WO2006006321A1

WO2006006321A1 - 通信システム、鍵配信制御装置および無線ｌａｎ基地局装置

Info

Publication number: WO2006006321A1
Application number: PCT/JP2005/010261
Authority: WO
Inventors: Satoshi Iino; Hironori Matsui
Original assignee: Matsushita Electric Industrial Co., Ltd.
Priority date: 2004-07-08
Filing date: 2005-06-03
Publication date: 2006-01-19
Also published as: JP2006025225A; EP1764953A1; US20070206796A1

Abstract

　無線ＬＡＮ基地局装置および通信端末装置の鍵の設定時間をより同期させ、無線ＬＡＮ基地局装置および通信端末装置の間に生じる通信断の期間をより短縮する通信システム、鍵配信制御装置、および無線ＬＡＮ基地局装置。この通信システムにおいて、ＡＰ制御装置（１００）では、通信端末装置（３００）が使用する第１の鍵情報としてのＥＡＰｏＬ－Ｋｅｙフレームと、無線ＬＡＮ基地局装置（２００）が使用する第２の鍵情報とを連結（カプセル化）して１つのフレーム（鍵設定要求フレーム）を生成し、このフレームを無線ＬＡＮ基地局装置（２００）に送出することができる。無線ＬＡＮ基地局装置（２００）では、受信したフレームを第１の鍵情報としてのＥＡＰｏＬ－Ｋｅｙフレームと、無線ＬＡＮ基地局装置（２００）が使用する第２の鍵情報とに分離し、このＥＡＰｏＬ－Ｋｅｙフレームが通信端末装置（３００）に対して送信される。

Description

明細書

通信システム、鍵配信制御装置および無線 LAN基地局装置

技術分野

[0001] 本発明は、通信システム、鍵配信制御装置および無線 LAN基地局装置に関し、特に無線 LANに係る通信システム、これを構成する鍵配信制御装置および無線 LAN 基地局装置に関する。

背景技術

[0002] 近年、無線 LAN (IEEE802.il規格）の普及が進み、公衆ネットワークや企業ネットヮークにお、て大規模な無線 LANネットワークシステムが構築されるようになって、る。それに従って、アクセスポイント (AP)、例えば無線 LAN基地局装置を個別に設定し設置していく方法から、複数の無線 LAN基地局装置と接続した AP制御装置により、この AP制御装置が無線 LAN基地局装置の自動設定、障害管理、統計情報の収集などを一括して行う方法に移行することが検討されている。この検討は、国際標準化団体である IETF (Internet Engineering Task Force)や IEEE802. 11ワーキンググループなどにより行われており、標準化の策定が進められている。

[0003] そこで、無線 LANフレーム（802.11規格）と Ethernet (登録商標）フレームとの間のブリッジ処理を無線 LAN基地局装置により行わずに、上位の AP制御装置にお、て行うことや、認証のポートの開閉箇所も無線 LAN基地局装置から AP制御装置に移したアーキテクチャが検討されている。このようなアーキテクチャにおいて、 IETFの C APWAPワーキンググループでは、 APを管理するプロトコルの一つとして、 LWAPP (light weight access protocol)が提案されている。この LWAPPでは、 AP制御装置が無線 LAN基地局装置に対して、設定情報の自動設定、障害管理、統計情報収集、暗号鍵情報の設定などを行っている。

[0004] ここで提案されて、る通信システム (非特許文献 1参照）にお、ては、 AP制御装置は、鍵設定時に EAPoL— Keyフレームにより、通信端末装置に暗号鍵を通知する。このときアクセスポイントに対しても同じタイミングにおいて Add Mobile Requestフレームを送出する。このようにして、 AP制御装置は、通信端末装置と無線 LAN基地局装置との間の通信にて必要な暗号鍵を通信端末装置および無線 LAN基地局装置に対して配信している。なお、 AP制御装置より送出され通信端末装置に対して送達される暗号鍵は、無線 LAN基地局装置を介して送達される。

特干文献 1： IETFドフノト draft— ohara—capwap—lwapp— 00.txt 「Light Weignt Acces s Point Protocolj

発明の開示

発明が解決しょうとする課題

[0005] し力しながら、従来の通信システムにお、ては、鍵配信制御装置としての AP制御装置は、通信端末装置の認証成功時に、無線 LAN基地局装置と通信端末装置とに対してそれぞれ異なるフレームで鍵を設定している。そのため、 AP制御装置と無線 L AN基地局装置との間のネットワークシステムの輻輳などが生じる場合には、 AP制御装置により送出されたフレームが無線 LAN基地局装置と通信端末装置とに送達するタイミングに大きな差が生じ、この差に起因して通信端末装置と無線 LAN基地局装置とにおいて暗号鍵の設定時間に差が生じることがある。

[0006] 暗号鍵の設定時間に差が生じる場合には、通信端末装置と無線 LAN基地局装置とのどちらかにのみ暗号鍵が設定されている状態が生じ、この状態では通信端末装置と無線 LAN基地局装置との間において通信ができない。例えば、無線 LAN基地局装置のみ先に暗号鍵が設定され、通信端末装置への暗号鍵設定が遅れた場合、通信端末装置への暗号鍵設定までは、無線 LAN基地局装置から通信端末装置に送出されるフレームは暗号ィ匕されるが、そのフレームを受信する通信端末装置はその暗号ィ匕されたフレームを復号ィ匕できな、。

[0007] 本発明の目的は、無線 LAN基地局装置および通信端末装置の鍵の設定時間をより同期させ、かつ、無線 LAN基地局装置および通信端末装置の間に生じる通信断の期間をより短縮する通信システム、鍵配信制御装置、および無線 LAN基地局装置を提供することである。

課題を解決するための手段

[0008] 本発明の第 1の特徴は、通信システムにおいて、通信端末装置と、前記通信端末装置がアクセスする無線 LAN基地局装置と、前記通信端末装置と前記無線 LAN基地局装置との間の通信にて使用する暗号鍵情報を配信する鍵配信制御装置とを有し、前記鍵配信制御装置が、前記通信端末装置が使用する第 1の前記暗号鍵情報と前記無線 LAN基地局装置が使用する第 2の前記暗号鍵情報とを連結して 1つの鍵情報フレームを生成する生成手段を具備し、前記無線 LAN基地局装置が、前記鍵情報フレームを前記第 1の暗号鍵情報と前記第 2の暗号鍵情報とに分離する分離手段と、前記第 1の暗号鍵情報を前記通信端末装置に送信する送信手段と、を具備したことである。

[0009] 本発明の第 2の特徴は、鍵配信制御装置において、通信端末装置と前記通信端末装置がアクセスする無線 LAN基地局装置との間の通信にて使用する暗号鍵情報を配信し、前記通信端末装置が使用する第 1の前記暗号鍵情報と前記無線 LAN基地局装置が使用する第 2の前記暗号鍵情報とを連結して 1つの鍵情報フレームを生成する生成手段と、前記鍵情報フレームを前記無線 LAN基地局装置に送信する送信手段と、を具備したことである。

[0010] 本発明の第 3の特徴は、無線 LAN基地局装置において、上記鍵配信制御装置から前記鍵情報フレームを受信し、前記鍵情報フレームを前記第 1の暗号鍵情報と前記第 2の暗号鍵情報とに分離する分離手段と、前記第 1の暗号鍵情報を前記通信端末装置に送信する送信手段と、を具備したことである。

発明の効果

[0011] 本発明によれば、無線 LAN基地局装置および通信端末装置の鍵の設定時間をより同期させ、かつ、無線 LAN基地局装置および通信端末装置の間に生じる通信断の期間をより短縮する通信システム、鍵配信制御装置、および無線 LAN基地局装置を提供することができる。

図面の簡単な説明

[0012] [図 1]本発明の一実施の形態に係る通信システムの構成を示すブロック図

[図 2]図 1の AP制御装置の構成を示すブロック図

[図 3]鍵管理テーブルの構成の一例を示す図

[図 4]鍵設定要求フレームの構成を説明するための図

[図 5]図 1の無線 LAN基地局装置の構成を示すブロック図 [図 6]—実施の形態に係る通信システムの動作の流れを示すシーケンス図発明を実施するための最良の形態

[0013] 以下、本発明の一実施の形態について図面を参照して詳細に説明する。

[0014] まず、実施の形態に係る通信システムの構成について、図 1を参照して説明する。

[0015] 実施の形態に係る通信システム 10は、図 1に示すように、通信端末装置 300と、通信端末装置 300がアクセスする無線 LAN基地局装置 200と、通信端末装置 300と無線 LAN基地局装置 200との間の通信にて使用する暗号鍵情報を配信する鍵配信制御装置としての AP制御装置 100と、ネットワークシステム 600とを備える。そして、 AP制御装置 100は、認証サーバ装置 20とコアネットワークシステム 30と接続している。

[0016] この通信システム 10において、 AP制御装置 100は、通信端末装置 300が使用する第 1の鍵情報と無線 LAN基地局装置 200が使用する第 2の鍵情報とを連結して 1 つのフレームを生成し、このフレームを無線 LAN基地局装置 200に対して送信する。無線 LAN基地局装置 200は、 AP制御装置 100から送達されるフレームを第 1の鍵情報と第 2の鍵情報とに分離する。そして、無線 LAN基地局装置 200は、第 1の鍵情報を通信端末装置 300に送信するとともに、第 2の鍵情報については通信端末装置 300との通信にぉ、て自装置にて使用する。

[0017] 図 2に示すように AP制御装置 100は、認証制御部 101と、端末側送受信部 102と、網側送受信部 103と、通信端末装置 300が使用する第 1の鍵情報と無線 LAN基地局装置 200が使用する第 2の鍵情報とを連結して 1つのフレームを生成する生成手段としての鍵カプセル部 104と、鍵管理テーブル 105とを備える。

[0018] 認証制御部 101は、認証要求を通信端末装置 300から端末側送受信部 102を介して受け取ると、この認証要求を認証サーバ装置 20に対して網側送受信部 103を介して送出する。

[0019] また、認証制御部 101は、認証サーバ装置 20から認証要求に応じた認証の成功結果としての Access— Acceptを網側送受信部 103を介して受信し、この Access— Acceptを EAP— Successとして通信端末装置 300に対し端末側送受信部 102を介して送出する。 [0020] さらに、認証制御部 101は、通信端末装置 300に対して通知すべき第 1の鍵情報である EAPoL— Keyフレームを鍵カプセル部 104に送出する。

[0021] 鍵カプセル部 104は、認証制御部 101から EAPoL— Keyフレームを受信したときのみ次の動作を行う。具体的には、鍵カプセル部 104は、認証が成功した上記通信端末装置 300に対応する端末 MACアドレスと無線 LAN基地局装置 200にて使用する第 2の鍵情報とを鍵管理テーブル 105から取り出し、鍵エレメントを作成する。なお、鍵管理テーブル 105には、図 3に示すように通信端末装置 300の各々に対応する端末 MACアドレスと無線 LAN基地局装置 200にて使用される第 2の鍵情報とが対応づけて記憶されて、る。

[0022] また、鍵カプセル部 104は、受信した EAPoL— Keyフレームから EAPoLエレメントを作成する。そして、鍵カプセル部 104は、作成した鍵エレメントと EAPoLエレメントと力も鍵設定要求フレームを作成する。

[0023] この鍵設定要求フレームは、図 4に示すように、 Etherヘッダ部 410と、 AP管理プロトコルヘッダ部 420と、鍵エレメント 430と、 EAPoLエレメント 440とからなる基本構成を有する。なお、ここでは、 AP制御装置 100と無線 LAN基地局装置 200とが Ether net (登録商標）で接続されて!ヽるものとする。

[0024] 鍵設定要求フレームにおいては、一番外側に Etherヘッダ部 410があり、その内側に AP管理プロトコルヘッダ部 420が置かれる。 AP管理プロトコルには、 APの設定や統計情報収集など様々なメッセージが必要であるが、本発明では鍵設定要求のみを規定する。この AP管理プロトコルヘッダ部 420により鍵設定要求フレームであることを表す。

[0025] Etherヘッダ部 410には、宛先 MACアドレス（ここでは、無線 LAN基地局装置 20 0の MACアドレス）と、送信元 MACアドレス（ここでは、 AP制御装置 100の MACァドレス）と、 Etherタイプすなわち APコントロールプロトコルを表すタイプとが含まれている。

[0026] さらに、鍵設定要求フレームは、鍵エレメント 430と EAPoLエレメント 440との 2つのエレメントを持つ。この鍵エレメント 430には、通信端末装置 300に対応する端末 MA Cアドレス 411と、鍵のタイプ 412 (ュニキャストキーか又はブロードキャストキーかを規定するタイプ)と、無線 LAN基地局装置 200にて使用される第 2の鍵情報本体 41 3とが含まれる。

[0027] また、 EAPoLエレメント 440には、 EAPoL— Keyフレーム、すなわち通信端末装置 300が使用する第 1の鍵情報そのものが含まれる。この EAPoL— Keyフレームは、無線 LAN基地局装置 200にてフレーム変換する必要がないように、予め通信端末装置 300と無線 LAN基地局装置 200との間で遣り取りされるフレームの形態に合わせてある。例えば、通信端末装置 300と無線 LAN基地局装置 200とがワイヤレス LA Nで接続される場合には、ワイヤレス LANで利用されるフレーム形態、例えば、データリンク層で利用されるフレーム形態 (信号形態)である EAPoL— Keyフレームが、鍵設定要求フレームに格納されて、る。

[0028] このように、鍵カプセル部 104は、通信端末装置 300が使用する第 1の鍵情報としての EAPoL—Keyフレームと、無線 LAN基地局装置 200が使用する第 2の鍵情報とを連結 (カプセル化）して 1つのフレーム（鍵設定要求フレーム）を生成して、る。

[0029] そして、鍵カプセル部 104は、生成した鍵設定要求フレームを無線 LAN基地局装置 200に対し端末側送受信部 102を介して送出する。

[0030] 図 5に示すように、無線 LAN基地局装置 200は、フレーム振り分け部 201と、網側送受信部 203と、 AP制御装置 100からの鍵設定要求フレームを第 1の鍵情報と第 2 の鍵情報とに分離する分離手段としての鍵デカプセル部 204と、分離された第 1の鍵情報を通信端末装置 300に対して送信する端末側送受信部 202と、鍵管理テープノレ 205とを備える。

[0031] フレーム振り分け部 201は、認証要求を通信端末装置 300から端末側送受信部 20 2を介して受け取ると、この認証要求を AP制御装置 100に対して網側送受信部 203 を介して送出する。

[0032] また、フレーム振り分け部 201は、認証要求に応じた認証の成功結果としての EAP

Successを AP制御装置 100から網側送受信部 203を介して受信すると、端末側送受信部 202を介して通信端末装置 300へ送出する。

[0033] さらに、フレーム振り分け部 201は、鍵設定要求フレームを AP制御装置 100から網側送受信部 203を介して受け取ると、鍵デカプセル部 204に送出する。 [0034] 鍵デカプセル部 204は、フレーム振り分け部 201から鍵設定要求フレームを受け取ると、この鍵設定要求フレームを鍵エレメントと EAPoLエレメントとに分離する。そして、鍵デカプセル部 204は、鍵エレメントから端末 MACアドレスと鍵情報とを抽出し、また、 EAPoLエレメントから EAPoL— Keyフレームを抽出する。

[0035] そして、鍵デカプセル部 204は、端末 MACアドレスと鍵情報とを鍵管理テーブル 2 05に設定し、また、 EAPoL— Keyフレームを通信端末装置 300に端末側送受信部 202を介して送出する。なお、鍵管理テーブル 205は、図 3に示す鍵管理テーブル 1 05と同様の構成を採る。

[0036] このように、鍵デカプセル部 204は、 AP制御装置 100にてカプセル化された通信端末装置 300が使用する第 1の鍵情報としての EAPoL— Keyフレームと無線 LAN 基地局装置 200が使用する第 2の鍵情報とを分離し、第 1の鍵情報としての EAPoL —Keyフレームについては端末側送受信部 202を介して送出する。

[0037] そして、 EAPoL— Keyフレームが AP制御装置 100にてカプセル化されるときに予め通信端末装置 300と無線 LAN基地局装置 200との間で遣り取りされるフレームの形態に合ってヽるため、無線 LAN基地局装置 200は鍵デカプセル部 204にて鍵設定要求フレームを分離する以外に特に手間の掛カる処理をすることなぐ第 1の鍵情報としての EAPoL— Keyフレームを通信端末装置 300へ送出することができる。

[0038] 次いで、通信システム 10の動作の流れについて図 6を参照して説明する。

[0039] ステップ ST501において、通信端末装置 300が認証サーバ装置 20に対し 802. 1 xZEAPのプロトコルを用いて認証を行う。なお、 EAPには、認証のタイプによって E AP—TLS、 EAP— TTLS、 EAP— PEAPなどの種類があるが、本発明ではその認証のタイプには依存しない。そして、通信端末装置 300の認証が正常に終了したときに、マスターキーと呼ばれる鍵のもとが、通信端末装置 300と認証サーバ装置 20とに生成される。

[0040] ステップ ST502において、認証サーバ装置 20から認証の成功結果としての Acces s— Acceptが、 AP制御装置 100に送信される。

[0041] ステップ ST503において、 AP制御装置 100は、 Access—Accept^EAP— Succ essとして、通信端末装置 300に通知する。 [0042] 次いでステップ ST504において、 AP制御装置 100にて生成された鍵設定要求フレームが、無線 LAN基地局装置 200に送信される。

[0043] ステップ ST505において、無線 LAN基地局装置 200にて鍵設定要求フレームが分離され抽出された EAPoL— Keyフレーム力通信端末装置 300に対して送出される。なお、必要であれば、無線 LAN基地局装置 200は鍵設定要求フレームの確認応答を AP制御装置 100に送信するようにしてもょヽ。

[0044] なお、本実施の形態においては、 AP制御装置 100と無線 LAN基地局装置 200との間は、 Ethernet (登録商標）で接続され、データリンク層でフレームの遣り取りがなされるものとして説明をした力本発明は、これに限定されるものではなぐ UDP/IP ネットワーク層で通信がなされてもよい。その場合には、図 4に示した鍵設定要求フレームの Etherヘッダ部 410の代わりに、 UDPZlPヘッダがカプセル化されることとなる。

[0045] このように、実施の形態に係る通信システムにおいて、 AP制御装置 100においては、通信端末装置 300が使用する第 1の鍵情報としての EAPoL— Keyフレームと、無線 LAN基地局装置 200が使用する第 2の鍵情報とを連結 (カプセル化）して 1つのフレーム（鍵設定要求フレーム）を生成し、このフレームを無線 LAN基地局装置 2 00に送出することができる。無線 LAN基地局装置 200においては、受信したフレームを第 1の鍵情報としての EAPoL— Keyフレームと、無線 LAN基地局装置 200が使用する第 2の鍵情報とに分離し、この EAPoL— Keyフレームが通信端末装置 300 に対して送信される。

[0046] 従って、 EAPoL— Keyフレームおよび第 2の鍵情報に関し無線 LAN基地局装置 200に送達される時間に差が生じることがなぐまた、通信端末装置 300と無線 LAN 基地局装置 200とはネットワークを介すことなく通信を行うことができるので EAPoL— Keyフレームが無線 LAN基地局装置 200から通信端末装置 300に対して送達される時間はわずかであるため、無線 LAN基地局装置 200および通信端末装置 300の鍵の設定時間をほぼ同期させることができる結果、無線 LAN基地局装置 200および通信端末装置 300の間に生じる、鍵の設定時間の非同期に起因する通信断の期間を短縮することができる。 [0047] さらに、実施の形態に係る通信システムにおいて、 AP制御装置 100においては、第 1の鍵情報としての EAPoL— Keyフレームの信号形態を無線 LAN基地局装置 2 00と通信端末装置 300との間において利用されるフレーム形態 (信号形態）に合わせて、 EAPoL— Keyフレームと無線 LAN基地局装置 200が使用する第 2の鍵情報とを連結 (カプセル化）して 1つのフレーム（鍵設定要求フレーム）を生成して、る。無線 LAN基地局装置 200においては、受信したフレームを第 1の鍵情報としての EAP oL— Keyフレームと、無線 LAN基地局装置 200が使用する第 2の鍵情報とに分離し、この EAPoL— Keyフレームが通信端末装置 300に対して送信される。

[0048] 従って、 EAPoL— Keyフレームが AP制御装置 100にてカプセル化されるときに予め通信端末装置 300と無線 LAN基地局装置 200との間で遣り取りされるフレームの形態に合っているため、無線 LAN基地局装置 200は鍵設定要求フレームを分離する以外に特に手間の掛カる処理をすることなぐ第 1の鍵情報としての EAPoL— Key フレームを通信端末装置 300へ送出することができる。その結果、無線 LAN基地局装置 200において必要な処理時間が短縮ィ匕されるため、無線 LAN基地局装置 200 および通信端末装置 300の鍵の設定時間をほぼ同期させることができる結果、無線 LAN基地局装置 200および通信端末装置 300の間に生じる、鍵の設定時間の非同期に起因する通信断の期間をさらに短縮することができる。

[0049] 本明細書は、 2004年 7月 8日出願の特願 2004— 201944に基づく。この内容はすべてここに含めておく。

産業上の利用可能性

[0050] 本発明の通信システム、鍵配信制御装置および無線 LAN基地局装置は、無線 L AN基地局装置および通信端末装置の鍵の設定時間をより同期させ、かつ、無線し AN基地局装置および通信端末装置の間に生じる通信断の期間をより短縮するという効果を有し、無線 LAN通信システム、これを構築するアクセスポイント制御装置およびアクセスポイントに有効である。

Claims

請求の範囲

[1] 通信端末装置と、前記通信端末装置がアクセスする無線 LAN基地局装置と、前記通信端末装置と前記無線 LAN基地局装置との間の通信にて使用する暗号鍵情報を配信する鍵配信制御装置とを有する通信システムであって、

前記鍵配信制御装置は、

前記通信端末装置が使用する第 1の暗号鍵情報と前記無線 LAN基地局装置が使用する第 2の暗号鍵情報とを連結して 1つの鍵情報フレームを生成する生成手段を具備し、

前記無線 LAN基地局装置は、

前記鍵情報フレームを前記第 1の暗号鍵情報と前記第 2の暗号鍵情報とに分離する分離手段と、

前記第 1の暗号鍵情報を前記通信端末装置に送信する送信手段と、

を具備する通信システム。

[2] 前記鍵配信制御装置の生成手段は、前記第 1の暗号鍵情報を前記無線 LAN基地局装置と前記通信端末装置との間のデータリンク層で用いられる信号形態として前記鍵情報フレームを生成し、

前記無線 LAN基地局装置の前記送信手段は、前記分離手段からの前記第 1の暗号鍵情報を前記信号形態によりそのまま送信する請求項 1記載の通信システム。

[3] 通信端末装置と前記通信端末装置がアクセスする無線 LAN基地局装置との間の通信にて使用する暗号鍵情報を配信する鍵配信制御装置であって、

前記通信端末装置が使用する第 1の暗号鍵情報と前記無線 LAN基地局装置が使用する第 2の暗号鍵情報とを連結して 1つの鍵情報フレームを生成する生成手段と、前記鍵情報フレームを前記無線 LAN基地局装置に送信する送信手段と、を具備する鍵配信制御装置。

[4] 前記生成手段は、前記第 1の暗号鍵情報を前記無線 LAN基地局装置と前記通信端末装置との間のデータリンク層で用いられる信号形態として前記鍵情報フレームを生成する請求項 3記載の鍵配信制御装置。

[5] 通信端末装置と前記通信端末装置がアクセスする無線 LAN基地局装置との間の通信にて使用する暗号鍵情報を配信し、前記通信端末装置が使用する第 1の暗号鍵情報と前記無線 LAN基地局装置が使用する第 2の暗号鍵情報とを連結して 1つの鍵情報フレームを生成する生成手段と前記鍵情報フレームを前記無線 LAN基地局装置に送信する送信手段とを具備する鍵配信制御装置から、前記鍵情報フレームを受信する無線 LAN基地局装置であって、

を具備する無線 LAN基地局装置。

前記送信手段は、前記分離手段からの前記第 1の暗号鍵情報を前記信号形態によりそのまま送信する請求項 5記載の無線 LAN基地局装置。