JP2003249944A - Wireless access network, wireless multi-hop network, authentication server, base station and wireless terminal - Google Patents
Wireless access network, wireless multi-hop network, authentication server, base station and wireless terminalInfo
- Publication number
- JP2003249944A JP2003249944A JP2002045240A JP2002045240A JP2003249944A JP 2003249944 A JP2003249944 A JP 2003249944A JP 2002045240 A JP2002045240 A JP 2002045240A JP 2002045240 A JP2002045240 A JP 2002045240A JP 2003249944 A JP2003249944 A JP 2003249944A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- wireless terminal
- base station
- packet
- wireless
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
(57)【要約】
【課題】 無線アクセスネットワーク、無線マルチホッ
プネットワークにおいて、DoS攻撃に対する耐性に優
れた技術を提供する。
【解決手段】 認証サーバ(AS)と新規な基地局(A
P)が相互認証を行うことで、事業者が一般ユーザの設
置したAPの安全性を保障する。また新規無線端末(M
T)がアクセスしたとき、最初にMT−AP間で相互認
証することで互いが正当な装置であるか否かを確認し、
APはこの相互認証が成功するまでは新規MTが送信し
たパケットを事業者側ネットワークに転送しないように
することにより、認証を装ったDoS攻撃を防止する。
さらに、MT−AP間の相互認証成功後にMT−AS間
の相互認証及びこの認証用パケットのパケット検査(送
信元確認)を行うことでASはどのAPにどのMTがア
クセスしたかを正確に把握する。
(57) [Problem] To provide a technology excellent in resistance to DoS attack in a wireless access network and a wireless multi-hop network. An authentication server (AS) and a new base station (A) are provided.
By performing the mutual authentication by P), the operator guarantees the security of the AP installed by the general user. A new wireless terminal (M
When T) accesses, first, it is confirmed whether or not each other is a legitimate device by performing mutual authentication between the MT and the AP,
The AP prevents a DoS attack that pretends to be authentication by preventing the packet transmitted by the new MT from being transferred to the operator's network until this mutual authentication succeeds.
Further, after the mutual authentication between the MT and the AP succeeds, the mutual authentication between the MT and the AS and the packet inspection (transmission source confirmation) of the authentication packet are performed, so that the AS accurately grasps which AP has accessed which AP. I do.
Description
【0001】[0001]
【発明の属する技術分野】本発明は基地局を介して有線
ネットワークに接続される無線アクセスネットワーク又
は無線マルチホップネットワークにおいて、無線端末及
び基地局の認証を行う認証方法に関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an authentication method for authenticating a wireless terminal and a base station in a wireless access network or a wireless multi-hop network connected to a wired network via a base station.
【0002】[0002]
【従来の技術】図50に認証サーバ(AS:Authe
ntication Server)を用いた無線アク
セスネットワークの一般的な機能構成を示してある。こ
の無線アクセスネットワークは、無線端末MT(Mob
ile Terminal)、この無線端末MTと無線
通信する基地局AP(Access Point)、こ
の基地局APと事業者側有線ネットワークNWを通じて
接続される認証サーバASから構成される。2. Description of the Related Art FIG. 50 shows an authentication server (AS: Authe).
2 shows a general functional configuration of a wireless access network using the Niccation Server). This wireless access network is a wireless terminal MT (Mob
terminal terminal), a base station AP (Access Point) that wirelessly communicates with the wireless terminal MT, and an authentication server AS connected to the base station AP via the operator side wired network NW.
【0003】認証サーバASはソフトウェアとして、無
線端末MTとの相互認証を実行する無線端末との認証機
能101、認証した無線端末MTをデータベースに登録
して管理する無線端末管理機能102、ネットワークN
Wのパケットを検査する有線区間パケット検査機能10
3、パケット判別を行うパケット判別機能104を備え
ている。The authentication server AS, as software, is an authentication function 101 with a wireless terminal that performs mutual authentication with the wireless terminal MT, a wireless terminal management function 102 that registers and manages the authenticated wireless terminal MT in a database, and a network N.
Wired section packet inspection function 10 for inspecting W packets
3. A packet discrimination function 104 for discriminating packets is provided.
【0004】基地局APはソフトウェアとして、認証サ
ーバAS−無線端末MT間の認証用パケットの転送を行
う認証用パケット転送機能201、無線ネットワークの
パケットを検査する無線区間パケット検査機能202、
有線ネットワークNWのパケットを検査する有線区間パ
ケット検査機能203、パケット判別を行うパケット判
別機能204を備えている。The base station AP is, as software, an authentication packet transfer function 201 for transferring an authentication packet between the authentication server AS and the wireless terminal MT, a wireless section packet inspection function 202 for inspecting a packet of a wireless network,
A wired section packet inspection function 203 for inspecting packets of the wired network NW and a packet discrimination function 204 for discriminating packets are provided.
【0005】無線端末MTはソフトウェアとして、認証
サーバASとの相互認証を実行する認証サーバとの相互
認証機能301、無線ネットワークのパケットを検査す
る無線区間パケット検査機能302、パケット判別を行
うパケット判別機能303を備えている。The wireless terminal MT, as software, is a mutual authentication function 301 with an authentication server for executing mutual authentication with the authentication server AS, a wireless section packet inspection function 302 for inspecting a packet of a wireless network, and a packet discrimination function for discriminating a packet. It is equipped with 303.
【0006】この提案されている無線アクセスネットワ
ークでは、ある無線端末MTがそのネットワークにアク
セスするとき、MTは基地局APを介してASと相互認
証を行う。基地局APは、無線端末MTから受信した認
証用パケットを終端して認証サーバASへ転送し、また
認証サーバASから受信した認証用パケットを無線端末
MTへ転送する。認証サーバASによる無線端末MTの
認証が成功したら、基地局APに対してそのMTから無
線送信されてきたデータパケットを事業者側ネットワー
クNWヘの転送を許可し、無線端末MTから事業者用ネ
ットワークNW上の他の接続端末へのアクセスを可能に
する。[0006] In the proposed radio access network, when a radio terminal MT accesses the network, the MT performs mutual authentication with the AS via the base station AP. The base station AP terminates the authentication packet received from the wireless terminal MT and transfers it to the authentication server AS, and transfers the authentication packet received from the authentication server AS to the wireless terminal MT. When the authentication of the wireless terminal MT by the authentication server AS is successful, the base station AP is allowed to transfer the data packet wirelessly transmitted from the MT to the operator side network NW, and the wireless terminal MT allows the operator's network. Allows access to other connected terminals on the NW.
【0007】[0007]
【発明が解決しようとする課題】このような無線アクセ
スネットワークでは、基地局APが会社内等の限定され
たアクセス環境ではなく、屋外等の誰でも容易にアクセ
スできる環境に設置されることが特徴であるが、そのよ
うな場合は、図51に示したように、悪意あるユーザが
無線端末MTの認証を装って大量にパケットを送信する
ことによって認証サーバASをダウンさせることが可能
である。このようなDenial ofService
(DoS)攻撃をされた場合、その無線アクセスネット
ワークへ新規ユーザが無線端末MTによってアクセスす
ることが不可能になる。In such a radio access network, the base station AP is installed not in a limited access environment such as in a company but in an environment where anyone can easily access such as outdoors. However, in such a case, as shown in FIG. 51, a malicious user can deactivate the authentication server AS by pretending to authenticate the wireless terminal MT and transmitting a large number of packets. Such a Denial of Service
In the case of (DoS) attack, it becomes impossible for a new user to access the wireless access network by the wireless terminal MT.
【0008】一方、事業者ではなく、一般ユーザが基地
局APを設置した場合、認証サーバASでは新規の基地
局APの認証を行わないため、事業者がそうしたAPの
セキュリティ機能を保障することが不可能となる。その
ため、一般ユーザが設置したAPには、他ユーザが安心
してアクセスすることができない。その上、基地局AP
の認証がない場合、基地局APから送信されたトラヒッ
ク情報や課金情報等の正当性も確認できないので問題と
なる。On the other hand, when the general user installs the base station AP, not the business operator, the authentication server AS does not authenticate the new base station AP, so the business operator can guarantee the security function of such AP. It will be impossible. Therefore, other users cannot access the AP installed by the general user at ease. Besides, the base station AP
If the authentication is not performed, the legitimacy of the traffic information, billing information, etc. transmitted from the base station AP cannot be confirmed, which is a problem.
【0009】また、一般ユーザが基地局APを設置した
場合、図52に示したように、APの設置密度が高くな
って1つの無線端末MTが複数の基地局AP#iとAP
#jとに同時にアクセス可能になることも考えられる。
こうした環境では、無線端末MTが同時に複数のAPを
介して認証サーバと認証を行うことになり、同じ認証処
理が同時に発生してしまう問題がある。Further, when a general user installs a base station AP, as shown in FIG. 52, the installation density of APs becomes high, and one wireless terminal MT has a plurality of base stations AP # i and AP.
It is possible that #j and #j can be accessed at the same time.
In such an environment, the wireless terminal MT simultaneously authenticates with the authentication server via a plurality of APs, and there is a problem that the same authentication process occurs at the same time.
【0010】この同時認証処理が発生する問題は、各々
の無線端末MTが中継機能を持つ無線マルチホップネッ
トワークにおいて顕著となる。図53に無線マルチホッ
プネットワークの機能構成例を示してある。この無線マ
ルチホップネットワークでは、基地局APがパケット中
継機能205を追加的に備え、また無線端末MTもパケ
ット中継機能304を追加的に備えている。そして、図
53に示した無線マルチホップネットワークでは、例え
ば、無線端末MT7は、他の無線端末MT6,MT4に
中継されて基地局AP1にアクセスし、この基地局AP
1からネットワークNWを通じて認証サーバASに接続
され、またその逆の径路でASから無線端末MT7と通
信する。The problem that the simultaneous authentication process occurs becomes remarkable in a wireless multi-hop network in which each wireless terminal MT has a relay function. FIG. 53 shows a functional configuration example of a wireless multi-hop network. In this wireless multi-hop network, the base station AP additionally has a packet relay function 205, and the wireless terminal MT additionally has a packet relay function 304. Then, in the wireless multi-hop network shown in FIG. 53, for example, the wireless terminal MT7 is relayed to the other wireless terminals MT6 and MT4 to access the base station AP1, and the base station AP1 is accessed.
1 to the authentication server AS through the network NW, and communicates with the wireless terminal MT7 from the AS on the reverse path.
【0011】このような無線マルチホップネットワーク
では、新規無線端末MTは認証前には基地局APまでの
経路情報を保持していないので、認証要求をブロードキ
ャストで送信する。この場合、新規MTの近隣の複数の
MTが認証要求を受信し、それぞれがその認証要求を基
地局に通じる次のMTへ中継する。この結果として、同
じ認証処理が同時に発生することになる。In such a wireless multi-hop network, since the new wireless terminal MT does not have the route information to the base station AP before the authentication, it sends the authentication request by broadcast. In this case, multiple MTs in the vicinity of the new MT receive the authentication request, and each relays the authentication request to the next MT that communicates with the base station. As a result, the same authentication process occurs at the same time.
【0012】図54に無線マルチホップネットワークに
おける認証時の問題を示す。無線端末MT9が新規MT
の認証を装ってDoS攻撃をかけた場合、この無線端末
MT9からブロードキャストで送り出される信号を図示
では複数の無線端末MT5,MT6,MT7が同時に受
信し、これらの無線端末がさらに他の無線端末を通じて
複数の基地局AP#i,AP#jにアクセスし、これか
ら認証サーバASに認証要求を同時に送信することにな
り、無線マルチホップネットワーク上に不正なパケット
が流入し、他のパケットの転送が妨害されることになる
のである。FIG. 54 shows a problem at the time of authentication in the wireless multi-hop network. The wireless terminal MT9 is a new MT
When a DoS attack is made by pretending to be the authentication of the above, a plurality of wireless terminals MT5, MT6, MT7 simultaneously receive a signal sent out by broadcast from this wireless terminal MT9, and these wireless terminals pass through other wireless terminals. Accessing a plurality of base stations AP # i, AP # j, and from now on, an authentication request will be sent to the authentication server AS at the same time, and an illegal packet will flow into the wireless multi-hop network and the transfer of other packets will be disturbed. It will be done.
【0013】本発明は、このような提案されている無線
アクセスネットワーク、無線マルチホップネットワーク
において、DoS攻撃に対する耐性に優れた技術を提供
することを目的とする。It is an object of the present invention to provide a technique having excellent resistance to a DoS attack in such a proposed radio access network and radio multi-hop network.
【0014】[0014]
【課題を解決するための手段】請求項1の発明は、無線
端末と、この無線端末との間で無線通信する基地局と、
この基地局と事業者側ネットワークで接続された認証サ
ーバとから構成される無線アクセスネットワークにおい
て、
A.前記基地局は、前記事業者側ネットワークに新規に
接続するときに基地局−認証サーバ間認証用パケットを
送信して前記認証サーバと相互認証を行う処理機能、
B.前記無線端末は、当該無線アクセスネットワークに
新規にアクセスするときに近隣にある基地局と相互認証
を行い、認証成功後に無線端末−認証サーバ間認証用パ
ケットを送信し、前記基地局は、前記無線端末との相互
認証が成功したときに当該無線端末から送信されてきた
前記無線端末−認証サーバ間認証用パケットの転送を許
可し、前記認証サーバは、前記無線端末−認証サーバ間
認証用パケットにより前記基地局を介して前記無線端末
と相互認証を行う処理機能、
C.前記無線端末、基地局、認証サーバそれぞれは、前
記認証用パケットそれぞれを送信し又は転送するときに
送信元を示すパケット検査データを当該認証用パケット
に添付する処理機能、
D.前記無線端末、基地局、認証サーバそれぞれは、前
記無線端末−認証サーバ間認証用パケットを受信したと
きに、それに添付されているパケット検査データを検査
し、当該検査が失敗した場合はそれが添付されている認
証用パケットを破棄する処理機能、
E.前記認証サーバは認証した新規の基地局、新規の無
線端末それぞれの情報を自装置に登録する処理機能を備
えたものである。According to a first aspect of the present invention, there is provided a wireless terminal, a base station wirelessly communicating with the wireless terminal,
In a wireless access network composed of this base station and an authentication server connected by a carrier side network, A. The base station transmits a base station-authentication server authentication packet when newly connecting to the business operator side network, and performs mutual authentication with the authentication server. B. The wireless terminal performs mutual authentication with a neighboring base station when newly accessing the wireless access network, and transmits a wireless terminal-authentication server authentication packet after successful authentication, and the base station uses the wireless When the mutual authentication with the terminal is successful, the transfer of the wireless terminal-authentication server authentication packet transmitted from the wireless terminal is permitted, and the authentication server uses the wireless terminal-authentication server authentication packet. A processing function of performing mutual authentication with the wireless terminal via the base station; The wireless terminal, the base station, and the authentication server each attach a packet inspection data indicating a transmission source to the authentication packet when transmitting or transferring the authentication packet, D. Each of the wireless terminal, the base station, and the authentication server, when receiving the authentication packet between the wireless terminal and the authentication server, inspects the packet inspection data attached to it, and if the inspection fails, attaches it. A processing function for discarding the authentication packet that has been set, E. The authentication server has a processing function of registering the information of each of the authenticated new base station and new wireless terminal in its own device.
【0015】請求項1の発明の無線アクセスネットワー
クでは、認証サーバ(AS)と基地局(AP)が相互認
証を行うことで、事業者が一般ユーザの設置したAPの
安全性を保障することが可能となる。新規無線端末(M
T)がアクセスしたとき、最初にMT−AP間で相互認
証することで互いが正当な装置であるか否かを確認する
ことができ、APはこの相互認証が成功するまでは新規
MTが送信したパケットを事業者側ネットワークに転送
しないので、認証を装ったDoS攻撃を防止することが
できる。In the wireless access network according to the first aspect of the present invention, the authentication server (AS) and the base station (AP) perform mutual authentication so that the business operator can guarantee the security of the AP installed by the general user. It will be possible. New wireless terminal (M
When T) makes an access, it is possible to confirm whether each other is a legitimate device by first performing mutual authentication between MT-APs, and the AP sends a new MT until the mutual authentication succeeds. Since the generated packet is not transferred to the business operator side network, it is possible to prevent a DoS attack disguised as authentication.
【0016】MT−AP間の相互認証成功後にMT−A
S間の相互認証及びこの認証用パケットのパケット検査
(送信元確認)を行うことでASはどのAPにどのMT
がアクセスしたかを正確に把握して管理することが可能
となる。After successful mutual authentication between MT-AP, MT-A
By performing mutual authentication between S and packet inspection (source confirmation) of this authentication packet, the AS can identify which MT and which MT
It is possible to accurately grasp and manage whether the user has accessed.
【0017】請求項2の発明は、中継能力を持つ無線端
末と、この無線端末と無線通信する基地局と、この基地
局と事業者側ネットワークを通じて接続される認証サー
バとから構成される無線マルチホップネットワークにお
いて、
A.前記基地局は、新規に事業者側ネットワークに接続
するときに前記認証サーバと基地局−認証サーバ間認証
パケットを用いて相互認証を行う処理機能、
B.前記無線端末は、新規に当該無線マルチホップネッ
トワークにアクセスするときに近隣の認証済みの無線端
末又は基地局と無線端末間認証用パケットによって相互
認証を行う処理機能、
C.前記無線端末間の相互認証が成功した無線端末又は
基地局が複数あれば、その中から1つの無線端末又は基
地局を選択し、前記選択された無線端末又は基地局は、
前記新規無線端末から送信された無線端末−認証サーバ
間認証用パケットの転送を許可する処理機能、
D.前記新規無線端末は、前記無線端末間の相互認証の
成功後に、無線端末−認証サーバ間認証用パケットを用
い、選択した無線端末又は基地局を経由して前記認証サ
ーバと相互認証を行う処理機能、
E.前記新規無線端末、選択された無線端末、基地局、
認証サーバそれぞれは、前記無線端末−認証サーバ間認
証用パケットを送信し又は転送するときに送信元を示す
パケット検査データを当該認証用パケットに添付する処
理機能、
F.前記新規無線端末、選択された無線端末、基地局、
認証サーバそれぞれは、前記認証用パケットそれぞれを
受信したときに、それに添付されているパケット検査デ
ータを検査し、当該検査が失敗した場合はそれが添付さ
れている認証用パケットを破棄する処理機能、
G.前記認証サーバは相互認証に成功した新規の基地
局、新規の無線端末それぞれの情報を自装置に登録する
処理機能を備えたものである。According to a second aspect of the present invention, there is provided a wireless multi terminal comprising a wireless terminal having a relay capability, a base station which wirelessly communicates with the wireless terminal, and an authentication server which is connected to the base station through a carrier side network. In a hop network, A. The base station performs a processing function of performing mutual authentication using the authentication server and a base station-authentication server authentication packet when newly connecting to the business operator side network, B. The wireless terminal, when newly accessing the wireless multi-hop network, performs a mutual authentication with a nearby authenticated wireless terminal or a base station and a packet for authentication between wireless terminals, C. If there are a plurality of wireless terminals or base stations for which mutual authentication between the wireless terminals has succeeded, one wireless terminal or base station is selected from among them, and the selected wireless terminal or base station is
A processing function for permitting the transfer of the authentication packet between the wireless terminal and the authentication server transmitted from the new wireless terminal, D. After the successful mutual authentication between the wireless terminals, the new wireless terminal uses a wireless terminal-authentication server authentication packet to perform mutual authentication with the authentication server via the selected wireless terminal or base station. , E. The new wireless terminal, the selected wireless terminal, the base station,
Each of the authentication servers attaches packet inspection data indicating a transmission source to the authentication packet when transmitting or transferring the wireless terminal-authentication server authentication packet, F. The new wireless terminal, the selected wireless terminal, the base station,
Each authentication server, when receiving each of the authentication packets, inspects the packet inspection data attached to it, and if the inspection fails, a processing function of discarding the attached authentication packet, G. The authentication server has a processing function of registering information of a new base station and a new wireless terminal, which have succeeded in mutual authentication, in their own devices.
【0018】請求項2の発明の無線マルチホップネット
ワークでは、新規無線端末(MT)が無線マルチホップ
ネットワークにアクセスしたとき、最初に新規MT−近
隣MT間で相互認証することで互いが正当な装置である
か否かを確認することができ、近隣のMTはこの相互認
証が成功するまでは新規MTが送信したパケットを無線
マルチホップネットワークに転送しないので、認証を装
ったDoS攻撃を防止することができる。In the wireless multi-hop network according to the invention of claim 2, when a new wireless terminal (MT) accesses the wireless multi-hop network, first, mutual authentication is performed between the new MT and the neighboring MT, so that the mutually valid devices. And the neighboring MTs will not forward the packet sent by the new MT to the wireless multi-hop network until this mutual authentication succeeds, thus preventing a DoS attack pretending to be authentication. You can
【0019】また、相互認証の際にMT−AS(認証サ
ーバ)間相互認証用パケットを中継させるMT又はAP
(基地局)を1つ選択することで、同じ認証処理が同時
に複数発生してしまうことを防止する。Further, at the time of mutual authentication, MT or AP for relaying a mutual authentication packet between MT-AS (authentication server)
By selecting one (base station), it is possible to prevent a plurality of same authentication processes from occurring at the same time.
【0020】さらに、MT−AP間の相互認証成功後に
MT−AS間の相互認証及びこの認証用パケットのパケ
ット検査(送信元確認)を行うことでASはどのAPに
どのMTがアクセスしたかを正確に把握して管理するこ
とが可能となる。Furthermore, by performing mutual authentication between MT-AS and packet inspection (source confirmation) of this authentication packet after mutual authentication between MT-AP succeeds, AS can determine which MT has accessed which AP. It is possible to accurately grasp and manage.
【0021】請求項3の発明は、無線端末と、この無線
端末との間で無線通信する基地局と、この基地局と事業
者側ネットワークで接続された認証サーバとから構成さ
れる無線アクセスネットワークに用いられる無線端末で
あって、前記無線アクセスネットワークに新規にアクセ
スするときに、無線端末−基地局間認証用パケットを送
信して近隣の基地局と相互認証を行い、認証成功後に無
線端末−認証サーバ間認証用パケットを送信し、認証サ
ーバとの間で相互認証を行う機能を備えたものである。A third aspect of the present invention is a wireless access network including a wireless terminal, a base station that wirelessly communicates with the wireless terminal, and an authentication server connected to the base station via a carrier side network. When a new access to the wireless access network, a wireless terminal-a base station authentication packet is transmitted to perform mutual authentication with a neighboring base station, and the wireless terminal is used after successful authentication. It has a function of transmitting an authentication packet between authentication servers and performing mutual authentication with the authentication server.
【0022】請求項3の発明の無線端末(MT)では、
無線アクセスネットワークに新規に参入するときに基地
局(AP)と相互認証を行い、その成功の後に認証サー
バ(AS)と相互認証を行う機能を備えたことで、AP
に新規MTとの相互認証が成功するまで新規MTの送信
したパケットを事業者側ネットワークに転送しない機能
を持たせることによって、当該MTを用いなければAP
との通信、ひいては認証サーバ(AS)との通信ができ
ない無線アクセスネットワークを構築することができ、
認証を装ったDoS攻撃に耐性の強い無線アクセスネッ
トワークの構築に寄与できる。In the wireless terminal (MT) according to the invention of claim 3,
The AP has a function of performing mutual authentication with the base station (AP) when newly entering the wireless access network, and after performing the mutual authentication with the authentication server (AS).
If the MT is not used, the AP has a function of not forwarding the packet transmitted by the new MT to the network on the carrier side until mutual authentication with the new MT is successful.
It is possible to build a wireless access network that cannot communicate with the authentication server (AS),
It can contribute to the construction of a wireless access network that is highly resistant to DoS attacks that pose as authentication.
【0023】請求項4の発明は、請求項3の無線端末に
おいて、送信する無線端末−認証サーバ間認証用パケッ
トに送信元を示すパケット検査データを算出して添付す
る機能を備えたものであり、無線端末−認証サーバ間認
証用パケットにパケット検査データを添付することによ
り、受信先の基地局に送信元を明かすことができ、不正
な攻撃のために用いられなくできる。The invention according to claim 4 is the wireless terminal according to claim 3, which is provided with a function of calculating and attaching packet inspection data indicating a transmission source to a packet for authentication between a wireless terminal and an authentication server to be transmitted. By attaching the packet inspection data to the authentication packet between the wireless terminal and the authentication server, the transmission source can be revealed to the receiving base station and it can be prevented from being used for an unauthorized attack.
【0024】請求項5の発明は、請求項3又は4の無線
端末において、前記無線端末−基地局間認証用パケット
を送信し、複数の基地局から応答を受けたとき、無線端
末−基地局間認証において正当な1つの基地局を選択
し、当該基地局を通じて前記無線端末−認証サーバ間認
証用パケットを前記認証サーバに送信する機能を備えた
ものである。According to the invention of claim 5, in the wireless terminal of claim 3 or 4, when the wireless terminal-base station authentication packet is transmitted and a response is received from a plurality of base stations, the wireless terminal-base station It is provided with a function of selecting one legitimate base station in the inter-authentication and transmitting the wireless terminal-authentication server authentication packet to the authentication server through the base station.
【0025】請求項6の発明は、請求項5の無線端末に
おいて、前記無線端末−基地局間認証用パケットを送信
し、複数の基地局から応答を受けたとき、応答の早い基
地局から優先的に選択して無線端末−基地局間認証を実
行する機能を備えたものである。According to a sixth aspect of the invention, in the wireless terminal of the fifth aspect, when the wireless terminal-base station authentication packet is transmitted and a response is received from a plurality of base stations, the base station with the quickest response gives priority. The wireless terminal-base station authentication is performed by selectively selecting it.
【0026】請求項7の発明は、請求項5の無線端末に
おいて、前記無線端末−基地局間認証用パケットを送信
し、複数の基地局から応答を受けたとき、応答信号の受
信レベルの強い基地局から優先的に選択して無線端末−
基地局間認証を実行する機能を備えたものである。According to a seventh aspect of the invention, in the wireless terminal of the fifth aspect, when the wireless terminal-base station authentication packet is transmitted and a response is received from a plurality of base stations, the reception level of the response signal is strong. Select the wireless terminal from the base station preferentially-
It has a function of executing authentication between base stations.
【0027】請求項8の発明は、請求項5の無線端末に
おいて、前記無線端末−基地局間認証用パケットを送信
し、複数の基地局から応答を受けたとき、各基地局間と
の無線端末−基地局間の認証手続きにおいて取得した情
報に基づき、正当な基地局を選択する機能を備えたもの
である。According to an eighth aspect of the present invention, in the wireless terminal of the fifth aspect, when the wireless terminal-base station authentication packet is transmitted and a response is received from a plurality of base stations, the wireless communication between the base stations is performed. It has a function of selecting a legitimate base station based on the information acquired in the authentication procedure between the terminal and the base station.
【0028】請求項5〜8の発明の無線端末(MT)で
は、新規MTはMT−AP(基地局)間相互認証の際に
MT−AS(認証サーバ)間相互認証用パケットを中継
させるAP又はMTを所定のロジックにしたがって選択
することで、同じ認証処理が同時に複数発生してしまう
ことを防止することができる。In the wireless terminal (MT) according to the invention of claims 5 to 8, the new MT is an AP which relays a MT-AS (authentication server) mutual authentication packet at the time of MT-AP (base station) mutual authentication. Alternatively, by selecting MT according to a predetermined logic, it is possible to prevent a plurality of the same authentication processes from occurring at the same time.
【0029】請求項9の発明は、無線端末と、この無線
端末との間で無線通信する基地局と、この基地局と事業
者側ネットワークで接続された認証サーバとから構成さ
れる無線アクセスネットワーク又は無線マルチアクセス
ネットワークに用いられる認証サーバであって、新規に
アクセスしてきた基地局と相互認証を実行し、認証が成
功した基地局の情報を自装置に登録する機能と、無線端
末−認証サーバ間認証用パケットにパケット検査データ
を添付して基地局に送信し、基地局から送られてきた無
線端末−認証サーバ間認証用パケットに添付されている
パケット検査データを検査し、検査が失敗した場合はそ
のパケットを破棄し、この検査が成功すれば無線端末と
の相互認証を実施し、相互認証に成功した無線端末の情
報を自装置に登録する機能を備えたものである。A ninth aspect of the present invention is a wireless access network including a wireless terminal, a base station that wirelessly communicates with the wireless terminal, and an authentication server that is connected to the base station via a carrier side network. Alternatively, an authentication server used in a wireless multi-access network, a function of executing mutual authentication with a newly accessed base station, and registering information of the successfully authenticated base station in its own device, and a wireless terminal-authentication server The packet inspection data is attached to the inter-authentication packet and transmitted to the base station, and the packet inspection data attached to the authentication packet between the wireless terminal and the authentication server sent from the base station is inspected, and the inspection has failed. In that case, the packet is discarded, and if this inspection is successful, mutual authentication with the wireless terminal is performed, and the information of the wireless terminal that has succeeded in mutual authentication is registered in the device itself. It is those with that function.
【0030】請求項9の発明の認証サーバ(AS)で
は、基地局(AP)と相互認証を行い、また新規無線端
末(MT)とも相互認証を行い、しかも新規無線端末と
の相互認証の際に認証用パケットに添付されている送信
元を示すパケット検査データを検査し、この検査が成功
すれば相互認証を実施することになるので、不正なAP
を排除し、正規のAPだけを管理することができ、また
どのAPにどのMTがアクセスしたかをも正確に把握す
ることが可能となる。In the authentication server (AS) of the ninth aspect of the invention, mutual authentication is performed with the base station (AP), with the new wireless terminal (MT), and when mutual authentication with the new wireless terminal is performed. The packet inspection data indicating the source attached to the authentication packet is inspected, and if this inspection is successful, mutual authentication will be performed.
Therefore, it is possible to manage only a legitimate AP, and it is possible to accurately grasp which AP has accessed which MT.
【0031】請求項10の発明は、請求項9の認証サー
バにおいて、相互認証に成功した無線端末が別の基地局
の通信エリアへ移動したとき、当該無線端末との新たな
相互認証を実施し、認証が成功した後に当該無線端末の
属していた旧基地局へその無線端末が移動したことを通
知する機能を備えたものである。According to the invention of claim 10, in the authentication server of claim 9, when a wireless terminal that has succeeded in mutual authentication moves to a communication area of another base station, new mutual authentication with the wireless terminal is performed. After the successful authentication, the wireless terminal has a function of notifying the old base station to which the wireless terminal belongs that the wireless terminal has moved.
【0032】請求項10の発明の認証サーバ(AS)で
は、自身の認証した無線端末(MT)の移動を管理し、
MTがある基地局(AP)から別のAPへ移動した時、
MT−AS間の相互認証が成功した後に、そのMTが属
していた旧APへ当該MTが移動したことを通知するこ
とにより、APに一度は相互認証したがいまでは移動し
て通信できなくなったMTの記録をいつまでも保持させ
なくてもよく、APにおけるMTの管理データを少なく
でき、それだけ処理の高速化が図れる。In the authentication server (AS) of the invention of claim 10, the movement of the wireless terminal (MT) authenticated by itself is managed,
When MT moves from one base station (AP) to another AP,
After the mutual authentication between MT and AS is successful, the old AP to which the MT belongs is notified that the MT has moved, so that the MT which has once been mutually authenticated to the AP but now moves and cannot communicate. Does not have to be kept indefinitely, the MT management data in the AP can be reduced, and the processing speed can be increased accordingly.
【0033】請求項11の発明は、無線端末と、この無
線端末との間で無線通信する基地局と、この基地局と事
業者側ネットワークで接続された認証サーバとから構成
される無線アクセスネットワーク又は無線マルチホップ
ネットワークにおいて用いられる基地局であって、新規
に前記無線アクセスネットワーク又は無線マルチホップ
ネットワークに接続したときに、基地局−認証サーバ間
認証用パケットを前記認証サーバに送信して相互認証を
実行する機能を備えたものである。The invention of claim 11 is a wireless access network comprising a wireless terminal, a base station wirelessly communicating with the wireless terminal, and an authentication server connected to the base station via a carrier side network. Or a base station used in a wireless multi-hop network, and when newly connecting to the wireless access network or the wireless multi-hop network, a base station-authentication server authentication packet is transmitted to the authentication server to perform mutual authentication. It has a function to execute.
【0034】請求項11の発明の基地局(AP)では、
新規に無線アクセスネットワーク又は無線マルチホップ
ネットワークに接続するときには必ず認証サーバと相互
認証を実施するため、不正にAPを設置することを困難
にし、事業者が一般ユーザの設置したAPの安全性を保
障することが可能となる。In the base station (AP) of the invention of claim 11,
Mutual authentication is always performed with the authentication server when connecting to a new wireless access network or wireless multi-hop network, making it difficult to install an AP illegally and ensuring the security of the AP installed by a general user. It becomes possible to do.
【0035】請求項12の発明は、請求項11の基地局
において、新規の無線端末からの無線端末−基地局間認
証要求に対して相互認証を行い、当該相互認証が成功し
たときに当該無線端末から送信されてきた無線端末−認
証サーバ間認証用パケットに対して、それに添付されて
いるパケット検査データを検査し、検査が失敗した場合
はそのパケットを破棄し、当該検査が成功すれば、当該
無線端末−認証サーバ間認証用パケットに自装置で算出
したパケット検査データを添付して認証サーバに転送
し、認証サーバから送信されてきた認証用パケットに示
されている認証結果を参照して新規無線端末が送信した
すべてのパケットの事業者側ネットワークヘの転送を許
可するか否かを判定する機能を備えたことを特徴とする
ものである。According to the twelfth aspect of the invention, in the base station of the eleventh aspect, mutual authentication is performed in response to a wireless terminal-base station authentication request from a new wireless terminal, and when the mutual authentication is successful, the wireless communication is completed. For the wireless terminal-authentication server authentication packet transmitted from the terminal, the packet inspection data attached to it is inspected, and if the inspection fails, the packet is discarded, and if the inspection is successful, The packet inspection data calculated by the device itself is attached to the wireless terminal-authentication server authentication packet, transferred to the authentication server, and the authentication result shown in the authentication packet sent from the authentication server is referred to. It is characterized by having a function of determining whether or not to permit transfer of all packets transmitted by the new wireless terminal to the carrier side network.
【0036】請求項12の発明の基地局(AP)では、
新規無線端末(MT)がアクセスしてきたとき、最初に
MT−AP間で相互認証することでMTが正当な装置で
あるか否かを確認し、この相互認証が成功するまでは新
規MTが送信したパケットを事業者側ネットワークに転
送しないので、認証を装ったDoS攻撃を防止すること
ができる。In the base station (AP) of the invention of claim 12,
When a new wireless terminal (MT) makes an access, first, mutual authentication is performed between MT-AP to check whether MT is a valid device, and the new MT is transmitted until the mutual authentication succeeds. Since the generated packet is not transferred to the business operator side network, it is possible to prevent a DoS attack disguised as authentication.
【0037】請求項13の発明は、請求項11又は12
の基地局において、相互認証に成功した無線端末それぞ
れの情報を自装置に登録する機能と、認証サーバから移
動通知を受けて、該当する無線端末の登録情報を削除す
る機能とを備えたものであり、無線端末が他の基地局の
通信エリアに移動した場合に、通信ができなくなってし
まった無線端末の情報を削除することによって無線端末
の管理のためのリソースを節約できる。The invention of claim 13 is the invention of claim 11 or 12.
In the base station, the function of registering the information of each wireless terminal that has succeeded in mutual authentication in its own device and the function of deleting the registration information of the corresponding wireless terminal upon receiving a movement notification from the authentication server. Therefore, when the wireless terminal moves to the communication area of another base station, the resource for managing the wireless terminal can be saved by deleting the information of the wireless terminal that cannot communicate.
【0038】請求項14の発明は、中継能力を持つ無線
端末と、この無線端末と無線通信する基地局と、この基
地局と事業者側ネットワークを通じて接続される認証サ
ーバとから構成される無線マルチホップネットワークに
おいて用いられる無線端末であって、自装置が新規に無
線マルチホップネットワークにアクセスするときには近
隣の認証済みの他の無線端末又は基地局と相互認証を行
い、複数の無線端末又は基地局と相互認証が成功した場
合、正当な1つの無線端末又は基地局をプロキシ端末と
して選択し、当該プロキシ端末を介して認証サーバとの
相互認証を実行する機能と、自装置が他の新規無線端末
によって選択されたプロキシ端末である場合には、他の
新規無線端末から送信された新規無線端末−認証サーバ
間認証用パケットをルート上の他の無線端末又は基地局
に対して転送する機能とを備えたものである。[0038] A fourteenth aspect of the present invention is a wireless multi-system comprising a wireless terminal having a relay capability, a base station which wirelessly communicates with this wireless terminal, and an authentication server which is connected to this base station through a carrier side network. A wireless terminal used in a hop network, when its own device newly accesses the wireless multi-hop network, mutual authentication is performed with other authenticated wireless terminals or base stations in the vicinity, and with a plurality of wireless terminals or base stations. If the mutual authentication is successful, the function of selecting one legitimate wireless terminal or base station as the proxy terminal and executing the mutual authentication with the authentication server via the proxy terminal, and the own device by another new wireless terminal In the case of the selected proxy terminal, the packet for authentication between the new wireless terminal and the authentication server transmitted from another new wireless terminal Those having a function of transferring to the other wireless terminal or a base station on the route.
【0039】請求項14の発明の無線端末(MT)で
は、無線マルチホップネットワークに新規にアクセスす
るとき、最初に近隣MT又はAPとの間で相互認証する
機能を備えたことで、当該MTが新規に無線マルチホッ
プネットワークに参入する際には近隣のMT又はAPに
正当な装置であるか否かを確認させ、近隣のMT又はA
Pはこの相互認証が成功するまでは当該MTが送信した
パケットを無線マルチホップネットワークに転送しない
ので、認証を装ったDoS攻撃に対する耐性の高い無線
マルチホップネットワークの構築に寄与できる。In the wireless terminal (MT) according to the invention of claim 14, when the wireless multi-hop network is newly accessed, the MT is provided with the function of first performing mutual authentication with the neighboring MT or AP. When newly entering the wireless multi-hop network, the neighboring MT or AP is asked to confirm whether it is a legitimate device, and the neighboring MT or A
Since P does not transfer the packet transmitted by the MT to the wireless multi-hop network until the mutual authentication succeeds, P can contribute to the construction of a wireless multi-hop network having a high resistance to a DoS attack disguised as authentication.
【0040】請求項14の発明の無線端末(MT)では
また、相互認証の際にMT−AS(認証サーバ)間相互
認証用パケットを中継させるMT又はAP(基地局)を
1つ選択する機能を備えたことで、同じ認証処理が同時
に複数発生してしまうことを防止する。The wireless terminal (MT) of the invention of claim 14 also has a function of selecting one MT or AP (base station) for relaying an MT-AS (authentication server) mutual authentication packet at the time of mutual authentication. By providing the above, it is possible to prevent the same authentication processing from occurring more than once at the same time.
【0041】請求項15の発明は、請求項14の無線端
末において、自装置が新規に無線マルチホップネットワ
ークにアクセスするときに、無線端末間認証用パケット
を近隣の他の無線端末又は基地局に送信する機能と、自
装置が新規無線端末である場合に、無線端末−認証サー
バ間認証用パケットに送信元を示すパケット検査データ
を添付して送信する機能と、自装置が他の新規無線端末
によって選択されたプロキシ端末である場合には、他の
新規無線端末から送信された無線端末−認証サーバ間認
証用パケットに対してパケット検査データを検査し、検
査が失敗すればその認証用パケットを破棄し、当該検査
が成功すれば当該認証用パケットに自装置で算出した送
信元を示すパケット検査データを添付してルート上の他
の無線端末又は基地局に対して転送する機能とを備えた
ものであり、どの基地局(AP)にどの無線端末(M
T)がアクセスしたかを認証サーバに正確に把握させる
ことができる。According to a fifteenth aspect of the present invention, in the wireless terminal of the fourteenth aspect, when the device itself newly accesses the wireless multi-hop network, the packet for authentication between wireless terminals is transmitted to other wireless terminals or base stations in the vicinity. A function of transmitting, a function of attaching packet inspection data indicating a transmission source to a packet for authentication between a wireless terminal and an authentication server when the device itself is a new wireless terminal, and a function of the device itself being another new wireless terminal. If the proxy terminal is selected by, the packet inspection data is inspected for the wireless terminal-authentication server authentication packet sent from another new wireless terminal, and if the inspection fails, the authentication packet is sent. If the inspection is successful, the packet is discarded and the packet inspection data indicating the transmission source calculated by the own device is attached to the authentication packet, and the other wireless terminal or base on the route is attached. Are those having a function of transferring relative station, which radio terminal to which the base station (AP) (M
It is possible to make the authentication server accurately grasp whether T) has accessed.
【0042】請求項16の発明は、請求項14又は15
の無線端末において、基地局又は他の無線端末に対する
相互認証要求に対して複数の他の無線端末又は基地局か
ら応答を受けたとき、応答の早い基地局又は他の無線端
末から優先的にプロキシ端末として選択する機能を備え
たものである。The invention of claim 16 is the invention of claim 14 or 15.
When receiving a response from a plurality of other wireless terminals or base stations in response to a mutual authentication request to the base station or other wireless terminals, the wireless terminal of the above preferentially proxies from the base station or the other wireless terminals. It has a function of selecting as a terminal.
【0043】請求項17の発明は、請求項14又は15
の無線端末において、基地局又は他の無線端末に対する
相互認証要求に対して複数の他の無線端末又は基地局か
ら応答を受けたとき、受信レベルの強い基地局又は他の
無線端末から優先的にプロキシ端末として選択する機能
を備えたものである。The invention of claim 17 is that of claim 14 or 15.
When receiving a response from a plurality of other wireless terminals or base stations in response to a mutual authentication request to the base station or other wireless terminals, the wireless terminal of It has a function of selecting as a proxy terminal.
【0044】請求項18の発明は、請求項14又は15
の無線端末において、基地局又は他の無線端末に対する
相互認証要求に対して複数の他の無線端末又は基地局か
ら応答を受けたとき、相互認証で取得した他の無線端末
又は基地局の情報に基づいてプロキシ端末を選択する機
能を備えたものである。The invention of claim 18 relates to claim 14 or 15.
In the wireless terminal of, when receiving a response from a plurality of other wireless terminals or base stations in response to a mutual authentication request to the base station or other wireless terminals, the information of the other wireless terminals or base stations acquired by the mutual authentication is added. It has a function of selecting a proxy terminal based on the above.
【0045】請求項16〜18の発明の無線端末(M
T)では、MT−AP(基地局)間相互認証の際にMT
−AS(認証サーバ)間相互認証用パケットを中継させ
るAP又はMTとして最適なものを選択する機能を備え
たことで、同じ認証処理が同時に複数発生してしまうこ
とを防止することができる。The wireless terminal (M according to the invention of claims 16 to 18)
In T), when MT-AP (base station) mutual authentication is performed, MT
By providing the function of selecting the optimum AP or MT for relaying the packet for mutual authentication between AS (authentication server), it is possible to prevent the same authentication processing from occurring at the same time.
【0046】[0046]
【発明の実施の形態】以下、本発明の実施の形態を図に
基づいて詳説する。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described in detail below with reference to the drawings.
【0047】[第1の実施の形態]図1は本発明の第1
の実施の形態の無線アクセスネットワークの機能構成を
示し、図2は認証サーバASの機能構成、図3は基地局
APの機能構成、図4は無線端末MTの機能構成を示し
ている。この実施の形態の無線アクセスネットワーク
は、無線端末MT、この無線端末MTと無線通信する基
地局AP、この基地局APと事業者側有線ネットワーク
NWを通じて接続される認証サーバASから構成され
る。[First Embodiment] FIG. 1 shows a first embodiment of the present invention.
2 shows the functional configuration of the wireless access network of the embodiment, FIG. 2 shows the functional configuration of the authentication server AS, FIG. 3 shows the functional configuration of the base station AP, and FIG. 4 shows the functional configuration of the wireless terminal MT. The wireless access network of this embodiment includes a wireless terminal MT, a base station AP that wirelessly communicates with the wireless terminal MT, and an authentication server AS that is connected to the base station AP via the operator side wired network NW.
【0048】認証サーバASはソフトウェアとして、無
線端末MTとの相互認証を実行する無線端末との認証機
能101、認証した無線端末MTを、データベースを利
用して管理する無線端末管理機能102、ネットワーク
NWのパケットを検査する有線区間パケット検査機能1
03、パケット判別機能104を備え、加えて、基地局
との相互認証を実行する基地局との相互認証機能10
5、認証した基地局APを、データベースを利用して管
理する基地局管理機能106を備えている。The authentication server AS, as software, is an authentication function 101 with a wireless terminal that performs mutual authentication with the wireless terminal MT, a wireless terminal management function 102 that manages the authenticated wireless terminal MT using a database, and a network NW. Wired section packet inspection function 1 to inspect all packets
03, a packet discrimination function 104, and in addition, a mutual authentication function with a base station for executing mutual authentication with the base station 10
5. It has a base station management function 106 for managing the authenticated base station AP using a database.
【0049】基地局APはソフトウェアとして、認証サ
ーバAS−無線端末MT間の認証用パケットの転送を行
う認証用パケット転送機能201、無線ネットワークの
パケットを検査する無線区間パケット検査機能202、
有線ネットワークNWのパケットを検査する有線区間パ
ケット検査機能203、パケット判別機能204を備
え、加えて、認証サーバASとの相互認証を実行する認
証サーバとの相互認証機能206、無線端末MTとの相
互認証を実行する無線端末との相互認証機能207、受
信したパケットの転送可否を判断するパケット転送判断
機能208、データベースを利用して無線端末MTを管
理する無線端末管理機能209を備えている。The base station AP is, as software, an authentication packet transfer function 201 for transferring an authentication packet between the authentication server AS and the wireless terminal MT, a wireless section packet inspection function 202 for inspecting a packet of the wireless network,
The wired section packet inspection function 203 for inspecting the packet of the wired network NW and the packet discrimination function 204 are provided. In addition, the mutual authentication function 206 with the authentication server for executing the mutual authentication with the authentication server AS, and the mutual communication with the wireless terminal MT. A mutual authentication function 207 with a wireless terminal that performs authentication, a packet transfer determination function 208 that determines whether or not a received packet can be transferred, and a wireless terminal management function 209 that manages the wireless terminal MT using a database are provided.
【0050】無線端末MTはソフトウェアとして、認証
サーバASとの相互認証を実行する認証サーバとの相互
認証機能301、無線ネットワークのパケットを検査す
る無線区間パケット検査機能302、パケット判別機能
303を備え、加えて、基地局APとの相互認証を実行
する基地局との相互認証機能305を備えている。The wireless terminal MT has, as software, a mutual authentication function 301 with an authentication server for executing mutual authentication with the authentication server AS, a wireless section packet inspection function 302 for inspecting a packet of a wireless network, and a packet discrimination function 303. In addition, it has a mutual authentication function 305 with the base station that executes mutual authentication with the base station AP.
【0051】次に、上記構成の第1の実施の形態の無線
アクセスネットワークの動作について、説明する。Next, the operation of the radio access network of the first embodiment having the above configuration will be described.
【0052】<基地局AP−認証サーバAS間の相互認
証>基地局APは一般ユーザが設置し、この基地局AP
から事業者の認証サーバASへのアクセス回線はそのユ
ーザが契約したものとする。その基地局APは設置した
ユーザだけでなく、他ユーザも使用することができる。
他ユーザがその基地局APを使用したとき、基地局AP
を設置したユーザに対して事業者からペイバックが行わ
れる。<Mutual Authentication Between Base Station AP and Authentication Server AS> A general user installs the base station AP, and the base station AP
It is assumed that the user has contracted for the access line to the authentication server AS of the business operator. The base station AP can be used not only by the installed user but also by other users.
When another user uses the base station AP, the base station AP
The payback is provided by the business operator to the user who installed the.
【0053】ネットワークNWに一般ユーザが新規に基
地局(AP#kとする)を設置した時、この基地局AP
#kは事業者が管理する認証サーバASと認証を行う。
認証シーケンスを図5、認証用パケットペイロードデー
タを図6に示す。また、AP側から見た認証フローを図
4に示し、AS側から見た認証フローを図8に示す。When a general user newly installs a base station (AP # k) on the network NW, this base station AP
#K authenticates with the authentication server AS managed by the business operator.
The authentication sequence is shown in FIG. 5, and the authentication packet payload data is shown in FIG. 4 shows the authentication flow seen from the AP side, and FIG. 8 shows the authentication flow seen from the AS side.
【0054】初めに、図4のフローのステップS101
で、基地局AP#kは鍵生成情報KEap#kを計算
し、その鍵生成情報を添付した認証要求を送信する。First, step S101 in the flow of FIG.
Then, the base station AP # k calculates the key generation information KEap # k and transmits the authentication request to which the key generation information is attached.
【0055】図8のフローのステップS111で、その
認証要求を受信した認証サーバASは鍵生成情報KEa
sを計算し、基地局の鍵生成情報KEap#kとこの認
証サーバ側の鍵生成情報KEasからAP#k−AS間
の共有鍵Kap#k−asを計算する(ステップS11
2)。認証サーバASはさらに乱数R1を計算し、鍵生
成情報KEasと乱数R1を添付した認証要求応答をA
P#kへ送信する(ステップS113)。In step S111 of the flow in FIG. 8, the authentication server AS that has received the authentication request receives the key generation information KEa.
s is calculated, and the shared key Kap # k-as between AP # k and AS is calculated from the key generation information KEap # k of the base station and the key generation information KEas of the authentication server (step S11).
2). The authentication server AS further calculates a random number R1 and sends an authentication request response with the key generation information KEas and the random number R1 attached.
It transmits to P # k (step S113).
【0056】図4のフローのステップS102で、認証
要求応答を受信した基地局AP#kは、KEap#kと
KEasからAP#k−AS間の共有鍵Kap#k−a
sを計算し(ステップS103)、R1、自装置の秘密
鍵SKap#kを用いて署名データSigap#kを計
算する(ステップS104)。基地局AP#kはさらに
乱数R2を計算し、R2、自装置の証明書Certap
#k、そしてSigap#kを認証情報に添付してその
パケットを認証サーバASへ送信する(ステップS10
5)。In step S102 of the flow of FIG. 4, the base station AP # k that has received the authentication request response receives the shared key Kap # k-a from KEap # k and KEas to AP # k-AS.
s is calculated (step S103), and the signature data Sigap # k is calculated using R1 and the private key SKap # k of the own device (step S104). The base station AP # k further calculates a random number R2, R2, and the certificate Certap of its own device.
#K and Sigap # k are attached to the authentication information and the packet is transmitted to the authentication server AS (step S10).
5).
【0057】図8のフローのステップS114で基地局
AP#kから認証情報を受信した認証サーバASは、C
ertap#kを検査する(ステップS115)。もし
検査が失敗した場合は、認証失敗を示す認証結果をAP
#kへ送信する(ステップS117,S118)。Ce
rtap#kの検査が成功した場合は、さらにこのCe
rtap#kからAP#kの公開鍵PKap#kを取り
出し、このPKap#kを用いてSigap#kを検査
する(ステップS115)。もし検査が失敗した場合に
も認証失敗を示す認証結果をAP#kへ送信する(ステ
ップS117,S118)。The authentication server AS which has received the authentication information from the base station AP # k in step S114 of the flow of FIG.
The ertap # k is inspected (step S115). If the inspection fails, the authentication result showing the authentication failure
It is transmitted to #k (steps S117 and S118). Ce
If rtap # k is successfully tested, this Ce
The public key PKap # k of AP # k is extracted from rtap # k, and Sigap # k is inspected using this PKap # k (step S115). If the inspection fails, the authentication result indicating the authentication failure is transmitted to AP # k (steps S117 and S118).
【0058】ステップS115の検査が成功した場合
は、認証サーバASは基地局AP#kが正規のものであ
ると判断し、R2、自装置の秘密鍵SKasを用いて署
名データSigasを計算する(ステップS116)。
そして認証サーバASは、自装置の証明書Certas
と署名データSigasを認証結果に添付し、そのパケ
ットをAP#kへ送信する(ステップS118)。If the check in step S115 is successful, the authentication server AS determines that the base station AP # k is legitimate, and calculates the signature data Sigas using R2 and the private key SKas of its own device ( Step S116).
Then, the authentication server AS uses the certificate Certas of its own device.
And the signature data Sigas are attached to the authentication result, and the packet is transmitted to AP # k (step S118).
【0059】図4のフローのステップS106で、認証
サーバASから認証結果を受信した基地局AP#kは、
受信したCertasを検査する。もし検査が失敗した
場合は、最初から認証処理を開始する(ステップS10
7でNOに分岐)。検査が成功した場合にはさらに、C
ertasからASの公開鍵PKasを取り出し、この
PKasを用いてSigasをも検査する。APは、こ
の検査も成功した場合は、ASは事業者が設置した正規
のASであると判断し、AP#k−AS間の相互認証が
完了する。ステップS107でSigasの検査が失敗
した場合にも、受信した認証結果を破棄し、最初から認
証処理を開始する。The base station AP # k which has received the authentication result from the authentication server AS in step S106 of the flow of FIG.
Inspect the received Certas. If the inspection fails, the authentication process is started from the beginning (step S10).
Branch to NO at 7.) If the test is successful, then C
The public key PKas of the AS is retrieved from the ertas, and the Sigmas is also inspected using this PKas. If the AP also succeeds in this inspection, the AP determines that the AS is a legitimate AS installed by the business operator, and the mutual authentication between AP # k-AS is completed. Even when the Sigas inspection fails in step S107, the received authentication result is discarded and the authentication process is started from the beginning.
【0060】このようにして、認証サーバASが新規基
地局APを認証すればデータベースに登録することで、
事業者はユーザが設置したAPを把握し、他のユーザは
そうしたAPを事業者が設置したものと同等の安全性を
持つものとみなして使用することができる。In this way, if the authentication server AS authenticates the new base station AP, it is registered in the database,
The business operator can recognize the AP installed by the user, and other users can use such AP by assuming that the AP has the same security as that installed by the business operator.
【0061】<無線端末MT−基地局AP間の相互認証
>ある新規の無線端末MT#iがAP#kを介してネッ
トワークNWにアクセスしようとしたとき、MT#iは
初めにAP#kと認証を行う。AP#kはこの認証が成
功するまでMT#iから送信されたパケットを事業者側
ネットワークNWに転送しない。MT認証シーケンスを
図9に、認証用パケットのペイロードデータを図10に
示す。さらに、MT側から見た認証フローを図11に示
し、AP側から見た認証フローを図12に示す。<Mutual Authentication Between Wireless Terminal MT and Base Station AP> When a new wireless terminal MT # i tries to access the network NW via AP # k, MT # i first communicates with AP # k. Authenticate. AP # k does not transfer the packet transmitted from MT # i to the carrier network NW until this authentication is successful. FIG. 9 shows the MT authentication sequence, and FIG. 10 shows the payload data of the authentication packet. Further, FIG. 11 shows the authentication flow seen from the MT side, and FIG. 12 shows the authentication flow seen from the AP side.
【0062】初めに、図11のフローのステップS20
1で、無線端末MT#iは鍵生成情報KEmt#iを計
算し、その鍵生成情報を添付した認証要求1を基地局A
P#kへ送信する。First, step S20 in the flow of FIG.
In step 1, the wireless terminal MT # i calculates the key generation information KEmt # i and sends the authentication request 1 with the key generation information attached to the base station A.
Send to P # k.
【0063】図12のフローのステップS211で、無
線端末MT#iからの認証要求1を受信した基地局AP
#kは、鍵生成情報KEap#kを計算し、無線端末側
の鍵生成情報KEmt#iと当該基地局側の鍵生成情報
KEap#kからMT#i−AP#k間の共有鍵Kmt
#i−ap#kを計算する(ステップS212)。基地
局AP#kはさらに乱数R1を計算し、鍵生成情報KE
ap#k、乱数R1を添付した認証要求応答1を無線端
末MT#iへ送信する(ステップS213)。The base station AP which has received the authentication request 1 from the wireless terminal MT # i in step S211 of the flow of FIG.
#K calculates the key generation information KEap # k, and the key generation information KEmt # i on the wireless terminal side and the shared key Kmt between the key generation information KEap # k on the base station side and the MT # i-AP # k.
# I-ap # k is calculated (step S212). The base station AP # k further calculates the random number R1 and calculates the key generation information KE.
The authentication request response 1 to which ap # k and the random number R1 are attached is transmitted to the wireless terminal MT # i (step S213).
【0064】図11のフローのステップS202で、基
地局AP#kからの認証要求応答1を受信した無線端末
MT#iは、自装置の鍵生成情報KEmt#iと基地局
の鍵生成情報KEap#kからMT#i−AP#k間の
共有鍵Kmt#i−ap#kを計算し(ステップS20
3)、さらに乱数R1、自装置の秘密鍵SKmt#iを
用いて署名データSigmt#iを計算する(ステップ
S204)。当該無線端末MT#iはさらに、乱数R2
を計算し、R2、自装置の証明書Certmt#i、署
名データSigmt#iを認証情報1に添付してそのパ
ケットを基地局AP#kへ送信する(ステップS20
5)。The wireless terminal MT # i, which has received the authentication request response 1 from the base station AP # k in step S202 of the flow of FIG. 11, receives the key generation information KEmt # i of its own apparatus and the key generation information KEap of the base station. The shared key Kmt # i-ap # k between #k and MT # i-AP # k is calculated (step S20).
3) Further, the signature data Sigmat # i is calculated using the random number R1 and the private key SKmt # i of the own device (step S204). The wireless terminal MT # i further uses the random number R2.
And R2, the certificate Certmt # i of the own device, and the signature data Sigmat # i are attached to the authentication information 1 and the packet is transmitted to the base station AP # k (step S20).
5).
【0065】図12のフローのステップS214で、無
線端末MT#iからの認証情報1を受信したAP#k
は、Certmt#iを検査する(ステップS21
5)。もし検査が失敗した場合は、認証失敗を示す認証
結果1をMT#iに送信する(ステップS219〜S2
21)。検査が成功した場合はCertmt#iからM
T#iの公開鍵PKmt#iを取り出す。基地局AP#
kはMT#iの公開鍵PKmt#iを用いてSigmt
#iも検査する(ステップS215)。AP # k which has received the authentication information 1 from the wireless terminal MT # i in step S214 of the flow of FIG.
Inspects Certmt # i (step S21
5). If the inspection fails, the authentication result 1 indicating the authentication failure is transmitted to MT # i (steps S219 to S2).
21). If the inspection is successful, Certmt # i through M
The public key PKmt # i of T # i is taken out. Base station AP #
k is Sigmat using the public key PKmt # i of MT # i
#I is also inspected (step S215).
【0066】基地局AP#kは、この検査が成功すれば
無線端末MT#iが正規のMTであると判断し、乱数R
2、自装置の秘密鍵SKap#kを用いて署名データS
igap#kを計算する(ステップS216)。そして
基地局AP#kは、自装置の証明書Certap#kと
署名データSigap#kを認証結果1に添付し、その
パケットを無線端末MT#iへ送信する(ステップS2
17)。また基地局AP#kは、無線端末MT#iの認
証が成功した時点で、MT#iから送信される認証2用
パケットの認証サーバASへの転送を許可する(ステッ
プS218)。ステップS215で無線端末MT#iの
署名データSigmt#iの検査が失敗した場合にも、
認証失敗を示す認証結果1をMT#iに送信し(ステッ
プS219,S220)、無線端末MT#iから送信さ
れる認証2用パケットの認証サーバASへの転送を不許
可にする(ステップS221)。If the inspection is successful, the base station AP # k determines that the wireless terminal MT # i is a regular MT, and the random number R
2. Using the private key SKap # k of the device itself, the signature data S
igap # k is calculated (step S216). Then, the base station AP # k attaches its own certificate Certap # k and signature data Sigap # k to the authentication result 1 and transmits the packet to the wireless terminal MT # i (step S2).
17). The base station AP # k permits the transfer of the authentication 2 packet transmitted from the MT # i to the authentication server AS when the authentication of the wireless terminal MT # i is successful (step S218). Even when the inspection of the signature data Sigmat # i of the wireless terminal MT # i fails in step S215,
The authentication result 1 indicating the authentication failure is transmitted to MT # i (steps S219 and S220), and the transfer of the authentication 2 packet transmitted from the wireless terminal MT # i to the authentication server AS is prohibited (step S221). .
【0067】図11のフローのステップS206で、基
地局AP#からの認証結果1を受信したMT#iは、基
地局の証明書Certap#kを検査する(ステップS
207)。もし検査が失敗した場合は、認証1を最初か
ら開始する(ステップS207でNOに分岐)。検査が
正しい場合はこのCertap#kから基地局AP#k
の公開鍵PKap#kを取り出す。さらに無線端末MT
#iは、取り出した公開鍵PKap#kを用いて基地局
AP#kの署名データSigap#kを検査する。この
検査も正しい場合は、この基地局AP#kが事業者の認
めた正規のAPであると判断し、MT#i−AP#k間
の相互認証が完了する(ステップS207でYESに分
岐)。もし検査が失敗した場合にも、認証1を最初から
開始する(ステップS207でNOに分岐)。In step S206 of the flow of FIG. 11, MT # i, which has received the authentication result 1 from the base station AP #, inspects the certificate Certap # k of the base station (step S).
207). If the inspection fails, authentication 1 is started from the beginning (NO in step S207). If the inspection is correct, the base station AP # k starts from this Certap # k
Public key PKap # k of Furthermore, the wireless terminal MT
#I inspects the signature data Sigap # k of the base station AP # k using the retrieved public key PKap # k. If this check is also correct, it is determined that this base station AP # k is a legitimate AP recognized by the operator, and mutual authentication between MT # i and AP # k is completed (branch to YES in step S207). . Even if the inspection fails, the authentication 1 is started from the beginning (NO in step S207).
【0068】このようにして、基地局AP#kは無線端
末MT#iの認証に成功するまで事業者側ネットワーク
に当該無線端末MT#iによるパケットを送信しないの
で、不正な無線端末による認証を利用した認証サーバA
Sへの攻撃を防止することができる。同時に、基地局A
Pを所有するユーザのアクセス回線が不正に利用される
ことも防止することができる。In this way, since the base station AP # k does not transmit the packet by the wireless terminal MT # i to the carrier side network until the authentication of the wireless terminal MT # i is successful, the authentication by the unauthorized wireless terminal is performed. Authentication server A used
It is possible to prevent attacks on S. At the same time, base station A
It is possible to prevent the access line of the user who owns P from being illegally used.
【0069】<無線端末MT#i−認証サーバAS間の
相互認証>上記の無線端末MT#i−基地局AP#k間
の相互認証が成功したら、無線端末MT#iは当該基地
局AP#kを介して認証サーバASとの認証を行う。無
線端末MT#i側から見た認証フローを図13に示し、
認証サーバAS側から見た認証フローを図14に示す。
さらに、基地局AP#K側から見た認証フローを図1
5、図16に示す。そしてパケットペイロードデータは
図10に示すものである。<Mutual Authentication Between Wireless Terminal MT # i-Authentication Server AS> When the mutual authentication between the wireless terminal MT # i and base station AP # k is successful, the wireless terminal MT # i determines that base station AP #. Authentication with the authentication server AS is performed via k. FIG. 13 shows an authentication flow seen from the wireless terminal MT # i side,
FIG. 14 shows the authentication flow viewed from the authentication server AS side.
Furthermore, FIG. 1 shows the authentication flow seen from the base station AP # K side.
5, shown in FIG. The packet payload data is shown in FIG.
【0070】図13のフローのステップS231で、初
めに、無線端末MT#iはシーケンス番号SQNを生成
し、そのSQNと共有鍵Kmt#i−ap#kを用いて
送信元を示すパケット検査データPCVを計算する。無
線端末MT#iは、これらのSQN、PCVを付加した
認証要求2を基地局AP#kへ送信する(ステップS2
32)。In step S231 of the flow of FIG. 13, first, the wireless terminal MT # i generates a sequence number SQN and uses the SQN and the shared key Kmt # i-ap # k to indicate the packet inspection data indicating the transmission source. Calculate PCV. The wireless terminal MT # i transmits the authentication request 2 added with these SQN and PCV to the base station AP # k (step S2).
32).
【0071】図15のフローのステップS241で、無
線端末MT#iからの認証要求2を受信した基地局AP
#kは、PCVをSQN、Kmt#i−ap#kを用い
て検査する。もし検査が失敗した場合は受信した認証要
求2を破棄する。検査が成功した場合は受信パケット中
のSQNと共有鍵Kap#k−asを用いてPCVを計
算する(ステップS242)。基地局AP#kは、この
新PCVを生成すると、元のPCVを廃棄し、新しいP
CVを付加した認証要求2を認証サーバASへ送信する
(ステップS243)。The base station AP which has received the authentication request 2 from the wireless terminal MT # i in step S241 of the flow of FIG.
#K inspects the PCV using SQN and Kmt # i-ap # k. If the inspection fails, the received authentication request 2 is discarded. If the inspection is successful, the PCV is calculated using the SQN in the received packet and the shared key Kap # k-as (step S242). When the base station AP # k creates this new PCV, it discards the original PCV and creates a new PV.
The authentication request 2 with the CV added is transmitted to the authentication server AS (step S243).
【0072】図14のフローのステップS251で、基
地局AP#kから認証要求2を受信した認証サーバAS
は、受信したPCVをシーケンス番号SQN、共有鍵K
ap#k−asを用いて検査する(ステップS25
2)。もし検査が失敗した場合は受信した認証要求2を
破棄する。検査が成功した場合は乱数R3を計算する。
認証サーバASはさらに、シーケンス番号SQNを生成
し、そのSQNと共有鍵Kap#k−asを用いてPC
Vを計算し(ステップS253)、乱数R3とこれらの
SQN、PCVを付加した認証要求応答2を基地局AP
#kへ送信する(ステップS254)。The authentication server AS that has received the authentication request 2 from the base station AP # k in step S251 of the flow of FIG.
Uses the received PCV as sequence number SQN and shared key K
Inspect using ap # k-as (step S25)
2). If the inspection fails, the received authentication request 2 is discarded. If the inspection is successful, the random number R3 is calculated.
The authentication server AS further generates a sequence number SQN and uses the SQN and the shared key Kap # k-as to execute the PC.
V is calculated (step S253), and the authentication request response 2 to which the random number R3 and these SQN and PCV are added is sent to the base station AP.
It is transmitted to #k (step S254).
【0073】図15のフローのステップS241で、認
証サーバASから認証要求応答2を受信した基地局AP
#kは、シーケンス番号SQNと共有鍵Kap#k−a
sを用いてPCVを検査する。この検査の結果が正しけ
れば、基地局AP#kはSQNと共有鍵Kmt#i−a
p#kを用いて新しいPCVを計算する(ステップS2
42)。基地局AP#kは新しいPCVを生成すると旧
いPCVを廃棄し、新しいPCVを付加した認証要求応
答2を無線端末MT#iへ送信する(ステップS24
3)。The base station AP which has received the authentication request response 2 from the authentication server AS in step S241 of the flow of FIG.
#K is the sequence number SQN and shared key Kap # k-a
Check PCV with s. If the result of this check is correct, the base station AP # k has the SQN and the shared key Kmt # i-a.
A new PCV is calculated using p # k (step S2
42). Upon generating the new PCV, the base station AP # k discards the old PCV and transmits the authentication request response 2 with the new PCV added to the wireless terminal MT # i (step S24).
3).
【0074】図13のフローのステップS233で、認
証要求応答2を受信した無線端末MT#iは、PCVを
SQN、Kmt#i−ap#kを用いて検査する(ステ
ップS234)。もし検査が失敗した場合は、受信した
認証要求応答2を破棄する。無線端末MT#iは、PC
Vの検査が成功した場合は、乱数R3、秘密鍵SKmt
#iを用いて署名データSigmt#iを計算する(ス
テップS235)。さらに無線端末MT#iは、乱数R
4を計算し、この乱数R4、自装置の証明書Certm
t#i、署名データSigmt#i及び上記と同様の手
順で計算したPCVを認証情報2に付加してそのパケッ
トを基地局AP#kへ送信する(ステップS236,S
237)。The wireless terminal MT # i, which has received the authentication request response 2 in step S233 of the flow of FIG. 13, inspects the PCV using SQN and Kmt # i-ap # k (step S234). If the inspection fails, the received authentication request response 2 is discarded. The wireless terminal MT # i is a PC
If the inspection of V is successful, the random number R3, the secret key SKmt
The signature data Sigmat # i is calculated using #i (step S235). Furthermore, the wireless terminal MT # i uses the random number R
4 is calculated, and this random number R4, the certificate Certm of the own device
t # i, signature data Sigmat # i and PCV calculated by the same procedure as above are added to the authentication information 2 and the packet is transmitted to the base station AP # k (steps S236, S).
237).
【0075】図15のフローのステップS241で、無
線端末MT#iからの認証情報2を受信した基地局AP
#kはPCVを検査し、正しければ上記と同様の手順で
計算したPCVを付加して認証情報2を認証サーバAS
へ送信する(ステップS242,S243)。The base station AP that has received the authentication information 2 from the wireless terminal MT # i in step S241 of the flow of FIG.
#K inspects the PCV, and if correct, adds the PCV calculated by the same procedure as above and adds the authentication information 2 to the authentication server AS.
(Steps S242 and S243).
【0076】図14のフローのステップS255で、基
地局AP#kからの認証情報2を受信したASは、PC
Vを検査する(ステップS256)。もし検査が失敗し
た場合は、受信した認証情報2を破棄する。検査が成功
した場合は署名データCertmt#iを検査する。も
し検査が失敗した場合は認証失敗を示す認証結果2に新
しいSQN、上記と同様の手順で計算したPCVを付加
して基地局AP#kへ送信する(ステップS261〜S
263)。ステップS257で署名データCertmt
#iの検査が成功した場合は、この署名データCert
mt#iから無線端末MT#iの公開鍵PKmt#iを
取り出す。認証サーバASはさらに、この公開鍵PKm
t#iを用いて署名データSigmt#iを検査する
(ステップS257)。In step S255 of the flow of FIG. 14, the AS that has received the authentication information 2 from the base station AP # k is the PC.
V is inspected (step S256). If the inspection fails, the received authentication information 2 is discarded. When the inspection is successful, the signature data Certmt # i is inspected. If the inspection is unsuccessful, a new SQN and PCV calculated by the same procedure as above are added to the authentication result 2 indicating the authentication failure and transmitted to the base station AP # k (steps S261 to S261).
263). In step S257, the signature data Certmt
If the inspection of #i is successful, this signature data Cert
The public key PKmt # i of the wireless terminal MT # i is extracted from mt # i. The authentication server AS further uses this public key PKm.
The signature data Sigmat # i is inspected using t # i (step S257).
【0077】認証サーバASはステップS257でMT
#iの検査も成功すれば、無線端末MT#iが正規のM
Tであると判断し、乱数R4、自装置の秘密鍵SKas
を用いて署名データSigasを計算する(ステップS
258)。認証サーバASはさらに、自装置の証明書C
ertasとSigas、上記と同様の手順で計算した
PCVを認証結果2に付加し、そのパケットを基地局A
P#kへ送信する(ステップS259,S260)。こ
の検査が失敗した場合にも、認証失敗を示す認証結果2
に新しいSQN、PCV付加して基地局AP#kへ送信
する(ステップS261〜S263)。The authentication server AS executes MT in step S257.
If the inspection of #i is also successful, the wireless terminal MT # i is authorized M
It is determined that T is the random number R4, the private key SKas of the own device
To calculate signature data Sigas (step S
258). The authentication server AS further has the certificate C of its own device.
ertas and Sigas, PCV calculated by the same procedure as above is added to the authentication result 2, and the packet is added to the base station A.
It transmits to P # k (step S259, S260). Authentication result 2 indicating authentication failure even if this check fails
To the base station AP # k with new SQN and PCV added (steps S261 to S263).
【0078】図16のフローのステップS271で、認
証サーバASから認証結果2を受信した基地局AP#k
は、PCVを検査し、結果が正しければ新しいPCVを
付加して認証結果2をMT#iへ送信する(ステップS
272〜S274)。この認証結果2が認証成功を示し
ている場合は、基地局AP#kはこの時点でMT#iか
ら送信されるデータパケットの事業者側ネットワークヘ
の転送を許可する(ステップS275)。In step S271 of the flow of FIG. 16, the base station AP # k which has received the authentication result 2 from the authentication server AS.
Examines the PCV, adds a new PCV if the result is correct, and transmits the authentication result 2 to MT # i (step S
272-S274). If the authentication result 2 indicates that the authentication is successful, the base station AP # k permits the transfer of the data packet transmitted from the MT # i to the operator side network at this point (step S275).
【0079】ステップS271で受信した認証結果2が
認証失敗を示している場合、基地局AP#kは無線端末
MT#iから送信されるデータパケットの事業者側ネッ
トワークヘの転送を許可しない(ステップS272,S
276〜S278)。When the authentication result 2 received in step S271 indicates the authentication failure, the base station AP # k does not permit the transfer of the data packet transmitted from the wireless terminal MT # i to the operator side network (step S272, S
276-S278).
【0080】図13のフローのステップS238で認証
結果2を受信した無線端末MT#iは、PCVを検査す
る(ステップS239)。もし検査が失敗した場合は、
無線端末MT#iは認証情報2を再送する(ステップS
236,S237)。検査が成功した場合、無線端末M
T#iはCertasを検査する(ステップS24
0)。もしこの検査が失敗した場合、無線端末MT#i
は最初から認証2を開始する。Certasの検査が成
功した場合、無線端末MT#iはCertasから認証
サーバASの公開鍵PKasを取り出し、この公開鍵P
Kasを用いて署名データSigasを検査する。もし
この検査が失敗した場合にも、最初から認証2を開始す
る(ステップS240でNOに分岐)。この署名データ
Sigasの検査も成功した場合、無線端末MT#iは
認証サーバASが事業者の認めた正規のASであると判
断し、MT#i−AS間の相互認証が完了する(ステッ
プS240)。The wireless terminal MT # i which has received the authentication result 2 in step S238 of the flow of FIG. 13 inspects the PCV (step S239). If the test fails,
The wireless terminal MT # i retransmits the authentication information 2 (step S
236, S237). If the inspection is successful, the wireless terminal M
T # i inspects Certas (step S24)
0). If this check fails, the wireless terminal MT # i
Starts authentication 2 from the beginning. When the inspection of Certas is successful, the wireless terminal MT # i extracts the public key PKas of the authentication server AS from Certas, and the public key PKas
The signature data Sigas is inspected using Kas. Even if this inspection fails, authentication 2 is started from the beginning (NO in step S240). If the inspection of the signature data Sigas is also successful, the wireless terminal MT # i determines that the authentication server AS is a legitimate AS recognized by the operator, and the mutual authentication between MT # i and AS is completed (step S240). ).
【0081】このように第1の実施の形態の無線アクセ
スネットワークでは、認証2用パケットにパケット検査
データ(PCV)を付加することで、認証サーバAPは
正規の無線端末MTから送信されたパケットであること
を確認し、認証2を利用した攻撃を防止することができ
る。また、認証サーバASは、無線端末MTから送信さ
れた認証2用パケットが正規の基地局APを経由して送
信されたことを確認できる。さらに、基地局APが無線
端末MTを認証した後に認証サーバASが無線端末MT
を認証することで、事業者はどの基地局APにどの無線
端末MTがアクセスしているかを把握でき、かつ基地局
APが不正に無線端末MTのアクセスを申告して事業者
からペイバックを受けるような不正サービス利用や不正
な課金情報の申告を防止することができる。As described above, in the wireless access network of the first embodiment, the packet check data (PCV) is added to the authentication 2 packet, so that the authentication server AP is a packet transmitted from the authorized wireless terminal MT. It is possible to confirm that there is and prevent an attack using the authentication 2. Further, the authentication server AS can confirm that the authentication 2 packet transmitted from the wireless terminal MT has been transmitted via the legitimate base station AP. Furthermore, after the base station AP authenticates the wireless terminal MT, the authentication server AS changes the wireless terminal MT.
By authenticating, the business operator can know which wireless terminal MT is accessing which base station AP, and the base station AP illegally declares access to the wireless terminal MT and receives a payback from the business operator. It is possible to prevent unauthorized use of unauthorized services and reporting of unauthorized billing information.
【0082】[第2の実施の形態]次に、本発明の無線
アクセスネットワークの第2の実施の形態について、説
明する。第2の実施の形態のネットワークの特徴は、図
17に示すような状況、つまり、新規無線端末MTと通
信できるエリアに基地局AP#1とAP#kとが存在
し、これらのいずれとも認証手続きのために通信できる
状況で、新規無線端末MTがMT−AS間相互認証用パ
ケットを中継させる基地局として適切なもの(ここでは
AP#k)を選択することにより、同じ認証処理が同時
に複数発生してしまうことを防止する機能を備えた点に
ある。[Second Embodiment] Next, a second embodiment of the radio access network of the present invention will be described. A characteristic of the network of the second embodiment is that the base stations AP # 1 and AP # k exist in a situation as shown in FIG. 17, that is, in an area where communication with the new wireless terminal MT is possible, and authentication is performed for both of them. In the situation where communication is possible for the procedure, the new wireless terminal MT selects the appropriate one (here, AP # k) as the base station for relaying the MT-AS mutual authentication packet, so that the same authentication process is performed simultaneously. The point is that it has a function to prevent it from occurring.
【0083】これを実現するために、無線端末MTは図
18、図19に示す機能構成を備えている。すなわち、
図1に示した第1の実施の形態の機能構成に加えて、基
地局選択機能306を備えていて、この基地局選択機能
306が、最初に受信した基地局を中継のために基地局
に選択することにより同じ認証処理が同時に複数発生し
てしまうことを防止する。In order to realize this, the wireless terminal MT has the functional configuration shown in FIGS. 18 and 19. That is,
In addition to the functional configuration of the first embodiment shown in FIG. 1, a base station selection function 306 is provided, and this base station selection function 306 turns the first received base station into a base station for relay. The selection prevents the same authentication process from occurring more than once at the same time.
【0084】次に、第2の実施の形態の無線アクセスネ
ットワークの動作を、図20の無線端末認証シーケン
ス、図21の無線端末の基地局AP選択処理を含めたA
P認証フローを用いて説明する。Next, the operation of the wireless access network according to the second embodiment will be described in A including the wireless terminal authentication sequence of FIG. 20 and the wireless terminal base station AP selection processing of FIG.
This will be described using the P authentication flow.
【0085】ネットワークNWに一般ユーザが新規に基
地局AP#kを設置した時、AP#kは事業者が管理す
る認証サーバASと認証を行うが、この手続きは第1の
実施の形態と共通であり、図5の認証シーケンス、図6
の認証用パケットペイロードデータ、図7及び図8のA
P−AS間認証フローの通りである。When a general user newly installs the base station AP # k on the network NW, the AP # k authenticates with the authentication server AS managed by the operator. This procedure is common to the first embodiment. 5 and the authentication sequence of FIG.
Authentication packet payload data, A of FIGS. 7 and 8
This is as in the P-AS authentication flow.
【0086】ある無線端末MT#iが基地局APを介し
てネットワークにアクセスしようとしたとき、MT#1
は初めにAPと認証を行う。基地局APはこの認証が成
功するまで無線端末MT#1から送信されたパケットを
事業者側ネットワークNWに転送しない。MT認証シー
ケンスを図20に示す。なお、第2の実施の形態で用い
るMT認証用パケットのペイロードデータは、第1の実
施の形態と同様に図10に示すものである。また、AP
側から見たMT−AP間認証フローは図12に、MT−
AS間認証フローは図13及び図14に、中継となる基
地局AP#k側のMT−AS間認証フローは図15及び
図16にそれぞれ示した第1の実施の形態のものと同様
である。ただし、第2の実施の形態の場合、MT側のM
T−AP間認証フローが図21に示したものに変更され
る点が異なる。When a radio terminal MT # i tries to access the network via the base station AP, MT # 1
First authenticates with the AP. The base station AP does not transfer the packet transmitted from the wireless terminal MT # 1 to the operator side network NW until this authentication is successful. The MT authentication sequence is shown in FIG. The payload data of the MT authentication packet used in the second embodiment is shown in FIG. 10 as in the first embodiment. Also, AP
The MT-AP authentication flow seen from the side is shown in FIG.
The AS-to-AS authentication flow is the same as that of the first embodiment shown in FIGS. 13 and 14, and the MT-AS-authentication flow on the side of the base station AP # k which is a relay is the same as that of the first embodiment shown in FIGS. 15 and 16, respectively. . However, in the case of the second embodiment, M on the MT side
The difference is that the T-AP authentication flow is changed to that shown in FIG.
【0087】図21に示したMT側から見たMT−AP
間認証フローのステップS301で、ある無線端末MT
#iがネットワークにアクセスしようとしたとき、鍵生
成情報KEmt#iを計算し、その鍵生成情報を添付し
た認証要求1を基地局APへブロードキャストで送信す
る。MT-AP as seen from the MT side shown in FIG.
In step S301 of the inter-authentication flow, a certain wireless terminal MT
When #i tries to access the network, the key generation information KEmt # i is calculated, and the authentication request 1 with the key generation information attached is transmitted by broadcast to the base station AP.
【0088】第1の実施の形態と同様に、図12のフロ
ーのステップS211で、無線端末MT#1から認証要
求1を受信したAP#kは、鍵生成情報KEap#kを
計算し、さらにMT#i−AP#k間の共有鍵Kmt#
i−ap#kを計算する(ステップS212)。さらに
基地局AP#kは、乱数R1を計算し、KEap#k、
R1を添付した認証要求応答1をMT#iへ送信する
(ステップS213)。Similar to the first embodiment, the AP # k which has received the authentication request 1 from the wireless terminal MT # 1 in step S211 of the flow of FIG. 12 calculates the key generation information KEap # k, and further Shared key Kmt # between MT # i and AP # k
i-ap # k is calculated (step S212). Further, the base station AP # k calculates a random number R1 and calculates KEap # k,
Authentication request response 1 with R1 attached is transmitted to MT # i (step S213).
【0089】図17に示した状況では基地局AP#1も
同じ無線端末MT#iからの認証要求1を受信するの
で、同様にして鍵生成情報KEap#1を計算し、MT
#i−AP#1間の共有鍵Kmt#i−ap#1を計算
する(ステップS212)。基地局AP#1はさらに、
乱数R1’を計算し、KEap#1、R1’を添付した
認証要求応答1をMT#iへ基地局AP#kと同様に送
信する(ステップS213)。In the situation shown in FIG. 17, since the base station AP # 1 also receives the authentication request 1 from the same wireless terminal MT # i, the key generation information KEap # 1 is calculated similarly and MT
The shared key Kmt # i-ap # 1 between # i-AP # 1 is calculated (step S212). Base station AP # 1 is
The random number R1 ′ is calculated, and the authentication request response 1 with KEap # 1 and R1 ′ attached is transmitted to MT # i in the same manner as the base station AP # k (step S213).
【0090】図21のフローのステップS302〜S3
04で、無線端末MT#iは予め基地局選択機能306
に組み込まれたロジック、つまり、最初に受信した認証
要求応答1に対して処理を行うというロジックに基づ
き、2番目以降に受信した認証処理応答1はそれよりも
先に受信された基地局の認証処理応答1が選択された場
合に廃棄する。ここでは、最初に基地局AP#kからの
認証処理応答1を受信し、基地局AP#1からの認証処
理応答1はそれに遅れて受信したものとする。Steps S302 to S3 of the flow shown in FIG.
In 04, the wireless terminal MT # i has previously selected the base station selection function 306.
The authentication processing response 1 received after the second one is based on the logic incorporated in the above, that is, the processing of processing the authentication request response 1 received first, and the authentication processing response 1 received after the second authentication of the base station. When the processing response 1 is selected, it is discarded. Here, it is assumed that the authentication processing response 1 from the base station AP # k is first received, and the authentication processing response 1 from the base station AP # 1 is received after that.
【0091】基地局AP#kからの認証要求応答1を最
初に受信したMT#iは、ステップS305で、第1の
実施の形態と同様に自装置の鍵生成情報KEmt#iと
基地局AP#kの鍵生成情報KEap#kからMT#i
−AP#k間の共有鍵Kmt#i−ap#kを計算す
る。そして、乱数R1、自装置の秘密鍵SKmt#iを
用いて署名データSigmt#iを計算する(ステップ
S306)。続いて、無線端末MT#iは乱数R2を計
算し、R2、自装置の証明書Certmt#i、Sig
mt#iを認証情報1に添付してそのパケットを選択し
た基地局AP#kへ送信する(ステップS307)。MT # i, which first receives the authentication request response 1 from the base station AP # k, receives the key generation information KEmt # i of its own device and the base station AP in step S305 as in the first embodiment. Key generation information KEap # k of #k to MT # i
-Calculate the shared key Kmt # i-ap # k between AP # k. Then, the signature data Sigmat # i is calculated using the random number R1 and the private key SKmt # i of the own device (step S306). Then, the wireless terminal MT # i calculates a random number R2, and R2, the certificate Certmt # i of its own device, and Sig.
mt # i is attached to the authentication information 1 and the packet is transmitted to the selected base station AP # k (step S307).
【0092】図12のフローのステップS214で、無
線端末MT#iからの認証情報1を受信した基地局AP
#kは、以降、第1の実施の形態と同様の処理を実行
し、基地局MT#iが正規のMTであると判断すれば、
認証結果1をMT#iへ送信し(ステップS215〜S
217)、またMT#iの認証が成功した時点でMT#
iから送信される認証2用パケットのASへの転送を許
可する(ステップS218)。一方、もしMTの検査に
失敗した場合は、認証失敗を示す認証結果1をMT#i
へ送信し、MT#iから送信される認証2用パケットの
ASへの転送を不許可にする(ステップS219〜S2
21)。The base station AP which has received the authentication information 1 from the wireless terminal MT # i in step S214 of the flow of FIG.
After that, #k performs the same processing as in the first embodiment, and if it is determined that the base station MT # i is a regular MT,
Authentication result 1 is transmitted to MT # i (steps S215 to S
217), and when MT # i is successfully authenticated, MT #
The transfer of the authentication 2 packet transmitted from i to the AS is permitted (step S218). On the other hand, if the MT inspection fails, the authentication result 1 indicating the authentication failure is set to MT # i.
To the AS and prohibits the transfer of the authentication 2 packet transmitted from MT # i to the AS (steps S219 to S2).
21).
【0093】図21のフローのステップS308で基地
局AP#kから認証結果1を受信した無線端末MT#i
は基地局AP#kの証明書Certap#kを検査する
(ステップS309)。この検査が失敗した場合は、最
初から認証1を開始する。そしてこの場合、最初に受信
した基地局AP#kからの認証要求応答1のパケットを
廃棄し、2番目に受信した基地局AP#1からの認証要
求応答1に対して認証処理を行うことになる。つまり、
2度目の認証でも最初にAP#k、2番目のAP#1か
らの応答を受信したとすれば、ステップS303,S3
11で最初のAP#kのパケットは破棄する。そしてス
テップS304で2番目に受信したAP#1の認証要求
応答1について、認証処理を実施するのである。The wireless terminal MT # i which has received the authentication result 1 from the base station AP # k in step S308 of the flow shown in FIG.
Checks the certificate Certap # k of the base station AP # k (step S309). If this check fails, authentication 1 is started from the beginning. Then, in this case, the packet of the authentication request response 1 from the base station AP # k received first is discarded, and the authentication processing is performed on the authentication request response 1 received from the base station AP # 1 received second. Become. That is,
If a response is first received from AP # k and second AP # 1 even in the second authentication, steps S303 and S3.
At 11, the first AP # k packet is discarded. Then, the authentication process is performed for the authentication request response 1 of AP # 1 received second in step S304.
【0094】ステップS309において、基地局AP#
kの証明書Certap#kの検査が成功した場合は、
無線端末MT#iはCertap#kから基地局AP#
kの公開鍵PKap#kを取り出し、このPKap#k
を用いてSigap#kを検査し、この検査も成功すれ
ば基地局AP#kが事業者の設置した正規のAPである
と判断し、MT#i−AP#k間の相互認証が完了す
る。この検査が失敗した場合にも、最初から認証1を開
始する。そしてこの場合にも、2番目に受信した基地局
AP#1からの認証要求応答1に対して同様に認証処理
を行うことになる。In step S309, the base station AP #
If the certificate Certap # k of k is successfully verified,
The wireless terminal MT # i transmits the base station AP # from the Certap # k.
The public key PKap # k of k is extracted, and this PKap # k
Sigap # k is inspected by using, and if this inspection is also successful, it is determined that the base station AP # k is a legitimate AP installed by the operator, and mutual authentication between MT # i and AP # k is completed. . Even if this check fails, authentication 1 is started from the beginning. Also in this case, the authentication process is similarly performed on the authentication request response 1 from the base station AP # 1 received second.
【0095】上記の認証1が成功したら、無線端末MT
#iは選択した基地局AP#kを介して認証サーバAS
と認証を行う。このMT−AS間の認証手続きは、第1
の実施の形態と同様であり、MT側のMT−AS間認証
フローは図13に、AP側のMT−AS間認証フローは
図14に、中継となる基地局AP#k側のMT−AS間
認証フローは図15及び図16にそれぞれ示したもので
ある。If the above authentication 1 is successful, the wireless terminal MT
#I is the authentication server AS via the selected base station AP # k
And authenticate. This MT-AS authentication procedure is the first
13. The MT-AS authentication flow on the MT side is shown in FIG. 13, the MT-AS authentication flow on the AP side is shown in FIG. 14, and the MT-AS on the base station AP # k side that serves as a relay is similar to the embodiment of FIG. The inter-authentication flow is shown in FIGS. 15 and 16, respectively.
【0096】この第2の実施の形態の無線アクセスネッ
トワークによれば、第1の実施の形態と同様、基地局A
P#kが無線端末MT#iの認証が成功するまで事業者
側ネットワークにMT#iによるパケットを送信しない
ので、不正な無線端末による認証を利用した認証サーバ
ASへの攻撃を防止することができ、また、基地局AP
を所有するユーザのアクセス回線が不正に利用されるこ
とも防止することができる。さらに第2の実施の形態の
場合、正規の基地局APを1つ選択することで同一の認
証2用パケットが認証サーバASへ同時的に送信される
ことを防止できる。According to the radio access network of the second embodiment, as in the first embodiment, the base station A
Since P # k does not transmit the packet by MT # i to the carrier side network until the authentication of the wireless terminal MT # i is successful, it is possible to prevent the attack on the authentication server AS using the authentication by the unauthorized wireless terminal. Yes, the base station AP
It is also possible to prevent unauthorized use of the access line of the user who owns the. Further, in the case of the second embodiment, by selecting one legitimate base station AP, it is possible to prevent the same packet for authentication 2 from being simultaneously transmitted to the authentication server AS.
【0097】[第3の実施の形態]次に、本発明の第3
の実施の形態の無線アクセスネットワークについて、説
明する。第3の実施の形態の無線アクセスネットワーク
は、機能構成は第2の実施の形態と同様であるが、図1
7に示した状況、つまり、新規無線端末MT#iが複数
の基地局AP#1,AP#kから同時に、あるいは相前
後して認証要求応答1を受信した場合に、受信信号レベ
ルが最も高い基地局(ここではAP#kとする)を選択
し、以降の認証手続きを実行する点に特徴を有する。図
22は、第3の実施の形態において、無線端末MTの基
地局選択処理を含むAP認証フローを示している。その
他の処理は全て第2の実施の形態と共通である。[Third Embodiment] Next, the third embodiment of the present invention will be described.
The wireless access network according to the embodiment will be described. The radio access network of the third embodiment has the same functional configuration as that of the second embodiment, but FIG.
In the situation shown in FIG. 7, that is, when the new wireless terminal MT # i receives the authentication request response 1 from the plurality of base stations AP # 1 and AP # k at the same time or in succession, the received signal level is the highest. It is characterized in that a base station (here, AP # k) is selected and the subsequent authentication procedure is executed. FIG. 22 shows an AP authentication flow including a base station selection process of the wireless terminal MT in the third embodiment. All other processing is common to the second embodiment.
【0098】無線端末MTの備える機能構成は、図18
に示す第2の実施の形態と同様である。ただし、基地局
選択機能306が、受信レベルが最大である基地局を選
ぶことによって同じ認証処理が同時に複数発生してしま
うことを防止する点で第2の実施の形態とは異なる。The functional configuration of the radio terminal MT is shown in FIG.
It is similar to the second embodiment shown in FIG. However, the base station selection function 306 differs from the second embodiment in that the same authentication process is prevented from occurring at the same time by selecting the base station having the highest reception level.
【0099】次に、第3の実施の形態の無線アクセスネ
ットワークの動作を、図20の無線端末認証シーケン
ス、図22の無線端末の基地局AP選択処理を含めたA
P認証フローを用いて説明する。Next, the operation of the wireless access network according to the third embodiment will be described in A including the wireless terminal authentication sequence of FIG. 20 and the base station AP selection processing of the wireless terminal of FIG.
This will be described using the P authentication flow.
【0100】ネットワークに一般ユーザが新規に基地局
AP#kを設置した時、AP#kは事業者が管理する認
証サーバASと認証を行うが、この手続きは第1、第2
の実施の形態と共通であり、図5の認証シーケンス、図
6の認証用パケットペイロードデータ、図7及び図8の
AP−AS間認証フローの通りである。When a general user newly installs a base station AP # k on the network, AP # k authenticates with the authentication server AS managed by the business operator.
5 is common to the embodiment, and is the same as the authentication sequence in FIG. 5, the packet payload data for authentication in FIG. 6, and the AP-AS authentication flow in FIGS. 7 and 8.
【0101】ある無線端末MT#iが基地局APを介し
てネットワークにアクセスしようとしたとき、MT#1
は初めにAPと認証を行う。基地局APはこの認証が成
功するまで無線端末MT#1から送信されたパケットを
事業者側ネットワークNWに転送しない。なお、第3の
実施の形態で用いるMT認証用パケットのペイロードデ
ータは、第1の実施の形態と同様に図10に示すもので
ある。また、AP側から見たMT−AP間認証フローは
図12に、MT−AS間認証フローは図13及び図14
に、中継となる基地局AP#k側のMT−AS間認証フ
ローは図15及び図16にそれぞれ示した第1、第2の
実施の形態のものと同様である。When a radio terminal MT # i tries to access the network via the base station AP, MT # 1
First authenticates with the AP. The base station AP does not transfer the packet transmitted from the wireless terminal MT # 1 to the operator side network NW until this authentication is successful. The payload data of the MT authentication packet used in the third embodiment is shown in FIG. 10 as in the first embodiment. Further, the MT-AP authentication flow seen from the AP side is shown in FIG. 12, and the MT-AS authentication flow is shown in FIGS. 13 and 14.
In addition, the MT-AS authentication flow on the side of the base station AP # k which is a relay is the same as that of the first and second embodiments shown in FIGS. 15 and 16, respectively.
【0102】図22に示したMT側から見たMT−AP
間認証フローのステップS301で、ある無線端末MT
#iがネットワークにアクセスしようとしたとき、鍵生
成情報KEmt#iを計算し、その鍵生成情報を添付し
た認証要求1を基地局APへブロードキャストで送信す
る。MT-AP seen from MT side shown in FIG.
In step S301 of the inter-authentication flow, a certain wireless terminal MT
When #i tries to access the network, the key generation information KEmt # i is calculated, and the authentication request 1 with the key generation information attached is transmitted by broadcast to the base station AP.
【0103】第1の実施の形態と同様に、図12のフロ
ーのステップS211で、無線端末MT#1から認証要
求1を受信したAP#kは、鍵生成情報KEap#kを
計算し、さらにMT#i−AP#k間の共有鍵Kmt#
i−ap#kを計算する(ステップS212)。さらに
基地局AP#kは、乱数R1を計算し、KEap#k、
R3を添付した認証要求応答1をMT#iへ送信する
(ステップS213)。Similar to the first embodiment, the AP # k that has received the authentication request 1 from the wireless terminal MT # 1 in step S211 of the flow of FIG. 12 calculates the key generation information KEap # k, and further Shared key Kmt # between MT # i and AP # k
i-ap # k is calculated (step S212). Further, the base station AP # k calculates a random number R1 and calculates KEap # k,
Authentication request response 1 with R3 attached is transmitted to MT # i (step S213).
【0104】図17に示した状況では基地局AP#1も
同じ無線端末MT#iからの認証要求1を受信するの
で、同様にして鍵生成情報KEap#1を計算し、MT
#i−AP#1間の共有鍵Kmt#i−ap#1を計算
する(ステップS212)。基地局AP#1はさらに、
乱数R1’を計算し、KEap#1、R1’を添付した
認証要求応答1をMT#iへ基地局AP#kと同様に送
信する(ステップS213)。In the situation shown in FIG. 17, since the base station AP # 1 also receives the authentication request 1 from the same wireless terminal MT # i, the key generation information KEap # 1 is calculated in the same manner, and MT
The shared key Kmt # i-ap # 1 between # i-AP # 1 is calculated (step S212). Base station AP # 1 is
The random number R1 ′ is calculated, and the authentication request response 1 with KEap # 1 and R1 ′ attached is transmitted to MT # i in the same manner as the base station AP # k (step S213).
【0105】図22のフローのステップS302〜30
4′で、無線端末MT#iは予め基地局選択機能306
に組み込まれたロジック、つまり、送信後の所定時間内
に受信した認証要求応答1の信号レベルが一番高い基地
局を選択するというロジックに基づき基地局を選択し、
それ以外の認証処理応答1は廃棄する(ステップS30
4′,S312)。したがって、最初の認証処理応答
で、基地局AP#1とAP#kとから所定時間内に認証
要求応答1を受信した無線端末MT#iは、それらの認
証要求応答1の受信レベルを測定し、測定レベルの高い
基地局AP#kからの認証要求応答1に対して処理を行
い、AP#1の認証要求応答1のパケットは廃棄するこ
とになる。Steps S302 to S30 of the flow shown in FIG.
At 4 ', the wireless terminal MT # i has previously selected the base station selection function 306.
The base station is selected based on the logic incorporated in, that is, the logic that the base station with the highest signal level of the authentication request response 1 received within a predetermined time after transmission is selected,
The other authentication processing response 1 is discarded (step S30).
4 ', S312). Therefore, the wireless terminal MT # i, which has received the authentication request response 1 within the predetermined time from the base stations AP # 1 and AP # k in the first authentication processing response, measures the reception level of the authentication request response 1. , The authentication request response 1 from the base station AP # k having a high measurement level is processed, and the packet of the authentication request response 1 of the AP # 1 is discarded.
【0106】図22のフローのステップS304′で基
地局AP#kからの認証要求応答1を選択したMT#i
は、ステップS305で、第1、第2の実施の形態と同
様に、自装置の鍵生成情報KEmt#iと基地局AP#
kの鍵生成情報KEap#kからMT#i−AP#k間
の共有鍵Kmt#i−ap#kを計算する。そして、乱
数R1、自装置の秘密鍵SKmt#iを用いて署名デー
タSigmt#iを計算する(ステップS306)。続
いて、無線端末MT#iは乱数R2を計算し、R2、自
装置の証明書Certmt#i、Sigmt#iを認証
情報1に添付してそのパケットを選択した基地局AP#
kへ送信する(ステップS307)。MT # i which selects the authentication request response 1 from the base station AP # k in step S304 'of the flow of FIG.
In step S305, as in the first and second embodiments, the key generation information KEmt # i of the own device and the base station AP # are transmitted.
The shared key Kmt # i-ap # k between MT # i-AP # k is calculated from the key generation information KEap # k of k. Then, the signature data Sigmat # i is calculated using the random number R1 and the private key SKmt # i of the own device (step S306). Then, the wireless terminal MT # i calculates a random number R2, attaches R2, the certificate Certmt # i, and Sigmat # i of its own device to the authentication information 1 and selects the packet from the base station AP #.
It is transmitted to k (step S307).
【0107】図12のフローのステップS214で、無
線端末MT#iからの認証情報1を受信した基地局AP
#kは、以降、第1、第2の実施の形態と同様の処理を
実行し、基地局MT#iが正規のMTであると判断すれ
ば、認証結果1をMT#iへ送信し(ステップS215
〜S217)、またMT#iの認証が成功した時点でM
T#iから送信される認証2用パケットのASへの転送
を許可する(ステップS218)。一方、もしMTの検
査に失敗した場合は、認証失敗を示す認証結果1をMT
#iへ送信し、MT#iから送信される認証2用パケッ
トのASへの転送を不許可にする(ステップS219〜
S221)。The base station AP which has received the authentication information 1 from the wireless terminal MT # i in step S214 of the flow of FIG.
After that, #k performs the same processing as in the first and second embodiments, and if it determines that the base station MT # i is a regular MT, it transmits the authentication result 1 to MT # i ( Step S215
~ S217), and M is authenticated when MT # i is successfully authenticated.
The transfer of the authentication 2 packet transmitted from T # i to the AS is permitted (step S218). On the other hand, if the MT inspection fails, the authentication result 1 indicating the authentication failure is MT.
#I, and the transfer of the authentication 2 packet transmitted from MT # i to AS is prohibited (steps S219-).
S221).
【0108】図22のフローのステップS308で基地
局AP#kから認証結果1を受信した無線端末MT#i
は、基地局AP#kの証明書Certap#kを検査す
る(ステップS309)。この検査が失敗した場合は、
ステップS301に戻り、最初から認証1を開始する。The wireless terminal MT # i which has received the authentication result 1 from the base station AP # k in step S308 of the flow shown in FIG.
Checks the certificate Certap # k of the base station AP # k (step S309). If this check fails,
Returning to step S301, authentication 1 is started from the beginning.
【0109】ステップS309において、基地局AP#
kの証明書Certap#kの検査が成功した場合は、
無線端末MT#iはCertap#kから基地局AP#
kの公開鍵PKap#kを取り出し、このPKap#k
を用いてSigap#kを検査し、この検査も成功すれ
ば基地局AP#kが事業者の認めた正規のAPであると
判断し、MT#i−AP#k間の相互認証が完了する。
この検査が失敗した場合にも、最初から認証1を開始す
る。In step S309, the base station AP #
If the certificate Certap # k of k is successfully verified,
The wireless terminal MT # i transmits the base station AP # from the Certap # k.
The public key PKap # k of k is extracted, and this PKap # k
Is used to inspect the Sigap # k, and if this inspection is also successful, it is determined that the base station AP # k is a legitimate AP recognized by the operator, and the mutual authentication between the MT # i and the AP # k is completed. .
Even if this check fails, authentication 1 is started from the beginning.
【0110】ステップS309で最初から認証1を繰り
返す判定に至った場合、無線端末MT#iはブロードキ
ャストで認証要求1を再度送信する(ステップS30
1)。これに対して、第1回目と同様に基地局AP#
k,AP#1が認証要求応答1を返信してきたとし、し
かも基地局AP#kの受信レベルの方が基地局AP#1
の受信レベルよりも高かったとする。When it is determined in step S309 that the authentication 1 is repeated from the beginning, the wireless terminal MT # i retransmits the authentication request 1 by broadcast (step S30).
1). On the other hand, the base station AP #
k, AP # 1 returns the authentication request response 1, and the reception level of the base station AP # k is the base station AP # 1.
It was assumed that it was higher than the reception level of.
【0111】この場合、ステップS302でMT#iは
基地局AP#kを最初に選択するが、これに対してステ
ップS303で、第1回目の判定でNGと判断された基
地局であると判定してそのパケットを破棄する(ステッ
プS303,S311)。そして次の基地局AP#1の
認証要求応答1を採用し、ステップS304′で他に受
信レベルがAP#1よりも高いものがないと判定すれ
ば、この基地局AP#1の認証要求応答1に対してステ
ップS305以降の処理を実施する。なお、ステップS
305以降の処理は、図21のフローに示した第2の実
施の形態と同様である。In this case, MT # i first selects the base station AP # k in step S302, but in step S303 it is determined that the base station AP # k is the base station determined to be NG in the first determination. Then, the packet is discarded (steps S303 and S311). Then, the authentication request response 1 of the next base station AP # 1 is adopted, and if it is determined in step S304 'that the reception level is not higher than that of AP # 1, then the authentication request response of this base station AP # 1 is sent. The processing from step S305 onward is performed for 1. Note that step S
The processing after 305 is the same as that of the second embodiment shown in the flow of FIG.
【0112】この第3の実施の形態の無線アクセスネッ
トワークによれば、第2の実施の形態と同様、基地局A
P#kが無線端末MT#iの認証が成功するまで事業者
側ネットワークにMT#iによるパケットを送信しない
ので、不正な無線端末による認証を利用した認証サーバ
ASへの攻撃を防止することができ、また、基地局AP
を所有するユーザのアクセス回線が不正に利用されるこ
とも防止することができる。さらに第3の実施の形態の
場合、正規の基地局APを1つ選択することで同一の認
証2用パケットが認証サーバASへ送信されることを防
止できる。加えて、信号受信レベルの高い基地局を選択
することで無線通信の信頼性を高めることができる。According to the radio access network of the third embodiment, as in the second embodiment, the base station A
Since P # k does not transmit the packet by MT # i to the carrier side network until the authentication of the wireless terminal MT # i is successful, it is possible to prevent the attack on the authentication server AS using the authentication by the unauthorized wireless terminal. Yes, the base station AP
It is also possible to prevent unauthorized use of the access line of the user who owns the. Furthermore, in the case of the third embodiment, by selecting one legitimate base station AP, it is possible to prevent the same authentication 2 packet from being transmitted to the authentication server AS. In addition, the reliability of wireless communication can be improved by selecting a base station with a high signal reception level.
【0113】[第4の実施の形態]第4の実施の形態の
無線アクセスネットワークは、機能構成は第2の実施の
形態と同様であるが、図17に示した状況、つまり、新
規無線端末MT#iが複数の基地局AP#1,AP#k
から同時に、あるいは相前後して認証要求応答1を受信
した場合に、受信信号レベルが最も高い基地局(ここで
はAP#kとする)を選択し、以降の認証手続きを実行
する点に特徴を有する。図23は、第4の実施の形態に
おいて、無線端末MTの基地局選択処理を含むAP認証
フローを示している。その他の処理は全て第2、第3の
実施の形態と共通である。[Fourth Embodiment] The radio access network of the fourth embodiment has the same functional configuration as that of the second embodiment, but the situation shown in FIG. 17, that is, a new radio terminal. MT # i has a plurality of base stations AP # 1 and AP # k
When the authentication request response 1 is received at the same time, or before or after, the base station having the highest received signal level (here, AP # k) is selected and the subsequent authentication procedure is executed. Have. FIG. 23 shows an AP authentication flow including a base station selection process of the wireless terminal MT in the fourth embodiment. All other processing is common to the second and third embodiments.
【0114】無線端末MTの備える機能構成は、図18
に示す第2、第3の実施の形態と同様である。ただし、
基地局選択機能306が、帯域使用状況を受信した複数
の基地局それぞれについて確認し、最も帯域に空きがあ
る基地局から優先的に選択して認証要求応答1に対して
処理を行うことによって、同じ認証処理が同時に複数発
生してしまうことを防止する点で第2、第3の実施の形
態とは異なる。The functional configuration of the radio terminal MT is shown in FIG.
It is similar to the second and third embodiments shown in FIG. However,
The base station selection function 306 confirms each of the plurality of base stations that have received the band use status, preferentially selects the base station having the most available band, and processes the authentication request response 1, This is different from the second and third embodiments in that a plurality of the same authentication processes are prevented from occurring at the same time.
【0115】次に、第4の実施の形態の無線アクセスネ
ットワークの動作を、図20の無線端末認証シーケン
ス、図23の無線端末の基地局AP選択処理を含めたA
P認証フローを用いて説明する。Next, the operation of the wireless access network according to the fourth embodiment will be described in A including the wireless terminal authentication sequence of FIG. 20 and the wireless terminal base station AP selection processing of FIG.
This will be described using the P authentication flow.
【0116】ネットワークに一般ユーザが新規に基地局
AP#kを設置した時、AP#kは事業者が管理する認
証サーバASと認証を行うが、この手続きは第1、第2
の実施の形態と共通であり、図5の認証シーケンス、図
6の認証用パケットペイロードデータ、図7及び図8の
AP−AS間認証フローの通りである。When a general user newly installs the base station AP # k on the network, the AP # k authenticates with the authentication server AS managed by the operator. This procedure is the first and second steps.
5 is common to the embodiment, and is the same as the authentication sequence in FIG. 5, the packet payload data for authentication in FIG. 6, and the AP-AS authentication flow in FIGS. 7 and 8.
【0117】ある無線端末MT#iが基地局APを介し
てネットワークにアクセスしようとしたとき、MT#1
は初めにAPと認証を行う。基地局APはこの認証が成
功するまで無線端末MT#1から送信されたパケットを
事業者側ネットワークNWに転送しない。なお、第4の
実施の形態で用いるMT認証用パケットのペイロードデ
ータも、第1の実施の形態と同様に図10に示すもので
ある。また、AP側から見たMT−AP間認証フローは
図12に、MT−AS間認証フローは図13及び図14
に、中継となる基地局AP#k側のMT−AS間認証フ
ローは図15及び図16にそれぞれ示した第1、第2の
実施の形態のものと同様である。When a wireless terminal MT # i attempts to access the network via the base station AP, MT # 1
First authenticates with the AP. The base station AP does not transfer the packet transmitted from the wireless terminal MT # 1 to the operator side network NW until this authentication is successful. The payload data of the MT authentication packet used in the fourth embodiment is also shown in FIG. 10 as in the first embodiment. Further, the MT-AP authentication flow seen from the AP side is shown in FIG. 12, and the MT-AS authentication flow is shown in FIGS. 13 and 14.
In addition, the MT-AS authentication flow on the side of the base station AP # k which is a relay is the same as that of the first and second embodiments shown in FIGS. 15 and 16, respectively.
【0118】図23に示したMT側から見たMT−AP
間認証フローのステップS301で、ある無線端末MT
#iがネットワークにアクセスしようとしたとき、鍵生
成情報KEmt#iを計算し、その鍵生成情報を添付し
た認証要求1を基地局APへブロードキャストで送信す
る。MT-AP as seen from the MT side shown in FIG.
In step S301 of the inter-authentication flow, a certain wireless terminal MT
When #i tries to access the network, the key generation information KEmt # i is calculated, and the authentication request 1 with the key generation information attached is broadcast to the base station AP.
【0119】第1の実施の形態と同様に、図12のフロ
ーのステップS211で、無線端末MT#1から認証要
求1を受信したAP#kは、鍵生成情報KEap#kを
計算し、さらにMT#i−AP#k間の共有鍵Kmt#
i−ap#kを計算する(ステップS212)。さらに
基地局AP#kは、乱数R1を計算し、KEap#k、
R3を添付した認証要求応答1をMT#iへ送信する
(ステップS213)。Similar to the first embodiment, the AP # k that has received the authentication request 1 from the wireless terminal MT # 1 in step S211 of the flow of FIG. 12 calculates the key generation information KEap # k, and further Shared key Kmt # between MT # i and AP # k
i-ap # k is calculated (step S212). Further, the base station AP # k calculates a random number R1 and calculates KEap # k,
Authentication request response 1 with R3 attached is transmitted to MT # i (step S213).
【0120】図17に示した状況では基地局AP#1も
同じ無線端末MT#iからの認証要求1を受信するの
で、同様にして鍵生成情報KEap#1を計算し、MT
#i−AP#1間の共有鍵Kmt#i−ap#1を計算
する(ステップS212)。基地局AP#1はさらに、
乱数R1’を計算し、KEap#1、R1’を添付した
認証要求応答1をMT#iへ基地局AP#kと同様に送
信する(ステップS213)。In the situation shown in FIG. 17, since the base station AP # 1 also receives the authentication request 1 from the same wireless terminal MT # i, the key generation information KEap # 1 is calculated similarly and MT
The shared key Kmt # i-ap # 1 between # i-AP # 1 is calculated (step S212). Base station AP # 1 is
The random number R1 ′ is calculated, and the authentication request response 1 with KEap # 1 and R1 ′ attached is transmitted to MT # i in the same manner as the base station AP # k (step S213).
【0121】図23のフローのステップS302〜30
4″で、無線端末MT#iは予め基地局選択機能306
に組み込まれたロジック、つまり、送信後の所定時間内
に送信してきた基地局の中で最も帯域に空きがある基地
局を選択するというロジックに基づき基地局を選択し、
それ以外の認証処理応答1は廃棄する(ステップS30
4″,S312)。したがって、最初の認証処理応答
で、基地局AP#1とAP#kとから所定時間内に認証
要求応答1を受信した無線端末MT#iは、それらの基
地局の帯域の空き状況を確認し、帯域の空きが大きい基
地局AP#kからの認証要求応答1に対して処理を行
い、AP#1の認証要求応答1のパケットは廃棄するこ
とになる。Steps S302 to S30 of the flow shown in FIG.
4 ″, the wireless terminal MT # i has previously selected the base station selection function 306.
Select the base station based on the logic built in, that is, the logic to select the base station with the most free band among the base stations that have transmitted within a predetermined time after transmission,
The other authentication processing response 1 is discarded (step S30).
4 ″, S312). Therefore, the wireless terminal MT # i, which has received the authentication request response 1 within the predetermined time from the base stations AP # 1 and AP # k in the first authentication processing response, determines the bandwidth of those base stations. Of the authentication request response 1 from the base station AP # k having a large bandwidth, the packet of the authentication request response 1 of AP # 1 is discarded.
【0122】図23のフローのステップS304″で基
地局AP#kからの認証要求応答1を選択したMT#i
は、ステップS305で、第1、第2の実施の形態と同
様に、自装置の鍵生成情報KEmt#iと基地局AP#
kの鍵生成情報KEap#kからMT#i−AP#k間
の共有鍵Kmt#i−ap#kを計算する。そして、乱
数R1、自装置の秘密鍵SKmt#iを用いて署名デー
タSigmt#iを計算する(ステップS306)。続
いて、無線端末MT#iは乱数R2を計算し、R2、自
装置の証明書Certmt#i、Sigmt#iを認証
情報1に添付してそのパケットを選択した基地局AP#
kへ送信する(ステップS307)。MT # i for which the authentication request response 1 from the base station AP # k is selected in step S304 ″ of the flow of FIG.
In step S305, as in the first and second embodiments, the key generation information KEmt # i of the own device and the base station AP # are transmitted.
The shared key Kmt # i-ap # k between MT # i-AP # k is calculated from the key generation information KEap # k of k. Then, the signature data Sigmat # i is calculated using the random number R1 and the private key SKmt # i of the own device (step S306). Then, the wireless terminal MT # i calculates a random number R2, attaches R2, the certificate Certmt # i, and Sigmat # i of its own device to the authentication information 1 and selects the packet from the base station AP #.
It is transmitted to k (step S307).
【0123】図12のフローのステップS214で、無
線端末MT#iからの認証情報1を受信した基地局AP
#kは、以降、第1、第2の実施の形態と同様の処理を
実行し、基地局MT#iが正規のMTであると判断すれ
ば、認証結果1をMT#iへ送信し(ステップS215
〜S217)、またMT#iの認証が成功した時点でM
T#iから送信される認証2用パケットのASへの転送
を許可する(ステップS218)。一方、もしMTの検
査に失敗した場合は、認証失敗を示す認証結果1をMT
#iへ送信し、MT#iから送信される認証2用パケッ
トのASへの転送を不許可にする(ステップS219〜
S221)。The base station AP which has received the authentication information 1 from the wireless terminal MT # i in step S214 of the flow of FIG.
After that, #k performs the same processing as in the first and second embodiments, and if it determines that the base station MT # i is a regular MT, it transmits the authentication result 1 to MT # i ( Step S215
~ S217), and M is authenticated when MT # i is successfully authenticated.
The transfer of the authentication 2 packet transmitted from T # i to the AS is permitted (step S218). On the other hand, if the MT inspection fails, the authentication result 1 indicating the authentication failure is MT.
#I, and the transfer of the authentication 2 packet transmitted from MT # i to AS is prohibited (steps S219-).
S221).
【0124】図23のフローのステップS308で基地
局AP#kから認証結果1を受信した無線端末MT#i
は、基地局AP#kの証明書Certap#kを検査す
る(ステップS309)。この検査が失敗した場合は、
ステップS301に戻り、最初から認証1を開始する。The wireless terminal MT # i that has received the authentication result 1 from the base station AP # k in step S308 of the flow of FIG.
Checks the certificate Certap # k of the base station AP # k (step S309). If this check fails,
Returning to step S301, authentication 1 is started from the beginning.
【0125】ステップS309において、基地局AP#
kの証明書Certap#kの検査が成功した場合は、
無線端末MT#iはCertap#kから基地局AP#
kの公開鍵PKap#kを取り出し、このPKap#k
を用いてSigap#kを検査し、この検査も成功すれ
ば基地局AP#kが事業者の認めた正規のAPであると
判断し、MT#i−AP#k間の相互認証が完了する。
この検査が失敗した場合にも、最初から認証1を開始す
る。In step S309, the base station AP #
If the certificate Certap # k of k is successfully verified,
The wireless terminal MT # i transmits the base station AP # from the Certap # k.
The public key PKap # k of k is extracted, and this PKap # k
Sigap # k is inspected by using, and if this inspection is also successful, it is determined that the base station AP # k is a legitimate AP recognized by the operator, and mutual authentication between MT # i and AP # k is completed. .
Even if this check fails, authentication 1 is started from the beginning.
【0126】ステップS309で最初から認証1を繰り
返す判定に至った場合、無線端末MT#iはブロードキ
ャストで認証要求1を再度送信する(ステップS30
1)。これに対して、第1回目と同様に基地局AP#
k,AP#1が認証要求応答1を返信してきたとし、し
かも第2回目にも基地局AP#kの方がap#1よりも
使用帯域の空きが大きかったとする。When it is determined in step S309 that the authentication 1 is repeated from the beginning, the wireless terminal MT # i retransmits the authentication request 1 by broadcast (step S30).
1). On the other hand, the base station AP #
It is assumed that k and AP # 1 have returned the authentication request response 1, and that the base station AP # k has a larger available band than ap # 1 in the second time.
【0127】この場合、ステップS302でMT#iは
基地局AP#kを最初に選択するが、これに対してステ
ップS303で、第1回目の判定でNGと判断された基
地局であると判定してそのパケットを破棄する(ステッ
プS303,S311)。そして次の基地局AP#1の
認証要求応答1を採用し、ステップS304″で他に候
補となる基地局がないと判定すれば、この基地局AP#
1の認証要求応答1に対してステップS305以降の処
理を実施する。なお、ステップS305以降の処理は、
図21のフローに示した第2の実施の形態の処理と同様
である。In this case, MT # i first selects the base station AP # k in step S302, but in step S303, it is determined that the base station AP # k is the base station determined to be NG in the first determination. Then, the packet is discarded (steps S303 and S311). Then, if the authentication request response 1 of the next base station AP # 1 is adopted and it is determined in step S304 ″ that there is no other candidate base station, this base station AP # 1
The processing from step S305 is performed on the authentication request response 1 of 1. The processing from step S305 is
This is the same as the processing of the second embodiment shown in the flow of FIG.
【0128】この第4の実施の形態の無線アクセスネッ
トワークによれば、第2の実施の形態と同様、基地局A
P#kが無線端末MT#iの認証が成功するまで事業者
側ネットワークにMT#iによるパケットを送信しない
ので、不正な無線端末による認証を利用した認証サーバ
ASへの攻撃を防止することができ、また、基地局AP
を所有するユーザのアクセス回線が不正に利用されるこ
とも防止することができる。さらに第4の実施の形態の
場合、正規の基地局APを1つ選択することで同一の認
証2用パケットが認証サーバASへ送信されることを防
止できる。加えて、使用帯域の空きが大きい基地局を選
択することで無線通信の応答速度を高めることができ
る。According to the radio access network of the fourth embodiment, like the second embodiment, the base station A
Since P # k does not transmit the packet by MT # i to the carrier side network until the authentication of the wireless terminal MT # i is successful, it is possible to prevent the attack on the authentication server AS using the authentication by the unauthorized wireless terminal. Yes, the base station AP
It is also possible to prevent unauthorized use of the access line of the user who owns the. Furthermore, in the case of the fourth embodiment, by selecting one legitimate base station AP, it is possible to prevent the same authentication 2 packet from being transmitted to the authentication server AS. In addition, the response speed of wireless communication can be increased by selecting a base station with a large available band.
【0129】[第5の実施の形態]次に、本発明の第5
の実施の形態の無線アクセスネットワークについて、説
明する。第5の実施の形態の無線アクセスネットワーク
は、機能構成は第2の実施の形態と同様であるが、図1
7に示した状況、つまり、新規無線端末MT#iが複数
の基地局AP#1,AP#kから同時に、あるいは相前
後して認証要求応答1を受信した場合に、そのすべてを
一旦保持しておき、応答が早い基地局から順に認証1の
処理を実施し、認証1が成功した基地局を選択し、以降
の認証手続きを実行する点に特徴を有する。図24は、
第5の実施の形態において、無線端末MTの基地局選択
処理を含むAP認証フローを示している。その他の処理
は全て第2の実施の形態と共通である。[Fifth Embodiment] Next, the fifth embodiment of the present invention will be described.
The wireless access network according to the embodiment will be described. The wireless access network according to the fifth embodiment has the same functional configuration as that of the second embodiment, but FIG.
When the new wireless terminal MT # i receives the authentication request response 1 from the plurality of base stations AP # 1 and AP # k at the same time or in succession, all of them are temporarily held. It is characterized in that the authentication 1 process is performed in order from the base station having the earliest response, the base station for which the authentication 1 is successful is selected, and the subsequent authentication procedure is executed. Figure 24 shows
In the fifth embodiment, an AP authentication flow including a base station selection process of the wireless terminal MT is shown. All other processing is common to the second embodiment.
【0130】無線端末MTの備える機能構成は、図18
に示す第2の実施の形態と同様である。ただし、基地局
選択機能306が、複数の基地局から認証要求応答1を
受信した場合に、そのすべてを一旦保持しておき、応答
が早い基地局から順に認証1の処理を実施し、認証1が
成功した基地局を選択することにより同じ認証処理が同
時に複数発生してしまうことを防止する点で第2の実施
の形態とは異なる。The functional configuration of the radio terminal MT is shown in FIG.
It is similar to the second embodiment shown in FIG. However, when the base station selection function 306 receives the authentication request responses 1 from a plurality of base stations, all of them are temporarily held and the processing of the authentication 1 is performed in order from the base station with the earliest response to perform the authentication 1 Is different from the second embodiment in that the same authentication process is prevented from occurring at the same time by selecting a successful base station.
【0131】次に、第5の実施の形態の無線アクセスネ
ットワークの動作を、図20の無線端末認証シーケン
ス、図24の無線端末の基地局AP選択処理を含めたA
P認証フローを用いて説明する。Next, the operation of the wireless access network according to the fifth embodiment will be described with reference to the wireless terminal authentication sequence of FIG. 20 and the wireless terminal base station AP selection processing of FIG.
This will be described using the P authentication flow.
【0132】ネットワークに一般ユーザが新規に基地局
AP#kを設置した時、AP#kは事業者が管理する認
証サーバASと認証を行うが、この手続きは第1、第2
の実施の形態と共通であり、図5の認証シーケンス、図
6の認証用パケットペイロードデータ、図7及び図8の
AP−AS間認証フローの通りである。When a general user newly installs the base station AP # k on the network, the AP # k authenticates with the authentication server AS managed by the operator. This procedure is the first and second steps.
5 is common to the embodiment, and is the same as the authentication sequence in FIG. 5, the packet payload data for authentication in FIG. 6, and the AP-AS authentication flow in FIGS. 7 and 8.
【0133】ある無線端末MT#iが基地局APを介し
てネットワークにアクセスしようとしたとき、MT#1
は初めにAPと認証を行う。基地局APはこの認証が成
功するまで無線端末MT#1から送信されたパケットを
事業者側ネットワークNWに転送しない。なお、第5の
実施の形態で用いるMT認証用パケットのペイロードデ
ータは、第1の実施の形態と同様に図10に示すもので
ある。また、AP側から見たMT−AP間認証フローは
図12に、MT−AS間認証フローは図13及び図14
に、中継となる基地局AP#k側のMT−AS間認証フ
ローは図15及び図16にそれぞれ示した第1、第2の
実施の形態のものと同様である。When a radio terminal MT # i tries to access the network via the base station AP, MT # 1
First authenticates with the AP. The base station AP does not transfer the packet transmitted from the wireless terminal MT # 1 to the operator side network NW until this authentication is successful. The payload data of the MT authentication packet used in the fifth embodiment is shown in FIG. 10 as in the first embodiment. Further, the MT-AP authentication flow seen from the AP side is shown in FIG. 12, and the MT-AS authentication flow is shown in FIGS. 13 and 14.
In addition, the MT-AS authentication flow on the side of the base station AP # k which is a relay is the same as that of the first and second embodiments shown in FIGS. 15 and 16, respectively.
【0134】図24に示したMT側から見たMT−AP
間認証フローのステップS401で、ある無線端末MT
#iがネットワークにアクセスしようとしたとき、鍵生
成情報KEmt#iを計算し、その鍵生成情報を添付し
た認証要求1を基地局APへブロードキャストで送信す
る。MT-AP as seen from the MT side shown in FIG.
In step S401 of the inter-authentication flow, a certain wireless terminal MT
When #i tries to access the network, the key generation information KEmt # i is calculated, and the authentication request 1 with the key generation information attached is transmitted by broadcast to the base station AP.
【0135】第1の実施の形態と同様に、図12のフロ
ーのステップS211で、無線端末MT#1から認証要
求1を受信したAP#kは、鍵生成情報KEap#kを
計算し、さらにMT#i−AP#k間の共有鍵Kmt#
i−ap#kを計算する(ステップS212)。さらに
基地局AP#kは、乱数R1を計算し、KEap#k、
R1を添付した認証要求応答1をMT#iへ送信する
(ステップS213)。Similar to the first embodiment, the AP # k that has received the authentication request 1 from the wireless terminal MT # 1 in step S211 of the flow of FIG. 12 calculates the key generation information KEap # k, and further Shared key Kmt # between MT # i and AP # k
i-ap # k is calculated (step S212). Further, the base station AP # k calculates a random number R1 and calculates KEap # k,
Authentication request response 1 with R1 attached is transmitted to MT # i (step S213).
【0136】図17に示した状況では基地局AP#1も
同じ無線端末MT#iからの認証要求1を受信するの
で、同様にして鍵生成情報KEap#1を計算し、MT
#i−AP#1間の共有鍵Kmt#i−ap#1を計算
する(ステップS212)。基地局AP#1はさらに、
乱数R1’を計算し、KEap#1、R1’を添付した
認証要求応答1をMT#iへ基地局AP#kと同様に送
信する(ステップS213)。In the situation shown in FIG. 17, since the base station AP # 1 also receives the authentication request 1 from the same wireless terminal MT # i, the key generation information KEap # 1 is calculated in the same manner, and MT
The shared key Kmt # i-ap # 1 between # i-AP # 1 is calculated (step S212). Base station AP # 1 is
The random number R1 ′ is calculated, and the authentication request response 1 with KEap # 1 and R1 ′ attached is transmitted to MT # i in the same manner as the base station AP # k (step S213).
【0137】図24のフローのステップS402,S4
03で、無線端末MT#iは予め基地局選択機能306
に組み込まれたロジック、つまり、送信後の所定時間内
に受信した認証要求応答1のうち最先に受信した基地局
を選択するというロジックに基づき基地局を選択し、そ
れ以外の認証処理応答1に対する認証処理は保留にす
る。ここでは、基地局AP#kからの認証処理応答1が
最先であったとして説明する。Steps S402 and S4 of the flow shown in FIG.
In 03, the wireless terminal MT # i has previously selected the base station selection function 306.
The base station is selected based on the logic incorporated in the above, that is, the logic which selects the earliest received base station among the authentication request responses 1 received within a predetermined time after transmission, and the other authentication processing responses 1 The authentication process for is suspended. Here, it is assumed that the authentication processing response 1 from the base station AP # k is the earliest.
【0138】基地局AP#1とAP#kとから所定時間
内に認証要求応答1を受信した無線端末MT#iは、最
先に応答してきた基地局AP#kからの認証要求応答1
に対して処理を行う(ステップS402〜S404)。
他の受信した基地局AP#1からの認証処理応答1は、
それよりも先に応答した基地局について認証1が成功す
るまでは保持されるが、先に応答した基地局が選択され
た時点で廃棄することになる。The wireless terminal MT # i, which has received the authentication request response 1 from the base stations AP # 1 and AP # k within a predetermined time, receives the authentication request response 1 from the base station AP # k which has responded first.
Is processed (steps S402 to S404).
The other authentication processing response 1 received from the base station AP # 1 is
It is held until the authentication 1 succeeds for the base station that responded earlier than that, but is discarded when the base station that responded earlier is selected.
【0139】図24のフローのステップS404で基地
局AP#kからの認証要求応答1を選択したMT#i
は、ステップS405で、第1、第2の実施の形態と同
様に、自装置の鍵生成情報KEmt#iと基地局AP#
kの鍵生成情報KEap#kからMT#i−AP#k間
の共有鍵Kmt#i−ap#kを計算する。そして、乱
数R1、自装置の秘密鍵SKmt#iを用いて署名デー
タSigmt#iを計算する(ステップS406)。続
いて、無線端末MT#iは乱数R2を計算し、R2、自
装置の証明書Certmt#i、Sigmt#iを認証
情報1に添付してそのパケットを選択した基地局AP#
kへ送信する(ステップS407)。MT # i which selects the authentication request response 1 from the base station AP # k in step S404 of the flow of FIG.
In step S405, as in the first and second embodiments, the key generation information KEmt # i of the own device and the base station AP # are transmitted.
The shared key Kmt # i-ap # k between MT # i-AP # k is calculated from the key generation information KEap # k of k. Then, the signature data Sigmat # i is calculated using the random number R1 and the private key SKmt # i of the own device (step S406). Then, the wireless terminal MT # i calculates a random number R2, attaches R2, the certificate Certmt # i, and Sigmat # i of its own device to the authentication information 1 and selects the packet from the base station AP #.
It is transmitted to k (step S407).
【0140】図12のフローのステップS214で、無
線端末MT#iからの認証情報1を受信した基地局AP
#kは、以降、第1、第2の実施の形態と同様の処理を
実行し、基地局MT#iが正規のMTであると判断すれ
ば、認証結果1をMT#iへ送信し(ステップS215
〜S217)、またMT#iの認証が成功した時点でM
T#iから送信される認証2用パケットのASへの転送
を許可する(ステップS218)。一方、もしMTの検
査に失敗した場合は、認証失敗を示す認証結果1をMT
#iへ送信し、MT#iから送信される認証2用パケッ
トのASへの転送を不許可にする(ステップS219〜
S221)。The base station AP which has received the authentication information 1 from the wireless terminal MT # i in step S214 of the flow of FIG.
After that, #k performs the same processing as in the first and second embodiments, and if it determines that the base station MT # i is a regular MT, it transmits the authentication result 1 to MT # i ( Step S215
~ S217), and M is authenticated when MT # i is successfully authenticated.
The transfer of the authentication 2 packet transmitted from T # i to the AS is permitted (step S218). On the other hand, if the MT inspection fails, the authentication result 1 indicating the authentication failure is MT.
#I, and the transfer of the authentication 2 packet transmitted from MT # i to AS is prohibited (steps S219-).
S221).
【0141】図24のフローのステップS408で基地
局AP#kから認証結果1を受信した無線端末MT#i
は基地局AP#kの証明書Certap#kを検査する
(ステップS409)。この検査が失敗した場合は、当
該パケットを破棄し(ステップS411)、他の基地局
からの認証要求応答1を受信しているかどうか判断する
(ステップS412)。The wireless terminal MT # i which has received the authentication result 1 from the base station AP # k in step S408 of the flow of FIG.
Examines the certificate Certap # k of the base station AP # k (step S409). If this check fails, the packet is discarded (step S411) and it is determined whether the authentication request response 1 from another base station is received (step S412).
【0142】ステップS412で、他の基地局からの認
証要求応答1が残っている場合にはステップS404に
戻り、残っている認証要求応答1のうち応答が最も早か
った基地局を選択し、ステップS405以降の処理を繰
り返す。図17の状況では、最初に基地局AP#1が選
択されることになるが、基地局AP#kの認証が不成功
であれば、続いて応答してきた基地局AP#1につい
て、ステップS405以降の処理が実施されることにな
る。なお、ステップS412において、他の基地局から
の認証要求応答1が残っていない場合には、ステップS
401に戻り、最初から認証1を開始する。In step S412, if the authentication request response 1 from the other base station remains, the process returns to step S404, and the base station that has the earliest response among the remaining authentication request responses 1 is selected, The processing from S405 is repeated. In the situation of FIG. 17, the base station AP # 1 is selected first, but if the authentication of the base station AP # k is unsuccessful, the base station AP # 1 that responds subsequently is subjected to step S405. Subsequent processing will be performed. In step S412, if there is no authentication request response 1 from another base station, step S412 is performed.
Returning to 401, the authentication 1 is started from the beginning.
【0143】ステップS409において、基地局AP#
kの証明書Certap#kの検査が成功した場合は、
無線端末MT#iはCertap#kから基地局AP#
kの公開鍵PKap#kを取り出し、このPKap#k
を用いてSigap#kを検査し、この検査も成功すれ
ば基地局AP#kが事業者の認めた正規のAPであると
判断し、MT#i−AP#k間の相互認証が完了する。
この検査が失敗した場合にも、ステップS411,S4
12を実行し、2番目に応答してきた基地局AP#1か
らの認証要求応答1に対して同様に認証処理を行う。In step S409, the base station AP #
If the certificate Certap # k of k is successfully verified,
The wireless terminal MT # i transmits the base station AP # from the Certap # k.
The public key PKap # k of k is extracted, and this PKap # k
Is used to inspect the Sigap # k, and if this inspection is also successful, it is determined that the base station AP # k is a legitimate AP recognized by the operator, and the mutual authentication between the MT # i and the AP # k is completed. .
Even if this inspection fails, steps S411 and S4
12 is performed, and the authentication process is similarly performed on the authentication request response 1 from the base station AP # 1 which has returned the second response.
【0144】上記の認証1が成功したら、無線端末MT
#iは選択した基地局AP#kを介して認証サーバAS
と認証を行う。このMT−AS間の認証手続きは、第
1、第2の実施の形態と同様であり、MT側のMT−A
S間認証フローは図13に、AP側のMT−AS間認証
フローは図14に、中継となる基地局AP#k側のMT
−AS間認証フローは図15及び図16にそれぞれ示し
たものである。If the above authentication 1 is successful, the wireless terminal MT
#I is the authentication server AS via the selected base station AP # k
And authenticate. This MT-AS authentication procedure is the same as in the first and second embodiments, and MT-A on the MT side is the same.
The S-to-S authentication flow is shown in FIG. 13, the AP-side MT-AS authentication flow is shown in FIG. 14, and the relay base station AP # k-side MT is shown.
The inter-AS authentication flow is shown in FIGS. 15 and 16, respectively.
【0145】この第5の実施の形態の無線アクセスネッ
トワークによれば、第1の実施の形態と同様、基地局A
P#kが無線端末MT#iの認証が成功するまで事業者
側ネットワークにMT#iによるパケットを送信しない
ので、不正な無線端末による認証を利用した認証サーバ
ASへの攻撃を防止することができ、また、基地局AP
を所有するユーザのアクセス回線が不正に利用されるこ
とも防止することができる。さらに第5の実施の形態の
場合、正規の基地局APを1つ選択することで同一の認
証2用パケットが認証サーバASへ送信されることを防
止できる。加えて、最先に応答した基地局から優先的に
選択することで無線通信の応答速度を速めることがで
き、複数の基地局からの応答を無線端末側で一旦保持し
ておいて応答の時間的に早かったものから優先して認証
処理を実施するので、第3の実施の形態の場合よりも通
信処理が迅速化できる。According to the radio access network of the fifth embodiment, like the first embodiment, the base station A
Since P # k does not transmit the packet by MT # i to the carrier side network until the authentication of the wireless terminal MT # i is successful, it is possible to prevent the attack on the authentication server AS using the authentication by the unauthorized wireless terminal. Yes, the base station AP
It is also possible to prevent unauthorized use of the access line of the user who owns the. Furthermore, in the case of the fifth embodiment, by selecting one legitimate base station AP, it is possible to prevent the same authentication 2 packet from being transmitted to the authentication server AS. In addition, the response speed of wireless communication can be increased by preferentially selecting from the base station that responded first, and the response time from the response from multiple base stations can be held once on the wireless terminal side. Since the authentication process is preferentially performed from the one that is earlier, the communication process can be performed faster than in the case of the third embodiment.
【0146】[第6の実施の形態]次に、本発明の第6
の実施の形態の無線アクセスネットワークについて、説
明する。第6の実施の形態の無線アクセスネットワーク
は、機能構成は第2の実施の形態と同様であるが、図1
7に示した状況、つまり、新規無線端末MT#iが複数
の基地局AP#1,AP#kから同時に、あるいは相前
後して認証要求応答1を受信した場合に、そのすべてを
一旦保持しておき、応答信号の受信レベルが高い基地局
から順に認証1の処理を実施し、認証1が成功した基地
局を選択し、以降の認証手続きを実行する点に特徴を有
する。図25は、第6の実施の形態において、無線端末
MTの基地局選択処理を含むAP認証フローを示してい
る。その他の処理は全て第2の実施の形態と共通であ
る。[Sixth Embodiment] Next, the sixth embodiment of the present invention will be described.
The wireless access network according to the embodiment will be described. The functional configuration of the radio access network of the sixth embodiment is the same as that of the second embodiment, but FIG.
When the new wireless terminal MT # i receives the authentication request response 1 from the plurality of base stations AP # 1 and AP # k at the same time or in succession, all of them are temporarily held. It is characterized in that the authentication 1 process is performed in order from the base station having the highest reception level of the response signal, the base station with the successful authentication 1 is selected, and the subsequent authentication procedure is executed. FIG. 25 shows an AP authentication flow including a base station selection process of the wireless terminal MT in the sixth embodiment. All other processing is common to the second embodiment.
【0147】無線端末MTの備える機能構成は、図18
に示す第2の実施の形態と同様である。ただし、基地局
選択機能306が、複数の基地局から認証要求応答1を
受信した場合に、そのすべてを一旦保持しておき、応答
信号の受信レベルが高い基地局から順に認証1の処理を
実施し、認証1が成功した基地局を選択することにより
同じ認証処理が同時に複数発生してしまうことを防止す
る点で第2の実施の形態とは異なる。The functional configuration of the radio terminal MT is shown in FIG.
It is similar to the second embodiment shown in FIG. However, when the base station selection function 306 receives the authentication request responses 1 from a plurality of base stations, all of them are temporarily held and the processing of the authentication 1 is performed in order from the base station having a higher response signal reception level. However, it is different from the second embodiment in that the same authentication process is prevented from occurring at the same time by selecting the base station for which the authentication 1 has been successful.
【0148】次に、第6の実施の形態の無線アクセスネ
ットワークの動作を、図20の無線端末認証シーケン
ス、図25の無線端末の基地局AP選択処理を含めたA
P認証フローを用いて説明する。Next, the operation of the wireless access network according to the sixth embodiment will be described in A including the wireless terminal authentication sequence of FIG. 20 and the wireless terminal base station AP selection processing of FIG.
This will be described using the P authentication flow.
【0149】ネットワークに一般ユーザが新規に基地局
AP#kを設置した時、AP#kは事業者が管理する認
証サーバASと認証を行うが、この手続きは第1、第2
の実施の形態と共通であり、図5の認証シーケンス、図
6の認証用パケットペイロードデータ、図7及び図8の
AP−AS間認証フローの通りである。When a general user newly installs the base station AP # k on the network, the AP # k authenticates with the authentication server AS managed by the operator. This procedure is the first and second steps.
5 is common to the embodiment, and is the same as the authentication sequence in FIG. 5, the packet payload data for authentication in FIG. 6, and the AP-AS authentication flow in FIGS. 7 and 8.
【0150】ある無線端末MT#iが基地局APを介し
てネットワークにアクセスしようとしたとき、MT#1
は初めにAPと認証を行う。基地局APはこの認証が成
功するまで無線端末MT#1から送信されたパケットを
事業者側ネットワークNWに転送しない。なお、第6の
実施の形態で用いるMT認証用パケットのペイロードデ
ータは、第1の実施の形態と同様に図10に示すもので
ある。また、AP側から見たMT−AP間認証フローは
図12に、MT−AS間認証フローは図13及び図14
に、中継となる基地局AP#k側のMT−AS間認証フ
ローは図15及び図16にそれぞれ示した第1、第2の
実施の形態のものと同様である。When a wireless terminal MT # i tries to access the network via the base station AP, MT # 1
First authenticates with the AP. The base station AP does not transfer the packet transmitted from the wireless terminal MT # 1 to the operator side network NW until this authentication is successful. The payload data of the MT authentication packet used in the sixth embodiment is shown in FIG. 10 as in the first embodiment. Further, the MT-AP authentication flow seen from the AP side is shown in FIG. 12, and the MT-AS authentication flow is shown in FIGS. 13 and 14.
In addition, the MT-AS authentication flow on the side of the base station AP # k which is a relay is the same as that of the first and second embodiments shown in FIGS. 15 and 16, respectively.
【0151】図25に示したMT側から見たMT−AP
間認証フローのステップS401で、ある無線端末MT
#iがネットワークにアクセスしようとしたとき、鍵生
成情報KEmt#iを計算し、その鍵生成情報を添付し
た認証要求1を基地局APへブロードキャストで送信す
る。MT-AP as seen from the MT side shown in FIG.
In step S401 of the inter-authentication flow, a certain wireless terminal MT
When #i tries to access the network, the key generation information KEmt # i is calculated, and the authentication request 1 with the key generation information attached is transmitted by broadcast to the base station AP.
【0152】第1の実施の形態と同様に、図12のフロ
ーのステップS211で、無線端末MT#1から認証要
求1を受信したAP#kは、鍵生成情報KEap#kを
計算し、さらにMT#i−AP#k間の共有鍵Kmt#
i−ap#kを計算する(ステップS212)。さらに
基地局AP#kは、乱数R1を計算し、KEap#k、
R1を添付した認証要求応答1をMT#iへ送信する
(ステップS213)。Similar to the first embodiment, the AP # k that has received the authentication request 1 from the wireless terminal MT # 1 in step S211 of the flow of FIG. 12 calculates the key generation information KEap # k, and further Shared key Kmt # between MT # i and AP # k
i-ap # k is calculated (step S212). Further, the base station AP # k calculates a random number R1 and calculates KEap # k,
Authentication request response 1 with R1 attached is transmitted to MT # i (step S213).
【0153】図17に示した状況では基地局AP#1も
同じ無線端末MT#iからの認証要求1を受信するの
で、同様にして鍵生成情報KEap#1を計算し、MT
#i−AP#1間の共有鍵Kmt#i−ap#1を計算
する(ステップS212)。基地局AP#1はさらに、
乱数R1’を計算し、KEap#1、R1’を添付した
認証要求応答1をMT#iへ基地局AP#kと同様に送
信する(ステップS213)。In the situation shown in FIG. 17, since the base station AP # 1 also receives the authentication request 1 from the same wireless terminal MT # i, the key generation information KEap # 1 is calculated in the same manner and MT
The shared key Kmt # i-ap # 1 between # i-AP # 1 is calculated (step S212). Base station AP # 1 is
The random number R1 ′ is calculated, and the authentication request response 1 with KEap # 1 and R1 ′ attached is transmitted to MT # i in the same manner as the base station AP # k (step S213).
【0154】図25のフローのステップS402,S4
03で、無線端末MT#iは予め基地局選択機能306
に組み込まれたロジック、つまり、送信後の所定時間内
に受信した認証要求応答1のうち受信レベルが最も高い
基地局を選択するというロジックに基づき基地局を選択
し、それ以外の認証処理応答1に対する認証処理は保留
にする。ここでは、基地局AP#kからの認証処理応答
1の受信レベルが最高であったとして説明する。Steps S402 and S4 in the flow of FIG.
In 03, the wireless terminal MT # i has previously selected the base station selection function 306.
A base station is selected based on the logic incorporated in the above, that is, the base station is selected based on the logic that the base station with the highest reception level is selected from the authentication request responses 1 received within a predetermined time after transmission, and the other authentication processing responses 1 The authentication process for is suspended. Here, it is assumed that the reception level of the authentication processing response 1 from the base station AP # k is the highest.
【0155】基地局AP#1とAP#kとから所定時間
内に認証要求応答1を受信した無線端末MT#iは、受
信レベルが高い方の基地局AP#kからの認証要求応答
1に対して処理を行う(ステップS402〜S40
4′)。他の受信した基地局AP#1からの認証処理応
答1は、それよりも受信レベルが高い他の基地局につい
て認証1が成功するまでは保持されるが、受信レベルが
高い他の基地局が選択された時点で廃棄することにな
る。The wireless terminal MT # i, which has received the authentication request response 1 from the base stations AP # 1 and AP # k within a predetermined time, receives the authentication request response 1 from the base station AP # k having the higher reception level. Then, the processing is performed (steps S402 to S40).
4 '). The authentication processing response 1 from the other received base station AP # 1 is held until the authentication 1 succeeds with respect to the other base station having a higher reception level, but the other base station having a higher reception level It will be discarded when selected.
【0156】図25のフローのステップS404′で基
地局AP#kからの認証要求応答1を選択したMT#i
は、ステップS405で、第1、第2の実施の形態と同
様に、自装置の鍵生成情報KEmt#iと基地局AP#
kの鍵生成情報KEap#kからMT#i−AP#k間
の共有鍵Kmt#i−ap#kを計算する。そして、乱
数R1、自装置の秘密鍵SKmt#iを用いて署名デー
タSigmt#iを計算する(ステップS406)。続
いて、無線端末MT#iは乱数R2を計算し、R2、自
装置の証明書Certmt#i、Sigmt#iを認証
情報1に添付してそのパケットを選択した基地局AP#
kへ送信する(ステップS407)。MT # i which selects the authentication request response 1 from the base station AP # k in step S404 'of the flow of FIG.
In step S405, as in the first and second embodiments, the key generation information KEmt # i of the own device and the base station AP # are transmitted.
The shared key Kmt # i-ap # k between MT # i-AP # k is calculated from the key generation information KEap # k of k. Then, the signature data Sigmat # i is calculated using the random number R1 and the private key SKmt # i of the own device (step S406). Then, the wireless terminal MT # i calculates a random number R2, attaches R2, the certificate Certmt # i, and Sigmat # i of its own device to the authentication information 1 and selects the packet from the base station AP #.
It is transmitted to k (step S407).
【0157】図12のフローのステップS214で、無
線端末MT#iからの認証情報1を受信した基地局AP
#kは、以降、第1、第2の実施の形態と同様の処理を
実行し、基地局MT#iが正規のMTであると判断すれ
ば、認証結果1をMT#iへ送信し(ステップS215
〜S217)、またMT#iの認証が成功した時点でM
T#iから送信される認証2用パケットのASへの転送
を許可する(ステップS218)。一方、もしMTの検
査に失敗した場合は、認証失敗を示す認証結果1をMT
#iへ送信し、MT#iから送信される認証2用パケッ
トのASへの転送を不許可にする(ステップS219〜
S221)。The base station AP which has received the authentication information 1 from the wireless terminal MT # i in step S214 of the flow of FIG.
After that, #k performs the same processing as in the first and second embodiments, and if it determines that the base station MT # i is a regular MT, it transmits the authentication result 1 to MT # i ( Step S215
~ S217), and M is authenticated when MT # i is successfully authenticated.
The transfer of the authentication 2 packet transmitted from T # i to the AS is permitted (step S218). On the other hand, if the MT inspection fails, the authentication result 1 indicating the authentication failure is MT.
#I, and the transfer of the authentication 2 packet transmitted from MT # i to AS is prohibited (steps S219-).
S221).
【0158】図25のフローのステップS408で基地
局AP#kから認証結果1を受信した無線端末MT#i
は基地局AP#kの証明書Certap#kを検査する
(ステップS409)。この検査が失敗した場合は、当
該パケットを破棄し(ステップS411)、他の基地局
からの認証要求応答1を受信しているかどうか判断する
(ステップS412)。The wireless terminal MT # i which has received the authentication result 1 from the base station AP # k in step S408 of the flow shown in FIG.
Examines the certificate Certap # k of the base station AP # k (step S409). If this check fails, the packet is discarded (step S411) and it is determined whether the authentication request response 1 from another base station is received (step S412).
【0159】ステップS412で、他の基地局からの認
証要求応答1が残っている場合にはステップS404′
に戻り、残っている認証要求応答1のうち応答信号の受
信レベルが最も高い基地局を選択し、ステップS405
以降の処理を繰り返す。図17の状況では、最初に基地
局AP#1が選択されることになるが、基地局AP#k
の認証が不成功であれば、次の受信レベルが高い基地局
AP#1について、ステップS405以降の処理が実施
されることになる。なお、ステップS412において、
他の基地局からの認証要求応答1が残っていない場合に
は、すべてのパケットを破棄し、ステップS401に戻
り、最初から認証1を開始する。If the authentication request response 1 from the other base station remains in step S412, step S404 '.
Returning to step S405, the base station having the highest reception level of the response signal is selected from the remaining authentication request responses 1 and step S405.
The subsequent processing is repeated. In the situation of FIG. 17, the base station AP # 1 is selected first, but the base station AP # k is selected.
If the authentication of 1 is unsuccessful, the processing of step S405 and subsequent steps will be performed for the next base station AP # 1 having a high reception level. In step S412,
When the authentication request response 1 from another base station does not remain, all packets are discarded, the process returns to step S401, and authentication 1 is started from the beginning.
【0160】ステップS409において、基地局AP#
kの証明書Certap#kの検査が成功した場合は、
無線端末MT#iはCertap#kから基地局AP#
kの公開鍵PKap#kを取り出し、このPKap#k
を用いてSigap#kを検査し、この検査も成功すれ
ば基地局AP#kが事業者の認めた正規のAPであると
判断し、MT#i−AP#k間の相互認証が完了する。
この検査が失敗した場合にも、ステップS411,S4
12を実行し、応答信号の受信レベルが2番目に高い基
地局AP#1からの認証要求応答1に対して同様に認証
処理を行う。At step S409, the base station AP #
If the certificate Certap # k of k is successfully verified,
The wireless terminal MT # i transmits the base station AP # from the Certap # k.
The public key PKap # k of k is extracted, and this PKap # k
Is used to inspect the Sigap # k, and if this inspection is also successful, it is determined that the base station AP # k is a legitimate AP recognized by the operator, and the mutual authentication between the MT # i and the AP # k is completed. .
Even if this inspection fails, steps S411 and S4
12 is performed, and the authentication process is similarly performed on the authentication request response 1 from the base station AP # 1 having the second highest reception level of the response signal.
【0161】上記の認証1が成功したら、無線端末MT
#iは選択した基地局AP#kを介して認証サーバAS
と認証を行う。このMT−AS間の認証手続きは、第
1、第2の実施の形態と同様であり、MT側のMT−A
S間認証フローは図13に、AP側のMT−AS間認証
フローは図14に、中継となる基地局AP#k側のMT
−AS間認証フローは図15及び図16にそれぞれ示し
たものである。If the above authentication 1 is successful, the wireless terminal MT
#I is the authentication server AS via the selected base station AP # k
And authenticate. This MT-AS authentication procedure is the same as in the first and second embodiments, and MT-A on the MT side is the same.
The S-to-S authentication flow is shown in FIG. 13, the AP-side MT-AS authentication flow is shown in FIG. 14, and the relay base station AP # k-side MT is shown.
The inter-AS authentication flow is shown in FIGS. 15 and 16, respectively.
【0162】この第6の実施の形態の無線アクセスネッ
トワークによれば、第1の実施の形態と同様、基地局A
P#kが無線端末MT#iの認証が成功するまで事業者
側ネットワークにMT#iによるパケットを送信しない
ので、不正な無線端末による認証を利用した認証サーバ
ASへの攻撃を防止することができ、また、基地局AP
を所有するユーザのアクセス回線が不正に利用されるこ
とも防止することができる。さらに第6の実施の形態の
場合、正規の基地局APを1つ選択することで同一の認
証2用パケットが認証サーバASへ送信されることを防
止できる。加えて、応答信号の受信レベルが高い基地局
から優先的に選択することで無線通信の信頼性を高める
ことができ、しかも複数の基地局からの応答を無線端末
側で一旦保持しておいて応答信号の受信レベルの高いも
のから優先して認証処理を実施するので、第2の実施の
形態の場合よりも通信処理が迅速化できる。According to the radio access network of the sixth embodiment, like the first embodiment, the base station A
Since P # k does not transmit the packet by MT # i to the carrier side network until the authentication of the wireless terminal MT # i is successful, it is possible to prevent the attack on the authentication server AS using the authentication by the unauthorized wireless terminal. Yes, the base station AP
It is also possible to prevent unauthorized use of the access line of the user who owns the. Furthermore, in the case of the sixth embodiment, it is possible to prevent the same authentication 2 packet from being transmitted to the authentication server AS by selecting one regular base station AP. In addition, the reliability of wireless communication can be improved by preferentially selecting a base station with a high reception level of a response signal, and the responses from a plurality of base stations can be temporarily stored on the wireless terminal side. Since the authentication process is performed with priority given to the response signal having the highest reception level, the communication process can be speeded up as compared with the case of the second embodiment.
【0163】[第7の実施の形態]次に、本発明の第7
の実施の形態の無線アクセスネットワークについて、説
明する。第7の実施の形態の無線アクセスネットワーク
は、機能構成は第2の実施の形態と同様であるが、図1
7に示した状況、つまり、新規無線端末MT#iが複数
の基地局AP#1,AP#kから同時に、あるいは相前
後して認証要求応答1を受信した場合に、そのすべてを
一旦保持しておき、各基地局の帯域使用状況を確認し、
帯域の空きが大きい基地局から順に認証1の処理を実施
し、認証1が成功した基地局を選択し、以降の認証手続
きを実行する点に特徴を有する。図26は、第7の実施
の形態において、無線端末MTの基地局選択処理を含む
AP認証フローを示している。その他の処理は全て第2
の実施の形態と共通である。[Seventh Embodiment] Next, the seventh embodiment of the present invention will be described.
The wireless access network according to the embodiment will be described. The wireless access network according to the seventh embodiment has the same functional configuration as that of the second embodiment, but FIG.
When the new wireless terminal MT # i receives the authentication request response 1 from the plurality of base stations AP # 1 and AP # k at the same time or in succession, all of them are temporarily held. Check the bandwidth usage status of each base station,
It is characterized in that the processing of authentication 1 is performed in order from the base station with the largest free band, the base station for which authentication 1 is successful is selected, and the subsequent authentication procedure is executed. FIG. 26 shows an AP authentication flow including a base station selection process of the wireless terminal MT in the seventh embodiment. All other processing is second
This embodiment is common to the embodiment.
【0164】無線端末MTの備える機能構成は、図18
に示す第2の実施の形態と同様である。ただし、基地局
選択機能306が、複数の基地局から認証要求応答1を
受信した場合に、そのすべてを一旦保持しておき、帯域
の空きが大きい基地局から順に認証1の処理を実施し、
認証1が成功した基地局を選択することにより同じ認証
処理が同時に複数発生してしまうことを防止する点で第
2の実施の形態とは異なる。The functional configuration of the radio terminal MT is shown in FIG.
It is similar to the second embodiment shown in FIG. However, when the base station selection function 306 receives the authentication request response 1 from a plurality of base stations, all of them are temporarily held, and the processing of the authentication 1 is performed in order from the base station with the largest free band,
This is different from the second embodiment in that the same authentication process is prevented from occurring at the same time by selecting a base station for which authentication 1 has succeeded.
【0165】次に、第7の実施の形態の無線アクセスネ
ットワークの動作を、図20の無線端末認証シーケン
ス、図26の無線端末の基地局AP選択処理を含めたA
P認証フローを用いて説明する。Next, the operation of the wireless access network according to the seventh embodiment will be described in A including the wireless terminal authentication sequence of FIG. 20 and the base station AP selection processing of the wireless terminal of FIG.
This will be described using the P authentication flow.
【0166】ネットワークに一般ユーザが新規に基地局
AP#kを設置した時、AP#kは事業者が管理する認
証サーバASと認証を行うが、この手続きは第1、第2
の実施の形態と共通であり、図5の認証シーケンス、図
6の認証用パケットペイロードデータ、図7及び図8の
AP−AS間認証フローの通りである。When a general user newly installs the base station AP # k on the network, the AP # k authenticates with the authentication server AS managed by the operator. This procedure is the first and second steps.
5 is common to the embodiment, and is the same as the authentication sequence in FIG. 5, the packet payload data for authentication in FIG. 6, and the AP-AS authentication flow in FIGS. 7 and 8.
【0167】ある無線端末MT#iが基地局APを介し
てネットワークにアクセスしようとしたとき、MT#1
は初めにAPと認証を行う。基地局APはこの認証が成
功するまで無線端末MT#1から送信されたパケットを
事業者側ネットワークNWに転送しない。なお、第7の
実施の形態で用いるMT認証用パケットのペイロードデ
ータは、第1の実施の形態と同様に図10に示すもので
ある。また、AP側から見たMT−AP間認証フローは
図12に、MT−AS間認証フローは図13及び図14
に、中継となる基地局AP#k側のMT−AS間認証フ
ローは図15及び図16にそれぞれ示した第1、第2の
実施の形態のものと同様である。When a wireless terminal MT # i attempts to access the network via the base station AP, MT # 1
First authenticates with the AP. The base station AP does not transfer the packet transmitted from the wireless terminal MT # 1 to the operator side network NW until this authentication is successful. The payload data of the MT authentication packet used in the seventh embodiment is as shown in FIG. 10 as in the first embodiment. Further, the MT-AP authentication flow seen from the AP side is shown in FIG. 12, and the MT-AS authentication flow is shown in FIGS. 13 and 14.
In addition, the MT-AS authentication flow on the side of the base station AP # k which is a relay is the same as that of the first and second embodiments shown in FIGS. 15 and 16, respectively.
【0168】図26に示したMT側から見たMT−AP
間認証フローのステップS401で、ある無線端末MT
#iがネットワークにアクセスしようとしたとき、鍵生
成情報KEmt#iを計算し、その鍵生成情報を添付し
た認証要求1を基地局APへブロードキャストで送信す
る。MT-AP as seen from the MT side shown in FIG.
In step S401 of the inter-authentication flow, a certain wireless terminal MT
When #i tries to access the network, the key generation information KEmt # i is calculated, and the authentication request 1 with the key generation information attached is transmitted by broadcast to the base station AP.
【0169】第1の実施の形態と同様に、図12のフロ
ーのステップS211で、無線端末MT#1から認証要
求1を受信したAP#kは、鍵生成情報KEap#kを
計算し、さらにMT#i−AP#k間の共有鍵Kmt#
i−ap#kを計算する(ステップS212)。さらに
基地局AP#kは、乱数R1を計算し、KEap#k、
R1を添付した認証要求応答1をMT#iへ送信する
(ステップS213)。Similarly to the first embodiment, the AP # k which has received the authentication request 1 from the wireless terminal MT # 1 in step S211 of the flow of FIG. 12 calculates the key generation information KEap # k, and further Shared key Kmt # between MT # i and AP # k
i-ap # k is calculated (step S212). Further, the base station AP # k calculates a random number R1 and calculates KEap # k,
Authentication request response 1 with R1 attached is transmitted to MT # i (step S213).
【0170】図17に示した状況では基地局AP#1も
同じ無線端末MT#iからの認証要求1を受信するの
で、同様にして鍵生成情報KEap#1を計算し、MT
#i−AP#1間の共有鍵Kmt#i−ap#1を計算
する(ステップS212)。基地局AP#1はさらに、
乱数R1’を計算し、KEap#1、R1’を添付した
認証要求応答1をMT#iへ基地局AP#kと同様に送
信する(ステップS213)。In the situation shown in FIG. 17, since the base station AP # 1 also receives the authentication request 1 from the same wireless terminal MT # i, the key generation information KEap # 1 is calculated similarly and MT
The shared key Kmt # i-ap # 1 between # i-AP # 1 is calculated (step S212). Base station AP # 1 is
The random number R1 ′ is calculated, and the authentication request response 1 with KEap # 1 and R1 ′ attached is transmitted to MT # i in the same manner as the base station AP # k (step S213).
【0171】図26のフローのステップS402,S4
03で、無線端末MT#iは予め基地局選択機能306
に組み込まれたロジック、つまり、送信後の所定時間内
に受信した認証要求応答1のうち帯域の空きが最も大き
い基地局を選択するというロジックに基づき基地局を選
択し、それ以外の認証処理応答1に対する認証処理は保
留にする。ここでは、基地局AP#kの帯域の空きが最
も大きいとして説明する。Steps S402 and S4 of the flow shown in FIG.
In 03, the wireless terminal MT # i has previously selected the base station selection function 306.
The base station is selected based on the logic incorporated in the above, that is, the base station having the largest free band in the authentication request response 1 received within a predetermined time after transmission is selected, and the other authentication processing responses are selected. The authentication process for 1 is put on hold. Here, it is assumed that the base station AP # k has the largest free band.
【0172】基地局AP#1とAP#kとから所定時間
内に認証要求応答1を受信した無線端末MT#iは、帯
域の空きが大きい方の基地局AP#kからの認証要求応
答1に対して処理を行う(ステップS402〜S40
4″)。他の受信した基地局AP#1からの認証処理応
答1は、帯域の空きがそれよりも大きい他の基地局につ
いて認証1が成功するまでは保持されるが、他の基地局
が選択された時点で廃棄することになる。The wireless terminal MT # i, which has received the authentication request response 1 from the base stations AP # 1 and AP # k within a predetermined time, transmits the authentication request response 1 from the base station AP # k having the larger free band. Is processed (steps S402 to S40)
4 ″). The authentication processing response 1 from the other received base station AP # 1 is held until the authentication 1 succeeds with respect to the other base station having a larger bandwidth, but the other base station Will be discarded when is selected.
【0173】図26のフローのステップS404″で基
地局AP#kからの認証要求応答1を選択したMT#i
は、ステップS405で、第1、第2の実施の形態と同
様に、自装置の鍵生成情報KEmt#iと基地局AP#
kの鍵生成情報KEap#kからMT#i−AP#k間
の共有鍵Kmt#i−ap#kを計算する。そして、乱
数R1、自装置の秘密鍵SKmt#iを用いて署名デー
タSigmt#iを計算する(ステップS406)。続
いて、無線端末MT#iは乱数R2を計算し、R2、自
装置の証明書Certmt#i、Sigmt#iを認証
情報1に添付してそのパケットを選択した基地局AP#
kへ送信する(ステップS407)。MT # i which selects the authentication request response 1 from the base station AP # k in step S404 ″ of the flow of FIG.
In step S405, as in the first and second embodiments, the key generation information KEmt # i of the own device and the base station AP # are transmitted.
The shared key Kmt # i-ap # k between MT # i-AP # k is calculated from the key generation information KEap # k of k. Then, the signature data Sigmat # i is calculated using the random number R1 and the private key SKmt # i of the own device (step S406). Then, the wireless terminal MT # i calculates a random number R2, attaches R2, the certificate Certmt # i, and Sigmat # i of its own device to the authentication information 1 and selects the packet from the base station AP #.
It is transmitted to k (step S407).
【0174】図12のフローのステップS214で、無
線端末MT#iからの認証情報1を受信した基地局AP
#kは、以降、第1、第2の実施の形態と同様の処理を
実行し、基地局MT#iが正規のMTであると判断すれ
ば、認証結果1をMT#iへ送信し(ステップS215
〜S217)、またMT#iの認証が成功した時点でM
T#iから送信される認証2用パケットのASへの転送
を許可する(ステップS218)。一方、もしMTの検
査に失敗した場合は、認証失敗を示す認証結果1をMT
#iへ送信し、MT#iから送信される認証2用パケッ
トのASへの転送を不許可にする(ステップS219〜
S221)。The base station AP which has received the authentication information 1 from the wireless terminal MT # i in step S214 of the flow of FIG.
After that, #k performs the same processing as in the first and second embodiments, and if it determines that the base station MT # i is a regular MT, it transmits the authentication result 1 to MT # i ( Step S215
~ S217), and M is authenticated when MT # i is successfully authenticated.
The transfer of the authentication 2 packet transmitted from T # i to the AS is permitted (step S218). On the other hand, if the MT inspection fails, the authentication result 1 indicating the authentication failure is MT.
#I, and the transfer of the authentication 2 packet transmitted from MT # i to AS is prohibited (steps S219-).
S221).
【0175】図26のフローのステップS408で基地
局AP#kから認証結果1を受信した無線端末MT#i
は基地局AP#kの証明書Certap#kを検査する
(ステップS409)。この検査が失敗した場合は、当
該パケットを破棄し(ステップS411)、他の基地局
からの認証要求応答1を受信しているかどうか判断する
(ステップS412)。The wireless terminal MT # i which has received the authentication result 1 from the base station AP # k in step S408 of the flow of FIG.
Examines the certificate Certap # k of the base station AP # k (step S409). If this check fails, the packet is discarded (step S411) and it is determined whether the authentication request response 1 from another base station is received (step S412).
【0176】ステップS412で、他の基地局からの認
証要求応答1が残っている場合にはステップS404″
に戻り、残っている認証要求応答1のうち帯域の空きが
最も大きい基地局のものを選択し、ステップS405以
降の処理を繰り返す。図17の状況では、最初に基地局
AP#1が選択されることになるが、基地局AP#kの
認証が不成功であれば、次には基地局AP#1につい
て、ステップS405以降の処理が実施されることにな
る。なお、ステップS412において、他の基地局から
の認証要求応答1が残っていない場合には、すべてのパ
ケットを破棄し、ステップS401に戻り、最初から認
証1を開始する。In step S412, if the authentication request response 1 from another base station remains, step S404 ″.
Returning to step 1, the base station having the largest free band is selected from the remaining authentication request responses 1, and the processing from step S405 is repeated. In the situation of FIG. 17, the base station AP # 1 is selected first, but if the authentication of the base station AP # k is unsuccessful, then the base station AP # 1 is processed in step S405 and subsequent steps. Processing will be carried out. In step S412, if the authentication request response 1 from another base station does not remain, all packets are discarded, the process returns to step S401, and authentication 1 is started from the beginning.
【0177】ステップS409において、基地局AP#
kの証明書Certap#kの検査が成功した場合は、
無線端末MT#iはCertap#kから基地局AP#
kの公開鍵PKap#kを取り出し、このPKap#k
を用いてSigap#kを検査し、この検査も成功すれ
ば基地局AP#kが事業者の認めた正規のAPであると
判断し、MT#i−AP#k間の相互認証が完了する。
この検査が失敗した場合にも、ステップS411,S4
12を実行し、帯域の空きが2番目に大きい基地局AP
#1からの認証要求応答1に対して同様に認証処理を行
う。In step S409, the base station AP #
If the certificate Certap # k of k is successfully verified,
The wireless terminal MT # i transmits the base station AP # from the Certap # k.
The public key PKap # k of k is extracted, and this PKap # k
Is used to inspect the Sigap # k, and if this inspection is also successful, it is determined that the base station AP # k is a legitimate AP recognized by the operator, and the mutual authentication between the MT # i and the AP # k is completed. .
Even if this inspection fails, steps S411 and S4
12 and the base station AP with the second largest free band
Authentication processing is similarly performed on the authentication request response 1 from # 1.
【0178】上記の認証1が成功したら、無線端末MT
#iは選択した基地局AP#kを介して認証サーバAS
と認証を行う。このMT−AS間の認証手続きは、第
1、第2の実施の形態と同様であり、MT側のMT−A
S間認証フローは図13に、AP側のMT−AS間認証
フローは図14に、中継となる基地局AP#k側のMT
−AS間認証フローは図15及び図16にそれぞれ示し
たものである。When the above authentication 1 is successful, the wireless terminal MT
#I is the authentication server AS via the selected base station AP # k
And authenticate. This MT-AS authentication procedure is the same as in the first and second embodiments, and MT-A on the MT side is the same.
The S-to-S authentication flow is shown in FIG. 13, the AP-side MT-AS authentication flow is shown in FIG. 14, and the relay base station AP # k-side MT is shown.
The inter-AS authentication flow is shown in FIGS. 15 and 16, respectively.
【0179】この第7の実施の形態の無線アクセスネッ
トワークによれば、第1の実施の形態と同様、基地局A
P#kが無線端末MT#iの認証が成功するまで事業者
側ネットワークにMT#iによるパケットを送信しない
ので、不正な無線端末による認証を利用した認証サーバ
ASへの攻撃を防止することができ、また、基地局AP
を所有するユーザのアクセス回線が不正に利用されるこ
とも防止することができる。さらに第7の実施の形態の
場合、正規の基地局APを1つ選択することで同一の認
証2用パケットが認証サーバASへ送信されることを防
止できる。加えて、使用帯域の空きが大きい基地局から
優先的に選択することで無線通信の応答処理速度を高め
ることができ、しかも複数の基地局からの応答を無線端
末側で一旦保持しておいて帯域の空きが大きいものから
優先して認証処理を実施するので、第4の実施の形態の
場合よりも通信処理が迅速化できる。According to the radio access network of the seventh embodiment, as in the first embodiment, the base station A
Since P # k does not transmit the packet by MT # i to the carrier side network until the authentication of the wireless terminal MT # i is successful, it is possible to prevent the attack on the authentication server AS using the authentication by the unauthorized wireless terminal. Yes, the base station AP
It is also possible to prevent unauthorized use of the access line of the user who owns the. Furthermore, in the case of the seventh embodiment, by selecting one legitimate base station AP, it is possible to prevent the same authentication 2 packet from being transmitted to the authentication server AS. In addition, the response processing speed of wireless communication can be increased by preferentially selecting a base station with a large available band, and the responses from a plurality of base stations can be temporarily stored on the wireless terminal side. Since the authentication process is performed with priority given to the one with the largest free band, the communication process can be speeded up as compared with the case of the fourth embodiment.
【0180】[第8の実施の形態]次に、本発明の第8
の実施の形態の無線アクセスネットワークについて、図
27〜図32を用いて説明する。第8の実施の形態のシ
ステムは、認証サーバASが径路となる無線端末と基地
局の識別子を自装置のデータベースに登録して管理する
機能を備えたことを特徴とする。この認証サーバAS
は、図27、図29に示す機能構成であり、図1に示し
た第1の実施の形態の機能構成に加えて、無線端末移動
管理機能107を備えている。これに対応する基地局M
Tは、図28、図30に示す機能構成であり、図1に示
した第1の実施の形態の機能構成に加えて、リソース開
放機能210を備えている。[Eighth Embodiment] Next, the eighth embodiment of the present invention will be described.
The wireless access network according to the embodiment will be described with reference to FIGS. 27 to 32. The system of the eighth embodiment is characterized in that the authentication server AS has a function of registering and managing the identifiers of the wireless terminal and the base station, which are paths, in the database of the own device. This authentication server AS
27 is a functional configuration shown in FIG. 27 and FIG. 29. In addition to the functional configuration of the first embodiment shown in FIG. 1, a wireless terminal movement management function 107 is provided. Corresponding base station M
T is the functional configuration shown in FIGS. 28 and 30, and is provided with a resource releasing function 210 in addition to the functional configuration of the first embodiment shown in FIG.
【0181】認証サーバASによる無線端末及び基地局
の管理機能は次のように実行される。図31はリソース
開放シーケンス、図32はこのとき使用されるパケット
フォーマットを示している。また、MT登録確認フロー
は図33に示している。The management function of the wireless terminal and the base station by the authentication server AS is executed as follows. FIG. 31 shows a resource releasing sequence, and FIG. 32 shows a packet format used at this time. The MT registration confirmation flow is shown in FIG.
【0182】第1〜第7の実施の形態のいずれかの無線
アクセスネットワークで、新規無線端末MT#iと認証
サーバASと間の相互認証が成功した後、図33のフロ
ーに示すように、認証サーバASはその新規無線端末M
T#iと、無線端末−認証サーバ間認証用パケットの中
継を行った基地局AP1,AP2のそれぞれの識別子I
D(MACアドレスを利用するのが好ましいが、本シス
テムで新規に設定するIDであってもよい)を対でデー
タベースに登録し、管理する(ステップS501)。After mutual authentication between the new wireless terminal MT # i and the authentication server AS succeeds in the wireless access network according to any of the first to seventh embodiments, as shown in the flow of FIG. The authentication server AS uses the new wireless terminal M
Identifiers I of T # i and the base stations AP1 and AP2 that relayed the authentication packet between the wireless terminal and the authentication server
D (preferably using a MAC address, but may be an ID newly set in this system) is registered and managed as a pair in the database (step S501).
【0183】また認証サーバASは、この登録時に、新
規無線端末MT#iの識別子IDがすでにデータベース
に登録されていないかを確認する(ステップS50
2)。もしすでに登録されている場合は、対となる基地
局AP1に対して新規無線端末MT#iが別の基地局A
P2に移動したことを示すリソース開放通知を送信する
(ステップS503)。At the time of this registration, the authentication server AS confirms whether the identifier ID of the new wireless terminal MT # i is already registered in the database (step S50).
2). If already registered, the new wireless terminal MT # i is different from the base station AP1 which is a pair with another base station AP1.
A resource release notification indicating that it has moved to P2 is transmitted (step S503).
【0184】リソース開放通知を受信した基地局AP1
は、リソース開放通知中の無線端末MTの識別子を参照
し、対応するリソースを開放し、リソース完了を認証サ
ーバASに送信する。Base station AP1 which has received the resource release notice
Refers to the identifier of the wireless terminal MT in the resource release notification, releases the corresponding resource, and transmits the resource completion to the authentication server AS.
【0185】これにより、第8の実施の形態の無線アク
セスネットワークでは、認証サーバASが、自身の認証
した無線端末MT#iの移動を管理し、無線端末がある
基地局AP1から別の基地局AP2へ移動した時、無線
端末−認証サーバ間の相互認証が成功した後に、その無
線端末が属していた旧基地局AP1へ当該無線端末MT
#iが移動したことを通知することにより、基地局が一
度は相互認証したがいまでは移動して通信できなくなっ
た無線端末MT#iの記録をいつまでも保持していなく
てもよく、基地局における無線端末の管理データを少な
くでき、それだけ処理の高速化が図れる。As a result, in the wireless access network of the eighth embodiment, the authentication server AS manages the movement of the wireless terminal MT # i authenticated by itself, and the wireless terminal from one base station AP1 to another base station. When moving to AP2, after successful mutual authentication between the wireless terminal and the authentication server, the wireless terminal MT is sent to the old base station AP1 to which the wireless terminal belongs.
By notifying that #i has moved, the base station does not have to keep a record of the wireless terminal MT # i which has once performed mutual authentication but has now moved and cannot communicate. The management data of the terminal can be reduced, and the processing speed can be increased accordingly.
【0186】[第9の実施の形態]本発明の第9の実施
の形態の無線マルチホップネットワークについて、説明
する。図34は本発明の第9の実施の形態の無線マルチ
ホップネットワークの機能構成を示し、図35は認証サ
ーバASの機能構成、図36は基地局MTの機能構成、
図37は無線端末MTの機能構成を示している。第9の
実施の形態の無線マルチホップネットワークは、パケッ
ト中継機能を付加的に備えた無線端末MT、パケット中
継機能を備え、無線端末MTと無線通信する基地局A
P、この基地局APと事業者側有線ネットワークNWを
通じて接続される認証サーバASから構成される。[Ninth Embodiment] A wireless multi-hop network according to a ninth embodiment of the present invention will be described. 34 shows a functional configuration of the wireless multi-hop network according to the ninth embodiment of the present invention, FIG. 35 is a functional configuration of the authentication server AS, FIG. 36 is a functional configuration of the base station MT,
FIG. 37 shows a functional configuration of the wireless terminal MT. The wireless multi-hop network according to the ninth embodiment includes a wireless terminal MT additionally provided with a packet relay function, a base station A provided with a packet relay function and wirelessly communicating with the wireless terminal MT.
P, an authentication server AS connected to the base station AP via the operator side wired network NW.
【0187】この無線マルチホップネットワークは、図
38に示したように、例えば、無線端末MT9は、他の
無線端末MT3,MT2に中継されて基地局AP1にア
クセスし、この基地局AP1からネットワークNWを通
じて認証サーバASに接続され、またその逆の径路でA
Sから無線端末MT9と通信する。In this wireless multi-hop network, as shown in FIG. 38, for example, the wireless terminal MT9 is relayed to the other wireless terminals MT3 and MT2 to access the base station AP1, and from this base station AP1 to the network NW. Through the authentication server AS, and vice versa.
The S communicates with the wireless terminal MT9.
【0188】このため、図34、図35に示すように、
認証サーバASはソフトウェアとして、無線端末MTと
の相互認証を実行する無線端末との認証機能101、認
証した無線端末MTを、データベースを利用して管理す
る無線端末管理機能102、ネットワークNWのパケッ
トを検査する有線区間パケット検査機能103、パケッ
ト判別を行うパケット判別機能104を備え、加えて、
基地局との相互認証を実行する基地局との相互認証機能
105、認証した基地局APを、データベースを利用し
て管理する基地局管理機能106を備えている。Therefore, as shown in FIGS. 34 and 35,
The authentication server AS, as software, includes a wireless terminal authentication function 101 that performs mutual authentication with the wireless terminal MT, a wireless terminal management function 102 that manages the authenticated wireless terminal MT using a database, and a packet of the network NW. A wired section packet inspection function 103 for inspecting and a packet discrimination function 104 for discriminating packets are provided.
A base station mutual authentication function 105 for executing mutual authentication with the base station and a base station management function 106 for managing the authenticated base station AP using a database are provided.
【0189】図34、図36に示すように、基地局AP
はソフトウェアとして、認証サーバAS−無線端末MT
間の認証用パケットの転送を行う認証用パケット転送機
能201、無線ネットワークのパケットを検査する無線
区間パケット検査機能202、有線ネットワークNWの
パケットを検査する有線区間パケット検査機能203、
パケット判別を行うパケット判別機能204、パケット
中継を行うパケット中継機能205を備え、加えて、認
証サーバASとの相互認証を実行する認証サーバとの相
互認証機能206、無線端末MTとの相互認証を実行す
る無線端末との相互認証機能207、受信したパケット
の転送可否を判断するパケット転送判断機能208、認
証した無線端末を、データベースによって管理する無線
端末管理機能209、無線端末選択機能211を備えて
いる。As shown in FIGS. 34 and 36, the base station AP
Is as software, authentication server AS-wireless terminal MT
An authentication packet transfer function 201 for transferring an authentication packet between them, a wireless section packet inspection function 202 for inspecting a packet of a wireless network, a wired section packet inspection function 203 for inspecting a packet of a wired network NW,
A packet discrimination function 204 for discriminating packets and a packet relay function 205 for relaying packets are provided. In addition, a mutual authentication function 206 with an authentication server for executing mutual authentication with the authentication server AS and a mutual authentication with a wireless terminal MT are provided. A mutual authentication function 207 with a wireless terminal to be executed, a packet transfer judgment function 208 for judging whether or not a received packet can be transferred, a wireless terminal management function 209 for managing the authenticated wireless terminal by a database, and a wireless terminal selection function 211 are provided. There is.
【0190】図34、図37に示すように、無線端末M
Tはソフトウェアとして、認証サーバASとの相互認証
を実行する認証サーバとの相互認証機能301、無線ネ
ットワークのパケットを検査する無線区間パケット検査
機能302、パケット判別を行うパケット判別機能30
3、他の無線端末からのパケットを中継するパケット中
継機能304、他の無線端末又は基地局との相互認証を
実行する無線端末との相互認証機能307、複数の無線
端末又は基地局の1つをプロキシ端末として選択する無
線端末選択機能308、プロキシ端末として選択された
場合に認証用パケットを転送する認証用パケット転送機
能309を備えている。As shown in FIGS. 34 and 37, the wireless terminal M
T is software as a mutual authentication function 301 with an authentication server that performs mutual authentication with the authentication server AS, a wireless section packet inspection function 302 that inspects a packet of a wireless network, and a packet determination function 30 that performs packet determination.
3, a packet relay function 304 that relays a packet from another wireless terminal, a mutual authentication function 307 with a wireless terminal that performs mutual authentication with another wireless terminal or a base station, and one of a plurality of wireless terminals or base stations The wireless terminal selection function 308 for selecting a proxy terminal and the authentication packet transfer function 309 for transferring an authentication packet when the proxy terminal is selected.
【0191】次に、上記構成の第9の実施の形態の無線
マルチホップネットワークの動作について、説明する。
図34及び図38に示す無線マルチホップネットワーク
においても、基地局APは事業者また一般ユーザが設置
する。そして本ネットワークの場合、無線端末MTは近
くの基地局だけでなく近くの無線端末に中継させて事業
者ネットワークNWに送信することができる。また、こ
のネットワークを実現するため、各無線端末MTは、他
の無線端末MTから受信したパケット又は基地局APか
ら受信したパケットを、宛先のルート上にある隣接する
MT又はAPへ転送することができる。Next, the operation of the wireless multi-hop network of the ninth embodiment having the above configuration will be described.
Also in the wireless multi-hop networks shown in FIGS. 34 and 38, the base station AP is installed by a business operator or a general user. In the case of this network, the wireless terminal MT can be relayed not only to a nearby base station but also to a nearby wireless terminal and can transmit the relay to the carrier network NW. Further, in order to realize this network, each wireless terminal MT may transfer a packet received from another wireless terminal MT or a packet received from a base station AP to an adjacent MT or AP on the destination route. it can.
【0192】<認証サーバAS−基地局AP間の相互認
証>ネットワークに一般ユーザが新規に基地局AP1を
設置した時、基地局AP1は事業者が管理する認証サー
バASと認証を行う。この認証シーケンスは第1の実施
の形態と同様に図5に示すものであり、認証用パケット
ペイロードデータは図6に示すものである。また、認証
フローも第1の実施の形態と同様で、図7及び図8に示
すものとなる。ただし、基地局APの識別番号が、ここ
では#k=1であり、AP#kに代えてAP1を用い
る。<Mutual Authentication Between Authentication Server AS and Base Station AP> When a general user newly installs the base station AP1 in the network, the base station AP1 authenticates with the authentication server AS managed by the business operator. This authentication sequence is shown in FIG. 5 as in the first embodiment, and the authentication packet payload data is shown in FIG. The authentication flow is also the same as in the first embodiment, and is shown in FIGS. 7 and 8. However, the identification number of the base station AP is # k = 1 here, and AP1 is used instead of AP # k.
【0193】初めに図7のフローのステップS101
で、基地局AP1は鍵生成情報KEap1を計算し、そ
の鍵生成情報を添付した認証要求を送信する。First, step S101 of the flow shown in FIG.
Then, the base station AP1 calculates the key generation information KEap1 and transmits the authentication request to which the key generation information is attached.
【0194】図8のフローのステップS111で、基地
局AP1からの認証要求を受信した認証サーバASは、
鍵生成情報KEasを計算し、KEap1とKEasか
らAP1−AS間の共有鍵Kap1−asを計算する
(ステップS112)。認証サーバASはさらに、乱数
R1を計算し、KEas、R1を添付した認証要求応答
を基地局AP1へ送信する(ステップS113)。At step S111 in the flow of FIG. 8, the authentication server AS that has received the authentication request from the base station AP1
The key generation information KEas is calculated, and the shared key Kap1-as between AP1-AS is calculated from KEap1 and KEas (step S112). The authentication server AS further calculates a random number R1 and transmits an authentication request response with KEas and R1 attached to the base station AP1 (step S113).
【0195】図7のフローのステップS102で、認証
サーバASからの認証要求応答を受信した基地局AP1
は、自装置の鍵生成情報KEap1と認証サーバASの
鍵生成情報KEasからAP1−AS間の共有鍵Kap
1−asを計算し、乱数Rlと自装置の秘密鍵SKap
1を用いて署名データSigap1を計算する(ステッ
プS104)。基地局AP1はさらに乱数R2を計算
し、このR2、自装置の証明書Certap1、そして
Sigap1を認証情報に添付してそのパケットを認証
サーバASへ送信する(ステップS105)。The base station AP1 which has received the authentication request response from the authentication server AS in step S102 of the flow of FIG.
Is the shared key Kap between the AP1-AS and the key generation information KEap1 of its own device and the key generation information KEas of the authentication server AS.
1-as is calculated, the random number Rl and the private key SKap of the own device
The signature data Sigap1 is calculated using 1 (step S104). The base station AP1 further calculates a random number R2, attaches this R2, the certificate Certap1 of its own device, and Sigap1 to the authentication information and transmits the packet to the authentication server AS (step S105).
【0196】図8のフローのステップS114で、基地
局AP1からの認証情報を受信した認証サーバASは、
添付されているCertap1を検査する。もし検査が
失敗した場合は、認証失敗を示す認証結果をAP1へ送
信する(ステップS115,S117,S118)。検
査が成功した場合は、Certap1からAP1の公開
鍵PKap1を取り出し、さらにこのPKap1を用い
てさらに基地局AP1の種名データSigap1を検査
する。もしこの検査が失敗した場合にも、認証失敗を示
す認証結果をAP1へ送信する(ステップS115,S
117,S118)。The authentication server AS which has received the authentication information from the base station AP1 in step S114 of the flow of FIG.
Inspect the attached Certap1. If the inspection fails, the authentication result indicating the authentication failure is transmitted to AP1 (steps S115, S117, S118). If the inspection is successful, the public key PKap1 of AP1 is retrieved from Certap1, and the seed name data Sigap1 of the base station AP1 is further inspected using this PKap1. Even if this inspection fails, the authentication result indicating the authentication failure is transmitted to AP1 (steps S115, S).
117, S118).
【0197】そしてこの検査も成功した場合は、基地局
AP1は正規の基地局であると判断し、ステップS11
5でYESに分岐し、乱数R2、自装置の秘密鍵SKa
sを用いて署名データSigasを計算する(ステップ
S116)。認証サーバASはさらに、自装置の証明書
Certasと署名データSigasを認証結果に添付
し、そのパケットを基地局AP1へ送信する(ステップ
S118)。If this inspection also succeeds, it is determined that the base station AP1 is an authorized base station, and step S11 is performed.
The process branches to YES in step 5, and the random number R2 and the private key SKa of the own device
The signature data Sigas is calculated using s (step S116). The authentication server AS further attaches its own certificate Certas and signature data Sigas to the authentication result, and transmits the packet to the base station AP1 (step S118).
【0198】図7のフローのステップS106で、認証
サーバASからの認証結果を受信した基地局AP1は、
添付されている認証サーバの署名データCertasを
検査する。もし検査が失敗した場合は、最初から認証処
理を開始する(ステップS107でNOに分岐)。この
検査が成功した場合は、認証サーバの証明書Certa
sから認証サーバASの公開鍵PKasを取り出す。基
地局AP1はさらに、取り出した公開鍵PKasを用い
て認証サーバの署名データSigasを検査する。もし
検査が失敗した場合にも、受信した認証結果を破棄し、
最初から認証処理を開始する(ステップS107でNO
に分岐)。検査が成功した場合は、認証サーバASは事
業者が設置した正規の認証サーバであると判断し、AP
1−AS間の相互認証が完了する(ステップS107で
YESに分岐)。The base station AP1 which has received the authentication result from the authentication server AS in step S106 of the flow of FIG.
Check the attached signature data Certas of the authentication server. If the inspection fails, the authentication process is started from the beginning (NO in step S107). If this check is successful, the authentication server's certificate Certa
The public key PKas of the authentication server AS is extracted from s. The base station AP1 further inspects the signature data Sigas of the authentication server using the retrieved public key PKas. If the inspection fails, discard the received authentication result,
The authentication process is started from the beginning (NO in step S107).
Branch to). If the inspection is successful, the authentication server AS determines that it is a legitimate authentication server installed by the business operator, and the AP
Mutual authentication between 1-AS is completed (YES in step S107).
【0199】このようにして認証サーバASが新規の基
地局AP1を認証することで事業者はユーザが設置した
APを把握し、ユーザはそうしたAPを事業者が設置し
たものと同等の安全性を持つとみなして使用することが
できることになる。By thus authenticating the new base station AP1 by the authentication server AS, the business operator grasps the AP installed by the user, and the user has the same level of security as that installed by the business operator. You will be able to use it as if you have it.
【0200】<無線端末MT−MT間の相互認証>図3
8に示したネットワークで、無線端末MT9がネットワ
ークNWに初めてアクセスするとき、近隣の無線端末M
T又は基地局APから認証を受ける。無線端末MT9の
近隣にあるプロキシ端末となる無線端末MTあるいは基
地局APは、MT9から送信されたパケットを、認証1
が成功するまで自装置より先に転送しない。無線端末M
T9の認証シーケンスを図39に示し、認証用パケット
のペイロードデータを図40に示す。<Mutual Authentication Between Wireless Terminals MT-MT> FIG. 3
In the network shown in FIG. 8, when the wireless terminal MT9 accesses the network NW for the first time, the neighboring wireless terminals M
Authentication is received from T or the base station AP. The wireless terminal MT or the base station AP, which is a proxy terminal in the vicinity of the wireless terminal MT9, authenticates the packet transmitted from MT9 with the authentication 1
Will not be transferred before the local device until it succeeds. Wireless terminal M
FIG. 39 shows the authentication sequence of T9, and FIG. 40 shows the payload data of the authentication packet.
【0201】なお、以下では、無線端末MT9の近隣に
は無線端末MT3,MT4,MT8が存在するが、無線
端末MT9は無線端末選択機能308によりMT3を選
択し、このMT3を最初に中継させ(プロキシ端末とす
る)、MT3−MT2−AP1のルートで認証サーバA
Sと相互認証手続きを行うようになるものとして説明す
る。In the following, although the wireless terminals MT3, MT4, MT8 exist near the wireless terminal MT9, the wireless terminal MT9 selects MT3 by the wireless terminal selection function 308 and relays this MT3 first ( Proxy server), authentication server A with the route of MT3-MT2-AP1
It is assumed that the mutual authentication procedure is performed with S.
【0202】図41の無線端末MT9から見た認証フロ
ーにおける最初のステップS601で、無線端末MT9
は乱数R1を生成し、R1を付加した認証要求1をブロ
ードキャストで送信する。図38の状況ではこの認証要
求1は上述したように無線端末MT3,MT4,MT8
によって同時に受信される。At the first step S601 in the authentication flow seen from the wireless terminal MT9 of FIG. 41, the wireless terminal MT9
Generates a random number R1 and broadcasts authentication request 1 with R1 added. In the situation of FIG. 38, this authentication request 1 is transmitted to the wireless terminals MT3, MT4 and MT8 as described above.
Received at the same time.
【0203】図42のフローのステップS611で、無
線端末MT9からの認証要求1を受信した無線端末MT
3は、乱数R2を生成し、自装置の秘密鍵SKmt3と
乱数R1を用いて署名データSigmt3を計算する
(ステップS612)。無線端末MT3は続いて、乱数
R2、Sigmt3、自装置の証明書Certmt3を
付加した認証要求応答1を無線端末MT9に送信する
(ステップS613)。同様に、無線端末MT9からの
認証要求1を受信したMT4、MT8それぞれも認証要
求応答1をMT9に送信する。The wireless terminal MT which has received the authentication request 1 from the wireless terminal MT9 in step S611 of the flow of FIG.
3 generates the random number R2 and calculates the signature data Sigmat3 using the secret key SKmt3 of the own device and the random number R1 (step S612). The wireless terminal MT3 subsequently transmits the authentication request response 1 to which the random number R2, Sigmat3, and the certificate Certmt3 of its own device are added to the wireless terminal MT9 (step S613). Similarly, each of MT4 and MT8 that has received the authentication request 1 from the wireless terminal MT9 also transmits the authentication request response 1 to MT9.
【0204】図41のフローのステップS602で、複
数の無線端末MT3,MT4,MT8からの認証要求応
答1を受信した無線端末MT9は、それぞれに添付され
た証明書(Certmt3,Certmt4,Cert
mt8)を検査する。検査が失敗した場合は、受信した
認証要求応答を破棄する。検査が成功した場合は、その
証明書から公開鍵(PKmt3,PKmt4,PKmt
8)を取り出し、その公開鍵を用いてそれぞれの署名デ
ータ(Sigmt3,Sigmt4、Sigmt8)を
検査する(ステップS603)。The wireless terminal MT9, which has received the authentication request response 1 from the plurality of wireless terminals MT3, MT4, MT8 in step S602 of the flow in FIG. 41, has the certificates (Certmt3, Certmt4, Cert) attached thereto.
Check mt8). If the inspection fails, the received authentication request response is discarded. If the inspection is successful, the public key (PKmt3, PKmt4, PKmt
8) is taken out and each signature data (Sigmat3, Sigmat4, Sigmat8) is inspected using the public key (step S603).
【0205】検査が成功した中継MTが1つもない場合
には、受信した認証要求応答1を破棄し、最初に戻る
(ステップS604でNOに分岐)。If there is no relay MT that has been successfully inspected, the received authentication request response 1 is discarded, and the process returns to the beginning (NO in step S604).
【0206】検査が成功した中継MTが1でもある場合
には、ステップS604でYESに分岐する。そして検
査に成功した中継MTが複数ある場合、その中に基地局
APが含まれていれば基地局を優先的にプロキシ(Pr
oxy)端末として選択し、検査に成功したのが無線端
末ばかりであれば、新規の無線端末MT9は基地局AP
1,AP2までのルート情報RInfoを調べ、APま
でのホップ数が最も小さい1つのMTを選択する。さら
に、候補が複数ある場合にはランダムに候補の中から1
つの中継MTを選択する(ステップS605)。ここで
は無線端末MT3が選択されたものとする。なお、候補
が複数ある場合に、受信信号レベルが最高の無線端末、
あるいは最初に受信した無線端末を選択するようにして
もよい。こうして選択された無線端末MT3は新規無線
端末MT9のProxyMTとなる。If the relay MT that has been successfully tested is also 1, the flow branches to YES at step S604. When there are a plurality of relay MTs that have been successfully inspected, if the base station AP is included in the relay MTs, the base station is preferentially proxied (Pr.
If all the wireless terminals have been successfully selected and successfully tested, the new wireless terminal MT9 is the base station AP.
1, the route information RInfo up to AP2 is checked, and one MT having the smallest number of hops to AP is selected. Furthermore, if there are multiple candidates, 1 is randomly selected from the candidates.
One relay MT is selected (step S605). Here, it is assumed that the wireless terminal MT3 is selected. If there are multiple candidates, the wireless terminal with the highest received signal level,
Alternatively, the first received wireless terminal may be selected. The wireless terminal MT3 thus selected becomes the Proxy MT of the new wireless terminal MT9.
【0207】無線端末MT9は続いて、乱数R2と自装
置の秘密鍵SKmt9を用いて署名データSigmt9
を計算し、これらR2、Sigmt9、自装置の証明書
Certmt9を付加した認証情報1をProxyMT
(ここではMT3)へ送信する(ステップS606,S
607)。The wireless terminal MT9 subsequently uses the random number R2 and the secret key SKmt9 of its own device to generate the signature data Sigmat9.
And the authentication information 1 to which R2, Sigmat9, and the certificate Certmt9 of the own device are added
(Here, MT3) (steps S606, S)
607).
【0208】無線端末MT9により選択された無線端末
MT3は、図42のフローのステップS614でMT9
からの認証情報1を受信すると、新規無線端末MT9の
証明書Certmt9を検査する。もし検査が失敗した
場合は、認証失敗を示す認証結果1をMT9へ送信する
(ステップS615,S618〜S620)。The radio terminal MT3 selected by the radio terminal MT9 is MT9 in step S614 of the flow in FIG.
Upon receiving the authentication information 1 from, the certificate Certmt9 of the new wireless terminal MT9 is checked. If the inspection fails, the authentication result 1 indicating the authentication failure is transmitted to the MT 9 (steps S615, S618 to S620).
【0209】検査が成功した場合は、Certmt9か
ら公開鍵PKmt9を取り出し、この公開鍵PKmt9
を用いて無線端末MT9の署名データSigmt9を検
査する。もしこの検査が失敗した場合にも、無線端末M
T3は認証失敗を示す認証結果1を無線端末MT9へ送
信し、MT3はMT9から送信される認証2用パケット
のAPへの転送を不許可にする(ステップS615,S
618〜S620)。他方、この検査も成功した場合に
は新規MT認証成功とし、認証結果1をMT9に送信す
る(ステップS615,S616)。この時点で無線端
末MT3は無線端末MT9から送信される認証2用パケ
ットのAPへの転送を許可する(ステップS617)。If the check is successful, the public key PKmt9 is extracted from Certmt9, and this public key PKmt9 is extracted.
Is used to inspect the signature data Sigmat9 of the wireless terminal MT9. If this test fails, the wireless terminal M
T3 transmits the authentication result 1 indicating the authentication failure to the wireless terminal MT9, and MT3 prohibits the transfer of the authentication 2 packet transmitted from MT9 to the AP (steps S615, S).
618-S620). On the other hand, if this inspection is also successful, the new MT authentication is successful, and the authentication result 1 is transmitted to the MT 9 (steps S615 and S616). At this time, the wireless terminal MT3 permits transfer of the authentication 2 packet transmitted from the wireless terminal MT9 to the AP (step S617).
【0210】図41のフローのステップS608で無線
端末MT9が認証結果1を受信すれば、無線端末MT9
−MT3間の相互認証が完了する。When the wireless terminal MT9 receives the authentication result 1 in step S608 of the flow in FIG. 41, the wireless terminal MT9
-Mutual authentication between MT3 is completed.
【0211】このようにして無線マルチホップネットワ
ーク中の認証済みの正規の無線端末MT3が新規の無線
端末MT9を認証することで、不正無線端末が認証を装
って送信したパケットがネットワークヘ流入することを
防止できる。また新規無線端末は正規のProxyMT
を1つ選択することで同一の認証2用パケットが複数発
生し、ネットワークNWに転送されることを防止でき
る。In this way, the authenticated legitimate wireless terminal MT3 in the wireless multi-hop network authenticates the new wireless terminal MT9, so that the packet transmitted by the unauthorized wireless terminal pretending to be authenticated flows into the network. Can be prevented. In addition, the new wireless terminal is an authorized ProxyMT
By selecting one, it is possible to prevent a plurality of the same authentication 2 packets from being generated and transferred to the network NW.
【0212】<無線端末MT−認証サーバ間の相互認証
>上記の無線端末間の相互認証1の処理が成功したら、
無線端末MT9は無線端末MT3、基地局AP1を介し
て認証サーバASと相互認証を行うことになる。<Mutual Authentication Between Wireless Terminal MT and Authentication Server> If the above-described mutual authentication 1 between wireless terminals is successful,
The wireless terminal MT9 will perform mutual authentication with the authentication server AS via the wireless terminal MT3 and the base station AP1.
【0213】図43の新規無線端末MT側から見た認証
フローの初めのステップS621で、無線端末MT9は
シーケンス番号SQNを生成し、このSQNと秘密鍵S
Kmt9を用いてパケット検査データPCVを計算し、
これらのSQN、PCVを付加した認証要求2を無線端
末MT3へ送信する(ステップS622)。In the first step S621 of the authentication flow seen from the new wireless terminal MT side in FIG. 43, the wireless terminal MT9 generates the sequence number SQN, and this SQN and secret key S
Calculate the packet inspection data PCV using Kmt9,
The authentication request 2 added with these SQN and PCV is transmitted to the wireless terminal MT3 (step S622).
【0214】図45のProxyMT側から見た認証フ
ローのステップS661で、無線端末MT9からの認証
要求2を受信した無線端末MT3は、それに添付されて
いるPCVをシーケンス番号SQN、公開鍵PKmt9
を用いて検査する(ステップS651)。もし検査が失
敗した場合は、受信した認証要求2を破棄する。検査が
成功した場合は、無線端末MT3はSQNと認証済み装
置に配布されている無線マルチホップネットワークで共
通のネットワーク鍵NK(共有鍵)を用いてパケット検
査データPCVを計算する(ステップS652)。続い
て無線端末MT3は、元のPCVを廃棄し、新しく計算
したPCVを付加した認証要求2をルート上の次装置
(ここでは無線端末MT2)へ送信する(ステップS6
53)。In step S661 of the authentication flow seen from the ProxyMT side of FIG. 45, the wireless terminal MT3 that has received the authentication request 2 from the wireless terminal MT9 uses the PCV attached to it as the sequence number SQN and public key PKmt9.
To inspect (step S651). If the inspection fails, the received authentication request 2 is discarded. If the inspection is successful, the wireless terminal MT3 calculates the packet inspection data PCV using the network key NK (shared key) common to the SQN and the wireless multi-hop network distributed to the authenticated device (step S652). Then, the wireless terminal MT3 discards the original PCV and transmits the authentication request 2 to which the newly calculated PCV is added to the next device on the route (here, the wireless terminal MT2) (step S6).
53).
【0215】図46のフローのステップS671で、中
継となる無線端末MT3は、無線端末MT9からの認証
要求2を受信すれば、シーケンス番号SQNとネットワ
ーク鍵NKを用いてパケット検査データPCVを検査
し、失敗した場合は受信した認証要求2を破棄し、成功
した場合はルート上の次の装置である無線端末MT2へ
パケットをそのまま送信する(ステップS672)。同
様に、次の装置である無線端末MT2も、中継となる無
線端末MT3から認証要求2を受信すれば、SQNとN
Kを用いてPCVを検査し、失敗した場合は受信した認
証要求2を破棄し、成功した場合はルート上の次の装置
である基地局AP1へパケットをそのまま送信する(ス
テップS672)図45のフローのステップS651
で、無線端末MT2から認証要求2を受信した基地局A
P1は、パケット検査データPCVをシーケンス番号S
QN、ネットワーク鍵NKを用いて検査する。もし検査
が失敗した場合は、受信した認証要求2を破棄する。検
査が成功した場合は、SQNと共有鍵Kap1−asを
用いてPCVを計算し(ステップS652)、元のPC
Vを廃棄して新しいPCVを付加した認証要求2を認証
サーバASへ送信する(ステップS653)。In step S671 of the flow of FIG. 46, if the wireless terminal MT3 serving as a relay receives the authentication request 2 from the wireless terminal MT9, it checks the packet inspection data PCV using the sequence number SQN and the network key NK. If it fails, the received authentication request 2 is discarded, and if it succeeds, the packet is directly transmitted to the wireless terminal MT2 that is the next device on the route (step S672). Similarly, if the wireless terminal MT2, which is the next device, receives the authentication request 2 from the wireless terminal MT3 serving as a relay, the SQN and N
The PCV is inspected by using K. If it fails, the received authentication request 2 is discarded, and if it succeeds, the packet is directly transmitted to the base station AP1 which is the next device on the route (step S672). Step S651 of the flow
Then, the base station A that has received the authentication request 2 from the wireless terminal MT2
P1 uses the packet inspection data PCV as the sequence number S
Check using QN and network key NK. If the inspection fails, the received authentication request 2 is discarded. If the check is successful, the PCV is calculated using the SQN and the shared key Kap1-as (step S652), and the original PC
The authentication request 2 in which V is discarded and a new PCV is added is transmitted to the authentication server AS (step S653).
【0216】図44に示されている認証サーバAS側か
ら見た認証フローのステップS631で、基地局AP1
から認証要求2を受信した認証サーバASは、PCVを
SQN、Kap1−asを用いて検査する(ステップS
632)。もし検査が失敗した場合、認証サーバASは
受信した認証要求2を破棄する。検査が成功した場合、
認証サーバASは続いて乱数R3を計算し、シーケンス
番号SQNを生成し、そのSQN、共有鍵Kap1−a
sを用いてパケット検査データPCVを計算し、乱数R
3とSQN、PCVを付加した認証要求応答2を基地局
AP1へ送信する(ステップS633,S634)。In step S631 of the authentication flow seen from the authentication server AS side shown in FIG. 44, the base station AP1
The authentication server AS that has received the authentication request 2 from the PCV checks the PCV using SQN and Kap1-as (step S
632). If the check fails, the authentication server AS discards the received authentication request 2. If the test is successful,
The authentication server AS subsequently calculates a random number R3, generates a sequence number SQN, and then the SQN and shared key Kap1-a.
The packet inspection data PCV is calculated using s, and the random number R
Authentication request response 2 with SQN and PCV added is transmitted to base station AP1 (steps S633 and S634).
【0217】図45のフローのステップS651で、認
証サーバASからの認証要求応答2を受信した基地局A
P1は、シーケンス番号SQN、共有鍵Kap1−as
を用いてパケット検査データPCVを検査する。もし検
査が失敗した場合は受信した認証要求応答2を破棄す
る。検査が成功した場合は、基地局AP1は、シーケン
ス番号SQNとネットワーク鍵NKを用いて新たにパケ
ット検査データPCVを計算し、元のPCVを破棄し、
新たに計算したPCVを付加した認証要求応答2を中継
となる無線端末MT2へ送信する(ステップS652,
S653)。The base station A which has received the authentication request response 2 from the authentication server AS in step S651 of the flow of FIG.
P1 is a sequence number SQN, shared key Kap1-as
To inspect the packet inspection data PCV. If the inspection fails, the received authentication request response 2 is discarded. If the inspection is successful, the base station AP1 newly calculates the packet inspection data PCV using the sequence number SQN and the network key NK, discards the original PCV,
The authentication request response 2 to which the newly calculated PCV is added is transmitted to the wireless terminal MT2 serving as a relay (step S652,
S653).
【0218】図46のフローのステップS671で、基
地局AP1からの認証要求応答2を受信した中継無線端
末MT2は、SQNとNKを用いてPCVを検査し、検
査が失敗した場合は受信した認証要求応答2を破棄し、
検査が成功した場合はそのまま次の中継となる無線端末
MT3へ送信する(ステップS672)。In step S671 of the flow of FIG. 46, the relay wireless terminal MT2 that has received the authentication request response 2 from the base station AP1 inspects the PCV using SQN and NK, and if the inspection fails, the received authentication. Discard request response 2,
If the inspection is successful, it is directly transmitted to the wireless terminal MT3 to be the next relay (step S672).
【0219】ProxyMTとなっている無線端末MT
3は、図45のフローのステップS651で無線端末M
T2からの認証要求応答2を受信すれば、シーケンス番
号SQN、ネットワーク鍵NKを用いてパケット検査デ
ータPCVを検査し、この検査が成功した場合には、S
QNと秘密鍵SKmt3を用いて新たにPCVを計算
し、元のPCVを破棄し、新しいPCVを付加した認証
要求応答2を新規無線端末MT9へ送信する(ステップ
S652,S653)。Wireless terminal MT that is Proxy MT
3 is the wireless terminal M in step S651 of the flow of FIG.
When the authentication request response 2 from T2 is received, the packet inspection data PCV is inspected using the sequence number SQN and the network key NK, and if this inspection is successful, S
The PCN is newly calculated using the QN and the secret key SKmt3, the original PCV is discarded, and the authentication request response 2 with the new PCV added is transmitted to the new wireless terminal MT9 (steps S652 and S653).
【0220】図43のフローのステップS623で、無
線端末MT3からの認証要求応答2を受信した新規無線
端末MT9は、パケット検査データPCVをシーケンス
番号SQN、公開鍵PKmt3を用いて検査する(ステ
ップS624)。もし検査が失敗した場合、無線端末M
T9は受信した認証要求応答2を破棄し、最初から認証
2を開始する。検査が成功した場合、無線端末MT9は
乱数R3、秘密鍵SKmt9を用いて署名データSig
mt9を計算する(ステップS625)。無線端末MT
9は続いて乱数R4を計算し、この乱数R4、自装置の
証明書Certmt9、署名データSigmt9及び上
記と同様の手順で計算したパケット検査データPCVを
認証情報2に付加してそのパケットを無線端末MT3へ
送信する(ステップS626,S627)。The new wireless terminal MT9, which has received the authentication request response 2 from the wireless terminal MT3 in step S623 of the flow in FIG. 43, inspects the packet inspection data PCV using the sequence number SQN and the public key PKmt3 (step S624). ). If the test fails, the wireless terminal M
At T9, the received authentication request response 2 is discarded and authentication 2 is started from the beginning. If the inspection is successful, the wireless terminal MT9 uses the random number R3 and the secret key SKmt9 to generate the signature data Sig.
mt9 is calculated (step S625). Wireless terminal MT
9 subsequently calculates a random number R4, adds the random number R4, the certificate Certmt9 of the device itself, the signature data Sigmat9, and the packet inspection data PCV calculated by the same procedure as above to the authentication information 2 and adds the packet to the wireless terminal. The data is transmitted to MT3 (steps S626 and S627).
【0221】図45のフローのステップS651で、認
証情報2を受信したProxy無線端末MT3は、PC
Vを検査し、結果が正しければ新しいPCVを付加して
認証情報2を次の中継とする無線端末MT2へ送信する
(ステップS652,S653)。The Proxy wireless terminal MT3 which has received the authentication information 2 in step S651 of the flow of FIG.
V is checked, and if the result is correct, a new PCV is added and the authentication information 2 is transmitted to the wireless terminal MT2 to be the next relay (steps S652 and S653).
【0222】次の中継となる無線端末MT2は、図46
のフローのステップS671で無線端末MT3からの認
証情報2を受信すれば、PCVを検査し、検査結果が正
しければそのまま認証結果2を基地局AP1へ送信する
(ステップS672)。The next relay wireless terminal MT2 is shown in FIG.
When the authentication information 2 from the wireless terminal MT3 is received in step S671 of the flow of FIG. 7, the PCV is inspected, and if the inspection result is correct, the authentication result 2 is transmitted to the base station AP1 as it is (step S672).
【0223】図45のフローのステップS651で、無
線端末MT2からの認証情報2を受信した基地局AP1
は、PCVを検査し、結果が正しければ新しいPCVを
付加して認証結果2のパケットを認証サーバASへ送信
する(ステップS652,S653)。[0223] The base station AP1 which has received the authentication information 2 from the wireless terminal MT2 in step S651 of the flow in Fig. 45.
Checks the PCV, adds a new PCV if the result is correct, and sends a packet of authentication result 2 to the authentication server AS (steps S652, S653).
【0224】図44のフローのステップS635で基地
局AP1からの認証情報2を受信した認証サーバAS
は、PCVを検査する(ステップS636)。もし検査
が失敗した場合、ASは受信した認証情報2を破棄す
る。検査が成功した場合、ASは無線端末MT9の証明
書Certmt9を検査する(ステップS637)。も
し検査が失敗した場合、ASは認証失敗を示す認証結果
2を新しいPCVを付加して基地局AP1へ送信する
(ステップS637,S641〜S643)。The authentication server AS that has received the authentication information 2 from the base station AP1 in step S635 of the flow shown in FIG.
Checks the PCV (step S636). If the check fails, the AS discards the received authentication information 2. If the check is successful, the AS checks the certificate Certmt9 of the wireless terminal MT9 (step S637). If the inspection fails, the AS adds the new PCV to the authentication result 2 indicating the authentication failure and transmits it to the base station AP1 (steps S637, S641 to S643).
【0225】無線端末MT9の証明書Certmt9の
検査が成功した場合、認証サーバASはCertmt9
から無線端末MT9の公開鍵PKmt9を取り出し、さ
らにこのPKmt9を用いてSigmt9を検査する。
もし検査が失敗した場合は、認証失敗を示す認証結果2
を新しいPCVを付加して基地局AP1へ送信する(ス
テップS637,S641〜S643)。検査が成功す
れば無線端末MT9は正規のMTであると判断し、認証
サーバASは乱数R4、自装置の秘密鍵SKasを用い
て署名データSigasを計算する(ステップS63
7,S638)。If the inspection of the certificate Certmt9 of the wireless terminal MT9 is successful, the authentication server AS determines that the certificate Certmt9 is Certmt9.
The public key PKmt9 of the wireless terminal MT9 is taken out from the wireless terminal MT9, and Sigmat9 is further inspected using this PKmt9.
If the inspection fails, the authentication result 2 indicating the authentication failure
Is added to the new PCV and transmitted to the base station AP1 (steps S637, S641 to S643). If the inspection is successful, the wireless terminal MT9 determines that it is a legitimate MT, and the authentication server AS calculates the signature data Sigas using the random number R4 and the private key SKas of its own device (step S63).
7, S638).
【0226】次に認証サーバASは、ネットワーク鍵N
Kを無線端末MT9の公開鍵PKmt9で暗号化し、自
装置の証明書Certasと署名データSigas、新
しいPCV、暗号化したネットワーク鍵NKを認証結果
2に付加し(ステップS639)、そのパケットを基地
局AP1へ送信する(ステップS640)。Next, the authentication server AS uses the network key N
K is encrypted with the public key PKmt9 of the wireless terminal MT9, its own certificate Certas and signature data Sigas, new PCV, and encrypted network key NK are added to the authentication result 2 (step S639), and the packet is sent to the base station. It transmits to AP1 (step S640).
【0227】認証サーバASからの認証結果2を受信す
れば、基地局AP1は図45のフローのステップS65
1でPCVを検査する。この検査結果が正しければ新し
いPCVを付加して認証結果2をMT2へ送信する(ス
テップS652,S653)。Upon receiving the authentication result 2 from the authentication server AS, the base station AP1 receives step S65 of the flow shown in FIG.
Check PCV at 1. If the inspection result is correct, a new PCV is added and authentication result 2 is transmitted to MT2 (steps S652 and S653).
【0228】図46のフローのステップS671で、中
継となる無線端末MT2は基地局AP1からの認証結果
2を受信すればPCVを検査し、結果が正しければその
まま認証結果2を次の無線端末MT3へ送信する(ステ
ップS672)。In step S671 of the flow of FIG. 46, if the wireless terminal MT2 serving as a relay receives the authentication result 2 from the base station AP1, it inspects the PCV, and if the result is correct, the authentication result 2 is directly sent to the next wireless terminal MT3. (Step S672).
【0229】図45のフローのステップS651で、無
線端末MT3は無線端末MT2からの認証結果2を受信
すればPCVを検査し、結果が正しければ新しいPCV
を認証結果2に付加し、そのパケットを新規の無線端末
MT9へ送信する(ステップS652,S653)。In step S651 of the flow in FIG. 45, if the wireless terminal MT3 receives the authentication result 2 from the wireless terminal MT2, it checks the PCV, and if the result is correct, a new PCV is displayed.
Is added to the authentication result 2 and the packet is transmitted to the new wireless terminal MT9 (steps S652 and S653).
【0230】図33のフローのステップS628で、P
roxy無線端末MT3からの認証結果2を受信した無
線端末MT9は、PCVを検査する(ステップS62
9)。もし検査が失敗した場合、無線端末MT9は認証
情報2を再送する。PCVの検査が成功した場合、無線
端末MT9はさらに認証サーバASの証明書Certa
sを検査する。もし検査が失敗した場合、無線端末MT
9は最初から認証2を開始する(ステップS630でN
Oに分岐)。検査が成功した場合、無線端末MT9は認
証サーバの証明書Certasから認証サーバASの公
開鍵PKasを取り出し、このPKasを用いて認証サ
ーバの署名データSigasを検査する。もしこの検査
が失敗した場合にも、無線端末MT9は最初から認証2
を開始する(ステップS630でNOに分岐)。この検
査が成功すれば、無線端末MT9は最終的に認証サーバ
ASは事業者が設置した正規のASであると判断し、ネ
ットワーク鍵NKを秘密鍵SKmt9を用いて復号化し
て保存し、無線端末MT9−認証サーバAS間の相互認
証が完了する(ステップS630でYESに分岐)。In step S628 of the flow in FIG. 33, P
The wireless terminal MT9, which has received the authentication result 2 from the roxy wireless terminal MT3, inspects the PCV (step S62).
9). If the check fails, the wireless terminal MT9 retransmits the authentication information 2. If the inspection of the PCV is successful, the wireless terminal MT9 further determines the certificate Certa of the authentication server AS.
inspect s. If the test fails, the wireless terminal MT
9 starts authentication 2 from the beginning (N in step S630)
Branch to O). If the inspection is successful, the wireless terminal MT9 extracts the public key PKas of the authentication server AS from the certificate Certas of the authentication server, and inspects the signature data Sigas of the authentication server using this PKas. Even if this check fails, the wireless terminal MT9 starts authentication 2 from the beginning.
Is started (NO in step S630). If this check is successful, the wireless terminal MT9 finally determines that the authentication server AS is a legitimate AS installed by the operator, decrypts the network key NK using the private key SKmt9, and saves it. Mutual authentication between the MT9 and the authentication server AS is completed (YES in step S630).
【0231】本発明の第9の実施の形態の無線マルチホ
ップネットワークでは、上記のように認証2用パケット
にパケット検査データ(PCV)を付加することで経路
上の無線端末MT、基地局APは正規のMTから送信さ
れたパケットであることを確認するようにしたので、認
証2を利用した攻撃を防止することができる。また、認
証サーバASは無線端末MTから送信された認証2用パ
ケットが正規の基地局APを経由して送信されたことを
確認できる。さらに、基地局APが無線端末MTを認証
した後に認証サーバASがMTを認証することで、事業
者はどの基地局APにどの無線端末MTがアクセスして
いるかを把握できる。In the wireless multi-hop network of the ninth embodiment of the present invention, by adding the packet check data (PCV) to the packet for authentication 2 as described above, the wireless terminal MT and the base station AP on the route can Since it is confirmed that the packet is transmitted from the authorized MT, it is possible to prevent an attack using the authentication 2. Further, the authentication server AS can confirm that the authentication 2 packet transmitted from the wireless terminal MT is transmitted via the legitimate base station AP. Furthermore, the authentication server AS authenticates MT after the base station AP authenticates the wireless terminal MT, so that the business operator can know which base station AP which wireless terminal MT is accessing.
【0232】[第10の実施の形態]第9の実施の形態
では、図41にフローに示したMT間の認証処理の新規
MT側の処理において、ステップS602の認証要求応
答1の受信により、複数の無線端末及び基地局からの応
答を受信した場合、ステップS603でそのすべてにつ
いて認証処理を実行し、認証が成功した無線端末が複数
ある場合には、ステップS605において基地局を優先
的に選択し、また基地局が含まれていない場合には複数
の無線端末のうち、基地局までのホップ数が最小のもの
を選択するようにした。しかしながら、複数の無線端
末、基地局からProxy端末を選択するロジックはこ
れに限らず、例えば、基地局、無線端末を区別せず、最
先に応答を受信した基地局又は無線端末から順に認証処
理を行い、認証が成功した無線端末又は基地局をPro
xy端末として選択する方法を採用することもできる。[Tenth Embodiment] In the ninth embodiment, when the authentication request response 1 in step S602 is received in the new MT side process of the MT-to-MT authentication process shown in the flow chart of FIG. 41, When the responses from the plurality of wireless terminals and the base station are received, the authentication processing is executed for all of them in step S603, and when there are a plurality of wireless terminals that have been successfully authenticated, the base station is preferentially selected in step S605. If the base station is not included, the one having the smallest hop count to the base station is selected from the plurality of wireless terminals. However, the logic for selecting a Proxy terminal from a plurality of wireless terminals and base stations is not limited to this, and for example, authentication processing is performed in order from the base station or wireless terminal that received the response first without distinguishing between the base station and wireless terminals. The wireless terminal or base station that has been successfully authenticated.
A method of selecting as an xy terminal can also be adopted.
【0233】第10の実施の形態の無線マルチホップネ
ットワークは、この選択手順を採用したことを特徴とす
る。すなわち、第9の実施の形態と同様に図34〜図3
7の機能構成を有する無線マルチホップネットワークに
おいては、各無線端末MTの無線端末選択機能308が
図47のMT間認証処理を実施する。The wireless multi-hop network of the tenth embodiment is characterized by adopting this selection procedure. That is, as in the ninth embodiment, FIGS.
In the wireless multi-hop network having the functional configuration of FIG. 7, the wireless terminal selection function 308 of each wireless terminal MT carries out the MT-MT authentication processing of FIG.
【0234】図38に示す状況において、新規の無線端
末MT9がブロードキャストで認証要求1を送信し(ス
テップS601)、複数の無線端末や基地局から認証要
求応答1が返信されてきたとする。ここでは、複数の無
線端末MT3,MT4,MT8からの認証要求応答1を
受信したとする(ステップS602)。In the situation shown in FIG. 38, it is assumed that the new wireless terminal MT9 broadcasts the authentication request 1 (step S601) and the authentication request response 1 is returned from a plurality of wireless terminals and base stations. Here, it is assumed that the authentication request response 1 is received from the plurality of wireless terminals MT3, MT4, MT8 (step S602).
【0235】このとき無線端末MT9は、まず、最先に
応答を受信した無線端末又は基地局を選択する(ここで
は無線端末MT3を選択したとする。ステップS604
−1)。そして、その認証要求応答1に添付された証明
書Certmt3を検査する(ステップS604−
2)。検査が失敗した場合は、受信した認証要求応答1
を破棄し、次に応答を受信した無線端末又は基地局を選
択して再度証明書の検査を実施する手順を繰り返す(ス
テップS604−1,S604−2,S604−3)。At this time, the radio terminal MT9 first selects the radio terminal or the base station that received the response first (here, the radio terminal MT3 is selected. Step S604).
-1). Then, the certificate Certmt3 attached to the authentication request response 1 is inspected (step S604-).
2). If the inspection fails, the received authentication request response 1
Is discarded, and the procedure for selecting the wireless terminal or the base station that has received the response and performing the certificate check again is repeated (steps S604-1, S604-2, S604-3).
【0236】ステップS604−2で証明書の検査が成
功した場合は、その証明書から公開鍵PKmt3を取り
出し、その公開鍵を用いて署名データSigmt3を検
査する(ステップS604−2)。この検査が失敗した
場合にも、受信した認証要求応答1を破棄し、次に応答
を受信した無線端末又は基地局を選択して再度証明書の
検査を実施する手順を繰り返す(ステップS604−
1,S604−2,S604−3)。そして、両方の検
査が成功した中継MTが1つもない場合には、最初に戻
り、認証要求1のブロードキャストからやり直す(ステ
ップS604−3でNOに分岐)。両方の検査が成功し
た中継MTがあれば、ステップS604−2でYESに
分岐する。ここでも、無線端末MT3が選択されたもの
とする(ステップS605)。If the certificate is successfully checked in step S604-2, the public key PKmt3 is taken out from the certificate and the signature data Sigmat3 is checked using the public key (step S604-2). Even when this check fails, the procedure of discarding the received authentication request response 1, selecting the wireless terminal or the base station that has received the response next, and performing the certificate check again is repeated (step S604-).
1, S604-2, S604-3). Then, if there is no relay MT for which both inspections have succeeded, the process returns to the beginning and starts over from the broadcast of the authentication request 1 (branch to NO in step S604-3). If there is a relay MT that has passed both inspections, the process branches to YES in step S604-2. Here again, it is assumed that the wireless terminal MT3 has been selected (step S605).
【0237】無線端末MT9は続いて、乱数R2と自装
置の秘密鍵SKmt9を用いて署名データSigmt9
を計算し、これらR2、Sigmt9、自装置の証明書
Certmt9を付加した認証情報1をProxyMT
(ここではMT3)へ送信する(ステップS606,S
607)。The wireless terminal MT9 subsequently uses the random number R2 and the private key SKmt9 of its own device to generate the signature data Sigmat9.
And the authentication information 1 to which R2, Sigmat9, and the certificate Certmt9 of the own device are added
(Here, MT3) (steps S606, S)
607).
【0238】無線端末MT9により選択された無線端末
MT3は、以降、第9の実施の形態と同様に図42のフ
ローのステップS614でMT9からの認証情報1を受
信すると、新規無線端末MT9の証明書Certmt9
を検査する。もし検査が失敗した場合は、認証失敗を示
す認証結果1をMT9へ送信する(ステップS615,
S618〜S620)。When the wireless terminal MT3 selected by the wireless terminal MT9 receives the authentication information 1 from MT9 in step S614 of the flow of FIG. 42 thereafter, as in the ninth embodiment, the new wireless terminal MT9 is certified. Book Certmt9
To inspect. If the inspection fails, the authentication result 1 indicating the authentication failure is transmitted to the MT 9 (step S615, step S615).
S618 to S620).
【0239】検査が成功した場合は、Certmt9か
ら公開鍵PKmt9を取り出し、この公開鍵PKmt9
を用いて無線端末MT9の署名データSigmt9を検
査する。もしこの検査が失敗した場合にも、無線端末M
T3は認証失敗を示す認証結果1を無線端末MT9へ送
信し、MT3はMT9から送信される認証2用パケット
のAPへの転送を不許可にする(ステップS615,S
618〜S620)。他方、この検査も成功した場合に
は新規MT認証成功とし、認証結果1をMT9に送信す
る(ステップS615,S616)。この時点で無線端
末MT3は無線端末MT9から送信される認証2用パケ
ットのAPへの転送を許可する(ステップS617)。If the check is successful, the public key PKmt9 is extracted from Certmt9, and the public key PKmt9 is extracted.
Is used to inspect the signature data Sigmat9 of the wireless terminal MT9. If this test fails, the wireless terminal M
T3 transmits the authentication result 1 indicating the authentication failure to the wireless terminal MT9, and MT3 prohibits the transfer of the authentication 2 packet transmitted from MT9 to the AP (steps S615, S).
618-S620). On the other hand, if this inspection is also successful, the new MT authentication is successful, and the authentication result 1 is transmitted to the MT 9 (steps S615 and S616). At this time, the wireless terminal MT3 permits transfer of the authentication 2 packet transmitted from the wireless terminal MT9 to the AP (step S617).
【0240】図41のフローのステップS608で無線
端末MT9が認証結果1を受信すれば、無線端末MT9
−MT3間の相互認証が完了する。When the wireless terminal MT9 receives the authentication result 1 in step S608 of the flow in FIG. 41, the wireless terminal MT9
-Mutual authentication between MT3 is completed.
【0241】このようにして無線マルチホップネットワ
ーク中の認証済みの正規の無線端末MT3が新規の無線
端末MT9を認証することで、不正無線端末が認証を装
って送信したパケットがネットワークヘ流入することを
防止できる。また新規無線端末は正規のProxyMT
あるいは基地局を1つ選択することで同一の認証2用パ
ケットが複数発生し、ネットワークNWに転送されるこ
とを防止できる。加えて、第10の実施の形態の場合、
最先に応答のあった無線端末又は基地局から優先的にプ
ロキシ端末として選択することで、実質的な通信処理速
度を速めることができる。In this way, the authenticated legitimate wireless terminal MT3 in the wireless multi-hop network authenticates the new wireless terminal MT9, so that the packet transmitted by the unauthorized wireless terminal under the guise of the authentication flows into the network. Can be prevented. In addition, the new wireless terminal is an authorized ProxyMT
Alternatively, it is possible to prevent a plurality of the same authentication 2 packets from being generated and transferred to the network NW by selecting one base station. In addition, in the case of the tenth embodiment,
By preferentially selecting the proxy terminal from the wireless terminal or the base station that responds first, the substantial communication processing speed can be increased.
【0242】[第11の実施の形態]本発明の第11の
実施の形態の無線マルチホップネットワークについて、
図48を用いて説明する。第11の実施の形態の無線マ
ルチホップネットワークは、第9の実施の形態と同様に
図34〜図37の機能構成を有する無線マルチホップネ
ットワークにおいては、各無線端末MTの無線端末選択
機能308が図48のMT間認証処理を実施することを
特徴とする。[Eleventh Embodiment] A wireless multi-hop network according to an eleventh embodiment of the present invention will be described.
This will be described with reference to FIG. In the wireless multi-hop network of the eleventh embodiment, as in the ninth embodiment, in the wireless multi-hop network having the functional configurations of FIGS. 34 to 37, the wireless terminal selection function 308 of each wireless terminal MT is It is characterized by performing the MT-MT authentication process of FIG.
【0243】すなわち、新規の無線端末MTがMT間の
認証処理において、複数の無線端末、基地局から認証要
求応答1を受信した場合に、受信レベルの高い基地局又
は無線端末から順に認証処理を行い、認証が成功した無
線端末又は基地局をProxy端末として選択するよう
にしたことを特徴とする。That is, when the new wireless terminal MT receives the authentication request response 1 from a plurality of wireless terminals and base stations in the authentication processing between MTs, the authentication processing is performed in order from the base station or the wireless terminal having the higher reception level. The wireless terminal or the base station that has been successfully authenticated is selected as the Proxy terminal.
【0244】図38に示す状況において、新規の無線端
末MT9がブロードキャストで認証要求1を送信し(ス
テップS601)、複数の無線端末や基地局から認証要
求応答1が返信されてきたとする。ここでは、複数の無
線端末MT3,MT4,MT8からの認証要求応答1を
受信したとする(ステップS602)。In the situation shown in FIG. 38, it is assumed that the new wireless terminal MT9 broadcasts the authentication request 1 (step S601), and the authentication request response 1 is returned from a plurality of wireless terminals and base stations. Here, it is assumed that the authentication request response 1 is received from the plurality of wireless terminals MT3, MT4, MT8 (step S602).
【0245】このとき無線端末MT9は、まず、応答信
号の受信レベルの最も高い無線端末又は基地局を選択す
る(ここでも無線端末MT3を選択したとする。ステッ
プS604−11)。そして、その認証要求応答1に添
付された証明書Certmt3を検査する(ステップS
604−2)。検査が失敗した場合は、受信した認証要
求応答1を破棄し、次に応答を受信した無線端末又は基
地局を選択して再度証明書の検査を実施する手順を繰り
返す(ステップS604−11,S604−2,S60
4−3)。At this time, the radio terminal MT9 first selects the radio terminal or base station having the highest reception level of the response signal (here, it is assumed that the radio terminal MT3 is also selected, step S604-11). Then, the certificate Certmt3 attached to the authentication request response 1 is inspected (step S
604-2). If the inspection fails, the procedure of discarding the received authentication request response 1, selecting the wireless terminal or the base station that has received the response next, and performing the certificate inspection again is repeated (steps S604-11 and S604). -2, S60
4-3).
【0246】ステップS604−2で証明書の検査が成
功した場合は、その証明書から公開鍵PKmt3を取り
出し、その公開鍵を用いて署名データSigmt3を検
査する。この検査が失敗した場合にも、受信した認証要
求応答1を破棄し、次に応答を受信した無線端末又は基
地局を選択して再度証明書の検査を実施する手順を繰り
返す(ステップS604−11,S604−2,S60
4−3)。そして、両方の検査が成功した中継MTが1
つもない場合には、最初に戻り、認証要求1のブロード
キャストからやり直す(ステップS604−3でNOに
分岐)。If the certificate is successfully checked in step S604-2, the public key PKmt3 is extracted from the certificate and the signature data Sigma3 is checked using the public key. Even when this check fails, the procedure of discarding the received authentication request response 1, selecting the wireless terminal or the base station that has received the response next, and performing the certificate check again is repeated (step S604-11). , S604-2, S60
4-3). Then, the number of relay MTs that passed both inspections is 1
If it is not enough, the process returns to the beginning and starts over from the broadcast of the authentication request 1 (branch to NO in step S604-3).
【0247】両方の検査が成功した中継MTがあれば、
ステップS604−2でYESに分岐する。ここでも、
無線端末MT3が選択されたものとする(ステップS6
05)。以降の処理は第10の実施の形態と共通であ
る。If there is a relay MT that has passed both inspections,
The process branches to YES in step S604-2. even here,
It is assumed that the wireless terminal MT3 has been selected (step S6).
05). The subsequent processing is the same as that of the tenth embodiment.
【0248】このようにして無線マルチホップネットワ
ーク中の認証済みの正規の無線端末MT3が新規の無線
端末MT9を認証することで、不正無線端末が認証を装
って送信したパケットがネットワークヘ流入することを
防止できる。また新規無線端末は正規のProxyMT
あるいは基地局を1つ選択することで同一の認証2用パ
ケットが複数発生し、ネットワークNWに転送されるこ
とを防止できる。加えて、第11の実施の形態の場合、
応答信号の受信レベルが高い無線端末又は基地局から優
先的にプロキシ端末として選択することで、通信の信頼
性を高めることができる。In this way, the authenticated legitimate wireless terminal MT3 in the wireless multi-hop network authenticates the new wireless terminal MT9, so that the packet transmitted by the unauthorized wireless terminal pretending to be authenticated flows into the network. Can be prevented. In addition, the new wireless terminal is an authorized ProxyMT
Alternatively, it is possible to prevent a plurality of the same authentication 2 packets from being generated and transferred to the network NW by selecting one base station. In addition, in the case of the eleventh embodiment,
The reliability of communication can be improved by preferentially selecting a proxy terminal from a wireless terminal or a base station having a high reception level of a response signal.
【0249】[第12の実施の形態]本発明の第12の
実施の形態の無線マルチホップネットワークについて、
図49を用いて説明する。第12の実施の形態の無線マ
ルチホップネットワークは、第9の実施の形態と同様に
図34〜図37の機能構成を有する無線マルチホップネ
ットワークにおいては、各無線端末MTの無線端末選択
機能308が図49のMT間認証処理を実施することを
特徴とする。[Twelfth Embodiment] A wireless multi-hop network according to a twelfth embodiment of the present invention will be described.
It demonstrates using FIG. In the wireless multi-hop network of the twelfth embodiment, the wireless terminal selection function 308 of each wireless terminal MT is the same in the wireless multi-hop network having the functional configurations of FIGS. 34 to 37 as in the ninth embodiment. It is characterized in that the MT-MT authentication process of FIG. 49 is performed.
【0250】すなわち、新規の無線端末MTがMT間の
認証処理において、複数の無線端末、基地局から認証要
求応答1を受信した場合に、基地局APまでのホップ数
が最も少ない無線端末から順に認証処理を行い、認証が
成功した無線端末又は基地局をProxy端末として選
択するようにしたことを特徴とする。That is, when the new wireless terminal MT receives the authentication request response 1 from a plurality of wireless terminals and base stations in the authentication processing between MTs, the wireless terminal having the smallest number of hops to the base station AP is in order. It is characterized in that the authentication process is performed and the wireless terminal or the base station that has been successfully authenticated is selected as the Proxy terminal.
【0251】図38に示す状況において、新規の無線端
末MT9がブロードキャストで認証要求1を送信し(図
49のステップS601)、複数の無線端末や基地局か
ら認証要求応答1が返信されてきたとする。ここでは、
複数の無線端末MT3,MT4,MT8からの認証要求
応答1を受信したとする(ステップS602)。In the situation shown in FIG. 38, it is assumed that the new wireless terminal MT9 broadcasts the authentication request 1 (step S601 in FIG. 49), and the authentication request response 1 is returned from a plurality of wireless terminals and base stations. . here,
It is assumed that the authentication request response 1 is received from the plurality of wireless terminals MT3, MT4, MT8 (step S602).
【0252】このとき無線端末MT9は、基地局までの
ホップ数が最も少ない無線端末を選択し、又は基地局か
らの認証要求応答1を直接に受信したのであればその基
地局をそのまま選択する(ここでも無線端末MT3を選
択したとする。ステップS604−21)。そして、そ
の認証要求応答1に添付された証明書Certmt3を
検査する(ステップS604−2)。検査が失敗した場
合は、受信した認証要求応答1を破棄し、基地局までの
ホップ数がその次に少ない無線端末を選択して再度証明
書の検査を実施する手順を繰り返す(ステップS604
−11,S604−2,S604−3)。At this time, the radio terminal MT9 selects the radio terminal having the smallest number of hops to the base station, or if it directly receives the authentication request response 1 from the base station, the base station is selected as it is ( It is also assumed here that the wireless terminal MT3 is selected (step S604-21). Then, the certificate Certmt3 attached to the authentication request response 1 is inspected (step S604-2). If the inspection fails, the procedure of discarding the received authentication request response 1, selecting the wireless terminal having the next smallest number of hops to the base station, and performing the certificate inspection again is repeated (step S604).
-11, S604-2, S604-3).
【0253】ステップS604−2で証明書の検査が成
功した場合は、その証明書から公開鍵PKmt3を取り
出し、その公開鍵を用いて署名データSigmt3を検
査する。この検査が失敗した場合にも、受信した認証要
求応答1を破棄し、基地局までのホップ数がその次に少
ない無線端末を選択して再度証明書の検査を実施する手
順を繰り返す(ステップS604−21,S604−
2,S604−3)。そして、両方の検査が成功した中
継MTが1つもない場合には、最初に戻り、認証要求1
のブロードキャストからやり直す(ステップS604−
3でNOに分岐)。If the certificate is successfully checked in step S604-2, the public key PKmt3 is extracted from the certificate and the signature data Sigma3 is checked using the public key. Even when this check fails, the procedure of discarding the received authentication request response 1, selecting the wireless terminal having the next smallest number of hops to the base station, and performing the certificate check again is repeated (step S604). -21, S604-
2, S604-3). Then, if there is no relay MT that has passed both inspections, the process returns to the beginning and the authentication request 1
From the broadcast (step S604-
Branch to NO at 3).
【0254】両方の検査が成功した中継MTがあれば、
ステップS604−2でYESに分岐する。ここでも、
無線端末MT3が選択されたものとする(ステップS6
05)。以降の処理は第10の実施の形態と共通であ
る。If there is a relay MT that has passed both inspections,
The process branches to YES in step S604-2. even here,
It is assumed that the wireless terminal MT3 has been selected (step S6).
05). The subsequent processing is the same as that of the tenth embodiment.
【0255】このようにして無線マルチホップネットワ
ーク中の認証済みの正規の無線端末MT3が新規の無線
端末MT9を認証することで、不正無線端末が認証を装
って送信したパケットがネットワークヘ流入することを
防止できる。また新規無線端末は正規のProxyMT
あるいは基地局を1つ選択することで同一の認証2用パ
ケットが複数発生し、ネットワークNWに転送されるこ
とを防止できる。加えて、第12の実施の形態の場合、
基地局までのホップ数が少ない無線端末から優先的にプ
ロキシ端末として選択することで、通信の信頼性と応答
速度を高めることができる。In this way, the authenticated legitimate wireless terminal MT3 in the wireless multi-hop network authenticates the new wireless terminal MT9, so that the packet transmitted by the unauthorized wireless terminal pretending to be authenticated flows into the network. Can be prevented. In addition, the new wireless terminal is an authorized ProxyMT
Alternatively, it is possible to prevent a plurality of the same authentication 2 packets from being generated and transferred to the network NW by selecting one base station. In addition, in the case of the twelfth embodiment,
By preferentially selecting a proxy terminal from a wireless terminal having a small number of hops to the base station, communication reliability and response speed can be improved.
【0256】なお、本発明は上記のすべての実施の形態
において無線端末、基地局、認証サーバそれぞれが果た
す図示フローチャート各々の諸機能を実現させるために
各装置に組み込んで実行させるソフトウェアプログラム
も権利対象とするものである。Note that the present invention is also subject to the rights of the software programs incorporated into the respective devices and executed in order to realize the respective functions of the illustrated flowcharts performed by the wireless terminal, the base station, and the authentication server in all the above embodiments. It is what
【0257】[0257]
【発明の効果】請求項1の発明の無線アクセスネットワ
ークによれば、認証サーバ(AS)と基地局(AP)が
相互認証を行うことで、事業者が一般ユーザの設置した
APの安全性を保障することができる。また、新規無線
端末(MT)がアクセスしたとき、最初にMT−AP間
で相互認証することで互いが正当な装置であるか否かを
確認することができ、APはこの相互認証が成功するま
では新規MTが送信したパケットを事業者側ネットワー
クに転送しないので、認証を装ったDoS攻撃を防止す
ることができる。さらに、MT−AP間の相互認証成功
後にMT−AS間の相互認証及びこの認証用パケットの
パケット検査(送信元確認)を行うことで、ASはどの
APにどのMTがアクセスしたかを正確に把握して管理
することができる。According to the wireless access network of the first aspect of the present invention, the authentication server (AS) and the base station (AP) perform mutual authentication, thereby ensuring the security of the AP installed by the general user by the business operator. Can be guaranteed. Further, when a new wireless terminal (MT) makes an access, it is possible to confirm whether or not the MT-APs are legal devices by first performing mutual authentication between the MTs and APs, and the APs succeed in this mutual authentication. Until then, the packet transmitted by the new MT is not transferred to the network on the carrier side, so that a DoS attack pretending to be authenticated can be prevented. Furthermore, by performing mutual authentication between MT-AS and packet inspection (source confirmation) of this authentication packet after successful mutual authentication between MT-AP, the AS can accurately determine which AP has accessed which MT. Can be grasped and managed.
【0258】請求項2の発明の無線マルチホップネット
ワークによれば、新規無線端末(MT)が無線マルチホ
ップネットワークにアクセスしたとき、最初に新規MT
−近隣MT間で相互認証することで互いが正当な装置で
あるか否かを確認することができ、近隣のMTはこの相
互認証が成功するまでは新規MTが送信したパケットを
無線マルチホップネットワークに転送しないので、認証
を装ったDoS攻撃を防止することができる。また、相
互認証の際にMT−AS(認証サーバ)間相互認証用パ
ケットを中継させるMT又はAP(基地局)を1つ選択
することで、同じ認証処理が同時に複数発生してしまう
ことを防止する。さらに、MT−AP間の相互認証成功
後にMT−AS間の相互認証及びこの認証用パケットの
パケット検査(送信元確認)を行うことでASはどのA
PにどのMTがアクセスしたかを正確に把握して管理す
ることができる。According to the wireless multi-hop network of the invention of claim 2, when a new wireless terminal (MT) accesses the wireless multi-hop network, the new MT first appears.
Mutual authentication between neighboring MTs makes it possible to confirm whether or not they are legitimate devices, and neighboring MTs can transmit packets transmitted by the new MT to the wireless multi-hop network until this mutual authentication succeeds. Since it is not transferred to, it is possible to prevent a DoS attack pretending to be authentication. Also, by selecting one MT or AP (base station) that relays a packet for mutual authentication between MT-AS (authentication server) at the time of mutual authentication, it is possible to prevent the same authentication processing from occurring at the same time. To do. Furthermore, after the mutual authentication between the MT-AP succeeds, the mutual authentication between the MT-AS and the packet inspection (source confirmation) of this authentication packet are performed to determine which A
It is possible to accurately grasp and manage which MT has accessed P.
【0259】請求項3の発明の無線端末(MT)によれ
ば、無線アクセスネットワークに新規に参入するときに
基地局(AP)と相互認証を行い、その成功の後に認証
サーバ(AS)と相互認証を行う機能を備えたことで、
APに新規MTとの相互認証が成功するまで新規MTの
送信したパケットを事業者側ネットワークに転送しない
機能を持たせることによって、当該MTを用いなければ
APとの通信、ひいては認証サーバ(AS)との通信が
できない無線アクセスネットワークを構築することがで
き、認証を装ったDoS攻撃に耐性の強い無線アクセス
ネットワークの構築に寄与できる。According to the wireless terminal (MT) of the third aspect of the invention, mutual authentication is performed with the base station (AP) when a new entry is made into the wireless access network, and after the success, mutual authentication with the authentication server (AS) is performed. With the function to perform authentication,
By providing the AP with the function of not forwarding the packet transmitted by the new MT to the operator's network until mutual authentication with the new MT is successful, communication with the AP without using the MT, and eventually the authentication server (AS). It is possible to build a wireless access network that cannot communicate with the wireless LAN and contribute to building a wireless access network that is resistant to a DoS attack disguised as authentication.
【0260】請求項4の発明の無線端末によれば、送信
する認証用パケットに送信元を示すパケット検査データ
を算出して添付する機能を備えたので、認証用パケット
にパケット検査データを添付することにより、受信先の
基地局に送信元を明かすことができ、不正な攻撃のため
に用いられなくできる。According to the wireless terminal of the fourth aspect of the present invention, the authentication packet to be transmitted has a function of calculating and attaching the packet inspection data indicating the transmission source, so that the packet inspection data is attached to the authentication packet. This makes it possible to reveal the transmission source to the reception-destination base station and prevent it from being used for an unauthorized attack.
【0261】請求項5〜8の発明の無線端末(MT)に
よれば、新規MTはMT−AP(基地局)間相互認証の
際にMT−AS(認証サーバ)間相互認証用パケットを
中継させるAP又はMTを所定のロジックにしたがって
選択することで、同じ認証処理が同時に複数発生してし
まうことを防止することができる。According to the wireless terminal (MT) of the invention of claims 5 to 8, the new MT relays the MT-AS (authentication server) mutual authentication packet at the time of MT-AP (base station) mutual authentication. By selecting the AP or MT to be performed according to a predetermined logic, it is possible to prevent the same authentication process from occurring a plurality of times at the same time.
【0262】請求項9の発明の認証サーバ(AS)によ
れば、基地局(AP)と相互認証を行い、また新規無線
端末(MT)とも相互認証を行い、しかも新規無線端末
との相互認証の際には認証用パケットに添付されている
送信元を示すパケット検査データを検査し、この検査が
成功すれば相互認証を実施することになるので、不正な
APを排除し、正規のAPだけを管理することができ、
またどのAPにどのMTがアクセスしたかをも正確に把
握することができる。According to the authentication server (AS) of the invention of claim 9, mutual authentication is performed with the base station (AP), mutual authentication with the new wireless terminal (MT), and mutual authentication with the new wireless terminal. In this case, the packet inspection data indicating the transmission source attached to the authentication packet is inspected, and if this inspection is successful, mutual authentication will be carried out. Can manage
Further, it is possible to accurately grasp which AP has accessed which MT.
【0263】請求項10の発明の認証サーバ(AS)に
よれば、自身の認証した無線端末(MT)の移動を管理
し、MTがある基地局(AP)から別のAPへ移動した
時、MT−AS間の相互認証が成功した後に、そのMT
が属していた旧APへ当該MTが移動したことを通知す
ることにより、APに一度は相互認証したがいまでは移
動して通信できなくなったMTの記録をいつまでも保持
させなくてもよく、APにおけるMTの管理データを少
なくでき、それだけ処理の高速化が図れる。According to the authentication server (AS) of the tenth aspect of the invention, the movement of the wireless terminal (MT) authenticated by itself is managed, and when the MT moves from one base station (AP) to another AP, After the mutual authentication between MT-AS is successful, the MT
By notifying the old AP to which the MT belonged that the MT has moved, it is not necessary to keep a record of the MT that has once mutually authenticated with the AP but has now moved and cannot communicate. The management data of can be reduced and the processing speed can be increased accordingly.
【0264】請求項11の発明の基地局(AP)によれ
ば、新規に無線アクセスネットワーク又は無線マルチホ
ップネットワークに接続するときには必ず認証サーバと
相互認証を実施するため、不正にAPを設置することを
困難にし、事業者が一般ユーザの設置したAPの安全性
を保障することができる。According to the base station (AP) of the eleventh aspect of the present invention, when newly connecting to a wireless access network or a wireless multi-hop network, mutual authentication with an authentication server is always carried out. It is possible to ensure the security of the AP installed by the general user by the business operator.
【0265】請求項12の発明の基地局(AP)によれ
ば、新規無線端末(MT)がアクセスしてきたとき、最
初にMT−AP間で相互認証することでMTが正当な装
置であるか否かを確認し、この相互認証が成功するまで
は新規MTが送信したパケットを事業者側ネットワーク
に転送しないので、認証を装ったDoS攻撃を防止する
ことができる。According to the base station (AP) of the invention of claim 12, when the new wireless terminal (MT) accesses, whether MT is a legitimate device by first performing mutual authentication between MT and AP. Until the mutual authentication succeeds, the packet transmitted by the new MT is not transferred to the network on the carrier side, so that a DoS attack pretending to be authenticated can be prevented.
【0266】請求項13の発明の基地局によれば、相互
認証に成功した無線端末それぞれの情報を自装置に登録
する機能と、認証サーバから移動通知を受けて、該当す
る無線端末の登録情報を削除する機能とを備えたので、
無線端末が他の基地局の通信エリアに移動した場合に、
通信ができなくなってしまった無線端末の情報を削除す
ることによって無線端末の管理のためのリソースを節約
できる。According to the base station of the thirteenth aspect of the present invention, the function of registering the information of each wireless terminal that has succeeded in mutual authentication in its own apparatus, and the registration information of the corresponding wireless terminal upon receiving the movement notification from the authentication server. With the function to delete
When the wireless terminal moves to the communication area of another base station,
Resources for managing the wireless terminal can be saved by deleting the information of the wireless terminal that cannot communicate.
【0267】請求項14の発明の無線端末(MT)によ
れば、無線マルチホップネットワークに新規にアクセス
するとき、最初に近隣MT又はAPとの間で相互認証す
る機能を備えたことで、当該MTが新規に無線マルチホ
ップネットワークに参入する際には近隣のMT又はAP
に正当な装置であるか否かを確認させ、近隣のMT又は
APはこの相互認証が成功するまでは当該MTが送信し
たパケットを無線マルチホップネットワークに転送しな
いので、認証を装ったDoS攻撃に対する耐性の高い無
線マルチホップネットワークの構築に寄与できる。ま
た、相互認証の際にMT−AS(認証サーバ)間相互認
証用パケットを中継させるMT又はAP(基地局)を1
つ選択する機能を備えたことで、同じ認証処理が同時に
複数発生してしまうことを防止することができる。According to the wireless terminal (MT) of the invention of claim 14, when the wireless multi-hop network is newly accessed, it is provided with the function of first performing mutual authentication with the neighboring MT or AP. When an MT newly joins the wireless multi-hop network, the MT or AP nearby
The MT or AP in the vicinity does not forward the packet sent by the MT to the wireless multi-hop network until the mutual authentication succeeds, so that the DoS attack pretending to be authenticated is prevented. It can contribute to the construction of a highly durable wireless multi-hop network. In addition, the MT or AP (base station) that relays the MT-AS (authentication server) mutual authentication packet at the time of mutual authentication is set to 1
By providing the function of selecting one, it is possible to prevent the same authentication process from occurring more than once at the same time.
【0268】請求項15の発明の無線端末(MT)によ
れば、自装置が新規に無線マルチホップネットワークに
アクセスするときに、無線端末間認証用パケットを近隣
の無線端末又は基地局に送信する機能と、自装置が新規
無線端末である場合に、無線端末−認証サーバ間認証用
パケットに送信元を示すパケット検査データを添付して
送信する機能と、自装置が他の新規無線端末によって選
択されたプロキシ端末である場合には、他の新規無線端
末から送信された無線端末−認証サーバ間認証用パケッ
トに対してパケット検査データを検査し、検査が失敗す
ればその認証用パケットを破棄し、当該検査が成功すれ
ば当該認証用パケットに自装置で算出した送信元を示す
パケット検査データを添付してルート上の他の無線端末
又は基地局に対して転送する機能とを備えたので、どの
基地局(AP)にどの無線端末(MT)がアクセスした
かを認証サーバに正確に把握させることができる。According to the wireless terminal (MT) of the fifteenth aspect of the invention, when the device itself newly accesses the wireless multi-hop network, the wireless terminal authentication packet is transmitted to the nearby wireless terminals or base stations. Functions, when the device itself is a new wireless terminal, a function of attaching packet inspection data indicating the transmission source to the authentication packet between the wireless terminal and the authentication server, and the device itself selected by another new wireless terminal If the proxy terminal has been verified, the packet inspection data is inspected for the wireless terminal-authentication server authentication packet sent from another new wireless terminal, and if the inspection fails, the authentication packet is discarded. , If the inspection is successful, attach the packet inspection data indicating the transmission source calculated by the device itself to the authentication packet, and attach it to another wireless terminal or base station on the route. Since a function of transferring, it is possible to accurately grasp what wireless terminal (MT) accesses to which base station (AP) to the authentication server.
【0269】請求項16〜18の発明の無線端末(M
T)によれば、MT−AP(基地局)間相互認証の際に
MT−AS(認証サーバ)間相互認証用パケットを中継
させるAP又はMTとして最適なものを選択する機能を
備えたことで、同じ認証処理が同時に複数発生してしま
うことを防止することができる。The wireless terminal (M according to the invention of claims 16-18
According to T), a function of selecting the optimum AP or MT for relaying the MT-AS (authentication server) mutual authentication packet at the time of MT-AP (base station) mutual authentication is provided. It is possible to prevent the same authentication process from occurring at the same time.
【図1】本発明の第1の実施の形態の無線アクセスネッ
トワークの機能構成のブロック図。FIG. 1 is a block diagram of a functional configuration of a radio access network according to a first embodiment of this invention.
【図2】第1の実施の形態における認証サーバの機能ブ
ロック図。FIG. 2 is a functional block diagram of an authentication server according to the first embodiment.
【図3】第1の実施の形態における基地局の機能ブロッ
ク図。FIG. 3 is a functional block diagram of a base station according to the first embodiment.
【図4】第1の実施の形態における無線端末の機能ブロ
ック図。FIG. 4 is a functional block diagram of a wireless terminal according to the first embodiment.
【図5】第1の実施の形態における基地局(AP)−認
証サーバ(AS)間の認証シーケンス図。FIG. 5 is an authentication sequence diagram between the base station (AP) and the authentication server (AS) in the first embodiment.
【図6】第1の実施の形態におけるAP−AS間の認証
用パケットのペイロードデータの説明図。FIG. 6 is an explanatory diagram of payload data of an AP-AS authentication packet according to the first embodiment.
【図7】第1の実施の形態において実施するAP−AS
間認証におけるAP側の認証処理のフローチャート。FIG. 7 is an AP-AS implemented in the first embodiment.
The flowchart of the authentication process on the AP side in inter-site authentication.
【図8】第1の実施の形態において実施するAP−AS
間認証におけるAS側の認証処理のフローチャート。FIG. 8 is an AP-AS implemented in the first embodiment.
The flowchart of the authentication process on the AS side in inter-authentication.
【図9】第1の実施の形態における無線端末(MT)−
認証サーバ(AS)間の認証シーケンス図。FIG. 9 is a wireless terminal (MT) according to the first embodiment-
The authentication sequence diagram between authentication servers (AS).
【図10】第1の実施の形態におけるMT−AS間の認
証用パケットのペイロードデータの説明図。FIG. 10 is an explanatory diagram of payload data of an MT-AS authentication packet according to the first embodiment.
【図11】第1の実施の形態において実施するMT−A
P間認証におけるMT側の認証処理のフローチャート。FIG. 11 is an MT-A implemented in the first embodiment.
The flowchart of the authentication process by MT side in P authentication.
【図12】第1の実施の形態において実施するMT−A
P間認証におけるAP側の認証処理のフローチャート。FIG. 12 is an MT-A implemented in the first embodiment.
The flowchart of the authentication process on the AP side in P-to-P authentication.
【図13】第1の実施の形態において実施するMT−A
S間認証におけるMT側の認証処理のフローチャート。FIG. 13 is an MT-A implemented in the first embodiment.
The flowchart of the authentication process on the MT side in the S-to-S authentication.
【図14】第1の実施の形態において実施するMT−A
S間認証におけるAS側の認証処理のフローチャート。FIG. 14 is an MT-A implemented in the first embodiment.
The flowchart of the authentication process on the AS side in S authentication.
【図15】第1の実施の形態において実施するMT−A
S間認証におけるAP側の認証結果2以外のパケット受
信時の認証処理のフローチャート。FIG. 15 is an MT-A implemented in the first embodiment.
9 is a flowchart of authentication processing when a packet other than the authentication result 2 on the AP side in the S-to-S authentication is received.
【図16】第1の実施の形態において実施するMT−A
S間認証におけるAP側の認証結果2のパケット受信時
の認証処理のフローチャート。FIG. 16 is an MT-A implemented in the first embodiment.
9 is a flowchart of an authentication process at the time of receiving a packet of authentication result 2 on the AP side in S-S authentication.
【図17】本発明の第2の実施の形態の無線アクセスネ
ットワークにおける基地局密度が高い環境での1つの無
線端末(MT)が複数の基地局(AP)と通信する状況
を示す説明図。FIG. 17 is an explanatory diagram showing a situation in which one radio terminal (MT) communicates with a plurality of base stations (AP) in an environment with a high base station density in the radio access network according to the second embodiment of the present invention.
【図18】第2の実施の形態における無線端末の機能構
成のブロック図。FIG. 18 is a block diagram of a functional configuration of a wireless terminal according to the second embodiment.
【図19】第2の実施の形態における無線端末の機能ブ
ロック図。FIG. 19 is a functional block diagram of a wireless terminal according to the second embodiment.
【図20】第2の実施の形態において実施するMT−認
証サーバ(AS)間の認証シーケンス図。FIG. 20 is an authentication sequence diagram between the MT and the authentication server (AS) implemented in the second embodiment.
【図21】第2の実施の形態におけるMTのAP選択処
理のフローチャート。FIG. 21 is a flowchart of an AP selection process of MT according to the second embodiment.
【図22】本発明の第3の実施の形態の無線アクセスネ
ットワークにおけるMTのAP選択処理のフローチャー
ト。FIG. 22 is a flowchart of MT AP selection processing in the radio access network according to the third embodiment of this invention.
【図23】本発明の第4の実施の形態の無線アクセスネ
ットワークにおけるMTのAP選択処理のフローチャー
ト。FIG. 23 is a flowchart of MT AP selection processing in the radio access network according to the fourth embodiment of the present invention.
【図24】本発明の第5の実施の形態の無線アクセスネ
ットワークにおけるMTのAP選択処理のフローチャー
ト。FIG. 24 is a flowchart of MT AP selection processing in the wireless access network according to the fifth embodiment of the present invention.
【図25】本発明の第6の実施の形態の無線アクセスネ
ットワークにおけるMTのAP選択処理のフローチャー
ト。FIG. 25 is a flowchart of MT AP selection processing in the radio access network according to the sixth embodiment of this invention.
【図26】本発明の第7の実施の形態の無線アクセスネ
ットワークにおけるMTのAP選択処理のフローチャー
ト。FIG. 26 is a flowchart of MT AP selection processing in the wireless access network according to the seventh embodiment of this invention.
【図27】本発明の第8の実施の形態の無線アクセスネ
ットワークにおける認証サーバ(AS)の機能構成のブ
ロック図。FIG. 27 is a block diagram of a functional configuration of an authentication server (AS) in the wireless access network according to the eighth embodiment of this invention.
【図28】第8の実施の形態における基地局(AP)の
機能構成のブロック図。FIG. 28 is a block diagram of a functional configuration of a base station (AP) according to an eighth embodiment.
【図29】第8の実施の形態における認証サーバ(A
S)の機能ブロック図。FIG. 29 is a diagram showing an authentication server (A according to the eighth embodiment.
The functional block diagram of S).
【図30】第8の実施の形態における基地局(AP)の
機能ブロック図。FIG. 30 is a functional block diagram of a base station (AP) according to the eighth embodiment.
【図31】第8の実施の形態によるASのAPに対する
リソース開放処理のシーケンス図。FIG. 31 is a sequence diagram of resource release processing for an AP of AS according to the eighth embodiment.
【図32】上記のリソース開放処理に用いるパケットフ
ォーマットの説明図。FIG. 32 is an explanatory diagram of a packet format used in the above resource release processing.
【図33】第8の実施の形態におけるASのMT移動管
理処理のフローチャート。FIG. 33 is a flowchart of an AS MT movement management process according to the eighth embodiment.
【図34】本発明の第9の実施の形態の無線マルチホッ
プネットワークの機能構成のブロック図。FIG. 34 is a block diagram of a functional configuration of a wireless multi-hop network according to a ninth embodiment of this invention.
【図35】第9の実施の形態における認証サーバの機能
ブロック図。FIG. 35 is a functional block diagram of an authentication server according to the ninth embodiment.
【図36】第9の実施の形態における基地局の機能ブロ
ック図。FIG. 36 is a functional block diagram of a base station according to the ninth embodiment.
【図37】第9の実施の形態における無線端末の機能ブ
ロック図。FIG. 37 is a functional block diagram of a wireless terminal according to the ninth embodiment.
【図38】第9の実施の形態の無線アクセスネットワー
クの動作説明図。FIG. 38 is an operation explanatory diagram of the wireless access network according to the ninth embodiment;
【図39】第9の実施の形態において実施する無線端末
(MT)−認証サーバ(AS)間の認証シーケンス図。FIG. 39 is an authentication sequence diagram between the wireless terminal (MT) and the authentication server (AS) implemented in the ninth embodiment.
【図40】第9の実施の形態において使用するMT−A
S間の認証用パケットのペイロードデータの説明図。FIG. 40 is an MT-A used in the ninth embodiment.
Explanatory drawing of the payload data of the authentication packet between S.
【図41】第9の実施の形態において実施するMT−M
T間認証における新規MT側の認証処理のフローチャー
ト。FIG. 41 is an MT-M implemented in the ninth embodiment.
The flowchart of the authentication process of the new MT side in T authentication.
【図42】第9の実施の形態において実施するMT−M
T間認証におけるProxyMT側の認証処理のフロー
チャート。FIG. 42 is an MT-M implemented in the ninth embodiment.
The flowchart of the authentication process on the Proxy MT side in the T-to-T authentication.
【図43】第9の実施の形態において実施するMT−A
S間認証における新規MT側の認証処理のフローチャー
ト。FIG. 43 is an MT-A implemented in the ninth embodiment.
The flowchart of the authentication process of the new MT side in S authentication.
【図44】第9の実施の形態において実施するMT−A
S間認証におけるAS側の認証処理のフローチャート。FIG. 44 is an MT-A implemented in the ninth embodiment.
The flowchart of the authentication process on the AS side in S authentication.
【図45】第9の実施の形態において実施するMT−A
S間認証におけるProxyMT側又は基地局(AP)
側の認証2用パケット受信時の認証処理のフローチャー
ト。FIG. 45 is an MT-A implemented in the ninth embodiment.
ProxyMT side or base station (AP) in S-to-S authentication
The flowchart of the authentication process at the time of receiving the authentication 2 packet on the side.
【図46】第9の実施の形態において実施するMT−A
S間認証における中継MT側のパケット中継処理のフロ
ーチャート。FIG. 46 is an MT-A implemented in the ninth embodiment.
The flowchart of the packet relay process by the relay MT side in S authentication.
【図47】本発明の第10の実施の形態の無線マルチホ
ップネットワークにおいて実施するMT間認証における
新規MT側の認証処理のフローチャート。FIG. 47 is a flowchart of authentication processing on the new MT side in MT-MT authentication carried out in the wireless multi-hop network according to the tenth embodiment of the present invention.
【図48】本発明の第11の実施の形態の無線マルチホ
ップネットワークにおいて実施するMT間認証における
新規MT側の認証処理のフローチャート。FIG. 48 is a flowchart of authentication processing on the new MT side in MT-MT authentication executed in the wireless multi-hop network according to the eleventh embodiment of the present invention.
【図49】本発明の第12の実施の形態の無線マルチホ
ップネットワークにおいて実施するMT間認証における
新規MT側の認証処理のフローチャート。FIG. 49 is a flowchart of authentication processing on the new MT side in MT-MT authentication executed in the wireless multi-hop network according to the twelfth embodiment of the present invention.
【図50】従来から提案されている無線アクセスネット
ワークの機能構成のブロック図。FIG. 50 is a block diagram of a functional configuration of a conventionally proposed radio access network.
【図51】従来から提案されている無線アクセスネット
ワークに対するDoS攻撃の説明図。FIG. 51 is an explanatory diagram of a DoS attack on a conventionally proposed wireless access network.
【図52】従来から提案されている無線アクセスネット
ワークにおける認証処理の多重発生のメカニズムの説明
図。FIG. 52 is an explanatory diagram of a mechanism of multiple occurrence of authentication processing in a conventionally proposed wireless access network.
【図53】従来から提案されている無線マルチホップネ
ットワークの機能構成のブロック図。FIG. 53 is a block diagram of a functional configuration of a conventionally proposed wireless multi-hop network.
【図54】従来から提案されている無線マルチホップネ
ットワークにおける認証処理の多重発生のメカニズムの
説明図。FIG. 54 is an explanatory diagram of a mechanism of multiple occurrence of authentication processing in a conventionally proposed wireless multi-hop network.
101 無線端末との相互認証機能
102 無線端末管理機能
103 有線区間パケット検査機能
104 パケット判別機能
105 基地局との相互認証機能
106 基地局管理機能
107 無線端末移動管理機能
201 認証用パケット転送機能
202 無線区間パケット検査機能
203 有線区間パケット検査機能
204 パケット判別機能
205 パケット中継機能
206 認証サーバとの相互認証機能
207 無線端末との相互認証機能
208 パケット転送判断機能
209 無線端末管理機能
210 リソース開放機能
301 認証サーバとの相互認証機能
302 無線区間パケット検査機能
303 パケット判別機能
304 パケット中継機能
305 基地局との相互認証機能
307 無線端末との相互認証機能
308 無線端末選択機能
309 パケット転送機能
AS 認証サーバ(Authentication S
erver)
AP 基地局(Access Point)
MT 無線端末(Mobile Terminal)
NW (有線)事業者用ネットワーク101 Mutual Authentication Function with Wireless Terminal 102 Wireless Terminal Management Function 103 Wired Section Packet Inspection Function 104 Packet Discrimination Function 105 Mutual Authentication Function with Base Station 106 Base Station Management Function 107 Wireless Terminal Mobility Management Function 201 Authentication Packet Transfer Function 202 Wireless Section packet inspection function 203 Wired section packet inspection function 204 Packet discrimination function 205 Packet relay function 206 Mutual authentication function with authentication server 207 Mutual authentication function with wireless terminal 208 Packet transfer judgment function 209 Wireless terminal management function 210 Resource release function 301 Authentication Mutual authentication function with server 302 Wireless section packet inspection function 303 Packet discrimination function 304 Packet relay function 305 Mutual authentication function with base station 307 Mutual authentication function with wireless terminal 308 Wireless terminal selection function 309 Packet transfer function AS Authentication Server (Authentication S
AP AP base station (Access Point) MT wireless terminal (Mobile Terminal) NW (wired) carrier network
───────────────────────────────────────────────────── フロントページの続き (72)発明者 中山 正芳 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 須田 博人 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5J104 AA07 KA02 MA01 PA07 5K030 GA15 HA08 JL01 JT09 LB05 5K067 AA32 BB02 BB21 CC08 DD17 EE02 EE10 HH22 HH24 HH36 ─────────────────────────────────────────────────── ─── Continued front page (72) Inventor Masayoshi Nakayama 2-3-1, Otemachi, Chiyoda-ku, Tokyo Inside Telegraph and Telephone Corporation (72) Inventor Hiroto Suda 2-3-1, Otemachi, Chiyoda-ku, Tokyo Inside Telegraph and Telephone Corporation F-term (reference) 5J104 AA07 KA02 MA01 PA07 5K030 GA15 HA08 JL01 JT09 LB05 5K067 AA32 BB02 BB21 CC08 DD17 EE02 EE10 HH22 HH24 HH36
Claims (18)
通信する基地局と、この基地局と事業者側ネットワーク
で接続された認証サーバとから構成される無線アクセス
ネットワークにおいて、 A.前記基地局は、前記事業者側ネットワークに新規に
接続するときに基地局−認証サーバ間認証用パケットを
送信して前記認証サーバと相互認証を行う処理機能、 B.前記無線端末は、当該無線アクセスネットワークに
新規にアクセスするときに近隣にある基地局と相互認証
を行い、認証成功後に無線端末−認証サーバ間認証用パ
ケットを送信し、前記基地局は、前記無線端末との相互
認証が成功したときに当該無線端末から送信されてきた
前記無線端末−認証サーバ間認証用パケットの転送を許
可し、前記認証サーバは、前記無線端末−認証サーバ間
認証用パケットにより前記基地局を介して前記無線端末
と相互認証を行う処理機能、 C.前記無線端末、基地局、認証サーバそれぞれは、前
記無線端末−認証サーバ間認証用パケットを送信し又は
転送するときに送信元を示すパケット検査データを当該
認証用パケットに添付する処理機能、 D.前記無線端末、基地局、認証サーバそれぞれは、前
記無線端末−認証サーバ間認証用パケットを受信したと
きに、それに添付されているパケット検査データを検査
し、当該検査が失敗した場合はそれが添付されている認
証用パケットを破棄する処理機能、 E.前記認証サーバは認証した新規の基地局、新規の無
線端末それぞれの情報を自装置に登録する処理機能を備
えたことを特徴とする無線アクセスネットワーク。1. A wireless access network comprising a wireless terminal, a base station wirelessly communicating with the wireless terminal, and an authentication server connected to the base station via a carrier side network. The base station transmits a base station-authentication server authentication packet when newly connecting to the business operator side network, and performs mutual authentication with the authentication server. B. The wireless terminal performs mutual authentication with a neighboring base station when newly accessing the wireless access network, and transmits a wireless terminal-authentication server authentication packet after successful authentication, and the base station uses the wireless When the mutual authentication with the terminal is successful, the transfer of the wireless terminal-authentication server authentication packet transmitted from the wireless terminal is permitted, and the authentication server uses the wireless terminal-authentication server authentication packet. A processing function of performing mutual authentication with the wireless terminal via the base station; Each of the wireless terminal, the base station, and the authentication server attaches packet inspection data indicating a transmission source to the authentication packet when transmitting or transferring the wireless terminal-authentication server authentication packet, D. Each of the wireless terminal, the base station, and the authentication server, when receiving the authentication packet between the wireless terminal and the authentication server, inspects the packet inspection data attached to it, and if the inspection fails, attaches it. A processing function for discarding the authentication packet that has been set, E. A wireless access network, wherein the authentication server has a processing function of registering information of each of the authenticated new base station and new authenticated wireless terminal in its own device.
末と無線通信する基地局と、この基地局と事業者側ネッ
トワークを通じて接続される認証サーバとから構成され
る無線マルチホップネットワークにおいて、 A.前記基地局は、新規に事業者側ネットワークに接続
するときに前記認証サーバと基地局−認証サーバ間認証
パケットを用いて相互認証を行う処理機能、 B.前記無線端末は、新規に当該無線マルチホップネッ
トワークにアクセスするときに近隣の認証済みの無線端
末又は基地局と無線端末間認証用パケットによって相互
認証を行う処理機能、 C.前記無線端末間の相互認証が成功した無線端末又は
基地局が複数あれば、その中から1つの無線端末又は基
地局を選択し、前記選択された無線端末又は基地局は、
前記新規無線端末から送信された無線端末−認証サーバ
間認証用パケットの転送を許可する処理機能、 D.前記新規無線端末は、前記無線端末間の相互認証の
成功後に、無線端末−認証サーバ間認証用パケットを用
い、選択した無線端末又は基地局を経由して前記認証サ
ーバと相互認証を行う処理機能、 E.前記新規無線端末、選択された無線端末、基地局、
認証サーバそれぞれは、前記無線端末−認証サーバ間認
証用パケットを送信し又は転送するときに送信元を示す
パケット検査データを当該認証用パケットに添付する処
理機能、 F.前記新規無線端末、選択された無線端末、基地局、
認証サーバそれぞれは、前記無線端末−認証サーバ間認
証用パケットを受信したときに、それに添付されている
パケット検査データを検査し、当該検査が失敗した場合
はそれが添付されている認証用パケットを破棄する処理
機能、 G.前記認証サーバは相互認証に成功した新規の基地
局、新規の無線端末それぞれの情報を自装置に登録する
処理機能を備えたことを特徴とする無線マルチホップネ
ットワーク。2. A wireless multi-hop network comprising a wireless terminal having a relay capability, a base station wirelessly communicating with the wireless terminal, and an authentication server connected to the base station via a carrier side network, . The base station performs a processing function of performing mutual authentication using the authentication server and a base station-authentication server authentication packet when newly connecting to the business operator side network, B. The wireless terminal, when newly accessing the wireless multi-hop network, performs a mutual authentication with a nearby authenticated wireless terminal or a base station and a packet for authentication between wireless terminals, C. If there are a plurality of wireless terminals or base stations for which mutual authentication between the wireless terminals has succeeded, one wireless terminal or base station is selected from among them, and the selected wireless terminal or base station is
A processing function for permitting the transfer of the authentication packet between the wireless terminal and the authentication server transmitted from the new wireless terminal, D. After the successful mutual authentication between the wireless terminals, the new wireless terminal uses a wireless terminal-authentication server authentication packet to perform mutual authentication with the authentication server via the selected wireless terminal or base station. , E. The new wireless terminal, the selected wireless terminal, the base station,
Each of the authentication servers attaches packet inspection data indicating a transmission source to the authentication packet when transmitting or transferring the wireless terminal-authentication server authentication packet, F. The new wireless terminal, the selected wireless terminal, the base station,
Each of the authentication servers, when receiving the authentication packet between the wireless terminal and the authentication server, inspects the packet inspection data attached thereto, and if the inspection fails, the authentication packet attached with the inspection packet. Processing function of discarding, G. A wireless multi-hop network characterized in that the authentication server has a processing function of registering information of a new base station and a new wireless terminal, which have succeeded in mutual authentication, in their own devices.
通信する基地局と、この基地局と事業者側ネットワーク
で接続された認証サーバとから構成される無線アクセス
ネットワークに用いられる無線端末であって、 前記無線アクセスネットワークに新規にアクセスすると
きに、無線端末−基地局間認証用パケットを送信して近
隣の基地局と相互認証を行い、認証成功後に無線端末−
認証サーバ間認証用パケットを送信し、認証サーバとの
間で相互認証を行う機能を備えたことを特徴とする無線
端末。3. A wireless terminal used in a wireless access network including a wireless terminal, a base station that wirelessly communicates with the wireless terminal, and an authentication server connected to the base station through a network on the business side. In the case of newly accessing the wireless access network, a wireless terminal-a base station authentication packet is transmitted to perform mutual authentication with a neighboring base station, and after successful authentication, the wireless terminal-
A wireless terminal having a function of transmitting an authentication packet between authentication servers and performing mutual authentication with the authentication server.
パケットに送信元を示すパケット検査データを算出して
添付する機能を備えた請求項3に記載の無線端末。4. The wireless terminal according to claim 3, further comprising a function of calculating and attaching packet inspection data indicating a transmission source to a transmitting wireless terminal-authentication server authentication packet.
を送信し、複数の基地局から応答を受けたとき、無線端
末−基地局間認証において正当な1つの基地局を選択
し、当該基地局を通じて前記無線端末−認証サーバ間認
証用パケットを前記認証サーバに送信する機能を備えた
ことを特徴とする請求項3又は4に記載の無線端末。5. When the wireless terminal-base station authentication packet is transmitted and responses are received from a plurality of base stations, one legitimate base station is selected in the wireless terminal-base station authentication and the base The wireless terminal according to claim 3 or 4, further comprising a function of transmitting the authentication packet between the wireless terminal and the authentication server to the authentication server via a station.
を送信し、複数の基地局から応答を受けたとき、応答の
早い基地局から優先的に選択して無線端末−基地局間認
証を実行する機能を備えたことを特徴とする請求項5に
記載の無線端末。6. The wireless terminal-base station authentication packet is transmitted, and when a response is received from a plurality of base stations, the wireless terminal-base station authentication is preferentially selected from the base stations having a quick response. The wireless terminal according to claim 5, wherein the wireless terminal has a function of executing.
を送信し、複数の基地局から応答を受けたとき、応答信
号の受信レベルの強い基地局から優先的に選択して無線
端末−基地局間認証を実行する機能を備えたことを特徴
とする請求項5に記載の無線端末。7. When the wireless terminal-base station authentication packet is transmitted and a response is received from a plurality of base stations, the wireless terminal-base is preferentially selected from the base stations having strong reception levels of response signals. The wireless terminal according to claim 5, further comprising a function of performing inter-office authentication.
を送信し、複数の基地局から応答を受けたとき、各基地
局間との無線端末−基地局間の認証手続きにおいて取得
した情報に基づき、正当な基地局を選択する機能を備え
たことを特徴とする請求項5に記載の無線端末。8. When the wireless terminal-base station authentication packet is transmitted and a response is received from a plurality of base stations, the information obtained in the wireless terminal-base station authentication procedure between each base station is added. The wireless terminal according to claim 5, further comprising a function of selecting an authorized base station based on the wireless terminal.
通信する基地局と、この基地局と事業者側ネットワーク
で接続された認証サーバとから構成される無線アクセス
ネットワーク又は無線マルチアクセスネットワークに用
いられる認証サーバであって、 新規にアクセスしてきた基地局と相互認証を実行し、認
証が成功した基地局の情報を自装置に登録する機能と、 無線端末−認証サーバ間認証用パケットにパケット検査
データを添付して基地局に送信し、基地局から送られて
きた無線端末−認証サーバ間認証用パケットに添付され
ているパケット検査データを検査し、検査が失敗した場
合はそのパケットを破棄し、この検査が成功すれば無線
端末との相互認証を実施し、相互認証に成功した無線端
末の情報を自装置に登録する機能を備えたことを特徴と
する認証サーバ。9. A wireless access network or a wireless multi-access network comprising a wireless terminal, a base station wirelessly communicating with the wireless terminal, and an authentication server connected to the base station via a carrier side network. The authentication server used to perform the mutual authentication with the newly accessed base station and register the information of the successfully authenticated base station in its own device, and the authentication packet between the wireless terminal and the authentication server. The packet inspection data is attached and transmitted to the base station. The packet inspection data attached to the wireless terminal-authentication server authentication packet sent from the base station is inspected. If the inspection fails, the packet is sent. It has a function of discarding it, performing mutual authentication with the wireless terminal if this inspection is successful, and registering the information of the wireless terminal that has succeeded in mutual authentication in its own device. Authentication server, wherein the door.
地局の通信エリアへ移動したとき、当該無線端末との新
たな相互認証を実施し、認証が成功した後に当該無線端
末の属していた旧基地局へその無線端末が移動したこと
を通知する機能を備えたことを特徴とする請求項9に記
載の認証サーバ。10. When a wireless terminal that has succeeded in mutual authentication moves to a communication area of another base station, new mutual authentication is performed with the wireless terminal, and after the successful authentication, the wireless terminal belongs to the wireless terminal. The authentication server according to claim 9, further comprising a function of notifying the old base station that the wireless terminal has moved.
線通信する基地局と、この基地局と事業者側ネットワー
クで接続された認証サーバとから構成される無線アクセ
スネットワーク又は無線マルチホップネットワークにお
いて用いられる基地局であって、 新規に前記無線アクセスネットワーク又は無線マルチホ
ップネットワークに接続したときに、基地局−認証サー
バ間認証用パケットを前記認証サーバに送信して相互認
証を実行する機能を備えたことを特徴とする基地局。11. A wireless access network or a wireless multi-hop network including a wireless terminal, a base station wirelessly communicating with the wireless terminal, and an authentication server connected to the base station via a carrier side network. A base station used in, and when newly connecting to the wireless access network or the wireless multi-hop network, a function of transmitting a base station-authentication server authentication packet to the authentication server to perform mutual authentication. A base station characterized by having.
局間認証要求に対して相互認証を行い、当該相互認証が
成功したときに当該無線端末から送信されてきた無線端
末−認証サーバ間認証用パケットに対して、それに添付
されているパケット検査データを検査し、検査が失敗し
た場合はそのパケットを破棄し、当該検査が成功すれ
ば、当該無線端末−認証サーバ間認証用パケットを、自
装置で算出したパケット検査データを添付して認証サー
バに転送し、認証サーバから送信されてきた認証用パケ
ットに示されている認証結果を参照して新規無線端末が
送信したすべてのパケットの事業者側ネットワークヘの
転送を許可するか否かを判定する機能を備えたことを特
徴とする請求項11に記載の基地局。12. The wireless terminal-authentication server authentication transmitted from the wireless terminal when mutual authentication is performed in response to a wireless terminal-base station authentication request from a new wireless terminal and the mutual authentication is successful. Packet, the packet inspection data attached to the packet is inspected, and if the inspection fails, the packet is discarded. If the inspection is successful, the wireless terminal-authentication server authentication packet is automatically The packet inspection data calculated by the device is attached and transferred to the authentication server, and the operator of all packets sent by the new wireless terminal by referring to the authentication result shown in the authentication packet sent from the authentication server The base station according to claim 11, further comprising a function of determining whether to permit transfer to the side network.
の情報を自装置に登録する機能と、認証サーバから移動
通知を受けて、該当する無線端末の登録情報を削除する
機能とを備えたことを特徴とする請求項11又は12に
記載の基地局。13. A device having a function of registering information of each wireless terminal that has succeeded in mutual authentication in its own device and a function of deleting registration information of a corresponding wireless terminal upon receiving a movement notification from the authentication server. The base station according to claim 11 or 12, which is characterized.
端末と無線通信する基地局と、この基地局と事業者側ネ
ットワークを通じて接続される認証サーバとから構成さ
れる無線マルチホップネットワークにおいて用いられる
無線端末であって、 自装置が新規に無線マルチホップネットワークにアクセ
スするときには近隣の認証済みの他の無線端末又は基地
局と相互認証を行い、複数の無線端末又は基地局と相互
認証が成功した場合、正当な1つの無線端末又は基地局
をプロキシ端末として選択し、当該プロキシ端末を介し
て認証サーバとの相互認証を実行する機能と、 自装置が他の新規無線端末によって選択されたプロキシ
端末である場合には、他の新規無線端末から送信された
新規無線端末−認証サーバ間認証用パケットをルート上
の他の無線端末又は基地局に対して転送する機能とを備
えたことを特徴とする無線端末。14. A wireless multi-hop network comprising a wireless terminal having a relay capability, a base station wirelessly communicating with the wireless terminal, and an authentication server connected to the base station via a carrier side network. When a device is a wireless terminal and newly accesses the wireless multi-hop network, mutual authentication is performed with other authenticated wireless terminals or base stations in the vicinity, and mutual authentication with multiple wireless terminals or base stations has succeeded. In this case, the function of selecting one legitimate wireless terminal or base station as the proxy terminal and executing mutual authentication with the authentication server via the proxy terminal, and the proxy terminal selected by the new wireless terminal If it is, the new wireless terminal-authentication server authentication packet transmitted from another new wireless terminal is transmitted to another Wireless terminal characterized by comprising a function of transferring to the line terminal or a base station.
トワークにアクセスするときに、無線端末間認証用パケ
ットを近隣の他の無線端末又は基地局に送信する機能
と、 自装置が新規無線端末である場合に、無線端末−認証サ
ーバ間認証用パケットに送信元を示すパケット検査デー
タを添付して送信する機能と、 自装置が他の新規無線端末によって選択されたプロキシ
端末である場合には、他の新規無線端末又は基地局から
送信された無線端末−認証サーバ間認証用パケットに対
してパケット検査データを検査し、検査が失敗すればそ
の認証用パケットを破棄し、当該検査が成功すれば当該
認証用パケットに自装置で算出した送信元を示すパケッ
ト検査データを添付してルート上の他の無線端末又は基
地局に対して転送する機能とを備えたことを特徴とする
請求項14に記載の無線端末。15. A function of transmitting a packet for authentication between wireless terminals to another wireless terminal or a base station in the vicinity when the apparatus itself newly accesses the wireless multi-hop network, and the apparatus itself is a new wireless terminal. In this case, the function to attach the packet inspection data indicating the transmission source to the authentication packet between the wireless terminal and the authentication server and to send it, and if the own device is a proxy terminal selected by another new wireless terminal, Of the new wireless terminal or the wireless terminal-authentication server transmitted from the base station, the packet inspection data is inspected, and if the inspection fails, the authentication packet is discarded, and if the inspection is successful, It has a function to attach the packet inspection data indicating the transmission source calculated by the device itself to the authentication packet and transfer it to another wireless terminal or base station on the route. The wireless terminal of claim 14, wherein.
認証要求に対して複数の他の無線端末又は基地局から応
答を受けたとき、応答の早い基地局又は他の無線端末か
ら優先的にプロキシ端末として選択する機能を備えたこ
とを特徴とする請求項14又は15に記載の無線端末。16. When receiving a response from a plurality of other wireless terminals or base stations in response to a mutual authentication request to the base station or other wireless terminals, the base station or the other wireless terminals that respond quickly give priority to the proxy. The wireless terminal according to claim 14 or 15, further comprising a function of selecting the terminal.
認証要求に対して複数の他の無線端末又は基地局から応
答を受けたとき、受信レベルの強い基地局又は他の無線
端末から優先的にプロキシ端末として選択する機能を備
えたことを特徴とする請求項14又は15に記載の無線
端末。17. When receiving a response from a plurality of other wireless terminals or base stations to a mutual authentication request to the base station or other wireless terminals, the base station or other wireless terminals having a strong reception level preferentially The wireless terminal according to claim 14 or 15, further comprising a function of selecting as a proxy terminal.
認証要求に対して複数の他の無線端末又は基地局から応
答を受けたとき、相互認証で取得した他の無線端末又は
基地局の情報に基づいてプロキシ端末を選択する機能を
備えたことを特徴とする請求項14又は15に記載の無
線端末。18. When information is received from a plurality of other wireless terminals or base stations in response to a mutual authentication request to the base station or other wireless terminals, the information of the other wireless terminals or base stations acquired by the mutual authentication is added. The wireless terminal according to claim 14 or 15, further comprising a function of selecting a proxy terminal based on the proxy terminal.
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002045240A JP3880419B2 (en) | 2002-02-21 | 2002-02-21 | Wireless access network, wireless multi-hop network, authentication server, base station, and wireless terminal |
| DE60209826T DE60209826T2 (en) | 2001-03-16 | 2002-03-15 | Wireless communication system with user-owned access points |
| US10/099,038 US7075912B2 (en) | 2001-03-16 | 2002-03-15 | Wireless communication system using access points that can be freely set up by users |
| CA002376987A CA2376987C (en) | 2001-03-16 | 2002-03-15 | Wireless communication system using access points that can be freely set up by users |
| EP02005383A EP1241903B1 (en) | 2001-03-16 | 2002-03-15 | Wireless communication system using user-owned access points |
| KR10-2002-0014133A KR100487062B1 (en) | 2001-03-16 | 2002-03-15 | Wireless communication system using access points that can be freely set up by users |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002045240A JP3880419B2 (en) | 2002-02-21 | 2002-02-21 | Wireless access network, wireless multi-hop network, authentication server, base station, and wireless terminal |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003249944A true JP2003249944A (en) | 2003-09-05 |
| JP3880419B2 JP3880419B2 (en) | 2007-02-14 |
Family
ID=28659232
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002045240A Expired - Fee Related JP3880419B2 (en) | 2001-03-16 | 2002-02-21 | Wireless access network, wireless multi-hop network, authentication server, base station, and wireless terminal |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3880419B2 (en) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005117656A (en) * | 2003-10-03 | 2005-04-28 | Fujitsu Ltd | Apparatus, method and medium for self-organizing multi-hop radio access network |
| WO2005071879A1 (en) * | 2004-01-23 | 2005-08-04 | Mitsubishi Denki Kabushiki Kaisha | Method and system for authenticating access point in wireless network |
| JP2006072493A (en) * | 2004-08-31 | 2006-03-16 | Ntt Docomo Inc | Relay device and authentication method |
| WO2006057280A1 (en) * | 2004-11-29 | 2006-06-01 | Ibm Japan, Ltd. | Relay device, relay method, and program |
| JP2007060566A (en) * | 2005-08-26 | 2007-03-08 | Canon Inc | Wireless device, wireless connection method, and program |
| JP2007074393A (en) * | 2005-09-07 | 2007-03-22 | Ntt Docomo Inc | A system for building secure ad hoc networks |
| JP2007329951A (en) * | 2007-07-17 | 2007-12-20 | Matsushita Electric Ind Co Ltd | Authentication server, network use terminal, secondary terminal, and communication method |
| JP2008097600A (en) * | 2006-10-06 | 2008-04-24 | Ricoh Co Ltd | Prevent blocking of network traffic during port-based authentication |
| JP2008541666A (en) * | 2005-05-18 | 2008-11-20 | スプリント コミュニケーションズ カンパニー,エル.ピー. | Internet communication between the radio base station and the service node |
| JP2009060604A (en) * | 2002-11-25 | 2009-03-19 | Fujitsu Ltd | Client authentication method and node |
| US7508767B2 (en) | 2004-07-09 | 2009-03-24 | Fujitsu Limited | Access management method and access management server |
| WO2009096121A1 (en) * | 2008-01-31 | 2009-08-06 | Nec Corporation | Radio communication system, base station device, gateway device, and radio communication method |
| WO2009148126A1 (en) * | 2008-06-04 | 2009-12-10 | 株式会社エヌ・ティ・ティ・ドコモ | Mobile communication method, mobile communication system, and information transmission device |
| WO2009148129A1 (en) * | 2008-06-04 | 2009-12-10 | 株式会社エヌ・ティ・ティ・ドコモ | Mobile communication method and network device |
| JP2010503326A (en) * | 2006-09-07 | 2010-01-28 | モトローラ・インコーポレイテッド | Security authentication and key management in infrastructure-based wireless multi-hop networks |
| JP2010515368A (en) * | 2006-12-27 | 2010-05-06 | インターデイジタル テクノロジー コーポレーション | Method and apparatus for self-configuring a base station |
| JP2010526486A (en) * | 2007-04-30 | 2010-07-29 | インターデイジタル テクノロジー コーポレーション | Home (e) Node-B with new features |
| JP2011239146A (en) * | 2010-05-10 | 2011-11-24 | Toshiba Corp | Communication device and communication method |
| US8412274B2 (en) | 2006-06-08 | 2013-04-02 | Hitachi Kokusai Electric Inc. | Wireless base station device |
| US8726022B2 (en) | 2002-11-06 | 2014-05-13 | China Iwncomm Co., Ltd | Method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely |
| US8977839B2 (en) | 2006-10-20 | 2015-03-10 | Interdigital Technology Corporation | Method and apparatus for self configuration of LTE E-Node Bs |
| JP2017517915A (en) * | 2014-03-31 | 2017-06-29 | 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司China Iwncomm Co., Ltd. | Entity authentication method and apparatus |
| JP2024507840A (en) * | 2021-02-19 | 2024-02-21 | レノボ・シンガポール・プライベート・リミテッド | Authentication of network services |
-
2002
- 2002-02-21 JP JP2002045240A patent/JP3880419B2/en not_active Expired - Fee Related
Cited By (49)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8726022B2 (en) | 2002-11-06 | 2014-05-13 | China Iwncomm Co., Ltd | Method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely |
| US8688041B2 (en) | 2002-11-25 | 2014-04-01 | Fujitsu Limited | Methods and apparatus for secure, portable, wireless and multi-hop data networking |
| JP2009153142A (en) * | 2002-11-25 | 2009-07-09 | Fujitsu Ltd | Wireless network node device and wireless backbone network construction method |
| US7881667B2 (en) | 2002-11-25 | 2011-02-01 | Fujitsu Limited | Methods and apparatus for secure, portable, wireless and multi-hop data networking |
| JP2009060604A (en) * | 2002-11-25 | 2009-03-19 | Fujitsu Ltd | Client authentication method and node |
| JP2005117656A (en) * | 2003-10-03 | 2005-04-28 | Fujitsu Ltd | Apparatus, method and medium for self-organizing multi-hop radio access network |
| WO2005071879A1 (en) * | 2004-01-23 | 2005-08-04 | Mitsubishi Denki Kabushiki Kaisha | Method and system for authenticating access point in wireless network |
| US7508767B2 (en) | 2004-07-09 | 2009-03-24 | Fujitsu Limited | Access management method and access management server |
| JP2006072493A (en) * | 2004-08-31 | 2006-03-16 | Ntt Docomo Inc | Relay device and authentication method |
| WO2006057280A1 (en) * | 2004-11-29 | 2006-06-01 | Ibm Japan, Ltd. | Relay device, relay method, and program |
| JP2008541666A (en) * | 2005-05-18 | 2008-11-20 | スプリント コミュニケーションズ カンパニー,エル.ピー. | Internet communication between the radio base station and the service node |
| US8228933B2 (en) | 2005-05-18 | 2012-07-24 | Sprint Communications Company L.P. | Internet communications between wireless base stations and service nodes |
| US8059672B2 (en) | 2005-05-18 | 2011-11-15 | Sprint Communications Company L.P. | Internet communications between wireless base stations and service nodes |
| JP2007060566A (en) * | 2005-08-26 | 2007-03-08 | Canon Inc | Wireless device, wireless connection method, and program |
| JP2007074393A (en) * | 2005-09-07 | 2007-03-22 | Ntt Docomo Inc | A system for building secure ad hoc networks |
| US8412274B2 (en) | 2006-06-08 | 2013-04-02 | Hitachi Kokusai Electric Inc. | Wireless base station device |
| JP2010503326A (en) * | 2006-09-07 | 2010-01-28 | モトローラ・インコーポレイテッド | Security authentication and key management in infrastructure-based wireless multi-hop networks |
| JP2008097600A (en) * | 2006-10-06 | 2008-04-24 | Ricoh Co Ltd | Prevent blocking of network traffic during port-based authentication |
| US9609689B2 (en) | 2006-10-20 | 2017-03-28 | Interdigital Technology Corporation | Method and apparatus for self configuration of LTE e-Node Bs |
| US9320066B2 (en) | 2006-10-20 | 2016-04-19 | Interdigital Technology Corporation | Method and apparatus for self configuration of LTE E-node Bs |
| US8977839B2 (en) | 2006-10-20 | 2015-03-10 | Interdigital Technology Corporation | Method and apparatus for self configuration of LTE E-Node Bs |
| US9854497B2 (en) | 2006-10-20 | 2017-12-26 | Interdigital Technology Corporation | Method and apparatus for self configuration of LTE e-Node Bs |
| US10652766B2 (en) | 2006-12-27 | 2020-05-12 | Signal Trust For Wireless Innovation | Method and apparatus for base station self-configuration |
| US9807623B2 (en) | 2006-12-27 | 2017-10-31 | Signal Trust For Wireless Innovation | Method and apparatus for base station self-configuration |
| US10225749B2 (en) | 2006-12-27 | 2019-03-05 | Signal Trust For Wireless Innovation | Method and apparatus for base station self-configuration |
| US8478343B2 (en) | 2006-12-27 | 2013-07-02 | Interdigital Technology Corporation | Method and apparatus for base station self-configuration |
| JP2010515368A (en) * | 2006-12-27 | 2010-05-06 | インターデイジタル テクノロジー コーポレーション | Method and apparatus for self-configuring a base station |
| US9100849B2 (en) | 2006-12-27 | 2015-08-04 | Signal Trust For Wireless Innovation | Methods and apparatus for base station self-configuration |
| US11595832B2 (en) | 2006-12-27 | 2023-02-28 | Interdigital Patent Holdings, Inc. | Method and apparatus for base station self-configuration |
| US8769308B2 (en) | 2007-04-30 | 2014-07-01 | Interdigital Technology Corporation | Home (e)Node-B with new functionality |
| JP2013176104A (en) * | 2007-04-30 | 2013-09-05 | Interdigital Technology Corp | HOME (e)NODE-B WITH NEW FUNCTIONALITY |
| KR101314003B1 (en) | 2007-04-30 | 2013-10-04 | 인터디지탈 테크날러지 코포레이션 | A HOME (e)Node-B WITH FUNCTIONALITY |
| JP2010526486A (en) * | 2007-04-30 | 2010-07-29 | インターデイジタル テクノロジー コーポレーション | Home (e) Node-B with new features |
| JP2007329951A (en) * | 2007-07-17 | 2007-12-20 | Matsushita Electric Ind Co Ltd | Authentication server, network use terminal, secondary terminal, and communication method |
| WO2009096121A1 (en) * | 2008-01-31 | 2009-08-06 | Nec Corporation | Radio communication system, base station device, gateway device, and radio communication method |
| US9271195B2 (en) | 2008-01-31 | 2016-02-23 | Nec Corporation | Radio communication system, base station, gateway, and radio communication method |
| JP5163658B2 (en) * | 2008-01-31 | 2013-03-13 | 日本電気株式会社 | Wireless communication system, base station apparatus, gateway apparatus, and wireless communication method |
| CN102057713A (en) * | 2008-06-04 | 2011-05-11 | 株式会社Ntt都科摩 | Mobile communication method, mobile communication system, and information transmission device |
| CN102057713B (en) * | 2008-06-04 | 2014-01-15 | 株式会社Ntt都科摩 | Mobile communication method, mobile communication system, and information transmission device |
| US8509151B2 (en) | 2008-06-04 | 2013-08-13 | Ntt Docomo, Inc. | Mobile communication method, mobile communication system, and information transfer device |
| US8700001B2 (en) | 2008-06-04 | 2014-04-15 | Ntt Docomo, Inc. | Radio communication method and network device for detecting unauthorized movement of a home radio base station |
| JP5010027B2 (en) * | 2008-06-04 | 2012-08-29 | 株式会社エヌ・ティ・ティ・ドコモ | Mobile communication method, mobile communication system, and information transfer apparatus |
| WO2009148129A1 (en) * | 2008-06-04 | 2009-12-10 | 株式会社エヌ・ティ・ティ・ドコモ | Mobile communication method and network device |
| WO2009148126A1 (en) * | 2008-06-04 | 2009-12-10 | 株式会社エヌ・ティ・ティ・ドコモ | Mobile communication method, mobile communication system, and information transmission device |
| JP2011239146A (en) * | 2010-05-10 | 2011-11-24 | Toshiba Corp | Communication device and communication method |
| US8898454B2 (en) | 2010-05-10 | 2014-11-25 | Kabushiki Kaisha Toshiba | Communication device and communication method |
| JP2017517915A (en) * | 2014-03-31 | 2017-06-29 | 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司China Iwncomm Co., Ltd. | Entity authentication method and apparatus |
| JP2024507840A (en) * | 2021-02-19 | 2024-02-21 | レノボ・シンガポール・プライベート・リミテッド | Authentication of network services |
| US12495037B2 (en) | 2021-02-19 | 2025-12-09 | Lenovo (Singapore) Pte. Ltd. | Authentication for a network service |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3880419B2 (en) | 2007-02-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2003249944A (en) | Wireless access network, wireless multi-hop network, authentication server, base station and wireless terminal | |
| JP4865819B2 (en) | Monitor local area network | |
| EP2553898B1 (en) | Method and system for authenticating a point of access | |
| JP4287289B2 (en) | Detection of unauthorized stations in wireless local area networks | |
| JP4764108B2 (en) | Wireless terminal, management device, wireless LAN control method, wireless LAN system | |
| CN101335984B (en) | Household miniature base station access control method and system | |
| JP6045685B2 (en) | Efficient device handover / movement in mesh networks | |
| JP2005522132A5 (en) | ||
| CN101595675A (en) | Method and system for inter-subnet pre-authentication | |
| JP3196747B2 (en) | Mobile radio, base station radio, and recording medium thereof | |
| CN1964522A (en) | Method for enabling a base station to connect to a wireless telecommunication network | |
| CN101300877A (en) | Reduced delays in the authentication process between the wireless unit and the access point | |
| JPWO2007083541A1 (en) | Communication system and information management method | |
| US20100260145A1 (en) | Method for controlling the operation of a base station of a wireless cellular telecommunication network | |
| JP7132632B2 (en) | Data transfer system and data transfer method | |
| KR101018562B1 (en) | Method and apparatus for providing supplicant access to requesting services | |
| KR100590862B1 (en) | Apparatus and method for data call processing in private wireless high speed data system | |
| EP1763177B1 (en) | Method of authenticating access points of a wireless network | |
| JP4206954B2 (en) | A communication system, a mobile radio terminal, an information management server, and a radio access point device. | |
| Tchakounté et al. | ‘Recognizing illegitimate access points based on static features: A case study in a campus WiFi network | |
| JP2004266516A (en) | Network management server, communication terminal, edge switch device, communication program, and network system | |
| JP3942174B2 (en) | COMMUNICATION CONTROL METHOD, RELAY DEVICE, PROGRAM, AND RECORDING MEDIUM | |
| CN120075801A (en) | Communication method and related equipment | |
| CN117544953A (en) | WAPI access authentication method, system, AS and medium | |
| CN112839015A (en) | Method, device and system for detecting attack Mesh node |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050520 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050816 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051014 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060523 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060720 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20061024 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20061107 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101117 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101117 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111117 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111117 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121117 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121117 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131117 Year of fee payment: 7 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |