JP4804454B2 - 鍵配信制御装置、無線基地局装置および通信システム - Google Patents

鍵配信制御装置、無線基地局装置および通信システム Download PDF

Info

Publication number
JP4804454B2
JP4804454B2 JP2007505966A JP2007505966A JP4804454B2 JP 4804454 B2 JP4804454 B2 JP 4804454B2 JP 2007505966 A JP2007505966 A JP 2007505966A JP 2007505966 A JP2007505966 A JP 2007505966A JP 4804454 B2 JP4804454 B2 JP 4804454B2
Authority
JP
Japan
Prior art keywords
key
gtk
frame
base station
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007505966A
Other languages
English (en)
Other versions
JPWO2006093161A1 (ja
Inventor
薫 西田
聡 飯野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2007505966A priority Critical patent/JP4804454B2/ja
Publication of JPWO2006093161A1 publication Critical patent/JPWO2006093161A1/ja
Application granted granted Critical
Publication of JP4804454B2 publication Critical patent/JP4804454B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、鍵配信制御装置と、無線基地局装置と、この鍵配信システムおよび無線基地局装置を具備する通信システムに関する。
近年、無線LAN(IEEE802.11規格)の普及が進み、公衆ネットワークや企業ネットワークにおいて大規模な無線LANネットワークが構築されるようになった。
無線LANにおいては、セキュリティの強化を目指したIEEE802.11i(非特許文献1)が規定されている。802.1Xによる認証および周期的な鍵更新は、無線LANの脆弱性に対する短期的な解としては有効であるが、WEP自体の脆弱性は依然として存在し課題が残る。そのため、より強固な暗号を採用した新しい規格が求められ、結果制定されたのがIEEE802.11i規格である。
802.1Xには、鍵をカプセル化するためのEAPoL Keyの形式しか定められておらず、その配送は実質的に片方向・通知型であった。これに対し、802.11iでは、4ウェイハンドシェーク(4Way Handshake)手順およびグループキーハンドシェーク(Group Key Handshake)手順により双方向・確認応答型の鍵配送手順を定めており、マスター鍵の同期確認と一時鍵の更新を確実に行うことができる。
一方、無線LANにおいては、アクセスポイント(AP)、例えば無線LAN基地局装置を個別に設定し設置していく方法から、複数の無線LAN基地局装置と接続したAP制御装置により、このAP制御装置が無線LAN基地局装置の自動設定、障害管理、統計情報の収集などを一括して行う方法に移行することが検討されている。この検討は、国際標準化団体であるIETF(Internet Engineering Task Force)やIEEE802.11ワーキンググループなどにより行われており、標準化の策定が進められている。
そして、IETFのCAPWAPワーキンググループでは、APを管理するプロトコルの一つとして、LWAPP(light weight access protocol)が提案されている(非特許文献2参照)。このLWAPPでは、AP制御装置(英語名:Access Controller)が無線LAN基地局装置に対して、設定情報の自動設定、障害管理、統計情報収集、暗号鍵情報の設定などを行っている。
IETF 802.11i Standard IETFドラフト draft-ohara-capwap-lwapp-00.txt 「Light Weight Access Point Protocol」
ところでLWAPPにおいては、AP制御装置にて認証を行い暗号鍵を生成し、無線LAN基地局装置にて暗号復号処理を行う枠組みは示唆されている。しかしながら、無線LAN基地局装置にて暗号復号処理を行う場合には、AP制御装置から無線LAN基地局装置に対して生成した暗号鍵を送信する必要があるが、LWAPPにおいてはAP制御装置から無線LAN基地局装置に対して鍵設定要求メッセージにより暗号鍵を設定するという枠組みが示されているのみで具体的な手順についての示唆はない。強固な暗号を採用した新しい規格であるIEEE802.11i規格を上手く適用する方式などの示唆がないのは尚更である。しかるに、LWAPPにて想定されている通信システムにおいてはセキュリティを強化するような方式は実現されていない。
本発明の目的は、無線通信システムにおけるセキュリティを向上する鍵配信制御装置、無線基地局装置および通信システムを提供することである。
本発明の鍵配信制御装置は、通信端末装置と無線基地局装置との間の通信にて使用する暗号鍵情報を配信する鍵配信制御装置であって、前記暗号鍵情報を生成し当該暗号鍵情報を802.11i規格又はWPA規格の4ウェイハンドシェーク手順又はグループキーハンドシェーク手順におけるメッセージを送出するのと同期して送出する制御手段と、前記送信制御手段からの情報を送信する送信手段と、を具備する構成を採る。
本発明の無線基地局装置は、暗号鍵情報とGTK使用情報とEAPoL−Keyフレームとを受信する受信手段と、前記EAPoL−Keyフレームの通信端末装置への転送を制御する制御手段と、を具備し、前記制御手段は、前記受信したGTK使用情報が既存のGTKであることを示すときには、前記暗号鍵情報としての既存のGTKにより暗号化されたフレームを他の通信端末装置に送信した回数をカウントしているGTKカウント値を前記EAPoL−Keyフレームに含め、前記受信したGTK使用情報が新規のGTKであることを示すときには、前記GTKカウント値を0にして、前記EAPoL−Keyフレームに含め、さらに前記GTKカウンタ値が含まれたEAPoL−Keyフレームと暗号鍵情報としてのPTKに基づいてKeyMIC値を算出し、当該Key MICを含めた前記EAPoL−Keyフレームを送信する構成を採る。
本発明によれば、無線通信システムにおけるセキュリティを向上する鍵配信制御装置、無線基地局装置および通信システムを提供することができる。
以下、本発明の実施の形態について図面を参照して詳細に説明する。なお、実施の形態において、同一の構成要素には同一の符号を付し、その説明は重複するので省略する。
(実施の形態1)
図1に示すように実施の形態1の通信システム10は、通信端末装置300と、通信端末装置300がアクセスする無線LAN基地局装置200と、通信端末装置300と無線LAN基地局装置200との間の通信にて使用する暗号鍵情報を配信する鍵配信制御装置としてのAP制御装置100と、ネットワークシステム400とを備える。そして、AP制御装置100は、コアネットワークシステム20と接続している。
無線LAN基地局装置200と通信端末装置300との間は無線LANにより接続されており、802.11フレームにより遣り取りが行われる。また、無線LAN基地局装置200とAP制御装置100とは、例えば、イーサネット(登録商標)などのネットワークシステム400により接続されている。
また、通信システム10には、IEEE802.11i規格に基づいたセキュリティ機能が適用されている。そして、AP制御装置100が無線通信端末300の認証を行う機能を有しており、また、無線LAN基地局装置200が無線端末装置300との間で遣り取りする802.11フレームの暗号復号機能を有している。
図2に示すようにAP制御装置100は、端末側送受信部110と、認証処理部120と、暗号鍵カプセル部130と、鍵管理テーブル140とを有する。
端末側送受信部110は、無線LAN基地局装置200と遣り取りを行うフレームの送受信を行う。
認証処理部120は、無線端末装置300の認証処理、無線LAN基地局装置200と無線端末装置100との間の通信に利用する暗号鍵の生成などを行う。
鍵管理テーブル140は、無線端末装置300ごとの暗号鍵を管理するテーブルである。
暗号鍵カプセル部130は、認証処理部120にて生成された暗号鍵を無線LAN基地局装置200に対して設定するときに、当該暗号鍵をカプセル化する。このカプセル化された暗号鍵は、端末側送受信部110を介して無線LAN基地局装置200に送信される。
図3に示すように無線LAN基地局装置200は、網側送受信部210と、フレーム処理部220と、鍵設定部230と、MIC算出部240と、鍵管理テーブル250と、端末側送受信部260とを有する。
網側送受信部210は、AP制御装置100と遣り取りを行うフレームの送受信を行う。
フレーム処理部220は、入力されるフレームの出力先を振り分ける処理、暗号化/復号化処理およびフレーム変換処理を行う。
鍵設定部230は、鍵の設定および鍵管理テーブル250に対して鍵の反映を行う。
MIC算出部240は、EAPoLフレームに含まれるKey MICの算出を行う。
鍵管理テーブル250は、無線端末装置300ごとの暗号鍵を管理するテーブルである。
端末側送受信部260は、無線端末装置300と遣り取りを行うフレームの送受信を行う。
次いで、上記構成を有する通信システム10の動作について説明する。
図4は、通信システム10における、IEEE802.11iに規定される4ウェイハンドシェーク(4way hand shake)手順の動作を示している。なお、4ウェイハンドシェーク(4way hand shake)手順では、AP制御装置100と通信端末装置300との間で無線LAN基地局装置200を介してメッセージ1からメッセージ4を遣り取りする。このメッセージ1からメッセージ4には、EAPoL−Keyフレームが使われる。
AP制御装置100と通信端末装置300とは、802.1xと同様の認証手順により、PMK(Pairwise Master Key)を共有している。
そして、ステップST1001においてAP制御装置100はANonce(Authenticator Nonce)を生成する。このANonceとは、AP制御装置100が発生する乱数である。
一方、ステップST1002において通信端末装置300はSNonce(Supplicant Nonce)を生成する。このSNonceとは、通信端末装置300が発生する乱数である。
AP制御装置100においてANonceが生成されると、認証処理部120は当該ANonceを含むEAPoL−Keyフレーム(メッセージ1)を端末側送受信部110を介して無線LAN基地局装置200に送信する(ステップST1003)。なお、本実施の形態では、AP制御装置100と無線LAN基地局装置200との間はイーサネット(登録商標)で接続されているため、EAPoL−Keyフレームにはイーサヘッダが付与されているが、本発明はこれに限定されるものではなく、有線無線を問わず何らかの通信方式で接続されていればよい。よって、通信方式が変われば、イーサヘッダの代わりにその通信方式にて使用するヘッダが付与されることとなる。
無線LAN基地局装置200においては、網側送受信部210がAP制御装置100から送信された上記EAPoL−Keyフレーム(メッセージ1)を受信しフレーム処理部220に対して出力する。そして、フレーム処理部220は、EAPoL−Keyフレーム(メッセージ1)を入力すると、イーサヘッダを外しEAPoL−Keyフレーム(メッセージ1)そのものを端末側送受信部260を介して通信端末装置300に送信する(ステップST1004)。
通信端末装置300においては、EAPoL−Keyフレーム(メッセージ1)に含まれるANonceの受信処理を行う(ステップST1005)。
そしてステップST1006において、通信端末装置300は、PMK、ANonceおよびSNonceに基づいて、PTK(Pairwise Transient Key)を生成する。また、通信端末装置300は、生成したPTKに含まれるEAPoL−Key KCKを用いてKey MICを算出する。そして、通信端末装置300は、SNonceを含むEAPoL−Keyフレーム(メッセージ2)に上記算出したKey MICを付与して、無線LAN基地局装置200に送信する(ステップST1007)。
無線LAN基地局装置200においては、端末側送受信部260が通信端末装置300から送信された上記EAPoL−Keyフレーム(メッセージ2)を受信しフレーム処理部220に対して出力する。そして、フレーム処理部220は、EAPoL−Keyフレーム(メッセージ2)を入力すると、所定のヘッダ(ここでは、イーサヘッダ)を付与し網側送受信部210を介してAP制御装置100に送信する(ステップST1008)。
AP制御装置100においては、EAPoL−Keyフレーム(メッセージ2)に含まれるSNonceの受信処理を行う(ステップST1009)。
そしてステップST1010において、AP制御装置100は、PMK、ANonceおよびSNonceに基づいて、PTK(Pairwise Transient Key)を生成する。ここで、AP制御装置100と通信端末装置300とは、同じ疑似ランダム関数を用いてPMK、ANonceおよびSNonceに基づき生成したPTKを共有したことになる。なお、PTKとは、ユニキャスト通信で実際に使用する一時鍵である。
ステップST1011において、AP制御装置100は、所定の方法によりGTK(Group Temporal Key)を生成する。なお、GTKとは、ブロード/マルチキャスト通信に関する一時鍵である。
そしてAP制御装置100において認証処理部120は、EAPoL−Keyフレーム(メッセージ3)と、生成されたPTKおよびGTKと、既存GTK使用情報とを暗号鍵カプセル部130に送出する。
ここで既存GTK使用情報とは、図4に示す通信端末装置300に対して配布するGTKに、既に他の通信端末装置300に対して送信しているGTKを利用するのか、又は新規に作成したGTKを利用するのかを示す情報である。そして、認証処理部120は、例えば既に他の通信端末装置300に対して送信しているGTKを利用する場合には既存GTK使用情報を示すフラグを1とし、新規に作成したGTKを利用する場合には既存GTK使用情報を示すフラグを0とする。なお、認証処理部120は、既存GTK使用情報が0の場合は、Key RSCを0としたEAPoL−Keyフレーム(メッセージ3)とPTKとをAP制御装置100が備えるMIC算出部(図示せず)に出力しここでKey MICを計算させ、EAPoL−Keyフレーム(メッセージ3)のKey MICの領域を算出したKey MICで上書きしておく。また、既存GTK使用情報が1の場合には、認証処理部120は、Key MICの領域を0にしておく。
暗号鍵カプセル部130は、認証処理部120から受け取る各情報を基に、鍵設定要求フレームを生成する。この鍵設定要求フレームは、鍵情報エレメントとEAPエレメントとから構成される。そして、鍵情報エレメントには、端末MACアドレスと、PTKと、GTKと、既存GTK使用情報とが含められる。また、EPAエレメントには、EAPoL−Keyフレーム(メッセージ3)そのものが含められる。こうすることにより、801.11i手順におけるEAPoL−Keyフレーム(メッセージ3)を送信する際に、これと同一のフレーム(鍵設定要求フレーム)にPTKおよびGTKを含めることにより、この鍵設定要求フレームを受信する無線LAN基地局装置200は後に通信端末装置300との間の通信の暗号復号処理に必要となるPTKおよびGTKを取得することができる。また、EAPoL−Keyフレーム(メッセージ3)とPTKおよびGTKとを個別に送るのではなく、同一フレーム(鍵設定要求フレーム)に含めて送信することにより、無線LAN基地局装置200と通信端末装置300との間で送信されるフレームの数が減りシステムにおけるトラヒックを低減することができる。
そして、暗号鍵カプセル部130にて生成された鍵設定要求フレームは、所定のヘッダ(ここでは、イーサヘッダ)が付加されて無線LAN基地局装置200に送信される(ステップST1012)。
無線LAN基地局装置200においては、網側送受信部210がAP制御装置100から送信された上記鍵設定要求フレームを受信しフレーム処理部220に対して出力する。そして、フレーム処理部220は、鍵設定要求フレームを入力すると、既存GTK使用情報が1のときには、当該鍵設定要求フレームに含まれるPTKおよびEAPoL−Keyフレーム(メッセージ3)をMIC算出部240に出力する。
MIC算出部240は、同じ鍵設定要求フレームに含められて送信されてきたGTKに関して無線LAN基地局装置200が現在保持しているGTKカウンタ値によりEAPoL−Keyフレーム(メッセージ3)に含まれるKey RSCを上書きしたEAPoL−Keyフレーム(メッセージ3)を形成する。また、MIC算出部240は、上記Key RSCを含んだEAPoL−Keyフレーム(メッセージ3)と、フレーム処理部220からのPTK(実際には、このPTKに含まれるEAPoL−Key KCK)とに基づいてKey MICを生成する。なお、GTKカウンタ値とは、無線LAN基地局装置がGTKにより暗号化されるフレームを送出するときにカウントアップするシーケンスカウンタ値である。
ステップST1013においてフレーム処理部220は、MIC算出部240からEAPoL−Keyフレーム(メッセージ3)およびKey MICを受け取り、このEAPoL−Keyフレーム(メッセージ3)に当該Key MICを上書きしたEAPoL−Keyフレーム(メッセージ3)を、端末側送受信部260を介して通信端末装置300に送信する。なお、鍵設定要求フレーム受信時に既存GTK使用情報が0のときには、フレーム処理部220は、鍵設定要求フレームの中に含まれるEAPoL−Keyフレーム(メッセージ3)をそのまま端末側送受信部260を介して通信端末装置300に送信する。
また、フレーム処理部220は鍵設定要求フレームに含められて送信されてきたPTKおよびGTKを鍵設定部230に出力し、鍵設定部230は鍵管理テーブル250に対してPTKおよびGTKをセット(格納)する(ステップST1014)。
通信端末装置300においては、無線LAN基地局装置200から送信されたEAPoL−Keyフレーム(メッセージ3)を受信し、GTKの受信処理を行う(ステップST1015)。そして、通信端末装置300は、EAPoL−Keyフレーム(メッセージ4)を無線LAN基地局装置200に送信する(ステップST1016)。
無線LAN基地局装置200は、通信端末装置300からのEAPoL−Keyフレーム(メッセージ4)を受信することを契機として、ステップST1014にてセットしたPTKおよびGTKのインストール処理を行う(ステップST1017)。具体的には、端末側送受信部260が通信端末装置300から送信された上記EAPoL−Keyフレーム(メッセージ4)を受信しフレーム処理部220に対して出力する。そして、フレーム処理部220は、EAPoL−Keyフレーム(メッセージ4)を入力すると、鍵設定部230に対してインストール要求を出力する。そして、鍵設定部230は、フレーム処理部220からのインストール要求に対応するPTKおよびGTKのインストール処理を行う。これにより、通信端末装置300と無線LAN基地局装置200との間で実際の暗号復号処理に利用されるPTKおよびGTKが利用可能な状態となる。すなわち、通信端末装置300と無線LAN基地局装置200との間で暗号通信が可能となる。
また、無線LAN基地局装置200においては、フレーム処理部220は、EAPoL−Keyフレーム(メッセージ4)を入力すると、所定のヘッダ(ここでは、イーサヘッダ)を付与し網側送受信部210を介してAP制御装置100に送信する(ステップST1018)。
図5は、通信システム10における、IEEE802.11iに規定されるグループキーハンドシェーク(GroupKey hand shake)手順の動作を示している。なお、グループキーハンドシェーク(GroupKey hand shake)手順では、AP制御装置100と通信端末装置300との間で無線LAN基地局装置200を介してメッセージ1およびメッセージ2を遣り取りする。このメッセージ1およびメッセージ2には、EAPoL−Keyフレームが含まれる。また、IEEE802.11iに規定されるグループキーハンドシェーク(GroupKey hand shake)手順は、4ウェイハンドシェーク(4way hand shake)手順によりPTKおよびGTKが配布された後に、一定周期で鍵更新のために行われる手順である。なお、通信端末装置300から鍵更新要求がAP制御装置100に対してなされたとき、および、通信端末装置300の通信切断時にも行われる。
AP制御装置100と通信端末装置300とは、IEEE802.11iに規定される4ウェイハンドシェーク(4way hand shake)手順により、PTKおよびGTKを共有している。ここで上述したような要因によりGTKの更新が必要になったとする。
ステップST2001において、AP制御装置100は、更新するGTKを用意する。そして、AP制御装置100において認証処理部120は、グループキーハンドシェーク(GroupKey hand shake)手順におけるEAPoL−Keyフレーム(メッセージ1)と、PTKと、用意されたGTK(更新後のGTK)と、既存GTK使用情報とを暗号鍵カプセル部130に送出する。そして、認証処理部120は、例えば既に他の通信端末装置300に対して送信しているGTKを利用する場合には既存GTK使用情報を示すフラグを1とし、新規に作成したGTKを利用する場合には既存GTK使用情報を示すフラグを0とする。
なお、認証処理部120は、既存GTK使用情報が0の場合は、Key RSCを0としたEAPoL−Keyフレーム(メッセージ3)とPTKとをAP制御装置100が備えるMIC算出部(図示せず)に出力しここでKey MICを計算させ、EAPoL−Keyフレーム(メッセージ3)のKey MICの領域を算出したKey MICで上書きしておく。また、既存GTK使用情報が1の場合には、認証処理部120は、Key MICの領域を0にしておく。
暗号鍵カプセル部130は、認証処理部120から受け取る各情報を基に、鍵設定要求フレームを生成する。この鍵設定要求フレームは、鍵情報エレメントとEAPエレメントとから構成される。そして、鍵情報エレメントには、端末MACアドレスと、PTKと、GTK(更新後のGTK)と、既存GTK使用情報とが含められる。また、EPAエレメントには、EAPoL−Keyフレーム(メッセージ1)そのものが含められる。こうすることにより、801.11iにおけるグループキーハンドシェーク(GroupKey hand shake)手順のEAPoL−Keyフレーム(メッセージ1)を送信する際に、これと同一のフレーム(鍵設定要求フレーム)にGTKを含めることにより、この鍵設定要求フレームを受信する無線LAN基地局装置200は後に通信端末装置300との間の通信の暗号化復号化処理に必要となるGTK(更新後のGTK)を取得することができる。また、グループキーハンドシェーク(GroupKey hand shake)手順のEAPoL−Keyフレーム(メッセージ1)とPTKおよびGTKとを個別に送るのではなく、同一フレーム(鍵設定要求フレーム)に含めて送信することにより、無線LAN基地局装置200と通信端末装置300との間で送信されるフレームの数が減りシステムにおけるトラヒックを低減することができる。
そして、暗号鍵カプセル部130にて生成された鍵設定要求フレームは、所定のヘッダ(ここでは、イーサヘッダ)が付加されて無線LAN基地局装置200に送信される(ステップST2002)。
無線LAN基地局装置200においては、網側送受信部210がAP制御装置100から送信された上記鍵設定要求フレームを受信しフレーム処理部220に対して出力する。そして、フレーム処理部220は、鍵設定要求フレームを入力すると、既存GTK使用情報が1のとき、当該鍵設定要求フレームに含まれるPTKおよびグループキーハンドシェーク(GroupKey hand shake)手順のEAPoL−Keyフレーム(メッセージ1)をMIC算出部240に出力する。
MIC算出部240は、同じ鍵設定要求フレームに含められて送信されてきたGTKに関して無線LAN基地局装置200が現在保持しているGTKカウンタ値によりEAPoL−Keyフレーム(メッセージ1)に含まれるKey RSCを上書きしたEAPoL−Keyフレーム(メッセージ1)を形成する。また、MIC算出部240は、上記Key RSCを含んだグループキーハンドシェーク(GroupKey hand shake)手順のEAPoL−Keyフレーム(メッセージ1)と、フレーム処理部220からのPTK(実際には、このPTKに含まれるEAPoL−Key KCK)とに基づいてKey MICを生成する。
ステップST2003においてフレーム処理部220は、MIC算出部240からEAPoL−Keyフレーム(メッセージ1)およびKey MICを受け取り、このEAPoL−Keyフレーム(メッセージ1)に当該Key MICを上書きしたEAPoL−Keyフレーム(メッセージ1)と、鍵設定要求フレームに含められて送信されてきたGTKとを、端末側送受信部260を介して通信端末装置300に送信する。なお、鍵設定要求フレーム受信時に既存GTK使用情報が0のときには、フレーム処理部220は、鍵設定要求フレームの中に含まれるグループキーハンドシェーク(GroupKey hand shake)手順のEAPoL−Keyフレーム(メッセージ1)をそのまま端末側送受信部260を介して通信端末装置300に送信する。
また、フレーム処理部220は鍵設定要求フレームに含められて送信されてきたPTKおよびGTK(更新後のGTK)を鍵設定部230に出力し、鍵設定部230は鍵管理テーブル250に対してGTK(更新後のGTK)をセット(格納)する(ステップST2004)。
通信端末装置300においては、無線LAN基地局装置200から送信されたGTK(更新後のGTK)の受信処理を行う(ステップST2005)。具体的には、GTK(更新後のGTK)に含まれるTemporal Keyをグループ鍵としてインストールする。そして、通信端末装置300は、EAPoL−Keyフレーム(メッセージ2)を無線LAN基地局装置200に送信する(ステップST2006)。
無線LAN基地局装置200は、通信端末装置300からのEAPoL−Keyフレーム(メッセージ2)を受信することを契機として、ステップST2004にてセットしたGTK(更新後のGTK)のインストール処理を行う(ステップST2007)。具体的には、端末側送受信部260が通信端末装置300から送信された上記EAPoL−Keyフレーム(メッセージ2)を受信しフレーム処理部220に対して出力する。そして、フレーム処理部220は、EAPoL−Keyフレーム(メッセージ2)を入力すると、鍵設定部230に対してインストール要求を出力する。そして、鍵設定部230は、フレーム処理部220からのインストール要求に対応するGTKのインストール処理を行う。これにより、通信端末装置300と無線LAN基地局装置200との間で実際の暗号化復号化処理に利用されるGTK(更新後のGTK)が利用可能な状態となる。すなわち、通信端末装置300と無線LAN基地局装置200との間で暗号通信が可能となる。
また、無線LAN基地局装置200においては、フレーム処理部220は、EAPoL−Keyフレーム(メッセージ2)を入力すると、所定のヘッダ(ここでは、イーサヘッダ)を付与し網側送受信部210を介してAP制御装置100に送信する(ステップST2008)。
なお、上記説明においては、無線LAN基地局装置200と通信端末装置300との間を無線LANにより接続し、無線LAN基地局装置200とAP制御装置100とはイーサネット(登録商標)により接続されているものとした。しかしながら本発明はこれに限定されるものではなく、無線LAN基地局装置200と通信端末装置300との間は無線により接続されていればよく例えばIEEE802.16規格が適用されるものでもよい。また、無線LAN基地局装置200とAP制御装置100とは有線無線を問わず何れかの通信方式により接続されていればよい。
またなお、上記説明においては、IEEE802.11i規格に基づいたセキュリティ機能が適用されるものとして説明を行った。しかしながら本発明はこれに限定されるものではなく、WPA(Wi-Fi Protected Access)規格に基づいたセキュリティ機能が適用されるものとしてもよい。WPA(Wi-FiProtected Access)規格に基づいたセキュリティ機能を適用する場合には、図4に示したチャートが一部変わる。具体的には、図4におけるステップST1012およびステップST1013でEAPoL−Keyフレーム(メッセージ1)は、GTKを中に含まない状態で送信される。その結果、ステップST1015のGTK受信処理およびステップST1014のGTKセット処理は行われない。また、ステップST1017のGTKインストール処理も行われない。ただし、ステップST1018の後に、メッセージ3およびメッセージ4に相当する遣り取りをGTKについて行う。そして、PTKとメッセージ3とを同一フレームに含め、また、ステップST1018の後にメッセージ3に相当するメッセージとGTKとを同一フレームに含めることが行われる。
またなお、上記説明においては、IEEE802.11iに規定される4ウェイハンドシェーク(4way hand shake)手順のEAPoL−Keyフレーム(メッセージ3)およびグループキーハンドシェーク(GroupKey hand shake)手順のEAPoL−Keyフレーム(メッセージ1)を通信端末装置300に伝送する際、既存GTKを使用するときのみ、無線LAN基地局装置200のMIC算出部240にてKey MICの算出を行った。しかしながら、本発明はこれに限定されるものではなく、既存GTKの使用にかかわらず、無線LAN基地局装置200においてKey MICの算出を行ってもよい。すなわち、このときAP制御装置100においては既存GTK使用情報にかかわらず、Key MICの算出を行わない。
図4を参照して具体的に説明する。ステップST1010およびステップST1011においてPTKおよびGTKを生成し、このGTKは新規に作成したものであるとする。この場合、認証処理部120は、既存GTK使用フラグにかかわらず、KeyMIC部分の計算をしないでEAPoL−Keyフレーム(メッセージ3)の作成を行う。そしてEAPoL−Keyフレーム(メッセージ3)と、生成されたPTKおよびGTKと、既存GTK使用情報とを暗号鍵カプセル部130に送出する。
暗号鍵カプセル部130は、認証処理部120から受け取る各情報を基に、鍵設定要求フレームを生成する。そして、ステップST1012において、当該鍵設定要求フレームは、所定のヘッダ(ここでは、イーサヘッダ)が付加されて無線LAN基地局装置200に送信される(ステップST1012)。
無線LAN基地局装置200においては、フレーム処理部220は鍵設定要求フレームを入力すると鍵設定要求フレームの既存GTK使用情報を判定し、このフラグが0である場合には、現在保持しているGTKカウンタ値を0に戻す。このフラグが1である場合は、現在のGTKカウンタ値をKey RSCに反映する。その後、既存GTK使用フラグにかかわらず、鍵設定要求フレームに含まれるPTKおよびEAPoL−Keyフレーム(メッセージ3)をMIC算出部240に出力する。
そしてMIC算出部240は、Key RSCを含んだEAPoL−Keyフレーム(メッセージ3)と、フレーム処理部220からのPTK(実際には、このPTKに含まれるEAPoL−Key KCK)とに基づいてKey MICを生成する。
ステップST1013においてフレーム処理部220は、MIC算出部240からEAPoL−Keyフレーム(メッセージ3)およびKey MICを受け取り、このEAPoL−Keyフレーム(メッセージ3)に当該Key MICを上書きしたEAPoL−Keyフレーム(メッセージ3)を、端末側送受信部260を介して通信端末装置300に送信する。
このように実施の形態1によれば、鍵配信制御装置としてのAP制御装置100と無線LAN基地局装置200と通信端末装置300とを有し、通信端末装置300の認証をAP制御装置100が行い、通信端末装置300との通信における暗号復号処理を無線LAN基地局装置200が行う通信システム10に、認証および暗号復号処理を同一デバイスが行うことを前提に規定されている802.11i規格又はWPA規格を適用することができるので、セキュリティを向上する無線通信システムを実現することができる。
なお、図4には、ST1017後の無線LAN基地局200とAP制御装置100の間のユーザデータ通信に関して非暗号通信となっているが、これは無線LANの暗号通信をしないという意味であり、PTK、GTKを安全に運ぶために無線LAN基地局200とAP制御装置100の間で何らかのセキュリティ対策を講じるべきであるのは言うまでもない。
また実施の形態1によれば、AP制御装置100に、暗号鍵情報(PTK、GTK)を生成し当該暗号鍵情報(PTK、GTK)を802.11i規格又はWPA規格の、4ウェイハンドシェーク手順におけるメッセージ3又はグループキーハンドシェーク手順におけるメッセージ1を送出するのと同期して送出する制御手段(認証処理部120および暗号鍵カプセル部130)と、前記制御手段からの情報を送信する端末側送受信部110と、を設けた。
こうすることにより、AP制御装置100において暗号鍵情報を生成した直後の、802.11i規格又はWPA規格の4ウェイハンドシェーク手順又はグループキーハンドシェーク手順におけるメッセージ送信と同期して暗号鍵情報を送信することができるので、当該メッセージおよび暗号鍵情報を無線LAN基地局装置200において通信端末装置300にメッセージを送る際に上書きするKey MICの算出材料を同時期に取得することができる。そのため、無線LAN基地局装置200は、メッセージおよび暗号鍵情報を受信して即座に算出したKey MICを付加したメッセージを通信端末装置300に送信することができるので、4ウェイハンドシェーク手順に掛かる時間を削減することができる。
また、AP制御装置100における上記制御手段に、802.11i規格又はWPA規格の4ウェイハンドシェーク手順におけるメッセージ3と暗号鍵情報とを含む1つのフレームを形成する暗号鍵カプセル部130を設け、形成された上記フレームを送出するようにした。
こうすることにより、同一フレームに含めて送信することにより、無線LAN基地局装置200と通信端末装置300との間で送信されるフレームの数が減りシステムにおけるトラヒックを低減することができる。
そして上記制御手段(認証処理部120および暗号鍵カプセル部130)は、4ウェイハンドシェーク手順におけるメッセージに同期して、暗号鍵情報としてのGTKに既存のGTKを送出するか新規に生成するGTKを送出するかを示す既存GTK使用情報を暗号鍵情報と送出するようにした。
また、上記制御手段(認証処理部120および暗号鍵カプセル部130)は、そのGTK使用情報が新規のGTKであることを示すときには、さらに前記暗号鍵情報としてのPTKと前記GTK使用情報に基づいて算出されたKey MICを前記802.11i規格又はWPA規格の4ウェイハンドシェーク手順におけるメッセージとしてのEAPoL−Keyフレームに含めて送出するようにした。
また実施の形態1によれば、無線LAN基地局装置200に、受信した暗号鍵情報を一時保持する鍵管理テーブル250と、4ウェイハンドシェーク手順におけるメッセージ4又はグループキーハンドシェーク手順におけるメッセージ2をトリガとして、一時保持した暗号鍵情報を通信端末装置300との通信へ適用する制御手段(フレーム処理部220、MIC計算部240、鍵設定部230)と、を設けた。
こうすることにより、通信端末装置300における暗号鍵情報の設定と同期を取りながら無線LAN基地局装置200における暗号鍵の設定を行うことができるので、無線LAN基地局装置200と通信端末装置300との間の暗号通信への移行をすみやかに行うことができる。
また実施の形態1によれば、無線LAN基地局装置200に、暗号鍵情報とGTK使用情報とEAPoL−Keyフレームとを受信する網側送受信部210と、前記EAPoL−Keyフレームの通信端末装置300への転送を制御する制御手段(フレーム処理部220、MIC計算部240、鍵設定部230)と、を設け、前記制御手段は、前記受信したGTK使用情報が既存のGTKであることを示すときには、前記暗号鍵情報としての既存のGTKにより暗号化されたフレームを他の通信端末装置に送信した回数をカウントしているGTKカウント値を前記EAPoL−Keyフレームに含め、前記受信したGTK使用情報が新規のGTKであることを示すときには、前記GTKカウント値を0にして、前記EAPoL−Keyフレームに含め、さらに前記GTKカウンタ値が含まれたEAPoL−Keyフレームと暗号鍵情報としてのPTKに基づいてKeyMIC値を算出し、当該Key MICを含めた前記EAPoL−Keyフレームを送信するようにした。
また、無線LAN基地局装置200に、暗号鍵情報とGTK使用情報とEAPoL−Keyフレームとを受信する網側送受信部210と、前記EAPoL−Keyフレームの通信端末装置への転送を制御する制御手段(フレーム処理部220、MIC計算部240、鍵設定部230)と、を設け、前記制御手段は、前記受信したGTK使用情報が既存のGTKであることを示すときには、前記暗号鍵情報としての既存のGTKにより暗号化されたフレームを他の通信端末装置に送信した回数をカウントしているGTKカウント値を前記EAPoL−Keyフレームに含め、当該GTKカウンタ値が含まれたEAPoL−Keyフレームと前記暗号鍵情報としてのPTKとに基づいてKey MICを算出し、当該Key MICをさらに含めた前記EAPoL−Keyフレームを送信し、前記受信したGTK使用情報が新規のGTKであることを示すときには、前記EAPoL−Keyフレームをそのまま転送するようにした。
(実施の形態2)
実施の形態2の通信システムは、実施の形態1と同様に通信端末装置と、無線LAN基地局装置と、AP制御装置とを有する。ただし、IEEE802.11iに規定される4ウェイハンドシェーク(4way hand shake)手順のEAPoL−Keyフレーム(メッセージ4)を伝送する際、およびIEEE802.11iに規定されるグループキーハンドシェーク(GroupKey hand shake)手順のEAPoL−Keyフレーム(メッセージ2)を伝送する際の動きが、通信システム10と異なる。
図6に示すように実施の形態2のAP制御装置500は、認証処理部510を有する。この認証処理部510は、AP制御装置100の認証処理部120と基本的に同様の動作を行うが、IEEE802.11iに規定される4ウェイハンドシェーク(4way hand shake)手順のEAPoL−Keyフレーム(メッセージ4)を受け取るとき、およびIEEE802.11iに規定されるグループキーハンドシェーク(GroupKey hand shake)手順のEAPoL−Keyフレーム(メッセージ2)を受け取るときの動作が異なる。具体的には、両手順における上記EAPoL−Keyフレームを受け取ると、認証処理部510は、鍵インストール要求フレームを生成し、この鍵インストール要求フレームの送信処理を行う。
図7に示すように実施の形態2の無線LAN基地局装置600は、フレーム処理部610を有する。このフレーム処理部610は、無線LAN基地局装置200のフレーム処理部220と基本的に同様の動作を行うが、IEEE802.11iに規定される4ウェイハンドシェーク(4way hand shake)手順のEAPoL−Keyフレーム(メッセージ4)を受け取るとき、およびIEEE802.11iに規定されるグループキーハンドシェーク(GroupKey hand shake)手順のEAPoL−Keyフレーム(メッセージ2)を受け取るとき等の動作が異なる。具体的には、フレーム処理部610は、両手順の上記EAPoL−Keyフレームを受け取っても実施の形態1と異なり鍵インストールの制御は行わず、AP制御装置500から送信される鍵インストール要求フレームが入力されることを契機として鍵インストールの制御を行う。
次いで、上記構成を有する実施の形態2の通信システムの動作について説明する。
図8は、実施の形態2の通信システムにおける、IEEE802.11iに規定される4ウェイハンドシェーク(4way hand shake)手順の動作を示している。
通信端末装置300は、EAPoL−Keyフレーム(メッセージ4)を無線LAN基地局装置600に送信する(ステップST1016)。
無線LAN基地局装置600は、無線LAN基地局装置200と異なり通信端末装置300からのEAPoL−Keyフレーム(メッセージ4)を受信してもPTKおよびGTKのインストール処理は行わず、EAPoL−Keyフレーム(メッセージ4)に所定のヘッダを付加してAP制御装置500に対して送信する。具体的には、端末側送受信部260が通信端末装置300から送信された上記EAPoL−Keyフレーム(メッセージ4)を受信しフレーム処理部610に対して出力する。そして、フレーム処理部610は、EAPoL−Keyフレーム(メッセージ4)を入力しても鍵設定部230に対してインストール要求を出力せずに、所定のヘッダを付加する。そして、フレーム処理部610は、このヘッダが付加されたEAPoL−Keyフレーム(メッセージ4)を網側送受信部210を介してAP制御装置500に送信する(ステップST1018)。
AP制御装置500においては、端末側送受信部110が無線LAN基地局装置600から送信された上記EAPoL−Keyフレーム(メッセージ4)を受信し認証処理部510に対して出力する。そして、認証処理部510は、EAPoL−Keyフレーム(メッセージ4)を入力すると、鍵インストール要求フレームを生成し所定のヘッダを付加する。そして、認証処理部510は、生成した鍵インストール要求フレームを端末側送受信部110を介して無線LAN基地局装置600に送信する(ステップST3001)。
無線LAN基地局装置600は、AP制御装置500からの鍵インストール要求フレームを受信することを契機として、ステップST1014にてセットしたPTKおよびGTKのインストール処理を行う(ステップST3002)。具体的には、網側送受信部210が鍵インストール要求フレームを受信してフレーム処理部610に出力する。そして、フレーム処理部610は、鍵インストール要求フレームを入力すると、鍵設定部230に対してインストール要求を出力する。そして、鍵設定部230は、フレーム処理部610からのインストール要求に対応するPTKおよびGTKのインストール処理を行う。これにより、通信端末装置300と無線LAN基地局装置600との間で実際の暗号化復号化処理に利用されるPTKおよびGTKが利用可能な状態となる。すなわち、通信端末装置300と無線LAN基地局装置600との間で暗号通信が可能となる。
そしてフレーム処理部610は、鍵インストール要求フレームに対する応答として鍵インストール応答フレームを生成し、これを網側送受信部210を介してAP制御装置500に対して送信する(ステップST3003)。
図9は、実施の形態2の通信システムにおける、IEEE802.11iに規定されるグループキーハンドシェーク(GroupKey hand shake)手順の動作を示している。
通信端末装置300は、グループキーハンドシェーク(GroupKey hand shake)手順のEAPoL−Keyフレーム(メッセージ2)を無線LAN基地局装置600に送信する(ステップST2006)。
無線LAN基地局装置600は、無線LAN基地局装置200と異なり通信端末装置300からグループキーハンドシェーク(GroupKey hand shake)手順のEAPoL−Keyフレーム(メッセージ2)を受信してもGTKのインストール処理は行わず、EAPoL−Keyフレーム(メッセージ2)に所定のヘッダを付加してAP制御装置500に対して送信する。具体的には、端末側送受信部260が通信端末装置300から送信された上記EAPoL−Keyフレーム(メッセージ2)を受信しフレーム処理部610に対して出力する。そして、フレーム処理部610は、EAPoL−Keyフレーム(メッセージ2)を入力しても鍵設定部230に対してインストール要求を出力せずに、所定のヘッダを付加する。そして、フレーム処理部610は、このヘッダが付加されたEAPoL−Keyフレーム(メッセージ2)を網側送受信部210を介してAP制御装置500に送信する(ステップST2008)。
AP制御装置500においては、端末側送受信部110が無線LAN基地局装置600から送信された上記EAPoL−Keyフレーム(メッセージ2)を受信し認証処理部510に対して出力する。そして、認証処理部510は、EAPoL−Keyフレーム(メッセージ2)を入力すると、鍵インストール要求フレームを生成し所定のヘッダを付加する。そして、認証処理部510は、生成した鍵インストール要求フレームを端末側送受信部110を介して無線LAN基地局装置600に送信する(ステップST4001)。
無線LAN基地局装置600は、AP制御装置500からの鍵インストール要求フレームを受信することを契機として、ステップST2004にてセットしたGTK(更新後のGTK)のインストール処理を行う(ステップST4002)。具体的には、網側送受信部210が鍵インストール要求フレームを受信してフレーム処理部610に出力する。そして、フレーム処理部610は、鍵インストール要求フレームを入力すると、鍵設定部230に対してインストール要求を出力する。そして、鍵設定部230は、フレーム処理部610からのインストール要求に対応するGTKのインストール処理を行う。これにより、通信端末装置300と無線LAN基地局装置600との間で実際の暗号化復号化処理に利用されるGTK(更新後のGTK)が利用可能な状態となる。すなわち、通信端末装置300と無線LAN基地局装置600との間で暗号通信が可能となる。
そしてフレーム処理部610は、鍵インストール要求フレームに対する応答として鍵インストール応答フレームを生成し、これを網側送受信部210を介してAP制御装置500に対して送信する(ステップST4003)。
このように実施の形態2によれば、AP制御装置500に、暗号鍵情報(PTK、GTK)を生成し当該暗号鍵情報(PTK、GTK)を802.11i規格又はWPA規格の、4ウェイハンドシェーク手順におけるメッセージ3又はグループキーハンドシェーク手順にけるメッセージ1を送出するのと同期して送出する制御手段(認証処理部510、暗号鍵カプセル部130)と、前記制御手段からの情報を送信する端末側送受信部110と、を設けた。
上記制御手段は、4ウェイハンドシェーク手順又はグループキーハンドシェーク手順が終了したことを契機に(すなわち、4ウェイハンドシェーク手順におけるメッセージ4又はグループキーハンドシェーク手順におけるメッセージ2に応答して)、無線LAN基地局装置600に対し送信された暗号鍵情報を通信端末装置300との通信への適用するトリガとなる制御情報(鍵設定要求フレーム)を送出するようにした。
こうすることにより、無線LAN基地局装置600はメッセージを暗号鍵情報適用のトリガとして用いる必要がなくなるので、無線LAN基地局装置600においてメッセージを監視する必要がなくなるため、無線LAN基地局装置600における資源を節約することができる。
また、実施の形態2によれば、無線LAN基地局装置600に、受信した暗号鍵情報を一時保持する鍵管理テーブル250と、AP制御装置500から送信された制御情報(鍵設定要求フレーム)に基づいて、前記一時保持した暗号鍵情報を前記通信端末装置との通信へ適用する制御手段(フレーム処理部610、MIC算出部240、鍵設定部230)と、を設けた。
こうすることにより、無線LAN基地局装置600はメッセージを暗号鍵情報適用のトリガとして用いる必要がなくなるので、無線LAN基地局装置600においてメッセージを監視する必要がなくなるため、無線LAN基地局装置600における資源を節約することができる。
(実施の形態3)
実施の形態3の通信システムは、実施の形態1と同様に通信端末装置と、無線LAN基地局装置と、AP制御装置とを有する。ただし、IEEE802.11iに規定される4ウェイハンドシェーク(4way hand shake)手順のEAPoL−Keyフレーム(メッセージ2、メッセージ3、メッセージ4)を伝送する際、およびIEEE802.11iに規定されるグループキーハンドシェーク(GroupKey hand shake)手順のEAPoL−Keyフレーム(メッセージ1、メッセージ2)を伝送する際の動きが、通信システム10と異なる。具体的には、実施の形態1においては既存のGTKを利用するときには無線LAN基地局装置200にてKey MICを算出したが、本実施の形態においてはAP制御装置にてKey MICの算出を行う。そのため、無線LAN基地局装置において、上り(無線LAN基地局装置からAP制御装置へ)のメッセージを送信する際に、現在のGTKカウンタ値も含めるようにする。
図10に示すように実施の形態3のAP制御装置700は、認証処理部710と、カウンタ値記憶部720と、MIC算出部730とを有する。
図11に示すように実施の形態3の無線LAN基地局装置800は、フレーム処理部810を有する。
次いで、上記構成を有する実施の形態3の通信システムの動作について説明する。
図12は、実施の形態3の通信システムにおける、IEEE802.11iに規定される4ウェイハンドシェーク(4way hand shake)手順の動作を示している。
通信端末装置300は、生成したPTKに含まれるEAPoL−Key KCKを用いてKey MICを算出する。そして、通信端末装置300は、SNonceを含むEAPoL−Keyフレーム(メッセージ2)に上記算出したKey MICを付与して、無線LAN基地局装置800に送信する(ステップST1007)。
無線LAN基地局装置800においては、端末側送受信部260が通信端末装置300から送信された上記EAPoL−Keyフレーム(メッセージ2)を受信しフレーム処理部810に対して出力する。そして、フレーム処理部810は、EAPoL−Keyフレーム(メッセージ2)を入力すると、無線LAN基地局装置800が現在保持しているGTKカウンタ値をアダプテーションヘッダに付加するとともに、所定のヘッダ(ここでは、イーサヘッダ)を付与し網側送受信部210を介してAP制御装置700に送信する(ステップST5001)。なお、上述の通り、GTKカウンタ値とは、無線LAN基地局装置がGTKにより暗号化されるフレームを送出するときにカウントアップするシーケンスカウンタ値であり、TKIPであればTSCがこれに相当し、CCMPであればPNがこれに相当する。
AP制御装置700においては、EAPoL−Keyフレーム(メッセージ2)に含まれるSNonceの受信処理を行う(ステップST5002)。そして、AP制御装置700は、EAPoL−Keyフレーム(メッセージ2)に含まれるGTKカウンタ値を記憶する。具体的には、認証処理部710は、EAPoL−Keyフレーム(メッセージ2)を端末側送受信部110を介して受け取ると、EAPoL−Keyフレーム(メッセージ2)に含まれるGTKカウンタ値をカウンタ値記憶部720に記憶する。
そしてステップST5003において、AP制御装置700は、PMK、ANonceおよびSNonceに基づいて、PTK(Pairwise Transient Key)を生成する。ここで、AP制御装置700と通信端末装置300とは、同じ疑似ランダム関数を用いてPMK、ANonceおよびSNonceに基づき生成したPTKを共有したことになる。
ステップST5004において、AP制御装置700は、所定の方法によりGTK(Group Temporal Key)を生成する。
そしてAP制御装置700において認証処理部710は、通信端末装置300に対して配布するGTKに、既に他の通信端末装置300に対して送信しているGTKを利用するのか、又は新規に作成したGTKを利用するのかにより、所定の処理を行う。
具体的には、認証処理部710は、既に他の通信端末装置300に対して送信しているGTKを利用する場合には、カウンタ値記憶部720に記憶しているGTKカウンタ値をKey RSCとしたEAPoL−Keyフレーム(メッセージ3)を生成する。そして、このEAPoL−Keyフレーム(メッセージ3)とステップST5003にて生成したPTKとをMIC算出部730に与えここでKey MICを計算させ、EAPoL−Keyフレーム(メッセージ3)のKey MICの領域を算出したKey MICで上書きする。さらに、認証処理部710は、このEAPoL−Keyフレーム(メッセージ3)にGTKを含める。
一方、新規に作成したGTKを利用する場合には、認証処理部710は、カウンタ値記憶部720に記憶しているGTKカウンタ値は用いずに、Key RSCを0とし、さらに利用するGTKを含めたEAPoL−Keyフレーム(メッセージ3)を生成する。
そして、認証処理部710にて生成されたEAPoL−Keyフレーム(メッセージ3)は、所定のヘッダ(ここでは、イーサヘッダ)が付加されて無線LAN基地局装置800に送信される(ステップST5005)。
無線LAN基地局装置800においては、網側送受信部210がAP制御装置700から送信された上記EAPoL−Keyフレーム(メッセージ3)を受信しフレーム処理部810に対して出力する。そして、フレーム処理部810は、EAPoL−Keyフレーム(メッセージ3)を入力すると、デカプセル化、すなわちイーサヘッダおよびアダプテーションを外して、EAPoL−Keyフレーム(メッセージ3)を端末側送受信部260を介して通信端末装置300に送信する(ステップST5006)。
通信端末装置300においては、無線LAN基地局装置800から送信されたEAPoL−Keyフレーム(メッセージ3)を受信し、GTKの受信処理を行う(ステップST5007)。そして、通信端末装置300は、EAPoL−Keyフレーム(メッセージ4)を無線LAN基地局装置800に送信する(ステップST5008)。
無線LAN基地局装置800においては、端末側送受信部260が通信端末装置300から送信された上記EAPoL−Keyフレーム(メッセージ4)を受信しフレーム処理部810に対して出力する。そして、フレーム処理部810は、EAPoL−Keyフレーム(メッセージ4)を入力すると、無線LAN基地局装置800が現在保持しているGTKカウンタ値をアダプテーションヘッダに付加するとともに、所定のヘッダ(ここでは、イーサヘッダ)を付与し網側送受信部210を介してAP制御装置700に送信する(ステップST5009)。
AP制御装置700においては、端末側送受信部110が無線LAN基地局装置800から送信された上記EAPoL−Keyフレーム(メッセージ4)を受信し認証処理部710に対して出力する。そして、認証処理部710は、EAPoL−Keyフレーム(メッセージ4)に含まれるGTKカウンタ値でカウンタ値記憶部720を上書きする。また、認証処理部710は、EAPoL−Keyフレーム(メッセージ4)を入力すると、鍵インストール要求フレームを生成し所定のヘッダを付加する。具体的には、認証処理部710は、ステップST5003およびステップST5004にて生成したPTKとGTKと端末MACアドレスとを含めた鍵インストール要求フレームを生成する。そして、認証処理部710は、その鍵インストール要求フレームに所定のヘッダ(ここでは、イーサヘッダ)を付加して、無線LAN基地局装置800に端末側送受信部110を介して送信する(ステップST5010)。
無線LAN基地局装置800は、AP制御装置700からの鍵インストール要求フレームを受信すると、その鍵インストール要求フレームに含まれるPTKおよびGTKの設定およびインストールを行う(ステップST5011)。具体的には、網側送受信部210が鍵インストール要求フレームを受信してフレーム処理部810に出力する。そして、フレーム処理部810は、鍵インストール要求フレームを入力すると、鍵設定部230に対してPTKおよびGTKと、インストール要求とを出力する。鍵設定部230は、PTKおよびGTKを鍵管理テーブル250に設定するとともに、PTKおよびGTKのインストール処理を行う。これにより、通信端末装置300と無線LAN基地局装置800との間で実際の暗号化復号化処理に利用されるPTKおよびGTK(更新後のGTK)が利用可能な状態となる。
そしてフレーム処理部810は、鍵インストール要求フレームに対する応答として鍵インストール応答フレームを生成し、これを網側送受信部210を介してAP制御装置700に対して送信する(ステップST5012)。
なお、WPA仕様の4ウェイハンドシェーク(4way hand shake)手順においては、メッセージ3においてGTKを送付しないため、認証処理部710は、カウンタ値記憶部720に記憶しているGTKカウンタ値は用いずに、Key RSCを0としたフレームを基にKey MICを作成して、EAPoL−Keyフレーム(メッセージ3)を生成する。
図13は、実施の形態3の通信システムにおける、IEEE802.11iに規定されるグループキーハンドシェーク(GroupKey hand shake)手順の動作を示している。
AP制御装置700と通信端末装置300とは、IEEE802.11iに規定される4ウェイハンドシェーク(4way hand shake)手順により、PTKおよびGTKを共有している。ここで上述したような要因によりGTKの更新が必要になったとする。
ステップST6001において、AP制御装置700は、更新するGTKを用意する。このとき、AP制御装置700において認証処理部710は、通信端末装置300に対して配布するGTKに、既に他の通信端末装置300に対して送信しているGTKを利用するのか、又は新規に作成したGTKを利用するのかにより、所定の処理を行う。
具体的には、認証処理部710は、既に他の通信端末装置300に対して送信しているGTKを利用する場合には、カウンタ値記憶部720に記憶しているGTKカウンタ値(4ウェイハンドシェーク手順のメッセージ4に含められていたGTKカウンタ値又は4ウェイハンドシェーク手順の後にグループキーハンドシェーク手順が行われている場合には直近に行われたグループキーハンドシェーク手順のメッセージ2に含められていたGTKカウンタ値)をKey RSCとしたEAPoL−Keyフレーム(メッセージ1)を生成する。さらに、認証処理部710は、このEAPoL−Keyフレーム(メッセージ1)にGTKを含める。そして、このEAPoL−Keyフレーム(メッセージ1)とPTKとをMIC算出部730に与えここでKey MICを計算させ、EAPoL−Keyフレーム(メッセージ1)のKey MICの領域を算出したKey MICで上書きする。
一方、新規に作成したGTKを利用する場合には、認証処理部710は、カウンタ値記憶部720に記憶しているGTKカウンタ値は用いずに、Key RSCを0として同様のKey MICの計算を行い、利用するGTKを含めたEAPoL−Keyフレーム(メッセージ1)を生成する。
そして、認証処理部710にて生成されたEAPoL−Keyフレーム(メッセージ1)は、所定のヘッダ(ここでは、イーサヘッダ)が付加されて無線LAN基地局装置800に送信される(ステップST6002)。
無線LAN基地局装置800においては、網側送受信部210がAP制御装置700から送信された上記EAPoL−Keyフレーム(メッセージ1)を受信しフレーム処理部810に対して出力する。そして、フレーム処理部810は、EAPoL−Keyフレーム(メッセージ1)を入力すると、デカプセル化、すなわちイーサヘッダおよびアダプテーションを外して、EAPoL−Keyフレーム(メッセージ1)およびGTKを端末側送受信部260を介して通信端末装置300に送信する(ステップST6003)。
通信端末装置300においては、無線LAN基地局装置800から送信されたEAPoL−Keyフレーム(メッセージ1)を受信し、GTKの受信処理を行う(ステップST6004)。そして、通信端末装置300は、EAPoL−Keyフレーム(メッセージ2)を無線LAN基地局装置800に送信する(ステップST6005)。
無線LAN基地局装置800においては、端末側送受信部260が通信端末装置300から送信された上記EAPoL−Keyフレーム(メッセージ2)を受信しフレーム処理部810に対して出力する。そして、フレーム処理部810は、EAPoL−Keyフレーム(メッセージ2)を入力すると、無線LAN基地局装置800が現在保持しているGTKカウンタ値をアダプテーションヘッダに付加するとともに、所定のヘッダ(ここでは、イーサヘッダ)を付与し網側送受信部210を介してAP制御装置700に送信する(ステップST6006)。
AP制御装置700においては、端末側送受信部110が無線LAN基地局装置800から送信された上記EAPoL−Keyフレーム(メッセージ2)を受信し認証処理部710に対して出力する。そして、認証処理部710は、EAPoL−Keyフレーム(メッセージ2)に含まれるGTKカウンタ値でカウンタ値記憶部720を上書きする。また、認証処理部710は、EAPoL−Keyフレーム(メッセージ2)を入力すると、鍵インストール要求フレームを生成し所定のヘッダを付加する。具体的には、認証処理部710は、ステップST6001にて用意したGTKと端末MACアドレスとを含めた鍵インストール要求フレームを生成する。そして、認証処理部710は、その鍵インストール要求フレームに所定のヘッダ(ここでは、イーサヘッダ)を付加して、無線LAN基地局装置800に端末側送受信部110を介して送信する(ステップST6007)。
無線LAN基地局装置800は、AP制御装置700からの鍵インストール要求フレームを受信すると、その鍵インストール要求フレームに含まれるGTKの設定およびインストールを行う(ステップST6008)。具体的には、網側送受信部210が鍵インストール要求フレームを受信してフレーム処理部810に出力する。そして、フレーム処理部810は、鍵インストール要求フレームを入力すると、鍵設定部230に対してGTKと、インストール要求とを出力する。鍵設定部230は、GTKを鍵管理テーブル250に設定するとともに、GTKのインストール処理を行う。これにより、通信端末装置300と無線LAN基地局装置800との間で実際の暗号化復号化処理に利用されるGTK(更新後のGTK)が利用可能な状態となる。
そしてフレーム処理部810は、鍵インストール要求フレームに対する応答として鍵インストール応答フレームを生成し、これを網側送受信部210を介してAP制御装置700に対して送信する(ステップST6009)。
なお、上記説明においては、ステップST5004〜ステップST5005およびステップST6001〜ステップST6002において、認証処理部710にて生成したEAPoL−Keyフレーム(メッセージ3)およびEAPoL−Keyフレーム(メッセージ1)に利用するGTKを含めるようにしたため、暗号鍵カプセル部130が作動しないものとした。しかしながらこれに限定されるものではなく、次のようにしてもよい。すなわち、認証処理部710は、EAPoL−Keyフレーム(メッセージ3)およびEAPoL−Keyフレーム(メッセージ1)を生成するが、GTKをこれに含めることなく、EAPoL−Keyフレーム(メッセージ3)およびEAPoL−Keyフレーム(メッセージ1)と、GTKとを暗号鍵カプセル部130に送出する。そして、暗号鍵カプセル部130において、EAPoL−Keyフレーム(メッセージ3)およびEAPoL−Keyフレーム(メッセージ1)と、GTKとを1つのフレームに纏めて無線LAN基地局装置800に送信してもよい。
なお、上記説明においては、GTKカウンタ値はアダプテーションヘッダの中に挿入させているが、4ウェイハンドシェーク(4way hand shake)のメッセージ2およびメッセージ4を無線LAN基地局装置800が送信した後に別のフレームでカウンタ値のみをAP制御装置700に送付してもよい。すなわち4ウェイハンドシェーク(4way hand shake)のメッセージ3送信時またはグループキーハンドシェーク(GroupKey hand shake)のメッセージ1送信時にAP制御装置700がアクセスポイントに保持されているGTKカウンタ値を同期して保持できればよい。
このように実施の形態3によれば、AP制御装置700に、暗号鍵情報(PTK、GTK)を生成し当該暗号鍵情報を無線LAN基地局装置800に送信する制御手段としての認証処理部710と、既に送信した前記暗号鍵情報としてのGTKにより暗号化されたフレームを送信するときにカウントするGTKカウンタ値を802.11i規格又はWPA規格の4ウェイハンドシェーク手順におけるメッセージ2とともに受信する端末側送受信部110と、を設け、前記制御手段は、前記暗号鍵情報としてのPTKと前記GTKカウント値とに基づいて算出されたKey MICおよび前記GTKカウント値をメッセージ3のEAPoL−Keyフレームに含めて送信するようにした。
また実施の形態3によれば、鍵配信制御装置としてのAP制御装置700から配信を受けた暗号鍵情報を用いて通信端末装置300と暗号通信を行う無線LAN基地局装置800に、通信端末装置300からの802.11i規格又はWPA規格の4ウェイハンドシェーク手順におけるメッセージ2およびメッセージ4を受信する端末側送受信部260と、前記メッセージ2又は前記メッセージ4を受信したときに、前記暗号鍵情報としてのGTKにより暗号化されたフレームを送信するときにカウントするGTKカウンタ値を鍵配信装置としてのAP制御装置700に送信するフレーム処理部810と、を設けた。
(実施の形態4)
実施の形態1乃至実施の形態3においては、無線LAN基地局装置200、無線LAN基地局装置600、および無線LAN基地局装置800が暗号復号機能を有していた。しかしながら、AP制御装置と、無線LAN基地局装置との両方が通信端末装置300との通信における暗号復号機能を有していてもよい。本実施の形態は、このようにAP制御装置と、無線LAN基地局装置との両方が通信端末装置300との通信における暗号復号機能を有する通信システムに関する。特に本実施の形態の通信システムは、無線LAN基地局装置ごとに、AP制御装置と無線LAN基地局装置とのどちらにおいて暗号復号処理を行うかを決定する。
図14に示すように実施の形態4のAP制御装置900は、認証処理部910と、主信号処理部920とを有する。この主信号処理部920は、端末側フレーム変換処理部930と、暗復号判定部940と、暗復号処理部950と、暗復号位置テーブル960と、網側フレーム変換処理部970とを有する。
そして、本実施の形態の通信システムは、上記AP制御装置900と、無線LAN基地局装置200と、通信端末装置300とから構成される。
次いで、上記構成を有する通信システムの動作について図15を参照して説明する。ここでは説明を簡単にするため、通信システムが、1つのAP制御装置900と、2つの無線LAN基地局装置200(無線LAN基地局装置200−1および無線LAN基地局装置200−2)と、2つの通信端末装置300(通信端末装置300−1および通信端末装置300−2)とから構成される場合について説明する。
ステップST7001において、無線LAN基地局装置200−1は、AP制御装置900への接続時に、自装置が暗号復号機能を有しているか否かを示す暗号可否情報を送信する。
ステップST7002において、AP制御装置900は、無線LAN基地局装置200−1からの暗号可否情報を受け取り、この暗号可否情報が暗号復号機能を有していることを示すときには、暗号位置の選択を行う。具体的には、AP制御装置900においては、認証処理部910は、端末側送受信部110を介して上記暗号可否情報を受け取ると、その送信元である無線LAN基地局装置200−1に暗号復号処理を任せるか、又は暗号復号処理を自装置で行うかを決定する。そして、この決定結果を暗号位置決定情報とする。
ステップST7003において、AP制御装置900の認証処理部910は、暗号位置決定情報を暗復号位置テーブル960に反映させるとともに、端末側送受信部110を介して無線LAN基地局装置200−1に送信する。なお、ここでは無線LAN基地局装置200−1に対しては、AP制御装置900が暗号復号処理を行うものと決定されたとする。
ステップST7004において、無線LAN基地局装置200−2は、AP制御装置900への接続時に、自装置が暗号復号機能を有しているか否かを示す暗号可否情報を送信する。
ステップST7005において、AP制御装置900は、無線LAN基地局装置200−2からの暗号可否情報を受け取り、この暗号可否情報が暗号復号機能を有していることを示すときには、暗号位置の選択を行う。
ステップST7006において、AP制御装置900の認証処理部910は、暗号位置決定情報を暗復号位置テーブルに反映させるとともに、端末側送受信部110を介して無線LAN基地局装置200−2に送信する。なお、ここでは無線LAN基地局装置200−2に対しては、無線LAN基地局装置200−2が暗号復号処理を行うものと決定されたとする。
ステップST7007において、実施の形態1にて説明したような認証処理および鍵配送処理が本実施の形態の通信システムにおいて行われる。なお、この認証処理および鍵配送処理は実施の形態2又は3の方法であってもよい。
以上のステップST7001〜ステップST7007を経てAP制御装置900と、無線LAN基地局装置200と、通信端末装置300との間で暗号通信が可能となる。
そして、無線端末装置300−1にて送信データが発生すると、すでに配信されている暗号鍵を用いて暗号化されたユーザデータが、通信端末装置300−1が配下にある無線LAN基地局装置200−1に送信される(ステップST7008)。
無線LAN基地局装置200−1においては、フレーム処理部220が、自装置がAP制御装置900から受け取った暗号位置決定情報に応じて、無線端末装置300−1から送信されたユーザデータの処理を行う。
具体的には、フレーム処理部220は、自装置がAP制御装置900から受け取った暗号位置決定情報が自装置にて暗号復号処理を行う旨を示すときには、復号処理を行った後のユーザデータをAP制御装置900に転送する際に付加するアダプテーションヘッダに自装置にて暗号復号処理を行ったことを示す情報を付加する。例えばアダプテーションヘッダの暗復号処理フラグを0とする。
一方、自装置がAP制御装置900から受け取った暗号位置決定情報がAP制御装置900にて暗号復号処理を行う旨を示すときには、無線端末装置300−1から送信されたユーザデータをそのまま転送する際に付加するアダプテーションヘッダにAP制御装置900にて暗号復号処理を行うことを示す情報を付加する。例えばアダプテーションヘッダの暗復号処理フラグを1とする。
ここでは、無線LAN基地局装置200−1とAP制御装置900との間では、AP制御装置900が暗号復号処理を行うので、無線LAN基地局装置200−1は、アダプテーションヘッダの暗復号処理フラグを1としてAP制御装置900に送信する(ステップST7009)。
AP制御装置900においては、端末側送受信部110にて無線LAN基地局装置200−1からのユーザデータを受け取る。そして、端末側フレーム変換処理部930が、そのユーザデータに付加されているアダプテーションヘッダに含まれている暗復号処理フラグの情報と、ヘッダを外したユーザデータそのものとを暗復号判定部940に出力する。
暗復号判定部940は、受け取った暗復号処理フラグに応じた処理を行う。具体的には、暗復号処理フラグが1である場合、すなわちユーザデータの復号をAP制御装置900にて行うことを示している場合には、ユーザデータを暗復号処理部950に出力してそこで復号処理をさせ、復号処理後のユーザデータを網側フレーム変換処理部970に出力する。そして、網側フレーム変換処理部970は、ユーザデータを網側のネットワーク形態に合わせフレーム変換処理を行い、網側のネットワークに送信する。なお、暗復号処理フラグが0である場合、すなわちユーザデータの復号を無線LAN基地局装置200−1にて行ったことを示している場合には、AP制御装置900で復号処理を行う必要はないので、暗復号判定部940は、端末側フレーム変換処理部930から受け取ったユーザデータをそのまま網側フレーム変換処理部970に出力する。
次に、AP制御装置900が網側ネットワークからフレームを受信したとする。そうすると、AP制御装置900においては、網側フレーム変換処理部970がそのフレームを受信し、無線LANフレームに変換して暗復号判定部940に出力する。
暗復号判定部940は、無線LANフレームのヘッダ(IEEE802.11ヘッダ)の2番目のアドレスを見て、この無線LANフレームの通る無線LAN基地局装置200を判定する。そして、暗復号判定部940は、暗復号位置テーブル960を参照し、判定した無線LAN基地局装置200に対応する暗号位置決定情報に応じた処理を行う。
すなわち、判定した無線LAN基地局装置200に対応する暗号位置決定情報がAP制御装置900にて暗号復号処理を行うことを示しているときには、暗復号判定部940は、無線LANフレームを暗復号処理部950に出力して暗号処理をさせ、暗号処理後の無線LANフレームを端末側フレーム変換処理部930および端末側送受信部110を介して無線LAN基地局装置200に送信する。
一方、判定した無線LAN基地局装置200に対応する暗号位置決定情報が無線LAN基地局装置200にて暗号復号処理を行うことを示しているときには、暗復号判定部940は、無線LANフレームをそのまま端末側フレーム変換処理部930および端末側送受信部110を介して無線LAN基地局装置200に送信する。なお、無線LANフレームには、端末側フレーム変換処理部930にてイーサヘッダおよびアダプテーションヘッダが付加される。
ここで、無線LANフレームの通る無線LAN基地局装置200が無線LAN基地局装置200−1であるとすると、無線LAN基地局装置200−1とAP制御装置900との間では、AP制御装置900が暗号復号処理を行うこととなっているので、AP制御装置900は、上述のように暗号処理を行って無線LANフレームを無線LAN基地局装置200−1に送信する(ステップST7010)。
無線LAN基地局装置200−1においては、既にAP制御装置900から、自装置とAP制御装置900との間ではAP制御装置900が暗号復号処理を行う旨の暗号位置決定情報を受け取っているため、フレーム処理部220は、受け取ったフレームからイーサヘッダおよびアダプテーションヘッダを外す以外に特別な処理を行うことなく、無線LANフレームを無線端末装置300−1に転送する(ステップST7011)。
次に、無線端末装置300−2にて送信データが発生すると、すでに配信されている暗号鍵を用いて暗号化されたユーザデータが、通信端末装置300−2が配下にある無線LAN基地局装置200−2に送信される(ステップST7012)。
無線LAN基地局装置200−2においては、無線LAN基地局装置200−2とAP制御装置900との間では自装置が暗号復号処理を行う暗号位置決定情報を受け取っている。そのため、無線LAN基地局装置200−2は、通信端末装置300−2からの暗号化されたユーザデータを復号し、アダプテーションヘッダの暗復号処理フラグを0としてAP制御装置900に送信する(ステップST7013)。
AP制御装置900においては、暗復号処理フラグが0である場合、すなわちユーザデータの復号を無線LAN基地局装置200−2にて行ったことを示している場合には、AP制御装置900で復号処理を行う必要はないので、暗復号判定部940は、端末側フレーム変換処理部930から受け取ったユーザデータをそのまま網側フレーム変換処理部970に出力する。
次に、AP制御装置900が網側ネットワークからフレームを受信したとする。ここで、無線LANフレームの通る無線LAN基地局装置200が無線LAN基地局装置200−2であるとすると、無線LAN基地局装置200−2とAP制御装置900との間では、無線LAN基地局装置200が暗号復号処理を行うこととなっているので、AP制御装置900は、上述のように暗号処理を行わずに、無線LANフレームをそのまま端末側フレーム変換処理部930および端末側送受信部110を介して無線LAN基地局装置200−2に送信する(ステップST7014)。
無線LAN基地局装置200−2においては、既にAP制御装置900から、自装置とAP制御装置900との間では自装置が暗号復号処理を行う旨の暗号位置決定情報を受け取っているため、フレーム処理部220は、受け取ったフレームからイーサヘッダおよびアダプテーションヘッダを外し、さらに暗号処理を施して、無線LANフレームを無線端末装置300−2に転送する(ステップST7015)。
(実施の形態5)
実施の形態4においては、無線LAN基地局装置ごとに、AP制御装置と無線LAN基地局装置とのどちらにおいて暗号復号処理を行うかを決定していた。これに対して実施の形態5においては、1つの無線LAN基地局装置の配下にある通信端末装置ごとに、AP制御装置と無線LAN基地局装置とのどちらにおいて暗号復号処理を行うかを決定する。
図16に示すように実施の形態5の無線LAN基地局装置1000は、フレーム処理部1010と、主信号処理部1020とを有する。この主信号処理部1020は、暗復号判定部1030と、暗復号処理部1040と、暗復号位置テーブル1050と、網側フレー無変換処理部1060とを有する。
そして、本実施の形態の通信システムは、AP制御装置900と、無線LAN基地局装置1000と、通信端末装置300とから構成される。
次いで、上記構成を有する通信システムの動作について図17を参照して説明する。ここでは説明を簡単にするため、通信システムが、1つのAP制御装置900と、1つの無線LAN基地局装置1000と、2つの通信端末装置300(通信端末装置300−1および通信端末装置300−2)とから構成される場合について説明する。
ステップST8001において、無線LAN基地局装置1000は、AP制御装置900への接続時に、自装置が暗号復号機能を有しているか否かを示す暗号可否情報を送信する。
ステップST8002において、AP制御装置900は、無線LAN基地局装置1000からの暗号可否情報を受け取り、この暗号可否情報が暗号復号機能を有していることを示すときには、暗号位置の選択を行う。具体的には、AP制御装置900においては、認証処理部910は、端末側送受信部110を介して上記暗号可否情報を受け取ると、その送信元である無線LAN基地局装置1000に暗号復号処理を任せるか、又は暗号復号処理を自装置で行うかを決定する。そして、この決定結果を暗号位置決定情報とする。
ステップST8003において、AP制御装置900の認証処理部910は、暗号位置決定情報を暗復号位置テーブルに反映させるとともに、端末側送受信部110を介して無線LAN基地局装置1000に送信する。なお、ここでは無線LAN基地局装置1000に対しては、AP制御装置900で暗号復号処理を行うか無線LAN基地局装置1000で暗号復号処理を行うか未定とするものと決定されたとする。
ステップST8004において、通信端末装置300−1について実施の形態1にて説明したような認証処理および鍵配送処理が本実施の形態の通信システムにおいて行われる。なお、この認証処理および鍵配送処理は実施の形態2又は3の方法であってもよい。
するとステップST8005において、通信端末装置300−1に関し、暗号位置の選択をする。すなわち、通信端末装置300−1に関し、無線LAN基地局装置1000に暗号復号処理を任せるか、又は暗号復号処理を自装置で行うかを決定する。
ステップST8006において、AP制御装置900の認証処理部910は、暗号位置決定情報を暗復号位置テーブル960に反映させるとともに、端末側送受信部110を介して無線LAN基地局装置1000に送信する。なお、ここでは通信端末装置300−1に関しては、AP制御装置900が暗号復号処理を行うものと決定されたとする。
無線LAN基地局装置1000においては、網側送受信部210を介してフレーム処理部1010が暗号位置決定情報を受信する。そして、フレーム処理部1010は、通信端末装置300−1に関する暗号位置決定情報を暗復号位置テーブル1050に反映させる。
そして、無線端末装置300−1にて送信データが発生すると、すでに配信されている暗号鍵を用いて暗号化されたユーザデータが、通信端末装置300−1が配下にある無線LAN基地局装置1000に送信される(ステップST8007)。
無線LAN基地局装置1000においては、端末側送受信部260にて通信端末装置300−1からのユーザデータとしての無線LANフレームを受け取る。そして、暗復号判定部1030は、暗復号位置テーブル1050を参照し、その無線LANフレームの送信元アドレスに対応する通信端末装置300に関する暗号位置決定情報に応じた処理を行う。
すなわち、暗復号判定部1030は、その無線LANフレームの送信元アドレスに対応する通信端末装置300に関する暗号位置決定情報が自装置にて暗号復号処理を行うことを示している場合には、無線LANフレームを暗復号処理部1040に出力して復号処理をさせ、復号処理後の無線LANフレームを網側フレーム変換処理部1060および網側送受信部210を介してAP制御装置900に送信する。なお、無線LANフレームには、網側フレーム変換処理部1060にてイーサヘッダおよびアダプテーションヘッダが付加され、このアダプテーションヘッダに自装置にて暗号復号処理を行ったことを示す情報を付加する。例えばアダプテーションヘッダの暗復号処理フラグを0とする。
一方、暗復号判定部1030は、その無線LANフレームの送信元アドレスに対応する通信端末装置300に関する暗号位置決定情報がAP制御装置900にて暗号復号処理を行うことを示している場合には、無線LANフレームをそのまま網側フレーム変換処理部1060および網側送受信部210を介してAP制御装置900に送信する。なお、無線LANフレームには、網側フレーム変換処理部1060にてイーサヘッダおよびアダプテーションヘッダが付加され、このアダプテーションヘッダにAP制御装置900にて暗号復号処理を行うことを示す情報を付加する。例えばアダプテーションヘッダの暗復号処理フラグを1とする。
ここでは、通信端末装置300−1に関しては、無線LAN基地局装置1000とAP制御装置900との間ではAP制御装置900が暗号復号処理を行うので、無線LAN基地局装置1000は、アダプテーションヘッダの暗復号処理フラグを1としてAP制御装置900に送信する(ステップST8008)。
AP制御装置900においては、端末側送受信部110にて無線LAN基地局装置1000からのフレームを受け取る。そして、端末側フレーム変換処理部930が、そのフレームに付加されているアダプテーションヘッダに含まれている暗復号処理フラグの情報と、ヘッダを外したユーザデータそのものとを暗復号判定部940に出力する。
暗復号判定部940は、受け取った暗復号処理フラグに応じた処理を行う。具体的には、暗復号処理フラグが1である場合、すなわちユーザデータの復号をAP制御装置900にて行うことを示している場合には、ユーザデータを暗復号処理部950に出力してそこで復号処理をさせ、復号処理後のユーザデータを網側フレーム変換処理部970に出力する。そして、網側フレーム変換処理部970は、ユーザデータを網側のネットワーク形態に合わせフレーム変換処理を行い、網側のネットワークに送信する。なお、暗復号処理フラグが0である場合、すなわちユーザデータの復号を無線LAN基地局装置1000にて行ったことを示している場合には、AP制御装置900で復号処理を行う必要はないので、暗復号判定部940は、端末側フレーム変換処理部930から受け取ったユーザデータをそのまま網側フレーム変換処理部970に出力する。
次に、AP制御装置900が網側ネットワークからフレームを受信したとする。そうすると、AP制御装置900においては、網側フレーム変換処理部970がそのフレームを受信し、無線LANフレームに変換して暗復号判定部940に出力する。
暗復号判定部940は、無線LANフレームのヘッダ(IEEE802.11ヘッダ)の1番目のアドレスを見て、この無線LANフレームの宛先である通信端末装置300を判定する。そして、暗復号判定部940は、暗復号位置テーブル960を参照し、判定した通信端末装置300に対応する暗号位置決定情報に応じた処理を行う。
すなわち、判定した無線端末装置300に対応する暗号位置決定情報がAP制御装置900にて暗号復号処理を行うことを示しているときには、暗復号判定部940は、無線LANフレームを暗復号処理部950に出力して暗号処理をさせ、暗号処理後の無線LANフレームを端末側フレーム変換処理部930および端末側送受信部110を介して無線LAN基地局装置1000に送信する。なお、無線LANフレームには、端末側フレーム変換処理部930にてイーサヘッダおよびアダプテーションヘッダが付加され、このアダプテーションヘッダに自装置にて暗号復号処理を行ったことを示す情報を付加する。例えばアダプテーションヘッダの暗復号処理フラグを0とする。
一方、判定した無線端末装置300に対応する暗号位置決定情報が無線LAN基地局装置1000にて暗号復号処理を行うことを示しているときには、暗復号判定部940は、無線LANフレームをそのまま端末側フレーム変換処理部930および端末側送受信部110を介して無線LAN基地局装置1000に送信する。なお、無線LANフレームには、端末側フレーム変換処理部930にてイーサヘッダおよびアダプテーションヘッダが付加され、このアダプテーションヘッダに無線LAN基地局装置1000にて暗号復号処理を行うことを示す情報を付加する。例えばアダプテーションヘッダの暗復号処理フラグを1とする。
ここで、無線LANフレームの宛先が通信端末装置300−1であるとすると、無線LAN基地局装置1000とAP制御装置900との間では、AP制御装置900が暗号復号処理を行うこととなっているので、AP制御装置900は、上述のように暗号処理を行って無線LANフレームを無線LAN基地局装置1000に送信する(ステップST8009)。なお、このときのアダプテーションヘッダには、AP制御装置900にて暗号復号処理が行われた旨の情報が付加されている。すなわち、暗復号処理フラグが0となっている。
無線LAN基地局装置1000においては、網側送受信部210を介して網側フレーム変換処理部1060にてAP制御装置900からのフレームを受け取る。そして、網側フレーム変換処理部1060が、そのフレームに付加されているアダプテーションヘッダに含まれている暗復号処理フラグの情報と、ヘッダを外したユーザデータそのものとを暗復号判定部1030に出力する。
暗復号判定部1030は、受け取った暗復号処理フラグに応じた処理を行う。具体的には、暗復号処理フラグが1である場合、すなわちフレームの暗号を自装置にて行うことを示している場合には、フレームを暗復号処理部1040に出力してそこで暗号処理をさせ、暗号処理後の無線LANフレームを端末側送受信部260に出力する。端末側送受信部260は、暗号処理後の無線LANフレームを通信端末装置300−1に送信する(ステップST8010)。なお、暗復号処理フラグが0である場合、すなわちフレームの暗号をAP制御装置900にて行ったことを示している場合には、無線LAN基地局装置1000で暗号処理を行う必要はないので、暗復号判定部1030は、網側フレーム変換処理部1060から受け取ったフレームをそのまま端末側送受信部260を介して通信端末装置300−1に送信する。
ステップST8011において、通信端末装置300−2について実施の形態1にて説明したような認証処理および鍵配送処理が本実施の形態の通信システムにおいて行われる。なお、この認証処理および鍵配送処理は実施の形態2又は3の方法であってもよい。
ステップST8012において、通信端末装置300−2に関し、暗号位置の選択をする。すなわち、通信端末装置300−2に関し、無線LAN基地局装置1000に暗号復号処理を任せるか、又は暗号復号処理を自装置で行うかを決定する。
ステップST8013において、AP制御装置900の認証処理部910は、暗号位置決定情報を暗復号位置テーブル960に反映させるとともに、端末側送受信部110を介して無線LAN基地局装置1000に送信する。なお、ここでは通信端末装置300−2に関しては、無線LAN基地局装置1000が暗号復号処理を行うものと決定されたとする。
無線LAN基地局装置1000においては、網側送受信部210を介してフレーム処理部1010が暗号位置決定情報を受信する。そして、フレーム処理部1010は、通信端末装置300−2に関する暗号位置決定情報を暗復号位置テーブル1050に反映させる。
そして、無線端末装置300−2にて送信データが発生すると、すでに配信されている暗号鍵を用いて暗号化されたユーザデータが、通信端末装置300−2が配下にある無線LAN基地局装置1000に送信される(ステップST8014)。
無線LAN基地局装置1000においては、端末側送受信部260にて通信端末装置300−2からのユーザデータとしての無線LANフレームを受け取る。そして、暗復号判定部1030は、暗復号位置テーブル1050を参照し、その無線LANフレームの送信元アドレスに対応する通信端末装置300に関する暗号位置決定情報に応じた処理を行う。
ここでは、通信端末装置300−2に関しては、無線LAN基地局装置1000とAP制御装置900との間では無線LAN基地局装置1000が暗号復号処理を行うので、無線LAN基地局装置1000は、復号後の無線LANフレームに付加するアダプテーションヘッダの暗復号処理フラグを0としてAP制御装置900に送信する(ステップST8015)。
AP制御装置900においては、端末側送受信部110にて無線LAN基地局装置1000からのフレームを受け取る。そして、端末側フレーム変換処理部930が、そのフレームに付加されているアダプテーションヘッダに含まれている暗復号処理フラグの情報と、ヘッダを外したユーザデータそのものとを暗復号判定部940に出力する。
暗復号判定部940は、受け取った暗復号処理フラグに応じた処理を行う。ここでは、暗復号処理フラグが0であるので、端末側フレーム変換処理部930から受け取ったユーザデータをそのまま網側フレーム変換処理部970に出力する。
次に、AP制御装置900が網側ネットワークからフレームを受信したとする。そうすると、AP制御装置900においては、網側フレーム変換処理部970がそのフレームを受信し、無線LANフレームに変換して暗復号判定部940に出力する。
暗復号判定部940は、無線LANフレームのヘッダ(IEEE802.11ヘッダ)の1番目のアドレスを見て、この無線LANフレームの宛先である通信端末装置300を判定する。そして、暗復号判定部940は、暗復号位置テーブル960を参照し、判定した通信端末装置300に対応する暗号位置決定情報に応じた処理を行う。ここでは、判定した無線端末装置300(無線端末装置300−2)に対応する暗号位置決定情報が無線LAN基地局装置1000にて暗号復号処理を行うことを示しているので、暗復号判定部940は、無線LANフレームを端末側フレーム変換処理部930および端末側送受信部110を介して無線LAN基地局装置1000に送信する(ステップST8016)。なお、端末側フレーム変換処理部930にてアダプティブヘッダの暗復号処理フラグが1とされる。
無線LAN基地局装置1000においては、網側送受信部210を介して網側フレーム変換処理部1060にてAP制御装置900からのフレームを受け取る。そして、網側フレーム変換処理部1060が、そのフレームに付加されているアダプテーションヘッダに含まれている暗復号処理フラグの情報と、ヘッダを外したユーザデータそのものとを暗復号判定部1030に出力する。
暗復号判定部1030は、受け取った暗復号処理フラグに応じた処理を行う。ここでは、暗復号処理フラグが1であるので、暗復号判定部1030は、フレームを暗復号処理部1040に出力してそこで暗号処理をさせ、暗号処理後の無線LANフレームを端末側送受信部260に出力する。端末側送受信部260は、暗号処理後の無線LANフレームを通信端末装置300−2に送信する(ステップST8017)。
以上のように、本実施の形態の通信システムにおいては、通信端末装置300ごとに無線LAN基地局装置1000とAP制御装置900との間で暗復号の位置の割り当てを変えることができる。なお、暗号位置決定情報は、認証の後だけではなく、いつでも、また、無線LAN基地局装置1000、AP制御装置900のどちらからでも送出することが可能であり、暗復号化の位置を変えることができる。例えば、AP制御装置900の負荷が重くなったので、ある負荷を表す値を監視して、その値が閾値超えた場合、暗復号の処理の一部を無線LAN基地局装置1000に変更するということも可能である。
(他の実施の形態)
実施の形態1乃至実施の形態3においては、無線LAN基地局装置200、無線LAN基地局装置600、および無線LAN基地局装置800が暗号復号機能を有していた。しかしながら、AP制御装置100、AP制御装置500、およびAP制御装置700が通信端末装置300との通信における暗号復号機能を有していてもよい。
この場合には、AP制御装置100、AP制御装置500およびAP制御装置700のみが暗号復号機能および認証機能を有しているため、無線LAN基地局装置200、無線LAN基地局装置600および無線LAN基地局装置800はPTKおよびGTKを保持する必要がなく、すべてのフレームを透過させることとなる。
本明細書は、2005年3月4日出願の特願2005−060517および2005年3月28日出願の特願2005−092199に基づく。これらの内容はすべてここに含めておく。
本発明の鍵配信制御装置および無線基地局装置は、無線通信システムにおけるセキュリティを向上する効果を有し、特に無線LANシステムにおけるアクセスポイントおよびアクセスポイント制御装置に有用である。
本発明の実施の形態1に係る通信システムの全体構成図 図1のAP制御装置の構成を示すブロック図 図1の無線LAN基地局装置の構成を示すブロック図 図1の通信システムの動きの説明に供する図 図1の通信システムの動きの説明に供する他の図 実施の形態2に係るAP制御装置の構成を示すブロック図 実施の形態2に係る無線LAN基地局装置の構成を示すブロック図 図6のAP制御装置および図7の無線LAN基地局装置を有する通信システムの動きの説明に供する図 図6のAP制御装置および図7の無線LAN基地局装置を有する通信システムの動きの説明に供する他の図 実施の形態3に係るAP制御装置の構成を示すブロック図 実施の形態3に係る無線LAN基地局装置の構成を示すブロック図 図10のAP制御装置および図11の無線LAN基地局装置を有する通信システムの動きの説明に供する図 図10のAP制御装置および図11の無線LAN基地局装置を有する通信システムの動きの説明に供する他の図 実施の形態4に係るAP制御装置の構成を示すブロック図 実施の形態4の通信システムの動作の説明に供する図 実施の形態5に係る無線LAN基地局装置の構成を示すブロック図 実施の形態5の通信システムの動作の説明に供する図

Claims (10)

  1. 通信端末装置と無線基地局装置との間の通信にて使用する暗号鍵情報を配信する鍵配信制御装置であって、
    前記暗号鍵情報を生成し当該暗号鍵情報を802.11i規格又はWPA規格の、4ウェイハンドシェーク手順又はグループキーハンドシェーク手順におけるメッセージを送出するのと同期して送出する制御手段と、
    前記制御手段からの情報を送信する送信手段と、
    を具備し、
    前記制御手段は、前記メッセージに同期して、前記暗号鍵情報としてのGTKに既存のGTKを送信するか新規に生成するGTKを送信するかを示すGTK使用情報を前記暗号鍵情報と送出する鍵配信制御装置。
  2. 前記制御手段は、前記GTK使用情報が新規のGTKであることを示すときには、さらに前記暗号鍵情報としてのPTKと前記GTK使用情報に基づいて算出されたKey MICを前記メッセージとしてのEAPoL−Keyフレームに含めて送出する請求項1記載の鍵配信制御装置。
  3. 通信端末装置と無線基地局装置との間の通信にて使用する暗号鍵情報を配信する鍵配信制御装置であって、
    前記暗号鍵情報を生成し当該暗号鍵情報を802.11i規格又はWPA規格の、4ウェイハンドシェーク手順又はグループキーハンドシェーク手順におけるメッセージを送出するのと同期して送出する制御手段と、
    前記制御手段からの情報を送信する送信手段と、
    を具備し、
    前記制御手段は、前記4ウェイハンドシェーク手順又は前記グループキーハンドシェーク手順が終了したことを契機に、前記無線基地局装置に対し送信した暗号鍵情報を前記通信端末装置との通信に適用するトリガとなる制御情報を送出する鍵配信制御装置。
  4. 暗号鍵情報とGTK使用情報とEAPoL−Keyフレームとを受信する受信手段と、
    前記EAPoL−Keyフレームの通信端末装置への転送を制御する制御手段と、
    を具備し、
    前記制御手段は、
    前記受信したGTK使用情報が既存のGTKであることを示すときには、前記暗号鍵情報としての既存のGTKにより暗号化されたフレームを他の通信端末装置に送信した回数をカウントしているGTKカウント値を前記EAPoL−Keyフレームに含め、
    前記受信したGTK使用情報が新規のGTKであることを示すときには、前記GTKカウント値を0にして、前記EAPoL−Keyフレームに含め、
    さらに前記GTKカウンタ値が含まれたEAPoL−Keyフレームと暗号鍵情報としてのPTKに基づいてKeyMIC値を算出し、当該Key MICを含めた前記EAPoL−Keyフレームを送信する無線基地局装置。
  5. 暗号鍵情報とGTK使用情報とEAPoL−Keyフレームとを受信する受信手段と、
    前記EAPoL−Keyフレームの通信端末装置への転送を制御する制御手段と、
    を具備し、
    前記制御手段は、
    前記受信したGTK使用情報が既存のGTKであることを示すときには、前記暗号鍵情報としての既存のGTKにより暗号化されたフレームを他の通信端末装置に送信した回数をカウントしているGTKカウント値を前記EAPoL−Keyフレームに含め、当該GTKカウンタ値が含まれたEAPoL−Keyフレームと前記暗号鍵情報としてのPTKとに基づいてKey MICを算出し、当該Key MICをさらに含めた前記EAPoL−Keyフレームを送信し、
    前記受信したGTK使用情報が新規のGTKであることを示すときには、前記EAPoL−Keyフレームをそのまま転送する無線基地局装置。
  6. 通信端末装置と、無線基地局装置と、前記通信端末装置と前記無線基地局装置との間の通信にて使用する暗号鍵情報を配信する鍵配信制御装置とを有する通信システムであって、
    前記鍵配信制御装置は、前記暗号鍵情報を生成し当該暗号鍵情報を802.11i規格又はWPA規格の、4ウェイハンドシェーク手順又はグループキーハンドシェーク手順におけるメッセージを送出するのと同期して送出する制御手段と、前記制御手段からの情報を送信する送信手段と、を具備し、
    前記無線基地局装置は、前記鍵配信制御装置から送信された暗号鍵情報を一時保持する手段と、前記4ウェイハンドシェーク手順又はグループキーハンドシェーク手順における他のメッセージをトリガとして、前記一時保持した暗号鍵情報を前記通信端末装置との通信へ適用する制御手段と、を具備する通信システム。
  7. 通信端末装置と、無線基地局装置と、前記通信端末装置と前記無線基地局装置との間の通信にて使用する暗号鍵情報を配信する鍵配信制御装置とを有する通信システムであって、
    前記鍵配信制御装置は、前記暗号鍵情報を生成し当該暗号鍵情報を802.11i規格又はWPA規格の、4ウェイハンドシェーク手順又はグループキーハンドシェーク手順におけるメッセージを送出するのと同期して送出し、また、前記4ウェイハンドシェーク手順又は前記グループキーハンドシェーク手順が終了したことを契機に、前記無線基地局装置に対し送信した暗号鍵情報を前記通信端末装置との通信に適用するトリガとなる制御情報を送出する制御手段と、前記制御手段からの情報を送信する送信手段と、を具備し、
    前記無線基地局装置は、前記鍵配信制御装置から送信された暗号鍵情報を一時保持する手段と、前記鍵配信制御装置から送信された前記制御情報に基づいて、前記一時保持した暗号鍵情報を前記通信端末装置との通信へ適用する制御手段と、を具備する通信システム。
  8. 通信端末装置と無線基地局装置との間の通信にて使用する暗号鍵情報を配信する鍵配信制御装置であって、
    前記暗号鍵情報を生成し当該暗号鍵情報を前記無線基地装置に送信する制御手段と、
    既に送信した前記暗号鍵情報としてのGTKにより暗号化されたフレームを送信するときにカウントするGTKカウント値を受信する受信手段と、
    を具備し、
    前記制御手段は、前記暗号鍵情報としてのPTKと前記GTKカウント値とに基づいて算出されたKey MICおよび前記GTKカウント値をメッセージ3のEAPoL−Keyフレームに含めて送信する鍵配信制御装置。
  9. 鍵配信制御装置から配信を受けた暗号鍵情報を用いて通信端末装置と暗号通信を行う無線基地局装置であって、
    前記通信端末装置からの802.11i規格又はWPA規格の4ウェイハンドシェーク手順におけるメッセージ2およびメッセージ4を受信する受信手段と、
    前記メッセージ2又は前記メッセージ4を受信したときに、前記暗号鍵情報としてのGTKにより暗号化されたフレームを送信するときにカウントするGTKカウント値を前記鍵配信装置に送信する送信制御手段と、
    を具備する無線基地局装置。
  10. 通信端末装置と、無線基地局装置と、前記通信端末装置と前記無線基地局装置との間の通信にて使用する暗号鍵情報を配信する鍵配信制御装置とを有する通信システムであって、
    前記鍵配信制御装置は、既に送信した前記暗号鍵情報としてのGTKにより暗号化されたフレームを送信するときにカウントするGTKカウント値を802.11i規格又はWPA規格の4ウェイハンドシェーク手順におけるメッセージ2とともに受信する受信手段と、前記暗号鍵情報を生成し当該暗号鍵情報を前記無線基地装置に送信し、また、前記暗号鍵情報としてのPTKと前記GTKカウント値とに基づいて算出されたKey MICおよび前記GTKカウント値をメッセージ3のEAPoL−Keyフレームに含めて送信する制御手段と、を具備し、
    前記無線基地局装置は、前記通信端末装置からの前記4ウェイハンドシェーク手順におけるメッセージ2およびメッセージ4を受信する受信手段と、前記メッセージ2又は前記メッセージ4を受信したときに、前記GTKカウント値を前記鍵配信装置に送信する送信制御手段と、を具備する通信システム。
JP2007505966A 2005-03-04 2006-02-28 鍵配信制御装置、無線基地局装置および通信システム Expired - Fee Related JP4804454B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007505966A JP4804454B2 (ja) 2005-03-04 2006-02-28 鍵配信制御装置、無線基地局装置および通信システム

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
JP2005060517 2005-03-04
JP2005060517 2005-03-04
JP2005092199 2005-03-28
JP2005092199 2005-03-28
JP2007505966A JP4804454B2 (ja) 2005-03-04 2006-02-28 鍵配信制御装置、無線基地局装置および通信システム
PCT/JP2006/303780 WO2006093161A1 (ja) 2005-03-04 2006-02-28 鍵配信制御装置、無線基地局装置および通信システム

Publications (2)

Publication Number Publication Date
JPWO2006093161A1 JPWO2006093161A1 (ja) 2008-08-07
JP4804454B2 true JP4804454B2 (ja) 2011-11-02

Family

ID=36941190

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007505966A Expired - Fee Related JP4804454B2 (ja) 2005-03-04 2006-02-28 鍵配信制御装置、無線基地局装置および通信システム

Country Status (5)

Country Link
US (1) US7907734B2 (ja)
EP (1) EP1843508A1 (ja)
JP (1) JP4804454B2 (ja)
CN (1) CN101133592B (ja)
WO (1) WO2006093161A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016515369A (ja) * 2013-03-15 2016-05-26 クゥアルコム・インコーポレイテッドQualcomm Incorporated 中継器展開のための認証

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7606362B1 (en) * 2005-01-25 2009-10-20 Altera Corporation FPGA configuration bitstream encryption using modified key
US9106409B2 (en) * 2006-03-28 2015-08-11 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for handling keys used for encryption and integrity
US8010778B2 (en) * 2007-06-13 2011-08-30 Intel Corporation Apparatus and methods for negotiating a capability in establishing a peer-to-peer communication link
US20080313462A1 (en) * 2007-06-13 2008-12-18 Meiyuan Zhao Apparatus and method for deriving keys for securing peer links
GB2452251B (en) * 2007-08-21 2010-03-24 Motorola Inc Method and apparatus for authenticating a network device
US9198033B2 (en) * 2007-09-27 2015-11-24 Alcatel Lucent Method and apparatus for authenticating nodes in a wireless network
CN101159538A (zh) * 2007-11-16 2008-04-09 西安西电捷通无线网络通信有限公司 一种密钥管理方法
CN100566240C (zh) * 2007-11-16 2009-12-02 西安西电捷通无线网络通信有限公司 一种wapi单播密钥协商方法
CN101436930A (zh) 2007-11-16 2009-05-20 华为技术有限公司 一种密钥分发的方法、系统和设备
US20090136043A1 (en) * 2007-11-26 2009-05-28 Motorola, Inc. Method and apparatus for performing key management and key distribution in wireless networks
JP5328142B2 (ja) * 2007-12-05 2013-10-30 キヤノン株式会社 通信装置、通信装置の制御方法、コンピュータプログラム
JP5328141B2 (ja) * 2007-12-05 2013-10-30 キヤノン株式会社 通信装置、通信装置の制御方法、コンピュータプログラム
JP5270937B2 (ja) 2008-03-17 2013-08-21 キヤノン株式会社 通信装置及びその制御方法
JPWO2010007798A1 (ja) * 2008-07-18 2012-01-05 パナソニック株式会社 送受信装置
CA2758332C (en) * 2008-08-22 2017-08-22 Qualcomm Incorporated Method and apparatus for transmitting and receiving secure and non-secure data
US8060099B2 (en) * 2008-08-27 2011-11-15 Qualcomm Incorporated Inter-sector control channel transmission
CN101577905B (zh) 2009-02-27 2011-06-01 西安西电捷通无线网络通信股份有限公司 一种以分离mac模式实现会聚式wapi网络架构的方法
CN101577904B (zh) 2009-02-27 2011-04-06 西安西电捷通无线网络通信股份有限公司 以分离mac模式实现会聚式wapi网络架构的方法
CN101577978B (zh) * 2009-02-27 2011-02-16 西安西电捷通无线网络通信股份有限公司 一种以本地mac模式实现会聚式wapi网络架构的方法
JP5279693B2 (ja) * 2009-12-14 2013-09-04 キヤノン株式会社 通信装置、通信装置の制御方法、プログラム
EP2544121B1 (en) * 2010-03-03 2020-07-29 Panasonic Intellectual Property Management Co., Ltd. Controller embedded in recording medium device, recording medium device, recording medium device manufacturing system, and recording medium device manufacturing method
US8804957B2 (en) * 2010-03-29 2014-08-12 Nokia Corporation Authentication key generation arrangement
US9998545B2 (en) * 2011-04-02 2018-06-12 Open Invention Network, Llc System and method for improved handshake protocol
US8959607B2 (en) 2011-08-03 2015-02-17 Cisco Technology, Inc. Group key management and authentication schemes for mesh networks
US9439067B2 (en) 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication
CN103313242B (zh) * 2012-03-16 2018-06-12 中兴通讯股份有限公司 密钥的验证方法及装置
CN103391540B (zh) * 2012-05-08 2017-02-01 华为终端有限公司 密钥信息生成方法及系统、终端设备、接入网设备
CN103781065B (zh) * 2012-10-25 2018-09-07 华为终端有限公司 一种组密钥更新方法和相关装置及系统
US9326144B2 (en) * 2013-02-21 2016-04-26 Fortinet, Inc. Restricting broadcast and multicast traffic in a wireless network to a VLAN
US9699654B2 (en) 2014-11-05 2017-07-04 Qualcomm Incorporated Authenticating messages in a wireless communication
EP3332517B1 (en) * 2015-08-05 2024-05-15 Qualcomm Incorporated Deep packet inspection indication for a mobile cdn
EP3335399A4 (en) * 2015-08-11 2018-12-26 Qualcomm Incorporated Http-aware content caching
WO2017124442A1 (zh) * 2016-01-22 2017-07-27 华为技术有限公司 用于接入无线局域网络的方法、装置和系统
CN109451493B (zh) * 2018-11-30 2022-03-18 锐捷网络股份有限公司 基于wpa的密钥配置方法及装置
CN114567879A (zh) * 2022-02-16 2022-05-31 重庆九格慧科技有限公司 基于无线级联的密钥分发系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0434645A (ja) * 1990-05-30 1992-02-05 Matsushita Electric Ind Co Ltd 文書検索装置
JP2002124952A (ja) * 2000-10-12 2002-04-26 Furukawa Electric Co Ltd:The 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム
JP2004208073A (ja) * 2002-12-25 2004-07-22 Sony Corp 無線通信システム
JP2008530919A (ja) * 2005-02-21 2008-08-07 西安西▲電▼捷通▲無▼綫▲網▼絡通信有限公司 有線ネットワークおよび無線ネットワークに適したアクセス認証方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101541000B (zh) * 2002-10-11 2012-04-18 松下电器产业株式会社 用户识别信息保护方法、系统及移动终端和家乡域服务器
US20050152305A1 (en) * 2002-11-25 2005-07-14 Fujitsu Limited Apparatus, method, and medium for self-organizing multi-hop wireless access networks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0434645A (ja) * 1990-05-30 1992-02-05 Matsushita Electric Ind Co Ltd 文書検索装置
JP2002124952A (ja) * 2000-10-12 2002-04-26 Furukawa Electric Co Ltd:The 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム
JP2004208073A (ja) * 2002-12-25 2004-07-22 Sony Corp 無線通信システム
JP2008530919A (ja) * 2005-02-21 2008-08-07 西安西▲電▼捷通▲無▼綫▲網▼絡通信有限公司 有線ネットワークおよび無線ネットワークに適したアクセス認証方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016515369A (ja) * 2013-03-15 2016-05-26 クゥアルコム・インコーポレイテッドQualcomm Incorporated 中継器展開のための認証
JP2016518742A (ja) * 2013-03-15 2016-06-23 クゥアルコム・インコーポレイテッドQualcomm Incorporated 中継器展開のための認証
US9531543B2 (en) 2013-03-15 2016-12-27 Qualcomm Incorporated Authentication for relay deployment

Also Published As

Publication number Publication date
EP1843508A1 (en) 2007-10-10
CN101133592B (zh) 2011-09-21
WO2006093161A1 (ja) 2006-09-08
CN101133592A (zh) 2008-02-27
US20090052674A1 (en) 2009-02-26
JPWO2006093161A1 (ja) 2008-08-07
US7907734B2 (en) 2011-03-15

Similar Documents

Publication Publication Date Title
JP4804454B2 (ja) 鍵配信制御装置、無線基地局装置および通信システム
US9641494B2 (en) Method and apparatus for handling keys used for encryption and integrity
EP1972125B1 (en) Apparatus and method for protection of management frames
US8707045B2 (en) Method and apparatus for traffic count key management and key count management
EP2418883B1 (en) Wireless local area network terminal pre-authentication method and wireless local area network system
US8831227B2 (en) Method and system for establishing secure connection between stations
US20100091993A1 (en) Wireless communication device and encryption key updating method
US11228908B2 (en) Data transmission method and related device and system
JP5364796B2 (ja) 暗号情報送信端末
CN102106111A (zh) 导出和更新业务加密密钥的方法
CA2865069C (en) Method and device for rekeying in a radio network link layer encryption system
US20150229620A1 (en) Key management in machine type communication system
EP3331216A1 (en) Devices and method for mtc group key management
EP2515468A1 (en) Method and system for establishing security connection between switch equipments
KR20100092353A (ko) 트래픽 암호화 키 관리방법 및 장치
US8713317B2 (en) Method and system for encrypting data in a wireless communication system
JP7160443B2 (ja) 無線通信システム、サーバ、端末、無線通信方法、および、プログラム
CN110650476B (zh) 管理帧加密和解密
JP2010161448A (ja) 端末間ネゴシエーションにおける認証方法及びシステム
KR101717571B1 (ko) 무선 통신 시스템에서 데이터 암호화 방법 및 시스템
KR101053769B1 (ko) 휴대인터넷과 모바일 아이피브이식스를 연동하여 중복 연산을 제거하는 암호화 바인딩 프로토콜 제어방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110802

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110809

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140819

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees