JP2000244547A - 認証方法 - Google Patents
認証方法Info
- Publication number
- JP2000244547A JP2000244547A JP3919699A JP3919699A JP2000244547A JP 2000244547 A JP2000244547 A JP 2000244547A JP 3919699 A JP3919699 A JP 3919699A JP 3919699 A JP3919699 A JP 3919699A JP 2000244547 A JP2000244547 A JP 2000244547A
- Authority
- JP
- Japan
- Prior art keywords
- mobile terminal
- information
- network
- tunnel server
- access network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 異種ネットワーク間で移動しながらホームネ
ットワークへのアクセスを継続しても、適切な暗号化ア
ルゴリズムを選択できること。 【解決手段】 移動端末は、アクセスネットワークBよ
り通知されたネットワーク情報に基づいて、必要な暗号
の強度を判断して、暗号化アルゴリズムを選択する。そ
の後、移動端末は、ホームネットワークAのトンネルサ
ーバーとの認証時に、選択された暗号化アルゴリズムの
種別と今回のセッションを特定しうる情報とを、自分の
署名鍵で署名して送出する。トンネルサーバーは、該署
名を検証し、移動端末より通知された今回のセッション
を特定しうる情報とトンネルサーバーが管理している今
回のセッションを特定しうる情報とを照合した上で、選
択された暗号化アルゴリズムによる暗号化されたVPN
通信を開始する。
ットワークへのアクセスを継続しても、適切な暗号化ア
ルゴリズムを選択できること。 【解決手段】 移動端末は、アクセスネットワークBよ
り通知されたネットワーク情報に基づいて、必要な暗号
の強度を判断して、暗号化アルゴリズムを選択する。そ
の後、移動端末は、ホームネットワークAのトンネルサ
ーバーとの認証時に、選択された暗号化アルゴリズムの
種別と今回のセッションを特定しうる情報とを、自分の
署名鍵で署名して送出する。トンネルサーバーは、該署
名を検証し、移動端末より通知された今回のセッション
を特定しうる情報とトンネルサーバーが管理している今
回のセッションを特定しうる情報とを照合した上で、選
択された暗号化アルゴリズムによる暗号化されたVPN
通信を開始する。
Description
【0001】
【発明の属する技術分野】この発明は、異種ネットワー
ク間でシームレス移動を行いながらホームネットワーク
へアクセスする場合における認証方法に関する。
ク間でシームレス移動を行いながらホームネットワーク
へアクセスする場合における認証方法に関する。
【0002】
【従来の技術】近年、モバイル・コンピューティングの
進展に従い、ファイアウォール(firewall)を越えて、
自分が平常アクセスしているオフィスのネットワーク
に、外部からアクセスするVPN(Virtual Private Ne
twork )技術が発展を見ている。VPNの根幹は、ファ
イアウォール内にあるトンネルサーバーによる認証と暗
号化トンネルの開設である。
進展に従い、ファイアウォール(firewall)を越えて、
自分が平常アクセスしているオフィスのネットワーク
に、外部からアクセスするVPN(Virtual Private Ne
twork )技術が発展を見ている。VPNの根幹は、ファ
イアウォール内にあるトンネルサーバーによる認証と暗
号化トンネルの開設である。
【0003】図3は、VPNを開設しながら、移動端末
がアクセスネットワーク(構内ネットワーク)B,Cを
介してホームネットワークAに外部からアクセスを行う
システムの概要例を示す説明図である。この図におい
て、ファイアウォールは、トンネルサーバーとの認証パ
ケット、及び、トンネルサーバーとの暗号化トンネルを
通るパケットのみを通すように設定されている。
がアクセスネットワーク(構内ネットワーク)B,Cを
介してホームネットワークAに外部からアクセスを行う
システムの概要例を示す説明図である。この図におい
て、ファイアウォールは、トンネルサーバーとの認証パ
ケット、及び、トンネルサーバーとの暗号化トンネルを
通るパケットのみを通すように設定されている。
【0004】暗号化トンネルの開設は、以下の手順〜
で行われる(図4参照)。 移動端末とトンネルサーバーとは、認証を行う(2−
a)。 暗号鍵のネゴシエーションを行う(2−b)。 暗号化トンネルを開設する(2−c)。
で行われる(図4参照)。 移動端末とトンネルサーバーとは、認証を行う(2−
a)。 暗号鍵のネゴシエーションを行う(2−b)。 暗号化トンネルを開設する(2−c)。
【0005】また、一般に、暗号解読にかかる所要時間
は、単位時間当たりの暗号化試行回数によって決まるた
め、暗号化試行速度の速い暗号ほど短時間で解読されや
すい傾向がある。図5は、暗号化アルゴリズムの特性
(強度・速度)とネットワークとの関係を示す図表であ
る。この表に示すように、専用線を介した接続の場合、
及び、構内ネットワークを介した接続の場合には、高い
安全性は要求されないが、上記専用線や上記構内ネット
ワークが有する高い伝送速度を低下させないためにも、
高速度の暗号化アルゴリズムが要求される。一方、イン
ターネットを介した接続の場合には、伝送路(インター
ネット)自体の伝送速度が低いと考えられるため、高速
度の暗号化アルゴリズムは要求されないが、高い安全性
が要求される。
は、単位時間当たりの暗号化試行回数によって決まるた
め、暗号化試行速度の速い暗号ほど短時間で解読されや
すい傾向がある。図5は、暗号化アルゴリズムの特性
(強度・速度)とネットワークとの関係を示す図表であ
る。この表に示すように、専用線を介した接続の場合、
及び、構内ネットワークを介した接続の場合には、高い
安全性は要求されないが、上記専用線や上記構内ネット
ワークが有する高い伝送速度を低下させないためにも、
高速度の暗号化アルゴリズムが要求される。一方、イン
ターネットを介した接続の場合には、伝送路(インター
ネット)自体の伝送速度が低いと考えられるため、高速
度の暗号化アルゴリズムは要求されないが、高い安全性
が要求される。
【0006】実際に現在市販されているVPNシステム
としては、(1)主に構内ネットワークにおいて使用さ
れることを念頭におき、簡易暗号を使用しているシステ
ム、(2)OCN等の商用インターネットサービスにお
いて使用されることを念頭におき、強い暗号を使用して
いるシステムなどがある。上記(1)の一例としては、
Logical Office(谷本他、”ロジカルオフィスサービ
ス”、NTT R&D、Vol.45 No.10 1996年)
がある。また、上記(2)の一例としては、DEC,N
TT−AT社製 Altavista tunnel がある。
としては、(1)主に構内ネットワークにおいて使用さ
れることを念頭におき、簡易暗号を使用しているシステ
ム、(2)OCN等の商用インターネットサービスにお
いて使用されることを念頭におき、強い暗号を使用して
いるシステムなどがある。上記(1)の一例としては、
Logical Office(谷本他、”ロジカルオフィスサービ
ス”、NTT R&D、Vol.45 No.10 1996年)
がある。また、上記(2)の一例としては、DEC,N
TT−AT社製 Altavista tunnel がある。
【0007】
【発明が解決しようとする課題】ところで、近年標準化
の進展が著しい無線LANの新しい利用形態として、異
種ネットワーク間にまたがって、移動しながら継続した
通信を行っていく通信形態が現実のものとなってきてい
る。該利用形態の一例としては、図3に示すように、移
動端末の移動に伴って、通信を介するアクセスネットワ
ークをアクセスネットワークCからアクセスネットワー
クBに変更することが考えられる。このような利用形態
においては、移動端末とホームネットワークとの間にお
ける暗号化トンネルが様々な通信経路を経由することに
なる。
の進展が著しい無線LANの新しい利用形態として、異
種ネットワーク間にまたがって、移動しながら継続した
通信を行っていく通信形態が現実のものとなってきてい
る。該利用形態の一例としては、図3に示すように、移
動端末の移動に伴って、通信を介するアクセスネットワ
ークをアクセスネットワークCからアクセスネットワー
クBに変更することが考えられる。このような利用形態
においては、移動端末とホームネットワークとの間にお
ける暗号化トンネルが様々な通信経路を経由することに
なる。
【0008】そのため、従来のシステム(単一の暗号化
アルゴリズムしか用意されていないシステム)では、該
用意された暗号化アルゴリズムが、現在経由している通
信経路に対して、必要以上に安全であるが要求される処
理速度を満たしていない場合であっても、または、必要
以上に高速であるが要求される安全性を満たしていない
場合であっても、該用意された暗号化アルゴリズムを使
用せざるを得ない、という課題があった。
アルゴリズムしか用意されていないシステム)では、該
用意された暗号化アルゴリズムが、現在経由している通
信経路に対して、必要以上に安全であるが要求される処
理速度を満たしていない場合であっても、または、必要
以上に高速であるが要求される安全性を満たしていない
場合であっても、該用意された暗号化アルゴリズムを使
用せざるを得ない、という課題があった。
【0009】この発明は、このような背景の下になされ
たもので、異種ネットワーク間でシームレス移動を行い
ながらホームネットワークへのアクセスを継続しても、
必要な強度・速度の暗号化アルゴリズムを適切に選択す
ることができる認証方法を提供することを目的とする。
たもので、異種ネットワーク間でシームレス移動を行い
ながらホームネットワークへのアクセスを継続しても、
必要な強度・速度の暗号化アルゴリズムを適切に選択す
ることができる認証方法を提供することを目的とする。
【0010】
【課題を解決するための手段】請求項1記載の発明は、
移動端末、アクセスネットワーク、中継ネットワーク、
ホームネットワーク及びホームネットワーク内のトンネ
ルサーバーから構成され、移動端末は、アクセスネット
ワークと中継ネットワークとを経由して、トンネルサー
バーとの間で認証を行い、移動端末とトンネルサーバー
との間で暗号化トンネルを開設して通信を行う通信シス
テムの認証方法において、移動端末は、アクセスネット
ワークとの接続時に認証を行い、アクセスネットワーク
との認証時に、アクセスネットワークより通知されたネ
ットワーク情報に基づいて、必要な暗号の強度を判断し
て、暗号化アルゴリズムを選択し、トンネルサーバーと
の認証時に、選択された暗号化アルゴリズムの種別と今
回のセッションを特定しうる情報とを、自分の署名鍵で
署名して送出し、トンネルサーバーは、前記署名を検証
し、移動端末より通知された今回のセッションを特定し
うる情報とトンネルサーバーが管理している今回のセッ
ションを特定しうる情報との照合結果に基づいて、移動
端末の正当性を判定し、正当性が認識されると、選択さ
れた暗号化アルゴリズムによる暗号化されたVPN通信
を開始することを特徴とする。請求項2記載の発明は、
請求項1記載の認証方法において、前記今回のセッショ
ンを特定しうる情報として、移動端末の外部からのアク
セス回数を用いることを特徴とする。請求項3記載の発
明は、請求項1記載の認証方法において、前記今回のセ
ッションを特定しうる情報として、セッションの行われ
た時刻情報を用いることを特徴とする。請求項4記載の
発明は、移動端末、アクセスネットワーク、中継ネット
ワーク、ホームネットワーク及びホームネットワーク内
のトンネルサーバーから構成され、移動端末は、アクセ
スネットワークと中継ネットワークとを経由して、トン
ネルサーバーとの間で認証を行い、移動端末とトンネル
サーバーとの間で暗号化トンネルを開設して通信を行う
通信システムの認証方法において、移動端末は、アクセ
スネットワークとの接続時に認証を行い、トンネルサー
バーとの認証時に、今回のセッションを特定しうる情報
とアクセスネットワークとの認証時にアクセスネットワ
ークより通知されたネットワーク情報とを、自分の署名
鍵で署名して送出し、トンネルサーバーは、前記署名を
検証し、移動端末より通知された今回のセッションを特
定しうる情報とトンネルサーバーが管理している今回の
セッションを特定しうる情報との照合結果に基づいて、
移動端末の正当性を判定し、正当性が認識されると、移
動端末より通知されたネットワーク情報に基づいて、必
要な暗号の強度を判断して、暗号化アルゴリズムを選択
し、選択された暗号化アルゴリズムによる暗号化された
VPN通信を開始することを特徴とする。請求項5記載
の発明は、請求項4記載の認証方法において、前記今回
のセッションを特定しうる情報として、移動端末の外部
からのアクセス回数を用いることを特徴とする。請求項
6記載の発明は、請求項4記載の認証方法において、前
記今回のセッションを特定しうる情報として、セッショ
ンの行われた時刻情報を用いることを特徴とする。
移動端末、アクセスネットワーク、中継ネットワーク、
ホームネットワーク及びホームネットワーク内のトンネ
ルサーバーから構成され、移動端末は、アクセスネット
ワークと中継ネットワークとを経由して、トンネルサー
バーとの間で認証を行い、移動端末とトンネルサーバー
との間で暗号化トンネルを開設して通信を行う通信シス
テムの認証方法において、移動端末は、アクセスネット
ワークとの接続時に認証を行い、アクセスネットワーク
との認証時に、アクセスネットワークより通知されたネ
ットワーク情報に基づいて、必要な暗号の強度を判断し
て、暗号化アルゴリズムを選択し、トンネルサーバーと
の認証時に、選択された暗号化アルゴリズムの種別と今
回のセッションを特定しうる情報とを、自分の署名鍵で
署名して送出し、トンネルサーバーは、前記署名を検証
し、移動端末より通知された今回のセッションを特定し
うる情報とトンネルサーバーが管理している今回のセッ
ションを特定しうる情報との照合結果に基づいて、移動
端末の正当性を判定し、正当性が認識されると、選択さ
れた暗号化アルゴリズムによる暗号化されたVPN通信
を開始することを特徴とする。請求項2記載の発明は、
請求項1記載の認証方法において、前記今回のセッショ
ンを特定しうる情報として、移動端末の外部からのアク
セス回数を用いることを特徴とする。請求項3記載の発
明は、請求項1記載の認証方法において、前記今回のセ
ッションを特定しうる情報として、セッションの行われ
た時刻情報を用いることを特徴とする。請求項4記載の
発明は、移動端末、アクセスネットワーク、中継ネット
ワーク、ホームネットワーク及びホームネットワーク内
のトンネルサーバーから構成され、移動端末は、アクセ
スネットワークと中継ネットワークとを経由して、トン
ネルサーバーとの間で認証を行い、移動端末とトンネル
サーバーとの間で暗号化トンネルを開設して通信を行う
通信システムの認証方法において、移動端末は、アクセ
スネットワークとの接続時に認証を行い、トンネルサー
バーとの認証時に、今回のセッションを特定しうる情報
とアクセスネットワークとの認証時にアクセスネットワ
ークより通知されたネットワーク情報とを、自分の署名
鍵で署名して送出し、トンネルサーバーは、前記署名を
検証し、移動端末より通知された今回のセッションを特
定しうる情報とトンネルサーバーが管理している今回の
セッションを特定しうる情報との照合結果に基づいて、
移動端末の正当性を判定し、正当性が認識されると、移
動端末より通知されたネットワーク情報に基づいて、必
要な暗号の強度を判断して、暗号化アルゴリズムを選択
し、選択された暗号化アルゴリズムによる暗号化された
VPN通信を開始することを特徴とする。請求項5記載
の発明は、請求項4記載の認証方法において、前記今回
のセッションを特定しうる情報として、移動端末の外部
からのアクセス回数を用いることを特徴とする。請求項
6記載の発明は、請求項4記載の認証方法において、前
記今回のセッションを特定しうる情報として、セッショ
ンの行われた時刻情報を用いることを特徴とする。
【0011】
【発明の実施の形態】§1.概要 本発明は、アクセスネットワークへの接続時に、移動端
末とアクセスネットワークとが相互認証を行い、該アク
セスネットワークに関する情報(ネットワークアドレ
ス,運用機関の情報)を得て、該情報に基づいて、必要
な強度・速度の暗号化アルゴリズムを選択することを、
最も主要な特徴とする。移動端末が異種ネットワーク間
をまたがる移動をしながら、各時点で最も適切な暗号化
アルゴリズムを選択して通信を行える点が、従来技術と
は異なる。本発明によると、接続するネットワークに応
じて、求められる安全性・速度を判断して、適切な暗号
化アルゴリズムを選択することが可能であり、特に、無
線LAN等の高度移動通信システムにおいて、常に自分
のオフィス環境にアクセスし続けることを可能とする効
果が得られる。
末とアクセスネットワークとが相互認証を行い、該アク
セスネットワークに関する情報(ネットワークアドレ
ス,運用機関の情報)を得て、該情報に基づいて、必要
な強度・速度の暗号化アルゴリズムを選択することを、
最も主要な特徴とする。移動端末が異種ネットワーク間
をまたがる移動をしながら、各時点で最も適切な暗号化
アルゴリズムを選択して通信を行える点が、従来技術と
は異なる。本発明によると、接続するネットワークに応
じて、求められる安全性・速度を判断して、適切な暗号
化アルゴリズムを選択することが可能であり、特に、無
線LAN等の高度移動通信システムにおいて、常に自分
のオフィス環境にアクセスし続けることを可能とする効
果が得られる。
【0012】§2.第1実施形態 以下、図面を参照して、この発明の第1実施形態につい
て説明する。なお、本実施形態は請求項2に対応する
が、以下の説明において、「回数情報」を「時刻情報」
と置き換えることによって請求項3に対応する説明とな
り、また、「回数情報」を「今回のセッションを特定し
うる情報」と置き換えることによって請求項1に対応す
る説明となる。
て説明する。なお、本実施形態は請求項2に対応する
が、以下の説明において、「回数情報」を「時刻情報」
と置き換えることによって請求項3に対応する説明とな
り、また、「回数情報」を「今回のセッションを特定し
うる情報」と置き換えることによって請求項1に対応す
る説明となる。
【0013】図1は、この発明の第1実施形態による認
証方法の一例を示すシーケンス図である。この図では、
初期状態として、図3のように、「移動端末が、アクセ
スネットワークCを介して、ホームネットワークAとV
PN暗号化トンネルを開設し、通信を行っている」場合
を考える。
証方法の一例を示すシーケンス図である。この図では、
初期状態として、図3のように、「移動端末が、アクセ
スネットワークCを介して、ホームネットワークAとV
PN暗号化トンネルを開設し、通信を行っている」場合
を考える。
【0014】この初期状態において、移動端末が図3の
ように移動すると、通信に使用されるアクセスネットワ
ークは、アクセスネットワークCからアクセスネットワ
ークBに切り替わる。アクセスネットワークBに切り替
わると、移動端末とアクセスネットワークBとは、公開
鍵証明書を相互認証する。
ように移動すると、通信に使用されるアクセスネットワ
ークは、アクセスネットワークCからアクセスネットワ
ークBに切り替わる。アクセスネットワークBに切り替
わると、移動端末とアクセスネットワークBとは、公開
鍵証明書を相互認証する。
【0015】移動端末は、アクセスネットワークBとの
相互認証時に、アクセスネットワークBの証明書中のネ
ットワーク情報に基づいて、アクセスネットワークBに
適した暗号化アルゴリズムを選択する。
相互認証時に、アクセスネットワークBの証明書中のネ
ットワーク情報に基づいて、アクセスネットワークBに
適した暗号化アルゴリズムを選択する。
【0016】移動端末は、選択された暗号化アルゴリズ
ムの種別を示す暗号化アルゴリズム選択メッセージに対
して、該移動端末固有の署名鍵で署名し、署名された暗
号化アルゴリズム選択メッセージを、ホームネットワー
クAのVPNの終端ノード(トンネルサーバー)に送出
する。
ムの種別を示す暗号化アルゴリズム選択メッセージに対
して、該移動端末固有の署名鍵で署名し、署名された暗
号化アルゴリズム選択メッセージを、ホームネットワー
クAのVPNの終端ノード(トンネルサーバー)に送出
する。
【0017】このとき、移動端末は、(この署名された
暗号化アルゴリズム選択メッセージを解析することによ
って求められる)上記署名鍵がアクセスネットワークB
によって流用されることを防がなくてはならない。そこ
で、移動端末は、外部からホームネットワークAにアク
セスした回数を示す回数情報を、被署名文(即ち、暗号
化アルゴリズム選択メッセージ)に組み込み、この回数
情報が組み込まれた暗号化アルゴリズム選択メッセージ
に対して署名する。これによると、アクセスネットワー
クBは回数情報を偽造できないので、署名鍵を解析・流
用することも不可能となる。
暗号化アルゴリズム選択メッセージを解析することによ
って求められる)上記署名鍵がアクセスネットワークB
によって流用されることを防がなくてはならない。そこ
で、移動端末は、外部からホームネットワークAにアク
セスした回数を示す回数情報を、被署名文(即ち、暗号
化アルゴリズム選択メッセージ)に組み込み、この回数
情報が組み込まれた暗号化アルゴリズム選択メッセージ
に対して署名する。これによると、アクセスネットワー
クBは回数情報を偽造できないので、署名鍵を解析・流
用することも不可能となる。
【0018】回数情報が組み込まれた後に署名された暗
号化アルゴリズム選択メッセージを受信すると、ホーム
ネットワークAは、該受信内容から回数情報(即ち、移
動端末が管理している回数情報、以下、「移動端末側回
数情報」と称する)を取り出し、該移動端末側回数情報
を、移動端末からホームネットワークAへのアクセスに
関してホームネットワークAが管理している回数情報
(以下、「ホームネットワーク側回数情報」と称する)
と照合する。
号化アルゴリズム選択メッセージを受信すると、ホーム
ネットワークAは、該受信内容から回数情報(即ち、移
動端末が管理している回数情報、以下、「移動端末側回
数情報」と称する)を取り出し、該移動端末側回数情報
を、移動端末からホームネットワークAへのアクセスに
関してホームネットワークAが管理している回数情報
(以下、「ホームネットワーク側回数情報」と称する)
と照合する。
【0019】もし、移動端末側回数情報とホームネット
ワーク側回数情報とが一致しないならば、ホームネット
ワークAは、移動端末との接続を拒否し、処理は終了す
る。一方、移動端末側回数情報とホームネットワーク側
回数情報とが一致するならば、ホームネットワークA
は、ホームネットワーク側回数情報(が示す回数)を1
増やす。
ワーク側回数情報とが一致しないならば、ホームネット
ワークAは、移動端末との接続を拒否し、処理は終了す
る。一方、移動端末側回数情報とホームネットワーク側
回数情報とが一致するならば、ホームネットワークA
は、ホームネットワーク側回数情報(が示す回数)を1
増やす。
【0020】ホームネットワークAは、回数情報が組み
込まれた後に署名された暗号化アルゴリズム選択メッセ
ージから暗号化アルゴリズム選択メッセージを取り出
し、該暗号化アルゴリズム選択メッセージが示す種別の
暗号化アルゴリズム(即ち、移動端末によって選択され
た暗号化アルゴリズム)に基づいて、VPN暗号化トン
ネルを開設する。最後に、移動端末は、移動端末側回数
情報(が示す回数)を1増やす。以上で、処理は終了す
る。
込まれた後に署名された暗号化アルゴリズム選択メッセ
ージから暗号化アルゴリズム選択メッセージを取り出
し、該暗号化アルゴリズム選択メッセージが示す種別の
暗号化アルゴリズム(即ち、移動端末によって選択され
た暗号化アルゴリズム)に基づいて、VPN暗号化トン
ネルを開設する。最後に、移動端末は、移動端末側回数
情報(が示す回数)を1増やす。以上で、処理は終了す
る。
【0021】上記の認証方法によれば、異種ネットワー
ク間でシームレス移動を行いながらホームネットワーク
へのアクセスを継続しても、必要な強度・速度の暗号化
アルゴリズムを適切に選択することができる。
ク間でシームレス移動を行いながらホームネットワーク
へのアクセスを継続しても、必要な強度・速度の暗号化
アルゴリズムを適切に選択することができる。
【0022】§3.第2実施形態 以下、図面を参照して、この発明の第2実施形態につい
て説明する。なお、本実施形態は請求項5に対応する
が、以下の説明において、「回数情報」を「時刻情報」
と置き換えることによって請求項6に対応する説明とな
り、また、「回数情報」を「今回のセッションを特定し
うる情報」と置き換えることによって請求項4に対応す
る説明となる。
て説明する。なお、本実施形態は請求項5に対応する
が、以下の説明において、「回数情報」を「時刻情報」
と置き換えることによって請求項6に対応する説明とな
り、また、「回数情報」を「今回のセッションを特定し
うる情報」と置き換えることによって請求項4に対応す
る説明となる。
【0023】図2は、この発明の第2実施形態による認
証方法の一例を示すシーケンス図である。この図でも、
初期状態として、図3のように、「移動端末が、アクセ
スネットワークCを介して、ホームネットワークAとV
PN暗号化トンネルを開設し、通信を行っている」場合
を考える。
証方法の一例を示すシーケンス図である。この図でも、
初期状態として、図3のように、「移動端末が、アクセ
スネットワークCを介して、ホームネットワークAとV
PN暗号化トンネルを開設し、通信を行っている」場合
を考える。
【0024】この初期状態において、移動端末が図3の
ように移動すると、通信に使用されるアクセスネットワ
ークは、アクセスネットワークCからアクセスネットワ
ークBに切り替わる。アクセスネットワークBに切り替
わると、移動端末とアクセスネットワークBとは、公開
鍵証明書を相互認証する。
ように移動すると、通信に使用されるアクセスネットワ
ークは、アクセスネットワークCからアクセスネットワ
ークBに切り替わる。アクセスネットワークBに切り替
わると、移動端末とアクセスネットワークBとは、公開
鍵証明書を相互認証する。
【0025】移動端末は、アクセスネットワークBとの
相互認証時に、アクセスネットワークBの証明書中のネ
ットワーク情報に対して、該移動端末固有の署名鍵で署
名し、署名されたネットワーク情報を、ホームネットワ
ークAのVPNの終端ノード(トンネルサーバー)に送
出する。
相互認証時に、アクセスネットワークBの証明書中のネ
ットワーク情報に対して、該移動端末固有の署名鍵で署
名し、署名されたネットワーク情報を、ホームネットワ
ークAのVPNの終端ノード(トンネルサーバー)に送
出する。
【0026】このとき、移動端末は、(この署名された
ネットワーク情報を解析することによって求められる)
上記署名鍵がアクセスネットワークBによって流用され
ることを防がなくてはならない。そこで、移動端末は、
外部からホームネットワークAにアクセスした回数を示
す回数情報を、被署名文(即ち、上記ネットワーク情
報)に組み込み、この回数情報が組み込まれたネットワ
ーク情報に対して署名する。これによると、アクセスネ
ットワークBは回数情報を偽造できないので、署名鍵を
解析・流用することも不可能となる。
ネットワーク情報を解析することによって求められる)
上記署名鍵がアクセスネットワークBによって流用され
ることを防がなくてはならない。そこで、移動端末は、
外部からホームネットワークAにアクセスした回数を示
す回数情報を、被署名文(即ち、上記ネットワーク情
報)に組み込み、この回数情報が組み込まれたネットワ
ーク情報に対して署名する。これによると、アクセスネ
ットワークBは回数情報を偽造できないので、署名鍵を
解析・流用することも不可能となる。
【0027】回数情報が組み込まれた後に署名されたネ
ットワーク情報を受信すると、ホームネットワークA
は、該受信内容から回数情報(即ち、移動端末側回数情
報)を取り出し、該移動端末側回数情報を、移動端末か
らホームネットワークAへのアクセスに関してホームネ
ットワークAが管理している回数情報(即ち、ホームネ
ットワーク側回数情報)と照合する。
ットワーク情報を受信すると、ホームネットワークA
は、該受信内容から回数情報(即ち、移動端末側回数情
報)を取り出し、該移動端末側回数情報を、移動端末か
らホームネットワークAへのアクセスに関してホームネ
ットワークAが管理している回数情報(即ち、ホームネ
ットワーク側回数情報)と照合する。
【0028】もし、移動端末側回数情報とホームネット
ワーク側回数情報とが一致しないならば、ホームネット
ワークAは、移動端末との接続を拒否し、処理は終了す
る。一方、移動端末側回数情報とホームネットワーク側
回数情報とが一致するならば、ホームネットワークA
は、ホームネットワーク側回数情報(が示す回数)を1
増やす。
ワーク側回数情報とが一致しないならば、ホームネット
ワークAは、移動端末との接続を拒否し、処理は終了す
る。一方、移動端末側回数情報とホームネットワーク側
回数情報とが一致するならば、ホームネットワークA
は、ホームネットワーク側回数情報(が示す回数)を1
増やす。
【0029】ホームネットワークAは、回数情報が組み
込まれた後に署名されたネットワーク情報からネットワ
ーク情報を取り出し、該ネットワーク情報に基づいて、
アクセスネットワークBに適した暗号化アルゴリズムを
選択する。ホームネットワークAは、該選択された暗号
化アルゴリズムに基づいて、VPN暗号化トンネルを開
設する。最後に、移動端末は、移動端末側回数情報(が
示す回数)を1増やす。以上で、処理は終了する。
込まれた後に署名されたネットワーク情報からネットワ
ーク情報を取り出し、該ネットワーク情報に基づいて、
アクセスネットワークBに適した暗号化アルゴリズムを
選択する。ホームネットワークAは、該選択された暗号
化アルゴリズムに基づいて、VPN暗号化トンネルを開
設する。最後に、移動端末は、移動端末側回数情報(が
示す回数)を1増やす。以上で、処理は終了する。
【0030】上記の認証方法によれば、異種ネットワー
ク間でシームレス移動を行いながらホームネットワーク
へのアクセスを継続しても、必要な強度・速度の暗号化
アルゴリズムを適切に選択することができる。
ク間でシームレス移動を行いながらホームネットワーク
へのアクセスを継続しても、必要な強度・速度の暗号化
アルゴリズムを適切に選択することができる。
【0031】§4.捕捉 以上、この発明の実施形態を図面を参照して詳述してき
たが、具体的な構成はこの実施形態に限られるものでは
なく、この発明の要旨を逸脱しない範囲の設計の変更等
があってもこの発明に含まれる。
たが、具体的な構成はこの実施形態に限られるものでは
なく、この発明の要旨を逸脱しない範囲の設計の変更等
があってもこの発明に含まれる。
【0032】
【発明の効果】以上説明したように、この発明によれ
ば、アクセスネットワークに関するネットワーク情報に
基づいて暗号化アルゴリズムを選択することができるの
で、必要な安全性と処理速度とを備えた暗号化アルゴリ
ズムを適切に選択することができる。特に、無線LAN
を用いたモバイルコンピューティングにおいては、本発
明により、シームレスに異種ネットワーク間を移動する
ことができるようになる。また、「従来の技術」の項で
説明したようなシステム(構内ネットワーク向けシステ
ムと商用インターネット向けシステム)の2つを、ユー
ザーに購入させる必要が無くなるため、システムヴェン
ダーとしては、スケールメリットを享受できる。
ば、アクセスネットワークに関するネットワーク情報に
基づいて暗号化アルゴリズムを選択することができるの
で、必要な安全性と処理速度とを備えた暗号化アルゴリ
ズムを適切に選択することができる。特に、無線LAN
を用いたモバイルコンピューティングにおいては、本発
明により、シームレスに異種ネットワーク間を移動する
ことができるようになる。また、「従来の技術」の項で
説明したようなシステム(構内ネットワーク向けシステ
ムと商用インターネット向けシステム)の2つを、ユー
ザーに購入させる必要が無くなるため、システムヴェン
ダーとしては、スケールメリットを享受できる。
【図1】 この発明の第1実施形態による認証方法の一
例を示すシーケンス図である。
例を示すシーケンス図である。
【図2】 この発明の第2実施形態による認証方法の一
例を示すシーケンス図である。
例を示すシーケンス図である。
【図3】 VPNを開設して通信を行うシステムの概要
例を示す説明図である。
例を示す説明図である。
【図4】 暗号化トンネルを開設する手順の一例を示す
シーケンス図である。
シーケンス図である。
【図5】 暗号化アルゴリズムの特性(強度・速度)と
ネットワークとの関係を示す図表である。
ネットワークとの関係を示す図表である。
A……ホームネットワーク B,C……アクセスネットワーク
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 12/66 (72)発明者 守倉 正博 東京都新宿区西新宿三丁目19番2号 日本 電信電話株式会社内 Fターム(参考) 5J104 AA07 AA35 AA36 KA02 KA10 NA38 PA01 PA07 5K030 GA15 JT09 5K033 AA08 DA19 9A001 CC05 CC06 EE03 JJ27 LL03
Claims (6)
- 【請求項1】 移動端末、アクセスネットワーク、中継
ネットワーク、ホームネットワーク及びホームネットワ
ーク内のトンネルサーバーから構成され、 移動端末は、アクセスネットワークと中継ネットワーク
とを経由して、トンネルサーバーとの間で認証を行い、
移動端末とトンネルサーバーとの間で暗号化トンネルを
開設して通信を行う通信システムの認証方法において、 移動端末は、 アクセスネットワークとの接続時に認証を行い、 アクセスネットワークとの認証時に、アクセスネットワ
ークより通知されたネットワーク情報に基づいて、必要
な暗号の強度を判断して、暗号化アルゴリズムを選択
し、 トンネルサーバーとの認証時に、選択された暗号化アル
ゴリズムの種別と今回のセッションを特定しうる情報と
を、自分の署名鍵で署名して送出し、 トンネルサーバーは、 前記署名を検証し、 移動端末より通知された今回のセッションを特定しうる
情報とトンネルサーバーが管理している今回のセッショ
ンを特定しうる情報との照合結果に基づいて、移動端末
の正当性を判定し、 正当性が認識されると、選択された暗号化アルゴリズム
による暗号化されたVPN通信を開始することを特徴と
する認証方法。 - 【請求項2】 請求項1記載の認証方法において、 前記今回のセッションを特定しうる情報として、移動端
末の外部からのアクセス回数を用いることを特徴とする
認証方法。 - 【請求項3】 請求項1記載の認証方法において、 前記今回のセッションを特定しうる情報として、セッシ
ョンの行われた時刻情報を用いることを特徴とする認証
方法。 - 【請求項4】 移動端末、アクセスネットワーク、中継
ネットワーク、ホームネットワーク及びホームネットワ
ーク内のトンネルサーバーから構成され、 移動端末は、アクセスネットワークと中継ネットワーク
とを経由して、トンネルサーバーとの間で認証を行い、
移動端末とトンネルサーバーとの間で暗号化トンネルを
開設して通信を行う通信システムの認証方法において、 移動端末は、 アクセスネットワークとの接続時に認証を行い、 トンネルサーバーとの認証時に、今回のセッションを特
定しうる情報とアクセスネットワークとの認証時にアク
セスネットワークより通知されたネットワーク情報と
を、自分の署名鍵で署名して送出し、 トンネルサーバーは、 前記署名を検証し、 移動端末より通知された今回のセッションを特定しうる
情報とトンネルサーバーが管理している今回のセッショ
ンを特定しうる情報との照合結果に基づいて、移動端末
の正当性を判定し、 正当性が認識されると、移動端末より通知されたネット
ワーク情報に基づいて、必要な暗号の強度を判断して、
暗号化アルゴリズムを選択し、 選択された暗号化アルゴリズムによる暗号化されたVP
N通信を開始することを特徴とする認証方法。 - 【請求項5】 請求項4記載の認証方法において、 前記今回のセッションを特定しうる情報として、移動端
末の外部からのアクセス回数を用いることを特徴とする
認証方法。 - 【請求項6】 請求項4記載の認証方法において、 前記今回のセッションを特定しうる情報として、セッシ
ョンの行われた時刻情報を用いることを特徴とする認証
方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP3919699A JP2000244547A (ja) | 1999-02-17 | 1999-02-17 | 認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP3919699A JP2000244547A (ja) | 1999-02-17 | 1999-02-17 | 認証方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000244547A true JP2000244547A (ja) | 2000-09-08 |
Family
ID=12546379
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP3919699A Pending JP2000244547A (ja) | 1999-02-17 | 1999-02-17 | 認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000244547A (ja) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003179595A (ja) * | 2001-12-13 | 2003-06-27 | Celestar Lexico-Sciences Inc | 暗号化通信方法、暗号化通信システム、暗号化通信を行うコンピュータ、記憶媒体及びプログラム |
| JP2005529525A (ja) * | 2002-06-06 | 2005-09-29 | トムソン ライセンシング ソシエテ アノニム | 階層型認可証を用いたブローカーに基づく相互接続 |
| JP2007502060A (ja) * | 2003-08-12 | 2007-02-01 | リサーチ イン モーション リミテッド | 暗号化の強度を示すシステムおよび方法 |
| JP2007507157A (ja) * | 2003-09-26 | 2007-03-22 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 移動体通信システムにおける暗号化の強化セキュリティ構成 |
| KR100888471B1 (ko) * | 2002-07-05 | 2009-03-12 | 삼성전자주식회사 | 링크 접속권한을 등급화 한 암호화 키 차등분배방법 및이를 이용한 로밍방법 |
| JP2009124711A (ja) * | 2008-12-08 | 2009-06-04 | Panasonic Corp | ローカルネットワーク相互接続における移動端末に対してネットワークに基づくトンネルを設定する方法 |
| US7623666B2 (en) | 2003-07-28 | 2009-11-24 | Nec Corporation | Automatic setting of security in communication network system |
| CN102521904A (zh) * | 2011-12-13 | 2012-06-27 | 章晋涛 | 一种基于互联网应用的中介控制系统 |
| US8295486B2 (en) | 2007-09-28 | 2012-10-23 | Research In Motion Limited | Systems, devices, and methods for outputting alerts to indicate the use of a weak hash function |
| KR101417927B1 (ko) | 2011-12-29 | 2014-07-11 | 주식회사 시큐아이 | IPSec VPN에서 로드 분산을 통해 암호화 통신을 수행하기 위한 방법 및 장치 |
-
1999
- 1999-02-17 JP JP3919699A patent/JP2000244547A/ja active Pending
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003179595A (ja) * | 2001-12-13 | 2003-06-27 | Celestar Lexico-Sciences Inc | 暗号化通信方法、暗号化通信システム、暗号化通信を行うコンピュータ、記憶媒体及びプログラム |
| JP2005529525A (ja) * | 2002-06-06 | 2005-09-29 | トムソン ライセンシング ソシエテ アノニム | 階層型認可証を用いたブローカーに基づく相互接続 |
| US8468354B2 (en) | 2002-06-06 | 2013-06-18 | Thomson Licensing | Broker-based interworking using hierarchical certificates |
| KR100888471B1 (ko) * | 2002-07-05 | 2009-03-12 | 삼성전자주식회사 | 링크 접속권한을 등급화 한 암호화 키 차등분배방법 및이를 이용한 로밍방법 |
| US7623666B2 (en) | 2003-07-28 | 2009-11-24 | Nec Corporation | Automatic setting of security in communication network system |
| US8347089B2 (en) | 2003-08-12 | 2013-01-01 | Research In Motion (TX office) | System and method of indicating the strength of encryption |
| US8862875B2 (en) | 2003-08-12 | 2014-10-14 | Blackberry Limited | System and method of indicating the strength of encryption |
| JP4646913B2 (ja) * | 2003-08-12 | 2011-03-09 | リサーチ イン モーション リミテッド | 暗号化の強度を示すシステムおよび方法 |
| JP2007502060A (ja) * | 2003-08-12 | 2007-02-01 | リサーチ イン モーション リミテッド | 暗号化の強度を示すシステムおよび方法 |
| JP4688808B2 (ja) * | 2003-09-26 | 2011-05-25 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 移動体通信システムにおける暗号化の強化セキュリティ構成 |
| JP2007507157A (ja) * | 2003-09-26 | 2007-03-22 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 移動体通信システムにおける暗号化の強化セキュリティ構成 |
| US8295486B2 (en) | 2007-09-28 | 2012-10-23 | Research In Motion Limited | Systems, devices, and methods for outputting alerts to indicate the use of a weak hash function |
| US9015486B2 (en) | 2007-09-28 | 2015-04-21 | Blackberry Limited | Systems, devices, and methods for outputting alerts to indicate the use of a weak hash function |
| JP2009124711A (ja) * | 2008-12-08 | 2009-06-04 | Panasonic Corp | ローカルネットワーク相互接続における移動端末に対してネットワークに基づくトンネルを設定する方法 |
| CN102521904A (zh) * | 2011-12-13 | 2012-06-27 | 章晋涛 | 一种基于互联网应用的中介控制系统 |
| CN102521904B (zh) * | 2011-12-13 | 2013-12-25 | 章晋涛 | 一种基于互联网应用的中介控制系统 |
| KR101417927B1 (ko) | 2011-12-29 | 2014-07-11 | 주식회사 시큐아이 | IPSec VPN에서 로드 분산을 통해 암호화 통신을 수행하기 위한 방법 및 장치 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1589695B1 (en) | A method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely | |
| EP1713289B1 (en) | A method for establishing security association between the roaming subscriber and the server of the visited network | |
| JP4194046B2 (ja) | 無線ローカルエリアネットワークアクセスにおけるsimベース認証および暗号化システム、装置および方法 | |
| JP5313200B2 (ja) | 通信システムにおけるキー発生方法及び装置 | |
| JP4575679B2 (ja) | 無線ネットワークハンドオフ暗号鍵 | |
| Arbaugh et al. | Your 80211 wireless network has no clothes | |
| EP1422875B1 (en) | Wireless network handoff key | |
| JP3863852B2 (ja) | 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体 | |
| JP4160049B2 (ja) | 第1のネットワークを通じた第2のネットワークのサービスへのアクセスを提供する方法及びシステム | |
| CN101371550B (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 | |
| US20020174335A1 (en) | IP-based AAA scheme for wireless LAN virtual operators | |
| CN1319337C (zh) | 基于以太网认证系统的认证方法 | |
| CN101160924A (zh) | 在通信系统中分发证书的方法 | |
| US8788821B2 (en) | Method and apparatus for securing communication between a mobile node and a network | |
| JP2002281045A (ja) | 無線ネットワーククライアントに対し認証されたアクセスを提供する有線ネットワークとその方法 | |
| Shi et al. | IEEE 802.11 roaming and authentication in wireless LAN/cellular mobile networks | |
| WO2004110026A1 (en) | Methods and systems of remote authentication for computer networks | |
| US8468354B2 (en) | Broker-based interworking using hierarchical certificates | |
| JP2000244547A (ja) | 認証方法 | |
| CN1996838A (zh) | 一种多主机WiMAX系统中的AAA认证优化方法 | |
| US20020067831A1 (en) | IP-based architecture for mobile computing networks | |
| Morioka et al. | MIS protocol for secure connection and fast handover on wireless LAN | |
| Park et al. | A new user authentication protocol for mobile terminals in wireless network | |
| JP2008182695A (ja) | 第1のネットワークを通じて第2のネットワークのサービスへのアクセスを提供する方法及びシステム | |
| Hecker et al. | Security in 4G |