Nothing Special   »   [go: up one dir, main page]

JP4824086B2 - 無線分散システムの認証方法 - Google Patents

無線分散システムの認証方法 Download PDF

Info

Publication number
JP4824086B2
JP4824086B2 JP2008509945A JP2008509945A JP4824086B2 JP 4824086 B2 JP4824086 B2 JP 4824086B2 JP 2008509945 A JP2008509945 A JP 2008509945A JP 2008509945 A JP2008509945 A JP 2008509945A JP 4824086 B2 JP4824086 B2 JP 4824086B2
Authority
JP
Japan
Prior art keywords
base station
mobile terminal
hop
cipher
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008509945A
Other languages
English (en)
Other versions
JP2008547245A (ja
Inventor
イン−スン・イ
サン−ボー・ユン
ウィリアム・アルバート・アーバウヒ
ティー・チャールズ・クランシー
ミン−ホ・シン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Priority claimed from PCT/KR2006/001787 external-priority patent/WO2006121307A1/en
Publication of JP2008547245A publication Critical patent/JP2008547245A/ja
Application granted granted Critical
Publication of JP4824086B2 publication Critical patent/JP4824086B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • H04W28/08Load balancing or load distribution
    • H04W28/086Load balancing or load distribution among access entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/73Access point logical identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • H04W84/047Public Land Mobile systems, e.g. cellular systems using dedicated repeater stations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は無線分散システム(Wireless Distribution System:WDS)に関するもので、より詳しくはマルチホップ(multi-hop)無線分散システムのための認証方法に関する。
ネットワーク装置がいずれのリソースにアクセス可能であるかを制御するネットワークシステムは、認証、承認、及び課金(Authentication,Authorization and Accounting:AAA)システムと呼ばれている。AAAシステムに関連して、ネットワークリソースにアクセスしようとするネットワーク装置は、通常に“端末(supplicant)”と呼ばれる。一般に、システムユーザーは、これら端末を特定リソースに対するアクセスを要求する。しかしながら、端末は、それ自体で特定リソースに対するアクセスを試みることができる。通常、これら端末は、ラップトップコンピュータ、デスクトップパーソナルコンピュータ、インターネット電話(IP phone)、仮想私設通信網(Virtual Private Network:VPN)クライアント、携帯装置、及びネットワークリソースにアクセスを要求できる他の装置で構成される。
AAAシステムは、AAAクライアントとAAAサーバを含む。AAAシステムでは、一般的に端末がAAAクライアントを通じてネットワークリソースにアクセスを試みる。AAAクライアントは、ネットワーク接続サーバ(Network Access Server:NAS)、ルータ、スイッチ、ファイアウォール(firewall)、VPNコンセントレータ(concentrator)、無線アクセスポイント(Wireless Access Point:WAP)のようなネットワーク要素(network elements)に存在することが一般的である。しかしながら、AAAクライアントは、ネットワークリソースに接続を容易にする他の装置に存在することもできる。端末の接続試みは、AAAクライアントに伝送され、AAAクライアントは該当する接続要求メッセージを生成してAAAサーバに伝送する。一般に、AAAサーバは、ユーザープロファイルのデータベースを維持し、認証のための接続要求に対してデータベースに対してクエリ(query)を遂行し、使用が承認されたリソースを決定し、ネットワークリソースの使用に対する課金を行うことで、ネットワークリソースに接続するためにAAAクライアントから伝送された接続要求を管理する。AAAクライアントとAAAサーバとの間の通信は、遠距離認証ダイヤルインユーザーサービス(Remote Authentication Dial-In User Service:RADIUS)と端末接続制御器接続制御システムプロトコル(Terminal Access Controller Access Control Systems protocol:TACACS+)のようなAAAメッセージプロトコルを通じて容易になされる。
図1は、従来のAAAシステムを概略的に示す図で、基地局(Base Station)121,122は、移動端末(Mobile Stations:MS)131,132,133,134から接続要求を受信すると、MS131,132,133,134及びAAAサーバ110とのメッセージ交換を通じて認証手順を遂行する。
しかしながら、従来のAAAプロトコルは、移動端末の数が増加するに従って中継のための基地局の増加が要求されるため、マルチホップ無線分散システムには適合しない。また、従来のAAAシステムでは、移動端末が初期登録の際に中央管理装置に必ず登録されなければならず、そのため、基地局の増設が非常に複雑になるという問題点があった。さらに、AAAサーバのないシステムでは、メイン基地局が中央管理装置としての役割をしなければならないため、メイン基地局の処理負担を有するようになるという問題点もあった。
したがって、上記した問題点を解決するために、本発明の目的は、マルチホップ離れた基地局によって支援可能な無線分散システムの認証方法を提供することにある。
また、本発明の目的は、AAAサーバの関与なしに基地局と移動端末との間の共有暗号(shared secret)を生成することができる無線分散システムの認証方法を提供することにある。
本発明の他の目的は、保安水準の損失と管理者の追加的な労働負担なしに、基地局の追加によってネットワークを用に拡張することができる無線分散システムの認証方法を提供することにある。
さらに、本発明の目的は、接続する基地局間の一つの共有暗号を生成することによって、少なくとも2個の分離されたシステムで併合が容易な無線分散システムの認証方法を提供することにある。
上記のような目的を達成するために、本発明は、基地局のサービス領域で移動端末に接続サービスを提供する少なくとも一つの基地局を含む無線分散システムであって、未登録基地局が前記移動端末から認証要求を受信し、無線分散システムを通じて前記移動端末を確認するための身元要求をマルチキャスティングし、前記身元要求に応じて少なくとも一つの基地局から身元応答を受信し、前記受信された身元応答に基づいて前記移動端末の認証を遂行する認証方法を提供する。
望ましくは、前記移動端末の認証を遂行する段階は、前記未登録基地局から1ホップ離れた基地局がある否かを判定し、少なくとも一つの1ホップ離れた基地局がある場合に隣接支援認証を遂行することを有することを特徴とする。
望ましくは、前記移動端末の認証を遂行する段階は、1ホップ離れた基地局がない場合に、2ホップ以上離れた基地局に基づいてマルチホップ支援認証を遂行することをさらに有する。
望ましくは、前記隣接支援認証を遂行する段階は、1ホップ離れた基地局の数が1より大きいか否かを判定し、前記1ホップ離れた基地局の数が1より大きい場合に、前記1ホップ離れた基地局のうちの一つをターゲット基地局として選択し、前記ターゲット基地局から受信された身元応答に基づいて前記移動端末と共有するセッションキーを生成することを有する。
望ましくは、前記隣接支援認証を遂行する段階は、前記1ホップ基地局の数が1より大きくないと、1ホップ離れた基地局をターゲット基地局に決定することをさらに有する。
望ましくは、前記セッションキーを生成する段階は、前記ターゲット基地局から受信された身元応答を前記移動端末に伝送し、前記身元応答に対して前記移動端末からトランザクション要求を受信し、前記トランザクション要求を前記ターゲット基地局に伝送し、前記トランザクション要求に応じて前記ターゲット基地局からトランザクション応答を受信し、前記トランザクション応答を前記移動端末に伝送し、前記未登録基地局と移動端末で、前記トランザクション応答を用いてセッションキーを計算することを有する。
望ましくは、前記トランザクション要求は、前記移動端末によって選択されたトランザクション識別子、移動端末ID、未登録基地局ID、ターゲット基地局ID、及び前記ターゲット基地局と前記移動端末との間に共有する暗号を含むことを特徴とする。望ましくは、前記トランザクション識別子は256ビット長さであることを特徴とする。
望ましくは、前記ターゲット基地局と前記移動端末との間に共有する暗号は、前記移動端末とターゲット基地局によって選択されたナンス(nonce)、トランザクション識別子、移動端末ID、未登録基地局ID、及びターゲット基地局IDを含むように暗号化されたことを特徴とする。望ましくは、前記各ナンスは256ビット長さである。
望ましくは、前記トランザクション要求は、前記ターゲット基地局と前記未登録基地局との間に共有する暗号をさらに含むことを特徴とする。
望ましくは、前記ターゲット基地局と前記未登録基地局との間に共有する暗号は、前記未登録基地局と前記ターゲット基地局によって選択されたナンス、前記トランザクション識別子、ターゲット基地局ID、移動端末ID、及び未登録基地局IDを含むように暗号化されたことを特徴とする。
望ましくは、前記ターゲット基地局からトランザクション応答を受信する段階は、
前記ターゲット基地局でセッションキーを計算し、前記セッションキーをトランザクション応答と共に伝送することを有する。望ましくは、前記トランザクション応答は、前記ターゲット基地局と前記未登録基地局との間に共有する暗号と前記ターゲット基地局と前記移動端末との間に共有する暗号とを含むことを特徴とする。
望ましくは、前記ターゲット基地局と前記未登録基地局との間に共有する暗号は、前記移動端末によって選択されたナンス、ターゲット基地局ID、移動端末ID、及び未登録基地局IDを含むように暗号化されたことを特徴とする。
望ましくは、前記ターゲット基地局と前記移動端末との間に共有する暗号は、前記未登録基地局によって選択されたナンス、ターゲット基地局ID、移動端末ID、及び未登録基地局IDを含むように暗号化されたことを特徴とする。
望ましくは、前記トランザクション応答は、前記ターゲット基地局と前記移動端末との間に共有する暗号を含むことを特徴とする。
望ましくは、前記ターゲット基地局と前記移動端末との間に共有する暗号は、前記未登録基地局によって選択されたナンス、ターゲット基地局ID、移動端末ID、及び未登録基地局IDを含むことを特徴とする。
望ましくは、前記マルチホップ支援認証を遂行する段階は、前記マルチホップ離れた基地局の数が1より大きいか否かを判定し、前記マルチホップ離れた基地局の数が1より大きくない場合に、ターゲット基地局として身元応答を伝送した基地局を選択し、前記ターゲット基地局が前記未登録基地局と共有する暗号を有するか否かを判定し、前記ターゲット基地局が前記未登録基地局と共有する暗号を有する場合に、前記ターゲット基地局から受信した身元応答に基づいて移動端末と共有するセッションキーを生成することを有する。
望ましくは、前記マルチホップ支援認証を遂行する段階は、前記マルチホップ離れた基地局が前記未登録基地局と共有する暗号を有しない場合に、前記ターゲット基地局と共有する暗号を設定することをさらに有する。
望ましくは、前記マルチホップ支援認証を遂行する段階は、前記マルチホップ離れた基地局の数が1より大きい場合に、前記身元応答を伝送したマルチホップ離れた基地局の中で前記未登録基地局と暗号を共有する基地局があるか否かを判定し、前記未登録基地局と暗号を共有する少なくとも一つの基地局がある場合に、前記未登録基地局と暗号を共有するマルチホップ離れた基地局のうちの一つをターゲット基地局として選択することをさらに有する。
望ましくは、前記マルチホップ支援認証を遂行する段階は、前記未登録基地局と暗号を共有するマルチホップ離れた基地局がない場合に、前記マルチホップ離れた基地局の中で最も近く位置した基地局をターゲット基地局として選択することをさらに有する。
本発明の分散認証方法は、認証管理を基地局に分散させることで、AAAサーバのような中央管理装置なしに移動端末に対する認証手続きを容易に処理することができる。
また、本発明の分散認証方法は、新規基地局が増加し、孤立された基地局が一つの無線分散システムに併合される場合にも認証手続きがAAAサーバなしに遂行されるため、保安水準の劣化及び管理者の追加的な労働負担なしに容易にネットワークを拡張することができる。
なお、本発明の分散認証手続きは、中央管理装置の介入がない簡単な認証手続きを有するため、基地局間の一つの共有暗号を生成することによって、孤立されたシステムを一つの無線分散システムに容易に結合することができる。
以下、本発明の望ましい実施形態を添付の図面を参照して詳細に説明する。
下記に、本発明に関連した公知の機能又は構成に関する具体的な説明が本発明の要旨を不明にすると判断された場合に、その詳細な説明を省略する。
図2は、本発明の一実施形態による無線分散システムを示す。図2に示すように、無線分散システムは4個の基地局221,222,223,224を含み、移動端末(MS)211,212は、初期登録の際に、それぞれ最も近い基地局221,222に登録される。すなわち、各基地局が認証装置の役割をすることによって、認証機能が基地局に分散される。
図2の無線分散システムにおいて、2つの状況が考えられる。第1に、移動端末が、共有する暗号或いは一般認証機関から得た公開キー証明書であるセキュリティ接続を共有する基地局と接続を要求する場合である。第2に、移動端末が、暗号を共有しない基地局と接続を要求する場合である。前者の場合に、802.11iプロトコル(又は他のキー導出(key derivation)プロトコル)と拡張認証プロトコル(Extensible Authentication Protocol:EAP)が使われる。後者の場合に、802.11iプロトコル(又は他のキー導出プロトコル)と共に本発明の認証方法を使用することができる。
最初に共有セキュリティ接続のない認証手続きを説明する。移動端末が暗号を共有しない基地局と接続を要求する場合に、基地局は、無線分散システム(WDS)内の暗号を共有する基地局を確認するために、WDSに移動端末の身元(identification)を放送する。もし、暗号を共有する基地局が発見されない場合に、移動端末は認証を受けることができない。一方、暗号を共有する基地局が発見される場合に、認証基地局は、要求基地局から1ホップ、すなわち隣接し、或いはそれ以上離れている。本実施形態で、認証手続きは、認証基地局が要求基地局から1ホップ離れている隣接支援認証(neighbor-supported authentication)と、認証基地局が要求基地局から1ホップ以上離れているマルチホップ支援認証(multi-hop authentication)の2つの場合を説明する。
図3は、本発明による隣接支援認証を示す。図3に示すように、基地局321は移動端末(MS)310の認証のために隣接基地局322を探す。
隣接基地局322はMS310と暗号を共有し、MS321は隣接基地局322と暗号を共有する場合に、基地局321とMS310との間に新規暗号を得るためにEAPを用いる改良されたOtway-Reeseプロトコルが使用されることができる。
図4は、本発明の一実施形態による隣接支援認証を示すメッセージフローチャートである。
図4を参照すると、MSからEAP-STARTメッセージを受信し(S401)、中継機能を有する基地局(以下、“BS”とする)はMSにEAP-REQUEST-IDENTITYメッセージを伝送する(S402)。このEAP-REQUEST-IDENTITYメッセージを受信すると、MSは、これに対してEAP-RESPONSE-IDENTITYメッセージをBSに伝送する(S403)。
EAP-RESPONSE-IDENTITYメッセージを受信すると、BSは、MSが以前に登録されて暗号を共有しているターゲット基地局(以下、“BS”とする)を探すために、自分が属している無線分散システム(WDS)に身元要求(Identity Request)メッセージをマルチキャスティングする(S404)。
身元要求メッセージを受信すると、BSは、BSのID、MSが共有する暗号化されたキー
Figure 0004824086
及びBSとBSとの間に共有する暗号化されたキー
Figure 0004824086
を含む身元応答(Identity Response)メッセージを伝送する(S405)。ここで、EはAES-CCM暗号(encryption)、KはBSによって生成されたセッションキー、及びNはBSによって選択された256ビットのナンス(nonce)である。
身元応答メッセージを受信した後、BSは、身元通報(Identity Report)メッセージをMSに伝送する(S406)。この身元応答メッセージは、BSのIDとBSとMSとの間に共有する暗号キー
Figure 0004824086
を含む。
順次に、MSは、このMSによって選択された256ビットのトランザクション識別子(transaction identifier)、MS ID、BS ID、BSID、及び暗号キー
Figure 0004824086
を含むトランザクション要求(Transaction Request)メッセージをBSに伝送する(S407)。BSは、トランザクション要求メッセージをBSとBSとの間に共有する暗号キー
Figure 0004824086
と共にBSに伝送する(S408)。トランザクション要求メッセージを受信すると、BSは、TLS-PRF:k=TLS-PRF(M,NMS,N,N)によってセッションキーkを計算し、暗号キー
Figure 0004824086
を含むトランザクション応答メッセージをBSに伝送する(S409)。BS
Figure 0004824086
のみを含むトランザクション応答メッセージをMSに伝送する(S410)。最後に、BSとMSはk:k=TLS-PRF(M,NMS,N,N)によってセッションキーkを計算する。
上記の手順が完了すれば、BSとMSは、BSとMSがセッションキーを知っていることを確認するために、IEEE802.11i基盤の4ウェイハンドシェイク(4-way handshake)を遂行する。
もし、一つ以上のBSがBSに応答する場合に、BSはBSを選択するためのアルゴリズムを用いることもできる。
図5は、本発明の一実施形態によるマルチホップ支援認証を示す概略図である。図5に示すように、ターゲット基地局BS522は、WDS500で認証を遂行する基地局BS521から1ホップ以上離れている。
認証を支援する基地局BSが1ホップ以上離れている場合に、BSとBSとの間には、BS521とMS510との間に新規暗号を獲得するために、(もし存在しない場合に)暗号
Figure 0004824086
が作られなければならない。上記した隣接支援認証と同様に、MSとBSは必ず暗号
Figure 0004824086
を共有しなければならない。
このような2つの先行条件を満たす場合に、マルチホップ支援認証アルゴリズムは、隣接支援認証アルゴリズムのように確実に動作する。2つの先行条件が満足されないと、マルチホップ支援認証は適切なEAP失敗メッセージと共に失敗してしまうことであろう。
BSが認証を要求するMSと暗号を共有していない場合に、BSは、移動端末の身元をホップ-カウンタと共に隣接基地局に放送しなければならない。各隣接基地局は、順にホップカウンタの値を減少させ、更にその隣接基地局に伝送する。無線分散システムの一部である基地局が上記メッセージの第2の写本(duplicate)を受信すると、該当基地局はこのメッセージを廃棄する。
MSと暗号を共有するBSが放送メッセージを受信すると、BSは、認証を遂行する基地局BSに応答しなければならない。BSが放送メッセージに対する応答を受信すると、認証を支援する基地局BSとして既に暗号を共有しているBSを選択する。その反面、応答したBSの中で自分と暗号を共有するBSがない場合に、BSは、放送メッセージに対して応答した最も近いBSを認証を支援する基地局BSとして選択し、MSに応答する前にBSと共有する暗号を生成する。
MSが、一部BSがBSと暗号を共有することを確認した場合に、MSは、その結果を貯蔵してマルチキャストよりはユニキャスト(unicast)で要求メッセージを伝送する。もし、BSが一部BSがMSと暗号を共有することを確認した場合に、その結果を貯蔵し、次の伝送時にBSに要求メッセージをユニキャスディングする。また、BSは、MSの認証結果を貯蔵することができる。MSが認証結果を有するBSに接続を試みる場合に、BSは一般的なEAPを通じて直接MSを認証することができる。
図6は、本発明による分散認証方法を示すフローチャートである。図6を参照すると、MSからEAP開始(Start)メッセージを受信すると(ステップS601)、認証を遂行する基地局BSはEAP要求メッセージをMSに伝送し(ステップS602)、これに応答してMSからEAP応答メッセージを受信する(ステップS603)。EAP応答メッセージを受信すると、BSは、認証を支援する基地局BSを探すために無線分散システム(WDS)上に身元要求メッセージをマルチキャスティングする(ステップS604)。この身元要求メッセージをマルチキャスティングした後に、BSは、身元応答メッセージが受信されるか否かを判定する(ステップS605)。その結果、予め定められた時間内に受信された身元応答メッセージが受信されないと、BSは、身元要求メッセージを再伝送する。再伝送は、予め定められた回数だけ遂行される。一方、ステップS605の結果、少なくとも一つのBSから身元応答メッセージが受信されると、BSは身元応答メッセージを伝送したBSの中で自分から1ホップだけ離れているBS、すなわち隣接BSがあるか否かを判定する(ステップS606)。その結果、隣接BSが存在する場合に、BSは隣接支援認証手順を遂行する(ステップS607)。反面、隣接BSが存在しない場合に、BSはマルチホップ認証手続きを遂行する(ステップS608)。
図7は、図6の隣接支援認証手続きをより詳細に示すフローチャートである。
図7を参照すると、隣接支援認証手続きに進入すれば、BSは、身元応答メッセージを伝送した隣接BSの数Nを求め、N値が1より大きいか否かを判定する(ステップS701)。Nが1より大きいと、BSはBSのうちの一つをBSとして選択する(ステップS702)。BSを選択することは、多様な選択アルゴリズムを用いて可能である。BSが選択されると、BSは、BSから受信された身元応答メッセージをMSに伝送する(ステップS703)。
次に、BSRは、MSからトランザクション要求メッセージを受信する(ステップS704)。このトランザクション要求メッセージは、MSによって選択された256ビットのトランザクション識別子、MS ID、BSRID、BSTID、及び認証を支援する基地局BSTとMSとの間の暗号キー
Figure 0004824086
を含む。BSRは、継続してこのトランザクション要求メッセージをBSTに伝送する(ステップS705)。伝送されたトランザクション要求メッセージは、BSRとBSTとの間の暗号キー
Figure 0004824086
がさらに含まれる。
トランザクション要求メッセージを受信すると、BSは、予め定められたTLS-PRF:k=TLS-PRF(M,NMS,N,N)を通じてセッションキーkを計算し、暗号キー
Figure 0004824086
を含むトランザクション応答メッセージを伝送し、それによってBSはトランザクション応答メッセージを受信し(ステップS706)、受信されたトランザクション応答メッセージをMSに伝送する(ステップS707)。このトランザクション応答メッセージを伝送した後、BSはセッションキーを計算する(ステップS708)。セッションキーは、k=TLS-PRF(M,NMS,N,N)と同一にBSとMSによって計算される。
図8は、図6のマルチホップ支援認証手続きをより詳細に示すフローチャートである。図8を参照すると、マルチホップ支援認証手続きに進入すれば、BSは身元応答メッセージを伝送したマルチホップBSの数Nを把握してNが1より大きいか否かを判定する(ステップS801)。その結果、Nが1より大きいと、BSは自分と暗号を共有するBSがあるか否かを判定する(ステップS802)。もし、BSと暗号を共有しているBSがあれば、BSは該当BSをBSとして選択し(ステップS804)、BSから受信された身元応答メッセージをMSに伝送する(ステップS806)。暗号を共有するBSの数が1より大きい場合に、BSはホップカウンター(Hop counter)のような選択パラメータを用いて該当BSのうちの一つをBSTとして選択することができる。
ステップS802で、BSと暗号を共有するBSがない場合に、BSは、身元応答メッセージを伝送したBSの中で最も近いBSをBSとして選択し(ステップS803)、選択されたBSと共有する暗号を設定する(ステップS805)。暗号が設定された後に、BSはBSから受信された身元応答メッセージをMSに伝送する(ステップS806)。
ステップS801で、Nの値が1より大きくなければ、BSは、身元応答メッセージを伝送した唯一のBSをBSとして選択し(ステップS815)、BSが自分と暗号を共有しているか否かを判定する(ステップS816)。BSがBSと共有する暗号がある場合に、BSはBSから受信された身元応答メッセージをMSに伝送する(ステップS806)。
一方、BSがBSと共有する暗号を有しない場合に、BSは、BSと共有する暗号を設定し(ステップS805)、BSから受信した身元応答メッセージをMSに伝送する(ステップS806)。
身元応答メッセージを伝送した後に、BSは、MSからトランザクション要求メッセージを待機し受信する(ステップS807)。トランザクション要求メッセージは、MSによって選択された256ビットのトランザクション識別子、MS ID、BS ID、BSID、そして暗号キー
Figure 0004824086
を含む。BSは、継続してトランザクション要求メッセージをBSに伝送する(ステップS808)。伝送されたトランザクション要求メッセージは、BSとBSとの間の暗号キー
Figure 0004824086
をさらに含む。
トランザクション要求メッセージを受信すると、BSはTLS-PRF:k=TLS-PRF(M,NMS,N,N)を通じてセッションキーkを計算し、暗号キー
Figure 0004824086
とを含むトランザクション応答メッセージを伝送し、それによって、BSはトランザクション応答メッセージを受信し(ステップS809)、受信されたトランザクション応答メッセージをMSに伝送する(ステップS810)。伝送されたトランザクション応答メッセージは暗号キー
Figure 0004824086
のみを含む。このトランザクション応答メッセージを伝送した後、BSはセッションキーを計算する(ステップS811)。このセッションキーは、k=TLS-PRF(M,NMS,N,N)と同一にBSとMSによって求められる。
以上、本発明の詳細な説明においては具体的な実施形態に関して説明したが、特許請求の範囲を外れない限り、形式や細部についての様々な変更が可能であることは、当該技術分野における通常の知識を持つ者には明らかである。したがって、本発明の範囲は、前述の実施形態に限定されるものではなく、特許請求の範囲の記載及びこれと均等なものに基づいて定められるべきである。
従来の認証(AAA)システムを示す図である。 本発明による分散認証システムを示す概略構成図である。 本発明による隣接支援認証を説明するための図である。 本発明による隣接支援認証方法を示すメッセージフローチャートである。 本発明によるマルチホップ支援認証を示す図である。 本発明による無線分散認証方法を示すフローチャートである。 図6の隣接支援認証の手続きを詳細に示すフローチャートである。 図6のマルチホップ支援認証の手続きを詳細に示すフローチャートである。
符号の説明
211,212 移動端末
221,222,223,224 基地局
310 移動端末
321 基地局
322 隣接基地局
500 WDS
510 移動端末
521 基地局
522 ターゲット基地局

Claims (12)

  1. 基地局のサービス領域で移動端末に接続サービスを提供する少なくとも一つの基地局を含む無線分散システムであって、
    少なくとも一つの基地局は、予め前記移動端末を登録することで前記移動端末と前記少なくとも一つの基地局との間に第1の暗号を共有し、
    未登録基地局が前記移動端末から認証要求を受信し、
    無線分散システムを通じて前記移動端末を確認するための身元要求をマルチキャスティングし、
    前記移動端末と第1の暗号を共有している前記少なくとも一つの基地局の一つであるターゲット基地局から、前記身元要求に対する応答として前記第1の暗号と、前記未登録基地局と前記ターゲット基地局との間に共有する第2の暗号を含む身元応答を受信し、
    前記第1の暗号と前記ターゲット基地局のIDを含む身元通報を前記移動端末に伝送し、
    前記身元通報に対する応答としてトランザクション要求を前記移動端末から受信し、
    前記トランザクション要求と共に前記ターゲット基地局と前記未登録基地局との間に共有する第3の暗号を前記ターゲット基地局に伝送し、
    前記トランザクション要求に対する応答として前記ターゲット基地局から第1のトランザクション応答を受信し、
    前記第1のトランザクション応答を利用して生成された第2のトランザクション応答を前記移動端末に伝送し、
    前記移動端末と共に前記第2トランザクション応答を利用してセッションキーを計算し、
    前記移動端末が前記セッションキーを知っているかを確認することによって、前記移動端末の認証を遂行することを含み、
    前記トランザクション要求は、前記移動端末によって選択されたトランザクション識別子、移動端末ID、未登録基地局ID、ターゲット基地局ID、及び前記ターゲット基地局と前記移動端末との間に共有する第4の暗号を含み、前記第1のトランザクション応答は、前記ターゲット基地局と前記未登録基地局との間に共有する第5の暗号と、前記ターゲット基地局と前記移動端末との間に共有する第6の暗号を含み、前記第2のトランザクション応答は、前記第6の暗号を含み、
    前記第1の暗号は、前記ターゲット基地局によって選択されたナンスを含むように暗号化されたものであり、前記第2の暗号は、前記ターゲット基地局によって選択されたナンスを含むように暗号化されたものであり、前記第3の暗号は、前記移動端末と前記ターゲット基地局によって選択されたナンス、トランザクション識別子、前記移動端末ID、及び登録基地局IDを含むように暗号化されたものであり、前記第5の暗号は、前記移動端末によって選択されたナンス、前記ターゲット基地局ID、前記移動端末IDを含むように暗号化されたものであり、前記第6の暗号は、前記未登録基地局によって選択されたナンス、前記ターゲット基地局ID、前記移動端末のIDを含むように暗号化されたものである
    ことを特徴とする認証方法。
  2. 前記移動端末の認証を遂行する段階は、
    前記未登録基地局から1ホップ離れた基地局がある否かを判定し、
    少なくとも一つの1ホップ離れた基地局がある場合に隣接支援認証を遂行することを有することを特徴とする請求項1記載の認証方法。
  3. 前記移動端末の認証を遂行する段階は、
    1ホップ離れた基地局がない場合に、2ホップ以上離れた基地局に基づいてマルチホップ支援認証を遂行することをさらに有する請求項2記載の認証方法。
  4. 前記隣接支援認証を遂行する段階は、
    1ホップ離れた基地局の数が1より大きいか否かを判定し、
    前記1ホップ離れた基地局の数が1より大きい場合に、前記1ホップ離れた基地局のうちの一つをターゲット基地局として選択することを確認することを有する請求項2記載の認証方法。
  5. 前記隣接支援認証を遂行する段階は、
    前記1ホップ基地局の数が1より大きくないと、1ホップ離れた基地局をターゲット基地局に決定することをさらに有する請求項4記載の認証方法。
  6. 前記トランザクション識別子は256ビット長さであることを特徴とする請求項1記載の認証方法。
  7. 前記各ナンスは256ビット長さであることを特徴とする請求項1記載の認証方法。
  8. 前記ターゲット基地局からトランザクション応答を受信する段階は、
    前記ターゲット基地局でセッションキーを計算し、
    前記セッションキーをトランザクション応答と共に伝送することを有する請求項1記載の認証方法。
  9. 前記マルチホップ支援認証を遂行する段階は、
    前記マルチホップ離れた基地局の数が1より大きいか否かを判定し、
    前記マルチホップ離れた基地局の数が1より大きくない場合に、ターゲット基地局として身元応答を伝送した基地局を選択し、
    前記ターゲット基地局が前記未登録基地局と共有する暗号を有するか否かを判定し、
    前記ターゲット基地局が前記未登録基地局と共有する暗号を有する場合に、前記身元応答を前記移動端末に伝送することを確認することを有する請求項3記載の認証方法。
  10. 前記マルチホップ支援認証を遂行する段階は、
    前記マルチホップ離れた基地局が前記未登録基地局と共有する暗号を有しない場合に、前記ターゲット基地局と共有する暗号を設定することをさらに有する請求項9記載の認証方法。
  11. 前記マルチホップ支援認証を遂行する段階は、
    前記マルチホップ離れた基地局の数が1より大きい場合に、前記身元応答を伝送したマルチホップ離れた基地局の中で前記未登録基地局と暗号を共有する基地局があるか否かを判定し、
    前記未登録基地局と暗号を共有する少なくとも一つの基地局がある場合に、前記未登録基地局と暗号を共有するマルチホップ離れた基地局のうちの一つをターゲット基地局として選択することをさらに有する請求項10記載の認証方法。
  12. 前記マルチホップ支援認証を遂行する段階は、
    前記未登録基地局と暗号を共有するマルチホップ離れた基地局がない場合に、前記マルチホップ離れた基地局の中で最も近く位置した基地局をターゲット基地局として選択することをさらに有する請求項11記載の認証方法。
JP2008509945A 2005-05-13 2006-05-12 無線分散システムの認証方法 Expired - Fee Related JP4824086B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US68058405P 2005-05-13 2005-05-13
US60/680,584 2005-05-13
KR1020060041227A KR101253352B1 (ko) 2005-05-13 2006-05-08 무선 분산 시스템의 단말 인증 방법
KR10-2006-0041227 2006-05-08
PCT/KR2006/001787 WO2006121307A1 (en) 2005-05-13 2006-05-12 Authentication method for wireless distributed system

Publications (2)

Publication Number Publication Date
JP2008547245A JP2008547245A (ja) 2008-12-25
JP4824086B2 true JP4824086B2 (ja) 2011-11-24

Family

ID=37704840

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008509945A Expired - Fee Related JP4824086B2 (ja) 2005-05-13 2006-05-12 無線分散システムの認証方法

Country Status (4)

Country Link
US (1) US7756510B2 (ja)
JP (1) JP4824086B2 (ja)
KR (1) KR101253352B1 (ja)
CN (1) CN101189826B (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2166792B1 (en) * 2005-10-13 2014-12-10 Mitsubishi Electric R&D Centre Europe B.V. Method for enabling a base station to connect to a wireless telecommunication network
CN100591011C (zh) * 2006-08-31 2010-02-17 华为技术有限公司 一种认证方法及系统
KR100819056B1 (ko) 2006-12-08 2008-04-02 한국전자통신연구원 광대역 무선 접속 시스템에서 초기 접속 방법
US8638668B2 (en) 2007-04-03 2014-01-28 Qualcomm Incorporated Signaling in a cluster
US8711768B2 (en) * 2008-01-16 2014-04-29 Qualcomm Incorporated Serving base station selection based on backhaul capability
KR101572267B1 (ko) * 2009-06-25 2015-11-26 삼성전자주식회사 센서 네트워크에서 노드와 싱크간의 상호 인증 시스템 및 방법
KR101683286B1 (ko) * 2009-11-25 2016-12-06 삼성전자주식회사 이동통신망을 이용한 싱크 인증 시스템 및 방법
US8443435B1 (en) * 2010-12-02 2013-05-14 Juniper Networks, Inc. VPN resource connectivity in large-scale enterprise networks
US8856290B2 (en) * 2011-10-24 2014-10-07 General Instrument Corporation Method and apparatus for exchanging configuration information in a wireless local area network
US9608962B1 (en) 2013-07-09 2017-03-28 Pulse Secure, Llc Application-aware connection for network access client
IL229153B (en) * 2013-10-30 2019-02-28 Verint Systems Ltd Systems and methods for protocol-based identification of rogue base stations
US11152052B1 (en) 2020-06-03 2021-10-19 Micron Technology, Inc. Apparatuses, systems, and methods for fuse array based device identification
US11188637B1 (en) * 2020-06-28 2021-11-30 Mark Lawson Systems and methods for link device authentication

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0851668A (ja) * 1994-06-30 1996-02-20 At & T Corp 認証情報の蓄積のための交換ノードの認証階層構造
JP2003348072A (ja) * 2002-05-30 2003-12-05 Hitachi Ltd 自律分散網における暗号鍵の管理方法および装置

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7486952B1 (en) 2000-02-09 2009-02-03 Alcatel-Lucent Usa Inc. Facilitated security for handoff in wireless communications
US20020174335A1 (en) * 2001-03-30 2002-11-21 Junbiao Zhang IP-based AAA scheme for wireless LAN virtual operators
US7373508B1 (en) * 2002-06-04 2008-05-13 Cisco Technology, Inc. Wireless security system and method
KR100549918B1 (ko) * 2002-09-28 2006-02-06 주식회사 케이티 공중 무선랜 서비스를 위한 무선랜 접속장치간 로밍서비스 방법
US7346772B2 (en) * 2002-11-15 2008-03-18 Cisco Technology, Inc. Method for fast, secure 802.11 re-association without additional authentication, accounting and authorization infrastructure
AU2003286013A1 (en) * 2002-11-18 2004-06-15 Hipaat Inc. A method and system for access control
US7350077B2 (en) * 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
CN1172489C (zh) * 2003-01-28 2004-10-20 北京朗通环球科技有限公司 基于网络之间的数据通信系统及方法
US20060029074A2 (en) * 2004-02-09 2006-02-09 Packethop, Inc. ENHANCED MULTICASE FORWARDING CACHE (eMFC)
JP2005286989A (ja) * 2004-03-02 2005-10-13 Ntt Docomo Inc 通信端末及びアドホックネットワーク経路制御方法
US8050409B2 (en) * 2004-04-02 2011-11-01 University Of Cincinnati Threshold and identity-based key management and authentication for wireless ad hoc networks
US7451316B2 (en) * 2004-07-15 2008-11-11 Cisco Technology, Inc. Method and system for pre-authentication
US7477747B2 (en) * 2005-02-04 2009-01-13 Cisco Technology, Inc. Method and system for inter-subnet pre-authentication
US7814322B2 (en) * 2005-05-03 2010-10-12 Sri International Discovery and authentication scheme for wireless mesh networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0851668A (ja) * 1994-06-30 1996-02-20 At & T Corp 認証情報の蓄積のための交換ノードの認証階層構造
JP2003348072A (ja) * 2002-05-30 2003-12-05 Hitachi Ltd 自律分散網における暗号鍵の管理方法および装置

Also Published As

Publication number Publication date
KR20060117205A (ko) 2006-11-16
CN101189826B (zh) 2011-11-16
JP2008547245A (ja) 2008-12-25
US7756510B2 (en) 2010-07-13
US20060276176A1 (en) 2006-12-07
KR101253352B1 (ko) 2013-04-11
CN101189826A (zh) 2008-05-28

Similar Documents

Publication Publication Date Title
JP4824086B2 (ja) 無線分散システムの認証方法
US8561200B2 (en) Method and system for controlling access to communication networks, related network and computer program therefor
CN1764107B (zh) 在建立对等安全上下文时验证移动网络节点的方法
US7587598B2 (en) Interlayer fast authentication or re-authentication for network communication
KR100831327B1 (ko) 무선 메쉬 네트워크의 인증 처리 방법 및 그 장치
US7792527B2 (en) Wireless network handoff key
EP1554862B1 (en) Session key management for public wireless lan supporting multiple virtual operators
US7624270B2 (en) Inter subnet roaming system and method
CN104145465B (zh) 机器类型通信中基于群组的自举的方法和装置
US20040236939A1 (en) Wireless network handoff key
US20030084287A1 (en) System and method for upper layer roaming authentication
CN101371491A (zh) 提供无线网状网络的方法和装置
US8850194B2 (en) System and methods for providing multi-hop access in a communications network
WO2014040481A1 (zh) 一种无线网格网认证方法和系统
KR20120091635A (ko) 통신 시스템에서 인증 방법 및 장치
WO2008021855A2 (en) Ad-hoc network key management
CN111866881A (zh) 无线局域网认证方法与无线局域网连接方法
CN101569160B (zh) 用于传输dhcp消息的方法
JP5472977B2 (ja) 無線通信装置
KR20070072934A (ko) 모바일 네트워크에서 전자 장치들을 인증하는 방법
EP1722589B1 (en) Authentication method for wireless distributed system
Durresi et al. Secure spatial authentication for mobile stations in hybrid 3G-WLAN serving networks
WO2006080079A1 (ja) 無線ネットワークシステムおよびそのユーザ認証方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100603

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100615

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100914

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100922

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20101015

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20101022

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20101115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101118

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20101122

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101214

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110414

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110414

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20110511

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110628

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110706

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110809

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110907

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140916

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees