[go: up one dir, main page]

JP4575679B2 - 無線ネットワークハンドオフ暗号鍵 - Google Patents

無線ネットワークハンドオフ暗号鍵 Download PDF

Info

Publication number
JP4575679B2
JP4575679B2 JP2004044836A JP2004044836A JP4575679B2 JP 4575679 B2 JP4575679 B2 JP 4575679B2 JP 2004044836 A JP2004044836 A JP 2004044836A JP 2004044836 A JP2004044836 A JP 2004044836A JP 4575679 B2 JP4575679 B2 JP 4575679B2
Authority
JP
Japan
Prior art keywords
access point
encryption key
handoff
wireless terminal
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004044836A
Other languages
English (en)
Other versions
JP2004297783A (ja
JP2004297783A5 (ja
Inventor
フジオ ワタナベ
ジェントリー クライグ
ウー ガン
トシロウ カワハラ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Publication of JP2004297783A publication Critical patent/JP2004297783A/ja
Publication of JP2004297783A5 publication Critical patent/JP2004297783A5/ja
Application granted granted Critical
Publication of JP4575679B2 publication Critical patent/JP4575679B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • H04L9/0836Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0019Control or signalling for completing the hand-off for data sessions of end-to-end connection adapted for mobile IP [MIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/02Data link layer protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、無線ネットワーク環境に関する。より詳細には、無線ネットワーク環境に対しハンドオフ暗号鍵を提供する方法およびシステムに関する。
無線ローカルエリアネットワーク(Wireless Local Area Network、以下「WLAN」あるいは「無線LAN」という)は、有線LANと同様に動作する面もあるが、伝送媒体がケーブルではなく電波である点が異なっている。典型的な無線LANのトポロジーにおいて、端末は、有線LANあるいはワイドエリアネットワーク(Wide Area Network、以下「WAN」という)といった、より大きなネットワークと、アクセスポイントを介して通信する。ここで、アクセスポイントとは、無線LANとより大きなネットワークとの間のゲートウェイとして機能する端末である。
有線LANにおいては、不当なアクセスを防ぐために物理的なセキュリティを用いることができる。しかし、物理的なセキュリティは無線LANに対しては非現実的であるため、ネットワークへのアクセスに対する認証プロセス、および暗号化/復号化の仕組みが要求されている。
無線LANのためのアクセスポイントは、例えば、会議室、レストラン、玄関、廊下、ロビー等の場所に設置することができる。無線LANにアクセスする端末は、第1のアクセスポイントの通信領域から出て、第2のアクセスポイントの通信領域内へ移動する可能性がある。このように移動した場合、端末と無線LANとの接続の継続性を保つために、第1のアクセスポイントから第2のアクセスポイントへハンドオーバー(ハンドオフ)することが必要である。
無線LAN内における端末の移動タイプとして、3つのタイプが可能である。第1のタイプは「無移動」の移動である。このタイプの移動は、さらに2つの区分、すなわち静的なものとローカルなものとに分けられる。「静的な移動」とは、端末がまったく移動しないことである。「ローカルな移動」とは、端末が単一のアクセスポイントの領域内(すなわち、単一の基本サービスセット(Basic Service Set、以下「BSS」という)内)のみを移動することである。これらの場合は、ハンドオフの必要は無い。
無線LANにおける移動の第2のタイプは、「BSS移動」の移動である。「BSS移動」とは、端末が、同一の拡張サービスセット(Extended Service Set、以下「ESS」という)内に位置する第1のアクセスポイントから第2のアクセスポイントへ移動することである。無線LANにおける移動の第3のタイプは、「ESS移動」の移動である。「ESS移動」とは、端末が、第1のESS内にある第1のアクセスポイントから、第2のESS内にある第2のアクセスポイントへ移動することである。3つの移動のタイプのうち後者の2つにおいては、ハンドオフが必要である。
一般的に、無線LANにおいて、端末は、第2のアクセスポイントを介して無線LANにアクセスする前に、端末認証パケットを認証サーバ(ホーム登録サーバでもよい)と通信しなければならない。この認証プロセスは時間を消費し、端末と他の端末との間の通信を中断してしまう可能性がある。このような中断は問題である。特に、滑らかな動作およびサービスの品質(QoS)を保証するため中断の無い通信が要求されるストリーミングやボイスオーバーIP(VoIP)のようなリアルタイムアプリケーションにとっては問題である。このように、認証は、アクセスポイント間の迅速なハンドオフの妨げとなる。
ハンドオフ速度の問題に対処するため、事前認証が端末移動時の認証プロセスの時間を減少させる。再対応付けを加速するため、認証サービスは、関連付けサービスとは独立に呼び出される。既にアクセスポイントに関連付けられ、認証された装置は、この事前認証を行う。しかし、この場合でも、データ伝送は端末の認証を待つ必要がある。
ハンドオフの際に端末を迅速に認証する方法およびシステムを提供することが望まれている。さらに、そのような高速のハンドオフの際にセキュリティを確保することが望まれている。
また、第1のアクセスポイントから第2のアクセスポイントへのハンドオフの直後のリアルタイムデータの伝送のために一時的なアクセスを可能にする方法およびシステムを提供することが望まれている。さらに、そのような高速のハンドオフの際にセキュアなデータ伝送を可能にするシステムおよび方法を提供することが望まれている。
前述の種々の目的の観点から、無線通信ネットワークにおけるハンドオフの方法およびシステムが提供される。ここで、一実施形態においては、認証サーバは、第1のアクセスポイントおよび第2のアクセスポイントに対し共通のハンドオフ暗号鍵を提供する。第1のアクセスポイントは、ハンドオフ暗号鍵を無線端末に送信する。無線端末は、出力するデータをハンドオフ暗号鍵で暗号化することができる。無線端末が第2のアクセスポイントに関連付けられたとき、第2のアクセスポイントは、無線端末からのデータをハンドオフ暗号鍵で復号化し、無線端末の認証が完了する前に、復号化されたデータを次の通信ネットワークへ送信する。
別の実施形態において、ハンドオフ暗号鍵生成秘密パラメータが、第1および第2のアクセスポイントに提供される。これらのアクセスポイントはともに、ハンドオフ暗号鍵生成秘密パラメータおよび無線端末のアドレスの関数からハンドオフ暗号鍵を生成する。第1のアクセスポイントは、そのハンドオフ暗号鍵を無線端末に送信する。第2のアクセスポイントは、無線端末との間で、そのハンドオフ暗号鍵で暗号化されたデータパケットを通信する。
無線端末が第1のアクセスポイントを介してアクティブに通信している場合、第1のアクセスポイントは、無線端末にハンドオフ暗号鍵のみを送信してもよい。第1のアクセスポイントは、無線端末に送信する前にハンドオフ暗号鍵をセッション暗号鍵で暗号化してもよい。
上記のいずれの実施形態によっても、ハンドオフ暗号鍵あるいはそれに対応する暗号鍵生成情報は、有線等価プライバシ(Wired Equivalent Privacy、以下WEPという)暗号鍵あるいはそれに対応する暗号鍵生成情報、もしくはWi−Fi保護アクセス(Wi-Fi protected access、以下WPAという)暗号鍵あるいはそれに対応する暗号鍵背性情報であってもよい。
本発明の別の態様において、無線ネットワークは、ハンドオフ暗号鍵生成秘密パラメータを第1のアクセスポイントおよび第2のアクセスポイントに送信するサーバを有してもよい。これらのアクセスポイントはともに、ハンドオフ暗号鍵生成秘密パラメータおよび無線端末のアドレスの関数としてハンドオフ暗号鍵を生成する。第2のアクセスポイントは、無線端末から暗号化されたデータを受信し、受信したデータをそのハンドオフ暗号鍵で復号化する。
本発明の他のシステム、方法、特徴および利点は、当業者にとって以下の詳細な説明および図面から明らかである。本発明は特定の暗号化技術に限定されるものではない。
図1は、本発明を適用可能な分散型コンピュータシステム2のシステムレベルのブロック図である。分散型コンピュータシステム2は、1以上の端末が1以上の他の端末と通信するコンピュータ環境であればどのようなものでもよい。図1に示す分散型コンピュータシステム2の構成は、単に例示である。分散型コンピュータシステム2は、無線端末12、ネットワーク8、および端末6を有する。無線端末12は、ネットワーク8を介して端末6と通信可能である。ネットワーク8は、インターネットのような大域的なネットワークでもよく、あるいはWAN、LANのようなネットワークでもよい。ネットワーク8は、無線通信ネットワーク、LAN、WAN、衛星ネットワーク、ブルートゥース(登録商標)ネットワーク、あるいはその他のネットワークを含んでもよい。本実施形態において、ネットワーク8は、サブネットワーク10を有する。サブネットワーク10の例を、図2に示す。
端末6および無線端末12は、デスクトップコンピュータ、ノート型コンピュータ、PDA(personal digital assistant)、ポケットPC、あるいは携帯電話機等の通信可能な装置であれば何でもよい。端末6および無線端末12はどちらも、クライアントでも、サーバでも、あるいはピアツーピア通信のピア(端末)であってもよい。ここで、ピアツーピア通信は、VoIP、ビデオ会議、テキストメッセージング、ファイル共有、動画ストリーミング、音声ストリーミング等の直接通信を含む。端末6および無線端末12は、無線通信可能であり、ネットワーク8に直接あるいはアクセスポイントを介して接続している。端末6および無線端末12はいずれも、動作のための指示を記憶したメモリを有している。
図2は、図1に示すネットワーク8のサブネットワーク10を例示するブロック図である。サブネットワーク10は、認証・許可・アカウント・ホームサーバ(Authentication, Authorization, and Accounting Home Server、以下、「AAAHサーバ」という)36と、認証・許可・アカウント・フォーリンサーバ(Authentication, Authorization, and Accounting Foreign Server、以下、「AAAFサーバ」という)32、34と、アクセスルータ24、26、28と、アクセスポイント14、16、18、22とを有する。図2においては、各要素は直接接続されているように描かれているが、これらの要素は間接的に接続され地理的に離れた位置にあってもよい。通信経路を簡潔に示すために、単純な接続が描かれている。
AAAHサーバ36は、複数の端末を認証する。この複数の端末は、AAAHサーバ36に対応付けられる。また、AAAHサーバ36は、動作に必要なプログラムおよびデータを記憶したメモリを有する。AAAHサーバ36は、対応する端末の認識、認証、および課金に関する情報を保有する認証サーバを有してもよい。対応する端末の証明あるいは確認はAAAHサーバ36により行われる。また、対応する端末がネットワーク等のリソースにアクセスすることを許可されているかについて、AAAHサーバ36が判断する。
AAAHサーバ36は、後述する端末の認証プロシージャを実行する。端末の認証プロシージャは、デジタル証明書、ユーザ名とパスワードのペア、あるいは対応する端末の認証を容易にする他の誰何・応答式のプロトコルを使用する。端末の認証プロシージャの一部として、AAAHサーバ36は対応する端末との間で端末認証パケットを送受信し、また、端末許可パケットを許可局との間で送受信する。端末認証パケットは、認証局のデジタル証明書、暗号鍵、ユーザ名、パスワード、呼びかけテキスト(Challenge Text)、呼びかけメッセージ(Challenge Message)等、端末の認識、証明を容易にするものを含む。端末許可パケットは、対応する端末がネットワーク等のリソースへのアクセスをあるレベルにおいて許可されたことを示す。例えば、アクセスのレベルとしては、フルアクセス、アクセス禁止、制限付きアクセスがある。
本実施形態において、端末の認証プロシージャは、IETF(Internet Engineering Task Force)のRFCs(Request for Comments)2865および2866で指定されるRADIUS(Remote Authentication Dial-In User Service)プロトコルに準拠する。また、端末の認証プロシージャは、IEEE802.1x基準で指定される認証方法に準拠したものでもよい。
対応付けられた端末を許可した後、AAAHサーバ36は、対応付けられた端末により使用されるリソースを記録(課金)してもよい。例えば、AAAHサーバ36は、対応付けられた端末による、ネットワークのアクセスに関する情報を記録する。対応する端末によるリソースの使用に関する情報は、AAAHサーバ36に送信される。
AAAHサーバ36は、暗号鍵を生成する。その暗号鍵は、ハンドオフ暗号鍵である。一実施形態において、ハンドオフ暗号鍵は、無線暗号鍵(Wired Equivalent Privacy Key、以下、「WEP鍵」あるいは「WEP暗号鍵」という)である。ここで、「ハンドオフWEP暗号鍵」あるいは「ハンドオフ暗号鍵」という用語は、1以上の無線端末との暗号化通信のための1以上のアクセスポイントで同時に使用される暗号鍵を指す。
AAAHサーバ36は、複数のアクセスポイントにハンドオフ暗号鍵を提供する。端末が第1のアクセスポイントから第2のアクセスポイントへハンドオフする間、端末と第2のアクセスポイントの間の通信はハンドオフWEP暗号鍵で暗号化される。なお、AAAHサーバ36は、セキュアな通信に適度な頻度で新たなハンドオフWEP暗号鍵を更新し提供してもよい。
AAAFサーバ32、34は、複数の端末を認証する。しかしながら、AAAFサーバ32、34は、AAAHサーバ36に対応する端末の組と異なる組の端末と対応付けられてもよい。ここで、AAAHサーバ36に対応する端末にとって、AAAHサーバ36は、「ホームサーバ」であり、AAAFサーバ32、34は「フォーリンサーバ」である。
また、AAAFサーバ32に対応する端末にとって、AAAFサーバ32は「ホームサーバ」であり、AAAHサーバ36は「フォーリンサーバ」である。本実施形態においては、混乱を避けるため、サーバの名称は無線端末12との関係によって命名されたものである。フォーリンサーバは本発明の汎用性を示すための例であり、これに限定するためのものではない。
AAAFサーバ32、34は、AAAHサーバ36に対応付けられた端末を間接的に認証してもよい。AAAFサーバ32、34はそれぞれ、動作に必要なプログラムおよびデータを記憶したメモリを有する。ここで、AAAFサーバ32、34は、AAAHサーバ36に対応付けられた端末の認識をするための本質的な情報を有している必要はない。AAAFサーバ32、34は、端末認証パケットおよび端末許可パケットをAAAHサーバ36との間で送受信することにより、AAAHサーバ36に対応付けられた端末を間接的に認証および許可する。AAAFサーバ32、34は、AAAHサーバ36に対応付けられた端末により利用されたリソースに対し課金し、課金情報をAAAHサーバ36に提供してもよい。
AAAFサーバ32、34はそれぞれ、対応するアクセスポイントにアクセスするためのハンドオフWEP暗号鍵を生成してもよい。あるいは、AAAFサーバ32、34は、AAAHサーバ36から共通のハンドオフWEP暗号鍵を受信してもよい。
アクセスルータ24、26、28は、パケットを送受信する機能を有する。アクセスルータ24、26、28はそれぞれ、受信したパケットをどのネットワークノードに送信するかを判断することができる。ここで、ネットワークノードとは、端末、ゲートウェイ、ブリッジ、あるいは他のルータのことである。アクセスルータ24、26、28はそれぞれ、他のサブネットワーク(図示略)に接続されることができ、これによりサブネットワーク10と他のサブネットワークとの間のパケットの経路が提供されてもよい。
アクセスポイント14、16、18、22の各々は、ネットワークへのアクセスを可能にする。ここで、アクセスポイント14、16、18、22の各々は、動作に必要なプログラムおよびデータを記憶したメモリを有している。アクセスポイント14、16、18、22の各々は、ネットワークの端点であってもよい。アクセスポイント14、16、18、22の各々は、認証局として機能してもよいし、あるいは、端末がネットワークにアクセスするために、端末に認証サーバから認証を受けるよう要求してもよい。さらに、端末が認証サーバにより認証を受ける前に、アクセスポイント14、16、18、22は、端末が端末認証パケットを認証サーバとの間で送受信することを許可するだけでもよい。端末が認証サーバにより認証された後、アクセスポイント14、16、18、22は、端末がネットワークを介してデータパケットを送受信することを許可する。
アクセスポイント14、16、18、22はそれぞれ、対応する無線通達範囲38を有する無線アクセスポイントである。アクセスポイント14、16、18、22の無線通達範囲38は、近隣のアクセスポイントの無線通達範囲と重なる部分があってもよい。アクセスポイント14、16、18、22の無線通達範囲38に在圏する無線端末は、各アクセスポイントに対応付けられ、各アクセスポイントと通信することができる。
アクセスポイント14、16、18,22から、それぞれのアクセスポイントの無線到達範囲38に在圏する無線端末に、複数の暗号鍵が提供される。暗号鍵はそれぞれセッション暗号鍵である。セッション暗号鍵はWEP暗号鍵であってもよい。「セッションWEP暗号鍵」あるいは「セッション暗号鍵」という用語は、アクセスポイントと無線端末との間の暗号化通信に使用される暗号鍵を指す用語である。本実施形態において、アクセスポイント14、16、18、22は、IEEE802.11基準に準拠してセッション暗号鍵を生成し提供する。ハンドオフ暗号鍵を生成するプロシージャは、セッション暗号鍵を生成するプロシージャと同一である。
アクセスポイント14、16、18、22はそれぞれ、端末が他のアクセスポイント(ハンドオフ先のアクセスポイント)にハンドオフするように動作可能である。無線端末がハンドオフする間、ハンドオフしているアクセスポイント14、16、18、22は、ハンドオフWEP暗号鍵を無線端末に提供する。本実施形態では、セキュリティ上の理由から、アクセスポイント14、16、18、22は、その時点でアクティブに通信している無線端末にのみハンドオフWEP暗号鍵を送信する。ここで、「アクティブに」通信している状態とは、動画ストリーミング、VoIP、ファイルのダウンロード等のパケットを送受信するリアルタイムアプリケーションを含む。端末がハンドオフ時に単にアクセスポイント14、16、18、22に対応付けられているだけである場合は、ハンドオフWEP暗号鍵は端末に提供されなくてもよい。
端末がアクセスポイント14、16、18、22のうち1つにハンドオフする間、そのアクセスポイントと端末は、ハンドオフ認証メッセージを交換する。表1に、ハンドオフ認証メッセージの交換の例を示す。
Figure 0004575679
表1に示されるメッセージは、ハンドオフ認証に使用される。4つのメッセージの認証アルゴリズムIDはどれも「ハンドオフWEP」である。無線端末12は、認証アルゴリズム依存情報を要求するために、ハンドオフ先のアクセスポイント16に、その認証処理番号が1である第1のメッセージを送信する。第1のメッセージはまた、アクセスポイント16に無線端末12の識別情報を提供する端末特定表明を含む。
次に、ハンドオフアクセスポイント16は、無線端末12に、その認証処理番号が2である第2のメッセージを送信する。第2のメッセージは、ハンドオフ認証の結果を含んでいる。ハンドオフ認証が成功した場合、第2のメッセージは、要求された認証アルゴリズム依存情報も含む。この場合、無線端末12とハンドオフ先のアクセスポイント16との関連付けのための呼びかけテキストである。
次に、無線端末12は、その認証処理番号が3である第3のメッセージを送信する。ハンドオフ認証が成功した場合、第3のメッセージはハンドオフWEP暗号鍵で暗号化された呼びかけテキストを含む。
最後に、ハンドオフ先のアクセスポイント16は、その認証処理番号が4であり、ハンドオフ認証メッセージの交換が完了したことを示す第4のメッセージを送信する。
各ハンドオフ認証メッセージは、そのメッセージを処理する認証アルゴリズムを示すために認証アルゴリズム番号を含んでもよい。例えば、「2」がハンドオフWEP暗号鍵アルゴリズムを示し、「1」が共有鍵(セッション暗号鍵)アルゴリズムを示し、「0」がオープンシステム(認証なし)アルゴリズムを示すようにしてもよい。ハンドオフWEP暗号鍵アルゴリズムに対して、ハンドオフWEP暗号鍵は呼びかけテキストを暗号化あるいは復号化するために使用される。
図3は、本発明の一実施形態によるハンドオフWEP暗号鍵を用いた共有暗号鍵ハンドオフ認証プロシージャを示す図である。アクセスポイント14、16はいずれもAAAFサーバ32に対応付けられている。したがって、アクセスポイント14、16は、AAAFサーバ32から共通のハンドオフWEP暗号鍵を受信してもよい(ステップ302)。ハンドオフWEP暗号鍵の送信は、AAAFサーバ32とアクセスポイント14、16とにより共有される暗号鍵により暗号化されてもよい。ステップ304において、無線端末12は、アクセスポイント14に対応付けられ、アクセスポイント14を介して通信している。無線端末12とアクセスポイント14との間の通信は、セッションWEP暗号鍵により暗号化されてもよい。
迅速なハンドオフを容易にするため、無線端末12は、ハンドオフWEP暗号鍵を要求する(ステップ306)。アクセスポイント14は、ハンドオフWEP暗号鍵を無線端末に送信する(ステップ308)。アクセスポイント14は、セッションWEP暗号鍵で暗号化することによりセキュリティを高めてハンドオフWEP暗号鍵を送信する。なお、実際のハンドオフWEP暗号鍵を送信する代わりに、アクセスポイント14はハンドオフWEP暗号鍵を生成する種となる情報を送信してもよい。
無線端末12は、アクセスポイント14からアクセスポイント16(ハンドオフ先のアクセスポイント)へハンドオフすることを決定する(ステップ310:ハンドオフ決定過程)。ハンドオフを開始するために、無線端末12は、打診要求/回答パケットをハンドオフ先のアクセスポイント16と交換する(ステップ312)。打診が成功した場合、無線端末12は、ハンドオフ認証メッセージをハンドオフ先のアクセスポイント16と交換する(ステップ314)。ステップ314におけるハンドオフ認証メッセージの交換は、表1で説明した通りに実行される。
ハンドオフ認証が成功した場合、無線端末12は、対応付け要求/回答パケットをハンドオフ先のアクセスポイント16と交換する(ステップ316)。成功した場合、無線端末12は、ハンドオフ先のアクセスポイント16と対応付けられる(ステップ316)。無線端末12とハンドオフ先のアクセスポイント16が対応付けられた後、無線端末12とハンドオフ先のアクセスポイント16との間のデータ通信は、ハンドオフWEP暗号鍵で暗号化される(ステップ318)。無線端末12およびハンドオフ先のアクセスポイント16は、ハンドオフ先のアクセスポイント16が新しいセッションWEP暗号鍵を提供する(ステップ326)まで、ハンドオフWEP暗号鍵で暗号化されたデータを通信し続ける。
例えば、無線端末12は、ハンドオフ先のアクセスポイント16と対応付けられた後、インターネットを介して通信するために新しいIPアドレスを要求してもよい(ステップ318)。このとき、ハンドオフWEP暗号鍵は、モバイルIPアドレスの取得に対応するパケットを暗号化するために使用される。例えば、無線端末12は、新しいモバイルIPアドレスを要求し受信するためにDHCP(Dynamic Host Control Protocol)サーバ(図示略)と通信してもよい(ステップ318)。無線端末12はまた、新しいモバイルIPアドレスを示すバインディング更新メッセージを送信してもよい(ステップ318)。このように、ハンドオフWEP暗号鍵は、モバイルIPアドレスの取得に対応するパケットに対し十分なセキュリティを提供する。
さらに、例えば、無線端末12は、ハンドオフ時にリアルタイムアプリケーションを実行していてもよい。ステップ318において、リアルタイムアプリケーションで送受信されるデータパケットは、ハンドオフ先のアクセスポイント16を介した通信のために、ハンドオフWEP暗号鍵により暗号化されてもよい。このように、無線端末12のリアルタイムアプリケーションは、ハンドオフの間に知覚できるほどの中断無く通信を継続することができる。
ステップ320において、無線端末12は、端末認証パケットをハンドオフ先のアクセスポイント16に送信する。端末認証パケットは、ハンドオフWEP暗号鍵により暗号化されてもよいが、端末認証パケットを暗号化することは必須ではない。
ステップ322において、ハンドオフ先のアクセスポイント16は、端末認証パケットをAAAHサーバ36に送信する。AAAHサーバ36が無線端末12の身元(ID)あるいは証明書を確認した後、AAAHサーバ36は、ハンドオフ先のアクセスポイント16に端末許可パケットを送信する(ステップ324)。ハンドオフ先のアクセスポイント16は、無線端末12に新しいセッションWEP暗号鍵を提供する(ステップ326)。
ステップ328において、無線端末12およびハンドオフ先のアクセスポイント16は、ハンドオフWEP暗号鍵の使用から新しいセッションWEP暗号鍵の使用へと切り替える。新しいセッションWEP暗号鍵は、次のハンドオフが起こるまで、あるいは、別の理由で通信が終了するまで、無線端末12とハンドオフ先のアクセスポイント16との間の通信を暗号化するために使用される。
前述の共有鍵による認証プロシージャを、無線端末12のアクセスポイント16からアクセスポイント18へのハンドオフに使用してもよい。1つのアクションを追加することによって、このプロシージャはさらにアクセスポイント18からアクセスポイント22へのハンドオフに使用することもできる。この追加したアクションにおいて、AAAHサーバ36は、ハンドオフWEP暗号鍵を生成し、AAAFサーバ32、34に、あるいはアクセスポイント14、16、18、22に直接提供することができる。このアクションは、アクセスポイント18および22に共通のハンドオフWEP暗号鍵を提供する。
ハンドオフWEP暗号鍵を生成し通信する他の方法は、本発明の範囲から逸脱しない範囲で実現可能である。例えば、AAAFサーバ32がハンドオフWEP暗号鍵を生成し、それをAAAHサーバ36に通信してもよい。AAAHサーバ36は続いてハンドオフWEP暗号鍵をAAAFサーバ34に通信する。ここに記載した方法はあくまで一例である。
図3に示される共有暗号鍵によるハンドオフ認証プロシージャは、既にある機器を使用するために、ファームウェアの修正を必要とする。したがって、オープンシステムによるハンドオフ認証プロシージャが、図4に示されている。オープンシステムによるハンドオフ認証プロシージャは、IEEE802.11基準に準拠しており、さらにIEEE802.1x基準に準拠したものでもよい。
オープンシステムによるハンドオフ認証プロシージャの多くのステップは、共有暗号鍵によるハンドオフ認証プロシージャにおけるステップと本質的に同一の方法で動作する。オープンシステムによるハンドオフ認証プロシージャのステップ402、404、406、408、410、412は、共有暗号鍵によるハンドオフ認証プロシージャにおけるステップ302、304、306、308、310、312と同一の方法でそれぞれ動作する。しかしながら、ステップ414において、ハンドオフ認証メッセージの交換は、ステップ314で使用される「ハンドオフWEP暗号鍵」による認証アルゴリズムではなく、「オープンシステム」による認証アルゴリズムを使用する点が異なる。
オープンシステムによる認証アルゴリズムを用いた場合、ハンドオフ先のアクセスポイント16は、ハンドオフのために無線端末12を呼びかけ無しで認証する(すなわち無認証)。この無認証の後、ステップ416において、無線端末12は、ハンドオフ先のアクセスポイント16に対応付けられる。無線端末12とハンドオフ先のアクセスポイント16との間で通信されるデータパケットは、ハンドオフWEP暗号鍵により暗号化される(ステップ418)。
ステップ420において、無線端末12は、端末認証パケットをハンドオフ先のアクセスポイント16に送信する。前述のステップ320と同様に、無線端末認証パケットは、ハンドオフWEP暗号鍵により暗号化されてもよい(ステップ420)が、端末認証パケットの暗号化は必須ではない。ステップ422、424、426、428において、オープンシステムによるハンドオフ認証プロシージャは、共有鍵によるハンドオフ認証プロシージャのステップ322、324、326、328と本質的に同一の方法でそれぞれ動作する。
オープンシステムによるハンドオフ認証プロシージャは、ステップ414において無線端末に呼びかけをしない。したがって、ハンドオフ先のアクセスポイントは、無線端末12が暗号化されていない端末認証パケットをAAAHサーバ36に通信することを許可するセキュリティプロシージャを含む。さらに、そのセキュリティプロシージャは、データパケットがハンドオフWEP暗号鍵で暗号化されている場合のみ無線端末12にデータパケットをネットワーク8に通信することを許可する。このセキュリティプロシージャの例を図5および図6に示す。
図5は、本発明の一実施形態に係るハンドオフ先のアクセスポイント16に対するセキュリティプロシージャを示す。セキュリティプロシージャは、ハンドオフ先のアクセスポイント16のデータリンク層で動作する。セキュリティプロシージャは、証明されたMAC(Media Access Control)アドレスからのパケットと、端末認証パケットと、ハンドオフWEP暗号鍵により暗号化されたパケットとを次のネットワーク層に転送する一方、認証されていないパケットを削除する。パケットは、次のネットワーク層に送られると、さらに宛先ノードへ転送される。
ハンドオフ先のアクセスポイント16は、証明されたが対応するセッションWEP暗号鍵を持たない無線端末のMACアドレスを登録する。ハンドオフ先のアクセスポイント16は、無線端末12からパケットを受信する。ステップ502において、ハンドオフ先のアクセスポイント16は、パケットの発信元のMACアドレスから、無線端末12が証明された端末であるかどうか判断する。証明されている場合、ハンドオフ先のアクセスポイント16は、無線端末12に対するセッションWEP暗号鍵を所有する。セッションWEP暗号鍵は、ステップ504で受信したパケットの復号化に使用される。復号化されたパケットは、次のネットワーク層に送られる(ステップ516)。
一方、無線端末12が証明された端末でない場合、ステップ506およびステップ510において、パケットはさらに解析される。ステップ506において、ハンドオフ先のアクセスポイント16は、パケットがAAAHサーバ36宛ての暗号化されていない端末認証パケットであるか判断する。そうである場合は、パケットは、次のネットワーク層に送られる(ステップ516)。そうでない場合は、パケットは削除される(ステップ508)。
ステップ510において、ハンドオフ先のアクセスポイント16は、パケットがハンドオフWEP暗号鍵で暗号化されているか判断する。そうである場合は、パケットは復号化される(ステップ514)。復号化されたパケットは、次のネットワーク層に送られる(ステップ516)。パケットがハンドオフWEP暗号鍵で暗号化されていない場合、パケットは削除される(ステップ512)。
セキュリティプロシージャの動作により、ハンドオフWEP暗号鍵で暗号化されたパケットは、次のネットワーク層に送られる。同様に、暗号化されていない端末認証パケットも、次のネットワーク層に送られる。暗号化されていないものも暗号化されているか不確かなものも含めて、それ以外のパケットはすべて削除される。
図6は、本発明の一実施形態に係るハンドオフ先のアクセスポイント16に対する別のセキュリティプロシージャを示す。図6に示されるセキュリティプロシージャと図5に示されるセキュリティプロシージャには大きな違いがある。図6のセキュリティプロシージャでは、受信されたパケットは並列ではなく直列に処理される。ステップ602およびステップ604は、ステップ502およびステップ504と本質的に同一に動作する。MACアドレスが証明されない場合、ハンドオフ先のアクセスポイント16は、ステップ602からステップ606に進む。
ステップ606において、ハンドオフ先のアクセスポイント16は、パケットがAAAHサーバ36宛ての暗号化されていない端末認証パケットであるかどうか判断する。そうである場合は、パケットは次のネットワーク層に送られる(ステップ614)。そうでない場合は、ハンドオフ先のアクセスポイント16は、そのパケットがハンドオフWEP暗号鍵により暗号化されているか判断する(ステップ608)。
パケットがハンドオフWEP暗号鍵で暗号化されている場合、パケットは復号化される(ステップ612)。復号化されたパケットは、次のネットワーク層に送られる(ステップ614)。パケットがハンドオフWEP暗号鍵で暗号化されていない場合、パケットは削除される(ステップ610)。図5のセキュリティプロシージャを用いた場合と同様に、ハンドオフWEP暗号鍵で暗号化されたパケットおよび暗号化されていない端末認証パケットは次のネットワーク層に送られるが、他のパケットは削除される。
図4に示されるオープンシステムによるハンドオフ認証プロシージャは、図5あるいは図6に示されるセキュリティプロシージャのいずれかを実行してもよい。どちらの場合でも、オープンシステムによるハンドオフ認証プロシージャは、ハンドオフWEP暗号鍵による認証アルゴリズムをサポートしていない無線端末12で動作可能である。
例えば、無線端末12がステップ408においてハンドオフWEP暗号鍵を受け付けなくても、それはハンドオフ先のアクセスポイント16に再度打診し(ステップ412)、ハンドオフ先のアクセスポイント16に認証され(ステップ414)、そしてハンドオフ先のアクセスポイント16に対応付けられる(ステップ416)ことができる。このとき、ステップ416において、無線端末12は、データパケットを暗号化するためのハンドオフWEP暗号鍵を所有していないのでデータパケットを通信しない。無線端末12がハンドオフ先のアクセスポイント16に送信するデータパケットのうち暗号化されていないものはすべて、図5あるいは図6に示されるセキュリティプロシージャの動作により削除される。
しかしながら、無線端末12からの暗号化されていない端末認証パケットを、AAAHサーバ36と通信することはまだ可能である。したがって、AAAHサーバ36はまだ無線端末12を認証し許可することができる。したがって、ハンドオフ先のアクセスポイント16は、無線端末12に新しいセッションWEP暗号鍵を提供可能である。それにより、ステップ426において暗号化データに対する許可をする。
次に、本発明の別の実施形態について説明する。前述の実施形態においては、例えば、AAAFサーバ32からアクセスポイント14、16、18へというように、単一のハンドオフWEP暗号鍵が配布された。結果として、アクセスポイント14、16、18は、複数の無線端末12(サブネットワーク10は1以上の無線端末12を有している)のすべてに対して1つのハンドオフWEP暗号鍵を共有した。このハンドオフWEP暗号鍵がサービス不能攻撃(Denial of Service Attack、以下「DoS攻撃」という)により漏洩した場合、無線端末12に対する通信のセキュリティは低下する。特に、ハンドオフWEP暗号鍵は共有されているので、ハンドオフWEP暗号鍵の漏洩は、ハンドオフの間に通信されるデータの漏洩を招くこととなる。
セキュリティの低下を最小化するために、ハンドオフWEP暗号鍵は頻繁に変更されてもよい。無線端末12がアクティブに通信しているときのみ、(例えばアクセスポイント14からアクセスポイント16へ)ハンドオフするので、この暗号鍵の変更は、セキュアに行われる。したがって、無線端末12は、更新されたハンドオフWEP暗号鍵を現在通信しているアクセスポイント14から受信する。加えて、そのハンドオフWEP暗号鍵は、ほんの数秒のハンドオフ時の使用に限定される。したがって、無線端末12とアクセスポイント16との間の通信の漏洩の確率は低い。
セキュリティの低下をさらに最小化するために、複数の無線端末12のそれぞれに対し異なるハンドオフWEP暗号鍵を使用することもできる。前述の実施形態のように、各ハンドオフWEP暗号鍵は、無線端末がAAAHサーバ36に認証されるまで有効である。無線端末12の認証が完了すると、よりセキュアにデータ通信を暗号化するためのセッションWEP暗号鍵が生成される。
本発明の一実施形態に係るハンドオフWEP暗号鍵の生成の概念図が、図7に示されている。例として、AAAFサーバ32の下のアクセスポイント14、16、18の各々が、無線端末12の各々に対し単一のハンドオフWEP暗号鍵52を生成するために暗号鍵生成プロセスを実行するとする。図7に示される暗号鍵生成プロセスは、AAAFサーバ32により、アクセスポイント14、16、18に送信される。秘密パラメータ62は、AAAFサーバ32に関連付けられたアクセスポイント14、16、18間で共有されるAAAFID54およびAAAF共通パラメータ56を含む種々のパラメータからなる。秘密パラメータ62は、関連するアクセスポイント14、16、18にのみ知られている。秘密パラメータ62は、例えばRADIUS属性のようにセキュアな方法によりアクセスポイント14、16、18に転送される。無線端末12はこのAAAF共通パラメータを取得しないので、サブネットワーク10はDoS攻撃から守られる。
さらに、ハンドオフWEP暗号鍵52を生成するために、公開パラメータ58を使用することもできる。公開パラメータ58は、無線端末12に知られてもよい。公開パラメータ58は、現在通信しているアクセスポイントのMACアドレス46および現在通信している端末のMACアドレス44からなる。秘密パラメータ62および公開パラメータ58の両方が、暗号鍵生成部48へ入力される。暗号鍵生成部48は、秘密パラメータ62および公開パラメータ58から無線端末12に対するハンドオフWEP暗号鍵52を生成するために、例えばHMAC−MD5(Hashing for Message Authentication Message Digest 5)のようなハッシュ関数を使用する。暗号鍵生成部48はもちろん、ハンドオフWEP暗号鍵52を生成するために、MD1、MD2、MD3、MD4、SHA(secure hashing algorithm)1、SHA2等他のハッシュ関数を使用してもよい。暗号鍵生成部48は、アクセスポイント14、AAAFサーバ32等のサーバあるいはスタンドアローンのシステムの構成要素であってもよい。
図8は、本発明の一実施形態に係るユニーク暗号鍵によるハンドオフプロシージャのパケット通信の図である。ここで、無線端末12はアクセスポイント14からアクセスポイント16へハンドオフする。図8に示したステップは、必ずしも実行の順番に並んでいない。ステップ802および806のそれぞれにおいて、秘密パラメータ62は、アクセスポイント14およびアクセスポイント16に配信される。セキュリティ上の問題から、AAAFサーバ32とアクセスポイント14、16との間の接続はセキュリティのあるものである必要がある。さらに、図7に示される暗号鍵生成部48も、アクセスポイント14、16に対応付けられる。
ステップ804において、無線端末12は、アクセスポイント16に対応付けられる。暗号鍵生成部48は、ハンドオフWEP暗号鍵52を生成する(ステップ808)。ステップ810において、アクセスポイント14は、ハンドオフWEP暗号鍵52を無線端末12に、セッションWEP暗号鍵で暗号化されたデータとして送信する。無線端末12は、ハンドオフ判断ステップ812において、アクセスポイント14からハンドオフ先のアクセスポイント16へハンドオフすることを決定する。
ハンドオフを開始するために、無線端末12は、ハンドオフ先のアクセスポイント16とプローブ要求/回答パケットおよびハンドオフ認証メッセージを交換する(ステップ814)。この認証は、前述のように(図4のステップ412)公開認証(オープン認証)でもよい。ステップ816において、無線端末12は、まず、図9に示される、再対応付け要求フレーム902をアクセスポイント16に送信する。再対応付け要求フレーム902から、アクセスポイント16は直前のアクセスポイントのMACアドレス(アクセスポイント14のMACアドレス)と無線端末12のMACアドレスとを受け取る(図9)。これらのMACアドレスは、図7に示されるように、アクセスポイント14においてハンドオフWEP暗号鍵52を生成するために使用される。
再対応付け(ステップ816)の後、無線端末12とハンドオフ先のアクセスポイント16との間で通信されるデータパケットは、ハンドオフWEP暗号鍵により暗号化される(ステップ818)。より詳細には、無線端末12は、再対応付け(ステップ816)の後、その次のデータフレームをアクセスポイント16に直ちに送信する。そのデータフレームは、無線端末12において、無線端末12がステップ810においてアクセスポイント14から受信したハンドオフWEP暗号鍵52により暗号化される。データフレームのMACフレームヘッダーは無線端末12のMACアドレスを含む。アクセスポイント16は、鍵生成部48を用いて無線端末12に特有のハンドオフWEP暗号鍵52を生成する。このように、アクセスポイント16は、他の通信をすることなくMACフレームをデコードする(ステップ820)。さらに、有効なハンドオフWEP暗号鍵を所有するのみで、アクセスポイント16に対して無線端末12を認証することができる。
無線端末12とハンドオフ先のアクセスポイント16が再対応付けされた後、無線端末12およびアクセスポイント16は、ハンドオフ先のアクセスポイント16が新たなセッションWEP暗号鍵を提供するまで、ハンドオフWEP暗号鍵52により暗号化されたデータの通信を継続する。無線端末12によるネットワークへの一時的なアクセスはハンドオフWEP暗号鍵を用いることにより許可されるが、AAAH36に対する無線端末12の完全な認証は継続中である。完全な認証は、ステップ822、824、826および828で行われ、これらは前述のステップ320、322、324および326(図3)と同様に実行される。ステップ830において、無線端末12およびアクセスポイント16は、新たなセッションWEP暗号鍵により暗号化されたデータを通信する。
図9は、本発明の一実施形態に係る公開パラメータを用いたデコードプロシージャ(ステップ820)を示している。再対応付け要求フレーム902から得られる送信側端末のMACアドレス44は、公開パラメータ58の端末のMACアドレスである。再対応付け要求フレーム902のフレーム本体から得られる現在のアクセスポイントのアドレス46は、公開パラメータ58現在のアクセスポイントのMACアドレスである。秘密パラメータ62はアクセスポイント16に送信される(ステップ802)。したがって、アクセスポイント16は、デコードステップ820において、秘密パラメータ62および公開パラメータ58のすべての要素を利用可能であり、アクセスポイント16は暗号鍵生成部48を用いることにより無線端末12に対するハンドオフWEP暗号鍵52を得ることができる。
一方、無線端末12は秘密パラメータ62を所有しないので、無線端末12自身はハンドオフWEP暗号鍵52を得ることができない。無線端末12は、AAAHサーバ36に対し完全に認証された後にハンドオフWEP暗号鍵52をアクセスポイント14から受信した(ステップ810)。第1の無線端末12は第2の無線端末12に対するハンドオフWEP暗号鍵52を得られないので、悪意ある無線端末12はDoS攻撃によりセキュリティを簡単に破ることはできない。
ハンドオフの間データフレーム904(認証データフレームを除く)がアクセスポイント16により受信される限り、送信元の端末のMACアドレス44はデータフレーム904がデコードされる前に証明される。したがって、暗号化されたデータフレーム904のフレーム本体は、無線端末12がAAAHサーバ36により認証される前にハンドオフWEP暗号鍵52を用いてアクセスポイント16により「リアルタイムに」デコードされる。すぐにデータフレーム904をデコードするアクセスポイント16の能力は、無線端末12がAAAHサーバ36の認証を待たなけらばならないシステムと比較して、ハンドオフ時間を明らかに減少させる。このようにハンドオフ時間を減少させることにより、ハンドオフの間、あるいはハンドオフ成功後、無線端末12と端末6との間の中断のないリアルタイム通信が容易になる。
図10はネットワーク8のサブネットワーク11を説明するブロック図である。サブネットワーク11は図2のサブネットワーク10から変化している点がある。サブネットワーク11は、AAAHサーバ35、AAAHサーバ37、AAAFサーバ31、AAAFサーバ33、およびアクセスポイント13、15、17、21を有する。AAAHサーバ35および37は1組の端末をAAAHサーバ36と同様に認証する。同様に、AAAFサーバ31および33もまた複数組の端末をAAAFサーバ32および34と同様に認証する。煩雑になるのを防ぐため図示していないが、サブネットワーク11はアクセスルータ24、26、28と同様に機能するアクセスルータを含む。
しかし、サブネットワーク10と異なり、サブネットワーク11は1つではなく2つのAAAHサーバ(AAAHサーバ35および37)を有する。また、サブネットワーク11は、2つのAAAFサーバに対応付けられたアクセスポイントを有する。図10に示されるように、アクセスポイント17はAAAFサーバ31および33の両方に対応付けられる。さらに、AAAFサーバ31はAAAHサーバ37に対応付けられ、AAAFサーバ33はAAAHサーバ35に対応付けられる。
サブネットワーク11を介して最初のハンドオフを実行するために、アクセスポイント17はAAAFサーバ31および33の両方とセキュリティ関係を有する。アクセスポイント17は、AAAFサーバ31および33よりハンドオフ暗号鍵生成アルゴリズムを受信する。これにより、無線端末12はAAAFサーバ31の圏内からAAAFサーバ33の圏内へ速やかにハンドオフすることができる。さらに、無線端末12はAAAHサーバ37のドメインからAAAHサーバ35のドメインへ速やかにハンドオフすることができる。
図11は、本発明の一実施形態に係るハンドオフWEP暗号鍵52を生成し取得する手続を示すパケット通信ダイアグラムである。この例において、パケットはAAAFサーバ32とアクセスポイント16との間で交換される。ステップ1102において、アクセスポイント16は、ハンドオフ暗号鍵アルゴリズム要求フレームをAAAFサーバ32に送信する。ハンドオフ暗号鍵アルゴリズム要求フレームの例を図12に示す。AAAFサーバ32は、ハンドオフ暗号鍵アルゴリズム要求が有効であることを、例えば、フレームのアクセスポイントMACアドレスフィールドおよびのアクセスポイントフィールドのメッセージ完全性チェックを解析することにより証明する。要求が有効である場合、ステップ1104において、AAAFサーバ32はハンドオフ暗号鍵アルゴリズム要求フレームをアクセスポイント16に送信する。図12はまた、ハンドオフ暗号鍵アルゴリズム応答の例も含む。
さらに、アクセスポイント16は、ハンドオフ暗号鍵生成アルゴリズムと密接に関連する秘密パラメータを変更するための要求を送信する(ステップ1106)。本発明の一実施形態に係る秘密パラメータ更新要求フレームの例が図13に示されている。要求が有効である場合、AAAFサーバ32は、ステップ1108において、秘密パラメータ更新応答フレームをアクセスポイント16に送信する(図13)。このようにアクセスポイント16が秘密パラメータの更新を開始することを可能にすることにより、DoS攻撃に対するさらなる保護が提供される。
さらに、AAAFサーバ32は秘密パラメータをある頻度で変更し、秘密パラメータ更新通知をアクセスポイント16に送信する(ステップ1110)。本発明の一実施形態に係る秘密パラメータ更新通知フレームの例を、図14に示す。アクセスポイント16は、秘密パラメータ更新受領フレームを送信することにより秘密パラメータ更新通知の受け取り確認を返す(ステップ1112)。秘密パラメータ更新通知の例を図14に示す。図12〜図14に示されるメッセージフレームの各々は、ハンドオフ手続に使用する他のパラメータを通信するためのオプションフィールドを含んでもよい。
本発明の種々の実施形態を説明したが、本発明の範囲内で他の実施形態およびその改良が可能なことは当業者にとって明らかである。したがって、本発明は請求の範囲とその均等範囲に限定されない。
本発明を適用可能な分散型コンピュータシステムのシステムレベルのブロック図である。 本発明の一実施形態に係る、無線セグメントを含む図1のサブネットワーク10のブロック図である。 本発明の一実施形態に係る共有暗号鍵によるハンドオフプロシージャに対するパケット通信の図である。 本発明の別の実施形態に係るオープンシステムによるハンドオフプロシージャに対するパケット通信の図である。 本発明の一実施形態に係る並列処理によるセキュリティプロシージャのフローチャートである。 本発明の一実施形態に係る直列処理によるセキュリティプロシージャのフローチャートである。 本発明の一実施形態に係る無線端末に対する単一のハンドオフ暗号鍵を生成するための暗号鍵生成プロセスを表す図である。 本発明の一実施形態に係るユニーク暗号鍵によるハンドオフプロシージャに対するパケット通信の図である。 本発明の一実施形態に係るユニーク暗号鍵によるハンドオフプロシージャにおいてオープンパラメータを用いて復号化するプロシージャを示す図である。 本発明の別の実施形態に係る、無線セグメントを含む図1のサブネットワーク10のブロック図である。 本発明の一実施形態に係るハンドオフ暗号鍵を生成し取得するプロシージャに対するパケット通信の図である。 本発明の一実施形態に係るハンドオフ暗号鍵要求フレームおよびハンドオフ暗号鍵応答フレームを示す図である。 本発明の一実施形態に係る秘密パラメータ更新要求フレームおよび秘密パラメータ更新応答フレームを示す図である。 本発明の一実施形態に係る秘密パラメータ更新通知フレームおよび秘密パラメータ更新受信通知フレームを示す図である。を有する、無線通信ネットワークにおける無線端末。

Claims (7)

  1. ハンドオフ暗号鍵を生成する認証サーバと、
    前記認証サーバと通信する第1のアクセスポイントと、
    前記認証サーバと通信する第2のアクセスポイントと、
    無線端末と
    を有し、
    前記ハンドオフ暗号鍵は、前記無線端末との暗号化通信のために前記第1のアクセスポイントおよび前記第2のアクセスポイントで同時に使用される暗号鍵であり、
    前記認証サーバが、生成された前記ハンドオフ暗号鍵を前記第1のアクセスポイントおよび前記第2のアクセスポイントに送信し、
    前記第1のアクセスポイントおよび前記第2のアクセスポイントが、前記認証サーバから送信された前記ハンドオフ暗号鍵を取得し、
    前記無線端末が、前記第1のアクセスポイントから前記ハンドオフ暗号鍵を取得し、
    前記無線端末が、前記第1のアクセスポイントから前記第2のアクセスポイントへハンドオフすることを決定し、
    前記ハンドオフすることを決定すると、前記無線端末と前記第2のアクセスポイントが、前記ハンドオフ暗号鍵を用いた暗号化通信を行い、
    前記第2のアクセスポイントが、前記無線端末の認証を要求する端末認証要求を、前記認証サーバに送信し、
    前記無線端末を認証する場合、前記認証サーバが、前記無線端末を認証したことを示す認証許可応答を前記第2のアクセスポイントに送信し、
    前記第2のアクセスポイントが、前記第2のアクセスポイントと前記無線端末との間の暗号化通信に使用される暗号鍵であるセッション暗号鍵を生成し、
    前記第2のアクセスポイントが、生成された前記セッション暗号鍵を前記無線端末に送信し、
    前記認証許可応答を受信すると、前記第2のアクセスポイントが、前記セッション暗号鍵を用いて、前記無線端末と暗号化通信を行う
    ことを特徴とする無線通信システム。
  2. ハンドオフ暗号鍵生成情報を生成する認証サーバと、
    前記認証サーバと通信する第1のアクセスポイントと、
    前記認証サーバと通信する第2のアクセスポイントと、
    無線端末と
    を有し、
    前記認証サーバが、生成された前記ハンドオフ暗号鍵生成情報を前記第1のアクセスポイントおよび前記第2のアクセスポイントに送信し、
    前記第1のアクセスポイントおよび前記第2のアクセスポイントが、前記認証サーバから送信された前記ハンドオフ暗号鍵生成情報に基づいて、前記無線端末との暗号化通信のために前記第1のアクセスポイントおよび前記第2のアクセスポイントで同時に使用される暗号鍵であるハンドオフ暗号鍵を生成し、
    前記無線端末が、前記第1のアクセスポイントから前記ハンドオフ暗号鍵を取得し、
    前記無線端末が、前記第1のアクセスポイントから前記第2のアクセスポイントへハンドオフすることを決定し、
    前記ハンドオフすることを決定すると、前記無線端末と前記第2のアクセスポイントが、前記ハンドオフ暗号鍵を用いた暗号化通信を行い、
    前記第2のアクセスポイントが、前記無線端末の認証を要求する端末認証要求を、前記認証サーバに送信し、
    前記無線端末を認証する場合、前記認証サーバが、前記無線端末を認証したことを示す認証許可応答を前記第2のアクセスポイントに送信し、
    前記第2のアクセスポイントが、前記第2のアクセスポイントと前記無線端末との間の暗号化通信に使用される暗号鍵であるセッション暗号鍵を生成し、
    前記第2のアクセスポイントが、生成された前記セッション暗号鍵を前記無線端末に送信し、
    前記認証許可応答を受信すると、前記第2のアクセスポイントが、前記セッション暗号鍵を用いて、前記無線端末と暗号化通信を行う
    ことを特徴とする無線通信システム。
  3. 前記暗号鍵生成情報が、前記認証サーバのアドレス、前記第1のアクセスポイントのアドレスおよび前記無線端末のアドレスのうち少なくとも1つを含む
    ことを特徴とする請求項に記載の無線通信システム。
  4. ハンドオフ暗号鍵を生成する認証サーバと、前記認証サーバと通信する第1のアクセスポイントと、前記認証サーバと通信する第2のアクセスポイントと、無線端末とを有する無線通信システムにおける通信方法であって、
    前記ハンドオフ暗号鍵は、前記無線端末との暗号化通信のために前記第1のアクセスポイントおよび前記第2のアクセスポイントで同時に使用される暗号鍵であり、
    前記認証サーバが、生成された前記ハンドオフ暗号鍵を前記第1のアクセスポイントおよび前記第2のアクセスポイントに送信するステップと、
    前記第1のアクセスポイントおよび前記第2のアクセスポイントが、前記認証サーバから送信された前記ハンドオフ暗号鍵を取得するステップと、
    前記無線端末が、前記第1のアクセスポイントから前記ハンドオフ暗号鍵を取得するステップと、
    前記無線端末が、前記第1のアクセスポイントから前記第2のアクセスポイントへハンドオフすることを決定するステップと、
    前記ハンドオフすることを決定すると、前記無線端末と前記第2のアクセスポイントが、前記ハンドオフ暗号鍵を用いた暗号化通信を行うステップと、
    前記第2のアクセスポイントが、前記無線端末の認証を要求する端末認証要求を、前記認証サーバに送信するステップと、
    前記無線端末を認証する場合、前記認証サーバが、前記無線端末を認証したことを示す認証許可応答を前記第2のアクセスポイントに送信するステップと、
    前記第2のアクセスポイントが、前記第2のアクセスポイントと前記無線端末との間の暗号化通信に使用される暗号鍵であるセッション暗号鍵を生成するステップと、
    前記第2のアクセスポイントが、生成された前記セッション暗号鍵を前記無線端末に送信するステップと、
    前記認証許可応答を受信すると、前記第2のアクセスポイントが、前記ハンドオフ暗号鍵とは異なるセッション暗号鍵を用いて、前記無線端末と暗号化通信を行うステップと
    を有する通信方法。
  5. ハンドオフ暗号鍵生成情報を生成する認証サーバと、前記認証サーバと通信する第1のアクセスポイントと、前記認証サーバと通信する第2のアクセスポイントと、無線端末とを有する無線通信システムにおける通信方法であって、
    前記認証サーバが、生成された前記ハンドオフ暗号鍵生成情報を前記第1のアクセスポイントおよび前記第2のアクセスポイントに送信するステップと、
    前記第1のアクセスポイントおよび前記第2のアクセスポイントが、前記認証サーバから送信された前記ハンドオフ暗号鍵生成情報に基づいて、前記無線端末との暗号化通信のために前記第1のアクセスポイントおよび前記第2のアクセスポイントで同時に使用される暗号鍵であるハンドオフ暗号鍵を生成するステップと、
    前記無線端末が、前記第1のアクセスポイントから前記ハンドオフ暗号鍵を取得するステップと、
    前記無線端末が、前記第1のアクセスポイントから前記第2のアクセスポイントへハンドオフすることを決定するステップと、
    前記ハンドオフすることを決定すると、前記無線端末と前記第2のアクセスポイントが、前記ハンドオフ暗号鍵を用いた暗号化通信を行うステップと、
    前記第2のアクセスポイントが、前記無線端末の認証を要求する端末認証要求を、前記認証サーバに送信するステップと、
    前記無線端末を認証する場合、前記認証サーバが、前記無線端末を認証したことを示す認証許可応答を前記第2のアクセスポイントに送信するステップと、
    前記第2のアクセスポイントが、前記第2のアクセスポイントと前記無線端末との間の暗号化通信に使用される暗号鍵であるセッション暗号鍵を生成するステップと、
    前記第2のアクセスポイントが、生成された前記セッション暗号鍵を前記無線端末に送信するステップと、
    前記認証許可応答を受信すると、前記第2のアクセスポイントが、前記ハンドオフ暗号鍵とは異なるセッション暗号鍵を用いて、前記無線端末と暗号化通信を行うステップと
    を有する通信方法。
  6. ハンドオフ暗号鍵を生成する認証サーバから前記ハンドオフ暗号鍵を取得する取得手段と、
    無線端末が別のアクセスポイントから自装置へハンドオフすることを決定すると、前記取得手段により取得したハンドオフ暗号鍵を用いて前記無線端末と暗号化通信する通信手段と、
    前記無線端末の認証を要求する端末認証要求を認証サーバに送信する送信手段と、
    前記端末認証要求に対する認証許可応答を受信する受信手段と、
    自装置と前記無線端末との間の暗号化通信に使用される暗号鍵であるセッション暗号鍵を生成する生成手段と
    を有し、
    前記送信手段が、生成された前記セッション暗号鍵を前記無線端末に送信し、
    前記受信手段が前記認証許可応答を受信すると、前記通信手段が、前記セッション暗号鍵を用いて、前記無線端末と暗号化通信を行う
    ことを特徴とするアクセスポイント。
  7. ハンドオフ暗号鍵生成情報を生成する認証サーバから取得した前記ハンドオフ暗号鍵生成情報を用いてハンドオフ暗号鍵を生成するハンドオフ暗号鍵生成手段と、
    無線端末が別のアクセスポイントから自装置へハンドオフすることを決定すると、前記ハンドオフ暗号鍵生成手段により生成されたハンドオフ暗号鍵を用いて前記無線端末と暗号化通信する通信手段と、
    前記無線端末の認証を要求する端末認証要求を認証サーバに送信する送信手段と、
    前記端末認証要求に対する認証許可応答を受信する受信手段と、
    自装置と前記無線端末との間の暗号化通信に使用される暗号鍵であるセッション暗号鍵を生成するセッション暗号鍵生成手段と
    を有し、
    前記送信手段が、生成された前記セッション暗号鍵を前記無線端末に送信し、
    前記受信手段が前記認証許可応答を受信すると、前記通信手段が、前記セッション暗号鍵を用いて、前記無線端末と暗号化通信を行う
    ことを特徴とするアクセスポイント。
JP2004044836A 2003-02-20 2004-02-20 無線ネットワークハンドオフ暗号鍵 Expired - Fee Related JP4575679B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US44872903P 2003-02-20 2003-02-20
US47266203P 2003-05-22 2003-05-22

Publications (3)

Publication Number Publication Date
JP2004297783A JP2004297783A (ja) 2004-10-21
JP2004297783A5 JP2004297783A5 (ja) 2007-04-05
JP4575679B2 true JP4575679B2 (ja) 2010-11-04

Family

ID=33436696

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004044836A Expired - Fee Related JP4575679B2 (ja) 2003-02-20 2004-02-20 無線ネットワークハンドオフ暗号鍵

Country Status (2)

Country Link
US (5) US20040236939A1 (ja)
JP (1) JP4575679B2 (ja)

Families Citing this family (89)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6360100B1 (en) 1998-09-22 2002-03-19 Qualcomm Incorporated Method for robust handoff in wireless communication system
US7263357B2 (en) * 2003-01-14 2007-08-28 Samsung Electronics Co., Ltd. Method for fast roaming in a wireless network
US7668541B2 (en) 2003-01-31 2010-02-23 Qualcomm Incorporated Enhanced techniques for using core based nodes for state transfer
US6862446B2 (en) * 2003-01-31 2005-03-01 Flarion Technologies, Inc. Methods and apparatus for the utilization of core based nodes for state transfer
JP2005110112A (ja) * 2003-10-01 2005-04-21 Nec Corp 通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置。
EP1549010B1 (en) * 2003-12-23 2008-08-13 Motorola Inc. Rekeying in secure mobile multicast communications
TWI367008B (en) * 2004-03-03 2012-06-21 Univ Columbia Methods and systems for reducing mac layer handoff latency in wireless networks
US20070192606A1 (en) * 2004-03-08 2007-08-16 Yutaka Yasukura Electronic terminal device protection system
KR20050104191A (ko) * 2004-04-28 2005-11-02 삼성전자주식회사 액세스 포인트간의 핸드오버를 지원 또는 수행하는 방법및 장치
US7822017B2 (en) * 2004-11-18 2010-10-26 Alcatel Lucent Secure voice signaling gateway
US20060133338A1 (en) * 2004-11-23 2006-06-22 Interdigital Technology Corporation Method and system for securing wireless communications
US7593390B2 (en) * 2004-12-30 2009-09-22 Intel Corporation Distributed voice network
WO2006080079A1 (ja) * 2005-01-28 2006-08-03 Mitsubishi Denki Kabushiki Kaisha 無線ネットワークシステムおよびそのユーザ認証方法
KR100666947B1 (ko) * 2005-02-01 2007-01-10 삼성전자주식회사 근거리 무선통신단말의 네트워크 접근방법 및 그네트워크시스템
EP1868323A1 (en) * 2005-03-22 2007-12-19 NEC Corporation Connection parameter setting system, method thereof, access point, server, radio terminal, and parameter setting device
US7669230B2 (en) * 2005-03-30 2010-02-23 Symbol Technologies, Inc. Secure switching system for networks and method for securing switching
FI20050393A0 (fi) * 2005-04-15 2005-04-15 Nokia Corp Avainmateriaalin vaihto
US20060285519A1 (en) * 2005-06-15 2006-12-21 Vidya Narayanan Method and apparatus to facilitate handover key derivation
WO2007001215A1 (en) * 2005-06-28 2007-01-04 Telefonaktiebolaget Lm Ericsson (Publ) Means and methods for controlling network access in integrated communications networks
US7813511B2 (en) * 2005-07-01 2010-10-12 Cisco Technology, Inc. Facilitating mobility for a mobile station
EP1748669B1 (en) * 2005-07-25 2019-01-30 LG Electronics Inc. Information update method for access points, and handoff support apparatus and method using the same
US9078084B2 (en) 2005-12-22 2015-07-07 Qualcomm Incorporated Method and apparatus for end node assisted neighbor discovery
US8982778B2 (en) 2005-09-19 2015-03-17 Qualcomm Incorporated Packet routing in a wireless communications environment
US8509799B2 (en) 2005-09-19 2013-08-13 Qualcomm Incorporated Provision of QoS treatment based upon multiple requests
US9736752B2 (en) 2005-12-22 2017-08-15 Qualcomm Incorporated Communications methods and apparatus using physical attachment point identifiers which support dual communications links
US8982835B2 (en) 2005-09-19 2015-03-17 Qualcomm Incorporated Provision of a move indication to a resource requester
US9066344B2 (en) 2005-09-19 2015-06-23 Qualcomm Incorporated State synchronization of access routers
US8983468B2 (en) 2005-12-22 2015-03-17 Qualcomm Incorporated Communications methods and apparatus using physical attachment point identifiers
US8234694B2 (en) * 2005-12-09 2012-07-31 Oracle International Corporation Method and apparatus for re-establishing communication between a client and a server
US20070136197A1 (en) * 2005-12-13 2007-06-14 Morris Robert P Methods, systems, and computer program products for authorizing a service request based on account-holder-configured authorization rules
US8041035B2 (en) * 2005-12-30 2011-10-18 Intel Corporation Automatic configuration of devices upon introduction into a networked environment
US9083355B2 (en) 2006-02-24 2015-07-14 Qualcomm Incorporated Method and apparatus for end node assisted neighbor discovery
US20070209081A1 (en) * 2006-03-01 2007-09-06 Morris Robert P Methods, systems, and computer program products for providing a client device with temporary access to a service during authentication of the client device
CA2642822C (en) * 2006-03-31 2013-01-15 Samsung Electronics Co., Ltd. System and method for optimizing authentication procedure during inter access system handovers
KR20080033763A (ko) * 2006-10-13 2008-04-17 삼성전자주식회사 와이브로 네트워크에서의 상호인증을 통한 핸드오버 방법및 그 시스템
US8630604B2 (en) * 2006-11-17 2014-01-14 Industrial Technology Research Institute Communication methods and devices for dual-mode communication systems
MX2009006380A (es) 2006-12-19 2009-06-23 Ericsson Telefon Ab L M Manejo de acceso de usuario en una red de comunicaciones.
US9053063B2 (en) * 2007-02-21 2015-06-09 At&T Intellectual Property I, Lp Method and apparatus for authenticating a communication device
US9155008B2 (en) 2007-03-26 2015-10-06 Qualcomm Incorporated Apparatus and method of performing a handoff in a communication network
US10091648B2 (en) 2007-04-26 2018-10-02 Qualcomm Incorporated Method and apparatus for new key derivation upon handoff in wireless networks
US8948046B2 (en) 2007-04-27 2015-02-03 Aerohive Networks, Inc. Routing method and system for a wireless network
US8830818B2 (en) 2007-06-07 2014-09-09 Qualcomm Incorporated Forward handover under radio link failure
US9094173B2 (en) 2007-06-25 2015-07-28 Qualcomm Incorporated Recovery from handoff error due to false detection of handoff completion signal at access terminal
JP2009009227A (ja) * 2007-06-26 2009-01-15 Aruze Corp システム情報を自動複写する情報処理装置
CN101335985B (zh) * 2007-06-29 2011-05-11 华为技术有限公司 安全快速切换的方法及系统
US7961684B2 (en) * 2007-07-13 2011-06-14 Intel Corporation Fast transitioning resource negotiation
KR101061899B1 (ko) * 2007-09-12 2011-09-02 삼성전자주식회사 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치
US10181055B2 (en) 2007-09-27 2019-01-15 Clevx, Llc Data security system with encryption
US11190936B2 (en) * 2007-09-27 2021-11-30 Clevx, Llc Wireless authentication system
US10778417B2 (en) 2007-09-27 2020-09-15 Clevx, Llc Self-encrypting module with embedded wireless user authentication
JP5129545B2 (ja) * 2007-10-30 2013-01-30 キヤノン株式会社 通信システム及び制御方法
JP2009130603A (ja) * 2007-11-22 2009-06-11 Sanyo Electric Co Ltd 通信方法およびそれを利用した基地局装置、端末装置、制御装置
WO2009090968A1 (ja) * 2008-01-18 2009-07-23 Nec Corporation 無線アクセスシステム、無線アクセス方法、及び、アクセスポイント装置
US8218502B1 (en) 2008-05-14 2012-07-10 Aerohive Networks Predictive and nomadic roaming of wireless clients across different network subnets
JP4894826B2 (ja) 2008-07-14 2012-03-14 ソニー株式会社 通信装置、通信システム、報知方法、及びプログラム
US9674892B1 (en) 2008-11-04 2017-06-06 Aerohive Networks, Inc. Exclusive preshared key authentication
US8873752B1 (en) 2009-01-16 2014-10-28 Sprint Communications Company L.P. Distributed wireless device association with basestations
US8483194B1 (en) 2009-01-21 2013-07-09 Aerohive Networks, Inc. Airtime-based scheduling
KR101102663B1 (ko) 2009-02-13 2012-01-04 삼성전자주식회사 휴대단말기와 디지털 기기간 자동 무선 연결을 위한 시스템 및 방법
CN101807998A (zh) * 2009-02-13 2010-08-18 英飞凌科技股份有限公司 认证
KR101554743B1 (ko) * 2009-06-18 2015-09-22 삼성전자주식회사 기기간에 무선랜 자동 연결을 위한 방법 및 이를 위한 기기
US9900251B1 (en) 2009-07-10 2018-02-20 Aerohive Networks, Inc. Bandwidth sentinel
US11115857B2 (en) 2009-07-10 2021-09-07 Extreme Networks, Inc. Bandwidth sentinel
EP2309790B1 (en) 2009-10-11 2016-07-27 BlackBerry Limited Authentication failure in a wireless local area network
EP2309805B1 (en) 2009-10-11 2012-10-24 Research In Motion Limited Handling wrong WEP key and related battery drain and communication exchange failures
US8189608B2 (en) * 2009-12-31 2012-05-29 Sonicwall, Inc. Wireless extender secure discovery and provisioning
US8615241B2 (en) 2010-04-09 2013-12-24 Qualcomm Incorporated Methods and apparatus for facilitating robust forward handover in long term evolution (LTE) communication systems
US8671187B1 (en) 2010-07-27 2014-03-11 Aerohive Networks, Inc. Client-independent network supervision application
US9002277B2 (en) 2010-09-07 2015-04-07 Aerohive Networks, Inc. Distributed channel selection for wireless networks
KR20120034338A (ko) * 2010-10-01 2012-04-12 삼성전자주식회사 무선 액세스 포인트의 보안 운용 방법 및 시스템
US10091065B1 (en) 2011-10-31 2018-10-02 Aerohive Networks, Inc. Zero configuration networking on a subnetted network
US9092610B2 (en) * 2012-04-04 2015-07-28 Ruckus Wireless, Inc. Key assignment for a brand
WO2013187923A2 (en) 2012-06-14 2013-12-19 Aerohive Networks, Inc. Multicast to unicast conversion technique
US9258704B2 (en) * 2012-06-27 2016-02-09 Advanced Messaging Technologies, Inc. Facilitating network login
WO2014054910A1 (ko) * 2012-10-04 2014-04-10 엘지전자 주식회사 무선랜 시스템에서 시스템 정보 업데이트 방법 및 장치
US9232531B2 (en) 2012-10-22 2016-01-05 Qualcomm Incorporated Prioritization of users for switching between co-existence wireless systems
US20170277775A1 (en) * 2012-10-30 2017-09-28 FHOOSH, Inc. Systems and methods for secure storage of user information in a user profile
JP5423916B2 (ja) * 2013-02-25 2014-02-19 富士通株式会社 通信方法
US9413772B2 (en) 2013-03-15 2016-08-09 Aerohive Networks, Inc. Managing rogue devices through a network backhaul
US10389650B2 (en) 2013-03-15 2019-08-20 Aerohive Networks, Inc. Building and maintaining a network
EP3059898B1 (en) * 2013-10-16 2019-05-22 Nippon Telegraph and Telephone Corporation Key device, key cloud system, decryption method, and program
US9906952B2 (en) * 2014-03-28 2018-02-27 Vivint, Inc. Anti-takeover systems and methods for network attached peripherals
US10333696B2 (en) 2015-01-12 2019-06-25 X-Prime, Inc. Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency
WO2018025401A1 (ja) * 2016-08-05 2018-02-08 Necディスプレイソリューションズ株式会社 表示システム、受信装置、表示装置及び通信接続方法
US10728756B2 (en) * 2016-09-23 2020-07-28 Qualcomm Incorporated Access stratum security for efficient packet processing
US10568031B2 (en) * 2017-02-23 2020-02-18 Futurewei Technologies, Inc. System and method for recovering a communications station in sleep mode
CN112399412B (zh) 2019-08-19 2023-03-21 阿里巴巴集团控股有限公司 会话建立的方法及装置、通信系统
CN115733696B (zh) * 2022-11-17 2025-02-28 国家电网有限公司 电力卫星物联网边缘计算节点的终端安全接入方法
KR20240096380A (ko) * 2022-12-16 2024-06-26 아서스 테크놀러지 라이센싱 아이엔씨. 무선 통신 시스템에서 핸드오버 준비를 핸들링하기 위한 방법 및 장치

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL9101796A (nl) * 1991-10-25 1993-05-17 Nederland Ptt Werkwijze voor het authenticeren van communicatiedeelnemers, systeem voor toepassing van de werkwijze en eerste communicatiedeelnemer en tweede communicatiedeelnemer voor toepassing in het systeem.
US5243653A (en) * 1992-05-22 1993-09-07 Motorola, Inc. Method and apparatus for maintaining continuous synchronous encryption and decryption in a wireless communication system throughout a hand-off
DE69332431T2 (de) * 1992-09-08 2003-06-18 Sun Microsystems, Inc. Verfahren und Vorrichtung zur Verbindungsmöglichkeitserhaltung von Knoten in einem drahtlosen lokalen Netz
JPH07327029A (ja) * 1994-05-31 1995-12-12 Fujitsu Ltd 暗号化通信システム
US5588060A (en) * 1994-06-10 1996-12-24 Sun Microsystems, Inc. Method and apparatus for a key-management scheme for internet protocols
US5862220A (en) * 1996-06-03 1999-01-19 Webtv Networks, Inc. Method and apparatus for using network address information to improve the performance of network transactions
AU743258B2 (en) * 1997-01-03 2002-01-24 Fortress Technologies, Inc. Improved network security device
US6094487A (en) * 1998-03-04 2000-07-25 At&T Corporation Apparatus and method for encryption key generation
US6370380B1 (en) * 1999-02-17 2002-04-09 Telefonaktiebolaget Lm Ericsson (Publ) Method for secure handover
FI107486B (fi) * 1999-06-04 2001-08-15 Nokia Networks Oy Autentikaation ja salauksen järjestäminen matkaviestinjärjestelmässä
JP3570311B2 (ja) * 1999-10-07 2004-09-29 日本電気株式会社 無線lanの暗号鍵更新システム及びその更新方法
US6771776B1 (en) * 1999-11-11 2004-08-03 Qualcomm Incorporated Method and apparatus for re-synchronization of a stream cipher during handoff
US6587680B1 (en) * 1999-11-23 2003-07-01 Nokia Corporation Transfer of security association during a mobile terminal handover
JP4060021B2 (ja) * 2000-02-21 2008-03-12 富士通株式会社 移動通信サービス提供システム、および移動通信サービス提供方法
FI111208B (fi) * 2000-06-30 2003-06-13 Nokia Corp Datan salauksen järjestäminen langattomassa tietoliikennejärjestelmässä
JP4201466B2 (ja) * 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
US6876747B1 (en) * 2000-09-29 2005-04-05 Nokia Networks Oy Method and system for security mobility between different cellular systems
JP2002247047A (ja) * 2000-12-14 2002-08-30 Furukawa Electric Co Ltd:The セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置
US6921739B2 (en) * 2000-12-18 2005-07-26 Aquatic Treatment Systems, Inc. Anti-microbial and oxidative co-polymer
US7472269B2 (en) * 2001-02-23 2008-12-30 Nokia Siemens Networks Oy System and method for strong authentication achieved in a single round trip
US20020197979A1 (en) * 2001-05-22 2002-12-26 Vanderveen Michaela Catalina Authentication system for mobile entities
JP2003110543A (ja) * 2001-09-27 2003-04-11 Toshiba Corp 暗号キー設定システム、無線通信装置および暗号キー設定方法
JP4019266B2 (ja) * 2001-10-25 2007-12-12 日本電気株式会社 データ送信方法
US7286671B2 (en) * 2001-11-09 2007-10-23 Ntt Docomo Inc. Secure network access method
US7684798B2 (en) * 2001-11-09 2010-03-23 Nokia Corporation Method of pre-authorizing handovers among access routers in communication networks
JP3870081B2 (ja) * 2001-12-19 2007-01-17 キヤノン株式会社 通信システム及びサーバ装置、ならびに制御方法及びそれを実施するためのコンピュータプログラム、該コンピュータプログラムを格納する記憶媒体
US6947725B2 (en) * 2002-03-04 2005-09-20 Microsoft Corporation Mobile authentication system with reduced authentication delay
JP2003259417A (ja) * 2002-03-06 2003-09-12 Nec Corp 無線lanシステム及びそれに用いるアクセス制御方法
US6931132B2 (en) * 2002-05-10 2005-08-16 Harris Corporation Secure wireless local or metropolitan area network and related methods
US7103359B1 (en) * 2002-05-23 2006-09-05 Nokia Corporation Method and system for access point roaming
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US7373508B1 (en) * 2002-06-04 2008-05-13 Cisco Technology, Inc. Wireless security system and method
KR100888471B1 (ko) * 2002-07-05 2009-03-12 삼성전자주식회사 링크 접속권한을 등급화 한 암호화 키 차등분배방법 및이를 이용한 로밍방법
US20040014422A1 (en) * 2002-07-19 2004-01-22 Nokia Corporation Method and system for handovers using service description data
US7257105B2 (en) * 2002-10-03 2007-08-14 Cisco Technology, Inc. L2 method for a wireless station to locate and associate with a wireless network in communication with a Mobile IP agent
US7440573B2 (en) * 2002-10-08 2008-10-21 Broadcom Corporation Enterprise wireless local area network switching system
KR100480258B1 (ko) * 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
US20040088550A1 (en) * 2002-11-01 2004-05-06 Rolf Maste Network access management
US7792527B2 (en) * 2002-11-08 2010-09-07 Ntt Docomo, Inc. Wireless network handoff key
US7475241B2 (en) * 2002-11-22 2009-01-06 Cisco Technology, Inc. Methods and apparatus for dynamic session key generation and rekeying in mobile IP
US7350077B2 (en) * 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
US7263357B2 (en) * 2003-01-14 2007-08-28 Samsung Electronics Co., Ltd. Method for fast roaming in a wireless network
TWI234978B (en) * 2003-12-19 2005-06-21 Inst Information Industry System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN

Also Published As

Publication number Publication date
US20040236939A1 (en) 2004-11-25
US20090175449A1 (en) 2009-07-09
JP2004297783A (ja) 2004-10-21
US20090175454A1 (en) 2009-07-09
US20090208013A1 (en) 2009-08-20
US20090175448A1 (en) 2009-07-09

Similar Documents

Publication Publication Date Title
JP4575679B2 (ja) 無線ネットワークハンドオフ暗号鍵
JP4299102B2 (ja) 無線ネットワークのハンドオフ暗号鍵
US10425808B2 (en) Managing user access in a communications network
KR100480258B1 (ko) 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
CN101371491B (zh) 提供无线网状网络的方法和装置
CN1836404B (zh) 用于减小越区切换等待时间的方法和系统
US7673146B2 (en) Methods and systems of remote authentication for computer networks
JP3863852B2 (ja) 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体
US7421582B2 (en) Method and apparatus for mutual authentication at handoff in a mobile wireless communication network
US20050254653A1 (en) Pre-authentication of mobile clients by sharing a master key among secured authenticators
JP2006514447A (ja) アクセスネットワーク間の相互接続における推移的認証・許可・課金
JP2008537644A (ja) 無線ネットワークにおけるモバイルユニットの高速ローミングの方法およびシステム
CN111866881A (zh) 无线局域网认证方法与无线局域网连接方法
JP4677784B2 (ja) 集合型宅内ネットワークにおける認証方法及びシステム
KR20040028062A (ko) 공중 무선랜 서비스를 위한 무선랜 접속장치간 로밍서비스 방법
Krishnamurthi et al. Using the liberty alliance architecture to secure IP-level handovers
Morioka et al. MIS protocol for secure connection and fast handover on wireless LAN
HK40030098B (zh) 无线局域网认证方法与无线局域网连接方法
WO2006080079A1 (ja) 無線ネットワークシステムおよびそのユーザ認証方法

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20051130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070220

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100601

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100802

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100817

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100820

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130827

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees