を受信したUE200が災害情報に係るセッションHO情報を新たなターゲットノード350に対して送信することでセッションハンドオーバ(上述の本発明の第1の実施の形態に記載されている方法)が開始されてもよく、UE200が新たなターゲットノード350のID情報を認証サーバ600に送信する(あるいは、認証サーバ600が何らかの方法で事前に存在を把握している別の装置に係る認証処理を促す)ことで、セッションハンドオーバ(上述の本発明の第2の実施の形態に記載されている方法)が開始されてもよい。なお、この場合におけるセッションHO情報や認証手順も簡素化されており、認証レベルの低い認証が迅速に行われることが望ましい。また、認証サーバ600は、存在が特定された新たなターゲットノード350に対して、特に複雑な認証手順を必要とせずにセッション開始が可能であることのみを伝えたり、認証処理を行うことなく強制的に災害情報を伝達したりするようにしてもよい。そして、認証サーバ600は、新たなターゲットノード350の認証処理に成功すると、その装置に対して災害情報を通知する処理を行う(ステップS3013)。
 なお、認証サーバ600は、UE200、セッションハンドオーバによる認証済みのターゲットノード300、セッションハンドオーバによる認証が行われていない新たなターゲットノード350のそれぞれに対して災害情報を通知するための処理を独立かつ並行して行うことが望ましい。また、認証サーバ600は、災害情報の初期情報(プライマリ情報)を所定時間内(4秒以内)に伝達する必要があるが、追加の認証処理を行うことで、第一報の通知が遅れてしまう可能性がある(特に、新たなターゲットノード350に対して)。このような遅延が発生しないようにするため、認証サーバ600は、例えば、認証処理中に並行して災害情報の初期情報(プライマリ情報)を通知し、認証処理に成功してから災害情報の詳細情報(セカンダリ情報)を通知するようにしてもよい。
 また、図12には不図示であるが、認証サーバ600は、災害情報の通知を受けた場合に、所定の機器やシステムを制御する動作を開始してもよい。例えば、認証サーバ600は、災害情報の通知を受けると、各機器の制御を行うことが可能なホームゲートウェイの機能(認証サーバ600と同一装置内に備わっていてもよく、別の装置に備わっていてもよい)に対して災害情報を受信した旨を通知し、ホームゲートウェイが所定の機器やシステムの制御をすぐに開始できるようにしてもよい。
 なお、UE200、ターゲットノード300/新たなターゲットノード350、認証サーバ600に、災害情報を受信した場合に行われる処理をあらかじめ登録しておくことが望ましく、また、災害情報の通知に係る処理は、他の処理に比べて優先的に(あるいは、最優先に)行われることが望ましい。
<第4の実施の形態>
 次に、本発明の第4の実施の形態について説明する。上述の本発明の第3の実施の形態では、認証サーバ600が3Gネットワーク400から災害情報の通知を受けてUE200に災害情報を通知する場合について説明しているが、UE200もマクロ基地局を通じて3Gネットワーク400に接続可能であり、UE200が認証サーバ600より先に3Gネットワーク400から災害情報を受信する可能性もある。本発明の第4の実施の形態では、UE200が3Gネットワーク400から災害情報の通知を受信した場合について説明する。
 例えば、UE200が災害情報通知サービスに参加しており、災害情報通知システム(例えば、ETWS)から災害情報を直接受信することが可能な場合がある。このような場合、認証サーバ600(HeNB/Home-GW100のように一体化された装置、若しくは情報転送の分岐点となる装置が認証サーバ600であってもよい)からではなく、マクロ基地局から災害情報を先に受信する可能性がある。なお、このようにUE200がマクロ基地局から災害情報を受信するためには、UE200がマクロ基地局に接続している必要があり、このため、例えば、UE200はアイドル状態である間には、よりETWSから災害情報を受信しやすいようにマクロ基地局に接続していてもよく、あるいは、例えばユーザが帰宅して、自分のセッションをTVセットなどのターゲットノード300に移し終わった時点でアイドル状態となってマクロ基地局に接続してもよい。
 本発明の第4の実施の形態におけるUE200は、上述の本発明の第3の実施の形態に係る構成に加えて、さらに、災害情報を3Gネットワーク400側から受信した場合には、災害情報処理部251が、認証サーバ600に対して災害情報を転送する機能を有している。また、本発明の第4の実施の形態における認証サーバ600は、上述の本発明の第3の実施の形態に係る構成に加えて、さらに、3Gネットワーク400側からだけではなく、UE200から災害情報の通知を受ける機能を有している。
 以下、本発明の第4の実施の形態における動作について説明する。図13は、本発明の第4の実施の形態における動作の一例を示すシーケンスチャートである。
 図13において、初期状態として、例えばUE200がサービスネットワーク450から何らかのサービスに係るセッションを受けているとする。すなわち、UE200は、認証サーバ600との間で認証処理を行い、サービスを受けることが適切な端末であることが承認され、その結果、所望のサービスに係るセッションを受けていることを前提とする。
 また、上述の本発明の第1又は第2の実施の形態に記載されている方法(図5又は図8に図示されている認証処理)によって、特定のターゲットノード300に対して任意のセッションのセッションハンドオーバが行われているとする(ステップS4001)。
 ここで、何らかの災害が発生し、UE200が、3Gネットワーク400(例えば、コンテンツサーバ700に対応する災害情報通知サーバ750)からマクロ基地局410経由でETWSなどの災害情報を通知する災害情報を受信したとする(ステップS4003)。このとき、UE200の災害情報処理部251は、災害情報を認証サーバ600へ転送する(ステップS4005)。
 以降の処理は、上述の本発明の第3の実施の形態における動作(図12のステップS3007~S3013の処理)とほぼ同様である。すなわち、認証サーバ600は、UE200から転送されてきた災害情報を受信し、ターゲットノード300及び新たなターゲットノード350へ災害情報を転送するための認証、及び災害情報の通知を行う。なお、認証サーバ600は、UE200から災害情報を受信したことから、UE200に対して災害情報を再度通知する必要はない。また、UE200は、3Gネットワーク400から災害情報を受信した時点で、認証サーバ600へ災害情報を転送するとともに、ターゲットノード300や新たなターゲットノード350へ災害情報を転送可能とするための処理(ターゲットノード300や新たなターゲットノード350と認証サーバ600との間における追加の認証処理のための準備)を自発的に開始することが望ましい。また、UE200自身が、3Gネットワーク400から災害情報を受信した時点で、ターゲットノード300や新たなターゲットノード350、機器やシステムの制御を行うことが可能なホームゲートウェイなどに対して災害情報の転送を直接行ってもよく、UE200自身がホームゲートウェイの役割を果たして、機器やシステムの制御を行ってもよい。
<第5の実施の形態>
 上述の本発明の各実施の形態では、HeNB/Home-GW100が固定設置されている場合について説明しているが、HeNB/Home-GW100に相当する移動体内ネットワークゲートウェイが移動体(車両や列車など)に搭載されている場合においても本発明の適用が可能である。この場合、移動体内ネットワークゲートウェイが3Gネットワーク400と直接接続していてもよく、あるいは、3Gネットワーク400と接続可能なUE200が移動体内に存在しており、移動体内ネットワークゲートウェイがUE200を経由して(UE200がゲートウェイの役割を果たす)3Gネットワーク400と接続していてもよい。
 このような構成において、例えば、SIM情報を有する機器(UE200やSIM情報を有するナビゲーションシステムなど)が受けることが可能なセッションを、SIM情報を有さない機器(移動体内に設置されたモニタや、SIM情報を有さないナビゲーションシステムなど)へハンドオーバさせることが可能である。
 この場合、移動体内ネットワークゲートウェイと3Gネットワーク400との間の接続も無線接続である。例えば、状況によっては、この無線接続が切れてしまう場合も考えられるが、このような場合に、自動的にUE200へセッションを戻す(セッションハンドオーバ)ことが可能となり有用である。
 また、移動体内ネットワークのコンテンツを3Gネットワーク400を経由してUE200へ提供されるようにしてもよい。この場合、SIM情報を有さないターゲットノード(例えば、移動体内に設置されたカメラ)300は、移動体内ネットワークゲートウェイのSIM情報に基づいて本発明に係る方法で認証された後、移動体内ネットワークゲートウェイの接続サービスを行っているネットワークへ移動体内ネットワークゲートウェイを経由してコンテンツ(例えば、カメラによって撮像された画像)を送信することが可能となり、UE200は、このコンテンツを3Gネットワーク400から提供されているサービスとして受信することが可能となる。例えば、移動体内で移動体内ネットワークゲートウェイを経由してUE200がこのコンテンツサービスを受信している場合に、UE200が移動体内ネットワークゲートウェイからセッションHO情報を取得して、移動体内ネットワークゲートウェイの接続サービスを行っているネットワークの認証サーバとの間でセッションハンドオーバに係る認証を行うことで、UE200は3Gネットワーク400経由でコンテンツの受信を行うことが可能となる。これにより、UE200は3Gネットワーク400経由でマクロ基地局からターゲットノードにより送信されるコンテンツを受信することが可能となり、例えば、UE200のユーザが移動体を離れた場合であっても、移動体内のカメラによって撮像された画像を受信、閲覧することが可能となる。また、移動体に限らず、例えば、家屋に設置されたドアホンの映像をUE200で受信、閲覧することも同様にして可能となる。
<第6の実施の形態>
 また、上述のように、UE200やターゲットノード300からデータをネットワーク側に送信するアップロード型のセッションに関しても、本発明に係る方法を適用することが可能である。例えば、UE200のカメラを用いてその撮像画像をアップロードするセッションを、ホームネットワークに接続しているビデオカメラにセッションハンドオーバし、以降、UEの撮像画像からビデオカメラの撮像画像に切り換えてアップロードを行うことが可能である。また、上述の移動体の例の場合も同様に、UE200のカメラから移動体内に設置されているカメラにセッションハンドオーバを行うことで、撮像主体をUE200のカメラから移動体内に設置されているカメラに切り換えるセッションハンドオーバを行うことも可能である。なお、データのアップロードに関するセッションハンドオーバを行うための動作は、データのダウンロードに関するセッションハンドオーバのための動作と基本的に同一であり、コンテンツサーバとUE200(あるいはターゲットノード300)との間のコンテンツの転送方向が逆になるだけである。
 また、図1、図9には不図示だが、HeNBを3Gネットワークに接続させるためのGW(以降HeNB-GW)が3Gネットワーク側(HeNBと3Gネットワークの間)に存在することが考えられる。このとき、HeNB-GWは複数のHeNBに対して3Gネットワークへのゲートウェイ装置として働き、いくつかの機能をHeNBと共有、分担することが考えられる。本発明の機能及び本発明に係る機能がどのようにHeNBとHeNB-GWとの間で分担されるかにかかわらず、上記の本発明の実施の形態は、実施可能である。
 また、上記の本発明の実施の形態の説明で用いた各機能ブロックは、典型的には集積回路であるLSI(Large Scale Integration)として実現される。これらは個別に1チップ化されてもよいし、一部又はすべてを含むように1チップ化されてもよい。なお、ここでは、LSIとしたが、集積度の違いにより、IC(Integrated Circuit)、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。
 また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。
 さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。例えば、バイオ技術の適応などが可能性としてあり得る。
 本発明は、認証プロトコルにおいて鍵生成機能が異なる装置間においてセッションハンドオーバを行えるようになるという効果を有しており、パケット交換型データ通信ネットワークにおける通信技術に適用可能であり、特に、ネットワーク接続のための認証技術やセッションのモビリティに関する技術に適用可能である。

Claims (39)

  1.  第1ネットワークに属する第1ノードが保持している前記第1ネットワークとの間の認証用情報を利用して、前記第1ノードと前記第1ネットワークとの間の通信中のセッションを前記第1ネットワークとは異なる第2ネットワークに属する第2ノードへハンドオーバさせるための認証が行われるよう構成されている通信システム。
  2.  前記第1ノードが、前記セッションのハンドオーバのための認証に必要な情報を前記第2ノードへ通知し、前記第2ノードが、前記第1ネットワークの認証サーバとの間で前記セッションのハンドオーバのための認証処理を行う際に、前記セッションのハンドオーバのための認証に必要な情報に基づいて生成された情報を前記認証サーバへ通知するよう構成されている請求項1に記載の通信システム。
  3.  前記第1ノードが、前記第1ネットワークの認証サーバとの間で前記セッションのハンドオーバのための認証処理を行う際に、前記第2ノードの識別情報を前記認証サーバへ通知するよう構成されている請求項1に記載の通信システム。
  4.  前記セッションが災害発生を通知する災害情報を送信するためのものである場合には、前記認証が、より迅速な認証を行うための簡易的な認証であるよう構成されている請求項1に記載の通信システム。
  5.  前記セッションが、前記第1ネットワークから前記第1ノードへデータを送信するダウンロード型、又は、前記第1ノードから前記第1ネットワークへデータを送信するアップロード型である請求項1に記載の通信システム。
  6.  第1ネットワークに属する第1ノードが保持している前記第1ネットワークとの間の認証用情報を利用して、前記第1ノードと前記第1ネットワークとの間の通信中のセッションを前記第1ネットワークとは異なる第2ネットワークに属する第2ノードへハンドオーバさせるための認証が行われるよう構成されている通信システムの前記第1ノードに実装される通信処理装置であって、
     前記第2ノードが前記第1ネットワークの認証サーバとの間で前記セッションのハンドオーバのための認証処理を行う際に前記認証サーバへ通知するための前記セッションのハンドオーバのための認証に必要な情報を、前記第2ノードへ通知するよう構成されている通信処理装置。
  7.  前記セッションのハンドオーバのための認証に必要な情報に、前記第1ノードによる通信中の前記セッションを残したまま前記第2ノードと前記第1ネットワークとの間の前記セッションを開始するセッション複製を要求する情報、又は、前記セッションを前記第1ノードから前記第2ノードへ切り換えるセッション切り換えを要求する情報が含まれている請求項6に記載の通信処理装置。
  8.  前記第1ノードから前記第2ノードへハンドオーバされた前記セッションの切断が検出された場合に、前記第2ノードから前記第1ノードへ前記セッションを戻す処理を行うよう構成されている請求項6に記載の通信処理装置。
  9.  前記第1ノードから前記第2ノードへハンドオーバされた前記セッションを前記第2ノードから前記第1ノードへ戻す際に、前記第1ネットワークの前記認証サーバとの間で前記セッションを戻すための認証を行うように構成されている請求項6に記載の通信処理装置。
  10.  前記認証処理に成功した場合、前記セッションをハンドオーバさせるためのシグナリングを前記第1ネットワークへ送信するように構成されている請求項6に記載の通信処理装置。
  11.  前記認証処理に成功した後、前記セッションのハンドオーバの開始指示を前記第2ノードへ送信するように構成されている請求項6に記載の通信処理装置。
  12.  前記第1ノードから前記第2ノードへ第1のセッションをハンドオーバさせる処理と、前記第1ノードから前記第2ノードへ既にハンドオーバされていた第2のセッションを前記第2ノードから前記第1ノードへ戻す処理とを一括して行うために必要な情報を生成するように構成されている請求項6に記載の通信処理装置。
  13.  災害発生を通知する災害情報に係るセッションのハンドオーバに関しては、前記セッションのハンドオーバのための認証に必要な情報として、より迅速な簡易的な認証を行うための情報を通知するよう構成されている請求項6に記載の通信処理装置。
  14.  前記第1ネットワークの認証サーバを経由せずに災害発生を通知する災害情報を受信した場合には、前記第1ネットワークの認証サーバへ災害情報を転送するよう構成されている請求項6に記載の通信処理装置。
  15.  第1ネットワークに属する第1ノードが保持している前記第1ネットワークとの間の認証用情報を利用して、前記第1ノードと前記第1ネットワークとの間の通信中のセッションを前記第1ネットワークとは異なる第2ネットワークに属する第2ノードへハンドオーバさせるための認証が行われるよう構成されている通信システムの前記第1ノードに実装される通信処理装置であって、
     前記第1ネットワークの認証サーバとの間で前記セッションのハンドオーバのための認証処理を行う際に、前記第2ノードの識別情報を前記認証サーバへ通知するよう構成されている通信処理装置。
  16.  前記第2ノードの識別情報を前記第2ノードから取得するように構成されている請求項15に記載の通信処理装置。
  17.  前記第1ノードから前記第2ノードへハンドオーバされた前記セッションの切断が検出された場合に、前記第2ノードから前記第1ノードへ前記セッションを戻す処理を行うよう構成されている請求項15に記載の通信処理装置。
  18.  前記第1ノードから前記第2ノードへハンドオーバされた前記セッションを前記第2ノードから前記第1ノードへ戻す際に、前記第1ネットワークの前記認証サーバとの間で前記セッションを戻すための認証を行うように構成されている請求項15に記載の通信処理装置。
  19.  前記認証処理に成功した場合、前記セッションをハンドオーバさせるためのシグナリングを前記第1ネットワークへ送信するように構成されている請求項15に記載の通信処理装置。
  20.  前記認証処理に成功した後、前記セッションのハンドオーバの開始指示を前記第2ノードへ送信するように構成されている請求項15に記載の通信処理装置。
  21.  前記第1ノードから前記第2ノードへ第1のセッションをハンドオーバさせる処理と、前記第1ノードから前記第2ノードへ既にハンドオーバされていた第2のセッションを前記第2ノードから前記第1ノードへ戻す処理とを一括して行うために必要な情報を生成するように構成されている請求項15に記載の通信処理装置。
  22.  前記第1ネットワークの認証サーバを経由せずに災害発生を通知する災害情報を受信した場合には、前記第1ネットワークの認証サーバへ災害情報を転送するよう構成されている請求項15に記載の通信処理装置。
  23.  第1ネットワークに属する第1ノードが保持している前記第1ネットワークとの間の認証用情報を利用して、前記第1ノードと前記第1ネットワークとの間の通信中のセッションを前記第1ネットワークとは異なる第2ネットワークに属する第2ノードへハンドオーバさせるための認証が行われるよう構成されている通信システムの前記第2ノードに実装される通信処理装置であって、
     前記セッションのハンドオーバのための認証に必要な情報を前記第1ノードから受信し、前記第1ネットワークの認証サーバとの間で前記セッションのハンドオーバのための認証処理を行う際に、前記セッションのハンドオーバのための認証に必要な情報に基づいて生成された情報を前記認証サーバへ通知するよう構成されている通信処理装置。
  24.  前記認証処理に成功した場合、前記セッションをハンドオーバさせるためのシグナリングを前記第1ネットワークへ送信するように構成されている請求項23に記載の通信処理装置。
  25.  前記認証処理に成功した後に前記セッションのハンドオーバの開始指示を前記第1ノードから受信すると、前記セッションをハンドオーバさせるためのシグナリングを前記第1ネットワークへ送信するように構成されている請求項23に記載の通信処理装置。
  26.  災害発生を通知する災害情報に係るセッションのハンドオーバに関しては、前記セッションのハンドオーバのための認証に必要な情報に基づいて生成された情報として、より迅速な簡易的な認証を行うための情報を通知するよう構成されている請求項23に記載の通信処理装置。
  27.  第1ネットワークに属する第1ノードが保持している前記第1ネットワークとの間の認証用情報を利用して、前記第1ノードと前記第1ネットワークとの間の通信中のセッションを前記第1ネットワークとは異なる第2ネットワークに属する第2ノードへハンドオーバさせるための認証が行われるよう構成されている通信システムの前記第2ノードに実装される通信処理装置であって、
     前記第1ノードが前記第1ネットワークの認証サーバとの間で前記セッションのハンドオーバのための認証処理を行う際に前記認証サーバへ通知するための前記第2ノードの識別情報を、前記第1ノードへ通知するよう構成されている通信処理装置。
  28.  第1ネットワークに属する第1ノードが保持している前記第1ネットワークとの間の認証用情報を利用して、前記第1ノードと前記第1ネットワークとの間の通信中のセッションを前記第1ネットワークとは異なる第2ネットワークに属する第2ノードへハンドオーバさせるための認証が行われるよう構成されている通信システムの前記第1ネットワークに属する認証サーバに実装される認証処理装置であって、
     前記第2ノードとの間で前記セッションのハンドオーバのための認証処理を行う際に、前記第2ノードが前記第1ノードから受信した前記セッションのハンドオーバのための認証に必要な情報に基づいて生成した情報を前記第2ノードから受信し、前記セッションのハンドオーバのための認証に必要な情報に基づいて生成された前記情報を利用して前記セッションのハンドオーバのための認証を行うように構成されている認証処理装置。
  29.  前記セッションのハンドオーバのための認証に必要な情報に基づいて生成された前記情報に基づいて、前記第1ノードを特定するとともに、前記第2ノードへの前記セッションのハンドオーバの可否を認証するように構成されている請求項28に記載の認証処理装置。
  30.  前記認証処理に成功した場合、前記セッションに係るデータの転送先を前記第1ノードから前記第2ノードへ切り換えるように構成されている請求項28に記載の認証処理装置。
  31.  前記認証処理に成功した場合、前記セッションに係るデータを転送している装置に対して、前記データの転送先を前記第1ノードから前記第2ノードへ切り換えさせるシグナリングを送信するように構成されている請求項28に記載の認証処理装置。
  32.  前記第1ノードから前記第2ノードへハンドオーバされた前記セッションの切断が検出された場合に、前記第2ノードから前記第1ノードへ前記セッションを戻す処理を行うよう構成されている請求項28に記載の認証処理装置。
  33.  前記セッションが災害発生を通知する災害情報を送信するためのものである場合には、より迅速な認証を行うための簡易的な認証を行うよう構成されている請求項28に記載の認証処理装置。
  34.  第1ネットワークに属する第1ノードが保持している前記第1ネットワークとの間の認証用情報を利用して、前記第1ノードと前記第1ネットワークとの間の通信中のセッションを前記第1ネットワークとは異なる第2ネットワークに属する第2ノードへハンドオーバさせるための認証が行われるよう構成されている通信システムの前記第1ネットワークに属する認証サーバに実装される認証処理装置であって、
     前記第1ノードとの間で前記セッションのハンドオーバのための認証処理を行う際に、前記第2ノードの識別情報を前記第1ノードから受信するように構成されている認証処理装置。
  35.  前記第2ノードの識別情報を前記第1ノードから受信した場合、前記第1ノードの認証処理を行うとともに、前記第2ノードへの前記セッションのハンドオーバの可否を認証するように構成されている請求項34に記載の認証処理装置。
  36.  前記認証処理に成功した場合、前記セッションに係るデータの転送先を前記第1ノードから前記第2ノードへ切り換えるように構成されている請求項34に記載の認証処理装置。
  37.  前記認証処理に成功した場合、前記セッションに係るデータを転送している装置に対して、前記データの転送先を前記第1ノードから前記第2ノードへ切り換えさせるシグナリングを送信するように構成されている請求項34に記載の認証処理装置。
  38.  前記第1ノードから前記第2ノードへハンドオーバされた前記セッションの切断が検出された場合に、前記第2ノードから前記第1ノードへ前記セッションを戻す処理を行うよう構成されている請求項34に記載の認証処理装置。
  39.  前記セッションが災害発生を通知する災害情報を送信するためのものである場合には、より迅速な認証を行うための簡易的な認証を行うよう構成されている請求項34に記載の認証処理装置。
PCT/JP2009/002833 2008-06-27 2009-06-22 通信システム及び通信処理装置並びに認証処理装置 Ceased WO2009157172A1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US13/001,009 US8964694B2 (en) 2008-06-27 2009-06-22 Communication system, communication processing device and authentication processing device
JP2010517748A JP5286360B2 (ja) 2008-06-27 2009-06-22 通信システム及び通信処理装置並びに認証処理装置
EP09769882.3A EP2293624B1 (en) 2008-06-27 2009-06-22 Communication system, communication processing device and authentication processing device

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2008168773 2008-06-27
JP2008-168773 2008-06-27
JP2009019217 2009-01-30
JP2009-019217 2009-01-30

Publications (1)

Publication Number Publication Date
WO2009157172A1 true WO2009157172A1 (ja) 2009-12-30

Family

ID=41444245

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2009/002833 Ceased WO2009157172A1 (ja) 2008-06-27 2009-06-22 通信システム及び通信処理装置並びに認証処理装置

Country Status (4)

Country Link
US (1) US8964694B2 (ja)
EP (1) EP2293624B1 (ja)
JP (1) JP5286360B2 (ja)
WO (1) WO2009157172A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010114746A (ja) * 2008-11-07 2010-05-20 Sumitomo Electric Ind Ltd 通信制御装置及び通信システム
JP2013516841A (ja) * 2009-12-31 2013-05-13 アルカテル−ルーセント 無線技術間の網間接続方法
JP2013529419A (ja) * 2010-04-20 2013-07-18 ゼットティーイー コーポレイション 強化型無線インタフェース・キーの確立方法及び強化型無線インタフェース・キーの確立システム
JP2018201237A (ja) * 2013-10-24 2018-12-20 コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ ユーザ装置間での制御された証明書の供給

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4376916B2 (ja) * 2007-02-23 2009-12-02 富士通株式会社 移動機のハンドオーバの支援方法、無線ネットワーク制御装置、無線基地局、およびコンピュータプログラム
US9479805B2 (en) 2013-02-15 2016-10-25 Cox Communications, Inc. Entitlement validation and quality control of content in a cloud-enabled network-based digital video recorder
US9450934B2 (en) * 2013-03-15 2016-09-20 Cox Communications, Inc. Managed access to content and services
US10631220B1 (en) * 2018-07-24 2020-04-21 Sprint Spectrum L.P. Systems, methods, and devices for communicating with a wireless network using multiple transceivers

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004266331A (ja) * 2003-01-30 2004-09-24 Matsushita Electric Ind Co Ltd 一元管理認証装置及び無線端末認証方法
JP2004336256A (ja) * 2003-05-02 2004-11-25 Ntt Docomo Inc データ通信システム
WO2007005309A1 (en) * 2005-06-30 2007-01-11 Lucent Technologies Inc. Method for distributing security keys during hand-off in a wireless communication system
JP2007515814A (ja) * 2003-08-01 2007-06-14 株式会社エヌ・ティ・ティ・ドコモ ドメイン間ハンドオーバ
WO2007103055A2 (en) * 2006-03-03 2007-09-13 Interdigital Technology Corporation Methods for supporting emergency calls on a wireless local area network
JP2007306312A (ja) * 2006-05-11 2007-11-22 Nippon Telegraph & Telephone East Corp 無線通信接続システム

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7191233B2 (en) * 2001-09-17 2007-03-13 Telecommunication Systems, Inc. System for automated, mid-session, user-directed, device-to-device session transfer system
US6983370B2 (en) * 2001-11-27 2006-01-03 Motorola, Inc. System for providing continuity between messaging clients and method therefor
US20070291694A1 (en) * 2004-09-03 2007-12-20 Junbiao Zhang Seamless Multimedia Session Handoff Across Multiple Devices in a Mobile Networking Environment
US7356567B2 (en) * 2004-12-30 2008-04-08 Aol Llc, A Delaware Limited Liability Company Managing instant messaging sessions on multiple devices
US8181226B2 (en) * 2005-10-26 2012-05-15 Sony Mobile Communications Ab Method and apparatus for multimedia session transfer
US20070121642A1 (en) * 2005-11-02 2007-05-31 Battin Robert D Method and system for supporting an emergency call
KR100754196B1 (ko) * 2005-12-10 2007-09-03 삼성전자주식회사 스트리밍 재생 중에 컨텐트 재생 장치를 변경하는 방법 및이를 위한 장치
CA2571255C (en) * 2005-12-23 2016-05-10 Bce Inc. Wireless device authentication between different networks
US20080084867A1 (en) * 2006-09-25 2008-04-10 George Foti Method and server for transferring a multimedia session from a first terminal to a second terminal
US20080095114A1 (en) * 2006-10-21 2008-04-24 Toshiba America Research, Inc. Key Caching, QoS and Multicast Extensions to Media-Independent Pre-Authentication
US8364114B2 (en) * 2007-01-31 2013-01-29 Nokia Corporation Emergency and priority calling support in WiMAX
EP2028890B1 (en) * 2007-08-12 2019-01-02 LG Electronics Inc. Handover method with link failure recovery, wireless device and base station for implementing such method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004266331A (ja) * 2003-01-30 2004-09-24 Matsushita Electric Ind Co Ltd 一元管理認証装置及び無線端末認証方法
JP2004336256A (ja) * 2003-05-02 2004-11-25 Ntt Docomo Inc データ通信システム
JP2007515814A (ja) * 2003-08-01 2007-06-14 株式会社エヌ・ティ・ティ・ドコモ ドメイン間ハンドオーバ
WO2007005309A1 (en) * 2005-06-30 2007-01-11 Lucent Technologies Inc. Method for distributing security keys during hand-off in a wireless communication system
WO2007103055A2 (en) * 2006-03-03 2007-09-13 Interdigital Technology Corporation Methods for supporting emergency calls on a wireless local area network
JP2007306312A (ja) * 2006-05-11 2007-11-22 Nippon Telegraph & Telephone East Corp 無線通信接続システム

Non-Patent Citations (8)

* Cited by examiner, † Cited by third party
Title
"Earthquake and Tsunami Warning System (ETWS) requirements", 3GPP TS 22.168 V8.1.0, June 2008 (2008-06-01)
"Evolved Universal Terrestrial Radio Access (E-UTRA); Radio Resource Control (RRC); Protocol specification", 3GPP TS 36.331 V8.4.0, December 2008 (2008-12-01)
"Extensible Authentication Protocol (EAP)", RFC3748, June 2004 (2004-06-01)
"Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA)", RFC4187, January 2006 (2006-01-01)
"Extensible Authentication Protocol Method for Global System for Mobile Communications (GSM) Subscriber Identity Modules (EAP-SIM)", RFC4186, January 2006 (2006-01-01)
"PPP Extensible Authentication Protocol", RFC2284, March 1998 (1998-03-01)
3GPP TR 23.893 V8.0.0, June 2008 (2008-06-01)
3GPP TS 23.402 V8.0.0, December 2007 (2007-12-01)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010114746A (ja) * 2008-11-07 2010-05-20 Sumitomo Electric Ind Ltd 通信制御装置及び通信システム
JP2013516841A (ja) * 2009-12-31 2013-05-13 アルカテル−ルーセント 無線技術間の網間接続方法
JP2014222940A (ja) * 2009-12-31 2014-11-27 アルカテル−ルーセント 無線技術間の網間接続方法
JP2017005759A (ja) * 2009-12-31 2017-01-05 アルカテル−ルーセント 無線技術間の網間接続方法
US9775027B2 (en) 2009-12-31 2017-09-26 Alcatel Lucent Method for interworking among wireless technologies
JP2013529419A (ja) * 2010-04-20 2013-07-18 ゼットティーイー コーポレイション 強化型無線インタフェース・キーの確立方法及び強化型無線インタフェース・キーの確立システム
US8804962B2 (en) 2010-04-20 2014-08-12 Zte Corporation Method and system for establishing enhanced air interface key
JP2018201237A (ja) * 2013-10-24 2018-12-20 コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ ユーザ装置間での制御された証明書の供給

Also Published As

Publication number Publication date
US20110110334A1 (en) 2011-05-12
EP2293624A1 (en) 2011-03-09
EP2293624B1 (en) 2019-01-23
EP2293624A4 (en) 2015-09-30
JP5286360B2 (ja) 2013-09-11
US8964694B2 (en) 2015-02-24
JPWO2009157172A1 (ja) 2011-12-08

Similar Documents

Publication Publication Date Title
JP5286360B2 (ja) 通信システム及び通信処理装置並びに認証処理装置
KR101430243B1 (ko) 펨토 기지국 및 펨토 기지국 관리 시스템
JP5135339B2 (ja) ネットワーク選択方法
EP2381710B1 (en) Security management method and system for wapi terminal accessing ims network
CN105828326B (zh) 一种无线局域网的接入方法、无线访问节点
TW201739276A (zh) 增強的非存取層安全
US20090285176A1 (en) Framework for internetworking between wman and wlan networks
JPWO2010143428A1 (ja) 基地局制御装置および携帯端末
TW201203939A (en) Method and apparatus for managing local internet protocol offload
TW201146035A (en) Method and apparatus for adding CSG identities to a white list in connected mode
TW201006270A (en) Access terminal assisted node identifier confusion resolution
TW201129209A (en) Establishing packet data network connectivity for local internet protocol access traffic
CN101790894B (zh) 专用基站和无线电网络实体
CN102123394A (zh) 向封闭用户组小区切换的处理方法及装置
KR20110102899A (ko) 주변의 무선 네트워크로의 가입자들의 이동
KR20110019715A (ko) 홈 기지국 간의 관계에 대한 정보를 송수신하는 방법
US20080070571A1 (en) System and method for providing secure network access in fixed mobile converged telecommunications networks
WO2022155915A1 (zh) 网络互通的方法及装置
US9848366B2 (en) Method for determining relocation process and method for determining handover process
CN102104920A (zh) 一种移动通信系统及向封闭用户组小区切换的方法
WO2013004085A1 (zh) 一种多载波系统中的接入控制方法及基站
KR101435423B1 (ko) 무선 원격통신 네트워크, 및 메시지를 인증하는 방법
CN101610555B (zh) 一种切换的触发方法、系统和装置
CN102131258A (zh) 向csg小区切换的接入控制方法及系统
TW201138529A (en) Pull based inter-operator inter-device transfer

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 09769882

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2010517748

Country of ref document: JP

WWE Wipo information: entry into national phase

Ref document number: 2009769882

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 13001009

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE