JP2004072631A - Authentication system in radio communications, authentication method and terminal - Google Patents

Authentication system in radio communications, authentication method and terminal Download PDF

Info

Publication number
JP2004072631A
JP2004072631A JP2002232030A JP2002232030A JP2004072631A JP 2004072631 A JP2004072631 A JP 2004072631A JP 2002232030 A JP2002232030 A JP 2002232030A JP 2002232030 A JP2002232030 A JP 2002232030A JP 2004072631 A JP2004072631 A JP 2004072631A
Authority
JP
Japan
Prior art keywords
network
authentication
communication
terminal device
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002232030A
Other languages
Japanese (ja)
Other versions
JP3905803B2 (en
Inventor
Hiroto Suda
須田 博人
Shigeru Tomisato
冨里 繁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2002232030A priority Critical patent/JP3905803B2/en
Publication of JP2004072631A publication Critical patent/JP2004072631A/en
Application granted granted Critical
Publication of JP3905803B2 publication Critical patent/JP3905803B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an authentication system in radio communication capable of inexpensively realizing safe communication of terminals as much as possible even while enhancing security. <P>SOLUTION: A network A to be connected with a base station and a network B to be connected with an access point (AP) are mutually connected with the authentication system and the authentication system shares a terminal authentication server to be connected with the network A with the one of the network B. A terminal is provided with a first communication means for communicating with the access point of the network B, a second communication means for communicating with the base station of the network A and a means for transmitting information for authentication by being connected with a radio line by which high security is guaranteed with the base station by the second communication means in the case of performing the communication by being connected with the network B. The authentication server judges the propriety of access to the access point to the terminal based on the transmitted information for authentication and informs the access point of a result. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、無線通信における認証システム、認証方法及び端末装置に関する。
【0002】
【従来の技術】
近年、「ホットスポット」と呼ばれる喫茶店やレストラン、空港、駅、ホテルなどに、事業者(オペレータ)が無線ネットワーク機器(以下、アクセスポイントという)を設置して、インターネットの利用サービスを提供している。ユーザの端末装置(パソコン、PDA、携帯電話など)には、通常、無線LANの機能(例:IEEE802.11b対応)のパソコンやPDAが備えられ、アクセスポイントに接続されるネットワークに接続することで、ホットスポットの圏内でのインターネットの利用が可能となっている。
【0003】
こうしたホットスポットシステムでは、ユーザ端末(以下、端末装置という)とアクセスポイント間の通信が無線で行われるため通信データを第三者に傍受される危険性が常につきまとう。このような問題に対しては、WEP(Wired Equivalent Privacy)暗号化やESS(Extended Service Set) IDで対処しているのが一般的である。
【0004】
また、ホットスポットの圏内でコンピュータを利用しようとしている人にその権利があるかどうか正当性を検証する作業、いわゆる“認証”もセキュリティ面から見て重要となってくる。
【0005】
図5は、従来の端末装置とネットワーク間の相互認証方法の一例を示す図である。同図において、点線より下の(a)はホットスポットシステムを表し、(b)は他の通信システム、ここでは、移動通信システムを表す。(a)のホットスポットシステムは、自システムに収容される端末装置10、アクセスポイント(AP:Access point)20、通信ネットワーク30、ホットスポット用認証サーバ(AAAサーバ)40から構成される。一方、(b)の移動通信システムは、移動通信ネットワーク50、自システム加入者のユーザの認証に用いるセルラ用認証サーバ(AAAサーバ)60、基地局(BS:Base station)70から構成される。
【0006】
上記ホットスポット用AAAサーバ40は、例えば、端末装置10を所有するユーザの本人性を認証するためのサーバで、端末装置10からのアクセス要求を受け付け、認証(Authentication)、認可(Authorization)、アカウンティング(Accounting)を行なうサーバである。また、上記セルラ用AAAサーバ60は、自システム加入の移動端末(携帯電話など)からのアクセス要求を受け付け、自システム加入のユーザの認証、認可、アカウンティングを行なうサーバである。
【0007】
また、上記通信ネットワーク30と移動通信ネットワーク50は相互接続され、ホットスポットシステムの利用ユーザは、移動通信システムで提供されるサービスも利用することが可能となっている。
【0008】
ホットスポットシステムでは、(a)アクセスポイント20と端末装置10間または(b)端末装置10とホットスポット用AAAサーバ40間の相互認証が行われる。ここでは、(b)の端末装置10とホットスポット用AAAサーバ40間でなされる相互認証方法を一例にとり説明する。相互認証方法としては、秘密鍵暗号ベース相互認証方法(例えば、非特許文献1参照)が用いられる。
【0009】
(端末装置10とホットスポット用AAAサーバ40間の相互認証の説明)
相互認証方法とは、お互い(この場合、端末装置10とAAAサーバ40)が相手を認証する方法であり、ここでは、端末装置10とホットスポット用AAAサーバ40の両者が秘密鍵Kを共有し、相互に認証を行なう例を以下に示す。
【0010】
まず、端末装置10は乱数rを生成して、それをアクセスポイント20経由でホットスポット用AAAサーバ40に送信(▲1▼)する。ホットスポット用AAAサーバ40は乱数rを生成し、(rA‖rB)を、鍵Kを用いて暗号化した結果である情報X=E(B‖A‖r‖r)をアクセスポイント20経由で端末装置10に送信(▲2▼)する。端末装置10は受信した情報Xを復号して、rが含まれていることを確認するとともに、rを取り出して情報Y=E(A‖r)を計算し、アクセスポイント20経由でホットスポット用AAAサーバ40に送信(▲3▼)する。ホットスポット用AAAサーバ40は情報Yを復号して、rが含まれていることを確認すると、認証完了の旨をアクセスポイント20に通知(▲4▼)する。このようにして端末装置10とホットスポット用AAAサーバ40間での認証が完了すると、端末装置10とアクセスポイント20との間で通信が開始(▲5▼)される。
【0011】
一方で、無線通信基本サービスシステムのような提案が行われている(例えば、特許文献1参照)。この提案システムは、回線接続制御を行なうために双方向のデータ通信機能を新たに設け、かつ端末装置の位置登録情報をネットワーク(無線通信基本サービス事業者)側で管理することにより、サービスの相互乗り入れができるようになっている。
【0012】
【特許文献1】
特開平10−248091
【非特許文献1】
岡本、山本著「現代暗号」産業図書、1997
【発明が解決しようとする課題】
前述したように、ホットスポットシステムにおける相互認証方法では、アクセスポイント20と端末装置10間またはホットスポット用AAAサーバ40と端末装置10間の相互認証が必要であり、この相互認証のための認証プロトコルは簡単ではない。また、相互認証を行なうためには、認証サーバは複数回の情報の送受信及び認証処理が必要であり、結果的にシステムコストを増大させるという問題があった。
【0013】
また、上で示した従来技術(特開平10−248091)の場合、回線接続制御を行なうための双方向のデータ通信機能と、位置登録情報を管理するための機能を新たに設けるため、結果的にシステムコストが増加してしまう。さらに、位置登録情報を得るために端末装置と基地局間では、間欠的に通信を行なう必要があるため、周波数資源を消費するという欠点があった。
【0014】
本発明は、上記のような問題点に鑑みてなされたもので、その課題とするところは、セキュリティを高めつつもできるだけ安価な認証システムの構築コストで端末の安全な通信を実現できる無線通信における認証システム、電子認証方法及び端末装置を提供することである。
【0015】
【課題を解決するための手段】
上記課題を解決するため、本発明は、請求項1に記載されるように、基地局と接続されるネットワーク(以下、ネットワークAと呼ぶ)と、アクセスポイント(AP)と接続されるネットワーク(以下、ネットワークBと呼ぶ)とが相互接続され、それぞれのネットワークに収容される端末装置の認証を該それぞれのネットワークに接続される認証サーバにて行なう認証システムにおいて、前記ネットワークAに接続される認証サーバを前記ネットワークBと共通に適用し、前記端末装置は、前記ネットワークBのアクセスポイントと通信する第一通信手段と、 前記ネットワークAの基地局と通信する第二通信手段と、前記ネットワークBと接続して通信を行なう際に、前記第二通信手段により、前記基地局との間で高いセキュリティが保証される無線回線に接続して認証のための情報を送信する認証情報送信手段を備え、前記認証サーバは、前記認証情報送信手段により送られてきた前記認証のための情報に基づいて、前記端末装置に対する前記アクセスポイントへのアクセスの許可又は不許可を判定する認証手段と、前記判定の結果を前記アクセスポイントに通知する認証結果通知手段とを備えたことを特徴としている。
【0016】
また、本発明の請求項2は、前記認証システムにおいて、前記アクセスポイントは、前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づいて生成された証明書を前記端末装置の第一通信手段に送信する証明書送信手段を備え、前記端末装置は、前記第一通信手段により受信した証明書を前記第二通信手段により前記認証サーバに送信する認証依頼送信手段を備え、前記認証サーバは、受信した前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定する正規証明書判定手段と、前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定された場合に、前記アクセスポイントに前記端末装置との通信許可を与える通知をする第一の通信許可通知手段を備えたことを特徴としている。
【0017】
また、本発明の請求項3は、前記認証システムにおいて、前記端末装置は、前記第一通信手段により受信した証明書に前記アクセスポイントが前記端末装置との通信開始に先立って必要となる秘密情報を付加する秘密情報付加手段を備え、前記認証依頼送信手段は、前記付加された秘密情報と前記証明書を合わせて前記認証サーバに送信することを特徴としている。
【0018】
また、本発明の請求項4は、前記認証システムにおいて、前記認証サーバは、前記第二通信手段により送られてきた秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定する通信権利判定手段を備え、
前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定され、かつ前記通信権利判定手段にて前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記アクセスポイントに前記端末装置との通信許可を与える通知をする第二の通信許可通知手段とを備えたことを特徴としている。
【0019】
また、本発明の請求項5は、前記認証システムにおいて、前記認証サーバは、前記認証依頼送信手段により送信される前記証明書と前記秘密情報を前記アクセスポイントに送信する認証情報送信手段を備え、前記アクセスポイントは、前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定するAP正規証明書判定手段と、前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定するAP通信権利判定手段とを備え、 前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定され、かつ前記通信権利判定手段にて前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記アクセスポイントに前記端末装置との通信を開始する通信開始判断手段をさらに備えたことを特徴としている。
【0020】
また、本発明の請求項6は、前記認証システムにおいて、前記ネットワークAで用いられる通信ネットワークとして移動通信ネットワーク、前記ネットワークBで用いられる通信ネットワークとしてアクセスポイントを介して通信を行なう無線LANであることを特徴としている。
【0021】
また、本発明の請求項7は、前記認証システムにおいて、前記端末装置は、前記第一通信手段として無線LANにアクセス可能な無線LAN無線通信手段と、前記第二通信手段として移動通信ネットワークにアクセス可能な移動通信網無線通信手段と、前記第一通信手段と前記第二通信手段とを有線又は無線で接続して情報のやりとりを行なう異システム間情報送受手段を備えたことを特徴としている。
【0022】
また、本発明の請求項8は、前記認証システムにおいて、前記端末装置は、前記無線LAN無線通信手段及び前記移動通信網無線通信手段に対応したソフトウェア・プログラムを外部よりダウンロードする無線回線接続制御プログラム記憶手段を備えたことを特徴としている。
【0023】
上記のような本発明の構成によれば、ネットワークB(例:無線LAN)に収容される端末装置の認証のための情報(証明書などの認証情報)を高いセキュリティが保証されている移動通信ネットワーク(ネットワークA)の基地局と端末装置間の無線区間を利用して認証サーバに送信するため、第三者による認証情報の盗用や改ざんをより的確に防ぐことができ、従来と比してセキュアな通信を実現することができる。また、無線LANを利用する端末装置の認証を移動通信ネットワークで用いられる認証サーバを利用して行なうので、異システム毎に必要であった認証サーバ数を削減することができる。その結果、無線LANシステムにおいて新しいシステムを構築する場合であっても、無線LANを利用する端末装置のセキュリティレベルを高くしつつ、極めて安価なセキュリティシステムの構築が可能である。
【0024】
【発明の実施の形態】
以下、本発明の実施の形態を図面に基づいて説明する。
【0025】
(実施の形態1)
図1は、本発明の実施の形態1に係る認証システムの概略図である。
【0026】
図1において、この認証システムは、双方向通信可能な通信回線に接続された端末装置10、通信ネットワーク(NW:Network)システムA(同図左側)、通信ネットワークシステムB(同図右側)、該通信ネットワークシステムAと該通信ネットワークシステムBとで共通の認証サーバ(以下、共通AAAサーバという)100とから構成される。上記通信ネットワークシステムAは、例えば、PDC(Personal Digital Cellular)方式やIMT−2000方式のシステムであり(以下、移動通信システムと略記)、上記通信ネットワークシステムBは、例えば、特定エリア(ホットスポット)内での特定情報取得およびインターネットアクセスとして利用されている無線LANシステムである。
【0027】
上記移動通信ステムは、ネットワークA(例:移動通信網)50と、端末装置10との間で無線通信を行なう基地局70とから構成され、上記無線LANシステムは、ネットワークB30(無線LAN網)とアクセスポイント20とから構成される。本実施例において端末装置10は、上記ネットワークA50と、上記ネットワークB30の通信回線にアクセス可能な無線通信インターフェースを備え、該通信回線に接続可能コンピュータや携帯情報端末、携帯電話などであればよい。本例では、図2に示すように、上記端末装置10の筐体内にネットワークA50にアクセス可能な無線通信インターフェースA3とネットワークB30にアクセス可能な無線通信インターフェースB4が備えられ、それらの情報の受け渡しが情報転送用バスライン6にて行われる。CPU5は無線通信インターフェースA3と無線通信インターフェースB4の制御を司る。本例では、説明を容易にするため、無線通信インターフェースA3を端末装置A(=符号3)、無線通信インターフェースB4を端末装置B(=符号4)と定義して、以下説明を進める。端末装置A3で生成される無線信号はアンテナ1を介して基地局70に、端末装置B4で生成される無線信号はアンテナ2を介してアクセスポイント20に放射される。
【0028】
次に、本発明の概要を図1より説明する。なお、図の左側の移動通信システムではネットワークA50と端末装置A3の相互認証が既に完了済みの状態であるものとし、図の右側の無線LANシステムではネットワークB30と端末装置B4の相互認証が未完了の状態であるものとする。本発明は、このような状態において、無線LANシステムに収容される端末装置B4の認証を他のシステムである移動通信システムを利用して行なうことを最大の特徴としている。
【0029】
図1において、まず、無線LANシステムのアクセスポイント20から証明書が端末装置B4に向けて送信(▲1▼点線)される。この証明書には、a)アクセスポイント20が送信したことを示す情報と、b)移動通信システムと無線LANシステムとの間で秘密に共有する情報(秘密共有情報)が含まれる。上記証明書は無線LANシステム側で生成してもよいし、信頼できる第三者で生成してもかまわない。
【0030】
端末装置B4は、アクセスポイント20から送信された証明書を受信した後、該証明書に秘密ID情報(後述する)を付加して端末装置A3に送信する。本実施例では、端末装置A3と端末装置B4が同一筐体内に収められている(図2参照)ことを想定しているため、上記証明書と秘密ID情報が情報転送用バスライン6を介して端末装置B4から端末装置A3に転送される。端末装置A3は、端末装置B4より転送されてきた証明書と秘密ID情報を受け取った後、それらの情報を基地局70を介してネットワークA50に接続される共通AAAサーバに100送信(▲2▼)する。共通AAAサーバ100は、端末装置A3から送られてきた証明書と秘密ID情報受信後、認証OKであれば認証完了(通信許可)をアクセスポイント20に通知(▲3▼)する。このようにしてアクセスポイント20に通信許可が通知されると、端末装置B4とアクセスポイント20間で通信が開始(▲4▼)される。
【0031】
ここで、上記秘密ID情報について説明する。秘密ID情報とは、端末装置B4とアクセスポイント20との通信に先立って該アクセスポイント20が端末装置B4を認証するID情報とする場合や、端末装置B4と該アクセスポイント20との通信に用いる暗号鍵とする場合がある。
【0032】
続いて、共通AAAサーバ100で行われる端末装置Bの認証処理を図3のフローチャートにより説明する。本フローチャートを説明するにあたり、移動通信システムにおけるネットワークA50と端末装置A3の相互認証は既に完了済みであり、該端末装置A3とネットワークA50では、セキュリティの高い通信が実現できているものとする。
【0033】
図3において、共通AAAサーバ100は、端末装置A3から送信されてきた証明書と秘密ID情報を受信(取得)する(S1)と、その受信した証明書がどのアクセスポイントの証明書かを確認し、正規に登録されているアクセスポイントの証明書かどうかを判定するとともに、受信した証明書に格納されている情報が正しいものかどうかを判定(S2)する。この判定(S2)で、証明書が正規であるものと判定された場合(S2でYES)、さらに、秘密ID情報を参照して、当該秘密ID情報が指示する端末装置B4がアクセスポイント20との通信権利を有している否かを判定(S3)し、この判定(S3)で該端末装置B4がアクセスポイント20との通信権利を有していると判定されたときは(S3でYES)、認証OKとしてアクセスポイント20に端末装置B4との通信を許可するメッセージを送信(S4)する。一方、上記(S2)、(S3)のいずれかの判定で否定(S2でNOまたはS3でNO)されれば、不正ユーザからのアクセスとみなしアクセスポイント20に認証NGが通知される。
【0034】
なお、上記実施例では、証明書はアクセスポイント20から送信される形態を示したが、上記証明書がアクセスポイント20以外の、他の第三者のアクセスポイントから送信(自分以外のアクセスポイントの証明書を不正に)される場合もあり得る。本発明はこのような第三者のアクセスポイントによるネットワークへの不正な参加を次のようにして無効にすることができる。
【0035】
上記第三者のアクセスポイントが悪意などで証明書を送信した場合、共通AAAサーバ100は正規のアクセスポイントにのみ端末装置B4の秘密ID情報を知らせないため、第三者のアクセスポイントは端末装置B4と通信することはできない。これにより、悪意のある第三者のアクセスポイントからのネットワークへの不正な参加を回避することが可能である。
【0036】
以上、説明したように、本実施の形態1によれば、ネットワークB30(無線LAN)に収容される端末装置B4の認証のための情報(証明書などの認証情報)を高いセキュリティが保証されているネットワークA50(移動通信ネットワーク)における基地局70と端末装置A3間の無線区間を利用して共通認証サーバ100に送信するため、第三者による認証情報の盗用や改ざんをより的確に防ぐことができ、従来と比してセキュアな通信を実現することができる。
【0037】
また、無線LANを利用する端末装置B4の認証をネットワークA50で用いられる認証サーバ、すなわち共通認証サーバ100を利用して行なうので、異システム毎に必要であった認証サーバ数を削減することができる。
【0038】
また、従来、アクセスポイント20とホットスポット用認証サーバ40で行われていた端末装置10の認証は、認証のための情報のやりとりを複数回(従来は最低でも4回必要、図5の▲1▼〜▲4▼参照)行っていたため、認証プロトコルが複雑になるという欠点があった。しかし、本実施例では、端末装置B4の相互認証のための共通AAAサーバ100の通信回数は2回で済むため、認証プロトコルが簡単になり、共通AAAサーバ100やアクセスポイント20の装置の複雑化を防ぐことができる。
【0039】
したがって、本発明によれば、無線LANシステムにおいて新しいシステムを構築する場合であっても、無線LANを利用する端末装置B4のセキュリティレベルを高くしつつ、極めて安価なセキュリティシステムの構築が可能である。
【0040】
さらに、本実施形態によれば、端末装置B4の着信機能は用いない(発信機能だけを用いている)ため位置登録(着信のため端末装置の位置を移動通信ネットワークに登録すること)が不要となる。すなわち、端末装置B4の位置登録情報をネットワーク側で管理する必要がなくなり、ネットワーク側での処理負担を軽減することができる。
【0041】
(実施の形態2)
上記実施の形態1では、共通AAAサーバ100にて端末装置B4の認証を行い、認証結果をアクセスポイント20に通知するという形態であったが、図4に示すように、共通AAAサーバ100で認証は行わないで、アクセスポイント20で認証を行なう形態であってもよい。この場合、共通AAAサーバ100から認証用の証明書と秘密ID情報がアクセスポイント20に送られ、図3で示した共通AAAサーバ100での認証処理がアクセスポイント20にて行われる。これにより、実施の形態1の場合と比較して共通AAAサーバ100の負荷を軽減することが可能である。
【0042】
また、上記実施の形態1及び2では、共通AAAサーバ100と端末装置B4間でなされる認証方式として証明書を利用した相互認証方式を用いて説明したが、本発明はこれに限定されるものではない。例えば、無線LAN等に利用されるセキュリティ標準規格であるIEEE802.1xの認証プロトコルを上記AAAサーバ100と上記端末装置B4に実装して認証を行なうようにしてもよい。
【0043】
さらに上記実施の形態1及び2では、端末装置A3と端末装置B4が同一筐体内に収められ、両者間の情報のやりとりが情報転送用バスライン6を用いて行われる場合を示したが、これ以外にも、端末装置A3と端末装置B4を個別に用意し、両者が短距離無線通信規格「ブルートゥース」に対応したチップまたは該「ブルートゥース」との互換性を確保した無線通信規格「IEEE 802.15.1」(別名WPAN規格)対応のチップを内蔵し、短距離無線により情報の送受信を行なうような形態であってもよい。この場合、端末装置A3と端末装置B4でやりとりされる情報には暗号化処理が施される。
【0044】
また、一台の端末装置をソフトウェアの書き換えにより機能変更し、様々な無線システムに対応可能とするソフトウェア無線技術を利用して端末装置A3、B4を構築してもよい。
【0045】
また、本実施例によれば、端末装置10がネットワークAのエリアからネットワークB30のエリアに移動(ハンドオーバ)した場合であっても、セキュリティの高いネットワークA側での本人認証がすでに完了しているため、ネットワークB側での新たな認証は必要なくなる。そのため、共通認証サーバ100における認証プロトコル処理を軽減することができる。
【0046】
上記例において、共通認証サーバ100が認証手段、認証結果通知手段、正規証明書判定手段、第一の通信許可通知手段、第二の通信許可通知手段、認証情報送信手段に対応する。また、前記端末装置B4が第一通信手段、秘密情報付加手段、無線LAN無線通信手段に対応し、前記端末装置A3が第二通信手段、認証依頼送信手段、認証情報送信手段、移動通信網無線通信手段に対応し、前記アクセスポイント20が証明書送信手段、AP正規証明書判定手段、AP通信権利判定手段、通信開始判断手段に対応する。さらに、前記端末装置B4と前記端末装置A3が異システム間情報送受手段に対応し、端末装置10が無線回線接続制御プログラム記憶手段に対応する。
【0047】
【発明の効果】
以上、説明したように、本願発明によれば、ネットワークB(例:無線LAN)に収容される端末装置の認証のための情報(証明書などの認証情報)を高いセキュリティが保証されている移動通信ネットワーク(ネットワークA)の基地局と端末装置間の無線区間を利用して認証サーバに送信するため、第三者による認証情報の盗用や改ざんをより的確に防ぐことができ、従来と比してセキュアな通信を実現することができる。また、無線LANを利用する端末装置の認証を移動通信ネットワークで用いられる認証サーバを利用して行なうので、異システム毎に必要であった認証サーバ数を削減することができる。その結果、無線LANシステムにおいて新しいシステムを構築する場合であっても、無線LANを利用する端末装置のセキュリティレベルを高くしつつ、極めて安価なセキュリティシステムの構築が可能である。
【図面の簡単な説明】
【図1】本発明の実施の形態1に係る認証システムの概略図である。
【図2】図1に示す端末装置の構成例を示す図である。
【図3】共通認証サーバで行われる端末装置Bの認証処理を示すフローチャートである。
【図4】本発明の実施の形態2に係る認証システムの概略図である。
【図5】従来の端末装置とネットワーク間の相互認証方法の一例を示す図である。
【符号の説明】
1 無線インターフェースA(端末装置A)用アンテナ
2 無線インターフェースB(端末装置B)用アンテナ
3 無線インターフェースA(端末装置A)
4 無線インターフェースB(端末装置B)
5 CPU(制御部)
6 情報転送用バスライン
10 端末装置
20 アクセスポイント
30 ネットワークB(無線LAN網)
40 ホットスポット用認証サーバ(AAAサーバ)
50 ネットワークA(移動通信網)
60 セルラ用認証サーバ(AAAサーバ)
70 基地局
100 共通認証サーバ[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an authentication system, an authentication method, and a terminal device in wireless communication.
[0002]
[Prior art]
In recent years, businesses (operators) have installed wireless network devices (hereinafter, referred to as access points) in coffee shops, restaurants, airports, train stations, hotels, and the like called "hot spots" to provide Internet use services. . A user's terminal device (a personal computer, a PDA, a mobile phone, etc.) is usually provided with a personal computer or a PDA having a wireless LAN function (for example, IEEE802.11b), and is connected to a network connected to an access point. The Internet can be used within the hot spot area.
[0003]
In such a hot spot system, since communication between a user terminal (hereinafter, referred to as a terminal device) and an access point is performed wirelessly, there is always a danger that communication data may be intercepted by a third party. Such a problem is generally dealt with by WEP (Wired Equivalent Privacy) encryption or ESS (Extended Service Set) ID.
[0004]
In addition, the operation of verifying the validity of a person who intends to use a computer in a hot spot area, that is, "authentication" is also important from a security point of view.
[0005]
FIG. 5 is a diagram illustrating an example of a conventional mutual authentication method between a terminal device and a network. In the figure, (a) below the dotted line represents a hot spot system, and (b) represents another communication system, here, a mobile communication system. The hot spot system (a) includes a terminal device 10 accommodated in the own system, an access point (AP) 20, a communication network 30, and a hot spot authentication server (AAA server) 40. On the other hand, the mobile communication system (b) includes a mobile communication network 50, a cellular authentication server (AAA server) 60 used for authentication of a user of the own system subscriber, and a base station (BS: Base station) 70.
[0006]
The hot spot AAA server 40 is, for example, a server for authenticating the identity of the user who owns the terminal device 10, receives an access request from the terminal device 10, and performs authentication (Authentication), authorization (Authorization), and accounting. (Accounting). The cellular AAA server 60 is a server that receives an access request from a mobile terminal (such as a mobile phone) subscribed to the own system and performs authentication, authorization, and accounting of a user subscribed to the own system.
[0007]
Further, the communication network 30 and the mobile communication network 50 are interconnected, and the user of the hot spot system can use the service provided by the mobile communication system.
[0008]
In the hot spot system, mutual authentication is performed between (a) the access point 20 and the terminal device 10 or (b) between the terminal device 10 and the hot spot AAA server 40. Here, the mutual authentication method performed between the terminal device 10 and the hot spot AAA server 40 in (b) will be described as an example. As the mutual authentication method, a secret key encryption-based mutual authentication method (for example, see Non-Patent Document 1) is used.
[0009]
(Description of Mutual Authentication Between Terminal Device 10 and AAA Server 40 for Hot Spot)
The mutual authentication method is a method in which each other (in this case, the terminal device 10 and the AAA server 40) authenticates each other. Here, both the terminal device 10 and the hot spot AAA server 40 share a secret key K. An example of performing mutual authentication will be described below.
[0010]
First, the terminal device 10 receives a random number r A Is generated and transmitted to the hot spot AAA server 40 via the access point 20 ((1)). The hotspot AAA server 40 uses a random number r B Is generated, and information X = E, which is the result of encrypting (rA‖rB) using the key K, K (B‖A‖r A ‖R B ) Is transmitted to the terminal device 10 via the access point 20 ((2)). The terminal device 10 decodes the received information X, and A Is included, and r B And information Y = E K (A‖r B ) Is calculated and transmitted to the hot spot AAA server 40 via the access point 20 ((3)). The hot spot AAA server 40 decrypts the information Y, and B Is confirmed, the access point 20 is notified of the completion of the authentication ((4)). When the authentication between the terminal device 10 and the hotspot AAA server 40 is completed in this way, communication between the terminal device 10 and the access point 20 is started ((5)).
[0011]
On the other hand, proposals such as a wireless communication basic service system have been made (for example, see Patent Document 1). The proposed system provides a two-way data communication function to perform line connection control, and manages the location registration information of the terminal device on the network (basic wireless communication service provider) side, thereby providing mutual service. You can get in.
[0012]
[Patent Document 1]
JP-A-10-248091
[Non-patent document 1]
Okamoto and Yamamoto, "Contemporary Cryptography", Sangyo Tosho, 1997
[Problems to be solved by the invention]
As described above, the mutual authentication method in the hot spot system requires mutual authentication between the access point 20 and the terminal device 10 or between the hotspot AAA server 40 and the terminal device 10, and an authentication protocol for the mutual authentication. Is not easy. In addition, in order to perform mutual authentication, the authentication server needs to transmit and receive information a plurality of times and perform authentication processing, resulting in a problem of increasing system cost.
[0013]
Further, in the case of the above-described conventional technique (Japanese Patent Laid-Open No. Hei 10-248091), a bidirectional data communication function for performing line connection control and a function for managing location registration information are newly provided, so In addition, the system cost increases. Furthermore, since it is necessary to perform intermittent communication between the terminal device and the base station in order to obtain location registration information, there is a disadvantage that frequency resources are consumed.
[0014]
SUMMARY OF THE INVENTION The present invention has been made in view of the above-described problems, and an object of the present invention is to provide a wireless communication that can realize secure communication of a terminal at the cost of building an authentication system as inexpensive as possible while enhancing security. An object of the present invention is to provide an authentication system, an electronic authentication method, and a terminal device.
[0015]
[Means for Solving the Problems]
In order to solve the above problems, the present invention provides a network connected to a base station (hereinafter referred to as a network A) and a network connected to an access point (AP) (hereinafter referred to as a network). , And a network B) are interconnected, and an authentication server connected to the network A in an authentication system in which an authentication server connected to each network authenticates a terminal device accommodated in each network. Is commonly applied to the network B, the terminal device is a first communication unit that communicates with an access point of the network B, a second communication unit that communicates with a base station of the network A, and is connected to the network B. High security is guaranteed with the base station by the second communication means when performing communication by Authentication information transmitting means for transmitting information for authentication by connecting to the wireless line to be authenticated, wherein the authentication server, based on the information for authentication sent by the authentication information transmitting means, the terminal An authentication unit for determining permission or non-permission of an apparatus to access the access point, and an authentication result notifying unit for notifying the access point of a result of the determination are provided.
[0016]
Further, in the authentication system according to the present invention, in the authentication system, the access point transmits a certificate generated based on information secretly shared between the network B and the network A to the terminal device. The terminal device includes a certificate transmission unit configured to transmit the certificate received by the first communication unit to the authentication server by the second communication unit. An authentication server configured to determine whether or not the received certificate is a correct certificate based on the secret sharing information; and that the certificate received by the formal certificate determination unit is a correct certificate. A first communication permission notifying unit for notifying the access point of communication with the terminal device when the access point is determined.
[0017]
Also, in the authentication system according to the present invention, in the authentication system, the terminal device may include a secret information required by the access point in the certificate received by the first communication means before the access point starts communication with the terminal device. And an authentication request transmitting unit that transmits the authentication information to the authentication server together with the added secret information and the certificate.
[0018]
According to a fourth aspect of the present invention, in the authentication system, the authentication server determines whether or not the terminal device indicated by the secret information transmitted by the second communication means has a communication right with the access point. Communication right determination means for determining
The certificate received by the authorized certificate determination unit is determined to be a correct certificate, and the communication right determination unit determines that the terminal device indicated by the secret information has a communication right with the access point. And a second communication permission notifying unit for notifying the access point of permission to communicate with the terminal device when the access is performed.
[0019]
Also, in the authentication system according to the fifth aspect of the present invention, in the authentication system, the authentication server includes an authentication information transmitting unit that transmits the certificate and the secret information transmitted by the authentication request transmitting unit to the access point, The access point includes an AP regular certificate determining unit that determines whether the certificate is a correct certificate based on the secret sharing information, and a terminal device designated by the secret information has a communication right with the access point. AP communication right judgment means for judging whether or not the certificate has been received. The certificate received by the regular certificate judgment means is judged as a correct certificate, and the communication right judgment means instructs with the secret information. Start communication with the terminal device to the access point when it is determined that the terminal device to be operated has the right to communicate with the access point. Communication start determining means for determining whether to start communication.
[0020]
According to a sixth aspect of the present invention, in the authentication system, the communication network used in the network A is a mobile communication network, and the communication network used in the network B is a wireless LAN that communicates via an access point. It is characterized by.
[0021]
According to a seventh aspect of the present invention, in the authentication system, the terminal device accesses a wireless LAN wireless communication unit capable of accessing a wireless LAN as the first communication unit and a mobile communication network as the second communication unit. A mobile communication network wireless communication means, and inter-system information transmission / reception means for exchanging information by connecting the first communication means and the second communication means by wire or wirelessly.
[0022]
8. The wireless line connection control program according to claim 8, wherein the terminal device downloads a software program corresponding to the wireless LAN wireless communication unit and the mobile communication network wireless communication unit from outside in the authentication system. It is characterized by having storage means.
[0023]
According to the configuration of the present invention as described above, mobile communication in which information (authentication information such as a certificate) for authentication of a terminal device accommodated in a network B (eg, a wireless LAN) is guaranteed with high security. Since the information is transmitted to the authentication server using a wireless section between the base station of the network (network A) and the terminal device, theft and falsification of the authentication information by a third party can be more accurately prevented, and compared with the conventional case. Secure communication can be realized. Further, since the authentication of the terminal device using the wireless LAN is performed using the authentication server used in the mobile communication network, the number of authentication servers required for each different system can be reduced. As a result, even when a new system is constructed in the wireless LAN system, it is possible to construct an extremely inexpensive security system while increasing the security level of the terminal device using the wireless LAN.
[0024]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0025]
(Embodiment 1)
FIG. 1 is a schematic diagram of an authentication system according to Embodiment 1 of the present invention.
[0026]
In FIG. 1, this authentication system includes a terminal device 10 connected to a communication line capable of bidirectional communication, a communication network (NW: Network) system A (left side in the figure), a communication network system B (right side in the figure), The communication network system A and the communication network system B include a common authentication server (hereinafter, referred to as a common AAA server) 100. The communication network system A is, for example, a PDC (Personal Digital Cellular) system or an IMT-2000 system (hereinafter abbreviated as a mobile communication system), and the communication network system B is, for example, a specific area (hot spot). This is a wireless LAN system used for acquiring specific information and accessing the Internet.
[0027]
The mobile communication system includes a network A (for example, a mobile communication network) 50 and a base station 70 that performs wireless communication with the terminal device 10, and the wireless LAN system includes a network B30 (a wireless LAN network). And an access point 20. In the present embodiment, the terminal device 10 includes a wireless communication interface capable of accessing the communication line of the network A50 and the network B30, and may be a computer, a portable information terminal, a mobile phone, or the like connectable to the communication line. In this example, as shown in FIG. 2, a wireless communication interface A3 that can access the network A50 and a wireless communication interface B4 that can access the network B30 are provided in the housing of the terminal device 10, and transfer of the information is performed. This is performed on the information transfer bus line 6. The CPU 5 controls the wireless communication interface A3 and the wireless communication interface B4. In this example, to facilitate the description, the wireless communication interface A3 is defined as the terminal device A (= reference numeral 3), and the wireless communication interface B4 is defined as the terminal device B (= reference numeral 4). The radio signal generated by the terminal device A3 is radiated to the base station 70 via the antenna 1, and the radio signal generated by the terminal device B4 is radiated to the access point 20 via the antenna 2.
[0028]
Next, the outline of the present invention will be described with reference to FIG. In the mobile communication system on the left side of the figure, it is assumed that the mutual authentication between the network A50 and the terminal device A3 has already been completed, and in the wireless LAN system on the right side of the diagram, the mutual authentication between the network B30 and the terminal device B4 has not been completed. State. The most significant feature of the present invention is that in such a state, authentication of the terminal device B4 accommodated in the wireless LAN system is performed using a mobile communication system which is another system.
[0029]
In FIG. 1, first, a certificate is transmitted from the access point 20 of the wireless LAN system to the terminal device B4 ((1) dotted line). The certificate includes a) information indicating that the access point 20 has transmitted, and b) information secretly shared between the mobile communication system and the wireless LAN system (secret shared information). The certificate may be generated on the wireless LAN system side, or may be generated by a trusted third party.
[0030]
After receiving the certificate transmitted from the access point 20, the terminal device B4 adds secret ID information (described later) to the certificate and transmits the certificate to the terminal device A3. In this embodiment, since it is assumed that the terminal device A3 and the terminal device B4 are housed in the same housing (see FIG. 2), the certificate and the secret ID information are transmitted via the information transfer bus line 6. Is transferred from the terminal device B4 to the terminal device A3. After receiving the certificate and the secret ID information transferred from the terminal device B4, the terminal device A3 transmits 100 of the information to the common AAA server connected to the network A50 via the base station 70 ((2)). ). After receiving the certificate and the secret ID information sent from the terminal device A3, the common AAA server 100 notifies the access point 20 of the completion of the authentication (communication permission) if the authentication is OK ([3]). When the communication permission is notified to the access point 20 in this manner, communication between the terminal device B4 and the access point 20 is started ((4)).
[0031]
Here, the secret ID information will be described. The secret ID information is used in the case where the access point 20 authenticates the terminal device B4 prior to the communication between the terminal device B4 and the access point 20, or in the communication between the terminal device B4 and the access point 20. It may be an encryption key.
[0032]
Next, the authentication processing of the terminal device B performed by the common AAA server 100 will be described with reference to the flowchart of FIG. In describing this flowchart, it is assumed that mutual authentication between the network A50 and the terminal device A3 in the mobile communication system has already been completed, and high-security communication can be realized between the terminal device A3 and the network A50.
[0033]
3, when the common AAA server 100 receives (acquires) the certificate and the secret ID information transmitted from the terminal device A3 (S1), it checks which access point the received certificate is for. In addition, it is determined whether or not the certificate of the access point is registered properly, and whether or not the information stored in the received certificate is correct (S2). When it is determined in this determination (S2) that the certificate is valid (YES in S2), the terminal device B4 indicated by the secret ID information further refers to the secret ID information, and It is determined whether or not the terminal device B4 has the communication right with the access point 20 (YES in S3). ), And transmits a message permitting communication with the terminal device B4 to the access point 20 as authentication OK (S4). On the other hand, if the determination in any of the above (S2) and (S3) is negative (NO in S2 or NO in S3), authentication NG is notified to the access point 20 as an access from an unauthorized user.
[0034]
In the above embodiment, the certificate is transmitted from the access point 20. However, the certificate is transmitted from an access point of another third party other than the access point 20 (an access point of an access point other than its own). The certificate may be fraudulent). The present invention can invalidate such unauthorized participation in a network by a third-party access point in the following manner.
[0035]
When the third-party access point transmits the certificate for malicious purposes, etc., the common AAA server 100 does not inform only the authorized access point of the secret ID information of the terminal device B4. It cannot communicate with B4. Thereby, it is possible to prevent a malicious third party from illegally joining the network from an access point.
[0036]
As described above, according to the first embodiment, high security is assured for the information (authentication information such as a certificate) for authentication of the terminal device B4 accommodated in the network B30 (wireless LAN). Is transmitted to the common authentication server 100 using a wireless section between the base station 70 and the terminal device A3 in the network A50 (mobile communication network), so that theft or falsification of the authentication information by a third party can be prevented more appropriately. As a result, secure communication can be realized as compared with the related art.
[0037]
In addition, since the authentication of the terminal device B4 using the wireless LAN is performed using the authentication server used in the network A50, that is, the common authentication server 100, the number of authentication servers required for each different system can be reduced. .
[0038]
In addition, in the authentication of the terminal device 10 conventionally performed by the access point 20 and the hot spot authentication server 40, information exchange for authentication is performed a plurality of times (conventionally, at least four times are required; (See ▼ to ▲ 4). However, there was a drawback that the authentication protocol became complicated. However, in the present embodiment, since the number of communication times of the common AAA server 100 for mutual authentication of the terminal device B4 is only two, the authentication protocol is simplified, and the devices of the common AAA server 100 and the access point 20 are complicated. Can be prevented.
[0039]
Therefore, according to the present invention, even when a new system is constructed in a wireless LAN system, it is possible to construct an extremely inexpensive security system while increasing the security level of the terminal device B4 using the wireless LAN. .
[0040]
Further, according to the present embodiment, since the incoming call function of the terminal device B4 is not used (only the outgoing call function is used), location registration (registration of the position of the terminal device in the mobile communication network for the incoming call) is unnecessary. Become. That is, there is no need to manage the position registration information of the terminal device B4 on the network side, and the processing load on the network side can be reduced.
[0041]
(Embodiment 2)
In the first embodiment, the common AAA server 100 authenticates the terminal device B4 and notifies the access point 20 of the authentication result. However, as shown in FIG. 4, the authentication is performed by the common AAA server 100. The authentication may be performed at the access point 20 without performing the authentication. In this case, the certificate for authentication and the secret ID information are sent from the common AAA server 100 to the access point 20, and the authentication processing in the common AAA server 100 shown in FIG. This makes it possible to reduce the load on the common AAA server 100 as compared with the case of the first embodiment.
[0042]
In the first and second embodiments, the mutual authentication method using a certificate has been described as an authentication method performed between the common AAA server 100 and the terminal device B4. However, the present invention is not limited to this. is not. For example, an authentication protocol of IEEE802.1x, which is a security standard used for a wireless LAN or the like, may be mounted on the AAA server 100 and the terminal device B4 to perform authentication.
[0043]
Furthermore, in the first and second embodiments, the terminal device A3 and the terminal device B4 are housed in the same housing, and information is exchanged between them using the information transfer bus line 6. In addition to the above, the terminal device A3 and the terminal device B4 are separately prepared, and both of them are chips compatible with the short-range wireless communication standard "Bluetooth" or wireless communication standard "IEEE 802. 15.1 "(also known as WPAN standard) compliant chip may be built in, and information may be transmitted and received by short-range wireless communication. In this case, information exchanged between the terminal device A3 and the terminal device B4 is subjected to an encryption process.
[0044]
Alternatively, the functions of one terminal device may be changed by rewriting software, and the terminal devices A3 and B4 may be constructed using software defined radio technology that can support various wireless systems.
[0045]
Further, according to the present embodiment, even when the terminal device 10 moves (handover) from the area of the network A to the area of the network B30, the personal authentication on the network A with high security has already been completed. Therefore, new authentication on the network B side becomes unnecessary. Therefore, authentication protocol processing in the common authentication server 100 can be reduced.
[0046]
In the above example, the common authentication server 100 corresponds to an authentication unit, an authentication result notification unit, a regular certificate determination unit, a first communication permission notification unit, a second communication permission notification unit, and an authentication information transmission unit. In addition, the terminal device B4 corresponds to a first communication unit, a secret information adding unit, and a wireless LAN wireless communication unit, and the terminal device A3 corresponds to a second communication unit, an authentication request transmitting unit, an authentication information transmitting unit, a mobile communication network wireless unit. The access point 20 corresponds to a certificate transmitting unit, an AP regular certificate determining unit, an AP communication right determining unit, and a communication start determining unit. Further, the terminal device B4 and the terminal device A3 correspond to inter-system information transmission / reception means, and the terminal device 10 corresponds to a wireless line connection control program storage means.
[0047]
【The invention's effect】
As described above, according to the present invention, according to the present invention, information (authentication information such as a certificate) for authentication of a terminal device accommodated in a network B (eg, a wireless LAN) is transferred with high security. Since the information is transmitted to the authentication server using the wireless section between the base station of the communication network (network A) and the terminal device, theft and falsification of the authentication information by a third party can be more accurately prevented, and compared with the conventional case. And secure communication can be realized. Further, since the authentication of the terminal device using the wireless LAN is performed using the authentication server used in the mobile communication network, the number of authentication servers required for each different system can be reduced. As a result, even when a new system is constructed in the wireless LAN system, it is possible to construct an extremely inexpensive security system while increasing the security level of the terminal device using the wireless LAN.
[Brief description of the drawings]
FIG. 1 is a schematic diagram of an authentication system according to Embodiment 1 of the present invention.
FIG. 2 is a diagram illustrating a configuration example of a terminal device illustrated in FIG. 1;
FIG. 3 is a flowchart illustrating an authentication process of a terminal device B performed by a common authentication server.
FIG. 4 is a schematic diagram of an authentication system according to Embodiment 2 of the present invention.
FIG. 5 is a diagram showing an example of a conventional mutual authentication method between a terminal device and a network.
[Explanation of symbols]
1 Antenna for wireless interface A (terminal device A)
2 Antenna for wireless interface B (terminal device B)
3 Wireless interface A (terminal device A)
4 Wireless interface B (terminal device B)
5 CPU (control unit)
6 Information transfer bus line
10 Terminal device
20 access points
30 Network B (wireless LAN network)
40 Authentication server for hot spot (AAA server)
50 Network A (Mobile Communication Network)
60 Cellular Authentication Server (AAA Server)
70 base stations
100 Common Authentication Server

Claims (14)

基地局と接続されるネットワーク(以下、ネットワークAと呼ぶ)と、アクセスポイント(AP)と接続されるネットワーク(以下、ネットワークBと呼ぶ)とが相互接続され、それぞれのネットワークに収容される端末装置の認証を該それぞれのネットワークに接続される認証サーバにて行なう認証システムにおいて、
前記ネットワークAに接続される認証サーバを前記ネットワークBと共通に適用し、
前記端末装置は、
前記ネットワークBのアクセスポイントと通信する第一通信手段と、
前記ネットワークAの基地局と通信する第二通信手段と、
前記ネットワークBと接続して通信を行なう際に、前記第二通信手段により、前記基地局との間で高いセキュリティが保証される無線回線に接続して認証のための情報を送信する認証情報送信手段を備え、
前記認証サーバは、前記認証情報送信手段により送られてきた前記認証のための情報に基づいて、前記端末装置に対する前記アクセスポイントへのアクセスの許可又は不許可を判定する認証手段と、
前記判定の結果を前記アクセスポイントに通知する認証結果通知手段とを備えたことを特徴とする認証システム。A terminal device that is interconnected with a network (hereinafter, referred to as a network A) connected to a base station and a network (hereinafter, referred to as a network B) connected to an access point (AP) and accommodated in each network In an authentication system for performing authentication of the authentication server by an authentication server connected to the respective networks,
Applying an authentication server connected to the network A in common with the network B;
The terminal device,
First communication means for communicating with the access point of the network B;
Second communication means for communicating with a base station of the network A;
When performing communication by connecting to the network B, the second communication unit connects to a wireless line that guarantees high security with the base station and transmits authentication information to transmit information for authentication. With means,
The authentication server, based on the information for the authentication sent by the authentication information transmission means, an authentication unit that determines permission or non-permission of access to the access point to the terminal device,
An authentication result notifying unit for notifying the access point of the result of the determination. 請求項1記載の認証システムにおいて、
前記アクセスポイントは、前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づいて生成された証明書を前記端末装置の第一通信手段に送信する証明書送信手段を備え、
前記端末装置は、前記第一通信手段により受信した証明書を前記第二通信手段により前記認証サーバに送信する認証依頼送信手段を備え、
前記認証サーバは、受信した前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定する正規証明書判定手段と、
前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定された場合に、前記アクセスポイントに前記端末装置との通信許可を与える通知をする第一の通信許可通知手段を備えたことを特徴とする認証システム。The authentication system according to claim 1,
The access point includes a certificate transmitting unit that transmits a certificate generated based on information that is secretly shared between the network B and the network A to a first communication unit of the terminal device,
The terminal device includes an authentication request transmission unit that transmits the certificate received by the first communication unit to the authentication server by the second communication unit,
The authentication server, a formal certificate determination unit that determines whether the received certificate is a correct certificate based on the secret sharing information,
A first communication permission notifying unit for notifying the access point of communication with the terminal device when the certificate received by the regular certificate determining unit is determined to be a correct certificate; An authentication system, characterized in that: 請求項2記載の認証システムにおいて、
前記端末装置は、前記第一通信手段により受信した証明書に前記アクセスポイントが前記端末装置との通信開始に先立って必要となる秘密情報を付加する秘密情報付加手段を備え、
前記認証依頼送信手段は、前記付加された秘密情報と前記証明書を合わせて前記認証サーバに送信することを特徴とする認証システム。The authentication system according to claim 2,
The terminal device includes secret information adding means for adding secret information required before the access point starts communication with the terminal device to the certificate received by the first communication means,
The authentication system, wherein the authentication request transmitting unit transmits the added secret information and the certificate together to the authentication server. 請求項2又は3記載の認証システムにおいて、
前記認証サーバは、前記第二通信手段により送られてきた秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定する通信権利判定手段を備え、
前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定され、かつ前記通信権利判定手段にて前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記アクセスポイントに前記端末装置との通信許可を与える通知をする第二の通信許可通知手段とを備えたことを特徴とする認証システム。The authentication system according to claim 2 or 3,
The authentication server includes a communication right determination unit that determines whether the terminal device indicated by the secret information sent by the second communication unit has a communication right with the access point,
The certificate received by the authorized certificate determination unit is determined to be a correct certificate, and the communication right determination unit determines that the terminal device indicated by the secret information has a communication right with the access point. An authentication system, comprising: a second communication permission notifying unit for notifying the access point of communication with the terminal device when the access is performed. 請求項4記載の認証システムにおいて、
前記認証サーバは、前記認証依頼送信手段により送信される前記証明書と前記秘密情報を前記アクセスポイントに送信する認証情報送信手段を備え、
前記アクセスポイントは、前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定するAP正規証明書判定手段と、
前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定するAP通信権利判定手段とを備え、
前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定され、かつ前記通信権利判定手段にて前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記アクセスポイントに前記端末装置との通信を開始する通信開始判断手段をさらに備えたことを特徴とする認証システム。The authentication system according to claim 4,
The authentication server includes an authentication information transmitting unit that transmits the certificate and the secret information transmitted by the authentication request transmitting unit to the access point,
The access point, AP regular certificate determination means for determining whether the certificate is a correct certificate based on the secret sharing information,
AP communication right determination means for determining whether the terminal device indicated by the secret information has a communication right with the access point,
The certificate received by the authorized certificate determination unit is determined to be a correct certificate, and the communication right determination unit determines that the terminal device indicated by the secret information has a communication right with the access point. An authentication system, further comprising: a communication start determining unit configured to start communication with the terminal device in the access point when the authentication is performed. 請求項1乃至5いずれか記載の認証システムにおいて、
前記ネットワークAで用いられる通信ネットワークとして移動通信ネットワーク、前記ネットワークBで用いられる通信ネットワークとしてアクセスポイントを介して通信を行なう無線LANであることを特徴とする認証システム。The authentication system according to any one of claims 1 to 5,
An authentication system, wherein the communication network used in the network A is a mobile communication network, and the communication network used in the network B is a wireless LAN communicating via an access point. 請求項1乃至6いずれか記載の認証システムにおいて、
前記端末装置は、前記第一通信手段として無線LANにアクセス可能な無線LAN無線通信手段と、前記第二通信手段として移動通信ネットワークにアクセス可能な移動通信網無線通信手段と、
前記第一通信手段と前記第二通信手段とを有線又は無線で接続して情報のやりとりを行なう異システム間情報送受手段を備えたことを特徴とする認証システム。The authentication system according to any one of claims 1 to 6,
The terminal device includes: a wireless LAN wireless communication unit capable of accessing a wireless LAN as the first communication unit; a mobile communication network wireless communication unit capable of accessing a mobile communication network as the second communication unit;
An authentication system, comprising: inter-system information transmission / reception means for exchanging information by connecting the first communication means and the second communication means by wire or wirelessly. 請求項7記載の認証システムにおいて、
前記端末装置は、前記無線LAN無線通信手段及び前記移動通信網無線通信手段に対応したソフトウェア・プログラムを外部よりダウンロードする無線回線接続制御プログラム記憶手段を備えたことを特徴とする認証システム。The authentication system according to claim 7,
An authentication system, characterized in that the terminal device comprises a wireless line connection control program storage means for externally downloading a software program corresponding to the wireless LAN wireless communication means and the mobile communication network wireless communication means. 基地局と接続されるネットワーク(以下、ネットワークAと呼ぶ)と、アクセスポイント(AP)と接続されるネットワーク(以下、ネットワークBと呼ぶ)とが相互接続され、それぞれのネットワークに収容される端末装置の認証を該それぞれのネットワークに接続される認証サーバにて行なう認証方法において、
前記ネットワークAに接続される認証サーバを前記ネットワークBと共通に適用し、
前記アクセスポイントは、前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づいて生成された証明書を前記ネットワークBと接続して通信を行なおうとしている端末装置に送信し、
前記端末装置は、前記証明書をあらかじめ設けられた前記ネットワークBとのアクセスポイントと通信する通信手段を用いて前記証明書を受信し、
前記受信した証明書をあらかじめ設けられた前記ネットワークAとの基地局と通信する通信手段を用いて、前記基地局との間で高いセキュリティが保証される無線回線に接続して前記認証サーバに送信し、
前記認証サーバは、前記証明書が前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づく正しい証明書かどうかを判定し、
前記判定に基づき前記アクセスポイントに前記端末装置との通信許可を与えるか否かを判断して通知することを特徴とする認証方法。A terminal device that is interconnected with a network (hereinafter, referred to as a network A) connected to a base station and a network (hereinafter, referred to as a network B) connected to an access point (AP) and accommodated in each network In an authentication method of performing authentication of the authentication server by an authentication server connected to the respective networks,
Applying an authentication server connected to the network A in common with the network B;
The access point transmits a certificate generated based on information secretly shared between the network B and the network A to a terminal device that is to connect to the network B and perform communication. ,
The terminal device receives the certificate using communication means for communicating with an access point with the network B provided with the certificate in advance,
Using the communication means for communicating with the base station with the network A provided in advance, the received certificate is connected to the wireless line that guarantees high security with the base station and transmitted to the authentication server. And
The authentication server determines whether the certificate is a correct certificate based on information that is secretly shared between the network B and the network A,
An authentication method, comprising: determining whether or not to permit the access point to communicate with the terminal device based on the determination and notifying the access point. 請求項9記載の認証方法において、
前記端末装置は、前記ネットワークBとのアクセスポイントと通信する通信手段を用いて前記証明書を受信した際に、前記アクセスポイントが前記端末装置との通信開始に先立って必要となる秘密情報を前記証明書に付加し、
前記ネットワークAとの基地局と通信する通信手段を用いて、前記付加された秘密情報と前記証明書を合わせて前記認証サーバに送信することを特徴とする認証方法。The authentication method according to claim 9,
When the terminal device receives the certificate using a communication unit that communicates with an access point with the network B, the access point transmits confidential information required prior to the start of communication with the terminal device. Attached to the certificate,
An authentication method, comprising: using a communication unit that communicates with a base station with the network A, transmitting the combined secret information and the certificate together to the authentication server. 請求項9又は10記載の認証方法において、
前記認証サーバは、前記端末装置から送信されてきた前記証明書が前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づく正しい証明書かどうかを判定するとともに、前記証明書と合わせて送信されてきた前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定し、これらの判定結果から、前記アクセスポイントに前記端末装置との通信許可を与えるか否かを判定して通知することを特徴とする認証方法。In the authentication method according to claim 9 or 10,
The authentication server determines whether the certificate transmitted from the terminal device is a correct certificate based on information that is secretly shared between the network B and the network A, and matches the certificate with the certificate. It is determined whether or not the terminal device indicated by the transmitted secret information has the right to communicate with the access point, and from these determination results, whether to permit the access point to perform communication with the terminal device is determined. An authentication method characterized by determining whether or not to perform the notification. 請求項10記載の認証方法において、
前記認証サーバは、前記端末装置から送信される前記証明書と前記秘密情報を前記アクセスポイントに送信し、
前記アクセスポイントは、前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定するとともに、前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定する前記証明書と合わせて送信されてきた前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定し、
前記証明書が正しい証明書と判定され、かつ前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記端末装置との通信を開始することを特徴とする認証方法。The authentication method according to claim 10,
The authentication server transmits the certificate and the secret information transmitted from the terminal device to the access point,
The access point determines whether the certificate is a correct certificate based on the secret sharing information, and determines whether a terminal device indicated by the secret information has a communication right with the access point. Determine whether the terminal device indicated by the secret information transmitted in conjunction with the certificate has the right to communicate with the access point,
When the certificate is determined to be a correct certificate, and it is determined that the terminal device indicated by the secret information has the right to communicate with the access point, communication with the terminal device is started. Authentication method to use. 基地局と接続されるネットワーク(以下、ネットワークAと呼ぶ)と、アクセスポイント(AP)と接続されるネットワーク(以下、ネットワークBと呼ぶ)とが相互接続され、それぞれのネットワークに収容される端末装置の認証を該それぞれのネットワークに接続される認証サーバにて行なう認証システムで用いられる端末装置において、
前記ネットワークBのアクセスポイントと通信する第一通信手段及び前記ネットワークAの基地局と通信する第二通信手段と、
前記ネットワークBと接続して通信を行なう際に、前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づいて生成された証明書を、前記第二通信手段により、前記基地局との間で高いセキュリティが保証される無線回線に接続して前記認証サーバに送信する認証依頼送信手段を備えたことを特徴とする端末装置。A terminal device that is interconnected with a network (hereinafter, referred to as a network A) connected to a base station and a network (hereinafter, referred to as a network B) connected to an access point (AP) and accommodated in each network In a terminal device used in an authentication system for performing authentication of an authentication server connected to the respective networks,
First communication means for communicating with an access point of the network B and second communication means for communicating with a base station of the network A;
When performing communication by connecting to the network B, a certificate generated based on information secretly shared between the network B and the network A is transmitted to the base station by the second communication means. A terminal which is connected to a wireless line which ensures high security between the terminal and the authentication server and transmits the request to the authentication server. 請求項13記載の端末装置において、
前記証明書に、前記アクセスポイントが前記端末装置との通信開始に先立って必要となる秘密情報を付加する秘密情報付加手段を備え、
前記秘密情報付加手段により付加された秘密情報と前記証明書を、前記第二通信手段により、前記基地局との間で高いセキュリティが保証される無線回線に接続して前記認証サーバに送信することを特徴とする認証システム。The terminal device according to claim 13,
The certificate includes secret information adding means for adding secret information required before the access point starts communication with the terminal device,
Connecting the secret information and the certificate added by the secret information adding means to the authentication server by connecting to the wireless line that ensures high security with the base station by the second communication means; An authentication system characterized by the following.
JP2002232030A 2002-08-08 2002-08-08 Authentication system, authentication method, and terminal device in wireless communication Expired - Fee Related JP3905803B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002232030A JP3905803B2 (en) 2002-08-08 2002-08-08 Authentication system, authentication method, and terminal device in wireless communication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002232030A JP3905803B2 (en) 2002-08-08 2002-08-08 Authentication system, authentication method, and terminal device in wireless communication

Publications (2)

Publication Number Publication Date
JP2004072631A true JP2004072631A (en) 2004-03-04
JP3905803B2 JP3905803B2 (en) 2007-04-18

Family

ID=32017608

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002232030A Expired - Fee Related JP3905803B2 (en) 2002-08-08 2002-08-08 Authentication system, authentication method, and terminal device in wireless communication

Country Status (1)

Country Link
JP (1) JP3905803B2 (en)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006086932A1 (en) * 2005-02-21 2006-08-24 China Iwncomm Co., Ltd. An access authentication method suitable for the wire-line and wireless network
WO2007052720A1 (en) * 2005-11-01 2007-05-10 Ntt Docomo, Inc. Communication device and communication method
JP2007116456A (en) * 2005-10-20 2007-05-10 Sharp Corp Information communication terminal, authentication device, information communication system, and recording medium
JP2007150714A (en) * 2005-11-28 2007-06-14 Kddi Corp Radio control system and radio control method
JP2007312202A (en) * 2006-05-19 2007-11-29 Nippon Telegr & Teleph Corp <Ntt> Network system and its authentication method
JP2008022209A (en) * 2006-07-12 2008-01-31 Nippon Telegr & Teleph Corp <Ntt> Communication system for confirming legality of access point, communication method and authentication information providing server
JP2008515357A (en) * 2004-10-01 2008-05-08 インテル・コーポレーション System and method for user certificate initialization, distribution, and distribution in a centralized WLAN-WWAN interaction network
WO2008059882A1 (en) * 2006-11-14 2008-05-22 Nec Corporation Server, communication system, judging method, and program
KR100921153B1 (en) 2007-08-01 2009-10-12 순천향대학교 산학협력단 Method for authentication in network system
JP2010537574A (en) * 2007-08-17 2010-12-02 クゥアルコム・インコーポレイテッド Access control of ad hoc small coverage base stations
US8024789B2 (en) 2005-02-21 2011-09-20 Fujitsu Limited Communication apparatus, program and method
US8150370B2 (en) 2004-12-08 2012-04-03 Nec Corporation Authentication system, authentication method and authentication data generation program
JP2018174404A (en) * 2017-03-31 2018-11-08 西日本電信電話株式会社 Communication control apparatus, communication control method, and program
WO2023181968A1 (en) * 2022-03-22 2023-09-28 ソフトバンク株式会社 Communication system and method, server, access point device, communication terminal, and program

Cited By (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4792037B2 (en) * 2004-10-01 2011-10-12 インテル・コーポレーション System and method for user certificate initialization, distribution, and distribution in a centralized WLAN-WWAN interaction network
JP2008515357A (en) * 2004-10-01 2008-05-08 インテル・コーポレーション System and method for user certificate initialization, distribution, and distribution in a centralized WLAN-WWAN interaction network
US8150370B2 (en) 2004-12-08 2012-04-03 Nec Corporation Authentication system, authentication method and authentication data generation program
KR101260536B1 (en) 2005-02-21 2013-05-06 차이나 아이더블유엔콤 씨오., 엘티디 An Access Authentication Method Suitable for Wired and Wireless Networks
US8225092B2 (en) 2005-02-21 2012-07-17 China Iwncomm Co., Ltd. Access authentication method suitable for the wire-line and wireless network
WO2006086932A1 (en) * 2005-02-21 2006-08-24 China Iwncomm Co., Ltd. An access authentication method suitable for the wire-line and wireless network
US8024789B2 (en) 2005-02-21 2011-09-20 Fujitsu Limited Communication apparatus, program and method
JP2007116456A (en) * 2005-10-20 2007-05-10 Sharp Corp Information communication terminal, authentication device, information communication system, and recording medium
US8494484B2 (en) 2005-11-01 2013-07-23 Ntt Docomo, Inc. Communication apparatus and communication method for tunnel switching
KR101042615B1 (en) 2005-11-01 2011-06-20 가부시키가이샤 엔티티 도코모 Communication device and communication method
WO2007052720A1 (en) * 2005-11-01 2007-05-10 Ntt Docomo, Inc. Communication device and communication method
JP2007150714A (en) * 2005-11-28 2007-06-14 Kddi Corp Radio control system and radio control method
JP4754335B2 (en) * 2005-11-28 2011-08-24 Kddi株式会社 Radio control system and radio control method
JP2007312202A (en) * 2006-05-19 2007-11-29 Nippon Telegr & Teleph Corp <Ntt> Network system and its authentication method
JP4711342B2 (en) * 2006-05-19 2011-06-29 日本電信電話株式会社 Network system and authentication method thereof
JP4717737B2 (en) * 2006-07-12 2011-07-06 日本電信電話株式会社 Communication system, communication method, and authentication information providing server for confirming validity of access point
JP2008022209A (en) * 2006-07-12 2008-01-31 Nippon Telegr & Teleph Corp <Ntt> Communication system for confirming legality of access point, communication method and authentication information providing server
WO2008059882A1 (en) * 2006-11-14 2008-05-22 Nec Corporation Server, communication system, judging method, and program
JP5012809B2 (en) * 2006-11-14 2012-08-29 日本電気株式会社 Server, communication system, determination method and program
KR100921153B1 (en) 2007-08-01 2009-10-12 순천향대학교 산학협력단 Method for authentication in network system
JP2010537574A (en) * 2007-08-17 2010-12-02 クゥアルコム・インコーポレイテッド Access control of ad hoc small coverage base stations
JP2013225880A (en) * 2007-08-17 2013-10-31 Qualcomm Inc Access control for ad-hoc small-coverage base station
US8923212B2 (en) 2007-08-17 2014-12-30 Qualcomm Incorporated Method and apparatus for interference management
US9565612B2 (en) 2007-08-17 2017-02-07 Qualcomm Incorporated Method and apparatus for interference management
JP2018174404A (en) * 2017-03-31 2018-11-08 西日本電信電話株式会社 Communication control apparatus, communication control method, and program
WO2023181968A1 (en) * 2022-03-22 2023-09-28 ソフトバンク株式会社 Communication system and method, server, access point device, communication terminal, and program
JP2023140108A (en) * 2022-03-22 2023-10-04 ソフトバンク株式会社 Communication system and method, server, access point device, communication terminal, and program
JP7485710B2 (en) 2022-03-22 2024-05-16 ソフトバンク株式会社 COMMUNICATION SYSTEM AND METHOD, SERVER, ACCESS POINT DEVICE, COMMUNICATION TERMINAL, AND PROGRAM

Also Published As

Publication number Publication date
JP3905803B2 (en) 2007-04-18

Similar Documents

Publication Publication Date Title
US7734280B2 (en) Method and apparatus for authentication of mobile devices
KR100952269B1 (en) Secure access to a subscription module
CN102111766B (en) Network accessing method, device and system
EP2900006B1 (en) Method and system for securely accessing portable hotspot of smart phones
KR101034437B1 (en) Authenticating multiple devices simultaneously over a wireless link using a single subscriber identity module
TWI356614B (en) Improved subscriber authentication for unlicensed
US20030120920A1 (en) Remote device authentication
US7177637B2 (en) Connectivity to public domain services of wireless local area networks
KR101068424B1 (en) Inter-working function for a communication system
US20060154645A1 (en) Controlling network access
US20070269048A1 (en) Key generation in a communication system
JP2005110112A (en) Method for authenticating radio communication device in communication system, radio communication device, base station and authentication device
CN104836787A (en) System and method for authenticating client station
JP2009526418A (en) Method, system and apparatus for indirect access by communication device
US7835724B2 (en) Method and apparatus for authenticating service to a wireless communications device
JP3905803B2 (en) Authentication system, authentication method, and terminal device in wireless communication
US9788202B2 (en) Method of accessing a WLAN access point
CN103139768A (en) Authentication method and authentication device in integrated wireless network
JP2006345205A (en) Wireless lan connection control method, wireless lan connection control system, and setting wireless relay device
US20240171982A1 (en) Non-3gpp device acess to core network
KR20180124076A (en) System and method for relaying data over a communication network
JP3964338B2 (en) Communication network system, communication terminal, authentication device, authentication server, and electronic authentication method
EP1398934B1 (en) Secure access to a subscription module
US20040255121A1 (en) Method and communication terminal device for secure establishment of a communication connection
JP4574122B2 (en) Base station and control method thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050404

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20061220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070112

R150 Certificate of patent or registration of utility model

Ref document number: 3905803

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110119

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110119

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120119

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120119

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130119

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130119

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140119

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees