JP2004207965A - High speed authentication system and method for wireless lan - Google Patents
High speed authentication system and method for wireless lan Download PDFInfo
- Publication number
- JP2004207965A JP2004207965A JP2002374055A JP2002374055A JP2004207965A JP 2004207965 A JP2004207965 A JP 2004207965A JP 2002374055 A JP2002374055 A JP 2002374055A JP 2002374055 A JP2002374055 A JP 2002374055A JP 2004207965 A JP2004207965 A JP 2004207965A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- terminal
- value
- received
- time information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は無線LANのインターネットアクセスの認証に関し、特に無線LANの高速認証方式及び高速認証方法に関する。
【0002】
【従来の技術】
従来の無線LANのインターネットアクセス認証技術とその問題点について以下に説明する。
【0003】
従来の第1の認証技術は、WEP(Wired Equivalency Privacy)であり、IEEE802.11bで使われる暗号化通信プロトコルの名称であって、無線LAN通信において、暗号化技術を用いることでデータの機密性を高める方法である。通常40ビット長の秘密鍵を用い暗号化を行なうが、128ビット鍵のものも利用できる。鍵は直接送受信せず、チャレンジ&レスポンス形式で鍵の交換を行なう。しかしながら、「共通暗号鍵」を見破られ暗号化を無効にする等のいくつかのセキュリティホールが実存し、IEEEでは従来のWEPに代わるWEP2の仕様策定を進めている。しかし、WEP2でも既にいくつかのWEPと同様のセキュリティホールが含まれているため完璧ではない。WEPを実際に使用するときは、WEPと共にESS−IDパスワード方式やMACアドレス登録方式、自社開発の暗号化プロトコルなどを併用する場合が多い。
【0004】
従来の第2の認証技術ESS−IDは、IEEE802.11規格無線LANを識別するためのIDを用い、無線LANでは同じID同士しか通信を不可とし、一種のパスワードとして機能する。しかし、たまたま同じESS−IDが設定された無線LANとは通信出来てしまう、無線LANカードのIDがANY設定だとどのAPとも接続できてしまう、簡単に漏洩するという問題がある。
【0005】
従来の第3の認証技術は、MACアドレス認証であり、IEEEが管理し各カード単位に割り当てられた固有のID番号と、メーカーが独自に各カードに割り当てる番号の組み合わせによって表されるMACアドレスを、あらかじめサーバに登録しておき、登録されたユーザのみを許可する認証方式である。しかしこれも電波傍受で簡単にMACが漏洩してしまう問題がある。
【0006】
従来の第4の認証技術は、IEEE802.1xであり、LAN内のユーザ認証の方式を定めた規格、特にIEEE802.11bなどの無線LANでのユーザ認証仕様として強く認知されている。認証されていないクライアントからの通信は認証要求を除いてすべて遮断し、認証されたユーザにのみ通信を許可する方式である。また、他のユーザによる通信ポートの乗っ取りを防止するため、定期的に再度認証を行わせることもできる。更に、ユーザ認証に使用するサーバはRADIUSなどで、ダイヤルアップ接続などと同じサーバが認証処理を行える。なお、IEEE802.1x自体では通信データの暗号化は行わないため、暗号化の必要がある場合は別の暗号化方式を用いる必要がある。認証プロトコルには、CHAP認証方式であるEAP−MD5や電子証明書認証方式であるEAP−TLSがある。しかし、EAP−MD5もEAP−TLSも、その動作を図10、図11に示したように、端末−サーバ間の認証シーケンスが複雑で、ネットワーク情報はその後に取得されるため時間がかかり、今後の無線LANアクセス増加によるサーバ高負荷に対して、サーバ処理遅延が危惧されるという問題がある。
【0007】
次に、本発明に関連する公開特許公報に記載された技術について説明する。
【0008】
特開平9−130397号公報に開示される「移動データ通信装置」では、要求応答メッセージの受け渡しによりIPアドレス割当て、端末のID/パスワード入力による認証同時処理方式により、無線端末移動に伴うネットワーク処理の負荷を軽減する特徴をもつ装置、方式について示されている。
【0009】
特開2001−111544号公報に開示される「無線LANシステムにおける認証方法と認証装置」では、IEEE802.11に準拠した無線LANシステムのMACアドレス認証方式とサーバのチャレンジテキスト送信手段と、予め定められた使用期限を有する共通鍵と、共通鍵の期限が切れた場合に独自のオープンシステム認証方式によりMACアドレス認証する暗号鍵に基づき暗号化されている特徴をもつ暗号化アルゴリズムに基づき暗号化認証を行なう方式と、WEP暗号化方式とを備えた認証システムと、当システムを実現するためのプロトコルを備えており、MACアドレステーブル更新機能と、サーバ障害時独自でMACアドレス認証を行なえる機能備えた無線基地局装置について示されている。この技術の問題点はMACアドレス認証のみを行なっておりセキュリティが弱いことにある。
【0010】
特開2001−189722号公報に開示される「無線通信システム、無線端末、無線基地局、認証カード、および認証方法」では、無線LANを用いた無線通信システムのうち、無線端末、無線基地局、および認証カードから構成され、無線通信システムの認証方法に関するもののなかで、特に無線端末同士や、無線基地局と無線端末間の認証技術に関するものであり、請求項の範囲は、無線端末/無線基地局/認証カードから構成されたシステムであり、認証サーバを使用したシステムではない。暗号化復号化方式は端末と無線基地局の間でとりかわす方式であり、パターンP、認証アルゴリズム、チャレンジテキストT、鍵を用いた特徴をもつ。
【0011】
【特許文献1】
特開平9−130397号公報(請求項1、図1)
【特許文献2】
特開2001−111544号公報(請求項1、7、図1)
【特許文献3】
特開2001−189722号公報(特許請求の範囲、図1)
【0012】
【発明が解決しようとする課題】
第1の問題点は、無線LANシステムにおいて、端末がインターネットへの接続時や、端末の移動やローミングサービスに伴うAP再接続時での認証に時間がかかりすぎることによる通信断等の障害の発生が危惧されることにある。その理由は、今後利用の拡大する無線LANシステムに関し、セキュリティ向上の声によりインターネット接続時の認証処理や、ネットワーク情報の取得等で処理とシーケンスがますます複雑になっているきていること、ローミングや端末の移動に伴う認証アクセスの増加により、担当処理する認証サーバはますますハイスペックを要求されつつある。一方、サーバのスペックは従来想定クライアント数のシステム接続時の認証動作のみを基に決定され導入されており、ローミングや端末の移動に伴う認証アクセスの増加までは考慮されていない。また一旦導入したサーバのスペックを簡単に向上させることもできない。
【0013】
第2の問題点は、無線LANシステムの端末認証セキュリティレベルが脆弱であることによる。その理由は、現在の端末の認証手法であるISS−ID、MACアドレス認証は各々脆弱であるし、IEEE802.1x認証をもってしても、現在セキュリティホールが発見されており、成りすましの無線端末を防ぐことができない。
【0014】
第3の問題点は、無線LANシステムのAP認証セキュリティレベルが脆弱であることによる。その理由は、現在の端末のAP認証手法は脆弱なWEP暗号化技術にのみに頼っており「共通暗号鍵」を見破られ易いためである。偽りの無線基地局進入を防ぐことができない。
【0015】
第4の問題点は、無線LANシステムの無線は盗聴されやすく、MACアドレス、認証IP、ユーザパスワードを解読されやすい点である。
【0016】
本発明の目的は、無線LANのインターネット接続の需要増しに対応した認証サーバ処理遅延にともなう通信断発生を回避するための高速認証技術と、無線LANシステムのサーバ負荷軽減技術と、あわせて端末認証、AP認証、暗号化を強固にし、セキュリティレベルを向上させる技術を提供することにある。
【0017】
【課題を解決するための手段】
本発明の無線LANの高速認証方式は、無線端末(端末)と、前記端末に時刻情報を含むビーコンメッセージを送信する無線基地局(AP)と、前記APに接続する認証サーバ(サーバ)と、前記AP及びネットワークに接続するルータとを含む無線LANの高速認証方式であって、前記端末は、前記ビーコンメッセージを受信して前記APを認識し、予め交換してある秘密鍵と前記APより受け取った時刻情報からチャレンジ値を生成し、生成したチャレンジ値とユーザパスワードからチャップ値を生成し、前記時刻情報と共に認証要求とネットワーク情報取得要求とを前記APへ送信し、前記認証要求に対する認証結果と前記サーバで生成したハッシュ値と前記ネットワーク情報取得要求に対するネットサーク情報とを前記APから受け取り、前記認証結果が認証失敗の時は前記ネットワークへ通信しないで前記認証結果が認証成功の時は前記ネットワークへ通信し、前記APは、前記端末から受け取った時刻情報をチェックし、前記端末から受け取ったチャレンジ値、チャップ値、時刻情報及び認証要求を前記サーバへ転送し、前記端末から受け取ったネットワーク情報取得要求を前記ルータへ転送し、前記サーバから前記認証結果及び前記ハッシュ値を受け取って前記ルータから受け取った前記ネットワーク情報を付加して前記端末へ転送し、前記サーバは、前記ユーザパスワード及び前記APから受け取ったチャレンジ値からチャップ値を生成し、生成したチャップ値及び受け取ったチャップ値を比較照合した前記認証結果と前記時刻情報及び予め交換してある秘密鍵より生成したハッシュ値とを前記APへ送出することを特徴とする。
【0018】
本発明の無線LANの高速認証方式は、前記端末は、前記時刻情報及び前記秘密鍵より生成したハッシュ値と受け取ったハッシュ値とを比較照合し、合致したハッシュ値をセッションキーとし、前記セッションキーによる認証ヘッダを送出するパケットに付加することを特徴とする。
【0019】
本発明の無線LANの高速認証方式は、無線端末(端末)と、前記端末に時刻情報を含むビーコンメッセージを送信する無線基地局(AP)と、前記APに接続する認証サーバ(サーバ)と、前記AP及びネットワークに接続するルータとを含む無線LANの高速認証方式であって、前記端末は、前記ビーコンメッセージを受信して前記APを認識し、予め交換してある秘密鍵を用いて前記APより受け取った時刻情報を基に一方向性ハッシュ関数でハッシュ値を生成し、生成したハッシュ値、前記時刻情報、認証要求、及びネットワーク情報取得要求を前記APへ送出し、前記認証要求に対する認証結果と前記ネットワーク情報取得要求に対するネットワーク情報とを受け取り、前記認証結果が認証失敗の時は前記ネットワークへ通信しないで前記認証結果が認証成功の時は前記ネットワークへ通信し、前記APは、前記端末から受け取った時刻情報をチェックし、前記端末から受け取ったハッシュ値、時刻情報及び認証要求を前記サーバへ転送し、前記端末から受け取ったネットワーク情報取得要求を前記ルータへ転送し、前記サーバから受け取ったハッシュ値を確認すると共に、前記サーバから受け取った認証結果と前記ルータから受け取ったネットワーク情報とを前記端末へ転送し、前記サーバは、前記APから受け取った時刻情報と予め交換してある秘密鍵よりハッシュ値を生成し、生成したハッシュ値及び前記APから受け取ったハッシュ値を比較照合した認証結果と前記ハッシュ値とを前記APへ送出することを特徴とする。
【0020】
本発明の無線LANの高速認証方式は、前記端末は、前記ハッシュ値をセッションキーとし、前記セッションキーによる認証ヘッダを送出するパケットに付加することを特徴とする。
【0021】
本発明の無線LANの高速認証方式は、無線端末(端末)と、前記端末に時刻情報を含むビーコンメッセージを送信する無線基地局(AP)と、前記APに接続する認証サーバ(サーバ)と、前記AP及びネットワークに接続するルータnとを含む無線LANの高速認証方式であって、前記端末は、予め交換してある秘密鍵と前記時刻情報とユーザパスワードからチャレンジ値、チャップ値及びハッシュ値を生成し、生成したチャレンジ値、チャップ値及びハッシュ値と、認証要求と、ネットワーク情報取得要求と、を含む往路メッセージを前記APを介して送出し、前記サーバは、前記ユーザパスワード及び受け取ったチャレンジ値で生成したチャップ値と受け取ったチャップ値による認証結果、受け取った時刻情報及び前記秘密鍵で生成したハッシュ値と受け取ったハッシュ値による認証結果、生成した前記ハッシュ値及び前記ルータからのネットワーク情報を含む復路メッセージを前記APを介して送出することを特徴とする。
【0022】
本発明の無線LANの高速認証方式は、前記ネットワークが、インターネットであることを特徴とする。
【0023】
本発明の無線LANの高速認証方法は、無線基地局(AP)が、時刻情報を含むビーコンメッセージを無線端末(端末)に送信し、前記端末が前記ビーコンメッセージを受信して前記APを認識するステップと、前記端末が、予め交換してある秘密鍵を用いて前記APより受信した時刻情報を基にチャレンジ値を生成し、前記チャレンジ値とユーザパスワードからチャップ値を演算し、前記時刻情報と共に認証要求を前記APへ送出するステップと、前記APが、受け取った時刻情報をチェックし、受け取ったチャレンジ値、チャップ値、時刻情報及び認証要求を前記サーバへ転送するステップと、前記サーバが、前記ユーザパスワードと受け取ったチャレンジ値からチャップ値を演算し、受け取ったチャップ値と比較照合した認証結果を送出するステップと、前記APが、前記認証結果を前記端末へ転送するステップと、前記端末が、前記認証結果を受け取り、前記認証結果が認証成功であればネットワークへ通信し、前記認証結果が認証失敗であれば前記ネットワークへ通信しないステップと、を備えることを特徴とする。
【0024】
本発明の無線LANの高速認証方法は、無線基地局(AP)が、時刻情報を含むビーコンメッセージを無線端末(端末)に送信し、前記端末が前記ビーコンメッセージを受信して前記APを認識し、前記時刻情報を前記APを経由して認証サーバ(サーバ)へ送出するステップと、前記サーバが、受け取った時刻情報と予め交換してある秘密鍵から計算したハッシュ値を前記APを経由して前記端末へ送信するステップと、前記端末が、前記時刻情報と予め交換してある前記秘密鍵からハッシュ値を計算し、受け取ったハッシュ値と比較照合し合致したらセッションキーとするステップと、を備えることを特徴とする。
【0025】
本発明の無線LANの高速認証方法は、前記端末が、前記セッションキーをもとに認証ヘッダを生成し、前記認証ヘッダを送出するパケットに付加するステップ、をさらに備えることを特徴とする。
【0026】
本発明の無線LANの高速認証方法は、無線基地局(AP)が、時刻情報を含むビーコンメッセージを無線端末(端末)に送信し、前記端末が前記ビーコンメッセージを受信して前記APを認識するステップと、前記端末が、認証サーバ(サーバ)との間で予め交換してある秘密鍵と前記APより受け取った時刻情報からチャレンジ値を生成し、生成したチャレンジ値とユーザパスワードからチャップ値を計算し、前記時刻情報と共に認証要求とネットワーク情報取得要求を前記APに送信するステップと、前記APが、受け取った時刻情報をチェックし、受け取ったチャレンジ値、チャップ値、時刻情報及び認証要求を前記サーバへ転送し、受け取ったネットワーク情報取得要求をルータへ転送するステップと、前記サーバが、前記ユーザのパスワードと受け取ったチャレンジ値から独自にチャップ値を計算し、受け取ったチャップ値と比較照合した認証結果と、前記時刻情報と予め交換してある秘密鍵より算出したハッシュ値とを前記APに送出するステップと、前記APが、前記認証結果と前記ハッシュ値とを受け取り、前記ルータより取得したネットワーク情報を付加して前記端末に転送するステップと、前記端末が、前記ネットワーク情報と前記認証結果と前記ハッシュ値と前記ネットサーク情報とを受け取り、前記認証結果が認証成功の時はネットワークへ通信し、前記認証結果が認証失敗の時は前記ネットワークへ通信しないステップと、を備えることを特徴とする。
【0027】
本発明の無線LANの高速認証方法は、前記端末が、前記時刻情報と前記秘密鍵より算出したハッシュ値と受け取ったハッシュ値とを比較照合し合致したハッシュ値をセッションキーとし、前記セッションキーによる認証ヘッダを送出するパケットに付加するステップ、をさらに備えることを特徴とする。
【0028】
本発明の無線LANの高速認証方法は、無線基地局(AP)が、時刻情報を含むビーコンメッセージを無線端末(端末)に送信し、前記端末が前記ビーコンメッセージを受信して前記APを認識し、前記時刻情報を前記APを経由して認証サーバ(サーバ)へ送出するステップと、前記端末が、認証サーバ(サーバ)との間で予め交換してある秘密鍵を用いて、前記APより受け取った時刻情報を基に一方向性ハッシュ関数でハッシュしたハッシュ値を計算し、前記時刻情報と共に認証要求とネットワーク情報取得要求を前記APに送出するステップと、前記APが、受け取った時刻情報をチェックし、受け取ったハッシュ値、時刻情報及び認証要求を前記サーバへ転送し、受け取ったネットワーク情報取得要求をルータへ転送するステップと、前記サーバが、受け取った時刻情報と予め交換してある秘密鍵より独自にハッシュ値を計算し、受け取ったハッシュ値と比較照合した認証結果と前記ハッシュ値とを前記APに送出するステップと、前記APが、受け取ったハッシュ値を確認すると共に、受け取った前記認証結果と前記ルータより取得したネットワーク情報とを前記端末に転送するステップと、前記端末が、前記APからのネットワーク情報と認証結果とを受け取り、前記認証結果が認証成功の時はネットワークへ通信し、前記認証結果が認証失敗の時は前記ネットワークへ通信しないステップと、を備えることを特徴とする。
【0029】
本発明の無線LANの高速認証方法は、前記端末が、前記ハッシュ値をセッションキーとし、前記セッションキーによる認証ヘッダを送出するパケットに付加するステップ、をさらに備えることを特徴とする。
【0030】
本発明の無線LANの高速認証方法は、前記ネットワークが、インターネットであることを特徴とする。
【0031】
【発明の実施の形態】
<第1の実施形態>図1は、無線LAN(Local Aerea Network)の認証システムの構成例である。無線基地局2への無線アクセス手段と可搬手段を備えた無線端末1と、無線端末1との無線アクセス手段と、インターネット(ネットワーク)5へ接続する機能をもつインターネットアクセスルータ(ルータ)4や認証機能を実現する認証サーバ3と接続する手段を備えた無線基地局2と、無線基地局2と接続し、定められた認証手順に従い認証結果判定をする認証サーバ3と、閉ざされた認証システムをインターネット5へ接続する手段を備えたインターネットアクセスルータ4とから構成される。
【0032】
無線端末1は、例えばパーソナルコンピュータ等の情報処理装置であり、記憶部が記憶するプログラムに従って動作するもので、例えば、パスワードを有するユーザのみが使用する。無線基地局2、認証サーバ3、インターネットアクセスルータ4もコンピュータを有して記憶部が記憶するプログラムに従って動作する。
【0033】
なお、本図面に表現された各装置はイメージを表現したものであって、その形状を特定するものではない。以下、無線端末1を端末1、無線基地局2をAP2、認証サーバ3をサーバ3、インターネットアクセスルータ4をルータ4と略して説明する。
【0034】
図2は、本発明無線LAN高速認証方式の要素ブロックの構成(論理構成)図である。AP2の認識時、時刻情報(t)を入手する端末1の手段であるAPの認識ブロック11と、チャレンジ値、チャップ値(CHAP)を用いた端末認証手段である端末認証(CHAP)ブロック12と、一時的な鍵としてのセッションキーを用いた認証ヘッダを送出するパケットに付加する端末認証手段である端末認証(認証ヘッダ)ブロック13と、同一AP認証手段であるAP認証(認証ヘッダ)ブロック14と、ネットワーク情報の取得手段であるネットワーク情報の取得ブロック15とから構成される。さらに、詳細に説明する。端末1のAP2認識時、AP2から定期的に送信される時刻情報を含むビーコンメッセージを受信する手段であるAPの認識ブロック11と、秘密鍵と時刻情報とパスワードからチャレンジ値とチャップ値を算出し、端末1とサーバ3間で比較照合する端末認証手段ある端末認証(CHAP)ブロック12と、秘密鍵と時刻情報とからハッシュ値を算出し、端末1とサーバ3間で比較照合しセッションキーと呼ばれる一時的な鍵より認証ヘッダを生成し、送出するパケットに付加する端末認証手段である端末認証(認証ヘッダ)ブロック13と、AP2から送出される全てのパケットにはパッケット単位に、セッションキーを必ず認証ヘッダとして付加するAP認証手段であるAP認証(認証ヘッダ)ブロック14と、端末1がAP経由ルータ4からIPアドレスやデフォルトゲートウェイ等のネットワーク情報を取得する手段であるネットワーク情報の取得ブロック15とから構成される高速認証手段になっている。
【0035】
次に、無線LANシステムのLINK確立後、認証要求から認証結果までの動作手順について説明する。
【0036】
第1の動作は(図3の無線基地局のビーコン送出動作を参照)、AP2が定期的に送信時点の時刻情報(t)を含むビーコンメッセージをブロードキャスト送信し(ステップA1)、端末1がビーコンメッセージを受信した時点でAP2を認識する(ステップA2)ことである。(以上、図3)
第2の動作は(図4の無線端末のCHAP値認証動作シーケンスを参照)、端末認証手段の一つであり、端末1とサーバ3、AP2とサーバ3はあらかじめ秘密の鍵(k)を交換しておき、端末1はAP2から時刻情報(t)を含めたビーコンメッセージの送信をブロードキャストで受け取り、AP2を認識する(ステップB1)。次に、端末1は秘密鍵(k)を用いて、AP2より受けた時刻情報(t)を基にチャレンジ値(Chg)を生成し、チャレンジ値(Chg)とパスワード(ユーザのパスワード)からチャップ値(CHAP)を演算し、時刻情報(t)と共に認証要求メッセージとしてターゲットAP2へ送信する(ステップB2)。AP2は時刻情報(t)をチェックし、規定時間以内のパケットのみを正規の端末1から送出されたものとみなしサーバ3へ転送する。規定時間以外のパケットは破棄する(ステップB3)。サーバ3はサーバ3に保存されているユーザのパスワードと受け取ったチャレンジ値(Chg)から独自にチャップ値(CHAP)を演算し、受け取ったチャップ値(CHAP)と比較照合し、適合すればAP2に認証成功(Success)メッセージ(認証結果メッセージ)を送出する。適合しなければ認証失敗(Failure)メッセージ(認証結果メッセージ)を送出する(ステップB4)。AP2は端末1に認証結果メッセージを端末1へ転送する(ステップB5)。端末1は認証結果メッセージを受け取る。認証結果メッセージが認証成功(Success)であれば、以降インターネット5への通信が可能になり、認証失敗(Failure)であればインターネット5への通信が不可能になる(ステップB6)。(以上、図4)
第3の動作は(図5の認証ヘッダで使うセッションキーの作成動作シーケンス参照)である。、端末認証手段の2つ目であり、端末1とサーバ3、AP2とサーバ3はあらかじめ秘密の鍵(k)を交換しておき、秘密鍵は知られないようにする。
【0037】
端末1はAP2から時刻情報(t)を含めたビーコンメッセージの送信をブロードキャストで受け取り、AP2を認識し、時刻情報(t)をサーバ3へ送出する(ステップC1)。サーバ3は時刻情報(t)と秘密鍵(k)とからハッシュ計算よりハッシュ値Hk(t)を算出し端末1へ送信する(ステップC2)。次に、端末1は独自に時刻情報(t)と秘密鍵(k)とからハッシュ値計算よりハッシュ値Hk(t)を算出し、受け取ったハッシュ値Hk(t)と比較照合し合致したら(端末認証)セッションキーと呼ばれる一時的な鍵とする(ステップC3)。それをもとに認証ヘッダを生成し、ユーザごとに送出されるパケットに全て異なる認証ヘッダを付加する(ステップC4)。(以上、図5)
次に、認証用ヘッダフォーマット形式について説明する。図6は、無線端末、無線基地局の認証用ヘッダフォーマット形式である。認証ヘッダフォーマットは、1バイトの次ヘッダ21、1バイトのペイロード長22、2バイトの予約スペース23、4バイトのSecurity Parameters Index(SPI)24、4バイトの通し番号25、8バイトの認証データ26より構成される。認証データ26は、セッションキー情報を含む。
【0038】
第4の動作は、AP2の認証手段であり、AP2から送出される全てのパケットにはパッケット単位に、端末認証手段の2つ目で作成したセッションキーを必ず認証ヘッダとして付加することで実現する。正しいAP2しか端末1やサーバ3と共通のセッションキーを持てないため、端末1もサーバ3もAP2から送出されたパケットの認証ヘッダを調べることで、AP2が正しい基地局か確認できる。また、サーバ3から送出された認証結果メッセージや、ルータ4から返送されたネットワーク情報の、端末1への転送に際して、AP2がセッションキーによる認証ヘッダを付加し端末1へ送信することで、受信した端末1では当該当メッセージが正しいAP2から送出されたものかどうかを確認でき、端末1が偽の基地局へ接続されることを防止する。
【0039】
第5の動作は(図7の無線端末のネットワーク情報取得動作シーケンス参照)、端末1はAP2認識後、ネットワーク情報の取得を行う。まず、端末1はAP2に対してDHCP(Dynamic Host ConfigurationProtocol)やPPP(Point to Point Protocol)から得られるIPアドレスやデフォルトゲートウェイ等のネットワーク情報を情報取得要求メッセージとして送信する(ステップD1)。AP2は情報取得メッセージを受けると、ルータ4へ情報取得メッセージを転送し情報要求する(ステップD2)。ルータ4はAP2から情報取得メッセージ要求を受けると、自身が持っているネットワーク情報をAP2へ返送する(ステップD3)。AP2はルータ4からネットワーク情報を受け取ると、端末1へ転送する(ステップD4)。こうすることで端末1はネットワーク情報を取得する(ステップD4)。(以上、図7)
第6の動作は(図8の無線LANの高速認証動作シーケンス、図5〜7参照)、先に述べた認証手段、ネットワーク情報の取得手段を統合して以下の手順により高速認証方式を実現する。
【0040】
AP2は、時刻情報(t)を含めたビーコンメッセージをブロードキャストする(ステップE1)。端末1はビーコンメッセージを受けとることによりAP2を認識する。端末1はサーバ3との間であらかじめ交換してある秘密鍵(k)を用いて、AP2より受けた時刻情報(t)を基にチャレンジ値(Chg)を生成し、チャレンジ値(Chg)と自身(ユーザ)のパスワードからチャップ値(CHAP)を演算し、時刻情報(t)と共に認証要求メッセージとネットワーク情報取得要求メッセージ(往路メッセージと総称する)をターゲットAP2へ送信する(ステップE2)。AP2は時刻情報(t)をチェックし、規定時間以内のパケットのみを正規の端末1から送出されたものとみなし(ステップE3)、チャレンジ値(Chg)、チャップ値(CHAP)、時刻情報(t)と認証要求メッセージをサーバ3へ転送する(ステップE4)。同時にルータ4へネットワーク情報取得要求メッセージを転送する(ステップE5)。規定時間以外のパケットは全て破棄する(ステップE3)。
【0041】
サーバ3は、サーバ3に保存されているユーザのパスワードと受け取ったチャレンジ値(Chg)から独自にチャップ値(CHAP)を演算し、受け取ったチャップ値(CHAP)と比較照合し適合すれば、時刻情報(t)と秘密鍵(k)よりハッシュした値であるハッシュ値Hk(t)を添付して、AP2に認証成功(Success)メッセージ(認証結果メッセージ)を送出する。適合しなければ認証失敗(Failure)メッセージ(認証結果メッセージ)を送出する(ステップE6)。AP2は認証結果メッセージを受け取ると、ルータ4より取得したネットワーク情報を付加して端末1に認証結果メッセージ(復路メッセージと総称する)を転送する(ステップE7〜E10)。認証成功(Success)メッセージ受信の時は、以後端末1からのパケットは全てルータ4経由インターネット5へ接続する。
【0042】
端末1は、ネットワーク情報と、認証結果(Success又はFailure)メッセージを受け取る。認証成功(Success)メッセージ受信の時は、インターネット5への接続が可能となる(ステップE11)。このとき、時刻情報(t)と秘密鍵(k)より計算したハッシュ値Hk(t)と、サーバ3より送付されてきたハッシュ値Hk(t)を比較照合し合致した(端末認証)ハッシュ値Hk(t)を一時的な秘密鍵であるセッションキーとする(ステップE12)。端末1、AP2とも以後送信する全てのパケットには、セッションキーによる認証ヘッダを付加する。フォーマットは図6と同様である(ステップE13)。(以上、図5〜図8)
以上、説明した第1の実施形態では端末1から送出されAP2を介するメッセージ(往路メッセージ)を受けて、サーバ3又はルータ4がメッセージ(復路メッセージ)をAP2を介して送出する。このように1往復のメッセージ交換で端末1の認証、AP2の認証、ネットワーク情報の取得が行える。
【0043】
<第2の実施形態>本発明を応用した第2の実施形態につき説明する。ここで説明する形態の特徴は一方向性ハッシュ関数でハッシュした値Hk(t)値を、端末認証と一時的な秘密鍵(セッションキー)を共用しており、より簡素化された点にある。その他の点(無線LAN認証システム構成など)は、第1の実施形態と同じである。
【0044】
図9は、第2の実施形態における無線LANの高速認証動作シーケンス例である。
【0045】
AP2は、時刻情報(t)を含めたビーコンメッセージをブロードキャストする(ステップF1)。端末1はビーコンメッセージを受けとることによりAP2を認識する。端末1は、サーバ3との間であらかじめ交換してある秘密鍵(k)を用いて、AP2より受けた時刻情報(t)を基に一方向性ハッシュ関数でハッシュした値であるハッシュ値Hk(t)を計算し、時刻情報(t)と共に認証要求メッセージとネットワーク情報取得要求メッセージ(往路メッセージと総称する)をターゲットAP2へ送信する(ステップF2)。AP2は、時刻情報(t)をチェックし、規定時間以内のパケットのみを正規の端末1から送出されたものとみなし、ハッシュ値Hk(t)、時刻情報(t)と認証要求メッセージをサーバ3へ転送する(ステップF3、F4)。同時にルータ4へネットワーク情報取得情報を転送する(ステップF4、F5)。規定時間以外のパケットは全て破棄する。
【0046】
サーバ3は、受け取った時刻情報(t)と秘密鍵(k)より独自にハッシュ値Hk(t)を計算し、受け取ったハッシュ値Hk(t)と比較照合し(端末認証)適合すれば、ハッシュ値Hk(t)とともにAP2に認証成功(Success)メッセージを送出する。適合しなければ認証失敗(Failure)メッセージを送出する(ステップF6)。AP2はハッシュ値Hk(t)を確認すると共に、認証結果メッセージを受け取ると、ルータ4より取得したネットワーク情報を付加して端末1に認証結果メッセージ(復路メッセージと総称する)を転送する(ステップF7〜F10)。認証成功(Success)メッセージ受信の時は、以後端末1からのパケットは全てルータ4経由インターネット5へ接続する。端末1は、ネットワーク情報と、認証結果(Success又はFailure)メッセージを受け取る。認証成功(Success)メッセージ受信の時は、インターネット5への接続が可能となる(ステップF11)。また、端末1のハッシュ値Hk(t)を一時的な秘密鍵であるセッションキーとする(ステップF12)。端末1、AP2とも以後送信する全てのパケットには、セッションキーによる認証ヘッダを付加する。フォーマットは図6と同様である(ステップF13)。(図6、図7、図9)
以上、説明した第2の実施形態でも端末1から送出されAP2を介するメッセージ(往路メッセージ)を受けて、サーバ3又はルータ4がメッセージ(復路メッセージ)をAP2を介して送出する。このように1往復のメッセージ交換で端末1の認証、AP2の認証、ネットワーク情報の取得が行える。
【0047】
【発明の効果】
第1の効果は、端末の認証、APの認証、ネットワーク情報の取得動作を1回のアクセス(1往復のメッセージ交換)で全て行なうので、端末とサーバ間の認証を高速で行なうことができる。
【0048】
第2の効果は、無線といえどもID、パスワード、MACアドレス、IPアドレス等の個別情報を盗まれない。その理由は、秘密鍵そのものが無線区間を流れないため、端末とサーバ間の秘密鍵を見破られない。すなわち秘密鍵を基に計算される一次的な鍵(セッションキー)も見破られないので、送出するパケットのデータが解読されることがない。
【0049】
第3の効果は、無線端末の認証が強固である。その理由は、無線端末からの現在時刻情報をAPでチェックし規定時間以内かどうかを確認したことと、時刻情報とパスワードと漏洩しない秘密鍵とからチャップ値を算出したことで、算出値を真似できないこと、さらには、無線端末から送出されるパケットには、漏洩しない秘密鍵から作った認証ヘッダが必ず添付されることにより成りすまし端末かどうかを確実に判定できるからである。
【0050】
第4の効果は、無線基地局の認証が強固である。その理由は、無線基地局から送出されるパケットには、漏洩しない秘密鍵から作った認証ヘッダが必ず添付されることにより偽りの無線基地局が排除できるからである。
【図面の簡単な説明】
【図1】本発明の無線LAN認証システム構成例である。
【図2】本発明無線LAN高速認証方式の要素ブロックの構成図である。
【図3】無線基地局のビーコン送出動作である。
【図4】無線端末のCHAP値認証動作シーケンスである。
【図5】認証ヘッダで使うセッションキーの作成動作シーケンスである。
【図6】無線端末、無線基地局の認証用ヘッダフォーマット形式である。
【図7】無線端末のネットワーク情報取得動作シーケンスである。
【図8】無線LANの高速認証動作シーケンスである。
【図9】第2の実施形態における無線LANの高速認証動作シーケンス例である。
【図10】従来認証方式のうちIEEE802.1xのEAP−MD5プロトコル動作シーケンスである。
【図11】従来認証方式のうちIEEE802.1xのEAP−TLSプロトコル動作シーケンスである。
【符号の説明】
1 無線端末
2 無線基地局
3 認証サーバ
4 インターネットアクセスルータ
5 インターネット
11 APの認識ブロック
12 端末認証(CHAP)ブロック
13 端末認証(認証ヘッダ)ブロック
14 AP認証(認証ヘッダ)ブロック
15 ネットワーク情報の取得ブロック
21 次ヘッダ
22 ペイロード長
23 予約スペース
24 Security Parameters Index(SPI)
25 通し番号
26 認証データ[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to authentication of wireless LAN Internet access, and more particularly to a high-speed authentication method and a high-speed authentication method for a wireless LAN.
[0002]
[Prior art]
A conventional wireless LAN Internet access authentication technology and its problems will be described below.
[0003]
The first conventional authentication technique is WEP (Wired Equivalency Privacy), which is a name of an encryption communication protocol used in IEEE802.11b. In wireless LAN communication, the confidentiality of data is determined by using an encryption technique. Is a way to increase Normally, encryption is performed using a 40-bit secret key, but a 128-bit key can also be used. Keys are not exchanged directly, but are exchanged in a challenge and response format. However, there are some security holes such as disabling the encryption when the "common encryption key" is detected, and IEEE is working on the specification of WEP2 which replaces the conventional WEP. However, WEP2 is not perfect because it already includes security holes similar to some WEPs. When WEP is actually used, an ESS-ID password method, a MAC address registration method, an encryption protocol developed in-house, and the like are often used together with WEP.
[0004]
The second conventional authentication technology ESS-ID uses an ID for identifying an IEEE 802.11 standard wireless LAN, and in a wireless LAN, only the same ID can communicate with each other, and functions as a kind of password. However, there is a problem that communication can be performed with a wireless LAN to which the same ESS-ID is set by chance, a connection can be established with any AP if the ID of the wireless LAN card is set to ANY, and leakage occurs easily.
[0005]
A third conventional authentication technique is MAC address authentication, in which a MAC address represented by a combination of a unique ID number managed by the IEEE and assigned to each card and a number uniquely assigned to each card by a manufacturer is used. This is an authentication method that is registered in the server in advance and permits only registered users. However, this also has a problem that the MAC is easily leaked by radio wave interception.
[0006]
The fourth conventional authentication technique is IEEE 802.1x, which is strongly recognized as a standard that defines a method of user authentication in a LAN, particularly as a user authentication specification in a wireless LAN such as IEEE 802.11b. In this system, all communications from unauthenticated clients are blocked except for authentication requests, and only authorized users are allowed to communicate. Further, in order to prevent another user from taking over the communication port, it is also possible to perform authentication again periodically. Furthermore, the server used for user authentication is RADIUS or the like, and the same server as for dial-up connection can perform authentication processing. Note that since the communication data is not encrypted by IEEE 802.1x itself, if encryption is necessary, another encryption method must be used. Authentication protocols include EAP-MD5, which is a CHAP authentication method, and EAP-TLS, which is an electronic certificate authentication method. However, the operation of both EAP-MD5 and EAP-TLS is complicated as shown in FIGS. 10 and 11, and the authentication sequence between the terminal and the server is complicated. There is a problem that server processing delay may be feared due to a high server load due to the increase in wireless LAN access.
[0007]
Next, a technique described in a patent publication related to the present invention will be described.
[0008]
In the "mobile data communication apparatus" disclosed in Japanese Patent Application Laid-Open No. 9-130397, an IP address is assigned by passing a request / response message, and a simultaneous authentication method is performed by inputting an ID / password of a terminal. A device and a method having a feature of reducing a load are shown.
[0009]
In the “authentication method and authentication device in wireless LAN system” disclosed in Japanese Patent Application Laid-Open No. 2001-111544, a MAC address authentication method of a wireless LAN system conforming to IEEE802.11 and a challenge text transmitting unit of a server are predetermined. Encryption authentication based on a common key that has an expiration date and an encryption algorithm that is encrypted based on an encryption key that performs MAC address authentication using a unique open system authentication method when the common key expires. Authentication system equipped with an authentication system and a WEP encryption system, a protocol for realizing this system, a MAC address table updating function, and a function of independently performing MAC address authentication when a server fails. A wireless base station device is shown. The problem of this technique is that security is weak because only MAC address authentication is performed.
[0010]
In the “wireless communication system, wireless terminal, wireless base station, authentication card, and authentication method” disclosed in JP-A-2001-189722, among wireless communication systems using a wireless LAN, a wireless terminal, a wireless base station, And an authentication card. The method relates to an authentication method for a wireless communication system, and particularly relates to an authentication technique between wireless terminals or between a wireless base station and a wireless terminal. It is a system composed of an authority / authentication card, not a system using an authentication server. The encryption / decryption method is an exchange method between a terminal and a wireless base station, and has features using a pattern P, an authentication algorithm, a challenge text T, and a key.
[0011]
[Patent Document 1]
Japanese Patent Application Laid-Open No. Hei 9-13097 (
[Patent Document 2]
JP-A-2001-111544 (
[Patent Document 3]
JP 2001-189722 A (claims, FIG. 1)
[0012]
[Problems to be solved by the invention]
The first problem is that in a wireless LAN system, when a terminal is connected to the Internet, or when a terminal is moved or an AP is reconnected due to a roaming service, it takes too much time to perform authentication. Is concerned. The reason for this is that with regard to wireless LAN systems that will be increasingly used in the future, voice and security improvements have made authentication processing when connecting to the Internet and acquisition of network information more complicated, and the processing and sequence are becoming more complicated. Due to the increase in authentication access accompanying the movement of terminals and terminals, the authentication server in charge of processing is increasingly required to have high specifications. On the other hand, the specifications of the server are conventionally determined and introduced based only on the authentication operation at the time of system connection with the assumed number of clients, and do not take into account the increase in authentication access accompanying roaming or terminal movement. Also, it is not possible to easily improve the specifications of the server once introduced.
[0013]
The second problem is that the terminal authentication security level of the wireless LAN system is weak. The reason is that the current terminal authentication methods ISS-ID and MAC address authentication are each vulnerable, and even with IEEE802.1x authentication, a security hole has been found at present, preventing spoofed wireless terminals. I can't.
[0014]
A third problem is that the AP authentication security level of the wireless LAN system is weak. The reason is that the current terminal AP authentication method relies only on weak WEP encryption technology, and it is easy to find out the “common encryption key”. It cannot prevent false wireless base station entry.
[0015]
The fourth problem is that the radio of the wireless LAN system is easy to eavesdrop, and the MAC address, the authentication IP, and the user password are easily deciphered.
[0016]
SUMMARY OF THE INVENTION It is an object of the present invention to provide a high-speed authentication technology for avoiding a communication disconnection caused by an authentication server processing delay corresponding to an increase in demand for a wireless LAN Internet connection, a server load reduction technology for a wireless LAN system, and a terminal authentication. Another object of the present invention is to provide a technique for strengthening AP authentication and encryption and improving a security level.
[0017]
[Means for Solving the Problems]
A high-speed authentication method for a wireless LAN according to the present invention includes a wireless terminal (terminal), a wireless base station (AP) that transmits a beacon message including time information to the terminal, and an authentication server (server) connected to the AP. A wireless LAN high-speed authentication method including the AP and a router connected to a network, wherein the terminal receives the beacon message, recognizes the AP, and receives a secret key exchanged in advance and the AP from the AP. A challenge value is generated from the generated time information, a chap value is generated from the generated challenge value and the user password, and an authentication request and a network information acquisition request are transmitted to the AP together with the time information. Receiving, from the AP, a hash value generated by the server and netsark information in response to the network information acquisition request; When the authentication result is unsuccessful, the communication is not performed to the network.When the authentication result is successfully authenticated, the communication is performed to the network.The AP checks time information received from the terminal. Transfer the received challenge value, chap value, time information and authentication request to the server, transfer the network information acquisition request received from the terminal to the router, receive the authentication result and the hash value from the server, The server adds the network information received from the router and transfers it to the terminal. The server generates a chap value from the user password and the challenge value received from the AP, and compares the generated chap value with the received chap value. The verified authentication result, the time information, and the secret key exchanged in advance. The generated hash value, characterized in that transmitted to the AP.
[0018]
In the high-speed authentication method for a wireless LAN according to the present invention, the terminal compares and compares a hash value generated from the time information and the secret key with a received hash value, sets a matched hash value as a session key, The authentication header is added to the packet to be transmitted.
[0019]
A high-speed authentication method for a wireless LAN according to the present invention includes a wireless terminal (terminal), a wireless base station (AP) that transmits a beacon message including time information to the terminal, and an authentication server (server) connected to the AP. A high-speed authentication method for a wireless LAN including the AP and a router connected to a network, wherein the terminal receives the beacon message, recognizes the AP, and uses a secret key exchanged in advance to access the AP. A hash value is generated by a one-way hash function based on the received time information, and the generated hash value, the time information, the authentication request, and the network information acquisition request are sent to the AP, and an authentication result for the authentication request is output. And the network information corresponding to the network information acquisition request, and when the authentication result indicates that the authentication has failed, communication with the network is not performed. When the authentication result is successful, the communication is performed to the network, the AP checks the time information received from the terminal, and transfers the hash value, the time information, and the authentication request received from the terminal to the server. Transferring the network information acquisition request received from the terminal to the router, checking the hash value received from the server, and transferring the authentication result received from the server and the network information received from the router to the terminal. The server generates a hash value from the secret key exchanged in advance with the time information received from the AP, compares the generated hash value with the hash value received from the AP, and compares the authentication result with the hash value. Are sent to the AP.
[0020]
A high-speed authentication method for a wireless LAN according to the present invention is characterized in that the terminal uses the hash value as a session key and adds an authentication header based on the session key to a packet to be transmitted.
[0021]
A high-speed authentication method for a wireless LAN according to the present invention includes a wireless terminal (terminal), a wireless base station (AP) that transmits a beacon message including time information to the terminal, and an authentication server (server) connected to the AP. A high-speed authentication method for a wireless LAN including the AP and a router n connected to a network, wherein the terminal obtains a challenge value, a chap value, and a hash value from a secret key exchanged in advance, the time information, and a user password. A forward message including a generated challenge value, a chap value, and a hash value, an authentication request, and a network information acquisition request is transmitted through the AP, and the server transmits the user password and the received challenge value. The authentication result based on the chap value generated in the above and the received chap value, the received time information and the secret key Authentication result by the hash value and the hash value received, characterized in that the return message including the generated network information from the hash value and the router has sent via the AP.
[0022]
The high-speed authentication method for a wireless LAN according to the present invention is characterized in that the network is the Internet.
[0023]
In the high-speed wireless LAN authentication method of the present invention, a wireless base station (AP) transmits a beacon message including time information to a wireless terminal (terminal), and the terminal receives the beacon message and recognizes the AP. Step, the terminal generates a challenge value based on the time information received from the AP using a secret key exchanged in advance, calculates a chap value from the challenge value and a user password, together with the time information Sending an authentication request to the AP, the AP checking the received time information, and transferring the received challenge value, chap value, time information and authentication request to the server; Calculates the chap value from the user password and the received challenge value, and sends the authentication result compared with the received chap value. And the AP transfers the authentication result to the terminal. The terminal receives the authentication result, and communicates with the network if the authentication result is successful. If not, not communicating with the network.
[0024]
In the high-speed authentication method for a wireless LAN according to the present invention, a wireless base station (AP) transmits a beacon message including time information to a wireless terminal (terminal), and the terminal receives the beacon message and recognizes the AP. Sending the time information to an authentication server (server) via the AP; and the server via the AP calculates a hash value calculated from a secret key exchanged in advance with the received time information. Transmitting to the terminal; and calculating, by the terminal, a hash value from the secret key exchanged in advance with the time information, comparing the received hash value with the received hash value, and setting a session key if the hash value matches. It is characterized by the following.
[0025]
The high-speed authentication method for a wireless LAN according to the present invention is characterized in that the terminal further comprises a step of generating an authentication header based on the session key and adding the authentication header to a packet to be transmitted.
[0026]
In the high-speed wireless LAN authentication method of the present invention, a wireless base station (AP) transmits a beacon message including time information to a wireless terminal (terminal), and the terminal receives the beacon message and recognizes the AP. Step, the terminal generates a challenge value from a secret key exchanged in advance with an authentication server (server) and time information received from the AP, and calculates a chap value from the generated challenge value and a user password. Transmitting an authentication request and a network information acquisition request together with the time information to the AP, wherein the AP checks the received time information, and transmits the received challenge value, chap value, time information and authentication request to the server. Transferring the received network information acquisition request to a router; and A chap value is independently calculated from the password and the received challenge value, and an authentication result compared with the received chap value and a hash value calculated from a secret key exchanged in advance with the time information are transmitted to the AP. Step, the AP receives the authentication result and the hash value, adds the network information obtained from the router, and transfers it to the terminal, the terminal, the terminal, the network information, the authentication result and the Receiving the hash value and the network information and communicating with the network when the authentication result is successful, and not communicating with the network when the authentication result is unsuccessful.
[0027]
In the high-speed authentication method for a wireless LAN according to the present invention, the terminal compares and compares the time information with a hash value calculated from the secret key and a received hash value, sets a matching hash value as a session key, Adding an authentication header to the packet to be transmitted.
[0028]
In the high-speed authentication method for a wireless LAN according to the present invention, a wireless base station (AP) transmits a beacon message including time information to a wireless terminal (terminal), and the terminal receives the beacon message and recognizes the AP. Sending the time information to an authentication server (server) via the AP; and receiving the time information from the AP using a secret key exchanged in advance with the authentication server (server). Calculating a hash value hashed by a one-way hash function based on the received time information, sending an authentication request and a network information acquisition request together with the time information to the AP, and checking the time information received by the AP. Transferring the received hash value, time information, and authentication request to the server, and transferring the received network information acquisition request to the router. A step in which the server independently calculates a hash value from a secret key exchanged in advance with the received time information, and sends to the AP the authentication result and the hash value that are compared with the received hash value, and The AP confirms the received hash value, and transfers the received authentication result and the network information acquired from the router to the terminal; and the terminal transmits the network information and the authentication result from the AP to the terminal. And communicating to the network when the authentication result is successful, and not communicating to the network when the authentication result is unsuccessful.
[0029]
The high-speed authentication method for a wireless LAN according to the present invention is characterized by further comprising the step of the terminal using the hash value as a session key and adding an authentication header based on the session key to a packet to be transmitted.
[0030]
The high-speed authentication method for a wireless LAN according to the present invention is characterized in that the network is the Internet.
[0031]
BEST MODE FOR CARRYING OUT THE INVENTION
<First Embodiment> FIG. 1 shows an example of the configuration of an authentication system for a wireless LAN (Local Area Network). A
[0032]
The
[0033]
It should be noted that each device shown in this drawing represents an image, and does not specify its shape. Hereinafter, the
[0034]
FIG. 2 is a configuration (logical configuration) diagram of the element blocks of the wireless LAN high-speed authentication system of the present invention. When the
[0035]
Next, an operation procedure from the authentication request to the authentication result after the LINK of the wireless LAN system is established will be described.
[0036]
In the first operation (see the beacon transmission operation of the wireless base station in FIG. 3), the
The second operation (see the CHAP value authentication operation sequence of the wireless terminal in FIG. 4) is one of the terminal authentication means, in which the
The third operation is (see the operation sequence for creating a session key used in the authentication header in FIG. 5). The
[0037]
The
Next, the authentication header format will be described. FIG. 6 shows an authentication header format of the wireless terminal and the wireless base station. The authentication header format is based on a 1-byte next header 21, a 1-byte payload length 22, a 2-byte reserved space 23, a 4-byte Security Parameters Index (SPI) 24, a 4-byte serial number 25, and an 8-
[0038]
The fourth operation is the authentication means of AP2, and is realized by always adding the session key created by the second terminal authentication means as an authentication header to every packet transmitted from AP2 for each packet. . Since only the correct AP2 can have a common session key with the
[0039]
In the fifth operation (see the network information acquisition operation sequence of the wireless terminal in FIG. 7), the
The sixth operation (the wireless LAN high-speed authentication operation sequence in FIG. 8, see FIGS. 5 to 7) integrates the above-described authentication means and network information acquisition means to realize the high-speed authentication method by the following procedure. .
[0040]
AP2 broadcasts a beacon message including time information (t) (step E1). Terminal 1 recognizes AP2 by receiving the beacon message. The
[0041]
The
[0042]
The
As described above, in the first embodiment described above, the
[0043]
<Second Embodiment> A second embodiment to which the present invention is applied will be described. The feature of the embodiment described here is that the value Hk (t) value hashed by the one-way hash function is shared with the terminal authentication and the temporary secret key (session key), thereby being further simplified. . Other points (such as the configuration of the wireless LAN authentication system) are the same as those of the first embodiment.
[0044]
FIG. 9 is an example of a high-speed authentication operation sequence of the wireless LAN according to the second embodiment.
[0045]
AP2 broadcasts a beacon message including time information (t) (step F1). Terminal 1 recognizes AP2 by receiving the beacon message. The
[0046]
The
As described above, also in the second embodiment described above, the
[0047]
【The invention's effect】
The first effect is that authentication of the terminal, authentication of the AP, and acquisition of network information are all performed by one access (one round-trip message exchange), so that authentication between the terminal and the server can be performed at high speed.
[0048]
The second effect is that individual information such as an ID, a password, a MAC address, and an IP address is not stolen even in wireless communication. The reason is that the secret key itself does not flow in the wireless section, so that the secret key between the terminal and the server cannot be seen. That is, since a primary key (session key) calculated based on the secret key cannot be detected, data of a packet to be transmitted is not decrypted.
[0049]
The third effect is that the authentication of the wireless terminal is strong. The reason is that the current time information from the wireless terminal is checked by the AP to confirm whether it is within the specified time, and the chap value is calculated from the time information, the password and the secret key that does not leak, so that the calculated value is imitated. This is because it is impossible to determine whether the terminal is an impersonating terminal by always attaching an authentication header created from a secret key that does not leak to a packet transmitted from the wireless terminal.
[0050]
The fourth effect is that the authentication of the wireless base station is strong. The reason is that a false wireless base station can be eliminated by always attaching an authentication header made from a secret key that does not leak to a packet transmitted from the wireless base station.
[Brief description of the drawings]
FIG. 1 is a configuration example of a wireless LAN authentication system according to the present invention.
FIG. 2 is a configuration diagram of an element block of the wireless LAN high-speed authentication system of the present invention.
FIG. 3 shows a beacon transmission operation of the wireless base station.
FIG. 4 is a CHAP value authentication operation sequence of the wireless terminal.
FIG. 5 shows an operation sequence for creating a session key used in an authentication header.
FIG. 6 shows an authentication header format of a wireless terminal and a wireless base station.
FIG. 7 is a network information acquisition operation sequence of the wireless terminal.
FIG. 8 is a high-speed authentication operation sequence of a wireless LAN.
FIG. 9 is an example of a high-speed authentication operation sequence of a wireless LAN according to the second embodiment.
FIG. 10 is an EAP-MD5 protocol operation sequence of IEEE 802.1x among conventional authentication methods.
FIG. 11 is an EAP-TLS protocol operation sequence of IEEE 802.1x among conventional authentication methods.
[Explanation of symbols]
1 wireless terminal
2 wireless base stations
3 Authentication server
4 Internet access router
5 Internet
11 AP recognition block
12 Terminal authentication (CHAP) block
13 Terminal authentication (authentication header) block
14 AP authentication (authentication header) block
15 Network information acquisition block
21st header
22 Payload length
23 reserved space
24 Security Parameters Index (SPI)
25 serial number
26 Authentication data
Claims (14)
前記端末は、前記ビーコンメッセージを受信して前記APを認識し、予め交換してある秘密鍵と前記APより受け取った時刻情報からチャレンジ値を生成し、生成したチャレンジ値とユーザパスワードからチャップ値を生成し、前記時刻情報と共に認証要求とネットワーク情報取得要求とを前記APへ送信し、前記認証要求に対する認証結果と前記サーバで生成したハッシュ値と前記ネットワーク情報取得要求に対するネットサーク情報とを前記APから受け取り、前記認証結果が認証失敗の時は前記ネットワークへ通信しないで前記認証結果が認証成功の時は前記ネットワークへ通信し、
前記APは、前記端末から受け取った時刻情報をチェックし、前記端末から受け取ったチャレンジ値、チャップ値、時刻情報及び認証要求を前記サーバへ転送し、前記端末から受け取ったネットワーク情報取得要求を前記ルータへ転送し、前記サーバから前記認証結果及び前記ハッシュ値を受け取って前記ルータから受け取った前記ネットワーク情報を付加して前記端末へ転送し、
前記サーバは、前記ユーザパスワード及び前記APから受け取ったチャレンジ値からチャップ値を生成し、生成したチャップ値及び受け取ったチャップ値を比較照合した前記認証結果と前記時刻情報及び予め交換してある秘密鍵より生成したハッシュ値とを前記APへ送出する
ことを特徴とする無線LANの高速認証方式。A wireless terminal (terminal), a wireless base station (AP) that transmits a beacon message including time information to the terminal, an authentication server (server) connected to the AP, and a router connected to the AP and a network A high-speed authentication method for a wireless LAN,
The terminal receives the beacon message, recognizes the AP, generates a challenge value from a secret key exchanged in advance and time information received from the AP, and generates a chap value from the generated challenge value and the user password. Generating an authentication request and a network information acquisition request together with the time information to the AP, and transmitting the authentication result for the authentication request, the hash value generated by the server, and the netsark information for the network information acquisition request to the AP. When the authentication result is authentication failure, the communication is not performed to the network, and when the authentication result is authentication successful, the communication is performed to the network.
The AP checks the time information received from the terminal, transfers the challenge value, the chap value, the time information and the authentication request received from the terminal to the server, and transmits the network information acquisition request received from the terminal to the router. Transfer to the terminal by adding the network information received from the router receiving the authentication result and the hash value from the server,
The server generates a chap value from the user password and a challenge value received from the AP, compares the generated chap value and the received chap value with the authentication result, the time information, and a secret key exchanged in advance. And sending the generated hash value to the AP.
ことを特徴とする請求項1に記載の無線LANの高速認証方式。The terminal compares and compares a hash value generated from the time information and the secret key with a received hash value, sets a matched hash value as a session key, and adds the authentication value to the packet to be transmitted with an authentication header based on the session key. The wireless LAN high-speed authentication method according to claim 1, wherein:
前記端末は、前記ビーコンメッセージを受信して前記APを認識し、予め交換してある秘密鍵を用いて前記APより受け取った時刻情報を基に一方向性ハッシュ関数でハッシュ値を生成し、生成したハッシュ値、前記時刻情報、認証要求、及びネットワーク情報取得要求を前記APへ送出し、前記認証要求に対する認証結果と前記ネットワーク情報取得要求に対するネットワーク情報とを受け取り、前記認証結果が認証失敗の時は前記ネットワークへ通信しないで前記認証結果が認証成功の時は前記ネットワークへ通信し、
前記APは、前記端末から受け取った時刻情報をチェックし、前記端末から受け取ったハッシュ値、時刻情報及び認証要求を前記サーバへ転送し、前記端末から受け取ったネットワーク情報取得要求を前記ルータへ転送し、前記サーバから受け取ったハッシュ値を確認すると共に、前記サーバから受け取った認証結果と前記ルータから受け取ったネットワーク情報とを前記端末へ転送し、
前記サーバは、前記APから受け取った時刻情報と予め交換してある秘密鍵よりハッシュ値を生成し、生成したハッシュ値及び前記APから受け取ったハッシュ値を比較照合した認証結果と前記ハッシュ値とを前記APへ送出する
ことを特徴とする無線LANの高速認証方式。A wireless terminal (terminal), a wireless base station (AP) that transmits a beacon message including time information to the terminal, an authentication server (server) connected to the AP, and a router connected to the AP and a network A high-speed authentication method for a wireless LAN,
The terminal receives the beacon message, recognizes the AP, generates a hash value with a one-way hash function based on time information received from the AP using a secret key exchanged in advance, and generates a hash value. Sends the obtained hash value, the time information, the authentication request, and the network information acquisition request to the AP, receives the authentication result for the authentication request and the network information for the network information acquisition request, and when the authentication result indicates that the authentication has failed. Communicates with the network when the authentication result is successful without communicating with the network,
The AP checks the time information received from the terminal, transfers the hash value, the time information, and the authentication request received from the terminal to the server, and transfers the network information acquisition request received from the terminal to the router. Confirming the hash value received from the server, transferring the authentication result received from the server and the network information received from the router to the terminal,
The server generates a hash value from a secret key exchanged in advance with the time information received from the AP, and compares the hash value with an authentication result obtained by comparing and matching the generated hash value and the hash value received from the AP. A high-speed wireless LAN authentication method, wherein the high-speed authentication is transmitted to the AP.
ことを特徴とする請求項3に記載の無線LANの高速認証方式。The wireless LAN high-speed authentication method according to claim 3, wherein the terminal uses the hash value as a session key and adds an authentication header based on the session key to a packet to be transmitted.
前記端末は、予め交換してある秘密鍵と前記時刻情報とユーザパスワードからチャレンジ値、チャップ値及びハッシュ値を生成し、生成したチャレンジ値、チャップ値及びハッシュ値と、認証要求と、ネットワーク情報取得要求と、を含む往路メッセージを前記APを介して送出し、
前記サーバは、前記ユーザパスワード及び受け取ったチャレンジ値で生成したチャップ値と受け取ったチャップ値による認証結果、受け取った時刻情報及び前記秘密鍵で生成したハッシュ値と受け取ったハッシュ値による認証結果、生成した前記ハッシュ値及び前記ルータからのネットワーク情報を含む復路メッセージを前記APを介して送出する
ことを特徴とする無線LANの高速認証方式。A wireless terminal (terminal), a wireless base station (AP) that transmits a beacon message including time information to the terminal, an authentication server (server) connected to the AP, and a router n connected to the AP and a network. Wireless LAN high-speed authentication method,
The terminal generates a challenge value, a chap value, and a hash value from the secret key exchanged in advance, the time information, and the user password, and obtains the generated challenge value, chap value, and hash value, an authentication request, and network information acquisition. A forward message including the request, via the AP,
The server generates an authentication result using the user password and the chap value generated based on the received challenge value and the received chap value, an authentication result based on the received time information and the hash value generated using the secret key, and the received hash value. A high-speed authentication method for a wireless LAN, wherein a return path message including the hash value and network information from the router is transmitted through the AP.
前記端末が、予め交換してある秘密鍵を用いて前記APより受信した時刻情報を基にチャレンジ値を生成し、前記チャレンジ値とユーザパスワードからチャップ値を演算し、前記時刻情報と共に認証要求を前記APへ送出するステップと、
前記APが、受け取った時刻情報をチェックし、受け取ったチャレンジ値、チャップ値、時刻情報及び認証要求を前記サーバへ転送するステップと、
前記サーバが、前記ユーザパスワードと受け取ったチャレンジ値からチャップ値を演算し、受け取ったチャップ値と比較照合した認証結果を送出するステップと、
前記APが、前記認証結果を前記端末へ転送するステップと、
前記端末が、前記認証結果を受け取り、前記認証結果が認証成功であればネットワークへ通信し、前記認証結果が認証失敗であれば前記ネットワークへ通信しないステップと、
を備えることを特徴とする無線LANの高速認証方法。A wireless base station (AP) transmitting a beacon message including time information to a wireless terminal (terminal), wherein the terminal receives the beacon message and recognizes the AP;
The terminal generates a challenge value based on time information received from the AP using a secret key exchanged in advance, calculates a chap value from the challenge value and a user password, and issues an authentication request together with the time information. Sending to the AP;
The AP checking the received time information and transferring the received challenge value, chap value, time information and authentication request to the server;
A step in which the server calculates a chap value from the user password and the received challenge value, and sends an authentication result that is compared with the received chap value;
The AP transferring the authentication result to the terminal;
The terminal receiving the authentication result, communicating with the network if the authentication result is successful, and not communicating with the network if the authentication result is unsuccessful;
A high-speed authentication method for a wireless LAN, comprising:
前記サーバが、受け取った時刻情報と予め交換してある秘密鍵から計算したハッシュ値を前記APを経由して前記端末へ送信するステップと、
前記端末が、前記時刻情報と予め交換してある前記秘密鍵からハッシュ値を計算し、受け取ったハッシュ値と比較照合し合致したらセッションキーとするステップと、
を備えることを特徴とする無線LANの高速認証方法。A wireless base station (AP) transmits a beacon message including time information to a wireless terminal (terminal), and the terminal receives the beacon message to recognize the AP, and transmits the time information via the AP. Sending to an authentication server (server);
Transmitting the hash value calculated from the secret key exchanged in advance with the received time information to the terminal via the AP,
The terminal calculates a hash value from the secret key that has been exchanged in advance with the time information, compares the hash value with the received hash value, and sets a session key if the hash value matches;
A high-speed authentication method for a wireless LAN, comprising:
をさらに備えることを特徴とする請求項8に記載の無線LANの高速認証方法。A step in which the terminal generates an authentication header based on the session key and adds the authentication header to a packet to be transmitted;
The high-speed authentication method for a wireless LAN according to claim 8, further comprising:
前記端末が、認証サーバ(サーバ)との間で予め交換してある秘密鍵と前記APより受け取った時刻情報からチャレンジ値を生成し、生成したチャレンジ値とユーザパスワードからチャップ値を計算し、前記時刻情報と共に認証要求とネットワーク情報取得要求を前記APに送信するステップと、
前記APが、受け取った時刻情報をチェックし、受け取ったチャレンジ値、チャップ値、時刻情報及び認証要求を前記サーバへ転送し、受け取ったネットワーク情報取得要求をルータへ転送するステップと、
前記サーバが、前記ユーザのパスワードと受け取ったチャレンジ値から独自にチャップ値を計算し、受け取ったチャップ値と比較照合した認証結果と、前記時刻情報と予め交換してある秘密鍵より算出したハッシュ値とを前記APに送出するステップと、
前記APが、前記認証結果と前記ハッシュ値とを受け取り、前記ルータより取得したネットワーク情報を付加して前記端末に転送するステップと、
前記端末が、前記ネットワーク情報と前記認証結果と前記ハッシュ値と前記ネットサーク情報とを受け取り、前記認証結果が認証成功の時はネットワークへ通信し、前記認証結果が認証失敗の時は前記ネットワークへ通信しないステップと、
を備えることを特徴とする無線LANの高速認証方法。A wireless base station (AP) transmitting a beacon message including time information to a wireless terminal (terminal), wherein the terminal receives the beacon message and recognizes the AP;
The terminal generates a challenge value from a secret key exchanged in advance with an authentication server (server) and time information received from the AP, calculates a chap value from the generated challenge value and a user password, Transmitting an authentication request and a network information acquisition request to the AP together with time information;
The AP checks the received time information, transfers the received challenge value, chap value, time information and authentication request to the server, and transfers the received network information acquisition request to the router;
The server independently calculates a chap value from the password of the user and the received challenge value, compares the authentication result with the received chap value, and a hash value calculated from a secret key exchanged in advance with the time information. Sending to the AP;
The AP receives the authentication result and the hash value, adds the network information obtained from the router, and transfers it to the terminal;
The terminal receives the network information, the authentication result, the hash value, and the netsark information, communicates with the network when the authentication result is successful, and communicates with the network when the authentication result is unsuccessful. Steps that do not communicate,
A high-speed authentication method for a wireless LAN, comprising:
をさらに備えることを特徴とする請求項10に記載の無線LANの高速認証方法。A step in which the terminal compares and matches a hash value calculated from the time information and the secret key with the received hash value, sets a matched hash value as a session key, and attaches the authentication key based on the session key to a packet to be transmitted;
The high-speed authentication method for a wireless LAN according to claim 10, further comprising:
前記端末が、認証サーバ(サーバ)との間で予め交換してある秘密鍵を用いて、前記APより受け取った時刻情報を基に一方向性ハッシュ関数でハッシュしたハッシュ値を計算し、前記時刻情報と共に認証要求とネットワーク情報取得要求を前記APに送出するステップと、
前記APが、受け取った時刻情報をチェックし、受け取ったハッシュ値、時刻情報及び認証要求を前記サーバへ転送し、受け取ったネットワーク情報取得要求をルータへ転送するステップと、
前記サーバが、受け取った時刻情報と予め交換してある秘密鍵より独自にハッシュ値を計算し、受け取ったハッシュ値と比較照合した認証結果と前記ハッシュ値とを前記APに送出するステップと、
前記APが、受け取ったハッシュ値を確認すると共に、受け取った前記認証結果と前記ルータより取得したネットワーク情報とを前記端末に転送するステップと、
前記端末が、前記APからのネットワーク情報と認証結果とを受け取り、前記認証結果が認証成功の時はネットワークへ通信し、前記認証結果が認証失敗の時は前記ネットワークへ通信しないステップと、
を備えることを特徴とする無線LANの高速認証方法。A wireless base station (AP) transmits a beacon message including time information to a wireless terminal (terminal), and the terminal receives the beacon message to recognize the AP, and transmits the time information via the AP. Sending to an authentication server (server);
The terminal calculates a hash value hashed by a one-way hash function based on the time information received from the AP using a secret key exchanged in advance with an authentication server (server). Sending an authentication request and a network information acquisition request to the AP together with information;
The AP checking the received time information, transferring the received hash value, the time information and the authentication request to the server, and transferring the received network information acquisition request to the router;
The server calculates a hash value independently from the received time information and a secret key exchanged in advance, and sends to the AP the authentication result and the hash value that have been compared and collated with the received hash value;
The AP confirming the received hash value, and transferring the received authentication result and the network information obtained from the router to the terminal;
The terminal receiving network information and an authentication result from the AP, communicating with the network when the authentication result is successful, and not communicating with the network when the authentication result is unsuccessful;
A high-speed authentication method for a wireless LAN, comprising:
をさらに備えることを特徴とする請求項12に記載の無線LANの高速認証方法。A step in which the terminal uses the hash value as a session key and adds an authentication header based on the session key to a packet to be transmitted;
The high-speed authentication method for a wireless LAN according to claim 12, further comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002374055A JP3792648B2 (en) | 2002-12-25 | 2002-12-25 | Wireless LAN high-speed authentication method and high-speed authentication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002374055A JP3792648B2 (en) | 2002-12-25 | 2002-12-25 | Wireless LAN high-speed authentication method and high-speed authentication method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004207965A true JP2004207965A (en) | 2004-07-22 |
JP3792648B2 JP3792648B2 (en) | 2006-07-05 |
Family
ID=32812184
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002374055A Expired - Fee Related JP3792648B2 (en) | 2002-12-25 | 2002-12-25 | Wireless LAN high-speed authentication method and high-speed authentication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3792648B2 (en) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007146737A2 (en) * | 2006-06-13 | 2007-12-21 | Intel Corporation | Multimedia transmitter, multimedia receiver, multimedia transmittion system, and method for securely transmitting multimedia content over a wireless link |
JP2008097600A (en) * | 2006-10-06 | 2008-04-24 | Ricoh Co Ltd | Preventing network traffic blocking during port-based authentication |
JP2008530917A (en) * | 2005-02-11 | 2008-08-07 | クゥアルコム・インコーポレイテッド | Context-restricted shared secret |
KR100901279B1 (en) | 2007-03-12 | 2009-06-08 | 강남구 | Wire/Wireless Network Access Authentication Method using Challenge Message based on CHAP and System thereof |
US7653713B2 (en) | 2005-02-23 | 2010-01-26 | Samsung Electronics Co., Ltd. | Method of measuring round trip time and proximity checking method using the same |
JP2010504669A (en) * | 2006-09-23 | 2010-02-12 | 西安西▲電▼捷通▲無▼▲綫▼▲網▼絡通信有限公司 | Network access authentication and authorization method, and authorization key update method |
JP2011147148A (en) * | 2005-10-05 | 2011-07-28 | Qualcomm Inc | Peer-to-peer communication in ad hoc wireless communication network |
US8046583B2 (en) | 2006-03-29 | 2011-10-25 | Fujitsu Limited | Wireless terminal |
JP4820826B2 (en) * | 2005-02-21 | 2011-11-24 | 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 | Access authentication method suitable for wired and wireless networks |
CN104244248A (en) * | 2013-06-09 | 2014-12-24 | 杭州华三通信技术有限公司 | Secret key processing method and device |
CN105491565A (en) * | 2014-09-17 | 2016-04-13 | 联想(北京)有限公司 | Information processing method and electronic equipment |
CN105491639A (en) * | 2014-09-17 | 2016-04-13 | 联想(北京)有限公司 | Information processing method and electronic equipment |
CN111294209A (en) * | 2020-01-17 | 2020-06-16 | 深圳力维智联技术有限公司 | Intelligent terminal security verification method and device based on block chain |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001111544A (en) * | 1999-10-05 | 2001-04-20 | Nec Corp | Authenticating method in radio lan system and authentication device |
JP2001144812A (en) * | 1999-11-17 | 2001-05-25 | Sharp Corp | Authentication processing system for wireless ip terminal |
JP2001282736A (en) * | 2000-03-28 | 2001-10-12 | Japan Aviation Electronics Industry Ltd | Personal authentication system |
JP2002124952A (en) * | 2000-10-12 | 2002-04-26 | Furukawa Electric Co Ltd:The | Approval method and system of wireless terminal in wireless network |
JP2002247047A (en) * | 2000-12-14 | 2002-08-30 | Furukawa Electric Co Ltd:The | Session shared key sharing method, radio terminal authenticating method, radio terminal and base station device |
JP2002247023A (en) * | 2000-12-14 | 2002-08-30 | Furukawa Electric Co Ltd:The | Method for sharing session sharing key, method for certifying network terminal, network, terminal, and repeater |
-
2002
- 2002-12-25 JP JP2002374055A patent/JP3792648B2/en not_active Expired - Fee Related
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001111544A (en) * | 1999-10-05 | 2001-04-20 | Nec Corp | Authenticating method in radio lan system and authentication device |
JP2001144812A (en) * | 1999-11-17 | 2001-05-25 | Sharp Corp | Authentication processing system for wireless ip terminal |
JP2001282736A (en) * | 2000-03-28 | 2001-10-12 | Japan Aviation Electronics Industry Ltd | Personal authentication system |
JP2002124952A (en) * | 2000-10-12 | 2002-04-26 | Furukawa Electric Co Ltd:The | Approval method and system of wireless terminal in wireless network |
JP2002247047A (en) * | 2000-12-14 | 2002-08-30 | Furukawa Electric Co Ltd:The | Session shared key sharing method, radio terminal authenticating method, radio terminal and base station device |
JP2002247023A (en) * | 2000-12-14 | 2002-08-30 | Furukawa Electric Co Ltd:The | Method for sharing session sharing key, method for certifying network terminal, network, terminal, and repeater |
Non-Patent Citations (1)
Title |
---|
HANDBOOK OF APPLIED CRYPTOGRAPHY, JPN4006005087, 1997, pages 397 - 405, ISSN: 0000721968 * |
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011227905A (en) * | 2005-02-11 | 2011-11-10 | Qualcomm Incorporated | Context limited shared secret |
US8726019B2 (en) | 2005-02-11 | 2014-05-13 | Qualcomm Incorporated | Context limited shared secret |
JP2008530917A (en) * | 2005-02-11 | 2008-08-07 | クゥアルコム・インコーポレイテッド | Context-restricted shared secret |
JP2014150567A (en) * | 2005-02-11 | 2014-08-21 | Qualcomm Incorporated | Context limited shared secret |
JP4820826B2 (en) * | 2005-02-21 | 2011-11-24 | 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 | Access authentication method suitable for wired and wireless networks |
US7653713B2 (en) | 2005-02-23 | 2010-01-26 | Samsung Electronics Co., Ltd. | Method of measuring round trip time and proximity checking method using the same |
US8942130B2 (en) | 2005-10-05 | 2015-01-27 | Qualcomm Incorporated | Peer-to-peer communication in ad hoc wireless network |
US8942133B2 (en) | 2005-10-05 | 2015-01-27 | Qualcomm Incorporated | Peer-to-peer communication in ad hoc wireless network |
US8576846B2 (en) | 2005-10-05 | 2013-11-05 | Qualcomm Incorporated | Peer-to-peer communication in ad hoc wireless network |
JP2011147148A (en) * | 2005-10-05 | 2011-07-28 | Qualcomm Inc | Peer-to-peer communication in ad hoc wireless communication network |
US8046583B2 (en) | 2006-03-29 | 2011-10-25 | Fujitsu Limited | Wireless terminal |
US7765599B2 (en) | 2006-06-13 | 2010-07-27 | Intel Corporation | Multimedia transmitter, multimedia receiver, multimedia transmission system, and method for securely transmitting multimedia content over a wireless link |
WO2007146737A2 (en) * | 2006-06-13 | 2007-12-21 | Intel Corporation | Multimedia transmitter, multimedia receiver, multimedia transmittion system, and method for securely transmitting multimedia content over a wireless link |
WO2007146737A3 (en) * | 2006-06-13 | 2008-02-14 | Intel Corp | Multimedia transmitter, multimedia receiver, multimedia transmittion system, and method for securely transmitting multimedia content over a wireless link |
JP2010504669A (en) * | 2006-09-23 | 2010-02-12 | 西安西▲電▼捷通▲無▼▲綫▼▲網▼絡通信有限公司 | Network access authentication and authorization method, and authorization key update method |
JP2008097600A (en) * | 2006-10-06 | 2008-04-24 | Ricoh Co Ltd | Preventing network traffic blocking during port-based authentication |
KR100901279B1 (en) | 2007-03-12 | 2009-06-08 | 강남구 | Wire/Wireless Network Access Authentication Method using Challenge Message based on CHAP and System thereof |
CN104244248A (en) * | 2013-06-09 | 2014-12-24 | 杭州华三通信技术有限公司 | Secret key processing method and device |
CN105491565A (en) * | 2014-09-17 | 2016-04-13 | 联想(北京)有限公司 | Information processing method and electronic equipment |
CN105491639A (en) * | 2014-09-17 | 2016-04-13 | 联想(北京)有限公司 | Information processing method and electronic equipment |
CN105491639B (en) * | 2014-09-17 | 2019-02-05 | 联想(北京)有限公司 | A kind of information processing method and electronic equipment |
CN105491565B (en) * | 2014-09-17 | 2019-10-29 | 联想(北京)有限公司 | A kind of information processing method and electronic equipment |
CN111294209A (en) * | 2020-01-17 | 2020-06-16 | 深圳力维智联技术有限公司 | Intelligent terminal security verification method and device based on block chain |
CN111294209B (en) * | 2020-01-17 | 2023-06-16 | 深圳力维智联技术有限公司 | Block chain-based intelligent terminal security verification method and device |
Also Published As
Publication number | Publication date |
---|---|
JP3792648B2 (en) | 2006-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2003243680B2 (en) | Key generation in a communication system | |
US7904945B2 (en) | System and method for providing security for a wireless network | |
US7039021B1 (en) | Authentication method and apparatus for a wireless LAN system | |
US9392453B2 (en) | Authentication | |
US8094821B2 (en) | Key generation in a communication system | |
US20090019539A1 (en) | Method and system for wireless communications characterized by ieee 802.11w and related protocols | |
WO2014117525A1 (en) | Method and device for handling authentication of static user terminal | |
US20090307483A1 (en) | Method and system for providing a mesh key | |
JP3792648B2 (en) | Wireless LAN high-speed authentication method and high-speed authentication method | |
Hager et al. | Demonstrating vulnerabilities in bluetooth security | |
US11019037B2 (en) | Security improvements in a wireless data exchange protocol | |
CN112423299B (en) | Method and system for wireless access based on identity authentication | |
WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
EP2506489A1 (en) | Wireless authentication terminal | |
JP4677784B2 (en) | Authentication method and system in collective residential network | |
JP4584776B2 (en) | Gateway device and program | |
KR20040028062A (en) | Roaming service method for public wireless LAN service | |
Uskela | Security in Wireless Local Area Networks | |
Ma et al. | Security Access in Wireless Local Area Networks | |
KR100580929B1 (en) | Method and apparatus for authenticating user in the wireless LAN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040423 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20050322 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051117 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060322 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060405 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100414 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110414 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120414 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120414 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130414 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130414 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140414 Year of fee payment: 8 |
|
LAPS | Cancellation because of no payment of annual fees |