JP2017118243A - Authentication device, access point, communication apparatus and program - Google Patents

Authentication device, access point, communication apparatus and program Download PDF

Info

Publication number
JP2017118243A
JP2017118243A JP2015249820A JP2015249820A JP2017118243A JP 2017118243 A JP2017118243 A JP 2017118243A JP 2015249820 A JP2015249820 A JP 2015249820A JP 2015249820 A JP2015249820 A JP 2015249820A JP 2017118243 A JP2017118243 A JP 2017118243A
Authority
JP
Japan
Prior art keywords
communication device
access point
content
authentication server
encryption key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015249820A
Other languages
Japanese (ja)
Other versions
JP6546846B2 (en
Inventor
健治 横田
Kenji Yokota
健治 横田
淳 栗原
Atsushi Kurihara
淳 栗原
敦士 田上
Atsushi Tagami
敦士 田上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Research Inc
Original Assignee
KDDI Research Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Research Inc filed Critical KDDI Research Inc
Priority to JP2015249820A priority Critical patent/JP6546846B2/en
Publication of JP2017118243A publication Critical patent/JP2017118243A/en
Application granted granted Critical
Publication of JP6546846B2 publication Critical patent/JP6546846B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide an authentication server capable of efficiently distributing a cryptographic key for encrypting a radio section when a communication apparatus acquires a content via an access point by radio.SOLUTION: An authentication server comprises: holding means for holding information indicating installation positions for multiple access points; authentication means which authenticates a communication apparatus and generates a cryptographic key to be shared with the communication apparatus if the authentication is made successful; receiving means for receiving information indicating a content that the communication apparatus requests; acquisition means for acquiring positional information of the communication apparatus; selection means for selecting one or more access points from among the multiple access points based on the positional information of the communication apparatus; and transmission means for transmitting an identifier of the communication apparatus, the generated cryptographic key and the information indicating the content that the communication apparatus requests, to the access points that are selected by the selection means.SELECTED DRAWING: Figure 2

Description

本発明は、通信装置がアクセスポイントを介して無線によりコンテンツを取得する際の無線区間の暗号化技術に関する。   The present invention relates to an encryption technique for a wireless section when a communication apparatus acquires content wirelessly via an access point.

非特許文献1は、無線LAN(ローカル・エリア・ネットワーク)における認証及び暗号鍵の配布手順を開示している。図1は、非特許文献1に記載の認証及び暗号鍵配布のシーケンス図である。なお、図1において、通信装置である端末とアクセスポイントとの間の通信は無線により行われる。まず、端末はS1で、アクセスポイントに認証要求を送信する。端末から認証要求を受けたアクセスポイントは、S2で端末に識別子を要求する。アクセスポイントから識別子の要求を受けた端末は、S3で自装置の識別子を送信し、アクセスポイントは、この識別子を認証サーバに送信する。認証サーバは、アクセスポイントを使用できる端末の識別子と、その認証情報を保持しており、S4で、端末と認証サーバとの間で認証処理が行われる。認証が成功すると、認証サーバは、S5で、暗号鍵をアクセスポイントに送信し、アクセスポイントは、S6で、この暗号鍵を端末に送信する。これにより、端末とアクセスポイントは暗号鍵を共有する。その後、端末は、アクセスポイントを介して、例えば、インターネット上の通信装置と通信を開始するが、その際、端末とアクセスポイント間においてはこの暗号鍵により暗号化が行われ、通信内容が秘匿される。   Non-Patent Document 1 discloses an authentication and encryption key distribution procedure in a wireless LAN (local area network). FIG. 1 is a sequence diagram of authentication and encryption key distribution described in Non-Patent Document 1. In FIG. 1, communication between a terminal that is a communication device and an access point is performed wirelessly. First, in S1, the terminal transmits an authentication request to the access point. The access point that has received the authentication request from the terminal requests an identifier from the terminal in S2. The terminal that has received the identifier request from the access point transmits its own identifier in S3, and the access point transmits this identifier to the authentication server. The authentication server holds the identifier of the terminal that can use the access point and its authentication information. In S4, authentication processing is performed between the terminal and the authentication server. If the authentication is successful, the authentication server transmits the encryption key to the access point in S5, and the access point transmits the encryption key to the terminal in S6. As a result, the terminal and the access point share the encryption key. Thereafter, the terminal starts communication with a communication device on the Internet, for example, via the access point. At this time, encryption is performed between the terminal and the access point using this encryption key, and the communication content is concealed. The

特許文献1は、コンテンツ名に基づき、コンテンツの配信要求メッセージのルーティングやコンテンツの配信を行うネットワークの1つである、コンテンツ・セントリック・ネットワーク(CCN:Content Centric Networking)を開示している。また、非特許文献2は、コンテンツを保持・配信するCCNのサーバにおいて、コンテンツを暗号化し、暗号化したコンテンツを配信する構成を開示している。   Patent Document 1 discloses a content centric network (CCN), which is one of networks that perform routing of content distribution request messages and content distribution based on content names. Non-Patent Document 2 discloses a configuration in which content is encrypted and the encrypted content is distributed in a CCN server that holds and distributes the content.

特開2009−277234号公報JP 2009-277234 A

RFC3580RFC3580 J. Kurihara,et al.,"An Encryption・Based Access Control Framework for Information・Centric Networking",in Proc. of IFIP Networking,2015年J. et al. Kurihara, et al. , "An Encryption / Based Access Control Framework for Information / Centric Networking", in Proc. of IFIP Networking, 2015

非特許文献1の記載の構成は、端末がアクセスポイントに接続した後、端末と認証サーバ間での認証処理と暗号鍵の配布を行うため、端末がコンテンツを取得するまでに時間がかかる。非特許文献2の構成は、配信サーバにおいてコンテンツの暗号化を行うものであり、配信サーバがコンテンツの暗号化を行うか否かを制御する。したがって、配信サーバにおいて暗号化されていないコンテンツの場合、無線区間においてコンテンツを秘匿できない。   The configuration described in Non-Patent Document 1 takes time until the terminal acquires content because authentication processing and encryption key distribution are performed between the terminal and the authentication server after the terminal connects to the access point. The configuration of Non-Patent Document 2 encrypts content in a distribution server, and controls whether the distribution server encrypts content. Therefore, in the case of content that is not encrypted in the distribution server, the content cannot be concealed in the wireless section.

本発明は、通信装置がアクセスポイントを介して無線によりコンテンツを取得する際に効率よく無線区間の暗号化のための暗号鍵を配布できる認証サーバ、アクセスポイント、通信装置及びプログラムを提供するものである。   The present invention provides an authentication server, an access point, a communication device, and a program capable of efficiently distributing an encryption key for encrypting a wireless section when the communication device acquires content wirelessly via the access point. is there.

本発明の一側面によると、認証サーバは、複数のアクセスポイントについて、設置位置を示す情報を保持する保持手段と、通信装置の認証を行い、認証が成功すると当該通信装置と共有する暗号鍵を生成する認証手段と、前記通信装置が要求するコンテンツを示す情報を受信する受信手段と、前記通信装置の位置情報を取得する取得手段と、前記通信装置の位置情報に基づき、前記複数のアクセスポイントから1つ以上のアクセスポイントを選択する選択手段と、前記選択手段が選択したアクセスポイントに、前記通信装置の識別子と、前記生成した暗号鍵と、前記通信装置が要求するコンテンツを示す情報と、を送信する送信手段と、を備えていることを特徴とする。   According to one aspect of the present invention, the authentication server performs authentication of the communication device and the holding device that holds information indicating the installation position for a plurality of access points, and if the authentication is successful, the authentication server shares an encryption key shared with the communication device. A plurality of access points based on the location information of the communication device; the authentication unit to generate; the reception unit that receives information indicating the content requested by the communication device; the acquisition unit that acquires the location information of the communication device; Selection means for selecting one or more access points from the above, the access point selected by the selection means, the identifier of the communication device, the generated encryption key, information indicating the content requested by the communication device, And transmitting means for transmitting.

本発明によると、通信装置がアクセスポイントを介して無線によりコンテンツを取得する際に効率よく無線区間の暗号化のための暗号鍵を配布することができる。   According to the present invention, it is possible to efficiently distribute an encryption key for encrypting a wireless section when a communication apparatus acquires content wirelessly via an access point.

非特許文献1によるシーケンス図。The sequence diagram by a nonpatent literature 1. FIG. 一実施形態によるシステム構成を示す図。The figure which shows the system configuration | structure by one Embodiment. 一実施形態によるコンテンツ配信のシーケンス図。The sequence diagram of the content delivery by one Embodiment. 一実施形態による、コンテンツを取得させるアクセスポイントの説明図。Explanatory drawing of the access point which acquires content by one Embodiment. 一実施形態によるコンテンツ配信のシーケンス図。The sequence diagram of the content delivery by one Embodiment. 一実施形態による認証サーバの構成図。The block diagram of the authentication server by one Embodiment. 一実施形態によるアクセスポイントの構成図。The block diagram of the access point by one Embodiment. 一実施形態による端末の構成図。The block diagram of the terminal by one Embodiment.

以下、本発明の例示的な実施形態について図面を参照して説明する。なお、以下の実施形態は例示であり、本発明を実施形態の内容に限定するものではない。また、以下の各図においては、実施形態の説明に必要ではない構成要素については図から省略する。   Hereinafter, exemplary embodiments of the present invention will be described with reference to the drawings. In addition, the following embodiment is an illustration and does not limit this invention to the content of embodiment. In the following drawings, components that are not necessary for the description of the embodiments are omitted from the drawings.

図2は、本実施形態によるシステム構成図である。端末1は、通信装置であり、移動通信網の無線アクセス網5(以下、単に、無線アクセス網5と呼ぶ。)の基地局に接続する第1インタフェースに加えて、アクセスポイント2に接続するための第2インタフェースを備えている。無線アクセス網5は、例えば、3GPP規格に従う移動通信網の無線アクセス部分であり、広範囲なサービスエリアを有し、端末1は、ほぼ常時、無線アクセス網5の図示しない基地局に接続できる様になっている。一方、第2インタフェースは、例えば、無線LANや、ミリ波による短距離通信といった、第1インタフェースの無線規格とは異なる規格に従う無線インタフェースである。なお、アクセスポイント2のカバレッジは、無線アクセス網5の基地局のカバレッジより小さい。一方、無線区間における平均的な速度は、通常、第1インタフェースより、第2インタフェースの方が速い。   FIG. 2 is a system configuration diagram according to the present embodiment. The terminal 1 is a communication device for connecting to an access point 2 in addition to a first interface connected to a base station of a radio access network 5 (hereinafter simply referred to as a radio access network 5) of a mobile communication network. The second interface is provided. The radio access network 5 is, for example, a radio access part of a mobile communication network conforming to the 3GPP standard, and has a wide service area so that the terminal 1 can be connected to a base station (not shown) of the radio access network 5 almost always. It has become. On the other hand, the second interface is a wireless interface that conforms to a standard different from the wireless standard of the first interface, such as a wireless LAN or a short-range communication using millimeter waves. Note that the coverage of the access point 2 is smaller than the coverage of the base station of the radio access network 5. On the other hand, the average speed in the wireless section is usually faster for the second interface than for the first interface.

アクセスポイント2は、パケット網6に接続し、パケット網6には認証サーバ3及び配信サーバ4が接続している。なお、パケット網6は、本実施形態においては、インターネットや、無線アクセス網5を運用している通信事業者のコア・ネットワークの総称である。つまり、例えば、認証サーバ3は、インターネットに接続している形態でも、無線アクセス網5を運用している通信会社のコア・ネットワークのパケット網(IP網)に接続している形態であっても良い。また、パケット網6は、CCNであっても、CCNとIP網の混在であっても良い。いずれにしても、端末1は、無線アクセス網5を介して認証サーバ3にアクセスできる。また、アクセスポイント2は、パケット網6を介して認証サーバ3及び配信サーバ4にアクセスできる。なお、図2においては1つのアクセスポイント2のみを示しているが、実際には、複数のアクセスポイント2が存在する。   The access point 2 is connected to the packet network 6, and the authentication server 3 and the distribution server 4 are connected to the packet network 6. In the present embodiment, the packet network 6 is a generic term for the core network of a communication carrier that operates the Internet or the wireless access network 5. That is, for example, the authentication server 3 may be connected to the Internet or connected to a packet network (IP network) of a core network of a communication company that operates the wireless access network 5. good. Further, the packet network 6 may be a CCN or a mixture of a CCN and an IP network. In any case, the terminal 1 can access the authentication server 3 via the wireless access network 5. Further, the access point 2 can access the authentication server 3 and the distribution server 4 via the packet network 6. Although only one access point 2 is shown in FIG. 2, there are actually a plurality of access points 2.

認証サーバ3は、設置されているアクセスポイント2について、その設置位置を示す情報と、アクセスポイント2と通信するために必要な情報を保持している。さらに、認証サーバ3は、アクセスポイント2を利用できる端末1の情報、又は、端末1を使用するユーザ情報についての保持と、それらの認証情報を保持しており、任意の認証手順により端末1の認証を行う。なお、配信サーバ4は、配信するコンテンツを保持しており、要求されたコンテンツの配信を行う。   The authentication server 3 holds information indicating the installation position of the installed access point 2 and information necessary for communicating with the access point 2. Furthermore, the authentication server 3 holds information on the terminal 1 that can use the access point 2 or user information that uses the terminal 1 and holds such authentication information. Authenticate. The distribution server 4 holds the content to be distributed and distributes the requested content.

図3は、本実施形態によるコンテンツ配信処理のフローチャートである。端末1は、コンテンツを要求する場合、S10で、無線アクセス網5を介して認証サーバ3に接続し認証処理を行う。認証が成功すると、端末1は、S11で、認証サーバ3に、取得するコンテンツを示す情報、本例では、コンテンツ名を送信する。さらに、認証サーバ3は、S12で、暗号鍵を端末1に配布する。S12における暗号鍵の配布は、任意の方法を利用できる。また、認証サーバ3が暗号鍵を決定して端末1に送信する形態のみならず、認証サーバ3と端末1が暗号鍵とは異なる値を交換して、認証サーバ3と端末1が同じ暗号鍵を交換した値から生成する形態であっても良い。いずれにしても、S12の処理により、端末1と認証サーバ3は同じ暗号鍵を共有する。その後、認証サーバ3は、S13で、アクセスポイント2に端末1が要求したコンテンツ名と、S12において端末1と共有した暗号鍵と、端末1の識別子を送信する。なお、複数あるアクセスポイント2のどのアクセスポイント2にコンテンツ名、暗号鍵及び識別子を送信するかについては後述する。アクセスポイント2は、S13で受信したコンテンツ名に対応するコンテンツを配信サーバ4に要求し、配信サーバ4は、S15で、要求されたコンテンツをアクセスポイント2に送信する。アクセスポイント2は、受信したコンテンツを保持しておく。   FIG. 3 is a flowchart of content distribution processing according to this embodiment. When requesting content, the terminal 1 connects to the authentication server 3 via the wireless access network 5 and performs authentication processing in S10. If the authentication is successful, the terminal 1 transmits information indicating the content to be acquired, in this example, the content name, to the authentication server 3 in S11. Further, the authentication server 3 distributes the encryption key to the terminal 1 in S12. An arbitrary method can be used for distributing the encryption key in S12. In addition to the form in which the authentication server 3 determines the encryption key and transmits it to the terminal 1, the authentication server 3 and the terminal 1 exchange values different from the encryption key so that the authentication server 3 and the terminal 1 have the same encryption key. It may be generated from the exchanged values. In any case, the terminal 1 and the authentication server 3 share the same encryption key by the process of S12. Thereafter, in S13, the authentication server 3 transmits the content name requested by the terminal 1 to the access point 2, the encryption key shared with the terminal 1 in S12, and the identifier of the terminal 1. Note that to which access point 2 of the plurality of access points 2 the content name, the encryption key, and the identifier are transmitted will be described later. The access point 2 requests the distribution server 4 for content corresponding to the content name received in S13, and the distribution server 4 transmits the requested content to the access point 2 in S15. The access point 2 holds the received content.

その後、S16で、端末1が、アクセスポイント2のカバレッジに進入すると、端末1は、自装置の識別子をアクセスポイント2に送信する。アクセスポイント2は、端末1の識別子に基づき、保持したコンテンツのうち、端末1に送信すべきコンテンツを判定し、S17で、端末1にコンテンツを送信する。なお、このとき、アクセスポイント2は、送信するコンテンツをS13で取得した暗号鍵で暗号化する。なお、本実施形態では、端末1は、S16において識別子を送信したが、取得したいコンテンツ名を送信しても良い。   Thereafter, when the terminal 1 enters the coverage of the access point 2 in S <b> 16, the terminal 1 transmits its own device identifier to the access point 2. Based on the identifier of the terminal 1, the access point 2 determines the content to be transmitted to the terminal 1 among the held contents, and transmits the content to the terminal 1 in S17. At this time, the access point 2 encrypts the content to be transmitted with the encryption key acquired in S13. In the present embodiment, the terminal 1 transmits the identifier in S16, but may transmit the name of the content to be acquired.

続いて、S13において、認証サーバ3がコンテンツ名、暗号鍵及び識別子を送信するアクセスポイント2をどの様に選択するかについて説明する。図3のシーケンス図には明示していないが、認証サーバ3は、端末1の位置を把握している。例えば、認証サーバ3は、端末1が接続している無線アクセス網5の基地局情報に基づき端末1の位置を把握する。或いは、端末1が、S10における認証処理の終了後等に認証サーバ3に自装置の位置情報を送信する構成であっても良い。   Next, how the authentication server 3 selects the access point 2 that transmits the content name, encryption key, and identifier in S13 will be described. Although not explicitly shown in the sequence diagram of FIG. 3, the authentication server 3 knows the position of the terminal 1. For example, the authentication server 3 grasps the position of the terminal 1 based on the base station information of the wireless access network 5 to which the terminal 1 is connected. Or the structure which the terminal 1 transmits the positional information on an own apparatus to the authentication server 3 after completion | finish of the authentication process in S10 may be sufficient.

例えば、認証サーバ3が、端末1と接続している基地局に基づき端末1の位置を判定する構成の場合、当該基地局のカバレッジ内にある総てのアクセスポイント2にコンテンツ名、暗号鍵及び識別子を送信する構成とすることができる。さらに、端末1が接続している基地局における端末1からの受信電力及びその方向から、無線アクセス網5において、当該基地局のカバレッジ内のある範囲に端末1の位置を絞り込める場合には、絞り込んだ領域内の総てのアクセスポイント2にコンテンツ名、暗号鍵及び識別子を送信する構成とすることができる。   For example, when the authentication server 3 is configured to determine the position of the terminal 1 based on the base station connected to the terminal 1, the content name, the encryption key, and the access point 2 in the coverage of the base station The identifier can be transmitted. Furthermore, when the position of the terminal 1 can be narrowed down to a certain range within the coverage of the base station in the radio access network 5 from the received power and direction from the terminal 1 in the base station to which the terminal 1 is connected, The content name, the encryption key, and the identifier can be transmitted to all the access points 2 in the narrowed down area.

さらに、端末1がGPS等に基づき取得した位置情報を認証サーバ3に送信する構成においては、端末1の近傍にあるアクセスポイント2にコンテンツ名、暗号鍵及び識別子を送信する構成とすることができる。例えば、図4に示す様に、端末1の近傍に、円に示す範囲をカバレッジとする4つのアクセスポイント21〜24がある場合、認証サーバ3は、アクセスポイント21〜24のそれぞれにコンテンツ名、暗号鍵及び識別子を送信する構成とすることができる。さらに、端末1が、認証サーバ3に連続して位置情報を送信し、これにより、図4に示す様に、端末1の移動方向も判定できる場合には、移動方向に存在するアクセスポイント23及び24にコンテンツ名、暗号鍵及び識別子を送信する構成とすることができる。   Furthermore, in the configuration in which the terminal 1 transmits the position information acquired based on GPS or the like to the authentication server 3, the content name, the encryption key, and the identifier can be transmitted to the access point 2 in the vicinity of the terminal 1. . For example, as illustrated in FIG. 4, when there are four access points 21 to 24 that cover the range indicated by a circle in the vicinity of the terminal 1, the authentication server 3 includes a content name, The encryption key and the identifier can be transmitted. Further, when the terminal 1 continuously transmits the position information to the authentication server 3 and thereby can determine the moving direction of the terminal 1 as shown in FIG. 4, the access point 23 existing in the moving direction and The content name, the encryption key, and the identifier can be transmitted to 24.

なお、図3のシーケンスは、認証サーバ3がコンテンツ名、暗号鍵及び識別子を送信したアクセスポイント2のカバレッジ内に端末1が進入した場合の処理であるが、端末1が、それ以外のアクセスポイント2のカバレッジ内に進入する場合もあり得る。この場合のシーケンスを図5に示す。図5のS10〜S12は、図3のS10〜S12と同じであり、再度の説明は省略する。端末1はアクセスポイント2のカバレッジに進入したことにより、S21でアクセスポイント2に識別子を送信する。しかしながら、本例において、アクセスポイント2は、認証サーバ3から、当該識別子や、当該識別子に対応するコンテンツ名及び暗号鍵を受信していない。したがって、アクセスポイント2は、S22で識別子を認証サーバ3に送信する。認証サーバ3は、S22で受信した識別子が、S10の認証処理で認証成功した端末に対応するものであると、S23で、少なくともコンテンツ名及び暗号鍵をアクセスポイント2に送信する。その後、アクセスポイント2は、配信サーバ4からS23で受信したコンテンツ名に対応するコンテンツを取得して端末1に送信する。   Note that the sequence in FIG. 3 is a process when the terminal 1 enters the coverage of the access point 2 to which the authentication server 3 has transmitted the content name, encryption key, and identifier. It is possible to enter into the coverage of two. The sequence in this case is shown in FIG. S10 to S12 in FIG. 5 are the same as S10 to S12 in FIG. When the terminal 1 has entered the coverage of the access point 2, the identifier is transmitted to the access point 2 in S21. However, in this example, the access point 2 has not received the identifier, the content name and the encryption key corresponding to the identifier from the authentication server 3. Therefore, the access point 2 transmits the identifier to the authentication server 3 in S22. If the identifier received in S22 corresponds to the terminal that has been successfully authenticated in S10, the authentication server 3 transmits at least the content name and the encryption key to the access point 2 in S23. Thereafter, the access point 2 acquires the content corresponding to the content name received from the distribution server 4 in S23 and transmits it to the terminal 1.

なお、例えば、端末1が取得したコンテンツと同じコンテンツを他の端末が要求した場合、認証サーバ3は、端末1に対する暗号鍵と同じ暗号鍵を当該他の端末にも配布する構成とすることができる。この場合、当該他の端末は、アクセスポイント2が保持しているコンテンツを復号でき、よって、端末1に送信したコンテンツをアクセスポイント2に保持させることで、配信サーバ4からその都度コンテンツを取得する必要がなくなる。   For example, when another terminal requests the same content as the content acquired by the terminal 1, the authentication server 3 may be configured to distribute the same encryption key as the encryption key for the terminal 1 to the other terminal. it can. In this case, the other terminal can decrypt the content held by the access point 2, and thus acquires the content from the distribution server 4 each time by causing the access point 2 to hold the content transmitted to the terminal 1. There is no need.

図6は、本実施形態による認証サーバ3の構成図である。情報保持部31は、複数のアクセスポイント2について、設置位置を示す情報と、これらアクセスポイントと通信するための情報を保持している。さらに、情報保持部31は、複数のアクセスポイント2それぞれについて、それらを利用できる端末1を示す情報、例えば、端末1の識別子と、これら端末1の認証情報も保持している。認証処理部32は、認証情報に基づき端末1の認証を行い、認証が成功すると端末と共有する暗号鍵を生成する。端末位置情報取得部33は、端末1の位置情報を取得する。なお、この位置情報は、端末1が送信する形態であっても、無線アクセス網5が判定して認証サーバ3に通知する形態であっても良い。また、端末位置情報取得部33は、時間的に異なる複数の位置情報に基づき端末1の移動方向を判定することもできる。アクセスポイント選択部34は、端末の位置情報に基づき、複数のアクセスポイント2から1つ以上のアクセスポイント2を選択する。なお、アクセスポイント選択部34は、アクセスポイント2の選択に端末1の移動方向を考慮することができる。   FIG. 6 is a configuration diagram of the authentication server 3 according to the present embodiment. The information holding unit 31 holds information indicating installation positions and information for communicating with these access points for a plurality of access points 2. Further, for each of the plurality of access points 2, the information holding unit 31 also holds information indicating the terminals 1 that can use them, for example, the identifiers of the terminals 1 and the authentication information of these terminals 1. The authentication processing unit 32 authenticates the terminal 1 based on the authentication information, and generates an encryption key shared with the terminal when the authentication is successful. The terminal location information acquisition unit 33 acquires location information of the terminal 1. The position information may be transmitted by the terminal 1 or may be determined by the wireless access network 5 and notified to the authentication server 3. The terminal position information acquisition unit 33 can also determine the moving direction of the terminal 1 based on a plurality of pieces of position information that are temporally different. The access point selection unit 34 selects one or more access points 2 from the plurality of access points 2 based on the location information of the terminal. Note that the access point selection unit 34 can consider the moving direction of the terminal 1 in selecting the access point 2.

受信部35は、端末1から、当該端末1が要求するコンテンツを示す情報を受信する。コンテンツを示す情報は、コンテンツ名のみならず、例えば、コンテンツを保持している配信サーバ4を示す情報や、配信サーバ4と通信するための情報を含み得る。送信部36は、選択したアクセスポイント2に、端末1の識別子と、端末1と共有した暗号鍵と、端末1が要求するコンテンツを示す情報と、を送信する。なお、受信部35がアクセスポイント2から認証処理部32による認証が成功した端末1の識別子を受信すると、送信部36は、当該アクセスポイント2に、当該端末1と共有した暗号鍵と、当該端末1が要求するコンテンツを示す情報を少なくとも送信する。   The receiving unit 35 receives information indicating the content requested by the terminal 1 from the terminal 1. The information indicating the content may include not only the content name but also information indicating the distribution server 4 holding the content and information for communicating with the distribution server 4, for example. The transmission unit 36 transmits the identifier of the terminal 1, the encryption key shared with the terminal 1, and information indicating the content requested by the terminal 1 to the selected access point 2. When the receiving unit 35 receives the identifier of the terminal 1 successfully authenticated by the authentication processing unit 32 from the access point 2, the transmitting unit 36 sends the encryption key shared with the terminal 1 to the access point 2 and the terminal At least information indicating the content requested by 1 is transmitted.

図7は、本実施形態によるアクセスポイント2の構成図である。ネットワークインタフェース21は、パケット網6と接続するためのインタフェースであり、無線インタフェース25は、端末1と接続するための無線インタフェースである。コンテンツ取得部22は、認証サーバ3から、認証した端末1の識別子と、当該端末1が要求するコンテンツを示す情報と、暗号鍵と、を受信すると、当該コンテンツを配信サーバ4から取得する。なお、CCNの様な、パケット網6内の転送装置がコンテンツをキャッシュできる構成においては、結果として、転送装置から取得する場合もあり得る。したがって、一般的には、コンテンツ取得部22はパケット網6からコンテンツを取得する。より詳細には、コンテンツ取得部22はパケット網6を構成する通信装置や、パケット網6に接続する通信装置からコンテンツを取得する。コンテンツ保持部23は、コンテンツ取得部22が取得したコンテンツを保持する。コンテンツ送信部24は、無線インタフェース25を介して端末1から端末1の識別子を受信すると、無線インタフェース25を介して、認証サーバから受信した当該端末1に対する暗号鍵で暗号化したコンテンツを当該端末1に送信する。   FIG. 7 is a configuration diagram of the access point 2 according to the present embodiment. The network interface 21 is an interface for connecting to the packet network 6, and the wireless interface 25 is a wireless interface for connecting to the terminal 1. When the content acquisition unit 22 receives the identifier of the authenticated terminal 1, the information indicating the content requested by the terminal 1, and the encryption key from the authentication server 3, the content acquisition unit 22 acquires the content from the distribution server 4. Note that, in a configuration such as CCN in which the transfer device in the packet network 6 can cache the content, the content may be acquired from the transfer device as a result. Therefore, in general, the content acquisition unit 22 acquires content from the packet network 6. More specifically, the content acquisition unit 22 acquires content from a communication device configuring the packet network 6 or a communication device connected to the packet network 6. The content holding unit 23 holds the content acquired by the content acquisition unit 22. When the content transmission unit 24 receives the identifier of the terminal 1 from the terminal 1 via the wireless interface 25, the content transmission unit 24 transmits the content encrypted with the encryption key for the terminal 1 received from the authentication server via the wireless interface 25. Send to.

なお、コンテンツ取得部22は、受信した端末1の識別子を認証サーバ3から受信していないと、当該識別子を認証サーバ3に送信して、認証サーバ3から、まず、当該端末1に対する暗号鍵と、当該端末1が要求しているコンテンツを示す情報を取得する。   If the content acquisition unit 22 has not received the received identifier of the terminal 1 from the authentication server 3, the content acquisition unit 22 transmits the identifier to the authentication server 3. The information indicating the content requested by the terminal 1 is acquired.

図8は、本実施形態による端末1の構成図である。第1無線インタフェース11は、無線アクセス網5と接続するためのインタフェースであり、第2無線インタフェース14は、アクセスポイント2と接続するためのインタフェースである。なお、第1無線インタフェース11と、第2無線インタフェース14とは異なる無線技術に基づく無線インタフェースである。第1通信部12は、第1無線インタフェース11を介して認証サーバ3と通信し、認証サーバ3との通信により認証サーバ3と共有する暗号鍵を取得し、取得するコンテンツを示す情報を認証サーバ3に送信する。また、第2通信部13は、第2無線インタフェース14で通信できるアクセスポイント2のカバレッジに進入すると、当該アクセスポイント2と通信して当該アクセスポイント2から認証サーバ3と共有した暗号鍵で暗号化されたコンテンツを受信する。   FIG. 8 is a configuration diagram of the terminal 1 according to the present embodiment. The first radio interface 11 is an interface for connecting to the radio access network 5, and the second radio interface 14 is an interface for connecting to the access point 2. The first wireless interface 11 and the second wireless interface 14 are wireless interfaces based on different wireless technologies. The first communication unit 12 communicates with the authentication server 3 via the first wireless interface 11, acquires an encryption key shared with the authentication server 3 through communication with the authentication server 3, and transmits information indicating the content to be acquired to the authentication server 3 to send. When the second communication unit 13 enters the coverage of the access point 2 that can communicate with the second wireless interface 14, the second communication unit 13 communicates with the access point 2 and encrypts with the encryption key shared with the authentication server 3 from the access point 2. Received content.

なお、本発明による認証サーバ3、アクセスポイント2及び端末1は、コンピュータを上記認証サーバ3、アクセスポイント2及び端末1としてそれぞれ動作させるプログラムにより実現することができる。これらコンピュータプログラムは、コンピュータが読み取り可能な記憶媒体に記憶されて、又は、ネットワーク経由で配布が可能なものである。   The authentication server 3, the access point 2, and the terminal 1 according to the present invention can be realized by programs that cause a computer to operate as the authentication server 3, the access point 2, and the terminal 1, respectively. These computer programs can be stored in a computer-readable storage medium or distributed via a network.

31:情報保持部、32:認証処理部、35:受信部、33:端末位置情報取得部、34:アクセスポイント選択部、36:送信部   31: Information holding unit, 32: Authentication processing unit, 35: Reception unit, 33: Terminal position information acquisition unit, 34: Access point selection unit, 36: Transmission unit

Claims (10)

複数のアクセスポイントについて、設置位置を示す情報を保持する保持手段と、
通信装置の認証を行い、認証が成功すると当該通信装置と共有する暗号鍵を生成する認証手段と、
前記通信装置が要求するコンテンツを示す情報を受信する受信手段と、
前記通信装置の位置情報を取得する取得手段と、
前記通信装置の位置情報に基づき、前記複数のアクセスポイントから1つ以上のアクセスポイントを選択する選択手段と、
前記選択手段が選択したアクセスポイントに、前記通信装置の識別子と、前記生成した暗号鍵と、前記通信装置が要求するコンテンツを示す情報と、を送信する送信手段と、
を備えていることを特徴とする認証サーバ。 For a plurality of access points, holding means for holding information indicating installation positions;
An authentication unit that authenticates the communication device and generates an encryption key shared with the communication device when the authentication is successful;
Receiving means for receiving information indicating content requested by the communication device;
Obtaining means for obtaining position information of the communication device;
Selection means for selecting one or more access points from the plurality of access points based on position information of the communication device;
Transmitting means for transmitting, to the access point selected by the selecting means, an identifier of the communication device, the generated encryption key, and information indicating the content requested by the communication device;
An authentication server comprising: 前記通信装置の時間的に異なる複数の位置情報から、前記通信装置の移動方向を判定する判定手段をさらに備えており、
前記選択手段は、前記移動方向に基づき、前記複数のアクセスポイントから1つ以上のアクセスポイントを選択することを特徴とする請求項1に記載の認証サーバ。 The apparatus further includes a determination unit that determines a moving direction of the communication device from a plurality of pieces of position information different in time of the communication device,
The authentication server according to claim 1, wherein the selection unit selects one or more access points from the plurality of access points based on the moving direction. 前記複数のアクセスポイントのうちのアクセスポイントから前記認証手段による認証が成功した通信装置の識別子を受信すると、前記送信手段は、当該アクセスポイントに、当該通信装置と共有した暗号鍵と、当該通信装置が要求するコンテンツを示す情報を送信することを特徴とする請求項1又は2に記載の認証サーバ。   Upon receiving an identifier of a communication device that has been successfully authenticated by the authentication means from an access point of the plurality of access points, the transmission means sends an encryption key shared with the communication device to the access point, and the communication device The authentication server according to claim 1, wherein information indicating content requested by the server is transmitted. 通信装置と無線により通信するアクセスポイントであって、
認証サーバから、当該認証サーバが認証した通信装置の識別子と、当該通信装置が要求するコンテンツを示す情報と、暗号鍵と、を受信すると、当該コンテンツをネットワークから取得する取得手段と、
前記通信装置から前記通信装置の識別子を無線により受信すると、前記暗号鍵で暗号化した前記コンテンツを無線により前記通信装置に送信する送信手段と、
を備えていることを特徴とするアクセスポイント。 An access point that communicates wirelessly with a communication device,
Upon receiving from the authentication server the identifier of the communication device authenticated by the authentication server, information indicating the content requested by the communication device, and the encryption key, an acquisition unit that acquires the content from the network;
When the identifier of the communication device is received wirelessly from the communication device, transmission means for wirelessly transmitting the content encrypted with the encryption key to the communication device;
An access point characterized by comprising. 前記取得手段が取得したコンテンツを保持する保持手段をさらに備えていることを特徴とする請求項4に記載のアクセスポイント。   The access point according to claim 4, further comprising holding means for holding the content acquired by the acquisition means. 前記通信装置から前記通信装置の識別子を無線により受信したときに、前記取得手段が前記認証サーバから前記通信装置の識別子を受信していないと、前記取得手段は、前記通信装置の識別子を前記認証サーバに送信し、前記認証サーバから、前記通信装置の識別子を送信したことの応答として前記通信装置が要求するコンテンツを示す情報と、暗号鍵と、を受信すると、前記コンテンツを前記ネットワークから取得し、
前記送信手段は、前記取得手段が前記ネットワークから取得したコンテンツを前記通信装置に送信することを特徴とする請求項4又は5に記載のアクセスポイント。 When the acquisition unit does not receive the communication device identifier from the authentication server when the communication device identifier is wirelessly received from the communication device, the acquisition unit acquires the communication device identifier. When the information indicating the content requested by the communication device and the encryption key are received as a response to the transmission of the identifier of the communication device from the authentication server, the content is acquired from the network. ,
The access point according to claim 4, wherein the transmission unit transmits the content acquired by the acquisition unit from the network to the communication device. 第1無線インタフェースと、
前記第1無線インタフェースとは異なる無線技術の第2無線インタフェースと、
前記第1無線インタフェースを介して認証サーバと通信し、当該認証サーバとの通信により当該認証サーバと共有する暗号鍵を取得し、取得するコンテンツを示す情報を当該認証サーバに送信する第1通信手段と、
前記第2無線インタフェースで通信できるアクセスポイントのカバレッジに進入すると、当該アクセスポイントと通信して当該アクセスポイントから前記暗号鍵で暗号化されたコンテンツを受信する第2通信手段と、
を備えていることを特徴とする通信装置。 A first wireless interface;
A second wireless interface of a wireless technology different from the first wireless interface;
First communication means for communicating with an authentication server via the first wireless interface, acquiring an encryption key shared with the authentication server by communication with the authentication server, and transmitting information indicating the acquired content to the authentication server When,
A second communication means for communicating with the access point and receiving the content encrypted with the encryption key from the access point when entering the coverage of the access point that can communicate with the second wireless interface;
A communication apparatus comprising: 請求項1から3のいずれか1項に記載の認証サーバとしてコンピュータを機能させることを特徴とするプログラム。   A program for causing a computer to function as the authentication server according to any one of claims 1 to 3. 請求項4から6のいずれか1項に記載のアクセスポイントとしてコンピュータを機能させることを特徴とするプログラム。   A program that causes a computer to function as the access point according to any one of claims 4 to 6. 請求項7に記載の通信装置としてコンピュータを機能させることを特徴とするプログラム。   A program causing a computer to function as the communication device according to claim 7.
JP2015249820A 2015-12-22 2015-12-22 Authentication server, access point and program Expired - Fee Related JP6546846B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015249820A JP6546846B2 (en) 2015-12-22 2015-12-22 Authentication server, access point and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015249820A JP6546846B2 (en) 2015-12-22 2015-12-22 Authentication server, access point and program

Publications (2)

Publication Number Publication Date
JP2017118243A true JP2017118243A (en) 2017-06-29
JP6546846B2 JP6546846B2 (en) 2019-07-17

Family

ID=59231269

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015249820A Expired - Fee Related JP6546846B2 (en) 2015-12-22 2015-12-22 Authentication server, access point and program

Country Status (1)

Country Link
JP (1) JP6546846B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023181968A1 (en) * 2022-03-22 2023-09-28 ソフトバンク株式会社 Communication system and method, server, access point device, communication terminal, and program
JP7485710B2 (en) 2022-03-22 2024-05-16 ソフトバンク株式会社 COMMUNICATION SYSTEM AND METHOD, SERVER, ACCESS POINT DEVICE, COMMUNICATION TERMINAL, AND PROGRAM

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10276128A (en) * 1997-03-28 1998-10-13 Toshiba Corp Information data distribution method and information data communication system
WO2004045173A1 (en) * 2002-11-13 2004-05-27 Fujitsu Limited Network access control system
JP2004208073A (en) * 2002-12-25 2004-07-22 Sony Corp Radio communication system
JP2006508621A (en) * 2002-06-21 2006-03-09 トムソン ライセンシング Multimedia content distribution through WLAN coverage area
JP2007329680A (en) * 2006-06-07 2007-12-20 Sony Ericsson Mobilecommunications Japan Inc Wireless communication terminal device and control method therefor

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10276128A (en) * 1997-03-28 1998-10-13 Toshiba Corp Information data distribution method and information data communication system
JP2006508621A (en) * 2002-06-21 2006-03-09 トムソン ライセンシング Multimedia content distribution through WLAN coverage area
WO2004045173A1 (en) * 2002-11-13 2004-05-27 Fujitsu Limited Network access control system
JP2004208073A (en) * 2002-12-25 2004-07-22 Sony Corp Radio communication system
JP2007329680A (en) * 2006-06-07 2007-12-20 Sony Ericsson Mobilecommunications Japan Inc Wireless communication terminal device and control method therefor

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023181968A1 (en) * 2022-03-22 2023-09-28 ソフトバンク株式会社 Communication system and method, server, access point device, communication terminal, and program
JP2023140108A (en) * 2022-03-22 2023-10-04 ソフトバンク株式会社 Communication system and method, server, access point device, communication terminal, and program
JP7485710B2 (en) 2022-03-22 2024-05-16 ソフトバンク株式会社 COMMUNICATION SYSTEM AND METHOD, SERVER, ACCESS POINT DEVICE, COMMUNICATION TERMINAL, AND PROGRAM

Also Published As

Publication number Publication date
JP6546846B2 (en) 2019-07-17

Similar Documents

Publication Publication Date Title
KR102142576B1 (en) Method and apparatus for discovery of device-to-device communications
KR102398221B1 (en) Method and apparatus to identity verification using asymmetric keys in wireless direct communication network
KR101819556B1 (en) Apparatus and method for supporting family cloud in cloud computing system
US9557188B2 (en) Method and system for using relationship information from a social network to enable mobile device communications in a privacy enhanced network
US8295488B2 (en) Exchange of key material
KR102094216B1 (en) Security supporting method and system for proximity based service device to device discovery and communication in mobile telecommunication system environment
CN102111766B (en) Network accessing method, device and system
JP5587512B2 (en) Method and apparatus for enabling data transmission between a mobile device and a static destination address
KR101438343B1 (en) Method of assigning a user key in a convergence network
KR102100159B1 (en) Security supporting method and system for service discovery and group communication in mobile telecommunication system environment
JP2004056427A5 (en)
CN109413194B (en) User information cloud cooperative processing and transferring method for mobile communication system
CN110784434B (en) Communication method and device
KR102119586B1 (en) Systems and methods for relaying data over communication networks
US9007957B2 (en) Wireless network setup and configuration distribution system
CN108293055A (en) Method, apparatus and system for authenticating to mobile network and for by the server of device authentication to mobile network
CN105451298A (en) Network-sharing method and system, network access method and system, and electronic device
TW201517668A (en) Network sharing device, system and method
JP5848467B2 (en) Repeater, wireless communication system, and wireless communication method
JP2023052288A (en) Method, system, and program for relay
JP6546846B2 (en) Authentication server, access point and program
CN116114280A (en) Key management method and communication device
WO2014201783A1 (en) Encryption and authentication method, system and terminal for ad hoc network
KR101500118B1 (en) Data sharing method and data sharing system
JP2016019021A (en) Access point, information delivery method and access point control program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180418

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190125

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190514

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190604

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190618

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190624

R150 Certificate of patent or registration of utility model

Ref document number: 6546846

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees