JP2006041594A - Mobile communication system and authentication method of mobile terminal - Google Patents
Mobile communication system and authentication method of mobile terminal Download PDFInfo
- Publication number
- JP2006041594A JP2006041594A JP2004214084A JP2004214084A JP2006041594A JP 2006041594 A JP2006041594 A JP 2006041594A JP 2004214084 A JP2004214084 A JP 2004214084A JP 2004214084 A JP2004214084 A JP 2004214084A JP 2006041594 A JP2006041594 A JP 2006041594A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- mobile terminal
- authentication information
- wireless
- access point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、無線LANシステムにおける移動端末の認証技術に関する。特に、移動端末が無線LANシステム内の複数の無線アクセスポイント間をハンドオーバする際の認証技術に関する。 The present invention relates to a mobile terminal authentication technique in a wireless LAN system. In particular, the present invention relates to an authentication technique when a mobile terminal performs handover between a plurality of wireless access points in a wireless LAN system.
無線LANシステム内の移動端末は、無線LANシステム内に設置された無線アクセスポイント(以後、無線APと呼ぶ。)を介して、外部のネットワークに接続される。 A mobile terminal in a wireless LAN system is connected to an external network via a wireless access point (hereinafter referred to as wireless AP) installed in the wireless LAN system.
無線LANシステムには、複数の無線APが配置され、移動端末は、現在位置のエリアをカバーする無線APを介して、外部のネットワークに接続され、外部のネットワークに接続される相手先端末とデータの送受信を行う。 In the wireless LAN system, a plurality of wireless APs are arranged, and the mobile terminal is connected to an external network via the wireless AP that covers the area of the current position, and the destination terminal and data connected to the external network Send and receive.
移動端末は、データの送受信中に移動した場合、今度は、移動先を管理エリアとする無線APを介して外部のネットワークに接続される。このように移動端末が、移動に伴って中継する無線APを切り替えることを、ハンドオーバと呼ぶ。 If the mobile terminal moves during transmission / reception of data, this time, the mobile terminal is connected to an external network via a wireless AP whose destination is the management area. The switching of the wireless AP relayed by the mobile terminal as it moves is called handover.
図1に、無線LANシステムのイメージ図を示す。本図に示すように、無線LANシステム内には、無線AP201、202、203・・・215が配置される。以後、特に区別する必要がない場合は、これらを無線AP200で代表する。移動端末100は、移動に伴い、現在位置をカバーする無線AP200を介して外部ネットワークに接続される。
FIG. 1 shows an image diagram of a wireless LAN system. As shown in this figure,
ところで、無線LANは、伝送路としてのケーブルが不要であることから、容易にLANを構築することができる。反面、電波の到達範囲が目に見えないことから、悪意ある第三者によって不正侵入を図られるリスクも存在する。これを回避するため、無線LANシステムには、セキュリティ対策が必須である。 By the way, since the wireless LAN does not require a cable as a transmission path, the LAN can be easily constructed. On the other hand, since the reach of radio waves is invisible, there is also a risk that unauthorized intrusion can be attempted by a malicious third party. In order to avoid this, security measures are indispensable for the wireless LAN system.
セキュリティ対策として、例えば、接続する移動端末100を認証し、認証が成功した場合のみ、接続を許可する方式がある。その代表的なものとしてIEEE801.1xに規定された方式がある。
As a security measure, for example, there is a method of authenticating the
IEEE802.1xによれば、無線LANシステムは、無線AP200を介して接続を試みる移動端末100の認証を行う認証サーバ300を備える。移動端末100から、接続するための認証要求を受信した無線AP200は、認証サーバ300との間で所定の認証手順を実行することにより、その移動端末100の正当性を認証する。認証が成功した場合、その移動端末100に暗号化鍵を配布し、移動端末100は、その暗号化鍵を用いて暗号化された無線通信を行う。
According to IEEE802.1x, the wireless LAN system includes an
なお、移動端末100の正当性は、予め認証サーバ300に登録された外部ネットワークへのアクセス権限の有無で判断される。例えば、認証サーバ300がRADIUS(Remote Authentication Dial In User Service)プロトコルに従ってアクセスを認証するRADIUSサーバの場合、予めユーザ登録されていれば、アクセス権限ありと判断し、登録がなされていなければ、アクセス権限なしと判断する。
The validity of the
図1に示す無線LANシステムにおいて、一例として無線AP201と無線AP202と、認証サーバ300とを備える場合の、システム構成を図2に示す。
In the wireless LAN system shown in FIG. 1, a system configuration in the case where the
本図に示すように、認証サーバ300は無線AP201、202に有線回線で接続される。また、無線AP201、202は、ゲートウェイ400を介して、外部ネットワーク500に接続される。相手先端末600は、外部ネットワーク500に接続される。移動端末100は、無線AP200を介して、外部のネットワーク500に接続する相手先端末600とデータの送受信を行う。
As shown in the figure, the
IEEE802.1x規格に従ったアクセス制御によれば、無線AP200は、移動端末100からの認証要求を受信する毎に、認証サーバ300にアクセスし、移動端末100の認証を行う。
According to the access control according to the IEEE 802.1x standard, the
図13は、無線LANシステム内での、ハンドオーバが発生した場合の、従来の一般的な認証手順の概略を説明するための図である。 FIG. 13 is a diagram for explaining an outline of a conventional general authentication procedure when a handover occurs in the wireless LAN system.
本図に示すように、移動端末100は、無線AP201の管理するエリアに移動すると、無線AP201に認証要求をし(S001)、その後、無線AP201は、認証サーバ300との間で要求元の移動端末100の認証を行う(S002)。認証成功後、移動端末100は、相手先端末600とデータ通信が可能となる。
As shown in this figure, when the
移動端末100が無線AP202のエリアに移動すると、移動端末100は、今度は無線AP202に認証要求をし(S003)、それを受けて、無線AP202は、認証サーバ300との間で移動端末100の認証を行う(S004)。認証成功後、移動端末100は、相手先端末600とデータ通信が可能となる。
When the
ここで、移動端末100が、無線AP201に認証要求をし、その後無線AP202にハンドオーバする場合の、認証動作を説明する。図14は、本認証動作のシーケンスである。なお、ここでは、IEEE802.1x規格に従ったEAP(Extensive Authentication Protocol)−MD5による認証動作を例にあげて説明する。
Here, an authentication operation when the
PPP EAPOL-Start : 移動端末100は、PPP EAPOL開始処理として、無線AP201に認証要求である認証開始メッセージを送信する(ステップ(1))。
PPP EAPOL-Start: The
PPP EAPOL-Request/Identity : 認証開始メッセージを受信した無線AP201は、移動端末100の識別子(ID)を要求するPPP EAP要求を、移動端末100に送信する(ステップ(2))。
PPP EAPOL-Request / Identity: The
PPP EAP-Response/Identity : PPP EAP要求を受信した移動端末100は、自身のIDであるユーザ名を、PPP EAP応答として、無線AP201に通知する(ステップ(3))。
PPP EAP-Response / Identity: The
RADIUS Access Request : PPP EAP応答を受信した無線AP201は、RADIUSプロトコルに従ったアクセス要求として、移動端末100のIDを認証サーバ300に通知する(ステップ(4))。
RADIUS Access Request: The
RADIUS Access Challenge : 認証サーバ300は、認証要求元の移動端末100のIDを受信すると、乱数を生成し、生成した乱数を、RADIUSアクセスチャレンジとして、アクセス要求送信元の無線AP201に送信する。また、認証サーバ300は、外部ネットワークにアクセスを許可されている移動端末100の認証情報を予め保持している。受信した移動端末100のIDをキーにこの認証情報を検索し、該当するデータに送信した乱数を対応付けて管理する(ステップ(5))。
RADIUS Access Challenge: Upon receiving the ID of the authentication request source
PPP EAP-Request/MD5-Cha11enge : 無線AP201は、受信した乱数を、PPP EAP要求として、移動端末100に送信する(ステップ(6))。
PPP EAP-Request / MD5-Cha11enge: The
PPP EAP-Response/MD5-Cha11enge : 移動端末100は、無線AP201を介して認証サーバ300から通知された乱数と、自身の識別子(ID)と、パスワードとを用いて、MD5のメッセージダイジェスト関数値を算出し、無線AP201に通知する(ステップ(7))。
PPP EAP-Response / MD5-Cha11enge: The
RADIUS Access-Request : 無線AP201は、RADIUSアクセス要求として受信したMD5のメッセージダイジェスト関数値を認証サーバ300に送信する(ステップ(8))。受信した認証サーバ300は、自身が認証情報として保持しているIDとパスワードとステップ(5)で送信した乱数とを用いてメッセージダイジェスト関数値を算出し、受信した値と比較することにより、認証を行う。
RADIUS Access-Request: The
RADIUS Access-Accept : 認証サーバ300は、認証成功または不成功を、無線AP201に通知する(ステップ(9))。
RADIUS Access-Accept: The
PPP EAP-Success / Failure : 無線AP201は、受信した認証の成否を移動端末100に通知する。ここで、認証が不成功の場合、ステップ(6)以降を再度繰り返す、または、処理を打ち切るなど構成する(ステップ(10))。
PPP EAP-Success / Failure: The
PPP EAPOL-Key : ステップ(10)において、認証成功の場合、無線AP201は、移動端末100に、暗号鍵情報を送信する(ステップ(11))。これ以降、移動端末100は、この暗号鍵を用いて、送信するデータを暗号化することにより、外部ネットワーク500との通信が可能となる。
PPP EAPOL-Key: When authentication is successful in step (10), the
移動端末100は、無線AP201を介して、SIPなどの呼制御手順により外部ネットワークに接続する相手先端末600との通信路を開設し、データの送受信を行う(ステップ(12))。例えば、移動端末100と相手先端末600とがIP電話機の場合、VoIP通話が行われる。
The
エリア移動:ここで、データの送受信中、移動端末100が移動したことにより、無線AP201から無線AP202にハンドオーバが発生したとする(ステップ(13))。
Area movement: Here, it is assumed that a handover occurs from the
PPP EAPOL-Start : 移動端末100が、無線AP202が管理するエリアに移動したとき、移動端末100は、無線AP202に向けて、外部ネットワークにアクセスするための認証要求を送信する(ステップ(14))。
PPP EAPOL-Start: When the
以後、上記ステップ(2)から(11)の手順が、無線AP201の代わりに無線AP202を介して行われ(ステップ(14)からステップ(24))、移動端末100は、認証が成功し、暗号鍵を無線AP202から取得した後、相手先端末600とデータの送受信を行うことができる。
Thereafter, the procedure from step (2) to step (11) is performed via the
移動端末100が無線AP200に認証を要求してから認証成功までには、上記の手順のステップ(1)から(11)、または、ステップ(13)から(24)までの処理が必要である。そして、これらの処理には、数秒かかることがある。従って、例えば、移動端末100が、無線AP201から無線AP202にハンドオーバした場合、上記の手順のステップ(13)から(24)までの処理の間、移動端末は未認証であるため、データの送受信が途切れてしまうことがある。
Processing from step (1) to (11) or steps (13) to (24) of the above procedure is required from when the
ハンドオーバ時のデータ送受信の途切れを回避するものとして、認証が確立するまでの間、ハンドオーバ前の無線AP200が付与した暗号化鍵を継続して使用する方法がある(例えば、特許文献1参照。)。
As a method for avoiding interruption of data transmission / reception at the time of handover, there is a method in which the encryption key assigned by the
ここでは、ハンドオーバする前に、ハンドオーバ先の無線APに、ハンドオーバ元の無線APとの間の通信に使われていた暗号化キーを配布し、ハンドオーバ先の無線APが、認証サーバを用いて移動端末の認証を行っている間、その暗号化キーを用いて、通信を継続する。 Here, before the handover, the encryption key used for communication with the handover source wireless AP is distributed to the handover destination wireless AP, and the handover destination wireless AP moves using the authentication server. While the terminal is being authenticated, communication is continued using the encryption key.
特許文献1の技術を用いることにより、通信が途切れる状態、すなわち、無音状態の期間は減少する。しかしながら、特許文献1の方法を実現するためには、移動端末に、暗号鍵が一時的使用のものか通常使用のものかを区別する情報を保持する機能など、新たな機能を実装する必要がある。すなわち、現在使われている移動端末をそのまま用いて、通信の途切れ、すなわち、無音状態の期間を減少させることができない。
By using the technique of
そこで、移動端末に、新たな構成を付加することなく、ハンドオーバ時の無音状態の期間を減少させることが望まれている。 Therefore, it is desired to reduce the period of silent state at the time of handover without adding a new configuration to the mobile terminal.
本発明は、上記事情に鑑み、なされたものであり、複数のアクセスポイントを備える無線LANシステムにおいて、移動端末がハンドオーバする可能性のあるアクセスポイントに、予め当該移動端末の認証情報を送信しておき、ハンドオーバ時には、移動端末とアクセスポイントとの間のみで認証を行う。 The present invention has been made in view of the above circumstances, and in a wireless LAN system including a plurality of access points, authentication information of the mobile terminal is transmitted in advance to an access point where the mobile terminal may be handed over. At the time of handover, authentication is performed only between the mobile terminal and the access point.
具体的には、移動端末を外部ネットワークに接続する複数のアクセスポイントと、前記移動端末の認証を行う認証サーバとを備える移動通信システムであって、前記認証サーバは、前記複数のアクセスポイントの中の1のアクセスポイントを介して前記移動端末からの認証要求を受け取ると、当該移動端末の認証を行う認証手段と、前記認証手段での認証後、当該移動端末の認証情報を、当該移動端末が自身の管理エリアに移動する可能性のあるアクセスポイントとして予め管理されているアクセスポイントへ送信する認証情報共有指示手段と、を備え前記アクセスポイントは、前記移動端末の認証情報を保持する認証サーバから送信された前記移動端末の認証情報を共有認証情報として保持する共有認証情報保持手段と、前記移動端末から認証要求を受信した場合、前記共有認証情報に当該移動端末の認証情報が保持されているか否かを判断し、保持されている場合、当該共有情報に保持されている認証情報を用いて認証を行い、保持されていない場合、前記認証サーバとの間の当該移動端末の認証の仲介を行う認証処理手段と、を備えることを特徴とする移動通信システムを提供する。 Specifically, a mobile communication system comprising a plurality of access points for connecting a mobile terminal to an external network and an authentication server for authenticating the mobile terminal, wherein the authentication server is one of the plurality of access points. When the authentication request from the mobile terminal is received via the one access point, the authentication means for authenticating the mobile terminal, and the authentication information of the mobile terminal after the authentication by the authentication means, Authentication information sharing instruction means for transmitting to an access point that is managed in advance as an access point that may move to its own management area, the access point from an authentication server that holds authentication information of the mobile terminal Shared authentication information holding means for holding transmitted authentication information of the mobile terminal as shared authentication information, and from the mobile terminal When the authentication request is received, it is determined whether the authentication information of the mobile terminal is held in the shared authentication information. If the authentication request is held, authentication is performed using the authentication information held in the shared information. And a mobile communication system comprising: an authentication processing unit that mediates authentication of the mobile terminal with the authentication server if not held.
本発明によれば、無線LANシステムにおいて、従来の移動端末をそのまま用いて、ハンドオーバ時の無音状態の期間を減少させることができる。 According to the present invention, in a wireless LAN system, a conventional mobile terminal can be used as it is, and the period of silence during handover can be reduced.
以下に、本発明を適用した実施形態を説明する。 Embodiments to which the present invention is applied will be described below.
本実施形態のシステム構成図は、図2に示した従来のシステム構成図と同様であるため、これを利用して説明する。 The system configuration diagram of this embodiment is the same as the conventional system configuration diagram shown in FIG. 2, and will be described using this.
まず、本実施形態の認証手順の概略を説明する。 First, the outline of the authentication procedure of this embodiment will be described.
本実施形態の認証手順は、従来の認証手順(図13参照)におけるS004の認証を省略するものである。 The authentication procedure of this embodiment omits the authentication in S004 in the conventional authentication procedure (see FIG. 13).
本実施形態のハンドオーバ発生時の認証手順の概略を、図3に示す。 An outline of the authentication procedure at the time of occurrence of handover according to the present embodiment is shown in FIG.
本図に示すように、移動端末100は、無線AP201のエリアに移動すると、無線AP201に認証要求し(S001a)、その後、無線AP201は、認証サーバ300との間で、移動端末100の認証を行う(S002a)。認証処理後、移動端末100が無線AP201を介して相手先端末600とデータ送受信中に、認証サーバ300は、無線AP201の近傍の無線AP202に、移動端末100の認証情報を予め送信しておく(S003a)。
As shown in this figure, when the
移動端末100が、無線AP201から無線AP202にハンドオーバした場合、無線AP202は、S003aで受信している認証情報を用いて、移動端末100を認証する(S004a)。
When the
以上の方法により、本実施形態では、移動端末100が無線AP200間をハンドオーバした場合、ハンドオーバ先の無線APにおいて、再度認証サーバ300を介して、認証を行う必要がない。
According to the above method, in the present embodiment, when the
次に、本実施形態の移動端末100と、無線AP200と、認証サーバ300との間の認証時の動作シーケンスを説明する。図4に、本実施形態の認証シーケンスを示す。
Next, an operation sequence at the time of authentication among the
ここでは、移動端末100は、まず、無線AP201が管理するエリアで新規に認証要求を行い、その後、無線AP202が管理するエリアに移動する場合を例にあげて説明する。無線AP202および無線AP204は、無線AP201からハンドオーバがあり得る無線AP200(近傍無線AP)として、また、無線AP204は、無線AP202の近傍無線APとして、認証サーバ300で管理されるものとする。図14に示す従来のシーケンスと同様、IEEE802.1x規格に従ったEAP−MD5による認証動作を例にあげて説明する。
Here, a case will be described as an example where the
移動端末100が、無線AP201を介して、新規に認証要求をする場合の、認証手順は、図14に示す従来のシーケンス(ステップ(1)から(12))と基本的に同様であるため、ここでは、説明しない。
When the
認証情報共有要求:認証サーバ300は、ステップ(8)のRADIUSアクセス要求を受けて行った認証が成功すると、要求元の無線AP201の近傍の無線AP200として管理されている無線AP200を抽出する。ここでは、無線AP202、無線AP204に送信する(ステップ(13))。そして、抽出した全無線AP200に向けて、移動端末100の認証情報を、認証情報共有要求として送信する。
Authentication information sharing request: When the authentication performed in response to the RADIUS access request in step (8) is successful, the
認証情報登録:認証サーバ300から、認証情報共有要求を受信した無線AP202および無線AP204は、受信した移動端末100の認証情報をそれぞれ共有認証情報として保持する(ステップ(14))。
Authentication information registration: The
認証情報共有応答:その後、無線AP202および無線AP204は、認証情報共有応答を認証サーバ300に返信する(ステップ(15))。
Authentication information sharing response: Thereafter, the
なお、ステップ(13)から(15)の処理は、本実施形態では、移動端末100と相手先端末600との間のデータの送受信開始後に行うよう記載しているが、ステップ(9)の認証成功後であって(16)の移動端末100のエリア移動前であれば、いつでもよい。
In this embodiment, the processing of steps (13) to (15) is described to be performed after the start of data transmission / reception between the
エリア移動:データ送受信中の移動端末100が、無線AP201が管理するエリアから、無線AP202が管理するエリアに移動し、ハンドオーバが発生する(ステップ(16))。
Area movement: The
EAPOL Start : 移動端末100は、PPP EAPOL開始処理として無線AP202に認証開始メッセージ(認証要求)を送信する(ステップ(17))。
EAPOL Start: The
PPP EAPOL-Request/Identity : 認証開始メッセージ(認証要求)を受信した無線AP202は、移動端末100の識別子(ID)を要求するPPP EAP要求を、移動端末100に送信する(ステップ(18))。
PPP EAPOL-Request / Identity: The
PPP EAP-Response/Identity : PPP EAP要求を受信した移動端末100は、自身のIDであるユーザ名を、PPP EAP応答として、無線AP202に通知する(ステップ(19))。
PPP EAP-Response / Identity: The
PPP EAP-Request/MD5-Cha11enge : 無線AP202は、受信したIDを自身が共有認証情報として保持しているか否かを確認し、保持している場合、乱数を生成し、PPP EAP要求として、移動端末100に送信する(ステップ(20))。
PPP EAP-Request / MD5-Cha11enge: The
PPP EAP-Response/MD5-Cha11enge : 移動端末100は、無線AP202から通知された乱数と、自身の識別子(ID)と、パスワードとを用いて、MD5のメッセージダイジェスト関数値を算出し、無線AP202に通知する(ステップ(21))。
PPP EAP-Response / MD5-Cha11enge: The
PPP EAP-Success / Failure: 無線AP202は、自身が共有認証情報として保持しているIDとパスワードとステップ(20)で送信した乱数とを用いてメッセージダイジェスト関数値を算出し、受けとった値と比較することにより、認証を行う。そして、認証の成否を移動端末100に通知する。認証が不成功の場合は、通常の認証時の不成功の場合と同様の処理を行う(ステップ(22))。
PPP EAP-Success / Failure: The
PPP EAPOL-Key : ステップ(22)において、認証成功の場合、無線AP202は、移動端末100に、暗号鍵情報を送信する(ステップ(23))。これ以降、移動端末100は、この暗号鍵を用いて、送信するデータを暗号化することにより、外部ネットワーク500との通信が可能となる(ステップ(24))。
PPP EAPOL-Key: If the authentication is successful in step (22), the
端末移動通知:ステップ(20)において、受信したIDを共有認証情報として保持している場合、新たな認証要求ではなく、エリア移動によるハンドオーバであると判断する。そして、ステップ(23)において暗号鍵情報の送信を行った後、無線AP202は、認証サーバ300に、端末が自身の管理エリアに移動してきたことを通知するため、端末移動通知を送信する(ステップ(25))。なお、本通知処理は、次のエリア移動までの間であれば、いつでもよい。
Terminal movement notification: If the received ID is held as shared authentication information in step (20), it is determined that the handover is not due to a new authentication request but is due to area movement. After transmitting the encryption key information in step (23), the
端末移動応答:認証サーバ300は、端末移動通知を受信すると、送信元の無線AP200に、当該通知を受信したことを通知するため、端末移動応答を送信する(ステップ(26))。
Terminal movement response: Upon receiving the terminal movement notification, the
認証情報解除要求:認証サーバ300は、ハンドオーバ前に端末移動通知内に含まれる移動端末100の通信を中継していた無線AP200(ここでは無線AP201)の近傍無線APとして管理されている無線AP200(ここでは無線AP202、204)に、認証情報解除要求を送信する(ステップ(27))。
Authentication information release request: The
認証情報解除:認証サーバ300から認証情報解除要求を受信した無線AP200は、自身が保持している共有認証情報から、該当する移動端末100の認証情報を削除する(ステップ(28))。
Authentication information cancellation: The
認証情報解除応答:ステップ(28)の削除処理を終えると、無線AP20は、その旨を認証情報解除応答として認証サーバ300に通知する(ステップ(29))。
Authentication information cancellation response: When the deletion process of step (28) is completed, the
認証情報共有要求:認証情報解除応答を各無線AP200(ここでは、無線AP202、204)から受信すると、上記ステップ(25)で受信した端末移動通知の送信元無線AP200(ここでは、無線AP202)の近傍の無線APとして管理されている無線AP200(ここでは、無線AP204)に認証情報共有要求を送信し、上記ステップ(14)、(15)の処理を行い、近傍の無線APに移動端末100の認証情報を登録する。
Authentication information sharing request: When an authentication information release response is received from each wireless AP 200 (here,
次に、上記処理動作を実現する本実施形態の各構成要素の詳細を説明する。 Next, details of each component of the present embodiment that realizes the processing operation will be described.
まず、本実施形態の認証サーバ300について説明する。図5は、認証サーバ300の機能ブロック図である。
First, the
本図に示すように、認証サーバ300は、RADIUSサーバ部301と、有線LAN制御部302と、認証情報共有管理部303とを備える。
As shown in the figure, the
有線LAN制御部302は、有線LANの送受信を制御する。本実施形態では、RADIUSプロトコルに従ったアクセス要求は、RADIUSサーバ部301に受け渡し、その他の認証情報共有要求、端末移動通知、認証情報解除溶融など認証情報共有に関する情報は、認証情報共有管理部303に受け渡す。
The wired
RADIUSサーバ部301は、通常のRADIUSサーバとしての処理を行うとともに、認証結果を認証情報共有管理部303に通知する。
The
RADIUSサーバ部301は、通常のRADIUSサーバと同様の認証処理を行う認証処理部3011と、認証結果を認証情報共有管理部303に通知する認証通知部3012と、予め登録されている各移動端末100の認証情報を保持する認証情報テーブル3013とを備える。
The
認証処理部3011は、無線AP200から移動端末100の認証要求を受信すると、認証情報テーブル3013を参照することにより、要求元の移動端末100の正当性を確認する。そして、認証の成否を、要求元の無線AP200に通知する。これらの機能は、従来の認証サーバ300の機能と同じである。
Upon receiving an authentication request for the mobile terminal 100 from the
上記の認証シーケンスでいえば、ステップ(4)で受信したアクセス要求に従って、ステップ(5)のRADIUS Access Challenge処理を行い、RADIUSアクセスチャレンジを送信する処理、および、ステップ(8)でRADIUSアクセス要求を受信し、上記の認証を行い、ステップ(9)で結果を通知する処理を行う。 Speaking of the above authentication sequence, in accordance with the access request received in step (4), the RADIUS access challenge process in step (5) is performed and the RADIUS access challenge is transmitted, and the RADIUS access request is transmitted in step (8). It receives, performs the above authentication, and performs a process of notifying the result in step (9).
ここで、認証情報テーブル3013の一例を図6に示す。本図に示すように、認証情報テーブル3013は、移動端末100の識別子であるIDが保持されるID保持部3013aと、パスワードが保持されるパスワード保持部3013bと、移動端末100を認証する際に生成する乱数を保持する乱数保持部3013cとを備える。
An example of the authentication information table 3013 is shown in FIG. As shown in this figure, the authentication information table 3013 is used to authenticate the
IDとパスワードとは、個々の移動端末100毎に、予め登録され、また、乱数は、上記のRADIUS Access Challenge処理時に作成したものが格納される。
The ID and the password are registered in advance for each
認証通知部3012は、認証が成功した場合、認証が成功した移動端末100の認証情報と中継する無線AP200を特定する情報(以後、無線AP識別子と呼ぶ。)とを認証情報共有管理部303に通知する。上記の認証シーケンスでは、ステップ(9)の認証の成否を通知した後、通知を行う。
If the authentication is successful, the
認証情報共有管理部303は、共有管理処理部3031と、近傍AP管理テーブル3032と、移動端末管理テーブル3033とを備える。
The authentication information sharing
近傍AP管理テーブル3032は、本認証サーバ303に接続された無線AP200ごとに、近傍の無線AP200を管理するものである。
The neighboring AP management table 3032 manages the neighboring
近傍AP管理テーブル3032の一例を図7に示す。これは、図1のように無線AP200が配置されている場合の近傍AP管理テーブル3032の一例である。
An example of the neighboring AP management table 3032 is shown in FIG. This is an example of the neighboring AP management table 3032 when the
本図に示すように、近傍AP管理テーブル3032は、無線AP200の識別子を格納する無線AP識別子格納部3032aと、無線AP識別子格納部3032aに格納される無線AP200の近傍エリアを管理する無線AP200の識別子を格納する近傍無線AP識別子格納部3032bとを備える。近傍無線AP識別子格納部3032bには、無線AP識別子格納部3032aに格納された無線AP200からハンドオーバする可能性のある無線AP200の識別子が全て格納される。本テーブルは、無線LANシステム構築時にシステム設計者などにより登録される。
As shown in the figure, the neighboring AP management table 3032 includes a wireless AP
移動端末管理テーブル3033は、無線AP200が、現在通信を中継している移動端末100を管理するテーブルである。図8に一例を示す。
The mobile terminal management table 3033 is a table for managing the
本図に示すように、移動端末管理テーブル3033は、無線AP200の識別子を格納する無線AP識別子格納部3033aと、その無線APのエリア内の移動端末100のIDを保持するID格納部3033bとを備える。本テーブルは、後述の共有管理処理部3031が、認証通知部3012より情報を受信し、それを格納することにより構築される。
As shown in this figure, the mobile terminal management table 3033 includes a wireless AP
共有管理処理部3031は、移動端末管理テーブル3033を生成し、また、近傍の無線AP200に認証情報を送信する。さらに、端末移動通知を受信すると、認証情報の削除指示を送信する。
The share
認証通知部3012から、仲介した無線AP200の識別子とともに、所定の移動端末100の認証成功の通知を受信すると、共有管理処理部3031は、移動端末管理テーブル3033にアクセスする。移動端末100のIDを検索し、ID格納部3033bに保持されていれば、当該データを削除する。そして、受信した無線AP200の識別子と移動端末100のIDとの組を、新たなデータとして格納する。
When the notification of successful authentication of the predetermined
次に、共有管理処理部3031は、仲介した無線AP200の近傍の無線AP200に、その移動端末100の認証情報を共有認証情報として送信する。近傍の無線AP200は、受信した情報に格納されている無線AP200の識別子をキーに、近傍AP管理テーブル3032から抽出する。
Next, the sharing
また、共有管理処理部3031は、認証シーケンスのステップ(25)の無線AP200から移動端末100がエリアに移動してきたことを示す端末移動通知を受信すると、端末移動応答を送信するとともに、以下の処理、すなわち、認証シーケンスの、ステップ(27)からステップ(32)の処理を行う。
When the share
まず、端末移動通知に含まれる移動端末100のIDをキーに移動端末管理テーブル3033から、ハンドオーバ前に仲介していた無線AP200を抽出する。次に、近傍AP管理テーブル3032から、抽出した無線AP200の近傍の無線AP200として管理されている無線AP200を抽出し、それらに認証情報解除要求を送信する。
First, the
なお、認証情報解除要求には、少なくとも、認証情報を削除すべき移動端末100を特定するIDが含まれる。 Note that the authentication information release request includes at least an ID for identifying the mobile terminal 100 from which the authentication information is to be deleted.
その後、端末移動通知に含まれる無線AP200の識別子と移動端末100のIDとを、新たなデータとして移動端末管理テーブル3033に追加する。
Thereafter, the identifier of the
次に、認証情報解除要求を送信した全ての無線AP200から認証情報解除応答を受信すると、受信した端末移動通知に含まれる無線AP200の識別子をキーにその無線AP200の近傍の無線AP200として近傍AP管理テーブル3032に格納されている無線AP200を抽出し、それらに、端末移動通知に含まれる移動端末100の認証情報を送信する。なお、認証情報は、認証情報テーブル3013から抽出する。
Next, when authentication information cancellation responses are received from all the
図9は、認証サーバ300のハードウェアブロック図である。
FIG. 9 is a hardware block diagram of the
本図に示すように、認証サーバ300は、主制御ユニットであるMPU81と、プログラムや設定データを保持するROM82と、ワーク用メモリであるRAM83と、有線LANとの接続インタフェースである有線LANモジュール85とを備える。
As shown in this figure, the
図5で説明したRADIUSサーバ部301、有線LAN制御部302、認証情報共有管理部303および認証通知部3012の機能は、ROM82に格納されたプログラムをMPU81が実行することにより実現される。また、認証情報テーブル3013、近傍AP管理テーブル3032、移動端末管理テーブル3033は、ROM82に格納される。
The functions of the
次に、本実施形態の無線AP200について説明する。
Next, the
図10は、本実施形態の無線AP200の機能ブロック図である。以下においては、本実施形態に特有の機能を説明するために必須の構成のみ、抽出して説明する。
FIG. 10 is a functional block diagram of the
本図に示すように、無線AP200は、認証情報登録・管理制御部21と、認証情報共有制御部22と、RADIUS制御部23と、EAPOL(EAPover LAN)制御部24と、MAC(Media Access Control)フレーム送受信制御部25と、有線LAN制御部26と、無線LAN制御部27と、を備える。
As shown in the figure, the
有線LAN制御部26は、有線LAN通信の送受信を制御し、無線LAN制御部27は、無線LAN通信の送受信を制御する。
The wired
MACフレーム送受信制御部25は、有線と無線間のイーサネットフレーム送受信を制御する。本実施形態では、認証情報共有制御部22、RADIUS制御部23、EAPOL制御部24から要求されたパケット送信要求をイーサネットフレーム化する。また、有線LAN制御部/無線LAN制御部から受信したイーサネットフレームをフレームの内容/共有情報の状態によって、それぞれ、データに応じた処理部である、認証情報共有制御部22、RADIUS制御部23、EAPOL制御部24に受け渡たす。認証情報共有制御部22、RADIUS制御部23、EAPOL制御部24に送信する。
The MAC frame transmission /
本実施形態の無線AP200は、IEEE802.1xに従い、移動端末100の認証を行うにあたり、無線側(対移動端末100側)はEAPOLプロトコルを採用し、有線側(対認証サーバ300側)はRADIUSプロトコルを採用する。従って、無線AP200は、認証用サーバ300に対し、RADIUSクライアントとして動作する。
The
このため、本実施形態では、無線AP200と認証サーバ300との間の認証処理に係るRADIUSプロトコルに従ったフレームの場合、データを、RADIUS制御部23に、無線AP200と移動端末100との認証処理に係るEAPOLプロトコルに従ったフレームの場合フレームの場合、EAPOL制御部24に受け渡す。また、共有する認証情報の処理に係るフレームの場合、認証情報共有制御部22に受け渡す。
Therefore, in the present embodiment, in the case of a frame in accordance with the RADIUS protocol related to the authentication process between the
RADIUS制御部23は、無線AP200と認証サーバ300との間の認証時のRADIUSプロトコル制御を行い、EAPOL制御部24は、無線AP200と移動端末100との間の認証時のEAPOLプロトコル制御を行う。
The
認証情報共有制御部22は、無線AP200と認証サーバ300間でやりとりされる上述の処理に係るメッセージの処理を行う。本実施形態では、認証サーバ300と送受信する共有認証情報、認証情報解除要求、端末移動通知など、RADIUSプロトコル制御およびEAPOLプロトコル制御に用いられないデータについて、MACフレーム送受信制御部25と認証情報登録・管理制御部21との間を中継する。
The authentication information sharing
認証情報登録・管理制御部21は、移動端末100を認証するための情報を保持し、認証処理を制御する。認証情報登録・管理制御部21は、移動端末100からの認証要求を受信し、認証を行う認証処理部2101と、認証サーバ300からの認証情報共有要求に従い、共有する認証情報を共有認証情報2104に登録する共有登録部2102と、認証サーバ300からの認証情報解除要求に従い、共有認証情報2104から指定されたデータを削除する削除処理部2103とを備える。
The authentication information registration /
共有登録部2102は、認証サーバ300から認証情報共有要求を受信すると、当該要求に含まれる認証情報を共有認証情報2104に保持する。これは、近傍の無線AP200が管理するエリア内の移動端末100の認証情報である。すなわち、前述の認証シーケンスのステップ(14)または(31)の処理を行う。
When the share registration unit 2102 receives the authentication information sharing request from the
削除処理部2103は、認証サーバ300から認証情報解除要求として認証情報解除要求を受信すると、共有端末認証情報2104から、削除を指示された移動端末100の認証情報を削除し、削除後、認証情報解除応答を認証サーバ300に送信する。すなわち、前述の認証シーケンスのステップ(28)の処理を行う。
Upon receiving the authentication information release request as the authentication information release request from the
認証処理部2101は、移動端末100から認証要求を受けた場合、まず、共有認証情報2104を検索する。要求元の移動端末100の認証情報が格納されていた場合、その認証要求は、データ送受信中の移動端末100であって、新たに自身が管理するエリアに移動してきた移動端末100から送信されたものと判断し、共有認証情報2104内の認証情報を用いて送信元の移動端末100の認証を行うとともに、認証情報共有制御部22を介して、認証サーバ300に、端末移動通知を送信する。
When receiving an authentication request from the
なお、端末移動通知には、少なくとも無線AP200の識別子と、移動端末100のIDとを含む。
Note that the terminal movement notification includes at least the identifier of the
認証シーケンスで言えば、認証処理部2101は、ステップ(19)で、EAPOL制御部24を介してPPP EAP応答を受信すると、乱数を生成し、ステップ(20)でPPP EAP要求として、EAPOL制御部24を介して移動端末100に送信する。次に、ステップ(21)で、EAPOL制御部24を介して移動端末からMD5のメッセージダイジェスト関数値を受信すると、認証を行い、ステップ(22)および(23)で、EAPOL制御部24を介して、認証結果、および認証成功の場合暗号鍵情報を送信する。
Speaking of the authentication sequence, the
一方、共有認証情報2104に格納されていない場合、新たにデータの送受信を始める端末からの認証要求と判断し、認証処理部2101は、認証サーバ300により、通常の認証処理を行うための中継を行う。すなわち、Access Requestを認証サーバ300に送信するようRADIUS制御部23に要求する。認証シーケンスでは、ステップ(1)から(11)の処理である。
On the other hand, if it is not stored in the shared
図11は、無線AP200のハードウェアブロック図である。
FIG. 11 is a hardware block diagram of the
本図に示すように、無線AP200は、主制御ユニットであるMPU71と、プログラムや設定データを保持するROM72と、ワーク用メモリであるRAM73と、無線LANとの接続インタフェースである無線LANモジュール74と、有線LANとの接続インタフェースである有線LANモジュール75とを備える。
As shown in the figure, the
図10で説明した無線AP200の各機能は、ROM72に格納されたプログラムをMPU71が実行することにより実現される。また、各種データは、ROM72またはRAM73に保持される。
Each function of the
次に、上記の機能を有する無線AP200が、認証サーバ300または移動端末100から、認証処理に関する何らかの情報を受信した際の、認証情報登録・管理制御部21の処理を図12のフローを用いて説明する。
Next, the processing of the authentication information registration /
受信した情報が、認証サーバ300からの共有認証情報であれば(S01)、受信した共有認証情報を共有認証情報2104に格納する(S02)。 If the received information is shared authentication information from the authentication server 300 (S01), the received shared authentication information is stored in the shared authentication information 2104 (S02).
移動端末100からの認証要求であれば(S03)、新規の認証要求であるか、ハンドオーバであるか判別する(S04)。これは、要求元の移動端末100の認証情報が、共有認証情報2104に格納されているか否かで判断を行い、格納されていれば、ハンドオーバと判断し、格納されていなければ、新規の接続と判断する。
If it is an authentication request from the mobile terminal 100 (S03), it is determined whether it is a new authentication request or a handover (S04). This is determined based on whether or not the authentication information of the requesting
ハンドオーバであれば、共有認証情報2104を用いて認証を行い、暗号化鍵を要求元移動端末100に送信する(S05)。
If it is a handover, authentication is performed using the shared
新規の接続であれば、認証サーバ300を介して行う、既存の認証手順により認証を行い、要求元移動端末100に暗号化鍵を送信する(S06)。
If it is a new connection, authentication is performed by the existing authentication procedure performed through the
その後、端末移動通知を認証サーバ300の送信する(S07)。 Thereafter, the terminal movement notification is transmitted from the authentication server 300 (S07).
認証サーバ300からの認証情報解除要求であれば(S08)、指示された移動端末100の認証情報を共有認証情報2104から削除する(S09)。
If it is an authentication information release request from the authentication server 300 (S08), the authentication information of the instructed
このように、本実施形態によれば、移動端末100からの認証要求を受けた際、無線AP200が、当該移動端末100の認証情報を保持していた場合、自身内で乱数を生成し、それを移動端末100に送信し、それに対して移動端末100から返信されたメッセージダイジェスト関数値と、共有認証情報2104内の認証情報を用いて生成したメッセージダイジェスト関数値とを比較することにより認証を行う。
As described above, according to the present embodiment, when the
このため、認証サーバ300にアクセスし、認証を行う場合に比べ、認証処理にかかる時間を短縮することができる。しかも、移動端末100には、何ら新たな機能を追加することなく、実現することができる。
For this reason, it is possible to reduce the time required for the authentication process as compared with the case where the
従って、本実施形態によれば、従来の移動端末をそのまま用いて、無線LANシステムにおけるハンドオーバ時の無音状態期間を減少させることができる。 Therefore, according to this embodiment, the conventional mobile terminal can be used as it is, and the silent state period at the time of handover in the wireless LAN system can be reduced.
なお、上記の実施形態において、認証情報解除要求は、ハンドオーバ前に仲介していた無線AP200の近傍の無線AP200(近傍無線APと呼ぶ)として、近傍AP管理テーブル3032に登録されている無線AP200全てに送信するよう構成しているが、これに限られない。
In the above embodiment, the authentication information release request is sent to all
例えば、ハンドオーバ前に仲介していた無線AP200の近傍無線APとして近傍AP管理テーブル3032に管理されている無線AP200と、ハンドオーバ後の無線AP200の近傍無線APとして同テーブル3032に管理されている無線AP200とを比較し、ハンドオーバ前の近傍無線APとして管理されていて、ハンドオーバ後の近傍無線APではない無線AP200にのみ送信するよう構成してもよい。この場合、ハンドオーバ前後に仲介を行う無線AP200も認証情報解除要求送信先から除くよう構成する。
For example, the
本構成の場合、その後の認証情報共有要求は、ハンドオーバ後の近傍無線APであってハンドオーバ前の近傍無線APでないもの(ハンドオーバ前後に仲介を行う無線AP200を除く)にのみ送信すればよい。
In the case of this configuration, the subsequent authentication information sharing request only needs to be transmitted to the neighboring wireless AP after the handover and not the neighboring wireless AP before the handover (except for the
例えば、図7の例では、移動端末100が、無線AP201の管理エリアから、無線AP202の管理エリアに移動した場合、無線AP210と、無線AP214とに送信される。
For example, in the example of FIG. 7, when the
100:移動端末、200:無線AP、201〜215:無線AP、300:認証サーバ、400:ゲートウェイ、500:外部ネットワーク、600:相手端末、301:RADIUSサーバ部、302:有線LAN制御部、303:認証情報共有管理部、3011:認証処理部、3012:認証通知部、3013:認証情報テーブル、3031:共有管理処理部、3032:近傍AP管理テーブル、3033:移動端末管理テーブル、21:認証情報登録・管理制御部、22:認証情報共有制御部、23:RADIUS制御部、24:EAPOL制御部、25:MACフレーム送受信制御部、26:有線LAN制御部、27:無線LAN制御部、2101:認証処理部、2102:共有登録部2103:削除処理部、2104:共有認証情報 100: mobile terminal, 200: wireless AP, 201-215: wireless AP, 300: authentication server, 400: gateway, 500: external network, 600: partner terminal, 301: RADIUS server unit, 302: wired LAN control unit, 303 : Authentication information sharing management unit, 3011: authentication processing unit, 3012: authentication notification unit, 3013: authentication information table, 3031: sharing management processing unit, 3032: neighbor AP management table, 3033: mobile terminal management table, 21: authentication information Registration / management control unit 22: Authentication information sharing control unit 23: RADIUS control unit 24: EAPOL control unit 25: MAC frame transmission / reception control unit 26: Wired LAN control unit 27: Wireless LAN control unit 2101: Authentication processing unit, 2102: Share registration unit 2103: Delete processing unit, 2104: Share authentication Broadcast
Claims (6)
前記認証サーバは、
前記複数のアクセスポイントの中の1のアクセスポイントを介して前記移動端末からの認証要求を受け取ると、当該移動端末の認証を行う認証手段と、
前記認証手段での認証後、当該移動端末の認証情報を、当該移動端末が自身の管理エリアに移動する可能性のあるアクセスポイントとして予め管理されているアクセスポイントへ送信する認証情報共有指示手段と、を備え
前記アクセスポイントは、
前記移動端末の認証情報を保持する認証サーバから送信された前記移動端末の認証情報を共有認証情報として保持する共有認証情報保持手段と、
前記移動端末から認証要求を受信した場合、前記共有認証情報に当該移動端末の認証情報が保持されているか否かを判断し、保持されている場合、当該共有情報に保持されている認証情報を用いて認証を行い、保持されていない場合、前記認証サーバとの間の当該移動端末の認証の仲介を行う認証処理手段と、を備えること
を特徴とする移動通信システム。 A mobile communication system comprising a plurality of access points for connecting a mobile terminal to an external network, and an authentication server for authenticating the mobile terminal,
The authentication server is
Upon receiving an authentication request from the mobile terminal via one access point of the plurality of access points, an authentication means for authenticating the mobile terminal;
Authentication information sharing instructing means for transmitting authentication information of the mobile terminal to an access point previously managed as an access point with which the mobile terminal may move to its own management area after authentication by the authentication means; The access point comprises:
Shared authentication information holding means for holding the authentication information of the mobile terminal transmitted from the authentication server holding the authentication information of the mobile terminal as shared authentication information;
When an authentication request is received from the mobile terminal, it is determined whether or not authentication information of the mobile terminal is held in the shared authentication information. If held, authentication information held in the shared information is And a authentication processing unit that mediates authentication of the mobile terminal with the authentication server when authentication is performed and the authentication is not held.
前記アクセスポイントを介して前記移動端末から認証要求を受けると、当該移動端末の認証を行う認証手段と、
前記認証手段での認証後、当該移動端末の認証情報を、当該移動端末が自身の管理エリアに移動する可能性のあるアクセスポイントとして予め管理されているアクセスポイントへ送信する認証情報共有指示手段と、を備えること
を特徴とする認証サーバ。 An authentication server for authenticating a mobile terminal connected to an external network via an access point,
Upon receiving an authentication request from the mobile terminal via the access point, an authentication means for authenticating the mobile terminal;
Authentication information sharing instructing means for transmitting authentication information of the mobile terminal to an access point previously managed as an access point with which the mobile terminal may move to its own management area after authentication by the authentication means; An authentication server comprising:
前記認証情報共有指示手段は、
前記移動端末が自身の管理エリアに移動する可能性のあるアクセスポイント(以後、近傍アクセスポイントと呼ぶ。)の情報を、前記認証サーバに認証を要求する前記アクセスポイント毎に保持する近傍アクセスポイント管理手段と、
前記アクセスポイントから、当該アクセスポイント自身の管理エリアに移動端末が移動してきた場合に、移動通知を受信する移動通知受信手段と、
前記移動通知受信手段において前記移動通知を受信すると、移動通知受信前に当該移動端末の通信を仲介していたアクセスポイントおよびその近傍アクセスポイントに対し、前記移動端末の認証情報を削除するよう指示する認証情報解除手段と、
前記認証情報解除手段において認証情報を削除するよう指示した後、前記移動通知を送信してきたアクセスポイントおよびその近傍アクセスポイントに対し、当該移動端末の認証情報を送信する認証情報送信手段と、を備えること
を特徴とする認証サーバ。 The authentication server according to claim 2,
The authentication information sharing instruction means
Neighboring access point management that holds information on access points (hereinafter referred to as neighboring access points) that may cause the mobile terminal to move to its own management area for each access point that requests authentication from the authentication server Means,
A movement notification receiving means for receiving a movement notification when a mobile terminal has moved from the access point to the management area of the access point itself;
When the movement notification is received by the movement notification receiving means, an instruction is given to delete the authentication information of the mobile terminal to the access point and its neighboring access points that mediated communication of the mobile terminal before receiving the movement notification. Authentication information release means;
Authentication information transmitting means for transmitting authentication information of the mobile terminal to the access point that has transmitted the movement notification and its neighboring access points after instructing the authentication information canceling means to delete the authentication information. An authentication server characterized by this.
前記認証情報共有指示手段は、
前記移動端末が自身の管理エリアに移動する可能性のあるアクセスポイント(以後、近傍アクセスポイントと呼ぶ。)の情報を、前記認証サーバに認証を要求する前記アクセスポイント毎に保持する近傍アクセスポイント管理手段と、
前記アクセスポイントから、当該アクセスポイント自身の管理エリアに移動端末が移動してきた場合に、移動通知を受信する移動通知受信手段と、
前記移動通知受信手段において前記移動通知を受信すると、前記移動通知受信前に前記移動端末の通信を仲介していたアクセスポイントの近傍のアクセスポイントから、前記移動通知を送信してきたアクセスポイントおよび当該アクセスポイントの近傍アクセスポイントを除いたアクセスポイントに対し、前記移動端末の認証情報を削除するよう指示する認証情報解除手段と、
前記認証情報解除手段において認証情報を削除するよう指示した後、前記移動通知を送信してきたアクセスポイントの近傍アクセスポイントから、前記移動通知受信前に前記移動端末の通信を仲介していたアクセスポイントおよび当該アクセスポイントの近傍アクセスポイントを除いたアクセスポイントに対し、当該移動端末の認証情報を送信する認証情報送信手段と、を備えること
を特徴とする認証サーバ。 The authentication server according to claim 2,
The authentication information sharing instruction means
Neighboring access point management that holds information on access points (hereinafter referred to as neighboring access points) that may cause the mobile terminal to move to its own management area for each access point that requests authentication from the authentication server Means,
A movement notification receiving means for receiving a movement notification when a mobile terminal has moved from the access point to the management area of the access point itself;
When the movement notification is received by the movement notification receiving means, the access point that has transmitted the movement notification from the access point in the vicinity of the access point that mediates communication of the mobile terminal before the movement notification is received and the access Authentication information releasing means for instructing access points excluding neighboring access points to delete authentication information of the mobile terminal;
After instructing to delete the authentication information in the authentication information release means, from an access point near the access point that has transmitted the movement notification, an access point that mediates communication of the mobile terminal before receiving the movement notification and An authentication information transmitting means for transmitting authentication information of the mobile terminal to access points excluding neighboring access points of the access point.
前記移動端末の認証情報を保持する認証サーバから送信された前記移動端末の認証情報を共有認証情報として保持する共有認証情報保持手段と、
前記移動端末から認証要求を受信した場合、前記共有認証情報に当該移動端末の認証情報が保持されているか否かを判断し、保持されている場合、当該共有情報に保持されている認証情報を用いて認証を行い、保持されていない場合、前記認証サーバとの間の当該移動端末の認証の仲介を行う認証処理手段と、を備えること
を特徴とするアクセスポイント。 An access point for connecting an authenticated mobile terminal to an external network,
Shared authentication information holding means for holding the authentication information of the mobile terminal transmitted from the authentication server holding the authentication information of the mobile terminal as shared authentication information;
When an authentication request is received from the mobile terminal, it is determined whether or not authentication information of the mobile terminal is held in the shared authentication information. If held, authentication information held in the shared information is And an authentication processing means for mediating authentication of the mobile terminal with the authentication server when authentication is performed and not held.
前記アクセスポイントが、前記移動端末から認証要求を受信すると、
予め認証サーバから送信され共有認証情報として保持している移動端末の認証情報を検索し、当該共有認証情報に前記認証要求を送信した移動端末の認証情報が保持されていた場合、当該認証情報を用いて認証を行い、
保持されていない場合、前記受信した認証要求を前記認証サーバに送信し、認証サーバにて認証を行うこと
を特徴とする移動端末の認証方法。 A mobile terminal authentication method in a mobile communication system comprising a plurality of access points for connecting a mobile terminal to an external network, and an authentication server for authenticating the mobile terminal,
When the access point receives an authentication request from the mobile terminal,
If the authentication information of the mobile terminal that has been transmitted from the authentication server in advance and held as shared authentication information is searched and the authentication information of the mobile terminal that has transmitted the authentication request is stored in the shared authentication information, the authentication information is Authenticate using
If not, the received authentication request is transmitted to the authentication server, and authentication is performed by the authentication server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004214084A JP2006041594A (en) | 2004-07-22 | 2004-07-22 | Mobile communication system and authentication method of mobile terminal |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004214084A JP2006041594A (en) | 2004-07-22 | 2004-07-22 | Mobile communication system and authentication method of mobile terminal |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006041594A true JP2006041594A (en) | 2006-02-09 |
Family
ID=35906156
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004214084A Pending JP2006041594A (en) | 2004-07-22 | 2004-07-22 | Mobile communication system and authentication method of mobile terminal |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006041594A (en) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006352386A (en) * | 2005-06-15 | 2006-12-28 | Nec Corp | Radio voip system, radio base station device, and authentication management control method used therefor |
JP2007088737A (en) * | 2005-09-21 | 2007-04-05 | Toyota Infotechnology Center Co Ltd | Inter-road-vehicle communication system and method, and on-vehicle terminal |
KR100863135B1 (en) | 2006-08-30 | 2008-10-15 | 성균관대학교산학협력단 | Dual Authentication Method in Mobile Networks |
JP2009188765A (en) * | 2008-02-06 | 2009-08-20 | Ntt Docomo Inc | Wireless terminal, and wireless communication method |
WO2011040670A1 (en) * | 2009-10-01 | 2011-04-07 | Kyungpook National University Industry-Academic Cooperation Foundation | User-oriented network system having automatic user authentication function and method thereof |
JP2013005027A (en) * | 2011-06-13 | 2013-01-07 | Nippon Telegr & Teleph Corp <Ntt> | Radio communication system and access point |
KR101460766B1 (en) | 2008-01-29 | 2014-11-11 | 삼성전자주식회사 | Security setting system and the control method for using clurster function in Wireless network system |
KR20150077438A (en) * | 2012-10-22 | 2015-07-07 | 퀄컴 인코포레이티드 | Inter-system call switching between co-existence wireless systems |
KR20160077986A (en) * | 2014-12-24 | 2016-07-04 | 주식회사 아이페이지온 | Access point handover apparatus and method for secure handover |
JP2018046356A (en) * | 2016-09-13 | 2018-03-22 | 日本電信電話株式会社 | Radio network system, management device thereof and radio base station setting change method |
-
2004
- 2004-07-22 JP JP2004214084A patent/JP2006041594A/en active Pending
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006352386A (en) * | 2005-06-15 | 2006-12-28 | Nec Corp | Radio voip system, radio base station device, and authentication management control method used therefor |
JP4544046B2 (en) * | 2005-06-15 | 2010-09-15 | 日本電気株式会社 | Wireless VoIP system, wireless base station apparatus, and authentication management control method used therefor |
JP4680730B2 (en) * | 2005-09-21 | 2011-05-11 | 株式会社トヨタIt開発センター | Road-to-vehicle communication system, in-vehicle terminal, and road-to-vehicle communication method |
JP2007088737A (en) * | 2005-09-21 | 2007-04-05 | Toyota Infotechnology Center Co Ltd | Inter-road-vehicle communication system and method, and on-vehicle terminal |
KR100863135B1 (en) | 2006-08-30 | 2008-10-15 | 성균관대학교산학협력단 | Dual Authentication Method in Mobile Networks |
KR101460766B1 (en) | 2008-01-29 | 2014-11-11 | 삼성전자주식회사 | Security setting system and the control method for using clurster function in Wireless network system |
JP2009188765A (en) * | 2008-02-06 | 2009-08-20 | Ntt Docomo Inc | Wireless terminal, and wireless communication method |
JP4586075B2 (en) * | 2008-02-06 | 2010-11-24 | 株式会社エヌ・ティ・ティ・ドコモ | Wireless terminal and wireless communication method |
WO2011040670A1 (en) * | 2009-10-01 | 2011-04-07 | Kyungpook National University Industry-Academic Cooperation Foundation | User-oriented network system having automatic user authentication function and method thereof |
JP2013005027A (en) * | 2011-06-13 | 2013-01-07 | Nippon Telegr & Teleph Corp <Ntt> | Radio communication system and access point |
KR20150077438A (en) * | 2012-10-22 | 2015-07-07 | 퀄컴 인코포레이티드 | Inter-system call switching between co-existence wireless systems |
KR102129642B1 (en) * | 2012-10-22 | 2020-07-02 | 퀄컴 인코포레이티드 | Inter-system call switching between co-existence wireless systems |
KR20160077986A (en) * | 2014-12-24 | 2016-07-04 | 주식회사 아이페이지온 | Access point handover apparatus and method for secure handover |
KR101718438B1 (en) * | 2014-12-24 | 2017-04-04 | 주식회사 아이페이지온 | Access point handover apparatus and method for secure handover |
JP2018046356A (en) * | 2016-09-13 | 2018-03-22 | 日本電信電話株式会社 | Radio network system, management device thereof and radio base station setting change method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4575679B2 (en) | Wireless network handoff encryption key | |
CN1836404B (en) | Method and system for reducing cross switch wait time | |
KR101556906B1 (en) | Method for handover by pre-authenticating between heterogeneous wireless communication systems | |
JP4340626B2 (en) | Seamless public wireless local area network user authentication | |
EP2432265B1 (en) | Method and apparatus for sending a key on a wireless local area network | |
US7451316B2 (en) | Method and system for pre-authentication | |
JP3869392B2 (en) | User authentication method in public wireless LAN service system and recording medium storing program for causing computer to execute the method | |
US20080026724A1 (en) | Method for wireless local area network user set-up session connection and authentication, authorization and accounting server | |
US20050113070A1 (en) | Mobile terminal authentication method capable of reducing authentication processing time and preventing fraudulent transmission/reception of data through spoofing | |
KR101002799B1 (en) | mobile telecommunication network and method for authentication of mobile node in mobile telecommunication network | |
EP1775972A1 (en) | Communication handover method, communication message processing method, and communication control method | |
JP2005110112A (en) | Method for authenticating radio communication device in communication system, radio communication device, base station and authentication device | |
JP2004166270A (en) | Wireless network handoff key | |
EP1741308A1 (en) | Improved subscriber authentication for unlicensed mobile access signaling | |
WO2010000185A1 (en) | A method, apparatus, system and server for network authentication | |
US9270652B2 (en) | Wireless communication authentication | |
TW200522647A (en) | System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN | |
KR100763131B1 (en) | Access and Registration Method for Public Wireless LAN Service | |
KR101460766B1 (en) | Security setting system and the control method for using clurster function in Wireless network system | |
EP2092714B1 (en) | METHOD and device FOR FAST HANDOVER AND AUTHENTICATION IN A PACKET DATA NETWORK | |
JP2006041594A (en) | Mobile communication system and authentication method of mobile terminal | |
US9137661B2 (en) | Authentication method and apparatus for user equipment and LIPA network entities | |
JP4371250B1 (en) | COMMUNICATION SYSTEM, SERVER DEVICE, INFORMATION NOTIFICATION METHOD, PROGRAM | |
KR100819942B1 (en) | Method for access control in wire and wireless network | |
WO2006079953A1 (en) | Authentication method and device for use in wireless communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070604 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091009 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091110 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100309 |