| 【発明の名称】 |
無線通信システム、無線基地局装置、無線端末装置、無線通信方法、及びプログラム |
| 【発明者】 |
【氏名】青木 雅也
【氏名】中村 哲也
【氏名】大西 健司
【氏名】デサイ アナンダ
【氏名】ソン ユイ
|
| 【要約】 |
【課題】無線通信システムにおけるハンドオーバ時の無線端末装置の認証を迅速に行う。
【構成】無線通信システムの無線基地局装置において、所定の鍵を格納する鍵格納手段と、ある無線端末装置からログイン要求を受信した場合に、そのログイン要求を認証装置に送信し、認証装置から認証結果を受信する手段と、前記認証装置による認証が成功である場合に、前記無線端末装置の識別情報を含む情報を前記所定の鍵で暗号化した情報である端末認証情報を当該無線端末装置に送信する手段と、他の無線基地局装置の配下から移動してきた他の無線端末装置から端末認証情報を受信した場合に、当該端末認証情報を前記所定の鍵で復号化し、当該端末認証情報に含まれる情報を用いて前記他の無線端末装置の認証を行い、認証が成功した場合に、前記他の無線端末装置と他の装置との間の通信の中継を行う手段とを備える。 |
【特許請求の範囲】
【請求項1】
無線端末装置と無線通信を行い、無線端末装置と他の装置との間の通信の中継を行う無線基地局装置を複数備え、更に、当該複数の無線基地局装置とネットワークを介して接続された鍵管理装置を備えた無線通信システムであって、
前記鍵管理装置は、前記複数の無線基地局装置において共通に用いられる所定の鍵を前記複数の無線基地局装置における各無線基地局装置に送信する手段を備え、
前記複数の無線基地局装置における各無線基地局装置は、
前記鍵管理装置から受信した所定の鍵を格納する鍵格納手段と、
ある無線端末装置からログイン要求を受信した場合に、そのログイン要求を認証装置に送信し、認証装置から認証結果を受信する手段と、
前記認証装置による前記無線端末装置の認証が成功である場合に、当該無線端末装置の識別情報を含む情報を前記所定の鍵で暗号化した情報である端末認証情報を当該無線端末装置に送信する手段と、
他の無線基地局装置の配下から移動してきた他の無線端末装置から端末認証情報を受信した場合に、当該端末認証情報を前記所定の鍵で復号化し、当該端末認証情報に含まれる情報を用いて前記他の無線端末装置の認証を行い、認証が成功した場合に、前記他の無線端末装置と他の装置との間の通信の中継を行う手段と
を備えたことを特徴とする無線通信システム。
【請求項2】
前記無線通信システムにおける無線端末装置と無線基地局装置はそれぞれUWB通信インターフェースを備え、無線端末装置と無線基地局装置間でUWB通信を行うことを特徴とする請求項1に記載の無線通信システム。
【請求項3】
前記無線端末装置の識別情報は、当該無線端末装置のMACアドレスであり、前記無線基地局装置は、前記端末認証情報の送信元の無線端末装置のMACアドレスと、前記端末認証情報に含まれるMACアドレスとを比較することにより前記端末認証情報の送信元の無線端末装置の認証を行うことを特徴とする請求項1に記載の無線通信システム。
【請求項4】
前記鍵管理装置は、カウンター情報を各無線基地局装置に定期的に送信し、
各無線基地局装置は、前記端末認証情報にカウンター情報を含め、無線端末装置から受信した端末認証情報に含まれるカウンター情報と、保持している最新のカウンター情報とを比較することにより、端末認証情報の有効性を判定することを特徴とする請求項1に記載の無線通信システム。
【請求項5】
無線端末装置と無線通信を行い、無線端末装置と他の装置との間の通信の中継を行う無線基地局装置であって、
他の無線基地局装置と共通に用いられる所定の鍵を格納する鍵格納手段と、
ある無線端末装置からログイン要求を受信した場合に、そのログイン要求を認証装置に送信し、認証装置から当該無線端末装置の認証結果を受信する手段と、
前記認証装置による認証が成功である場合に、前記無線端末装置の識別情報を含む情報を前記所定の鍵で暗号化した情報である端末認証情報を当該無線端末装置に送信する手段と、
他の無線基地局装置の配下から移動してきた他の無線端末装置から端末認証情報を受信した場合に、当該端末認証情報を前記所定の鍵で復号化し、当該端末認証情報に含まれる情報を用いて前記他の無線端末装置の認証を行い、認証が成功した場合に、前記他の無線端末装置と他の装置との間の通信の中継を行う手段と
を備えたことを特徴とする無線基地局装置。
【請求項6】
無線端末装置と無線通信を行い、無線端末装置と他の装置との間の通信の中継を行う無線基地局装置を複数備えた無線通信システムで使用される無線端末装置であって、
ある無線基地局装置との接続を行うために、ユーザ認証情報を含むログイン要求を送信する手段と、
認証装置による前記ユーザ認証情報に基づく認証結果が成功である場合に、前記無線基地局装置から、前記無線端末装置の識別情報を含む情報を所定の鍵で暗号化した情報である端末認証情報を受信する手段と、
前記無線端末装置が前記無線基地局装置とは別の他の無線基地局装置の配下に移動した場合に、当該他の無線基地局装置との接続を行うために、当該他の無線基地局装置に前記端末認証情報を送信し、当該他の無線基地局装置から前記端末認証情報に基づく認証結果を受信する手段と、
を備えたことを特徴とする無線端末装置。
【請求項7】
無線端末装置と無線通信を行い、無線端末装置と他の装置との間の通信の中継を行う無線基地局装置により実行される無線通信方法であって、
他の無線基地局装置と共通に用いられる所定の鍵を鍵管理装置から受信し、鍵格納手段に格納するステップと、
ある無線端末装置からログイン要求を受信した場合に、そのログイン要求を認証装置に送信し、認証装置から当該無線端末装置の認証結果を受信するステップと、
前記認証装置による認証が成功した場合に、前記無線端末装置の識別情報を含む情報を前記所定の鍵で暗号化した情報である端末認証情報を当該無線端末装置に送信するステップと、
他の無線基地局装置の配下から移動してきた他の無線端末装置から端末認証情報を受信した場合に、当該端末認証情報を前記所定の鍵で復号化し、当該端末認証情報に含まれる情報を用いて前記他の無線端末装置の認証を行い、認証が成功した場合に、前記他の無線端末装置と他の装置との間の通信の中継を行うステップと
を備えたことを特徴とする無線通信方法。
【請求項8】
コンピュータに、無線端末装置と無線通信を行い、無線端末装置と他の装置との間の通信の中継を行う無線基地局装置としての機能を実現させるためのプログラムであって、前記コンピュータを、
ある無線端末装置からログイン要求を受信した場合に、そのログイン要求を認証装置に送信し、認証装置から当該無線端末装置の認証結果を受信する手段、
前記認証装置による認証が成功である場合に、他の無線基地局装置と共通に用いられる所定の鍵を記憶装置から読み出し、前記無線端末装置の識別情報を含む情報を当該所定の鍵で暗号化した情報である端末認証情報を当該無線端末装置に送信する手段、
他の無線基地局装置の配下から移動してきた他の無線端末装置から端末認証情報を受信した場合に、当該端末認証情報を前記所定の鍵で復号化し、当該端末認証情報に含まれる情報を用いて前記他の無線端末装置の認証を行い、認証が成功した場合に、前記他の無線端末装置と他の装置との間の通信の中継を行う手段、
として機能させるためのプログラム。
【請求項9】
コンピュータに、無線端末装置と無線通信を行い、無線端末装置と他の装置との間の通信の中継を行う無線基地局装置を複数備えた無線通信システムで使用される無線端末装置としての機能を実現させるためのプログラムであって、前記コンピュータを、
ある無線基地局装置との接続を行うために、ユーザ認証情報を含むログイン要求を送信する手段、
認証装置による前記ユーザ認証情報に基づく認証結果が成功である場合に、前記無線基地局装置から、前記無線端末装置の識別情報を含む情報を所定の鍵で暗号化した情報である端末認証情報を受信する手段、
前記コンピュータが前記無線基地局装置とは別の他の無線基地局装置の配下に移動した場合に、当該他の無線基地局装置との接続を行うために、当該他の無線基地局装置に前記端末認証情報を送信し、当該他の無線基地局装置から前記端末認証情報に基づく認証結果を受信する手段、
として機能させるためのプログラム。
|
【発明の詳細な説明】【技術分野】
【0001】
本発明は、複数の無線アクセスポイントを備えた無線通信システムにおけるハンドオーバ技術に関するものである。
【背景技術】
【0002】
昨今、オフィス環境下において、VoIP(Voice over IP)技術を用いたIP電話が普及している。現在、IP電話を利用するための端末装置としては、有線による固定型の端末装置と、無線による携帯型の端末装置の2種類が存在する。ユーザの利便性を考えたとき、携帯型の端末装置のほうが、移動できずに物理的制約のある有線に比べ、より利便性が高い。
【0003】
現在のところ、オフィス環境におけるVoIP技術を用いた無線IP電話を実現するための無線通信インフラとしては、無線LAN(IEEE802. 11a/b/g)が利用可能である。無線LANの通信可能範囲は約20〜30メートルであり、伝送速度は約百kbps〜数Mbpsである。また、端末装置を認証する仕組みとして、IEEE802.1Xなどのプロトコルを用いてネットワーク側に存在する認証サーバで端末認証を行う仕組みが広く利用されている。
【0004】
なお、無線LAN通信システムにおけるハンドオーバに関する従来技術として、例えば特許文献1に記載された技術がある。
【特許文献1】特開2005−223753号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来の無線LANをインフラに用いてVoIP技術による無線IP電話を実現するためには、高い移動性を考慮しなければならない。通常の携帯電話と同様に、無線IP電話でも通話しながら広い範囲でユーザが移動するからである。
【0006】
環境によっても異なるが、一般的に、1台の無線アクセスポイントがカバーできる範囲は室内の802.11b/11Mbpsで半径23m程度である。また、オフィスの形状や壁の配置などの条件によってはさらに狭い範囲しかカバーできない。
【0007】
つまり、ほとんどのオフィス環境では複数の無線アクセスポイントの設置が必要であり、ユーザが無線アクセスポイント間を移動することによってハンドオーバが発生する。PCなどのデータ端末ではハンドオーバに2〜3秒かかっても特に問題がない場合が多いが、音声の無線IP電話では、ハンドオーバに1秒以上かかると完全な音切れとなり、好ましくない。
【0008】
しかし、現在の通常の無線LANにおけるハンドオーバでは、接続する無線アクセスポイントの切替の際の端末装置の再認証時に、バックエンドの認証サーバ(RADIUSサーバなど)へのアクセスが必要であるため、ハンドオーバに時間がかかり、無線IP電話の音切れなくハンドオーバを行うことは困難である。
【0009】
特許文献1には、簡易な方法で移動端末の移動予測を行い、移動予測の結果をネットワーク側から移動端末に伝えることにより、ハンドオーバ処理をスムーズに行う技術が記載されているが、ハンドオーバ時に移動端末の認証を行なう場合にその認証を迅速に行うことについての記載はない。
【0010】
本発明は上記の点に鑑みてなされたものであり、無線通信システムにおけるハンドオーバ時の無線端末装置の認証を迅速に行う技術を提供することを目的とする。
【課題を解決するための手段】
【0011】
上記の課題は、無線端末装置と無線通信を行い、無線端末装置と他の装置との間の通信の中継を行う無線基地局装置を複数備え、更に、当該複数の無線基地局装置とネットワークを介して接続された鍵管理装置を備えた無線通信システムであって、前記鍵管理装置は、前記複数の無線基地局装置において共通に用いられる所定の鍵を前記複数の無線基地局装置における各無線基地局装置に送信する手段を備え、前記複数の無線基地局装置における各無線基地局装置は、前記鍵管理装置から受信した所定の鍵を格納する鍵格納手段と、ある無線端末装置からログイン要求を受信した場合に、そのログイン要求を認証装置に送信し、認証装置から認証結果を受信する手段と、前記認証装置による前記無線端末装置の認証が成功である場合に、当該無線端末装置の識別情報を含む情報を前記所定の鍵で暗号化した情報である端末認証情報を当該無線端末装置に送信する手段と、他の無線基地局装置の配下から移動してきた他の無線端末装置から端末認証情報を受信した場合に、当該端末認証情報を前記所定の鍵で復号化し、当該端末認証情報に含まれる情報を用いて前記他の無線端末装置の認証を行い、認証が成功した場合に、前記他の無線端末装置と他の装置との間の通信の中継を行う手段とを備えたことを特徴とする無線通信システムにより解決できる。
【0012】
前記無線通信システムにおける無線端末装置と無線基地局装置はそれぞれUWB通信インターフェースを備え、無線端末装置と無線基地局装置間でUWB通信を行うこととしてもよい。
【0013】
また、前記無線端末装置の識別情報は、当該無線端末装置のMACアドレスであり、前記無線基地局装置は、前記端末認証情報の送信元の無線端末装置のMACアドレスと、前記端末認証情報に含まれるMACアドレスとを比較することにより前記端末認証情報の送信元の無線端末装置の認証を行うように構成してもよい。
【0014】
また、前記鍵管理装置は、カウンター情報を各無線基地局装置に定期的に送信し、各無線基地局装置は、前記端末認証情報にカウンター情報を含め、無線端末装置から受信した端末認証情報に含まれるカウンター情報と、保持している最新のカウンター情報とを比較することにより、端末認証情報の有効性を判定することとしてもよい。
【0015】
また、本発明は、無線端末装置と無線通信を行い、無線端末装置と他の装置との間の通信の中継を行う無線基地局装置であって、他の無線基地局装置と共通に用いられる所定の鍵を格納する鍵格納手段と、ある無線端末装置からログイン要求を受信した場合に、そのログイン要求を認証装置に送信し、認証装置から当該無線端末装置の認証結果を受信する手段と、前記認証装置による認証が成功である場合に、前記無線端末装置の識別情報を含む情報を前記所定の鍵で暗号化した情報である端末認証情報を当該無線端末装置に送信する手段と、他の無線基地局装置の配下から移動してきた他の無線端末装置から端末認証情報を受信した場合に、当該端末認証情報を前記所定の鍵で復号化し、当該端末認証情報に含まれる情報を用いて前記他の無線端末装置の認証を行い、認証が成功した場合に、前記他の無線端末装置と他の装置との間の通信の中継を行う手段とを備えたことを特徴とする無線基地局装置として構成してもよい。
【0016】
また、本発明は、無線端末装置と無線通信を行い、無線端末装置と他の装置との間の通信の中継を行う無線基地局装置を複数備えた無線通信システムで使用される無線端末装置であって、ある無線基地局装置との接続を行うために、ユーザ認証情報を含むログイン要求を送信する手段と、認証装置による前記ユーザ認証情報に基づく認証結果が成功である場合に、前記無線基地局装置から、前記無線端末装置の識別情報を含む情報を所定の鍵で暗号化した情報である端末認証情報を受信する手段と、
前記無線端末装置が前記無線基地局装置とは別の他の無線基地局装置の配下に移動した場合に、当該他の無線基地局装置との接続を行うために、当該他の無線基地局装置に前記端末認証情報を送信し、当該他の無線基地局装置から前記端末認証情報に基づく認証結果を受信する手段と、を備えたことを特徴とする無線端末装置として構成することもできる。
【発明の効果】
【0017】
本発明によれば、無線通信システムにおけるハンドオーバ時の無線端末装置の認証を迅速に行うことが可能となり、ハンドオーバを高速化できる。
【発明を実施するための最良の形態】
【0018】
以下、図面を参照して本発明の実施の形態について説明する。
【0019】
(システム概要)
図1に、本発明の実施の形態における無線通信システムを示す。図1に示すように、複数の無線アクセスポイント(AP)とキーサーバ4とがネットワーク6で接続される構成をとる。また、無線アクセスポイント1配下のエリアには、無線アクセスポイント1と無線通信を行う無線端末装置5が存在し、無線端末装置5はエリア間を適宜移動するものとする。
【0020】
キーサーバ4は、各無線アクセスポイントに対して鍵情報やカウンター情報を配布する機能を備えている。また、本実施の形態では、キーサーバ4はユーザ認証機能も備えているものとするが、ユーザ認証を行う装置としてキーサーバ4以外の認証装置を用いることとしてもよい。
【0021】
各無線アクセスポイントは、無線LANのアクセスポイントとしての一般的な機能の他、キーサーバ4から配布された鍵情報を用いて暗号化したクッキー(Cookie)を生成し、ユーザ認証に成功した無線端末装置にその暗号化クッキーを配布する機能、及び、ハンドオーバ時に無線端末装置から受信した暗号化クッキーに基づき当該無線端末装置を認証する機能を備えている。なお、以下の説明では、無線アクセスポイントをホストサーバ(Host server)と呼ぶことにする。
【0022】
また、本発明に係るハンドオーバの方式は無線通信方式の種類を問わず適用可能であり、無線端末装置の無線通信方式としてはどのようなものでも用いることができるが、本実施の形態では無線端末装置としてUWB(Ultra Wide Band)端末を用いることとする。また、ホストサーバもUWBインターフェース機能を備えているものとする。
【0023】
UWBでは、データを1GHz以上の極めて広い周波数帯に拡散して送受信を行うことで、数十Mbpsを超える通信速度を確保することが可能である。また、それぞれの周波数帯における信号強度はノイズ程度の強さしかなく、機器の消費電力も少ない。UWBを用いることによる効果については後述する。
【0024】
なお、本明細書において、特に指定していない限り、“無線LAN”の用語は広い意味で使用しており、無線通信端末とホストサーバ間で無線通信によるネットワーク(いわゆるPAN(パーソナルエリアネットワーク)を含む)を構成できる全ての方式を含む。
【0025】
次に、本実施の形態における無線通信システムの主要な動作を図2、3のシーケンスチャートを参照して説明する。この動作の前提として、各ホストサーバは、キーサーバから配布された鍵情報(ホストキー(HK)、カウンター)を保持しているものとする。また、各フローは、無線LANのMAC層でのメッセージ(フレーム)の送受信を示している。
【0026】
まず、無線端末装置5が最初にホストサーバ1に接続する場合の処理を図2を参照して説明する。
【0027】
無線端末装置5は、ユーザ名、パスワード、端末識別子(自分のMACアドレス)を含むログイン要求メッセージをホストサーバ1に送信する(ステップ1)。ログイン要求メッセージを受信したホストサーバ1は、当該ログイン要求メッセージをキーサーバ4に送信する(ステップ2)。キーサーバ4は、ログイン要求メッセージに含まれるユーザ名とパスワードを用いてユーザ認証を行い(ステップ3)、認証に成功した場合に、ACKメッセージをホストサーバ1に送る(ステップ4)。そして、ホストサーバ1は、接続キー(CK)とホストサーバ識別子(HID)を含むログイン確認メッセージを無線端末装置5に送信する(ステップ5)。なお、接続キーは、次に行われる4ウェイハンドシェークで用いられると共に、ホストサーバ1との接続後におけるホストサーバ1との暗号化通信にも用いられる鍵である。
【0028】
その後、例えばWiMedia Allianceで規格化されている4ウェイハンドシェークを行った後(ステップ6)、ホストサーバ1は、キーサーバ4からホストサーバ1に配布されているホストキー(HK)で暗号化したクッキーを含むメッセージを無線端末装置5に送信する(ステップ7)。クッキーは端末識別子、接続キー、及びカウンターを含むものである。無線端末装置5は暗号化されたクッキーをメモリ等の記憶手段に格納する。
【0029】
上記の処理により、無線端末装置5とホストサーバ1との接続が確立した状態になり、無線端末装置5は、ホストサーバ1を介して他の装置との通信を行うことが可能となる。
【0030】
次に、無線端末装置5がホストサーバ2のエリアに移動する際のハンドオーバ動作について図3を参照して説明する。
【0031】
無線端末装置5がホストサーバ2配下に移動した場合、無線端末装置5は、自分自身が暗号化されたクッキーを保持していることを確認し、その暗号化されたクッキーを含むメッセージをホストサーバ2に送信する(ステップ11)。ホストサーバ2は、クッキーが正当であるかどうかを検証することにより、無線端末装置5の認証を行う(ステップ12)。
【0032】
より詳細には、ホストサーバ2は、ホストキーを用いて暗号化されたクッキーを復号化し、クッキーに含まれている端末識別子とカウンターを取り出す。そしてクッキーから取り出した端末識別子が、クッキー送信元無線端末装置5のMACアドレスと一致するかどうか、また、カウンターの値が最新のカウンターの値より古くないかどうかなどの条件をチェックし、条件を満たした場合に、無線端末装置5が正当であると判断する。なお、条件を満たさない場合の動作については後の各装置の詳細動作説明において説明する。
【0033】
そして、ホストサーバ2は、認証が成功したことを示すACKメッセージを無線端末装置5に送信する(ステップ13)。これにより、無線端末装置5はホストサーバ2と接続され、ホストサーバ2を介して他の装置との通信を継続できる。
【0034】
上記のように、無線端末装置5に格納された暗号化されたクッキーを用いて、ホストサーバがハンドオーバ時の認証を行うので、従来のようにハンドオーバ時に認証サーバやスイッチにアクセスすることがなくなり、認証にかかる時間を削減でき、IP電話使用時における音切れを防止できる。
【0035】
(装置の詳細構成)
次に、本実施の形態の無線通信システムを構成する各装置についてより詳細に説明する。図4に、各装置の機能構成を示す。なお、図4は、本発明に関連する機能部を主に示しており、各装置は、無線LAN通信、及びデータ通信を実現するための機能や情報を適宜有していることはいうまでもない。
【0036】
図4に示すように、無線端末装置5は、データ受信部51、データ送信部52、クッキー保存DB53、及びハンドオーバ処理部54を備えている。
【0037】
データ受信部51及びデータ送信部52は、UWBのネットワークインタフェースを実装している。データ受信部51はUWBによりホストサーバ1からのデータの受信を行う機能を有する。データ送信部52はUWBによりホストサーバ5へデータを送信する機能を有する。また、クッキー保存DB53は、ホストサーバ5から送信された暗号化されたクッキーを保存する。ハンドオーバ処理部54は、ホストサーバ5から受信したメッセージの種類により、次に行う処理を決定する機能を有する。
【0038】
ホストサーバ1は、データ受信部11、データ送信部12、データ転送部13、ホストキー保存DB14、データ処理部15、及びクッキー処理部16を備えている。
【0039】
データ受信部11は、無線端末装置5から送信されたデータを受信する機能を有し、データ送信部12は、無線端末装置5にデータを送信する機能を有する。また、データ受信部11とデータ送信部12はともにUWBのネットワークインタフェース機能を有している。
【0040】
ホストキー保存DB14は、キーサーバ4から受信したホストキーやカウンターなどのホストキー関連情報を格納するものである。
【0041】
データ転送部13は、データ受信部11で受信した無線端末装置5からのユーザ認証要求(ログイン要求)をキーサーバ4に転送する機能、データ処理部15からのホストキー要求をキーサーバ4に転送する機能、キーサーバ4からのユーザ認証結果を受信し、無線端末装置5に送信するためにデータ送信部12に転送する機能、キーサーバ4からのホストキー関連情報を受信し、データ処理部15に転送する機能などを有している。また、データ転送部13は、無線端末装置5との接続後における無線端末装置5と他の装置との通信を中継する機能も有している。
【0042】
また、データ処理部15は、ホストサーバ1の初期化時にホストキーを要求し、ホストキー要求をデータ転送部13に送信する機能、キーサーバ4からのホストキー関連情報をデータ転送部13経由で受信し、ホストキー保存DB14に保存する機能、データ受信部11経由で受信した無線端末装置5からのハンドオーバ要求に含まれる暗号化されたクッキーを、ホストキー保存DB14に保存されたホストキーを用いて復号する機能、クッキー処理部16で生成されたクッキーを、ホストキーを用いて暗号化し、データ送信部12に転送する機能、クッキー処理要求(認証、生成)をクッキー処理部16に送信する機能などを有している。
【0043】
クッキー処理部16は、データ処理部15からクッキー処理要求(認証、生成)を受け、クッキー処理要求に応じた処理を行い、処理結果をデータ処理部15に通知する機能を有している。
【0044】
キーサーバ4は、データ受信部41、データ送信部42、ホストキー処理部43、ユーザ認証部44、ホストデータ保存DB45、及びユーザデータ保存DB46を備えている。
【0045】
データ受信部41は、ホストサーバ1からのデータを受信し、そのデータがユーザ認証要求(ログイン要求)ならば、それをユーザ認証部44に転送し、ホストキー要求であればホストキー処理部43へ転送する機能を有する。データ送信部42は、ユーザ認証部44もしくはホストキー処理部43からのデータをホストサーバ1へ送信する機能を有している。
【0046】
ホストキー処理部43は、ホストサーバ1からの登録要求に対し、ホストキー関連情報(ホストキー, カウンターなど)を発行し、同時に、発行したホストキー関連情報をホストデータ保存DB45に登録する機能、一定間隔毎にカウンターを更新し、データ送信部42経由でホストサーバ1に送信する機能を有している。
【0047】
ユーザ認証部44は、ユーザ認証要求に対し、ユーザデータ保存DB46の中のユーザ情報を参照してユーザ認証を行い、認証結果をデータ送信部42へ返す機能を有している。
【0048】
上記の各装置は、CPU、記憶装置、通信装置などを備えたコンピュータとしての構成を持つ装置に、各装置が実行すべき処理に対応するプログラムを搭載することにより実現可能である。また、各装置は専用のハードウェアで構成することも可能である。なお、各装置の内部構成は図4に記載されたものに限定されるものではなく、以下で説明する動作を実現できる構成であればどのような構成でもよい。
【0049】
(各装置の動作)
以下、本実施の形態における各装置の動作の詳細をフローチャートを参照して説明する。なお、各装置の動作においては図5、図6に示すメッセージの送受信がなされる。これらのメッセージのフォーマットを図7〜図9に示し、処理フローの説明の中で適宜参照する。
【0050】
最初に、図10を参照して、無線端末装置の認証を行う際のホストサーバの動作を説明する。
【0051】
まず、ステップ21において、ホストサーバは無線端末装置から認証要求メッセージを受信する。認証要求メッセージとしては、図7(a)に示すメッセージ1(ログイン要求メッセージ)と図8(h)に示すメッセージ4c(ハンドオーバ要求メッセージ)の場合がある。
【0052】
図7(a)に示すように、メッセージ1は、ユーザ名(user)、パスワード(pwd)、無線端末装置識別子(DID:無線端末装置のMACアドレス)を含む。なお、headerにはメッセージの種類を示す情報などが含まれる。図8(h)に示すように、メッセージ4cは、暗号化されたクッキー(CKI)とMIC(Message Integrity Check:CKIのMD5によるハッシュ値)を含み、クッキーは無線端末装置識別子(DID)、接続キー(CK)、及びカウンター(CTR)を含む。
【0053】
図10のフローチャートにおいて、ホストサーバが無線端末装置からメッセージ1を受信した場合、ホストサーバはユーザ認証情報送受信処理を行う(ステップ23)。ここでは、ホストサーバが、メッセージ1をユーザ認証を行うキーサーバに送信し、キーサーバからのユーザ認証結果を受信する。そして、ユーザ認証が成功である場合、ホストサーバは図7(b)に示すメッセージ2(ログイン確認メッセージ)を無線端末装置に送信する。図7(b)に示すように、メッセージ2は状態(status)、接続キー(CK)、ホスト識別子(HID)を含む。接続キーは、無線端末装置とホストサーバ間のコネクションを確立するためのキーであり、ホストサーバにより生成されるものである。また、接続キーは4ウェイハンドシェークでも用いられる。
【0054】
続いて、図10のステップ24において、4ウェイハンドシェークが行われる。ここでは、図7に示すメッセージ3aが無線端末装置からホストサーバに送信され、メッセージ3bがホストサーバから無線端末装置に送信され、更に、メッセージ3cが無線端末装置からホストサーバに送信され、メッセージ3dがホストサーバから無線端末装置に送信される。
【0055】
4ウェイハンドシェークの後、ホストサーバはメッセージ4bを無線端末装置に送信する(ステップ25)。図8(g)に示すように、メッセージ4bは、ホストキーで暗号化されたクッキーとMICを含む。これにより、暗号化されたクッキーが無線端末装置に格納されることになる。なお、メッセージ4bで送信するクッキーは、予めキーサーバから配布されているHKを用いてホストサーバが送信前に暗号化する。
【0056】
図10のステップ21において、ホストサーバがメッセージ4c(ローミング要求メッセージ)を受信した場合(ステップ22のNo)、ホストサーバはクッキーの有効性の判定を行う(ステップ26)。ここでは、まずクッキー(CKI )をホストキー(HK)を用いて復号する。クッキー(CKI)を正常に復号できれば、クッキー(CKI )に含まれている無線端末装置識別子(DID)とカウンター(CTR)を取り出し、無線端末装置識別子(DID)が送信元の無線端末装置のMACアドレスと一致するかどうかをを確認する。一致すればクッキーは有効であると判定する。
【0057】
クッキー(CKI )をホストキー(HK)を用いて復号できない場合、もしくは、無線端末装置識別子(DID)が送信元の無線端末装置のMACアドレスと一致しない場合、当該クッキーは無効と判断し(ステップ26のNo)、無線端末装置に対し、メッセージ4dを、status をNACKとして返信する(ステップ27)。その後は、ステップ23〜25の処理が行われる。なお、メッセージ4dは図8(i)に示すとおりであり、status(ACK又はNACK)によりクッキー認証が成功したかどうかを無線端末装置に通知するものである。
【0058】
図10のステップ26において、クッキーが有効であると判定された場合、次にホストサーバはカウンター(CTR)値が正常か否かの判定を行う。ここでは、クッキー(CKI)から取り出したカウンター(CTR)の値と、キーサーバから通知されている最新のカウンター値とを比較し、例えばクッキー(CKI)から取り出したカウンター(CTR)値が最新のカウンター値から2以上離れている場合は、当該クッキーは古いものであると判断し、無効化して、4ウェイハンドシェークのメッセージ3aを無線端末装置に送信する。4ウェイハンドシェークが完了すると、ホストサーバは、新しいクッキーを発行し、メッセージ4bで無線端末装置に送信する(ステップ28のNo、ステップ24、25)。
【0059】
クッキー(CKI)から取り出したカウンター(CTR)の値と、キーサーバから通知されている最新のカウンター値とが同じ、もしくは1つしか違わない場合(ステップ28のYes)は、当該クッキーは十分新しいと判断し、有効であるとみなし、status をACK としたメッセージ4dを無線端末装置に送信する(ステップ29)。
【0060】
次に、図11のフローチャートを参照して無線端末装置の動作を説明する。無線端末装置が通信を行うためにホストサーバに接続するにあたり、まず、無線端末装置自身がクッキー(CKI)を保持しているかどうかを判断する。クッキー(CKI)を保持していなければ初めての接続であり、クッキー(CKI)を保持していれば当該接続はハンドオーバのための接続である。
【0061】
ステップ31において、クッキー(CKI)を保持していないと判断した場合(Noの場合)、キーサーバを用いたユーザ認証、4ウェイハンドシェーク、及びクッキーの受信(ステップ32〜ステップ34)が行われる。すなわち、メッセージ1(ログイン要求メッセージ)を送信することにより認証要求を行い、認証が成功した場合に、4ウェイハンドシェークをホストサーバとの間で行う。そして、ホストサーバから暗号化されたクッキー(CKI)を受信し、記憶手段に格納する。
【0062】
ステップ31においてクッキー(CKI)を保持している場合(Yesの場合)、保持しているクッキー(CKI)を含めたメッセージ4c(ローミング要求メッセージ)をホストサーバに送信する(ステップ35)。その後、図10を参照して説明したようにホストサーバにおいてクッキーの有効性の判定が行われ、ホストサーバからメッセージ4cに対する返答を受信する(ステップ36)。図10を参照して説明したように、返答としては、メッセージ4d又はメッセージ3aの場合がある。
【0063】
返答としてメッセージ3aを受信する場合は(ステップ37のNo)、そこから4ウェイハンドシェークが開始され、新たなクッキー(CKI)を受信する(ステップ33、34)。新たなクッキー(CKI)を受信した場合は、既にあるクッキー(CKI)を削除し、新たなクッキー(CKI)を有効なものとして格納するものとする。
【0064】
返答としてメッセージ4dを受信する場合(ステップ37のYes)、メッセージ4dのstatus (ACK又はNACK)を確認する。ACKの場合は(ステップ38のYes)、クッキー(CKI)が有効であるとホストサーバに判断されたことになり、ハンドオーバが成功し、認証サーバ(キーサーバ)を用いた再認証の必要なく、切替え後のホストサーバを介して他の装置との通信を継続できる。
【0065】
statusがNACKであった場合は(ステップ38のNo)、ホストサーバから当該クッキー(CKI)が無効と判断されたことになるので、キーサーバを用いたユーザ認証に戻り、ステップ32〜ステップ34の処理を行う。つまり、ユーザ認証及び4ウェイハンドシェイクが完了すると、ホストサーバは無線端末装置に対して新たなクッキー(CKI)を発行するので、無線端末装置は新しいクッキー(CKI)をメッセージ4bで受信し、保存することになる。
【0066】
次に、図12を参照してキーサーバの動作について説明する。キーサーバは、一定間隔毎(例えば30分毎)に、カウンター(CTR)を更新し、更新したカウンターを全てのホストサーバに対して再送している。
【0067】
ステップ41において、この更新間隔が経過したかどうかを確認し、経過した場合はこの再送処理を行う(ステップ42)。このときのメッセージは図9(c)に示すアップデートメッセージであり、カウンターとMICを含む。アップデートメッセージを受信したホストサーバは、受信確認メッセージ(図9(d))をキーサーバに送信し、キーサーバをそれを受信する(ステップ43)。
【0068】
さて、ホストサーバは、その起動時等に、初期化動作の一つとして、クッキーの暗号化/復号化を行うためのホストキーをキーサーバに要求する。キーサーバは、キーサーバ要求のメッセージ(初期化要求メッセージ)をホストサーバから受信すると(ステップ44)、ホストキーとカウンターを含む初期化応答メッセージをホストサーバに返し(ステップ45)、ホストサーバは受信確認メッセージをキーサーバに返す(ステップ46)。これらのメッセージの構成は図9(a)(b)(d)に示すとおりである。
【0069】
なお、ホストサーバは、キーサーバから更新後のカウンターを受信したときに、接続している無線端末装置のクッキーを更新し、接続している無線端末装置に配布することとしてもよい。
【0070】
次に、図13を参照して、キーサーバによるユーザ認証動作について説明する。キーサーバが、無線端末装置から送信されたメッセージ1(ユーザ認証要求メッセージ)をホストサーバを介して受信すると(ステップ51)、メッセージ1に含まれるユーザ名とパスワードを登録情報と比較することによりユーザ認証を行う(ステップ52)。ユーザ名とパスワードが登録情報と一致すれば、認証成功を示すメッセージ(ACK)をホストサーバに送信する(ステップ53)。そして、ホストサーバはメッセージ2を無線端末装置に送信し、その後、4ウェイハンドシェークが行われることになる。ステップ52において、ユーザ名とパスワードが登録情報と一致しない場合、認証失敗を示すメッセージ(NACK)をホストサーバを介して無線端末装置に送信する(ステップ54)。
【0071】
(UWBを用いることによる効果について)
本発明によれば無線端末装置とホストサーバ(無線アクセスポイント:AP)間の無線通信方式の種類に関わらずハンドオーバを高速化できるという効果を奏するが、無線通信方式としてUWBを用いることにより更なる効果が得られるので、以下、UWBを用いることにより得られる効果について説明する。
【0072】
ハンドオーバを高速化するためには、これまでに説明したようなネットワークシステム側の高速化だけでなく、無線端末装置側の処理も高速化することが望ましい。しかし、処理を高速化するということは、それだけ無線端末装置が電力を消費することになり、電池の持続時間が短くなり、ユーザの利便性を損なう可能性がある。。
【0073】
また、不正ユーザのアタック、特に検出が困難ななりすましに対する対策が求められている。無線端末装置のなりすましに対する対策としては、APと端末間の全てのデータを暗号化することや、接続、ハンドオーバの度に認証を行うことが従来から行われている。しかし、例えば、正規のAPと同じESSIDを用いたなりすましAPを設置する不正アクセスに対する問題は残っている。
【0074】
すなわち、IEEE802. 11a/b/gなどの通常の無線LANクライアント(無線端末装置)では、同じESSIDを持つAPが複数存在した場合、受信感度の良いAPとの接続を試みる。実際に接続できてしまえば、無線LANクライアントはどのAPと接続しているか意識していないため、なりすましを検知することは困難である。このなりすなしにより、接続してきたクライアントから、ユーザ情報が漏洩する危険性がある。また、APと無線端末装置間の通信における盗聴についても、データがたとえ暗号化されていたとしても、未然に防ぐことが望ましい。
【0075】
UWBを用いることにより、上記の問題を解決することができる。
【0076】
まず、前述したように、UWBを用いることにより、IEEE802. 11a/b/gなどの通常の無線LANを利用する場合に比べて、通信のための消費電力を格段に軽減でき、ハンドオーバ時の端末側の高速化処理に消費電力を割いたとしても、電池の持続時間の減少という問題を回避できる。
【0077】
また、そもそもなりすましAPや盗聴などの不正アクセスを行うには、端末から到達可能な物理的位置に不正APを配置し、端末からアクセスさせることが必要となる。ところが前述のように、UWBは通信距離が短く、また高周波帯域を用いていることにより、壁などに対する透過性も低いことから、オフィス内で不正APを配置し、端末からアクセスさせることは困難である。また、UWBは、通常の無線LANと異なりユーザクライアントが自動的にスキャンしてAPにアソシエイトすることはないので、未然に情報の流出を防ぐことが可能になる。すなわち、無線通信方式としてUWBを利用することにより、なりすましや盗聴などからの防御が可能になり、物理的セキュリティが向上する。
【0078】
なお、UWBでは通信距離が短いので、APの数を増やさざるを得ず、結果としてハンドオーバの頻度は増加するが、本発明に係るハンドオーバ時の認証技術を用いることによりハンドオーバを高速に行うことができるので、ハンドオーバの頻度が増加しても問題にならない。つまり、本発明の方式はUWBに適している。また、UWBは、既存の無線LAN製品と違って、MAC拡張などのカスタマイズを容易に行うことができるという利点もある。
【0079】
なお、本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【図面の簡単な説明】
【0080】
【図1】本発明の実施の形態における無線通信システムを示す図である。
【図2】本発明の実施の形態における無線通信システムの主要な動作を説明するための図である。
【図3】本発明の実施の形態における無線通信システムの主要な動作を説明するための図である。
【図4】無線通信システムにおける各装置の機能構成図である。
【図5】ホストサーバと無線端末装置間で送受信されるメッセージの一覧である。
【図6】キーサーバとホストサーバ間で送受信されるメッセージの一覧である。
【図7】ホストサーバと無線端末装置間で送受信されるメッセージの内容を示す図である。
【図8】ホストサーバと無線端末装置間で送受信されるメッセージの内容を示す図である。
【図9】キーサーバとホストサーバ間で送受信されるメッセージの内容を示す図である。
【図10】ホストサーバの動作を示すフローチャートである。
【図11】無線端末装置の動作を示すフローチャートである。
【図12】キーサーバの動作を示すフローチャートである。
【図13】キーサーバの動作を示すフローチャートである。
【符号の説明】
【0081】
1〜3 無線アクセスポイント(ホストサーバ)
4 キーサーバ
5 無線端末装置
6 ネットワーク
11 データ受信部
12 データ送信部
13 データ転送部
14 ホストキー保存DB
15 データ処理部
16 クッキー処理部
41 データ受信部
42 データ送信部
43 ホストキー処理部
44 ユーザ認証部
45 ホストデータ保存DB
46 ユーザデータ保存DB
51 データ受信部
52 データ送信部
53 クッキー保存DB
54 ハンドオーバ処理部
|
| 【出願人】 |
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
|
| 【出願日】 |
平成18年8月17日(2006.8.17) |
| 【代理人】 |
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
|
| 【公開番号】 |
特開2008−48212(P2008−48212A) |
| 【公開日】 |
平成20年2月28日(2008.2.28) |
| 【出願番号】 |
特願2006−222623(P2006−222623) |
|