JP2004266516A - Network management server, communication terminal, edge switch device, program for communication, and network system - Google Patents
Network management server, communication terminal, edge switch device, program for communication, and network system Download PDFInfo
- Publication number
- JP2004266516A JP2004266516A JP2003053902A JP2003053902A JP2004266516A JP 2004266516 A JP2004266516 A JP 2004266516A JP 2003053902 A JP2003053902 A JP 2003053902A JP 2003053902 A JP2003053902 A JP 2003053902A JP 2004266516 A JP2004266516 A JP 2004266516A
- Authority
- JP
- Japan
- Prior art keywords
- network
- communication terminal
- communication
- management server
- edge switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、アクセスネットワークでの暗号化及びユーザの認証が必要な公衆ネットワークシステム、特に、モバイルネットワークシステムにおけるネットワーク管理サーバ、通信端末、エッジスイッチ装置、通信用プログラム並びにネットワークシステムに関する。
【0002】
【従来の技術】
従来、公衆インターネット接続網や企業用VPN(Virtual Private Network)接続への認証方式としては、PPP(Point−to−Point Protocol)プロトコルを用いた方式が一般的である。PPPには、ユーザの認証機能やISP(Internet Service Provider:インターネット・サービス・プロバイダ)による加入者のIPアドレス付与などの機能がある。これらの機能をEthernet(R)(イーサネット(R))上に実現するため、アクセス網側はPPPoE(PPP over Ethernet(R))と呼ばれるプロトコルでPPPパケットを運んでいる。局側はPPPoEを終端する。
【0003】
また、その他の従来の無線インターネットサービスの移動認証方式の例として、下記の非特許文献1に記載されている技術が挙げられる。図15は、従来の技術に係るネットワークシステムの一構成例を示す図であり、図16は、従来の技術に係るネットワークシステムの一構成例におけるシーケンス図である。なお、図16に示すシーケンスは、基本的に、非特許文献1の内容と同一である。
【0004】
図15に示す従来のネットワークでは、アクセスポイント(ベースルータ)に認証機能を保持させ、1往復のメッセージのみで、通信端末110の認証を行うことによって、迅速な認証を可能としている。まず、アクセスポイント115は、通信端末110に対して時刻情報をブロードキャストする。その時刻情報を受信した通信端末110は、認証サーバ170との間で交換している秘密鍵を用いて、時刻を種とするハッシュ値を生成し、アクセスポイントに認証要求として、時刻情報及びハッシュ値を送信する。認証サーバ170は、受け取った時刻情報から秘密鍵を用いてハッシュ値を計算する。そして、計算結果が受信したハッシュ値と同一か否かを確かめ、同一ならば認証応答として認証成功であることをアクセスポイント115に送信し、アクセスポイント115は、認証応答を通信端末110に転送する。
【0005】
【非特許文献1】
「無線インターネットサービスに必要なセキュリティを提供する高速認証システム」,情報処理学会研究報告 2001−DPS−107,2002年 3月
【0006】
【発明が解決しようとする課題】
しかしながら、PPPoEによるアクセスでは、PPPoEセッションが、通信端末とBAS(Broadband Access Server)と呼ばれる網側の終端装置との間で張られる。そのため、通信端末の移動時に無線リンクが切れた際、PPPoEセッションから張りなおす必要があり、PPPによる認証を再び行う必要がある。したがって、迅速に無線の切替移動を行うことが困難である。
【0007】
また、非特許文献1に記載の技術には、次のような問題点が存在する。まず、基地局と通信端末を独自仕様で構築しているため、現在、非常に安価になっている汎用のアクセスポイントを利用することができず、安価なネットワークの利用というインターネットの利点が損なわれてしまうおそれがあるという問題がある。また、認証サーバ側と通信端末も独自の仕様にする必要があるため、コストが高くなってしまうという問題がある。
【0008】
そこで、上記問題点に鑑み、本発明では、アクセスポイントに認証機能などの特別な機能を付加することなく、セキュリティの確保されたネットワークシステムを提供し、特に、通信端末とアクセスポイントとの間の無線区間におけるセキュリティを確保することが可能なモバイルネットワークシステムにおけるネットワーク管理サーバ、通信端末、エッジスイッチ装置、通信用プログラム並びにネットワークシステムを提供することを目的とする。
【0009】
【課題を解決するための手段】
上記目的を達成するため、本発明は、複数の通信端末と複数の通信端末のそれぞれが属するネットワークとを接続する網間ネットワーク内に配置され、複数の通信端末と複数の通信端末のそれぞれが属するネットワークとの接続を管理するネットワーク管理サーバであって、複数の通信端末のそれぞれに固有の共有鍵を事前に保持し、複数の通信端末のそれぞれとの間で、共有鍵による暗号/復号化による通信を行うよう構成する。
この構成により、アクセスポイントに認証機能などの特別な機能を付加することなく、セキュリティの確保されたネットワークシステムを提供することが可能となり、特に、通信端末とアクセスポイントとの間の無線区間におけるセキュリティを確保することが可能となる。
【0010】
また、本発明は、複数の通信端末と複数の通信端末のそれぞれが属するネットワークとを接続する網間ネットワーク内に配置され、複数の通信端末と複数の通信端末のそれぞれが属するネットワークとの接続を管理するネットワーク管理サーバであって、複数の通信端末のそれぞれに固有の共有鍵を事前に保持し、複数の通信端末のそれぞれから、暗号化されたネットワークでの認証に必要な情報を受信し、受信した情報を共有鍵によって復号し、通信端末の属するネットワーク内の認証サーバに対して、通信端末に係るネットワークでの認証に必要な情報を送信するよう構成する。
この構成により、アクセスポイントに認証機能などの特別な機能を付加することなく、セキュリティの確保されたネットワークシステムを提供することが可能となり、特に、通信端末が、所望のネットワークに接続する際に送信すべき認証に必要な情報に関して、所望の通信端末とアクセスポイントとの間の無線区間におけるセキュリティを確保することが可能となる。
【0011】
さらに、本発明は、上記構成に加えて、通信端末の属するネットワーク内の認証サーバにおける認証結果を認証サーバから受信し、認証結果を共有鍵によって暗号化して、通信端末に送信するよう構成する。
この構成により、アクセスポイントに認証機能などの特別な機能を付加することなく、セキュリティの確保されたネットワークシステムを提供することが可能となり、特に、認証サーバから通信端末に対して中継を行う認証結果に関して、所望の通信端末とアクセスポイントとの間の無線区間におけるセキュリティを確保することが可能となる。
【0012】
さらに、本発明は、上記構成に加えて、網間ネットワークのエッジを構成し複数の通信端末側との接続を行うエッジスイッチ装置から、通信端末の位置情報を受信した場合、網間ネットワークにおける通信端末とネットワークとの経路を設定し、網間ネットワークのエッジを構成し複数の通信端末側との接続を行うエッジスイッチ装置と、網間ネットワークのエッジを構成しネットワーク側との接続を行うエッジスイッチ装置とに対して、経路による通信を可能とする経路情報を送信するよう構成する。
この構成により、通信端末が所望のネットワークに接続する際の中継ネットワークとなる宅側エッジスイッチ装置と網側エッジスイッチ装置との間のネットワークにおける経路を管理することが可能となる。
【0013】
さらに、本発明は、上記構成に加えて、通信端末の属するネットワーク内の認証サーバにおける認証結果が認証成功の場合、通信端末の識別情報に対応して、暗号用の主信号鍵を生成し、通信端末と、網間ネットワークのエッジを構成し複数の通信端末側との接続を行うエッジスイッチ装置とに対して、主信号鍵を送信するよう構成する。
この構成により、通信端末及び宅側エッジスイッチ装置に、新たに共通の主信号通信用の主信号鍵を設定することが可能となる。
【0014】
さらに、本発明は、上記構成に加えて、通信端末に対して、主信号鍵を共有鍵によって暗号化して送信するよう構成する。
この構成により、通信端末に送る主信号鍵を暗号化し、外部から主信号鍵を盗取されないようにすることが可能となる。
【0015】
さらに、本発明は、上記構成に加えて、通信端末の識別情報として、通信端末に固有のMACアドレスが用いられるよう構成する。
この構成により、主信号鍵と通信端末とを1対1に関係付けることが可能となる。
【0016】
さらに、本発明は、上記構成に加えて、複数の通信端末のそれぞれから、共有鍵によって暗号化されたエッジスイッチ装置の接続を切り替えたことを通知する移動通知情報を受信した場合、受信した情報を共有鍵によって復号し、通信端末が移動後に接続するエッジスイッチ装置に対して主信号鍵を送信するとともに、通信端末が移動前に接続していたエッジスイッチ装置に対して、移動した通信端末に係る主信号鍵の削除を要求するよう構成する。
この構成により、通信端末が宅側エッジスイッチ装置の接続を変更した場合、この接続変更に従って、エッジスイッチ装置の主信号鍵を移動することが可能となり、認証処理を再び行うことなく、通信端末の移動をサポートすることが可能となる。
【0017】
さらに、本発明は、上記構成に加えて、一定時間ごとに、通信端末に対して、共有鍵の送信を要求し、通信端末の正当性を確認するよう構成する。
この構成により、一定時間ごとに、通信端末の正当性を確認することが可能となる。
【0018】
さらに、本発明は、上記構成に加えて、通信端末の正当性が確認できなかった場合には、網間ネットワークのエッジを構成し複数の通信端末側との接続を行うエッジスイッチ装置と、網間ネットワークのエッジを構成しネットワーク側との接続を行うエッジスイッチ装置とに対して、通信端末に係る経路情報の削除を要求するよう構成する。
この構成により、偽のユーザ又は通信端末に対して、通信を行うことができないようにすることが可能となる。
【0019】
また、本発明によれば、上記のネットワーク管理サーバを実現するため、ネットワーク管理サーバによって実行可能な通信用プログラムが提供される。
これにより、一般的なコンピュータによってネットワーク管理サーバを実現することが可能となる。
【0020】
また、本発明は、網間ネットワークを介して、自端末が属するネットワークとの接続を行う通信端末であって、通信端末に固有の共有鍵を事前に保持する網間ネットワーク内のネットワーク管理サーバとの間で、共有鍵による暗号/復号化による通信を行うよう構成する。
この構成により、アクセスポイントに認証機能などの特別な機能を付加することなく、セキュリティの確保されたネットワークシステムを提供することが可能となり、特に、通信端末とアクセスポイントとの間の無線区間におけるセキュリティを確保することが可能となる。
【0021】
また、本発明は、網間ネットワークを介して、自端末が属するネットワークとの接続を行う通信端末であって、通信端末に固有の共有鍵を事前に保持する網間ネットワーク内のネットワーク管理サーバに対して、自端末が属するネットワークでの認証に必要な情報を共有鍵によって暗号化して送信するよう構成する。
この構成により、アクセスポイントに認証機能などの特別な機能を付加することなく、セキュリティの確保されたネットワークシステムを提供することが可能となり、特に、通信端末が、所望のネットワークに接続する際に送信すべき認証に必要な情報に関して、所望の通信端末とアクセスポイントとの間の無線区間におけるセキュリティを確保することが可能となる。
【0022】
さらに、本発明は、上記構成に加えて、通信端末の属するネットワーク内の認証サーバにおける認証結果が共有鍵によって暗号化された情報を、ネットワーク管理サーバから受信し、受信した情報を共有鍵によって復号するよう構成する。
この構成により、アクセスポイントに認証機能などの特別な機能を付加することなく、セキュリティの確保されたネットワークシステムを提供することが可能となり、特に、通信端末が認証サーバから受信する認証結果に関して、所望の通信端末とアクセスポイントとの間の無線区間におけるセキュリティを確保することが可能となる。
【0023】
さらに、本発明は、上記構成に加えて、ネットワーク管理サーバから、通信端末の識別情報に対応した暗号用の主信号鍵を受信するよう構成する。
この構成により、新たに主信号通信用の主信号鍵を取得することが可能となる。
【0024】
さらに、本発明は、上記構成に加えて、網間ネットワークのエッジを構成し、通信端末側との接続を行うエッジスイッチ装置との間で、主信号鍵による暗号/復号化による通信を行うよう構成する。
この構成により、宅側エッジスイッチ装置との間の通信を、主信号鍵によって暗号化することが可能となる。
【0025】
また、本発明は、網間ネットワークを介して、自端末が属するネットワークとの接続を行う通信端末であって、網間ネットワークのエッジを構成し、通信端末側との接続を行うエッジスイッチ装置の接続を切り替えた場合、通信端末に固有の共有鍵を事前に保持する網間ネットワーク内のネットワーク管理サーバに対して、エッジスイッチ装置の接続を切り替えたことを通知する移動通知情報を共有鍵によって暗号化して送信するよう構成する。
この構成により、通信端末が移動して宅側エッジスイッチ装置の接続を切り替えた場合、その移動をネットワーク管理サーバに通知することが可能となる。
【0026】
さらに、本発明は、上記構成に加えて、ネットワーク管理サーバから共有鍵の送信を要求された場合には、ネットワーク管理サーバに対して共有鍵を送信するよう構成する。
この構成により、一定時間ごとにネットワーク管理サーバに対して、自端末の正当性を通知することが可能となる。
【0027】
また、本発明によれば、上記の通信端末を実現するため、通信端末によって実行可能な通信用プログラムが提供される。
これにより、一般的なコンピュータによってネットワーク管理サーバを実現することが可能となる。
【0028】
また、本発明は、複数の通信端末と複数の通信端末のそれぞれが属するネットワークとを接続する網間ネットワークのエッジを構成し、複数の通信端末側との接続を行うエッジスイッチ装置であって、複数の通信端末のそれぞれからのネットワークでの認証の要求を、複数の通信端末と複数の通信端末のそれぞれが属するネットワークとの接続を管理するネットワーク管理サーバに対して中継する場合、ネットワーク管理サーバに対して通信端末の位置情報を通知するよう構成する。
この構成により、通信端末の認証時に、同時に、ネットワーク管理サーバが経路の設定を行えるようにすることが可能となる。
【0029】
さらに、本発明は、上記構成に加えて、ネットワーク管理サーバから、網間ネットワークにおける通信端末とネットワークとの間で設定された経路による通信を可能とする経路情報を受信するよう構成する。
この構成により、ネットワーク管理サーバによって設定された経路に従って、通信端末からの情報、又は、通信端末への情報を中継することが可能となる。
【0030】
さらに、本発明は、上記構成に加えて、ネットワーク管理サーバから、通信端末の識別情報に対応した暗号用の主信号鍵を受信するよう構成する。
この構成により、新たに主信号通信用の主信号鍵を取得することが可能となる。
【0031】
さらに、本発明は、上記構成に加えて、通信端末との間で、主信号鍵による暗号/復号化による通信を行うよう構成する。
この構成により、通信端末との間の通信を、主信号鍵によって暗号化することが可能となる。
【0032】
さらに、本発明は、上記構成に加えて、ネットワーク管理サーバから、通信端末に係る主信号鍵の削除を要求された場合、主信号鍵の削除を行うよう構成する。
この構成により、通信端末が移動し、当該エッジスイッチ装置との接続が切れて、通信端末との当該エッジスイッチ装置との通信が行われなくなった時点で、ネットワーク管理サーバからの要求に従って、主信号鍵を削除することが可能となる。
【0033】
また、本発明は、網間ネットワークを介して、自端末が属するネットワークとの接続を行う通信端末と、網間ネットワークのエッジを構成し複数の通信端末側との接続を行う宅側エッジスイッチ装置と、網間ネットワークのエッジを構成しネットワーク側との接続を行う網側エッジスイッチ装置と、網側ネットワーク内に配置されて通信端末とネットワークとの接続を管理するネットワーク管理サーバとにより構成されるネットワークシステムであって、ネットワーク管理サーバが網側エッジスイッチ装置に接続されており、宅側エッジスイッチ装置と網側エッジスイッチ装置との間が、通信端末とネットワーク管理サーバとの間の第1の通信用トンネルと、通信端末とネットワークとの間の第2の通信用トンネルとに分けて設定されるよう構成する。
この構成により、宅側エッジスイッチ装置と網側エッジスイッチ装置との間で、異なる論理パスを設定し、所望の通信装置同士が確実に通信を行えるようにすることが可能となる。
【0034】
さらに、本発明は、上記構成に加えて、通信端末とネットワーク管理サーバとの間の通信に、IEEE802.1xを適用するよう構成する。
この構成により、通信端末とネットワーク管理サーバとの間の通信に関して、既存のIEEE802.1x及びその拡張を利用することが可能となる。
【0035】
さらに、本発明は、上記構成に加えて、ネットワーク管理サーバと宅側エッジスイッチ装置又は網側エッジスイッチ装置との間の通信に、既存のSNMP(Simple Network Management Protocol)を適用するよう構成する。この構成により、ネットワーク管理サーバと宅側エッジスイッチ装置又は網側エッジスイッチ装置との間の通信に関して、SNMP又はその拡張を利用することが可能となる。
【0036】
さらに、本発明は、上記構成に加えて、網側エッジスイッチ装置と宅側エッジスイッチ装置との間の通信に、ラベルスイッチングを適用するよう構成する。
この構成により、網側エッジスイッチ装置と宅側エッジスイッチ装置との間の網間ネットワークの通信に関して、既存のMPLS(Multi Protocol Label Switching)プロトコルなどを利用することが可能となる。
【0037】
さらに、本発明は、上記構成に加えて、網側エッジスイッチ装置と宅側エッジスイッチ装置との間の通信に、VLANスイッチングを適用するよう構成する。
この構成により、網側エッジスイッチ装置と宅側エッジスイッチ装置との間の網間ネットワークの通信に関して、既存のVLAN(Virtual Local Area Network)プロトコルなどを利用することが可能となる。
【0038】
【発明の実施の形態】
以下、図面を参照しながら、本発明のネットワーク管理サーバ、通信端末、エッジスイッチ装置、通信用プログラム並びにネットワークシステムの実施の形態について説明する。
【0039】
<第1の実施の形態:初期認証>
まず、図1を参照しながら、本発明の第1の実施の形態について説明する。なお、第1の実施の形態では、主に、初期認証時の動作について説明する。図1は、本発明に係るネットワークシステムの基本的な構成の一例を示す図である。
【0040】
通信端末10AはグループAに所属し、端末10BはグループBに所属している。それぞれの通信端末10A、10Bは、地域ネットワーク(地域網)20を通して、所属しているグループネットワーク30A、30Bとの通信を行う。なお、グループAのネットワークをグループネットワーク30Aと呼び、グループBのネットワークをグループネットワーク30Bと呼ぶことにする。
【0041】
地域ネットワーク20には、宅側エッジ側に宅側エッジスイッチ(宅側エッジスイッチ装置、単にエッジスイッチ装置と呼ぶこともある)40、網側エッジ側に網側エッジスイッチ(網側エッジスイッチ装置)50が配置されている。また、地域ネットワーク20には、通信端末10A、10Bとグループネットワーク30A、30Bとの通信の管理を行う地域網管理サーバ(ネットワーク管理サーバ)25が配置されている。なお、宅側は、通信端末10A、10Bとの接続を行う側を指し、網側は、グループネットワーク30A、30Bとの接続を行う側を指す。また、エッジとは、ネットワークの端部であり、そのネットワークに属さない通信装置との接続を行うことが可能な通信装置を指す。
【0042】
地域ネットワーク20の宅側ポートと通信端末10A、10Bとの間は、アクセスネットワークを通して接続可能であり、通信端末10A、10Bは、アクセスポイント15などとの無線通信によって、このアクセスネットワークと接続可能である。また地域ネットワーク20の網側は、各グループのエッジルータ60A、60Bを通して、グループネットワーク30A、30Bと接続可能である。
【0043】
また、それぞれのグループネットワーク30A、30Bには、それぞれのグループの認証を行う認証サーバ70A、70Bが設置される。各々のグループの認証サーバ70A、70Bは、各通信端末10A、10Bの認証情報(ユーザ認証情報)を保持するRADIUS(Remote Authentication Dial In User Service)サーバを用いることが可能である。通信端末10A、10Bが、自分の所属するグループネットワーク30A、30Bとの通信を行う場合、認証サーバ70A、70Bによる通信端末10A、10Bの認証が行われる。
【0044】
上記の各構成要素はそれぞれ、以下の情報を事前に保持している必要がある。通信端末10A、10Bは、ユーザID及びパスワードと、事前共有鍵(例えば、各通信端末10A、10Bに固有のMACアドレス)を保持している。また、地域網管理サーバ25は、ユーザIDとグループ識別子との関係が記述された情報(ユーザ/グループ管理情報)と、各通信端末10A、10Bの事前共有鍵とを保持している。また、宅側エッジスイッチ40は、地域網管理サーバ25と通信端末10A、10Bとの経路情報を保持している。認証サーバ70A、70Bは、ユーザIDとパスワードとの関係が記述された情報(ユーザ認証情報)を保持している。
【0045】
ユーザID及びパスワードは、グループネットワーク30A、30Bにおいて管理されるものであり、このユーザ情報を用いて、各通信端末10A、10Bが各グループに属していることが認証される。例えば、ユーザID及びパスワードは、企業や学校などの組織内のネットワークにおいて管理されている。また、事前共有鍵は、通信端末10A、10Bと地域網管理サーバ25との間で共有して保持しておく鍵であり、この鍵は、他人に知られないように、通信端末10A、10B及び地域網管理サーバ25において管理される。
【0046】
次に、図1に示すネットワークシステムにおける初期認証シーケンスについて説明する。図2は、本発明の第1の実施の形態における初期認証の前半部を示す初期認証シーケンス図である。初期認証シーケンスを行う際には、通信端末10A、10Bと地域網管理サーバ25との間で、すべての情報に関して事前共有鍵による暗号化通信が行われ、ユーザID及びパスワードに対するセキュリティが確保される。なお、通信端末10A、10Bと地域網管理サーバ25との間の通信には、IEEE802.1xが用いられる。また、初期認証に関しては、IEEE802.1x+EAP(Extensible Authentication Protocol)のフローがそのまま用いられる。ただし、IEEE802.1x(以降、単に802.1xと呼ぶこともある)の特徴であるポート認証ではなく、通信端末のMACアドレスごとにパケットの転送の可否を設定できるようにする。
【0047】
まず、通信端末10A、10Bは、事前共有鍵により暗号化して、EAP−Startを地域網管理サーバ25に送信し、通信を開始する(ステップS201)。なお、EAP−Startは、宅側エッジスイッチ40によってMACブリッジ転送される。地域網管理サーバ25はこの情報を受信し、送信元の通信端末10A、10Bの事前共有鍵を用いて復号(復号化とも言う)する(ステップS202)。
【0048】
地域管理網サーバ25は、事前共有鍵により暗号化して、EAP−Request/Identityを通信端末10A、10Bに送信し、ユーザIDを要求する(ステップS203)。通信端末10A、10Bはこの情報を受信し、事前共有鍵を用いて復号する(ステップS204)。そして、通信端末10A、10Bは、事前共有鍵により暗号化して、ユーザIDを含むEAP−Response/Identityを地域網管理サーバ25に送信する(ステップS205)。地域網管理サーバ25はこの情報を受信し、送信元の通信端末10A、10Bの事前共有鍵を用いて復号する(ステップS206)。また、地域網管理サーバ25は、ユーザIDを含むRadius−Access−Requestを各通信端末10A、10Bに属するグループ内の認証サーバ70A、70Bに送信する。なお、地域網管理サーバ25と認証サーバ70A、70Bとの間の通信には、RADIUSプロトコルが用いられる。
【0049】
認証サーバ70A、70Bはこの情報を受信し、Radius−Access−Challengeを地域網管理サーバ25に返し、地域管理網サーバ25は、事前共有鍵により暗号化して、EAP−Requestを通信端末10A、10Bに送信する(ステップS207)。通信端末10A、10Bはこの情報を受信し、事前共有鍵を用いて復号する(ステップS208)。そして、通信端末10A、10Bは、事前共有鍵により暗号化して、パスワードを含むEAP−Responseを地域網管理サーバ25に送信する(ステップS209)。地域網管理サーバ25はこの情報を受信し、送信元の通信端末10A、10Bの事前共有鍵を用いて復号し(ステップS210)、ユーザIDのときと同様に、パスワードを含むRadius−Access−Requestを認証サーバ70A、70Bに送信する。
【0050】
認証サーバ70A、70Bは、事前に保持しているユーザ認証情報と、通信端末10A、10Bから送られてきたユーザID及びパスワードとを比較し、認証に成功した場合には、Radius−Access−Successを地域網管理サーバ25に返す。この情報を受けて、地域管理網サーバ25は、事前共有鍵により暗号化して、EAP−Successを通信端末10A、10Bに送信し、認証成功を通知する(ステップS211)。通信端末10A、10Bはこの情報を受信し、事前共有鍵を用いて復号する(ステップS212)。
【0051】
また、図3は、本発明の第1の実施の形態における初期認証の後半部を示す初期認証シーケンス図である。ステップS211で地域網管理サーバ25がEAP−Successを通信端末10A、10Bに対して通知する際、地域網管理サーバ25は、通信端末10A、10BのMACアドレスを格納し、そのMACアドレスに対応する主信号鍵を設定する(ステップS301)。地域網管理サーバ25は、そのMACアドレスを有するパケットの転送可否情報として、MACアドレス及びそのMACアドレスに対応する主信号鍵を宅側エッジスイッチ40に送信する。なお、図2に示すシーケンスを行う間に、宅側エッジスイッチ40が通信端末10A、10BのMACアドレスを格納することも可能であり、この場合には、主信号鍵と、その主信号鍵が設定された通信端末10A、10Bを識別する情報とを送信すればよい。
【0052】
宅側エッジスイッチ40は主信号鍵を受信して、MACアドレスと主信号鍵との対応を登録する(ステップS302)。なお、主信号鍵は、事前共有鍵とは異なるものであり、事前共有鍵は、通信端末10A、10Bと地域網管理サーバ25との間で事前に共有されている鍵、主信号鍵は、認証に成功して実際に通信を行う場合の主信号の暗号化を行うための鍵である。
【0053】
具体的には、例えば、『00−80−45−23−21−fe』 というMACアドレスを有する通信端末10A、10Bが、それぞれのグループネットワーク30A、30Bに対する認証に成功した場合、『00−80−45−23−21−fe』というMACアドレスと主信号鍵との対応が設定される。宅側エッジスイッチ40は、主信号鍵のキーとして登録されていないMACアドレスのパケットを転送することはできない。
【0054】
なお、地域網管理サーバ25から宅側エッジスイッチ40に対して、通信端末10A、10Bの主信号鍵の設定が行われる場合には、SNMPなどのネットワークオペレーションプロトコルを用いることも可能である。
【0055】
また、地域管理網サーバ25は、事前共有鍵により暗号化して、主信号鍵を通信端末10A、10Bに送信する(ステップS303)。通信端末10A、10Bはこの情報を受信し、事前共有鍵を用いて復号する(ステップS304)。そして、通信端末10A、10Bは、地域網管理サーバ25から取得した主信号鍵を格納する。以降の主信号通信の際には、この主信号鍵を用いて、データの暗号/復号化(暗復号化とも言う)の処理が行われて、通信端末10A、10Bと宅側エッジスイッチ40との通信が行われる(ステップS305、S306)。これにより、通信端末10A、10Bと宅側エッジスイッチ40との間の無線区間が、主信号鍵により暗号化される暗号化区間となる。
【0056】
また、通信端末10A、10Bと宅側エッジスイッチ40との間に、アクセスポイント15を設置する場合は、通信端末10A、10Bの位置情報を経路情報として管理する必要がある。この場合、通信端末の認証要求時に、どの宅側エッジスイッチ40のどのアクセスポイントに通信端末10A、10Bが接続されているかを、地域網管理サーバ25が宅側エッジスイッチ40に対して送信する。これにより、地域網管理サーバ25が、経路情報の管理を担うことが可能となる。
【0057】
図4は、本発明の第1の実施の形態における初期認証及び経路設定シーケンス図である。なお、図4のシーケンスも、図2のシーケンスと同様に、図1に続くシーケンスである。宅側エッジスイッチ40は、EAP−Successの転送を契機に、通信端末10A、10Bの位置情報を地域網管理サーバ25に対して通知する(ステップS401)。このとき、通信端末10A、10Bから地域網管理サーバ25に送られる任意のパケットに、通信端末10A、10Bの位置情報を付加して送信することも可能である。地域網管理サーバ25は、通知された位置情報を基に、宅側エッジスイッチ40及び網側エッジスイッチ50に対して、該当する通信端末10A、10Bに関する経路情報の設定を要求する(ステップS402)。
【0058】
なお、その後のステップS403〜S407は、図3に示すステップS302〜S306と同一である。また、主信号通信が行われている際にも、地域網管理サーバ25が、通信端末10A、10Bの位置情報を基に、経路設定の要求を行うことも可能である(ステップS408)。また、地域網管理サーバ25から宅側エッジスイッチ40に対して、通信端末10A、10Bの経路設定が行われる場合には、SNMPなどのネットワークオペレーションプロトコルを用いることも可能である。
【0059】
<第2の実施の形態:移動認証>
次に、本発明の第2の実施の形態について説明する。なお、第2の実施の形態では、主に、移動認証時の動作について説明し、特に、通信端末が宅側エッジスイッチを切り替える場合の動作について説明する。図5は、本発明の第2の実施の形態における移動認証の概要を説明するための図である。なお、図5では、グループBに属する通信端末10Bが、宅側エッジスイッチ40の接続を切り替えた場合の通信の流れの変化を図示しており、移動前に接続していた宅側エッジスイッチ(移動前の宅側エッジスイッチ)40を宅側エッジスイッチ40X、新しく接続した宅側エッジスイッチ(移動後の宅側エッジスイッチ)を宅側エッジスイッチ40Yとしている。
【0060】
通信端末10Bが宅側エッジスイッチ40の接続を切り替えた場合、移動後の宅側エッジスイッチ40Yを通じて、通信端末10Bから地域網管理サーバ25にその移動が通知され(図5の▲1▼移動通知)、地域網管理サーバ25から移動後の宅側エッジスイッチ40Yに主信号鍵が配布され(図5の▲2▼主信号鍵配布)、移動前の宅側エッジスイッチ40Xの主信号鍵が削除される(図5の▲3▼主信号鍵削除)。
【0061】
図6は、本発明の第2の実施の形態における移動認証シーケンス図である。通信端末10Bは、移動前の宅側エッジスイッチ40Xに接続するアクセスポイント15を通じて、ホスト(通信相手)との間で主信号通信を行いながら移動し、別の宅側エッジスイッチ40に接続するアクセスポイント15に接続を切り替える。このとき、通信端末10Bは、無線リンク上で移動を検知し(ステップS601)、その後、新しいアクセスポイント15とのリンクを確立する(ステップS602)。
【0062】
そして、通信端末10Bは、移動後の宅側エッジスイッチ40Yとの間におけるセキュリティを確保するため、地域網管理サーバ25に対して、事前共有鍵により暗号化して、移動通知を行う(ステップS603)。ここでは、通信端末10Bは、例えば、イーサパケットのペイロード部分を事前共有鍵で暗号化して、移動通知に係る情報を地域網管理サーバ25に送信する。地域網管理サーバ25はこの情報を受信し、送信元の通信端末10Bの事前共有鍵を用いて復号する(ステップS604)。
【0063】
地域網管理サーバ25は、この移動通知を受けて、通信端末10BのMACアドレスからその通信端末10Bに対応して設定されている主信号鍵を読み出す(ステップS605)。そして、通信端末10BのMACアドレス及びそのMACアドレスに対応する主信号鍵を移動後の宅側エッジスイッチ40Yに送信して、移動後の宅側エッジスイッチ40Yに通信端末10Bの主信号鍵が設定されるようにする。また、移動前の宅側エッジスイッチ40Xに通信端末10Bの主信号鍵の削除要求を行い、移動前の宅側エッジスイッチ40Xに格納されている通信端末10Bの主信号鍵の削除を行う。
【0064】
また、移動後も通信端末10Bが通信を行えるように、宅側エッジスイッチ40Y及び網側エッジスイッチ50の経路情報の書き替えが行われる必要がある。移動後の宅側エッジスイッチ40Yは、通信端末10Bからの移動通知を契機に、通信端末10Bの位置情報を地域網管理サーバ25に対して通知する。地域網管理サーバ25は、通知された位置情報を基に、宅側エッジスイッチ40Y及び網側エッジスイッチ50に対して、該当する通信端末10A、10Bに関する経路情報の設定を開始し(ステップS606)、経路情報を要求する。
【0065】
これにより、通信端末が移動した場合でも、認証サーバによる認証を行わずに、通信端末の移動をサポートすることが可能となり、通信端末10Bと移動後の宅側エッジスイッチ40Yとの間の無線区間で、主信号鍵による暗号化通信が可能となる。また、移動前の宅側エッジスイッチ40X内に存在する通信端末10Bに係る情報を削除することで、不必要となった情報を削除し、通信システムのセキュリティを高めることが可能となり、さらに、宅側エッジスイッチ40は、常に、配下の通信端末10Bのみの主信号鍵を保持すればよく、スケーラビリティの点から、すべての端末のそれを保持する必要がなくなり効率的である。なお、地域網管理サーバ25から宅側エッジスイッチ40X、40Yに対して、通信端末10Bの経路設定が行われる場合には、SNMPなどのネットワークオペレーションプロトコルを用いることも可能である。
【0066】
また、通信端末10Bからの移動通知に関しては、IEEE802.1xに規定されているEAPOL(EAP over LAN)−Keyパケットを用いることが可能である。EAPOL−Keyパケットは、暗号用の鍵を交換するためのパケットフレームである。通信端末10Bから地域網管理サーバ25に対しては、実際に自分が管理している主信号鍵を送ることも可能であり、また、鍵の部分を空にして送ることも可能である。地域網管理サーバ25によるEAPOL−Keyパケットの受信は、地域網管理サーバ25が、移動後の宅側エッジスイッチ40Yに対して主信号鍵の設定を開始する契機となる。なお、地域網管理サーバ25から宅側エッジスイッチ40に対して、通信端末10Bの主信号鍵の設定が行われる場合には、SNMPなどのネットワークオペレーションプロトコルを用いることも可能である。
【0067】
<第3の実施の形態:定期認証>
次に、本発明の第3の実施の形態について説明する。なお、第3の実施の形態では、主に、地域網管理サーバが一定時間ごとに通信端末の認証を行う定期認証時の動作について説明する。図7は、本発明の第3の実施の形態における定期認証の概要を説明するための図である。なお、図7では、地域網管理サーバ25がグループBに属する通信端末10Bに対して定期認証を行う様子を図示している。また、図7では、グループBに属する通信端末10Bを1台のみ図示し、これに基づいて説明を行う。
【0068】
例えば、所定のユーザの初期認証時のパケットをそのまま盗んで、他のユーザが、不正にログインして通信を行うことを防止する必要がある。本発明によれば、事前共有鍵を手に入れない限りは、偽のユーザは、正規のユーザになりすまして通信を行うことはできない。しかしながら、多重ログインを防止する意味でも、1つのユーザIDに対しては1つの通信端末10Bでしか通信させないようにするのが普通であり、偽のユーザが先にログインをしてしまった場合には、その後で正規のユーザがログインすることは不可能である。
【0069】
そのため、地域網管理サーバ25は、通信端末10Bが事前共有鍵を保持しているかを確認するために、端末認証要求を定期的に送信する。正規の通信端末10Bであれば、事前共有鍵を保持しているはずなので、事前共有鍵を送信することが可能である。その際、暗号化により外部から事前共有鍵を見えないようにする。(この過程を定期認証と呼ぶ)。すなわち、一定時間ごとに、地域網管理サーバ25から通信端末10Bに対して認証要求を行い(図7の▲1▼認証要求)、通信端末10Bが地域網管理サーバ25に対してその応答を行うようにする(図7の▲2▼認証応答)。
【0070】
図8は、本発明の第3の実施の形態における定期認証シーケンス図である。地域管理網サーバ25は、事前共有鍵により暗号化して、端末認証要求(EAP−Request+)を通信端末10Bに送信する(ステップS801)。これは、通信端末10Bに対して、事前共有鍵を要求し、その通信端末10Bが事前共有鍵を有しているかを確認するためのステップである。通信端末10Bはこの情報を受信し、事前共有鍵を用いて復号する(ステップS802)。このとき、IEEE802.1xのEAP−Requestのフレームをそのまま用いることが可能であり、ここでは、パスワードではなく事前共有鍵を要求する。
【0071】
正規の通信端末10Bならば、通信端末10Bは、事前共有鍵により暗号化して、端末認証応答(EAP−Response+)を地域網管理サーバ25に送信する(ステップS803)。このとき、通信端末10Bは、EAP−Responseに事前共有鍵を乗せて、地域網管理サーバ25に送信することが可能である。地域網管理サーバ25は、この情報を受信し、事前共有鍵を用いて復号する(ステップS804)。そして、地域網管理サーバ25は、通信端末10Bから受信した事前共有鍵と自ら保持する事前共有鍵とを比べて、同一であることを確認し、正規の通信端末10Bであることを確認し、そのまま、通信端末10Bの主信号通信を継続させる。なお、地域網管理サーバ25は、MACアドレスを要求することによって正規の通信端末10Bか否かを判別することも可能であり、また、事前共有鍵とMACアドレスの両方を要求して、より確実に、通信端末10Bの正当性を判別することも可能である。
【0072】
一方、端末認証応答が返ってこない場合、又は、通信端末10Bから受信した事前共有鍵と自ら保持する事前共有鍵とが一致しない場合(端末認証応答が不正である場合)には(ステップS805)、偽の通信端末であると判断する。そして、地域網管理サーバ25は、認証サーバ70Bに対して通信端末10Bの切断要求を送信し、通信端末10Bとグループネットワーク30Bとの通信を切断する。また、地域網管理サーバ25は、宅側エッジスイッチ40及び網側エッジスイッチ50に対して、経路情報の削除要求を送信し、転送情報の削除を行う。これにより、偽と判断された通信端末は、グループネットワーク30Bとの通信及びパケット転送の経路が絶たれ、通信を行うことができなくなる。このように、定期認証を行うことによって、偽のユーザがログインをしていた場合でも、偽のユーザは、少なくとも一定時間(定期認証の時間間隔)以上はログインすることが不可能となる。
【0073】
<第4の実施の形態:プロトコル>
次に、本発明の第4の実施の形態について説明する。なお、第4の実施の形態では、主に、地域ネットワーク20内で用いられるプロトコルについて説明し、特に、地域ネットワーク20内に論理パスを張ることが可能なMPLSプロトコルやVLANプロトコルを用いた場合について説明する。
【0074】
図9は、本発明に係るネットワークシステムの構成の一例であり、地域網管理サーバが網側エッジスイッチに接続する構成を示す図である。上記までの説明では、地域網管理サーバ25が、宅側エッジスイッチ40に直接接続する構成としたが、図9に示すように、地域網管理サーバ25が、網側エッジスイッチ50に接続する構成とすることも可能である。この場合、通信端末10A、10Bと各通信端末10A、10Bの属するグループネットワーク30A、30Bとの通信に用いられるリンク、及び、通信端末10A、10Bと地域網管理サーバ25との間で用いられるリンクは、地域ネットワーク20の中では同一のリンクとなる。
【0075】
図10は、本発明に係るネットワークシステムにおける地域網管理サーバが網側エッジスイッチに接続する構成での論理パスの概要を示す図である。図9に示す構成では、地域ネットワーク20の中では物理的に同一なリンクとなるが、この場合には、図10に示すように、論理的には異なるパスで通信を行う。すなわち、宅側エッジスイッチ40と網側エッジスイッチ50との間で、メッシュ状のネットワークに、主信号用パス(通信端末10Aとグループネットワーク30A、30Bとの主信号通信のためのパス)と地域網管理用パス(通信端末10Aと地域網管理サーバ25との通信のためのパス)とをあらかじめ分けて設定する。
【0076】
宅側エッジスイッチ40は、地域網管理サーバ25へのパケットは地域網管理用パスに、グループネットワーク30A、30Bへのパケットは主信号用パスにそれぞれ振り分ける。このとき、地域網管理サーバ25へのパケットか否かは、イーサパケットのヘッダを参照して判別する。例えば、イーサタイプがIEEE802.1xを示す0x880eであるか、又は、宛先MACアドレスが地域網管理サーバ25である場合には、宅側エッジスイッチ40は、当該パケットを地域網管理用パスに振り分ける。地域管理サーバ25は、認証時に通信端末10A、10BのMACアドレスをキーにして主信号鍵の設定・登録を行うので、通信端末10A、10BのMACアドレスは、そのまま地域管理サーバ25まで届く必要があり、これを実現するためには、例えば、MPLSプロトコルやVLANプロトコルの適用が可能である。
【0077】
図11は、本発明の第4の実施の形態におけるMPLSプロトコルを用いた場合の主信号プロトコルスタック図であり、図12は、本発明の第4の実施の形態におけるMPLSプロトコルを用いた場合の認証及び経路設定プロトコルスタック図である。例えば、地域ネットワーク20内に論理パスを張るためのプロトコルとしては、ラベルスイッチングを行うMPLSが適用可能である。MPLSラベルは20bit(ビット)割り当てられているため、約100万のパスを割り当てることが可能である。
【0078】
宅側エッジスイッチ40及び網側エッジスイッチ50は、MPLSラベルの付加及び削除を行うことが可能なよう構成される。また、地域内ネットワーク20内に配置されているスイッチルータ(不図示)は、パケットに付加されているMPLSラベルを参照して、定められた経路にパケットを転送するよう構成される。なお、スイッチルータは、ラベルの付加・削除や交換を行うことも可能である。また、地域網管理サーバ25は、通信端末10A、10Bとの通信の際にイーサヘッダ(図中のEther)のやりとりが必要となるため、イーサパケットをカプセル化してラベルで運ぶことができるEoMPLS(Ethernet(R) over MPLS)にする必要がある。
【0079】
図13は、本発明の第4の実施の形態におけるVLANプロトコルを用いた場合の主信号プロトコルスタック図であり、図14は、本発明の第4の実施の形態におけるVLANプロトコルを用いた場合の認証及び経路設定プロトコルスタック図である。例えば、地域ネットワーク20内に論理パスを張るためのプロトコルとしては、MPLSのほかに、VLANプロトコルも適用可能である。
【0080】
VLANプロトコルは、イーサヘッダにVLANタグを付加して、VLANタグによって転送を行う。また、地域ネットワーク内のスイッチルータ(不図示)のポートにVLANタグを割り当てて、論理パスを構成する。これによって、MPLSプロトコルと同様に、VLANプロトコルにおいても、地域ネットワーク内ではパケットにVLANタグを付加して、転送を行えるようになる。なお、VLANタグは、1スタックで最大4000のタグを割り当てることが可能である。
【0081】
また、上記の各実施の形態で説明した各装置のうち、特に、通信端末10A、10Bや地域網管理サーバ25に関しては、本発明の動作を行う通信用プログラムを既存のコンピュータなどに実行させることにより実現可能である。
【0082】
【発明の効果】
以上、説明したように、本発明によれば、地域網管理サーバが複数の通信端末のそれぞれに固有の共有鍵を事前に保持し、初期認証時には、地域網管理サーバと通信端末との間の通信に、この共有鍵が用いられてセキュリティが確保され、一方、通信端末が所望のネットワークとの通信を行う際には、地域管理網サーバによって設定された主信号鍵が用いられて、地域網管理サーバと通信端末との間の通信のセキュリティが確保されるので、アクセスポイントに認証機能などの特別な機能を付加することなく、セキュリティの確保されたネットワークシステムを提供し、特に、通信端末とアクセスポイントとの間の無線区間におけるセキュリティを確保することが可能となる。
【図面の簡単な説明】
【図1】本発明に係るネットワークシステムの基本的な構成の一例を示す図
【図2】本発明の第1の実施の形態における初期認証の前半部を示す初期認証シーケンス図
【図3】本発明の第1の実施の形態における初期認証の後半部を示す初期認証シーケンス図
【図4】本発明の第1の実施の形態における初期認証及び経路設定シーケンス図
【図5】本発明の第2の実施の形態における移動認証の概要を説明するための図
【図6】本発明の第2の実施の形態における移動認証シーケンス図
【図7】本発明の第3の実施の形態における定期認証の概要を説明するための図
【図8】本発明の第3の実施の形態における定期認証シーケンス図
【図9】本発明に係るネットワークシステムの構成の一例であり、地域網管理サーバが網側エッジスイッチに接続する構成を示す図
【図10】本発明に係るネットワークシステムにおける地域網管理サーバが網側エッジスイッチに接続する構成での論理パスの概要を示す図
【図11】本発明の第4の実施の形態におけるMPLSプロトコルを用いた場合の主信号プロトコルスタック図
【図12】本発明の第4の実施の形態におけるMPLSプロトコルを用いた場合の認証及び経路設定プロトコルスタック図
【図13】本発明の第4の実施の形態におけるVLANプロトコルを用いた場合の主信号プロトコルスタック図
【図14】本発明の第4の実施の形態におけるVLANプロトコルを用いた場合の認証及び経路設定プロトコルスタック図
【図15】従来の技術に係るネットワークシステムの一構成例を示す図
【図16】従来の技術に係るネットワークシステムの一構成例におけるシーケンス図
【符号の説明】
10A、10B、110 通信端末
15、115 アクセスポイント
20 地域ネットワーク(地域網、網間ネットワーク)
25 地域網管理サーバ(ネットワーク管理サーバ)
30A、30B グループネットワーク
40、40X、40Y 宅側エッジスイッチ(宅側エッジスイッチ装置)
50 網側エッジスイッチ(網側エッジスイッチ装置)
60A、60B エッジルータ
70A、70B、170 認証サーバ[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a public network system that requires encryption in an access network and user authentication, and more particularly to a network management server, a communication terminal, an edge switch device, a communication program, and a network system in a mobile network system.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, as a method of authentication to a public Internet connection network or a corporate VPN (Virtual Private Network) connection, a method using a PPP (Point-to-Point Protocol) protocol is generally used. PPP has functions such as a user authentication function and a function of assigning a subscriber IP address by an ISP (Internet Service Provider). To realize these functions on Ethernet (R) (Ethernet (R)), the access network carries PPP packets by a protocol called PPP over Ethernet (R). The station terminates PPPoE.
[0003]
In addition, as another example of a mobile authentication system of a conventional wireless Internet service, there is a technology described in Non-Patent Document 1 below. FIG. 15 is a diagram showing an example of a configuration of a network system according to the related art, and FIG. 16 is a sequence diagram of an example of a configuration of a network system according to the related art. The sequence shown in FIG. 16 is basically the same as the content of Non-Patent Document 1.
[0004]
In the conventional network shown in FIG. 15, the access point (base router) has an authentication function, and the
[0005]
[Non-patent document 1]
"High-speed Authentication System Providing Security Required for Wireless Internet Services", IPSJ Research Report 2001-DPS-107, March 2002
[0006]
[Problems to be solved by the invention]
However, in access by PPPoE, a PPPoE session is established between a communication terminal and a network-side terminating device called a BAS (Broadband Access Server). Therefore, when the wireless link is broken when the communication terminal moves, it is necessary to reestablish the PPPoE session, and it is necessary to perform authentication by PPP again. Therefore, it is difficult to quickly perform wireless switching movement.
[0007]
The technique described in Non-Patent Document 1 has the following problems. First, because base stations and communication terminals are built with proprietary specifications, it is not possible to use general-purpose access points, which are currently very inexpensive, and the advantage of the Internet of using inexpensive networks is impaired. There is a problem that there is a possibility that it will be. In addition, since the authentication server and the communication terminal need to have their own specifications, there is a problem that the cost increases.
[0008]
In view of the above problems, the present invention provides a network system that ensures security without adding a special function such as an authentication function to an access point, and particularly provides a network system between a communication terminal and an access point. An object is to provide a network management server, a communication terminal, an edge switch device, a communication program, and a network system in a mobile network system capable of ensuring security in a wireless section.
[0009]
[Means for Solving the Problems]
In order to achieve the above object, the present invention is arranged in an inter-network that connects a plurality of communication terminals and a network to which each of the plurality of communication terminals belongs, and to which the plurality of communication terminals and each of the plurality of communication terminals belong. A network management server for managing a connection with a network, wherein a shared key unique to each of a plurality of communication terminals is held in advance, and encryption / decryption using a shared key is performed between each of the plurality of communication terminals. It is configured to perform communication.
With this configuration, it is possible to provide a secure network system without adding a special function such as an authentication function to the access point, and in particular, it is possible to provide security in a wireless section between the communication terminal and the access point. Can be secured.
[0010]
Further, the present invention is arranged in an inter-network connecting a plurality of communication terminals and a network to which each of the plurality of communication terminals belongs, and establishes a connection between the plurality of communication terminals and a network to which each of the plurality of communication terminals belongs. A network management server that manages, holds in advance a shared key unique to each of the plurality of communication terminals, receives information necessary for authentication in an encrypted network from each of the plurality of communication terminals, The received information is decrypted with the shared key, and information necessary for authentication in the network related to the communication terminal is transmitted to an authentication server in the network to which the communication terminal belongs.
With this configuration, it is possible to provide a secure network system without adding a special function such as an authentication function to the access point, and in particular, the communication terminal transmits when connecting to a desired network. With respect to information necessary for authentication to be performed, security in a wireless section between a desired communication terminal and an access point can be ensured.
[0011]
Further, in addition to the above configuration, the present invention is configured such that an authentication result in an authentication server in a network to which the communication terminal belongs is received from the authentication server, the authentication result is encrypted with a shared key, and transmitted to the communication terminal.
With this configuration, it is possible to provide a secure network system without adding a special function such as an authentication function to the access point. In particular, the authentication result relaying from the authentication server to the communication terminal With regard to the above, security in a wireless section between a desired communication terminal and an access point can be ensured.
[0012]
Furthermore, in addition to the above-described configuration, the present invention provides a method for communicating in an inter-network when receiving position information of a communication terminal from an edge switch device that forms an edge of the inter-network and connects to a plurality of communication terminals. An edge switch device that sets a path between a terminal and a network, forms an edge of an inter-network, and connects to a plurality of communication terminals, and an edge switch that forms an edge of an inter-network, and connects to the network side The apparatus is configured to transmit, to the apparatus, path information enabling communication by path.
With this configuration, it is possible to manage a route in the network between the home-side edge switch device and the network-side edge switch device, which are relay networks when the communication terminal connects to a desired network.
[0013]
Furthermore, the present invention, in addition to the above configuration, when the authentication result in the authentication server in the network to which the communication terminal belongs is successful, generates a main signal key for encryption corresponding to the identification information of the communication terminal, A main signal key is transmitted to a communication terminal and an edge switch device that forms an edge of an inter-network and connects to a plurality of communication terminals.
With this configuration, it is possible to newly set a common main signal key for main signal communication in the communication terminal and the home-side edge switch device.
[0014]
Further, in addition to the above configuration, the present invention is configured so that the main signal key is encrypted with the shared key and transmitted to the communication terminal.
With this configuration, it is possible to encrypt the main signal key sent to the communication terminal and prevent the main signal key from being stolen from outside.
[0015]
Further, in addition to the above configuration, the present invention is configured such that a MAC address unique to the communication terminal is used as identification information of the communication terminal.
With this configuration, the main signal key and the communication terminal can be related one-to-one.
[0016]
Furthermore, the present invention, in addition to the above configuration, when receiving, from each of the plurality of communication terminals, movement notification information that notifies that the connection of the edge switch device encrypted by the shared key has been switched, the received information Is decrypted with the shared key, and the communication terminal transmits the main signal key to the edge switch device connected after the movement, and the communication terminal transmits the main signal key to the edge switch device connected before the movement to the moved communication terminal. The main signal key is requested to be deleted.
With this configuration, when the communication terminal changes the connection of the home-side edge switch device, it becomes possible to move the main signal key of the edge switch device according to this connection change, and without performing authentication processing again, It is possible to support movement.
[0017]
Further, in addition to the above configuration, the present invention is configured to request the communication terminal to transmit a shared key at regular time intervals, and to confirm the legitimacy of the communication terminal.
With this configuration, it is possible to confirm the validity of the communication terminal at regular intervals.
[0018]
Further, in addition to the above-described configuration, the present invention provides an edge switch device that configures an edge of an inter-network and connects to a plurality of communication terminals when the validity of the communication terminal cannot be confirmed. An edge switch device that configures an edge of the inter-network and connects to the network side is configured to request deletion of path information related to the communication terminal.
With this configuration, it is possible to prevent communication with a fake user or communication terminal.
[0019]
According to the present invention, there is provided a communication program executable by the network management server in order to realize the above-described network management server.
This makes it possible to realize a network management server using a general computer.
[0020]
The present invention also provides a communication terminal for connecting to a network to which the terminal belongs via an inter-network, and a network management server in the inter-network that previously holds a shared key unique to the communication terminal. , Communication is performed by encryption / decryption using a shared key.
With this configuration, it is possible to provide a secure network system without adding a special function such as an authentication function to the access point, and in particular, it is possible to provide security in a wireless section between the communication terminal and the access point. Can be secured.
[0021]
The present invention also relates to a communication terminal for connecting to a network to which the terminal belongs via an inter-network, and a network management server in the inter-network that holds a shared key unique to the communication terminal in advance. On the other hand, information necessary for authentication on the network to which the terminal belongs is encrypted with a shared key and transmitted.
With this configuration, it is possible to provide a secure network system without adding a special function such as an authentication function to the access point, and in particular, the communication terminal transmits when connecting to a desired network. With respect to information necessary for authentication to be performed, security in a wireless section between a desired communication terminal and an access point can be ensured.
[0022]
Further, in addition to the above configuration, the present invention receives from the network management server information obtained by encrypting the authentication result in the authentication server in the network to which the communication terminal belongs with the shared key, and decrypts the received information with the shared key. It is configured to do.
With this configuration, it is possible to provide a secure network system without adding a special function such as an authentication function to the access point. In particular, it is possible to provide a communication terminal with a desired authentication result received from the authentication server. Security in a wireless section between the communication terminal and the access point.
[0023]
Further, in addition to the above configuration, the present invention is configured to receive, from the network management server, a main signal key for encryption corresponding to the identification information of the communication terminal.
With this configuration, it is possible to newly obtain a main signal key for main signal communication.
[0024]
Further, in addition to the above configuration, the present invention configures an edge of an inter-network and performs communication by encryption / decryption using a main signal key with an edge switch device that connects to a communication terminal. Constitute.
With this configuration, communication with the home edge switch device can be encrypted with the main signal key.
[0025]
Further, the present invention provides a communication terminal for connecting to a network to which the terminal belongs via an inter-network, the edge switch device forming an edge of the inter-network and connecting to the communication terminal side. When the connection is switched, the movement notification information for notifying that the connection of the edge switch device has been switched is encrypted with the shared key to the network management server in the inter-network that holds the shared key unique to the communication terminal in advance. And send it.
With this configuration, when the communication terminal moves and switches the connection of the home-side edge switch device, the movement can be notified to the network management server.
[0026]
Further, in addition to the above configuration, the present invention is configured to transmit the shared key to the network management server when transmission of the shared key is requested from the network management server.
With this configuration, it is possible to notify the network management server of the validity of the terminal at regular intervals.
[0027]
According to the present invention, there is provided a communication program executable by the communication terminal to realize the above communication terminal.
This makes it possible to realize a network management server using a general computer.
[0028]
Further, the present invention is an edge switch device that configures an edge of an inter-network connecting a plurality of communication terminals and a network to which each of the plurality of communication terminals belongs, and performs connection with a plurality of communication terminals. When relaying a request for authentication in a network from each of the plurality of communication terminals to a network management server that manages a connection between the plurality of communication terminals and a network to which each of the plurality of communication terminals belongs, the network management server It is configured to notify the location information of the communication terminal.
With this configuration, it is possible to allow the network management server to set the route at the same time as the authentication of the communication terminal.
[0029]
Further, in addition to the above configuration, the present invention is configured to receive, from the network management server, route information enabling communication via a route set between the communication terminal and the network in the inter-network.
According to this configuration, information from the communication terminal or information to the communication terminal can be relayed according to the route set by the network management server.
[0030]
Further, in addition to the above configuration, the present invention is configured to receive, from the network management server, a main signal key for encryption corresponding to the identification information of the communication terminal.
With this configuration, it is possible to newly obtain a main signal key for main signal communication.
[0031]
Further, in addition to the above configuration, the present invention is configured to perform communication with a communication terminal by encryption / decryption using a main signal key.
With this configuration, communication with the communication terminal can be encrypted with the main signal key.
[0032]
Further, in addition to the above-described configuration, the present invention is configured to delete the main signal key when requested to delete the main signal key related to the communication terminal from the network management server.
According to this configuration, when the communication terminal moves, the connection with the edge switch device is cut off, and communication with the edge switch device with the communication terminal is stopped, the main signal is sent according to a request from the network management server. The key can be deleted.
[0033]
Further, the present invention provides a communication terminal for connecting to a network to which the terminal belongs via a network between homes, and a home edge switch device which forms an edge of the network between networks and connects to a plurality of communication terminals. And a network-side edge switch device that configures an edge of the inter-network and connects to the network side, and a network management server that is arranged in the network-side network and manages the connection between the communication terminal and the network. In a network system, a network management server is connected to a network-side edge switch device, and a first connection between a communication terminal and a network management server is provided between a home-side edge switch device and a network-side edge switch device. The communication tunnel and the second communication tunnel between the communication terminal and the network are set separately. It is formed.
With this configuration, different logical paths can be set between the home-side edge switch device and the network-side edge switch device, so that desired communication devices can reliably communicate with each other.
[0034]
Further, in addition to the above configuration, the present invention is configured to apply IEEE 802.1x to communication between the communication terminal and the network management server.
With this configuration, the existing IEEE 802.1x and its extension can be used for communication between the communication terminal and the network management server.
[0035]
Further, in addition to the above-described configuration, the present invention is configured to apply an existing Simple Network Management Protocol (SNMP) to communication between the network management server and the home-side edge switch device or the network-side edge switch device. With this configuration, SNMP or its extension can be used for communication between the network management server and the home-side edge switch device or the network-side edge switch device.
[0036]
Further, in addition to the above configuration, the present invention is configured to apply label switching to communication between the network side edge switch device and the home side edge switch device.
With this configuration, it is possible to use an existing MPLS (Multi Protocol Label Switching) protocol or the like for communication between networks between the network side edge switch device and the home side edge switch device.
[0037]
Further, in addition to the above configuration, the present invention is configured to apply VLAN switching to communication between the network side edge switch device and the home side edge switch device.
With this configuration, it is possible to use an existing VLAN (Virtual Local Area Network) protocol or the like for communication between networks between the network-side edge switch device and the home-side edge switch device.
[0038]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of a network management server, a communication terminal, an edge switch device, a communication program, and a network system of the present invention will be described with reference to the drawings.
[0039]
<First Embodiment: Initial Authentication>
First, a first embodiment of the present invention will be described with reference to FIG. In the first embodiment, an operation at the time of initial authentication will be mainly described. FIG. 1 is a diagram showing an example of a basic configuration of a network system according to the present invention.
[0040]
The
[0041]
The local network 20 includes a home edge switch (home edge switch device, sometimes simply referred to as an edge switch device) 40 on the home edge side, and a network edge switch (network edge switch device) on the network edge side. 50 are arranged. In the regional network 20, a regional network management server (network management server) 25 that manages communication between the
[0042]
The home side port of the local network 20 and the
[0043]
In addition,
[0044]
Each of the above components needs to hold the following information in advance. The
[0045]
The user ID and the password are managed in the group networks 30A and 30B, and using this user information, it is authenticated that each of the
[0046]
Next, an initial authentication sequence in the network system shown in FIG. 1 will be described. FIG. 2 is an initial authentication sequence diagram showing the first half of the initial authentication according to the first embodiment of the present invention. When performing the initial authentication sequence, encrypted communication using a pre-shared key is performed for all information between the
[0047]
First, the
[0048]
The regional
[0049]
The
[0050]
The
[0051]
FIG. 3 is an initial authentication sequence diagram showing the latter half of the initial authentication according to the first embodiment of the present invention. When the regional
[0052]
The home
[0053]
Specifically, for example, when the
[0054]
When the main signal keys of the
[0055]
Further, the regional
[0056]
When the
[0057]
FIG. 4 is an initial authentication and route setting sequence diagram in the first embodiment of the present invention. Note that the sequence of FIG. 4 is also a sequence following FIG. 1, similarly to the sequence of FIG. 2. The home-
[0058]
The subsequent steps S403 to S407 are the same as steps S302 to S306 shown in FIG. Also, even when the main signal communication is being performed, the regional
[0059]
<Second Embodiment: Mobile Authentication>
Next, a second embodiment of the present invention will be described. In the second embodiment, mainly the operation at the time of mobile authentication will be described, and in particular, the operation when the communication terminal switches the home edge switch will be described. FIG. 5 is a diagram for explaining an outline of the mobile authentication according to the second embodiment of the present invention. Note that FIG. 5 illustrates a change in the communication flow when the communication terminal 10B belonging to the group B switches the connection of the home-
[0060]
When the communication terminal 10B switches the connection of the home-
[0061]
FIG. 6 is a mobile authentication sequence diagram according to the second embodiment of the present invention. The communication terminal 10B moves while performing main signal communication with the host (communication partner) through the
[0062]
Then, the communication terminal 10B encrypts the area
[0063]
In response to the movement notification, the regional
[0064]
In addition, it is necessary to rewrite the route information of the home-side edge switch 40Y and the network-
[0065]
As a result, even if the communication terminal moves, it is possible to support the movement of the communication terminal without performing authentication by the authentication server, and the wireless section between the communication terminal 10B and the moved home-side edge switch 40Y is moved. Thus, encrypted communication using the main signal key can be performed. In addition, by deleting information related to the communication terminal 10B existing in the home-side edge switch 40X before moving, unnecessary information can be deleted and security of the communication system can be increased. The
[0066]
In addition, for the movement notification from the communication terminal 10B, it is possible to use an EAPOL (EAP over LAN) -Key packet defined in IEEE 802.1x. The EAPOL-Key packet is a packet frame for exchanging an encryption key. The communication terminal 10B can send the main signal key actually managed by the communication terminal 10B to the regional
[0067]
<Third Embodiment: Periodic Authentication>
Next, a third embodiment of the present invention will be described. In the third embodiment, an operation at the time of periodic authentication in which the regional network management server authenticates a communication terminal at regular intervals will be mainly described. FIG. 7 is a diagram for explaining an outline of the periodic authentication according to the third embodiment of the present invention. FIG. 7 illustrates a state in which the regional
[0068]
For example, it is necessary to prevent a user from illegally logging in and performing communication by stealing a packet at the time of initial authentication of a predetermined user as it is. According to the present invention, unless a pre-shared key is obtained, a fake user cannot communicate by impersonating a legitimate user. However, in order to prevent multiple logins, it is usual that only one communication terminal 10B communicates with one user ID, and when a fake user logs in first. It is not possible for a legitimate user to log in after that.
[0069]
Therefore, the regional
[0070]
FIG. 8 is a periodic authentication sequence diagram according to the third embodiment of the present invention. The regional
[0071]
If the communication terminal 10B is a legitimate communication terminal, the communication terminal 10B encrypts it with the pre-shared key and transmits a terminal authentication response (EAP-Response +) to the regional network management server 25 (step S803). At this time, the communication terminal 10B can put the pre-shared key on the EAP-Response and transmit the EAP-Response to the regional
[0072]
On the other hand, when the terminal authentication response is not returned, or when the pre-shared key received from the communication terminal 10B does not match the pre-shared key held by the terminal itself (when the terminal authentication response is invalid) (step S805). Is determined to be a fake communication terminal. Then, the regional
[0073]
<Fourth Embodiment: Protocol>
Next, a fourth embodiment of the present invention will be described. In the fourth embodiment, a protocol mainly used in the local network 20 will be described. In particular, a case where an MPLS protocol or a VLAN protocol that can establish a logical path in the local network 20 is used. explain.
[0074]
FIG. 9 is an example of a configuration of a network system according to the present invention, and is a diagram illustrating a configuration in which a regional network management server is connected to a network side edge switch. In the above description, the local
[0075]
FIG. 10 is a diagram showing an outline of a logical path in a configuration in which the regional network management server in the network system according to the present invention connects to the network side edge switch. In the configuration shown in FIG. 9, the links are physically the same in the regional network 20, but in this case, communication is performed through logically different paths as shown in FIG. That is, a main signal path (a path for main signal communication between the
[0076]
The residential
[0077]
FIG. 11 is a main signal protocol stack diagram when the MPLS protocol according to the fourth embodiment of the present invention is used, and FIG. 12 is a diagram when the MPLS protocol according to the fourth embodiment of the present invention is used. FIG. 4 is an authentication and route setting protocol stack diagram. For example, as a protocol for establishing a logical path in the regional network 20, MPLS for performing label switching is applicable. Since the MPLS label is assigned 20 bits (bits), about 1 million paths can be assigned.
[0078]
The home-
[0079]
FIG. 13 is a main signal protocol stack diagram when the VLAN protocol according to the fourth embodiment of the present invention is used, and FIG. 14 is a diagram when the VLAN protocol according to the fourth embodiment of the present invention is used. FIG. 4 is an authentication and route setting protocol stack diagram. For example, as a protocol for establishing a logical path in the regional network 20, besides MPLS, a VLAN protocol is also applicable.
[0080]
In the VLAN protocol, a VLAN tag is added to an Ethernet header, and transfer is performed using the VLAN tag. In addition, a VLAN tag is assigned to a port of a switch router (not shown) in the regional network to configure a logical path. As a result, similarly to the MPLS protocol, in the VLAN protocol, a VLAN tag can be added to a packet in a regional network to transfer the packet. Note that a maximum of 4000 tags can be assigned to one VLAN in one stack.
[0081]
In addition, among the devices described in each of the above-described embodiments, particularly, regarding the
[0082]
【The invention's effect】
As described above, according to the present invention, according to the present invention, the regional network management server previously holds a shared key unique to each of the plurality of communication terminals, and performs an initial authentication between the regional network management server and the communication terminal. The shared key is used for communication to ensure security. On the other hand, when the communication terminal performs communication with a desired network, the main signal key set by the regional management network server is used to communicate with the local network. Since the security of communication between the management server and the communication terminal is ensured, a network system with security is provided without adding a special function such as an authentication function to the access point. It is possible to secure security in a wireless section between the access point and the access point.
[Brief description of the drawings]
FIG. 1 is a diagram showing an example of a basic configuration of a network system according to the present invention.
FIG. 2 is an initial authentication sequence diagram showing a first half of the initial authentication according to the first embodiment of the present invention;
FIG. 3 is an initial authentication sequence diagram showing the latter half of the initial authentication according to the first embodiment of the present invention.
FIG. 4 is an initial authentication and route setting sequence diagram according to the first embodiment of the present invention.
FIG. 5 is a diagram for explaining an outline of mobile authentication according to the second embodiment of the present invention;
FIG. 6 is a mobile authentication sequence diagram according to the second embodiment of the present invention.
FIG. 7 is a diagram for explaining an outline of periodic authentication according to the third embodiment of the present invention;
FIG. 8 is a diagram illustrating a periodic authentication sequence according to the third embodiment of the present invention.
FIG. 9 is an example of a configuration of a network system according to the present invention, showing a configuration in which a regional network management server is connected to a network side edge switch.
FIG. 10 is a diagram showing an outline of a logical path in a configuration in which a regional network management server is connected to a network side edge switch in the network system according to the present invention;
FIG. 11 is a main signal protocol stack diagram when the MPLS protocol is used according to the fourth embodiment of the present invention.
FIG. 12 is an authentication and route setting protocol stack diagram when the MPLS protocol is used according to the fourth embodiment of the present invention.
FIG. 13 is a main signal protocol stack diagram when the VLAN protocol is used according to the fourth embodiment of the present invention.
FIG. 14 is an authentication and route setting protocol stack diagram when a VLAN protocol is used according to the fourth embodiment of the present invention.
FIG. 15 is a diagram showing a configuration example of a network system according to a conventional technique.
FIG. 16 is a sequence diagram in a configuration example of a network system according to a conventional technique.
[Explanation of symbols]
10A, 10B, 110 Communication terminal
15, 115 access point
20 Regional networks (regional networks, networks between networks)
25 Regional Network Management Server (Network Management Server)
30A, 30B Group network
40, 40X, 40Y Home side edge switch (Home side edge switch device)
50 Network-side edge switch (network-side edge switch device)
60A, 60B edge router
70A, 70B, 170 authentication server
Claims (29)
前記複数の通信端末のそれぞれに固有の共有鍵を事前に保持し、前記複数の通信端末のそれぞれとの間で、前記共有鍵による暗号/復号化による通信を行うネットワーク管理サーバ。Network management arranged in an inter-network connecting a plurality of communication terminals and a network to which each of the plurality of communication terminals belongs, and managing connection between the plurality of communication terminals and a network to which each of the plurality of communication terminals belongs A server,
A network management server that holds a shared key unique to each of the plurality of communication terminals in advance and performs communication by encryption / decryption with the shared key with each of the plurality of communication terminals.
前記複数の通信端末のそれぞれに固有の共有鍵を事前に保持し、前記複数の通信端末のそれぞれから、暗号化された前記ネットワークでの認証に必要な情報を受信し、受信した情報を前記共有鍵によって復号し、前記通信端末の属するネットワーク内の認証サーバに対して、前記通信端末に係る前記ネットワークでの認証に必要な情報を送信するネットワーク管理サーバ。Network management arranged in an inter-network connecting a plurality of communication terminals and a network to which each of the plurality of communication terminals belongs, and managing connection between the plurality of communication terminals and a network to which each of the plurality of communication terminals belongs A server,
Holding a shared key unique to each of the plurality of communication terminals in advance, receiving encrypted information required for authentication in the network from each of the plurality of communication terminals, and sharing the received information with the shared terminal. A network management server that decrypts with a key and transmits information required for authentication of the communication terminal in the network to an authentication server in the network to which the communication terminal belongs.
前記通信端末に固有の共有鍵を事前に保持する前記網間ネットワーク内のネットワーク管理サーバとの間で、前記共有鍵による暗号/復号化による通信を行う通信端末。A communication terminal for connecting to a network to which the terminal belongs via an inter-network,
A communication terminal that performs communication by encryption / decryption using the shared key with a network management server in the inter-network that previously holds a shared key unique to the communication terminal.
前記通信端末に固有の共有鍵を事前に保持する前記網間ネットワーク内のネットワーク管理サーバに対して、前記自端末が属するネットワークでの認証に必要な情報を前記共有鍵によって暗号化して送信する通信端末。A communication terminal for connecting to a network to which the terminal belongs via an inter-network,
Communication in which information necessary for authentication in the network to which the terminal belongs is encrypted with the shared key and transmitted to a network management server in the inter-network that holds a shared key unique to the communication terminal in advance. Terminal.
前記網間ネットワークのエッジを構成し、前記通信端末側との接続を行うエッジスイッチ装置の接続を切り替えた場合、前記通信端末に固有の共有鍵を事前に保持する前記網間ネットワーク内のネットワーク管理サーバに対して、前記エッジスイッチ装置の接続を切り替えたことを通知する移動通知情報を前記共有鍵によって暗号化して送信する通信端末。A communication terminal for connecting to a network to which the terminal belongs via an inter-network,
The network management in the inter-network, which constitutes an edge of the inter-network and switches a connection of an edge switch device for connection with the communication terminal side in advance and holds a shared key unique to the communication terminal. A communication terminal that encrypts, using the shared key, movement notification information that notifies a server that the connection of the edge switch device has been switched, and transmits the information.
前記複数の通信端末のそれぞれからの前記ネットワークでの認証の要求を、前記複数の通信端末と前記複数の通信端末のそれぞれが属するネットワークとの接続を管理するネットワーク管理サーバに対して中継する場合、前記ネットワーク管理サーバに対して前記通信端末の位置情報を通知するエッジスイッチ装置。An edge switch device that configures an edge of an inter-network connecting a plurality of communication terminals and a network to which each of the plurality of communication terminals belongs, and performs connection with the plurality of communication terminals.
When relaying a request for authentication in the network from each of the plurality of communication terminals to a network management server that manages a connection between the plurality of communication terminals and a network to which each of the plurality of communication terminals belongs, An edge switch device for notifying the network management server of position information of the communication terminal.
前記ネットワーク管理サーバが前記網側エッジスイッチ装置に接続されており、
前記宅側エッジスイッチ装置と前記網側エッジスイッチ装置との間が、前記通信端末と前記ネットワーク管理サーバとの間の第1の通信用トンネルと、前記通信端末と前記ネットワークとの間の第2の通信用トンネルとに分けて設定されるネットワークシステム。A communication terminal that connects to a network to which the terminal belongs via an inter-network, a home-side edge switch device that forms an edge of the inter-network, and that connects to the plurality of communication terminals; A network-side edge switch device that forms an edge of the inter-network and connects to the network side, and a network management server that is arranged in the network-side network and manages a connection between the communication terminal and the network. A network system,
The network management server is connected to the network-side edge switch device,
A first communication tunnel between the communication terminal and the network management server, and a second communication tunnel between the communication terminal and the network, between the home-side edge switch device and the network-side edge switch device. A network system that is set up separately for communication tunnels.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003053902A JP2004266516A (en) | 2003-02-28 | 2003-02-28 | Network management server, communication terminal, edge switch device, program for communication, and network system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003053902A JP2004266516A (en) | 2003-02-28 | 2003-02-28 | Network management server, communication terminal, edge switch device, program for communication, and network system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004266516A true JP2004266516A (en) | 2004-09-24 |
Family
ID=33118384
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003053902A Withdrawn JP2004266516A (en) | 2003-02-28 | 2003-02-28 | Network management server, communication terminal, edge switch device, program for communication, and network system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004266516A (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006115344A (en) * | 2004-10-15 | 2006-04-27 | Matsushita Electric Ind Co Ltd | Radio network system, radio terminal housing device and communication equipment |
| EP1924025A1 (en) * | 2006-01-19 | 2008-05-21 | Huawei Technologies Co., Ltd. | Connection establishment method for multi part communication service |
| JP2009505569A (en) * | 2005-08-19 | 2009-02-05 | インテル・コーポレーション | Wireless communication apparatus and method for protecting administrative control messages broadcast within a wireless network |
| JP2009517781A (en) * | 2005-12-01 | 2009-04-30 | アドバンスト・マイクロ・ディバイシズ・インコーポレイテッド | Simple multipurpose communication device and information client |
| JP2010524356A (en) * | 2007-04-04 | 2010-07-15 | クゥアルコム・インコーポレイテッド | Signaling in the cluster |
| US8638668B2 (en) | 2007-04-03 | 2014-01-28 | Qualcomm Incorporated | Signaling in a cluster |
-
2003
- 2003-02-28 JP JP2003053902A patent/JP2004266516A/en not_active Withdrawn
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006115344A (en) * | 2004-10-15 | 2006-04-27 | Matsushita Electric Ind Co Ltd | Radio network system, radio terminal housing device and communication equipment |
| JP4689225B2 (en) * | 2004-10-15 | 2011-05-25 | パナソニック株式会社 | Wireless network system, wireless terminal accommodating device, and communication device |
| JP2009505569A (en) * | 2005-08-19 | 2009-02-05 | インテル・コーポレーション | Wireless communication apparatus and method for protecting administrative control messages broadcast within a wireless network |
| JP4724751B2 (en) * | 2005-08-19 | 2011-07-13 | インテル・コーポレーション | Wireless communication apparatus and method for protecting administrative control messages broadcast within a wireless network |
| JP2009517781A (en) * | 2005-12-01 | 2009-04-30 | アドバンスト・マイクロ・ディバイシズ・インコーポレイテッド | Simple multipurpose communication device and information client |
| EP1924025A1 (en) * | 2006-01-19 | 2008-05-21 | Huawei Technologies Co., Ltd. | Connection establishment method for multi part communication service |
| EP1924025A4 (en) * | 2006-01-19 | 2010-04-07 | Huawei Tech Co Ltd | Connection establishment method for multi part communication service |
| US8638668B2 (en) | 2007-04-03 | 2014-01-28 | Qualcomm Incorporated | Signaling in a cluster |
| JP2010524356A (en) * | 2007-04-04 | 2010-07-15 | クゥアルコム・インコーポレイテッド | Signaling in the cluster |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7509491B1 (en) | System and method for dynamic secured group communication | |
| US9544282B2 (en) | Changing group member reachability information | |
| CA2413944C (en) | A zero-configuration secure mobility networking technique with web-base authentication method for large wlan networks | |
| JP3951757B2 (en) | Method of communication via untrusted access station | |
| CN101416176B (en) | DynamicHost configuration and network access authentication | |
| US7373508B1 (en) | Wireless security system and method | |
| US7561549B2 (en) | Wireless local area network context control protocol | |
| RU2407181C1 (en) | Authentication of safety and control of keys in infrastructural wireless multilink network | |
| EP1422875B1 (en) | Wireless network handoff key | |
| US7286671B2 (en) | Secure network access method | |
| US7634230B2 (en) | Methods and apparatus for secure, portable, wireless and multi-hop data networking | |
| JP3955025B2 (en) | Mobile radio terminal device, virtual private network relay device, and connection authentication server | |
| US20050152305A1 (en) | Apparatus, method, and medium for self-organizing multi-hop wireless access networks | |
| US20030031151A1 (en) | System and method for secure roaming in wireless local area networks | |
| KR101253352B1 (en) | Authentication method for wireless distributed system | |
| US20090019539A1 (en) | Method and system for wireless communications characterized by ieee 802.11w and related protocols | |
| IL154719A (en) | Providing secure network access for short range wireless computing devices | |
| JP2007532043A (en) | Secure standard-based communication across wide area networks | |
| JP3822555B2 (en) | Secure network access method | |
| EP1914960B1 (en) | Method for transmission of DHCP messages | |
| CN100415034C (en) | Method for realizing self surrogate function for mobile node | |
| JP4305087B2 (en) | Communication network system and security automatic setting method thereof | |
| JP2004266516A (en) | Network management server, communication terminal, edge switch device, program for communication, and network system | |
| JP2004312257A (en) | Base station, repeating device and communication system | |
| WO2003003664A1 (en) | System and method for address and key distribution in virtual networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20060509 |