JP2009505610A - ノード・ツー・ノード認証のための無線ネットワークにおけるeapol(extensibleauthenticationprotocoloverlocalareanetwork)プロキシ - Google Patents
ノード・ツー・ノード認証のための無線ネットワークにおけるeapol(extensibleauthenticationprotocoloverlocalareanetwork)プロキシ Download PDFInfo
- Publication number
- JP2009505610A JP2009505610A JP2008527917A JP2008527917A JP2009505610A JP 2009505610 A JP2009505610 A JP 2009505610A JP 2008527917 A JP2008527917 A JP 2008527917A JP 2008527917 A JP2008527917 A JP 2008527917A JP 2009505610 A JP2009505610 A JP 2009505610A
- Authority
- JP
- Japan
- Prior art keywords
- wireless
- node
- network
- wireless node
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 34
- 238000004891 communication Methods 0.000 claims abstract description 33
- 108091007065 BIRCs Proteins 0.000 description 9
- 238000010586 diagram Methods 0.000 description 9
- 230000008901 benefit Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 241000713321 Intracisternal A-particles Species 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000009448 modified atmosphere packaging Methods 0.000 description 1
- 235000019837 monoammonium phosphate Nutrition 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
無線アドホック・ピア・ツー・ピア・ネットワーク(100)のサーバなどに対して、ネットワーク(100)へのアクセスのためのノード(102)を認証するための認証プロトコルを提供するシステムおよび方法。 移動体無線配信システム(wireless distribution system)(WDS)などの無線通信ネットワーク(100)は、EAPOL(extensible authentication protocol over LAN)プロキシを使用して、移動体または固定アクセスポイント(106)を介したネットワークへのアクセスのためのノードを認証する。
Description
本発明は、無線アドホック・ピア・ツー・ピア・ネットワークのサーバなどの、ネットワークへのアクセスのためのノードを認証するための認証プロトコルを提供するシステムおよび方法に関する。より詳細には、本発明は、EAPOL(Extensible Authentication Protocol Over Local Area Network)プロキシを使用して、ネットワークへのアクセスのためのノードを認証する、移動体無線配信システム(wireless distribution system)(WDS)などの無線通信ネットワークに関する。
移動無線電話ネットワーク(mobile wireless telephone network)などの無線通信ネットワークは、過去10年にわたって益々広く用いられるようになった。これらの無線通信ネットワークは、一般に、「セルラネットワーク(cellular network)」と呼ばれる。それは、ネットワークインフラストラクチャが、「セル(cell)」と呼ばれる複数の領域にサービスエリアを分割するように構成されるからである。地上セルラネットワークは、サービスエリア全体が、指定されたロケーションに地理的に分配された、複数の相互接続された基地局またはベースノードを含む。各ベースノードは、到達範囲エリア内に位置する無線電話などの移動体ユーザノードへ/から、無線周波数(RF)通信信号などの電磁信号を送信/受信することができる1つ以上の送受信機を備える。通信信号は、たとえば、所望の変調技法に従って変調されてデータパケットとして送信された音声データを含む。当業者によって理解されるように、ネットワークノードは、第1ノードの信号送受信機が、その到達範囲エリア内のいくつかの他のノードと同時に通信することが可能である、時分割多重アクセス(TDMA)フォーマット、符号分割多重アクセス(CDMA)フォーマット、または、周波数分割多重アクセス(FDMA)フォーマットなどの、多重フォーマットでデータパケット通信を送受信する。
最近になって、「アドホック」ネットワークとして知られるタイプの移動体通信ネットワークが開発された。このタイプのネットワークでは、各移動体ノードは、他の移動体ノードのための基地局またはルータとして作動することができ、そのため、基地局という固定インフラストラクチャが必要ない。より高性能なアドホックネットワークも開発されつつあり、移動体ノードが、従来のアドホックネットワークの場合と同様に互いに通信することを可能にするのに加えて、さらに、移動体ノードが、固定ネットワークにアクセスし、したがって、公衆交換電話網(PSTN)上の移動体ノード、および、インターネットなどの他のネットワーク上の移動体ノードなどの他の移動体ノードと通信することを可能にする。これらの進歩したタイプのアドホックネットワークの詳細は、2001年6月29日に出願された「AdHoc Peer-to-Peer Mobile Radio Access System Interfaced to the PSTN and Cellular Networks」という名称の米国特許出願第09/897,790号、2001年3月22日に出願された「Time Division Protocol for an Ad-Hoc, Peer-to-Peer Radio Network Having Coordinating Channel Access to Shared Parallel Data Channels with Separate Reservation Ch annel」という名称の米国特許出願第09/815,157号(現在、米国特許第6,817,165号)、および、2001年3月22日に出願された「Prioritized-Routing for an Ad-Hoc, Peer-to-Peer, Radio Access System」という名称の米国特許出願第09/815,164号(現在、米国特許第6,873,839号)に記載され、それぞれの特許の内容全体が、参照により本明細書に組み込まれる。
米国特許出願第09/897,790号
米国特許出願第09/815,157号(現在、米国特許第6,817,165号)
米国特許出願第09/815,164号(現在、米国特許第6,873,839号)
無線アドホック移動体ネットワークの特質から理解することができるように、無線ノードまたは無線機が、ネットワークにアクセスすることを許可されるかどうかを、ネットワークが認識できることが必要である。
したがって、無線アドホックネットワークへのアクセスについて無線機またはノードを認証するプロセスの必要性が存在する。
添付図面では、同じ参照数字が、別個の図を通して同じ要素または機能的に類似する要素を指し、また、以下の詳細な説明と一緒に、本明細書内に組み込まれ、かつ、本明細書の一部を形成する、添付図面は、種々の実施形態をさらに示し、また、全て本発明による種々の原理および利点を全て説明するのに役立つ。
図中の要素は、簡単かつ明確にするために、必ずしも一定比例尺に従って描かれていない。たとえば、図中の要素の一部の寸法は、本発明の実施形態の理解を高めるのに役立つために、他の要素に対して誇張されている。
本発明による実施形態を詳細に述べる前に、実施形態が、ノード・ツー・ノード認証のための無線ネットワークにおけるEAPOL(Extensible Authentication Protocol Over LAN)プロキシに関連する方法ステップおよび装置コンポーネントの組合せに主に存在することを確認する。したがって、装置コンポーネントおよび方法ステップは、適切である場合、図面に従来の記号で示されており、図面は、本明細書の説明の利益を受ける当業者に容易に明らかになると思われる詳細に関して、開示を曖昧にしないように、本発明の実施形態を理解するのに適切な特定の詳細だけを示す。
本明細書では、第1および第2、上部および底部などのような関連のある用語は、1つのエンティティまたはアクションを別のエンティティまたはアクションから、こうしたエンティティまたはアクション間で必ずしも何らの実際の関係または順序を必要とすることなく、または、意味することなく、区別するだけのために使用されている。用語「備える(comprises)」、「備えている(comprising)」、または、任意の他のその変形は、非排他的な包含をカバーすることを意図され、それにより、いろいろな要素を備えるプロセス、方法、製品、または装置は、これらの要素を含むだけでなく、明示的に挙げられていないか、あるいは、こうしたプロセス、方法、製品、または装置に固有の他の要素を含んでもよい。「を備える(comprises…a)」により続けられる要素は、制約が多くない状態で、その要素を備えるプロセス、方法、製品、または装置において付加的な同じ要素の存在を排除しない。
本明細書で述べる本発明の実施形態は、1つ以上の従来のプロセッサ、および、本明細書で述べるノード・ツー・ノード認証のための無線ネットワークにおけるEAPOLプロキシの機能の一部、そのほとんど、または、その全てを、いくつかの非プロセッサ回路と共に実施するように、1つ以上のプロセッサを制御する独特の内蔵プログラム命令からなってもよい。非プロセッサ回路は、限定はしないが、無線受信機、無線送信機、信号ドライバ、クロック回路、電力源回路、およびユーザ入力デバイスを含んでもよい。したがって、これらの機能は、ノード・ツー・ノード認証のための無線ネットワークにおけるEAPOLプロキシを達成するためのオペレーションを実施する方法のステップとして解釈されてもよい。あるいは、一部または全ての機能は、内蔵プログラム命令を持たない状態機械によって、あるいは、各機能または機能のうちのある機能の一部の組合せが、カスタムロジックとして実施される1つ以上の特定用途向け集積回路(ASIC)において実施されることができる。そのため、これらの機能についての方法および手段が、本明細書で述べられている。さらに、たとえば、利用可能時間、現在の技術、および経済的検討によって動機付けされた、おそらくはかなりの努力および多くの設計選択があるにしても、本明細書に開示される概念および原理によって導かれると、当業者は、こうしたソフトウェア命令とプログラムとICを最小の実験によって容易に生成することができることが予想される。
図1は、本発明の実施形態を使用する、アドホックパケット交換マルチホッピング無線通信ネットワーク100の例を示すブロック図である。特に、ネットワーク100は、複数の移動体無線ユーザ端末102−1〜102−n(一般に、ノード102または移動体ノード102と呼ぶ)を含み、また、そうすることを必要とするわけではないが、固定ネットワーク104を含むことができ、固定ネットワーク104は、固定ネットワーク104へのアクセスをノード102に提供するための、複数のアクセスポイント106−1、106−2、…、106−n(一般に、ノード106またはアクセスポイント106と呼ぶ)を有する。固定ネットワーク104は、たとえば、コアローカルエリアネットワーク(LAN)、ならびに、他のアドホックネットワーク、公衆交換電話網(PSTN)、およびインターネットなどの他のネットワークへのアクセスをネットワークノードに提供するための複数のサーバおよびゲートウェイルータを含むことができる。ネットワーク100は、さらに、他のノード102、106、または107間でデータパケットを経路指定するための、複数の固定ルータ107−1〜107−n(一般に、ノード107または固定ルータ107と呼ぶ)を含むことができる。説明のために、先に説明したノードは、ひとまとめに、「ノード102、106、および107」と呼ばれることができ、または、単に「ノード」と呼ばれることができることが留意される。
当業者が理解することができるように、ノード102、106、および107は、互いに直接に、または、先に参照した、米国特許出願第09/897,790号ならびに米国特許第6,807,165号および第6,873,839号に記載されるように、パケットがノード間で送出されるために1つ以上のルータとして動作する1つ以上の他のノード102、106、および107を介して通信することができる。
図2に示すように、各ノード102、106、および107は、アンテナ110に結合し、コントローラ112の制御下で、ノード102、106、または107へ/から、パケット化信号などの信号を送信/受信することができる送受信機またはモデム108を含む。パケット化信号は、たとえば、音声、データ、またはマルチメディア情報ならびにノード更新情報を含むパケット化制御信号を含むことができる。
各ノード102、106、および107は、さらに、各ノード自体およびネットワーク100内の他のノードに関連する、とりわけ経路指定情報を記憶することができるランダムアクセスメモリ(RAM)などのメモリ114を含む。図2にさらに示すように、あるノード、特に、移動体ノード102は、ノートブックコンピュータ端末、移動体電話ユニット、移動体データユニット、または任意の他の適したデバイスなどの任意の数のデバイスからなってもよいホスト116を含むことができる。各ノード102、106、および107はまた、その目的を当業者が容易に理解することができる、インターネットプロトコル(IP)およびアドレス解決プロトコル(ARP)を実施するための、適切なハードウェアおよびソフトウェアを含む。伝送制御プロトコル(TCP)およびユーザデータグラムプロトコル(UDP)を実施するための適切なハードウェアおよびソフトウェアが含まれてもよい。
これから説明されるように、本発明は、無線アドホックピア・ツー・ピアネットワークのサーバなどのネットワークへのアクセスについてノードを認証する認証プロトコルを提供するシステムおよび方法を提供する。システムおよび方法は、EAPOL(extensible authentication protocol over LAN)プロキシを使用して、移動体または固定アクセスポイント(106)を介してネットワークへのアクセスについてノードを認証する移動体無線配信システム(wireless distribution system)(WDS)などの無線通信ネットワークを可能にする。
特に、本発明は、アドホックピア・ツー・ピア無線通信ネットワークなどの無線通信ネットワークへのアクセスについてノードを認証するシステムおよび方法を提供し、無線通信ネットワークは、有線ネットワークと、有線ネットワークに配線され、かつ、有線ネットワークと無線ノードとの間の通信を使用可能にする有線アクセスポイントを含む。システムおよび方法は、ネットワーク内の無線ノードを認証するようになっている認証機器として有線アクセスポイントを確立するオペレーションと、無線ノードが、ネットワークにアクセスしようと試みるとき、認証情報を認証機器有線アクセスポイントに送出するように無線ノードを制御するオペレーションと、認証機器有線アクセスポイントが認証情報を受信したときに、無線ノードによるネットワークへのアクセスを許可する認証情報が有効であるかどうかを判定するように、認証機器有線アクセスポイントを制御するオペレーションとを使用する。無線ノードは、移動体無線ノードであることができる、あるいは、それ自体固定または移動体であることができる無線アクセスポイントであることができる。
当業者が理解することができるように、IEEE802.1x仕様は、802ベースLANについての認証フレームワークを記述する。これらの認証フレームワークの詳細は、たとえば、IEEE802.1X仕様、2001年(EAPOL&802.1X)およびRFC2284:PPP拡張認証プロトコル(Extensible Authentication Protocol)(EAP)、1998年3月に見出すことができ、これらの文書の両方の内容は、参照により本明細書に組み込まれる。以下でより詳細に述べるように、無線LANにおいて使用されるとき、無線アクセスポイント(AP)は、バックエンドリモート認証ダイヤルインユーザーサービス(Remote Authentication Dial-In User Service)(RADIUS)認証サーバを用いて無線ユーザまたは無線局を認証することができる。ユーザidおよびパスワードなどのユーザの資格証明は、前もって、RADIUS認証サーバに記憶され、何らかの他の通信チャネルを介してシステム管理者により、または、ユーザの自己登録により前もって確立される。たとえば、ユーザが、初めて起動する(activate)とき、ユーザは、彼または彼女のユニットを起動するために、セキュアードウェブサイト(secured web site)または電話回線などの異なる媒体を介して一連の質問に回答するようにプロンプト表示によって指示されることができる。同様に、各ユニットは、ネットワークが、ネットワークのセキュリティポリシに基づいて認識することができる通し番号または他の識別子を有してもよい。非常に基本的なレベルにおいて、ユーザによってタイプインされるユーザidおよびパスワードが、RADIUSサーバにおいて、事前構成された(pre-configure)ユーザidおよびパスワードと同じである限り、ネットワークは、そのユーザのノードへのアクセスを可能にするであろう。
無線ユーザが、その後、ネットワーク、特に、有線ネットワーク資源にアクセスしたいと思うとき、ユーザは、無線アクセスポイントに関してメッセージを交換することになり、無線アクセスポイントは、次に、無線ユーザとRADIUS認証サーバとの間でメッセージを中継することになる。ユーザと無線アクセスポイントとの間の交換は、両者が、互いのブロードキャスト範囲内にある場合、直接であることができ、または、図1に関して先に説明した他の中間ノードを介することができる。RADIUS認証サーバは、アクセス要求が、許可されるか、拒否されるか決定を行い、その決定を無線アクセスポイントへ渡すことになる。メッセージ交換は、無線ユーザと認証サーバとの間で使用される認証プロトコルに依存することになる。EAP(Extensible Authentication Protocol)を対象として、複数の認証プロトコルが利用されることができる。
3つのコンポーネントが、802.1xフレームワークにおいて識別される。3つのコンポーネントとは、図3に示す、サプリカント、認証機器、および認証サーバである。先に説明したように、ネットワーク100にアクセスしたいと思う、図1に示すノード102などのユーザデバイスは、サプリカント120の役割を担い、ネットワークアクセスポイント(IAP)106は、認証機器122の役割を担うことになる。コアLAN内など、集中的でかつセキュアな環境内に一般に位置するRADIUS認証サーバ(AS)124は、認証機器に認証サービスを提供する。無線LAN(WLAN)構成において、認証メッセージトランスポートEAP126は、2つのセクションに分割される。2つのセクションとは、図4の図に示すように、トランスポート1)802.11リンク(レイヤ2リンク)130を通じるEAPOLメッセージ128、および、トランスポート2)有線側のUDP(レイヤ3リンク)134上のEAPイネーブルドRADIUSメッセージ(EAP enabled RADIUS message)132である。認証機器122は、サプリカント120からのEAPOLメッセージ128をRADIUSメッセージ132に変換し、RADIUSメッセージ132を認証サーバ124に送出する、また、その逆である。こうするために、共有秘密情報(たとえば、秘密識別子)が、認証機器122と認証サーバ124の両方において事前構成される。先に説明したユーザの「パスワード」と異なる、この「秘密識別子(secret identifier)」は、認証機器122と認証サーバ124との間で交換されるメッセージをセキュアにするのに使用される。
固定配置された認証機器122の場合、このタスクは、達成するのが比較的容易である。ユーザについて、パスワードが、ユーザidに関連付けられる。認証機器122について、秘密識別子が、認証機器122のIPアドレスに関連付けられる。時として、移動体AP(認証機器)は、ネットワークに結合するときに、そのIPアドレスを動的に受信するであろう。したがって、移動体認証機器用のIPアドレスと関連する秘密識別子の両方を、RADIUSサーバ内で静的に構成することは、実用的でない場合がある。しかし、固定IAPの場合、IPアドレスが事前割り当てされることができ、したがって、IPアドレスと秘密識別子の対は、RADIUSサーバにおいて事前構成されることができる。
IAP106のいずれもが、たとえば、「Movable Access Points and Repeaters for Minimizing Coverage and Capacity Constraints in a Wireless Communications Network and a Method for Using the Same」という名称の、Masood GarahiおよびPeter J. Stanforthの米国特許出願第09/929,030号(その内容全体が、参照により本明細書に組み込まれる)に記載される移動体IAPであることができることも留意される。これらの移動体IAPは、マイクロ波などの任意の適したバックホール技術によって、他の移動体または固定IAPと通信する。
移動体無線配信システム(wireless distribution system)(WDS)などの移動体アクセスポイントネットワークにおいて、アクセスポイントは、メッシュ化され、メッシュ移動体無線ネットワーク(meshed mobile wireless network)を形成する。当技術分野で理解されるように、無線メッシュネットワークは、無線アドホックピア・ツー・ピアネットワークと呼ばれることもでき、そのネットワークでは、デバイスまたは「ノード」は、たとえば、図1に関して上述したように、ネットワーク内の他のデバイスに達するために、互いを通してホップすることができる。移動体IAP106は、たとえ、移動体でありかつ動的であっても、依然として認証機器として機能することができるため、上述したように、認証機器と認証サーバとの間のセキュアRADIUSリンクを構成するという難問を呈する。
図5は、メッシュWDSを有するWLANについての修正された認証フレームワークの例を示す。示されるように、RADIUSサーバ136は、認証サーバ124(図3を参照されたい)であり、コアLAN104(図1を参照されたい)内など、有線ネットワーク上で中心に位置する。図1に関して先に説明した固定IAP106であるメッシュインテリジェントアクセスポイント(MIAP)は、有線リンクまたは任意の他の適したセキュアードリンクを通してRADIUSサーバ136に接続される。そのため、MIAP138は、RADIUSクライアントであり、RADIUSサーバ136およびクライアントは、静的に構成された共有秘密情報を有する。
図5にさらに示すように、局STA140は、エンドユーザデバイスであり、エンドユーザデバイスは、たとえば、図1に関して先に説明した移動体ノード102であることができ、また、移動体または固定IAP106であることができる、MIAP138か、MAP(メッシュアクセスポイント)142または144のいずれかを通して有線ネットワークにアクセスすることができる。MAP142または144は、認証機器の役割を担うことができる前に、まず、MIAP138あるいは別の認証済MAP142または144に対して認証しなければならない。MAP142または144は、MIAP138あるいは別の認証済MAP142または144に対して直接に認証することができる。
MIAP138から1ホップ離れているSTA140あるいはMAP142または144がMIAP138に対して認証するために、サプリカント、認証機器、RADIUSクライアント、およびRADIUSサーバが含まれる標準的な802.1xフレームワークが適用されることができる。STAが、MAPに対して認証したいと思うか、または、MAPが、1ホップ離れた別の認証済MAPに対して認証したいと思う場合、MAP内で静的に設定されたRADIUSクライアントが望ましくないため、新しいメカニズム、すなわち、EAPOLプロキシが使用されるであろう。図6は、本発明の実施形態による認証中に起こる、デバイス間の情報交換の例を示す図である。
たとえば図6に示すように、認証機器(この例では移動体IAP)は、MIAPまたは別の認証済MAPに対して既に認証されている。認証機器はまた、MIAPおよびMIAPへのMEA(商標)(Mesh Enabled Architecture)ルートに限定されている。ルートは、1つ以上のMAPにまたがってもよい。このモデルによれば、認証メッセージパスは、標準的な802.1xフレームワークと比較すると、もう1つのセクションを有する。新しいセクションは、セキュアードMEAルートにわたる。
限定されたMAP(認証機器)(たとえば、MAP 144)が、認証されたいと思うSTA140またはMAP142からの伝送150中にEAPOLメッセージを受信すると、限定されたMAP144は、RADIUSクライアントの代わりにEAPOLプロキシクライアントを使用して、伝送152においてMIAPへメッセージを送出する。EAPOLプロキシクライアントは、RADIUSクライアントが行うように、RADIUSパケットの代わりにMEAリンクレイヤパケット内にEAPOLメッセージを置く。MIAPは、MEAリンクレイヤパケットからのEAPOLメッセージをアンパックするEAPOLプロキシサーバを有する。プロキシサーバは、その後、RADIUSクライアントを使用して、EAPOLメッセージをRADIUSパケット上にリパックし、伝送154において、バックエンドRADIUSサーバに送出する。元のサプリカント−認証機器−認証サーバフレームワークとして、サプリカント120と認証サーバ124との間の認証メッセージは、使用される認証プロトコルに依存する。こうして、サプリカント120と限定されたMAP144との間のセキュリティアソシエーションが、通信156について確立される。
上記から理解できるように、本明細書で述べる本発明の実施形態による認証システムおよび方法は、移動体メッシュWDSへの802.1xフレームワークの拡張を可能にするなどの一定の利点を提供する。さらに、RADIUSクライアントは、認証機器について必要とされないため、認証機器は、移動体メッシュアクセスポイントについて自動構成要求を容易に満たすであろう。さらに、MAPは、2つのMIAP間で高速のハンドオフを有することができる。MAPは、通常、その近傍ノードの全てとの1ホップセキュリティアソシエーションを維持し、したがって、MAPが、同じ近傍ノードまたは異なる近傍ノードを通して新しいMIAPに切換わるときに、新しい認証プロセスは必要とされない。
上記仕様において、本発明の特定の実施形態が述べられた。しかし、添付特許請求の範囲に記載される本発明の範囲から逸脱することなく、種々の修正および変更を行うことができることを当業者は理解する。したがって、仕様および図は、制限的な意味ではなく、例示的な意味で考えられるべきであり、全てのこうした修正は、本発明の範囲内に含まれることが意図される。利益、利点、問題に対する解決策、および、任意の利益、利点、および解決策が、発生するか、または、より顕著になるようにさせる可能性がある任意の要素(複数可)は、任意のまたは全ての特許請求の範囲の、重要な、必要とされる、または必須の特徴または要素と考えられるべきでない。本発明は、本出願の係属中に行われる任意の補正を含む添付特許請求の範囲、および、発行された特許請求の範囲の全ての等価物によってだけ規定される。
Claims (20)
- 有線ネットワークと、同有線ネットワークに結合して同有線ネットワークと無線ノードとの間の通信を可能にする有線アクセスポイントと、を含む無線システム、を介して通信ネットワークへアクセスするための、無線ノードを認証する方法であって、
前記ネットワーク内の他の無線ノードを認証するようになっている認証機器として前記無線システム内の無線ノードを確立する工程と、
前記他の無線ノードのうちの1つが前記通信ネットワークにアクセスしようと試みるとき、前記ネットワーク内で認証情報を認証サーバに送出して、前記通信ネットワークへのアクセスのために他の無線ノードを認証するように、前記認証機器無線ノードを制御する工程と、
を含む方法。 - 前記認証機器無線ノードが移動体無線ノードである請求項1に記載の方法。
- 前記認証機器無線ノードが無線アクセスポイントである請求項1に記載の方法。
- 前記無線アクセスポイントが移動体である請求項3に記載の方法。
- 前記確立するステップが、
前記認証機器無線ノードが移動体無線アクセスポイントであるとき、前記認証機器無線ノードが、前記ネットワーク内で認証情報を認証サーバに送出して、前記通信ネットワークへのアクセスのために前記他の無線ノードを認証することが可能になる前に、固定無線アクセスポイントまたは既に認証された別の移動体無線アクセスポイントによって前記移動体無線アクセスポイントを認証することを含む請求項4に記載の方法。 - 前記無線システムが、アドホック・ピア・ツー・ピア・ネットワークである請求項1に記載の方法。
- 前記認証機器無線ノードが、前記有線アクセスポイントを介して前記認証情報を前記認証サーバに送出する請求項1に記載の方法。
- 前記認証機器無線ノードが、EAPOL(extensible authentication protocol over local area network)プロキシを使用して、前記認証情報を前記有線アクセスポイントに送出する請求項7に記載の方法。
- 前記確立するステップが、
認証機器無線ノードとして確立される無線ノードが固定無線ノードであるとき、認証機器無線ノードとして確立される前記無線ノードに関連するIPアドレスおよび識別子を前記認証サーバにおいて記憶することを含む請求項1に記載の方法。 - 無線システムへのアクセスのために別の無線ノードを認証するための、無線システムで使用するようになっている無線ノードであって、前記無線システムが、有線ネットワークと、同有線ネットワークに結合する有線アクセスポイントと、を含み、かつ、前記有線ネットワークと前記他の無線ノードとの間の通信を使用可能にし、無線ノードは、
コントローラを備え、同コントローラが、前記無線システムへのアクセスについて別の無線ノードを認証するようになっている認証機器無線ノードとして前記コントローラ自体を確立するプロトコルを作動させようになっており、それにより、前記他の無線ノードのうちの1つの無線ノードが、前記無線システムにアクセスしようと試みるとき、前記認証機器無線ノードが、前記有線ネットワーク内で認証情報を認証サーバに送出して、前記無線システムへのアクセスについて前記他の無線ノードを認証するようになっている、無線ノード。 - 前記認証機器無線ノードが移動体無線ノードである請求項10に記載の無線ノード。
- 前記認証機器無線ノードが無線アクセスポイントである請求項10に記載の無線ノード。
- 前記認証機器無線ノードが移動体である請求項12に記載の無線ノード。
- 前記無線システムが、アドホック・ピア・ツー・ピア・ネットワークである請求項10に記載の無線ノード。
- 前記認証機器無線ノードが、前記有線アクセスポイントを介して前記認証情報を前記認証サーバに送出する請求項10に記載の無線ノード。
- 前記プロトコルが、EAPOLプロキシを含む請求項10に記載の方法。
- 通信ネットワークであって、
有線ネットワークと、
前記有線ネットワークに配線され、かつ、前記有線ネットワークと無線ノードとの通信を使用可能にする有線アクセスポイントと、
認証機器と、
を備え、前記認証機器が、前記通信ネットワーク内の通信のために前記ネットワーク内の他の無線ノードを認証するようになっており、それにより、前記他の無線ノードのうちの1つの無線ノードが、前記通信ネットワークにアクセスしようと試みるとき、前記認証機器が、前記有線ネットワークに関連する認証サーバに認証情報を送出して、前記通信ネットワークへのアクセスについて前記他の無線ノードを認証するようになっている通信ネットワーク。 - 前記認証機器が無線ノードである請求項17に記載の通信ネットワーク。
- 前記認証機器が無線アクセスポイントである請求項17に記載の通信ネットワーク。
- 前記無線アクセスポイントが、移動体である請求項17に記載の通信ネットワーク。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/209,981 US20070047477A1 (en) | 2005-08-23 | 2005-08-23 | Extensible authentication protocol over local area network (EAPOL) proxy in a wireless network for node to node authentication |
| PCT/US2006/027152 WO2007024357A2 (en) | 2005-08-23 | 2006-07-12 | Extensible authentication protocol over local area network (eapol) proxy in a wireless network for node to node authentication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009505610A true JP2009505610A (ja) | 2009-02-05 |
Family
ID=37772086
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008527917A Pending JP2009505610A (ja) | 2005-08-23 | 2006-07-12 | ノード・ツー・ノード認証のための無線ネットワークにおけるeapol(extensibleauthenticationprotocoloverlocalareanetwork)プロキシ |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20070047477A1 (ja) |
| EP (1) | EP1917791A4 (ja) |
| JP (1) | JP2009505610A (ja) |
| KR (1) | KR101008791B1 (ja) |
| WO (1) | WO2007024357A2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9264907B2 (en) | 2007-07-10 | 2016-02-16 | Qualcomm Incorporated | Method and apparatus for interference management between networks sharing a frequency spectrum |
| JP2016515369A (ja) * | 2013-03-15 | 2016-05-26 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | 中継器展開のための認証 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10171998B2 (en) * | 2007-03-16 | 2019-01-01 | Qualcomm Incorporated | User profile, policy, and PMIP key distribution in a wireless communication network |
| JP4578539B2 (ja) * | 2008-06-17 | 2010-11-10 | 株式会社バッファロー | 無線通信システム、無線lan接続装置、無線lan中継装置 |
| KR101405914B1 (ko) * | 2008-07-23 | 2014-06-12 | 삼성전자주식회사 | 디바이스를 ap에 등록하는 방법 및 그 장치 |
| JP5172624B2 (ja) * | 2008-11-17 | 2013-03-27 | 株式会社東芝 | スイッチ装置、認証サーバ、認証システム、認証方法、及び、プログラム |
| KR101683286B1 (ko) * | 2009-11-25 | 2016-12-06 | 삼성전자주식회사 | 이동통신망을 이용한 싱크 인증 시스템 및 방법 |
| US9077701B2 (en) | 2012-01-06 | 2015-07-07 | Futurewei Technologies, Inc. | Systems and methods for authentication |
| CN102926807B (zh) * | 2012-09-17 | 2015-11-25 | 太原理工大学 | 一种矿井监控预警通信方法 |
| US9038195B2 (en) | 2013-03-15 | 2015-05-19 | Google Technology Holdings LLC | Accessing a cloud-based service using a communication device linked to another communication device via a peer-to-peer ad hoc communication link |
| US10667134B2 (en) * | 2016-11-21 | 2020-05-26 | International Business Machines Corporation | Touch-share credential management on multiple devices |
| US10613994B2 (en) * | 2017-03-29 | 2020-04-07 | Intel Corporation | Methods and apparatus to establish a connection between a supplicant and a secured network |
| CN111565389B (zh) * | 2020-06-04 | 2023-06-23 | 上海金卓科技有限公司 | 节点管理方法、装置、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001016198A (ja) * | 1999-06-28 | 2001-01-19 | Matsushita Electric Ind Co Ltd | ネットワーク装置、アクセスサーバおよび認証サーバ |
| JP2005117656A (ja) * | 2003-10-03 | 2005-04-28 | Fujitsu Ltd | 自己組織化マルチホップ無線アクセスネットワーク用の装置、方法及び媒体 |
Family Cites Families (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3725056A (en) * | 1971-02-25 | 1973-04-03 | Ampco Pitsburgh Corp | Aluminum bronze alloy having improved mechanical properties at elevated temperatures |
| FI105966B (fi) * | 1998-07-07 | 2000-10-31 | Nokia Networks Oy | Autentikointi tietoliikenneverkossa |
| US6721555B1 (en) * | 1999-02-19 | 2004-04-13 | Qualcomm Incorporated | System and method for facilitating device authentication in a wireless communications system |
| US6725056B1 (en) * | 2000-02-09 | 2004-04-20 | Samsung Electronics Co., Ltd. | System and method for secure over-the-air provisioning of a mobile station from a provisioning server via a traffic channel |
| US7200230B2 (en) * | 2000-04-06 | 2007-04-03 | Macrovision Corporation | System and method for controlling and enforcing access rights to encrypted media |
| US7062279B2 (en) * | 2000-06-22 | 2006-06-13 | Openwave Systems Inc. | Anonymous positioning of a wireless unit for data network location-based services |
| US20020031225A1 (en) * | 2000-09-08 | 2002-03-14 | Hines Larry Lee | User selection and authentication process over secure and nonsecure channels |
| US6807165B2 (en) * | 2000-11-08 | 2004-10-19 | Meshnetworks, Inc. | Time division protocol for an ad-hoc, peer-to-peer radio network having coordinating channel access to shared parallel data channels with separate reservation channel |
| US7072650B2 (en) * | 2000-11-13 | 2006-07-04 | Meshnetworks, Inc. | Ad hoc peer-to-peer mobile radio access system interfaced to the PSTN and cellular networks |
| US6873839B2 (en) * | 2000-11-13 | 2005-03-29 | Meshnetworks, Inc. | Prioritized-routing for an ad-hoc, peer-to-peer, mobile radio access system |
| DE60209826T2 (de) * | 2001-03-16 | 2006-10-05 | Nippon Telegraph And Telephone Corp. | Drahtloses Kommunikationssystem mit nutzereigenen Zugangspunkten |
| US6795701B1 (en) * | 2002-05-31 | 2004-09-21 | Transat Technologies, Inc. | Adaptable radio link for wireless communication networks |
| US20040107360A1 (en) * | 2002-12-02 | 2004-06-03 | Zone Labs, Inc. | System and Methodology for Policy Enforcement |
| WO2003010669A1 (en) * | 2001-07-24 | 2003-02-06 | Barry Porozni | Wireless access system, method, signal, and computer program product |
| US7206294B2 (en) * | 2001-08-15 | 2007-04-17 | Meshnetworks, Inc. | Movable access points and repeaters for minimizing coverage and capacity constraints in a wireless communications network and a method for using the same |
| US7099957B2 (en) * | 2001-08-23 | 2006-08-29 | The Directtv Group, Inc. | Domain name system resolution |
| US7092385B2 (en) * | 2002-03-12 | 2006-08-15 | Mci, Llc | Policy control and billing support for call transfer in a session initiation protocol (SIP) network |
| WO2003101025A2 (en) * | 2002-05-28 | 2003-12-04 | Zte San Diego, Inc. | Interworking mechanism between cdma2000 and wlan |
| JP2004032253A (ja) * | 2002-06-25 | 2004-01-29 | Hitachi Ltd | ネットワーク通信装置および通信方式 |
| US8942375B2 (en) * | 2002-09-17 | 2015-01-27 | Broadcom Corporation | Method and system for providing multiple encryption in a multi-band multi-protocol hybrid wired/wireless network |
| US20040083296A1 (en) * | 2002-10-25 | 2004-04-29 | Metral Max E. | Apparatus and method for controlling user access |
| US20050152305A1 (en) * | 2002-11-25 | 2005-07-14 | Fujitsu Limited | Apparatus, method, and medium for self-organizing multi-hop wireless access networks |
| US7634230B2 (en) * | 2002-11-25 | 2009-12-15 | Fujitsu Limited | Methods and apparatus for secure, portable, wireless and multi-hop data networking |
| US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
| US7774828B2 (en) * | 2003-03-31 | 2010-08-10 | Alcatel-Lucent Usa Inc. | Methods for common authentication and authorization across independent networks |
| US8248968B2 (en) * | 2003-10-03 | 2012-08-21 | Apple Inc. | Method and apparatus for providing mobile inter-mesh communication points in a multi-level wireless mesh network |
| JP4520705B2 (ja) * | 2003-04-11 | 2010-08-11 | パナソニック株式会社 | 通信システム及び通信方法 |
| CN1774907A (zh) * | 2003-04-15 | 2006-05-17 | 汤姆森特许公司 | 在企业热点为来宾和本地用户两方提供无缝访问的技术 |
| US7698384B2 (en) * | 2003-06-26 | 2010-04-13 | International Business Machines Corporation | Information collecting system for providing connection information to an application in an IP network |
| US20050064845A1 (en) * | 2003-09-23 | 2005-03-24 | Transat Technologies, Inc. | System and method for radius accounting for wireless communication networks |
| US7046647B2 (en) * | 2004-01-22 | 2006-05-16 | Toshiba America Research, Inc. | Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff |
| US20050208949A1 (en) * | 2004-02-12 | 2005-09-22 | Chiueh Tzi-Cker | Centralized channel assignment and routing algorithms for multi-channel wireless mesh networks |
| US20050193201A1 (en) * | 2004-02-26 | 2005-09-01 | Mahfuzur Rahman | Accessing and controlling an electronic device using session initiation protocol |
| US20060046693A1 (en) * | 2004-08-31 | 2006-03-02 | Hung Tran | Wireless local area network (WLAN) authentication method, WLAN client and WLAN service node (WSN) |
| US7685633B2 (en) * | 2005-02-25 | 2010-03-23 | Microsoft Corporation | Providing consistent application aware firewall traversal |
| US8850194B2 (en) * | 2005-04-19 | 2014-09-30 | Motorola Solutions, Inc. | System and methods for providing multi-hop access in a communications network |
| US20060293028A1 (en) * | 2005-06-27 | 2006-12-28 | Gadamsetty Uma M | Techniques to manage network authentication |
-
2005
- 2005-08-23 US US11/209,981 patent/US20070047477A1/en not_active Abandoned
-
2006
- 2006-07-12 WO PCT/US2006/027152 patent/WO2007024357A2/en active Application Filing
- 2006-07-12 EP EP06787103A patent/EP1917791A4/en not_active Withdrawn
- 2006-07-12 JP JP2008527917A patent/JP2009505610A/ja active Pending
- 2006-07-12 KR KR1020087006978A patent/KR101008791B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001016198A (ja) * | 1999-06-28 | 2001-01-19 | Matsushita Electric Ind Co Ltd | ネットワーク装置、アクセスサーバおよび認証サーバ |
| JP2005117656A (ja) * | 2003-10-03 | 2005-04-28 | Fujitsu Ltd | 自己組織化マルチホップ無線アクセスネットワーク用の装置、方法及び媒体 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9264907B2 (en) | 2007-07-10 | 2016-02-16 | Qualcomm Incorporated | Method and apparatus for interference management between networks sharing a frequency spectrum |
| JP2016515369A (ja) * | 2013-03-15 | 2016-05-26 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | 中継器展開のための認証 |
| JP2016518742A (ja) * | 2013-03-15 | 2016-06-23 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | 中継器展開のための認証 |
| US9531543B2 (en) | 2013-03-15 | 2016-12-27 | Qualcomm Incorporated | Authentication for relay deployment |
| JP2017184241A (ja) * | 2013-03-15 | 2017-10-05 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | 中継器展開のための認証 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20070047477A1 (en) | 2007-03-01 |
| KR20080041266A (ko) | 2008-05-09 |
| EP1917791A2 (en) | 2008-05-07 |
| EP1917791A4 (en) | 2010-07-21 |
| KR101008791B1 (ko) | 2011-01-14 |
| WO2007024357A3 (en) | 2007-06-07 |
| WO2007024357A2 (en) | 2007-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101008791B1 (ko) | 노드간 인증을 위한 무선 네트워크에서의 eapol프록시 | |
| EP2210438B1 (en) | Method for providing fast secure handoff in a wireless mesh network | |
| US11129009B2 (en) | Method and apparatus for providing secure communication in a self-organizing network | |
| US8630275B2 (en) | Apparatus, method, and medium for self-organizing multi-hop wireless access networks | |
| EP1524799B1 (en) | Radio information transmitting system, radio communication method, and radio terminal device | |
| AU2007242991B2 (en) | Method and system for providing cellular assisted secure communications of a plurality of AD HOC devices | |
| US8102814B2 (en) | Access point profile for a mesh access point in a wireless mesh network | |
| US7634230B2 (en) | Methods and apparatus for secure, portable, wireless and multi-hop data networking | |
| US8175272B2 (en) | Method for establishing secure associations within a communication network | |
| US8661510B2 (en) | Topology based fast secured access | |
| JP2009524274A (ja) | マルチホップ無線ネットワークにおける無線ルータ支援セキュリティハンドオフ(wrash) | |
| JP4578917B2 (ja) | 自己組織化マルチホップ無線アクセスネットワーク用の装置、方法及び媒体 | |
| US20090031398A1 (en) | Role determination for meshed node authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100630 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101005 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110105 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110113 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110207 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110215 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110307 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110314 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110323 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110412 |