JP2002124952A - 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム - Google Patents
無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システムInfo
- Publication number
- JP2002124952A JP2002124952A JP2000312626A JP2000312626A JP2002124952A JP 2002124952 A JP2002124952 A JP 2002124952A JP 2000312626 A JP2000312626 A JP 2000312626A JP 2000312626 A JP2000312626 A JP 2000312626A JP 2002124952 A JP2002124952 A JP 2002124952A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- session key
- base station
- wireless
- wireless terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 パケットフォーマットを変更することなく、
不正なユーザによる不正アクセスを防止して、ネットワ
ークリソースの不正利用を回避すること。 【解決手段】 無線端末2〜6は、最初にリクエストを
送信する。基地局1は、リクエストを中継し、送信元の
MACアドレスを取り出して、端末の認証を行うための
パケットを認証サーバ7に送信し、認証サーバ7は、M
ACアドレスを受信すると、暗号化を行ったセッション
キーを送信する。続いて、基地局1は、セッションキー
を保存し、レスポンスのパケットにセッションキーをつ
けて送信し、無線端末2〜6は、セッションキーを保存
し、以降、CRC値の計算をMACのヘッダ、ペイロー
ドにセッションキーを加えたハッシュ値を元に計算して
パケット送信する。基地局1は、受信時にセッションキ
ーを使って、HASH値を加えたCRC計算の値とパケ
ットのCRCの値を比較してパケット単位の認証を実現
する。
不正なユーザによる不正アクセスを防止して、ネットワ
ークリソースの不正利用を回避すること。 【解決手段】 無線端末2〜6は、最初にリクエストを
送信する。基地局1は、リクエストを中継し、送信元の
MACアドレスを取り出して、端末の認証を行うための
パケットを認証サーバ7に送信し、認証サーバ7は、M
ACアドレスを受信すると、暗号化を行ったセッション
キーを送信する。続いて、基地局1は、セッションキー
を保存し、レスポンスのパケットにセッションキーをつ
けて送信し、無線端末2〜6は、セッションキーを保存
し、以降、CRC値の計算をMACのヘッダ、ペイロー
ドにセッションキーを加えたハッシュ値を元に計算して
パケット送信する。基地局1は、受信時にセッションキ
ーを使って、HASH値を加えたCRC計算の値とパケ
ットのCRCの値を比較してパケット単位の認証を実現
する。
Description
【0001】
【発明の属する技術分野】本発明は、複数のLANと、
各LANに対応する複数のルータまたはブリッジと、バ
ックボーン網により構成され、各LANは対応するルー
タまたはブリッジによりバックボーン網を介して互いに
接続され、各LANは基地局と1つ以上の無線端末を含
む無線ネットワークにおける無線端末の認証方法および
無線端末の認証システムに関する。
各LANに対応する複数のルータまたはブリッジと、バ
ックボーン網により構成され、各LANは対応するルー
タまたはブリッジによりバックボーン網を介して互いに
接続され、各LANは基地局と1つ以上の無線端末を含
む無線ネットワークにおける無線端末の認証方法および
無線端末の認証システムに関する。
【0002】
【従来の技術】無線LANの方式は、IEEE802.
11として標準化がなされており、アクセス方式はCS
MA/CA(Carrier Sense Multiple Access with Col
lisionAvoidance)である。基本的に端末局は自由に通
信を行うことが可能であり、特に通信を開始するための
認証手順はない。また、直接シーケンススペクトラム拡
散方式では、利用する拡散コードを管理することで通信
できる相手を特定することは可能であるが、一般に同一
種類の製品では同一の拡散コードを使い、上位層の認証
に利用できるような使い方はされない。
11として標準化がなされており、アクセス方式はCS
MA/CA(Carrier Sense Multiple Access with Col
lisionAvoidance)である。基本的に端末局は自由に通
信を行うことが可能であり、特に通信を開始するための
認証手順はない。また、直接シーケンススペクトラム拡
散方式では、利用する拡散コードを管理することで通信
できる相手を特定することは可能であるが、一般に同一
種類の製品では同一の拡散コードを使い、上位層の認証
に利用できるような使い方はされない。
【0003】
【発明が解決しようとする課題】このような無線LAN
のシステムをアクセス網として利用する場合、契約者で
ない不正なユーザでも、容易にネットワークに接続する
ことが可能であるため、ネットワークリソースの不正利
用が可能であるという問題点があった。
のシステムをアクセス網として利用する場合、契約者で
ない不正なユーザでも、容易にネットワークに接続する
ことが可能であるため、ネットワークリソースの不正利
用が可能であるという問題点があった。
【0004】また、不正アクセスを回避するために、パ
ケットフォーマットに変更を行うと、データリンクの最
大転送可能データ長に影響がでるため、パケットフォー
マットの変更を容易に行えないという不都合もあった。
ケットフォーマットに変更を行うと、データリンクの最
大転送可能データ長に影響がでるため、パケットフォー
マットの変更を容易に行えないという不都合もあった。
【0005】本発明は上記に鑑みてなされたものであっ
て、パケットフォーマットを変更することなく、不正な
ユーザによる不正アクセスを防止して、ネットワークリ
ソースの不正利用を回避することを目的とする。
て、パケットフォーマットを変更することなく、不正な
ユーザによる不正アクセスを防止して、ネットワークリ
ソースの不正利用を回避することを目的とする。
【0006】
【課題を解決するための手段】上記の目的を達成するた
めに、請求項1に係る無線ネットワークにおける無線端
末の認証方法は、複数のLANと、各LANに対応する
複数のルータまたはブリッジと、バックボーン網により
構成され、各LANは対応するルータまたはブリッジに
より前記バックボーン網を介して互いに接続され、各L
ANは基地局と1つ以上の無線端末を含む無線ネットワ
ークにおける無線端末の認証方法であって、前記無線端
末は、最初に通信を開始するにあたり、ARPのリクエ
ストまたはDHCPのリクエストを送信し、前記基地局
は、そのリクエストを中継すると共に、送信元のMAC
アドレスを取り出して、認証サーバに対して端末の認証
を行うためのパケットを送信し、前記認証サーバは、M
ACアドレスを受信すると、あらかじめ配布しているシ
ークレットキーで暗号化を行ったセッションキーを送信
し、前記基地局は、セッションキーを保存すると共に、
ARPのリプライまたはDHCPのレスポンスのパケッ
トに、セッションキーをつけて送信し、前記無線端末
は、受信したセッションキーを保存し、以降のパケット
送信では、CRC値の計算をMACのヘッダ、ペイロー
ドにセッションキーを加えたハッシュ値を元に、計算し
てパケットを送信し、前記基地局は、パケット受信時
に、保存しているセッションキーを使って、同様のHA
SH値を加えたCRC計算の値とパケットのCRCの値
を比較することで、パケット単位の認証を実現すること
を特徴とする。
めに、請求項1に係る無線ネットワークにおける無線端
末の認証方法は、複数のLANと、各LANに対応する
複数のルータまたはブリッジと、バックボーン網により
構成され、各LANは対応するルータまたはブリッジに
より前記バックボーン網を介して互いに接続され、各L
ANは基地局と1つ以上の無線端末を含む無線ネットワ
ークにおける無線端末の認証方法であって、前記無線端
末は、最初に通信を開始するにあたり、ARPのリクエ
ストまたはDHCPのリクエストを送信し、前記基地局
は、そのリクエストを中継すると共に、送信元のMAC
アドレスを取り出して、認証サーバに対して端末の認証
を行うためのパケットを送信し、前記認証サーバは、M
ACアドレスを受信すると、あらかじめ配布しているシ
ークレットキーで暗号化を行ったセッションキーを送信
し、前記基地局は、セッションキーを保存すると共に、
ARPのリプライまたはDHCPのレスポンスのパケッ
トに、セッションキーをつけて送信し、前記無線端末
は、受信したセッションキーを保存し、以降のパケット
送信では、CRC値の計算をMACのヘッダ、ペイロー
ドにセッションキーを加えたハッシュ値を元に、計算し
てパケットを送信し、前記基地局は、パケット受信時
に、保存しているセッションキーを使って、同様のHA
SH値を加えたCRC計算の値とパケットのCRCの値
を比較することで、パケット単位の認証を実現すること
を特徴とする。
【0007】この発明によれば、IPでの通信を開始す
るにあたり、無線端末が、ARPのリクエストまたはD
HCPのリクエストを送信する。基地局(アクセスポイ
ント)側では、このARPまたはDHCPパケットの送
信元MACアドレスを取り出して、認証サーバに対して
端末の認証を依頼する。認証サーバは、MACアドレス
をチェックし、あらかじめ配布しているシークレットキ
ーで暗号化したセッションキーを送信し、基地局は、セ
ッションキーを保存すると共に、ARPのリプライまた
はDHCPのレスポンスパケットにセッションキーをつ
けて送信する。無線端末は、受信したセッションキーを
保存し、端末局はセッションキー入手以降、パケット送
信時に、MACフレームのCRCの値を計算するにあた
って、MACヘッダ、ペイロードとセッションキーでH
ASH値を計算し、そのHASH値がペイロードの最後
に付加されたパケットに対してCRCを計算し、そのC
RC値を通常のMACフレームのCRC値として送信を
行う。基地局では、このパケットを受信した場合、受信
したパケットのMACヘッダとペイロードとセッション
キーから端末側の処理と同様にHASH値を計算し、そ
れを加えてCRC値の計算を行い、受信したパケットの
CRC値と比較を行って、パケット単位の認証を行う。
したがって、パケット単位での認証が可能であり、事前
に共有するセッションキーはパケットからは判別できな
いことから、無線ネットワーク上のパケットを盗み見
て、なりすましによる不正アクセスを防止することが可
能になる。また、パケットフォーマットに変更を行わな
いので、データリンクの最大転送可能データ長に影響を
与えることはなく、利用者にはトランスペアレントであ
る。
るにあたり、無線端末が、ARPのリクエストまたはD
HCPのリクエストを送信する。基地局(アクセスポイ
ント)側では、このARPまたはDHCPパケットの送
信元MACアドレスを取り出して、認証サーバに対して
端末の認証を依頼する。認証サーバは、MACアドレス
をチェックし、あらかじめ配布しているシークレットキ
ーで暗号化したセッションキーを送信し、基地局は、セ
ッションキーを保存すると共に、ARPのリプライまた
はDHCPのレスポンスパケットにセッションキーをつ
けて送信する。無線端末は、受信したセッションキーを
保存し、端末局はセッションキー入手以降、パケット送
信時に、MACフレームのCRCの値を計算するにあた
って、MACヘッダ、ペイロードとセッションキーでH
ASH値を計算し、そのHASH値がペイロードの最後
に付加されたパケットに対してCRCを計算し、そのC
RC値を通常のMACフレームのCRC値として送信を
行う。基地局では、このパケットを受信した場合、受信
したパケットのMACヘッダとペイロードとセッション
キーから端末側の処理と同様にHASH値を計算し、そ
れを加えてCRC値の計算を行い、受信したパケットの
CRC値と比較を行って、パケット単位の認証を行う。
したがって、パケット単位での認証が可能であり、事前
に共有するセッションキーはパケットからは判別できな
いことから、無線ネットワーク上のパケットを盗み見
て、なりすましによる不正アクセスを防止することが可
能になる。また、パケットフォーマットに変更を行わな
いので、データリンクの最大転送可能データ長に影響を
与えることはなく、利用者にはトランスペアレントであ
る。
【0008】また、請求項2に係る無線ネットワークに
おける無線端末の認証システムは、複数のLANと、無
線端末の認証を行う認証サーバと、バックボーン網とに
より構成され、各LANおよび認証サーバは対応するル
ータまたはブリッジにより前記バックボーン網を介して
互いに接続され、各LANは基地局と1つ以上の無線端
末を含む無線ネットワークにおける無線端末の認証シス
テムであって、前記無線端末は、最初に通信を開始する
場合に、ARPのリクエストまたはDHCPのリクエス
トを送信する第1の送信手段と、前記基地局から受信し
たセッションキーを保存する第1の保存手段と、CRC
値の計算をMACのヘッダ、ペイロードにセッションキ
ーを加えたハッシュ値を元に、計算してパケットを送信
する第2の送信手段と、を備え、前記基地局は、前記無
線端末からのリクエストを中継すると共に、送信元のM
ACアドレスを取り出して、前記認証サーバに対して端
末の認証を行うためのパケットを送信する第3の送信手
段と、前記認証サーバから受信したセッションキーを保
存する第2の保存手段と、ARPのリプライまたはDH
CPのレスポンスのパケットに、セッションキーをつけ
て送信する第4の送信手段と、パケット受信時に、前記
第2の保存手段で保存しているセッションキーを使っ
て、同様のHASH値を加えたCRC計算の値とパケッ
トのCRCの値を比較してパケット単位の認証を行う認
証手段と、を備え、前記認証サーバは、MACアドレス
を受信すると、あらかじめ配布しているシークレットキ
ーで暗号化を行ったセッションキーを送信する第5の送
信手段を備えたことを特徴とする。
おける無線端末の認証システムは、複数のLANと、無
線端末の認証を行う認証サーバと、バックボーン網とに
より構成され、各LANおよび認証サーバは対応するル
ータまたはブリッジにより前記バックボーン網を介して
互いに接続され、各LANは基地局と1つ以上の無線端
末を含む無線ネットワークにおける無線端末の認証シス
テムであって、前記無線端末は、最初に通信を開始する
場合に、ARPのリクエストまたはDHCPのリクエス
トを送信する第1の送信手段と、前記基地局から受信し
たセッションキーを保存する第1の保存手段と、CRC
値の計算をMACのヘッダ、ペイロードにセッションキ
ーを加えたハッシュ値を元に、計算してパケットを送信
する第2の送信手段と、を備え、前記基地局は、前記無
線端末からのリクエストを中継すると共に、送信元のM
ACアドレスを取り出して、前記認証サーバに対して端
末の認証を行うためのパケットを送信する第3の送信手
段と、前記認証サーバから受信したセッションキーを保
存する第2の保存手段と、ARPのリプライまたはDH
CPのレスポンスのパケットに、セッションキーをつけ
て送信する第4の送信手段と、パケット受信時に、前記
第2の保存手段で保存しているセッションキーを使っ
て、同様のHASH値を加えたCRC計算の値とパケッ
トのCRCの値を比較してパケット単位の認証を行う認
証手段と、を備え、前記認証サーバは、MACアドレス
を受信すると、あらかじめ配布しているシークレットキ
ーで暗号化を行ったセッションキーを送信する第5の送
信手段を備えたことを特徴とする。
【0009】
【発明の実施の形態】以下、本発明の無線ネットワーク
における無線端末の認証方法および無線端末の認証シス
テムの一実施の形態について図面を参照して詳細に説明
する。
における無線端末の認証方法および無線端末の認証シス
テムの一実施の形態について図面を参照して詳細に説明
する。
【0010】図1は、本発明の一実施の形態のネットワ
ーク説明図である。本実施の形態のネットワークはLA
N11と無線LAN12とインターネット13により構
成され、LAN11と無線LAN12は、アクセスポイ
ント1を介して互いに接続されている。なお、無線LA
N12は、アクセスポイント1と無線端末2,3,4,
5,6から構成される。LAN11はアクセスポイント
1と認証サーバ7から構成される。
ーク説明図である。本実施の形態のネットワークはLA
N11と無線LAN12とインターネット13により構
成され、LAN11と無線LAN12は、アクセスポイ
ント1を介して互いに接続されている。なお、無線LA
N12は、アクセスポイント1と無線端末2,3,4,
5,6から構成される。LAN11はアクセスポイント
1と認証サーバ7から構成される。
【0011】図2は、図1のネットワークを構成する無
線端末2〜6の構成を示すブロック図である。無線端末
2〜6は、記憶装置21とCRC計算部22とパケット
処理部23と無線通信部24とを備えている。記憶装置
21には、無線端末のMACアドレスと無線端末が通信
する場合に利用するセッションキーを格納する。
線端末2〜6の構成を示すブロック図である。無線端末
2〜6は、記憶装置21とCRC計算部22とパケット
処理部23と無線通信部24とを備えている。記憶装置
21には、無線端末のMACアドレスと無線端末が通信
する場合に利用するセッションキーを格納する。
【0012】CRC計算部22は、パケット処理部がパ
ケット送信において、パケットにつけるCRCの計算を
行う。CRCの計算は、図4に示すように、送信するパ
ケットのMACヘッダとペイロードの部分とセッション
キーの値を含めて、HASH値の計算を行い、そのHA
SH値を送信パケットのMACヘッダとペイロード部分
の後に入れた形で、パケットのCRC値計算を行う。
ケット送信において、パケットにつけるCRCの計算を
行う。CRCの計算は、図4に示すように、送信するパ
ケットのMACヘッダとペイロードの部分とセッション
キーの値を含めて、HASH値の計算を行い、そのHA
SH値を送信パケットのMACヘッダとペイロード部分
の後に入れた形で、パケットのCRC値計算を行う。
【0013】パケット処理部23は、パケットの送受信
を行うが、パケットの送信時に、前記のCRC計算部で
計算したCRC値をパケットのCRCの部分に添付して
送信を行う。
を行うが、パケットの送信時に、前記のCRC計算部で
計算したCRC値をパケットのCRCの部分に添付して
送信を行う。
【0014】無線通信部24は、パケット部から送信パ
ケットを受け、無線LANに対して送信処理を行い、ま
た、無線LANから受信するパケットをパケット処理部
に通知する。
ケットを受け、無線LANに対して送信処理を行い、ま
た、無線LANから受信するパケットをパケット処理部
に通知する。
【0015】図3は、図1のネットワークを構成するア
クセスポイント1の構成を示すブロック図である。アク
セスポイント1は、LAN通信部31とパケット処理部
32と無線通信部34と記憶装置34とCRC計算部3
5とを備える。LAN通信部31は、アクセスポイント
1が接続しているLAN11へのパケットの送受信を制
御する。パケット処理部32は、LAN11から受信し
たパケットを、無線LAN12へ中継する処理を行う、
また無線LAN12から受信したパケットをLAN11
に中継する。
クセスポイント1の構成を示すブロック図である。アク
セスポイント1は、LAN通信部31とパケット処理部
32と無線通信部34と記憶装置34とCRC計算部3
5とを備える。LAN通信部31は、アクセスポイント
1が接続しているLAN11へのパケットの送受信を制
御する。パケット処理部32は、LAN11から受信し
たパケットを、無線LAN12へ中継する処理を行う、
また無線LAN12から受信したパケットをLAN11
に中継する。
【0016】アクセスポイント1では、無線LAN12
からパケットを受信した場合に、図4で無線端末が行う
処理とは逆の処理を行う。受信において、MACヘッダ
とペイロードの部分とセッションキーの値を含めてHA
SH値の計算を行い、そのHASH値を送信パケットの
MACヘッダとペイロード部分の後に入れた形で、パケ
ットのCRC計算を行って、受信パケットに含まれてい
たCRCの値と一致するかどうかを確認する。一致する
場合には、受信パケットをLAN11に中継し、一致し
ない場合には、廃棄する。この動作により、セッション
キーを持たない無線端末が無線LANネットワークを利
用して、インターネットへの接続を行うことを排除する
ことが可能になる。
からパケットを受信した場合に、図4で無線端末が行う
処理とは逆の処理を行う。受信において、MACヘッダ
とペイロードの部分とセッションキーの値を含めてHA
SH値の計算を行い、そのHASH値を送信パケットの
MACヘッダとペイロード部分の後に入れた形で、パケ
ットのCRC計算を行って、受信パケットに含まれてい
たCRCの値と一致するかどうかを確認する。一致する
場合には、受信パケットをLAN11に中継し、一致し
ない場合には、廃棄する。この動作により、セッション
キーを持たない無線端末が無線LANネットワークを利
用して、インターネットへの接続を行うことを排除する
ことが可能になる。
【0017】前述したように本実施の形態によれば、パ
ケット単位での認証が可能であり、かつ、事前に共有す
るセッションキーはパケットからは判別できないため、
無線ネットワーク上のパケットを盗み見て、なりすまし
による不正アクセスを防止することができる。また、パ
ケットフォーマットに変更を行わないので、データリン
クの最大転送可能データ長に影響を与えることはなく、
利用者にはトランスペアレントであるという効果を奏す
る。
ケット単位での認証が可能であり、かつ、事前に共有す
るセッションキーはパケットからは判別できないため、
無線ネットワーク上のパケットを盗み見て、なりすまし
による不正アクセスを防止することができる。また、パ
ケットフォーマットに変更を行わないので、データリン
クの最大転送可能データ長に影響を与えることはなく、
利用者にはトランスペアレントであるという効果を奏す
る。
【0018】さらに、セッションキーをARPやDHC
Pなどのリンク層以上のプロトコルのパケットに追加す
ることによって、認証のためのトラヒックを増加を抑制
することで、接続時間の短縮を行うことが可能となる。
Pなどのリンク層以上のプロトコルのパケットに追加す
ることによって、認証のためのトラヒックを増加を抑制
することで、接続時間の短縮を行うことが可能となる。
【0019】
【発明の効果】以上説明したように、本発明(請求項1
および請求項2)によれば、IPでの通信を開始するに
あたり、無線端末が、ARPのリクエストまたはDHC
Pのリクエストを送信し、基地局(アクセスポイント
側)では、このARPまたはDHCPパケットの送信元
MACアドレスを取り出して、認証サーバに対して端末
の認証を依頼し、認証サーバが、MACアドレスをチェ
ックし、あらかじめ配布しているシークレットキーで暗
号化したセッションキーを送信し、基地局では、セッシ
ョンキーを保存すると共に、ARPのリプライまたはD
HCPのレスポンスパケットにセッションキーをつけて
送信し、無線端末が、受信したセッションキーを保存
し、端末局はセッションキー入手以降、パケット送信時
に、MACフレームのCRCの値を計算するにあたっ
て、MACヘッダ、ペイロードとセッションキーでHA
SH値を計算し、そのHASH値がペイロードの最後に
付加されたパケットに対してCRCを計算し、そのCR
C値を通常のMACフレームのCRC値として送信を行
い、基地局では、このパケットを受信した場合、受信し
たパケットのMACヘッダとペイロードとセッションキ
ーから端末側の処理と同様にHASH値を計算し、それ
を加えてCRC値の計算を行い、受信したパケットのC
RC値と比較を行って、パケット単位の認証を行うた
め、パケット単位での認証が可能であり、かつ、事前に
共有するセッションキーはパケットからは判別できない
ことから、無線ネットワーク上のパケットを盗み見て、
なりすましによる不正アクセスを防止することが可能に
なる。また、パケットフォーマットに変更を行わないの
で、データリンクの最大転送可能データ長に影響を与え
ることはなく、利用者にはトランスペアレントである。
換言すれば、パケットフォーマットを変更することな
く、不正なユーザによる不正アクセスを防止して、ネッ
トワークリソースの不正利用を回避することができる。
および請求項2)によれば、IPでの通信を開始するに
あたり、無線端末が、ARPのリクエストまたはDHC
Pのリクエストを送信し、基地局(アクセスポイント
側)では、このARPまたはDHCPパケットの送信元
MACアドレスを取り出して、認証サーバに対して端末
の認証を依頼し、認証サーバが、MACアドレスをチェ
ックし、あらかじめ配布しているシークレットキーで暗
号化したセッションキーを送信し、基地局では、セッシ
ョンキーを保存すると共に、ARPのリプライまたはD
HCPのレスポンスパケットにセッションキーをつけて
送信し、無線端末が、受信したセッションキーを保存
し、端末局はセッションキー入手以降、パケット送信時
に、MACフレームのCRCの値を計算するにあたっ
て、MACヘッダ、ペイロードとセッションキーでHA
SH値を計算し、そのHASH値がペイロードの最後に
付加されたパケットに対してCRCを計算し、そのCR
C値を通常のMACフレームのCRC値として送信を行
い、基地局では、このパケットを受信した場合、受信し
たパケットのMACヘッダとペイロードとセッションキ
ーから端末側の処理と同様にHASH値を計算し、それ
を加えてCRC値の計算を行い、受信したパケットのC
RC値と比較を行って、パケット単位の認証を行うた
め、パケット単位での認証が可能であり、かつ、事前に
共有するセッションキーはパケットからは判別できない
ことから、無線ネットワーク上のパケットを盗み見て、
なりすましによる不正アクセスを防止することが可能に
なる。また、パケットフォーマットに変更を行わないの
で、データリンクの最大転送可能データ長に影響を与え
ることはなく、利用者にはトランスペアレントである。
換言すれば、パケットフォーマットを変更することな
く、不正なユーザによる不正アクセスを防止して、ネッ
トワークリソースの不正利用を回避することができる。
【図1】本発明の一実施の形態のネットワーク説明図で
ある。
ある。
【図2】図1のネットワークを構成する無線端末2〜6
の構成を示すブロック図である。
の構成を示すブロック図である。
【図3】図1のネットワークを構成するアクセスポイン
ト1の構成を示すブロック図である。
ト1の構成を示すブロック図である。
【図4】無線端末の送信時の処理であるCRCの計算を
示す説明図である。
示す説明図である。
1 アクセスポイント 2,3,4,5,6 無線端末 7 認証サーバ 11 LAN 12 無線LAN 13 インターネット 21 記憶装置 22 CRC計算部 23 パケット処理部 24 無線通信部 31 LAN通信部 32 パケット処理部 33 無線通信部 34 記憶装置 35 CRC計算部
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 11/20 102Z Fターム(参考) 5J104 AA07 AA16 EA04 EA18 EA22 KA02 KA06 MA01 NA03 NA12 PA01 5K030 GA15 HA08 HB12 HB28 HC14 HD03 HD07 JL01 LD19 5K033 AA08 CA08 DA05 DA17 5K067 AA30 BB21 CC08 DD13 DD17 DD51 EE02 EE10 HH23 HH26 HH36 KK15
Claims (2)
- 【請求項1】 複数のLANと、各LANに対応する複
数のルータまたはブリッジと、バックボーン網により構
成され、各LANは対応するルータまたはブリッジによ
り前記バックボーン網を介して互いに接続され、各LA
Nは基地局と1つ以上の無線端末を含む無線ネットワー
クにおける無線端末の認証方法であって、 前記無線端末は、最初に通信を開始するにあたり、AR
PのリクエストまたはDHCPのリクエストを送信し、 前記基地局は、そのリクエストを中継すると共に、送信
元のMACアドレスを取り出して、認証サーバに対して
端末の認証を行うためのパケットを送信し、 前記認証サーバは、MACアドレスを受信すると、あら
かじめ配布しているシークレットキーで暗号化を行った
セッションキーを送信し、 前記基地局は、セッションキーを保存すると共に、AR
PのリプライまたはDHCPのレスポンスのパケット
に、セッションキーをつけて送信し、 前記無線端末は、受信したセッションキーを保存し、以
降のパケット送信では、CRC値の計算をMACのヘッ
ダ、ペイロードにセッションキーを加えたハッシュ値を
元に、計算してパケットを送信し、 前記基地局は、パケット受信時に、保存しているセッシ
ョンキーを使って、同様のHASH値を加えたCRC計
算の値とパケットのCRCの値を比較することで、パケ
ット単位の認証を実現することを特徴とする無線ネット
ワークにおける無線端末の認証方法。 - 【請求項2】 複数のLANと、無線端末の認証を行う
認証サーバと、バックボーン網とにより構成され、各L
ANおよび認証サーバは対応するルータまたはブリッジ
により前記バックボーン網を介して互いに接続され、各
LANは基地局と1つ以上の無線端末を含む無線ネット
ワークにおける無線端末の認証システムであって、 前記無線端末は、最初に通信を開始する場合に、ARP
のリクエストまたはDHCPのリクエストを送信する第
1の送信手段と、前記基地局から受信したセッションキ
ーを保存する第1の保存手段と、CRC値の計算をMA
Cのヘッダ、ペイロードにセッションキーを加えたハッ
シュ値を元に、計算してパケットを送信する第2の送信
手段と、を備え、 前記基地局は、前記無線端末からのリクエストを中継す
ると共に、送信元のMACアドレスを取り出して、前記
認証サーバに対して端末の認証を行うためのパケットを
送信する第3の送信手段と、前記認証サーバから受信し
たセッションキーを保存する第2の保存手段と、ARP
のリプライまたはDHCPのレスポンスのパケットに、
セッションキーをつけて送信する第4の送信手段と、パ
ケット受信時に、前記第2の保存手段で保存しているセ
ッションキーを使って、同様のHASH値を加えたCR
C計算の値とパケットのCRCの値を比較してパケット
単位の認証を行う認証手段と、を備え、 前記認証サーバは、MACアドレスを受信すると、あら
かじめ配布しているシークレットキーで暗号化を行った
セッションキーを送信する第5の送信手段を備えたこと
を特徴とする無線ネットワークにおける無線端末の認証
システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000312626A JP2002124952A (ja) | 2000-10-12 | 2000-10-12 | 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000312626A JP2002124952A (ja) | 2000-10-12 | 2000-10-12 | 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002124952A true JP2002124952A (ja) | 2002-04-26 |
Family
ID=18792179
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000312626A Pending JP2002124952A (ja) | 2000-10-12 | 2000-10-12 | 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002124952A (ja) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004207965A (ja) * | 2002-12-25 | 2004-07-22 | Nec Commun Syst Ltd | 無線lanの高速認証方式及び高速認証方法 |
| WO2004100445A2 (en) * | 2003-05-07 | 2004-11-18 | Matsushita Electric Industrial Co., Ltd. | Transmission/reception system using message authentication code |
| JP2005530277A (ja) * | 2002-06-20 | 2005-10-06 | クゥアルコム・インコーポレイテッド | 通信システムにおけるキー発生方法及び装置 |
| JP2005328108A (ja) * | 2004-05-12 | 2005-11-24 | Nec Corp | ネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法 |
| JP2006033206A (ja) * | 2004-07-14 | 2006-02-02 | Nec Corp | 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム |
| JP2006115344A (ja) * | 2004-10-15 | 2006-04-27 | Matsushita Electric Ind Co Ltd | 無線ネットワークシステム、無線端末収容装置及び通信装置 |
| WO2006093161A1 (ja) * | 2005-03-04 | 2006-09-08 | Matsushita Electric Industrial Co., Ltd. | 鍵配信制御装置、無線基地局装置および通信システム |
| JP2007529967A (ja) * | 2004-03-18 | 2007-10-25 | クゥアルコム・インコーポレイテッド | セキュリティ保護された実時間プロトコルにおける暗号情報の効率的な送信 |
| JP2008061276A (ja) * | 2000-11-28 | 2008-03-13 | Nokia Corp | ハンドオーバー後の暗号化通信を確実にするシステム |
| KR100819036B1 (ko) | 2005-12-08 | 2008-04-02 | 한국전자통신연구원 | 패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법 |
| JP2008228280A (ja) * | 2007-03-01 | 2008-09-25 | Mitsubishi Electric Research Laboratories Inc | コンピュータ可読媒体において具現化されるデータ構造 |
| KR100888471B1 (ko) * | 2002-07-05 | 2009-03-12 | 삼성전자주식회사 | 링크 접속권한을 등급화 한 암호화 키 차등분배방법 및이를 이용한 로밍방법 |
| US7729324B2 (en) | 2002-11-22 | 2010-06-01 | Nec Corporation | Method of limiting communication access between wireless LAN terminals |
| CN101808097A (zh) * | 2010-03-25 | 2010-08-18 | 杭州华三通信技术有限公司 | 一种防arp攻击方法和设备 |
| JP2010283612A (ja) * | 2009-06-04 | 2010-12-16 | Mitsubishi Electric Corp | ネットワーク通信方法、通信端末装置、および、通信中継装置 |
| US8094821B2 (en) | 2004-08-06 | 2012-01-10 | Qualcomm Incorporated | Key generation in a communication system |
| CN103379577A (zh) * | 2012-04-30 | 2013-10-30 | 摩托罗拉解决方案公司 | 用于限制到系统的无线电接入的方法和装置 |
| US8630414B2 (en) | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| CN104348578A (zh) * | 2013-08-02 | 2015-02-11 | 腾讯科技(深圳)有限公司 | 数据处理的方法及装置 |
-
2000
- 2000-10-12 JP JP2000312626A patent/JP2002124952A/ja active Pending
Cited By (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8121293B2 (en) | 2000-11-28 | 2012-02-21 | Nokia Corporation | System for ensuring encrypted communication after handover |
| JP2015053733A (ja) * | 2000-11-28 | 2015-03-19 | ノキア コーポレイション | ハンドオーバー後の暗号化通信を確実にするシステム |
| JP2008061276A (ja) * | 2000-11-28 | 2008-03-13 | Nokia Corp | ハンドオーバー後の暗号化通信を確実にするシステム |
| US8630414B2 (en) | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| JP4897215B2 (ja) * | 2002-06-20 | 2012-03-14 | クゥアルコム・インコーポレイテッド | 通信システムにおけるキー発生方法及び装置 |
| JP2005530277A (ja) * | 2002-06-20 | 2005-10-06 | クゥアルコム・インコーポレイテッド | 通信システムにおけるキー発生方法及び装置 |
| US7739491B2 (en) | 2002-07-05 | 2010-06-15 | Samsung Electronics Co., Ltd. | Method using access authorization differentiation in wireless access network and secure roaming method thereof |
| KR100888471B1 (ko) * | 2002-07-05 | 2009-03-12 | 삼성전자주식회사 | 링크 접속권한을 등급화 한 암호화 키 차등분배방법 및이를 이용한 로밍방법 |
| US7729324B2 (en) | 2002-11-22 | 2010-06-01 | Nec Corporation | Method of limiting communication access between wireless LAN terminals |
| JP2004207965A (ja) * | 2002-12-25 | 2004-07-22 | Nec Commun Syst Ltd | 無線lanの高速認証方式及び高速認証方法 |
| US7457410B2 (en) | 2003-05-07 | 2008-11-25 | Panasonic Corporation | Transmission/reception system |
| WO2004100445A2 (en) * | 2003-05-07 | 2004-11-18 | Matsushita Electric Industrial Co., Ltd. | Transmission/reception system using message authentication code |
| WO2004100445A3 (en) * | 2003-05-07 | 2005-02-24 | Matsushita Electric Ind Co Ltd | Transmission/reception system using message authentication code |
| US8867745B2 (en) | 2004-03-18 | 2014-10-21 | Qualcomm Incorporated | Efficient transmission of cryptographic information in secure real time protocol |
| JP2007529967A (ja) * | 2004-03-18 | 2007-10-25 | クゥアルコム・インコーポレイテッド | セキュリティ保護された実時間プロトコルにおける暗号情報の効率的な送信 |
| JP4572086B2 (ja) * | 2004-05-12 | 2010-10-27 | Necインフロンティア株式会社 | ネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法 |
| JP2005328108A (ja) * | 2004-05-12 | 2005-11-24 | Nec Corp | ネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法 |
| US8209529B2 (en) | 2004-07-14 | 2012-06-26 | Nec Corporation | Authentication system, network line concentrator, authentication method and authentication program |
| JP2006033206A (ja) * | 2004-07-14 | 2006-02-02 | Nec Corp | 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム |
| US8094821B2 (en) | 2004-08-06 | 2012-01-10 | Qualcomm Incorporated | Key generation in a communication system |
| JP2006115344A (ja) * | 2004-10-15 | 2006-04-27 | Matsushita Electric Ind Co Ltd | 無線ネットワークシステム、無線端末収容装置及び通信装置 |
| JP4689225B2 (ja) * | 2004-10-15 | 2011-05-25 | パナソニック株式会社 | 無線ネットワークシステム、無線端末収容装置及び通信装置 |
| JP4804454B2 (ja) * | 2005-03-04 | 2011-11-02 | パナソニック株式会社 | 鍵配信制御装置、無線基地局装置および通信システム |
| US7907734B2 (en) | 2005-03-04 | 2011-03-15 | Panasonic Corporation | Key distribution control apparatus, radio base station apparatus, and communication system |
| WO2006093161A1 (ja) * | 2005-03-04 | 2006-09-08 | Matsushita Electric Industrial Co., Ltd. | 鍵配信制御装置、無線基地局装置および通信システム |
| KR100819036B1 (ko) | 2005-12-08 | 2008-04-02 | 한국전자통신연구원 | 패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법 |
| JP2008228280A (ja) * | 2007-03-01 | 2008-09-25 | Mitsubishi Electric Research Laboratories Inc | コンピュータ可読媒体において具現化されるデータ構造 |
| JP2010283612A (ja) * | 2009-06-04 | 2010-12-16 | Mitsubishi Electric Corp | ネットワーク通信方法、通信端末装置、および、通信中継装置 |
| CN101808097A (zh) * | 2010-03-25 | 2010-08-18 | 杭州华三通信技术有限公司 | 一种防arp攻击方法和设备 |
| WO2013165642A1 (en) * | 2012-04-30 | 2013-11-07 | Motorola Solutions, Inc. | Method and apparatus for restricting radio access to a system |
| CN103379577A (zh) * | 2012-04-30 | 2013-10-30 | 摩托罗拉解决方案公司 | 用于限制到系统的无线电接入的方法和装置 |
| US8914699B2 (en) | 2012-04-30 | 2014-12-16 | Motorola Solutions, Inc. | Method and apparatus for restricting radio access to a system |
| GB2518761A (en) * | 2012-04-30 | 2015-04-01 | Motorola Solutions Inc | Method and apparatus for restricting radio access to a system |
| AU2013257103B2 (en) * | 2012-04-30 | 2015-10-29 | Motorola Solutions, Inc. | Method and apparatus for restricting radio access to a system |
| GB2518761B (en) * | 2012-04-30 | 2018-09-12 | Motorola Solutions Inc | Method and apparatus for restricting radio access to a system |
| CN104348578A (zh) * | 2013-08-02 | 2015-02-11 | 腾讯科技(深圳)有限公司 | 数据处理的方法及装置 |
| CN104348578B (zh) * | 2013-08-02 | 2019-01-29 | 腾讯科技(深圳)有限公司 | 数据处理的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2002124952A (ja) | 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム | |
| US7725933B2 (en) | Automatic hardware-enabled virtual private network system | |
| US8224988B2 (en) | Network relay method, network relay apparatus, and network relay program | |
| US8045530B2 (en) | Method and apparatus for authentication in a wireless telecommunications system | |
| JP4652944B2 (ja) | IPv6アクセスネットワークにおけるネットワークサービス選択、認証およびステートレス自動設定 | |
| US7653813B2 (en) | Method and apparatus for address creation and validation | |
| JP2002247047A (ja) | セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置 | |
| CN103685272B (zh) | 一种认证方法及系统 | |
| WO2014117525A1 (zh) | 静态用户终端认证处理方法及装置 | |
| CN101160924A (zh) | 在通信系统中分发证书的方法 | |
| JP2004304824A (ja) | 無線lanシステムにおける認証方法と認証装置 | |
| US8788821B2 (en) | Method and apparatus for securing communication between a mobile node and a network | |
| US20100017601A1 (en) | Method and Server for Providing a Mobility Key | |
| US20060143440A1 (en) | Using authentication server accounting to create a common security database | |
| KR20130005973A (ko) | 네트워크 보안시스템 및 네트워크 보안방법 | |
| CN101471767A (zh) | 密钥分发方法、设备及系统 | |
| US20110055571A1 (en) | Method and system for preventing lower-layer level attacks in a network | |
| JP3792648B2 (ja) | 無線lanの高速認証方式及び高速認証方法 | |
| JP2006074451A (ja) | IPv6/IPv4トンネリング方法 | |
| US20130191635A1 (en) | Wireless authentication terminal | |
| JP2004312257A (ja) | 基地局、中継装置及び通信システム | |
| JP2004194196A (ja) | パケット通信認証システム、通信制御装置及び通信端末 | |
| JP4158972B2 (ja) | マルチホップ通信方法 | |
| JP2000244547A (ja) | 認証方法 | |
| CN112437355B (zh) | 三层组播的实现方法及系统 |