無線通信認証システム及び無線通信認証方法
【課題】 各基地局に認証機能を追加することなく不正ユーザによるリプレイアタックを拒絶する認証を高速に行う。
【解決手段】 移動ノード5が取得した基地局4−1〜4−8が有する固有の識別番号及び移動ノード5へ送信されるパケットデータの転送経路情報の基となる情報を含む認証パケットデータが移動ノード5から基地局4−1〜4−8を介して認証付きルータ3−1〜3−4へ送信され、ルータ3−1〜3−4にて受信された認証パケットデータに含まれる識別番号と、ルータ3−1〜3−4が保持する配下の基地局4−1〜4−8が有する固有の識別番号とが一致した場合、当該認証パケットデータに基づいて転送経路情報をルータ3−1〜3−4に登録する。
【解決手段】 移動ノード5が取得した基地局4−1〜4−8が有する固有の識別番号及び移動ノード5へ送信されるパケットデータの転送経路情報の基となる情報を含む認証パケットデータが移動ノード5から基地局4−1〜4−8を介して認証付きルータ3−1〜3−4へ送信され、ルータ3−1〜3−4にて受信された認証パケットデータに含まれる識別番号と、ルータ3−1〜3−4が保持する配下の基地局4−1〜4−8が有する固有の識別番号とが一致した場合、当該認証パケットデータに基づいて転送経路情報をルータ3−1〜3−4に登録する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線エリアに接続されるネットワークおける不正なユーザを排除するための無線通信認証システム及び無線通信認証方法に関する。
【背景技術】
【0002】
一般的に無線を用いた通信システムにおいては、無線上に送受信される正当なユーザが有する移動ノードから送信されるデータを傍受して、傍受したデータを用いてネットワークを悪用する不正なユーザを排除するために、ネットワークを使用しようとするユーザの認証を行わなければならない。
【0003】
図9は、移動ノードが接続される従来のホストルーティングを用いた階層型ネットワークを示す図である。
【0004】
図9に示すように従来のホストルーティングを用いた階層型ネットワークは、外部ネットワーク100に接続されるルータ101と、ルータ101の配下に接続されるルータ102−1,102−2と、ルータ102−1の配下に接続されるエッジルータであるルータ103−1,103−2と、ルータ102−2の配下に接続されるエッジルータであるルータ103−3,103−4と、ルータ103−1の配下に接続される基地局104−1,104−2と、ルータ103−2の配下に接続される基地局104−3,104−4と、ルータ103−3の配下に接続される基地局104−5,104−6と、ルータ103−4の配下に接続される基地局104−7,104−8と、本ネットワークを使用する移動ノード105と、ルータ103−1〜103−4におけるデータについての認証を行う認証サーバ106とから構成されている。
【0005】
以下に、図9に示した従来のホストルーティングを用いた階層型ネットワークにおける無線通信認証方法について説明する。
【0006】
図10は、図9に示した従来のホストルーティングを用いた階層型ネットワークにおける無線通信認証方法を説明するためのシーケンス図である。
【0007】
現在、移動ノード105は基地局104−2がカバーするエリアに存在し、基地局104−2と無線上で接続されているとする。そのため、移動ノード105から送信されるデータの通信経路は、移動ノード105→基地局104−2→ルータ103−1→ルータ102−1→ルータ101となっており、各ルータ101,102−1,103−1が所有する経路表にはその経路がそれぞれ保持されている。
【0008】
次に、移動ノード105が、基地局104−2がカバーするエリアから基地局104−3がカバーするエリアへ移動したとする。
【0009】
移動したときに移動ノード105によって、基地局104−3へ経路更新通知データが送信される(ステップS101)。送信される経路更新通知データには、送信先ルータの識別子や移動ノード105の識別子、タイムスタンプあるいはシーケンス番号等が含まれている。
【0010】
送信された経路更新通知データが基地局104−3にて受信されると(ステップS102)、受信された経路更新通知データはルータ103−2へ送信される(ステップS103)。
【0011】
基地局104−3から送信された経路更新通知データがルータ103−2にて受信されると(ステップS104)、受信された経路更新通知データは認証サーバ106へ送信される(ステップS105)。
【0012】
ルータ103−2から送信された経路更新通知データが認証サーバ106にて受信されると(ステップS106)、受信された経路更新通知データについて認証が行われる(ステップS107)。
【0013】
この経路更新通知データには上述したデータのほかに認証コードが含まれている。この認証コードは、認証サーバ106と移動ノード105とだけが認識している秘密鍵と、経路更新通知データのうち認証コード以外のデータとからハッシュ関数を用いて生成されるものである。ステップS107にて行われる認証は、認証コードについての再計算が行われ、受信された認証コードが正しいかどうかが判断されることにより行われる。
【0014】
ここで、移動ノード105と基地局104−1〜104−8との間の無線区間において、不正ユーザによって経路更新通知データが傍受されて使用されたとしても、経路更新通知データにタイムスタンプあるいはシーケンス番号が含まれることにより、認証サーバ106によってタイムスタンプあるいはシーケンス番号の重複が検出され、その重複した経路更新通知データは不正ユーザが使用している経路更新通知データであると判断され、当該経路更新通知データは不正データとして排除される。
【0015】
認証サーバ106にてデータ認証が行われると、その結果がルータ103−2へ送信される(ステップS108)。
【0016】
認証サーバ106から送信された認証結果がルータ103−2にて受信されると(ステップS109)、認証結果がGOODである場合、その認証を行った対象である経路更新通知データ及び当該経路更新通知データが送信された基地局が基地局104−3であるという情報に基づいて、ルータ103−2内の経路表が更新される(ステップS110)。この場合、移動ノード105へのデータは基地局104−3を経路とするようにルータ103−2内の経路表が更新される。一方、認証結果がNGの場合は、経路表の更新は行われずに処理が終了する。
【0017】
ルータ103−2内の経路表が更新された後、経路更新通知データがルータ103−2からルータ102−1へ送信される(ステップS111)。
【0018】
ルータ103−2から送信された経路更新通知データがルータ102−1にて受信されると(ステップS112)、受信された経路更新通知データ及び当該経路更新通知データが送信されたルータがルータ103−2であるという情報に基づいて、ルータ102−1内の経路表が更新される(ステップS113)。この場合、移動ノード105へのデータはルータ103−2を経路とするようにルータ102−1内の経路表が更新される。
【0019】
ここで、ルータ102−1よりも上位ルータであるルータ101については、移動ノード105への経路情報がすでに存在しており、かつその経路情報を変更する必要が無いため、ルータ102−1からルータ101へ経路更新通知データは送信されない。
【0020】
しかしながら、上述したように各ルータ103−1〜103−4における経路更新通知データについての認証を行う認証サーバを共通な1つのものにすると、以下のような問題点がある。
【0021】
無線通信システムの技術の1つであるハンドオーバーによって移動ノードが接続している基地局の切り替えが発生すると、その際に新しく接続される基地局において接続されるユーザの認証が行われる。ここで、認証が行われる認証サーバと当該基地局との距離が離れていると、認証サーバと基地局との間で送受信される認証用パケットに生じる伝送遅延の影響によって、ハンドオーバー時に通信が不可能となる時間が生じる虞がある。
【0022】
そこで、認証サーバを複数設けて各基地局と近い位置にそれぞれ設置するか、あるいは各基地局が認証サーバの役割も担うかすることにより、その伝送遅延時間を軽減する方法が考えられている。
【0023】
しかしながら、上述した方法では、不正侵入の手段の一つで、パスワードや暗号鍵などを盗聴し、そのまま再利用することでそのユーザになりすます方法であるリプレイアタックによって不正ユーザがネットワークを利用することが可能となってしまう。
【0024】
図11は、認証サーバの役割も担うルータを使用した無線通信認証システムの一例を示す図である。
【0025】
図11に示すように認証サーバの役割も担う基地局を使用した無線通信認証システムは、外部ネットワーク200に接続されるルータ201と、ルータ201の配下に接続されるルータ202−1,202−2と、ルータ202−1の配下に接続される認証機能付きのエッジルータである認証付きルータ203−1,203−2と、ルータ202−2の配下に接続される認証機能付きのエッジルータである認証付きルータ203−3,203−4と、認証付きルータ203−1の配下に接続される基地局204−1,204−2と、認証付きルータ203−2の配下に接続される基地局204−3,204−4と、認証付きルータ203−3の配下に接続される基地局204−5,204−6と、認証付きルータ203−4の配下に接続される基地局204−7,204−8と、本ネットワークを使用する移動ノード205,207とから構成されている。なお、移動ノード207は移動ノード205と基地局204−2との無線区間における経路更新通知データを傍受して、移動ノード205になりすまして本ネットワークを使用する不正ユーザの移動ノードである。
【0026】
以下に、図11に示した無線通信認証システムにおける無線通信認証方法について説明する。
【0027】
図12は、図11に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。
【0028】
現在、移動ノード205が基地局204−2がカバーするエリアに存在し、基地局204−2と無線上で接続しようとしているとする。まずは、移動ノード205によって、基地局204−2へ経路更新通知データが送信される(ステップS201)。送信される経路更新通知データには、送信先ルータの識別子や移動ノード205の識別子、タイムスタンプあるいはシーケンス番号等が含まれている。
【0029】
送信された経路更新通知データが基地局204−2にて受信されると(ステップS202)、受信された経路更新通知データは認証付きルータ203−1へ送信される(ステップS203)。
【0030】
基地局204−2から送信された経路更新通知データが認証付きルータ203−1にて受信されると(ステップS204)、受信された経路更新通知データについて認証が行われる(ステップS205)。
【0031】
この経路更新通知データには上述したデータのほかに認証コードが含まれている。この認証コードは、認証つきルータ203−1〜203−4と移動ノード205とだけが認識している秘密鍵と、経路更新通知データのうち認証コード以外のデータとからハッシュ関数を用いて生成されるものである。ステップS205にて行われる認証は、認証コードについての再計算が行われ、受信された認証コードが正しいかどうかが判断されることにより行われる。
【0032】
認証付きルータ203−1にてデータ認証が行われると、認証結果がGOODである場合、その認証を行った対象である経路更新通知データ及び当該経路更新通知データが送信された基地局が基地局204−2であるという情報に基づいて、認証付きルータ203−1内の経路表が更新される(ステップS206)。この場合、移動ノード205へのデータは基地局204−2を経路とするように認証付きルータ203−1内の経路表が更新される。一方、認証結果がNGの場合は、経路表の更新は行われずに処理が終了する。
【0033】
認証付きルータ203−1内の経路表が更新された後、経路更新通知データが認証付きルータ203−1からルータ202−1へ送信される(ステップS207)。
【0034】
認証付きルータ203−1から送信された経路更新通知データがルータ202−1にて受信されると(ステップS208)、受信された経路更新通知データ及び当該経路更新通知データが送信された認証付きルータが認証付きルータ203−1であるという情報に基づいて、ルータ202−1内の経路表が更新される(ステップS209)。この場合、移動ノード205へのデータは認証付きルータ203−1を経路とするようにルータ202−1内の経路表が更新される。その後、経路更新通知データがルータ202−1からルータ201へ送信される(ステップS210)。
【0035】
一方、ステップS201において移動ノード205から基地局204−2へ送信された経路更新通知データが、基地局204−3がカバーするエリアに存在する不正ユーザが有する移動ノード207によって傍受され(ステップS211)、移動ノード207が移動ノード205になりすまして、傍受された経路更新通知データが移動ノード207によって基地局204−3へ送信されると(ステップS212)、 送信された経路更新通知データが基地局204−3にて受信され(ステップS213)、受信された経路更新通知データは認証付きルータ203−2へ送信される(ステップS214)。
【0036】
基地局204−3から送信された経路更新通知データが認証付きルータ203−2にて受信されると(ステップS215)、受信された経路更新通知データについて認証が行われる(ステップS216)。
【0037】
ここで、本例においては、図9に示した認証サーバ106のように各ルータ共通の認証サーバを設けた場合と異なり、各ルータに独立した認証機能を設けているため、経路更新通知データ内にシーケンス番号やタイムスタンプが含まれていても、異なる認証付きルータにて同じシーケンス番号やタイムスタンプが含まれた経路更新通知データが受信されることとなり、経路更新通知データの前後のつながりによって当該経路更新通知データが不正なデータであるかどうかを判断することができず、認証に成功した経路更新通知データ全てを正当な経路更新通知データと認識してしまう。そのため、不正ユーザが使用したデータが排除されずに正常に処理されてしまう。
【0038】
認証付きルータ203−2にてデータ認証が行われ、認証結果がGOODである場合、その認証を行った対象である経路更新通知データ及び当該経路更新通知データが送信された基地局が基地局204−3であるという情報に基づいて、認証付きルータ203−2内の経路表が更新される(ステップS217)。この場合、移動ノード205へのデータは基地局204−3を経路とするように認証付きルータ203−2内の経路表が更新される。一方、認証結果がNGの場合は、経路表の更新は行われずに処理が終了する。
【0039】
認証付きルータ203−2内の経路表が更新された後、経路更新通知データが認証付きルータ203−2からルータ202−1へ送信される(ステップS218)。
【0040】
認証付きルータ203−2から送信された経路更新通知データがルータ202−1にて受信されると(ステップS219)、受信された経路更新通知データ及び当該経路更新通知データが送信された認証付きルータが認証付きルータ203−2であるという情報に基づいて、ルータ202−1内の経路表が更新される(ステップS220)。この場合、移動ノード205へのデータは認証付きルータ203−2を経路とするようにルータ202−1内の経路表が更新される。
【0041】
上述したように、ステップS209にて更新された真の移動ノード205への通信経路が、移動ノード205になりすました移動ノード207によって変更されてしまい、正当なユーザである移動ノード205が本無線通信認証システムを使用することができなくなってしまう。
【0042】
そこで、各基地局に認証機能を設け、移動ノードから基地局に対して接続要求があった際に、当該基地局から基地局が有する固有の識別番号を当該移動ノードへ送信し、移動ノードにて受信された識別番号について他の経路情報と併せて認証コードを作成して経路更新通知データに加え、当該経路更新通知データを移動ノードから当該基地局へ送信し、当該基地局にて受信された経路更新通知データに含まれる基地局内の識別番号が当該基地局が有する識別番号かどうかを認証機能によって判別することにより、識別番号が一致しない経路更新通知データを送信した不正ユーザを排除する方法が考えられている(特許文献1参照。)。
【特許文献1】特開平07−203540号公報
【発明の開示】
【発明が解決しようとする課題】
【0043】
しかしながら、特許文献1に記載された方法においては、無線エリアに数多く設置される各基地局にそれぞれ認証機能を設ける必要があり、また、1つのエッジルータ配下に接続される全ての基地局が認証機能を有しているかどうかをエッジルータにおいて管理する必要が生じてしまうという問題点がある。さらに、認証機能を有さない基地局が存在してしまった場合、エッジルータ内にて何らかの処理を行わなければならないという問題点がある。
【0044】
本発明は、上述したような従来の技術が有する問題点に鑑みてなされたものであって、各基地局に認証機能を追加することなく不正ユーザによるリプレイアタックを拒絶する認証を高速に行うことができる無線通信認証システム及び無線通信認証方法を提供することを目的とする。
【課題を解決するための手段】
【0045】
上記目的を達成するために本発明は、
無線回線を介して基地局に接続された移動ノードへ送信されるパケットデータの転送経路情報を、前記パケットデータの通信経路上に設けられたルータが有する経路表に登録するためのデータについて認証パケットデータを用いて認証を行う無線通信認証システムであって、
前記移動ノードは、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号と前記転送経路情報を構成する情報とを含む前記認証パケットデータを前記基地局を介して前記ルータへ送信し、
前記ルータは、該ルータが接続されている基地局が有する固有の識別番号を保持し、前記認証パケットデータに含まれた識別番号と前記保持された識別番号とが一致した場合、前記認証パケットデータに基づいて前記転送経路情報を前記経路表に登録する。
【0046】
また、無線回線を介して基地局に接続された移動ノードへ送信されるパケットデータの転送経路情報を、前記パケットデータの通信経路上に設けられたルータが有する経路表に登録するためのデータについて認証パケットデータを用いて認証を行う無線通信認証システムであって、
前記移動ノードは、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号と前記転送経路情報を構成する情報とを含む前記認証パケットデータを前記基地局を介して前記ルータへ送信し、
前記ルータは、1つの認証サーバと接続し、前記認証サーバにて、前記ルータが接続されている基地局が有する固有の識別番号を保持し、前記基地局及び前記ルータを介して前記移動ノードから送信されてきた認証パケットデータに含まれた識別番号と前記保持された識別番号とが一致した場合、前記認証パケットデータに基づいて前記転送経路情報を前記経路表に登録する。
【0047】
また、無線回線を介して基地局に接続された移動ノードについて認証パケットデータを用いて前記基地局への接続認証を行う無線通信認証システムであって、
前記基地局は、認証サーバと接続し、
前記移動ノードは、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号を含む前記認証パケットデータを前記基地局を介して前記認証サーバへ送信し、
前記認証サーバは、該認証サーバが接続されている基地局が有する固有の識別番号を保持し、前記基地局を介して前記移動ノードから送信されてきた認証パケットデータに含まれた識別番号と前記保持された識別番号とが一致した場合、前記移動ノードの前記基地局への接続を許可する。
【0048】
また、前記認証サーバは、RADIUSサーバであることを特徴とする。
【0049】
また、前記基地局が有する固有の識別番号は、前記基地局が設置された場所の緯度及び経度であることを特徴とする。
【0050】
また、無線回線を介して基地局に接続された移動ノードへ送信されるパケットデータの転送経路情報を、前記パケットデータの通信経路上に設けられたルータが有する経路表に登録するためのデータについて認証パケットデータを用いて認証を行う無線通信認証システムにおける無線通信認証方法であって、
前記移動ノードにて、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号と前記転送経路情報を構成する情報とを含む前記認証パケットデータを前記基地局を介して前記ルータへ送信する処理と、
前記ルータにて受信された認証パケットデータに含まれた識別番号と、当該ルータにて保持されている該ルータが接続されている基地局が有する固有の識別番号とを比較する処理と、
比較した結果が一致した場合、前記認証パケットデータに基づいて前記転送経路情報を前記経路表に登録する処理とを有する。
【0051】
また、無線回線を介して基地局に接続された移動ノードについて認証パケットデータによって前記基地局への接続認証を行う認証サーバを用いた無線通信認証方法であって、
前記移動ノードにて、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号を含む前記認証パケットデータを前記基地局を介して前記認証サーバへ送信する処理と、
前記基地局を介して前記移動ノードから送信されてきた認証パケットデータに含まれた識別番号と、前記認証サーバにて保持されている該認証サーバが接続されている基地局が有する固有の識別番号とを、前記認証サーバにて比較する処理と、
比較した結果が一致した場合、前記移動ノードの前記基地局への接続を許可する処理とを有する。
【0052】
上記のように構成された本発明においては、移動ノードによって移動ノードが接続されている基地局が有する固有の識別番号が取得され、取得された識別番号と転送経路情報を構成する情報とを含む認証パケットデータが移動ノードから基地局を介してルータへ送信され、ルータにて受信された認証パケットデータに含まれる基地局の識別番号と、ルータが保持しているルータに接続された基地局が有する固有の識別番号とが一致した場合、当該認証パケットデータに基づいて転送経路情報がルータ内の経路表に登録される。
【0053】
このように、移動ノードから送信された認証パケットデータに含まれる基地局の識別番号と、ルータが保持する基地局の識別番号とが一致した場合のみ、当該認証パケットデータに基づいた転送経路情報がルータ内の経路表に登録されるため、無線上にて認証パケットデータを傍受した不正ユーザによって異なるルータに対して認証パケットデータが送信されても、認証パケットデータに含まれる基地局の識別番号と、ルータが保持する基地局の識別番号とが一致せず、転送経路情報が登録されない。それにより、不正ユーザが送信したデータによる転送経路が確立されずに、不正ユーザが排除される。また、本機能がルータに具備されることから、無線領域に多数設置されている基地局それぞれに当該機能を盛り込むという手間を省くことができる。さらに、各ルータが独立して上述した処理を行うため、高速の認証処理が可能となる。
【発明の効果】
【0054】
以上説明したように本発明においては、移動ノードが接続されている基地局が有する固有の識別番号を取得し、取得された識別番号と転送経路情報を構成する情報とを含む認証パケットデータを移動ノードから基地局を介してルータへ送信し、ルータにて受信された認証パケットデータに含まれる基地局の識別番号と、ルータが保持しているルータに接続された基地局が有する固有の識別番号とが一致した場合、当該認証パケットデータに基づいて転送経路情報をルータ内の経路表に登録する構成としたため、各基地局に認証機能を追加することなく不正ユーザによるリプレイアタックを拒絶する認証を高速に行うことができる。
【発明を実施するための最良の形態】
【0055】
以下に、本発明の実施の形態について図面を参照して説明する。
【0056】
(第1の実施の形態)
図1は、本発明の無線通信認証システムの第1の実施の形態を示す図である。
【0057】
本形態は図1に示すように、外部ネットワーク10に接続されるルータ1と、ルータ1の配下に接続されるルータ2−1,2−2と、ルータ2−1の配下に接続される認証機能付きのエッジルータである認証付きルータ3−1,3−2と、ルータ2−2の配下に接続される認証機能付きのエッジルータである認証付きルータ3−3,3−4と、認証付きルータ3−1の配下に接続される基地局4−1,4−2と、認証付きルータ3−2の配下に接続される基地局4−3,4−4と、認証付きルータ3−3の配下に接続される基地局4−5,4−6と、認証付きルータ3−4の配下に接続される基地局4−7,4−8と、本システムを使用して外部ネットワーク10との間にてパケットデータの送受信を行う移動ノード5とから構成されている。
【0058】
図2は、図1に示した無線通信認証システムにおける認証付きルータ3−2の構成を示す図である。
【0059】
図1に示した認証付きルータ3−2は図2に示すように、図1に示した基地局4−3,4−4と通信を行う基地局通信部11と、パケットデータの転送経路情報を登録して格納している経路表格納部17と、経路表格納部17に格納されている転送経路情報に基づいてパケットデータを基地局4−3,4−4またはルータ2−1へ転送するパケット転送部12と、図1に示した上位ルータであるルータ2−1と通信を行う上位ルータ通信部13と、基地局4−3,4−4から送信されてきた経路更新通知データを処理する経路更新通知データ処理部14と、認証付きルータ3−2配下に接続される基地局の情報を保持するために予め格納している基地局情報格納部19と、基地局情報格納部19に格納されている基地局の情報を管理する基地局管理部16と、本システムの使用が許可されているユーザの情報(移動体識別子、秘密鍵等)が予め格納されているユーザ情報格納部18と、ユーザ情報格納部18に格納されているユーザ情報を管理し、ユーザの認証を行うユーザ認証部15とから構成されている。なお、認証付きルータ3−1,3−3,3−4についても、接続されるルータ及び基地局については異なるが、構成及び内部で行われる処理については認証付きルータ3−2と同様である。
【0060】
図3は、図1に示した無線通信システムにおける移動ノード5の構成を示す図である。
【0061】
図1に示した移動ノード5は図3に示すように、図1に示した基地局4−1〜4−8との間において無線を用いて通信を行う無線通信部22と、基地局4−1〜4−8に接続するための情報を格納する基地局接続情報格納部25と、基地局接続情報格納部25に格納されている基地局4−1〜4−8への接続情報を管理し、無線通信部22を制御する無線制御部23と、移動体識別子や秘密鍵等のユーザ情報を予め格納するユーザ情報格納部24と、ユーザ情報格納部24に格納されているユーザ情報を管理し、パケットデータの通信経路を登録あるいは変更するための経路変更通知データを作成する経路更新通知データ作成部21とから構成されている。
【0062】
以下に、図1〜3に示した無線通信認証システムにおける無線通信認証方法について説明する。
【0063】
図4は、図1〜3に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。
【0064】
現在移動ノード5は基地局4−2と接続されており、移動ノード5が移動することにより、移動ノード5が接続される基地局が基地局4−2から基地局4−3に移った際の処理について説明する。
【0065】
移動ノード5が、基地局4−2がカバーするエリアから基地局4−3がカバーするエリアに移動すると、移動ノード5によって、基地局4−3との接続が確立され、基地局4−3が有する固有の識別番号である基地局IDを要求する信号が送信される(ステップS1)。
【0066】
基地局IDを要求する信号が移動ノード5から送信されると、送信された信号が基地局4−3にて受信される(ステップS2)。
【0067】
基地局4−3にて基地局IDを要求する信号が受信されると、固有の識別番号である基地局IDが移動ノード5へ送信され(ステップS3)、送信された基地局IDが移動ノード5にて受信される(ステップS4)。ここで、基地局IDとは、基地局を識別できる固有の番号であれば良く、IPアドレスであっても良いし、基地局4−3が設置された場所の緯度及び経度であっても良い。
【0068】
移動ノード5の無線通信部22にて基地局4−3の基地局IDが受信されると、受信された基地局IDが無線制御部23によって基地局接続情報格納部25に格納され、格納された基地局ID、転送経路情報を構成するパケットデータの送信先最上位ルータ番号及びユーザ情報格納部24に格納されている移動体識別子と、それらの情報と秘密鍵とから生成される第1の認証コードとから、経路更新通知データ作成部21によって認証パケットデータである経路更新通知データが作成される(ステップS5)。ここで、送信先最上位ルータ番号とは、ルータ1が保持する固有の識別番号であり、ルータ1のIPアドレス等である。
【0069】
経路更新通知データが作成されると、作成された経路更新通知データが無線通信部22によって基地局4−3へ送信される(ステップS6)。そして、送信された経路更新通知データが基地局4−3にて受信されると(ステップS7)、受信された経路更新通知データが認証付きルータ3−2へ送信される(ステップS8)。
【0070】
送信された経路更新通知データが認証付きルータ3−2の基地局通信部11にて受信されると(ステップS9)、受信された経路更新通知データは基地局通信部11からパケット転送部12へ出力され、パケット転送部12に入力された経路更新通知データは、経路更新通知データ処理部14へ転送される。
【0071】
経路更新通知データ処理部14に経路更新通知データが入力されると、まず当該経路更新通知データについての認証がユーザ認証部15によって行われる。
【0072】
ユーザ認証部15によって、経路更新通知データに含まれる移動体識別子を検索キーとして、ユーザ情報格納部18に予め格納されているユーザ情報が検索され、検索されたユーザ情報に含まれる秘密鍵を用いて第2の認証コードの計算が行われ、計算された第2の認証コードと経路更新通知データに含まれる第1の認証コードとが比較される(ステップS10)。
【0073】
ユーザ情報の検索が失敗した場合や、計算された第2の認証コードと経路更新通知データに含まれる第1の認証コードとが一致しない場合、当該経路更新通知データは不正なデータと認識され、処理は終了する。
【0074】
一方、計算された第2の認証コードと経路更新通知データに含まれる第1の認証コードとが一致した場合は、次に当該経路更新通知データに含まれる基地局IDが自ルータである認証付きルータ3−2の配下に接続されている基地局のIDであるかどうかが基地局管理部16によって判断される(ステップS11)。
【0075】
基地局管理部16によって、経路更新通知データに含まれる基地局IDと、基地局情報格納部19に予め格納されている自ルータの配下に接続されている基地局の基地局IDとが一致するかどうかが判断され、一致すると判断された場合、その旨が経路更新通知データ処理部14に通知され、経路更新通知データ処理部14によってパケット転送部12に対して当該経路更新通知データに基づいて経路を作成するように指示される。
【0076】
そして、パケット転送部12にて、上位ルータであるルータ2−1から送信されてきた移動ノード5宛てのパケットデータの経路が生成あるいは更新される(ステップS12)。この場合、移動ノード5の経路更新通知データが基地局4−3経由で受信されているため、ルータ2−1から送信されてきた移動ノード5宛てのパケットデータの経路として基地局4−3へ送信する経路が経路表格納部17に格納される。
【0077】
一方、経路更新通知データに含まれる基地局IDと、基地局情報格納部に予め格納されている自ルータの配下に接続されている基地局IDとが一致しないと判断された場合、当該経路更新通知データは不正なデータと認識され、処理は終了する。
【0078】
その後、上位ルータ通信部13によって、上位ルータであるルータ2−1へ経路更新通知データが送信される(ステップS13)。
【0079】
ルータ2−1にて経路更新通知データが受信されると(ステップS14)、ルータ2−1内の経路表が経路更新通知データに基づいて更新される(ステップS15)。
【0080】
(第2の実施の形態)
以下に、無線通信認証システムの実施の他の形態として、IEEE802.1xのプロトコルを用いた無線LAN基地局への接続認証を行う場合を例に挙げて説明する。
【0081】
図5は、本発明の無線通信認証システムの第2の実施の形態を示す図である。
【0082】
本形態は図5に示すように、外部ネットワーク40に接続されるルータ31−1,31−2と、ルータ31−1の配下に接続される基地局32−1〜32−4と、ルータ31−2の配下に接続される基地局32−5〜32−8と、本システムを使用して外部ネットワーク40との間にてパケットデータの送受信を行う移動ノード33と、ルータ31−1,31−2にそれぞれ接続される認証サーバであるRADIUS(Remote Authentication Dial-In User Service)サーバ34−1,34−2とから構成されている。なお、RADIUSサーバ34−1,34−2は、ネットワーク資源の利用の可否の判断(認証)と、利用の事実の記録(アカウンティング)とを実現するプロトコルを有するサーバであり、また、ルータ31−1,31−2を介さずに基地局32−1〜32−8に接続されるものであっても良い。
【0083】
図6は、図5に示した無線通信システムにおけるRADIUSサーバ34−1の構成を示す図である。
【0084】
図5に示したRADIUSサーバ34−1は図6に示すように、図1に示したルータ31−1と通信を行う通信制御部41と、RADIUSプロトコルに基づき基地局32−1〜32−4との間において認証処理を行うRADIUS処理部42と、RADIUSプロトコルでカプセル化されたEAP(PPP Extensible Authentication Protocol:PPPを拡張し、認証方式を備えたプロトコル)データを解析するEAP処理部43と、RADIUSサーバ34−1に接続されるルータ31−1の配下に接続される基地局の情報を予め格納している基地局情報格納部47と、基地局情報格納部47に格納されている基地局の情報を管理する基地局管理部45と、本システムの使用が許可されているユーザの情報(ユーザ名、秘密鍵等)が予め格納されているユーザ情報格納部46と、ユーザ情報格納部46に格納されているユーザ情報を管理し、ユーザの認証を行うユーザ認証部44とから構成されている。なお、RADIUSサーバ34−2についても、接続されるルータについては異なるが、構成及び内部で行われる処理についてはRADIUSサーバ34−1と同様である。
【0085】
図7は、図5に示した無線通信システムにおける移動ノード33の構成を示す図である。
【0086】
図5に示した移動ノード33は図7に示すように、図5に示した基地局32−1〜32−8との間において無線を用いて通信を行う無線通信部51と、基地局32−1〜32−8に接続するための情報を格納する基地局接続情報格納部55と、基地局接続情報格納部55に格納されている基地局32−1〜32−8への接続情報を管理し、無線通信部51を制御する無線制御部53と、ユーザ名や秘密鍵等のユーザ情報を予め格納するユーザ情報格納部54と、ユーザ情報格納部54に格納されているユーザ情報を管理し、その情報を用いてEAPの認証用パケットを作成するEAP処理部52とから構成されている。
【0087】
以下に、図5〜7に示した無線通信認証システムにおける無線通信認証方法について説明する。
【0088】
図8は、図5〜7に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。ここで、ルータ31−1については、以下に記述するパケットデータが通るルートとなっているが、ルータ31−1内部にて特に処理が行われないため、図8には記述しない。
【0089】
現在移動ノード33は基地局32−2がカバーするエリアに存在する。移動ノード33によって、基地局32−2との接続が確立され、基地局32−2が有する固有の識別番号である基地局IDを要求する信号が送信される(ステップS31)。
【0090】
基地局IDを要求する信号が移動ノード33から送信されると、送信された信号が基地局32−2にて受信される(ステップS32)。
【0091】
基地局32−2にて基地局IDを要求する信号が受信されると、固有の識別番号である基地局IDが移動ノード33へ送信され(ステップS33)、送信された基地局IDが移動ノード33にて受信される(ステップS34)。ここで、基地局IDとは、基地局を識別できる固有の番号であれば良く、IPアドレス等が用いられる。
【0092】
移動ノード33の無線通信部51にて基地局32−2の基地局IDが受信されると、
受信された基地局IDが無線制御部53によって基地局接続情報格納部55に格納され、格納された基地局IDがEAP処理部52に通知される。
【0093】
その後、EAP処理部52によってIEEE802.1xに基づく認証処理を開始するためにEAPOL(EAP over LAN)開始パケットが作成され(ステップS35)、作成されたEAPOL開始パケットが無線通信部51から基地局32−2へ送信される(ステップS36)。送信されたEAPOL開始パケットが基地局32−2にて受信されると(ステップS37)、受信されたEAPOL開始パケットに応じた認証要求タイプのEAP要求パケットが基地局32−2から移動ノード33へ送信され(ステップS38)、送信されたEAP要求パケットが移動ノード33にて受信される(ステップS39)。なお、上述したEAPOL開始パケット及びEAP要求パケットについては、既存のパケットが使用されるため、それらの内容についてはここでは記述しない。
【0094】
EAP要求パケットが移動ノード33の無線通信部51にて受信されると、基地局接続情報格納部55に格納された基地局ID、ルータ31−1に登録される転送経路情報を構成するパケットデータの送信先情報及びユーザ情報格納部54に格納されているユーザ名、シーケンス番号、及びそれらの情報と秘密鍵とから生成される第1の認証コードとから、EAP処理部52によって経路更新通知データである認証パケットデータであるEAP応答パケットが作成される(ステップS40)。ここで、パケットデータの送信先情報とは、移動ノード33から送信されるパケットデータの宛先が有する固有の識別番号であり、宛先のIPアドレス等である。
【0095】
EAP応答パケットが作成されると、作成されたEAP応答パケットが無線通信部51によって基地局32−2へ送信される(ステップS41)。そして、送信されたEAP応答パケットが基地局32−2にて受信されると(ステップS42)、受信されたEAP応答パケットがRADIUSアクセス要求パケットにカプセル化され(ステップS43)、基地局32−2からRADIUSサーバ34−1へ送信される(ステップS44)。
【0096】
RADIUSアクセス要求パケットがRADIUSサーバ34−1の通信制御部41にて受信されると(ステップS45)、受信されたRADIUSアクセス要求パケットがRADIUS処理部42に渡され、RADIUS処理部42にてRADIUS要求パケットからEAP応答パケットが取り出される(ステップS46)。
【0097】
取り出されたEAP応答パケットは、RADIUS処理部42からEAP処理部43へ出力され、EAP処理部43に入力されたEAP応答パケットが正当のユーザから送信されたものかどうかが判断される。
【0098】
まず、ユーザ認証部44によって、EAP応答パケットに含まれるユーザ名を検索キーとして、ユーザ情報格納部46に予め格納されているユーザ情報が検索され、検索されたユーザ情報に含まれる秘密鍵を用いて第2の認証コードの計算が行われ、計算された第2の認証コードとEAP応答パケットに含まれる第1の認証コードとが比較される(ステップS47)。
【0099】
ユーザ情報の検索が失敗した場合や、計算された第2の認証コードとEAP応答パケットに含まれる第1の認証コードとが一致しない場合、当該EAP応答パケットは不正なデータと認識され、処理は終了する。
【0100】
一方、計算された第2の認証コードとEAP応答パケットに含まれる第1の認証コードとが一致した場合は、次に当該EAP応答パケットに含まれる基地局IDが自ルータであるルータ31−1の配下に接続されている基地局のIDであるかどうかが基地局管理部45によって判断される(ステップS48)。
【0101】
基地局管理部45によって、EAP応答パケットに含まれる基地局IDと、基地局情報格納部47に予め格納されているRADIUSサーバ34−1に接続されているルータ31−1の配下に接続されている基地局の基地局IDとが一致するかどうかが判断され、一致すると判断された場合、その旨がEAP処理部43に通知され、EAP処理部43によってRADIUS処理部42に対して認証成功が通知され、通信制御部41を介して基地局32−2へRADIUSアクセス許可パケットが送信される(ステップS49)。なお、このときにRADIUSサーバ34−1から基地局32−2へ送信されたRADIUSアクセス許可パケットが通るルートであるルータ31−1において、移動ノード33による本システムへの接続が許可されたことが認識され、外部ネットワーク40から送信された移動ノード33宛てのパケットデータについては基地局32−2へ転送されるように経路表が更新される。
【0102】
RADIUSアクセス許可パケットが基地局32−2にて受信されると(ステップS50)、基地局32−2によってEAP認証成功パケットが移動ノード33へ送信され(ステップS51)、移動ノード33にてEAP認証成功パケットが受信され(ステップS52)、移動ノード33と外部ネットワーク40との間におけるパケット通信が開始される。
【0103】
このように、認証機能がルータ31−1,31−2内に存在しない場合であっても、ルータ31−1,31−2それぞれの近隣に認証サーバをそれぞれ設けることにより、高速の認証処理が可能となる。
【0104】
なお、認証実行時に認証サーバであるRADIUSサーバ34−1,34−2から基地局32−1〜32−8及び移動ノード33へ暗号化鍵を送信するものであっても良い。
【0105】
また、図11に示したRADIUSサーバ34−1,34−2については、他の認証プロトコルを使用したサーバであっても良い。
【0106】
さらに、図5及び図11に示したルータ1,2−1,2−2,31−1,31−2、認証付きルータ3−1〜3−4、RADIUSサーバ34−1,34−2及び基地局4−1〜4−8,32−1〜32−8の数及び階層数のついては、上述した数及び階層数に限らない。
【図面の簡単な説明】
【0107】
【図1】本発明の無線通信認証システムの第1の実施の形態を示す図である。
【図2】図1に示した無線通信認証システムにおける認証付きルータの構成を示す図である。
【図3】図1に示した無線通信システムにおける移動ノードの構成を示す図である。
【図4】図1〜3に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。
【図5】本発明の無線通信認証システムの第2の実施の形態を示す図である。
【図6】図5に示した無線通信システムにおけるRADIUSサーバの構成を示す図である。
【図7】図5に示した無線通信システムにおける移動ノードの構成を示す図である。
【図8】図5〜7に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。
【図9】移動ノードが接続される従来のホストルーティングを用いた階層型ネットワークを示す図である。
【図10】図9に示した従来のホストルーティングを用いた階層型ネットワークにおける無線通信認証方法を説明するためのシーケンス図である。
【図11】認証サーバの役割も担うルータを使用した無線通信認証システムの一例を示す図である。
【図12】図11に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。
【符号の説明】
【0108】
1,2−1,2−2,31−1,31−2 ルータ
3−1〜3−4 認証付きルータ
4−1〜4−8,32−1〜32−8 基地局
5,33 移動ノード
10,40 外部ネットワーク
11 基地局通信部
12 パケット転送部
13 上位ルータ通信部
14 経路更新通知データ処理部
15,44 ユーザ認証部
16,45 基地局管理部
17 経路表格納部
18,24,46,54 ユーザ情報格納部
19,47 基地局情報格納部
21 経路更新通知データ作成部
22,51 無線通信部
23,53 無線制御部
25,55 基地局接続情報格納部
34−1,34−2 RADIUSサーバ
41 通信制御部
42 RADIUS処理部
43,52 EAP処理部
【技術分野】
【0001】
本発明は、無線エリアに接続されるネットワークおける不正なユーザを排除するための無線通信認証システム及び無線通信認証方法に関する。
【背景技術】
【0002】
一般的に無線を用いた通信システムにおいては、無線上に送受信される正当なユーザが有する移動ノードから送信されるデータを傍受して、傍受したデータを用いてネットワークを悪用する不正なユーザを排除するために、ネットワークを使用しようとするユーザの認証を行わなければならない。
【0003】
図9は、移動ノードが接続される従来のホストルーティングを用いた階層型ネットワークを示す図である。
【0004】
図9に示すように従来のホストルーティングを用いた階層型ネットワークは、外部ネットワーク100に接続されるルータ101と、ルータ101の配下に接続されるルータ102−1,102−2と、ルータ102−1の配下に接続されるエッジルータであるルータ103−1,103−2と、ルータ102−2の配下に接続されるエッジルータであるルータ103−3,103−4と、ルータ103−1の配下に接続される基地局104−1,104−2と、ルータ103−2の配下に接続される基地局104−3,104−4と、ルータ103−3の配下に接続される基地局104−5,104−6と、ルータ103−4の配下に接続される基地局104−7,104−8と、本ネットワークを使用する移動ノード105と、ルータ103−1〜103−4におけるデータについての認証を行う認証サーバ106とから構成されている。
【0005】
以下に、図9に示した従来のホストルーティングを用いた階層型ネットワークにおける無線通信認証方法について説明する。
【0006】
図10は、図9に示した従来のホストルーティングを用いた階層型ネットワークにおける無線通信認証方法を説明するためのシーケンス図である。
【0007】
現在、移動ノード105は基地局104−2がカバーするエリアに存在し、基地局104−2と無線上で接続されているとする。そのため、移動ノード105から送信されるデータの通信経路は、移動ノード105→基地局104−2→ルータ103−1→ルータ102−1→ルータ101となっており、各ルータ101,102−1,103−1が所有する経路表にはその経路がそれぞれ保持されている。
【0008】
次に、移動ノード105が、基地局104−2がカバーするエリアから基地局104−3がカバーするエリアへ移動したとする。
【0009】
移動したときに移動ノード105によって、基地局104−3へ経路更新通知データが送信される(ステップS101)。送信される経路更新通知データには、送信先ルータの識別子や移動ノード105の識別子、タイムスタンプあるいはシーケンス番号等が含まれている。
【0010】
送信された経路更新通知データが基地局104−3にて受信されると(ステップS102)、受信された経路更新通知データはルータ103−2へ送信される(ステップS103)。
【0011】
基地局104−3から送信された経路更新通知データがルータ103−2にて受信されると(ステップS104)、受信された経路更新通知データは認証サーバ106へ送信される(ステップS105)。
【0012】
ルータ103−2から送信された経路更新通知データが認証サーバ106にて受信されると(ステップS106)、受信された経路更新通知データについて認証が行われる(ステップS107)。
【0013】
この経路更新通知データには上述したデータのほかに認証コードが含まれている。この認証コードは、認証サーバ106と移動ノード105とだけが認識している秘密鍵と、経路更新通知データのうち認証コード以外のデータとからハッシュ関数を用いて生成されるものである。ステップS107にて行われる認証は、認証コードについての再計算が行われ、受信された認証コードが正しいかどうかが判断されることにより行われる。
【0014】
ここで、移動ノード105と基地局104−1〜104−8との間の無線区間において、不正ユーザによって経路更新通知データが傍受されて使用されたとしても、経路更新通知データにタイムスタンプあるいはシーケンス番号が含まれることにより、認証サーバ106によってタイムスタンプあるいはシーケンス番号の重複が検出され、その重複した経路更新通知データは不正ユーザが使用している経路更新通知データであると判断され、当該経路更新通知データは不正データとして排除される。
【0015】
認証サーバ106にてデータ認証が行われると、その結果がルータ103−2へ送信される(ステップS108)。
【0016】
認証サーバ106から送信された認証結果がルータ103−2にて受信されると(ステップS109)、認証結果がGOODである場合、その認証を行った対象である経路更新通知データ及び当該経路更新通知データが送信された基地局が基地局104−3であるという情報に基づいて、ルータ103−2内の経路表が更新される(ステップS110)。この場合、移動ノード105へのデータは基地局104−3を経路とするようにルータ103−2内の経路表が更新される。一方、認証結果がNGの場合は、経路表の更新は行われずに処理が終了する。
【0017】
ルータ103−2内の経路表が更新された後、経路更新通知データがルータ103−2からルータ102−1へ送信される(ステップS111)。
【0018】
ルータ103−2から送信された経路更新通知データがルータ102−1にて受信されると(ステップS112)、受信された経路更新通知データ及び当該経路更新通知データが送信されたルータがルータ103−2であるという情報に基づいて、ルータ102−1内の経路表が更新される(ステップS113)。この場合、移動ノード105へのデータはルータ103−2を経路とするようにルータ102−1内の経路表が更新される。
【0019】
ここで、ルータ102−1よりも上位ルータであるルータ101については、移動ノード105への経路情報がすでに存在しており、かつその経路情報を変更する必要が無いため、ルータ102−1からルータ101へ経路更新通知データは送信されない。
【0020】
しかしながら、上述したように各ルータ103−1〜103−4における経路更新通知データについての認証を行う認証サーバを共通な1つのものにすると、以下のような問題点がある。
【0021】
無線通信システムの技術の1つであるハンドオーバーによって移動ノードが接続している基地局の切り替えが発生すると、その際に新しく接続される基地局において接続されるユーザの認証が行われる。ここで、認証が行われる認証サーバと当該基地局との距離が離れていると、認証サーバと基地局との間で送受信される認証用パケットに生じる伝送遅延の影響によって、ハンドオーバー時に通信が不可能となる時間が生じる虞がある。
【0022】
そこで、認証サーバを複数設けて各基地局と近い位置にそれぞれ設置するか、あるいは各基地局が認証サーバの役割も担うかすることにより、その伝送遅延時間を軽減する方法が考えられている。
【0023】
しかしながら、上述した方法では、不正侵入の手段の一つで、パスワードや暗号鍵などを盗聴し、そのまま再利用することでそのユーザになりすます方法であるリプレイアタックによって不正ユーザがネットワークを利用することが可能となってしまう。
【0024】
図11は、認証サーバの役割も担うルータを使用した無線通信認証システムの一例を示す図である。
【0025】
図11に示すように認証サーバの役割も担う基地局を使用した無線通信認証システムは、外部ネットワーク200に接続されるルータ201と、ルータ201の配下に接続されるルータ202−1,202−2と、ルータ202−1の配下に接続される認証機能付きのエッジルータである認証付きルータ203−1,203−2と、ルータ202−2の配下に接続される認証機能付きのエッジルータである認証付きルータ203−3,203−4と、認証付きルータ203−1の配下に接続される基地局204−1,204−2と、認証付きルータ203−2の配下に接続される基地局204−3,204−4と、認証付きルータ203−3の配下に接続される基地局204−5,204−6と、認証付きルータ203−4の配下に接続される基地局204−7,204−8と、本ネットワークを使用する移動ノード205,207とから構成されている。なお、移動ノード207は移動ノード205と基地局204−2との無線区間における経路更新通知データを傍受して、移動ノード205になりすまして本ネットワークを使用する不正ユーザの移動ノードである。
【0026】
以下に、図11に示した無線通信認証システムにおける無線通信認証方法について説明する。
【0027】
図12は、図11に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。
【0028】
現在、移動ノード205が基地局204−2がカバーするエリアに存在し、基地局204−2と無線上で接続しようとしているとする。まずは、移動ノード205によって、基地局204−2へ経路更新通知データが送信される(ステップS201)。送信される経路更新通知データには、送信先ルータの識別子や移動ノード205の識別子、タイムスタンプあるいはシーケンス番号等が含まれている。
【0029】
送信された経路更新通知データが基地局204−2にて受信されると(ステップS202)、受信された経路更新通知データは認証付きルータ203−1へ送信される(ステップS203)。
【0030】
基地局204−2から送信された経路更新通知データが認証付きルータ203−1にて受信されると(ステップS204)、受信された経路更新通知データについて認証が行われる(ステップS205)。
【0031】
この経路更新通知データには上述したデータのほかに認証コードが含まれている。この認証コードは、認証つきルータ203−1〜203−4と移動ノード205とだけが認識している秘密鍵と、経路更新通知データのうち認証コード以外のデータとからハッシュ関数を用いて生成されるものである。ステップS205にて行われる認証は、認証コードについての再計算が行われ、受信された認証コードが正しいかどうかが判断されることにより行われる。
【0032】
認証付きルータ203−1にてデータ認証が行われると、認証結果がGOODである場合、その認証を行った対象である経路更新通知データ及び当該経路更新通知データが送信された基地局が基地局204−2であるという情報に基づいて、認証付きルータ203−1内の経路表が更新される(ステップS206)。この場合、移動ノード205へのデータは基地局204−2を経路とするように認証付きルータ203−1内の経路表が更新される。一方、認証結果がNGの場合は、経路表の更新は行われずに処理が終了する。
【0033】
認証付きルータ203−1内の経路表が更新された後、経路更新通知データが認証付きルータ203−1からルータ202−1へ送信される(ステップS207)。
【0034】
認証付きルータ203−1から送信された経路更新通知データがルータ202−1にて受信されると(ステップS208)、受信された経路更新通知データ及び当該経路更新通知データが送信された認証付きルータが認証付きルータ203−1であるという情報に基づいて、ルータ202−1内の経路表が更新される(ステップS209)。この場合、移動ノード205へのデータは認証付きルータ203−1を経路とするようにルータ202−1内の経路表が更新される。その後、経路更新通知データがルータ202−1からルータ201へ送信される(ステップS210)。
【0035】
一方、ステップS201において移動ノード205から基地局204−2へ送信された経路更新通知データが、基地局204−3がカバーするエリアに存在する不正ユーザが有する移動ノード207によって傍受され(ステップS211)、移動ノード207が移動ノード205になりすまして、傍受された経路更新通知データが移動ノード207によって基地局204−3へ送信されると(ステップS212)、 送信された経路更新通知データが基地局204−3にて受信され(ステップS213)、受信された経路更新通知データは認証付きルータ203−2へ送信される(ステップS214)。
【0036】
基地局204−3から送信された経路更新通知データが認証付きルータ203−2にて受信されると(ステップS215)、受信された経路更新通知データについて認証が行われる(ステップS216)。
【0037】
ここで、本例においては、図9に示した認証サーバ106のように各ルータ共通の認証サーバを設けた場合と異なり、各ルータに独立した認証機能を設けているため、経路更新通知データ内にシーケンス番号やタイムスタンプが含まれていても、異なる認証付きルータにて同じシーケンス番号やタイムスタンプが含まれた経路更新通知データが受信されることとなり、経路更新通知データの前後のつながりによって当該経路更新通知データが不正なデータであるかどうかを判断することができず、認証に成功した経路更新通知データ全てを正当な経路更新通知データと認識してしまう。そのため、不正ユーザが使用したデータが排除されずに正常に処理されてしまう。
【0038】
認証付きルータ203−2にてデータ認証が行われ、認証結果がGOODである場合、その認証を行った対象である経路更新通知データ及び当該経路更新通知データが送信された基地局が基地局204−3であるという情報に基づいて、認証付きルータ203−2内の経路表が更新される(ステップS217)。この場合、移動ノード205へのデータは基地局204−3を経路とするように認証付きルータ203−2内の経路表が更新される。一方、認証結果がNGの場合は、経路表の更新は行われずに処理が終了する。
【0039】
認証付きルータ203−2内の経路表が更新された後、経路更新通知データが認証付きルータ203−2からルータ202−1へ送信される(ステップS218)。
【0040】
認証付きルータ203−2から送信された経路更新通知データがルータ202−1にて受信されると(ステップS219)、受信された経路更新通知データ及び当該経路更新通知データが送信された認証付きルータが認証付きルータ203−2であるという情報に基づいて、ルータ202−1内の経路表が更新される(ステップS220)。この場合、移動ノード205へのデータは認証付きルータ203−2を経路とするようにルータ202−1内の経路表が更新される。
【0041】
上述したように、ステップS209にて更新された真の移動ノード205への通信経路が、移動ノード205になりすました移動ノード207によって変更されてしまい、正当なユーザである移動ノード205が本無線通信認証システムを使用することができなくなってしまう。
【0042】
そこで、各基地局に認証機能を設け、移動ノードから基地局に対して接続要求があった際に、当該基地局から基地局が有する固有の識別番号を当該移動ノードへ送信し、移動ノードにて受信された識別番号について他の経路情報と併せて認証コードを作成して経路更新通知データに加え、当該経路更新通知データを移動ノードから当該基地局へ送信し、当該基地局にて受信された経路更新通知データに含まれる基地局内の識別番号が当該基地局が有する識別番号かどうかを認証機能によって判別することにより、識別番号が一致しない経路更新通知データを送信した不正ユーザを排除する方法が考えられている(特許文献1参照。)。
【特許文献1】特開平07−203540号公報
【発明の開示】
【発明が解決しようとする課題】
【0043】
しかしながら、特許文献1に記載された方法においては、無線エリアに数多く設置される各基地局にそれぞれ認証機能を設ける必要があり、また、1つのエッジルータ配下に接続される全ての基地局が認証機能を有しているかどうかをエッジルータにおいて管理する必要が生じてしまうという問題点がある。さらに、認証機能を有さない基地局が存在してしまった場合、エッジルータ内にて何らかの処理を行わなければならないという問題点がある。
【0044】
本発明は、上述したような従来の技術が有する問題点に鑑みてなされたものであって、各基地局に認証機能を追加することなく不正ユーザによるリプレイアタックを拒絶する認証を高速に行うことができる無線通信認証システム及び無線通信認証方法を提供することを目的とする。
【課題を解決するための手段】
【0045】
上記目的を達成するために本発明は、
無線回線を介して基地局に接続された移動ノードへ送信されるパケットデータの転送経路情報を、前記パケットデータの通信経路上に設けられたルータが有する経路表に登録するためのデータについて認証パケットデータを用いて認証を行う無線通信認証システムであって、
前記移動ノードは、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号と前記転送経路情報を構成する情報とを含む前記認証パケットデータを前記基地局を介して前記ルータへ送信し、
前記ルータは、該ルータが接続されている基地局が有する固有の識別番号を保持し、前記認証パケットデータに含まれた識別番号と前記保持された識別番号とが一致した場合、前記認証パケットデータに基づいて前記転送経路情報を前記経路表に登録する。
【0046】
また、無線回線を介して基地局に接続された移動ノードへ送信されるパケットデータの転送経路情報を、前記パケットデータの通信経路上に設けられたルータが有する経路表に登録するためのデータについて認証パケットデータを用いて認証を行う無線通信認証システムであって、
前記移動ノードは、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号と前記転送経路情報を構成する情報とを含む前記認証パケットデータを前記基地局を介して前記ルータへ送信し、
前記ルータは、1つの認証サーバと接続し、前記認証サーバにて、前記ルータが接続されている基地局が有する固有の識別番号を保持し、前記基地局及び前記ルータを介して前記移動ノードから送信されてきた認証パケットデータに含まれた識別番号と前記保持された識別番号とが一致した場合、前記認証パケットデータに基づいて前記転送経路情報を前記経路表に登録する。
【0047】
また、無線回線を介して基地局に接続された移動ノードについて認証パケットデータを用いて前記基地局への接続認証を行う無線通信認証システムであって、
前記基地局は、認証サーバと接続し、
前記移動ノードは、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号を含む前記認証パケットデータを前記基地局を介して前記認証サーバへ送信し、
前記認証サーバは、該認証サーバが接続されている基地局が有する固有の識別番号を保持し、前記基地局を介して前記移動ノードから送信されてきた認証パケットデータに含まれた識別番号と前記保持された識別番号とが一致した場合、前記移動ノードの前記基地局への接続を許可する。
【0048】
また、前記認証サーバは、RADIUSサーバであることを特徴とする。
【0049】
また、前記基地局が有する固有の識別番号は、前記基地局が設置された場所の緯度及び経度であることを特徴とする。
【0050】
また、無線回線を介して基地局に接続された移動ノードへ送信されるパケットデータの転送経路情報を、前記パケットデータの通信経路上に設けられたルータが有する経路表に登録するためのデータについて認証パケットデータを用いて認証を行う無線通信認証システムにおける無線通信認証方法であって、
前記移動ノードにて、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号と前記転送経路情報を構成する情報とを含む前記認証パケットデータを前記基地局を介して前記ルータへ送信する処理と、
前記ルータにて受信された認証パケットデータに含まれた識別番号と、当該ルータにて保持されている該ルータが接続されている基地局が有する固有の識別番号とを比較する処理と、
比較した結果が一致した場合、前記認証パケットデータに基づいて前記転送経路情報を前記経路表に登録する処理とを有する。
【0051】
また、無線回線を介して基地局に接続された移動ノードについて認証パケットデータによって前記基地局への接続認証を行う認証サーバを用いた無線通信認証方法であって、
前記移動ノードにて、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号を含む前記認証パケットデータを前記基地局を介して前記認証サーバへ送信する処理と、
前記基地局を介して前記移動ノードから送信されてきた認証パケットデータに含まれた識別番号と、前記認証サーバにて保持されている該認証サーバが接続されている基地局が有する固有の識別番号とを、前記認証サーバにて比較する処理と、
比較した結果が一致した場合、前記移動ノードの前記基地局への接続を許可する処理とを有する。
【0052】
上記のように構成された本発明においては、移動ノードによって移動ノードが接続されている基地局が有する固有の識別番号が取得され、取得された識別番号と転送経路情報を構成する情報とを含む認証パケットデータが移動ノードから基地局を介してルータへ送信され、ルータにて受信された認証パケットデータに含まれる基地局の識別番号と、ルータが保持しているルータに接続された基地局が有する固有の識別番号とが一致した場合、当該認証パケットデータに基づいて転送経路情報がルータ内の経路表に登録される。
【0053】
このように、移動ノードから送信された認証パケットデータに含まれる基地局の識別番号と、ルータが保持する基地局の識別番号とが一致した場合のみ、当該認証パケットデータに基づいた転送経路情報がルータ内の経路表に登録されるため、無線上にて認証パケットデータを傍受した不正ユーザによって異なるルータに対して認証パケットデータが送信されても、認証パケットデータに含まれる基地局の識別番号と、ルータが保持する基地局の識別番号とが一致せず、転送経路情報が登録されない。それにより、不正ユーザが送信したデータによる転送経路が確立されずに、不正ユーザが排除される。また、本機能がルータに具備されることから、無線領域に多数設置されている基地局それぞれに当該機能を盛り込むという手間を省くことができる。さらに、各ルータが独立して上述した処理を行うため、高速の認証処理が可能となる。
【発明の効果】
【0054】
以上説明したように本発明においては、移動ノードが接続されている基地局が有する固有の識別番号を取得し、取得された識別番号と転送経路情報を構成する情報とを含む認証パケットデータを移動ノードから基地局を介してルータへ送信し、ルータにて受信された認証パケットデータに含まれる基地局の識別番号と、ルータが保持しているルータに接続された基地局が有する固有の識別番号とが一致した場合、当該認証パケットデータに基づいて転送経路情報をルータ内の経路表に登録する構成としたため、各基地局に認証機能を追加することなく不正ユーザによるリプレイアタックを拒絶する認証を高速に行うことができる。
【発明を実施するための最良の形態】
【0055】
以下に、本発明の実施の形態について図面を参照して説明する。
【0056】
(第1の実施の形態)
図1は、本発明の無線通信認証システムの第1の実施の形態を示す図である。
【0057】
本形態は図1に示すように、外部ネットワーク10に接続されるルータ1と、ルータ1の配下に接続されるルータ2−1,2−2と、ルータ2−1の配下に接続される認証機能付きのエッジルータである認証付きルータ3−1,3−2と、ルータ2−2の配下に接続される認証機能付きのエッジルータである認証付きルータ3−3,3−4と、認証付きルータ3−1の配下に接続される基地局4−1,4−2と、認証付きルータ3−2の配下に接続される基地局4−3,4−4と、認証付きルータ3−3の配下に接続される基地局4−5,4−6と、認証付きルータ3−4の配下に接続される基地局4−7,4−8と、本システムを使用して外部ネットワーク10との間にてパケットデータの送受信を行う移動ノード5とから構成されている。
【0058】
図2は、図1に示した無線通信認証システムにおける認証付きルータ3−2の構成を示す図である。
【0059】
図1に示した認証付きルータ3−2は図2に示すように、図1に示した基地局4−3,4−4と通信を行う基地局通信部11と、パケットデータの転送経路情報を登録して格納している経路表格納部17と、経路表格納部17に格納されている転送経路情報に基づいてパケットデータを基地局4−3,4−4またはルータ2−1へ転送するパケット転送部12と、図1に示した上位ルータであるルータ2−1と通信を行う上位ルータ通信部13と、基地局4−3,4−4から送信されてきた経路更新通知データを処理する経路更新通知データ処理部14と、認証付きルータ3−2配下に接続される基地局の情報を保持するために予め格納している基地局情報格納部19と、基地局情報格納部19に格納されている基地局の情報を管理する基地局管理部16と、本システムの使用が許可されているユーザの情報(移動体識別子、秘密鍵等)が予め格納されているユーザ情報格納部18と、ユーザ情報格納部18に格納されているユーザ情報を管理し、ユーザの認証を行うユーザ認証部15とから構成されている。なお、認証付きルータ3−1,3−3,3−4についても、接続されるルータ及び基地局については異なるが、構成及び内部で行われる処理については認証付きルータ3−2と同様である。
【0060】
図3は、図1に示した無線通信システムにおける移動ノード5の構成を示す図である。
【0061】
図1に示した移動ノード5は図3に示すように、図1に示した基地局4−1〜4−8との間において無線を用いて通信を行う無線通信部22と、基地局4−1〜4−8に接続するための情報を格納する基地局接続情報格納部25と、基地局接続情報格納部25に格納されている基地局4−1〜4−8への接続情報を管理し、無線通信部22を制御する無線制御部23と、移動体識別子や秘密鍵等のユーザ情報を予め格納するユーザ情報格納部24と、ユーザ情報格納部24に格納されているユーザ情報を管理し、パケットデータの通信経路を登録あるいは変更するための経路変更通知データを作成する経路更新通知データ作成部21とから構成されている。
【0062】
以下に、図1〜3に示した無線通信認証システムにおける無線通信認証方法について説明する。
【0063】
図4は、図1〜3に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。
【0064】
現在移動ノード5は基地局4−2と接続されており、移動ノード5が移動することにより、移動ノード5が接続される基地局が基地局4−2から基地局4−3に移った際の処理について説明する。
【0065】
移動ノード5が、基地局4−2がカバーするエリアから基地局4−3がカバーするエリアに移動すると、移動ノード5によって、基地局4−3との接続が確立され、基地局4−3が有する固有の識別番号である基地局IDを要求する信号が送信される(ステップS1)。
【0066】
基地局IDを要求する信号が移動ノード5から送信されると、送信された信号が基地局4−3にて受信される(ステップS2)。
【0067】
基地局4−3にて基地局IDを要求する信号が受信されると、固有の識別番号である基地局IDが移動ノード5へ送信され(ステップS3)、送信された基地局IDが移動ノード5にて受信される(ステップS4)。ここで、基地局IDとは、基地局を識別できる固有の番号であれば良く、IPアドレスであっても良いし、基地局4−3が設置された場所の緯度及び経度であっても良い。
【0068】
移動ノード5の無線通信部22にて基地局4−3の基地局IDが受信されると、受信された基地局IDが無線制御部23によって基地局接続情報格納部25に格納され、格納された基地局ID、転送経路情報を構成するパケットデータの送信先最上位ルータ番号及びユーザ情報格納部24に格納されている移動体識別子と、それらの情報と秘密鍵とから生成される第1の認証コードとから、経路更新通知データ作成部21によって認証パケットデータである経路更新通知データが作成される(ステップS5)。ここで、送信先最上位ルータ番号とは、ルータ1が保持する固有の識別番号であり、ルータ1のIPアドレス等である。
【0069】
経路更新通知データが作成されると、作成された経路更新通知データが無線通信部22によって基地局4−3へ送信される(ステップS6)。そして、送信された経路更新通知データが基地局4−3にて受信されると(ステップS7)、受信された経路更新通知データが認証付きルータ3−2へ送信される(ステップS8)。
【0070】
送信された経路更新通知データが認証付きルータ3−2の基地局通信部11にて受信されると(ステップS9)、受信された経路更新通知データは基地局通信部11からパケット転送部12へ出力され、パケット転送部12に入力された経路更新通知データは、経路更新通知データ処理部14へ転送される。
【0071】
経路更新通知データ処理部14に経路更新通知データが入力されると、まず当該経路更新通知データについての認証がユーザ認証部15によって行われる。
【0072】
ユーザ認証部15によって、経路更新通知データに含まれる移動体識別子を検索キーとして、ユーザ情報格納部18に予め格納されているユーザ情報が検索され、検索されたユーザ情報に含まれる秘密鍵を用いて第2の認証コードの計算が行われ、計算された第2の認証コードと経路更新通知データに含まれる第1の認証コードとが比較される(ステップS10)。
【0073】
ユーザ情報の検索が失敗した場合や、計算された第2の認証コードと経路更新通知データに含まれる第1の認証コードとが一致しない場合、当該経路更新通知データは不正なデータと認識され、処理は終了する。
【0074】
一方、計算された第2の認証コードと経路更新通知データに含まれる第1の認証コードとが一致した場合は、次に当該経路更新通知データに含まれる基地局IDが自ルータである認証付きルータ3−2の配下に接続されている基地局のIDであるかどうかが基地局管理部16によって判断される(ステップS11)。
【0075】
基地局管理部16によって、経路更新通知データに含まれる基地局IDと、基地局情報格納部19に予め格納されている自ルータの配下に接続されている基地局の基地局IDとが一致するかどうかが判断され、一致すると判断された場合、その旨が経路更新通知データ処理部14に通知され、経路更新通知データ処理部14によってパケット転送部12に対して当該経路更新通知データに基づいて経路を作成するように指示される。
【0076】
そして、パケット転送部12にて、上位ルータであるルータ2−1から送信されてきた移動ノード5宛てのパケットデータの経路が生成あるいは更新される(ステップS12)。この場合、移動ノード5の経路更新通知データが基地局4−3経由で受信されているため、ルータ2−1から送信されてきた移動ノード5宛てのパケットデータの経路として基地局4−3へ送信する経路が経路表格納部17に格納される。
【0077】
一方、経路更新通知データに含まれる基地局IDと、基地局情報格納部に予め格納されている自ルータの配下に接続されている基地局IDとが一致しないと判断された場合、当該経路更新通知データは不正なデータと認識され、処理は終了する。
【0078】
その後、上位ルータ通信部13によって、上位ルータであるルータ2−1へ経路更新通知データが送信される(ステップS13)。
【0079】
ルータ2−1にて経路更新通知データが受信されると(ステップS14)、ルータ2−1内の経路表が経路更新通知データに基づいて更新される(ステップS15)。
【0080】
(第2の実施の形態)
以下に、無線通信認証システムの実施の他の形態として、IEEE802.1xのプロトコルを用いた無線LAN基地局への接続認証を行う場合を例に挙げて説明する。
【0081】
図5は、本発明の無線通信認証システムの第2の実施の形態を示す図である。
【0082】
本形態は図5に示すように、外部ネットワーク40に接続されるルータ31−1,31−2と、ルータ31−1の配下に接続される基地局32−1〜32−4と、ルータ31−2の配下に接続される基地局32−5〜32−8と、本システムを使用して外部ネットワーク40との間にてパケットデータの送受信を行う移動ノード33と、ルータ31−1,31−2にそれぞれ接続される認証サーバであるRADIUS(Remote Authentication Dial-In User Service)サーバ34−1,34−2とから構成されている。なお、RADIUSサーバ34−1,34−2は、ネットワーク資源の利用の可否の判断(認証)と、利用の事実の記録(アカウンティング)とを実現するプロトコルを有するサーバであり、また、ルータ31−1,31−2を介さずに基地局32−1〜32−8に接続されるものであっても良い。
【0083】
図6は、図5に示した無線通信システムにおけるRADIUSサーバ34−1の構成を示す図である。
【0084】
図5に示したRADIUSサーバ34−1は図6に示すように、図1に示したルータ31−1と通信を行う通信制御部41と、RADIUSプロトコルに基づき基地局32−1〜32−4との間において認証処理を行うRADIUS処理部42と、RADIUSプロトコルでカプセル化されたEAP(PPP Extensible Authentication Protocol:PPPを拡張し、認証方式を備えたプロトコル)データを解析するEAP処理部43と、RADIUSサーバ34−1に接続されるルータ31−1の配下に接続される基地局の情報を予め格納している基地局情報格納部47と、基地局情報格納部47に格納されている基地局の情報を管理する基地局管理部45と、本システムの使用が許可されているユーザの情報(ユーザ名、秘密鍵等)が予め格納されているユーザ情報格納部46と、ユーザ情報格納部46に格納されているユーザ情報を管理し、ユーザの認証を行うユーザ認証部44とから構成されている。なお、RADIUSサーバ34−2についても、接続されるルータについては異なるが、構成及び内部で行われる処理についてはRADIUSサーバ34−1と同様である。
【0085】
図7は、図5に示した無線通信システムにおける移動ノード33の構成を示す図である。
【0086】
図5に示した移動ノード33は図7に示すように、図5に示した基地局32−1〜32−8との間において無線を用いて通信を行う無線通信部51と、基地局32−1〜32−8に接続するための情報を格納する基地局接続情報格納部55と、基地局接続情報格納部55に格納されている基地局32−1〜32−8への接続情報を管理し、無線通信部51を制御する無線制御部53と、ユーザ名や秘密鍵等のユーザ情報を予め格納するユーザ情報格納部54と、ユーザ情報格納部54に格納されているユーザ情報を管理し、その情報を用いてEAPの認証用パケットを作成するEAP処理部52とから構成されている。
【0087】
以下に、図5〜7に示した無線通信認証システムにおける無線通信認証方法について説明する。
【0088】
図8は、図5〜7に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。ここで、ルータ31−1については、以下に記述するパケットデータが通るルートとなっているが、ルータ31−1内部にて特に処理が行われないため、図8には記述しない。
【0089】
現在移動ノード33は基地局32−2がカバーするエリアに存在する。移動ノード33によって、基地局32−2との接続が確立され、基地局32−2が有する固有の識別番号である基地局IDを要求する信号が送信される(ステップS31)。
【0090】
基地局IDを要求する信号が移動ノード33から送信されると、送信された信号が基地局32−2にて受信される(ステップS32)。
【0091】
基地局32−2にて基地局IDを要求する信号が受信されると、固有の識別番号である基地局IDが移動ノード33へ送信され(ステップS33)、送信された基地局IDが移動ノード33にて受信される(ステップS34)。ここで、基地局IDとは、基地局を識別できる固有の番号であれば良く、IPアドレス等が用いられる。
【0092】
移動ノード33の無線通信部51にて基地局32−2の基地局IDが受信されると、
受信された基地局IDが無線制御部53によって基地局接続情報格納部55に格納され、格納された基地局IDがEAP処理部52に通知される。
【0093】
その後、EAP処理部52によってIEEE802.1xに基づく認証処理を開始するためにEAPOL(EAP over LAN)開始パケットが作成され(ステップS35)、作成されたEAPOL開始パケットが無線通信部51から基地局32−2へ送信される(ステップS36)。送信されたEAPOL開始パケットが基地局32−2にて受信されると(ステップS37)、受信されたEAPOL開始パケットに応じた認証要求タイプのEAP要求パケットが基地局32−2から移動ノード33へ送信され(ステップS38)、送信されたEAP要求パケットが移動ノード33にて受信される(ステップS39)。なお、上述したEAPOL開始パケット及びEAP要求パケットについては、既存のパケットが使用されるため、それらの内容についてはここでは記述しない。
【0094】
EAP要求パケットが移動ノード33の無線通信部51にて受信されると、基地局接続情報格納部55に格納された基地局ID、ルータ31−1に登録される転送経路情報を構成するパケットデータの送信先情報及びユーザ情報格納部54に格納されているユーザ名、シーケンス番号、及びそれらの情報と秘密鍵とから生成される第1の認証コードとから、EAP処理部52によって経路更新通知データである認証パケットデータであるEAP応答パケットが作成される(ステップS40)。ここで、パケットデータの送信先情報とは、移動ノード33から送信されるパケットデータの宛先が有する固有の識別番号であり、宛先のIPアドレス等である。
【0095】
EAP応答パケットが作成されると、作成されたEAP応答パケットが無線通信部51によって基地局32−2へ送信される(ステップS41)。そして、送信されたEAP応答パケットが基地局32−2にて受信されると(ステップS42)、受信されたEAP応答パケットがRADIUSアクセス要求パケットにカプセル化され(ステップS43)、基地局32−2からRADIUSサーバ34−1へ送信される(ステップS44)。
【0096】
RADIUSアクセス要求パケットがRADIUSサーバ34−1の通信制御部41にて受信されると(ステップS45)、受信されたRADIUSアクセス要求パケットがRADIUS処理部42に渡され、RADIUS処理部42にてRADIUS要求パケットからEAP応答パケットが取り出される(ステップS46)。
【0097】
取り出されたEAP応答パケットは、RADIUS処理部42からEAP処理部43へ出力され、EAP処理部43に入力されたEAP応答パケットが正当のユーザから送信されたものかどうかが判断される。
【0098】
まず、ユーザ認証部44によって、EAP応答パケットに含まれるユーザ名を検索キーとして、ユーザ情報格納部46に予め格納されているユーザ情報が検索され、検索されたユーザ情報に含まれる秘密鍵を用いて第2の認証コードの計算が行われ、計算された第2の認証コードとEAP応答パケットに含まれる第1の認証コードとが比較される(ステップS47)。
【0099】
ユーザ情報の検索が失敗した場合や、計算された第2の認証コードとEAP応答パケットに含まれる第1の認証コードとが一致しない場合、当該EAP応答パケットは不正なデータと認識され、処理は終了する。
【0100】
一方、計算された第2の認証コードとEAP応答パケットに含まれる第1の認証コードとが一致した場合は、次に当該EAP応答パケットに含まれる基地局IDが自ルータであるルータ31−1の配下に接続されている基地局のIDであるかどうかが基地局管理部45によって判断される(ステップS48)。
【0101】
基地局管理部45によって、EAP応答パケットに含まれる基地局IDと、基地局情報格納部47に予め格納されているRADIUSサーバ34−1に接続されているルータ31−1の配下に接続されている基地局の基地局IDとが一致するかどうかが判断され、一致すると判断された場合、その旨がEAP処理部43に通知され、EAP処理部43によってRADIUS処理部42に対して認証成功が通知され、通信制御部41を介して基地局32−2へRADIUSアクセス許可パケットが送信される(ステップS49)。なお、このときにRADIUSサーバ34−1から基地局32−2へ送信されたRADIUSアクセス許可パケットが通るルートであるルータ31−1において、移動ノード33による本システムへの接続が許可されたことが認識され、外部ネットワーク40から送信された移動ノード33宛てのパケットデータについては基地局32−2へ転送されるように経路表が更新される。
【0102】
RADIUSアクセス許可パケットが基地局32−2にて受信されると(ステップS50)、基地局32−2によってEAP認証成功パケットが移動ノード33へ送信され(ステップS51)、移動ノード33にてEAP認証成功パケットが受信され(ステップS52)、移動ノード33と外部ネットワーク40との間におけるパケット通信が開始される。
【0103】
このように、認証機能がルータ31−1,31−2内に存在しない場合であっても、ルータ31−1,31−2それぞれの近隣に認証サーバをそれぞれ設けることにより、高速の認証処理が可能となる。
【0104】
なお、認証実行時に認証サーバであるRADIUSサーバ34−1,34−2から基地局32−1〜32−8及び移動ノード33へ暗号化鍵を送信するものであっても良い。
【0105】
また、図11に示したRADIUSサーバ34−1,34−2については、他の認証プロトコルを使用したサーバであっても良い。
【0106】
さらに、図5及び図11に示したルータ1,2−1,2−2,31−1,31−2、認証付きルータ3−1〜3−4、RADIUSサーバ34−1,34−2及び基地局4−1〜4−8,32−1〜32−8の数及び階層数のついては、上述した数及び階層数に限らない。
【図面の簡単な説明】
【0107】
【図1】本発明の無線通信認証システムの第1の実施の形態を示す図である。
【図2】図1に示した無線通信認証システムにおける認証付きルータの構成を示す図である。
【図3】図1に示した無線通信システムにおける移動ノードの構成を示す図である。
【図4】図1〜3に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。
【図5】本発明の無線通信認証システムの第2の実施の形態を示す図である。
【図6】図5に示した無線通信システムにおけるRADIUSサーバの構成を示す図である。
【図7】図5に示した無線通信システムにおける移動ノードの構成を示す図である。
【図8】図5〜7に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。
【図9】移動ノードが接続される従来のホストルーティングを用いた階層型ネットワークを示す図である。
【図10】図9に示した従来のホストルーティングを用いた階層型ネットワークにおける無線通信認証方法を説明するためのシーケンス図である。
【図11】認証サーバの役割も担うルータを使用した無線通信認証システムの一例を示す図である。
【図12】図11に示した無線通信認証システムにおける無線通信認証方法を説明するためのシーケンス図である。
【符号の説明】
【0108】
1,2−1,2−2,31−1,31−2 ルータ
3−1〜3−4 認証付きルータ
4−1〜4−8,32−1〜32−8 基地局
5,33 移動ノード
10,40 外部ネットワーク
11 基地局通信部
12 パケット転送部
13 上位ルータ通信部
14 経路更新通知データ処理部
15,44 ユーザ認証部
16,45 基地局管理部
17 経路表格納部
18,24,46,54 ユーザ情報格納部
19,47 基地局情報格納部
21 経路更新通知データ作成部
22,51 無線通信部
23,53 無線制御部
25,55 基地局接続情報格納部
34−1,34−2 RADIUSサーバ
41 通信制御部
42 RADIUS処理部
43,52 EAP処理部
【特許請求の範囲】
【請求項1】
無線回線を介して基地局に接続された移動ノードへ送信されるパケットデータの転送経路情報を、前記パケットデータの通信経路上に設けられたルータが有する経路表に登録するためのデータについて認証パケットデータを用いて認証を行う無線通信認証システムであって、
前記移動ノードは、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号と前記転送経路情報を構成する情報とを含む前記認証パケットデータを前記基地局を介して前記ルータへ送信し、
前記ルータは、該ルータが接続されている基地局が有する固有の識別番号を保持し、前記認証パケットデータに含まれた識別番号と前記保持された識別番号とが一致した場合、前記認証パケットデータに基づいて前記転送経路情報を前記経路表に登録する無線通信認証システム。
【請求項2】
無線回線を介して基地局に接続された移動ノードへ送信されるパケットデータの転送経路情報を、前記パケットデータの通信経路上に設けられたルータが有する経路表に登録するためのデータについて認証パケットデータを用いて認証を行う無線通信認証システムであって、
前記移動ノードは、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号と前記転送経路情報を構成する情報とを含む前記認証パケットデータを前記基地局を介して前記ルータへ送信し、
前記ルータは、1つの認証サーバと接続し、前記認証サーバにて、前記ルータが接続されている基地局が有する固有の識別番号を保持し、前記基地局及び前記ルータを介して前記移動ノードから送信されてきた認証パケットデータに含まれた識別番号と前記保持された識別番号とが一致した場合、前記認証パケットデータに基づいて前記転送経路情報を前記経路表に登録する無線通信認証システム。
【請求項3】
無線回線を介して基地局に接続された移動ノードについて認証パケットデータを用いて前記基地局への接続認証を行う無線通信認証システムであって、
前記基地局は、認証サーバと接続し、
前記移動ノードは、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号を含む前記認証パケットデータを前記基地局を介して前記認証サーバへ送信し、
前記認証サーバは、該認証サーバが接続されている基地局が有する固有の識別番号を保持し、前記基地局を介して前記移動ノードから送信されてきた認証パケットデータに含まれた識別番号と前記保持された識別番号とが一致した場合、前記移動ノードの前記基地局への接続を許可する無線通信認証システム。
【請求項4】
請求項2または請求項3に記載の無線通信認証システムにおいて、
前記認証サーバは、RADIUSサーバであることを特徴とする無線通信認証システム。
【請求項5】
請求項1乃至4のいずれか1項に記載の無線通信認証システムにおいて、
前記基地局が有する固有の識別番号は、前記基地局が設置された場所の緯度及び経度であることを特徴とする無線通信認証システム。
【請求項6】
無線回線を介して基地局に接続された移動ノードへ送信されるパケットデータの転送経路情報を、前記パケットデータの通信経路上に設けられたルータが有する経路表に登録するためのデータについて認証パケットデータを用いて認証を行う無線通信認証システムにおける無線通信認証方法であって、
前記移動ノードにて、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号と前記転送経路情報を構成する情報とを含む前記認証パケットデータを前記基地局を介して前記ルータへ送信する処理と、
前記ルータにて受信された認証パケットデータに含まれた識別番号と、当該ルータにて保持されている該ルータが接続されている基地局が有する固有の識別番号とを比較する処理と、
比較した結果が一致した場合、前記認証パケットデータに基づいて前記転送経路情報を前記経路表に登録する処理とを有する無線通信認証方法。
【請求項7】
無線回線を介して基地局に接続された移動ノードについて認証パケットデータによって前記基地局への接続認証を行う認証サーバを用いた無線通信認証方法であって、
前記移動ノードにて、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号を含む前記認証パケットデータを前記基地局を介して前記認証サーバへ送信する処理と、
前記基地局を介して前記移動ノードから送信されてきた認証パケットデータに含まれた識別番号と、前記認証サーバにて保持されている該認証サーバが接続されている基地局が有する固有の識別番号とを、前記認証サーバにて比較する処理と、
比較した結果が一致した場合、前記移動ノードの前記基地局への接続を許可する処理とを有する無線通信認証方法。
【請求項1】
無線回線を介して基地局に接続された移動ノードへ送信されるパケットデータの転送経路情報を、前記パケットデータの通信経路上に設けられたルータが有する経路表に登録するためのデータについて認証パケットデータを用いて認証を行う無線通信認証システムであって、
前記移動ノードは、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号と前記転送経路情報を構成する情報とを含む前記認証パケットデータを前記基地局を介して前記ルータへ送信し、
前記ルータは、該ルータが接続されている基地局が有する固有の識別番号を保持し、前記認証パケットデータに含まれた識別番号と前記保持された識別番号とが一致した場合、前記認証パケットデータに基づいて前記転送経路情報を前記経路表に登録する無線通信認証システム。
【請求項2】
無線回線を介して基地局に接続された移動ノードへ送信されるパケットデータの転送経路情報を、前記パケットデータの通信経路上に設けられたルータが有する経路表に登録するためのデータについて認証パケットデータを用いて認証を行う無線通信認証システムであって、
前記移動ノードは、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号と前記転送経路情報を構成する情報とを含む前記認証パケットデータを前記基地局を介して前記ルータへ送信し、
前記ルータは、1つの認証サーバと接続し、前記認証サーバにて、前記ルータが接続されている基地局が有する固有の識別番号を保持し、前記基地局及び前記ルータを介して前記移動ノードから送信されてきた認証パケットデータに含まれた識別番号と前記保持された識別番号とが一致した場合、前記認証パケットデータに基づいて前記転送経路情報を前記経路表に登録する無線通信認証システム。
【請求項3】
無線回線を介して基地局に接続された移動ノードについて認証パケットデータを用いて前記基地局への接続認証を行う無線通信認証システムであって、
前記基地局は、認証サーバと接続し、
前記移動ノードは、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号を含む前記認証パケットデータを前記基地局を介して前記認証サーバへ送信し、
前記認証サーバは、該認証サーバが接続されている基地局が有する固有の識別番号を保持し、前記基地局を介して前記移動ノードから送信されてきた認証パケットデータに含まれた識別番号と前記保持された識別番号とが一致した場合、前記移動ノードの前記基地局への接続を許可する無線通信認証システム。
【請求項4】
請求項2または請求項3に記載の無線通信認証システムにおいて、
前記認証サーバは、RADIUSサーバであることを特徴とする無線通信認証システム。
【請求項5】
請求項1乃至4のいずれか1項に記載の無線通信認証システムにおいて、
前記基地局が有する固有の識別番号は、前記基地局が設置された場所の緯度及び経度であることを特徴とする無線通信認証システム。
【請求項6】
無線回線を介して基地局に接続された移動ノードへ送信されるパケットデータの転送経路情報を、前記パケットデータの通信経路上に設けられたルータが有する経路表に登録するためのデータについて認証パケットデータを用いて認証を行う無線通信認証システムにおける無線通信認証方法であって、
前記移動ノードにて、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号と前記転送経路情報を構成する情報とを含む前記認証パケットデータを前記基地局を介して前記ルータへ送信する処理と、
前記ルータにて受信された認証パケットデータに含まれた識別番号と、当該ルータにて保持されている該ルータが接続されている基地局が有する固有の識別番号とを比較する処理と、
比較した結果が一致した場合、前記認証パケットデータに基づいて前記転送経路情報を前記経路表に登録する処理とを有する無線通信認証方法。
【請求項7】
無線回線を介して基地局に接続された移動ノードについて認証パケットデータによって前記基地局への接続認証を行う認証サーバを用いた無線通信認証方法であって、
前記移動ノードにて、該移動ノードと接続されている基地局が有する固有の識別番号を取得し、前記識別番号を含む前記認証パケットデータを前記基地局を介して前記認証サーバへ送信する処理と、
前記基地局を介して前記移動ノードから送信されてきた認証パケットデータに含まれた識別番号と、前記認証サーバにて保持されている該認証サーバが接続されている基地局が有する固有の識別番号とを、前記認証サーバにて比較する処理と、
比較した結果が一致した場合、前記移動ノードの前記基地局への接続を許可する処理とを有する無線通信認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2007−6003(P2007−6003A)
【公開日】平成19年1月11日(2007.1.11)
【国際特許分類】
【出願番号】特願2005−182029(P2005−182029)
【出願日】平成17年6月22日(2005.6.22)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成19年1月11日(2007.1.11)
【国際特許分類】
【出願日】平成17年6月22日(2005.6.22)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]