JP2004072631A - 無線通信における認証システム、認証方法及び端末装置 - Google Patents
無線通信における認証システム、認証方法及び端末装置 Download PDFInfo
- Publication number
- JP2004072631A JP2004072631A JP2002232030A JP2002232030A JP2004072631A JP 2004072631 A JP2004072631 A JP 2004072631A JP 2002232030 A JP2002232030 A JP 2002232030A JP 2002232030 A JP2002232030 A JP 2002232030A JP 2004072631 A JP2004072631 A JP 2004072631A
- Authority
- JP
- Japan
- Prior art keywords
- network
- authentication
- communication
- terminal device
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】セキュリティを高めつつもできるだけ安価に、端末の安全な通信を実現できる無線通信における認証システムを提供する。
【解決手段】基地局と接続されるネットワークAと、アクセスポイント(AP)と接続されるネットワークBとが相互接続され、ネットワークAに接続される端末認証サーバを前記ネットワークBのそれと共用し、端末装置は、ネットワークBのアクセスポイントと通信する第一通信手段と、ネットワークAの基地局と通信する第二通信手段と、前記ネットワークBと接続して通信を行なう際に、第二通信手段により、基地局との間で高いセキュリティが保証される無線回線に接続して認証のための情報を送信する手段を備え、認証サーバは、送られてきた前記認証のための情報に基づいて、端末装置に対するアクセスポイントへのアクセスの可否を判定し、結果をアクセスポイントに通知することを特徴とする認証システム。
【選択図】 図1
【解決手段】基地局と接続されるネットワークAと、アクセスポイント(AP)と接続されるネットワークBとが相互接続され、ネットワークAに接続される端末認証サーバを前記ネットワークBのそれと共用し、端末装置は、ネットワークBのアクセスポイントと通信する第一通信手段と、ネットワークAの基地局と通信する第二通信手段と、前記ネットワークBと接続して通信を行なう際に、第二通信手段により、基地局との間で高いセキュリティが保証される無線回線に接続して認証のための情報を送信する手段を備え、認証サーバは、送られてきた前記認証のための情報に基づいて、端末装置に対するアクセスポイントへのアクセスの可否を判定し、結果をアクセスポイントに通知することを特徴とする認証システム。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、無線通信における認証システム、認証方法及び端末装置に関する。
【0002】
【従来の技術】
近年、「ホットスポット」と呼ばれる喫茶店やレストラン、空港、駅、ホテルなどに、事業者(オペレータ)が無線ネットワーク機器(以下、アクセスポイントという)を設置して、インターネットの利用サービスを提供している。ユーザの端末装置(パソコン、PDA、携帯電話など)には、通常、無線LANの機能(例:IEEE802.11b対応)のパソコンやPDAが備えられ、アクセスポイントに接続されるネットワークに接続することで、ホットスポットの圏内でのインターネットの利用が可能となっている。
【0003】
こうしたホットスポットシステムでは、ユーザ端末(以下、端末装置という)とアクセスポイント間の通信が無線で行われるため通信データを第三者に傍受される危険性が常につきまとう。このような問題に対しては、WEP(Wired Equivalent Privacy)暗号化やESS(Extended Service Set) IDで対処しているのが一般的である。
【0004】
また、ホットスポットの圏内でコンピュータを利用しようとしている人にその権利があるかどうか正当性を検証する作業、いわゆる“認証”もセキュリティ面から見て重要となってくる。
【0005】
図5は、従来の端末装置とネットワーク間の相互認証方法の一例を示す図である。同図において、点線より下の(a)はホットスポットシステムを表し、(b)は他の通信システム、ここでは、移動通信システムを表す。(a)のホットスポットシステムは、自システムに収容される端末装置10、アクセスポイント(AP:Access point)20、通信ネットワーク30、ホットスポット用認証サーバ(AAAサーバ)40から構成される。一方、(b)の移動通信システムは、移動通信ネットワーク50、自システム加入者のユーザの認証に用いるセルラ用認証サーバ(AAAサーバ)60、基地局(BS:Base station)70から構成される。
【0006】
上記ホットスポット用AAAサーバ40は、例えば、端末装置10を所有するユーザの本人性を認証するためのサーバで、端末装置10からのアクセス要求を受け付け、認証(Authentication)、認可(Authorization)、アカウンティング(Accounting)を行なうサーバである。また、上記セルラ用AAAサーバ60は、自システム加入の移動端末(携帯電話など)からのアクセス要求を受け付け、自システム加入のユーザの認証、認可、アカウンティングを行なうサーバである。
【0007】
また、上記通信ネットワーク30と移動通信ネットワーク50は相互接続され、ホットスポットシステムの利用ユーザは、移動通信システムで提供されるサービスも利用することが可能となっている。
【0008】
ホットスポットシステムでは、(a)アクセスポイント20と端末装置10間または(b)端末装置10とホットスポット用AAAサーバ40間の相互認証が行われる。ここでは、(b)の端末装置10とホットスポット用AAAサーバ40間でなされる相互認証方法を一例にとり説明する。相互認証方法としては、秘密鍵暗号ベース相互認証方法(例えば、非特許文献1参照)が用いられる。
【0009】
(端末装置10とホットスポット用AAAサーバ40間の相互認証の説明)
相互認証方法とは、お互い(この場合、端末装置10とAAAサーバ40)が相手を認証する方法であり、ここでは、端末装置10とホットスポット用AAAサーバ40の両者が秘密鍵Kを共有し、相互に認証を行なう例を以下に示す。
【0010】
まず、端末装置10は乱数rAを生成して、それをアクセスポイント20経由でホットスポット用AAAサーバ40に送信(▲1▼)する。ホットスポット用AAAサーバ40は乱数rBを生成し、(rA‖rB)を、鍵Kを用いて暗号化した結果である情報X=EK(B‖A‖rA‖rB)をアクセスポイント20経由で端末装置10に送信(▲2▼)する。端末装置10は受信した情報Xを復号して、rAが含まれていることを確認するとともに、rBを取り出して情報Y=EK(A‖rB)を計算し、アクセスポイント20経由でホットスポット用AAAサーバ40に送信(▲3▼)する。ホットスポット用AAAサーバ40は情報Yを復号して、rBが含まれていることを確認すると、認証完了の旨をアクセスポイント20に通知(▲4▼)する。このようにして端末装置10とホットスポット用AAAサーバ40間での認証が完了すると、端末装置10とアクセスポイント20との間で通信が開始(▲5▼)される。
【0011】
一方で、無線通信基本サービスシステムのような提案が行われている(例えば、特許文献1参照)。この提案システムは、回線接続制御を行なうために双方向のデータ通信機能を新たに設け、かつ端末装置の位置登録情報をネットワーク(無線通信基本サービス事業者)側で管理することにより、サービスの相互乗り入れができるようになっている。
【0012】
【特許文献1】
特開平10−248091
【非特許文献1】
岡本、山本著「現代暗号」産業図書、1997
【発明が解決しようとする課題】
前述したように、ホットスポットシステムにおける相互認証方法では、アクセスポイント20と端末装置10間またはホットスポット用AAAサーバ40と端末装置10間の相互認証が必要であり、この相互認証のための認証プロトコルは簡単ではない。また、相互認証を行なうためには、認証サーバは複数回の情報の送受信及び認証処理が必要であり、結果的にシステムコストを増大させるという問題があった。
【0013】
また、上で示した従来技術(特開平10−248091)の場合、回線接続制御を行なうための双方向のデータ通信機能と、位置登録情報を管理するための機能を新たに設けるため、結果的にシステムコストが増加してしまう。さらに、位置登録情報を得るために端末装置と基地局間では、間欠的に通信を行なう必要があるため、周波数資源を消費するという欠点があった。
【0014】
本発明は、上記のような問題点に鑑みてなされたもので、その課題とするところは、セキュリティを高めつつもできるだけ安価な認証システムの構築コストで端末の安全な通信を実現できる無線通信における認証システム、電子認証方法及び端末装置を提供することである。
【0015】
【課題を解決するための手段】
上記課題を解決するため、本発明は、請求項1に記載されるように、基地局と接続されるネットワーク(以下、ネットワークAと呼ぶ)と、アクセスポイント(AP)と接続されるネットワーク(以下、ネットワークBと呼ぶ)とが相互接続され、それぞれのネットワークに収容される端末装置の認証を該それぞれのネットワークに接続される認証サーバにて行なう認証システムにおいて、前記ネットワークAに接続される認証サーバを前記ネットワークBと共通に適用し、前記端末装置は、前記ネットワークBのアクセスポイントと通信する第一通信手段と、 前記ネットワークAの基地局と通信する第二通信手段と、前記ネットワークBと接続して通信を行なう際に、前記第二通信手段により、前記基地局との間で高いセキュリティが保証される無線回線に接続して認証のための情報を送信する認証情報送信手段を備え、前記認証サーバは、前記認証情報送信手段により送られてきた前記認証のための情報に基づいて、前記端末装置に対する前記アクセスポイントへのアクセスの許可又は不許可を判定する認証手段と、前記判定の結果を前記アクセスポイントに通知する認証結果通知手段とを備えたことを特徴としている。
【0016】
また、本発明の請求項2は、前記認証システムにおいて、前記アクセスポイントは、前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づいて生成された証明書を前記端末装置の第一通信手段に送信する証明書送信手段を備え、前記端末装置は、前記第一通信手段により受信した証明書を前記第二通信手段により前記認証サーバに送信する認証依頼送信手段を備え、前記認証サーバは、受信した前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定する正規証明書判定手段と、前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定された場合に、前記アクセスポイントに前記端末装置との通信許可を与える通知をする第一の通信許可通知手段を備えたことを特徴としている。
【0017】
また、本発明の請求項3は、前記認証システムにおいて、前記端末装置は、前記第一通信手段により受信した証明書に前記アクセスポイントが前記端末装置との通信開始に先立って必要となる秘密情報を付加する秘密情報付加手段を備え、前記認証依頼送信手段は、前記付加された秘密情報と前記証明書を合わせて前記認証サーバに送信することを特徴としている。
【0018】
また、本発明の請求項4は、前記認証システムにおいて、前記認証サーバは、前記第二通信手段により送られてきた秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定する通信権利判定手段を備え、
前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定され、かつ前記通信権利判定手段にて前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記アクセスポイントに前記端末装置との通信許可を与える通知をする第二の通信許可通知手段とを備えたことを特徴としている。
【0019】
また、本発明の請求項5は、前記認証システムにおいて、前記認証サーバは、前記認証依頼送信手段により送信される前記証明書と前記秘密情報を前記アクセスポイントに送信する認証情報送信手段を備え、前記アクセスポイントは、前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定するAP正規証明書判定手段と、前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定するAP通信権利判定手段とを備え、 前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定され、かつ前記通信権利判定手段にて前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記アクセスポイントに前記端末装置との通信を開始する通信開始判断手段をさらに備えたことを特徴としている。
【0020】
また、本発明の請求項6は、前記認証システムにおいて、前記ネットワークAで用いられる通信ネットワークとして移動通信ネットワーク、前記ネットワークBで用いられる通信ネットワークとしてアクセスポイントを介して通信を行なう無線LANであることを特徴としている。
【0021】
また、本発明の請求項7は、前記認証システムにおいて、前記端末装置は、前記第一通信手段として無線LANにアクセス可能な無線LAN無線通信手段と、前記第二通信手段として移動通信ネットワークにアクセス可能な移動通信網無線通信手段と、前記第一通信手段と前記第二通信手段とを有線又は無線で接続して情報のやりとりを行なう異システム間情報送受手段を備えたことを特徴としている。
【0022】
また、本発明の請求項8は、前記認証システムにおいて、前記端末装置は、前記無線LAN無線通信手段及び前記移動通信網無線通信手段に対応したソフトウェア・プログラムを外部よりダウンロードする無線回線接続制御プログラム記憶手段を備えたことを特徴としている。
【0023】
上記のような本発明の構成によれば、ネットワークB(例:無線LAN)に収容される端末装置の認証のための情報(証明書などの認証情報)を高いセキュリティが保証されている移動通信ネットワーク(ネットワークA)の基地局と端末装置間の無線区間を利用して認証サーバに送信するため、第三者による認証情報の盗用や改ざんをより的確に防ぐことができ、従来と比してセキュアな通信を実現することができる。また、無線LANを利用する端末装置の認証を移動通信ネットワークで用いられる認証サーバを利用して行なうので、異システム毎に必要であった認証サーバ数を削減することができる。その結果、無線LANシステムにおいて新しいシステムを構築する場合であっても、無線LANを利用する端末装置のセキュリティレベルを高くしつつ、極めて安価なセキュリティシステムの構築が可能である。
【0024】
【発明の実施の形態】
以下、本発明の実施の形態を図面に基づいて説明する。
【0025】
(実施の形態1)
図1は、本発明の実施の形態1に係る認証システムの概略図である。
【0026】
図1において、この認証システムは、双方向通信可能な通信回線に接続された端末装置10、通信ネットワーク(NW:Network)システムA(同図左側)、通信ネットワークシステムB(同図右側)、該通信ネットワークシステムAと該通信ネットワークシステムBとで共通の認証サーバ(以下、共通AAAサーバという)100とから構成される。上記通信ネットワークシステムAは、例えば、PDC(Personal Digital Cellular)方式やIMT−2000方式のシステムであり(以下、移動通信システムと略記)、上記通信ネットワークシステムBは、例えば、特定エリア(ホットスポット)内での特定情報取得およびインターネットアクセスとして利用されている無線LANシステムである。
【0027】
上記移動通信ステムは、ネットワークA(例:移動通信網)50と、端末装置10との間で無線通信を行なう基地局70とから構成され、上記無線LANシステムは、ネットワークB30(無線LAN網)とアクセスポイント20とから構成される。本実施例において端末装置10は、上記ネットワークA50と、上記ネットワークB30の通信回線にアクセス可能な無線通信インターフェースを備え、該通信回線に接続可能コンピュータや携帯情報端末、携帯電話などであればよい。本例では、図2に示すように、上記端末装置10の筐体内にネットワークA50にアクセス可能な無線通信インターフェースA3とネットワークB30にアクセス可能な無線通信インターフェースB4が備えられ、それらの情報の受け渡しが情報転送用バスライン6にて行われる。CPU5は無線通信インターフェースA3と無線通信インターフェースB4の制御を司る。本例では、説明を容易にするため、無線通信インターフェースA3を端末装置A(=符号3)、無線通信インターフェースB4を端末装置B(=符号4)と定義して、以下説明を進める。端末装置A3で生成される無線信号はアンテナ1を介して基地局70に、端末装置B4で生成される無線信号はアンテナ2を介してアクセスポイント20に放射される。
【0028】
次に、本発明の概要を図1より説明する。なお、図の左側の移動通信システムではネットワークA50と端末装置A3の相互認証が既に完了済みの状態であるものとし、図の右側の無線LANシステムではネットワークB30と端末装置B4の相互認証が未完了の状態であるものとする。本発明は、このような状態において、無線LANシステムに収容される端末装置B4の認証を他のシステムである移動通信システムを利用して行なうことを最大の特徴としている。
【0029】
図1において、まず、無線LANシステムのアクセスポイント20から証明書が端末装置B4に向けて送信(▲1▼点線)される。この証明書には、a)アクセスポイント20が送信したことを示す情報と、b)移動通信システムと無線LANシステムとの間で秘密に共有する情報(秘密共有情報)が含まれる。上記証明書は無線LANシステム側で生成してもよいし、信頼できる第三者で生成してもかまわない。
【0030】
端末装置B4は、アクセスポイント20から送信された証明書を受信した後、該証明書に秘密ID情報(後述する)を付加して端末装置A3に送信する。本実施例では、端末装置A3と端末装置B4が同一筐体内に収められている(図2参照)ことを想定しているため、上記証明書と秘密ID情報が情報転送用バスライン6を介して端末装置B4から端末装置A3に転送される。端末装置A3は、端末装置B4より転送されてきた証明書と秘密ID情報を受け取った後、それらの情報を基地局70を介してネットワークA50に接続される共通AAAサーバに100送信(▲2▼)する。共通AAAサーバ100は、端末装置A3から送られてきた証明書と秘密ID情報受信後、認証OKであれば認証完了(通信許可)をアクセスポイント20に通知(▲3▼)する。このようにしてアクセスポイント20に通信許可が通知されると、端末装置B4とアクセスポイント20間で通信が開始(▲4▼)される。
【0031】
ここで、上記秘密ID情報について説明する。秘密ID情報とは、端末装置B4とアクセスポイント20との通信に先立って該アクセスポイント20が端末装置B4を認証するID情報とする場合や、端末装置B4と該アクセスポイント20との通信に用いる暗号鍵とする場合がある。
【0032】
続いて、共通AAAサーバ100で行われる端末装置Bの認証処理を図3のフローチャートにより説明する。本フローチャートを説明するにあたり、移動通信システムにおけるネットワークA50と端末装置A3の相互認証は既に完了済みであり、該端末装置A3とネットワークA50では、セキュリティの高い通信が実現できているものとする。
【0033】
図3において、共通AAAサーバ100は、端末装置A3から送信されてきた証明書と秘密ID情報を受信(取得)する(S1)と、その受信した証明書がどのアクセスポイントの証明書かを確認し、正規に登録されているアクセスポイントの証明書かどうかを判定するとともに、受信した証明書に格納されている情報が正しいものかどうかを判定(S2)する。この判定(S2)で、証明書が正規であるものと判定された場合(S2でYES)、さらに、秘密ID情報を参照して、当該秘密ID情報が指示する端末装置B4がアクセスポイント20との通信権利を有している否かを判定(S3)し、この判定(S3)で該端末装置B4がアクセスポイント20との通信権利を有していると判定されたときは(S3でYES)、認証OKとしてアクセスポイント20に端末装置B4との通信を許可するメッセージを送信(S4)する。一方、上記(S2)、(S3)のいずれかの判定で否定(S2でNOまたはS3でNO)されれば、不正ユーザからのアクセスとみなしアクセスポイント20に認証NGが通知される。
【0034】
なお、上記実施例では、証明書はアクセスポイント20から送信される形態を示したが、上記証明書がアクセスポイント20以外の、他の第三者のアクセスポイントから送信(自分以外のアクセスポイントの証明書を不正に)される場合もあり得る。本発明はこのような第三者のアクセスポイントによるネットワークへの不正な参加を次のようにして無効にすることができる。
【0035】
上記第三者のアクセスポイントが悪意などで証明書を送信した場合、共通AAAサーバ100は正規のアクセスポイントにのみ端末装置B4の秘密ID情報を知らせないため、第三者のアクセスポイントは端末装置B4と通信することはできない。これにより、悪意のある第三者のアクセスポイントからのネットワークへの不正な参加を回避することが可能である。
【0036】
以上、説明したように、本実施の形態1によれば、ネットワークB30(無線LAN)に収容される端末装置B4の認証のための情報(証明書などの認証情報)を高いセキュリティが保証されているネットワークA50(移動通信ネットワーク)における基地局70と端末装置A3間の無線区間を利用して共通認証サーバ100に送信するため、第三者による認証情報の盗用や改ざんをより的確に防ぐことができ、従来と比してセキュアな通信を実現することができる。
【0037】
また、無線LANを利用する端末装置B4の認証をネットワークA50で用いられる認証サーバ、すなわち共通認証サーバ100を利用して行なうので、異システム毎に必要であった認証サーバ数を削減することができる。
【0038】
また、従来、アクセスポイント20とホットスポット用認証サーバ40で行われていた端末装置10の認証は、認証のための情報のやりとりを複数回(従来は最低でも4回必要、図5の▲1▼〜▲4▼参照)行っていたため、認証プロトコルが複雑になるという欠点があった。しかし、本実施例では、端末装置B4の相互認証のための共通AAAサーバ100の通信回数は2回で済むため、認証プロトコルが簡単になり、共通AAAサーバ100やアクセスポイント20の装置の複雑化を防ぐことができる。
【0039】
したがって、本発明によれば、無線LANシステムにおいて新しいシステムを構築する場合であっても、無線LANを利用する端末装置B4のセキュリティレベルを高くしつつ、極めて安価なセキュリティシステムの構築が可能である。
【0040】
さらに、本実施形態によれば、端末装置B4の着信機能は用いない(発信機能だけを用いている)ため位置登録(着信のため端末装置の位置を移動通信ネットワークに登録すること)が不要となる。すなわち、端末装置B4の位置登録情報をネットワーク側で管理する必要がなくなり、ネットワーク側での処理負担を軽減することができる。
【0041】
(実施の形態2)
上記実施の形態1では、共通AAAサーバ100にて端末装置B4の認証を行い、認証結果をアクセスポイント20に通知するという形態であったが、図4に示すように、共通AAAサーバ100で認証は行わないで、アクセスポイント20で認証を行なう形態であってもよい。この場合、共通AAAサーバ100から認証用の証明書と秘密ID情報がアクセスポイント20に送られ、図3で示した共通AAAサーバ100での認証処理がアクセスポイント20にて行われる。これにより、実施の形態1の場合と比較して共通AAAサーバ100の負荷を軽減することが可能である。
【0042】
また、上記実施の形態1及び2では、共通AAAサーバ100と端末装置B4間でなされる認証方式として証明書を利用した相互認証方式を用いて説明したが、本発明はこれに限定されるものではない。例えば、無線LAN等に利用されるセキュリティ標準規格であるIEEE802.1xの認証プロトコルを上記AAAサーバ100と上記端末装置B4に実装して認証を行なうようにしてもよい。
【0043】
さらに上記実施の形態1及び2では、端末装置A3と端末装置B4が同一筐体内に収められ、両者間の情報のやりとりが情報転送用バスライン6を用いて行われる場合を示したが、これ以外にも、端末装置A3と端末装置B4を個別に用意し、両者が短距離無線通信規格「ブルートゥース」に対応したチップまたは該「ブルートゥース」との互換性を確保した無線通信規格「IEEE 802.15.1」(別名WPAN規格)対応のチップを内蔵し、短距離無線により情報の送受信を行なうような形態であってもよい。この場合、端末装置A3と端末装置B4でやりとりされる情報には暗号化処理が施される。
【0044】
また、一台の端末装置をソフトウェアの書き換えにより機能変更し、様々な無線システムに対応可能とするソフトウェア無線技術を利用して端末装置A3、B4を構築してもよい。
【0045】
また、本実施例によれば、端末装置10がネットワークAのエリアからネットワークB30のエリアに移動(ハンドオーバ)した場合であっても、セキュリティの高いネットワークA側での本人認証がすでに完了しているため、ネットワークB側での新たな認証は必要なくなる。そのため、共通認証サーバ100における認証プロトコル処理を軽減することができる。
【0046】
上記例において、共通認証サーバ100が認証手段、認証結果通知手段、正規証明書判定手段、第一の通信許可通知手段、第二の通信許可通知手段、認証情報送信手段に対応する。また、前記端末装置B4が第一通信手段、秘密情報付加手段、無線LAN無線通信手段に対応し、前記端末装置A3が第二通信手段、認証依頼送信手段、認証情報送信手段、移動通信網無線通信手段に対応し、前記アクセスポイント20が証明書送信手段、AP正規証明書判定手段、AP通信権利判定手段、通信開始判断手段に対応する。さらに、前記端末装置B4と前記端末装置A3が異システム間情報送受手段に対応し、端末装置10が無線回線接続制御プログラム記憶手段に対応する。
【0047】
【発明の効果】
以上、説明したように、本願発明によれば、ネットワークB(例:無線LAN)に収容される端末装置の認証のための情報(証明書などの認証情報)を高いセキュリティが保証されている移動通信ネットワーク(ネットワークA)の基地局と端末装置間の無線区間を利用して認証サーバに送信するため、第三者による認証情報の盗用や改ざんをより的確に防ぐことができ、従来と比してセキュアな通信を実現することができる。また、無線LANを利用する端末装置の認証を移動通信ネットワークで用いられる認証サーバを利用して行なうので、異システム毎に必要であった認証サーバ数を削減することができる。その結果、無線LANシステムにおいて新しいシステムを構築する場合であっても、無線LANを利用する端末装置のセキュリティレベルを高くしつつ、極めて安価なセキュリティシステムの構築が可能である。
【図面の簡単な説明】
【図1】本発明の実施の形態1に係る認証システムの概略図である。
【図2】図1に示す端末装置の構成例を示す図である。
【図3】共通認証サーバで行われる端末装置Bの認証処理を示すフローチャートである。
【図4】本発明の実施の形態2に係る認証システムの概略図である。
【図5】従来の端末装置とネットワーク間の相互認証方法の一例を示す図である。
【符号の説明】
1 無線インターフェースA(端末装置A)用アンテナ
2 無線インターフェースB(端末装置B)用アンテナ
3 無線インターフェースA(端末装置A)
4 無線インターフェースB(端末装置B)
5 CPU(制御部)
6 情報転送用バスライン
10 端末装置
20 アクセスポイント
30 ネットワークB(無線LAN網)
40 ホットスポット用認証サーバ(AAAサーバ)
50 ネットワークA(移動通信網)
60 セルラ用認証サーバ(AAAサーバ)
70 基地局
100 共通認証サーバ
【発明の属する技術分野】
本発明は、無線通信における認証システム、認証方法及び端末装置に関する。
【0002】
【従来の技術】
近年、「ホットスポット」と呼ばれる喫茶店やレストラン、空港、駅、ホテルなどに、事業者(オペレータ)が無線ネットワーク機器(以下、アクセスポイントという)を設置して、インターネットの利用サービスを提供している。ユーザの端末装置(パソコン、PDA、携帯電話など)には、通常、無線LANの機能(例:IEEE802.11b対応)のパソコンやPDAが備えられ、アクセスポイントに接続されるネットワークに接続することで、ホットスポットの圏内でのインターネットの利用が可能となっている。
【0003】
こうしたホットスポットシステムでは、ユーザ端末(以下、端末装置という)とアクセスポイント間の通信が無線で行われるため通信データを第三者に傍受される危険性が常につきまとう。このような問題に対しては、WEP(Wired Equivalent Privacy)暗号化やESS(Extended Service Set) IDで対処しているのが一般的である。
【0004】
また、ホットスポットの圏内でコンピュータを利用しようとしている人にその権利があるかどうか正当性を検証する作業、いわゆる“認証”もセキュリティ面から見て重要となってくる。
【0005】
図5は、従来の端末装置とネットワーク間の相互認証方法の一例を示す図である。同図において、点線より下の(a)はホットスポットシステムを表し、(b)は他の通信システム、ここでは、移動通信システムを表す。(a)のホットスポットシステムは、自システムに収容される端末装置10、アクセスポイント(AP:Access point)20、通信ネットワーク30、ホットスポット用認証サーバ(AAAサーバ)40から構成される。一方、(b)の移動通信システムは、移動通信ネットワーク50、自システム加入者のユーザの認証に用いるセルラ用認証サーバ(AAAサーバ)60、基地局(BS:Base station)70から構成される。
【0006】
上記ホットスポット用AAAサーバ40は、例えば、端末装置10を所有するユーザの本人性を認証するためのサーバで、端末装置10からのアクセス要求を受け付け、認証(Authentication)、認可(Authorization)、アカウンティング(Accounting)を行なうサーバである。また、上記セルラ用AAAサーバ60は、自システム加入の移動端末(携帯電話など)からのアクセス要求を受け付け、自システム加入のユーザの認証、認可、アカウンティングを行なうサーバである。
【0007】
また、上記通信ネットワーク30と移動通信ネットワーク50は相互接続され、ホットスポットシステムの利用ユーザは、移動通信システムで提供されるサービスも利用することが可能となっている。
【0008】
ホットスポットシステムでは、(a)アクセスポイント20と端末装置10間または(b)端末装置10とホットスポット用AAAサーバ40間の相互認証が行われる。ここでは、(b)の端末装置10とホットスポット用AAAサーバ40間でなされる相互認証方法を一例にとり説明する。相互認証方法としては、秘密鍵暗号ベース相互認証方法(例えば、非特許文献1参照)が用いられる。
【0009】
(端末装置10とホットスポット用AAAサーバ40間の相互認証の説明)
相互認証方法とは、お互い(この場合、端末装置10とAAAサーバ40)が相手を認証する方法であり、ここでは、端末装置10とホットスポット用AAAサーバ40の両者が秘密鍵Kを共有し、相互に認証を行なう例を以下に示す。
【0010】
まず、端末装置10は乱数rAを生成して、それをアクセスポイント20経由でホットスポット用AAAサーバ40に送信(▲1▼)する。ホットスポット用AAAサーバ40は乱数rBを生成し、(rA‖rB)を、鍵Kを用いて暗号化した結果である情報X=EK(B‖A‖rA‖rB)をアクセスポイント20経由で端末装置10に送信(▲2▼)する。端末装置10は受信した情報Xを復号して、rAが含まれていることを確認するとともに、rBを取り出して情報Y=EK(A‖rB)を計算し、アクセスポイント20経由でホットスポット用AAAサーバ40に送信(▲3▼)する。ホットスポット用AAAサーバ40は情報Yを復号して、rBが含まれていることを確認すると、認証完了の旨をアクセスポイント20に通知(▲4▼)する。このようにして端末装置10とホットスポット用AAAサーバ40間での認証が完了すると、端末装置10とアクセスポイント20との間で通信が開始(▲5▼)される。
【0011】
一方で、無線通信基本サービスシステムのような提案が行われている(例えば、特許文献1参照)。この提案システムは、回線接続制御を行なうために双方向のデータ通信機能を新たに設け、かつ端末装置の位置登録情報をネットワーク(無線通信基本サービス事業者)側で管理することにより、サービスの相互乗り入れができるようになっている。
【0012】
【特許文献1】
特開平10−248091
【非特許文献1】
岡本、山本著「現代暗号」産業図書、1997
【発明が解決しようとする課題】
前述したように、ホットスポットシステムにおける相互認証方法では、アクセスポイント20と端末装置10間またはホットスポット用AAAサーバ40と端末装置10間の相互認証が必要であり、この相互認証のための認証プロトコルは簡単ではない。また、相互認証を行なうためには、認証サーバは複数回の情報の送受信及び認証処理が必要であり、結果的にシステムコストを増大させるという問題があった。
【0013】
また、上で示した従来技術(特開平10−248091)の場合、回線接続制御を行なうための双方向のデータ通信機能と、位置登録情報を管理するための機能を新たに設けるため、結果的にシステムコストが増加してしまう。さらに、位置登録情報を得るために端末装置と基地局間では、間欠的に通信を行なう必要があるため、周波数資源を消費するという欠点があった。
【0014】
本発明は、上記のような問題点に鑑みてなされたもので、その課題とするところは、セキュリティを高めつつもできるだけ安価な認証システムの構築コストで端末の安全な通信を実現できる無線通信における認証システム、電子認証方法及び端末装置を提供することである。
【0015】
【課題を解決するための手段】
上記課題を解決するため、本発明は、請求項1に記載されるように、基地局と接続されるネットワーク(以下、ネットワークAと呼ぶ)と、アクセスポイント(AP)と接続されるネットワーク(以下、ネットワークBと呼ぶ)とが相互接続され、それぞれのネットワークに収容される端末装置の認証を該それぞれのネットワークに接続される認証サーバにて行なう認証システムにおいて、前記ネットワークAに接続される認証サーバを前記ネットワークBと共通に適用し、前記端末装置は、前記ネットワークBのアクセスポイントと通信する第一通信手段と、 前記ネットワークAの基地局と通信する第二通信手段と、前記ネットワークBと接続して通信を行なう際に、前記第二通信手段により、前記基地局との間で高いセキュリティが保証される無線回線に接続して認証のための情報を送信する認証情報送信手段を備え、前記認証サーバは、前記認証情報送信手段により送られてきた前記認証のための情報に基づいて、前記端末装置に対する前記アクセスポイントへのアクセスの許可又は不許可を判定する認証手段と、前記判定の結果を前記アクセスポイントに通知する認証結果通知手段とを備えたことを特徴としている。
【0016】
また、本発明の請求項2は、前記認証システムにおいて、前記アクセスポイントは、前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づいて生成された証明書を前記端末装置の第一通信手段に送信する証明書送信手段を備え、前記端末装置は、前記第一通信手段により受信した証明書を前記第二通信手段により前記認証サーバに送信する認証依頼送信手段を備え、前記認証サーバは、受信した前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定する正規証明書判定手段と、前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定された場合に、前記アクセスポイントに前記端末装置との通信許可を与える通知をする第一の通信許可通知手段を備えたことを特徴としている。
【0017】
また、本発明の請求項3は、前記認証システムにおいて、前記端末装置は、前記第一通信手段により受信した証明書に前記アクセスポイントが前記端末装置との通信開始に先立って必要となる秘密情報を付加する秘密情報付加手段を備え、前記認証依頼送信手段は、前記付加された秘密情報と前記証明書を合わせて前記認証サーバに送信することを特徴としている。
【0018】
また、本発明の請求項4は、前記認証システムにおいて、前記認証サーバは、前記第二通信手段により送られてきた秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定する通信権利判定手段を備え、
前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定され、かつ前記通信権利判定手段にて前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記アクセスポイントに前記端末装置との通信許可を与える通知をする第二の通信許可通知手段とを備えたことを特徴としている。
【0019】
また、本発明の請求項5は、前記認証システムにおいて、前記認証サーバは、前記認証依頼送信手段により送信される前記証明書と前記秘密情報を前記アクセスポイントに送信する認証情報送信手段を備え、前記アクセスポイントは、前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定するAP正規証明書判定手段と、前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定するAP通信権利判定手段とを備え、 前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定され、かつ前記通信権利判定手段にて前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記アクセスポイントに前記端末装置との通信を開始する通信開始判断手段をさらに備えたことを特徴としている。
【0020】
また、本発明の請求項6は、前記認証システムにおいて、前記ネットワークAで用いられる通信ネットワークとして移動通信ネットワーク、前記ネットワークBで用いられる通信ネットワークとしてアクセスポイントを介して通信を行なう無線LANであることを特徴としている。
【0021】
また、本発明の請求項7は、前記認証システムにおいて、前記端末装置は、前記第一通信手段として無線LANにアクセス可能な無線LAN無線通信手段と、前記第二通信手段として移動通信ネットワークにアクセス可能な移動通信網無線通信手段と、前記第一通信手段と前記第二通信手段とを有線又は無線で接続して情報のやりとりを行なう異システム間情報送受手段を備えたことを特徴としている。
【0022】
また、本発明の請求項8は、前記認証システムにおいて、前記端末装置は、前記無線LAN無線通信手段及び前記移動通信網無線通信手段に対応したソフトウェア・プログラムを外部よりダウンロードする無線回線接続制御プログラム記憶手段を備えたことを特徴としている。
【0023】
上記のような本発明の構成によれば、ネットワークB(例:無線LAN)に収容される端末装置の認証のための情報(証明書などの認証情報)を高いセキュリティが保証されている移動通信ネットワーク(ネットワークA)の基地局と端末装置間の無線区間を利用して認証サーバに送信するため、第三者による認証情報の盗用や改ざんをより的確に防ぐことができ、従来と比してセキュアな通信を実現することができる。また、無線LANを利用する端末装置の認証を移動通信ネットワークで用いられる認証サーバを利用して行なうので、異システム毎に必要であった認証サーバ数を削減することができる。その結果、無線LANシステムにおいて新しいシステムを構築する場合であっても、無線LANを利用する端末装置のセキュリティレベルを高くしつつ、極めて安価なセキュリティシステムの構築が可能である。
【0024】
【発明の実施の形態】
以下、本発明の実施の形態を図面に基づいて説明する。
【0025】
(実施の形態1)
図1は、本発明の実施の形態1に係る認証システムの概略図である。
【0026】
図1において、この認証システムは、双方向通信可能な通信回線に接続された端末装置10、通信ネットワーク(NW:Network)システムA(同図左側)、通信ネットワークシステムB(同図右側)、該通信ネットワークシステムAと該通信ネットワークシステムBとで共通の認証サーバ(以下、共通AAAサーバという)100とから構成される。上記通信ネットワークシステムAは、例えば、PDC(Personal Digital Cellular)方式やIMT−2000方式のシステムであり(以下、移動通信システムと略記)、上記通信ネットワークシステムBは、例えば、特定エリア(ホットスポット)内での特定情報取得およびインターネットアクセスとして利用されている無線LANシステムである。
【0027】
上記移動通信ステムは、ネットワークA(例:移動通信網)50と、端末装置10との間で無線通信を行なう基地局70とから構成され、上記無線LANシステムは、ネットワークB30(無線LAN網)とアクセスポイント20とから構成される。本実施例において端末装置10は、上記ネットワークA50と、上記ネットワークB30の通信回線にアクセス可能な無線通信インターフェースを備え、該通信回線に接続可能コンピュータや携帯情報端末、携帯電話などであればよい。本例では、図2に示すように、上記端末装置10の筐体内にネットワークA50にアクセス可能な無線通信インターフェースA3とネットワークB30にアクセス可能な無線通信インターフェースB4が備えられ、それらの情報の受け渡しが情報転送用バスライン6にて行われる。CPU5は無線通信インターフェースA3と無線通信インターフェースB4の制御を司る。本例では、説明を容易にするため、無線通信インターフェースA3を端末装置A(=符号3)、無線通信インターフェースB4を端末装置B(=符号4)と定義して、以下説明を進める。端末装置A3で生成される無線信号はアンテナ1を介して基地局70に、端末装置B4で生成される無線信号はアンテナ2を介してアクセスポイント20に放射される。
【0028】
次に、本発明の概要を図1より説明する。なお、図の左側の移動通信システムではネットワークA50と端末装置A3の相互認証が既に完了済みの状態であるものとし、図の右側の無線LANシステムではネットワークB30と端末装置B4の相互認証が未完了の状態であるものとする。本発明は、このような状態において、無線LANシステムに収容される端末装置B4の認証を他のシステムである移動通信システムを利用して行なうことを最大の特徴としている。
【0029】
図1において、まず、無線LANシステムのアクセスポイント20から証明書が端末装置B4に向けて送信(▲1▼点線)される。この証明書には、a)アクセスポイント20が送信したことを示す情報と、b)移動通信システムと無線LANシステムとの間で秘密に共有する情報(秘密共有情報)が含まれる。上記証明書は無線LANシステム側で生成してもよいし、信頼できる第三者で生成してもかまわない。
【0030】
端末装置B4は、アクセスポイント20から送信された証明書を受信した後、該証明書に秘密ID情報(後述する)を付加して端末装置A3に送信する。本実施例では、端末装置A3と端末装置B4が同一筐体内に収められている(図2参照)ことを想定しているため、上記証明書と秘密ID情報が情報転送用バスライン6を介して端末装置B4から端末装置A3に転送される。端末装置A3は、端末装置B4より転送されてきた証明書と秘密ID情報を受け取った後、それらの情報を基地局70を介してネットワークA50に接続される共通AAAサーバに100送信(▲2▼)する。共通AAAサーバ100は、端末装置A3から送られてきた証明書と秘密ID情報受信後、認証OKであれば認証完了(通信許可)をアクセスポイント20に通知(▲3▼)する。このようにしてアクセスポイント20に通信許可が通知されると、端末装置B4とアクセスポイント20間で通信が開始(▲4▼)される。
【0031】
ここで、上記秘密ID情報について説明する。秘密ID情報とは、端末装置B4とアクセスポイント20との通信に先立って該アクセスポイント20が端末装置B4を認証するID情報とする場合や、端末装置B4と該アクセスポイント20との通信に用いる暗号鍵とする場合がある。
【0032】
続いて、共通AAAサーバ100で行われる端末装置Bの認証処理を図3のフローチャートにより説明する。本フローチャートを説明するにあたり、移動通信システムにおけるネットワークA50と端末装置A3の相互認証は既に完了済みであり、該端末装置A3とネットワークA50では、セキュリティの高い通信が実現できているものとする。
【0033】
図3において、共通AAAサーバ100は、端末装置A3から送信されてきた証明書と秘密ID情報を受信(取得)する(S1)と、その受信した証明書がどのアクセスポイントの証明書かを確認し、正規に登録されているアクセスポイントの証明書かどうかを判定するとともに、受信した証明書に格納されている情報が正しいものかどうかを判定(S2)する。この判定(S2)で、証明書が正規であるものと判定された場合(S2でYES)、さらに、秘密ID情報を参照して、当該秘密ID情報が指示する端末装置B4がアクセスポイント20との通信権利を有している否かを判定(S3)し、この判定(S3)で該端末装置B4がアクセスポイント20との通信権利を有していると判定されたときは(S3でYES)、認証OKとしてアクセスポイント20に端末装置B4との通信を許可するメッセージを送信(S4)する。一方、上記(S2)、(S3)のいずれかの判定で否定(S2でNOまたはS3でNO)されれば、不正ユーザからのアクセスとみなしアクセスポイント20に認証NGが通知される。
【0034】
なお、上記実施例では、証明書はアクセスポイント20から送信される形態を示したが、上記証明書がアクセスポイント20以外の、他の第三者のアクセスポイントから送信(自分以外のアクセスポイントの証明書を不正に)される場合もあり得る。本発明はこのような第三者のアクセスポイントによるネットワークへの不正な参加を次のようにして無効にすることができる。
【0035】
上記第三者のアクセスポイントが悪意などで証明書を送信した場合、共通AAAサーバ100は正規のアクセスポイントにのみ端末装置B4の秘密ID情報を知らせないため、第三者のアクセスポイントは端末装置B4と通信することはできない。これにより、悪意のある第三者のアクセスポイントからのネットワークへの不正な参加を回避することが可能である。
【0036】
以上、説明したように、本実施の形態1によれば、ネットワークB30(無線LAN)に収容される端末装置B4の認証のための情報(証明書などの認証情報)を高いセキュリティが保証されているネットワークA50(移動通信ネットワーク)における基地局70と端末装置A3間の無線区間を利用して共通認証サーバ100に送信するため、第三者による認証情報の盗用や改ざんをより的確に防ぐことができ、従来と比してセキュアな通信を実現することができる。
【0037】
また、無線LANを利用する端末装置B4の認証をネットワークA50で用いられる認証サーバ、すなわち共通認証サーバ100を利用して行なうので、異システム毎に必要であった認証サーバ数を削減することができる。
【0038】
また、従来、アクセスポイント20とホットスポット用認証サーバ40で行われていた端末装置10の認証は、認証のための情報のやりとりを複数回(従来は最低でも4回必要、図5の▲1▼〜▲4▼参照)行っていたため、認証プロトコルが複雑になるという欠点があった。しかし、本実施例では、端末装置B4の相互認証のための共通AAAサーバ100の通信回数は2回で済むため、認証プロトコルが簡単になり、共通AAAサーバ100やアクセスポイント20の装置の複雑化を防ぐことができる。
【0039】
したがって、本発明によれば、無線LANシステムにおいて新しいシステムを構築する場合であっても、無線LANを利用する端末装置B4のセキュリティレベルを高くしつつ、極めて安価なセキュリティシステムの構築が可能である。
【0040】
さらに、本実施形態によれば、端末装置B4の着信機能は用いない(発信機能だけを用いている)ため位置登録(着信のため端末装置の位置を移動通信ネットワークに登録すること)が不要となる。すなわち、端末装置B4の位置登録情報をネットワーク側で管理する必要がなくなり、ネットワーク側での処理負担を軽減することができる。
【0041】
(実施の形態2)
上記実施の形態1では、共通AAAサーバ100にて端末装置B4の認証を行い、認証結果をアクセスポイント20に通知するという形態であったが、図4に示すように、共通AAAサーバ100で認証は行わないで、アクセスポイント20で認証を行なう形態であってもよい。この場合、共通AAAサーバ100から認証用の証明書と秘密ID情報がアクセスポイント20に送られ、図3で示した共通AAAサーバ100での認証処理がアクセスポイント20にて行われる。これにより、実施の形態1の場合と比較して共通AAAサーバ100の負荷を軽減することが可能である。
【0042】
また、上記実施の形態1及び2では、共通AAAサーバ100と端末装置B4間でなされる認証方式として証明書を利用した相互認証方式を用いて説明したが、本発明はこれに限定されるものではない。例えば、無線LAN等に利用されるセキュリティ標準規格であるIEEE802.1xの認証プロトコルを上記AAAサーバ100と上記端末装置B4に実装して認証を行なうようにしてもよい。
【0043】
さらに上記実施の形態1及び2では、端末装置A3と端末装置B4が同一筐体内に収められ、両者間の情報のやりとりが情報転送用バスライン6を用いて行われる場合を示したが、これ以外にも、端末装置A3と端末装置B4を個別に用意し、両者が短距離無線通信規格「ブルートゥース」に対応したチップまたは該「ブルートゥース」との互換性を確保した無線通信規格「IEEE 802.15.1」(別名WPAN規格)対応のチップを内蔵し、短距離無線により情報の送受信を行なうような形態であってもよい。この場合、端末装置A3と端末装置B4でやりとりされる情報には暗号化処理が施される。
【0044】
また、一台の端末装置をソフトウェアの書き換えにより機能変更し、様々な無線システムに対応可能とするソフトウェア無線技術を利用して端末装置A3、B4を構築してもよい。
【0045】
また、本実施例によれば、端末装置10がネットワークAのエリアからネットワークB30のエリアに移動(ハンドオーバ)した場合であっても、セキュリティの高いネットワークA側での本人認証がすでに完了しているため、ネットワークB側での新たな認証は必要なくなる。そのため、共通認証サーバ100における認証プロトコル処理を軽減することができる。
【0046】
上記例において、共通認証サーバ100が認証手段、認証結果通知手段、正規証明書判定手段、第一の通信許可通知手段、第二の通信許可通知手段、認証情報送信手段に対応する。また、前記端末装置B4が第一通信手段、秘密情報付加手段、無線LAN無線通信手段に対応し、前記端末装置A3が第二通信手段、認証依頼送信手段、認証情報送信手段、移動通信網無線通信手段に対応し、前記アクセスポイント20が証明書送信手段、AP正規証明書判定手段、AP通信権利判定手段、通信開始判断手段に対応する。さらに、前記端末装置B4と前記端末装置A3が異システム間情報送受手段に対応し、端末装置10が無線回線接続制御プログラム記憶手段に対応する。
【0047】
【発明の効果】
以上、説明したように、本願発明によれば、ネットワークB(例:無線LAN)に収容される端末装置の認証のための情報(証明書などの認証情報)を高いセキュリティが保証されている移動通信ネットワーク(ネットワークA)の基地局と端末装置間の無線区間を利用して認証サーバに送信するため、第三者による認証情報の盗用や改ざんをより的確に防ぐことができ、従来と比してセキュアな通信を実現することができる。また、無線LANを利用する端末装置の認証を移動通信ネットワークで用いられる認証サーバを利用して行なうので、異システム毎に必要であった認証サーバ数を削減することができる。その結果、無線LANシステムにおいて新しいシステムを構築する場合であっても、無線LANを利用する端末装置のセキュリティレベルを高くしつつ、極めて安価なセキュリティシステムの構築が可能である。
【図面の簡単な説明】
【図1】本発明の実施の形態1に係る認証システムの概略図である。
【図2】図1に示す端末装置の構成例を示す図である。
【図3】共通認証サーバで行われる端末装置Bの認証処理を示すフローチャートである。
【図4】本発明の実施の形態2に係る認証システムの概略図である。
【図5】従来の端末装置とネットワーク間の相互認証方法の一例を示す図である。
【符号の説明】
1 無線インターフェースA(端末装置A)用アンテナ
2 無線インターフェースB(端末装置B)用アンテナ
3 無線インターフェースA(端末装置A)
4 無線インターフェースB(端末装置B)
5 CPU(制御部)
6 情報転送用バスライン
10 端末装置
20 アクセスポイント
30 ネットワークB(無線LAN網)
40 ホットスポット用認証サーバ(AAAサーバ)
50 ネットワークA(移動通信網)
60 セルラ用認証サーバ(AAAサーバ)
70 基地局
100 共通認証サーバ
Claims (14)
- 基地局と接続されるネットワーク(以下、ネットワークAと呼ぶ)と、アクセスポイント(AP)と接続されるネットワーク(以下、ネットワークBと呼ぶ)とが相互接続され、それぞれのネットワークに収容される端末装置の認証を該それぞれのネットワークに接続される認証サーバにて行なう認証システムにおいて、
前記ネットワークAに接続される認証サーバを前記ネットワークBと共通に適用し、
前記端末装置は、
前記ネットワークBのアクセスポイントと通信する第一通信手段と、
前記ネットワークAの基地局と通信する第二通信手段と、
前記ネットワークBと接続して通信を行なう際に、前記第二通信手段により、前記基地局との間で高いセキュリティが保証される無線回線に接続して認証のための情報を送信する認証情報送信手段を備え、
前記認証サーバは、前記認証情報送信手段により送られてきた前記認証のための情報に基づいて、前記端末装置に対する前記アクセスポイントへのアクセスの許可又は不許可を判定する認証手段と、
前記判定の結果を前記アクセスポイントに通知する認証結果通知手段とを備えたことを特徴とする認証システム。 - 請求項1記載の認証システムにおいて、
前記アクセスポイントは、前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づいて生成された証明書を前記端末装置の第一通信手段に送信する証明書送信手段を備え、
前記端末装置は、前記第一通信手段により受信した証明書を前記第二通信手段により前記認証サーバに送信する認証依頼送信手段を備え、
前記認証サーバは、受信した前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定する正規証明書判定手段と、
前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定された場合に、前記アクセスポイントに前記端末装置との通信許可を与える通知をする第一の通信許可通知手段を備えたことを特徴とする認証システム。 - 請求項2記載の認証システムにおいて、
前記端末装置は、前記第一通信手段により受信した証明書に前記アクセスポイントが前記端末装置との通信開始に先立って必要となる秘密情報を付加する秘密情報付加手段を備え、
前記認証依頼送信手段は、前記付加された秘密情報と前記証明書を合わせて前記認証サーバに送信することを特徴とする認証システム。 - 請求項2又は3記載の認証システムにおいて、
前記認証サーバは、前記第二通信手段により送られてきた秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定する通信権利判定手段を備え、
前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定され、かつ前記通信権利判定手段にて前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記アクセスポイントに前記端末装置との通信許可を与える通知をする第二の通信許可通知手段とを備えたことを特徴とする認証システム。 - 請求項4記載の認証システムにおいて、
前記認証サーバは、前記認証依頼送信手段により送信される前記証明書と前記秘密情報を前記アクセスポイントに送信する認証情報送信手段を備え、
前記アクセスポイントは、前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定するAP正規証明書判定手段と、
前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定するAP通信権利判定手段とを備え、
前記正規証明書判定手段にて受信した前記証明書が正しい証明書と判定され、かつ前記通信権利判定手段にて前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記アクセスポイントに前記端末装置との通信を開始する通信開始判断手段をさらに備えたことを特徴とする認証システム。 - 請求項1乃至5いずれか記載の認証システムにおいて、
前記ネットワークAで用いられる通信ネットワークとして移動通信ネットワーク、前記ネットワークBで用いられる通信ネットワークとしてアクセスポイントを介して通信を行なう無線LANであることを特徴とする認証システム。 - 請求項1乃至6いずれか記載の認証システムにおいて、
前記端末装置は、前記第一通信手段として無線LANにアクセス可能な無線LAN無線通信手段と、前記第二通信手段として移動通信ネットワークにアクセス可能な移動通信網無線通信手段と、
前記第一通信手段と前記第二通信手段とを有線又は無線で接続して情報のやりとりを行なう異システム間情報送受手段を備えたことを特徴とする認証システム。 - 請求項7記載の認証システムにおいて、
前記端末装置は、前記無線LAN無線通信手段及び前記移動通信網無線通信手段に対応したソフトウェア・プログラムを外部よりダウンロードする無線回線接続制御プログラム記憶手段を備えたことを特徴とする認証システム。 - 基地局と接続されるネットワーク(以下、ネットワークAと呼ぶ)と、アクセスポイント(AP)と接続されるネットワーク(以下、ネットワークBと呼ぶ)とが相互接続され、それぞれのネットワークに収容される端末装置の認証を該それぞれのネットワークに接続される認証サーバにて行なう認証方法において、
前記ネットワークAに接続される認証サーバを前記ネットワークBと共通に適用し、
前記アクセスポイントは、前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づいて生成された証明書を前記ネットワークBと接続して通信を行なおうとしている端末装置に送信し、
前記端末装置は、前記証明書をあらかじめ設けられた前記ネットワークBとのアクセスポイントと通信する通信手段を用いて前記証明書を受信し、
前記受信した証明書をあらかじめ設けられた前記ネットワークAとの基地局と通信する通信手段を用いて、前記基地局との間で高いセキュリティが保証される無線回線に接続して前記認証サーバに送信し、
前記認証サーバは、前記証明書が前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づく正しい証明書かどうかを判定し、
前記判定に基づき前記アクセスポイントに前記端末装置との通信許可を与えるか否かを判断して通知することを特徴とする認証方法。 - 請求項9記載の認証方法において、
前記端末装置は、前記ネットワークBとのアクセスポイントと通信する通信手段を用いて前記証明書を受信した際に、前記アクセスポイントが前記端末装置との通信開始に先立って必要となる秘密情報を前記証明書に付加し、
前記ネットワークAとの基地局と通信する通信手段を用いて、前記付加された秘密情報と前記証明書を合わせて前記認証サーバに送信することを特徴とする認証方法。 - 請求項9又は10記載の認証方法において、
前記認証サーバは、前記端末装置から送信されてきた前記証明書が前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づく正しい証明書かどうかを判定するとともに、前記証明書と合わせて送信されてきた前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定し、これらの判定結果から、前記アクセスポイントに前記端末装置との通信許可を与えるか否かを判定して通知することを特徴とする認証方法。 - 請求項10記載の認証方法において、
前記認証サーバは、前記端末装置から送信される前記証明書と前記秘密情報を前記アクセスポイントに送信し、
前記アクセスポイントは、前記証明書が前記秘密共有している情報に基づく正しい証明書かどうかを判定するとともに、前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定する前記証明書と合わせて送信されてきた前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有する否かを判定し、
前記証明書が正しい証明書と判定され、かつ前記秘密情報で指示される端末装置が前記アクセスポイントとの通信権利を有すると判定された場合に前記端末装置との通信を開始することを特徴とする認証方法。 - 基地局と接続されるネットワーク(以下、ネットワークAと呼ぶ)と、アクセスポイント(AP)と接続されるネットワーク(以下、ネットワークBと呼ぶ)とが相互接続され、それぞれのネットワークに収容される端末装置の認証を該それぞれのネットワークに接続される認証サーバにて行なう認証システムで用いられる端末装置において、
前記ネットワークBのアクセスポイントと通信する第一通信手段及び前記ネットワークAの基地局と通信する第二通信手段と、
前記ネットワークBと接続して通信を行なう際に、前記ネットワークBと前記ネットワークAとの間で秘密共有している情報に基づいて生成された証明書を、前記第二通信手段により、前記基地局との間で高いセキュリティが保証される無線回線に接続して前記認証サーバに送信する認証依頼送信手段を備えたことを特徴とする端末装置。 - 請求項13記載の端末装置において、
前記証明書に、前記アクセスポイントが前記端末装置との通信開始に先立って必要となる秘密情報を付加する秘密情報付加手段を備え、
前記秘密情報付加手段により付加された秘密情報と前記証明書を、前記第二通信手段により、前記基地局との間で高いセキュリティが保証される無線回線に接続して前記認証サーバに送信することを特徴とする認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002232030A JP3905803B2 (ja) | 2002-08-08 | 2002-08-08 | 無線通信における認証システム、認証方法及び端末装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002232030A JP3905803B2 (ja) | 2002-08-08 | 2002-08-08 | 無線通信における認証システム、認証方法及び端末装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004072631A true JP2004072631A (ja) | 2004-03-04 |
| JP3905803B2 JP3905803B2 (ja) | 2007-04-18 |
Family
ID=32017608
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002232030A Expired - Fee Related JP3905803B2 (ja) | 2002-08-08 | 2002-08-08 | 無線通信における認証システム、認証方法及び端末装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3905803B2 (ja) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006086932A1 (en) * | 2005-02-21 | 2006-08-24 | China Iwncomm Co., Ltd. | An access authentication method suitable for the wire-line and wireless network |
| JP2007116456A (ja) * | 2005-10-20 | 2007-05-10 | Sharp Corp | 情報通信端末、認証装置、情報通信システム、および記録媒体 |
| WO2007052720A1 (ja) * | 2005-11-01 | 2007-05-10 | Ntt Docomo, Inc. | 通信装置及び通信方法 |
| JP2007150714A (ja) * | 2005-11-28 | 2007-06-14 | Kddi Corp | 無線制御システム及び無線制御方法 |
| JP2007312202A (ja) * | 2006-05-19 | 2007-11-29 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークシステム及びその認証方法 |
| JP2008022209A (ja) * | 2006-07-12 | 2008-01-31 | Nippon Telegr & Teleph Corp <Ntt> | アクセスポイントの正当性を確認する通信システム、通信方法、及び認証用情報提供サーバ |
| JP2008515357A (ja) * | 2004-10-01 | 2008-05-08 | インテル・コーポレーション | 集中型wlan−wwan相互作用ネットワークにおけるユーザの証明書の初期化、配布、および、配信のためのシステムおよび方法 |
| WO2008059882A1 (fr) * | 2006-11-14 | 2008-05-22 | Nec Corporation | Serveur, système de communication, procédé de jugement et programme |
| KR100921153B1 (ko) | 2007-08-01 | 2009-10-12 | 순천향대학교 산학협력단 | 무선 통신 네트워크 상에서의 사용자 인증 방법 |
| JP2010537574A (ja) * | 2007-08-17 | 2010-12-02 | クゥアルコム・インコーポレイテッド | アドホックな小カバレージ基地局のアクセス制御 |
| US8024789B2 (en) | 2005-02-21 | 2011-09-20 | Fujitsu Limited | Communication apparatus, program and method |
| US8150370B2 (en) | 2004-12-08 | 2012-04-03 | Nec Corporation | Authentication system, authentication method and authentication data generation program |
| JP2018174404A (ja) * | 2017-03-31 | 2018-11-08 | 西日本電信電話株式会社 | 通信制御装置、通信制御方法、及びプログラム |
| WO2023181968A1 (ja) * | 2022-03-22 | 2023-09-28 | ソフトバンク株式会社 | 通信システム及び方法、サーバ、アクセスポイント装置、通信端末並びにプログラム |
-
2002
- 2002-08-08 JP JP2002232030A patent/JP3905803B2/ja not_active Expired - Fee Related
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008515357A (ja) * | 2004-10-01 | 2008-05-08 | インテル・コーポレーション | 集中型wlan−wwan相互作用ネットワークにおけるユーザの証明書の初期化、配布、および、配信のためのシステムおよび方法 |
| US8150370B2 (en) | 2004-12-08 | 2012-04-03 | Nec Corporation | Authentication system, authentication method and authentication data generation program |
| US8225092B2 (en) | 2005-02-21 | 2012-07-17 | China Iwncomm Co., Ltd. | Access authentication method suitable for the wire-line and wireless network |
| KR101260536B1 (ko) | 2005-02-21 | 2013-05-06 | 차이나 아이더블유엔콤 씨오., 엘티디 | 유무선 네트워크에 적합한 액세스 인증 방법 |
| US8024789B2 (en) | 2005-02-21 | 2011-09-20 | Fujitsu Limited | Communication apparatus, program and method |
| WO2006086932A1 (en) * | 2005-02-21 | 2006-08-24 | China Iwncomm Co., Ltd. | An access authentication method suitable for the wire-line and wireless network |
| JP2007116456A (ja) * | 2005-10-20 | 2007-05-10 | Sharp Corp | 情報通信端末、認証装置、情報通信システム、および記録媒体 |
| WO2007052720A1 (ja) * | 2005-11-01 | 2007-05-10 | Ntt Docomo, Inc. | 通信装置及び通信方法 |
| KR101042615B1 (ko) | 2005-11-01 | 2011-06-20 | 가부시키가이샤 엔티티 도코모 | 통신장치 및 통신방법 |
| US8494484B2 (en) | 2005-11-01 | 2013-07-23 | Ntt Docomo, Inc. | Communication apparatus and communication method for tunnel switching |
| JP2007150714A (ja) * | 2005-11-28 | 2007-06-14 | Kddi Corp | 無線制御システム及び無線制御方法 |
| JP2007312202A (ja) * | 2006-05-19 | 2007-11-29 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークシステム及びその認証方法 |
| JP2008022209A (ja) * | 2006-07-12 | 2008-01-31 | Nippon Telegr & Teleph Corp <Ntt> | アクセスポイントの正当性を確認する通信システム、通信方法、及び認証用情報提供サーバ |
| WO2008059882A1 (fr) * | 2006-11-14 | 2008-05-22 | Nec Corporation | Serveur, système de communication, procédé de jugement et programme |
| JP5012809B2 (ja) * | 2006-11-14 | 2012-08-29 | 日本電気株式会社 | サーバ、通信システム、判定方法およびプログラム |
| KR100921153B1 (ko) | 2007-08-01 | 2009-10-12 | 순천향대학교 산학협력단 | 무선 통신 네트워크 상에서의 사용자 인증 방법 |
| JP2010537574A (ja) * | 2007-08-17 | 2010-12-02 | クゥアルコム・インコーポレイテッド | アドホックな小カバレージ基地局のアクセス制御 |
| JP2013225880A (ja) * | 2007-08-17 | 2013-10-31 | Qualcomm Inc | アドホックな小カバレージ基地局のアクセス制御 |
| US8923212B2 (en) | 2007-08-17 | 2014-12-30 | Qualcomm Incorporated | Method and apparatus for interference management |
| US9565612B2 (en) | 2007-08-17 | 2017-02-07 | Qualcomm Incorporated | Method and apparatus for interference management |
| JP2018174404A (ja) * | 2017-03-31 | 2018-11-08 | 西日本電信電話株式会社 | 通信制御装置、通信制御方法、及びプログラム |
| WO2023181968A1 (ja) * | 2022-03-22 | 2023-09-28 | ソフトバンク株式会社 | 通信システム及び方法、サーバ、アクセスポイント装置、通信端末並びにプログラム |
| JP2023140108A (ja) * | 2022-03-22 | 2023-10-04 | ソフトバンク株式会社 | 通信システム及び方法、サーバ、アクセスポイント装置、通信端末並びにプログラム |
| JP7485710B2 (ja) | 2022-03-22 | 2024-05-16 | ソフトバンク株式会社 | 通信システム及び方法、サーバ、アクセスポイント装置、通信端末並びにプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3905803B2 (ja) | 2007-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114268943B (zh) | 授权方法及装置 | |
| KR100952269B1 (ko) | 가입 모듈로의 안전 접근 | |
| KR101034437B1 (ko) | 단일 가입자 아이덴티티 모듈(sim)을 사용하여 무선 링크 상에서의 복수 디바이스들의 동시 인증 | |
| US7734280B2 (en) | Method and apparatus for authentication of mobile devices | |
| TWI356614B (en) | Improved subscriber authentication for unlicensed | |
| US20030120920A1 (en) | Remote device authentication | |
| KR101068424B1 (ko) | 통신시스템을 위한 상호동작 기능 | |
| US7177637B2 (en) | Connectivity to public domain services of wireless local area networks | |
| EP1528706A1 (en) | Radio lan access authentication system | |
| EP1521491A2 (en) | Control method for a wireless communication system, wireless communication device, base station and authentication device in the communication system | |
| US20070269048A1 (en) | Key generation in a communication system | |
| JP2009526418A (ja) | 通信装置による間接アクセスの方法、システムおよび装置 | |
| US7835724B2 (en) | Method and apparatus for authenticating service to a wireless communications device | |
| CN104836787A (zh) | 用于认证客户端站点的系统和方法 | |
| JP3905803B2 (ja) | 無線通信における認証システム、認証方法及び端末装置 | |
| US9788202B2 (en) | Method of accessing a WLAN access point | |
| US20060154645A1 (en) | Controlling network access | |
| JP2006345205A (ja) | 無線lan接続管理方法、無線lan接続管理システム及び設定用無線中継装置 | |
| JP3964338B2 (ja) | 通信ネットワークシステム、通信端末機、認証装置、認証サーバ、及び電子認証方法 | |
| CN1695362B (zh) | 对预订模块的保密访问 | |
| JP4574122B2 (ja) | 基地局、および、その制御方法 | |
| KR101940722B1 (ko) | 개방형 와이파이 존에서 사용자 단말기를 위한 통신 보안 제공 방법 | |
| WO2010133036A1 (zh) | 一种基站间通信方法、装置及通信系统 | |
| JP3798397B2 (ja) | アクセス管理システムおよびアクセス管理装置 | |
| CN1650580B (zh) | 保证链路安全的方法及实现该方法的数据终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050404 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20061220 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070109 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070112 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3905803 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110119 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110119 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120119 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120119 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130119 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130119 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140119 Year of fee payment: 7 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |