-
HINTERGRUND DER ERFINDUNG
-
1. Gebiet der Erfindung
-
Die
Erfindung betrifft eine Access-Point-Vorrichtung und ein zugehöriges Authentifizierungsverfahren.
Genauer gesagt, betrifft die Erfindung eine Access-Point-Vorrichtung
und ein zugehöriges
Authentifizierungsverfahren, die unberechtigten Zugriff von Mobilstationen
bösartiger
Eindringlinge in ein funkgestütztes,
drahtloses LAN-System verhindern.
-
2. Beschreibung des Stands
der Technik
-
In
den letzten Jahren hat die explosionsartige Verbreitung des Internets
die Fälle
erhöht,
bei denen LANs (Local Area Networks) in Büros, Haushalten und dergleichen
aufgebaut werden. Angesichts der fortschrittlichen digitalen Funkkommunikationstechniken
nahm der Bedarf an LANs, die als Funk- oder sogenannte drahtlose
LANs aufgebaut sind, auf Grund der Unbequemlichkeit des Verlegens von
Leitungen stark zu. Ferner trägt
auch die Verfügbarkeit
von drahtlosen LANs mit Mobilendgeräten, typischerweise Notebook-PCs,
in einer mobilen Umgebung ebenfalls zu den für die Zukunft erwarteten Verbreitungszahlen
bei. Unter vorhandenen, typischen Techniken für drahtlose LANs existiert
IEEE 802.11, wobei es sich um eine Standardisierung durch das IEEE
(Institute of Electrical and Electronics Engineers) handelt. Diese
Standardisierungstechnik sorgt für
Definitionen von einer physikalischen Ebene bis zu einer unteren
Datenübertragungsstrecke-Unterebene,
oder einer MAC(Media Access Control)-Ebene, im OSI-Modell. Dazu
gehören
Spezifikationen, die eine Ersetzung des Ethernets, oder von leitungsgebundenen
LAN-Übertragungskanälen, ermöglichen,
und die auch für
eine Gesprächsübergabefunktion
als Zusatzfunktion im Funkzusammenhang sorgen.
-
Wenn
nun ein LAN durch ein leitungsgebundenes Ethernet oder dergleichen
aufgebaut wird, gehört
es zum Aufbauen von Verbindungen mit dem LAN, physikali sche Verbindungen
von Kabeln mit einem Hub und dergleichen herzustellen. Dies bedeutet
ein sehr hohes Sicherheitsniveau auf der Ebene der Datenübertragungsstrecke.
Das heißt,
dass selbst dann, wenn Eindringlinge unberechtigt in ein Büro oder
dergleichen eindringen, um ihre Endgeräte an das Netzwerk anzuschließen, sie
den körperlichen
Vorgang des Anschließens
von Kabeln ausführen
müssen,
was auf Grund der typischen LAN-Anordnungen (insbesondere bei relativ
kleinen bis mittleren LANs) extrem schwierig zu bewerkstelligen
ist. Der Grund dafür
besteht darin, dass sich in den meisten Fällen die LAN-Benutzer sowie
die Hubs, Router und dergleichen, die das LAN aufbauen, im selben Raum
befinden. Andererseits ist bei einem drahtlosen LAN-System der oben
genannte Vorgang des Anschließens
von Ethernet oder anderen Kabeln durch eine automatische Zuordnungsprozedur
ersetzt. Bei den oben genannten existierenden IEEE-802.11-Systemen und
dergleichen ist diese Zuordnungsprozedur eine solche, bei der die
Existenz von Mobilendgeräten
durch Accesspoints erkannt wird, die mit einem leitungsgebundenen
Fernnetz oder dergleichen verbunden sind. Dann ermöglicht der
Abfluss dieser Prozedur Datenkommunikation. Bei dieser Prozedur,
führt ein
Mobilendgerät,
das vor der Zuordnung in einem durch einen Accesspoint abgedeckten
endlichen Gebiet liegt, eine optische Authentifizierungsprozedur
hinsichtlich des Accesspoints durch, um für Sicherheit auf der Ebene der
Datenübertragungsstrecke
zu sorgen.
-
Gemäß dieser
Zuordnungsprozedur gibt die Mobilstation eine Zuordnungsanforderung
an den Accesspoint aus, wobei der Zuordnungsanforderungsmeldung
ein Service-Set-Identifier (SSID) hinzugefügt ist. Der diese Meldung empfangende
Accesspoint identifiziert die Mobilstation auf Grund der oben genannten
SSID, und er ermittelt entsprechend einer vorbestimmten Zuordnungsberechtigungsregel,
ob die Zuordnung zu genehmigen ist oder nicht. Wenn er eine Zurückweisung
vornimmt, sendet er eine Zuweisungszurückweisungs-Antwortmeldung. Daher
kann diese Zuordnungsprozedur von sich aus denjenigen nicht hindern,
der versucht, mit schlechter Absicht in das Netzwerk einzudringen,
wobei eine Zuordnung leicht errichtbar ist, wenn einmal die SSID erfasst
wurde. Um dies zu verhindern und um auch eine Zuordnungsprozedur
auszuführen,
ist die Wahlmöglichkeit
des Ausführens
einer Authentifizierungsprozedur geschaffen. Bei einem mit der Wahlmöglichkeit
des Ausführens
einer Authentifizierungsprozedur versehenen System kann nämlich das
Mobilendgerät,
solange es sich die Authentifizierungsprozedur abgeschlossen hat,
nicht für
die Zuordnung zum Starten der Datenkommunikation sorgen. Dies bildet
demgemäß eine wirkungsvolle
Funktion zum Vermeiden einer unberechtigten Zuordnung ausgehend
von böswilligen Mobilendgeräten im oben
genannten endlichen Gebiet, wobei die unberechtigte Zuordnung keine
körperlichen
Verbindungsvorgänge benötigt.
-
In
IEEE 802.11 ist diese Authentifizierungsprozedur als Shared Key-Authentication-Prozedur definiert.
Nun wird diese Prozedur unter Bezugnahme auf die 5 und 6 beschrieben.
-
Die 5 ist
ein Diagramm, das die übliche Konfiguration
eines herkömmlichen
drahtlosen LAN-Systems zeigt. Die 6 ist ein
Diagramm, das die Steuerungssequenzen herkömmlicher Authentifizierungs-
und Zuordnungsprozeduren zeigt.
-
In
der 5 repräsentiert
die Bezugszahl 1 ein Wireless-Area-Netzwerk, 2 einen
Accesspoint AP, 3 eine Mobilstation MT1, 4 eine
Mobilstation MT2, 5 eine Mobilstation MT3, 6 eine
Mobilstation MT4 und 7 andere Netzwerke als das Wireless-Area-Netzwerk 1.
-
Das
Wireless-Area-Netzwerk 1 verfügt den Accesspoint AP 2 und
die Mobilstationen MT1, MT2, MT3 und MT4. Der Accesspoint AP 2 ist
mit den anderen Netzwerken 7 verbunden, die durch leitungsgebundene Übertragungskanäle realisiert
sind. Die Mobilstationen MT1–MT4
liegen im durch den Accesspoint AP 2 abgedeckten endlichen Gebiet.
Die 6 zeigt die Sequenzen für Situationen, bei denen, im
Wireless-Area-Netzwerk 1, eine Mobilstation (z. B. MT1)
eingeschaltet oder auf andere Weise betrieben wird, um die Vorzuordnungs-Authentifizierungsprozedur
hinsichtlich des Accesspoints AP 2 auszuführen.
-
Zunächst sendet
die Mobilstation MT1 eine Authentifizierungsanforderungsmeldung
1 zum Starten der Authentifizierungsprozedur gemäß dem Authentifizierungsverfahren
mit gemeinsamem Schlüssel
an den Accesspoint AP 2. Wenn der AP 2 diese Meldung mit der AP-Authentifizierungsverarbeitung
0 (AP-Authentifizierungsverarbeitung "1") empfängt, führt er eine numerische Operation
entsprechend dem WEP (Wired Equivalent Privacy)-PRNG(Pseudorandom
Number Generator)-Algorithmus unter Verwendung des Initialisierungsvektors
und Werten eines geheimen Schlüssels,
die beliebig bei jeder Ausführung
dieser Authentifizierungsprozedur bestimmt werden können, als
Parameter aus. Der Accesspoint AP 2 berechnet dadurch einen eindeutig bestimmten
Challengetextwert von 128 Oktettten, und er liefert eine Authentifizierungsantwortmeldung 1
mit diesem Wert an die Mobilstation MT1.
-
Als
Nächstes
verschlüsselt
die Mobilstation MT1, wenn sie diese Authentifizierungsantwortmeldung
1 in der MT-Authentifizierungsverarbeitung 9 empfängt, den
darin enthaltenen Challengetextwert entsprechend dem WEP-Verschlüsselungsalgorithmus
unter Verwendung der gemeinsamen geheimen Daten und des Initialisierungsvektors
als Parameter. Das Ergebnis und der oben genannte Initialisierungsvektor
sind in einer Authentifizierungsantwortmeldung 2 enthalten, die
an den Accesspoint AP 2 zurückgeliefert
wird.
-
Dann
decodiert der Accesspoint AP 2, wenn er diese Authentifizierungsanforderungsmeldung
2 mit der AP-Authentifizierungsverarbeitung 10 (AP-Authentifizierungsverarbeitung "2") empfängt, den empfangenen, verschlüsselten
Challengetextwert auf Grundlage des gleichzeitig empfangenen Initialisierungsvektors
und der oben genannten, vorab bekannten gemeinsamen geheimen Daten.
Der sich ergebende Wert wird mit dem oben beschriebenen ursprünglichen
Challengetextwert verglichen. Wenn sie identisch sind, wird die
Authentifizierung genehmigt. Falls nicht, wird sie zurückgewiesen.
Das Ergebnis davon wird als Authentifizierungsantwortmeldung 2 an
die Mobilstation MT1 zurückgeliefert.
Dann kann die Mobilstation MT1, die diese Authentifizierungsantwortmeldung
2 empfängt,
wenn das Ergebnis ein genehmigendes ist, in die anschließende Zuordnungsprozedur
eintreten. In Zurückweisungsfällen kann
die Zuordnungsprozedur auf Grund der fehlgeschlagenen Authentifizierung
nicht ausgeführt werden.
-
Die
Zuordnungsverarbeitung ist hierbei dieselbe, wie sie oben beschrieben
ist. Genauer gesagt, identifiziert der Accesspoint AP 2, die den
SSID (Service Set Identifier) in der Zuordnungsanforderungsmeldung
von der Mobilstation MT1 empfängt,
die Mobilstation durch diesen SSID, und sie ermittelt, ob die Zuordnung
zu genehmigen ist oder nicht. Wenn der Accesspoint AP 2 genehmigt,
sendet er eine Zuordnungsantwortmeldung zum Genehmigen der Zuordnung
an die Mobilstation MT1. Wenn er zurückweist, wird eine Zuordnungsantwortmeldung
betreffend das Zurückweisen
der Zuordnung geliefert. Übrigens
ist dieser Web-Algorithmus
durch die RC4-Technologie von RSA Data Security Inc. definiert.
-
Kurz
gesagt, werden, gemäß diesem
Authentifizierungsverfahren, der Accesspoint und die Mobilstationen
vorab mit demselben geheimen Schlüssel, oder gemeinsamen geheimen
Schlüssel, versehen,
um den Mechanismus zu realisieren, gemäß dem der Accesspoint speziellen
Mobilstationen Authentifizierung/Zuordnung gewährt. Hierbei implementieren
die Mobilstationen den gemein samen geheimen Schlüssel in einer Form, die für den allgemeinen
Benutzer nicht lesbar ist, um einen Diebstahl (ein Lesen) durch
bösartige
Eindringlinge zu vermeiden. Indessen ist ein Abfangen ausgeschlossen,
wodurch für
einen bestimmten Grad an Sicherheitsniveau gesorgt ist, da der Schlüssel selbst
nicht über
die Funkübertragungskanäle übertragen
wird.
-
Ein
derartiges Authentifizierungsverfahren für eine herkömmliche Access-Point-Vorrichtung
hält die
Sicherheit unter der Annahme aufrecht, dass die Algorithmen zur
Authentifizierung sowie die Schlüssel
für dieselbe
von solchen nie gestohlen werden, die mit schlechter Absicht versuchen,
in das Netzwerk einzudringen. Diese Annahme ist jedoch nicht zu
100% gerechtfertigt. Das heißt,
dass keine Garantie dafür
besteht, dass im Accesspoint durch berechtigte Prozeduren nie vollständige Vervielfachungen genehmigter
Endgeräte
erstellt werden. Darüber
hinaus besteht eine nicht leugbare Möglichkeit dafür, dass
die in für
den Benutzer nicht zugänglichen
Speichern gespeicherten Schlüssel
unter Verwendung einer speziellen Einrichtung auf unberechtigte
Weise ausgelesen werden. Daher können,
wenn diejenigen, die in bösartiger
Weise versuchen, über
derartige unberechtigte Aktivitäten
in das Netzwerk einzudringen, erfolgreich eine unberechtigte Zuordnung
ihrer Endgeräte
erreichen, in das Netzwerk eindringen, während sie körperlich im durch den Accesspoint
abgedeckten Gebiet verborgen bleiben, ohne dass irgendwelche körperlichen
Operationen wie eine leitungsgebundene Kabelverbindung auszuführen wären. Anders
gesagt, bestand ein Problem dahingehend, dass dann, wenn ein drahtloses
Netzwerk innerhalb eines geschlossenen Raums (Büro oder Haushalt) aufgebaut
wird, das durch den zentralen Accesspoint abgedeckte Gebiet für eine Zuordnung
von Endgeräten
solcher Personen, die versuchen, mit schlechter Absicht in das Netzwerk
einzudringen und die außerhalb
des geschlossenen Abschnitts liegen, d.h. an verdeckten Stellen
hinter Wänden
oder dergleichen, anfällig
ist.
-
EP-A-1
081 895 offenbart ein sicheres drahtloses Local-Area-Netzwerk mit
einem Einzelleitungsnetzwerk, das sowohl leitungsgebundene als auch drahtlose
Vorrichtungen unterstützt.
Accesspointe stehen über
einen Luftkanal für
ihre Authentifizierung mit den drahtlosen Vorrichtungen in Verbindung.
Ferner ist ein Authentifizierungsserver mit dem leitungsgebundenen
LAN verbunden, um einen Bediener einer drahtlosen Vorrichtung mit
Zugang auf das leitungsgebundene LAN nach Authentifizierung des entsprechenden
Accesspoints und des Bedieners zu verschaffen.
-
Prasad
et al.: "Security
Architecture For Wireless LANs: Corporate & Public Environment" VTC 2000-Spring,
2000 IEEE 51St. Vehicular Technology Conference Proceedings, Tokyo,
Japan, 13.–15.
Mai 2000, IEEE Vehicular Technology Conference, New York, NY: IEEE,
US, Bd. 1 von 3 Conf. 51, 15. Mai 2000, Seiten 283 bis 287 offenbaren
eine Sicherheitsarchitektur für
drahtlose LANs, bei der RADIUS, ein geschicktes Netzwerkauthentifizierungsprotokoll
verwendet werden kann. In Kombination mit dem RADIUS-Protokoll ist
eine drahtlose Vorrichtung ein PPP-Client, und ein Accesspoint ist
ein PPP-Server mit der Rolle eines RADIUS-Clients, der in Kombination
mit einem RADIUS-Server treten soll.
-
ZUSAMMENFASSUNG DER ERFINDUNG
-
Die
Erfindung wurde angesichts eines derartigen Problems geschaffen.
So ist es eine Aufgabe der Erfindung, eine Access-Point-Vorrichtung
und ein zugehöriges
Authentifizierungsverfahren zu schaffen, die ein drahtloses LAN-System
hinsichtlich des Sicherheitsniveaus dramatisch verbessern können. Diese
Aufgabe ist durch eine Access-Point-Vorrichtung und ein Authentifizierungsverfahren
gemäß den Ansprüchen 1 und
2 gelöst.
-
Eine
Access-Point-Vorrichtung gemäß der Erfindung
ist eine solche mit einer Schnittstellenfunktion mit einem Netzwerk
aus leitungsgebundenen Übertragungskanälen, die
eine Datenübertragungsstrecke-Verbindung
mit mehreren Mobilstationen innerhalb des Gebiets eines Funk-LAN
aufbaut. Diese Access-Point-Vorrichtung
weist Folgendes auf: eine Benachrichtigungseinrichtung zum Benachrichtigen eines
das Funk-LAN verwaltenden Netzwerkverwalters über das Vorliegen einer die
Authentifizierung anfragenden Mobilstation, um die abschließende Genehmigung
einer Authentifizierungsprozedur zu erlangen, wenn eine Mobilstation
im Gebiet die Authentifizierungsprozedur vor der Auslösung einer
Zuordnungsprozedur durchführt;
und eine Eingabeeinrichtung, durch die der benachrichtigte Netzwerkverwalter
die die Authentifizierung genehmigende oder zurückweisende Anweisung in Bezug
auf die die Authentifizierung anfragende Mobilstation in Antwort
auf eine Benachrichtigung über
die Benachrichtigungseinrichtung betreffend die Anwesenheit der
die Authentifizierung anfragenden Mobilstation eingibt.
-
Ein
Authentifizierungsverfahren für
eine Access-Point-Vorrichtung gemäß der Erfindung ist ein Authentifizierungsverfahren
für eine
Access-Point- Vorrichtung
mit einer Schnittstellenfunktion mit einem Netzwerk aus leitungsgebundenen Übertragungskanälen, die
eine Datenübertragungsstrecke-Verbindung
mit mehreren Mobilstationen innerhalb des Gebiets eines Funk-LAN
aufbaut. Dieses Authentifizierungsverfahren löst eine Zuordnungsprozedur
nach Abschluss einer Authentifizierung der Mobilstationen dadurch
aus, dass sie Folgendes ausführt.
Einen ersten Schritt, in dem die Mobilstationen und die Access-Point-Vorrichtung
eine vorbestimmte Authentifizierungsprozedur in Antwort auf eine
Authentifizierungsanforderung von den Mobilstationen an die Access-Point-Vorrichtung
auslösen;
einen zweiten Schritt, in dem die Access-Point-Vorrichtung, beim Genehmigen der
Authentifizierung der Mobilstationen durch die Authentifizierungsprozedur,
einen das LAN verwaltenden Netzwerkverwalter über die abschließende Authentifizierung
der Authentifizierungsprozedur informiert und einen Authentifizierungs-Wartetimer
startet, bevor die Access-Point-Vorrichtung eine Authentifizierungsantwortmeldung,
oder die abschließende
Meldung in der Authentifizierungsprozedur, an die Mobilstationen
zurückliefert,
wobei der Authentifizierungs-Wartetimer auf eine maximale Wartezeit
bis zur abschließenden
Authentifizierung eingestellt ist; einen dritten Schritt, in dem
der Netzwerkverwalter eine abschließende, die Authentifizierung
genehmigende oder zurückweisende
Anweisungen an die Access-Point-Vorrichtung
liefert, bevor der Authentifizierungs-Wartetimer abgelaufen ist;
einen vierten Schritt, in dem die Access-Point-Vorrichtung, wenn der
Netzwerkverwalter eine abschließende,
die Authentifizierung genehmigende Anweisung vor dem Zeitablauf
des Authentifizierungs-Wartetimers ausgibt, die Authentifizierungsantwortmeldung
als Authentifizierungsberechtigung an die Mobilstationen zurückliefert;
und einen fünften
Schritt, in dem die die Authentifizierungsantwortmeldung empfangenden Mobilstationen
die Zuordnungsprozedur starten.
-
Im
dritten Schritt kann die Authentifizierungantwortmeldung als Authentifizierungszurückweisung
an die Mobilstationen zurückgeliefert
werden, wenn der Netzwerkverwalter die die Authentifizierung zurückweisende
Anweisung an die Access-Point-Vorrichtung liefert.
-
Außerdem kann,
im dritten Schritt, die Authentifizierungantwortmeldung als Authentifizierungszurückweisung
an die Mobilstationen zurückgeliefert
werden, wenn die Zeit des Authentifizierungs-Wartetimers abläuft, bevor
der Netzwerkverwalter die die Authentifizierung zurückweisende
oder genehmigende Anweisung an die Access-Point-Vorrichtung geliefert
hat.
-
Darüber hinaus
kann, bei einem bevorzugten, konkreten Modus, die Authentifizierungsprozedur
die in IEEE 802.11 definierte Authentifizierungsprozedur mit gemeinsamem
Schlüssel
sein.
-
KURZE BESCHREIBUNG
DER ZEICHNUNGEN
-
1 ist
ein Diagramm, das die allgemeine Konfiguration einer Access-Point-Vorrichtung gemäß einer
Ausführungsform
der Erfindung zeigt;
-
2 ist
ein Diagramm, das die Steuerungssequenz der Authentifizierungsprozedur
für Situationen
zeigt, in denen die Access-Point-Vorrichtung gemäß der vorliegenden Ausführungsform
die Authentifizierung genehmigt;
-
3 ist
ein Diagramm, das die Steuerungssequenz der Authentifizierungsprozedur
für Situationen
zeigt, in denen die Access-Point-Vorrichtung gemäß der vorliegenden Ausführungsform
die Authentifizierung zurückweist
oder die Zeit abläuft;
-
4 ist
ein Flussdiagramm, das die Accesspoint-Authentifizierungsverarbeitung
durch die Access-Point-Vorrichtung gemäß der vorliegenden Ausführungsform
zeigt;
-
5 ist
ein Diagramm, das die allgemeine Konfiguration eines herkömmlichen
drahtlosen LAN-Systems zeigt; und
-
6 ist
ein Diagramm, das die Steuerungssequenzen der Authentifizierungs- und Zuordnungsprozeduren
beim herkömmlichen
drahtlosen LAN-System zeigt.
-
DETAILLIERTE
BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORM
-
Nachfolgend
wird eine bevorzugte Ausführungsform
der Access-Point-Vorrichtung und deren Authentifizierungsverfahrens
gemäß der Erfindung unter
Bezugnahme auf die beigefügten
Zeichnungen detailliert beschrieben.
-
1 ist
ein Diagramm, das die allgemeine Konfiguration einer Access-Point-Vorrichtung gemäß der Ausführungsform
der Erfindung zeigt.
-
Die
Access-Point-Vorrichtung 18 bei der vorliegenden Ausführungsform
ist am Ort des Accesspoints AP 2 in der oben beschriebenen 5 installiert.
Genauer gesagt, beinhaltet, in der oben beschriebenen 5,
das Wireless-Area-Netzwerk 1 den
Accesspoint AP 2, der mit den anderen, durch leitungsgebundene Übertragungskanäle realisierten Netzwerken 7 verbunden
ist, sowie die Mobilstationen MT1, MT2, MT3 und MT4, die im endlichen, durch
den AP 2 abgedeckten Gebiet liegen. Im Wireless-Area-Netzwerk 1 ist
der Authentifizierungsprozedur AP 2 durch die in der 1 dargestellte
Access-Point-Vorrichtung 18 ersetzt.
-
In
der 1 verfügt
die Access-Point-Vorrichtung 18 über eine Funkkommunikations-Verarbeitungseinrichtung 12,
eine Antenne 19, eine Netzwerk-Schnittstelleneinrichtung 14,
eine Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13,
eine Authentifizierungsanfrage-Anzeigeeinrichtung 16 (Benachrichtigungseinrichtung)
sowie eine Authentifizierungs-Eingabeeinrichtung (Eingabeeinrichtung), um
die Funkverbindung mit den mehreren Mobilstationen MT1, MT2, MT3
und MT4 zu realisieren. Die Funkkommunikations-Verarbeitungseinrichtung 12 besteht
aus einer Funkmodulations- und Demodulationseinheit, einer Grundbandsignal-Verarbeitungseinheit
und einer Datenübertragungsstrecke-Steuerungseinheit.
Die Antenne 19 ist für
das Senden und Empfangen von Funksignalen vorgesehen, und sie ist
mit der Funkkommunikations-Verarbeitungseinrichtung 12 verbunden.
Die Netzwerk-Schnittstelleneinrichtung 14 errichtet eine
Datenübertragungsstrecke-Verbindung über einen
beliebigen leitungsgebundenen Übertragungskanal 17 mit
den anderen Netzwerken 7, und sie realisiert die Funktion
einer Schnittstellenbildung für
die Daten, die durch die Funkkommunikations-Verarbeitungseinrichtung 12 zu
senden und zu empfangen sind. Die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 realisiert
die Funktion des Ausführens
der Zuordnungs- und Authentifizierungsprozeduren für die Funkkommunikations-Verarbeitungseinrichtung 12,
um die Datenübertragungsstrecke
mit den mehreren Mobilstationen aufzubauen. Die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 realisiert
auch die Funktion einer Kommunikation von Steuerungsmeldungen mit
der Funkkommunikations-Verarbeitungseinrichtung 12,
der Steuerungsmeldungen, die mit den Mobilstationen MT1, MT2, MT3
und MT4 auszutauschen sind. Die Authentifizierungsanfrage-Anzeigeeinrichtung 16 sorgt
für eine
Benachrichtigung eines Benutzers, der das Wireless-Area-Netzwerk 1 verwaltet,
bevor die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 die
Authentifizierungsprozedur zum endgül tigen Gewähren einer Genehmigung ausführt, und
sie liefert eine Authentifizierungs-Genehmigungsmeldung an eine
Mobilstation, für
die die Authentifizierung zu genehmigen ist. Die Authentifizierungsanfrage-Anzeigeeinrichtung 16 realisiert
dadurch die Funktion einer Benachrichtigung des Benutzers über das
Vorliegen einer Mobilstation, die Authentifizierung anfordert, über eine
Anzeigevorrichtung, einen Lautsprecher oder dergleichen. Die Authentifizierungs-Eingabeeinrichtung 15 realisiert
die Funktion des Akzeptierens von Tasten- oder anderen körperlichen
Eingaben durch den Menschen, um die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 darüber zu informieren,
ob der Benutzer, der das Wireless-Area-Netzwerk 1 verwaltet,
auf Gewährung
oder Zurückweisung
entscheidet oder nicht, nachdem das Vorliegen einer Authentifizierung
anfordernden Mobilstation durch die Authentifizierungsanfrage-Anzeigeeinrichtung 16 mitgeteilt
wurde.
-
Nachfolgend
werden Betriebsabläufe
des Authentifizierungsverfahrens für die auf die oben beschriebene
Weise konfigurierte Access-Point-Vorrichtung beschrieben.
-
Hierbei
erfolgt eine Beschreibung zu den Sequenzen für den Fall, dass ein Mobilstation
eingeschaltet oder in anderer Weise betrieben wird, um Authentifizierungs-
und Zuordnungsprozeduren auszuführen,
damit die Datenübertragungsstrecke-Verbindung
mit der Access-Point-Vorrichtung 18 aufgebaut wird, sowie
für den
Fall, dass die Authentifizierung zurückgewiesen wird.
-
Hierbei
sei angenommen, dass die Mobilstation MT1 in der oben beschriebenen 5 die
Mobilstation zum Ausführen
der Authentifizierungsverarbeitung ist, und dass die Mobilstationen
MT2, MT3 und MT4 bereits die Zuordnung mit der Access-Point-Vorrichtung 18,
um eine Datenübertragungsstrecke
aufzubauen, abgeschlossen haben.
-
Zunächst erfolgt,
unter Bezugnahme auf die 2 und 4, eine
Beschreibung für
den Fall, dass die Mobilstation MT1 die Authentifizierungsprozedur
ausführt
und der das Netzwerk verwaltende Benutzer die Authentifizierung
gewährt,
gefolgt von der Zuordnungsprozedur zum Aufbauen einer Datenübertragungsstrecke
mit der Access-Point-Vorrichtung 18.
-
Die 2 ist
ein Diagramm, das die Steuerungssequenz der Authentifizierungsprozedur
für den
Fall einer genehmigten Authentifizierung zeigt.
-
Die
Mobilstation MT1 wird eingeschaltet oder auf andere Weise betrieben,
um eine Authentifizierungsanforderungsmeldung 1 zum Auslösen der
Authentifizierungsprozedur gemäß dem Authentifizierungsverfahren
mit gemeinsamem Schlüssel
an die Access-Point-Vorrichtung 18 zu senden.
-
In
der Access-Point-Vorrichtung 18 empfängt die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 diese
Meldung über
die Funkkommunikations-Verarbeitungseinrichtung 12. In
einer Accesspoint-Authentifizierungsverarbeitung 1 (siehe die Zahl 20 in
der 2) führt
die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 eine numerische
Operation entsprechend dem WEP(Wired Equivalent Privacy)-PRNG(Pseudorandom
Number Generator)-Algorithmus unter Verwendung des Initialisierungsvektors
und der Werte des geheimen Schlüssels
als Parameter aus. Hierbei können
der Initialisierungsvektor und die Werte des geheimen Schlüssels bei
jeder Ausführung
dieser Authentifizierungsprozedur beliebig bestimmt werden. Die
Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 erhält dadurch
einen eindeutig bestimmten Challengetextwert von 128 Oktetts, und
sie liefert eine diesen Wert enthaltende Authentifizierungantwortmeldung
1 über
die Funkkommunikations-Verarbeitungseinrichtung 12 an die
Mobilstation MT1.
-
Als
Nächstes
verschlüsselt,
in einer MT-Authentifizierungsverarbeitung 21, die diese
Authentifizierungantwortmeldung 1 empfangende Mobilstation MT1 den
enthaltenen Wert des Challengetexts entsprechend dem WEP-Verschlüsselungsalgorithmus unter
Verwendung der gemeinsamen geheimen Daten und des Initialisierungsvektors
als Parameter. Der sich ergebende Wert und der Initialisierungsvektor
sind auch in einer Authentifizierungantwortmeldung 2 enthalten,
die an die Access-Point-Vorrichtung 18 zurückgeliefert
wird. Darüber
hinaus empfängt,
in der Access-Point-Vorrichtung 18, die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 diese
Meldung über
die Funkkommunikations-Verarbeitungseinrichtung 12. In
einer AP-Authentifizierungsverarbeitung 2 (siehe die Zahl 22 in der 2)
decodiert die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 den
empfangenen, verschlüsselten
Challengetextwert auf Grundlage des gleichzeitig empfangenen Initialisierungsvektors
und der vorab bekannten gemeinsamen geheimen Daten. Das Ergebnis
wird mit dem ursprünglichen,
oben angegebenen Challengetextwert verglichen, und wenn sie gleich
sind, führt
die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 die
Prozedur der AP-Authentifizierungsver arbeitung 3 aus (siehe die
Zahl 23 in der 2). Die Schritte S30–33 im Ablauf
der 4 zeigen diese Prozedur.
-
Die 4 ist
ein Flussdiagramm, das die oben beschriebene Accesspoint-Authentifizierungsverarbeitung
zeigt.
-
Bei
dieser Prozedur benachrichtigt die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 in
der Access-Point-Vorrichtung 18 zunächst die Authentifizierungsanfrage-Anzeigeeinrichtung 16 über die
Authentifizierungs-Wartezeit
(Schritt S30). Gleichzeitig startet die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 einen
auf eine beliebige Zeit eingestellten Authentifizierungs-Wartetimer
(Schritt 31), um in einen Wartezustand für eine Authentifizierungseingabe
einzutreten (Schritt S32). Indessen benachrichtigt die über die
Authentifizierungs-Wartezeit informierte Authentifizierungsanfrage-Anzeigeeinrichtung 16 unmittelbar
den das Netzwerk verwaltenden Benutzer über das Vorliegen einer eine
Authentifizierung anfordernden Mobilstation über eine Anzeigevorrichtung,
einen Lautsprecher oder dergleichen.
-
Hierbei
liefert die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13,
wenn sie von der Authentifizierungs-Eingabeeinrichtung 15 eine Benachrichtigung über eine
Eingabe zum Genehmigen einer Authentifizierung, die vom das Netzwerk verwaltenden
Benutzer erfolgte, der eine Authentifizierungsgenehmigung eingibt,
vor dem Zeitablauf des Authentifizierungs-Wartetimers empfängt, eine Authentifizierungantwortmeldung
2, die die genehmigte Authentifizierung anzeigt, über die
Funkkommunikations-Verarbeitungseinrichtung 12 an die Mobilstation
MT1 (Schritt S33).
-
Es
wird zur 2 zurückgekehrt, gemäß der die
Mobilstation MT1, nachdem sie diese Authentifizierungantwortmeldung
2 empfangen hat, das das Ergebnis genehmigend ist, in die folgende
Zuordnungsprozedur eintritt, um eine Zuordnungsanfragemeldung an
die Access-Point-Vorrichtung 18 zu liefern.
-
Hierbei
empfängt,
in der Access-Point-Vorrichtung 18, die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 diese
Meldung über
die Funkkommunikations-Verarbeitungseinrichtung 12. Dann
identifiziert die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 in
der Zuordnungsverarbeitung (siehe die Zahl 24 in der 2) die
Mobilstation MT1 durch den SSID (Servi ce-Set-Identifier) in der
Zuordnungsanforderungsmeldung, und sie bestimmt entsprechend einer
vorbestimmten Zuordnungsgenehmigungsregel, ob die Zuordnung zu genehmigen
ist oder nicht. Wenn genehmigt wird, liefert die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 eine
Zuordnungsantwortmeldung, die die genehmigte Zuordnung anzeigt, über die
Funkkommunikations-Verarbeitungseinrichtung 12 an
die Mobilstation MT1. Durch Empfangen dieser Zuordnungsantwortmeldung
durch die Mobilstation MT1 wird die Datenübertragungsstrecke zwischen
ihr und der Access-Point-Vorrichtung 18 aufgebaut, was
anschließende
Datenkommunikation ermöglicht.
-
Als
Nächstes
erfolgt, unter Bezugnahme auf die 3 und 4,
eine Beschreibung zum Fall, dass die Authentifizierung für das Mobilstation
MT1 durch den das Netzwerk verwaltenden Benutzer in der Authentifizierungsprozedur
zurückgewiesen
wird, und für
den Fall, dass der Authentifizierungs-Wartetimer abläuft, um
die Authentifizierung automatisch zurückzuweisen.
-
Die 3 ist
ein Diagramm, das die Steuerungssequenz der Authentifizierungsprozedur
für zurückgewiesene
Authentifizierung/Zeitablauf zeigt.
-
In
der 3 wird die Mobilstation MT1 eingeschaltet oder
auf andere Weise betrieben, um eine Authentifizierungsanforderungsmeldung
1 zum Auslösen
der Authentifizierungsprozedur gemäß dem Authentifizierungsverfahren
mit gemeinsamem Schlüssel
an die Access-Point-Vorrichtung 18 zu liefern.
-
In
der Access-Point-Vorrichtung 18 empfängt die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 diese
Meldung über
die Funkkommunikations-Verarbeitungseinrichtung 12. Dann
führt die
Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 in
der AP-Authentifizierungsverarbeitung 1 (siehe die Zahl 25 in
der 3) eine numerische Operation entsprechend dem
WEP(Wired Equivalent Privacy)-PRNG(Pseudorandom Number Generator)-Algorithmus
unter Verwendung des Initialisierungsvektors und der Werte eines
geheimen Schlüssels,
die bei jeder Ausführung
dieser Authentifizierungsprozedur beliebig bestimmt werden können, als
Parameter aus. Die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 berechnet
dadurch einen eindeutig bestimmten Challengetextwert von 128 Oktetts,
und sie liefert die diesen Wert enthaltende Authentifizierungantwortmeldung
1 über
die Funkkommunikations-Verarbeitungseinrichtung 12 an die
Mobilstation MT1 zurück.
-
Dann
empfängt,
in der MT-Authentifizierungsverarbeitung (siehe die Zahl 26 in
der 3), die Mobilstation MT1 diese Authentifizierungantwortmeldung
1, und sie entschlüsselt
den in ihr enthaltenen Challengetextwert entsprechend dem WEP-Verschlüsselungsalgorithmus;
wobei die gemeinsamen geheimen Daten und der Initialisierungsvektor
als Parameter verwendet werden. Der sich ergebende Wert und der
Initialisierungsvektor sind in einer Authentifizierungantwortmeldung
2 enthalten, die an die Access-Point-Vorrichtung 18 zurückgeliefert
wird. Außerdem
empfängt,
in der Access-Point-Vorrichtung 18, die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 diese
Meldung über
die Funkkommunikations-Verarbeitungseinrichtung 12. In
der AP-Authentifizierungsverarbeitung
2 (siehe die Zahl 27 in der 3) entschlüsselt die
Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 den empfangenen,
verschlüsselten
Challengetextwert auf Grundlage des gleichzeitig empfangenen Initialisierungsvektors
und der vorab bekannten gemeinsamen geheimen Daten. Das Ergebnis
wird mit dem ursprünglichen,
oben angegebenen Challengetextwert verglichen, und wenn Identität besteht,
führt die
Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 die
Prozedur der AP-Authentifizierungsverarbeitung
3 (siehe die Zahl 28 in der 39 aus.
Diese Prozedur ist als Schritte S30–S32 sowie S34 im Ablauf der 4 dargestellt.
-
Bei
dieser Prozedur benachteiligt die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 in
der Access-Point-Vorrichtung 18 zunächst die Authentifizierungsanfrage-Anzeigeeinrichtung 16 über einen
Authentifizierung-Wartezustand
(Schritt S30). Gleichzeitig startet die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 einen
auf eine beliebige Zeit eingestellten Authentifizierungs-Wartetimer
(Schritt S31), um in einen Wartezustand für eine Authentifizierungseingabe
einzutreten (Schritt 32). Indessen benachrichtigt die über den
Authentifizierungs-Wartezustand informierte Authentifizierungsanfrage-Anzeigeeinrichtung 16 den
das Netzwerk verwaltenden Benutzer über das Vorliegen einer eine Authentifizierung
anfordernden Mobilstation über eine
Anzeigevorrichtung, einen Lautsprecher oder dergleichen.
-
Hierbei
liefert die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13,
wenn sie eine Benachrichtigung von der Authentifizierungs-Eingabeeinrichtung 15 zu
einer die Authentifizierung zurückweisenden
Eingabe empfängt,
die durch den das Netzwerk verwaltenden Benutzer erfolgt, der eine Authentifizierungszurückweisung
vor dem Zeitablauf des Authentifizierungs-Wartetimers eingibt, eine Authentifizierungantwortmeldung
2, die die Authen tifizierungszurückweisung
anzeigt, über
die Funkkommunikations-Verarbeitungseinrichtung 12 an die
Mobilstation MT1 (Schritt S34). In ähnlicher Weise liefert, wenn
der Authentifizierungs-Wartetimer während des Wartens auf eine
Authentifizierungseingabe abläuft
(Schritt S32), die Authentifizierungs/Zuordnungs-Verarbeitungseinrichtung 13 die
Authentifizierungantwortmeldung 2, die die Authentifizierungszurückweisung
anzeigt, über
die Funkkommunikations-Verarbeitungseinrichtung 12 an die
Mobilstation MT1 (Schritt 34).
-
Es
wird zur 3 zurückgekehrt, gemäß der die
Mobilstation MT1, die diese Authentifizierungantwortmeldung 2 empfangen
hat, nicht in die anschließende
Zuordnungsprozedur eintreten kann, da das Ergebnis zurückweisend
ist. Falls erforderlich, benachrichtigt Mobilstation MT1 ihren Benutzer über die
fehlgeschlagene Authentifizierung (siehe die Zahl 29 in
der 3). So kann die Mobilstation MT1 in diesem Fall
keine Datenkommunikation ausführen.
-
Übrigens
ist der hier erwähnte
WEP-Algorithmus in der RC4-Technologie von RSA Data Security Inc.
definiert. Außerdem
ist die Zuordnungsverarbeitung (siehe die Zahl 24 in der 2)
identisch mit der in IEEE 802.11 definierten Zuordnungsprozedur.
-
Darüber hinaus
kann die beliebige Zeit, auf die der Authentifizierungs-Wartetimer eingestellt wird,
vom das Netzwerk verwaltenden Benutzer beliebig als Wert bestimmt
werden, der hinsichtlich der Zeit geeignet ist, die er dazu benötigt, das
Vorliegen einer eine Authentifizierung anfordernden Mobilstation über die
Authentifizierungsanfrage-Anzeigeeinrichtung für den Benutzer zu erkennen,
der eine Authentifizierung über
die Authentifizierungs-Eingabeeinrichtung eingibt, um die Mobilstation
zu genehmigen.
-
Wie
oben beschrieben, beinhaltet die Access-Point-Vorrichtung 18,
bei der vorliegenden Ausführungsform,
die Authentifizierungsanfrage-Anzeigeeinrichtung 16 und
die Authentifizierungs-Eingabeeinrichtung 15. Wenn eine
Mobilstation im Gebiet die Authentifizierungsprozedur vor dem Auslösen der Zuordnungsprozedur
ausführt,
nimmt die Authentifizierungsanfrage-Anzeigeeinrichtung 16 eine
Benachrichtigung für
die die Authentifizierung anfordernde Mobilstation im Gebiet vor,
damit die Access-Point-Vorrichtung 18 die abschließende Genehmigung
der Authentifizierungsprozedur vom das LAN verwaltenden Benutzer
erhält.
Der informierte Netzwerkverwalter liefert eine die Authentifizierung
genehmigende oder zurückweisende
Anweisung über die
Authentifizie rungs-Eingabeeinrichtung 15 an die die Authentifizierung
anfordernde Mobilstation. In der Vorzuordnungs-Authentifizierungsprozedur
einer Mobilstation in einem drahtlosen LAN-System, das körperlich
unsichtbar ist und daher Angriffen von Netzwerkeindringlingen mit
schlechtem Inhalt unterliegt, ermöglicht es die Access-Point-Vorrichtung 18 dem
das Netzwerk verwaltenden Benutzer, zu erkennen, wer eine Zuordnung
ausführt,
bevor er die Authentifizierung genehmigt, anstatt dass eine automatische
Authentifizierung durch den Authentifizierungsprozedur erfolgt.
Dies bedeutet eine wesentliche Verbesserung des Sicherheitsniveaus.
-
Darüber hinaus
kann in einem drahtlosen LAN-System, das die als Option in IEEE
802.11 definierten Authentifizierungsprozeduren mit gemeinsamem
Schlüssel
implementiert, diese Authentifizierungsprozedur mit der zusätzlichen
Implementierung der Access-Point-Vorrichtung alleine in Betrieb
gesetzt werden. Es ist keine Modifizierung an den Mobilstationsgeräten erforderlich.
-
Wie
es detailliert beschrieben wurde, kann, gemäß der Erfindung, das Sicherheitsniveau
eines drahtlosen LAN-Systems dramatisch verbessert werden, während Mobilstationsgeräte ohne
jegliche Modifizierung implementiert werden können.