JP2006041594A - Mobile communication system and authentication method of mobile terminal - Google Patents

Mobile communication system and authentication method of mobile terminal Download PDF

Info

Publication number
JP2006041594A
JP2006041594A JP2004214084A JP2004214084A JP2006041594A JP 2006041594 A JP2006041594 A JP 2006041594A JP 2004214084 A JP2004214084 A JP 2004214084A JP 2004214084 A JP2004214084 A JP 2004214084A JP 2006041594 A JP2006041594 A JP 2006041594A
Authority
JP
Japan
Prior art keywords
authentication
mobile terminal
authentication information
wireless
access point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004214084A
Other languages
Japanese (ja)
Inventor
Takayasu Akashi
貴靖 明石
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nakayo Telecommunications Inc
Original Assignee
Nakayo Telecommunications Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nakayo Telecommunications Inc filed Critical Nakayo Telecommunications Inc
Priority to JP2004214084A priority Critical patent/JP2006041594A/en
Publication of JP2006041594A publication Critical patent/JP2006041594A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To decrease interruption of communication in the case of handover by utilizing an existing mobile terminal in a wireless LAN system. <P>SOLUTION: The wireless LAN system is provided with a plurality of access points, wherein authentication information of the mobile terminal is distributed in advance to a surrounding access point to which the mobile terminal is possible to make handover and in the case of the handover, authentication is carried out between the access point and the mobile terminal. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、無線LANシステムにおける移動端末の認証技術に関する。特に、移動端末が無線LANシステム内の複数の無線アクセスポイント間をハンドオーバする際の認証技術に関する。   The present invention relates to a mobile terminal authentication technique in a wireless LAN system. In particular, the present invention relates to an authentication technique when a mobile terminal performs handover between a plurality of wireless access points in a wireless LAN system.

無線LANシステム内の移動端末は、無線LANシステム内に設置された無線アクセスポイント(以後、無線APと呼ぶ。)を介して、外部のネットワークに接続される。   A mobile terminal in a wireless LAN system is connected to an external network via a wireless access point (hereinafter referred to as wireless AP) installed in the wireless LAN system.

無線LANシステムには、複数の無線APが配置され、移動端末は、現在位置のエリアをカバーする無線APを介して、外部のネットワークに接続され、外部のネットワークに接続される相手先端末とデータの送受信を行う。   In the wireless LAN system, a plurality of wireless APs are arranged, and the mobile terminal is connected to an external network via the wireless AP that covers the area of the current position, and the destination terminal and data connected to the external network Send and receive.

移動端末は、データの送受信中に移動した場合、今度は、移動先を管理エリアとする無線APを介して外部のネットワークに接続される。このように移動端末が、移動に伴って中継する無線APを切り替えることを、ハンドオーバと呼ぶ。   If the mobile terminal moves during transmission / reception of data, this time, the mobile terminal is connected to an external network via a wireless AP whose destination is the management area. The switching of the wireless AP relayed by the mobile terminal as it moves is called handover.

図1に、無線LANシステムのイメージ図を示す。本図に示すように、無線LANシステム内には、無線AP201、202、203・・・215が配置される。以後、特に区別する必要がない場合は、これらを無線AP200で代表する。移動端末100は、移動に伴い、現在位置をカバーする無線AP200を介して外部ネットワークに接続される。   FIG. 1 shows an image diagram of a wireless LAN system. As shown in this figure, wireless APs 201, 202, 203... 215 are arranged in the wireless LAN system. Hereinafter, when it is not necessary to distinguish between them, these are represented by the wireless AP 200. As the mobile terminal 100 moves, the mobile terminal 100 is connected to an external network via the wireless AP 200 that covers the current position.

ところで、無線LANは、伝送路としてのケーブルが不要であることから、容易にLANを構築することができる。反面、電波の到達範囲が目に見えないことから、悪意ある第三者によって不正侵入を図られるリスクも存在する。これを回避するため、無線LANシステムには、セキュリティ対策が必須である。   By the way, since the wireless LAN does not require a cable as a transmission path, the LAN can be easily constructed. On the other hand, since the reach of radio waves is invisible, there is also a risk that unauthorized intrusion can be attempted by a malicious third party. In order to avoid this, security measures are indispensable for the wireless LAN system.

セキュリティ対策として、例えば、接続する移動端末100を認証し、認証が成功した場合のみ、接続を許可する方式がある。その代表的なものとしてIEEE801.1xに規定された方式がある。   As a security measure, for example, there is a method of authenticating the mobile terminal 100 to be connected and permitting the connection only when the authentication is successful. A typical example is a method defined in IEEE801.1x.

IEEE802.1xによれば、無線LANシステムは、無線AP200を介して接続を試みる移動端末100の認証を行う認証サーバ300を備える。移動端末100から、接続するための認証要求を受信した無線AP200は、認証サーバ300との間で所定の認証手順を実行することにより、その移動端末100の正当性を認証する。認証が成功した場合、その移動端末100に暗号化鍵を配布し、移動端末100は、その暗号化鍵を用いて暗号化された無線通信を行う。   According to IEEE802.1x, the wireless LAN system includes an authentication server 300 that authenticates the mobile terminal 100 attempting to connect via the wireless AP 200. The wireless AP 200 that has received the authentication request for connection from the mobile terminal 100 authenticates the validity of the mobile terminal 100 by executing a predetermined authentication procedure with the authentication server 300. When the authentication is successful, the encryption key is distributed to the mobile terminal 100, and the mobile terminal 100 performs wireless communication encrypted using the encryption key.

なお、移動端末100の正当性は、予め認証サーバ300に登録された外部ネットワークへのアクセス権限の有無で判断される。例えば、認証サーバ300がRADIUS(Remote Authentication Dial In User Service)プロトコルに従ってアクセスを認証するRADIUSサーバの場合、予めユーザ登録されていれば、アクセス権限ありと判断し、登録がなされていなければ、アクセス権限なしと判断する。   The validity of the mobile terminal 100 is determined based on whether or not there is an access authority to the external network registered in the authentication server 300 in advance. For example, in the case where the authentication server 300 is a RADIUS server that authenticates access according to the RADIUS (Remote Authentication Dial In User Service) protocol, if the user has been registered in advance, it is determined that the user has access authority. Judged as none.

図1に示す無線LANシステムにおいて、一例として無線AP201と無線AP202と、認証サーバ300とを備える場合の、システム構成を図2に示す。   In the wireless LAN system shown in FIG. 1, a system configuration in the case where the wireless AP 201, the wireless AP 202, and the authentication server 300 are provided as an example is shown in FIG.

本図に示すように、認証サーバ300は無線AP201、202に有線回線で接続される。また、無線AP201、202は、ゲートウェイ400を介して、外部ネットワーク500に接続される。相手先端末600は、外部ネットワーク500に接続される。移動端末100は、無線AP200を介して、外部のネットワーク500に接続する相手先端末600とデータの送受信を行う。   As shown in the figure, the authentication server 300 is connected to the wireless APs 201 and 202 via a wired line. The wireless APs 201 and 202 are connected to the external network 500 via the gateway 400. The counterpart terminal 600 is connected to the external network 500. The mobile terminal 100 transmits and receives data to and from the counterpart terminal 600 connected to the external network 500 via the wireless AP 200.

IEEE802.1x規格に従ったアクセス制御によれば、無線AP200は、移動端末100からの認証要求を受信する毎に、認証サーバ300にアクセスし、移動端末100の認証を行う。   According to the access control according to the IEEE 802.1x standard, the wireless AP 200 accesses the authentication server 300 and authenticates the mobile terminal 100 every time an authentication request from the mobile terminal 100 is received.

図13は、無線LANシステム内での、ハンドオーバが発生した場合の、従来の一般的な認証手順の概略を説明するための図である。   FIG. 13 is a diagram for explaining an outline of a conventional general authentication procedure when a handover occurs in the wireless LAN system.

本図に示すように、移動端末100は、無線AP201の管理するエリアに移動すると、無線AP201に認証要求をし(S001)、その後、無線AP201は、認証サーバ300との間で要求元の移動端末100の認証を行う(S002)。認証成功後、移動端末100は、相手先端末600とデータ通信が可能となる。   As shown in this figure, when the mobile terminal 100 moves to the area managed by the wireless AP 201, the mobile terminal 100 issues an authentication request to the wireless AP 201 (S001), and then the wireless AP 201 moves the request source to and from the authentication server 300. The terminal 100 is authenticated (S002). After successful authentication, the mobile terminal 100 can perform data communication with the counterpart terminal 600.

移動端末100が無線AP202のエリアに移動すると、移動端末100は、今度は無線AP202に認証要求をし(S003)、それを受けて、無線AP202は、認証サーバ300との間で移動端末100の認証を行う(S004)。認証成功後、移動端末100は、相手先端末600とデータ通信が可能となる。   When the mobile terminal 100 moves to the area of the wireless AP 202, the mobile terminal 100 makes an authentication request to the wireless AP 202 this time (S003), and in response, the wireless AP 202 communicates with the authentication server 300 of the mobile terminal 100. Authentication is performed (S004). After successful authentication, the mobile terminal 100 can perform data communication with the counterpart terminal 600.

ここで、移動端末100が、無線AP201に認証要求をし、その後無線AP202にハンドオーバする場合の、認証動作を説明する。図14は、本認証動作のシーケンスである。なお、ここでは、IEEE802.1x規格に従ったEAP(Extensive Authentication Protocol)−MD5による認証動作を例にあげて説明する。   Here, an authentication operation when the mobile terminal 100 issues an authentication request to the wireless AP 201 and then hands over to the wireless AP 202 will be described. FIG. 14 is a sequence of this authentication operation. Here, an authentication operation by EAP (Extensive Authentication Protocol) -MD5 in accordance with the IEEE 802.1x standard will be described as an example.

PPP EAPOL-Start : 移動端末100は、PPP EAPOL開始処理として、無線AP201に認証要求である認証開始メッセージを送信する(ステップ(1))。   PPP EAPOL-Start: The mobile terminal 100 transmits an authentication start message, which is an authentication request, to the wireless AP 201 as PPP EAPOL start processing (step (1)).

PPP EAPOL-Request/Identity : 認証開始メッセージを受信した無線AP201は、移動端末100の識別子(ID)を要求するPPP EAP要求を、移動端末100に送信する(ステップ(2))。   PPP EAPOL-Request / Identity: The wireless AP 201 that has received the authentication start message transmits a PPP EAP request for requesting an identifier (ID) of the mobile terminal 100 to the mobile terminal 100 (step (2)).

PPP EAP-Response/Identity : PPP EAP要求を受信した移動端末100は、自身のIDであるユーザ名を、PPP EAP応答として、無線AP201に通知する(ステップ(3))。   PPP EAP-Response / Identity: The mobile terminal 100 that has received the PPP EAP request notifies the wireless AP 201 of the user name, which is its own ID, as a PPP EAP response (step (3)).

RADIUS Access Request : PPP EAP応答を受信した無線AP201は、RADIUSプロトコルに従ったアクセス要求として、移動端末100のIDを認証サーバ300に通知する(ステップ(4))。   RADIUS Access Request: The wireless AP 201 that has received the PPP EAP response notifies the authentication server 300 of the ID of the mobile terminal 100 as an access request according to the RADIUS protocol (step (4)).

RADIUS Access Challenge : 認証サーバ300は、認証要求元の移動端末100のIDを受信すると、乱数を生成し、生成した乱数を、RADIUSアクセスチャレンジとして、アクセス要求送信元の無線AP201に送信する。また、認証サーバ300は、外部ネットワークにアクセスを許可されている移動端末100の認証情報を予め保持している。受信した移動端末100のIDをキーにこの認証情報を検索し、該当するデータに送信した乱数を対応付けて管理する(ステップ(5))。   RADIUS Access Challenge: Upon receiving the ID of the authentication request source mobile terminal 100, the authentication server 300 generates a random number and transmits the generated random number as a RADIUS access challenge to the access request transmission source wireless AP 201. Further, the authentication server 300 holds in advance authentication information of the mobile terminal 100 that is permitted to access the external network. The authentication information is searched using the received ID of the mobile terminal 100 as a key, and the transmitted random number is associated with the corresponding data and managed (step (5)).

PPP EAP-Request/MD5-Cha11enge : 無線AP201は、受信した乱数を、PPP EAP要求として、移動端末100に送信する(ステップ(6))。   PPP EAP-Request / MD5-Cha11enge: The wireless AP 201 transmits the received random number to the mobile terminal 100 as a PPP EAP request (step (6)).

PPP EAP-Response/MD5-Cha11enge : 移動端末100は、無線AP201を介して認証サーバ300から通知された乱数と、自身の識別子(ID)と、パスワードとを用いて、MD5のメッセージダイジェスト関数値を算出し、無線AP201に通知する(ステップ(7))。   PPP EAP-Response / MD5-Cha11enge: The mobile terminal 100 uses the random number notified from the authentication server 300 via the wireless AP 201, its own identifier (ID), and the password to obtain the MD5 message digest function value. Calculate and notify the wireless AP 201 (step (7)).

RADIUS Access-Request : 無線AP201は、RADIUSアクセス要求として受信したMD5のメッセージダイジェスト関数値を認証サーバ300に送信する(ステップ(8))。受信した認証サーバ300は、自身が認証情報として保持しているIDとパスワードとステップ(5)で送信した乱数とを用いてメッセージダイジェスト関数値を算出し、受信した値と比較することにより、認証を行う。   RADIUS Access-Request: The wireless AP 201 transmits the message digest function value of MD5 received as the RADIUS access request to the authentication server 300 (step (8)). The received authentication server 300 calculates a message digest function value using the ID and password held as authentication information by itself and the random number transmitted in step (5), and compares the calculated value with the received value. I do.

RADIUS Access-Accept : 認証サーバ300は、認証成功または不成功を、無線AP201に通知する(ステップ(9))。   RADIUS Access-Accept: The authentication server 300 notifies the wireless AP 201 of authentication success or failure (step (9)).

PPP EAP-Success / Failure : 無線AP201は、受信した認証の成否を移動端末100に通知する。ここで、認証が不成功の場合、ステップ(6)以降を再度繰り返す、または、処理を打ち切るなど構成する(ステップ(10))。   PPP EAP-Success / Failure: The wireless AP 201 notifies the mobile terminal 100 of the success or failure of the received authentication. Here, when the authentication is unsuccessful, the steps (6) and the subsequent steps are repeated again, or the process is terminated (step (10)).

PPP EAPOL-Key : ステップ(10)において、認証成功の場合、無線AP201は、移動端末100に、暗号鍵情報を送信する(ステップ(11))。これ以降、移動端末100は、この暗号鍵を用いて、送信するデータを暗号化することにより、外部ネットワーク500との通信が可能となる。   PPP EAPOL-Key: When authentication is successful in step (10), the wireless AP 201 transmits encryption key information to the mobile terminal 100 (step (11)). Thereafter, the mobile terminal 100 can communicate with the external network 500 by encrypting data to be transmitted using the encryption key.

移動端末100は、無線AP201を介して、SIPなどの呼制御手順により外部ネットワークに接続する相手先端末600との通信路を開設し、データの送受信を行う(ステップ(12))。例えば、移動端末100と相手先端末600とがIP電話機の場合、VoIP通話が行われる。   The mobile terminal 100 establishes a communication path with the counterpart terminal 600 connected to the external network through a wireless AP 201 by a call control procedure such as SIP, and transmits / receives data (step (12)). For example, when the mobile terminal 100 and the counterpart terminal 600 are IP telephones, a VoIP call is performed.

エリア移動:ここで、データの送受信中、移動端末100が移動したことにより、無線AP201から無線AP202にハンドオーバが発生したとする(ステップ(13))。   Area movement: Here, it is assumed that a handover occurs from the wireless AP 201 to the wireless AP 202 due to the movement of the mobile terminal 100 during data transmission / reception (step (13)).

PPP EAPOL-Start : 移動端末100が、無線AP202が管理するエリアに移動したとき、移動端末100は、無線AP202に向けて、外部ネットワークにアクセスするための認証要求を送信する(ステップ(14))。   PPP EAPOL-Start: When the mobile terminal 100 moves to an area managed by the wireless AP 202, the mobile terminal 100 transmits an authentication request for accessing the external network to the wireless AP 202 (step (14)). .

以後、上記ステップ(2)から(11)の手順が、無線AP201の代わりに無線AP202を介して行われ(ステップ(14)からステップ(24))、移動端末100は、認証が成功し、暗号鍵を無線AP202から取得した後、相手先端末600とデータの送受信を行うことができる。   Thereafter, the procedure from step (2) to step (11) is performed via the wireless AP 202 instead of the wireless AP 201 (step (14) to step (24)), and the mobile terminal 100 is successfully authenticated and encrypted. After obtaining the key from the wireless AP 202, data can be transmitted / received to / from the counterpart terminal 600.

移動端末100が無線AP200に認証を要求してから認証成功までには、上記の手順のステップ(1)から(11)、または、ステップ(13)から(24)までの処理が必要である。そして、これらの処理には、数秒かかることがある。従って、例えば、移動端末100が、無線AP201から無線AP202にハンドオーバした場合、上記の手順のステップ(13)から(24)までの処理の間、移動端末は未認証であるため、データの送受信が途切れてしまうことがある。   Processing from step (1) to (11) or steps (13) to (24) of the above procedure is required from when the mobile terminal 100 requests authentication to the wireless AP 200 until the authentication is successful. These processes may take several seconds. Therefore, for example, when the mobile terminal 100 is handed over from the wireless AP 201 to the wireless AP 202, since the mobile terminal is not authenticated during the processing from step (13) to (24) of the above procedure, data transmission / reception is not possible. It may be interrupted.

ハンドオーバ時のデータ送受信の途切れを回避するものとして、認証が確立するまでの間、ハンドオーバ前の無線AP200が付与した暗号化鍵を継続して使用する方法がある(例えば、特許文献1参照。)。   As a method for avoiding interruption of data transmission / reception at the time of handover, there is a method in which the encryption key assigned by the wireless AP 200 before handover is continuously used until authentication is established (see, for example, Patent Document 1). .

ここでは、ハンドオーバする前に、ハンドオーバ先の無線APに、ハンドオーバ元の無線APとの間の通信に使われていた暗号化キーを配布し、ハンドオーバ先の無線APが、認証サーバを用いて移動端末の認証を行っている間、その暗号化キーを用いて、通信を継続する。   Here, before the handover, the encryption key used for communication with the handover source wireless AP is distributed to the handover destination wireless AP, and the handover destination wireless AP moves using the authentication server. While the terminal is being authenticated, communication is continued using the encryption key.

特開2003−259417号公報JP 2003-259417 A

特許文献1の技術を用いることにより、通信が途切れる状態、すなわち、無音状態の期間は減少する。しかしながら、特許文献1の方法を実現するためには、移動端末に、暗号鍵が一時的使用のものか通常使用のものかを区別する情報を保持する機能など、新たな機能を実装する必要がある。すなわち、現在使われている移動端末をそのまま用いて、通信の途切れ、すなわち、無音状態の期間を減少させることができない。   By using the technique of Patent Document 1, the state in which communication is interrupted, that is, the period of silence is reduced. However, in order to realize the method of Patent Document 1, it is necessary to implement new functions such as a function of holding information for distinguishing whether the encryption key is temporarily used or normally used in the mobile terminal. is there. That is, it is not possible to reduce the interruption of communication, that is, the period of silence, using the mobile terminal currently used as it is.

そこで、移動端末に、新たな構成を付加することなく、ハンドオーバ時の無音状態の期間を減少させることが望まれている。   Therefore, it is desired to reduce the period of silent state at the time of handover without adding a new configuration to the mobile terminal.

本発明は、上記事情に鑑み、なされたものであり、複数のアクセスポイントを備える無線LANシステムにおいて、移動端末がハンドオーバする可能性のあるアクセスポイントに、予め当該移動端末の認証情報を送信しておき、ハンドオーバ時には、移動端末とアクセスポイントとの間のみで認証を行う。   The present invention has been made in view of the above circumstances, and in a wireless LAN system including a plurality of access points, authentication information of the mobile terminal is transmitted in advance to an access point where the mobile terminal may be handed over. At the time of handover, authentication is performed only between the mobile terminal and the access point.

具体的には、移動端末を外部ネットワークに接続する複数のアクセスポイントと、前記移動端末の認証を行う認証サーバとを備える移動通信システムであって、前記認証サーバは、前記複数のアクセスポイントの中の1のアクセスポイントを介して前記移動端末からの認証要求を受け取ると、当該移動端末の認証を行う認証手段と、前記認証手段での認証後、当該移動端末の認証情報を、当該移動端末が自身の管理エリアに移動する可能性のあるアクセスポイントとして予め管理されているアクセスポイントへ送信する認証情報共有指示手段と、を備え前記アクセスポイントは、前記移動端末の認証情報を保持する認証サーバから送信された前記移動端末の認証情報を共有認証情報として保持する共有認証情報保持手段と、前記移動端末から認証要求を受信した場合、前記共有認証情報に当該移動端末の認証情報が保持されているか否かを判断し、保持されている場合、当該共有情報に保持されている認証情報を用いて認証を行い、保持されていない場合、前記認証サーバとの間の当該移動端末の認証の仲介を行う認証処理手段と、を備えることを特徴とする移動通信システムを提供する。   Specifically, a mobile communication system comprising a plurality of access points for connecting a mobile terminal to an external network and an authentication server for authenticating the mobile terminal, wherein the authentication server is one of the plurality of access points. When the authentication request from the mobile terminal is received via the one access point, the authentication means for authenticating the mobile terminal, and the authentication information of the mobile terminal after the authentication by the authentication means, Authentication information sharing instruction means for transmitting to an access point that is managed in advance as an access point that may move to its own management area, the access point from an authentication server that holds authentication information of the mobile terminal Shared authentication information holding means for holding transmitted authentication information of the mobile terminal as shared authentication information, and from the mobile terminal When the authentication request is received, it is determined whether the authentication information of the mobile terminal is held in the shared authentication information. If the authentication request is held, authentication is performed using the authentication information held in the shared information. And a mobile communication system comprising: an authentication processing unit that mediates authentication of the mobile terminal with the authentication server if not held.

本発明によれば、無線LANシステムにおいて、従来の移動端末をそのまま用いて、ハンドオーバ時の無音状態の期間を減少させることができる。   According to the present invention, in a wireless LAN system, a conventional mobile terminal can be used as it is, and the period of silence during handover can be reduced.

以下に、本発明を適用した実施形態を説明する。   Embodiments to which the present invention is applied will be described below.

本実施形態のシステム構成図は、図2に示した従来のシステム構成図と同様であるため、これを利用して説明する。   The system configuration diagram of this embodiment is the same as the conventional system configuration diagram shown in FIG. 2, and will be described using this.

まず、本実施形態の認証手順の概略を説明する。   First, the outline of the authentication procedure of this embodiment will be described.

本実施形態の認証手順は、従来の認証手順(図13参照)におけるS004の認証を省略するものである。   The authentication procedure of this embodiment omits the authentication in S004 in the conventional authentication procedure (see FIG. 13).

本実施形態のハンドオーバ発生時の認証手順の概略を、図3に示す。   An outline of the authentication procedure at the time of occurrence of handover according to the present embodiment is shown in FIG.

本図に示すように、移動端末100は、無線AP201のエリアに移動すると、無線AP201に認証要求し(S001a)、その後、無線AP201は、認証サーバ300との間で、移動端末100の認証を行う(S002a)。認証処理後、移動端末100が無線AP201を介して相手先端末600とデータ送受信中に、認証サーバ300は、無線AP201の近傍の無線AP202に、移動端末100の認証情報を予め送信しておく(S003a)。   As shown in this figure, when the mobile terminal 100 moves to the area of the wireless AP 201, the wireless AP 201 requests authentication to the wireless AP 201 (S001a), and then the wireless AP 201 authenticates the mobile terminal 100 with the authentication server 300. Perform (S002a). After the authentication processing, while the mobile terminal 100 is transmitting / receiving data to / from the counterpart terminal 600 via the wireless AP 201, the authentication server 300 transmits authentication information of the mobile terminal 100 to the wireless AP 202 in the vicinity of the wireless AP 201 in advance ( S003a).

移動端末100が、無線AP201から無線AP202にハンドオーバした場合、無線AP202は、S003aで受信している認証情報を用いて、移動端末100を認証する(S004a)。   When the mobile terminal 100 is handed over from the wireless AP 201 to the wireless AP 202, the wireless AP 202 authenticates the mobile terminal 100 using the authentication information received in S003a (S004a).

以上の方法により、本実施形態では、移動端末100が無線AP200間をハンドオーバした場合、ハンドオーバ先の無線APにおいて、再度認証サーバ300を介して、認証を行う必要がない。   According to the above method, in the present embodiment, when the mobile terminal 100 performs handover between the wireless APs 200, it is not necessary to perform authentication again via the authentication server 300 in the handover target wireless AP.

次に、本実施形態の移動端末100と、無線AP200と、認証サーバ300との間の認証時の動作シーケンスを説明する。図4に、本実施形態の認証シーケンスを示す。   Next, an operation sequence at the time of authentication among the mobile terminal 100, the wireless AP 200, and the authentication server 300 according to the present embodiment will be described. FIG. 4 shows an authentication sequence of the present embodiment.

ここでは、移動端末100は、まず、無線AP201が管理するエリアで新規に認証要求を行い、その後、無線AP202が管理するエリアに移動する場合を例にあげて説明する。無線AP202および無線AP204は、無線AP201からハンドオーバがあり得る無線AP200(近傍無線AP)として、また、無線AP204は、無線AP202の近傍無線APとして、認証サーバ300で管理されるものとする。図14に示す従来のシーケンスと同様、IEEE802.1x規格に従ったEAP−MD5による認証動作を例にあげて説明する。   Here, a case will be described as an example where the mobile terminal 100 first makes an authentication request in an area managed by the wireless AP 201 and then moves to the area managed by the wireless AP 202. The wireless AP 202 and the wireless AP 204 are managed by the authentication server 300 as a wireless AP 200 (nearby wireless AP) that can be handed over from the wireless AP 201, and the wireless AP 204 is managed as a nearby wireless AP of the wireless AP 202. As in the conventional sequence shown in FIG. 14, an authentication operation by EAP-MD5 according to the IEEE 802.1x standard will be described as an example.

移動端末100が、無線AP201を介して、新規に認証要求をする場合の、認証手順は、図14に示す従来のシーケンス(ステップ(1)から(12))と基本的に同様であるため、ここでは、説明しない。   When the mobile terminal 100 makes a new authentication request via the wireless AP 201, the authentication procedure is basically the same as the conventional sequence (steps (1) to (12)) shown in FIG. It will not be described here.

認証情報共有要求:認証サーバ300は、ステップ(8)のRADIUSアクセス要求を受けて行った認証が成功すると、要求元の無線AP201の近傍の無線AP200として管理されている無線AP200を抽出する。ここでは、無線AP202、無線AP204に送信する(ステップ(13))。そして、抽出した全無線AP200に向けて、移動端末100の認証情報を、認証情報共有要求として送信する。   Authentication information sharing request: When the authentication performed in response to the RADIUS access request in step (8) is successful, the authentication server 300 extracts the wireless AP 200 managed as the wireless AP 200 in the vicinity of the requesting wireless AP 201. Here, it transmits to wireless AP202 and wireless AP204 (step (13)). Then, the authentication information of the mobile terminal 100 is transmitted as an authentication information sharing request to all the extracted wireless APs 200.

認証情報登録:認証サーバ300から、認証情報共有要求を受信した無線AP202および無線AP204は、受信した移動端末100の認証情報をそれぞれ共有認証情報として保持する(ステップ(14))。   Authentication information registration: The wireless AP 202 and the wireless AP 204 that have received the authentication information sharing request from the authentication server 300 hold the received authentication information of the mobile terminal 100 as shared authentication information (step (14)).

認証情報共有応答:その後、無線AP202および無線AP204は、認証情報共有応答を認証サーバ300に返信する(ステップ(15))。   Authentication information sharing response: Thereafter, the wireless AP 202 and the wireless AP 204 return an authentication information sharing response to the authentication server 300 (step (15)).

なお、ステップ(13)から(15)の処理は、本実施形態では、移動端末100と相手先端末600との間のデータの送受信開始後に行うよう記載しているが、ステップ(9)の認証成功後であって(16)の移動端末100のエリア移動前であれば、いつでもよい。   In this embodiment, the processing of steps (13) to (15) is described to be performed after the start of data transmission / reception between the mobile terminal 100 and the counterpart terminal 600, but the authentication of step (9) is described. As long as it is after the success and before the area movement of the mobile terminal 100 of (16), it may be anytime.

エリア移動:データ送受信中の移動端末100が、無線AP201が管理するエリアから、無線AP202が管理するエリアに移動し、ハンドオーバが発生する(ステップ(16))。   Area movement: The mobile terminal 100 during data transmission / reception moves from the area managed by the wireless AP 201 to the area managed by the wireless AP 202, and a handover occurs (step (16)).

EAPOL Start : 移動端末100は、PPP EAPOL開始処理として無線AP202に認証開始メッセージ(認証要求)を送信する(ステップ(17))。   EAPOL Start: The mobile terminal 100 transmits an authentication start message (authentication request) to the wireless AP 202 as PPP EAPOL start processing (step (17)).

PPP EAPOL-Request/Identity : 認証開始メッセージ(認証要求)を受信した無線AP202は、移動端末100の識別子(ID)を要求するPPP EAP要求を、移動端末100に送信する(ステップ(18))。   PPP EAPOL-Request / Identity: The wireless AP 202 that has received the authentication start message (authentication request) transmits a PPP EAP request for requesting an identifier (ID) of the mobile terminal 100 to the mobile terminal 100 (step (18)).

PPP EAP-Response/Identity : PPP EAP要求を受信した移動端末100は、自身のIDであるユーザ名を、PPP EAP応答として、無線AP202に通知する(ステップ(19))。   PPP EAP-Response / Identity: The mobile terminal 100 that has received the PPP EAP request notifies the wireless AP 202 of the user name as its own ID as a PPP EAP response (step (19)).

PPP EAP-Request/MD5-Cha11enge : 無線AP202は、受信したIDを自身が共有認証情報として保持しているか否かを確認し、保持している場合、乱数を生成し、PPP EAP要求として、移動端末100に送信する(ステップ(20))。   PPP EAP-Request / MD5-Cha11enge: The wireless AP 202 checks whether or not the received ID is held as shared authentication information, and if so, generates a random number and moves as a PPP EAP request. It transmits to the terminal 100 (step (20)).

PPP EAP-Response/MD5-Cha11enge : 移動端末100は、無線AP202から通知された乱数と、自身の識別子(ID)と、パスワードとを用いて、MD5のメッセージダイジェスト関数値を算出し、無線AP202に通知する(ステップ(21))。   PPP EAP-Response / MD5-Cha11enge: The mobile terminal 100 calculates the MD5 message digest function value using the random number notified from the wireless AP 202, its own identifier (ID), and the password, and sends it to the wireless AP 202. Notification is made (step (21)).

PPP EAP-Success / Failure: 無線AP202は、自身が共有認証情報として保持しているIDとパスワードとステップ(20)で送信した乱数とを用いてメッセージダイジェスト関数値を算出し、受けとった値と比較することにより、認証を行う。そして、認証の成否を移動端末100に通知する。認証が不成功の場合は、通常の認証時の不成功の場合と同様の処理を行う(ステップ(22))。   PPP EAP-Success / Failure: The wireless AP 202 calculates a message digest function value using the ID and password held as shared authentication information, and the random number transmitted in step (20), and compares it with the received value. By doing so, authentication is performed. Then, the mobile terminal 100 is notified of the success or failure of the authentication. If the authentication is unsuccessful, the same processing as in the case of unsuccessful authentication during normal authentication is performed (step (22)).

PPP EAPOL-Key : ステップ(22)において、認証成功の場合、無線AP202は、移動端末100に、暗号鍵情報を送信する(ステップ(23))。これ以降、移動端末100は、この暗号鍵を用いて、送信するデータを暗号化することにより、外部ネットワーク500との通信が可能となる(ステップ(24))。   PPP EAPOL-Key: If the authentication is successful in step (22), the wireless AP 202 transmits encryption key information to the mobile terminal 100 (step (23)). Thereafter, the mobile terminal 100 can communicate with the external network 500 by encrypting data to be transmitted using the encryption key (step (24)).

端末移動通知:ステップ(20)において、受信したIDを共有認証情報として保持している場合、新たな認証要求ではなく、エリア移動によるハンドオーバであると判断する。そして、ステップ(23)において暗号鍵情報の送信を行った後、無線AP202は、認証サーバ300に、端末が自身の管理エリアに移動してきたことを通知するため、端末移動通知を送信する(ステップ(25))。なお、本通知処理は、次のエリア移動までの間であれば、いつでもよい。   Terminal movement notification: If the received ID is held as shared authentication information in step (20), it is determined that the handover is not due to a new authentication request but is due to area movement. After transmitting the encryption key information in step (23), the wireless AP 202 transmits a terminal movement notification to notify the authentication server 300 that the terminal has moved to its own management area (step (23)). (25)). The notification process may be performed at any time until the next area movement.

端末移動応答:認証サーバ300は、端末移動通知を受信すると、送信元の無線AP200に、当該通知を受信したことを通知するため、端末移動応答を送信する(ステップ(26))。   Terminal movement response: Upon receiving the terminal movement notification, the authentication server 300 transmits a terminal movement response to notify the wireless AP 200 of the transmission source that the notification has been received (step (26)).

認証情報解除要求:認証サーバ300は、ハンドオーバ前に端末移動通知内に含まれる移動端末100の通信を中継していた無線AP200(ここでは無線AP201)の近傍無線APとして管理されている無線AP200(ここでは無線AP202、204)に、認証情報解除要求を送信する(ステップ(27))。   Authentication information release request: The authentication server 300 is managed as a wireless AP 200 (as a wireless AP 200 (here, wireless AP 201)) that is relaying the communication of the mobile terminal 100 included in the terminal movement notification before the handover. Here, an authentication information release request is transmitted to the wireless APs 202 and 204) (step (27)).

認証情報解除:認証サーバ300から認証情報解除要求を受信した無線AP200は、自身が保持している共有認証情報から、該当する移動端末100の認証情報を削除する(ステップ(28))。   Authentication information cancellation: The wireless AP 200 that has received the authentication information cancellation request from the authentication server 300 deletes the authentication information of the corresponding mobile terminal 100 from the shared authentication information held by itself (step (28)).

認証情報解除応答:ステップ(28)の削除処理を終えると、無線AP20は、その旨を認証情報解除応答として認証サーバ300に通知する(ステップ(29))。   Authentication information cancellation response: When the deletion process of step (28) is completed, the wireless AP 20 notifies the authentication server 300 as an authentication information cancellation response (step (29)).

認証情報共有要求:認証情報解除応答を各無線AP200(ここでは、無線AP202、204)から受信すると、上記ステップ(25)で受信した端末移動通知の送信元無線AP200(ここでは、無線AP202)の近傍の無線APとして管理されている無線AP200(ここでは、無線AP204)に認証情報共有要求を送信し、上記ステップ(14)、(15)の処理を行い、近傍の無線APに移動端末100の認証情報を登録する。   Authentication information sharing request: When an authentication information release response is received from each wireless AP 200 (here, wireless APs 202 and 204), the transmission source wireless AP 200 (here, wireless AP 202) of the terminal movement notification received in step (25) above. The authentication information sharing request is transmitted to the wireless AP 200 (in this case, the wireless AP 204) managed as a nearby wireless AP, the processes of the above steps (14) and (15) are performed, and the mobile terminal 100 transmits to the nearby wireless AP. Register authentication information.

次に、上記処理動作を実現する本実施形態の各構成要素の詳細を説明する。   Next, details of each component of the present embodiment that realizes the processing operation will be described.

まず、本実施形態の認証サーバ300について説明する。図5は、認証サーバ300の機能ブロック図である。   First, the authentication server 300 of this embodiment will be described. FIG. 5 is a functional block diagram of the authentication server 300.

本図に示すように、認証サーバ300は、RADIUSサーバ部301と、有線LAN制御部302と、認証情報共有管理部303とを備える。   As shown in the figure, the authentication server 300 includes a RADIUS server unit 301, a wired LAN control unit 302, and an authentication information sharing management unit 303.

有線LAN制御部302は、有線LANの送受信を制御する。本実施形態では、RADIUSプロトコルに従ったアクセス要求は、RADIUSサーバ部301に受け渡し、その他の認証情報共有要求、端末移動通知、認証情報解除溶融など認証情報共有に関する情報は、認証情報共有管理部303に受け渡す。   The wired LAN control unit 302 controls transmission / reception of the wired LAN. In the present embodiment, an access request according to the RADIUS protocol is transferred to the RADIUS server unit 301, and other authentication information sharing requests such as authentication information sharing request, terminal movement notification, authentication information release melting, and the like are stored in the authentication information sharing management unit 303. Pass to.

RADIUSサーバ部301は、通常のRADIUSサーバとしての処理を行うとともに、認証結果を認証情報共有管理部303に通知する。   The RADIUS server unit 301 performs processing as a normal RADIUS server and notifies the authentication information sharing management unit 303 of the authentication result.

RADIUSサーバ部301は、通常のRADIUSサーバと同様の認証処理を行う認証処理部3011と、認証結果を認証情報共有管理部303に通知する認証通知部3012と、予め登録されている各移動端末100の認証情報を保持する認証情報テーブル3013とを備える。   The RADIUS server unit 301 includes an authentication processing unit 3011 that performs the same authentication process as that of a normal RADIUS server, an authentication notification unit 3012 that notifies an authentication result to the authentication information sharing management unit 303, and each mobile terminal 100 registered in advance. And an authentication information table 3013 that holds the authentication information.

認証処理部3011は、無線AP200から移動端末100の認証要求を受信すると、認証情報テーブル3013を参照することにより、要求元の移動端末100の正当性を確認する。そして、認証の成否を、要求元の無線AP200に通知する。これらの機能は、従来の認証サーバ300の機能と同じである。   Upon receiving an authentication request for the mobile terminal 100 from the wireless AP 200, the authentication processing unit 3011 confirms the validity of the requesting mobile terminal 100 by referring to the authentication information table 3013. Then, the requesting wireless AP 200 is notified of the success or failure of the authentication. These functions are the same as those of the conventional authentication server 300.

上記の認証シーケンスでいえば、ステップ(4)で受信したアクセス要求に従って、ステップ(5)のRADIUS Access Challenge処理を行い、RADIUSアクセスチャレンジを送信する処理、および、ステップ(8)でRADIUSアクセス要求を受信し、上記の認証を行い、ステップ(9)で結果を通知する処理を行う。   Speaking of the above authentication sequence, in accordance with the access request received in step (4), the RADIUS access challenge process in step (5) is performed and the RADIUS access challenge is transmitted, and the RADIUS access request is transmitted in step (8). It receives, performs the above authentication, and performs a process of notifying the result in step (9).

ここで、認証情報テーブル3013の一例を図6に示す。本図に示すように、認証情報テーブル3013は、移動端末100の識別子であるIDが保持されるID保持部3013aと、パスワードが保持されるパスワード保持部3013bと、移動端末100を認証する際に生成する乱数を保持する乱数保持部3013cとを備える。   An example of the authentication information table 3013 is shown in FIG. As shown in this figure, the authentication information table 3013 is used to authenticate the mobile terminal 100 with an ID holding unit 3013a that holds an ID that is an identifier of the mobile terminal 100, a password holding unit 3013b that holds a password. A random number holding unit 3013c that holds a random number to be generated.

IDとパスワードとは、個々の移動端末100毎に、予め登録され、また、乱数は、上記のRADIUS Access Challenge処理時に作成したものが格納される。   The ID and the password are registered in advance for each mobile terminal 100, and the random numbers stored in the RADIUS Access Challenge process are stored.

認証通知部3012は、認証が成功した場合、認証が成功した移動端末100の認証情報と中継する無線AP200を特定する情報(以後、無線AP識別子と呼ぶ。)とを認証情報共有管理部303に通知する。上記の認証シーケンスでは、ステップ(9)の認証の成否を通知した後、通知を行う。   If the authentication is successful, the authentication notification unit 3012 sends authentication information of the mobile terminal 100 that has been successfully authenticated and information (hereinafter referred to as a wireless AP identifier) that identifies the wireless AP 200 to be relayed to the authentication information sharing management unit 303. Notice. In the above authentication sequence, notification is made after notifying success or failure of the authentication in step (9).

認証情報共有管理部303は、共有管理処理部3031と、近傍AP管理テーブル3032と、移動端末管理テーブル3033とを備える。   The authentication information sharing management unit 303 includes a sharing management processing unit 3031, a neighboring AP management table 3032, and a mobile terminal management table 3033.

近傍AP管理テーブル3032は、本認証サーバ303に接続された無線AP200ごとに、近傍の無線AP200を管理するものである。   The neighboring AP management table 3032 manages the neighboring wireless AP 200 for each wireless AP 200 connected to the authentication server 303.

近傍AP管理テーブル3032の一例を図7に示す。これは、図1のように無線AP200が配置されている場合の近傍AP管理テーブル3032の一例である。   An example of the neighboring AP management table 3032 is shown in FIG. This is an example of the neighboring AP management table 3032 when the wireless AP 200 is arranged as shown in FIG.

本図に示すように、近傍AP管理テーブル3032は、無線AP200の識別子を格納する無線AP識別子格納部3032aと、無線AP識別子格納部3032aに格納される無線AP200の近傍エリアを管理する無線AP200の識別子を格納する近傍無線AP識別子格納部3032bとを備える。近傍無線AP識別子格納部3032bには、無線AP識別子格納部3032aに格納された無線AP200からハンドオーバする可能性のある無線AP200の識別子が全て格納される。本テーブルは、無線LANシステム構築時にシステム設計者などにより登録される。   As shown in the figure, the neighboring AP management table 3032 includes a wireless AP identifier storage unit 3032a that stores an identifier of the wireless AP 200 and a wireless AP 200 that manages a neighboring area of the wireless AP 200 stored in the wireless AP identifier storage unit 3032a. A proximity wireless AP identifier storage unit 3032b for storing the identifier. The nearby wireless AP identifier storage unit 3032b stores all identifiers of wireless APs 200 that may be handed over from the wireless AP 200 stored in the wireless AP identifier storage unit 3032a. This table is registered by a system designer or the like when the wireless LAN system is constructed.

移動端末管理テーブル3033は、無線AP200が、現在通信を中継している移動端末100を管理するテーブルである。図8に一例を示す。   The mobile terminal management table 3033 is a table for managing the mobile terminal 100 to which the wireless AP 200 is currently relaying communication. An example is shown in FIG.

本図に示すように、移動端末管理テーブル3033は、無線AP200の識別子を格納する無線AP識別子格納部3033aと、その無線APのエリア内の移動端末100のIDを保持するID格納部3033bとを備える。本テーブルは、後述の共有管理処理部3031が、認証通知部3012より情報を受信し、それを格納することにより構築される。   As shown in this figure, the mobile terminal management table 3033 includes a wireless AP identifier storage unit 3033a that stores the identifier of the wireless AP 200, and an ID storage unit 3033b that stores the ID of the mobile terminal 100 in the area of the wireless AP. Prepare. This table is constructed by a share management processing unit 3031 (to be described later) receiving information from the authentication notification unit 3012 and storing it.

共有管理処理部3031は、移動端末管理テーブル3033を生成し、また、近傍の無線AP200に認証情報を送信する。さらに、端末移動通知を受信すると、認証情報の削除指示を送信する。   The share management processing unit 3031 generates a mobile terminal management table 3033 and transmits authentication information to the nearby wireless AP 200. Further, upon receiving the terminal movement notification, an authentication information deletion instruction is transmitted.

認証通知部3012から、仲介した無線AP200の識別子とともに、所定の移動端末100の認証成功の通知を受信すると、共有管理処理部3031は、移動端末管理テーブル3033にアクセスする。移動端末100のIDを検索し、ID格納部3033bに保持されていれば、当該データを削除する。そして、受信した無線AP200の識別子と移動端末100のIDとの組を、新たなデータとして格納する。   When the notification of successful authentication of the predetermined mobile terminal 100 is received from the authentication notification unit 3012 together with the identifier of the intervening wireless AP 200, the sharing management processing unit 3031 accesses the mobile terminal management table 3033. If the ID of the mobile terminal 100 is searched and stored in the ID storage unit 3033b, the data is deleted. Then, the received set of the identifier of the wireless AP 200 and the ID of the mobile terminal 100 is stored as new data.

次に、共有管理処理部3031は、仲介した無線AP200の近傍の無線AP200に、その移動端末100の認証情報を共有認証情報として送信する。近傍の無線AP200は、受信した情報に格納されている無線AP200の識別子をキーに、近傍AP管理テーブル3032から抽出する。   Next, the sharing management processing unit 3031 transmits the authentication information of the mobile terminal 100 as shared authentication information to the wireless AP 200 in the vicinity of the mediated wireless AP 200. The neighboring wireless AP 200 extracts from the neighboring AP management table 3032 using the identifier of the wireless AP 200 stored in the received information as a key.

また、共有管理処理部3031は、認証シーケンスのステップ(25)の無線AP200から移動端末100がエリアに移動してきたことを示す端末移動通知を受信すると、端末移動応答を送信するとともに、以下の処理、すなわち、認証シーケンスの、ステップ(27)からステップ(32)の処理を行う。   When the share management processing unit 3031 receives a terminal movement notification indicating that the mobile terminal 100 has moved to the area from the wireless AP 200 in step (25) of the authentication sequence, the share management processing unit 3031 transmits a terminal movement response and performs the following processing. That is, the processing from step (27) to step (32) of the authentication sequence is performed.

まず、端末移動通知に含まれる移動端末100のIDをキーに移動端末管理テーブル3033から、ハンドオーバ前に仲介していた無線AP200を抽出する。次に、近傍AP管理テーブル3032から、抽出した無線AP200の近傍の無線AP200として管理されている無線AP200を抽出し、それらに認証情報解除要求を送信する。   First, the wireless AP 200 mediated before the handover is extracted from the mobile terminal management table 3033 using the ID of the mobile terminal 100 included in the terminal movement notification as a key. Next, the wireless AP 200 managed as the wireless AP 200 in the vicinity of the extracted wireless AP 200 is extracted from the neighboring AP management table 3032 and an authentication information release request is transmitted to them.

なお、認証情報解除要求には、少なくとも、認証情報を削除すべき移動端末100を特定するIDが含まれる。   Note that the authentication information release request includes at least an ID for identifying the mobile terminal 100 from which the authentication information is to be deleted.

その後、端末移動通知に含まれる無線AP200の識別子と移動端末100のIDとを、新たなデータとして移動端末管理テーブル3033に追加する。   Thereafter, the identifier of the wireless AP 200 and the ID of the mobile terminal 100 included in the terminal movement notification are added to the mobile terminal management table 3033 as new data.

次に、認証情報解除要求を送信した全ての無線AP200から認証情報解除応答を受信すると、受信した端末移動通知に含まれる無線AP200の識別子をキーにその無線AP200の近傍の無線AP200として近傍AP管理テーブル3032に格納されている無線AP200を抽出し、それらに、端末移動通知に含まれる移動端末100の認証情報を送信する。なお、認証情報は、認証情報テーブル3013から抽出する。   Next, when authentication information cancellation responses are received from all the wireless APs 200 that transmitted the authentication information cancellation request, the neighboring AP management is performed as a wireless AP 200 in the vicinity of the wireless AP 200 using the identifier of the wireless AP 200 included in the received terminal movement notification as a key. The wireless APs 200 stored in the table 3032 are extracted, and the authentication information of the mobile terminal 100 included in the terminal movement notification is transmitted to them. The authentication information is extracted from the authentication information table 3013.

図9は、認証サーバ300のハードウェアブロック図である。   FIG. 9 is a hardware block diagram of the authentication server 300.

本図に示すように、認証サーバ300は、主制御ユニットであるMPU81と、プログラムや設定データを保持するROM82と、ワーク用メモリであるRAM83と、有線LANとの接続インタフェースである有線LANモジュール85とを備える。   As shown in this figure, the authentication server 300 includes an MPU 81 that is a main control unit, a ROM 82 that holds programs and setting data, a RAM 83 that is a work memory, and a wired LAN module 85 that is a connection interface with a wired LAN. With.

図5で説明したRADIUSサーバ部301、有線LAN制御部302、認証情報共有管理部303および認証通知部3012の機能は、ROM82に格納されたプログラムをMPU81が実行することにより実現される。また、認証情報テーブル3013、近傍AP管理テーブル3032、移動端末管理テーブル3033は、ROM82に格納される。   The functions of the RADIUS server unit 301, the wired LAN control unit 302, the authentication information sharing management unit 303, and the authentication notification unit 3012 described with reference to FIG. 5 are realized by the MPU 81 executing the program stored in the ROM 82. The authentication information table 3013, the neighboring AP management table 3032, and the mobile terminal management table 3033 are stored in the ROM 82.

次に、本実施形態の無線AP200について説明する。   Next, the wireless AP 200 of this embodiment will be described.

図10は、本実施形態の無線AP200の機能ブロック図である。以下においては、本実施形態に特有の機能を説明するために必須の構成のみ、抽出して説明する。   FIG. 10 is a functional block diagram of the wireless AP 200 of the present embodiment. In the following description, only the components essential to explain the functions specific to the present embodiment will be extracted and described.

本図に示すように、無線AP200は、認証情報登録・管理制御部21と、認証情報共有制御部22と、RADIUS制御部23と、EAPOL(EAPover LAN)制御部24と、MAC(Media Access Control)フレーム送受信制御部25と、有線LAN制御部26と、無線LAN制御部27と、を備える。   As shown in the figure, the wireless AP 200 includes an authentication information registration / management control unit 21, an authentication information sharing control unit 22, a RADIUS control unit 23, an EAPOL (EAP over LAN) control unit 24, and a MAC (Media Access Control). A frame transmission / reception control unit 25, a wired LAN control unit 26, and a wireless LAN control unit 27 are provided.

有線LAN制御部26は、有線LAN通信の送受信を制御し、無線LAN制御部27は、無線LAN通信の送受信を制御する。   The wired LAN control unit 26 controls transmission / reception of wired LAN communication, and the wireless LAN control unit 27 controls transmission / reception of wireless LAN communication.

MACフレーム送受信制御部25は、有線と無線間のイーサネットフレーム送受信を制御する。本実施形態では、認証情報共有制御部22、RADIUS制御部23、EAPOL制御部24から要求されたパケット送信要求をイーサネットフレーム化する。また、有線LAN制御部/無線LAN制御部から受信したイーサネットフレームをフレームの内容/共有情報の状態によって、それぞれ、データに応じた処理部である、認証情報共有制御部22、RADIUS制御部23、EAPOL制御部24に受け渡たす。認証情報共有制御部22、RADIUS制御部23、EAPOL制御部24に送信する。   The MAC frame transmission / reception control unit 25 controls Ethernet frame transmission / reception between wired and wireless. In the present embodiment, the packet transmission request requested from the authentication information sharing control unit 22, the RADIUS control unit 23, and the EAPOL control unit 24 is converted into an Ethernet frame. In addition, the Ethernet frame received from the wired LAN control unit / wireless LAN control unit is a processing unit corresponding to the data depending on the frame content / shared information state, respectively, an authentication information sharing control unit 22, a RADIUS control unit 23, Delivered to the EAPOL control unit 24. It transmits to the authentication information sharing control unit 22, the RADIUS control unit 23, and the EAPOL control unit 24.

本実施形態の無線AP200は、IEEE802.1xに従い、移動端末100の認証を行うにあたり、無線側(対移動端末100側)はEAPOLプロトコルを採用し、有線側(対認証サーバ300側)はRADIUSプロトコルを採用する。従って、無線AP200は、認証用サーバ300に対し、RADIUSクライアントとして動作する。   The wireless AP 200 according to the present embodiment employs the EAPOL protocol on the wireless side (to the mobile terminal 100 side) and the RADIUS protocol on the wired side (to the authentication server 300 side) when authenticating the mobile terminal 100 in accordance with IEEE 802.1x. Is adopted. Therefore, the wireless AP 200 operates as a RADIUS client with respect to the authentication server 300.

このため、本実施形態では、無線AP200と認証サーバ300との間の認証処理に係るRADIUSプロトコルに従ったフレームの場合、データを、RADIUS制御部23に、無線AP200と移動端末100との認証処理に係るEAPOLプロトコルに従ったフレームの場合フレームの場合、EAPOL制御部24に受け渡す。また、共有する認証情報の処理に係るフレームの場合、認証情報共有制御部22に受け渡す。   Therefore, in the present embodiment, in the case of a frame in accordance with the RADIUS protocol related to the authentication process between the wireless AP 200 and the authentication server 300, the data is sent to the RADIUS control unit 23 and the authentication process between the wireless AP 200 and the mobile terminal 100 is performed. In the case of a frame according to the EAPOL protocol, the frame is transferred to the EAPOL control unit 24. Further, in the case of a frame related to processing of authentication information to be shared, the frame is transferred to the authentication information sharing control unit 22.

RADIUS制御部23は、無線AP200と認証サーバ300との間の認証時のRADIUSプロトコル制御を行い、EAPOL制御部24は、無線AP200と移動端末100との間の認証時のEAPOLプロトコル制御を行う。   The RADIUS control unit 23 performs RADIUS protocol control during authentication between the wireless AP 200 and the authentication server 300, and the EAPOL control unit 24 performs EAPOL protocol control during authentication between the wireless AP 200 and the mobile terminal 100.

認証情報共有制御部22は、無線AP200と認証サーバ300間でやりとりされる上述の処理に係るメッセージの処理を行う。本実施形態では、認証サーバ300と送受信する共有認証情報、認証情報解除要求、端末移動通知など、RADIUSプロトコル制御およびEAPOLプロトコル制御に用いられないデータについて、MACフレーム送受信制御部25と認証情報登録・管理制御部21との間を中継する。   The authentication information sharing control unit 22 performs message processing related to the above-described processing exchanged between the wireless AP 200 and the authentication server 300. In this embodiment, the MAC frame transmission / reception control unit 25 and the authentication information registration / registration for data not used for RADIUS protocol control and EAPOL protocol control, such as shared authentication information transmitted / received to / from the authentication server 300, authentication information release request, terminal movement notification, etc. Relay with the management control unit 21.

認証情報登録・管理制御部21は、移動端末100を認証するための情報を保持し、認証処理を制御する。認証情報登録・管理制御部21は、移動端末100からの認証要求を受信し、認証を行う認証処理部2101と、認証サーバ300からの認証情報共有要求に従い、共有する認証情報を共有認証情報2104に登録する共有登録部2102と、認証サーバ300からの認証情報解除要求に従い、共有認証情報2104から指定されたデータを削除する削除処理部2103とを備える。   The authentication information registration / management control unit 21 holds information for authenticating the mobile terminal 100 and controls authentication processing. The authentication information registration / management control unit 21 receives the authentication request from the mobile terminal 100, and in accordance with the authentication information sharing request from the authentication processing unit 2101 that performs authentication and the authentication server 300, the shared authentication information 2104 And a deletion processing unit 2103 for deleting data designated from the shared authentication information 2104 in accordance with an authentication information release request from the authentication server 300.

共有登録部2102は、認証サーバ300から認証情報共有要求を受信すると、当該要求に含まれる認証情報を共有認証情報2104に保持する。これは、近傍の無線AP200が管理するエリア内の移動端末100の認証情報である。すなわち、前述の認証シーケンスのステップ(14)または(31)の処理を行う。   When the share registration unit 2102 receives the authentication information sharing request from the authentication server 300, the share registration unit 2102 holds the authentication information included in the request in the shared authentication information 2104. This is authentication information of the mobile terminal 100 in the area managed by the nearby wireless AP 200. That is, the process of step (14) or (31) of the authentication sequence described above is performed.

削除処理部2103は、認証サーバ300から認証情報解除要求として認証情報解除要求を受信すると、共有端末認証情報2104から、削除を指示された移動端末100の認証情報を削除し、削除後、認証情報解除応答を認証サーバ300に送信する。すなわち、前述の認証シーケンスのステップ(28)の処理を行う。   Upon receiving the authentication information release request as the authentication information release request from the authentication server 300, the deletion processing unit 2103 deletes the authentication information of the mobile terminal 100 instructed to be deleted from the shared terminal authentication information 2104. A cancellation response is transmitted to the authentication server 300. That is, the process of step (28) of the above authentication sequence is performed.

認証処理部2101は、移動端末100から認証要求を受けた場合、まず、共有認証情報2104を検索する。要求元の移動端末100の認証情報が格納されていた場合、その認証要求は、データ送受信中の移動端末100であって、新たに自身が管理するエリアに移動してきた移動端末100から送信されたものと判断し、共有認証情報2104内の認証情報を用いて送信元の移動端末100の認証を行うとともに、認証情報共有制御部22を介して、認証サーバ300に、端末移動通知を送信する。   When receiving an authentication request from the mobile terminal 100, the authentication processing unit 2101 first searches the shared authentication information 2104. If the authentication information of the requesting mobile terminal 100 is stored, the authentication request is transmitted from the mobile terminal 100 that is currently transmitting / receiving data and has newly moved to the area managed by itself. The mobile terminal 100 is authenticated using the authentication information in the shared authentication information 2104, and a terminal movement notification is transmitted to the authentication server 300 via the authentication information sharing control unit 22.

なお、端末移動通知には、少なくとも無線AP200の識別子と、移動端末100のIDとを含む。   Note that the terminal movement notification includes at least the identifier of the wireless AP 200 and the ID of the mobile terminal 100.

認証シーケンスで言えば、認証処理部2101は、ステップ(19)で、EAPOL制御部24を介してPPP EAP応答を受信すると、乱数を生成し、ステップ(20)でPPP EAP要求として、EAPOL制御部24を介して移動端末100に送信する。次に、ステップ(21)で、EAPOL制御部24を介して移動端末からMD5のメッセージダイジェスト関数値を受信すると、認証を行い、ステップ(22)および(23)で、EAPOL制御部24を介して、認証結果、および認証成功の場合暗号鍵情報を送信する。   Speaking of the authentication sequence, the authentication processing unit 2101 generates a random number when receiving a PPP EAP response via the EAPOL control unit 24 in step (19), and generates an EAPOL control unit as a PPP EAP request in step (20). 24 to the mobile terminal 100. Next, in step (21), when the MD5 message digest function value is received from the mobile terminal via the EAPOL control unit 24, authentication is performed. In steps (22) and (23), the EAPOL control unit 24 performs the authentication. If the authentication result is successful, the encryption key information is transmitted.

一方、共有認証情報2104に格納されていない場合、新たにデータの送受信を始める端末からの認証要求と判断し、認証処理部2101は、認証サーバ300により、通常の認証処理を行うための中継を行う。すなわち、Access Requestを認証サーバ300に送信するようRADIUS制御部23に要求する。認証シーケンスでは、ステップ(1)から(11)の処理である。   On the other hand, if it is not stored in the shared authentication information 2104, it is determined as an authentication request from a terminal that newly starts transmitting / receiving data, and the authentication processing unit 2101 uses the authentication server 300 to perform relay for performing normal authentication processing. Do. That is, the RADIUS control unit 23 is requested to transmit an Access Request to the authentication server 300. In the authentication sequence, steps (1) to (11) are performed.

図11は、無線AP200のハードウェアブロック図である。   FIG. 11 is a hardware block diagram of the wireless AP 200.

本図に示すように、無線AP200は、主制御ユニットであるMPU71と、プログラムや設定データを保持するROM72と、ワーク用メモリであるRAM73と、無線LANとの接続インタフェースである無線LANモジュール74と、有線LANとの接続インタフェースである有線LANモジュール75とを備える。   As shown in the figure, the wireless AP 200 includes an MPU 71 that is a main control unit, a ROM 72 that stores programs and setting data, a RAM 73 that is a work memory, and a wireless LAN module 74 that is a connection interface with the wireless LAN. And a wired LAN module 75 which is a connection interface with the wired LAN.

図10で説明した無線AP200の各機能は、ROM72に格納されたプログラムをMPU71が実行することにより実現される。また、各種データは、ROM72またはRAM73に保持される。   Each function of the wireless AP 200 described with reference to FIG. 10 is realized by the MPU 71 executing a program stored in the ROM 72. Various data are held in the ROM 72 or the RAM 73.

次に、上記の機能を有する無線AP200が、認証サーバ300または移動端末100から、認証処理に関する何らかの情報を受信した際の、認証情報登録・管理制御部21の処理を図12のフローを用いて説明する。   Next, the processing of the authentication information registration / management control unit 21 when the wireless AP 200 having the above function receives some information related to the authentication processing from the authentication server 300 or the mobile terminal 100 will be described with reference to the flow of FIG. explain.

受信した情報が、認証サーバ300からの共有認証情報であれば(S01)、受信した共有認証情報を共有認証情報2104に格納する(S02)。   If the received information is shared authentication information from the authentication server 300 (S01), the received shared authentication information is stored in the shared authentication information 2104 (S02).

移動端末100からの認証要求であれば(S03)、新規の認証要求であるか、ハンドオーバであるか判別する(S04)。これは、要求元の移動端末100の認証情報が、共有認証情報2104に格納されているか否かで判断を行い、格納されていれば、ハンドオーバと判断し、格納されていなければ、新規の接続と判断する。   If it is an authentication request from the mobile terminal 100 (S03), it is determined whether it is a new authentication request or a handover (S04). This is determined based on whether or not the authentication information of the requesting mobile terminal 100 is stored in the shared authentication information 2104. If it is stored, it is determined to be a handover, and if it is not stored, a new connection is determined. Judge.

ハンドオーバであれば、共有認証情報2104を用いて認証を行い、暗号化鍵を要求元移動端末100に送信する(S05)。   If it is a handover, authentication is performed using the shared authentication information 2104, and the encryption key is transmitted to the request source mobile terminal 100 (S05).

新規の接続であれば、認証サーバ300を介して行う、既存の認証手順により認証を行い、要求元移動端末100に暗号化鍵を送信する(S06)。   If it is a new connection, authentication is performed by the existing authentication procedure performed through the authentication server 300, and the encryption key is transmitted to the request source mobile terminal 100 (S06).

その後、端末移動通知を認証サーバ300の送信する(S07)。   Thereafter, the terminal movement notification is transmitted from the authentication server 300 (S07).

認証サーバ300からの認証情報解除要求であれば(S08)、指示された移動端末100の認証情報を共有認証情報2104から削除する(S09)。   If it is an authentication information release request from the authentication server 300 (S08), the authentication information of the instructed mobile terminal 100 is deleted from the shared authentication information 2104 (S09).

このように、本実施形態によれば、移動端末100からの認証要求を受けた際、無線AP200が、当該移動端末100の認証情報を保持していた場合、自身内で乱数を生成し、それを移動端末100に送信し、それに対して移動端末100から返信されたメッセージダイジェスト関数値と、共有認証情報2104内の認証情報を用いて生成したメッセージダイジェスト関数値とを比較することにより認証を行う。   As described above, according to the present embodiment, when the wireless AP 200 holds the authentication information of the mobile terminal 100 when receiving the authentication request from the mobile terminal 100, it generates a random number within itself, Authentication is performed by comparing the message digest function value returned from the mobile terminal 100 with the message digest function value generated using the authentication information in the shared authentication information 2104. .

このため、認証サーバ300にアクセスし、認証を行う場合に比べ、認証処理にかかる時間を短縮することができる。しかも、移動端末100には、何ら新たな機能を追加することなく、実現することができる。   For this reason, it is possible to reduce the time required for the authentication process as compared with the case where the authentication server 300 is accessed and authentication is performed. Moreover, the mobile terminal 100 can be realized without adding any new functions.

従って、本実施形態によれば、従来の移動端末をそのまま用いて、無線LANシステムにおけるハンドオーバ時の無音状態期間を減少させることができる。   Therefore, according to this embodiment, the conventional mobile terminal can be used as it is, and the silent state period at the time of handover in the wireless LAN system can be reduced.

なお、上記の実施形態において、認証情報解除要求は、ハンドオーバ前に仲介していた無線AP200の近傍の無線AP200(近傍無線APと呼ぶ)として、近傍AP管理テーブル3032に登録されている無線AP200全てに送信するよう構成しているが、これに限られない。   In the above embodiment, the authentication information release request is sent to all wireless APs 200 registered in the nearby AP management table 3032 as wireless APs 200 (referred to as nearby wireless APs) in the vicinity of the wireless AP 200 intervening before the handover. However, the present invention is not limited to this.

例えば、ハンドオーバ前に仲介していた無線AP200の近傍無線APとして近傍AP管理テーブル3032に管理されている無線AP200と、ハンドオーバ後の無線AP200の近傍無線APとして同テーブル3032に管理されている無線AP200とを比較し、ハンドオーバ前の近傍無線APとして管理されていて、ハンドオーバ後の近傍無線APではない無線AP200にのみ送信するよう構成してもよい。この場合、ハンドオーバ前後に仲介を行う無線AP200も認証情報解除要求送信先から除くよう構成する。   For example, the wireless AP 200 managed in the neighboring AP management table 3032 as the neighboring wireless AP of the wireless AP 200 intervening before the handover, and the wireless AP 200 managed in the table 3032 as the neighboring wireless AP of the wireless AP 200 after the handover. And may be configured to transmit only to a wireless AP 200 that is managed as a nearby wireless AP before handover and is not a nearby wireless AP after handover. In this case, the wireless AP 200 that mediates before and after the handover is also excluded from the authentication information release request transmission destination.

本構成の場合、その後の認証情報共有要求は、ハンドオーバ後の近傍無線APであってハンドオーバ前の近傍無線APでないもの(ハンドオーバ前後に仲介を行う無線AP200を除く)にのみ送信すればよい。   In the case of this configuration, the subsequent authentication information sharing request only needs to be transmitted to the neighboring wireless AP after the handover and not the neighboring wireless AP before the handover (except for the wireless AP 200 that mediates before and after the handover).

例えば、図7の例では、移動端末100が、無線AP201の管理エリアから、無線AP202の管理エリアに移動した場合、無線AP210と、無線AP214とに送信される。   For example, in the example of FIG. 7, when the mobile terminal 100 moves from the management area of the wireless AP 201 to the management area of the wireless AP 202, the mobile terminal 100 is transmitted to the wireless AP 210 and the wireless AP 214.

図1は、本実施形態の無線LANシステムのイメージ図である。FIG. 1 is an image diagram of the wireless LAN system of this embodiment. 図2は、本実施形態のシステム構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of a system configuration of the present embodiment. 図3は、本実施形態の認証手順の概略を示す図である。FIG. 3 is a diagram showing an outline of the authentication procedure of the present embodiment. 図4は、本実施形態の認証シーケンスである。FIG. 4 shows an authentication sequence according to this embodiment. 図5は、本実施形態の認証サーバの機能ブロック図である。FIG. 5 is a functional block diagram of the authentication server of the present embodiment. 図6は、本実施形態の認証情報テーブルの一例を示す図である。FIG. 6 is a diagram illustrating an example of the authentication information table according to the present embodiment. 図7は、本実施形態の近傍AP管理テーブルの一例を示す図である。FIG. 7 is a diagram illustrating an example of a neighboring AP management table according to the present embodiment. 図8は、本実施形態の移動端末管理テーブルの一例を示す図である。FIG. 8 is a diagram showing an example of the mobile terminal management table of the present embodiment. 図9は、本実施形態の認証サーバのハードウエアブロック図である。FIG. 9 is a hardware block diagram of the authentication server of this embodiment. 図10は、本実施形態の無線APの機能ブロック図である。FIG. 10 is a functional block diagram of the wireless AP of this embodiment. 図11は、本実施形態の無線APのハードウエアブロック図である。FIG. 11 is a hardware block diagram of the wireless AP according to the present embodiment. 図12は、本実施形態の認証情報登録・管理制御部の処理フローである。FIG. 12 is a processing flow of the authentication information registration / management control unit of the present embodiment. 図13は、従来の認証手順の概略を示す図である。FIG. 13 is a diagram showing an outline of a conventional authentication procedure. 図14は、従来の認証シーケンスである。FIG. 14 shows a conventional authentication sequence.

符号の説明Explanation of symbols

100:移動端末、200:無線AP、201〜215:無線AP、300:認証サーバ、400:ゲートウェイ、500:外部ネットワーク、600:相手端末、301:RADIUSサーバ部、302:有線LAN制御部、303:認証情報共有管理部、3011:認証処理部、3012:認証通知部、3013:認証情報テーブル、3031:共有管理処理部、3032:近傍AP管理テーブル、3033:移動端末管理テーブル、21:認証情報登録・管理制御部、22:認証情報共有制御部、23:RADIUS制御部、24:EAPOL制御部、25:MACフレーム送受信制御部、26:有線LAN制御部、27:無線LAN制御部、2101:認証処理部、2102:共有登録部2103:削除処理部、2104:共有認証情報 100: mobile terminal, 200: wireless AP, 201-215: wireless AP, 300: authentication server, 400: gateway, 500: external network, 600: partner terminal, 301: RADIUS server unit, 302: wired LAN control unit, 303 : Authentication information sharing management unit, 3011: authentication processing unit, 3012: authentication notification unit, 3013: authentication information table, 3031: sharing management processing unit, 3032: neighbor AP management table, 3033: mobile terminal management table, 21: authentication information Registration / management control unit 22: Authentication information sharing control unit 23: RADIUS control unit 24: EAPOL control unit 25: MAC frame transmission / reception control unit 26: Wired LAN control unit 27: Wireless LAN control unit 2101: Authentication processing unit, 2102: Share registration unit 2103: Delete processing unit, 2104: Share authentication Broadcast

Claims (6)

移動端末を外部ネットワークに接続する複数のアクセスポイントと、前記移動端末の認証を行う認証サーバとを備える移動通信システムであって、
前記認証サーバは、
前記複数のアクセスポイントの中の1のアクセスポイントを介して前記移動端末からの認証要求を受け取ると、当該移動端末の認証を行う認証手段と、
前記認証手段での認証後、当該移動端末の認証情報を、当該移動端末が自身の管理エリアに移動する可能性のあるアクセスポイントとして予め管理されているアクセスポイントへ送信する認証情報共有指示手段と、を備え
前記アクセスポイントは、
前記移動端末の認証情報を保持する認証サーバから送信された前記移動端末の認証情報を共有認証情報として保持する共有認証情報保持手段と、
前記移動端末から認証要求を受信した場合、前記共有認証情報に当該移動端末の認証情報が保持されているか否かを判断し、保持されている場合、当該共有情報に保持されている認証情報を用いて認証を行い、保持されていない場合、前記認証サーバとの間の当該移動端末の認証の仲介を行う認証処理手段と、を備えること
を特徴とする移動通信システム。 A mobile communication system comprising a plurality of access points for connecting a mobile terminal to an external network, and an authentication server for authenticating the mobile terminal,
The authentication server is
Upon receiving an authentication request from the mobile terminal via one access point of the plurality of access points, an authentication means for authenticating the mobile terminal;
Authentication information sharing instructing means for transmitting authentication information of the mobile terminal to an access point previously managed as an access point with which the mobile terminal may move to its own management area after authentication by the authentication means; The access point comprises:
Shared authentication information holding means for holding the authentication information of the mobile terminal transmitted from the authentication server holding the authentication information of the mobile terminal as shared authentication information;
When an authentication request is received from the mobile terminal, it is determined whether or not authentication information of the mobile terminal is held in the shared authentication information. If held, authentication information held in the shared information is And a authentication processing unit that mediates authentication of the mobile terminal with the authentication server when authentication is performed and the authentication is not held. アクセスポイントを介して外部ネットワークに接続する移動端末の認証を行う認証サーバであって、
前記アクセスポイントを介して前記移動端末から認証要求を受けると、当該移動端末の認証を行う認証手段と、
前記認証手段での認証後、当該移動端末の認証情報を、当該移動端末が自身の管理エリアに移動する可能性のあるアクセスポイントとして予め管理されているアクセスポイントへ送信する認証情報共有指示手段と、を備えること
を特徴とする認証サーバ。 An authentication server for authenticating a mobile terminal connected to an external network via an access point,
Upon receiving an authentication request from the mobile terminal via the access point, an authentication means for authenticating the mobile terminal;
Authentication information sharing instructing means for transmitting authentication information of the mobile terminal to an access point previously managed as an access point with which the mobile terminal may move to its own management area after authentication by the authentication means; An authentication server comprising: 請求項2記載の認証サーバであって、
前記認証情報共有指示手段は、
前記移動端末が自身の管理エリアに移動する可能性のあるアクセスポイント(以後、近傍アクセスポイントと呼ぶ。)の情報を、前記認証サーバに認証を要求する前記アクセスポイント毎に保持する近傍アクセスポイント管理手段と、
前記アクセスポイントから、当該アクセスポイント自身の管理エリアに移動端末が移動してきた場合に、移動通知を受信する移動通知受信手段と、
前記移動通知受信手段において前記移動通知を受信すると、移動通知受信前に当該移動端末の通信を仲介していたアクセスポイントおよびその近傍アクセスポイントに対し、前記移動端末の認証情報を削除するよう指示する認証情報解除手段と、
前記認証情報解除手段において認証情報を削除するよう指示した後、前記移動通知を送信してきたアクセスポイントおよびその近傍アクセスポイントに対し、当該移動端末の認証情報を送信する認証情報送信手段と、を備えること
を特徴とする認証サーバ。 The authentication server according to claim 2,
The authentication information sharing instruction means
Neighboring access point management that holds information on access points (hereinafter referred to as neighboring access points) that may cause the mobile terminal to move to its own management area for each access point that requests authentication from the authentication server Means,
A movement notification receiving means for receiving a movement notification when a mobile terminal has moved from the access point to the management area of the access point itself;
When the movement notification is received by the movement notification receiving means, an instruction is given to delete the authentication information of the mobile terminal to the access point and its neighboring access points that mediated communication of the mobile terminal before receiving the movement notification. Authentication information release means;
Authentication information transmitting means for transmitting authentication information of the mobile terminal to the access point that has transmitted the movement notification and its neighboring access points after instructing the authentication information canceling means to delete the authentication information. An authentication server characterized by this. 請求項2記載の認証サーバであって、
前記認証情報共有指示手段は、
前記移動端末が自身の管理エリアに移動する可能性のあるアクセスポイント(以後、近傍アクセスポイントと呼ぶ。)の情報を、前記認証サーバに認証を要求する前記アクセスポイント毎に保持する近傍アクセスポイント管理手段と、
前記アクセスポイントから、当該アクセスポイント自身の管理エリアに移動端末が移動してきた場合に、移動通知を受信する移動通知受信手段と、
前記移動通知受信手段において前記移動通知を受信すると、前記移動通知受信前に前記移動端末の通信を仲介していたアクセスポイントの近傍のアクセスポイントから、前記移動通知を送信してきたアクセスポイントおよび当該アクセスポイントの近傍アクセスポイントを除いたアクセスポイントに対し、前記移動端末の認証情報を削除するよう指示する認証情報解除手段と、
前記認証情報解除手段において認証情報を削除するよう指示した後、前記移動通知を送信してきたアクセスポイントの近傍アクセスポイントから、前記移動通知受信前に前記移動端末の通信を仲介していたアクセスポイントおよび当該アクセスポイントの近傍アクセスポイントを除いたアクセスポイントに対し、当該移動端末の認証情報を送信する認証情報送信手段と、を備えること
を特徴とする認証サーバ。 The authentication server according to claim 2,
The authentication information sharing instruction means
Neighboring access point management that holds information on access points (hereinafter referred to as neighboring access points) that may cause the mobile terminal to move to its own management area for each access point that requests authentication from the authentication server Means,
A movement notification receiving means for receiving a movement notification when a mobile terminal has moved from the access point to the management area of the access point itself;
When the movement notification is received by the movement notification receiving means, the access point that has transmitted the movement notification from the access point in the vicinity of the access point that mediates communication of the mobile terminal before the movement notification is received and the access Authentication information releasing means for instructing access points excluding neighboring access points to delete authentication information of the mobile terminal;
After instructing to delete the authentication information in the authentication information release means, from an access point near the access point that has transmitted the movement notification, an access point that mediates communication of the mobile terminal before receiving the movement notification and An authentication information transmitting means for transmitting authentication information of the mobile terminal to access points excluding neighboring access points of the access point. 認証された移動端末を、外部ネットワークに接続するアクセスポイントであって、
前記移動端末の認証情報を保持する認証サーバから送信された前記移動端末の認証情報を共有認証情報として保持する共有認証情報保持手段と、
前記移動端末から認証要求を受信した場合、前記共有認証情報に当該移動端末の認証情報が保持されているか否かを判断し、保持されている場合、当該共有情報に保持されている認証情報を用いて認証を行い、保持されていない場合、前記認証サーバとの間の当該移動端末の認証の仲介を行う認証処理手段と、を備えること
を特徴とするアクセスポイント。 An access point for connecting an authenticated mobile terminal to an external network,
Shared authentication information holding means for holding the authentication information of the mobile terminal transmitted from the authentication server holding the authentication information of the mobile terminal as shared authentication information;
When an authentication request is received from the mobile terminal, it is determined whether or not authentication information of the mobile terminal is held in the shared authentication information. If held, authentication information held in the shared information is And an authentication processing means for mediating authentication of the mobile terminal with the authentication server when authentication is performed and not held. 移動端末を外部ネットワークに接続する複数のアクセスポイントと、前記移動端末の認証を行う認証サーバとを備える移動通信システムにおける、移動端末の認証方法であって、
前記アクセスポイントが、前記移動端末から認証要求を受信すると、
予め認証サーバから送信され共有認証情報として保持している移動端末の認証情報を検索し、当該共有認証情報に前記認証要求を送信した移動端末の認証情報が保持されていた場合、当該認証情報を用いて認証を行い、
保持されていない場合、前記受信した認証要求を前記認証サーバに送信し、認証サーバにて認証を行うこと
を特徴とする移動端末の認証方法。 A mobile terminal authentication method in a mobile communication system comprising a plurality of access points for connecting a mobile terminal to an external network, and an authentication server for authenticating the mobile terminal,
When the access point receives an authentication request from the mobile terminal,
If the authentication information of the mobile terminal that has been transmitted from the authentication server in advance and held as shared authentication information is searched and the authentication information of the mobile terminal that has transmitted the authentication request is stored in the shared authentication information, the authentication information is Authenticate using
If not, the received authentication request is transmitted to the authentication server, and authentication is performed by the authentication server.
JP2004214084A 2004-07-22 2004-07-22 Mobile communication system and authentication method of mobile terminal Pending JP2006041594A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004214084A JP2006041594A (en) 2004-07-22 2004-07-22 Mobile communication system and authentication method of mobile terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004214084A JP2006041594A (en) 2004-07-22 2004-07-22 Mobile communication system and authentication method of mobile terminal

Publications (1)

Publication Number Publication Date
JP2006041594A true JP2006041594A (en) 2006-02-09

Family

ID=35906156

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004214084A Pending JP2006041594A (en) 2004-07-22 2004-07-22 Mobile communication system and authentication method of mobile terminal

Country Status (1)

Country Link
JP (1) JP2006041594A (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006352386A (en) * 2005-06-15 2006-12-28 Nec Corp Radio voip system, radio base station device, and authentication management control method used therefor
JP2007088737A (en) * 2005-09-21 2007-04-05 Toyota Infotechnology Center Co Ltd Inter-road-vehicle communication system and method, and on-vehicle terminal
KR100863135B1 (en) 2006-08-30 2008-10-15 성균관대학교산학협력단 Dual Authentication Method in Mobile Networks
JP2009188765A (en) * 2008-02-06 2009-08-20 Ntt Docomo Inc Wireless terminal, and wireless communication method
WO2011040670A1 (en) * 2009-10-01 2011-04-07 Kyungpook National University Industry-Academic Cooperation Foundation User-oriented network system having automatic user authentication function and method thereof
JP2013005027A (en) * 2011-06-13 2013-01-07 Nippon Telegr & Teleph Corp <Ntt> Radio communication system and access point
KR101460766B1 (en) 2008-01-29 2014-11-11 삼성전자주식회사 Security setting system and the control method for using clurster function in Wireless network system
KR20150077438A (en) * 2012-10-22 2015-07-07 퀄컴 인코포레이티드 Inter-system call switching between co-existence wireless systems
KR20160077986A (en) * 2014-12-24 2016-07-04 주식회사 아이페이지온 Access point handover apparatus and method for secure handover
JP2018046356A (en) * 2016-09-13 2018-03-22 日本電信電話株式会社 Radio network system, management device thereof and radio base station setting change method

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006352386A (en) * 2005-06-15 2006-12-28 Nec Corp Radio voip system, radio base station device, and authentication management control method used therefor
JP4544046B2 (en) * 2005-06-15 2010-09-15 日本電気株式会社 Wireless VoIP system, wireless base station apparatus, and authentication management control method used therefor
JP4680730B2 (en) * 2005-09-21 2011-05-11 株式会社トヨタIt開発センター Road-to-vehicle communication system, in-vehicle terminal, and road-to-vehicle communication method
JP2007088737A (en) * 2005-09-21 2007-04-05 Toyota Infotechnology Center Co Ltd Inter-road-vehicle communication system and method, and on-vehicle terminal
KR100863135B1 (en) 2006-08-30 2008-10-15 성균관대학교산학협력단 Dual Authentication Method in Mobile Networks
KR101460766B1 (en) 2008-01-29 2014-11-11 삼성전자주식회사 Security setting system and the control method for using clurster function in Wireless network system
JP2009188765A (en) * 2008-02-06 2009-08-20 Ntt Docomo Inc Wireless terminal, and wireless communication method
JP4586075B2 (en) * 2008-02-06 2010-11-24 株式会社エヌ・ティ・ティ・ドコモ Wireless terminal and wireless communication method
WO2011040670A1 (en) * 2009-10-01 2011-04-07 Kyungpook National University Industry-Academic Cooperation Foundation User-oriented network system having automatic user authentication function and method thereof
JP2013005027A (en) * 2011-06-13 2013-01-07 Nippon Telegr & Teleph Corp <Ntt> Radio communication system and access point
KR20150077438A (en) * 2012-10-22 2015-07-07 퀄컴 인코포레이티드 Inter-system call switching between co-existence wireless systems
KR102129642B1 (en) * 2012-10-22 2020-07-02 퀄컴 인코포레이티드 Inter-system call switching between co-existence wireless systems
KR20160077986A (en) * 2014-12-24 2016-07-04 주식회사 아이페이지온 Access point handover apparatus and method for secure handover
KR101718438B1 (en) * 2014-12-24 2017-04-04 주식회사 아이페이지온 Access point handover apparatus and method for secure handover
JP2018046356A (en) * 2016-09-13 2018-03-22 日本電信電話株式会社 Radio network system, management device thereof and radio base station setting change method

Similar Documents

Publication Publication Date Title
JP4575679B2 (en) Wireless network handoff encryption key
CN1836404B (en) Method and system for reducing cross switch wait time
KR101556906B1 (en) Method for handover by pre-authenticating between heterogeneous wireless communication systems
JP4340626B2 (en) Seamless public wireless local area network user authentication
EP2432265B1 (en) Method and apparatus for sending a key on a wireless local area network
US7451316B2 (en) Method and system for pre-authentication
JP3869392B2 (en) User authentication method in public wireless LAN service system and recording medium storing program for causing computer to execute the method
US20080026724A1 (en) Method for wireless local area network user set-up session connection and authentication, authorization and accounting server
EP1775972A1 (en) Communication handover method, communication message processing method, and communication control method
US20050113070A1 (en) Mobile terminal authentication method capable of reducing authentication processing time and preventing fraudulent transmission/reception of data through spoofing
KR101002799B1 (en) mobile telecommunication network and method for authentication of mobile node in mobile telecommunication network
JP2005110112A (en) Method for authenticating radio communication device in communication system, radio communication device, base station and authentication device
JP2004166270A (en) Wireless network handoff key
EP1741308A1 (en) Improved subscriber authentication for unlicensed mobile access signaling
US9270652B2 (en) Wireless communication authentication
WO2010000185A1 (en) A method, apparatus, system and server for network authentication
TW200522647A (en) System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN
KR100763131B1 (en) Access and Registration Method for Public Wireless LAN Service
KR101460766B1 (en) Security setting system and the control method for using clurster function in Wireless network system
US9137661B2 (en) Authentication method and apparatus for user equipment and LIPA network entities
JP2006041594A (en) Mobile communication system and authentication method of mobile terminal
EP2092714B1 (en) METHOD and device FOR FAST HANDOVER AND AUTHENTICATION IN A PACKET DATA NETWORK
JP4371250B1 (en) COMMUNICATION SYSTEM, SERVER DEVICE, INFORMATION NOTIFICATION METHOD, PROGRAM
KR100819942B1 (en) Method for access control in wire and wireless network
WO2006079953A1 (en) Authentication method and device for use in wireless communication system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070604

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091009

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091110

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100309