JP2008048212A - Radio communication system, radio base station device, radio terminal device, radio communication method, and program - Google Patents
Radio communication system, radio base station device, radio terminal device, radio communication method, and program Download PDFInfo
- Publication number
- JP2008048212A JP2008048212A JP2006222623A JP2006222623A JP2008048212A JP 2008048212 A JP2008048212 A JP 2008048212A JP 2006222623 A JP2006222623 A JP 2006222623A JP 2006222623 A JP2006222623 A JP 2006222623A JP 2008048212 A JP2008048212 A JP 2008048212A
- Authority
- JP
- Japan
- Prior art keywords
- terminal device
- authentication
- wireless
- base station
- wireless terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、複数の無線アクセスポイントを備えた無線通信システムにおけるハンドオーバ技術に関するものである。 The present invention relates to a handover technique in a wireless communication system including a plurality of wireless access points.
昨今、オフィス環境下において、VoIP(Voice over IP)技術を用いたIP電話が普及している。現在、IP電話を利用するための端末装置としては、有線による固定型の端末装置と、無線による携帯型の端末装置の2種類が存在する。ユーザの利便性を考えたとき、携帯型の端末装置のほうが、移動できずに物理的制約のある有線に比べ、より利便性が高い。 In recent years, IP telephones using VoIP (Voice over IP) technology have become widespread in office environments. Currently, there are two types of terminal devices for using IP telephones: fixed terminal devices using wires and portable terminal devices using wireless communication. When considering user convenience, a portable terminal device is more convenient than a wired device that cannot move and has physical restrictions.
現在のところ、オフィス環境におけるVoIP技術を用いた無線IP電話を実現するための無線通信インフラとしては、無線LAN(IEEE802. 11a/b/g)が利用可能である。無線LANの通信可能範囲は約20〜30メートルであり、伝送速度は約百kbps〜数Mbpsである。また、端末装置を認証する仕組みとして、IEEE802.1Xなどのプロトコルを用いてネットワーク側に存在する認証サーバで端末認証を行う仕組みが広く利用されている。 At present, a wireless LAN (IEEE802.11a / b / g) is available as a wireless communication infrastructure for realizing a wireless IP phone using VoIP technology in an office environment. The communication range of the wireless LAN is about 20 to 30 meters, and the transmission speed is about 100 kbps to several Mbps. As a mechanism for authenticating terminal devices, a mechanism for performing terminal authentication with an authentication server existing on the network side using a protocol such as IEEE802.1X is widely used.
なお、無線LAN通信システムにおけるハンドオーバに関する従来技術として、例えば特許文献1に記載された技術がある。
従来の無線LANをインフラに用いてVoIP技術による無線IP電話を実現するためには、高い移動性を考慮しなければならない。通常の携帯電話と同様に、無線IP電話でも通話しながら広い範囲でユーザが移動するからである。 In order to realize a wireless IP phone using VoIP technology using a conventional wireless LAN as an infrastructure, high mobility must be considered. This is because, like a normal mobile phone, a user moves in a wide range while making a call with a wireless IP phone.
環境によっても異なるが、一般的に、1台の無線アクセスポイントがカバーできる範囲は室内の802.11b/11Mbpsで半径23m程度である。また、オフィスの形状や壁の配置などの条件によってはさらに狭い範囲しかカバーできない。 Generally, the range that can be covered by one wireless access point is 802.11b / 11 Mbps in a room and a radius of about 23 m, although it depends on the environment. In addition, only a narrower range can be covered depending on conditions such as office shape and wall layout.
つまり、ほとんどのオフィス環境では複数の無線アクセスポイントの設置が必要であり、ユーザが無線アクセスポイント間を移動することによってハンドオーバが発生する。PCなどのデータ端末ではハンドオーバに2〜3秒かかっても特に問題がない場合が多いが、音声の無線IP電話では、ハンドオーバに1秒以上かかると完全な音切れとなり、好ましくない。 That is, in most office environments, it is necessary to install a plurality of wireless access points, and handover occurs when a user moves between wireless access points. For data terminals such as PCs, there is often no particular problem even if it takes 2 to 3 seconds for handover. However, in the case of a voice wireless IP phone, if it takes 1 second or more for handover, sound is completely cut off.
しかし、現在の通常の無線LANにおけるハンドオーバでは、接続する無線アクセスポイントの切替の際の端末装置の再認証時に、バックエンドの認証サーバ(RADIUSサーバなど)へのアクセスが必要であるため、ハンドオーバに時間がかかり、無線IP電話の音切れなくハンドオーバを行うことは困難である。 However, the current normal wireless LAN handover requires access to the back-end authentication server (such as a RADIUS server) when re-authenticating the terminal device when switching the wireless access point to be connected. It takes time and it is difficult to perform handover without interruption of the wireless IP phone.
特許文献1には、簡易な方法で移動端末の移動予測を行い、移動予測の結果をネットワーク側から移動端末に伝えることにより、ハンドオーバ処理をスムーズに行う技術が記載されているが、ハンドオーバ時に移動端末の認証を行なう場合にその認証を迅速に行うことについての記載はない。
本発明は上記の点に鑑みてなされたものであり、無線通信システムにおけるハンドオーバ時の無線端末装置の認証を迅速に行う技術を提供することを目的とする。 The present invention has been made in view of the above points, and an object of the present invention is to provide a technique for quickly authenticating a wireless terminal device at the time of handover in a wireless communication system.
上記の課題は、無線端末装置と無線通信を行い、無線端末装置と他の装置との間の通信の中継を行う無線基地局装置を複数備え、更に、当該複数の無線基地局装置とネットワークを介して接続された鍵管理装置を備えた無線通信システムであって、前記鍵管理装置は、前記複数の無線基地局装置において共通に用いられる所定の鍵を前記複数の無線基地局装置における各無線基地局装置に送信する手段を備え、前記複数の無線基地局装置における各無線基地局装置は、前記鍵管理装置から受信した所定の鍵を格納する鍵格納手段と、ある無線端末装置からログイン要求を受信した場合に、そのログイン要求を認証装置に送信し、認証装置から認証結果を受信する手段と、前記認証装置による前記無線端末装置の認証が成功である場合に、当該無線端末装置の識別情報を含む情報を前記所定の鍵で暗号化した情報である端末認証情報を当該無線端末装置に送信する手段と、他の無線基地局装置の配下から移動してきた他の無線端末装置から端末認証情報を受信した場合に、当該端末認証情報を前記所定の鍵で復号化し、当該端末認証情報に含まれる情報を用いて前記他の無線端末装置の認証を行い、認証が成功した場合に、前記他の無線端末装置と他の装置との間の通信の中継を行う手段とを備えたことを特徴とする無線通信システムにより解決できる。 The above-described problem includes a plurality of wireless base station devices that perform wireless communication with a wireless terminal device and relay communication between the wireless terminal device and another device, and further include the plurality of wireless base station devices and a network. A wireless communication system including key management devices connected to each other, wherein the key management device assigns a predetermined key commonly used in the plurality of wireless base station devices to each of the wireless base station devices. Means for transmitting to the base station device, each of the radio base station devices in the plurality of radio base station devices, a key storage means for storing a predetermined key received from the key management device, and a login request from a certain radio terminal device The login request is transmitted to the authentication device, the authentication result is received from the authentication device, and when the authentication of the wireless terminal device by the authentication device is successful, Means for transmitting terminal authentication information, which is information obtained by encrypting information including identification information of a line terminal device with the predetermined key, to the wireless terminal device; and other wireless devices that have moved from under the control of another wireless base station device When terminal authentication information is received from the terminal device, the terminal authentication information is decrypted with the predetermined key, and the other wireless terminal device is authenticated using the information included in the terminal authentication information, and the authentication is successful. In such a case, the problem can be solved by a wireless communication system comprising a means for relaying communication between the other wireless terminal device and the other device.
前記無線通信システムにおける無線端末装置と無線基地局装置はそれぞれUWB通信インターフェースを備え、無線端末装置と無線基地局装置間でUWB通信を行うこととしてもよい。 Each of the wireless terminal device and the wireless base station device in the wireless communication system may include a UWB communication interface, and UWB communication may be performed between the wireless terminal device and the wireless base station device.
また、前記無線端末装置の識別情報は、当該無線端末装置のMACアドレスであり、前記無線基地局装置は、前記端末認証情報の送信元の無線端末装置のMACアドレスと、前記端末認証情報に含まれるMACアドレスとを比較することにより前記端末認証情報の送信元の無線端末装置の認証を行うように構成してもよい。 The identification information of the wireless terminal device is a MAC address of the wireless terminal device, and the wireless base station device is included in the MAC address of the wireless terminal device that is the transmission source of the terminal authentication information and the terminal authentication information. The wireless terminal device that is the transmission source of the terminal authentication information may be authenticated by comparing with a MAC address that is received.
また、前記鍵管理装置は、カウンター情報を各無線基地局装置に定期的に送信し、各無線基地局装置は、前記端末認証情報にカウンター情報を含め、無線端末装置から受信した端末認証情報に含まれるカウンター情報と、保持している最新のカウンター情報とを比較することにより、端末認証情報の有効性を判定することとしてもよい。 The key management device periodically transmits counter information to each radio base station device, and each radio base station device includes the counter information in the terminal authentication information and includes the terminal authentication information received from the radio terminal device. The validity of the terminal authentication information may be determined by comparing the counter information included with the latest counter information held.
また、本発明は、無線端末装置と無線通信を行い、無線端末装置と他の装置との間の通信の中継を行う無線基地局装置であって、他の無線基地局装置と共通に用いられる所定の鍵を格納する鍵格納手段と、ある無線端末装置からログイン要求を受信した場合に、そのログイン要求を認証装置に送信し、認証装置から当該無線端末装置の認証結果を受信する手段と、前記認証装置による認証が成功である場合に、前記無線端末装置の識別情報を含む情報を前記所定の鍵で暗号化した情報である端末認証情報を当該無線端末装置に送信する手段と、他の無線基地局装置の配下から移動してきた他の無線端末装置から端末認証情報を受信した場合に、当該端末認証情報を前記所定の鍵で復号化し、当該端末認証情報に含まれる情報を用いて前記他の無線端末装置の認証を行い、認証が成功した場合に、前記他の無線端末装置と他の装置との間の通信の中継を行う手段とを備えたことを特徴とする無線基地局装置として構成してもよい。 Further, the present invention is a radio base station apparatus that performs radio communication with a radio terminal apparatus and relays communication between the radio terminal apparatus and another apparatus, and is used in common with other radio base station apparatuses. A key storage means for storing a predetermined key; and a means for transmitting a login request to an authentication apparatus when receiving a login request from a certain wireless terminal apparatus, and receiving an authentication result of the wireless terminal apparatus from the authentication apparatus; Means for transmitting, to the wireless terminal device, terminal authentication information that is information obtained by encrypting information including identification information of the wireless terminal device with the predetermined key when the authentication by the authentication device is successful; When terminal authentication information is received from another wireless terminal device that has moved from under the control of the wireless base station device, the terminal authentication information is decrypted with the predetermined key, and the information included in the terminal authentication information is used to other A wireless base station device comprising: a means for performing authentication of a line terminal device, and relaying communication between the other wireless terminal device and the other device when the authentication is successful May be.
また、本発明は、無線端末装置と無線通信を行い、無線端末装置と他の装置との間の通信の中継を行う無線基地局装置を複数備えた無線通信システムで使用される無線端末装置であって、ある無線基地局装置との接続を行うために、ユーザ認証情報を含むログイン要求を送信する手段と、認証装置による前記ユーザ認証情報に基づく認証結果が成功である場合に、前記無線基地局装置から、前記無線端末装置の識別情報を含む情報を所定の鍵で暗号化した情報である端末認証情報を受信する手段と、
前記無線端末装置が前記無線基地局装置とは別の他の無線基地局装置の配下に移動した場合に、当該他の無線基地局装置との接続を行うために、当該他の無線基地局装置に前記端末認証情報を送信し、当該他の無線基地局装置から前記端末認証情報に基づく認証結果を受信する手段と、を備えたことを特徴とする無線端末装置として構成することもできる。
The present invention also relates to a wireless terminal device used in a wireless communication system including a plurality of wireless base station devices that perform wireless communication with a wireless terminal device and relay communication between the wireless terminal device and another device. Means for transmitting a login request including user authentication information to establish a connection with a certain radio base station apparatus, and when the authentication result based on the user authentication information by the authentication apparatus is successful, the radio base station Means for receiving terminal authentication information, which is information obtained by encrypting information including identification information of the wireless terminal device with a predetermined key from a station device;
When the radio terminal apparatus moves under the control of another radio base station apparatus different from the radio base station apparatus, the other radio base station apparatus is connected to connect to the other radio base station apparatus. And a means for transmitting the terminal authentication information and receiving an authentication result based on the terminal authentication information from the other radio base station apparatus.
本発明によれば、無線通信システムにおけるハンドオーバ時の無線端末装置の認証を迅速に行うことが可能となり、ハンドオーバを高速化できる。 ADVANTAGE OF THE INVENTION According to this invention, it becomes possible to perform the authentication of the radio | wireless terminal apparatus at the time of the hand-over in a radio | wireless communications system quickly, and can speed up a hand-over.
以下、図面を参照して本発明の実施の形態について説明する。 Embodiments of the present invention will be described below with reference to the drawings.
(システム概要)
図1に、本発明の実施の形態における無線通信システムを示す。図1に示すように、複数の無線アクセスポイント(AP)とキーサーバ4とがネットワーク6で接続される構成をとる。また、無線アクセスポイント1配下のエリアには、無線アクセスポイント1と無線通信を行う無線端末装置5が存在し、無線端末装置5はエリア間を適宜移動するものとする。
(System overview)
FIG. 1 shows a radio communication system according to an embodiment of the present invention. As shown in FIG. 1, a configuration is adopted in which a plurality of wireless access points (AP) and a
キーサーバ4は、各無線アクセスポイントに対して鍵情報やカウンター情報を配布する機能を備えている。また、本実施の形態では、キーサーバ4はユーザ認証機能も備えているものとするが、ユーザ認証を行う装置としてキーサーバ4以外の認証装置を用いることとしてもよい。
The
各無線アクセスポイントは、無線LANのアクセスポイントとしての一般的な機能の他、キーサーバ4から配布された鍵情報を用いて暗号化したクッキー(Cookie)を生成し、ユーザ認証に成功した無線端末装置にその暗号化クッキーを配布する機能、及び、ハンドオーバ時に無線端末装置から受信した暗号化クッキーに基づき当該無線端末装置を認証する機能を備えている。なお、以下の説明では、無線アクセスポイントをホストサーバ(Host server)と呼ぶことにする。
Each wireless access point generates a cookie (Cookie) encrypted using the key information distributed from the
また、本発明に係るハンドオーバの方式は無線通信方式の種類を問わず適用可能であり、無線端末装置の無線通信方式としてはどのようなものでも用いることができるが、本実施の形態では無線端末装置としてUWB(Ultra Wide Band)端末を用いることとする。また、ホストサーバもUWBインターフェース機能を備えているものとする。 In addition, the handover method according to the present invention can be applied regardless of the type of the wireless communication method, and any wireless communication method of the wireless terminal device can be used. In this embodiment, the wireless terminal A UWB (Ultra Wide Band) terminal is used as the device. The host server also has a UWB interface function.
UWBでは、データを1GHz以上の極めて広い周波数帯に拡散して送受信を行うことで、数十Mbpsを超える通信速度を確保することが可能である。また、それぞれの周波数帯における信号強度はノイズ程度の強さしかなく、機器の消費電力も少ない。UWBを用いることによる効果については後述する。 In UWB, it is possible to secure a communication speed exceeding several tens of Mbps by transmitting and receiving data by spreading data in an extremely wide frequency band of 1 GHz or higher. Further, the signal intensity in each frequency band is only as strong as noise, and the power consumption of the device is small. The effect of using UWB will be described later.
なお、本明細書において、特に指定していない限り、“無線LAN”の用語は広い意味で使用しており、無線通信端末とホストサーバ間で無線通信によるネットワーク(いわゆるPAN(パーソナルエリアネットワーク)を含む)を構成できる全ての方式を含む。 In this specification, unless otherwise specified, the term “wireless LAN” is used in a broad sense, and a wireless communication network (so-called PAN (personal area network)) is used between a wireless communication terminal and a host server. All methods that can be configured are included.
次に、本実施の形態における無線通信システムの主要な動作を図2、3のシーケンスチャートを参照して説明する。この動作の前提として、各ホストサーバは、キーサーバから配布された鍵情報(ホストキー(HK)、カウンター)を保持しているものとする。また、各フローは、無線LANのMAC層でのメッセージ(フレーム)の送受信を示している。 Next, main operations of the wireless communication system according to the present embodiment will be described with reference to the sequence charts of FIGS. As a premise of this operation, it is assumed that each host server holds key information (host key (HK), counter) distributed from the key server. Each flow shows transmission / reception of a message (frame) in the MAC layer of the wireless LAN.
まず、無線端末装置5が最初にホストサーバ1に接続する場合の処理を図2を参照して説明する。
First, a process when the
無線端末装置5は、ユーザ名、パスワード、端末識別子(自分のMACアドレス)を含むログイン要求メッセージをホストサーバ1に送信する(ステップ1)。ログイン要求メッセージを受信したホストサーバ1は、当該ログイン要求メッセージをキーサーバ4に送信する(ステップ2)。キーサーバ4は、ログイン要求メッセージに含まれるユーザ名とパスワードを用いてユーザ認証を行い(ステップ3)、認証に成功した場合に、ACKメッセージをホストサーバ1に送る(ステップ4)。そして、ホストサーバ1は、接続キー(CK)とホストサーバ識別子(HID)を含むログイン確認メッセージを無線端末装置5に送信する(ステップ5)。なお、接続キーは、次に行われる4ウェイハンドシェークで用いられると共に、ホストサーバ1との接続後におけるホストサーバ1との暗号化通信にも用いられる鍵である。
The
その後、例えばWiMedia Allianceで規格化されている4ウェイハンドシェークを行った後(ステップ6)、ホストサーバ1は、キーサーバ4からホストサーバ1に配布されているホストキー(HK)で暗号化したクッキーを含むメッセージを無線端末装置5に送信する(ステップ7)。クッキーは端末識別子、接続キー、及びカウンターを含むものである。無線端末装置5は暗号化されたクッキーをメモリ等の記憶手段に格納する。
Then, for example, after performing a 4-way handshake standardized by the WiMedia Alliance (step 6), the
上記の処理により、無線端末装置5とホストサーバ1との接続が確立した状態になり、無線端末装置5は、ホストサーバ1を介して他の装置との通信を行うことが可能となる。
With the above processing, the connection between the wireless
次に、無線端末装置5がホストサーバ2のエリアに移動する際のハンドオーバ動作について図3を参照して説明する。
Next, a handover operation when the
無線端末装置5がホストサーバ2配下に移動した場合、無線端末装置5は、自分自身が暗号化されたクッキーを保持していることを確認し、その暗号化されたクッキーを含むメッセージをホストサーバ2に送信する(ステップ11)。ホストサーバ2は、クッキーが正当であるかどうかを検証することにより、無線端末装置5の認証を行う(ステップ12)。
When the
より詳細には、ホストサーバ2は、ホストキーを用いて暗号化されたクッキーを復号化し、クッキーに含まれている端末識別子とカウンターを取り出す。そしてクッキーから取り出した端末識別子が、クッキー送信元無線端末装置5のMACアドレスと一致するかどうか、また、カウンターの値が最新のカウンターの値より古くないかどうかなどの条件をチェックし、条件を満たした場合に、無線端末装置5が正当であると判断する。なお、条件を満たさない場合の動作については後の各装置の詳細動作説明において説明する。
More specifically, the host server 2 decrypts the cookie encrypted using the host key, and takes out the terminal identifier and counter included in the cookie. Then, check whether the terminal identifier extracted from the cookie matches the MAC address of the cookie transmission source
そして、ホストサーバ2は、認証が成功したことを示すACKメッセージを無線端末装置5に送信する(ステップ13)。これにより、無線端末装置5はホストサーバ2と接続され、ホストサーバ2を介して他の装置との通信を継続できる。
Then, the host server 2 transmits an ACK message indicating that the authentication is successful to the wireless terminal device 5 (step 13). As a result, the
上記のように、無線端末装置5に格納された暗号化されたクッキーを用いて、ホストサーバがハンドオーバ時の認証を行うので、従来のようにハンドオーバ時に認証サーバやスイッチにアクセスすることがなくなり、認証にかかる時間を削減でき、IP電話使用時における音切れを防止できる。
As described above, since the host server performs authentication at the time of handover using the encrypted cookie stored in the
(装置の詳細構成)
次に、本実施の形態の無線通信システムを構成する各装置についてより詳細に説明する。図4に、各装置の機能構成を示す。なお、図4は、本発明に関連する機能部を主に示しており、各装置は、無線LAN通信、及びデータ通信を実現するための機能や情報を適宜有していることはいうまでもない。
(Detailed configuration of the device)
Next, each device constituting the wireless communication system of the present embodiment will be described in more detail. FIG. 4 shows the functional configuration of each device. FIG. 4 mainly shows functional units related to the present invention, and it goes without saying that each apparatus appropriately has functions and information for realizing wireless LAN communication and data communication. Absent.
図4に示すように、無線端末装置5は、データ受信部51、データ送信部52、クッキー保存DB53、及びハンドオーバ処理部54を備えている。
As illustrated in FIG. 4, the
データ受信部51及びデータ送信部52は、UWBのネットワークインタフェースを実装している。データ受信部51はUWBによりホストサーバ1からのデータの受信を行う機能を有する。データ送信部52はUWBによりホストサーバ5へデータを送信する機能を有する。また、クッキー保存DB53は、ホストサーバ5から送信された暗号化されたクッキーを保存する。ハンドオーバ処理部54は、ホストサーバ5から受信したメッセージの種類により、次に行う処理を決定する機能を有する。
The
ホストサーバ1は、データ受信部11、データ送信部12、データ転送部13、ホストキー保存DB14、データ処理部15、及びクッキー処理部16を備えている。
The
データ受信部11は、無線端末装置5から送信されたデータを受信する機能を有し、データ送信部12は、無線端末装置5にデータを送信する機能を有する。また、データ受信部11とデータ送信部12はともにUWBのネットワークインタフェース機能を有している。
The data receiving unit 11 has a function of receiving data transmitted from the
ホストキー保存DB14は、キーサーバ4から受信したホストキーやカウンターなどのホストキー関連情報を格納するものである。
The host key storage DB 14 stores host key related information such as host keys and counters received from the
データ転送部13は、データ受信部11で受信した無線端末装置5からのユーザ認証要求(ログイン要求)をキーサーバ4に転送する機能、データ処理部15からのホストキー要求をキーサーバ4に転送する機能、キーサーバ4からのユーザ認証結果を受信し、無線端末装置5に送信するためにデータ送信部12に転送する機能、キーサーバ4からのホストキー関連情報を受信し、データ処理部15に転送する機能などを有している。また、データ転送部13は、無線端末装置5との接続後における無線端末装置5と他の装置との通信を中継する機能も有している。
The
また、データ処理部15は、ホストサーバ1の初期化時にホストキーを要求し、ホストキー要求をデータ転送部13に送信する機能、キーサーバ4からのホストキー関連情報をデータ転送部13経由で受信し、ホストキー保存DB14に保存する機能、データ受信部11経由で受信した無線端末装置5からのハンドオーバ要求に含まれる暗号化されたクッキーを、ホストキー保存DB14に保存されたホストキーを用いて復号する機能、クッキー処理部16で生成されたクッキーを、ホストキーを用いて暗号化し、データ送信部12に転送する機能、クッキー処理要求(認証、生成)をクッキー処理部16に送信する機能などを有している。
The
クッキー処理部16は、データ処理部15からクッキー処理要求(認証、生成)を受け、クッキー処理要求に応じた処理を行い、処理結果をデータ処理部15に通知する機能を有している。
The cookie processing unit 16 has a function of receiving a cookie processing request (authentication, generation) from the
キーサーバ4は、データ受信部41、データ送信部42、ホストキー処理部43、ユーザ認証部44、ホストデータ保存DB45、及びユーザデータ保存DB46を備えている。
The
データ受信部41は、ホストサーバ1からのデータを受信し、そのデータがユーザ認証要求(ログイン要求)ならば、それをユーザ認証部44に転送し、ホストキー要求であればホストキー処理部43へ転送する機能を有する。データ送信部42は、ユーザ認証部44もしくはホストキー処理部43からのデータをホストサーバ1へ送信する機能を有している。
The
ホストキー処理部43は、ホストサーバ1からの登録要求に対し、ホストキー関連情報(ホストキー, カウンターなど)を発行し、同時に、発行したホストキー関連情報をホストデータ保存DB45に登録する機能、一定間隔毎にカウンターを更新し、データ送信部42経由でホストサーバ1に送信する機能を有している。
The host
ユーザ認証部44は、ユーザ認証要求に対し、ユーザデータ保存DB46の中のユーザ情報を参照してユーザ認証を行い、認証結果をデータ送信部42へ返す機能を有している。
The
上記の各装置は、CPU、記憶装置、通信装置などを備えたコンピュータとしての構成を持つ装置に、各装置が実行すべき処理に対応するプログラムを搭載することにより実現可能である。また、各装置は専用のハードウェアで構成することも可能である。なお、各装置の内部構成は図4に記載されたものに限定されるものではなく、以下で説明する動作を実現できる構成であればどのような構成でもよい。 Each of the above devices can be realized by mounting a program corresponding to a process to be executed by each device on a device having a configuration as a computer including a CPU, a storage device, a communication device, and the like. Each device can also be configured with dedicated hardware. The internal configuration of each device is not limited to that described in FIG. 4, and any configuration may be used as long as the operation described below can be realized.
(各装置の動作)
以下、本実施の形態における各装置の動作の詳細をフローチャートを参照して説明する。なお、各装置の動作においては図5、図6に示すメッセージの送受信がなされる。これらのメッセージのフォーマットを図7〜図9に示し、処理フローの説明の中で適宜参照する。
(Operation of each device)
The details of the operation of each device in the present embodiment will be described below with reference to flowcharts. In the operation of each device, messages shown in FIGS. 5 and 6 are transmitted and received. The format of these messages is shown in FIGS. 7 to 9 and is referred to as appropriate in the description of the processing flow.
最初に、図10を参照して、無線端末装置の認証を行う際のホストサーバの動作を説明する。 First, the operation of the host server when authenticating the wireless terminal device will be described with reference to FIG.
まず、ステップ21において、ホストサーバは無線端末装置から認証要求メッセージを受信する。認証要求メッセージとしては、図7(a)に示すメッセージ1(ログイン要求メッセージ)と図8(h)に示すメッセージ4c(ハンドオーバ要求メッセージ)の場合がある。
First, in
図7(a)に示すように、メッセージ1は、ユーザ名(user)、パスワード(pwd)、無線端末装置識別子(DID:無線端末装置のMACアドレス)を含む。なお、headerにはメッセージの種類を示す情報などが含まれる。図8(h)に示すように、メッセージ4cは、暗号化されたクッキー(CKI)とMIC(Message Integrity Check:CKIのMD5によるハッシュ値)を含み、クッキーは無線端末装置識別子(DID)、接続キー(CK)、及びカウンター(CTR)を含む。
As shown in FIG. 7A, the
図10のフローチャートにおいて、ホストサーバが無線端末装置からメッセージ1を受信した場合、ホストサーバはユーザ認証情報送受信処理を行う(ステップ23)。ここでは、ホストサーバが、メッセージ1をユーザ認証を行うキーサーバに送信し、キーサーバからのユーザ認証結果を受信する。そして、ユーザ認証が成功である場合、ホストサーバは図7(b)に示すメッセージ2(ログイン確認メッセージ)を無線端末装置に送信する。図7(b)に示すように、メッセージ2は状態(status)、接続キー(CK)、ホスト識別子(HID)を含む。接続キーは、無線端末装置とホストサーバ間のコネクションを確立するためのキーであり、ホストサーバにより生成されるものである。また、接続キーは4ウェイハンドシェークでも用いられる。
In the flowchart of FIG. 10, when the host server receives
続いて、図10のステップ24において、4ウェイハンドシェークが行われる。ここでは、図7に示すメッセージ3aが無線端末装置からホストサーバに送信され、メッセージ3bがホストサーバから無線端末装置に送信され、更に、メッセージ3cが無線端末装置からホストサーバに送信され、メッセージ3dがホストサーバから無線端末装置に送信される。
Subsequently, in
4ウェイハンドシェークの後、ホストサーバはメッセージ4bを無線端末装置に送信する(ステップ25)。図8(g)に示すように、メッセージ4bは、ホストキーで暗号化されたクッキーとMICを含む。これにより、暗号化されたクッキーが無線端末装置に格納されることになる。なお、メッセージ4bで送信するクッキーは、予めキーサーバから配布されているHKを用いてホストサーバが送信前に暗号化する。
After the 4-way handshake, the host server sends a
図10のステップ21において、ホストサーバがメッセージ4c(ローミング要求メッセージ)を受信した場合(ステップ22のNo)、ホストサーバはクッキーの有効性の判定を行う(ステップ26)。ここでは、まずクッキー(CKI )をホストキー(HK)を用いて復号する。クッキー(CKI)を正常に復号できれば、クッキー(CKI )に含まれている無線端末装置識別子(DID)とカウンター(CTR)を取り出し、無線端末装置識別子(DID)が送信元の無線端末装置のMACアドレスと一致するかどうかをを確認する。一致すればクッキーは有効であると判定する。
In
クッキー(CKI )をホストキー(HK)を用いて復号できない場合、もしくは、無線端末装置識別子(DID)が送信元の無線端末装置のMACアドレスと一致しない場合、当該クッキーは無効と判断し(ステップ26のNo)、無線端末装置に対し、メッセージ4dを、status をNACKとして返信する(ステップ27)。その後は、ステップ23〜25の処理が行われる。なお、メッセージ4dは図8(i)に示すとおりであり、status(ACK又はNACK)によりクッキー認証が成功したかどうかを無線端末装置に通知するものである。
If the cookie (CKI) cannot be decrypted using the host key (HK), or if the wireless terminal device identifier (DID) does not match the MAC address of the sending wireless terminal device, the cookie is determined to be invalid (step No) 26), a
図10のステップ26において、クッキーが有効であると判定された場合、次にホストサーバはカウンター(CTR)値が正常か否かの判定を行う。ここでは、クッキー(CKI)から取り出したカウンター(CTR)の値と、キーサーバから通知されている最新のカウンター値とを比較し、例えばクッキー(CKI)から取り出したカウンター(CTR)値が最新のカウンター値から2以上離れている場合は、当該クッキーは古いものであると判断し、無効化して、4ウェイハンドシェークのメッセージ3aを無線端末装置に送信する。4ウェイハンドシェークが完了すると、ホストサーバは、新しいクッキーを発行し、メッセージ4bで無線端末装置に送信する(ステップ28のNo、ステップ24、25)。
If it is determined in
クッキー(CKI)から取り出したカウンター(CTR)の値と、キーサーバから通知されている最新のカウンター値とが同じ、もしくは1つしか違わない場合(ステップ28のYes)は、当該クッキーは十分新しいと判断し、有効であるとみなし、status をACK としたメッセージ4dを無線端末装置に送信する(ステップ29)。
If the counter (CTR) value retrieved from the cookie (CKI) and the latest counter value notified from the key server are the same or different from each other (Yes in step 28), the cookie is sufficiently new. The
次に、図11のフローチャートを参照して無線端末装置の動作を説明する。無線端末装置が通信を行うためにホストサーバに接続するにあたり、まず、無線端末装置自身がクッキー(CKI)を保持しているかどうかを判断する。クッキー(CKI)を保持していなければ初めての接続であり、クッキー(CKI)を保持していれば当該接続はハンドオーバのための接続である。 Next, the operation of the wireless terminal device will be described with reference to the flowchart of FIG. When the wireless terminal device connects to the host server for communication, it is first determined whether the wireless terminal device itself holds a cookie (CKI). If it does not hold a cookie (CKI), it is the first connection, and if it holds a cookie (CKI), the connection is a connection for handover.
ステップ31において、クッキー(CKI)を保持していないと判断した場合(Noの場合)、キーサーバを用いたユーザ認証、4ウェイハンドシェーク、及びクッキーの受信(ステップ32〜ステップ34)が行われる。すなわち、メッセージ1(ログイン要求メッセージ)を送信することにより認証要求を行い、認証が成功した場合に、4ウェイハンドシェークをホストサーバとの間で行う。そして、ホストサーバから暗号化されたクッキー(CKI)を受信し、記憶手段に格納する。
If it is determined in
ステップ31においてクッキー(CKI)を保持している場合(Yesの場合)、保持しているクッキー(CKI)を含めたメッセージ4c(ローミング要求メッセージ)をホストサーバに送信する(ステップ35)。その後、図10を参照して説明したようにホストサーバにおいてクッキーの有効性の判定が行われ、ホストサーバからメッセージ4cに対する返答を受信する(ステップ36)。図10を参照して説明したように、返答としては、メッセージ4d又はメッセージ3aの場合がある。
If the cookie (CKI) is held in step 31 (Yes), a
返答としてメッセージ3aを受信する場合は(ステップ37のNo)、そこから4ウェイハンドシェークが開始され、新たなクッキー(CKI)を受信する(ステップ33、34)。新たなクッキー(CKI)を受信した場合は、既にあるクッキー(CKI)を削除し、新たなクッキー(CKI)を有効なものとして格納するものとする。
When the
返答としてメッセージ4dを受信する場合(ステップ37のYes)、メッセージ4dのstatus (ACK又はNACK)を確認する。ACKの場合は(ステップ38のYes)、クッキー(CKI)が有効であるとホストサーバに判断されたことになり、ハンドオーバが成功し、認証サーバ(キーサーバ)を用いた再認証の必要なく、切替え後のホストサーバを介して他の装置との通信を継続できる。
When the
statusがNACKであった場合は(ステップ38のNo)、ホストサーバから当該クッキー(CKI)が無効と判断されたことになるので、キーサーバを用いたユーザ認証に戻り、ステップ32〜ステップ34の処理を行う。つまり、ユーザ認証及び4ウェイハンドシェイクが完了すると、ホストサーバは無線端末装置に対して新たなクッキー(CKI)を発行するので、無線端末装置は新しいクッキー(CKI)をメッセージ4bで受信し、保存することになる。
If the status is NACK (No in step 38), the host server determines that the cookie (CKI) is invalid, so the process returns to user authentication using the key server. Process. In other words, when the user authentication and the 4-way handshake are completed, the host server issues a new cookie (CKI) to the wireless terminal device, so the wireless terminal device receives and stores the new cookie (CKI) in
次に、図12を参照してキーサーバの動作について説明する。キーサーバは、一定間隔毎(例えば30分毎)に、カウンター(CTR)を更新し、更新したカウンターを全てのホストサーバに対して再送している。 Next, the operation of the key server will be described with reference to FIG. The key server updates the counter (CTR) at regular intervals (for example, every 30 minutes), and retransmits the updated counter to all the host servers.
ステップ41において、この更新間隔が経過したかどうかを確認し、経過した場合はこの再送処理を行う(ステップ42)。このときのメッセージは図9(c)に示すアップデートメッセージであり、カウンターとMICを含む。アップデートメッセージを受信したホストサーバは、受信確認メッセージ(図9(d))をキーサーバに送信し、キーサーバをそれを受信する(ステップ43)。
In
さて、ホストサーバは、その起動時等に、初期化動作の一つとして、クッキーの暗号化/復号化を行うためのホストキーをキーサーバに要求する。キーサーバは、キーサーバ要求のメッセージ(初期化要求メッセージ)をホストサーバから受信すると(ステップ44)、ホストキーとカウンターを含む初期化応答メッセージをホストサーバに返し(ステップ45)、ホストサーバは受信確認メッセージをキーサーバに返す(ステップ46)。これらのメッセージの構成は図9(a)(b)(d)に示すとおりである。 The host server requests the key server for a host key for performing encryption / decryption of the cookie as one of initialization operations at the time of activation or the like. When the key server receives the key server request message (initialization request message) from the host server (step 44), the key server returns an initialization response message including the host key and the counter to the host server (step 45). A confirmation message is returned to the key server (step 46). The structure of these messages is as shown in FIGS. 9 (a), 9 (b) and 9 (d).
なお、ホストサーバは、キーサーバから更新後のカウンターを受信したときに、接続している無線端末装置のクッキーを更新し、接続している無線端末装置に配布することとしてもよい。 When the host server receives the updated counter from the key server, the host server may update the cookie of the connected wireless terminal device and distribute it to the connected wireless terminal device.
次に、図13を参照して、キーサーバによるユーザ認証動作について説明する。キーサーバが、無線端末装置から送信されたメッセージ1(ユーザ認証要求メッセージ)をホストサーバを介して受信すると(ステップ51)、メッセージ1に含まれるユーザ名とパスワードを登録情報と比較することによりユーザ認証を行う(ステップ52)。ユーザ名とパスワードが登録情報と一致すれば、認証成功を示すメッセージ(ACK)をホストサーバに送信する(ステップ53)。そして、ホストサーバはメッセージ2を無線端末装置に送信し、その後、4ウェイハンドシェークが行われることになる。ステップ52において、ユーザ名とパスワードが登録情報と一致しない場合、認証失敗を示すメッセージ(NACK)をホストサーバを介して無線端末装置に送信する(ステップ54)。
Next, a user authentication operation by the key server will be described with reference to FIG. When the key server receives the message 1 (user authentication request message) transmitted from the wireless terminal device via the host server (step 51), the key server compares the user name and password included in the
(UWBを用いることによる効果について)
本発明によれば無線端末装置とホストサーバ(無線アクセスポイント:AP)間の無線通信方式の種類に関わらずハンドオーバを高速化できるという効果を奏するが、無線通信方式としてUWBを用いることにより更なる効果が得られるので、以下、UWBを用いることにより得られる効果について説明する。
(Effects of using UWB)
According to the present invention, there is an effect that the speed of handover can be increased regardless of the type of wireless communication method between the wireless terminal device and the host server (wireless access point: AP). Since the effect can be obtained, the effect obtained by using the UWB will be described below.
ハンドオーバを高速化するためには、これまでに説明したようなネットワークシステム側の高速化だけでなく、無線端末装置側の処理も高速化することが望ましい。しかし、処理を高速化するということは、それだけ無線端末装置が電力を消費することになり、電池の持続時間が短くなり、ユーザの利便性を損なう可能性がある。。 In order to speed up the handover, it is desirable not only to speed up the network system as described above but also to speed up the processing on the wireless terminal device side. However, speeding up the process means that the wireless terminal device consumes power accordingly, and the duration of the battery is shortened, which may impair user convenience. .
また、不正ユーザのアタック、特に検出が困難ななりすましに対する対策が求められている。無線端末装置のなりすましに対する対策としては、APと端末間の全てのデータを暗号化することや、接続、ハンドオーバの度に認証を行うことが従来から行われている。しかし、例えば、正規のAPと同じESSIDを用いたなりすましAPを設置する不正アクセスに対する問題は残っている。 There is also a need for countermeasures against attacks by unauthorized users, particularly spoofing that is difficult to detect. As countermeasures against spoofing of a wireless terminal device, it has been conventionally performed to encrypt all data between the AP and the terminal, and to authenticate each time connection or handover is performed. However, for example, there remains a problem with unauthorized access by installing a spoofed AP using the same ESSID as a regular AP.
すなわち、IEEE802. 11a/b/gなどの通常の無線LANクライアント(無線端末装置)では、同じESSIDを持つAPが複数存在した場合、受信感度の良いAPとの接続を試みる。実際に接続できてしまえば、無線LANクライアントはどのAPと接続しているか意識していないため、なりすましを検知することは困難である。このなりすなしにより、接続してきたクライアントから、ユーザ情報が漏洩する危険性がある。また、APと無線端末装置間の通信における盗聴についても、データがたとえ暗号化されていたとしても、未然に防ぐことが望ましい。 That is, in a normal wireless LAN client (wireless terminal device) such as IEEE802.11a / b / g, when a plurality of APs having the same ESSID exist, connection with an AP having good reception sensitivity is attempted. Once connected, the wireless LAN client is not aware of which AP it is connected to, so it is difficult to detect impersonation. By this impersonation, there is a risk that user information is leaked from the connected client. It is also desirable to prevent wiretapping in communication between the AP and the wireless terminal device even if the data is encrypted.
UWBを用いることにより、上記の問題を解決することができる。 The above problem can be solved by using UWB.
まず、前述したように、UWBを用いることにより、IEEE802. 11a/b/gなどの通常の無線LANを利用する場合に比べて、通信のための消費電力を格段に軽減でき、ハンドオーバ時の端末側の高速化処理に消費電力を割いたとしても、電池の持続時間の減少という問題を回避できる。 First, as described above, the power consumption for communication can be significantly reduced by using UWB compared to the case of using a normal wireless LAN such as IEEE802.11a / b / g, and the terminal at the time of handover Even if the power consumption is allocated to the high-speed processing on the side, the problem of a decrease in battery duration can be avoided.
また、そもそもなりすましAPや盗聴などの不正アクセスを行うには、端末から到達可能な物理的位置に不正APを配置し、端末からアクセスさせることが必要となる。ところが前述のように、UWBは通信距離が短く、また高周波帯域を用いていることにより、壁などに対する透過性も低いことから、オフィス内で不正APを配置し、端末からアクセスさせることは困難である。また、UWBは、通常の無線LANと異なりユーザクライアントが自動的にスキャンしてAPにアソシエイトすることはないので、未然に情報の流出を防ぐことが可能になる。すなわち、無線通信方式としてUWBを利用することにより、なりすましや盗聴などからの防御が可能になり、物理的セキュリティが向上する。 In addition, in order to perform unauthorized access such as spoofing AP and eavesdropping in the first place, it is necessary to place an unauthorized AP at a physical location that can be reached from the terminal and allow access from the terminal. However, as mentioned above, UWB has a short communication distance and uses a high-frequency band, so it has low transparency to walls, etc., so it is difficult to place unauthorized APs in the office and access them from terminals. is there. In addition, unlike a normal wireless LAN, the UWB does not automatically scan and associate with the AP, so it is possible to prevent information leakage. That is, by using UWB as a wireless communication method, it is possible to protect against impersonation and eavesdropping, thereby improving physical security.
なお、UWBでは通信距離が短いので、APの数を増やさざるを得ず、結果としてハンドオーバの頻度は増加するが、本発明に係るハンドオーバ時の認証技術を用いることによりハンドオーバを高速に行うことができるので、ハンドオーバの頻度が増加しても問題にならない。つまり、本発明の方式はUWBに適している。また、UWBは、既存の無線LAN製品と違って、MAC拡張などのカスタマイズを容易に行うことができるという利点もある。 In addition, since the communication distance is short in UWB, the number of APs must be increased, and as a result, the frequency of handover increases. However, by using the authentication technology at the time of handover according to the present invention, handover can be performed at high speed. Therefore, there is no problem even if the frequency of handover increases. That is, the method of the present invention is suitable for UWB. In addition, unlike existing wireless LAN products, UWB has the advantage that customization such as MAC expansion can be easily performed.
なお、本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。 The present invention is not limited to the above-described embodiment, and various modifications and applications can be made within the scope of the claims.
1〜3 無線アクセスポイント(ホストサーバ)
4 キーサーバ
5 無線端末装置
6 ネットワーク
11 データ受信部
12 データ送信部
13 データ転送部
14 ホストキー保存DB
15 データ処理部
16 クッキー処理部
41 データ受信部
42 データ送信部
43 ホストキー処理部
44 ユーザ認証部
45 ホストデータ保存DB
46 ユーザデータ保存DB
51 データ受信部
52 データ送信部
53 クッキー保存DB
54 ハンドオーバ処理部
1-3 Wireless access point (host server)
4
15 Data processing unit 16
46 User data storage DB
51
54 Handover processing unit
Claims (9)
前記鍵管理装置は、前記複数の無線基地局装置において共通に用いられる所定の鍵を前記複数の無線基地局装置における各無線基地局装置に送信する手段を備え、
前記複数の無線基地局装置における各無線基地局装置は、
前記鍵管理装置から受信した所定の鍵を格納する鍵格納手段と、
ある無線端末装置からログイン要求を受信した場合に、そのログイン要求を認証装置に送信し、認証装置から認証結果を受信する手段と、
前記認証装置による前記無線端末装置の認証が成功である場合に、当該無線端末装置の識別情報を含む情報を前記所定の鍵で暗号化した情報である端末認証情報を当該無線端末装置に送信する手段と、
他の無線基地局装置の配下から移動してきた他の無線端末装置から端末認証情報を受信した場合に、当該端末認証情報を前記所定の鍵で復号化し、当該端末認証情報に含まれる情報を用いて前記他の無線端末装置の認証を行い、認証が成功した場合に、前記他の無線端末装置と他の装置との間の通信の中継を行う手段と
を備えたことを特徴とする無線通信システム。 A plurality of wireless base station devices that perform wireless communication with the wireless terminal device and relay communication between the wireless terminal device and other devices, and are further connected to the plurality of wireless base station devices via a network A wireless communication system including a key management device,
The key management device includes means for transmitting a predetermined key commonly used in the plurality of radio base station devices to each radio base station device in the plurality of radio base station devices,
Each radio base station device in the plurality of radio base station devices,
Key storage means for storing a predetermined key received from the key management device;
Means for transmitting a login request to an authentication device when receiving a login request from a certain wireless terminal device, and receiving an authentication result from the authentication device;
When authentication of the wireless terminal device by the authentication device is successful, terminal authentication information, which is information obtained by encrypting information including identification information of the wireless terminal device with the predetermined key, is transmitted to the wireless terminal device. Means,
When terminal authentication information is received from another wireless terminal device that has moved under the control of another wireless base station device, the terminal authentication information is decrypted with the predetermined key, and information included in the terminal authentication information is used. And a means for relaying communication between the other wireless terminal device and the other device when the authentication is successful and the authentication is successful. system.
各無線基地局装置は、前記端末認証情報にカウンター情報を含め、無線端末装置から受信した端末認証情報に含まれるカウンター情報と、保持している最新のカウンター情報とを比較することにより、端末認証情報の有効性を判定することを特徴とする請求項1に記載の無線通信システム。 The key management device periodically transmits counter information to each radio base station device,
Each radio base station apparatus includes counter information in the terminal authentication information, and compares the counter information included in the terminal authentication information received from the radio terminal apparatus with the latest counter information held, thereby authenticating the terminal. The wireless communication system according to claim 1, wherein validity of the information is determined.
他の無線基地局装置と共通に用いられる所定の鍵を格納する鍵格納手段と、
ある無線端末装置からログイン要求を受信した場合に、そのログイン要求を認証装置に送信し、認証装置から当該無線端末装置の認証結果を受信する手段と、
前記認証装置による認証が成功である場合に、前記無線端末装置の識別情報を含む情報を前記所定の鍵で暗号化した情報である端末認証情報を当該無線端末装置に送信する手段と、
他の無線基地局装置の配下から移動してきた他の無線端末装置から端末認証情報を受信した場合に、当該端末認証情報を前記所定の鍵で復号化し、当該端末認証情報に含まれる情報を用いて前記他の無線端末装置の認証を行い、認証が成功した場合に、前記他の無線端末装置と他の装置との間の通信の中継を行う手段と
を備えたことを特徴とする無線基地局装置。 A wireless base station device that performs wireless communication with a wireless terminal device and relays communication between the wireless terminal device and another device,
Key storage means for storing a predetermined key used in common with other radio base station devices;
Means for transmitting a login request to an authentication device when receiving a login request from a certain wireless terminal device, and receiving an authentication result of the wireless terminal device from the authentication device;
Means for transmitting, to the wireless terminal device, terminal authentication information, which is information obtained by encrypting information including identification information of the wireless terminal device with the predetermined key when authentication by the authentication device is successful;
When terminal authentication information is received from another wireless terminal device that has moved under the control of another wireless base station device, the terminal authentication information is decrypted with the predetermined key, and information included in the terminal authentication information is used. And a means for relaying communication between the other wireless terminal device and the other device when the authentication is successful and the authentication is successful. Station equipment.
ある無線基地局装置との接続を行うために、ユーザ認証情報を含むログイン要求を送信する手段と、
認証装置による前記ユーザ認証情報に基づく認証結果が成功である場合に、前記無線基地局装置から、前記無線端末装置の識別情報を含む情報を所定の鍵で暗号化した情報である端末認証情報を受信する手段と、
前記無線端末装置が前記無線基地局装置とは別の他の無線基地局装置の配下に移動した場合に、当該他の無線基地局装置との接続を行うために、当該他の無線基地局装置に前記端末認証情報を送信し、当該他の無線基地局装置から前記端末認証情報に基づく認証結果を受信する手段と、
を備えたことを特徴とする無線端末装置。 A wireless terminal device used in a wireless communication system including a plurality of wireless base station devices that perform wireless communication with a wireless terminal device and relay communication between the wireless terminal device and another device,
Means for transmitting a login request including user authentication information in order to connect to a certain radio base station device;
If the authentication result based on the user authentication information by the authentication device is successful, terminal authentication information, which is information obtained by encrypting information including identification information of the wireless terminal device with a predetermined key, from the wireless base station device. Means for receiving;
When the radio terminal apparatus moves under the control of another radio base station apparatus different from the radio base station apparatus, the other radio base station apparatus is connected to connect to the other radio base station apparatus. Means for transmitting the terminal authentication information to and receiving an authentication result based on the terminal authentication information from the other radio base station device;
A wireless terminal device comprising:
他の無線基地局装置と共通に用いられる所定の鍵を鍵管理装置から受信し、鍵格納手段に格納するステップと、
ある無線端末装置からログイン要求を受信した場合に、そのログイン要求を認証装置に送信し、認証装置から当該無線端末装置の認証結果を受信するステップと、
前記認証装置による認証が成功した場合に、前記無線端末装置の識別情報を含む情報を前記所定の鍵で暗号化した情報である端末認証情報を当該無線端末装置に送信するステップと、
他の無線基地局装置の配下から移動してきた他の無線端末装置から端末認証情報を受信した場合に、当該端末認証情報を前記所定の鍵で復号化し、当該端末認証情報に含まれる情報を用いて前記他の無線端末装置の認証を行い、認証が成功した場合に、前記他の無線端末装置と他の装置との間の通信の中継を行うステップと
を備えたことを特徴とする無線通信方法。 A wireless communication method executed by a wireless base station device that performs wireless communication with a wireless terminal device and relays communication between the wireless terminal device and another device,
Receiving a predetermined key used in common with other radio base station apparatus from the key management apparatus and storing it in the key storage means;
When a login request is received from a certain wireless terminal device, the login request is transmitted to the authentication device, and an authentication result of the wireless terminal device is received from the authentication device;
When authentication by the authentication device is successful, transmitting to the wireless terminal device terminal authentication information that is information obtained by encrypting information including identification information of the wireless terminal device with the predetermined key;
When terminal authentication information is received from another wireless terminal device that has moved under the control of another wireless base station device, the terminal authentication information is decrypted with the predetermined key, and information included in the terminal authentication information is used. Wireless communication, comprising: authenticating the other wireless terminal device, and relaying communication between the other wireless terminal device and the other device when the authentication is successful. Method.
ある無線端末装置からログイン要求を受信した場合に、そのログイン要求を認証装置に送信し、認証装置から当該無線端末装置の認証結果を受信する手段、
前記認証装置による認証が成功である場合に、他の無線基地局装置と共通に用いられる所定の鍵を記憶装置から読み出し、前記無線端末装置の識別情報を含む情報を当該所定の鍵で暗号化した情報である端末認証情報を当該無線端末装置に送信する手段、
他の無線基地局装置の配下から移動してきた他の無線端末装置から端末認証情報を受信した場合に、当該端末認証情報を前記所定の鍵で復号化し、当該端末認証情報に含まれる情報を用いて前記他の無線端末装置の認証を行い、認証が成功した場合に、前記他の無線端末装置と他の装置との間の通信の中継を行う手段、
として機能させるためのプログラム。 A program for causing a computer to perform wireless communication with a wireless terminal device and to realize a function as a wireless base station device that relays communication between the wireless terminal device and another device, the computer comprising:
Means for transmitting a login request to an authentication device when receiving a login request from a certain wireless terminal device, and receiving an authentication result of the wireless terminal device from the authentication device;
When authentication by the authentication device is successful, a predetermined key used in common with other wireless base station devices is read from the storage device, and information including identification information of the wireless terminal device is encrypted with the predetermined key Means for transmitting terminal authentication information, which is information obtained, to the wireless terminal device,
When terminal authentication information is received from another wireless terminal device that has moved under the control of another wireless base station device, the terminal authentication information is decrypted with the predetermined key, and information included in the terminal authentication information is used. Means for relaying communication between the other wireless terminal device and the other device when the other wireless terminal device is authenticated and the authentication is successful,
Program to function as.
ある無線基地局装置との接続を行うために、ユーザ認証情報を含むログイン要求を送信する手段、
認証装置による前記ユーザ認証情報に基づく認証結果が成功である場合に、前記無線基地局装置から、前記無線端末装置の識別情報を含む情報を所定の鍵で暗号化した情報である端末認証情報を受信する手段、
前記コンピュータが前記無線基地局装置とは別の他の無線基地局装置の配下に移動した場合に、当該他の無線基地局装置との接続を行うために、当該他の無線基地局装置に前記端末認証情報を送信し、当該他の無線基地局装置から前記端末認証情報に基づく認証結果を受信する手段、
として機能させるためのプログラム。 Functions as a wireless terminal device used in a wireless communication system including a plurality of wireless base station devices that perform wireless communication with a wireless terminal device and relay communication between the wireless terminal device and other devices in a computer A program for realizing the computer,
Means for transmitting a login request including user authentication information in order to connect to a certain radio base station apparatus;
If the authentication result based on the user authentication information by the authentication device is successful, terminal authentication information, which is information obtained by encrypting information including identification information of the wireless terminal device with a predetermined key, from the wireless base station device. Means for receiving,
When the computer moves under the control of another radio base station apparatus different from the radio base station apparatus, the other radio base station apparatus is connected to the other radio base station apparatus in order to connect to the other radio base station apparatus. Means for transmitting terminal authentication information and receiving an authentication result based on the terminal authentication information from the other radio base station apparatus;
Program to function as.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006222623A JP2008048212A (en) | 2006-08-17 | 2006-08-17 | Radio communication system, radio base station device, radio terminal device, radio communication method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006222623A JP2008048212A (en) | 2006-08-17 | 2006-08-17 | Radio communication system, radio base station device, radio terminal device, radio communication method, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008048212A true JP2008048212A (en) | 2008-02-28 |
Family
ID=39181512
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006222623A Pending JP2008048212A (en) | 2006-08-17 | 2006-08-17 | Radio communication system, radio base station device, radio terminal device, radio communication method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008048212A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011135439A (en) * | 2009-12-25 | 2011-07-07 | Fujitsu Toshiba Mobile Communications Ltd | Mobile relay system, mobile relay station and mobile relay method |
JP2012191270A (en) * | 2011-03-08 | 2012-10-04 | Kddi Corp | Authentication system, terminal apparatus, authentication server and program |
JP2013503514A (en) * | 2009-08-31 | 2013-01-31 | 中国移▲動▼通信集▲団▼公司 | Service access method, system and apparatus based on WLAN access authentication |
WO2020170416A1 (en) * | 2019-02-22 | 2020-08-27 | 三菱電機株式会社 | Mobile body communication system |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005027560A1 (en) * | 2003-09-12 | 2005-03-24 | Ntt Docomo, Inc. | Secure intra- and inter-domain handover |
JP2005236490A (en) * | 2004-02-18 | 2005-09-02 | Nippon Telegr & Teleph Corp <Ntt> | Mobile communication terminal and network connection apparatus in mobile communication network system, and update method of shared private key, and update program of shared private key |
-
2006
- 2006-08-17 JP JP2006222623A patent/JP2008048212A/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005027560A1 (en) * | 2003-09-12 | 2005-03-24 | Ntt Docomo, Inc. | Secure intra- and inter-domain handover |
JP2005236490A (en) * | 2004-02-18 | 2005-09-02 | Nippon Telegr & Teleph Corp <Ntt> | Mobile communication terminal and network connection apparatus in mobile communication network system, and update method of shared private key, and update program of shared private key |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013503514A (en) * | 2009-08-31 | 2013-01-31 | 中国移▲動▼通信集▲団▼公司 | Service access method, system and apparatus based on WLAN access authentication |
JP2011135439A (en) * | 2009-12-25 | 2011-07-07 | Fujitsu Toshiba Mobile Communications Ltd | Mobile relay system, mobile relay station and mobile relay method |
JP2012191270A (en) * | 2011-03-08 | 2012-10-04 | Kddi Corp | Authentication system, terminal apparatus, authentication server and program |
WO2020170416A1 (en) * | 2019-02-22 | 2020-08-27 | 三菱電機株式会社 | Mobile body communication system |
JPWO2020170416A1 (en) * | 2019-02-22 | 2021-09-13 | 三菱電機株式会社 | Mobile communication system |
JP7062128B2 (en) | 2019-02-22 | 2022-05-02 | 三菱電機株式会社 | Mobile communication system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8046583B2 (en) | Wireless terminal | |
US7734280B2 (en) | Method and apparatus for authentication of mobile devices | |
KR101009686B1 (en) | Session key management for public wireless lan supporting multiple virtual operators | |
JP3570310B2 (en) | Authentication method and authentication device in wireless LAN system | |
JP4340626B2 (en) | Seamless public wireless local area network user authentication | |
US7231521B2 (en) | Scheme for authentication and dynamic key exchange | |
JP4575679B2 (en) | Wireless network handoff encryption key | |
JP2005110112A (en) | Method for authenticating radio communication device in communication system, radio communication device, base station and authentication device | |
US8295488B2 (en) | Exchange of key material | |
EP2432265B1 (en) | Method and apparatus for sending a key on a wireless local area network | |
US20030051140A1 (en) | Scheme for authentication and dynamic key exchange | |
US20050113070A1 (en) | Mobile terminal authentication method capable of reducing authentication processing time and preventing fraudulent transmission/reception of data through spoofing | |
US20090019539A1 (en) | Method and system for wireless communications characterized by ieee 802.11w and related protocols | |
US20070192841A1 (en) | Mutual authentication apparatus and method | |
US8661510B2 (en) | Topology based fast secured access | |
KR20070025366A (en) | System and method of security on wireless lan system | |
US20050071682A1 (en) | Layer 2 switch device with verification management table | |
JP2004072631A (en) | Authentication system in radio communications, authentication method and terminal | |
Hall | Detection of rogue devices in wireless networks | |
JP2008048212A (en) | Radio communication system, radio base station device, radio terminal device, radio communication method, and program | |
US8122243B1 (en) | Shielding in wireless networks | |
JP2006041594A (en) | Mobile communication system and authentication method of mobile terminal | |
US8359470B1 (en) | Increased security during network entry of wireless communication devices | |
KR100646387B1 (en) | Method and system for authenticating between radio access station and access control router in portable internet environment | |
KR20070108038A (en) | Authentication method using privacy key management protocol in wireless broadband internet system and thereof system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080821 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100908 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100914 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110125 |