JP4677784B2 - Authentication method and system in collective residential network - Google Patents

Authentication method and system in collective residential network Download PDF

Info

Publication number
JP4677784B2
JP4677784B2 JP2005002306A JP2005002306A JP4677784B2 JP 4677784 B2 JP4677784 B2 JP 4677784B2 JP 2005002306 A JP2005002306 A JP 2005002306A JP 2005002306 A JP2005002306 A JP 2005002306A JP 4677784 B2 JP4677784 B2 JP 4677784B2
Authority
JP
Japan
Prior art keywords
common key
network connection
authentication
network
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005002306A
Other languages
Japanese (ja)
Other versions
JP2006191429A (en
Inventor
隆志 松中
敬三 杉山
Original Assignee
Kddi株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kddi株式会社 filed Critical Kddi株式会社
Priority to JP2005002306A priority Critical patent/JP4677784B2/en
Publication of JP2006191429A publication Critical patent/JP2006191429A/en
Application granted granted Critical
Publication of JP4677784B2 publication Critical patent/JP4677784B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、集合型宅内ネットワークにおける認証方法及びシステムに関する。   The present invention relates to an authentication method and system in a collective home network.
図1は、従来技術における集合型宅内ネットワークのシステム構成図である。   FIG. 1 is a system configuration diagram of a collective residential network in the prior art.
宅内ネットワークは、電話線、電力線、イーサネット(登録商標)等を用いて一般に構築されており、通信機能を有する家庭電化製品(パーソナルコンピュータ、テレビ、エアコン等)3が接続される。また、複数の宅内ネットワークは、集合ネットワークを介して網接続装置1に接続される。網接続装置1は、ADSL(Asymmetric Digital Subscriber Line:非対称デジタル加入者線)、光ファイバ等によってインターネットアクセス網5に接続され、更にISP(Internet Service Provider)事業者網6を介して、インターネット7に接続される。ISP事業者網6には、ユーザ認証のためにISP認証サーバ4が備えられている。ISP認証サーバ4は、契約したユーザ情報を保持する登録データベースと、ユーザ認証部とを有する。図1のようなネットワーク形態を、以下では集合型宅内ネットワークと称する。   The home network is generally constructed using a telephone line, a power line, Ethernet (registered trademark) or the like, and is connected to a home appliance (personal computer, television, air conditioner, etc.) 3 having a communication function. The plurality of home networks are connected to the network connection device 1 via the collective network. The network connection device 1 is connected to the Internet access network 5 via an ADSL (Asymmetric Digital Subscriber Line), an optical fiber or the like, and further connected to the Internet 7 via an ISP (Internet Service Provider) carrier network 6. Connected. The ISP provider network 6 includes an ISP authentication server 4 for user authentication. The ISP authentication server 4 includes a registration database that holds contracted user information and a user authentication unit. The network configuration shown in FIG. 1 is hereinafter referred to as a collective home network.
図1によれば、同一建物内にあって異なる宅内ネットワークが、同一の集合ネットワークを共有する構成になっている。この場合、ある宅内ネットワークから送信された通信データが、他の宅内ネットワークに接続された端末によって傍受されるという事態が起こり得る。このような事態を防ぐため、通信データの暗号化とそのための共通鍵とを、通信を行う二者間で共有する必要がある。従来技術によれば、宅内ネットワークに接続された端末のそれそれが、ISP認証サーバ4に対して認証を要求し、共通鍵を共有する必要がある。   According to FIG. 1, different home networks in the same building share the same collective network. In this case, a situation may occur in which communication data transmitted from a certain home network is intercepted by a terminal connected to another home network. In order to prevent such a situation, it is necessary to share communication data encryption and a common key for communication between the two parties. According to the prior art, each of the terminals connected to the home network needs to request authentication from the ISP authentication server 4 and share a common key.
特開2002−345051号公報JP 2002-345051 A 特開2003−179699号公報JP 2003-179699 A
しかしながら、将来的に家庭電化製品の多くに通信機能が搭載されることを考慮すると、1つの宅内ネットワーク当たりの通信端末の数も多くなる。結果的に、集合ネットワークに接続される通信端末の数は膨大な数になる。この場合、各通信端末が認証を要求するとすると、網接続装置にとっては過負荷となってしまう。また、複数の通信端末でグループを構成し、グループ単位で共通鍵を管理しようとすると、網接続装置による処理が更に煩雑になり、現実的ではない。   However, considering that future home appliances will be equipped with communication functions, the number of communication terminals per home network will also increase. As a result, the number of communication terminals connected to the collective network is enormous. In this case, if each communication terminal requests authentication, the network connection device is overloaded. Also, if a group is configured with a plurality of communication terminals and a common key is to be managed in units of groups, the processing by the network connection device becomes more complicated, which is not realistic.
また、近年、テレビ、エアコン等に通信機能を持たせる情報家電ネットワーク等、グループ単位での通信の秘匿性を必要とする場面が多くなっているため、グループ単位で暗号化のための共通鍵を共有する技術が必要となってきている。   Also, in recent years, there have been an increasing number of scenes that require the secrecy of communications in groups, such as information home appliance networks that provide communication functions for televisions, air conditioners, etc. The technology to share is becoming necessary.
そこで、本発明は、集合型宅内ネットワークに接続された端末における共通鍵の管理の煩雑さを低減することができる認証方法及びシステムを提供することを目的とする。   Therefore, an object of the present invention is to provide an authentication method and system capable of reducing the complexity of common key management in terminals connected to a collective home network.
本発明は、複数の端末が接続されたグループ内ネットワークと、複数のグループ内ネットワークとインターネットとの間に接続された網接続装置と、該網接続装置と通信可能な認証サーバとを有するシステムに関する。   The present invention relates to a system having an intra-group network to which a plurality of terminals are connected, a network connection device connected between the plurality of intra-group networks and the Internet, and an authentication server capable of communicating with the network connection device. .
本発明における認証方法は、
グループ内ネットワーク毎にホームステーションが備えられており、
ホームステーションが、網接続装置を介して認証サーバに対して認証要求メッセージを送信することによって、認証サーバとの間で第1の共通鍵が共有され、認証サーバが網接続装置へ第1の共通鍵を送信する第1のステップと、
網接続装置が、グループ内ネットワークに対する第2の共通鍵を決定し、第1の共通鍵を用いて暗号化した第2の共通鍵をホームステーションへ送信する第2のステップと、
端末が、網接続装置を介してホームステーションに対して認証要求メッセージを送信することによって、ホームステーションとの間で第3の共通鍵が共有され、ホームステーションが網接続装置へ第3の共通鍵を送信する第3のステップと、
網接続装置が、第3の共通鍵を用いて暗号化した第2の共通鍵を端末へ送信する第4のステップとを有することを特徴とする。
The authentication method in the present invention is:
There is a home station for each network in the group.
When the home station transmits an authentication request message to the authentication server via the network connection device, the first common key is shared with the authentication server, and the authentication server communicates to the network connection device with the first common A first step of transmitting a key;
A second step in which the network connection device determines a second common key for the intra-group network, and transmits the second common key encrypted using the first common key to the home station;
When the terminal transmits an authentication request message to the home station via the network connection device, the third common key is shared with the home station, and the home station transmits the third common key to the network connection device. A third step of transmitting
The network connection device includes a fourth step of transmitting the second common key encrypted using the third common key to the terminal.
本発明の認証方法における他の実施形態によれば、IEEE802.1x認証方式が適用され、
第1のステップは、ホームステーションをSupplicantとし、網接続装置をAuthenticatorとし、認証サーバをAuthentication Serverとして機能させ、
第2のステップは、端末をSupplicantとし、網接続装置をAuthenticatorとし、ホームステーションをAuthentication Serverとして機能させることも好ましい。
According to another embodiment of the authentication method of the present invention, an IEEE 802.1x authentication scheme is applied,
In the first step, the home station is a supplicant, the network connection device is an authenticator, the authentication server is an authentication server,
In the second step, it is also preferable that the terminal functions as a supplicant, the network connection device functions as an authenticator, and the home station functions as an authentication server.
また、本発明の認証方法における他の実施形態によれば、第1のステップは、EAP−TLS方式が適用され、第2のステップは、EAP−TLS方式又はEAP−MD5方式が適用されることも好ましい。   According to another embodiment of the authentication method of the present invention, the EAP-TLS scheme is applied to the first step, and the EAP-TLS scheme or the EAP-MD5 scheme is applied to the second step. Is also preferable.
更に、本発明の認証方法における他の実施形態によれば、第2の共通鍵が、網接続装置と端末との間で通信されるデータフレームの暗号化に用いられることも好ましい。   Furthermore, according to another embodiment of the authentication method of the present invention, it is also preferable that the second common key is used for encryption of a data frame communicated between the network connection device and the terminal.
更に、本発明の認証方法における他の実施形態によれば、グループ内ネットワークは、宅内ネットワークであって、電力線搬送通信ネットワークであってもよい。   Furthermore, according to another embodiment of the authentication method of the present invention, the intra-group network may be a home network and may be a power line carrier communication network.
本発明におけるシステムによれば、
グループ内ネットワーク毎にホームステーションが備えられており、
認証サーバは、網接続装置を介してホームステーションから認証要求メッセージを受信することによって、ホームステーションとの間で第1の共通鍵を共有する認証手段と、該第1の共通鍵を網接続装置へ送信する共通鍵送信手段とを有し、
ホームステーションは、網接続装置を介して認証サーバへ認証要求メッセージを送信し、認証サーバとの間で第1の共通鍵を共有する認証サーバ機能手段と、端末から網接続装置を介して認証要求メッセージを受信し、端末との間で第3の共通鍵を共有する認証端末機能手段とを有し、
網接続装置は、グループ内ネットワークに対する第2の共通鍵を決定するグループ共通鍵決定手段と、第1の共通鍵を用いて暗号化した第2の共通鍵をホームステーションへ送信する第1の送信手段と、第3の共通鍵を用いて暗号化した第2の共通鍵をホームステーションへ送信する第2の送信手段とを有することを特徴とする。
According to the system of the present invention,
There is a home station for each network in the group.
The authentication server receives an authentication request message from the home station via the network connection device, thereby sharing the first common key with the home station, and the network connection device with the first common key. A common key transmission means for transmitting to
The home station transmits an authentication request message to the authentication server via the network connection device, and authentication server function means for sharing the first common key with the authentication server, and an authentication request from the terminal via the network connection device An authentication terminal function means for receiving a message and sharing a third common key with the terminal;
The network connection device transmits a second common key encrypted using the first common key to the home station, a group common key determination unit for determining a second common key for the intra-group network, and a first transmission. And a second transmission means for transmitting the second common key encrypted using the third common key to the home station.
本発明のシステムにおける他の実施形態によれば、IEEE802.1x認証方式が適用され、ホームステーションにおける認証サーバ機能手段はAuthentication Serverとして機能し、認証端末機能手段はSupplicantとして機能することも好ましい。   According to another embodiment of the system of the present invention, it is preferable that the IEEE802.1x authentication method is applied, the authentication server function unit in the home station functions as an Authentication Server, and the authentication terminal function unit functions as a Supplicant.
また、本発明のシステムにおける他の実施形態によれば、ホームステーションにおける認証サーバ機能手段には、EAP−TLS方式が適用され、認証端末機能手段には、EAP−TLS方式又はEAP−MD5方式が適用されることも好ましい。   According to another embodiment of the system of the present invention, the EAP-TLS method is applied to the authentication server function unit in the home station, and the EAP-TLS method or the EAP-MD5 method is used as the authentication terminal function unit. It is also preferred that it be applied.
更に、本発明のシステムにおける他の実施形態によれば、
網接続装置は、端末へ送信すべきデータフレームを第2の共通鍵を用いて暗号化し、端末から受信したデータフレームを第2の共通鍵を用いて復号する暗号化/復号手段を更に有し、
端末は、網接続装置へ送信すべきデータフレームを第2の共通鍵を用いて暗号化し、網接続装置から受信したデータフレームを第2の共通鍵を用いて復号する暗号化/復号手段を更に有することも好ましい。
Furthermore, according to another embodiment of the system of the present invention,
The network connection apparatus further includes an encryption / decryption unit that encrypts a data frame to be transmitted to the terminal using the second common key and decrypts the data frame received from the terminal using the second common key. ,
The terminal further includes encryption / decryption means for encrypting a data frame to be transmitted to the network connection apparatus using the second common key, and decrypting the data frame received from the network connection apparatus using the second common key. It is also preferable to have it.
更に、本発明のシステムにおける他の実施形態によれば、グループ内ネットワークは、宅内ネットワークであって、電力線搬送通信ネットワークであってもよい。   Furthermore, according to another embodiment of the system of the present invention, the intra-group network may be a home network and may be a power line carrier communication network.
本発明における認証方法及びシステムよれば、集合型宅内ネットワークに接続された端末における共通鍵の管理の煩雑さを低減することができる。宅内ネットワーク毎(グループ毎)にそのネットワークに接続された端末に同一共通鍵を共有させることができ、他の宅内ネットワークに接続された端末に対して秘匿性を確保することができる。   According to the authentication method and system of the present invention, it is possible to reduce the complexity of managing a common key in a terminal connected to a collective home network. For each home network (for each group), terminals connected to the network can share the same common key, and confidentiality can be ensured for terminals connected to other home networks.
また、宅内ネットワーク毎の認証を認証サーバに任せ、宅内ネットワーク内の端末の認証をホームステーションに任せることによって、認証サーバにかかる負荷を軽減することができる。   Further, by leaving the authentication for each home network to the authentication server and leaving the authentication of the terminals in the home network to the home station, the load on the authentication server can be reduced.
更に、ISP認証サーバ4にとっては、宅内ネットワーク単位(グループ単位)で認証処理が行われるために、認証毎に課金処理を行うことによって、家庭毎に対する課金処理を容易にすることができる。   Furthermore, since the ISP authentication server 4 performs authentication processing in units of home networks (group units), charging processing for each home can be facilitated by performing charging processing for each authentication.
以下では、図面を用いて、本発明を実施するための最良の形態を詳細に説明する。   Hereinafter, the best mode for carrying out the present invention will be described in detail with reference to the drawings.
図2は、本発明における集合型宅内ネットワークのシステム構成図である。   FIG. 2 is a system configuration diagram of the collective home network according to the present invention.
本発明によれば、宅内ネットワーク及び集合ネットワークが、電力線搬送通信ネットワークであることによって、図2のようなネットワーク構成が想定される。即ち、電力線がネットワークに用いられることによって、集合型住宅においては、複数の宅内ネットワークが接続された構成が想定される。   According to the present invention, since the home network and the collective network are power line carrier communication networks, a network configuration as shown in FIG. 2 is assumed. That is, a configuration in which a plurality of residential networks are connected is assumed in the collective housing by using the power line for the network.
図2は、図1と比較して、ホームステーション2を更に備えている。ホームステーション2は、通信制御部21と、送受信部22と、グループ内登録端末データベース23と、Supplicant機能部24と、Authenticator Server機能部25と、認証情報記憶部26と、共通鍵復号部27と、共通鍵記憶部28と、暗号化/復号部29とを有する。   FIG. 2 further includes a home station 2 as compared with FIG. The home station 2 includes a communication control unit 21, a transmission / reception unit 22, an intra-group registration terminal database 23, a supplicant function unit 24, an authenticator server function unit 25, an authentication information storage unit 26, and a common key decryption unit 27. A common key storage unit 28 and an encryption / decryption unit 29.
送受信部22は、宅内ネットワークと称されるグループ内ネットワークに接続されており、データパケットを送受信する。通信制御部22は、データフレームの生成及び解析を行い、他の機能部と関連して動作する。グループ内登録端末データベース23は、当該宅内ネットワークに接続されている端末の識別子(ID:IDentifier)と、その情報とを記憶している。   The transmission / reception unit 22 is connected to an intra-group network called a home network, and transmits / receives data packets. The communication control unit 22 generates and analyzes a data frame and operates in association with other functional units. The in-group registered terminal database 23 stores an identifier (ID: IDentifier) of a terminal connected to the home network and information thereof.
Supplicant機能部24は、IEEE802.1xによれば、Authenticatorである網接続装置1を介して、ISP認証サーバ4に対するSupplicantとして機能する。従って、Supplicant機能部24は、ISP認証サーバ4との間で共通鍵Kaを共有することができる。   According to IEEE802.1x, the supplicant function unit 24 functions as a supplicant for the ISP authentication server 4 via the network connection device 1 that is an authenticator. Therefore, the supplicant function unit 24 can share the common key Ka with the ISP authentication server 4.
Authenticator Server機能部25は、IEEE802.1xによれば、Authenticatorである網接続装置1を介して、Supplicantである端末3に対するAuthentication Serverとして機能する。従って、Authenticator Server機能部25は、端末3との間で共通鍵Kbを共有することができる。   According to IEEE802.1x, the authenticator server function unit 25 functions as an authentication server for the terminal 3 as a supplicant through the network connection device 1 as an authenticator. Accordingly, the authenticator server function unit 25 can share the common key Kb with the terminal 3.
認証情報記憶部26は、ISP認証サーバ4との間で共有した共通鍵Kaと、端末3との間で共有した共通鍵Kbとを記憶する。   The authentication information storage unit 26 stores a common key Ka shared with the ISP authentication server 4 and a common key Kb shared with the terminal 3.
共通鍵復号部27は、暗号化された共通鍵K1を復号する。共通鍵K1は、当該宅内ネットワークの全ての端末に割り当てられる鍵であって、網接続装置1から、共通鍵Kaを用いて暗号化して送信される。復号するための共通鍵Kaは、Supplicant機能部24から通知される。   The common key decryption unit 27 decrypts the encrypted common key K1. The common key K1 is a key assigned to all terminals in the home network, and is transmitted from the network connection device 1 after being encrypted using the common key Ka. The common key Ka for decryption is notified from the supplicant function unit 24.
共通鍵記憶部28は、共通鍵復号部27によって復号された共通鍵K1を記憶する。   The common key storage unit 28 stores the common key K1 decrypted by the common key decryption unit 27.
暗号化/復号部29は、送信すべきデータフレームを共通鍵K1によって暗号化し、又は、受信したデータフレームを共通鍵K1によって復号する。   The encryption / decryption unit 29 encrypts the data frame to be transmitted with the common key K1, or decrypts the received data frame with the common key K1.
図2によれば、本発明による網接続装置1は、図1と比較して、更なる機能を有する。網接続装置1は、通信制御部11と、インターネット側送受信部12と、宅内ネットワーク側送受信部13と、Authenticator機能部14と、グループ共通鍵決定部15と、グループ共通鍵データベース16と、ホームステーション側グループ共通鍵送信部17と、端末側グループ共通鍵送信部18と、暗号化/復号部19とを有する。   According to FIG. 2, the network connection device 1 according to the present invention has a further function compared with FIG. The network connection device 1 includes a communication control unit 11, an Internet side transmission / reception unit 12, a home network side transmission / reception unit 13, an authenticator function unit 14, a group common key determination unit 15, a group common key database 16, and a home station. A side group common key transmission unit 17, a terminal side group common key transmission unit 18, and an encryption / decryption unit 19 are included.
通信制御部11は、データフレームの生成及び解析を行い、他の機能部と関連して動作する。インターネット側送受信部12は、インターネットアクセス網5に接続されており、インターネット7及びISP認証サーバ4とデータパケットを送受信する。宅内ネットワーク側送受信部13は、複数の宅内ネットワークが接続された集合ネットワークに接続されており、ホームステーション2及び端末3とデータパケットを送受信する。   The communication control unit 11 generates and analyzes a data frame, and operates in association with other functional units. The Internet side transmission / reception unit 12 is connected to the Internet access network 5 and transmits / receives data packets to / from the Internet 7 and the ISP authentication server 4. The home network side transmitting / receiving unit 13 is connected to a collective network to which a plurality of home networks are connected, and transmits and receives data packets to and from the home station 2 and the terminal 3.
Authenticator機能部14は、IEEE802.1xによれば、Supplicantであるホームステーション2に対して及びISP認証サーバ4に対して、Authenticatorとして機能する。また、Authenticator機能部14は、Supplicantである端末3に対して及びAuthentication Serverであるホームステーション2に対して、Authenticatorとしても機能する。   According to IEEE802.1x, the authenticator function unit 14 functions as an authenticator for the home station 2 as a supplicant and for the ISP authentication server 4. The authenticator function unit 14 also functions as an authenticator for the terminal 3 as a supplicant and the home station 2 as an authentication server.
グループ共通鍵決定部15は、ホームステーション2とISP認証サーバ4との間で認証が完了した際に、そのホームステーション2が存在する宅内ネットワークに接続された端末に割り当てる共通鍵K1を決定する。共通鍵K1の決定方法は、任意の既存技術によって行われる。   When the authentication between the home station 2 and the ISP authentication server 4 is completed, the group common key determination unit 15 determines the common key K1 assigned to the terminal connected to the home network where the home station 2 exists. The method for determining the common key K1 is performed by any existing technique.
グループ共通鍵データベース16は、グループ共通鍵決定部15によって決定された共通鍵K1を、宅内ネットワーク識別子(グループ識別子)HID1に対応付けて蓄積する。例えば、宅内ネットワーク識別子HID1に対応付けて、共通鍵K1が蓄積されている。   The group common key database 16 stores the common key K1 determined by the group common key determination unit 15 in association with the home network identifier (group identifier) HID1. For example, the common key K1 is stored in association with the home network identifier HID1.
ホームステーション側共通鍵送信部17は、グループ共通鍵決定部15によって決定された共通鍵K1を、Authenticator機能部14によってISP認証サーバ4との間で共有された共通鍵Kaによって暗号化して、ホームステーション2へ送信する。   The home station side common key transmission unit 17 encrypts the common key K1 determined by the group common key determination unit 15 with the common key Ka shared with the ISP authentication server 4 by the authenticator function unit 14, Transmit to station 2.
端末側共通鍵送信部18は、グループ共通鍵決定部15によって決定された共通鍵K1を、Authenticator機能部14によってホームステーション2との間で共有された共通鍵Kbによって暗号化して、端末3へ送信する。   The terminal-side common key transmission unit 18 encrypts the common key K1 determined by the group common key determination unit 15 with the common key Kb shared with the home station 2 by the authenticator function unit 14, and sends it to the terminal 3. Send.
暗号化/復号部29は、宅内ネットワークに対して送信すべきデータフレームを共通鍵K1によって暗号化し、又は、宅内ネットワークから受信したデータフレームを共通鍵K1によって復号する。   The encryption / decryption unit 29 encrypts the data frame to be transmitted to the home network with the common key K1, or decrypts the data frame received from the home network with the common key K1.
図3は、本発明における概念的な認証のシーケンス図である。   FIG. 3 is a conceptual authentication sequence diagram according to the present invention.
ホームステーション2と認証サーバ4との間の認証方式には、IEEE802.1XのEAP−TLS(Extensible Authentication Protocol - Transport Layer Security)が適用されている。EAP−TLSは、クライアント及びサーバの双方に、認証局が発行した証明書によって相互に認証する方式である。これにより、従来、固定であったセッションキーを自動的に生成することができ、電子証明書による認証を行うことによって、セキュリティを強化することができる。   As an authentication method between the home station 2 and the authentication server 4, IEEE 802.1X EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) is applied. EAP-TLS is a method in which both a client and a server are mutually authenticated by a certificate issued by a certificate authority. As a result, a session key that has conventionally been fixed can be automatically generated, and security can be enhanced by performing authentication using an electronic certificate.
図3のS301〜S307によれば、ホームステーション2はSupplicantとして機能し、網接続装置1はAuthenticatorとして機能し、ISP認証サーバ4はAuthentication Serverとして機能する。一方、S308〜S318によれば、端末3はSupplicantとして機能し、網接続装置1はAuthenticatorとして機能し、ホームステーションはAuthentication Serverとして機能する。尚、図3、図4及び図5の対応関係を明らかにするために、同じシーケンス番号は、同じ機能を意味する。   According to S301 to S307 in FIG. 3, the home station 2 functions as a supplicant, the network connection device 1 functions as an authenticator, and the ISP authentication server 4 functions as an authentication server. On the other hand, according to S308 to S318, the terminal 3 functions as a supplicant, the network connection device 1 functions as an authenticator, and the home station functions as an authentication server. In order to clarify the correspondence between FIGS. 3, 4 and 5, the same sequence number means the same function.
(S301〜S305)ホームステーション2と網接続装置1との間は、IEEE802.1xにおけるEAPOL(EAP over LAN)が適用され、網接続装置1とISP認証サーバ4との間はEAPoverRADIUSが適用される。これにより、ホームステーション2とISP認証サーバ4との間で、共通鍵Kaが共有される。このとき、網接続装置1は、共通鍵Kaを知らない。
(S306)ISP認証サーバ4は、共通鍵Kaを網接続装置1へ送信する。これにより、網接続装置1も、ホームステーション2も共通鍵Kaを共有することができる。
(S307)網接続装置1は、宅内ネットワークに対する共通鍵K1を決定する。共通鍵K1は、共通鍵Kaを用いて暗号化されて、網接続装置1からホームステーション2へ送信される。ホームステーション2は、暗号化された共通鍵K1を、共通鍵Kaを用いて復号し、共通鍵K1を取得する。これにより、ホームステーション2も共通鍵K1を共有することができる。
(S301 to S305) EAPOL (EAP over LAN) in IEEE 802.1x is applied between the home station 2 and the network connection device 1, and EAPoverRADIUS is applied between the network connection device 1 and the ISP authentication server 4. . As a result, the common key Ka is shared between the home station 2 and the ISP authentication server 4. At this time, the network connection device 1 does not know the common key Ka.
(S306) The ISP authentication server 4 transmits the common key Ka to the network connection apparatus 1. As a result, both the network connection device 1 and the home station 2 can share the common key Ka.
(S307) The network connection device 1 determines the common key K1 for the home network. The common key K1 is encrypted using the common key Ka and transmitted from the network connection apparatus 1 to the home station 2. The home station 2 decrypts the encrypted common key K1 using the common key Ka, and acquires the common key K1. As a result, the home station 2 can also share the common key K1.
(S308〜S315)端末3と網接続装置1との間は、IEEE802.1xにおけるEAPOL(EAP over LAN)が適用され、網接続装置1とホームステーション2との間はEAPoverRADIUSが適用される。これにより、端末3とホームステーション2との間で、共通鍵Kbを共有することができる。このとき、網接続装置1は、共通鍵Kbを知らない。
(S316)ホームステーション2は、共通鍵Kbを網接続装置1へ送信する。これにより、網接続装置1も、共通鍵Kbを共有することができる。
(S318)網接続装置1は、共通鍵K1を共通鍵Kbを用いて暗号化して、端末3へ送信する。端末3は、暗号化された共通鍵K1を、共通鍵Kbを用いて復号し、共通鍵K1を取得する。これにより、端末3と網接続装置1との間で、共通鍵K1を共有することができ、端末3は、インターネットにアクセスすることが可能となる。
(S308 to S315) EAPOL (EAP over LAN) in IEEE802.1x is applied between the terminal 3 and the network connection device 1, and EAPoverRADIUS is applied between the network connection device 1 and the home station 2. Thereby, the common key Kb can be shared between the terminal 3 and the home station 2. At this time, the network connection device 1 does not know the common key Kb.
(S316) The home station 2 transmits the common key Kb to the network connection apparatus 1. Thereby, the network connection apparatus 1 can also share the common key Kb.
(S318) The network connection device 1 encrypts the common key K1 using the common key Kb and transmits it to the terminal 3. The terminal 3 decrypts the encrypted common key K1 using the common key Kb, and acquires the common key K1. Thereby, the common key K1 can be shared between the terminal 3 and the network connection device 1, and the terminal 3 can access the Internet.
図4は、本発明における具体的な認証の第1のシーケンス図である。   FIG. 4 is a first sequence diagram of specific authentication in the present invention.
(S301)ホームステーション2は、EAPOL-Startを網接続装置1へ送信する。
(S302)EAPOL-Startを受信した網接続装置1は、識別子要求のためのEAP-Requestをホームステーション2へ送信する。
(S303)EAP-Requestを受信したホームステーション2は、EAP-Responseを網接続装置1へ送信する。EAP-Responseは、宅内ネットワークを示すグループ識別子HID1と、ホームステーション2の端末識別子IDst1と、自らがホームステーションであることを示すフラグ情報とを含む。これに対し、網接続装置1は、フラグ情報によってEAP-Responseの送信元端末がホームステーションであることを認識した場合、RADIUS Access RequestをISP認証サーバへ送信する。RADIUS Access Requestは、宅内ネットワークのグループ識別子HID1を含む。
(S301) The home station 2 transmits EAPOL-Start to the network connection device 1.
(S302) Upon receiving the EAPOL-Start, the network connection device 1 transmits an EAP-Request for requesting an identifier to the home station 2.
(S303) Upon receiving the EAP-Request, the home station 2 transmits an EAP-Response to the network connection device 1. The EAP-Response includes a group identifier HID1 indicating a home network, a terminal identifier IDst1 of the home station 2, and flag information indicating that it is a home station. On the other hand, when the network connection apparatus 1 recognizes that the transmission source terminal of the EAP-Response is a home station based on the flag information, the network connection apparatus 1 transmits a RADIUS Access Request to the ISP authentication server. The RADIUS Access Request includes the group identifier HID1 of the home network.
(S304)ISP認証サーバ4は、予め登録ユーザリストを保持している。RADIUS Access Requestによって受信されたグループ識別子が、登録ユーザリストに存在するか否かを判断する。登録ユーザリストに当該グループ識別子が存在する場合、EAP−TLS認証を開始する旨を示すRADIUS Access Challenge(TLS Start)を網接続装置1へ送信する。RADIUS-Access Challengeを受信した網接続装置1は、EAP-Requestをホームステーション2へ送信する。
(S305)ホームステーション2と認証サーバ4との間でTLSネゴシエーションが行われる。これにより、ホームステーション2と認証サーバ4との間で共通鍵Kaが共有される。
(S304) The ISP authentication server 4 holds a registered user list in advance. It is determined whether or not the group identifier received by the RADIUS Access Request exists in the registered user list. When the group identifier exists in the registered user list, a RADIUS Access Challenge (TLS Start) indicating that EAP-TLS authentication is to be started is transmitted to the network connection apparatus 1. The network connection device 1 that has received the RADIUS-Access Challenge transmits an EAP-Request to the home station 2.
(S305) A TLS negotiation is performed between the home station 2 and the authentication server 4. As a result, the common key Ka is shared between the home station 2 and the authentication server 4.
(S306)認証が成功すると、ISP認証サーバ4は、認証が成功したことを示すRADIUS-Access Successを網接続装置1へ送信する。RADIUS-Access Successには、共通鍵Kaが含まれる。これにより、網接続装置1も共通鍵Kaを共有することができる。尚、共通鍵Kaは、網接続装置1とISP認証サーバ4との間で予め共有した共通鍵で暗号化されて、RADIUS-Access Successに付加される。RADIUS-Access Successを受信した網接続装置1は、その共通鍵Kaを保持した上で、ホームステーション2へEAP-Successを送信する。 (S306) When the authentication is successful, the ISP authentication server 4 transmits RADIUS-Access Success indicating that the authentication is successful to the network connection apparatus 1. The RADIUS-Access Success includes a common key Ka. As a result, the network connection apparatus 1 can also share the common key Ka. The common key Ka is encrypted with a common key shared in advance between the network connection device 1 and the ISP authentication server 4 and added to the RADIUS-Access Success. The network connection device 1 that has received the RADIUS-Access Success transmits the EAP-Success to the home station 2 while holding the common key Ka.
(S307)網接続装置1は、ホームステーション2を含む宅内ネットワークに接続された全ての端末3に割り当てる共通鍵K1を決定する。この共通鍵K1は、共通鍵Kaで暗号化されてホームステーション2へ送信される。このとき、網接続装置1は、グループ識別子HID1と共通鍵K1とを対応付けて、グループ共通鍵データベース16に登録する。更に、網接続装置1は、全てのホームステーションで共有する共通鍵KBも生成する。この共通鍵KBは、共通鍵Kaで暗号化されてホームステーション2へ送信される。ホームステーション2と網接続装置1との間で、共通鍵K1及びKBが共有される。 (S307) The network connection device 1 determines the common key K1 to be assigned to all the terminals 3 connected to the home network including the home station 2. The common key K1 is encrypted with the common key Ka and transmitted to the home station 2. At this time, the network connection apparatus 1 registers the group identifier HID1 and the common key K1 in the group common key database 16 in association with each other. Furthermore, the network connection device 1 also generates a common key KB shared by all home stations. The common key KB is encrypted with the common key Ka and transmitted to the home station 2. The common keys K1 and KB are shared between the home station 2 and the network connection device 1.
(S308)端末3は、EAPOL-Startを網接続装置1へ送信する。
(S309)EAPOL-Startを受信した網接続装置1は、識別子要求のためのEAP-Requestを端末3へ送信する。
(S310)EAP-Requestを受信したホームステーション2は、EAP-Responseを網接続装置1へ送信する。EAP-Responseは、宅内ネットワークを示すグループ識別子HID1と、端末3の端末識別子IDaと、自らがホームステーションでないことを示すフラグ情報とを含む。
(S311)網接続装置1は、フラグ情報によってEAP-Responseの送信元端末がホームステーションでないことを認識した場合、RADIUS Access Requestをホームステーション2へ送信する。RADIUS Access Requestは、端末識別子IDaを含む。
(S308) The terminal 3 transmits EAPOL-Start to the network connection device 1.
(S309) The network connection device 1 that has received EAPOL-Start transmits to the terminal 3 an EAP-Request for requesting an identifier.
(S310) The home station 2 that has received the EAP-Request transmits an EAP-Response to the network connection device 1. The EAP-Response includes a group identifier HID1 indicating a home network, a terminal identifier IDa of the terminal 3, and flag information indicating that the terminal is not a home station.
(S311) The network connection apparatus 1 transmits a RADIUS Access Request to the home station 2 when it recognizes from the flag information that the EAP-Response transmission source terminal is not the home station. The RADIUS Access Request includes a terminal identifier IDa.
(S312)ホームステーション2は、端末データベース23に、登録端末識別子リストを保持している。RADIUS Access Requestによって受信された端末識別子IDaが、登録端末識別子リストに存在するか否かを判断する。登録端末識別子リストに当該グループ識別子が存在する場合、EAP−TLS認証を開始する旨を示すRADIUS Access Challenge(TLS Start)を網接続装置1へ送信する。
(S313)RADIUS-Access Challengeを受信した網接続装置1は、EAP-Requestを端末3へ送信する。
(S314)ホームステーション2と端末3との間でTLSネゴシエーションが行われる。これにより、ホームステーション2と端末3の間で共通鍵Kbが共有される。
(S312) The home station 2 holds a registered terminal identifier list in the terminal database 23. It is determined whether or not the terminal identifier IDa received by the RADIUS Access Request exists in the registered terminal identifier list. When the group identifier exists in the registered terminal identifier list, a RADIUS Access Challenge (TLS Start) indicating that EAP-TLS authentication is started is transmitted to the network connection apparatus 1.
(S313) The network connection device 1 that has received the RADIUS-Access Challenge transmits an EAP-Request to the terminal 3.
(S314) TLS negotiation is performed between the home station 2 and the terminal 3. As a result, the common key Kb is shared between the home station 2 and the terminal 3.
(S316)認証が成功すると、ホームステーション2は、認証が成功したことを示すRADIUS-Access Successを網接続装置1へ送信する。RADIUS-Access Successには、共通鍵Kbが含まれる。これにより、網接続装置1も共通鍵Kbを共有することができる。
(S317)RADIUS-Access Successを受信した網接続装置1は、その共通鍵Kbを保持した上で、端末3へEAP-Successを送信する。
(S316) When the authentication is successful, the home station 2 transmits a RADIUS-Access Success indicating that the authentication is successful to the network connection apparatus 1. RADIUS-Access Success includes a common key Kb. Thereby, the network connection apparatus 1 can also share the common key Kb.
(S317) The network connection device 1 that has received the RADIUS-Access Success transmits the EAP-Success to the terminal 3 while holding the common key Kb.
(S318)網接続装置1は、共通鍵K1を共通鍵Kbで暗号化して、端末3へ送信する。端末3は、共通鍵Kbを用いて復号し、共通鍵K1を取得する。端末3と網接続装置1との間で、共通鍵K1を共有することができ、端末3は、インターネットにアクセスすることが可能となる。 (S318) The network connection device 1 encrypts the common key K1 with the common key Kb and transmits it to the terminal 3. The terminal 3 decrypts using the common key Kb and acquires the common key K1. The common key K1 can be shared between the terminal 3 and the network connection device 1, and the terminal 3 can access the Internet.
図5は、本発明における具体的な認証の第2のシーケンス図である。   FIG. 5 is a second sequence diagram of specific authentication in the present invention.
図5は、図4と比較して、S312〜S317のみが異なる。従って、以下ではS312〜S317のみついて説明する。   FIG. 5 differs from FIG. 4 only in S312 to S317. Therefore, only S312 to S317 will be described below.
図5によれば、端末3とホームステーション2との間の認証方式には、IEEE802.1XのEAP−MD5認証を適用している。EAP−MD5は、パスワードによるハッシュ値を利用したものであって、一方向認証のみである。EAP−MD5は、EAP−TLSと比較して認証が簡易であって、ホームステーションをAuthentication Serverとして機能させる場合に、ホームステーションの実装が比較的容易となる。   According to FIG. 5, IEEE 802.1X EAP-MD5 authentication is applied to the authentication method between the terminal 3 and the home station 2. EAP-MD5 uses a hash value by a password, and is only one-way authentication. The EAP-MD5 is simpler to authenticate than the EAP-TLS, and when the home station functions as an authentication server, the implementation of the home station is relatively easy.
(S312)ホームステーション2は、RADIUS Access Requestによって受信された端末識別子IDaが、登録端末識別子リストに存在するか否かを判断する。登録端末識別子リストに端末識別子が存在する場合、ホームステーション2は、乱数raを生成する。そして、ホームステーション2は、EAP−MD5認証を開始する旨を示すRADIUS Access Challengeを網接続装置1へ送信する。RADIUS Access Challengeには、乱数raが含まれる。
(S313)RADIUS Access Challengeを受信した網接続装置1は、EAP-Requestを端末3へ送信する。EAP-Requestには、乱数raが含まれる。
(S312) The home station 2 determines whether or not the terminal identifier IDa received by the RADIUS Access Request exists in the registered terminal identifier list. If the terminal identifier exists in the registered terminal identifier list, the home station 2 generates a random number ra. Then, the home station 2 transmits a RADIUS Access Challenge indicating that EAP-MD5 authentication is started to the network connection device 1. The RADIUS Access Challenge includes a random number ra.
(S313) The network connection device 1 that has received the RADIUS Access Challenge transmits an EAP-Request to the terminal 3. The EAP-Request includes a random number ra.
(S314)端末3は、自らの端末識別子(IDa)と、EAP-Requestに含まれた乱数raと、ホームステーション2との間で予め共有しているパスワードPaとに基づいて、MD5のハッシュ関数を用いてハッシュ値を計算する。そして、端末3は、そのハッシュ値を含むEAP-Responseを網接続装置1へ送信する。パスワードPaは、宅内ネットワーク即ちグループで共通であってよいし、セキュリティ上の観点から端末毎に異なるものであってもよい。
(S315)網接続装置1は、EAP-Responseによって受信されたハッシュ値を含むRADIUS Access Responseをホームステーション2へ送信する。
(S316)ホームステーション2は、自らの端末識別子(IDst1)と、EAP-Responseに含まれた乱数raと、端末3との間で予め共有しているパスワードPaとに基づいて、MD5のハッシュ関数を用いてハッシュ値Kbを計算する。そして、ホームステーション2は、RADIUS Access Responseによって受信されたハッシュ値と、計算されたハッシュ値Kbとを比較して、一致するか否かを判断する。一致した場合、認証が成功したこと示すRADIUS Access Acceptを網接続装置1へ送信する。RADIUS Access Acceptには、ハッシュ値Kbが共通鍵として含まれる。
(S317)網接続装置1は、受信したRADIUS Access Acceptからハッシュ値Kbを取得する。そして、網接続装置1は、端末3へ認証成功を示すEAP-Successを送信する。これにより、網接続装置1と端末3との間で共通鍵Kbが共有される。
(S314) The terminal 3 uses the MD5 hash function based on its own terminal identifier (IDa), the random number ra included in the EAP-Request, and the password Pa shared in advance with the home station 2. Calculate the hash value using. Then, the terminal 3 transmits an EAP-Response including the hash value to the network connection device 1. The password Pa may be common in the home network, that is, the group, or may be different for each terminal from the viewpoint of security.
(S315) The network connection device 1 transmits a RADIUS Access Response including the hash value received by the EAP-Response to the home station 2.
(S316) The home station 2 uses the MD5 hash function based on its own terminal identifier (IDst1), the random number ra included in the EAP-Response, and the password Pa shared in advance with the terminal 3. Is used to calculate the hash value Kb. Then, the home station 2 compares the hash value received by the RADIUS Access Response with the calculated hash value Kb, and determines whether or not they match. If they match, a RADIUS Access Accept indicating that the authentication is successful is transmitted to the network connection apparatus 1. RADIUS Access Accept includes a hash value Kb as a common key.
(S317) The network connection device 1 acquires the hash value Kb from the received RADIUS Access Accept. Then, the network connection device 1 transmits EAP-Success indicating authentication success to the terminal 3. As a result, the common key Kb is shared between the network connection device 1 and the terminal 3.
図6は、端末とインターネットとの間のデータパケットのシーケンス図である。   FIG. 6 is a sequence diagram of a data packet between the terminal and the Internet.
(S401)端末3は、データフレームのMAC層ヘッダに、自端末識別子IDaと宅内ネットワークの識別子HIDとを含む。また、データフレームに、自端末識別子IDaと宅内ネットワークの識別子HIDと共通鍵K1とを用いて算出したデータフレームのMAC(Message Authentication Code)を付与する。更に、共通鍵K1を用いてデータフレームを暗号化する。このデータフレームは、端末3から網接続装置1へ送信される。データフレームは、例えば表1のようになる。 (S401) The terminal 3 includes its own terminal identifier IDa and the identifier HID of the home network in the MAC layer header of the data frame. Further, the MAC (Message Authentication Code) of the data frame calculated using the own terminal identifier IDa, the home network identifier HID, and the common key K1 is assigned to the data frame. Further, the data frame is encrypted using the common key K1. This data frame is transmitted from the terminal 3 to the network connection device 1. The data frame is as shown in Table 1, for example.
(S402)網接続装置1は、データフレームに含まれるHIDに対応する共通鍵K1を検索する。そして、共通鍵K1を用いてぺイロード部分を復号する。更に、付与されたMACを当該共通鍵で検証する。検証が成功した場合、データフレームを再構築し、インターネットアクセス網に転送する。検証に失敗した場合は、当該フレームを破棄する。 (S402) The network connection device 1 searches for the common key K1 corresponding to the HID included in the data frame. Then, the payload portion is decrypted using the common key K1. Further, the assigned MAC is verified with the common key. If the verification is successful, the data frame is reconstructed and transferred to the Internet access network. If verification fails, the frame is discarded.
(S403)インターネットアクセス網から送られてきたデータフレームを受信した網接続装置1は、当該データフレームから端末識別子IDaを抽出する。
(S404)網接続装置1は、全てのホームステーション2に対して、当該端末がどこのグループに所属するかを問い合わせる。尚、このメッセージは、全てのホームステーションで共有している共通鍵KBで暗号化されている。
(S403) The network connection device 1 that has received the data frame transmitted from the Internet access network extracts the terminal identifier IDa from the data frame.
(S404) The network connection apparatus 1 inquires of all the home stations 2 to which group the terminal belongs. This message is encrypted with a common key KB shared by all home stations.
(S405)各ホームステーションは当該メッセージを共通鍵KBで復号する。そして、当該端末が自身の配下に存在する場合、網接続装置1に対して当該端末が自身のグループに属していることを通知する。図6によれば、端末IDaがグループHID1に属しているため、当該グループのホームステーションIDstが、網接続装置1に対して端末IDaが所属しているグループID(HID1)を通知する。 (S405) Each home station decrypts the message with the common key KB. When the terminal exists under its own control, the network connection apparatus 1 is notified that the terminal belongs to its own group. According to FIG. 6, since the terminal IDa belongs to the group HID1, the home station IDst of the group notifies the network connection apparatus 1 of the group ID (HID1) to which the terminal IDa belongs.
(S406)当該端末の所属グループを知った網接続装置1は、端末ID、グループID及び共通鍵K1を用いて算出したデータフレームのMACを付与したデータフレームを作成し、更に共通鍵K1を用いてデータフレームを暗号化して端末IDaに送信する。 (S406) The network connection apparatus 1 that knows the group to which the terminal belongs creates a data frame to which the MAC of the data frame calculated using the terminal ID, the group ID, and the common key K1, and further uses the common key K1. The data frame is encrypted and transmitted to the terminal IDa.
尚、セキュリティの観点から、網接続装置1にてデータフレームの検証を行う際に、データフレームの送信元である端末が正規のユーザであるかどうかを、ホームステーションに問い合わせた後、データフレームの転送又は破棄を決定することも好ましい。   From the viewpoint of security, when the network connection device 1 verifies the data frame, after inquiring the home station whether the terminal that is the transmission source of the data frame is an authorized user, It is also preferable to decide to transfer or discard.
前述した本発明における種々の実施形態によれば、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略を、当業者は容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。   According to the above-described various embodiments of the present invention, those skilled in the art can easily make various changes, modifications, and omissions in the technical idea and scope of the present invention. The above description is merely an example, and is not intended to be restrictive. The invention is limited only as defined in the following claims and the equivalents thereto.
従来技術における集合型宅内ネットワークのシステム構成図である。It is a system configuration diagram of a collective home network in the prior art. 本発明における集合型宅内ネットワークのシステム構成図である。1 is a system configuration diagram of a collective home network in the present invention. FIG. 本発明における概念的な認証のシーケンス図である。It is a sequence diagram of conceptual authentication in the present invention. 本発明における具体的な認証の第1のシーケンス図である。It is a 1st sequence diagram of the specific authentication in this invention. 本発明における具体的な認証の第2のシーケンス図である。It is a 2nd sequence diagram of the specific authentication in this invention. 端末とインターネットとの間のデータパケットのシーケンス図である。It is a sequence diagram of a data packet between a terminal and the Internet.
符号の説明Explanation of symbols
1 網接続装置
11 通信制御部
12 インターネット側送受信部
13 宅内ネットワーク側送受信部
14 Authenticator機能部
15 グループ共通鍵決定部
16 グループ共通鍵データベース
17 ホームステーション側グループ共通鍵送信部
18 端末側グループ共通鍵送信部
19 暗号化/復号部
2 ホームステーション
21 通信制御部
22 送受信部
23 グルーブ内端末データベース
24 Supplicant機能部
25 Authenticator Server機能部
26 認証情報記憶部
27 共通鍵復号部
28 共通鍵記憶部
29 暗号化/復号部
3 端末
4 ISP認証サーバ
5 インターネットアクセス網
6 ISP事業者網
7 インターネット
DESCRIPTION OF SYMBOLS 1 Network connection apparatus 11 Communication control part 12 Internet side transmission / reception part 13 Home network side transmission / reception part 14 Authenticator function part 15 Group common key determination part 16 Group common key database 17 Home station side group common key transmission part 18 Terminal side group common key transmission Unit 19 Encryption / Decryption Unit 2 Home Station 21 Communication Control Unit 22 Transmission / Reception Unit 23 In-Groove Terminal Database 24 Supplicant Function Unit 25 Authenticator Server Function Unit 26 Authentication Information Storage Unit 27 Common Key Decryption Unit 28 Common Key Storage Unit 29 Encrypt / Decryption unit 3 Terminal 4 ISP authentication server 5 Internet access network 6 ISP carrier network 7 Internet

Claims (10)

  1. 複数の端末が接続されたグループ内ネットワークと、複数のグループ内ネットワークとインターネットとの間に接続された網接続装置と、該網接続装置と通信可能な認証サーバとを有するシステムにおける認証方法であって、
    前記グループ内ネットワーク毎にホームステーションが備えられており、
    前記ホームステーションが、前記網接続装置を介して前記認証サーバに対して認証要求メッセージを送信することによって、前記認証サーバとの間で第1の共通鍵が共有され、前記認証サーバが前記網接続装置へ前記第1の共通鍵を送信する第1のステップと、
    前記網接続装置が、前記グループ内ネットワークに対する第2の共通鍵を決定し、前記第1の共通鍵を用いて暗号化した前記第2の共通鍵を前記ホームステーションへ送信する第2のステップと、
    前記端末が、前記網接続装置を介して前記ホームステーションに対して認証要求メッセージを送信することによって、前記ホームステーションとの間で第3の共通鍵が共有され、前記ホームステーションが前記網接続装置へ前記第3の共通鍵を送信する第3のステップと、
    前記網接続装置が、前記第3の共通鍵を用いて暗号化した前記第2の共通鍵を前記端末へ送信する第4のステップと
    を有することを特徴とする認証方法。
    An authentication method in a system including an intra-group network to which a plurality of terminals are connected, a network connection device connected between the plurality of intra-group networks and the Internet, and an authentication server capable of communicating with the network connection device. And
    A home station is provided for each network in the group,
    The home station transmits an authentication request message to the authentication server via the network connection device, whereby a first common key is shared with the authentication server, and the authentication server connects to the network connection. A first step of transmitting the first common key to a device;
    A second step in which the network connection apparatus determines a second common key for the intra-group network, and transmits the second common key encrypted using the first common key to the home station; ,
    When the terminal transmits an authentication request message to the home station via the network connection device, a third common key is shared with the home station, and the home station is connected to the network connection device. A third step of transmitting the third common key to
    And a fourth step in which the network connection device transmits the second common key encrypted by using the third common key to the terminal.
  2. IEEE802.1x認証方式が適用され、
    前記第1のステップは、前記ホームステーションをSupplicantとし、前記網接続装置をAuthenticatorとし、前記認証サーバをAuthentication Serverとして機能させ、
    前記第2のステップは、前記端末をSupplicantとし、前記網接続装置をAuthenticatorとし、前記ホームステーションをAuthentication Serverとして機能させることを特徴とする請求項1に記載の認証方法。
    IEEE 802.1x authentication method is applied,
    In the first step, the home station is a supplicant, the network connection device is an authenticator, the authentication server is functioned as an authentication server,
    The authentication method according to claim 1, wherein the second step causes the terminal to function as a supplicant, the network connection device to function as an authenticator, and the home station to function as an authentication server.
  3. 前記第1のステップは、EAP−TLS方式が適用され、
    前記第2のステップは、EAP−TLS方式又はEAP−MD5方式が適用されることを特徴とする請求項2に記載の認証方法。
    In the first step, an EAP-TLS scheme is applied,
    The authentication method according to claim 2, wherein an EAP-TLS method or an EAP-MD5 method is applied to the second step.
  4. 前記第2の共通鍵が、前記網接続装置と前記端末との間で通信されるデータフレームの暗号化に用いられることを特徴とする請求項1から3のいずれか1項に記載の認証方法。   The authentication method according to any one of claims 1 to 3, wherein the second common key is used for encryption of a data frame communicated between the network connection device and the terminal. .
  5. 前記グループ内ネットワークは、宅内ネットワークであって、電力線搬送通信ネットワークであることを特徴とする請求項1から4のいずれか1項に記載の認証方法。   The authentication method according to any one of claims 1 to 4, wherein the intra-group network is a home network and is a power line carrier communication network.
  6. 複数の端末が接続されたグループ内ネットワークと、複数のグループ内ネットワークとインターネットとの間に接続された網接続装置と、該網接続装置と通信可能な認証サーバとを有するシステムであって、
    前記グループ内ネットワーク毎にホームステーションが備えられており、
    前記認証サーバは、前記網接続装置を介して前記ホームステーションから認証要求メッセージを受信することによって、前記ホームステーションとの間で第1の共通鍵を共有する認証手段と、該第1の共通鍵を前記網接続装置へ送信する共通鍵送信手段とを有し、
    前記ホームステーションは、前記網接続装置を介して前記認証サーバへ認証要求メッセージを送信し、前記認証サーバとの間で第1の共通鍵を共有する認証サーバ機能手段と、前記端末から前記網接続装置を介して前記認証要求メッセージを受信し、前記端末との間で第3の共通鍵を共有する認証端末機能手段とを有し、
    前記網接続装置は、前記グループ内ネットワークに対する第2の共通鍵を決定するグループ共通鍵決定手段と、前記第1の共通鍵を用いて暗号化した前記第2の共通鍵を前記ホームステーションへ送信する第1の送信手段と、前記第3の共通鍵を用いて暗号化した前記第2の共通鍵を前記ホームステーションへ送信する第2の送信手段と
    を有することを特徴とするシステム。
    A system having an intra-group network to which a plurality of terminals are connected, a network connection device connected between the plurality of intra-group networks and the Internet, and an authentication server capable of communicating with the network connection device,
    A home station is provided for each network in the group,
    The authentication server receives an authentication request message from the home station via the network connection device, thereby sharing an authentication unit that shares a first common key with the home station, and the first common key. And a common key transmitting means for transmitting to the network connection device,
    The home station transmits an authentication request message to the authentication server via the network connection device and shares a first common key with the authentication server, and the network connection from the terminal An authentication terminal function means for receiving the authentication request message via a device and sharing a third common key with the terminal;
    The network connection device transmits a second common key encrypted using the first common key to the home station, and a group common key determination unit for determining a second common key for the intra-group network. And a second transmission means for transmitting the second common key encrypted using the third common key to the home station.
  7. IEEE802.1x認証方式が適用され、
    前記ホームステーションにおける前記認証サーバ機能手段はAuthentication Serverとして機能し、前記認証端末機能手段はSupplicantとして機能することを特徴とする請求項6に記載のシステム。
    IEEE 802.1x authentication method is applied,
    The system according to claim 6, wherein the authentication server function unit in the home station functions as an Authentication Server, and the authentication terminal function unit functions as a Supplicant.
  8. 前記ホームステーションにおける前記認証サーバ機能手段には、EAP−TLS方式が適用され、前記認証端末機能手段には、EAP−TLS方式又はEAP−MD5方式が適用されることを特徴とする請求項7に記載のシステム。   8. The EAP-TLS method is applied to the authentication server function unit in the home station, and an EAP-TLS method or an EAP-MD5 method is applied to the authentication terminal function unit. The described system.
  9. 前記網接続装置は、前記端末へ送信すべきデータフレームを前記第2の共通鍵を用いて暗号化し、前記端末から受信したデータフレームを前記第2の共通鍵を用いて復号する暗号化/復号手段を更に有し、
    前記端末は、前記網接続装置へ送信すべきデータフレームを前記第2の共通鍵を用いて暗号化し、前記網接続装置から受信したデータフレームを前記第2の共通鍵を用いて復号する暗号化/復号手段を更に有する
    ことを特徴とする請求項6から8のいずれか1項に記載のシステム。
    The network connection apparatus encrypts a data frame to be transmitted to the terminal using the second common key, and encrypts / decrypts the data frame received from the terminal using the second common key Further comprising means,
    The terminal encrypts a data frame to be transmitted to the network connection device using the second common key, and decrypts a data frame received from the network connection device using the second common key The system according to any one of claims 6 to 8, further comprising: a decoding unit.
  10. 前記グループ内ネットワークは、宅内ネットワークであって、電力線搬送通信ネットワークであることを特徴とする請求項6から9のいずれか1項に記載のシステム。   The system according to any one of claims 6 to 9, wherein the intra-group network is a home network and is a power line carrier communication network.
JP2005002306A 2005-01-07 2005-01-07 Authentication method and system in collective residential network Expired - Fee Related JP4677784B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005002306A JP4677784B2 (en) 2005-01-07 2005-01-07 Authentication method and system in collective residential network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005002306A JP4677784B2 (en) 2005-01-07 2005-01-07 Authentication method and system in collective residential network

Publications (2)

Publication Number Publication Date
JP2006191429A JP2006191429A (en) 2006-07-20
JP4677784B2 true JP4677784B2 (en) 2011-04-27

Family

ID=36798122

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005002306A Expired - Fee Related JP4677784B2 (en) 2005-01-07 2005-01-07 Authentication method and system in collective residential network

Country Status (1)

Country Link
JP (1) JP4677784B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4787730B2 (en) * 2006-12-22 2011-10-05 Necインフロンティア株式会社 Wireless LAN terminal and wireless LAN system
JP5108634B2 (en) * 2008-05-30 2012-12-26 パナソニック株式会社 Key exchange method
JP2013042330A (en) * 2011-08-15 2013-02-28 Kddi Corp Unidirectional communication system, method, and program

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001053779A (en) * 1999-08-10 2001-02-23 Matsushita Graphic Communication Systems Inc Home network gateway device and home network equipment
JP2002271309A (en) * 2001-03-07 2002-09-20 Sharp Corp Key-information managing method, and device managing equipment
JP2003111156A (en) * 2001-09-27 2003-04-11 Toshiba Corp Digital household electric appliance
JP2004194016A (en) * 2002-12-12 2004-07-08 Sony Corp Information processing system and method, repeater and repeating method, recording medium and program
JP2004274359A (en) * 2003-03-07 2004-09-30 Ntt Docomo Inc Communication network system, communication terminal device, authenticating device, authentication server and electronic authentication method
JP2004297292A (en) * 2003-03-26 2004-10-21 Nec Corp Wireless terminal, authentication server, wireless authentication information management system, and wireless authentication information management method
JP2004320139A (en) * 2003-04-11 2004-11-11 Toshiba Corp Remote control system and relaying apparatus

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001053779A (en) * 1999-08-10 2001-02-23 Matsushita Graphic Communication Systems Inc Home network gateway device and home network equipment
JP2002271309A (en) * 2001-03-07 2002-09-20 Sharp Corp Key-information managing method, and device managing equipment
JP2003111156A (en) * 2001-09-27 2003-04-11 Toshiba Corp Digital household electric appliance
JP2004194016A (en) * 2002-12-12 2004-07-08 Sony Corp Information processing system and method, repeater and repeating method, recording medium and program
JP2004274359A (en) * 2003-03-07 2004-09-30 Ntt Docomo Inc Communication network system, communication terminal device, authenticating device, authentication server and electronic authentication method
JP2004297292A (en) * 2003-03-26 2004-10-21 Nec Corp Wireless terminal, authentication server, wireless authentication information management system, and wireless authentication information management method
JP2004320139A (en) * 2003-04-11 2004-11-11 Toshiba Corp Remote control system and relaying apparatus

Also Published As

Publication number Publication date
JP2006191429A (en) 2006-07-20

Similar Documents

Publication Publication Date Title
JP3863852B2 (en) Method of controlling access to network in wireless environment and recording medium recording the same
EP1484856B1 (en) Method for distributing encryption keys in wireless lan
KR100832893B1 (en) A method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely
JP4634612B2 (en) Improved subscriber authentication protocol
US7734280B2 (en) Method and apparatus for authentication of mobile devices
JP4575679B2 (en) Wireless network handoff encryption key
KR101485230B1 (en) Secure multi-uim authentication and key exchange
JP4000111B2 (en) Communication apparatus and communication method
CA2792490C (en) Key generation in a communication system
US8352739B2 (en) Two-factor authenticated key exchange method and authentication method using the same, and recording medium storing program including the same
EP1422875B1 (en) Wireless network handoff key
US20090063851A1 (en) Establishing communications
KR20120091635A (en) Authentication method and apparatus in wireless communication system
US9392453B2 (en) Authentication
JP2002247047A (en) Session shared key sharing method, radio terminal authenticating method, radio terminal and base station device
JP2011524669A (en) Control signal encryption method
EP1933498B1 (en) Method, system and device for negotiating about cipher key shared by ue and external equipment
WO2010078755A1 (en) Method and system for transmitting electronic mail, wlan authentication and privacy infrastructure (wapi) terminal thereof
Maccari et al. Security analysis of IEEE 802.16
US10638321B2 (en) Wireless network connection method and apparatus, and storage medium
WO2011041962A1 (en) Method and system for end-to-end session key negotiation which support lawful interception
JP4550759B2 (en) Communication system and communication apparatus
JP4677784B2 (en) Authentication method and system in collective residential network
Zhu et al. Research on authentication mechanism of cognitive radio networks based on certification authority
Sithirasenan et al. EAP-CRA for WiMAX, WLAN and 4G LTE Interoperability

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070918

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110104

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110117

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140210

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees