JP2004023166A - モバイル通信サービスシステム - Google Patents

モバイル通信サービスシステム Download PDF

Info

Publication number
JP2004023166A
JP2004023166A JP2002171676A JP2002171676A JP2004023166A JP 2004023166 A JP2004023166 A JP 2004023166A JP 2002171676 A JP2002171676 A JP 2002171676A JP 2002171676 A JP2002171676 A JP 2002171676A JP 2004023166 A JP2004023166 A JP 2004023166A
Authority
JP
Japan
Prior art keywords
authentication
wireless
communication service
mobile communication
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002171676A
Other languages
English (en)
Other versions
JP4169534B2 (ja
Inventor
Sukeaki Iwamura
岩村 相哲
Masayuki Nakajima
中島 雅之
Hirohide Mikami
三上 博英
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002171676A priority Critical patent/JP4169534B2/ja
Publication of JP2004023166A publication Critical patent/JP2004023166A/ja
Application granted granted Critical
Publication of JP4169534B2 publication Critical patent/JP4169534B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】本発明は無線アクセスの場合であっても高いセキュリティを確保することが可能なモバイル通信サービスシステムを提供することを目的とする。
【解決手段】無線端末10との間で無線通信回線を形成する少なくとも1つの無線接続システム20と、少なくとも1つの自律ネットワーク30とが所定の有線ネットワーク40に接続され、無線端末10からの要求に従って自律ネットワーク30に対する無線アクセスサービスを無線端末10に提供するモバイル通信サービスシステムにおいて、無線端末10を使用する利用者の本人性の証明に利用される証明書データを発行する認証局50と、認証局50が発行した証明書データに基づき、無線端末10からの無線アクセス要求に対して利用者の本人性の認証を行う主認証装置60とを設けたことを特徴とするモバイル通信サービスシステム。
【選択図】   図1

Description

【0001】
【発明の属する技術分野】
本発明は、無線端末との間で無線通信回線を形成する少なくとも1つの無線接続システムと、少なくとも1つの自律ネットワークとが所定の有線ネットワークに接続され、前記無線端末からの要求に従って前記自律ネットワークに対する無線アクセスサービスを前記無線端末に提供するモバイル通信サービスシステムに関し、特にセキュリティを確保するための技術に関する。
【0002】
【従来の技術】
IEEE 802.11bに代表される無線技術の普及により、従来は有線のみであったインターネットへのアクセスに無線アクセスが浸透しつつある。また、家庭内のLAN環境を無線化するだけでなく、例えばホテルのロビーなどの公衆環境において、いわゆるホットスポットと呼ばれる無線アクセスポイントを設置し、公衆の場所で特定の利用者、あるいは不特定の利用者が無線アクセスを利用できる環境も登場し始めている。すなわち、インターネットアクセスの技術及びその利用形態が多様化する傾向にある。
【0003】
無線アクセスが普及し、公衆環境でのアクセスの機会が高まるにつれて、無線盗聴やパスワードの漏洩などの可能性が高まる。従って、高度なセキュリティを実現する必要がある。また、有線や無線というアクセス形態にかかわらず同等なサービスを利用できるのが望ましい。
従来のIEEE 802.11bの技術では、暗号化技術としてWEP(WiredEquivalent Privacy)を用いている。しかし、WEPでは暗号化で用いるキーが固定であるため、暗号強度が脆弱であるという問題がある。
【0004】
また、従来のようにユーザID及びパスワードを用いて認証を行う場合には、パスワードが他人に漏洩した場合に、他人が本人になりすましてアクセスするような状況を回避できない。従って、より高度なセキュリティ技術が要求される。
更に、アクセス種別によらず同等のサービスを実現し、しかも高度なセキュリティを実現するためには、一般に、既存の有線網に対する少なからぬ変更が要求される場合が多く、サービスのコストが高くなる傾向にある。
【0005】
【発明が解決しようとする課題】
無線アクセスが普及し、公衆環境でのアクセスの機会が高まるにつれて、高度なセキュリティを実現する必要がある。また、有線・無線というアクセス形態にかかわらず同等なサービスを利用できることが望ましい。このような観点から、次のような課題を解決する必要がある。
【0006】
(1)本人性認証:公衆環境で無線アクセスする場合にユーザID及びパスワードを用いて認証すると、ユーザID及びパスワードが漏洩したり衆目にさらされる危険があり、不正に取得したユーザID及びパスワードを用い、他人が本人になりすまして不正アクセスする可能性がある。
(2)無線通信の脆弱性:代表的な無線通信方式であるIEEE 802.11bで用いている暗号化技術(WEP)では、暗号鍵を固定的に使用しているので、無線パケットをモニタすれば暗号鍵を解読することが可能であり、他人が解読した暗号鍵を用いて不正にアクセスする可能性がある。
【0007】
(3)既存有線システムとの適合性:既存の有線システムに高いセキュリティを実現する機能を備えた無線アクセスシステムを追加導入しようとすると、システム間の適合性の問題により既存設備を変更しなければならないことが多く、コストの増大につながる可能性がある。
本発明は、無線アクセスの場合であっても高いセキュリティを確保することが可能なモバイル通信サービスシステムを提供することを目的とする。
【0008】
【課題を解決するための手段】
上記の課題を解決するために、本発明のモバイル通信サービスシステムは次のように構成する。
(1)ハードウェアデバイスである本人認証装置を本システムの利用者が保持し、本人認証装置を端末に接続し、かつ認証局によって発行された証明書によって本人性が認証された場合にのみ利用が許可されるものとする。これにより不正利用を防止する。
【0009】
(2)無線通信におけるWEPの暗号鍵を定期的に更新し、暗号鍵解読の可能性を低減する。
(3)既にこのシステムに接続している自律ネットワークと同様の形態で認証システムをネットワークに接続する。これにより、既存システムを変更することなく認証システムを追加できる。
【0010】
(4)本人性認証用の論理パスと自律ネットワークヘのアクセス用論理パスをと互いに阻害することなく同時併用可能になるように構成し、無線アクセスポイントと論理パス接続機能を持ったルータとを接続する。
すなわち、請求項1は、無線端末との間で無線通信回線を形成する少なくとも1つの無線接続システムと、少なくとも1つの自律ネットワークとが所定の有線ネットワークに接続され、前記無線端末からの要求に従って前記自律ネットワークに対する無線アクセスサービスを前記無線端末に提供するモバイル通信サービスシステムにおいて、前記無線端末を使用する利用者の本人性の証明に利用される証明書データを発行する認証局と、前記認証局が発行した証明書データに基づき、前記無線端末からの無線アクセス要求に対して利用者の本人性の認証を行う主認証装置とを設けたことを特徴とする。
【0011】
請求項1においては、無線端末から自律ネットワーク(例えば、インターネット・サービス・プロバイダ)に対して無線回線を介してアクセスしようとする場合に、ネットワーク上で前記主認証装置が利用者の本人性の認証を行う。この認証においては、前記認証局が発行した証明書データを利用するので、例えば漏洩した利用者のIDやパスワードを他人が用い、他人が本人になりすまして無線アクセスを試みる場合には、前記主認証装置で認証に失敗する。従って、なりすましによる無線アクセスを防止できる。
【0012】
請求項2は、請求項1のモバイル通信サービスシステムにおいて、利用者の本人性を表す識別情報を出力する本人認証装置を、前記無線端末に接続可能な状態で配置するか、もしくは前記無線端末に内蔵し、前記主認証装置の認証結果により、利用者の本人性の認証に成功した場合には、前記無線端末の種別とは無関係に前記無線端末の無線アクセスを許可する無線アクセス制御装置を更に設けたことを特徴とする。
【0013】
請求項2においては、それぞれの利用者が個別に所持する本人認証装置を用いて認証を行う。この本人認証装置には、例えば前記認証局が予め発行した証明書データや暗号鍵などの情報を保持しておく。前記主認証装置においては、本人認証装置が保持している情報を受け取り、その情報に基づいて本人性の認証を行うので、パスワードなどを用いる必要がなく、確実な本人認証が可能になる。
【0014】
請求項3は、請求項1のモバイル通信サービスシステムにおいて、前記主認証装置に、前記無線接続システム内の要求元との間の認証経路に関する論理パスを認証する論理パス接続用認証装置と、利用者の本人性の認証を行う本人認証管理装置と、前記有線ネットワークと接続され前記論理パス接続用認証装置及び本人認証管理装置の接続経路を制御する経路制御装置とを設け、前記論理パス接続用認証装置による認証に成功した場合のみ、前記本人認証管理装置に対するアクセスを許可することを特徴とする。
【0015】
請求項3においては、論理パス接続用認証装置を用いることにより、認証要求が入力された場合に、その要求が正規の認証要求元(予め登録されている無線接続システム)からのものであることを確認することができるので不正な認証要求を拒否するすることができる。正規の認証要求元からの認証要求を受けた場合には、本人認証管理装置が利用者に対する本人認証を実施する。
【0016】
また、前記論理パス接続用認証装置及び本人認証管理装置の接続経路を制御する経路制御装置を設けることにより、主認証装置を既存の自律ネットワークと同様の形態で有線ネットワークに接続することができ、既存システムに変更を加える必要がない。
請求項4は、請求項3のモバイル通信サービスシステムにおいて、接続を要求した無線端末の接続先の自律ネットワークとは異なる論理パスに前記主認証装置の論理パスを割り当て、利用者の本人性の認証が必要になった場合に、予め定めた論理パスに従って前記主認証装置に対する接続を処理する認証経路制御装置を前記無線接続システムに設けたことを特徴とする。
【0017】
請求項4においては、主認証装置と自律ネットワークとにそれぞれ異なる論理パスを割り当ててあるので、主認証装置の処理と自律ネットワークの処理とを完全に分離することができ、様々な利用者の認証情報を主認証装置で一元的に管理できる。
請求項5は、請求項4のモバイル通信サービスシステムにおいて、前記無線接続システム内の無線装置及び前記認証経路制御装置と接続される全てのインタフェースを同一のセグメントに接続することを特徴とする。
【0018】
請求項6は、請求項2のモバイル通信サービスシステムにおいて、前記本人認証装置に関する処理と、前記主認証装置に対する通信の接続処理と、前記自律ネットワークに対する通信の接続処理とを統合的に管理する通信管理手段を前記無線端末に設けたことを特徴とする。
本発明のモバイル通信サービスシステムを利用する場合には、無線アクセスのために無線端末において様々な手続きを行う必要があるが、請求項6においては通信管理手段がこれらの処理の手順などを統合的に管理しているので、利用者の行うべき操作を減らすことができる。
【0019】
請求項7は、請求項4のモバイル通信サービスシステムにおいて、前記有線ネットワークに前記無線接続システムを複数接続した場合に、各々の無線接続システムに個別に識別情報を割り当てておき、前記主認証装置に前記無線接続システムからの論理パス接続要求が入力された場合に、論理パスの認証に成功すると、前記無線接続システムに対して識別情報毎に固有のホストアドレスを払い出すアドレス発行手段を前記主認証装置に設けたことを特徴とする。
【0020】
請求項8は、請求項4のモバイル通信サービスシステムにおいて、前記有線ネットワークに前記無線接続システムを複数接続した場合に、各々の無線接続システムに個別に識別情報を割り当てておき、前記主認証装置に前記無線接続システムからの論理パス接続要求が入力された場合に、論理パスの認証に成功すると、前記無線接続システムに対して識別情報毎に固有のネットワークアドレスを払い出すアドレス発行手段を前記主認証装置に設けたことを特徴とする。
【0021】
請求項9は、請求項4のモバイル通信サービスシステムにおいて、前記無線接続システム内の無線装置及び認証経路制御装置を一体に構成し、認証に成功した場合には、前記無線装置のインタフェースへのアクセスを許可し前記認証経路制御装置を跨いで前記有線ネットワークに接続するアクセス制御手段を前記無線接続システムに設けたことを特徴とする。
【0022】
請求項10は、請求項9のモバイル通信サービスシステムにおいて、前記ブリッジ制御手段は前記無線装置で受信したパケットのみを前記有線ネットワーク側に送出するように通過するパケットを規制することを特徴とする。
【0023】
【発明の実施の形態】
本発明のモバイル通信サービスシステムの1つの実施の形態について、図1〜図10を参照して説明する。この形態は全ての請求項に対応する。
【0024】
図1はシステム全体の構成例を示すブロック図である。図2は自律ネットワークの構成例を示すブロック図である。図3は利用者端末の構成例を示すブロック図である。図4は無線接続システムの構成例を示すブロック図である。図5は使用する証明書の受け渡しを示す模式図である。
図6はシステム全体の処理手順を示すフローチャートである。図7は認証パス接続動作を示すブロック図である。図8は802.1xアクセス制御の動作を示すブロック図である。図9はISP接続動作を示すブロック図である。図10は無線接続システムの構成例を示すブロック図である。
【0025】
この形態では、請求項1の無線端末,無線接続システム,自律ネットワーク,有線ネットワーク,認証局及び主認証装置は、それぞれ利用者端末10,無線接続システム20,自律ネットワーク30,有線ネットワーク40,認証局50及び認証システム60に対応する。
また、請求項2の本人認証装置及び無線アクセス制御装置は、それぞれ本人認証装置11及び無線アクセスポイント装置21に対応する。
【0026】
請求項3の論理パス接続用認証装置,本人認証管理装置及び経路制御装置は、それぞれ認証パス接続用認証サーバ62,本人認証用認証サーバ63及びIPルータ群61に対応する。
【0027】
また、請求項4の認証経路制御装置は認証パス接続用PPPoEルータ23に対応する。請求項6の通信管理手段は認証機能統合型通信ソフトウェア15に対応する。請求項7のアドレス発行手段は認証パス接続用認証サーバ62に対応する。請求項8のアドレス発行手段は認証パス接続用認証サーバ62に対応する。請求項9のアクセス制御手段は無線部81に対応する。
【0028】
この形態のモバイル通信サービスシステムは、図1に示すように利用者端末10,本人認証装置11,無線接続システム20,自律ネットワーク30,有線ネットワーク40,認証局50及び認証システム60を備えている。
図1の例では、複数の無線接続システム20(1),20(2),・・・,20(N)及び複数の自律ネットワーク30(1),30(2),・・・,30(N)がそれぞれ有線ネットワーク40に接続されている。
【0029】
各無線接続システム20は、それぞれが利用者端末10に対して無線アクセスを提供するためのホットスポットを構成する。
無線接続システム20には、図4に示すように無線アクセスポイント装置21,集線装置22,認証パス接続用PPPoEルータ23及びメディア変換装置24が備わっている。認証パス接続用PPPoEルータ23は、認証システム60への論理パス接続機能を果たす。
【0030】
認証システム60は、図1に示すようにIPルータ群61,認証パス接続用認証サーバ62及び本人認証用認証サーバ63を備えている。IPルータ群61は、本人認証の際に信号の経路を制御する。認証パス接続用認証サーバ62は、本人認証時の論理パスを認証する。この認証システム60には、「domain−A」のドメイン名が予め付与されている。
【0031】
認証局50は、ルート認証局51,中間認証局(A)52及び中間認証局(B)53を備えている。
各自律ネットワーク30は、図2に示すように、IPルータ群31,ISP(インターネット・サービス・プロバイダ)接続用認証サーバ32及び複数のISPサーバ33(a)〜33(n)を備えている。
【0032】
IPルータ群31は信号経路を制御する。ISP接続用認証サーバ32は各ISPサーバ33へアクセスする際の論理パス接続の認証を行う。また、図2の自律ネットワーク30には「domain−I」のドメイン名が予め付与されている。
有線ネットワーク40は、PPPoE(PPP over Ethernet(Ethernetは登録商標))ネットワークとして構成されている。ここでは、通信方式としてのPPPoE方式は、IETF(Internet Engineering Task Force)のRFC2516の規定に準拠している。
【0033】
利用者端末10には、図3に示すように無線インタフェース12,端末本体13,認証装置接続用コネクタ14及び認証機能統合型通信ソフトウェア15が備わっている。認証装置接続用コネクタ14にはハードウェアとして構成された本人認証装置11を接続することができる。
無線インタフェース12はIEEE 802.11bの規格に準拠しており、無線接続システム20の無線アクセスポイントとの間で無線通信を行うために備わっている。
【0034】
認証機能統合型通信ソフトウェア15は、利用者端末10の通信を制御し、無線アクセスなどを行う際の認証制御を行う。この形態では、認証機能統合型通信ソフトウェア15の制御により、認証の際に利用者が所持している本人認証装置11を接続し、RFC2716で規定されたEAP−TLS方式による認証動作に対応できる。
【0035】
また、利用者端末10はルート認証局51自らが予め発行したISO X.509形式準拠のルート認証局証明書71(図5参照)を保持している。
本人認証装置11は、例えばUSBインタフェースなどを介して利用者端末10と接続される独立したハードウェア装置である。各本人認証装置11は記憶装置を内蔵しており、802.1xアクセス制御における本人認証動作に用いるEAP−TLS方式に必要な利用者秘密鍵74と中間認証局(A)52が発行した利用者証明書73と、ルート認証局51が発行した中間認証局(A)証明書72とをデータとして保持している。これら全ての証明書は、ISO X.509形式に準拠している。なお、ルート認証局51は中間認証局(A)52及び中間認証局(B)53を認証するために存在する。
【0036】
無線接続システム20の無線アクセスポイント装置21は、IEEE 802.11bの規格に準拠しており、各利用者端末10との間で無線通信を行う機能を備えている。また、無線アクセスポイント装置21は集線装置22と接続するためのイーサネット(登録商標)のインタフェースを備えている。
更に、無線アクセスポイント装置21は802.1x準拠のポートアクセス制御機能を持ち、認証プロトコルにはEAP−TLSを用いる。無線アクセスポイント装置21の集線装置22と接続するインタフェースには、この例ではIPアドレスとして「adr−A」を割り当てる。
【0037】
このIPアドレス「adr−A」は、認証パス接続用認証サーバ62から認証パス接続用PPPoEルータ23のWAN側インタフェースに対して払い出されるIPアドレス「adr−C」のネットマスク値が32ビットの場合にはプライベートアドレスとし、ネットマスク値が32ビット未満の場合には「adr−C」とネットワークアドレスを同一とし、かつ「adr−C」と異なる値に定める。
【0038】
また、いずれの場合も、IPアドレス「adr−A」は認証パス接続用PPPoEルータ23のLAN側インタフェースに割り当てられるIPアドレス「adr−B」とネットワークアドレスを同一とする。
無線アクセスポイント装置21の初期経路(デフォルトルート)は、図4に示すように認証パス接続用PPPoEルータ23のLAN側インタフェース、すなわちIPアドレス「adr−B」に定めておく。また、802.1xに準拠した認証を実施するために、無線アクセスポイント装置21はIPアドレス「adr−R」の本人認証用認証サーバを指定するように定めておく。
【0039】
認証パス接続用PPPoEルータ23は、LAN側及びWAN側にそれぞれ独立したイーサネットのインタフェースを持ち、IPパケットのルーティング機能及びPPPoEクライアントとしての通信機能を持つ。認証パス接続用PPPoEルータ23のLAN側のインタフェースにはIPアドレス「adr−B」を割り当てておく。
【0040】
IPアドレス「adr−B」については、認証パス接続用認証サーバ62から認証パス接続用PPPoEルータ23のWAN側インタフェースに対して払い出されるIPアドレス「adr−C」のネットマスク値が32ビットの場合にはプライベートアドレスとし、ネットマスク値が32ビット未満の場合は「adr−C」とネットワークアドレスを同一とする。なお、認証パス接続用PPPoEルータ23のWAN側インタフェースに「adr−C」を付加しないunnumbered接続も可能である。
【0041】
また、いずれの場合もIPアドレス「adr−B」は無線アクセスポイント装置21の有線側インタフェースに割り当てられるIPアドレス「adr−A」とネットワークアドレスを同一にする。また、上記ネットマスク値が32ビットの場合には、認証パス接続用PPPoEルータ23において、「adr−A」,「adr−B」などのLAN側プライベートアドレスと「adr−C」とのアドレス変換(NAT)を実施する。
【0042】
集線装置22は、無線アクセスポイント装置21と、認証パス接続用PPPoEルータ23のLAN側及びWAN側と、メディア変換装置24との各インタフェースをイーサネットの同一セグメントとして接続する。
メディア変換装置24は、イーサネットとPPPoEネットワークとの相互接続のために、信号のメディア変換を実施する。
【0043】
有線ネットワーク40は、無線接続システム20側からのPPPoE通信設定時に指定されるユーザ名内のドメイン名に応じて通信先を選択することができ、かつPPPoEを終端してPPP通信(RFC2153)に変換するドメイン振り分け機能と、PPP通信を終端してIP通信に変換する機能とを有する。
【0044】
これにより、有線ネットワーク40においては、無線接続システム20側からPPPoEパスによる通信を可能とし、自律ネットワーク30及び認証システム60からは通常のIP通信を実現する。
認証局50のルート認証局51は、ISO X.509形式に準拠して中間認証局(A)52及び中間認証局(B)53に対する証明書及びルート認証局51自身に対する証明書を発行する。中間認証局(A)52及び中間認証局(B)53は、それぞれISO X.509形式に準拠して利用者端末10及び本人認証用認証サーバ63に対する証明書を発行する。
【0045】
各自律ネットワーク30内のISP接続用認証サーバ32は、有線ネットワーク40内のPPP終端機能を持つ装置から呼び出され、PPPoE通信接続要求時に利用者端末10から指定された利用者ID及び利用者パスワードを、Radius方式(RFC2138)に準拠して認証する。認証結果は呼び出し元であるPPP終端機能を持つ装置に返される。
【0046】
また、ISP接続用認証サーバ32は図2に示すように、認証成功の場合に利用者端末10の無線インタフェースに払い出すIPアドレスと32ビットのネットマスク値を利用者ID毎に保持している。
これは、Radiusの属性として、それぞれFramed−IP−Address(Type4)、Framed−IP−Netmask(Type9)(括弧内はアトリビュートタイプ値,RFC2138にて規定)によって設定される。
【0047】
各自律ネットワーク30内の各ISPサーバ33は、ISP接続用認証サーバ32による認証が正常に終了した後に、利用者端末10からのアクセスを受け付けてインターネット接続サービスを提供する。また、IPルータ群31を経由して他の自律ネットワークへの接続も可能である。
【0048】
認証システム60の認証パス接続用認証サーバ62は、有線ネットワーク40内のPPP終端機能を持つ装置から呼び出され、無線接続システム20内の認証パス接続用PPPoEルータ23がPPPoE通信接続要求時に指定した利用者ID及び利用者パスワードをRadius方式(RFC2138)に準拠して認証する。認証結果は呼び出し元であるPPP終端機能を持つ装置に返される。
【0049】
また、認証パス接続用認証サーバ62は認証成功の場合に認証パス接続用PPPoEルータ23のWAN側インタフェースに払い出すIPアドレスとネットマスク値とを利用者ID毎に保持している。
これは、Radiusの属性として、それぞれFramed−IP−Address(Type4)、Framed−IP−Netmask(Type9)(括弧内はアトリビュートタイプ値,RFC2138にて規定)によって設定される。
【0050】
本人認証用認証サーバ63は、無線接続システム20の無線アクセスポイント装置21を介して利用者端末10との間でEAP−TLS通信を行い、無線アクセスポイント装置21にアクセス使用としている利用者端末10に接続された本人認証装置11の正当性を確認することにより、利用者の本人認証を実施する。
本人認証用認証サーバ63には、本人認証動作に用いるEAP−TLS方式に必要な、本人認証用認証サーバ秘密鍵78,中間認証局(B)53発行の本人認証用認証サーバ証明書77及びルート認証局51発行の中間認証局(B)証明書76及びルート認証局51自身を証明するためのルート認証局証明書75の各データが保持されている(図5参照)。
【0051】
これらの全ての証明書は、ISO X.509形式に準拠している。なお、ルート認証局51は中間認証局(B)53を認証する関係にある。
認証システム60のIPルータ群61は、認証システム60を通るIPパケットの経路を制御する。
次に、システム全体の具体的な動作について説明する。このシステムの動作は、利用者端末10からのISP接続要求を契機として、図6に示すような4つのステップS20,S30,S40,S50で処理される。各ステップの詳細について以下に説明する。
【0052】
なお、ステップS20がS30の直後に実施されることもある。この場合は、ステップS30を明示的に起動する必要があるが、本質的な動作内容は同等である。
(S20)ISP接続要求:
これは利用者端末10側から自律ネットワーク30に対してPPPoEパスを接続しようとする要求動作であり、利用者端末10からPPPoE接続要求を無線アクセスポイント装置21経由で有線ネットワーク40に向けて送出することである。具体的な動作は次のとおりである。
【0053】
(a)利用者の操作により本人認証装置11を利用者端末10に接続し、所望のISPに対する接続のための入力を行う。
(b)本人認証装置11が利用者端末10に接続された状態で、利用者端末10に組み込まれた認証機能統合型通信ソフトウェア15の働きにより、利用者端末10から目的のISPに対してPPPoE通信による通信接続要求のためのPADIフレーム(RFC2516)を利用可能な無線アクセスポイントに向けて送信する。
【0054】
ここでは、例えば利用者IDとして「user−I@domain−I」を指定し、利用者パスワードとして「p−I」を指定して通信接続を要求する。
なお、特に断りの無い限り、これ以降では、利用者端末10の802.1xに伴うEAP−TLS動作及びPPPoE通信動作は、その利用者端末10上で動作している認証機能統合型通信ソフトウェア15もしくは同等の機能を持つ複数のソフトウェアの組み合わせの働きによって実現されるものとする。
【0055】
(S30)認証パスの接続(図7参照):
(a)無線アクセスポイント装置21は利用者端末10からのアクセスを検知し、認証済みではない場合、あるいは再度の認証が必要な場合に、802.1x準拠のアクセス制御を行う。そのために、無線アクセスポイント装置21と利用者端末10との間でEAPOL(EAP over LAN)方式(802.1xにて規定)の通信を確立する(S3a)。なお、認証済みの場合にはステップS50の動作を行う。
【0056】
(b)無線アクセスポイント装置21は、アドレス「adr−R」で指定される本人認証用認証サーバ63との間でEAP方式による認証を実施するために、認証パケットをデフォルトルートの設定に従って、認証パス接続用PPPoEルータ23に転送する(S3b)。
(c)認証パス接続用PPPoEルータ23は、受け取った認証パケットをWAN側インタフェースからPPPoE通信として本人認証用認証サーバ63に転送する。このとき、認証システム60へのPPPoE認証パスが確立していない場合には、WAN側のインタフェースからPADIフレームを送信する。このPADIフレームは、イーサネットアドレスとしてブロードキャストアドレスを持つため、集線装置22を介して、メディア変換装置24経由で有線ネットワーク40に到達する。
【0057】
ここで、PPPoE通信確立のために必要な利用者IDである「usr−A」と利用者パスワード「p−A」には、認証パス接続用PPPoEルータ23に予め定めてあるものが用いられる。認証パス接続用認証サーバ62によって認証が正常終了した後に、PPPoE通信が確立し、認証システム60との間で認証パスが確立する。
【0058】
このとき、認証パス接続用認証サーバ62は、利用者ID毎に保持している「Framed−IP−Address」,「Framed−Netmask」属性のそれぞれの値に従って、認証パス接続用PPPoEルータ23のWAN側インタフェースにIPアドレス「adr−C」とそのネットマスク値を割り当てる。また、「adr−C」を付加しないunnumbered接続も可能である。
【0059】
これによって、無線アクセスポイント装置21を介して利用者端末10と本人認証用認証サーバ63との間でEAP−TLS通信が可能になる。なお、認証パスの接続は、ステップS50のISP接続制御と同等の動作になる。
(S40)802.1xアクセス制御(図8参照):
(a)証明書の転送
利用者端末10と無線アクセスポイント装置21との間のEAPOL,無線アクセスポイント装置21と本人認証用認証サーバ63との間のEAP通信パスによって構成されるEAP−TLS方式によって、本人認証装置11内に保持されている中間認証局(A)証明書72及び利用者証明書73が本人認証用認証サーバ63に転送される。なお、利用者秘密鍵74は本人認証装置11の外部に転送されることはない。
【0060】
また、本人認証用認証サーバ63から利用者端末10に対して、本人認証用認証サーバ証明書77及び中間認証局(B)証明書76が転送される。
(b)本人認証用認証サーバ63と利用者端末10との間で、EAP−TLSの規定に従って認証が行われる。ここで、本人認証用認証サーバ63は利用者に対する認証を行い、利用者端末10は本人認証用認証サーバ63に対する認証を行う。
【0061】
(c)アクセス制御
上述の利用者認証が成功した場合、当該利用者端末10からの無線アクセスポイント装置21へのアクセスが許可され、ステップS20の説明中に記述したPADIフレームを含むPPPoE通信が無線アクセスポイント装置21を通過する。
【0062】
認証に成功した利用者端末10は、無線アクセスポイント装置21内に記憶され、この利用者端末10に対して一定時間毎に前述のEAP−TLS認証に基づいて802.1xアクセス制御が繰り返し実施される(後述の再認証)。
【0063】
802.1xの認証によって、802.11bで使用されるWEPの鍵が決定され、しかも鍵は再認証を含む802.1x認証毎に変更される。このため、無線通信区間においても高度なセキュリティを確保できる。
(S50)ISP接続(図9参照)
ステップS20の説明中に記述したPADIフレームが無線アクセスポイント装置21を通過し、集線装置22に到達する。PADIフレームはIP通信ではないため、認証パス接続用PPPoEルータ23はこれに反応しない。
【0064】
従って、このPADIフレームは集線装置22及びメディア変換装置24を経由して有線ネットワーク40に送出される。有線ネットワーク40では、利用者IDのドメイン部である「domain−I」に従って、パケットの方路が自律ネットワーク30に振り向けられる。
次に、自律ネットワーク30内のISP接続用認証サーバ32によって、利用者ID,利用者パスワードが認証され、この認証に成功した場合には、利用者端末10に対して、「Framed−IP−Address」属性である「adr−P」が「Framed−IP−Netmask」値32を伴って払い出される。
【0065】
再認証:
802.1xでは、アクセス許可が与えられた後にも利用者端末10は定期的に繰り返し認証されなければならない(再認証)。このシステムにおいては、ステップS40の説明中で記述したEAP−TLS認証を定期的に繰り返し実施する。再認証が不成功の場合には、当該利用者端末10は無線アクセスポイント装置21へのアクセスを拒否される。
【0066】
以上の動作の結果、利用者端末10は無線アクセスポイント装置21における802.1xアクセス制御の元で、自律ネットワーク30内のISPサーバ33もしくはIPルータ群31を介した他の自律ネットワークとの間でセキュリティの高い通信を行うことができる。
【0067】
ところで、図4に示す無線接続システム20の構成要素を統合化して、図10に示すように構成することもできる。
図10の例では、以下の機能を持たせることにより、図4の無線アクセスポイント装置21,集線装置22,認証パス接続用PPPoEルータ23を1つの統合化アクセスポイント80として置き換えることができる。
【0068】
(1)インタフェースは無線及び有線とする。
(2)無線及び有線インタフェースを介したIP経路制御機能を持つ。
(3)無線インタフェースは802.1b互換モード(802.1x認証を用いないとき)と802.1xモードとの2つのモードを持ち、2つのモードは切替可能とする。
【0069】
(4)有線インタフェースは、10BaseT,100BaseT等に準拠し、自動及び手動切り替え機能を持つ。
(5)有線インタフェースは、PPPoEクライアント機能を持つ。
(6)IP経路制御を行うことなく無線インタフェースと有線インタフェースとの間を直接接続するようなブリッジ動作が可能なモードを持つ。
【0070】
(7)無線インタフェースが802.1xモードの場合、認証成功前は無線インタフェースに対するアクセスは拒否される。
図10に示す統合化アクセスポイント80は、無線インタフェースを802.1xモードで動作させ、アクセスを許可する場合には、無線インタフェースと有線インタフェースとの間をブリッジ動作させることにより、図4の無線アクセスポイント装置21,集線装置22,認証パス接続用PPPoEルータ23を置き換えることが可能である。これにより、次の効果が得られる。
【0071】
装置台数が3台から1台に減るので接続形態が簡素化される。
また、IPアドレス「adr−B」の設定が不要になる。
【0072】
【発明の効果】
(1)既存の有線系PPPoEアクセスサービスと同等のサービスをネットワークそのものを改造することなく無線通信においても実現できる。
【0073】
(2)無線区間については、802.1xアクセス制御やEAP−TLS認証方式を組み合わせることにより高度なセキュリティを実現できる。
(3)持ち運びが容易なハードウェアデバイスで構成される本人認証装置にEAP−TLS認証方式などに必要な証明書や秘密鍵を格納しておくことにより、利便性を損なうことなく確実な本人認証が可能になる。
【0074】
(4)EAP−TLS認証方式などの認証を行う認証システムを既存のISPと同等の接続形態で構成し、認証情報を一元的に管理することにより、既存の有線サービスとの適合性を高めることができる。
(5)認証のための論理パスとISP接続のための論理パスとを独立した2つのPPPoE通信パスとして同時に実現できる。
(6)無線システムの構成要素を統合化することにより、無線システムの構成を簡素化できる。
【図面の簡単な説明】
【図1】システム全体の構成例を示すブロック図である。
【図2】自律ネットワークの構成例を示すブロック図である。
【図3】利用者端末の構成例を示すブロック図である。
【図4】無線接続システムの構成例を示すブロック図である。
【図5】使用する証明書の受け渡しを示す模式図である。
【図6】システム全体の処理手順を示すフローチャートである。
【図7】認証パス接続動作を示すブロック図である。
【図8】802.1xアクセス制御の動作を示すブロック図である。
【図9】ISP接続動作を示すブロック図である。
【図10】無線接続システムの構成例を示すブロック図である。
【符号の説明】
10 利用者端末
11 本人認証装置
12 無線インタフェース
13 端末本体
14 認証装置接続用コネクタ
15 認証機能統合型通信ソフトウェア
20 無線接続システム
21 無線アクセスポイント装置
22 集線装置
23 認証パス接続用PPPoEルータ
24 メディア変換装置
30 自律ネットワーク
31 IPルータ群
32 ISP接続用認証サーバ
33 ISPサーバ
40 有線ネットワーク
50 認証局
51 ルート認証局
52 中間認証局(A)
53 中間認証局(B)
60 認証システム
61 IPルータ群
62 認証パス接続用認証サーバ
63 本人認証用認証サーバ
71 ルート認証局証明書
72 中間認証局(A)証明書
73 利用者証明書
74 利用者秘密鍵
75 ルート認証局証明書
76 中間認証局(B)証明書
77 本人認証用認証サーバ証明書
78 本人認証用認証サーバ秘密鍵
80 統合化アクセスポイント
81 無線部
82 PPPoEルータ部

Claims (10)

  1. 無線端末との間で無線通信回線を形成する少なくとも1つの無線接続システムと、少なくとも1つの自律ネットワークとが所定の有線ネットワークに接続され、前記無線端末からの要求に従って前記自律ネットワークに対する無線アクセスサービスを前記無線端末に提供するモバイル通信サービスシステムにおいて、
    前記無線端末を使用する利用者の本人性の証明に利用される証明書データを発行する認証局と、
    前記認証局が発行した証明書データに基づき、前記無線端末からの無線アクセス要求に対して利用者の本人性の認証を行う主認証装置と
    を設けたことを特徴とするモバイル通信サービスシステム。
  2. 請求項1のモバイル通信サービスシステムにおいて、
    利用者の本人性を表す識別情報を出力する本人認証装置を、前記無線端末に接続可能な状態で配置するか、もしくは前記無線端末に内蔵し、
    前記主認証装置の認証結果により、利用者の本人性の認証に成功した場合には、前記無線端末の種別とは無関係に前記無線端末の無線アクセスを許可する無線アクセス制御装置
    を更に設けたことを特徴とするモバイル通信サービスシステム。
  3. 請求項1のモバイル通信サービスシステムにおいて、
    前記主認証装置に、
    前記無線接続システム内の要求元との間の認証経路に関する論理パスを認証する論理パス接続用認証装置と、
    利用者の本人性の認証を行う本人認証管理装置と、
    前記有線ネットワークと接続され前記論理パス接続用認証装置及び本人認証管理装置の接続経路を制御する経路制御装置と
    を設け、前記論理パス接続用認証装置による認証に成功した場合のみ、前記本人認証管理装置に対するアクセスを許可することを特徴とするモバイル通信サービスシステム。
  4. 請求項3のモバイル通信サービスシステムにおいて、
    接続を要求した無線端末の接続先の自律ネットワークとは異なる論理パスに前記主認証装置の論理パスを割り当て、
    利用者の本人性の認証が必要になった場合に、予め定めた論理パスに従って前記主認証装置に対する接続を処理する認証経路制御装置を前記無線接続システムに設けた
    ことを特徴とするモバイル通信サービスシステム。
  5. 請求項4のモバイル通信サービスシステムにおいて、
    前記無線接続システム内の無線装置及び前記認証経路制御装置と接続される全てのインタフェースを同一のセグメントに接続する
    ことを特徴とするモバイル通信サービスシステム。
  6. 請求項2のモバイル通信サービスシステムにおいて、
    前記本人認証装置に関する処理と、前記主認証装置に対する通信の接続処理と、前記自律ネットワークに対する通信の接続処理とを統合的に管理する通信管理手段を前記無線端末に設けた
    ことを特徴とするモバイル通信サービスシステム。
  7. 請求項4のモバイル通信サービスシステムにおいて、
    前記有線ネットワークに前記無線接続システムを複数接続した場合に、各々の無線接続システムに個別に識別情報を割り当てておき、
    前記主認証装置に前記無線接続システムからの論理パス接続要求が入力された場合に、論理パスの認証に成功すると、前記無線接続システムに対して識別情報毎に固有のホストアドレスを払い出すアドレス発行手段を前記主認証装置に設けた
    ことを特徴とするモバイル通信サービスシステム。
  8. 請求項4のモバイル通信サービスシステムにおいて、
    前記有線ネットワークに前記無線接続システムを複数接続した場合に、各々の無線接続システムに個別に識別情報を割り当てておき、
    前記主認証装置に前記無線接続システムからの論理パス接続要求が入力された場合に、論理パスの認証に成功すると、前記無線接続システムに対して識別情報毎に固有のネットワークアドレスを払い出すアドレス発行手段を前記主認証装置に設けた
    ことを特徴とするモバイル通信サービスシステム。
  9. 請求項4のモバイル通信サービスシステムにおいて、
    前記無線接続システム内の無線装置及び認証経路制御装置を一体に構成し、
    認証に成功した場合には、前記無線装置のインタフェースへのアクセスを許可し前記認証経路制御装置を跨いで前記有線ネットワークに接続するアクセス制御手段を前記無線接続システムに設けた
    ことを特徴とするモバイル通信サービスシステム。
  10. 請求項9のモバイル通信サービスシステムにおいて、
    前記ブリッジ制御手段は前記無線装置で受信したパケットのみを前記有線ネットワーク側に送出するように通過するパケットを規制する
    ことを特徴とするモバイル通信サービスシステム。
JP2002171676A 2002-06-12 2002-06-12 モバイル通信サービスシステム Expired - Fee Related JP4169534B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002171676A JP4169534B2 (ja) 2002-06-12 2002-06-12 モバイル通信サービスシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002171676A JP4169534B2 (ja) 2002-06-12 2002-06-12 モバイル通信サービスシステム

Publications (2)

Publication Number Publication Date
JP2004023166A true JP2004023166A (ja) 2004-01-22
JP4169534B2 JP4169534B2 (ja) 2008-10-22

Family

ID=31171468

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002171676A Expired - Fee Related JP4169534B2 (ja) 2002-06-12 2002-06-12 モバイル通信サービスシステム

Country Status (1)

Country Link
JP (1) JP4169534B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006197462A (ja) * 2005-01-17 2006-07-27 Nec Infrontia Corp 携帯通信端末およびユーザ認証方法
JP2010532596A (ja) * 2007-06-11 2010-10-07 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 証明書処理のための方法および装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006197462A (ja) * 2005-01-17 2006-07-27 Nec Infrontia Corp 携帯通信端末およびユーザ認証方法
JP4527553B2 (ja) * 2005-01-17 2010-08-18 Necインフロンティア株式会社 携帯通信端末およびユーザ認証方法
JP2010532596A (ja) * 2007-06-11 2010-10-07 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 証明書処理のための方法および装置

Also Published As

Publication number Publication date
JP4169534B2 (ja) 2008-10-22

Similar Documents

Publication Publication Date Title
JP4777729B2 (ja) 設定情報配布装置、方法、プログラム及び媒体
JP4394682B2 (ja) 非信頼アクセスネットワークを介してシングルサインオン認証を行なう装置及び方法
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
AU2008213766B2 (en) Method and system for registering and verifying the identity of wireless networks and devices
US7673146B2 (en) Methods and systems of remote authentication for computer networks
KR101047641B1 (ko) 보안 장치용 보안 및 프라이버시 강화
JP4728258B2 (ja) ユーザーがipネットワークに接続する時、ローカル管理ドメインにおいてユーザーに対するアクセス認証を管理するための方法及びシステム
US7624181B2 (en) Techniques for authenticating a subscriber for an access network using DHCP
KR100494558B1 (ko) 공중 무선랜 서비스 시스템의 사용자 인증방법 및 시스템
US7788705B2 (en) Fine grained access control for wireless networks
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
JP2006086907A (ja) 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム
CN101986598B (zh) 认证方法、服务器及系统
US20040010713A1 (en) EAP telecommunication protocol extension
US20150249639A1 (en) Method and devices for registering a client to a server
JP4906581B2 (ja) 認証システム
KR20040001329A (ko) 공중 무선랜 서비스를 위한 망 접속 방법
JP4965499B2 (ja) 認証システム、認証装置、通信設定装置および認証方法
JPH11331181A (ja) ネットワーク端末認証装置
JP4793024B2 (ja) ユーザ認証方法、認証サーバ及びシステム
JP4584776B2 (ja) ゲートウェイ装置およびプログラム
JP4169534B2 (ja) モバイル通信サービスシステム
JP4457859B2 (ja) ユーザ認証方法、システム、認証サーバ及び通信端末
Fisher Authentication and Authorization: The Big Picture with IEEE 802.1 X

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040707

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060526

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060613

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060802

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070313

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070427

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080122

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080314

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080729

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080805

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110815

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120815

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees