JP6471039B2 - Wireless communication system and wireless terminal - Google Patents
Wireless communication system and wireless terminal Download PDFInfo
- Publication number
- JP6471039B2 JP6471039B2 JP2015101181A JP2015101181A JP6471039B2 JP 6471039 B2 JP6471039 B2 JP 6471039B2 JP 2015101181 A JP2015101181 A JP 2015101181A JP 2015101181 A JP2015101181 A JP 2015101181A JP 6471039 B2 JP6471039 B2 JP 6471039B2
- Authority
- JP
- Japan
- Prior art keywords
- wireless terminal
- terminal
- authentication
- access point
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 221
- 230000005540 biological transmission Effects 0.000 claims description 61
- 238000010295 mobile communication Methods 0.000 claims description 43
- 230000004044 response Effects 0.000 claims description 26
- 101100161473 Arabidopsis thaliana ABCB25 gene Proteins 0.000 description 161
- 101100096893 Mus musculus Sult2a1 gene Proteins 0.000 description 161
- 101150081243 STA1 gene Proteins 0.000 description 161
- OVGWMUWIRHGGJP-WVDJAODQSA-N (z)-7-[(1s,3r,4r,5s)-3-[(e,3r)-3-hydroxyoct-1-enyl]-6-thiabicyclo[3.1.1]heptan-4-yl]hept-5-enoic acid Chemical group OC(=O)CCC\C=C/C[C@@H]1[C@@H](/C=C/[C@H](O)CCCCC)C[C@@H]2S[C@H]1C2 OVGWMUWIRHGGJP-WVDJAODQSA-N 0.000 description 160
- 101000988961 Escherichia coli Heat-stable enterotoxin A2 Proteins 0.000 description 160
- 238000000034 method Methods 0.000 description 53
- 238000012986 modification Methods 0.000 description 32
- 230000004048 modification Effects 0.000 description 32
- 238000010586 diagram Methods 0.000 description 21
- 238000004590 computer program Methods 0.000 description 18
- 238000005516 engineering process Methods 0.000 description 15
- 230000000694 effects Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 7
- 102000008482 12E7 Antigen Human genes 0.000 description 5
- 108010020567 12E7 Antigen Proteins 0.000 description 5
- 101100244969 Arabidopsis thaliana PRL1 gene Proteins 0.000 description 5
- 102100037904 CD9 antigen Human genes 0.000 description 5
- 102100039558 Galectin-3 Human genes 0.000 description 5
- 101000738354 Homo sapiens CD9 antigen Proteins 0.000 description 5
- 101000893549 Homo sapiens Growth/differentiation factor 15 Proteins 0.000 description 5
- 101100454448 Homo sapiens LGALS3 gene Proteins 0.000 description 5
- 101000692878 Homo sapiens Regulator of MON1-CCZ1 complex Proteins 0.000 description 5
- 101150051246 MAC2 gene Proteins 0.000 description 5
- 102100026436 Regulator of MON1-CCZ1 complex Human genes 0.000 description 5
- 101100059544 Arabidopsis thaliana CDC5 gene Proteins 0.000 description 3
- 101150115300 MAC1 gene Proteins 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000004846 x-ray emission Methods 0.000 description 2
- PAHHYDSPOXDASW-VGWMRTNUSA-N (2s)-6-amino-2-[[(2s)-6-amino-2-[[(2s)-1-[(2s)-2-amino-3-hydroxypropanoyl]pyrrolidine-2-carbonyl]amino]hexanoyl]amino]hexanoic acid Chemical compound NCCCC[C@@H](C(O)=O)NC(=O)[C@H](CCCCN)NC(=O)[C@@H]1CCCN1C(=O)[C@@H](N)CO PAHHYDSPOXDASW-VGWMRTNUSA-N 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 108010015840 seryl-prolyl-lysyl-lysine Proteins 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Description
本発明は、無線通信システムおよび無線端末に関する。 The present invention relates to a radio communication system and a free line ends late.
現在、移動体通信網と無線LAN(Local Area Network)とのいずれを通じても通信を行える機能を持つ無線端末(例えば、スマートフォン)と、移動体通信網には接続しないが無線LANを通じて通信を行う機能を有する無線端末(例えば、タブレット端末、携帯ゲーム機)との両方を所持するユーザが存在する。一般的に、これらの無線端末が、移動体通信事業者が設置した公衆無線LANのアクセスポイントへ接続する場合、認証動作(ユーザ認証)が行われる。 Currently, a wireless terminal (for example, a smart phone) having a function capable of communicating through both a mobile communication network and a wireless local area network (LAN), and a function of performing communication through a wireless LAN without being connected to the mobile communication network There are users who possess both a wireless terminal (for example, a tablet terminal, a portable game machine). Generally, when these wireless terminals connect to a public wireless LAN access point installed by a mobile communication carrier, an authentication operation (user authentication) is performed.
認証方法には、SIM(subscriber identity module)を用いる方法(例えば、特許文献1)とSIMを用いない方法とが存在する。SIMは、スマートフォン等、移動体通信網を通じて通信が可能な無線端末に搭載されており、ユーザが移動体通信事業者と契約する際に割り当てられる固有の情報である加入者識別情報を含む。SIMを用いる認証方法には、例えばEAP-SIM、EAP-AKAがあり、SIMを用いない認証方法には、例えばWPA2-PSKがある。 Authentication methods include a method using SIM (subscriber identity module) (for example, Patent Document 1) and a method not using SIM. The SIM is mounted on a wireless terminal capable of communication through a mobile communication network such as a smartphone, and includes subscriber identification information that is unique information assigned when a user contracts with a mobile communication carrier. Authentication methods using SIM include, for example, EAP-SIM and EAP-AKA, and authentication methods not using SIM include, for example, WPA2-PSK.
SIMを用いる認証方法(以下、「SIM認証方法」と称する場合がある)では、無線端末のSIMの加入者識別情報に対応付けられた情報を用いて、当該無線端末とアクセスポイントとの通信を暗号化する暗号化鍵が生成される。一方、SIMを用いない認証方法(以下、「パスワード認証方法」と称する場合がある)では、事前にアクセスポイントに設定されたパスワードを用いて、当該アクセスポイントと無線端末との通信を暗号化する暗号化鍵が生成される。 In the authentication method using SIM (hereinafter sometimes referred to as “SIM authentication method”), communication between the wireless terminal and the access point is performed using information associated with the SIM subscriber identification information of the wireless terminal. An encryption key to be encrypted is generated. On the other hand, in an authentication method that does not use SIM (hereinafter sometimes referred to as “password authentication method”), communication between the access point and the wireless terminal is encrypted using a password set in advance in the access point. An encryption key is generated.
不特定のユーザが利用するアクセスポイント(例えば、公衆無線LANのアクセスポイント)に設定されたパスワードは、そのアクセスポイントを利用する複数のユーザに共通する(複数のユーザが同じパスワードを使用する)。すなわち、無線端末がパスワード認証方法を用いた認証動作によりアクセスポイントに接続する場合、そのアクセスポイントと無線端末との通信の暗号化には、その無線端末のユーザ以外にも知られている共有のパスワードを用いて生成される暗号化鍵が用いられる。そのため、無線端末のSIMに固有な加入者識別情報に対応付けられた情報を用いるSIM認証方法により生成された暗号化鍵に比べ、パスワード認証方法により作成された暗号化鍵は容易に特定される可能性がある。結果として、パスワード認証方法を用いた認証動作により接続したアクセスポイントと無線端末との通信は、SIM認証方法を用いた認証動作により接続したアクセスポイントと無線端末との通信よりも、機密性が損なわれる可能性が高いと理解される。 A password set for an access point (for example, a public wireless LAN access point) used by an unspecified user is common to a plurality of users who use the access point (a plurality of users use the same password). In other words, when a wireless terminal connects to an access point by an authentication operation using a password authentication method, the encryption of communication between the access point and the wireless terminal is known to be shared by users other than the user of the wireless terminal. An encryption key generated using a password is used. Therefore, the encryption key created by the password authentication method is easily identified as compared to the encryption key generated by the SIM authentication method using information associated with the subscriber identification information unique to the SIM of the wireless terminal. there is a possibility. As a result, the communication between the access point connected by the authentication operation using the password authentication method and the wireless terminal is less confidential than the communication between the access point connected by the authentication operation using the SIM authentication method and the wireless terminal. It is understood that
また、パスワード認証方法を用いてアクセスポイントに接続する場合、無線端末のユーザは、異なるSSID(service set ID)を持つアクセスポイントごとに、パスワードを手動で入力して認証動作を行う必要がある。一方、SIM認証方法を用いてアクセスポイントに接続する場合には、無線端末が有するSIMの情報を用いて認証動作が行われるため、無線端末のユーザはパスワードを入力する必要が無い。 When connecting to an access point using a password authentication method, a user of a wireless terminal needs to manually enter a password and perform an authentication operation for each access point having a different SSID (service set ID). On the other hand, when connecting to an access point using the SIM authentication method, an authentication operation is performed using SIM information of the wireless terminal, so that the user of the wireless terminal does not need to input a password.
上述のように、パスワード認証方法に比べ、SIM認証方法は、高い安全性と利便性といった利点をユーザに提供し得る。しかし、タブレット端末等、SIMを有さない(すなわち、移動体通信網における加入者識別情報を有さない)無線端末は、SIM認証方法による認証動作を行うことができない。 As described above, compared to the password authentication method, the SIM authentication method can provide the user with advantages such as high safety and convenience. However, a wireless terminal such as a tablet terminal that does not have a SIM (that is, does not have subscriber identification information in a mobile communication network) cannot perform an authentication operation using the SIM authentication method.
本発明は、上記の課題に鑑みてなされたものであり、移動体通信網における加入者識別情報を有さない無線端末についても、加入者識別情報を用いる認証方法を使用できるようにすることを目的とする。 The present invention has been made in view of the above problems, and is intended to enable an authentication method using subscriber identification information to be used even for a wireless terminal that does not have subscriber identification information in a mobile communication network. Objective.
本発明の無線通信システムは、移動体通信網における加入者識別情報を有する第1無線端末と、前記移動体通信網における加入者識別情報を有さない第2無線端末とを含む複数の無線端末と、前記第1無線端末と前記移動体通信網との通信を中継するアクセスポイントとを備え、前記第2無線端末は、前記第1無線端末との通信を実行する第2端末通信部と、前記第2無線端末が前記アクセスポイントへ接続するために用いる認証情報を前記第1無線端末が代理で取得するよう要求する第1認証要求を、前記第2端末通信部を通じて前記第1無線端末へ送信する代理認証要求部とを備え、前記第1無線端末は、前記第2無線端末との通信を実行する第1端末通信部と、前記第1認証要求を受信すると、前記認証情報を、前記加入者識別情報を用いて要求する認証情報要求部と、前記認証情報要求部の要求に応じて取得された前記認証情報を、前記第1端末通信部を通じて前記第2無線端末へ送信する認証情報送信部とを備える。 A radio communication system according to the present invention includes a plurality of radio terminals including a first radio terminal having subscriber identification information in a mobile communication network and a second radio terminal having no subscriber identification information in the mobile communication network. And an access point that relays communication between the first wireless terminal and the mobile communication network, and the second wireless terminal performs communication with the first wireless terminal, A first authentication request for requesting the first wireless terminal to acquire authentication information used for connecting the second wireless terminal to the access point by proxy is sent to the first wireless terminal through the second terminal communication unit. A proxy authentication requesting unit for transmitting, wherein the first wireless terminal receives the first authentication request when receiving the first authentication request, and a first terminal communication unit that performs communication with the second wireless terminal. Subscriber identification information Comprises an authentication information request unit that requests have, the authentication information acquired in response to a request of the authentication information request part, the authentication information transmitting unit for transmitting to the second wireless terminal through the first terminal communication unit.
本発明の無線端末は、移動体通信網における加入者識別情報を有する第1無線端末と、前記移動体通信網における加入者識別情報を有さない第2無線端末とを含む複数の無線端末と、前記第1無線端末と前記移動体通信網との通信を中継するアクセスポイントとを備える無線通信システムにおける前記第1無線端末であって、前記第2無線端末との通信を実行する第1端末通信部と、前記第2無線端末から、前記第2無線端末が前記アクセスポイントへ接続するために用いる認証情報を前記第1無線端末が代理で取得するよう要求する第1認証要求を受信した後、前記認証情報を、前記加入者識別情報を用いて要求する認証情報要求部と、前記認証情報要求部の要求に応じて取得された前記認証情報を、前記第1端末通信部を通じて前記第2無線端末へ送信する認証情報送信部とを備える。 A radio terminal of the present invention includes a plurality of radio terminals including a first radio terminal having subscriber identification information in a mobile communication network and a second radio terminal having no subscriber identification information in the mobile communication network; The first wireless terminal in a wireless communication system comprising an access point that relays communication between the first wireless terminal and the mobile communication network, the first terminal performing communication with the second wireless terminal After receiving a first authentication request from the communication unit and the second wireless terminal requesting that the first wireless terminal obtains authentication information used by the second wireless terminal to connect to the access point by proxy The authentication information requesting unit that requests the authentication information using the subscriber identification information, and the authentication information acquired in response to the request of the authentication information requesting unit through the first terminal communication unit. And a authentication information transmitting unit for transmitting to the line terminal.
本発明の別の無線端末は、移動体通信網における加入者識別情報を有する第1無線端末と、前記移動体通信網における加入者識別情報を有さない第2無線端末とを含む複数の無線端末と、前記第1無線端末と前記移動体通信網との通信を中継するアクセスポイントとを備える無線通信システムにおける前記第2無線端末であって、前記第1無線端末との通信を実行する第2端末通信部と、前記第2無線端末が前記アクセスポイントへ接続するために用いる認証情報を前記第1無線端末が代理で取得するよう要求する第1認証要求を、前記第2端末通信部を通じて前記第1無線端末へ送信する代理認証要求部とを備え、前記第2端末通信部は、前記第1認証要求に応じて前記第1無線端末から送信される前記認証情報を受信する。 Another radio terminal according to the present invention includes a plurality of radios including a first radio terminal having subscriber identification information in a mobile communication network and a second radio terminal having no subscriber identification information in the mobile communication network. A second wireless terminal in a wireless communication system comprising a terminal and an access point that relays communication between the first wireless terminal and the mobile communication network, the first wireless terminal performing communication with the first wireless terminal; A two-terminal communication unit and a first authentication request for requesting the first wireless terminal to acquire authentication information used by the second wireless terminal to connect to the access point by proxy, through the second terminal communication unit A proxy authentication request unit that transmits to the first wireless terminal, and the second terminal communication unit receives the authentication information transmitted from the first wireless terminal in response to the first authentication request.
本発明によれば、移動体通信網における加入者識別情報を有さない無線端末についても、加入者識別情報を用いる認証方法を使用できる。 ADVANTAGE OF THE INVENTION According to this invention, the authentication method using subscriber identification information can be used also about the radio | wireless terminal which does not have subscriber identification information in a mobile communication network.
以下、添付の図面を参照しながら本発明に係る様々な実施の形態を説明する。 Hereinafter, various embodiments according to the present invention will be described with reference to the accompanying drawings.
1.第1実施形態
本実施形態では、移動体通信網MNWにおける加入者識別情報SIDを有する第1無線端末STA1が、加入者識別情報SIDを有さない第2無線端末STA2の代理として、自らの加入者識別情報SIDを用いて認証動作(ユーザ認証)を行う。第1無線端末STA1は、認証動作の結果として得た、アクセスポイントAPとの通信を暗号化する一時的な暗号化鍵である一時鍵PTK(pairwise transient key)を、第2無線端末STA2へ送信する。
1. First Embodiment In the present embodiment, the first wireless terminal STA1 having the subscriber identification information SID in the mobile communication network MNW makes its own subscription as a proxy for the second wireless terminal STA2 having no subscriber identification information SID. Authentication operation (user authentication) is performed using the person identification information SID. The first wireless terminal STA1 transmits a temporary key PTK (pairwise transient key), which is a temporary encryption key for encrypting communication with the access point AP, obtained as a result of the authentication operation, to the second wireless terminal STA2. To do.
1−1.無線通信システムの構成
図1は、本発明の第1実施形態に係る無線通信システムCSの構成を示す。無線通信システムCSは、第1無線端末STA1と、第2無線端末STA2と、アクセスポイントAPと、認証装置AAAと、加入者情報管理装置HSSとを備える。また、移動体通信網MNWは、以上の要素のうち、認証装置AAAと加入者情報管理装置HSSとを備える。以上の各要素は、無線通信システムCS内にそれぞれ複数存在し得る。
1-1. Configuration of Radio Communication System FIG. 1 shows a configuration of a radio communication system CS according to the first embodiment of the present invention. The radio communication system CS includes a first radio terminal STA1, a second radio terminal STA2, an access point AP, an authentication device AAA, and a subscriber information management device HSS. The mobile communication network MNW includes an authentication device AAA and a subscriber information management device HSS among the above elements. A plurality of the above elements may exist in the radio communication system CS.
第1無線端末STA1と第2無線端末STA2とは、相互に無線通信が可能である。第1無線端末STA1と第2無線端末STA2との通信には、所定の無線通信技術、例えば、Bluetooth(登録商標)、NFC(Near Field Communication)等が用いられる。 The first wireless terminal STA1 and the second wireless terminal STA2 can wirelessly communicate with each other. For communication between the first wireless terminal STA1 and the second wireless terminal STA2, a predetermined wireless communication technology such as Bluetooth (registered trademark), NFC (Near Field Communication), or the like is used.
第1無線端末STA1は、移動体通信網MNWにおける加入者識別情報SIDと加入者識別情報SIDに対応付けられた加入者登録情報Kとを有する。第1無線端末STA1は、移動体通信網MNW内の認証装置AAAに対して、加入者識別情報SIDを用いる認証方法で自端末を認証するよう、自らの加入者識別情報SIDを用いて要求することができる。
一方で、第2無線端末STA2は移動体通信網MNWにおける加入者識別情報SIDを有さない。そのため、第2無線端末STA2は、認証装置AAAに対し、加入者識別情報SIDを用いる認証方法で自端末を認証するよう要求することができない。
The first wireless terminal STA1 has subscriber identification information SID in the mobile communication network MNW and subscriber registration information K associated with the subscriber identification information SID. The first wireless terminal STA1 requests the authentication apparatus AAA in the mobile communication network MNW to authenticate itself with an authentication method using the subscriber identification information SID using its own subscriber identification information SID. be able to.
On the other hand, the second wireless terminal STA2 does not have the subscriber identification information SID in the mobile communication network MNW. For this reason, the second wireless terminal STA2 cannot request the authentication device AAA to authenticate itself with an authentication method using the subscriber identification information SID.
加入者情報管理装置HSSは、第1無線端末STA1の加入者識別情報SIDと加入者登録情報Kとを対応付けて記憶している。すなわち、第1無線端末STA1と加入者情報管理装置HSSとのそれぞれが、加入者識別情報SIDと加入者識別情報SIDに対応する加入者登録情報Kとを有している。 The subscriber information management device HSS stores the subscriber identification information SID of the first wireless terminal STA1 and the subscriber registration information K in association with each other. That is, each of the first wireless terminal STA1 and the subscriber information management device HSS has subscriber identification information SID and subscriber registration information K corresponding to the subscriber identification information SID.
加入者情報管理装置HSSは、有線または無線にて認証装置AAAに接続される。認証装置AAAと加入者情報管理装置HSSとの通信と、認証装置AAAと第1無線端末STA1との通信とは、所定のアクセス技術(Radio Access Technology)、例えば3GPP規格(Third Generation Partnership Project)に規定されるLTE/SAE(Long Term Evolution / System Architecture Evolution)に従って実行される。 The subscriber information management device HSS is connected to the authentication device AAA by wire or wireless. The communication between the authentication device AAA and the subscriber information management device HSS and the communication between the authentication device AAA and the first wireless terminal STA1 are based on a predetermined access technology (Radio Access Technology), for example, 3GPP standard (Third Generation Partnership Project). It is executed in accordance with the specified LTE / SAE (Long Term Evolution / System Architecture Evolution).
アクセスポイントAPは、認証装置AAAと、無線通信システムCSの外部ネットワークであるインターネットINとに接続される。以上の接続の形態は有線でも無線でもよい。アクセスポイントAPは、第1無線端末STA1と第2無線端末STA2とのそれぞれと無線通信を実行する基地局として機能する。具体的に、アクセスポイントAPは、第1無線端末STA1と認証装置AAAとの通信と、第1無線端末STA1とインターネットINとの通信とを中継する。また、アクセスポイントAPは、第2無線端末STA2とインターネットINとの通信を中継する。 The access point AP is connected to the authentication device AAA and the Internet IN that is an external network of the radio communication system CS. The above connection form may be wired or wireless. The access point AP functions as a base station that performs wireless communication with each of the first wireless terminal STA1 and the second wireless terminal STA2. Specifically, the access point AP relays communication between the first wireless terminal STA1 and the authentication device AAA and communication between the first wireless terminal STA1 and the Internet IN. The access point AP relays communication between the second wireless terminal STA2 and the Internet IN.
アクセスポイントAPと各無線端末(第1無線端末STA1、第2無線端末STA2)とは、所定の無線アクセス技術、例えば無線LAN規格(例えば、IEEE 802.11n、IEEE802.11ac)に従って無線通信を行う。以下では、アクセスポイントAPと各無線端末とが無線LAN規格に従って無線通信を行う形態を例示して説明するが、本発明の技術的範囲を限定する趣旨ではない。本発明は、必要な設計上の変形を施した上で、他の無線アクセス技術(例えば、IEEE 802.16-2004およびIEEE 802.16eに規定されるWiMAX)にも適用可能である。 The access point AP and each wireless terminal (first wireless terminal STA1, second wireless terminal STA2) perform wireless communication according to a predetermined wireless access technology, for example, a wireless LAN standard (for example, IEEE 802.11n, IEEE 802.11ac). Hereinafter, a mode in which the access point AP and each wireless terminal perform wireless communication according to the wireless LAN standard will be described as an example. However, the technical scope of the present invention is not limited. The present invention can be applied to other radio access technologies (for example, WiMAX defined in IEEE 802.16-2004 and IEEE 802.16e) with necessary design modifications.
1−2.代理認証動作
1−2−1.代理認証動作の概要
以下、図2および図3を参照して、本実施形態の代理認証動作の一例を説明する。なお、本明細書内において、「代理認証動作」とは、加入者識別情報SIDを有する第1無線端末STA1が、加入者識別情報SIDを有さない第2無線端末STA2の代理で、自らの加入者識別情報SIDを用いて認証動作を実行し、その結果として得られる認証情報(例えば、通信暗号化鍵)を第2無線端末STA2へ送信する一連の動作を指すものとする。
1-2. Proxy authentication operation 1-2-1. Outline of Proxy Authentication Operation Hereinafter, an example of the proxy authentication operation of the present embodiment will be described with reference to FIGS. 2 and 3. In the present specification, the “proxy authentication operation” means that the first wireless terminal STA1 having the subscriber identification information SID is the proxy of the second wireless terminal STA2 having no subscriber identification information SID. The authentication operation is performed using the subscriber identification information SID, and a series of operations for transmitting the authentication information (for example, communication encryption key) obtained as a result to the second wireless terminal STA2 is indicated.
概略的には、アクセスポイントAPを介してインターネットINとの通信を開始する第2無線端末STA2は、第1無線端末STA1に対し、第2無線端末STA2の代理として認証動作を実行するよう要求する。第2無線端末STA2の要求に応じて、第1無線端末STA1は自らの加入者識別情報SIDを用いて認証動作を行い、認証動作により生成される一時鍵PTKを第2無線端末STA2へ送信する。 Schematically, the second wireless terminal STA2 that starts communication with the Internet IN via the access point AP requests the first wireless terminal STA1 to perform an authentication operation on behalf of the second wireless terminal STA2. . In response to a request from the second wireless terminal STA2, the first wireless terminal STA1 performs an authentication operation using its own subscriber identification information SID, and transmits a temporary key PTK generated by the authentication operation to the second wireless terminal STA2. .
以下の各実施形態では、無線端末とアクセスポイントAPとが共有するマスター鍵PMK(pairwise master key)がEAP-AKAに従って生成され、無線端末とアクセスポイントAPとが共有する一時鍵PTKが4ウェイハンドシェイク(4-way handshake)に従って生成される様子を説明するが、本願の発明の技術的範囲を限定する意図ではない。必要な設計上の変形を施した上で、他の認証プロトコル(例えば、EAP-SIM)が使用されてもよい。 In each of the following embodiments, a master key PMK (pairwise master key) shared by a wireless terminal and an access point AP is generated according to EAP-AKA, and a temporary key PTK shared by the wireless terminal and the access point AP is a 4-way hand. Although it will be described how it is generated according to a shake (4-way handshake), it is not intended to limit the technical scope of the present invention. Other authentication protocols (eg, EAP-SIM) may be used with the necessary design variations.
1−2−2.代理認証動作の一例
図2および図3は、代理認証動作の一例を示すフロー図である。図2および図3の例では、第1無線端末STA1と加入者情報管理装置HSSとのそれぞれが、予め第1無線端末STA1の加入者識別情報SIDと当該加入者識別情報SIDに対応する加入者登録情報Kとを有していると想定する。
1-2-2. Example of Proxy Authentication Operation FIGS. 2 and 3 are flowcharts showing an example of the proxy authentication operation. In the example of FIGS. 2 and 3, each of the first wireless terminal STA1 and the subscriber information management device HSS has previously registered the subscriber identification information SID of the first wireless terminal STA1 and the subscriber corresponding to the subscriber identification information SID. It is assumed that registration information K is included.
第2無線端末STA2がアクセスポイントAPを介して外部ネットワークであるインターネットINと通信を開始する場合、第2無線端末STA2はまず第1無線端末STA1との接続を確立する(S100)。第1無線端末STA1との接続を確立した後、第2無線端末STA2は、第1無線端末STA1と第2無線端末STA2との通信を暗号化する端末間暗号鍵TEKと、端末間暗号鍵TEKで暗号化された通信を復号化する端末間復号鍵TDKとを生成し(S110)、端末間暗号鍵TEKを第1無線端末STA1に送信する(S120)。 When the second wireless terminal STA2 starts communication with the Internet IN, which is an external network, via the access point AP, the second wireless terminal STA2 first establishes a connection with the first wireless terminal STA1 (S100). After establishing the connection with the first wireless terminal STA1, the second wireless terminal STA2 encrypts the communication between the first wireless terminal STA1 and the second wireless terminal STA2, and the inter-terminal encryption key TEK. An inter-terminal decryption key TDK for decrypting the communication encrypted in step S110 is generated (S110), and the inter-terminal encryption key TEK is transmitted to the first wireless terminal STA1 (S120).
第2無線端末STA2は、当該第2無線端末STA2がアクセスポイントAPと接続および通信するために用いられる認証情報である一時鍵PTKを、第1無線端末STA1が代理で取得するよう要求する第1認証要求を、第1無線端末STA1へ送信する(S130)。第1認証要求には、第1認証要求を送信する無線端末STA(すなわち、第2無線端末STA2)の宛先情報(例えば、MACアドレス)が含まれてよい。 The first wireless terminal STA2 requests the first wireless terminal STA1 to obtain a temporary key PTK, which is authentication information used for the second wireless terminal STA2 to connect and communicate with the access point AP, on the proxy. An authentication request is transmitted to the first wireless terminal STA1 (S130). The first authentication request may include destination information (for example, a MAC address) of the wireless terminal STA (that is, the second wireless terminal STA2) that transmits the first authentication request.
第1認証要求を受信した後、第1無線端末STA1は、マスター鍵PMKを生成する。マスター鍵PMKは、アクセスポイントAPと第1無線端末STA1との通信の暗号化に使用する通信暗号化鍵である一時鍵PTKに先立って生成される暗号化鍵であり、一時鍵PTKはマスター鍵PMKに基づいて生成される。以下にマスター鍵PMK生成の手順(ステップS140からS230)を説明する。 After receiving the first authentication request, the first wireless terminal STA1 generates a master key PMK. The master key PMK is an encryption key generated prior to the temporary key PTK that is a communication encryption key used for encryption of communication between the access point AP and the first wireless terminal STA1, and the temporary key PTK is the master key. Generated based on PMK. The procedure for generating the master key PMK (steps S140 to S230) will be described below.
第1認証要求を受信すると、第1無線端末STA1は、自らの加入者識別情報SIDを搭載した第2認証要求を、アクセスポイントAPを介して認証装置AAAへ送信する(S140)。第2認証要求は、搭載した加入者識別情報SIDを有する無線端末STA(すなわち、第1無線端末STA1)を認証装置AAAが認証するよう要求するメッセージである。 When receiving the first authentication request, the first wireless terminal STA1 transmits a second authentication request carrying its own subscriber identification information SID to the authentication device AAA via the access point AP (S140). The second authentication request is a message requesting that the authentication device AAA authenticate the wireless terminal STA having the installed subscriber identification information SID (that is, the first wireless terminal STA1).
第2認証要求を受信すると、認証装置AAAは、認証用パラメタ要求メッセージを加入者情報管理装置HSSへ送信する(S150)。認証用パラメタ要求メッセージは、認証用パラメタを要求するメッセージであり、第2認証要求に搭載された加入者識別情報SIDを含む。認証用パラメタは、当該加入者識別情報SIDに対応する情報であり、当該加入者識別情報SIDを有する無線端末STA(すなわち、第1無線端末STA1)を認証するための情報である。 Upon receiving the second authentication request, the authentication device AAA transmits an authentication parameter request message to the subscriber information management device HSS (S150). The authentication parameter request message is a message for requesting an authentication parameter, and includes the subscriber identification information SID mounted in the second authentication request. The authentication parameter is information corresponding to the subscriber identification information SID, and is information for authenticating the wireless terminal STA (that is, the first wireless terminal STA1) having the subscriber identification information SID.
認証用パラメタ要求メッセージを受信すると、加入者情報管理装置HSSは、認証用パラメタ要求メッセージに含まれる加入者識別情報SIDに対応する加入者登録情報Kを検索する。そして、当該加入者登録情報Kを用いて加入者識別情報SIDに対応する認証用パラメタを生成し(S160)、認証装置AAAへ送信する(S170)。認証用パラメタは、マスター鍵PMKの生成に用いられる鍵情報KMと、第1無線端末STA1が移動体通信網MNWを検証するために用いられるネットワーク認証トークンAUTNと、認証装置AAAが第1無線端末STA1を検証するために用いられる端末検証用パラメタXRESとを含む。 When receiving the authentication parameter request message, the subscriber information management device HSS searches for subscriber registration information K corresponding to the subscriber identification information SID included in the authentication parameter request message. Then, an authentication parameter corresponding to the subscriber identification information SID is generated using the subscriber registration information K (S160) and transmitted to the authentication device AAA (S170). The authentication parameter includes key information KM used for generating the master key PMK, a network authentication token AUTN used by the first wireless terminal STA1 to verify the mobile communication network MNW, and the authentication device AAA using the first wireless terminal. And terminal verification parameter XRES used for verifying STA1.
認証用パラメタを受信すると、認証装置AAAは、受信した認証用パラメタに含まれる鍵情報KMを用いてアクセスポイントマスター鍵APMKを生成する(S180)。そして、アクセスポイントマスター鍵APMKを用いて生成した第1メッセージ認証コード(message authentication code)MAC1と、ネットワーク認証トークンAUTNとを含むチャレンジメッセージを、アクセスポイントAPを介して第1無線端末STA1へ送信する(S190)。 When receiving the authentication parameter, the authentication device AAA generates the access point master key APMK using the key information KM included in the received authentication parameter (S180). Then, a challenge message including the first message authentication code MAC1 generated using the access point master key APMK and the network authentication token AUTN is transmitted to the first wireless terminal STA1 via the access point AP. (S190).
チャレンジメッセージを受信すると、第1無線端末STA1はチャレンジメッセージに含まれるネットワーク認証トークンAUTNに基づき、通信している相手が正当な移動体通信網MNWであることを検証する。続いて、第1無線端末STA1は自らが有する加入者登録情報Kを用いて鍵情報KMを生成し、鍵情報KMを用いて端末マスター鍵SPMKを生成する(S200)。そして、チャレンジメッセージに含まれる第1メッセージ認証コードMAC1に基づき、第1無線端末STA1が生成した端末マスター鍵SPMKと認証装置AAAが生成したアクセスポイントマスター鍵APMKとが一致することを検証する。その後、第1無線端末STA1は、認証装置AAAが第1無線端末STA1を検証するために用いる端末検証用パラメタRESと、端末マスター鍵SPMKを用いて生成した第2メッセージ認証コードMAC2とを含むレスポンスメッセージを、アクセスポイントAPを介して認証装置AAAへ送信する(S210)。端末検証用パラメタRESは、第1無線端末STA1が自らの加入者登録情報Kを用いて生成するパラメタである。 When receiving the challenge message, the first wireless terminal STA1 verifies that the communicating party is a valid mobile communication network MNW based on the network authentication token AUTN included in the challenge message. Subsequently, the first wireless terminal STA1 generates key information KM using the subscriber registration information K that it has, and generates a terminal master key SPMK using the key information KM (S200). Then, based on the first message authentication code MAC1 included in the challenge message, it is verified that the terminal master key SPMK generated by the first wireless terminal STA1 matches the access point master key APMK generated by the authentication device AAA. Thereafter, the first wireless terminal STA1 includes a response including the terminal verification parameter RES used by the authentication device AAA for verifying the first wireless terminal STA1 and the second message authentication code MAC2 generated using the terminal master key SPMK. A message is transmitted to the authentication device AAA via the access point AP (S210). The terminal verification parameter RES is a parameter generated by the first wireless terminal STA1 using its own subscriber registration information K.
レスポンスメッセージを受信すると、認証装置AAAは、レスポンスメッセージに含まれる端末検証用パラメタRESと、加入者情報管理装置HSSから受信した認証用パラメタに含まれる端末検証用パラメタXRESとに基づき、通信している相手が正当な第1無線端末STA1であることを検証する。また、レスポンスメッセージに含まれる第2メッセージ認証コードMAC2に基づき、第1無線端末STA1が生成した端末マスター鍵SPMKと認証装置AAAが生成したアクセスポイントマスター鍵APMKとが一致することを検証する。これら、端末検証用パラメタRESと第2メッセージ認証コードMAC2との検証の後、認証装置AAAは、第1無線端末STA1を認証する判定を下し(S220)、アクセスポイントAPを介して、当該判定(認証成功)を第1無線端末STA1へ通知する(S230)。また、認証装置AAAは、アクセスポイントマスター鍵APMKをアクセスポイントAPへ送信する(S240)。 Upon receiving the response message, the authentication device AAA communicates based on the terminal verification parameter RES included in the response message and the terminal verification parameter XRES included in the authentication parameter received from the subscriber information management device HSS. It is verified that the other party is a valid first wireless terminal STA1. Further, based on the second message authentication code MAC2 included in the response message, it is verified that the terminal master key SPMK generated by the first wireless terminal STA1 matches the access point master key APMK generated by the authentication device AAA. After the verification of the terminal verification parameter RES and the second message authentication code MAC2, the authentication device AAA makes a determination to authenticate the first wireless terminal STA1 (S220), and the determination is made via the access point AP. (Authentication success) is notified to the first wireless terminal STA1 (S230). Further, the authentication device AAA transmits the access point master key APMK to the access point AP (S240).
認証成功が通知された後、第1無線端末STA1は、アクセスポイントAPとの通信の暗号化に使用する通信暗号化鍵である一時鍵PTKを生成する。一時鍵PTKは、第1無線端末STA1とアクセスポイントAPとで共通のマスター鍵PMK(端末マスター鍵SPMK、アクセスポイントマスター鍵APMK)に基づいて生成される。以下に一時鍵PTK生成の手順(ステップS250からS300)を説明する。 After being notified of successful authentication, the first wireless terminal STA1 generates a temporary key PTK that is a communication encryption key used for encryption of communication with the access point AP. The temporary key PTK is generated based on a master key PMK (terminal master key SPMK, access point master key APMK) common to the first wireless terminal STA1 and the access point AP. The procedure for generating the temporary key PTK (steps S250 to S300) will be described below.
アクセスポイントマスター鍵APMKの受信後、アクセスポイントAPはアクセスポイント乱数ANONCEを生成し、アクセスポイント乱数ANONCEを含む第1メッセージフレームを第1無線端末STA1へ送信する(S250)。 After receiving the access point master key APMK, the access point AP generates an access point random number ANONCE and transmits a first message frame including the access point random number ANONCE to the first wireless terminal STA1 (S250).
第1メッセージフレームの受信後、第1無線端末STA1は、端末乱数SNONCEを生成する。そして、端末乱数SNONCEと、受信した第1メッセージフレームに含まれるアクセスポイント乱数ANONCEと、端末マスター鍵SPMKとに基づいて、端末一時鍵SPTKを生成する(S260)。続いて、端末一時鍵SPTKに基づいて生成した第1メッセージ完全性コード(message integrity code)MIC1と、端末乱数SNONCEとを含む第2メッセージフレームをアクセスポイントAPへ送信する(S270)。 After receiving the first message frame, the first wireless terminal STA1 generates a terminal random number SNANCE. Then, the terminal temporary key SPTK is generated based on the terminal random number SNANCE, the access point random number ANONCE included in the received first message frame, and the terminal master key SPMK (S260). Subsequently, a second message frame including the first message integrity code MIC1 generated based on the terminal temporary key SPTK and the terminal random number SNONCE is transmitted to the access point AP (S270).
第2メッセージフレームは、第1無線端末STA1が生成した端末一時鍵SPTKと、アクセスポイントAPが第2メッセージフレームに基づいて生成する一時鍵PTKとが、第1無線端末STA1が代理する無線端末STA(すなわち、第2無線端末STA2)との通信に用いられることをアクセスポイントAPに知らせる端末情報通知を含む。端末情報通知には、第2無線端末STA2の宛先情報(例えば、第2無線端末STA2のMACアドレス)が含まれる。 The second message frame includes a terminal temporary key SPTK generated by the first wireless terminal STA1 and a wireless key STA that the first wireless terminal STA1 substitutes for the temporary key PTK generated by the access point AP based on the second message frame. (In other words, it includes terminal information notification that informs the access point AP that it is used for communication with the second wireless terminal STA2). The terminal information notification includes destination information of the second wireless terminal STA2 (for example, the MAC address of the second wireless terminal STA2).
第2メッセージフレームを受信すると、アクセスポイントAPは第2メッセージフレームに含まれる端末乱数SNONCEと、アクセスポイント乱数ANONCEと、アクセスポイントマスター鍵APMKとに基づいて、アクセスポイント一時鍵APTKを生成する(S280)。そして、端末一時鍵SPTKに基づいて生成された第1メッセージ完全性コードMIC1と一致するメッセージ完全性コードMICを、アクセスポイントAPが生成したアクセスポイント一時鍵APTKを用いて生成できることを検証する。その後、アクセスポイントAPは、アクセスポイント一時鍵APTKに基づいて生成した第2メッセージ完全性コードMIC2を含む第3メッセージフレームを第1無線端末STA1へ送信する(S290)。 Upon receiving the second message frame, the access point AP generates an access point temporary key APTK based on the terminal random number SNANCE, the access point random number ANONCE, and the access point master key APMK included in the second message frame (S280). ). Then, it is verified that the message integrity code MIC that matches the first message integrity code MIC1 generated based on the terminal temporary key SPTK can be generated using the access point temporary key APTK generated by the access point AP. Thereafter, the access point AP transmits a third message frame including the second message integrity code MIC2 generated based on the access point temporary key APTK to the first wireless terminal STA1 (S290).
第3メッセージフレームを受信すると、第1無線端末STA1は、アクセスポイント一時鍵APTKに基づいて生成された第2メッセージ完全性コードMIC2と一致するメッセージ完全性コードMICを、第1無線端末STA1が生成した端末一時鍵SPTKを用いて生成できることを検証する。その後、端末一時鍵SPTKに基づいて生成した第3メッセージ完全性コードMIC3を含む第4メッセージフレームが第1無線端末STA1からアクセスポイントAPへ送信される(S300)。 When receiving the third message frame, the first wireless terminal STA1 generates a message integrity code MIC that matches the second message integrity code MIC2 generated based on the access point temporary key APTK. It is verified that the terminal temporary key SPTK can be generated. Thereafter, a fourth message frame including the third message integrity code MIC3 generated based on the terminal temporary key SPTK is transmitted from the first wireless terminal STA1 to the access point AP (S300).
第4メッセージフレームの受信後、アクセスポイントAPは上述と同様の手順で第4メッセージフレームに含まれる第3メッセージ完全性コードMIC3を検証する。その後、アクセスポイントAPは、端末情報通知により通知された無線端末STA(すなわち、第2無線端末STA2)との通信に、アクセスポイント一時鍵APTKを使用するよう、自身を設定する。 After receiving the fourth message frame, the access point AP verifies the third message integrity code MIC3 included in the fourth message frame in the same procedure as described above. Thereafter, the access point AP sets itself to use the access point temporary key APTK for communication with the wireless terminal STA notified by the terminal information notification (that is, the second wireless terminal STA2).
第4メッセージフレームをアクセスポイントAPへ送信後、第1無線端末STA1は、生成した端末一時鍵SPTKを、ステップS120で第2無線端末STA2から受信した端末間暗号鍵TEKで暗号化し、第2無線端末STA2へ送信する(S310)。なお、端末一時鍵SPTKは、端末情報通知の送信後に送信されればよく、第4メッセージフレームの送信前に送信されてもよい。 After transmitting the fourth message frame to the access point AP, the first wireless terminal STA1 encrypts the generated terminal temporary key SPTK with the inter-terminal encryption key TEK received from the second wireless terminal STA2 in step S120, and the second wireless terminal STA1 It transmits to terminal STA2 (S310). The terminal temporary key SPTK may be transmitted after the terminal information notification is transmitted, and may be transmitted before the transmission of the fourth message frame.
暗号化された端末一時鍵SPTKを第1無線端末STA1から受信した後、第2無線端末STA2はステップS110で生成した端末間復号鍵TDKを用いて復号化し、端末一時鍵SPTKを用いてアクセスポイントAPへ接続し、通信を開始する(S320)。 After receiving the encrypted terminal temporary key SPTK from the first wireless terminal STA1, the second wireless terminal STA2 decrypts it using the inter-terminal decryption key TDK generated in step S110, and uses the terminal temporary key SPTK to access the access point. Connect to the AP and start communication (S320).
第2無線端末STA2とアクセスポイントAPとの接続が維持されている間、アクセスポイントAPと第1無線端末STA1とは間欠的に上述の共通一時鍵PTK生成手順(S250からS300)を実行する(S330からS380)。なお、端末情報通知は、共通一時鍵PTK生成手順が実行される度に送信されて(ステップS270およびS350の第2メッセージフレームに含まれて)もよいし、初回の共通一時鍵PTK生成手順のみで送信されて(ステップS270の第2メッセージフレームのみに含まれて)もよい。 While the connection between the second wireless terminal STA2 and the access point AP is maintained, the access point AP and the first wireless terminal STA1 intermittently execute the above-described common temporary key PTK generation procedure (S250 to S300) ( S330 to S380). The terminal information notification may be transmitted each time the common temporary key PTK generation procedure is executed (included in the second message frame in steps S270 and S350), or only the initial common temporary key PTK generation procedure. (Only included in the second message frame in step S270).
端末一時鍵SPTKが新たに生成される度に、第1無線端末STA1は新たな端末一時鍵SPTKを端末間暗号鍵TEKで暗号化して第2無線端末STA2へ送信する(S390)。すなわち、第2無線端末STA2が第1認証要求を送信した後(S130)、第2無線端末STA2とアクセスポイントAPとの接続が切断されるまで、第1無線端末STA1と第2無線端末STA2との接続は維持される。 Each time the terminal temporary key SPTK is newly generated, the first wireless terminal STA1 encrypts the new terminal temporary key SPTK with the inter-terminal encryption key TEK and transmits it to the second wireless terminal STA2 (S390). That is, after the second wireless terminal STA2 transmits the first authentication request (S130), until the connection between the second wireless terminal STA2 and the access point AP is disconnected, the first wireless terminal STA1 and the second wireless terminal STA2 Connection is maintained.
第2無線端末STA2とアクセスポイントAPとの接続が切断された後(S400)、第1無線端末STA1と第2無線端末STA2との接続が切断される(S410)。 After the connection between the second wireless terminal STA2 and the access point AP is disconnected (S400), the connection between the first wireless terminal STA1 and the second wireless terminal STA2 is disconnected (S410).
以上に説明した代理認証動作によれば、移動体通信網MNWにおける加入者識別情報SIDを有さない第2無線端末STA2についても、加入者識別情報SIDを用いる認証方法を適用し得る。 According to the proxy authentication operation described above, the authentication method using the subscriber identification information SID can be applied to the second wireless terminal STA2 that does not have the subscriber identification information SID in the mobile communication network MNW.
1−3.各要素の構成
1−3−1.第1無線端末の構成
図4は、第1実施形態に係る第1無線端末STA1の構成を示すブロック図である。第1無線端末STA1は、無線通信部110と、端末通信部120と、記憶部130と、制御部140とを備える。なお、音声及び映像等を出力する出力装置およびユーザからの指示を受け付ける入力装置等の図示は、便宜的に省略されている。
1-3. Configuration of each element 1-3-1. Configuration of First Wireless Terminal FIG. 4 is a block diagram showing a configuration of the first wireless terminal STA1 according to the first embodiment. The first wireless terminal STA1 includes a
無線通信部110は、アクセスポイントAPと無線通信を実行するための要素であり、無線信号を受信する受信回路と無線信号を送信する送信回路とを含む。端末通信部120は、第2無線端末STA2と無線通信を実行するための要素であり、無線信号を受信する受信回路と無線信号を送信する送信回路とを含む。なお、第1無線端末STA1と第2無線端末STA2とがWi-Fi Direct等の無線LAN規格に従って無線通信を行う場合、第1無線端末STA1は端末通信部120を含まずに無線通信部110によって第2無線端末STA2との無線通信を行ってもよい。
The
記憶部130は、第1無線端末STA1の制御に関連するコンピュータプログラムと認証動作に関わる情報(例えば、端末マスター鍵SPMK、端末間暗号鍵TEK)とを格納する。制御部140は、認証情報要求部142と、マスター鍵生成部144と、レスポンス送信部146と、端末乱数生成部148と、一時鍵生成部150と、フレーム送信部152と、端末間通信暗号化部154と、認証情報送信部156とを要素として含む。
The
認証情報要求部142は、第2無線端末STA2から第1認証要求を受信すると、アクセスポイントAPへ接続するために用いる認証情報を第1無線端末STA1が有する加入者識別情報SIDを用いて要求する要素であり、アクセスポイントAPを介して、第2認証要求を認証装置AAAへ送信する。マスター鍵生成部144は、加入者登録情報Kに基づいて、端末マスター鍵SPMKを生成する。レスポンス送信部146は、チャレンジメッセージを受信した後、第2メッセージ認証コードMAC2等を含むレスポンスメッセージを認証装置AAAへ送信する。端末乱数生成部148は、端末乱数SNONCEを生成する。一時鍵生成部150は、アクセスポイント乱数ANONCEと端末乱数SNONCEと端末マスター鍵SPMKとに基づいて、端末一時鍵SPTKを生成する。フレーム送信部152は、メッセージフレーム(第2メッセージフレーム、第4メッセージフレーム)をアクセスポイントAPへ送信する。端末間通信暗号化部154は、端末間暗号鍵TEKを用いて、第2無線端末STA2へ送信する端末一時鍵SPTKを暗号化する。認証情報送信部156は、端末通信部120を通じて、暗号化された端末一時鍵SPTKを第2無線端末STA2へ送信する。
When receiving the first authentication request from the second wireless terminal STA2, the authentication
制御部140および制御部140に含まれる各要素は、第1無線端末STA1内の不図示のCPU(Central Processing Unit)が、記憶部130に記憶されたコンピュータプログラムを実行し、そのコンピュータプログラムに従って機能することにより実現される機能ブロックである。
The
1−3−2.第2無線端末の構成
図5は、第1実施形態に係る第2無線端末STA2の構成を示すブロック図である。第2無線端末STA2は、無線通信部210と、端末通信部220と、記憶部230と、制御部240とを備える。なお、音声及び映像等を出力する出力装置およびユーザからの指示を受け付ける入力装置等の図示は、便宜的に省略されている。
1-3-2. Configuration of Second Wireless Terminal FIG. 5 is a block diagram showing a configuration of the second wireless terminal STA2 according to the first embodiment. The second wireless terminal STA2 includes a
無線通信部210は、アクセスポイントAPと無線通信を実行するための要素であり、第1無線端末STA1の無線通信部110と同様の構成を有する。端末通信部220は、第2無線端末STA2と無線通信を実行するための要素であり、第1無線端末STA1の端末通信部120と同様の構成を有する。なお、第1無線端末STA1と第2無線端末STA2とがWi-Fi Direct等の無線LAN規格に従って無線通信を行う場合、第2無線端末STA2は端末通信部220を含まずに無線通信部210によって第1無線端末STA1との無線通信を行ってもよい。
The
記憶部230は、第2無線端末STA2の制御に関連するコンピュータプログラムと認証に関わる情報(例えば、端末一時鍵SPTK、端末間復号鍵TDK)とを格納する。制御部240は、代理認証要求部242と、端末間鍵生成部250と、端末間鍵送信部252とを要素として含む。
The
代理認証要求部242は、端末通信部220を通じて、第1認証要求を第1無線端末STA1へ送信する。端末間鍵生成部250は、端末間暗号鍵TEKと端末間復号鍵TDKとを生成する。端末間鍵送信部252は、端末間鍵生成部250が生成した端末間暗号鍵TEKを第1無線端末STA1へ送信する。
The proxy
制御部240および制御部240に含まれる各要素は、第2無線端末STA2内の不図示のCPUが、記憶部230に記憶されたコンピュータプログラムを実行し、そのコンピュータプログラムに従って機能することにより実現される機能ブロックである。
The
1−3−3.アクセスポイントの構成
図6は、第1実施形態に係るアクセスポイントAPの構成を示すブロック図である。アクセスポイントAPは、無線通信部310と、ネットワーク通信部320と、外部ネットワーク通信部330と、記憶部340と、制御部350とを備える。
1-3-3. Configuration of Access Point FIG. 6 is a block diagram showing a configuration of the access point AP according to the first embodiment. The access point AP includes a
無線通信部310は、第1無線端末STA1と第2無線端末STA2とのそれぞれと無線通信を実行するための要素であり、無線信号を受信する受信回路と無線信号を送信する送信回路とを含む。ネットワーク通信部320は、認証装置AAAと通信を実行するための要素であり、有線または無線で電気信号を送受信する。外部ネットワーク通信部330は、インターネットINと通信を実行するための要素であり、有線または無線で電気信号を送受信する。また、外部ネットワーク通信部330は必要に応じて信号のプロトコル変換を実行する。記憶部340はアクセスポイントAPの制御に関連するコンピュータプログラムと認証に関わる情報(例えば、アクセスポイントマスター鍵APMK)とを格納する。制御部350は、アクセスポイント乱数生成部352と、フレーム送信部354と、一時鍵生成部356とを備える。
The
アクセスポイント乱数生成部352は、アクセスポイント乱数ANONCEを生成する。フレーム送信部354は、メッセージフレーム(第1メッセージフレーム、第3メッセージフレーム)を第1無線端末STA1へ送信する。一時鍵生成部356は、アクセスポイント乱数ANONCEと端末乱数SNONCEとアクセスポイントマスター鍵APMKとに基づいて、アクセスポイント一時鍵APTKを生成する。
The access point
制御部350および制御部350に含まれる各要素は、アクセスポイントAP内の不図示のCPUが、記憶部340に記憶されたコンピュータプログラムを実行し、そのコンピュータプログラムに従って機能することにより実現される機能ブロックである。
The
1−3−4.認証装置の構成
図7は、第1実施形態に係る認証装置AAAの構成を示すブロック図である。認証装置AAAは、ネットワーク通信部410と、記憶部420と、制御部430とを備える。
1-3-4. Configuration of Authentication Device FIG. 7 is a block diagram showing the configuration of the authentication device AAA according to the first embodiment. The authentication device AAA includes a
ネットワーク通信部410は、加入者情報管理装置HSSおよびアクセスポイントAPと通信を実行するための要素であり、アクセスポイントAPのネットワーク通信部320と同様の構成を有する。記憶部420は認証装置AAAの制御に関連するコンピュータプログラムと認証動作に関わる情報(例えば、認証用パラメタ)とを格納する。制御部430は、認証用パラメタ取得部432と、マスター鍵生成部434と、チャレンジ送信部436と、認証判定部438と、判定結果通知部440と、マスター鍵送信部442とを備える。
The
認証用パラメタ取得部432は、第2認証要求に含まれる加入者識別情報SIDに対応する認証用パラメタを、加入者情報管理装置HSSから取得する要素であり、認証用パラメタ要求メッセージを送信する。マスター鍵生成部434は、取得した認証用パラメタに含まれる情報を用いて、アクセスポイントマスター鍵APMKを生成する。チャレンジ送信部436は、第1メッセージ認証コードMAC1等を含むチャレンジメッセージを第1無線端末STA1へ送信する。認証判定部438は、第1無線端末STA1から受信したレスポンスメッセージに含まれる情報に基づき、第1無線端末STA1を認証する判定を下す。判定結果通知部440は、認証判定部438が下した判定(例えば、認証成功)を、アクセスポイントAPを介して第1無線端末STA1へ通知する。マスター鍵送信部442は、マスター鍵生成部434が生成したアクセスポイントマスター鍵APMKをアクセスポイントAPへ送信する。
The authentication
制御部430および制御部430に含まれる各要素は、認証装置AAA内の不図示のCPUが、記憶部420に記憶されたコンピュータプログラムを実行し、そのコンピュータプログラムに従って機能することにより実現される機能ブロックである。
The
1−4.本実施形態の効果
以上の構成によれば、移動体通信網MNWにおける加入者識別情報SIDを有さない第2無線端末STA2についても、加入者識別情報SIDを用いる認証方法を使用し得る。具体的に、第2無線端末STA2は、加入者識別情報SIDを用いる認証方法による認証動作で生成される認証情報である通信暗号化鍵(一時鍵PTK)を用いて、アクセスポイントAPとの通信を暗号化し得る。上述のように、加入者識別情報SIDを用いる認証方法により生成された通信暗号化鍵は、加入者識別情報SIDを用いない認証方法により生成された通信暗号化鍵よりも、より特定されにくい場合があると理解される。したがって、本実施形態の例では、加入者識別情報SIDを用いない認証方法による認証動作を行ってアクセスポイントAPに接続する構成に比べ、第2無線端末STA2とアクセスポイントAPとがより機密性の高い通信を実行し得る。
1-4. Effects of this Embodiment According to the above configuration, the authentication method using the subscriber identification information SID can be used also for the second wireless terminal STA2 that does not have the subscriber identification information SID in the mobile communication network MNW. Specifically, the second wireless terminal STA2 communicates with the access point AP using a communication encryption key (temporary key PTK) that is authentication information generated by an authentication operation using an authentication method using the subscriber identification information SID. Can be encrypted. As described above, the communication encryption key generated by the authentication method using the subscriber identification information SID is more difficult to specify than the communication encryption key generated by the authentication method not using the subscriber identification information SID. It is understood that there is. Therefore, in the example of the present embodiment, the second wireless terminal STA2 and the access point AP are more confidential than the configuration in which the authentication operation using the authentication method that does not use the subscriber identification information SID is performed to connect to the access point AP. High communication can be performed.
さらに、以上の構成によれば、第1無線端末STA1が有する加入者識別情報SIDを用いて認証動作が実行されるため、第2無線端末STA2のユーザはパスワード等の認証情報を入力する必要がない。そのため、第2無線端末STA2のユーザがより容易にアクセスポイントAPへ接続し得る。 Furthermore, according to the above configuration, since the authentication operation is performed using the subscriber identification information SID of the first wireless terminal STA1, the user of the second wireless terminal STA2 needs to input authentication information such as a password. Absent. Therefore, the user of the second wireless terminal STA2 can connect to the access point AP more easily.
2.第2実施形態
本発明の第2実施形態を以下に説明する。以下に例示する各実施形態において、作用、機能が第1実施形態と同等である要素については、以上の説明で参照した符号を流用して各々の説明を適宜に省略する。
2. Second Embodiment A second embodiment of the present invention will be described below. In each embodiment illustrated below, about the element which an effect | action and a function are equivalent to 1st Embodiment, the code | symbol referred by the above description is diverted and each description is abbreviate | omitted suitably.
2−1.代理認証動作の一例
第1実施形態では、一時鍵PTK(端末一時鍵SPTK)が第1無線端末STA1から第2無線端末STA2へ送信される。第2実施形態では、マスター鍵PMKが第1無線端末STA1から第2無線端末STA2へ送信される。
2-1. Example of Proxy Authentication Operation In the first embodiment, a temporary key PTK (terminal temporary key SPTK) is transmitted from the first wireless terminal STA1 to the second wireless terminal STA2. In the second embodiment, the master key PMK is transmitted from the first wireless terminal STA1 to the second wireless terminal STA2.
図8および図9を参照して、本実施形態の代理認証動作の一例を説明する。この例では、第1実施形態(図2および図3)と同様、第1無線端末STA1と加入者情報管理装置HSSとのそれぞれが、予め第1無線端末STA1の加入者識別情報SIDと当該加入者識別情報SIDに対応する加入者登録情報Kとを有していると想定する。 An example of the proxy authentication operation of the present embodiment will be described with reference to FIGS. In this example, as in the first embodiment (FIGS. 2 and 3), each of the first wireless terminal STA1 and the subscriber information management device HSS previously stores the subscriber identification information SID of the first wireless terminal STA1 and the subscription. It is assumed that the subscriber registration information K corresponding to the subscriber identification information SID is included.
第2無線端末STA2による第1無線端末STA1との接続の確立(S500)から、認証装置AAAからアクセスポイントAPへのアクセスポイントマスター鍵APMKの送信(S640)は、第1実施形態のステップS100からS240までと同様であるから、説明を省略する。 The transmission of the access point master key APMK from the authentication device AAA to the access point AP (S640) from the establishment of the connection with the first wireless terminal STA1 by the second wireless terminal STA2 (S640) starts from step S100 of the first embodiment. Since it is the same as that up to S240, the description is omitted.
第1無線端末STA1の認証成功が認証装置AAAから通知された後(S630)、第1無線端末STA1は、第1無線端末STA1とアクセスポイントAPとがそれぞれ生成したマスター鍵PMK(端末マスター鍵SPMK、アクセスポイントマスター鍵APMK)が、第1無線端末STA1が代理する無線端末STA(すなわち、第2無線端末STA2)との通信に用いられることを知らせる端末情報通知をアクセスポイントAPへ送信する(S650)。端末情報通知には、第2無線端末STA2の宛先情報(例えば、第2無線端末STA2のMACアドレス)が含まれる。その後、第1無線端末STA1は、ステップS520で第2無線端末STA2から受信した端末間暗号鍵TEKで端末マスター鍵SPMKを暗号化し、第2無線端末STA2へ送信する(S660)。送信が完了した後、第1無線端末STA1と第2無線端末STA2との接続が切断される(S670)。 After the authentication device AAA is notified of the successful authentication of the first wireless terminal STA1 (S630), the first wireless terminal STA1 generates the master key PMK (terminal master key SPMK generated by the first wireless terminal STA1 and the access point AP, respectively. , The access point master key APMK) transmits to the access point AP a terminal information notification informing that the access point master key APMK is used for communication with the wireless terminal STA that the first wireless terminal STA1 acts on (ie, the second wireless terminal STA2) (S650). ). The terminal information notification includes destination information of the second wireless terminal STA2 (for example, the MAC address of the second wireless terminal STA2). After that, the first radio terminal STA1 encrypts the terminal master key SPMK with the inter-terminal encryption key TEK received from the second radio terminal STA2 in step S520, and transmits it to the second radio terminal STA2 (S660). After the transmission is completed, the connection between the first wireless terminal STA1 and the second wireless terminal STA2 is disconnected (S670).
アクセスポイントマスター鍵APMKの受信後、アクセスポイントAPはアクセスポイント乱数ANONCEを生成し、アクセスポイント乱数ANONCEを含む第1メッセージフレームを、端末情報通知により通知された無線端末STA(すなわち、第2無線端末STA2)へ送信する(S680)。 After receiving the access point master key APMK, the access point AP generates an access point random number ANONCE, and the wireless terminal STA notified by the terminal information notification (that is, the second wireless terminal) includes the first message frame including the access point random number ANONCE. To STA2) (S680).
第1メッセージフレームの受信後、第2無線端末STA2は、端末乱数SNONCEを生成する。そして、端末乱数SNONCEと、受信した第1メッセージフレームに含まれるアクセスポイント乱数ANONCEと、ステップS510で生成した端末間復号鍵TDKを用いて復号化された端末マスター鍵SPMKとに基づいて、端末一時鍵SPTKを生成する(S690)。続いて、第2無線端末STA2は、端末一時鍵SPTKに基づいて生成した第1メッセージ完全性コード(message integrity code)MIC1と、端末乱数SNONCEとを含む第2メッセージフレームをアクセスポイントAPへ送信する(S700)。 After receiving the first message frame, the second wireless terminal STA2 generates a terminal random number SNANCE. Based on the terminal random number SNANCE, the access point random number ANONCE included in the received first message frame, and the terminal master key SPMK decrypted using the inter-terminal decryption key TDK generated in step S510, the terminal temporary A key SPTK is generated (S690). Subsequently, the second wireless terminal STA2 transmits a second message frame including the first message integrity code MIC1 generated based on the terminal temporary key SPTK and the terminal random number SNANCE to the access point AP. (S700).
第2メッセージフレームを受信すると、アクセスポイントAPは、第2メッセージフレームに含まれる端末乱数SNONCEと、アクセスポイント乱数ANONCEと、アクセスポイントマスター鍵APMKとに基づいて、アクセスポイント一時鍵APTKを生成する(S710)。そして、端末一時鍵SPTKに基づいて生成された第1メッセージ完全性コードMIC1と一致するメッセージ完全性コードMICを、アクセスポイントAPが生成したアクセスポイント一時鍵APTKを用いて生成できることを検証する。その後、アクセスポイントAPは、アクセスポイント一時鍵APTKに基づいて生成した第2メッセージ完全性コードMIC2を含む第3メッセージフレームを第2無線端末STA2へ送信する(S720)。 Upon receiving the second message frame, the access point AP generates an access point temporary key APTK based on the terminal random number SNONCE, the access point random number ANONCE, and the access point master key APMK included in the second message frame ( S710). Then, it is verified that the message integrity code MIC that matches the first message integrity code MIC1 generated based on the terminal temporary key SPTK can be generated using the access point temporary key APTK generated by the access point AP. Thereafter, the access point AP transmits a third message frame including the second message integrity code MIC2 generated based on the access point temporary key APTK to the second wireless terminal STA2 (S720).
第3メッセージフレームを受信すると、第2無線端末STA2は、アクセスポイント一時鍵APTKに基づいて生成された第2メッセージ完全性コードMIC2と一致するメッセージ完全性コードMICを、第2無線端末STA2が生成した端末一時鍵SPTKを用いて生成できることを検証する。その後、第2無線端末STA2は、端末一時鍵SPTKに基づいて生成した第3メッセージ完全性コードMIC3を含む第4メッセージフレームを第2無線端末STA2はアクセスポイントAPへ送信する(S730)。 When the third message frame is received, the second wireless terminal STA2 generates a message integrity code MIC that matches the second message integrity code MIC2 generated based on the access point temporary key APTK. It is verified that the terminal temporary key SPTK can be generated. Thereafter, the second wireless terminal STA2 transmits a fourth message frame including the third message integrity code MIC3 generated based on the terminal temporary key SPTK to the access point AP (S730).
第4メッセージフレームの受信後、アクセスポイントAPは上述と同様の手順で第4メッセージフレームに含まれる第3メッセージ完全性コードMIC3を検証する。その後、アクセスポイントAPは、第2無線端末STA2との通信にアクセスポイント一時鍵APTKを使用するよう、自身を設定する。 After receiving the fourth message frame, the access point AP verifies the third message integrity code MIC3 included in the fourth message frame in the same procedure as described above. Thereafter, the access point AP sets itself to use the access point temporary key APTK for communication with the second wireless terminal STA2.
第4メッセージフレームをアクセスポイントAPへ送信後、第2無線端末STA2は、生成した端末一時鍵SPTKを用いてアクセスポイントAPへ接続し、通信を開始する(S740)。 After transmitting the fourth message frame to the access point AP, the second wireless terminal STA2 connects to the access point AP using the generated terminal temporary key SPTK and starts communication (S740).
第2無線端末STA2がアクセスポイントAPと接続した後、第2無線端末STA2とアクセスポイントAPとの接続が切断される(S810)までの間(すなわち、第2無線端末STA2とアクセスポイントAPとの接続が維持されている間)、アクセスポイントAPと第2無線端末STA2とは間欠的に上述の共通一時鍵PTK生成手順(S680からS730)を実行する(S750からS800)。 After the second wireless terminal STA2 is connected to the access point AP, the connection between the second wireless terminal STA2 and the access point AP is disconnected (S810) (that is, between the second wireless terminal STA2 and the access point AP). While the connection is maintained, the access point AP and the second wireless terminal STA2 intermittently execute the above-described common temporary key PTK generation procedure (S680 to S730) (S750 to S800).
なお、本実施形態では、第1無線端末STA1と第2無線端末STA2との接続が、端末マスター鍵SPMKの送信(S660)後に切断される(S670)例を示す。しかし、第1無線端末STA1と第2無線端末STA2との接続は、第1認証要求の送信(S530)から端末マスター鍵SPMKの送信完了(S660)まで維持されればよく、例示したタイミング以外で切断されてもよい。例えば、第1実施形態(S410)と同様に、第2無線端末STA2とアクセスポイントAPとの接続が切断(S810)された後に、第1無線端末STA1と第2無線端末STA2との接続が切断されてもよい。 In the present embodiment, an example is shown in which the connection between the first wireless terminal STA1 and the second wireless terminal STA2 is disconnected (S670) after transmission of the terminal master key SPMK (S660). However, the connection between the first wireless terminal STA1 and the second wireless terminal STA2 only needs to be maintained from the transmission of the first authentication request (S530) to the completion of transmission of the terminal master key SPMK (S660). It may be cut. For example, as in the first embodiment (S410), after the connection between the second wireless terminal STA2 and the access point AP is disconnected (S810), the connection between the first wireless terminal STA1 and the second wireless terminal STA2 is disconnected. May be.
以上に説明した代理認証動作によれば、移動体通信網MNWにおける加入者識別情報SIDを有さない第2無線端末STA2についても、加入者識別情報SIDを用いる認証方法を適用し得る。 According to the proxy authentication operation described above, the authentication method using the subscriber identification information SID can be applied to the second wireless terminal STA2 that does not have the subscriber identification information SID in the mobile communication network MNW.
2−2.各要素の構成
2−2−1.第1無線端末の構成
図10は、第2実施形態に係る第1無線端末STA1の構成を示すブロック図である。第1無線端末STA1は、無線通信部110と、端末通信部120と、記憶部130と、制御部140とを備える。なお、音声及び映像等を出力する出力装置およびユーザからの指示を受け付ける入力装置等の図示は、便宜的に省略されている。
2-2. Configuration of each element 2-2-1. Configuration of First Wireless Terminal FIG. 10 is a block diagram showing a configuration of the first wireless terminal STA1 according to the second embodiment. The first wireless terminal STA1 includes a
無線通信部110と端末通信部120とは、それぞれ第1実施形態の第1無線端末STA1が有する無線通信部110と端末通信部120と同様の構成を有するため、説明を省略する。
The
記憶部130は、第1無線端末STA1の制御に関連するコンピュータプログラムと認証動作に関わる情報(例えば、端末マスター鍵SPMK、端末間暗号鍵TEK)とを格納する。制御部140は、認証情報要求部142と、マスター鍵生成部144と、レスポンス送信部146と、端末間通信暗号化部154と、認証情報送信部156とを要素として含む。
The
認証情報要求部142は、第2無線端末STA2から第1認証要求を受信すると、アクセスポイントAPへ接続するための認証情報を第1無線端末STA1が有する加入者識別情報SIDを用いて要求する要素であり、アクセスポイントAPを介して、第2認証要求を認証装置AAAへ送信する。マスター鍵生成部144は、加入者登録情報Kに基づいて、端末マスター鍵SPMKを生成する。レスポンス送信部146は、チャレンジメッセージを受信した後、第2メッセージ認証コードMAC2等を含むレスポンスメッセージを認証装置AAAへ送信する。端末間通信暗号化部154は、端末間暗号鍵TEKを用いて、第2無線端末STA2へ送信する端末マスター鍵SPMKを暗号化する。認証情報送信部156は、端末通信部120を通じて、暗号化された端末マスター鍵SPMKを第2無線端末STA2へ送信する。
When receiving the first authentication request from the second wireless terminal STA2, the authentication
制御部140および制御部140に含まれる各要素は、第1無線端末STA1内の不図示のCPUが、記憶部130に記憶されたコンピュータプログラムを実行し、そのコンピュータプログラムに従って機能することにより実現される機能ブロックである。
The
2−2−2.第2無線端末の構成
図11は、第2実施形態に係る第2無線端末STA2の構成の一例を示すブロック図である。第2無線端末STA2は、無線通信部210と、端末通信部220と、記憶部230と、制御部240とを備える。なお、音声及び映像等を出力する出力装置およびユーザからの指示を受け付ける入力装置等の図示は、便宜的に省略されている。
2-2-2. Configuration of Second Wireless Terminal FIG. 11 is a block diagram showing an example of the configuration of the second wireless terminal STA2 according to the second embodiment. The second wireless terminal STA2 includes a
無線通信部210と端末通信部220とは、それぞれ第1実施形態の第2無線端末STA2が有する無線通信部210と端末通信部220と同様の構成を有するため、説明を省略する。
The
記憶部230は、第2無線端末STA2の制御に関連するコンピュータプログラムと認証に関わる情報(例えば、端末マスター鍵SPMK、端末間復号鍵TDK)とを格納する。制御部240は、代理認証要求部242と、端末乱数生成部244と、一時鍵生成部246と、フレーム送信部248と、端末間鍵生成部250と、端末間鍵送信部252とを要素として含む。
The
代理認証要求部242は、端末通信部220を通じて、第1認証要求を第1無線端末STA1へ送信する。端末乱数生成部244は、端末乱数SNONCEを生成する。一時鍵生成部246は、アクセスポイント乱数ANONCEと端末乱数SNONCEと端末マスター鍵SPMKとに基づいて、端末一時鍵SPTKを生成する。フレーム送信部248は、メッセージフレーム(第2メッセージフレーム、第4メッセージフレーム)をアクセスポイントAPへ送信する。端末間鍵生成部250は、端末間暗号鍵TEKと端末間復号鍵TDKとを生成する。端末間鍵送信部252は、端末間鍵生成部250が生成した端末間暗号鍵TEKを第1無線端末STA1へ送信する。
The proxy
制御部240および制御部240に含まれる各要素は、第2無線端末STA2内の不図示のCPUが、記憶部230に記憶されたコンピュータプログラムを実行し、そのコンピュータプログラムに従って機能することにより実現される機能ブロックである。
The
2−2−3.アクセスポイントの構成
第2実施形態のアクセスポイントAPは、第1実施形態のアクセスポイントAPと同様の構成を有するため、説明を省略する。ただし、フレーム送信部354は、第1無線端末STA1の代わりに、端末情報通知(S650)により通知された無線端末STA(すなわち、第2無線端末STA2)へ、メッセージフレーム(第1メッセージフレーム、第3メッセージフレーム)を送信する。
2-2-3. Configuration of Access Point Since the access point AP of the second embodiment has the same configuration as the access point AP of the first embodiment, description thereof is omitted. However, the
2−2−4.認証装置の構成
第2実施形態の認証装置AAAは、第1実施形態の認証装置AAAと同様の構成を有するため、説明を省略する。
2-2-4. Configuration of Authentication Device The authentication device AAA according to the second embodiment has the same configuration as that of the authentication device AAA according to the first embodiment, and a description thereof will be omitted.
2−3.本実施形態の効果
以上の構成によれば、移動体通信網MNWにおける加入者識別情報SIDを有さない第2無線端末STA2についても、加入者識別情報SIDを用いる認証方法を使用し得る。具体的に、第2無線端末STA2は、加入者識別情報SIDを用いる認証方法による認証動作で生成される認証情報であるマスター鍵PMKを用いて、アクセスポイントAPとの通信を暗号化する通信暗号化鍵(一時鍵PTK)を生成し、アクセスポイントAPとの通信の暗号化に用い得る。上述のように、加入者識別情報SIDを用いる認証方法により生成された認証情報に基づく通信暗号化鍵は、加入者識別情報SIDを用いない認証方法により生成された通信暗号化鍵よりも、より特定されにくい場合があると理解される。したがって、本実施形態の例では、加入者識別情報SIDを用いない認証方法による認証動作を行ってアクセスポイントAPに接続する構成に比べ、第2無線端末STA2とアクセスポイントAPとがより機密性の高い通信を実行し得る。
2-3. Effects of this Embodiment According to the above configuration, the authentication method using the subscriber identification information SID can be used also for the second wireless terminal STA2 that does not have the subscriber identification information SID in the mobile communication network MNW. Specifically, the second wireless terminal STA2 encrypts communication with the access point AP using a master key PMK that is authentication information generated by an authentication operation using an authentication method using the subscriber identification information SID. An encryption key (temporary key PTK) can be generated and used for encryption of communication with the access point AP. As described above, the communication encryption key based on the authentication information generated by the authentication method using the subscriber identification information SID is more than the communication encryption key generated by the authentication method not using the subscriber identification information SID. It is understood that it may be difficult to identify. Therefore, in the example of the present embodiment, the second wireless terminal STA2 and the access point AP are more confidential than the configuration in which the authentication operation using the authentication method that does not use the subscriber identification information SID is performed to connect to the access point AP. High communication can be performed.
さらに、以上の構成によれば、第1無線端末STA1が有する加入者識別情報SIDを用いてユーザ認証を実行するため、第2無線端末STA2のユーザがパスワード等の認証情報を入力する必要がない。そのため、第2無線端末STA2のユーザがより容易にアクセスポイントAPへ接続し得る。 Furthermore, according to the above configuration, since user authentication is performed using the subscriber identification information SID of the first wireless terminal STA1, there is no need for the user of the second wireless terminal STA2 to input authentication information such as a password. . Therefore, the user of the second wireless terminal STA2 can connect to the access point AP more easily.
3.変形例
以上の実施の形態は多様に変形される。具体的な変形の態様を以下に例示する。以下の例示から任意に選択された2以上の態様は相互に矛盾しない限り適宜に併合され得る。
3. Modifications The above embodiment can be variously modified. Specific modifications are exemplified below. Two or more aspects arbitrarily selected from the following examples can be appropriately combined as long as they do not contradict each other.
3−1.変形例1
以上の各実施形態において、第1無線端末STA1から送信される認証情報は、第2無線端末STA2の端末間鍵生成部250により生成される端末間暗号鍵TEKを用いて暗号化される。同様に、第1無線端末STA1が端末間暗号鍵を生成し、当該端末間暗号鍵を用いて、第2無線端末STA2から第1無線端末STA1への通信(例えば、第1認証要求)が暗号化されてもよい。
3-1.
In each of the above embodiments, the authentication information transmitted from the first wireless terminal STA1 is encrypted using the inter-terminal encryption key TEK generated by the inter-terminal
3−1−1.変形例1(1)
図12を参照して、本変形例の動作フローを説明する。この動作フローは、図2のステップS100からS130、および図8のステップS500からS530に代えて実行され得る。
3-1-1. Modification 1 (1)
With reference to FIG. 12, the operation | movement flow of this modification is demonstrated. This operation flow can be executed in place of steps S100 to S130 in FIG. 2 and steps S500 to S530 in FIG.
第1無線端末STA1と第2無線端末STA2とが接続を確立する(S900)のは、上述の各実施形態と同様である。その後、第1無線端末STA1は、第1無線端末STA1と第2無線端末STA2との通信を暗号化する第2端末間暗号鍵TEK2と、第2端末間暗号鍵TEK2で暗号化された通信を復号化する第2端末間復号鍵TDK2とを生成し(S910)、第2端末間暗号鍵TEK2を第2無線端末STA2に送信する(S920)。上述の各実施形態と同様に、第2無線端末STA2は、端末間暗号鍵TEKを生成し(S930)、第1無線端末STA1へ送信する(S940)。第2無線端末STA2は、受信した第2端末間暗号鍵TEK2を用いて第1認証要求を暗号化し、第1無線端末STA1へ送信する(S950)。 The connection between the first wireless terminal STA1 and the second wireless terminal STA2 (S900) is the same as in each of the embodiments described above. Thereafter, the first wireless terminal STA1 performs communication encrypted with the second inter-terminal encryption key TEK2 for encrypting communication between the first wireless terminal STA1 and the second wireless terminal STA2, and the communication encrypted with the second inter-terminal encryption key TEK2. A second inter-terminal decryption key TDK2 to be decrypted is generated (S910), and the second inter-terminal encryption key TEK2 is transmitted to the second wireless terminal STA2 (S920). Similar to the above-described embodiments, the second wireless terminal STA2 generates an inter-terminal encryption key TEK (S930) and transmits it to the first wireless terminal STA1 (S940). The second wireless terminal STA2 encrypts the first authentication request using the received second inter-terminal encryption key TEK2, and transmits it to the first wireless terminal STA1 (S950).
図13は、本変形例を適用した第1実施形態の第1無線端末STA1の構成例を示すブロック図であり、図14は、本変形例を適用した第2実施形態の第1無線端末STA1の構成例を示すブロック図である。図13および図14のそれぞれにおいて、第1無線端末STA1は、各実施形態で上述した要素に加え、端末間鍵生成部158と、端末間鍵送信部160とを含む。端末間鍵生成部158は、第2端末間暗号鍵TEK2と第2端末間復号鍵TDK2とを生成する。端末間鍵送信部160は、第2端末間暗号鍵TEK2を第2無線端末STA2へ送信する。
FIG. 13 is a block diagram illustrating a configuration example of the first wireless terminal STA1 of the first embodiment to which the present modification is applied, and FIG. 14 is a first wireless terminal STA1 of the second embodiment to which the present modification is applied. It is a block diagram which shows the example of a structure. In each of FIG. 13 and FIG. 14, the first wireless terminal STA1 includes an inter-terminal
図15は、本変形例を適用した第1実施形態の第2無線端末STA2の構成例を示すブロック図であり、図16は、本変形例を適用した第2実施形態の第2無線端末STA2の構成例を示すブロック図である。図15および図16のそれぞれにおいて、第2無線端末STA2は、各実施形態で上述した要素に加え、端末間通信暗号化部254を含む。端末間通信暗号化部254は、第1無線端末STA1から受信した第2端末間暗号鍵TEK2を用いて、第1認証要求を暗号化する。暗号化された第1認証要求は、代理認証要求部242により第1無線端末STA1へ送信される。
FIG. 15 is a block diagram showing a configuration example of the second wireless terminal STA2 of the first embodiment to which the present modification is applied, and FIG. 16 is a second wireless terminal STA2 of the second embodiment to which the present modification is applied. It is a block diagram which shows the example of a structure. In each of FIG. 15 and FIG. 16, the second wireless terminal STA2 includes an inter-terminal
本変形例によれば、第2無線端末STA2から送信される第1認証要求が暗号化されて送信される。結果として、第1無線端末STA1と第2無線端末STA2との通信の機密性、ひいては第2無線端末STA2とアクセスポイントAPとの通信の機密性がより高く保たれ得るという効果を奏し得る。 According to this modification, the first authentication request transmitted from the second wireless terminal STA2 is encrypted and transmitted. As a result, the confidentiality of communication between the first wireless terminal STA1 and the second wireless terminal STA2, and thus the confidentiality of communication between the second wireless terminal STA2 and the access point AP, can be kept higher.
なお、図12では、端末間暗号鍵TEKが第2無線端末STA2から送信される(S940)前に、第2端末間暗号鍵TEK2が第1無線端末STA1から送信される(S920)例が示されるが、端末間暗号鍵TEKが第2無線端末STA2から送信された後に、第2端末間暗号鍵TEK2が第1無線端末STA1から送信されてもよい。この場合にも、上述と同様の効果を奏し得る。 FIG. 12 shows an example in which the second inter-terminal encryption key TEK2 is transmitted from the first radio terminal STA1 (S920) before the inter-terminal encryption key TEK is transmitted from the second radio terminal STA2 (S940). However, the second inter-terminal encryption key TEK2 may be transmitted from the first radio terminal STA1 after the inter-terminal encryption key TEK is transmitted from the second radio terminal STA2. In this case, the same effect as described above can be obtained.
3−1−2.変形例1(2)
以上に説明した変形例では、第2端末間暗号鍵TEK2を用いて第1認証要求が暗号化される。第2端末間暗号鍵TEK2が端末間暗号鍵TEKより前に送信される構成において、第2無線端末STA2は、第1認証要求に加え、端末間暗号鍵TEKも第2端末間暗号鍵TEK2を用いて暗号化し、送信してもよい。
3-1-2. Modification 1 (2)
In the modification described above, the first authentication request is encrypted using the second terminal encryption key TEK2. In the configuration in which the second inter-terminal encryption key TEK2 is transmitted before the inter-terminal encryption key TEK, the second wireless terminal STA2 uses the second inter-terminal encryption key TEK2 in addition to the first authentication request. May be used for encryption and transmission.
本変形例によれば、端末間暗号鍵TEKが暗号化されて送信されるため、端末間暗号鍵TEKが盗聴される危険性が低くなると理解される。そのため、第1無線端末STA1と第2無線端末STA2との通信の機密性、ひいては第2無線端末STA2とアクセスポイントAPとの通信の機密性がさらにより高く保たれるという効果を奏し得る。この効果は、端末間暗号鍵TEKと端末間復号鍵TDKとが一致する暗号方式(例えば、共通鍵暗号方式)が用いられる場合、特に顕著であると理解される。 According to this modification, it is understood that since the inter-terminal encryption key TEK is transmitted after being encrypted, the risk of eavesdropping on the inter-terminal encryption key TEK is reduced. Therefore, the confidentiality of communication between the first wireless terminal STA1 and the second wireless terminal STA2, and thus the confidentiality of communication between the second wireless terminal STA2 and the access point AP can be further enhanced. This effect is understood to be particularly remarkable when an encryption method (for example, a common key encryption method) in which the inter-terminal encryption key TEK and the inter-terminal decryption key TDK match is used.
3−2.変形例2
第1無線端末STA1と第2無線端末STA2との通信の暗号方式には、共通鍵暗号方式が用いられ得る。この場合、第2無線端末STA2の端末間鍵生成部250は、端末間暗号鍵TEKと端末間復号鍵TDKとの両方を兼ねる共通鍵を生成する(S110、S510)。第2無線端末STA2の端末間鍵送信部252は、当該共通鍵を第1無線端末STA1へ送信する(S120、S520)。第1無線端末STA1の端末間通信暗号化部154は、受信した共通鍵を用いて認証情報(端末一時鍵SPTK、端末マスター鍵SPMK)を暗号化する。第2無線端末STA2は、端末間鍵送信部252が送信した共通鍵と同一の共通鍵を用いて、暗号化された認証情報を復号化する。
3-2.
A common key cryptosystem may be used as an encryption scheme for communication between the first radio terminal STA1 and the second radio terminal STA2. In this case, the inter-terminal
3−3.変形例3
第1無線端末STA1と第2無線端末STA2との通信の暗号方式には、公開鍵暗号方式が用いられ得る。この場合、第2無線端末STA2の端末間鍵生成部250は、端末間暗号鍵TEKとして公開鍵を生成し、端末間復号鍵TDKとして秘密鍵を生成する(S110、S510)。第2無線端末STA2の端末間鍵送信部252は、公開鍵を第1無線端末STA1へ送信する(S120、S520)。第1無線端末STA1の端末間通信暗号化部154は、受信した公開鍵を用いて認証情報(端末一時鍵SPTK、端末マスター鍵SPMK)を暗号化する。第2無線端末STA2は、秘密鍵を用いて、公開鍵で暗号化された認証情報を復号化する。
3-3.
A public key cryptosystem may be used as an encryption scheme for communication between the first radio terminal STA1 and the second radio terminal STA2. In this case, the inter-terminal
本変形例を採用する場合、端末間復号鍵TDKである秘密鍵は、第2無線端末STA2のみが有し、第1無線端末STA1へ送信されない。そのため、端末間復号鍵TDKと一致する端末間暗号鍵TEKが送信される構成(例えば、第1無線端末STA1と第2無線端末STA2との通信の暗号方式に共通鍵暗号方式を用いる構成)と比べ、端末間復号鍵TDKが盗聴等により特定されにくいと理解される。結果として、第1無線端末STA1と第2無線端末STA2との通信の機密性、ひいては第2無線端末STA2とアクセスポイントAPとの通信の機密性がより高く保たれるという効果を奏し得る。 When the present modification is employed, the secret key that is the inter-terminal decryption key TDK is held only by the second radio terminal STA2, and is not transmitted to the first radio terminal STA1. Therefore, a configuration in which an inter-terminal encryption key TEK that matches the inter-terminal decryption key TDK is transmitted (for example, a configuration in which a common key cryptosystem is used as an encryption scheme for communication between the first radio terminal STA1 and the second radio terminal STA2). In comparison, it is understood that the terminal-to-terminal decryption key TDK is not easily specified by eavesdropping or the like. As a result, the confidentiality of communication between the first wireless terminal STA1 and the second wireless terminal STA2, and thus the confidentiality of communication between the second wireless terminal STA2 and the access point AP, can be maintained higher.
3−4.変形例4
第1無線端末STA1と第2無線端末STA2との通信の暗号方式には、公開鍵暗号方式と秘密鍵暗号方式との両方を用いた暗号方式(例えば、TLS(transport layer security)暗号方式)が用いられ得る。この場合、第1無線端末STA1が、変形例1で上述した構成を有すると好適である。
3-4.
The encryption method for communication between the first wireless terminal STA1 and the second wireless terminal STA2 is an encryption method using both a public key encryption method and a secret key encryption method (for example, a TLS (transport layer security) encryption method). Can be used. In this case, it is preferable that the first radio terminal STA1 has the configuration described in the first modification.
具体的に、第1無線端末STA1の端末間鍵生成部158は、第2端末間暗号鍵TEK2として公開鍵を生成し、第2端末間復号鍵TDK2として秘密鍵を生成する(S910)。端末間鍵送信部160は、公開鍵(第2端末間暗号鍵TEK2)を第2無線端末STA2へ送信する(S920)。第2無線端末STA2の端末間鍵生成部250は、端末間暗号鍵TEKと端末間復号鍵TDKとの両方を兼ねる共通鍵を生成する(S110、S510、S930)。第2無線端末STA2の端末間通信暗号化部254は、第1無線端末STA1から受信した公開鍵(第2端末間暗号鍵TEK2)で共通鍵(端末間暗号鍵TEK)を暗号化し、第1無線端末STA1へ送信する(S120、S520、S940)。第1無線端末STA1は、秘密鍵(第2端末間復号鍵TDK2)を用いて、暗号化された共通鍵(端末間暗号鍵TEK)を復号化する。第1無線端末STA1の端末間通信暗号化部154は、復号化した共通鍵(端末間暗号鍵TEK)を用いて認証情報(端末一時鍵SPTK、端末マスター鍵SPMK)を暗号化する。第2無線端末STA2は、共通鍵(端末間復号鍵TDK)を用いて、共通鍵(端末間暗号鍵TEK)で暗号化された認証情報を復号化する。
Specifically, the inter-terminal
本変形例を採用する場合、端末間暗号鍵TEKである共通鍵が、第1無線端末STA1の端末間鍵生成部158が生成した公開鍵(第2端末間暗号鍵TEK2)で暗号化された状態で(すなわち、第1無線端末STA1の端末間鍵生成部158が生成した秘密鍵(第2端末間復号鍵TDK2)のみが復号化できる状態で)送信される。そのため、共通鍵が盗聴等により特定される危険性が低いと理解される。結果として、第1無線端末STA1と第2無線端末STA2との通信の機密性、ひいては第2無線端末STA2とアクセスポイントAPとの通信の機密性がより高く保たれるという効果を奏し得る。
When this modification is adopted, the common key that is the inter-terminal encryption key TEK is encrypted with the public key (second inter-terminal encryption key TEK2) generated by the inter-terminal
3−5.変形例5
以上の例では、第2無線端末STA2へ送信される認証情報(端末一時鍵SPTK、端末マスター鍵SPMK)等の、第1無線端末STA1と第2無線端末STA2との通信が、端末間暗号鍵TEKまたは端末間暗号鍵TEKと第2端末間暗号鍵TEK2との両方によって暗号化される。しかし、第1無線端末STA1と第2無線端末STA2との通信が暗号化されなくてもよい。この場合、端末間鍵を生成するステップ(S110、S510、S910、S930)および端末間鍵を送信するステップ(S120、S520、S920、S940)は不要である。さらに、第1無線端末STA1は、端末間通信暗号化部154と、端末間鍵生成部158と、端末間鍵送信部160とのうち、少なくともいずれか1要素を含まなくともよい。第2無線端末STA2は、端末間鍵生成部250と、端末間鍵送信部252と、端末間通信暗号化部254とのうち、少なくともいずれか1要素を含まなくともよい。
3-5. Modification 5
In the above example, communication between the first wireless terminal STA1 and the second wireless terminal STA2, such as authentication information (terminal temporary key SPTK, terminal master key SPKM) transmitted to the second wireless terminal STA2, is an inter-terminal encryption key. Encryption is performed using both the TEK or the inter-terminal encryption key TEK and the second inter-terminal encryption key TEK2. However, the communication between the first wireless terminal STA1 and the second wireless terminal STA2 may not be encrypted. In this case, the step of generating the inter-terminal key (S110, S510, S910, S930) and the step of transmitting the inter-terminal key (S120, S520, S920, S940) are unnecessary. Further, the first wireless terminal STA1 may not include at least one element among the inter-terminal
3−6.変形例6
以上に説明した第1実施形態の例(第1実施形態の変形例も含む)において、第1無線端末STA1と第2無線端末STA2との通信に用いる無線通信技術として、第1無線端末STA1と第2無線端末STA2とが至近距離(例えば、10センチメートル以内)に位置していなくても通信が可能(例えば、数メートルから数十メートル以内に位置していれば通信が可能)である無線通信技術(例えばBluetooth(登録商標)、Wi-Fi Direct)(以下、「非近接型無線通信技術」と称する場合がある)を用いると好適である。
3-6. Modification 6
In the example of the first embodiment described above (including the modification of the first embodiment), as a wireless communication technique used for communication between the first wireless terminal STA1 and the second wireless terminal STA2, the first wireless terminal STA1 and Wireless communication is possible even if the second wireless terminal STA2 is not located at a close distance (for example, within 10 centimeters) (for example, communication is possible if it is located within several meters to several tens of meters). It is preferable to use a communication technology (for example, Bluetooth (registered trademark), Wi-Fi Direct) (hereinafter sometimes referred to as “non-proximity wireless communication technology”).
第1実施形態の例では、第2無線端末STA2とアクセスポイントAPとの接続が維持されている間、第1無線端末STA1と第2無線端末STA2との接続も維持される。第1無線端末STA1と第2無線端末STA2との通信に非近接型無線通信技術が用いられる場合、ユーザは、当該非近接型無線通信技術において通信が可能な範囲において、第1無線端末STA1と第2無線端末STA2とを離して使用できる。したがって、第2無線端末STA2とアクセスポイントAPとの接続が維持されている間(すなわち、第1無線端末STA1と第2無線端末STA2との接続が維持されている間)においても、ユーザが第1無線端末STA1と第2無線端末STA2との両方の無線端末STAを使用しやすくなるという効果を奏し得る。 In the example of the first embodiment, while the connection between the second wireless terminal STA2 and the access point AP is maintained, the connection between the first wireless terminal STA1 and the second wireless terminal STA2 is also maintained. When the non-proximity wireless communication technology is used for communication between the first wireless terminal STA1 and the second wireless terminal STA2, the user can communicate with the first wireless terminal STA1 within a range in which communication is possible using the non-proximity wireless communication technology. The second radio terminal STA2 can be used apart. Therefore, even while the connection between the second wireless terminal STA2 and the access point AP is maintained (that is, while the connection between the first wireless terminal STA1 and the second wireless terminal STA2 is maintained), the user There can be an effect that it is easy to use both the wireless terminal STA of the first wireless terminal STA1 and the second wireless terminal STA2.
3−7.変形例7
以上に説明した第2実施形態の例(第2実施形態の変形例も含む)において、第1無線端末STA1と第2無線端末STA2との通信に用いる無線通信技術として、第1無線端末STA1と第2無線端末STA2とが至近距離(例えば、10センチメートル以内)に位置する必要がある無線通信技術(例えば、NFC)(以下、「近接型無線通信技術」と称する場合がある)を用いると好適である。
3-7. Modification 7
In the example of the second embodiment described above (including the modification of the second embodiment), as a wireless communication technique used for communication between the first wireless terminal STA1 and the second wireless terminal STA2, the first wireless terminal STA1 and When a wireless communication technology (for example, NFC) (hereinafter, may be referred to as “proximity wireless communication technology”) that requires the second wireless terminal STA2 to be located at a close distance (for example, within 10 centimeters) is used. Is preferred.
第2実施形態の例では、第1無線端末STA1から第2無線端末STA2へ端末マスター鍵SPMKが送信される。無線端末STAとアクセスポイントAPとの通信を暗号化する一時鍵PTK(端末一時鍵SPTK、アクセスポイント一時鍵APTK)はマスター鍵PMK(端末マスター鍵SPMK、アクセスポイントマスター鍵APMK)に基づいて生成されるため、マスター鍵PMKが盗聴されると、一時鍵PTKが特定される危険性が高まる可能性がある。そのため、第1無線端末STA1と第2無線端末STA2との通信にはより盗聴されにくい無線通信技術を用いると好適と理解される。 In the example of the second embodiment, the terminal master key SPMK is transmitted from the first wireless terminal STA1 to the second wireless terminal STA2. A temporary key PTK (terminal temporary key SPTK, access point temporary key APTK) for encrypting communication between the wireless terminal STA and the access point AP is generated based on the master key PMK (terminal master key SPMK, access point master key APMK). Therefore, if the master key PMK is wiretapped, there is a possibility that the risk of specifying the temporary key PTK is increased. For this reason, it is understood that it is preferable to use a wireless communication technique that is less susceptible to eavesdropping for communication between the first wireless terminal STA1 and the second wireless terminal STA2.
第1無線端末STA1と第2無線端末STA2とが近接型無線通信技術を用いて通信する場合、近接型無線通信技術よりも広い通信可能範囲(例えば、数十メートル以内)を持つ無線通信技術を用いる場合と比べて、その通信可能範囲内に、通信する端末同士以外の第3の機器が入り込む余地が少ないと理解される。結果として、第1無線端末STA1と第2無線端末STA2との通信が第3の機器に盗聴されにくい。したがって、近接型無線通信技術を用いて通信する場合、第1無線端末STA1と第2無線端末STA2との通信の機密性、ひいては第2無線端末STA2とアクセスポイントAPとの通信の機密性がより高く保たれるという効果を奏し得る。 When the first wireless terminal STA1 and the second wireless terminal STA2 communicate using the proximity wireless communication technology, a wireless communication technology having a wider communication range (for example, within several tens of meters) than the proximity wireless communication technology is used. It is understood that there is less room for the third device other than the communicating terminals to enter the communicable range as compared with the case of using. As a result, the communication between the first wireless terminal STA1 and the second wireless terminal STA2 is not easily intercepted by the third device. Therefore, when communication is performed using the proximity wireless communication technology, the confidentiality of communication between the first wireless terminal STA1 and the second wireless terminal STA2, and hence the confidentiality of communication between the second wireless terminal STA2 and the access point AP is higher. The effect of being kept high can be produced.
3−8.変形例8
以上に説明した第1実施形態の例では、第1無線端末STA1が生成する端末一時鍵SPTKと、アクセスポイントAPが生成するアクセスポイント一時鍵APTKとが、第1無線端末STA1が代理する第2無線端末STA2との通信に用いられることを知らせる端末情報通知が、第2メッセージフレームに含まれてアクセスポイントAPへ送信される。
3-8. Modification 8
In the example of the first embodiment described above, the terminal wireless key SPTK generated by the first wireless terminal STA1 and the access point temporary key APTK generated by the access point AP are the second represented by the first wireless terminal STA1. A terminal information notification notifying that it is used for communication with the wireless terminal STA2 is included in the second message frame and transmitted to the access point AP.
しかし、端末情報通知は、認証装置AAAがアクセスポイントAPへアクセスポイントマスター鍵APMKを送信してから、第1無線端末STA1が端末一時鍵SPTKを第2無線端末STA2へ送信するまでの間にアクセスポイントAPへ送信されればよい。また、第2実施形態で例示したように(S650)、独立したメッセージとして端末情報通知が送信されてもよい。例えば、端末情報通知は第4メッセージフレームに含まれて送信されてもよいし、第4メッセージフレームが送信された後、端末一時鍵SPTKが送信される前に、個別のメッセージとして送信されてもよい。 However, the terminal information notification is accessed after the authentication device AAA transmits the access point master key APKMK to the access point AP until the first wireless terminal STA1 transmits the terminal temporary key SPTK to the second wireless terminal STA2. It may be transmitted to the point AP. Further, as exemplified in the second embodiment (S650), the terminal information notification may be transmitted as an independent message. For example, the terminal information notification may be transmitted by being included in the fourth message frame, or may be transmitted as an individual message after the fourth message frame is transmitted and before the terminal temporary key SPTK is transmitted. Good.
3−9.変形例9
無線通信システムCS内の各要素(第1無線端末STA1、第2無線端末STA2、アクセスポイントAP、認証装置AAA、加入者情報管理装置HSS)において、CPUが実行する各機能は、CPUの代わりに、ハードウェアで実行してもよいし、例えばFPGA(Field Programmable Gate Array)、DSP(Digital Signal Processor)等のプログラマブルロジックデバイスで実行してもよい。
3-9. Modification 9
In each element in the wireless communication system CS (first wireless terminal STA1, second wireless terminal STA2, access point AP, authentication device AAA, subscriber information management device HSS), the functions executed by the CPU are instead of the CPU. The program may be executed by hardware, or may be executed by a programmable logic device such as an FPGA (Field Programmable Gate Array) or a DSP (Digital Signal Processor).
AAA……認証装置、ANONCE……アクセスポイント乱数、AP……アクセスポイント、APMK……アクセスポイントマスター鍵、APTK……アクセスポイント一時鍵、CS……無線通信システム、HSS……加入者情報管理装置、K……加入者登録情報、KM……鍵情報、IN……インターネット、MAC……メッセージ認証コード、MIC(MIC1、MIC2、MIC3)……メッセージ完全性コード、MNW……移動体通信網、PMK……マスター鍵、PTK……一時鍵、SID……加入者識別情報、SNONCE……端末乱数、SPMK……端末マスター鍵、SPTK……端末一時鍵、STA1……第1無線端末、STA2……第2無線端末、TDK……端末間復号鍵、TDK2……第2端末間復号鍵、TEK……端末間暗号鍵、TEK2……第2端末間暗号鍵、120……端末通信部、130……記憶部、142……認証情報要求部、144……マスター鍵生成部、146……レスポンス送信部、148……端末乱数生成部、150……一時鍵生成部、152……フレーム送信部、154……端末間通信暗号化部、156……認証情報送信部、158……端末間鍵生成部、160……端末間鍵送信部、220……端末通信部、230……記憶部、242……代理認証要求部、244……端末乱数生成部、246……一時鍵生成部、248……フレーム送信部、250……端末間鍵生成部、252……端末間鍵送信部、254……端末間通信暗号化部、340……記憶部、352……アクセスポイント乱数生成部、354……フレーム送信部、356……一時鍵生成部、420……記憶部、432……認証用パラメタ取得部、434……マスター鍵生成部、436……チャレンジ送信部、438……認証判定部、440……判定結果通知部、442……マスター鍵送信部。
AAA ... Authentication device, ANONCE ... Access point random number, AP ... Access point, APMC ... Access point master key, APTK ... Access point temporary key, CS ... Wireless communication system, HSS ... Subscriber information management device , K: Subscriber registration information, KM: Key information, IN: Internet, MAC: Message authentication code, MIC (MIC1, MIC2, MIC3) ... Message integrity code, MNW: Mobile communication network, PMK ... Master key, PTK ... Temporary key, SID ... Subscriber identification information, SNONCE ... Terminal random number, SPKK ... Terminal master key, SPTK ... Terminal temporary key, STA1 ... First wireless terminal, STA2 ... ... second wireless terminal, TDK ... decryption key between terminals, TDK2 ... decryption key between second terminals, TEK ... between terminals Number key, TEK2 ... second terminal encryption key, 120 ... terminal communication unit, 130 ... storage unit, 142 ... authentication information request unit, 144 ... master key generation unit, 146 ... response transmission unit, 148 ...... Terminal random number generation unit, 150... Temporary key generation unit, 152... Frame transmission unit, 154... Inter-terminal communication encryption unit, 156. …… Inter-terminal key transmission unit, 220 …… Terminal communication unit, 230 …… Storage unit, 242 …… Proxy authentication request unit, 244 …… Terminal random number generation unit, 246 …… Temporary key generation unit, 248 …… Frame transmission , 250... Inter-terminal key generation unit, 252... Inter-terminal key transmission unit, 254... Inter-terminal communication encryption unit, 340... Storage unit, 352. 356 ... Temporary
Claims (10)
前記移動体通信網における加入者識別情報を有さない第2無線端末と
を含む複数の無線端末と、
前記第1無線端末と前記移動体通信網との通信を中継するアクセスポイントと、
前記移動体通信網における加入者識別情報を有する無線端末を認証する認証装置と
を備え、
前記第2無線端末は、
前記第1無線端末との通信を実行する第2端末通信部と、
前記第2無線端末が前記アクセスポイントへ接続するために用いる認証情報を前記第1無線端末が代理で取得するよう要求する第1認証要求を、前記第2端末通信部を通じて前記第1無線端末へ送信する代理認証要求部とを備え、
前記第1無線端末は、
前記第2無線端末との通信を実行する第1端末通信部と、
前記第1認証要求を受信すると、前記認証装置に対し、前記認証情報を、前記加入者識別情報を用いて要求する認証情報要求部と、
前記認証情報要求部の要求に応じて取得された前記認証情報を、前記第1端末通信部を通じて前記第2無線端末へ送信する認証情報送信部と
を備える
無線通信システム。 A first wireless terminal having subscriber identification information in a mobile communication network;
A plurality of wireless terminals including a second wireless terminal not having subscriber identification information in the mobile communication network;
An access point that relays communication between the first wireless terminal and the mobile communication network ;
An authentication device for authenticating a wireless terminal having subscriber identification information in the mobile communication network ,
The second wireless terminal is
A second terminal communication unit for performing communication with the first wireless terminal;
A first authentication request for requesting the first wireless terminal to acquire authentication information used for connecting the second wireless terminal to the access point by proxy is sent to the first wireless terminal through the second terminal communication unit. A proxy authentication requesting unit for transmission,
The first wireless terminal is
A first terminal communication unit for performing communication with the second wireless terminal;
Upon receiving the first authentication request, an authentication information requesting unit that requests the authentication information from the authentication device using the subscriber identification information;
A wireless communication system comprising: an authentication information transmitting unit configured to transmit the authentication information acquired in response to a request from the authentication information requesting unit to the second wireless terminal through the first terminal communication unit.
前記第1無線端末の前記加入者識別情報と対応する加入者登録情報を有し、
前記移動体通信網は、
前記認証装置と
前記第1無線端末の前記加入者識別情報と前記第1無線端末の前記加入者登録情報とを対応付けて記憶する加入者情報管理装置とを備え、
前記加入者情報管理装置は、
前記加入者識別情報に対応する、前記加入者識別情報を有する前記第1無線端末を認証するための情報であり、マスター鍵の生成に用いられる鍵情報を含む認証用パラメタを、前記加入者登録情報を用いて生成し、
前記第1無線端末の前記認証情報要求部は、
前記代理認証要求部から受信した前記第1認証要求に応じて、前記第1無線端末の前記加入者識別情報を搭載し、当該加入者識別情報を有する当該第1無線端末を認証するよう要求する第2認証要求を、前記アクセスポイントを介して前記認証装置へ送信し、
前記認証装置は、
前記第2認証要求に搭載された前記加入者識別情報に対応する前記認証用パラメタを前記加入者情報管理装置から取得する認証用パラメタ取得部と、
前記加入者情報管理装置から取得した前記認証用パラメタに含まれる前記鍵情報を用いて、アクセスポイントマスター鍵を生成するマスター鍵生成部と、
前記アクセスポイントマスター鍵を用いて生成した第1メッセージ認証コードを含むチャレンジメッセージを、前記アクセスポイントを介して前記第1無線端末へ送信するチャレンジ送信部とを備え、
前記第1無線端末はさらに、
前記第1無線端末が有する前記加入者登録情報に基づいて、前記アクセスポイントマスター鍵と一致する端末マスター鍵を生成するマスター鍵生成部と、
前記端末マスター鍵を記憶する記憶部と、
前記チャレンジメッセージを受信した後、前記端末マスター鍵を用いて生成した第2メッセージ認証コードを含むレスポンスメッセージを、前記アクセスポイントを介して前記認証装置へ送信するレスポンス送信部とを備え、
前記認証装置はさらに、
前記アクセスポイントマスター鍵を前記アクセスポイントへ送信するマスター鍵送信部を備え、
前記アクセスポイントは、
受信した前記アクセスポイントマスター鍵を記憶する記憶部を備え、
前記第1無線端末はさらに、
当該第1無線端末の前記記憶部に記憶された前記端末マスター鍵を用いて、端末一時鍵を生成する一時鍵生成部を備え、
前記アクセスポイントはさらに、
当該アクセスポイントの前記記憶部に記憶された前記アクセスポイントマスター鍵を用いて、前記端末一時鍵と一致するアクセスポイント一時鍵を生成する一時鍵生成部を備え、
前記第1無線端末の前記認証情報送信部は、
前記端末一時鍵を前記認証情報として前記第2無線端末へ送信する
請求項1の無線通信システム。 The first wireless terminal is
Having subscriber registration information corresponding to the subscriber identification information of the first wireless terminal;
Said mobile communication network,
The authentication device and a subscriber information management device for the storage in association with the subscriber registration information of the said first said subscriber identification information of the wireless terminal first wireless terminal,
The subscriber information management device includes:
Information for authenticating the first wireless terminal having the subscriber identification information corresponding to the subscriber identification information, and an authentication parameter including key information used for generating a master key, the subscriber registration Generated using information,
The authentication information request unit of the first wireless terminal is
In response to the first authentication request received from the proxy authentication request unit, the subscriber identification information of the first wireless terminal is mounted and a request is made to authenticate the first wireless terminal having the subscriber identification information. Sending a second authentication request to the authentication device via the access point;
The authentication device
An authentication parameter acquisition unit that acquires the authentication parameter corresponding to the subscriber identification information mounted in the second authentication request from the subscriber information management device;
A master key generation unit that generates an access point master key using the key information included in the authentication parameter acquired from the subscriber information management device;
A challenge transmission unit that transmits a challenge message including the first message authentication code generated using the access point master key to the first wireless terminal via the access point;
The first wireless terminal further includes
A master key generating unit that generates a terminal master key that matches the access point master key based on the subscriber registration information of the first wireless terminal;
A storage unit for storing the terminal master key;
A response transmission unit that transmits a response message including the second message authentication code generated using the terminal master key to the authentication device via the access point after receiving the challenge message;
The authentication device further includes:
A master key transmitter for transmitting the access point master key to the access point;
The access point is
A storage unit for storing the received access point master key;
The first wireless terminal further includes
A temporary key generation unit that generates a terminal temporary key using the terminal master key stored in the storage unit of the first wireless terminal;
The access point further includes
Using the access point master key stored in the storage unit of the access point, a temporary key generation unit that generates an access point temporary key that matches the terminal temporary key;
The authentication information transmission unit of the first wireless terminal is
The wireless communication system according to claim 1, wherein the terminal temporary key is transmitted to the second wireless terminal as the authentication information.
前記第1無線端末の前記加入者識別情報と対応する加入者登録情報を有し、
前記移動体通信網は、
前記認証装置と
前記第1無線端末の前記加入者識別情報と前記第1無線端末の前記加入者登録情報とを対応付けて記憶する加入者情報管理装置とを備え、
前記加入者情報管理装置は、
前記加入者識別情報に対応する、前記加入者識別情報を有する前記第1無線端末を認証するための情報であり、マスター鍵の生成に用いられる鍵情報を含む認証用パラメタを、前記加入者登録情報を用いて生成し、
前記第1無線端末の前記認証情報要求部は、
前記代理認証要求部から受信した前記第1認証要求に応じて、前記第1無線端末の前記加入者識別情報を搭載し、当該加入者識別情報を有する当該第1無線端末を認証するよう要求する第2認証要求を、前記アクセスポイントを介して前記認証装置へ送信し、
前記認証装置は、
前記第2認証要求に搭載された前記加入者識別情報に対応する前記認証用パラメタを前記加入者情報管理装置から取得する認証用パラメタ取得部と、
前記加入者情報管理装置から取得した前記認証用パラメタに含まれる前記鍵情報を用いて、アクセスポイントマスター鍵を生成するマスター鍵生成部と、
前記アクセスポイントマスター鍵を用いて生成した第1メッセージ認証コードを含むチャレンジメッセージを、前記アクセスポイントを介して前記第1無線端末へ送信するチャレンジ送信部とを備え、
前記第1無線端末はさらに、
前記第1無線端末が有する前記加入者登録情報に基づいて、前記アクセスポイントマスター鍵と一致する端末マスター鍵を生成するマスター鍵生成部と、
前記端末マスター鍵を記憶する記憶部と、
前記チャレンジメッセージを受信した後、前記端末マスター鍵を用いて生成した第2メッセージ認証コードを含むレスポンスメッセージを、前記アクセスポイントを介して前記認証装置へ送信するレスポンス送信部とを備え、
前記認証装置はさらに、
前記アクセスポイントマスター鍵を前記アクセスポイントへ送信するマスター鍵送信部を備え、
前記アクセスポイントは、
受信した前記アクセスポイントマスター鍵を記憶する記憶部を備え、
前記第1無線端末の前記認証情報送信部は、
前記端末マスター鍵を前記認証情報として前記第2無線端末へ送信し、
前記第2無線端末はさらに、
受信した前記端末マスター鍵を記憶する記憶部と、
当該第2無線端末の前記記憶部に記憶された前記端末マスター鍵を用いて、端末一時鍵を生成する一時鍵生成部とを備え、
前記アクセスポイントはさらに、
当該アクセスポイントの前記記憶部に記憶された前記アクセスポイントマスター鍵を用いて、前記端末一時鍵と一致するアクセスポイント一時鍵を生成する一時鍵生成部を備える
請求項1の無線通信システム。 The first wireless terminal is
Having subscriber registration information corresponding to the subscriber identification information of the first wireless terminal;
Said mobile communication network,
The authentication device and a subscriber information management device for the storage in association with the subscriber registration information of the said first said subscriber identification information of the wireless terminal first wireless terminal,
The subscriber information management device includes:
Information for authenticating the first wireless terminal having the subscriber identification information corresponding to the subscriber identification information, and an authentication parameter including key information used for generating a master key, the subscriber registration Generated using information,
The authentication information request unit of the first wireless terminal is
In response to the first authentication request received from the proxy authentication request unit, the subscriber identification information of the first wireless terminal is mounted and a request is made to authenticate the first wireless terminal having the subscriber identification information. Sending a second authentication request to the authentication device via the access point;
The authentication device
An authentication parameter acquisition unit that acquires the authentication parameter corresponding to the subscriber identification information mounted in the second authentication request from the subscriber information management device;
A master key generation unit that generates an access point master key using the key information included in the authentication parameter acquired from the subscriber information management device;
A challenge transmission unit that transmits a challenge message including the first message authentication code generated using the access point master key to the first wireless terminal via the access point;
The first wireless terminal further includes
A master key generating unit that generates a terminal master key that matches the access point master key based on the subscriber registration information of the first wireless terminal;
A storage unit for storing the terminal master key;
A response transmission unit that transmits a response message including the second message authentication code generated using the terminal master key to the authentication device via the access point after receiving the challenge message;
The authentication device further includes:
A master key transmitter for transmitting the access point master key to the access point;
The access point is
A storage unit for storing the received access point master key;
The authentication information transmission unit of the first wireless terminal is
Transmitting the terminal master key as the authentication information to the second wireless terminal;
The second wireless terminal further includes
A storage unit for storing the received terminal master key;
A temporary key generating unit that generates a terminal temporary key using the terminal master key stored in the storage unit of the second wireless terminal;
The access point further includes
The wireless communication system according to claim 1, further comprising: a temporary key generation unit that generates an access point temporary key that matches the terminal temporary key using the access point master key stored in the storage unit of the access point.
前記第1無線端末の前記記憶部に記憶された前記端末マスター鍵を用いて、間欠的に新たに端末一時鍵を生成し、
前記アクセスポイントの前記一時鍵生成部は、
前記アクセスポイントの前記記憶部に記憶された前記アクセスポイントマスター鍵を用いて、新たに生成された前記端末一時鍵と一致するアクセスポイント一時鍵を新たに生成し、
前記第1無線端末の前記認証情報送信部は、
端末一時鍵が新たに生成される度に、当該端末一時鍵を前記認証情報として前記第2無線端末へ送信する
請求項2の無線通信システム。 The temporary key generation unit of the first wireless terminal is
A new terminal temporary key is intermittently generated using the terminal master key stored in the storage unit of the first wireless terminal,
The temporary key generation unit of the access point is
Using the access point master key stored in the storage unit of the access point, to generate a new access point temporary key that matches the newly generated terminal temporary key,
The authentication information transmission unit of the first wireless terminal is
The wireless communication system according to claim 2, wherein each time a terminal temporary key is newly generated, the terminal temporary key is transmitted as the authentication information to the second wireless terminal.
前記第2無線端末が前記第1認証要求を送信してから、前記第2無線端末と前記アクセスポイントとの接続が切断されるまで維持される
請求項1から4のいずれかに記載の無線通信システム。 The connection established between the second terminal communication unit and the first terminal communication unit is:
The wireless communication according to any one of claims 1 to 4, wherein the wireless communication is maintained until the connection between the second wireless terminal and the access point is disconnected after the second wireless terminal transmits the first authentication request. system.
前記第2無線端末が前記第1認証要求を送信してから、前記第1無線端末の前記認証情報送信部による、前記端末マスター鍵の前記第2無線端末への送信が完了するまで維持される
請求項3の無線通信システム。 The connection established between the second terminal communication unit and the first terminal communication unit is:
This is maintained until the transmission of the terminal master key to the second wireless terminal by the authentication information transmitting unit of the first wireless terminal is completed after the second wireless terminal transmits the first authentication request. The wireless communication system according to claim 3.
前記第1無線端末と前記第2無線端末との通信を暗号化するための端末間暗号鍵と、前記端末間暗号鍵で暗号化された通信を復号化するための端末間復号鍵とを生成する端末間鍵生成部と、
前記端末間暗号鍵を前記第1無線端末に送信する端末間鍵送信部とを備え、
前記第1無線端末はさらに、
前記認証情報要求部の要求に応じて取得された前記認証情報を、前記端末間鍵送信部から受信した前記端末間暗号鍵を用いて暗号化する端末間通信暗号化部を備え、
前記第1無線端末の前記認証情報送信部は、
前記端末間暗号鍵を用いて暗号化された前記認証情報を前記第2無線端末へ送信する
請求項1から6のいずれかに記載の無線通信システム。 The second wireless terminal further includes
An inter-terminal encryption key for encrypting communication between the first wireless terminal and the second wireless terminal, and an inter-terminal decryption key for decrypting communication encrypted with the inter-terminal encryption key are generated. An inter-terminal key generator that
An inter-terminal key transmission unit that transmits the inter-terminal encryption key to the first wireless terminal;
The first wireless terminal further includes
An inter-terminal communication encryption unit that encrypts the authentication information acquired in response to the request of the authentication information request unit using the inter-terminal encryption key received from the inter-terminal key transmission unit;
The authentication information transmission unit of the first wireless terminal is
The wireless communication system according to any one of claims 1 to 6, wherein the authentication information encrypted using the inter-terminal encryption key is transmitted to the second wireless terminal.
前記第1無線端末と前記第2無線端末との通信を暗号化するための第2端末間暗号鍵と、前記第2端末間暗号鍵で暗号化された通信を復号化するための第2端末間復号鍵とを生成する端末間鍵生成部と、
前記第2端末間暗号鍵を前記第2無線端末に送信する端末間鍵送信部とを備え、
前記第2無線端末はさらに、
受信した前記第2端末間暗号鍵で前記第1認証要求を暗号化する端末間通信暗号化部を備え、
前記代理認証要求部は、暗号化された前記第1認証要求を前記第1無線端末へ送信する
請求項7に記載の無線通信システム。 The first wireless terminal further includes
A second inter-terminal encryption key for encrypting communication between the first wireless terminal and the second wireless terminal; and a second terminal for decrypting communication encrypted with the second inter-terminal encryption key. An inter-terminal key generation unit that generates an inter-decryption key;
An inter-terminal key transmission unit that transmits the second inter-terminal encryption key to the second wireless terminal;
The second wireless terminal further includes
An inter-terminal communication encryption unit that encrypts the first authentication request with the received second inter-terminal encryption key;
The wireless communication system according to claim 7, wherein the proxy authentication request unit transmits the encrypted first authentication request to the first wireless terminal.
前記移動体通信網における加入者識別情報を有さない第2無線端末と
を含む複数の無線端末と、
前記第1無線端末と前記移動体通信網との通信を中継するアクセスポイントと、
前記移動体通信網における加入者識別情報を有する無線端末を認証する認証装置と
を備える無線通信システムにおける前記第1無線端末であって、
前記第2無線端末との通信を実行する第1端末通信部と、
前記第2無線端末から、前記第2無線端末が前記アクセスポイントへ接続するために用いる認証情報を前記第1無線端末が代理で取得するよう要求する第1認証要求を受信した後、前記認証装置に対し、前記認証情報を、前記加入者識別情報を用いて要求する認証情報要求部と、
前記認証情報要求部の要求に応じて取得された前記認証情報を、前記第1端末通信部を通じて前記第2無線端末へ送信する認証情報送信部と
を備える
無線端末。 A first wireless terminal having subscriber identification information in a mobile communication network;
A plurality of wireless terminals including a second wireless terminal not having subscriber identification information in the mobile communication network;
An access point that relays communication between the first wireless terminal and the mobile communication network ;
The first wireless terminal in a wireless communication system comprising an authentication device for authenticating a wireless terminal having subscriber identification information in the mobile communication network ,
A first terminal communication unit for performing communication with the second wireless terminal;
After receiving from the second wireless terminal a first authentication request for requesting that the first wireless terminal obtains authentication information used by the second wireless terminal to connect to the access point by proxy, the authentication device On the other hand, an authentication information request unit that requests the authentication information using the subscriber identification information;
A wireless terminal comprising: an authentication information transmission unit that transmits the authentication information acquired in response to a request from the authentication information request unit to the second wireless terminal through the first terminal communication unit.
前記移動体通信網における加入者識別情報を有さない第2無線端末と
を含む複数の無線端末と、
前記第1無線端末と前記移動体通信網との通信を中継するアクセスポイントと、
前記移動体通信網における加入者識別情報を有する無線端末を認証する認証装置と
を備える無線通信システムにおける前記第2無線端末であって、
前記第1無線端末との通信を実行する第2端末通信部と、
前記第2無線端末が前記アクセスポイントへ接続するために用いる認証情報を前記第1無線端末が代理で取得するよう要求する第1認証要求を、前記第2端末通信部を通じて前記第1無線端末へ送信する代理認証要求部と
を備え、
前記第2端末通信部は、
前記第1認証要求に応じて前記第1無線端末が前記認証装置から取得し、送信する前記認証情報を受信する
無線端末。 A first wireless terminal having subscriber identification information in a mobile communication network;
A plurality of wireless terminals including a second wireless terminal not having subscriber identification information in the mobile communication network;
An access point that relays communication between the first wireless terminal and the mobile communication network ;
A second wireless terminal in a wireless communication system comprising an authentication device for authenticating a wireless terminal having subscriber identification information in the mobile communication network ;
A second terminal communication unit for performing communication with the first wireless terminal;
A first authentication request for requesting the first wireless terminal to acquire authentication information used for connecting the second wireless terminal to the access point by proxy is sent to the first wireless terminal through the second terminal communication unit. A proxy authentication requesting section for transmission, and
The second terminal communication unit
A wireless terminal that receives the authentication information that the first wireless terminal acquires and transmits from the authentication device in response to the first authentication request.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015101181A JP6471039B2 (en) | 2015-05-18 | 2015-05-18 | Wireless communication system and wireless terminal |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015101181A JP6471039B2 (en) | 2015-05-18 | 2015-05-18 | Wireless communication system and wireless terminal |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016219955A JP2016219955A (en) | 2016-12-22 |
| JP6471039B2 true JP6471039B2 (en) | 2019-02-13 |
Family
ID=57579274
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015101181A Active JP6471039B2 (en) | 2015-05-18 | 2015-05-18 | Wireless communication system and wireless terminal |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6471039B2 (en) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108696868B (en) | 2017-03-01 | 2020-06-19 | 西安西电捷通无线网络通信股份有限公司 | Processing method and device of credential information for network connection |
| US10966087B2 (en) * | 2018-11-15 | 2021-03-30 | Cisco Technology, Inc. | Optimized simultaneous authentication of equals (SAE) authentication in wireless networks |
| WO2020116915A1 (en) * | 2018-12-05 | 2020-06-11 | 엘지전자 주식회사 | Method and device for proxy authentication of terminal for permission of access to wireless communication system |
| CN113766494A (en) * | 2020-05-27 | 2021-12-07 | 维沃移动通信有限公司 | Key obtaining method and device, user equipment and network side equipment |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004208073A (en) * | 2002-12-25 | 2004-07-22 | Sony Corp | Radio communication system |
| JP4628198B2 (en) * | 2005-06-28 | 2011-02-09 | 株式会社バッファロー | Security setting processing system |
| JP5039400B2 (en) * | 2007-01-22 | 2012-10-03 | 株式会社エヌ・ティ・ティ・ドコモ | Communication method, communication system, and predetermined apparatus |
| JP5342818B2 (en) * | 2008-05-14 | 2013-11-13 | Kddi株式会社 | Management device, registered communication terminal, unregistered communication terminal, network system, management method, communication method, and computer program. |
| US8458776B2 (en) * | 2009-10-21 | 2013-06-04 | Microsoft Corporation | Low-latency peer session establishment |
| JP2013048330A (en) * | 2011-08-29 | 2013-03-07 | Nec Casio Mobile Communications Ltd | Communication device, communication switching method, and program |
| JP5552104B2 (en) * | 2011-10-14 | 2014-07-16 | 日本電信電話株式会社 | Communication system and communication method |
| JP5931802B2 (en) * | 2013-06-06 | 2016-06-08 | 日本電信電話株式会社 | Terminal authentication method and system in network |
-
2015
- 2015-05-18 JP JP2015101181A patent/JP6471039B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016219955A (en) | 2016-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10003966B2 (en) | Key configuration method and apparatus | |
| US9654972B2 (en) | Secure provisioning of an authentication credential | |
| US9668230B2 (en) | Security integration between a wireless and a wired network using a wireless gateway proxy | |
| JP6727294B2 (en) | User equipment UE access method, access device, and access system | |
| WO2018040758A1 (en) | Authentication method, authentication apparatus and authentication system | |
| KR102062162B1 (en) | Security authentication method, configuration method and related devices | |
| EP2605447B1 (en) | Secret communication method, terminal, switching equipment and system between neighboring user terminals | |
| US20080046732A1 (en) | Ad-hoc network key management | |
| US11109206B2 (en) | Security method and system for supporting discovery and communication between proximity based service terminals in mobile communication system environment | |
| US20060094401A1 (en) | Method and apparatus for authentication of mobile devices | |
| JP2018521566A (en) | Distributed configurator entity | |
| CN109922474B (en) | Method for triggering network authentication and related equipment | |
| HUE035780T2 (en) | Systems and methods of performing link setup and authentication | |
| JP2014526841A (en) | Wireless communication with parallel re-authentication and connection setup | |
| WO2019134868A1 (en) | System and method for end-to-end secure communication in device-to-device communication networks | |
| WO2014180296A1 (en) | Method, configuration device, and wireless device for establishing connection between devices | |
| US10212140B2 (en) | Key management | |
| KR20160058491A (en) | Method and apparatus for providing services based on identifier of user device | |
| TW201701683A (en) | Flexible configuration and authentication of wireless devices | |
| CN113543126B (en) | Key obtaining method and device | |
| JP6471039B2 (en) | Wireless communication system and wireless terminal | |
| WO2014127751A1 (en) | Wireless terminal configuration method, apparatus and wireless terminal | |
| US11962692B2 (en) | Encrypting data in a pre-associated state | |
| CN108156604B (en) | Group calling encryption transmission method and device of cluster system, cluster terminal and system | |
| CN112602290B (en) | Identity authentication method and device and readable storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180207 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181025 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181113 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181225 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190115 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190121 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6471039 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |