JP2004208073A - 無線通信システム - Google Patents
無線通信システム Download PDFInfo
- Publication number
- JP2004208073A JP2004208073A JP2002375281A JP2002375281A JP2004208073A JP 2004208073 A JP2004208073 A JP 2004208073A JP 2002375281 A JP2002375281 A JP 2002375281A JP 2002375281 A JP2002375281 A JP 2002375281A JP 2004208073 A JP2004208073 A JP 2004208073A
- Authority
- JP
- Japan
- Prior art keywords
- wireless communication
- communication terminal
- authentication
- random number
- access point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】簡易な手順で高速にアクセスポイント間のハンドオフを実行し得る無線通信システムを実現する。
【解決手段】初回認証時、無線通信端末の識別番号に対応付けて第1の乱数を認証サーバの認証情報記憶手段に記憶しておく。そして無線通信端末のハンドオフ時、当該無線通信端末から送信された識別番号に基づいて認証情報記憶手段からパスワード及び第1の乱数を取得して認証サーバ側で新たな暗号鍵を生成するとともに、無線通信端末でも新たな暗号鍵を生成し、ハンドオフ先のアクセスポイントが、この2つの暗号鍵に基づいて無線通信端末の認証を行うようにしたことにより、応答値の算出処理を省いて認証手順を簡略化し、これにより簡易な手順で高速にアクセスポイント間のハンドオフを実行することができる。
【選択図】 図7
【解決手段】初回認証時、無線通信端末の識別番号に対応付けて第1の乱数を認証サーバの認証情報記憶手段に記憶しておく。そして無線通信端末のハンドオフ時、当該無線通信端末から送信された識別番号に基づいて認証情報記憶手段からパスワード及び第1の乱数を取得して認証サーバ側で新たな暗号鍵を生成するとともに、無線通信端末でも新たな暗号鍵を生成し、ハンドオフ先のアクセスポイントが、この2つの暗号鍵に基づいて無線通信端末の認証を行うようにしたことにより、応答値の算出処理を省いて認証手順を簡略化し、これにより簡易な手順で高速にアクセスポイント間のハンドオフを実行することができる。
【選択図】 図7
Description
【0001】
【発明の属する技術分野】
本発明は無線通信システムに関し、例えば複数のアクセスポイントの間でハンドオフを行い得るようになされた無線LANシステムに適用して好適なものである。
【0002】
【従来の技術】
従来、無線LANシステム等の各種通信システムにおいて、端末の正当性を確認するための認証が一般的に行われている。
【0003】
例えば、ある端末がアクセスポイントを経由して通信を行おうとする場合、当該アクセスポイントは、正当なユーザのみに対して利用を許可するため端末に対して認証を行う。また端末は、正当なアクセスポイントのみを利用するためアクセスポイントに対して認証を行うこともある。この場合、端末とアクセスポイントの相互で認証を行うことになる。
【0004】
この認証方式には様々なものがある。例えば、端末にパスワードを用意しておき、これをアクセスポイントに送付することにより正当な端末であることを伝えるPAP(Password Authentication Protocol)や、パスワードを利用してデータを暗号化して認証するCHAP(Challenge Handshake Authentication Protocol )、RSA(Rivest Shamir Adleman )やECC(Eliptic Curve Cryptography)を用いた公開暗号鍵方式を利用するTLS(Transport Layer Security)プロトコル等の認証方式が広く用いられている。
【0005】
ここで、PAPはパスワードが通信路に平文で流される(無暗号化)ため、安全性を考慮すると、電話回線のような秘匿性が保証された通信路でしか利用できない。これに対してCHAPやTLSプロトコルはパスワードが暗号化されるため、インターネットや無線LANのような通信内容の秘匿性が保証されない通信路での利用が可能である。
【0006】
しかしながらCHAPやTLSプロトコルは、端末とアクセスポイントの間のデータのやりとりが多く、また処理に要する計算量が多いため処理時間が長くなるという欠点がある。特に、TLSプロトコルはCHAPに比べて強固であるが、その分計算量も多く長い処理時間を要する。しかし、パーソナルコンピュータ等の情報処理装置の処理能力向上もあり、今後は主としてTLSプロトコルが利用されると考えられている。
【0007】
無線通信システムにおいては、これらの認証方式を利用して端末(及びアクセスポイント)を認証するとともに、鍵を第三者に知られないようにして生成する。この鍵は、以降の通信においてデータを暗号化したり、データが改ざんされていないことを保証するために利用される。
【0008】
ここで、無線LANシステムのアクセスポイントはその通信可能範囲が比較的狭いため、アクセスポイントを複数設置して、無線LANシステム全体の通信可能範囲を拡大することが行われている。
【0009】
このような複数のアクセスポイントを有する無線LANシステムにおいて、端末が第1のアクセスポイントの通信可能範囲から第2のアクセスポイントの通信可能範囲に移動した場合、当該端末は第1のアクセスポイントとの通信接続を終了して移動先の第2のアクセスポイントとの通信接続を開始することにより、異なるアクセスポイント間に渡って継続して通信を行う。かかるアクセスポイント間に渡る通信接続の切替えをハンドオフと呼ぶ(例えば、特許文献1参照)。
【0010】
【特許文献1】
特開2001−258059公報
【0011】
【発明が解決しようとする課題】
上述したようにハンドオフに際しては、当該ハンドオフ毎に再度認証を繰り返す。ところが上述したように認証処理に複雑な手順が必要であり、ハンドオフに時間がかかる。このため、ハンドオフを行うことによって実質的な伝送速度が落ちてしまうとともに、多数の端末が同時にハンドオフを行った場合、認証サーバの負荷が増大してしまうという問題があった。
【0012】
本発明は以上の点を考慮してなされたもので、簡易な手順で高速にアクセスポイント間のハンドオフを実行し得る無線通信システムを提案しようとするものである。
【0013】
【課題を解決するための手段】
かかる課題を解決するため本発明においては、無線通信端末と、当該無線通信端末に対する認証を行う認証サーバと、無線通信端末との間で無線を介した通信を行い、当該無線通信端末と外部ネットワークとの間及び認証サーバとの間の通信を中継する複数のアクセスポイントとからなる無線通信システムにおいて、無線通信端末に、アクセスポイントから送信される第1の乱数、当該無線通信端末固有の識別番号及びパスワードから応答値を生成する端末側応答値生成手段と、生成した第2の乱数、識別番号及び応答値を認証要求に格納して認証サーバに送信する認証要求手段と、パスワード、第1の乱数及び第2の乱数から暗号鍵を生成する端末側暗号鍵生成手段と、当該生成した暗号鍵を用いて暗号化通信を行う端末側暗号通信手段とを設けた。
【0014】
また認証サーバに、無線通信システムに所属する全ての無線通信端末それぞれの識別番号及びパスワードを対応付けて記憶する認証情報記憶手段と、無線通信端末から送信された識別番号に対応するパスワードを識別情報記憶手段から取得し、当該取得したパスワード、無線通信端末から送信された識別番号及びアクセスポイントから送信された第1の乱数から応答値を生成するサーバ側応答値生成手段と、サーバ側応答値生成手段で生成した上記応答値と上記無線通信端末から送信された上記応答値とを比較し、これらが一致したとき、当該無線通信端末が当該無線通信システムの正当なユーザであるとして認証するとともに、上記第1の乱数を当該無線通信端末の識別番号に対応付けて上記認証情報記憶手段に記憶する認証手段を設けた。
【0015】
そして、無線通信端末が第1のアクセスポイントから第2のアクセスポイントにハンドオフする際、無線通信端末の認証要求手段は、識別番号、新たに生成した第2の乱数及び第2のアクセスポイントから送信される時間情報を含むハンドオフ要求を生成するとともに、パスワード、第1の乱数、新たな第2の乱数及び時間情報から新たな暗号鍵を生成し、当該新たな暗号鍵とハンドオフ要求とから当該ハンドオフ要求の改ざんを防止する改ざん防止情報を生成し、当該改ざん防止情報を当該ハンドオフ要求に付加し第2のアクセスポイントを介して認証サーバに送信するようにした。また認証サーバの認証手段は、ハンドオフ要求に含まれる識別番号に対応するパスワード及び第1の乱数を認証情報記憶手段から取得し、当該取得したパスワード及び第1の乱数、ハンドオフ要求に含まれる第2の乱数及び時間情報から新たな暗号鍵を生成して第2のアクセスポイントに送信するようにした。
【0016】
そして、第2のアクセスポイントは、認証サーバから送信された新たな暗号鍵とハンドオフ要求とから改ざん防止情報を生成し、当該生成した改ざん防止情報とハンドオフ要求に付加された改ざん防止情報とが一致したとき、無線通信端末が無線通信システムの正当なユーザであるとして認証してハンドオフを許可するようにした。
【0017】
初回認証時、無線通信端末の識別番号に対応付けて第1の乱数を認証情報記憶手段に記憶しておく。そして無線通信端末のハンドオフ時、当該無線通信端末から送信された識別番号に基づいて認証情報記憶手段からパスワード及び第1の乱数を取得して新たな暗号鍵を生成するとともに、無線通信端末でも新たな暗号鍵を生成し、この2つの暗号鍵に基づいてハンドオフ先のアクセスポイントが無線通信端末の認証を行うようにしたことにより、応答値の算出処理を省いて認証手順を簡略化し、これにより簡易な手順で高速にアクセスポイント間のハンドオフを実行することができる。
【0018】
【発明の実施の形態】
以下図面について、本発明の一実施の形態を詳述する。
【0019】
(1)無線LANシステムの全体構成
図1において、1は全体として本発明による無線LAN通信システムとしての無線LANシステムを示し、無線通信基地局としての2つのアクセスポイント2(2A、2B)、無線通信端末3、及び認証装置としての認証サーバ4で構成される。
【0020】
実際上、無線通信端末3はPCカード型の無線LANカードであり、ノートブック型パーソナルコンピュータ(以下、これをノートパソコンと呼ぶ)5のPCカードスロットに挿着されている。第1のアクセスポイント2A及び第2のアクセスポイント2Bと無線通信端末3は、例えば2.4[GHz] 帯で相互にCSMA/CA方式による無線通信を行う。また、アクセスポイント2A及び2Bと認証サーバ4との間は、有線ネットワーク6を介して接続されている。
【0021】
認証サーバ4は無線通信端末5のユーザID及びパスワードを記憶しており、アクセスポイント2A又は2Bを介して、当該無線通信端末5に対する認証を行う。無線通信端末3は、認証サーバ4によって正当なユーザとして認証された場合にのみ、有線ネットワーク6に接続された外部ネットワーク7に対するアクセスが可能になる。そして無線LANシステム1においては、無線通信端末3及びアクセスポイント2A又は2Bを介して、ノートパソコン5と外部ネットワーク7に接続されたパーソナルコンピュータ等の情報処理装置の間でデータ通信を行い得るようになされている。
【0022】
アクセスポイント2A及び2Bは、それぞれ固有の通信可能範囲a及びbを有している。そして無線通信端末3が一方の通信可能範囲から他方へと移動した場合、後述するハンドオフ認証処理に従って、簡易かつ高速にアクセスポイント間のハンドオフを行い得るようになされている。
【0023】
図2は、無線LANシステム1のプロトコルスタックを示し、アクセスポイント2と無線通信端末3の間の低位プロトコルとしてはIEEE802.11(無線LAN)を用いている。その上位プロトコルとしてはIEEE802.1xで定義されるEAPOL(Extensible Authentication Protocol Over LAN )とEAPプロトコルを用い、これを用いて認証を行う。
【0024】
また、アクセスポイント2と認証サーバ4の間の低位プロトコルとしてはIEEE802.3(Ethernet(登録商標))を用い、その上位ではTCP/IP(Transmission Control Protocol/Internet Protocol )を用いたネットワーク/トランスポートレイヤでの通信が行われ、RADIUS(Remote Authentication Dial In User)を用いて認証を行う。
【0025】
(2)アクセスポイント、無線通信端末及び認証サーバの構成
次に、アクセスポイント2、無線通信端末3及び認証サーバの構成4の構成を、それぞれ図3、図4及び図5を用いて説明する。
【0026】
図3に示すようにアクセスポイント2においては、CPU11に対してネットワークインターフェース12、データ処理部13、送受信部14が接続されている。またCPU11には、後述するマスター鍵や通信鍵等の認証に伴う設定値や、各種プログラムを記憶するためのメモリ15と、リアルタイムクロック16が接続されている。CPU11はアクセスポイント通信制御プログラムに従い、アクセスポイント2の各部を統括的に制御する。
【0027】
送受信部14は、無線通信端末3から送信された上りの送信信号をアンテナ17を介して受信して復調し、受信データとしてデータ処理部13に供給する。データ処理部13は受信データの無線フレームを分解し、ネットワークインターフェース12を介して有線ネットワーク6に供給する。
【0028】
またデータ処理部13は、有線ネットワーク5からネットワークインターフェース12を介して供給された無線通信端末3あての送信データを、無線フレームに構成して送受信部14に供給する。送受信部14は送信データを変調して下りの送信信号を生成し、アンテナ17を介して送信する。
【0029】
一方、図4に示すように無線通信端末3においては、CPU21に対してホストインターフェース22、端末側暗号通信手段としてのデータ処理部23及び送受信部24が接続されている。またCPU21には、認証に伴う設定値や各種プログラムを記憶するためのメモリ25と、リアルタイムクロック26とが接続されている。CPU21は端末通信制御プログラムに従い、無線通信端末3の各部を統括的に制御する。
【0030】
送受信部24は、アクセスポイント2から送信された下りの送信信号をアンテナ27を介して受信して復調し、受信データとしてデータ処理部23に供給する。データ処理部23は受信データの無線フレームを分解し、ホストインターフェース22を介してノートパソコン5に供給する。
【0031】
またデータ処理部23は、ノートパソコン5からホストインターフェース22を介して供給されたアクセスポイント2あての送信データを、無線フレームに構成して送受信部24に供給する。送受信部24は送信データを変調して上りの送信信号を生成し、アンテナ27を介して送信する。
【0032】
また、図5に示すように認証サーバ4においては、CPU31に対し、バス35を介してネットワークインターフェース32、認証に伴う設定値や各種プログラムを記憶するための認証情報記憶手段としてのメモリ33、及びリアルタイムクロック34が接続されている。CPU31は認証制御プログラムに従い、無線LANシステム1における認証処理を実行する。
【0033】
(3)無線LANシステムの認証処理
次に、この無線LANシステム1における認証時の通信シーケンスを、図6に示すシーケンスチャートを用いて詳細に説明する。この通信シーケンスは、IEEE802.11の標準的なものである。
【0034】
アクセスポイント2は、ビーコン(Beacon)と呼ばれるIEEE802.11で規定された制御信号を一定間隔で送信している。このビーコンを受信した無線通信端末3は、アクセスポイント2との通信を開始する。
【0035】
上述したようにこの無線LANシステム1においては、認証プロトコルとしてEAPOLを利用する。このEAPOLはEAPパケットと鍵情報とをLAN上で伝送するためのプロトコルであり、実際の認証にはEAP−MD5方式を利用する。
【0036】
まず無線通信端末3は、認証の開始を意味するStart メッセージを、EAPOLパケットに格納し、認証要求としてアクセスポイント2に送信する(すなわち、図6に示す EAPOL[ Start ] )。アクセスポイント2はEAPOLパケットを受信すると、当該パケットに格納されたStart メッセージに従い、EAPプロトコルで規定された16バイトのデータである第1の乱数としてのChallenge をランダムに生成し、これをEAPOLパケットに格納して無線通信端末3に送信する( EAPOL[ EAP[ Challenge ]] )。
【0037】
無線通信端末3はEAPOLパケットを受信すると、当該パケットに格納されたChallenge と、識別番号としてのユーザID及びパスワードを用いてアクセスポイント2に対する応答を作成する。
【0038】
すなわち無線通信端末3は、ユーザID、パスワード及びChallenge を結合したものを、rfc(request for comments) 1321で定義されるMD5関数に入力して16バイトのHash値を生成する。そして無線通信端末3は、ユーザID、第2の乱数としての16バイトの乱数(Nonce )及び生成した応答値としてのHash値(MD5-hash)を、EAPOLパケットに格納してアクセスポイント2に送信する(EAPOL[ EAP[ ID‖ Nonce‖ MD5-hash ]])。
【0039】
アクセスポイント2はEAPOLパケットを受信すると、先に生成して無線通信端末3に送信した Challengeと、当該EAPOLパケットに含まれるデータ群(ユーザID、16バイトの乱数及びHash値)とをまとめ、RADIUSのAuthentication requestパケットに格納して認証サーバ4に送信する(Challenge ‖ ID ‖ Nonce‖ MD5-hash )。
【0040】
認証サーバ4はAuthentication requestパケットを受信すると、無線通信端末3に対する認証を開始する。
【0041】
認証サーバ4のメモリ33には、各ユーザのユーザID及びパスワードを記憶したユーザ管理テーブルが格納されている。認証サーバ4は、ユーザ管理テーブルからAuthentication requestパケットに含まれていたユーザIDのエントリを検索し、当該ユーザIDに対応するパスワードを抽出する。
【0042】
さらに認証サーバ4は、ユーザID、ユーザ管理テーブルから抽出したパスワード、及びChallenge を結合してMD5関数に入力してHash値を生成し、当該生成したHash値と、Authentication requestパケットに含まれていたHash値とを比較する。この2つのHash値が一致した場合、無線通信端末3は無線LANシステム1の正当なユーザであり、一致しない場合は正当なユーザではないと識別できる。
【0043】
このようにして認証サーバ4は無線通信端末3に対する認証を行う。そして無線通信端末3が正当なユーザであると認証した場合、認証サーバ4はPRF(Pseudo Random Function:疑似乱数生成関数)を用いてマスター鍵を生成する。このマスター鍵は通信路を安全に保つためのセッション鍵であり、PRFにはrfc2104で定義されるHMAC(Keyed-Hashing for Message Authentication)関数を使用する。マスター鍵Kは次式によって算出される。
【0044】
K = HMAC(password, "key expansion"‖ Challenge‖ Nonce) ……(1)
【0045】
そして認証サーバ4は、認証結果(認証OK又はNG)及び生成したマスター鍵を、RADIUSのAuthentication response パケットに格納してアクセスポイント2に送信する( OK or NG ‖ K )。ここで、認証サーバ4とアクセスポイント2との間は別途認証されているものとする。またこのとき認証サーバ4は、アクセスポイント2から受信したChallenge を、無線通信端末3のユーザIDに対応付けてユーザ管理テーブルに記憶する。
【0046】
アクセスポイント2はAuthentication response パケットを受信すると、当該パケット内の認証結果をEAPOLパケットに格納して無線通信端末3に送信する。このときアクセスポイント2は、このEAPOLパケットが改ざんされていないことを証明するためのMIC(Message Integrity Code)をマスター鍵を用いて生成し、当該EAPOLパケットに付加する( EAPOL[ EAP[ Success or Failure + MIC ]])。
【0047】
MICは、認証サーバ4から送付されたマスター鍵とEAPOLパケット全体とをHMAC関数に入力したものであり、次式によって算出される。EAPOLパケット内にはMICが含まれるが、当該MICの算出時には、EAPOLパケット内のMICを「0x00」で置き換えて計算する。
【0048】
MIC = HMAC ( K, EAPOLパケット全体) ……(2)
【0049】
一方、無線通信端末3も(1)式を用いてマスター鍵を生成する。そして無線通信端末3はEAPOLパケットを受信すると、(2)式を用いてマスター鍵とEAPOLパケットからMICを算出する。このときも、EAPOLパケット内のMICを「0x00」で置き換えて計算する。そして無線通信端末3は、算出したMICと、受信したEAPOLパケットのMICとを比較することにより、当該EAPOLパケットが正しいものか否かを判定してアクセスポイント2を認証する。
【0050】
かくして、無線通信端末3とアクセスポイント2の双方についての認証が完了する。この後無線通信端末3及びアクセスポイント2は、暗号化通信を行うための通信鍵を双方で生成する。
【0051】
まずアクセスポイント2は、通信鍵を生成するための乱数(random)を生成し、当該 random をEAPOL−KEYメッセージに格納して無線通信端末3に送信する( EAPOL-key[ random ])。このEAPOL−KEYメッセージは、マスター鍵を用いて暗号化されている。そして無線通信端末3及びアクセスポイント2の双方は、当該random、マスター鍵及びマスター鍵生成時に使用した Nonceを用い、次式を用いて通信鍵を生成する。
【0052】
通信鍵 = HMAC ( マスター鍵, "Key expansion" ‖ Nonce‖ random)……(3)
【0053】
そしてこれ以降、無線通信端末3及びアクセスポイント2は、この通信鍵を使ってデータの暗号化やMICの生成(プロトコルデータの場合)を行う。
【0054】
更に無線通信端末3は、アクセスポイント2に帰属するための処理(アソシエーション)を実行する。すなわち無線通信端末3はアクセスポイント2に対してAssociation request を送信する。このとき無線通信端末3は、通信鍵を使って当該Association request を暗号化するとともに認証のためMICを付加する。
【0055】
アクセスポイント2はAssociation request を受信すると、これに付加されたMICを用いて当該Association request を認証し、Association responseを無線通信端末3に返信するとともに、無線通信端末3のネットワーク利用開始を伝えるAccounting Startを認証サーバ4に送信する。以上でアソシエーションが完了し、以降、外部ネットワーク7との通信の際、アクセスポイント2と無線通信端末3の間は通信鍵によって暗号化される。
【0056】
(4)無線LANシステムのハンドオフ処理
次に、本発明の特徴である無線LANシステム1におけるハンドオフ時の通信シーケンスを、図7に示すシーケンスチャートを用いて詳細に説明する。
【0057】
上述したように従来の無線LANシステムにおいては、図6に示した認証処理をハンドオフ毎に全て繰り返すため、ハンドオフに時間がかかっていた。これに対して本発明の無線LANシステム1においては、ハンドオフ時にマスター鍵を生成する際、Hash値の代わりに初回認証時に用いた認証情報を用いることにより、処理負荷の大きいHash値の算出を回避してハンドオフ時の処理量を減らし、高速にハンドオフを実行し得るようになされている。
【0058】
すなわち、本発明を適用したアクセスポイント2から送信されるビーコンには、本発明による高速ハンドオフ機能が有効であるか否かを示すCapability情報が付加されている。無線通信端末3が移動して新たなアクセスポイント2の通信可能範囲に入った場合、当該無線通信端末3は受信したビーコンのCapability情報を参照し、高速ハンドオフが可能であるかを判断する。
【0059】
Capability情報が「無効」である場合、無線通信端末3は図6にしめす認証シーケンスを再度実行する。これに対してCapability情報が「有効」である場合、無線通信端末3は次式を用いて新たなマスター鍵Kを生成する。ここで、Challenge は前回の認証時に使用したものであり、Nonce は今回新たに生成した16バイトの乱数、Timestamp はビーコンに含まれている8バイトの時間情報である。
【0060】
K =HMAC(password, "key expansion" ‖ Challenge‖ Nonce‖Timestamp)……(4)
【0061】
そして無線通信端末3は、高速ハンドオフを要求するRe-startメッセージをEAPOLパケットに格納してアクセスポイント2に送信する。このとき無線通信端末3は、ユーザID、Nonce 及びTimestamp を当該EAPOLパケットに格納するとともに、新たなマスター鍵を用いてMICを生成し、これを当該EAPOLパケットに付加する(EAPOL[ Re-start[ ID ‖ Nonce‖ Timestamp + MIC ]])。
【0062】
EAPOLパケットを受信したアクセスポイント2は、当該パケットに含まれるユーザID、Nonce 及びTimestamp を抽出してRADIUSのAuthenticationrequestパケットに格納し、認証サーバ4に転送する( ID ‖Nonce ‖ Timestamp)。
【0063】
上述したように認証サーバ4のユーザ管理テーブルには、無線通信端末3のユーザIDと、当該ユーザIDに対応するパスワード及びChallenge が対応付けられて記憶されている。認証サーバ4はAuthentication requestパケットを受信すると、当該パケットに格納されたユーザIDのエントリをユーザ管理テーブルから検索し、当該ユーザIDに対応するパスワード及びChallenge を抽出する。
【0064】
そして認証サーバ4は(4)式を用い、当該ユーザ管理テーブルから抽出したパスワード及びChallenge と、Authentication requestパケットに格納されたNonce 及びTimestamp から新たなマスター鍵を生成し、これをRADIUSのAuthentication response パケットに格納してアクセスポイント2に送信する。
【0065】
アクセスポイント2はAuthentication response パケットを受信すると、当該パケットに格納されているマスター鍵を用いて、先に無線通信端末3から受信していたEAPOLパケット(Re-startメッセージ)のMICを算出する。そしてアクセスポイント2は、算出したMICと、EAPOLパケットのMICとを比較することにより、当該EAPOLパケットが正しいものか否かを判定して無線通信端末3を認証する。
【0066】
この後、無線通信端末3及びアクセスポイント2は、図6に示した認証時の通信シーケンスと同様に、通信鍵の生成及びアソシエーションを行う。
【0067】
まずアクセスポイント2は、通信鍵を生成するための乱数(random)を生成し、当該 random をEAPOL−KEYメッセージに格納して無線通信端末3に送信する( EAPOL-key[ random ])。このEAPOL−KEYメッセージは、新たなマスター鍵を用いて暗号化されている。そして無線通信端末3及びアクセスポイント2の双方は、当該random、新たなマスター鍵及び当該新たなマスター鍵生成時に使用した Nonceを用い、(3)式を用いて新たな通信鍵を生成する。
【0068】
そしてこれ以降、無線通信端末3及びアクセスポイント2は、この新たな通信鍵を使ってデータの暗号化やMICの生成を行う。
【0069】
このように本発明の無線LANシステム1においては、初回認証時のChallenge を認証サーバ4に記憶しておき、ハンドオフ時、当該Challenge を用いて無線通信端末3に対する認証を行うことにより、処理負荷の大きいHash計算を回避してハンドオフに要する時間を短縮している。
【0070】
(5)アクセスポイント、無線通信端末及び認証サーバの制御処理
次に、アクセスポイント2、無線通信端末3及び認証サーバ4それぞれの制御処理を、図7〜図11に示すフローチャートを用いて詳細に説明する。
【0071】
まず、アクセスポイント2の通信制御処理について説明する。アクセスポイント2のCPU11は、図7に示すアクセスポイント通信制御処理RT1の開始ステップから入ってステップSP1に移る。ステップSP1においてCPU11は、所定の送信間隔に従ってビーコンを送信した後、次のステップSP2に移って無線通信端末3からの認証を要求するStart メッセージが格納されたEAPOLパケットを待ち受ける。
【0072】
ステップSP2においてStart メッセージが格納されたEAPOLパケットを受信すると、CPU11は図9に示すサブルーチンSRT1の通常認証処理を実行する。
【0073】
すなわちCPU11は、サブルーチンSRT1の開始ステップから入ってステップSP11に移り、Challenge を生成した後これをEAPOLパケットに格納して無線通信端末3に送信し、次のステップSP12に移る。
【0074】
ステップSP12においてCPU11は、無線通信端末3から送信された応答パケットに含まれるユーザID、Nonce 及びHash値を、Authentication requestパケットに格納して認証サーバ4に転送し、次のステップSP13に移る。
【0075】
ステップSP13においてCPU11は、送信したAuthentication requestパケットに対するAuthentication response パケットを受信すると、当該パケットから無線通信端末3についての認証結果及びマスター鍵を取得し、次のステップSP14に移る。
【0076】
ステップSP14においてCPU11は、Authentication response パケットから取得した認証結果に基づき、無線通信端末3に対する認証が成功したか否かを判断する。ステップSP14において無線通信端末3に対する認証が成功したと判断した場合、CPU11はステップSP15に移り、認証成功を示す応答のEAPOLパケットを生成するとともに、当該EAPOLパケットに対してマスター鍵を用いたMICを付加し、次のステップSP17に移る。
【0077】
これに対してステップSP14において無線通信端末3に対する認証が失敗したと判断した場合、CPU11はステップSP16に移り、認証失敗を示す応答のEAPOLパケットを生成するとともに、当該EAPOLパケットに対してマスター鍵を用いたMICを付加し、ステップSP17に移る。
【0078】
そして、ステップSP17においてCPU11は、生成したEAPOLパケットを無線通信端末3に送信し、次のステップSP28で処理を終了して図8に示すアクセスポイント通信制御処理手順RT1のステップSP4に移る。
【0079】
一方、アクセスポイント通信制御処理手順RT1のステップSP2において、認証を要求するEAPOL[ Start ]パケットを受信しなかった場合、CPU11はステップSP3に移り、無線通信端末3からのハンドオフを要求するReStart メッセージを格納したEAPOLパケットを待ち受ける。ステップSP3においてEAPOLパケットを受信しなかった場合、CPU11はステップSP1に戻って再度ビーコンを送信する。
【0080】
これに対して、ステップSP3においてEAPOLパケットを受信すると、CPU11は図10に示すサブルーチンSRT2のハンドオフ認証処理を実行する。
【0081】
すなわちCPU11は、サブルーチンSRT2の開始ステップから入ってステップSP21に移り、無線通信端末3からのReStart メッセージを格納したEAPOLパケットに含まれるユーザID、Nonce 及びTimestamp をAuthenticationrequestパケットに格納して認証サーバ4に転送し、次のステップSP22に移る。
【0082】
ステップSP22においてCPU11は、送信したAuthentication requestパケットに対するAuthentication response パケットを受信すると、当該パケットから新たなマスター鍵を取得し、次のステップSP23に移る。
【0083】
ステップSP23においてCPU11は、取得したマスター鍵を用いて、ReStart メッセージが格納されたEAPOLパケットのMICを算出し、次のステップSP24に移る。そして、ステップSP24においてCPU11は、算出したMICとAuthentication response に付加されたMICとを比較することにより無線通信端末3に対する認証を行う。
【0084】
ステップSP24において、算出したMICとAuthentication response パケットに付加されたMICとが一致し、無線通信端末3に対する認証が成功した場合、CPU11はステップSP25に移り、認証成功を示す応答のEAPOLパケットを生成するとともに、当該EAPOLパケットに対してマスター鍵を用いたMICを付加して次のステップSP27に移る。
【0085】
これに対してステップSP24において、算出したMICとAuthentication response パケットに付加されたMICとが一致せず、無線通信端末3に対する認証が失敗した場合、CPU11はステップSP26に移り、認証失敗を示す応答のEAPOLパケットを生成するとともに、当該EAPOLパケットに対してマスター鍵を用いたMICを付加してステップSP27に移る。
【0086】
そして、ステップSP27においてCPU11は、生成した応答のEAPOLを無線通信端末3に送信し、次のステップSP28で処理を終了して図8に示すアクセスポイント通信制御処理手順RT1のステップSP4に移る。
【0087】
ステップSP4においてCPU11は、無線通信端末3に対する認証の成否を判断する。ステップSP4において、無線通信端末3に対する認証が失敗した場合、CPU11はステップSP1に戻って再度ビーコンを送信する。これに対してステップSP4において、無線通信端末3に対する認証が成功した場合、CPU11は次のステップSP5に移る。
【0088】
CPU11は、ステップSP5においてrandomを生成した後ステップSP6に移り、マスター鍵を用いて当該生成したrandomを暗号化するとともにMICを付加し、次のステップSP7に移る。
【0089】
CPU11は、ステップSP7において暗号化したrandomをEAPOLパケットに格納して無線通信端末3に送信した後、ステップSP8に移り、random、マスター鍵、及び当該マスター鍵に使用した Nonceを用いて通信鍵を生成し、次のステップSP9に移る。
【0090】
そして、ステップSP9においてCPU11はアソシエーション処理を実行し、当該アソシエーションの完了後、データ通信を開始する。
【0091】
次に、無線通信端末3の端末通信制御処理について説明する。無線通信端末3のCPU21は、図10に示す端末通信制御処理RT2の開始ステップから入ってステップSP31に移る。ステップSP31においてCPU21は、アクセスポイント2から送信されるビーコンを待ち受け、当該ビーコンを受信すると次のステップSP32に移る。
【0092】
ステップSP32において、CPU21はハンドオフの実行/非実行を判断する。ステップSP32において、無線通信端末3がまだ認証サーバによる認証を受けていないか、あるいはハンドオフを行わないとCPU21が判断した場合、当該CPU21はステップSP33に移る。
【0093】
ステップSP33においてCPU21は、認証を要求するStart メッセージをEAPOLパケットに格納してアクセスポイント2に対して送信し、次のステップSP34に移る。ステップSP34においてCPU21は、アクセスポイント2から送信されるChallenge が格納されたEAPOLパケットを待ち受け、受信した当該EAPOLパケットからChallenge を取得して次のステップSP35に移る。
【0094】
ステップSP35において、端末側応答値生成手段及び端末側暗号鍵生成手段としてのCPU21は、ユーザID、パスワード及び取得したChallenge を結合してMD5関数に入力することにより応答値としてのHash値を計算するとともに、16バイトの乱数Nonce を生成し、更にパスワード、Challenge 及びNonce を用いてマスター鍵を生成して次のステップSP36に移る。
【0095】
ステップSP36において、認証要求手段としてのCPU21は、ユーザID、Nonce 及びHash値をEAPOLパケットに格納してアクセスポイント2に送信し、次のステップSP37に移る。ステップSP37においてCPU21は、アクセスポイント2から送信される認証結果が格納されたEAPOLパケットを待ち受け、これを受信するとステップSP38に移る。
【0096】
ステップSP38においてCPU21は、受信したEAPOLパケットのMICに基づいて当該パケットの正偽を判断し、当該パケットが不正なものであると判断した場合、ステップSP31に戻って再度ビーコンを待ち受けるのに対し、当該パケットが正当なものであると判断した場合、次のステップSP39に移る。
【0097】
ステップSP39においてCPU21は、当該パケットの認証結果の内容を判断する。そしてCPU21は、当該パケットの認証結果が「認証失敗」である場合、ステップSP31に戻って再度ビーコンを待ち受けるのに対し、当該パケットの認証結果が「認証成功」である場合、次のステップSP40に移る。
【0098】
一方、ステップSP32においてハンドオフを行うとCPU21が判断した場合、当該CPU21はステップSP44に移る。
【0099】
ステップSP44において、端末側暗号鍵生成手段としてのCPU21は、乱数Nonce を新たに生成し、当該Nonce 、前回の認証時に用いたChallenge 及びビーコンに含まれるTimestamp を用いて新たなマスター鍵を生成し、次のステップSP45に移る。
【0100】
ステップSP45においてCPU21は、ハンドオフを要求するRe-StartメッセージをEAPOLパケットに格納するとともに、新たなマスター鍵を用いて当該EAPOLパケットにMICを付加し、次のステップSP46に移る。
【0101】
そしてCPU21は、ステップSP46においてEAPOLパケットを送信した後ステップSP40に移る。
【0102】
ステップSP40においてCPU21は、アクセスポイント2から送信されるrandomが格納されたEAPOLパケットを待ち受け、これを受信すると次のステップSP41に移る。
【0103】
ステップSP41においてCPU21は、受信したEAPOLパケットのMICに基づいて当該パケットの正偽を判断し、当該パケットが不正なものであると判断した場合、ステップSP31に戻って再度ビーコンを待ち受けるのに対し、当該パケットが正当なものであると判断した場合、次のステップSP42に移る。
【0104】
ステップSP42においてCPU21は、受信したEAPOLパケットに格納されたrandom、ステップSP35で生成したマスター鍵、及び当該マスター鍵に使用した Nonceを用いて通信鍵を生成し、次のステップSP43に移る。
【0105】
そして、ステップSP43においてCPU21は生成した通信鍵を用いてアソシエーション処理を実行し、当該アソシエーションの完了後、データ通信を開始する。
【0106】
次に、認証サーバ4の認証制御処理について説明する。認証サーバ4のCPU31は、図12に示す認証制御処理RT3の開始ステップから入ってステップSP51に移る。ステップSP51においてCPU31は、アクセスポイント2からのパケットを待ち受け、当該パケットを受信すると次のステップSP52に移り、受信したパケットの種類を判別する。
【0107】
ステップSP52において、受信したパケットがAuthentication Requestパケットであり、かつchallenge を含んでいる場合、当該パケットは無線通信端末3に対する認証要求であり、このときCPU31はステップSP53に移る。
【0108】
ステップSP53において、サーバ側応答値生成手段としてのCPU31は、受信したAuthentication Requestパケットに含まれているユーザIDに対応するパスワードをユーザ管理テーブルから抽出し、ユーザID、パスワード及び受信したAuthentication Requestパケットに格納されているchallenge を用いて応答値としてのHash値を生成するとともに、パスワード、challenge 及びAuthentication Requestパケットに格納されているNonce を用いてマスター鍵を生成し、次のステップSP54に移る。
【0109】
ステップSP54において、認証手段としてのCPU31は、算出したHash値と、Authentication Requestパケットに格納されているHash値とを比較することにより無線通信端末3に対する認証を行う。
【0110】
ステップSP54において2つのHash値が等しい場合、このことは無線通信端末3が無線LANシステム1の正当なユーザであることを表しており、この時CPU31はステップSP55に移り、認証OKを示す認証結果及びマスター鍵をAuthentication Responce パケットに格納し、ステップSP31に戻る。
【0111】
これに対してSP54において2つのHash値が異なる場合、このことは無線通信端末3が無線LANシステム1の正当なユーザではないことを表しており、この時CPU31はステップSP56に移り、認証NGを示す認証結果及びマスター鍵をAuthentication Responce パケットに格納し、ステップSP31に戻る。
【0112】
一方ステップSP52において、受信したパケットがAuthentication Requestパケットであり、かつTimestamp を含んでいる場合、当該パケットは無線通信端末3によるハンドオフ要求であり、このときCPU31はステップSP57に移る。
【0113】
ステップSP57においてCPU31は、受信したAuthentication Requestパケットに含まれているユーザIDに対応するChallenge をユーザ管理テーブルから抽出し、パスワード、challenge 及びAuthentication Requestパケットに格納されているNonce を用いて新たなマスター鍵を生成して次のステップSP58に移る。
【0114】
そして、ステップSP56においてCPU31は生成した新たなマスター鍵をAuthentication Responce パケットに格納し、ステップSP31に戻る。
【0115】
またステップSP52において、受信したパケットがAuccounting-start パケットである場合、当該パケットは無線通信端末3によるアカウンティング要求であり、このときCPU31はステップSP59に移り、アカウンティング処理を実行した後ステップSP31に戻る。
【0116】
(6)動作及び効果
以上の構成において認証サーバ4は、無線通信端末3に対する認証時、当該無線通信端末3から送信されたChallenge を、パスワードとともにユーザIDに対応付けてメモリ33内のユーザ管理テーブルに記憶しておく。
【0117】
そして無線通信端末3がハンドオフする際、当該無線通信端末3は、パスワード、前回の認証時に使用したChallenge 、新たに生成したNonce 及びビーコンに含まれるTimestamp を用いて新たなマスター鍵を生成する。
【0118】
そして無線通信端末3は、ハンドオフを要求するRe-startメッセージを含むEAPOLパケットにユーザID、Nonce 及びTimestamp を格納するとともに、新たなマスター鍵を用いてMICを生成し、これを当該EAPOLパケットに付加し、ハンドオフ先のアクセスポイント2を介して認証サーバ4に送信する。
【0119】
認証サーバ4は、無線通信端末3から送信されたユーザIDに対応するパスワード及びChallenge をユーザ管理テーブルから検索して取得し、当該取得したパスワード及びChallenge と無線通信端末3から送信されたNonce 及びTimestampから新たなマスター鍵を生成し、これをアクセスポイント2に送信する。
【0120】
アクセスポイント2は認証サーバ4から送信された新たなマスター鍵を用いて、先に無線通信端末3から受信していたEAPOLパケット(Re-startメッセージ)のMICを算出し、当該算出したMICと、EAPOLパケットに付加されていたMICとを比較することにより、当該EAPOLパケットが正しいものか否かを判定して無線通信端末3を認証し、これらが一致した場合、無線通信端末3が無線LANシステム1の正当なユーザであると認証してハンドオフを許可する。
【0121】
以上の構成によれば、無線通信端末3に対する初回認証時に、当該無線通信端末3から送信されたChallenge をパスワードとともにユーザIDに対応付けてユーザ管理テーブルに記憶しておき、無線通信端末3がハンドオフする際、当該無線通信端末3のユーザIDに対応するパスワード及びChallenge をユーザ管理テーブルから取得してこれを用いて新たなマスター鍵を生成し、当該新たなマスター鍵を用いてアクセスポイントで認証を行うようにしたことにより、処理負荷の大きいHash計算を省くとともに認証に伴うやりとりを削減し、これによりハンドオフに要する時間を短縮することができる。
【0122】
またハンドオフ時、アクセスポイント2から送信されるビーコンのTimestampを用いてマスター鍵を生成することにより、悪意ある第3者がパケットを傍受して再送することによるハッキングを防止することができる。
【0123】
(7)他の実施の形態
なお、上述の実施の形態においては、無線通信端末としてPCカード型の無線LANカードに本発明を適用した場合について述べたが、本発明はこれに限らず、例えばUSB(Universal Serial Bus)接続等の外付け型無線LAN端末や、あるいはノートパソコン等の情報処理装置に一体で内蔵された無線LAN端末に本発明を適用してもよい。
【0124】
また上述の実施の形態においては、アクセスポイント2、無線通信端末3及び認証サーバ4が、それぞれのメモリに記憶されている制御プログラムに従ってそれぞれの制御処理を実行するようにしたが、本発明はこれに限らず、上述したプログラムが格納されているプログラム格納媒体をインストールすることにより、上述の各制御処理を実行するようにしてもよい。
【0125】
この場合、上述したプログラムをインストールするためのプログラム格納媒体としては、例えばCD−ROM(Compact Disk-Read Only Memory )やDVD(Digital Versatile Disk)等のパッケージメディアのみならず、プログラムが一時的又は永続的に格納される半導体メモリや磁気ディスク等で実現しても良い。また、これらプログラム格納媒体にプログラムを格納する手段としては、ローカルエリアネットワークやインターネット、ディジタル衛星放送等の有線及び無線通信媒体を用いても良い。
【0126】
【発明の効果】
上述のように本発明によれば、無線通信端末に対する初回認証時に、当該無線通信端末から送信された乱数をパスワードとともに識別番号に対応付けて認証情報記憶手段に記憶しておき、無線通信端末がハンドオフする際、当該無線通信端末の識別番号に対応するパスワード及び乱数を取得して新たな暗号鍵を生成するとともに、無線通信端末でも新たな暗号鍵を生成し、この2つの暗号鍵に基づいてアクセスポイントで認証を行うようにしたことにより、認証に伴う処理及びやりとりを削減し、これにより簡易な手順で高速にアクセスポイント間のハンドオフを実行することができる。
【図面の簡単な説明】
【図1】本発明の一実施の形態による無線LANシステムの全体構成を示す略線図である。
【図2】無線LANシステムのプロトコルスタックを示す図である。
【図3】アクセスポイントの回路構成を示すブロツク図である。
【図4】無線通信端末の回路構成を示すブロツク図である。
【図5】認証サーバの回路構成を示すブロツク図である。
【図6】認証時の通信シーケンスを示すシーケンスチャートである。
【図7】ハンドオフ時の通信シーケンスを示すシーケンスチャートである。
【図8】アクセスポイント通信制御処理手順を示すフローチャートである。
【図9】通常認証処理手順を示すフローチャートである。
【図10】ハンドオフ認証処理手順を示すフローチャートである。
【図11】端末通信制御処理手順を示すフローチャートである。
【図12】認証制御処理手順を示すフローチャートである。
【符号の説明】
1……無線LANシステム、2……アクセスポイント、3……無線通信端末、、4……認証サーバ、5……ノートパソコン、6……有線ネットワーク、7……外部ネットワーク、11、21、31……CPU、12、32……ネットワークインターフェース、13、23……データ処理部、14、24……送受信部、15、26、33……メモリ、16、26、34……リアルタイムクロック、17、27……アンテナ、35……バス。
【発明の属する技術分野】
本発明は無線通信システムに関し、例えば複数のアクセスポイントの間でハンドオフを行い得るようになされた無線LANシステムに適用して好適なものである。
【0002】
【従来の技術】
従来、無線LANシステム等の各種通信システムにおいて、端末の正当性を確認するための認証が一般的に行われている。
【0003】
例えば、ある端末がアクセスポイントを経由して通信を行おうとする場合、当該アクセスポイントは、正当なユーザのみに対して利用を許可するため端末に対して認証を行う。また端末は、正当なアクセスポイントのみを利用するためアクセスポイントに対して認証を行うこともある。この場合、端末とアクセスポイントの相互で認証を行うことになる。
【0004】
この認証方式には様々なものがある。例えば、端末にパスワードを用意しておき、これをアクセスポイントに送付することにより正当な端末であることを伝えるPAP(Password Authentication Protocol)や、パスワードを利用してデータを暗号化して認証するCHAP(Challenge Handshake Authentication Protocol )、RSA(Rivest Shamir Adleman )やECC(Eliptic Curve Cryptography)を用いた公開暗号鍵方式を利用するTLS(Transport Layer Security)プロトコル等の認証方式が広く用いられている。
【0005】
ここで、PAPはパスワードが通信路に平文で流される(無暗号化)ため、安全性を考慮すると、電話回線のような秘匿性が保証された通信路でしか利用できない。これに対してCHAPやTLSプロトコルはパスワードが暗号化されるため、インターネットや無線LANのような通信内容の秘匿性が保証されない通信路での利用が可能である。
【0006】
しかしながらCHAPやTLSプロトコルは、端末とアクセスポイントの間のデータのやりとりが多く、また処理に要する計算量が多いため処理時間が長くなるという欠点がある。特に、TLSプロトコルはCHAPに比べて強固であるが、その分計算量も多く長い処理時間を要する。しかし、パーソナルコンピュータ等の情報処理装置の処理能力向上もあり、今後は主としてTLSプロトコルが利用されると考えられている。
【0007】
無線通信システムにおいては、これらの認証方式を利用して端末(及びアクセスポイント)を認証するとともに、鍵を第三者に知られないようにして生成する。この鍵は、以降の通信においてデータを暗号化したり、データが改ざんされていないことを保証するために利用される。
【0008】
ここで、無線LANシステムのアクセスポイントはその通信可能範囲が比較的狭いため、アクセスポイントを複数設置して、無線LANシステム全体の通信可能範囲を拡大することが行われている。
【0009】
このような複数のアクセスポイントを有する無線LANシステムにおいて、端末が第1のアクセスポイントの通信可能範囲から第2のアクセスポイントの通信可能範囲に移動した場合、当該端末は第1のアクセスポイントとの通信接続を終了して移動先の第2のアクセスポイントとの通信接続を開始することにより、異なるアクセスポイント間に渡って継続して通信を行う。かかるアクセスポイント間に渡る通信接続の切替えをハンドオフと呼ぶ(例えば、特許文献1参照)。
【0010】
【特許文献1】
特開2001−258059公報
【0011】
【発明が解決しようとする課題】
上述したようにハンドオフに際しては、当該ハンドオフ毎に再度認証を繰り返す。ところが上述したように認証処理に複雑な手順が必要であり、ハンドオフに時間がかかる。このため、ハンドオフを行うことによって実質的な伝送速度が落ちてしまうとともに、多数の端末が同時にハンドオフを行った場合、認証サーバの負荷が増大してしまうという問題があった。
【0012】
本発明は以上の点を考慮してなされたもので、簡易な手順で高速にアクセスポイント間のハンドオフを実行し得る無線通信システムを提案しようとするものである。
【0013】
【課題を解決するための手段】
かかる課題を解決するため本発明においては、無線通信端末と、当該無線通信端末に対する認証を行う認証サーバと、無線通信端末との間で無線を介した通信を行い、当該無線通信端末と外部ネットワークとの間及び認証サーバとの間の通信を中継する複数のアクセスポイントとからなる無線通信システムにおいて、無線通信端末に、アクセスポイントから送信される第1の乱数、当該無線通信端末固有の識別番号及びパスワードから応答値を生成する端末側応答値生成手段と、生成した第2の乱数、識別番号及び応答値を認証要求に格納して認証サーバに送信する認証要求手段と、パスワード、第1の乱数及び第2の乱数から暗号鍵を生成する端末側暗号鍵生成手段と、当該生成した暗号鍵を用いて暗号化通信を行う端末側暗号通信手段とを設けた。
【0014】
また認証サーバに、無線通信システムに所属する全ての無線通信端末それぞれの識別番号及びパスワードを対応付けて記憶する認証情報記憶手段と、無線通信端末から送信された識別番号に対応するパスワードを識別情報記憶手段から取得し、当該取得したパスワード、無線通信端末から送信された識別番号及びアクセスポイントから送信された第1の乱数から応答値を生成するサーバ側応答値生成手段と、サーバ側応答値生成手段で生成した上記応答値と上記無線通信端末から送信された上記応答値とを比較し、これらが一致したとき、当該無線通信端末が当該無線通信システムの正当なユーザであるとして認証するとともに、上記第1の乱数を当該無線通信端末の識別番号に対応付けて上記認証情報記憶手段に記憶する認証手段を設けた。
【0015】
そして、無線通信端末が第1のアクセスポイントから第2のアクセスポイントにハンドオフする際、無線通信端末の認証要求手段は、識別番号、新たに生成した第2の乱数及び第2のアクセスポイントから送信される時間情報を含むハンドオフ要求を生成するとともに、パスワード、第1の乱数、新たな第2の乱数及び時間情報から新たな暗号鍵を生成し、当該新たな暗号鍵とハンドオフ要求とから当該ハンドオフ要求の改ざんを防止する改ざん防止情報を生成し、当該改ざん防止情報を当該ハンドオフ要求に付加し第2のアクセスポイントを介して認証サーバに送信するようにした。また認証サーバの認証手段は、ハンドオフ要求に含まれる識別番号に対応するパスワード及び第1の乱数を認証情報記憶手段から取得し、当該取得したパスワード及び第1の乱数、ハンドオフ要求に含まれる第2の乱数及び時間情報から新たな暗号鍵を生成して第2のアクセスポイントに送信するようにした。
【0016】
そして、第2のアクセスポイントは、認証サーバから送信された新たな暗号鍵とハンドオフ要求とから改ざん防止情報を生成し、当該生成した改ざん防止情報とハンドオフ要求に付加された改ざん防止情報とが一致したとき、無線通信端末が無線通信システムの正当なユーザであるとして認証してハンドオフを許可するようにした。
【0017】
初回認証時、無線通信端末の識別番号に対応付けて第1の乱数を認証情報記憶手段に記憶しておく。そして無線通信端末のハンドオフ時、当該無線通信端末から送信された識別番号に基づいて認証情報記憶手段からパスワード及び第1の乱数を取得して新たな暗号鍵を生成するとともに、無線通信端末でも新たな暗号鍵を生成し、この2つの暗号鍵に基づいてハンドオフ先のアクセスポイントが無線通信端末の認証を行うようにしたことにより、応答値の算出処理を省いて認証手順を簡略化し、これにより簡易な手順で高速にアクセスポイント間のハンドオフを実行することができる。
【0018】
【発明の実施の形態】
以下図面について、本発明の一実施の形態を詳述する。
【0019】
(1)無線LANシステムの全体構成
図1において、1は全体として本発明による無線LAN通信システムとしての無線LANシステムを示し、無線通信基地局としての2つのアクセスポイント2(2A、2B)、無線通信端末3、及び認証装置としての認証サーバ4で構成される。
【0020】
実際上、無線通信端末3はPCカード型の無線LANカードであり、ノートブック型パーソナルコンピュータ(以下、これをノートパソコンと呼ぶ)5のPCカードスロットに挿着されている。第1のアクセスポイント2A及び第2のアクセスポイント2Bと無線通信端末3は、例えば2.4[GHz] 帯で相互にCSMA/CA方式による無線通信を行う。また、アクセスポイント2A及び2Bと認証サーバ4との間は、有線ネットワーク6を介して接続されている。
【0021】
認証サーバ4は無線通信端末5のユーザID及びパスワードを記憶しており、アクセスポイント2A又は2Bを介して、当該無線通信端末5に対する認証を行う。無線通信端末3は、認証サーバ4によって正当なユーザとして認証された場合にのみ、有線ネットワーク6に接続された外部ネットワーク7に対するアクセスが可能になる。そして無線LANシステム1においては、無線通信端末3及びアクセスポイント2A又は2Bを介して、ノートパソコン5と外部ネットワーク7に接続されたパーソナルコンピュータ等の情報処理装置の間でデータ通信を行い得るようになされている。
【0022】
アクセスポイント2A及び2Bは、それぞれ固有の通信可能範囲a及びbを有している。そして無線通信端末3が一方の通信可能範囲から他方へと移動した場合、後述するハンドオフ認証処理に従って、簡易かつ高速にアクセスポイント間のハンドオフを行い得るようになされている。
【0023】
図2は、無線LANシステム1のプロトコルスタックを示し、アクセスポイント2と無線通信端末3の間の低位プロトコルとしてはIEEE802.11(無線LAN)を用いている。その上位プロトコルとしてはIEEE802.1xで定義されるEAPOL(Extensible Authentication Protocol Over LAN )とEAPプロトコルを用い、これを用いて認証を行う。
【0024】
また、アクセスポイント2と認証サーバ4の間の低位プロトコルとしてはIEEE802.3(Ethernet(登録商標))を用い、その上位ではTCP/IP(Transmission Control Protocol/Internet Protocol )を用いたネットワーク/トランスポートレイヤでの通信が行われ、RADIUS(Remote Authentication Dial In User)を用いて認証を行う。
【0025】
(2)アクセスポイント、無線通信端末及び認証サーバの構成
次に、アクセスポイント2、無線通信端末3及び認証サーバの構成4の構成を、それぞれ図3、図4及び図5を用いて説明する。
【0026】
図3に示すようにアクセスポイント2においては、CPU11に対してネットワークインターフェース12、データ処理部13、送受信部14が接続されている。またCPU11には、後述するマスター鍵や通信鍵等の認証に伴う設定値や、各種プログラムを記憶するためのメモリ15と、リアルタイムクロック16が接続されている。CPU11はアクセスポイント通信制御プログラムに従い、アクセスポイント2の各部を統括的に制御する。
【0027】
送受信部14は、無線通信端末3から送信された上りの送信信号をアンテナ17を介して受信して復調し、受信データとしてデータ処理部13に供給する。データ処理部13は受信データの無線フレームを分解し、ネットワークインターフェース12を介して有線ネットワーク6に供給する。
【0028】
またデータ処理部13は、有線ネットワーク5からネットワークインターフェース12を介して供給された無線通信端末3あての送信データを、無線フレームに構成して送受信部14に供給する。送受信部14は送信データを変調して下りの送信信号を生成し、アンテナ17を介して送信する。
【0029】
一方、図4に示すように無線通信端末3においては、CPU21に対してホストインターフェース22、端末側暗号通信手段としてのデータ処理部23及び送受信部24が接続されている。またCPU21には、認証に伴う設定値や各種プログラムを記憶するためのメモリ25と、リアルタイムクロック26とが接続されている。CPU21は端末通信制御プログラムに従い、無線通信端末3の各部を統括的に制御する。
【0030】
送受信部24は、アクセスポイント2から送信された下りの送信信号をアンテナ27を介して受信して復調し、受信データとしてデータ処理部23に供給する。データ処理部23は受信データの無線フレームを分解し、ホストインターフェース22を介してノートパソコン5に供給する。
【0031】
またデータ処理部23は、ノートパソコン5からホストインターフェース22を介して供給されたアクセスポイント2あての送信データを、無線フレームに構成して送受信部24に供給する。送受信部24は送信データを変調して上りの送信信号を生成し、アンテナ27を介して送信する。
【0032】
また、図5に示すように認証サーバ4においては、CPU31に対し、バス35を介してネットワークインターフェース32、認証に伴う設定値や各種プログラムを記憶するための認証情報記憶手段としてのメモリ33、及びリアルタイムクロック34が接続されている。CPU31は認証制御プログラムに従い、無線LANシステム1における認証処理を実行する。
【0033】
(3)無線LANシステムの認証処理
次に、この無線LANシステム1における認証時の通信シーケンスを、図6に示すシーケンスチャートを用いて詳細に説明する。この通信シーケンスは、IEEE802.11の標準的なものである。
【0034】
アクセスポイント2は、ビーコン(Beacon)と呼ばれるIEEE802.11で規定された制御信号を一定間隔で送信している。このビーコンを受信した無線通信端末3は、アクセスポイント2との通信を開始する。
【0035】
上述したようにこの無線LANシステム1においては、認証プロトコルとしてEAPOLを利用する。このEAPOLはEAPパケットと鍵情報とをLAN上で伝送するためのプロトコルであり、実際の認証にはEAP−MD5方式を利用する。
【0036】
まず無線通信端末3は、認証の開始を意味するStart メッセージを、EAPOLパケットに格納し、認証要求としてアクセスポイント2に送信する(すなわち、図6に示す EAPOL[ Start ] )。アクセスポイント2はEAPOLパケットを受信すると、当該パケットに格納されたStart メッセージに従い、EAPプロトコルで規定された16バイトのデータである第1の乱数としてのChallenge をランダムに生成し、これをEAPOLパケットに格納して無線通信端末3に送信する( EAPOL[ EAP[ Challenge ]] )。
【0037】
無線通信端末3はEAPOLパケットを受信すると、当該パケットに格納されたChallenge と、識別番号としてのユーザID及びパスワードを用いてアクセスポイント2に対する応答を作成する。
【0038】
すなわち無線通信端末3は、ユーザID、パスワード及びChallenge を結合したものを、rfc(request for comments) 1321で定義されるMD5関数に入力して16バイトのHash値を生成する。そして無線通信端末3は、ユーザID、第2の乱数としての16バイトの乱数(Nonce )及び生成した応答値としてのHash値(MD5-hash)を、EAPOLパケットに格納してアクセスポイント2に送信する(EAPOL[ EAP[ ID‖ Nonce‖ MD5-hash ]])。
【0039】
アクセスポイント2はEAPOLパケットを受信すると、先に生成して無線通信端末3に送信した Challengeと、当該EAPOLパケットに含まれるデータ群(ユーザID、16バイトの乱数及びHash値)とをまとめ、RADIUSのAuthentication requestパケットに格納して認証サーバ4に送信する(Challenge ‖ ID ‖ Nonce‖ MD5-hash )。
【0040】
認証サーバ4はAuthentication requestパケットを受信すると、無線通信端末3に対する認証を開始する。
【0041】
認証サーバ4のメモリ33には、各ユーザのユーザID及びパスワードを記憶したユーザ管理テーブルが格納されている。認証サーバ4は、ユーザ管理テーブルからAuthentication requestパケットに含まれていたユーザIDのエントリを検索し、当該ユーザIDに対応するパスワードを抽出する。
【0042】
さらに認証サーバ4は、ユーザID、ユーザ管理テーブルから抽出したパスワード、及びChallenge を結合してMD5関数に入力してHash値を生成し、当該生成したHash値と、Authentication requestパケットに含まれていたHash値とを比較する。この2つのHash値が一致した場合、無線通信端末3は無線LANシステム1の正当なユーザであり、一致しない場合は正当なユーザではないと識別できる。
【0043】
このようにして認証サーバ4は無線通信端末3に対する認証を行う。そして無線通信端末3が正当なユーザであると認証した場合、認証サーバ4はPRF(Pseudo Random Function:疑似乱数生成関数)を用いてマスター鍵を生成する。このマスター鍵は通信路を安全に保つためのセッション鍵であり、PRFにはrfc2104で定義されるHMAC(Keyed-Hashing for Message Authentication)関数を使用する。マスター鍵Kは次式によって算出される。
【0044】
K = HMAC(password, "key expansion"‖ Challenge‖ Nonce) ……(1)
【0045】
そして認証サーバ4は、認証結果(認証OK又はNG)及び生成したマスター鍵を、RADIUSのAuthentication response パケットに格納してアクセスポイント2に送信する( OK or NG ‖ K )。ここで、認証サーバ4とアクセスポイント2との間は別途認証されているものとする。またこのとき認証サーバ4は、アクセスポイント2から受信したChallenge を、無線通信端末3のユーザIDに対応付けてユーザ管理テーブルに記憶する。
【0046】
アクセスポイント2はAuthentication response パケットを受信すると、当該パケット内の認証結果をEAPOLパケットに格納して無線通信端末3に送信する。このときアクセスポイント2は、このEAPOLパケットが改ざんされていないことを証明するためのMIC(Message Integrity Code)をマスター鍵を用いて生成し、当該EAPOLパケットに付加する( EAPOL[ EAP[ Success or Failure + MIC ]])。
【0047】
MICは、認証サーバ4から送付されたマスター鍵とEAPOLパケット全体とをHMAC関数に入力したものであり、次式によって算出される。EAPOLパケット内にはMICが含まれるが、当該MICの算出時には、EAPOLパケット内のMICを「0x00」で置き換えて計算する。
【0048】
MIC = HMAC ( K, EAPOLパケット全体) ……(2)
【0049】
一方、無線通信端末3も(1)式を用いてマスター鍵を生成する。そして無線通信端末3はEAPOLパケットを受信すると、(2)式を用いてマスター鍵とEAPOLパケットからMICを算出する。このときも、EAPOLパケット内のMICを「0x00」で置き換えて計算する。そして無線通信端末3は、算出したMICと、受信したEAPOLパケットのMICとを比較することにより、当該EAPOLパケットが正しいものか否かを判定してアクセスポイント2を認証する。
【0050】
かくして、無線通信端末3とアクセスポイント2の双方についての認証が完了する。この後無線通信端末3及びアクセスポイント2は、暗号化通信を行うための通信鍵を双方で生成する。
【0051】
まずアクセスポイント2は、通信鍵を生成するための乱数(random)を生成し、当該 random をEAPOL−KEYメッセージに格納して無線通信端末3に送信する( EAPOL-key[ random ])。このEAPOL−KEYメッセージは、マスター鍵を用いて暗号化されている。そして無線通信端末3及びアクセスポイント2の双方は、当該random、マスター鍵及びマスター鍵生成時に使用した Nonceを用い、次式を用いて通信鍵を生成する。
【0052】
通信鍵 = HMAC ( マスター鍵, "Key expansion" ‖ Nonce‖ random)……(3)
【0053】
そしてこれ以降、無線通信端末3及びアクセスポイント2は、この通信鍵を使ってデータの暗号化やMICの生成(プロトコルデータの場合)を行う。
【0054】
更に無線通信端末3は、アクセスポイント2に帰属するための処理(アソシエーション)を実行する。すなわち無線通信端末3はアクセスポイント2に対してAssociation request を送信する。このとき無線通信端末3は、通信鍵を使って当該Association request を暗号化するとともに認証のためMICを付加する。
【0055】
アクセスポイント2はAssociation request を受信すると、これに付加されたMICを用いて当該Association request を認証し、Association responseを無線通信端末3に返信するとともに、無線通信端末3のネットワーク利用開始を伝えるAccounting Startを認証サーバ4に送信する。以上でアソシエーションが完了し、以降、外部ネットワーク7との通信の際、アクセスポイント2と無線通信端末3の間は通信鍵によって暗号化される。
【0056】
(4)無線LANシステムのハンドオフ処理
次に、本発明の特徴である無線LANシステム1におけるハンドオフ時の通信シーケンスを、図7に示すシーケンスチャートを用いて詳細に説明する。
【0057】
上述したように従来の無線LANシステムにおいては、図6に示した認証処理をハンドオフ毎に全て繰り返すため、ハンドオフに時間がかかっていた。これに対して本発明の無線LANシステム1においては、ハンドオフ時にマスター鍵を生成する際、Hash値の代わりに初回認証時に用いた認証情報を用いることにより、処理負荷の大きいHash値の算出を回避してハンドオフ時の処理量を減らし、高速にハンドオフを実行し得るようになされている。
【0058】
すなわち、本発明を適用したアクセスポイント2から送信されるビーコンには、本発明による高速ハンドオフ機能が有効であるか否かを示すCapability情報が付加されている。無線通信端末3が移動して新たなアクセスポイント2の通信可能範囲に入った場合、当該無線通信端末3は受信したビーコンのCapability情報を参照し、高速ハンドオフが可能であるかを判断する。
【0059】
Capability情報が「無効」である場合、無線通信端末3は図6にしめす認証シーケンスを再度実行する。これに対してCapability情報が「有効」である場合、無線通信端末3は次式を用いて新たなマスター鍵Kを生成する。ここで、Challenge は前回の認証時に使用したものであり、Nonce は今回新たに生成した16バイトの乱数、Timestamp はビーコンに含まれている8バイトの時間情報である。
【0060】
K =HMAC(password, "key expansion" ‖ Challenge‖ Nonce‖Timestamp)……(4)
【0061】
そして無線通信端末3は、高速ハンドオフを要求するRe-startメッセージをEAPOLパケットに格納してアクセスポイント2に送信する。このとき無線通信端末3は、ユーザID、Nonce 及びTimestamp を当該EAPOLパケットに格納するとともに、新たなマスター鍵を用いてMICを生成し、これを当該EAPOLパケットに付加する(EAPOL[ Re-start[ ID ‖ Nonce‖ Timestamp + MIC ]])。
【0062】
EAPOLパケットを受信したアクセスポイント2は、当該パケットに含まれるユーザID、Nonce 及びTimestamp を抽出してRADIUSのAuthenticationrequestパケットに格納し、認証サーバ4に転送する( ID ‖Nonce ‖ Timestamp)。
【0063】
上述したように認証サーバ4のユーザ管理テーブルには、無線通信端末3のユーザIDと、当該ユーザIDに対応するパスワード及びChallenge が対応付けられて記憶されている。認証サーバ4はAuthentication requestパケットを受信すると、当該パケットに格納されたユーザIDのエントリをユーザ管理テーブルから検索し、当該ユーザIDに対応するパスワード及びChallenge を抽出する。
【0064】
そして認証サーバ4は(4)式を用い、当該ユーザ管理テーブルから抽出したパスワード及びChallenge と、Authentication requestパケットに格納されたNonce 及びTimestamp から新たなマスター鍵を生成し、これをRADIUSのAuthentication response パケットに格納してアクセスポイント2に送信する。
【0065】
アクセスポイント2はAuthentication response パケットを受信すると、当該パケットに格納されているマスター鍵を用いて、先に無線通信端末3から受信していたEAPOLパケット(Re-startメッセージ)のMICを算出する。そしてアクセスポイント2は、算出したMICと、EAPOLパケットのMICとを比較することにより、当該EAPOLパケットが正しいものか否かを判定して無線通信端末3を認証する。
【0066】
この後、無線通信端末3及びアクセスポイント2は、図6に示した認証時の通信シーケンスと同様に、通信鍵の生成及びアソシエーションを行う。
【0067】
まずアクセスポイント2は、通信鍵を生成するための乱数(random)を生成し、当該 random をEAPOL−KEYメッセージに格納して無線通信端末3に送信する( EAPOL-key[ random ])。このEAPOL−KEYメッセージは、新たなマスター鍵を用いて暗号化されている。そして無線通信端末3及びアクセスポイント2の双方は、当該random、新たなマスター鍵及び当該新たなマスター鍵生成時に使用した Nonceを用い、(3)式を用いて新たな通信鍵を生成する。
【0068】
そしてこれ以降、無線通信端末3及びアクセスポイント2は、この新たな通信鍵を使ってデータの暗号化やMICの生成を行う。
【0069】
このように本発明の無線LANシステム1においては、初回認証時のChallenge を認証サーバ4に記憶しておき、ハンドオフ時、当該Challenge を用いて無線通信端末3に対する認証を行うことにより、処理負荷の大きいHash計算を回避してハンドオフに要する時間を短縮している。
【0070】
(5)アクセスポイント、無線通信端末及び認証サーバの制御処理
次に、アクセスポイント2、無線通信端末3及び認証サーバ4それぞれの制御処理を、図7〜図11に示すフローチャートを用いて詳細に説明する。
【0071】
まず、アクセスポイント2の通信制御処理について説明する。アクセスポイント2のCPU11は、図7に示すアクセスポイント通信制御処理RT1の開始ステップから入ってステップSP1に移る。ステップSP1においてCPU11は、所定の送信間隔に従ってビーコンを送信した後、次のステップSP2に移って無線通信端末3からの認証を要求するStart メッセージが格納されたEAPOLパケットを待ち受ける。
【0072】
ステップSP2においてStart メッセージが格納されたEAPOLパケットを受信すると、CPU11は図9に示すサブルーチンSRT1の通常認証処理を実行する。
【0073】
すなわちCPU11は、サブルーチンSRT1の開始ステップから入ってステップSP11に移り、Challenge を生成した後これをEAPOLパケットに格納して無線通信端末3に送信し、次のステップSP12に移る。
【0074】
ステップSP12においてCPU11は、無線通信端末3から送信された応答パケットに含まれるユーザID、Nonce 及びHash値を、Authentication requestパケットに格納して認証サーバ4に転送し、次のステップSP13に移る。
【0075】
ステップSP13においてCPU11は、送信したAuthentication requestパケットに対するAuthentication response パケットを受信すると、当該パケットから無線通信端末3についての認証結果及びマスター鍵を取得し、次のステップSP14に移る。
【0076】
ステップSP14においてCPU11は、Authentication response パケットから取得した認証結果に基づき、無線通信端末3に対する認証が成功したか否かを判断する。ステップSP14において無線通信端末3に対する認証が成功したと判断した場合、CPU11はステップSP15に移り、認証成功を示す応答のEAPOLパケットを生成するとともに、当該EAPOLパケットに対してマスター鍵を用いたMICを付加し、次のステップSP17に移る。
【0077】
これに対してステップSP14において無線通信端末3に対する認証が失敗したと判断した場合、CPU11はステップSP16に移り、認証失敗を示す応答のEAPOLパケットを生成するとともに、当該EAPOLパケットに対してマスター鍵を用いたMICを付加し、ステップSP17に移る。
【0078】
そして、ステップSP17においてCPU11は、生成したEAPOLパケットを無線通信端末3に送信し、次のステップSP28で処理を終了して図8に示すアクセスポイント通信制御処理手順RT1のステップSP4に移る。
【0079】
一方、アクセスポイント通信制御処理手順RT1のステップSP2において、認証を要求するEAPOL[ Start ]パケットを受信しなかった場合、CPU11はステップSP3に移り、無線通信端末3からのハンドオフを要求するReStart メッセージを格納したEAPOLパケットを待ち受ける。ステップSP3においてEAPOLパケットを受信しなかった場合、CPU11はステップSP1に戻って再度ビーコンを送信する。
【0080】
これに対して、ステップSP3においてEAPOLパケットを受信すると、CPU11は図10に示すサブルーチンSRT2のハンドオフ認証処理を実行する。
【0081】
すなわちCPU11は、サブルーチンSRT2の開始ステップから入ってステップSP21に移り、無線通信端末3からのReStart メッセージを格納したEAPOLパケットに含まれるユーザID、Nonce 及びTimestamp をAuthenticationrequestパケットに格納して認証サーバ4に転送し、次のステップSP22に移る。
【0082】
ステップSP22においてCPU11は、送信したAuthentication requestパケットに対するAuthentication response パケットを受信すると、当該パケットから新たなマスター鍵を取得し、次のステップSP23に移る。
【0083】
ステップSP23においてCPU11は、取得したマスター鍵を用いて、ReStart メッセージが格納されたEAPOLパケットのMICを算出し、次のステップSP24に移る。そして、ステップSP24においてCPU11は、算出したMICとAuthentication response に付加されたMICとを比較することにより無線通信端末3に対する認証を行う。
【0084】
ステップSP24において、算出したMICとAuthentication response パケットに付加されたMICとが一致し、無線通信端末3に対する認証が成功した場合、CPU11はステップSP25に移り、認証成功を示す応答のEAPOLパケットを生成するとともに、当該EAPOLパケットに対してマスター鍵を用いたMICを付加して次のステップSP27に移る。
【0085】
これに対してステップSP24において、算出したMICとAuthentication response パケットに付加されたMICとが一致せず、無線通信端末3に対する認証が失敗した場合、CPU11はステップSP26に移り、認証失敗を示す応答のEAPOLパケットを生成するとともに、当該EAPOLパケットに対してマスター鍵を用いたMICを付加してステップSP27に移る。
【0086】
そして、ステップSP27においてCPU11は、生成した応答のEAPOLを無線通信端末3に送信し、次のステップSP28で処理を終了して図8に示すアクセスポイント通信制御処理手順RT1のステップSP4に移る。
【0087】
ステップSP4においてCPU11は、無線通信端末3に対する認証の成否を判断する。ステップSP4において、無線通信端末3に対する認証が失敗した場合、CPU11はステップSP1に戻って再度ビーコンを送信する。これに対してステップSP4において、無線通信端末3に対する認証が成功した場合、CPU11は次のステップSP5に移る。
【0088】
CPU11は、ステップSP5においてrandomを生成した後ステップSP6に移り、マスター鍵を用いて当該生成したrandomを暗号化するとともにMICを付加し、次のステップSP7に移る。
【0089】
CPU11は、ステップSP7において暗号化したrandomをEAPOLパケットに格納して無線通信端末3に送信した後、ステップSP8に移り、random、マスター鍵、及び当該マスター鍵に使用した Nonceを用いて通信鍵を生成し、次のステップSP9に移る。
【0090】
そして、ステップSP9においてCPU11はアソシエーション処理を実行し、当該アソシエーションの完了後、データ通信を開始する。
【0091】
次に、無線通信端末3の端末通信制御処理について説明する。無線通信端末3のCPU21は、図10に示す端末通信制御処理RT2の開始ステップから入ってステップSP31に移る。ステップSP31においてCPU21は、アクセスポイント2から送信されるビーコンを待ち受け、当該ビーコンを受信すると次のステップSP32に移る。
【0092】
ステップSP32において、CPU21はハンドオフの実行/非実行を判断する。ステップSP32において、無線通信端末3がまだ認証サーバによる認証を受けていないか、あるいはハンドオフを行わないとCPU21が判断した場合、当該CPU21はステップSP33に移る。
【0093】
ステップSP33においてCPU21は、認証を要求するStart メッセージをEAPOLパケットに格納してアクセスポイント2に対して送信し、次のステップSP34に移る。ステップSP34においてCPU21は、アクセスポイント2から送信されるChallenge が格納されたEAPOLパケットを待ち受け、受信した当該EAPOLパケットからChallenge を取得して次のステップSP35に移る。
【0094】
ステップSP35において、端末側応答値生成手段及び端末側暗号鍵生成手段としてのCPU21は、ユーザID、パスワード及び取得したChallenge を結合してMD5関数に入力することにより応答値としてのHash値を計算するとともに、16バイトの乱数Nonce を生成し、更にパスワード、Challenge 及びNonce を用いてマスター鍵を生成して次のステップSP36に移る。
【0095】
ステップSP36において、認証要求手段としてのCPU21は、ユーザID、Nonce 及びHash値をEAPOLパケットに格納してアクセスポイント2に送信し、次のステップSP37に移る。ステップSP37においてCPU21は、アクセスポイント2から送信される認証結果が格納されたEAPOLパケットを待ち受け、これを受信するとステップSP38に移る。
【0096】
ステップSP38においてCPU21は、受信したEAPOLパケットのMICに基づいて当該パケットの正偽を判断し、当該パケットが不正なものであると判断した場合、ステップSP31に戻って再度ビーコンを待ち受けるのに対し、当該パケットが正当なものであると判断した場合、次のステップSP39に移る。
【0097】
ステップSP39においてCPU21は、当該パケットの認証結果の内容を判断する。そしてCPU21は、当該パケットの認証結果が「認証失敗」である場合、ステップSP31に戻って再度ビーコンを待ち受けるのに対し、当該パケットの認証結果が「認証成功」である場合、次のステップSP40に移る。
【0098】
一方、ステップSP32においてハンドオフを行うとCPU21が判断した場合、当該CPU21はステップSP44に移る。
【0099】
ステップSP44において、端末側暗号鍵生成手段としてのCPU21は、乱数Nonce を新たに生成し、当該Nonce 、前回の認証時に用いたChallenge 及びビーコンに含まれるTimestamp を用いて新たなマスター鍵を生成し、次のステップSP45に移る。
【0100】
ステップSP45においてCPU21は、ハンドオフを要求するRe-StartメッセージをEAPOLパケットに格納するとともに、新たなマスター鍵を用いて当該EAPOLパケットにMICを付加し、次のステップSP46に移る。
【0101】
そしてCPU21は、ステップSP46においてEAPOLパケットを送信した後ステップSP40に移る。
【0102】
ステップSP40においてCPU21は、アクセスポイント2から送信されるrandomが格納されたEAPOLパケットを待ち受け、これを受信すると次のステップSP41に移る。
【0103】
ステップSP41においてCPU21は、受信したEAPOLパケットのMICに基づいて当該パケットの正偽を判断し、当該パケットが不正なものであると判断した場合、ステップSP31に戻って再度ビーコンを待ち受けるのに対し、当該パケットが正当なものであると判断した場合、次のステップSP42に移る。
【0104】
ステップSP42においてCPU21は、受信したEAPOLパケットに格納されたrandom、ステップSP35で生成したマスター鍵、及び当該マスター鍵に使用した Nonceを用いて通信鍵を生成し、次のステップSP43に移る。
【0105】
そして、ステップSP43においてCPU21は生成した通信鍵を用いてアソシエーション処理を実行し、当該アソシエーションの完了後、データ通信を開始する。
【0106】
次に、認証サーバ4の認証制御処理について説明する。認証サーバ4のCPU31は、図12に示す認証制御処理RT3の開始ステップから入ってステップSP51に移る。ステップSP51においてCPU31は、アクセスポイント2からのパケットを待ち受け、当該パケットを受信すると次のステップSP52に移り、受信したパケットの種類を判別する。
【0107】
ステップSP52において、受信したパケットがAuthentication Requestパケットであり、かつchallenge を含んでいる場合、当該パケットは無線通信端末3に対する認証要求であり、このときCPU31はステップSP53に移る。
【0108】
ステップSP53において、サーバ側応答値生成手段としてのCPU31は、受信したAuthentication Requestパケットに含まれているユーザIDに対応するパスワードをユーザ管理テーブルから抽出し、ユーザID、パスワード及び受信したAuthentication Requestパケットに格納されているchallenge を用いて応答値としてのHash値を生成するとともに、パスワード、challenge 及びAuthentication Requestパケットに格納されているNonce を用いてマスター鍵を生成し、次のステップSP54に移る。
【0109】
ステップSP54において、認証手段としてのCPU31は、算出したHash値と、Authentication Requestパケットに格納されているHash値とを比較することにより無線通信端末3に対する認証を行う。
【0110】
ステップSP54において2つのHash値が等しい場合、このことは無線通信端末3が無線LANシステム1の正当なユーザであることを表しており、この時CPU31はステップSP55に移り、認証OKを示す認証結果及びマスター鍵をAuthentication Responce パケットに格納し、ステップSP31に戻る。
【0111】
これに対してSP54において2つのHash値が異なる場合、このことは無線通信端末3が無線LANシステム1の正当なユーザではないことを表しており、この時CPU31はステップSP56に移り、認証NGを示す認証結果及びマスター鍵をAuthentication Responce パケットに格納し、ステップSP31に戻る。
【0112】
一方ステップSP52において、受信したパケットがAuthentication Requestパケットであり、かつTimestamp を含んでいる場合、当該パケットは無線通信端末3によるハンドオフ要求であり、このときCPU31はステップSP57に移る。
【0113】
ステップSP57においてCPU31は、受信したAuthentication Requestパケットに含まれているユーザIDに対応するChallenge をユーザ管理テーブルから抽出し、パスワード、challenge 及びAuthentication Requestパケットに格納されているNonce を用いて新たなマスター鍵を生成して次のステップSP58に移る。
【0114】
そして、ステップSP56においてCPU31は生成した新たなマスター鍵をAuthentication Responce パケットに格納し、ステップSP31に戻る。
【0115】
またステップSP52において、受信したパケットがAuccounting-start パケットである場合、当該パケットは無線通信端末3によるアカウンティング要求であり、このときCPU31はステップSP59に移り、アカウンティング処理を実行した後ステップSP31に戻る。
【0116】
(6)動作及び効果
以上の構成において認証サーバ4は、無線通信端末3に対する認証時、当該無線通信端末3から送信されたChallenge を、パスワードとともにユーザIDに対応付けてメモリ33内のユーザ管理テーブルに記憶しておく。
【0117】
そして無線通信端末3がハンドオフする際、当該無線通信端末3は、パスワード、前回の認証時に使用したChallenge 、新たに生成したNonce 及びビーコンに含まれるTimestamp を用いて新たなマスター鍵を生成する。
【0118】
そして無線通信端末3は、ハンドオフを要求するRe-startメッセージを含むEAPOLパケットにユーザID、Nonce 及びTimestamp を格納するとともに、新たなマスター鍵を用いてMICを生成し、これを当該EAPOLパケットに付加し、ハンドオフ先のアクセスポイント2を介して認証サーバ4に送信する。
【0119】
認証サーバ4は、無線通信端末3から送信されたユーザIDに対応するパスワード及びChallenge をユーザ管理テーブルから検索して取得し、当該取得したパスワード及びChallenge と無線通信端末3から送信されたNonce 及びTimestampから新たなマスター鍵を生成し、これをアクセスポイント2に送信する。
【0120】
アクセスポイント2は認証サーバ4から送信された新たなマスター鍵を用いて、先に無線通信端末3から受信していたEAPOLパケット(Re-startメッセージ)のMICを算出し、当該算出したMICと、EAPOLパケットに付加されていたMICとを比較することにより、当該EAPOLパケットが正しいものか否かを判定して無線通信端末3を認証し、これらが一致した場合、無線通信端末3が無線LANシステム1の正当なユーザであると認証してハンドオフを許可する。
【0121】
以上の構成によれば、無線通信端末3に対する初回認証時に、当該無線通信端末3から送信されたChallenge をパスワードとともにユーザIDに対応付けてユーザ管理テーブルに記憶しておき、無線通信端末3がハンドオフする際、当該無線通信端末3のユーザIDに対応するパスワード及びChallenge をユーザ管理テーブルから取得してこれを用いて新たなマスター鍵を生成し、当該新たなマスター鍵を用いてアクセスポイントで認証を行うようにしたことにより、処理負荷の大きいHash計算を省くとともに認証に伴うやりとりを削減し、これによりハンドオフに要する時間を短縮することができる。
【0122】
またハンドオフ時、アクセスポイント2から送信されるビーコンのTimestampを用いてマスター鍵を生成することにより、悪意ある第3者がパケットを傍受して再送することによるハッキングを防止することができる。
【0123】
(7)他の実施の形態
なお、上述の実施の形態においては、無線通信端末としてPCカード型の無線LANカードに本発明を適用した場合について述べたが、本発明はこれに限らず、例えばUSB(Universal Serial Bus)接続等の外付け型無線LAN端末や、あるいはノートパソコン等の情報処理装置に一体で内蔵された無線LAN端末に本発明を適用してもよい。
【0124】
また上述の実施の形態においては、アクセスポイント2、無線通信端末3及び認証サーバ4が、それぞれのメモリに記憶されている制御プログラムに従ってそれぞれの制御処理を実行するようにしたが、本発明はこれに限らず、上述したプログラムが格納されているプログラム格納媒体をインストールすることにより、上述の各制御処理を実行するようにしてもよい。
【0125】
この場合、上述したプログラムをインストールするためのプログラム格納媒体としては、例えばCD−ROM(Compact Disk-Read Only Memory )やDVD(Digital Versatile Disk)等のパッケージメディアのみならず、プログラムが一時的又は永続的に格納される半導体メモリや磁気ディスク等で実現しても良い。また、これらプログラム格納媒体にプログラムを格納する手段としては、ローカルエリアネットワークやインターネット、ディジタル衛星放送等の有線及び無線通信媒体を用いても良い。
【0126】
【発明の効果】
上述のように本発明によれば、無線通信端末に対する初回認証時に、当該無線通信端末から送信された乱数をパスワードとともに識別番号に対応付けて認証情報記憶手段に記憶しておき、無線通信端末がハンドオフする際、当該無線通信端末の識別番号に対応するパスワード及び乱数を取得して新たな暗号鍵を生成するとともに、無線通信端末でも新たな暗号鍵を生成し、この2つの暗号鍵に基づいてアクセスポイントで認証を行うようにしたことにより、認証に伴う処理及びやりとりを削減し、これにより簡易な手順で高速にアクセスポイント間のハンドオフを実行することができる。
【図面の簡単な説明】
【図1】本発明の一実施の形態による無線LANシステムの全体構成を示す略線図である。
【図2】無線LANシステムのプロトコルスタックを示す図である。
【図3】アクセスポイントの回路構成を示すブロツク図である。
【図4】無線通信端末の回路構成を示すブロツク図である。
【図5】認証サーバの回路構成を示すブロツク図である。
【図6】認証時の通信シーケンスを示すシーケンスチャートである。
【図7】ハンドオフ時の通信シーケンスを示すシーケンスチャートである。
【図8】アクセスポイント通信制御処理手順を示すフローチャートである。
【図9】通常認証処理手順を示すフローチャートである。
【図10】ハンドオフ認証処理手順を示すフローチャートである。
【図11】端末通信制御処理手順を示すフローチャートである。
【図12】認証制御処理手順を示すフローチャートである。
【符号の説明】
1……無線LANシステム、2……アクセスポイント、3……無線通信端末、、4……認証サーバ、5……ノートパソコン、6……有線ネットワーク、7……外部ネットワーク、11、21、31……CPU、12、32……ネットワークインターフェース、13、23……データ処理部、14、24……送受信部、15、26、33……メモリ、16、26、34……リアルタイムクロック、17、27……アンテナ、35……バス。
Claims (4)
- 無線通信端末と、当該無線通信端末に対する認証を行う認証サーバと、上記無線通信端末との間で無線を介した通信を行い、当該無線通信端末と外部ネットワークとの間、及び当該無線通信端末と上記認証サーバとの間の通信を中継する複数のアクセスポイントとからなる無線通信システムにおいて、
上記無線通信端末は、
上記アクセスポイントから送信される第1の乱数、当該無線通信端末固有の識別番号及びパスワードから応答値を生成する端末側応答値生成手段と、
生成した第2の乱数、上記識別番号及び上記応答値を認証要求に格納して上記認証サーバに送信する認証要求手段と、
上記パスワード、上記第1の乱数及び上記第2の乱数から暗号鍵を生成する端末側暗号鍵生成手段と、
当該生成した暗号鍵を用いて暗号化通信を行う端末側暗号通信手段と
を具え、
上記認証サーバは、
上記無線通信システムに所属する全ての上記無線通信端末それぞれの上記識別番号及び上記パスワードを対応付けて記憶する認証情報記憶手段と、
上記無線通信端末から送信された上記識別番号に対応するパスワードを上記識別情報記憶手段から取得し、当該取得したパスワード、上記無線通信端末から送信された上記識別番号及び上記アクセスポイントから送信された上記第1の乱数から上記応答値を生成するサーバ側応答値生成手段と、
上記サーバ側応答値生成手段で生成した上記応答値と上記無線通信端末から送信された上記応答値とを比較し、これらが一致したとき、当該無線通信端末が当該無線通信システムの正当なユーザであるとして認証するとともに、上記第1の乱数を当該無線通信端末の識別番号に対応付けて上記認証情報記憶手段に記憶する認証手段と
を具え、
上記無線通信端末が第1の上記アクセスポイントから第2の上記アクセスポイントにハンドオフする際、
上記認証要求手段は、上記識別番号、新たに生成した上記第2の乱数及び上記第2のアクセスポイントから送信される時間情報を含むハンドオフ要求を生成するとともに、上記パスワード、上記第1の乱数、新たな上記第2の乱数及び上記時間情報から新たな暗号鍵を生成し、当該新たな暗号鍵と上記ハンドオフ要求とから当該ハンドオフ要求の改ざんを防止する改ざん防止情報を生成し、当該改ざん防止情報を当該ハンドオフ要求に付加し上記第2のアクセスポイントを介して上記認証サーバに送信し、
上記認証手段は、上記ハンドオフ要求に含まれる上記識別番号に対応する上記パスワード及び上記第1の乱数を上記認証情報記憶手段から取得し、当該取得したパスワード及び第1の乱数、上記ハンドオフ要求に含まれる上記第2の乱数及び上記時間情報から新たな暗号鍵を生成して上記第2のアクセスポイントに送信し、
上記第2のアクセスポイントは、上記認証サーバから送信された上記新たな暗号鍵と上記ハンドオフ要求とから上記改ざん防止情報を生成し、当該生成した上記改ざん防止情報と、上記ハンドオフ要求に付加された上記改ざん防止情報とが一致したとき、上記無線通信端末が上記無線通信システムの正当なユーザであるとして認証してハンドオフを許可する
ことを特徴とする無線通信システム。 - 無線通信端末と、当該無線通信端末に対する認証を行う認証サーバと、上記無線通信端末との間で無線を介した通信を行い、当該無線通信端末と外部ネットワークとの間、及び当該無線通信端末と上記認証サーバとの間の通信を中継する複数のアクセスポイントとからなる無線通信システムのハンドオフ方法において、
上記アクセスポイントから上記無線通信端末に対して送信される第1の乱数、当該無線通信端末固有の識別番号及びパスワードから応答値を生成し、生成した第2の乱数、上記識別番号及び上記応答値を認証要求に格納して上記無線通信端末から上記認証サーバに送信する認証要求ステップと、
上記パスワード、上記第1の乱数及び上記第2の乱数から暗号鍵を生成する端末側暗号鍵生成ステップと、
上記無線通信端末から送信された上記識別番号に対応するパスワードを識別情報記憶手段から取得し、当該取得したパスワード、上記無線通信端末から送信された上記識別番号及び上記アクセスポイントから送信された上記第1の乱数から上記応答値を生成し、当該生成した応答値と上記無線通信端末から送信された上記応答値とを比較し、これらが一致したとき、当該無線通信端末が当該無線通信システムの正当なユーザであるとして認証するとともに、上記第1の乱数を当該無線通信端末の識別番号に対応付けて上記認証情報記憶手段に記憶する認証ステップと、
上記無線通信端末が第1の上記アクセスポイントから第2の上記アクセスポイントにハンドオフする際、上記識別番号、新たに生成した上記第2の乱数及び上記第2のアクセスポイントから送信される時間情報を含むハンドオフ要求を生成するとともに、上記パスワード、上記第1の乱数、新たな上記第2の乱数及び上記時間情報から新たな暗号鍵を生成し、当該新たな暗号鍵と上記ハンドオフ要求とから当該ハンドオフ要求の改ざんを防止する改ざん防止情報を生成し、当該改ざん防止情報を当該ハンドオフ要求に付加し上記第2のアクセスポイントを介して上記認証サーバに送信するハンドオフ要求送信ステップと、
上記ハンドオフ要求に含まれる上記識別番号に対応する上記パスワード及び上記第1の乱数を上記認証情報記憶手段から取得し、当該取得したパスワード及び第1の乱数、上記ハンドオフ要求に含まれる上記第2の乱数及び上記時間情報から新たな暗号鍵を生成して上記認証サーバから上記第2のアクセスポイントに送信する暗号鍵送信ステップと、
上記認証サーバから送信された上記新たな暗号鍵と上記ハンドオフ要求とから上記改ざん防止情報を生成し、当該生成した上記改ざん防止情報と、上記ハンドオフ要求に付加された上記改ざん防止情報とが一致したとき、上記無線通信端末が上記無線通信システムの正当なユーザであるとして認証してハンドオフを許可するハンドオフ許可ステップと
を具えることを特徴とする無線通信システムのハンドオフ方法。 - 無線通信端末及び複数のアクセスポイントとを有する無線通信システムにおける上記無線通信端末に対する認証を行う認証サーバにおいて、
上記無線通信システムに所属する全ての上記無線通信端末それぞれの識別番号及びパスワードを対応付けて記憶する認証情報記憶手段と、
上記無線通信端末から送信された上記識別番号に対応するパスワードを上記識別情報記憶手段から取得し、当該取得したパスワード、上記無線通信端末から送信された上記識別番号及び上記アクセスポイントから送信された第1の乱数から応答値を生成するサーバ側応答値生成手段と、
上記サーバ側応答値生成手段で生成した上記応答値と上記無線通信端末から送信された上記応答値とを比較し、これらが一致したとき、当該無線通信端末が当該無線通信システムの正当なユーザであるとして認証するとともに、上記第1の乱数を当該無線通信端末の識別番号に対応付けて上記認証情報記憶手段に記憶する認証手段と
を具え、
上記認証手段は、上記無線通信端末が第1の上記アクセスポイントから第2の上記アクセスポイントにハンドオフする際、当該無線通信端末から送信されたハンドオフ要求に含まれる上記識別番号に対応する上記パスワード及び上記第1の乱数を上記認証情報記憶手段から取得し、当該取得したパスワード及び第1の乱数、上記ハンドオフ要求に含まれる上記第2の乱数及び上記時間情報から新たな暗号鍵を生成して上記第2のアクセスポイントに送信することにより、当該新たな暗号鍵を用いて上記無線通信端末の認証及びハンドオフの許可を上記第2のアクセスポイントに実行させる
ことを特徴とする認証サーバ。 - 複数のアクセスポイント及び認証サーバを有する無線通信システムの無線通信端末において、
上記アクセスポイントから送信される第1の乱数、当該無線通信端末固有の識別番号及びパスワードから応答値を生成する端末側応答値生成手段と、
生成した第2の乱数、上記識別番号及び上記応答値を認証要求に格納して上記認証サーバに送信する認証要求手段と、
上記パスワード、上記第1の乱数及び上記第2の乱数から暗号鍵を生成する端末側暗号鍵生成手段と、
当該生成した暗号鍵を用いて暗号化通信を行う端末側暗号通信手段と
を具え、
第1の上記アクセスポイントから第2の上記アクセスポイントにハンドオフする際、上記認証要求手段は、上記識別番号、新たに生成した上記第2の乱数及び上記第2のアクセスポイントから送信される時間情報を含むハンドオフ要求を生成するとともに、上記パスワード、上記第1の乱数、新たな上記第2の乱数及び上記時間情報から新たな暗号鍵を生成し、当該新たな暗号鍵と上記ハンドオフ要求とから当該ハンドオフ要求の改ざんを防止する改ざん防止情報を生成し、当該改ざん防止情報を当該ハンドオフ要求に付加し上記第2のアクセスポイントを介して上記認証サーバに送信することにより、上記時間情報、上記識別番号に対応する上記パスワード及び上記第1の乱数から上記認証サーバが生成した新たな暗号鍵と上記ハンドオフ要求とを用いた当該無線通信端末の認証及びハンドオフの許可を上記第2のアクセスポイントに実行させる
ことを特徴とする無線通信端末。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002375281A JP2004208073A (ja) | 2002-12-25 | 2002-12-25 | 無線通信システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002375281A JP2004208073A (ja) | 2002-12-25 | 2002-12-25 | 無線通信システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004208073A true JP2004208073A (ja) | 2004-07-22 |
Family
ID=32813070
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002375281A Pending JP2004208073A (ja) | 2002-12-25 | 2002-12-25 | 無線通信システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004208073A (ja) |
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006115344A (ja) * | 2004-10-15 | 2006-04-27 | Matsushita Electric Ind Co Ltd | 無線ネットワークシステム、無線端末収容装置及び通信装置 |
WO2006093161A1 (ja) * | 2005-03-04 | 2006-09-08 | Matsushita Electric Industrial Co., Ltd. | 鍵配信制御装置、無線基地局装置および通信システム |
JP2006352225A (ja) * | 2005-06-13 | 2006-12-28 | Hitachi Ltd | 認証システム、無線通信端末及び無線基地局 |
JP2007074180A (ja) * | 2005-09-06 | 2007-03-22 | Bb Mobile Corp | 通信システム及び通信方式 |
EP1841260A2 (en) * | 2006-03-29 | 2007-10-03 | Fujitsu Limited | Wireless terminal and authentication device |
JP2008514128A (ja) * | 2004-09-15 | 2008-05-01 | ノキア コーポレーション | ネットワークシステムにおける高速移行を容易にする装置およびそれに関連した方法 |
JP2008529413A (ja) * | 2005-01-27 | 2008-07-31 | インターデイジタル テクノロジー コーポレーション | 他と共有されないジョイント乱数性(jrnso)を用いて暗号鍵を導出する方法とシステム |
JP2008530917A (ja) * | 2005-02-11 | 2008-08-07 | クゥアルコム・インコーポレイテッド | コンテキスト制限された共有秘密 |
JP2008536428A (ja) * | 2005-04-15 | 2008-09-04 | スパイダー ナビゲイションズ エルエルシー | 鍵マテリアルの交換 |
JP2008541590A (ja) * | 2005-05-09 | 2008-11-20 | スパイダー ナビゲイションズ エルエルシー | 通信システムにおける証明を分配するための方法 |
KR100879986B1 (ko) | 2007-02-21 | 2009-01-23 | 삼성전자주식회사 | 모바일 네트워크 시스템 및 그 시스템의 핸드오버 방법 |
JP2009512389A (ja) * | 2005-10-18 | 2009-03-19 | エルジー エレクトロニクス インコーポレイティド | リレーステーションの保安提供方法 |
WO2009133865A1 (ja) * | 2008-04-28 | 2009-11-05 | 株式会社エヌ・ティ・ティ・ドコモ | ハンドオーバ方法、無線基地局及び移動局 |
JP2010532126A (ja) * | 2007-07-04 | 2010-09-30 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | トラストセンターリンクキーを初期化するネットワーク及び方法 |
JP2011501585A (ja) * | 2007-11-16 | 2011-01-06 | 華為技術有限公司 | キー配信用の方法、システムおよび機器 |
US7904945B2 (en) | 2004-10-27 | 2011-03-08 | Meshnetworks, Inc. | System and method for providing security for a wireless network |
KR101038096B1 (ko) | 2010-01-04 | 2011-06-01 | 전자부품연구원 | 바이너리 cdma에서 키 인증 방법 |
US8116774B2 (en) | 2004-09-15 | 2012-02-14 | Nokia Corporation | Apparatus, and an associated method, for facilitating communication transition in a radio communication system |
US8238551B2 (en) | 2005-01-27 | 2012-08-07 | Interdigital Technology Corporation | Generation of perfectly secret keys in wireless communication networks |
US8280046B2 (en) | 2005-09-12 | 2012-10-02 | Interdigital Technology Corporation | Method and system for deriving an encryption key using joint randomness not shared by others |
CN104221412A (zh) * | 2012-01-12 | 2014-12-17 | 波音公司 | 安全通信系统和方法 |
JP2016219955A (ja) * | 2015-05-18 | 2016-12-22 | 株式会社Nttドコモ | 無線通信システムおよび無線通信端末 |
JP2017118243A (ja) * | 2015-12-22 | 2017-06-29 | 株式会社Kddi総合研究所 | 認証装置、アクセスポイント、通信装置及びプログラム |
JP2020113835A (ja) * | 2019-01-09 | 2020-07-27 | コニカミノルタ株式会社 | 暗号化装置、復号装置、鍵生成装置、情報処理装置及びプログラム |
-
2002
- 2002-12-25 JP JP2002375281A patent/JP2004208073A/ja active Pending
Cited By (48)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008514128A (ja) * | 2004-09-15 | 2008-05-01 | ノキア コーポレーション | ネットワークシステムにおける高速移行を容易にする装置およびそれに関連した方法 |
US8081759B2 (en) | 2004-09-15 | 2011-12-20 | Nokia Corporation | Apparatus, and an associated method, for facilitating fast transition in a network system |
US8116774B2 (en) | 2004-09-15 | 2012-02-14 | Nokia Corporation | Apparatus, and an associated method, for facilitating communication transition in a radio communication system |
JP4689225B2 (ja) * | 2004-10-15 | 2011-05-25 | パナソニック株式会社 | 無線ネットワークシステム、無線端末収容装置及び通信装置 |
JP2006115344A (ja) * | 2004-10-15 | 2006-04-27 | Matsushita Electric Ind Co Ltd | 無線ネットワークシステム、無線端末収容装置及び通信装置 |
US7904945B2 (en) | 2004-10-27 | 2011-03-08 | Meshnetworks, Inc. | System and method for providing security for a wireless network |
US8238551B2 (en) | 2005-01-27 | 2012-08-07 | Interdigital Technology Corporation | Generation of perfectly secret keys in wireless communication networks |
US9130693B2 (en) | 2005-01-27 | 2015-09-08 | Interdigital Technology Corporation | Generation of perfectly secret keys in wireless communication networks |
JP2008529413A (ja) * | 2005-01-27 | 2008-07-31 | インターデイジタル テクノロジー コーポレーション | 他と共有されないジョイント乱数性(jrnso)を用いて暗号鍵を導出する方法とシステム |
JP4734344B2 (ja) * | 2005-01-27 | 2011-07-27 | インターデイジタル テクノロジー コーポレーション | 他と共有されないジョイント乱数性(jrnso)を用いて暗号鍵を導出する方法とシステム |
JP2008530917A (ja) * | 2005-02-11 | 2008-08-07 | クゥアルコム・インコーポレイテッド | コンテキスト制限された共有秘密 |
JP2014150567A (ja) * | 2005-02-11 | 2014-08-21 | Qualcomm Incorporated | コンテキスト制限された共有秘密 |
US8726019B2 (en) | 2005-02-11 | 2014-05-13 | Qualcomm Incorporated | Context limited shared secret |
JP2011227905A (ja) * | 2005-02-11 | 2011-11-10 | Qualcomm Incorporated | コンテキスト制限された共有秘密 |
JP4804454B2 (ja) * | 2005-03-04 | 2011-11-02 | パナソニック株式会社 | 鍵配信制御装置、無線基地局装置および通信システム |
WO2006093161A1 (ja) * | 2005-03-04 | 2006-09-08 | Matsushita Electric Industrial Co., Ltd. | 鍵配信制御装置、無線基地局装置および通信システム |
US7907734B2 (en) | 2005-03-04 | 2011-03-15 | Panasonic Corporation | Key distribution control apparatus, radio base station apparatus, and communication system |
US8838972B2 (en) | 2005-04-15 | 2014-09-16 | Intellectual Ventures I Llc | Exchange of key material |
US8295488B2 (en) | 2005-04-15 | 2012-10-23 | Intellectual Ventures I Llc | Exchange of key material |
JP2012217207A (ja) * | 2005-04-15 | 2012-11-08 | Intellectual Ventures I Llc | 鍵マテリアルの交換 |
JP2008536428A (ja) * | 2005-04-15 | 2008-09-04 | スパイダー ナビゲイションズ エルエルシー | 鍵マテリアルの交換 |
JP2008541590A (ja) * | 2005-05-09 | 2008-11-20 | スパイダー ナビゲイションズ エルエルシー | 通信システムにおける証明を分配するための方法 |
JP4801147B2 (ja) * | 2005-05-09 | 2011-10-26 | スパイダー ナビゲイションズ エルエルシー | 証明を配送するための方法、システム、ネットワーク・ノード及びコンピュータ・プログラム |
JP4713955B2 (ja) * | 2005-06-13 | 2011-06-29 | 株式会社日立製作所 | 認証システム、無線通信端末及び無線基地局 |
JP2006352225A (ja) * | 2005-06-13 | 2006-12-28 | Hitachi Ltd | 認証システム、無線通信端末及び無線基地局 |
JP4681990B2 (ja) * | 2005-09-06 | 2011-05-11 | ソフトバンクBb株式会社 | 通信システム及び通信方式 |
JP2007074180A (ja) * | 2005-09-06 | 2007-03-22 | Bb Mobile Corp | 通信システム及び通信方式 |
US8280046B2 (en) | 2005-09-12 | 2012-10-02 | Interdigital Technology Corporation | Method and system for deriving an encryption key using joint randomness not shared by others |
JP2009512389A (ja) * | 2005-10-18 | 2009-03-19 | エルジー エレクトロニクス インコーポレイティド | リレーステーションの保安提供方法 |
US8107629B2 (en) | 2005-10-18 | 2012-01-31 | Lg Electronics Inc. | Method of providing security for relay station |
JP4712094B2 (ja) * | 2005-10-18 | 2011-06-29 | エルジー エレクトロニクス インコーポレイティド | リレーステーションの保安提供方法 |
EP1841260A2 (en) * | 2006-03-29 | 2007-10-03 | Fujitsu Limited | Wireless terminal and authentication device |
JP2007267120A (ja) * | 2006-03-29 | 2007-10-11 | Fujitsu Ltd | 無線端末、認証装置、及び、プログラム |
US8046583B2 (en) | 2006-03-29 | 2011-10-25 | Fujitsu Limited | Wireless terminal |
EP1841260A3 (en) * | 2006-03-29 | 2014-06-18 | Fujitsu Limited | Wireless terminal and authentication device |
KR100879986B1 (ko) | 2007-02-21 | 2009-01-23 | 삼성전자주식회사 | 모바일 네트워크 시스템 및 그 시스템의 핸드오버 방법 |
JP2010532126A (ja) * | 2007-07-04 | 2010-09-30 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | トラストセンターリンクキーを初期化するネットワーク及び方法 |
JP2011501585A (ja) * | 2007-11-16 | 2011-01-06 | 華為技術有限公司 | キー配信用の方法、システムおよび機器 |
US8484469B2 (en) | 2007-11-16 | 2013-07-09 | Huawei Technologies Co., Ltd. | Method, system and equipment for key distribution |
WO2009133865A1 (ja) * | 2008-04-28 | 2009-11-05 | 株式会社エヌ・ティ・ティ・ドコモ | ハンドオーバ方法、無線基地局及び移動局 |
JP2009267998A (ja) * | 2008-04-28 | 2009-11-12 | Ntt Docomo Inc | ハンドオーバ方法、無線基地局及び移動局 |
KR101038096B1 (ko) | 2010-01-04 | 2011-06-01 | 전자부품연구원 | 바이너리 cdma에서 키 인증 방법 |
CN104221412A (zh) * | 2012-01-12 | 2014-12-17 | 波音公司 | 安全通信系统和方法 |
JP2015505220A (ja) * | 2012-01-12 | 2015-02-16 | ザ・ボーイング・カンパニーTheBoeing Company | セキュアな通信のためのシステムおよび方法 |
CN104221412B (zh) * | 2012-01-12 | 2018-05-29 | 波音公司 | 安全通信系统和方法 |
JP2016219955A (ja) * | 2015-05-18 | 2016-12-22 | 株式会社Nttドコモ | 無線通信システムおよび無線通信端末 |
JP2017118243A (ja) * | 2015-12-22 | 2017-06-29 | 株式会社Kddi総合研究所 | 認証装置、アクセスポイント、通信装置及びプログラム |
JP2020113835A (ja) * | 2019-01-09 | 2020-07-27 | コニカミノルタ株式会社 | 暗号化装置、復号装置、鍵生成装置、情報処理装置及びプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2004208073A (ja) | 無線通信システム | |
KR100978052B1 (ko) | 일반 부트스트래핑 아키텍처(gba)의 인증 환경 설정관련 모바일 노드 아이디 제공 장치, 방법 및 컴퓨터프로그램 생성물 | |
EP1929745B1 (en) | Method for secure device discovery and introduction | |
US8793497B2 (en) | Puzzle-based authentication between a token and verifiers | |
US8140845B2 (en) | Scheme for authentication and dynamic key exchange | |
CA2619420C (en) | Distributed single sign-on service | |
JP4712871B2 (ja) | サービス提供者、端末機及びユーザー識別モジュールの包括的な認証と管理のための方法及びその方法を用いるシステムと端末装置 | |
TWI507059B (zh) | 行動台、基地台及流量加密密鑰之產生方法 | |
US9392453B2 (en) | Authentication | |
US9253162B2 (en) | Intelligent card secure communication method | |
US20080046732A1 (en) | Ad-hoc network key management | |
CN111314072B (zh) | 一种基于sm2算法的可扩展身份认证方法和系统 | |
KR20070041152A (ko) | 비 유에스아이엠 단말기에서의 이에이피-에이케이에이 인증처리 장치 및 방법 | |
TW200950441A (en) | Mobile station and base station and method for deriving traffic encryption key | |
KR101531662B1 (ko) | 사용자 단말과 서버간 상호 인증 방법 및 시스템 | |
WO2022111187A1 (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
KR20160013135A (ko) | 공유 비밀을 암시하는 보안 데이터 채널 인증 | |
WO2022135391A1 (zh) | 身份鉴别方法、装置、存储介质、程序、及程序产品 | |
KR100957044B1 (ko) | 커버로스를 이용한 상호 인증 방법 및 그 시스템 | |
US20050144459A1 (en) | Network security system and method | |
CN111836260B (zh) | 一种认证信息处理方法、终端和网络设备 | |
CN114827998B (zh) | 一种基于加密芯片的卫星终端入网鉴权装置 | |
KR101256114B1 (ko) | 다수의 mac검증서버에 의한 메시지인증코드 검증 방법 및 시스템 | |
JP2002077143A (ja) | 認証方法 | |
JP2006268228A (ja) | 生体情報を利用した認証システム |