JP2003289301A - 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体 - Google Patents

無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体

Info

Publication number
JP2003289301A
JP2003289301A JP2003035865A JP2003035865A JP2003289301A JP 2003289301 A JP2003289301 A JP 2003289301A JP 2003035865 A JP2003035865 A JP 2003035865A JP 2003035865 A JP2003035865 A JP 2003035865A JP 2003289301 A JP2003289301 A JP 2003289301A
Authority
JP
Japan
Prior art keywords
authentication
password
user
terminal
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003035865A
Other languages
English (en)
Other versions
JP3863852B2 (ja
Inventor
Kyung-Hee Lee
▲きょん▼ 煕 李
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of JP2003289301A publication Critical patent/JP2003289301A/ja
Application granted granted Critical
Publication of JP3863852B2 publication Critical patent/JP3863852B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

(57)【要約】 【課題】 端末機認証及びパスワードを用いたユーザ認
証を利用することにより、セキュリティが強化された、
無線環境におけるネットワークへのアクセス制御方法及
びこれを記録した記録媒体を提供する。 【解決手段】 無線環境におけるネットワークへのアク
セスを管理するために、(a)MAC−IDを用い、ア
クセスポイントにおいて端末機に対する認証を終える段
階と、(b)ユーザがパスワード認証クライアントに自
分のパスワードを入力する段階と、(c)前記入力され
たパスワードに基づき前記パスワード認証クライアント
と認証サーバとの間の認証を行う段階と、(d)前記
(a)段階の認証及び(c)段階の認証が許可されれ
ば、前記端末機がインターネット/イントラネットなど
の外部/内部のネットワークにアクセスし、そうでなけ
れば、前記ユーザに認証に失敗した旨のメッセージを伝
達する段階と、を含むアクセス制御方法を提供する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は無線環境においてネ
ットワークへのアクセスを制御し通信データを保護する
方法に係り、特に、無線ローカルエリアネットワーク
(Wireless Local Area Network:以下、WLANと称
する。)端末機認証とユーザ認証とを併用するネットワ
ークへのアクセス制御方法に関する。
【0002】
【従来の技術】一般に、WLANは、コンピュータとコ
ンピュータとの間、またはコンピュータとその他の通信
システムとの間を、電波や光を用いてケーブルを介さず
に接続し、無線で通信(データの送受信)を行うローカ
ルエリアネットワーク(LAN)を意味する。このよう
なWLANは、近年、インターネットサービス及び無線
通信技術の急激な発展とあいまって開発されたものであ
り、特に、ビル間のネットワーク接続や大規模オフィ
ス、物流センターなどのように有線ネットワークの構築
が容易ではない場所における設置が可能で、メンテナン
スも簡便であるという利点からその利用が急増してい
る。しかし、WLANは、理論的には伝送媒体に誰でも
アクセスできるものであり、有線ネットワークに比べて
セキュリティが脆弱である点が短所として指摘されてい
る。
【0003】そのような観点から、現在、暗号化(encr
yption)、アクセス制御(access control)、認証(au
thentication)、否認封鎖(non-repudiation)、無欠
性(integrity)サービスなど多くのセキュリティサー
ビスが存在している。これらはいずれも重要な機能では
あるが、特に、ユーザを認証する機能は通信サービスを
提供する立場から見れば、特に重要な機能である。相手
を正常に認証しなければ、暗号化及びアクセス制御の機
能などが意味を有せず、公共地域及び企業内においてW
LANサービスを提供する場合には、ユーザに対する課
金のために端末機に対する認証が必須要件である。しか
しながら、WLANシステムにおいて、既存のWEP
(Wired Equivalent Privacy)を用いて認証するメカニ
ズムによるセキュリティ機能は、多くの攻撃方法に対し
無力であるといって過言ではない。
【0004】既存のIEEE 802.11bシステム
の認証メカニズムには、開放型の認証(open-system au
thentication)と共有鍵認証(shared-key authenticat
ion)との2種類が存在するが、実際の鍵により認証さ
れるものは、共有鍵認証方式だけである。開放型の認証
方式は、アクセスポイントによるWLANカードの認証
時に公開されている空き文字列を用いる方式であって、
アクセスポイントは、WLANカード装置が正確な認証
情報を提供しなくても無条件に装置を認証してアクセス
ポイントに接続可能にするものである。共有鍵認証方式
は、通信の開始前に互いに共有するように設定された鍵
を用いて誰何−応答式(challenge-response)の手順の
通信を通じ、誰何の手順においてアクセスポイントがW
LANカードに提示した特定の文字列が応答の手順にお
いてあらかじめ設定された鍵に暗号化されてWLANカ
ードからアクセスポイントへと伝達される認証を経ては
じめてアクセスポイントに接続可能にする。
【0005】IEEE 802.11bシステムにおい
て、端末機は、MAC(Media Access Control:媒体ア
クセス制御)レイヤから提供されるWEPを用いて、ア
クセスポイントでの認証を受ける。IEEE 802.
11aシステムにおいては、アクセスポイントで端末機
を認証する既存の認証メカニズムを補強する方法とし
て、WEPを用いて認証する方法と、MACレイヤ以上
のIEEE 802.1X環境下で認証プロトコルを定
義する方法との2種類を採用することができる。
【0006】WEPを用いた認証プロトコルは、それぞ
れのアルゴリズムを用いて誰何−応答方式に依存する
が、この方法は、アクセスポイントから受けた誰何を、
端末機が共有鍵及びWEPを用いて暗号化してアクセス
ポイントに送れば、アクセスポイントはあらかじめ共有
した鍵をもって復号化して相手方を認証する。しかし、
WEPを用いた認証プロトコルは、現行のWEPアルゴ
リズムへの攻撃に対しては全く安全でない状態である。
【0007】IEEE 802.11aで提案する他の
認証方法は、MACレイヤ以上で端末機を認証すること
である。これは、IEEE 802.1Xの環境下でE
AP(Extensible Authentication Protocol)を用いた
認証プロトコルに依存したものであるが、MACレイヤ
以上で認証をするためには具体的な認証プロトコルが必
要とされており、IEEE 802.1Xでは具体的な
認証プロトコルを定義していない状態である。
【0008】IEEE 802.1Xの環境下で、ある
具体的な認証プロトコルを提示すれば、これを端末機に
対する認証機能を提供するのに適用できる。しかし、端
末機の認証に基づく方式は端末機の所有者ならば誰でも
アクセスできるため、端末機を取得した無権限のユーザ
がネットワークにアクセスする恐れがある。すなわち、
企業ネットワーク及び公共接続サービスに対してユーザ
ごとにアクセス制御する機能が必要である。
【0009】また、今後、端末機が各種の無線リンクに
対する接続機能を提供し、これらの機能が一つの端末機
内において具現される時に、各種の無線接続に対する認
証機能がそれぞれ必要となる。この時、各種の無線接続
に対する相互交換サービスを受けるためには、相互無線
接続に対する認証機能をサポートしていなければなら
ず、このためには、無線接続技術に独立的なメカニズム
が必要である。
【0010】一方、ユーザ自身を認証するための手段と
して、使い勝手の良さからパスワードを用いた方式が多
用される。しかし、一般に、パスワードを用いる認証シ
ステムは、ユーザによるパスワードの選択肢が少ないと
いうことにその根本的な問題がある。kビットの大きさ
を有するパスワードを選択する時、それぞれのkビット
に0及び1が出る確率が0.5である時、kビットのパ
スワードは任意のランダム鍵と同じくなり、これを推測
することは、2k個のランダムなパスワードの候補リス
トを作ることと同じである。しかし、ユーザがパスワー
ドを選択する時、ランダムに選択することはほとんど不
可能であり、このために、オフラインパスワード推測攻
撃に曝される糸口を提供する。
【0011】
【発明が解決しようとする課題】そこで、本発明が解決
しようとする技術的な課題は、WLANサービスなど、
端末機を通したネットワークへのアクセス制御の方法と
して利用される認証プロセスに、端末機認証及びユーザ
認証を用いることにより、従来よりセキュリティが強化
されたネットワークへのアクセス制御方法及びこれを記
録した記録媒体を提供することである。
【0012】
【課題を解決するための手段】前記技術的な課題を達成
するために、本発明によるネットワークへのアクセス制
御方法は、(a)MAC−IDを用い、アクセスポイン
トにおいて端末機に対する認証を終える段階と、(b)
ユーザがパスワード認証クライアントに自分のパスワー
ドを入力する段階と、(c)前記入力されたパスワード
に基づき前記パスワード認証クライアントと認証サーバ
との間の認証を行う段階と、(d)前記(a)段階の認
証及び(c)段階の認証が許可されれば、前記端末機が
インターネット/イントラネットなどの外部/内部のネ
ットワークにアクセスし、そうでなければ、前記ユーザ
に認証に失敗した旨のメッセージを伝達する段階と、を
含む。
【0013】本発明において、前記(a)段階は、IE
EE 802.1Xの環境下で行うことができる。
【0014】そして、前記ユーザが前記端末機を最初に
獲得した場合であれば、前記(a)段階と(b)段階と
の間にインターネットプロトコル(IP)アドレスを割
り当てられて前記端末機が認証サーバからパスワード認
証クライアントをダウンロードする段階をさらに含むこ
とができる。
【0015】特に、前記(b)段階前に、(b−1)前
記端末機及び前記認証サーバが共有する情報として、任
意の大きい素数nを選定し、mod nに対する原始元
gを求める段階と、(b−2)前記ユーザが自分のパス
ワードであるPを選定してパスワード証明子v=gh(P)
を計算する段階と、(b−3)前記パスワード証明子値
を前記ユーザが前記認証サーバに安全なチャンネルを介
して伝達する段階と、をさらに含むことができるが、こ
こで、h()は、単方向性のハッシュ関数である。
【0016】また、前記(c)段階は、好ましくは、
(c−1)前記パスワード認証クライアントが入力され
たパスワードPに基づきパスワード証明子v=gh(P)
計算して保存する段階と、(c−2)前記パスワード認
証クライアントがランダムな3値として前記端末機の秘
密鍵(secret key)xA、前記端末機のコンファウンダ
A、任意値rを生成した後、生成された値を用いて前
記端末機の公開鍵(public key) 及びz1=h(yA,v,cA)を計算する段階と、(c
−3)前記パスワード認証クライアントが計算されたz
1、yA及び前記任意値rを前記アクセスポイントを介し
て前記認証サーバに伝送する段階と、(c−4)前記認
証サーバは、受信されたz1及びyAを保存し、ランダム
な値として前記認証サーバの秘密鍵xBを生成して前記
認証サーバの公開鍵 を計算する段階と、(c−5)前記認証サーバは、受信
されたyA及びr値に基づきセッション鍵(session ke
y) 及びh1=h(r,v,K)を計算する段階と、(c−
6)前記認証サーバは、前記yB及び前記h1を前記ユー
ザパスワード証明子vから誘導された鍵を用いて対称鍵
(共通鍵:symmetric key)暗号システムにより暗号化
メッセージであるz2=Ev(yB,h1)を前記パスワー
ドクライアントに伝送する段階と、(c−7)前記パス
ワードクライアントは受信されたz2に対し、前記ユー
ザのパスワード証明子vから誘導された復号化鍵(deco
ding key)に基づき対称鍵暗号システムを用いて復号化
した後にセッション鍵 を計算して保存し、前記セッション鍵を用いてh′=
(r,v,K)値を計算した後に復号化して求めた値h
1と合っているか否かを検査する段階と、(c−8)計
算された値h′と受信値h1とが合っていなければ、前
記パスワードクライアントは前記認証サーバとのメッセ
ージのやり取りをここで中断し、合っていれば、前記パ
スワードクライアントはK及びcA値を前記yBから誘導
された鍵に基づき暗号化したメッセージ を前記認証サーバに伝送する段階と、(c−9)前記認
証サーバは、受信されたz3を前記yBから誘導された鍵
を用いて復号化した後にKと自分のセッション鍵値とが
合っているか否かを確認し、合っていなければ、メッセ
ージのやり取りをここで中断し、合っていれば、前記
(c−4)段階において保存されたyA及び復号化した
Aに基づきh″=h(yA,v,cA)値を計算した後
にh″と保存されたz1値とが同じであるか否かを確認
する段階と、(c−10)前記h″及びz1値が同じで
あればユーザ認証を許可し、同じでなければユーザ認証
を許可しない段階と、を含むことを特徴とする。ここ
で、Ex()はxを秘密鍵として用いる対称鍵暗号アル
ゴリズムを表わす。
【0017】本発明は、WLAN環境において、“広い
意味におけるユーザ認証”を通じてユーザがネットワー
クにアクセスすることを許諾する方法に関するものであ
る。“広い意味におけるユーザ認証”としては、ユーザ
が用いる端末機を認証してユーザのネットワークへのア
クセスを制御する方法と、ユーザ自身を認証する方法と
が考えられる。
【0018】端末機を認証してユーザのネットワークへ
のアクセスを制御する方法は、ユーザに携帯電話などの
ような自分専用の端末機を所持させる方法である。ユー
ザの端末機は固有の識別子を有し、ネットワークでは端
末機の固有の識別子を通じて端末機を認証し、認証され
た端末機を通じてユーザはネットワークにアクセス可能
になる。ユーザが認証過程に参加しなくなることからユ
ーザに利便性を与え得るが、端末機を認証する方法だけ
で認証すれば、セキュリティの側面から問題点がある。
まず、端末機を所有した者ならば誰でもネットワークに
アクセスできるため、紛失した端末機を通じて好ましく
ないユーザがネットワークにアクセスするおそれがあ
る。また、端末機の固有の識別子を通じた認証過程を経
るため、端末機の無線リンク接続技術に大いに依存し、
他の無線リンク接続技術と併用するには問題がある。
【0019】一方、ユーザ自身を直接的に認証する方法
は、ユーザがいかなる端末機を用いるかにかかわりな
く、ユーザを認証することによりネットワークへのアク
セスを制御する方法である。ユーザが認証過程に直接的
に参加しなければならない不便さがあるが、ネットワー
クにおける行為の主体であるユーザを直接的に認証する
観点からは重要な意味がある。これは、ユーザがネット
ワークにアクセスするためにいかなる端末機を用いる
か、いかなる無線リンク接続技術を用いるかにかかわら
ず、ユーザを認証できる機能を提供することができると
いう長所がある。本発明は、ユーザが知っているパスワ
ードを用いてユーザを認証しようとする。この方法は、
ユーザの水準においてネットワークへのアクセスを制御
することができるので、管理者が容易に管理できるとい
う長所もある。
【0020】前記の方法は、コンピュータにて実行する
ためのプログラムとして具現することが可能であり、そ
のプログラムコードを記録したコンピュータにて読取り
可能な記録媒体として提供することができる。
【0021】
【発明の実施の形態】以下、添付した図面に基づき、本
発明の好適な実施の形態について詳細に説明する。しか
し、本発明はここで説明される実施の形態に限定される
ことなく、他の形に具体化されることも可能である。む
しろ、ここで紹介される実施の形態は発明を十分にかつ
完全なかたちで開示するとともに、当業者に本発明の範
囲を十分に伝えるために提供されるものである。
【0022】本発明は、ユーザ認証のためにユーザが所
有している端末機を認証する段階と、ユーザが知ってい
るパスワードを用いてユーザを認証する段階とを含む。
また、各作用の主体である端末機、アクセスポイント、
及びネットワークに存在する認証サーバが、本発明のユ
ーザ認証には必要である。ここで、図1は、WLAN環
境におけるこれらの構成要素を表わす。
【0023】図1に示すように、複数台の端末機100
a、100bは、それぞれ、無線リンクにアクセスでき
るMACプロトコルスタック10a、10b(例えば、
IEEE 802.11)を有しており、その上に(第
2レイヤに)端末機の認証を可能にするフレームワーク
20a、20b(例えば、IEEE 802.1X)を
有している。端末機100a、100bには、ユーザが
入力したパスワードを処理する処理部30a、30bも
備えられている。端末機100a及びアクセスポイント
120aは第1の無線ネットワークを構成し、端末機1
00b及びアクセスポイント120bは第2の無線ネッ
トワークを構成する。端末機100a、100bはま
ず、アクセスポイント120a、120bから認証を受
けて始めて有線ネットワークのあるホストにアクセスす
ることができるが、認証機能をどこに具現するかによっ
て、アクセスポイント120a、120bが端末機10
0a、100bのパケットを処理する方式が異なってく
る。例えば、IEEE 802.1X環境では、端末機
100a、100bが送る認証に関わるパケットはアク
セスポイント120a、120bの認証無しに有線ネッ
トワークの認証サーバ140にそのまま送られる。
【0024】アクセスポイント120a、120bは無
線で有線ネットワークにアクセスするために必要な要素
であって、本発明において用いられる、パスワードを用
いた認証に関わるパケットに対していかなる処理も行わ
ずに有線ネットワークの認証サーバ140にそのまま送
る役割を果たす。IEEE 802.1X環境ではアク
セスポイントが認証サーバの機能を簡単に具現すること
もでき、LANのある認証サーバにローカル認証の機能
を司らせ、アクセスポイントをして認証に関わるパケッ
トを有線ネットワークの認証サーバ140に直ちに送ら
せても良い。
【0025】認証サーバ140は端末機100a、10
0bから要請された認証メッセージを処理する要素であ
り、端末機100a、100bのセッション情報をもっ
て後ほどにユーザに課金できる情報を有している。すな
わち、認証サーバ140はユーザの個人情報を有してお
り、各ユーザによるサービスの利用内訳に関する情報を
記録する。また、参照符号150はポータルである。
【0026】パスワードを用いてユーザを認証する時に
必要な基本機能及びパラメータは、下記の通りである。
これらの機能をする実際の関数及びパラメータは、実際
にいかなるものを選定するかによる。 n:任意の大きい素数 g:mod nに対する原始元 P:ユーザのパスワード A、B:各々ユーザ及び認証サーバを表わすための文字 v:認証サーバが貯蔵するパスワード証明子 xA、xB:ユーザ端末機及び認証サーバの臨時秘密鍵 yA、yB:ユーザ端末機及び認証サーバの臨時公開鍵、 (ここで、xA及びyAは一般的な公開鍵暗号システムに
おいて用いられる秘密鍵及び公開鍵の用途とは若干異な
る。) cA:ユーザ端末機のコンファウンダ(一般に長いラン
ダム値が選定される。) h():単方向性のハッシュ関数 Ex():xを秘密鍵として用いる対称鍵暗号アルゴリ
ズム (ここで、xは任意の長さを有し得るため、安全性のた
めにBlowfish[Sch93]のように可変長の鍵を有する暗号
アルゴリズムを用いることができ、新たに米国のNIS
T(National Institute of Standard and Technolog
y)においてブロック暗号アルゴリズム標準として制定
されたAES(Advanced Encryption Standard)などを
用いることができる。) K:ユーザ及び認証サーバが共有するセッション鍵(以
降に暗号化通信を行おうとする時に用いられうる。)
【0027】図2を参照すれば、本発明による、ユーザ
に対するネットワークへのアクセス制御方法は、大きく
2つの段階よりなるが、まず端末機に対する認証がなさ
れ、次の段階において端末機ユーザに対し、パスワード
を用いた認証がなされる(ステップ300)。パスワー
ドを用いた認証がなされるために、下記の如き事前作業
がなされなければならない(ステップ200)。
【0028】ステップ200:パスワードの登録及び事
前作業の手続き (1)任意の大きい素数nを選定してmod nに対す
る原始元gを求める。n及びgは、ユーザ端末機と認証
サーバとが共有する情報である。 (2)ユーザは、自分のパスワードであるPを選定して
パスワード証明子v=gh(P)を計算する。h()は、前
述の如く、単方向性のハッシュ関数である。 (3)v値をユーザが認証サーバに安全なチャンネルを
介して伝達する。以下は、ユーザが端末機を最初に獲得
して認証サーバに認証を受ける過程を示すものである。
あるドメインにおける最初のユーザではなければ、次の
ステップ300(ネットワークへのアクセス手続き)の
(4)の手続きは省略可能である。
【0029】ステップ300:ネットワークへのアクセ
スの手続き (1)IEEE 802.1X環境でMAC−IDを用
い、端末機に対する認証を終える。 (2)DHCP(Dynamic Host Configuration Protoco
l)サーバなどを用い、IPアドレスを割り当てられ
る。 (3)認証サーバのアドレスを持ち込む。 (4)認証サーバからパスワード認証クライアントをダ
ウンロードする。 (5)ユーザは、パスワード認証クライアントに自分の
パスワードを入力する。 (6)入力されたパスワードに基づきパスワード認証ク
ライアントと認証サーバとの間の認証手続きを終える。 (7)端末機は、認証を許可された後にインターネット
/イントラネットなどの外部/内部のネットワークにア
クセスする。
【0030】以下は、前記ステップ300(ネットワー
クへのアクセス手続き)の(6)の手続きに関する詳細
な説明である。この認証手続きを行う前に、前記ステッ
プ200(パスワードの登録及び事前作業の手続き)が
なされなければならない。
【0031】パスワード認証クライアントと認証サーバ
との間の認証手続き (1)パスワード認証クライアントは、入力されたパス
ワードPに基づきパスワード証明子v=gh(P)を計算し
て保存する。 (2)パスワード認証クライアントは、ランダムな3値
A、cA及びrを生成する。 (3)生成されたランダム値を用いて 1=h(yA,v,cA) を計算する。 (4)パスワード認証クライアントは、z1、yA及びr
値をアクセスポイントを介して相手方である認証サーバ
に送る。 (5)認証サーバは受信されたz1及びyAを保存し、ラ
ンダムな値xBを生成して を計算する。 (6)認証サーバは、受信されたyA及びr値に基づき
セッション鍵 及び、h1=h(r,v,K)を計算する。 (7)認証サーバは、自分の公開鍵yB及び前記計算さ
れたh1をユーザパスワード証明子vから誘導された鍵
を用い、対称鍵暗号システムにより暗号化されたメッセ
ージであるz2=Ev(yB,h1)をパスワードクライア
ントに送る。この時に用いられた対称鍵暗号システムに
よって必要な鍵の長さが異なるが、パスワード証明子に
おいて必要な長さを最上位ビットから用いれば良い。 (8)パスワードクライアントは、受信された暗号化メ
ッセージz2に対し、ユーザのパスワード証明子vから
誘導された復号化鍵に基づき対称鍵暗号システムを用い
て復号化した後にセッション鍵 を計算して保存する。次に、計算されたセッション鍵を
用いてh′=(r,v,K)値を計算した後、復号化し
て求めた値h1と合っているか否か検査する。計算され
た値h′と受信値h1とが一致しなければ、パスワード
クライアントは認証サーバとのメッセージのやり取りを
中断する。 (9)前記(8)段階において計算された値h′と受信
値h1とが一致していることを確認した後、パスワード
クライアントは、K及びcA値を認証サーバの公開鍵yB
から誘導された鍵に基づき暗号化したメッセージ を認証サーバに送る。用いられた対称鍵暗号システムに
よってyBの最上位ビットから必要な鍵の長さを得る。 (10)認証サーバは、受信されたz3をyBから誘導さ
れた鍵を用いて復号化した後、Kと自分のセッション鍵
値とが一致するか否かを確認する。一致しなければ、メ
ッセージのやり取りをここで中断する。復号化後に、K
と自分のセッション鍵値とが一致すれば、前記(5)段
階において保存されたyA及び復号化されたcAに基づき
h″=h(yA,v,cA)値を計算した後、h″と保存
されたz1値とが同じであるか否かを確認する。h″と
z1とが同じであれば、ユーザ認証に成功した旨のメッ
セージをパスワードクライアントに送り、そうでなけれ
ば、ユーザ認証に失敗した旨のメッセージをパスワード
クライアントに送る。
【0032】前記パスワード認証クライアントと認証サ
ーバとの間の認証手続きが終われば、ユーザと認証サー
バとの間には、以降に暗号化通信を行い得る新しい秘密
情報が共有される。
【0033】
【発明の効果】上述したように、本発明によれば、WL
AN環境でパスワードを用いてユーザを認証することが
できる。無線リンクに関する各種のアクセス技術に関係
なくユーザに対する認証が可能であり、端末機が様々な
ネットワークにローミングしても認証が可能である。
【0034】MAC−IDを用いた管理に比べてパスワ
ードを用いることによりユーザレベルの管理が可能であ
り、Inter-technology hand offの機能を提供すること
ができる。PKI(Public Key Infrastructure)無し
に相互間の認証機能を提供する。IPSec(IP Secur
ity Protocol)において用いられた認証プロトコルであ
るIKE(Internet Key Exchange)は相手方を認証す
るためにPKIなどに依存しなければならないが、本発
明はパスワードに依存した認証方式を用いることによ
り、PKI無しに容易にその認証システムを実現するこ
とができる。
【0035】本発明によれば、ユーザが認証サーバと同
じ鍵を有しているか否かを確認する機能を提供する。既
存の通常のパスワードを用いたシステムには有効なパス
ワード攻撃から、通信データを守ることができる。端末
機に対する認証とユーザに対する認証は、分離独立して
おこなわれる。認証後に暗号化通信を行うための共有秘
密情報が提供される。あるセッションにおいて知られた
鍵は他のセッションに用いられた鍵に関する情報を含ん
でいない。また、本発明の方法によれば、認証処理の効
率が高い。
【0036】本発明のユーザ側と認証サーバとの間の相
互認証及び鍵交換プロトコルは、プロトコル中にディフ
ィヘルマン(Diffe-Hellman)鍵交換のために各ホスト
が一回のモジューラべき乗演算を行うことを除けば、主
としてハッシュ関数及び対称暗号アルゴリズムを行うこ
とになり、認証及び鍵交換の高速になる。
【図面の簡単な説明】
【図1】本発明の実施の形態によるネットワークへのア
クセス制御方法を説明するためのブロック図である。
【図2】本発明の実施の形態によるネットワークへのア
クセス制御方法を説明するためのフローチャートであ
る。
【符号の説明】
10a、10b MACプロトコル 20a、20b フレームワーク 30a、30b 処理部 100a、100b 端末機 120a、120b アクセスポイント 140 認証サーバ

Claims (6)

    【特許請求の範囲】
  1. 【請求項1】 (a)MAC−IDを用い、アクセスポ
    イントにおいて端末機に対する認証を終える段階と、 (b)ユーザがパスワード認証クライアントに自分のパ
    スワードを入力する段階と、 (c)前記入力されたパスワードに基づき前記パスワー
    ド認証クライアントと認証サーバとの間の認証を行う段
    階と、 (d)前記(a)段階の認証及び(c)段階の認証が許
    可されれば、前記端末機がインターネット/イントラネ
    ットなどの外部/内部のネットワークにアクセスし、そ
    うでなければ、前記ユーザに認証に失敗した旨のメッセ
    ージを伝達する段階と、を含むことを特徴とする無線環
    境におけるネットワークへのアクセス制御方法。
  2. 【請求項2】 前記(a)段階は、IEEE 802.
    1Xの環境下で行われることを特徴とする請求項1に記
    載の無線環境におけるネットワークへのアクセス制御方
    法。
  3. 【請求項3】 前記ユーザが前記端末機を最初に獲得し
    た場合であれば、前記(a)段階と(b)段階との間に
    インターネットプロトコル(IP)アドレスを割り当て
    られて前記端末機が認証サーバからパスワード認証クラ
    イアントをダウンロードする段階をさらに含むことを特
    徴とする請求項1に記載の無線環境におけるネットワー
    クへのアクセス制御方法。
  4. 【請求項4】 前記(b)段階前に、 (b−1)前記端末機及び前記認証サーバが共有する情
    報として、任意の大きい素数nを選定し、mod nに
    対する原始元gを求める段階と、 (b−2)前記ユーザが自分のパスワードであるPを選
    定してパスワード証明子v=gh(P)(ここで、h()
    は、単方向性のハッシュ関数である。)を計算する段階
    と、 (b−3)前記パスワード証明子値を前記ユーザが前記
    認証サーバに安全なチャンネルを介して伝達する段階
    と、をさらに含むことを特徴とする請求項1に記載の無
    線環境におけるネットワークへのアクセス制御方法。
  5. 【請求項5】 前記(c)段階は、 (c−1)前記パスワード認証クライアントが入力され
    たパスワードPに基づきパスワード証明子v=gh(P)
    計算して保存する段階と、 (c−2)前記パスワード認証クライアントがランダム
    な3値として前記端末機の秘密鍵xA、前記端末機のコ
    ンファウンダcA、任意値rを生成した後、生成された
    値を用いて前記端末機の公開鍵 及びz1=h(yA,v,cA)を計算する段階と、 (c−3)前記パスワード認証クライアントが計算され
    たz1、yA及び前記任意値rを前記アクセスポイントを
    介して前記認証サーバに伝送する段階と、 (c−4)前記認証サーバは、受信されたz1及びyA
    保存し、ランダムな値として前記認証サーバの秘密鍵x
    Bを生成して前記認証サーバの公開鍵 を計算する段階と、 (c−5)前記認証サーバは、受信されたyA及びr値
    に基づきセッション鍵 及びh1=h(r,v,K)を計算する段階と、 (c−6)前記認証サーバは、前記yB及び前記h1を前
    記ユーザパスワード証明子vから誘導された鍵を用いて
    対称鍵暗号システムにより暗号化メッセージであるz2
    =Ev(yB,h1)を前記パスワードクライアントに伝
    送する段階と、 (c−7)前記パスワードクライアントは受信されたz
    2に対し、前記ユーザのパスワード証明子vから誘導さ
    れた復号化鍵に基づき対称鍵暗号システムを用いて復号
    化した後にセッション鍵 を計算して保存し、前記セッション鍵を用いてh′=
    (r,v,K)値を計算した後に復号化して求めた値h
    1と合っているか否かを検査する段階と、 (c−8)計算された値h′と受信値h1とが合ってい
    なければ、前記パスワードクライアントは前記認証サー
    バとのメッセージのやり取りをここで中断し、合ってい
    れば、前記パスワードクライアントはK及びcA値を前
    記yBから誘導された鍵に基づき暗号化したメッセージ を前記認証サーバに伝送する段階と、 (c−9)前記認証サーバは、受信されたz3を前記yB
    から誘導された鍵を用いて復号化した後にKと自分のセ
    ッション鍵値とが合っているか否かを確認し、合ってい
    なければ、メッセージのやり取りをここで中断し、合っ
    ていれば、前記(c−4)段階において保存されたyA
    及び復号化したcAに基づきh″=h(y A,v,cA
    値を計算した後にh″と保存されたz1値とが同じであ
    るか否かを確認する段階と、 (c−10)前記h″及びz1値が同じであればユーザ
    認証を許可し、同じでなければユーザ認証を許可しない
    段階と、を含むことを特徴とする請求項4に記載の無線
    環境におけるネットワークへのアクセス制御方法(但
    し、ここで、Ex()はxを秘密鍵として用いる対称鍵
    暗号アルゴリズムを表わす。)。
  6. 【請求項6】 請求項1ないし5のうちいずれか1項に
    記載の方法をコンピュータにて実行するためのプログラ
    ムを記録したコンピュータにて読取り可能な記録媒体。
JP2003035865A 2002-03-16 2003-02-14 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体 Expired - Fee Related JP3863852B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR2002-014276 2002-03-16
KR1020020014276A KR100883648B1 (ko) 2002-03-16 2002-03-16 무선 환경에서의 네트웍 접근 통제 방법 및 이를 기록한기록매체

Publications (2)

Publication Number Publication Date
JP2003289301A true JP2003289301A (ja) 2003-10-10
JP3863852B2 JP3863852B2 (ja) 2006-12-27

Family

ID=27764648

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003035865A Expired - Fee Related JP3863852B2 (ja) 2002-03-16 2003-02-14 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体

Country Status (6)

Country Link
US (1) US20030177350A1 (ja)
EP (1) EP1345386B1 (ja)
JP (1) JP3863852B2 (ja)
KR (1) KR100883648B1 (ja)
CN (1) CN1206838C (ja)
DE (1) DE60313910T2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009001447A1 (ja) * 2007-06-27 2008-12-31 Fujitsu Limited 認証方法、認証システム、認証装置及びコンピュータプログラム
JP2009003877A (ja) * 2007-06-25 2009-01-08 Nippon Telegr & Teleph Corp <Ntt> 認証方法、登録値生成方法、サーバ装置、クライアント装置及びプログラム

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7024690B1 (en) * 2000-04-28 2006-04-04 3Com Corporation Protected mutual authentication over an unsecured wireless communication channel
KR100458955B1 (ko) * 2002-04-18 2004-12-03 (주) 시큐컴 무선랜 보안 방법
US20040054798A1 (en) * 2002-09-17 2004-03-18 Frank Ed H. Method and system for providing seamless connectivity and communication in a multi-band multi-protocol hybrid wired/wireless network
US7620027B2 (en) * 2003-03-14 2009-11-17 Canon Kabushiki Kaisha Communication system, information processing device, connection device, and connection device designation method for designating connection device for communication device to connect to
US7562390B1 (en) * 2003-05-21 2009-07-14 Foundry Networks, Inc. System and method for ARP anti-spoofing security
US7516487B1 (en) * 2003-05-21 2009-04-07 Foundry Networks, Inc. System and method for source IP anti-spoofing security
US20040255154A1 (en) * 2003-06-11 2004-12-16 Foundry Networks, Inc. Multiple tiered network security system, method and apparatus
US7876772B2 (en) 2003-08-01 2011-01-25 Foundry Networks, Llc System, method and apparatus for providing multiple access modes in a data communications network
US7735114B2 (en) * 2003-09-04 2010-06-08 Foundry Networks, Inc. Multiple tiered network security system, method and apparatus using dynamic user policy assignment
US7774833B1 (en) * 2003-09-23 2010-08-10 Foundry Networks, Inc. System and method for protecting CPU against remote access attacks
US7743405B2 (en) * 2003-11-07 2010-06-22 Siemens Aktiengesellschaft Method of authentication via a secure wireless communication system
GB0325978D0 (en) * 2003-11-07 2003-12-10 Siemens Ag Transparent authentication on a mobile terminal using a web browser
GB0325980D0 (en) * 2003-11-07 2003-12-10 Siemens Ag Secure authentication in a mobile terminal using a local proxy
CN100450137C (zh) * 2003-11-12 2009-01-07 华为技术有限公司 移动电话用户访问互联网的实现方法
US8528071B1 (en) 2003-12-05 2013-09-03 Foundry Networks, Llc System and method for flexible authentication in a data communications network
KR100674632B1 (ko) * 2004-07-16 2007-01-26 재단법인서울대학교산학협력재단 다운로드와 수행의 병행을 허용하는 이동 단말 장치 코드인증 방법
US20060059538A1 (en) * 2004-09-13 2006-03-16 Xcomm Box, Inc. Security system for wireless networks
EP1635528A1 (en) * 2004-09-13 2006-03-15 Alcatel A method to grant access to a data communication network and related devices
US20060068757A1 (en) * 2004-09-30 2006-03-30 Sukumar Thirunarayanan Method, apparatus and system for maintaining a persistent wireless network connection
FR2876521A1 (fr) * 2004-10-07 2006-04-14 France Telecom Procede d'authentification d'un utilisateur, dispositif mettant en oeuvre un tel procede, et serveur de signalisation
WO2006039771A1 (en) * 2004-10-12 2006-04-20 Bce Inc. System and method for access control
KR100600605B1 (ko) * 2004-11-03 2006-07-13 한국전자통신연구원 휴대 인터넷 시스템의 사용자 및 단말 데이터 관리 장치및 방법
FR2877453A1 (fr) * 2004-11-04 2006-05-05 France Telecom Procede de delegation securisee de calcul d'une application bilineaire
US7996894B1 (en) * 2005-02-15 2011-08-09 Sonicwall, Inc. MAC address modification of otherwise locally bridged client devices to provide security
US8010994B2 (en) 2005-05-16 2011-08-30 Alcatel Lucent Apparatus, and associated method, for providing communication access to a communication device at a network access port
US8621577B2 (en) 2005-08-19 2013-12-31 Samsung Electronics Co., Ltd. Method for performing multiple pre-shared key based authentication at once and system for executing the method
WO2007059112A2 (en) * 2005-11-15 2007-05-24 Credant Technologies, Inc. Secure, transparent and continuous synchronization of access credentials in an arbitrary third party system
KR100729729B1 (ko) * 2005-12-10 2007-06-18 한국전자통신연구원 무선 휴대 인터넷 시스템의 액세스 포인트의 인증 장치 및그 방법
KR100790495B1 (ko) * 2006-03-07 2008-01-02 와이즈와이어즈(주) 암호화 알고리즘을 이용한 이동통신 단말기 제어를 위한인증 방법, 시스템, 서버 및 기록매체
DE102007016117A1 (de) * 2007-04-03 2008-10-16 Siemens Ag Verfahren und System zum Bereitstellen eines REL-Tokens
KR100924315B1 (ko) * 2007-11-16 2009-11-02 넷큐브테크놀러지 주식회사 보안성이 강화된 무선랜 인증 시스템 및 그 방법
KR101065326B1 (ko) * 2009-08-06 2011-09-16 국방과학연구소 인트라넷 상에서 물리적 네트워크 주소를 이용한 웹 서비스 사용자 인증방법
KR101133210B1 (ko) * 2010-05-22 2012-04-05 오중선 모바일 클라이언트 단말기의 보안인증시스템
KR101493214B1 (ko) 2012-10-31 2015-02-24 삼성에스디에스 주식회사 패스워드 기반 인증 방법 및 이를 수행하기 위한 장치
WO2014069783A1 (ko) * 2012-10-31 2014-05-08 삼성에스디에스 주식회사 패스워드 기반 인증 방법 및 이를 수행하기 위한 장치
KR101483901B1 (ko) * 2014-01-21 2015-01-16 (주)이스트소프트 인트라넷 보안시스템 및 보안방법
US9674203B2 (en) * 2015-03-16 2017-06-06 International Business Machines Corporation File and bit location authentication
CN110831003B (zh) * 2018-08-13 2023-10-13 广东亿迅科技有限公司 基于wlan灵活接入网络的认证方法及系统

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6766454B1 (en) * 1997-04-08 2004-07-20 Visto Corporation System and method for using an authentication applet to identify and authenticate a user in a computer network
US6539479B1 (en) * 1997-07-15 2003-03-25 The Board Of Trustees Of The Leland Stanford Junior University System and method for securely logging onto a remotely located computer
US6282575B1 (en) * 1997-12-11 2001-08-28 Intel Corporation Routing mechanism for networks with separate upstream and downstream traffic
US20020156708A1 (en) * 1998-12-30 2002-10-24 Yzhak Ronen Personalized internet server
US6393484B1 (en) * 1999-04-12 2002-05-21 International Business Machines Corp. System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks
DE60029217T2 (de) * 1999-05-21 2007-05-31 International Business Machines Corp. Verfahren und vorrichtung zum initialisieren von sicheren verbindungen zwischen und nur zwischen zueinandergehörenden schnurlosen einrichtungen
US7174564B1 (en) * 1999-09-03 2007-02-06 Intel Corporation Secure wireless local area network
US6396484B1 (en) * 1999-09-29 2002-05-28 Elo Touchsystems, Inc. Adaptive frequency touchscreen controller using intermediate-frequency signal processing
JP2001211171A (ja) * 2000-01-28 2001-08-03 Advantest Corp 機器認証装置、方法、機器認証プログラムを記録した記録媒体
KR20010083377A (ko) * 2000-02-11 2001-09-01 박순규 시스템 정보를 이용한 사용자-서버간의 신분 인증방법
US7047408B1 (en) * 2000-03-17 2006-05-16 Lucent Technologies Inc. Secure mutual network authentication and key exchange protocol
FI111119B (fi) 2000-05-26 2003-05-30 Radionet Oy Ab Ltd Menetelmä ja laitteisto tiedon siirtämiseksi
JP2001346257A (ja) 2000-06-01 2001-12-14 Akesesu:Kk 携帯型無線端末機のセキュリティシステム、携帯型無線端末機、およびセキュリティ用プログラムを記録した記録媒体
MY134895A (en) * 2000-06-29 2007-12-31 Multimedia Glory Sdn Bhd Biometric verification for electronic transactions over the web
US20020075844A1 (en) * 2000-12-15 2002-06-20 Hagen W. Alexander Integrating public and private network resources for optimized broadband wireless access and method
JP4390122B2 (ja) * 2001-03-14 2009-12-24 富士通株式会社 バイオメトリック情報を用いた利用者認証システム
KR100438155B1 (ko) * 2001-08-21 2004-07-01 (주)지에스텔레텍 무선랜 네트워크 시스템 및 그 운용방법
US7487535B1 (en) * 2002-02-01 2009-02-03 Novell, Inc. Authentication on demand in a distributed network environment

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009003877A (ja) * 2007-06-25 2009-01-08 Nippon Telegr & Teleph Corp <Ntt> 認証方法、登録値生成方法、サーバ装置、クライアント装置及びプログラム
WO2009001447A1 (ja) * 2007-06-27 2008-12-31 Fujitsu Limited 認証方法、認証システム、認証装置及びコンピュータプログラム

Also Published As

Publication number Publication date
EP1345386B1 (en) 2007-05-23
EP1345386A3 (en) 2004-02-04
CN1445963A (zh) 2003-10-01
DE60313910D1 (de) 2007-07-05
DE60313910T2 (de) 2008-01-17
US20030177350A1 (en) 2003-09-18
JP3863852B2 (ja) 2006-12-27
EP1345386A2 (en) 2003-09-17
CN1206838C (zh) 2005-06-15
KR100883648B1 (ko) 2009-02-18
KR20030075224A (ko) 2003-09-26

Similar Documents

Publication Publication Date Title
JP3863852B2 (ja) 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体
US8726022B2 (en) Method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely
EP1422875B1 (en) Wireless network handoff key
US7760885B2 (en) Method of distributing encryption keys among nodes in mobile ad hoc network and network device using the same
EP1484856B1 (en) Method for distributing encryption keys in wireless lan
US7587598B2 (en) Interlayer fast authentication or re-authentication for network communication
JP4847322B2 (ja) 二重要素認証されたキー交換方法及びこれを利用した認証方法とその方法を含むプログラムが貯蔵された記録媒体
JP4634612B2 (ja) 改良された加入者認証プロトコル
JP5597676B2 (ja) 鍵マテリアルの交換
US9009479B2 (en) Cryptographic techniques for a communications network
US20090175454A1 (en) Wireless network handoff key
JP2002247047A (ja) セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置
JP2011139457A (ja) 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム
US8788821B2 (en) Method and apparatus for securing communication between a mobile node and a network
JP4550759B2 (ja) 通信システム及び通信装置
US20050144459A1 (en) Network security system and method
JP4677784B2 (ja) 集合型宅内ネットワークにおける認証方法及びシステム
JP2002247023A (ja) セッション共有鍵共有方法、ネットワーク端末認証方法、ネットワーク端末および中継装置
KR20050088645A (ko) 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득방법
Yu et al. An improved password authentication key exchange protocol for 802.11 environment
Wan et al. Anonymous dos-resistant access control protocol using passwords for wireless networks

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060501

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060524

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060824

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060913

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060929

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees