JP2007074238A - ネットワーク認証システム、認証装置、無線端末及びコンピュータプログラム - Google Patents
ネットワーク認証システム、認証装置、無線端末及びコンピュータプログラム Download PDFInfo
- Publication number
- JP2007074238A JP2007074238A JP2005257994A JP2005257994A JP2007074238A JP 2007074238 A JP2007074238 A JP 2007074238A JP 2005257994 A JP2005257994 A JP 2005257994A JP 2005257994 A JP2005257994 A JP 2005257994A JP 2007074238 A JP2007074238 A JP 2007074238A
- Authority
- JP
- Japan
- Prior art keywords
- authentication information
- authentication
- network
- wireless terminal
- seed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】 認証情報の安全性を確保するとともにネットワーク認証の効率化を図る。
【解決手段】 ネットワーク側は一方向関数の繰り返し演算によって一連の第1認証情報群を生成し、認証情報の生成順とは逆順に一連の有効期限を対応付け、移動端末31の認証有効期限の終了時点を含む有効期限を有する認証情報をシードとして移動端末31に送信する。移動端末31はシードを引数の初期値として一方向関数の繰り返し演算によって一連の第2認証情報群を生成し、認証情報の生成順とは逆順に一連の有効期限を対応付け、認証実施時に現在有効な認証情報を第2認証情報群から選定してネットワークに送信する。ネットワーク側は移動端末31からの認証情報と現在有効な認証情報とに基づいて認証判定を行う。
【選択図】 図1
【解決手段】 ネットワーク側は一方向関数の繰り返し演算によって一連の第1認証情報群を生成し、認証情報の生成順とは逆順に一連の有効期限を対応付け、移動端末31の認証有効期限の終了時点を含む有効期限を有する認証情報をシードとして移動端末31に送信する。移動端末31はシードを引数の初期値として一方向関数の繰り返し演算によって一連の第2認証情報群を生成し、認証情報の生成順とは逆順に一連の有効期限を対応付け、認証実施時に現在有効な認証情報を第2認証情報群から選定してネットワークに送信する。ネットワーク側は移動端末31からの認証情報と現在有効な認証情報とに基づいて認証判定を行う。
【選択図】 図1
Description
本発明は、ネットワーク認証システム、認証装置、無線端末及びコンピュータプログラムに関する。
従来、無線ネットワークアクセス時の端末認証を行う無線ネットワーク認証技術として、ある無線基地局エリア経由から他の無線基地局エリア経由へ端末の通信経路を切り替えるハンドオーバ時に、途切れのない通信を実現するための技術が知られている。例えば、非特許文献1に記載の技術では、無線LAN(無線ローカルエリアネットワーク)システムにおいて、各AP(アクセスポイント)は、各APをノードで表し、隣接するAPを辺で結んだグラフを保持する。そして、端末のハンドオーバ時には、現在端末が接続しているAPからグラフ上の隣接ノードに対応するAPに認証情報を送信し、端末はハンドオーバを行う際に当該認証情報を用いてハンドオーバ先のAPと認証を行っている。
A. Mishra, et al., "Proactive Key Distribution Using Neighbor Graphs," IEEE Wireless Communications, vol. 11, no. 1, Feburary 2004, pp. 26-36.
A. Mishra, et al., "Proactive Key Distribution Using Neighbor Graphs," IEEE Wireless Communications, vol. 11, no. 1, Feburary 2004, pp. 26-36.
しかし、上述した非特許文献1に記載の無線ネットワーク認証技術では、ハンドオーバが実行されるまでの間、各APは同一の認証情報を保持し続けるので、認証情報の安全性に問題がある。特に同じ認証情報を複数のAPに配布した場合、実際に端末がハンドオーバして来なかったAPには、しばらくの間、当該認証情報が有効なまま保持されることことが考えられ、その結果として認証情報が漏洩して不正ユーザの侵入を許す恐れがある。
本発明は、このような事情を考慮してなされたもので、その目的は、認証情報の安全性を確保するとともにネットワーク認証の効率化を図ることのできるネットワーク認証システム、認証装置、無線端末を提供することにある。
また、本発明の他の目的は、本発明の認証装置、無線端末をコンピュータを利用して実現するためのコンピュータプログラムを提供することにある。
上記の課題を解決するために、本発明に係るネットワーク認証システムは、無線ネットワークに接続する無線端末の認証を行うネットワーク認証システムであり、一方向関数の繰り返し演算によって一連の第1認証情報群を生成する第1認証情報生成手段と、前記第1認証情報群内の各認証情報に関し、認証情報の生成順とは逆順に、一連の有効期限を対応付ける第1認証情報管理手段と、前記無線端末の認証有効期限の終了時点を含む有効期限を有する前記認証情報をシードに採用するシード選定手段と、該シード及び前記第1認証情報群に係る認証情報有効期限情報を前記無線端末に送信する第1送信手段と、前記無線端末から認証情報を受信する第1受信手段と、前記無線端末から認証情報を受信した時点に有効な認証情報を前記第1認証情報群から選定する第1認証情報選定手段と、前記無線端末から受信した認証情報と前記第1認証情報群から選定した認証情報とに基づき、前記無線端末の認証判定を行う判定手段と、を備え、前記無線端末は、前記第1送信手段から送信されたシード及び認証情報有効期限情報を受信する第2受信手段と、該受信したシードを引数の初期値として、前記第1認証情報生成手段と共通の一方向関数の繰り返し演算によって一連の第2認証情報群を生成する第2認証情報生成手段と、前記受信した認証情報有効期限情報に基づき、前記第2認証情報群内の各認証情報に関し、認証情報の生成順とは逆順に、一連の有効期限を対応付ける第2認証情報管理手段と、認証実施時に、現在有効な認証情報を前記第2認証情報群から選定する第2認証情報選定手段と、前記第2認証情報群から選定した認証情報を前記第1受信手段に送信する第2送信手段と、を備える、ことを特徴とする。
本発明に係るネットワーク認証システムにおいては、前記判定手段は、前記無線端末から受信した認証情報と前記第1認証情報群から選定した認証情報とが不一致である場合に、前記第1認証情報群から選定した認証情報を引数とした前記一方向関数の値と前記無線端末から受信した認証情報とに基づき、前記無線端末の認証判定を行う、ことを特徴とする。
本発明に係るネットワーク認証システムにおいては、前記認証情報管理手段は、前記認証情報群の各認証情報と各有効期限とを対応付けて記憶するテーブルを有する、ことを特徴とする。
本発明に係るネットワーク認証システムにおいては、前記認証情報選定手段は、前記認証情報生成手段により、前記選定時に、選定する認証情報を生成する、ことを特徴とする。
本発明に係るネットワーク認証システムにおいては、前記認証情報管理手段は、自装置内の時計の時刻に基づいて有効期限を管理する、ことを特徴とする。
本発明に係るネットワーク認証システムにおいては、前記認証情報管理手段は、前記シード及び認証情報有効期限情報の授受時点にタイマを発動し、該タイマの時刻に基づいて有効期限を管理する、ことを特徴とする。
本発明に係るネットワーク認証システムにおいては、前記認証実施時は、前記無線端末のハンドオーバ時であることを特徴とする。
本発明に係るネットワーク認証システムにおいては、前記認証実施時は、前記無線端末のデータ送信時であることを特徴とする。
本発明に係る認証装置は、無線ネットワークに接続する無線端末の認証を行う認証装置であり、一方向関数の繰り返し演算によって一連の第1認証情報群を生成する第1認証情報生成手段と、前記第1認証情報群内の各認証情報に関し、認証情報の生成順とは逆順に、一連の有効期限を対応付ける第1認証情報管理手段と、前記無線端末の認証有効期限の終了時点を含む有効期限を有する前記認証情報をシードに採用するシード選定手段と、該シード及び前記第1認証情報群に係る認証情報有効期限情報を前記無線端末に送信する送信手段と、前記無線端末から認証情報を受信する受信手段と、前記無線端末から認証情報を受信した時点に有効な認証情報を前記第1認証情報群から選定する第1認証情報選定手段と、前記無線端末から受信した認証情報と前記第1認証情報群から選定した認証情報とに基づき、前記無線端末の認証判定を行う判定手段と、を備えたことを特徴とする。
本発明に係る無線端末は、無線ネットワークに接続する無線端末であり、前記無線ネットワークからシード及び認証情報有効期限情報を受信する受信手段と、該受信したシードを引数の初期値として、前記無線ネットワーク側と共通の一方向関数の繰り返し演算によって一連の第2認証情報群を生成する第2認証情報生成手段と、前記受信した認証情報有効期限情報に基づき、前記第2認証情報群内の各認証情報に関し、認証情報の生成順とは逆順に、一連の有効期限を対応付ける第2認証情報管理手段と、認証実施時に、現在有効な認証情報を前記第2認証情報群から選定する第2認証情報選定手段と、前記第2認証情報群から選定した認証情報を前記無線ネットワークに送信する送信手段と、を備えたことを特徴とする。
本発明に係るコンピュータプログラムは、無線ネットワークに接続する無線端末の認証を行うサーバ処理を行うためのコンピュータプログラムであって、一方向関数の繰り返し演算によって一連の第1認証情報群を生成する第1認証情報生成機能と、前記第1認証情報群内の各認証情報に関し、認証情報の生成順とは逆順に、一連の有効期限を対応付ける第1認証情報管理機能と、前記無線端末の認証有効期限の終了時点を含む有効期限を有する前記認証情報をシードに採用するシード選定機能と、該シード及び前記第1認証情報群に係る認証情報有効期限情報を前記無線端末に送信する送信機能と、前記無線端末から認証情報を受信する受信機能と、前記無線端末から認証情報を受信した時点に有効な認証情報を前記第1認証情報群から選定する第1認証情報選定機能と、前記無線端末から受信した認証情報と前記第1認証情報群から選定した認証情報とに基づき、前記無線端末の認証判定を行う判定機能と、をコンピュータに実現させることを特徴とする。
これにより、前述の認証装置がコンピュータを利用して実現できるようになる。
これにより、前述の認証装置がコンピュータを利用して実現できるようになる。
本発明に係るコンピュータプログラムは、無線ネットワークに接続する無線端末の端末処理を行うためのコンピュータプログラムであって、前記無線ネットワークからシード及び認証情報有効期限情報を受信する受信機能と、該受信したシードを引数の初期値として、前記無線ネットワーク側と共通の一方向関数の繰り返し演算によって一連の第2認証情報群を生成する第2認証情報生成機能と、前記受信した認証情報有効期限情報に基づき、前記第2認証情報群内の各認証情報に関し、認証情報の生成順とは逆順に、一連の有効期限を対応付ける第2認証情報管理機能と、認証実施時に、現在有効な認証情報を前記第2認証情報群から選定する第2認証情報選定機能と、前記第2認証情報群から選定した認証情報を前記無線ネットワークに送信する送信機能と、をコンピュータに実現させることを特徴とする。
これにより、前述の無線端末がコンピュータを利用して実現できるようになる。
これにより、前述の無線端末がコンピュータを利用して実現できるようになる。
本発明によれば、認証情報の安全性を確保するとともにネットワーク認証の効率化を図ることができる。
以下、図面を参照し、本発明の一実施形態について説明する。
図1は、本発明の一実施形態に係るネットワーク認証システムの構成を示すブロック図である。図1に示すネットワーク認証システムにおいて、コアネットワーク10には、ハンドオーバ制御サーバ(HO制御サーバ)11が設けられている。各無線アクセスネットワーク20には、AAAサーバ21と網接続装置22が設けられている。各AAAサーバ21はハンドオーバ制御サーバ11に接続されている。同一無線アクセスネットワーク20内のAAAサーバ21と網接続装置22は接続されている。
図1は、本発明の一実施形態に係るネットワーク認証システムの構成を示すブロック図である。図1に示すネットワーク認証システムにおいて、コアネットワーク10には、ハンドオーバ制御サーバ(HO制御サーバ)11が設けられている。各無線アクセスネットワーク20には、AAAサーバ21と網接続装置22が設けられている。各AAAサーバ21はハンドオーバ制御サーバ11に接続されている。同一無線アクセスネットワーク20内のAAAサーバ21と網接続装置22は接続されている。
各無線アクセスネットワーク20は、無線アクセスエリア30を有する。移動端末(無線端末)31は、ある無線アクセスエリア30内に在るとき、その無線アクセスエリア30に対応する無線アクセスネットワーク20に網接続装置22を介して無線接続(以下、単に「接続」という)することができる。そして、移動端末31が、ある無線アクセスエリア30から他の無線アクセスエリア30に移動すると、当該移動端末31の通信経路の無線アクセスネットワーク20を切り替えるためのハンドオーバが発生する。例えば、図1に例示されるように、無線アクセスエリア3_30に在って無線アクセスネットワーク3_20に接続中の移動端末31が、無線アクセスエリア2_30に移動した場合、当該移動端末31の通信経路を無線アクセスネットワーク3_20経由から無線アクセスネットワーク2_20経由に切り替えるためのハンドオーバが発生する。このとき、ハンドオーバ先の無線アクセスネットワーク2_20においては、ハンドオーバしてくる移動端末31の認証が行われる。
各無線アクセスネットワーク20は、同種ネットワークであってもよく、あるいは異種ネットワークであってもよい。無線アクセスネットワーク20としては、例えば、各種無線方式の携帯電話ネットワークや無線LANなどが挙げられる。携帯電話ネットワークの場合、網接続装置22は携帯電話ネットワークの無線基地局である。無線LANの場合、網接続装置22は無線LANのアクセスポイントである。
以下、本実施形態に係る各実施例を挙げて詳細に説明する。
実施例1に係るネットワーク認証方法は、図2に示されるように準備フェーズと認証フェーズを有する。図2は、本発明に係る実施例1のネットワーク認証手順を示したシーケンス図である。この図2には、上記図1の例に合わせて、無線アクセスネットワーク3_20経由から無線アクセスネットワーク2_20経由に通信経路を切り替えるハンドオーバを行うときのシーケンスが示されている。
初めに、図2を参照して、実施例1に係る準備フェーズを説明する。
図2において、先ず、ハンドオーバ制御サーバ11は、予めマスター鍵MKを生成し(ステップS1)、このマスター鍵MKをもとに認証情報を所定数だけ生成する(ステップS2)。具体的には、図3のフローチャートに示されるように、マスター鍵MKを引数の初期値とした一方向関数hの繰り返し演算によって一連の認証情報群を生成し記憶する。ここで、認証情報Pn=MK、Pj=h(Pj+1)、j=n−1,・・・,0、である。一方向関数hとしては、例えば、ハッシュ関数が利用できる。ハンドオーバ制御サーバ11は、生成した認証情報群を記憶する。図4には、その生成した認証情報群を記憶する認証情報テーブル101の構成例が示されている。図4において、各認証情報Piは、図5に示されるように一定期間TP毎の区間iに対応付けられ、その対応する区間iにおいて有効である。ここで、認証情報Piの生成順序とは逆順で区間iと対応付けられる。例えば、最初の区間0で有効となるのは最後に生成された認証情報P0であり、最後の区間nで有効となるのは最初の認証情報Pnである。ハンドオーバ制御サーバ11は、自装置内の時計の時刻に基づき、各認証情報Piの有効期限を管理する。
図2において、先ず、ハンドオーバ制御サーバ11は、予めマスター鍵MKを生成し(ステップS1)、このマスター鍵MKをもとに認証情報を所定数だけ生成する(ステップS2)。具体的には、図3のフローチャートに示されるように、マスター鍵MKを引数の初期値とした一方向関数hの繰り返し演算によって一連の認証情報群を生成し記憶する。ここで、認証情報Pn=MK、Pj=h(Pj+1)、j=n−1,・・・,0、である。一方向関数hとしては、例えば、ハッシュ関数が利用できる。ハンドオーバ制御サーバ11は、生成した認証情報群を記憶する。図4には、その生成した認証情報群を記憶する認証情報テーブル101の構成例が示されている。図4において、各認証情報Piは、図5に示されるように一定期間TP毎の区間iに対応付けられ、その対応する区間iにおいて有効である。ここで、認証情報Piの生成順序とは逆順で区間iと対応付けられる。例えば、最初の区間0で有効となるのは最後に生成された認証情報P0であり、最後の区間nで有効となるのは最初の認証情報Pnである。ハンドオーバ制御サーバ11は、自装置内の時計の時刻に基づき、各認証情報Piの有効期限を管理する。
次いで、ハンドオーバ制御サーバ11は、各無線アクセスネットワーク20のAAAサーバ21に対して、認証情報群中の認証情報Piを認証情報P0から順番に一定期間TPごとに送信する(ステップS3)。これにより、各区間iで有効となる認証情報Piは、各無線アクセスネットワーク20のAAAサーバ21によって共有される。各AAAサーバ21は、自装置内の時計の時刻に基づき、各認証情報Piの有効期限を管理する。
なお、ハンドオーバ制御サーバ11は、上述したように予め認証情報群を生成し記憶するのではなく、必要に応じて適宜認証情報Piを生成し記憶するようにしてもよい。例えば、各認証情報Piの送信時点で、当該認証情報Piを生成し記憶するようにしてもよい。
次いで、移動端末31からハンドオーバ要求が送信されると(ステップS11)、該ハンドオーバ要求は、ハンドオーバ元の無線アクセスネットワーク3_20の網接続装置3_22を介してハンドオーバ制御サーバ11に送信される(ステップS12)。このハンドオーバ要求には、移動端末31の属性情報が含まれている。移動端末31の属性情報としては、例えば、端末種別に関わる情報、端末の位置情報、端末の移動速度などが挙げられる。
次いで、ハンドオーバ制御サーバ11は、受け取ったハンドオーバ要求をもとに、当該移動端末31の認証有効期限を決定し(ステップS13)、その認証有効期限内において有効な認証情報Piを生成できるシードを選択する(ステップS14)。図2には、図6の例で示されている。図6の例では、各認証情報Piの有効期間TPは10秒、移動端末31の認証有効期限長は50秒、現在の区間1で有効なのは認証情報P1である。このとき、ハンドオーバ制御サーバ11は、少なくとも認証有効期限の50秒の間は有効な一連の5個の認証情報P2,P3,P4,P5,P6が得られるように、認証情報P6をシードに選択する。このシード(P6)からは、一方向関数hの繰り返し演算によって一連の認証情報P5,P4,P3,P2を生成することができる。
次いで、ハンドオーバ制御サーバ11は、シードと各認証情報の有効期間(認証情報有効期間)TPとシードから生成する認証情報の個数jと認証情報の使用開始時間TSを送信し(ステップS15)、それら情報は網接続装置3_22を介してハンドオーバ要求元の移動端末31に送信される(ステップS16)。図6の例では、シードはP6、認証情報有効期間TPは10秒、シードから生成する認証情報の個数jは4、認証情報の使用開始時間TSは200である。つまり、認証情報の使用開始時間TSである時間「200」から50秒分の認証情報P2,P3,P4,P5,P6を移動端末31において得ることができ、この結果、移動端末31の認証有効期限は時間「200」から「250」までとなる。なお、認証情報有効期間TP、シードから生成する認証情報の個数j及び認証情報の使用開始時間TSは認証情報有効期限情報に対応する。
次いで、移動端末31は、シードと認証情報有効期間TPとシードから生成する認証情報の個数jと認証情報の使用開始時間TSとを受信すると、その受信したシードから認証情報を個数jだけ生成し、図4と同様の認証情報テーブルに記憶する(ステップS17)。図6の例では、移動端末31は、シード(P6)から一方向関数hの繰り返し演算によって一連の4個の認証情報P5,P4,P3,P2を生成する。該一方向関数hはハンドオーバ制御サーバ11で用いられたものと同じである。なお、説明の便宜上、移動端末31が得た認証情報P2,P3,P4,P5,P6を各々Pu0,Pu1,Pu2,Pu3,Pu4として記す。これにより、使用開始時間TSである時間「200」から認証情報有効期間TP「10秒」ごとに有効となる一連の5個の認証情報Pu0,Pu1,Pu2,Pu3,Pu4が得られる。つまり、移動端末31の認証有効期限の時間「200」から「250」までの50秒分の認証情報群が得られる。移動端末31は、自装置内の時計の時刻に基づき、各認証情報Puiの有効期限を管理する。
以上で実施例1に係る準備フェーズが終了する。
なお、移動端末31は、上述したように予め認証情報群を生成し記憶するのではなく、受け取ったシード及び使用開始時間TSを記憶しておき、必要に応じて適宜認証情報Piを生成するようにしてもよい。例えば、後述する認証時点で、その時に有効な認証情報Piを生成するようにしてもよい。
また、移動端末31の認証有効期限の決定方法としては、例えば、無線アクセスネットワーク20の無線アクセスエリア30に関する情報に基づいて移動端末31が実際に認証を行うまでの所要時間を算出し、該所要時間を基にして認証有効期限を決定する方法が挙げられる。具体的には、基地局の位置座標を(xb,yb)、無線アクセスエリア30の半径をr、移動端末31の位置座標を(xt,yt)、移動端末31の移動速度をvtとすると、当該移動端末31が実際に認証を行うまでの所要時間THOは、次式で算出することができる。
THO=[{√{(xt−xb)2+(yt−yb)2}−r}/vt]+T0
但し、T0は定数である。この定数T0を加えることにより、認証有効期限に若干の余裕を持たせ、正規の移動端末31がアクセスできなくなるのを防ぐようにする。
THO=[{√{(xt−xb)2+(yt−yb)2}−r}/vt]+T0
但し、T0は定数である。この定数T0を加えることにより、認証有効期限に若干の余裕を持たせ、正規の移動端末31がアクセスできなくなるのを防ぐようにする。
また、移動端末31から認証有効期限をハンドオーバ制御サーバ11に直接要求し、該要求された認証有効期限が所定の許容値に満たない場合に、ハンドオーバ制御サーバ11から所定の認証有効期限を移動端末31に与えるようにしてもよい。
次に、図2を参照して、実施例1に係る認証フェーズを説明する。
図2において、移動端末31は、ハンドオーバ先へのアクセス時点において、上記準備フェーズで記憶した認証情報群の中から現在有効な認証情報Puiを選択する(ステップS21)。図2には、図7の例で示されている。図7の例では、ハンドオーバ先へのアクセス時点は、使用開始時間TSである時間「200」から35秒が経過しており、この時点で有効なのは認証情報Pu3であるので、移動端末31は認証情報Pu3を選択する。次いで、移動端末31は、ハンドオーバ先の無線アクセスネットワーク2_20のAAAサーバ2_21に対して、接続要求を送信する(ステップS22)。
図2において、移動端末31は、ハンドオーバ先へのアクセス時点において、上記準備フェーズで記憶した認証情報群の中から現在有効な認証情報Puiを選択する(ステップS21)。図2には、図7の例で示されている。図7の例では、ハンドオーバ先へのアクセス時点は、使用開始時間TSである時間「200」から35秒が経過しており、この時点で有効なのは認証情報Pu3であるので、移動端末31は認証情報Pu3を選択する。次いで、移動端末31は、ハンドオーバ先の無線アクセスネットワーク2_20のAAAサーバ2_21に対して、接続要求を送信する(ステップS22)。
次いで、AAAサーバ2_21は、移動端末31からの接続要求を受信すると、現時点で有効な認証情報Piを選択する。図2の例では、図7に示されるように、移動端末31からの接続要求の受信時点では時間「200」から35秒が経過しており、この時点で有効なのは認証情報P5であるので、AAAサーバ2_21は認証情報P5を選択する(ステップS23)。
次いで、移動端末31とAAAサーバ2_21は、それぞれ選択した認証情報を使用して認証処理を行う(ステップS24)。ここで、移動端末31が選択した認証情報Pu3は、AAAサーバ2_21が選択した認証情報P5であるので、認証情報の照合は一致し、その認証判定は成功となる。次いで、AAAサーバ2_21は、その認証結果を移動端末31に送信する(ステップS25)。
なお、AAAサーバ21は、上記した認証情報の選択処理において、移動端末31との間の時刻のずれを考慮した処理を行う。図8は、AAAサーバ21に係る時刻ずれ補償処理を説明するための説明図である。図8において、移動端末31は、時刻t1からt2の期間において認証を行うために、当該期間に有効な認証情報P1を送信認証情報PcとしてAAAサーバ21に送信する。ここで、通信ネットワークの伝送遅延等により、AAAサーバ21への送信認証情報Pcの到着が遅れると、AAAサーバ21は、移動端末31が認証を行おうとした期間の次の期間(時刻t2からt3の期間)に、移動端末31からの送信認証情報Pc(P1)を受信する可能性がある。すると、AAAサーバ21は、時刻t2からt3の期間に有効な認証情報P2を使用認証情報Psに選択し、該使用認証情報Ps(P2)と移動端末31からの送信認証情報Pc(P1)を比較し、両者の不一致から認証失敗と判定してしまう。
そこで、そのような事態を防ぐために、先ず、AAAサーバ21は、移動端末31からの接続要求を受信した時刻に有効な認証情報を使用認証情報Psに選択し、この使用認証情報Psと移動端末31からの送信認証情報Pcを比較する(図8のステップS231)。次いで、その比較の結果、不一致ならば、該使用認証情報Psを一方向関数hの引数にした一方向関数値h(Ps)を使用認証情報Psとして再度、送信認証情報Pcとの比較を行う(図8のステップS232)。この比較の結果、一致したならば認証成功であると判定する。これにより、通信ネットワークの伝送遅延等による時刻ずれに対応することが可能となる。
上述した実施例1によれば、認証情報の安全性を確保するとともに、ネットワークエントリ時のネットワーク認証の効率化を図ることができる。これにより、ハンドオーバ時の認証処理時間を短縮することができ、異アクセスネットワーク間のシームレスな通信を実現することが可能となる。
実施例2に係るネットワーク認証方法は、上記した実施例1と同様に準備フェーズ及び認証フェーズを有する。上記した実施例1では、ハンドオーバ制御サーバ11が一元的に認証情報を生成し管理したが、本実施例2においては、各無線アクセスネットワーク20のAAAサーバ21がそれぞれに認証情報を生成し管理する。以下、主に実施例1との差分について説明する。
図9は、本発明に係る実施例2のネットワーク認証手順を示したシーケンス図である。この図9には、上記図1の例に合わせて、無線アクセスネットワーク3_20経由から無線アクセスネットワーク2_20経由に通信経路を切り替えるハンドオーバを行うときのシーケンスが示されている。
初めに、図9を参照して、実施例2に係る準備フェーズを説明する。
図9において、先ず、移動端末31からハンドオーバ要求が送信されると(ステップS101)、該ハンドオーバ要求は、ハンドオーバ元の無線アクセスネットワーク3_20の網接続装置3_22を介してハンドオーバ制御サーバ11に送信される(ステップS102)。このハンドオーバ要求には、移動端末31の属性情報が含まれている。
図9において、先ず、移動端末31からハンドオーバ要求が送信されると(ステップS101)、該ハンドオーバ要求は、ハンドオーバ元の無線アクセスネットワーク3_20の網接続装置3_22を介してハンドオーバ制御サーバ11に送信される(ステップS102)。このハンドオーバ要求には、移動端末31の属性情報が含まれている。
次いで、ハンドオーバ制御サーバ11は、受け取ったハンドオーバ要求をもとに、当該移動端末31の認証有効期限を決定する(ステップS103)。次いで、ハンドオーバ制御サーバ11は、その決定した認証有効期限と当該移動端末31の端末識別情報(端末ID)をハンドオーバ先の無線アクセスネットワーク2_20のAAAサーバ2_21に送信する(ステップS104)。
AAAサーバ2_21は、予めマスター鍵MKを生成し(ステップS1)、このマスター鍵MKをもとに認証情報を所定数だけ生成している(ステップS2)。このステップS1及びS2の処理は、上記実施例1と同様である。つまり、AAAサーバ2_21は、マスター鍵MKをもとに一方向関数hの繰り返し演算によって認証情報を認証有効期限に応じた所定数だけ生成し記憶する。ここで、認証情報Pn=MK、Pj=h(Pj+1)、j=n−1,・・・,0、である。
次いで、AAAサーバ2_21は、ハンドオーバ制御サーバ11から認証有効期限及び端末IDを受信すると、該受信した認証有効期限内において有効な認証情報Piを生成できるシードを選択する(ステップS105)。図9には、図10に示される例に対応して示されている。図10の例では、各認証情報Piの有効期間TPは10秒、移動端末31の認証有効期限は50秒である。そして、図10の例においては、一連の4個の認証情報P0,P1,P2,P3を生成することができる認証情報P4がシードに選択される。
次いで、AAAサーバ2_21は、タイムスタンプTMSを取得する(ステップS106)。次いで、AAAサーバ2_21は、シード(P4)と認証情報有効期間TP(10秒)とシードから生成する認証情報の個数j(4)とタイムスタンプTMSを送信し(ステップS107)、それら情報は、ハンドオーバ制御サーバ11及び網接続装置3_22を介してハンドオーバ要求元の移動端末31に送信される(ステップS108、S109)。なお、認証情報有効期間TP及びシードから生成する認証情報の個数jは認証情報有効期限情報に対応する。
次いで、AAAサーバ2_21は、タイムスタンプTMSを取得する(ステップS106)。次いで、AAAサーバ2_21は、シード(P4)と認証情報有効期間TP(10秒)とシードから生成する認証情報の個数j(4)とタイムスタンプTMSを送信し(ステップS107)、それら情報は、ハンドオーバ制御サーバ11及び網接続装置3_22を介してハンドオーバ要求元の移動端末31に送信される(ステップS108、S109)。なお、認証情報有効期間TP及びシードから生成する認証情報の個数jは認証情報有効期限情報に対応する。
次いで、AAAサーバ2_21は、ステップS107の送信後、タイマを発動する(ステップS110)。このタイマ発動時点は、図10に例示されるように、最初の認証情報P0の使用開始時間であり、すなわち移動端末31の認証有効期限の開始時間である。なお、タイマはシードを発行する毎に起動する。
次いで、AAAサーバ2_21は、タイムスタンプTMSとタイマと端末IDを対応付ける(ステップS111)。具体的には、図11に示されるタイマ対応表201に、タイムスタンプTMSとタイマとクライアントIDを対応付けて記憶させる。図11には、タイマ対応表300の構成例が示されている。
次いで、AAAサーバ2_21は、タイムスタンプTMSとタイマと端末IDを対応付ける(ステップS111)。具体的には、図11に示されるタイマ対応表201に、タイムスタンプTMSとタイマとクライアントIDを対応付けて記憶させる。図11には、タイマ対応表300の構成例が示されている。
ハンドオーバ要求元の移動端末31は、シード(P4)と認証情報有効期間TP(10秒)とシードから生成する認証情報の個数j(4)とタイムスタンプTMSを受信すると、タイマを発動し(ステップS112)、シード(P4)から一方向関数hの繰り返し演算によって認証情報を個数j(4)だけ、つまり一連の4個の認証情報P3,P2,P1,P0を生成し記憶する(ステップS113)。また、認証情報有効期間TP(10秒)も記憶する。なお、説明の便宜上、移動端末31が得た認証情報P0,P1,P2,P3,P4を各々Pu0,Pu1,Pu2,Pu3,Pu4として記す。これにより、タイマ発動時点から認証情報有効期間TP「10秒」ごとに有効となる一連の5個の認証情報Pu0,Pu1,Pu2,Pu3,Pu4が得られる。つまり、移動端末31の認証有効期限のタイマ発動時点から50秒後までの50秒分の認証情報群が得られる。
次いで、移動端末31は、タイムスタンプTMSとタイマを対応付けて記憶する(ステップS114)。
次いで、移動端末31は、タイムスタンプTMSとタイマを対応付けて記憶する(ステップS114)。
以上で実施例2に係る準備フェーズが終了する。
次に、図9を参照して、実施例2に係る認証フェーズを説明する。
図9において、移動端末31は、ハンドオーバ先へのアクセス時点において、上記準備フェーズで記憶した認証情報群の中から現在有効な認証情報Puiを選択する(ステップS121)。図9には、図12の例で示されている。図12の例では、ハンドオーバ先へのアクセス時点は、移動端末31のタイマ発動時点から35秒が経過しており、この時点で有効なのは認証情報Pu3であるので、移動端末31は認証情報Pu3を選択する。
図9において、移動端末31は、ハンドオーバ先へのアクセス時点において、上記準備フェーズで記憶した認証情報群の中から現在有効な認証情報Puiを選択する(ステップS121)。図9には、図12の例で示されている。図12の例では、ハンドオーバ先へのアクセス時点は、移動端末31のタイマ発動時点から35秒が経過しており、この時点で有効なのは認証情報Pu3であるので、移動端末31は認証情報Pu3を選択する。
次いで、移動端末31は、該選択した認証情報(Pu3)に係るハッシュ値(hc)を算出する(ステップS122)。このハッシュ値算出処理においては、先ず、認証情報と、自端末IDと、タイマに対応付けて記憶しているタイムスタンプTMSとのビット毎の排他的論理和演算を行う。そして、その排他的論理和演算値をハッシュ関数hの引数としたハッシュ値(hc)を計算する。次いで、移動端末31は、ハンドオーバ先の無線アクセスネットワーク2_20のAAAサーバ2_21に対して、接続要求を送信する(ステップS123)。
次いで、AAAサーバ2_21は、移動端末31からの接続要求を受信すると、タイマ対応表201を参照して当該移動端末31に係るタイマ及びタイムスタンプTMSを取得する(ステップS124)。また、現時点で有効な認証情報Piを選択する(ステップS125)。図9の例では、図12に示されるように、移動端末31からの接続要求の受信時点ではAAAサーバ2_21のタイマ発動時点から35秒が経過しており、この時点で有効なのは認証情報P3であるので、AAAサーバ2_21は認証情報P3を選択する。
次いで、AAAサーバ2_21は、ハッシュ値(hs)を算出する(ステップS126)。このハッシュ値算出処理においては、先ず、上記ステップS125で選択した認証情報と、当該移動端末31の端末IDと、タイマ対応表300から取得したタイムスタンプTMSとのビット毎の排他的論理和演算を行う。そして、その排他的論理和演算値をハッシュ関数hの引数としたハッシュ値(hs)を計算する。
次いで、移動端末31とAAAサーバ2_21は、それぞれ算出したハッシュ値(hc),(hs)を使用して認証処理を行う(ステップS127)。ここで、移動端末31が選択した認証情報Pu3はAAAサーバ2_21が選択した認証情報P3であるので、また、同じ端末ID及びタイムスタンプTMSがハッシュ値算出に用いられているので、それぞれのハッシュ値(hc),(hs)は一致し、その認証処理は成功する。次いで、AAAサーバ2_21は、その認証結果を移動端末31に送信する(ステップS128)。
なお、上述した実施例2においても、AAAサーバ21は、上記図8の時刻ずれ補償処理を行うことが可能であり、該時刻ずれ補償処理によって移動端末31との間の時刻のずれを補償することができる。
また、認証時点において当該期間に有効な認証情報をサーバ側及び移動端末側の双方でそれぞれ生成するようにしてもよい。
上述した実施例2によれば、上記実施例1と同様に、認証情報の安全性を確保するとともに、ネットワークエントリ時のネットワーク認証の効率化を図ることができる。これにより、ハンドオーバ時の認証処理時間を短縮することができ、異アクセスネットワーク間のシームレスな通信を実現することが可能となる。
なお、実施例2においては、期間によっては同じパスワードが利用されるため、リプレイ攻撃が懸念されるので、上記に例示したタイムスタンプTMSのように毎回異なる値を用いてパスワードに係るハッシュ値を算出し、該ハッシュ値同士を比較することが望ましい。これにより、リプレイ攻撃からの防御が可能となる。また、サーバ側では、定期的にマスター鍵MKを更新してパスワードの更新を行うことがセキュリティ上望ましい。
実施例3に係るネットワーク認証方法は、上記した実施例1、2と同様に準備フェーズ及び認証フェーズを有する。本実施例3では、各無線アクセスネットワーク20のAAAサーバ21がそれぞれ認証情報を生成し管理する。また、その認証情報に対応付ける時刻には各AAAサーバ21のローカル時間を利用する。以下、主に実施例1及び2との差分について説明する。
図13は、本発明に係る実施例3のネットワーク認証手順を示したシーケンス図である。この図13には、上記図1の例に合わせて、無線アクセスネットワーク3_20経由から無線アクセスネットワーク2_20経由に通信経路を切り替えるハンドオーバを行うときのシーケンスが示されている。
初めに、図13を参照して、実施例3に係る準備フェーズを説明する。
図13において、上記図9に示す実施例2の準備フェーズと同様に、AAAサーバ2_21は、移動端末31からのハンドオーバ要求により、ハンドオーバ制御サーバ11を介して、認証有効期限及び端末IDを受信する(ステップS101〜S104)。AAAサーバ2_21は、予めマスター鍵MKを生成し(ステップS1)、このマスター鍵MKをもとに認証情報を所定数だけ生成している(ステップS2)。このステップS1及びS2の処理は、上記実施例1と同様である。ここで、AAAサーバ2_21は、上記図4に示される認証情報テーブル101と同様に、生成した認証情報群を記憶する。このとき、各認証情報に対応付ける時刻情報は、AAAサーバ2_21のローカル時間の情報である。
図13において、上記図9に示す実施例2の準備フェーズと同様に、AAAサーバ2_21は、移動端末31からのハンドオーバ要求により、ハンドオーバ制御サーバ11を介して、認証有効期限及び端末IDを受信する(ステップS101〜S104)。AAAサーバ2_21は、予めマスター鍵MKを生成し(ステップS1)、このマスター鍵MKをもとに認証情報を所定数だけ生成している(ステップS2)。このステップS1及びS2の処理は、上記実施例1と同様である。ここで、AAAサーバ2_21は、上記図4に示される認証情報テーブル101と同様に、生成した認証情報群を記憶する。このとき、各認証情報に対応付ける時刻情報は、AAAサーバ2_21のローカル時間の情報である。
次いで、AAAサーバ2_21は、ハンドオーバ制御サーバ11から受信した認証有効期限内において有効な認証情報Piを生成できるシードを選択する(ステップS105)。図13の例は、上記図6の例に対応しており、シード(P6)が選択される。次いで、AAAサーバ2_21は、シード(P6)と認証情報有効期間TP(10秒)、シードから生成する認証情報の個数j(4)、認証情報の使用開始時間TS(時間「200」)を送信し(ステップS131)、それら情報はハンドオーバ制御サーバ11及び網接続装置3_22を介してハンドオーバ要求元の移動端末31に送信される(ステップS132、S133)。
次いで、移動端末31は、上記実施例1と同様に、その受信したシード(P6)から認証情報を個数j(4)だけ生成し、図4と同様の認証情報テーブルに記憶する(ステップS133)。
以上で実施例3に係る準備フェーズが終了する。
なお、実施例3に係る認証フェーズは、上記実施例1(図2参照)と同様であり、その説明を省略する。
なお、実施例3に係る認証フェーズは、上記実施例1(図2参照)と同様であり、その説明を省略する。
上述した実施例3によれば、上記実施例1及び2と同様に、認証情報の安全性を確保するとともに、ネットワークエントリ時のネットワーク認証の効率化を図ることができる。これにより、ハンドオーバ時の認証処理時間を短縮することができ、異アクセスネットワーク間のシームレスな通信を実現することが可能となる。
上述した実施例1、2又は3によれば、ハンドオーバ時の認証処理時間を短縮することができるが、具体的な無線ネットワークシステム、例えば「IEEE802.11i」で規定される無線LANシステムにおける事前認証(pre-authentication)の簡素化が可能となる。図14には、「IEEE802.11i」における事前認証手順が示されている。図14に示されるように、事前認証を行う際は、移動端末31が現在接続しているアクセスポイント1_22aを介して、ハンドオーバ先のアクセスポイント2_22a及びAAAサーバ2_21との間で「IEEE802.1X」認証を行い、ハンドオーバ後にハンドオーバ先のアクセスポイント2_22aとの間で「4-way Handshake」を行ってデータ秘匿用の鍵を共有する。
そのような「IEEE802.11i」における事前認証手順において、上述した実施例1、2又は3を適用すれば(図15参照)、移動端末31は、AAAサーバ2_21との間で既に認証情報を共有しているので、AAAサーバ2_21から送信されるEAP-RequestメッセージS201に対して、認証情報を既に持っていることを示す内容を付加したメッセージS202(EAP-Response Type=Expanded Nak)を返す。AAAサーバ2_21は、その移動端末31からの返答を受けると、EAP認証完了と判断し、EAP-SuccessメッセージS203を移動端末31に送信する。これにより、図14に示されるEAP認証の手順S200が、図15に示される手順S200’に大幅に簡略化される。なお、図15においては、ハンドオーバ後の「4-way Handshake」では、PMKとして、事前認証時の認証情報を用いる。
実施例4に係るネットワーク認証方法は、上記した実施例1と同様に準備フェーズ及び認証フェーズを有する。上記した実施例1では、ハンドオーバ処理時にのみ認証を行ったが、本実施例4においては、常時データ認証を行う。以下、主に実施例1との差分について説明する。
図16は、本発明に係る実施例4のネットワーク認証手順を示したシーケンス図である。この図16には、上記図1の例に合わせて、無線アクセスネットワーク3_20経由から無線アクセスネットワーク2_20経由に通信経路を切り替えるハンドオーバを行うときのシーケンスが示されている。なお、図16において図2の各ステップに対応する部分には同一の符号を付け、その説明を省略する。
初めに、図16を参照して、実施例4に係る準備フェーズを説明する。
図16において、ステップS1〜S3により、各区間iで有効となる認証情報Piは、各無線アクセスネットワーク20のAAAサーバ21によって共有される(図5参照)。なお、各区間iで有効となる認証情報Piは、同じ無線アクセスネットワーク20内においてAAAサーバ21と網接続装置22の間においても共有される。
図16において、ステップS1〜S3により、各区間iで有効となる認証情報Piは、各無線アクセスネットワーク20のAAAサーバ21によって共有される(図5参照)。なお、各区間iで有効となる認証情報Piは、同じ無線アクセスネットワーク20内においてAAAサーバ21と網接続装置22の間においても共有される。
次いで、移動端末31からネットワークエントリ要求が送信されると(ステップS301)、該ネットワークエントリ要求は、ハンドオーバ元の網接続装置3_22を介してハンドオーバ制御サーバ11に送信される(ステップS302)。このネットワークエントリ要求には、移動端末31がネットワークにアクセスする時間(ネットワーク使用時間)が含まれている。
次いで、ハンドオーバ制御サーバ11は、その受信したネットワークエントリ要求に含まれるネットワーク使用時間に基づき、当該移動端末31の認証有効期限を決定し(ステップS13)、その認証有効期限内において有効な認証情報Piを生成できるシードを選択する(ステップS14)。次いで、ハンドオーバ制御サーバ11は、シードと認証情報有効期間TPとシードから生成する認証情報の個数jと認証情報の使用開始時間TSを送信し(ステップS15)、それら情報は網接続装置3_22を介してハンドオーバ要求元の移動端末31に送信される(ステップS16)。図16の例では、シードはP8、シードから生成する認証情報の個数jは6である。
次いで、移動端末31は、シードと認証情報有効期間TPとシードから生成する認証情報の個数jと認証情報の使用開始時間TSとを受信すると、その受信したシードから認証情報を個数jだけ生成し記憶する(ステップS17)。図16の例では、移動端末31は、シード(P8)から一方向関数hの繰り返し演算によって一連の6個の認証情報P7,P6,P5,P4,P3,P2を生成する。なお、説明の便宜上、移動端末31が得た認証情報P2,P3,P4,P5,P6,P7,P8を各々Pu0,Pu1,Pu2,Pu3,Pu4,Pu5,Pu6として記す。
以上で実施例4に係る準備フェーズが終了する。
次に、図16を参照して、実施例4に係る認証フェーズを説明する。
図16において、移動端末31は、データ送信の都度、データフレームの生成(ステップS311)とともに、上記準備フェーズで記憶した認証情報群の中から現在有効な認証情報Puiを選択し(ステップS312)、該選択した認証情報Puiを用いてメッセージ認証子(MAC;Message Authentication Code)を作成し(ステップS313)、該作成したメッセージ認証子をデータフレームに付加して送信する(ステップS314)。そのデータフレーム及びメッセージ認証子は、移動端末31が接続中の網接続装置22に受信される。
図16において、移動端末31は、データ送信の都度、データフレームの生成(ステップS311)とともに、上記準備フェーズで記憶した認証情報群の中から現在有効な認証情報Puiを選択し(ステップS312)、該選択した認証情報Puiを用いてメッセージ認証子(MAC;Message Authentication Code)を作成し(ステップS313)、該作成したメッセージ認証子をデータフレームに付加して送信する(ステップS314)。そのデータフレーム及びメッセージ認証子は、移動端末31が接続中の網接続装置22に受信される。
次いで、網接続装置22は、移動端末31から受け取ったメッセージ認証子を検証する(ステップS315)。このとき、網接続装置22は、メッセージ認証子の受信時点で有効な認証情報Piを選択して用いる。次いで、網接続装置22は、メッセージ認証子の検証が成功したならば、当該データフレームをコアネットワーク10に送信する(ステップS316)。一方、メッセージ認証子の検証が失敗したならば、当該データフレームをコアネットワーク10に送信しない。
上記ステップS311〜S316の処理は、ハンドオーバ処理(ステップS320)の前後において同じである。つまり、移動端末31は、異なる無線アクセスネットワーク20に対して、共通の認証情報を用いてメッセージ認証子を作成し、該メッセージ認証子をデータに付加して送信すればよい。
上述した実施例4によれば、移動端末31のネットワーク認証をデータ送信時に常時行うことができるので、ハンドオーバ処理時には、特に移動端末31のネットワーク認証を行う必要がなく、ハンドオーバ時の認証処理時間を短縮することができる。また、上記実施例1と同様に、認証情報の安全性を確保することも可能である。
上述したように本実施形態によれば、認証情報の安全性を確保するとともにネットワーク認証の効率化を図ることができる。これにより、ハンドオーバ時の認証処理時間を短縮することができ、異アクセスネットワーク間のシームレスな通信を実現することが可能となる。
また、図1に示すネットワーク認証システムの機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより、ネットワーク認証に係るサーバ処理、ネットワーク認証に係る端末処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
以上、本発明の実施形態を図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
10…コアネットワーク、11…ハンドオーバ制御サーバ(HO制御サーバ)、20…無線アクセスネットワーク、21…AAAサーバ、22…網接続装置、22a…アクセスポイント、30…無線アクセスエリア、31…移動端末(無線端末)、101…認証情報テーブル、201…タイマ対応表
Claims (12)
- 無線ネットワークに接続する無線端末の認証を行うネットワーク認証システムであり、
一方向関数の繰り返し演算によって一連の第1認証情報群を生成する第1認証情報生成手段と、
前記第1認証情報群内の各認証情報に関し、認証情報の生成順とは逆順に、一連の有効期限を対応付ける第1認証情報管理手段と、
前記無線端末の認証有効期限の終了時点を含む有効期限を有する前記認証情報をシードに採用するシード選定手段と、
該シード及び前記第1認証情報群に係る認証情報有効期限情報を前記無線端末に送信する第1送信手段と、
前記無線端末から認証情報を受信する第1受信手段と、
前記無線端末から認証情報を受信した時点に有効な認証情報を前記第1認証情報群から選定する第1認証情報選定手段と、
前記無線端末から受信した認証情報と前記第1認証情報群から選定した認証情報とに基づき、前記無線端末の認証判定を行う判定手段と、を備え、
前記無線端末は、
前記第1送信手段から送信されたシード及び認証情報有効期限情報を受信する第2受信手段と、
該受信したシードを引数の初期値として、前記第1認証情報生成手段と共通の一方向関数の繰り返し演算によって一連の第2認証情報群を生成する第2認証情報生成手段と、
前記受信した認証情報有効期限情報に基づき、前記第2認証情報群内の各認証情報に関し、認証情報の生成順とは逆順に、一連の有効期限を対応付ける第2認証情報管理手段と、
認証実施時に、現在有効な認証情報を前記第2認証情報群から選定する第2認証情報選定手段と、
前記第2認証情報群から選定した認証情報を前記第1受信手段に送信する第2送信手段と、を備える、
ことを特徴とするネットワーク認証システム。 - 前記判定手段は、前記無線端末から受信した認証情報と前記第1認証情報群から選定した認証情報とが不一致である場合に、前記第1認証情報群から選定した認証情報を引数とした前記一方向関数の値と前記無線端末から受信した認証情報とに基づき、前記無線端末の認証判定を行う、
ことを特徴とする請求項1に記載のネットワーク認証システム。 - 前記認証情報管理手段は、前記認証情報群の各認証情報と各有効期限とを対応付けて記憶するテーブルを有する、
ことを特徴とする請求項1又は2に記載のネットワーク認証システム。 - 前記認証情報選定手段は、前記認証情報生成手段により、前記選定時に、選定する認証情報を生成する、
ことを特徴とする請求項1又は2に記載のネットワーク認証システム。 - 前記認証情報管理手段は、自装置内の時計の時刻に基づいて有効期限を管理する、
ことを特徴とする請求項1から4のいずれかの項に記載のネットワーク認証システム。 - 前記認証情報管理手段は、前記シード及び認証情報有効期限情報の授受時点にタイマを発動し、該タイマの時刻に基づいて有効期限を管理する、
ことを特徴とする請求項1から4のいずれかの項に記載のネットワーク認証システム。 - 前記認証実施時は、前記無線端末のハンドオーバ時であることを特徴とする請求項1から6のいずれかの項に記載のネットワーク認証システム。
- 前記認証実施時は、前記無線端末のデータ送信時であることを特徴とする請求項1から6のいずれかの項に記載のネットワーク認証システム。
- 無線ネットワークに接続する無線端末の認証を行う認証装置であり、
一方向関数の繰り返し演算によって一連の第1認証情報群を生成する第1認証情報生成手段と、
前記第1認証情報群内の各認証情報に関し、認証情報の生成順とは逆順に、一連の有効期限を対応付ける第1認証情報管理手段と、
前記無線端末の認証有効期限の終了時点を含む有効期限を有する前記認証情報をシードに採用するシード選定手段と、
該シード及び前記第1認証情報群に係る認証情報有効期限情報を前記無線端末に送信する送信手段と、
前記無線端末から認証情報を受信する受信手段と、
前記無線端末から認証情報を受信した時点に有効な認証情報を前記第1認証情報群から選定する第1認証情報選定手段と、
前記無線端末から受信した認証情報と前記第1認証情報群から選定した認証情報とに基づき、前記無線端末の認証判定を行う判定手段と、
を備えたことを特徴とする認証装置。 - 無線ネットワークに接続する無線端末であり、
前記無線ネットワークからシード及び認証情報有効期限情報を受信する受信手段と、
該受信したシードを引数の初期値として、前記無線ネットワーク側と共通の一方向関数の繰り返し演算によって一連の第2認証情報群を生成する第2認証情報生成手段と、
前記受信した認証情報有効期限情報に基づき、前記第2認証情報群内の各認証情報に関し、認証情報の生成順とは逆順に、一連の有効期限を対応付ける第2認証情報管理手段と、
認証実施時に、現在有効な認証情報を前記第2認証情報群から選定する第2認証情報選定手段と、
前記第2認証情報群から選定した認証情報を前記無線ネットワークに送信する送信手段と、
を備えたことを特徴とする無線端末。 - 無線ネットワークに接続する無線端末の認証を行うサーバ処理を行うためのコンピュータプログラムであって、
一方向関数の繰り返し演算によって一連の第1認証情報群を生成する第1認証情報生成機能と、
前記第1認証情報群内の各認証情報に関し、認証情報の生成順とは逆順に、一連の有効期限を対応付ける第1認証情報管理機能と、
前記無線端末の認証有効期限の終了時点を含む有効期限を有する前記認証情報をシードに採用するシード選定機能と、
該シード及び前記第1認証情報群に係る認証情報有効期限情報を前記無線端末に送信する送信機能と、
前記無線端末から認証情報を受信する受信機能と、
前記無線端末から認証情報を受信した時点に有効な認証情報を前記第1認証情報群から選定する第1認証情報選定機能と、
前記無線端末から受信した認証情報と前記第1認証情報群から選定した認証情報とに基づき、前記無線端末の認証判定を行う判定機能と、
をコンピュータに実現させることを特徴とするコンピュータプログラム。 - 無線ネットワークに接続する無線端末の端末処理を行うためのコンピュータプログラムであって、
前記無線ネットワークからシード及び認証情報有効期限情報を受信する受信機能と、
該受信したシードを引数の初期値として、前記無線ネットワーク側と共通の一方向関数の繰り返し演算によって一連の第2認証情報群を生成する第2認証情報生成機能と、
前記受信した認証情報有効期限情報に基づき、前記第2認証情報群内の各認証情報に関し、認証情報の生成順とは逆順に、一連の有効期限を対応付ける第2認証情報管理機能と、
認証実施時に、現在有効な認証情報を前記第2認証情報群から選定する第2認証情報選定機能と、
前記第2認証情報群から選定した認証情報を前記無線ネットワークに送信する送信機能と、
をコンピュータに実現させることを特徴とするコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005257994A JP4699145B2 (ja) | 2005-09-06 | 2005-09-06 | ネットワーク認証システム、認証装置、無線端末及びコンピュータプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005257994A JP4699145B2 (ja) | 2005-09-06 | 2005-09-06 | ネットワーク認証システム、認証装置、無線端末及びコンピュータプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007074238A true JP2007074238A (ja) | 2007-03-22 |
| JP4699145B2 JP4699145B2 (ja) | 2011-06-08 |
Family
ID=37935325
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005257994A Expired - Fee Related JP4699145B2 (ja) | 2005-09-06 | 2005-09-06 | ネットワーク認証システム、認証装置、無線端末及びコンピュータプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4699145B2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007058633A (ja) * | 2005-08-25 | 2007-03-08 | Kddi Corp | ユーザ認証システム、認証装置、端末装置及びコンピュータプログラム |
| JP2012095191A (ja) * | 2010-10-28 | 2012-05-17 | Kddi Corp | 完全ステルスモード無線lan装置および接続方法 |
| JP2012520601A (ja) * | 2009-03-10 | 2012-09-06 | サムスン エレクトロニクス カンパニー リミテッド | 通信システムにおける認証方法及びそのシステム |
| JP2013512619A (ja) * | 2009-11-25 | 2013-04-11 | アクララ・アールエフ・システムズ・インコーポレイテッド | 暗号法的に安全な認証装置、システム及び方法 |
| JP2018038008A (ja) * | 2016-09-02 | 2018-03-08 | 日本電信電話株式会社 | 認証サーバ、振分装置、クライアント端末認証システム及びクライアント端末認証方法 |
| CN112562145A (zh) * | 2020-10-29 | 2021-03-26 | 重庆恢恢信息技术有限公司 | 一种用于智慧建筑工地的建筑人员排查工作方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH04160461A (ja) * | 1990-10-23 | 1992-06-03 | Matsushita Electric Ind Co Ltd | パスワード生成・比較処理装置 |
| JPH11282982A (ja) * | 1998-03-31 | 1999-10-15 | Oki Electric Ind Co Ltd | 利用者カード、通信端末機、通信サーバ、通信システム、および、通信システムの利用者認証方法 |
| JP2000222360A (ja) * | 1999-02-01 | 2000-08-11 | Matsushita Electric Ind Co Ltd | 認証方法、認証システム及び認証処理プログラム記録媒体 |
| JP2001209614A (ja) * | 2000-01-25 | 2001-08-03 | Nec Corp | 認証システムおよびその方法 |
| JP2001265731A (ja) * | 2000-03-22 | 2001-09-28 | Nippon Telegr & Teleph Corp <Ntt> | クライアント認証方法及びクライアント認証システム |
| JP2002217900A (ja) * | 2001-01-18 | 2002-08-02 | Nippon Telegr & Teleph Corp <Ntt> | 時刻公証方法、その装置、そのプログラム及びその記録媒体 |
| JP2003223419A (ja) * | 2002-01-31 | 2003-08-08 | Nec Corp | 認証システム、認証方法、及びプログラム |
| JP2005222321A (ja) * | 2004-02-05 | 2005-08-18 | Oki Electric Ind Co Ltd | データ通信装置、サーバ及びデータ検証システム |
-
2005
- 2005-09-06 JP JP2005257994A patent/JP4699145B2/ja not_active Expired - Fee Related
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH04160461A (ja) * | 1990-10-23 | 1992-06-03 | Matsushita Electric Ind Co Ltd | パスワード生成・比較処理装置 |
| JPH11282982A (ja) * | 1998-03-31 | 1999-10-15 | Oki Electric Ind Co Ltd | 利用者カード、通信端末機、通信サーバ、通信システム、および、通信システムの利用者認証方法 |
| JP2000222360A (ja) * | 1999-02-01 | 2000-08-11 | Matsushita Electric Ind Co Ltd | 認証方法、認証システム及び認証処理プログラム記録媒体 |
| JP2001209614A (ja) * | 2000-01-25 | 2001-08-03 | Nec Corp | 認証システムおよびその方法 |
| JP2001265731A (ja) * | 2000-03-22 | 2001-09-28 | Nippon Telegr & Teleph Corp <Ntt> | クライアント認証方法及びクライアント認証システム |
| JP2002217900A (ja) * | 2001-01-18 | 2002-08-02 | Nippon Telegr & Teleph Corp <Ntt> | 時刻公証方法、その装置、そのプログラム及びその記録媒体 |
| JP2003223419A (ja) * | 2002-01-31 | 2003-08-08 | Nec Corp | 認証システム、認証方法、及びプログラム |
| JP2005222321A (ja) * | 2004-02-05 | 2005-08-18 | Oki Electric Ind Co Ltd | データ通信装置、サーバ及びデータ検証システム |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007058633A (ja) * | 2005-08-25 | 2007-03-08 | Kddi Corp | ユーザ認証システム、認証装置、端末装置及びコンピュータプログラム |
| JP4704148B2 (ja) * | 2005-08-25 | 2011-06-15 | Kddi株式会社 | ユーザ認証システム、認証装置、端末装置及びコンピュータプログラム |
| JP2012520601A (ja) * | 2009-03-10 | 2012-09-06 | サムスン エレクトロニクス カンパニー リミテッド | 通信システムにおける認証方法及びそのシステム |
| US9161217B2 (en) | 2009-03-10 | 2015-10-13 | Samsung Electronics Co., Ltd. | Method and system for authenticating in a communication system |
| JP2013512619A (ja) * | 2009-11-25 | 2013-04-11 | アクララ・アールエフ・システムズ・インコーポレイテッド | 暗号法的に安全な認証装置、システム及び方法 |
| JP2012095191A (ja) * | 2010-10-28 | 2012-05-17 | Kddi Corp | 完全ステルスモード無線lan装置および接続方法 |
| JP2018038008A (ja) * | 2016-09-02 | 2018-03-08 | 日本電信電話株式会社 | 認証サーバ、振分装置、クライアント端末認証システム及びクライアント端末認証方法 |
| CN112562145A (zh) * | 2020-10-29 | 2021-03-26 | 重庆恢恢信息技术有限公司 | 一种用于智慧建筑工地的建筑人员排查工作方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4699145B2 (ja) | 2011-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6262308B2 (ja) | リンク設定および認証を実行するシステムおよび方法 | |
| US8457638B2 (en) | Mobile communication method | |
| JP6571676B2 (ja) | ソーシャルWi−Fiメッシュネットワークに加わるための安全で簡略化された手続き | |
| JP5209703B2 (ja) | ワイヤレスネットワークにおけるハンドオフ時の新しいキーの導出のための方法および装置 | |
| US8621577B2 (en) | Method for performing multiple pre-shared key based authentication at once and system for executing the method | |
| CN102685741B (zh) | 接入认证处理方法及系统、终端和网络设备 | |
| EP1775972A1 (en) | Communication handover method, communication message processing method, and communication control method | |
| US20050271209A1 (en) | AKA sequence number for replay protection in EAP-AKA authentication | |
| JP4699145B2 (ja) | ネットワーク認証システム、認証装置、無線端末及びコンピュータプログラム | |
| JP5290323B2 (ja) | 無線アクセス技術及び移動ip基盤の移動性制御技術が適用された次世代のネットワーク環境のための統合ハンドオーバー認証方法 | |
| EP2229018B1 (en) | Method and system for authenticating in a communication system | |
| KR100863135B1 (ko) | 이동환경에서의 듀얼 인증 방법 | |
| KR20080033763A (ko) | 와이브로 네트워크에서의 상호인증을 통한 핸드오버 방법및 그 시스템 | |
| KR101300844B1 (ko) | 한번에 복수의 psk 기반 인증을 수행하는 방법 및 상기방법을 수행하는 시스템 | |
| EP1915837B1 (en) | Method for performing multiple pre-shared key based authentication at once and system for executing the method | |
| Huang et al. | A fast authentication scheme for WiMAX–WLAN vertical handover | |
| JP4704148B2 (ja) | ユーザ認証システム、認証装置、端末装置及びコンピュータプログラム | |
| US9307406B2 (en) | Apparatus and method for authenticating access of a mobile station in a wireless communication system | |
| Raja et al. | Reduced overhead frequent user authentication in EAP-dependent broadband wireless networks | |
| Shen et al. | Fast handover pre-authentication protocol in 3GPP-WLAN heterogeneous mobile networks | |
| Chen et al. | A seamless handoff mechanism for DHCP-based IEEE 802.11 WLANs | |
| You et al. | Enhancing MISP with fast mobile IPv6 security | |
| Li et al. | SAM: Secure access of media independent information service with user anonymity | |
| Kim et al. | Dual authentications for fast handoff in IEEE 802.11 WLANs: A reactive approach | |
| Yan et al. | A dual re-authentication scheme for fast handoff in IEEE 802.11 wireless mesh networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20071015 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071015 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080303 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20080304 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110204 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110222 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110302 |
|
| LAPS | Cancellation because of no payment of annual fees |