JP2016219955A - 無線通信システムおよび無線通信端末 - Google Patents

無線通信システムおよび無線通信端末 Download PDF

Info

Publication number
JP2016219955A
JP2016219955A JP2015101181A JP2015101181A JP2016219955A JP 2016219955 A JP2016219955 A JP 2016219955A JP 2015101181 A JP2015101181 A JP 2015101181A JP 2015101181 A JP2015101181 A JP 2015101181A JP 2016219955 A JP2016219955 A JP 2016219955A
Authority
JP
Japan
Prior art keywords
terminal
wireless terminal
authentication
access point
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015101181A
Other languages
English (en)
Other versions
JP6471039B2 (ja
Inventor
康史 森岡
Yasushi Morioka
康史 森岡
芳文 森広
Yoshifumi Morihiro
芳文 森広
浩人 安田
Hiroto Yasuda
浩人 安田
孝浩 浅井
Takahiro Asai
孝浩 浅井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2015101181A priority Critical patent/JP6471039B2/ja
Publication of JP2016219955A publication Critical patent/JP2016219955A/ja
Application granted granted Critical
Publication of JP6471039B2 publication Critical patent/JP6471039B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】移動体通信網における加入者識別情報を有さない無線端末が、加入者識別情報を用いる認証方法を使用できるようにする。
【解決手段】無線通信システムCSが、移動体通信網MNWにおける加入者識別情報SIDを有する第1無線端末STA1と、加入者識別情報SIDを有さない第2無線端末STA2と、第1無線端末STA1と移動体通信網MNWとの通信を中継するアクセスポイントAPとを備える。第2無線端末STA2は、第2無線端末STA2がアクセスポイントAPへ接続するために用いる認証情報を第1無線端末STA1が代理で取得するよう要求する第1認証要求を、第1無線端末STA1へ送信する。第1無線端末STA1は、第1認証要求を受信すると、認証情報を、加入者識別情報SIDを用いて要求し、要求に応じて取得された認証情報を第2無線端末STA2へ送信する。
【選択図】図2

Description

本発明は、無線通信システムおよび無線通信端末に関する。
現在、移動体通信網と無線LAN(Local Area Network)とのいずれを通じても通信を行える機能を持つ無線端末(例えば、スマートフォン)と、移動体通信網には接続しないが無線LANを通じて通信を行う機能を有する無線端末(例えば、タブレット端末、携帯ゲーム機)との両方を所持するユーザが存在する。一般的に、これらの無線端末が、移動体通信事業者が設置した公衆無線LANのアクセスポイントへ接続する場合、認証動作(ユーザ認証)が行われる。
認証方法には、SIM(subscriber identity module)を用いる方法(例えば、特許文献1)とSIMを用いない方法とが存在する。SIMは、スマートフォン等、移動体通信網を通じて通信が可能な無線端末に搭載されており、ユーザが移動体通信事業者と契約する際に割り当てられる固有の情報である加入者識別情報を含む。SIMを用いる認証方法には、例えばEAP-SIM、EAP-AKAがあり、SIMを用いない認証方法には、例えばWPA2-PSKがある。
SIMを用いる認証方法(以下、「SIM認証方法」と称する場合がある)では、無線端末のSIMの加入者識別情報に対応付けられた情報を用いて、当該無線端末とアクセスポイントとの通信を暗号化する暗号化鍵が生成される。一方、SIMを用いない認証方法(以下、「パスワード認証方法」と称する場合がある)では、事前にアクセスポイントに設定されたパスワードを用いて、当該アクセスポイントと無線端末との通信を暗号化する暗号化鍵が生成される。
不特定のユーザが利用するアクセスポイント(例えば、公衆無線LANのアクセスポイント)に設定されたパスワードは、そのアクセスポイントを利用する複数のユーザに共通する(複数のユーザが同じパスワードを使用する)。すなわち、無線端末がパスワード認証方法を用いた認証動作によりアクセスポイントに接続する場合、そのアクセスポイントと無線端末との通信の暗号化には、その無線端末のユーザ以外にも知られている共有のパスワードを用いて生成される暗号化鍵が用いられる。そのため、無線端末のSIMに固有な加入者識別情報に対応付けられた情報を用いるSIM認証方法により生成された暗号化鍵に比べ、パスワード認証方法により作成された暗号化鍵は容易に特定される可能性がある。結果として、パスワード認証方法を用いた認証動作により接続したアクセスポイントと無線端末との通信は、SIM認証方法を用いた認証動作により接続したアクセスポイントと無線端末との通信よりも、機密性が損なわれる可能性が高いと理解される。
また、パスワード認証方法を用いてアクセスポイントに接続する場合、無線端末のユーザは、異なるSSID(service set ID)を持つアクセスポイントごとに、パスワードを手動で入力して認証動作を行う必要がある。一方、SIM認証方法を用いてアクセスポイントに接続する場合には、無線端末が有するSIMの情報を用いて認証動作が行われるため、無線端末のユーザはパスワードを入力する必要が無い。
特開2014-155038号公報
上述のように、パスワード認証方法に比べ、SIM認証方法は、高い安全性と利便性といった利点をユーザに提供し得る。しかし、タブレット端末等、SIMを有さない(すなわち、移動体通信網における加入者識別情報を有さない)無線端末は、SIM認証方法による認証動作を行うことができない。
本発明は、上記の課題に鑑みてなされたものであり、移動体通信網における加入者識別情報を有さない無線端末についても、加入者識別情報を用いる認証方法を使用できるようにすることを目的とする。
本発明の無線通信システムは、移動体通信網における加入者識別情報を有する第1無線端末と、前記移動体通信網における加入者識別情報を有さない第2無線端末とを含む複数の無線端末と、前記第1無線端末と前記移動体通信網との通信を中継するアクセスポイントとを備え、前記第2無線端末は、前記第1無線端末との通信を実行する第2端末通信部と、前記第2無線端末が前記アクセスポイントへ接続するために用いる認証情報を前記第1無線端末が代理で取得するよう要求する第1認証要求を、前記第2端末通信部を通じて前記第1無線端末へ送信する代理認証要求部とを備え、前記第1無線端末は、前記第2無線端末との通信を実行する第1端末通信部と、前記第1認証要求を受信すると、前記認証情報を、前記加入者識別情報を用いて要求する認証情報要求部と、前記認証情報要求部の要求に応じて取得された前記認証情報を、前記第1端末通信部を通じて前記第2無線端末へ送信する認証情報送信部とを備える。
本発明の無線端末は、移動体通信網における加入者識別情報を有する第1無線端末と、前記移動体通信網における加入者識別情報を有さない第2無線端末とを含む複数の無線端末と、前記第1無線端末と前記移動体通信網との通信を中継するアクセスポイントとを備える無線通信システムにおける前記第1無線端末であって、前記第2無線端末との通信を実行する第1端末通信部と、前記第2無線端末から、前記第2無線端末が前記アクセスポイントへ接続するために用いる認証情報を前記第1無線端末が代理で取得するよう要求する第1認証要求を受信した後、前記認証情報を、前記加入者識別情報を用いて要求する認証情報要求部と、前記認証情報要求部の要求に応じて取得された前記認証情報を、前記第1端末通信部を通じて前記第2無線端末へ送信する認証情報送信部とを備える。
本発明の別の無線端末は、移動体通信網における加入者識別情報を有する第1無線端末と、前記移動体通信網における加入者識別情報を有さない第2無線端末とを含む複数の無線端末と、前記第1無線端末と前記移動体通信網との通信を中継するアクセスポイントとを備える無線通信システムにおける前記第2無線端末であって、前記第1無線端末との通信を実行する第2端末通信部と、前記第2無線端末が前記アクセスポイントへ接続するために用いる認証情報を前記第1無線端末が代理で取得するよう要求する第1認証要求を、前記第2端末通信部を通じて前記第1無線端末へ送信する代理認証要求部とを備え、前記第2端末通信部は、前記第1認証要求に応じて前記第1無線端末から送信される前記認証情報を受信する。
本発明によれば、移動体通信網における加入者識別情報を有さない無線端末についても、加入者識別情報を用いる認証方法を使用できる。
本発明の第1実施形態に係る無線通信システムの構成を示すブロック図である。 第1実施形態の代理認証動作の一例を示すフロー図である。 第1実施形態の代理認証動作の一例を示すフロー図である。 第1実施形態に係る第1無線端末の構成を示すブロック図である。 第1実施形態に係る第2無線端末の構成を示すブロック図である。 第1実施形態に係るアクセスポイントの構成を示すブロック図である。 第1実施形態に係る認証装置の構成を示すブロック図である。 第2実施形態の代理認証動作の一例を示すフロー図である。 第2実施形態の代理認証動作の一例を示すフロー図である。 第2実施形態に係る第1無線端末の構成を示すブロック図である。 第2実施形態に係る第2無線端末の構成を示すブロック図である。 代理認証動作の変形例の一部を示すフロー図である。 変形例に係る第1実施形態の第1無線端末の構成を示すブロック図である。 変形例に係る第2実施形態の第1無線端末の構成を示すブロック図である。 変形例に係る第1実施形態の第2無線端末の構成を示すブロック図である。 変形例に係る第2実施形態の第2無線端末の構成を示すブロック図である。
以下、添付の図面を参照しながら本発明に係る様々な実施の形態を説明する。
1.第1実施形態
本実施形態では、移動体通信網MNWにおける加入者識別情報SIDを有する第1無線端末STA1が、加入者識別情報SIDを有さない第2無線端末STA2の代理として、自らの加入者識別情報SIDを用いて認証動作(ユーザ認証)を行う。第1無線端末STA1は、認証動作の結果として得た、アクセスポイントAPとの通信を暗号化する一時的な暗号化鍵である一時鍵PTK(pairwise transient key)を、第2無線端末STA2へ送信する。
1−1.無線通信システムの構成
図1は、本発明の第1実施形態に係る無線通信システムCSの構成を示す。無線通信システムCSは、第1無線端末STA1と、第2無線端末STA2と、アクセスポイントAPと、認証装置AAAと、加入者情報管理装置HSSとを備える。また、移動体通信網MNWは、以上の要素のうち、認証装置AAAと加入者情報管理装置HSSとを備える。以上の各要素は、無線通信システムCS内にそれぞれ複数存在し得る。
第1無線端末STA1と第2無線端末STA2とは、相互に無線通信が可能である。第1無線端末STA1と第2無線端末STA2との通信には、所定の無線通信技術、例えば、Bluetooth(登録商標)、NFC(Near Field Communication)等が用いられる。
第1無線端末STA1は、移動体通信網MNWにおける加入者識別情報SIDと加入者識別情報SIDに対応付けられた加入者登録情報Kとを有する。第1無線端末STA1は、移動体通信網MNW内の認証装置AAAに対して、加入者識別情報SIDを用いる認証方法で自端末を認証するよう、自らの加入者識別情報SIDを用いて要求することができる。
一方で、第2無線端末STA2は移動体通信網MNWにおける加入者識別情報SIDを有さない。そのため、第2無線端末STA2は、認証装置AAAに対し、加入者識別情報SIDを用いる認証方法で自端末を認証するよう要求することができない。
加入者情報管理装置HSSは、第1無線端末STA1の加入者識別情報SIDと加入者登録情報Kとを対応付けて記憶している。すなわち、第1無線端末STA1と加入者情報管理装置HSSとのそれぞれが、加入者識別情報SIDと加入者識別情報SIDに対応する加入者登録情報Kとを有している。
加入者情報管理装置HSSは、有線または無線にて認証装置AAAに接続される。認証装置AAAと加入者情報管理装置HSSとの通信と、認証装置AAAと第1無線端末STA1との通信とは、所定のアクセス技術(Radio Access Technology)、例えば3GPP規格(Third Generation Partnership Project)に規定されるLTE/SAE(Long Term Evolution / System Architecture Evolution)に従って実行される。
アクセスポイントAPは、認証装置AAAと、無線通信システムCSの外部ネットワークであるインターネットINとに接続される。以上の接続の形態は有線でも無線でもよい。アクセスポイントAPは、第1無線端末STA1と第2無線端末STA2とのそれぞれと無線通信を実行する基地局として機能する。具体的に、アクセスポイントAPは、第1無線端末STA1と認証装置AAAとの通信と、第1無線端末STA1とインターネットINとの通信とを中継する。また、アクセスポイントAPは、第2無線端末STA2とインターネットINとの通信を中継する。
アクセスポイントAPと各無線端末(第1無線端末STA1、第2無線端末STA2)とは、所定の無線アクセス技術、例えば無線LAN規格(例えば、IEEE 802.11n、IEEE802.11ac)に従って無線通信を行う。以下では、アクセスポイントAPと各無線端末とが無線LAN規格に従って無線通信を行う形態を例示して説明するが、本発明の技術的範囲を限定する趣旨ではない。本発明は、必要な設計上の変形を施した上で、他の無線アクセス技術(例えば、IEEE 802.16-2004およびIEEE 802.16eに規定されるWiMAX)にも適用可能である。
1−2.代理認証動作
1−2−1.代理認証動作の概要
以下、図2および図3を参照して、本実施形態の代理認証動作の一例を説明する。なお、本明細書内において、「代理認証動作」とは、加入者識別情報SIDを有する第1無線端末STA1が、加入者識別情報SIDを有さない第2無線端末STA2の代理で、自らの加入者識別情報SIDを用いて認証動作を実行し、その結果として得られる認証情報(例えば、通信暗号化鍵)を第2無線端末STA2へ送信する一連の動作を指すものとする。
概略的には、アクセスポイントAPを介してインターネットINとの通信を開始する第2無線端末STA2は、第1無線端末STA1に対し、第2無線端末STA2の代理として認証動作を実行するよう要求する。第2無線端末STA2の要求に応じて、第1無線端末STA1は自らの加入者識別情報SIDを用いて認証動作を行い、認証動作により生成される一時鍵PTKを第2無線端末STA2へ送信する。
以下の各実施形態では、無線端末とアクセスポイントAPとが共有するマスター鍵PMK(pairwise master key)がEAP-AKAに従って生成され、無線端末とアクセスポイントAPとが共有する一時鍵PTKが4ウェイハンドシェイク(4-way handshake)に従って生成される様子を説明するが、本願の発明の技術的範囲を限定する意図ではない。必要な設計上の変形を施した上で、他の認証プロトコル(例えば、EAP-SIM)が使用されてもよい。
1−2−2.代理認証動作の一例
図2および図3は、代理認証動作の一例を示すフロー図である。図2および図3の例では、第1無線端末STA1と加入者情報管理装置HSSとのそれぞれが、予め第1無線端末STA1の加入者識別情報SIDと当該加入者識別情報SIDに対応する加入者登録情報Kとを有していると想定する。
第2無線端末STA2がアクセスポイントAPを介して外部ネットワークであるインターネットINと通信を開始する場合、第2無線端末STA2はまず第1無線端末STA1との接続を確立する(S100)。第1無線端末STA1との接続を確立した後、第2無線端末STA2は、第1無線端末STA1と第2無線端末STA2との通信を暗号化する端末間暗号鍵TEKと、端末間暗号鍵TEKで暗号化された通信を復号化する端末間復号鍵TDKとを生成し(S110)、端末間暗号鍵TEKを第1無線端末STA1に送信する(S120)。
第2無線端末STA2は、当該第2無線端末STA2がアクセスポイントAPと接続および通信するために用いられる認証情報である一時鍵PTKを、第1無線端末STA1が代理で取得するよう要求する第1認証要求を、第1無線端末STA1へ送信する(S130)。第1認証要求には、第1認証要求を送信する無線端末STA(すなわち、第2無線端末STA2)の宛先情報(例えば、MACアドレス)が含まれてよい。
第1認証要求を受信した後、第1無線端末STA1は、マスター鍵PMKを生成する。マスター鍵PMKは、アクセスポイントAPと第1無線端末STA1との通信の暗号化に使用する通信暗号化鍵である一時鍵PTKに先立って生成される暗号化鍵であり、一時鍵PTKはマスター鍵PMKに基づいて生成される。以下にマスター鍵PMK生成の手順(ステップS140からS230)を説明する。
第1認証要求を受信すると、第1無線端末STA1は、自らの加入者識別情報SIDを搭載した第2認証要求を、アクセスポイントAPを介して認証装置AAAへ送信する(S140)。第2認証要求は、搭載した加入者識別情報SIDを有する無線端末STA(すなわち、第1無線端末STA1)を認証装置AAAが認証するよう要求するメッセージである。
第2認証要求を受信すると、認証装置AAAは、認証用パラメタ要求メッセージを加入者情報管理装置HSSへ送信する(S150)。認証用パラメタ要求メッセージは、認証用パラメタを要求するメッセージであり、第2認証要求に搭載された加入者識別情報SIDを含む。認証用パラメタは、当該加入者識別情報SIDに対応する情報であり、当該加入者識別情報SIDを有する無線端末STA(すなわち、第1無線端末STA1)を認証するための情報である。
認証用パラメタ要求メッセージを受信すると、加入者情報管理装置HSSは、認証用パラメタ要求メッセージに含まれる加入者識別情報SIDに対応する加入者登録情報Kを検索する。そして、当該加入者登録情報Kを用いて加入者識別情報SIDに対応する認証用パラメタを生成し(S160)、認証装置AAAへ送信する(S170)。認証用パラメタは、マスター鍵PMKの生成に用いられる鍵情報KMと、第1無線端末STA1が移動体通信網MNWを検証するために用いられるネットワーク認証トークンAUTNと、認証装置AAAが第1無線端末STA1を検証するために用いられる端末検証用パラメタXRESとを含む。
認証用パラメタを受信すると、認証装置AAAは、受信した認証用パラメタに含まれる鍵情報KMを用いてアクセスポイントマスター鍵APMKを生成する(S180)。そして、アクセスポイントマスター鍵APMKを用いて生成した第1メッセージ認証コード(message authentication code)MAC1と、ネットワーク認証トークンAUTNとを含むチャレンジメッセージを、アクセスポイントAPを介して第1無線端末STA1へ送信する(S190)。
チャレンジメッセージを受信すると、第1無線端末STA1はチャレンジメッセージに含まれるネットワーク認証トークンAUTNに基づき、通信している相手が正当な移動体通信網MNWであることを検証する。続いて、第1無線端末STA1は自らが有する加入者登録情報Kを用いて鍵情報KMを生成し、鍵情報KMを用いて端末マスター鍵SPMKを生成する(S200)。そして、チャレンジメッセージに含まれる第1メッセージ認証コードMAC1に基づき、第1無線端末STA1が生成した端末マスター鍵SPMKと認証装置AAAが生成したアクセスポイントマスター鍵APMKとが一致することを検証する。その後、第1無線端末STA1は、認証装置AAAが第1無線端末STA1を検証するために用いる端末検証用パラメタRESと、端末マスター鍵SPMKを用いて生成した第2メッセージ認証コードMAC2とを含むレスポンスメッセージを、アクセスポイントAPを介して認証装置AAAへ送信する(S210)。端末検証用パラメタRESは、第1無線端末STA1が自らの加入者登録情報Kを用いて生成するパラメタである。
レスポンスメッセージを受信すると、認証装置AAAは、レスポンスメッセージに含まれる端末検証用パラメタRESと、加入者情報管理装置HSSから受信した認証用パラメタに含まれる端末検証用パラメタXRESとに基づき、通信している相手が正当な第1無線端末STA1であることを検証する。また、レスポンスメッセージに含まれる第2メッセージ認証コードMAC2に基づき、第1無線端末STA1が生成した端末マスター鍵SPMKと認証装置AAAが生成したアクセスポイントマスター鍵APMKとが一致することを検証する。これら、端末検証用パラメタRESと第2メッセージ認証コードMAC2との検証の後、認証装置AAAは、第1無線端末STA1を認証する判定を下し(S220)、アクセスポイントAPを介して、当該判定(認証成功)を第1無線端末STA1へ通知する(S230)。また、認証装置AAAは、アクセスポイントマスター鍵APMKをアクセスポイントAPへ送信する(S240)。
認証成功が通知された後、第1無線端末STA1は、アクセスポイントAPとの通信の暗号化に使用する通信暗号化鍵である一時鍵PTKを生成する。一時鍵PTKは、第1無線端末STA1とアクセスポイントAPとで共通のマスター鍵PMK(端末マスター鍵SPMK、アクセスポイントマスター鍵APMK)に基づいて生成される。以下に一時鍵PTK生成の手順(ステップS250からS300)を説明する。
アクセスポイントマスター鍵APMKの受信後、アクセスポイントAPはアクセスポイント乱数ANONCEを生成し、アクセスポイント乱数ANONCEを含む第1メッセージフレームを第1無線端末STA1へ送信する(S250)。
第1メッセージフレームの受信後、第1無線端末STA1は、端末乱数SNONCEを生成する。そして、端末乱数SNONCEと、受信した第1メッセージフレームに含まれるアクセスポイント乱数ANONCEと、端末マスター鍵SPMKとに基づいて、端末一時鍵SPTKを生成する(S260)。続いて、端末一時鍵SPTKに基づいて生成した第1メッセージ完全性コード(message integrity code)MIC1と、端末乱数SNONCEとを含む第2メッセージフレームをアクセスポイントAPへ送信する(S270)。
第2メッセージフレームは、第1無線端末STA1が生成した端末一時鍵SPTKと、アクセスポイントAPが第2メッセージフレームに基づいて生成する一時鍵PTKとが、第1無線端末STA1が代理する無線端末STA(すなわち、第2無線端末STA2)との通信に用いられることをアクセスポイントAPに知らせる端末情報通知を含む。端末情報通知には、第2無線端末STA2の宛先情報(例えば、第2無線端末STA2のMACアドレス)が含まれる。
第2メッセージフレームを受信すると、アクセスポイントAPは第2メッセージフレームに含まれる端末乱数SNONCEと、アクセスポイント乱数ANONCEと、アクセスポイントマスター鍵APMKとに基づいて、アクセスポイント一時鍵APTKを生成する(S280)。そして、端末一時鍵SPTKに基づいて生成された第1メッセージ完全性コードMIC1と一致するメッセージ完全性コードMICを、アクセスポイントAPが生成したアクセスポイント一時鍵APTKを用いて生成できることを検証する。その後、アクセスポイントAPは、アクセスポイント一時鍵APTKに基づいて生成した第2メッセージ完全性コードMIC2を含む第3メッセージフレームを第1無線端末STA1へ送信する(S290)。
第3メッセージフレームを受信すると、第1無線端末STA1は、アクセスポイント一時鍵APTKに基づいて生成された第2メッセージ完全性コードMIC2と一致するメッセージ完全性コードMICを、第1無線端末STA1が生成した端末一時鍵SPTKを用いて生成できることを検証する。その後、端末一時鍵SPTKに基づいて生成した第3メッセージ完全性コードMIC3を含む第4メッセージフレームが第1無線端末STA1からアクセスポイントAPへ送信される(S300)。
第4メッセージフレームの受信後、アクセスポイントAPは上述と同様の手順で第4メッセージフレームに含まれる第3メッセージ完全性コードMIC3を検証する。その後、アクセスポイントAPは、端末情報通知により通知された無線端末STA(すなわち、第2無線端末STA2)との通信に、アクセスポイント一時鍵APTKを使用するよう、自身を設定する。
第4メッセージフレームをアクセスポイントAPへ送信後、第1無線端末STA1は、生成した端末一時鍵SPTKを、ステップS120で第2無線端末STA2から受信した端末間暗号鍵TEKで暗号化し、第2無線端末STA2へ送信する(S310)。なお、端末一時鍵SPTKは、端末情報通知の送信後に送信されればよく、第4メッセージフレームの送信前に送信されてもよい。
暗号化された端末一時鍵SPTKを第1無線端末STA1から受信した後、第2無線端末STA2はステップS110で生成した端末間復号鍵TDKを用いて復号化し、端末一時鍵SPTKを用いてアクセスポイントAPへ接続し、通信を開始する(S320)。
第2無線端末STA2とアクセスポイントAPとの接続が維持されている間、アクセスポイントAPと第1無線端末STA1とは間欠的に上述の共通一時鍵PTK生成手順(S250からS300)を実行する(S330からS380)。なお、端末情報通知は、共通一時鍵PTK生成手順が実行される度に送信されて(ステップS270およびS350の第2メッセージフレームに含まれて)もよいし、初回の共通一時鍵PTK生成手順のみで送信されて(ステップS270の第2メッセージフレームのみに含まれて)もよい。
端末一時鍵SPTKが新たに生成される度に、第1無線端末STA1は新たな端末一時鍵SPTKを端末間暗号鍵TEKで暗号化して第2無線端末STA2へ送信する(S390)。すなわち、第2無線端末STA2が第1認証要求を送信した後(S130)、第2無線端末STA2とアクセスポイントAPとの接続が切断されるまで、第1無線端末STA1と第2無線端末STA2との接続は維持される。
第2無線端末STA2とアクセスポイントAPとの接続が切断された後(S400)、第1無線端末STA1と第2無線端末STA2との接続が切断される(S410)。
以上に説明した代理認証動作によれば、移動体通信網MNWにおける加入者識別情報SIDを有さない第2無線端末STA2についても、加入者識別情報SIDを用いる認証方法を適用し得る。
1−3.各要素の構成
1−3−1.第1無線端末の構成
図4は、第1実施形態に係る第1無線端末STA1の構成を示すブロック図である。第1無線端末STA1は、無線通信部110と、端末通信部120と、記憶部130と、制御部140とを備える。なお、音声及び映像等を出力する出力装置およびユーザからの指示を受け付ける入力装置等の図示は、便宜的に省略されている。
無線通信部110は、アクセスポイントAPと無線通信を実行するための要素であり、無線信号を受信する受信回路と無線信号を送信する送信回路とを含む。端末通信部120は、第2無線端末STA2と無線通信を実行するための要素であり、無線信号を受信する受信回路と無線信号を送信する送信回路とを含む。なお、第1無線端末STA1と第2無線端末STA2とがWi-Fi Direct等の無線LAN規格に従って無線通信を行う場合、第1無線端末STA1は端末通信部120を含まずに無線通信部110によって第2無線端末STA2との無線通信を行ってもよい。
記憶部130は、第1無線端末STA1の制御に関連するコンピュータプログラムと認証動作に関わる情報(例えば、端末マスター鍵SPMK、端末間暗号鍵TEK)とを格納する。制御部140は、認証情報要求部142と、マスター鍵生成部144と、レスポンス送信部146と、端末乱数生成部148と、一時鍵生成部150と、フレーム送信部152と、端末間通信暗号化部154と、認証情報送信部156とを要素として含む。
認証情報要求部142は、第2無線端末STA2から第1認証要求を受信すると、アクセスポイントAPへ接続するために用いる認証情報を第1無線端末STA1が有する加入者識別情報SIDを用いて要求する要素であり、アクセスポイントAPを介して、第2認証要求を認証装置AAAへ送信する。マスター鍵生成部144は、加入者登録情報Kに基づいて、端末マスター鍵SPMKを生成する。レスポンス送信部146は、チャレンジメッセージを受信した後、第2メッセージ認証コードMAC2等を含むレスポンスメッセージを認証装置AAAへ送信する。端末乱数生成部148は、端末乱数SNONCEを生成する。一時鍵生成部150は、アクセスポイント乱数ANONCEと端末乱数SNONCEと端末マスター鍵SPMKとに基づいて、端末一時鍵SPTKを生成する。フレーム送信部152は、メッセージフレーム(第2メッセージフレーム、第4メッセージフレーム)をアクセスポイントAPへ送信する。端末間通信暗号化部154は、端末間暗号鍵TEKを用いて、第2無線端末STA2へ送信する端末一時鍵SPTKを暗号化する。認証情報送信部156は、端末通信部120を通じて、暗号化された端末一時鍵SPTKを第2無線端末STA2へ送信する。
制御部140および制御部140に含まれる各要素は、第1無線端末STA1内の不図示のCPU(Central Processing Unit)が、記憶部130に記憶されたコンピュータプログラムを実行し、そのコンピュータプログラムに従って機能することにより実現される機能ブロックである。
1−3−2.第2無線端末の構成
図5は、第1実施形態に係る第2無線端末STA2の構成を示すブロック図である。第2無線端末STA2は、無線通信部210と、端末通信部220と、記憶部230と、制御部240とを備える。なお、音声及び映像等を出力する出力装置およびユーザからの指示を受け付ける入力装置等の図示は、便宜的に省略されている。
無線通信部210は、アクセスポイントAPと無線通信を実行するための要素であり、第1無線端末STA1の無線通信部110と同様の構成を有する。端末通信部220は、第2無線端末STA2と無線通信を実行するための要素であり、第1無線端末STA1の端末通信部120と同様の構成を有する。なお、第1無線端末STA1と第2無線端末STA2とがWi-Fi Direct等の無線LAN規格に従って無線通信を行う場合、第2無線端末STA2は端末通信部220を含まずに無線通信部210によって第1無線端末STA1との無線通信を行ってもよい。
記憶部230は、第2無線端末STA2の制御に関連するコンピュータプログラムと認証に関わる情報(例えば、端末一時鍵SPTK、端末間復号鍵TDK)とを格納する。制御部240は、代理認証要求部242と、端末間鍵生成部250と、端末間鍵送信部252とを要素として含む。
代理認証要求部242は、端末通信部220を通じて、第1認証要求を第1無線端末STA1へ送信する。端末間鍵生成部250は、端末間暗号鍵TEKと端末間復号鍵TDKとを生成する。端末間鍵送信部252は、端末間鍵生成部250が生成した端末間暗号鍵TEKを第1無線端末STA1へ送信する。
制御部240および制御部240に含まれる各要素は、第2無線端末STA2内の不図示のCPUが、記憶部230に記憶されたコンピュータプログラムを実行し、そのコンピュータプログラムに従って機能することにより実現される機能ブロックである。
1−3−3.アクセスポイントの構成
図6は、第1実施形態に係るアクセスポイントAPの構成を示すブロック図である。アクセスポイントAPは、無線通信部310と、ネットワーク通信部320と、外部ネットワーク通信部330と、記憶部340と、制御部350とを備える。
無線通信部310は、第1無線端末STA1と第2無線端末STA2とのそれぞれと無線通信を実行するための要素であり、無線信号を受信する受信回路と無線信号を送信する送信回路とを含む。ネットワーク通信部320は、認証装置AAAと通信を実行するための要素であり、有線または無線で電気信号を送受信する。外部ネットワーク通信部330は、インターネットINと通信を実行するための要素であり、有線または無線で電気信号を送受信する。また、外部ネットワーク通信部330は必要に応じて信号のプロトコル変換を実行する。記憶部340はアクセスポイントAPの制御に関連するコンピュータプログラムと認証に関わる情報(例えば、アクセスポイントマスター鍵APMK)とを格納する。制御部350は、アクセスポイント乱数生成部352と、フレーム送信部354と、一時鍵生成部356とを備える。
アクセスポイント乱数生成部352は、アクセスポイント乱数ANONCEを生成する。フレーム送信部354は、メッセージフレーム(第1メッセージフレーム、第3メッセージフレーム)を第1無線端末STA1へ送信する。一時鍵生成部356は、アクセスポイント乱数ANONCEと端末乱数SNONCEとアクセスポイントマスター鍵APMKとに基づいて、アクセスポイント一時鍵APTKを生成する。
制御部350および制御部350に含まれる各要素は、アクセスポイントAP内の不図示のCPUが、記憶部340に記憶されたコンピュータプログラムを実行し、そのコンピュータプログラムに従って機能することにより実現される機能ブロックである。
1−3−4.認証装置の構成
図7は、第1実施形態に係る認証装置AAAの構成を示すブロック図である。認証装置AAAは、ネットワーク通信部410と、記憶部420と、制御部430とを備える。
ネットワーク通信部410は、加入者情報管理装置HSSおよびアクセスポイントAPと通信を実行するための要素であり、アクセスポイントAPのネットワーク通信部320と同様の構成を有する。記憶部420は認証装置AAAの制御に関連するコンピュータプログラムと認証動作に関わる情報(例えば、認証用パラメタ)とを格納する。制御部430は、認証用パラメタ取得部432と、マスター鍵生成部434と、チャレンジ送信部436と、認証判定部438と、判定結果通知部440と、マスター鍵送信部442とを備える。
認証用パラメタ取得部432は、第2認証要求に含まれる加入者識別情報SIDに対応する認証用パラメタを、加入者情報管理装置HSSから取得する要素であり、認証用パラメタ要求メッセージを送信する。マスター鍵生成部434は、取得した認証用パラメタに含まれる情報を用いて、アクセスポイントマスター鍵APMKを生成する。チャレンジ送信部436は、第1メッセージ認証コードMAC1等を含むチャレンジメッセージを第1無線端末STA1へ送信する。認証判定部438は、第1無線端末STA1から受信したレスポンスメッセージに含まれる情報に基づき、第1無線端末STA1を認証する判定を下す。判定結果通知部440は、認証判定部438が下した判定(例えば、認証成功)を、アクセスポイントAPを介して第1無線端末STA1へ通知する。マスター鍵送信部442は、マスター鍵生成部434が生成したアクセスポイントマスター鍵APMKをアクセスポイントAPへ送信する。
制御部430および制御部430に含まれる各要素は、認証装置AAA内の不図示のCPUが、記憶部420に記憶されたコンピュータプログラムを実行し、そのコンピュータプログラムに従って機能することにより実現される機能ブロックである。
1−4.本実施形態の効果
以上の構成によれば、移動体通信網MNWにおける加入者識別情報SIDを有さない第2無線端末STA2についても、加入者識別情報SIDを用いる認証方法を使用し得る。具体的に、第2無線端末STA2は、加入者識別情報SIDを用いる認証方法による認証動作で生成される認証情報である通信暗号化鍵(一時鍵PTK)を用いて、アクセスポイントAPとの通信を暗号化し得る。上述のように、加入者識別情報SIDを用いる認証方法により生成された通信暗号化鍵は、加入者識別情報SIDを用いない認証方法により生成された通信暗号化鍵よりも、より特定されにくい場合があると理解される。したがって、本実施形態の例では、加入者識別情報SIDを用いない認証方法による認証動作を行ってアクセスポイントAPに接続する構成に比べ、第2無線端末STA2とアクセスポイントAPとがより機密性の高い通信を実行し得る。
さらに、以上の構成によれば、第1無線端末STA1が有する加入者識別情報SIDを用いて認証動作が実行されるため、第2無線端末STA2のユーザはパスワード等の認証情報を入力する必要がない。そのため、第2無線端末STA2のユーザがより容易にアクセスポイントAPへ接続し得る。
2.第2実施形態
本発明の第2実施形態を以下に説明する。以下に例示する各実施形態において、作用、機能が第1実施形態と同等である要素については、以上の説明で参照した符号を流用して各々の説明を適宜に省略する。
2−1.代理認証動作の一例
第1実施形態では、一時鍵PTK(端末一時鍵SPTK)が第1無線端末STA1から第2無線端末STA2へ送信される。第2実施形態では、マスター鍵PMKが第1無線端末STA1から第2無線端末STA2へ送信される。
図8および図9を参照して、本実施形態の代理認証動作の一例を説明する。この例では、第1実施形態(図2および図3)と同様、第1無線端末STA1と加入者情報管理装置HSSとのそれぞれが、予め第1無線端末STA1の加入者識別情報SIDと当該加入者識別情報SIDに対応する加入者登録情報Kとを有していると想定する。
第2無線端末STA2による第1無線端末STA1との接続の確立(S500)から、認証装置AAAからアクセスポイントAPへのアクセスポイントマスター鍵APMKの送信(S640)は、第1実施形態のステップS100からS240までと同様であるから、説明を省略する。
第1無線端末STA1の認証成功が認証装置AAAから通知された後(S630)、第1無線端末STA1は、第1無線端末STA1とアクセスポイントAPとがそれぞれ生成したマスター鍵PMK(端末マスター鍵SPMK、アクセスポイントマスター鍵APMK)が、第1無線端末STA1が代理する無線端末STA(すなわち、第2無線端末STA2)との通信に用いられることを知らせる端末情報通知をアクセスポイントAPへ送信する(S650)。端末情報通知には、第2無線端末STA2の宛先情報(例えば、第2無線端末STA2のMACアドレス)が含まれる。その後、第1無線端末STA1は、ステップS520で第2無線端末STA2から受信した端末間暗号鍵TEKで端末マスター鍵SPMKを暗号化し、第2無線端末STA2へ送信する(S660)。送信が完了した後、第1無線端末STA1と第2無線端末STA2との接続が切断される(S670)。
アクセスポイントマスター鍵APMKの受信後、アクセスポイントAPはアクセスポイント乱数ANONCEを生成し、アクセスポイント乱数ANONCEを含む第1メッセージフレームを、端末情報通知により通知された無線端末STA(すなわち、第2無線端末STA2)へ送信する(S680)。
第1メッセージフレームの受信後、第2無線端末STA2は、端末乱数SNONCEを生成する。そして、端末乱数SNONCEと、受信した第1メッセージフレームに含まれるアクセスポイント乱数ANONCEと、ステップS510で生成した端末間復号鍵TDKを用いて復号化された端末マスター鍵SPMKとに基づいて、端末一時鍵SPTKを生成する(S690)。続いて、第2無線端末STA2は、端末一時鍵SPTKに基づいて生成した第1メッセージ完全性コード(message integrity code)MIC1と、端末乱数SNONCEとを含む第2メッセージフレームをアクセスポイントAPへ送信する(S700)。
第2メッセージフレームを受信すると、アクセスポイントAPは、第2メッセージフレームに含まれる端末乱数SNONCEと、アクセスポイント乱数ANONCEと、アクセスポイントマスター鍵APMKとに基づいて、アクセスポイント一時鍵APTKを生成する(S710)。そして、端末一時鍵SPTKに基づいて生成された第1メッセージ完全性コードMIC1と一致するメッセージ完全性コードMICを、アクセスポイントAPが生成したアクセスポイント一時鍵APTKを用いて生成できることを検証する。その後、アクセスポイントAPは、アクセスポイント一時鍵APTKに基づいて生成した第2メッセージ完全性コードMIC2を含む第3メッセージフレームを第2無線端末STA2へ送信する(S720)。
第3メッセージフレームを受信すると、第2無線端末STA2は、アクセスポイント一時鍵APTKに基づいて生成された第2メッセージ完全性コードMIC2と一致するメッセージ完全性コードMICを、第2無線端末STA2が生成した端末一時鍵SPTKを用いて生成できることを検証する。その後、第2無線端末STA2は、端末一時鍵SPTKに基づいて生成した第3メッセージ完全性コードMIC3を含む第4メッセージフレームを第2無線端末STA2はアクセスポイントAPへ送信する(S730)。
第4メッセージフレームの受信後、アクセスポイントAPは上述と同様の手順で第4メッセージフレームに含まれる第3メッセージ完全性コードMIC3を検証する。その後、アクセスポイントAPは、第2無線端末STA2との通信にアクセスポイント一時鍵APTKを使用するよう、自身を設定する。
第4メッセージフレームをアクセスポイントAPへ送信後、第2無線端末STA2は、生成した端末一時鍵SPTKを用いてアクセスポイントAPへ接続し、通信を開始する(S740)。
第2無線端末STA2がアクセスポイントAPと接続した後、第2無線端末STA2とアクセスポイントAPとの接続が切断される(S810)までの間(すなわち、第2無線端末STA2とアクセスポイントAPとの接続が維持されている間)、アクセスポイントAPと第2無線端末STA2とは間欠的に上述の共通一時鍵PTK生成手順(S680からS730)を実行する(S750からS800)。
なお、本実施形態では、第1無線端末STA1と第2無線端末STA2との接続が、端末マスター鍵SPMKの送信(S660)後に切断される(S670)例を示す。しかし、第1無線端末STA1と第2無線端末STA2との接続は、第1認証要求の送信(S530)から端末マスター鍵SPMKの送信完了(S660)まで維持されればよく、例示したタイミング以外で切断されてもよい。例えば、第1実施形態(S410)と同様に、第2無線端末STA2とアクセスポイントAPとの接続が切断(S810)された後に、第1無線端末STA1と第2無線端末STA2との接続が切断されてもよい。
以上に説明した代理認証動作によれば、移動体通信網MNWにおける加入者識別情報SIDを有さない第2無線端末STA2についても、加入者識別情報SIDを用いる認証方法を適用し得る。
2−2.各要素の構成
2−2−1.第1無線端末の構成
図10は、第2実施形態に係る第1無線端末STA1の構成を示すブロック図である。第1無線端末STA1は、無線通信部110と、端末通信部120と、記憶部130と、制御部140とを備える。なお、音声及び映像等を出力する出力装置およびユーザからの指示を受け付ける入力装置等の図示は、便宜的に省略されている。
無線通信部110と端末通信部120とは、それぞれ第1実施形態の第1無線端末STA1が有する無線通信部110と端末通信部120と同様の構成を有するため、説明を省略する。
記憶部130は、第1無線端末STA1の制御に関連するコンピュータプログラムと認証動作に関わる情報(例えば、端末マスター鍵SPMK、端末間暗号鍵TEK)とを格納する。制御部140は、認証情報要求部142と、マスター鍵生成部144と、レスポンス送信部146と、端末間通信暗号化部154と、認証情報送信部156とを要素として含む。
認証情報要求部142は、第2無線端末STA2から第1認証要求を受信すると、アクセスポイントAPへ接続するための認証情報を第1無線端末STA1が有する加入者識別情報SIDを用いて要求する要素であり、アクセスポイントAPを介して、第2認証要求を認証装置AAAへ送信する。マスター鍵生成部144は、加入者登録情報Kに基づいて、端末マスター鍵SPMKを生成する。レスポンス送信部146は、チャレンジメッセージを受信した後、第2メッセージ認証コードMAC2等を含むレスポンスメッセージを認証装置AAAへ送信する。端末間通信暗号化部154は、端末間暗号鍵TEKを用いて、第2無線端末STA2へ送信する端末マスター鍵SPMKを暗号化する。認証情報送信部156は、端末通信部120を通じて、暗号化された端末マスター鍵SPMKを第2無線端末STA2へ送信する。
制御部140および制御部140に含まれる各要素は、第1無線端末STA1内の不図示のCPUが、記憶部130に記憶されたコンピュータプログラムを実行し、そのコンピュータプログラムに従って機能することにより実現される機能ブロックである。
2−2−2.第2無線端末の構成
図11は、第2実施形態に係る第2無線端末STA2の構成の一例を示すブロック図である。第2無線端末STA2は、無線通信部210と、端末通信部220と、記憶部230と、制御部240とを備える。なお、音声及び映像等を出力する出力装置およびユーザからの指示を受け付ける入力装置等の図示は、便宜的に省略されている。
無線通信部210と端末通信部220とは、それぞれ第1実施形態の第2無線端末STA2が有する無線通信部210と端末通信部220と同様の構成を有するため、説明を省略する。
記憶部230は、第2無線端末STA2の制御に関連するコンピュータプログラムと認証に関わる情報(例えば、端末マスター鍵SPMK、端末間復号鍵TDK)とを格納する。制御部240は、代理認証要求部242と、端末乱数生成部244と、一時鍵生成部246と、フレーム送信部248と、端末間鍵生成部250と、端末間鍵送信部252とを要素として含む。
代理認証要求部242は、端末通信部220を通じて、第1認証要求を第1無線端末STA1へ送信する。端末乱数生成部244は、端末乱数SNONCEを生成する。一時鍵生成部246は、アクセスポイント乱数ANONCEと端末乱数SNONCEと端末マスター鍵SPMKとに基づいて、端末一時鍵SPTKを生成する。フレーム送信部248は、メッセージフレーム(第2メッセージフレーム、第4メッセージフレーム)をアクセスポイントAPへ送信する。端末間鍵生成部250は、端末間暗号鍵TEKと端末間復号鍵TDKとを生成する。端末間鍵送信部252は、端末間鍵生成部250が生成した端末間暗号鍵TEKを第1無線端末STA1へ送信する。
制御部240および制御部240に含まれる各要素は、第2無線端末STA2内の不図示のCPUが、記憶部230に記憶されたコンピュータプログラムを実行し、そのコンピュータプログラムに従って機能することにより実現される機能ブロックである。
2−2−3.アクセスポイントの構成
第2実施形態のアクセスポイントAPは、第1実施形態のアクセスポイントAPと同様の構成を有するため、説明を省略する。ただし、フレーム送信部354は、第1無線端末STA1の代わりに、端末情報通知(S650)により通知された無線端末STA(すなわち、第2無線端末STA2)へ、メッセージフレーム(第1メッセージフレーム、第3メッセージフレーム)を送信する。
2−2−4.認証装置の構成
第2実施形態の認証装置AAAは、第1実施形態の認証装置AAAと同様の構成を有するため、説明を省略する。
2−3.本実施形態の効果
以上の構成によれば、移動体通信網MNWにおける加入者識別情報SIDを有さない第2無線端末STA2についても、加入者識別情報SIDを用いる認証方法を使用し得る。具体的に、第2無線端末STA2は、加入者識別情報SIDを用いる認証方法による認証動作で生成される認証情報であるマスター鍵PMKを用いて、アクセスポイントAPとの通信を暗号化する通信暗号化鍵(一時鍵PTK)を生成し、アクセスポイントAPとの通信の暗号化に用い得る。上述のように、加入者識別情報SIDを用いる認証方法により生成された認証情報に基づく通信暗号化鍵は、加入者識別情報SIDを用いない認証方法により生成された通信暗号化鍵よりも、より特定されにくい場合があると理解される。したがって、本実施形態の例では、加入者識別情報SIDを用いない認証方法による認証動作を行ってアクセスポイントAPに接続する構成に比べ、第2無線端末STA2とアクセスポイントAPとがより機密性の高い通信を実行し得る。
さらに、以上の構成によれば、第1無線端末STA1が有する加入者識別情報SIDを用いてユーザ認証を実行するため、第2無線端末STA2のユーザがパスワード等の認証情報を入力する必要がない。そのため、第2無線端末STA2のユーザがより容易にアクセスポイントAPへ接続し得る。
3.変形例
以上の実施の形態は多様に変形される。具体的な変形の態様を以下に例示する。以下の例示から任意に選択された2以上の態様は相互に矛盾しない限り適宜に併合され得る。
3−1.変形例1
以上の各実施形態において、第1無線端末STA1から送信される認証情報は、第2無線端末STA2の端末間鍵生成部250により生成される端末間暗号鍵TEKを用いて暗号化される。同様に、第1無線端末STA1が端末間暗号鍵を生成し、当該端末間暗号鍵を用いて、第2無線端末STA2から第1無線端末STA1への通信(例えば、第1認証要求)が暗号化されてもよい。
3−1−1.変形例1(1)
図12を参照して、本変形例の動作フローを説明する。この動作フローは、図2のステップS100からS130、および図8のステップS500からS530に代えて実行され得る。
第1無線端末STA1と第2無線端末STA2とが接続を確立する(S900)のは、上述の各実施形態と同様である。その後、第1無線端末STA1は、第1無線端末STA1と第2無線端末STA2との通信を暗号化する第2端末間暗号鍵TEK2と、第2端末間暗号鍵TEK2で暗号化された通信を復号化する第2端末間復号鍵TDK2とを生成し(S910)、第2端末間暗号鍵TEK2を第2無線端末STA2に送信する(S920)。上述の各実施形態と同様に、第2無線端末STA2は、端末間暗号鍵TEKを生成し(S930)、第1無線端末STA1へ送信する(S940)。第2無線端末STA2は、受信した第2端末間暗号鍵TEK2を用いて第1認証要求を暗号化し、第1無線端末STA1へ送信する(S950)。
図13は、本変形例を適用した第1実施形態の第1無線端末STA1の構成例を示すブロック図であり、図14は、本変形例を適用した第2実施形態の第1無線端末STA1の構成例を示すブロック図である。図13および図14のそれぞれにおいて、第1無線端末STA1は、各実施形態で上述した要素に加え、端末間鍵生成部158と、端末間鍵送信部160とを含む。端末間鍵生成部158は、第2端末間暗号鍵TEK2と第2端末間復号鍵TDK2とを生成する。端末間鍵送信部160は、第2端末間暗号鍵TEK2を第2無線端末STA2へ送信する。
図15は、本変形例を適用した第1実施形態の第2無線端末STA2の構成例を示すブロック図であり、図16は、本変形例を適用した第2実施形態の第2無線端末STA2の構成例を示すブロック図である。図15および図16のそれぞれにおいて、第2無線端末STA2は、各実施形態で上述した要素に加え、端末間通信暗号化部254を含む。端末間通信暗号化部254は、第1無線端末STA1から受信した第2端末間暗号鍵TEK2を用いて、第1認証要求を暗号化する。暗号化された第1認証要求は、代理認証要求部242により第1無線端末STA1へ送信される。
本変形例によれば、第2無線端末STA2から送信される第1認証要求が暗号化されて送信される。結果として、第1無線端末STA1と第2無線端末STA2との通信の機密性、ひいては第2無線端末STA2とアクセスポイントAPとの通信の機密性がより高く保たれ得るという効果を奏し得る。
なお、図12では、端末間暗号鍵TEKが第2無線端末STA2から送信される(S940)前に、第2端末間暗号鍵TEK2が第1無線端末STA1から送信される(S920)例が示されるが、端末間暗号鍵TEKが第2無線端末STA2から送信された後に、第2端末間暗号鍵TEK2が第1無線端末STA1から送信されてもよい。この場合にも、上述と同様の効果を奏し得る。
3−1−2.変形例1(2)
以上に説明した変形例では、第2端末間暗号鍵TEK2を用いて第1認証要求が暗号化される。第2端末間暗号鍵TEK2が端末間暗号鍵TEKより前に送信される構成において、第2無線端末STA2は、第1認証要求に加え、端末間暗号鍵TEKも第2端末間暗号鍵TEK2を用いて暗号化し、送信してもよい。
本変形例によれば、端末間暗号鍵TEKが暗号化されて送信されるため、端末間暗号鍵TEKが盗聴される危険性が低くなると理解される。そのため、第1無線端末STA1と第2無線端末STA2との通信の機密性、ひいては第2無線端末STA2とアクセスポイントAPとの通信の機密性がさらにより高く保たれるという効果を奏し得る。この効果は、端末間暗号鍵TEKと端末間復号鍵TDKとが一致する暗号方式(例えば、共通鍵暗号方式)が用いられる場合、特に顕著であると理解される。
3−2.変形例2
第1無線端末STA1と第2無線端末STA2との通信の暗号方式には、共通鍵暗号方式が用いられ得る。この場合、第2無線端末STA2の端末間鍵生成部250は、端末間暗号鍵TEKと端末間復号鍵TDKとの両方を兼ねる共通鍵を生成する(S110、S510)。第2無線端末STA2の端末間鍵送信部252は、当該共通鍵を第1無線端末STA1へ送信する(S120、S520)。第1無線端末STA1の端末間通信暗号化部154は、受信した共通鍵を用いて認証情報(端末一時鍵SPTK、端末マスター鍵SPMK)を暗号化する。第2無線端末STA2は、端末間鍵送信部252が送信した共通鍵と同一の共通鍵を用いて、暗号化された認証情報を復号化する。
3−3.変形例3
第1無線端末STA1と第2無線端末STA2との通信の暗号方式には、公開鍵暗号方式が用いられ得る。この場合、第2無線端末STA2の端末間鍵生成部250は、端末間暗号鍵TEKとして公開鍵を生成し、端末間復号鍵TDKとして秘密鍵を生成する(S110、S510)。第2無線端末STA2の端末間鍵送信部252は、公開鍵を第1無線端末STA1へ送信する(S120、S520)。第1無線端末STA1の端末間通信暗号化部154は、受信した公開鍵を用いて認証情報(端末一時鍵SPTK、端末マスター鍵SPMK)を暗号化する。第2無線端末STA2は、秘密鍵を用いて、公開鍵で暗号化された認証情報を復号化する。
本変形例を採用する場合、端末間復号鍵TDKである秘密鍵は、第2無線端末STA2のみが有し、第1無線端末STA1へ送信されない。そのため、端末間復号鍵TDKと一致する端末間暗号鍵TEKが送信される構成(例えば、第1無線端末STA1と第2無線端末STA2との通信の暗号方式に共通鍵暗号方式を用いる構成)と比べ、端末間復号鍵TDKが盗聴等により特定されにくいと理解される。結果として、第1無線端末STA1と第2無線端末STA2との通信の機密性、ひいては第2無線端末STA2とアクセスポイントAPとの通信の機密性がより高く保たれるという効果を奏し得る。
3−4.変形例4
第1無線端末STA1と第2無線端末STA2との通信の暗号方式には、公開鍵暗号方式と秘密鍵暗号方式との両方を用いた暗号方式(例えば、TLS(transport layer security)暗号方式)が用いられ得る。この場合、第1無線端末STA1が、変形例1で上述した構成を有すると好適である。
具体的に、第1無線端末STA1の端末間鍵生成部158は、第2端末間暗号鍵TEK2として公開鍵を生成し、第2端末間復号鍵TDK2として秘密鍵を生成する(S910)。端末間鍵送信部160は、公開鍵(第2端末間暗号鍵TEK2)を第2無線端末STA2へ送信する(S920)。第2無線端末STA2の端末間鍵生成部250は、端末間暗号鍵TEKと端末間復号鍵TDKとの両方を兼ねる共通鍵を生成する(S110、S510、S930)。第2無線端末STA2の端末間通信暗号化部254は、第1無線端末STA1から受信した公開鍵(第2端末間暗号鍵TEK2)で共通鍵(端末間暗号鍵TEK)を暗号化し、第1無線端末STA1へ送信する(S120、S520、S940)。第1無線端末STA1は、秘密鍵(第2端末間復号鍵TDK2)を用いて、暗号化された共通鍵(端末間暗号鍵TEK)を復号化する。第1無線端末STA1の端末間通信暗号化部154は、復号化した共通鍵(端末間暗号鍵TEK)を用いて認証情報(端末一時鍵SPTK、端末マスター鍵SPMK)を暗号化する。第2無線端末STA2は、共通鍵(端末間復号鍵TDK)を用いて、共通鍵(端末間暗号鍵TEK)で暗号化された認証情報を復号化する。
本変形例を採用する場合、端末間暗号鍵TEKである共通鍵が、第1無線端末STA1の端末間鍵生成部158が生成した公開鍵(第2端末間暗号鍵TEK2)で暗号化された状態で(すなわち、第1無線端末STA1の端末間鍵生成部158が生成した秘密鍵(第2端末間復号鍵TDK2)のみが復号化できる状態で)送信される。そのため、共通鍵が盗聴等により特定される危険性が低いと理解される。結果として、第1無線端末STA1と第2無線端末STA2との通信の機密性、ひいては第2無線端末STA2とアクセスポイントAPとの通信の機密性がより高く保たれるという効果を奏し得る。
3−5.変形例5
以上の例では、第2無線端末STA2へ送信される認証情報(端末一時鍵SPTK、端末マスター鍵SPMK)等の、第1無線端末STA1と第2無線端末STA2との通信が、端末間暗号鍵TEKまたは端末間暗号鍵TEKと第2端末間暗号鍵TEK2との両方によって暗号化される。しかし、第1無線端末STA1と第2無線端末STA2との通信が暗号化されなくてもよい。この場合、端末間鍵を生成するステップ(S110、S510、S910、S930)および端末間鍵を送信するステップ(S120、S520、S920、S940)は不要である。さらに、第1無線端末STA1は、端末間通信暗号化部154と、端末間鍵生成部158と、端末間鍵送信部160とのうち、少なくともいずれか1要素を含まなくともよい。第2無線端末STA2は、端末間鍵生成部250と、端末間鍵送信部252と、端末間通信暗号化部254とのうち、少なくともいずれか1要素を含まなくともよい。
3−6.変形例6
以上に説明した第1実施形態の例(第1実施形態の変形例も含む)において、第1無線端末STA1と第2無線端末STA2との通信に用いる無線通信技術として、第1無線端末STA1と第2無線端末STA2とが至近距離(例えば、10センチメートル以内)に位置していなくても通信が可能(例えば、数メートルから数十メートル以内に位置していれば通信が可能)である無線通信技術(例えばBluetooth(登録商標)、Wi-Fi Direct)(以下、「非近接型無線通信技術」と称する場合がある)を用いると好適である。
第1実施形態の例では、第2無線端末STA2とアクセスポイントAPとの接続が維持されている間、第1無線端末STA1と第2無線端末STA2との接続も維持される。第1無線端末STA1と第2無線端末STA2との通信に非近接型無線通信技術が用いられる場合、ユーザは、当該非近接型無線通信技術において通信が可能な範囲において、第1無線端末STA1と第2無線端末STA2とを離して使用できる。したがって、第2無線端末STA2とアクセスポイントAPとの接続が維持されている間(すなわち、第1無線端末STA1と第2無線端末STA2との接続が維持されている間)においても、ユーザが第1無線端末STA1と第2無線端末STA2との両方の無線端末STAを使用しやすくなるという効果を奏し得る。
3−7.変形例7
以上に説明した第2実施形態の例(第2実施形態の変形例も含む)において、第1無線端末STA1と第2無線端末STA2との通信に用いる無線通信技術として、第1無線端末STA1と第2無線端末STA2とが至近距離(例えば、10センチメートル以内)に位置する必要がある無線通信技術(例えば、NFC)(以下、「近接型無線通信技術」と称する場合がある)を用いると好適である。
第2実施形態の例では、第1無線端末STA1から第2無線端末STA2へ端末マスター鍵SPMKが送信される。無線端末STAとアクセスポイントAPとの通信を暗号化する一時鍵PTK(端末一時鍵SPTK、アクセスポイント一時鍵APTK)はマスター鍵PMK(端末マスター鍵SPMK、アクセスポイントマスター鍵APMK)に基づいて生成されるため、マスター鍵PMKが盗聴されると、一時鍵PTKが特定される危険性が高まる可能性がある。そのため、第1無線端末STA1と第2無線端末STA2との通信にはより盗聴されにくい無線通信技術を用いると好適と理解される。
第1無線端末STA1と第2無線端末STA2とが近接型無線通信技術を用いて通信する場合、近接型無線通信技術よりも広い通信可能範囲(例えば、数十メートル以内)を持つ無線通信技術を用いる場合と比べて、その通信可能範囲内に、通信する端末同士以外の第3の機器が入り込む余地が少ないと理解される。結果として、第1無線端末STA1と第2無線端末STA2との通信が第3の機器に盗聴されにくい。したがって、近接型無線通信技術を用いて通信する場合、第1無線端末STA1と第2無線端末STA2との通信の機密性、ひいては第2無線端末STA2とアクセスポイントAPとの通信の機密性がより高く保たれるという効果を奏し得る。
3−8.変形例8
以上に説明した第1実施形態の例では、第1無線端末STA1が生成する端末一時鍵SPTKと、アクセスポイントAPが生成するアクセスポイント一時鍵APTKとが、第1無線端末STA1が代理する第2無線端末STA2との通信に用いられることを知らせる端末情報通知が、第2メッセージフレームに含まれてアクセスポイントAPへ送信される。
しかし、端末情報通知は、認証装置AAAがアクセスポイントAPへアクセスポイントマスター鍵APMKを送信してから、第1無線端末STA1が端末一時鍵SPTKを第2無線端末STA2へ送信するまでの間にアクセスポイントAPへ送信されればよい。また、第2実施形態で例示したように(S650)、独立したメッセージとして端末情報通知が送信されてもよい。例えば、端末情報通知は第4メッセージフレームに含まれて送信されてもよいし、第4メッセージフレームが送信された後、端末一時鍵SPTKが送信される前に、個別のメッセージとして送信されてもよい。
3−9.変形例9
無線通信システムCS内の各要素(第1無線端末STA1、第2無線端末STA2、アクセスポイントAP、認証装置AAA、加入者情報管理装置HSS)において、CPUが実行する各機能は、CPUの代わりに、ハードウェアで実行してもよいし、例えばFPGA(Field Programmable Gate Array)、DSP(Digital Signal Processor)等のプログラマブルロジックデバイスで実行してもよい。
AAA……認証装置、ANONCE……アクセスポイント乱数、AP……アクセスポイント、APMK……アクセスポイントマスター鍵、APTK……アクセスポイント一時鍵、CS……無線通信システム、HSS……加入者情報管理装置、K……加入者登録情報、KM……鍵情報、IN……インターネット、MAC……メッセージ認証コード、MIC(MIC1、MIC2、MIC3)……メッセージ完全性コード、MNW……移動体通信網、PMK……マスター鍵、PTK……一時鍵、SID……加入者識別情報、SNONCE……端末乱数、SPMK……端末マスター鍵、SPTK……端末一時鍵、STA1……第1無線端末、STA2……第2無線端末、TDK……端末間復号鍵、TDK2……第2端末間復号鍵、TEK……端末間暗号鍵、TEK2……第2端末間暗号鍵、120……端末通信部、130……記憶部、142……認証情報要求部、144……マスター鍵生成部、146……レスポンス送信部、148……端末乱数生成部、150……一時鍵生成部、152……フレーム送信部、154……端末間通信暗号化部、156……認証情報送信部、158……端末間鍵生成部、160……端末間鍵送信部、220……端末通信部、230……記憶部、242……代理認証要求部、244……端末乱数生成部、246……一時鍵生成部、248……フレーム送信部、250……端末間鍵生成部、252……端末間鍵送信部、254……端末間通信暗号化部、340……記憶部、352……アクセスポイント乱数生成部、354……フレーム送信部、356……一時鍵生成部、420……記憶部、432……認証用パラメタ取得部、434……マスター鍵生成部、436……チャレンジ送信部、438……認証判定部、440……判定結果通知部、442……マスター鍵送信部。

Claims (10)

  1. 移動体通信網における加入者識別情報を有する第1無線端末と、
    前記移動体通信網における加入者識別情報を有さない第2無線端末と
    を含む複数の無線端末と、
    前記第1無線端末と前記移動体通信網との通信を中継するアクセスポイントと
    を備え、
    前記第2無線端末は、
    前記第1無線端末との通信を実行する第2端末通信部と、
    前記第2無線端末が前記アクセスポイントへ接続するために用いる認証情報を前記第1無線端末が代理で取得するよう要求する第1認証要求を、前記第2端末通信部を通じて前記第1無線端末へ送信する代理認証要求部とを備え、
    前記第1無線端末は、
    前記第2無線端末との通信を実行する第1端末通信部と、
    前記第1認証要求を受信すると、前記認証情報を、前記加入者識別情報を用いて要求する認証情報要求部と、
    前記認証情報要求部の要求に応じて取得された前記認証情報を、前記第1端末通信部を通じて前記第2無線端末へ送信する認証情報送信部と
    を備える
    無線通信システム。
  2. 前記第1無線端末は、
    前記第1無線端末の前記加入者識別情報と対応する加入者登録情報を有し、
    前記移動体通信網は、
    前記移動体通信網における加入者識別情報を有する無線端末を認証する認証装置と
    前記第1無線端末の前記加入者識別情報と前記第1無線端末の前記加入者登録情報とを対応付けて記憶する加入者情報管理装置とを備え、
    前記加入者情報管理装置は、
    前記加入者識別情報に対応する、前記加入者識別情報を有する前記第1無線端末を認証するための情報であり、マスター鍵の生成に用いられる鍵情報を含む認証用パラメタを、前記加入者登録情報を用いて生成し、
    前記第1無線端末の前記認証情報要求部は、
    前記代理認証要求部から受信した前記第1認証要求に応じて、前記第1無線端末の前記加入者識別情報を搭載し、当該加入者識別情報を有する当該第1無線端末を認証するよう要求する第2認証要求を、前記アクセスポイントを介して前記認証装置へ送信し、
    前記認証装置は、
    前記第2認証要求に搭載された前記加入者識別情報に対応する前記認証用パラメタを前記加入者情報管理装置から取得する認証用パラメタ取得部と、
    前記加入者情報管理装置から取得した前記認証用パラメタに含まれる前記鍵情報を用いて、アクセスポイントマスター鍵を生成するマスター鍵生成部と、
    前記アクセスポイントマスター鍵を用いて生成した第1メッセージ認証コードを含むチャレンジメッセージを、前記アクセスポイントを介して前記第1無線端末へ送信するチャレンジ送信部とを備え、
    前記第1無線端末はさらに、
    前記第1無線端末が有する前記加入者登録情報に基づいて、前記アクセスポイントマスター鍵と一致する端末マスター鍵を生成するマスター鍵生成部と、
    前記端末マスター鍵を記憶する記憶部と、
    前記チャレンジメッセージを受信した後、前記端末マスター鍵を用いて生成した第2メッセージ認証コードを含むレスポンスメッセージを、前記アクセスポイントを介して前記認証装置へ送信するレスポンス送信部とを備え、
    前記認証装置はさらに、
    前記アクセスポイントマスター鍵を前記アクセスポイントへ送信するマスター鍵送信部を備え、
    前記アクセスポイントは、
    受信した前記アクセスポイントマスター鍵を記憶する記憶部を備え、
    前記第1無線端末はさらに、
    当該第1無線端末の前記記憶部に記憶された前記端末マスター鍵を用いて、端末一時鍵を生成する一時鍵生成部を備え、
    前記アクセスポイントはさらに、
    当該アクセスポイントの前記記憶部に記憶された前記アクセスポイントマスター鍵を用いて、前記端末一時鍵と一致するアクセスポイント一時鍵を生成する一時鍵生成部を備え、
    前記第1無線端末の前記認証情報送信部は、
    前記端末一時鍵を前記認証情報として前記第2無線端末へ送信する
    請求項1の無線通信システム。
  3. 前記第1無線端末は、
    前記第1無線端末の前記加入者識別情報と対応する加入者登録情報を有し、
    前記移動体通信網は、
    前記移動体通信網における加入者識別情報を有する無線端末を認証する認証装置と
    前記第1無線端末の前記加入者識別情報と前記第1無線端末の前記加入者登録情報とを対応付けて記憶する加入者情報管理装置とを備え、
    前記加入者情報管理装置は、
    前記加入者識別情報に対応する、前記加入者識別情報を有する前記第1無線端末を認証するための情報であり、マスター鍵の生成に用いられる鍵情報を含む認証用パラメタを、前記加入者登録情報を用いて生成し、
    前記第1無線端末の前記認証情報要求部は、
    前記代理認証要求部から受信した前記第1認証要求に応じて、前記第1無線端末の前記加入者識別情報を搭載し、当該加入者識別情報を有する当該第1無線端末を認証するよう要求する第2認証要求を、前記アクセスポイントを介して前記認証装置へ送信し、
    前記認証装置は、
    前記第2認証要求に搭載された前記加入者識別情報に対応する前記認証用パラメタを前記加入者情報管理装置から取得する認証用パラメタ取得部と、
    前記加入者情報管理装置から取得した前記認証用パラメタに含まれる前記鍵情報を用いて、アクセスポイントマスター鍵を生成するマスター鍵生成部と、
    前記アクセスポイントマスター鍵を用いて生成した第1メッセージ認証コードを含むチャレンジメッセージを、前記アクセスポイントを介して前記第1無線端末へ送信するチャレンジ送信部とを備え、
    前記第1無線端末はさらに、
    前記第1無線端末が有する前記加入者登録情報に基づいて、前記アクセスポイントマスター鍵と一致する端末マスター鍵を生成するマスター鍵生成部と、
    前記端末マスター鍵を記憶する記憶部と、
    前記チャレンジメッセージを受信した後、前記端末マスター鍵を用いて生成した第2メッセージ認証コードを含むレスポンスメッセージを、前記アクセスポイントを介して前記認証装置へ送信するレスポンス送信部とを備え、
    前記認証装置はさらに、
    前記アクセスポイントマスター鍵を前記アクセスポイントへ送信するマスター鍵送信部を備え、
    前記アクセスポイントは、
    受信した前記アクセスポイントマスター鍵を記憶する記憶部を備え、
    前記第1無線端末の前記認証情報送信部は、
    前記端末マスター鍵を前記認証情報として前記第2無線端末へ送信し、
    前記第2無線端末はさらに、
    受信した前記端末マスター鍵を記憶する記憶部と、
    当該第2無線端末の前記記憶部に記憶された前記端末マスター鍵を用いて、端末一時鍵を生成する一時鍵生成部とを備え、
    前記アクセスポイントはさらに、
    当該アクセスポイントの前記記憶部に記憶された前記アクセスポイントマスター鍵を用いて、前記端末一時鍵と一致するアクセスポイント一時鍵を生成する一時鍵生成部を備える
    請求項1の無線通信システム。
  4. 前記第1無線端末の前記一時鍵生成部は、
    前記第1無線端末の前記記憶部に記憶された前記端末マスター鍵を用いて、間欠的に新たに端末一時鍵を生成し、
    前記アクセスポイントの前記一時鍵生成部は、
    前記アクセスポイントの前記記憶部に記憶された前記アクセスポイントマスター鍵を用いて、新たに生成された前記端末一時鍵と一致するアクセスポイント一時鍵を新たに生成し、
    前記第1無線端末の前記認証情報送信部は、
    端末一時鍵が新たに生成される度に、当該端末一時鍵を前記認証情報として前記第2無線端末へ送信する
    請求項2の無線通信システム。
  5. 前記第2端末通信部と前記第1端末通信部との間に確立される接続は、
    前記第2無線端末が前記第1認証要求を送信してから、前記第2無線端末と前記アクセスポイントとの接続が切断されるまで維持される
    請求項1から4のいずれかに記載の無線通信システム。
  6. 前記第2端末通信部と前記第1端末通信部との間に確立される接続は、
    前記第2無線端末が前記第1認証要求を送信してから、前記第1無線端末の前記認証情報送信部による、前記端末マスター鍵の前記第2無線端末への送信が完了するまで維持される
    請求項3の無線通信システム。
  7. 前記第2無線端末はさらに、
    前記第1無線端末と前記第2無線端末との通信を暗号化するための端末間暗号鍵と、前記端末間暗号鍵で暗号化された通信を復号化するための端末間復号鍵とを生成する端末間鍵生成部と、
    前記端末間暗号鍵を前記第1無線端末に送信する端末間鍵送信部とを備え、
    前記第1無線端末はさらに、
    前記認証情報要求部の要求に応じて取得された前記認証情報を、前記端末間鍵送信部から受信した前記端末間暗号鍵を用いて暗号化する端末間通信暗号化部を備え、
    前記第1無線端末の前記認証情報送信部は、
    前記端末間暗号鍵を用いて暗号化された前記認証情報を前記第2無線端末へ送信する
    請求項1から6のいずれかに記載の無線通信システム。
  8. 前記第1無線端末はさらに、
    前記第1無線端末と前記第2無線端末との通信を暗号化するための第2端末間暗号鍵と、前記第2端末間暗号鍵で暗号化された通信を復号化するための第2端末間復号鍵とを生成する端末間鍵生成部と、
    前記第2端末間暗号鍵を前記第2無線端末に送信する端末間鍵送信部とを備え、
    前記第2無線端末はさらに、
    受信した前記第2端末間暗号鍵で前記第1認証要求を暗号化する端末間通信暗号化部を備え、
    前記代理認証要求部は、暗号化された前記第1認証要求を前記第1無線端末へ送信する
    請求項7に記載の無線通信システム。
  9. 移動体通信網における加入者識別情報を有する第1無線端末と、
    前記移動体通信網における加入者識別情報を有さない第2無線端末と
    を含む複数の無線端末と、
    前記第1無線端末と前記移動体通信網との通信を中継するアクセスポイントと
    を備える無線通信システムにおける前記第1無線端末であって、
    前記第2無線端末との通信を実行する第1端末通信部と、
    前記第2無線端末から、前記第2無線端末が前記アクセスポイントへ接続するために用いる認証情報を前記第1無線端末が代理で取得するよう要求する第1認証要求を受信した後、前記認証情報を、前記加入者識別情報を用いて要求する認証情報要求部と、
    前記認証情報要求部の要求に応じて取得された前記認証情報を、前記第1端末通信部を通じて前記第2無線端末へ送信する認証情報送信部と
    を備える
    無線端末。
  10. 移動体通信網における加入者識別情報を有する第1無線端末と、
    前記移動体通信網における加入者識別情報を有さない第2無線端末と
    を含む複数の無線端末と、
    前記第1無線端末と前記移動体通信網との通信を中継するアクセスポイントと
    を備える無線通信システムにおける前記第2無線端末であって、
    前記第1無線端末との通信を実行する第2端末通信部と、
    前記第2無線端末が前記アクセスポイントへ接続するために用いる認証情報を前記第1無線端末が代理で取得するよう要求する第1認証要求を、前記第2端末通信部を通じて前記第1無線端末へ送信する代理認証要求部と
    を備え、
    前記第2端末通信部は、
    前記第1認証要求に応じて前記第1無線端末から送信される前記認証情報を受信する
    無線端末。


JP2015101181A 2015-05-18 2015-05-18 無線通信システムおよび無線端末 Active JP6471039B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015101181A JP6471039B2 (ja) 2015-05-18 2015-05-18 無線通信システムおよび無線端末

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015101181A JP6471039B2 (ja) 2015-05-18 2015-05-18 無線通信システムおよび無線端末

Publications (2)

Publication Number Publication Date
JP2016219955A true JP2016219955A (ja) 2016-12-22
JP6471039B2 JP6471039B2 (ja) 2019-02-13

Family

ID=57579274

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015101181A Active JP6471039B2 (ja) 2015-05-18 2015-05-18 無線通信システムおよび無線端末

Country Status (1)

Country Link
JP (1) JP6471039B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020116915A1 (ko) * 2018-12-05 2020-06-11 엘지전자 주식회사 무선 통신 시스템 엑세스 허가를 위한 단말의 대행 인증 방법 및 장치
CN113039766A (zh) * 2018-11-15 2021-06-25 思科技术公司 无线网络中的优化的等值同时认证(sae)认证
US11751052B2 (en) 2017-03-01 2023-09-05 China Iwncomm Co., Ltd. Credential information processing method and apparatus for network connection, and application (APP)
EP4145878A4 (en) * 2020-05-27 2023-11-08 Vivo Mobile Communication Co., Ltd. KEY OBTAINING METHOD AND APPARATUS, USER EQUIPMENT, AND NETWORK SIDE DEVICE

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004208073A (ja) * 2002-12-25 2004-07-22 Sony Corp 無線通信システム
JP2007013348A (ja) * 2005-06-28 2007-01-18 Buffalo Inc セキュリティ設定処理システム
JP2008203803A (ja) * 2007-01-22 2008-09-04 Ntt Docomo Inc 通信方法、通信システム及び携帯デバイス
JP2009303188A (ja) * 2008-05-14 2009-12-24 Kddi Corp 管理装置、登録通信端末、非登録通信端末、ネットワークシステム、管理方法、通信方法、及びコンピュータプログラム。
JP2013048330A (ja) * 2011-08-29 2013-03-07 Nec Casio Mobile Communications Ltd 通信装置、通信切り替え方法及びプログラム
JP2013509089A (ja) * 2009-10-21 2013-03-07 マイクロソフト コーポレーション 低レイテンシーのピア・セッション確立
JP2013090046A (ja) * 2011-10-14 2013-05-13 Nippon Telegr & Teleph Corp <Ntt> 通信システム及び通信方法
JP2014238664A (ja) * 2013-06-06 2014-12-18 日本電信電話株式会社 ネットワークにおける端末認証方法及びシステム

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004208073A (ja) * 2002-12-25 2004-07-22 Sony Corp 無線通信システム
JP2007013348A (ja) * 2005-06-28 2007-01-18 Buffalo Inc セキュリティ設定処理システム
JP2008203803A (ja) * 2007-01-22 2008-09-04 Ntt Docomo Inc 通信方法、通信システム及び携帯デバイス
JP2009303188A (ja) * 2008-05-14 2009-12-24 Kddi Corp 管理装置、登録通信端末、非登録通信端末、ネットワークシステム、管理方法、通信方法、及びコンピュータプログラム。
JP2013509089A (ja) * 2009-10-21 2013-03-07 マイクロソフト コーポレーション 低レイテンシーのピア・セッション確立
JP2013048330A (ja) * 2011-08-29 2013-03-07 Nec Casio Mobile Communications Ltd 通信装置、通信切り替え方法及びプログラム
JP2013090046A (ja) * 2011-10-14 2013-05-13 Nippon Telegr & Teleph Corp <Ntt> 通信システム及び通信方法
JP2014238664A (ja) * 2013-06-06 2014-12-18 日本電信電話株式会社 ネットワークにおける端末認証方法及びシステム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11751052B2 (en) 2017-03-01 2023-09-05 China Iwncomm Co., Ltd. Credential information processing method and apparatus for network connection, and application (APP)
CN113039766A (zh) * 2018-11-15 2021-06-25 思科技术公司 无线网络中的优化的等值同时认证(sae)认证
CN113039766B (zh) * 2018-11-15 2023-05-12 思科技术公司 无线网络中的优化的等值同时认证(sae)认证
WO2020116915A1 (ko) * 2018-12-05 2020-06-11 엘지전자 주식회사 무선 통신 시스템 엑세스 허가를 위한 단말의 대행 인증 방법 및 장치
EP4145878A4 (en) * 2020-05-27 2023-11-08 Vivo Mobile Communication Co., Ltd. KEY OBTAINING METHOD AND APPARATUS, USER EQUIPMENT, AND NETWORK SIDE DEVICE

Also Published As

Publication number Publication date
JP6471039B2 (ja) 2019-02-13

Similar Documents

Publication Publication Date Title
US10003966B2 (en) Key configuration method and apparatus
US9654972B2 (en) Secure provisioning of an authentication credential
US9668230B2 (en) Security integration between a wireless and a wired network using a wireless gateway proxy
CN107005927B (zh) 用户设备ue的接入方法、设备及系统
WO2018040758A1 (zh) 认证方法、认证装置和认证系统
KR102062162B1 (ko) 보안 인증 방법, 구성 방법 및 관련 기기
US11109206B2 (en) Security method and system for supporting discovery and communication between proximity based service terminals in mobile communication system environment
EP2605447B1 (en) Secret communication method, terminal, switching equipment and system between neighboring user terminals
US20210067495A1 (en) System and method for end-to-end secure communication in device-to-device communication networks
US20080046732A1 (en) Ad-hoc network key management
JP2018521566A (ja) 分散されたコンフィギュレータエンティティ
CN109922474B (zh) 触发网络鉴权的方法及相关设备
JP2014526841A (ja) 並行した再認証および接続セットアップを使用したワイヤレス通信
WO2014180296A1 (zh) 一种设备之间建立连接的方法、配置设备和无线设备
US10212140B2 (en) Key management
CN113543126B (zh) 密钥获取方法及装置
JP6471039B2 (ja) 無線通信システムおよび無線端末
WO2014127751A1 (zh) 无线终端配置方法及装置和无线终端
US11962692B2 (en) Encrypting data in a pre-associated state
US20240080316A1 (en) Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network
CN117546441A (zh) 一种安全通信方法及装置、终端设备、网络设备
CN108156604B (zh) 集群系统的组呼加密传输方法及装置、集群终端和系统
US9356931B2 (en) Methods and apparatuses for secure end to end communication
JP2018526846A (ja) ワイヤレスデバイスのコンフィギュレーションおよび認証
CN115412909A (zh) 一种通信方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180207

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181025

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181113

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190115

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190121

R150 Certificate of patent or registration of utility model

Ref document number: 6471039

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250