JP4682250B2 - マルチホップ無線ネットワークにおける無線ルータ支援セキュリティハンドオフ(wrash) - Google Patents
マルチホップ無線ネットワークにおける無線ルータ支援セキュリティハンドオフ(wrash) Download PDFInfo
- Publication number
- JP4682250B2 JP4682250B2 JP2008548804A JP2008548804A JP4682250B2 JP 4682250 B2 JP4682250 B2 JP 4682250B2 JP 2008548804 A JP2008548804 A JP 2008548804A JP 2008548804 A JP2008548804 A JP 2008548804A JP 4682250 B2 JP4682250 B2 JP 4682250B2
- Authority
- JP
- Japan
- Prior art keywords
- wireless router
- handoff
- access point
- mobile station
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 28
- 238000004891 communication Methods 0.000 claims description 12
- 230000006870 function Effects 0.000 description 9
- 230000004044 response Effects 0.000 description 9
- 230000008901 benefit Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 238000013459 approach Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000009795 derivation Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- 108700026140 MAC combination Proteins 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
- H04W40/24—Connectivity information management, e.g. connectivity discovery or connectivity update
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は、概して無線マルチホップネットワークに関し、特に、マルチホップ無線ネットワークにおける移動局とアクセスノードとの間の安全なハンドオフに関する。
ボイスオーバーインターネットプロトコル(IP)やライブストリーム動画といったモバイル無線ネットワークリアルタイムアプリケーションに関しては、無線メッシュネットワークなどの新しく生まれた高度なマルチホップ無線ネットワークのエンドユーザ受入れを容易にするために迅速なハンドオフが望まれる。移動局が1つのアクセスポイント(AP)から別のAPへ移動するシームレスなハンドオフは、アプリケーションの性能と有用性を大幅に向上させる。
アクセスポイント間の移動局ハンドオフは、リンク層ハンドオフとネットワーク層ハンドオフの一方または両方を含むことができる。サブネットが通常、複数のアクセスポイントをカバーしているという事実により、大半のハンドオフはリンク層でのみ生じる。したがって、迅速かつ安全なリンク層ハンドオフは、ネットワーク全体の性能を高める。移動局が最初にネットワークに加わるとき、移動局とAPとの間のセキュリティアソシエーションのための最初の認証と鍵の管理には比較的長い時間がかかり、ときには数秒間かかることもある。移動局がAP間を移動する際に、完全な認証と鍵管理プロトコルを再開すれば、必然的にハンドオフの性能に影響が及ぶ。現行の無線ローカルエリアネットワーク(LAN)トポロジーでは、迅速なハンドオフのために2種類の手法が提案されている。これらは「事前認証」ハンドオフと「セキュリティコンテキスト転送」ハンドオフである。
事前認証ハンドオフ手法に関しては、モバイル機器は、旧アクセスポイントを切断する前に、旧APを介するかまたは直接に新APへ、新アクセスポイントを認証することができる。モバイル機器が新アクセスポイントに移動するときに、いつでも新セキュリティセッションキーを使用する用意ができているため、このハンドオフは比較的高速である。事前認証手法の1つの課題は、正しい新APの位置の特定と、事前認証のための十分な時間の配分とのバランスを発見することである。この困難さは、ハンドオフが完全な認証と鍵管理プロセスに必要な時間遅延を有効に負担できない高速環境では、増大する。
セキュリティコンテキスト転送ハンドオフ手法に関する様々なスキームが提案されている。上記スキームの1つが、現APと新APとの間でのモバイル機器のセキュリティコンテキストのインターアクセスポイントプロトコル(IAPP)交換である。このスキームでは、セキュリティコンテキストを近隣のAPグラフを用いて能動的に分配する、あるいは旧APから新APへ反動的に引き寄せることができる。新たに提案されるIEEE802.11(r)規格では、セキュリティコンテキストは、鍵保有者のヒエラルキー間で分配される。よって、これらの種類のハンドオフスキームでは、新ペア一時鍵(PTK)を得るための4ウェイ−ハンドシェイクの遅延が低減されず、メモリ計算要件に関するオーバヘッドがかなり大きくなることがある。IEEE802.11(r)では、最上位の鍵保有者には追加のハードウェアが必要となる場合がある。
よって、安全にハンドオフに必要なメッセージの数を低減する方法を提供することが有益であろう。
添付の図面では、全図面を通じて同じ参照符号が同一または機能上類似の構成要素を指し、下記の詳細な説明とともに明細書に組み込まれ、明細書の一部を成し、各種実施形態をさらに図示し、本発明による原理と利点を説明する役割を果たす。
添付の図面では、全図面を通じて同じ参照符号が同一または機能上類似の構成要素を指し、下記の詳細な説明とともに明細書に組み込まれ、明細書の一部を成し、各種実施形態をさらに図示し、本発明による原理と利点を説明する役割を果たす。
当業者であれば認識できることであるが、図面内の構成要素は簡潔さと明瞭性を求めて図示されており、かならずしも等縮尺されていない。たとえば、図面内の構成要素の中には、本発明の実施形態の理解を深める手助けとして、他の構成要素に対して誇張して描かれているものもある。
本発明による詳細な実施形態について説明する前に、実施形態は主に、マルチホップ無線ネットワークにおける無線ルータ支援セキュリティハンドオフに関連する方法ステップの組み合わせおよび装置構成要素の組み合わせに存在することに注意すべきである。したがって、装置構成要素と方法ステップは、適宜、図面内で従来の記号によって示されており、本明細書の記載の恩恵を得る当業者にとって容易に自明となる詳細の開示を曖昧にしないように、本発明の実施形態の理解に関連する具体的な詳細のみを示す。
本文献では、第1と第2や、上部と下部などの相対的な用語は、実体または行為間の実際の関係や順番を必ずしも要求または示唆せずに、ある実体または行為を別の実体または行為と区別するためにだけ用いることができる。「備える」またはその変形は、構成要素のリストを備えるプロセス、方法、品目、または装置が、それらの構成要素のみを含むのではなく、上記プロセス、方法、品目、または装置に明確に列挙されていない、あるいは生来備わる他の構成要素も含むことができるように、非限定的な包括を対象とすることを意図する。限定なしに「...を備える」を伴う構成要素は、その構成要素を備えるプロセス、方法、品目、または装置において追加の同一の構成要素の存在を排除するものではない。
本明細書に記載の本発明の実施形態は、1つまたはそれ以上の従来のプロセッサ、および1つまたはそれ以上のプロセッサを制御し、特定の非プロセッサ回路と組み合わせて、本明細書に記載のマルチホップ無線ネットワークにおける無線ルータ支援セキュリティハンドオフの機能の1部、大部分、または全部を実行する独自の記憶されたプログラム命令を備えることができると認識される。非プロセッサ回路は、無線受信機、無線送信機、信号ドライバ、クロック回路、電源回路、およびユーザ入力装置を含むが、それらに限定されない。そのようなものとして、これらの機能は、マルチホップ無線ネットワークにおいて無線ルータ支援セキュリティハンドオフを実行する方法のステップとして解釈することができる。もしくは、1部または全部の機能は、記憶されたプログラム命令を持たない状態機械によって、あるいは、1つまたはそれ以上の特定用途向け集積回路(ASIC)において実現され、各機能または特定の機能の組み合わせがカスタム論理として実現される。当然ながら、2つの手法の組み合わせを使用することができる。よって、これらの機能のための方法と手段が本明細書に記載される。さらに、当業者であれば、たとえば、利用可能な時間、最新技術、および経済的な考慮事項によって動機付けられる多大な努力と多くの設計上の選択肢にもかかわらず、本明細書に開示される概念と原理に誘導されて、上記のソフトウェアの命令およびプログラムとICを最小限の実験で容易に生成するであろう。
近年、モバイル無線ネットワークは、産業用アプリケーションに鑑み公衆安全とインテリジェント輸送の分野で大きな関心を集めている。それらのアプリケーション配備の大半で、1つまたはそれ以上の有線ネットワークへのアクセスが必要とされる。移動無線局が別の移動局と通信するピアツーピアアプリケーションであっても、2つの比較的遠く離れた通信無線移動局の無線ホップを低減することによって性能を向上させるために、依然として有線インフラが必要とされるかもしれない。上記マルチホップ無線ネットワークの設計では、移動局は、1つまたはそれ以上の無線ルータを介してアクセスポイントと継続的な接続性を維持することができる。したがって、有線ネットワークと移動局、または移動局と遠隔の移動局との間の通信性能を大幅に向上させることができる。
図1は、インフラストラクチャ型のマルチホップ無線ネットワーク100を示すブロック図である。無線ルータ101、103、105、107、109、111、および115は、移動局117、119、121にパケットを配送するために使用される。当業者であれば認識できることであるが、無線ルータは、時分割多重アクセス(TDMA)フォーマット、符号分割多重アクセス(CDMA)フォーマット、または周波数分割多重アクセス(FDMA)フォーマットなどの多重化フォーマットでデータパケット通信を送受信することができる。図示されるのは、例示した移動局から有線ネットワークへの経路のみである。有線ネットワークは、たとえば、他のアドホックネットワーク、公衆交換電話網(PSTN)、およびインターネットなどの他のネットワークへのアクセスを有するネットワークノードを提供する中核地域ネットワーク(LAN)、および複数のサーバとゲートウェイルータを含むことができる。
当業者であれば認識できることであるが、メッシュ接続またはそれらのネットワーク接続が、無線ルータ間またはその他の類似機器間で確立される。無線ルータ101、103、105、107、109、111、113、および115間のメッシュ接続は、2つの近傍機器が互いに通信する場合には必ず確立することができる。リンク層内のエンドツーエンドセキュリティモデルがマルチホップ無線ネットワーク100で使用されるとき、リンク層の無線領域内での2つの通信ノード間でセキュリティアソシエーションが確立される。たとえば、移動局119、121が無線ルータ109、111、および113を介して互いに通信する際、その2つの移動局119、121はセキュリティアソシエーションを確立することができる。有線ネットワーク123を出入りするすべてのトラフィックはアクセスポイント125、127を通過する。したがって、移動局119、121は、アクセスポイント125、127のうちの一方を相手にして、リンク層アソシエーションとセキュリティアソシエーションの両方を継続的に維持することができる。所与の移動局とアクセスポイントとの間には任意数の無線ルータが介在し得る。当業者であれば認識できることであるが、各通信ホップに固有の遅延により、セキュリティコンテキスト転送スキームにおける事前認証、4ウェイ−ハンドシェイク、および鍵マテリアル分配のそれぞれは、ハンドオフの間に長い時間を要する。
本発明は、無線ルータ支援セキュリティハンドオフ(WRASH)と呼ぶことのできる、セキュリティコンテキストキャッシングハンドオフ手法に関連する高速ハンドオフスキームを提供する。無線ルータは、起こりうるリプレイ攻撃を回避するため、「Anonce」の「新鮮度(freshness)」を保証することによってハンドオフを早める。当業者であれば認識できることであるが、Anonceは4ウェイ−ハンドシェイク中に認証者からサプリカントに配送される乱数である。セキュリティコンテキストは、ハンドオフ中に移動局を介して転送される。再アソシエーションおよび4ウェイ−ハンドシェイクメッセージは、2つのメッセージのみに組み合わされる。
以下は、本発明によって採用されるスキームの詳細な説明である。本発明は、すべてのアクセスポイントをセキュリティコンテキスト暗号鍵(SCEK)により事前設定することが必要な方法を利用する。SCEKは、すべてのアクセスノードまたはポイント間で動的に取り決めることもできる。この要件は通常、すべてのセキュリティコンテキストキャッシング高速ハンドオフスキームで必要である。インターアクセスポイントプロトコル(IAPP)では、遠隔認証ダイヤルインユーザサービス(RADIUS)サーバがアクセスポイント間で共有鍵を提供することが推奨される。SCEKは、たとえば、少なくとも128ビット長で、暗号文への暗号化攻撃に抵抗するのに十分堅固である。
移動局へのセキュリティコンテキストに関しては、移動局が最初にネットワークに加わる際、選択されたアクセスポイントで完全な認証および鍵管理プロトコルを実行する。これは、地域無線ネットワーク(WLAN)のための電気電子技術者協会(IEEE802.11(i))規格に記載されるセキュリティフレームワークと類似する。この最初の処理期間中、移動局とアクセスポイントの両方でペアマスタ鍵(PMK)およびペア一時鍵(PTK)を生成することができる。WLANの考え方との差異は、認証および鍵管理メッセージが、マルチホップ無線ネットワークではメッシュルーティング送信機能を介して複数の無線ルータ上で転送されることにある。
よって、PMKに加えて、移動局とアクセスポイントは、疑似乱数関数(PRF)−256ビット(PMK、「ハンドオフPMK導出」、サプリカントアドレス(SPA))に等しいハンドオフPMK(PMK_H)も生成する。疑似乱数関数は、記号「PRF−256」が疑似乱数関数の出力ビット長を特定するIEEE802.11(i)規格で定義される。「SPA」は、移動局の媒体アクセス制御(MAC)アドレスである。当業者であれば認識できることであるが、MAC層は開放型システム間相互接続(OSI)モデルのデータリンク層を構成する2つの副層のうちの1つである。MAC層は、あるネットワークインタフェースカード(NIC)とやり取りするデータパケットを、共有チャネルを超えた別のNICへと移動させることに対して責任がある。MAC副層はMACプロトコルを使用して、別々の局から同じチャネルで送信される信号が衝突しないようにする。
ハンドオフ用のセキュリティコンテキストは、PMKハンドオフ(PMK_H)、開始/終了時間を有するPMK_H寿命及びSPAを含む。セキュリティコンテキストは、SCEKで現アクセスポイント内で暗号化され、そこでは暗号化データは保護セキュリティコンテキスト(PSC)と呼ばれる。次に、このアクセスポイントは、最初のセキュリティセッション設定時間中にこのPSCを移動局に配信する。これは、IEEE802.11(i)規格フレームワークで定義されるようにアクセスポイントから移動局へのグループ一時鍵(GTK)配信と同じように実行することができる。移動局がPSCを受信すると、PSCは終了まで再利用することができる。
本発明では、無線ルータは、シーケンス番号(SN)の生成と、それのアクセスポイントに対する有効性の保証において、重要な役割を果たす。マルチホップ無線ネットワークでは、無線ルータの電源が入ると、そのルータはアクセスポイントとのセキュリティアソシエーションを確立し、無線ルータとアクセスポイントとの間で安全なチャネルが設定される。ネットワーク内の各無線ルータはシーケンス番号を保持する。無線ルータは、「ハロー」メッセージにおいて、そのシーケンス番号と関連アクセスポイントMACアドレス(AA)とを配信する。シーケンス番号は、無線ルータが移動局から有効な再アソシエーション要求を受信するときのみ増加される。
図2は、移動局(MS)、無線ルータ(WR)、およびアクセスポイント(AP)間の通信のフロー図200である。移動局は、新アクセスポイントへハンドオフするための第1ホップ無線ルータを選択すると、第1ホップ無線ルータのハローメッセージから第1ホップ無線ルータのSNおよびAAを取得し、新PTKを生成する(201)。新PTKは、PRF−X(PMK_H、「ペア鍵拡張」、AA||SPA||SN||MS_Nonce)と等しく、ここでXはPRF出力の長さであり、MS_Nounceは移動局によって生成される乱数である。PTK導出で使用されるSNは、移動局によって受信される最新のビーコンフレーム(「ハローメッセージ」)から取得され(203)、そこではSNは、IEEE802.11(i)規格の4ウェイ−ハンドシェイクの場合のようにAnonceとして使用される。無線ルータとアクセスポイントとの間に信頼関係があるため、アクセスポイントは、無線ルータを信頼して、Anonceとして使用される有効なSNを維持する。無線ルータは、リプレイ攻撃を回避するため、SNに基づき再アソシエーション要求の世代または「新鮮度」をチェックする。移動局からのハンドオフ要求は、再アソシエーション要求205と組み合わされる。その要求中の情報は、メッセージ識別(MID)、PSC、SN、MS_Nonce、AA、SPA、無線ルータアドレス(WRA)、およびメッセージ完全性コード(MIC)を含むことができる。WRAは、選択された無線ルータのMACアドレスであり、SNとこの無線ルータとを結びつけるのに利用される。MICは、移動局の新たに獲得されたPTKとともに再アソシエーションメッセージコンテンツ上で生成される「メッセージ完全性チェック」コードである。上述したように再アソシエーションメッセージを生成した後、移動局はそのメッセージを選択された無線ルータに送信することになる。
無線ルータは、再アソシエーション要求205を受信すると、そのメッセージ内のSN、SPA、およびAAをチェックする。無線ルータは、同じSPAで以前のSNを有する再アソシエーション要求を破棄することになる。チェックに合格すると、無線ルータはメッセージをアクセスポイントに安全に通り抜けさせ、現在のSN値を1だけ増加させる。当業者であれば認識できることであるが、「通り抜ける」という用語は、データが移動局またはその他の最終目的地への途中で無線ルータを通過するあるいは進むことを指す。
新アクセスポイントは、無線ルータから再アソシエーション要求を受信すると(207)、SCEKを用いて保護セキュリティコンテキスト(PSC)を解読する。次に新アクセスポイントは、移動局が実行するように、PMK_H、SN、MS_Nonce、AA、SPAからPTKを生成する。次いで、受信したメッセージ内のMICが新PTKでチェックされる。PTKの導出後、新APは、GTK、MID、WRA、AA、SPA、およびMICを含む、再アソシエーション応答を生成する。応答メッセージ内のMICは、応答メッセージコンテンツ上で新PTKとともに生成される。応答の生成後、新APはメッセージを送信元WRに安全に通り抜けさせる(209)。応答メッセージが無線ルータによって受信されると、無線ルータは通り抜けた再アソシエーション応答を移動局に送信する(211)。移動局は応答を受信した後、新PTKで応答メッセージ内のMICをチェックする。このチェック比較に合格すると、セキュリティハンドオフプロセスは、移動局と新アクセスポイントの両方が、これらの両機器間のデータフローを確保するのに使用可能な共通のPTKを共有するという点で完了する(213)。続いて、無線ルータはビーコンフレーム内のメッセージを移動局に送信し(215)、そこではシーケンス番号が1だけ増加されており(SN+1)、AAはそのメッセージ内に含まれてセキュリティアソシエーションが確立されたことを示す。
本発明の方法の実施例が図3に示されており、ここでは、先の図1に示されるように、参加機器間で2つのハンドシェイクメッセージがやり取りされる300。この実施例では、移動局301は最初に、旧アクセスポイント303に対応付けられて、そこで保護セキュリティコンテキスト(PSC)データ305を受信する。移動局301は、新アクセスポイント307への移動を決定すると、再アソシエーションメッセージ309を図示される選択された無線ルータ311に送信することになる。無線ルータ311は、その再アソシエーションメッセージの世代を保証した後、再アソシエーションメッセージを新アクセスポイント305に通り抜けさせる(313)。すると、新アクセスポイント305は、PTKを生成することになり、新PTKで再アソシエーションメッセージを保証する。その後、新アクセスポイント305は、無線ルータ317および319を介して再アソシエーション応答メッセージ315を無線ルータ311に送信する。無線ルータ311は順々にメッセージ321を移動局301に送信する。
よって、本発明のセキュリティハンドオフスキームは、無線ルータがアクセスポイントで認証されたときに確立される、無線ルータとアクセスポイントとの間の信頼関係を利用する。無線ルータは、ハンドオフ処理で使用されるシーケンス番号の形でAnonceを生成する。この方法の利点のうちの1つは、セキュリティハンドオフプロセス全体で必要なのがただ2つのメッセージであるということである。このスキームは、既存のハンドオフスキームと比較して、ハンドオフ遅延期間を大幅に削減する。さらに、再アソシエーション要求は新ペア一時鍵(PTK)で認証される。新スキームは、通信ネットワークにおける再アソシエーション機構の安全性を高め、関連する局とアクセスポイントへのさーばー攻撃拒否のリスクを低減する。最後に、本発明の方法は、セキュリティコンテキスト配信プロトコルの追加を必要としないため、現行のセキュリティコンテキスト転送に基づく他の方法よりもずっと簡略化されている。
上述の明細書では、本発明の実施形態を説明した。しかしながら、当業者であれば、下記の請求項に記載されるような本発明の範囲を逸脱せずに様々な修正や変更を行うことができると認識するであろう。したがって、明細書および図面は限定的ではなく例示的にみなすべきであり、上記修正はすべて本発明の範囲に含まれることを意図する。恩恵、利点、または解決策を発生させる、あるいはより明確にすることのできる恩恵、利点、または解決策、および構成要素は、請求項の1部または全部の決定的な、必須の、あるいは必要不可欠な特徴または要素と解釈すべきではない。本発明は、本願の係属中に成されたすべての補正、および発行されている請求項のすべての等価物を含め、添付の請求項によってのみ定義される。
Claims (7)
- マルチホップ通信ネットワークにおける無線ルータ支援セキュリティハンドオフ方法であって、
移動局が、
安全なハンドオフを支援するアクセスポイントへの最初のホップである無線ルータを選択し、
前記無線ルータから受信したハローメッセージから、前記無線ルータのシーケンス番号(SN)と前記アクセスポイントのアクセスポイント媒体アクセス制御(MAC)アドレス(AA)を取得し、
前記SNと前記AAを用いてペア一時鍵(PTK)を生成し、
前記移動局から前記無線ルータに再アソシエーション要求を含む第1のハンドオフメッセージを送信し、
前記無線ルータが、
前記アクセスポイントに前記第1のハンドオフメッセージを安全に通り抜けさせ、
前記アクセスポイントが、
前記第1のハンドオフメッセージを前記無線ルータから受信し、
前記SNと前記AAを用いて前記ペア一時鍵(PTK)を生成し、
前記第1のハンドオフメッセージのメッセージ完全性を前記PTKを用いて保証し、
前記移動局と前記アクセスポイントの間の通信を確立する
ことを備える、前記マルチホップ通信ネットワークにおける無線ルータ支援セキュリティハンドオフ方法。 - 前記第1のハンドオフメッセージは、メッセージ識別(MID)、前記移動局の保護セキュリティコンテキスト(PSC)、前記無線ルータの前記シーケンス番号(SN)、MS_Nonce、前記アクセスポイントの前記AA、前記移動局の媒体アクセス制御(MAC)アドレス(SPA)、無線ルータアドレス(WRA)、およびメッセージ完全性コード(MIC)のうちの一つまたは複数を備える、請求項1の無線ルータ支援セキュリティハンドオフ方法。
- 前記アクセスポイントを含む全てのネットワークアクセスポイントにおいてセキュリティコンテキスト暗号鍵(SCEK)を設定し、
前記アクセスポイントにおいて受信した前記第1のハンドオフメッセージを前記SCEKを用いて解読すること
を更に備える、請求項1の無線ルータ支援セキュリティハンドオフ方法。 - 前記無線ルータが前記ネットワークに加わったときに、前記選択に先立ち、前記無線ルータとアクセスノードとの間のセキュリティアソシエーション提供することを更に備える、請求項1の無線ルータ支援セキュリティハンドオフ方法。
- 前記選択に先立ち、
最初の移動局認証中に、第1のアクセスポイントと前記移動局の両方がハンドオフペアマスタ鍵(PMK)を生成し、
前記ハンドオフPMKと前記移動局の媒体アクセス制御(MAC)アドレスとを暗号化することによって、前記第1のアクセスポイントにおいて保護セキュリティコンテキスト(PSC)データを生成し、
最初の移動局認証中に、前記PSCを前記第1のアクセスポイントから前記移動局に転送し、
前記移動局と前記アクセスポイントの間の通信の確立後、前記PSCデータ内の前記ハンドオフPMKを、前記第1のアクセスポイントから前記アクセスポイントに前記移動局を介して転送することを更に
を備える、請求項1の無線ルータ支援セキュリティハンドオフ方法。 - 再アソシエーション要求メッセージは、前記無線ルータによって、前記メッセージの世代が保証された後に通り抜ける、請求項1の無線ルータ支援セキュリティハンドオフ方法。
- 前記メッセージ中の前記SN、前記SPA、及び前記AAをチェックし、
同じSPAで以前のSNを有する前記第1のハンドオフメッセージを破棄し、
前記チェックに合格すると、前記メッセージを前記アクセスポイントに安全に通り抜けさせ、現在のSN値を1だけ増加させることを更に備える、請求項2の無線ルータ支援セキュリティハンドオフ方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/323,727 US7483409B2 (en) | 2005-12-30 | 2005-12-30 | Wireless router assisted security handoff (WRASH) in a multi-hop wireless network |
| PCT/US2006/062138 WO2007079349A2 (en) | 2005-12-30 | 2006-12-15 | Wireless router assisted security handoff (wrash) in a multi-hop wireless network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009524274A JP2009524274A (ja) | 2009-06-25 |
| JP4682250B2 true JP4682250B2 (ja) | 2011-05-11 |
Family
ID=38224280
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008548804A Active JP4682250B2 (ja) | 2005-12-30 | 2006-12-15 | マルチホップ無線ネットワークにおける無線ルータ支援セキュリティハンドオフ(wrash) |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7483409B2 (ja) |
| EP (1) | EP1974553B1 (ja) |
| JP (1) | JP4682250B2 (ja) |
| KR (1) | KR100989769B1 (ja) |
| CN (1) | CN101366291B (ja) |
| WO (1) | WO2007079349A2 (ja) |
Families Citing this family (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI20050393A0 (fi) * | 2005-04-15 | 2005-04-15 | Nokia Corp | Avainmateriaalin vaihto |
| KR101337126B1 (ko) * | 2005-05-12 | 2013-12-05 | 삼성전자주식회사 | 무선랜 매쉬 네트워크에서의 핸드오버에 따른 재결합 수행 방법 및 장치 |
| US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
| EP2041910A4 (en) * | 2006-07-06 | 2013-05-22 | Apple Inc | WIRELESS ACCESS POINT SECURITY FOR MULTIHOP NETWORKS |
| US8948395B2 (en) * | 2006-08-24 | 2015-02-03 | Qualcomm Incorporated | Systems and methods for key management for wireless communications systems |
| US7499547B2 (en) * | 2006-09-07 | 2009-03-03 | Motorola, Inc. | Security authentication and key management within an infrastructure based wireless multi-hop network |
| US20080219203A1 (en) * | 2007-03-09 | 2008-09-11 | Industrial Technology Research Institute. | Method for mac process and flexible connection in wireless multi-hop relaying network |
| US10091648B2 (en) * | 2007-04-26 | 2018-10-02 | Qualcomm Incorporated | Method and apparatus for new key derivation upon handoff in wireless networks |
| CN101378591B (zh) | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| CN101394275B (zh) * | 2007-09-19 | 2011-08-03 | 华为技术有限公司 | 一种实现路由安全的方法、系统及设备 |
| US9198033B2 (en) * | 2007-09-27 | 2015-11-24 | Alcatel Lucent | Method and apparatus for authenticating nodes in a wireless network |
| US8208635B2 (en) * | 2007-11-13 | 2012-06-26 | Rosemount Inc. | Wireless mesh network with secure automatic key loads to wireless devices |
| JP2011504698A (ja) * | 2007-11-23 | 2011-02-10 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 無線lanモビリティ |
| US8825792B1 (en) | 2008-03-11 | 2014-09-02 | United Services Automobile Association (Usaa) | Systems and methods for online brand continuity |
| CN102204301A (zh) * | 2008-11-03 | 2011-09-28 | 诺基亚公司 | 用于在分组交换网络和电路交换网络之间切换期间提供安全性的方法、装置和计算机程序产品 |
| CN101562811B (zh) | 2009-05-14 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种会聚式wlan中由wtp完成wpi时的sta漫游切换方法及其系统 |
| CN101562812B (zh) | 2009-05-14 | 2011-06-01 | 西安西电捷通无线网络通信股份有限公司 | 会聚式wlan中由ac完成wpi时的sta切换方法及其系统 |
| US9055606B2 (en) * | 2009-05-15 | 2015-06-09 | Novatel Wireless, Inc. | Systems and methods for automatic connection with a wireless network |
| WO2010147605A1 (en) * | 2009-06-19 | 2010-12-23 | Zte (Usa) Inc. | Internetworking techniques for transferring packets between source and target serving gateways |
| US8443431B2 (en) * | 2009-10-30 | 2013-05-14 | Alcatel Lucent | Authenticator relocation method for WiMAX system |
| CN102088742A (zh) * | 2009-12-02 | 2011-06-08 | 上海贝尔股份有限公司 | 基于上下文转移实现虚拟局域网移动性的方法和设备 |
| US8345577B2 (en) * | 2009-12-28 | 2013-01-01 | Ncr Corporation | High speed wireless infrastructure |
| JP5241874B2 (ja) * | 2011-03-25 | 2013-07-17 | 中国電力株式会社 | マルチホップ通信方法、及び通信装置 |
| US8837741B2 (en) | 2011-09-12 | 2014-09-16 | Qualcomm Incorporated | Systems and methods for encoding exchanges with a set of shared ephemeral key data |
| US9143937B2 (en) | 2011-09-12 | 2015-09-22 | Qualcomm Incorporated | Wireless communication using concurrent re-authentication and connection setup |
| US9439067B2 (en) | 2011-09-12 | 2016-09-06 | George Cherian | Systems and methods of performing link setup and authentication |
| CN102368851B (zh) * | 2011-12-02 | 2012-11-21 | 深圳市共进电子股份有限公司 | 一种简易配置无线中继的方法 |
| US9426837B2 (en) | 2012-09-07 | 2016-08-23 | Qualcomm Incorporated | Systems, apparatus and methods for association in multi-hop networks |
| US9060344B2 (en) * | 2012-09-07 | 2015-06-16 | Qualcomm Incorporated | Systems, apparatus, and methods for association in multi-hop networks |
| US10567920B1 (en) * | 2013-06-04 | 2020-02-18 | Konnect Solutions, Inc. | Location detection systems and methods of use |
| EP3025483B1 (en) | 2013-07-25 | 2022-09-21 | Convida Wireless, LLC | End-to-end m2m service layer sessions |
| FR3009163B1 (fr) * | 2013-07-25 | 2015-09-04 | Thales Sa | Procede pour l'echange en securite d'une donnee sur un reseau ad-hoc mettant en oeuvre un service de diffusion xcast; noeud associe |
| JP6775928B2 (ja) * | 2015-08-27 | 2020-10-28 | 横河電機株式会社 | 無線中継機器、制御装置、無線通信システム、及び参入方法 |
| WO2017116975A1 (en) * | 2015-12-31 | 2017-07-06 | Affirmed Networks, Inc. | Seamless handoff between wireless access gateways |
| WO2017164667A1 (en) * | 2016-03-24 | 2017-09-28 | Lg Electronics Inc. | Method for configuring discontinuous reception in a communication system and device therefor |
| US10165608B2 (en) | 2016-06-02 | 2018-12-25 | Cisco Technology, Inc. | System and method to provide fast mobility in a residential Wi-Fi network environment |
| CN109644089B (zh) | 2016-06-15 | 2022-04-26 | 康维达无线有限责任公司 | 用于新无线电的无许可上行链路传输 |
| EP4336850A3 (en) | 2016-07-08 | 2024-04-17 | InterDigital Madison Patent Holdings, SAS | Systems and methods for region-of-interest tone remapping |
| US10932276B2 (en) | 2016-11-03 | 2021-02-23 | Convida Wireless, Llc | Frame structure in NR |
| US10630661B2 (en) * | 2017-02-03 | 2020-04-21 | Qualcomm Incorporated | Techniques for securely communicating a data packet via at least one relay user equipment |
| EP3583780B1 (en) | 2017-02-17 | 2023-04-05 | InterDigital Madison Patent Holdings, SAS | Systems and methods for selective object-of-interest zooming in streaming video |
| KR102411604B1 (ko) | 2018-03-22 | 2022-06-21 | 삼성전자주식회사 | 액세스 포인트 및 이의 통신 연결 방법 |
| US11093653B2 (en) | 2018-05-24 | 2021-08-17 | Texas Instruments Incorporated | Secure message routing |
| EP3858023A1 (en) | 2018-09-27 | 2021-08-04 | Convida Wireless, Llc | Sub-band operations in unlicensed spectrums of new radio |
| CN114449487A (zh) * | 2022-02-17 | 2022-05-06 | 西安热工研究院有限公司 | 一种基于无线ap的火电厂移动业务推送方法及系统 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US143073A (en) * | 1873-09-23 | Improvement in tools for making button-molds | ||
| US103282A (en) * | 1870-05-24 | Improved clothes- wringer | ||
| US240412A (en) * | 1881-04-19 | Annunciator for telephone-exchanges | ||
| KR100386092B1 (ko) * | 2001-06-20 | 2003-06-02 | 한국과학기술원 | 옥내/외로 이동하는 이용자를 위한 최적의 인터넷망 접속및 로밍 시스템 및 방법 |
| KR100448318B1 (ko) * | 2002-11-08 | 2004-09-16 | 삼성전자주식회사 | 무선망에서의 핸드오프방법 |
| US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
| CN1253024C (zh) * | 2002-12-31 | 2006-04-19 | 中国科学技术大学 | 用于MIPv6的子网间快速切换方法 |
| ATE515856T1 (de) * | 2003-01-13 | 2011-07-15 | Meshnetworks Inc | System und verfahren zur erzielung kontinuierlicherkonnektivität mit einem zugangspunkt oder gateway in einem drahtlosennetzwerk |
| US7263357B2 (en) * | 2003-01-14 | 2007-08-28 | Samsung Electronics Co., Ltd. | Method for fast roaming in a wireless network |
| US7275157B2 (en) * | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
| JP4578917B2 (ja) * | 2003-10-03 | 2010-11-10 | 富士通株式会社 | 自己組織化マルチホップ無線アクセスネットワーク用の装置、方法及び媒体 |
| WO2006016260A2 (en) * | 2004-08-11 | 2006-02-16 | Nokia Corporation | Apparatus, and associated method, for facilitating secure, make-before-break hand-off in a radio communication system |
| US8233450B2 (en) * | 2004-09-10 | 2012-07-31 | Interdigital Technology Corporation | Wireless communication methods and components for facilitating multiple network type compatibility |
| US20060067272A1 (en) * | 2004-09-30 | 2006-03-30 | Wang Huayan A | Method and system for fast roaming of a mobile unit in a wireless network |
| US20070147376A1 (en) * | 2005-12-22 | 2007-06-28 | Sun Microsystems, Inc. | Router-assisted DDoS protection by tunneling replicas |
| US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
-
2005
- 2005-12-30 US US11/323,727 patent/US7483409B2/en active Active
-
2006
- 2006-12-15 KR KR1020087018063A patent/KR100989769B1/ko active IP Right Grant
- 2006-12-15 WO PCT/US2006/062138 patent/WO2007079349A2/en active Application Filing
- 2006-12-15 JP JP2008548804A patent/JP4682250B2/ja active Active
- 2006-12-15 CN CN2006800499901A patent/CN101366291B/zh not_active Expired - Fee Related
- 2006-12-15 EP EP06846635.8A patent/EP1974553B1/en not_active Not-in-force
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007079349A3 (en) | 2007-12-13 |
| US20070153739A1 (en) | 2007-07-05 |
| WO2007079349A2 (en) | 2007-07-12 |
| KR20080087863A (ko) | 2008-10-01 |
| EP1974553A2 (en) | 2008-10-01 |
| EP1974553A4 (en) | 2012-04-04 |
| CN101366291B (zh) | 2011-12-07 |
| WO2007079349A8 (en) | 2008-08-21 |
| EP1974553B1 (en) | 2016-03-30 |
| JP2009524274A (ja) | 2009-06-25 |
| KR100989769B1 (ko) | 2010-10-26 |
| US7483409B2 (en) | 2009-01-27 |
| CN101366291A (zh) | 2009-02-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4682250B2 (ja) | マルチホップ無線ネットワークにおける無線ルータ支援セキュリティハンドオフ(wrash) | |
| US10412583B2 (en) | Method and apparatus for new key derivation upon handoff in wireless networks | |
| US8270382B2 (en) | System and method for securing mesh access points in a wireless mesh network, including rapid roaming | |
| EP1639756B1 (en) | Facilitating 802.11 roaming by pre-establishing session keys | |
| CA2760522C (en) | Media independent handover protocol security | |
| JP4000933B2 (ja) | 無線情報伝送システム及び無線通信方法、無線端末装置 | |
| US20090175454A1 (en) | Wireless network handoff key | |
| KR101008791B1 (ko) | 노드간 인증을 위한 무선 네트워크에서의 eapol프록시 | |
| US8661510B2 (en) | Topology based fast secured access | |
| US20130196708A1 (en) | Propagation of Leveled Key to Neighborhood Network Devices | |
| JP2008547257A (ja) | アドホックネットワーク内でデータを安全に伝送するための方法および装置 | |
| Lee | A novel design and implementation of DoS-resistant authentication and seamless handoff scheme for enterprise WLANs | |
| Aissaoui et al. | Low latency of re-authentication during handover: Re-authentication using a signed token in heterogeneous wireless access networks | |
| Rastogi et al. | Secure scheme during vertical handoff in integrated heterogeneous wireless systems | |
| Shih et al. | A Pre-authentication Scheme on WiMAX for QoS Improvement of Mobile Services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090311 |
|
| A072 | Dismissal of procedure [no reply to invitation to correct request for examination] |
Free format text: JAPANESE INTERMEDIATE CODE: A072 Effective date: 20090519 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110113 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110118 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110207 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4682250 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140210 Year of fee payment: 3 |
|
| S633 | Written request for registration of reclamation of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313633 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140210 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |