JP4397712B2 - Distributed authentication method, distributed authentication system, and authentication server - Google Patents

Distributed authentication method, distributed authentication system, and authentication server Download PDF

Info

Publication number
JP4397712B2
JP4397712B2 JP2004063960A JP2004063960A JP4397712B2 JP 4397712 B2 JP4397712 B2 JP 4397712B2 JP 2004063960 A JP2004063960 A JP 2004063960A JP 2004063960 A JP2004063960 A JP 2004063960A JP 4397712 B2 JP4397712 B2 JP 4397712B2
Authority
JP
Japan
Prior art keywords
identification information
base station
mobile
information
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004063960A
Other languages
Japanese (ja)
Other versions
JP2005252961A (en
Inventor
秀典 山本
茂稔 鮫嶋
拓東 川道
克己 河野
芳昭 安達
訓 大久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2004063960A priority Critical patent/JP4397712B2/en
Publication of JP2005252961A publication Critical patent/JP2005252961A/en
Application granted granted Critical
Publication of JP4397712B2 publication Critical patent/JP4397712B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

本発明は、無線通信手段を備えた移動体からの無線基地局を経由したシステム内部への接続を認証する技術に関するものである。   The present invention relates to a technique for authenticating a connection from a mobile body provided with wireless communication means to a system interior via a wireless base station.

通信に伴う認証技術として、認証を要求する度に被認証側にて今回用の認証情報と次回用の認証情報を作成して認証側に対して同時に送付し、認証側では認証要求を受信すると、前回の認証処理の際に受信し保持していた今回用の認証情報と、被認証側より今回送付されてきた今回用の認証情報とを比較することで認証を行う、といった技術が提案されていた(例えば、特許文献1等参照)。   As an authentication technology associated with communication, every time authentication is requested, the current authentication information and the next authentication information are created and sent to the authentication side at the same time, and the authentication side receives the authentication request. A technology has been proposed in which authentication is performed by comparing the current authentication information received and held during the previous authentication process with the current authentication information sent from the authenticated side. (See, for example, Patent Document 1).

また、モバイルIPにおいては、移動体が無線通信を行う基地局が移動体の移動に伴い変更される度に、新たに無線通信を行う基地局を経由して認証サーバとの間で行う一往復のパケット交換により、認証、鍵交換及び気付けIPアドレスの取得を行うとされる(例えば、非特許文献1等参照)。
特開2003−152716号公報 IETF、RFC2002「IP Mobility Support」 In mobile IP, each time a base station with which a mobile unit performs wireless communication is changed as the mobile unit moves, a round trip is performed between the mobile station and the authentication server via a base station that performs new wireless communication. Authentication, key exchange, and care-of IP address acquisition (for example, see Non-Patent Document 1).
JP 2003-152716 A IETF, RFC2002 “IP Mobility Support”

上記従来技術では、外部の移動体からの認証要求が発生する度にアクセスポイントである無線基地局等を経由して、認証サーバとの間で認証情報の送受信を行うこととなる。この認証サーバは、複数の情報処理装置がLANなどのネットワークを介して接続している、いわばシステムの内部側に設置されたサーバである。例えば、移動体からの認証要求が多数発生した場合(Dos攻撃等により不正な移動体からのアクセスが大量に発生した場合も含む)、これら多くの認証要求に伴って、無線基地局と認証サーバとの間での認証情報の授受に関するデータ通信もまた大量に発生する。従って、上記のような従来技術を採用した状況下においては、前記システム内部のネットワークの負荷増大が発生する懸念が存在する。   In the above prior art, every time an authentication request from an external mobile unit is generated, authentication information is transmitted to and received from an authentication server via a wireless base station or the like as an access point. This authentication server is a server installed inside the system, to which a plurality of information processing apparatuses are connected via a network such as a LAN. For example, when a large number of authentication requests from mobile units occur (including cases where a large number of accesses from unauthorized mobile units occur due to Dos attacks, etc.), the radio base station and authentication server are accompanied by these many authentication requests. There is also a large amount of data communication related to the exchange of authentication information with. Therefore, there is a concern that an increase in the load on the network inside the system may occur under the situation where the conventional technology as described above is employed.

また、被認証側である移動体が認証要求を送付してから認証結果を受信するまでの期間中にも当該移動体は移動する。従って、このような認証結果の受信遅延に起因する、移動体における処理の遅延が発生し得る。   In addition, the mobile body also moves during a period from when the mobile body that is to be authenticated sends the authentication request to when the authentication result is received. Therefore, a delay in processing in the mobile body may occur due to such a reception delay of the authentication result.

そこで本発明の目的は、システム内部に設置した各種サーバに対して、無線基地局等を経由して外部の移動体からのマルチキャストによる無線通信による接続が発生するシステムにおいて、通信の処理効率の低下や異常な処理の発生を防止することを条件として、外部からの接続に対するセキュリティの保護を行うことにある。   Accordingly, an object of the present invention is to reduce the communication processing efficiency in a system in which connection to various servers installed in the system by wireless communication by multicast from an external mobile body via a wireless base station or the like occurs. It is intended to protect the security against connection from the outside on the condition that the occurrence of abnormal processing is prevented.

上記課題を解決する本発明の分散認証方法は、無線通信手段を備えた移動体からの無線基地局を経由したシステム内部への接続を認証する方法であって、前記移動体とネットワークで結ばれ、当該移動体の事前認証を行う認証サーバが、前記移動体の認証要求に応じて当該移動体の事前認証処理を行うステップと、前記移動体の事前認証が成立した場合、当該移動体の識別情報を1または複数個生成し、前記移動体または前記移動体の運行状況を監視する予見情報の提供装置より、前記移動体の移動経路及び所定地点の通過時刻に関する予見情報を取得し、当該予見情報に基づき、前記移動体の移動経路上にあってアクセスポイントとなりうる複数の無線基地局、及び当該移動体に対して、当該移動体について作成した前記1または複数の識別情報及び識別情報の有効期間に関する情報を配布するステップとを実行し、前記移動体が、前記システム内部への接続に際し、前記識別情報及びタイムスタンプを送信データに付加して前記無線基地局への無線通信を行うステップを実行し、前記無線基地局が、前記移動体より受信した受信データに付加された識別情報と当該無線基地局にて予め保有する識別情報との照合と、前記受信データに付加されたタイムスタンプが前記識別情報の有効期間内であるか否かの判定とを行って、当該受信データの前記システム内部への転送の可否を判定するステップを実行する、ことを特徴とする。 A distributed authentication method of the present invention that solves the above-described problem is a method for authenticating a connection from a mobile body equipped with wireless communication means to the inside of a system via a wireless base station, and is connected to the mobile body through a network. An authentication server that performs pre-authentication of the mobile object performs a pre-authentication process of the mobile object in response to an authentication request for the mobile object, and identifies the mobile object when the pre-authentication of the mobile object is established. One or more pieces of information are generated, and foreseeing information relating to the moving path of the moving body and the passage time of a predetermined point is obtained from the foreseeing information providing apparatus for monitoring the moving body or the operation status of the moving body, and the foreseeing based on the information, a plurality of radio base stations which can serve as an access point be on the moving path of the moving body, and to the mobile body, wherein the one or more identified was developed for the mobile Perform the step of distributing information regarding information and the validity period of the identification information, wherein the moving body, upon connection of the to internal system, by adding the identification information and the time stamp to the transmission data to the radio base station perform the step of performing radio communication, the radio base station, and collated with previously held by the identification information in said added to the received data received from the mobile identification information and the radio base station, the received data Determining whether the added time stamp is within the validity period of the identification information, and executing the step of determining whether the received data can be transferred into the system. .

また、本発明の分散認証システムは、無線通信手段を備えた移動体からの無線基地局を経由したシステム内部への接続を認証するシステムであって、前記移動体の認証要求に応じて当該移動体の事前認証処理を行う事前認証部と、前記移動体の事前認証が成立した場合、当該移動体の識別情報を1または複数個生成し、前記移動体または前記移動体の運行状況を監視する予見情報の提供装置より、前記移動体の移動経路及び所定地点の通過時刻に関する予見情報を取得し、当該予見情報に基づき、前記移動体の移動経路上にあってアクセスポイントとなりうる複数の無線基地局、及び当該移動体に対して、当該移動体について作成した前記1または複数の識別情報及び識別情報の有効期間に関する情報を配布する識別情報配布部と、を備えて前記移動体とネットワークで結ばれる認証サーバと、前記システム内部への接続に際し、前記識別情報及びタイムスタンプを送信データに付加して前記無線基地局への無線通信を行う通信データ作成部を備えた移動体と、前記移動体より受信した受信データに付加された識別情報と当該無線基地局にて予め保有する識別情報との照合と、前記受信データに付加されたタイムスタンプが前記識別情報の有効期間内であるか否かの判定とを行って、当該受信データの前記システム内部への転送の可否を判定するデータ判定部を備える無線基地局と、を備えることを特徴とする。 The distributed authentication system of the present invention is a system for authenticating a connection from a mobile body provided with a wireless communication means to the inside of the system via a radio base station, wherein the mobile body responds to an authentication request of the mobile body. When pre-authentication processing for performing body pre-authentication processing and pre-authentication of the mobile body is established, one or a plurality of identification information of the mobile body is generated, and the operation state of the mobile body or the mobile body is monitored. A plurality of radio bases that obtain foreseeing information related to the moving route of the mobile body and the passage time of a predetermined point from the provisioning information providing device, and can be access points on the moving route of the mobile body based on the foreseeing information station, and to the mobile member, provided with an identification information distribution unit for distributing information about the validity period of the one or more identification information and the identification information was developed for the mobile An authentication server that is connected by serial mobile and the network, upon connection of the to internal system, comprising a communication data creation unit that performs wireless communication to the wireless base station by adding the identification information and the time stamp to transmission data a moving body, wherein the collation identification information previously held by added to the received data received from the mobile identification information and the radio base station, effective add timestamp to the received data is the identification information And a radio base station including a data determination unit that determines whether or not the received data can be transferred to the inside of the system by determining whether or not it is within a period .

また、本発明の認証サーバは、無線通信手段を備えた移動体からの無線基地局を経由したシステム内部への接続を認証するシステムを構成し、前記移動体とネットワークで結ばれる認証用のサーバであって、前記移動体の認証要求に応じて当該移動体の事前認証処理を行う事前認証部と、前記移動体の事前認証が成立した場合、当該移動体の識別情報を1または複数個生成し、前記移動体または前記移動体の運行状況を監視する予見情報の提供装置より、前記移動体の移動経路及び所定地点の通過時刻に関する予見情報を取得し、当該予見情報に基づき、前記移動体の移動経路上にあってアクセスポイントとなりうる複数の無線基地局、及び当該移動体に対して、当該移動体について作成した前記1または複数の識別情報及び識別情報の有効期間に関する情報を配布する識別情報配布部と、を備えることを特徴とする。 The authentication server of the present invention constitutes a system for authenticating connection from a mobile body provided with wireless communication means to the inside of the system via a radio base station, and is an authentication server connected to the mobile body via a network A pre-authentication unit that performs pre-authentication processing of the mobile body in response to an authentication request of the mobile body, and if the mobile body pre-authentication is established, generates one or a plurality of identification information of the mobile body Then, foreseeing information relating to the moving route of the moving body and the passage time of the predetermined point is obtained from the moving body or a foreseeing information providing device for monitoring the operation status of the moving body, and based on the foreseeing information, the moving body a plurality of radio base stations which can serve as an access point be on the movement path, and to the mobile body, the effective of the information was developed for the moving body 1 or more identification information and identification information An identification information distribution unit for distributing information about between, characterized in that it comprises a.

その他、本願が開示する課題、及びその解決方法は、発明の実施の形態の欄、及び図面により明らかにされる。   In addition, the problems disclosed by the present application and the solutions thereof will be clarified by the embodiments of the present invention and the drawings.

本発明によれば、システム内部に設置した各種サーバに対して、無線基地局等を経由して外部の移動体からのマルチキャストによる無線通信による接続が発生するシステムにおいて、通信の処理効率の低下や異常な処理の発生を防止し、外部からの接続に対するセキュリティの保護を行うことが可能となる。   According to the present invention, in a system in which connection to various servers installed in the system by multicast wireless communication from an external mobile body via a wireless base station or the like occurs, communication processing efficiency is reduced. It is possible to prevent the occurrence of abnormal processing and protect the security against the connection from the outside.

以下、本発明の実施形態を図面により詳細に説明する。図1は、本発明の適用先である、所定経路を移動する移動体0107と、この移動体0107の移動経路上に設置した、複数の情報処理装置が通信網0104を介して接続しているシステム100へのアクセスポイントとなる無線基地局0106との間で無線通信を行う通信システム10の概要を示す図である。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 shows a mobile object 0107 that moves a predetermined route, to which the present invention is applied, and a plurality of information processing devices installed on the movement route of the mobile object 0107 are connected via a communication network 0104. 1 is a diagram illustrating an overview of a communication system 10 that performs wireless communication with a wireless base station 0106 that is an access point to a system 100. FIG.

この通信システム10の主な構成要素は、通信網0104に接続している、アクセスしてくる移動体0107の事前認証及び識別情報の発行、配布を行う認証サーバ0101と、通信網0104に接続しており、無線通信により接続してくる移動体0107に対してシステム内部にあってサービス提供を行うアプリケーションサーバ0102(情報処理装置)と、移動体0107の移動経路や当該移動経路上の所定地点の通過時刻に関する予見情報を提供する予見情報提供元0103と、経路上ネットワーク0105を介して通信網0104に接続されており、前記システム100内部の各種サーバ0101、0102らに対して無線通信によりアクセスしてくる移動体0107に対するアクセスポイントとなる無線基地局0106、また無線通信により前記システム100内部の各種サーバ0101、0102らにアクセスし、情報配信等のサービス提供を受ける移動体0107等である。   The main components of the communication system 10 are connected to the communication network 0104 and an authentication server 0101 for issuing pre-authentication of the mobile unit 0107 to be accessed and issuing and distributing identification information, and to the communication network 0104. The application server 0102 (information processing apparatus) that provides services to the mobile body 0107 that is connected by wireless communication is provided inside the system, and the movement path of the mobile body 0107 and a predetermined point on the movement path. A foreseeing information provider 0103 for providing foreseeing information related to the passage time is connected to a communication network 0104 via a network 0105 on the route, and accesses various servers 0101 and 0102 in the system 100 by wireless communication. A wireless base station 0106 serving as an access point for the incoming mobile unit 0107; Accessing the system 100 inside the various servers 0101,0102 et a communication, it is a mobile 0,107 like to receive a service provision of the information distribution or the like.

前記無線基地局0106の主なハードウェア構成は、記憶装置0111、処理装置0112、通信装置0113からなる。記憶装置0111には移動体0107に対応する識別情報、識別情報の有効期間に関する情報、通信に使用する暗号鍵、及びこれらの情報や暗号鍵を管理するためのソフトウェア、通信を行うためのソフトウェアが格納され、処理装置0112により処理がなされる。通信処理装置0113は移動体0107との間でのマルチキャストによる無線通信及び経路上ネットワーク0105を介して、通信網0104に接続している認証サーバ0101やアプリケーションサーバ0103との間でのデータの送受信を行う。なお無線基地局0106は移動体0107の走行経路上に一定の間隔で複数設置されるものである。   The main hardware configuration of the radio base station 0106 includes a storage device 0111, a processing device 0112, and a communication device 0113. The storage device 0111 includes identification information corresponding to the mobile unit 0107, information on the validity period of the identification information, encryption keys used for communication, software for managing these information and encryption keys, and software for communication. Stored and processed by the processing unit 0112. The communication processing device 0113 transmits / receives data to / from the authentication server 0101 and the application server 0103 connected to the communication network 0104 via the wireless communication by multicast with the mobile unit 0107 and the network 0105 on the route. Do. Note that a plurality of wireless base stations 0106 are installed at regular intervals on the travel route of the moving body 0107.

また、前記移動体0107の主なハードウェア構成は、記憶装置0121、処理装置0122、通信装置0123、無線装置0124からなる。記憶装置0121には認証サーバ0101から配布された当該移動体0107に対応する識別情報、識別情報の有効期間に関する情報、通信に使用する暗号鍵、及びこれらの情報や暗号鍵を管理するためのソフトウェア、通信を行うためのソフトウェアが格納され、処理装置0122により処理がなされる。通信処理装置0123は無線装置0124を用いて、通信網0104に接続している認証サーバ0101やアプリケーションサーバ0102との間で通信を行うために、アクセスポイントとなる無線基地局0106との間でマルチキャスト無線通信によるデータの送受信を行う。なおここで行う無線通信は一例として短距離の通信を想定する。   The main hardware configuration of the moving body 0107 includes a storage device 0121, a processing device 0122, a communication device 0123, and a wireless device 0124. The storage device 0121 includes identification information corresponding to the mobile object 0107 distributed from the authentication server 0101, information on the validity period of the identification information, encryption keys used for communication, and software for managing these information and encryption keys , Software for performing communication is stored, and processing is performed by the processing device 0122. The communication processing device 0123 uses the wireless device 0124 to perform multicast communication with the wireless base station 0106 serving as an access point in order to communicate with the authentication server 0101 and the application server 0102 connected to the communication network 0104. Send and receive data via wireless communication. The wireless communication performed here assumes short-distance communication as an example.

なお、前記認証サーバ0101は、無線通信手段を備えた移動体0107からの無線基地局0106を経由したアプリケーションサーバ0102らへの接続を認証するシステム100を構成する、移動体0107の事前認証用のサーバである。   The authentication server 0101 is used for pre-authentication of the mobile unit 0107, which constitutes the system 100 that authenticates the connection from the mobile unit 0107 provided with the wireless communication means to the application server 0102 via the radio base station 0106. It is a server.

この認証サーバ0101は、前記同様に処理装置110および記憶装置111をハードウェア構成として備えると共に、例えば、前記移動体0107の認証要求に応じて当該移動体0107の事前認証処理を行う事前認証部112と、前記移動体0107の事前認証が成立した場合、当該移動体0107の識別情報を1または複数個生成し、当該移動体0107及び無線基地局0106に対して当該移動体0107の識別情報及び識別情報の有効期間に関する情報を配布する識別情報配布部113とをソフトウェア構成として記憶装置111中に備えるものとできる(ハードウェアとして実現してもよい)。   The authentication server 0101 includes the processing device 110 and the storage device 111 as hardware configurations as described above, and, for example, a pre-authentication unit 112 that performs pre-authentication processing of the mobile body 0107 in response to an authentication request of the mobile body 0107. If the mobile body 0107 is pre-authenticated, one or more identification information of the mobile body 0107 is generated, and the mobile body 0107 and the radio base station 0106 are identified and identified with respect to the mobile body 0107. An identification information distribution unit 113 that distributes information related to the validity period of the information can be provided in the storage device 111 as a software configuration (may be realized as hardware).

また、前記予見情報提供元0103は、前記移動体0107からの無線基地局0106を経由したアプリケーションサーバ0102への接続を認証する通信システム10を構成するものである。例えば、前記無線基地局0106と無線通信を行う移動体0107が備えるナビゲーション装置とできる。或いは、移動体0107が列車等の公共交通機関である場合、移動体0107の運行状況を監視する運行管理システムを採用することもできる。   The foreseeing information provider 0103 constitutes the communication system 10 that authenticates the connection from the mobile unit 0107 to the application server 0102 via the radio base station 0106. For example, a navigation device provided in a mobile body 0107 that performs wireless communication with the wireless base station 0106 can be used. Alternatively, when the moving body 0107 is a public transportation such as a train, an operation management system that monitors the operation status of the moving body 0107 can be employed.

この予見情報提供元0103は、前記同様に処理装置130および記憶装置131をハードウェア構成として備えると共に、例えば、GPS(Global Positioning Systems)装置など移動体0107の現在位置情報を検知する現在位置情報取得部132と、前記移動体0107の出発地および目的地の指定を入力インターフェイス133より受け付けて、これを前記現在位置情報と前記経路情報とにあてはめ、当該出発地と目的地との間をなす移動経路を検索するとともに、当該移動経路上の所定地点の通過時刻を算定する、経路検索部134と、前記移動経路と通過時刻との情報を含む予見情報を、前記認証サーバ0101または前記無線基地局0106の少なくともいずれかに通知する予見情報通知部135とをソフトウェア構成として記憶装置131中に備えるものとできる(ハードウェアとして実現してもよい)。また、鉄道線路または道路などの経路情報を記憶した経路情報格納部136を、前記記憶装置131が備えるものとする。   The foreseeing information provider 0103 includes the processing device 130 and the storage device 131 as hardware configurations in the same manner as described above, and obtains current position information for detecting the current position information of the moving body 0107 such as a GPS (Global Positioning Systems) device. The part 132 and the designation of the starting point and destination of the moving body 0107 are received from the input interface 133, and this is applied to the current position information and the route information, and the movement between the starting point and the destination is performed. A route search unit 134 that searches for a route and calculates a passing time of a predetermined point on the moving route, and foreseeing information including information on the moving route and the passing time are used as the authentication server 0101 or the wireless base station. A foreseeing information notification unit 135 that notifies at least one of 0106 as a software configuration It shall include in 31 (may be implemented as hardware). In addition, the storage device 131 includes a route information storage unit 136 that stores route information such as railroad tracks or roads.

図2は、本実施形態における分散認証方法の概要を示す図である。ここにおける主な構成要素として図1の通信網0104に接続している認証サーバ0101、移動体0107、移動体0107の経路上に複数設置されるアクセスポイントとなる無線基地局0106がある。   FIG. 2 is a diagram showing an overview of the distributed authentication method in the present embodiment. As main components, there are an authentication server 0101 connected to the communication network 0104 in FIG. 1, a mobile unit 0107, and a radio base station 0106 serving as an access point installed on the path of the mobile unit 0107.

移動体0107は通信を開始する前の停止中等に事前に認証サーバ0101に事前認証要求を送信して(0201)、認証サーバ0101による事前認証を受ける(0202)。ここでの事前認証は電子署名等を用いた一般的な認証処理となる。移動体0107の事前認証が成功した場合、認証サーバ0101は、当該移動体0107に対応する識別情報を発行し、移動体0107の移動経路や当該移動経路上の所定地点の通過時刻等に関する予見情報に基づき、移動体0107の移動経路上にあり、これから移動体0107からの通信を受け付けることになるアクセスポイントたる各無線基地局0106及び移動体0107に対して識別情報を事前に配布する(0203)。なお、前記予見情報は、前記予見情報提供元0103等から認証サーバ0101が取得するものとする。   The mobile unit 0107 transmits a pre-authentication request to the authentication server 0101 in advance, such as during a stop before starting communication (0201), and receives pre-authentication by the authentication server 0101 (0202). The pre-authentication here is a general authentication process using an electronic signature or the like. When the pre-authentication of the moving body 0107 is successful, the authentication server 0101 issues identification information corresponding to the moving body 0107, and foreseeing information regarding the moving path of the moving body 0107, the passing time of a predetermined point on the moving path, and the like. Based on the above, identification information is distributed in advance to each of the radio base stations 0106 and the mobile unit 0107 that are on the moving path of the mobile unit 0107 and will receive communication from the mobile unit 0107 (0203). . The foreseeing information is acquired by the authentication server 0101 from the foreseeing information provider 0103 or the like.

移動体0107が走行中に、システム100内部のアプリケーションサーバ0102等と通信を行うためにメッセージを送信すると(0204)、当該メッセージを受信したアクセスポイントたる無線基地局0106では、移動体0107からのメッセージに含まれる識別情報を抽出して、ステップ0203において認証サーバ0101より配布された識別情報と照合する(0205)。   When the mobile unit 0107 is traveling and transmits a message to communicate with the application server 0102 and the like inside the system 100 (0204), the radio base station 0106, which is the access point that received the message, sends a message from the mobile unit 0107. The identification information contained in is extracted and collated with the identification information distributed from the authentication server 0101 in step 0203 (0205).

ここで識別情報が合致しなければ、移動体0107からのメッセージは直ちに破棄する。また識別情報が合致した場合は、メッセージをシステム100内部へと転送する。なお同一の識別情報を使用し続けることでセキュリティレベルが低下することを防止するために、各無線基地局0106において識別情報の利用が可能である期間として、識別情報の有効期間を設ける(0206)。   Here, if the identification information does not match, the message from the moving body 0107 is immediately discarded. If the identification information matches, the message is transferred into the system 100. In order to prevent the security level from being lowered by continuing to use the same identification information, an identification information validity period is provided as a period during which the identification information can be used in each radio base station 0106 (0206). .

図3は、本発明における、複数の情報処理装置が通信網0104を介して接続しているシステム100に対してマルチキャストによる無線通信によりアクセスポイントを介して接続する移動体0107側のモジュール構成を示す図である。移動体0107のモジュール構成は、各種コンテンツの要求と受信等を行うアプリケーション0301と、通信媒体0303を介してシステム100内部のサーバ0101、0102らとの通信やアクセスポイント通過のためのデータ作成等を行うミドルウェア0302とから成る。   FIG. 3 shows a module configuration on the mobile unit 0107 side connected via an access point to the system 100 to which a plurality of information processing apparatuses are connected via the communication network 0104 by multicast wireless communication in the present invention. FIG. The module configuration of the mobile unit 0107 communicates with the application 0301 for requesting and receiving various contents and the servers 0101 and 0102 in the system 100 via the communication medium 0303, and creating data for passing through the access point. Middleware 0302 to be executed.

前記ミドルウェア0302の主な構成要素としては、アプリケーション0301からのデータをシステム100へのアクセスポイントとなる無線基地局0106に対して送信するためのデータを前記識別情報を送信データに付加することで作成する通信データ作成部0311、認証サーバ0101から配布された識別情報及び当該識別情報の有効期間に関する情報を管理する識別情報管理部0312、通信媒体0303を介してシステム100へのアクセスポイントとなる無線基地局0106との間での通信を行うデータ通信部0313、通信データの暗号化、復号化を行う暗号・復号化部0314、認証サーバ0101から配布された識別情報を格納する識別情報格納バッファ0315、通信に用いる暗号鍵を格納する暗号鍵格納バッファ0316がある。   The main component of the middleware 0302 is created by adding data for transmitting data from the application 0301 to the radio base station 0106 serving as an access point to the system 100 by adding the identification information to the transmission data. Communication data creation unit 0311, identification information distributed from the authentication server 0101 and identification information management unit 0312 that manages information related to the validity period of the identification information, and a wireless base that serves as an access point to the system 100 via the communication medium 0303 A data communication unit 0313 that performs communication with the station 0106, an encryption / decryption unit 0314 that performs encryption and decryption of communication data, an identification information storage buffer 0315 that stores identification information distributed from the authentication server 0101, Encryption key storage buffer for storing encryption keys used for communication 316 there is.

前記通信データ作成部0311においては、アプリケーション0301からのデータに識別情報管理部0312から取得した移動体0107に対応する識別情報を付加してから、データ通信部0313にデータを渡す処理がなされる。なお、識別情報管理部0312では、認証サーバ0101から配布され、識別情報格納バッファ0315に格納している、移動体0107に対応する複数個の識別情報の中から、移動経路中の移動体0107の位置または時刻等の条件に基づいて1つの識別情報を選択する処理を行う。ここでは同一の識別情報のみを継続的に使用し続けないようにするためである。   In the communication data creation unit 0311, the identification information corresponding to the mobile object 0107 acquired from the identification information management unit 0312 is added to the data from the application 0301, and then the data is transferred to the data communication unit 0313. In the identification information management unit 0312, a plurality of pieces of identification information corresponding to the mobile object 0107 distributed from the authentication server 0101 and stored in the identification information storage buffer 0315 are used to identify the mobile object 0107 in the movement route. A process of selecting one piece of identification information based on conditions such as position or time is performed. In this case, only the same identification information is not continuously used.

図4は、本発明における、複数の情報処理装置が通信網0104を介して接続しているシステム100側のアクセスポイントとなる、移動体0107とのマルチキャストによる無線通信を行う無線基地局0106側のモジュール構成を示す図である。無線基地局0106には、通信媒体0402を介して、移動体0107からの通信データを受信し、識別情報の照合によりデータの転送を可とした場合、通信網0104に接続している各種サーバ0101、0102らへ通信データの転送を行い、各種サーバ0101、0102らから移動体0107への通信データを中継する処理を行うミドルウェア0401が導入される。   FIG. 4 shows a wireless base station 0106 side that performs wireless communication by multicast with a mobile unit 0107, which is an access point on the system 100 side where a plurality of information processing apparatuses are connected via a communication network 0104 in the present invention. It is a figure which shows a module structure. When the wireless base station 0106 receives communication data from the mobile unit 0107 via the communication medium 0402 and enables transfer of data by collating the identification information, the various servers 0101 connected to the communication network 0104 , 0102 and the like, and middleware 0401 for performing processing to relay the communication data from the various servers 0101 and 0102 to the mobile unit 0107 is introduced.

前記ミドルウェア0401の主な構成要素は、通信媒体0402を介して移動体0107または通信網0104に接続している各種サーバ0101、0102らとの通信を行って前記識別情報が付加された送信データ等の送受信を行うデータ通信部0411、通信データの暗号化、復号化を行う暗号・復号化部0412、識別情報の照合により移動体0107からの受信データの転送可否の判定を行うデータ判定部0413、認証サーバ0101から配布された識別情報及び当該識別情報の有効期間に関する情報を管理する識別情報管理部0414、システム100内部の各種サーバ0101、0102宛ての通信データまたは移動体0107宛の通信データを作成する通信データ作成部0415、認証サーバ0101から配布された識別情報を格納する識別情報格納バッファ0416、通信に用いる暗号鍵を格納する暗号鍵格納バッファ0417がある。   The main components of the middleware 0401 are transmission data to which the identification information is added by communicating with various servers 0101 and 0102 connected to the mobile unit 0107 or the communication network 0104 via the communication medium 0402. A data communication unit 0411 that performs transmission / reception of data, an encryption / decryption unit 0412 that performs encryption / decryption of communication data, a data determination unit 0413 that determines whether transfer of received data from the mobile unit 0107 is possible by collating identification information, Creates identification information management unit 0414 for managing the identification information distributed from the authentication server 0101 and the validity period of the identification information, communication data addressed to various servers 0101 and 0102 in the system 100, or communication data addressed to the mobile unit 0107 ID information distributed from the communication data creation unit 0415 and the authentication server 0101 Storing identification information storage buffer 0416, there is a key storage buffer 0417 for storing an encryption key used for communication.

前記データ判定部0413においては、移動体0107からの受信データより識別情報を抽出し、合致する識別情報を保持しているかを識別情報管理部0414に問い合わせる処理を行う。ここで合致する識別情報が無い場合、直ちに該当受信データを破棄する。一方ここで、合致する識別情報を保持している場合は、転送可能として受信データを通信データ作成部0415に渡すこととなる。   In the data determination unit 0413, identification information is extracted from the received data from the moving body 0107, and processing for inquiring to the identification information management unit 0414 whether matching identification information is held is performed. If there is no matching identification information, the received data is immediately discarded. On the other hand, if the matching identification information is held, the received data is transferred to the communication data creation unit 0415 as transferable.

前記通信データ作成部0415においては、データ判定部0413から受けた、識別情報の合致した受信データより、移動体0107にて送信時に付加された識別情報、タイムスタンプ、通番を除去し、システム100内部の各種サーバ0101、0102らに転送するためのヘッダ情報を付加する。そして、ここまで処理した受信データをデータ通信部0411に渡して、システム100内部の各種サーバ0101、0102に転送する。   The communication data creation unit 0415 removes the identification information, time stamp, and serial number added at the time of transmission by the mobile unit 0107 from the received data matching the identification information received from the data determination unit 0413, Header information for transfer to the various servers 0101 and 0102. Then, the received data processed so far is transferred to the data communication unit 0411 and transferred to various servers 0101 and 0102 in the system 100.

また、通信データ作成部0415において、システム100内部の各種サーバ0101、0102らから移動体0107への送信データに対して、通信網0104内の通信用のヘッダ情報を除去する一方で、移動体0107への無線通信用のヘッダ情報を付加し、データ作成部0411に渡す。このデータ作成部0411では、暗号・復号化部0412にて暗号化したデータを、通信媒体0402を介して移動体0107に対して送信する。   The communication data creation unit 0415 removes the header information for communication in the communication network 0104 from the transmission data from the various servers 0101 and 0102 in the system 100 to the mobile unit 0107, while the mobile unit 0107. Is added to the data creation unit 0411. The data creation unit 0411 transmits the data encrypted by the encryption / decryption unit 0412 to the mobile unit 0107 via the communication medium 0402.

図5は、本発明における、移動体0107における無線によるマルチキャストデータ通信の送信データを作成する処理の流れを示すフローチャートである。   FIG. 5 is a flowchart showing the flow of processing for creating transmission data for wireless multicast data communication in the mobile unit 0107 in the present invention.

ステップ0501において、認証サーバ0101より配布された当該移動体0107に対応する複数個の識別情報の中から、今回の通信に用いる識別情報を所定の条件に基づいて選択する。ここで識別情報を選択するための前記所定条件は、当該移動体0107にて設定するものであり、例えば移動体0107の移動中の時刻または移動体0107の現在位置等に基づくなどして決定し、同一の識別情報が繰り返し使用されないようにする。   In step 0501, the identification information used for the current communication is selected from a plurality of identification information corresponding to the mobile object 0107 distributed from the authentication server 0101 based on a predetermined condition. Here, the predetermined condition for selecting the identification information is set by the moving body 0107, and is determined based on, for example, the time during which the moving body 0107 is moving or the current position of the moving body 0107. The same identification information is not used repeatedly.

また、ステップ0502において、現在時刻をタイムスタンプとして取得する。続いてステップ0503において、通番を生成する。更にステップ0504において、前記の識別情報、タイムスタンプとともに当該移動体0107にて送信データ毎に発行する通番をあわせて暗号化する。また、ステップ0505において、ステップ0504にて識別情報、タイムスタンプ、通番のデータを合わせて暗号化したデータを送信データに付加する。そしてステップ0506において、データを無線基地局0106に宛てて送信する。   In step 0502, the current time is acquired as a time stamp. Subsequently, in step 0503, a serial number is generated. Further, in step 0504, the serial number issued for each transmission data in the mobile body 0107 is encrypted together with the identification information and the time stamp. In step 0505, the data encrypted in step 0504 by combining the identification information, time stamp, and serial number data is added to the transmission data. In step 0506, the data is transmitted to the radio base station 0106.

図6は、本発明における、データ受信側の無線基地局0106における、受信データの転送可否の判定を行う処理の流れを示すフローチャートである。まず、ステップ0600において、移動体0107からの送信データを受信する。そして、ステップ0601において、当該無線基地局0106において該当する移動体0107が生成した通番を保持しているか否かの判定を行う。移動体0107が生成した通番を保持していなかった場合、ステップ0602において、認証サーバ0101より送付された移動体0107の通過時刻に関する予見情報を参照する。   FIG. 6 is a flowchart showing a flow of processing for determining whether or not transfer of received data is possible in the radio base station 0106 on the data receiving side in the present invention. First, in step 0600, transmission data from mobile unit 0107 is received. In step 0601, it is determined whether the wireless base station 0106 holds the serial number generated by the corresponding mobile unit 0107. When the serial number generated by the mobile unit 0107 is not held, in step 0602, foreseeing information regarding the passing time of the mobile unit 0107 sent from the authentication server 0101 is referred to.

続いてステップ0603において、ステップ0602の結果、移動体0107がまだ当該無線基地局0106には接近していないと判定した場合(0603:No)、ステップ0615において、データを破棄して処理を終了する。一方、ステップ0603において、ステップ0602の結果、移動体0107が当該無線基地局0106に接近していると判定した場合(0603:Yes)、ステップ0604において、移動体0107の経路及び通過時刻に関する予見情報に基づき、先に当該移動体0107との通信を行っている隣接する無線基地局に問い合わせて通番を取得する。   Subsequently, in Step 0603, when it is determined as a result of Step 0602 that the mobile unit 0107 has not yet approached the wireless base station 0106 (No: 0603), in Step 0615, the data is discarded and the process is terminated. . On the other hand, if it is determined in step 0603 that the mobile unit 0107 is approaching the radio base station 0106 as a result of step 0602 (0603: Yes), in step 0604, foreseeing information regarding the route and the passage time of the mobile unit 0107 Based on the above, an inquiry is made to an adjacent radio base station that is communicating with the mobile unit 0107 first to obtain a serial number.

また、ステップ0605において、移動体0107より受信したデータのうち、識別情報、タイムスタンプ、通番を合わせて暗号化した部分を復号化する。また、ステップ0606において前記取得した通番と受信データから復号化した通番との照合処理を行って、ステップ0607にて、通番の連続性を判定する。つまり、前記復号化した通番が、前記取得した通番以下の数値であれば、受信データの連続性が無い不適切なデータであるとして(0607:No)、処理をステップ0614に進めて該当受信データを破棄し、処理を終了する。一方、前記ステップ0607にて連続性があると判定したならば(0607:Yes)、ステップ0608において、ステップ0605にて復号化したデータよりタイムスタンプを抽出し、現在時刻と比較する。   In step 0605, the encrypted portion of the data received from the mobile unit 0107 is decrypted by combining the identification information, time stamp, and serial number. In step 0606, the acquired serial number is compared with the serial number decrypted from the received data. In step 0607, the serial number continuity is determined. That is, if the decrypted serial number is a numerical value equal to or less than the acquired serial number, it is determined that the received data is inappropriate data having no continuity of received data (0607: No), and the process proceeds to step 0614 to execute the corresponding received data. Is discarded, and the process ends. On the other hand, if it is determined in step 0607 that there is continuity (0607: Yes), in step 0608, a time stamp is extracted from the data decoded in step 0605 and compared with the current time.

また、ステップ0609において、ステップ0608の結果、タイムスタンプと現在時刻との差が設定された許容範囲外である場合(0606:No)、ステップ0614において受信データを破棄して処理を終了する。一方、ステップ0609において、ステップ0608の結果、タイムスタンプと現在時刻との差が設定された許容範囲内である場合(0609:Yes)、ステップ0610において、ステップ0605にて復号化したデータより識別情報を抽出し、無線基地局0106にて保有する当該移動体0107に対応する複数個の識別情報の中で合致するものがないか照合する。   In step 0609, if the result of step 0608 indicates that the difference between the time stamp and the current time is outside the set allowable range (0606: No), the received data is discarded in step 0614 and the process is terminated. On the other hand, if it is determined in step 0609 that the difference between the time stamp and the current time is within the set allowable range as a result of step 0608 (0609: Yes), identification information is obtained from the data decoded in step 0605 in step 0610. Are extracted and collated for a match among a plurality of identification information corresponding to the mobile object 0107 held by the radio base station 0106.

更に、ステップ0611において、ステップ0610の結果、合致する識別情報が無かった場合(0611:No)、ステップ0614において受信データを破棄して処理を終了する。一方、ステップ0611において、ステップ0610の結果、合致する識別情報がある場合(0611:Yes)、ステップ0612において、タイムスタンプは無線基地局0106における当該識別情報の有効期間内であるか否かの判定を行う。   Further, in step 0611, if there is no matching identification information as a result of step 0610 (0611: No), the received data is discarded in step 0614 and the processing is terminated. On the other hand, if there is matching identification information as a result of step 0610 in step 0611 (0611: Yes), it is determined in step 0612 whether the time stamp is within the validity period of the identification information in the radio base station 0106. I do.

ここで、タイムスタンプが識別情報の有効期間の範囲外であった場合(0612:No)、ステップ0614において受信データを破棄して処理を終了する。一方、ステップ0612においてタイムスタンプが識別情報の有効期間の範囲内であった場合(0612:Yes)、ステップ0613において、前記受信データを通信網0104へと転送して処理を終了する。   If the time stamp is outside the valid range of the identification information (0612: No), the received data is discarded in step 0614 and the process is terminated. On the other hand, if the time stamp is within the valid period of the identification information at step 0612 (0612: Yes), the received data is transferred to the communication network 0104 at step 0613 and the process is terminated.

なお前記通番は、移動体0107においてのみ生成される。無線基地局0106では、この通番を移動体0107からの受信データより抽出するか、移動体0107の経路や通過時刻に関する予見情報に基づき、隣接する無線基地局から取得するかして保持する。   The serial number is generated only in the moving body 0107. In the radio base station 0106, this serial number is extracted from the received data from the mobile unit 0107, or acquired from an adjacent radio base station based on the foreseeing information regarding the route and the passage time of the mobile unit 0107, and held.

図7は、本発明における、認証サーバ0101において作成する、移動体0107に発行する識別情報に関する有効期間管理テーブル0700を示す図である。このテーブル0700の主な構成要素としては、移動体0107の移動経路上にあり当該移動体0107と通信を行うことになる無線基地局名を挙げるアクセスポイント0701、移動体0107の移動経路や当該移動経路上の所定地点の通過時刻に関する予見情報に基づき、認証サーバ0101から各無線基地局0106に対して、当該移動体0107に対応する識別情報を配布する時刻である配布時刻0702、各無線基地局0106において当該移動体0107に対応する識別情報の利用を開始する時刻である識別情報利用開始時刻0703、各無線基地局0106において当該移動体0107に対応する識別情報の利用を終了する時刻である識別情報利用開始時刻0704、各無線基地局0106に対して認証サーバ0101より当該移動体0107の識別情報が配布済みであるか未配布であるかの状態である状態0705の各情報が含まれる。   FIG. 7 is a diagram showing an effective period management table 0700 related to identification information issued to the mobile unit 0107, which is created in the authentication server 0101 according to the present invention. The main components of this table 0700 are an access point 0701 that lists the names of radio base stations that are on the moving path of the moving body 0107 and communicate with the moving body 0107, the moving path of the moving body 0107, and the moving Distribution time 0702, which is the time at which the identification information corresponding to the mobile unit 0107 is distributed from the authentication server 0101 to each wireless base station 0106 based on foreseeing information regarding the passage time of a predetermined point on the route, each wireless base station In 0106, identification information use start time 0703, which is the time at which use of the identification information corresponding to the mobile unit 0107 is started, and identification, which is the time at which each radio base station 0106 ends use of the identification information corresponding to the mobile unit 0107. Information use start time 0704, each wireless base station 0106 is assigned by the authentication server 0101 Identification information of the movable body 0107 includes the status information 0705 is one of the states not yet distributed or is already distributed.

なおこのテーブル0700は、認証サーバ0101において移動体0107毎に作成、管理される。また移動体0107の移動経路に変更が生じた場合は、変更後の経路や前記通過時刻に関する予見情報に基づき、テーブル0700の各値は更新されるものとする。   This table 0700 is created and managed for each moving object 0107 in the authentication server 0101. Further, when a change occurs in the moving route of the moving body 0107, each value in the table 0700 is updated based on the changed route and the foreseeing information regarding the passage time.

図8は、本発明における、認証サーバ0101において、移動体0107の事前認証及び識別情報の発行の処理の流れを示すフローチャートである。   FIG. 8 is a flowchart showing the flow of processing for pre-authentication of mobile unit 0107 and issuance of identification information in authentication server 0101 according to the present invention.

ステップ0801において、移動体0107からの事前認証要求を受信する。続くステップ0802において、この移動体0107の事前認証を行う。この事前認証は、移動体0107からの送信データについて無線基地局0106が前記アプリケーションサーバ0102等への転送可否を判断する認証処理とは異なり、この転送可否判断に先立って行われる処理となる。また、認証手法としては、事前に送付してあるID、パスワードの照合処理、あるいは各種電子証明書等を用いた処理など、従来存在する認証手法が種々想定できる。   In step 0801, a pre-authentication request from the mobile unit 0107 is received. In subsequent step 0802, the mobile body 0107 is pre-authenticated. Unlike the authentication process in which the wireless base station 0106 determines whether or not the transmission data from the mobile unit 0107 can be transferred to the application server 0102 or the like, this pre-authentication is a process that is performed prior to the transfer permission determination. In addition, as an authentication method, various authentication methods that exist in the past can be assumed, such as an ID and password verification process sent in advance, or a process using various electronic certificates.

ステップ0803において、ステップ0802の結果、当該移動体0107の事前認証が不成立であった場合(0803:No)、処理を終了する。一方、ステップ0803において、0802の結果、移動体0107の事前認証が成立した場合(0803:Yes)、続くステップ0804において、移動体0107の移動経路と通過時刻に関する予見情報を取得する。   In step 0803, if the result of step 0802 indicates that the pre-authentication of the mobile object 0107 has not been established (0803: No), the processing is terminated. On the other hand, if the pre-authentication of the moving body 0107 is established as a result of 0802 in Step 0803 (0803: Yes), foreseeing information regarding the moving route and the passage time of the moving body 0107 is acquired in the subsequent Step 0804.

この予見情報の取得は、前記認証サーバ0101が前記予見情報提供元0103より行う。前記予見情報提供元0103は、前記無線基地局0106と無線通信を行う移動体0107が備えるナビゲーション装置とできる。或いは、移動体0107が列車等の公共交通機関である場合、移動体0107の運行状況を監視する運行管理システムを採用することもできる。   The foreseeing information is acquired by the authentication server 0101 from the foreseeing information providing source 0103. The foreseeing information provider 0103 can be a navigation device provided in a mobile unit 0107 that performs radio communication with the radio base station 0106. Alternatively, when the moving body 0107 is a public transportation such as a train, an operation management system that monitors the operation status of the moving body 0107 can be employed.

この予見情報提供元0103は、図1で示したように処理装置130および記憶装置131をハードウェア構成として備えると共に、例えば、GPS(Global Positioning Systems)装置など移動体0107の現在位置情報を検知する現在位置情報取得部132と、前記移動体0107の出発地および目的地の指定を入力インターフェイス133より受け付けて、これを前記現在位置情報と前記経路情報とにあてはめ、当該出発地と目的地との間をなす移動経路を検索するとともに、当該移動経路上の所定地点の通過時刻を算定する、経路検索部134と、前記移動経路と通過時刻との情報を含む予見情報を、前記認証サーバ0101または前記無線基地局0106の少なくともいずれかに通知する予見情報通知部135とをソフトウェア構成として記憶装置131中に備えるものとできる(ハードウェアとして実現してもよい)。また、鉄道線路または道路などの経路情報を記憶した経路情報格納部136を、前記記憶装置131が備えるものとする。   The foreseeing information provider 0103 includes the processing device 130 and the storage device 131 as hardware configurations as shown in FIG. 1, and detects current position information of the moving body 0107 such as a GPS (Global Positioning Systems) device. The current location information acquisition unit 132 and the designation of the departure point and destination of the moving body 0107 are received from the input interface 133, and this is applied to the current location information and the route information. A route search unit 134 that searches for a moving route between them and calculates a passing time of a predetermined point on the moving route, and foreseeing information including information on the moving route and the passing time, the authentication server 0101 or The foreseeing information notification unit 135 that notifies at least one of the radio base stations 0106 has a software configuration. It shall include in 憶 device 131 (may be implemented as hardware). In addition, the storage device 131 includes a route information storage unit 136 that stores route information such as railroad tracks or roads.

続いて、ステップ0805において、移動体0107に対応して発行する識別情報の発行数或いは種類を決定する。この決定処理は、例えば、前記移動体0107から受け付けた事前認証要求に含まれる、アプリケーションサーバ0102での提供希望サービスの属性、あるいは移動体0107の機能や所有者の属性に応じて、識別情報の発行数や発行種類を決定するものとできる。   Subsequently, in step 0805, the number or type of identification information to be issued corresponding to the mobile object 0107 is determined. This determination processing is performed by, for example, identifying information according to the attribute of the service desired to be provided by the application server 0102 or the function of the mobile unit 0107 or the attribute of the owner included in the pre-authentication request received from the mobile unit 0107. The number of issues and the type of issue can be determined.

次にステップ0806において、ステップ0804にて取得した予見情報に基づき、移動体0107に対応する識別情報を配布する無線基地局0106を選定する。ステップ0807において、ステップ0806にて選定した無線基地局0106に関して、移動体0107に対応する識別情報の有効期間管理テーブル700(図7参照)を作成する。そして、ステップ0808において、ステップ0807にて作成した識別情報有効期間管理テーブル700に基づき、各無線基地局0106への識別情報の配布を行い、処理を終了する。   Next, in step 0806, the radio base station 0106 that distributes the identification information corresponding to the mobile unit 0107 is selected based on the prediction information acquired in step 0804. In step 0807, for the radio base station 0106 selected in step 0806, an identification information effective period management table 700 (see FIG. 7) corresponding to the mobile unit 0107 is created. In step 0808, based on the identification information validity period management table 700 created in step 0807, the identification information is distributed to each radio base station 0106, and the process ends.

図9は、本発明における、走行中の移動体0107の経路が変更される場合の認証サーバ0101における、移動体0107の識別情報の有効期間を変更する処理の流れを示すフローチャートである。   FIG. 9 is a flowchart showing a flow of processing for changing the validity period of the identification information of the moving body 0107 in the authentication server 0101 when the route of the moving moving body 0107 is changed in the present invention.

ステップ0901において、移動体0107の経路が当初の予見情報に基づく経路から変更されていることを検出する。この検出処理は、例えば前記予見情報が定期的あるいは経路変更があった際に前記予見情報提供元0103より認証サーバ0101に提供されるとし、新たに取得した予見情報と以前の予見情報とを照合することで経路変化を検出する。 次にステップ0902において、ステップ0901で検出した移動体0107の新たな経路に基づいて、移動体0107との通信に使用する無線基地局0106を再度選定する。更にステップ0903において、移動体0107に対応する識別情報有効期間管理テーブル700中の各行の無線基地局0106の情報を順に参照する。   In step 0901, it is detected that the route of the moving body 0107 has been changed from the route based on the initial prediction information. In this detection process, for example, the foreseeing information is provided to the authentication server 0101 from the foreseeing information provider 0103 periodically or when the route is changed, and the newly obtained foreseeing information is compared with the previous foreseeing information. To detect a path change. Next, in Step 0902, the radio base station 0106 used for communication with the mobile unit 0107 is selected again based on the new route of the mobile unit 0107 detected in Step 0901. Further, in step 0903, the information of the radio base station 0106 in each row in the identification information validity period management table 700 corresponding to the mobile body 0107 is referred to in order.

ステップ0904において、ステップ0903の結果、識別情報有効期間管理テーブル700中の各行の無線基地局0106の情報のみを変更する必要がある場合、ステップ0905において、識別情報有効期間管理テーブル700の中の各行の"状態"の項を参照する。そして、この状態が"配布済"である場合のみ、ステップ0906において、識別情報有効期間管理テーブル700の各行に対応する無線基地局0106に対して、更新後の有効期間に関する情報を送信する。また、ステップ0907において、識別情報有効期間管理テーブル700中の各行の無線基地局0106に関して有効期間等の該当箇所の修正を行う。   In step 0904, if it is necessary to change only the information of the radio base station 0106 in each row in the identification information validity period management table 700 as a result of step 0903, in step 0905, each row in the identification information validity period management table 700 is changed. Refer to the "Status" section. Only when this state is “distributed”, in step 0906, information about the updated effective period is transmitted to the radio base station 0106 corresponding to each row of the identification information effective period management table 700. In step 0907, the relevant part such as the validity period is corrected for the radio base station 0106 in each row in the identification information validity period management table 700.

ステップ0908において、移動体0107の経路変更に伴う無線基地局0106に関する全ての変更を識別情報有効期間管理テーブル700に反映することを終了した場合(0908:Yes)、処理を終了する。一方、識別情報有効期間管理テーブル700への反映が全て終了していない場合(0908:No)、ステップ0903の処理に戻る。 ステップ0904において、ステップ0903の結果、識別情報有効期間管理テーブル700中の各行の無線基地局0106の情報のみの変更が必要でない場合(0904:No)で、ステップ0909において、識別情報有効期間管理テーブル700の各行に該当する無線基地局0106を削除する必要がある場合(0909:Yes)、ステップ0910において、識別情報有効期間管理テーブル700の中の各行の"状態"の項を参照する。   In step 0908, when all the changes related to the radio base station 0106 due to the route change of the mobile unit 0107 have been reflected in the identification information validity period management table 700 (0908: Yes), the process ends. On the other hand, if the reflection to the identification information validity period management table 700 has not been completely completed (0908: No), the processing returns to step 0903. In step 0904, if it is not necessary to change only the information of the radio base station 0106 of each row in the identification information validity period management table 700 as a result of step 0903 (0904: No), the identification information validity period management table in step 0909 When it is necessary to delete the radio base station 0106 corresponding to each row of 700 (0909: Yes), in step 0910, the “state” section of each row in the identification information validity period management table 700 is referred to.

ここで、状態が"配布済"である場合のみ(0910:配布済)、ステップ0911において、識別情報有効期間管理テーブル700の各行に対応する無線基地局0106に対して、識別情報の削除要求を送信する。そしてステップ0912において、識別情報有効期間管理テーブル700の各行から該当する無線基地局0106に関する情報を削除する。続いて、上記同様に、ステップ0908において、移動体0107の経路変更に伴う無線基地局0106に関する全ての変更を識別情報有効期間管理テーブル700に反映することを終了した場合、処理を終了する。識別情報有効期間管理テーブル700への反映が全て終了していない場合、ステップ0903の処理に戻る。   Here, only when the status is “distributed” (0910: distributed), in step 0911, an identification information deletion request is sent to the radio base station 0106 corresponding to each row of the identification information validity period management table 700. Send. In step 0912, information regarding the corresponding radio base station 0106 is deleted from each row of the identification information validity period management table 700. Subsequently, in the same way as described above, in step 0908, when it is finished reflecting all the changes related to the radio base station 0106 in the route change of the mobile unit 0107 in the identification information validity period management table 700, the process is ended. If all the reflections to the identification information validity period management table 700 are not completed, the process returns to step 0903.

ステップ0909において、識別情報有効期間管理テーブル700の各行に該当する無線基地局0106を削除する必要が無い場合(0909:No)、ステップ0913において、新たな無線基地局0106の情報を新規に追加する必要があるか否かを判定する。ここで無線基地局0106の情報を新規に追加する場合(0913:Yes)、ステップ0914において、識別情報有効期間管理テーブル700に該当する無線基地局0106の情報を新規に追加する。また、ステップ0915において、新規追加した無線基地局0106に対して、移動体0107に対応する識別情報と当該識別情報の有効期間情報を送信する。続いて、上記同様に、ステップ0908において、移動体0107の経路変更に伴う無線基地局0106に関する全ての変更を識別情報有効期間管理テーブル700に反映することを終了した場合、処理を終了する。識別情報有効期間管理テーブル700への反映が全て終了していない場合、ステップ0903の処理に戻る。   If it is not necessary to delete the radio base station 0106 corresponding to each row of the identification information validity period management table 700 in step 0909 (0909: No), information on a new radio base station 0106 is newly added in step 0913. Determine whether it is necessary. Here, when information on the radio base station 0106 is newly added (0913: Yes), information on the radio base station 0106 corresponding to the identification information validity period management table 700 is newly added in Step 0914. In step 0915, the identification information corresponding to the mobile unit 0107 and the validity period information of the identification information are transmitted to the newly added radio base station 0106. Subsequently, in the same way as described above, in step 0908, when it is finished reflecting all the changes related to the radio base station 0106 in the route change of the mobile unit 0107 in the identification information validity period management table 700, the process is ended. If all the reflections to the identification information validity period management table 700 are not completed, the process returns to step 0903.

図10は、本発明における、無線基地局0106において作成する、認証サーバ0101から配布された移動体0107に対応する識別情報を管理する識別情報管理テーブル1000を示す図である。この識別情報管理テーブル1000の主な構成要素としては、認証サーバ0101より配布された移動体0107に対応する識別情報を格納する識別情報1001、識別情報1001を対応する移動体0107毎に分類するための移動体番号1002、各無線基地局0106において当該移動体0107に対応する識別情報の利用を開始する時刻である識別情報利用開始時刻1003、各無線基地局0106において当該移動体0107に対応する識別情報の利用を終了する時刻である識別情報利用終了時刻1004、識別情報1001を用いての移動体0107との通信が終了しているか否かの状態を表す状態1005がある。   FIG. 10 is a diagram showing an identification information management table 1000 for managing identification information corresponding to the mobile unit 0107 distributed from the authentication server 0101, which is created in the radio base station 0106 according to the present invention. The main components of the identification information management table 1000 are identification information 1001 for storing identification information corresponding to the mobile object 0107 distributed from the authentication server 0101, and for classifying the identification information 1001 for each corresponding mobile object 0107. Mobile station number 1002, identification information utilization start time 1003 which is the time at which each wireless base station 0106 starts using identification information corresponding to the mobile object 0107, and identification corresponding to the mobile object 0107 at each wireless base station 0106 There are an identification information utilization end time 1004 that is a time when the use of information is terminated, and a state 1005 that indicates whether communication with the mobile unit 0107 using the identification information 1001 is terminated.

なお本テーブル1000は各無線基地局0106にて作成、管理される。また、認証サーバ0101からの要求、データ配信または移動体0107との通信の状態に応じて更新される。   The table 1000 is created and managed by each radio base station 0106. Further, it is updated according to a request from the authentication server 0101, data distribution, or a communication state with the mobile unit 0107.

無線基地局0106にて移動体0107からのデータを受信した場合、本テーブル1000の識別情報1001の項を順に参照して、受信データに含まれる識別情報と合致する識別情報がないか検索する。ここで合致する識別情報があった場合、受信データに含まれるタイムスタンプと識別情報利用開始時刻1003、識別情報利用終了時刻1004を比較して識別情報は有効期間内であるか判定する。また当該識別情報を用いての移動体0107との通信が終了した場合、本テーブル1000における状態1005を"通信終了"にする。なお定期的に無線基地局0106に導入されているミドルウェアにより本テーブル1000の状態1005の確認が行われ、状態1005が"通信終了"となっている識別情報1001に関して、移動体番号1002の値が同一の識別情報は全て削除する。ここで移動体番号1002は同一の移動体0107に対応する識別情報1001をグループ化するためのものであり、認証サーバ0101から識別情報が配布された際に付加する。   When the wireless base station 0106 receives data from the mobile unit 0107, it refers to the items of the identification information 1001 in this table 1000 in order to search for identification information that matches the identification information included in the received data. If there is matching identification information, the time stamp included in the received data is compared with the identification information utilization start time 1003 and the identification information utilization end time 1004 to determine whether the identification information is within the valid period. When the communication with the moving body 0107 using the identification information is completed, the state 1005 in the table 1000 is set to “communication completed”. It should be noted that the status 1005 of this table 1000 is periodically checked by middleware installed in the radio base station 0106, and the value of the mobile unit number 1002 is related to the identification information 1001 in which the status 1005 is “communication end”. All the same identification information is deleted. Here, the mobile unit number 1002 is used to group identification information 1001 corresponding to the same mobile unit 0107, and is added when the identification information is distributed from the authentication server 0101.

図11は、本発明における、認証サーバ0101より移動体0107に対応する識別情報を配布された無線基地局0106において当該識別情報を削除する場合の処理の流れを示すフローチャートである。   FIG. 11 is a flowchart showing a processing flow when the identification information is deleted in the radio base station 0106 to which the identification information corresponding to the mobile unit 0107 is distributed from the authentication server 0101 in the present invention.

ステップ1101において、無線基地局0106は、例えば自身のクロック機能等を用いて現在の時刻を取得する。そしてステップ1102において、ステップ1101で取得した現在時刻と認証サーバ0101より配布された移動体0107に対応する識別情報の有効期間とを照合して、有効期間がまだ終了していない場合(1102:No)、ステップ1103において、当該識別情報を用いての移動体0107との通信がすでに終了しているか否かを判定する。   In step 1101, the radio base station 0106 acquires the current time using, for example, its own clock function. In step 1102, the current time acquired in step 1101 is compared with the effective period of the identification information corresponding to the mobile unit 0107 distributed from the authentication server 0101. If the effective period has not yet ended (1102: No) In step 1103, it is determined whether or not the communication with the mobile unit 0107 using the identification information has already been completed.

移動体0107との通信がすでに終了していた場合(1103:Yes)、ステップ1104において、当該識別情報を削除して処理を終了する。一方、ステップ1103において、移動体0107との通信がまだ終了していないとされた場合(1103:No)、ステップ1101の処理に戻る。   If the communication with the mobile unit 0107 has already been completed (1103: Yes), in step 1104, the identification information is deleted and the process is terminated. On the other hand, if it is determined in step 1103 that the communication with the moving body 0107 has not been completed yet (1103: No), the processing returns to step 1101.

一方、ステップ1102において、移動体0107に対応する識別情報の有効期間が終了していた場合(1102:Yes)、ステップ1105において、当該識別情報に対応する移動体0107との通信がすでに行われていたか否かを判定する。ここで当該識別情報に対応する移動体0107との通信がすでに行われていた場合(1105:Yes)、ステップ1106において、当該識別情報を削除して処理を終了する。他方、ステップ1105において、当該識別情報に対応する移動体0107との通信がまだ行われていない場合(1105:No)、ステップ1107において、認証サーバ0101に対して問い合わせを行う。ここで認証サーバ0101からの応答により、当該識別情報を削除するか、認証サーバ0101から送付された新しい有効期間の情報に更新するかを判定する。   On the other hand, if the validity period of the identification information corresponding to the mobile object 0107 has expired in step 1102 (1102: Yes), communication with the mobile object 0107 corresponding to the identification information has already been performed in step 1105. It is determined whether or not. If communication with the mobile unit 0107 corresponding to the identification information has already been performed (1105: Yes), the identification information is deleted in step 1106, and the process ends. On the other hand, if communication with the mobile unit 0107 corresponding to the identification information has not been performed in step 1105 (1105: No), an inquiry is made to the authentication server 0101 in step 1107. Here, based on the response from the authentication server 0101, it is determined whether the identification information is to be deleted or updated to information on a new valid period sent from the authentication server 0101.

図12は、本発明における、移動体0107に対応する識別情報を配布された無線基地局0106において当該識別情報の有効期間内に当該移動体0107からの通信が発生しなかった場合の、認証サーバ0101における処理の流れを示すフローチャートである。   FIG. 12 shows an authentication server in the case where communication from the mobile unit 0107 does not occur within the validity period of the identification information in the radio base station 0106 to which the identification information corresponding to the mobile unit 0107 is distributed in the present invention. 10 is a flowchart showing a flow of processing in 0101.

ステップ1201において、移動体0107に対応する識別情報を配布された無線基地局0106において当該識別情報の有効期間内に移動体0107からの通信が発生しなかった場合の、無線基地局0106からの問い合わせを受信する。そしてステップ1202において、移動体0107にその現在位置を問い合わせて取得する。また、ステップ1203において、移動体0107の移動経路と通過時刻に関する予見情報を再度取得する。 ステップ1204において、ステップ1202、ステップ1203で取得した情報と移動体0107に対応する識別情報の前記有効期間管理テーブル700と照合する。   In step 1201, an inquiry from the radio base station 0106 when communication from the mobile unit 0107 does not occur within the validity period of the identification information in the radio base station 0106 to which the identification information corresponding to the mobile unit 0107 is distributed Receive. In step 1202, the mobile unit 0107 is inquired about its current position and obtained. In step 1203, the foreseeing information regarding the moving route and the passage time of the moving body 0107 is acquired again. In step 1204, the information acquired in steps 1202 and 1203 is collated with the effective period management table 700 of the identification information corresponding to the moving body 0107.

続いてステップ1205において、ステップ1204の結果、移動体0107の経路変更や走行の遅延等のために、無線基地局0106における識別情報の利用開始時刻や利用終了時刻を修正する必要がある場合(1205:Yes)、続くステップ1206において、識別情報有効期間管理テーブル700の修正を行い、ステップ1207において、当該無線基地局0106に修正後の識別情報の有効期間に関する情報を送信する。
一方、ステップ1205において、ステップ1204の結果、識別情報有効期間管理テーブル700の情報を修正する必要が無い場合(1205:No)、ステップ1208において、当該無線基地局0106に識別情報の削除要求を送信する。 Subsequently, in step 1205, as a result of step 1204, it is necessary to correct the use start time and use end time of the identification information in the radio base station 0106 due to route change of the mobile body 0107, travel delay, etc. (1205) In step 1206, the identification information validity period management table 700 is modified. In step 1207, information related to the validity period of the identification information after modification is transmitted to the wireless base station 0106.
On the other hand, in step 1205, if it is not necessary to modify the information in the identification information validity period management table 700 as a result of step 1204 (1205: No), a request to delete the identification information is transmitted to the radio base station 0106 in step 1208. To do.

図13は、本発明における分散認証方法を、具体的に走行する電車1307と線路沿いに設置された無線基地局1306の間で無線通信を行う車上−地上間通信システム1300に適用した場合の概要を示す図である。このシステム1300における主な構成要素は、鉄道会社の通信網1304に接続した、電車1307の事前認証及び識別情報の発行、配布を行う認証サーバ1301、乗務員向けの業務情報を管理する業務サーバおよび乗客に提供するコンテンツを管理するコンテンツ配信サーバ1302(例として両サーバは一体とした)、電車1307の運行ダイヤを管理する運行管理サーバ1303、線路上ネットワーク1305を介して通信網1304に接続されており通信網1304に接続しているシステム内部のサーバ1301、1302らに対して無線通信によりアクセスしてくる電車1307に対するアクセスポイントとなる、線路沿いに一定間隔で設置される無線基地局1306、及び走行しながら無線通信を介して、鉄道会社の通信網1304に接続する各種サーバにアクセスする電車1307等がある。   FIG. 13 shows a case where the distributed authentication method according to the present invention is applied to an on-vehicle communication system 1300 that performs wireless communication between a train 1307 that specifically travels and a wireless base station 1306 installed along the track. It is a figure which shows an outline. The main components in this system 1300 are an authentication server 1301 for issuing pre-authentication of train 1307 and issuing and distributing identification information connected to a railway company communication network 1304, a business server for managing business information for passengers, and passengers. Are connected to the communication network 1304 via a content distribution server 1302 for managing the content to be provided to the user (for example, both servers are integrated), an operation management server 1303 for managing the operation schedule of the train 1307, and the network 1305 on the track. A wireless base station 1306 installed at regular intervals along the track, which serves as an access point for the train 1307 accessing the servers 1301 and 1302 in the system connected to the communication network 1304 by wireless communication While using wireless communication, railway company communication network There is a train 1307 and the like to access the various servers to connect to the 304.

前記電車1307には、車上LAN1313が構築されており、無線機1312を介して車上LAN1313と無線基地局1306への無線通信を中継する車上サーバ1311、車上LAN1313に接続する乗客の端末1321、乗務員の端末1322等がある。   On the train 1307, an on-board LAN 1313 is constructed, and an on-board server 1311 that relays wireless communication to the on-board LAN 1313 and the radio base station 1306 via the wireless device 1312, and a passenger terminal connected to the on-board LAN 1313 1321, a crew terminal 1322, and the like.

認証サーバ1301は、前記運行管理サーバ1303から提供される電車1307の運行ダイヤ情報に基づき、線路沿いに設置されている無線基地局1306への識別情報の配布時間及び各無線基地局1306における識別情報の有効期間を設定する。ここでの処理に際し、運行管理サーバ1303から提供される運行ダイヤ情報を基に経路情報テーブル1331が作成される。この経路情報テーブル1331には当該電車の運行中に通過する駅及び通過時刻が掲載される。   The authentication server 1301 distributes the identification information to the wireless base stations 1306 installed along the track and the identification information in each wireless base station 1306 based on the train schedule information of the train 1307 provided from the operation management server 1303. Set the validity period of. In the processing here, the route information table 1331 is created based on the operation schedule information provided from the operation management server 1303. In this route information table 1331, stations that pass during the operation of the train and the passage time are listed.

認証サーバ1301は、前記経路情報テーブル1331を参照して電車1307に対するアクセスポイントとなる、線路上の無線基地局1306を選択する。また経路情報テーブル1331の"通過駅"及び"通過時刻"の情報と認証サーバ1301にて管理する無線基地局管理データベース1332から抽出した無線基地局1306の位置に関する情報とを比較参照して、各無線基地局1306への識別情報の配布時刻及び各無線基地局における有効期間を設定する。   The authentication server 1301 refers to the route information table 1331 and selects the radio base station 1306 on the track that is an access point for the train 1307. Further, by comparing and referring to the information of “passing station” and “passing time” in the route information table 1331 and the information regarding the position of the radio base station 1306 extracted from the radio base station management database 1332 managed by the authentication server 1301, The distribution time of the identification information to the radio base station 1306 and the valid period in each radio base station are set.

なお電車1307の運行に遅れが生じた場合等は、運行管理サーバ1303より電車1307の現在位置の情報を取得して、認証サーバ1301にて各無線基地局1306における識別情報の有効期間の変更を行う。また通信開始前に事前に認証サーバ1301により行われる認証は、電車1307が駅に停車中に行うこことできる。   If there is a delay in the operation of the train 1307, information on the current position of the train 1307 is acquired from the operation management server 1303, and the validity period of the identification information in each wireless base station 1306 is changed by the authentication server 1301. Do. Further, the authentication performed by the authentication server 1301 in advance before the start of communication can be performed here when the train 1307 is stopped at the station.

本システム1300において、前記コンテンツ配信サーバ1302らは、電車1307内の乗客の端末1321からの要求に基づくコンテンツ配信、インタネット接続等のアプリケーションを提供する。また、乗務員の端末1322は鉄道会社の通信網1304に接続する業務サーバ1302と座席情報、予約情報や運行情報等の業務情報のやり取りを行う。   In the present system 1300, the content distribution servers 1302 provide applications such as content distribution and Internet connection based on requests from the passenger terminal 1321 in the train 1307. The crew terminal 1322 exchanges business information such as seat information, reservation information, and operation information with the business server 1302 connected to the communication network 1304 of the railway company.

ここで車上サーバ1311を電車の車両毎に設置し、認証サーバ1301により発行される識別情報は電車の車両毎に発行すると、途中駅で車両が切り離されて行き先が2手に分かれる場合等にも対応できる。   Here, when the on-board server 1311 is installed for each train vehicle and the identification information issued by the authentication server 1301 is issued for each train vehicle, the vehicle is cut off at a station on the way and the destination is divided into two hands. Can also respond.

図14は、本発明における分散認証方法を、具体的に道路上を走行する車1406と路上に設置された無線基地局1405との間で無線通信を行う路車間通信システム1400に適用する場合の概要を示す図である。本システム1400における主な構成要素は、道路を管理する行政機関、地方自治体またはサービス提供会社等の通信網1403内に設置された、車1406の事前認証及び識別情報の発行、配布を行う認証サーバ1401、車1406に対してコンテンツ情報の配信を行うコンテンツ配信サーバ1402、路上ネットワーク1404を介して、行政機関、地方自治体またはサービス提供会社等の通信網1403に接続されており、通信網1403に接続しているサーバ1401、1402らに対して無線通信によりアクセスポイントを介してアクセスしてくる車1406に対するアクセスポイントとなる、道路沿いに一定間隔で設置される無線基地局1405、及び道路を走行しながら無線通信を介して、通信網1403に接続する各種サーバ1401、1402らにアクセスする車1406等がある。   FIG. 14 shows a case in which the distributed authentication method according to the present invention is applied to a road-vehicle communication system 1400 that performs wireless communication between a vehicle 1406 traveling on a road and a wireless base station 1405 installed on the road. It is a figure which shows an outline. The main component of the system 1400 is an authentication server that is installed in a communication network 1403 such as an administrative organization that manages roads, a local government, or a service provider, and that issues pre-authentication of cars 1406 and issues and distributes identification information. 1401, a content distribution server 1402 that distributes content information to a car 1406, and a road network 1404, and is connected to a communication network 1403 such as an administrative agency, a local government, or a service provider, and is connected to the communication network 1403. The wireless base station 1405 installed at regular intervals along the road, which serves as an access point for the vehicle 1406 accessing the servers 1401, 1402 and the like through the access point by wireless communication However, various services connected to the communication network 1403 via wireless communication There is a car 1406, such as access to the server 1401, 1402, et al.

前記車1406がカーナビゲーション装置を備えるとして、当該カーナビゲーション装置において目的地設定がされた時または定期的に、カーナビゲーション装置の経路情報及び現在位置情報1411が通信網1403等を介して認証サーバ1411に送信される。ここで認証サーバ1411では、車1406より取得したカーナビゲーション装置の経路情報1411を基に経路情報テーブル1421を作成する。この経路情報テーブル1421には当該車1406の走行中に通過する地点及び通過予想時刻が掲載される。   Assuming that the car 1406 includes a car navigation device, when the destination is set in the car navigation device or periodically, the route information and the current position information 1411 of the car navigation device are transmitted via the communication network 1403 or the like to the authentication server 1411. Sent to. Here, the authentication server 1411 creates a route information table 1421 based on the route information 1411 of the car navigation device acquired from the car 1406. In the route information table 1421, points that are passed while the vehicle 1406 is traveling and the estimated passage time are listed.

認証サーバ1401は、本経路情報テーブル1421を参照して車1406に対するアクセスポイントとなる、経路上の道路に設置されている無線基地局1405を選択する。また経路情報テーブル1421の"通過地点"及び"通過予想時刻"の情報とサーバ1401にて管理する無線基地局管理データベース1422から抽出した無線基地局1405の位置に関する情報とを比較参照して、各無線基地局1405への識別情報の配布時刻及び各無線基地局における有効期間を設定する。   The authentication server 1401 refers to the route information table 1421 and selects a radio base station 1405 that is an access point for the vehicle 1406 and is installed on a road on the route. Further, by comparing and referring to the information of “passage point” and “expected time of passage” in the route information table 1421 and the information on the position of the radio base station 1405 extracted from the radio base station management database 1422 managed by the server 1401, The distribution time of identification information to the radio base station 1405 and the validity period in each radio base station are set.

なお定期的に認証サーバ1401から車1406に対してカーナビゲーション装置の経路情報及び現在位置情報1411の問い合わせを行うものとする。またはカーナビゲーション装置による経路変更時に車1406より認証サーバ1401に対してカーナビの経路情報及び現在位置情報1411の送信を行うものとする。
認証サーバ1401は、これら送信されてきたデータらに基づいて車1406に対応する識別情報の各無線基地局1405に対する配布時刻または当該識別情報の有効期間の更新を行う。これにより走行中の車1406の経路変更に対応する。
なお、通信開始前に事前に認証サーバ1401により行われる事前認証に関して、車1406の出発地点付近にアクセスポイントとなる無線基地局1405が無い場合は、公衆回線等を介して車1406から認証サーバ1401にアクセスすることで実施されるものとできる。 It is assumed that the authentication server 1401 periodically inquires the car 1406 about the route information of the car navigation device and the current position information 1411. Alternatively, it is assumed that the car 1406 transmits the car navigation route information and the current position information 1411 to the authentication server 1401 when the route is changed by the car navigation device.
The authentication server 1401 updates the distribution time of the identification information corresponding to the vehicle 1406 to each radio base station 1405 or the validity period of the identification information based on the transmitted data. This corresponds to a route change of the traveling car 1406.
Note that regarding pre-authentication performed in advance by the authentication server 1401 before the start of communication, if there is no wireless base station 1405 serving as an access point near the departure point of the vehicle 1406, the authentication server 1401 is connected from the vehicle 1406 via a public line or the like. Can be implemented by accessing

本システム1400において、コンテンツ配信サーバ1402らは、車1406からの要求によりコンテンツ配信、インタネット接続、走行支援情報提供等のアプリケーションを提供する。   In the system 1400, the content distribution server 1402 and the like provide applications such as content distribution, Internet connection, and driving support information provision in response to a request from the vehicle 1406.

また本システム1400における車1406と無線基地局1405との通信に用いるデータ書式の概要を1423に示す。このデータ書式の主な構成要素として、マルチキャスト通信に関する通信ヘッダ1431、送信元の車1406に対応する識別情報1432、送信元の車1406にて管理され、データ送信時の時刻であるタイムスタンプ1433、送信データに対して付加される通番1434とアプリケーションに用いるユーザデータ1435がある。ここで識別情報1432、タイムスタンプ1433、通番1434のデータは盗聴防止のためにまとめて車1406(の無線通信手段)にて暗号化(1436)されると好適である。この場合、この暗号化された送信データを受信した無線基地局1405において、データ参照のための復号化がなされる。   An outline of a data format used for communication between the vehicle 1406 and the radio base station 1405 in the system 1400 is shown in 1423. As main components of this data format, a communication header 1431 related to multicast communication, identification information 1432 corresponding to the transmission source car 1406, a time stamp 1433 which is managed by the transmission source car 1406 and is a time at the time of data transmission, There are a serial number 1434 added to the transmission data and user data 1435 used for the application. Here, it is preferable that the data of the identification information 1432, the time stamp 1433, and the serial number 1434 is encrypted (1436) by the vehicle 1406 (wireless communication means) together to prevent eavesdropping. In this case, the wireless base station 1405 that has received the encrypted transmission data performs decryption for data reference.

なお、前記データ書式1423は本システム1400のみならず、図13に示すシステム1300及び図15に基づき後述するシステム1500など、本発明による分散認証方法を適用するシステムのいずれにおいても同様に利用可能である。   The data format 1423 can be used not only in the system 1400 but also in any system to which the distributed authentication method according to the present invention is applied, such as the system 1300 shown in FIG. 13 and the system 1500 described later based on FIG. is there.

図15は、本発明における分散認証方法を、電力会社の設備である電柱の保守員向けの保守・予防保全支援システム1500に適用する場合の概要を示す図である。本システム1500における主な構成要素は、顧客への配電のための設備であり街中等に多数設置されている電柱1501、保守員が電柱1501の保守作業の一環として巡視を行う際に使用する保守作業車1502等がある。電柱1501には、各種センサデータ等を無線通信にて送信するためのデータ送信装置1511が搭載されている。保守作業車1502には、電柱1501からの送信データを解析、蓄積するための車上サーバ1521、電柱1501との間でデータの送受信を行うための無線基地局1522、電柱1501に関するデータを蓄積している電柱データベース1523等がある。   FIG. 15 is a diagram showing an outline when the distributed authentication method according to the present invention is applied to a maintenance / preventive maintenance support system 1500 for maintenance personnel of utility poles that are facilities of an electric power company. The main components of the system 1500 are facilities for power distribution to customers, which are a large number of utility poles 1501 installed in the streets, etc., and maintenance that is used when maintenance personnel patrol as part of maintenance work for the utility poles 1501. There is a work vehicle 1502 and the like. The power pole 1501 is equipped with a data transmission device 1511 for transmitting various sensor data and the like by wireless communication. The maintenance work vehicle 1502 stores data on the vehicle base server 1521 for analyzing and storing transmission data from the power pole 1501, the radio base station 1522 for transmitting and receiving data to and from the power pole 1501, and data on the power pole 1501. There is a telephone pole database 1523 or the like.

本システム1500では、保守員が電柱巡視のために保守作業車1502で街中の電柱1501を巡回し、目視にて電柱1501の点検を行っていく際に、保守作業車1502を停止させることなく各電柱1501を通過した時に各電柱1501からデータを取得していくものとする。ここではデータを取得するために電柱1501毎に停止して作業する必要が無く、保守作業の負荷低減、効率化につながる。取得したデータを電柱1501の予防保全に活用する。   In this system 1500, when a maintenance worker patrols the power pole 1501 in the city with the maintenance work vehicle 1502 for inspection of the power pole, and visually inspects the power pole 1501, each maintenance work vehicle 1502 is stopped without stopping. It is assumed that data is acquired from each power pole 1501 when passing through the power pole 1501. Here, there is no need to stop and work for each power pole 1501 in order to acquire data, which leads to reduction in load and efficiency of maintenance work. The acquired data is utilized for preventive maintenance of the utility pole 1501.

なお、電柱1501にはそれぞれに対応する識別情報が割り当てられており、センサデータ等を送信する際に当該識別情報を付加する。保守作業車1502において、電柱データベース1523に各電柱1501に対応する識別情報を保持している。車上サーバ1521にて、電柱1501の巡視経路計画及びカーナビゲーション装置の経路情報に基づいて、経路上の各電柱1501の通過時刻を算出し、算出結果に基づき各電柱1501に対応する識別情報の有効期間を決定する。ここでは保守作業車が各電柱1501の付近を通過している間のみ当該識別情報が有効であるように設定する。   Note that identification information corresponding to each of the utility poles 1501 is assigned, and the identification information is added when sensor data or the like is transmitted. In the maintenance work vehicle 1502, identification information corresponding to each power pole 1501 is held in the power pole database 1523. The on-board server 1521 calculates the passing time of each power pole 1501 on the route based on the inspection route plan of the power pole 1501 and the route information of the car navigation device, and the identification information corresponding to each power pole 1501 is calculated based on the calculation result. Determine the validity period. Here, the identification information is set to be valid only while the maintenance work vehicle passes in the vicinity of each power pole 1501.

前記の巡視経路計画に基づき保守作業車1502が巡回している間に、カーナビゲーション装置の経路情報及び現在位置情報より、電柱1501への接近を検出した場合、車上の無線基地局1522よりビーコンを発信する。当該ビーコンを受信した電柱1501は一定時間だけデータ送信装置1511を用いてマルチキャスト通信1531により各種センサデータに当該電柱1501に対応する識別情報を付加して送信する。   If the approach to the utility pole 1501 is detected from the route information and current position information of the car navigation device while the maintenance work vehicle 1502 is patrol based on the patrol route plan, a beacon is transmitted from the radio base station 1522 on the vehicle. To send. The utility pole 1501 that has received the beacon adds the identification information corresponding to the utility pole 1501 to the various sensor data by the multicast communication 1531 using the data transmission device 1511 and transmits it for a certain period of time.

または電柱1501毎もしくはエリア毎に電柱1501がセンサデータ等をマルチキャストにて送信する時間帯を事前に設定しておく。保守作業車1502の無線基地局1522では電柱1501からのデータを受信すると、当該データより抽出した識別情報の照合を行う。これにより有効期間内の電柱1501からのデータのみを車上サーバ1521に転送し、その他のデータは破棄する。車上サーバ1521では無線基地局1522より転送されたデータを解析または蓄積する。なお電柱1501から送信されるデータには、変圧器の電圧値、温度、ひずみセンサの値またはガスの絶縁体のガス濃度、圧力値等がある。   Alternatively, a time period during which the utility pole 1501 transmits sensor data or the like by multicast is set in advance for each utility pole 1501 or for each area. When the wireless base station 1522 of the maintenance work vehicle 1502 receives the data from the utility pole 1501, it collates the identification information extracted from the data. As a result, only the data from the utility pole 1501 within the effective period is transferred to the on-board server 1521 and other data is discarded. The on-board server 1521 analyzes or stores the data transferred from the radio base station 1522. The data transmitted from the utility pole 1501 includes a transformer voltage value, temperature, strain sensor value, gas insulator gas concentration, pressure value, and the like.

本発明によれば、複数の情報処理装置が通信網を介して接続しているシステムの内部に設置した各種サーバに対して、外部の移動体からの無線通信による接続が発生するシステムにおいて、通信のセキュリティを維持して認証処理の高速化を図り、システムのダウンタイムを低減する。またシステム内部の認証サーバでなく、移動体に対するアクセスポイントとなる無線基地局等で不正な要求を拒否するためシステム内のネットワークにおける高負荷の発生を防止する。
したがって、システム内部に設置した各種サーバに対して、無線基地局等を経由して外部の移動体からのマルチキャストによる無線通信による接続が発生するシステムにおいて、通信の処理効率の低下や異常な処理の発生を防止し、外部からの接続に対するセキュリティの保護を行うことが可能となる。 According to the present invention, in a system in which connection by wireless communication from an external mobile unit occurs to various servers installed inside a system to which a plurality of information processing devices are connected via a communication network, Maintain security and speed up the authentication process to reduce system downtime. In addition, since a fraudulent request is rejected not by an authentication server in the system but by a wireless base station or the like serving as an access point for a mobile object, the occurrence of a high load on the network in the system is prevented.
Therefore, in a system in which various servers installed in the system are connected by wireless communication by multicast from an external mobile body via a wireless base station or the like, communication processing efficiency decreases or abnormal processing is performed. It is possible to prevent the occurrence and protect the security against the connection from the outside.

以上、本発明の実施の形態について、その実施の形態に基づき具体的に説明したが、これに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。   As mentioned above, although embodiment of this invention was described concretely based on the embodiment, it is not limited to this and can be variously changed in the range which does not deviate from the summary.

本発明の適用先である、移動する移動体と、移動体の経路上に設置した、複数の情報処理装置が通信網を介して接続しているシステムへのアクセスポイントとなる無線基地局との間で無線通信を行う通信システムの概要を示す図である。A mobile object to which the present invention is applied, and a radio base station that is an access point to a system in which a plurality of information processing apparatuses are connected via a communication network, installed on the route of the mobile object It is a figure which shows the outline | summary of the communication system which performs radio | wireless communication between. 本発明における、移動体の認証方法の概要を示す図である。It is a figure which shows the outline | summary of the authentication method of the moving body in this invention. 本発明における、複数の情報処理装置が通信網を介して接続しているシステムに対して、マルチキャストによる無線通信によりアクセスポイントを介して接続する移動体側のモジュール構成を示す図である。It is a figure which shows the module structure by the side of the mobile body connected via an access point by the radio | wireless communication by multicast with respect to the system which the some information processing apparatus is connected via the communication network in this invention. 本発明における、複数の情報処理装置が通信網を介して接続しているシステム側のアクセスポイントとなる、移動体とのマルチキャストによる無線通信を行う無線基地局側のモジュール構成を示す図である。It is a figure which shows the module structure by the side of the radio | wireless base station which performs the radio | wireless communication by a multicasting with a mobile body used as the system side access point which the some information processing apparatus is connected via the communication network in this invention. 本発明における、移動体における無線によるマルチキャストデータ通信の送信データを作成する処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the process which produces the transmission data of the multicast data communication by radio | wireless in the mobile body in this invention. 本発明における、データ受信側の無線基地局における、受信データの転送可否を行う処理の流れを示すフローチャートである。It is a flowchart which shows the flow of a process which performs the propriety of transfer of reception data in the radio base station by the side of data reception in this invention. 本発明における、認証サーバにおいて作成する、移動体に発行する識別情報に関する有効期間管理テーブルを示す図である。It is a figure which shows the effective period management table regarding the identification information issued to a mobile body produced in the authentication server in this invention. 本発明における、認証サーバにおいて、移動体の認証及び識別情報の発行の処理の流れを示すフローチャートである。It is a flowchart which shows the flow of a process of authentication of a moving body and issuing of identification information in the authentication server in this invention. 本発明における、走行中の移動体の経路が変更される場合の認証サーバにおける、移動体の識別情報の有効期間を変更する処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the process which changes the effective period of the identification information of a moving body in the authentication server when the path | route of the moving mobile body in this invention is changed. 本発明における、無線基地局における作成する、認証サーバから配布された移動体に対応する識別情報を管理する識別情報管理テーブルを示す図である。It is a figure which shows the identification information management table which manages the identification information corresponding to the mobile body created from the authentication server which the radio base station produces in this invention. 本発明における、認証サーバより移動体に対応する識別情報を配布された無線基地局において当該識別情報を削除する場合の処理の流れを示すフローチャートである。It is a flowchart which shows the flow of a process in the case of deleting the said identification information in the radio base station to which the identification information corresponding to a mobile body was distributed from the authentication server in this invention. 本発明における、移動体に対応する識別情報を配布された無線基地局において当該識別情報の有効期間内に当該移動体からの通信が発生しなかった場合の、認証サーバにおける処理の流れを示すフローチャートである。The flowchart which shows the flow of the process in an authentication server when the communication from the said mobile body does not generate | occur | produce in the effective period of the said identification information in the radio base station to which the identification information corresponding to a mobile body is distributed in this invention. It is. 本発明における分散認証方法を、走行する列車と線路沿いに設置された無線局の間で無線通信を行う車上−地上間通信システムに適用した場合の概要を示す図である。It is a figure which shows the outline | summary at the time of applying the distributed authentication method in this invention to the vehicle-to-ground communication system which performs radio | wireless communication between the running train and the radio station installed along the track. 本発明における分散認証方法を、道路上を走行する車と路上に設置された無線局との間で無線通信を行う路車間通信システムに適用する場合の概要を示す図である。It is a figure which shows the outline | summary in the case of applying the distributed authentication method in this invention to the road-vehicle communication system which performs radio | wireless communication between the vehicle which drive | works on a road, and the radio station installed on the road. 本発明における分散認証方法を、電力会社の設備である電柱の保守員向けの保守・予防保全支援システムに適用する場合の概要を示す図である。It is a figure which shows the outline | summary in the case of applying the distributed authentication method in this invention to the maintenance and preventive maintenance support system for the maintenance workers of the utility pole which are the facilities of an electric power company.

符号の説明Explanation of symbols

0101 認証サーバ
0102 アプリケーションサーバ(システム内部)
0103 予見情報提供元
0104 通信網
0105 経路上ネットワーク
0106 無線基地局
0107 移動体 0101 Authentication server 0102 Application server (inside system)
0103 Foreseeing information provider 0104 Communication network 0105 Route network 0106 Radio base station 0107 Mobile

Claims (10)

無線通信手段を備えた移動体からの無線基地局を経由したシステム内部への接続を認証する方法であって、
前記移動体とネットワークで結ばれ、当該移動体の事前認証を行う認証サーバが、
前記移動体の認証要求に応じて当該移動体の事前認証処理を行うステップと、
前記移動体の事前認証が成立した場合、当該移動体の識別情報を1または複数個生成し、前記移動体または前記移動体の運行状況を監視する予見情報の提供装置より、前記移動体の移動経路及び所定地点の通過時刻に関する予見情報を取得し、当該予見情報に基づき、前記移動体の移動経路上にあってアクセスポイントとなりうる複数の無線基地局、及び当該移動体に対して、当該移動体について作成した前記1または複数の識別情報及び識別情報の有効期間に関する情報を配布するステップとを実行し、
前記移動体が、
前記システム内部への接続に際し、前記識別情報及びタイムスタンプを送信データに付加して前記無線基地局への無線通信を行うステップを実行し、
前記無線基地局が、
前記移動体より受信した受信データに付加された識別情報と当該無線基地局にて予め保有する識別情報との照合と、前記受信データに付加されたタイムスタンプが前記識別情報の有効期間内であるか否かの判定とを行って、当該受信データの前記システム内部への転送の可否を判定するステップを実行する、
ことを特徴とする分散認証方法。 A method of authenticating a connection from a mobile body equipped with a wireless communication means to the inside of a system via a wireless base station,
An authentication server that is connected to the mobile body via a network and performs pre-authentication of the mobile body,
Performing a pre-authentication process of the mobile body in response to the mobile body authentication request;
When pre-authentication of the mobile object is established, one or a plurality of identification information of the mobile object is generated, and the mobile object is moved from the mobile object or a foreseeing information providing apparatus that monitors the operation status of the mobile object. Obtaining foreseeing information related to the route and the passage time of a predetermined point, and based on the foreseeing information, the plurality of radio base stations that can be access points on the moving path of the moving body and the moving body Distributing the information regarding the validity period of the one or more identification information and identification information created for the body,
The moving body is
When connecting to the inside of the system, adding the identification information and time stamp to transmission data to perform wireless communication to the wireless base station,
The radio base station is
The identification information added to the received data received from the mobile unit is collated with the identification information previously held in the radio base station, and the time stamp added to the received data is within the validity period of the identification information. And determining whether or not the received data can be transferred to the inside of the system.
A distributed authentication method characterized by the above. 請求項1に記載の分散認証方法において、
前記認証サーバにより事前認証が成立した移動体が、前記認証サーバより配布された当該移動体に対応する複数個の識別情報より、当該移動体にて設定した条件に基づく1つの識別情報の選択と使用する識別情報の切り替えとを行い、当該移動体からの送信データに前記選択および切り替えを行った識別情報を付加して送信し、
前記移動体にて識別情報を付加して送信されたデータを受信した無線基地局が、前記受信データより抽出した識別情報と、前記認証サーバより事前に配布された当該移動体に対応する複数個の識別情報とを照合し、この照合により互いに合致する識別情報があり、前記受信データに付加されたタイムスタンプが前記識別情報の有効期間内であった場合、前記システム内部への前記受信データの転送が可能であると判定することを特徴とする分散認証方法。 The distributed authentication method according to claim 1,
A mobile body that has been pre-authenticated by the authentication server selects one piece of identification information based on conditions set by the mobile body from a plurality of pieces of identification information corresponding to the mobile body distributed from the authentication server; The identification information to be used is switched, the transmission information from the mobile body is added with the identification information that has been selected and switched, and transmitted.
The wireless base station that has received the data transmitted with the identification information added by the mobile unit, the identification information extracted from the received data, and a plurality corresponding to the mobile unit distributed in advance from the authentication server If there is identification information that matches each other by this comparison, and the time stamp added to the received data is within the validity period of the identification information, the received data in the system is A distributed authentication method characterized by determining that transfer is possible. 請求項2に記載の分散認証方法において、
前記無線基地局が、前記認証サーバより配布された移動体に対応する複数個の識別情報うち、有効期間が終了した識別情報、または終了した通信に用いられていた識別情報の削除処理を行うことを特徴とする分散認証方法。 The distributed authentication method according to claim 2,
The radio base station performs a process of deleting the identification information whose validity period has expired or the identification information used for the terminated communication among a plurality of identification information corresponding to the mobile body distributed from the authentication server. A distributed authentication method characterized by the above. 請求項2に記載の分散認証方法において、
前記無線基地局が、当該無線基地局における、移動体に対応する識別情報の照合による前記システム内部へのデータ転送の可否判定において、前記認証サーバより配布された移動体に対応する識別情報の有効期間が終了するまでに、当該移動体からの送信データを一度も受信しなかった場合、前記認証サーバに対して当該移動体に関する状況問い合わせを行うことを特徴とする分散認証方法。 The distributed authentication method according to claim 2,
When the wireless base station determines whether or not data transfer to the inside of the system can be performed by collating identification information corresponding to the mobile body, the identification information corresponding to the mobile body distributed from the authentication server is valid. A distributed authentication method comprising: inquiring a situation about the mobile object to the authentication server when transmission data from the mobile object has never been received by the end of the period. 請求項2に記載の分散認証方法において、
前記無線基地局が、当該無線基地局における、移動体に対応する識別情報の照合による前記システム内部内へのデータ転送の可否判定において、データ送信元の移動体において生成し送信データに付加された通番が、データ受信側の無線基地局において前記移動体からの以前の受信データより抽出し保有していた通番の値と比較して、等しい値もしくは小さい値である場合は受信データを破棄することを特徴とする分散認証方法。 The distributed authentication method according to claim 2,
The wireless base station generates a data transmission source mobile body and adds it to transmission data in the wireless base station in the determination of whether or not to transfer data into the system by collating identification information corresponding to the mobile body. If the serial number is equal to or smaller than the serial number extracted and held from the previous received data from the mobile unit at the data receiving side radio base station, the received data is discarded. A distributed authentication method characterized by the above. 請求項5に記載の分散認証方法において、
前記無線基地局が、当該無線基地局における、移動体の識別情報の照合によるシステム内部へのデータ転送の可否判定のための通番の比較に際し、移動体の移動経路及び所定地点の通過時刻に関する予見情報を当該移動体または予見情報の提供装置より取得するとともに、この予見情報に基づき、移動体が当該無線基地局に接近した時に当該無線基地局よりも先に当該移動体との通信を行っている隣接無線基地局が保持する通番を取得することを特徴とする分散認証方法。 The distributed authentication method according to claim 5, wherein
When the wireless base station compares the serial numbers for determining whether data transfer to the system is possible or not by collating the identification information of the mobile body, the wireless base station predicts the moving path of the mobile body and the passage time of a predetermined point. Information is acquired from the mobile body or the foreseeing information providing apparatus, and based on the foreseeing information, when the mobile body approaches the radio base station, communication with the mobile body is performed before the radio base station. A distributed authentication method, comprising: obtaining a serial number held by an adjacent wireless base station. 請求項1に記載の分散認証方法において、
前記認証サーバが、移動体の移動経路及び所定地点の通過時刻に関する予見情報を当該移動体または予見情報の提供装置より取得するとともに、この予見情報に基づき判定した各無線基地局への当該識別情報の配布時刻及び各無線基地局における当該識別情報の有効期間を、当該認証サーバにて作成し各無線基地局に配布する識別情報に設定することを特徴とする分散認証方法。 The distributed authentication method according to claim 1,
The authentication server obtains foreseeing information about the moving path of the mobile body and the passage time of the predetermined point from the mobile body or the foreseeing information providing device, and the identification information to each radio base station determined based on the foreseeing information The distributed authentication method is characterized in that the distribution time and the validity period of the identification information in each radio base station are set in the identification information created by the authentication server and distributed to each radio base station. 請求項7に記載の分散認証方法において、
前記認証サーバが、移動経路に変更が生じた移動体の移動経路及び所定地点の通過時刻に関する予見情報を当該移動体または予見情報の提供装置より新たに取得するとともに、この予見情報に基づき再判定した各無線基地局における当該識別情報の有効期間の再設定を行い、識別情報を配布済みだが経路変更後は移動体が通過しなくなった無線基地局に対して当該識別情報の削除要求を送信し、経路変更後に新たに移動体が通過することになった無線基地局に対して当該識別情報の配布を行うことを特徴とする分散認証方法。 The distributed authentication method according to claim 7, wherein
The authentication server newly obtains foreseeing information related to the moving path of the moving body in which the moving path has changed and the passage time of the predetermined point from the moving body or the foreseeing information providing device, and re-determination based on the foreseeing information. Reset the validity period of the identification information at each radio base station, and send a request to delete the identification information to the radio base station where the identification information has been distributed but the mobile unit has stopped passing after the route change. A distributed authentication method characterized in that the identification information is distributed to a radio base station to which a mobile object has newly passed after a route change. 無線通信手段を備えた移動体からの無線基地局を経由したシステム内部への接続を認証するシステムであって、
前記移動体の認証要求に応じて当該移動体の事前認証処理を行う事前認証部と、
前記移動体の事前認証が成立した場合、当該移動体の識別情報を1または複数個生成し、前記移動体または前記移動体の運行状況を監視する予見情報の提供装置より、前記移動体の移動経路及び所定地点の通過時刻に関する予見情報を取得し、当該予見情報に基づき、前記移動体の移動経路上にあってアクセスポイントとなりうる複数の無線基地局、及び当該移動体に対して、当該移動体について作成した前記1または複数の識別情報及び識別情報の有効期間に関する情報を配布する識別情報配布部と、を備えて前記移動体とネットワークで結ばれる認証サーバと、
前記システム内部への接続に際し、前記識別情報及びタイムスタンプを送信データに付加して前記無線基地局への無線通信を行う通信データ作成部を備えた移動体と、
前記移動体より受信した受信データに付加された識別情報と当該無線基地局にて予め保有する識別情報との照合と、前記受信データに付加されたタイムスタンプが前記識別情報の有効期間内であるか否かの判定とを行って、当該受信データの前記システム内部への転送の可否を判定するデータ判定部を備える無線基地局と、
を備えることを特徴とする分散認証システム。 A system for authenticating a connection from a mobile body equipped with a wireless communication means to the inside of a system via a wireless base station,
A pre-authentication unit that performs pre-authentication processing of the mobile body in response to the mobile body authentication request;
When pre-authentication of the mobile object is established, one or a plurality of identification information of the mobile object is generated, and the mobile object is moved from the mobile object or a foreseeing information providing apparatus that monitors the operation status of the mobile object. Obtaining foreseeing information related to the route and the passage time of a predetermined point, and based on the foreseeing information, the plurality of radio base stations that can be access points on the moving route of the moving body and the moving body An identification information distribution unit that distributes information regarding the validity period of the identification information and the identification information created for the body, and an authentication server that is connected to the mobile body via a network;
When connecting to the inside of the system, a mobile unit including a communication data creation unit that adds the identification information and a time stamp to transmission data and performs wireless communication to the wireless base station;
The identification information added to the received data received from the mobile unit is collated with the identification information held in advance in the radio base station, and the time stamp added to the received data is within the validity period of the identification information. A radio base station including a data determination unit that determines whether or not the received data can be transferred to the inside of the system,
A distributed authentication system comprising: 無線通信手段を備えた移動体からの無線基地局を経由したシステム内部への接続を認証するシステムを構成し、前記移動体とネットワークで結ばれる認証用のサーバであって、
前記移動体の認証要求に応じて当該移動体の事前認証処理を行う事前認証部と、
前記移動体の事前認証が成立した場合、当該移動体の識別情報を1または複数個生成し、前記移動体または前記移動体の運行状況を監視する予見情報の提供装置より、前記移動体の移動経路及び所定地点の通過時刻に関する予見情報を取得し、当該予見情報に基づき、前記移動体の移動経路上にあってアクセスポイントとなりうる複数の無線基地局、及び当該移動体に対して、当該移動体について作成した前記1または複数の識別情報及び識別情報の有効期間に関する情報を配布する識別情報配布部と、
を備えることを特徴とする認証サーバ。 A system for authenticating a connection from a mobile body equipped with a wireless communication means to a system inside via a radio base station is an authentication server connected to the mobile body via a network,
A pre-authentication unit that performs pre-authentication processing of the mobile body in response to the mobile body authentication request;
When pre-authentication of the mobile body is established, one or a plurality of identification information of the mobile body is generated, and the mobile body is moved from the mobile body or the foreseeing information providing apparatus that monitors the operation status of the mobile body. Obtaining foreseeing information related to the route and the passage time of a predetermined point, and based on the foreseeing information, the plurality of radio base stations that can be access points on the moving route of the moving body and the moving body An identification information distribution unit that distributes information about the validity period of the identification information and the identification information created for the body;
An authentication server comprising:
JP2004063960A 2004-03-08 2004-03-08 Distributed authentication method, distributed authentication system, and authentication server Expired - Fee Related JP4397712B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004063960A JP4397712B2 (en) 2004-03-08 2004-03-08 Distributed authentication method, distributed authentication system, and authentication server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004063960A JP4397712B2 (en) 2004-03-08 2004-03-08 Distributed authentication method, distributed authentication system, and authentication server

Publications (2)

Publication Number Publication Date
JP2005252961A JP2005252961A (en) 2005-09-15
JP4397712B2 true JP4397712B2 (en) 2010-01-13

Family

ID=35032989

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004063960A Expired - Fee Related JP4397712B2 (en) 2004-03-08 2004-03-08 Distributed authentication method, distributed authentication system, and authentication server

Country Status (1)

Country Link
JP (1) JP4397712B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101203470B1 (en) * 2006-03-10 2012-11-27 삼성전자주식회사 Method for Authenticating Mobile Terminal on Hadnover
EP2158735B1 (en) 2007-06-22 2013-08-07 France Telecom Method of communication between a source node and a destination node, the nodes belonging to a vehicular network
KR101708880B1 (en) * 2015-10-21 2017-02-21 주식회사 위닉스정보 Integrated lon-in apparatus and integrated log-in method
EP3373625A1 (en) * 2017-03-09 2018-09-12 Gemalto Sa Method and apparatus for optimizing data exchange between a first and at least one second wireless communication device

Also Published As

Publication number Publication date
JP2005252961A (en) 2005-09-15

Similar Documents

Publication Publication Date Title
US10182319B2 (en) Security and safety processing by a vehicle based computer
Kaur et al. Security issues in vehicular ad-hoc network (VANET)
JP4619858B2 (en) Encryption key update method, encryption key update system, and wireless base station constituting encryption key update system in distributed environment
US20070027614A1 (en) Method and system for linked vehicle navigation
JP5587239B2 (en) Vehicle-to-vehicle / road-vehicle communication system
JP5223625B2 (en) COMMUNICATION SYSTEM, BASE STATION DEVICE, AND COMMUNICATION METHOD
CN107623912A (en) The method and device of secure communication between a kind of car networking terminal
JP3920583B2 (en) COMMUNICATION SECURITY MAINTAINING METHOD, APPARATUS THEREOF, AND PROCESSING PROGRAM THEREOF
US20060153189A1 (en) Ad hoc communication system, mobile terminal, center, ad hoc communication method and ad hoc communication program
EP0991989A2 (en) Method and arrangement relating to communications systems
Boualouache et al. Towards an efficient pseudonym management and changing scheme for vehicular ad-hoc networks
Kohli et al. Security challenges, applications and vehicular authentication methods in VANET for smart traffic management
JP4397712B2 (en) Distributed authentication method, distributed authentication system, and authentication server
TW201735670A (en) Security certificate management method for a vehicular network node and vehicular network node applying the same
Da Silva et al. Examining privacy in vehicular ad-hoc networks
KR101047598B1 (en) System and method for providing position information of vehicles using dsrc
Tuladhar et al. Efficient and scalable certificate revocation list distribution in hierarchical VANETs
Billah et al. Developing a secured and reliable vehicular communication system and its performance evaluation
US20160203520A1 (en) Providing sponsored data to a vehicle
JP6797604B2 (en) Service delivery system and method
JP2002125270A (en) Method for connecting mobile terminal
Li et al. VehicleView: A universal system for vehicle performance monitoring and analysis based on VANETs
Haidar et al. Experimentation and assessment of pseudonym certificate management and misbehavior detection in C-ITS
JP2005108153A (en) Information service system for vehicle
Abdellaoui et al. xxTEA-VCLOUD: a security scheme for the vehicular cloud network using a lightweight encryption algorithm

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070201

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090423

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090428

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090629

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090901

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090917

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091020

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091021

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121030

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4397712

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121030

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131030

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees