JP4550759B2 - 通信システム及び通信装置 - Google Patents

通信システム及び通信装置 Download PDF

Info

Publication number
JP4550759B2
JP4550759B2 JP2006084673A JP2006084673A JP4550759B2 JP 4550759 B2 JP4550759 B2 JP 4550759B2 JP 2006084673 A JP2006084673 A JP 2006084673A JP 2006084673 A JP2006084673 A JP 2006084673A JP 4550759 B2 JP4550759 B2 JP 4550759B2
Authority
JP
Japan
Prior art keywords
key
communication
communication device
key information
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006084673A
Other languages
English (en)
Other versions
JP2007259386A (ja
Inventor
敬子 大久保
盛仁 宮城
和彦 相良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2006084673A priority Critical patent/JP4550759B2/ja
Publication of JP2007259386A publication Critical patent/JP2007259386A/ja
Application granted granted Critical
Publication of JP4550759B2 publication Critical patent/JP4550759B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、通信システム及び通信装置に係り、特に、暗号化通信を行う二つの通信装置間における新規通信ネゴシエーション時の認証及び鍵配信であり、有線ネットワークに接続された一つ以上のアクセスポイント(Access Point、以下AP)と、APを介してネットワークに接続する一つ以上の端末装置(Station、以下STA)によって構成される無線LANシステムにおける、AP・STA間での認証及び鍵配布を実現するための通信システム及び通信装置に関する。
認証方式には、例えば、第一に、IEEE802.11に定められたWEP(Wired Equivalent Privacy)方式がある。WEP方式では、AP1とSTAに共通の鍵(WEPキー)を設定し、WEPキーを用いて、CHAP(Challenge Handshake Authentication Protocol)認証、暗号化通信を行う。また、接続を許可するSTAのMACアドレスをAP1に登録し、登録外のMACアドレスを持つSTAには接続を許可しない。更に、認証要求時に正しいService Set−ID(SS−ID)を通知してきたSTAのみに接続を許可する。WEP方式では、これらの3つの方法により、部外者の無線LANへの接続を防ぐ。
第二に、IEEE802.11iに定められたWPA2(Wi−Fi Protected Access 2)−EAP方式がある。IEEE802.1xをベースに認証を行う方式であり、認証サーバを用い、EAP(Extensible Authentication Protocol、例えば非特許文献1参照)により認証を行うため、企業向けとされ、WPA2−企業モードとも呼ばれる。
第三に、上述の第二の方式と同様にIEEE802.11iに定められたWPA2−PSK方式がある。予めAPとSTAに同じ鍵(PSK:preshared keys)を設定し、APとSTAがPSKを基に同じ計算方法でそれぞれ暗号化の鍵を生成し、暗号化通信を行う方式である。双方が同じPSKを持っていることが通信成功の必要条件となる。認証サーバを用いないためWPA2−EAPよりも簡易に使用でき、WPA2−ホームモード、WPA2−個人モードとも呼ばれる。
上述の第二、三の方式では、暗号化自体の強度も第一の方式より高められている。
IETF RFC3748、2004年6月
上記背景技術にはそれぞれ課題がある。第一の方式は鍵長の短さ、固定鍵の使用による脆弱性が指摘されており、WEPキー解読が可能な無線アクセス解析ツールも公開されている。解読したWEPキーの使用による盗聴や、解読したWEPキーとMACアドレスの偽装による成りすましSTAの問題が指摘されている。
第二の方式は、認証サーバを用いて認証を行うため、第一の方式と比較して堅牢な認証が可能である。また、処理フロー内に鍵配布プロセスを含むEAPタイプを使用することにより、固定鍵使用による脆弱性を払拭することができる。しかし、認証サーバを必要とするため、一般家庭、小規模オフィスなどには不向きである。
第三の方式は、予め共通の鍵をAP、STAに設定しておく点は第一の方式と同じだが、暗号化の強度が高い点で第一の方式に優る。しかし、暗号化の鍵の基となるPMK(Pairwise Master Key)を固定のPSKから導いており、弱いPSKを使用した場合にクラックされる危険が指摘され、クラックツールも公開されている。また、同一のAPを使用する複数のSTAで共通のPSKを使用した場合、あるSTAの通信を別のSTAが盗聴することが可能である。例えば、グループからの離脱者がMACアドレスを偽装し、不正にAPにアクセスすることも可能である。更に、PMKが固定されることによる暗号解読の危険が高まる。
本発明は、以上の点に鑑み、MACアドレス偽装による端末装置の成りすましを防ぐ通信システム及び通信装置を提供することを目的とする。また、本発明は、暗号解読のリスクを低減することを目的とする。更に、本発明は、他の端末装置によるPMKの盗聴を困難とすることを目的のひとつとする。また、本発明は、第三者によって不正に設置されたアクセスポイントによる成りすましを防止することを目的のひとつとする。
また、本発明は、家庭内、及び小規模オフィスにおいて、本構成を適用することにより、認証サーバを設置することなく端末認証を実施し、第三者の不正使用を防ぐことを目的のひとつとする。また、本発明は、成り済ましアクセスポイント、端末装置、サーバへの接続を防ぐことを目的のひとつとする。
STA1〜nが、通信ネゴシエーション時に暗号化鍵の基となるPMKを生成し、AP1に送信することにより、STA毎、通信毎に、異なるPMKを使用する。また、前回通信時の鍵の情報をAP1とSTA1〜nに記録し、新たな通信開始時の認証に用いる。更に、AP1とSTA1〜nに公開鍵暗号方式の対となる非対称鍵(Key−A、Key−S)を設定し、STA1〜nからAP1にPMK及び前回鍵情報を送信する際には、Key−Sで暗号化する。AP1はKey−Aにより前回鍵情報を復号し、検証する。また、AP1はPMKをKey−Aを用いて復号し、AP1とSTA1〜nはそれぞれ同じ方法により、PMKから暗号化の鍵を算出し、この鍵を用いて暗号化通信を行う。
本発明の第1の解決手段によると、
他の通信装置との前回又は過去の通信時の暗号化及び/又は復号化のための第1の鍵、及び、該第1の鍵を生成するための第1の情報のいずれか又は双方を含む第1の鍵情報が記録される第1の記録手段を有する第1の通信装置と、
前記第1の通信装置との前回又は過去の通信時の暗号化及び/又は復号化のための第1の鍵、及び、該第1の鍵を生成するための第1の情報のいずれか又は双方を含む第1の鍵情報が記録される第2の記録手段を有し、前記第1の通信装置と暗号化通信を行う第2の通信装置と
を備え、
前記第1の通信装置が、
前記第2の通信装置との新規通信ネゴシエーション時に、前記第1の記録手段から、前記第2の通信装置に対応する第1の鍵情報を読み出し、
前記第2の通信装置に、読み出された第1の鍵情報を送信し、
前記第2の通信装置が、
前記第2の記録手段に記録された、第1の通信装置に対応する第1の鍵情報と、前記第1の通信装置から受信された第1の鍵情報とを比較することにより、前記第1の通信装置の認証を行う通信システムが提供される。
本発明の第2の解決手段によると、
端末と暗号化通信を行う通信装置であって、
前記端末との前回又は過去の通信時の暗号化及び復号化のための第1の鍵、及び、該第1の鍵を生成するための第1の情報のいずれか又は双方を含む第1の鍵情報を記録する記録手段と、
処理部と
を備え、
前記処理部は、
前記端末から、前回又は過去の通信時の暗号化及び復号化のための第1の鍵、及び、該第1の鍵を生成するための第1の情報のいずれか又は双方を含む第1の鍵情報を受信し、
前記記録手段に記録された第1の鍵情報と、前記端末から受信された第1の鍵情報とを比較することにより、前記端末の認証を行う前記通信装置が提供される。
本発明の第3の解決手段によると、
他の通信装置との前回又は過去の通信時の暗号化及び/又は復号化のための第1の鍵、及び、該第1の鍵を生成するための第1の情報のいずれか又は双方を含む第1の鍵情報が記録される第1の記録手段を有する第1の通信装置と、
前記第1の通信装置との前回又は過去の通信時の暗号化及び/又は復号化のための第1の鍵、及び、該第1の鍵を生成するための第1の情報のいずれか又は双方を含む第1の鍵情報が記録される第2の記録手段を有し、前記第1の通信装置と暗号化通信を行う第2の通信装置と
を備え、
前記第1及び第2の通信装置はそれぞれ、
自装置の前記第1又は第2の記録手段に記録された第1の鍵情報を読み出し、
読み出された第1の鍵情報に基づき、予め定められた計算方法により第2の鍵を生成し、
自装置の前記第1又は第2の記録手段に記録された第1の鍵情報を、生成された第2の鍵及び該第2の鍵を生成するための第2の情報のいずれか又は双方を含む第2の鍵情報に更新し、及び、
生成された第2の鍵を用いて、互いに暗号化通信を行う前記通信システムが提供される。
本発明の第4の解決手段によると、
端末と暗号化通信を行う通信装置であって、
前記端末との前回又は過去の通信時の暗号化及び復号化のための第1の鍵、及び、該第1の鍵を生成するための第1の情報のいずれか又は双方を含む第1の鍵情報を記録する記録手段と、
処理部と
を備え、
前記処理部は、
前記記録手段に記録された第1の鍵情報を読み出し、
読み出された第1の鍵情報に基づき、予め定められた計算方法により第2の鍵を生成し、
前記記録手段に記録された第1の鍵情報を、生成された第2の鍵及び該第2の鍵を生成するための第2の情報のいずれか又は双方を含む第2の鍵情報に更新し、及び、
生成された第2の鍵を用いて、前記端末と暗号化通信を行う前記通信装置が提供される。
本発明によると、例えば前回通信時の鍵情報を新たな通信開始時の認証に使うため、MACアドレス偽装による端末装置の成りすましを防ぐことが可能となる。また、本発明によると、例えば端末装置毎、通信毎に異なるPMKを用いるため、暗号解読のリスクを低減することが可能である。更に、本発明によると、例えばPMKは端末装置がKey−Sで暗号化してアクセスポイントに送るため、他の端末装置による盗聴は困難である。また、本発明によると、例えばKey−Sにより暗号化されたPMKはKey−Aを持つアクセスポイントのみが復号可能であり、第三者によって不正に設置されたアクセスポイントによる成りすましを防止することができる。
また、本発明によると、家庭内、及び小規模オフィスにおいて、本構成を適用することにより、認証サーバを設置することなく端末認証を実施し、第三者の不正使用を防ぐことが可能である。また、本発明によると、成り済ましアクセスポイント、端末装置、サーバ防ぐことができる。
以下、図面を用いて本発明の実施の形態について説明する。なお、これによって本発明が限定されるものではない。
以下の各実施の形態では通信のネゴシエーション、及び実データ通信時の暗号化通信にIEEE802.11iで定義された方法を用いる。暗号鍵の生成に用いる各要素のIEEE802.11iにおける定義を以下に示す。
PTK(Pairwise Transient Key):PMK、SNonce、ANonce、APのアドレス、STAのアドレスを基に、決められた計算式で算出される。図24に示すように、5つの鍵(temporal encryption key、two temporal message integrity code(MIC) keys、EAPOL−Key encryption key、EAPOL−Key confirmation key)に分割される。
ANonce/SNonce:AP/STAで生成され、PTK生成の為に一時的に使用される乱数値であり、PTKを算出する計算式に入力される。
MIC:MICキーでの暗号化によって得られる値であり、メッセージダイジェストの一種である。メッセージの改ざんを防ぐ。
なお、IEEE802.11iを用いた例について説明するが、他の方法を用いてもよい。
1.第1の実施の形態
図1は、無線LANシステムの構成例を示す図である。
無線LANシステムは、例えば、AP1(第2の通信装置)(101)と、ひとつ又は複数のSTA(第1の通信装置)(103−1〜n)とを備える。AP1(101)とSTA(103)は、無線通信する。STA(103)は、AP1(101)を介してインターネット104等のネットワークと通信できる。なお、AP1(101)、STA(103)の数は、図示の数以外にも適宜の数を備えることができる。本実施の形態では、AP1(101)とSTA1〜STAn(103−1〜n)に公開鍵暗号方式の対となる非対称鍵(Key−A1、Key−S1)を設定する。ここでは、Key−A1をAP1(101)の秘密鍵、Key−S1をAP1(101)の公開鍵と呼ぶ。
図2は、AP1(101)の構成図である。図3は、STAデータテーブルの構成図である。
AP1(101)は、CPU(処理部)(201)と、メモリ(202)と、記憶装置(207)と、STAデータテーブル(第2の記録手段)(102)と、インタフェース(208)とを備える。メモリ(202)は、認証・アクセス制御プログラム(203)、鍵算出プログラム(204)、暗号化・復号プログラム(205)、及び、通信プログラム(206)を有する。記憶装置(207)は、SS−ID及び秘密鍵(Key−A1)を保持する。STAデータテーブル(102)は、図3に示すように、AP1(101)への接続を許可するSTA1−n(103−1〜n)のMACアドレス(301)と、前回通信時の鍵情報(302)をペアで(対応して)記録する。認証・アクセス制御プログラム(203)では、STA1〜n(103−1〜n)から受信した「前回通信時の鍵情報、及び、新規PMK」を秘密鍵(Key−A1)で復号する。その後、前回鍵情報とSTA1〜n(103−1〜n)のMACアドレスの組み合わせを、STAデータテーブル(102)を用いて検証し、一致するとネゴシエーション処理を先に進め、不一致の場合はSTA1〜n(103−1〜n)へエラーを通知し、処理を終了する。なお、メモリ(202)、記憶装置(207)、STAデータテーブル(102)は、ひとつの記憶部で構成してもよいし、複数の記憶部で構成してもよい。
図4は、STA1〜n(103−1〜n)の構成図である。図5は、APデータテーブルの構成図である。
STA(103)は、CPU(処理部)(401)と、メモリ(402)と、APデータテーブル(第1の記録手段)(408)と、インタフェース(409)とを備える。メモリ(402)は、AP選択プログラム(403)、PMK生成・鍵情報送信プログラム(404)、鍵算出プログラム(405)、暗号化・復号プログラム(406)、及び、通信プログラム(407)を有する。図5に、APデータテーブル(408)の例を示す。図5の例は、STA1(103−3)のAPデータテーブル(408)の例である。STA1(103−1)が設置場所の異なる複数のAPに登録された端末である場合、STA1はAP毎に異なる情報を記録しておく。APデータテーブル(408)は、STA1(103−1)が接続するAPの識別子(501)、そのAPに対応する公開鍵(502)、及び、そのAPとの前回通信時の鍵情報(503)の組を記録する。ここでは、AP識別子(501)としてSS−IDを用いる。なお、SS−ID以外の適宜の識別子を用いてもよい。
AP選択プログラム(403)は、AP1(101)との通信ネゴシエーション時、自動又は手動で、通信可能なAP1(101)のひとつを選択する。PMK生成・鍵情報送信プログラム(404)では、PMKを生成し、APデータテーブル(408)から前回鍵情報(Old−key−11)503、及び、AP1(101)の公開鍵(Key−S1)(502)を検索する。また、PMK生成・鍵情報送信プログラム(404)は、PMK、及び前回鍵情報(Old−key−11)を、AP1(101)の公開鍵(Key−S1)を用いて暗号化し、AP1(101)へ送信する。なお、メモリ(402)、APデータテーブル(408)は、ひとつの記憶部で構成してもよいし、複数の記憶部で構成してもよい。
図6は、無線通信開始時のシーケンス図である。
AP1(101)とSTA1(103−1)には、非対称鍵Key−A1、Key−S1がそれぞれ設定してあり、図3、5に示すデータテーブル(102、408)が構成されているものとする。通信開始時は、まずSTA1(103−1)がプロブ要求を送信する(処理601)。プロブ要求では、例えば、SSID及びサポートする通信速度を通知する。AP1(101)はプロブ要求を受け、プロブ応答を送信する(処理602)。プロブ応答には、例えばサポートする認証方法・暗号方法のリストなどが含まれる。プロブ応答を受けたSTA1(103−1)は、802.11オープン認証要求を送信し(処理604)、認証方法としてオープンシステム認証を指定する。オープンシステム認証では全ての要求に対して接続を許可するため、AP1(101)はこの段階では認証処理を行わず、802.11オーブン認証応答を送信し、成功を通知する(処理605)。オープン認証要求・応答のやり取りは、802.11iの通信ネゴシエーションの中では意味を成さないが、他方式との互換性のために行うものであり、省略することもできる。
STA1(103−1)は、オープン認証応答を受けると、アソシエーション要求を送信し(処理606)、使用する認証方法・暗号方法などを通知する。AP1(101)はアソシエーション要求を受け、アソシエーション応答を送信する(処理607)。アソシエーション応答には、アソシエーションの結果(成功/失敗)、Association ID(AID)などが含まれる。AIDは、AP(101)が、STA(103−1)と、ここまでのネゴシエーションの結果を結びつけるためのIDである。
プロブ要求(処理601)からアソシエーション応答(処理607)まではIEEE802.11iに定められた方式であり、今後使用する認証方法、暗号化方式がネゴシエーションされる(処理603)。ここでは、認証方法として新たに本実施の形態の方式を追加し、アソシエーション要求(処理606)時に、本方式による認証、鍵生成を指定する。
STA1(103−1)は、通信をネゴシエーションする度に、乱数発生によりPMK(ここでは、例えば256bitsの乱数)を新規に生成する(処理608)。また、STA1(103−1)は、公開鍵(502)と、前回通信時の鍵情報(503)とを、APデータテーブル(408)から読み出す。この例では、AP1のSS−ID(501)に対応する公開鍵Key−S1と、前回鍵情報Old−key−11が読み出される。STA1(103−1)は、PMKと前回鍵情報を公開鍵Key−S1を用いて暗号化し、AP1(101)へ送信する(処理609)。AP1(101)はPMK、及び前回鍵情報を秘密鍵Key−A1を用いて復号し、図3のSTAデータテーブル(102)を用いて、前回鍵情報を検証する(処理610)。復号された前回鍵情報と、STAデータテーブル(102)の前回鍵情報が一致すると、次のステップ(617)に進む。なお、STAデータテーブル(102)の前回鍵情報は、STA1(103−1)から受信したパケットに含まれるMACアドレスに基づき、STAデータテーブル(102)を参照し、対応する前回鍵情報(302)を用いる。
STA1(103−1)とAP1(101)は、IEEE802.11iに定められた4−way handsake(処理617)により、暗号鍵のネゴシエーションを行い、暗号化通信を開始する(処理622)。以下、4−way handshake概略を説明する(詳細は、IEEE802.1xに規定)。
4−way handshake(処理617)では、IEEE802.1Xで規定されたEAPOL−Key frameを使用する。STA1(103−1)は乱数生成などの手段でSNonceを生成し(処理611)、AP1(101)も同様にANonceを生成する(処理612)。AP1(101)は、ANonceを含むEAPOL−Key frameを作成し、STA1(103−1)に送信する(処理613)。STA1(103−1)はANonceを受信すると、予め定められた計算式にPMK、SNonce、ANonce、AP1(101)のアドレス、STA1(103−1)のアドレスを入力してPTKを算出する(処理614)。STA1(103−1)は、SNonceと、改ざんを防止する為のMIC(message integrity code。データを、対称鍵(MIC Key)を用いて暗号化した値)とを含むEAPOL−Key frameを作成し、AP1(101)に送信する(処理615)。AP1(101)はSTA1(103−1)と同様にPTKを算出し(処理616)、MICを含むEAPOL−Key frameを作成し、STA1(103−1)へ送信する(処理618)。STA1(103−1)は、MICを含むEAPOL−Key frameを作成し、AP1(101)へ送信する。MIC受信時(処理615、618、619)にMICの検証を行うことにより、AP1(101)、STA1(103−1)は互いに通信相手が正しいPTKを算出できたかどうかを判断できる。
AP1(101)、STA1(103−1)は、4−way handshake(処理617)終了後、PTKをインストールし、前回通信時の鍵情報を更新する(処理620、621)。例えば、STA1(103−1)は、APデータテーブル(408)の、AP1のSS−IDに対応する前回鍵情報(503)を、算出されたPTKに書き換える。また、AP1(101)は、STAデータテーブル(102)の、STA1(103−1)のMACアドレスに対応する前回鍵情報(302)を、算出されたPTKに書き換える。STA1(103−1)と、AP1(101)は、例えば算出されたPTK又はPTKを分割した5つの鍵を用いて暗号化通信する(処理622)。
STA1(103−1)からAP1(101)へ送信する認証用の前回鍵情報としては、PMK、PTK、及び、PTKから作られる5つのキー(図24参照)の単独、又は組み合わせでの利用が可能である。また、STAデータテーブル(102)、APデータテーブル(408)に記憶される前回鍵情報も同様である。
図7は、STA1(103−1)の動作を示すフローチャートである。STA1(103−1)は、以下の処理を順次行う。
通信ネゴシエーション開始時に手動又は自動でAP1(101)を選択し(処理702)、AP1(101)へプロブ要求を送信する(処理703)。AP1(101)からプロブ応答を受信すると(処理704)、802.11オープン認証要求を送信する(処理705)。AP1(101)から802.11オープン認証応答を受信すると(処理706)、アソシエーション要求を送信する(処理707)。AP1(101)からアソシエーション応答を受信すると(処理708)、新規PMKを生成する(処理709)。新規PMK、及び前回鍵情報をAP1の公開鍵Key−S1を用いて暗号化し、送信する(処理710)。
次に、SNonceを生成する(処理711)。AP1(101)からANonceを受信すると(処理712)、PTKを算出し(処理713)、SNonce、MICを含むEAPOL−Key frameを作成し、送信する(処理714)。AP1(101)からMICを含むEAPOL−Key frameを受信すると(処理715)、MICのチェックを行う(処理716)。MICのチェックがOKであれば(処理716)、MICを含むEAPOL−Key frameを生成し、送信する(処理717)。その後、PTKをインストールし、APデータテーブル(408)内の前回鍵情報(503)を更新し(処理718)、暗号化通信を開始する(処理719)。
上述の処理704で期待する応答を得られずにタイムアウトを迎えた時は、処理720の判定を行う。例えば、再送回数が予め設定された最大再送回数以下であれば処理703へ戻り、一方、最大再送回数を超過する場合はネットワーク未接続のメッセージを表示して(処理725)、処理を終了する。同様に、処理706、708、712で期待する応答を得られずにタイムアウトを迎えた時は、再送回数が設定された最大再送回数以下であれば(処理726、721、728)、それぞれ処理705、707、727へ移り、一方、最大再送回数を超過する場合は処理703に戻る。処理727では、暗号化した「新規PMKと前回鍵情報」をAP1(101)に再送し(処理727)、処理712に移る。
処理715でMICを含むEAPOL−frameを受信せず、AP1(101)からエラーメッセージを受信した場合は(処理722)、エラーメッセージを表示して(処理724)、処理を終了する。EAPOL−frameを受信せず、タイムアウトを迎えた場合は(処理722)、再送回数が最大再送回数以下であれば(処理723)、処理714に戻り、一方、最大再送回数を超過する場合は処理703に戻る。処理716でMICのチェックがエラーとなった時は、エラーメッセージを送信し(処理729)、STA自身にエラーメッセージを表示して(処理730)、処理を終了する。なお、再送回数は、適宜カウントされる。
図8は、AP1(101)の動作を示すフローチャートである。AP1(101)は、以下の処理を順次行う。
STA1(103−1)からのプロブ要求を受信し(処理802)、SS−IDが一致し、登録されたMacアドレスのSTAからの要求であれば(処理803)、プロブ応答を送信する(処理804)。STA1から802.11認証要求を受信すると(処理805)、802.11認証応答を送信する(処理806)。STA1(103−1)からアソシエーション要求を受信すると(処理807)、アソシエーション応答を送信する(処理808)。
STA1(103−1)から公開鍵Key−S1によって暗号化された新規PMK及び前回鍵情報を受信すると(処理809)、それぞれを秘密鍵Key−A1によって復号する(処理810)。また、STAデータテーブル(102)を用いて前回鍵情報を検証する(処理811)。前回鍵情報が一致すると、ANonceを生成し(処理812)、ANonceを含むEAPOL−Key frameを生成し、STA1(103−1)に送信する(処理813)。STA1(103−1)からSNonce、MICを含むEAPOL−Key frameを受信すると(処理814)、MICを検証し(処理815)、正しければPTKを算出し(処理816)、MICを含むEAPOL−Key frameを生成し、STA1(103−1)に送信する(処理817)。STA1から、MICを含むEAPOL−Key frameを受信すると(処理818)、MICを検証し(処理819)、正しければPTKをインストールし、前回鍵情報を更新し(処理820)、暗号化通信を開始する(処理821)。
処理805、807、809、814でタイムアウトを迎えた時は、再送回数が予め設定された最大再送回数以下であれば(処理827、823、828、824)、それぞれ処理804、806、808、813に戻り、一方、最大再送回数を超過する時は処理を終了する。処理818でMICを含むEAPOL−Key frameを受信せず、処理825でエラーメッセージを受信した時は、処理を終了する。一方、EAPOL−Key frameを受信せず、タイムアウトを迎えた時は(処理825)、処理826へ移る。再送回数が最大再送回数以下であれば(処理826)、処理817に戻り、一方、最大再送回数を超過する時は(処理826)、処理を終了する。処理811で前回鍵情報が不一致、処理815、819のMICのチェックでエラーとなった時は、エラーメッセージを送信して(処理829)、処理を終了する。処理803でSS−IDが不一致の時は、何もせずに処理を終了する。なお、再送回数は、適宜カウントされる。
図9は、成り済ましSTAが通信を阻止される時のシーケンス図である。
図1のネットワーク構成で、STA2(103−2)が既にAP1(101)の登録からはずされているものとする。STA2(103−2)はAP1(101)の公開鍵Key−S1を知っており、盗聴によりSTA1(103−1)のMACアドレスを入手したものとする。
STA2(103−2)は、MACアドレスをMac−addr1と偽装し、AP1(101)にプロブ要求を送信する(処理601)。AP1(101)はプロブ応答を送信し(処理602)、その後、802.11オープン認証要求・応答(処理604、605)、アソシエーション要求・応答(処理606、607)が行われる。次に、STA2(103−2)は新規PMKを生成し(処理608)、AP1(101)へ送信するが、同時に送信するべき前回鍵情報(Old−key−11)を知らないため、偽の鍵情報を送信する(処理901)。AP1(101)は、MACアドレスと前回鍵情報を検する(処理902)。AP1(101)は、前回鍵情報の不一致を検出するため(処理903)、STA2(103−2)にエラーを通知し(処理904)、処理を終了する(処理905)。STA2(103−2)はエラーを受信するため、次のステップである4−way handshakeへ進むことができず、通信は成立しない。このように、WEP方式、WPA2−PSKでは可能なSTAの成り済ましは、本実施の形態の方式では困難である。
なお、初回通信時は前回鍵情報が存在しないため、MACアドレスと秘密鍵・公開鍵のみでの確認(認証)としても良いし、APへのMACアドレス登録時に、APとSTA双方にダミーの鍵情報を登録し、ダミーの鍵情報を基に認証を行っても良い。また、STAの識別子を設定し、Macアドレスの代わりに使用しても良い。
AP1(101)が受信する前回鍵情報と、AP1(101)のSTAデータテーブル(102)に記憶される前回鍵情報は、互いにPMKである又は互いにPTKであるなど、同じ情報とすることができる。また、AP1(101)が受信する前回鍵情報は、前回の鍵を生成するためのPMKとし、STAデータテーブル(102)に記憶される前回鍵情報はPTK、ANonce、及び、SNonceとするなど、別々の情報としてもよい。この場合、例えば、AP1(101)は、受信されたPMK、及び、STAデータテーブル(102)に記憶されたANonce、SNonceから、予め定められた計算方法によりPTKを算出し、算出されたPTKと、STAデータテーブル(102)に記憶されたPTKとを比較することで認証を行うことができる。同様に、受信される前回鍵情報がPTKであり、STAデータテーブル(102)に記憶される前回鍵情報はPMK、ANonce、及び、SNonceとすることもできる。
2.第2の実施の形態
上述の第1の実施の形態では、公開鍵暗号化方式を使用し、AP1(101)に接続する全てのSTA1〜n(103−1〜3)に同じ公開鍵を設定した。第2の実施の形態では、STA1〜n(103−1〜3)にそれぞれ異なる鍵を設定する。ここでは、AP1(101)に設定する鍵をSTA1〜n(103−1〜3)の公開鍵と呼び、STA1〜n(103−1〜3)に設定する鍵を秘密鍵と呼ぶ。
図10に、本実施の形態のネットワーク構成図を示す。各STA1〜n(103−1〜3)は、それぞれ異なる秘密鍵を保持する。
図11に、AP1(101)が持つSTAデータテーブル(102−2)を示す。STAデータテーブル(102−2)には、STA1〜n(103−1〜3)のMACアドレス(1101)、前回鍵情報(1102)、図10に示す秘密鍵と対になるSTA1〜n(103−1〜3)の公開鍵(1103)を組にして記録する。AP1(101)は、例えばSTA(103)から受信されるパケットのヘッダ又はデータに含まれるMACアドレスに基づき、STAデータテーブル(102)を参照することができる。
図12に、STA1(103−1)が持つAPデータテーブル(408−2)を示す。APデータテーブル(408−2)には、AP識別子(1201)、STA秘密鍵(1202)、前回鍵情報(1203)を組にして記録する。ここで、公開鍵という言葉を用いたが、STA1〜n(103−1〜3)の公開鍵は完全に公開するわけではなく、AP1(101)のみが知る情報とすることができる。
本実施の形態による通信開始時のシーケンスは第1の実施の形態とほぼ等しく、PMK及び前回鍵情報の送受信時の暗号化・復号の鍵が異なる。本実施の形態では、STA1(103−1)からAP1(101)へ新規PMK及び前回鍵情報を送信する際には、STA1(103−1)が有する秘密鍵(Key−S11)を用いて暗号化を行い、AP1(101)が受信した情報を復号する際はSTA1(103−1)に対応する公開鍵(Key−A11)を用いる。AP1(101)と各STA STA1〜n(103−1〜3)間で個別の公開鍵・秘密鍵のペアを用いるため、セキュリティが向上し、また鍵変更の際の利便性も高まる。
なお、本実施の形態の構成では、新規PMKの生成をAP1(101)で行い、AP1(101)が新規PMKをSTA1(103−1)の公開鍵(Key−A11)で暗号化してSTA1(103−1)に送信し、STA1(103−1)が受信した新規PMKを秘密鍵(Key−S11)で復号することにより新規PMKを共有しても良い。また、他の構成、動作等は第1の実施の形態と同様である。
3.第3の実施の形態
第1及び第2の実施の形態では、PMK、及び前回鍵情報の送受信に公開鍵暗号方式を用いたが、第3の実施の形態では共通鍵暗号方式を用いる。本実施の形態では、AP1(101)とSTA1〜n(103−1〜3)の組毎に異なる共通鍵を用いる。
図13に、本実施の形態のネットワーク構成図を示す。STA1〜n(103−1〜3)は、AP1(101)との通信(認証情報の送受信)に、それぞれ異なる共通鍵(Key−11〜Key−1n)を用いる。
図14は、AP1(101)が持つSTAデータテーブル(102−3)である。STA1〜n(103−1〜3)のMACアドレス(1401)、前回鍵情報(1402)、STA1〜n(103−1〜3)との共通鍵(1403)を組にして記録する。
図15は、STA1が持つAPデータテーブル(408−3)である。AP識別子(1501)、APとの共通鍵(1502)、前回鍵情報(1503)を組にして記録する。盗聴を防ぐためには、AP、STAの組毎に、異なる共通鍵を用いる。本方式による通信開始時のシーケンスは第1の実施の形態とほぼ等しく、PMK及び前回鍵情報の送受信時の暗号化・復号の鍵が異なる。本実施の形態では、新規PMK及び前回鍵情報の送受信時の暗号化・復号処理に、共通鍵(Key−11〜Key−1n)を用いる。各STAで個別の共通鍵を用いるため、鍵変更の際の利便性は高まる。
本実施の形態においても、第2の実施の形態と同様、新規PMKの生成をAP1(101)で行い、AP1(101)が新規PMKをSTA1(103−1)との共通鍵(Key−11)で暗号化してSTA1(103−1)に送信し、STA1(103−1)が受信した新規PMKを共通鍵(Key−11)で復号することにより新規PMKを共有しても良い。また、他の構成、動作等は第1の実施の形態と同様である。
4.第4の実施の形態
本実施の形態では、予め、STA1(103−1)とAP1(101)に、前回鍵情報から新規PMKを求めるための同じ計算方法を設定しておく。第1の実施の形態と同様に、AP1(101)及びSTA1〜n(103−1〜3)に前回通信時の鍵情報を記録し、新規通信ネゴシエーション時に、前回鍵情報を基に、AP1(101)とSTA1〜n(103−1〜3)の双方で同じ計算を行い、新規PMKを算出する。
図16に、本実施の形態における通信ネゴシエーション時のシーケンス図を示す。
まず、上述の第1の実施の形態と同様に、プロブ要求・応答(処理601、602)、802.11オープン認証要求・応答(処理604、605)、アソシエーション要求・応答(処理606、607)の各処理を実行する。次に、AP1(101)は、STA1(103−1)のMACアドレスを基にSTAテーブル(102)から前回鍵情報を検索し、該当する前回鍵情報を読み出す。AP1(101)は、読み出された前回鍵情報に基づき、上述の予め設定された計算方法により新規PMKを計算する(処理1602)。STA1(103−1)でも同じ計算方法を用いて新規PMKを計算する(処理1601)。これにより、新規PMKを共有する。
その後の処理(処理611〜622)は、第1乃至第3の実施の形態と同じである。本実施の形態では、新規PMK及び前回鍵情報の送受信を必要としないため、第1〜第3の実施の形態で用いた公開鍵・秘密鍵のペアや、共通鍵の設定は不要である。なお、他の構成、動作等は第1の実施の形態と同様である。
5.第5の実施の形態
図17は、本実施の形態におけるネットワーク構成図である。
上述の実施の形態におけるAP・STA間の通信ネゴシエーションは、サーバ・STA間にも適用可能である。本実施の形態では、図17のように有線又は無線のネットワーク(1703)に接続されたSTA1、2(1702−1、2)・Server−1、x(1701−1、x)間の通信ネゴシエーションを、STA1(1702−1)・Server−1(1701−1)間の通信を例に説明する。例えば、上述の第1の実施の形態のAP1(101)が、Server−1(1701−1)に対応する。STA1(1702−1)、Server−1(1701−1)はそれぞれ、例えばServer−1(1701−1)の公開鍵(key−public−1)と、秘密鍵(key−private−1)を保持する。Server−1(1701−1)はSTAデータテーブル(1800)を有する。また、STA1(1702−1)は、Serverデータテーブル(1900)を有する。
図18は、Server(1701)が有するSTAデータテーブル(1800)の構成例を示す図である。STAデータテーブル(1800)は、MACアドレスなどのSTA識別子(1801)、前回鍵情報(1802)、STAのネットワークアドレス(1803)を組で記憶する。
図19は、端末装置(1702)が有するServerデータテーブル(1900)の構成例を示す図である。Serverデータテーブル(1900)は、Server識別子(1901)、前回鍵情報(1902)、Server公開鍵(1903)、ネットワークアドレス(1904)を組で記憶する。ネットワークアドレス(1803、1904)は、STAとServerが通信する場合に用いられる。
図20に、通信ネゴシエーション時のシーケンスを示す。
STA1(1702−1)は、Server−1(1701−1)へ通信ネゴシエーション要求を送信する(処理2001)。Server−1は、STA1(1702−1)へ通信ネゴシエーション応答を送信する(処理2002)。STA1(1702−1)は新規暗号鍵を生成し(処理2003)、前回鍵情報、STA識別子、新規暗号鍵をServer−1(1701−1)の公開鍵(key−public−1)で暗号化してServer−1(1701−1)へ送信する(処理2004)。ここで、STA識別子としてMACアドレスやIPアドレスを使用する場合には、データとして明示的に送信しなくても良い。例えば、パケットヘッダの送信元アドレス等を用いてもよい。Server−1(1701−1)は、受信した情報をKey−private−1を用いて復号し(処理2005)、STAデータテーブル(1800)に記録された前回鍵情報(1802)と受信した前回鍵情報を比較する(処理2006)。Server−1(1701−1)は、一致するとSTA1(1702−1)にOKを送信し(処理2007)、前回鍵情報を更新する(処理2009)。OKを受信したSTA1(1702−1)は、前回鍵情報を更新し(2008)、STA1(1702−1)・Server−1(1701−1)間で新規暗号鍵を用いて暗号化通信を開始する(処理2010)。一方、不一致の場合は(処理2006)、STA1(1702−1)にNGを通知し、処理を終了する。
また、本実施の形態では2−wayで示した通信ネゴシエーションは、使用するプロトコルによって異なり、例えばTCPの場合には3−way−handshakeとなる。更に、STA・Server間で前回鍵情報・新規暗号鍵の送受信時に使用する公開鍵・秘密鍵に関して、上述の第2及び第3の実施の形態で示したように、STA・Serverの組毎に異なる公開鍵、秘密鍵のペア、又は、共通鍵に置き換えても良い。また、Serverが複数存在する時には、STAのServerデータテーブル(1900)は、Server識別子(1901)、前回鍵情報(1902)、Server公開鍵(1903)、Serverネットワークアドレス(1904)等をセットで記録する。
なお、他の構成、動作等は第1の実施の形態と同様である。
6.第6の実施の形態
図21は、本実施の形態におけるネットワーク構成図である。
上述の第1〜第4の実施の形態におけるAP・STA間の通信ネゴシエーションは、STA・STA間にも適用可能である。本実施の形態では、図21を用いて、STA・STA間の通信ネゴシエーションを説明する。各STAはそれぞれ公開鍵、秘密鍵を有し、図22に示すSTAデータテーブル(2200)に、STA識別子(2201)、前回鍵情報(2202)、STA公開鍵(2203)、ネットワークアドレス(2204)をセットで記録する。
図22は、STA1(2101−1)のSTAデータテーブル(2200−1)の例である。STAデータテーブル(2200−1)は、STA識別子(2201)毎に、STA1(2101−1)と接続する可能性のあるSTA2(2101−2)及びSTAn(2101−n)との前回通信時の鍵情報(前回鍵情報2202)と、STA2及びSTAnの公開鍵(STA公開鍵2203)と、ネットワークアドレス(2204)とが記録されている。ここで、Key−public−nはSTAn(2101−n)の公開鍵であり、対となる秘密鍵は、Key−private−nである。なお、他のSTA(2101)のSTAデータテーブル(2000)についても同様の構成である。STA識別子(2201)には、IPアドレスや、MACアドレスを用いても良い。
図23は、STA1(2101−1)・STAn(2101−n)間の、通信ネゴシエーション時のシーケンス図である。上述の第5の実施の形態のServer−1(1701−1)が、STAn(2101−n)に対応する。通信ネゴシエーション時のシーケンスは、第5の実施の形態とほぼ同じあり、処理2004−1の暗号化でKey−public−n(2203)を用い、処理2005−1の復号ではKey−private−nを用いることが、第5の実施の形態のシーケンスと異なる。STA間で前回鍵情報・新規鍵情報の受信時に使用する公開鍵・秘密鍵に関して、第2及び第3の実施の形態で示したように、各STAのペア毎に公開鍵、秘密鍵のペア、又は、共通鍵に置き換えても良い。
本発明は、例えば、暗号化通信、ふたつの通信装置間の認証を行う通信システム、通信装置、アクセスポイント等に関する産業に利用可能である。
本実施の形態に係わる無線LANシステムの構成例を示す図である。 アクセスポイントの構成例を示す図である。 第1の実施の形態において、アクセスポイントが持つSTAデータテーブルの構成例を示す図である。 端末装置の構成例を示す図である。 第1の実施の形態において、端末装置が持つAPデータテーブルの構成例を示す図である。 本発明による通信開始時の処理を示すシーケンス図である。 端末装置における処理を示すフローチャートである。 アクセスポイントにおける処理を示すフローチャートである。 不正アクセス時の処理を示すシーケンス図である。 第2の実施の形態における、無線LANシステムの構成例を示す図である。 第2の実施の形態において、アクセスポイントが持つSTAデータテーブルの構成例を示す図である。 第2の実施の形態において、端末装置が持つAPデータテーブルの構成例を示す図である。 第3の実施の形態における、無線LANシステムの構成例を示す図である。 第3の実施の形態において、アクセスポイントが持つSTAデータテーブルの構成例を示す図である。 第3の実施の形態において、端末装置が持つAPデータテーブルの構成例を示す図である。 第4の実施の形態における、新規通信ネゴシエーション時のシーケンス図である。 第5の実施の形態における、ネットワークの構成例を示す図である。 第5の実施の形態において、Serverが持つSTAデータテーブルの構成例を示す図である。 第5の実施の形態において、端末装置が持つServerデータテーブルの構成例を示す図である。 第5の実施の形態における、新規通信ネゴシエーション時のシーケンス図である。 第6の実施の形態における、ネットワークの構成例を示す図である。 第6の実施の形態において、端末装置が持つSTAデータテーブルの構成例を示す図である。 STA1(2101−1)・STAn(2101−n)間の、通信ネゴシエーション時のシーケンス図である。 PTK(pairwise transient key)の分割を示す図である。
符号の説明
101 AP(アクセスポイント)
103 STA(端末装置)
104 インターネット
201 CPU
202 メモリ
207 記憶装置
102 STAデータテーブル
208 インタフェース
401 CPU
402 メモリ
408 APデータテーブル
409 インタフェース
1703 ネットワーク
1702 STA
1701 Server(サーバ)
1800 STAデータテーブル
1900 Serverデータテーブル
2101 STA
2200 STAデータテーブル

Claims (11)

  1. 第1、第2の通信装置の間で、目的とする暗号化通信の度に該暗号化通信を実行するためのネゴシエーションを行い、該第1の通信装置からの要求を該第2の通信装置が認証したとき前記目的とする暗号化通信が実行される通信システムにおいて、
    前記第1の通信装置は、第2の通信装置との前回の暗号化通信に使用した暗号化及び/又は復号化のための第1の鍵、もしくは該第1の鍵を生成するための第1の情報のいずれかを含む第1の鍵情報が記録される第1の記録手段を備え
    前記第2の通信装置は、第1の通信装置との前回の通信化通信に使用した暗号化及び/又は復号化のための第1の鍵、もしくは該第1の鍵を生成するための第1の情報のいずれかを含む第1の鍵情報が記録される第2の記録手段を備え
    新規暗号化通信のためのネゴシエーション時に、
    前記第1の通信装置が、
    該新規暗号化通信における暗号化及び/又は復号化に用いる第2の鍵、もしくは該第2の鍵を生成するための第2の情報のいずれかを含む第2の鍵情報を生成し、
    前記第1の記録手段から、前記第2の通信装置に対応する第1の鍵情報を読み出し、
    前記第2の通信装置に、読み出された第1の鍵情報と生成した第2の鍵情報とを送信し、
    前記第1及び第2の鍵情報を受信した第2の通信装置が、
    前記第2の記録手段に記録された、第1の通信装置に対応する第1の鍵情報と、前記第1の通信装置から受信した第1の鍵情報とを比較することにより、前記第1の通信装置の認証を行い、
    認証された第1の通信装置が、
    前記第2の鍵を新規暗号化通信に用いるためにインストールし、かつ前記第1の記録手段に記録された第1の鍵情報を、生成した第2の鍵情報に更新し、
    前記第2の通信装置が、
    前記第2の鍵を新規暗号化通信に用いるためにインストールし、かつ前記第2の記録手段に記録された第1の鍵情報を、受信した第2の鍵情報に更新する通信システム。
  2. 請求項1の通信システムにおいて、新規暗号化通信のためのネゴシエーション時に、前記第1の通信装置が該新規暗号化通信における暗号化及び/又は復号化に用いる第2の鍵、もしくは該第2の鍵を生成するための第2の情報のいずれかを含む第2の鍵情報を生成するのに代えて、前記第2の通信装置が該新規暗号化通信における暗号化及び/又は復号化に用いる第2の鍵、及び、該第2の鍵を生成するための第2の情報のいずれかを含む第2の鍵情報を生成して第1の通信装置に送付し、
    前記第1の通信装置は受信した該第2の鍵情報を前記読み出された第1の鍵情報とともに前記第2の通信装置に送信することを特徴とする請求項1に記載の通信システム。
  3. 前記第1の記録手段は、新規暗号化通信のためのネゴシエーション時に使用される第3の鍵がさらに記録され、
    前記第2の記録手段は、新規暗号化通信のためのネゴシエーション時に使用される、第3の鍵に対応する第4の鍵がさらに記録され、
    第1の鍵情報及び/又は第2の鍵情報が、前記第3及び第4の鍵を用いて、暗号化して送信され及び復号化されることを特徴とする請求項1又は2に記載の通信システム。
  4. 前記第1の通信装置と前記第2の通信装置をそれぞれ複数備え、
    前記第1の記録手段は、通信対象となる複数の前記第2の通信装置の識別子毎に、該第2の通信装置との通信ネゴシエーション時に使用する第3の鍵、及び、該第2の通信装置との前回又は過去の通信時の第1の鍵情報が記憶され、
    前記第2の記録手段は、前記第1の通信装置の識別子毎に、該第1の通信装置との前回又は過去の通信時の第1の鍵情報が記憶され、
    前記第1の通信装置が、
    通信相手となる前記第2の通信装置をひとつ選択し、
    自装置の前記第1の記録手段を参照して、選択された前記第2の通信装置に対応する第3の鍵及び第1の鍵情報を取得し、
    取得された第1の鍵情報を、取得された第3の鍵を用いて暗号化して、選択された前記第2の通信装置に送信し、
    前記第2の通信装置が、
    暗号化された第1の鍵情報を受信し、第3の鍵に対応する予め記録された第4の鍵を用いて第1の鍵情報を復号化し、
    自装置の前記第2の記録手段を参照して、前記第1の通信装置の識別子に対応する第1の鍵情報と、復号化された第1の鍵情報とにより認証を行う請求項に記載の通信システム。
  5. 前記第1の通信装置と前記第2の通信装置をそれぞれ複数備え、
    前記第1の記録手段は、通信対象となる複数の前記第2の通信装置の識別子毎に、該第2の通信装置とのネゴシエーション時に使用する第3の鍵、及び、該第2の通信装置との前回又は過去の通信時の第1の鍵情報が記憶され、
    前記第2の記録手段は、前記第1の通信装置の識別子毎に、該第1の通信装置とのネゴシエーション時に使用する、第3の鍵に対応する第4の鍵、及び、該第1の通信装置との前回又は過去の通信時の第1の鍵情報が記憶され、
    前記第1の通信装置が、
    通信相手となる前記第2の通信装置をひとつ選択し、
    自装置の前記第1の記録手段を参照して、選択された前記第2の通信装置に対応する第3の鍵及び第1の鍵情報を取得し、
    取得された第1の鍵情報を、取得された第3の鍵を用いて暗号化して、選択された前記第2の通信装置に送信し、
    前記第2の通信装置が、
    暗号化された第1の鍵情報を受信し、
    自装置の前記第2の記録手段から、前記第1の通信装置に対応する第4の鍵を取得し、
    該第4の鍵を用いて第1の鍵情報を復号化し、
    自装置の前記第2の記録手段を参照して、前記第1の通信装置の識別子に対応する第1の鍵情報と、復号化された第1の鍵情報とにより認証を行う請求項に記載の通信システム。
  6. 前記第1及び第2の通信装置間でのネゴシエーション時に使用される暗号方式が、公開鍵暗号方式であり、
    前記第1の通信装置の第3の鍵は、対となる公開鍵及び秘密鍵の一方であり、
    前記第2の通信装置の第4の鍵は、該公開鍵及び秘密鍵の他方であることを特徴とする請求項3乃至5のいずれかに記載の通信システム。
  7. 前記第1及び第2の通信装置間でのネゴシエーション時に使用される暗号方式が、共通鍵暗号方式であり、
    前記第1及び第2の通信装置の第3及び第4の鍵は、同じ鍵であることを特徴とする請求項3乃至5のいずれかに記載の通信システム。
  8. 前記第1及び第2の通信装置は、ダミーの鍵情報が予め設定され、
    前記第1の通信装置と前記第2の通信装置との初回のネゴシエーション時には、該ダミーの鍵情報をもって認証を行うことを特徴とする請求項1乃至のいずれかに記載の通信システム。
  9. 前記第2の通信装置は、アクセスポイントであり、
    前記第1の通信装置は、前記アクセスポイントを介してネットワークに接続する端末である請求項1乃至のいずれかに記載の通信システム。
  10. 前記第2の通信装置は、サーバであり、
    前記第1の通信装置は、ネットワークを介して前記サーバに接続する端末である請求項1乃至のいずれかに記載の通信システム。
  11. 前記第1及び第2の通信装置はそれぞれ、互いに通信する端末である請求項1乃至10のいずれかに記載の通信システム。
JP2006084673A 2006-03-27 2006-03-27 通信システム及び通信装置 Expired - Fee Related JP4550759B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006084673A JP4550759B2 (ja) 2006-03-27 2006-03-27 通信システム及び通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006084673A JP4550759B2 (ja) 2006-03-27 2006-03-27 通信システム及び通信装置

Publications (2)

Publication Number Publication Date
JP2007259386A JP2007259386A (ja) 2007-10-04
JP4550759B2 true JP4550759B2 (ja) 2010-09-22

Family

ID=38633101

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006084673A Expired - Fee Related JP4550759B2 (ja) 2006-03-27 2006-03-27 通信システム及び通信装置

Country Status (1)

Country Link
JP (1) JP4550759B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9042549B2 (en) * 2009-03-30 2015-05-26 Qualcomm Incorporated Apparatus and method for address privacy protection in receiver oriented channels
JP5099646B2 (ja) * 2009-08-10 2012-12-19 Necアクセステクニカ株式会社 無線lanアクセスポイント、無線lan端末、無線lan不正防止システム、方法及びプログラム
JP5732745B2 (ja) * 2010-05-13 2015-06-10 富士通株式会社 ネットワーク装置、認証方式決定方法および認証方式決定プログラム
JP6621146B2 (ja) * 2017-08-09 2019-12-18 Necプラットフォームズ株式会社 通信装置、通信端末、通信システム、通信制御方法および通信制御プログラム
JP6915893B2 (ja) * 2019-08-26 2021-08-04 Necプラットフォームズ株式会社 無線通信システムおよび無線通信方法
CN112448834B (zh) * 2019-09-02 2023-03-24 浙江宇视科技有限公司 一种设备配置安全下发防篡改方法和系统
JP6856271B1 (ja) * 2019-10-04 2021-04-07 Necプラットフォームズ株式会社 通信システム、通信経路確立方法、および経路確立プログラム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06202864A (ja) * 1992-12-28 1994-07-22 Nippon Telegr & Teleph Corp <Ntt> 認証方法
JP2001111544A (ja) * 1999-10-05 2001-04-20 Nec Corp 無線lanシステムにおける認証方法と認証装置
JP2001345819A (ja) * 2000-06-01 2001-12-14 Sharp Corp アクセスポイント装置及びその認証処理方法
JP2003005641A (ja) * 2001-06-25 2003-01-08 Nec Corp 無線lanシステムにおける認証方法と認証装置
JP2004320174A (ja) * 2003-04-11 2004-11-11 Matsushita Electric Ind Co Ltd 認証システム、認証装置、認証方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06202864A (ja) * 1992-12-28 1994-07-22 Nippon Telegr & Teleph Corp <Ntt> 認証方法
JP2001111544A (ja) * 1999-10-05 2001-04-20 Nec Corp 無線lanシステムにおける認証方法と認証装置
JP2001345819A (ja) * 2000-06-01 2001-12-14 Sharp Corp アクセスポイント装置及びその認証処理方法
JP2003005641A (ja) * 2001-06-25 2003-01-08 Nec Corp 無線lanシステムにおける認証方法と認証装置
JP2004320174A (ja) * 2003-04-11 2004-11-11 Matsushita Electric Ind Co Ltd 認証システム、認証装置、認証方法

Also Published As

Publication number Publication date
JP2007259386A (ja) 2007-10-04

Similar Documents

Publication Publication Date Title
US7325133B2 (en) Mass subscriber management
EP3410758B1 (en) Wireless network connecting method and apparatus, and storage medium
US7760882B2 (en) Systems and methods for mutual authentication of network nodes
CN105554747B (zh) 无线网络连接方法、装置及系统
EP2082525B1 (en) Method and apparatus for mutual authentication
US7707412B2 (en) Linked authentication protocols
JP3863852B2 (ja) 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体
CN101371550B (zh) 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统
KR100978052B1 (ko) 일반 부트스트래핑 아키텍처(gba)의 인증 환경 설정관련 모바일 노드 아이디 제공 장치, 방법 및 컴퓨터프로그램 생성물
US20060107050A1 (en) Method used by an access point of a wireless lan and related apparatus
US20030095663A1 (en) System and method to provide enhanced security in a wireless local area network system
US20100211790A1 (en) Authentication
KR20120101523A (ko) 안전한 멀티 uim 인증 및 키 교환
KR20100103721A (ko) 무선 통신 네트워크에서 노드들의 상호 인증을 위한 방법 및 시스템
JP2008518566A (ja) 無線ネットワーク用のセキュリティを提供するシステムおよび方法
CN110087240B (zh) 基于wpa2-psk模式的无线网络安全数据传输方法及系统
JP4550759B2 (ja) 通信システム及び通信装置
CN110635901B (zh) 用于物联网设备的本地蓝牙动态认证方法和系统
CN106992866B (zh) 一种基于nfc无证书认证的无线网络接入方法
KR100957044B1 (ko) 커버로스를 이용한 상호 인증 방법 및 그 시스템
JP4677784B2 (ja) 集合型宅内ネットワークにおける認証方法及びシステム
Liu et al. Extensible authentication protocols for IEEE standards 802.11 and 802.16
JP2009104509A (ja) 端末認証システム、端末認証方法
EP1722503A1 (en) Method used by an access point of a wireless LAN and related apparatus
Zhao et al. Addressing the vulnerability of the 4-way handshake of 802.11 i

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090901

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091030

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100629

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100708

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130716

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees