JP4375287B2 - 無線通信認証システム - Google Patents

無線通信認証システム Download PDF

Info

Publication number
JP4375287B2
JP4375287B2 JP2005182029A JP2005182029A JP4375287B2 JP 4375287 B2 JP4375287 B2 JP 4375287B2 JP 2005182029 A JP2005182029 A JP 2005182029A JP 2005182029 A JP2005182029 A JP 2005182029A JP 4375287 B2 JP4375287 B2 JP 4375287B2
Authority
JP
Japan
Prior art keywords
authentication
base station
router
mobile node
wireless communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005182029A
Other languages
English (en)
Other versions
JP2007006003A (ja
Inventor
義和 渡邊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005182029A priority Critical patent/JP4375287B2/ja
Priority to US11/454,886 priority patent/US9270652B2/en
Priority to EP20060012533 priority patent/EP1737183A1/en
Publication of JP2007006003A publication Critical patent/JP2007006003A/ja
Application granted granted Critical
Publication of JP4375287B2 publication Critical patent/JP4375287B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、無線エリアに接続されるネットワークおける不正なユーザを排除するための無線通信認証システムに関する。
一般的に無線を用いた通信システムにおいては、無線上に送受信される正当なユーザが有する移動ノードから送信されるデータを傍受して、傍受したデータを用いてネットワークを悪用する不正なユーザを排除するために、ネットワークを使用しようとするユーザの認証を行わなければならない。
図9は、移動ノードが接続される従来のホストルーティングを用いた階層型ネットワークを示す図である。
図9に示すように従来のホストルーティングを用いた階層型ネットワークは、外部ネットワーク100に接続されるルータ101と、ルータ101の配下に接続されるルータ102−1,102−2と、ルータ102−1の配下に接続されるエッジルータであるルータ103−1,103−2と、ルータ102−2の配下に接続されるエッジルータであるルータ103−3,103−4と、ルータ103−1の配下に接続される基地局104−1,104−2と、ルータ103−2の配下に接続される基地局104−3,104−4と、ルータ103−3の配下に接続される基地局104−5,104−6と、ルータ103−4の配下に接続される基地局104−7,104−8と、本ネットワークを使用する移動ノード105と、ルータ103−1〜103−4におけるデータについての認証を行う認証サーバ106とから構成されている。
以下に、図9に示した従来のホストルーティングを用いた階層型ネットワークにおける無線通信認証方法について説明する。
図10は、図9に示した従来のホストルーティングを用いた階層型ネットワークにおける無線通信認証方法を説明するためのシーケンス図である。
現在、移動ノード105は基地局104−2がカバーするエリアに存在し、基地局104−2と無線上で接続されているとする。そのため、移動ノード105から送信されるデータの通信経路は、移動ノード105→基地局104−2→ルータ103−1→ルータ102−1→ルータ101となっており、各ルータ101,102−1,103−1が所有する経路表にはその経路がそれぞれ保持されている。
次に、移動ノード105が、基地局104−2がカバーするエリアから基地局104−3がカバーするエリアへ移動したとする。
移動したときに移動ノード105によって、基地局104−3へ経路更新通知データが送信される(ステップS101)。送信される経路更新通知データには、送信先ルータの識別子や移動ノード105の識別子、タイムスタンプあるいはシーケンス番号等が含まれている。
送信された経路更新通知データが基地局104−3にて受信されると(ステップS102)、受信された経路更新通知データはルータ103−2へ送信される(ステップS103)。
基地局104−3から送信された経路更新通知データがルータ103−2にて受信されると(ステップS104)、受信された経路更新通知データは認証サーバ106へ送信される(ステップS105)。
ルータ103−2から送信された経路更新通知データが認証サーバ106にて受信されると(ステップS106)、受信された経路更新通知データについて認証が行われる(ステップS107)。
この経路更新通知データには上述したデータのほかに認証コードが含まれている。この認証コードは、認証サーバ106と移動ノード105とだけが認識している秘密鍵と、経路更新通知データのうち認証コード以外のデータとからハッシュ関数を用いて生成されるものである。ステップS107にて行われる認証は、認証コードについての再計算が行われ、受信された認証コードが正しいかどうかが判断されることにより行われる。
ここで、移動ノード105と基地局104−1〜104−8との間の無線区間において、不正ユーザによって経路更新通知データが傍受されて使用されたとしても、経路更新通知データにタイムスタンプあるいはシーケンス番号が含まれることにより、認証サーバ106によってタイムスタンプあるいはシーケンス番号の重複が検出され、その重複した経路更新通知データは不正ユーザが使用している経路更新通知データであると判断され、当該経路更新通知データは不正データとして排除される。
認証サーバ106にてデータ認証が行われると、その結果がルータ103−2へ送信される(ステップS108)。
認証サーバ106から送信された認証結果がルータ103−2にて受信されると(ステップS109)、認証結果がGOODである場合、その認証を行った対象である経路更新通知データ及び当該経路更新通知データが送信された基地局が基地局104−3であるという情報に基づいて、ルータ103−2内の経路表が更新される(ステップS110)。この場合、移動ノード105へのデータは基地局104−3を経路とするようにルータ103−2内の経路表が更新される。一方、認証結果がNGの場合は、経路表の更新は行われずに処理が終了する。
ルータ103−2内の経路表が更新された後、経路更新通知データがルータ103−2からルータ102−1へ送信される(ステップS111)。
ルータ103−2から送信された経路更新通知データがルータ102−1にて受信されると(ステップS112)、受信された経路更新通知データ及び当該経路更新通知データが送信されたルータがルータ103−2であるという情報に基づいて、ルータ102−1内の経路表が更新される(ステップS113)。この場合、移動ノード105へのデータはルータ103−2を経路とするようにルータ102−1内の経路表が更新される。
ここで、ルータ102−1よりも上位ルータであるルータ101については、移動ノード105への経路情報がすでに存在しており、かつその経路情報を変更する必要が無いため、ルータ102−1からルータ101へ経路更新通知データは送信されない。
しかしながら、上述したように各ルータ103−1〜103−4における経路更新通知データについての認証を行う認証サーバを共通な1つのものにすると、以下のような問題点がある。
無線通信システムの技術の1つであるハンドオーバーによって移動ノードが接続している基地局の切り替えが発生すると、その際に新しく接続される基地局において接続されるユーザの認証が行われる。ここで、認証が行われる認証サーバと当該基地局との距離が離れていると、認証サーバと基地局との間で送受信される認証用パケットに生じる伝送遅延の影響によって、ハンドオーバー時に通信が不可能となる時間が生じる虞がある。
そこで、認証サーバを複数設けて各基地局と近い位置にそれぞれ設置するか、あるいは各基地局が認証サーバの役割も担うかすることにより、その伝送遅延時間を軽減する方法が考えられている。
しかしながら、上述した方法では、不正侵入の手段の一つで、パスワードや暗号鍵などを盗聴し、そのまま再利用することでそのユーザになりすます方法であるリプレイアタックによって不正ユーザがネットワークを利用することが可能となってしまう。
図11は、認証サーバの役割も担うルータを使用した無線通信認証システムの一例を示す図である。
図11に示すように認証サーバの役割も担う基地局を使用した無線通信認証システムは、外部ネットワーク200に接続されるルータ201と、ルータ201の配下に接続されるルータ202−1,202−2と、ルータ202−1の配下に接続される認証機能付きのエッジルータである認証付きルータ203−1,203−2と、ルータ202−2の配下に接続される認証機能付きのエッジルータである認証付きルータ203−3,203−4と、認証付きルータ203−1の配下に接続される基地局204−1,204−2と、認証付きルータ203−2の配下に接続される基地局204−3,204−4と、認証付きルータ203−3の配下に接続される基地局204−5,204−6と、認証付きルータ203−4の配下に接続される基地局204−7,204−8と、本ネットワークを使用する移動ノード205,207とから構成されている。なお、移動ノード207は移動ノード205と基地局204−2との無線区間における経路更新通知データを傍受して、移動ノード205になりすまして本ネットワークを使用する不正ユーザの移動ノードである。
以下に、図11に示した無線通信認証システムにおける無線通信認証方法について説明する。
図12は、図11に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。
現在、移動ノード205が基地局204−2がカバーするエリアに存在し、基地局204−2と無線上で接続しようとしているとする。まずは、移動ノード205によって、基地局204−2へ経路更新通知データが送信される(ステップS201)。送信される経路更新通知データには、送信先ルータの識別子や移動ノード205の識別子、タイムスタンプあるいはシーケンス番号等が含まれている。
送信された経路更新通知データが基地局204−2にて受信されると(ステップS202)、受信された経路更新通知データは認証付きルータ203−1へ送信される(ステップS203)。
基地局204−2から送信された経路更新通知データが認証付きルータ203−1にて受信されると(ステップS204)、受信された経路更新通知データについて認証が行われる(ステップS205)。
この経路更新通知データには上述したデータのほかに認証コードが含まれている。この認証コードは、認証つきルータ203−1〜203−4と移動ノード205とだけが認識している秘密鍵と、経路更新通知データのうち認証コード以外のデータとからハッシュ関数を用いて生成されるものである。ステップS205にて行われる認証は、認証コードについての再計算が行われ、受信された認証コードが正しいかどうかが判断されることにより行われる。
認証付きルータ203−1にてデータ認証が行われると、認証結果がGOODである場合、その認証を行った対象である経路更新通知データ及び当該経路更新通知データが送信された基地局が基地局204−2であるという情報に基づいて、認証付きルータ203−1内の経路表が更新される(ステップS206)。この場合、移動ノード205へのデータは基地局204−2を経路とするように認証付きルータ203−1内の経路表が更新される。一方、認証結果がNGの場合は、経路表の更新は行われずに処理が終了する。
認証付きルータ203−1内の経路表が更新された後、経路更新通知データが認証付きルータ203−1からルータ202−1へ送信される(ステップS207)。
認証付きルータ203−1から送信された経路更新通知データがルータ202−1にて受信されると(ステップS208)、受信された経路更新通知データ及び当該経路更新通知データが送信された認証付きルータが認証付きルータ203−1であるという情報に基づいて、ルータ202−1内の経路表が更新される(ステップS209)。この場合、移動ノード205へのデータは認証付きルータ203−1を経路とするようにルータ202−1内の経路表が更新される。その後、経路更新通知データがルータ202−1からルータ201へ送信される(ステップS210)。
一方、ステップS201において移動ノード205から基地局204−2へ送信された経路更新通知データが、基地局204−3がカバーするエリアに存在する不正ユーザが有する移動ノード207によって傍受され(ステップS211)、移動ノード207が移動ノード205になりすまして、傍受された経路更新通知データが移動ノード207によって基地局204−3へ送信されると(ステップS212)、 送信された経路更新通知データが基地局204−3にて受信され(ステップS213)、受信された経路更新通知データは認証付きルータ203−2へ送信される(ステップS214)。
基地局204−3から送信された経路更新通知データが認証付きルータ203−2にて受信されると(ステップS215)、受信された経路更新通知データについて認証が行われる(ステップS216)。
ここで、本例においては、図9に示した認証サーバ106のように各ルータ共通の認証サーバを設けた場合と異なり、各ルータに独立した認証機能を設けているため、経路更新通知データ内にシーケンス番号やタイムスタンプが含まれていても、異なる認証付きルータにて同じシーケンス番号やタイムスタンプが含まれた経路更新通知データが受信されることとなり、経路更新通知データの前後のつながりによって当該経路更新通知データが不正なデータであるかどうかを判断することができず、認証に成功した経路更新通知データ全てを正当な経路更新通知データと認識してしまう。そのため、不正ユーザが使用したデータが排除されずに正常に処理されてしまう。
認証付きルータ203−2にてデータ認証が行われ、認証結果がGOODである場合、その認証を行った対象である経路更新通知データ及び当該経路更新通知データが送信された基地局が基地局204−3であるという情報に基づいて、認証付きルータ203−2内の経路表が更新される(ステップS217)。この場合、移動ノード205へのデータは基地局204−3を経路とするように認証付きルータ203−2内の経路表が更新される。一方、認証結果がNGの場合は、経路表の更新は行われずに処理が終了する。
認証付きルータ203−2内の経路表が更新された後、経路更新通知データが認証付きルータ203−2からルータ202−1へ送信される(ステップS218)。
認証付きルータ203−2から送信された経路更新通知データがルータ202−1にて受信されると(ステップS219)、受信された経路更新通知データ及び当該経路更新通知データが送信された認証付きルータが認証付きルータ203−2であるという情報に基づいて、ルータ202−1内の経路表が更新される(ステップS220)。この場合、移動ノード205へのデータは認証付きルータ203−2を経路とするようにルータ202−1内の経路表が更新される。
上述したように、ステップS209にて更新された真の移動ノード205への通信経路が、移動ノード205になりすました移動ノード207によって変更されてしまい、正当なユーザである移動ノード205が本無線通信認証システムを使用することができなくなってしまう。
そこで、各無線基地局に認証機能を設け、無線基地局は、無線基地局のネットワークID(第3の識別番号)を保持する手段と、無線基地局ID(第1の識別番号)を保持する手段と、ネットワークIDと無線基地局IDとから暗号化ID(第2の識別番号)を作成して保持する手段とを有しており、この暗号化IDと無線移動局から送信される信号に付加されている無線移動局で計算された暗号化IDとを比較し、不一致の場合はその信号を受け付けないようすることで不正ユーザを排除する方法が考えられている(特許文献1参照。)。
しかしながら、特許文献1に記載された方法においては、無線エリアに数多く設置される各基地局にそれぞれ認証機能を設ける必要があり、また、1つのエッジルータ配下に接続される全ての基地局が認証機能を有しているかどうかをエッジルータにおいて管理する必要が生じてしまうという問題点がある。さらに、認証機能を有さない基地局が存在してしまった場合、エッジルータ内にて何らかの処理を行わなければならないという問題点がある。
本発明は、上述したような従来の技術が有する問題点に鑑みてなされたものであって、各基地局に認証機能を追加することなく不正ユーザによるリプレイアタックを拒絶する認証を高速に行うことができる無線通信認証システムを提供することを目的とする。
上記目的を達成するために本発明は、
基地局に接続された移動ノード送信する認証パケットデータを、下層ルータに接続される認証装置、又は、下層ルータ内に設置される認証装置が認証する無線通信認証システムであって、
前記認証パケットデータは認証対象データと、前記認証対象データに基づき計算される認証コードにより構成され、
前記移動ノードは、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号を前記認証対象データに含めて前記認証パケットデータを作成し、前記認証パケットデータを前記基地局を介して認証装置に送信し、
前記認証装置は、該認証装置が管理対象とする基地局が有する固有の識別番号を保持し、前記認証パケットデータに含まれる認証対象データの認証コードを計算し、前記認証パケットデータに含まれる認証コードと計算により得られた認証コードが一致し、かつ前記認証対象データに含まれた前記移動ノードと接続されている基地局が有する固有の識別番号と前記保持された識別番号とが一致した場合に認証成功と判定することを特徴とする
上記のように構成された本発明においては、移動ノードによって移動ノードが接続されている基地局が有する固有の識別番号が取得され、取得された識別番号と転送経路情報を構成する情報とを含む認証パケットデータが移動ノードから基地局を介してルータへ送信され、ルータにて受信された認証パケットデータに含まれる基地局の識別番号と、ルータが保持しているルータに接続された基地局が有する固有の識別番号とが一致した場合、当該認証パケットデータに基づいて転送経路情報がルータ内の経路表に登録される。
このように、移動ノードから送信された認証パケットデータに含まれる基地局の識別番号と、ルータが保持する基地局の識別番号とが一致した場合のみ、当該認証パケットデータに基づいた転送経路情報がルータ内の経路表に登録されるため、無線上にて認証パケットデータを傍受した不正ユーザによって異なるルータに対して認証パケットデータが送信されても、認証パケットデータに含まれる基地局の識別番号と、ルータが保持する基地局の識別番号とが一致せず、転送経路情報が登録されない。それにより、不正ユーザが送信したデータによる転送経路が確立されずに、不正ユーザが排除される。また、本機能がルータに具備されることから、無線領域に多数設置されている基地局それぞれに当該機能を盛り込むという手間を省くことができる。さらに、各ルータが独立して上述した処理を行うため、高速の認証処理が可能となる。
以上説明したように本発明においては、移動ノードが接続されている基地局が有する固有の識別番号を取得し、取得された識別番号と転送経路情報を構成する情報とを含む認証パケットデータを移動ノードから基地局を介してルータへ送信し、ルータにて受信された認証パケットデータに含まれる基地局の識別番号と、ルータが保持しているルータに接続された基地局が有する固有の識別番号とが一致した場合、当該認証パケットデータに基づいて転送経路情報をルータ内の経路表に登録する構成としたため、各基地局に認証機能を追加することなく不正ユーザによるリプレイアタックを拒絶する認証を高速に行うことができる。
以下に、本発明の実施の形態について図面を参照して説明する。
(第1の実施の形態)
図1は、本発明の無線通信認証システムの第1の実施の形態を示す図である。
本形態は図1に示すように、外部ネットワーク10に接続されるルータ1と、ルータ1の配下に接続されるルータ2−1,2−2と、ルータ2−1の配下に接続される認証機能付きのエッジルータである認証付きルータ3−1,3−2と、ルータ2−2の配下に接続される認証機能付きのエッジルータである認証付きルータ3−3,3−4と、認証付きルータ3−1の配下に接続される基地局4−1,4−2と、認証付きルータ3−2の配下に接続される基地局4−3,4−4と、認証付きルータ3−3の配下に接続される基地局4−5,4−6と、認証付きルータ3−4の配下に接続される基地局4−7,4−8と、本システムを使用して外部ネットワーク10との間にてパケットデータの送受信を行う移動ノード5とから構成されている。
図2は、図1に示した無線通信認証システムにおける認証付きルータ3−2の構成を示す図である。
図1に示した認証付きルータ3−2は図2に示すように、図1に示した基地局4−3,4−4と通信を行う基地局通信部11と、パケットデータの転送経路情報を登録して格納している経路表格納部17と、経路表格納部17に格納されている転送経路情報に基づいてパケットデータを基地局4−3,4−4またはルータ2−1へ転送するパケット転送部12と、図1に示した上位ルータであるルータ2−1と通信を行う上位ルータ通信部13と、基地局4−3,4−4から送信されてきた経路更新通知データを処理する経路更新通知データ処理部14と、認証付きルータ3−2配下に接続される基地局の情報を保持するために予め格納している基地局情報格納部19と、基地局情報格納部19に格納されている基地局の情報を管理する基地局管理部16と、本システムの使用が許可されているユーザの情報(移動体識別子、秘密鍵等)が予め格納されているユーザ情報格納部18と、ユーザ情報格納部18に格納されているユーザ情報を管理し、ユーザの認証を行うユーザ認証部15とから構成されている。なお、認証付きルータ3−1,3−3,3−4についても、接続されるルータ及び基地局については異なるが、構成及び内部で行われる処理については認証付きルータ3−2と同様である。
図3は、図1に示した無線通信システムにおける移動ノード5の構成を示す図である。
図1に示した移動ノード5は図3に示すように、図1に示した基地局4−1〜4−8との間において無線を用いて通信を行う無線通信部22と、基地局4−1〜4−8に接続するための情報を格納する基地局接続情報格納部25と、基地局接続情報格納部25に格納されている基地局4−1〜4−8への接続情報を管理し、無線通信部22を制御する無線制御部23と、移動体識別子や秘密鍵等のユーザ情報を予め格納するユーザ情報格納部24と、ユーザ情報格納部24に格納されているユーザ情報を管理し、パケットデータの通信経路を登録あるいは変更するための経路変更通知データを作成する経路更新通知データ作成部21とから構成されている。
以下に、図1〜3に示した無線通信認証システムにおける無線通信認証方法について説明する。
図4は、図1〜3に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。
現在移動ノード5は基地局4−2と接続されており、移動ノード5が移動することにより、移動ノード5が接続される基地局が基地局4−2から基地局4−3に移った際の処理について説明する。
移動ノード5が、基地局4−2がカバーするエリアから基地局4−3がカバーするエリアに移動すると、移動ノード5によって、基地局4−3との接続が確立され、基地局4−3が有する固有の識別番号である基地局IDを要求する信号が送信される(ステップS1)。
基地局IDを要求する信号が移動ノード5から送信されると、送信された信号が基地局4−3にて受信される(ステップS2)。
基地局4−3にて基地局IDを要求する信号が受信されると、固有の識別番号である基地局IDが移動ノード5へ送信され(ステップS3)、送信された基地局IDが移動ノード5にて受信される(ステップS4)。ここで、基地局IDとは、基地局を識別できる固有の番号であれば良く、IPアドレスであっても良いし、基地局4−3が設置された場所の緯度及び経度であっても良い。
移動ノード5の無線通信部22にて基地局4−3の基地局IDが受信されると、受信された基地局IDが無線制御部23によって基地局接続情報格納部25に格納され、格納された基地局ID、転送経路情報を構成するパケットデータの送信先最上位ルータ番号及びユーザ情報格納部24に格納されている移動体識別子と、それらの情報と秘密鍵とから生成される第1の認証コードとから、経路更新通知データ作成部21によって認証パケットデータである経路更新通知データが作成される(ステップS5)。ここで、送信先最上位ルータ番号とは、ルータ1が保持する固有の識別番号であり、ルータ1のIPアドレス等である。
経路更新通知データが作成されると、作成された経路更新通知データが無線通信部22によって基地局4−3へ送信される(ステップS6)。そして、送信された経路更新通知データが基地局4−3にて受信されると(ステップS7)、受信された経路更新通知データが認証付きルータ3−2へ送信される(ステップS8)。
送信された経路更新通知データが認証付きルータ3−2の基地局通信部11にて受信されると(ステップS9)、受信された経路更新通知データは基地局通信部11からパケット転送部12へ出力され、パケット転送部12に入力された経路更新通知データは、経路更新通知データ処理部14へ転送される。
経路更新通知データ処理部14に経路更新通知データが入力されると、まず当該経路更新通知データについての認証がユーザ認証部15によって行われる。
ユーザ認証部15によって、経路更新通知データに含まれる移動体識別子を検索キーとして、ユーザ情報格納部18に予め格納されているユーザ情報が検索され、検索されたユーザ情報に含まれる秘密鍵を用いて第2の認証コードの計算が行われ、計算された第2の認証コードと経路更新通知データに含まれる第1の認証コードとが比較される(ステップS10)。
ユーザ情報の検索が失敗した場合や、計算された第2の認証コードと経路更新通知データに含まれる第1の認証コードとが一致しない場合、当該経路更新通知データは不正なデータと認識され、処理は終了する。
一方、計算された第2の認証コードと経路更新通知データに含まれる第1の認証コードとが一致した場合は、次に当該経路更新通知データに含まれる基地局IDが自ルータである認証付きルータ3−2の配下に接続されている基地局のIDであるかどうかが基地局管理部16によって判断される(ステップS11)。
基地局管理部16によって、経路更新通知データに含まれる基地局IDと、基地局情報格納部19に予め格納されている自ルータの配下に接続されている基地局の基地局IDとが一致するかどうかが判断され、一致すると判断された場合、その旨が経路更新通知データ処理部14に通知され、経路更新通知データ処理部14によってパケット転送部12に対して当該経路更新通知データに基づいて経路を作成するように指示される。
そして、パケット転送部12にて、上位ルータであるルータ2−1から送信されてきた移動ノード5宛てのパケットデータの経路が生成あるいは更新される(ステップS12)。この場合、移動ノード5の経路更新通知データが基地局4−3経由で受信されているため、ルータ2−1から送信されてきた移動ノード5宛てのパケットデータの経路として基地局4−3へ送信する経路が経路表格納部17に格納される。
一方、経路更新通知データに含まれる基地局IDと、基地局情報格納部に予め格納されている自ルータの配下に接続されている基地局IDとが一致しないと判断された場合、当該経路更新通知データは不正なデータと認識され、処理は終了する。
その後、上位ルータ通信部13によって、上位ルータであるルータ2−1へ経路更新通知データが送信される(ステップS13)。
ルータ2−1にて経路更新通知データが受信されると(ステップS14)、ルータ2−1内の経路表が経路更新通知データに基づいて更新される(ステップS15)。
(第2の実施の形態)
以下に、無線通信認証システムの実施の他の形態として、IEEE802.1xのプロトコルを用いた無線LAN基地局への接続認証を行う場合を例に挙げて説明する。
図5は、本発明の無線通信認証システムの第2の実施の形態を示す図である。
本形態は図5に示すように、外部ネットワーク40に接続されるルータ31−1,31−2と、ルータ31−1の配下に接続される基地局32−1〜32−4と、ルータ31−2の配下に接続される基地局32−5〜32−8と、本システムを使用して外部ネットワーク40との間にてパケットデータの送受信を行う移動ノード33と、ルータ31−1,31−2にそれぞれ接続される認証サーバであるRADIUS(Remote Authentication Dial-In User Service)サーバ34−1,34−2とから構成されている。なお、RADIUSサーバ34−1,34−2は、ネットワーク資源の利用の可否の判断(認証)と、利用の事実の記録(アカウンティング)とを実現するプロトコルを有するサーバであり、また、ルータ31−1,31−2を介さずに基地局32−1〜32−8に接続されるものであっても良い。
図6は、図5に示した無線通信システムにおけるRADIUSサーバ34−1の構成を示す図である。
図5に示したRADIUSサーバ34−1は図6に示すように、図1に示したルータ31−1と通信を行う通信制御部41と、RADIUSプロトコルに基づき基地局32−1〜32−4との間において認証処理を行うRADIUS処理部42と、RADIUSプロトコルでカプセル化されたEAP(PPP Extensible Authentication Protocol:PPPを拡張し、認証方式を備えたプロトコル)データを解析するEAP処理部43と、RADIUSサーバ34−1に接続されるルータ31−1の配下に接続される基地局の情報を予め格納している基地局情報格納部47と、基地局情報格納部47に格納されている基地局の情報を管理する基地局管理部45と、本システムの使用が許可されているユーザの情報(ユーザ名、秘密鍵等)が予め格納されているユーザ情報格納部46と、ユーザ情報格納部46に格納されているユーザ情報を管理し、ユーザの認証を行うユーザ認証部44とから構成されている。なお、RADIUSサーバ34−2についても、接続されるルータについては異なるが、構成及び内部で行われる処理についてはRADIUSサーバ34−1と同様である。
図7は、図5に示した無線通信システムにおける移動ノード33の構成を示す図である。
図5に示した移動ノード33は図7に示すように、図5に示した基地局32−1〜32−8との間において無線を用いて通信を行う無線通信部51と、基地局32−1〜32−8に接続するための情報を格納する基地局接続情報格納部55と、基地局接続情報格納部55に格納されている基地局32−1〜32−8への接続情報を管理し、無線通信部51を制御する無線制御部53と、ユーザ名や秘密鍵等のユーザ情報を予め格納するユーザ情報格納部54と、ユーザ情報格納部54に格納されているユーザ情報を管理し、その情報を用いてEAPの認証用パケットを作成するEAP処理部52とから構成されている。
以下に、図5〜7に示した無線通信認証システムにおける無線通信認証方法について説明する。
図8は、図5〜7に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。ここで、ルータ31−1については、以下に記述するパケットデータが通るルートとなっているが、ルータ31−1内部にて特に処理が行われないため、図8には記述しない。
現在移動ノード33は基地局32−2がカバーするエリアに存在する。移動ノード33によって、基地局32−2との接続が確立され、基地局32−2が有する固有の識別番号である基地局IDを要求する信号が送信される(ステップS31)。
基地局IDを要求する信号が移動ノード33から送信されると、送信された信号が基地局32−2にて受信される(ステップS32)。
基地局32−2にて基地局IDを要求する信号が受信されると、固有の識別番号である基地局IDが移動ノード33へ送信され(ステップS33)、送信された基地局IDが移動ノード33にて受信される(ステップS34)。ここで、基地局IDとは、基地局を識別できる固有の番号であれば良く、IPアドレス等が用いられる。
移動ノード33の無線通信部51にて基地局32−2の基地局IDが受信されると、
受信された基地局IDが無線制御部53によって基地局接続情報格納部55に格納され、格納された基地局IDがEAP処理部52に通知される。
その後、EAP処理部52によってIEEE802.1xに基づく認証処理を開始するためにEAPOL(EAP over LAN)開始パケットが作成され(ステップS35)、作成されたEAPOL開始パケットが無線通信部51から基地局32−2へ送信される(ステップS36)。送信されたEAPOL開始パケットが基地局32−2にて受信されると(ステップS37)、受信されたEAPOL開始パケットに応じた認証要求タイプのEAP要求パケットが基地局32−2から移動ノード33へ送信され(ステップS38)、送信されたEAP要求パケットが移動ノード33にて受信される(ステップS39)。なお、上述したEAPOL開始パケット及びEAP要求パケットについては、既存のパケットが使用されるため、それらの内容についてはここでは記述しない。
EAP要求パケットが移動ノード33の無線通信部51にて受信されると、基地局接続情報格納部55に格納された基地局ID、ルータ31−1に登録される転送経路情報を構成するパケットデータの送信先情報及びユーザ情報格納部54に格納されているユーザ名、シーケンス番号、及びそれらの情報と秘密鍵とから生成される第1の認証コードとから、EAP処理部52によって経路更新通知データである認証パケットデータであるEAP応答パケットが作成される(ステップS40)。ここで、パケットデータの送信先情報とは、移動ノード33から送信されるパケットデータの宛先が有する固有の識別番号であり、宛先のIPアドレス等である。
EAP応答パケットが作成されると、作成されたEAP応答パケットが無線通信部51によって基地局32−2へ送信される(ステップS41)。そして、送信されたEAP応答パケットが基地局32−2にて受信されると(ステップS42)、受信されたEAP応答パケットがRADIUSアクセス要求パケットにカプセル化され(ステップS43)、基地局32−2からRADIUSサーバ34−1へ送信される(ステップS44)。
RADIUSアクセス要求パケットがRADIUSサーバ34−1の通信制御部41にて受信されると(ステップS45)、受信されたRADIUSアクセス要求パケットがRADIUS処理部42に渡され、RADIUS処理部42にてRADIUS要求パケットからEAP応答パケットが取り出される(ステップS46)。
取り出されたEAP応答パケットは、RADIUS処理部42からEAP処理部43へ出力され、EAP処理部43に入力されたEAP応答パケットが正当のユーザから送信されたものかどうかが判断される。
まず、ユーザ認証部44によって、EAP応答パケットに含まれるユーザ名を検索キーとして、ユーザ情報格納部46に予め格納されているユーザ情報が検索され、検索されたユーザ情報に含まれる秘密鍵を用いて第2の認証コードの計算が行われ、計算された第2の認証コードとEAP応答パケットに含まれる第1の認証コードとが比較される(ステップS47)。
ユーザ情報の検索が失敗した場合や、計算された第2の認証コードとEAP応答パケットに含まれる第1の認証コードとが一致しない場合、当該EAP応答パケットは不正なデータと認識され、処理は終了する。
一方、計算された第2の認証コードとEAP応答パケットに含まれる第1の認証コードとが一致した場合は、次に当該EAP応答パケットに含まれる基地局IDが自ルータであるルータ31−1の配下に接続されている基地局のIDであるかどうかが基地局管理部45によって判断される(ステップS48)。
基地局管理部45によって、EAP応答パケットに含まれる基地局IDと、基地局情報格納部47に予め格納されているRADIUSサーバ34−1に接続されているルータ31−1の配下に接続されている基地局の基地局IDとが一致するかどうかが判断され、一致すると判断された場合、その旨がEAP処理部43に通知され、EAP処理部43によってRADIUS処理部42に対して認証成功が通知され、通信制御部41を介して基地局32−2へRADIUSアクセス許可パケットが送信される(ステップS49)。なお、このときにRADIUSサーバ34−1から基地局32−2へ送信されたRADIUSアクセス許可パケットが通るルートであるルータ31−1において、移動ノード33による本システムへの接続が許可されたことが認識され、外部ネットワーク40から送信された移動ノード33宛てのパケットデータについては基地局32−2へ転送されるように経路表が更新される。
RADIUSアクセス許可パケットが基地局32−2にて受信されると(ステップS50)、基地局32−2によってEAP認証成功パケットが移動ノード33へ送信され(ステップS51)、移動ノード33にてEAP認証成功パケットが受信され(ステップS52)、移動ノード33と外部ネットワーク40との間におけるパケット通信が開始される。
このように、認証機能がルータ31−1,31−2内に存在しない場合であっても、ルータ31−1,31−2それぞれの近隣に認証サーバをそれぞれ設けることにより、高速の認証処理が可能となる。
なお、認証実行時に認証サーバであるRADIUSサーバ34−1,34−2から基地局32−1〜32−8及び移動ノード33へ暗号化鍵を送信するものであっても良い。
また、図11に示したRADIUSサーバ34−1,34−2については、他の認証プロトコルを使用したサーバであっても良い。
さらに、図5及び図11に示したルータ1,2−1,2−2,31−1,31−2、認証付きルータ3−1〜3−4、RADIUSサーバ34−1,34−2及び基地局4−1〜4−8,32−1〜32−8の数及び階層数のついては、上述した数及び階層数に限らない。
本発明の無線通信認証システムの第1の実施の形態を示す図である。 図1に示した無線通信認証システムにおける認証付きルータの構成を示す図である。 図1に示した無線通信システムにおける移動ノードの構成を示す図である。 図1〜3に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。 本発明の無線通信認証システムの第2の実施の形態を示す図である。 図5に示した無線通信システムにおけるRADIUSサーバの構成を示す図である。 図5に示した無線通信システムにおける移動ノードの構成を示す図である。 図5〜7に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。 移動ノードが接続される従来のホストルーティングを用いた階層型ネットワークを示す図である。 図9に示した従来のホストルーティングを用いた階層型ネットワークにおける無線通信認証方法を説明するためのシーケンス図である。 認証サーバの役割も担うルータを使用した無線通信認証システムの一例を示す図である。 図11に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。
符号の説明
1,2−1,2−2,31−1,31−2 ルータ
3−1〜3−4 認証付きルータ
4−1〜4−8,32−1〜32−8 基地局
5,33 移動ノード
10,40 外部ネットワーク
11 基地局通信部
12 パケット転送部
13 上位ルータ通信部
14 経路更新通知データ処理部
15,44 ユーザ認証部
16,45 基地局管理部
17 経路表格納部
18,24,46,54 ユーザ情報格納部
19,47 基地局情報格納部
21 経路更新通知データ作成部
22,51 無線通信部
23,53 無線制御部
25,55 基地局接続情報格納部
34−1,34−2 RADIUSサーバ
41 通信制御部
42 RADIUS処理部
43,52 EAP処理部

Claims (7)

  1. 基地局に接続された移動ノードが送信する認証パケットデータを、下層ルータに接続される認証装置、又は、下層ルータ内に設置される認証装置が認証する無線通信認証システムであって、
    前記認証パケットデータは移動体識別子を含む認証対象データと、前記認証対象データに基づき計算される認証コードにより構成され、
    前記移動ノードは、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号を前記認証対象データに含めて前記認証パケットデータを作成し、前記認証パケットデータを前記基地局を介して認証装置に送信し、
    前記認証装置は、該認証装置が管理対象とする基地局が有する固有の識別番号を保持し、前記認証パケットデータに含まれる認証対象データの認証コードを計算し、前記認証パケットデータに含まれる認証コードと計算により得られた認証コードが一致し、かつ前記認証対象データに含まれた前記移動ノードと接続されている基地局が有する固有の識別番号と前記保持された識別番号とが一致した場合に認証成功と判定することを特徴とする無線通信認証システム。
  2. 請求項1に記載の無線通信認証システムにおいて、前記認証装置が前記下層ルータ内に設置される場合であって、前記認証パケットデータは、前記外部ネットワークと前記基地局の間の通信経路上に設けられたルータが有する経路表に、前記移動ノードへ送信されるパケットデータの転送経路情報を登録するための経路更新通知データであることを特徴とする無線通信認証システム。
  3. 請求項1に記載の無線通信認証システムにおいて、前記認証パケットデータは、前記移動ノードへ送信されるパケットデータの前記基地局による転送を有効化するためのデータであることを特徴とする無線通信認証システム。
  4. 請求項1に記載の無線通信認証システムにおいて、前記認証装置が前記ルータに接続される場合、前記認証パケットデータは、IEEE802.1Xで用いられるEAP応答パケットであることを特徴とする無線通信認証システム。
  5. 請求項1乃至4のいずれか1項に記載の無線通信認証システムにおいて、前記認証コードの計算を、前記認証装置と前記移動ノードが共有する情報と前記認証対象データに基づき行うことを特徴とする無線通信認証システム。
  6. 請求項1、3乃至5のいずれか1項に記載の無線通信認証システムにおいて、前記認証装置は、RADIUSサーバであることを特徴とする無線通信認証システム。
  7. 請求項1乃至6のいずれか1項に記載の無線通信認証システムにおいて、前記基地局が有する固有の識別番号は、前記基地局が設置された場所の緯度及び経度であることを特徴とする無線通信認証システム。
JP2005182029A 2005-06-22 2005-06-22 無線通信認証システム Active JP4375287B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2005182029A JP4375287B2 (ja) 2005-06-22 2005-06-22 無線通信認証システム
US11/454,886 US9270652B2 (en) 2005-06-22 2006-06-19 Wireless communication authentication
EP20060012533 EP1737183A1 (en) 2005-06-22 2006-06-19 Wireless communication authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005182029A JP4375287B2 (ja) 2005-06-22 2005-06-22 無線通信認証システム

Publications (2)

Publication Number Publication Date
JP2007006003A JP2007006003A (ja) 2007-01-11
JP4375287B2 true JP4375287B2 (ja) 2009-12-02

Family

ID=36827800

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005182029A Active JP4375287B2 (ja) 2005-06-22 2005-06-22 無線通信認証システム

Country Status (3)

Country Link
US (1) US9270652B2 (ja)
EP (1) EP1737183A1 (ja)
JP (1) JP4375287B2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4831628B2 (ja) * 2005-12-07 2011-12-07 学校法人東京電機大学 交換ノード、通信システム及び交換ノード制御方法
KR20080033763A (ko) * 2006-10-13 2008-04-17 삼성전자주식회사 와이브로 네트워크에서의 상호인증을 통한 핸드오버 방법및 그 시스템
JP2008211583A (ja) * 2007-02-27 2008-09-11 Nippon Telegr & Teleph Corp <Ntt> 統合型無線通信システム、情報管理装置、及び、基地局装置
JP4677463B2 (ja) 2007-07-26 2011-04-27 成均館大学校産学協力団 移動通信端末機での再同期化方法
US8428003B1 (en) * 2008-06-27 2013-04-23 Apple Inc. Method and system for WiMAX R4 auto-discovery and configuration
US10356609B2 (en) 2009-03-02 2019-07-16 Sun Patent Trust Base station apparatus and method of setting cell ID
US20100250747A1 (en) * 2009-03-31 2010-09-30 Jeyhan Karaoguz ADAPTIVE MULTIPLE PATHWAY SESSION SETUP TO SUPPORT QoS SERVICES
JP4763819B2 (ja) * 2009-05-22 2011-08-31 株式会社バッファロー 無線lanアクセスポイント装置、不正マネジメントフレーム検出方法
JP5202684B2 (ja) * 2011-05-12 2013-06-05 株式会社バッファロー 無線lanアクセスポイント装置、不正マネジメントフレーム検出方法
US9893940B1 (en) * 2015-05-26 2018-02-13 Amazon Technologies, Inc. Topologically aware network device configuration

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3136879B2 (ja) 1993-12-28 2001-02-19 株式会社エヌ・ティ・ティ・ドコモ 無線通信システム
DE19703999A1 (de) * 1997-02-04 1998-08-06 Bosch Gmbh Robert Verfahren und Vorrichtung zum Zuordnen einer Berechtigungseinrichtung zu einer Basisstation
JPH11161618A (ja) 1997-09-05 1999-06-18 Toshiba Corp 移動計算機管理装置、移動計算機装置及び移動計算機登録方法
US6891819B1 (en) 1997-09-05 2005-05-10 Kabushiki Kaisha Toshiba Mobile IP communications scheme incorporating individual user authentication
CA2255285C (en) * 1998-12-04 2009-10-13 Certicom Corp. Enhanced subscriber authentication protocol
JP3332221B2 (ja) 1999-05-28 2002-10-07 株式会社エヌ・ティ・ティ・データ モバイル端末の接続管理方法及び方式
US6668166B1 (en) * 1999-06-23 2003-12-23 Lucent Technologies Inc. Apparatus and method for mobile authentication employing international mobile subscriber identity
JP2001266277A (ja) 2000-03-17 2001-09-28 Matsushita Electric Ind Co Ltd 遠隔検針方法およびそのシステム
US7177848B2 (en) * 2000-04-11 2007-02-13 Mastercard International Incorporated Method and system for conducting secure payments over a computer network without a pseudo or proxy account number
JP2002281010A (ja) 2001-03-19 2002-09-27 Nec Corp マイクロモビリティ網における経路更新通知保護用鍵配布システム
JP3920583B2 (ja) 2001-03-29 2007-05-30 株式会社日立製作所 通信セキュリティ保持方法及びその実施装置並びにその処理プログラム
US8817757B2 (en) 2001-12-12 2014-08-26 At&T Intellectual Property Ii, L.P. Zero-configuration secure mobility networking technique with web-based authentication interface for large WLAN networks
JP4000933B2 (ja) 2002-07-19 2007-10-31 ソニー株式会社 無線情報伝送システム及び無線通信方法、無線端末装置
ES2268064T5 (es) * 2002-08-16 2014-01-09 Togewa Holding Ag Procedimiento y sistema para la autenticación de GSM durante una itinerancia WLAN
WO2004034645A1 (ja) * 2002-10-11 2004-04-22 Matsushita Electric Industrial Co., Ltd. Wlan相互接続における識別情報の保護方法
US7246231B2 (en) * 2002-10-31 2007-07-17 Ntt Docomo, Inc. Location privacy through IP address space scrambling
JP4118714B2 (ja) 2003-03-11 2008-07-16 株式会社日立製作所 無線LAN配下におけるVoIP通信端末のなりすましを識別するネットワーク通信システム
JP2005012429A (ja) * 2003-06-18 2005-01-13 Matsushita Electric Ind Co Ltd 移動通信端末及びハンドオーバ制御方法
US8423758B2 (en) * 2004-05-10 2013-04-16 Tara Chand Singhal Method and apparatus for packet source validation architecture system for enhanced internet security

Also Published As

Publication number Publication date
US20060291659A1 (en) 2006-12-28
EP1737183A1 (en) 2006-12-27
US9270652B2 (en) 2016-02-23
JP2007006003A (ja) 2007-01-11

Similar Documents

Publication Publication Date Title
JP4375287B2 (ja) 無線通信認証システム
JP3869392B2 (ja) 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体
US9820252B2 (en) Method and arrangement for providing a wireless mesh network
RU2507702C2 (ru) Способ аутентификации без дублирования учетных данных пользователей, принадлежащих к различным организациям
US8448257B2 (en) Method and system for controlling context-based wireless access to secured network resources
EP1797680B1 (en) Method, apparatus and system for routing aaa-messages from a home service network over a number of intermediary networks to a roaming network
CN101883349B (zh) 移动终端及其通信方法
EP2410711B1 (en) Node registration method, communication system and related server
US20060111080A1 (en) System and method for securing a personalized indicium assigned to a mobile communications device
EP3396928B1 (en) Method for managing network access rights and related device
US7769175B2 (en) System and method for initiation of a security update
KR100919329B1 (ko) 모바일 네트워크에서 전자 장치들을 인증하는 방법
US7957726B2 (en) System and method for porting a personalized indicium assigned to a mobile communications device
JP2009031848A (ja) 認証転送装置
KR100545773B1 (ko) 이동 단말의 핸드 오프를 지원하는 무선 인터넷 시스템과그 인증 처리 방법
JP4872128B2 (ja) 端末装置を使用する接続制御システム、接続制御方法
EP1662745B1 (en) System and method for securing a personal identification number assigned to a mobile communications device
KR101207319B1 (ko) IEEE 802.1x 인증 시스템, 이를 이용하는 암호 관리 방법 및 인증 방법
EP2063605B1 (en) System and method for porting identity information assigned to a mobile communications device
JP5143586B2 (ja) Ha負荷制御システム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080612

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080618

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080818

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090311

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090410

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20090410

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20090413

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20090508

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090624

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090818

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090831

R150 Certificate of patent or registration of utility model

Ref document number: 4375287

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120918

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130918

Year of fee payment: 4