JP5421926B2 - 無線マルチホップネットワークのための認証アクセス方法及び認証アクセスシステム - Google Patents

無線マルチホップネットワークのための認証アクセス方法及び認証アクセスシステム Download PDF

Info

Publication number
JP5421926B2
JP5421926B2 JP2010540019A JP2010540019A JP5421926B2 JP 5421926 B2 JP5421926 B2 JP 5421926B2 JP 2010540019 A JP2010540019 A JP 2010540019A JP 2010540019 A JP2010540019 A JP 2010540019A JP 5421926 B2 JP5421926 B2 JP 5421926B2
Authority
JP
Japan
Prior art keywords
key
authentication
coordinator
terminal device
query
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010540019A
Other languages
English (en)
Other versions
JP2011512699A5 (ja
JP2011512699A (ja
Inventor
シャオ、ユーレイ
カオ、ジュン
ライ、シャオロン
ファン、チェンハイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Publication of JP2011512699A publication Critical patent/JP2011512699A/ja
Publication of JP2011512699A5 publication Critical patent/JP2011512699A5/ja
Application granted granted Critical
Publication of JP5421926B2 publication Critical patent/JP5421926B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Description

本出願は、2007年12月29日に中国専利局に出願された、「Authentication access method applicable to wireless multi−hop network(無線マルチホップネットワークに適用可能な認証アクセス方法)」と題された、中国特許出願第200710307299.5号の優先権を主張するものであり、当該出願はその全体が参照により本明細書中に援用される。
本発明は、ネットワーク認証アクセス方法に関し、特に、無線マルチホップネットワークに適用可能な認証アクセス方法及びシステムに関する。
コンピュータネットワーク及びグローバルなモバイル通信技術の発展に伴い、ノートブックコンピュータ、携帯情報端末(PDA)、コンピュータ周辺機器、携帯電話、ページャ、家電機器などを含む、携帯型のデジタル処理端末装置は、人々の日常生活及び職場に欠かせないものとなった。全ての装置は、強力な処理能力と大きな記憶空間とを有し、それにより、パーソナルオペレーションスペース(POS)を形成する。しかし、現在のところ、情報は、一般に、ケーブル接続を介してそれらの装置間で交換されなければならず、従って、多くの不都合がもたらされており、人々がパーソナルオペレーションスペース内でそれらの端末装置を無線で接続して、端末装置間のモバイル及び自動相互通信を真に可能にすること(無線マルチホップネットワーク技術と呼ばれる)が、ますます所望されるようになっている。無線マルチホップネットワークにおいては、隣接していない端末装置間で通信されるデータは、マルチホップルートを介して送信されなければならない。
無線マルチホップネットワーク内には、端末装置、ルートコーディネータ、ネットワークコーディネータ、及び信頼できるセンター(trusted center)という、4つの役割を果たす装置が存在する。端末装置は、ネットワーク内の他の装置と通信することはできるが、他の装置のためにネットワーク上でデータを転送することはできず、すなわち、端末装置は、ルーティング機能を実行することはできない。端末装置の機能に加えて、ルートコーディネータは、ネットワーク内の他の装置のためにデータを転送することも担当し、すなわち、ルートコーディネータは、ルーティング機能を実行することができる。ネットワークコーディネータは、ネットワークビーコンの送信、ネットワークのセットアップ、ネットワークノードの管理、ネットワークノード情報の記憶、ノードペア間のルートメッセージのサーチ、及び継続的な情報の受信を担当し、ネットワーク内の他の装置のためにデータを転送することも可能である。すなわち、ネットワークコーディネータは、ルーティング機能を実行することができる。ネットワークコーディネータとルートコーディネータとは、集合的にコーディネータと呼ばれる場合がある。信頼できるセンターは、ネットワークの鍵管理センターであり、ネットワーク内の全ての装置に鍵情報を設定することを担当する。ネットワークコーディネータ、又は、ネットワークコーディネータによって指定された、ネットワーク内の別の装置が、信頼できるセンターとして働くことができる。図1A〜図1Cは、無線マルチホップネットワークによってサポートされる、スター構成(図1Aに示す)及びポイントツーポイントネットワーク(point−to−point network)という、2つのネットワークトポロジ構成を示し、ポイントツーポイントネットワークは、メッシュ構成(図1Bに示す)及びクラスタ構成(図1Cに示す)に更に分類することができる。
無線マルチホップネットワークのための、現在使用されているセキュリティ解決法は、以下の2つを含む。
第1のセキュリティ解決法は、自己組織化ネットワークの形態である。
装置は、最初に、無線マルチホップネットワークに接続され、次に、無線マルチホップネットワークから動的に鍵情報を、例えば、無線マルチホップネットワーク内の分散された認証局(CA)から取得されるIDベースの秘密鍵(アイデンティティベースの暗号法)を取得し、最後に、IDベースの公開鍵と秘密鍵とを、セキュアな通信のために使用する。
第2のセキュリティ解決法は、接続及びその後の認証の形態である。
例えば、IEEE802.15.4/ZigBeeにおけるように、最初に、装置が、無線マルチホップネットワークに接続され、次に、ネットワークコーディネータが、装置を認証し、最後に、装置が、協定されたセッション鍵を、セキュアな通信のために使用する。
第1のセキュリティ解決法では、正当な装置と不当な装置とを区別することなく、任意の装置が無線マルチホップネットワークのメンバーになることができ、これは明らかに安全ではない。第2のセキュリティ解決法では、装置が無線マルチホップネットワークに接続されるまで、ネットワークコーディネータは装置を認証しないため、任意の装置が、無線マルチホップネットワークに接続されて、ネットワークコーディネータがその装置をネットワークから除去する前に、ネットワーク内の別の装置と通信することが可能であり、従ってこれも安全ではなく、かつ、通信の浪費をもたらす。
本発明の目的は、従来技術における、無線マルチホップネットワークのための認証方法における、セキュリティ上の隠れた脅威に関する技術的問題に対処するための、無線マルチホップネットワークに適用可能な認証アクセス方法及びシステムを提供することである。
本発明の技術的解決法は、以下の通りである。
無線マルチホップネットワークに適用可能な認証アクセス方法は、
端末装置及びコーディネータの、非制御ポートと制御ポートとを規定し、ここで、非制御ポートは、認証プロトコルデータパケットと管理情報とを通過させ、制御ポートは、アプリケーションデータパケットを通過させ、
コーディネータが、コーディネータによってサポートされる認証及び鍵管理スイート(authentication and key management suites)を含むビーコンフレームをブロードキャストし、
端末装置が、コーディネータのビーコンフレームを受信すると、認証及び鍵管理スイートのうちの1つを選択し、次に、端末装置によって選択された認証及び鍵管理スイートを含む接続要求コマンドを、コーディネータに送信し、
コーディネータが、端末装置の接続要求コマンドを受信すると、端末装置についての認証プロセスを、端末装置によって選択された認証及び鍵管理スイートに従って実行し、認証が成功すると、制御ポートを開いて、無線マルチホップネットワークへの端末装置のアクセスを許可し、更に、接続応答コマンドを、端末装置に送信し、
端末装置が、コーディネータの接続応答コマンドを受信すると、制御ポートを開いて、それにより、無線マルチホップネットワークにアクセスすることを含む。
好ましくは、前述の技術的解決法において、認証及び鍵管理スイートは、事前共有鍵に基づく認証及び鍵管理スイートと、IDベースの認証及び鍵管理スイートとを含む。
好ましくは、前述の技術的解決法において、認証プロセスは、
A.コーディネータが、端末装置によって選択された認証及び鍵管理スイートがIDベースの認証及び鍵管理スイートであることを、端末装置から送信された接続要求コマンドから認識した場合、コーディネータの認証照会(authentication inquiry)を生成し、コーディネータの認証照会と、コーディネータの公開鍵とを含む認証起動を、端末装置に送信し、
B.端末装置が、認証起動を受信した後、コーディネータの公開鍵の有効性検査が合格した場合、端末装置の認証照会と、公開鍵失効クエリ(public key revocation query)の識別子と、端末装置の一時公開鍵とを生成し、そして、端末装置の認証照会と、コーディネータの認証照会と、端末装置の公開鍵と、公開鍵失効クエリの識別子と、端末装置の一時公開鍵と、上記の5つの情報項目についての端末装置のシグネチャとを含む認証要求を、コーディネータに送信し、
C.コーディネータが、認証要求を受信すると、認証要求のシグネチャを、正当性について検査し、コーディネータの認証照会を、一致性について検査し、端末装置の一時公開鍵を、有効性について検査し、検査が合格した場合、公開鍵失効クエリの識別子に従って、公開鍵失効クエリを実行するかどうかを判定し、公開鍵失効クエリが実行されない場合、コーディネータの一時公開鍵と、アクセス結果とを生成し、次に、コーディネータが、公開鍵失効クエリの識別子と、端末装置の認証照会と、コーディネータの一時公開鍵と、アクセス結果と、上記の4つの情報項目についてのコーディネータのシグネチャとを含む認証応答を、端末装置に送信し、次に、ステップGを実行するか、又は、公開鍵失効クエリが実行される場合、公開鍵失効クエリ要求を送信し、
D.信頼できるセンターが、公開鍵失効クエリ要求を受信すると、公開鍵失効クエリ要求の情報を検査し、次に、公開鍵失効クエリ応答を、コーディネータに送信し、
E.コーディネータが、公開鍵失効クエリ応答を受信すると、公開鍵失効クエリ応答の情報を検査し、次に、認証応答を、装置に送信し、そして更に、端末装置とコーディネータとの間のベース鍵を、端末装置の一時公開鍵と、コーディネータの一時秘密鍵とに従って生成し、
F.端末装置が、認証応答を受信すると、認証応答の情報を検査し、検査が失敗した場合、認証は失敗し、それ以外の場合、端末装置は、端末装置とコーディネータとの間のベース鍵を、端末装置の一時公開鍵と、コーディネータの一時秘密鍵とに従って生成し、そして、認証は成功し、
G.端末装置が、コーディネータからステップCにおいて送信された認証応答を受信すると、認証応答のシグネチャを、有効性について検査し、端末装置の認証照会を、一致性について検査し、アクセス結果を検査し、検査が失敗した場合、認証は失敗し、それ以外の場合、端末装置は、端末装置とコーディネータとの間のベース鍵を、端末装置の一時公開鍵と、コーディネータの一時秘密鍵とに従って生成し、そして、認証は成功することを含む。
好ましくは、前述の技術的解決法は、
端末装置が、コーディネータへの接続に成功すると、コーディネータとのユニキャスト鍵協定を実行することを更に含む。
好ましくは、前述の技術的解決法において、ユニキャスト鍵協定は、
ユニキャスト鍵が作成又は更新されることが必要とされる場合、コーディネータが、認証が成功すると、コーディネータのユニキャスト鍵協定照会を生成し、コーディネータのユニキャスト鍵協定照会を含むユニキャスト鍵協定要求を、端末装置に送信するステップと、
端末装置が、ユニキャスト鍵協定要求を受信すると、端末装置のユニキャスト鍵協定照会を生成し、端末装置とコーディネータとの間のユニキャスト鍵を、ベース鍵と、コーディネータのユニキャスト鍵協定照会と、端末装置のユニキャスト鍵協定照会とに従って生成し、次に、コーディネータのユニキャスト鍵協定照会と、端末装置のユニキャスト鍵協定照会と、メッセージ認証コードとを含むユニキャスト鍵協定応答を、コーディネータに送信し、ここで、メッセージ認証コードは、端末装置によって、コーディネータのユニキャスト鍵協定照会と、端末装置のユニキャスト鍵協定照会とに従って計算されるステップと、
コーディネータが、ユニキャスト鍵協定応答を受信すると、ユニキャスト鍵を、ベース鍵と、コーディネータのユニキャスト鍵協定照会と、端末装置のユニキャスト鍵協定照会とに従って計算し、次に、コーディネータのユニキャスト鍵協定照会を、一致性について検査し、端末装置のメッセージ認証コードを、有効性について検査し、検査が失敗した場合、ユニキャスト鍵協定は失敗し、それ以外の場合、コーディネータは、コーディネータのユニキャスト鍵協定照会と、端末装置のユニキャスト鍵協定照会について計算されたメッセージ認証コードとを含むユニキャスト鍵協定承認を、端末装置に送信するステップと、
端末装置が、ユニキャスト鍵協定承認を受信すると、端末装置のユニキャスト鍵協定照会を、一致性について検査し、コーディネータのメッセージ認証コードを、有効性について検査し、検査が失敗した場合、ユニキャスト鍵協定は失敗し、それ以外の場合、ユニキャスト鍵協定は成功するステップとにおいて実行される。
好ましくは、前述の技術的解決法において、認証プロセスは、
a.コーディネータが、端末装置によって選択された認証及び鍵管理スイートが事前共有鍵に基づく認証及び鍵管理スイートであることを、端末装置から送信された接続要求コマンドから認識した場合、コーディネータが、ローカルに記憶された、コーディネータと端末装置との間の事前共有鍵を拡張して、対応するベース鍵とし、コーディネータの事前共有鍵の認証照会を生成し、次に、コーディネータの事前共有鍵の認証照会を含む認証要求を、端末装置に送信し、
b.端末装置が、認証要求を受信すると、最初に、ローカルに記憶された、コーディネータと端末装置との間の事前共有鍵を拡張して、対応するベース鍵とし、端末装置の事前共有鍵の認証照会を生成し、端末装置とコーディネータとの間のユニキャスト鍵を、ベース鍵と、コーディネータの事前共有鍵の認証照会と、端末装置の事前共有鍵の認証照会とに従って生成し、次に、コーディネータの事前共有鍵の認証照会と、端末装置の事前共有鍵の認証照会と、メッセージ認証コードとを含む認証応答を、コーディネータに送信し、ここで、メッセージ認証コードは、コーディネータの事前共有鍵の認証照会と、端末装置の事前共有鍵の認証照会とから計算され、
c.コーディネータが、認証応答を受信すると、ユニキャスト鍵を、ステップaにおいて生成された、ベース鍵、及びコーディネータの事前共有鍵の認証照会と、端末装置の事前共有鍵の認証照会とから計算し、次に、コーディネータの事前共有鍵の認証照会を、一致性について検査し、端末装置のメッセージ認証コードを、有効性について検査し、検査が失敗した場合、認証は失敗し、それ以外の場合、コーディネータは、端末装置の事前共有鍵の認証照会と、端末装置の事前共有鍵の認証照会についてコーディネータによって計算されたメッセージ認証コードとを含む認証承認を、端末装置に送信し、
d.端末装置が、認証承認を受信すると、端末装置の事前共有鍵の認証照会を、一致性について検査し、コーディネータのメッセージ認証コードを、有効性について検査し、検査が失敗した場合、認証は失敗し、それ以外の場合、認証は成功することを含む。
好ましくは、前述の技術的解決法は、
端末装置が、コーディネータへの接続に成功すると、コーディネータとのユニキャスト鍵協定を実行することを更に含む。
好ましくは、前述の技術的解決法において、ユニキャスト鍵が作成又は更新されることが必要とされる場合、コーディネータは、ユニキャスト鍵協定が、装置についての認証が成功した後の初めてのユニキャスト鍵協定であるかどうかを判定し、そうである場合、ユニキャスト鍵協定のプロセスは、認証プロセスと同じであり、それ以外の場合、ユニキャスト鍵協定のプロセスは、IDベースの認証及び鍵管理スイートに基づくユニキャスト鍵協定プロセスと同じである。
好ましくは、前述の技術的解決法は、
コーディネータと端末装置とが、ユニキャスト鍵協定を完了すると、マルチキャスト鍵公開プロセスを実行することと、
ユニキャスト鍵協定が合格し、かつ、コーディネータが、端末装置とのマルチキャスト鍵協定を実行することが必要とされる場合、コーディネータが、端末装置とのマルチキャスト鍵公開プロセスを実行することとを更に含む。
好ましくは、前述の技術的解決法において、マルチキャスト鍵公開プロセスは、
マルチキャスト鍵が作成又は更新されることが必要とされる場合、コーディネータが、最初に、ユニキャスト鍵協定が成功すると、マルチキャスト鍵を、公開マスター鍵から計算し、次に、公開マスター鍵を、ユニキャスト鍵における暗号化鍵を使用して暗号化し、マルチキャスト鍵公開の識別子を生成し、最後に、マルチキャスト鍵公開の識別子と、暗号化されたマルチキャスト公開マスター鍵と、メッセージ認証コードとを含むマルチキャスト鍵公開を、端末装置に送信し、ここで、メッセージ認証コードは、コーディネータによって、マルチキャスト鍵公開の識別子と、暗号化されたマルチキャスト公開マスター鍵とから、マルチキャスト鍵における認証鍵を使用して計算され、
端末装置が、マルチキャスト鍵公開を受信すると、マルチキャスト鍵公開の識別子を検査し、公開マスター鍵からマルチキャスト鍵を計算し、次に、更に、コーディネータのメッセージ認証コードを、有効性について検査し、検査が合格した場合、マルチキャスト鍵公開の識別子と、メッセージ認証コードとを含むマルチキャスト鍵応答を、コーディネータに送信し、ここで、メッセージ認証コードは、端末装置によって、マルチキャスト鍵公開メッセージの識別子から、ローカルに生成されたマルチキャスト鍵における認証鍵を使用して計算され、
コーディネータが、マルチキャスト鍵応答を受信すると、マルチキャスト鍵公開の識別子を、一致性について検査し、端末装置のメッセージ認証コードを、有効性について検査し、検査が失敗した場合、マルチキャスト鍵協定は失敗し、それ以外の場合、マルチキャスト鍵協定は成功することを含む。
本発明の一実施形態は、端末装置と、コーディネータと、信頼できるセンターとを含む、無線マルチホップネットワークに適用可能な認証アクセスシステムを更に提供し、
端末装置及びコーディネータは、非制御ポートと制御ポートとを備え、ここで、非制御ポートは、認証プロトコルデータパケットと管理情報とを通過させ、制御ポートは、アプリケーションデータパケットを通過させ、
コーディネータは、コーディネータによってサポートされる認証及び鍵管理スイートを含むビーコンフレームをブロードキャストするように、そして、端末装置の接続要求コマンドを受信すると、端末装置と信頼できるセンターとについての認証プロセスを、端末装置によって選択された認証及び鍵管理スイートに従って実行するように(ここで、接続要求コマンドは、端末装置によって選択された認証及び鍵管理スイートを含む)、そして、認証が成功すると、制御ポートを開いて、無線マルチホップネットワークへの端末装置のアクセスを許可し、更に、接続応答コマンドを、端末装置に送信するように適合され、
端末装置は、コーディネータのビーコンフレームを受信すると、認証及び鍵管理スイートを選択し、次に、接続要求コマンドを、コーディネータに送信するように(ここで、接続要求コマンドは、端末装置によって選択された認証及び鍵管理スイートを含む)、そして、コーディネータの接続応答コマンドを受信すると、制御ポートを開いて、それにより、無線マルチホップネットワークにアクセスするように適合され、
信頼できるセンターは、コーディネータと端末装置との認証プロセスを容易にするように適合される。
前述の技術的解決法から明白なように、本発明の実施形態は、従来技術に優る以下の利点を提供する。
1.端末装置は、認証された後にのみ、コーディネータに接続されることが可能であり、それにより、無線マルチホップネットワークへの端末装置の認証アクセスが可能となる。端末装置は、コーディネータを認証して、その認証結果に従って、コーディネータに接続されるかどうかを判定することも可能である。従って、端末装置の、無線マルチホップネットワークへのアクセスの、セキュリティと性能とが向上する。
2.端末装置及びコーディネータの両方が、規定された非制御ポートと制御ポートとを有し、認証結果に従ってポートを制御し、それにより、ポートアクセス制御システムが形成され、かつ、無線マルチホップネットワークへの端末装置のアクセスのセキュリティが向上する。
3.端末装置とコーディネータとは、様々なセキュリティサービスのための、ユニキャスト鍵協定プロセスと、マルチキャスト鍵公開プロセスとを規定し、それにより、端末装置とコーディネータとの間の通信のセキュリティが保証される。
4.IDベースの認証及び鍵管理スイートの場合、3要素ピア認証プロトコルが使用され、これにより、信頼できるセンターは、端末装置とコーディネータとに公開鍵失効テーブルを提供して、端末装置とコーディネータとの双方向認証を可能にし、かつ、無線マルチホップネットワークへの端末装置のアクセスのセキュリティを向上させることができる。
5.IDベースの認証及び鍵管理スイートの場合、IDベースの公開鍵は、本質的に、失効によって特徴付けられ、かつ、長さが短く、従って、公開鍵失効クエリの数と、通信トラフィックとの両方が減少させられることが可能であり、それにより、無線マルチホップネットワークへの端末装置のアクセスの性能が向上する。
6.IDベースの認証及び鍵管理スイートの場合、信頼できるセンターからコーディネータに送信される情報は、コーディネータと信頼できるセンターとの、公開鍵及び秘密鍵のペアを使用して、相互作用なしに確立されることが可能な、セキュアチャネル上で移送され、それにより、コーディネータと信頼できるセンターとの間の鍵協定プロセスが不要となり、信頼できるセンターからコーディネータに送信される情報の複雑さが減少し、その結果、無線マルチホップネットワークへの端末装置のアクセスの性能が向上する。
本発明の実施形態における、又は従来技術における技術的解決法をより明確にするために、実施形態又は従来技術の説明のために使用される図面について、以下に簡単に説明する。明らかに、以下に説明する図面は、本発明のいくつかの実施形態の例示にすぎず、当業者は、それらの図面から、発明的努力をすることなしに、その他の図面を更に導き出すことが可能である。
図1A〜Cにおいて、無線マルチホップネットワークのネットワークトポロジの構成図である。コーディネータは「●」で示され、端末装置は「○」で示され、通信チャネルは「←→」で示され、Sは、ネットワークの信頼できるセンターとして働くネットワークコーディネータを表す。
スターネットワークトポロジの構成図である。 メッシュネットワークトポロジの構成図である。 クラスタネットワークトポロジの構成図である。 無線マルチホップネットワークの認証アクセスシステムの概略構成図であり、Aは、認証アクセスを要求している端末装置を表し、Bは、Aに関連付けられたコーディネータを表し、Sは、無線マルチホップネットワークの信頼できるセンターを表す。 本発明の方法における、IDベースの認証プロセスの概略図である。 本発明の方法における、IDベースのユニキャスト鍵協定プロセスの概略図である。 本発明の方法における、マルチキャスト鍵協定プロセスの概略図である。 本発明の方法における、事前共有鍵に基づく認証プロセスの概略図である。 本発明の方法における、IDベースの認証プロセスの概略フローチャートである。
本発明の実施形態における技術的解決法について、本発明の実施形態における図面を参照して、以下に明確かつ十分に説明する。説明する実施形態は、明らかに、本発明の実施形態の全てではなく一部にすぎない。本発明の実施形態に基づいて、発明的努力をすることなしに当業者に想到される、その他の任意の実施形態は、本発明の保護範囲内に入る。
本発明は、無線ローカルエリアネットワーク、無線メトロポリタンエリアネットワークなどを含む、特定のネットワークへの、WLAN認証プライバシーインフラストラクチャ(WAPI)(3要素ピア認証(TePA)に基づくアクセス制御方法)の方法の適用における、セキュアアプリケーションプロトコルに適用可能である。
無線マルチホップネットワークの認証アクセスシステムにおいて、認証は、端末装置と、端末装置に関連付けられたコーディネータとの間で、信用性を確立するという目的のため、及び、端末装置とコーディネータとの間のリンクを通過するデータを保護するという目的のために行われる。端末装置と、それに関連付けられたコーディネータとは、同じ管理ドメイン、すなわち無線マルチホップネットワークに属し、無線マルチホップネットワークの信頼できるセンターは、無線マルチホップネットワーク内の全ての装置を設定し、例えば、様々な認証及び鍵管理スイートのための鍵情報を設定する。
無線マルチホップネットワークの認証アクセスシステムにおいて、コーディネータは、ビーコンフレームをブロードキャストし、端末装置は、コーディネータのビーコンフレームから、コーディネータによってサポートされる認証及び鍵管理スイートを識別し、次に、コーディネータのビーコンフレーム内の認証及び鍵管理スイートがサポートされているかどうかを検査し、そして、端末装置が、認証及び鍵管理スイートのうちの1つをサポートし、かつ、この認証及び鍵管理スイートのための鍵情報を備えている場合、端末装置は、接続要求コマンドを、コーディネータに送信する。端末装置が、コーディネータのビーコンフレーム内の認証及び鍵管理スイートのうちの2つ以上をサポートし、かつ、これらの認証及び鍵管理スイートのための鍵情報を備えている場合、端末装置は、認証及び鍵管理スイートのうちの1つを選択し、次に、接続要求コマンドを、コーディネータに送信する。接続要求コマンドは、端末装置によって選択された認証及び鍵管理スイートを含む。
端末装置の接続要求コマンドを受信すると、コーディネータは、端末装置についての認証プロセスを、端末装置によって選択された認証及び鍵管理スイートに従って実行し、次に、接続応答コマンドを、端末装置に送信する。認証が成功すると、コーディネータは、端末装置に、無線マルチホップネットワークへのアクセスを提供し、更に、何らかのアクセス情報(例えば、割り当てられたネットワークアドレスなど)を含む接続応答コマンドを送信する。認証が成功し、コーディネータが、端末装置とのユニキャスト鍵協定を実行することが必要とされる場合、コーディネータと端末装置とは、ユニキャスト鍵協定プロセスを実行する。ユニキャスト鍵協定が合格し、コーディネータが、端末装置とのマルチキャスト鍵協定を実行することが必要とされる場合、コーディネータと端末装置とは、マルチキャスト鍵公開プロセスを実行する。
端末装置は、コーディネータから送信された接続応答コマンドを、コーディネータについての認証プロセスを実行した後で受信し、そして、コーディネータの接続応答コマンドを受信すると、端末装置は、コーディネータについての端末装置の認証が成功し、かつ、コーディネータから送信された接続応答コマンドが何らかのアクセス情報を含む場合、コーディネータに接続され、従って、無線マルチホップネットワークにアクセスする。端末装置が、コーディネータから送信されたユニキャスト鍵協定要求コマンドを、ネットワークにアクセスした後で受信した場合、端末装置とコーディネータとは、ユニキャスト鍵協定プロセスを実行する。ユニキャスト鍵協定プロセスが正常に完了した後で、端末装置が、コーディネータから送信されたマルチキャスト鍵公開要求コマンドを受信した場合、端末装置とコーディネータとは、マルチキャスト鍵公開プロセスを実行する。
端末装置及びコーディネータの両方が、規定された非制御ポートと制御ポートとを有し、かつ、ポートを制御することが可能である。非制御ポートは、認証が成功する前に、認証プロトコルデータパケットと管理情報とのみを通過させることが可能であり、制御ポートは、アプリケーションデータパケットを通過させることが可能である。端末装置とコーディネータとは、認証が成功する前は、非制御ポートを介して通信することのみが可能であり、認証の実行が成功した場合に限り、制御ポートを通信のために開
図2は、無線マルチホップネットワークの認証アクセスシステムを示し、Aは、認証アクセスを要求している端末装置を表し、Bは、Aに関連付けられたコーディネータを表し、Sは、無線マルチホップネットワークの信頼できるセンターを表し、AとBとの両方は、Sによって設定された鍵情報を有することが必要とされ、実線は、認証アクセス状態を表し、点線は、認証アクセスが必要とされる状態を表す。
前述の認証及び鍵管理スイートは、事前共有鍵に基づく認証及び鍵管理スイートと、IDベースの認証及び鍵管理スイートとを含んでもよい。事前共有鍵は、3つのカテゴリに分類されてもよく、事前共有鍵の第1のカテゴリは、無線マルチホップネットワーク全体を通して共有されるマスター鍵を意味し、事前共有鍵の第2のカテゴリは、無線マルチホップネットワーク内の装置と信頼できるセンターとの間で共有されるマスター鍵を意味し、事前共有鍵の第3のカテゴリは、無線マルチホップネットワーク内の装置間のマスター鍵を意味する。
この認証アクセス方法は、LR−WPAN、HR−WPAN、及びWSNに適用可能であってもよく、それらは全て、無線マルチホップネットワークのそのようなトポロジ構成をサポートする。
認証及び鍵管理スイートが、IDベースの認証及び鍵管理スイートである場合の、特定の認証プロセスを、図3を参照して以下に示す。認証プロセスの概略フローチャートは、図7に示す通りである。
ステップ1:コーディネータは、端末装置によって選択された認証及び鍵管理スイートがIDベースの認証及び鍵管理スイートであることを、端末装置から送信された接続要求コマンドから認識した場合、以下のプロセスを実行する。
(a)コーディネータの認証照会N(チャレンジワード、乱数などとも呼ばれる)が、乱数発生器を使用して生成される。
(b)コーディネータの認証照会Nと、コーディネータの識別子IDと、コーディネータの公開鍵の有効期限(period of validity)TLC−PKとが、端末装置に送信される。
ステップ2:端末装置は、コーディネータからステップ1において送信された情報を受信すると、以下のプロセスを実行する。
(a)コーディネータの公開鍵の有効期限TLC−PKが検査され、期限切れの場合、情報は廃棄され、それ以外の場合、端末装置の認証照会Nが、乱数発生器を使用して生成される。
(b)ECDH交換のための一時秘密鍵xと一時公開鍵x・Pとが、予めインストールされたECCドメインパラメータPECCから生成される。
(c)端末装置が、コーディネータの公開鍵PKID−Cの失効クエリを要求する場合、端末装置は、公開鍵失効クエリの識別子QFPKのビット0を1に設定し、それ以外の場合、そのビットを0に設定する。
(d)端末装置は、端末装置の秘密鍵SKID−Tを使用して、公開鍵失効クエリの識別子QFPKと、コーディネータの認証照会Nと、端末装置の認証照会Nと、一時公開鍵x・Pと、コーディネータの識別子IDと、端末装置の識別子IDと、コーディネータの公開鍵の有効期限TLT−PKとについてのシグネチャ計算を実行して、端末装置の認証要求のシグネチャSigを生成する。
(e)公開鍵失効クエリの識別子QFPKと、コーディネータの認証照会Nと、端末装置の認証照会Nと、端末装置の一時公開鍵x・Pと、コーディネータの識別子IDと、端末装置の公開鍵PKID−T内の最後の2つのフィールドと、端末装置によって生成された、端末装置の認証要求のシグネチャSigとが、コーディネータに送信される。
ステップ3:コーディネータは、端末装置からステップ2において送信された情報を受信すると、以下のプロセスを実行する。
(a)コーディネータの認証照会N及びコーディネータの識別子IDが、ステップ1において送信された対応する値との一致性について検査され、それらが一致していない場合、情報は廃棄される。
(b)端末装置の公開鍵の有効期限TLT−PKが検査され、期限切れの場合、情報は廃棄される。
(c)端末装置の公開鍵PKID−T内の最後の2つのフィールドと、無線マルチホップネットワーク内の信頼できるセンターのCA証明書のボディアイデンティティIDS−CAと、無線マルチホップネットワークの識別子IDNetとが連結されて、端末装置の公開鍵PKID−Tとされ、次に、端末装置の認証要求のシグネチャSigが、端末装置の公開鍵PKID−Tと、予めインストールされたアイデンティティベースの公開パラメータPIDとを使用して検査され、シグネチャの検査が失敗した場合、情報は廃棄される。
(d)公開鍵失効クエリの識別子QFPKのビット0が調べられ、ビット0が1である場合、プロセスは操作(e)に進み、それ以外の場合、プロセスは操作(f)に進む。
(e)コーディネータの公開鍵失効クエリ照会Nが、乱数生成アルゴリズムにおいて生成される。コーディネータが、端末装置の公開鍵PKID−Tの失効クエリも要求する場合、コーディネータは、公開鍵失効クエリの識別子QFPKのビット1を1に設定して、公開鍵失効クエリの識別子QFPKと、端末装置の認証照会Nと、コーディネータの公開鍵失効クエリ照会Nと、端末装置の識別子IDと、端末装置の公開鍵の有効期限TLT−PKと、コーディネータの識別子IDと、コーディネータの公開鍵の有効期限TLC−PKとを、信頼できるセンターに送信し、それ以外の場合、コーディネータは、公開鍵失効クエリの識別子QFPKのビット1を0に設定して、公開鍵失効クエリの識別子QFPKと、端末装置の認証照会Nと、コーディネータの公開鍵失効クエリ照会Nと、コーディネータの識別子IDと、コーディネータの公開鍵の有効期限TLC−PKとを、信頼できるセンターに送信する。
(f)コーディネータが、端末装置の公開鍵PKID−Tの失効クエリを要求する場合、コーディネータは、公開鍵失効クエリの識別子QFPKのビット1を1に設定し、コーディネータの公開鍵失効クエリ照会Nを、乱数生成アルゴリズムにおいて生成し、公開鍵失効クエリの識別子QFPKと、コーディネータの公開鍵失効クエリ照会Nと、端末装置の識別子IDと、端末装置の公開鍵の有効期限TLT−PKとを、信頼できるセンターに送信し、それ以外の場合、コーディネータは、公開鍵失効クエリの識別子QFPKのビット1を0に設定し、ECDH交換のための一時秘密鍵yと一時公開鍵y・Pとを、予めインストールされたECCドメインパラメータPECCを使用して生成し、コーディネータ自体の一時秘密鍵yと、端末装置からステップ2において送信された一時公開鍵x・Pとを使用してECDH計算を実行して、マスター鍵シード(x・y・P)abscissaを導き出し、マスター鍵シードは、KD−HMAC−SHA256((x・y・P)abscissa,N||N||“base key expansion for key and additional nonce”)を介して拡張されて、端末装置とコーディネータとの間のベース鍵BKとされ、アクセス結果Reを生成し、コーディネータの秘密鍵SKID−Cを使用して、公開鍵失効クエリの識別子QFPKと、端末装置の認証照会Nと、一時公開鍵y・Pと、端末装置の識別子IDと、アクセス結果Reとについてのシグネチャ計算を実行して、コーディネータの認証応答のシグネチャSigを生成し、公開鍵失効クエリの識別子QFPKと、端末装置の認証照会Nと、一時公開鍵y・Pと、端末装置の識別子IDと、アクセス結果Reと、コーディネータによって生成された、コーディネータの認証応答のシグネチャSigとを、端末装置に送信し、次に、プロセスはステップ6に進む。
ステップ4:信頼できるセンターは、コーディネータからステップ3において送信された情報を受信すると、以下のプロセスを実行する。
(a)公開鍵失効クエリの識別子QFPKのビット0とビット1とが調べられ、ビット0とビット1との両方が1である場合、プロセスは操作(b)に進み、ビット0が0であり、ビット1が0である場合、プロセスは操作(c)に進み、又は、ビット0が0であり、ビット1が1である場合、プロセスは操作(d)に進む。
(b)無線マルチホップネットワーク内の信頼できるセンターのCA証明書のボディアイデンティティIDS−CAと、無線マルチホップネットワークの識別子IDNetと、端末装置の識別子IDと、端末装置の公開鍵の有効期限TLT−PKとが連結されて、端末装置の公開鍵PKID−Tとされ、無線マルチホップネットワーク内の信頼できるセンターのCA証明書のボディアイデンティティIDS−CAと、無線マルチホップネットワークの識別子IDNetと、コーディネータの識別子IDと、コーディネータの公開鍵の有効期限TLC−PKとが連結されて、コーディネータの公開鍵PKID−Cとされ、次に、信頼できるセンター内の、無線マルチホップネットワークのIDベースの公開鍵失効テーブルがサーチされ、端末装置の公開鍵失効結果Reと、コーディネータの公開鍵失効クエリの結果ResultC−PKとが生成され、信頼できるセンターの秘密鍵SKID−Sが使用されて、コーディネータの公開鍵失効クエリの結果ResultC−PKについてのシグネチャ計算が実行されて、公開鍵失効クエリのシグネチャSigが生成され、公開鍵失効クエリの識別子QFPKと、コーディネータの公開鍵失効クエリ照会Nと、端末装置の公開鍵失効結果Reと、コーディネータの公開鍵失効クエリの結果ResultC−PKと、公開鍵失効クエリのシグネチャSigとが、コーディネータに送信される。コーディネータの公開鍵失効クエリの結果ResultC−PKは、端末装置の認証照会Nと、コーディネータの公開鍵失効結果Reと、コーディネータの識別子IDと、コーディネータの公開鍵の有効期限TLC−PKとから構成される。
(c)無線マルチホップネットワーク内の信頼できるセンターのCA証明書のボディアイデンティティIDS−CAと、無線マルチホップネットワークの識別子IDNetと、コーディネータの識別子IDと、コーディネータの公開鍵の有効期限TLC−PKとが連結されて、コーディネータの公開鍵PKID−Cとされ、次に、信頼できるセンター内の、無線マルチホップネットワークのアイデンティティベースの公開鍵失効テーブルがサーチされ、コーディネータの公開鍵失効クエリの結果ResultC−PKが生成され、信頼できるセンターの秘密鍵SKID−Sが使用されて、コーディネータの公開鍵失効クエリの結果ResultC−PKについてのシグネチャ計算が実行されて、公開鍵失効クエリのシグネチャSigが生成され、公開鍵失効クエリの識別子QFPKと、コーディネータの公開鍵失効クエリ照会Nと、コーディネータの公開鍵失効クエリの結果ResultC−PKと、公開鍵失効クエリのシグネチャSigとが、コーディネータに送信される。
(d)無線マルチホップネットワーク内の信頼できるセンターのCA証明書のボディアイデンティティIDS−CAと、無線マルチホップネットワークの識別子IDNetと、端末装置の識別子IDと、端末装置の公開鍵の有効期限TLT−PKとが連結されて、端末装置の公開鍵PKID−Tとされ、次に、信頼できるセンター内の、無線マルチホップネットワークのアイデンティティベースの公開鍵失効テーブルがサーチされ、端末装置の公開鍵失効結果Reが生成され、公開鍵失効クエリの識別子QFPKと、コーディネータの公開鍵失効クエリ照会Nと、端末装置の公開鍵失効結果Reとが、コーディネータに送信される。
信頼できるセンターからコーディネータに送信される情報は、コーディネータと信頼できるセンターとの間で、コーディネータと信頼できるセンターとによって相互作用なしに確立されることが可能なセキュアチャネル上で、送信され、例えば、コーディネータは、コーディネータ自体の秘密鍵と、信頼できるセンターの公開鍵とを使用して、セッション鍵を生成し、信頼できるセンターは、信頼できるセンター自体の秘密鍵と、コーディネータの公開鍵とを使用して、セッション鍵を生成する。
ステップ5:コーディネータは、信頼できるセンターからステップ4において送信された情報を受信すると、以下のプロセスを実行する。
(a)公開鍵失効クエリの識別子QFPK及びコーディネータの公開鍵失効クエリ照会Nが、コーディネータからステップ3において送信された対応する値との一致性について検査され、それらが一致していない場合、情報は廃棄され、それ以外の場合、公開鍵失効クエリの識別子QFPKのビット0とビット1とが調べられ、ビット0とビット1との両方が1である場合、プロセスはステップ(b)に進み、ビット0が1であり、ビット1が0である場合、プロセスは操作(c)に進み、ビット0が0であり、ビット1が1である場合、プロセスは操作(d)に進む。
(b)端末装置の公開鍵失効結果Reが検査される。端末装置の公開鍵PKID−Tが失効している場合、認証プロセスは終了させられ、それ以外の場合、操作(e)を実行した後で、コーディネータは、コーディネータの秘密鍵SKID−Cを使用して、公開鍵失効クエリの識別子QFPKと、端末装置の認証照会Nと、一時公開鍵y・Pと、端末装置の識別子IDと、アクセス結果Reと、コーディネータの公開鍵失効クエリの結果ResultC−PKと、公開鍵失効クエリのシグネチャSigとについてのシグネチャ計算を実行して、コーディネータの認証応答のシグネチャSigを生成し、公開鍵失効クエリの識別子QFPKと、端末装置の認証照会Nと、コーディネータの一時公開鍵y・Pと、端末装置の識別子IDと、アクセス結果Reと、コーディネータの公開鍵失効クエリの結果ResultC−PKと、公開鍵失効クエリのシグネチャSigと、コーディネータの認証応答のシグネチャSigとを、端末装置に送信する。
(c)操作(e)を実行した後で、コーディネータは、コーディネータの秘密鍵SKID−Cを使用して、公開鍵失効クエリの識別子QFPKと、端末装置の認証照会Nと、一時公開鍵y・Pと、端末装置の識別子IDと、アクセス結果Reと、コーディネータの公開鍵失効クエリの結果ResultC−PKと、公開鍵失効クエリのシグネチャSigとについてのシグネチャ計算を実行して、コーディネータの認証応答のシグネチャSigを生成し、公開鍵失効クエリの識別子QFPKと、端末装置の認証照会Nと、一時公開鍵y・Pと、端末装置の識別子IDと、アクセス結果Reと、コーディネータの公開鍵失効クエリの結果ResultC−PKと、公開鍵失効クエリのシグネチャSigと、コーディネータの認証応答のシグネチャSigとを、端末装置に送信する。
(d)端末装置の公開鍵失効結果Reが検査される。端末装置の公開鍵PKID−Tが失効している場合、認証プロセスは終了させられ、それ以外の場合、操作(e)を実行した後で、コーディネータは、コーディネータの秘密鍵SKID−Cを使用して、公開鍵失効クエリの識別子QFPKと、端末装置の認証照会Nと、一時公開鍵y・Pと、端末装置の識別子IDと、アクセス結果Reとについてのシグネチャ計算を実行して、コーディネータの認証応答のシグネチャSigを生成し、公開鍵失効クエリの識別子QFPKと、端末装置の認証照会Nと、一時公開鍵y・Pと、端末装置の識別子IDと、アクセス結果Reと、コーディネータの認証応答のシグネチャSigとを、端末装置に送信する。
(e)ECDH交換のための一時秘密鍵yと一時公開鍵y・Pとが、予めインストールされたECCドメインパラメータPECCを使用して生成され、コーディネータ自体の一時秘密鍵yと、端末装置からステップ2において送信された一時公開鍵x・Pとが使用されてECDH計算が実行されて、マスター鍵シード(x・y・P)abscissaが導き出され、マスター鍵シードは、KD−HMAC−SHA256((x・y・P)abscissa,N||N||“base key expansion for key and additional nonce”)を介して拡張されて、端末装置とコーディネータとの間のベース鍵BKとされ、更に、アクセス結果Reが生成される。
ステップ6:端末装置は、コーディネータからステップ3又はステップ5において送信された情報を受信すると、以下のプロセスを実行する。
(a)端末装置の認証照会N、端末装置の識別子ID、及び公開鍵失効クエリの識別子QFPKが、端末装置からステップ2において送信された対応する値との一致性について検査され、それらが一致していない場合、情報は廃棄される。
(b)無線マルチホップネットワーク内の信頼できるセンターのCA証明書のボディアイデンティティIDS−CAと、無線マルチホップネットワークの識別子IDNetと、コーディネータの識別子IDと、コーディネータの公開鍵の有効期限TLC−PKとが連結されて、コーディネータの公開鍵PKID−Cとされ、コーディネータの認証応答のシグネチャSigが、コーディネータの公開鍵PKID−Cと、予めインストールされたアイデンティティベースの公開パラメータPIDとを使用して検査され、シグネチャの検査が失敗した場合、情報は廃棄される。
(c)公開鍵失効クエリの識別子QFPKのビット0が1である場合、プロセスは操作(d)に進み、それ以外の場合、プロセスはステップ(e)に進む。
(d)公開鍵失効クエリのシグネチャSigが、信頼できるセンターの公開鍵PKID−Sと、予めインストールされたアイデンティティベースの公開パラメータPIDとを使用して検査され、シグネチャの検査が失敗した場合、情報は廃棄され、それ以外の場合、コーディネータの公開鍵失効クエリの結果ResultC−PK内の、端末装置の認証照会Nと、コーディネータの識別子IDと、コーディネータの公開鍵の有効期限TLC−PKとが、一致性について検査され、更に、コーディネータの公開鍵失効結果Reが検査される。一致性が満足され、コーディネータの公開鍵が失効していない場合、プロセスは操作(e)に進み、それ以外の場合、情報は廃棄される。
(e)端末装置は、端末装置自体の一時秘密鍵xと、コーディネータの一時公開鍵y・Pとを使用してECDH演算を実行して、マスター鍵シード(x・y・P)abscissaを導き出し、マスター鍵シードは、KD−HMAC−SHA256((x・y・P)abscissa,N||N||“base key expansion for key and additional nonce”)を介して拡張されて、端末装置とコーディネータとの間のベース鍵BKとされる。
認証及び鍵管理スイートが、IDベースの認証及び鍵管理スイートである場合、ユニキャスト鍵協定の特定のプロセスは、図4に示すように、以下のように実施される。
ステップ1:認証が成功すると、コーディネータは、以下のプロセスを実行して、ユニキャスト鍵を作成又は更新する。
コーディネータは、コーディネータのユニキャスト鍵協定照会Nを、乱数発生器を使用して生成し、コーディネータのユニキャスト鍵協定照会Nを、端末装置に送信する。
ステップ2:端末装置は、コーディネータからステップ1において送信された情報を受信すると、以下のプロセスを実行する。
(a)端末装置とコーディネータとのMACアドレスが連結されて、端末装置とコーディネータとのMACアドレスの連結値ADDIDとされる。
(b)端末装置は、端末装置のユニキャスト鍵協定照会Nを、乱数発生器を使用して生成し、次に、KD−HMAC−SHA256(BK,ADDID||N||N||“pairwise key expansion for unicast and additional keys and nonce”)を計算して、ユニキャスト暗号化鍵UEKと、ユニキャストインテグリティチェック鍵UCKと、ユニキャストメッセージ認証鍵UMAKとを生成する。BKは、認証中に生成される、端末装置とコーディネータとの間のベース鍵BKである。
(c)ユニキャストメッセージ認証鍵UMAKが使用されて、コーディネータのユニキャスト鍵協定照会Nと、端末装置のユニキャスト鍵協定照会Nとについてのメッセージ認証コード計算が、HMAC−SHA256アルゴリズムにおいて実行されて、ユニキャスト鍵協定における端末装置のメッセージ認証コードHMACTUが生成され、次に、コーディネータのユニキャスト鍵協定照会Nと、端末装置のユニキャスト鍵協定照会Nと、ユニキャスト鍵協定における端末装置のメッセージ認証コードHMACTUとが、コーディネータに送信される。
ステップ3:コーディネータは、端末装置からステップ2において送信された情報を受信すると、以下のプロセスを実行する。
(a)コーディネータのユニキャスト鍵協定照会Nが、一致性について検査され、一致していない場合、情報は廃棄される。
(b)端末装置とコーディネータとのMACアドレスが連結されて、端末装置とコーディネータとのMACアドレスの連結値とされる。
(c)KD−HMAC−SHA256(BK,ADDID||N||N||“pairwise key expansion for unicast and additional keys and nonce”)が計算されて、ユニキャスト暗号化鍵UEKと、ユニキャストインテグリティチェック鍵UCKと、ユニキャストメッセージ認証鍵UMAKとが生成される。BKは、認証中に生成される、端末装置とコーディネータとの間のベース鍵BKである。生成されたユニキャストメッセージ認証鍵UMAKが使用されて、コーディネータのユニキャスト鍵協定照会Nと、端末装置のユニキャスト鍵協定照会Nとのメッセージ認証コードが、HMAC−SHA256アルゴリズムにおいてローカルに計算され、メッセージ認証コードは、受信された情報内の、ユニキャスト鍵協定における端末装置のメッセージ認証コードHMACTUと比較され、それらが同一である場合、プロセスは操作(d)を実行し、それ以外の場合、情報は廃棄される。
(d)コーディネータによって生成されたユニキャストメッセージ認証鍵UMAKが使用されて、端末装置のユニキャスト鍵協定照会Nについてのメッセージ認証コード計算が、HMAC−SHA256アルゴリズムにおいて実行されて、ユニキャスト鍵協定におけるコーディネータのメッセージ認証コードHMACCUが生成され、次に、端末装置のユニキャスト鍵協定照会Nと、ユニキャスト鍵協定におけるコーディネータのメッセージ認証コードHMACCUとが、端末装置に送信される。
ステップ4:端末装置は、コーディネータからステップ3において送信された情報を受信すると、以下のプロセスを実行する。
(a)端末装置のユニキャスト鍵協定照会Nが、一致性について検査され、一致していない場合、情報は廃棄される。
(b)ローカルに生成されたユニキャストメッセージ認証鍵UMAKが使用されて、端末装置のユニキャスト鍵協定照会Nのメッセージ認証コードが、HMAC−SHA256アルゴリズムにおいてローカルに計算され、メッセージ認証コードは、受信された情報内の、ユニキャスト鍵協定におけるコーディネータのメッセージ認証コードHMACCUと比較され、それらが同一である場合、ユニキャスト鍵協定は成功し、それ以外の場合、情報は廃棄される。
認証及び鍵管理スイートが、IDベースの認証及び鍵管理スイートである場合、マルチキャスト鍵協定の特定のプロセスは、図5に示すように、以下のように実施される。
ステップ1:ユニキャスト鍵協定が成功すると、コーディネータは、以下のプロセスを実行して、マルチキャスト鍵を作成又は更新する。
(a)マルチキャスト鍵公開識別子Nと、マルチキャスト公開マスター鍵NMKとが、乱数発生器を使用して生成される。
(b)マルチキャスト公開マスター鍵NMKが、コーディネータと端末装置との間のユニキャスト暗号化鍵UEKを使用して暗号化される。
(c)コーディネータと端末装置との間のユニキャストメッセージ認証鍵UMAKが使用されて、マルチキャスト鍵公開識別子Nと、暗号化されたマルチキャスト公開マスター鍵NMKとについてのメッセージ認証コード計算が、HMAC−SHA256アルゴリズムにおいて実行されて、マルチキャスト鍵協定におけるコーディネータのメッセージ認証コードHMACCMが導き出され、ここで、マルチキャスト鍵公開識別子Nは、初期値を有する整数であり、それぞれの鍵更新公開があり次第、1だけインクリメントされるが、アナウンスされる鍵が変更されていない場合は変化しない。
(d)マルチキャスト鍵公開識別子Nと、暗号化されたマルチキャスト公開マスター鍵NMKと、マルチキャスト鍵協定におけるコーディネータのメッセージ認証コードHMACCMとが、端末装置に送信される。
ステップ2:端末装置は、コーディネータからステップ1において送信された情報を受信すると、以下のプロセスを実行する。
(a)コーディネータと端末装置との間のユニキャストメッセージ認証鍵UMAKが使用されて、マルチキャスト鍵公開識別子Nと、暗号化されたマルチキャスト公開マスター鍵NMKとのメッセージ認証コードが、HMAC−SHA256アルゴリズムにおいてローカルに計算され、メッセージ認証コードは、受信された情報内の、マルチキャスト鍵協定におけるコーディネータのメッセージ認証コードHMACCMと比較され、それらが異なっている場合、情報は廃棄される。
(b)マルチキャスト鍵公開識別子Nが単調にインクリメントされているかどうかが調べられ、そうでない場合、情報は廃棄される。
(c)暗号化されたマルチキャスト公開マスター鍵NMKが、コーディネータと端末装置との間のユニキャスト暗号化鍵UEKを使用して復号されて、マルチキャスト公開マスター鍵NMKとされ、マルチキャスト公開マスター鍵NMKは、KD−HMAC−SHA256アルゴリズムにおいて拡張されて、マルチキャスト暗号化鍵MEKと、マルチキャストインテグリティチェック鍵MCKとが生成される。
(d)コーディネータと端末装置との間のユニキャストメッセージ認証鍵UMAKが使用されて、マルチキャスト鍵公開識別子Nについてのメッセージ認証コード計算が、HMAC−SHA256アルゴリズムにおいて実行されて、マルチキャスト鍵協定における端末装置のメッセージ認証コードHMACTMが導き出される。
(e)マルチキャスト鍵公開識別子Nと、マルチキャスト鍵協定における端末装置のメッセージ認証コードHMACTMとが、コーディネータに送信される。
ステップ3:コーディネータは、端末装置からステップ2において送信された情報を受信すると、以下のプロセスを実行する。
(a)コーディネータと端末装置との間のユニキャストメッセージ認証鍵UMAKが使用されて、マルチキャスト鍵公開識別子Nのメッセージ認証コードが、HMAC−SHA256アルゴリズムにおいてローカルに計算され、メッセージ認証コードは、受信された情報内の、マルチキャスト鍵協定における端末装置のメッセージ認証コードHMACTMと比較され、それらが異なっている場合、情報は廃棄される。
(b)マルチキャスト鍵公開識別子Nが、コーディネータからステップ1において送信された対応する値と比較され、それらが同一である場合、現在のマルチキャスト鍵協定は成功し、それ以外の場合、情報は廃棄される。
(c)生成されたマルチキャスト公開マスター鍵NMKが、KD−HMAC−SHA256アルゴリズムにおいて拡張されて、マルチキャスト暗号化鍵MEKと、マルチキャストインテグリティチェック鍵MCKとが生成される。
端末装置の認証アクセス時に、端末装置と信頼できるセンターとは、公開鍵と秘密鍵とを使用して、IDベースの鍵共有のためのセキュアチャネルを、相互作用なしに確立する。端末装置が、コーディネータとして認証アクセスを実行する場合、確立されるセキュアチャネルは、認証中に、ネゴシエータと信頼できるセンターとの間の通信も保護することが可能である。
認証及び鍵管理スイートが、事前共有鍵に基づく認証及び鍵管理スイートである場合、特定の認証プロセスは、図6に示すように、以下のように実施される。
ステップ1:コーディネータが、端末装置によって選択された認証及び鍵管理スイートが事前共有鍵に基づく認証及び鍵管理スイートであることと、事前共有鍵のカテゴリとを、端末装置から送信された接続要求コマンドから認識した場合、コーディネータは、以下のプロセスを実行する。
コーディネータは、ローカルに記憶された、コーディネータと端末装置との間の共有鍵を、KD−HMAC−SHA256において拡張して、対応するベース鍵BKとし、次に、コーディネータの事前共有鍵の認証照会Nを、乱数発生器を使用して生成し、コーディネータの事前共有鍵の認証照会Nを、端末装置に送信する。事前共有鍵が第1及び第2のカテゴリのものである場合、上記で使用される、ローカルに記憶された、コーディネータと端末装置との間の共有鍵は、事前共有鍵の第1のカテゴリのものであり、それ以外の場合、それは、事前共有鍵の第3のカテゴリのものである。
ステップ2:端末装置は、コーディネータからステップ1において送信された情報を受信すると、以下のプロセスを実行する。
(a)端末装置は、ローカルに記憶された、端末装置とコーディネータとの間の共有鍵を、KD−HMAC−SHA256において拡張して、対応するベース鍵BKとする。事前共有鍵が第1及び第2のカテゴリのものである場合、上記で使用される、ローカルに記憶された、コーディネータと端末装置との間の共有鍵は、事前共有鍵の第1のカテゴリのものであり、それ以外の場合、それは、事前共有鍵の第3のカテゴリのものである。
(b)端末装置とコーディネータとのMACアドレスが連結されて、端末装置とコーディネータとのMACアドレスの連結値ADDIDとされる。
(c)端末装置は、端末装置の事前共有鍵の認証照会Nを、乱数発生器を使用して生成し、次に、KD−HMAC−SHA256(BK,ADDID||N||N||“pairwise key expansion for unicast and additional keys and nonce”)を計算して、ユニキャスト暗号化鍵UEKと、ユニキャストインテグリティチェック鍵UCKと、ユニキャストメッセージ認証鍵UMAKとを生成する。
(d)ユニキャストメッセージ認証鍵UMAKが使用されて、コーディネータの事前共有鍵の認証照会Nと、端末装置の事前共有鍵の認証照会Nとについてのメッセージ認証コード計算が、HMAC−SHA256アルゴリズムにおいて実行されて、事前共有鍵認証における端末装置のメッセージ認証コードHMACTAが生成され、次に、コーディネータの事前共有鍵の認証照会Nと、端末装置の事前共有鍵の認証照会Nと、事前共有鍵認証における端末装置のメッセージ認証コードHMACTAとが、コーディネータに送信される。
ステップ3:コーディネータは、端末装置からステップ2において送信された情報を受信すると、以下のプロセスを実行する。
(a)コーディネータの事前共有鍵の認証照会Nが、一致性について検査され、一致していない場合、情報は廃棄される。
(b)端末装置とコーディネータとのMACアドレスが連結されて、端末装置とコーディネータとのMACアドレスの連結値ADDIDとされる。
(c)KD−HMAC−SHA256(BK,ADDID||N||N||“pairwise key expansion for unicast and additional keys and nonce”)が計算されて、ユニキャスト暗号化鍵UEKと、ユニキャストインテグリティチェック鍵UCKと、ユニキャストメッセージ認証鍵UMAKとが生成される。生成されたユニキャストメッセージ認証鍵UMAKが使用されて、コーディネータの事前共有鍵の認証照会Nと、端末装置の事前共有鍵の認証照会Nとのメッセージ認証コードが、HMAC−SHA256アルゴリズムにおいてローカルに計算され、メッセージ認証コードは、受信された情報内の、事前共有鍵認証における端末装置のメッセージ認証コードHMACTAと比較され、それらが同一である場合、プロセスは操作d)を実行し、それ以外の場合、情報は廃棄される。
(d)コーディネータによって生成されたユニキャストメッセージ認証鍵UMAKが使用されて、端末装置の事前共有鍵の認証照会Nについてのメッセージ認証コード計算が、HMAC−SHA256アルゴリズムにおいて実行されて、事前共有鍵認証におけるコーディネータのメッセージ認証コードHMACCAが生成され、次に、端末装置の事前共有鍵の認証照会Nと、事前共有鍵認証におけるコーディネータのメッセージ認証コードHMACCAとが、端末装置に送信される。
ステップ4:端末装置は、コーディネータからステップ3において送信された情報を受信すると、以下のプロセスを実行する。
(a)端末装置の事前共有鍵の認証照会Nが、一致性について検査され、一致していない場合、情報は廃棄される。
(b)ローカルに生成されたユニキャストメッセージ認証鍵UMAKが使用されて、端末装置の事前共有鍵の認証照会Nのメッセージ認証コードが、HMAC−SHA256アルゴリズムにおいてローカルに計算され、メッセージ認証コードは、受信された情報内の、事前共有鍵認証におけるコーディネータのメッセージ認証コードHMACCAと比較され、それらが同一である場合、認証は成功し、それ以外の場合、情報は廃棄される。
認証及び鍵管理スイートが、事前共有鍵に基づく認証及び鍵管理スイートである場合、コーディネータと端末装置とがユニキャスト鍵協定を初めて実行するならば、ユニキャスト鍵協定プロセスは、認証プロセスと同じであり、その特定の実施は図6に示す通りであり、それ以外ならば、ユニキャスト鍵協定プロセスは、IDに基づくユニキャスト鍵協定プロセスと同じであり、その特定の実施は図4に示す通りである。
認証及び鍵管理スイートが、事前共有鍵に基づく認証及び鍵管理スイートである場合、マルチキャスト鍵公開プロセスは、IDに基づくマルチキャスト鍵公開プロセスと同じであり、その特定の実施は図5に示す通りである。
本発明の実施形態において上記のように開示された、無線マルチホップネットワークの認証アクセスシステムも、本発明の保護範囲内に入るということに留意されたい。
当業者は、情報、メッセージ、及び信号が、任意の様々な異なるプロセス及び技術において表されてもよいということを理解することができる。例えば、前述の説明において言及されたメッセージ及び情報は、電圧、電流、電磁波、磁界又は磁性粒子、及び光場のうちの、任意の1つ、又はそれらの組み合わせとして表されてもよい。
当業者は、本明細書において開示された実施形態に関連して説明されたそれぞれの例におけるユニット及びアルゴリズムステップが、電子ハードウェア、コンピュータソフトウェア、又は両方の組み合わせにおいて実施されてもよいということを更に理解することができる。ハードウェアとソフトウェアとの置換可能性を明確にするために、それぞれの例の構成要素及びステップは、前述の説明において、一般に、機能的に説明した。それらの機能は、特定の適用例に応じて、及び、技術的解決法の設計制約条件に応じて、ハードウェア又はソフトウェアにおいて実行されてもよい。当業者は、説明された機能が、本発明の範囲を逸脱することなく、それぞれの特定の適用例のための様々な手法において実行されることを可能にすることができる。
方法の前述の実施形態におけるフロー(1つ又は複数)の全部又は一部は、関連するハードウェアに指示するコンピュータプログラムを使用して実行されてもよく、コンピュータプログラムは、コンピュータ読み取り可能な記憶媒体内に記憶されてもよく、実行される場合、コンピュータプログラムは、方法の前述の実施形態におけるフロー(1つ又は複数)を含んでもよいということを、当業者は理解することができる。記憶媒体は、磁気ディスク、光ディスク、読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)などであってもよい。当業者は、開示された実施形態の前述の説明を考慮して、本発明を実施又は利用することが可能である。それらの実施形態に対する様々な修正は、当業者にとって明白であり、本明細書において規定された一般的な原理は、本発明の精神又は範囲から逸脱することなく、他の実施形態において実現されてもよい。従って、本発明は、本明細書において開示されたそれらの実施形態に限定されず、本明細書において開示された原理及び新規な特徴と合致する最も広い範囲に一致する。
図3、図4、図5、及び図6における参照番号は、以下のように定義される。
コーディネータの認証照会
端末装置の認証照会
コーディネータの公開鍵失効クエリ照会
コーディネータのユニキャスト鍵協定照会
端末装置のユニキャスト鍵協定照会
マルチキャスト鍵公開識別子
HMACCU ユニキャスト鍵協定におけるコーディネータのメッセージ認証コード
HMACTU ユニキャスト鍵協定における端末装置のメッセージ認証コード
HMACCM マルチキャスト鍵協定におけるコーディネータのメッセージ認証コード
HMACTM マルチキャスト鍵協定における端末装置のメッセージ認証コード
ADDID 端末装置とコーディネータとのMACアドレスの連結値
ECC ECCドメインパラメータ
ID IDベースの公開パラメータ
SKID−S 信頼できるセンターの秘密鍵
PKID−S 信頼できるセンターの公開鍵
SKID−T 端末装置の秘密鍵
PKID−T 端末装置の公開鍵
SKID−C コーディネータの秘密鍵
PKID−C コーディネータの公開鍵
ID コーディネータの識別子
ID 端末装置の識別子
IDS−CA 無線マルチホップネットワーク内の信頼できるセンターのCA証明書のボディアイデンティティ
IDNet 無線マルチホップネットワークの識別子
TLT−PK 端末装置の公開鍵の有効期限
TLC−PK コーディネータの公開鍵の有効期限
QFPK 公開鍵失効クエリの識別子
Re アクセス結果
Re 端末装置の公開鍵失効結果
Re コーディネータの公開鍵失効結果
ResultC−PK コーディネータの公開鍵失効クエリの結果
Sig 端末装置の認証要求のシグネチャ
Sig コーディネータの認証応答のシグネチャ
Sig 公開鍵失効クエリのシグネチャ
UEK ユニキャスト暗号化鍵
UCK ユニキャストインテグリティチェック鍵
UMAK ユニキャストメッセージ認証鍵
NMK マルチキャスト公開マスター鍵
NMK 暗号化されたマルチキャスト公開マスター鍵
MEK マルチキャスト暗号化鍵
MCK マルチキャストインテグリティチェック鍵
コーディネータの事前共有鍵の認証照会
端末装置の事前共有鍵の認証照会
HMACCA 事前共有鍵認証プロセスにおけるコーディネータのメッセージ認証コード
HMACTA 事前共有鍵認証プロセスにおける端末装置のメッセージ認証コード

Claims (9)

  1. 無線マルチホップネットワークに適用可能な認証アクセス方法であって、
    端末装置及びコーディネータの、非制御ポートと制御ポートとを規定し、ここで、前記非制御ポートは、認証プロトコルデータパケットと管理情報とを通過させ、前記制御ポートは、アプリケーションデータパケットを通過させ、
    前記コーディネータが、前記コーディネータによってサポートされる認証及び鍵管理スイートを含むビーコンフレームをブロードキャストし、
    前記端末装置が、前記コーディネータの前記ビーコンフレームを受信すると、前記認証及び鍵管理スイートのうちの1つを選択し、次に、前記端末装置によって選択された前記認証及び鍵管理スイートを含む接続要求コマンドを、前記コーディネータに送信し、
    前記コーディネータが、前記端末装置の前記接続要求コマンドを受信すると、前記端末装置についての認証プロセスを、前記端末装置によって選択された前記認証及び鍵管理スイートに従って実行し、認証が成功すると、前記制御ポートを開いて、前記無線マルチホップネットワークへの前記端末装置のアクセスを許可し、更に、接続応答コマンドを、前記端末装置に送信し、
    前記端末装置が、前記コーディネータの前記接続応答コマンドを受信すると、前記制御ポートを開いて、それにより、前記無線マルチホップネットワークにアクセスすること
    を含み、
    前記認証及び鍵管理スイートは、事前共有鍵に基づく認証及び鍵管理スイートと、IDベースの認証及び鍵管理スイートとを含み、
    前記認証プロセスは、
    (A)前記コーディネータが、前記端末装置によって選択された前記認証及び鍵管理スイートがIDベースの認証及び鍵管理スイートであることを、前記端末装置から送信された前記接続要求コマンドから認識した場合、前記コーディネータの認証照会を生成し、前記コーディネータの前記認証照会と、前記コーディネータの公開鍵とを含む認証アクティベーションを、前記端末装置に送信し、
    (B)前記端末装置が、前記認証アクティベーションを受信した後、前記コーディネータの前記公開鍵の有効性検査が合格した場合、前記端末装置の認証照会と、公開鍵失効クエリの識別子と、前記端末装置の一時公開鍵とを生成し、そして、前記端末装置の前記認証照会と、前記コーディネータの前記認証照会と、前記端末装置の公開鍵と、前記公開鍵失効クエリの前記識別子と、前記端末装置の前記一時公開鍵と、上記の5つの情報項目についての前記端末装置のシグネチャとを含む認証要求を、前記コーディネータに送信し、
    (C)前記コーディネータが、前記認証要求を受信すると、前記認証要求の前記シグネチャを、正当性について検査し、前記コーディネータの前記認証照会を、一致性について検査し、前記端末装置の前記一時公開鍵を、有効性について検査し、検査が合格した場合、前記公開鍵失効クエリの前記識別子に従って、前記公開鍵失効クエリを実行するかどうかを判定し、前記公開鍵失効クエリが実行されない場合、前記コーディネータの一時公開鍵と、アクセス結果とを生成し、次に、前記コーディネータが、前記公開鍵失効クエリの前記識別子と、前記端末装置の前記認証照会と、前記コーディネータの前記一時公開鍵と、前記アクセス結果と、上記の4つの情報項目についての前記コーディネータのシグネチャとを含む認証応答を、前記端末装置に送信し、次に、ステップ(G)を実行するか、又は、前記公開鍵失効クエリが実行される場合、公開鍵失効クエリ要求を送信し、
    (D)信頼できるセンターが、前記公開鍵失効クエリ要求を受信すると、前記公開鍵失効クエリ要求の情報を検査し、次に、公開鍵失効クエリ応答を、前記コーディネータに送信し、
    (E)前記コーディネータが、前記公開鍵失効クエリ応答を受信すると、前記公開鍵失効クエリ応答の情報を検査し、次に、前記認証応答を、前記装置に送信し、そして更に、前記端末装置と前記コーディネータとの間のベース鍵を、前記端末装置の前記一時公開鍵と、前記コーディネータの一時秘密鍵とに従って生成し、
    (F)前記端末装置が、前記認証応答を受信すると、前記認証応答の情報を検査し、検査が失敗した場合、前記認証は失敗し、それ以外の場合、前記端末装置は、前記端末装置と前記コーディネータとの間の前記ベース鍵を、前記端末装置の前記一時公開鍵と、前記コーディネータの前記一時秘密鍵とに従って生成し、そして、前記認証は成功し、
    (G)前記端末装置が、前記コーディネータから前記ステップ(C)において送信された前記認証応答を受信すると、前記認証応答の前記シグネチャを、有効性について検査し、前記端末装置の前記認証照会を、一致性について検査し、前記アクセス結果を検査し、検査が失敗した場合、前記認証は失敗し、それ以外の場合、前記端末装置は、前記端末装置と前記コーディネータとの間の前記ベース鍵を、前記端末装置の前記一時公開鍵と、前記コーディネータの前記一時秘密鍵とに従って生成し、そして、前記認証は成功すること
    を含む、方法。
  2. 前記端末装置が、前記コーディネータへの接続に成功すると、前記コーディネータとのユニキャスト鍵協定を実行すること
    を更に含む、請求項に記載の方法。
  3. 前記ユニキャスト鍵協定は、
    ユニキャスト鍵が作成又は更新されることが必要とされる場合、前記コーディネータが、認証が成功すると、前記コーディネータのユニキャスト鍵協定照会を生成し、前記コーディネータの前記ユニキャスト鍵協定照会を含むユニキャスト鍵協定要求を、前記端末装置に送信するステップと、
    前記端末装置が、前記ユニキャスト鍵協定要求を受信すると、前記端末装置のユニキャスト鍵協定照会を生成し、前記端末装置と前記コーディネータとの間のユニキャスト鍵を、前記ベース鍵と、前記コーディネータの前記ユニキャスト鍵協定照会と、前記端末装置の前記ユニキャスト鍵協定照会とに従って生成し、次に、前記コーディネータの前記ユニキャスト鍵協定照会と、前記端末装置の前記ユニキャスト鍵協定照会と、メッセージ認証コードとを含むユニキャスト鍵協定応答を、前記コーディネータに送信し、ここで、前記メッセージ認証コードは、前記端末装置によって、前記コーディネータの前記ユニキャスト鍵協定照会と、前記端末装置の前記ユニキャスト鍵協定照会とに従って計算されるステップと、
    前記コーディネータが、前記ユニキャスト鍵協定応答を受信すると、前記ユニキャスト鍵を、前記ベース鍵と、前記コーディネータの前記ユニキャスト鍵協定照会と、前記端末装置の前記ユニキャスト鍵協定照会とに従って計算し、次に、前記コーディネータの前記ユニキャスト鍵協定照会を、一致性について検査し、前記端末装置の前記メッセージ認証コードを、有効性について検査し、検査が失敗した場合、前記ユニキャスト鍵協定は失敗し、それ以外の場合、前記コーディネータは、前記コーディネータの前記ユニキャスト鍵協定照会と、前記端末装置の前記ユニキャスト鍵協定照会について計算されたメッセージ認証コードとを含むユニキャスト鍵協定承認を、前記端末装置に送信するステップと、
    前記端末装置が、前記ユニキャスト鍵協定承認を受信すると、前記端末装置の前記ユニキャスト鍵協定照会を、一致性について検査し、前記コーディネータの前記メッセージ認証コードを、有効性について検査し、検査が失敗した場合、前記ユニキャスト鍵協定は失敗し、それ以外の場合、前記ユニキャスト鍵協定は成功するステップと
    において実行される、請求項に記載の方法。
  4. 無線マルチホップネットワークに適用可能な認証アクセス方法であって、
    端末装置及びコーディネータの、非制御ポートと制御ポートとを規定し、ここで、前記非制御ポートは、認証プロトコルデータパケットと管理情報とを通過させ、前記制御ポートは、アプリケーションデータパケットを通過させ、
    前記コーディネータが、前記コーディネータによってサポートされる認証及び鍵管理スイートを含むビーコンフレームをブロードキャストし、
    前記端末装置が、前記コーディネータの前記ビーコンフレームを受信すると、前記認証及び鍵管理スイートのうちの1つを選択し、次に、前記端末装置によって選択された前記認証及び鍵管理スイートを含む接続要求コマンドを、前記コーディネータに送信し、
    前記コーディネータが、前記端末装置の前記接続要求コマンドを受信すると、前記端末装置についての認証プロセスを、前記端末装置によって選択された前記認証及び鍵管理スイートに従って実行し、認証が成功すると、前記制御ポートを開いて、前記無線マルチホップネットワークへの前記端末装置のアクセスを許可し、更に、接続応答コマンドを、前記端末装置に送信し、
    前記端末装置が、前記コーディネータの前記接続応答コマンドを受信すると、前記制御ポートを開いて、それにより、前記無線マルチホップネットワークにアクセスすること
    を含み、
    前記認証及び鍵管理スイートは、事前共有鍵に基づく認証及び鍵管理スイートと、IDベースの認証及び鍵管理スイートとを含み、
    前記認証プロセスは、
    (a)前記コーディネータが、前記端末装置によって選択された前記認証及び鍵管理スイートが事前共有鍵に基づく認証及び鍵管理スイートであることを、前記端末装置から送信された前記接続要求コマンドから認識した場合、前記コーディネータが、ローカルに記憶された、前記コーディネータと前記端末装置との間の事前共有鍵を拡張して、対応するベース鍵とし、前記コーディネータの事前共有鍵の認証照会を生成し、次に、前記コーディネータの前記事前共有鍵の前記認証照会を含む認証要求を、前記端末装置に送信し、
    (b)前記端末装置が、前記認証要求を受信すると、最初に、ローカルに記憶された、前記コーディネータと前記端末装置との間の事前共有鍵を拡張して、対応するベース鍵とし、前記端末装置の事前共有鍵の認証照会を生成し、前記端末装置と前記コーディネータとの間のユニキャスト鍵を、前記ベース鍵と、前記コーディネータの前記事前共有鍵の前記認証照会と、前記端末装置の前記事前共有鍵の前記認証照会とに従って生成し、次に、前記コーディネータの前記事前共有鍵の前記認証照会と、前記端末装置の前記事前共有鍵の前記認証照会と、メッセージ認証コードとを含む認証応答を、前記コーディネータに送信し、ここで、前記メッセージ認証コードは、前記コーディネータの前記事前共有鍵の前記認証照会と、前記端末装置の前記事前共有鍵の前記認証照会とから計算され、
    (c)前記コーディネータが、前記認証応答を受信すると、前記ユニキャスト鍵を、前記ステップ(a)において生成された、前記ベース鍵、及び前記コーディネータの前記事前共有鍵の前記認証照会と、前記端末装置の前記事前共有鍵の前記認証照会とから計算し、次に、前記コーディネータの前記事前共有鍵の前記認証照会を、一致性について検査し、前記端末装置の前記メッセージ認証コードを、有効性について検査し、検査が失敗した場合、前記認証は失敗し、それ以外の場合、前記コーディネータは、前記端末装置の前記事前共有鍵の前記認証照会と、前記端末装置の前記事前共有鍵の前記認証照会について前記コーディネータによって計算されたメッセージ認証コードとを含む認証承認を、前記端末装置に送信し、
    (d)前記端末装置が、前記認証承認を受信すると、前記端末装置の前記事前共有鍵の前記認証照会を、一致性について検査し、前記コーディネータの前記メッセージ認証コードを、有効性について検査し、検査が失敗した場合、前記認証は失敗し、それ以外の場合、前記認証は成功すること
    を含む、方法。
  5. 前記端末装置が、前記コーディネータへの接続に成功すると、前記コーディネータとのユニキャスト鍵協定を実行すること
    を更に含む、請求項に記載の方法。
  6. 前記ユニキャスト鍵が作成又は更新されることが必要とされる場合、前記コーディネータは、前記ユニキャスト鍵協定が、前記装置についての認証が成功した後の初めてのユニキャスト鍵協定であるかどうかを判定し、そうである場合、前記ユニキャスト鍵協定のプロセスは、前記認証プロセスと同じであり、それ以外の場合、前記ユニキャスト鍵協定の前記プロセスは、前記IDベースの認証及び鍵管理スイートに基づくユニキャスト鍵協定プロセスと同じである、請求項に記載の方法。
  7. 前記コーディネータと前記端末装置とが、前記ユニキャスト鍵協定を完了すると、マルチキャスト鍵公開プロセスを実行することと、
    前記ユニキャスト鍵協定が合格し、かつ、前記コーディネータが、前記端末装置とのマルチキャスト鍵協定を実行することが必要とされる場合、前記コーディネータが、前記端末装置との前記マルチキャスト鍵公開プロセスを実行することと
    を更に含む、請求項2、3、5、6のいずれか一項に記載の方法。
  8. 前記マルチキャスト鍵公開プロセスは、
    マルチキャスト鍵が作成又は更新されることが必要とされる場合、前記コーディネータが、最初に、ユニキャスト鍵協定が成功すると、前記マルチキャスト鍵を、公開マスター鍵から計算し、次に、前記公開マスター鍵を、前記ユニキャスト鍵における暗号化鍵を使用して暗号化し、マルチキャスト鍵公開の識別子を生成し、最後に、前記マルチキャスト鍵公開の前記識別子と、前記暗号化されたマルチキャスト公開マスター鍵と、メッセージ認証コードとを含む前記マルチキャスト鍵公開を、前記端末装置に送信し、ここで、前記メッセージ認証コードは、前記コーディネータによって、前記マルチキャスト鍵公開の前記識別子と、前記暗号化されたマルチキャスト公開マスター鍵とから、前記マルチキャスト鍵における認証鍵を使用して計算され、
    前記端末装置が、前記マルチキャスト鍵公開を受信すると、前記マルチキャスト鍵公開の前記識別子を検査し、前記公開マスター鍵から前記マルチキャスト鍵を計算し、次に、更に、前記コーディネータの前記メッセージ認証コードを、有効性について検査し、検査が合格した場合、前記マルチキャスト鍵公開の前記識別子と、メッセージ認証コードとを含むマルチキャスト鍵応答を、前記コーディネータに送信し、ここで、前記メッセージ認証コードは、前記端末装置によって、前記マルチキャスト鍵公開メッセージの前記識別子から、ローカルに生成されたマルチキャスト鍵における認証鍵を使用して計算され、
    前記コーディネータが、前記マルチキャスト鍵応答を受信すると、前記マルチキャスト鍵公開の前記識別子を、一致性について検査し、前記端末装置の前記メッセージ認証コードを、有効性について検査し、検査が失敗した場合、前記マルチキャスト鍵協定は失敗し、それ以外の場合、前記マルチキャスト鍵協定は成功すること
    を含む、請求項に記載の方法。
  9. 端末装置と、コーディネータと、信頼できるセンターとを備える、無線マルチホップネットワークに適用可能な認証アクセスシステムであって、
    前記端末装置及び前記コーディネータは、非制御ポートと制御ポートとを備え、ここで、前記非制御ポートは、認証プロトコルデータパケットと管理情報とを通過させ、前記制御ポートは、アプリケーションデータパケットを通過させ、
    前記コーディネータは、前記コーディネータによってサポートされる認証及び鍵管理スイートを含むビーコンフレームをブロードキャストするように、そして、前記端末装置の接続要求コマンドを受信すると、前記端末装置についての認証プロセスを、前記端末装置によって選択された認証及び鍵管理スイートに従って実行するように(ここで、前記接続要求コマンドは、前記端末装置によって選択された前記認証及び鍵管理スイートを含む)、そして、認証が成功すると、前記制御ポートを開いて、前記無線マルチホップネットワークへの前記端末装置のアクセスを許可し、更に、接続応答コマンドを、前記端末装置に送信するように適合され、
    前記端末装置は、前記コーディネータの前記ビーコンフレームを受信すると、前記認証及び鍵管理スイートを選択し、次に、前記接続要求コマンドを、前記コーディネータに送信するように(ここで、前記接続要求コマンドは、前記端末装置によって選択された前記認証及び鍵管理スイートを含む)、そして、前記コーディネータの前記接続応答コマンドを受信すると、前記制御ポートを開いて、それにより、前記無線マルチホップネットワークにアクセスするように適合され、
    前記信頼できるセンターは、前記コーディネータにより送信される公開鍵失効クエリ要求を受信すると、前記公開鍵失効クエリ要求の情報を検査し、次に、公開鍵失効クエリ応答を、前記コーディネータに送信することで前記コーディネータと前記端末装置との前記認証プロセスを容易にするように適合され
    前記認証及び鍵管理スイートは、事前共有鍵に基づく認証及び鍵管理スイートと、IDベースの認証及び鍵管理スイートとを含み、
    前記認証プロセスは、
    (A)前記コーディネータが、前記端末装置によって選択された前記認証及び鍵管理スイートがIDベースの認証及び鍵管理スイートであることを、前記端末装置から送信された前記接続要求コマンドから認識した場合、前記コーディネータの認証照会を生成し、前記コーディネータの前記認証照会と、前記コーディネータの公開鍵とを含む認証アクティベーションを、前記端末装置に送信し、
    (B)前記端末装置が、前記認証アクティベーションを受信した後、前記コーディネータの前記公開鍵の有効性検査が合格した場合、前記端末装置の認証照会と、公開鍵失効クエリの識別子と、前記端末装置の一時公開鍵とを生成し、そして、前記端末装置の前記認証照会と、前記コーディネータの前記認証照会と、前記端末装置の公開鍵と、前記公開鍵失効クエリの前記識別子と、前記端末装置の前記一時公開鍵と、上記の5つの情報項目についての前記端末装置のシグネチャとを含む認証要求を、前記コーディネータに送信し、
    (C)前記コーディネータが、前記認証要求を受信すると、前記認証要求の前記シグネチャを、正当性について検査し、前記コーディネータの前記認証照会を、一致性について検査し、前記端末装置の前記一時公開鍵を、有効性について検査し、検査が合格した場合、前記公開鍵失効クエリの前記識別子に従って、前記公開鍵失効クエリを実行するかどうかを判定し、前記公開鍵失効クエリが実行されない場合、前記コーディネータの一時公開鍵と、アクセス結果とを生成し、次に、前記コーディネータが、前記公開鍵失効クエリの前記識別子と、前記端末装置の前記認証照会と、前記コーディネータの前記一時公開鍵と、前記アクセス結果と、上記の4つの情報項目についての前記コーディネータのシグネチャとを含む認証応答を、前記端末装置に送信し、次に、ステップ(G)を実行するか、又は、前記公開鍵失効クエリが実行される場合、公開鍵失効クエリ要求を送信し、
    (D)信頼できるセンターが、前記公開鍵失効クエリ要求を受信すると、前記公開鍵失効クエリ要求の情報を検査し、次に、公開鍵失効クエリ応答を、前記コーディネータに送信し、
    (E)前記コーディネータが、前記公開鍵失効クエリ応答を受信すると、前記公開鍵失効クエリ応答の情報を検査し、次に、前記認証応答を、前記装置に送信し、そして更に、前記端末装置と前記コーディネータとの間のベース鍵を、前記端末装置の前記一時公開鍵と、前記コーディネータの一時秘密鍵とに従って生成し、
    (F)前記端末装置が、前記認証応答を受信すると、前記認証応答の情報を検査し、検査が失敗した場合、前記認証は失敗し、それ以外の場合、前記端末装置は、前記端末装置と前記コーディネータとの間の前記ベース鍵を、前記端末装置の前記一時公開鍵と、前記コーディネータの前記一時秘密鍵とに従って生成し、そして、前記認証は成功し、
    (G)前記端末装置が、前記コーディネータから前記ステップ(C)において送信された前記認証応答を受信すると、前記認証応答の前記シグネチャを、有効性について検査し、前記端末装置の前記認証照会を、一致性について検査し、前記アクセス結果を検査し、検査が失敗した場合、前記認証は失敗し、それ以外の場合、前記端末装置は、前記端末装置と前記コーディネータとの間の前記ベース鍵を、前記端末装置の前記一時公開鍵と、前記コーディネータの前記一時秘密鍵とに従って生成し、そして、前記認証は成功すること
    を含むか、又は、
    (a)前記コーディネータが、前記端末装置によって選択された前記認証及び鍵管理スイートが事前共有鍵に基づく認証及び鍵管理スイートであることを、前記端末装置から送信された前記接続要求コマンドから認識した場合、前記コーディネータが、ローカルに記憶された、前記コーディネータと前記端末装置との間の事前共有鍵を拡張して、対応するベース鍵とし、前記コーディネータの事前共有鍵の認証照会を生成し、次に、前記コーディネータの前記事前共有鍵の前記認証照会を含む認証要求を、前記端末装置に送信し、
    (b)前記端末装置が、前記認証要求を受信すると、最初に、ローカルに記憶された、前記コーディネータと前記端末装置との間の事前共有鍵を拡張して、対応するベース鍵とし、前記端末装置の事前共有鍵の認証照会を生成し、前記端末装置と前記コーディネータとの間のユニキャスト鍵を、前記ベース鍵と、前記コーディネータの前記事前共有鍵の前記認証照会と、前記端末装置の前記事前共有鍵の前記認証照会とに従って生成し、次に、前記コーディネータの前記事前共有鍵の前記認証照会と、前記端末装置の前記事前共有鍵の前記認証照会と、メッセージ認証コードとを含む認証応答を、前記コーディネータに送信し、ここで、前記メッセージ認証コードは、前記コーディネータの前記事前共有鍵の前記認証照会と、前記端末装置の前記事前共有鍵の前記認証照会とから計算され、
    (c)前記コーディネータが、前記認証応答を受信すると、前記ユニキャスト鍵を、前記ステップ(a)において生成された、前記ベース鍵、及び前記コーディネータの前記事前共有鍵の前記認証照会と、前記端末装置の前記事前共有鍵の前記認証照会とから計算し、次に、前記コーディネータの前記事前共有鍵の前記認証照会を、一致性について検査し、前記端末装置の前記メッセージ認証コードを、有効性について検査し、検査が失敗した場合、前記認証は失敗し、それ以外の場合、前記コーディネータは、前記端末装置の前記事前共有鍵の前記認証照会と、前記端末装置の前記事前共有鍵の前記認証照会について前記コーディネータによって計算されたメッセージ認証コードとを含む認証承認を、前記端末装置に送信し、
    (d)前記端末装置が、前記認証承認を受信すると、前記端末装置の前記事前共有鍵の前記認証照会を、一致性について検査し、前記コーディネータの前記メッセージ認証コードを、有効性について検査し、検査が失敗した場合、前記認証は失敗し、それ以外の場合、前記認証は成功すること
    を含む、システム。
JP2010540019A 2007-12-29 2008-12-26 無線マルチホップネットワークのための認証アクセス方法及び認証アクセスシステム Expired - Fee Related JP5421926B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200710307299 2007-12-29
CN200710307299.5 2007-12-29
PCT/CN2008/073755 WO2009089738A1 (fr) 2007-12-29 2008-12-26 Système et procédé d'accès pour authentification destinés à un réseau sans fil à sauts multiples

Publications (3)

Publication Number Publication Date
JP2011512699A JP2011512699A (ja) 2011-04-21
JP2011512699A5 JP2011512699A5 (ja) 2013-03-14
JP5421926B2 true JP5421926B2 (ja) 2014-02-19

Family

ID=39898576

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010540019A Expired - Fee Related JP5421926B2 (ja) 2007-12-29 2008-12-26 無線マルチホップネットワークのための認証アクセス方法及び認証アクセスシステム

Country Status (7)

Country Link
US (1) US8656153B2 (ja)
EP (1) EP2234366A4 (ja)
JP (1) JP5421926B2 (ja)
KR (1) KR101144572B1 (ja)
CN (1) CN101232378B (ja)
RU (1) RU2446606C1 (ja)
WO (1) WO2009089738A1 (ja)

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2821225B1 (fr) * 2001-02-20 2005-02-04 Mobileway Systeme de paiement electronique a distance
CN101232378B (zh) 2007-12-29 2010-12-08 西安西电捷通无线网络通信股份有限公司 一种无线多跳网络的认证接入方法
CN101222772B (zh) * 2008-01-23 2010-06-09 西安西电捷通无线网络通信有限公司 一种基于id的无线多跳网络认证接入方法
CN101383823B (zh) * 2008-10-08 2011-03-23 东南大学 一种可信接入中的网络资源访问控制方法
CN101447992B (zh) 2008-12-08 2011-04-06 西安西电捷通无线网络通信股份有限公司 一种基于三元对等鉴别的可信网络连接实现方法
US8699704B2 (en) * 2010-01-13 2014-04-15 Entropic Communications, Inc. Secure node admission in a communication network
CN101815293B (zh) * 2009-02-20 2012-08-15 华为技术有限公司 无线中继网络中的链路安全认证方法、装置和系统
CN101583083B (zh) * 2009-06-01 2011-11-30 中兴通讯股份有限公司 一种实时数据业务的实现方法和实时数据业务系统
CN101610452B (zh) 2009-07-15 2011-06-01 西安西电捷通无线网络通信股份有限公司 一种传感器网络鉴别与密钥管理机制的融合方法
US8850203B2 (en) * 2009-08-28 2014-09-30 Alcatel Lucent Secure key management in multimedia communication system
US8301883B2 (en) * 2009-08-28 2012-10-30 Alcatel Lucent Secure key management in conferencing system
CN102006671B (zh) * 2009-08-31 2014-06-18 中兴通讯股份有限公司 一种实现来电转接的系统及方法
CN101741548B (zh) 2009-12-18 2012-02-01 西安西电捷通无线网络通信股份有限公司 交换设备间安全连接的建立方法及系统
CN101729249B (zh) 2009-12-21 2011-11-30 西安西电捷通无线网络通信股份有限公司 用户终端之间安全连接的建立方法及系统
JP5378296B2 (ja) * 2010-05-10 2013-12-25 株式会社東芝 通信装置および通信方法
US9385862B2 (en) 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
US8839373B2 (en) 2010-06-18 2014-09-16 Qualcomm Incorporated Method and apparatus for relay node management and authorization
KR101083127B1 (ko) 2010-08-25 2011-11-11 경희대학교 산학협력단 멀티홉 무선 통신 환경에서 센서 노드들의 비밀값 공유 방법
US8464061B2 (en) * 2010-08-30 2013-06-11 Apple Inc. Secure wireless link between two devices using probes
JP5323020B2 (ja) * 2010-09-29 2013-10-23 三菱電機株式会社 通信システム、通信方法およびハンディターミナル
CN102098668B (zh) * 2010-12-20 2012-11-07 西安西电捷通无线网络通信股份有限公司 一种wapi设备协议中实现健壮性的负面测试的检测系统及其检测方法
CN102223636B (zh) * 2011-07-20 2013-10-23 广州杰赛科技股份有限公司 无线城域网安全接入协议的实现方法及系统
US9756036B2 (en) * 2012-06-15 2017-09-05 Nokia Technologies Oy Mechanisms for certificate revocation status verification on constrained devices
CN102724197B (zh) * 2012-06-25 2015-08-12 上海交通大学 无线中继网络中的链路双向安全认证方法
CN103533541A (zh) * 2012-07-03 2014-01-22 国民技术股份有限公司 网络安全接入方法、网络配置方法及密钥装置
KR101419745B1 (ko) * 2012-08-07 2014-07-17 한국전자통신연구원 물리적 복제 방지 기능을 기반으로 하는 인증 요청 장치, 인증 처리 장치 및 인증 수행 방법
CN102821160B (zh) * 2012-08-24 2016-06-01 上海和辰信息技术有限公司 一种云计算网络环境下面向松散云节点多层次数据保护的系统与方法
CN102821162B (zh) * 2012-08-24 2016-04-27 上海和辰信息技术有限公司 云计算网络环境下面向松散云节点服务平台的系统
CN102801812B (zh) * 2012-08-24 2016-09-07 上海和辰信息技术有限公司 松散网络环境下新型云服务组件管理的系统与方法
EP2738948A1 (en) * 2012-11-28 2014-06-04 Sercel Method for setting frequency channels in a multi-hop wireless mesh network.
US9231757B2 (en) 2012-12-05 2016-01-05 Inha-Industry Partnership Institute Proxy signature scheme
KR101507572B1 (ko) * 2014-03-20 2015-03-31 충남대학교산학협력단 센서 데이터 통신의 보안을 위한 id기반 키 인증 방법
CN104954130B (zh) 2014-03-31 2019-08-20 西安西电捷通无线网络通信股份有限公司 一种实体鉴别方法及装置
US9762395B2 (en) 2014-04-30 2017-09-12 International Business Machines Corporation Adjusting a number of dispersed storage units
CN105208554B (zh) * 2014-06-12 2019-03-05 四川长虹电器股份有限公司 一种实现zigbee终端设备入网的方法、系统和设备
US10091310B2 (en) * 2014-07-17 2018-10-02 Verizon Patent And Licensing Inc. Method and system for high-latency data collection from sensors
CN105323754B (zh) * 2014-07-29 2019-02-22 北京信威通信技术股份有限公司 一种基于预共享密钥的分布式鉴权方法
CN105577365B (zh) * 2014-11-11 2019-04-26 中国移动通信集团公司 一种用户接入wlan的密钥协商方法及装置
WO2016191176A1 (en) 2015-05-22 2016-12-01 Nix John A Cryptographic unit for public key infrastructure (pki) operations
EP3318003B1 (en) 2015-06-30 2022-03-23 Visa International Service Association Confidential authentication and provisioning
JP6525783B2 (ja) * 2015-07-21 2019-06-05 キヤノン株式会社 通信装置、提供方法、および、プログラム
US10171496B2 (en) * 2016-01-19 2019-01-01 Cisco Technology, Inc. Beacon spoofing prevention
WO2017129089A1 (zh) * 2016-01-29 2017-08-03 腾讯科技(深圳)有限公司 无线网络连接方法、装置及存储介质
US20180049027A1 (en) * 2016-08-11 2018-02-15 Qualcomm Incorporated Adding authenticatable signatures to acknowledgements
JP6278290B1 (ja) * 2017-09-14 2018-02-14 タメコ株式会社 認証方法
RU2704268C1 (ru) * 2018-05-18 2019-10-25 Общество с ограниченной ответственностью Фирма "Анкад" Способ, система и устройство криптографической защиты каналов связи беспилотных авиационных комплексов
JP7115027B2 (ja) * 2018-05-22 2022-08-09 ブラザー工業株式会社 通信装置と通信装置のためのコンピュータプログラム
CN109040060B (zh) * 2018-08-01 2021-03-02 广州杰赛科技股份有限公司 终端匹配方法和系统、计算机设备
JP7289111B2 (ja) * 2019-06-26 2023-06-09 パナソニックIpマネジメント株式会社 通信装置、認証方法およびコンピュータプログラム
CN110891273B (zh) * 2019-11-19 2022-09-02 成都亿佰特电子科技有限公司 一种基于ZigBee3.0的无线透传模组互联互通方法
US11363582B2 (en) 2019-12-20 2022-06-14 Qualcomm Incorporated Key provisioning for broadcast control channel protection in a wireless network
CN112512042B (zh) * 2020-10-14 2022-10-14 锐捷网络股份有限公司 通信密钥生成方法、装置、设备和存储介质
CN112399414B (zh) * 2020-11-13 2023-04-14 Oppo广东移动通信有限公司 网络连接方法、装置、电子设备及存储介质

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9903124D0 (en) 1999-02-11 1999-04-07 Nokia Telecommunications Oy An authentication method
US20020161921A1 (en) 2001-04-27 2002-10-31 Docomo Communications Laboratories Usa, Inc. Method of selecting a network access measure from multiple access measures
JP3612528B2 (ja) * 2001-10-29 2005-01-19 Necインフロンティア株式会社 パラメータ設定システム
US7363354B2 (en) 2001-11-29 2008-04-22 Nokia Corporation System and method for identifying and accessing network services
JP3940670B2 (ja) * 2001-12-26 2007-07-04 株式会社東芝 無線通信システム及び無線通信装置並びに無線通信方法
CN100399840C (zh) * 2002-05-13 2008-07-02 汤姆森特许公司 无缝公共无线局域网用户认证
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
EP1566938A1 (en) 2004-02-18 2005-08-24 Sony International (Europe) GmbH Device registration in a wireless multi-hop ad-hoc network
US20050238171A1 (en) 2004-04-26 2005-10-27 Lidong Chen Application authentication in wireless communication networks
DE602004021043D1 (de) * 2004-12-30 2009-06-18 Telecom Italia Spa Verfahren und system zur erkennung von attacken in drahtlosen datenkommunikationsnetzen
CN1655504B (zh) * 2005-02-21 2010-05-05 西安西电捷通无线网络通信有限公司 基于端口的对等访问控制方法
JP4715239B2 (ja) * 2005-03-04 2011-07-06 沖電気工業株式会社 無線アクセス装置、無線アクセス方法及び無線ネットワーク
CN1835436B (zh) * 2005-03-14 2010-04-14 华为技术有限公司 一种通用鉴权网络及一种实现鉴权的方法
CN101171813B (zh) * 2005-05-12 2012-07-18 皇家飞利浦电子股份有限公司 无线网格网络的分布式媒体访问协议
JP2006332788A (ja) * 2005-05-23 2006-12-07 Toshiba Corp 基地局装置、無線通信システム、基地局制御プログラムおよび基地局制御方法
JP2006345205A (ja) * 2005-06-08 2006-12-21 Toyota Industries Corp 無線lan接続管理方法、無線lan接続管理システム及び設定用無線中継装置
US7676676B2 (en) 2005-11-14 2010-03-09 Motorola, Inc. Method and apparatus for performing mutual authentication within a network
US8191161B2 (en) 2005-12-13 2012-05-29 Microsoft Corporation Wireless authentication
CN101009919A (zh) * 2006-01-24 2007-08-01 华为技术有限公司 一种基于移动网络端到端通信的认证方法
JP4806721B2 (ja) * 2006-03-15 2011-11-02 パナソニック株式会社 アドホックネットワークのための分散型無線メディアアクセス制御プロトコル
WO2008088052A1 (ja) * 2007-01-19 2008-07-24 Panasonic Corporation 無線通信方法および無線通信装置
CN100534036C (zh) * 2007-08-01 2009-08-26 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络连接方法
CN101232378B (zh) 2007-12-29 2010-12-08 西安西电捷通无线网络通信股份有限公司 一种无线多跳网络的认证接入方法
CN101222772B (zh) 2008-01-23 2010-06-09 西安西电捷通无线网络通信有限公司 一种基于id的无线多跳网络认证接入方法

Also Published As

Publication number Publication date
CN101232378A (zh) 2008-07-30
CN101232378B (zh) 2010-12-08
US20100293370A1 (en) 2010-11-18
US8656153B2 (en) 2014-02-18
RU2010131184A (ru) 2012-02-10
KR101144572B1 (ko) 2012-05-14
EP2234366A1 (en) 2010-09-29
KR20100095653A (ko) 2010-08-31
EP2234366A4 (en) 2013-03-06
RU2446606C1 (ru) 2012-03-27
WO2009089738A1 (fr) 2009-07-23
JP2011512699A (ja) 2011-04-21

Similar Documents

Publication Publication Date Title
JP5421926B2 (ja) 無線マルチホップネットワークのための認証アクセス方法及び認証アクセスシステム
KR101198570B1 (ko) Id 기반 무선 멀티-홉 네트워크 인증 액세스의 방법,장치 및 시스템
JP5101620B2 (ja) アドホックワイヤレスネットワークにおける認証キー材料のセキュリティ処理のための、セキュリティ方法およびセキュリティシステム
TWI388180B (zh) 通信系統中之金鑰產生
EP2272271B1 (en) Method and system for mutual authentication of nodes in a wireless communication network
JP6571676B2 (ja) ソーシャルWi−Fiメッシュネットワークに加わるための安全で簡略化された手続き
US8694782B2 (en) Wireless authentication using beacon messages
CN101616410B (zh) 一种蜂窝移动通信网络的接入方法和系统
JP2017055407A (ja) リンク設定および認証を実行するシステムおよび方法
US20100211790A1 (en) Authentication
JP2009533932A (ja) キー導出におけるパラメータ結合に基づくチャネル結合機構
JP2013502762A (ja) 有線lanのセキュリティアクセス制御方法及びそのシステム
WO2008083628A1 (fr) Serveur d'authentification, procédé, système et dispositif d'authentification mutuelle dans un réseau sans fil maillé
CN102883316A (zh) 建立连接的方法、终端和接入点
WO2008098520A1 (fr) Procédé de découverte sécurisée des voisins, dispositif de réseau et station mobile
KR20090002328A (ko) 무선 센서 네트워크에서의 새로운 장치 참여 방법
CN101521884A (zh) 一种自组网模式下安全关联建立方法及终端
Graarud Implementing a secure ad hoc network
EP4250641A1 (en) Method, devices and system for performing key management
Ramannavar et al. Authentication in Wireless Sensor Networks Using Virtual Certificate Authorities
CN116939609A (zh) 一种无线网络的接入认证方法及相关装置
Yubo et al. The Denial of Service Attack Analysis of WLAN Authentication Infrastructure
Sivakumar Analysis of Ad-Hoc Network Security using Zero knowledge Proof and Wi-Fi Protected Access 2
Yubo et al. Security analysis of certificate authentication in Chinese WLAN standard

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121023

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20130122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130709

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131004

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131029

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131122

R150 Certificate of patent or registration of utility model

Ref document number: 5421926

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees