JP3905803B2 - Authentication system, authentication method, and terminal device in wireless communication - Google Patents

Authentication system, authentication method, and terminal device in wireless communication Download PDF

Info

Publication number
JP3905803B2
JP3905803B2 JP2002232030A JP2002232030A JP3905803B2 JP 3905803 B2 JP3905803 B2 JP 3905803B2 JP 2002232030 A JP2002232030 A JP 2002232030A JP 2002232030 A JP2002232030 A JP 2002232030A JP 3905803 B2 JP3905803 B2 JP 3905803B2
Authority
JP
Japan
Prior art keywords
network
terminal device
authentication
certificate
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002232030A
Other languages
Japanese (ja)
Other versions
JP2004072631A (en
Inventor
博人 須田
繁 冨里
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2002232030A priority Critical patent/JP3905803B2/en
Publication of JP2004072631A publication Critical patent/JP2004072631A/en
Application granted granted Critical
Publication of JP3905803B2 publication Critical patent/JP3905803B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、無線通信における認証システム、認証方法及び端末装置に関する。
【0002】
【従来の技術】
近年、「ホットスポット」と呼ばれる喫茶店やレストラン、空港、駅、ホテルなどに、事業者(オペレータ)が無線ネットワーク機器(以下、アクセスポイントという)を設置して、インターネットの利用サービスを提供している。ユーザの端末装置(パソコン、PDA、携帯電話など)には、通常、無線LANの機能(例:IEEE802.11b対応)のパソコンやPDAが備えられ、アクセスポイントに接続されるネットワークに接続することで、ホットスポットの圏内でのインターネットの利用が可能となっている。
【0003】
こうしたホットスポットシステムでは、ユーザ端末(以下、端末装置という)とアクセスポイント間の通信が無線で行われるため通信データを第三者に傍受される危険性が常につきまとう。このような問題に対しては、WEP(Wired Equivalent Privacy)暗号化やESS(Extended Service Set) IDで対処しているのが一般的である。
【0004】
また、ホットスポットの圏内でコンピュータを利用しようとしている人にその権利があるかどうか正当性を検証する作業、いわゆる“認証”もセキュリティ面から見て重要となってくる。
【0005】
図5は、従来の端末装置とネットワーク間の相互認証方法の一例を示す図である。同図において、点線より下の(a)はホットスポットシステムを表し、(b)は他の通信システム、ここでは、移動通信システムを表す。(a)のホットスポットシステムは、自システムに収容される端末装置10、アクセスポイント(AP:Access point)20、通信ネットワーク30、ホットスポット用認証サーバ(AAAサーバ)40から構成される。一方、(b)の移動通信システムは、移動通信ネットワーク50、自システム加入者のユーザの認証に用いるセルラ用認証サーバ(AAAサーバ)60、基地局(BS:Base station)70から構成される。
【0006】
上記ホットスポット用AAAサーバ40は、例えば、端末装置10を所有するユーザの本人性を認証するためのサーバで、端末装置10からのアクセス要求を受け付け、認証(Authentication)、認可(Authorization)、アカウンティング(Accounting)を行なうサーバである。また、上記セルラ用AAAサーバ60は、自システム加入の移動端末(携帯電話など)からのアクセス要求を受け付け、自システム加入のユーザの認証、認可、アカウンティングを行なうサーバである。
【0007】
また、上記通信ネットワーク30と移動通信ネットワーク50は相互接続され、ホットスポットシステムの利用ユーザは、移動通信システムで提供されるサービスも利用することが可能となっている。
【0008】
ホットスポットシステムでは、(a)アクセスポイント20と端末装置10間または(b)端末装置10とホットスポット用AAAサーバ40間の相互認証が行われる。ここでは、(b)の端末装置10とホットスポット用AAAサーバ40間でなされる相互認証方法を一例にとり説明する。相互認証方法としては、秘密鍵暗号ベース相互認証方法(例えば、非特許文献1参照)が用いられる。
【0009】
(端末装置10とホットスポット用AAAサーバ40間の相互認証の説明)
相互認証方法とは、お互い(この場合、端末装置10とAAAサーバ40)が相手を認証する方法であり、ここでは、端末装置10とホットスポット用AAAサーバ40の両者が秘密鍵Kを共有し、相互に認証を行なう例を以下に示す。
【0010】
まず、端末装置10は乱数rを生成して、それをアクセスポイント20経由でホットスポット用AAAサーバ40に送信(▲1▼)する。ホットスポット用AAAサーバ40は乱数rを生成し、(rA‖rB)を、鍵Kを用いて暗号化した結果である情報X=E(B‖A‖r‖r)をアクセスポイント20経由で端末装置10に送信(▲2▼)する。端末装置10は受信した情報Xを復号して、rが含まれていることを確認するとともに、rを取り出して情報Y=E(A‖r)を計算し、アクセスポイント20経由でホットスポット用AAAサーバ40に送信(▲3▼)する。ホットスポット用AAAサーバ40は情報Yを復号して、rが含まれていることを確認すると、認証完了の旨をアクセスポイント20に通知(▲4▼)する。このようにして端末装置10とホットスポット用AAAサーバ40間での認証が完了すると、端末装置10とアクセスポイント20との間で通信が開始(▲5▼)される。
【0011】
一方で、無線通信基本サービスシステムのような提案が行われている(例えば、特許文献1参照)。この提案システムは、回線接続制御を行なうために双方向のデータ通信機能を新たに設け、かつ端末装置の位置登録情報をネットワーク(無線通信基本サービス事業者)側で管理することにより、サービスの相互乗り入れができるようになっている。
【0012】
【特許文献1】
特開平10−248091
【非特許文献1】
岡本、山本著「現代暗号」産業図書、1997
【発明が解決しようとする課題】
前述したように、ホットスポットシステムにおける相互認証方法では、アクセスポイント20と端末装置10間またはホットスポット用AAAサーバ40と端末装置10間の相互認証が必要であり、この相互認証のための認証プロトコルは簡単ではない。また、相互認証を行なうためには、認証サーバは複数回の情報の送受信及び認証処理が必要であり、結果的にシステムコストを増大させるという問題があった。
【0013】
また、上で示した従来技術(特開平10−248091)の場合、回線接続制御を行なうための双方向のデータ通信機能と、位置登録情報を管理するための機能を新たに設けるため、結果的にシステムコストが増加してしまう。さらに、位置登録情報を得るために端末装置と基地局間では、間欠的に通信を行なう必要があるため、周波数資源を消費するという欠点があった。
【0014】
本発明は、上記のような問題点に鑑みてなされたもので、その課題とするところは、セキュリティを高めつつもできるだけ安価な認証システムの構築コストで端末の安全な通信を実現できる無線通信における認証システム、電子認証方法及び端末装置を提供することである。
【0015】
【課題を解決するための手段】
上記課題を解決するため、本発明は、請求項1に記載されるように、基地局と接続されるネットワーク(以下、ネットワークAと呼ぶ)と、アクセスポイント(AP)と接続されるネットワーク(以下、ネットワークBと呼ぶ)とが相互接続され、それぞれのネットワークに収容される端末装置の認証を該それぞれのネットワークに接続される認証サーバにて行なう認証システムにおいて、前記ネットワークAに接続される認証サーバを前記ネットワークBと共通に適用し、前記端末装置は、前記ネットワークBのアクセスポイントと通信する第一通信手段と、 前記ネットワークAの基地局と通信する第二通信手段と、前記ネットワークBと接続して通信を行なう際に、前記第二通信手段により、前記基地局との間で高いセキュリティが保証される無線回線に接続して認証のための情報を送信する認証情報送信手段を備え、前記認証サーバは、前記認証情報送信手段により送られてきた前記認証のための情報に基づいて、前記端末装置に対する前記アクセスポイントへのアクセスの許可又は不許可を判定する認証手段と、前記判定の結果を前記アクセスポイントに通知する認証結果通知手段とを備えたことを特徴としている。
【0016】
また、本発明の請求項2は、前記認証システムにおいて、前記アクセスポイントは、前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づいて生成された証明書を前記端末装置の第一通信手段に送信する証明書送信手段を備え、前記端末装置は、前記第一通信手段により受信した証明書を前記第二通信手段により前記認証サーバに送信する認証依頼送信手段を備え、前記認証サーバは、受信した前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定する正規証明書判定手段と、前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定された場合に、前記アクセスポイントに前記端末装置との通信許可を与える通知をする第一の通信許可通知手段を備えたことを特徴としている。
【0017】
また、本発明の請求項3は、前記認証システムにおいて、前記端末装置は、前記第一通信手段により受信した証明書に前記アクセスポイントが前記端末装置との通信開始に先立って必要となる秘密情報を付加する秘密情報付加手段を備え、前記認証依頼送信手段は、前記付加された秘密情報と前記証明書を合わせて前記認証サーバに送信することを特徴としている。
【0018】
また、本発明の請求項4は、前記認証システムにおいて、前記認証サーバは、前記第二通信手段により送られてきた秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定する通信権利判定手段を備え、
前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定され、かつ前記通信権利判定手段にて前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記アクセスポイントに前記端末装置との通信許可を与える通知をする第二の通信許可通知手段とを備えたことを特徴としている。
【0019】
また、本発明の請求項5は、前記認証システムにおいて、前記認証サーバは、前記認証依頼送信手段により送信される前記証明書と前記秘密情報を前記アクセスポイントに送信する認証情報送信手段を備え、前記アクセスポイントは、前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定するAP正規証明書判定手段と、前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定するAP通信権利判定手段とを備え、 前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定され、かつ前記通信権利判定手段にて前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記アクセスポイントに前記端末装置との通信を開始する通信開始判断手段をさらに備えたことを特徴としている。
【0020】
また、本発明の請求項6は、前記認証システムにおいて、前記ネットワークAで用いられる通信ネットワークとして移動通信ネットワーク、前記ネットワークBで用いられる通信ネットワークとしてアクセスポイントを介して通信を行なう無線LANであることを特徴としている。
【0021】
また、本発明の請求項7は、前記認証システムにおいて、前記端末装置は、前記第一通信手段として無線LANにアクセス可能な無線LAN無線通信手段と、前記第二通信手段として移動通信ネットワークにアクセス可能な移動通信網無線通信手段と、前記第一通信手段と前記第二通信手段とを有線又は無線で接続して情報のやりとりを行なう異システム間情報送受手段を備えたことを特徴としている。
【0022】
また、本発明の請求項8は、前記認証システムにおいて、前記端末装置は、前記無線LAN無線通信手段及び前記移動通信網無線通信手段に対応したソフトウェア・プログラムを外部よりダウンロードする無線回線接続制御プログラム記憶手段を備えたことを特徴としている。
【0023】
上記のような本発明の構成によれば、ネットワークB(例:無線LAN)に収容される端末装置の認証のための情報(証明書などの認証情報)を高いセキュリティが保証されている移動通信ネットワーク(ネットワークA)の基地局と端末装置間の無線区間を利用して認証サーバに送信するため、第三者による認証情報の盗用や改ざんをより的確に防ぐことができ、従来と比してセキュアな通信を実現することができる。また、無線LANを利用する端末装置の認証を移動通信ネットワークで用いられる認証サーバを利用して行なうので、異システム毎に必要であった認証サーバ数を削減することができる。その結果、無線LANシステムにおいて新しいシステムを構築する場合であっても、無線LANを利用する端末装置のセキュリティレベルを高くしつつ、極めて安価なセキュリティシステムの構築が可能である。
【0024】
【発明の実施の形態】
以下、本発明の実施の形態を図面に基づいて説明する。
【0025】
(実施の形態1)
図1は、本発明の実施の形態1に係る認証システムの概略図である。
【0026】
図1において、この認証システムは、双方向通信可能な通信回線に接続された端末装置10、通信ネットワーク(NW:Network)システムA(同図左側)、通信ネットワークシステムB(同図右側)、該通信ネットワークシステムAと該通信ネットワークシステムBとで共通の認証サーバ(以下、共通AAAサーバという)100とから構成される。上記通信ネットワークシステムAは、例えば、PDC(Personal Digital Cellular)方式やIMT−2000方式のシステムであり(以下、移動通信システムと略記)、上記通信ネットワークシステムBは、例えば、特定エリア(ホットスポット)内での特定情報取得およびインターネットアクセスとして利用されている無線LANシステムである。
【0027】
上記移動通信ステムは、ネットワークA(例:移動通信網)50と、端末装置10との間で無線通信を行なう基地局70とから構成され、上記無線LANシステムは、ネットワークB30(無線LAN網)とアクセスポイント20とから構成される。本実施例において端末装置10は、上記ネットワークA50と、上記ネットワークB30の通信回線にアクセス可能な無線通信インターフェースを備え、該通信回線に接続可能コンピュータや携帯情報端末、携帯電話などであればよい。本例では、図2に示すように、上記端末装置10の筐体内にネットワークA50にアクセス可能な無線通信インターフェースA3とネットワークB30にアクセス可能な無線通信インターフェースB4が備えられ、それらの情報の受け渡しが情報転送用バスライン6にて行われる。CPU5は無線通信インターフェースA3と無線通信インターフェースB4の制御を司る。本例では、説明を容易にするため、無線通信インターフェースA3を端末装置A(=符号3)、無線通信インターフェースB4を端末装置B(=符号4)と定義して、以下説明を進める。端末装置A3で生成される無線信号はアンテナ1を介して基地局70に、端末装置B4で生成される無線信号はアンテナ2を介してアクセスポイント20に放射される。
【0028】
次に、本発明の概要を図1より説明する。なお、図の左側の移動通信システムではネットワークA50と端末装置A3の相互認証が既に完了済みの状態であるものとし、図の右側の無線LANシステムではネットワークB30と端末装置B4の相互認証が未完了の状態であるものとする。本発明は、このような状態において、無線LANシステムに収容される端末装置B4の認証を他のシステムである移動通信システムを利用して行なうことを最大の特徴としている。
【0029】
図1において、まず、無線LANシステムのアクセスポイント20から証明書が端末装置B4に向けて送信(▲1▼点線)される。この証明書には、a)アクセスポイント20が送信したことを示す情報と、b)移動通信システムと無線LANシステムとの間で秘密に共有する情報(秘密共有情報)が含まれる。上記証明書は無線LANシステム側で生成してもよいし、信頼できる第三者で生成してもかまわない。
【0030】
端末装置B4は、アクセスポイント20から送信された証明書を受信した後、該証明書に秘密ID情報(後述する)を付加して端末装置A3に送信する。本実施例では、端末装置A3と端末装置B4が同一筐体内に収められている(図2参照)ことを想定しているため、上記証明書と秘密ID情報が情報転送用バスライン6を介して端末装置B4から端末装置A3に転送される。端末装置A3は、端末装置B4より転送されてきた証明書と秘密ID情報を受け取った後、それらの情報を基地局70を介してネットワークA50に接続される共通AAAサーバに100送信(▲2▼)する。共通AAAサーバ100は、端末装置A3から送られてきた証明書と秘密ID情報受信後、認証OKであれば認証完了(通信許可)をアクセスポイント20に通知(▲3▼)する。このようにしてアクセスポイント20に通信許可が通知されると、端末装置B4とアクセスポイント20間で通信が開始(▲4▼)される。
【0031】
ここで、上記秘密ID情報について説明する。秘密ID情報とは、端末装置B4とアクセスポイント20との通信に先立って該アクセスポイント20が端末装置B4を認証するID情報とする場合や、端末装置B4と該アクセスポイント20との通信に用いる暗号鍵とする場合がある。
【0032】
続いて、共通AAAサーバ100で行われる端末装置Bの認証処理を図3のフローチャートにより説明する。本フローチャートを説明するにあたり、移動通信システムにおけるネットワークA50と端末装置A3の相互認証は既に完了済みであり、該端末装置A3とネットワークA50では、セキュリティの高い通信が実現できているものとする。
【0033】
図3において、共通AAAサーバ100は、端末装置A3から送信されてきた証明書と秘密ID情報を受信(取得)する(S1)と、その受信した証明書がどのアクセスポイントの証明書かを確認し、正規に登録されているアクセスポイントの証明書かどうかを判定するとともに、受信した証明書に格納されている情報が正しいものかどうかを判定(S2)する。この判定(S2)で、証明書が正規であるものと判定された場合(S2でYES)、さらに、秘密ID情報を参照して、当該秘密ID情報が指示する端末装置B4がアクセスポイント20との通信権利を有している否かを判定(S3)し、この判定(S3)で該端末装置B4がアクセスポイント20との通信権利を有していると判定されたときは(S3でYES)、認証OKとしてアクセスポイント20に端末装置B4との通信を許可するメッセージを送信(S4)する。一方、上記(S2)、(S3)のいずれかの判定で否定(S2でNOまたはS3でNO)されれば、不正ユーザからのアクセスとみなしアクセスポイント20に認証NGが通知される。
【0034】
なお、上記実施例では、証明書はアクセスポイント20から送信される形態を示したが、上記証明書がアクセスポイント20以外の、他の第三者のアクセスポイントから送信(自分以外のアクセスポイントの証明書を不正に)される場合もあり得る。本発明はこのような第三者のアクセスポイントによるネットワークへの不正な参加を次のようにして無効にすることができる。
【0035】
上記第三者のアクセスポイントが悪意などで証明書を送信した場合、共通AAAサーバ100は正規のアクセスポイントにのみ端末装置B4の秘密ID情報を知らせないため、第三者のアクセスポイントは端末装置B4と通信することはできない。これにより、悪意のある第三者のアクセスポイントからのネットワークへの不正な参加を回避することが可能である。
【0036】
以上、説明したように、本実施の形態1によれば、ネットワークB30(無線LAN)に収容される端末装置B4の認証のための情報(証明書などの認証情報)を高いセキュリティが保証されているネットワークA50(移動通信ネットワーク)における基地局70と端末装置A3間の無線区間を利用して共通認証サーバ100に送信するため、第三者による認証情報の盗用や改ざんをより的確に防ぐことができ、従来と比してセキュアな通信を実現することができる。
【0037】
また、無線LANを利用する端末装置B4の認証をネットワークA50で用いられる認証サーバ、すなわち共通認証サーバ100を利用して行なうので、異システム毎に必要であった認証サーバ数を削減することができる。
【0038】
また、従来、アクセスポイント20とホットスポット用認証サーバ40で行われていた端末装置10の認証は、認証のための情報のやりとりを複数回(従来は最低でも4回必要、図5の▲1▼〜▲4▼参照)行っていたため、認証プロトコルが複雑になるという欠点があった。しかし、本実施例では、端末装置B4の相互認証のための共通AAAサーバ100の通信回数は2回で済むため、認証プロトコルが簡単になり、共通AAAサーバ100やアクセスポイント20の装置の複雑化を防ぐことができる。
【0039】
したがって、本発明によれば、無線LANシステムにおいて新しいシステムを構築する場合であっても、無線LANを利用する端末装置B4のセキュリティレベルを高くしつつ、極めて安価なセキュリティシステムの構築が可能である。
【0040】
さらに、本実施形態によれば、端末装置B4の着信機能は用いない(発信機能だけを用いている)ため位置登録(着信のため端末装置の位置を移動通信ネットワークに登録すること)が不要となる。すなわち、端末装置B4の位置登録情報をネットワーク側で管理する必要がなくなり、ネットワーク側での処理負担を軽減することができる。
【0041】
(実施の形態2)
上記実施の形態1では、共通AAAサーバ100にて端末装置B4の認証を行い、認証結果をアクセスポイント20に通知するという形態であったが、図4に示すように、共通AAAサーバ100で認証は行わないで、アクセスポイント20で認証を行なう形態であってもよい。この場合、共通AAAサーバ100から認証用の証明書と秘密ID情報がアクセスポイント20に送られ、図3で示した共通AAAサーバ100での認証処理がアクセスポイント20にて行われる。これにより、実施の形態1の場合と比較して共通AAAサーバ100の負荷を軽減することが可能である。
【0042】
また、上記実施の形態1及び2では、共通AAAサーバ100と端末装置B4間でなされる認証方式として証明書を利用した相互認証方式を用いて説明したが、本発明はこれに限定されるものではない。例えば、無線LAN等に利用されるセキュリティ標準規格であるIEEE802.1xの認証プロトコルを上記AAAサーバ100と上記端末装置B4に実装して認証を行なうようにしてもよい。
【0043】
さらに上記実施の形態1及び2では、端末装置A3と端末装置B4が同一筐体内に収められ、両者間の情報のやりとりが情報転送用バスライン6を用いて行われる場合を示したが、これ以外にも、端末装置A3と端末装置B4を個別に用意し、両者が短距離無線通信規格「ブルートゥース」に対応したチップまたは該「ブルートゥース」との互換性を確保した無線通信規格「IEEE 802.15.1」(別名WPAN規格)対応のチップを内蔵し、短距離無線により情報の送受信を行なうような形態であってもよい。この場合、端末装置A3と端末装置B4でやりとりされる情報には暗号化処理が施される。
【0044】
また、一台の端末装置をソフトウェアの書き換えにより機能変更し、様々な無線システムに対応可能とするソフトウェア無線技術を利用して端末装置A3、B4を構築してもよい。
【0045】
また、本実施例によれば、端末装置10がネットワークAのエリアからネットワークB30のエリアに移動(ハンドオーバ)した場合であっても、セキュリティの高いネットワークA側での本人認証がすでに完了しているため、ネットワークB側での新たな認証は必要なくなる。そのため、共通認証サーバ100における認証プロトコル処理を軽減することができる。
【0046】
上記例において、共通認証サーバ100が認証手段、認証結果通知手段、正規証明書判定手段、第一の通信許可通知手段、第二の通信許可通知手段、認証情報送信手段に対応する。また、前記端末装置B4が第一通信手段、秘密情報付加手段、無線LAN無線通信手段に対応し、前記端末装置A3が第二通信手段、認証依頼送信手段、認証情報送信手段、移動通信網無線通信手段に対応し、前記アクセスポイント20が証明書送信手段、AP正規証明書判定手段、AP通信権利判定手段、通信開始判断手段に対応する。さらに、前記端末装置B4と前記端末装置A3が異システム間情報送受手段に対応し、端末装置10が無線回線接続制御プログラム記憶手段に対応する。
【0047】
【発明の効果】
以上、説明したように、本願発明によれば、ネットワークB(例:無線LAN)に収容される端末装置の認証のための情報(証明書などの認証情報)を高いセキュリティが保証されている移動通信ネットワーク(ネットワークA)の基地局と端末装置間の無線区間を利用して認証サーバに送信するため、第三者による認証情報の盗用や改ざんをより的確に防ぐことができ、従来と比してセキュアな通信を実現することができる。また、無線LANを利用する端末装置の認証を移動通信ネットワークで用いられる認証サーバを利用して行なうので、異システム毎に必要であった認証サーバ数を削減することができる。その結果、無線LANシステムにおいて新しいシステムを構築する場合であっても、無線LANを利用する端末装置のセキュリティレベルを高くしつつ、極めて安価なセキュリティシステムの構築が可能である。
【図面の簡単な説明】
【図1】本発明の実施の形態1に係る認証システムの概略図である。
【図2】図1に示す端末装置の構成例を示す図である。
【図3】共通認証サーバで行われる端末装置Bの認証処理を示すフローチャートである。
【図4】本発明の実施の形態2に係る認証システムの概略図である。
【図5】従来の端末装置とネットワーク間の相互認証方法の一例を示す図である。
【符号の説明】
1 無線インターフェースA(端末装置A)用アンテナ
2 無線インターフェースB(端末装置B)用アンテナ
3 無線インターフェースA(端末装置A)
4 無線インターフェースB(端末装置B)
5 CPU(制御部)
6 情報転送用バスライン
10 端末装置
20 アクセスポイント
30 ネットワークB(無線LAN網)
40 ホットスポット用認証サーバ(AAAサーバ)
50 ネットワークA(移動通信網)
60 セルラ用認証サーバ(AAAサーバ)
70 基地局
100 共通認証サーバ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an authentication system, an authentication method, and a terminal device in wireless communication.
[0002]
[Prior art]
In recent years, operators (operators) have installed wireless network devices (hereinafter referred to as access points) in coffee shops, restaurants, airports, stations, hotels, etc., which are called “hot spots”, and provide Internet usage services. . A user's terminal device (such as a personal computer, PDA, or mobile phone) is usually equipped with a personal computer or PDA that has a wireless LAN function (eg, IEEE802.11b compatible) and can be connected to a network connected to an access point. Internet access is possible within the hotspot area.
[0003]
In such a hot spot system, since communication between a user terminal (hereinafter referred to as a terminal device) and an access point is performed wirelessly, there is always a risk of communication data being intercepted by a third party. In general, such problems are dealt with by WEP (Wired Equivalent Privacy) encryption and ESS (Extended Service Set) ID.
[0004]
Also, from the viewpoint of security, so-called “authentication”, which verifies whether a person who intends to use a computer within a hot spot has the right, is important from the viewpoint of security.
[0005]
FIG. 5 is a diagram illustrating an example of a mutual authentication method between a conventional terminal device and a network. In the figure, (a) below the dotted line represents a hot spot system, and (b) represents another communication system, here, a mobile communication system. The hot spot system (a) includes a terminal device 10 accommodated in the own system, an access point (AP) 20, a communication network 30, and a hot spot authentication server (AAA server) 40. On the other hand, the mobile communication system (b) includes a mobile communication network 50, a cellular authentication server (AAA server) 60 used for authenticating a user of the system subscriber, and a base station (BS) 70.
[0006]
The hot spot AAA server 40 is, for example, a server for authenticating the identity of the user who owns the terminal device 10, accepts an access request from the terminal device 10, and performs authentication, authorization, and accounting. It is a server that performs (Accounting). The cellular AAA server 60 is a server that receives an access request from a mobile terminal (such as a mobile phone) subscribed to the own system, and performs authentication, authorization, and accounting of the user who joined the own system.
[0007]
Further, the communication network 30 and the mobile communication network 50 are interconnected, and a user using the hot spot system can also use a service provided by the mobile communication system.
[0008]
In the hot spot system, mutual authentication is performed between (a) the access point 20 and the terminal device 10 or (b) the terminal device 10 and the AAA server 40 for hot spots. Here, the mutual authentication method performed between the terminal device 10 and the hot spot AAA server 40 in (b) will be described as an example. As the mutual authentication method, a secret key encryption-based mutual authentication method (for example, see Non-Patent Document 1) is used.
[0009]
(Description of mutual authentication between terminal device 10 and hot spot AAA server 40)
The mutual authentication method is a method in which each other (in this case, the terminal device 10 and the AAA server 40) authenticates the other party. Here, both the terminal device 10 and the hot spot AAA server 40 share the secret key K. An example of mutual authentication is shown below.
[0010]
First, the terminal device 10 has a random number r. A Is transmitted to the hot spot AAA server 40 via the access point 20 ((1)). AAA server 40 for hotspots is a random number r B And (rA‖rB) is encrypted using the key K and information X = E K (B‖A‖r A ‖R B ) To the terminal device 10 via the access point 20 ((2)). The terminal device 10 decrypts the received information X, and r A Is included and r B And Y = E K (A‖r B ) And is transmitted to the hot spot AAA server 40 via the access point 20 (3). The hotspot AAA server 40 decrypts the information Y, and r B Is confirmed, the access point 20 is notified of completion of authentication (4). When the authentication between the terminal device 10 and the hot spot AAA server 40 is completed in this way, communication is started between the terminal device 10 and the access point 20 ((5)).
[0011]
On the other hand, proposals such as a wireless communication basic service system have been made (for example, see Patent Document 1). This proposed system newly provides a bidirectional data communication function for line connection control, and manages the location registration information of the terminal device on the network (wireless communication basic service provider) side. You can get in.
[0012]
[Patent Document 1]
JP-A-10-248091
[Non-Patent Document 1]
Okamoto and Yamamoto, “Contemporary Cryptography” Industrial Books, 1997
[Problems to be solved by the invention]
As described above, the mutual authentication method in the hot spot system requires mutual authentication between the access point 20 and the terminal device 10 or between the hot spot AAA server 40 and the terminal device 10, and an authentication protocol for this mutual authentication. Is not easy. In addition, in order to perform mutual authentication, the authentication server requires a plurality of times of information transmission and reception and authentication processing, resulting in a problem of increasing system cost.
[0013]
In addition, in the case of the above-described prior art (Japanese Patent Laid-Open No. 10-248091), a bidirectional data communication function for performing line connection control and a function for managing location registration information are newly provided. In addition, the system cost increases. Furthermore, since it is necessary to intermittently perform communication between the terminal device and the base station in order to obtain location registration information, there is a drawback in that frequency resources are consumed.
[0014]
The present invention has been made in view of the above-described problems, and the problem is that in wireless communication that can realize secure communication of a terminal at a construction cost of an authentication system that is as low as possible while enhancing security. An authentication system, an electronic authentication method, and a terminal device are provided.
[0015]
[Means for Solving the Problems]
In order to solve the above-described problems, the present invention provides a network connected to a base station (hereinafter referred to as network A) and a network connected to an access point (AP) (hereinafter referred to as “a network”). Authentication server connected to the network A in an authentication system in which authentication of terminal devices accommodated in the respective networks is performed by an authentication server connected to the respective networks. In common with the network B, and the terminal device is connected to the network B, first communication means for communicating with an access point of the network B, second communication means for communicating with a base station of the network A, and When performing communication, the second communication means ensures high security with the base station. An authentication information transmitting means for connecting to a wireless line to be transmitted and transmitting information for authentication, wherein the authentication server is configured to use the terminal based on the information for authentication sent by the authentication information transmitting means. It is characterized by comprising authentication means for determining permission or non-permission of access to the access point for an apparatus, and authentication result notification means for notifying the access point of the result of the determination.
[0016]
According to a second aspect of the present invention, in the authentication system, the access point transmits a certificate generated based on information secretly shared between the network B and the network A to the terminal device. Certificate transmission means for transmitting to the first communication means, the terminal device comprises authentication request transmission means for transmitting the certificate received by the first communication means to the authentication server by the second communication means, The authentication server includes: a regular certificate determining unit that determines whether the received certificate is a correct certificate based on the secret sharing information; and the certificate received by the regular certificate determining unit A first communication permission notification means for notifying the access point of permission to communicate with the terminal device when the access point is determined.
[0017]
According to a third aspect of the present invention, in the authentication system, the terminal device includes secret information required by the access point prior to the start of communication with the terminal device in the certificate received by the first communication unit. The authentication request transmission means transmits the added secret information and the certificate together to the authentication server.
[0018]
According to a fourth aspect of the present invention, in the authentication system, the authentication server determines whether the terminal device indicated by the secret information sent by the second communication means has a right to communicate with the access point. Communication right judging means for judging
The certificate received by the regular certificate determination unit is determined to be a correct certificate, and the communication right determination unit determines that the terminal device indicated by the secret information has a communication right with the access point. And a second communication permission notification means for notifying the access point of permission to communicate with the terminal device.
[0019]
Further, according to claim 5 of the present invention, in the authentication system, the authentication server includes an authentication information transmitting unit that transmits the certificate and the secret information transmitted by the authentication request transmitting unit to the access point, The access point includes an AP regular certificate determination unit that determines whether the certificate is a correct certificate based on the information that is secretly shared, and a terminal device that is instructed by the secret information has a right to communicate with the access point. AP communication right determining means for determining whether or not the certificate is received, the certificate received by the regular certificate determining means is determined to be a correct certificate, and the communication right determining means indicates with the secret information When it is determined that the terminal device to be connected has the right to communicate with the access point, the access point starts communication with the terminal device The communication start judgment means is further provided.
[0020]
Moreover, Claim 6 of the present invention is a wireless LAN that performs communication through an access point as a communication network used in the network B and a communication network used in the network B in the authentication system. It is characterized by.
[0021]
According to a seventh aspect of the present invention, in the authentication system, the terminal device accesses a wireless LAN wireless communication means capable of accessing a wireless LAN as the first communication means, and accesses a mobile communication network as the second communication means. The mobile communication network wireless communication means, and the inter-system information transmission / reception means for exchanging information by connecting the first communication means and the second communication means in a wired or wireless manner.
[0022]
According to an eighth aspect of the present invention, in the authentication system, the terminal device downloads a software program corresponding to the wireless LAN wireless communication means and the mobile communication network wireless communication means from outside. It is characterized by having storage means.
[0023]
According to the configuration of the present invention as described above, mobile communication in which high security is ensured for information (authentication information such as a certificate) for authentication of a terminal device accommodated in the network B (eg, wireless LAN). Because it transmits to the authentication server using the wireless section between the base station of the network (network A) and the terminal device, it is possible to more accurately prevent authentication information from being stolen or falsified by a third party, Secure communication can be realized. In addition, since the authentication of the terminal device using the wireless LAN is performed using the authentication server used in the mobile communication network, the number of authentication servers required for each different system can be reduced. As a result, even when a new system is constructed in the wireless LAN system, it is possible to construct an extremely inexpensive security system while increasing the security level of the terminal device using the wireless LAN.
[0024]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0025]
(Embodiment 1)
FIG. 1 is a schematic diagram of an authentication system according to Embodiment 1 of the present invention.
[0026]
1, the authentication system includes a terminal device 10 connected to a communication line capable of bidirectional communication, a communication network (NW: Network) system A (left side in the figure), a communication network system B (right side in the figure), The communication network system A and the communication network system B are composed of a common authentication server (hereinafter referred to as a common AAA server) 100. The communication network system A is, for example, a PDC (Personal Digital Cellular) system or IMT-2000 system (hereinafter abbreviated as a mobile communication system), and the communication network system B is, for example, a specific area (hot spot). It is a wireless LAN system that is used for obtaining specific information and accessing the Internet.
[0027]
The mobile communication system includes a network A (eg, mobile communication network) 50 and a base station 70 that performs wireless communication with the terminal device 10, and the wireless LAN system includes a network B30 (wireless LAN network). And the access point 20. In this embodiment, the terminal device 10 includes a wireless communication interface that can access the communication line of the network A50 and the network B30, and may be a computer, a portable information terminal, a mobile phone, or the like that can be connected to the communication line. In this example, as shown in FIG. 2, a wireless communication interface A3 that can access the network A50 and a wireless communication interface B4 that can access the network B30 are provided in the casing of the terminal device 10, and exchange of these information is performed. This is performed on the information transfer bus line 6. The CPU 5 controls the wireless communication interface A3 and the wireless communication interface B4. In this example, in order to facilitate the description, the wireless communication interface A3 is defined as the terminal device A (= symbol 3), and the wireless communication interface B4 is defined as the terminal device B (= symbol 4), and the description will proceed below. The radio signal generated by the terminal device A3 is radiated to the base station 70 via the antenna 1, and the radio signal generated by the terminal device B4 is radiated to the access point 20 via the antenna 2.
[0028]
Next, the outline of the present invention will be described with reference to FIG. In the mobile communication system on the left side of the figure, it is assumed that the mutual authentication between the network A50 and the terminal device A3 has already been completed, and in the wireless LAN system on the right side of the figure, the mutual authentication between the network B30 and the terminal device B4 is incomplete. It is assumed that In this state, the present invention is characterized in that authentication of the terminal device B4 accommodated in the wireless LAN system is performed using a mobile communication system which is another system.
[0029]
In FIG. 1, first, a certificate is transmitted (1 dotted line) from the access point 20 of the wireless LAN system to the terminal device B4. This certificate includes a) information indicating that the access point 20 has transmitted, and b) information (secret sharing information) shared secretly between the mobile communication system and the wireless LAN system. The certificate may be generated on the wireless LAN system side or a trusted third party.
[0030]
After receiving the certificate transmitted from the access point 20, the terminal device B4 adds secret ID information (described later) to the certificate and transmits the certificate to the terminal device A3. In this embodiment, since it is assumed that the terminal device A3 and the terminal device B4 are housed in the same housing (see FIG. 2), the certificate and the secret ID information are transmitted via the information transfer bus line 6. Are transferred from the terminal device B4 to the terminal device A3. After receiving the certificate and secret ID information transferred from the terminal device B4, the terminal device A3 transmits the information to the common AAA server connected to the network A50 via the base station 70 ((2) ) After receiving the certificate and secret ID information sent from the terminal device A3, the common AAA server 100 notifies the access point 20 of authentication completion (communication permission) if authentication is OK ((3)). When the access permission is notified to the access point 20 in this way, communication is started (4) between the terminal device B4 and the access point 20.
[0031]
Here, the secret ID information will be described. The secret ID information is used when ID information for authenticating the terminal device B4 by the access point 20 prior to communication between the terminal device B4 and the access point 20, or for communication between the terminal device B4 and the access point 20. It may be an encryption key.
[0032]
Next, the authentication process of the terminal device B performed by the common AAA server 100 will be described with reference to the flowchart of FIG. In describing this flowchart, it is assumed that the mutual authentication between the network A50 and the terminal device A3 in the mobile communication system has already been completed, and the terminal device A3 and the network A50 can realize high-security communication.
[0033]
In FIG. 3, when the common AAA server 100 receives (acquires) the certificate and the secret ID information transmitted from the terminal device A3 (S1), the common AAA server 100 confirms which access point the received certificate is. Then, it is determined whether or not the certificate of the access point is properly registered, and whether or not the information stored in the received certificate is correct (S2). If it is determined in this determination (S2) that the certificate is legitimate (YES in S2), the terminal device B4 indicated by the secret ID information is further referred to as the access point 20 by referring to the secret ID information. (S3), and if it is determined in this determination (S3) that the terminal device B4 has the communication right with the access point 20 (YES in S3) ), A message permitting communication with the terminal device B4 is transmitted to the access point 20 as authentication OK (S4). On the other hand, if the determination in any of the above (S2) and (S3) is negative (NO in S2 or NO in S3), the access point 20 is regarded as an access from an unauthorized user and an authentication NG is notified.
[0034]
In the above embodiment, the certificate is transmitted from the access point 20, but the certificate is transmitted from an access point of another third party other than the access point 20 In some cases, the certificate may be illegal. The present invention can invalidate unauthorized participation in the network by such third party access points as follows.
[0035]
When the third party access point transmits a certificate due to malicious intent, the common AAA server 100 does not notify the secret ID information of the terminal device B4 only to the legitimate access point. Cannot communicate with B4. This makes it possible to avoid unauthorized participation in the network from a malicious third party access point.
[0036]
As described above, according to the first embodiment, high security is ensured for information (authentication information such as a certificate) for authentication of the terminal device B4 accommodated in the network B30 (wireless LAN). Since it is transmitted to the common authentication server 100 using the wireless section between the base station 70 and the terminal device A3 in the existing network A50 (mobile communication network), it is possible to more appropriately prevent the authentication information from being stolen or falsified by a third party. Therefore, secure communication can be realized as compared with the conventional case.
[0037]
Further, since the authentication of the terminal device B4 using the wireless LAN is performed using the authentication server used in the network A50, that is, the common authentication server 100, the number of authentication servers required for each different system can be reduced. .
[0038]
Further, the authentication of the terminal device 10 conventionally performed by the access point 20 and the hotspot authentication server 40 is performed by exchanging information for authentication a plurality of times (conventionally requires at least four times, ▲ 1 in FIG. 5). (Refer to (4) to (4)), the authentication protocol is complicated. However, in this embodiment, since the communication number of the common AAA server 100 for mutual authentication of the terminal device B4 is only two, the authentication protocol is simplified and the devices of the common AAA server 100 and the access point 20 are complicated. Can be prevented.
[0039]
Therefore, according to the present invention, even when a new system is constructed in a wireless LAN system, it is possible to construct an extremely inexpensive security system while increasing the security level of the terminal device B4 that uses the wireless LAN. .
[0040]
Furthermore, according to the present embodiment, since the incoming function of the terminal device B4 is not used (only the outgoing function is used), location registration (registering the location of the terminal device in the mobile communication network for incoming) is unnecessary. Become. That is, it is not necessary to manage the location registration information of the terminal device B4 on the network side, and the processing burden on the network side can be reduced.
[0041]
(Embodiment 2)
In the first embodiment, the terminal device B4 is authenticated by the common AAA server 100 and the authentication result is notified to the access point 20, but the authentication is performed by the common AAA server 100 as shown in FIG. The authentication may be performed at the access point 20 without performing the above. In this case, the authentication certificate and secret ID information are sent from the common AAA server 100 to the access point 20, and the authentication process in the common AAA server 100 shown in FIG. Thereby, compared with the case of Embodiment 1, it is possible to reduce the load of the common AAA server 100.
[0042]
In the first and second embodiments, the mutual authentication method using a certificate is used as the authentication method performed between the common AAA server 100 and the terminal device B4. However, the present invention is not limited to this. is not. For example, an authentication protocol of IEEE 802.1x, which is a security standard used for a wireless LAN or the like, may be installed in the AAA server 100 and the terminal device B4 for authentication.
[0043]
Further, in the first and second embodiments, the terminal device A3 and the terminal device B4 are housed in the same casing, and information is exchanged between them using the information transfer bus line 6. In addition, a terminal device A3 and a terminal device B4 are prepared separately, and both are compatible with a chip corresponding to the short-range wireless communication standard “Bluetooth” or a wireless communication standard “IEEE 802.15. It may be configured such that a chip compatible with “1” (aka WPAN standard) is built in and information is transmitted and received by short-range wireless communication. In this case, the information exchanged between the terminal device A3 and the terminal device B4 is encrypted.
[0044]
Further, the terminal devices A3 and B4 may be constructed by using software radio technology that changes the function of one terminal device by rewriting software and is compatible with various radio systems.
[0045]
Further, according to the present embodiment, even when the terminal device 10 moves (handover) from the area of the network A to the area of the network B30, the personal authentication on the network A side with high security has already been completed. This eliminates the need for new authentication on the network B side. Therefore, authentication protocol processing in the common authentication server 100 can be reduced.
[0046]
In the above example, the common authentication server 100 corresponds to an authentication unit, an authentication result notification unit, a regular certificate determination unit, a first communication permission notification unit, a second communication permission notification unit, and an authentication information transmission unit. The terminal device B4 corresponds to first communication means, secret information adding means, and wireless LAN wireless communication means, and the terminal device A3 is second communication means, authentication request transmitting means, authentication information transmitting means, mobile communication network wireless. Corresponding to communication means, the access point 20 corresponds to certificate transmission means, AP regular certificate determination means, AP communication right determination means, and communication start determination means. Further, the terminal device B4 and the terminal device A3 correspond to the information transmission / reception means between different systems, and the terminal device 10 corresponds to the wireless line connection control program storage means.
[0047]
【The invention's effect】
As described above, according to the present invention, information for authentication (authentication information such as a certificate) for a terminal device accommodated in the network B (eg, wireless LAN) is ensured with high security. Since it is transmitted to the authentication server using the wireless section between the base station and the terminal device of the communication network (network A), it is possible to more accurately prevent authentication information from being stolen or falsified by a third party. Secure communication. In addition, since the authentication of the terminal device using the wireless LAN is performed using the authentication server used in the mobile communication network, the number of authentication servers required for each different system can be reduced. As a result, even when a new system is constructed in the wireless LAN system, it is possible to construct an extremely inexpensive security system while increasing the security level of the terminal device using the wireless LAN.
[Brief description of the drawings]
FIG. 1 is a schematic diagram of an authentication system according to Embodiment 1 of the present invention.
FIG. 2 is a diagram illustrating a configuration example of a terminal device illustrated in FIG. 1;
FIG. 3 is a flowchart showing an authentication process of a terminal device B performed by a common authentication server.
FIG. 4 is a schematic diagram of an authentication system according to Embodiment 2 of the present invention.
FIG. 5 is a diagram illustrating an example of a mutual authentication method between a conventional terminal device and a network.
[Explanation of symbols]
1 Antenna for wireless interface A (terminal device A)
2 Antenna for wireless interface B (terminal equipment B)
3 Wireless interface A (terminal device A)
4 Wireless interface B (terminal equipment B)
5 CPU (control unit)
6 Information transfer bus line
10 Terminal device
20 access points
30 Network B (Wireless LAN network)
40 Hotspot authentication server (AAA server)
50 Network A (mobile communication network)
60 Cellular authentication server (AAA server)
70 base station
100 Common authentication server

Claims (14)

基地局と接続されるネットワーク(以下、ネットワークAと呼ぶ)と、アクセスポイント(AP)と接続されるネットワーク(以下、ネットワークBと呼ぶ)とが相互接続され、それぞれのネットワークに収容される端末装置の認証を該それぞれのネットワークに接続される認証サーバにて行なう認証システムにおいて、
前記ネットワークAに接続される認証サーバを前記ネットワークBと共通に適用し、
前記端末装置は、
前記ネットワークBのアクセスポイントと通信する第一通信手段と、
前記ネットワークAの基地局と通信する第二通信手段と、
前記ネットワークBと接続して通信を行なう際に、前記第二通信手段により、前記基地局との間で高いセキュリティが保証される無線回線に接続して認証のための情報を送信する認証情報送信手段を備え、
前記認証サーバは、前記認証情報送信手段により送られてきた前記認証のための情報に基づいて、前記端末装置に対する前記アクセスポイントへのアクセスの許可又は不許可を判定する認証手段と、
前記判定の結果を前記アクセスポイントに通知する認証結果通知手段とを備えたことを特徴とする認証システム。A terminal device accommodated in each network in which a network connected to a base station (hereinafter referred to as network A) and a network connected to an access point (AP) (hereinafter referred to as network B) are interconnected. In an authentication system that performs authentication of the authentication server connected to each network,
Applying an authentication server connected to the network A in common with the network B,
The terminal device
First communication means for communicating with the network B access point;
Second communication means for communicating with a base station of the network A;
Authentication information transmission for transmitting authentication information by connecting to a wireless line that guarantees high security with the base station by the second communication means when communicating with the network B With means,
The authentication server, based on the authentication information sent by the authentication information transmission means, authentication means for determining permission or disapproval of access to the access point for the terminal device;
An authentication system comprising: an authentication result notifying unit for notifying the access point of the determination result. 請求項1記載の認証システムにおいて、
前記アクセスポイントは、前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づいて生成された証明書を前記端末装置の第一通信手段に送信する証明書送信手段を備え、
前記端末装置は、前記第一通信手段により受信した証明書を前記第二通信手段により前記認証サーバに送信する認証依頼送信手段を備え、
前記認証サーバは、受信した前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定する正規証明書判定手段と、
前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定された場合に、前記アクセスポイントに前記端末装置との通信許可を与える通知をする第一の通信許可通知手段を備えたことを特徴とする認証システム。The authentication system according to claim 1,
The access point includes a certificate transmission unit that transmits a certificate generated based on information secretly shared between the network B and the network A to the first communication unit of the terminal device,
The terminal device includes an authentication request transmission unit that transmits the certificate received by the first communication unit to the authentication server by the second communication unit,
The authentication server includes regular certificate determination means for determining whether the received certificate is a correct certificate based on the secret sharing information;
When the certificate received by the regular certificate determination unit is determined to be a correct certificate, a first communication permission notification unit that notifies the access point of permission to communicate with the terminal device is provided. An authentication system characterized by that. 請求項2記載の認証システムにおいて、
前記端末装置は、前記第一通信手段により受信した証明書に前記アクセスポイントが前記端末装置との通信開始に先立って必要となる秘密情報を付加する秘密情報付加手段を備え、
前記認証依頼送信手段は、前記付加された秘密情報と前記証明書を合わせて前記認証サーバに送信することを特徴とする認証システム。The authentication system according to claim 2,
The terminal device comprises secret information adding means for adding secret information required by the access point prior to the start of communication with the terminal device to the certificate received by the first communication means,
The authentication request transmitting means transmits the added secret information and the certificate together to the authentication server. 請求項2又は3記載の認証システムにおいて、
前記認証サーバは、前記第二通信手段により送られてきた秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定する通信権利判定手段を備え、
前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定され、かつ前記通信権利判定手段にて前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記アクセスポイントに前記端末装置との通信許可を与える通知をする第二の通信許可通知手段とを備えたことを特徴とする認証システム。The authentication system according to claim 2 or 3,
The authentication server includes communication right determination means for determining whether or not the terminal device indicated by the secret information sent by the second communication means has the right to communicate with the access point,
The certificate received by the regular certificate determination unit is determined to be a correct certificate, and the communication right determination unit determines that the terminal device indicated by the secret information has a communication right with the access point. And a second communication permission notification means for notifying the access point of permission to communicate with the terminal device. 請求項4記載の認証システムにおいて、
前記認証サーバは、前記認証依頼送信手段により送信される前記証明書と前記秘密情報を前記アクセスポイントに送信する認証情報送信手段を備え、
前記アクセスポイントは、前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定するAP正規証明書判定手段と、
前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定するAP通信権利判定手段とを備え、
前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定され、かつ前記通信権利判定手段にて前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記アクセスポイントに前記端末装置との通信を開始する通信開始判断手段をさらに備えたことを特徴とする認証システム。The authentication system according to claim 4,
The authentication server comprises authentication information transmitting means for transmitting the certificate and the secret information transmitted by the authentication request transmitting means to the access point,
The access point includes an AP regular certificate determination unit that determines whether the certificate is a correct certificate based on the secret sharing information;
AP communication right determination means for determining whether the terminal device indicated by the secret information has a communication right with the access point,
The certificate received by the regular certificate determination unit is determined to be a correct certificate, and the communication right determination unit determines that the terminal device indicated by the secret information has a communication right with the access point. An authentication system, further comprising: a communication start determination unit that starts communication with the terminal device at the access point when the access is made. 請求項1乃至5いずれか記載の認証システムにおいて、
前記ネットワークAで用いられる通信ネットワークとして移動通信ネットワーク、前記ネットワークBで用いられる通信ネットワークとしてアクセスポイントを介して通信を行なう無線LANであることを特徴とする認証システム。The authentication system according to any one of claims 1 to 5,
An authentication system comprising: a mobile communication network as a communication network used in the network A; and a wireless LAN performing communication via an access point as a communication network used in the network B. 請求項1乃至6いずれか記載の認証システムにおいて、
前記端末装置は、前記第一通信手段として無線LANにアクセス可能な無線LAN無線通信手段と、前記第二通信手段として移動通信ネットワークにアクセス可能な移動通信網無線通信手段と、
前記第一通信手段と前記第二通信手段とを有線又は無線で接続して情報のやりとりを行なう異システム間情報送受手段を備えたことを特徴とする認証システム。The authentication system according to any one of claims 1 to 6,
The terminal device includes a wireless LAN wireless communication unit capable of accessing a wireless LAN as the first communication unit, and a mobile communication network wireless communication unit capable of accessing a mobile communication network as the second communication unit;
An authentication system comprising: an inter-system information transmission / reception unit for exchanging information by connecting the first communication unit and the second communication unit by wire or wirelessly. 請求項7記載の認証システムにおいて、
前記端末装置は、前記無線LAN無線通信手段及び前記移動通信網無線通信手段に対応したソフトウェア・プログラムを外部よりダウンロードする無線回線接続制御プログラム記憶手段を備えたことを特徴とする認証システム。The authentication system according to claim 7,
5. The authentication system according to claim 1, wherein the terminal device comprises a wireless line connection control program storage means for downloading a software program corresponding to the wireless LAN wireless communication means and the mobile communication network wireless communication means from outside. 基地局と接続されるネットワーク(以下、ネットワークAと呼ぶ)と、アクセスポイント(AP)と接続されるネットワーク(以下、ネットワークBと呼ぶ)とが相互接続され、それぞれのネットワークに収容される端末装置の認証を該それぞれのネットワークに接続される認証サーバにて行なう認証方法において、
前記ネットワークAに接続される認証サーバを前記ネットワークBと共通に適用し、
前記アクセスポイントは、前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づいて生成された証明書を前記ネットワークBと接続して通信を行なおうとしている端末装置に送信し、
前記端末装置は、前記証明書をあらかじめ設けられた前記ネットワークBとのアクセスポイントと通信する通信手段を用いて前記証明書を受信し、
前記受信した証明書をあらかじめ設けられた前記ネットワークAとの基地局と通信する通信手段を用いて、前記基地局との間で高いセキュリティが保証される無線回線に接続して前記認証サーバに送信し、
前記認証サーバは、前記証明書が前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づく正しい証明書かどうかを判定し、
前記判定に基づき前記アクセスポイントに前記端末装置との通信許可を与えるか否かを判断して通知することを特徴とする認証方法。A terminal device accommodated in each network in which a network connected to a base station (hereinafter referred to as network A) and a network connected to an access point (AP) (hereinafter referred to as network B) are interconnected. In an authentication method in which authentication is performed by an authentication server connected to each network,
Applying an authentication server connected to the network A in common with the network B,
The access point transmits a certificate generated based on information secretly shared between the network B and the network A to the terminal device that is connected to the network B and intends to perform communication. ,
The terminal device receives the certificate using a communication unit that communicates with an access point with the network B provided with the certificate in advance,
Using the communication means that communicates with the base station with the network A provided in advance, the received certificate is transmitted to the authentication server by connecting to a wireless line that guarantees high security with the base station. And
The authentication server determines whether the certificate is a correct certificate based on information secretly shared between the network B and the network A;
An authentication method comprising: determining and notifying whether to grant communication permission with the terminal device to the access point based on the determination. 請求項9記載の認証方法において、
前記端末装置は、前記ネットワークBとのアクセスポイントと通信する通信手段を用いて前記証明書を受信した際に、前記アクセスポイントが前記端末装置との通信開始に先立って必要となる秘密情報を前記証明書に付加し、
前記ネットワークAとの基地局と通信する通信手段を用いて、前記付加された秘密情報と前記証明書を合わせて前記認証サーバに送信することを特徴とする認証方法。The authentication method according to claim 9, wherein
When the terminal device receives the certificate using a communication unit that communicates with an access point with the network B, the terminal device receives the secret information required before the access point starts communication with the terminal device. Attached to the certificate,
An authentication method comprising: using the communication means that communicates with the base station with the network A, and transmitting the added secret information and the certificate together to the authentication server. 請求項9又は10記載の認証方法において、
前記認証サーバは、前記端末装置から送信されてきた前記証明書が前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づく正しい証明書かどうかを判定するとともに、前記証明書と合わせて送信されてきた前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定し、これらの判定結果から、前記アクセスポイントに前記端末装置との通信許可を与えるか否かを判定して通知することを特徴とする認証方法。The authentication method according to claim 9 or 10,
The authentication server determines whether the certificate transmitted from the terminal device is a correct certificate based on information secretly shared between the network B and the network A, and matches the certificate. Whether or not the terminal device indicated by the secret information transmitted in this way has the right to communicate with the access point, and from these determination results, whether to permit the access point to communicate with the terminal device. An authentication method characterized by determining whether or not to notify. 請求項10記載の認証方法において、
前記認証サーバは、前記端末装置から送信される前記証明書と前記秘密情報を前記アクセスポイントに送信し、
前記アクセスポイントは、前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定するとともに、前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定する前記証明書と合わせて送信されてきた前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定し、
前記証明書が正しい証明書と判定され、かつ前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記端末装置との通信を開始することを特徴とする認証方法。The authentication method according to claim 10,
The authentication server transmits the certificate and the secret information transmitted from the terminal device to the access point,
The access point determines whether the certificate is a correct certificate based on the secret-sharing information, and determines whether the terminal device indicated by the secret information has a communication right with the access point. Determining whether or not the terminal device indicated by the secret information transmitted together with the certificate has a right to communicate with the access point;
When it is determined that the certificate is a correct certificate, and it is determined that the terminal device indicated by the secret information has a communication right with the access point, communication with the terminal device is started. Authentication method to be performed. 基地局と接続されるネットワーク(以下、ネットワークAと呼ぶ)と、アクセスポイント(AP)と接続されるネットワーク(以下、ネットワークBと呼ぶ)とが相互接続され、それぞれのネットワークに収容される端末装置の認証を該それぞれのネットワークに接続される認証サーバにて行なう認証システムで用いられる端末装置において、
前記ネットワークBのアクセスポイントと通信する第一通信手段及び前記ネットワークAの基地局と通信する第二通信手段と、
前記ネットワークBと接続して通信を行なう際に、前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づいて生成された証明書を、前記第二通信手段により、前記基地局との間で高いセキュリティが保証される無線回線に接続して前記認証サーバに送信する認証依頼送信手段を備えたことを特徴とする端末装置。A terminal device accommodated in each network in which a network connected to a base station (hereinafter referred to as network A) and a network connected to an access point (AP) (hereinafter referred to as network B) are interconnected. In a terminal device used in an authentication system that performs authentication in an authentication server connected to each network,
First communication means for communicating with the network B access point and second communication means for communicating with the network A base station;
When communicating with the network B, a certificate generated based on information secretly shared between the network B and the network A is sent to the base station by the second communication means. And an authentication request transmission means for transmitting to the authentication server by connecting to a wireless line that guarantees high security. 請求項13記載の端末装置において、
前記証明書に、前記アクセスポイントが前記端末装置との通信開始に先立って必要となる秘密情報を付加する秘密情報付加手段を備え、
前記秘密情報付加手段により付加された秘密情報と前記証明書を、前記第二通信手段により、前記基地局との間で高いセキュリティが保証される無線回線に接続して前記認証サーバに送信することを特徴とする認証システム。The terminal device according to claim 13,
The certificate includes a secret information adding means for adding secret information required before the access point starts communication with the terminal device,
The secret information added by the secret information adding means and the certificate are connected to the authentication server by the second communication means connected to a wireless line that guarantees high security with the base station. An authentication system characterized by
JP2002232030A 2002-08-08 2002-08-08 Authentication system, authentication method, and terminal device in wireless communication Expired - Fee Related JP3905803B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002232030A JP3905803B2 (en) 2002-08-08 2002-08-08 Authentication system, authentication method, and terminal device in wireless communication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002232030A JP3905803B2 (en) 2002-08-08 2002-08-08 Authentication system, authentication method, and terminal device in wireless communication

Publications (2)

Publication Number Publication Date
JP2004072631A JP2004072631A (en) 2004-03-04
JP3905803B2 true JP3905803B2 (en) 2007-04-18

Family

ID=32017608

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002232030A Expired - Fee Related JP3905803B2 (en) 2002-08-08 2002-08-08 Authentication system, authentication method, and terminal device in wireless communication

Country Status (1)

Country Link
JP (1) JP3905803B2 (en)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9282455B2 (en) * 2004-10-01 2016-03-08 Intel Corporation System and method for user certificate initiation, distribution, and provisioning in converged WLAN-WWAN interworking networks
EP1821459B1 (en) 2004-12-08 2020-10-28 NEC Corporation Authentication system, handover system, and corresponding method
CN100389555C (en) 2005-02-21 2008-05-21 西安西电捷通无线网络通信有限公司 An access authentication method suitable for wired and wireless network
JP4173866B2 (en) 2005-02-21 2008-10-29 富士通株式会社 Communication device
JP2007116456A (en) * 2005-10-20 2007-05-10 Sharp Corp Information communication terminal, authentication device, information communication system, and recording medium
JP4729581B2 (en) 2005-11-01 2011-07-20 株式会社エヌ・ティ・ティ・ドコモ Communication apparatus and communication method
JP4754335B2 (en) * 2005-11-28 2011-08-24 Kddi株式会社 Radio control system and radio control method
JP4711342B2 (en) * 2006-05-19 2011-06-29 日本電信電話株式会社 Network system and authentication method thereof
JP4717737B2 (en) * 2006-07-12 2011-07-06 日本電信電話株式会社 Communication system, communication method, and authentication information providing server for confirming validity of access point
JP5012809B2 (en) * 2006-11-14 2012-08-29 日本電気株式会社 Server, communication system, determination method and program
KR100921153B1 (en) 2007-08-01 2009-10-12 순천향대학교 산학협력단 Method for authentication in network system
US8923212B2 (en) 2007-08-17 2014-12-30 Qualcomm Incorporated Method and apparatus for interference management
JP2018174404A (en) * 2017-03-31 2018-11-08 西日本電信電話株式会社 Communication control apparatus, communication control method, and program
JP7485710B2 (en) * 2022-03-22 2024-05-16 ソフトバンク株式会社 COMMUNICATION SYSTEM AND METHOD, SERVER, ACCESS POINT DEVICE, COMMUNICATION TERMINAL, AND PROGRAM

Also Published As

Publication number Publication date
JP2004072631A (en) 2004-03-04

Similar Documents

Publication Publication Date Title
CA2792490C (en) Key generation in a communication system
US7734280B2 (en) Method and apparatus for authentication of mobile devices
EP2900006B1 (en) Method and system for securely accessing portable hotspot of smart phones
JP4864094B2 (en) Communication control system
KR101034437B1 (en) Authenticating multiple devices simultaneously over a wireless link using a single subscriber identity module
JP4504192B2 (en) Secure access to subscription modules
CN102111766B (en) Network accessing method, device and system
US8094821B2 (en) Key generation in a communication system
KR101068424B1 (en) Inter-working function for a communication system
US20030120920A1 (en) Remote device authentication
US7177637B2 (en) Connectivity to public domain services of wireless local area networks
EP1528706A1 (en) Radio lan access authentication system
JP3905803B2 (en) Authentication system, authentication method, and terminal device in wireless communication
CN104836787A (en) System and method for authenticating client station
CA2677362A1 (en) Method and system for registering and verifying the identity of wireless networks and devices
CN103139768A (en) Authentication method and authentication device in integrated wireless network
US9788202B2 (en) Method of accessing a WLAN access point
JP4574122B2 (en) Base station and control method thereof
WO2008148348A1 (en) Communication method, system, and home bs
JP2008048212A (en) Radio communication system, radio base station device, radio terminal device, radio communication method, and program
JP3798397B2 (en) Access management system and access management device
JPWO2008075626A1 (en) Communication terminal authentication system, Internet telephone system
TW200838222A (en) Mobile device, communication system and connection establishing method
KR101068426B1 (en) Inter-working function for a communication system
Noll et al. Authentication, Authorisation, and Access Control in Mobile Systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050404

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20061220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070112

R150 Certificate of patent or registration of utility model

Ref document number: 3905803

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110119

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110119

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120119

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120119

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130119

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130119

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140119

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees