JP4498871B2 - Wireless communication device - Google Patents
Wireless communication device Download PDFInfo
- Publication number
- JP4498871B2 JP4498871B2 JP2004275587A JP2004275587A JP4498871B2 JP 4498871 B2 JP4498871 B2 JP 4498871B2 JP 2004275587 A JP2004275587 A JP 2004275587A JP 2004275587 A JP2004275587 A JP 2004275587A JP 4498871 B2 JP4498871 B2 JP 4498871B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- connection state
- access point
- wireless communication
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は無線アドホックネットワークシステムを構成するアクセスポイントとして機能する無線通信装置に関する。 The present invention relates to a wireless communication apparatus that functions as an access point constituting a wireless ad hoc network system.
無線アドホックネットワークシステムは、携帯電話における基地局に代表されるような集中制御局を必要とせずに、複数の無線通信装置(アクセスポイント、ノード)の各々が周囲の所定の範囲内にある通信可能な他の無線通信装置とデータ通信し、送信元の無線通信装置から送信先の無線通信装置まで途中の無線通信装置がデータを中継することで遠方までのデータ通信を可能とする技術である。そして、各無線通信装置の周囲には中継機能を持たない端末(ステーション)が存在可能であり、無線通信装置を介して通信が行えるようになっている。 The wireless ad hoc network system can communicate with each of a plurality of wireless communication devices (access points, nodes) within a predetermined range without requiring a central control station represented by a base station in a mobile phone. This is a technology that enables data communication to a distant place by performing data communication with other wireless communication devices and relaying data by a wireless communication device on the way from a transmission source wireless communication device to a transmission destination wireless communication device. A terminal (station) that does not have a relay function can exist around each wireless communication device, and communication can be performed via the wireless communication device.
ところで、無線LAN(Local Area Network)の規格であるIEEE802.1x(11i)等には、基本セキュリティ技術として、各アクセスポイントおよびステーションが共有鍵を利用して認証を行うプリシェアード(Pre Shared)方式と、認証サーバ(AAA: Authentication, Authorization, Accounting)の管理する認証情報を利用して認証を行うEAP(Extensible Authentication Protocol)方式とが規定されている(例えば、非特許文献1参照。)。 By the way, IEEE802.1x (11i), which is a standard of wireless LAN (Local Area Network), etc., as a basic security technology, a pre-shared method in which each access point and station authenticates using a shared key. And an EAP (Extensible Authentication Protocol) system that performs authentication using authentication information managed by an authentication server (AAA: Authentication, Authorization, Accounting) (see Non-Patent Document 1, for example).
図1は認証サーバによりアクセスポイント周辺のステーションの認証を行う場合のネットワーク構成の例を示す図である。 FIG. 1 is a diagram showing an example of a network configuration when an authentication server authenticates stations around an access point.
図1において、認証サーバAAAとアクセスポイントAP1とが有線ネットワークで接続され、アクセスポイントAP1〜AP4の間で無線リンクが確立しているものとすると、例えばアクセスポイントAP2の周辺に存在するステーションSTA1からアクセスポイントAP2に対して接続要求が行われると、アクセスポイントAP2からアクセスポイントAP1を介して認証サーバAAAに認証要求が行われ、認証結果が認証サーバAAAからアクセスポイントAP1を介してアクセスポイントAP2に戻され、認証結果が肯定的であればステーションSTA1の接続が許可される。 In FIG. 1, if the authentication server AAA and the access point AP1 are connected by a wired network and a wireless link is established between the access points AP1 to AP4, for example, from the station STA1 that exists around the access point AP2 When a connection request is made to the access point AP2, an authentication request is made from the access point AP2 to the authentication server AAA via the access point AP1, and an authentication result is sent from the authentication server AAA to the access point AP2 via the access point AP1. If the authentication result is affirmative, connection of the station STA1 is permitted.
このように、認証サーバを用いたステーションの認証は、各アクセスポイント間の無線リンクが確立し、認証サーバと通信可能になっていることが前提となる。 As described above, the authentication of the station using the authentication server is based on the premise that a wireless link between the access points is established and communication with the authentication server is possible.
一方、上述したのはアクセスポイント周辺のステーションの認証についてであるが、無線アドホックネットワークシステムを構築するにあたっては、先ず各アクセスポイント間の無線リンクを確立しなければならず、この場合にあってもセキュリティを維持するため、新たに無線アドホックネットワークに加わるアクセスポイントの認証を行う必要がある。この場合、一般には認証サーバとの通信は行えないため、上述した認証サーバによる認証は行えず、前述したプリシェアード方式による認証が行われていた。 On the other hand, what has been described above is about authentication of stations around the access point. In constructing a wireless ad hoc network system, first, a wireless link between access points must be established. In order to maintain security, it is necessary to authenticate an access point that newly joins a wireless ad hoc network. In this case, since communication with the authentication server cannot be performed in general, authentication by the above-described authentication server cannot be performed, and authentication by the above-described preshared method has been performed.
図2はアクセスポイント間のリンクをプリシェアード方式の認証により確立する様子を示す図である。 FIG. 2 is a diagram illustrating a state in which a link between access points is established by preshared authentication.
図2において、認証サーバAAAとアクセスポイントAP1とが有線ネットワークで接続され、アクセスポイントAP1〜AP4の間でまだ無線リンクが確立していないものとすると、各アクセスポイントAP1〜AP4は事前に設定された共有鍵を用いて隣接するアクセスポイントとの間で互いに認証を行い、認証がとれた場合に無線リンクを確立する。
従来の無線アドホックネットワークシステムにおけるアクセスポイント間の無線リンク確立時の認証は上述したように行われていたものであるが、次のような問題点が指摘されていた。 Authentication in establishing a wireless link between access points in a conventional wireless ad hoc network system has been performed as described above, but the following problems have been pointed out.
すなわち、プリシェアード方式による共有鍵は事前に各アクセスポイントに設定されるものであり、共有鍵の交換が行われるまでは固定的に使用されるものであるため、共有鍵が盗まれた場合、不正なアクセスポイントやステーションが接続されて通信内容が流出する危険が存在する。 In other words, the shared key by the pre-shared method is set in advance in each access point, and is used fixedly until the shared key is exchanged, so if the shared key is stolen, There is a danger that unauthorized access points or stations will be connected and the contents of communications will leak.
また、各アクセスポイントへの共有鍵の設定は、アクセスポイントの数(総数)が少ない場合にはさほど問題とならないが、数が多くなると作業負担が大きくなり、管理が煩雑となる。 Moreover, setting the shared key to each access point is not a problem when the number (total number) of access points is small, but the work load increases and management becomes complicated as the number increases.
本発明は上記の従来の問題点に鑑み提案されたものであり、その目的とするところは、無線アドホックネットワークシステムにおけるアクセスポイント間の無線リンク確立時の認証を認証サーバを用いて行えるようにし、セキュリティの向上および管理負担の軽減を図ることのできる無線通信装置を提供することにある。 The present invention has been proposed in view of the above-described conventional problems, and the object of the present invention is to enable authentication when establishing a wireless link between access points in a wireless ad hoc network system using an authentication server, An object of the present invention is to provide a wireless communication apparatus capable of improving security and reducing management burden.
また、認証が終了した後の各アクセスポイント間で通信データの暗号化に用いる鍵生成の処理を効率化することのできる無線通信装置を提供することも目的とする。 It is another object of the present invention to provide a wireless communication apparatus capable of improving the efficiency of key generation processing used for encrypting communication data between access points after authentication is completed.
上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、無線アドホックネットワークシステムを構成するアクセスポイントとして機能する無線通信装置であって、認証サーバとの接続状態を確認する認証サーバ接続確認部と、上記認証サーバとの接続状態を近隣のアクセスポイントに通知する接続状態通知部と、近隣のアクセスポイントを検出した場合に、自己および近隣のアクセスポイントの上記認証サーバとの接続状態に基づき、認証する側もしくは認証される側のいずれかを選択して認証処理の実行制御を行う認証処理動作制御部とを備え、上記認証処理動作制御部は、自己の接続状態がオフで近隣のアクセスポイントの接続状態がオンである場合に認証される側として認証処理を開始し、自己の接続状態がオンで近隣のアクセスポイントの接続状態がオフである場合に認証する側として認証処理を開始するようにしている。 In order to solve the above problems, according to the present invention, a wireless communication device functioning as an access point constituting a wireless ad hoc network system as described in claim 1, wherein the wireless communication device is connected to an authentication server. An authentication server connection confirmation unit for confirming a connection state, a connection state notification unit for notifying a neighboring access point of a connection state with the authentication server, and the authentication of the self and the neighboring access point when a neighboring access point is detected. An authentication processing operation control unit that controls execution of authentication processing by selecting either the authenticating side or the authenticated side based on the connection state with the server, and the authentication processing operation control unit is connected to itself When the status is OFF and the connection status of the neighboring access point is ON, the authentication process is started as the authenticated side, and its connection status is ON. In the connected state of the neighboring access point is configured to initiate an authentication process as a side to authenticate when it is off.
また、請求項2に記載されるように、上記認証サーバ接続確認部は、上記認証サーバとの接続状態を示す情報を記憶するようにすることができる。 According to a second aspect of the present invention, the authentication server connection confirmation unit can store information indicating a connection state with the authentication server.
また、請求項3に記載されるように、上記認証サーバ接続確認部は、一定時間の経過もしくは新規のアクセスポイントへの接続が確認された場合に上記認証サーバとの接続状態を確認するようにすることができる。 According to a third aspect of the present invention, the authentication server connection confirmation unit confirms the connection state with the authentication server when a predetermined time has elapsed or a connection to a new access point is confirmed. can do.
また、請求項4に記載されるように、上記接続状態通知部は、ビーコンもしくはプローブレスポンスに上記認証サーバとの接続状態を示す情報を含めて送信するようにすることができる。 According to a fourth aspect of the present invention, the connection state notification unit can transmit a beacon or a probe response including information indicating a connection state with the authentication server.
また、請求項5に記載されるように、上記認証サーバとの接続状態を示す情報に上記認証サーバの識別子を含めるようにすることができる。 According to a fifth aspect of the present invention, information indicating a connection state with the authentication server may include an identifier of the authentication server.
また、請求項6に記載されるように、上記認証処理動作制御部は、自己の接続状態がオフで近隣のアクセスポイントの接続状態がオフである場合、認証処理を開始せずに更に他のアクセスポイントの検索を行うようにすることができる。 Further, as described in claim 6, when the connection state of the authentication processing operation control unit is off and the connection state of a nearby access point is off, the authentication processing operation control unit does not start the authentication processing and An access point can be searched.
また、請求項7に記載されるように、上記認証処理動作制御部は、自己の接続状態がオンで近隣のアクセスポイントの接続状態がオンである場合、優先度の高い側が認証する側として認証処理を開始するようにすることができる。 Further, as described in claim 7, when the connection state of the authentication processing operation control unit is on and the connection state of a neighboring access point is on, the authentication processing operation control unit authenticates the side having higher priority as the side to authenticate. Processing can be started.
また、請求項8に記載されるように、ブロードキャスト用データの暗号化に必要な鍵を保存し、自己が認証する側もしくは認証される側のいずれとして動作する場合にも共通に参照できる鍵保存部と、鍵生成のハンドシェイクに際し、自己が認証する側もしくは認証される側のいずれの場合であっても、上記鍵保存部から上記ブロードキャスト用データの暗号化に必要な鍵を読み出し、ハンドシェイクの相手となるアクセスポイントに送信する手段とを備えるようにすることができる。 Further, as described in claim 8, save the keys required to encrypt the data broadcast, can refer to common even when operating as either side of the self is the side or authentication to authenticate During the handshake of the key storage unit and the key generation, the key necessary for the encryption of the broadcast data is read from the key storage unit, regardless of whether it is the authenticating side or the authenticated side. Means for transmitting to an access point which is a partner of the handshake.
また、請求項9に記載されるように、上記鍵保存部からの鍵の読み出しに際して鍵が存在しない場合、ブロードキャスト用データの暗号化に必要な鍵を新たに作成して上記鍵保存部に保存するようにすることができる。
Further, as described in claim 9 , when a key does not exist when the key is read from the key storage unit, a new key necessary for encrypting broadcast data is created and stored in the key storage unit To be able to.
本発明の無線通信装置にあっては、無線アドホックネットワークシステムにおけるアクセスポイント間の無線リンク確立時の認証を認証サーバを用いて行えるため、セキュリティの向上および管理負担の軽減を図ることができる。 In the wireless communication apparatus of the present invention, since authentication at the time of establishing a wireless link between access points in a wireless ad hoc network system can be performed using an authentication server, security can be improved and management burden can be reduced.
また、認証が終了した後の各アクセスポイント間で通信データの暗号化に用いる鍵生成において、1回のハンドシェイクでブロードキャスト用データの暗号化に必要な鍵の取得が行えるため、処理を効率化することができる。 In addition, when generating keys for encrypting communication data between each access point after authentication is completed, the key necessary for encrypting broadcast data can be acquired with a single handshake, which improves processing efficiency. can do.
以下、本発明の好適な実施形態について説明する。 Hereinafter, preferred embodiments of the present invention will be described.
図3は本発明の第1の実施形態にかかる無線通信装置の構成図である。 FIG. 3 is a configuration diagram of the wireless communication apparatus according to the first embodiment of the present invention.
図3において、無線通信装置10は無線アドホックネットワークシステムを構成するアクセスポイント(ノード)として機能するものであり、通常の無線LAN装置が通信に必要となる基本部分として、無線LANの無線部分(IEEE802.11 PHY)を構成する無線信号処理部11と、無線LANの制御部分(IEEE802.11 MAC)を構成する無線制御部12とを備えている。
In FIG. 3, a
また、無線通信装置10は、IEEE802.11iで標準の認証技術として規定される、認証する側(Authenticator)の処理を行う認証部13と、認証される側(Supplicant)の処理を行う認証要求部14とを備えている。
更に、本発明の主要部分として、認証に必要な情報(ユーザ名、パスワード、アクセス制御リスト等)を保有する認証サーバとの接続状態を確認する認証サーバ接続確認部15と、認証サーバとの接続状態を近隣のアクセスポイントに通知する接続状態通知部16と、近隣のアクセスポイントを検出した場合に、自己および近隣のアクセスポイントの認証サーバとの接続状態に基づき、認証する側もしくは認証される側のいずれかを選択して認証処理の実行制御(認証実行のタイミング制御、順番制御等)を行う認証処理動作制御部17とを備えている。
The
Further, as a main part of the present invention, an authentication server
図4は図3に示した認証サーバ接続確認部15の処理を示すフローチャートである。
FIG. 4 is a flowchart showing processing of the authentication server
図4において、認証サーバ接続確認部15は、一定時間の経過もしくは新規ノードへの接続が確認された場合に、認証サーバとの接続状態を確認する(ステップS101)。
In FIG. 4, the authentication server
確認の結果、接続しているものと判断された場合、認証サーバとの接続状態を示す情報Sをオン(ON)とし(ステップS102)、その接続状態Sを記憶する(ステップS104)。 As a result of the confirmation, if it is determined that the connection is established, the information S indicating the connection state with the authentication server is turned on (step S102), and the connection state S is stored (step S104).
また、確認の結果、接続していないものと判断された場合、認証サーバとの接続状態Sをオフ(OFF)とし(ステップS103)、その接続状態Sを記憶する(ステップS104)。 If it is determined that the connection is not established, the connection state S with the authentication server is turned off (step S103), and the connection state S is stored (step S104).
そして、タイマーによる一定時間経過の確認および新規ノードへの接続の確認を行い(ステップS105)、一定時間の経過もしくは新規ノードへの接続が確認された場合に認証サーバとの接続状態の確認の処理(ステップS101)に戻る。 Then, confirmation of the elapse of a certain period of time and confirmation of connection to the new node are performed by a timer (step S105), and the process of confirming the connection state with the authentication server when the elapse of a certain period of time or connection to the new node is confirmed. Return to (Step S101).
以上の処理により、無線通信装置10の接続状態Sは認証サーバとの最新の接続状態を示すものとなる。
With the above processing, the connection state S of the
図5は図3に示した接続状態通知部16の処理を示すフローチャートである。
FIG. 5 is a flowchart showing processing of the connection
図5において、接続状態通知部16は、下位の無線制御部12等からノードの状態を示すビーコン(Beacon)もしくはプローブレスポンス(Probe Response)の送信要求を受信すると(ステップS201)、前述した認証サーバ接続確認部15で管理される認証サーバとの接続状態Sを確認し(ステップS202)、認証サーバとの接続状態Sをビーコンもしくはプローブレスポンスに挿入して送信する(ステップS203)。この際、接続状態Sの内容として、接続可否(オン、オフ)は必須要素であり、オプションとして認証サーバの識別子(ID)を含めることができる。認証サーバの識別子を含めることで、複数の認証サーバが存在する場合の管理を容易にすることができる。
In FIG. 5, upon receiving a beacon (Beacon) or probe response (Probe Response) transmission request indicating the state of a node from the lower
以上の処理により、近隣に存在する他のアクセスポイントに対して自己の認証サーバとの接続状態Sを通知することができる。 Through the above processing, the connection state S with the own authentication server can be notified to other access points in the vicinity.
図6は図3に示した認証処理動作制御部17の処理を示すフローチャートである。
FIG. 6 is a flowchart showing processing of the authentication processing
図6において、認証処理動作制御部17は、近隣の接続対象ノードを検出すると(ステップS301)、自ノードの認証サーバとの接続状態Sを確認し(ステップS302)、続いて接続対象ノードの認証サーバとの接続状態Sを確認する(ステップS303、S306)。
In FIG. 6, when the authentication processing
そして、自ノードの接続状態Sがオフで接続対象ノードの接続状態Sがオンの場合、接続対象ノードに対して自己側を認証される側(Supplicant)として、認証要求部14(図3)による認証処理を開始する(ステップS304)。認証処理が終了した場合は再び近隣の接続対象ノードの検出(ステップS301)に戻る。 When the connection state S of the own node is off and the connection state S of the connection target node is on, the authentication requesting unit 14 (FIG. 3) determines that the self side is authenticated to the connection target node (Supplicant). Authentication processing is started (step S304). When the authentication process is completed, the process returns to the detection of a nearby connection target node (step S301).
また、自ノードの接続状態Sがオフで接続対象ノードの接続状態Sがオフの場合、認証処理を開始せずに待機して更に他のノードの検索を行う(ステップS305、S301)。 When the connection state S of the own node is off and the connection state S of the connection target node is off, the process waits without starting the authentication process and searches for another node (steps S305 and S301).
また、自ノードの接続状態Sがオンで接続対象ノードの接続状態Sがオンの場合、優先度の高い側が認証する側として認証処理を開始する(ステップS307)。優先度としては、例えば、MAC(Media Access Control)アドレスが大きいものを優先度が高いものとすることができる。そして、認証処理が終了した場合は再び近隣の接続対象ノードの検出(ステップS301)に戻る。 Further, when the connection state S of the own node is on and the connection state S of the connection target node is on, the authentication process is started as the authenticating side of the higher priority side (step S307). As the priority, for example, a MAC (Media Access Control) address having a large address can be set to a high priority. When the authentication process is completed, the process returns to the detection of a nearby connection target node (step S301).
また、自ノードの接続状態Sがオンで接続対象ノードの接続状態Sがオフの場合、接続対象ノードに対して自己側を認証する側(Authenticator)として、認証部13(図3)による認証処理を開始する(ステップS308)。認証処理が終了した場合は再び近隣の接続対象ノードの検出(ステップS301)に戻る。 Further, when the connection state S of the own node is on and the connection state S of the connection target node is off, an authentication process by the authenticating unit 13 (FIG. 3) as a side (Authenticator) that authenticates the connection target node Is started (step S308). When the authentication process is completed, the process returns to the detection of a nearby connection target node (step S301).
以上の処理により、認証サーバと接続状態にあるアクセスポイントが近隣のアクセスポイントとの間で認証サーバによる認証を行うことで無線リンクを確立していくことができる。 Through the above processing, an access point connected to the authentication server can establish a wireless link by performing authentication by the authentication server with a neighboring access point.
図7は本発明によるアクセスポイント間のリンクの確立の様子を示す図である。 FIG. 7 is a diagram showing a state of establishing a link between access points according to the present invention.
図7において、当初は(a)に示すように認証サーバAAAとアクセスポイントAP1とが有線ネットワークで接続されているのみであり、アクセスポイントAP1〜AP4の間でまだ無線リンクが確立していないものとする。この時点では、アクセスポイントAP1の接続状態Sはオンであり、他のアクセスポイントAP2〜AP4の接続状態Sはオフである。なお、接続状態Sがオンの場合を「Parent」、接続状態Sがオフの場合を「Child」と付記してある。 In FIG. 7, at first, as shown in (a), the authentication server AAA and the access point AP1 are only connected by a wired network, and a wireless link has not yet been established between the access points AP1 to AP4. And At this time, the connection state S of the access point AP1 is on, and the connection states S of the other access points AP2 to AP4 are off. Note that “Parent” is added when the connection state S is on, and “Child” is added when the connection state S is off.
(a)に示す状態において、アクセスポイントAP1〜AP4は自己の接続状態Sを近隣のアクセスポイントと交換し合い、接続状態SがオンのアクセスポイントAP1と接続状態SがオフのアクセスポイントAP2との間で(b)に示すように認証処理が開始され、リンクが確立する。 In the state shown in (a), the access points AP1 to AP4 exchange their connection state S with neighboring access points, and the access point AP1 in which the connection state S is on and the access point AP2 in which the connection state S is off are exchanged. In the meantime, as shown in (b), the authentication process is started and a link is established.
同様に、(c)(d)に示すように、順次にリンクが確立して行き、全てのアクセスポイントAP1〜AP4の間でリンクが確立する。 Similarly, as shown in (c) and (d), links are sequentially established, and links are established among all the access points AP1 to AP4.
なお、認証サーバAAAを1台として説明したが、認証サーバAAAは複数存在してもよい。また、アクセスポイント間の無線リンクの確立は直線的に行われるとは限らず、配置に応じて枝状に連結していくのが一般的である。 Note that although one authentication server AAA has been described, a plurality of authentication servers AAA may exist. In addition, establishment of a wireless link between access points is not always performed linearly, and is generally connected in a branch shape according to the arrangement.
次に、認証が終了した後の各アクセスポイント間で通信データの暗号化に用いる鍵生成処理の効率化について説明する。 Next, the efficiency of the key generation process used for encrypting communication data between the access points after the authentication is completed will be described.
図8は認証処理終了後の一般的な鍵生成処理を示すシーケンス図であり、「4-Way Handshake」と呼ばれる処理を示している。 FIG. 8 is a sequence diagram showing a general key generation process after the end of the authentication process, and shows a process called “4-Way Handshake”.
図8において、一方のアクセスポイントAP1の認証要求部14において共通鍵PMK(Pairwise Master Key)を保有するとともに、乱数2を生成する(ステップS401)。他方のアクセスポイントAP2の認証部13においても、共通鍵PMKを保有するとともに、乱数1を生成する(ステップS402)。
In FIG. 8, the
そして、アクセスポイントAP2の認証部13から乱数1を含むメッセージ1をアクセスポイントAP1の認証要求部14に送信すると(ステップS403)、アクセスポイントAP1の認証要求部14では乱数1と乱数2と共通鍵PMKからユニキャスト用データの暗号化に必要な鍵PTK(Pairwise Transient Key)を作成する(ステップS404)。なお、ユニキャスト用データの暗号化に必要な鍵PTKは、通常はステーションからアクセスポイントへの上り方向のデータの暗号化に用いられる鍵であり、送信相手となるアクセスポイントだけが解読できればよいことからユニキャスト用とされている。
When the message 1 including the random number 1 is transmitted from the
次いで、アクセスポイントAP1の認証要求部14は乱数2と認証子(MIC:Message Integrity Code)を含むメッセージ2をアクセスポイントAP2の認証部13に送信し(ステップS405)、アクセスポイントAP2の認証部13では乱数1と乱数2と共通鍵PMKからユニキャスト用データの暗号化に必要な鍵PTKを作成する(ステップS406)。
Next, the
次いで、アクセスポイントAP2の認証部13ではブロードキャスト用データの暗号化に必要な鍵GTK(Group Transient Key)を作成する(ステップS407)。なお、ブロードキャスト用データの暗号化に必要な鍵GTKは、通常はアクセスポイントから配下の複数のステーションへの下り方向のデータの暗号化に用いられる鍵であり、複数のステーションで解読する必要があるためブロードキャスト用とされている。
Next, the
次いで、アクセスポイントAP2の認証部13は鍵PTKの利用指示、認証子、暗号化された鍵GTKを含むメッセージ3をアクセスポイントAP1の認証要求部14に送信し(ステップS408)、アクセスポイントAP1の認証要求部14は確認および認証子を含むメッセージ4をアクセスポイントAP2の認証部13に送信する(ステップS409)。
Next, the
以上の処理により、両側のアクセスポイントAP1、AP2においてユニキャスト用データの暗号化に必要な鍵PTKが取得されるとともに、アクセスポイントAP2で作成したブロードキャスト用データの暗号化に必要な鍵GTKがアクセスポイントAP1側に伝達される。通常は図9に示すように一方が認証要求部しか必要のないステーション(STA)で他方が認証部しか必要のないアクセスポイント(AP)であるため、上記の処理により両者間のデータ通信に必要な鍵の生成は完了するが、本発明におけるように両者が対等な関係にあるアクセスポイント間の場合、すなわち図10に示すように両アクセスポイントに認証部と認証要求部が必要となる場合には、図8に示した処理を各アクセスポイントAP1、AP2の認証要求部14と認証部13を入れ替えてもう一度実行する必要がある。このため、鍵生成の処理に時間がかかるという問題がある。更に、この鍵の生成は各アクセスポイント間で1回行えばよいというものではなく、セキュリティを向上するために所定の時間もしくは所定のデータ量の通信が行われる都度に行われるものであるため、その処理時間の問題はデータ通信のスループットを悪化させる要因となる。
Through the above processing, the key PTK necessary for encrypting the unicast data is obtained at the access points AP1 and AP2 on both sides, and the key GTK necessary for encrypting the broadcast data created by the access point AP2 is accessed. It is transmitted to the point AP1 side. Normally, as shown in FIG. 9, one is a station (STA) that only requires an authentication request unit, and the other is an access point (AP) that only requires an authentication unit. Key generation is completed, but when the access points are in the same relationship as in the present invention, that is, when an authentication unit and an authentication request unit are required for both access points as shown in FIG. Needs to execute the process shown in FIG. 8 once again by replacing the
そこで、本発明の第2の実施形態では、鍵生成の処理を効率化する技術を提案している。 Therefore, the second embodiment of the present invention proposes a technique for improving the efficiency of key generation processing.
図11は本発明の第2の実施形態にかかる無線通信装置の構成図である。 FIG. 11 is a configuration diagram of a wireless communication apparatus according to the second embodiment of the present invention.
図11において、無線アドホックネットワークシステムを構成するアクセスポイント(ノード)として機能する無線通信装置10には、認証する側(Authenticator)の処理を行う認証部13と、認証される側(Supplicant)の処理を行う認証要求部14とともに、ブロードキャスト用データの暗号化に必要な鍵を保存し、自己が認証する側もしくは認証される側のいずれとして動作する場合にも共通に参照可能とすることでGTKに不一致が生じないようにするための鍵保存部としてのGTK保存部18が設けられ、認証部13および認証要求部14は鍵生成のハンドシェイクに際し、自己が認証する側もしくは認証される側のいずれの場合であっても、GTK保存部18からブロードキャスト用データの暗号化に必要な鍵を読み出し、ハンドシェイクの相手となるアクセスポイントに送信するようになっている。なお、他の構成は図3に示したものと同様である。
In FIG. 11, the
図12は第2の実施形態における鍵生成処理を示すシーケンス図である。 FIG. 12 is a sequence diagram showing a key generation process in the second embodiment.
図12において、一方のアクセスポイントAP1の認証要求部14において共通鍵PMKを保有するとともに、乱数2を生成する(ステップS501)。他方のアクセスポイントAP2の認証部13においても、共通鍵PMKを保有するとともに、乱数1を生成する(ステップS502)。
In FIG. 12, the
そして、アクセスポイントAP2の認証部13から乱数1を含むメッセージ1をアクセスポイントAP1の認証要求部14に送信すると(ステップS503)、アクセスポイントAP1の認証要求部14では乱数1と乱数2と共通鍵PMKからユニキャスト用データの暗号化に必要な鍵PTKを作成する(ステップS504)。
When the message 1 including the random number 1 is transmitted from the
更に、アクセスポイントAP1の認証要求部14ではブロードキャスト用データの暗号化に必要な鍵GTK1をGTK保存部18から読み込み、鍵GTK1が保存されていなければ作成してGTK保存部18に保存する(ステップS505)。
Further, the
次いで、アクセスポイントAP1の認証要求部14は乱数2と認証子(MIC)と暗号化された鍵GTK1を含むメッセージ2をアクセスポイントAP2の認証部13に送信し(ステップS506)、アクセスポイントAP2の認証部13では乱数1と乱数2と共通鍵PMKからユニキャスト用データの暗号化に必要な鍵PTKを作成する(ステップS507)。
Next, the
次いで、アクセスポイントAP2の認証部13ではブロードキャスト用データの暗号化に必要な鍵GTK2をGTK保存部18から読み込み、鍵GTK2が保存されていなければ作成してGTK保存部18に保存する(ステップS508)。
Next, the
次いで、アクセスポイントAP2の認証部13は鍵PTKの利用指示、認証子、暗号化された鍵GTK2を含むメッセージ3をアクセスポイントAP1の認証要求部14に送信し(ステップS509)、アクセスポイントAP1の認証要求部14は確認および認証子を含むメッセージ4をアクセスポイントAP2の認証部13に送信する(ステップS510)。
Next, the
以上の処理を1回行うことにより、各アクセスポイント間で通信データの暗号化に用いる鍵生成処理が完了することになり、処理を効率化することができる。 By performing the above processing once, the key generation processing used for encryption of communication data between the access points is completed, and the processing can be made efficient.
以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。 The present invention has been described above by the preferred embodiments of the present invention. While the invention has been described with reference to specific embodiments, various modifications and changes may be made to the embodiments without departing from the broad spirit and scope of the invention as defined in the claims. Obviously you can. In other words, the present invention should not be construed as being limited by the details of the specific examples and the accompanying drawings.
10 無線通信装置
11 無線信号処理部
12 無線制御部
13 認証部
14 認証要求部
15 認証サーバ接続確認部
16 接続状態通知部
17 認証処理動作制御部
18 GTK保存部
AP1〜AP4 アクセスポイント
AAA 認証サーバ
DESCRIPTION OF
Claims (9)
認証サーバとの接続状態を確認する認証サーバ接続確認部と、
上記認証サーバとの接続状態を近隣のアクセスポイントに通知する接続状態通知部と、
近隣のアクセスポイントを検出した場合に、自己および近隣のアクセスポイントの上記認証サーバとの接続状態に基づき、認証する側もしくは認証される側のいずれかを選択して認証処理の実行制御を行う認証処理動作制御部とを備え、
上記認証処理動作制御部は、自己の接続状態がオフで近隣のアクセスポイントの接続状態がオンである場合に認証される側として認証処理を開始し、自己の接続状態がオンで近隣のアクセスポイントの接続状態がオフである場合に認証する側として認証処理を開始することを特徴とする無線通信装置。 A wireless communication device that functions as an access point constituting a wireless ad hoc network system,
An authentication server connection confirmation unit for confirming a connection state with the authentication server;
A connection state notification unit for notifying a nearby access point of a connection state with the authentication server;
Authentication that controls the execution of the authentication process by selecting either the authenticating side or the authenticated side based on the connection status of the self and neighboring access points with the authentication server when a neighboring access point is detected A processing operation control unit ,
The authentication processing operation control unit starts the authentication process as an authenticated side when the connection state of the self is off and the connection state of the neighboring access point is on. A wireless communication apparatus , wherein authentication processing is started as an authenticating side when the connection state of the wireless communication device is off.
鍵生成のハンドシェイクに際し、自己が認証する側もしくは認証される側のいずれの場合であっても、上記鍵保存部から上記ブロードキャスト用データの暗号化に必要な鍵を読み出し、ハンドシェイクの相手となるアクセスポイントに送信する手段とを備えたことを特徴とする請求項1乃至7のいずれか一項に記載の無線通信装置。 Save the key necessary to encrypt the data for broadcast, a key storing section that can be referenced in common even in the case of operating as either side of the self is the side or authentication to authenticate,
In the handshake of key generation, the key necessary for encrypting the broadcast data is read out from the key storage unit, regardless of whether it is the authenticating side or the authenticating side. The wireless communication apparatus according to claim 1 , further comprising a means for transmitting to the access point.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004275587A JP4498871B2 (en) | 2004-09-22 | 2004-09-22 | Wireless communication device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004275587A JP4498871B2 (en) | 2004-09-22 | 2004-09-22 | Wireless communication device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006094004A JP2006094004A (en) | 2006-04-06 |
JP4498871B2 true JP4498871B2 (en) | 2010-07-07 |
Family
ID=36234566
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004275587A Active JP4498871B2 (en) | 2004-09-22 | 2004-09-22 | Wireless communication device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4498871B2 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4281768B2 (en) | 2006-08-15 | 2009-06-17 | ソニー株式会社 | Communication system, radio communication apparatus and control method thereof |
US9198033B2 (en) | 2007-09-27 | 2015-11-24 | Alcatel Lucent | Method and apparatus for authenticating nodes in a wireless network |
FR2936677A1 (en) * | 2008-09-26 | 2010-04-02 | France Telecom | DISTRIBUTION OF AN AUTHENTICATION FUNCTION IN A MOBILE NETWORK |
JP5472977B2 (en) * | 2009-08-27 | 2014-04-16 | 日本電気通信システム株式会社 | Wireless communication device |
JP5994401B2 (en) * | 2012-06-05 | 2016-09-21 | 株式会社リコー | Communication method and communication system |
US10003525B2 (en) * | 2014-11-14 | 2018-06-19 | Fisher-Rosemount Systems, Inc. | Methods and apparatus to provide redundancy in a process control system |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0856383A (en) * | 1994-06-30 | 1996-02-27 | At & T Corp | Mobile telephone memorizing node-number of resident switching node |
JPH11308276A (en) * | 1998-04-22 | 1999-11-05 | Nippon Telegr & Teleph Corp <Ntt> | Route selection device |
JP2003169089A (en) * | 2001-11-29 | 2003-06-13 | Ancl Inc | Stream data decentralized distribution method and its system |
JP2003348072A (en) * | 2002-05-30 | 2003-12-05 | Hitachi Ltd | Method and device for managing encryption key in autonomous distribution network |
JP2004072565A (en) * | 2002-08-08 | 2004-03-04 | Tdk Corp | Method, system and device for radio lan communication, radio terminal used in the system, communication control program and recording medium recorded with the program |
-
2004
- 2004-09-22 JP JP2004275587A patent/JP4498871B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0856383A (en) * | 1994-06-30 | 1996-02-27 | At & T Corp | Mobile telephone memorizing node-number of resident switching node |
JPH11308276A (en) * | 1998-04-22 | 1999-11-05 | Nippon Telegr & Teleph Corp <Ntt> | Route selection device |
JP2003169089A (en) * | 2001-11-29 | 2003-06-13 | Ancl Inc | Stream data decentralized distribution method and its system |
JP2003348072A (en) * | 2002-05-30 | 2003-12-05 | Hitachi Ltd | Method and device for managing encryption key in autonomous distribution network |
JP2004072565A (en) * | 2002-08-08 | 2004-03-04 | Tdk Corp | Method, system and device for radio lan communication, radio terminal used in the system, communication control program and recording medium recorded with the program |
Also Published As
Publication number | Publication date |
---|---|
JP2006094004A (en) | 2006-04-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10123257B2 (en) | Wireless extender secure discovery and provisioning | |
JP6262308B2 (en) | System and method for performing link setup and authentication | |
CN1836404B (en) | Method and system for reducing cross switch wait time | |
US8150372B2 (en) | Method and system for distributing data within a group of mobile units | |
JP4551202B2 (en) | Ad hoc network authentication method and wireless communication terminal thereof | |
US8385550B2 (en) | System and method for secure wireless multi-hop network formation | |
EP2063567B1 (en) | A network access authentication and authorization method and an authorization key updating method | |
US7804807B2 (en) | Managing establishment and removal of security associations in a wireless mesh network | |
JP4921557B2 (en) | Security authentication and key management method in infrastructure-based wireless multi-hop network | |
CN101232378B (en) | Authentication accessing method of wireless multi-hop network | |
JP5786233B2 (en) | Station-to-station security association in the Personal Basic Service Set | |
CN102685741B (en) | Access authentication processing method and system, terminal as well as network equipment | |
US20100332828A1 (en) | Apparatus and method for sharing of an encryption key in an ad-hoc network | |
CN101375545A (en) | Method and arrangement for providing a wireless mesh network | |
JP2010503330A (en) | Method and apparatus for establishing a security association between nodes of an ad hoc wireless network | |
JP2011514032A (en) | Wireless multi-hop network authentication access method, apparatus and system based on ID | |
WO2014040481A1 (en) | Authentication method and system for wireless mesh network | |
US20100023752A1 (en) | Method and device for transmitting groupcast data in a wireless mesh communication network | |
EP2428056A1 (en) | Topology based fast secured access | |
JP4498871B2 (en) | Wireless communication device | |
KR20120050364A (en) | Security system and method for data communication in factory | |
EP4250641A1 (en) | Method, devices and system for performing key management | |
JP2011049814A (en) | Radio communication equipment | |
Pedersen et al. | Formation of secure wireless ad-hoc sensor networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070910 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100112 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100119 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100319 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100413 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100414 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130423 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4498871 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130423 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140423 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |