JP2012503915A - モバイルネットワーク内の認証機能の分散 - Google Patents

モバイルネットワーク内の認証機能の分散 Download PDF

Info

Publication number
JP2012503915A
JP2012503915A JP2011528393A JP2011528393A JP2012503915A JP 2012503915 A JP2012503915 A JP 2012503915A JP 2011528393 A JP2011528393 A JP 2011528393A JP 2011528393 A JP2011528393 A JP 2011528393A JP 2012503915 A JP2012503915 A JP 2012503915A
Authority
JP
Japan
Prior art keywords
authentication
mobile terminal
network
access network
counter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2011528393A
Other languages
English (en)
Inventor
クリスチャン・トシュプンダ
ハッスナー・ムスタファ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of JP2012503915A publication Critical patent/JP2012503915A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks
    • H04W84/22Self-organising networks, e.g. ad-hoc networks or sensor networks with access to wired networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本発明は、モバイル端末を認証するためのアクセスネットワーク、および前記アクセスネットワークへのアクセスポイントを含むパケット伝送モバイルネットワーク内のモバイル端末を認証するステップを備える。すでに受信した認証要求の数を表示するカウンタが管理される。モバイル端末からの認証要求がアクセスネットワークで受信され(21)、1と等しい値ずつカウンタがインクリメントされる(2)。次いで、モバイル端末が認証され(24)、カウンタによって表示された数がしきい値と比較され(23)、前記比較に基づいて、認証されたモバイル端末が他のモバイル端末を認証するためのアクセスネットワークの役割を担うことができるようになる。

Description

本発明はモバイル通信ネットワーク、特に車両ネットワークなどに関し、特にこのようなネットワーク内のモバイル端末を認証する段階に関する。
車両ネットワークは、特に交通安全および協調走行に関連するサービスなどの幅広いサービスを車両の運転手および乗客に提供し、それによって衝突、または火事や地滑りなどがある場合はそれらも報告できるようになっている。このようなネットワークにより、オンラインゲームのための、または通過している地理的領域内で提供されるサービスを見つけるための、インターネットブラウジングサービスを提供することもできる。
標準的な専用狭域通信(DSRC)車両ネットワークアーキテクチャでは、ユーザを認証する段階が、車両ネットワークによって提供されるサービスへのアクセスに先行する。
図1は、そのような車両ネットワークアーキテクチャの1つを示している。このようなネットワークはアクセスネットワーク11を含み、車両ネットワークのユーザはこのアクセスネットワーク11を介してサービスにアクセスできる。このようなネットワークは、路側機(RSU)として知られる固定ネットワーク装置13、および図1では車両に搭載されており車載器(OBU)として知られるモバイル装置14をさらに含む。
アクセスネットワーク11は、関連ネットワークのサービスへのアクセスを要求するOBU14の認証を担当する認証サーバ12を含む。このような認証ステップによって、リソース、およびネットワーク内で提供されるサービスへのアクセスを、OBUのアクセス権に基づいて管理できるようになる。
図1に示した提案されたアーキテクチャはハイブリッドアドホックネットワークアーキテクチャであり、車両すなわちOBUは、アクセスポイントすなわちRSUを介して固定インフラストラクチャと通信し、特に認証段階の間は認証サーバと通信する。
移動車両OBU14とアクセスポイントRSU13との間の通信は、OBUとRSUとの間で直接行われてもよく、1つまたは複数のOBUホップを介してもよい。アクセスポイントすなわちRSUのサービスエリア内の車両はそのRSUと直接通信でき、一方RSUのサービスエリア外の車両はRSUと直接通信できないが、OBU、または複数のOBUを介して、2つのOBU間のリンクで構成されるホップを使用してRSUと通信することができる。OBUを介してリンクする際、ホップに使用されるOBUは、他のOBU14とアクセスポイント、すなわちRSU13との間の呼の転送を担当する。
OBUを介してOBUホップに認証を提供することによって、アクセスポイント、すなわちRSUのサービスエリア内にいないOBUが認証サーバによって認証されて、RSUのサービスエリアの外で利用可能なネットワークのあらゆるサービスにアクセスできるようになる。全てのOBUがアクセスポイント、すなわちRSUのサービスエリア内に位置できるようにするのは非常に費用がかかると思われることを考慮すると、このような認証によってアクセスポイント、すなわちRSUを効率的に展開できるようになる。
しかしこのようなアーキテクチャでは、車両すなわちOBUの密度に従って増加する形で認証の質が低下する。したがって、車両密度が高まり、ネットワーク内のデータ通信量が多くなり、マルチホップ通信リンクの数が増加するとすぐに、認証の失敗が増加する。これによってサービスの質、およびサービスの連続性が低下する。
本発明の目的は、この状態を改善することである。
本発明の第1の態様は、モバイル端末の認証を担当するアクセスネットワーク、前記アクセスネットワークへの少なくとも1つのアクセスポイント、およびすでに受信した認証要求の数を表示するためのカウンタを含むパケット伝送モバイルネットワーク内の少なくとも1つのモバイル端末を認証する方法を提供し、前記方法は前記アクセスネットワーク内で実行される以下の諸ステップを含む:
1)前記モバイル端末から認証要求を受信するステップと;
2)カウンタを1つだけインクリメントするステップと;
3)モバイル端末を認証して、カウンタによって表示された数をしきい値と比較して、前記比較に基づいて、認証されたモバイル端末が他の少なくとも1つのモバイル端末を認証するためのアクセスネットワークの役割を担う権限を与えることを決定するステップ。
この手法により、ある状況下で、すなわちカウンタによって表示される受信した認証要求の数がしきい値を超える場合、モバイル端末認証ステップの実装を分散できるようになる。したがって、アクセスネットワークレベルで受信した認証要求の数が多すぎると見なされるとすぐに、認証ステップの実行を認証されたモバイル端末に委任することができる。
モバイル端末がネットワークのリソースにアクセスする権限を与えるために認証をこのように分散することによって、帯域幅の占有を好都合に減少させることができ、認証失敗を防ぐことによってネットワークのモバイル端末に提供されるサービスの質が向上される。アクセスネットワークレベルでの過負荷も防ぐことができる。
どのようなタイプのモバイル通信ネットワークにも、特に車両ネットワークなどの極めて動的なモバイルネットワークにも、このような特徴を好都合に使用できる。
このようなタイプのモバイルネットワークでは、端末密度は時間とともに急速に変わる場合がある。したがってしばらくの間、アクセスネットワークの無線帯域幅に、その地理的領域内に位置するモバイル端末からの認証要求が殺到することがある。このような状況ではいくつかの認証に失敗する可能性がある。モバイル端末認証を他のモバイル端末のレベルに分散することによって、アクセスネットワークの帯域幅はこの負荷から解放され、依然として担当する認証をアクセスネットワークレベルで良い状態下で行うことができる。
その後、いったんモバイル端末が認証サーバ機能を実行する権限を与えられると、認証要求を送信してきた全てのモバイル端末を認証できる。
車両ネットワークでは、アクセスポイントのサービスエリア内にいないモバイル端末は、アクセスネットワークへのアクセスポイントのサービスエリア内に位置する他のモバイル端末を介してアクセスネットワークに認証要求を送信してもよく、1つまたは複数の他のモバイル端末を介してアクセスネットワークにそれ自体でアクセスしてもよい。これは、モバイル端末自体が認証されていて、認証要求を提出したモバイル端末と当該アクセスネットワークとの間の通信リンク上にあれば、このようなネットワークのどのようなモバイル端末も、他のモバイル端末を認証する権限をアクセスネットワークによって与えられる可能性があるという利点がある。したがって、他のモバイル端末とアクセスネットワークとの間のパケット転送を担当するモバイル端末が認証要求を受信するとすぐに、そのモバイル端末を認証する権限を与えられているかどうか調べて、権限を与えられている場合は受信したアクセスネットワークに認証要求を転送せずに、そのモバイル端末をローカルに認証できる。
ネットワークのモバイル端末のレベルでの認証機能のこの分散は、当該地理的領域内のモバイル端末密度における変化に適応できるように、好都合に柔軟に実装できる。
時間に応じて密度の変化を考慮するために、所与の時間にわたって一定のパラメータの変化を観測する機能があってよい。
本発明の一実装形態では、所与の時間にわたって、ネットワークの2つのモバイル端末間のしきい値平均距離、およびアクセスネットワーク内のモバイル端末の平均速度に応じてしきい値が決定される。
これらの2つのパラメータ、すなわち2つのモバイル端末間のしきい値平均距離、およびネットワークのモバイル端末の平均速度をこのように考慮することによって、ネットワーク内のしきい値モバイル端末密度を反映するしきい値を決定できる。
本発明の一実装形態では、しきい値は以下の式を満たす:
Vthreshold=(D×Vavg)/Id
上式で、Dは所与の時間であり、Vavgはネットワーク内のモバイル端末の平均速度であり、Idはネットワークのモバイル端末間のしきい値平均距離である。
したがって、認証要求の数をこの式から得られるしきい値と比較することによって、認証をモバイル端末に分散する決定を適切な方法で行うことができる。
アクセスポイント、または複数のアクセスポイントから受信した情報に基づいて、平均速度を決定できる。
本発明の一実装形態は、前記アクセスポイントで実行される以下の諸ステップを含むことができる:
a)モバイル端末から新しいパケットを受信するステップと、
b)第1カウンタを1つだけインクリメントするステップ、および第2カウンタを前記新しいパケット内に表示された速度値だけインクリメントするステップ。
ステップa)およびb)は所与の時間にわたって行われ、その後第1カウンタによって表示されたパケット数および第2カウンタによって表示された速度値がアクセスネットワークに送信される。
このように進めることによって、アクセスネットワークはネットワーク内のモバイル端末の平均速度を計算できる。平均速度は、アクセスポイントによって送信された速度値をアクセスポイントによって表示されたパケット数で除算すればよい。
これは、このようにアクセスポイントからフィードバックされた全ての情報に基づいて、アクセスネットワークがネットワーク内のモバイル端末のこのような平均速度を生成する可能性があると予測するのに好都合である。
所与の時間の最後に、第1および第2カウンタは0に初期化されうる。したがって、情報は定められた時間にわたって利用可能なので、本方法を車両ネットワークにおいて起こりうる密度における高い変化に適応させて使用できるようになる。
認証機能のこの分散を動的かつ柔軟に管理するために、認証要求カウンタは所与の時間の後で0に設定されうる。
本発明の一実装形態では、ネットワークの2つのモバイル端末間のしきい値平均距離は以下の式を満たす:
Idmed=(Idmin1+Idmin2)/2 (3)
上式で、Idmin1は以下の式を満たす:
Idmin1= R/(2) (2*InterAPDist-10R)/10R (1)
上式で、Idmin2は以下の式を満たす:
Idmin2= 3/4* R (2)
上式で、Rはモバイル端末伝送距離であり、InterAPDistはネットワーク内の異なるアクセスポイント間の平均距離である。
モバイル端末は、認証サーバ機能、すなわち他のモバイル端末の認証を実行する権限を一定期間与えられうる。
本発明の第2の態様は、モバイル端末の認証を担当するアクセスネットワーク、および前記アクセスネットワークへの少なくとも1つのアクセスポイントを含むパケット伝送モバイルネットワーク内の少なくとも1つのモバイル端末を認証する方法を提供し、前記方法は前記モバイル端末内で実行される以下の諸ステップを含む:
1)アクセスネットワークに認証要求を送信するステップと、
2)他のモバイル端末を認証するためのアクセスネットワークの役割を担うためのパラメータを表示する認証メッセージを受信するステップ。
これらの特徴によって、アクセスネットワークはモバイル端末に認証を委任する決定を伝えることができ、続いてそのモバイル端末にこのような認証を行うための手段を提供することができる。
したがって、他の端末を認証する権限を与えられたモバイル端末のレベルでのこの認証方法は、以下の諸ステップをさらに含むことができる:
i)ネットワークの他のモバイル端末から認証要求を受信するステップと、
ii)アクセスネットワークからの認証メッセージで受信した前記パラメータに基づいて前記他のモバイル端末を認証するステップ。
本発明の第3の態様は、パケット伝送モバイルネットワーク内の少なくとも1つのモバイル端末を認証するためのサーバを提供し、前記サーバは本発明の第1の態様の方法を実装するための手段を含む。
本発明の第4の態様は、前記モバイル端末の認証を担当するアクセスネットワーク、および前記アクセスネットワークへの少なくとも1つのアクセスポイントを含むパケット伝送モバイルネットワーク内で通信するように適合されたモバイル端末を提供し、前記モバイル端末は本発明の第2の態様の方法を実装するための手段を含む。
本発明の第5の態様は、前記モバイル端末の認証を担当するアクセスネットワークを含むパケット伝送モバイルネットワーク内の少なくとも1つの端末を認証するためのシステムを提供し、前記認証システムは、本発明の第3の態様による少なくとも1つの認証サーバ、およびアクセスネットワークへのアクセスポイントを含み、アクセスポイントは、
受信パケット数を表示するための第1カウンタ、
前記受信パケット内に表示されたモバイル端末の速度の合計を表示するための第2カウンタ、ならびに、
所与の時間の最後に第1および第2カウンタ内に表示された値をアクセスネットワークに送信するための送信装置を含む。
本発明の第6の態様は、プログラムがプロセッサによって実行されると本発明の第1の態様の方法を実行するための命令を含む、コンピュータプログラムを提供する。
本発明の他の態様、目的、および利点は、本発明の実施形態のうちの1つの記述を読めば明らかになる。
本発明は、図面を用いればよりよく理解されよう。
従来技術の車両ネットワークアーキテクチャを示す図である。 本発明の一実装形態における、モバイル端末の認証を示す図である。 本発明の一実装形態において認証の間に使用される、トランスポートパケットのフォーマットを示す図である。 本発明の一実装形態において使用されるプロトコルスタックを示す図である。 本発明の一実装形態の認証方法の主要ステップを示す図である。 本発明の一実装形態において、ネットワークエンティティ間で交換に使用されるプロトコルスタックを示す図である。 本発明の一実施形態の認証サーバ、アクセスポイント、およびモバイル端末を示す図である。
以下で、図1に示した車両ネットワークへの本発明のアプリケーションにおいて、本発明を説明する。アクセスネットワーク11は、1つまたは複数の認証サーバ12を含むことができる。例示のためだけに、このアクセスネットワークは認証サーバを1つだけ含んでいるが、以下の説明を複数の認証サーバを含む状況に適用するのは簡単である。
本発明の一実装形態では、認証機能の分散は認証サーバの管理下にある。
本発明の一実装形態は、VTC2008会議の議事録において発表されたC. Tchepnda他の文書「Performance Analysis of a Layer-2 Multi-Hop Authentication and Credential Delivery Scheme for Vehicular Networks」において説明された、AUCRED(認証および証明書発行)認証方法を使用できる。
図2は、AUCREDタイプのプロトコルの下で認証を実行するためのメッセージの交換を示している。
このようなプロトコルの下で、モバイル端末(OBU)14は、暗号アルゴリズムに関するパラメータなどの安全パラメータを認証サーバに示すメッセージm1を認証サーバ12に送信する。
次いで、認証サーバとモバイル端末14との間でメッセージm2およびm3においてクッキーが交換され、このクッキーは認証サーバまたは他の端末に損害を与えるために端末によって引き起こされるサービス妨害(DoS)攻撃の緩和を目的としている。
認証サーバによって送信されたメッセージm4は、モバイル端末14に提供されたサービスを示している。モバイル端末14によって送信されたメッセージm5は、クライアント証明書を含む。これに応答して、サーバ12は、クライアントの身分証明書、有効期限、キーサイズ、暗号アルゴリズム、アクセス権などの、クライアント仮証明書についてのパラメータを示すメッセージm6を送信する。このメッセージm6は、サーバのプライベートキーに関連付けられるサーバの証明書も含み、そのプライベートキーはクライアントの仮証明書の署名に使用される。
これに応答して、モバイル端末は署名されていない仮証明書を示すメッセージm7を送信する。次いでメッセージm8で、サーバは署名された仮証明書をモバイル端末に返信することによってメッセージm7に応答する。モバイル端末は、メッセージm9によって、これらの署名された仮証明書の受信を認識する。最後に、認証サーバがメッセージm10を送信して認証を終了する。
本発明によれば、サーバは特権のうちのいくつか、特に他の端末の認証に関連する特権をモバイル端末に委任していることを、メッセージm6でモバイル端末に示す。委任がある場合、このような特権を委任されたモバイル端末は、他のモバイル端末を認証するための認証サーバとして働く。上述の交換が同様の方法で行われる。
しかし、本発明の一実装形態では、モバイル端末はこのような特権をさらなるモバイル端末に委任する権限は与えられない。認証サーバの機能を実行する権限を与えられたモバイル端末が、許可される委任の限定数を指定して、その特権を1つまたは複数の他のモバイル端末に委任できると任意で予測されてよい。
図3は、文書「Performance Analysis of a Layer-2 Multi-Hop Authentication and Credential Delivery Scheme for Vehicular Networks」で説明された、および本発明の一実装形態における認証メッセージのトランスポートに使用される、EGEMO(マルチホップトランスポートのためのEAP地理的および位置決めカプセル化)プロトコルパケットのフォーマットを示している。
このようなパケットは、パケットのバージョンを示すフィールド31、制御情報を示すフィールド32、送信元の識別子および宛先の識別子を示す2つのフィールド33および34、送信元の位置を示すフィールド35、送信元の速度を示すフィールド36、宛先の位置を示すフィールド37、送信時間基準を示すフィールド38、生存期間を示すフィールド39、トランスミッタの位置を示すフィールド301、トランスミッタの証明書を示すフィールド302、EAP(IETF RFC3748に定義された拡張可能認証プロトコル)パケットを含むフィールド304、ならびにトランスミッタの署名を示すフィールド305を含む。
図4は、本発明の一実装形態における、ネットワークエンティティ間で交換に使用されるプロトコルスタックを示している。
このプロトコルスタックは、MAC(媒体アクセス制御)層のレベルに、本発明の実装形態に応じて異なるプロトコルに対応できる層41を含む。これらのプロトコルは、特に車両ネットワークに関連するDSRC(専用狭域通信)プロトコルでもよく、WiFiネットワークに関連するIEEE 802.11プロトコルでもよい。
このスタックは、EAPプロトコル層のレベルに層42および43を含み、層42はEGEMOプロトコル層に相当し、層43はEAPプロトコル層に相当する。
次に、認証プロトコル層44はAUCREDプロトコルに相当する。このプロトコル層はIPプロトコル層45の下に位置する。
次に、AUCREDプロトコルがEGEMOプロトコルによってトランスポートされ、それによってOSI(開放型システム間相互接続)モデルの第2層より上でEAP認証パケットのセキュアなマルチホップトランスポートを行うことができるようになる。EGEMOプロトコルによって展開されるトランスポート技法は、文書「Performance Analysis of a Layer-2 Multi-Hop Authentication and Credential Delivery Scheme for Vehicular Networks」に説明された、EAPパケットの日和見的および地理的なルーティングおよびブロードキャスティング(opportunistic and geographical routing and broadcasting)に基づく。EGEMOプロトコルはルーティングテーブルに基づかないのでステートレスである。EGEMOプロトコルのこの特性は、極めて動的なネットワークに特に適している。
図5は、本発明の一実装形態の認証方法の主要ステップを示している。ステップ50で、好ましくはアクセスネットワーク11の認証サーバのレベルで管理されたカウンタが、認証サーバレベルかアクセスネットワーク11の全体レベルですでに受信した認証要求の数を示す。したがって、この目的のために、それぞれの認証要求を受信すると、このカウンタを1つだけインクリメントする機能がある。経時的なネットワークの密度の進化に柔軟で適している本発明の一実装形態の認証方法を実装するために、このカウンタを定期的に0にリセットする機能があってよい。
ステップ51で、認証サーバが前記モバイル端末から認証要求を受信する。したがって、ステップ52でカウンタは1だけインクリメントされる。
次いで、認証機能がモバイル端末に分散されることが好ましいかどうかを適切な方法で決定するために、ステップ53で、カウンタによって表示された値がしきい値と比較される。この比較の結果がどうであれ、当該モバイル端末は認証サーバのレベルで認証される。しかし、この比較の結果に応じて、ステップ55で、続いて他のモバイル端末を認証する権限をこのモバイル端末に与えるかどうか決定される。より正確に言えば、カウンタによって表示された値がしきい値よりも大きい場合、続いて他のモバイル端末を認証する権限を認証されたモバイル端末に与える決定が行われる。
この手法により、たとえモバイル端末が高移動性の状況でも、このような認証方法は時間に柔軟で、モバイル端末の密度の変化に応じて適用できるので、ネットワーク内で提供されるリソースおよびサービスへのアクセスの有効性のレベルを保証できるようになる。
次に、認証サーバによって1つまたは複数のモバイル端末に認証機能が分散される。安全対策として、すでに認証された1つのモバイル端末だけが、続いて他の端末を認証する権限を与えられうる。
モバイル端末が他のモバイル端末によって認証される場合、2つのモバイル端末が互いに地理的に近ければ、この認証に関連するメッセージトラフィックの伝搬時間が限定される点に留意されたい。このことは、車両の密度が高い場合は特に、一定レベルの認証性能を保証することに貢献する。
図6は、本発明の一実装形態の車両ネットワークにおける様々なプロトコル層の使用を示している。
このネットワークは、2つのOBU14、およびアクセスネットワークによる認証途中の1つのOBU61を含み、本発明の一実装形態ではこのアクセスネットワークからOBU61はネットワークの他のOBUを認証する権限を受信する。このネットワークは、アクセスポイント13および認証サーバ12も含む。
OBU61のレベルで使用されるプロトコルスタックは、DSRC MAC層601、EGEMO層602、EAP層603、およびAUCRED層604を含む。
OBU14のレベルで使用されるプロトコルスタックは、DSRC MAC層601、およびEGEMO層602、ならびに図示されていないが層603および604も含む。
本発明の一実装形態では、アクセスポイントレベルで2つのプロトコルスタックが使用され、1つは無線通信用、もう1つは有線通信用である。無線通信用のプロトコルスタックは、DSRC MAC層601、EGEMO層602、および EAP層607を含む。有線通信用のプロトコルスタックは、802.3 MAC層614、IP層615、UDP層616、RADIUSまたはDiameter層606、およびEAP層607を含む。無線ネットワークから有線ネットワークへの、およびその逆のパケットの遷移は、2つのスタックに共通するEAP層607を介して行われる。
最後に、認証サーバレベルで、プロトコルスタックは802.3 MAC層608、IP層609、UDP層610、RADIUS/Diameter層611、EAP層612およびAUCRED層613を含む。
一実装形態では、認証要求の数に関して一定のしきい値を超える場合は、認証または再認証の際に認証サーバとして働くよう、認証サーバがOBUに権限を与える。より正確に言えば、観測時間と呼ばれる所与の時間にわたって認証サーバによって受信された認証(または再認証)要求の数が、モバイル端末の一定の密度について認証サーバが受信したであろう認証要求の数を超える場合、OBUは認証サーバの特権を与えられる。
ネットワーク内の車両の密度を反映する車両ネットワークのモバイル端末間の距離、すなわち車両間の距離が、以下の式を満たす最小距離第1しきい値Idmin1を下回ると、認証成功率が落ち始める:
Idmin1= R/ (2) (2*InterAPDist-10R)/10R (1)
上式で、Rはネットワーク内のモバイル端末の伝送距離であり、InterAPDistはネットワーク内の異なるアクセスポイント間の平均距離である。
さらに、ネットワーク内の車両間の距離が、以下の式を満たす最小しきい値第2値Idmin2を下回ると、認証の実行における遅延が大きくなりすぎてしまう:
Idmin2= 3/4 * R (2)
この状況において、制限車両密度はこれらの2つの最小しきい値のうちの低い方または高い方と等しい車両間距離に対応する。
限界密度は、中間車両間距離Idmed、すなわち以下の式を満たす距離に対応すると考えることもできる:
Idmed= (Idmin1+Id min2)/2 (3)
さらに、本発明の一実装形態では、それぞれのアクセスポイントすなわちRSU13は、たとえばEGEMOプロトコルを使用してRSU13を通過するパケット数を表示する第1カウンタ、および対応速度の合計、すなわちこれらのそれぞれのパケット内で表示される速度値の合計を表示する第2カウンタをアップデートする。
これらの第1および第2カウンタは、所与の時間にわたってアップデートされる。次いで、それぞれのアクセスポイント13は、観測時間の最後に、第1および第2カウンタ内に表示された値を認証サーバ12に送信する。したがって認証サーバは、対応する全てのアクセスポイントによって受信されたEGEMOタイプのパケット数、ならびに対応速度の合計を定期的に受信する。
したがって、アクセスポイント13で以下の諸ステップが実行される:
それぞれの受信パケットを受信すると、パケットカウンタを1つだけインクリメントして、速度カウンタを前記受信パケット内に表示された速度値でインクリメントするステップであって、その速度値が図3に示したメッセージのフィールド36内に表示されうるステップと、
それぞれの観測時間の最初に、2つのカウンタを0に初期化するステップと、
それぞれの観測時間の最後に、2つのカウンタによって認証サーバに表示された値を送信するステップ。
この最後のステップを行うために、アクセスポイントから認証サーバに、2つのカウンタの値をRADIUSまたはDiameterパケットで送信できる。
したがって、それぞれの観測時間の最後に、認証サーバは通信している全てのアクセスポイントから、たとえばEGEMOタイプの受信パケット数、および対応速度の合計を受信する。したがって認証サーバは、ネットワーク内のモバイル端末、すなわち車両の平均速度を計算して、本発明の一実装形態ではあらかじめ定められた制限車両密度に対応する認証要求しきい値をそこから演繹できる。
この制限車両密度は、車両ネットワーク内の平均車両間距離しきい値に適切に対応できる。
この認証要求しきい値は以下の式を満たすことができる:
Vthreshold = (D×Vavg)/Id (4)
上式で、Idはしきい値車両間距離であり、たとえば上記の式(1)、(2)、または(3)のうちの1つを満たすことができ、Vavgはネットワーク内の車両の平均速度であり、Dは観測時間、すなわち所与の時間である。
認証サーバは、このように決定されたしきい値Vthresholdに基づいて、認証機能を1つまたは複数のモバイル端末に分散すべきかどうかを決定できる。したがって、モバイル端末を認証する際、およびAUCREDメッセージm6内の仮証明書のパラメータ、すなわち属性を生成する前に、認証サーバは最後の観測時間にわたって実際に測定された認証要求の数と、同じ時間に対応する計算された認証要求しきい値Vthresholdとを比較する。
認証サーバレベルでカウントされた認証要求の数の方が、計算されたしきい値Vthresholdよりも多い場合、認証サーバは認証されたモバイル端末に認証サーバの役割を割り当てることを決定する。本発明の一実装形態では、この決定は、サーバがモバイル端末に送信した仮証明書の属性である当該モバイル端末に通知される。この認証に続いて、モバイル端末は、認証を実行する特権を与える認証サーバによって署名された仮証明書を有する。
認証サーバレベルで、たとえばアクセスポイントから、および認証または再認証要求に対応して、RADIUSまたはDiameterを介して受信されたあらゆるEAPパケットごとに、要求カウンタは1つだけインクリメントすることによってアップデートされる。このカウンタは、観測時間の最後または最初に、0にリセットされる。
観測時間の最後に、認証サーバは通信している全てのアクセスポイントからこれらのそれぞれのアクセスポイントが受信したEGEMOパケット数、およびそれらのパケットに関連する累積速度を受信する。
上記の情報に基づいて、認証サーバは以下の式からネットワークのモバイル端末の平均速度Vavgを計算できる:
Figure 2012503915
上式で、cpt1,iは第1カウンタによって表示されてアクセスポイントiによって送信された値であり、cpt2,iは第2カウンタによって表示されてアクセスポイントIによって送信された値であり、iは1とnとの間であり、nはアクセスネットワークが通信するアクセスポイント13の数である。
次いで、式(4)からVthresholdが決定される。
次いで、上述のように、続いて他の端末自体を認証する権限を認証されたモバイル端末に与えることが決定される。
その結果、認証サーバの役割を担う権限を与えられたモバイル端末は、認証要求を送信してきた他のモバイル端末に直接応答して、認証サーバの代わりに認証を行うことができるようになる。この状況では、要求された特権を与える属性がある仮証明書を他のモバイル端末が示す場合のみ、モバイル端末は前記端末による認証を認める機能があり、それらの属性はメッセージm6内、およびメッセージm8で受信されたそれらの属性に関連付けられる仮証明書に入力されている。
したがって、認証サーバは受信した認証要求の数がしきい値Vthresholdを下回るまでその機能を分散できる。その後、認証サーバ機能を行うためにこのように選ばれたモバイル端末はその役割を一時的に、たとえば次の認証または再認証まで保持し、その間認証サーバは上述のようにその役割を分散するかどうかを決定するために新しい条件を考慮する。
したがって、認証機能の分散は依然として仮のままである。この特権を与える仮証明書の有効期間の間、認証機能の分散が有効になるような機能があってよい。
本発明の一実装形態では、以前の観測時間における対応する値を考慮するために、認証要求の数のカウンタの値、およびしきい値Vthresholdを平滑にする機能がある。この手法により、これらの値の進化に重みを加えることができ、したがってある観測時間から別の観測時間に測定または計算された値が大きく変化しすぎないようにすることができる。このような状況では、それぞれの観測時間の最後に、値Vについて、以下の式のように重みを加えられるべきなのは、カウンタcpt1,iまたはcpt2,iのような測定された値か、あるいはしきい値Vthresholdのような計算された値かの機能があってよい:
V =α×Vnew+(1-α)×Vold
上式で、αは厳密に0と1との間の重み係数であり、Vnewはちょうど経過した観測時間にわたって考慮された計算または測定された値であり、Voldはちょうど経過した観測時間に先行する観測時間にわたって考慮された計算または測定された値である。
図7は、本発明の一実施形態のサーバ12、アクセスポイント13、およびモバイル端末14を示している。
認証サーバ12は:
受信した認証要求の数を表示するためのカウンタ701と、
モバイル端末から認証要求を受信するための受信装置702と、
カウンタによって表示された数としきい値とを比較するための比較装置703と、
モバイル端末を認証して、比較装置によって行われた比較に基づいて、認証されたモバイル端末に他のモバイル端末を認証するための認証の役割を実行する権限を与えることを決定するための認証装置704とを含む。
認証サーバは、ネットワークの2つのモバイル端末間のしきい値平均距離、およびネットワーク内のモバイル端末の平均速度に応じて、所与の時間にわたってしきい値を決定するように構成された決定装置705をさらに含むことができる。
本発明の一実施形態のモバイル端末14は:
アクセスネットワークに認証要求を送信するための送信装置710と、
他のモバイル端末を認証するためのパラメータを表示する認証メッセージを受信するための受信装置711と、
他のモバイル端末を認証するためにアクセスネットワークの役割を果たす認証装置712とを含む。
本発明の一実施形態のアクセスネットワークへのアクセスポイント13は:
受信パケット数を表示するための第1カウンタ720と、
前記受信パケット内に表示されたモバイル端末の速度の合計を表示するための第2カウンタ721と、
所与の時間の最後に第1および第2カウンタ内に表示された値をアクセスネットワークに送信するための送信装置722とを含む。
特に車両密度が高い場合に、認証成功率を上げて認証遅延を著しく減少させるために、本明細書に説明した特徴を用いて認証の有効性を適切な方法で管理でき、その結果ネットワークのリソースおよびサービスへのアクセスを適切な方法で管理できるようになる。
さらに、認証ステップをこのように非局在化させることによって、この認証に関連するトラフィックの伝搬時間を減らし、それによってネットワーク内で有効なビット率を上げることができるようになる。
本発明の実施形態は、ハイブリッドアドホックネットワークとアドホックネットワークではないネットワークとの両方に好都合に実装されてよい。
認証以外の集中型サービスを提供するこのような方法を実装するのは簡単である。
11 アクセスネットワーク
12 認証サーバ
13 路側機(RSU)
13 アクセスポイント
14 車載器(OBU)
14 モバイル端末
31 パケットのバージョンを示すフィールド
32 制御情報を示すフィールド
33 送信元の識別子を示すフィールド
34 宛先の識別子を示すフィールド
35 送信元の位置を示すフィールド
36 送信元の速度を示すフィールド
37 宛先の位置を示すフィールド
38 送信時間基準を示すフィールド
39 生存期間を示すフィールド
41 層
42 EGEMOプロトコル層
43 EAPプロトコル層
44 認証プロトコル層
45 IPプロトコル層
61 OBU
301 トランスミッタの位置を示すフィールド
302 トランスミッタの証明書を示すフィールド
304 EAP(IETF RFC3748に定義された拡張可能認証プロトコル)パケットを含むフィールド
305 トランスミッタの署名を示すフィールド
601 DSRC MAC層
602 EGEMO層
603 EAP層
604 AUCRED層
606 RADIUSまたはDiameter層
607 EAP層
608 802.3 MAC層
609 IP層
610 UDP層
611 RADIUS/Diameter層
612 EAP層
613 AUCRED層
614 802.3 MAC層
615 IP層
616 UDP層
701 カウンタ
702 受信装置
703 比較装置
704 認証装置
705 決定装置
710 送信装置
711 受信装置、
712 認証装置
720 第1カウンタ
721 第2カウンタ
722 送信装置

Claims (15)

  1. モバイル端末を認証するためのアクセスネットワーク(11)、前記アクセスネットワーク(11)への少なくとも1つのアクセスポイント(13)、およびすでに受信した認証要求の数を示すためのカウンタを含むパケット伝送モバイルネットワーク内の少なくとも1つのモバイル端末(14)を認証する方法であって、前記アクセスネットワーク内で実行される:
    1)前記モバイル端末から認証要求を受信するステップ(21)と;
    2)前記カウンタを1つだけインクリメントするステップ(22)と;
    3)前記モバイル端末を認証して(24)、前記カウンタによって表示された数をしきい値と比較して(23)、前記比較に基づいて、認証されたモバイル端末が他の少なくとも1つのモバイル端末を認証するための前記アクセスネットワークの役割を担う権限を与えることを決定するステップ(25)とを含む、方法。
  2. 所与の時間にわたって、前記ネットワークの2つのモバイル端末間のしきい値平均距離、および前記アクセスネットワーク内の前記モバイル端末の平均速度に応じて前記しきい値が決定される、請求項1に記載の認証方法。
  3. 前記しきい値が以下の式を満たし:
    Vthreshold=(D×Vavg)/Id
    上式で、Dは前記所与の時間であり、Vavgは前記ネットワーク内の前記モバイル端末の平均速度であり、Idは前記ネットワークの2つのモバイル端末間のしきい値平均距離である、請求項2に記載の認証方法。
  4. 前記少なくとも1つのアクセスポイント(13)から受信した情報に基づいて前記アクセスネットワーク内で前記平均速度が決定される、請求項2に記載の認証方法。
  5. 前記アクセスポイントで実行される、
    a)モバイル端末から新しいパケットを受信するステップと、
    b)前記第1カウンタを1つだけインクリメントするステップ、および前記第2カウンタを前記新しいパケット内に表示された速度値だけインクリメントするステップとを含み、
    前記ステップa)およびb)が前記所与の時間にわたって行われ、その後前記第1カウンタによって表示されるパケット数および前記第2カウンタによって表示される前記速度値が前記アクセスネットワークに送信される、請求項4に記載の認証方法。
  6. 前記ネットワークの2つのモバイル端末間の前記しきい値平均距離が以下の式を満たし:
    Idmed=(Idmin1+Idmin2)/2 (3)
    上式で、Idmin1が以下の式を満たし:
    Idmin1= R/(2) (2*InterAPDist-10R)/10R (1)
    上式で、Idmin2は以下の式を満たし:
    Idmin2= 3/4* R (2)
    上式で、Rはモバイル端末伝送距離であり、InterAPDistは前記ネットワーク内の異なるアクセスポイント間の平均距離である、請求項2に記載の認証方法。
  7. モバイル端末が、一定期間他のモバイル端末を認証する権限を与えられる、請求項1に記載の認証方法。
  8. 前記所与の時間の最後に、前記第1カウンタおよび前記第2カウンタが0に初期化される、請求項7に記載の認証方法。
  9. モバイル端末を認証するためのアクセスネットワーク(11)、および前記アクセスネットワークへの少なくとも1つのアクセスポイント(13)を含むパケット伝送モバイルネットワーク内のモバイル端末(14)を認証する方法であって、前記モバイル端末内で実行される:
    1)前記アクセスネットワークに認証要求を送信するステップと、
    2)他のモバイル端末を認証するためのアクセスネットワークの前記役割を担うためのパラメータを表示する認証メッセージを受信するステップとを含む、方法。
  10. 前記モバイル端末内で実行される:
    i)前記ネットワークの他のモバイル端末から認証要求を受信するステップと、
    ii)前記アクセスネットワークからの前記認証メッセージで受信した前記パラメータに基づいて前記他のモバイル端末を認証するステップとをさらに含む、請求項9に記載の認証方法。
  11. パケット伝送モバイルネットワーク内の少なくとも1つのモバイル端末(14)を認証するためのサーバ(12)であって、前記認証サーバが少なくとも1つのアクセスポイント(13)を介してアクセス可能であり、
    受信した認証要求の数を表示するためのカウンタ(701)と、
    前記モバイル端末から認証要求を受信する(21)ための受信装置(702)と、
    前記カウンタによって表示された前記数としきい値とを比較する(23)ための比較装置(703)と、
    前記モバイル端末を認証して(24)、に前記比較装置によって行われた前記比較に基づいて、前記認証されたモバイル端末に他のモバイル端末を認証するための前記認証役割を実行する権限を与える(25)ことを決定するための認証装置(704)とを含む、サーバ。
  12. 前記ネットワークの2つのモバイル端末間のしきい値平均距離、および前記ネットワーク内の前記モバイル端末の平均速度に応じて、所与の時間にわたって前記しきい値を決定するための決定装置(705)をさらに含む、請求項11に記載の認証サーバ(12)。
  13. モバイル端末の認証を担当するアクセスネットワーク(11)、および前記アクセスネットワーク(11)への少なくとも1つのアクセスポイント(13)を含むパケット伝送モバイルネットワーク内で通信するように構成されたモバイル端末(14)、であって、
    前記アクセスネットワークに認証要求を送信するための送信装置(710)と、
    他のモバイル端末を認証するためのパラメータを表示する認証メッセージを受信するための受信装置(711)と、
    他のモバイル端末を認証するために前記アクセスネットワークの役割を担う認証装置(712)とを含む、モバイル端末。
  14. 前記モバイル端末の認証を担当するアクセスネットワーク(11)を含むパケット伝送モバイルネットワーク内の少なくとも1つの端末を認証するためのシステムであって、前記認証システムが請求項11に記載の少なくとも1つの認証サーバ(12)、および前記アクセスネットワーク(11)へのアクセスポイント(13)を含み、前記アクセスポイントが、
    受信パケット数を表示するための第1カウンタ(720)と、
    前記受信パケット内に表示された前記モバイル端末の前記速度の合計を表示するための第2カウンタ(721)と、
    所与の時間の最後に前記第1および第2カウンタ内に表示された前記値を前記アクセスネットワークに送信するための送信装置(722)とを含む、システム。
  15. プログラムがプロセッサによって実行されたとき請求項1に記載の方法を実行するための命令を含む、コンピュータプログラム。
JP2011528393A 2008-09-26 2009-09-15 モバイルネットワーク内の認証機能の分散 Pending JP2012503915A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0856508A FR2936677A1 (fr) 2008-09-26 2008-09-26 Distribution d'une fonction d'authentification dans un reseau mobile
FR0856508 2008-09-26
PCT/FR2009/051725 WO2010034919A1 (fr) 2008-09-26 2009-09-15 Distribution d'une fonction d'authentification dans un reseau mobile

Publications (1)

Publication Number Publication Date
JP2012503915A true JP2012503915A (ja) 2012-02-09

Family

ID=40592030

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011528393A Pending JP2012503915A (ja) 2008-09-26 2009-09-15 モバイルネットワーク内の認証機能の分散

Country Status (5)

Country Link
US (1) US20110170532A1 (ja)
EP (1) EP2335431B1 (ja)
JP (1) JP2012503915A (ja)
FR (1) FR2936677A1 (ja)
WO (1) WO2010034919A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016054488A (ja) * 2011-08-18 2016-04-14 パナソニックIpマネジメント株式会社 通信装置

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140067687A1 (en) * 2012-09-02 2014-03-06 Mpayme Ltd. Clone defence system for secure mobile payment
KR101371902B1 (ko) * 2012-12-12 2014-03-10 현대자동차주식회사 차량 네트워크 공격 탐지 장치 및 그 방법
US9218700B2 (en) * 2012-12-14 2015-12-22 GM Global Technology Operations LLC Method and system for secure and authorized communication between a vehicle and wireless communication devices or key fobs
US9698991B2 (en) 2013-03-15 2017-07-04 Ologn Technologies Ag Systems, methods and apparatuses for device attestation based on speed of computation
US9456344B2 (en) 2013-03-15 2016-09-27 Ologn Technologies Ag Systems, methods and apparatuses for ensuring proximity of communication device
US10177915B2 (en) 2013-03-15 2019-01-08 Ologn Technologies Ag Systems, methods and apparatuses for device attestation based on speed of computation
WO2014181313A1 (en) 2013-05-10 2014-11-13 Ologn Technologies Ag Ensuring proximity of wifi communication devices
US9455998B2 (en) 2013-09-17 2016-09-27 Ologn Technologies Ag Systems, methods and apparatuses for prevention of relay attacks
US9350734B1 (en) * 2013-11-01 2016-05-24 Sprint Spectrum L.P. Method and system for managing a flood of data-connection requests
CN109922509A (zh) * 2019-02-28 2019-06-21 重庆大学 一种多网络融合中的智能群切换方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006094004A (ja) * 2004-09-22 2006-04-06 Ntt Docomo Inc 無線通信装置
JP2007082072A (ja) * 2005-09-16 2007-03-29 Nippon Telegr & Teleph Corp <Ntt> 無線通信装置
JP2010531104A (ja) * 2007-06-22 2010-09-16 フランス・テレコム 車両ネットワークに属するソースノードと宛先ノードとの間の通信方法
JP2012502586A (ja) * 2008-09-12 2012-01-26 クゥアルコム・インコーポレイテッド チケットベースの構成パラメータ有効確認

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100520157B1 (ko) * 2003-06-18 2005-10-10 삼성전자주식회사 임시 무선 네트워크를 이용한 교통정보 시스템 및 방법
WO2005004385A1 (ja) * 2003-06-30 2005-01-13 Fujitsu Limited 無線通信認証プログラムおよび無線通信プログラム
EP1815267B1 (de) * 2004-11-15 2015-06-10 Nanotron Technologies GmbH Symmetrisches mehrwegverfahren zur bestimmung des abstandes zweier senderempfänger
KR100831327B1 (ko) * 2006-09-28 2008-05-22 삼성전자주식회사 무선 메쉬 네트워크의 인증 처리 방법 및 그 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006094004A (ja) * 2004-09-22 2006-04-06 Ntt Docomo Inc 無線通信装置
JP2007082072A (ja) * 2005-09-16 2007-03-29 Nippon Telegr & Teleph Corp <Ntt> 無線通信装置
JP2010531104A (ja) * 2007-06-22 2010-09-16 フランス・テレコム 車両ネットワークに属するソースノードと宛先ノードとの間の通信方法
JP2012502586A (ja) * 2008-09-12 2012-01-26 クゥアルコム・インコーポレイテッド チケットベースの構成パラメータ有効確認

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016054488A (ja) * 2011-08-18 2016-04-14 パナソニックIpマネジメント株式会社 通信装置

Also Published As

Publication number Publication date
FR2936677A1 (fr) 2010-04-02
US20110170532A1 (en) 2011-07-14
EP2335431A1 (fr) 2011-06-22
EP2335431B1 (fr) 2013-03-27
WO2010034919A1 (fr) 2010-04-01

Similar Documents

Publication Publication Date Title
JP2012503915A (ja) モバイルネットワーク内の認証機能の分散
Hossain et al. Vehicular telematics over heterogeneous wireless networks: A survey
Haidar et al. On the performance evaluation of vehicular PKI protocol for V2X communications security
CN110636495B (zh) 一种雾计算系统中的终端用户安全漫游认证的方法
Khodaei et al. Cooperative location privacy in vehicular networks: Why simple mix zones are not enough
Arain et al. Privacy protection with dynamic pseudonym-based multiple mix-zones over road networks
Yan et al. Towards providing scalable and robust privacy in vehicular networks
Hu et al. Vtrust: a robust trust framework for relay selection in hybrid vehicular communications
Tyagi et al. A secured routing algorithm against black hole attack for better intelligent transportation system in vehicular ad hoc network
Boubakri et al. Access control in 5G communication networks using simple PKI certificates
Ullah et al. Advertising roadside services using vehicular ad hoc network (VANET) opportunistic capabilities
Kaur et al. Comprehensive view of security practices in vehicular networks
Zhang et al. RapidVFetch: Rapid Downloading of Named Data via Distributed V2V Communication
WO2005111826A1 (ja) 通信システム
Yelure et al. SARP: secure routing protocol using anonymous authentication in vehicular Ad-hoc networks
Kaibalina et al. Security and privacy in VANETs
Zhang et al. Analysis and evaluation of hash access for blockchain radio access networks
Toledo Gandarias et al. Analytical efficiency evaluation of a network mobility management protocol for Intelligent Transportation Systems
Coronado et al. Service discovery and service access in wireless vehicular networks
Sultan et al. Incentive-driven approach for misbehavior avoidance in vehicular networks
DasGupta et al. TruVAL: trusted vehicle authentication logic for VANET
Bowitz et al. BatCave: Adding security to the BATMAN protocol
Coronado et al. An AAA study for service provisioning in vehicular networks
Biswas et al. Prioritized WAVE-based Parking Assistance with Security and User Anonymity.
Bittl et al. Efficient Authorization Authority Certificate Distribution in VANETs.

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120824

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130610

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130618

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20131015