JP2007194848A - 無線lanシステムの移動無線端末認証方法 - Google Patents
無線lanシステムの移動無線端末認証方法 Download PDFInfo
- Publication number
- JP2007194848A JP2007194848A JP2006010311A JP2006010311A JP2007194848A JP 2007194848 A JP2007194848 A JP 2007194848A JP 2006010311 A JP2006010311 A JP 2006010311A JP 2006010311 A JP2006010311 A JP 2006010311A JP 2007194848 A JP2007194848 A JP 2007194848A
- Authority
- JP
- Japan
- Prior art keywords
- wireless terminal
- access router
- access point
- access
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 238000004891 communication Methods 0.000 description 24
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 238000001803 electron scattering Methods 0.000 description 2
- 101100011961 Caenorhabditis elegans ess-2 gene Proteins 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】移動する無線端末の認証をより高速に且つ安全に管理できる無線LANシステムの移動無線端末認証方法を提供する。
【解決手段】無線端末(MS)101が、移動先の第2のアクセスポイント(AP2)53に接続する前に、現在接続している第1のアクセスポイント(AP1)52の第1のアクセスルータ(PAR)42へ事前認証を要求して完了させて、第1のアクセスルータ(PAR)41から第2のアクセスルータ(NAR)へのIPトンネルを用いて、事前共有鍵に基づき認証済みの無線端末(MS)のセッション情報を第2のアクセスルータ(NAR)へ転送して、無線端末(MS)が、移動先の第2のアクセスポイント(AP2)53に移動した際には、先のセッション情報を用いて、第2のアクセスルータ(NAR)42との相互認証を行う。
【選択図】 図1
【解決手段】無線端末(MS)101が、移動先の第2のアクセスポイント(AP2)53に接続する前に、現在接続している第1のアクセスポイント(AP1)52の第1のアクセスルータ(PAR)42へ事前認証を要求して完了させて、第1のアクセスルータ(PAR)41から第2のアクセスルータ(NAR)へのIPトンネルを用いて、事前共有鍵に基づき認証済みの無線端末(MS)のセッション情報を第2のアクセスルータ(NAR)へ転送して、無線端末(MS)が、移動先の第2のアクセスポイント(AP2)53に移動した際には、先のセッション情報を用いて、第2のアクセスルータ(NAR)42との相互認証を行う。
【選択図】 図1
Description
本発明は、移動通信ネットワークを構成する無線LANシステム上を移動する無線端末のアクセス認証方法に関するものであり、特に無線端末の認証サーバへの高速認証及び移動に伴う端末の認証を高速かつ安全に行うことができる無線LANシステムの移動無線端末認証方法に関するものである。
現在、ユビキタスネットワークを確立する際のアクセス網として飛躍的な発展を続けている高速無線LAN(WLAN)が注目を集めている。しかし、無線LANには、人間がネットワークを意識しないような環境で情報を送受、蓄積し、必要なときにそれらの情報を利用できるという特性上、個人のプライバシーを十分保護し、安全な情報交換を保証できるセキュリティのソリューションが非常に重要な課題となる。
そこで、従来、無線LANなどの移動通信ネットワーク上にある無線端末(MS)の認証方法として、グローバルネットワーク側に認証サーバ(AS)を用意し、ユーザ毎にパスワード及び証明書などを用いて認証する方法が提案されている。この方法においては、無線端末(MS)がアクセスポイント(AP)に認証を要求すると、アクセスポイント(AP)は、認証サーバ(AS)にその要求を伝え無線端末(MS)と認証サーバ(AS)間での認証が成功すると無線端末(MS)とアクセスポイント(AP)との間にセキュア・セッションが張られる(例えば、非特許文献1参照)。
図7は従来の無線LANにおける802.1X/EAP(Extensible Authentication Protocol)認証手順を説明するタイミングチャートである。図7にそって従来の無線LANにおける動作を説明する。
1.無線端末(MS)=アクセスポイント(AP)間の接続(802.11無線リンク接続)
まず、無線端末(MS)は、接続可能な電波のアクセスポイント(AP)を発見し、802.11無線リンク接続を行う。ここで、無線端末(MS)とアクセスポイント(AP)の802.11本来の認証は空であり、無線端末(MS)が認証サーバ(AS)とにより実施可能な認証プロトコル(EAP:Extensible Authentication Protocol)によりユーザ認証方法が決められる。
まず、無線端末(MS)は、接続可能な電波のアクセスポイント(AP)を発見し、802.11無線リンク接続を行う。ここで、無線端末(MS)とアクセスポイント(AP)の802.11本来の認証は空であり、無線端末(MS)が認証サーバ(AS)とにより実施可能な認証プロトコル(EAP:Extensible Authentication Protocol)によりユーザ認証方法が決められる。
2.無線端末(MS)=認証サーバ(AS)間の接続
(認証サーバ(AS)による無線端末(MS)の認証)
次に、1.にて決めたユーザ認証方法により認証が行われる。ここではアクセスポイント(AP)はパススルーされる。認証が成功すると無線端末(MS)と認証サーバ(AS)との間で共通鍵(MSK:Master Session Key)が生成される。
(認証サーバ(AS)による無線端末(MS)の認証)
次に、1.にて決めたユーザ認証方法により認証が行われる。ここではアクセスポイント(AP)はパススルーされる。認証が成功すると無線端末(MS)と認証サーバ(AS)との間で共通鍵(MSK:Master Session Key)が生成される。
3.無線端末(MS)=アクセスポイント(AP)間の接続(暗号鍵の生成)
次いで、2.にて認証が成功すると、認証サーバ(AS)は、共通鍵(MSK)をアクセスポイント(AP)に渡し、アクセスポイント(AP)と無線端末(MS)は、その共通鍵を用いてデータ暗号通信のための暗号鍵を生成する。
次いで、2.にて認証が成功すると、認証サーバ(AS)は、共通鍵(MSK)をアクセスポイント(AP)に渡し、アクセスポイント(AP)と無線端末(MS)は、その共通鍵を用いてデータ暗号通信のための暗号鍵を生成する。
4.無線端末(MS)=アクセスポイント(AP)間の接続(セキュア・アソシエーション確立) さらに、無線端末(MS)は、DHCP(Dynamic Host Configuration Protocol)によるIPアドレスを取得する。
5.無線端末(MS)=アクセスポイント(AP)間の接続(データ暗号通信開始)
その後、無線端末(MS)は、暗号アルゴリズムによるデータ暗号通信を開始する。
その後、無線端末(MS)は、暗号アルゴリズムによるデータ暗号通信を開始する。
無線LANにおける移動端末が単一アクセスポイント(AP)の領域(BSS:Basic Service Set)内で移動する場合は特にハンドオフが必要ないが、同一の拡張サービスセット(ESS:Extended Service Set)内に位置するアクセスポイント(AP)間を移動する場合はハンドオフが必要である。また、異なるESS内に位置するアクセスポイント(AP)間を移動する場合もハンドオフが必要である。
このようなハンドオフが必要な移動端末(MS)の移動時における移動端末(MS)の認証には、認証済みの無線端末(MS)がこの移動により接続先のアクセスポイント(AP)が変ったとき、移動先における新たなアクセスポイント(AP)に接続するために、上記の認証手順を再度行わなければならない。従って、多くのメッセージ交換による遅延が生じ、通信の中断が起きる可能性があり、シームレスサービスを提供できないという課題がある。このような通信の中断の問題は、ボイスオーバーIP(VoIP)やストリーミングのような滑らかな動作及びサービス品質(QoS)を保証しなければならないリアルタイムアプリケーションにとっては大きな問題となる。
一方、モバイルIPv6環境下で頻繁に移動する移動端末(MN)が、IP接続手順の遅延を短くする高速ハンドオーバを実現するためのプロトコルとして、従来、IETF(Internet Engineering Task Force)のドラフト資料であるFMIPv6(Fast Handover for Mobile IPv6)が提案されている。図8はこの高速ハンドオーバの接続手順を示すタイミングチャートである。図8にそって動作を説明する。項番は図8中の番号に対応している。
(1)まず、移動端末(MN)は新たに検知したアクセスポイント(AP2)の情報(LLA, AP-ID)を用いて近隣ルータ探索の問い合わせを出す。
(2)次に、アクセスルータ(PAR)はアクセスポイント(AP2)の情報を元にそのアクセスポイント(AP)が接続されているアクセスルータ(NAR)の情報[AP-ID,AR-Info]を移動端末(MN)に通知する。
(3)移動端末(MN)はここで得られたアクセスルータ(NAR)のネットワークプレフィクスを用いて移動後に用いる気付けアドレス(NCoA:New Care-of Address)を導出し、それをアクセスルータ(PAR)に伝える。アクセスルータ(PAR)は移動端末(MN)の移動中に、移動前のアドレス(PCoA)に送られたパケットを移動後のアドレス(NCoA)に転送するためのトンネルを生成する。
(4)移動端末(MN)が導出したアドレス(NCoA)が利用可能であるかをアクセスルータ(NAR)に問い合わせるメッセージを出す。
(2)次に、アクセスルータ(PAR)はアクセスポイント(AP2)の情報を元にそのアクセスポイント(AP)が接続されているアクセスルータ(NAR)の情報[AP-ID,AR-Info]を移動端末(MN)に通知する。
(3)移動端末(MN)はここで得られたアクセスルータ(NAR)のネットワークプレフィクスを用いて移動後に用いる気付けアドレス(NCoA:New Care-of Address)を導出し、それをアクセスルータ(PAR)に伝える。アクセスルータ(PAR)は移動端末(MN)の移動中に、移動前のアドレス(PCoA)に送られたパケットを移動後のアドレス(NCoA)に転送するためのトンネルを生成する。
(4)移動端末(MN)が導出したアドレス(NCoA)が利用可能であるかをアクセスルータ(NAR)に問い合わせるメッセージを出す。
(5)アクセスルータ(NAR)は、アドレス(NCoA)が利用可能かどうかを調べ、アクセスルータ(PAR)にアドレス(NCoA)の利用可否と利用可能でなければ代替アドレスを送るメッセージを出す。
(6)アクセスルータ(PAR)は、移動端末(MN)とアクセスルータ(NAR)にバインディング(PCoA/NCoA)応答メッセージを送りハンドオーバの準備を行う。
(7)移動端末(MN)は、アクセスルータ(PAR)から離れアクセスルータ(NAR)に接続し、パケット転送の要求を行う。
(6)アクセスルータ(PAR)は、移動端末(MN)とアクセスルータ(NAR)にバインディング(PCoA/NCoA)応答メッセージを送りハンドオーバの準備を行う。
(7)移動端末(MN)は、アクセスルータ(PAR)から離れアクセスルータ(NAR)に接続し、パケット転送の要求を行う。
このプロトコルにおいては、移動端末(MN)が、移動元の無線リンク情報と移動先の無線リンク情報(例えば、無線LANの場合はスキャン(scan))との両方を受けることができるエリアにおいて、移動元で接続しているアクセスルータ(Previous Access Router:アクセスルータ(PAR))から、移動先と予想される位置のアクセスルータ(Next Access Router:アクセスルータ(NAR))に新しいアクセスポイント(AP)の検知を要求するところから始まる。そして移動先の気付けアドレス(NCoA:New Care-of Address)を生成し、アクセスルータ(PAR)とアクセスルータ(NAR)と間に双方向のIPトンネルを確立することで、移動後にアクセスルータ(PAR)の移動前のアドレス(PCoA:Previous Care-of Address)に届くパケットをアクセスルータ(NAR)の移動後のアドレス(NCoA)に転送することができ、通信の中断が短くなると共にパケットロースも減らせることができる(例えば、非特許文献2参照)。
Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J. and H. Levkowetz, "Extensible Authentication Protocol (EAP)" RFC 3748, June 2004.
FMIPv6:Fast Handovers for Mobile IPv6, RFC4068, IETF
以上のように従来の認証方法においては、認証済みの無線端末(MS)が移動によって接続先のアクセスポイント(AP)が変ったとき、新しいアクセスポイント(AP)へのセキュア・セッションを確立するために、上記の認証手順を再度行わなければならないので、遅延により通信の中断が起きる可能性があり、シームレスサービスを提供できないといった未解決の問題がある。
本発明は上記のような問題点を解決するためになされたもので、移動通信ネットワークにおける認証システムを構築する際、移動する無線端末の端末認証をより高速にかつ安全に提供できる無線LANシステムの移動無線端末認証方法を提供することを目的とする。
上述した問題を解決し、目的を達成するために、本発明に係る無線LANシステムの移動無線端末認証方法は、無線LANシステムにおいて、第1のアクセスルータ(PAR)の配下の第1のアクセスポイント(APi)に接続する無線端末(MS)が、第2のアクセスルータ(NAR)の配下の第2のアクセスポイント(APj)に移動する場合の無線端末(MS)の認証方法であって、
(1)無線端末(MS)が、移動先の第2のアクセスポイント(APj)に接続する前に、現在接続している第1のアクセスポイント(APi)の第1のアクセスルータ(PAR)へ事前認証を要求して該認証を完了させて、
(2)第1のアクセスルータ(PAR)から第2のアクセスルータ(NAR)へのIPトンネルを確立して、
(3)IPトンネルを用いて、事前共有鍵に基づき認証済みの無線端末(MS)のセッション情報を第2のアクセスルータ(NAR)へ転送して、
(4)無線端末(MS)が、移動先の第2のアクセスポイント(APj)に移動した際には、セッション情報を用いて、第2のアクセスポイント(APj)の第2のアクセスルータ(NAR)との相互認証を行うことを特徴とする。
(1)無線端末(MS)が、移動先の第2のアクセスポイント(APj)に接続する前に、現在接続している第1のアクセスポイント(APi)の第1のアクセスルータ(PAR)へ事前認証を要求して該認証を完了させて、
(2)第1のアクセスルータ(PAR)から第2のアクセスルータ(NAR)へのIPトンネルを確立して、
(3)IPトンネルを用いて、事前共有鍵に基づき認証済みの無線端末(MS)のセッション情報を第2のアクセスルータ(NAR)へ転送して、
(4)無線端末(MS)が、移動先の第2のアクセスポイント(APj)に移動した際には、セッション情報を用いて、第2のアクセスポイント(APj)の第2のアクセスルータ(NAR)との相互認証を行うことを特徴とする。
また、第1のLANセグメントの第1のアクセスルータ(PAR)の配下の第1のアクセスポイント(APi)にて認証済みの無線端末(MS)が、第2のLANセグメントの第2のアクセスルータ(NAR)の配下の第2のアクセスポイント(APj)に移動する場合には、無線端末(MS)が第1のアクセスルータ(PAR)に接続している間に、ハンドオーバの接続手順を用いて、事前認証が行われ、第1のアクセスルータ(PAR)での無線端末(MS)の事前認証情報、移動先アクセスルータ(NAR)情報および移動先IPアドレスが導出さられ、これら情報に基づいてトンネルが張られることを特徴とする。
さらに、第1のLANセグメントの第1のアクセスルータ(PAR)の配下の第1のアクセスポイント(APi)にて認証済みの無線端末(MS)が、第2のLANセグメントの第2のアクセスルータ(NAR)の配下の第2のアクセスポイント(APj)に移動する場合には、無線端末(MS)は、近隣ルータ探索メッセージを、第1のアクセスポイント(APi)に送信することにより、第2のアクセスポイント(APj)を管理する第2のアクセスルータ(NAR)を探索することを特徴とする。
さらにまた、無線端末(MS)は、移動先IPアドレスを第1のアクセスルータ(PAR)に伝えるためのメッセージに、セッション情報も含めて送り、第1のアクセスルータ(PAR)は、セッション情報を用いて無線端末(MS)の認証を行うことを特徴とする。
また、第1のアクセスルータ(PAR)に接続していた無線端末(MS)が、第2のアクセスルータ(NAR)へのハンドオーバの応答を受け取る前に、第1のアクセスルータ(PAR)の接続から離れてアクセスルータ(NAR)に進んだ際に、第2のアクセスルータ(NAR)は、第2のアクセスルータ(NAR)から第1のアクセスルータ(PAR)へのトンネルを介して無線端末(MS)の認証を行うことを特徴とする。
さらに、第2のアクセスポイント(APj)に接続した無線端末(MS)は、IPアドレス(NCoA)が使用できるか否かを確認するためのメッセージにセッション情報も含めて第2のアクセスルータ(NAR)に送り、第2のアクセスルータ(NAR)は、IPアドレス(NCoA)が使用できるか否かを確認した後、メッセージを第1のアクセスルータ(PAR)に送り、第1のアクセスルータ(PAR)は、セッション情報を用いて無線端末(MS)の認証を行うことを特徴とする。
さらにまた、本発明に係る他の無線LANシステムの移動無線端末認証方法は、無線LANシステムにおいて、第1のアクセスポイント(APi)に接続する無線端末(MS)が同一のアクセスルータ(PAR)の配下の第2アクセスポイント(APj)に移動する場合の無線端末(MS)の認証方法であって、
(1)無線端末(MS)が、移動先の第2のアクセスポイント(APj)に接続する前に、現在接続している第1のアクセスポイント(APi)の第1のアクセスルータ(PAR)へ事前認証を要求して該認証を完了させて、
(2)第1のアクセスルータ(PAR)は、事前共有鍵に基づき認証済みの無線端末(MS)のセッション情報を第2のアクセスポイント(APj)に送り、
(3)無線端末(MS)が、移動先の第2のアクセスポイント(APj)に移動した際には、セッション情報を用いて、第2のアクセスポイント(APj)との相互認証を行うことを特徴とする。
(1)無線端末(MS)が、移動先の第2のアクセスポイント(APj)に接続する前に、現在接続している第1のアクセスポイント(APi)の第1のアクセスルータ(PAR)へ事前認証を要求して該認証を完了させて、
(2)第1のアクセスルータ(PAR)は、事前共有鍵に基づき認証済みの無線端末(MS)のセッション情報を第2のアクセスポイント(APj)に送り、
(3)無線端末(MS)が、移動先の第2のアクセスポイント(APj)に移動した際には、セッション情報を用いて、第2のアクセスポイント(APj)との相互認証を行うことを特徴とする。
この発明によれば、第1のアクセスルータ(PAR)から第2のアクセスルータ(NAR)へのIPトンネルを確立して、事前共有鍵に基づき認証済みの無線端末(MS)のセッション情報を第2のアクセスルータ(NAR)へ転送しておき、無線端末(MS)が、移動先の第2のアクセスポイント(APj)に移動した際には、セッション情報を用いて、第2のアクセスポイント(APj)の第2のアクセスルータ(NAR)との相互認証を行うので、移動前に第1のアクセスルータ(PAR)との第2のアクセスルータ(NAR)との間のトンネルを用いてセッション認証情報を転送すると共に事前認証を行うことができ、移動先で改めて認証サーバ(AS)への認証を行わないので、通信中断の時間が短くなりよりシームレスサービスを実現することができる。そして、移動する無線端末の端末認証をより高速にかつ安全に提供することができる。
以下、本発明に係る無線LANシステムのユーザ認証方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
実施の形態1.
図1は本発明に係る無線LANシステムのユーザ認証方法を適用可能とするネットワークシステムのシステム構成を表すシステムブロック図である。図1において、ネットワークは、無線端末(MS)101がネットワークに接続することができるリンク接続を提供する4つのアクセスポイント(AP)51〜54と、この4つのアクセスポイントのうちアクセスポイント(AP1,AP2)52,53の電波によってネットワーク接続を行う無線LAN61,62と、アクセスポイント(AP,AP1)51,52をネットワークへ接続する第1のアクセスルータ(PAR)41と、アクセスポイント(AP2,AP)53,54をネットワークへ接続する第2のアクセスルータ(NAR)42と、無線端末(MS)101を認証する認証サーバ(AS:Authentication Server)21とを含んでいる。
図1は本発明に係る無線LANシステムのユーザ認証方法を適用可能とするネットワークシステムのシステム構成を表すシステムブロック図である。図1において、ネットワークは、無線端末(MS)101がネットワークに接続することができるリンク接続を提供する4つのアクセスポイント(AP)51〜54と、この4つのアクセスポイントのうちアクセスポイント(AP1,AP2)52,53の電波によってネットワーク接続を行う無線LAN61,62と、アクセスポイント(AP,AP1)51,52をネットワークへ接続する第1のアクセスルータ(PAR)41と、アクセスポイント(AP2,AP)53,54をネットワークへ接続する第2のアクセスルータ(NAR)42と、無線端末(MS)101を認証する認証サーバ(AS:Authentication Server)21とを含んでいる。
本実施の形態の事前共有鍵による事前認証方法の概念を説明する。現在第1のアクセスポイント(AP1)に接続していた無線端末(MS)が、第2のアクセスポイント(AP2)に移動する際、第2のアクセスポイント(AP2)に接続する前に、現在接続している第1のアクセスルータ(PAR)へ事前認証要求メッセージを出す。第1のアクセスルータ(PAR)は事前共有鍵による認証方法によって認証済みの無線端末(MS)のセッション情報(UID,KMU)を保管しており、無線端末(MS)の事前認証をする。
事前認証が終わると、無線端末(MS)が第2のアクセスポイント(AP2)の第2のアクセスルータ(NAR)へ移動する前に、第1のアクセスルータ(PAR)と第2のアクセスルータ(NAR)との間のトンネルを用いてセッション認証情報が転送されると共に事前認証応答メッセージが送られる。これにより、無線端末(MS)は、移動先アクセスポイント(AP2)で改めて認証サーバ(AS)への認証を行うことなくセキュア・セッションの確立をすることができる。
図2は本実施の形態の事前認証手順を示すタイミングチャートである。図2にそって動作を説明する。
(1)無線端末(MS)=第2のアクセスルータ(AP2)間の接続(無線リンク接続)
まず、無線端末(MS)は、発見した第2のアクセスルータ(AP2)への無線リンク接続を要求し、802.11無線リンク接続を行う。
(1)無線端末(MS)=第2のアクセスルータ(AP2)間の接続(無線リンク接続)
まず、無線端末(MS)は、発見した第2のアクセスルータ(AP2)への無線リンク接続を要求し、802.11無線リンク接続を行う。
(2)無線端末(MS)=アクセスルータ(PAR,NAR)間の接続(事前共有鍵を用いた事前認証)
次に、無線端末(MS)は、第1のアクセスルータ(PAR)への事前認証要求メッセージ(PRE_AUTH_REQ)を現在接続している第1のアクセスポイント(AP1)に出す。このメッセージは認証サーバ(AS)との事前共有鍵で暗号化した無線端末(MS)の識別子情報(UID)と無線リンク接続しているアクセスポイント(AP2)の情報を含む。
そして、第1のアクセスポイント(AP1)は、無線端末(MS)の事前認証要求メッセージを第1のアクセスルータ(PAR)に転送する。
次に、無線端末(MS)は、第1のアクセスルータ(PAR)への事前認証要求メッセージ(PRE_AUTH_REQ)を現在接続している第1のアクセスポイント(AP1)に出す。このメッセージは認証サーバ(AS)との事前共有鍵で暗号化した無線端末(MS)の識別子情報(UID)と無線リンク接続しているアクセスポイント(AP2)の情報を含む。
そして、第1のアクセスポイント(AP1)は、無線端末(MS)の事前認証要求メッセージを第1のアクセスルータ(PAR)に転送する。
第1のアクセスルータ(PAR)は、予めキャッシュ(cache)しておいた認証済み無線端末(MS)の情報に基づき無線端末(MS)を事前認証し、第1のアクセスポイント(AP1)に事前認証完了メッセージ(PRE_AUTH_ACK)を送る。第1のアクセスルータ(PAR)は、同時に第1のアクセスルータ(PAR)と第2のアクセスルータ(NAR)との間のトンネルを用いて第2のアクセスルータ(NAR)に無線端末(MS)の認証情報を転送する目的で事前認証完了メッセージを送る。
第2のアクセスルータ(NAR)は、無線端末(MS)の識別子情報と共有鍵とをキャッシュして置くと共に、第2のアクセスポイント(AP2)に無線端末(MS)の事前認証完了メッセージを送る。
第1のアクセスポイント(AP1)は、無線端末(MS)に事前認証完了メッセージを送る。
第2のアクセスポイント(AP2)は、無線端末(MS)の識別子情報を保存して置く。
無線端末(MS)は、第2のアクセスポイント(AP2)の識別子情報を持つ認証完了メッセージを確認することによって第2のアクセスポイント(AP2)を認証することができる。
第1のアクセスポイント(AP1)は、無線端末(MS)に事前認証完了メッセージを送る。
第2のアクセスポイント(AP2)は、無線端末(MS)の識別子情報を保存して置く。
無線端末(MS)は、第2のアクセスポイント(AP2)の識別子情報を持つ認証完了メッセージを確認することによって第2のアクセスポイント(AP2)を認証することができる。
(3)無線端末(MS)=第2のアクセスポイント(AP2)間の接続
(セキュア・アソシエーション確立)
事前認証完了メッセージを受け取った無線端末(MS)は、第2のアクセスポイント(AP2)に暗号通信のためのネットワーク接続を要求する。
第2のアクセスポイント(AP2)は、無線端末(MS)を確認し第2のアクセスルータ(NAR)にデータ暗号化のための鍵配布要求メッセージ(KEY_DIS_REQ)を出す。
第2のアクセスルータ(NAR)は、保管している移動端末無線端末(MS)の認証情報から無線端末(MS)と第2のアクセスポイント(AP2)を確認し、無線端末(MS)の事前共有鍵を取り出し第2のアクセスポイント(AP2)に配布する。
第2のアクセスポイント(AP2)は、無線端末(MS)の事前共有鍵情報を取得し、無線端末(MS)にネットワーク接続応答メッセージ(CONN_ACK)を送る。
(セキュア・アソシエーション確立)
事前認証完了メッセージを受け取った無線端末(MS)は、第2のアクセスポイント(AP2)に暗号通信のためのネットワーク接続を要求する。
第2のアクセスポイント(AP2)は、無線端末(MS)を確認し第2のアクセスルータ(NAR)にデータ暗号化のための鍵配布要求メッセージ(KEY_DIS_REQ)を出す。
第2のアクセスルータ(NAR)は、保管している移動端末無線端末(MS)の認証情報から無線端末(MS)と第2のアクセスポイント(AP2)を確認し、無線端末(MS)の事前共有鍵を取り出し第2のアクセスポイント(AP2)に配布する。
第2のアクセスポイント(AP2)は、無線端末(MS)の事前共有鍵情報を取得し、無線端末(MS)にネットワーク接続応答メッセージ(CONN_ACK)を送る。
(4)無線端末(MS)は、第2のアクセスポイント(AP2)と事前共有鍵を用いてデータ暗号通信を開始する。
以上説明したように、この発明によれば無線端末が現在接続している第1のアクセスルータ(PAR)で認証済みの端末ユーザのセッション情報を持つことによって、あるLANセグメントの第1のアクセスポイント(AP1)に接続していた無線端末が異なるLANセグメントの第2のアクセスルータ(NAR)の第2のアクセスポイント(AP2)に移動接続する際、移動前に第1のアクセスルータ(PAR)と第2のアクセスルータ(NAR)との間のトンネルを用いてセッション認証情報を転送して事前認証を行うことができ、移動先で改めて認証サーバ(AS)への認証を行わないので、通信中断の時間が短くなりよりシームレスサービスを実現することができる。また、なお、第1のアクセスルータ(PAR)からのデータパケットを転送してもらうことができ、パケットロースが少ない品質のよいサービスを提供できるという効果が得られる。
実施の形態2.
図3は本発明に係る無線LANシステムのユーザ認証方法を適用可能とする分散型コンピュータシステム構成を表すシステムブロック図である。分散型コンピュータシステムは、一つ以上の端末が一つ以上の他の端末と通信するコンピュータ環境であればどのようなものでもよい。本実施の形態のシステムでは、サブネットワーク11,12上の無線端末(MS)101,202がインターネット1を介して端末9とエンド・エンド暗号通信を可能とする環境の例を示す。
図3は本発明に係る無線LANシステムのユーザ認証方法を適用可能とする分散型コンピュータシステム構成を表すシステムブロック図である。分散型コンピュータシステムは、一つ以上の端末が一つ以上の他の端末と通信するコンピュータ環境であればどのようなものでもよい。本実施の形態のシステムでは、サブネットワーク11,12上の無線端末(MS)101,202がインターネット1を介して端末9とエンド・エンド暗号通信を可能とする環境の例を示す。
サブネットワーク11は、無線端末(MS)101がネットワークに接続することができるリンク接続を提供するアクセスポイント(AP)51〜53と、アクセスポイント(AP)51〜53の電波によってネットワーク接続を行う無線LAN61〜63と、アクセスポイント(AP)51〜53をグローバルネットワークのインターネット1側へ接続するアクセスルータ(AR)41〜43と、無線端末(MS)101を認証する認証サーバ(AS)21とを含む。
一方、このサブネットワーク11とインターネット1を介して接続するサブネットワーク12は、無線端末(MS)202がネットワークに接続することができるリンク接続を提供するアクセスポイント(AP)57〜59と、アクセスポイント(AP)57〜59の電波によってネットワーク接続を行う無線LAN64〜65と、アクセスポイント(AP)57〜59をグローバルネットワークのインターネット1側へ接続するアクセスルータ(AR)44〜46と、無線端末(MS)202を認証する認証サーバ(AS)25とを含む。
ここで、無線端末(MS)は、無線LANカードを実装しておりアクセスポイント(AP)と相互に無線通信を行う。また、アクセスルータ(AR)は、アクセスポイントからのデータを処理し、無線端末(MS)をネットワークに接続し、ネットワークから受信したデータをアクセスポイント(AP)に転送し、アクセスルータ(AR)は、有線ネットワークを介して認証サーバ(AS)サーバと接続されている。
認証サーバ(AS)は、鍵生成機能を持ち無線端末(MS)、アクセスポイント(AP)及びアクセスルータ(AR)との共有鍵を生成し事前に配布しており、それを用いて無線端末(MS)の認証を行う。無線端末(MS)は、認証サーバによって正当なユーザとして認証されたときののみ外部ネットワークにアクセス可能になる。また、同様に事前に鍵を配布したアクセスルータ(AR)を認証し管理する機能を持っている。
アクセスポイント(AP)は、それぞれ無線端末(MS)と固有の通信可能範囲(61,62,63)を持っており、無線端末(MS)から受信したデータを処理し、有線ネットワークのアクセスルータ(AR)へデータを送信する機能とアクセスルータ(AR)から受信したデータを処理し無線端末(MS)に送信する機能を持っている。また認証済みの無線端末(MS)が移動した場合、アクセスルータ(AR)と連携し簡易かつ高速にアクセスポイント(AP)間のハンドオフを行い得るようになっている。
アクセスルータ(AR)は、自分の配下のアクセスポイント(AP)を認証し管理する機能とアクセスポイント(AP)から受信したデータが、自分が管理するアクセスポイント(AP)からのデータであるかを確認する機能と、確認したデータを認証サーバに転送する機能、また、認証済みのユーザのデータを保護するために暗号通信のための鍵を認証サーバ(AS)からもらって配布する機能を持っている。
実施の形態3.(ESS間の移動その1)
本実施の形態3は、図3に示された実施の形態2と同様なシステム構成において、あるLANセグメントの第1のアクセスルータ(PAR)の配下の第1のアクセスポイント(APi)にて認証済みの無線端末(MS)が、他のLANセグメントの第2のアクセスルータ(NAR)の配下の第2のアクセスポイント(APj)に移動する場合の事前共有鍵を用いた無線端末(MS)の事前認証手順について説明する。ここでは、無線端末(MS)が、第1のアクセスルータ(PAR)に接続している間に第2のアクセスルータ(NAR)へのハンドオーバが進んでトンネルが張られる場合を示す。
本実施の形態3は、図3に示された実施の形態2と同様なシステム構成において、あるLANセグメントの第1のアクセスルータ(PAR)の配下の第1のアクセスポイント(APi)にて認証済みの無線端末(MS)が、他のLANセグメントの第2のアクセスルータ(NAR)の配下の第2のアクセスポイント(APj)に移動する場合の事前共有鍵を用いた無線端末(MS)の事前認証手順について説明する。ここでは、無線端末(MS)が、第1のアクセスルータ(PAR)に接続している間に第2のアクセスルータ(NAR)へのハンドオーバが進んでトンネルが張られる場合を示す。
図4は本実施の形態の事前認証手順を示すタイミングチャートである。図4にそって動作を説明する。項番は図4中の番号に対応している。
1.無線端末(MS)=第2のアクセスポイント(APj)間の接続(無線リンク接続要求)
(1-1)無線端末(MS)が移動し始め現在接続されている第1のアクセスポイント(APi)以外の他のESS内の第2のアクセスポイント(APj)の無線リンク情報を受けると、その第2のアクセスポイント(APj)に802.11無線リンク接続を要求し始める(Probe request)。
(1-1)無線端末(MS)が移動し始め現在接続されている第1のアクセスポイント(APi)以外の他のESS内の第2のアクセスポイント(APj)の無線リンク情報を受けると、その第2のアクセスポイント(APj)に802.11無線リンク接続を要求し始める(Probe request)。
2.無線端末(MS)=第1のアクセスルータ(PAR)間の接続
(セッション認証情報(KMU)を用いたアクセスルータ(PAR)の無線端末(MS)事前認証)
(2-1)無線端末(MS)は、検知した第2のアクセスポイント(APj)の情報(LLA:Link layer address、AP-ID)を元に第2のアクセスポイント(APj)の管理アクセスルータ(AR)を探すために、FMIPv6の近隣ルータ探索メッセージ(RtSolPr:Router Solicitation for Proxy Advertisement)を第1のアクセスルータ(PAR)に送信する。
(セッション認証情報(KMU)を用いたアクセスルータ(PAR)の無線端末(MS)事前認証)
(2-1)無線端末(MS)は、検知した第2のアクセスポイント(APj)の情報(LLA:Link layer address、AP-ID)を元に第2のアクセスポイント(APj)の管理アクセスルータ(AR)を探すために、FMIPv6の近隣ルータ探索メッセージ(RtSolPr:Router Solicitation for Proxy Advertisement)を第1のアクセスルータ(PAR)に送信する。
(2-2)第1のアクセスルータ(PAR)は、第2のアクセスポイント(APj)の情報(LLA、AP-ID)に基づき、そのアクセスポイント(AP)が接続されているアクセスルータ(AR(NAR))の情報を含むメッセージ(PrRtAdv:Proxy Router Advertisement)を無線端末(MS)に返す。
(2-3)無線端末(MS)は、移動前に移動後に用いるIPアドレス(NCoA)を導出し、それを第1のアクセスルータ(PAR)に伝えるためのバインディングアップデートメッセージ(FBU:Fast Binding Update)を第1のアクセスルータ(PAR)に送る。ただし、このとき無線端末(MS)は、FBUに事前共有鍵で暗号化した事前認証要求メッセージ(PRE_AUTH_REQ)情報も送る。
(2-4)事前認証要求メッセージを受け取った第1のアクセスルータ(PAR)は、キャッシュセッション認証情報(KMU,UID)を用いて無線端末(MS)認証を行う。
(2-3)無線端末(MS)は、移動前に移動後に用いるIPアドレス(NCoA)を導出し、それを第1のアクセスルータ(PAR)に伝えるためのバインディングアップデートメッセージ(FBU:Fast Binding Update)を第1のアクセスルータ(PAR)に送る。ただし、このとき無線端末(MS)は、FBUに事前共有鍵で暗号化した事前認証要求メッセージ(PRE_AUTH_REQ)情報も送る。
(2-4)事前認証要求メッセージを受け取った第1のアクセスルータ(PAR)は、キャッシュセッション認証情報(KMU,UID)を用いて無線端末(MS)認証を行う。
(2-5)認証が成功すると、第1のアクセスルータ(PAR)は、第2のアクセスルータ(NAR)に無線端末(MS)の新しいIPアドレス(NCoA)が利用できるかどうか問い合わせるハンドオーバ初期化メッセージ(HI:Handover Initiate)を送る。
(2-6)第2のアクセスルータ(NAR)は、IPアドレス(NCoA)が利用できるかどうかを調べ、第1のアクセスルータ(PAR)にIPアドレス(NCoA)の利用可否と利用可能なアクセスポイント(AP)を知らせるハンドオーバ応答メッセージ(Hack:Handover Acknowedgement)を返す。
(2-6)第2のアクセスルータ(NAR)は、IPアドレス(NCoA)が利用できるかどうかを調べ、第1のアクセスルータ(PAR)にIPアドレス(NCoA)の利用可否と利用可能なアクセスポイント(AP)を知らせるハンドオーバ応答メッセージ(Hack:Handover Acknowedgement)を返す。
(2-7)第1のアクセスルータ(PAR)は、第2のアクセスルータ(NAR)に無線端末(MS)の事前認証OKである旨のメッセージを含むバインディング応答メッセージ(FBack:Fast Binding Acknowedgement)を送り、ハンドオーバの準備を行う。その事前認証OKのメッセージには、無線端末(MS)の事前認証情報(KMU,UID)が入れられており、第2のアクセスルータ(NAR)は、この無線端末(MS)の事前認証情報(KMU,UID)をキャッシュして置く。なお、このとき、事前認証要求メッセージを送られてきた無線端末(MS)にも事前認証OKのメッセージを含むバインディング応答メッセージ(FBack:Fast Binding Acknowedgement)を送る。
(2-8)第2のアクセスルータ(NAR)は、自分の配下の第2のアクセスポイント(APj)に無線端末(MS)の事前認証OKメッセージ(PRE_AUTH_ACK)を出す。第2のアクセスポイント(APj)は、無線端末(MS)の事前認証情報(UID)をキャッシュして置く。
3.無線端末(MS)=第2のアクセスルータ(NAR)間の接続
(第2のアクセスルータ(NAR)への接続)
(3-1)第1のアクセスルータ(PAR)は、無線端末(MS)宛のパケットを第2のアクセスルータ(NAR)に転送する。
(3-2)無線端末(MS)は、第1のアクセスポイント(APi)から離れて第2のアクセスポイント(APj)に接続する。
(3-3)第2のアクセスポイント(APj)は、無線端末(MS)を認証し無線リンク接続を確立する。
(第2のアクセスルータ(NAR)への接続)
(3-1)第1のアクセスルータ(PAR)は、無線端末(MS)宛のパケットを第2のアクセスルータ(NAR)に転送する。
(3-2)無線端末(MS)は、第1のアクセスポイント(APi)から離れて第2のアクセスポイント(APj)に接続する。
(3-3)第2のアクセスポイント(APj)は、無線端末(MS)を認証し無線リンク接続を確立する。
4.無線端末(MS)=アクセスポイント(APj)間の接続(セキュア・セッション確立)
(4-1)第2のアクセスポイント(APj)に802.11無線リンク接続した無線端末(MS)は、第2のアクセスポイント(APj)へのセキュア・セッション接続を要求する。
(4-2)第2のアクセスポイント(APj)は、第2のアクセスルータ(NAR)からの事前認証情報OKメッセージ情報(UID)によって無線端末(MS)を認証し、第2のアクセスルータ(NAR)へのセッション鍵配布要求メッセージを出す。
(4-3)第2のアクセスルータ(NAR)は、無線端末(MS)とAPを確認・認証し、第2のアクセスポイント(APj)に無線端末(MS)のセッション鍵情報(KMU)を配布する。
(4-4)第2のアクセスポイント(APj)は、無線端末(MS)のセッション鍵情報(KMU)を取得し、無線端末(MS)にセキュア・セッション接続応答メッセージを送る。
(4-5)第2のアクセスルータ(NAR)は、第1のアクセスルータ(PAR)から転送されたパケット情報を無線端末(MS)に転送し、無線端末(MS)は、第2のアクセスポイント(APj)との暗号通信を開始することができる。
(4-1)第2のアクセスポイント(APj)に802.11無線リンク接続した無線端末(MS)は、第2のアクセスポイント(APj)へのセキュア・セッション接続を要求する。
(4-2)第2のアクセスポイント(APj)は、第2のアクセスルータ(NAR)からの事前認証情報OKメッセージ情報(UID)によって無線端末(MS)を認証し、第2のアクセスルータ(NAR)へのセッション鍵配布要求メッセージを出す。
(4-3)第2のアクセスルータ(NAR)は、無線端末(MS)とAPを確認・認証し、第2のアクセスポイント(APj)に無線端末(MS)のセッション鍵情報(KMU)を配布する。
(4-4)第2のアクセスポイント(APj)は、無線端末(MS)のセッション鍵情報(KMU)を取得し、無線端末(MS)にセキュア・セッション接続応答メッセージを送る。
(4-5)第2のアクセスルータ(NAR)は、第1のアクセスルータ(PAR)から転送されたパケット情報を無線端末(MS)に転送し、無線端末(MS)は、第2のアクセスポイント(APj)との暗号通信を開始することができる。
このような構成の無線LANシステムの移動無線端末認証方法においては、あるLANセグメントの第1のアクセスポイント(APi)に接続していた無線端末(MS)が異なるLANセグメントのアクセスルータ(AR(NAR))の第2のアクセスポイント(APj)に移動接続する際、第1のアクセスルータ(PAR)で認証済みのユーザセッション情報を持つことによって移動前に第1のアクセスルータ(PAR)で事前認証すると共に、第1のアクセスルータ(PAR)と第2のアクセスルータ(NAR)との間のトンネルを用いて無線端末(MS)のセッション認証情報を転送することができ、移動先第2のアクセスポイント(APj)で改めて認証サーバ(AS)への認証を行わないので、無線端末(MS)の再認証による通信中断の時間が短くなりよりシームレスサービスを実現することができる。
実施の形態4.(ESS間の移動その2)
本実施の形態4は、図3に示された実施の形態2と同様なシステム構成において、あるサーブネットの第1のアクセスルータ(PAR)の配下の第1のアクセスポイント(APi)にて認証済みの無線端末(MS)が、他の第2のアクセスルータ(NAR)の配下のアクセスポイント (APj)に移動する場合の事前共有鍵を用いた無線端末(MS)の事前認証手順について説明する。ここでは、無線端末(MS)が第1のアクセスルータ(PAR)のリンクに接続している間に第2のアクセスルータ(NAR)へのハンドオーバの応答を受け取る前にそのリンクから離れて第2のアクセスルータ(NAR)に進んでしまった場合を示す。
本実施の形態4は、図3に示された実施の形態2と同様なシステム構成において、あるサーブネットの第1のアクセスルータ(PAR)の配下の第1のアクセスポイント(APi)にて認証済みの無線端末(MS)が、他の第2のアクセスルータ(NAR)の配下のアクセスポイント (APj)に移動する場合の事前共有鍵を用いた無線端末(MS)の事前認証手順について説明する。ここでは、無線端末(MS)が第1のアクセスルータ(PAR)のリンクに接続している間に第2のアクセスルータ(NAR)へのハンドオーバの応答を受け取る前にそのリンクから離れて第2のアクセスルータ(NAR)に進んでしまった場合を示す。
図5は本実施の形態の事前認証手順を示すタイミングチャートである。図5にそって動作を説明する。項番は図5中の番号に対応している。
1.無線端末(MS)=第2のアクセスポイント(APj)間の接続(無線リンク接続要求)
(1-1)移動中のネットワークで異なるESSの第2のアクセスポイント(APj)を検知した無線端末(MS)は、第2のアクセスポイント(APj)に無線リンク接続要求を出す。
1.無線端末(MS)=第2のアクセスポイント(APj)間の接続(無線リンク接続要求)
(1-1)移動中のネットワークで異なるESSの第2のアクセスポイント(APj)を検知した無線端末(MS)は、第2のアクセスポイント(APj)に無線リンク接続要求を出す。
2.無線端末(MS)=第1のアクセスルータ(PAR)間の接続
(第1のアクセスルータ(PAR)から第2のアクセスルータ(NAR)の探索)
(2-1)無線端末(MS)は、検知した第2のアクセスポイント(APj)の情報(LLA:Linklayer address、AP-ID)を元に第2のアクセスポイント(APj)の管理アクセスルータ(AR)を探すために、近隣ルータ探索メッセージ(RtSolPr:Router Solicitation for Proxy Advertisement)を第1のアクセスルータ(PAR)に送信する。
(第1のアクセスルータ(PAR)から第2のアクセスルータ(NAR)の探索)
(2-1)無線端末(MS)は、検知した第2のアクセスポイント(APj)の情報(LLA:Linklayer address、AP-ID)を元に第2のアクセスポイント(APj)の管理アクセスルータ(AR)を探すために、近隣ルータ探索メッセージ(RtSolPr:Router Solicitation for Proxy Advertisement)を第1のアクセスルータ(PAR)に送信する。
(2-2)第1のアクセスルータ(PAR)は、第2のアクセスポイント(APj)の情報(LLA、AP-ID)に基づき、そのアクセスポイント(AP)が接続されているアクセスルータ(AR(NAR))の情報を含むメッセージ(PrRtAdv:Proxy Router Advertisement)を無線端末(MS)に返す。
(2-3)無線端末(MS)は、ここで得られた第2のアクセスルータ(NAR)のネットワークプレフィクスを用いて移動後に使うIPアドレス(NCoA)を導出できる。無線端末(MS)は、移動により第1のアクセスポイント(APi)の接続範囲から離れて第2のアクセスポイント(APj)に802.11無線リンク接続する。
(2-3)無線端末(MS)は、ここで得られた第2のアクセスルータ(NAR)のネットワークプレフィクスを用いて移動後に使うIPアドレス(NCoA)を導出できる。無線端末(MS)は、移動により第1のアクセスポイント(APi)の接続範囲から離れて第2のアクセスポイント(APj)に802.11無線リンク接続する。
3.無線端末(MS)=アクセスルータ(PAR(NAR))間の接続
(アクセスルータ(NAR)からアクセスルータ(PAR)へのトンネルで無線端末(MS)認証)
(3-1)第2のアクセスポイント(APj)に接続した無線端末(MS)は、第2のアクセスルータ(NAR)にアタッチメント(attachment)を知らせるメッセージ(FNA:Fast Neighbor Advertisement)を送る。また、新しいアドレス(NCoA)が使用できるかどうかを確認するためのバインディングアップデートメッセージ(FBU:Fast Binding Update)を第2のアクセスルータ(NAR)に送る。このとき、無線端末(MS)は、FBUに事前共有鍵で暗号化した認証要求メッセージ(AUTH_REQ)情報を入れて置く。
(アクセスルータ(NAR)からアクセスルータ(PAR)へのトンネルで無線端末(MS)認証)
(3-1)第2のアクセスポイント(APj)に接続した無線端末(MS)は、第2のアクセスルータ(NAR)にアタッチメント(attachment)を知らせるメッセージ(FNA:Fast Neighbor Advertisement)を送る。また、新しいアドレス(NCoA)が使用できるかどうかを確認するためのバインディングアップデートメッセージ(FBU:Fast Binding Update)を第2のアクセスルータ(NAR)に送る。このとき、無線端末(MS)は、FBUに事前共有鍵で暗号化した認証要求メッセージ(AUTH_REQ)情報を入れて置く。
(3-2) FBUを受け取った第2のアクセスルータ(NAR)は、新しいアドレス(NCoA)が利用できるかどうかを調べると共に、確認したらそのFBUを第1のアクセスルータ(PAR)に送る。
(3-3)FBUを受け取った第1のアクセスルータ(PAR)は、無線端末(MS)宛のパケットデータを転送するために無線端末(MS)の新しいアドレス(NCoA)を記録し、さらにキャッシュセッション認証情報(KMU,UID)を用いて無線端末(MS)認証を行う。
(3-4)認証が終わったら第2のアクセスルータ(NAR)に無線端末(MS)の認証情報を含むバインディングアップデート応答メッセージ(FBack)メッセージを送る。
(3-3)FBUを受け取った第1のアクセスルータ(PAR)は、無線端末(MS)宛のパケットデータを転送するために無線端末(MS)の新しいアドレス(NCoA)を記録し、さらにキャッシュセッション認証情報(KMU,UID)を用いて無線端末(MS)認証を行う。
(3-4)認証が終わったら第2のアクセスルータ(NAR)に無線端末(MS)の認証情報を含むバインディングアップデート応答メッセージ(FBack)メッセージを送る。
(3-5)第2のアクセスルータ(NAR)は、無線端末(MS)のセッション認証情報(KMU,UID)をキャッシュして置く。そして無線端末(MS)に第2のアクセスポイント(APj)へのFBackメッセージを送る。
(3-6)第1のアクセスルータ(PAR)は、無線端末(MS)宛のパケットを第2のアクセスルータ(NAR)に転送する。
(3-7)第2のアクセスルータ(NAR)は、自分の配下の第2のアクセスポイント(APj)に無線端末(MS)の認証OKメッセージ(AUTH_ACK)を出す。第2のアクセスポイント(APj)は、そのユーザIDをキャッシュして置く。
(3-6)第1のアクセスルータ(PAR)は、無線端末(MS)宛のパケットを第2のアクセスルータ(NAR)に転送する。
(3-7)第2のアクセスルータ(NAR)は、自分の配下の第2のアクセスポイント(APj)に無線端末(MS)の認証OKメッセージ(AUTH_ACK)を出す。第2のアクセスポイント(APj)は、そのユーザIDをキャッシュして置く。
4.無線端末(MS)=アクセスポイント(APj)間の接続(セキュア・セッション確立)
(4-1)第2のアクセスルータ(NAR)からFBackメッセージをもらった無線端末(MS)は、第2のアクセスポイント(APj)へのセキュア・セッション接続を要求する。
(4-2)第2のアクセスポイント(APj)は、無線端末(MS)を確認し、第2のアクセスルータ(NAR)にセッション鍵配布要求メッセージを出す。
(4-3)第2のアクセスルータ(NAR)は、第2のアクセスポイント(APj)を認証し、無線端末(MS)のセッション鍵を配布する。
(4-1)第2のアクセスルータ(NAR)からFBackメッセージをもらった無線端末(MS)は、第2のアクセスポイント(APj)へのセキュア・セッション接続を要求する。
(4-2)第2のアクセスポイント(APj)は、無線端末(MS)を確認し、第2のアクセスルータ(NAR)にセッション鍵配布要求メッセージを出す。
(4-3)第2のアクセスルータ(NAR)は、第2のアクセスポイント(APj)を認証し、無線端末(MS)のセッション鍵を配布する。
(4-4)第2のアクセスポイント(APj)は、無線端末(MS)のセッション鍵情報(KMU)を取得し、無線端末(MS)にセキュア・セッション接続応答メッセージを送る。
(4-5)無線端末(MS)は、第2のアクセスポイント(APj)を確認し暗号通信を開始することができる。第2のアクセスルータ(NAR)は、第1のアクセスルータ(PAR)から転送されたパケット情報を無線端末(MS)に転送する。
(4-5)無線端末(MS)は、第2のアクセスポイント(APj)を確認し暗号通信を開始することができる。第2のアクセスルータ(NAR)は、第1のアクセスルータ(PAR)から転送されたパケット情報を無線端末(MS)に転送する。
このような構成の無線LANシステムの移動無線端末認証方法においては、第1のアクセスルータ(PAR)で認証済みのユーザセッション情報を持つことによって、ある第1のアクセスポイント(APi)に接続していた無線端末が異なるAR(NAR)の第2のアクセスポイント(APj)に移動接続する際、移動先の第2のアクセスルータ(NAR)と第1のアクセスルータ(PAR)との間のトンネルを用いて無線端末(MS)を認証し、無線端末(MS)の認証情報を第2のアクセスルータ(NAR)に転送することによって、移動先で改めて認証サーバ(AS)への認証を行わないので、第2のアクセスルータ(NAR)で第2のアクセスポイント(APj)へのセッション鍵を配布でき、通信中断の時間が短くなりよりシームレスサービスを実現することができる。なお、第1のアクセスルータ(PAR)から第2のアクセスルータ(NAR)へのデータパケットを転送してもらうことができ、パケットロースが少ない品質のよいサービスを提供できる。
実施の形態5.(ESS間の移動)
本実施の形態5は、ある第1のアクセスポイント(APi)にて認証済みの無線端末(MS)が同一アクセスルータ(PAR)の配下の他第2のアクセスポイント(APj)に移動する場合の事前認証手順である。
図6は本実施の形態の事前認証手順を示すタイミングチャートである。図6にそって動作を説明する。項番は図6中の番号に対応している。
本実施の形態5は、ある第1のアクセスポイント(APi)にて認証済みの無線端末(MS)が同一アクセスルータ(PAR)の配下の他第2のアクセスポイント(APj)に移動する場合の事前認証手順である。
図6は本実施の形態の事前認証手順を示すタイミングチャートである。図6にそって動作を説明する。項番は図6中の番号に対応している。
1.無線端末(MS)=第2のアクセスポイント(APj)間の接続(無線リンク接続要求)
(1-1)無線端末(MS)が移動し始め、異なるESSの第1のアクセスポイント(APi)と第2のアクセスポイント(APj)の無線リンク情報を受けると、第2のアクセスポイント(APj)に無線リンク接続を要求し始める。
(1-1)無線端末(MS)が移動し始め、異なるESSの第1のアクセスポイント(APi)と第2のアクセスポイント(APj)の無線リンク情報を受けると、第2のアクセスポイント(APj)に無線リンク接続を要求し始める。
2.無線端末(MS)=第1のアクセスルータ(PAR)間の接続
(セッション認証情報(KMU)を用いたアクセスルータ(PAR)の無線端末(MS)事前認証)
(2-1)無線端末(MS)は、検知した第2のアクセスポイント(APj)に接続するために、第2のアクセスポイント(APj)の情報を用いて現在接続している第1のアクセスポイント(APi)に認証サーバ(AS)との事前共有鍵(KMU)を用いて第2のアクセスポイント(APj)へ移動する前の事前認証要求メッセージ(PRE_AUTH_REQ)を出す。
(2-2)第1のアクセスポイント(APi)は、無線端末(MS)の事前認証要求メッセージ情報を第1のアクセスルータ(PAR)に転送する。
(セッション認証情報(KMU)を用いたアクセスルータ(PAR)の無線端末(MS)事前認証)
(2-1)無線端末(MS)は、検知した第2のアクセスポイント(APj)に接続するために、第2のアクセスポイント(APj)の情報を用いて現在接続している第1のアクセスポイント(APi)に認証サーバ(AS)との事前共有鍵(KMU)を用いて第2のアクセスポイント(APj)へ移動する前の事前認証要求メッセージ(PRE_AUTH_REQ)を出す。
(2-2)第1のアクセスポイント(APi)は、無線端末(MS)の事前認証要求メッセージ情報を第1のアクセスルータ(PAR)に転送する。
(2-3)第1のアクセスルータ(PAR)は、キャッシュセッション認証情報(KMU,UID)を用いて無線端末(MS)認証を行い、第2のアクセスポイント(APj)の情報(LLA、AP-ID)を確認する。
(2-4)第1のアクセスルータ(PAR)は、第2のアクセスポイント(APj)に無線端末(MS)の事前認証OKのメッセージを送信し、第2のアクセスポイント(APj)は、その無線端末(MS)の情報(UID)をキャッシュして置く。また、同時に事前認証要求メッセージを出した現在の第1のアクセスポイント(APi)にも事前認証OKのメッセージを送信する。
(2-5)第1のアクセスポイント(APi)は、無線端末(MS)に第2のアクセスポイント(APj)への事前認証OKメッセージを送る。
(2-4)第1のアクセスルータ(PAR)は、第2のアクセスポイント(APj)に無線端末(MS)の事前認証OKのメッセージを送信し、第2のアクセスポイント(APj)は、その無線端末(MS)の情報(UID)をキャッシュして置く。また、同時に事前認証要求メッセージを出した現在の第1のアクセスポイント(APi)にも事前認証OKのメッセージを送信する。
(2-5)第1のアクセスポイント(APi)は、無線端末(MS)に第2のアクセスポイント(APj)への事前認証OKメッセージを送る。
3.無線端末(MS)=アクセスポイント(APj)間の接続(セキュア・セッション確立)
(3-1)第1のアクセスポイント(APi) から離れて第2のアクセスポイント(APj)に802.11無線リンク接続した無線端末(MS)は、第2のアクセスポイント(APj)へのセキュア・セッション接続を要求する。
(3-2)第2のアクセスポイント(APj)は、第1のアクセスルータ(PAR)からの事前認証情報(UID)を用いて無線端末(MS)認証を行い、第1のアクセスルータ(PAR)にセッション鍵配布を要求する。
(3-3)第1のアクセスルータ(PAR)は、第2のアクセスポイント(APj)を認証した後無線端末(MS)の鍵情報(KMU)を第2のアクセスポイント(APj)に配布する。
(3-4)第2のアクセスポイント(APj)は、鍵情報(KMU)を格納しておき、無線端末(MS)にセキュア・セッション接続確立メッセージを送る。
(3-5)無線端末(MS)は、第2のアクセスポイント(APj)を認証し、暗号通信を開始する。
(3-1)第1のアクセスポイント(APi) から離れて第2のアクセスポイント(APj)に802.11無線リンク接続した無線端末(MS)は、第2のアクセスポイント(APj)へのセキュア・セッション接続を要求する。
(3-2)第2のアクセスポイント(APj)は、第1のアクセスルータ(PAR)からの事前認証情報(UID)を用いて無線端末(MS)認証を行い、第1のアクセスルータ(PAR)にセッション鍵配布を要求する。
(3-3)第1のアクセスルータ(PAR)は、第2のアクセスポイント(APj)を認証した後無線端末(MS)の鍵情報(KMU)を第2のアクセスポイント(APj)に配布する。
(3-4)第2のアクセスポイント(APj)は、鍵情報(KMU)を格納しておき、無線端末(MS)にセキュア・セッション接続確立メッセージを送る。
(3-5)無線端末(MS)は、第2のアクセスポイント(APj)を認証し、暗号通信を開始する。
このような構成の無線LANシステムの移動無線端末認証方法においては、第1のアクセスルータ(PAR)で認証済みのユーザセッション情報を持つことによって、ある第1のアクセスポイント(APi)に接続していた無線端末(MS)が、異なる第2のアクセスポイント(APj)に移動接続する際、アクセスルータ(AR)で移動前に事前認証を行うことができ、移動先で改めて認証サーバ(AS)への認証を行わないので、通信中断の時間が短くなりよりシームレスサービスを実現することができる。
[発明の効果]
以上説明したように、この発明に係る無線LANシステムの移動無線端末認証方法においては、無線LANの認証方法IEEE802.1X/EAPにFMIPv6を適用し、移動前にアクセスルータ間でトンネルを確立し事前認証を行うことにより、移動する無線端末(MS)の再認証による遅延時間を短くしている。また、認証プロトコル(EAP)による認証動作やセキュア・アソシエーションの遅延を短くする目的で、事前共有鍵(PSK)を用いて認証の高速化を計っている。すなわち、まず、認証サーバ(AS)がサービス加入登録してある無線端末(MS)を認証するための鍵KMUを生成し、事前に共有鍵を配布しておく。また、予め認証サーバ(AS)は各アクセスルータ(AR)(アクセスルータ(PAR)またはアクセスルータ(NAR))と事前に秘密鍵を共有しておくことによりセキュアな通信路を確保しておくとする。また、認証サーバ(AS)は、アクセスポイント(AP)を認証するための機能をアクセスルータ(AR)に任せるため鍵KARを生成し、アクセスルータ(PAR)とのセキュア通信路を通してアクセスルータ(AR)に配布しておくとする。アクセスルータ(AR)はその鍵を用いて自分の配下にあるアクセスポイント(AP)と事前に秘密鍵を共有しておくことによりセキュアな通信路を確保することができる。
以上説明したように、この発明に係る無線LANシステムの移動無線端末認証方法においては、無線LANの認証方法IEEE802.1X/EAPにFMIPv6を適用し、移動前にアクセスルータ間でトンネルを確立し事前認証を行うことにより、移動する無線端末(MS)の再認証による遅延時間を短くしている。また、認証プロトコル(EAP)による認証動作やセキュア・アソシエーションの遅延を短くする目的で、事前共有鍵(PSK)を用いて認証の高速化を計っている。すなわち、まず、認証サーバ(AS)がサービス加入登録してある無線端末(MS)を認証するための鍵KMUを生成し、事前に共有鍵を配布しておく。また、予め認証サーバ(AS)は各アクセスルータ(AR)(アクセスルータ(PAR)またはアクセスルータ(NAR))と事前に秘密鍵を共有しておくことによりセキュアな通信路を確保しておくとする。また、認証サーバ(AS)は、アクセスポイント(AP)を認証するための機能をアクセスルータ(AR)に任せるため鍵KARを生成し、アクセスルータ(PAR)とのセキュア通信路を通してアクセスルータ(AR)に配布しておくとする。アクセスルータ(AR)はその鍵を用いて自分の配下にあるアクセスポイント(AP)と事前に秘密鍵を共有しておくことによりセキュアな通信路を確保することができる。
すなわち、この発明によれば無線端末(MS)が現在接続しているアクセスルータ(PAR)で認証済みの端末ユーザのセッション情報を持つことによって、あるLANセグメントの第1のアクセスポイント(APi)に接続していた無線端末(MS)が異なるLANセグメントのAR(NAR)の第2のアクセスポイント(APj)に移動接続する際、移動前後の第1のアクセスルータ(PAR)と第2のアクセスルータ(NAR)との間のトンネルを用いてセッション認証情報を転送すると共に事前認証を行うことができ、移動先で改めて認証サーバ(AS)に対する認証を行わないので、通信中断の時間が短くなりよりシームレスサービスを実現することができる。さらに、アクセスルータ(PAR)からのデータパケットを転送してもらうことができ、パケットロースが少ない品質のよいサービスを提供できるという効果も得られる。
ユビキタスネットワークを確立する際のアクセス網として有効な高速無線LANシステム等に適用して好適なものであり、特に第1のアクセスルータの配下の第1のアクセスポイントに接続する無線端末が、第2のアクセスルータの配下の第2のアクセスポイントに移動する場合の無線端末の認証方法として用いられて好適なものである。
11,12 サブネットワーク
21,25 認証サーバ(AS)
41〜43,44〜46 アクセスルータ(AR)
51〜53,57〜59 アクセスポイント(AP)
61〜63,64〜65 無線LAN
101,202 無線端末(MS)
21,25 認証サーバ(AS)
41〜43,44〜46 アクセスルータ(AR)
51〜53,57〜59 アクセスポイント(AP)
61〜63,64〜65 無線LAN
101,202 無線端末(MS)
Claims (10)
- 無線LANシステムにおいて、第1のアクセスルータの配下の第1のアクセスポイントに接続する無線端末が、第2のアクセスルータの配下の第2のアクセスポイントに移動する場合の前記無線端末の認証方法であって、
(1)前記無線端末が、移動先の前記第2のアクセスポイントに接続する前に、現在接続している前記第1のアクセスポイントの前記第1のアクセスルータへ事前認証を要求して該認証を完了させて、
(2)前記第1のアクセスルータから前記第2のアクセスルータへのIPトンネルを確立して、
(3)前記IPトンネルを用いて、事前共有鍵に基づき認証済みの前記無線端末のセッション情報を前記第2のアクセスルータへ転送して、
(4)前記無線端末が、移動先の前記第2のアクセスポイントに移動した際には、前記セッション情報を用いて、前記第2のアクセスポイントの前記第2のアクセスルータとの相互認証を行う
ことを特徴とする無線LANシステムの移動無線端末認証方法。 - 第1のLANセグメントの前記第1のアクセスルータの配下の前記第1のアクセスポイントにて認証済みの前記無線端末が、第2のLANセグメントの前記第2のアクセスルータの配下の前記第2のアクセスポイントに移動する場合には、
前記無線端末が前記第1のアクセスルータに接続している間に、ハンドオーバの接続手順を用いて、前記事前認証が行われ、前記第1のアクセスルータでの無線端末の事前認証情報、移動先アクセスルータ情報および移動先IPアドレスが導出さられ、これら情報に基づいて前記トンネルが張られる
ことを特徴とする請求項1に記載の無線LANシステムの移動無線端末認証方法。 - 第1のLANセグメントの前記第1のアクセスルータの配下の前記第1のアクセスポイントにて認証済みの前記無線端末が、第2のLANセグメントの前記第2のアクセスルータの配下の前記第2のアクセスポイントに移動する場合には、
前記無線端末は、近隣ルータ探索メッセージを、前記第1のアクセスポイントに送信することにより、前記第2のアクセスポイントを管理する前記第2のアクセスルータを探索する
ことを特徴とする請求項1に記載の無線LANシステムの移動無線端末認証方法。 - 前記無線端末は、前記移動先IPアドレスを前記第1のアクセスルータに伝えるためのメッセージに、前記セッション情報も含めて送り、前記第1のアクセスルータは、前記セッション情報を用いて無線端末の認証を行う
ことを特徴とする請求項2に記載の無線LANシステムの移動無線端末認証方法。 - 前記第1のアクセスルータに接続していた前記無線端末が、前記第2のアクセスルータへのハンドオーバの応答を受け取る前に、前記第1のアクセスルータの接続から離れてアクセスルータに進んだ際に、
前記第2のアクセスルータは、前記第2のアクセスルータから前記第1のアクセスルータへのトンネルを介して前記無線端末の認証を行う
ことを特徴とする請求項1に記載の無線LANシステムの移動無線端末認証方法。 - 前記第2のアクセスポイントに接続した無線端末は、前記IPアドレスが使用できるか否かを確認するためのメッセージに前記セッション情報も含めて前記第2のアクセスルータに送り、前記第2のアクセスルータは、前記IPアドレスが使用できるか否かを確認した後、前記メッセージを前記第1のアクセスルータに送り、前記第1のアクセスルータは、前記セッション情報を用いて前記無線端末の認証を行う
ことを特徴とする請求項5に記載の無線LANシステムの移動無線端末認証方法。 - 無線LANシステムにおいて、第1のアクセスポイントに接続する無線端末が同一のアクセスルータの配下の第2アクセスポイントに移動する場合の無線端末の認証方法であって、
(1)無線端末が、移動先の前記第2のアクセスポイントに接続する前に、現在接続している前記第1のアクセスポイントの前記第1のアクセスルータへ事前認証を要求して該認証を完了させて、
(2)前記第1のアクセスルータは、事前共有鍵に基づき認証済みの前記無線端末のセッション情報を前記第2のアクセスポイントに送り、
(3)前記無線端末が、移動先の前記第2のアクセスポイントに移動した際には、前記セッション情報を用いて、前記第2のアクセスポイントとの相互認証を行う
ことを特徴とする無線LANシステムの移動無線端末認証方法。 - 前記ハンドオーバの接続手順が、FMIPv6である
ことを特徴とする請求項2に記載の無線LANシステムの移動無線端末認証方法。 - 前記事前認証の要求は、FMIPv6のメッセージを用いて行われる
ことを特徴とする請求項1から8のいずれか1項に記載の無線LANシステムの移動無線端末認証方法。 - 前記セッション情報は、事前共有鍵とユーザ識別子とを含む
ことを特徴とする請求項1から9のいずれか1項に記載の無線LANシステムの移動無線端末認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006010311A JP2007194848A (ja) | 2006-01-18 | 2006-01-18 | 無線lanシステムの移動無線端末認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006010311A JP2007194848A (ja) | 2006-01-18 | 2006-01-18 | 無線lanシステムの移動無線端末認証方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007194848A true JP2007194848A (ja) | 2007-08-02 |
Family
ID=38450196
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006010311A Pending JP2007194848A (ja) | 2006-01-18 | 2006-01-18 | 無線lanシステムの移動無線端末認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007194848A (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009094651A (ja) * | 2007-10-04 | 2009-04-30 | Kddi Corp | 移動体通信システムにおけるハンドオフ方法、無線基地局装置及びゲートウェイ装置 |
| JP2009124684A (ja) * | 2007-10-26 | 2009-06-04 | Hitachi Communication Technologies Ltd | 通信システム及びゲートウェイ装置 |
| JP2009130603A (ja) * | 2007-11-22 | 2009-06-11 | Sanyo Electric Co Ltd | 通信方法およびそれを利用した基地局装置、端末装置、制御装置 |
| WO2009154277A1 (ja) * | 2008-06-20 | 2009-12-23 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法及び移動局 |
| JP2010050819A (ja) * | 2008-08-22 | 2010-03-04 | Mitsumi Electric Co Ltd | 移動局及びそのハンドオーバー方法、並びに通信システム |
| JP2010081031A (ja) * | 2008-09-24 | 2010-04-08 | Nakayo Telecommun Inc | 無線中継装置および帰属管理方法 |
| JP2011504698A (ja) * | 2007-11-23 | 2011-02-10 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 無線lanモビリティ |
| JP2011512052A (ja) * | 2007-12-18 | 2011-04-14 | エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート | 無線アクセス技術及び移動ip基盤の移動性制御技術が適用された次世代のネットワーク環境のための統合ハンドオーバー認証方法 |
| JP2012527135A (ja) * | 2009-05-14 | 2012-11-01 | 西安西電捷通無線網絡通信股▲ふん▼有限公司 | 融合型wlanにおける無線ターミナルポイントによりwpiを完成する際のステーション切り替え方法及びシステム |
-
2006
- 2006-01-18 JP JP2006010311A patent/JP2007194848A/ja active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009094651A (ja) * | 2007-10-04 | 2009-04-30 | Kddi Corp | 移動体通信システムにおけるハンドオフ方法、無線基地局装置及びゲートウェイ装置 |
| JP2009124684A (ja) * | 2007-10-26 | 2009-06-04 | Hitachi Communication Technologies Ltd | 通信システム及びゲートウェイ装置 |
| JP2009130603A (ja) * | 2007-11-22 | 2009-06-11 | Sanyo Electric Co Ltd | 通信方法およびそれを利用した基地局装置、端末装置、制御装置 |
| JP2011504698A (ja) * | 2007-11-23 | 2011-02-10 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 無線lanモビリティ |
| US8442006B2 (en) | 2007-11-23 | 2013-05-14 | Telefonaktiebolaget Lm Ericsson | Wireless LAN mobility |
| JP2011512052A (ja) * | 2007-12-18 | 2011-04-14 | エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート | 無線アクセス技術及び移動ip基盤の移動性制御技術が適用された次世代のネットワーク環境のための統合ハンドオーバー認証方法 |
| WO2009154277A1 (ja) * | 2008-06-20 | 2009-12-23 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法及び移動局 |
| US8208928B2 (en) | 2008-06-20 | 2012-06-26 | Ntt Docomo, Inc. | Mobile communication method and mobile station |
| JP2010050819A (ja) * | 2008-08-22 | 2010-03-04 | Mitsumi Electric Co Ltd | 移動局及びそのハンドオーバー方法、並びに通信システム |
| JP4539768B2 (ja) * | 2008-08-22 | 2010-09-08 | ミツミ電機株式会社 | 移動局及びそのハンドオーバー方法、並びに通信システム |
| JP2010081031A (ja) * | 2008-09-24 | 2010-04-08 | Nakayo Telecommun Inc | 無線中継装置および帰属管理方法 |
| JP2012527135A (ja) * | 2009-05-14 | 2012-11-01 | 西安西電捷通無線網絡通信股▲ふん▼有限公司 | 融合型wlanにおける無線ターミナルポイントによりwpiを完成する際のステーション切り替え方法及びシステム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5211155B2 (ja) | Mih事前認証 | |
| JP4682250B2 (ja) | マルチホップ無線ネットワークにおける無線ルータ支援セキュリティハンドオフ(wrash) | |
| KR101467780B1 (ko) | 이기종 무선접속망간 핸드오버 방법 | |
| JP5955352B2 (ja) | 事前認証、事前設定及び/又は仮想ソフトハンドオフを使用するモビリティアーキテクチャ | |
| TWI390893B (zh) | 於無線網路中用於交遞後導出新金鑰之方法及裝置 | |
| Bargh et al. | Fast authentication methods for handovers between IEEE 802.11 wireless LANs | |
| TWI399988B (zh) | 促進交遞之方法及裝置 | |
| Dutta et al. | Media-independent pre-authentication supporting secure interdomain handover optimization | |
| US20130305332A1 (en) | System and Method for Providing Data Link Layer and Network Layer Mobility Using Leveled Security Keys | |
| JP2007194848A (ja) | 無線lanシステムの移動無線端末認証方法 | |
| CN101217781A (zh) | 利用动态信道的移动装置的交递方法 | |
| WO2008063333A2 (en) | Key caching, qos and multicast extensions to media-independent pre-authentication | |
| JP2011504698A (ja) | 無線lanモビリティ | |
| US20130196708A1 (en) | Propagation of Leveled Key to Neighborhood Network Devices | |
| US9084111B2 (en) | System and method for determining leveled security key holder | |
| JP2009124684A (ja) | 通信システム及びゲートウェイ装置 | |
| Dutta et al. | A framework of media-independent pre-authentication (MPA) for inter-domain handover optimization | |
| KR100485355B1 (ko) | 무선랜에서의 분산 시스템간 핸드오프 방법 | |
| KR20110073181A (ko) | 무선랜에서 셀룰러 망으로의 빠른 핸드 오버 | |
| JP5276106B2 (ja) | モバイルノードの位置更新 | |
| JP2008146632A (ja) | キーキャッシング、QoSおよびメディア独立事前認証のマルチキャスト拡張 | |
| Mathonsi | Optimized handoff and secure roaming model for wireless networks | |
| CN101860846A (zh) | 基于位置预判的预认证快速切换方法 | |
| JP2006024982A (ja) | セキュリティ・アソシエーションの確立方法 | |
| Baek et al. | A novel pre-authentication scheme based on fast channel switching in IEEE 802.11 WLANs |