認証方法、通信局、認証局及び端末
【課題】 複数の機器を連携して認証することのできる認証技術を提供する。
【解決手段】 第1の通信ネットワークを介して認証局1と接続すると共に、第2の通信ネットワークを介して他の通信局4と接続する通信局3であって、前記第1の通信ネットワークを介した前記認証局との間での所定の認証手順に従った情報授受によって自局の認証を行う認証処理手段と、自局が前記認証局によって認証されたときは、前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信する認証開始処理手段とを備えた通信局である。
【解決手段】 第1の通信ネットワークを介して認証局1と接続すると共に、第2の通信ネットワークを介して他の通信局4と接続する通信局3であって、前記第1の通信ネットワークを介した前記認証局との間での所定の認証手順に従った情報授受によって自局の認証を行う認証処理手段と、自局が前記認証局によって認証されたときは、前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信する認証開始処理手段とを備えた通信局である。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、複数の機器を連携して認証することのできる認証方法、通信局、認証局及び端末に関する。
【背景技術】
【0002】
GSM(Global System for Mobile Communications)は、デジタル携帯電話で使用されている無線通信方式の一つである。このGSMネットワーク上でユーザの認証を行うとともに、効果的な課金管理を行う機能を有する手段として、SIM(Subscriber Identity Module)が知られている。このSIMの認証機能を無線LANサービスにも利用するための技術として、EAP−SIM(Extensible Authentication Protocol Method for GSM Subscriber Identity Module)がある。なお、EAPはインターネットで使用されるPPP(Point-to-Point Protocol)の仕組みを拡張した無線LANを対象としたプロトコルである。
【0003】
特許文献1には、EAP−SIMを家庭機器などの情報機器の認証に使うことが提案されている。具体的には、複数の家電機器のうち、認証されていない家電機器に対して情報を配信しない仕組みを提案している。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−355396号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、EAP−SIMでは、情報機器に対応するサプリカントと認証局に対応するオーセンティケータとの間でのプロトコルが定義されているが、これはサプリカントとオーセンティケータとがそれぞれ1台の構成に対応するプロトコルである。
【0006】
従って、サプリカントが複数台存在した場合には、オーセンティケータはそれぞれのサプリカントに対して上述の認証動作を実行する必要があるが、それでは複数のサプリカントがそれぞれ独立のタイミングでオーセンティケータと認証動作を実施することになり、例えば信号の競合、重複した動作の繰返しなどにより実効性のある認証動作を担保することは困難である。
【0007】
しかしながら、特許文献1には、EAP−SIMを用いてどのような手順で複数の情報機器を連携して認証するかについての具体的な記載はされていない。
【0008】
本発明は、かかる事情に鑑みてなされたものであって、複数の機器を連携して認証することのできる認証方法、通信局、認証局及び端末を提供することを目的とする。
【課題を解決するための手段】
【0009】
上記課題を解決するための本発明は、第1の通信ネットワークを介して認証局と接続すると共に、第2の通信ネットワークを介して他の通信局と接続する通信局であって、前記第1の通信ネットワークを介した前記認証局との間での所定の認証手順に従った情報授受によって自局の認証を行う認証処理手段と、自局が前記認証局によって認証されたときは、前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信する認証開始処理手段とを備えた通信局である。
【0010】
また本発明は、第2のネットワークを介して他の通信局と接続する通信局と、第1の通信ネットワークを介して接続する認証局であって、前記第1の通信ネットワークを介した前記通信局との間での所定の認証手順に従った情報授受によって前記通信局の認証を行う第1の認証処理手段と、前記通信局を認証した後に、前記通信局より認証開始信号を受信したときは、前記他の通信局の認証を開始するか否かを判断する判断手段と、前記他の通信局の認証を開始すると判断したときは、前記他の通信局に対する認証要求信号を前記通信局に送信する認証要求手段と、以降、前記通信局との間で前記所定の認証手順に従った情報授受を行って前記他の通信局を認証する第2の認証処理手段とを備えた認証局である。
【0011】
また本発明は、第1の通信ネットワークを介して認証局と接続すると共に、第3の通信ネットワークを介して他の通信局と接続する通信局と、第2の通信ネットワークを介して接続する、前記認証局と前記通信局との間の授受情報を中継する端末であって、前記通信局は、前記第1の通信ネットワークを介した前記認証局との間での所定の認証手順に従った情報授受によって自局の認証を行う通信局認証処理手段と、自局が前記認証局によって認証されたときは、前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信する認証開始処理手段と、前記認証局より認証要求信号を受信したときは、自局に対する認証要求か否かを判断し、自局に対する認証要求でないと判断したときは、当該認証要求信号を前記第2の通信ネットワークを介して他の通信局に転送する認証要求転送手段と、以降、前記認証局と前記他の通信局との間での前記所定の認証手順に従った授受情報を中継する情報中継手段とを備え、前記認証局は、前記第1の通信ネットワークを介した前記通信局との間での所定の認証手順に従った情報授受によって前記通信局の認証を行う第1の認証局認証処理手段と、前記通信局を認証した後に、前記通信局より認証開始信号を受信したときは、前記他の通信局の認証を開始するか否かを判断する判断手段と、前記他の通信局の認証を開始すると判断したときは、前記他の通信局に対する認証要求信号を前記通信局に送信する認証要求手段と、以降、前記通信局との間で前記所定の認証手順に従った情報授受を行って前記他の通信局を認証する第2の認証局認証処理手段とを備えた端末である。
【0012】
また本発明は、通信局と、当該通信局と第1の通信ネットワークを介して接続する認証局と、当該通信局と第2の通信ネットワークを介して接続する他の通信局とを備えた認証システムの認証方法において、前記通信局は、前記第1の通信ネットワークを介した前記認証局との間での所定の認証手順に従った情報授受によって自局の認証を実行し、自局が前記認証局によって認証されたときは、前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信し、前記認証局より認証要求信号を受信したときは、自局に対する認証要求か否かを判断し、自局に対する認証要求でないと判断したときは、当該認証要求信号を前記第2の通信ネットワークを介して他の通信局に転送し、以降、前記認証局と前記他の通信局との間での前記所定の認証手順に従った授受情報を中継し、前記認証局は、前記第1の通信ネットワークを介した前記通信局との間での所定の認証手順に従った情報授受によって前記通信局の認証を実行し、前記通信局を認証した後に、前記通信局より認証開始信号を受信したときは、前記他の通信局の認証を開始するか否かを判断し、前記他の通信局の認証を開始すると判断したときは、前記他の通信局に対する認証要求信号を前記通信局に送信し、以降、前記通信局との間で前記所定の認証手順に従った情報授受を行って前記他の通信局を認証する認証方法である。
【発明の効果】
【0013】
この発明によれば、複数の機器を連携して認証することができる。
【図面の簡単な説明】
【0014】
【図1】2台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャート。
【図2】3台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャート。
【図3】3台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャート。
【図4】3台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャート。
【図5】本実施の形態の認証方式を電気自動車への給電サービスに適用する例を説明する図。
【図6】2台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャート。
【図7】2台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャート。
【発明を実施するための形態】
【0015】
[第1の実施の形態]
以下、図面を参照しながら本実施の形態について詳細に説明する。
【0016】
図1は、2台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャートである。
図1に示す手順では、認証局(authenticator)1、モバイル端末2、第1のサプリカント(master supplicant)3、第2のサプリカント(slave supplicant)4が信号授受を実行する。
【0017】
認証局1とモバイル端末2とは、GSM(例えば、セルラー回線)を介して通信可能である。但し、認証局1とモバイル端末2との間の通信方式はGSMに限られない。また、モバイル端末2は、セルラー回線とは異なる通信機能、例えば近距離の無線通信機能、無線LAN(WLAN)機能などを有しており、アクセスポイント(AP)としても機能することができる。
【0018】
第1および第2のサプリカント3,4は、SIM機能と無線LAN子機の機能を有している。第1のサプリカント3と第2のサプリカント4は、無線LANを介して相互に通信が可能である。但し、第1のサプリカント3と第2のサプリカント4との通信方式は、無線LANに限定されず、なんらかの通信方式で接続できれば良い。従って、第1および第2のサプリカント3,4は、セキュア機能を備えた通信機器として捉えることができる。
【0019】
次に、認証のための信号授受手順について説明する。なお、信号授受手順は、IEEE802.1Xの仕様に従い、「サプリカント」と「オーセンティケータ」の2つの役割に対応して説明する。
【0020】
モバイル端末2が認証局1と通信可能な状態において、モバイル端末2と第1のサプリカント3とが無線LANにより接続した場合には、ステップS01において、第1のサプリカント3は、EAP-SIMの認証手順により、モバイル端末2を介して、認証局1に対してEAPOL-Start信号を送信する。
【0021】
なお、モバイル端末2は、通信方式の異なる第1のサプリカント3と認証局1との間で信号を受け渡す機能を担っている。従って、これ以降の手順においては、モバイル端末2の動作には言及せず、直接に認証局1と第1および第2のサプリカント3,4とが信号授受を行うものとして説明する。
【0022】
ステップS02において、EAPOL-Start信号を受信した認証局1は、第1のサプリカント3に対してEAP-Request/Identity信号を送信し、それを受信した第1のサプリカント3はEAP-Response/Identity信号を送信する。
ステップS03において、EAP-Response/Identity信号を受信した認証局1は、認証処理を開始して、EAP-Request/SIM/Start信号を第1のサプリカント3に送信する。そして、第1のサプリカント3よりEAP-Request/SIM/Start信号の応答信号であるEAP-Response/SIM/Start信号を受信する。
【0023】
ステップS04において、認証局1は、第1のサプリカント3が正しい機器であるかどうかの認証を行うためにEAP-Request/SIM/Challenge信号をサプリカント3に送信する。第1のサプリカント3は、その応答信号であるEAP-Response/SIM/Challengeを認証局1に送信する。
認証局1は、応答信号を解析することにより、第1のサプリカント3が正しい機器であるかどうかを判断することができる。例えば、第1のサプリカント3の応答信号に含まれる暗号コードを解析することで正しい機器かどうかを判断する。
【0024】
ステップS05において、認証局1は、正しく認証できた場合には、EAP-Success信号を送信する。これを受信した第1のサプリカント3は、自局が正しく認証されたことを認識する。
続いて、第2のサプリカント4の認証手順について説明する。
第1のサプリカント3は、まだ第2のサプリカント4についての認証がされていないと判断したときは、ステップS06において、自局の認証完了後の所定時間内に、再度認証局1に認証処理の開始を要求するためのEAPOL-Start信号を送信する。
このEAPOL-Start信号には、第2のサプリカントの代理で送信していることを示す識別子を付加しても良いし、第2のサプリカントの識別子IDを把握している場合には、第2のサプリカントの識別子IDを付加して送信しても良い。
【0025】
これを受信した認証局1は、以下の判断をする。
第1のサプリカント3の認証処理後の所定時間内に、認証済みの同一のサプリカントからEAPOL-Startを受信したことから、このEAPOL-Startは、第2のサプリカントの代理で送信されたものであると判断する。
あるいは、EAPOL-Start信号に、上述の代理送信であることを示す識別子、もしくは、第1のサプリカント3とは異なる識別子ID(第2のサプリカント4の識別子ID)が付加されている場合は、その情報を利用して、第2のサプリカント4の代理で送信されたものであると判断する。
【0026】
そして、認証局1は、上記のいずれかの方法で、第2のサプリカント4の代理で送信されたEAPOL-Start信号であると判断した場合には、ステップS07において、特定の識別子を付加したEAP-Request/Identity信号を送信する。
【0027】
特定の識別子は、ある特定のビットをセットすることにより示しても良いし、送信するEAP-Request/Identity信号の宛先アドレスをマルチキャストアドレスやブロードキャストアドレスとすることで、特定の識別子とすることもできる。
また、受信したEAPOL-Start信号に、第2のサプリカント4の識別子IDが付加されていた場合には、宛先アドレスを第2のサプリカント4の識別子IDとしたEAP-Request/Identity信号を送信しても良い。
【0028】
第1のサプリカント3は、認証局1が送信したEAP-Request/Identity信号を受信する。第1のサプリカント3は、少なくとも次のいずれかに該当する場合には、その信号が自局宛てでないと判断する。
(1)特定の識別子が付加されていたこと、(2)宛先アドレスが自局宛てでないこと、(3)自局の認証が終えた後に、EAPOL-Start信号を代理で送信していたことを保持しておき、所定時間内にEAP-Request/Identity信号を受信したこと。
【0029】
そして、第1のサプリカント3は、そのEAP-Request/Identity信号を第2のサプリカント4に転送する。この信号を受信した第2のサプリカント4は、認証局1に対してEAP-Response/Identity信号を送信する。
【0030】
ステップS08〜S09において、上述と同様にEAP-Request・Response/SIM/Start処理、EAP-Request・Response/SIM/Challenge処理を通じて、認証局1は第2のサプリカント4の認証処理を行う。そして、ステップS10において、正しく認証した場合には、認証局1は、第1のサプリカント3に対してEAP-Successを送信し、第2のサプリカント4の認証完了を通知する。第1のサプリカント3は、そのEAP-Success信号を第2のサプリカント4に転送する。
【0031】
ステップS11において、認証局1は、EAPOL-Start信号を代理で送信した第1のサプリカント3に対してEAP-Successを送信し、他のサプリカントの認証完了を通知する。例えば、SuccessしたサプリカントのIDを付加することで第1のサプリカント3に知らせる。これによって、第1のサプリカント3は、認証されたサプリカントを把握し、そのサプリカントを認証された正しい機器であると判断することができる。
【0032】
また、認証局1は、第1のサプリカント3に対して、認証局1と第2のサプリカント4との間での暗号化通信用の暗号鍵を通知し、第2のサプリカント4に対して、認証局1と第1のサプリカント3との間での暗号化通信用の暗号鍵を通知することもできる。これにより、第1のサプリカント3と第2のサプリカント4との間で、暗号化通信をすることも可能となる。
【0033】
[第1の実施の形態−バリエーション1]
図2は、3台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャートである。なお、第1の実施の形態と同一の部位には同一の符号を付してその詳細の説明は省略する。
【0034】
図2に示す手順では、認証局(authenticator)1、モバイル端末2、第1のサプリカント(master supplicant)3、第2のサプリカント(slave supplicant)4、第3のサプリカント(slave supplicant)5が信号授受を実行する。そして、第1のサプリカント3は、第2及び第3のサプリカント4,5と直接通信することが可能である。
【0035】
第1のサプリカント3は、認証局1との間で自身の認証動作を行う。この手順は、図1に示す手順のステップS01〜S04と同じであるため、その説明は省略する。
【0036】
ステップS21において、認証局1は、正しく認証できた場合には、EAP-Success信号を送信する。これを受信した第1のサプリカント3は、自局が正しく認証されたことを認識する。
続いて、以下に示す第2のサプリカント4の認証手順を実行する。
第1のサプリカント3は、まだ第2のサプリカント4についての認証がされていないと判断したときは、ステップS22において、自局の認証完了後の所定時間内に、再度認証局1に認証処理の開始を要求するためのEAPOL-Start信号を送信する。
【0037】
これを受信した認証局1は、第2のサプリカント4の代理で送信されたEAPOL-Start信号であると判断した場合には、ステップS23において、EAP-Request/Identity信号を送信する。第1のサプリカント3は、認証局1が送信したEAP-Request/Identity信号を受信する。第1のサプリカント3は、そのEAP-Request/Identity信号を第2のサプリカント4に転送する。
【0038】
ステップS24において、この信号を受信した第2のサプリカント4は、第1のサプリカント3に対してEAP-Response/Identity信号を送信する。第1のサプリカント3は、受信したEAP-Response/Identity信号を認証局1に転送する。続いて、EAP-Request・Response/SIM/Start処理、EAP-Request・Response/SIM/Challenge処理を通じて、認証局1は第2のサプリカント4の認証処理を行う。この手順は上述と同様であるためその説明は省略する。
【0039】
ステップS25において、正しく認証した場合には、認証局1は、第2のサプリカント4に対してEAP-Successを送信する。そして、ステップS26において、認証局1は、EAPOL-Start信号を代理で送信した第1のサプリカント3に対してEAP-Successを送信し、第2のサプリカント4の認証完了を通知する。
【0040】
続いて、第3のサプリカント5の認証手順を説明する。
第1のサプリカント3は、まだ第3のサプリカント5についての認証がされていないと判断したときは、ステップS27において、第2のサプリカント4の認証完了後の所定時間内に、再度認証局1に認証処理の開始を要求するためのEAPOL-Start信号を送信する。
【0041】
これを受信した認証局1は、第3のサプリカント5の代理で送信されたEAPOL-Start信号であると判断した場合には、ステップS28において、EAP-Request/Identity信号を送信する。第1のサプリカント3は、認証局1が送信したEAP-Request/Identity信号を受信する。第1のサプリカント3は、そのEAP-Request/Identity信号を第3のサプリカント5に転送する。
【0042】
ステップS29において、この信号を受信した第3のサプリカント5は、第1のサプリカント3に対してEAP-Response/Identity信号を送信する。第1のサプリカント3は、認証局1に対して受信したEAP-Response/Identity信号を転送する。続いて、EAP-Request・Response/SIM/Start処理、EAP-Request・Response/SIM/Challenge処理を通じて、認証局1は第3のサプリカント5の認証処理を行う。この手順は上述と同様であるためその説明は省略する。
【0043】
ステップS30において、正しく認証した場合には、認証局1は、第3のサプリカント5に対してEAP-Successを送信する。そして、ステップS31において、認証局1は、EAPOL-Start信号を代理で送信した第1のサプリカント3に対してEAP-Successを送信し、第3のサプリカント5の認証完了を通知する。
【0044】
[第1の実施の形態−バリエーション2]
図3は、3台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャートである。なお、第1の実施の形態と同一の部位には同一の符号を付してその詳細の説明は省略する。
【0045】
図3に示す手順では、認証局(authenticator)1、モバイル端末2、第1のサプリカント(master supplicant)3、第2のサプリカント(slave supplicant)4、第3のサプリカント(slave supplicant)5が信号授受を実行する。そして、第1のサプリカント3は、第2及び第3のサプリカント4,5とマルチホップにより通信することが可能である。
【0046】
ステップS35〜S40に示す第1及び第2のサプリカント3、4の認証手順は、図2に示すステップS21〜S26の処理と同様であるため、その説明は省略する。
【0047】
続いて、第3のサプリカント5の認証手順を実行する。第1のサプリカント3は、まだ第3のサプリカント5についての認証がされていないと判断したときは、ステップS41において、第2のサプリカント4の認証完了後の所定時間内に、再度認証局1に認証処理の開始を要求するためのEAPOL-Start信号を送信する。
【0048】
これを受信した認証局1は、第3のサプリカント5の代理で送信されたEAPOL-Start信号であると判断した場合には、ステップS42において、EAP-Request/Identity信号を送信する。第1のサプリカント3は、認証局1が送信したEAP-Request/Identity信号を受信する。第1のサプリカント3は、そのEAP-Request/Identity信号を第2のサプリカント4に転送する。第2のサプリカント4は、第1のサプリカント3が送信したEAP-Request/Identity信号を受信する。第2のサプリカント4は、そのEAP-Request/Identity信号を第3のサプリカント5に転送する。
【0049】
ステップS43において、この信号を受信した第3のサプリカント5は、第2のサプリカント4に対してEAP-Response/Identity信号を送信する。この信号を受信した第2のサプリカント4は、第1のサプリカント3に対してEAP-Response/Identity信号を送信する。第1のサプリカント3は、認証局1に対して受信したEAP-Response/Identity信号を転送する。
【0050】
以下、第1のサプリカント3は、第2のサプリカント4を介して第3のサプリカント5とマルチホップ方式で通信を行って、EAP-Request・Response/SIM/Start処理、EAP-Request・Response/SIM/Challenge処理を実行する。なお、この手順は上述と同様であるためその説明は省略する。
【0051】
ステップS44において、正しく認証した場合には、認証局1は、第1のサプリカント3に対してEAP-Successを送信する。第1のサプリカント3は、第2のサプリカント4に対してEAP-Successを送信する。第2のサプリカント4は、第3のサプリカント5に対してEAP-Successを送信する。そして、ステップS45において、認証局1は、EAPOL-Start信号を代理で送信した第1のサプリカント3に対してEAP-Successを送信し、第3のサプリカント5の認証完了を通知する。
【0052】
[第1の実施の形態−バリエーション3]
図4は、3台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャートである。なお、第1の実施の形態と同一の部位には同一の符号を付してその詳細の説明は省略する。
【0053】
図4に示す手順では、認証局(authenticator)1、モバイル端末2、第1のサプリカント(master supplicant)3、第2のサプリカント(slave supplicant)4、第3のサプリカント(slave supplicant)5が信号授受を実行する。そして、第1のサプリカント3は、第2及び第3のサプリカント4,5とマルチホップにより通信することが可能である。
【0054】
ステップS51〜S56に示す第1及び第2のサプリカント3、4の認証手順は、図3に示すステップS35〜S40の処理と同様であるため、その説明は省略する。
【0055】
続いて、第3のサプリカント5の認証手順を実行する。ステップS57において、第2のサプリカント4は、自身の認証完了後の所定時間内に、第1のサプリカント3に認証処理の開始を要求するためのEAPOL-Start信号を送信する。この信号を受信した第1のサプリカント3は、認証局1にEAPOL-Start信号を送信する。
【0056】
以下、第2のサプリカント4は、第1のサプリカント3及び第3のサプリカント5とマルチホップで通信を行って、EAP-Request・Response/Identity処理、EAP-Request・Response/SIM/Start処理、EAP-Request・Response/SIM/Challenge処理を実行する。なお、この手順は図3のステップS42〜S44と同様であるためその説明は省略する。
【0057】
そして、ステップS61において、認証局1は、第1のサプリカント3に対してEAP-Successを送信し、第3のサプリカント5の認証完了を通知する。第1のサプリカント3は、第2のサプリカント4にEAP-Successを送信する。
【0058】
次に、本実施の形態の認証方式を電気自動車への給電サービスに適用する例について図5を参照しつつ説明する。
図5の給電ステーション10には、コンセント13とブレーカー14が設けられ、電力会社から送電線を介して供給された電気を電気自動車16に供給できるようになっている。一方、電気自動車16の所有者であるユーザは、課金の支払いのために携帯電話12を所持している。この携帯電話12は、通信ネットワーク15を介して認証局11と通信可能である。
【0059】
図5に示す各装置と、上述の認証手順を実行した各機器とを対比すると、モバイル端末2は携帯電話12であり、第1のサプリカント3は、電気自動車16への給電が可能なコンセント13であり、第2のサプリカント4はコンセント13に接続されているブレーカー14に相当する。
【0060】
電力会社は、ブレーカー14で使われた電気の総量を計測することにより、課金を行っている。この仕組みでは、ブレーカー14の契約者以外の者がコンセント13を使って給電した場合であっても、ブレーカーの契約者に対して電気代が徴収される。しかし、実際の運用を考えると、契約者以外がコンセントを使って電気を使用するユースケースが考えられる。従って、電気を使用したユーザが電気代を支払う仕組みが必要である。
【0061】
この課題を解決する手法として上述の認証方法を適用することが考えられる。
第1のサプリカント3であるコンセント13には、電気の供給量を計測するメータが備わっている。ユーザが携帯電話12をコンセント13に近づけることによって、第1のサプリカント3と携帯電話12が通信を行う。携帯電話にクレジット機能を付加しておけば、そのクレジット情報を第1のサプリカント3であるコンセント13を通じて、第2のサプリカント4であるブレーカー14に保持させることができる。電気事業者は、そのクレジット情報とメータから求めた電力使用量に基づいて、電気を使用したユーザに対して課金することが可能となる。
【0062】
しかし、携帯電話12のユーザにとってみれば、第1のサプリカント3、および、第2のサプリカント4が正しい機器であることを識別せずに、クレジット情報を通知することはセキュリティ上問題がある。そこで、携帯電話12と第1のサプリカント3との通信を契機に、通信事業者が保有する認証局を用いて第1のサプリカント3及び第2のサプリカント4を認証することにより、ユーザは安心してクレジット情報を通知することが可能となる。
【0063】
また、その情報は、SIMによる暗号化がなされているため、もし第3者が不正に、第2のサプリカント4が保持しているクレジット情報を入手したとしても、その情報を見ることはできない。
【0064】
このように複数の機器を連携して認証する技術を用いれば、電気自動車16への給電サービスにおいて、電気の使用者が課金される仕組みを構築することが可能となる。なお、給電サービスは、本発明の応用例の一つにしかすぎず、これに限定されることなく様々なサービスに適用することができる。
【0065】
なお、図5に示す例では、第1のサプリカント3の機能はコンセント13に割り付けられているが、この例に限定されず、ブレーカー14を第1のサプリカント3に割り付けても良い。
【0066】
一般に、複数の情報機器が存在している場合、予め第1のサプリカント3に対応する機器を定めておいても良い。また、予め第1のサプリカント3に対応する機器を定めずに、モバイル端末2が最初にアクセスした情報機器が第1のサプリカント3の機能を担うようにしても良い。
【0067】
[第2の実施の形態]
第1の実施の形態では、第1のサプリカント3の認証処理の完了後に、第2のサプリカント4の認証処理を行うようにシリアルに認証を実行したのに対して、第2の実施の形態では、第1のサプリカント3の認証と、第2のサプリカント4の認証を同時に行うことにより、認証における通信効率を改善する。従って、第1の実施の形態と同一の部位には同一の符合を付してその詳細の説明は省略する。
【0068】
図6は、2台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャートである。なお、本発明はサプリカント数を2つに限定するものではなく、サプリカントが3つ以上の場合であっても適用できる。
【0069】
ステップS65において、第1のサプリカント3は、モバイル端末2との通信が確立した場合に、認証局1に対してEAPOL-Start信号を送信する。ステップS66において、これを受信した認証局は、第1のサプリカント3に対してEAP-request/Identity信号を送信する。ステップT10において、第1のサプリカント3は、EAP-Request/Identityを受信した場合に、その信号を第2のサプリカント4に対して転送する。
【0070】
第1のサプリカント3は、所定の時間待機する。ステップT11において、第2のサプリカント4が送信するEAP-Response/Identity信号を所定時間内に受信した場合には、ステップS67において、第1のサプリカント3は、自局のEAP-Response/Identity信号と、第2のサプリカント4のEAP-Response/Identity信号を集約(アグリゲート)した、一つのEAP-Response/Identity信号を生成して、認証局1に対して送信する。
【0071】
上述のとおり、サプリカントの数は2つに限定するものではないため、2つ以上の第2のサプリカント4が送信したEAP-response/Identityを受信することもある。その場合は、所定時間内に受信した2つ以上のEAP-Response/Identityと、第1のサプリカント3のEAP-Response/Identityを集約した1つのEAP-response/Identity信号を生成して、認証局1に送信する。
【0072】
なお、複数のEAP-Response/Identityを1つのEAP-Response/Identity信号に集約(アグリゲート)する方式については、例えば、IEEE802.11nに規定される方法を採用することができる。アグリゲートされたEAP-Response/Identityを受信した認証局1は、ステップS68において、アグリゲート数に応じて、複数のEAP-Request/SIM/Start情報をアグリゲートしたEAP-Request/SIM/Start情報を送信する。
【0073】
これを受信した第1のサプリカント3は、自局に該当するEAP-Request/SIM/Start情報を抽出するとともに、ステップT12において、受信したEAP-Request/SIM/Startを第2のサプリカント4に転送する。そして、第2のサプリカント4への転送後に、タイマー等を起動して、応答信号の受信待ちを行う。
【0074】
なお、転送方法としては、第1のサプリカント3は、受信したEAP-Request/SIM/Start信号をそのまま第2のサプリカント4に転送しても良いし、複数のEAP-Request/SIM/Start情報をデアグリゲートして、複数の第2のサプリカント4それぞれに対して、個別にEAP-Request/SIM/Start情報を送信しても良い。それぞれの第2のサプリカント4は、EAP-Request/SIM/Start信号のフォーマットによらず、自局宛てのEAP-Request/SIM/Start情報を抽出し、その応答信号として、EAP-Response/SIM/Start信号を送信する。
【0075】
ステップT13において、第2のサプリカント4が送信するEAP-Response/Identity信号を所定時間内に受信した場合には、ステップS69において、第1のサプリカント3は、タイムアウトする前に受信した第2のサプリカント4からのEAP-Response/SIM/Start信号をアグリゲートして、認証局1に転送する。この時、EAP-Response/SIM/Start情報の一つである乱数NONCE_MTは、第2のサプリカント4毎に異なる。
【0076】
これを受信した認証局1は、ステップS70において、アグリゲートしたEAP-Request/SIM/Challenge信号を第1のサプリカント3に送信する。ここで、EAP-Request/SIM/Challengeの情報要素であるMessage Authentication Code(MAC)は、NONCE_MT毎に生成されるため、第2のサプリカント4毎に異なる。また、情報要素である乱数RAND Challengeは、認証局1が発行する情報であるため共通の値である。
【0077】
このEAP-Request/SIM/Challengeを受信した第1のサプリカント3は、自局に関わるMessage Authentication Codeを確認し、自局に関わるMACが適切でないと判断した場合は、第2のサプリカント4に対してEAP-Request/SIM/Challengeを転送しない。一方、自局に関わるMACが適切であると判断した場合には、ステップT14において、第2のサプリカント4に対してEAP-Request/SIM/Challengeを転送する。そして、転送後にタイマー等を起動して、応答信号の受信待ちを行う。
【0078】
EAP-Request/SIM/Challengeを受信した第2のサプリカント4は、自局に該当するMessage Authentication Codeを確認し、自局に該当するMACが適切であると判断した場合には、ステップT15において、EAP-Response/SIM/Challengeを第1のサプリカント3に送信する。ステップS71において、第1のサプリカント3は、タイムアウト前に受信したEAP-Response/SIM/Challengeをアグリゲートして認証局1に送信する。
【0079】
そして、ステップS72において、認証局1は第1および第2のサプリカント3,4の内、認証処理が成功したサプリカントに対して、集約したEAP-Success信号を送信する。
なお、第1の実施の形態と同様に、認証局1は、認証が完了したサプリカント同士で暗号化通信ができるように、双方の暗号鍵を通知しても良い。
【0080】
[第3の実施の形態]
第3の実施の形態では、より効率化を図るために、共通の情報を使用して各サプリカントを認証するようにした点が第2の実施の形態と異なっている。
【0081】
図7は、2台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャートである。なお、本発明はサプリカント数を2つに限定するものではなく、サプリカントが3つ以上の場合であっても適用できる。
【0082】
ステップS75〜S77、T20〜T21は、それぞれ、図6のステップS65〜S67、T10〜T11と同様であるため、その詳細の説明は省略する。
アグリゲートされたEAP-Response/Identityを受信した認証局1は、ステップS78において、アグリゲート数に応じて、複数のEAP-Request/SIM/Start情報をアグリゲートしたEAP-Request/SIM/Start情報を第1のサプリカント3に送信する。
【0083】
EAP-Request/SIM/Start信号を受信した第1のサプリカント3は、当該信号を第2のサプリカント4に転送することなく、ステップS79において、EAP-Response/SIM/Start信号を認証局1に送信する。
但し、EAP-Response/SIM/Start信号に付加される情報であるEAP-SIM versionは、関連する全ての第2のサプリカント4で共通である。また、EAP-Response/SIM/StartのパラメータであるNONCE_MT、AT_SELECTED_VERSIONは共通で一つとする。
【0084】
これを受信した認証局1は、共通のNONCE_MTから共通のMessage Authentication Codeを生成して、ステップS80において、このMACと一つのChallengeとを付加したEAP-Request/SIM/Challenge信号を送信する。
【0085】
第1のサプリカント3は、送信されたMessage Authentication Codeをチェックする。そして、このMACが適切でないと判断した場合は、第2のサプリカントに対してEAP-Request/SIM/Challengeを転送しない。一方、このMACが適切であると判断した場合には、ステップT22において、第2のサプリカントに対してEAP-Request/SIM/Challengeを転送する。
【0086】
これを受信した各第2のサプリカント4は、第1のサプリカント3による認証結果を受け入れてMessage Authentication Codeが適切であると判断し、ステップT23において、それぞれがSRES responseとRANDに基づいて生成したAT_MACとを付加したEAP-Response/SIM/Challengeを第1のサプリカント3に返信する。第1のサプリカントは、それぞれからの返信を1つのEAP-Response/SIM/Challenge信号に集約して、ステップS81において、認証局1に送信する。
【0087】
認証局1は、各サプリカントについて認証処理を行い、全てのサプリカントが正しいサプリカントであると判断した場合には、ステップS82において、第1のサプリカント3にEAP-Successを送信する。このEAP-Successは、第1、および、第2のサプリカントで全て共通に成功であることを示す一つのSRES response情報が付加されている。これを受信した第1サプリカント3は、ステップT24において、それぞれの第2のサプリカント4に対して受信したEAP-Success信号を転送する。
【0088】
また、第1、第2の実施の形態と同様に、認証局1は、認証が完了したサプリカント同士で暗号化通信ができるように、双方の暗号鍵を通知しても良い。
【0089】
このように、ステップS79において、第1のサプリカント3が他のサプリカントを代表して一つのNONCE_MTを付加した信号を送信し、ステップS80において、認証局1が一つのMACを付加した信号を送信する。第1のサプリカント3は、MACがOKと判断したときは、その信号を第2のサプリカント4に転送する。このとき、既に第1のサプリカント3が認証局1を確かな認証局であると判断しているので、第2のサプリカント4は、改めて認証局1の確からしさを判断しなくて良い。
【0090】
以上説明したように、第3の実施の形態では、共通の情報を用いて認証を行うことにより、認証における通信効率をさらに改善することができる。
【0091】
なお、第2のサプリカント4が改めて認証局1の確からしさを判断しても良い。例えば、ステップT22において、第1のサプリカント3は、MACがOKと判断したときは、その信号を第2のサプリカント4に転送する。このとき、パラメータとして自局が認証局1に送信したNONCE_MTとMACとを付加した信号を転送する。第2のサプリカント4はNONCE_MTとMACの情報を用いて認証局1の確からしさを判断する。
【0092】
以上説明した各実施の形態によれば、複数の機器を連携して認証することができるため複数の機器より構成されるシステムについて認証を行う際、効率的で実効性のある認証動作を得ることができる。
【0093】
なお、上述の各実施の形態では、モバイル端末2が第1のサプリカント3と認証局1との間に設けられて、第1のネットワークであるセルラー回線及び第2のネットワークであるWLANを介した通信を行う機能を備えているが、モバイル端末2を設けずに、第1のサプリカント3が第1のネットワーク及び第2のネットワークを介した通信を行う機能を備えていても良い。
【0094】
なお、上述の各実施の形態で説明した機能は、ハードウエアを用いて構成するに留まらず、ソフトウエアを用いて各機能を記載したプログラムをコンピュータに読み込ませて実現することもできる。また、各機能は、適宜ソフトウエア、ハードウエアのいずれかを選択して構成するものであっても良い。
【0095】
尚、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。
上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【符号の説明】
【0096】
1…認証局、2…モバイル端末、3…第1のサプリカント、4…第2のサプリカント、5…第3のサプリカント、10…給電ステーション、11…認証局、12…携帯電話、13…コンセント、14…ブレーカー、15…通信ネットワーク、16…電気自動車。
【技術分野】
【0001】
本発明は、複数の機器を連携して認証することのできる認証方法、通信局、認証局及び端末に関する。
【背景技術】
【0002】
GSM(Global System for Mobile Communications)は、デジタル携帯電話で使用されている無線通信方式の一つである。このGSMネットワーク上でユーザの認証を行うとともに、効果的な課金管理を行う機能を有する手段として、SIM(Subscriber Identity Module)が知られている。このSIMの認証機能を無線LANサービスにも利用するための技術として、EAP−SIM(Extensible Authentication Protocol Method for GSM Subscriber Identity Module)がある。なお、EAPはインターネットで使用されるPPP(Point-to-Point Protocol)の仕組みを拡張した無線LANを対象としたプロトコルである。
【0003】
特許文献1には、EAP−SIMを家庭機器などの情報機器の認証に使うことが提案されている。具体的には、複数の家電機器のうち、認証されていない家電機器に対して情報を配信しない仕組みを提案している。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−355396号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、EAP−SIMでは、情報機器に対応するサプリカントと認証局に対応するオーセンティケータとの間でのプロトコルが定義されているが、これはサプリカントとオーセンティケータとがそれぞれ1台の構成に対応するプロトコルである。
【0006】
従って、サプリカントが複数台存在した場合には、オーセンティケータはそれぞれのサプリカントに対して上述の認証動作を実行する必要があるが、それでは複数のサプリカントがそれぞれ独立のタイミングでオーセンティケータと認証動作を実施することになり、例えば信号の競合、重複した動作の繰返しなどにより実効性のある認証動作を担保することは困難である。
【0007】
しかしながら、特許文献1には、EAP−SIMを用いてどのような手順で複数の情報機器を連携して認証するかについての具体的な記載はされていない。
【0008】
本発明は、かかる事情に鑑みてなされたものであって、複数の機器を連携して認証することのできる認証方法、通信局、認証局及び端末を提供することを目的とする。
【課題を解決するための手段】
【0009】
上記課題を解決するための本発明は、第1の通信ネットワークを介して認証局と接続すると共に、第2の通信ネットワークを介して他の通信局と接続する通信局であって、前記第1の通信ネットワークを介した前記認証局との間での所定の認証手順に従った情報授受によって自局の認証を行う認証処理手段と、自局が前記認証局によって認証されたときは、前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信する認証開始処理手段とを備えた通信局である。
【0010】
また本発明は、第2のネットワークを介して他の通信局と接続する通信局と、第1の通信ネットワークを介して接続する認証局であって、前記第1の通信ネットワークを介した前記通信局との間での所定の認証手順に従った情報授受によって前記通信局の認証を行う第1の認証処理手段と、前記通信局を認証した後に、前記通信局より認証開始信号を受信したときは、前記他の通信局の認証を開始するか否かを判断する判断手段と、前記他の通信局の認証を開始すると判断したときは、前記他の通信局に対する認証要求信号を前記通信局に送信する認証要求手段と、以降、前記通信局との間で前記所定の認証手順に従った情報授受を行って前記他の通信局を認証する第2の認証処理手段とを備えた認証局である。
【0011】
また本発明は、第1の通信ネットワークを介して認証局と接続すると共に、第3の通信ネットワークを介して他の通信局と接続する通信局と、第2の通信ネットワークを介して接続する、前記認証局と前記通信局との間の授受情報を中継する端末であって、前記通信局は、前記第1の通信ネットワークを介した前記認証局との間での所定の認証手順に従った情報授受によって自局の認証を行う通信局認証処理手段と、自局が前記認証局によって認証されたときは、前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信する認証開始処理手段と、前記認証局より認証要求信号を受信したときは、自局に対する認証要求か否かを判断し、自局に対する認証要求でないと判断したときは、当該認証要求信号を前記第2の通信ネットワークを介して他の通信局に転送する認証要求転送手段と、以降、前記認証局と前記他の通信局との間での前記所定の認証手順に従った授受情報を中継する情報中継手段とを備え、前記認証局は、前記第1の通信ネットワークを介した前記通信局との間での所定の認証手順に従った情報授受によって前記通信局の認証を行う第1の認証局認証処理手段と、前記通信局を認証した後に、前記通信局より認証開始信号を受信したときは、前記他の通信局の認証を開始するか否かを判断する判断手段と、前記他の通信局の認証を開始すると判断したときは、前記他の通信局に対する認証要求信号を前記通信局に送信する認証要求手段と、以降、前記通信局との間で前記所定の認証手順に従った情報授受を行って前記他の通信局を認証する第2の認証局認証処理手段とを備えた端末である。
【0012】
また本発明は、通信局と、当該通信局と第1の通信ネットワークを介して接続する認証局と、当該通信局と第2の通信ネットワークを介して接続する他の通信局とを備えた認証システムの認証方法において、前記通信局は、前記第1の通信ネットワークを介した前記認証局との間での所定の認証手順に従った情報授受によって自局の認証を実行し、自局が前記認証局によって認証されたときは、前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信し、前記認証局より認証要求信号を受信したときは、自局に対する認証要求か否かを判断し、自局に対する認証要求でないと判断したときは、当該認証要求信号を前記第2の通信ネットワークを介して他の通信局に転送し、以降、前記認証局と前記他の通信局との間での前記所定の認証手順に従った授受情報を中継し、前記認証局は、前記第1の通信ネットワークを介した前記通信局との間での所定の認証手順に従った情報授受によって前記通信局の認証を実行し、前記通信局を認証した後に、前記通信局より認証開始信号を受信したときは、前記他の通信局の認証を開始するか否かを判断し、前記他の通信局の認証を開始すると判断したときは、前記他の通信局に対する認証要求信号を前記通信局に送信し、以降、前記通信局との間で前記所定の認証手順に従った情報授受を行って前記他の通信局を認証する認証方法である。
【発明の効果】
【0013】
この発明によれば、複数の機器を連携して認証することができる。
【図面の簡単な説明】
【0014】
【図1】2台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャート。
【図2】3台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャート。
【図3】3台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャート。
【図4】3台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャート。
【図5】本実施の形態の認証方式を電気自動車への給電サービスに適用する例を説明する図。
【図6】2台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャート。
【図7】2台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャート。
【発明を実施するための形態】
【0015】
[第1の実施の形態]
以下、図面を参照しながら本実施の形態について詳細に説明する。
【0016】
図1は、2台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャートである。
図1に示す手順では、認証局(authenticator)1、モバイル端末2、第1のサプリカント(master supplicant)3、第2のサプリカント(slave supplicant)4が信号授受を実行する。
【0017】
認証局1とモバイル端末2とは、GSM(例えば、セルラー回線)を介して通信可能である。但し、認証局1とモバイル端末2との間の通信方式はGSMに限られない。また、モバイル端末2は、セルラー回線とは異なる通信機能、例えば近距離の無線通信機能、無線LAN(WLAN)機能などを有しており、アクセスポイント(AP)としても機能することができる。
【0018】
第1および第2のサプリカント3,4は、SIM機能と無線LAN子機の機能を有している。第1のサプリカント3と第2のサプリカント4は、無線LANを介して相互に通信が可能である。但し、第1のサプリカント3と第2のサプリカント4との通信方式は、無線LANに限定されず、なんらかの通信方式で接続できれば良い。従って、第1および第2のサプリカント3,4は、セキュア機能を備えた通信機器として捉えることができる。
【0019】
次に、認証のための信号授受手順について説明する。なお、信号授受手順は、IEEE802.1Xの仕様に従い、「サプリカント」と「オーセンティケータ」の2つの役割に対応して説明する。
【0020】
モバイル端末2が認証局1と通信可能な状態において、モバイル端末2と第1のサプリカント3とが無線LANにより接続した場合には、ステップS01において、第1のサプリカント3は、EAP-SIMの認証手順により、モバイル端末2を介して、認証局1に対してEAPOL-Start信号を送信する。
【0021】
なお、モバイル端末2は、通信方式の異なる第1のサプリカント3と認証局1との間で信号を受け渡す機能を担っている。従って、これ以降の手順においては、モバイル端末2の動作には言及せず、直接に認証局1と第1および第2のサプリカント3,4とが信号授受を行うものとして説明する。
【0022】
ステップS02において、EAPOL-Start信号を受信した認証局1は、第1のサプリカント3に対してEAP-Request/Identity信号を送信し、それを受信した第1のサプリカント3はEAP-Response/Identity信号を送信する。
ステップS03において、EAP-Response/Identity信号を受信した認証局1は、認証処理を開始して、EAP-Request/SIM/Start信号を第1のサプリカント3に送信する。そして、第1のサプリカント3よりEAP-Request/SIM/Start信号の応答信号であるEAP-Response/SIM/Start信号を受信する。
【0023】
ステップS04において、認証局1は、第1のサプリカント3が正しい機器であるかどうかの認証を行うためにEAP-Request/SIM/Challenge信号をサプリカント3に送信する。第1のサプリカント3は、その応答信号であるEAP-Response/SIM/Challengeを認証局1に送信する。
認証局1は、応答信号を解析することにより、第1のサプリカント3が正しい機器であるかどうかを判断することができる。例えば、第1のサプリカント3の応答信号に含まれる暗号コードを解析することで正しい機器かどうかを判断する。
【0024】
ステップS05において、認証局1は、正しく認証できた場合には、EAP-Success信号を送信する。これを受信した第1のサプリカント3は、自局が正しく認証されたことを認識する。
続いて、第2のサプリカント4の認証手順について説明する。
第1のサプリカント3は、まだ第2のサプリカント4についての認証がされていないと判断したときは、ステップS06において、自局の認証完了後の所定時間内に、再度認証局1に認証処理の開始を要求するためのEAPOL-Start信号を送信する。
このEAPOL-Start信号には、第2のサプリカントの代理で送信していることを示す識別子を付加しても良いし、第2のサプリカントの識別子IDを把握している場合には、第2のサプリカントの識別子IDを付加して送信しても良い。
【0025】
これを受信した認証局1は、以下の判断をする。
第1のサプリカント3の認証処理後の所定時間内に、認証済みの同一のサプリカントからEAPOL-Startを受信したことから、このEAPOL-Startは、第2のサプリカントの代理で送信されたものであると判断する。
あるいは、EAPOL-Start信号に、上述の代理送信であることを示す識別子、もしくは、第1のサプリカント3とは異なる識別子ID(第2のサプリカント4の識別子ID)が付加されている場合は、その情報を利用して、第2のサプリカント4の代理で送信されたものであると判断する。
【0026】
そして、認証局1は、上記のいずれかの方法で、第2のサプリカント4の代理で送信されたEAPOL-Start信号であると判断した場合には、ステップS07において、特定の識別子を付加したEAP-Request/Identity信号を送信する。
【0027】
特定の識別子は、ある特定のビットをセットすることにより示しても良いし、送信するEAP-Request/Identity信号の宛先アドレスをマルチキャストアドレスやブロードキャストアドレスとすることで、特定の識別子とすることもできる。
また、受信したEAPOL-Start信号に、第2のサプリカント4の識別子IDが付加されていた場合には、宛先アドレスを第2のサプリカント4の識別子IDとしたEAP-Request/Identity信号を送信しても良い。
【0028】
第1のサプリカント3は、認証局1が送信したEAP-Request/Identity信号を受信する。第1のサプリカント3は、少なくとも次のいずれかに該当する場合には、その信号が自局宛てでないと判断する。
(1)特定の識別子が付加されていたこと、(2)宛先アドレスが自局宛てでないこと、(3)自局の認証が終えた後に、EAPOL-Start信号を代理で送信していたことを保持しておき、所定時間内にEAP-Request/Identity信号を受信したこと。
【0029】
そして、第1のサプリカント3は、そのEAP-Request/Identity信号を第2のサプリカント4に転送する。この信号を受信した第2のサプリカント4は、認証局1に対してEAP-Response/Identity信号を送信する。
【0030】
ステップS08〜S09において、上述と同様にEAP-Request・Response/SIM/Start処理、EAP-Request・Response/SIM/Challenge処理を通じて、認証局1は第2のサプリカント4の認証処理を行う。そして、ステップS10において、正しく認証した場合には、認証局1は、第1のサプリカント3に対してEAP-Successを送信し、第2のサプリカント4の認証完了を通知する。第1のサプリカント3は、そのEAP-Success信号を第2のサプリカント4に転送する。
【0031】
ステップS11において、認証局1は、EAPOL-Start信号を代理で送信した第1のサプリカント3に対してEAP-Successを送信し、他のサプリカントの認証完了を通知する。例えば、SuccessしたサプリカントのIDを付加することで第1のサプリカント3に知らせる。これによって、第1のサプリカント3は、認証されたサプリカントを把握し、そのサプリカントを認証された正しい機器であると判断することができる。
【0032】
また、認証局1は、第1のサプリカント3に対して、認証局1と第2のサプリカント4との間での暗号化通信用の暗号鍵を通知し、第2のサプリカント4に対して、認証局1と第1のサプリカント3との間での暗号化通信用の暗号鍵を通知することもできる。これにより、第1のサプリカント3と第2のサプリカント4との間で、暗号化通信をすることも可能となる。
【0033】
[第1の実施の形態−バリエーション1]
図2は、3台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャートである。なお、第1の実施の形態と同一の部位には同一の符号を付してその詳細の説明は省略する。
【0034】
図2に示す手順では、認証局(authenticator)1、モバイル端末2、第1のサプリカント(master supplicant)3、第2のサプリカント(slave supplicant)4、第3のサプリカント(slave supplicant)5が信号授受を実行する。そして、第1のサプリカント3は、第2及び第3のサプリカント4,5と直接通信することが可能である。
【0035】
第1のサプリカント3は、認証局1との間で自身の認証動作を行う。この手順は、図1に示す手順のステップS01〜S04と同じであるため、その説明は省略する。
【0036】
ステップS21において、認証局1は、正しく認証できた場合には、EAP-Success信号を送信する。これを受信した第1のサプリカント3は、自局が正しく認証されたことを認識する。
続いて、以下に示す第2のサプリカント4の認証手順を実行する。
第1のサプリカント3は、まだ第2のサプリカント4についての認証がされていないと判断したときは、ステップS22において、自局の認証完了後の所定時間内に、再度認証局1に認証処理の開始を要求するためのEAPOL-Start信号を送信する。
【0037】
これを受信した認証局1は、第2のサプリカント4の代理で送信されたEAPOL-Start信号であると判断した場合には、ステップS23において、EAP-Request/Identity信号を送信する。第1のサプリカント3は、認証局1が送信したEAP-Request/Identity信号を受信する。第1のサプリカント3は、そのEAP-Request/Identity信号を第2のサプリカント4に転送する。
【0038】
ステップS24において、この信号を受信した第2のサプリカント4は、第1のサプリカント3に対してEAP-Response/Identity信号を送信する。第1のサプリカント3は、受信したEAP-Response/Identity信号を認証局1に転送する。続いて、EAP-Request・Response/SIM/Start処理、EAP-Request・Response/SIM/Challenge処理を通じて、認証局1は第2のサプリカント4の認証処理を行う。この手順は上述と同様であるためその説明は省略する。
【0039】
ステップS25において、正しく認証した場合には、認証局1は、第2のサプリカント4に対してEAP-Successを送信する。そして、ステップS26において、認証局1は、EAPOL-Start信号を代理で送信した第1のサプリカント3に対してEAP-Successを送信し、第2のサプリカント4の認証完了を通知する。
【0040】
続いて、第3のサプリカント5の認証手順を説明する。
第1のサプリカント3は、まだ第3のサプリカント5についての認証がされていないと判断したときは、ステップS27において、第2のサプリカント4の認証完了後の所定時間内に、再度認証局1に認証処理の開始を要求するためのEAPOL-Start信号を送信する。
【0041】
これを受信した認証局1は、第3のサプリカント5の代理で送信されたEAPOL-Start信号であると判断した場合には、ステップS28において、EAP-Request/Identity信号を送信する。第1のサプリカント3は、認証局1が送信したEAP-Request/Identity信号を受信する。第1のサプリカント3は、そのEAP-Request/Identity信号を第3のサプリカント5に転送する。
【0042】
ステップS29において、この信号を受信した第3のサプリカント5は、第1のサプリカント3に対してEAP-Response/Identity信号を送信する。第1のサプリカント3は、認証局1に対して受信したEAP-Response/Identity信号を転送する。続いて、EAP-Request・Response/SIM/Start処理、EAP-Request・Response/SIM/Challenge処理を通じて、認証局1は第3のサプリカント5の認証処理を行う。この手順は上述と同様であるためその説明は省略する。
【0043】
ステップS30において、正しく認証した場合には、認証局1は、第3のサプリカント5に対してEAP-Successを送信する。そして、ステップS31において、認証局1は、EAPOL-Start信号を代理で送信した第1のサプリカント3に対してEAP-Successを送信し、第3のサプリカント5の認証完了を通知する。
【0044】
[第1の実施の形態−バリエーション2]
図3は、3台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャートである。なお、第1の実施の形態と同一の部位には同一の符号を付してその詳細の説明は省略する。
【0045】
図3に示す手順では、認証局(authenticator)1、モバイル端末2、第1のサプリカント(master supplicant)3、第2のサプリカント(slave supplicant)4、第3のサプリカント(slave supplicant)5が信号授受を実行する。そして、第1のサプリカント3は、第2及び第3のサプリカント4,5とマルチホップにより通信することが可能である。
【0046】
ステップS35〜S40に示す第1及び第2のサプリカント3、4の認証手順は、図2に示すステップS21〜S26の処理と同様であるため、その説明は省略する。
【0047】
続いて、第3のサプリカント5の認証手順を実行する。第1のサプリカント3は、まだ第3のサプリカント5についての認証がされていないと判断したときは、ステップS41において、第2のサプリカント4の認証完了後の所定時間内に、再度認証局1に認証処理の開始を要求するためのEAPOL-Start信号を送信する。
【0048】
これを受信した認証局1は、第3のサプリカント5の代理で送信されたEAPOL-Start信号であると判断した場合には、ステップS42において、EAP-Request/Identity信号を送信する。第1のサプリカント3は、認証局1が送信したEAP-Request/Identity信号を受信する。第1のサプリカント3は、そのEAP-Request/Identity信号を第2のサプリカント4に転送する。第2のサプリカント4は、第1のサプリカント3が送信したEAP-Request/Identity信号を受信する。第2のサプリカント4は、そのEAP-Request/Identity信号を第3のサプリカント5に転送する。
【0049】
ステップS43において、この信号を受信した第3のサプリカント5は、第2のサプリカント4に対してEAP-Response/Identity信号を送信する。この信号を受信した第2のサプリカント4は、第1のサプリカント3に対してEAP-Response/Identity信号を送信する。第1のサプリカント3は、認証局1に対して受信したEAP-Response/Identity信号を転送する。
【0050】
以下、第1のサプリカント3は、第2のサプリカント4を介して第3のサプリカント5とマルチホップ方式で通信を行って、EAP-Request・Response/SIM/Start処理、EAP-Request・Response/SIM/Challenge処理を実行する。なお、この手順は上述と同様であるためその説明は省略する。
【0051】
ステップS44において、正しく認証した場合には、認証局1は、第1のサプリカント3に対してEAP-Successを送信する。第1のサプリカント3は、第2のサプリカント4に対してEAP-Successを送信する。第2のサプリカント4は、第3のサプリカント5に対してEAP-Successを送信する。そして、ステップS45において、認証局1は、EAPOL-Start信号を代理で送信した第1のサプリカント3に対してEAP-Successを送信し、第3のサプリカント5の認証完了を通知する。
【0052】
[第1の実施の形態−バリエーション3]
図4は、3台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャートである。なお、第1の実施の形態と同一の部位には同一の符号を付してその詳細の説明は省略する。
【0053】
図4に示す手順では、認証局(authenticator)1、モバイル端末2、第1のサプリカント(master supplicant)3、第2のサプリカント(slave supplicant)4、第3のサプリカント(slave supplicant)5が信号授受を実行する。そして、第1のサプリカント3は、第2及び第3のサプリカント4,5とマルチホップにより通信することが可能である。
【0054】
ステップS51〜S56に示す第1及び第2のサプリカント3、4の認証手順は、図3に示すステップS35〜S40の処理と同様であるため、その説明は省略する。
【0055】
続いて、第3のサプリカント5の認証手順を実行する。ステップS57において、第2のサプリカント4は、自身の認証完了後の所定時間内に、第1のサプリカント3に認証処理の開始を要求するためのEAPOL-Start信号を送信する。この信号を受信した第1のサプリカント3は、認証局1にEAPOL-Start信号を送信する。
【0056】
以下、第2のサプリカント4は、第1のサプリカント3及び第3のサプリカント5とマルチホップで通信を行って、EAP-Request・Response/Identity処理、EAP-Request・Response/SIM/Start処理、EAP-Request・Response/SIM/Challenge処理を実行する。なお、この手順は図3のステップS42〜S44と同様であるためその説明は省略する。
【0057】
そして、ステップS61において、認証局1は、第1のサプリカント3に対してEAP-Successを送信し、第3のサプリカント5の認証完了を通知する。第1のサプリカント3は、第2のサプリカント4にEAP-Successを送信する。
【0058】
次に、本実施の形態の認証方式を電気自動車への給電サービスに適用する例について図5を参照しつつ説明する。
図5の給電ステーション10には、コンセント13とブレーカー14が設けられ、電力会社から送電線を介して供給された電気を電気自動車16に供給できるようになっている。一方、電気自動車16の所有者であるユーザは、課金の支払いのために携帯電話12を所持している。この携帯電話12は、通信ネットワーク15を介して認証局11と通信可能である。
【0059】
図5に示す各装置と、上述の認証手順を実行した各機器とを対比すると、モバイル端末2は携帯電話12であり、第1のサプリカント3は、電気自動車16への給電が可能なコンセント13であり、第2のサプリカント4はコンセント13に接続されているブレーカー14に相当する。
【0060】
電力会社は、ブレーカー14で使われた電気の総量を計測することにより、課金を行っている。この仕組みでは、ブレーカー14の契約者以外の者がコンセント13を使って給電した場合であっても、ブレーカーの契約者に対して電気代が徴収される。しかし、実際の運用を考えると、契約者以外がコンセントを使って電気を使用するユースケースが考えられる。従って、電気を使用したユーザが電気代を支払う仕組みが必要である。
【0061】
この課題を解決する手法として上述の認証方法を適用することが考えられる。
第1のサプリカント3であるコンセント13には、電気の供給量を計測するメータが備わっている。ユーザが携帯電話12をコンセント13に近づけることによって、第1のサプリカント3と携帯電話12が通信を行う。携帯電話にクレジット機能を付加しておけば、そのクレジット情報を第1のサプリカント3であるコンセント13を通じて、第2のサプリカント4であるブレーカー14に保持させることができる。電気事業者は、そのクレジット情報とメータから求めた電力使用量に基づいて、電気を使用したユーザに対して課金することが可能となる。
【0062】
しかし、携帯電話12のユーザにとってみれば、第1のサプリカント3、および、第2のサプリカント4が正しい機器であることを識別せずに、クレジット情報を通知することはセキュリティ上問題がある。そこで、携帯電話12と第1のサプリカント3との通信を契機に、通信事業者が保有する認証局を用いて第1のサプリカント3及び第2のサプリカント4を認証することにより、ユーザは安心してクレジット情報を通知することが可能となる。
【0063】
また、その情報は、SIMによる暗号化がなされているため、もし第3者が不正に、第2のサプリカント4が保持しているクレジット情報を入手したとしても、その情報を見ることはできない。
【0064】
このように複数の機器を連携して認証する技術を用いれば、電気自動車16への給電サービスにおいて、電気の使用者が課金される仕組みを構築することが可能となる。なお、給電サービスは、本発明の応用例の一つにしかすぎず、これに限定されることなく様々なサービスに適用することができる。
【0065】
なお、図5に示す例では、第1のサプリカント3の機能はコンセント13に割り付けられているが、この例に限定されず、ブレーカー14を第1のサプリカント3に割り付けても良い。
【0066】
一般に、複数の情報機器が存在している場合、予め第1のサプリカント3に対応する機器を定めておいても良い。また、予め第1のサプリカント3に対応する機器を定めずに、モバイル端末2が最初にアクセスした情報機器が第1のサプリカント3の機能を担うようにしても良い。
【0067】
[第2の実施の形態]
第1の実施の形態では、第1のサプリカント3の認証処理の完了後に、第2のサプリカント4の認証処理を行うようにシリアルに認証を実行したのに対して、第2の実施の形態では、第1のサプリカント3の認証と、第2のサプリカント4の認証を同時に行うことにより、認証における通信効率を改善する。従って、第1の実施の形態と同一の部位には同一の符合を付してその詳細の説明は省略する。
【0068】
図6は、2台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャートである。なお、本発明はサプリカント数を2つに限定するものではなく、サプリカントが3つ以上の場合であっても適用できる。
【0069】
ステップS65において、第1のサプリカント3は、モバイル端末2との通信が確立した場合に、認証局1に対してEAPOL-Start信号を送信する。ステップS66において、これを受信した認証局は、第1のサプリカント3に対してEAP-request/Identity信号を送信する。ステップT10において、第1のサプリカント3は、EAP-Request/Identityを受信した場合に、その信号を第2のサプリカント4に対して転送する。
【0070】
第1のサプリカント3は、所定の時間待機する。ステップT11において、第2のサプリカント4が送信するEAP-Response/Identity信号を所定時間内に受信した場合には、ステップS67において、第1のサプリカント3は、自局のEAP-Response/Identity信号と、第2のサプリカント4のEAP-Response/Identity信号を集約(アグリゲート)した、一つのEAP-Response/Identity信号を生成して、認証局1に対して送信する。
【0071】
上述のとおり、サプリカントの数は2つに限定するものではないため、2つ以上の第2のサプリカント4が送信したEAP-response/Identityを受信することもある。その場合は、所定時間内に受信した2つ以上のEAP-Response/Identityと、第1のサプリカント3のEAP-Response/Identityを集約した1つのEAP-response/Identity信号を生成して、認証局1に送信する。
【0072】
なお、複数のEAP-Response/Identityを1つのEAP-Response/Identity信号に集約(アグリゲート)する方式については、例えば、IEEE802.11nに規定される方法を採用することができる。アグリゲートされたEAP-Response/Identityを受信した認証局1は、ステップS68において、アグリゲート数に応じて、複数のEAP-Request/SIM/Start情報をアグリゲートしたEAP-Request/SIM/Start情報を送信する。
【0073】
これを受信した第1のサプリカント3は、自局に該当するEAP-Request/SIM/Start情報を抽出するとともに、ステップT12において、受信したEAP-Request/SIM/Startを第2のサプリカント4に転送する。そして、第2のサプリカント4への転送後に、タイマー等を起動して、応答信号の受信待ちを行う。
【0074】
なお、転送方法としては、第1のサプリカント3は、受信したEAP-Request/SIM/Start信号をそのまま第2のサプリカント4に転送しても良いし、複数のEAP-Request/SIM/Start情報をデアグリゲートして、複数の第2のサプリカント4それぞれに対して、個別にEAP-Request/SIM/Start情報を送信しても良い。それぞれの第2のサプリカント4は、EAP-Request/SIM/Start信号のフォーマットによらず、自局宛てのEAP-Request/SIM/Start情報を抽出し、その応答信号として、EAP-Response/SIM/Start信号を送信する。
【0075】
ステップT13において、第2のサプリカント4が送信するEAP-Response/Identity信号を所定時間内に受信した場合には、ステップS69において、第1のサプリカント3は、タイムアウトする前に受信した第2のサプリカント4からのEAP-Response/SIM/Start信号をアグリゲートして、認証局1に転送する。この時、EAP-Response/SIM/Start情報の一つである乱数NONCE_MTは、第2のサプリカント4毎に異なる。
【0076】
これを受信した認証局1は、ステップS70において、アグリゲートしたEAP-Request/SIM/Challenge信号を第1のサプリカント3に送信する。ここで、EAP-Request/SIM/Challengeの情報要素であるMessage Authentication Code(MAC)は、NONCE_MT毎に生成されるため、第2のサプリカント4毎に異なる。また、情報要素である乱数RAND Challengeは、認証局1が発行する情報であるため共通の値である。
【0077】
このEAP-Request/SIM/Challengeを受信した第1のサプリカント3は、自局に関わるMessage Authentication Codeを確認し、自局に関わるMACが適切でないと判断した場合は、第2のサプリカント4に対してEAP-Request/SIM/Challengeを転送しない。一方、自局に関わるMACが適切であると判断した場合には、ステップT14において、第2のサプリカント4に対してEAP-Request/SIM/Challengeを転送する。そして、転送後にタイマー等を起動して、応答信号の受信待ちを行う。
【0078】
EAP-Request/SIM/Challengeを受信した第2のサプリカント4は、自局に該当するMessage Authentication Codeを確認し、自局に該当するMACが適切であると判断した場合には、ステップT15において、EAP-Response/SIM/Challengeを第1のサプリカント3に送信する。ステップS71において、第1のサプリカント3は、タイムアウト前に受信したEAP-Response/SIM/Challengeをアグリゲートして認証局1に送信する。
【0079】
そして、ステップS72において、認証局1は第1および第2のサプリカント3,4の内、認証処理が成功したサプリカントに対して、集約したEAP-Success信号を送信する。
なお、第1の実施の形態と同様に、認証局1は、認証が完了したサプリカント同士で暗号化通信ができるように、双方の暗号鍵を通知しても良い。
【0080】
[第3の実施の形態]
第3の実施の形態では、より効率化を図るために、共通の情報を使用して各サプリカントを認証するようにした点が第2の実施の形態と異なっている。
【0081】
図7は、2台のサプリカントが連携してオーセンティケータと認証動作を実行する手順を示す信号授受チャートである。なお、本発明はサプリカント数を2つに限定するものではなく、サプリカントが3つ以上の場合であっても適用できる。
【0082】
ステップS75〜S77、T20〜T21は、それぞれ、図6のステップS65〜S67、T10〜T11と同様であるため、その詳細の説明は省略する。
アグリゲートされたEAP-Response/Identityを受信した認証局1は、ステップS78において、アグリゲート数に応じて、複数のEAP-Request/SIM/Start情報をアグリゲートしたEAP-Request/SIM/Start情報を第1のサプリカント3に送信する。
【0083】
EAP-Request/SIM/Start信号を受信した第1のサプリカント3は、当該信号を第2のサプリカント4に転送することなく、ステップS79において、EAP-Response/SIM/Start信号を認証局1に送信する。
但し、EAP-Response/SIM/Start信号に付加される情報であるEAP-SIM versionは、関連する全ての第2のサプリカント4で共通である。また、EAP-Response/SIM/StartのパラメータであるNONCE_MT、AT_SELECTED_VERSIONは共通で一つとする。
【0084】
これを受信した認証局1は、共通のNONCE_MTから共通のMessage Authentication Codeを生成して、ステップS80において、このMACと一つのChallengeとを付加したEAP-Request/SIM/Challenge信号を送信する。
【0085】
第1のサプリカント3は、送信されたMessage Authentication Codeをチェックする。そして、このMACが適切でないと判断した場合は、第2のサプリカントに対してEAP-Request/SIM/Challengeを転送しない。一方、このMACが適切であると判断した場合には、ステップT22において、第2のサプリカントに対してEAP-Request/SIM/Challengeを転送する。
【0086】
これを受信した各第2のサプリカント4は、第1のサプリカント3による認証結果を受け入れてMessage Authentication Codeが適切であると判断し、ステップT23において、それぞれがSRES responseとRANDに基づいて生成したAT_MACとを付加したEAP-Response/SIM/Challengeを第1のサプリカント3に返信する。第1のサプリカントは、それぞれからの返信を1つのEAP-Response/SIM/Challenge信号に集約して、ステップS81において、認証局1に送信する。
【0087】
認証局1は、各サプリカントについて認証処理を行い、全てのサプリカントが正しいサプリカントであると判断した場合には、ステップS82において、第1のサプリカント3にEAP-Successを送信する。このEAP-Successは、第1、および、第2のサプリカントで全て共通に成功であることを示す一つのSRES response情報が付加されている。これを受信した第1サプリカント3は、ステップT24において、それぞれの第2のサプリカント4に対して受信したEAP-Success信号を転送する。
【0088】
また、第1、第2の実施の形態と同様に、認証局1は、認証が完了したサプリカント同士で暗号化通信ができるように、双方の暗号鍵を通知しても良い。
【0089】
このように、ステップS79において、第1のサプリカント3が他のサプリカントを代表して一つのNONCE_MTを付加した信号を送信し、ステップS80において、認証局1が一つのMACを付加した信号を送信する。第1のサプリカント3は、MACがOKと判断したときは、その信号を第2のサプリカント4に転送する。このとき、既に第1のサプリカント3が認証局1を確かな認証局であると判断しているので、第2のサプリカント4は、改めて認証局1の確からしさを判断しなくて良い。
【0090】
以上説明したように、第3の実施の形態では、共通の情報を用いて認証を行うことにより、認証における通信効率をさらに改善することができる。
【0091】
なお、第2のサプリカント4が改めて認証局1の確からしさを判断しても良い。例えば、ステップT22において、第1のサプリカント3は、MACがOKと判断したときは、その信号を第2のサプリカント4に転送する。このとき、パラメータとして自局が認証局1に送信したNONCE_MTとMACとを付加した信号を転送する。第2のサプリカント4はNONCE_MTとMACの情報を用いて認証局1の確からしさを判断する。
【0092】
以上説明した各実施の形態によれば、複数の機器を連携して認証することができるため複数の機器より構成されるシステムについて認証を行う際、効率的で実効性のある認証動作を得ることができる。
【0093】
なお、上述の各実施の形態では、モバイル端末2が第1のサプリカント3と認証局1との間に設けられて、第1のネットワークであるセルラー回線及び第2のネットワークであるWLANを介した通信を行う機能を備えているが、モバイル端末2を設けずに、第1のサプリカント3が第1のネットワーク及び第2のネットワークを介した通信を行う機能を備えていても良い。
【0094】
なお、上述の各実施の形態で説明した機能は、ハードウエアを用いて構成するに留まらず、ソフトウエアを用いて各機能を記載したプログラムをコンピュータに読み込ませて実現することもできる。また、各機能は、適宜ソフトウエア、ハードウエアのいずれかを選択して構成するものであっても良い。
【0095】
尚、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。
上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【符号の説明】
【0096】
1…認証局、2…モバイル端末、3…第1のサプリカント、4…第2のサプリカント、5…第3のサプリカント、10…給電ステーション、11…認証局、12…携帯電話、13…コンセント、14…ブレーカー、15…通信ネットワーク、16…電気自動車。
【特許請求の範囲】
【請求項1】
第1の通信ネットワークを介して認証局と接続すると共に、第2の通信ネットワークを介して他の通信局と接続する通信局であって、
前記第1の通信ネットワークを介した前記認証局との間での所定の認証手順に従った情報授受によって自局の認証を行う認証処理手段と、
自局が前記認証局によって認証されたときは、前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信する認証開始処理手段と
を備えたことを特徴とする通信局。
【請求項2】
前記認証局より認証要求信号を受信したときは、自局に対する認証要求か否かを判断し、自局に対する認証要求でないと判断したときは、当該認証要求信号を前記第2の通信ネットワークを介して他の通信局に転送する認証要求転送手段と、
以降、前記認証局と前記他の通信局との間での前記所定の認証手順に従った授受情報を中継する情報中継手段と
を備えたことを特徴とする請求項1に記載の通信局。
【請求項3】
前記第2の通信ネットワークには前記他の通信局が複数接続され、
前記認証開始手段による前記他の通信局の認証を開始するための認証開始信号の送信動作と、前記認証要求転送手段による認証要求信号の転送動作と、前記情報中継手段による授受情報の中継動作とを、複数の通信局のそれぞれについてシリアルに実行させる実行制御手段を備えたことを特徴とする請求項2に記載の通信局。
【請求項4】
前記複数の他の通信局との情報授受は、マルチホップ方式で実行されるようになされたことを特徴とする請求項3に記載の通信局。
【請求項5】
前記認証開始信号には、前記他の通信局の代理で送信していることを示す情報が含まれていることを特徴とする請求項1乃至4の内いずれか1項に記載の通信局。
【請求項6】
第1の通信ネットワークを介して認証局と接続すると共に、第2の通信ネットワークを介して複数の他の通信局と接続する通信局であって、
自局と前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信する認証開始処理手段と
前記認証局より認証要求信号を受信したときは、当該認証要求信号を前記第2の通信ネットワークを介して複数の前記他の通信局に転送する認証要求転送手段と、
以降、前記認証局と前記他の通信局との間での認証のための情報授受を、前記認証局に対しては自局に関する情報と前記複数の他の通信局から受信した情報とを集約して送信し、前記複数の他の通信局それぞれに対しては前記認証局からの情報を並行して送信する認証情報授受手段と
を備えたことを特徴とする通信局。
【請求項7】
前記認証情報授受手段は、
自局及び複数の前記他の通信局のそれぞれで生成した複数の乱数情報(NONCE)を前記認証局に送信する乱数情報送信手段と、
前記複数の乱数情報に対応して前記認証局で生成された複数の認証情報(MAC)を含む信号を受信する認証情報受信手段と、
自局で生成した乱数情報に対応する認証情報が適正でないときは、前記認証局から送信された前記複数の認証情報を含む信号を前記他の通信局に送信することを禁止する送信禁止手段と
を備えたことを特徴とする請求項6に記載の通信局。
【請求項8】
前記認証情報授受手段は、
自局で生成した一つの乱数情報(NONCE)を前記認証局に送信する乱数情報送信手段と、
前記一つの乱数情報に対応して前記認証局で生成された一つの認証情報(MAC)を受信する認証情報受信手段と、
自局で生成した乱数情報に対応する認証情報が適正でないときは、前記認証局から送信された前記信号を前記他の通信局に送信することを禁止する送信禁止手段と
を備えたことを特徴とする請求項6に記載の通信局。
【請求項9】
第2のネットワークを介して他の通信局と接続する通信局と、第1の通信ネットワークを介して接続する認証局であって、
前記第1の通信ネットワークを介した前記通信局との間での所定の認証手順に従った情報授受によって前記通信局の認証を行う第1の認証処理手段と、
前記通信局を認証した後に、前記通信局より認証開始信号を受信したときは、前記他の通信局の認証を開始するか否かを判断する判断手段と、
前記他の通信局の認証を開始すると判断したときは、前記他の通信局に対する認証要求信号を前記通信局に送信する認証要求手段と、
以降、前記通信局との間で前記所定の認証手順に従った情報授受を行って前記他の通信局を認証する第2の認証処理手段と
を備えたことを特徴とする認証局。
【請求項10】
第2のネットワークを介して複数の他の通信局と接続する通信局と、第1の通信ネットワークを介して接続する認証局であって、
前記第1の通信ネットワークを介して、前記通信局と前記複数の他の通信局の認証を開始するための認証開始信号を受信する認証開始信号受信手段と
前記通信局に認証要求信号を送信する認証要求信号送信手段と、
以降、前記通信局との間で、前記通信局と前記複数の他の通信局とを認証するための情報授受を実行する認証処理手段とを有し、
前記認証のための情報は、前記通信局と前記複数の他の通信局との情報とを集約した情報であることを特徴とする認証局。
【請求項11】
前記他の通信局を認証したときは、前記通信局に対して、前記他の通信局の認証を行ったことを通知する認証通知手段を備えたことを特徴とする請求項9又は10に記載の認証局。
【請求項12】
第1の通信ネットワークを介して認証局と接続すると共に、第3の通信ネットワークを介して他の通信局と接続する通信局と、第2の通信ネットワークを介して接続する、前記認証局と前記通信局との間の授受情報を中継する端末であって、
前記通信局は、
前記第1の通信ネットワークを介した前記認証局との間での所定の認証手順に従った情報授受によって自局の認証を行う通信局認証処理手段と、
自局が前記認証局によって認証されたときは、前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信する認証開始処理手段と、
前記認証局より認証要求信号を受信したときは、自局に対する認証要求か否かを判断し、自局に対する認証要求でないと判断したときは、当該認証要求信号を前記第2の通信ネットワークを介して他の通信局に転送する認証要求転送手段と、
以降、前記認証局と前記他の通信局との間での前記所定の認証手順に従った授受情報を中継する情報中継手段とを備え、
前記認証局は、
前記第1の通信ネットワークを介した前記通信局との間での所定の認証手順に従った情報授受によって前記通信局の認証を行う第1の認証局認証処理手段と、
前記通信局を認証した後に、前記通信局より認証開始信号を受信したときは、前記他の通信局の認証を開始するか否かを判断する判断手段と、
前記他の通信局の認証を開始すると判断したときは、前記他の通信局に対する認証要求信号を前記通信局に送信する認証要求手段と、
以降、前記通信局との間で前記所定の認証手順に従った情報授受を行って前記他の通信局を認証する第2の認証局認証処理手段とを備えた
ことを特徴とする端末。
【請求項13】
第1の通信ネットワークを介して認証局と接続すると共に、第3の通信ネットワークを介して複数の他の通信局と接続する通信局と、第2の通信ネットワークを介して接続する、前記認証局と前記通信局との間の授受情報を中継する端末であって、
前記通信局は、
自局と前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信する認証開始処理手段と
前記認証局より認証要求信号を受信したときは、当該認証要求信号を前記第2の通信ネットワークを介して複数の前記他の通信局に転送する認証要求転送手段と、
以降、前記認証局と前記他の通信局との間での認証のための情報授受を、前記認証局に対しては自局に関する情報と前記複数の他の通信局から受信した情報とを集約して送信し、前記複数の他の通信局それぞれに対しては前記認証局からの情報を並行して送信する認証情報授受手段とを備え、
前記認証局は、
前記第1の通信ネットワークを介して、前記通信局と前記複数の他の通信局の認証を開始するための認証開始信号を受信する認証開始信号受信手段と
前記通信局に認証要求信号を送信する認証要求信号送信手段と、
以降、前記通信局との間で、前記通信局と前記複数の他の通信局とを認証するための情報授受を実行する認証処理手段とを有し、
前記認証のための情報は、前記通信局と前記複数の他の通信局との情報とを集約した情報であること
を特徴とする端末。
【請求項14】
通信局と、当該通信局と第1の通信ネットワークを介して接続する認証局と、当該通信局と第2の通信ネットワークを介して接続する他の通信局とを備えた認証システムの認証方法において、
前記通信局は、
前記第1の通信ネットワークを介した前記認証局との間での所定の認証手順に従った情報授受によって自局の認証を実行し、
自局が前記認証局によって認証されたときは、前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信し、
前記認証局より認証要求信号を受信したときは、自局に対する認証要求か否かを判断し、自局に対する認証要求でないと判断したときは、当該認証要求信号を前記第2の通信ネットワークを介して他の通信局に転送し、
以降、前記認証局と前記他の通信局との間での前記所定の認証手順に従った授受情報を中継し、
前記認証局は、
前記第1の通信ネットワークを介した前記通信局との間での所定の認証手順に従った情報授受によって前記通信局の認証を実行し、
前記通信局を認証した後に、前記通信局より認証開始信号を受信したときは、前記他の通信局の認証を開始するか否かを判断し、
前記他の通信局の認証を開始すると判断したときは、前記他の通信局に対する認証要求信号を前記通信局に送信し、
以降、前記通信局との間で前記所定の認証手順に従った情報授受を行って前記他の通信局を認証する
ことを特徴とする認証方法。
【請求項15】
通信局と、当該通信局と第1の通信ネットワークを介して接続する認証局と、当該通信局と第2の通信ネットワークを介して接続する複数の他の通信局とを備えた認証システムの認証方法において、
前記通信局は、
自局と前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信し、
前記認証局より認証要求信号を受信したときは、当該認証要求信号を前記第2の通信ネットワークを介して複数の前記他の通信局に転送し、
以降、前記認証局と前記他の通信局との間での認証のための情報授受を、前記認証局に対しては自局に関する情報と前記複数の他の通信局から受信した情報とを集約して送信し、前記複数の他の通信局それぞれに対しては前記認証局からの情報を並行して送信し、
前記認証局は、
前記第1の通信ネットワークを介して、前記通信局と前記複数の他の通信局の認証を開始するための認証開始信号を受信し、
前記通信局に認証要求信号を送信し、
以降、前記通信局との間で、前記通信局と前記複数の他の通信局とを認証するための情報授受を実行し、
前記認証のための情報は、前記通信局と前記複数の他の通信局との情報とを集約した情報であること
を特徴とする認証方法。
【請求項1】
第1の通信ネットワークを介して認証局と接続すると共に、第2の通信ネットワークを介して他の通信局と接続する通信局であって、
前記第1の通信ネットワークを介した前記認証局との間での所定の認証手順に従った情報授受によって自局の認証を行う認証処理手段と、
自局が前記認証局によって認証されたときは、前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信する認証開始処理手段と
を備えたことを特徴とする通信局。
【請求項2】
前記認証局より認証要求信号を受信したときは、自局に対する認証要求か否かを判断し、自局に対する認証要求でないと判断したときは、当該認証要求信号を前記第2の通信ネットワークを介して他の通信局に転送する認証要求転送手段と、
以降、前記認証局と前記他の通信局との間での前記所定の認証手順に従った授受情報を中継する情報中継手段と
を備えたことを特徴とする請求項1に記載の通信局。
【請求項3】
前記第2の通信ネットワークには前記他の通信局が複数接続され、
前記認証開始手段による前記他の通信局の認証を開始するための認証開始信号の送信動作と、前記認証要求転送手段による認証要求信号の転送動作と、前記情報中継手段による授受情報の中継動作とを、複数の通信局のそれぞれについてシリアルに実行させる実行制御手段を備えたことを特徴とする請求項2に記載の通信局。
【請求項4】
前記複数の他の通信局との情報授受は、マルチホップ方式で実行されるようになされたことを特徴とする請求項3に記載の通信局。
【請求項5】
前記認証開始信号には、前記他の通信局の代理で送信していることを示す情報が含まれていることを特徴とする請求項1乃至4の内いずれか1項に記載の通信局。
【請求項6】
第1の通信ネットワークを介して認証局と接続すると共に、第2の通信ネットワークを介して複数の他の通信局と接続する通信局であって、
自局と前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信する認証開始処理手段と
前記認証局より認証要求信号を受信したときは、当該認証要求信号を前記第2の通信ネットワークを介して複数の前記他の通信局に転送する認証要求転送手段と、
以降、前記認証局と前記他の通信局との間での認証のための情報授受を、前記認証局に対しては自局に関する情報と前記複数の他の通信局から受信した情報とを集約して送信し、前記複数の他の通信局それぞれに対しては前記認証局からの情報を並行して送信する認証情報授受手段と
を備えたことを特徴とする通信局。
【請求項7】
前記認証情報授受手段は、
自局及び複数の前記他の通信局のそれぞれで生成した複数の乱数情報(NONCE)を前記認証局に送信する乱数情報送信手段と、
前記複数の乱数情報に対応して前記認証局で生成された複数の認証情報(MAC)を含む信号を受信する認証情報受信手段と、
自局で生成した乱数情報に対応する認証情報が適正でないときは、前記認証局から送信された前記複数の認証情報を含む信号を前記他の通信局に送信することを禁止する送信禁止手段と
を備えたことを特徴とする請求項6に記載の通信局。
【請求項8】
前記認証情報授受手段は、
自局で生成した一つの乱数情報(NONCE)を前記認証局に送信する乱数情報送信手段と、
前記一つの乱数情報に対応して前記認証局で生成された一つの認証情報(MAC)を受信する認証情報受信手段と、
自局で生成した乱数情報に対応する認証情報が適正でないときは、前記認証局から送信された前記信号を前記他の通信局に送信することを禁止する送信禁止手段と
を備えたことを特徴とする請求項6に記載の通信局。
【請求項9】
第2のネットワークを介して他の通信局と接続する通信局と、第1の通信ネットワークを介して接続する認証局であって、
前記第1の通信ネットワークを介した前記通信局との間での所定の認証手順に従った情報授受によって前記通信局の認証を行う第1の認証処理手段と、
前記通信局を認証した後に、前記通信局より認証開始信号を受信したときは、前記他の通信局の認証を開始するか否かを判断する判断手段と、
前記他の通信局の認証を開始すると判断したときは、前記他の通信局に対する認証要求信号を前記通信局に送信する認証要求手段と、
以降、前記通信局との間で前記所定の認証手順に従った情報授受を行って前記他の通信局を認証する第2の認証処理手段と
を備えたことを特徴とする認証局。
【請求項10】
第2のネットワークを介して複数の他の通信局と接続する通信局と、第1の通信ネットワークを介して接続する認証局であって、
前記第1の通信ネットワークを介して、前記通信局と前記複数の他の通信局の認証を開始するための認証開始信号を受信する認証開始信号受信手段と
前記通信局に認証要求信号を送信する認証要求信号送信手段と、
以降、前記通信局との間で、前記通信局と前記複数の他の通信局とを認証するための情報授受を実行する認証処理手段とを有し、
前記認証のための情報は、前記通信局と前記複数の他の通信局との情報とを集約した情報であることを特徴とする認証局。
【請求項11】
前記他の通信局を認証したときは、前記通信局に対して、前記他の通信局の認証を行ったことを通知する認証通知手段を備えたことを特徴とする請求項9又は10に記載の認証局。
【請求項12】
第1の通信ネットワークを介して認証局と接続すると共に、第3の通信ネットワークを介して他の通信局と接続する通信局と、第2の通信ネットワークを介して接続する、前記認証局と前記通信局との間の授受情報を中継する端末であって、
前記通信局は、
前記第1の通信ネットワークを介した前記認証局との間での所定の認証手順に従った情報授受によって自局の認証を行う通信局認証処理手段と、
自局が前記認証局によって認証されたときは、前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信する認証開始処理手段と、
前記認証局より認証要求信号を受信したときは、自局に対する認証要求か否かを判断し、自局に対する認証要求でないと判断したときは、当該認証要求信号を前記第2の通信ネットワークを介して他の通信局に転送する認証要求転送手段と、
以降、前記認証局と前記他の通信局との間での前記所定の認証手順に従った授受情報を中継する情報中継手段とを備え、
前記認証局は、
前記第1の通信ネットワークを介した前記通信局との間での所定の認証手順に従った情報授受によって前記通信局の認証を行う第1の認証局認証処理手段と、
前記通信局を認証した後に、前記通信局より認証開始信号を受信したときは、前記他の通信局の認証を開始するか否かを判断する判断手段と、
前記他の通信局の認証を開始すると判断したときは、前記他の通信局に対する認証要求信号を前記通信局に送信する認証要求手段と、
以降、前記通信局との間で前記所定の認証手順に従った情報授受を行って前記他の通信局を認証する第2の認証局認証処理手段とを備えた
ことを特徴とする端末。
【請求項13】
第1の通信ネットワークを介して認証局と接続すると共に、第3の通信ネットワークを介して複数の他の通信局と接続する通信局と、第2の通信ネットワークを介して接続する、前記認証局と前記通信局との間の授受情報を中継する端末であって、
前記通信局は、
自局と前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信する認証開始処理手段と
前記認証局より認証要求信号を受信したときは、当該認証要求信号を前記第2の通信ネットワークを介して複数の前記他の通信局に転送する認証要求転送手段と、
以降、前記認証局と前記他の通信局との間での認証のための情報授受を、前記認証局に対しては自局に関する情報と前記複数の他の通信局から受信した情報とを集約して送信し、前記複数の他の通信局それぞれに対しては前記認証局からの情報を並行して送信する認証情報授受手段とを備え、
前記認証局は、
前記第1の通信ネットワークを介して、前記通信局と前記複数の他の通信局の認証を開始するための認証開始信号を受信する認証開始信号受信手段と
前記通信局に認証要求信号を送信する認証要求信号送信手段と、
以降、前記通信局との間で、前記通信局と前記複数の他の通信局とを認証するための情報授受を実行する認証処理手段とを有し、
前記認証のための情報は、前記通信局と前記複数の他の通信局との情報とを集約した情報であること
を特徴とする端末。
【請求項14】
通信局と、当該通信局と第1の通信ネットワークを介して接続する認証局と、当該通信局と第2の通信ネットワークを介して接続する他の通信局とを備えた認証システムの認証方法において、
前記通信局は、
前記第1の通信ネットワークを介した前記認証局との間での所定の認証手順に従った情報授受によって自局の認証を実行し、
自局が前記認証局によって認証されたときは、前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信し、
前記認証局より認証要求信号を受信したときは、自局に対する認証要求か否かを判断し、自局に対する認証要求でないと判断したときは、当該認証要求信号を前記第2の通信ネットワークを介して他の通信局に転送し、
以降、前記認証局と前記他の通信局との間での前記所定の認証手順に従った授受情報を中継し、
前記認証局は、
前記第1の通信ネットワークを介した前記通信局との間での所定の認証手順に従った情報授受によって前記通信局の認証を実行し、
前記通信局を認証した後に、前記通信局より認証開始信号を受信したときは、前記他の通信局の認証を開始するか否かを判断し、
前記他の通信局の認証を開始すると判断したときは、前記他の通信局に対する認証要求信号を前記通信局に送信し、
以降、前記通信局との間で前記所定の認証手順に従った情報授受を行って前記他の通信局を認証する
ことを特徴とする認証方法。
【請求項15】
通信局と、当該通信局と第1の通信ネットワークを介して接続する認証局と、当該通信局と第2の通信ネットワークを介して接続する複数の他の通信局とを備えた認証システムの認証方法において、
前記通信局は、
自局と前記他の通信局の認証を開始するための認証開始信号を前記第1の通信ネットワークを介して送信し、
前記認証局より認証要求信号を受信したときは、当該認証要求信号を前記第2の通信ネットワークを介して複数の前記他の通信局に転送し、
以降、前記認証局と前記他の通信局との間での認証のための情報授受を、前記認証局に対しては自局に関する情報と前記複数の他の通信局から受信した情報とを集約して送信し、前記複数の他の通信局それぞれに対しては前記認証局からの情報を並行して送信し、
前記認証局は、
前記第1の通信ネットワークを介して、前記通信局と前記複数の他の通信局の認証を開始するための認証開始信号を受信し、
前記通信局に認証要求信号を送信し、
以降、前記通信局との間で、前記通信局と前記複数の他の通信局とを認証するための情報授受を実行し、
前記認証のための情報は、前記通信局と前記複数の他の通信局との情報とを集約した情報であること
を特徴とする認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2011−182335(P2011−182335A)
【公開日】平成23年9月15日(2011.9.15)
【国際特許分類】
【出願番号】特願2010−46981(P2010−46981)
【出願日】平成22年3月3日(2010.3.3)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成23年9月15日(2011.9.15)
【国際特許分類】
【出願日】平成22年3月3日(2010.3.3)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.GSM
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]