JP4169534B2 - モバイル通信サービスシステム - Google Patents
モバイル通信サービスシステム Download PDFInfo
- Publication number
- JP4169534B2 JP4169534B2 JP2002171676A JP2002171676A JP4169534B2 JP 4169534 B2 JP4169534 B2 JP 4169534B2 JP 2002171676 A JP2002171676 A JP 2002171676A JP 2002171676 A JP2002171676 A JP 2002171676A JP 4169534 B2 JP4169534 B2 JP 4169534B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- wireless
- path
- connection
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
【発明の属する技術分野】
本発明は、無線端末との間で無線通信回線を形成する少なくとも1つの無線接続システムと、少なくとも1つの自律ネットワークとが所定の有線ネットワークに接続され、前記無線端末からの要求に従って前記自律ネットワークに対する無線アクセスサービスを前記無線端末に提供するモバイル通信サービスシステムに関し、特にセキュリティを確保するための技術に関する。
【0002】
【従来の技術】
IEEE 802.11bに代表される無線技術の普及により、従来は有線のみであったインターネットへのアクセスに無線アクセスが浸透しつつある。また、家庭内のLAN環境を無線化するだけでなく、例えばホテルのロビーなどの公衆環境において、いわゆるホットスポットと呼ばれる無線アクセスポイントを設置し、公衆の場所で特定の利用者、あるいは不特定の利用者が無線アクセスを利用できる環境も登場し始めている。すなわち、インターネットアクセスの技術及びその利用形態が多様化する傾向にある。
【0003】
無線アクセスが普及し、公衆環境でのアクセスの機会が高まるにつれて、無線盗聴やパスワードの漏洩などの可能性が高まる。従って、高度なセキュリティを実現する必要がある。また、有線や無線というアクセス形態にかかわらず同等なサービスを利用できるのが望ましい。
従来のIEEE 802.11bの技術では、暗号化技術としてWEP(Wired Equivalent Privacy)を用いている。しかし、WEPでは暗号化で用いるキーが固定であるため、暗号強度が脆弱であるという問題がある。
【0004】
また、従来のようにユーザID及びパスワードを用いて認証を行う場合には、パスワードが他人に漏洩した場合に、他人が本人になりすましてアクセスするような状況を回避できない。従って、より高度なセキュリティ技術が要求される。更に、アクセス種別によらず同等のサービスを実現し、しかも高度なセキュリティを実現するためには、一般に、既存の有線網に対する少なからぬ変更が要求される場合が多く、サービスのコストが高くなる傾向にある。
【0005】
【発明が解決しようとする課題】
無線アクセスが普及し、公衆環境でのアクセスの機会が高まるにつれて、高度なセキュリティを実現する必要がある。また、有線・無線というアクセス形態にかかわらず同等なサービスを利用できることが望ましい。このような観点から、次のような課題を解決する必要がある。
【0006】
(1)本人性認証:公衆環境で無線アクセスする場合にユーザID及びパスワードを用いて認証すると、ユーザID及びパスワードが漏洩したり衆目にさらされる危険があり、不正に取得したユーザID及びパスワードを用い、他人が本人になりすまして不正アクセスする可能性がある。
(2)無線通信の脆弱性:代表的な無線通信方式であるIEEE 802.11bで用いている暗号化技術(WEP)では、暗号鍵を固定的に使用しているので、無線パケットをモニタすれば暗号鍵を解読することが可能であり、他人が解読した暗号鍵を用いて不正にアクセスする可能性がある。
【0007】
(3)既存有線システムとの適合性:既存の有線システムに高いセキュリティを実現する機能を備えた無線アクセスシステムを追加導入しようとすると、システム間の適合性の問題により既存設備を変更しなければならないことが多く、コストの増大につながる可能性がある。
本発明は、無線アクセスの場合であっても高いセキュリティを確保することが可能なモバイル通信サービスシステムを提供することを目的とする。
【0008】
【課題を解決するための手段】
上記の課題を解決するために、本発明のモバイル通信サービスシステムは次のように構成する。
(1)ハードウェアデバイスである本人認証装置を本システムの利用者が保持し、本人認証装置を端末に接続し、かつ認証局によって発行された証明書によって本人性が認証された場合にのみ利用が許可されるものとする。これにより不正利用を防止する。
【0009】
(2)無線通信におけるWEPの暗号鍵を定期的に更新し、暗号鍵解読の可能性を低減する。
(3)既にこのシステムに接続している自律ネットワークと同様の形態で認証システムをネットワークに接続する。これにより、既存システムを変更することなく認証システムを追加できる。
【0010】
(4)本人性認証用の論理パスと自律ネットワークヘのアクセス用論理パスをと互いに阻害することなく同時併用可能になるように構成し、無線アクセスポイントと論理パス接続機能を持ったルータとを接続する。
すなわち、請求項1は、無線端末との間で無線通信回線を形成する少なくとも1つの無線接続システムと、当該無線接続システムとの間を有線ネットワークで接続された主認証装置からなり、前記無線端末からの前記有線ネットワークに接続された自律ネットワークへのアクセスを制御するモバイル通信サービスシステムにおいて、前記無線接続システムは、前記無線端末と無線接続する無線アクセス制御装置と、前記無線アクセス制御装置と前記有線ネットワークとの間にあって、予め設定された認証情報を用いて前記主認証装置と認証パスの認証を行うことにより、前記無線端末がアクセスを要求する接続先の前記自律ネットワークヘのアクセス用論理パスとは異なる論理パスを、前記主認証装置との間で認証パスを割り当て、利用者の本人性の認証が必要になった場合に、前記認証パスを利用して前記主認証装置に対する接続を処理する認証経路制御装置とで構成され、前記無線アクセス制御装置は、前記認証パスを利用して前記主認証装置との間で利用者の本人性の認証を行い、前記無線端末の無線アクセスを許可し、前記主認証装置は、予め設定された認証情報を用いて、前記無線接続システム内の要求元との間の認証経路に関する認証パスを認証する論理パス接続用認証装置と、前記認証パスを利用し前記無線接続システムとの間で利用者の本人性の認証を行う本人認証管理装置と、前記有線ネットワークと接続され前記論理パス接続用認証装置及び本人認証管理装置の接続経路を制御する経路制御装置とで構成され、前記論理パス接続用認証装置による認証に成功した場合のみ、前記本人認証管理装置に対するアクセスを許可することを特徴とする。
【0011】
請求項1においては、無線端末から自律ネットワーク(例えば、インターネット・サービス・プロバイダ)に対して無線回線を介してアクセスしようとする場合に、ネットワーク上で前記主認証装置が利用者の本人性の認証を行う。この認証においては、前記認証局が発行した証明書データを利用するので、例えば漏洩した利用者のIDやパスワードを他人が用い、他人が本人になりすまして無線アクセスを試みる場合には、前記主認証装置で認証に失敗する。従って、なりすましによる無線アクセスを防止できる。
【0012】
また、利用者の本人性の認証に成功した場合には、無線端末の種別とは無関係に無線端末の無線アクセスを許可することができる。
【0015】
さらに、主認証装置は、論理パス接続用認証装置を用いることにより、認証要求が入力された場合に、その要求が正規の認証要求元(予め登録されている無線接続システム)からのものであることを確認することができるので不正な認証要求を拒否するすることができる。正規の認証要求元からの認証要求を受けた場合には、本人認証管理装置が利用者に対する本人認証を実施する。
【0016】
また、前記論理パス接続用認証装置及び本人認証管理装置の接続経路を制御する経路制御装置を設けることにより、主認証装置を既存の自律ネットワークと同様の形態で有線ネットワークに接続することができ、既存システムに変更を加える必要がない。
【0017】
さらに、無線接続システムは、主認証装置と自律ネットワークとにそれぞれ異なる論理パスを割り当ててあるので、主認証装置の処理と自律ネットワークの処理とを完全に分離することができ、様々な利用者の認証情報を主認証装置で一元的に管理できる。
請求項2は、請求項1のモバイル通信サービスシステムにおいて、前記無線接続システム内の無線アクセス制御装置及び前記認証経路制御装置と接続される全てのインタフェースを同一のセグメントに接続することを特徴とする。
【0018】
請求項3は、無線端末との間で無線通信回線を形成する少なくとも1つの無線接続システムと、当該無線接続システムとの間を有線ネットワークで接続された主認証装置からなる、前記無線端末からの前記有線ネットワークに接続された自律ネットワークへのアクセスを制御するモバイル通信サービスシステムにおける無線接続システムであって、前記無線端末と無線接続する無線アクセス制御装置と、前記無線アクセス制御装置と前記有線ネットワークとの間にあって、予め設定された認証情報を用いて前記主認証装置と認証パスの認証を行うことにより、前記無線端末がアクセスを要求する接続先の前記自律ネットワークヘのアクセス用論理パスとは異なる論理パスを、前記主認証装置との間で認証パスを割り当て、利用者の本人性の認証が必要になった場合に、前記認証パスを利用して前記主認証装置に対する接続を処理する認証経路制御装置とで構成され、前記無線アクセス制御装置は、前記認証パスを利用して前記主認証装置との間で利用者の本人性の認証を行い、前記無線端末の無線アクセスを許可することを特徴とする。
【0023】
【発明の実施の形態】
本発明のモバイル通信サービスシステムの1つの実施の形態について、図1〜図10を参照して説明する。この形態は全ての請求項に対応する。
【0024】
図1はシステム全体の構成例を示すブロック図である。図2は自律ネットワークの構成例を示すブロック図である。図3は利用者端末の構成例を示すブロック図である。図4は無線接続システムの構成例を示すブロック図である。図5は使用する証明書の受け渡しを示す模式図である。
図6はシステム全体の処理手順を示すフローチャートである。図7は認証パス接続動作を示すブロック図である。図8は802.1xアクセス制御の動作を示すブロック図である。図9はISP接続動作を示すブロック図である。図10は無線接続システムの構成例を示すブロック図である。
【0025】
この形態では、請求項1の無線端末,無線接続システム,自律ネットワーク,有線ネットワーク,認証局及び主認証装置は、それぞれ利用者端末10,無線接続システム20,自律ネットワーク30,有線ネットワーク40,認証局50及び認証システム60に対応する。
また、請求項1および3の無線アクセス制御装置は、無線アクセスポイント装置21に対応する。
【0026】
請求項1の論理パス接続用認証装置,本人認証管理装置及び経路制御装置は、それぞれ認証パス接続用認証サーバ62,本人認証用認証サーバ63及びIPルータ群61に対応する。
【0027】
また、請求項1および3の認証経路制御装置は認証パス接続用PPPoEルータ23に対応する。
【0028】
この形態のモバイル通信サービスシステムは、図1に示すように利用者端末10,本人認証装置11,無線接続システム20,自律ネットワーク30,有線ネットワーク40,認証局50及び認証システム60を備えている。
図1の例では、複数の無線接続システム20(1),20(2),・・・,20(N)及び複数の自律ネットワーク30(1),30(2),・・・,30(N)がそれぞれ有線ネットワーク40に接続されている。
【0029】
各無線接続システム20は、それぞれが利用者端末10に対して無線アクセスを提供するためのホットスポットを構成する。
無線接続システム20には、図4に示すように無線アクセスポイント装置21,集線装置22,認証パス接続用PPPoEルータ23及びメディア変換装置24が備わっている。認証パス接続用PPPoEルータ23は、認証システム60への論理パス接続機能を果たす。
【0030】
認証システム60は、図1に示すようにIPルータ群61,認証パス接続用認証サーバ62及び本人認証用認証サーバ63を備えている。IPルータ群61は、本人認証の際に信号の経路を制御する。認証パス接続用認証サーバ62は、本人認証時の論理パスを認証する。この認証システム60には、「domain-A」のドメイン名が予め付与されている。
【0031】
認証局50は、ルート認証局51,中間認証局(A)52及び中間認証局(B)53を備えている。
各自律ネットワーク30は、図2に示すように、IPルータ群31,ISP(インターネット・サービス・プロバイダ)接続用認証サーバ32及び複数のISPサーバ33(a)〜33(n)を備えている。
【0032】
IPルータ群31は信号経路を制御する。ISP接続用認証サーバ32は各ISPサーバ33へアクセスする際の論理パス接続の認証を行う。また、図2の自律ネットワーク30には「domain-I」のドメイン名が予め付与されている。
有線ネットワーク40は、PPPoE(PPP over Ethernet(Ethernetは登録商標))ネットワークとして構成されている。ここでは、通信方式としてのPPPoE方式は、IETF(Internet Engineering Task Force)のRFC2516の規定に準拠している。
【0033】
利用者端末10には、図3に示すように無線インタフェース12,端末本体13,認証装置接続用コネクタ14及び認証機能統合型通信ソフトウェア15が備わっている。認証装置接続用コネクタ14にはハードウェアとして構成された本人認証装置11を接続することができる。
無線インタフェース12はIEEE 802.11bの規格に準拠しており、無線接続システム20の無線アクセスポイントとの間で無線通信を行うために備わっている。
【0034】
認証機能統合型通信ソフトウェア15は、利用者端末10の通信を制御し、無線アクセスなどを行う際の認証制御を行う。この形態では、認証機能統合型通信ソフトウェア15の制御により、認証の際に利用者が所持している本人認証装置11を接続し、RFC2716で規定されたEAP−TLS方式による認証動作に対応できる。
【0035】
また、利用者端末10はルート認証局51自らが予め発行したISO X.509形式準拠のルート認証局証明書71(図5参照)を保持している。
本人認証装置11は、例えばUSBインタフェースなどを介して利用者端末10と接続される独立したハードウェア装置である。各本人認証装置11は記憶装置を内蔵しており、802.1xアクセス制御における本人認証動作に用いるEAP−TLS方式に必要な利用者秘密鍵74と中間認証局(A)52が発行した利用者証明書73と、ルート認証局51が発行した中間認証局(A)証明書72とをデータとして保持している。これら全ての証明書は、ISO X.509形式に準拠している。なお、ルート認証局51は中間認証局(A)52及び中間認証局(B)53を認証するために存在する。
【0036】
無線接続システム20の無線アクセスポイント装置21は、IEEE 802.11bの規格に準拠しており、各利用者端末10との間で無線通信を行う機能を備えている。また、無線アクセスポイント装置21は集線装置22と接続するためのイーサネット(登録商標)のインタフェースを備えている。
更に、無線アクセスポイント装置21は802.1x準拠のポートアクセス制御機能を持ち、認証プロトコルにはEAP−TLSを用いる。無線アクセスポイント装置21の集線装置22と接続するインタフェースには、この例ではIPアドレスとして「adr-A」を割り当てる。
【0037】
このIPアドレス「adr-A」は、認証パス接続用認証サーバ62から認証パス接続用PPPoEルータ23のWAN側インタフェースに対して払い出されるIPアドレス「adr-C」のネットマスク値が32ビットの場合にはプライベートアドレスとし、ネットマスク値が32ビット未満の場合には「adr-C」とネットワークアドレスを同一とし、かつ「adr-C」と異なる値に定める。
【0038】
また、いずれの場合も、IPアドレス「adr-A」は認証パス接続用PPPoEルータ23のLAN側インタフェースに割り当てられるIPアドレス「adr-B」とネットワークアドレスを同一とする。
無線アクセスポイント装置21の初期経路(デフォルトルート)は、図4に示すように認証パス接続用PPPoEルータ23のLAN側インタフェース、すなわちIPアドレス「adr-B」に定めておく。また、802.1xに準拠した認証を実施するために、無線アクセスポイント装置21はIPアドレス「adr-R」の本人認証用認証サーバを指定するように定めておく。
【0039】
認証パス接続用PPPoEルータ23は、LAN側及びWAN側にそれぞれ独立したイーサネットのインタフェースを持ち、IPパケットのルーティング機能及びPPPoEクライアントとしての通信機能を持つ。認証パス接続用PPPoEルータ23のLAN側のインタフェースにはIPアドレス「adr-B」を割り当てておく。
【0040】
IPアドレス「adr-B」については、認証パス接続用認証サーバ62から認証パス接続用PPPoEルータ23のWAN側インタフェースに対して払い出されるIPアドレス「adr-C」のネットマスク値が32ビットの場合にはプライベートアドレスとし、ネットマスク値が32ビット未満の場合は「adr-C」とネットワークアドレスを同一とする。なお、認証パス接続用PPPoEルータ23のWAN側インタフェースに「adr-C」を付加しないunnumbered接続も可能である。
【0041】
また、いずれの場合もIPアドレス「adr-B」は無線アクセスポイント装置21の有線側インタフェースに割り当てられるIPアドレス「adr-A」とネットワークアドレスを同一にする。また、上記ネットマスク値が32ビットの場合には、認証パス接続用PPPoEルータ23において、「adr-A」,「adr-B」などのLAN側プライベートアドレスと「adr-C」とのアドレス変換(NAT)を実施する。
【0042】
集線装置22は、無線アクセスポイント装置21と、認証パス接続用PPPoEルータ23のLAN側及びWAN側と、メディア変換装置24との各インタフェースをイーサネットの同一セグメントとして接続する。
メディア変換装置24は、イーサネットとPPPoEネットワークとの相互接続のために、信号のメディア変換を実施する。
【0043】
有線ネットワーク40は、無線接続システム20側からのPPPoE通信設定時に指定されるユーザ名内のドメイン名に応じて通信先を選択することができ、かつPPPoEを終端してPPP通信(RFC2153)に変換するドメイン振り分け機能と、PPP通信を終端してIP通信に変換する機能とを有する。
【0044】
これにより、有線ネットワーク40においては、無線接続システム20側からPPPoEパスによる通信を可能とし、自律ネットワーク30及び認証システム60からは通常のIP通信を実現する。
認証局50のルート認証局51は、ISO X.509形式に準拠して中間認証局(A)52及び中間認証局(B)53に対する証明書及びルート認証局51自身に対する証明書を発行する。中間認証局(A)52及び中間認証局(B)53は、それぞれISO X.509形式に準拠して利用者端末10及び本人認証用認証サーバ63に対する証明書を発行する。
【0045】
各自律ネットワーク30内のISP接続用認証サーバ32は、有線ネットワーク40内のPPP終端機能を持つ装置から呼び出され、PPPoE通信接続要求時に利用者端末10から指定された利用者ID及び利用者パスワードを、Radius方式(RFC2138)に準拠して認証する。認証結果は呼び出し元であるPPP終端機能を持つ装置に返される。
【0046】
また、ISP接続用認証サーバ32は図2に示すように、認証成功の場合に利用者端末10の無線インタフェースに払い出すIPアドレスと32ビットのネットマスク値を利用者ID毎に保持している。
これは、Radiusの属性として、それぞれFramed-IP-Address(Type4)、Framed-IP-Netmask(Type9)(括弧内はアトリビュートタイプ値,RFC2138にて規定)によって設定される。
【0047】
各自律ネットワーク30内の各ISPサーバ33は、ISP接続用認証サーバ32による認証が正常に終了した後に、利用者端末10からのアクセスを受け付けてインターネット接続サービスを提供する。また、IPルータ群31を経由して他の自律ネットワークへの接続も可能である。
【0048】
認証システム60の認証パス接続用認証サーバ62は、有線ネットワーク40内のPPP終端機能を持つ装置から呼び出され、無線接続システム20内の認証パス接続用PPPoEルータ23がPPPoE通信接続要求時に指定した利用者ID及び利用者パスワードをRadius方式(RFC2138)に準拠して認証する。認証結果は呼び出し元であるPPP終端機能を持つ装置に返される。
【0049】
また、認証パス接続用認証サーバ62は認証成功の場合に認証パス接続用PPPoEルータ23のWAN側インタフェースに払い出すIPアドレスとネットマスク値とを利用者ID毎に保持している。
これは、Radiusの属性として、それぞれFramed-IP-Address(Type4)、Framed-IP-Netmask(Type9)(括弧内はアトリビュートタイプ値,RFC2138にて規定)によって設定される。
【0050】
本人認証用認証サーバ63は、無線接続システム20の無線アクセスポイント装置21を介して利用者端末10との間でEAP−TLS通信を行い、無線アクセスポイント装置21にアクセス使用としている利用者端末10に接続された本人認証装置11の正当性を確認することにより、利用者の本人認証を実施する。本人認証用認証サーバ63には、本人認証動作に用いるEAP−TLS方式に必要な、本人認証用認証サーバ秘密鍵78,中間認証局(B)53発行の本人認証用認証サーバ証明書77及びルート認証局51発行の中間認証局(B)証明書76及びルート認証局51自身を証明するためのルート認証局証明書75の各データが保持されている(図5参照)。
【0051】
これらの全ての証明書は、ISO X.509形式に準拠している。なお、ルート認証局51は中間認証局(B)53を認証する関係にある。
認証システム60のIPルータ群61は、認証システム60を通るIPパケットの経路を制御する。
次に、システム全体の具体的な動作について説明する。このシステムの動作は、利用者端末10からのISP接続要求を契機として、図6に示すような4つのステップS20,S30,S40,S50で処理される。各ステップの詳細について以下に説明する。
【0052】
なお、ステップS20がS30の直後に実施されることもある。この場合は、ステップS30を明示的に起動する必要があるが、本質的な動作内容は同等である。
(S20)ISP接続要求:
これは利用者端末10側から自律ネットワーク30に対してPPPoEパスを接続しようとする要求動作であり、利用者端末10からPPPoE接続要求を無線アクセスポイント装置21経由で有線ネットワーク40に向けて送出することである。具体的な動作は次のとおりである。
【0053】
(a)利用者の操作により本人認証装置11を利用者端末10に接続し、所望のISPに対する接続のための入力を行う。
(b)本人認証装置11が利用者端末10に接続された状態で、利用者端末10に組み込まれた認証機能統合型通信ソフトウェア15の働きにより、利用者端末10から目的のISPに対してPPPoE通信による通信接続要求のためのPADIフレーム(RFC2516)を利用可能な無線アクセスポイントに向けて送信する。
【0054】
ここでは、例えば利用者IDとして「user-I@domain-I」を指定し、利用者パスワードとして「p-I」を指定して通信接続を要求する。
なお、特に断りの無い限り、これ以降では、利用者端末10の802.1xに伴うEAP−TLS動作及びPPPoE通信動作は、その利用者端末10上で動作している認証機能統合型通信ソフトウェア15もしくは同等の機能を持つ複数のソフトウェアの組み合わせの働きによって実現されるものとする。
【0055】
(S30)認証パスの接続(図7参照):
(a)無線アクセスポイント装置21は利用者端末10からのアクセスを検知し、認証済みではない場合、あるいは再度の認証が必要な場合に、802.1x準拠のアクセス制御を行う。そのために、無線アクセスポイント装置21と利用者端末10との間でEAPOL(EAP over LAN)方式(802.1xにて規定)の通信を確立する(S3a)。なお、認証済みの場合にはステップS50の動作を行う。
【0056】
(b)無線アクセスポイント装置21は、アドレス「adr-R」で指定される本人認証用認証サーバ63との間でEAP方式による認証を実施するために、認証パケットをデフォルトルートの設定に従って、認証パス接続用PPPoEルータ23に転送する(S3b)。
(c)認証パス接続用PPPoEルータ23は、受け取った認証パケットをWAN側インタフェースからPPPoE通信として本人認証用認証サーバ63に転送する。このとき、認証システム60へのPPPoE認証パスが確立していない場合には、WAN側のインタフェースからPADIフレームを送信する。このPADIフレームは、イーサネットアドレスとしてブロードキャストアドレスを持つため、集線装置22を介して、メディア変換装置24経由で有線ネットワーク40に到達する。
【0057】
ここで、PPPoE通信確立のために必要な利用者IDである「usr-A」と利用者パスワード「p-A」には、認証パス接続用PPPoEルータ23に予め定めてあるものが用いられる。認証パス接続用認証サーバ62によって認証が正常終了した後に、PPPoE通信が確立し、認証システム60との間で認証パスが確立する。
【0058】
このとき、認証パス接続用認証サーバ62は、利用者ID毎に保持している「Framed-IP-Address」,「Framed-Netmask」属性のそれぞれの値に従って、認証パス接続用PPPoEルータ23のWAN側インタフェースにIPアドレス「adr-C」とそのネットマスク値を割り当てる。また、「adr-C」を付加しないunnumbered接続も可能である。
【0059】
これによって、無線アクセスポイント装置21を介して利用者端末10と本人認証用認証サーバ63との間でEAP−TLS通信が可能になる。なお、認証パスの接続は、ステップS50のISP接続制御と同等の動作になる。
(S40)802.1xアクセス制御(図8参照):
(a)証明書の転送
利用者端末10と無線アクセスポイント装置21との間のEAPOL,無線アクセスポイント装置21と本人認証用認証サーバ63との間のEAP通信パスによって構成されるEAP−TLS方式によって、本人認証装置11内に保持されている中間認証局(A)証明書72及び利用者証明書73が本人認証用認証サーバ63に転送される。なお、利用者秘密鍵74は本人認証装置11の外部に転送されることはない。
【0060】
また、本人認証用認証サーバ63から利用者端末10に対して、本人認証用認証サーバ証明書77及び中間認証局(B)証明書76が転送される。
(b)本人認証用認証サーバ63と利用者端末10との間で、EAP−TLSの規定に従って認証が行われる。ここで、本人認証用認証サーバ63は利用者に対する認証を行い、利用者端末10は本人認証用認証サーバ63に対する認証を行う。
【0061】
(c)アクセス制御
上述の利用者認証が成功した場合、当該利用者端末10からの無線アクセスポイント装置21へのアクセスが許可され、ステップS20の説明中に記述したPADIフレームを含むPPPoE通信が無線アクセスポイント装置21を通過する。
【0062】
認証に成功した利用者端末10は、無線アクセスポイント装置21内に記憶され、この利用者端末10に対して一定時間毎に前述のEAP−TLS認証に基づいて802.1xアクセス制御が繰り返し実施される(後述の再認証)。
【0063】
802.1xの認証によって、802.11bで使用されるWEPの鍵が決定され、しかも鍵は再認証を含む802.1x認証毎に変更される。このため、無線通信区間においても高度なセキュリティを確保できる。
(S50)ISP接続(図9参照)
ステップS20の説明中に記述したPADIフレームが無線アクセスポイント装置21を通過し、集線装置22に到達する。PADIフレームはIP通信ではないため、認証パス接続用PPPoEルータ23はこれに反応しない。
【0064】
従って、このPADIフレームは集線装置22及びメディア変換装置24を経由して有線ネットワーク40に送出される。有線ネットワーク40では、利用者IDのドメイン部である「domain-I」に従って、パケットの方路が自律ネットワーク30に振り向けられる。
次に、自律ネットワーク30内のISP接続用認証サーバ32によって、利用者ID,利用者パスワードが認証され、この認証に成功した場合には、利用者端末10に対して、「Framed-IP-Address」属性である「adr-P」が「Framed-IP-Netmask」値32を伴って払い出される。
【0065】
再認証:
802.1xでは、アクセス許可が与えられた後にも利用者端末10は定期的に繰り返し認証されなければならない(再認証)。このシステムにおいては、ステップS40の説明中で記述したEAP−TLS認証を定期的に繰り返し実施する。再認証が不成功の場合には、当該利用者端末10は無線アクセスポイント装置21へのアクセスを拒否される。
【0066】
以上の動作の結果、利用者端末10は無線アクセスポイント装置21における802.1xアクセス制御の元で、自律ネットワーク30内のISPサーバ33もしくはIPルータ群31を介した他の自律ネットワークとの間でセキュリティの高い通信を行うことができる。
【0067】
ところで、図4に示す無線接続システム20の構成要素を統合化して、図10に示すように構成することもできる。
図10の例では、以下の機能を持たせることにより、図4の無線アクセスポイント装置21,集線装置22,認証パス接続用PPPoEルータ23を1つの統合化アクセスポイント80として置き換えることができる。
【0068】
(1)インタフェースは無線及び有線とする。
(2)無線及び有線インタフェースを介したIP経路制御機能を持つ。
(3)無線インタフェースは802.1b互換モード(802.1x認証を用いないとき)と802.1xモードとの2つのモードを持ち、2つのモードは切替可能とする。
【0069】
(4)有線インタフェースは、10BaseT,100BaseT等に準拠し、自動及び手動切り替え機能を持つ。
(5)有線インタフェースは、PPPoEクライアント機能を持つ。
(6)IP経路制御を行うことなく無線インタフェースと有線インタフェースとの間を直接接続するようなブリッジ動作が可能なモードを持つ。
【0070】
(7)無線インタフェースが802.1xモードの場合、認証成功前は無線インタフェースに対するアクセスは拒否される。
図10に示す統合化アクセスポイント80は、無線インタフェースを802.1xモードで動作させ、アクセスを許可する場合には、無線インタフェースと有線インタフェースとの間をブリッジ動作させることにより、図4の無線アクセスポイント装置21,集線装置22,認証パス接続用PPPoEルータ23を置き換えることが可能である。これにより、次の効果が得られる。
【0071】
装置台数が3台から1台に減るので接続形態が簡素化される。
また、IPアドレス「adr-B」の設定が不要になる。
【0072】
【発明の効果】
(1)既存の有線系PPPoEアクセスサービスと同等のサービスをネットワークそのものを改造することなく無線通信においても実現できる。
【0073】
(2)無線区間については、802.1xアクセス制御やEAP−TLS認証方式を組み合わせることにより高度なセキュリティを実現できる。
(3)持ち運びが容易なハードウェアデバイスで構成される本人認証装置にEAP−TLS認証方式などに必要な証明書や秘密鍵を格納しておくことにより、利便性を損なうことなく確実な本人認証が可能になる。
【0074】
(4)EAP−TLS認証方式などの認証を行う認証システムを既存のISPと同等の接続形態で構成し、認証情報を一元的に管理することにより、既存の有線サービスとの適合性を高めることができる。
(5)認証のための論理パスとISP接続のための論理パスとを独立した2つのPPPoE通信パスとして同時に実現できる。
(6)無線システムの構成要素を統合化することにより、無線システムの構成を簡素化できる。
【図面の簡単な説明】
【図1】システム全体の構成例を示すブロック図である。
【図2】自律ネットワークの構成例を示すブロック図である。
【図3】利用者端末の構成例を示すブロック図である。
【図4】無線接続システムの構成例を示すブロック図である。
【図5】使用する証明書の受け渡しを示す模式図である。
【図6】システム全体の処理手順を示すフローチャートである。
【図7】認証パス接続動作を示すブロック図である。
【図8】802.1xアクセス制御の動作を示すブロック図である。
【図9】ISP接続動作を示すブロック図である。
【図10】無線接続システムの構成例を示すブロック図である。
【符号の説明】
10 利用者端末
11 本人認証装置
12 無線インタフェース
13 端末本体
14 認証装置接続用コネクタ
15 認証機能統合型通信ソフトウェア
20 無線接続システム
21 無線アクセスポイント装置
22 集線装置
23 認証パス接続用PPPoEルータ
24 メディア変換装置
30 自律ネットワーク
31 IPルータ群
32 ISP接続用認証サーバ
33 ISPサーバ
40 有線ネットワーク
50 認証局
51 ルート認証局
52 中間認証局(A)
53 中間認証局(B)
60 認証システム
61 IPルータ群
62 認証パス接続用認証サーバ
63 本人認証用認証サーバ
71 ルート認証局証明書
72 中間認証局(A)証明書
73 利用者証明書
74 利用者秘密鍵
75 ルート認証局証明書
76 中間認証局(B)証明書
77 本人認証用認証サーバ証明書
78 本人認証用認証サーバ秘密鍵
80 統合化アクセスポイント
81 無線部
82 PPPoEルータ部
Claims (3)
- 無線端末との間で無線通信回線を形成する少なくとも1つの無線接続システムと、当該無線接続システムとの間を有線ネットワークで接続された主認証装置からなり、前記無線端末からの前記有線ネットワークに接続された自律ネットワークへのアクセスを制御するモバイル通信サービスシステムにおいて、
前記無線接続システムは、
前記無線端末と無線接続する無線アクセス制御装置と、
前記無線アクセス制御装置と前記有線ネットワークとの間にあって、予め設定された認証情報を用いて前記主認証装置と認証パスの認証を行うことにより、前記無線端末がアクセスを要求する接続先の前記自律ネットワークヘのアクセス用論理パスとは異なる論理パスを、前記主認証装置との間で認証パスを割り当て、利用者の本人性の認証が必要になった場合に、前記認証パスを利用して前記主認証装置に対する接続を処理する認証経路制御装置とで構成され、
前記無線アクセス制御装置は、前記認証パスを利用して前記主認証装置との間で利用者の本人性の認証を行い、前記無線端末の無線アクセスを許可し、
前記主認証装置は、
予め設定された認証情報を用いて、前記無線接続システム内の要求元との間の認証経路に関する認証パスを認証する論理パス接続用認証装置と、
前記認証パスを利用し前記無線接続システムとの間で利用者の本人性の認証を行う本人認証管理装置と、
前記有線ネットワークと接続され前記論理パス接続用認証装置及び本人認証管理装置の接続経路を制御する経路制御装置とで構成され、
前記論理パス接続用認証装置による認証に成功した場合のみ、前記本人認証管理装置に対するアクセスを許可する
ことを特徴とするモバイル通信サービスシステム。 - 請求項1のモバイル通信サービスシステムにおいて、
前記無線接続システム内の無線アクセス制御装置及び前記認証経路制御装置と接続される全てのインタフェースを同一のセグメントに接続する
ことを特徴とするモバイル通信サービスシステム。 - 無線端末との間で無線通信回線を形成する少なくとも1つの無線接続システムと、当該無線接続システムとの間を有線ネットワークで接続された主認証装置からなる、前記無線端末からの前記有線ネットワークに接続された自律ネットワークへのアクセスを制御するモバイル通信サービスシステムにおける無線接続システムであって、
前記無線端末と無線接続する無線アクセス制御装置と、
前記無線アクセス制御装置と前記有線ネットワークとの間にあって、予め設定された認証情報を用いて前記主認証装置と認証パスの認証を行うことにより、前記無線端末がアクセスを要求する接続先の前記自律ネットワークヘのアクセス用論理パスとは異なる論理パスを、前記主認証装置との間で認証パスを割り当て、利用者の本人性の認証が必要になった場合に、前記認証パスを利用して前記主認証装置に対する接続を処理する認証経路制御装置とで構成され、
前記無線アクセス制御装置は、前記認証パスを利用して前記主認証装置との間で利用者の本人性の認証を行い、前記無線端末の無線アクセスを許可する
ことを特徴とする無線接続システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002171676A JP4169534B2 (ja) | 2002-06-12 | 2002-06-12 | モバイル通信サービスシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002171676A JP4169534B2 (ja) | 2002-06-12 | 2002-06-12 | モバイル通信サービスシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004023166A JP2004023166A (ja) | 2004-01-22 |
JP4169534B2 true JP4169534B2 (ja) | 2008-10-22 |
Family
ID=31171468
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002171676A Expired - Fee Related JP4169534B2 (ja) | 2002-06-12 | 2002-06-12 | モバイル通信サービスシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4169534B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4527553B2 (ja) * | 2005-01-17 | 2010-08-18 | Necインフロンティア株式会社 | 携帯通信端末およびユーザ認証方法 |
WO2008153456A1 (en) * | 2007-06-11 | 2008-12-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for certificate handling |
-
2002
- 2002-06-12 JP JP2002171676A patent/JP4169534B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2004023166A (ja) | 2004-01-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
US7673146B2 (en) | Methods and systems of remote authentication for computer networks | |
JP4777729B2 (ja) | 設定情報配布装置、方法、プログラム及び媒体 | |
JP4586071B2 (ja) | 端末へのユーザポリシーの提供 | |
US9112909B2 (en) | User and device authentication in broadband networks | |
KR101047641B1 (ko) | 보안 장치용 보안 및 프라이버시 강화 | |
US7325246B1 (en) | Enhanced trust relationship in an IEEE 802.1x network | |
KR100883648B1 (ko) | 무선 환경에서의 네트웍 접근 통제 방법 및 이를 기록한기록매체 | |
US7624181B2 (en) | Techniques for authenticating a subscriber for an access network using DHCP | |
US7788705B2 (en) | Fine grained access control for wireless networks | |
JP4394682B2 (ja) | 非信頼アクセスネットワークを介してシングルサインオン認証を行なう装置及び方法 | |
US20090100262A1 (en) | Apparatus and method for detecting duplication of portable subscriber station in portable internet system | |
JP2006086907A (ja) | 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム | |
JP5192077B2 (ja) | Vpnによる秘匿通信方法、そのシステム、そのプログラム、並びに、そのプログラムの記録媒体 | |
CN101986598B (zh) | 认证方法、服务器及系统 | |
CA2661328C (en) | Method and apparatus for interworking authorization of dual stack operation | |
JP2007503637A (ja) | クレデンシャルを提供する方法、システム、認証サーバ、及びゲートウェイ | |
KR100707805B1 (ko) | 사용자 및 인증자별로 제어할 수 있는 인증 시스템 | |
US20150249639A1 (en) | Method and devices for registering a client to a server | |
WO2009082950A1 (fr) | Procédé, dispositif et système de distribution de clés | |
CN107528857A (zh) | 一种基于端口的认证方法、交换机及存储介质 | |
JP4965499B2 (ja) | 認証システム、認証装置、通信設定装置および認証方法 | |
JP4169534B2 (ja) | モバイル通信サービスシステム | |
JP4584776B2 (ja) | ゲートウェイ装置およびプログラム | |
Fisher | Authentication and Authorization: The Big Picture with IEEE 802.1 X |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040707 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060526 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060613 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060802 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070313 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070427 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080122 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080314 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080729 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080805 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110815 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120815 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |