無線LAN認証方法およびシステム、RADIUSサーバ、ワンタイムID認証サーバ、クライアント並びに認証プログラム
【課題】 一過性のワンタイムIDを使った認証を、無線LAN認証に使い、EAP−TLS準拠の装置を使う認証を強化する。
【解決手段】 IEEE802.11無線LANでのIEEE802.1x EAP−TLS認証プロトコルでの認証シーケンス中のTLSネゴシエーションの前に、一回限り使用可能な識別情報であるワンタイムIDにより、認証クライアントとワンタイムID認証サーバ間の相互認証を行い、ワンタイムIDによる認証後に、IEEE802.1x EAP−TLS認証プロトコルの認証シーケンスをTLSネゴシエーションから続行してIEEE802.1x EAP−TLS認証プロトコルでのクライアントとRADIUSサーバ間の相互認証も完了させ、両方の認証が成功した時にクライアントとRADIUSサーバ及びワンタイムID認証サーバを相互に正当と認証するようにした。
【解決手段】 IEEE802.11無線LANでのIEEE802.1x EAP−TLS認証プロトコルでの認証シーケンス中のTLSネゴシエーションの前に、一回限り使用可能な識別情報であるワンタイムIDにより、認証クライアントとワンタイムID認証サーバ間の相互認証を行い、ワンタイムIDによる認証後に、IEEE802.1x EAP−TLS認証プロトコルの認証シーケンスをTLSネゴシエーションから続行してIEEE802.1x EAP−TLS認証プロトコルでのクライアントとRADIUSサーバ間の相互認証も完了させ、両方の認証が成功した時にクライアントとRADIUSサーバ及びワンタイムID認証サーバを相互に正当と認証するようにした。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証方法の一規格であるIEEE802.1x EAP−TLSの無線LANのクライアントとアクセスポイントとの間の認証方法にワンタイムID認証方法(特願2003−069375)を付加して認証を強化した無線LANの認証方法およびシステム、RADIUSサーバ、ワンタイムID認証サーバ、クライアント並びに認証プログラムに関するものである。
【背景技術】
【0002】
従来、無線LANの規格であるIEEE802.11では認証に問題があり、近年その問題を解決するためにIEEE802.1xという認証の規格が利用されている。EAP−TLSはその中の一つのプロトコルでありRFC 2716に規格されている。EAP−TLSは電子証明を使い認証を行うプロトコルである。
【0003】
図9はEAP−TLSの認証シーケンスを説明したものである。図中のステップS11でIEEE802.11アソシエーションを確立し、ステップS12のEAPネゴシエーションでEAPのタイプを通知し、ステップS13のEAP−TLS認証シーケンス後半のTLSネゴシエーションで暗号仕様および証明書の交換を行う。クライアントはクライアント証明書をRADIUSサーバに送り認証してもらい、RADIUSサーバはサーバ証明書をクライアントに送り認証してもらう。これによりお互いを認証することができる。認証成功後はRADIUSサーバからセッションタイムアウト値やWEPキーの元となるMPPEなどが送信され、アクセスポイントがEAPサクセスとEAP OL Keyをクライアントに送信して、アクセスポイントとクライアント間でWEPキーを共有することができる。なお無線LANシステムにおける認証技術を開示したものとして特開2001−111544号に記載されたものがある。
【特許文献1】特開2001−111544号
【発明の開示】
【発明が解決しようとする課題】
【0004】
一過性のワンタイムIDを使った認証方法をIEEE802.11無線LANでのIEEE802.1x EAP−TLS認証方法に適用することにより、EAP−TLS準拠の装置を使って、認証を強化した無線LAN認証方法およびシステム、RADIUSサーバ、ワンタイムID認証サーバ、クライアント並びに認証プログラムを提供する。
【課題を解決するための手段】
【0005】
本発明は、図1に示すように、TLSネゴシエーションの前にワンタイムIDによる双方向認証を行うものである。これにより、ワンタイムIDでの認証がEAP−TLSの認証の前に行われるので、なりすましによる不正アクセスをさらに強力に防止することができる。ワンタイムIDによる認証は、認証に使われるIDを無線により盗聴されても次の認証には使うことができず、次のワンタイムIDを予測することもできないため秘匿性に優れている。
【0006】
請求項1記載の本発明は、無線LAN認証方法として、IEEE802.11無線LANでのIEEE802.1xEAP−TLS認証プロトコルによる認証シーケンス中のTLSネゴシエーションの前に、1回限り使用可能な識別情報であるワンタイムIDにより、認証クライアントとワンタイムID認証サーバ間の相互認証を行い、ワンタイムIDによる認証後に、IEEE802.1x EAP−TLS認証プロトコルの認証シーケンスをTLSネゴシエーションから続行してIEEE802.1x EAP−TLS認証プロトコルでのクライアントとRADIUSサーバ間の相互認証も完了させ、両方の認証が成功したときに認証クライアントとRADIUSサーバ及びワンタイムID認証サーバとを交互に正当と認証するようにしたことを特徴とするものである。
【0007】
この構成によれば、IEEE802.1x、およびEAP−TLSプロトコルに準拠した無線LAN通信装置をそのまま使用し、再利用不可能、予測不可能なワンタイムIDでの認証システムを実現し、なりすましによる不正アクセスを防止することができる。
【0008】
請求項2記載の本発明は、請求項1に記載の認証方法によりEAP−TLS認証とワンタイムID認証の両方を用いてクライアントとの間で認証を行うRADIUSサーバであって、アクセスポイントを介して、前記クライアントから送られてくるRADIUSアクセスリクエストを受信する受信手段と、EAP−TLS認証シーケンス中では、前記RADIUSアクセスリクエストの内容が正しいかを判定し、ワンタイム認証シーケンス中では前記RADIUSアクセスリクエスト中のワンタイムIDをワンタイムID認証サーバへ通信により送信し前記クライアントの正当性を判定させる判定手段と、EAP−TLS認証シーケンス中では、前記判定手段が前記RADIUSアクセスリクエストの内容が正しいかを判定した場合に対応するRADIUSアクセスチャレンジまたはRADIUSアクセスアクセプトを生成し、ワンタイムID認証シーケンス中では前記ワンタイムID認証サーバが前記クライアントを正当と判断した場合は、ワンタイムID認証サーバから通信により受信するサーバ認証用のワンタイムIDをRADIUSアクセスチャレンジに格納し、前記クライアントに送信する送信手段とを備えることを特徴とするものである。
【0009】
請求項3記載の本発明は、請求項2に記載のRADIUSサーバから送信されるワンタイムIDに基づいてクライアントとの間でワンタイムID認証を行うワンタイムID認証サーバであって、ワンタイムID認証シーケンス中に前記RADIUSサーバから送信されるRADIUSアクセスリクエスト中のワンタイムIDを受信する受信手段と、前記ワンタイムIDと記憶装置に記憶されている認証データから計算されるワンタイムIDとの比較により前記クライアントの正当性を判定する判定手段と、前記判定手段が前記クライアントを正当と判断した場合にサーバ認証用のワンタイムIDを生成しRADIUSサーバに送信する送信手段を備えることを特徴とする。
【0010】
請求項4記載の本発明は、請求項1に記載の認証方法によりEAP−TLS認証とワンタイムID認証の両方を用いてRADIUSサーバとワンタイムID認証サーバとの間で認証を行うクライアントであって、EAP−TLS認証シーケンス中では、EAP−TLSプロトコルによる認証を開始するためにEAP OL 開始をアクセスポイントに送信し、EAPリクエストに対応するEAPレスポンスをアクセスポイントを介してRADIUSアクセスリクエストとして前記RADIUSサーバに送信し、ワンタイムID認証シーケンス中では、クライアント認証用のワンタイムIDをEAPレスポンスに付加してアクセスポイントを介してRADIUSアクセスリクエストとして前記RADIUSサーバに送信する送信手段と、EAP−TLS認証シーケンス中では、アクセスポイントから送信されるEAPリクエスト(ID要求)やアクセスポイントを介して前記RADIUSサーバから送信されるEAPリクエスト(TLS開始)を受信し、ワンタイムID認証シーケンス中では前記ワンタイムID認証サーバから前記RADIUSサーバとアクセスポイントを介して送信されたサーバ認証用ワンタイムIDを含んだEAPリクエストを受信し、またEAP−TLS認証シーケンス中の前記以外のEAPリクエストを受信する受信手段と、EAP−TLS認証シーケンス中では、前記EAPリクエスト(ID要求)を判定するとEAPレスポンス(ID通知)を生成し前記送信手段に引き渡し、EAPリクエスト(TLS開始)を判定すると、記憶装置に格納されているワンタイムID認証用の認証データからクライアント認証用のワンタイムIDを生成し前記送信手段に引き渡し、ワンタイムID認証シーケンス中では前記サーバ認証用ワンタイムIDを付加されたEAPリクエストを判定すると、記憶装置に格納されている認証データからサーバ認証用データを計算して受信したサーバ認証用ワンタイムIDと比較し、一致すればワンタイムID認証サーバを正当と判定し、ワンタイムID認証サーバが正当と判定されると、対応するEAPレスポンスを生成し前記送信手段に引き渡し、またEAP−TLS認証シーケンス中で前記以外のEAPリクエストを判定すると対応するEAPレスポンスを生成し前記送信手段に引き渡し、EAPサクセスとEAP OL Keyを判定するとEAP−TLSの認証でクライアントが前記RADIUSサーバに認証されたと判定する判定手段とを備えたことを特徴とするものである。
【0011】
請求項5記載の本発明は、無線LAN認証システムとして、請求項2に記載のRADIUSサーバと請求項3に記載のワンタイムID認証サーバと請求項4に記載のクライアントとを備えていることを特徴とするものである。
【0012】
請求項6記載の本発明は、請求項1に記載のEAP−TLS認証とワンタイムID認証に基づいてクライアントとの間で認証を行うRADIUSサーバに実行させるプログラムであって、アクセスポイントを介して、前記クライアントから送られてくるRADIUSアクセスリクエストを受信する処理と、EAP−TLS認証シーケンス中では、前記RADIUSアクセスリクエストの内容が正しいかを判定し、ワンタイムID認証シーケンス中では前記RADIUSアクセスリクエスト中のワンタイムIDをワンタイムID認証サーバへ通信により送信し前記クライアントの正当性を判定させる処理と、EAP−TLS認証シーケンス中では、前記判定手段が前記RADIUSアクセスリクエストの内容が正しいかを判定した場合に対応するRADIUSアクセスチャレンジまたはRADIUSアクセスアクセプトを生成し、ワンタイムID認証シーケンス中では前記ワンタイムID認証サーバが前記クライアントを正当と判断した場合は、ワンタイムID認証サーバから通信により受信するサーバ認証用のワンタイムIDをRADIUSアクセスチャレンジに格納し、前記クライアントに送信する処理とを含む一連の動作を前記RADIUSサーバに実行させることを特徴とするものである。
【0013】
請求項7記載の本発明は、請求項3に記載のRADIUSサーバから送信されるワンタイムIDに基づいてクライアントとの間でワンタイムID認証を行うワンタイムID認証サーバに実行させるプログラムであって、ワンタイムID認証シーケンス中に前記RADIUSサーバから送信されるRADIUSアクセスリクエスト中のワンタイムIDを受信する処理と、前記ワンタイムIDと記憶装置に記憶されている認証データから計算されるワンタイムIDとの比較により前記クライアントの正当性を判定する処理と、前記クライアントを正当と判断した場合にサーバ認証用のワンタイムIDを生成しRADIUSサーバに送信する送信処理とを前記ワンタイムID認証サーバに実行させることを特徴とする。
【0014】
請求項8記載の本発明は、請求項1に記載のEAP−TLS認証とワンタイムID認証に基づいてRADIUSサーバとの間で認証を行うクライアントに実行させるプログラムであって、EAP−TLS認証シーケンス中では、EAP−TLSプロトコルによる認証を開始するためにEAP OL 開始をアクセスポイントに送信し、EAPリクエストに対応するEAPレスポンスをアクセスポイントを介してRADIUSアクセスリクエストとして前記RADIUSサーバに送信し、ワンタイムID認証シーケンス中では、クライアント認証用のワンタイムIDをEAPレスポンスに付加してアクセスポイントを介してRADIUSアクセスリクエストとして前記RADIUSサーバに送信する処理と、EAP−TLS認証シーケンス中では、アクセスポイントから送信されるEAPリクエスト(ID要求)やアクセスポイントを介して前記RADIUSサーバから送信されるEAPリクエスト(TLS開始)を受信し、ワンタイムID認証シーケンス中では前記RADIUSサーバからアクセスポイントを介して送信されたサーバ認証用ワンタイムIDを含んだEAPリクエストを受信し、またEAP−TLS認証シーケンス中の前記以外のEAPリクエストを受信する処理と、
EAP−TLS認証シーケンス中では、前記EAPリクエスト(ID要求)を判定するとEAPレスポンス(ID通知)を生成し前記送信手段に引き渡し、EAPリクエスト(TLS開始)を判定すると、記憶装置に格納されているワンタイムID認証用の認証データからクライアント認証用のワンタイムIDを生成し前記送信手段に引き渡し、ワンタイムID認証シーケンス中では前記ワンタイムID認証サーバ認証用ワンタイムIDを付加されたEAPリクエストを判定すると、記憶装置に格納されている認証データからサーバ認証用データを計算して受信したサーバ認証用ワンタイムIDと比較し、一致すればワンタイムID認証サーバを正当と判定し、ワンタイムID認証サーバが正当と判定されると、対応するEAPレスポンスを生成し前記送信手段に引き渡し、またEAP−TLS認証シーケンス中で前記以外のEAPリクエストを判定すると対応するEAPレスポンスを生成し前記送信手段に引き渡し、EAPサクセスとEAP OL Keyを判定するとEAP−TLSの認証でクライアントが前記RADIUSサーバに認証されたと判定する処理と、を含む一連の動作を前記クライアントに実行させることを特徴とするものである。
【0015】
請求項9記載の本発明は、請求項8に記載のEAP−TLS認証とワンタイムID認証に基づいてRADIUSサーバとの間で認証を行うクライアントに実行させるプログラムであって、無線LAN装置毎のドライバに対して請求項8記載の処理のワンタイムID認証を実装する代わりに、MS ウィンドウズ(登録商標)標準DLL、rastls.dllのプログラム中の必要な部分のみを実装したことを特徴とするものである。これにより、異なる種類の無線LAN装置のドライバごとにワンタイムID認証を実装する必要をなくし、開発の手間を軽減することが可能となる。
【発明の効果】
【0016】
本発明によれば、IEEE802.1x、およびEAP−TLSプロトコルに準拠した無線LAN通信装置をそのまま使用し、再利用不可能、予測不可能なワンタイムIDでの認証システムを実現し、なりすましによる不正アクセスを防止することができる。
【0017】
また、クライアントでのワンタイムID認証処理を各無線LAN通信装置のドライバ毎に実装する必要がなくなる。
【発明を実施するための最良の形態】
【0018】
以下、本発明を実施するための最良の形態を説明するが、本発明は以下の実施例の範囲に限定されるものではなく、その要旨を逸脱しない範囲であれば、適宜に変更及び実施できるものである。特にRADIUSサーバとワンタイムID認証サーバは、同一コンピュータ上に実現することもできる。図2は本発明に係る認証システムの一実施の形態の概略構成を示すブロック図である。この認証システムは、無線LAN50を介して相互に接続されたクライアント20とアクセスポイント70、LAN40を介してアクセスポイント70と相互に接続されたRADIUSサーバ10及びLAN40を介してRADIUSサーバ10と相互に接続されたワンタイムID認証サーバ30とにより構成されている。この実施の形態では、アクセスポイント70を通してクライアント20がRADIUSサーバ10に認証されることによりLAN40にアクセスすることが許され、またLAN40に接続されたコンピュータやプリンタなどの装置A、装置B、・・・へもアクセスできるようになっている。
【0019】
図3は、図2のRADIUSサーバ10の概略構成を説明する図である。RADIUSサーバ10は、CPU11、入力装置12、RAM13、表示装置14、記憶装置15、記憶媒体15a、LAN通信装置16により構成されバス17により接続されている。
【0020】
CPU11は、記憶装置15に格納されている各種プログラム、入力装置12やLAN通信装置16から入力される各種指示、及び各種データをRAM13に格納し、それらの指示やデータに基づいて、各種プログラムを実行し、一時結果をRAM13に記憶するとともに表示装置14等に出力する。
【0021】
CPU11は、当該RADIUSサーバ10における受信手段と判定手段とを構成しており、EAP−TLS認証シーケンス中では、クライアント20から無線LAN50を通して送信されるEAPレスポンスを、アクセスポイント70がRADIUSアクセスリクエストに変換した後にLAN通信装置16を通して受信し、その内容が正しいと判定した場合にそれに対応するRADIUSアクセスチャレンジまたはRADIUSアクセスアクセプトを生成して一時的にRAM13に格納しておく。また、ワンタイムID双方向認証シーケンスでは、クライアント20から送信されるEAPレスポンスを、アクセスポイント70がRADIUSアクセスリクエストに変換した後にLAN通信装置16を通して受信し、RADIUSアクセスリクエスト中のワンタイムIDをLAN通信装置16を通してワンタイムID認証サーバ30に送信し前記クライアント20の正当性を判定させる。CPU11は、ワンタイムID認証サーバ30から今回サーバ認証用のワンタイムIDをLAN通信装置16を通して受信し、RAM13に記憶されている記憶データに格納する。ワンタイムIDの生成方法、判定方法の詳細は特願2003−096375に記載されている。
【0022】
ここで、前記ワンタイムIDの生成方法、双方向ワンタイムID認証による判定方法の詳細について説明する。
【0023】
ワンタイムIDと双方向ワンタイムID認証について説明する。ワンタイムIDは認証において一回限り使用可能な識別情報であり、装置間あるいはアプリケーション間で共通な鍵や認証データを基に生成される。ワンタイムIDによる認証では、第三者が送信者・受信者を特定できない一方で、正当な送信者・受信者であればワンタイムIDを識別情報として把握できるという匿名性を保障する効果が得られるとともに、送信者と受信者間で通信が行われる度にワンタイムIDが変更されるために、第三者が次回のワンタイムIDを予測することができないという効果が得られる。双方向ワンタイムID認証では、このワンタイムIDを使って相互に認証を行うために、お互いになりすましを防ぐことができる。
【0024】
例えばワンタイムIDを使った鍵交換・認証方式であるP−SIGMAにおいては、図5に示すような手順で鍵交換および認証が行われている。先ず、クライアントが、SA(Security Association)の提案、乱数Rc、DH(Diffie−Hellman)公開値gx 、OID(ワンタイムID)をサーバに対して送信する。なお、SAの提案には、暗号アルゴリズムや認証方式、鍵交換に使用するパラメータ等に関する提案が含まれている。
【0025】
次いで、サーバが、受け取ったOIDからクライアントを識別し、識別できない場合には、通信を拒否する。識別できる場合には、受諾したSA、乱数Rs、DH公開値gy 、HASHs、セッション鍵eで暗号化したIDs(サーバID)をクライアントに対して送信する。なお、セッション鍵eは、既知共有鍵、乱数Rs、乱数RcおよびDH共通鍵gxyを引数とする鍵付きハッシュ関数の関数値であり、HASHsは、既知共有鍵、乱数Rs、乱数Rc、DH公開値gx 、gy およびIDsを引数とする疑似乱数関数の関数値である。
【0026】
次いで、クライアントが、受け取ったHASHsを検証し、このHASHsに基づいてサーバの正当性を確認する。HASHsが正しければ、HASHc、セッション鍵eで暗号化したIDc(クライアントID)をサーバに対して送信する。ここで、HASHcは、既知共有鍵、乱数Rs、乱数Rc、DH公開値gx 、gy およびIDcを引数とする疑似乱数関数の関数値である。次いで、サーバが、受け取ったHASHcを検証し、このHASHcに基づいてクライアントの正当性を確認する。HASHcが正しければ、当該プロトコルを終了する。
【0027】
このP−SIGMAにおいて、OID(ワンタイムID)は、次のように定義されている。
【0028】
OID1 =prf(K、1)
OID2 =prf(K、2)
・・・
OIDn =prf(K、n)
【0029】
この定義式において、OIDn はn番目のSA確立時に用いられるワンタイムID、prfは疑似乱数関数、Kは既知共有鍵、若しくは既知共有鍵から生成された値である。
【0030】
このため、前記P−SIGMAによれば、OIDを導入したことにより、第三者が送信者・受信者を特定できなくなる一方で、正当な送信者・受信者であればOIDを識別情報として把握できるといった効果が得られるとともに、クライアント・サーバ間で通信が行われる度(すなわち、SAの生成または更新毎)にOIDが変更されるため、第三者が次回のOIDを予測することができないといった効果が得られる。
【0031】
この他にセッション毎に変化する可変共有鍵を引数、あるいは可変共有鍵と通信順序を引数とするハッシュ関数の関数値をワンタイムID(SIGNAL)として用いるようにしたものもある(図6、図7参照)。これにより、例えば、可変共有鍵が第三者に漏れたとしても、セッション毎に可変共有鍵が変化することとなるので、漏れた可変共有鍵を用いて生成されたワンタイムID以外のワンタイムIDを予測できなくなる。すなわち、盗聴が困難で安全性に優れたワンタイムIDを生成することが可能になる。また、前記ワンタイムID(SIGNAL)を用いて、クライアント・サーバ間における認証を行うようにしたので、第三者が送信者・受信者を特定できなくなる一方で、正当な送信者・受信者であればワンタイムIDを識別情報として把握することができる。したがって、DoS攻撃やなりすまし等に対する耐性を強化することができ、オープンなネットワーク環境下においても、ID情報の保護を図り、通信の安全性を向上させることができる。また、リモートアクセスが可能になり、利便性の向上を図ることもできる。
【0032】
CPU11は、当該サーバの送信手段を構成しており、EAP−TLS認証シーケンス中では、ワンタイムID認証でクライアント20が正当であると判定された場合に、前記生成したRADIUSアクセスチャレンジまたはRADIUSアクセスアクセプトをLAN通信装置16からアクセスポイント70に送信し、アクセスポイント70はそれらをEAPリクエストまたはEAPサクセスに変換して無線LAN50を通してクライアント20に送信する。ワンタイムID認証シーケンスでは、前記RAM13に格納されたサーバ認証用のワンタイムIDをRADIUSアクセスチャレンジに格納してLAN通信装置16からアクセスポイント70に送信し、アクセスポイント70はEAPリクエストに変換して無線LAN50を通してクライアント20に送信する。
【0033】
RAM13は、クライアント20との間でアクセスポイント70を通して送受信されるデータやワンタイムID認証サーバ30との間で送受信されるデータなど、認証に使用される一時データ領域や認識用プログラム領域やCPU11の作業領域などを備えている。
【0034】
記憶装置15は記憶媒体15aを有し、記憶媒体15aは磁気的記憶媒体や半導体メモリ等で構成されている。この記憶媒体15aには、CPU11で実行される各種プログラムや制御データ或いは認証に使われる各種データを格納する領域を備えている。この記憶媒体15aには、EAP−TLSで使われる電子証明書等の認証データが認証を開始できるように前もって格納されている。
【0035】
入力装置12は、キーボードやポインテッドデバイス等により構成され、入力信号をCPU11に伝える。
【0036】
表示装置14は、CRTやLCD等により構成され、CPU11から送られるデータを表示する。
【0037】
LAN通信装置16は、LANインタフェースボードなどにより構成され、CPU11の制御の下で、LAN40とLAN40に接続されたアクセスポイント70を介してクライアント20から送られたデータ或いはワンタイムID認証サーバ30から送られたデータを受信してCPU11に送り、また、CPU11より受信したデータをLAN40とLAN40に接続されたアクセスポイント70を介してクライアント20に、或いはLAN40を介してワンタイムID認証サーバ30に送信する。
【0038】
図4は、図2のクライアントの概略構成を説明する図である。クライアント20は、CPU21、入力装置22、RAM23、表示装置24、記憶装置25、記憶媒体25a、無線LAN通信装置26により構成され、バス27により接続されている。
【0039】
CPU21は、記憶装置25に格納されている各種プログラム、入力装置22や無線LAN通信装置26から入力される各種指示、及び各種データをRAM23に格納し、それらの指示やデータに基づいて各種プログラムを実行し、一時結果をRAM23に記憶するとともに表示装置24等に出力する。
【0040】
CPU21は、当該クライアント20の送信手段を構成しており、入力装置22からの指示に基づき、アクセスポイント70との間にIEEE802.11アソシエーションを確立する。その後EAP−TLS認証シーケンス中では、EAP−TLSプロトコルによる認証を開始するためにEAP OL 開始を無線LAN通信装置26を通してアクセスポイント70に送信する。それに対してアクセスポイント70はEAPリクエスト(ID要求)を送り返す。その後、CPU21は、後述の生成されたEAPレスポンスを無線LAN通信装置26を通してアクセスポイント70に送信し、アクセスポイント70はRADIUSアクセスリクエストに変換してRADIUSサーバ10に送信する。ワンタイムID認証シーケンスでは、後述のクライアント認証用のワンタイムIDをEAPレスポンスに付加して無線LAN通信装置26からアクセスポイント70に送信し、アクセスポイント70はRADIUSアクセスリクエストに変換してLAN40を通してRADIUSサーバ10に送信する。ワンタイムIDの生成方法、判定方法の詳細は、既に説明した通りである。
【0041】
また、CPU21は、当該クライアントにおける受信手段と判定手段とを構成しており、アクセスポイント70から前記EAPリクエスト(ID要求)を無線LAN通信装置26を介して受信する。CPU21は、EAPリクエスト(ID要求)を判定するとEAPレスポンス(ID通知)を生成し、RAM23に一時的に格納し、前記送信手段に引き渡す。CPU21はアクセスポイント70からEAPリクエスト(TLS開始)を無線LAN通信装置26を介して受信する。CPU21は、EAPリクエスト(TLS開始)を判定すると、記憶装置25に格納されているワンタイムID認証用の認証データからクライアント認証用のワンタイムIDを生成し、RAM23に一時的に格納し、前記送信手段に引き渡す。CPU21は、サーバ認証用のワンタイムIDを含んだEAPリクエストを無線LAN通信装置26を介して受信する。CPU21はまた、サーバ認証用のワンタイムIDを付加されたEAPリクエストを受信すると、記憶装置25に格納されている認証用データからサーバ認証用ワンタイムIDを計算し、受信したサーバ認証用ワンタイムIDと比較し、一致すればワンタイムID認証サーバを正当と判定する。CPU21はワンタイムID認証サーバが正当と判定されると、対応するEAPレスポンスを生成し、RAM23に一時的に格納し、前記送信手段に引き渡す。CPU21はTLSネゴシエーションシーケンス中にもEAPリクエストを無線LAN装置26を介して受信する。CPU21はEAPリクエストを判定すると、対応するEAPレスポンスを作成し、RAM23に一時的に格納し、前記送信手段に引き渡す。CPU21はEAPサクセスとEAP OL Keyも受信し、それらを受信するとEAP−TLSの認証でクライアント20がRADIUSサーバ10に認証されたと判定する。その後、クライアント20はアクセスポイント70を介してLAN40及びこのLAN40に接続された装置にアクセスすることができる。
【0042】
RAM23は、アクセスポイント70やクライアント20等との間で送受信されるデータなど、認証に使用される一時データ領域や認証用プログラム領域やCPU21の作業領域などを備えている。
【0043】
記憶装置25は記憶媒体25aを有し、記憶媒体25aは磁気的記憶媒体や半導体メモリ等で構成されている。この記憶媒体25aには、CPU21で実行される各種プログラムや制御データ或いは認証に使われる各種データを格納する領域を備えている。この記憶媒体25aには、EAP−TLSで使われる電子証明書等の認証データやワンタイムIDによる認証で使われる共有鍵データ等の認証データが認証を開始できるように前もって格納されている。
【0044】
入力装置22は、キーボードやポインティングデバイス等により構成され、入力信号をCPU21に伝える。
【0045】
表示装置24は、CRTやLCD等により構成され、CPU21から送られるデータを表示する。
【0046】
無線LAN通信装置26は、無線LANインタフェースボード等により構成され、アクセスポイント70に接続されたLAN40とアクセスポイント70を介してRADIUSサーバ10から送られたデータを受信してCPU21に送り、またCPU21より受信したデータをアクセスポイント70とアクセスポイント70に接続されたLAN40を介してRADIUSサーバ10に送信する。
【0047】
図5は、図2のワンタイムID認証サーバの概略構成を説明する図である。ワンタイムID認証サーバ30は、CPU31、入力装置32、RAM33、表示装置34、記憶装置35、記憶媒体35a、無線LAN通信装置36により構成され、バス37により接続されている。
【0048】
CPU31は、当該ワンタイムID認証サーバ30における受信手段と判定手段とを構成しており、RADIUSサーバ10から送信されるワンタイムIDをLAN通信装置36を介して受信し、RADIUSサーバ10から受信したワンタイムIDが記憶装置35に記憶されている認証データから計算されるワンタイムIDと一致するものがあるかを判定し、一致するものがあれば正当なクライアントであると認証する。正当なクライアントであると認証された場合は、EAPレスポンス認証パケット中に存在する認証用データを記憶装置35に格納し、今回サーバ認証用のワンタイムIDを生成してRAM33と記憶装置35に記憶されている記憶データに格納する。
【0049】
CPU31は、当該ワンタイムID認証サーバ30の送信手段を構成しており、前記生成されたサーバ認証用のワンタイムIDをLAN通信装置36からRADIUSサーバ10に送信する。
【0050】
RAM33は、RADIUSサーバ10との間で送受信されるデータなど、認証に使用される一時データ領域や認証用プログラム領域やCPU31の作業領域などを備えている。
【0051】
記憶装置35は記憶媒体35aを有し、記憶媒体35aは磁気的記憶媒体や半導体メモリ等で構成されている。この記憶媒体35aには、CPU31で実行される各種プログラムや制御データ或いは認証に使われる各種データを格納する領域を備えている。この記憶媒体35aには、EAP−TLSで使われる電子証明書等の認証データやワンタイムIDによる認証で使われる共有鍵データ等の認証データが認証を開始できるように前もって格納されている。
【0052】
入力装置32は、キーボードやポインティングデバイス等により構成され、入力信号をCPU31に伝える。
【0053】
表示装置34は、CRTやLCD等により構成され、CPU31から送られるデータを表示する。
【0054】
LAN通信装置36は、LANインタフェースボード等により構成され、CPU31の制御の下で、LAN40を介してRADIUSサーバ10から送られたデータを受信してCPU31に送り、またCPU31より受信したデータをLAN40を介してRADIUSサーバ10に送信する。
【0055】
認証用データ発行管理サーバ60は、ワンタイムID認証サーバ30及びRADIUSサーバ10とクライアント20間で共有されるワンタイムID生成用認証データや電子証明書などの秘密情報、クライアントID、サーバID等を発行・管理するためのサーバである。クライアント20とRADIUSサーバ10及びワンタイムID認証サーバ30には認証用データ発行管理サーバ60によって前もって発行された秘密情報やクライアントID、サーバIDが配布されており、クライアント20とRADIUSサーバ10及びワンタイムID認証サーバ30は認証処理を開始することができる。
【0056】
次に、前記構成の認証システムで認証方法の実施形態のプロセスを、図1を参照して説明する。ステップS21で、クライアント20はIEEE802.11アソシエーションをアクセスポイント70との間で確立する。ステップS22では、クライアント20はRADIUSサーバ10から認証してもらうために、EAP−TLSの認証シーケンスにしたがいEAP OL開始をアクセスポイント70に送信する。アクセスポイント70はEAPリクエスト(ID要求)をクライアント20に送信する。次に、クライアント20は、EAPレスポンス(ID通知)をアクセスポイント70に送信し、アクセスポイント70はRADIUSアクセスリクエスト(ID通知)に変換してRADIUSサーバ10に送信する。RADIUSサーバ10はRADIUSアクセスチャレンジ(TLS開始)をアクセスポイント70に送信し、アクセスポイント70はEAPリクエスト(TLS開始)に変換してクライアント20に送信し、クライアント20がEAPリクエスト(TLS開始)を受信する。ここで、EAP−TLS認証シーケンスの前半、EAPネゴシエーションが終る。
【0057】
ステップS23では、クライアント20は、TLSネゴシエーションが開始される、EAP−TLSの認証シーケンスの後半を開始する前にワンタイムIDによるクライアント20とワンタイムID認証サーバ30の相互認証を行う。クライアント20はクライアント認証用のワンタイムIDを生成し、EAPレスポンスに付加してアクセスポイント70に送信し、アクセスポイント70はRADIUSアクセスリクエスト変換してRADIUSサーバ10に送信する。RADIUSサーバ10はRADIUSアクセスリクエスト中のワンタイムIDをワンタイムID認証サーバ30に送信し前記クライアント20の正当性を判定させる。ワンタイムID認証サーバ30は、当該ワンタイムID認証サーバ30内の記憶装置35に記憶されている認証データから計算されるワンタイムIDと一致するものがあるかを判定し、一致するものがあれば正当なクライアントとして認証する。クライアントが認証された場合、ワンタイムID認証サーバ30はサーバ認証用のワンタイムIDを生成し、RADIUSサーバ10に送信する。RADIUSサーバ10は、前記サーバ認証用のワンタイムIDをRADIUSアクセスチャレンジ中に付加してアクセスポイント70に送信する。アクセスポイント70はEAPリクエストに変換してクライアント20に送信する。クライアント20はサーバ認証用のワンタイムIDを生成し、受信したEAPリクエスト中のサーバ認証用ワンタイムIDとクライアント20内の記憶装置25に記憶されている認証データから計算されるワンタイムIDと一致するものがあるかを判定し、一致するものがあれば正当なワンタイムID認証サーバとして認証する。これによりワンタイムIDによるクライアントとワンタイムID認証サーバの相互認証が完了する。ワンタイムIDの生成方法、および判定方法については上述した通りである。
【0058】
次に、ステップS24において、クライアント20はEAP−TLS認証シーケンスの後半を開始する。クライアント20はTLSネゴシエーション用のEAPレスポンスをアクセスポイント70に送信し、アクセスポイント70を介したRADIUSサーバ10とのTLSネゴシエーション完了後、RADIUSサーバ10からRADIUSアクセスアクセプトがアクセスポイント70に送信され、アクセスポイント70からのEAPサクセスとEAP OL Keyをクライアント20が受信してEAP−TLSでのクライアント20とRADIUSサーバ10の相互認証も完了する。これによりクライアント20はアクセスポイント70を介してLAN40、およびLAN40に接続された装置群にアクセスすることが可能となる。
【産業上の利用可能性】
【0059】
本発明による無線LAN認証システムでは、IEEE802.1x EAP−TLSプロトコルに準拠した無線LAN通信装置をそのまま使用することで、再利用不可能、予測不可能なワンタイムIDでの認証システムを実現し、なりすましによる不正アクセスを防止することができる。
【0060】
また、クライアントでのワンタイムID認証処理を各無線LAN通信装置のドライバ毎に実装する必要がなくなる。
【図面の簡単な説明】
【0061】
【図1】本発明の無線LAN認証システムにおいて実行される、認証シーケンスを説明する図である。
【図2】本発明の無線LAN認証システムの概略構成を示すブロック図である。
【図3】本発明の無線LAN認証システムにおいて使用される、RADIUSサーバの概略構成を示すブロック図である。
【図4】本発明の無線LAN認証システムにおいて使用される、クライアントの概略構成を示すブロック図である。
【図5】本発明の無線LAN認証システムにおいて使用される、ワンタイムID認証サーバの概略構成を示すブロック図である。
【図6】双方向ワンタイムID認証について説明するシーケンス図である。
【図7】双方向ワンタイムID認証について説明するシーケンス図である。
【図8】双方向ワンタイムID認証について説明するシーケンス図である。
【図9】従来からの無線LAN認証システムにおいて使用されている、IEEE802.1x EAP−TLSの認証シーケンスを説明する図である。
【符号の説明】
【0062】
10 RADIUSサーバ
11 CPU
12 入力装置
13 RAM
14 表示装置
15 記憶装置
15a 記憶媒体
16 LAN通信装置
20 クライアント
21 CPU
22 入力装置
23 RAM
24 表示装置
25 記憶装置
25a 記憶媒体
26 無線LAN通信装置
27 バス
30 ワンタイムID認証サーバ
31 CPU
32 入力装置
33 RAM
34 表示装置
35 記憶装置
35a 記憶媒体
36 LAN通信装置
37 バス
40 LAN
50 無線LAN
60 認証用データ発行管理サーバ
70 IEEE802.1x EAP−TLS準拠アクセスポイント
【技術分野】
【0001】
本発明は、認証方法の一規格であるIEEE802.1x EAP−TLSの無線LANのクライアントとアクセスポイントとの間の認証方法にワンタイムID認証方法(特願2003−069375)を付加して認証を強化した無線LANの認証方法およびシステム、RADIUSサーバ、ワンタイムID認証サーバ、クライアント並びに認証プログラムに関するものである。
【背景技術】
【0002】
従来、無線LANの規格であるIEEE802.11では認証に問題があり、近年その問題を解決するためにIEEE802.1xという認証の規格が利用されている。EAP−TLSはその中の一つのプロトコルでありRFC 2716に規格されている。EAP−TLSは電子証明を使い認証を行うプロトコルである。
【0003】
図9はEAP−TLSの認証シーケンスを説明したものである。図中のステップS11でIEEE802.11アソシエーションを確立し、ステップS12のEAPネゴシエーションでEAPのタイプを通知し、ステップS13のEAP−TLS認証シーケンス後半のTLSネゴシエーションで暗号仕様および証明書の交換を行う。クライアントはクライアント証明書をRADIUSサーバに送り認証してもらい、RADIUSサーバはサーバ証明書をクライアントに送り認証してもらう。これによりお互いを認証することができる。認証成功後はRADIUSサーバからセッションタイムアウト値やWEPキーの元となるMPPEなどが送信され、アクセスポイントがEAPサクセスとEAP OL Keyをクライアントに送信して、アクセスポイントとクライアント間でWEPキーを共有することができる。なお無線LANシステムにおける認証技術を開示したものとして特開2001−111544号に記載されたものがある。
【特許文献1】特開2001−111544号
【発明の開示】
【発明が解決しようとする課題】
【0004】
一過性のワンタイムIDを使った認証方法をIEEE802.11無線LANでのIEEE802.1x EAP−TLS認証方法に適用することにより、EAP−TLS準拠の装置を使って、認証を強化した無線LAN認証方法およびシステム、RADIUSサーバ、ワンタイムID認証サーバ、クライアント並びに認証プログラムを提供する。
【課題を解決するための手段】
【0005】
本発明は、図1に示すように、TLSネゴシエーションの前にワンタイムIDによる双方向認証を行うものである。これにより、ワンタイムIDでの認証がEAP−TLSの認証の前に行われるので、なりすましによる不正アクセスをさらに強力に防止することができる。ワンタイムIDによる認証は、認証に使われるIDを無線により盗聴されても次の認証には使うことができず、次のワンタイムIDを予測することもできないため秘匿性に優れている。
【0006】
請求項1記載の本発明は、無線LAN認証方法として、IEEE802.11無線LANでのIEEE802.1xEAP−TLS認証プロトコルによる認証シーケンス中のTLSネゴシエーションの前に、1回限り使用可能な識別情報であるワンタイムIDにより、認証クライアントとワンタイムID認証サーバ間の相互認証を行い、ワンタイムIDによる認証後に、IEEE802.1x EAP−TLS認証プロトコルの認証シーケンスをTLSネゴシエーションから続行してIEEE802.1x EAP−TLS認証プロトコルでのクライアントとRADIUSサーバ間の相互認証も完了させ、両方の認証が成功したときに認証クライアントとRADIUSサーバ及びワンタイムID認証サーバとを交互に正当と認証するようにしたことを特徴とするものである。
【0007】
この構成によれば、IEEE802.1x、およびEAP−TLSプロトコルに準拠した無線LAN通信装置をそのまま使用し、再利用不可能、予測不可能なワンタイムIDでの認証システムを実現し、なりすましによる不正アクセスを防止することができる。
【0008】
請求項2記載の本発明は、請求項1に記載の認証方法によりEAP−TLS認証とワンタイムID認証の両方を用いてクライアントとの間で認証を行うRADIUSサーバであって、アクセスポイントを介して、前記クライアントから送られてくるRADIUSアクセスリクエストを受信する受信手段と、EAP−TLS認証シーケンス中では、前記RADIUSアクセスリクエストの内容が正しいかを判定し、ワンタイム認証シーケンス中では前記RADIUSアクセスリクエスト中のワンタイムIDをワンタイムID認証サーバへ通信により送信し前記クライアントの正当性を判定させる判定手段と、EAP−TLS認証シーケンス中では、前記判定手段が前記RADIUSアクセスリクエストの内容が正しいかを判定した場合に対応するRADIUSアクセスチャレンジまたはRADIUSアクセスアクセプトを生成し、ワンタイムID認証シーケンス中では前記ワンタイムID認証サーバが前記クライアントを正当と判断した場合は、ワンタイムID認証サーバから通信により受信するサーバ認証用のワンタイムIDをRADIUSアクセスチャレンジに格納し、前記クライアントに送信する送信手段とを備えることを特徴とするものである。
【0009】
請求項3記載の本発明は、請求項2に記載のRADIUSサーバから送信されるワンタイムIDに基づいてクライアントとの間でワンタイムID認証を行うワンタイムID認証サーバであって、ワンタイムID認証シーケンス中に前記RADIUSサーバから送信されるRADIUSアクセスリクエスト中のワンタイムIDを受信する受信手段と、前記ワンタイムIDと記憶装置に記憶されている認証データから計算されるワンタイムIDとの比較により前記クライアントの正当性を判定する判定手段と、前記判定手段が前記クライアントを正当と判断した場合にサーバ認証用のワンタイムIDを生成しRADIUSサーバに送信する送信手段を備えることを特徴とする。
【0010】
請求項4記載の本発明は、請求項1に記載の認証方法によりEAP−TLS認証とワンタイムID認証の両方を用いてRADIUSサーバとワンタイムID認証サーバとの間で認証を行うクライアントであって、EAP−TLS認証シーケンス中では、EAP−TLSプロトコルによる認証を開始するためにEAP OL 開始をアクセスポイントに送信し、EAPリクエストに対応するEAPレスポンスをアクセスポイントを介してRADIUSアクセスリクエストとして前記RADIUSサーバに送信し、ワンタイムID認証シーケンス中では、クライアント認証用のワンタイムIDをEAPレスポンスに付加してアクセスポイントを介してRADIUSアクセスリクエストとして前記RADIUSサーバに送信する送信手段と、EAP−TLS認証シーケンス中では、アクセスポイントから送信されるEAPリクエスト(ID要求)やアクセスポイントを介して前記RADIUSサーバから送信されるEAPリクエスト(TLS開始)を受信し、ワンタイムID認証シーケンス中では前記ワンタイムID認証サーバから前記RADIUSサーバとアクセスポイントを介して送信されたサーバ認証用ワンタイムIDを含んだEAPリクエストを受信し、またEAP−TLS認証シーケンス中の前記以外のEAPリクエストを受信する受信手段と、EAP−TLS認証シーケンス中では、前記EAPリクエスト(ID要求)を判定するとEAPレスポンス(ID通知)を生成し前記送信手段に引き渡し、EAPリクエスト(TLS開始)を判定すると、記憶装置に格納されているワンタイムID認証用の認証データからクライアント認証用のワンタイムIDを生成し前記送信手段に引き渡し、ワンタイムID認証シーケンス中では前記サーバ認証用ワンタイムIDを付加されたEAPリクエストを判定すると、記憶装置に格納されている認証データからサーバ認証用データを計算して受信したサーバ認証用ワンタイムIDと比較し、一致すればワンタイムID認証サーバを正当と判定し、ワンタイムID認証サーバが正当と判定されると、対応するEAPレスポンスを生成し前記送信手段に引き渡し、またEAP−TLS認証シーケンス中で前記以外のEAPリクエストを判定すると対応するEAPレスポンスを生成し前記送信手段に引き渡し、EAPサクセスとEAP OL Keyを判定するとEAP−TLSの認証でクライアントが前記RADIUSサーバに認証されたと判定する判定手段とを備えたことを特徴とするものである。
【0011】
請求項5記載の本発明は、無線LAN認証システムとして、請求項2に記載のRADIUSサーバと請求項3に記載のワンタイムID認証サーバと請求項4に記載のクライアントとを備えていることを特徴とするものである。
【0012】
請求項6記載の本発明は、請求項1に記載のEAP−TLS認証とワンタイムID認証に基づいてクライアントとの間で認証を行うRADIUSサーバに実行させるプログラムであって、アクセスポイントを介して、前記クライアントから送られてくるRADIUSアクセスリクエストを受信する処理と、EAP−TLS認証シーケンス中では、前記RADIUSアクセスリクエストの内容が正しいかを判定し、ワンタイムID認証シーケンス中では前記RADIUSアクセスリクエスト中のワンタイムIDをワンタイムID認証サーバへ通信により送信し前記クライアントの正当性を判定させる処理と、EAP−TLS認証シーケンス中では、前記判定手段が前記RADIUSアクセスリクエストの内容が正しいかを判定した場合に対応するRADIUSアクセスチャレンジまたはRADIUSアクセスアクセプトを生成し、ワンタイムID認証シーケンス中では前記ワンタイムID認証サーバが前記クライアントを正当と判断した場合は、ワンタイムID認証サーバから通信により受信するサーバ認証用のワンタイムIDをRADIUSアクセスチャレンジに格納し、前記クライアントに送信する処理とを含む一連の動作を前記RADIUSサーバに実行させることを特徴とするものである。
【0013】
請求項7記載の本発明は、請求項3に記載のRADIUSサーバから送信されるワンタイムIDに基づいてクライアントとの間でワンタイムID認証を行うワンタイムID認証サーバに実行させるプログラムであって、ワンタイムID認証シーケンス中に前記RADIUSサーバから送信されるRADIUSアクセスリクエスト中のワンタイムIDを受信する処理と、前記ワンタイムIDと記憶装置に記憶されている認証データから計算されるワンタイムIDとの比較により前記クライアントの正当性を判定する処理と、前記クライアントを正当と判断した場合にサーバ認証用のワンタイムIDを生成しRADIUSサーバに送信する送信処理とを前記ワンタイムID認証サーバに実行させることを特徴とする。
【0014】
請求項8記載の本発明は、請求項1に記載のEAP−TLS認証とワンタイムID認証に基づいてRADIUSサーバとの間で認証を行うクライアントに実行させるプログラムであって、EAP−TLS認証シーケンス中では、EAP−TLSプロトコルによる認証を開始するためにEAP OL 開始をアクセスポイントに送信し、EAPリクエストに対応するEAPレスポンスをアクセスポイントを介してRADIUSアクセスリクエストとして前記RADIUSサーバに送信し、ワンタイムID認証シーケンス中では、クライアント認証用のワンタイムIDをEAPレスポンスに付加してアクセスポイントを介してRADIUSアクセスリクエストとして前記RADIUSサーバに送信する処理と、EAP−TLS認証シーケンス中では、アクセスポイントから送信されるEAPリクエスト(ID要求)やアクセスポイントを介して前記RADIUSサーバから送信されるEAPリクエスト(TLS開始)を受信し、ワンタイムID認証シーケンス中では前記RADIUSサーバからアクセスポイントを介して送信されたサーバ認証用ワンタイムIDを含んだEAPリクエストを受信し、またEAP−TLS認証シーケンス中の前記以外のEAPリクエストを受信する処理と、
EAP−TLS認証シーケンス中では、前記EAPリクエスト(ID要求)を判定するとEAPレスポンス(ID通知)を生成し前記送信手段に引き渡し、EAPリクエスト(TLS開始)を判定すると、記憶装置に格納されているワンタイムID認証用の認証データからクライアント認証用のワンタイムIDを生成し前記送信手段に引き渡し、ワンタイムID認証シーケンス中では前記ワンタイムID認証サーバ認証用ワンタイムIDを付加されたEAPリクエストを判定すると、記憶装置に格納されている認証データからサーバ認証用データを計算して受信したサーバ認証用ワンタイムIDと比較し、一致すればワンタイムID認証サーバを正当と判定し、ワンタイムID認証サーバが正当と判定されると、対応するEAPレスポンスを生成し前記送信手段に引き渡し、またEAP−TLS認証シーケンス中で前記以外のEAPリクエストを判定すると対応するEAPレスポンスを生成し前記送信手段に引き渡し、EAPサクセスとEAP OL Keyを判定するとEAP−TLSの認証でクライアントが前記RADIUSサーバに認証されたと判定する処理と、を含む一連の動作を前記クライアントに実行させることを特徴とするものである。
【0015】
請求項9記載の本発明は、請求項8に記載のEAP−TLS認証とワンタイムID認証に基づいてRADIUSサーバとの間で認証を行うクライアントに実行させるプログラムであって、無線LAN装置毎のドライバに対して請求項8記載の処理のワンタイムID認証を実装する代わりに、MS ウィンドウズ(登録商標)標準DLL、rastls.dllのプログラム中の必要な部分のみを実装したことを特徴とするものである。これにより、異なる種類の無線LAN装置のドライバごとにワンタイムID認証を実装する必要をなくし、開発の手間を軽減することが可能となる。
【発明の効果】
【0016】
本発明によれば、IEEE802.1x、およびEAP−TLSプロトコルに準拠した無線LAN通信装置をそのまま使用し、再利用不可能、予測不可能なワンタイムIDでの認証システムを実現し、なりすましによる不正アクセスを防止することができる。
【0017】
また、クライアントでのワンタイムID認証処理を各無線LAN通信装置のドライバ毎に実装する必要がなくなる。
【発明を実施するための最良の形態】
【0018】
以下、本発明を実施するための最良の形態を説明するが、本発明は以下の実施例の範囲に限定されるものではなく、その要旨を逸脱しない範囲であれば、適宜に変更及び実施できるものである。特にRADIUSサーバとワンタイムID認証サーバは、同一コンピュータ上に実現することもできる。図2は本発明に係る認証システムの一実施の形態の概略構成を示すブロック図である。この認証システムは、無線LAN50を介して相互に接続されたクライアント20とアクセスポイント70、LAN40を介してアクセスポイント70と相互に接続されたRADIUSサーバ10及びLAN40を介してRADIUSサーバ10と相互に接続されたワンタイムID認証サーバ30とにより構成されている。この実施の形態では、アクセスポイント70を通してクライアント20がRADIUSサーバ10に認証されることによりLAN40にアクセスすることが許され、またLAN40に接続されたコンピュータやプリンタなどの装置A、装置B、・・・へもアクセスできるようになっている。
【0019】
図3は、図2のRADIUSサーバ10の概略構成を説明する図である。RADIUSサーバ10は、CPU11、入力装置12、RAM13、表示装置14、記憶装置15、記憶媒体15a、LAN通信装置16により構成されバス17により接続されている。
【0020】
CPU11は、記憶装置15に格納されている各種プログラム、入力装置12やLAN通信装置16から入力される各種指示、及び各種データをRAM13に格納し、それらの指示やデータに基づいて、各種プログラムを実行し、一時結果をRAM13に記憶するとともに表示装置14等に出力する。
【0021】
CPU11は、当該RADIUSサーバ10における受信手段と判定手段とを構成しており、EAP−TLS認証シーケンス中では、クライアント20から無線LAN50を通して送信されるEAPレスポンスを、アクセスポイント70がRADIUSアクセスリクエストに変換した後にLAN通信装置16を通して受信し、その内容が正しいと判定した場合にそれに対応するRADIUSアクセスチャレンジまたはRADIUSアクセスアクセプトを生成して一時的にRAM13に格納しておく。また、ワンタイムID双方向認証シーケンスでは、クライアント20から送信されるEAPレスポンスを、アクセスポイント70がRADIUSアクセスリクエストに変換した後にLAN通信装置16を通して受信し、RADIUSアクセスリクエスト中のワンタイムIDをLAN通信装置16を通してワンタイムID認証サーバ30に送信し前記クライアント20の正当性を判定させる。CPU11は、ワンタイムID認証サーバ30から今回サーバ認証用のワンタイムIDをLAN通信装置16を通して受信し、RAM13に記憶されている記憶データに格納する。ワンタイムIDの生成方法、判定方法の詳細は特願2003−096375に記載されている。
【0022】
ここで、前記ワンタイムIDの生成方法、双方向ワンタイムID認証による判定方法の詳細について説明する。
【0023】
ワンタイムIDと双方向ワンタイムID認証について説明する。ワンタイムIDは認証において一回限り使用可能な識別情報であり、装置間あるいはアプリケーション間で共通な鍵や認証データを基に生成される。ワンタイムIDによる認証では、第三者が送信者・受信者を特定できない一方で、正当な送信者・受信者であればワンタイムIDを識別情報として把握できるという匿名性を保障する効果が得られるとともに、送信者と受信者間で通信が行われる度にワンタイムIDが変更されるために、第三者が次回のワンタイムIDを予測することができないという効果が得られる。双方向ワンタイムID認証では、このワンタイムIDを使って相互に認証を行うために、お互いになりすましを防ぐことができる。
【0024】
例えばワンタイムIDを使った鍵交換・認証方式であるP−SIGMAにおいては、図5に示すような手順で鍵交換および認証が行われている。先ず、クライアントが、SA(Security Association)の提案、乱数Rc、DH(Diffie−Hellman)公開値gx 、OID(ワンタイムID)をサーバに対して送信する。なお、SAの提案には、暗号アルゴリズムや認証方式、鍵交換に使用するパラメータ等に関する提案が含まれている。
【0025】
次いで、サーバが、受け取ったOIDからクライアントを識別し、識別できない場合には、通信を拒否する。識別できる場合には、受諾したSA、乱数Rs、DH公開値gy 、HASHs、セッション鍵eで暗号化したIDs(サーバID)をクライアントに対して送信する。なお、セッション鍵eは、既知共有鍵、乱数Rs、乱数RcおよびDH共通鍵gxyを引数とする鍵付きハッシュ関数の関数値であり、HASHsは、既知共有鍵、乱数Rs、乱数Rc、DH公開値gx 、gy およびIDsを引数とする疑似乱数関数の関数値である。
【0026】
次いで、クライアントが、受け取ったHASHsを検証し、このHASHsに基づいてサーバの正当性を確認する。HASHsが正しければ、HASHc、セッション鍵eで暗号化したIDc(クライアントID)をサーバに対して送信する。ここで、HASHcは、既知共有鍵、乱数Rs、乱数Rc、DH公開値gx 、gy およびIDcを引数とする疑似乱数関数の関数値である。次いで、サーバが、受け取ったHASHcを検証し、このHASHcに基づいてクライアントの正当性を確認する。HASHcが正しければ、当該プロトコルを終了する。
【0027】
このP−SIGMAにおいて、OID(ワンタイムID)は、次のように定義されている。
【0028】
OID1 =prf(K、1)
OID2 =prf(K、2)
・・・
OIDn =prf(K、n)
【0029】
この定義式において、OIDn はn番目のSA確立時に用いられるワンタイムID、prfは疑似乱数関数、Kは既知共有鍵、若しくは既知共有鍵から生成された値である。
【0030】
このため、前記P−SIGMAによれば、OIDを導入したことにより、第三者が送信者・受信者を特定できなくなる一方で、正当な送信者・受信者であればOIDを識別情報として把握できるといった効果が得られるとともに、クライアント・サーバ間で通信が行われる度(すなわち、SAの生成または更新毎)にOIDが変更されるため、第三者が次回のOIDを予測することができないといった効果が得られる。
【0031】
この他にセッション毎に変化する可変共有鍵を引数、あるいは可変共有鍵と通信順序を引数とするハッシュ関数の関数値をワンタイムID(SIGNAL)として用いるようにしたものもある(図6、図7参照)。これにより、例えば、可変共有鍵が第三者に漏れたとしても、セッション毎に可変共有鍵が変化することとなるので、漏れた可変共有鍵を用いて生成されたワンタイムID以外のワンタイムIDを予測できなくなる。すなわち、盗聴が困難で安全性に優れたワンタイムIDを生成することが可能になる。また、前記ワンタイムID(SIGNAL)を用いて、クライアント・サーバ間における認証を行うようにしたので、第三者が送信者・受信者を特定できなくなる一方で、正当な送信者・受信者であればワンタイムIDを識別情報として把握することができる。したがって、DoS攻撃やなりすまし等に対する耐性を強化することができ、オープンなネットワーク環境下においても、ID情報の保護を図り、通信の安全性を向上させることができる。また、リモートアクセスが可能になり、利便性の向上を図ることもできる。
【0032】
CPU11は、当該サーバの送信手段を構成しており、EAP−TLS認証シーケンス中では、ワンタイムID認証でクライアント20が正当であると判定された場合に、前記生成したRADIUSアクセスチャレンジまたはRADIUSアクセスアクセプトをLAN通信装置16からアクセスポイント70に送信し、アクセスポイント70はそれらをEAPリクエストまたはEAPサクセスに変換して無線LAN50を通してクライアント20に送信する。ワンタイムID認証シーケンスでは、前記RAM13に格納されたサーバ認証用のワンタイムIDをRADIUSアクセスチャレンジに格納してLAN通信装置16からアクセスポイント70に送信し、アクセスポイント70はEAPリクエストに変換して無線LAN50を通してクライアント20に送信する。
【0033】
RAM13は、クライアント20との間でアクセスポイント70を通して送受信されるデータやワンタイムID認証サーバ30との間で送受信されるデータなど、認証に使用される一時データ領域や認識用プログラム領域やCPU11の作業領域などを備えている。
【0034】
記憶装置15は記憶媒体15aを有し、記憶媒体15aは磁気的記憶媒体や半導体メモリ等で構成されている。この記憶媒体15aには、CPU11で実行される各種プログラムや制御データ或いは認証に使われる各種データを格納する領域を備えている。この記憶媒体15aには、EAP−TLSで使われる電子証明書等の認証データが認証を開始できるように前もって格納されている。
【0035】
入力装置12は、キーボードやポインテッドデバイス等により構成され、入力信号をCPU11に伝える。
【0036】
表示装置14は、CRTやLCD等により構成され、CPU11から送られるデータを表示する。
【0037】
LAN通信装置16は、LANインタフェースボードなどにより構成され、CPU11の制御の下で、LAN40とLAN40に接続されたアクセスポイント70を介してクライアント20から送られたデータ或いはワンタイムID認証サーバ30から送られたデータを受信してCPU11に送り、また、CPU11より受信したデータをLAN40とLAN40に接続されたアクセスポイント70を介してクライアント20に、或いはLAN40を介してワンタイムID認証サーバ30に送信する。
【0038】
図4は、図2のクライアントの概略構成を説明する図である。クライアント20は、CPU21、入力装置22、RAM23、表示装置24、記憶装置25、記憶媒体25a、無線LAN通信装置26により構成され、バス27により接続されている。
【0039】
CPU21は、記憶装置25に格納されている各種プログラム、入力装置22や無線LAN通信装置26から入力される各種指示、及び各種データをRAM23に格納し、それらの指示やデータに基づいて各種プログラムを実行し、一時結果をRAM23に記憶するとともに表示装置24等に出力する。
【0040】
CPU21は、当該クライアント20の送信手段を構成しており、入力装置22からの指示に基づき、アクセスポイント70との間にIEEE802.11アソシエーションを確立する。その後EAP−TLS認証シーケンス中では、EAP−TLSプロトコルによる認証を開始するためにEAP OL 開始を無線LAN通信装置26を通してアクセスポイント70に送信する。それに対してアクセスポイント70はEAPリクエスト(ID要求)を送り返す。その後、CPU21は、後述の生成されたEAPレスポンスを無線LAN通信装置26を通してアクセスポイント70に送信し、アクセスポイント70はRADIUSアクセスリクエストに変換してRADIUSサーバ10に送信する。ワンタイムID認証シーケンスでは、後述のクライアント認証用のワンタイムIDをEAPレスポンスに付加して無線LAN通信装置26からアクセスポイント70に送信し、アクセスポイント70はRADIUSアクセスリクエストに変換してLAN40を通してRADIUSサーバ10に送信する。ワンタイムIDの生成方法、判定方法の詳細は、既に説明した通りである。
【0041】
また、CPU21は、当該クライアントにおける受信手段と判定手段とを構成しており、アクセスポイント70から前記EAPリクエスト(ID要求)を無線LAN通信装置26を介して受信する。CPU21は、EAPリクエスト(ID要求)を判定するとEAPレスポンス(ID通知)を生成し、RAM23に一時的に格納し、前記送信手段に引き渡す。CPU21はアクセスポイント70からEAPリクエスト(TLS開始)を無線LAN通信装置26を介して受信する。CPU21は、EAPリクエスト(TLS開始)を判定すると、記憶装置25に格納されているワンタイムID認証用の認証データからクライアント認証用のワンタイムIDを生成し、RAM23に一時的に格納し、前記送信手段に引き渡す。CPU21は、サーバ認証用のワンタイムIDを含んだEAPリクエストを無線LAN通信装置26を介して受信する。CPU21はまた、サーバ認証用のワンタイムIDを付加されたEAPリクエストを受信すると、記憶装置25に格納されている認証用データからサーバ認証用ワンタイムIDを計算し、受信したサーバ認証用ワンタイムIDと比較し、一致すればワンタイムID認証サーバを正当と判定する。CPU21はワンタイムID認証サーバが正当と判定されると、対応するEAPレスポンスを生成し、RAM23に一時的に格納し、前記送信手段に引き渡す。CPU21はTLSネゴシエーションシーケンス中にもEAPリクエストを無線LAN装置26を介して受信する。CPU21はEAPリクエストを判定すると、対応するEAPレスポンスを作成し、RAM23に一時的に格納し、前記送信手段に引き渡す。CPU21はEAPサクセスとEAP OL Keyも受信し、それらを受信するとEAP−TLSの認証でクライアント20がRADIUSサーバ10に認証されたと判定する。その後、クライアント20はアクセスポイント70を介してLAN40及びこのLAN40に接続された装置にアクセスすることができる。
【0042】
RAM23は、アクセスポイント70やクライアント20等との間で送受信されるデータなど、認証に使用される一時データ領域や認証用プログラム領域やCPU21の作業領域などを備えている。
【0043】
記憶装置25は記憶媒体25aを有し、記憶媒体25aは磁気的記憶媒体や半導体メモリ等で構成されている。この記憶媒体25aには、CPU21で実行される各種プログラムや制御データ或いは認証に使われる各種データを格納する領域を備えている。この記憶媒体25aには、EAP−TLSで使われる電子証明書等の認証データやワンタイムIDによる認証で使われる共有鍵データ等の認証データが認証を開始できるように前もって格納されている。
【0044】
入力装置22は、キーボードやポインティングデバイス等により構成され、入力信号をCPU21に伝える。
【0045】
表示装置24は、CRTやLCD等により構成され、CPU21から送られるデータを表示する。
【0046】
無線LAN通信装置26は、無線LANインタフェースボード等により構成され、アクセスポイント70に接続されたLAN40とアクセスポイント70を介してRADIUSサーバ10から送られたデータを受信してCPU21に送り、またCPU21より受信したデータをアクセスポイント70とアクセスポイント70に接続されたLAN40を介してRADIUSサーバ10に送信する。
【0047】
図5は、図2のワンタイムID認証サーバの概略構成を説明する図である。ワンタイムID認証サーバ30は、CPU31、入力装置32、RAM33、表示装置34、記憶装置35、記憶媒体35a、無線LAN通信装置36により構成され、バス37により接続されている。
【0048】
CPU31は、当該ワンタイムID認証サーバ30における受信手段と判定手段とを構成しており、RADIUSサーバ10から送信されるワンタイムIDをLAN通信装置36を介して受信し、RADIUSサーバ10から受信したワンタイムIDが記憶装置35に記憶されている認証データから計算されるワンタイムIDと一致するものがあるかを判定し、一致するものがあれば正当なクライアントであると認証する。正当なクライアントであると認証された場合は、EAPレスポンス認証パケット中に存在する認証用データを記憶装置35に格納し、今回サーバ認証用のワンタイムIDを生成してRAM33と記憶装置35に記憶されている記憶データに格納する。
【0049】
CPU31は、当該ワンタイムID認証サーバ30の送信手段を構成しており、前記生成されたサーバ認証用のワンタイムIDをLAN通信装置36からRADIUSサーバ10に送信する。
【0050】
RAM33は、RADIUSサーバ10との間で送受信されるデータなど、認証に使用される一時データ領域や認証用プログラム領域やCPU31の作業領域などを備えている。
【0051】
記憶装置35は記憶媒体35aを有し、記憶媒体35aは磁気的記憶媒体や半導体メモリ等で構成されている。この記憶媒体35aには、CPU31で実行される各種プログラムや制御データ或いは認証に使われる各種データを格納する領域を備えている。この記憶媒体35aには、EAP−TLSで使われる電子証明書等の認証データやワンタイムIDによる認証で使われる共有鍵データ等の認証データが認証を開始できるように前もって格納されている。
【0052】
入力装置32は、キーボードやポインティングデバイス等により構成され、入力信号をCPU31に伝える。
【0053】
表示装置34は、CRTやLCD等により構成され、CPU31から送られるデータを表示する。
【0054】
LAN通信装置36は、LANインタフェースボード等により構成され、CPU31の制御の下で、LAN40を介してRADIUSサーバ10から送られたデータを受信してCPU31に送り、またCPU31より受信したデータをLAN40を介してRADIUSサーバ10に送信する。
【0055】
認証用データ発行管理サーバ60は、ワンタイムID認証サーバ30及びRADIUSサーバ10とクライアント20間で共有されるワンタイムID生成用認証データや電子証明書などの秘密情報、クライアントID、サーバID等を発行・管理するためのサーバである。クライアント20とRADIUSサーバ10及びワンタイムID認証サーバ30には認証用データ発行管理サーバ60によって前もって発行された秘密情報やクライアントID、サーバIDが配布されており、クライアント20とRADIUSサーバ10及びワンタイムID認証サーバ30は認証処理を開始することができる。
【0056】
次に、前記構成の認証システムで認証方法の実施形態のプロセスを、図1を参照して説明する。ステップS21で、クライアント20はIEEE802.11アソシエーションをアクセスポイント70との間で確立する。ステップS22では、クライアント20はRADIUSサーバ10から認証してもらうために、EAP−TLSの認証シーケンスにしたがいEAP OL開始をアクセスポイント70に送信する。アクセスポイント70はEAPリクエスト(ID要求)をクライアント20に送信する。次に、クライアント20は、EAPレスポンス(ID通知)をアクセスポイント70に送信し、アクセスポイント70はRADIUSアクセスリクエスト(ID通知)に変換してRADIUSサーバ10に送信する。RADIUSサーバ10はRADIUSアクセスチャレンジ(TLS開始)をアクセスポイント70に送信し、アクセスポイント70はEAPリクエスト(TLS開始)に変換してクライアント20に送信し、クライアント20がEAPリクエスト(TLS開始)を受信する。ここで、EAP−TLS認証シーケンスの前半、EAPネゴシエーションが終る。
【0057】
ステップS23では、クライアント20は、TLSネゴシエーションが開始される、EAP−TLSの認証シーケンスの後半を開始する前にワンタイムIDによるクライアント20とワンタイムID認証サーバ30の相互認証を行う。クライアント20はクライアント認証用のワンタイムIDを生成し、EAPレスポンスに付加してアクセスポイント70に送信し、アクセスポイント70はRADIUSアクセスリクエスト変換してRADIUSサーバ10に送信する。RADIUSサーバ10はRADIUSアクセスリクエスト中のワンタイムIDをワンタイムID認証サーバ30に送信し前記クライアント20の正当性を判定させる。ワンタイムID認証サーバ30は、当該ワンタイムID認証サーバ30内の記憶装置35に記憶されている認証データから計算されるワンタイムIDと一致するものがあるかを判定し、一致するものがあれば正当なクライアントとして認証する。クライアントが認証された場合、ワンタイムID認証サーバ30はサーバ認証用のワンタイムIDを生成し、RADIUSサーバ10に送信する。RADIUSサーバ10は、前記サーバ認証用のワンタイムIDをRADIUSアクセスチャレンジ中に付加してアクセスポイント70に送信する。アクセスポイント70はEAPリクエストに変換してクライアント20に送信する。クライアント20はサーバ認証用のワンタイムIDを生成し、受信したEAPリクエスト中のサーバ認証用ワンタイムIDとクライアント20内の記憶装置25に記憶されている認証データから計算されるワンタイムIDと一致するものがあるかを判定し、一致するものがあれば正当なワンタイムID認証サーバとして認証する。これによりワンタイムIDによるクライアントとワンタイムID認証サーバの相互認証が完了する。ワンタイムIDの生成方法、および判定方法については上述した通りである。
【0058】
次に、ステップS24において、クライアント20はEAP−TLS認証シーケンスの後半を開始する。クライアント20はTLSネゴシエーション用のEAPレスポンスをアクセスポイント70に送信し、アクセスポイント70を介したRADIUSサーバ10とのTLSネゴシエーション完了後、RADIUSサーバ10からRADIUSアクセスアクセプトがアクセスポイント70に送信され、アクセスポイント70からのEAPサクセスとEAP OL Keyをクライアント20が受信してEAP−TLSでのクライアント20とRADIUSサーバ10の相互認証も完了する。これによりクライアント20はアクセスポイント70を介してLAN40、およびLAN40に接続された装置群にアクセスすることが可能となる。
【産業上の利用可能性】
【0059】
本発明による無線LAN認証システムでは、IEEE802.1x EAP−TLSプロトコルに準拠した無線LAN通信装置をそのまま使用することで、再利用不可能、予測不可能なワンタイムIDでの認証システムを実現し、なりすましによる不正アクセスを防止することができる。
【0060】
また、クライアントでのワンタイムID認証処理を各無線LAN通信装置のドライバ毎に実装する必要がなくなる。
【図面の簡単な説明】
【0061】
【図1】本発明の無線LAN認証システムにおいて実行される、認証シーケンスを説明する図である。
【図2】本発明の無線LAN認証システムの概略構成を示すブロック図である。
【図3】本発明の無線LAN認証システムにおいて使用される、RADIUSサーバの概略構成を示すブロック図である。
【図4】本発明の無線LAN認証システムにおいて使用される、クライアントの概略構成を示すブロック図である。
【図5】本発明の無線LAN認証システムにおいて使用される、ワンタイムID認証サーバの概略構成を示すブロック図である。
【図6】双方向ワンタイムID認証について説明するシーケンス図である。
【図7】双方向ワンタイムID認証について説明するシーケンス図である。
【図8】双方向ワンタイムID認証について説明するシーケンス図である。
【図9】従来からの無線LAN認証システムにおいて使用されている、IEEE802.1x EAP−TLSの認証シーケンスを説明する図である。
【符号の説明】
【0062】
10 RADIUSサーバ
11 CPU
12 入力装置
13 RAM
14 表示装置
15 記憶装置
15a 記憶媒体
16 LAN通信装置
20 クライアント
21 CPU
22 入力装置
23 RAM
24 表示装置
25 記憶装置
25a 記憶媒体
26 無線LAN通信装置
27 バス
30 ワンタイムID認証サーバ
31 CPU
32 入力装置
33 RAM
34 表示装置
35 記憶装置
35a 記憶媒体
36 LAN通信装置
37 バス
40 LAN
50 無線LAN
60 認証用データ発行管理サーバ
70 IEEE802.1x EAP−TLS準拠アクセスポイント
【特許請求の範囲】
【請求項1】
IEEE802.11無線LANでのIEEE802.1xEAP−TLS認証プロトコルによる認証シーケンス中のTLSネゴシエーションの前に、1回限り使用可能な識別情報であるワンタイムIDにより、認証クライアントとワンタイムID認証サーバ間の相互認証を行い、ワンタイムIDによる認証後に、IEEE802.1xEAP−TLS認証プロトコルの認証シーケンスをTLSネゴシエーションから続行してIEEE802.1xEAP−TLS認証プロトコルでのクライアントとRADIUSサーバ間の相互認証も完了させ、両方の認証が成功したときに認証クライアントとRADIUSサーバ及びワンタイム認証サーバとを交互に正当と認証することを特徴とする無線LAN認証方法。
【請求項2】
請求項1に記載の認証方法によりEAP−TLS認証とワンタイムID認証の両方を用いてクライアントとの間で認証を行うRADIUSサーバであって、
アクセスポイントを介して、前記クライアントから送られてくるRADIUSアクセスリクエストを受信する受信手段と、
EAP−TLS認証シーケンス中では、前記RADIUSアクセスリクエストの内容が正しいかを判定し、ワンタイム認証シーケンス中では前記RADIUSアクセスリクエスト中のワンタイムIDをワンタイムID認証サーバへ通信により送信し前記クライアントの正当性を判定させる判定手段と、
EAP−TLS認証シーケンス中では、前記判定手段が前記RADIUSアクセスリクエストの内容が正しいかを判定した場合に対応するRADIUSアクセスチャレンジまたはRADIUSアクセスアクセプトを生成し、ワンタイムID認証シーケンス中では前記ワンタイムID認証サーバが前記クライアントを正当と判断した場合は、ワンタイムID認証サーバから通信により受信するサーバ認証用のワンタイムIDをRADIUSアクセスチャレンジに格納し、前記クライアントに送信する送信手段とを備えることを特徴とするRADIUSサーバ。
【請求項3】
請求項2に記載のRADIUSサーバから送信されるワンタイムIDに基づいてクライアントとの間でワンタイムID認証を行うワンタイムID認証サーバであって、
ワンタイムID認証シーケンス中に前記RADIUSサーバから送信されるRADIUSアクセスリクエスト中のワンタイムIDを受信する受信手段と、
前記ワンタイムIDと記憶装置に記憶されている認証データから計算されるワンタイムIDとの比較により前記クライアントを正当性を判定する判定手段と、
前記判定手段が前記クライアントを正当と判断した場合にサーバ認証用のワンタイムIDを生成しRADIUSサーバに送信する送信手段を備えることを特徴とするワンタイムID認証サーバ。
【請求項4】
請求項1に記載の認証方法によりEAP−TLS認証とワンタイムID認証の両方を用いてRADIUSサーバとワンタイムID認証サーバとの間で認証を行うクライアントであって、
EAP−TLS認証シーケンス中では、EAP−TLSプロトコルによる認証を開始するためにEAP OL 開始をアクセスポイントに送信し、EAPリクエストに対応するEAPレスポンスをアクセスポイントを介してRADIUSアクセスリクエストとして前記RADIUSサーバに送信し、ワンタイムID認証シーケンス中では、クライアント認証用のワンタイムIDをEAPレスポンスに付加してアクセスポイントを介してRADIUSアクセスリクエストとして前記RADIUSサーバに送信する送信手段と、
EAP−TLS認証シーケンス中では、アクセスポイントから送信されるEAPリクエスト(ID要求)やアクセスポイントを介して前記RADIUSサーバから送信されるEAPリクエスト(TLS開始)を受信し、ワンタイムID認証シーケンス中では前記ワンタイムID認証サーバから前記RADIUSサーバとアクセスポイントを介して送信されたサーバ認証用ワンタイムIDを含んだEAPリクエストを受信し、またEAP−TLS認証シーケンス中の前記以外のEAPリクエストを受信する受信手段と、
EAP−TLS認証シーケンス中では、前記EAPリクエスト(ID要求)を判定するとEAPレスポンス(ID通知)を生成し前記送信手段に引き渡し、EAPリクエスト(TLS開始)を判定すると、記憶装置に格納されているワンタイムID認証用の認証データからクライアント認証用のワンタイムIDを生成し前記送信手段に引き渡し、ワンタイムID認証シーケンス中では前記サーバ認証用ワンタイムIDを付加されたEAPリクエストを判定すると、記憶装置に格納されている認証データからサーバ認証用データを計算して受信したサーバ認証用ワンタイムIDと比較し、一致すればワンタイムID認証サーバを正当と判定し、ワンタイムID認証サーバが正当と判定されると、対応するEAPレスポンスを生成し前記送信手段に引き渡し、またEAP−TLS認証シーケンス中で前記以外のEAPリクエストを判定すると対応するEAPレスポンスを生成し前記送信手段に引き渡し、EAPサクセスとEAP OL Keyを判定するとEAP−TLSの認証でクライアントが前記RADIUSサーバに認証されたと判定する判定手段とを備えたことを特徴とするクライアント。
【請求項5】
請求項2に記載のRADIUSサーバと請求項3に記載のワンタイムID認証サーバと請求項4に記載のクライアントとを備えていることを特徴とする認証システム。
【請求項6】
請求項1に記載のEAP−TLS認証とワンタイムID認証に基づいてクライアントとの間で認証を行うRADIUSサーバに実行させるプログラムであって、
アクセスポイントを介して、前記クライアントから送られてくるRADIUSアクセスリクエストを受信する処理と、
EAP−TLS認証シーケンス中では、前記RADIUSアクセスリクエストの内容が正しいかを判定し、ワンタイムID認証シーケンス中では前記RADIUSアクセスリクエスト中のワンタイムIDをワンタイムID認証サーバへ通信により送信し前記クライアントの正当性を判定させる処理と、
EAP−TLS認証シーケンス中では、前記判定手段が前記RADIUSアクセスリクエストの内容が正しいかを判定した場合に対応するRADIUSアクセスチャレンジまたはRADIUSアクセスアクセプトを生成し、ワンタイムID認証シーケンス中では前記ワンタイムID認証サーバが前記クライアントを正当と判断した場合は、ワンタイムID認証サーバから通信により受信するサーバ認証用のワンタイムIDをRADIUSアクセスチャレンジに格納し、前記クライアントに送信する処理とを前記RADIUSサーバに実行させることを特徴とするプログラム。
【請求項7】
請求項3に記載のRADIUSサーバから送信されるワンタイムIDに基づいてクライアントとの間でワンタイムID認証を行うワンタイムID認証サーバに実行させるプログラムであって、
ワンタイムID認証シーケンス中に前記RADIUSサーバから送信されるRADIUSアクセスリクエスト中のワンタイムIDを受信する受信処理と、
前記ワンタイムIDと記憶装置に記憶されている認証データから計算されるワンタイムIDとの比較により前記クライアントの正当性を判定する判定処理と、
前記クライアントを正当と判断した場合にサーバ認証用のワンタイムIDを生成しRADIUSサーバに送信する送信処理とを前記ワンタイムID認証サーバに実行させるプログラム。
【請求項8】
請求項1に記載のEAP−TLS認証とワンタイムID認証に基づいてRADIUSサーバとの間で認証を行うクライアントに実行させるプログラムであって、
EAP−TLS認証シーケンス中では、EAP−TLSプロトコルによる認証を開始するためにEAP OL 開始をアクセスポイントに送信し、EAPリクエストに対応するEAPレスポンスをアクセスポイントを介してRADIUSアクセスリクエストとして前記RADIUSサーバに送信し、ワンタイムID認証シーケンス中では、クライアント認証用のワンタイムIDをEAPレスポンスに付加してアクセスポイントを介してRADIUSアクセスリクエストとして前記RADIUSサーバに送信する処理と、
EAP−TLS認証シーケンス中では、アクセスポイントから送信されるEAPリクエスト(ID要求)やアクセスポイントを介して前記RADIUSサーバから送信されるEAPリクエスト(TLS開始)を受信し、ワンタイムID認証シーケンス中では前記RADIUSサーバからアクセスポイントを介して送信されたサーバ認証用ワンタイムIDを含んだEAPリクエストを受信し、またEAP−TLS認証シーケンス中の前記以外のEAPリクエストを受信する処理と、
EAP−TLS認証シーケンス中では、前記EAPリクエスト(ID要求)を判定するとEAPレスポンス(ID通知)を生成し前記送信手段に引き渡し、EAPリクエスト(TLS開始)を判定すると、記憶装置に格納されているワンタイムID認証用の認証データからクライアント認証用のワンタイムIDを生成し前記送信手段に引き渡し、ワンタイムID認証シーケンス中では前記ワンタイムID認証サーバ認証用ワンタイムIDを付加されたEAPリクエストを判定すると、記憶装置に格納されている認証データからサーバ認証用データを計算して受信したサーバ認証用ワンタイムIDと比較し、一致すればワンタイムID認証サーバを正当と判定し、ワンタイムID認証サーバが正当と判定されると、対応するEAPレスポンスを生成し前記送信手段に引き渡し、またEAP−TLS認証シーケンス中で前記以外のEAPリクエストを判定すると対応するEAPレスポンスを生成し前記送信手段に引き渡し、EAPサクセスとEAP OL Keyを判定するとEAP−TLSの認証でクライアントが前記RADIUSサーバに認証されたと判定する処理とを前記クライアントに実行させることを特徴とするプログラム。
【請求項9】
請求項8に記載のEAP−TLS認証とワンタイムID認証に基づいてRADIUSサーバとの間で認証を行うクライアントに実行させるプログラムであって、
無線LAN装置毎のドライバに対して請求項8に記載の処理のワンタイムID認証を実装するのではなく、MS ウィンドウズ(登録商標)標準DLL、rastls.dll中の必要な一部のみだけを実装することにより、無線LAN装置ごとにワンタイムID認証を実装する必要をなくしたことを特徴とするプログラム。
【請求項1】
IEEE802.11無線LANでのIEEE802.1xEAP−TLS認証プロトコルによる認証シーケンス中のTLSネゴシエーションの前に、1回限り使用可能な識別情報であるワンタイムIDにより、認証クライアントとワンタイムID認証サーバ間の相互認証を行い、ワンタイムIDによる認証後に、IEEE802.1xEAP−TLS認証プロトコルの認証シーケンスをTLSネゴシエーションから続行してIEEE802.1xEAP−TLS認証プロトコルでのクライアントとRADIUSサーバ間の相互認証も完了させ、両方の認証が成功したときに認証クライアントとRADIUSサーバ及びワンタイム認証サーバとを交互に正当と認証することを特徴とする無線LAN認証方法。
【請求項2】
請求項1に記載の認証方法によりEAP−TLS認証とワンタイムID認証の両方を用いてクライアントとの間で認証を行うRADIUSサーバであって、
アクセスポイントを介して、前記クライアントから送られてくるRADIUSアクセスリクエストを受信する受信手段と、
EAP−TLS認証シーケンス中では、前記RADIUSアクセスリクエストの内容が正しいかを判定し、ワンタイム認証シーケンス中では前記RADIUSアクセスリクエスト中のワンタイムIDをワンタイムID認証サーバへ通信により送信し前記クライアントの正当性を判定させる判定手段と、
EAP−TLS認証シーケンス中では、前記判定手段が前記RADIUSアクセスリクエストの内容が正しいかを判定した場合に対応するRADIUSアクセスチャレンジまたはRADIUSアクセスアクセプトを生成し、ワンタイムID認証シーケンス中では前記ワンタイムID認証サーバが前記クライアントを正当と判断した場合は、ワンタイムID認証サーバから通信により受信するサーバ認証用のワンタイムIDをRADIUSアクセスチャレンジに格納し、前記クライアントに送信する送信手段とを備えることを特徴とするRADIUSサーバ。
【請求項3】
請求項2に記載のRADIUSサーバから送信されるワンタイムIDに基づいてクライアントとの間でワンタイムID認証を行うワンタイムID認証サーバであって、
ワンタイムID認証シーケンス中に前記RADIUSサーバから送信されるRADIUSアクセスリクエスト中のワンタイムIDを受信する受信手段と、
前記ワンタイムIDと記憶装置に記憶されている認証データから計算されるワンタイムIDとの比較により前記クライアントを正当性を判定する判定手段と、
前記判定手段が前記クライアントを正当と判断した場合にサーバ認証用のワンタイムIDを生成しRADIUSサーバに送信する送信手段を備えることを特徴とするワンタイムID認証サーバ。
【請求項4】
請求項1に記載の認証方法によりEAP−TLS認証とワンタイムID認証の両方を用いてRADIUSサーバとワンタイムID認証サーバとの間で認証を行うクライアントであって、
EAP−TLS認証シーケンス中では、EAP−TLSプロトコルによる認証を開始するためにEAP OL 開始をアクセスポイントに送信し、EAPリクエストに対応するEAPレスポンスをアクセスポイントを介してRADIUSアクセスリクエストとして前記RADIUSサーバに送信し、ワンタイムID認証シーケンス中では、クライアント認証用のワンタイムIDをEAPレスポンスに付加してアクセスポイントを介してRADIUSアクセスリクエストとして前記RADIUSサーバに送信する送信手段と、
EAP−TLS認証シーケンス中では、アクセスポイントから送信されるEAPリクエスト(ID要求)やアクセスポイントを介して前記RADIUSサーバから送信されるEAPリクエスト(TLS開始)を受信し、ワンタイムID認証シーケンス中では前記ワンタイムID認証サーバから前記RADIUSサーバとアクセスポイントを介して送信されたサーバ認証用ワンタイムIDを含んだEAPリクエストを受信し、またEAP−TLS認証シーケンス中の前記以外のEAPリクエストを受信する受信手段と、
EAP−TLS認証シーケンス中では、前記EAPリクエスト(ID要求)を判定するとEAPレスポンス(ID通知)を生成し前記送信手段に引き渡し、EAPリクエスト(TLS開始)を判定すると、記憶装置に格納されているワンタイムID認証用の認証データからクライアント認証用のワンタイムIDを生成し前記送信手段に引き渡し、ワンタイムID認証シーケンス中では前記サーバ認証用ワンタイムIDを付加されたEAPリクエストを判定すると、記憶装置に格納されている認証データからサーバ認証用データを計算して受信したサーバ認証用ワンタイムIDと比較し、一致すればワンタイムID認証サーバを正当と判定し、ワンタイムID認証サーバが正当と判定されると、対応するEAPレスポンスを生成し前記送信手段に引き渡し、またEAP−TLS認証シーケンス中で前記以外のEAPリクエストを判定すると対応するEAPレスポンスを生成し前記送信手段に引き渡し、EAPサクセスとEAP OL Keyを判定するとEAP−TLSの認証でクライアントが前記RADIUSサーバに認証されたと判定する判定手段とを備えたことを特徴とするクライアント。
【請求項5】
請求項2に記載のRADIUSサーバと請求項3に記載のワンタイムID認証サーバと請求項4に記載のクライアントとを備えていることを特徴とする認証システム。
【請求項6】
請求項1に記載のEAP−TLS認証とワンタイムID認証に基づいてクライアントとの間で認証を行うRADIUSサーバに実行させるプログラムであって、
アクセスポイントを介して、前記クライアントから送られてくるRADIUSアクセスリクエストを受信する処理と、
EAP−TLS認証シーケンス中では、前記RADIUSアクセスリクエストの内容が正しいかを判定し、ワンタイムID認証シーケンス中では前記RADIUSアクセスリクエスト中のワンタイムIDをワンタイムID認証サーバへ通信により送信し前記クライアントの正当性を判定させる処理と、
EAP−TLS認証シーケンス中では、前記判定手段が前記RADIUSアクセスリクエストの内容が正しいかを判定した場合に対応するRADIUSアクセスチャレンジまたはRADIUSアクセスアクセプトを生成し、ワンタイムID認証シーケンス中では前記ワンタイムID認証サーバが前記クライアントを正当と判断した場合は、ワンタイムID認証サーバから通信により受信するサーバ認証用のワンタイムIDをRADIUSアクセスチャレンジに格納し、前記クライアントに送信する処理とを前記RADIUSサーバに実行させることを特徴とするプログラム。
【請求項7】
請求項3に記載のRADIUSサーバから送信されるワンタイムIDに基づいてクライアントとの間でワンタイムID認証を行うワンタイムID認証サーバに実行させるプログラムであって、
ワンタイムID認証シーケンス中に前記RADIUSサーバから送信されるRADIUSアクセスリクエスト中のワンタイムIDを受信する受信処理と、
前記ワンタイムIDと記憶装置に記憶されている認証データから計算されるワンタイムIDとの比較により前記クライアントの正当性を判定する判定処理と、
前記クライアントを正当と判断した場合にサーバ認証用のワンタイムIDを生成しRADIUSサーバに送信する送信処理とを前記ワンタイムID認証サーバに実行させるプログラム。
【請求項8】
請求項1に記載のEAP−TLS認証とワンタイムID認証に基づいてRADIUSサーバとの間で認証を行うクライアントに実行させるプログラムであって、
EAP−TLS認証シーケンス中では、EAP−TLSプロトコルによる認証を開始するためにEAP OL 開始をアクセスポイントに送信し、EAPリクエストに対応するEAPレスポンスをアクセスポイントを介してRADIUSアクセスリクエストとして前記RADIUSサーバに送信し、ワンタイムID認証シーケンス中では、クライアント認証用のワンタイムIDをEAPレスポンスに付加してアクセスポイントを介してRADIUSアクセスリクエストとして前記RADIUSサーバに送信する処理と、
EAP−TLS認証シーケンス中では、アクセスポイントから送信されるEAPリクエスト(ID要求)やアクセスポイントを介して前記RADIUSサーバから送信されるEAPリクエスト(TLS開始)を受信し、ワンタイムID認証シーケンス中では前記RADIUSサーバからアクセスポイントを介して送信されたサーバ認証用ワンタイムIDを含んだEAPリクエストを受信し、またEAP−TLS認証シーケンス中の前記以外のEAPリクエストを受信する処理と、
EAP−TLS認証シーケンス中では、前記EAPリクエスト(ID要求)を判定するとEAPレスポンス(ID通知)を生成し前記送信手段に引き渡し、EAPリクエスト(TLS開始)を判定すると、記憶装置に格納されているワンタイムID認証用の認証データからクライアント認証用のワンタイムIDを生成し前記送信手段に引き渡し、ワンタイムID認証シーケンス中では前記ワンタイムID認証サーバ認証用ワンタイムIDを付加されたEAPリクエストを判定すると、記憶装置に格納されている認証データからサーバ認証用データを計算して受信したサーバ認証用ワンタイムIDと比較し、一致すればワンタイムID認証サーバを正当と判定し、ワンタイムID認証サーバが正当と判定されると、対応するEAPレスポンスを生成し前記送信手段に引き渡し、またEAP−TLS認証シーケンス中で前記以外のEAPリクエストを判定すると対応するEAPレスポンスを生成し前記送信手段に引き渡し、EAPサクセスとEAP OL Keyを判定するとEAP−TLSの認証でクライアントが前記RADIUSサーバに認証されたと判定する処理とを前記クライアントに実行させることを特徴とするプログラム。
【請求項9】
請求項8に記載のEAP−TLS認証とワンタイムID認証に基づいてRADIUSサーバとの間で認証を行うクライアントに実行させるプログラムであって、
無線LAN装置毎のドライバに対して請求項8に記載の処理のワンタイムID認証を実装するのではなく、MS ウィンドウズ(登録商標)標準DLL、rastls.dll中の必要な一部のみだけを実装することにより、無線LAN装置ごとにワンタイムID認証を実装する必要をなくしたことを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2006−40225(P2006−40225A)
【公開日】平成18年2月9日(2006.2.9)
【国際特許分類】
【出願番号】特願2004−223471(P2004−223471)
【出願日】平成16年7月30日(2004.7.30)
【出願人】(500196087)株式会社セキュアード・コミュニケーションズ (7)
【Fターム(参考)】
【公開日】平成18年2月9日(2006.2.9)
【国際特許分類】
【出願日】平成16年7月30日(2004.7.30)
【出願人】(500196087)株式会社セキュアード・コミュニケーションズ (7)
【Fターム(参考)】
[ Back to top ]