JP2008109612A - Radio communication method and system - Google Patents

Radio communication method and system Download PDF

Info

Publication number
JP2008109612A
JP2008109612A JP2007065112A JP2007065112A JP2008109612A JP 2008109612 A JP2008109612 A JP 2008109612A JP 2007065112 A JP2007065112 A JP 2007065112A JP 2007065112 A JP2007065112 A JP 2007065112A JP 2008109612 A JP2008109612 A JP 2008109612A
Authority
JP
Japan
Prior art keywords
wireless communication
communication device
common key
key
base station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007065112A
Other languages
Japanese (ja)
Inventor
Taiga Kawashima
大雅 川嶋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kyocera Corp
Original Assignee
Kyocera Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kyocera Corp filed Critical Kyocera Corp
Priority to JP2007065112A priority Critical patent/JP2008109612A/en
Publication of JP2008109612A publication Critical patent/JP2008109612A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a radio communication method and system capable of securing confidentiality of communication data relayed in a multi-hop network. <P>SOLUTION: A base station public key A1 corresponding to a decoding key A0 is transmitted from a base station 5 having the decoding key A0 through a radio terminal A, and a radio terminal B acquires the base station public key A1. The radio terminal B encodes certificate K containing a shared key G shared between the base station 5 by using the base station public key A1 and transmits the encoded certificate K to the base station 5 through the radio terminal A. The shared key G is shared between the radio terminal B and the base station 5, to perform encryption communication with the shared key G. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、例えば、マルチホップ通信機能を有する無線通信システムにおける、データ通信のセキュリティを高めるための無線通信方法及びその無線通信システムに関する。   The present invention relates to a radio communication method and a radio communication system for enhancing the security of data communication in a radio communication system having a multi-hop communication function, for example.

移動通信システム、無線LANシステム又は無線アクセスシステムといった、1以上の無線端末が無線により通信を行うシステムにおいて、無線端末が、他の無線端末のためにトラヒックの中継を行い通信する方法がある。このような通信機能を、例えば、マルチホップ通信機能といい、当該マルチホップ機能を有するネットワークをマルチホップネットワークという。   In a system in which one or more wireless terminals communicate wirelessly, such as a mobile communication system, a wireless LAN system, or a wireless access system, there is a method in which a wireless terminal performs communication by relaying traffic for another wireless terminal. Such a communication function is called, for example, a multi-hop communication function, and a network having the multi-hop function is called a multi-hop network.

マルチホップネットワークは、基地局と、1以上の無線端末とを有して構成される。具体的には、無線端末は、送信機能、受信機能及び中継機能を備え、基地局は、無線端末との間で無線回線を介して通信を行い、無線端末と有線ネットワークとの間で信号の中継を行う。   The multihop network is configured to include a base station and one or more wireless terminals. Specifically, the wireless terminal has a transmission function, a reception function, and a relay function, and the base station communicates with the wireless terminal via a wireless line, and a signal is transmitted between the wireless terminal and the wired network. Relay.

そして、このようなマルチホップネットワークを利用した無線通信システムでは、システムの安全性を高める技術が望まれるが、従来では、例えば、マルチホップネットワークを構成する無線端末同士が、当該ネットワーク外からの盗聴等を防ぐために、共通の秘密情報(鍵)を共有し、この秘密情報を用いて通信データを暗号化・復号化するような技術が考えられている(例えば、特許文献1又は2参照)。
特開2005−236951号公報 特開2005−278044号公報 In such a wireless communication system using a multi-hop network, a technique for improving the safety of the system is desired. Conventionally, for example, wireless terminals constituting a multi-hop network are wiretapped from outside the network. In order to prevent this, a technique has been considered in which common secret information (key) is shared and communication data is encrypted / decrypted using this secret information (see, for example, Patent Document 1 or 2).
JP 2005-236951 A JP 2005-278044 A

しかしながら、上述した従来方法は、マルチホップネットワークを構成する全ての無線端末同士が秘密情報を共有するように構成されているため、当該マルチホップネットワーク外からの不正侵入者に対しては秘匿性が確保できるが、当該マルチホップネットワーク内では、中継局としての無線端末が、共有する秘密情報を用いて、当該無線端末を中継する、暗号化された通信データを復号化できるため、中継局としての無線端末に通信データが中間搾取されてしまうという問題がある。   However, since the conventional method described above is configured so that all wireless terminals constituting the multi-hop network share secret information, there is no secrecy against unauthorized intruders from outside the multi-hop network. However, in the multi-hop network, since the wireless terminal as a relay station can decrypt the encrypted communication data that relays the wireless terminal using the shared secret information, There exists a problem that communication data will be exploited by the wireless terminal.

そこで、本発明は、上記の課題に鑑み、マルチホップネットワーク内で中継される通信データの秘匿性を確保できる無線通信方法及び無線通信システムを提供することを目的とする。   Then, an object of this invention is to provide the radio | wireless communication method and radio | wireless communications system which can ensure the secrecy of the communication data relayed within a multihop network in view of said subject.

上記目的を達成するため、本発明の第1の特徴は、第1の無線通信装置(基地局)が第2の無線通信装置(無線端末A)を介して、第3の無線通信装置(無線端末B)との間でデータの送受信を行う無線通信方法において、復号鍵(基地局秘密鍵)を有する第1の無線通信装置から送信された、当該第1の復号鍵に対応する第1の暗号鍵(基地局公開鍵:暗号化用の鍵)を、第2の無線通信装置が取得するステップと、第1の無線通信装置と第2の無線通信装置との間で送受信されるデータを暗号化及び復号化するための、第1の共通鍵(基地局と無線端末Aとの間で共有される鍵:端末A用共通鍵)を生成するステップと、第2の無線通信装置が、取得した第1の暗号鍵を用いて、第1の共通鍵を暗号化し、送信するステップと、第1の無線通信装置が、暗号化された第1の共通鍵を受信して、第1の復号鍵で復号化し、第1の共通鍵を取得するステップと、第2の無線通信装置と第3の無線通信装置との間で、送受信されるデータを暗号化及び復号化するための第2の共通鍵(無線端末Aと無線端末Bとの間で共有される鍵:端末A−B用共通鍵)を共有するステップと、第3の無線通信装置が、第2の無線通信装置から、第1の暗号鍵を取得するステップと、第3の無線通信装置と第1の無線通信装置との間で送受信されるデータを暗号化及び復号化するための、第3の共通鍵を生成するステップと、第3の無線通信装置が、第1の暗号鍵を用いて第3の共通鍵(基地局と無線端末Bとの間で共有される鍵)を暗号化し、当該暗号化された第3の共通鍵を第2の無線通信装置を介して第1の無線通信装置へ送信するステップと、第1の無線通信装置が、暗号化された第3の共通鍵を受信して、第1の復号鍵で復号化し、第3の共通鍵を取得するステップと、第1の無線通信装置及び第3の無線通信装置の一方が、第3の共通鍵を用いてデータを暗号化し、第2の無線通信装置を介して、第1の無線通信装置及び前記第3の無線通信装置の他方へ送信するステップと、を含む無線通信方法であることを要旨とする。   In order to achieve the above object, a first feature of the present invention is that a first wireless communication device (base station) is connected to a third wireless communication device (wireless terminal A) via a second wireless communication device (wireless terminal A). In the wireless communication method for transmitting / receiving data to / from the terminal B), the first corresponding to the first decryption key transmitted from the first wireless communication apparatus having the decryption key (base station secret key) The step of acquiring the encryption key (base station public key: encryption key) by the second wireless communication device and the data transmitted and received between the first wireless communication device and the second wireless communication device Generating a first common key (a key shared between the base station and the wireless terminal A: a common key for the terminal A) for encryption and decryption, and a second wireless communication apparatus, A step of encrypting and transmitting the first common key using the acquired first encryption key; A communication device that receives the encrypted first common key, decrypts it with the first decryption key, and obtains the first common key; a second wireless communication device and a third wireless communication; A second common key (a key shared between the wireless terminal A and the wireless terminal B: a common key for the terminal A-B) for encrypting and decrypting data transmitted and received with the device The step of sharing, the step of the third wireless communication device acquiring the first encryption key from the second wireless communication device, and the transmission and reception between the third wireless communication device and the first wireless communication device Generating a third common key for encrypting and decrypting the data to be transmitted, and the third wireless communication apparatus using the first encryption key to generate a third common key (wireless with the base station). The key shared with the terminal B), and the encrypted third common key is used as the second wireless communication device. And transmitting to the first wireless communication device via the first wireless communication device, the first wireless communication device receiving the encrypted third common key, decrypting it with the first decryption key, and One of the first wireless communication apparatus and the third wireless communication apparatus encrypts data using the third common key, and the first wireless communication apparatus transmits the first wireless communication via the second wireless communication apparatus. And a step of transmitting to the other of the communication device and the third wireless communication device.

本発明は、特にマルチホップネットワークシステムや、アドホックネットワークシステムに適用が可能である。   The present invention is particularly applicable to multi-hop network systems and ad hoc network systems.

このような無線通信方法によると、第1の無線通信装置あるいは第3の無線通信装置の一方が、第3の共通鍵を用いて暗号化した通信データを、第2の無線通信装置を介して他方へ送信する場合でも、そもそも、第2の無線通信装置が、当該送信された暗号化された通信データを復号化できないので、第1の無線通信装置と第3の無線通信装置間の通信の秘匿性を確保できる。   According to such a wireless communication method, communication data encrypted by one of the first wireless communication device or the third wireless communication device using the third common key is transmitted via the second wireless communication device. Even in the case of transmission to the other side, since the second wireless communication device cannot decrypt the transmitted encrypted communication data in the first place, communication between the first wireless communication device and the third wireless communication device is not possible. Confidentiality can be secured.

また、第1の特徴に係る無線通信方法において、第3の共通鍵は、第2の共通鍵とは異なる、ことを特徴とする(第2の特徴)。   In the wireless communication method according to the first feature, the third common key is different from the second common key (second feature).

この無線通信方法によると、第2の無線通信装置と第3の無線通信装置との間で第2の共通鍵を共有するものの、この第2の共通鍵と第3の共通鍵とが異なることから、第1の無線通信装置と第3の無線通信装置との通信が第2の無線通信装置を介して行われても、確実に秘匿性を確保できる。   According to this wireless communication method, the second common key is shared between the second wireless communication device and the third wireless communication device, but the second common key and the third common key are different. Therefore, even if communication between the first wireless communication device and the third wireless communication device is performed via the second wireless communication device, confidentiality can be reliably ensured.

また、前記第1の特徴または第2の特徴に係る無線通信方法において、前記第1の無線通信装置が、当該第1の無線通信装置の認証に用いる証明書を、前記第1の暗号鍵と共に前記第2の無線通信装置へ送信するステップを更に有し、前記第1の暗号鍵を、前記第2の無線通信装置が取得するステップでは、前記第1の暗号鍵と共に、前記第1の無線通信装置の認証に用いる証明書を取得し、前記第2の無線通信装置が、取得された前記第1の無線通信装置の認証に用いる証明書を、前記第1の暗号鍵と共に、前記第3の無線通信装置へ送信するステップを更に有し、前記第3の無線通信装置が、前記第2の無線通信装置から、前記第1の暗号鍵を取得するステップでは、前記第1の暗号鍵と共に、前記第1の無線通信装置の認証に用いる証明書を取得し、かつ、取得された前記第1の無線通信装置の認証に用いる証明書を保持し、前記第3の無線通信装置が、前記暗号化された第3の共通鍵を前記第2の無線通信装置を介して前記第1の無線通信装置へ送信するステップでは、前記第3の共通鍵と共に、当該第3の無線通信装置の認証に用いる証明書を、前記第1の暗号鍵で暗号化して前記第1の無線通信装置へ送信し、前記第1の無線通信装置が、前記第3の共通鍵を取得するステップでは、前記暗号化された第3の共通鍵と第3の無線通信装置の認証に用いる証明書とを受信して前記復号鍵で復号化し、かつ、復号化された前記第3の無線通信装置の認証に用いる証明書を保持し、前記第3の無線通信装置が、前記第1の無線通信装置との間で、直接又は第4の無線通信装置を介してデータの送受信を行う場合には、保持された前記第1の無線通信装置の認証に用いる証明書を用いて前記第1の無線通信装置の認証処理を実行し、かつ、前記第1の無線通信装置が、保持された前記第3の無線通信装置の認証に用いる証明書を用いて認証処理を実行するステップを、更に有する、ことを特徴とする(第3の特徴)。   In the wireless communication method according to the first feature or the second feature, a certificate used by the first wireless communication device for authentication of the first wireless communication device together with the first encryption key is used. The method further comprises a step of transmitting to the second wireless communication device, and in the step of acquiring the first encryption key by the second wireless communication device, the first wireless key is used together with the first encryption key. A certificate used for authentication of the communication device is acquired, and the second wireless communication device uses the acquired certificate used for authentication of the first wireless communication device together with the first encryption key. A step of transmitting to the wireless communication device, wherein the third wireless communication device obtains the first encryption key from the second wireless communication device together with the first encryption key. , A certificate used for authentication of the first wireless communication device A certificate used for authentication of the acquired first wireless communication device, and the third wireless communication device receives the encrypted third common key in the second In the step of transmitting to the first wireless communication device via the wireless communication device, a certificate used for authentication of the third wireless communication device is used with the first encryption key together with the third common key. In the step of encrypting and transmitting to the first wireless communication apparatus, and the first wireless communication apparatus obtaining the third common key, the encrypted third common key and third wireless Receiving the certificate used for authentication of the communication device, decrypting the certificate with the decryption key, and holding the decrypted certificate used for authentication of the third wireless communication device, the third wireless communication device Is directly or with the first wireless communication device or the fourth wireless communication device. When transmitting and receiving data via the first wireless communication device, the authentication processing of the first wireless communication device is executed using the stored certificate used for authentication of the first wireless communication device, and the first wireless communication device is authenticated. The wireless communication device further includes a step of executing an authentication process using a certificate used for authentication of the held third wireless communication device (third feature).

この無線通信方法によると、第1の無線通信装置と第3の無線通信装置との間で、データの送受信を行う場合、第1の無線通信装置と第3の無線通信装置とは、データの送受信先となる互いの証明書を取得した際には、当該証明書を保持しているため、無線通信路の切替え時に、新たな証明書の交換を行う必要がない。このため、無線通信装置間の切替え時、保持した証明書を用いて、効率的に認証処理を行うことが可能となり、無線通信装置の処理負担を軽減することができる。   According to this wireless communication method, when data is transmitted and received between the first wireless communication device and the third wireless communication device, the first wireless communication device and the third wireless communication device When the mutual certificate as the transmission / reception destination is acquired, the certificate is held, and therefore it is not necessary to exchange a new certificate when switching the wireless communication path. For this reason, at the time of switching between wireless communication devices, it is possible to efficiently perform authentication processing using the held certificate, and the processing burden on the wireless communication device can be reduced.

また、前記第3の特徴に係る無線通信方法において、前記第3の無線通信装置が、前記第1の無線通信装置から送信される、当該第1の無線通信装置の通信状態を示す情報(ホップ数や、通信品質(QoS:Quality of service)などを示す情報、以下同じ)、及び/又は、前記第4の無線通信装置から送信される、当該第4の無線通信装置の通信状態を示す情報を取得するステップと、前記第2の無線通信装置から送信される、当該第2の無線通信装置の通信状態を示す情報を取得するステップと、取得された前記第1の無線通信装置の通信状態を示す情報、及び/又は、前記第4の無線通信装置の通信状態を示す情報と、前記第2の無線通信装置の通信状態を示す情報とに基づいて、前記第1の無線通信装置との間で、直接又は前記第4の無線通信装置を介してデータの送受信を行うか否かを判断するステップと、を更に有し、前記第3の無線通信装置が、前記判断において、前記第1の無線通信装置との間で、直接又は前記第4の無線通信装置を介してデータの送受信を行うと判断した場合には、前記第3の無線通信装置が、保持された前記第1の無線通信装置の認証に用いる証明書を用いて前記第1の無線通信装置の認証処理を実行し、かつ、前記第1の無線通信装置が、保持された前記第3の無線通信装置の認証に用いる証明書を用いて認証処理を実行する、ことを特徴とする。   In the wireless communication method according to the third feature, the third wireless communication apparatus transmits information (hops) transmitted from the first wireless communication apparatus and indicating a communication state of the first wireless communication apparatus. Information indicating the number, communication quality (QoS: Quality of service, and so on), and / or information indicating the communication state of the fourth wireless communication device transmitted from the fourth wireless communication device Acquiring information indicating the communication state of the second wireless communication device transmitted from the second wireless communication device, and the acquired communication state of the first wireless communication device And / or information indicating the communication state of the fourth wireless communication device and information indicating the communication state of the second wireless communication device, and the first wireless communication device Between or directly to the fourth radio A step of determining whether or not to transmit / receive data via a communication device, wherein the third wireless communication device directly communicates with the first wireless communication device in the determination. Alternatively, when it is determined that data transmission / reception is performed via the fourth wireless communication device, the third wireless communication device uses a certificate used for authentication of the held first wireless communication device. The first wireless communication device executes authentication processing, and the first wireless communication device executes authentication processing using the stored certificate used for authentication of the third wireless communication device. It is characterized by that.

この無線通信方法によると、ホップ数、通信品質などの通信状態を示す情報を取得し、比較を行うことで、データを送受信する無線通信路の切り替えを判断するため、無駄な無線通信路の切り替え、例えば、通信状態を示す情報を比較し、その差がわずかであるにも関わらず、切り替えを判断し、新たなデータの送受信先となる無線通信装置との相互認証を行う必要が生じる、といった不具合が生じない。このため、無線通信路の切り替え時における処理負担を軽減することが可能となる。   According to this wireless communication method, information indicating the communication state such as the number of hops and communication quality is acquired and compared to determine whether to switch the wireless communication path for transmitting and receiving data. For example, it is necessary to compare the information indicating the communication state, determine the switching despite the slight difference, and perform mutual authentication with the wireless communication device that is the transmission / reception destination of new data. There is no problem. For this reason, it becomes possible to reduce the processing burden at the time of switching the wireless communication path.

また、本発明は、第1の無線通信装置が第2の無線通信装置を介して、第3の無線通信装置との間でデータの送受信を行う無線通信システムにおいて、第1の無線通信装置は、復号鍵を格納する復号鍵格納部と、前記復号鍵に対応する第1の暗号鍵を前記第2の無線通信装置側へ送信する第1の送信部と、有し、前記第2の無線通信装置は、前記第1の無線通信装置と前記第2の無線通信装置との間で送受信されるデータを暗号化及び復号化するための、第1の共通鍵を生成する第1の共通鍵生成部と、前記第1の無線通信装置から取得された前記第1の暗号鍵を用いて、前記第1の共通鍵を暗号化する第1の暗号部と、前記第1の暗号部で暗号化された前記第1の共通鍵を送信する第2の送信部と、を有し、前記第1の無線通信装置は、更に、前記暗号化された第1の共通鍵を受信して、前記復号鍵で復号化する復号化部と、前記復号化部による復号化に基づいて、前記第1の共通鍵を取得する第1の共通鍵取得部と、を有し、前記第2の無線通信装置及び前記第3の無線通信装置には、当該第2の無線通信装置及び前記第3の無線通信装置との間で送受信されるデータを暗号化及び復号化するための、第2の共通鍵を共有する手段が設けられ、前記第3の無線通信装置は、前記第1の無線通信装置との間で送受信されるデータを暗号化及び復号化するための、第3の共通鍵を生成する第3の共通鍵生成部と、前記基地局からの第1の暗号鍵を取得し、当該第1の暗号鍵を用いて前記第3の共通鍵を暗号化して、当該暗号化された第3の共通鍵を前記第2の無線通信装置を介して前記第1の無線通信装置へ送信する第2の送信部と、を有し、前記第1の無線通信装置は、更に、前記暗号化された第3の共通鍵を受信して、前記復号鍵で復号化し、当該復号化に基づいて、前記第3の共通鍵を取得する第3の共通鍵取得部、を有して構成され、前記第1の無線通信装置及び前記第3の無線通信装置の一方が、前記第3の共通鍵を用いてデータを暗号化し、前記第2の無線通信装置を介して、前記第1の無線通信装置及び前記第3の無線通信装置の他方へ送信する、無線通信システムであることを要旨とする。   In addition, the present invention provides a wireless communication system in which a first wireless communication device transmits and receives data to and from a third wireless communication device via a second wireless communication device. A decryption key storage unit that stores a decryption key; and a first transmission unit that transmits a first encryption key corresponding to the decryption key to the second wireless communication device side, the second wireless The communication device generates a first common key for encrypting and decrypting data transmitted and received between the first wireless communication device and the second wireless communication device. A generator, a first encryption unit that encrypts the first common key using the first encryption key acquired from the first wireless communication device, and encryption by the first encryption unit And a second transmitter that transmits the first common key that has been converted to a first common key. Receiving the encrypted first common key and decrypting with the decryption key, and obtaining the first common key based on the decryption by the decryption unit A common key acquisition unit, and the second wireless communication device and the third wireless communication device are transmitted to and received from the second wireless communication device and the third wireless communication device. Means for sharing the second common key for encrypting and decrypting the data to be transmitted, and the third wireless communication apparatus transmits the data transmitted to and received from the first wireless communication apparatus. A third common key generation unit for generating a third common key for encryption and decryption, and a first encryption key from the base station are acquired, and the first encryption key is used to obtain the first encryption key. The third common key is encrypted, and the encrypted third common key is transmitted via the second wireless communication device. A second transmitter for transmitting to the first wireless communication device, wherein the first wireless communication device further receives the encrypted third common key and receives the decryption key. And a third common key acquisition unit that acquires the third common key based on the decryption, the first wireless communication device and the third wireless communication device One of the devices encrypts data using the third common key and transmits the data to the other of the first wireless communication device and the third wireless communication device via the second wireless communication device. The gist of the present invention is a wireless communication system.

本発明によると、第1の無線通信装置と第3の無線通信装置との間で、第2の無線通信装置を介して、暗号化された通信データの送受信を行う場合であっても、第2の無線通信装置によって、当該暗号化された通信データが復号化されることがない。したがって、通信の秘匿性を確保することができる。   According to the present invention, even when encrypted communication data is transmitted / received between the first wireless communication device and the third wireless communication device via the second wireless communication device, The encrypted communication data is not decrypted by the second wireless communication apparatus. Therefore, confidentiality of communication can be ensured.

次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。   Next, embodiments of the present invention will be described with reference to the drawings. In the following description of the drawings, the same or similar parts are denoted by the same or similar reference numerals. However, it should be noted that the drawings are schematic.

(第1の実施の形態)
図1は、本発明の第1の実施の形態に係る無線通信システムを示したシステム構成図で、図2は、当該無線通信システムの一例の要部構成を示すブロック図である。また、図3は、当該無線通信システムにおける秘匿性を確立させる処理を示すシーケンス図である。この無線通信システムは、移動体通信ネットワークに接続された認証サーバ(CA)1と、当該認証局1とネットワーク3を介して接続された基地局5(第1の無線通信装置)と、基地局5と無線により通信可能な、例えば、携帯電話やカード端末からなる無線端末A(20)(第2の無線通信装置)と、無線端末A(20)を介して(中継して)、基地局5との間で通信データの送受信を行う無線端末B(40)(第3の無線通信装置)と、を有している。なお、無線端末B(40)は、無線端末A(20)と同様に携帯電話やカード端末からなっている。 (First embodiment)
FIG. 1 is a system configuration diagram showing a radio communication system according to the first embodiment of the present invention, and FIG. 2 is a block diagram showing a main configuration of an example of the radio communication system. FIG. 3 is a sequence diagram showing processing for establishing confidentiality in the wireless communication system. The wireless communication system includes an authentication server (CA) 1 connected to a mobile communication network, a base station 5 (first wireless communication device) connected to the authentication station 1 via the network 3, a base station 5, for example, a wireless terminal A (20) (second wireless communication device) composed of a mobile phone or a card terminal, and a base station via the wireless terminal A (20) (relay) And a wireless terminal B (40) (third wireless communication device) that transmits and receives communication data to and from the wireless communication device 5. The wireless terminal B (40) is composed of a mobile phone or a card terminal, like the wireless terminal A (20).

認証サーバ1は、図2及び図3に示すように、基地局5、無線端末A(20)及び無線端末B(40)が、予め記憶(格納)している(メモリについては後述する)CA公開鍵Xを、当該基地局5、無線端末A(20)及び無線端末B(40)の通信接続時に更新させたりするもので、このような更新等の処理は、CA公開鍵管理部7で行われる。   As shown in FIGS. 2 and 3, the authentication server 1 stores (stores) the base station 5, the wireless terminal A (20), and the wireless terminal B (40) in advance (the memory will be described later). The public key X is updated when the base station 5, the wireless terminal A (20), and the wireless terminal B (40) are connected to each other. Processing such as updating is performed by the CA public key management unit 7. Done.

基地局5は、少なくとも、ネットワーク3を介して認証サーバ1と通信を行う第1通信部9と、無線端末A(20)と無線により通信を行う第2通信部11と、第1メモリ13と、暗号化されたデータを作成する第1暗号化部15と、暗号化されたデータを復号化する第1復号化部17と、無線端末A(20)及び無線端末B(40)の認証を行う第1認証部19と、認証サーバ1によって署名された基地局公開鍵(第1の暗号鍵)A1及び基地局RSA署名を含む基地局証明書Bを生成する第1の証明書生成部21と、全体を制御する制御部23と、を有している。   The base station 5 includes at least a first communication unit 9 that communicates with the authentication server 1 via the network 3, a second communication unit 11 that communicates wirelessly with the wireless terminal A (20), and a first memory 13. Authentication of the first encryption unit 15 for creating the encrypted data, the first decryption unit 17 for decrypting the encrypted data, and the wireless terminal A (20) and the wireless terminal B (40). A first certificate generation unit 21 that generates a base station certificate B including a first authentication unit 19 to be performed and a base station public key (first encryption key) A1 signed by the authentication server 1 and a base station RSA signature. And a control unit 23 for controlling the whole.

ここで、第1メモリ13に格納するデータとしては、CA公開鍵Xと、基地局秘密鍵(復号鍵)A0と、後述する、無線端末A(20)から送信される端末A用共通鍵(基地局5と無線端末A(20)との間で共有されることになる共通鍵:第1の共通鍵)Cと、が含まれる。   Here, as data to be stored in the first memory 13, a CA public key X, a base station secret key (decryption key) A0, and a terminal A common key (described later) transmitted from the wireless terminal A (20) ( And a common key (first common key) C to be shared between the base station 5 and the wireless terminal A (20).

無線端末A(20)は、少なくとも、基地局5及び無線端末B(40)との間で無線により通信を行う第3通信部25と、第2メモリ27と、暗号化されたデータを作成する第2暗号化部29と、暗号化されたデータを復号化する第2復号化部31と、基地局5及び無線端末B(40)の認証を行う第2認証部33と、認証サーバ1によって署名された無線端末A(20)用共通鍵(基地局5と無線端末A(20)との間の共通鍵:第1の共通鍵)C及び無線端末A(20)のRSA署名を含む証明書D、認証サーバ1によって署名された無線端末A(20)の公開鍵(端末A公開鍵:第2の暗号鍵)E及び基地局RSA署名を含む証明書Fを生成する第2の証明書生成部35と、当該無線端末A(20)と基地局5との間で送受信されるデータを暗号化及び復号化するための、端末A用共通鍵Cを生成する第1の共通鍵生成部37と、全体を制御する制御部39と、を有している。  The wireless terminal A (20) creates at least a third communication unit 25 that performs wireless communication with the base station 5 and the wireless terminal B (40), a second memory 27, and encrypted data. The second encryption unit 29, the second decryption unit 31 for decrypting the encrypted data, the second authentication unit 33 for authenticating the base station 5 and the wireless terminal B (40), and the authentication server 1 A certificate including the signed common key for the wireless terminal A (20) (the common key between the base station 5 and the wireless terminal A (20): the first common key) C and the RSA signature of the wireless terminal A (20) Certificate D, a second certificate that generates a certificate F including a public key (terminal A public key: second encryption key) E of the wireless terminal A (20) signed by the authentication server 1 and a base station RSA signature A generator 35, a data transmitted / received between the wireless terminal A (20) and the base station 5 For encrypting and decrypting data, and a first common key generation unit 37 that generates the common key C terminal A, a control unit 39 for controlling the whole, a.

ここで、第2メモリ27に格納するデータとしては、CA公開鍵Xと、基地局5から送信される基地局公開鍵A1と、第1の共通鍵生成部37で生成された端末A用共通鍵Cと、無線端末A(20)の公開鍵Eに対応する無線端末A(20)の秘密鍵(端末A秘密鍵)Iが含まれる。  Here, as data stored in the second memory 27, the CA public key X, the base station public key A1 transmitted from the base station 5, and the common for terminal A generated by the first common key generation unit 37 are used. The key C and the private key (terminal A private key) I of the wireless terminal A (20) corresponding to the public key E of the wireless terminal A (20) are included.

無線端末B(40)は、少なくとも、無線端末A(20)及び基地局5との間で無線により通信を行う第4通信部41と、第3メモリ43と、暗号化されたデータを作成する第3暗号化部45と、暗号化されたデータを復号化する第2復号化部47と、基地局5及び無線端末A(20)の認証を行う第3認証部49と、認証サーバ1によって署名された端末A−B用共通鍵(第2の共通鍵)Gを生成する第2の共通鍵生成部51と、端末B用共通鍵(基地局5と無線端末B(40)との間の共通鍵:第3の共通鍵)Jを生成する第3の共通鍵生成部53と、全体を制御する制御部55と、を有している。  The wireless terminal B (40) creates at least a fourth communication unit 41 that performs wireless communication with the wireless terminal A (20) and the base station 5, a third memory 43, and encrypted data. The third encryption unit 45, the second decryption unit 47 that decrypts the encrypted data, the third authentication unit 49 that authenticates the base station 5 and the wireless terminal A (20), and the authentication server 1 Between the second common key generation unit 51 that generates the signed common key for terminal AB (second common key) G, and the common key for terminal B (base station 5 and wireless terminal B (40)) Common key: third common key) a third common key generation unit 53 for generating J, and a control unit 55 for controlling the whole.

ここて、第3メモリ43に格納するデータとしては、CA公開鍵Xと、基地局公開鍵A1と、第2の共通鍵生成部51で生成された端末A−B用共通鍵Gと、第3の共通鍵生成部53で生成された端末B用共通鍵Jと、が含まれる。  The data stored in the third memory 43 includes the CA public key X, the base station public key A1, the terminal A-B common key G generated by the second common key generation unit 51, the first 3 and the common key J for terminal B generated by the common key generator 53 of FIG.

次に、図3及び図4を用いて、本発明の第1の実施の形態に係る無線通信システムにおける秘匿性を確立させる処理について説明する。  Next, a process for establishing confidentiality in the wireless communication system according to the first embodiment of the present invention will be described with reference to FIGS. 3 and 4.

(基地局と無線端末A(20)との間の処理)
本実施の形態では、基地局5と無線端末A(20)との間に通常の通信において使用される無線通信チャネルを確立したら、まず、基地局5が、第1メモリ13に格納しておいたCA公開鍵Xを用いて暗号化した基地局証明書B(基地局公開鍵A1を含む)を、無線端末A(20)へ送信する(S1)。 (Processing between base station and wireless terminal A (20))
In the present embodiment, when a wireless communication channel used in normal communication is established between the base station 5 and the wireless terminal A (20), the base station 5 first stores it in the first memory 13. The base station certificate B (including the base station public key A1) encrypted using the existing CA public key X is transmitted to the wireless terminal A (20) (S1).

次に、暗号化された基地局証明書Bを受信した無線端末A(20)は、第2メモリ27に格納されたCA公開鍵Xを用いて、暗号化されている基地局証明書Bを復号化し(S2)、当該復号化によって得られる基地局証明書Bの基地局RSA署名の確認を、第2認証部33にて行い、確認後、基地局公開鍵A1を取得する(S3)。   Next, the wireless terminal A (20) that has received the encrypted base station certificate B uses the CA public key X stored in the second memory 27 to obtain the encrypted base station certificate B. Decryption (S2), the base station RSA signature of the base station certificate B obtained by the decryption is confirmed by the second authentication unit 33, and after the confirmation, the base station public key A1 is obtained (S3).

無線端末A(20)は、取得した基地局公開鍵A1を用いて基地局5へ送信する暗号化データを作成する。具体的には、無線端末A(20)は、第1の共通鍵生成部37で端末A用共通鍵Cを生成し、当該端末A用共通鍵Cを含んだ証明書Dを第2の証明書生成部35で生成してから、当該証明書Dを基地局公開鍵A1で暗号化した後、暗号化した証明書Dを基地局5へ送信する(S4)。   The wireless terminal A (20) creates encrypted data to be transmitted to the base station 5 using the acquired base station public key A1. Specifically, the wireless terminal A (20) generates the terminal A common key C by the first common key generation unit 37, and obtains the certificate D including the terminal A common key C as the second certificate. After being generated by the certificate generation unit 35, the certificate D is encrypted with the base station public key A1, and then the encrypted certificate D is transmitted to the base station 5 (S4).

暗号化された証明書Dを受信した基地局5は、第1メモリに格納された基地局秘密鍵A0を用いて、暗号化されている証明書Dを復号化し、当該復号化によって得られる証明書Bの端末AのRSA署名の確認を、第1認証部19にて行い、確認後、端末A用共通鍵Cを取得する。これにより、基地局5と無線端末A(20)との間で、端末A用共通鍵Cが共有される(S5)。   The base station 5 that has received the encrypted certificate D decrypts the encrypted certificate D using the base station private key A0 stored in the first memory, and the certificate obtained by the decryption. The RSA signature of the terminal A of the certificate B is confirmed by the first authenticating unit 19 and, after the confirmation, the common key C for the terminal A is acquired. Thereby, the common key C for terminal A is shared between the base station 5 and the wireless terminal A (20) (S5).

(無線端末Aと無線端末Bとの間の処理)
基地局5と無線端末A(20)との間で、端末A用共通鍵Cが共有された状態で(S5)、無線端末B(40)が、無線端末A(20)と通信を行う場合(所謂、マルチホップ通信を行う場合)、無線端末A(20)と無線端末B(40)との間で、端末A−B用共通鍵Gが共有されるが、この処理は、前記S1からS5までの処理と同様に行われる。 (Processing between wireless terminal A and wireless terminal B)
A case where the wireless terminal B (40) communicates with the wireless terminal A (20) while the terminal A common key C is shared between the base station 5 and the wireless terminal A (20) (S5). (When so-called multi-hop communication is performed), the wireless terminal A (20) and the wireless terminal B (40) share the common key G for the terminal A-B. The same processing as that up to S5 is performed.

すなわち、無線端末A(20)は、まず、第2の証明書生成部35で、認証サーバ1によって署名された無線端末A(20)の公開鍵(端末A公開鍵:第2の暗号鍵)E及び基地局RSA署名を含む証明書Fを生成し、当該証明書Fを、前述したS3において復号化された基地局公開鍵A1を用いて暗号化し、無線端末B(40)へ送信する(S6)。   That is, the wireless terminal A (20) first uses the second certificate generation unit 35 to public key (terminal A public key: second encryption key) of the wireless terminal A (20) signed by the authentication server 1. E and the certificate F including the base station RSA signature are generated, the certificate F is encrypted using the base station public key A1 decrypted in S3 described above, and transmitted to the wireless terminal B (40) ( S6).

次に、暗号化された証明書Fを受信した無線端末B(40)は、第3メモリ43に格納しておいた基地局公開鍵A1を用いて復号化し(S7)、当該復号化によって得られる証明書Fの端末AのRSA署名の確認を、第3認証部49で行い、確認後、無線端末A(20)の公開鍵Eを取得する(S8)。   Next, the wireless terminal B (40) that has received the encrypted certificate F decrypts it using the base station public key A1 stored in the third memory 43 (S7), and obtains it by the decryption. The third authentication unit 49 confirms the RSA signature of the terminal A of the certificate F to be obtained. After confirmation, the public key E of the wireless terminal A (20) is acquired (S8).

無線端末B(40)は、認証サーバ1によって署名された端末A−B用共通鍵Gを、第2の共通鍵生成部51で生成するとともに、図示しない第3の証明書生成部で、端末A−B用共通鍵Gを含む証明書Hを生成し、当該証明書Hを、前記S8で取得した無線端末A(20)の公開鍵Eを用いて暗号化して、無線端末A(20)へ送信する(S9)。   The wireless terminal B (40) generates the terminal A-B common key G signed by the authentication server 1 by the second common key generation unit 51 and the third certificate generation unit (not shown) A certificate H including the AB common key G is generated, and the certificate H is encrypted using the public key E of the wireless terminal A (20) acquired in S8, so that the wireless terminal A (20) (S9).

無線端末A(20)は、暗号化された証明書Hを、第2メモリ27に格納された無線端末A(20)の秘密鍵Iで復号化し、当該復号化に基づいて、端末A−B用共通鍵Gを取得する。これにより、無線端末A(20)と無線端末B(40)との間で、端末A−B用共通鍵Gが共有される(S10)。   The wireless terminal A (20) decrypts the encrypted certificate H with the private key I of the wireless terminal A (20) stored in the second memory 27, and based on the decryption, the terminal AB The common key G is acquired. Thereby, the common key G for terminal AB is shared between the wireless terminal A (20) and the wireless terminal B (40) (S10).

(無線端末Bと基地局との間の処理)
以上のようにして、基地局5と無線端末A(20)との間で端末A用共通鍵Cを共有し、無線端末A(20)と無線端末B(40)との間で端末A−B用共通鍵Gを共有した状態においては、以下のような処理を行う。 (Processing between wireless terminal B and base station)
As described above, the common key C for terminal A is shared between the base station 5 and the wireless terminal A (20), and the terminal A− is shared between the wireless terminal A (20) and the wireless terminal B (40). In a state where the B common key G is shared, the following processing is performed.

まず、無線端末A(20)がS1において基地局証明書Bを取得した場合、当該無線端末A(20)は、第2メモリ27に格納しておいたCA公開鍵Xを用いて、基地局証明書Bを暗号化し、ブロードキャストにて無線端末B(40)側へ送信する(S11)。   First, when the wireless terminal A (20) acquires the base station certificate B in S1, the wireless terminal A (20) uses the CA public key X stored in the second memory 27 to The certificate B is encrypted and transmitted to the wireless terminal B (40) side by broadcast (S11).

次に、無線端末B(40)は、第3メモリ部43に格納されたCA公開鍵Xを用いて、受信した、暗号化されている基地局証明書Bを復号化し(S12)、当該復号化によって得られる証明書Bにおける、端末AのRSA署名の確認を、第3認証部49にて行い、確認後、基地局公開鍵A1を取得する(S13)。   Next, the wireless terminal B (40) decrypts the received encrypted base station certificate B using the CA public key X stored in the third memory unit 43 (S12), and performs the decryption. The RSA signature of the terminal A in the certificate B obtained by the authentication is confirmed by the third authenticating unit 49, and after the confirmation, the base station public key A1 is obtained (S13).

そして、無線端末B(40)は、認証サーバ1によって署名された端末B用共通鍵(無線端末B(40)と基地局5との間で用いられる共通鍵)Jを、第3の共通鍵生成部53で生成するとともに、図示しない第3の証明書生成部で、端末B用共通鍵Jを含む証明書Kを生成し、当該証明書Kを、前記S13で取得した基地局公開鍵A1を用いて暗号化して、無線端末A(20)側へ送信する(S14)。無線端末A(20)側へ送信された、暗号化された証明書Kは、当該無線端末A(20)を介して、基地局5へ送信される(S15)。   Then, the wireless terminal B (40) uses the terminal B common key (common key used between the wireless terminal B (40) and the base station 5) J signed by the authentication server 1 as the third common key. A certificate K including a common key J for terminal B is generated by a third certificate generator (not shown) and generated by the generator 53, and the certificate K is obtained from the base station public key A1 acquired in S13. And is transmitted to the wireless terminal A (20) side (S14). The encrypted certificate K transmitted to the wireless terminal A (20) side is transmitted to the base station 5 via the wireless terminal A (20) (S15).

なお、第3の共通鍵生成部53で生成される端末B用共通鍵Jは、一般的な可逆の暗号化方法で(AES、3DES、DES等)で生成されるが、この端末B用共通鍵Jは、端末A−B用共通鍵Gとは異なるものになるように生成される。これにより、無線端末B(40)が無線端末A(20)を介して基地局5との間でデータの送受信を行う場合には、無線端末A(20)が暗号化された端末用共通鍵Jを復号化できないので、無線端末B(40)と基地局5との間の通信の秘匿性が確実に確保される。   The terminal B common key J generated by the third common key generation unit 53 is generated by a general reversible encryption method (AES, 3DES, DES, etc.). The key J is generated so as to be different from the common key G for the terminal AB. Accordingly, when the wireless terminal B (40) transmits and receives data to and from the base station 5 via the wireless terminal A (20), the wireless terminal A (20) encrypts the terminal common key. Since J cannot be decrypted, the confidentiality of communication between the wireless terminal B (40) and the base station 5 is reliably ensured.

次に、基地局5は、無線端末A(20)から送信された、暗号化された証明書Kを受信すると、第1メモリ13に格納された基地局秘密鍵A0を用いて、当該暗号化された証明書Kを復号化し、当該復号化に基づいて、端末B用共通鍵Jを取得する。これにより、無線端末B(40)と基地局5との間で、端末B用共通鍵Jが共有される(S16)。   Next, when the base station 5 receives the encrypted certificate K transmitted from the wireless terminal A (20), the base station 5 uses the base station private key A0 stored in the first memory 13 to perform the encryption. The certificate K is decrypted, and the terminal B common key J is obtained based on the decryption. Thereby, the terminal B common key J is shared between the wireless terminal B (40) and the base station 5 (S16).

このように、無線端末B(40)と基地局5との間で、端末B用共通鍵Jが共有されると、図4の(a)に示すように、基地局5と無線端末A(20)との間では、端末A用共有鍵Cが、無線端末A(20)と無線端末B(40)との間では、端末A−B用共通鍵Gが、無線端末B(40)と基地局5との間では、端末B用共通鍵Jが夫々共有されることになり、各共通鍵を用いて、秘匿性の高い暗号化通信が行われることになる。   Thus, when the terminal B common key J is shared between the wireless terminal B (40) and the base station 5, as shown in FIG. 4A, the base station 5 and the wireless terminal A ( 20) between the wireless terminal A (20) and the wireless terminal B (40), and the shared key G for the terminal AB between the wireless terminal A (20) and the wireless terminal B (40). The terminal B common key J is shared with the base station 5, and encrypted communication with high secrecy is performed using each common key.

なお、本実施の形態では、無線端末A(20)を中継局として説明したが、本発明はこれに限らず、無線端末B(40)を中継局として、無線端末A(20)が当該無線端末B(40)を介して基地局5との間でデータの送受信を行う場合にも適用が可能である(図4の{b}参照)。   In the present embodiment, the wireless terminal A (20) has been described as a relay station. However, the present invention is not limited to this, and the wireless terminal B (40) is a relay station, and the wireless terminal A (20) is the wireless station. The present invention can also be applied when data is transmitted / received to / from the base station 5 via the terminal B (40) (see {b} in FIG. 4).

以上より、本実施の形態によれば、無線端末A(20)は、基地局秘密鍵A0を有しないので、無線端末B(40)から、基地局公開鍵A1で暗号化された端末B用共通鍵Jを含む証明書Kを、無線端末A(20)を介して基地局5へ送信しても、当該無線端末A(20)では暗号化された証明書Kを復号化できない。このため、無線端末A(20)は、端末B用共通鍵Jを取得できないので、無線端末A(20)を介した無線端末B(40)と基地局5とのデータの送受信について、秘匿性が確保される。   As described above, according to the present embodiment, since the wireless terminal A (20) does not have the base station secret key A0, the wireless terminal A (20) is encrypted from the wireless terminal B (40) with the base station public key A1. Even if the certificate K including the common key J is transmitted to the base station 5 via the wireless terminal A (20), the wireless terminal A (20) cannot decrypt the encrypted certificate K. For this reason, since the wireless terminal A (20) cannot acquire the terminal B common key J, the confidentiality of data transmission / reception between the wireless terminal B (40) and the base station 5 via the wireless terminal A (20) is determined. Is secured.

(第2の実施の形態)
マルチホップネットワークを構成する無線端末が頻繁に移動する場合、通信接続状態が頻繁に変化する。このため、通信接続状態の変化により、無線端末間では、再度、相互認証などを行う必要があるが、このような場合、例えば、ハンドオーバー時における無線端末の処理負担が増加しないようにすることが望ましい。 (Second Embodiment)
When wireless terminals that constitute a multi-hop network frequently move, the communication connection state frequently changes. For this reason, mutual authentication or the like needs to be performed again between wireless terminals due to changes in the communication connection state. In such a case, for example, the processing load on the wireless terminals during handover should not be increased. Is desirable.

このような要求に対し、従来は、無線端末の移動などにより生じるマルチホップネットワークにおける通信接続状態の変化に伴って、無線端末間で相互認証を実行する場合、相互認証する無線端末間で、マルチホップネットワーク内で共有する共通の秘密情報(鍵)の有無を判断し、更に、当該共通の秘密情報(鍵)を用いることによる認証か、公開鍵を用いる認証を行うかを判断して、相互認証時の無線端末の処理を簡略化することで、無線端末における処理量の負荷軽減を行う技術も考えられている。   In response to such a request, conventionally, when mutual authentication is performed between wireless terminals due to a change in communication connection state in a multi-hop network caused by movement of wireless terminals, multiple Determine whether there is common secret information (key) shared within the hop network, and then determine whether to perform authentication by using the common secret information (key) or authentication using a public key. A technique for reducing the processing load on the wireless terminal by simplifying the processing of the wireless terminal at the time of authentication is also considered.

しかしながらこの場合、保持する秘密情報(鍵)の有無を判定することで、異なる認証を行うため、ネットワーク内で共有する秘密情報(鍵)のいずれかが盗まれた場合には、盗まれた秘密情報を利用することで容易にネットワーク内の無線端末と認証可能となってしまう。   However, in this case, since different authentication is performed by determining whether there is secret information (key) to be held, if any of secret information (key) shared in the network is stolen, the stolen secret Using information makes it easy to authenticate with a wireless terminal in the network.

その上、相互認証時に、相互認証を行う無線端末から、認証に用いた秘密情報(鍵)以外の、他の無線端末が保持しているが、自無線端末が保持していない、異なる秘密情報(鍵)を交換し、保持することになるため、盗まれた秘密情報(鍵)以外の異なる秘密情報(鍵)も容易に取得できることとなり、セキュリティの向上を図ることは不可能である。   In addition, at the time of mutual authentication, different secret information held by other wireless terminals other than the secret information (key) used for authentication from the wireless terminals performing mutual authentication but not held by the own wireless terminal Since the (key) is exchanged and held, different secret information (key) other than the stolen secret information (key) can be easily obtained, and it is impossible to improve security.

そこで、第2の実施の形態では、前述した第1の実施の形態に加えて、上記のような問題にも適切に回避できる方法、無線通信システムを示す。   Therefore, in the second embodiment, in addition to the first embodiment described above, a method and a wireless communication system that can appropriately avoid the above-described problems are shown.

図5は、本発明の第2の実施の形態に係る無線通信システムの一例の要部構成を示すブロック図である。図5における無線システムを構成する基地局5、無線端末A(20)、及び無線端末B(40)は、前述した第1の実施の形態の無線通信システムにおいて構成される各構成の他に以下の構成を備える。具体的には、基地局5は、当該基地局5の通信状態を示す情報(詳細は後述する)を生成する第1の通信状態情報生成部57を更に有する。無線端末A(20)は、基地局5から取得した、当該基地局5の通信状態を示す情報に基づいて、当該無線端末A(20)の通信状態を示す情報を生成する第2の通信状態情報生成部59を有する。無線端末B(40)は、基地局5、又は無線端末A(20)から取得した通信状態を示す情報に基づいて、無線端末B(40)の通信状態を示す情報を生成する第3の通信状態情報生成部61を有する。   FIG. 5 is a block diagram showing a main configuration of an example of a radio communication system according to the second embodiment of the present invention. The base station 5, the wireless terminal A (20), and the wireless terminal B (40) configuring the wireless system in FIG. 5 are as follows in addition to the components configured in the wireless communication system according to the first embodiment described above. The configuration is provided. Specifically, the base station 5 further includes a first communication state information generation unit 57 that generates information (details will be described later) indicating the communication state of the base station 5. The second communication state in which the wireless terminal A (20) generates information indicating the communication state of the wireless terminal A (20) based on the information indicating the communication state of the base station 5 acquired from the base station 5 An information generation unit 59 is included. The wireless terminal B (40) generates the information indicating the communication state of the wireless terminal B (40) based on the information indicating the communication state acquired from the base station 5 or the wireless terminal A (20). A state information generation unit 61 is included.

基地局5の第1メモリ13に格納するデータとしては、CA公開鍵Xと、基地局秘密鍵A0と、端末A用共通鍵Cの他に、無線端末の認証に用いる証明書(例えば、証明書D,K)が含まれる。   The data stored in the first memory 13 of the base station 5 includes a CA public key X, a base station secret key A0, a common key C for terminal A, and a certificate (for example, certificate) used for authentication of the wireless terminal. Letter D, K).

無線端末A(20)の第2メモリ27に格納するデータとしては、CA公開鍵Xと、基地局公開鍵A1と端末A用共通鍵Cと秘密鍵Iの他に、基地局5の認証に用いる証明書(証明書B)や無線端末B(40)の認証に用いる証明書(証明書H)が含まれる。また、基地局5から取得する、基地局5の通信状態を示す情報も含まれる。   As data stored in the second memory 27 of the wireless terminal A (20), in addition to the CA public key X, the base station public key A1, the common key C for terminal A, and the secret key I, authentication of the base station 5 is performed. A certificate to be used (certificate B) and a certificate to be used for authentication of the wireless terminal B (40) (certificate H) are included. Further, information indicating the communication state of the base station 5 acquired from the base station 5 is also included.

無線端末B(40)の第3メモリ43に格納するデータとしては、CA公開鍵Xと、基地局公開鍵A1と端末A−B用共通鍵Gと、端末B用共通鍵Jの他に、基地局5の認証に用いる証明書(証明書B)や無線端末A(20)の認証に用いる証明書(証明書F)が含まれる。また、無線端末A(20)から取得する、無線端末A(20)の通信状態を示す情報も含まれる。   As data stored in the third memory 43 of the wireless terminal B (40), in addition to the CA public key X, the base station public key A1, the terminal AB common key G, and the terminal B common key J, A certificate used for authentication of the base station 5 (certificate B) and a certificate used for authentication of the wireless terminal A (20) (certificate F) are included. Moreover, the information which shows the communication state of the radio | wireless terminal A (20) acquired from the radio | wireless terminal A (20) is also contained.

また、制御部55は、第3メモリ43に格納された、基地局、または各無線端末から取得した、通信状態を示す情報を比較し、データの送受信を行う無線通信路の切り替えを判断する。   In addition, the control unit 55 compares information indicating the communication state acquired from the base station or each wireless terminal stored in the third memory 43, and determines switching of the wireless communication path for transmitting and receiving data.

(無線通信システムにおける無線端末の無線通信路の切替え時における認証処理)
次に、図5、図6、及び図7を用いて、無線端末の移動等により生じる、無線通信路の切替え時に、効率よく認証を行いつつ、予め確立している秘匿性を維持する処理について説明する。 (Authentication process when switching wireless communication path of wireless terminal in wireless communication system)
Next, referring to FIG. 5, FIG. 6, and FIG. 7, a process for maintaining the confidentiality established in advance while efficiently authenticating at the time of switching the wireless communication path caused by the movement of the wireless terminal or the like. explain.

基地局5は、前記S1からS16の処理を通じて、無線端末B(40)と端末B用共通鍵Jを共有し、秘匿性が確立されている無線通信路(基地局5から無線端末A(20)を介した無線端末B(40)までの無線通信路(図3参照))において暗号化したデータを送受信している。この秘匿性を確立する処理において、基地局5は、無線端末A(20)のRSA署名を含む証明書D及び無線端末B(40)のRSA署名を含む証明書Kを、無線端末A(20)は、基地局5のRSA署名を含む証明書B及び無線端末B(40)のRSA署名を含む証明書Bを、無線端末B(40)は、無線端末A(20)から、無線端末A(20)のRSA署名を含む証明書F及び基地局5のRSA署名を含む証明書Bを取得し、保持している。   The base station 5 shares the wireless terminal B (40) and the common key J for the terminal B through the processing from S1 to S16, and establishes the confidentiality of the wireless communication path (from the base station 5 to the wireless terminal A (20 ) Through the wireless communication path to the wireless terminal B (40) (see FIG. 3)). In the process of establishing the secrecy, the base station 5 obtains the certificate D including the RSA signature of the wireless terminal A (20) and the certificate K including the RSA signature of the wireless terminal B (40) from the wireless terminal A (20 ) Includes a certificate B including the RSA signature of the base station 5 and a certificate B including the RSA signature of the wireless terminal B (40). The wireless terminal B (40) transmits the wireless terminal A from the wireless terminal A (20). The certificate F including the RSA signature of (20) and the certificate B including the RSA signature of the base station 5 are acquired and held.

各無線端末(少なくとも無線端末A(20)、無線端末B(40))が、秘匿性を確立する処理により基地局5の証明書Bを保持し、基地局5は、各無線端末(少なくとも無線端末A(20)、無線端末B(40))の証明書D、Kを予め取得し、保持している。そのため、無線端末の移動などによって生じる無線通信路の切り替えの際に、基地局5と各無線端末は、保持している証明書を用いて、データの送受信先となる基地局、または無線端末と認証済か否かを判断することができ、新たな証明書の交換を行う必要がない。このため、無線通信路の切替え時における効率的な認証処理を行うことが可能となる。   Each wireless terminal (at least wireless terminal A (20), wireless terminal B (40)) holds the certificate B of the base station 5 by the process of establishing confidentiality, and the base station 5 Certificates D and K of terminal A (20) and wireless terminal B (40) are acquired and held in advance. Therefore, at the time of switching the wireless communication path caused by the movement of the wireless terminal, the base station 5 and each wireless terminal use the held certificate and the base station or wireless terminal that is the destination of data transmission / reception. It is possible to determine whether or not the authentication has been completed, and it is not necessary to exchange a new certificate. For this reason, it is possible to perform an efficient authentication process at the time of switching the wireless communication path.

また、各無線端末は、基地局5のRSA署名を含む証明書Bの取得時に、通信状態を示す情報(マルチホップハンドオーバー用パラメータ)を併せて取得する。このマルチホップハンドオーバー用パラメータは、例えば、基地局5から、無線端末A(20)、及び無線端末B(40)までに中継局となる無線端末数(ホップ数)、データ受信時における通信品質レベル(QoS)などから構成される。   Each wireless terminal also acquires information (multi-hop handover parameter) indicating a communication state when acquiring the certificate B including the RSA signature of the base station 5. This multi-hop handover parameter includes, for example, the number of wireless terminals (hops) that become relay stations from the base station 5 to the wireless terminal A (20) and the wireless terminal B (40), and the communication quality at the time of data reception. It consists of level (QoS) and the like.

各無線端末は、この通信状態を示す情報を比較することで、データの送受信を行っている無線通信路の切り替えを行うか否かを判断する。また、このマルチホップハンドオーバー用パラメータは、中継局となる無線端末(例えば、無線端末A(20))が、ホップ数を更新し、無線端末A(20)を中継局として加えて(ホップ数を自無線端末を含めることで増加させ)、自無線端末におけるマルチホップハンドオーバー用パラメータを生成し、無線端末(例えば、無線端末B(40))が基地局5と秘匿性を確保する処理を行う際に、基地局5の証明書Bと共に送信している。   Each wireless terminal determines whether or not to switch the wireless communication path that is transmitting and receiving data by comparing information indicating the communication state. In addition, the multihop handover parameter is obtained by updating the number of hops by a wireless terminal (for example, wireless terminal A (20)) serving as a relay station and adding the wireless terminal A (20) as a relay station (number of hops). Including the own wireless terminal), generating a multi-hop handover parameter in the own wireless terminal, and the wireless terminal (for example, the wireless terminal B (40)) secures confidentiality with the base station 5. When performing, it is transmitted together with the certificate B of the base station 5.

(無線端末の無線通信路の切替え時における認証処理1)
次に、図5、図6(a)、及び図7を用いて、切り替え時における認証処理について説明する。無線端末B(40)が移動しながら、無線端末A(20)を介して基地局5と秘匿性が確保されている無線通信路でデータの送受信を行っている場合、基地局5は無線端末B(40)の認証に用いる証明書Kを取得して保持し、無線端末Bは、基地局5の認証に用いる証明書Bを取得し、端末B用共通鍵Jと共に保持する。また、端末B(40)は、無線端末A(20)から基地局5の認証に用いる証明書Bを取得する際に、無線端末A(20)の通信状態を示す情報(マルチホップハンドオーバー用パラメータ)を併せて取得する(S501)。 (Authentication process 1 when switching wireless communication path of wireless terminal)
Next, an authentication process at the time of switching will be described with reference to FIG. 5, FIG. 6 (a), and FIG. When the wireless terminal B (40) moves and transmits / receives data to / from the base station 5 through the wireless terminal A (20) via the wireless communication path that is secured, the base station 5 The certificate K used for authentication of B (40) is acquired and held, and the wireless terminal B acquires the certificate B used for authentication of the base station 5 and holds it together with the common key J for terminal B. Further, when the terminal B (40) acquires the certificate B used for authentication of the base station 5 from the wireless terminal A (20), the information indicating the communication state of the wireless terminal A (20) (for multi-hop handover) Parameter) is also acquired (S501).

無線端末B(40)は、秘匿性を確立している無線端末A(20)を介した無線通信路でのデータの送受信時、移動等にともなって、他の装置(基地局5又は、それ以外の基地局等)から報知された報知情報(通信確立用の制御情報等)を受信すると(S502)、この受信した報知情報に基づいて、基地局と直接、データの送受信が可能になったと把握する(S503)。   The wireless terminal B (40) moves to another device (the base station 5 or the like) along with movement or the like when transmitting / receiving data on the wireless communication path via the wireless terminal A (20) that has established confidentiality. When receiving broadcast information (control information for establishing communication, etc.) broadcast from a base station other than the base station (S502), it is possible to directly transmit / receive data to / from the base station based on the received broadcast information Grasp (S503).

そして、データの送受信が可能になった基地局が基地局5である場合(S504)、無線端末B(40)は、当該基地局5から、基地局5におけるマルチホップハンドオーバー用パラメータを要求することで取得してもよいし、報知情報を受信することにより、無線通信可能となる通信先が基地局5であることを把握できるため、ホップ数や、通信品質に基づくマルチホップハンドオーバー用パラメータを無線端末B(40)が生成してもよい。これにより、無線端末B(40)は、基地局5におけるマルチホップハンドオーバー用パラメータを取得する(S505)。一方、認証済みの基地局5からの報知情報でないことを確認した場合(S504)、当該基地局について改めて認証処理を実行し、基地局の証明書及び共有する共通鍵、及びマルチホップハンドオーバー用パラメータを取得する(S506)。   When the base station that can transmit and receive data is the base station 5 (S504), the wireless terminal B (40) requests a parameter for multihop handover in the base station 5 from the base station 5. Or by receiving the broadcast information, it is possible to grasp that the communication destination capable of wireless communication is the base station 5, and therefore, the multi-hop handover parameter based on the number of hops and the communication quality May be generated by the wireless terminal B (40). Thereby, the radio terminal B (40) acquires the multi-hop handover parameter in the base station 5 (S505). On the other hand, when it is confirmed that the information is not broadcast information from the authenticated base station 5 (S504), the authentication process is executed again for the base station, and the base station certificate and shared common key, and for multi-hop handover are used. A parameter is acquired (S506).

無線端末B(40)は、予め無線端末A(20)から基地局5の証明書Bと共に取得するマルチホップハンドオーバー用パラメータと、基地局5から取得したマルチホップハンドオーバー用パラメータを比較する(S510)。このとき、比較を行う方法としては、例えば、マルチホップハンドオーバー用パラメータに含まれる項目(無線端末数(ホップ数)、通信品質(QoS))に優先順位をつけ、まず通信品質を比較し、同一又はほぼ同一である場合には、中継局となる無線端末数(ホップ数)を比較するというような方法を用いる。   The wireless terminal B (40) compares the multihop handover parameter acquired from the wireless terminal A (20) with the certificate B of the base station 5 in advance with the multihop handover parameter acquired from the base station 5 ( S510). At this time, as a method of performing the comparison, for example, priorities are set for items (number of wireless terminals (number of hops), communication quality (QoS)) included in the parameters for multi-hop handover, and the communication quality is first compared, When they are the same or nearly the same, a method is used in which the number of wireless terminals (hops) that are relay stations is compared.

また、マルチホップハンドオーバー用パラメータによる比較結果の他に、中継局となる無線端末(この場合、無線端末A(20))から、その無線端末が無線通信路を有する基地局の証明書(この場合、基地局証明書B)を併せて取得しているため、中継局となる無線端末を含む無線通信路への切替え時に、新たな認証処理を行う必要があるか否かを確認すること(S511)ができ、無線通信路の切替えを行うか否かの判断に利用することができる。そのため、異なる基地局に対して、無線端末B(40)が、認証に用いる証明書を生成し、送信することによる相互認証の処理を行うか否かも判断することができる。   In addition to the comparison result by the multi-hop handover parameter, the wireless terminal (in this case, the wireless terminal A (20)) serving as the relay station obtains the certificate of the base station that the wireless terminal has a wireless communication path (this In this case, since the base station certificate B) is also acquired, it is confirmed whether or not a new authentication process needs to be performed when switching to a wireless communication path including a wireless terminal serving as a relay station ( S511) and can be used to determine whether or not to switch the wireless communication path. Therefore, it can also be determined whether or not the wireless terminal B (40) performs a mutual authentication process by generating and transmitting a certificate used for authentication for different base stations.

前記比較(S510)や前記確認(S511)の結果、無線端末B(40)は、無線端末A(20)を介して基地局5とデータの送受信を行うより、基地局5と、直接データの送受信を行ったほうが良いか否か判断する(S512)。そして、基地局5と直接データの送受信を行ったほうが良いと判断した場合には、無線端末B(40)は、基地局5の認証に用いる証明書Bを取得していることを確認しているため(S513のYesに相当)、基地局5と直接、データを送受信する無線通信路の切り替えを基地局5へ要求する。無線端末B(40)からの無線通信路の切替えの要求を受信した基地局5は、無線端末B(40)の認証に用いる証明書Kを保持しているため、既に認証済みであることを確認でき、無線通信路の切り替えが可能であることを、無線端末B(40)に通知する。この通知を受信した無線端末B(40)は、基地局5とのデータの送受信を新たな無線通信路へ切替える(S515)。これにより、無線端末B(40)の無線通信路の切り替え時における処理負担を、無線端末B(40)及び基地局5は、軽減することが可能となる。   As a result of the comparison (S510) and the confirmation (S511), the wireless terminal B (40) transmits / receives data directly to / from the base station 5 by transmitting / receiving data to / from the base station 5 via the wireless terminal A (20). It is determined whether it is better to perform transmission / reception (S512). If it is determined that it is better to directly transmit / receive data to / from the base station 5, the wireless terminal B (40) confirms that it has obtained the certificate B used for authentication of the base station 5. (Corresponding to Yes in S513), the base station 5 is directly requested to switch the wireless communication path for transmitting and receiving data. The base station 5 that has received the request for switching the wireless communication path from the wireless terminal B (40) holds the certificate K used for authentication of the wireless terminal B (40). The wireless terminal B (40) is notified that the wireless communication path can be switched. Receiving this notification, the wireless terminal B (40) switches data transmission / reception with the base station 5 to a new wireless communication path (S515). Thereby, the wireless terminal B (40) and the base station 5 can reduce the processing load at the time of switching the wireless communication path of the wireless terminal B (40).

その後、基地局5と無線端末B(40)は、既に共有している端末B用共通鍵Jを引き続き用いて暗号化したデータの送受信を行う(S516)。これにより、予め確保する通信内容を傍受されない秘匿性を保ちつつ、データの送受信を新たな無線通信路へ切り替えることが可能となる。   Thereafter, the base station 5 and the wireless terminal B (40) perform transmission / reception of data encrypted using the terminal B common key J that has already been shared (S516). As a result, it is possible to switch data transmission / reception to a new wireless communication path while maintaining confidentiality in which the communication contents to be secured in advance are not intercepted.

(無線端末の無線通信路の切替え時における認証処理2)
次に、図5、図6(b)、及び図7を用いて、切り替え時における認証処理について説明する。無線端末B(40)が移動しながら、無線端末A(20)を介して基地局5と秘匿性が確保されている無線通信路でデータの送受信を行っている場合、基地局5は無線端末B(40)の認証に用いる証明書Kを取得して保持し、無線端末Bは、基地局5の認証に用いる証明書Bを取得し、端末B用共通鍵Jと共に保持する。また、端末B(40)は、この秘匿性を確保する処理時に、無線端末A(20)から基地局5の認証に用いる証明書Bを取得する際に、無線端末A(20)の通信状態を示す情報(マルチホップハンドオーバー用パラメータ)を併せて取得している(S501)。 (Authentication process 2 when switching the wireless communication path of the wireless terminal)
Next, authentication processing at the time of switching will be described with reference to FIGS. 5, 6B, and 7. When the wireless terminal B (40) moves and transmits / receives data to / from the base station 5 through the wireless terminal A (20) via the wireless communication path that is secured, the base station 5 The certificate K used for authentication of B (40) is acquired and held, and the wireless terminal B acquires the certificate B used for authentication of the base station 5 and holds it together with the common key J for terminal B. In addition, when the terminal B (40) acquires the certificate B used for authentication of the base station 5 from the wireless terminal A (20) during the process of ensuring the confidentiality, the communication state of the wireless terminal A (20) (Information for multi-hop handover) is also acquired (S501).

無線端末B(40)は、秘匿性を確立している無線端末A(20)を介した無線通信路でのデータの送受信時、他の装置(無線端末C(60)又は、それ以外の端末等)から放置された報知情報(通信確立用の制御情報等)を受信する(S502)。この受信した報知情報から無線端末B(40)は、無線端末C(60)と、データの送受信が可能となる範囲に到達したと把握する(S503)。なお、この無線端末C(60)は、無線端末A(20)及び無線端末B(40)と同じ構成部を有している。   When the wireless terminal B (40) transmits / receives data on the wireless communication path via the wireless terminal A (20) that has established confidentiality, the wireless terminal B (40) transmits another device (wireless terminal C (60) or other terminal). Etc.) is received from the communication information (control information for establishing communication, etc.) (S502). From this received notification information, the wireless terminal B (40) grasps that the wireless terminal C (60) has reached a range where data can be transmitted and received (S503). The wireless terminal C (60) has the same components as the wireless terminal A (20) and the wireless terminal B (40).

無線端末B(40)は、予め保持していた証明書を確認することで、無線端末C(60)とまだ無線端末間における相互認証を行っていないことを確認し(S507のNoに相当)、上述した秘匿性を確保した処理における、S1からS5までの処理と同様の処理を行い、共通鍵Lを共有する。同時に、無線端末C(60)から、無線端末Cにおけるマルチホップハンドオーバー用パラメータと共に、基地局5の認証に用いる証明書Bを取得する(S509)。   The wireless terminal B (40) confirms that the mutual authentication between the wireless terminal C (60) and the wireless terminal has not yet been performed by confirming the certificate held in advance (corresponding to No in S507). The same process as the process from S1 to S5 in the process of ensuring the above-described secrecy is performed, and the common key L is shared. At the same time, a certificate B used for authentication of the base station 5 is acquired from the wireless terminal C (60) together with the multi-hop handover parameters in the wireless terminal C (S509).

無線端末B(40)は、無線端末C(60)より取得したマルチホップハンドオーバー用パラメータと、予め保持した無線端末A(20)のマルチホップハンドオーバー用パラメータを比較する(S510)。   The wireless terminal B (40) compares the multi-hop handover parameter acquired from the wireless terminal C (60) with the previously stored multi-hop handover parameter of the wireless terminal A (20) (S510).

また、無線端末B(40)は、無線端末C(60)から併せて取得した基地局5の認証に用いる証明書Bから、無線端末C(60)は、基地局5への無線通信路を有していると確認する(S511)。そして、無線端末C(60)を介して基地局5とデータの送受信を行ったほうが良いと判断する(S512)。   Further, the wireless terminal B (40) transmits the wireless communication path to the base station 5 from the certificate B used for authentication of the base station 5 acquired together with the wireless terminal C (60). It confirms that it has (S511). Then, it is determined that data should be transmitted / received to / from the base station 5 via the wireless terminal C (60) (S512).

そして、無線端末B(40)は、基地局5の認証に用いる証明書Bを確認し(S513のYesに相当)、基地局5と、新たな無線通信路でデータを送受信するための無線通信路の切り替えを基地局5へ要求する。無線端末B(40)からの無線通信路の切替えの要求を受信した基地局5は、端末B(40)の認証に用いる証明書Kを保持し、既に認証済みであることを確認し、無線通信路の切り替えが可能であることを、無線端末B(40)に通知する。この通知を受信した無線端末B(40)は、基地局5とのデータの送受信を新たな無線通信路へ切替える(S515)。これにより、無線端末B(40)の無線通信路の切り替え時における処理負担を、無線端末B(40)及び基地局5は、軽減することが可能となる。   The wireless terminal B (40) confirms the certificate B used for authentication of the base station 5 (corresponding to Yes in S513), and wireless communication for transmitting / receiving data to / from the base station 5 through a new wireless communication path. The base station 5 is requested to switch the route. The base station 5 that has received the wireless channel switching request from the wireless terminal B (40) holds the certificate K used for authentication of the terminal B (40), confirms that it has already been authenticated, The wireless terminal B (40) is notified that the communication path can be switched. Receiving this notification, the wireless terminal B (40) switches data transmission / reception with the base station 5 to a new wireless communication path (S515). Thereby, the wireless terminal B (40) and the base station 5 can reduce the processing load at the time of switching the wireless communication path of the wireless terminal B (40).

その後、基地局5と無線端末B(40)は、既に共有している端末B用共通鍵Jを引き続き用いて暗号化したデータの送受信を行う(S516)。これにより、予め確保する通信内容を傍受されない秘匿性を保ちつつ、データの送受信を新たな無線通信路へ切り替えることが可能となる。   Thereafter, the base station 5 and the wireless terminal B (40) perform transmission / reception of data encrypted using the terminal B common key J that has already been shared (S516). As a result, it is possible to switch data transmission / reception to a new wireless communication path while maintaining confidentiality in which the communication contents to be secured in advance are not intercepted.

(無線端末の無線通信路の切替え時における認証処理3)
次に、図5、図6(c)、及び図7を用いて、切り替え時における認証処理について説明する。無線端末B(40)が移動しながら、基地局5と秘匿性が確保されている無線通信路で直接データの送受信を行っている場合、基地局5は無線端末B(40)の認証に用いる証明書Kを取得して保持し、無線端末Bは、基地局5の認証に用いる証明書Bを取得し、端末B用共通鍵Jと共に保持する。また、端末B(40)は、この秘匿性を確保する処理時に、基地局5の認証に用いる証明書Bを取得する際に、基地局5の通信状態を示す情報(マルチホップハンドオーバー用パラメータ)を併せて取得している(S501)。 (Authentication process 3 when switching the wireless communication path of the wireless terminal)
Next, authentication processing at the time of switching will be described with reference to FIGS. 5, 6 (c), and 7. When the wireless terminal B (40) moves and transmits / receives data directly to / from the base station 5 through a wireless communication path that is secured, the base station 5 is used for authentication of the wireless terminal B (40). The certificate K is obtained and held, and the wireless terminal B obtains the certificate B used for authentication of the base station 5 and holds it together with the common key J for the terminal B. Further, when the terminal B (40) obtains the certificate B used for authentication of the base station 5 during the process of ensuring the secrecy, information indicating the communication state of the base station 5 (parameter for multi-hop handover) ) Is also acquired (S501).

無線端末B(40)は、秘匿性を確立している無線通信路でのデータの送受信時、無線端末B(40)は、他の装置(無線端末D(80)又はそれ以外の端末等から)送信される報知情報(通信確立用の制御情報等)を受信する(S502)。この受信した報知情報に基づいて、無線端末D(80)と、データの送受信が可能になったと把握できる(S503のNoに相当)。なお、この無線端末D(80)は、無線端末A(20)及び無線端末B(40)と同じ構成部を有している。   When the wireless terminal B (40) transmits / receives data on the wireless communication path in which confidentiality is established, the wireless terminal B (40) is transmitted from another device (wireless terminal D (80) or other terminals). ) Receive broadcast information (such as control information for establishing communication) is received (S502). Based on the received notification information, it can be understood that data transmission / reception with the wireless terminal D (80) is possible (corresponding to No in S503). The wireless terminal D (80) has the same components as the wireless terminal A (20) and the wireless terminal B (40).

無線端末B(40)は、予め保持した証明書を確認することで、無線端末D(80)とまだ無線端末間における相互認証を行っていないことを確認し(S507)、上述した秘匿性を確保するS処理における、S1からS5までの処理と同様の処理を行い、共通鍵Mを共有し、さらに、無線端末C(60)から、無線端末Dにおけるマルチホップハンドオーバー用パラメータと共に、基地局5の認証に用いる証明書Bを取得する(S509)。   The wireless terminal B (40) confirms that the mutual authentication between the wireless terminal D (80) and the wireless terminal has not been performed by confirming the certificate held in advance (S507), and the above-described confidentiality is confirmed. In the S process to be secured, the same process as the process from S1 to S5 is performed, the common key M is shared, and, from the wireless terminal C (60), together with the multihop handover parameters in the wireless terminal D, the base station 5 is acquired (S509).

無線端末B(40)は、無線端末D(80)より取得したマルチホップハンドオーバー用パラメータと、予め保持する基地局5のマルチホップハンドオーバー用パラメータを比較する(S510)。   The radio terminal B (40) compares the multi-hop handover parameter acquired from the radio terminal D (80) with the multi-hop handover parameter of the base station 5 held in advance (S510).

また、無線端末B(40)は、無線端末D(80)から併せて取得した基地局5の認証に用いる証明書Bから、無線端末D(80)は、基地局5への無線通信路を有していると確認する(S511)。そして、無線端末D(80)を介して基地局5とデータの送受信を行ったほうが良いと判断する(S512のYesに相当)。   Further, the wireless terminal B (40) transmits the wireless communication path to the base station 5 from the certificate B used for authentication of the base station 5 acquired together with the wireless terminal D (80). It confirms that it has (S511). Then, it is determined that it is better to transmit / receive data to / from the base station 5 via the wireless terminal D (80) (corresponding to Yes in S512).

そして、無線端末B(40)は、基地局5の認証に用いる証明書Bを確認し(S513のYesに相当)、基地局5と、新たな無線通信路でデータを送受信するための無線通信路の切り替えを基地局5へ要求する。無線端末B(40)からの無線通信路の切替えの要求を受信した基地局5は、端末B(40)の認証に用いる証明書Kを保持し、既に認証済みであることを確認し、無線通信路の切り替えが可能であることを、無線端末B(40)に通知する。この通知を受信した無線端末B(40)は、基地局5とのデータの送受信を新たな無線通信路へ切替える(S515)。これにより、無線端末B(40)の無線通信路の切り替え時における処理負担を、無線端末B(40)及び基地局5は、軽減することが可能となる。   The wireless terminal B (40) confirms the certificate B used for authentication of the base station 5 (corresponding to Yes in S513), and wireless communication for transmitting / receiving data to / from the base station 5 through a new wireless communication path. The base station 5 is requested to switch the route. The base station 5 that has received the wireless channel switching request from the wireless terminal B (40) holds the certificate K used for authentication of the terminal B (40), confirms that it has already been authenticated, The wireless terminal B (40) is notified that the communication path can be switched. Receiving this notification, the wireless terminal B (40) switches data transmission / reception with the base station 5 to a new wireless communication path (S515). Thereby, the wireless terminal B (40) and the base station 5 can reduce the processing load at the time of switching the wireless communication path of the wireless terminal B (40).

基地局5と無線端末B(40)は、既に共有している端末B用共通鍵Jを引き続き用いて暗号化したデータの送受信を行う(S516)。これにより、予め確保する通信内容を傍受されない秘匿性を保ちつつ、データの送受信を新たな無線通信路へ切り替えることが可能となる。   The base station 5 and the wireless terminal B (40) perform transmission / reception of data encrypted using the terminal B common key J that has already been shared (S516). As a result, it is possible to switch data transmission / reception to a new wireless communication path while maintaining confidentiality in which the communication contents to be secured in advance are not intercepted.

(無線端末の無線通信路の切替え時における認証処理4)
また、無線端末B(40)は、他の無線端末との端末間認証の後に、取得した基地局の証明書から、他の無線端末が、現在通信を行っている基地局5と無線通信路を有していないと把握した(S511)が、無線通信路の切り替えを判断した場合(S512)、上述したS1からS16までの処理を実行することで、新たに秘匿性を確保する(S514)。 (Authentication process 4 when switching the wireless communication path of the wireless terminal)
Further, the wireless terminal B (40), after the inter-terminal authentication with the other wireless terminal, from the acquired base station certificate, the wireless terminal B (40) communicates with the base station 5 with which the other wireless terminal is currently communicating. If it is determined that the wireless communication path is switched (S512), the process from S1 to S16 described above is executed to newly secure confidentiality (S514). .

なお、本発明は、上記各実施の形態にのみ限定されるものではなく、発明の趣旨を逸脱しない範囲で種々の変形または変更が可能である。   In addition, this invention is not limited only to said each embodiment, A various deformation | transformation or change is possible in the range which does not deviate from the meaning of invention.

本発明の第1の実施の形態に係る無線通信システムを示したシステム構成図である。1 is a system configuration diagram showing a wireless communication system according to a first embodiment of the present invention. 無線通信システムの一例の要部構成を示すブロック図である。It is a block diagram which shows the principal part structure of an example of a radio | wireless communications system. 無線通信システムにおける秘匿性を確立させる処理を示すシーケンス図である。It is a sequence diagram which shows the process which establishes the secrecy in a radio | wireless communications system. 基地局及び複数の無線端末間で共通鍵を共有した状態を示す概略図である。It is the schematic which shows the state which shared the common key between the base station and several radio | wireless terminals. 本発明の第2の実施の形態に係る無線通信システムの一例の要部構成を示すブロック図である。It is a block diagram which shows the principal part structure of an example of the radio | wireless communications system which concerns on the 2nd Embodiment of this invention. 基地局及び複数の無線端末間における通信接続状態の変化を示す概略図である。It is the schematic which shows the change of the communication connection state between a base station and several radio | wireless terminals. 無線通信システムの無線端末における秘匿性を確保しつつ、無線通信路の切り替えを判断する処理を示すフローチャート図である。It is a flowchart figure which shows the process which judges the switching of a wireless communication path, ensuring the secrecy in the radio | wireless terminal of a radio | wireless communications system.

符号の説明Explanation of symbols

1:認証サーバ、 5:基地局、
15:第1暗号化部、 17:第1復号化部、
13:第1メモリ、 20:無線端末、
21:第1の証明書生成部、 23:制御部、
27:第2メモリ、 29:第2暗号化部、
31:第2復号化部、 35:第2の証明書生成部、
37:第1の共通鍵生成部、 39:制御部、
43:第3メモリ、 45:第3暗号化部、
47:第3復号化部、 51:第2の共通鍵生成部、
53:第3の共通鍵生成部、 55:制御部、
57:第1の通信状態情報生成部、59:第2の通信状態情報生成部、
61:第3の通信状態情報生成部。 1: authentication server, 5: base station,
15: first encryption unit, 17: first decryption unit,
13: First memory, 20: Wireless terminal,
21: First certificate generation unit, 23: Control unit,
27: second memory, 29: second encryption unit,
31: Second decryption unit, 35: Second certificate generation unit,
37: first common key generation unit, 39: control unit,
43: third memory 45: third encryption unit,
47: third decryption unit, 51: second common key generation unit,
53: Third common key generation unit, 55: Control unit,
57: first communication state information generation unit, 59: second communication state information generation unit,
61: Third communication state information generation unit.

Claims (5)

第1の無線通信装置が第2の無線通信装置を介して、第3の無線通信装置との間でデータの送受信を行う無線通信方法において、
復号鍵を有する前記第1の無線通信装置から送信された、当該復号鍵に対応する第1の暗号鍵を、第2の無線通信装置が取得するステップと、
前記第1の無線通信装置と前記第2の無線通信装置との間で送受信されるデータを暗号化及び復号化するための、第1の共通鍵を生成するステップと、
前記第2の無線通信装置が、前記取得した前記第1の暗号鍵を用いて、前記第1の共通鍵を暗号化し、送信するステップと、
前記第1の無線通信装置が、前記暗号化された第1の共通鍵を受信して、前記復号鍵で復号化し、前記第1の共通鍵を取得するステップと、
前記第2の無線通信装置と前記第3の無線通信装置との間で送受信されるデータを暗号化及び復号化するための、第2の共通鍵を共有するステップと、
前記第3の無線通信装置が、前記第2の無線通信装置から、前記第1の暗号鍵を取得するステップと、
前記第3の無線通信装置と前記第1の無線通信装置との間で送受信されるデータを暗号化及び復号化するための、第3の共通鍵を生成するステップと、
前記第3の無線通信装置が、前記第1の暗号鍵を用いて前記第3の共通鍵を暗号化し、当該暗号化された第3の共通鍵を前記第2の無線通信装置を介して前記第1の無線通信装置へ送信するステップと、
前記第1の無線通信装置が、前記暗号化された第3の共通鍵を受信して、前記復号鍵で復号化し、前記第3の共通鍵を取得するステップと、
前記第1の無線通信装置及び前記第3の無線通信装置の一方が、前記第3の共通鍵を用いてデータを暗号化し、前記第2の無線通信装置を介して、前記第1の無線通信装置及び前記第3の無線通信装置の他方へ送信するステップと、
を具備することを特徴とする無線通信方法。 In the wireless communication method in which the first wireless communication device transmits and receives data to and from the third wireless communication device via the second wireless communication device.
A second wireless communication device acquiring a first encryption key corresponding to the decryption key transmitted from the first wireless communication device having a decryption key;
Generating a first common key for encrypting and decrypting data transmitted and received between the first wireless communication device and the second wireless communication device;
The second wireless communication apparatus encrypting and transmitting the first common key using the acquired first encryption key;
The first wireless communication apparatus receiving the encrypted first common key, decrypting with the decryption key, and obtaining the first common key;
Sharing a second common key for encrypting and decrypting data transmitted and received between the second wireless communication device and the third wireless communication device;
The third wireless communication device acquiring the first encryption key from the second wireless communication device;
Generating a third common key for encrypting and decrypting data transmitted and received between the third wireless communication device and the first wireless communication device;
The third wireless communication device encrypts the third common key using the first encryption key, and the encrypted third common key is transmitted through the second wireless communication device. Transmitting to the first wireless communication device;
The first wireless communication apparatus receiving the encrypted third common key, decrypting with the decryption key, and obtaining the third common key;
One of the first wireless communication device and the third wireless communication device encrypts data using the third common key, and the first wireless communication is performed via the second wireless communication device. Transmitting to the other of the device and the third wireless communication device;
A wireless communication method comprising: 前記第3の共通鍵は、前記第2の共通鍵とは異なる、ことを特徴とする請求項1に記載の無線通信方法。   The wireless communication method according to claim 1, wherein the third common key is different from the second common key. 前記第1の無線通信装置が、当該第1の無線通信装置の認証に用いる証明書を、前記第1の暗号鍵と共に前記第2の無線通信装置へ送信するステップを更に有し、
前記第1の暗号鍵を、前記第2の無線通信装置が取得するステップでは、前記第1の暗号鍵と共に、前記第1の無線通信装置の認証に用いる証明書を取得し、
前記第2の無線通信装置が、取得された前記第1の無線通信装置の認証に用いる証明書を、前記第1の暗号鍵と共に、前記第3の無線通信装置へ送信するステップを更に有し、
前記第3の無線通信装置が、前記第2の無線通信装置から、前記第1の暗号鍵を取得するステップでは、前記第1の暗号鍵と共に、前記第1の無線通信装置の認証に用いる証明書を取得し、かつ、取得された前記第1の無線通信装置の認証に用いる証明書を保持し、
前記第3の無線通信装置が、前記暗号化された第3の共通鍵を前記第2の無線通信装置を介して前記第1の無線通信装置へ送信するステップでは、前記第3の共通鍵と共に、当該第3の無線通信装置の認証に用いる証明書を、前記第1の暗号鍵で暗号化して前記第1の無線通信装置へ送信し、
前記第1の無線通信装置が、前記第3の共通鍵を取得するステップでは、前記暗号化された第3の共通鍵と第3の無線通信装置の認証に用いる証明書とを受信して前記復号鍵で復号化し、かつ、復号化された前記第3の無線通信装置の認証に用いる証明書を保持し、
前記第3の無線通信装置が、前記第1の無線通信装置との間で、直接又は第4の無線通信装置を介してデータの送受信を行う場合には、保持された前記第1の無線通信装置の認証に用いる証明書を用いて前記第1の無線通信装置の認証処理を実行し、かつ、前記第1の無線通信装置が、保持された前記第3の無線通信装置の認証に用いる証明書を用いて認証処理を実行するステップを、更に有する、
ことを特徴とする請求項1または2に記載の無線通信方法。 The first wireless communication device further includes a step of transmitting a certificate used for authentication of the first wireless communication device together with the first encryption key to the second wireless communication device;
In the step of acquiring the first encryption key by the second wireless communication device, a certificate used for authentication of the first wireless communication device is acquired together with the first encryption key;
The second wireless communication device further includes a step of transmitting the acquired certificate used for authentication of the first wireless communication device together with the first encryption key to the third wireless communication device. ,
In the step of acquiring the first encryption key from the second wireless communication device by the third wireless communication device, a certificate used for authentication of the first wireless communication device together with the first encryption key Holding a certificate used for authentication of the acquired first wireless communication device,
In the step of the third wireless communication device transmitting the encrypted third common key to the first wireless communication device via the second wireless communication device, together with the third common key A certificate used for authentication of the third wireless communication device is encrypted with the first encryption key and transmitted to the first wireless communication device;
In the step of obtaining the third common key, the first wireless communication device receives the encrypted third common key and a certificate used for authentication of the third wireless communication device, and Decrypting with the decryption key and holding the decrypted certificate used for authentication of the third wireless communication device,
When the third wireless communication device transmits / receives data to / from the first wireless communication device directly or via the fourth wireless communication device, the held first wireless communication A certificate used for authentication of the first wireless communication device using a certificate used for device authentication, and the first wireless communication device used for authentication of the held third wireless communication device A step of performing an authentication process using the certificate,
The wireless communication method according to claim 1 or 2. 前記第3の無線通信装置が、
前記第1の無線通信装置から送信される、当該第1の無線通信装置の通信状態を示す情報、及び/又は、前記第4の無線通信装置から送信される、当該第4の無線通信装置の通信状態を示す情報を取得するステップと、
前記第2の無線通信装置から送信される、当該第2の無線通信装置の通信状態を示す情報を取得するステップと、
取得された前記第1の無線通信装置の通信状態を示す情報、及び/又は、前記第4の無線通信装置の通信状態を示す情報と、前記第2の無線通信装置の通信状態を示す情報とに基づいて、前記第1の無線通信装置との間で、直接又は前記第4の無線通信装置を介してデータの送受信を行うか否かを判断するステップと、を更に有し、
前記第3の無線通信装置が、前記判断において、前記第1の無線通信装置との間で、直接又は前記第4の無線通信装置を介してデータの送受信を行うと判断した場合には、前記第3の無線通信装置が、保持された前記第1の無線通信装置の認証に用いる証明書を用いて前記第1の無線通信装置の認証処理を実行し、かつ、前記第1の無線通信装置が、保持された前記第3の無線通信装置の認証に用いる証明書を用いて認証処理を実行する、
ことを特徴とする請求項3に記載の無線通信方法。 The third wireless communication device is
Information indicating the communication state of the first wireless communication device transmitted from the first wireless communication device and / or of the fourth wireless communication device transmitted from the fourth wireless communication device Obtaining information indicating a communication state;
Obtaining information indicating a communication state of the second wireless communication device transmitted from the second wireless communication device;
Information indicating a communication state of the first wireless communication device and / or information indicating a communication state of the fourth wireless communication device and information indicating a communication state of the second wireless communication device And determining whether to transmit / receive data to / from the first wireless communication device directly or via the fourth wireless communication device,
When the third wireless communication device determines in the determination to transmit / receive data to / from the first wireless communication device directly or via the fourth wireless communication device, A third wireless communication apparatus executes authentication processing of the first wireless communication apparatus using a certificate used for authentication of the held first wireless communication apparatus, and the first wireless communication apparatus Executes authentication processing using a certificate used for authentication of the held third wireless communication device,
The wireless communication method according to claim 3. 第1の無線通信装置が第2の無線通信装置を介して、第3の無線通信装置との間でデータの送受信を行う無線通信システムにおいて、
第1の無線通信装置は、
復号鍵を格納する復号鍵格納部と、前記復号鍵に対応する第1の暗号鍵を前記第2の無線通信装置側へ送信する第1の送信部と、有し、
前記第2の無線通信装置は、
前記第1の無線通信装置と前記第2の無線通信装置との間で送受信されるデータを暗号化及び復号化するための、第1の共通鍵を生成する第1の共通鍵生成部と、前記第1の無線通信装置から取得された前記第1の暗号鍵を用いて、前記第1の共通鍵を暗号化する第1の暗号部と、前記第1の暗号部で暗号化された前記第1の共通鍵を送信する第2の送信部と、を有し、
前記第1の無線通信装置は、更に、
前記暗号化された第1の共通鍵を受信して、前記復号鍵で復号化する復号化部と、前記復号化部による復号化に基づいて、前記第1の共通鍵を取得する第1の共通鍵取得部と、を有し、
前記第2の無線通信装置及び前記第3の無線通信装置には、当該第2の無線通信装置及び前記第3の無線通信装置との間で送受信されるデータを暗号化及び復号化するための、第2の共通鍵を共有する手段が設けられ、
前記第3の無線通信装置は、
前記第1の無線通信装置との間で送受信されるデータを暗号化及び復号化するための、第3の共通鍵を生成する第3の共通鍵生成部と、前記基地局からの第1の暗号鍵を取得し、当該第1の暗号鍵を用いて前記第3の共通鍵を暗号化して、当該暗号化された第3の共通鍵を前記第2の無線通信装置を介して前記第1の無線通信装置へ送信する第2の送信部と、を有し、
前記第1の無線通信装置は、更に、
前記暗号化された第3の共通鍵を受信して、前記復号鍵で復号化し、当該復号化に基づいて、前記第3の共通鍵を取得する第3の共通鍵取得部、を有して構成され、
前記第1の無線通信装置及び前記第3の無線通信装置の一方が、前記第3の共通鍵を用いてデータを暗号化し、前記第2の無線通信装置を介して、前記第1の無線通信装置及び前記第3の無線通信装置の他方へ送信する、ことを特徴とする無線通信システム。 In the wireless communication system in which the first wireless communication device transmits and receives data to and from the third wireless communication device via the second wireless communication device.
The first wireless communication device
A decryption key storage unit that stores a decryption key; and a first transmission unit that transmits a first encryption key corresponding to the decryption key to the second wireless communication device side;
The second wireless communication device is:
A first common key generation unit for generating a first common key for encrypting and decrypting data transmitted and received between the first wireless communication device and the second wireless communication device; A first encryption unit that encrypts the first common key using the first encryption key acquired from the first wireless communication device, and the first encryption unit that is encrypted A second transmitter for transmitting the first common key,
The first wireless communication device further includes:
Receiving the encrypted first common key, and decrypting with the decryption key; and obtaining the first common key based on the decryption by the decryption unit A common key acquisition unit,
The second wireless communication device and the third wireless communication device are for encrypting and decrypting data transmitted and received between the second wireless communication device and the third wireless communication device. Means for sharing the second common key are provided,
The third wireless communication device is:
A third common key generation unit for generating a third common key for encrypting and decrypting data transmitted and received to and from the first wireless communication device; and a first common key from the base station An encryption key is obtained, the third common key is encrypted using the first encryption key, and the encrypted third common key is transmitted through the second wireless communication apparatus to the first A second transmitter for transmitting to the wireless communication device of
The first wireless communication device further includes:
A third common key acquisition unit that receives the encrypted third common key, decrypts it with the decryption key, and obtains the third common key based on the decryption; Configured,
One of the first wireless communication device and the third wireless communication device encrypts data using the third common key, and the first wireless communication is performed via the second wireless communication device. A wireless communication system, wherein the wireless communication system transmits to the other of the apparatus and the third wireless communication apparatus.
JP2007065112A 2006-09-27 2007-03-14 Radio communication method and system Pending JP2008109612A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007065112A JP2008109612A (en) 2006-09-27 2007-03-14 Radio communication method and system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2006263355 2006-09-27
JP2007065112A JP2008109612A (en) 2006-09-27 2007-03-14 Radio communication method and system

Publications (1)

Publication Number Publication Date
JP2008109612A true JP2008109612A (en) 2008-05-08

Family

ID=39442568

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007065112A Pending JP2008109612A (en) 2006-09-27 2007-03-14 Radio communication method and system

Country Status (1)

Country Link
JP (1) JP2008109612A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012029225A (en) * 2010-07-27 2012-02-09 Panasonic Electric Works Co Ltd Encryption communication system and terminal device
WO2012153530A1 (en) * 2011-05-10 2012-11-15 三洋電機株式会社 Terminal apparatus
WO2013175539A1 (en) * 2012-05-24 2013-11-28 富士通株式会社 Network system, node, and communication method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012029225A (en) * 2010-07-27 2012-02-09 Panasonic Electric Works Co Ltd Encryption communication system and terminal device
WO2012153530A1 (en) * 2011-05-10 2012-11-15 三洋電機株式会社 Terminal apparatus
WO2013175539A1 (en) * 2012-05-24 2013-11-28 富士通株式会社 Network system, node, and communication method

Similar Documents

Publication Publication Date Title
JP4911480B2 (en) Method and system for performing cellular-assisted secure communication with multiple ad hoc devices
KR101137340B1 (en) Method of Providing Security for Relay Station
JP6212120B2 (en) ID-based control unit key fob pairing
US7793103B2 (en) Ad-hoc network key management
KR100896365B1 (en) Method and apparatus for authentication of mobile device
KR101889495B1 (en) Wireless configuration using passive near field communication
JP4804454B2 (en) Key distribution control device, radio base station device, and communication system
KR101032016B1 (en) Constrained cryptographic keys
JP3955025B2 (en) Mobile radio terminal device, virtual private network relay device, and connection authentication server
JP5293284B2 (en) COMMUNICATION METHOD, MESH TYPE NETWORK SYSTEM, AND COMMUNICATION TERMINAL
CN111527762A (en) System and method for end-to-end secure communication in a device-to-device communication network
US20050235152A1 (en) Encryption key sharing scheme for automatically updating shared key
JPH10336756A (en) Direct cipher communication device between two terminals of mobile radio network, corresponding base station and terminal device
CN101682931A (en) The production method of traffic encryption keys (tek)
JP4526079B2 (en) Multi-hop communication system, mobile terminal thereof, route control server, and route establishment method
KR100796525B1 (en) System for sharing Subscriber Indentification Module information of mobile communication terminal and control method thereof
JP2007110487A (en) Lan system and its communication method
JP2006197065A (en) Terminal device and authentication device
JP2008109612A (en) Radio communication method and system
JP2007053612A (en) Communication device and communication method
JP2005223838A (en) Communications system and relay device
JP4757723B2 (en) Wireless terminal authentication method and wireless communication system
JPH04352525A (en) Mobile communication authentification system
KR100934223B1 (en) Security Method in Server-based Mobile Internet Protocol Version 6 System
JP4767736B2 (en) Base station apparatus, authentication server, mobile station apparatus, and communication control method