JP2006191429A - 集合型宅内ネットワークにおける認証方法及びシステム - Google Patents
集合型宅内ネットワークにおける認証方法及びシステム Download PDFInfo
- Publication number
- JP2006191429A JP2006191429A JP2005002306A JP2005002306A JP2006191429A JP 2006191429 A JP2006191429 A JP 2006191429A JP 2005002306 A JP2005002306 A JP 2005002306A JP 2005002306 A JP2005002306 A JP 2005002306A JP 2006191429 A JP2006191429 A JP 2006191429A
- Authority
- JP
- Japan
- Prior art keywords
- common key
- network connection
- connection device
- network
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】 集合型宅内ネットワークに接続された端末における共通鍵の管理の煩雑さを低減することができる認証方法及びシステムを提供する。
【解決手段】 グループ内ネットワーク毎にホームステーションが備える。ホームステーションが、網接続装置を介して認証サーバに対して認証することによって、認証サーバとの間で共通鍵Kaが共有され、認証サーバが網接続装置へ共通鍵Kaを送信する。次に、網接続装置が、グループ内ネットワークに対する共通鍵K1を決定し、共通鍵Kaを用いて暗号化した共通鍵K1をホームステーションへ送信する。次に、端末が、網接続装置を介してホームステーションに対して認証することによって、ホームステーションとの間で共通鍵Kbが共有され、ホームステーションが網接続装置へ共通鍵Kbを送信する。そして、網接続装置が、共通鍵Kbを用いて暗号化した共通鍵Kaを端末へ送信する。
【選択図】 図3
【解決手段】 グループ内ネットワーク毎にホームステーションが備える。ホームステーションが、網接続装置を介して認証サーバに対して認証することによって、認証サーバとの間で共通鍵Kaが共有され、認証サーバが網接続装置へ共通鍵Kaを送信する。次に、網接続装置が、グループ内ネットワークに対する共通鍵K1を決定し、共通鍵Kaを用いて暗号化した共通鍵K1をホームステーションへ送信する。次に、端末が、網接続装置を介してホームステーションに対して認証することによって、ホームステーションとの間で共通鍵Kbが共有され、ホームステーションが網接続装置へ共通鍵Kbを送信する。そして、網接続装置が、共通鍵Kbを用いて暗号化した共通鍵Kaを端末へ送信する。
【選択図】 図3
Description
本発明は、集合型宅内ネットワークにおける認証方法及びシステムに関する。
図1は、従来技術における集合型宅内ネットワークのシステム構成図である。
宅内ネットワークは、電話線、電力線、イーサネット(登録商標)等を用いて一般に構築されており、通信機能を有する家庭電化製品(パーソナルコンピュータ、テレビ、エアコン等)3が接続される。また、複数の宅内ネットワークは、集合ネットワークを介して網接続装置1に接続される。網接続装置1は、ADSL(Asymmetric Digital Subscriber Line:非対称デジタル加入者線)、光ファイバ等によってインターネットアクセス網5に接続され、更にISP(Internet Service Provider)事業者網6を介して、インターネット7に接続される。ISP事業者網6には、ユーザ認証のためにISP認証サーバ4が備えられている。ISP認証サーバ4は、契約したユーザ情報を保持する登録データベースと、ユーザ認証部とを有する。図1のようなネットワーク形態を、以下では集合型宅内ネットワークと称する。
図1によれば、同一建物内にあって異なる宅内ネットワークが、同一の集合ネットワークを共有する構成になっている。この場合、ある宅内ネットワークから送信された通信データが、他の宅内ネットワークに接続された端末によって傍受されるという事態が起こり得る。このような事態を防ぐため、通信データの暗号化とそのための共通鍵とを、通信を行う二者間で共有する必要がある。従来技術によれば、宅内ネットワークに接続された端末のそれそれが、ISP認証サーバ4に対して認証を要求し、共通鍵を共有する必要がある。
しかしながら、将来的に家庭電化製品の多くに通信機能が搭載されることを考慮すると、1つの宅内ネットワーク当たりの通信端末の数も多くなる。結果的に、集合ネットワークに接続される通信端末の数は膨大な数になる。この場合、各通信端末が認証を要求するとすると、網接続装置にとっては過負荷となってしまう。また、複数の通信端末でグループを構成し、グループ単位で共通鍵を管理しようとすると、網接続装置による処理が更に煩雑になり、現実的ではない。
また、近年、テレビ、エアコン等に通信機能を持たせる情報家電ネットワーク等、グループ単位での通信の秘匿性を必要とする場面が多くなっているため、グループ単位で暗号化のための共通鍵を共有する技術が必要となってきている。
そこで、本発明は、集合型宅内ネットワークに接続された端末における共通鍵の管理の煩雑さを低減することができる認証方法及びシステムを提供することを目的とする。
本発明は、複数の端末が接続されたグループ内ネットワークと、複数のグループ内ネットワークとインターネットとの間に接続された網接続装置と、該網接続装置と通信可能な認証サーバとを有するシステムに関する。
本発明における認証方法は、
グループ内ネットワーク毎にホームステーションが備えられており、
ホームステーションが、網接続装置を介して認証サーバに対して認証要求メッセージを送信することによって、認証サーバとの間で第1の共通鍵が共有され、認証サーバが網接続装置へ第1の共通鍵を送信する第1のステップと、
網接続装置が、グループ内ネットワークに対する第2の共通鍵を決定し、第1の共通鍵を用いて暗号化した第2の共通鍵をホームステーションへ送信する第2のステップと、
端末が、網接続装置を介してホームステーションに対して認証要求メッセージを送信することによって、ホームステーションとの間で第3の共通鍵が共有され、ホームステーションが網接続装置へ第3の共通鍵を送信する第3のステップと、
網接続装置が、第3の共通鍵を用いて暗号化した第2の共通鍵を端末へ送信する第4のステップとを有することを特徴とする。
グループ内ネットワーク毎にホームステーションが備えられており、
ホームステーションが、網接続装置を介して認証サーバに対して認証要求メッセージを送信することによって、認証サーバとの間で第1の共通鍵が共有され、認証サーバが網接続装置へ第1の共通鍵を送信する第1のステップと、
網接続装置が、グループ内ネットワークに対する第2の共通鍵を決定し、第1の共通鍵を用いて暗号化した第2の共通鍵をホームステーションへ送信する第2のステップと、
端末が、網接続装置を介してホームステーションに対して認証要求メッセージを送信することによって、ホームステーションとの間で第3の共通鍵が共有され、ホームステーションが網接続装置へ第3の共通鍵を送信する第3のステップと、
網接続装置が、第3の共通鍵を用いて暗号化した第2の共通鍵を端末へ送信する第4のステップとを有することを特徴とする。
本発明の認証方法における他の実施形態によれば、IEEE802.1x認証方式が適用され、
第1のステップは、ホームステーションをSupplicantとし、網接続装置をAuthenticatorとし、認証サーバをAuthentication Serverとして機能させ、
第2のステップは、端末をSupplicantとし、網接続装置をAuthenticatorとし、ホームステーションをAuthentication Serverとして機能させることも好ましい。
第1のステップは、ホームステーションをSupplicantとし、網接続装置をAuthenticatorとし、認証サーバをAuthentication Serverとして機能させ、
第2のステップは、端末をSupplicantとし、網接続装置をAuthenticatorとし、ホームステーションをAuthentication Serverとして機能させることも好ましい。
また、本発明の認証方法における他の実施形態によれば、第1のステップは、EAP−TLS方式が適用され、第2のステップは、EAP−TLS方式又はEAP−MD5方式が適用されることも好ましい。
更に、本発明の認証方法における他の実施形態によれば、第2の共通鍵が、網接続装置と端末との間で通信されるデータフレームの暗号化に用いられることも好ましい。
更に、本発明の認証方法における他の実施形態によれば、グループ内ネットワークは、宅内ネットワークであって、電力線搬送通信ネットワークであってもよい。
本発明におけるシステムによれば、
グループ内ネットワーク毎にホームステーションが備えられており、
認証サーバは、網接続装置を介してホームステーションから認証要求メッセージを受信することによって、ホームステーションとの間で第1の共通鍵を共有する認証手段と、該第1の共通鍵を網接続装置へ送信する共通鍵送信手段とを有し、
ホームステーションは、網接続装置を介して認証サーバへ認証要求メッセージを送信し、認証サーバとの間で第1の共通鍵を共有する認証サーバ機能手段と、端末から網接続装置を介して認証要求メッセージを受信し、端末との間で第3の共通鍵を共有する認証端末機能手段とを有し、
網接続装置は、グループ内ネットワークに対する第2の共通鍵を決定するグループ共通鍵決定手段と、第1の共通鍵を用いて暗号化した第2の共通鍵をホームステーションへ送信する第1の送信手段と、第3の共通鍵を用いて暗号化した第2の共通鍵をホームステーションへ送信する第2の送信手段とを有することを特徴とする。
グループ内ネットワーク毎にホームステーションが備えられており、
認証サーバは、網接続装置を介してホームステーションから認証要求メッセージを受信することによって、ホームステーションとの間で第1の共通鍵を共有する認証手段と、該第1の共通鍵を網接続装置へ送信する共通鍵送信手段とを有し、
ホームステーションは、網接続装置を介して認証サーバへ認証要求メッセージを送信し、認証サーバとの間で第1の共通鍵を共有する認証サーバ機能手段と、端末から網接続装置を介して認証要求メッセージを受信し、端末との間で第3の共通鍵を共有する認証端末機能手段とを有し、
網接続装置は、グループ内ネットワークに対する第2の共通鍵を決定するグループ共通鍵決定手段と、第1の共通鍵を用いて暗号化した第2の共通鍵をホームステーションへ送信する第1の送信手段と、第3の共通鍵を用いて暗号化した第2の共通鍵をホームステーションへ送信する第2の送信手段とを有することを特徴とする。
本発明のシステムにおける他の実施形態によれば、IEEE802.1x認証方式が適用され、ホームステーションにおける認証サーバ機能手段はAuthentication Serverとして機能し、認証端末機能手段はSupplicantとして機能することも好ましい。
また、本発明のシステムにおける他の実施形態によれば、ホームステーションにおける認証サーバ機能手段には、EAP−TLS方式が適用され、認証端末機能手段には、EAP−TLS方式又はEAP−MD5方式が適用されることも好ましい。
更に、本発明のシステムにおける他の実施形態によれば、
網接続装置は、端末へ送信すべきデータフレームを第2の共通鍵を用いて暗号化し、端末から受信したデータフレームを第2の共通鍵を用いて復号する暗号化/復号手段を更に有し、
端末は、網接続装置へ送信すべきデータフレームを第2の共通鍵を用いて暗号化し、網接続装置から受信したデータフレームを第2の共通鍵を用いて復号する暗号化/復号手段を更に有することも好ましい。
網接続装置は、端末へ送信すべきデータフレームを第2の共通鍵を用いて暗号化し、端末から受信したデータフレームを第2の共通鍵を用いて復号する暗号化/復号手段を更に有し、
端末は、網接続装置へ送信すべきデータフレームを第2の共通鍵を用いて暗号化し、網接続装置から受信したデータフレームを第2の共通鍵を用いて復号する暗号化/復号手段を更に有することも好ましい。
更に、本発明のシステムにおける他の実施形態によれば、グループ内ネットワークは、宅内ネットワークであって、電力線搬送通信ネットワークであってもよい。
本発明における認証方法及びシステムよれば、集合型宅内ネットワークに接続された端末における共通鍵の管理の煩雑さを低減することができる。宅内ネットワーク毎(グループ毎)にそのネットワークに接続された端末に同一共通鍵を共有させることができ、他の宅内ネットワークに接続された端末に対して秘匿性を確保することができる。
また、宅内ネットワーク毎の認証を認証サーバに任せ、宅内ネットワーク内の端末の認証をホームステーションに任せることによって、認証サーバにかかる負荷を軽減することができる。
更に、ISP認証サーバ4にとっては、宅内ネットワーク単位(グループ単位)で認証処理が行われるために、認証毎に課金処理を行うことによって、家庭毎に対する課金処理を容易にすることができる。
以下では、図面を用いて、本発明を実施するための最良の形態を詳細に説明する。
図2は、本発明における集合型宅内ネットワークのシステム構成図である。
本発明によれば、宅内ネットワーク及び集合ネットワークが、電力線搬送通信ネットワークであることによって、図2のようなネットワーク構成が想定される。即ち、電力線がネットワークに用いられることによって、集合型住宅においては、複数の宅内ネットワークが接続された構成が想定される。
図2は、図1と比較して、ホームステーション2を更に備えている。ホームステーション2は、通信制御部21と、送受信部22と、グループ内登録端末データベース23と、Supplicant機能部24と、Authenticator Server機能部25と、認証情報記憶部26と、共通鍵復号部27と、共通鍵記憶部28と、暗号化/復号部29とを有する。
送受信部22は、宅内ネットワークと称されるグループ内ネットワークに接続されており、データパケットを送受信する。通信制御部22は、データフレームの生成及び解析を行い、他の機能部と関連して動作する。グループ内登録端末データベース23は、当該宅内ネットワークに接続されている端末の識別子(ID:IDentifier)と、その情報とを記憶している。
Supplicant機能部24は、IEEE802.1xによれば、Authenticatorである網接続装置1を介して、ISP認証サーバ4に対するSupplicantとして機能する。従って、Supplicant機能部24は、ISP認証サーバ4との間で共通鍵Kaを共有することができる。
Authenticator Server機能部25は、IEEE802.1xによれば、Authenticatorである網接続装置1を介して、Supplicantである端末3に対するAuthentication Serverとして機能する。従って、Authenticator Server機能部25は、端末3との間で共通鍵Kbを共有することができる。
認証情報記憶部26は、ISP認証サーバ4との間で共有した共通鍵Kaと、端末3との間で共有した共通鍵Kbとを記憶する。
共通鍵復号部27は、暗号化された共通鍵K1を復号する。共通鍵K1は、当該宅内ネットワークの全ての端末に割り当てられる鍵であって、網接続装置1から、共通鍵Kaを用いて暗号化して送信される。復号するための共通鍵Kaは、Supplicant機能部24から通知される。
共通鍵記憶部28は、共通鍵復号部27によって復号された共通鍵K1を記憶する。
暗号化/復号部29は、送信すべきデータフレームを共通鍵K1によって暗号化し、又は、受信したデータフレームを共通鍵K1によって復号する。
図2によれば、本発明による網接続装置1は、図1と比較して、更なる機能を有する。網接続装置1は、通信制御部11と、インターネット側送受信部12と、宅内ネットワーク側送受信部13と、Authenticator機能部14と、グループ共通鍵決定部15と、グループ共通鍵データベース16と、ホームステーション側グループ共通鍵送信部17と、端末側グループ共通鍵送信部18と、暗号化/復号部19とを有する。
通信制御部11は、データフレームの生成及び解析を行い、他の機能部と関連して動作する。インターネット側送受信部12は、インターネットアクセス網5に接続されており、インターネット7及びISP認証サーバ4とデータパケットを送受信する。宅内ネットワーク側送受信部13は、複数の宅内ネットワークが接続された集合ネットワークに接続されており、ホームステーション2及び端末3とデータパケットを送受信する。
Authenticator機能部14は、IEEE802.1xによれば、Supplicantであるホームステーション2に対して及びISP認証サーバ4に対して、Authenticatorとして機能する。また、Authenticator機能部14は、Supplicantである端末3に対して及びAuthentication Serverであるホームステーション2に対して、Authenticatorとしても機能する。
グループ共通鍵決定部15は、ホームステーション2とISP認証サーバ4との間で認証が完了した際に、そのホームステーション2が存在する宅内ネットワークに接続された端末に割り当てる共通鍵K1を決定する。共通鍵K1の決定方法は、任意の既存技術によって行われる。
グループ共通鍵データベース16は、グループ共通鍵決定部15によって決定された共通鍵K1を、宅内ネットワーク識別子(グループ識別子)HID1に対応付けて蓄積する。例えば、宅内ネットワーク識別子HID1に対応付けて、共通鍵K1が蓄積されている。
ホームステーション側共通鍵送信部17は、グループ共通鍵決定部15によって決定された共通鍵K1を、Authenticator機能部14によってISP認証サーバ4との間で共有された共通鍵Kaによって暗号化して、ホームステーション2へ送信する。
端末側共通鍵送信部18は、グループ共通鍵決定部15によって決定された共通鍵K1を、Authenticator機能部14によってホームステーション2との間で共有された共通鍵Kbによって暗号化して、端末3へ送信する。
暗号化/復号部29は、宅内ネットワークに対して送信すべきデータフレームを共通鍵K1によって暗号化し、又は、宅内ネットワークから受信したデータフレームを共通鍵K1によって復号する。
図3は、本発明における概念的な認証のシーケンス図である。
ホームステーション2と認証サーバ4との間の認証方式には、IEEE802.1XのEAP−TLS(Extensible Authentication Protocol - Transport Layer Security)が適用されている。EAP−TLSは、クライアント及びサーバの双方に、認証局が発行した証明書によって相互に認証する方式である。これにより、従来、固定であったセッションキーを自動的に生成することができ、電子証明書による認証を行うことによって、セキュリティを強化することができる。
図3のS301〜S307によれば、ホームステーション2はSupplicantとして機能し、網接続装置1はAuthenticatorとして機能し、ISP認証サーバ4はAuthentication Serverとして機能する。一方、S308〜S318によれば、端末3はSupplicantとして機能し、網接続装置1はAuthenticatorとして機能し、ホームステーションはAuthentication Serverとして機能する。尚、図3、図4及び図5の対応関係を明らかにするために、同じシーケンス番号は、同じ機能を意味する。
(S301〜S305)ホームステーション2と網接続装置1との間は、IEEE802.1xにおけるEAPOL(EAP over LAN)が適用され、網接続装置1とISP認証サーバ4との間はEAPoverRADIUSが適用される。これにより、ホームステーション2とISP認証サーバ4との間で、共通鍵Kaが共有される。このとき、網接続装置1は、共通鍵Kaを知らない。
(S306)ISP認証サーバ4は、共通鍵Kaを網接続装置1へ送信する。これにより、網接続装置1も、ホームステーション2も共通鍵Kaを共有することができる。
(S307)網接続装置1は、宅内ネットワークに対する共通鍵K1を決定する。共通鍵K1は、共通鍵Kaを用いて暗号化されて、網接続装置1からホームステーション2へ送信される。ホームステーション2は、暗号化された共通鍵K1を、共通鍵Kaを用いて復号し、共通鍵K1を取得する。これにより、ホームステーション2も共通鍵K1を共有することができる。
(S306)ISP認証サーバ4は、共通鍵Kaを網接続装置1へ送信する。これにより、網接続装置1も、ホームステーション2も共通鍵Kaを共有することができる。
(S307)網接続装置1は、宅内ネットワークに対する共通鍵K1を決定する。共通鍵K1は、共通鍵Kaを用いて暗号化されて、網接続装置1からホームステーション2へ送信される。ホームステーション2は、暗号化された共通鍵K1を、共通鍵Kaを用いて復号し、共通鍵K1を取得する。これにより、ホームステーション2も共通鍵K1を共有することができる。
(S308〜S315)端末3と網接続装置1との間は、IEEE802.1xにおけるEAPOL(EAP over LAN)が適用され、網接続装置1とホームステーション2との間はEAPoverRADIUSが適用される。これにより、端末3とホームステーション2との間で、共通鍵Kbを共有することができる。このとき、網接続装置1は、共通鍵Kbを知らない。
(S316)ホームステーション2は、共通鍵Kbを網接続装置1へ送信する。これにより、網接続装置1も、共通鍵Kbを共有することができる。
(S318)網接続装置1は、共通鍵K1を共通鍵Kbを用いて暗号化して、端末3へ送信する。端末3は、暗号化された共通鍵K1を、共通鍵Kbを用いて復号し、共通鍵K1を取得する。これにより、端末3と網接続装置1との間で、共通鍵K1を共有することができ、端末3は、インターネットにアクセスすることが可能となる。
(S316)ホームステーション2は、共通鍵Kbを網接続装置1へ送信する。これにより、網接続装置1も、共通鍵Kbを共有することができる。
(S318)網接続装置1は、共通鍵K1を共通鍵Kbを用いて暗号化して、端末3へ送信する。端末3は、暗号化された共通鍵K1を、共通鍵Kbを用いて復号し、共通鍵K1を取得する。これにより、端末3と網接続装置1との間で、共通鍵K1を共有することができ、端末3は、インターネットにアクセスすることが可能となる。
図4は、本発明における具体的な認証の第1のシーケンス図である。
(S301)ホームステーション2は、EAPOL-Startを網接続装置1へ送信する。
(S302)EAPOL-Startを受信した網接続装置1は、識別子要求のためのEAP-Requestをホームステーション2へ送信する。
(S303)EAP-Requestを受信したホームステーション2は、EAP-Responseを網接続装置1へ送信する。EAP-Responseは、宅内ネットワークを示すグループ識別子HID1と、ホームステーション2の端末識別子IDst1と、自らがホームステーションであることを示すフラグ情報とを含む。これに対し、網接続装置1は、フラグ情報によってEAP-Responseの送信元端末がホームステーションであることを認識した場合、RADIUS Access RequestをISP認証サーバへ送信する。RADIUS Access Requestは、宅内ネットワークのグループ識別子HID1を含む。
(S302)EAPOL-Startを受信した網接続装置1は、識別子要求のためのEAP-Requestをホームステーション2へ送信する。
(S303)EAP-Requestを受信したホームステーション2は、EAP-Responseを網接続装置1へ送信する。EAP-Responseは、宅内ネットワークを示すグループ識別子HID1と、ホームステーション2の端末識別子IDst1と、自らがホームステーションであることを示すフラグ情報とを含む。これに対し、網接続装置1は、フラグ情報によってEAP-Responseの送信元端末がホームステーションであることを認識した場合、RADIUS Access RequestをISP認証サーバへ送信する。RADIUS Access Requestは、宅内ネットワークのグループ識別子HID1を含む。
(S304)ISP認証サーバ4は、予め登録ユーザリストを保持している。RADIUS Access Requestによって受信されたグループ識別子が、登録ユーザリストに存在するか否かを判断する。登録ユーザリストに当該グループ識別子が存在する場合、EAP−TLS認証を開始する旨を示すRADIUS Access Challenge(TLS Start)を網接続装置1へ送信する。RADIUS-Access Challengeを受信した網接続装置1は、EAP-Requestをホームステーション2へ送信する。
(S305)ホームステーション2と認証サーバ4との間でTLSネゴシエーションが行われる。これにより、ホームステーション2と認証サーバ4との間で共通鍵Kaが共有される。
(S305)ホームステーション2と認証サーバ4との間でTLSネゴシエーションが行われる。これにより、ホームステーション2と認証サーバ4との間で共通鍵Kaが共有される。
(S306)認証が成功すると、ISP認証サーバ4は、認証が成功したことを示すRADIUS-Access Successを網接続装置1へ送信する。RADIUS-Access Successには、共通鍵Kaが含まれる。これにより、網接続装置1も共通鍵Kaを共有することができる。尚、共通鍵Kaは、網接続装置1とISP認証サーバ4との間で予め共有した共通鍵で暗号化されて、RADIUS-Access Successに付加される。RADIUS-Access Successを受信した網接続装置1は、その共通鍵Kaを保持した上で、ホームステーション2へEAP-Successを送信する。
(S307)網接続装置1は、ホームステーション2を含む宅内ネットワークに接続された全ての端末3に割り当てる共通鍵K1を決定する。この共通鍵K1は、共通鍵Kaで暗号化されてホームステーション2へ送信される。このとき、網接続装置1は、グループ識別子HID1と共通鍵K1とを対応付けて、グループ共通鍵データベース16に登録する。更に、網接続装置1は、全てのホームステーションで共有する共通鍵KBも生成する。この共通鍵KBは、共通鍵Kaで暗号化されてホームステーション2へ送信される。ホームステーション2と網接続装置1との間で、共通鍵K1及びKBが共有される。
(S308)端末3は、EAPOL-Startを網接続装置1へ送信する。
(S309)EAPOL-Startを受信した網接続装置1は、識別子要求のためのEAP-Requestを端末3へ送信する。
(S310)EAP-Requestを受信したホームステーション2は、EAP-Responseを網接続装置1へ送信する。EAP-Responseは、宅内ネットワークを示すグループ識別子HID1と、端末3の端末識別子IDaと、自らがホームステーションでないことを示すフラグ情報とを含む。
(S311)網接続装置1は、フラグ情報によってEAP-Responseの送信元端末がホームステーションでないことを認識した場合、RADIUS Access Requestをホームステーション2へ送信する。RADIUS Access Requestは、端末識別子IDaを含む。
(S309)EAPOL-Startを受信した網接続装置1は、識別子要求のためのEAP-Requestを端末3へ送信する。
(S310)EAP-Requestを受信したホームステーション2は、EAP-Responseを網接続装置1へ送信する。EAP-Responseは、宅内ネットワークを示すグループ識別子HID1と、端末3の端末識別子IDaと、自らがホームステーションでないことを示すフラグ情報とを含む。
(S311)網接続装置1は、フラグ情報によってEAP-Responseの送信元端末がホームステーションでないことを認識した場合、RADIUS Access Requestをホームステーション2へ送信する。RADIUS Access Requestは、端末識別子IDaを含む。
(S312)ホームステーション2は、端末データベース23に、登録端末識別子リストを保持している。RADIUS Access Requestによって受信された端末識別子IDaが、登録端末識別子リストに存在するか否かを判断する。登録端末識別子リストに当該グループ識別子が存在する場合、EAP−TLS認証を開始する旨を示すRADIUS Access Challenge(TLS Start)を網接続装置1へ送信する。
(S313)RADIUS-Access Challengeを受信した網接続装置1は、EAP-Requestを端末3へ送信する。
(S314)ホームステーション2と端末3との間でTLSネゴシエーションが行われる。これにより、ホームステーション2と端末3の間で共通鍵Kbが共有される。
(S313)RADIUS-Access Challengeを受信した網接続装置1は、EAP-Requestを端末3へ送信する。
(S314)ホームステーション2と端末3との間でTLSネゴシエーションが行われる。これにより、ホームステーション2と端末3の間で共通鍵Kbが共有される。
(S316)認証が成功すると、ホームステーション2は、認証が成功したことを示すRADIUS-Access Successを網接続装置1へ送信する。RADIUS-Access Successには、共通鍵Kbが含まれる。これにより、網接続装置1も共通鍵Kbを共有することができる。
(S317)RADIUS-Access Successを受信した網接続装置1は、その共通鍵Kbを保持した上で、端末3へEAP-Successを送信する。
(S317)RADIUS-Access Successを受信した網接続装置1は、その共通鍵Kbを保持した上で、端末3へEAP-Successを送信する。
(S318)網接続装置1は、共通鍵K1を共通鍵Kbで暗号化して、端末3へ送信する。端末3は、共通鍵Kbを用いて復号し、共通鍵K1を取得する。端末3と網接続装置1との間で、共通鍵K1を共有することができ、端末3は、インターネットにアクセスすることが可能となる。
図5は、本発明における具体的な認証の第2のシーケンス図である。
図5は、図4と比較して、S312〜S317のみが異なる。従って、以下ではS312〜S317のみついて説明する。
図5によれば、端末3とホームステーション2との間の認証方式には、IEEE802.1XのEAP−MD5認証を適用している。EAP−MD5は、パスワードによるハッシュ値を利用したものであって、一方向認証のみである。EAP−MD5は、EAP−TLSと比較して認証が簡易であって、ホームステーションをAuthentication Serverとして機能させる場合に、ホームステーションの実装が比較的容易となる。
(S312)ホームステーション2は、RADIUS Access Requestによって受信された端末識別子IDaが、登録端末識別子リストに存在するか否かを判断する。登録端末識別子リストに端末識別子が存在する場合、ホームステーション2は、乱数raを生成する。そして、ホームステーション2は、EAP−MD5認証を開始する旨を示すRADIUS Access Challengeを網接続装置1へ送信する。RADIUS Access Challengeには、乱数raが含まれる。
(S313)RADIUS Access Challengeを受信した網接続装置1は、EAP-Requestを端末3へ送信する。EAP-Requestには、乱数raが含まれる。
(S313)RADIUS Access Challengeを受信した網接続装置1は、EAP-Requestを端末3へ送信する。EAP-Requestには、乱数raが含まれる。
(S314)端末3は、自らの端末識別子(IDa)と、EAP-Requestに含まれた乱数raと、ホームステーション2との間で予め共有しているパスワードPaとに基づいて、MD5のハッシュ関数を用いてハッシュ値を計算する。そして、端末3は、そのハッシュ値を含むEAP-Responseを網接続装置1へ送信する。パスワードPaは、宅内ネットワーク即ちグループで共通であってよいし、セキュリティ上の観点から端末毎に異なるものであってもよい。
(S315)網接続装置1は、EAP-Responseによって受信されたハッシュ値を含むRADIUS Access Responseをホームステーション2へ送信する。
(S316)ホームステーション2は、自らの端末識別子(IDst1)と、EAP-Responseに含まれた乱数raと、端末3との間で予め共有しているパスワードPaとに基づいて、MD5のハッシュ関数を用いてハッシュ値Kbを計算する。そして、ホームステーション2は、RADIUS Access Responseによって受信されたハッシュ値と、計算されたハッシュ値Kbとを比較して、一致するか否かを判断する。一致した場合、認証が成功したこと示すRADIUS Access Acceptを網接続装置1へ送信する。RADIUS Access Acceptには、ハッシュ値Kbが共通鍵として含まれる。
(S317)網接続装置1は、受信したRADIUS Access Acceptからハッシュ値Kbを取得する。そして、網接続装置1は、端末3へ認証成功を示すEAP-Successを送信する。これにより、網接続装置1と端末3との間で共通鍵Kbが共有される。
(S315)網接続装置1は、EAP-Responseによって受信されたハッシュ値を含むRADIUS Access Responseをホームステーション2へ送信する。
(S316)ホームステーション2は、自らの端末識別子(IDst1)と、EAP-Responseに含まれた乱数raと、端末3との間で予め共有しているパスワードPaとに基づいて、MD5のハッシュ関数を用いてハッシュ値Kbを計算する。そして、ホームステーション2は、RADIUS Access Responseによって受信されたハッシュ値と、計算されたハッシュ値Kbとを比較して、一致するか否かを判断する。一致した場合、認証が成功したこと示すRADIUS Access Acceptを網接続装置1へ送信する。RADIUS Access Acceptには、ハッシュ値Kbが共通鍵として含まれる。
(S317)網接続装置1は、受信したRADIUS Access Acceptからハッシュ値Kbを取得する。そして、網接続装置1は、端末3へ認証成功を示すEAP-Successを送信する。これにより、網接続装置1と端末3との間で共通鍵Kbが共有される。
図6は、端末とインターネットとの間のデータパケットのシーケンス図である。
(S401)端末3は、データフレームのMAC層ヘッダに、自端末識別子IDaと宅内ネットワークの識別子HIDとを含む。また、データフレームに、自端末識別子IDaと宅内ネットワークの識別子HIDと共通鍵K1とを用いて算出したデータフレームのMAC(Message Authentication Code)を付与する。更に、共通鍵K1を用いてデータフレームを暗号化する。このデータフレームは、端末3から網接続装置1へ送信される。データフレームは、例えば表1のようになる。
(S402)網接続装置1は、データフレームに含まれるHIDに対応する共通鍵K1を検索する。そして、共通鍵K1を用いてぺイロード部分を復号する。更に、付与されたMACを当該共通鍵で検証する。検証が成功した場合、データフレームを再構築し、インターネットアクセス網に転送する。検証に失敗した場合は、当該フレームを破棄する。
(S403)インターネットアクセス網から送られてきたデータフレームを受信した網接続装置1は、当該データフレームから端末識別子IDaを抽出する。
(S404)網接続装置1は、全てのホームステーション2に対して、当該端末がどこのグループに所属するかを問い合わせる。尚、このメッセージは、全てのホームステーションで共有している共通鍵KBで暗号化されている。
(S404)網接続装置1は、全てのホームステーション2に対して、当該端末がどこのグループに所属するかを問い合わせる。尚、このメッセージは、全てのホームステーションで共有している共通鍵KBで暗号化されている。
(S405)各ホームステーションは当該メッセージを共通鍵KBで復号する。そして、当該端末が自身の配下に存在する場合、網接続装置1に対して当該端末が自身のグループに属していることを通知する。図6によれば、端末IDaがグループHID1に属しているため、当該グループのホームステーションIDstが、網接続装置1に対して端末IDaが所属しているグループID(HID1)を通知する。
(S406)当該端末の所属グループを知った網接続装置1は、端末ID、グループID及び共通鍵K1を用いて算出したデータフレームのMACを付与したデータフレームを作成し、更に共通鍵K1を用いてデータフレームを暗号化して端末IDaに送信する。
尚、セキュリティの観点から、網接続装置1にてデータフレームの検証を行う際に、データフレームの送信元である端末が正規のユーザであるかどうかを、ホームステーションに問い合わせた後、データフレームの転送又は破棄を決定することも好ましい。
前述した本発明における種々の実施形態によれば、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略を、当業者は容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。
1 網接続装置
11 通信制御部
12 インターネット側送受信部
13 宅内ネットワーク側送受信部
14 Authenticator機能部
15 グループ共通鍵決定部
16 グループ共通鍵データベース
17 ホームステーション側グループ共通鍵送信部
18 端末側グループ共通鍵送信部
19 暗号化/復号部
2 ホームステーション
21 通信制御部
22 送受信部
23 グルーブ内端末データベース
24 Supplicant機能部
25 Authenticator Server機能部
26 認証情報記憶部
27 共通鍵復号部
28 共通鍵記憶部
29 暗号化/復号部
3 端末
4 ISP認証サーバ
5 インターネットアクセス網
6 ISP事業者網
7 インターネット
11 通信制御部
12 インターネット側送受信部
13 宅内ネットワーク側送受信部
14 Authenticator機能部
15 グループ共通鍵決定部
16 グループ共通鍵データベース
17 ホームステーション側グループ共通鍵送信部
18 端末側グループ共通鍵送信部
19 暗号化/復号部
2 ホームステーション
21 通信制御部
22 送受信部
23 グルーブ内端末データベース
24 Supplicant機能部
25 Authenticator Server機能部
26 認証情報記憶部
27 共通鍵復号部
28 共通鍵記憶部
29 暗号化/復号部
3 端末
4 ISP認証サーバ
5 インターネットアクセス網
6 ISP事業者網
7 インターネット
Claims (10)
- 複数の端末が接続されたグループ内ネットワークと、複数のグループ内ネットワークとインターネットとの間に接続された網接続装置と、該網接続装置と通信可能な認証サーバとを有するシステムにおける認証方法であって、
前記グループ内ネットワーク毎にホームステーションが備えられており、
前記ホームステーションが、前記網接続装置を介して前記認証サーバに対して認証要求メッセージを送信することによって、前記認証サーバとの間で第1の共通鍵が共有され、前記認証サーバが前記網接続装置へ前記第1の共通鍵を送信する第1のステップと、
前記網接続装置が、前記グループ内ネットワークに対する第2の共通鍵を決定し、前記第1の共通鍵を用いて暗号化した前記第2の共通鍵を前記ホームステーションへ送信する第2のステップと、
前記端末が、前記網接続装置を介して前記ホームステーションに対して認証要求メッセージを送信することによって、前記ホームステーションとの間で第3の共通鍵が共有され、前記ホームステーションが前記網接続装置へ前記第3の共通鍵を送信する第3のステップと、
前記網接続装置が、前記第3の共通鍵を用いて暗号化した前記第2の共通鍵を前記端末へ送信する第4のステップと
を有することを特徴とする認証方法。 - IEEE802.1x認証方式が適用され、
前記第1のステップは、前記ホームステーションをSupplicantとし、前記網接続装置をAuthenticatorとし、前記認証サーバをAuthentication Serverとして機能させ、
前記第2のステップは、前記端末をSupplicantとし、前記網接続装置をAuthenticatorとし、前記ホームステーションをAuthentication Serverとして機能させることを特徴とする請求項1に記載の認証方法。 - 前記第1のステップは、EAP−TLS方式が適用され、
前記第2のステップは、EAP−TLS方式又はEAP−MD5方式が適用されることを特徴とする請求項2に記載の認証方法。 - 前記第2の共通鍵が、前記網接続装置と前記端末との間で通信されるデータフレームの暗号化に用いられることを特徴とする請求項1から3のいずれか1項に記載の認証方法。
- 前記グループ内ネットワークは、宅内ネットワークであって、電力線搬送通信ネットワークであることを特徴とする請求項1から4のいずれか1項に記載の認証方法。
- 複数の端末が接続されたグループ内ネットワークと、複数のグループ内ネットワークとインターネットとの間に接続された網接続装置と、該網接続装置と通信可能な認証サーバとを有するシステムであって、
前記グループ内ネットワーク毎にホームステーションが備えられており、
前記認証サーバは、前記網接続装置を介して前記ホームステーションから認証要求メッセージを受信することによって、前記ホームステーションとの間で第1の共通鍵を共有する認証手段と、該第1の共通鍵を前記網接続装置へ送信する共通鍵送信手段とを有し、
前記ホームステーションは、前記網接続装置を介して前記認証サーバへ認証要求メッセージを送信し、前記認証サーバとの間で第1の共通鍵を共有する認証サーバ機能手段と、前記端末から前記網接続装置を介して前記認証要求メッセージを受信し、前記端末との間で第3の共通鍵を共有する認証端末機能手段とを有し、
前記網接続装置は、前記グループ内ネットワークに対する第2の共通鍵を決定するグループ共通鍵決定手段と、前記第1の共通鍵を用いて暗号化した前記第2の共通鍵を前記ホームステーションへ送信する第1の送信手段と、前記第3の共通鍵を用いて暗号化した前記第2の共通鍵を前記ホームステーションへ送信する第2の送信手段と
を有することを特徴とするシステム。 - IEEE802.1x認証方式が適用され、
前記ホームステーションにおける前記認証サーバ機能手段はAuthentication Serverとして機能し、前記認証端末機能手段はSupplicantとして機能することを特徴とする請求項6に記載のシステム。 - 前記ホームステーションにおける前記認証サーバ機能手段には、EAP−TLS方式が適用され、前記認証端末機能手段には、EAP−TLS方式又はEAP−MD5方式が適用されることを特徴とする請求項7に記載のシステム。
- 前記網接続装置は、前記端末へ送信すべきデータフレームを前記第2の共通鍵を用いて暗号化し、前記端末から受信したデータフレームを前記第2の共通鍵を用いて復号する暗号化/復号手段を更に有し、
前記端末は、前記網接続装置へ送信すべきデータフレームを前記第2の共通鍵を用いて暗号化し、前記網接続装置から受信したデータフレームを前記第2の共通鍵を用いて復号する暗号化/復号手段を更に有する
ことを特徴とする請求項6から8のいずれか1項に記載のシステム。 - 前記グループ内ネットワークは、宅内ネットワークであって、電力線搬送通信ネットワークであることを特徴とする請求項6から9のいずれか1項に記載のシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005002306A JP4677784B2 (ja) | 2005-01-07 | 2005-01-07 | 集合型宅内ネットワークにおける認証方法及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005002306A JP4677784B2 (ja) | 2005-01-07 | 2005-01-07 | 集合型宅内ネットワークにおける認証方法及びシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006191429A true JP2006191429A (ja) | 2006-07-20 |
| JP4677784B2 JP4677784B2 (ja) | 2011-04-27 |
Family
ID=36798122
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005002306A Expired - Fee Related JP4677784B2 (ja) | 2005-01-07 | 2005-01-07 | 集合型宅内ネットワークにおける認証方法及びシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4677784B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008160384A (ja) * | 2006-12-22 | 2008-07-10 | Nec Infrontia Corp | 無線lan端末、その電子証明書更新方法及びプログラム、並びに無線lanシステム |
| JP2009290743A (ja) * | 2008-05-30 | 2009-12-10 | Panasonic Electric Works Co Ltd | 鍵交換方法 |
| JP2013042330A (ja) * | 2011-08-15 | 2013-02-28 | Kddi Corp | 一方向通信システム、方法及びプログラム |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001053779A (ja) * | 1999-08-10 | 2001-02-23 | Matsushita Graphic Communication Systems Inc | ホームネットワークゲートウェイ装置およびホームネットワーク機器 |
| JP2002271309A (ja) * | 2001-03-07 | 2002-09-20 | Sharp Corp | 鍵情報管理方法及び機器管理装置 |
| JP2003111156A (ja) * | 2001-09-27 | 2003-04-11 | Toshiba Corp | デジタル家電機器 |
| JP2004194016A (ja) * | 2002-12-12 | 2004-07-08 | Sony Corp | 情報処理システムおよび方法、中継装置および方法、記録媒体、並びにプログラム |
| JP2004274359A (ja) * | 2003-03-07 | 2004-09-30 | Ntt Docomo Inc | 通信ネットワークシステム、通信端末機、認証装置、認証サーバ、及び電子認証方法 |
| JP2004297292A (ja) * | 2003-03-26 | 2004-10-21 | Nec Corp | 無線端末、認証サーバ、無線認証情報管理システム、および、無線認証情報管理方法 |
| JP2004320139A (ja) * | 2003-04-11 | 2004-11-11 | Toshiba Corp | 遠隔制御システム及び中継装置 |
-
2005
- 2005-01-07 JP JP2005002306A patent/JP4677784B2/ja not_active Expired - Fee Related
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001053779A (ja) * | 1999-08-10 | 2001-02-23 | Matsushita Graphic Communication Systems Inc | ホームネットワークゲートウェイ装置およびホームネットワーク機器 |
| JP2002271309A (ja) * | 2001-03-07 | 2002-09-20 | Sharp Corp | 鍵情報管理方法及び機器管理装置 |
| JP2003111156A (ja) * | 2001-09-27 | 2003-04-11 | Toshiba Corp | デジタル家電機器 |
| JP2004194016A (ja) * | 2002-12-12 | 2004-07-08 | Sony Corp | 情報処理システムおよび方法、中継装置および方法、記録媒体、並びにプログラム |
| JP2004274359A (ja) * | 2003-03-07 | 2004-09-30 | Ntt Docomo Inc | 通信ネットワークシステム、通信端末機、認証装置、認証サーバ、及び電子認証方法 |
| JP2004297292A (ja) * | 2003-03-26 | 2004-10-21 | Nec Corp | 無線端末、認証サーバ、無線認証情報管理システム、および、無線認証情報管理方法 |
| JP2004320139A (ja) * | 2003-04-11 | 2004-11-11 | Toshiba Corp | 遠隔制御システム及び中継装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008160384A (ja) * | 2006-12-22 | 2008-07-10 | Nec Infrontia Corp | 無線lan端末、その電子証明書更新方法及びプログラム、並びに無線lanシステム |
| JP2009290743A (ja) * | 2008-05-30 | 2009-12-10 | Panasonic Electric Works Co Ltd | 鍵交換方法 |
| JP2013042330A (ja) * | 2011-08-15 | 2013-02-28 | Kddi Corp | 一方向通信システム、方法及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4677784B2 (ja) | 2011-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3863852B2 (ja) | 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体 | |
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| KR100832893B1 (ko) | 무선 근거리 통신망으로 이동 단말의 보안 접근 방법 및 무선 링크를 통한 보안 데이터 통신 방법 | |
| CN108599925B (zh) | 一种基于量子通信网络的改进型aka身份认证系统和方法 | |
| EP1484856B1 (en) | Method for distributing encryption keys in wireless lan | |
| US7734280B2 (en) | Method and apparatus for authentication of mobile devices | |
| KR101485230B1 (ko) | 안전한 멀티 uim 인증 및 키 교환 | |
| JP4575679B2 (ja) | 無線ネットワークハンドオフ暗号鍵 | |
| CA2490131C (en) | Key generation in a communication system | |
| EP1422875B1 (en) | Wireless network handoff key | |
| JP4000111B2 (ja) | 通信装置および通信方法 | |
| US20100325435A1 (en) | Two-factor authenticated key exchange method and authentication method using the same, and recording medium storing program including the same | |
| EP1933498B1 (en) | Method, system and device for negotiating about cipher key shared by ue and external equipment | |
| US20090063851A1 (en) | Establishing communications | |
| US20060059344A1 (en) | Service authentication | |
| EP2506491B1 (en) | Encryption information transmission terminal | |
| US20100211790A1 (en) | Authentication | |
| JP2002247047A (ja) | セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置 | |
| KR20120091635A (ko) | 통신 시스템에서 인증 방법 및 장치 | |
| WO2010078755A1 (zh) | 电子邮件的传送方法、系统及wapi终端 | |
| WO2011041962A1 (zh) | 一种支持合法监听的端到端会话密钥协商方法和系统 | |
| CN111866881A (zh) | 无线局域网认证方法与无线局域网连接方法 | |
| JP4550759B2 (ja) | 通信システム及び通信装置 | |
| CN110012467B (zh) | 窄带物联网的分组认证方法 | |
| Maccari et al. | Security analysis of IEEE 802.16 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070918 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101116 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110104 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110117 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140210 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |