JP2018195974A - 無線lanアクセスポイントおよび暗号化鍵共有方法 - Google Patents

無線lanアクセスポイントおよび暗号化鍵共有方法 Download PDF

Info

Publication number
JP2018195974A
JP2018195974A JP2017098104A JP2017098104A JP2018195974A JP 2018195974 A JP2018195974 A JP 2018195974A JP 2017098104 A JP2017098104 A JP 2017098104A JP 2017098104 A JP2017098104 A JP 2017098104A JP 2018195974 A JP2018195974 A JP 2018195974A
Authority
JP
Japan
Prior art keywords
wireless lan
access point
lan access
pmk
encryption key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017098104A
Other languages
English (en)
Inventor
勝史 宇津木
Masafumi Utsugi
勝史 宇津木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Allied Telesis Holdings KK
Original Assignee
Allied Telesis Holdings KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Allied Telesis Holdings KK filed Critical Allied Telesis Holdings KK
Priority to JP2017098104A priority Critical patent/JP2018195974A/ja
Priority to US15/979,944 priority patent/US20180337903A1/en
Publication of JP2018195974A publication Critical patent/JP2018195974A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • H04W48/14Access restriction or access information delivery, e.g. discovery data delivery using user query or user detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】認証サーバの負荷を低減させながら、ローミングを高速化する。
【解決手段】無線LANアクセスポイント10aは、無線LANステーション20とPMKを用いた無線通信を行う。無線LANアクセスポイント10aは、無線LANアクセスポイント10aから近い距離に配置されている近接無線LANアクセスポイント10bを検出するビーコン受信部118aと、近接無線LANアクセスポイント10bにPMKを送信するPMK送信部108aと、PMK送信部108aによるPMKの送信の可否を判定するPMK共有可否判定部120aを備える。ビーコン受信部118aは、他の無線LANアクセスポイント10b、10c、10d、10eから送信されるビーコンに基づき、近接無線LANアクセスポイント10bを検出する。
【選択図】図3

Description

本発明は、ローミングの高速化に関する。
従来より、複数の無線LAN(Local Area Network)アクセスポイントを有する無線LANが知られている。このような無線LANにおいては、無線LANステーションが、ある一つの無線LANアクセスポイントAと通信を行っている。ここで、無線LANステーションが移動して、無線LANアクセスポイントAから離れると、通信品質が低下する。かかる場合、無線LANステーションが、他の無線LANアクセスポイントBに接近していることがある。よって、無線LANアクセスポイントBと通信を行うようにすれば、通信品質の低下を防止できる。このように、無線LANステーションが、通信する無線LANアクセスポイントを変更することをローミングという(例えば、特許文献1の要約を参照)。
無線LANステーションがローミングを行う際に、認証サーバによってIEEE802.1x認証が行われ、認証サーバからPMK(Pairwise Master Key)が無線LANステーションおよび無線LANアクセスポイントに配布される。このようなIEEE802.1x認証およびPMKの配布には時間がかかるため、ローミングが遅くなってしまう。
そこで、ローミングの高速化のために、IEEE802.11iで定められている事前認証を行うことが考えられる。この事前認証によれば、無線LANステーションが周囲にローミング可能な無線LANアクセスポイントを検出すると、検出された無線LANアクセスポイントにローミングする前に、認証サーバによるIEEE802.1x認証およびPMKの発行・配布が行われる。よって、ローミングの際には、IEEE802.1x認証およびPMKの発行・配布を行わなくてすむので、ローミングを高速化することができる。
特開2010−93360号公報
しかしながら、IEEE802.11iで定められている事前認証によれば、検出された無線LANアクセスポイントごとに認証およびPMKの発行・配布が行われるため、認証サーバの負荷が高くなってしまう。
そこで、本発明は、認証サーバの負荷を低減させながら、ローミングを高速化することを課題とする。
本発明にかかる無線LANアクセスポイントは、無線LAN通信端末と暗号化鍵を用いた無線通信を行う無線LANアクセスポイントであって、前記無線LANアクセスポイントから近い距離に配置されている近接無線LANアクセスポイントを検出する近接アクセスポイント検出部と、前記近接無線LANアクセスポイントに前記暗号化鍵を送信する暗号化鍵送信部とを備えるように構成される。
上記のように構成された無線LANアクセスポイントは、無線LAN通信端末と暗号化鍵を用いた無線通信を行う。近接アクセスポイント検出部は、前記無線LANアクセスポイントから近い距離に配置されている近接無線LANアクセスポイントを検出する。暗号化鍵送信部は、前記近接無線LANアクセスポイントに前記暗号化鍵を送信する。
なお、本発明にかかる無線LANアクセスポイントは、前記無線LAN通信端末が、前記無線LANアクセスポイントにかえて、前記近接無線LANアクセスポイントと無線通信を行うこととなった場合にも、前記暗号化鍵が使用されるようにしてもよい。
なお、本発明にかかる無線LANアクセスポイントは、前記暗号化鍵が、ペアワイズマスターキー(Pairwise Master Key)であるようにしてもよい。
なお、本発明にかかる無線LANアクセスポイントは、前記近接アクセスポイント検出部が、他の無線LANアクセスポイントから送信されるビーコンに基づき、前記近接無線LANアクセスポイントを検出するようにしてもよい。
なお、本発明にかかる無線LANアクセスポイントは、前記暗号化鍵送信部による前記暗号化鍵の送信の可否を判定する送信可否判定部を備えるようにしてもよい。
なお、本発明にかかる無線LANアクセスポイントは、前記送信可否判定部が、前記無線LANアクセスポイントの少なくとも一つのSSIDおよび該少なくとも一つのSSIDを使用する際に用いる認証方式と、前記近接無線LANアクセスポイントの少なくとも一つのSSIDおよび該少なくとも一つのSSIDを使用する際に用いる認証方式とがそれぞれ同一である場合に、前記暗号化鍵の送信を可と判定するようにしてもよい。
なお、本発明にかかる無線LANアクセスポイントは、前記暗号化鍵送信部が、LANケーブルを介して、前記近接無線LANアクセスポイントに前記暗号化鍵を送信するようにしてもよい。
本発明は、無線LAN通信端末と暗号化鍵を用いた無線通信を行う無線LANアクセスポイントを用いた暗号化鍵共有方法であって、前記無線LANアクセスポイントから近い距離に配置されている近接無線LANアクセスポイントを検出する近接アクセスポイント検出工程と、前記近接無線LANアクセスポイントに前記暗号化鍵を送信する暗号化鍵送信工程とを備えた暗号化鍵共有方法である。
本発明の実施形態にかかる無線LANシステムにおける無線LANアクセスポイント10a等の通信装置の位置関係を概説する図である。 本発明の実施形態にかかる無線LANシステムのネットワーク構成を示す機能ブロック図である。 無線LANアクセスポイント10aの構成を示す機能ブロック図である。 近接無線LANアクセスポイント10bの構成を示す機能ブロック図である。 初回接続時における本発明の実施形態にかかる無線LANシステムの動作を示すフローチャートである。 PMK共有の際の本発明の実施形態にかかる無線LANシステムの動作を示すフローチャートである。 ローミング時における本発明の実施形態にかかる無線LANシステムの動作を示すフローチャートである。 初回接続時における本発明の実施形態にかかる無線LANシステムの動作を記入した無線LANシステムの機能ブロック図である。 PMK共有の際の本発明の実施形態にかかる無線LANシステムの動作を記入した無線LANシステムの機能ブロック図である。 ローミング時における本発明の実施形態にかかる無線LANシステムの動作を記入した無線LANシステムの機能ブロック図である。
以下、本発明の実施形態を図面を参照しながら説明する。
図1は、本発明の実施形態にかかる無線LANシステムにおける無線LANアクセスポイント10a等の通信装置の位置関係を概説する図である。なお、図面においては、「無線LAN」の表記を省略し、アクセスポイント10a、10b、10c、10d、10eおよびステーション20と表記する。
本発明の実施形態にかかる無線LANシステムは、無線LANアクセスポイント10a、10b、10c、10d、10e、無線LANステーション(無線LAN通信端末)20、認証サーバ30、LANケーブル40を備える。ただし、図1においては、認証サーバ30およびLANケーブル40を図示省略する。
無線LANアクセスポイント10aは、無線LANステーション(無線LAN通信端末)20と、暗号化鍵を用いた無線通信を行う。なお、この暗号化鍵(例えば、ペアワイズマスターキー(PMK : Pairwise Master Key)(以下、「PMK」と表記する))は、無線LANステーション20が、無線LANアクセスポイント10aにかえて、無線LANアクセスポイント(近接無線LANアクセスポイント)10bと無線通信を行うこととなった場合(ローミング)にも使用される。
ただし、無線LANアクセスポイント10aと無線LANステーション20との間で無線通信されるデータの暗号化には、PMKそのものを直接用いるわけではなく、PMKから動的に生成された鍵が用いられている。このように、PMKは無線通信に間接的に用いられている。いずれにせよ、無線LANアクセスポイント10aが、無線LANステーション20と、暗号化鍵(PMK)を用いた無線通信を行っていることにかわりはない。
無線LANアクセスポイント(近接無線LANアクセスポイント)10bは、無線LANアクセスポイント10aから近い距離に配置されている無線LANアクセスポイントである。
無線LANアクセスポイント10c、10d、10eは、無線LANアクセスポイント10aから遠い距離に配置されている。
無線LANステーション(無線LAN通信端末)20は、無線LANアクセスポイント10aと、暗号化鍵を用いた無線通信を行う。無線LANステーション20が移動した場合、無線LANアクセスポイント10aにかえて、無線LANアクセスポイント10aから近い無線LANアクセスポイント10bと無線通信を行うことが考えられる(ローミング)。なお、無線LANアクセスポイント10c、10d、10eは、無線LANアクセスポイント10aから遠いので、無線LANステーション20との通信を行うことは、あまり考えられない。すなわち、ローミング先は、無線LANアクセスポイント10aに近い近接無線LANアクセスポイント10bとなる可能性が高い。
図2は、本発明の実施形態にかかる無線LANシステムのネットワーク構成を示す機能ブロック図である。図2においては、本発明の実施形態にかかる無線LANシステムのうち、無線LANアクセスポイント10a、10b、無線LANステーション20、認証サーバ30、LANケーブル40を図示し、無線LANアクセスポイント10c、10d、10eを図示省略する。
無線LANアクセスポイント10a、10bおよび認証サーバ30は、LANケーブル40および図示省略したスイッチにより接続されている。無線LANアクセスポイント10aと無線LANステーション20とは有線接続されておらず、無線通信を行う。
認証サーバ30は、無線LANアクセスポイント10aから認証の要求を受け、PMKを作成して、無線LANアクセスポイント10aおよび無線LANステーション20に送信する。認証サーバ30は、RADIUS(Remote Authentication Dial In User Service)サーバであり、無線LANアクセスポイント10aと無線LANステーション20とについて、IEEE 802.1x認証を行う。
図3は、無線LANアクセスポイント10aの構成を示す機能ブロック図である。無線LANアクセスポイント10aは、端末通信部102a、認証要求部104a、PMK受信部106a、PMK送信部(暗号化鍵送信部)108a、PMK記録部110a、PMK共有回答フレーム受信部112a、PMK共有要求フレーム送信部114a、ビーコン送信部116a、ビーコン受信部(近接アクセスポイント検出部)118a、PMK共有可否判定部(送信可否判定部)120a、SSID記録部132a、セキュリティ設定記録部134a、PMK共有回答フレーム送信部113a、PMK共有要求フレーム受信部115aを有する。
端末通信部102aは、無線LANステーション20と無線通信を行う。なお、端末通信部102aは、PMK記録部110aに記録されたPMKを間接的に用いて、無線LANステーション20と無線通信を行う。すなわち、PMKから動的に生成された鍵を用いて、端末通信部102aと無線LANステーション20との間で通信されるデータが暗号化される。
認証要求部104aは、無線LANステーション20の認証を認証サーバ30へ要求する。この要求は、LANケーブル40を介して、認証サーバ30へ伝達される。
PMK受信部106aは、認証サーバ30よりLANケーブル40を介して送信されたPMKを受信し、PMK記録部110aに書き込む。
PMK送信部(暗号化鍵送信部)108aは、無線LANアクセスポイント(近接無線LANアクセスポイント)10bにPMKを送信する。なお、PMK送信部108aは、LANケーブル40を介して、無線LANアクセスポイント10bにPMKを送信する。ただし、PMK送信部108aは、PMK共有回答フレーム受信部112aからPMK共有回答フレームを受信した旨の通知を受けた場合に、PMKを送信する。ただし、すでに無線LANアクセスポイント10bにPMKを送信していたのであれば、さらに無線LANアクセスポイント10bにPMKを送信する必要はない。
PMK記録部110aは、PMKを記録する。
SSID記録部132aは、無線LANアクセスポイント10aのSSID(Service Set Identifier)を記録する。ただし、SSIDとは、IEEE 802.11で定められているアクセスポイントの識別子である。
セキュリティ設定記録部134aは、無線LANアクセスポイント10aが無線LANステーション20と行う無線通信において採用される認証方式(例えば、WPAパーソナル(Personal)、WPAエンタープライズ(Enterprise)またはWPA2エンタープライズ(Enterprise))を記録する。
ビーコン送信部116aは、SSID記録部132aからSSIDを読み出し、セキュリティ設定記録部134aから認証方式を読み出す。さらに、ビーコン送信部116aは、読み出したSSIDおよび認証方式を記録したビーコンを送信する。ただし、本実施形態では、ビーコン送信部116aを使用しなくてもよい。
ビーコン受信部(近接アクセスポイント検出部)118aは、無線LANアクセスポイント10aから近い距離に配置されている近接無線LANアクセスポイントを検出する。本実施形態において、近接無線LANアクセスポイントは、無線LANアクセスポイント10bであり、無線LANアクセスポイント10c、10d、10eではない(図1参照)。
ビーコン受信部118aは、無線LANアクセスポイント10aとは他の無線LANアクセスポイント10b、10c、10d、10eから送信されるビーコンに基づき、近接無線LANアクセスポイントを検出する。例えば、ビーコン受信部118aは、受信したビーコンの強度が所定の閾値以上である場合に、そのビーコンを送信した無線LANアクセスポイントを近接無線LANアクセスポイントと判定する。
なお、ビーコンには、そのビーコンを送信した無線LANアクセスポイントのSSIDおよび認証方式が記録されている。ビーコン受信部118aは、検出した近接無線LANアクセスポイントより受信したビーコンから、SSIDおよび認証方式を読み出して、PMK共有可否判定部(送信可否判定部)120aに与える。
例えば、本実施形態において、近接無線LANアクセスポイントは無線LANアクセスポイント10bであるので、ビーコン受信部118aは、無線LANアクセスポイント10bのSSIDおよび認証方式をビーコンから読み出して、PMK共有可否判定部(送信可否判定部)120aに与える。
PMK共有可否判定部(送信可否判定部)120aは、暗号化鍵送信部108aによる暗号化鍵(PMK)の送信の可否を判定する。具体的には、PMK共有可否判定部(送信可否判定部)120aは、無線LANアクセスポイント10aの少なくとも一つのSSIDおよびそのSSIDを使用する際に用いる認証方式と、近接無線LANアクセスポイント10bの少なくとも一つのSSIDおよびそのSSIDを使用する際に用いる認証方式とがそれぞれ同一である場合に、PMKの送信を可と判定する。
「少なくとも一つのSSIDとそのSSIDを使用する際に用いる認証方式」について、以下に説明する。
無線LANアクセスポイントにおいてSSIDが一つのみ設定されている場合は、そのSSIDを使用する際に用いる認証方式も一つだけ設定されている。よって、その一つだけ設定されたSSIDおよび認証方式が、「少なくとも一つのSSIDとそのSSIDを使用する際に用いる認証方式」である。
無線LANアクセスポイントにおいてSSIDが複数設定されている場合は(以下、「マルチSSID」という)、SSIDごとに、そのSSIDに対応づけて認証方式が設定されている。この場合、「少なくとも一つのSSIDとそのSSIDを使用する際に用いる認証方式」は、複数設定されているSSIDのいずれか一つ以上と、それに対応づけて設定された認証方式ということになる。
例えば、無線LANアクセスポイント10aおよび近接無線LANアクセスポイント10bが共にマルチSSIDであったとする。さらに、無線LANアクセスポイント10aのSSIDおよび認証方式が、「SSIDがAAA、認証方式がWPAエンタープライズ」、「SSIDがBBB、認証方式がWPAパーソナル」であり、近接無線LANアクセスポイント10bのSSIDおよび認証方式が、「SSIDがAAA、認証方式がWPAエンタープライズ」、「SSIDがCCC、認証方式がWPAパーソナル」であったとする。この場合、いずれの無線LANアクセスポイントにおいても「SSIDがAAA、認証方式がWPAエンタープライズ」が同一である。よって、無線LANアクセスポイント10aの少なくとも一つのSSIDおよびそのSSIDを使用する際に用いる認証方式と、近接無線LANアクセスポイント10bの少なくとも一つのSSIDおよびそのSSIDを使用する際に用いる認証方式とがそれぞれ同一である場合に該当する。
より詳細には、PMK共有可否判定部120aは、無線LANアクセスポイント10aのSSIDと認証方式とを、SSID記録部132aおよびセキュリティ設定記録部134aから読み出す。PMK共有可否判定部120aは、近接無線LANアクセスポイント10bのSSIDと認証方式とを、ビーコン受信部118aから受ける。さらに、PMK共有可否判定部120aは、無線LANアクセスポイント10aの少なくとも一つのSSIDおよびそのSSIDを使用する際に用いる認証方式と、近接無線LANアクセスポイント10bの少なくとも一つのSSIDおよびそのSSIDを使用する際に用いる認証方式とがそれぞれ同一である場合にはPMKの送信を可と判定し、同一では無い場合にはPMKの送信を不可と判定する。
PMK共有可否判定部120aは、PMKの送信を可と判定した場合には、PMK共有要求フレーム送信部114aに、PMK共有要求フレームの送信を指示する。
PMK共有要求フレーム送信部114aは、PMK共有可否判定部120aからPMK共有要求フレームの送信の指示を受けると(PMKの送信が可と判定されている)、PMK共有要求フレームを、LANケーブル40を介して、近接無線LANアクセスポイント10bに送信する。
PMK共有回答フレーム受信部112aは、近接無線LANアクセスポイント10bからPMK共有回答フレームを、LANケーブル40を介して受信し、PMK共有回答フレームを受信した旨をPMK送信部108aに通知する。
PMK共有回答フレーム送信部113aおよびPMK共有要求フレーム受信部115aについては、後述する。
図4は、近接無線LANアクセスポイント10bの構成を示す機能ブロック図である。近接無線LANアクセスポイント10bは、端末通信部102b、認証要求部104b、PMK受信部106b、PMK送信部(暗号化鍵送信部)108b、PMK記録部110b、PMK共有回答フレーム受信部112b、PMK共有要求フレーム送信部114b、ビーコン送信部116b、ビーコン受信部(近接アクセスポイント検出部)118b、PMK共有可否判定部(送信可否判定部)120b、SSID記録部132b、セキュリティ設定記録部134b、PMK共有回答フレーム送信部113b、PMK共有要求フレーム受信部115bを有する。
端末通信部102b、認証要求部104b、PMK受信部106b、PMK送信部(暗号化鍵送信部)108b、PMK記録部110b、PMK共有回答フレーム受信部112b、PMK共有要求フレーム送信部114b、ビーコン送信部116b、ビーコン受信部(近接アクセスポイント検出部)118b、PMK共有可否判定部(送信可否判定部)120b、SSID記録部132b、セキュリティ設定記録部134bは、それぞれ、端末通信部102a、認証要求部104a、PMK受信部106a、PMK送信部(暗号化鍵送信部)108a、PMK記録部110a、PMK共有回答フレーム受信部112a、PMK共有要求フレーム送信部114a、ビーコン送信部116a、ビーコン受信部(近接アクセスポイント検出部)118a、PMK共有可否判定部(送信可否判定部)120a、SSID記録部132a、セキュリティ設定記録部134aと同様であり、説明を省略する。
ただし、本実施形態では、認証要求部104b、PMK送信部108b、PMK共有回答フレーム受信部112b、PMK共有要求フレーム送信部114b、ビーコン受信部118b、PMK共有可否判定部120bを使用しなくてもよい。
また、PMK受信部106bは、LANケーブル40を介して、無線LANアクセスポイント10aよりPMKを受信する。
PMK共有要求フレーム受信部115bは、LANケーブル40を介して、無線LANアクセスポイント10aよりPMK共有要求フレームを受信し、その旨をPMK共有回答フレーム送信部113bに通知する。PMK共有要求フレーム受信部115a(図3参照)も、PMK共有要求フレーム受信部115bと同様であるが、本実施形態では使用しなくてもよい。
PMK共有回答フレーム送信部113bは、PMK共有要求フレーム受信部115bからPMK共有要求フレームを受信した旨の通知を受けると、PMK共有回答フレームをLANケーブル40を介して、無線LANアクセスポイント10aに送信する。PMK共有回答フレーム送信部113a(図3参照)も、PMK共有回答フレーム送信部113bと同様であるが、本実施形態では使用しなくてもよい。
次に、本発明の実施形態の動作を説明する。
本発明の実施形態の動作は、大別して、(1)初回接続時、(2)PMK共有、(3)ローミング時、の3段階に分けることができる。
(1)初回接続時
図5は、初回接続時における本発明の実施形態にかかる無線LANシステムの動作を示すフローチャートである。なお、図5においては、無線LANステーション20、無線LANアクセスポイント10a、認証サーバ30に分けて動作を図示している。
図8は、初回接続時における本発明の実施形態にかかる無線LANシステムの動作を記入した無線LANシステムの機能ブロック図である。
初回接続時とは、無線LANステーション20が、無線LANアクセスポイント(本実施形態においては無線LANアクセスポイント10a)に初めて接続する時を意味する。初回接続時の動作は、IEEE 802.1x認証を用いた無線通信と同様である。
まず、無線LANステーション20が、無線LANアクセスポイントに接続を試みる(S202)。
無線LANアクセスポイント10aの端末通信部102aは、無線LANステーション20から送信された接続試行のためのフレームを受信する(S102a)。端末通信部102aは、認証要求部104aに、接続試行のためのフレームを受信した旨を通知する。認証要求部104aは、この通知を受けて、無線LANステーション20の認証を、LANケーブル40を介して、認証サーバ30へ要求する(S104a)。
認証サーバ30は、無線LANステーション20の認証の要求を、無線LANアクセスポイント10aから受信すると(S302)、認証を行い(S304)、PMKを発行し(S306)、PMKを無線LANアクセスポイント10aおよび無線LANステーション20に送信する(S308)(図8参照)。なお、認証(S304)、PMK発行(S306)およびPMK送信(S308)は、IEEE 802.1x認証と同様であるので、詳細には説明しない。
無線LANアクセスポイント10aのPMK受信部106aは、認証サーバ30から送信されたPMKを、LANケーブル40を介して受信し(S106a)、PMK記録部110aに書き込む。さらに、端末通信部102aがPMK記録部110aからPMKを読み出して、無線LANステーション20に送信する。
無線LANステーション20は、PMKを受信し(S204)、無線LANアクセスポイント10aと、PMKを間接的に利用した無線通信を行う(S206)(図8参照)。
無線LANアクセスポイント10aの端末通信部102aも、無線LANステーション20と、PMKを間接的に利用した無線通信を行う(S108a)(図8参照)。
(2)PMK共有
図6は、PMK共有の際の本発明の実施形態にかかる無線LANシステムの動作を示すフローチャートである。なお、図6においては、無線LANアクセスポイント10a、近接無線LANアクセスポイント10bに分けて動作を図示している。
図9は、PMK共有の際の本発明の実施形態にかかる無線LANシステムの動作を記入した無線LANシステムの機能ブロック図である。
近接無線LANアクセスポイント10bのビーコン送信部116bが、SSID記録部132bからSSIDを読み出し、セキュリティ設定記録部134bから認証方式を読み出す。さらに、ビーコン送信部116bは、読み出したSSIDおよび認証方式を記録したビーコンを送信する(S112b)(図9参照)。ただし、無線LANアクセスポイント10c、10d、10eもまたビーコンを送信する。
無線LANアクセスポイント10aのビーコン受信部118aは、電波スキャン(S110a)を行い、近接無線LANアクセスポイント10bのビーコンを受信する(S112a)。ただし、ビーコン受信部118aは、無線LANアクセスポイント10c、10d、10eのビーコンも受信する。
ここで、ビーコン受信部118aは、受信したビーコンの強度が所定の閾値以上である場合に、そのビーコンを送信した無線LANアクセスポイントを近接無線LANアクセスポイント(本実施形態では、無線LANアクセスポイント10b)と判定する。
ビーコン受信部118aは、検出した近接無線LANアクセスポイント10bより受信したビーコンから、SSIDおよび認証方式を読み出して、PMK共有可否判定部(送信可否判定部)120aに与える。
PMK共有可否判定部120aは、無線LANアクセスポイント10aのSSIDと認証方式とを、SSID記録部132aおよびセキュリティ設定記録部134aから読み出す。さらに、PMK共有可否判定部120aは、無線LANアクセスポイント10aの少なくとも一つのSSIDおよびそのSSIDを使用する際に用いる認証方式と、近接無線LANアクセスポイント10bの少なくとも一つのSSIDおよびそのSSIDを使用する際に用いる認証方式とがそれぞれ同一であるか否かを判定する(S114a)。ただし、図6のS114aにおいて、上記の判定内容を「AP10a,10bの少なくとも一つのSSID・認証方式が同一?」と略記する。
無線LANアクセスポイント10aの少なくとも一つのSSIDおよびそのSSIDを使用する際に用いる認証方式と、近接無線LANアクセスポイント10bの少なくとも一つのSSIDおよびそのSSIDを使用する際に用いる認証方式とがそれぞれ同一ではない場合は(S114a、No)、PMKの送信を不可と判定され、電波スキャン(S110a)に戻る。この場合、PMK送信(S122a)は行われない。
無線LANアクセスポイント10aの少なくとも一つのSSIDおよびそのSSIDを使用する際に用いる認証方式と、近接無線LANアクセスポイント10bの少なくとも一つのSSIDおよびそのSSIDを使用する際に用いる認証方式とがそれぞれ同一である場合は(S114a、Yes)、PMK共有可否判定部120aがPMKの送信を可と判定する(S116a)。
PMK共有要求フレーム送信部114aは、PMK共有要求フレームを、LANケーブル40を介して、近接無線LANアクセスポイント10bに送信する(S118a)。
近接無線LANアクセスポイント10bのPMK共有要求フレーム受信部115bは、無線LANアクセスポイント10aよりPMK共有要求フレームを受信し(S118b)、その旨をPMK共有回答フレーム送信部113bに通知する。
PMK共有回答フレーム送信部113bは、PMK共有要求フレーム受信部115bからPMK共有要求フレームを受信した旨の通知を受けると、PMK共有回答フレームを、LANケーブル40を介して、無線LANアクセスポイント10aに送信する(S120b)。
無線LANアクセスポイント10aのPMK共有回答フレーム受信部112aは、近接無線LANアクセスポイント10bからPMK共有回答フレームを、LANケーブル40を介して受信し(S120a)、PMK共有回答フレームを受信した旨をPMK送信部108aに通知する。
PMK送信部108aは、近接無線LANアクセスポイント10bにPMKを送信する(S122a)(図9参照)。
近接無線LANアクセスポイント10bのPMK受信部106bは、LANケーブル40を介して、無線LANアクセスポイント10aよりPMKを受信し(S122b)、PMK記録部110bに書き込む。
これにより、PMKを、無線LANアクセスポイント10aおよび近接無線LANアクセスポイント10bが共有することとなる。このPMK共有の際には、認証サーバ30を利用していないことに留意されたい。
(3)ローミング時
図7は、ローミング時における本発明の実施形態にかかる無線LANシステムの動作を示すフローチャートである。なお、図7においては、無線LANステーション20、無線LANアクセスポイント10bに分けて動作を図示している。
図10は、ローミング時における本発明の実施形態にかかる無線LANシステムの動作を記入した無線LANシステムの機能ブロック図である。
無線LANステーション20が移動した場合、無線LANアクセスポイント10aにかえて、無線LANアクセスポイント10aから近い近接無線LANアクセスポイント10bと無線通信を行うことが考えられる(ローミング)。
そこで、近接無線LANアクセスポイント10bの端末通信部102bは、無線LANステーション20と、PMK記録部110bに記録されたPMKを間接的に利用した無線通信を行う(S128b)(図10参照)。
無線LANステーション20も、近接無線LANアクセスポイント10bと、PMKを間接的に利用した無線通信を行う(S208)(図10参照)。
ローミングの際には、認証サーバ30を利用していないことに留意されたい。
本発明の実施形態によれば、無線LANステーション20の通信相手を無線LANアクセスポイント10aから近接無線LANアクセスポイント10bに変更する際に(ローミング)、認証サーバ30による認証(S304:図5参照)およびPMKの発行(S306:図5参照)を行わないので、ローミングを高速化することができる。
これは、無線LANアクセスポイント10aが近接無線LANアクセスポイント10bへPMKをローミングの前に送信し(S122a:図6および図9参照)、近接無線LANアクセスポイント10bがPMKを記録しておくからである。この際、IEEE802.11iで定められている事前認証とは異なり、近接無線LANアクセスポイント10bについては、認証サーバ30による認証(S304:図5参照)およびPMKの発行(S306:図5参照)を行わないので、認証サーバ30の負荷を事前認証よりも低減させることができる。
また、上記の実施形態は、以下のようにして実現できる。CPU、ハードディスク、メディア(フロッピー(登録商標)ディスク、CD−ROMなど)読み取り装置を備えたコンピュータに、上記の各部分、例えば無線LANアクセスポイント10a、10bの各部分を実現するプログラムを記録したメディアを読み取らせて、ハードディスクにインストールする。このような方法でも、上記の機能を実現できる。
10a 無線LANアクセスポイント
10b 近接無線LANアクセスポイント
20 無線LANステーション(無線LAN通信端末)
30 認証サーバ
40 LANケーブル
108a PMK送信部(暗号化鍵送信部)
118a ビーコン受信部(近接アクセスポイント検出部)
120a PMK共有可否判定部(送信可否判定部)

Claims (8)

  1. 無線LAN通信端末と暗号化鍵を用いた無線通信を行う無線LANアクセスポイントであって、
    前記無線LANアクセスポイントから近い距離に配置されている近接無線LANアクセスポイントを検出する近接アクセスポイント検出部と、
    前記近接無線LANアクセスポイントに前記暗号化鍵を送信する暗号化鍵送信部と、
    を備えた無線LANアクセスポイント。
  2. 請求項1に記載の無線LANアクセスポイントであって、
    前記無線LAN通信端末が、前記無線LANアクセスポイントにかえて、前記近接無線LANアクセスポイントと無線通信を行うこととなった場合にも、前記暗号化鍵が使用される、
    無線LANアクセスポイント。
  3. 請求項2に記載の無線LANアクセスポイントであって、
    前記暗号化鍵は、ペアワイズマスターキー(Pairwise Master Key)である、
    無線LANアクセスポイント。
  4. 請求項1に記載の無線LANアクセスポイントであって、
    前記近接アクセスポイント検出部は、他の無線LANアクセスポイントから送信されるビーコンに基づき、前記近接無線LANアクセスポイントを検出する、
    無線LANアクセスポイント。
  5. 請求項1に記載の無線LANアクセスポイントであって、
    前記暗号化鍵送信部による前記暗号化鍵の送信の可否を判定する送信可否判定部を備えた無線LANアクセスポイント。
  6. 請求項5に記載の無線LANアクセスポイントであって、
    前記送信可否判定部は、前記無線LANアクセスポイントの少なくとも一つのSSIDおよび該少なくとも一つのSSIDを使用する際に用いる認証方式と、前記近接無線LANアクセスポイントの少なくとも一つのSSIDおよび該少なくとも一つのSSIDを使用する際に用いる認証方式とがそれぞれ同一である場合に、前記暗号化鍵の送信を可と判定する、
    無線LANアクセスポイント。
  7. 請求項1に記載の無線LANアクセスポイントであって、
    前記暗号化鍵送信部が、LANケーブルを介して、前記近接無線LANアクセスポイントに前記暗号化鍵を送信する、
    無線LANアクセスポイント。
  8. 無線LAN通信端末と暗号化鍵を用いた無線通信を行う無線LANアクセスポイントを用いた暗号化鍵共有方法であって、
    前記無線LANアクセスポイントから近い距離に配置されている近接無線LANアクセスポイントを検出する近接アクセスポイント検出工程と、
    前記近接無線LANアクセスポイントに前記暗号化鍵を送信する暗号化鍵送信工程と、
    を備えた暗号化鍵共有方法。
JP2017098104A 2017-05-17 2017-05-17 無線lanアクセスポイントおよび暗号化鍵共有方法 Pending JP2018195974A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017098104A JP2018195974A (ja) 2017-05-17 2017-05-17 無線lanアクセスポイントおよび暗号化鍵共有方法
US15/979,944 US20180337903A1 (en) 2017-05-17 2018-05-15 Wireless lan access point and encryption key sharing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017098104A JP2018195974A (ja) 2017-05-17 2017-05-17 無線lanアクセスポイントおよび暗号化鍵共有方法

Publications (1)

Publication Number Publication Date
JP2018195974A true JP2018195974A (ja) 2018-12-06

Family

ID=64272252

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017098104A Pending JP2018195974A (ja) 2017-05-17 2017-05-17 無線lanアクセスポイントおよび暗号化鍵共有方法

Country Status (2)

Country Link
US (1) US20180337903A1 (ja)
JP (1) JP2018195974A (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11696129B2 (en) * 2019-09-13 2023-07-04 Samsung Electronics Co., Ltd. Systems, methods, and devices for association and authentication for multi access point coordination

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7103359B1 (en) * 2002-05-23 2006-09-05 Nokia Corporation Method and system for access point roaming
US7395427B2 (en) * 2003-01-10 2008-07-01 Walker Jesse R Authenticated key exchange based on pairwise master key
CN101053210B (zh) * 2004-09-15 2010-08-25 诺基亚有限公司 用于进行通信的方法和用于通信的设备
US9491619B2 (en) * 2010-09-27 2016-11-08 Infosys Technologies Ltd. Method and system for preauthenticating a mobile node
US9479990B1 (en) * 2013-04-19 2016-10-25 Western Digital Technologies, Inc. Roaming management for client devices
TWI578836B (zh) * 2013-05-10 2017-04-11 瑞雷2股份有限公司 多租戶虛擬存取點-網路資源虛擬化之技術
US9414289B2 (en) * 2013-12-22 2016-08-09 Avaya Inc. Predictive client VLAN extension
US10063417B2 (en) * 2015-09-03 2018-08-28 Extreme Networks, Inc. Automatically grouping, authenticating, and provisioning access points using cloud-based management of WLAN infrastructure
US11172415B2 (en) * 2015-11-30 2021-11-09 Time Warner Cable Enterprises Llc Wireless communication management and handoffs
US10623951B2 (en) * 2016-03-09 2020-04-14 Qualcomm Incorporated WWAN-WLAN aggregation security
US10165608B2 (en) * 2016-06-02 2018-12-25 Cisco Technology, Inc. System and method to provide fast mobility in a residential Wi-Fi network environment
US10887804B2 (en) * 2016-12-23 2021-01-05 Neutrino8, Inc. Pre-roaming security key distribution for faster roaming transitions over cloud-managed Wi-Fi networks of heterogeneous IP subnets

Also Published As

Publication number Publication date
US20180337903A1 (en) 2018-11-22

Similar Documents

Publication Publication Date Title
US8150372B2 (en) Method and system for distributing data within a group of mobile units
KR101481265B1 (ko) 호스팅 장치의 존재에 기초하여 게스트 장치에 대한 네트워크 액세스를 제어하는 방법, 장치 및 컴퓨터 프로그램 제품
JP4405586B2 (ja) 無線通信装置
KR101770708B1 (ko) Nfc를 통한 보안 고속 링크 유지를 위한 시스템들 및 방법들
JP6022596B2 (ja) 融合ワイヤレスネットワークにおいての認証の方法およびデバイス
US9456294B2 (en) Communication device
US20070060105A1 (en) System and method for optimizing a wireless connection between wireless devices
US9654969B2 (en) Method and device for managing security key for communication authentication of subscriber station used in cooperative communication of multiple base station in radio communication system
US20090274065A1 (en) Method and apparatus for setting wireless local area network by using button
JP2005110112A (ja) 通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置。
CN111182546B (zh) 接入无线网络的方法、设备及系统
US9667625B2 (en) Access control method, authentication method, and authentication device
JP2008537644A (ja) 無線ネットワークにおけるモバイルユニットの高速ローミングの方法およびシステム
JP2007135146A (ja) 無線lan通信システム及び無線lan通信方法
JP2009290804A (ja) 無線通信システム、無線通信装置及びその切断処理方法
US20210014732A1 (en) Rapidly disseminated operational information for wlan management
JP3905803B2 (ja) 無線通信における認証システム、認証方法及び端末装置
JP6153168B2 (ja) 接続認証方法、そのシステムおよび端末
US11310724B2 (en) Key management for fast transitions
JP4468449B2 (ja) セキュアハンドオーバをサポートする方法および装置
JP2007282129A (ja) 無線情報伝送システム、無線通信端末及びアクセスポイント
JP2018195974A (ja) 無線lanアクセスポイントおよび暗号化鍵共有方法
CN112449345B (zh) 一种安全通信方法和设备
JP2008048212A (ja) 無線通信システム、無線基地局装置、無線端末装置、無線通信方法、及びプログラム
KR101553827B1 (ko) 불법 ap 탐지 및 차단 시스템