JP2009188765A - 無線端末及び無線通信方法 - Google Patents

無線端末及び無線通信方法 Download PDF

Info

Publication number
JP2009188765A
JP2009188765A JP2008026990A JP2008026990A JP2009188765A JP 2009188765 A JP2009188765 A JP 2009188765A JP 2008026990 A JP2008026990 A JP 2008026990A JP 2008026990 A JP2008026990 A JP 2008026990A JP 2009188765 A JP2009188765 A JP 2009188765A
Authority
JP
Japan
Prior art keywords
key
identifier
encryption
wireless
key identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008026990A
Other languages
English (en)
Other versions
JP4586075B2 (ja
Inventor
Takashi Ogawa
隆史 小川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2008026990A priority Critical patent/JP4586075B2/ja
Publication of JP2009188765A publication Critical patent/JP2009188765A/ja
Application granted granted Critical
Publication of JP4586075B2 publication Critical patent/JP4586075B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】アクセスポイント等の無線中継装置で採用されている方式をユーザが意識することなく、ローミングの高速化を実現することができる無線端末及び無線通信方法を提供すること。
【解決手段】帰属先の無線中継装置と暗号通信を行うことができる無線端末10は、暗号鍵テーブルを格納する格納部103と、暗号鍵テーブルを参照することで、所定条件を満たす無線中継装置の装置識別子と帰属対象装置の装置識別子とを検索する検索処理部104と、検索処理部104によって発見された装置識別子に対応する暗号生成キーを識別するためのキー識別子を出力する出力処理部105と、出力された2つの識別子を含む判定要求を帰属対象装置に送信する判定要求生成部106と、帰属対象装置のキー識別子に対応する暗号生成キーを用いて、帰属対象装置との間で暗号鍵を生成して交換する帰属処理部102とを備える。
【選択図】図3

Description

本発明は無線端末及び無線通信方法に関し、特に、帰属先の無線中継装置と暗号通信を行うことができる無線端末及び当該無線端末が帰属先の無線中継装置との間で暗号通信を行うため無線通信方法に関する。
無線LANで構成される通信ネットワークでは、クライアントである無線端末(例えば、携帯電話等の携帯端末)は、移動にあわせて、ローミングにより接続先の無線中継装置であるアクセスポイントを変更する。無線端末が接続先を変更した後も通信のセキュリティを保つため、従来はIEEE802.1X認証と呼ばれるユーザ認証処理に従って、無線端末は新しい接続先であるアクセスポイントとの間で認証処理を実施していたが、処理に時間が掛かってしまうため、高速ローミングを実現する上での支障となっていた。
そこで、ローミングを高速化するための手法として、IEEE802.1X認証を実施する無線LANのネットワークではPMKSAキャッシュ(PMKキャッシュともいう)と呼ばれる手法が採用されている。このPMKSAキャッシュは、暗号鍵の基となるPMKを複数のアクセスポイントで共有することにより、ハンドオーバーに際して無線端末とアクセスポイントとの間で実施するIEEE802.1X認証を省略してローミングを高速化する手法であり、通信の途切れを低減するといった音声通話品質の向上を図ることができる。
PMKSAキャッシュには、大きく分けて、ローカル・キャッシュ(Local cache)方式とオポーチュニスティック・キャッシュ(Opportunistic cache)方式の2つの方式が存在する。いずれの方式もローミング接続時の認証処理を一部省略して、いわゆる4ウェイハンドシェイクのみで、暗号鍵(PTK;Pairwise Transient Key)を生成するという点では共通しているが、暗号鍵の基になるデータであるPMKと、PMKに対応する識別子であるPMKIDとのセットであるPMKSAの保持の仕方に違いがある。具体的には、ローカル・キャッシュ方式は、主にアクセスポイント単体で動作するシステムで実現される方式であって、各アクセスポイントは個別にPMKSAを管理及び保持して、クライアントである無線端末は帰属したアクセスポイントごとに複数のPMKを保持する。一方、オポーチュニスティック・キャッシュ方式は、主に複数のアクセスポイントを制御する制御装置(アクセスポイント・コントローラ)を有するシステムで実現される方式である。このオポーチュニスティック・キャッシュ方式では、同一の制御装置や同一のセグメント(複数のアクセスポイントによって形成される領域)に属するアクセスポイント間でPMKを共有することで、クライアントである無線端末が移動した場合にも、ローミング先であるアクセスポイントとの間における認証処理においてクライアントが移動前に保持したPMKを利用することができる。
上述のPMKSAキャッシュと類似する手法には、例えば特許文献1に記載されている移動端末接続方法が知られている。また、特許文献2では、アクセスポイントごとに生成した複数のPMKをアクセスポイント間で共有する高速ローミングサービス方法が記載されている。ほかに、PMKSAキャッシュと異なる手法として、特許文献3では、無線端末が予め定められた規則に基づいて算出された複数の識別情報(SSID)を用いてアクセスポイントへ帰属を試みるように構成された無線LANシステムにおける通信方法が記載されている。
特許3863147号公報 特開2002−125270号公報 特開2006−100970号公報
上述のように、ローカル・キャッシュ方式とオポーチュニスティック・キャッシュ方式との間にはPMKSAの保持の仕方に違いがあるため、アクセスポイントで採用されている方式と無線端末で使用されている方式とが一致していなければ、認証処理の一部を省略することができない。アクセスポイントには、両方式を実装しているものも知られている。しかしながら、実際には一方の方式のみに対応したものが混在している場合が多く、アクセスポイント側の方式にあわせて無線端末側の方式を選択する必要が避けられないため、ユーザにとって煩雑な処理を強いていた。
また、特許文献1〜3に記載の方法も、アクセスポイントで採用されている複数のPMKSAキャッシュ方式に対応する無線端末を提供するものではなく、一方の方式のみに対応させることを基本とした構成の採用又は独自構成の採用により高速ローミングを実現しようとするものであった。
そこで、本発明は、暗号鍵生成のためのデータ保持に関する複数の方式に対応することで、アクセスポイント等の無線中継装置で採用されている方式をユーザが意識することなく、ローミングの高速化を実現することができる無線端末及び無線通信方法を提供することを目的とする。
本発明の無線端末は、帰属先の無線中継装置と暗号通信を行うことができる無線端末であって、暗号鍵を生成するための基となる暗号生成キーに対して、無線中継装置を識別するための識別子である装置識別子と、暗号生成キーを識別するためのキー識別子とを対応付けることができる暗号鍵テーブルを格納する格納手段と、格納手段に格納されている暗号鍵テーブルを参照することで、所定条件を満たす無線中継装置の装置識別子を検索する第1検索手段と、第1検索手段によって発見された装置識別子に対応する第1暗号生成キーを識別するための識別子である第1キー識別子を出力する第1出力手段と、格納手段に格納されている暗号鍵テーブルを参照することで、これから帰属する無線中継装置である帰属対象装置の装置識別子を検索する第2検索手段と、第2検索手段によって発見された装置識別子に対応する第2暗号生成キーを識別するための識別子である第2キー識別子を出力する第2出力手段と、帰属対象装置に格納されている第3暗号生成キーを識別するための識別子である第3キー識別子が第1キー識別子又は第2キー識別子と一致するか否かについて判定を要求するために、第1出力手段から出力された第1キー識別子と第2出力手段から出力された第2キー識別子とを含む判定要求を帰属対象装置に送信する判定要求手段と、判定要求を受信した帰属対象装置から第1キー識別子又は第2キー識別子が第3キー識別子と一致するとの通知を受信した場合に、第3キー識別子と一致する識別子であって、判定要求手段が判定要求を送信する前に格納手段に格納されていた第1キー識別子又は第2キー識別子である該当キー識別子に対応する暗号生成キーを用いて、帰属対象装置との間で暗号鍵を生成して交換する暗号鍵生成手段とを備える。
本発明によれば、暗号鍵テーブルを参照することで、暗号生成キーを識別するためのキー識別子として、所定条件を満たす装置識別子に対応する第1暗号生成キーを識別するための識別子と、帰属対象装置の装置識別子に対応する第2暗号生成キーを識別するための識別子という2つの識別子を帰属対象装置に送信することができる。そして、2つの識別子のいずれかが帰属対象装置に格納されているキー識別子と一致する場合には無線端末に格納されている暗号生成キーを用いて暗号鍵を生成する。したがって、対応するキー識別子等のデータが暗号鍵テーブルに格納されている場合、帰属対象装置で採用されている暗号鍵に関するデータ保持方式(PMKSAキャッシュ方式)に関わらず、ユーザ認証処理の一部を省略してローミングを行うことができる。これにより、無線中継装置のデータ保持方式をユーザが意識することなく、ローミングの高速化を実現することができる。
また、上記無線端末において、暗号鍵テーブルにおいて、暗号生成キーに対する装置識別子と、キー識別子との対応付けを更新するテーブル更新手段を更に備え、暗号鍵生成手段は、判定要求を受信した帰属対象装置から第1キー識別子及び第2キー識別子のいずれも第3キー識別子と一致しないとの通知を受信した場合に、帰属対象装置との間で第3キー識別子に対応する暗号生成キーを用いて、帰属対象装置との間で暗号鍵を生成して交換し、テーブル更新手段は、第3キー識別子に対応する暗号生成キーに対して、帰属対象装置の装置識別子と、第3キー識別子とを対応付けるように暗号鍵テーブルを更新するように構成してもよい。このように構成することで、第1キー識別子及び第2キー識別子のいずれも第3キー識別子と一致しない場合であっても、2回目以降に同じ帰属対象装置に帰属する時には更新された暗号鍵テーブルを参照することで、キー識別子が一致する可能性が向上するため、さらにローミングの高速化を図ることができる。
また、上記無線端末において、格納手段に格納されている暗号鍵テーブルにおいて、暗号生成キーに対して、現在又は以前における無線中継装置との帰属状態を示す帰属履歴情報が更に対応付けられており、第1検索手段は、直前に帰属していたことを所定条件として、当該所定条件を満たす無線中継装置の装置識別子を検索するように構成してもよい。このように構成することで、特にオポーチュニスティック・キャッシュ方式に対応している無線中継装置間で無線端末が帰属対象を変更する場合に、認証処理の一部を省略してローミングを高速化することができる。
また、上記無線端末において、第1検索手段は、暗号鍵テーブルにおいて暗号生成キーが設定されていることを所定条件として、当該所定条件を満たす無線中継装置の装置識別子を検索し、第1出力手段は、第1検索手段によって発見された複数の装置識別子それぞれについて、第1キー識別子を出力するように構成してもよい。このように構成することで、ローカル・キャッシュ方式又はオポーチュニスティック・キャッシュ方式に関わりなく、暗号生成キーに対して装置識別子が対応付けられている無線中継装置を帰属対象装置にする場合に、認証処理の一部を省略してローミングを高速化することができる。
本発明は、上記のように無線端末に係る発明として記載できる他に、以下のように無線通信方法に係る発明として記述することができる。
すなわち、本発明の無線通信方法は、無線端末が帰属先の無線中継装置との間で暗号通信を行うための無線通信方法であって、暗号鍵を生成するための基となる暗号生成キーに対して、無線中継装置を識別するための識別子である装置識別子と、暗号生成キーを識別するためのキー識別子とを対応付けることができる暗号鍵テーブルを格納する格納手段に格納されている暗号鍵テーブルを参照することで、所定条件を満たす無線中継装置の装置識別子を検索する第1検索ステップと、第1検索ステップで発見された装置識別子に対応する第1暗号生成キーを識別するための識別子である第1キー識別子を出力する第1出力ステップと、格納手段に格納されている暗号鍵テーブルを参照することで、これから帰属する無線中継装置である帰属対象装置の装置識別子を検索する第2検索ステップと、第2検索ステップで発見された装置識別子に対応する第2暗号生成キーを識別するための識別子である第2キー識別子を出力する第2出力ステップと、帰属対象装置に格納されている第3暗号生成キーを識別するための識別子である第3キー識別子が第1キー識別子又は第2キー識別子と一致するか否かについて判定を要求するために、第1出力手段から出力された第1キー識別子と第2出力手段から出力された第2キー識別子とを含む判定要求を帰属対象装置に送信する判定要求ステップと、判定要求を受信した帰属対象装置から第1キー識別子又は第2キー識別子が第3キー識別子と一致するとの通知を受信した場合に、第3キー識別子と一致する識別子であって、判定要求ステップで判定要求を送信する前に格納手段に格納されていた第1キー識別子又は第2キー識別子である該当キー識別子に対応する暗号生成キーを用いて、帰属対象装置との間で暗号鍵を生成して交換する暗号鍵生成ステップとを備える。
なお、上記の無線通信方法に係る発明は、上記の無線端末に係る発明と対応する技術的特徴を有し、同様の作用及び効果を奏する発明である。
本発明によれば、暗号生成キーを識別するためのキー識別子として、所定条件を満たす識別子と、帰属対象装置の装置識別子に対応する識別子という2つの識別子を帰属対象装置に送信して、2つの識別子のいずれかが帰属対象装置に格納されているキー識別子と一致する場合には無線端末に格納されている暗号生成キーを用いて暗号鍵を生成する。したがって、帰属対象装置で採用されている暗号鍵のデータ保持方式に関わらず、認証手順の一部を省略してローミングの高速化を実現することができる。
以下、図面を参照しながら、本発明に係る無線端末及び無線通信方法の実施形態を説明する。なお、同一の機能又は構成を有する部分には同一の符号を付して、重複する説明を適宜省略する。
まず、本発明の実施形態に係る無線端末が適用される通信ネットワークシステムを説明する。
図1のシステム構成図に示されるように、通信ネットワークシステム1は、無線端末10と、複数の無線中継装置21,22,23,24と、中継制御装置30と、認証サーバ40と、その他のサーバ、制御局等の装置(いずれも図示せず)から構成される移動体通信網を含む通信ネットワークNとを備えている。無線端末10は、無線中継装置21,22,23,24のうち帰属先となる無線中継装置と暗号通信を行うことが可能であり、無線中継装置21,22,23,24を経由して通信ネットワークNに接続することができる。無線端末10と無線中継装置21,22,23,24との間の通信接続には、例えばIEEE802.11i(WPA2)として定められている無線LANの規格を適用することが可能である。図1に示される構成は、PMKSAキャッシュの方式としてオポーチュニスティック・キャッシュ(Opportunistic cache)方式に対応した構成例である。無線端末10の例としては無線LANに対応するパーソナルコンピュータ、携帯電話等の通信端末があり、無線中継装置21,22,23,24の例としては無線LANのアクセスポイントがある。
本実施形態に係る通信ネットワークシステムとそれを構成する装置は、PMKSAキャッシュの方式としてローカル・キャッシュ(Local cache)方式に対応するネットワークに対応することも可能である。図2はローカル・キャッシュ方式に対応する通信ネットワークシステム1Aを示す図である。同図からわかるように、通信ネットワークシステム1Aは、オポーチュニスティック・キャッシュ方式の通信ネットワークシステム1と異なり、暗号鍵の基となるPMKを無線中継装置21,22,23,24間で共有するための中継制御装置30を省略した構成とされている。
なお、本実施形態の説明では、4つの無線中継装置21,22,23,24がハンドオーバーを行いつつ無線端末10と通信する場合を例にとって説明するが、無線端末10が相互に通信を行うことができる無線中継装置の数は、特に限定されないことは言うまでもない。
次に、図3から図11を参照しつつ、通信ネットワークシステム1,1Aを構成する各装置の詳細を説明する。
まず、無線端末10を構成する要素及びその機能を説明する。
図3は、無線端末10の機能的構成を示すブロック図である。無線端末10は、機能的には、図3に示されるように、無線受信部101と、帰属処理部102(暗号鍵生成手段)、格納部103(格納手段)と、検索処理部104(第1検索手段、第2検索手段)と、出力処理部105(第1出力手段、第2出力手段)と、判定要求生成部106(判定要求生成手段)と、無線送信部107と、更新処理部108(テーブル更新手段)とを備える。
図4は、無線端末10のハードウェア構成例を示す図である。無線端末10は、物理的には、図3に示されるように、CPU151と、記憶デバイスであるRAM152及びROM153と、無線中継装置21,22,23,24のいずれかを中継して通信ネットワークNに接続することでデータの送受信を行う送受信デバイスである通信モジュール154、液晶ディスプレイ等の表示装置155と、テンキー及び十字キー等の入力装置156などを含む通信装置として構成されている。図3で説明される各機能は、図4に示すCPU151、RAM152等のハードウェア上に所定のコンピュータソフトウェアを読み込ませることにより、CPU151の制御のもとで通信モジュール154、表示装置155及び入力装置156を動作させると共に、RAM152やROM153におけるデータの読み出し及び書き込みを行うことで実現される。
以下、図3を用いて、無線中継装置21,22,23,24のうち帰属先の無線中継装置との間で暗号通信を行うことができる無線端末である無線端末10の各機能要素について説明する。
無線受信部101は、無線中継装置21,22,23,24から送信された信号やデータを受信する部分である。この無線受信部101は、無線中継装置21,22,23,24から受信した認証結果通知等のデータを受信して、他の機能要素に通知することができるように構成されている。
帰属処理部102は、無線中継装置21,22,23,24のうち帰属先となる帰属対象装置との間で暗号通信を行うために必要な帰属処理を実行する部分である。具体的には、無線LANで構成される通信ネットワークの場合、この帰属処理部102は、帰属対象装置の選択、MAC認証処理(Authentication)、帰属処理(Association)、暗号生成キーを識別するためのキー識別子(PMKID)をアソシエーション要求(Association Request)に設定するための処理、IEEE802.1X認証処理、暗号鍵生成処理、DHCP処理、SIP登録処理等を実行する。なお、帰属処理部102による処理の詳細は、後述する。
格納部103は、無線端末10が使用する各種のデータを格納する部分であり、暗号鍵を生成するための基となる暗号生成キー(PMK)に対して、無線中継装置を識別するための識別子である装置識別子(BSSID)と、暗号生成キーを識別するためのキー識別子(PMKID)とを対応付けることができる暗号鍵テーブル(PMKSAキャッシュテーブル)を格納する。この格納部103は、帰属処理部102、検索処理部104、出力処理部105、判定要求生成部106、更新処理部108等からの要求に応じて、暗号鍵テーブルに格納されているデータの入出力を行う。なお、ローカル・キャッシュ方式では、暗号生成キー1つに対しては、装置識別子と、キー識別子とが1つずつ対応づけられるが、オポーチュニスティック・キャッシュ方式では、暗号生成キーの共有状況に応じて、暗号鍵テーブルにおいて暗号生成キー1つに対して、複数の装置識別子が対応付けられる。
暗号鍵テーブルには、図5に示されるような形でデータが格納されている。このような暗号鍵テーブルは、PMKSAキャッシュテーブルとも呼ばれるものであり、暗号鍵を生成するための基となる暗号生成キーに対して、無線中継装置21,22,23,24を識別するための識別子である装置識別子と、暗号生成キーを識別するためのキー識別子とが対応付けられている。なお、キー識別子(PMKID)は下記数式によって、暗号生成キー(PMK)から算出されるものである。
PMKID=HMAC-SHA1-128(PMK, "PMKName" || AA || SPA)
この数式において、「HMAC−SHA1−128」はハッシュ関数であるHMAC-SHA1の最初の128ビット、AAはAuthenticatorのMACアドレス(帰属対象装置の装置識別子(BSSID))、SPAはSupplicantのMACアドレス(無線端末のMACアドレス)である。
また、暗号鍵テーブルには、暗号生成キーに対して、現在又は以前における無線中継装置21,22,23,24との帰属状態を示す帰属履歴情報が対応付けられている。具体的には、帰属履歴情報には、「直前」、「以前に帰属有」等の情報を割り当てることができる。なお、図5に示される例では、無線中継装置24について帰属履歴がなく、装置識別子、キー識別子及び暗号生成キーのいずれも格納されていないことを示している。
検索処理部104は、帰属処理部102等の要求に応じて、格納部103に格納されている暗号鍵テーブルを参照することで装置識別子を検索して、出力する部分である。具体的には、検索処理部104は、格納部103に格納されている暗号鍵テーブルを参照することで、所定条件を満たす無線中継装置の装置識別子を検索することができると共に、無線中継装置21,22,23,24のうちこれから帰属する無線中継装置である帰属対象装置の装置識別子を検索して、その結果を出力処理部105に出力することができる。
出力処理部105は、無線端末10が無線中継装置21,22,23,24に後述する判定要求を送信するために、検索処理部104によって発見された装置識別子に対応する暗号生成キーを識別するための識別子(キー識別子)を一時的に格納して、判定要求生成部106に出力する部分である。また、この出力処理部105は、検索処理部104によって発見されたキー識別子が同一であったために同一のキー識別子を格納することとなる場合、一方のキー識別子のみを格納することができるように構成されている。
判定要求生成部106は、無線中継装置21,22,23,24のうち帰属対象装置に格納されている暗号生成キーを識別するための識別子であるキー識別子が出力処理部105から出力されたキー識別子と一致するか否かについて判定を要求するために、出力処理部105から出力されたキー識別子を含む判定要求を生成する部分である。この判定要求生成部106が生成した判定要求は、無線送信部107を介して、帰属対象装置に送信される。
無線送信部107は、無線中継装置21,22,23,24に信号やデータを送信する部分である。この無線送信部107は、例えば上述の判定要求を無線中継装置21,22,23,24へ送信することができるように構成されている。
更新処理部108は、格納部103に格納されている暗号鍵テーブルにおける、暗号生成キーに対する装置識別子とキー識別子との対応付けを更新する部分である。この更新処理部108は、例えば、無線端末10から送信されたキー識別子のいずれも帰属対象装置のキー識別子と一致しないとの通知を帰属対象装置から受信した場合に、帰属対象装置との間で新たに交換された暗号生成キーに対して、帰属対象装置の装置識別子と、帰属対象装置のキー識別子とを対応付けることで、暗号鍵テーブルを更新する。
上述のように構成することで、無線端末10は、無線中継装置21,22,23,24のうち帰属先の無線中継装置との間で暗号通信を行うことができる。
次に、無線通信装置21を構成する要素及びその機能を説明する。なお、無線通信装置22,23,24は、無線通信装置21と同一の構成及び機能を備えるため、無線通信装置21を説明することで、重複する説明を省略する。
図6は、無線通信装置21の機能的構成を示すブロック図である。無線通信装置21は、機能的には、図6に示されるように、無線送信部201と、格納部202と、制御部203と、無線受信部204と、外部インターフェース205とを備える。
図7は、無線通信装置21のハードウェア構成例を示す図である。無線通信装置21は、物理的には、図7に示されるように、CPU251と、記憶デバイスであるRAM252及びROM253と、動作状態を表示するLED等から構成される表示装置254と、無線端末10との間でデータの送受信を行う送受信デバイスである第1の通信モジュール255、中継制御装置30、認証サーバ40及び通信ネットワークNを構成する装置との間でデータの送受信を行う送受信デバイスである第2の通信モジュール256などを含む通信装置として構成されている。図6で説明される各機能は、図7に示すCPU251、RAM252等のハードウェア上に所定のコンピュータソフトウェアを読み込ませることにより、CPU251の制御のもとで表示装置254、第1の通信モジュール255及び第2の通信モジュール256を動作させると共に、RAM252やROM253におけるデータの読み出し及び書き込みを行うことで実現される。
以下、図6を用いて、無線端末10との間で暗号通信を行うことができる無線通信装置である無線通信装置21を構成する要素及びその機能を説明する。
無線送信部201は、無線端末10に信号やデータを無線により送信するこの無線送信部201は、例えば、制御部203からの指示に従って格納部に格納されているデータ(例えば、暗号生成キー(PMK)、キー識別子(PMKID)等のデータ)を無線端末10に送信する。
格納部202は、無線通信装置21が使用する各種のデータを格納する部分である。この格納部202は、無線通信装置21で予め設定・生成されている暗号生成キーやキー識別子を格納できると共に、オポーチュニスティック・キャッシュ方式を採用する通信ネットワークシステム1においては、中継制御装置30から受信した暗号生成キーやキー識別子を格納することができるように構成されている。
制御部203は、無線通信装置21の動作を制御する部分であり、上述のような無線端末10との間で暗号通信を行うためのデータ送受信に関する制御に加えて、中継制御装置30、認証サーバ40、通信ネットワークNを構成する装置等の間でのデータ送受信等に関する制御をおこなう。また、この制御部203は、無線端末10から送信された判定要求を受けて、無線端末10から送信されたキー識別子が、無線中継装置21に格納されているキー識別子と同一であるか否かの判定を行うことができる。
無線受信部204は、無線端末10から送信された信号やデータを無線により受信する部分である。具体的には、この無線受信部204は、無線端末10から送信された判定要求等を受信する。
外部インターフェース205は、中継制御装置30、認証サーバ40、通信ネットワークNを構成する装置との間で信号やデータを送受信する部分である。具体的には、オポーチュニスティック・キャッシュ方式を採用する通信ネットワークシステム1においては、中継制御装置30から暗号生成キーやキー識別子を受信する。
上述のように構成することで、無線通信装置21は、無線端末10との間で暗号通信を行うことができる。
次に、中継制御装置30を構成する要素及びその機能を説明する。中継制御装置30は、上述のように、オポーチュニスティック・キャッシュ方式に対応する通信ネットワークシステム1では必須の装置であるが、ローカル・キャッシュ方式に対応する通信ネットワークシステム1Aでは省略される装置である。なお、中継制御装置30は、その機能面からアクセスポイントコントローラとも呼ばれる。
図8は、中継制御装置30の機能的構成を示すブロック図である。中継制御装置30は、機能的には、図8に示されるように、送信部301と、格納部302と、制御部303と、受信部304と、を備える。
図9は、中継制御装置30のハードウェア構成例を示す図である。中継制御装置30は、物理的には、図9に示されるように、CPU351と、記憶デバイスであるRAM352及びROM353と、動作状態を表示するLED等から構成される表示装置354と、無線中継装置21,22,23,24、認証サーバ40及び通信ネットワークNを構成する装置との間でデータの送受信を行う送受信デバイスである通信モジュール355などを含む通信装置として構成されている。図8で説明される各機能は、図9に示すCPU351、RAM352等のハードウェア上に所定のコンピュータソフトウェアを読み込ませることにより、CPU351の制御のもとで表示装置354、通信モジュール355を動作させると共に、RAM352やROM353におけるデータの読み出し及び書き込みを行うことで実現される。
以下、図8を用いて、無線中継装置21,22,23,24、認証サーバ40等との間で、暗号生成キー(PMK)やキー識別子(PMKID)を送受信することができる中継制御装置30を構成する要素及びその機能を説明する。
送信部301は、無線中継装置21,22,23,24に信号やデータを送信すると共に、認証サーバ40や通信ネットワークNを構成する装置に信号やデータを送信する部分である。オポーチュニスティック・キャッシュ方式に対応する通信ネットワークシステム1において、この送信部301は制御部303からの指示に従って格納部302に格納されているデータ(具体的には、暗号生成キー、キー識別子等)を無線中継装置21,22,23,24の要求に応じて送信する。
格納部302は、中継制御装置30が使用する各種のデータを格納する部分である。この格納部202は、具体的には、暗号生成キー、キー識別子等を格納する。
制御部303は、中継制御装置30の動作を制御する部分であり、例えば、上述のような無線中継装置21,22,23,24との間で暗号処理のためのデータ送受信に関する制御に加えて、認証サーバ40や通信ネットワークNを構成する装置との間での暗号処理のためのデータ送受信に関する制御をおこなう。なお、オポーチュニスティック・キャッシュ方式を採用する通信ネットワークシステム1では暗号生成キーを無線中継装置21,22,23,24間で共有するため、制御部303は暗号生成キーやキー識別子を無線中継装置21,22,23,24に送信するように送信部301、格納部302を制御することができる。
受信部304は、無線中継装置21,22,23,24から送信された信号やデータを受信すると共に、認証サーバ40や通信ネットワークNを構成する装置から送信された信号やデータを受信する部分である。この受信部304は、例えば、無線中継装置21,22,23,24から送信された暗号生成キーやキー識別子を受信する。
上述のように構成することで、中継制御装置30は、無線中継装置21,22,23,24、認証サーバ40等との間で暗号生成キーやキー識別子を送受信することができる。
次に、認証サーバ40を構成する要素及びその機能を説明する。なお、図1及び図2に示されているように、オポーチュニスティック・キャッシュ方式及びローカル・キャッシュ方式のいずれの通信ネットワークシステムにおいても、この認証サーバ40が設けられる。
図10は、認証サーバ40の機能的構成を示すブロック図である。認証サーバ40は、機能的には、図10に示されるように、送信部401と、格納部402と、制御部403と、受信部404と、を備える。
図11は、認証サーバ40のハードウェア構成例を示す図である。認証サーバ40は、物理的には、図11に示されるように、CPU451と、記憶デバイスであるRAM452及びROM353と、ハードディスクドライブ等の補助記憶装置454と、無線端末10、無線中継装置21,22,23,24、中継制御装置30及び通信ネットワークNを構成する装置との間でデータの送受信を行う送受信デバイスである通信モジュール455、動作状態を表示する液晶ディスプレイ等から構成される表示装置456と、各種操作を行うための操作パネル等の入力装置457などを含む通信装置として構成されている。図10で説明される各機能は、図11に示すCPU451、RAM452等のハードウェア上に所定のコンピュータソフトウェアを読み込ませることにより、CPU451の制御のもとで通信モジュール455、表示装置456等を動作させると共に、RAM452、ROM453及び補助記憶装置454におけるデータの読み出し及び書き込みを行うことで実現される。
以下、図10を用いて、中継制御装置30(ローカル・キャッシュ方式に対応する通信ネットワークシステム1Aでは、無線中継装置21,22,23,24)との間で無線端末10の認証処理(例えば、IEEE801.1Xの認証処理)や処理結果に関する通知の送受信を実行することができる認証サーバ40を構成する要素及びその機能を説明する。
送信部401は、中継制御装置30や通信ネットワークNを構成する装置に信号やデータを送信する部分である。この送信部401は、例えば、制御部403からの指示に従って無線端末10の認証処理に必要なデータや処理結果に関する通知を無線端末10、無線中継装置21,22,23,24、中継制御装置30等に送信する。
格納部402は、認証サーバ40が使用する各種のデータを格納する部分である。この格納部402は、認証処理に必要なデータ(例えば、暗号生成キー)を格納する。
制御部403は、認証サーバ40の動作を制御する部分である。この制御部403は、無線端末10の認証処理に関する制御に加えて、中継制御装置30との間におけるデータや処理結果に関する通知の送受信に関する制御や、通信ネットワークNを構成する装置との間でのデータ送受信等に関する制御をおこなう。
受信部404は、中継制御装置30から送信された信号やデータを無線により受信すると共に、通信ネットワークNを構成する装置から送信された信号やデータを受信する部分である。この受信部304は、例えば、無線中継装置21,22,23,24や中継制御装置30から送信された無線端末10の認証処理に関する要求を受信する。
上述のように構成することで、認証サーバ40は、中継制御装置30との間で無線端末10の認証処理や処理結果に関する通知の送受信を実行することができる。
引き続き、図12から図14を参照しつつ、本発明の実施形態に係る無線通信方法を説明する。ここでは、無線端末10が帰属先を無線中継装置21から無線中継装置22(帰属対象装置)に変更する場合を主な例として説明する。
まず、図12を用いて、本発明の実施形態に係る無線通信方法のメイン処理を説明する。無線端末10は、受信強度の変化等にあわせてハンドオーバーを行うため、内部で生成されるスキャントリガに応じてメイン処理を開始すると、無線中継装置21,22,23,24のうち、受信強度の最も強い無線中継装置をこれから帰属する無線中継装置である帰属対象装置(ここでは無線中継装置22)として選択する(ステップS11)。引き続き、無線端末10は、メッセージ認証コード(MAC)を用いた認証処理の実行を要求するためのMAC認証要求を帰属対象装置に送信する(ステップS12)。帰属対象装置はMAC認証要求を実行した後(ステップS13)、そのMAC認証の結果を無線端末10に通知する(ステップS14)。MAC認証が完了した後、無線端末10は暗号生成キーを識別するためのキー識別子の検索・出力処理を実行する(ステップS15)。
図13は、キー識別子の検索・出力処理の詳細を示すフローチャートである。無線端末10はキー識別子の検索・出力処理を開始すると、無線端末10の格納部103に格納されている暗号鍵テーブルを参照することで、検索処理部104が所定条件を満たす無線中継装置の装置識別子を検索する(ステップS101;第1検索ステップ)。
上述の通り、暗号鍵テーブルには図5に示されるような情報が格納されており、暗号鍵を生成するための基となる暗号生成キー(PMK)に対して、無線中継装置21,22,23,24を識別するための識別子である装置識別子(BSSID)と、暗号生成キーを識別するためのキー識別子(PMKID)と、帰属履歴情報とが対応付けられている。この暗号鍵テーブルを参照して、検索処理部104は、直前に帰属していたことを所定条件として、当該所定条件を満たす無線中継装置の装置識別子を検索する(ステップS102)。そして、暗号鍵テーブルにおいて直前に帰属していた無線中継装置の装置識別子がない場合(ステップS102でNoの場合)、直前に帰属していた無線中継装置の装置識別子を発見できなかったことを示す検索結果を出力することで(ステップS103)、検索・出力処理を終了してメイン処理に戻る。
暗号鍵テーブルにおいて直前に帰属していた無線中継装置に関する帰属履歴情報がある場合(ステップS102でYesの場合)、検索処理部104は、発見された装置識別子に対応する第1暗号生成キーを識別するための識別子である第1キー識別子を出力処理部105に出力する(ステップS104)。図5に示される例では、無線中継装置21の暗号生成キーが第1暗号生成キーとなり、対応するキー識別子が第1キー識別子となる。出力された第1キー識別子は出力処理部105に格納される(ステップS105)。なお、出力する第1キー識別子は暗号鍵テーブルに予め格納させておいたものを使うことができるが、上述のPMKとPMKIDの関係式を用いて暗号生成キーから算出したものを使ってもよい。
出力処理部105が第1キー識別子を格納した後、検索処理部104は、格納部103に格納されている暗号鍵テーブルを参照することで、これから帰属する無線中継装置である帰属対象装置(ここでは無線中継装置22)の装置識別子を検索する(ステップS106)。暗号鍵テーブルにおいてこれから無線中継装置の装置識別子がない場合(ステップS107でNoの場合)、直前に帰属していた無線中継装置の装置識別子のみを発見できたことを示す検索結果を出力すると共に(ステップS103)、検索・出力処理を終了してメイン処理に戻る。
暗号鍵テーブルにおいてこれから帰属する無線中継装置に関する帰属履歴情報がある場合(ステップS107でYesの場合)、検索処理部104は、発見された装置識別子に対応する第2暗号生成キーを識別するための識別子である第2キー識別子を出力処理部105に出力する(ステップS108)。図5に示される例では、無線中継装置22の暗号生成キーが第2暗号生成キーとなり、対応するキー識別子が第2キー識別子となる。なお、第1キー識別子の場合と同様に、出力する第2キー識別子は暗号鍵テーブルに予め格納させておいたものを使うことができるが、上述のPMKとPMKIDの関係式を用いて暗号生成キーから算出したものを使ってもよい。
検索処理部104が第2キー識別子を出力した後、出力処理部105は第2キー識別子が第1キー識別子と同一であるか否かを判定し、同一であると判定した場合には(ステップS109でYesの場合)、第2キー識別子を格納することなく、直前に帰属していた無線中継装置の装置識別子及びこれから帰属する無線中継装置の装置識別子を発見できたことを示す検索結果を出力することで(ステップS103)、検索・出力処理を終了してメイン処理に戻る。このような処理とすることで、後述するアソシエーション要求を帰属対象装置に送信する際に、アソシエーション要求に含まれるキー識別子が減るため、その後の処理の効率を向上させることができる。
一方、出力処理部105は、第2キー識別子が第1キー識別子と同一ではないと判定した場合(ステップS109でNoの場合)、第2キー識別子を格納した後(ステップS110)、直前に帰属していた無線中継装置の装置識別子及びこれから帰属する無線中継装置の装置識別子を発見できたことを示す検索結果を出力することで(ステップS103)、検索・出力処理を終了してメイン処理に戻る。
図12に戻って、キー識別子の検索・出力処理後のメイン処理を説明する。無線端末10はキー識別子の検索・出力処理を実行した後、検索によって発見されたキー識別子を含むアソシエーション要求を帰属対象装置に送信する(ステップS16)。具体的には、帰属対象装置に格納されている暗号生成キー(第3暗号生成キー)を識別するための識別子(第3キー識別子)が第1キー識別子又は第2キー識別子と一致するか否かについて判定を要求するために、判定要求生成部106は、出力処理部105から出力されたキー識別子を含む判定要求を帰属対象装置である無線送信部107を介して無線中継装置22に送信する。なお、検索処理部104及び出力処理部105の処理結果に応じて、判定要求に含まれるキー識別子は、「第1キー識別子のみ(第1キー識別子及び第2キー識別子が同一の場合あり)」の場合と「第1キー識別子及び第2キー識別子」の場合がある。また、検索処理部104による処理の結果、キー識別子が出力されなかった場合には、キー識別子を含まない判定要求が無線中継装置に送信される。
無線端末10から送信された判定要求を受けて、帰属対象装置(無線中継装置22)の制御部203は、無線端末10から送信されたキー識別子(第1キー識別子又は第2キー識別子)が、無線中継装置21に格納されているキー識別子(第3キー識別子)と同一であるか否かの判定を行うと共に(ステップS17)、無線送信部201を介してアソシエーション応答を無線端末10に送信する(ステップS18)。
また、アソシエーション応答とあわせて、制御部203が第1キー識別子又は第2キー識別子のいずれも第3キー識別子と一致しないと判定した場合(ステップS19でNoの場合)、無線端末10の帰属処理部102と帰属対象装置の制御部203は通常のユーザ認証処理(例えば、IEEE802.1X認証処理)を実施した後(ステップS20)、無線端末10との間で暗号鍵生成処理(例えば、4ウェイハンドシェイクによる暗号鍵(PTK)の生成)を実行することで、暗号鍵(PTK)を生成して交換する(ステップS21)。具体的には、IEEE802.1X認証処理の場合、帰属対象装置が無線端末10にEAP要求(EAP Request)を送信して、認証処理を開始する。
一方、制御部203が、第1キー識別子又は第2キー識別子のいずれかが、第3キー識別子と一致すると判定した場合(ステップS19でYesの場合)、無線端末10の帰属処理部102と帰属対象装置の制御部203は、ユーザ認証処理を省略して、帰属対象装置の格納部202に格納されている第3キー識別子に対応する暗号生成キー及び無線端末10の格納部103に格納されている第3キー識別子と一致するキー識別子に対応する暗号生成キーを用いて暗号鍵生成処理を実行することで、暗号鍵(PTK)を生成して交換する(ステップS21;暗号鍵生成ステップ)。
上述のように判定要求を受信した帰属対象装置から第1キー識別子及び第2キー識別子のいずれも第3キー識別子と一致しないとの通知を受信した場合には(ステップS19でNoの場合)、帰属対象装置との間で第3キー識別子に対応する暗号生成キー(第3暗号生成キー)を用いて、無線端末10は帰属対象装置との間で暗号鍵を生成して交換する。その後、無線端末10の更新処理部108は、第3キー識別子(帰属対象装置のキー識別子)に対応する暗号生成キー(第3暗号生成キー)に対して、帰属対象装置の装置識別子と、第3キー識別子とを対応付けるように暗号鍵テーブルを更新する(ステップS22;暗号鍵テーブル更新ステップ)。すなわち、図5の例において帰属対象装置が無線中継装置24である場合には、新たに無線中継装置24に対応する装置識別子、キー識別子、暗号生成キー及び帰属履歴情報が追加される。
なお、判定要求を受信した帰属対象装置から第1キー識別子又は第2キー識別子のいずれかが第3キー識別子と一致するとの通知を受信した場合に、無線端末10の更新処理部108は、暗号鍵テーブルを更新する処理を実行しない(ステップS22;暗号鍵テーブル更新ステップ)。
ステップS22の暗号鍵テーブル更新処理の後、無線端末10の帰属処理部102は、DHCP処理及びSIP登録処理のプロトコル制御処理を実行し(S23)、帰属対象装置への帰属処理を終了する。
このような処理により、無線端末10が帰属先を無線中継装置21から帰属対象装置(無線中継装置22)に変更する。
以上説明した本実施形態に係る無線端末及び無線通信方法の作用及び効果について説明する。
本実施形態に係る無線端末10によれば、格納部103の暗号鍵テーブルを参照することで、暗号生成キーを識別するためのキー識別子として、所定条件を満たす装置識別子に対応する第1暗号生成キーを識別するための識別子と、帰属対象装置(例えば、無線中継装置22)の装置識別子に対応する第2暗号生成キーを識別するための識別子という2つの識別子を帰属対象装置に送信することができる。そして、2つの識別子のいずれかが帰属対象装置に格納されているキー識別子と一致する場合には、帰属対象装置の格納部202に格納されているキー識別子に対応する暗号生成キー及び無線端末10の格納部103に格納されている当該キー識別子と一致するキー識別子に対応する暗号生成キーを用いて暗号鍵を生成する。したがって、対応するキー識別子等のデータが暗号鍵テーブルに格納されている場合、帰属対象装置で採用されている暗号鍵に関するデータ保持方式(PMKSAキャッシュ方式)に関わらず、ユーザ認証処理の一部(具体的には、IEEE801.1X認証処理)を省略してローミングを行うことができる。これにより、無線中継装置のデータ保持方式をユーザが意識することなく、ローミングの高速化を実現することができる。
また、無線端末10は、暗号鍵テーブルにおいて、暗号生成キーに対する装置識別子と、キー識別子との対応付けを更新する更新処理部108を備えており、帰属処理部102は、判定要求を受信した帰属対象装置から第1キー識別子及び第2キー識別子のいずれも第3キー識別子と一致しないとの通知を受信した場合に、帰属対象装置との間で第3キー識別子に対応する暗号生成キーを用いて、帰属対象装置との間で暗号鍵を生成して交換し、更新処理部108は、第3キー識別子に対応する暗号生成キーに対して、帰属対象装置の装置識別子と、第3キー識別子とを対応付けるように暗号鍵テーブルを更新するように構成されている。このように構成することで、第1キー識別子及び第2キー識別子のいずれも第3キー識別子と一致しない場合であっても、2回目以降に同じ帰属対象装置に帰属する時には更新された暗号鍵テーブルを参照することで、キー識別子が一致する可能性が向上するため、さらにローミングの高速化を図ることができる。
また、無線端末10において、格納部103に格納されている暗号鍵テーブルにおいて、暗号生成キーに対して、現在又は以前における無線中継装置との帰属状態を示す帰属履歴情報が更に対応付けられており、検索処理部104は、直前に帰属していたことを所定条件として、当該所定条件を満たす無線中継装置の装置識別子を検索するように構成してもよい。このように構成することで、特にオポーチュニスティック・キャッシュ方式に対応している無線中継装置間で無線端末が帰属対象を変更する場合に、認証処理の一部を省略してローミングを高速化することができる。
また、本実施形態に係る無線通信方法も、上述した本実施形態に係る無線端末と対応する技術的特徴を有し、同様の作用及び効果を奏する。
なお、本発明は、上述した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変更が可能であることは勿論である。
例えば、無線端末10で実行される検索・出力処理において、検索処理部104(第1検索手段)は、暗号鍵テーブルにおいて暗号生成キーが設定されていることを所定条件として、当該所定条件を満たす無線中継装置の装置識別子を検索し、出力処理部105(第1出力手段)は、検索処理部104によって発見された複数の装置識別子それぞれについて、第1キー識別子を出力するように構成してもよい。なお、この変形例では、複数種類の第1キー識別子(図5の例の場合、無線中継装置21,22,23のキー識別子)が出力されることとなる。
図14のフローチャートを用いて、この検索・出力処理の変形例を詳説する。
まず、無線端末10は、キー識別子の検索・出力処理を開始すると、無線端末10の格納部103に格納されている暗号鍵テーブルを参照することで、検索処理部104は暗号生成キーが設定されているすべての無線中継装置の装置識別子を検索し(ステップS201)、暗号生成キー設定済であって、キー識別子が未出力の装置識別子の有無を判定する(ステップS202)。この判定は、暗号生成キーが設定されている無線中継装置の数と後述するキー識別子の出力数とが一致するか否かで実行することができる。
キー識別子が未出力の装置識別子がない場合(ステップS202でNoの場合)、格納部103に格納されているすべての暗号生成キーについてキー識別子の設定準備が完了したことを示す検索結果を出力ことで(ステップS206)、検索・出力処理を終了してメイン処理に戻る。
一方、キー識別子が未出力の装置識別子がある場合(ステップS202でYesの場合)、未出力の装置識別子に対応する暗号生成キーよりキー識別子を出力する(ステップS203)と共に、キー識別子の出力数のカウントを1つ加える。次に、出力したキー識別子がすでに出力されている他のキー識別子と同一であるか否かを判定する(ステップS204)。出力したキー識別子がすでに出力されている他のキー識別子と同一である場合には(ステップS204でYesの場合)、ステップS201に戻り、処理を続行する。一方、出力したキー識別子がすでに出力されている他のキー識別子と同一ではない場合には(ステップS204でNoの場合)、出力処理部105が出力したキー識別子を格納した後(ステップS205)、ステップS201に戻って処理を続行する。
このように構成することで、ローカル・キャッシュ方式又はオポーチュニスティック・キャッシュ方式に関わりなく、暗号生成キーに対して装置識別子が対応付けられている無線中継装置を帰属対象装置にする場合に、認証処理の一部を省略してローミングを高速化することができる。
本発明の実施形態に係る無線端末及び無線通信方法が適用される通信ネットワークシステムの構成例(オポーチュニスティック・キャッシュ方式の例)を示す概念図である。 本発明の実施形態に係る無線端末及び無線通信方法が適用される通信ネットワークシステムの構成例(ローカル・キャッシュ方式の例)を示す概念図である。 通信ネットワークシステムを構成する無線端末の機能ブロック図である。 通信ネットワークシステムを構成する無線端末についてハードウェアの構成例を示す図である。 暗号鍵テーブルの例を示す図である。 通信ネットワークシステムを構成する無線中継装置の機能ブロック図である。 通信ネットワークシステムを構成する無線中継装置についてハードウェアの構成例を示す図である。 通信ネットワークシステムを構成する中継制御装置の機能ブロック図である。 通信ネットワークシステムを構成する中継制御装置についてハードウェアの構成例を示す図である。 通信ネットワークシステムを構成する認証サーバの機能ブロック図である。 通信ネットワークシステムを構成する認証サーバについてハードウェアの構成例を示す図である。 無線端末と帰属対象装置との間におけるメイン処理を示すフローチャートである。 無線端末におけるキー識別子の検索・出力処理を示すフローチャートである。 無線端末におけるキー識別子の検索・出力処理の変形例を示すフローチャートである。
符号の説明
1,1A…通信ネットワークシステム、10…無線端末、21,22,23,24…無線中継装置、30…中継制御装置、40…認証サーバ、101…無線受信部、102…帰属処理部、103…格納部、104…検索処理部、105…出力処理部、106…判定要求生成部、107…無線送信部、108…更新処理部、201…無線送信部、202…格納部、203…制御部、204…無線受信部、205…外部インターフェース、301…送信部、302…格納部、303…制御部、304…受信部、401…送信部、402…格納部、403…制御部、404…受信部、N…通信ネットワーク。

Claims (5)

  1. 帰属先の無線中継装置と暗号通信を行うことができる無線端末であって、
    暗号鍵を生成するための基となる暗号生成キーに対して、無線中継装置を識別するための識別子である装置識別子と、前記暗号生成キーを識別するためのキー識別子とを対応付けることができる暗号鍵テーブルを格納する格納手段と、
    前記格納手段に格納されている前記暗号鍵テーブルを参照することで、所定条件を満たす無線中継装置の装置識別子を検索する第1検索手段と、
    前記第1検索手段によって発見された装置識別子に対応する第1暗号生成キーを識別するための識別子である第1キー識別子を出力する第1出力手段と、
    前記格納手段に格納されている前記暗号鍵テーブルを参照することで、これから帰属する無線中継装置である帰属対象装置の装置識別子を検索する第2検索手段と、
    前記第2検索手段によって発見された装置識別子に対応する第2暗号生成キーを識別するための識別子である第2キー識別子を出力する第2出力手段と、
    前記帰属対象装置に格納されている第3暗号生成キーを識別するための識別子である第3キー識別子が前記第1キー識別子又は前記第2キー識別子と一致するか否かについて判定を要求するために、前記第1出力手段から出力された前記第1キー識別子と前記第2出力手段から出力された前記第2キー識別子とを含む判定要求を前記帰属対象装置に送信する判定要求手段と、
    前記判定要求を受信した前記帰属対象装置から前記第1キー識別子又は前記第2キー識別子が前記第3キー識別子と一致するとの通知を受信した場合に、前記第3キー識別子と一致する識別子であって、前記判定要求手段が前記判定要求を送信する前に前記格納手段に格納されていた第1キー識別子又は第2キー識別子である該当キー識別子に対応する暗号生成キーを用いて、前記帰属対象装置との間で暗号鍵を生成して交換する暗号鍵生成手段と
    を備えることを特徴する無線端末。
  2. 前記格納手段に格納されている暗号鍵テーブルにおいて、前記暗号生成キーに対して、現在又は以前における無線中継装置との帰属状態を示す帰属履歴情報が更に対応付けられており、
    前記第1検索手段は、直前に帰属していたことを前記所定条件として、当該所定条件を満たす無線中継装置の装置識別子を検索することを特徴とする請求項1に記載の無線端末。
  3. 前記暗号鍵テーブルにおいて、前記暗号生成キーに対する前記装置識別子と、前記キー識別子との対応付けを更新するテーブル更新手段を更に備え、
    前記暗号鍵生成手段は、前記判定要求を受信した前記帰属対象装置から前記第1キー識別子及び前記第2キー識別子のいずれも前記第3キー識別子と一致しないとの通知を受信した場合に、前記帰属対象装置との間で前記第3キー識別子に対応する暗号生成キーを用いて、前記帰属対象装置との間で暗号鍵を生成して交換し、
    前記テーブル更新手段は、前記第3キー識別子に対応する暗号生成キーに対して、前記帰属対象装置の装置識別子と、前記第3キー識別子とを対応付けるように前記暗号鍵テーブルを更新することを特徴とする請求項1又は2に記載の無線端末。
  4. 前記第1検索手段は、前記暗号鍵テーブルにおいて前記暗号生成キーが設定されていることを前記所定条件として、当該所定条件を満たす無線中継装置の装置識別子を検索し、
    前記第1出力手段は、前記第1検索手段によって発見された複数の装置識別子それぞれについて、前記第1キー識別子を出力することを特徴とする請求項1から請求項3のいずれかに記載の無線端末。
  5. 無線端末が帰属先の無線中継装置との間で暗号通信を行うための無線通信方法であって、
    暗号鍵を生成するための基となる暗号生成キーに対して、無線中継装置を識別するための識別子である装置識別子と、前記暗号生成キーを識別するためのキー識別子とを対応付けることができる暗号鍵テーブルを格納する格納手段に格納されている前記暗号鍵テーブルを参照することで、所定条件を満たす無線中継装置の装置識別子を検索する第1検索ステップと、
    前記第1検索ステップで発見された装置識別子に対応する第1暗号生成キーを識別するための識別子である第1キー識別子を出力する第1出力ステップと、
    前記格納手段に格納されている前記暗号鍵テーブルを参照することで、これから帰属する無線中継装置である帰属対象装置の装置識別子を検索する第2検索ステップと、
    前記第2検索ステップで発見された装置識別子に対応する第2暗号生成キーを識別するための識別子である第2キー識別子を出力する第2出力ステップと、
    前記帰属対象装置に格納されている第3暗号生成キーを識別するための識別子である第3キー識別子が前記第1キー識別子又は前記第2キー識別子と一致するか否かについて判定を要求するために、前記第1出力手段から出力された前記第1キー識別子と前記第2出力手段から出力された前記第2キー識別子とを含む判定要求を前記帰属対象装置に送信する判定要求ステップと、
    前記判定要求を受信した前記帰属対象装置から前記第1キー識別子又は前記第2キー識別子が前記第3キー識別子と一致するとの通知を受信した場合に、前記第3キー識別子と一致する識別子であって、前記判定要求ステップで前記判定要求を送信する前に前記格納手段に格納されていた第1キー識別子又は第2キー識別子である該当キー識別子に対応する暗号生成キーを用いて、前記帰属対象装置との間で暗号鍵を生成して交換する暗号鍵生成ステップと
    を備えることを特徴する無線通信方法。
JP2008026990A 2008-02-06 2008-02-06 無線端末及び無線通信方法 Expired - Fee Related JP4586075B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008026990A JP4586075B2 (ja) 2008-02-06 2008-02-06 無線端末及び無線通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008026990A JP4586075B2 (ja) 2008-02-06 2008-02-06 無線端末及び無線通信方法

Publications (2)

Publication Number Publication Date
JP2009188765A true JP2009188765A (ja) 2009-08-20
JP4586075B2 JP4586075B2 (ja) 2010-11-24

Family

ID=41071565

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008026990A Expired - Fee Related JP4586075B2 (ja) 2008-02-06 2008-02-06 無線端末及び無線通信方法

Country Status (1)

Country Link
JP (1) JP4586075B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103155614A (zh) * 2010-10-22 2013-06-12 高通股份有限公司 漫游网络中接入终端身份的认证
JP2016019021A (ja) * 2014-07-04 2016-02-01 株式会社バッファロー アクセスポイント、情報配信方法、及びアクセスポイント制御用プログラム
JP2016524836A (ja) * 2013-05-01 2016-08-18 クアルコム,インコーポレイテッド ゲートウェイ発見レイヤ2移動性のための機構
US9578498B2 (en) 2010-03-16 2017-02-21 Qualcomm Incorporated Facilitating authentication of access terminal identity
US9668128B2 (en) 2011-03-09 2017-05-30 Qualcomm Incorporated Method for authentication of a remote station using a secure element

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0698116A (ja) * 1992-09-11 1994-04-08 Tokyo Electric Co Ltd 画像読取り装置
JP2006041594A (ja) * 2004-07-22 2006-02-09 Nakayo Telecommun Inc 移動通信システムおよび移動端末の認証方法
JP2006319971A (ja) * 1999-01-08 2006-11-24 Telefon Ab L M Ericsson ハンドオーバーの性能を改良するセキュリティアソシエーションの再利用

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0698116A (ja) * 1992-09-11 1994-04-08 Tokyo Electric Co Ltd 画像読取り装置
JP2006319971A (ja) * 1999-01-08 2006-11-24 Telefon Ab L M Ericsson ハンドオーバーの性能を改良するセキュリティアソシエーションの再利用
JP2006041594A (ja) * 2004-07-22 2006-02-09 Nakayo Telecommun Inc 移動通信システムおよび移動端末の認証方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9578498B2 (en) 2010-03-16 2017-02-21 Qualcomm Incorporated Facilitating authentication of access terminal identity
CN103155614A (zh) * 2010-10-22 2013-06-12 高通股份有限公司 漫游网络中接入终端身份的认证
US9112905B2 (en) 2010-10-22 2015-08-18 Qualcomm Incorporated Authentication of access terminal identities in roaming networks
CN103155614B (zh) * 2010-10-22 2019-01-18 高通股份有限公司 漫游网络中接入终端身份的认证
US9668128B2 (en) 2011-03-09 2017-05-30 Qualcomm Incorporated Method for authentication of a remote station using a secure element
JP2016524836A (ja) * 2013-05-01 2016-08-18 クアルコム,インコーポレイテッド ゲートウェイ発見レイヤ2移動性のための機構
JP2016019021A (ja) * 2014-07-04 2016-02-01 株式会社バッファロー アクセスポイント、情報配信方法、及びアクセスポイント制御用プログラム

Also Published As

Publication number Publication date
JP4586075B2 (ja) 2010-11-24

Similar Documents

Publication Publication Date Title
US12010519B2 (en) Information sharing method, terminal device, storage medium, and computer program product
JP6262308B2 (ja) リンク設定および認証を実行するシステムおよび方法
US10798082B2 (en) Network authentication triggering method and related device
US8898474B2 (en) Support of multiple pre-shared keys in access point
JP4103611B2 (ja) 無線アドホック通信システム、端末、その端末における認証方法、暗号化方法及び端末管理方法並びにそれらの方法を端末に実行させるためのプログラム
JP2006332863A (ja) 情報携帯端末装置、及び無線通信システム
US20230344626A1 (en) Network connection management method and apparatus, readable medium, program product, and electronic device
US11825302B2 (en) Non-transitory computer-readable medium storing computer-readable instructions for terminal device and communication device
WO2016003311A1 (en) Device bootstrap to wireless network
US8204478B2 (en) System for setting security in wireless network system using cluster function and method of controlling the same
JP4586075B2 (ja) 無線端末及び無線通信方法
US20200413249A1 (en) Providing multiple server security certificates on sims of electronic devices
JP2020068456A (ja) 通信装置と通信装置のためのコンピュータプログラム
JP2017028457A (ja) 通信装置、通信方法及びプログラム
JP2007282129A (ja) 無線情報伝送システム、無線通信端末及びアクセスポイント
US20230156467A1 (en) Terminal device and non-transitory computer-readable recording medium storing computer readable instructions for terminal device
WO2022237561A1 (zh) 一种通信方法及装置
JP6145062B2 (ja) 中継装置、送信制御方法及びコンピュータプログラム
JP2004282321A (ja) ネットワークシステム
JP2006094004A (ja) 無線通信装置
WO2021187020A1 (ja) 通信装置、制御方法、およびプログラム
US10506130B2 (en) Communication device and non-transitory computer-readable recording medium storing computer-readable instructions for communication device
JP2022164458A (ja) 通信装置及び通信装置のためのコンピュータプログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100521

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100525

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100723

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100810

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100906

R150 Certificate of patent or registration of utility model

Ref document number: 4586075

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130910

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees