JP2005204086A - 移動無線通信システム、移動無線端末装置、仮想私設網中継装置及び接続認証サーバ - Google Patents

移動無線通信システム、移動無線端末装置、仮想私設網中継装置及び接続認証サーバ Download PDF

Info

Publication number
JP2005204086A
JP2005204086A JP2004008507A JP2004008507A JP2005204086A JP 2005204086 A JP2005204086 A JP 2005204086A JP 2004008507 A JP2004008507 A JP 2004008507A JP 2004008507 A JP2004008507 A JP 2004008507A JP 2005204086 A JP2005204086 A JP 2005204086A
Authority
JP
Japan
Prior art keywords
terminal device
wireless lan
public
private network
mobile
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004008507A
Other languages
English (en)
Other versions
JP3955025B2 (ja
Inventor
Tomohiro Iwama
智大 岩間
Tomoharu Kaneko
友晴 金子
Giichi Ishii
義一 石井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2004008507A priority Critical patent/JP3955025B2/ja
Priority to EP20050703432 priority patent/EP1694013A1/en
Priority to CN2005800020038A priority patent/CN1910877B/zh
Priority to PCT/JP2005/000193 priority patent/WO2005069567A1/ja
Priority to US10/586,343 priority patent/US7941843B2/en
Publication of JP2005204086A publication Critical patent/JP2005204086A/ja
Application granted granted Critical
Publication of JP3955025B2 publication Critical patent/JP3955025B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】 セキュリティの低下を防ぐことができ、ユーザ及び管理者の特別な作業を必要とせず、かつ、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮すること。
【解決手段】 本発明の移動無線通信システム100は、公衆網101を介して私設網102に設置された網中継装置104とIPsecトンネルを確立し移動無線端末装置110との間でIPsecトンネルを確立して移動無線端末装置110の公衆無線LANシステム103から私設網102への接続を中継する仮想私設網中継装置105と、移動無線端末装置110の公衆無線LANシステム103への接続を認証する接続認証サーバ108と、移動無線端末装置110と接続認証サーバ108との間で行われる公衆無線LAN107の接続認証手順を中継する無線LANアクセスポイント109と、を具備する。
【選択図】 図1

Description

本発明は、公衆無線LANシステムなどの公衆網から私設網へアクセスするようなモバイルVPN接続環境において、セキュリティの高い通信路を確立するための移動無線通信システム、移動無線端末装置、仮想私設網中継装置及び接続認証サーバに関する。
公衆網から私設網への接続において、セキュアな通信路を確立するためにIPsec技術がIETFにより標準化されている。IPv6では、このIPsec技術をサポートすることが必須とされている。移動無線端末装置が公衆網と私設網を自由に移動可能なモバイル環境にIPsecを適用し、移動無線端末装置が公衆網から私設網へ接続することを想定する。この場合、移動無線端末装置は移動先の公衆網で使用可能なIPアドレスが移動の度にDHCP(Dynamic Host Configuration Protocol)などにより割り当てられる。即ち、移動無線端末装置の移動先によりIPアドレスが変化することになる。
このため、私設網に設置されたIPsecトンネルの確立先であるセキュリティゲートウェイでは、各移動先でのIPアドレスが既知である必要があるため、移動無線端末装置のIPアドレスを用いたIPsec鍵交換を実施することが困難となるから、メインモードによるIPsecトンネルの確立が事実上不可能となる。従って、アグレッシブモードによるIPsecトンネルの確立が必要となるため、IPsecユーザID(ISAKAMPIDペイロード)がネットワークを暗号化されない状態で流れることになるから、セキュリティの低下を招く。
また、IPsecでは、IPsecトンネルを確立する双方において相互認証を行うための事前共有秘密鍵方式をサポートすることが必須となっている。しかし、一つの事前共有秘密鍵を使用し続けることによるセキュリティの低下が懸念される。そこで、事前共有秘密鍵を定期に変更しセキュリティを保つことが考えられるが、ユーザ及び管理者の双方の負担が大きくなる。
これまで、IPsecの認証に用いる事前共有秘密鍵を動的に配布するためのプロトコルとして、IETF(Internet Engineering Task Force)においてPIC(Pre-IKE Credential Provisioning Protocol)が提案されている(非特許文献1参照)。
PICは、IPsecでも利用されているISAKMP(Internet Security Association and Key Management Protocol)を用いて移動無線端末装置と認証サーバとの間に安全な通信路を確立し、PICにおける認証に必要とされる認証情報を交換して認証を行う。この認証が成功すると、認証サーバはクレデンシャルと呼ばれるその後のIPsecの認証で利用する認証情報(例えば、事前共有秘密鍵及び公開鍵証明書)を移動無線端末装置に発行する。
"PIC, A Pre-IKE Credential Provisioning Protocol"、draft-ietf-ipsra-pic-06.txt、http://www.ietf.org/internet-drafts/draft-ietf-ipsra-pic-06.txt
移動無線端末装置が公衆無線LANシステムなどの公衆網おいて、社内ネットワークなどの私設網に接続する場合に、移動無線端末装置はIPsecを用いて私設網とセキュアな通信路、即ちIPsecトンネルを確立することが考えられる。
しかし、この場合に、移動無線端末装置が公衆網と私設網を自由に移動可能なモバイル環境にIPsecを適用した場合には、移動無線端末装置のIPアドレスが移動の度に変化するため、IPsecメインモードによるIPsec鍵交換が困難である。このため、アグレッシブモードのIPsec鍵交換によるトンネルの確立が余儀なくされ、IPsecユーザIDがネットワークを暗号化されない状態で流れることとなりセキュリティの低下を招くことになるという問題がある。
また、IPsecメインモードの鍵交換によるトンネルを確立するためには、移動無線端末装置の移動先でのIPアドレスが既知である必要がある。しかし、公衆無線LANシステムなどの公衆網においてはDHCPによりIPアドレスが割り当てられることが多いため、移動無線端末装置のIPアドレスを予め知ることは難しい。仮に移動無線端末装置の公衆無線LANシステムにおけるIPアドレスが既知である場合でも、公衆無線LANシステムにおける各IPアドレスに対してセキュリティポリシーを記述しておく必要があるため、セキュリティゲートウェイの性能が劣化し、また、管理者の管理の負担となるという問題がある。
また、IPsecトンネルを確立する際の相互認証方式として、事前共有秘密鍵方式を適用した場合に、一つの事前共有鍵を使用し続けることは、時間と共にセキュリティが低下していくという問題がある。さらに、定期的に事前共有鍵を変更することが考えられるが、この場合には利用者と管理者の双方の負担となるという問題がある。
前記問題を解決するために、IPsecの認証に用いる事前共有秘密鍵を動的に配布するプロトコルとしてPICが提案されている。しかし、PICを利用するためには、既存の装置にPICプロトコル機能を新たに追加する必要があるという問題がある。さらに、IPsecトンネル確立手順にPICを適用した場合に、PICによる移動無線端末装置と接続認証サーバとの間でISAKMP通信路の確立と、移動無線端末装置とセキュリティゲートウェイとの間でのISAKMP通信路の確立という移動無線端末装置にとって2度のISAKMPによる通信路を確立することになるため、手順が冗長であるから、IPsecトンネルの確立に要する時間が長くなるという問題がある。
本発明は、かかる点に鑑みてなされたものであり、セキュリティの低下を防ぐことができ、ユーザ及び管理者の特別な作業を必要とせず、かつ、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる移動無線通信システム、移動無線端末装置、仮想私設網中継装置及び接続認証サーバを提供することを目的とする。
請求項1に記載の移動無線通信システムは、公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する構成を採る。
この構成によれば、移動無線端末装置は仮想私設網中継装置のIPアドレスを取得することができ、かつ、仮想私設網中継装置は移動無線端末装置のIPアドレスを取得することができるため、移動無線端末装置と仮想私設網中継装置とはそれぞれのIPアドレスを用いてIPsecメインモードによる鍵交換を開始することができるから、セキュリティの低下を防ぐことができ、かつ、ユーザ及び管理者の特別な作業を必要としない。また、この構成によれば、移動無線端末装置と接続認証サーバにおいて接続認証手順により確立されたセキュアな通信路を用いてIPアドレスを送信することにより、IPアドレスを配布するためのセキュアな通信路を改めて確立する必要がないため、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる。
請求項2に記載の移動無線端末装置は、公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける移動無線端末装置であって、前記接続認証サーバに対して前記公衆無線LANシステムへの接続認証処理を行う認証処理部と、前記公衆無線LANシステムへの接続が許可された時に前記接続認証サーバから前記仮想私設網中継装置のIPアドレスを取得するアドレス取得部と、前記移動無線端末装置のIPアドレスを前記接続認証サーバに通知するアドレス通知部と、前記仮想私設網中継装置のIPアドレスを用いて前記仮想私設網中継装置とIPsec鍵交換を行うIPsec鍵交換部と、を具備する構成を採る。
この構成によれば、移動無線端末装置は仮想私設網中継装置のIPアドレスを取得することができ、かつ、仮想私設網中継装置は移動無線端末装置のIPアドレスを取得することができるため、移動無線端末装置と仮想私設網中継装置とはそれぞれのIPアドレスを用いてIPsecメインモードによる鍵交換を開始することができるから、セキュリティの低下を防ぐことができ、かつ、ユーザ及び管理者の特別な作業を必要としない。また、この構成によれば、移動無線端末装置と接続認証サーバにおいて接続認証手順により確立されたセキュアな通信路を用いてIPアドレスを送信することにより、IPアドレスを配布するためのセキュアな通信路を改めて確立する必要がないため、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる。
請求項3に記載の移動無線端末装置は、公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける移動無線端末装置であって、前記接続認証サーバに対して前記公衆無線LANシステムへの接続認証処理を行う認証処理部と、前記公衆無線LANシステムへの接続が許可された時に前記接続認証サーバから前記仮想私設網中継装置との間で行うIPsec鍵交換に用いるIPsec事前共有秘密鍵を取得するIPsec共有鍵取得部と、前記IPsec事前共有秘密鍵を用いて前記仮想私設網中継装置とIPsec鍵交換を行うIPsec鍵交換部と、を具備する構成を採る。
この構成によれば、移動無線端末装置と仮想私設網中継装置が同一のIPsec事前共有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線LANシステムへの接続の度にIPsec事前共有秘密鍵を更新することができるため、セキュリティの低下を防ぐことができ、かつ、ユーザ及び管理者の特別な作業を必要としない。また、この構成によれば、移動無線端末装置と接続認証サーバにおいて接続認証手順により確立されたセキュアな通信路を用いてIPsec事前共有秘密鍵を送信することにより、IPsec事前共有秘密鍵を配布するためのセキュアな通信路を改めて確立する必要がないため、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる。
請求項4に記載の移動無線端末装置は、公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージェントと、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける移動無線端末装置であって、前記接続認証サーバに対して前記公衆無線LANシステムへの接続認証処理を行う認証処理部と、前記公衆無線LANシステムへの接続が許可された時に前記接続認証サーバから前記ホームエージェントとの間で行うモバイルIP登録に用いる事前共有秘密鍵を取得するMIP共有鍵取得部と、前記事前共有秘密鍵を用いて前記ホームエージェントへモバイルIP登録を行うMIP登録部と、を具備する構成を採る。
この構成によれば、移動無線端末装置とホームエージェントが同一のMIP事前共有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線LANシステムへの接続の度にMIP事前共有秘密鍵を更新することができるため、セキュリティの低下を防ぐことが可能であり、かつ、ユーザ及び管理者の特別な作業を必要としない。また、移動無線端末装置と接続認証サーバにおいて接続認証手順により確立されたセキュアな通信路を用いてMIP事前共有秘密鍵を送信することにより、MIP事前共有秘密鍵を配布するためのセキュアな通信路を改めて確立する必要がないため、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる。
請求項5に記載の移動無線端末装置は、公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージェントと、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける移動無線端末装置であって、前記接続認証サーバに対して前記公衆無線LANシステムへの接続認証処理を行う認証処理部と、前記公衆無線LANシステムへの接続が許可された時に前記接続認証サーバから前記仮想私設網中継装置のIPアドレスを取得するアドレス取得部と、前記移動無線端末装置のIPアドレスを前記接続認証サーバに通知するアドレス通知部と、前記接続認証サーバから前記仮想私設網中継装置との間で行うIPsec鍵交換に用いるIPsec事前共有秘密鍵を取得するIPsec共有鍵取得部と、前記接続認証サーバから前記ホームエージェントとの間で行うモバイルIP登録に用いるMIP事前共有秘密鍵を取得するMIP共有鍵取得部と、前記仮想私設網中継装置のIPアドレスと前記IPsec事前共有秘密鍵を用いて前記仮想私設網中継装置とIPsec鍵交換を行うIPsec鍵交換部と、前記MIP事前共有秘密鍵を用いて前記ホームエージェントへモバイルIP登録を行うMIP登録部と、を具備する構成を採る。
この構成によれば、移動無線端末装置は仮想私設網中継装置のIPアドレスを取得することができ、かつ、仮想私設網中継装置は移動無線端末装置のIPアドレスを取得することができるため、それぞれのIPアドレスを用いてIPsecメインモードによる鍵交換を開始することができ、かつ、移動無線端末装置と仮想私設網中継装置とは同一のIPsec事前共有秘密鍵を取得することが可能であるため移動無線端末装置の公衆無線LANシステムへの接続の度にIPsec事前共有秘密鍵を更新することができる。さらに、この構成によれば、移動無線端末装置とホームエージェントとは同一のMIP事前共有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線LANシステムへの接続の度にMIP事前共有秘密鍵を更新することができる。これにより、セキュリティの低下を防ぐことが可能であり、かつ、ユーザ及び管理者の特別な作業を必要としない。
さらに、この構成によれば、移動無線端末装置と接続認証サーバにおいて接続認証手順により確立されたセキュアな通信路を用いてIPアドレスとIPsec事前共有秘密鍵とMIP事前共有秘密鍵を送信することにより、これらを配布するためのセキュアな通信路を改めて確立する必要がないため、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる。
請求項6に記載の仮想私設網中継装置は、公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける仮想私設網中継装置であって、前記接続認証サーバから前記移動無線端末装置のIPアドレスを受信するアドレス取得部と、前記移動無線端末装置のIPアドレスを用いて前記移動無線端末装置とIPsec鍵交換を行うIPsec鍵交換部と、を具備する構成を採る。
この構成によれば、仮想私設網中継装置は移動無線端末装置のIPアドレスを取得することができるため、そのIPアドレスを用いてIPsecメインモードによる鍵交換を開始することができるから、セキュリティの低下を防ぐことが可能であり、ユーザ及び管理者の特別な作業を必要とせず、かつ、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる。
請求項7に記載の仮想私設網中継装置は、公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける仮想私設網中継装置であって、前記接続認証サーバから前記移動無線端末装置との間で行うIPsec鍵交換に用いる事前共有秘密鍵を受信するIPsec共有鍵取得部と、前記事前共有秘密鍵を用いて前記移動無線端末装置とIPsec鍵交換を行うIPsec鍵交換部と、を具備する構成を採る。
この構成によれば、移動無線端末装置と仮想私設網中継装置とは同一のIPsec事前共有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線LANシステムへの接続の度にIPsec事前共有秘密鍵を更新することができるため、セキュリティの低下を防ぐことが可能であり、ユーザ及び管理者の特別な作業を必要とせず、かつ、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる。
請求項8に記載の仮想私設網中継装置は、公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける仮想私設網中継装置であって、前記接続認証サーバから前記移動無線端末装置のIPアドレスを受信するアドレス取得部と、前記接続認証サーバから前記移動無線端末装置との間で行うIPsec鍵交換に用いる事前共有秘密鍵を受信するIPsec共有鍵取得部と、前記移動無線端末装置のIPアドレスと前記事前共有秘密鍵を用いて前記移動無線端末装置とIPsec鍵交換を行うIPsec鍵交換部と、を具備する構成を採る。
この構成によれば、仮想私設網中継装置は移動無線端末装置のIPアドレスを取得することができるため、そのIPアドレスを用いてIPsecメインモードによる鍵交換を開始することができる。また、この構成によれば、移動無線端末装置と仮想私設網中継装置とは同一のIPsec事前共有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線LANシステムへの接続の度にIPsec事前共有秘密鍵を更新することができる。これにより、セキュリティの低下を防ぐことが可能であり、ユーザ及び管理者の特別な作業を必要とせず、かつ、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる。
請求項9に記載の接続認証サーバは、公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける接続認証サーバであって、前記移動無線端末装置の前記公衆無線LANシステムへの接続認証を行う認証処理部と、前記移動無線端末装置の前記公衆無線LANシステムへの接続を許可する時に前記移動無線端末装置のIPアドレスを前記移動無線端末装置から受信するアドレス取得部と、前記仮想私設網中継装置のIPアドレスを前記移動無線端末装置に通知し、かつ、前記移動無線端末装置のIPアドレスを前記仮想私設網中継装置に通知するアドレス通知部と、を具備する構成を採る。
この構成によれば、移動無線端末装置は仮想私設網中継装置のIPアドレスを取得することができ、かつ、仮想私設網中継装置は移動無線端末装置のIPアドレスを取得することができるため、移動無線端末装置と仮想私設網中継装置とはそれぞれのIPアドレスを用いてIPsecメインモードによる鍵交換を開始することができるから、セキュリティの低下を防ぐことが可能であり、かつ、ユーザ及び管理者の特別な作業を必要としない。また、この構成によれば、移動無線端末装置と接続認証サーバにおいて接続認証手順により確立されたセキュアな通信路を用いてIPアドレスを送信することにより、IPアドレスを配布するためのセキュアな通信路を改めて確立する必要がないため、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる。
請求項10に記載の接続認証サーバは、公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける接続認証サーバであって、前記移動無線端末装置の前記公衆無線LANシステムへの接続認証を行う認証処理部と、前記移動無線端末装置の公衆無線LANシステムへの接続を許可する時に前記移動無線端末装置と前記仮想私設網中継装置との間で行うIPsec鍵交換に用いる事前共有秘密鍵を前記移動無線端末装置と前記仮想私設網中継装置にそれぞれ配布するIPsec共有鍵配布部と、を具備する構成を採る。
この構成によれば、移動無線端末装置と仮想私設網中継装置とは同一のIPsec事前共有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線LANシステムへの接続の度にIPsec事前共有秘密鍵を更新することができるため、セキュリティの低下を防ぐことが可能であり、かつ、ユーザ及び管理者の特別な作業を必要としない。また、この構成によれば、移動無線端末装置と接続認証サーバにおいて接続認証手順により確立されたセキュアな通信路を用いてIPsec事前共有秘密鍵を送信することにより、IPsec事前共有秘密鍵を配布するためのセキュアな通信路を改めて確立する必要がないため、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる。
請求項11に記載の接続認証サーバは、公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージェントと、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける接続認証サーバであって、前記移動無線端末装置の前記公衆無線LANシステムへの接続認証を行う認証処理部と、前記移動無線端末装置の公衆無線LANシステムへの接続を許可する時に前記移動無線端末装置と前記ホームエージェントとの間で行うモバイルIP登録に用いる事前共有秘密鍵を前記移動無線端末装置と前記ホームエージェントにそれぞれ配布するMIP共有鍵配布部と、を具備する構成を採る。
この構成によれば、移動無線端末装置とホームエージェントとは同一のMIP事前共有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線LANシステムへの接続の度にMIP事前共有秘密鍵を更新することができるため、セキュリティの低下を防ぐことが可能であり、かつ、ユーザ及び管理者の特別な作業を必要としない。また、この構成によれば、移動無線端末装置と接続認証サーバにおいて接続認証手順により確立されたセキュアな通信路を用いてMIP事前共有秘密鍵を送信することにより、MIP事前共有秘密鍵を配布するためのセキュアな通信路を改めて確立する必要がないため、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる。
請求項12に記載の接続認証サーバは、公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージェントと、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける接続認証サーバであって、前記移動無線端末装置の前記公衆無線LANシステムへの接続認証を行う認証処理部と、前記移動無線端末装置の公衆無線LANシステムへの接続を許可する時に前記移動無線端末装置のIPアドレスを前記移動無線端末装置から受信するアドレス取得部と、前記仮想私設網中継装置のIPアドレスを前記移動無線端末装置に通知し、かつ、前記移動無線端末装置のIPアドレスを前記仮想私設網中継装置に通知するアドレス通知部と、前記移動無線端末装置と前記仮想私設網中継装置との間で行うIPsec鍵交換に用いるIPsec事前共有秘密鍵を前記移動無線端末装置と前記仮想私設網中継装置にそれぞれ配布するIPsec共有鍵配布部と、前記移動無線端末装置と前記ホームエージェントとの間で行うモバイルIP登録に用いるMIP事前共有秘密鍵を前記移動無線端末装置と前記ホームエージェントにそれぞれ配布するMIP共有鍵配布部と、を具備する構成を採る。
この構成によれば、移動無線端末装置は仮想私設網中継装置のIPアドレスを取得することができ、かつ、仮想私設網中継装置は移動無線端末装置のIPアドレスを取得することができるため、移動無線端末装置と仮想私設網中継装置とはそれぞれのIPアドレスを用いてIPsecメインモードによるトンネル確立を開始することができる。また、この構成によれば、移動無線端末装置と仮想私設網中継装置とは同一のIPsec事前共有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線LANシステムへの接続の度にIPsec事前共有秘密鍵を更新することができる。さらに、この構成によれば、移動無線端末装置とホームエージェントが同一のMIP事前共有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線LANシステムへの接続の度にMIP事前共有秘密鍵を更新することができる。これにより、セキュリティの低下を防ぐことが可能であり、かつ、ユーザ及び管理者の特別な作業を必要としない。
またさらに、この構成によれば、移動無線端末装置と接続認証サーバにおいて接続認証手順により確立されたセキュアな通信路を用いてIPアドレスとIPsec事前共有秘密鍵とMIP事前共有秘密鍵を送信することにより、これらを配布するためのセキュアな通信路を改めて確立する必要がないため、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる。
請求項13に記載の無線LANアクセスポイントは、公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージェントと、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける無線LANアクセスポイントであって、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順において確立した安全な通信路を用いて、前記接続認証サーバから送信されるIPアドレスとIPsec事前共有鍵、Mobile IP事前共有鍵を前記移動無線端末装置に送信し、かつ、前記移動無線端末装置から送信されるIPアドレスを前記接続認証サーバへ送信する認証中継部と、を具備する構成を採る。
この構成によれば、移動無線端末装置が仮想私設網中継装置のIPアドレスを取得することができ、かつ、仮想私設網中継装置は移動無線端末装置のIPアドレスを取得することができるため、移動無線端末装置と仮想私設網中継装置とはそれぞれのIPアドレスを用いてIPsecメインモードによる鍵交換を開始することができる。また、この構成によれば、移動無線端末装置と仮想私設網中継装置とは同一のIPsec事前共有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線LANシステムへの接続の度にIPsec事前共有秘密鍵を更新することができる。これにより、セキュリティの低下を防ぐことが可能であり、かつ、ユーザ及び管理者の特別な作業を必要としない。
さらに、この構成によれば、移動無線端末装置と接続認証サーバにおいて接続認証手順により確立されたセキュアな通信路を用いてIPアドレスとIPsec事前共有秘密鍵とMIP事前共有秘密鍵を送信することにより、これらを配布するためのセキュアな通信路を改めて確立する必要がないため、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる。
請求項14に記載のホームエージェントは、公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージェントと、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおけるホームエージェントであって、前記接続認証サーバから前記移動無線端末装置のモバイルIP登録に用いる事前共有秘密鍵を受信するMIP共有鍵取得部と、前記事前共有秘密鍵を用いて前記移動無線端末装置からのモバイルIP登録を処理するMIP処理部と、を具備する構成を採る。
この構成によれば、ホームエージェントはMIP事前共有秘密鍵を取得することが可能であり、かつ、移動無線端末装置の公衆無線LANシステムへの接続の度にMIP事前共有秘密鍵を更新することができるため、セキュリティの低下を防ぐことが可能であり、ユーザ及び管理者の特別な作業を必要とせず、かつ、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる。
以上説明したように、本発明によれば、セキュリティの低下を防ぐことが可能であり、ユーザ及び管理者の特別な作業を必要とせず、かつ、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる。
本発明の骨子は、移動無線端末装置が公衆無線LANシステムから公衆網を介して私設網に接続する時に移動無線端末装置と接続認証サーバとの間で行う接続認証手順において確立した暗号化通信路を用いて、移動無線端末装置と仮想私設網中継装置のIPアドレスを互いに通知する。
以下、本発明の実施の形態について図面を参照して詳細に説明する。
(一実施の形態)
図1に示すように、本発明の一実施の形態に係る移動無線通信システム100は、公衆網101、私設網102、公衆無線LANシステム103、網中継装置104、仮想私設網中継装置105及びホームエージェント106を具備している。公衆無線LANシステム103は、公衆無線LAN107、接続認証サーバ108、無線LANアクセスポイント109及び複数の移動無線端末装置110(1つのみが図示されている)を具備している。
仮想私設網中継装置105は、私設網102に設置された網中継装置104と公衆網101を介してIPsecトンネルを静的に確立しており、仮想私設網中継装置105と私設網102との間のセキュアな通信を実現している。また、仮想私設網中継装置105は、公衆無線LANシステム103に存在する移動無線端末装置110との間でIPsecトンネルを確立し、移動無線端末装置110の公衆無線LANシステム103から私設網102への接続を中継する。なお、仮想私設網中継装置105と移動無線端末装置110とのIPsecトンネルは、移動無線端末装置110の公衆無線LANシステム103への接続の度に動的に確立し、また、移動無線端末装置110からの私設網102への接続要求の度に動的に確立する。
接続認証サーバ108は、移動無線端末装置110の公衆無線LAN107への接続認証を行う。この時に、無線LANアクセスポイント109は、移動無線端末装置110と接続認証サーバ108との間で行われる接続認証手順を中継する役割を果たす。
図2は、本発明の一実施の形態に係る移動無線端末装置110の構成を示すブロック図である。図3は、本発明の一実施の形態に係る仮想私設網中継装置105の構成を示すブロック図である。図4は、本発明の一実施の形態に係る接続認証サーバ108の構成を示すブロック図である。図5は、本発明の一実施の形態に係る無線LANアクセスポイント109の構成を示すブロック図である。図6は、本発明の一実施の形態に係るホームエージェント106の構成を示すブロック図である。
図2に示すように、移動無線端末装置110は、認証処理部201、アドレス通知部202、アドレス取得部203、IPsec共有鍵取得部204、IPsec鍵交換部205、MIP共有鍵取得部206及びMIP登録部207を具備している。なお、移動無線端末装置110は、移動無線通信を行う装置(図示せず)を具備している。
図3に示すように、仮想私設網中継装置105は、アドレス取得部301、IPsec共有鍵取得部302及びIPsec鍵交換部303を具備している。図4に示すように、接続認証サーバ108は、認証処理部401、アドレス通知部402、アドレス取得部403、IPsec共有鍵配布部404及びMIP共有鍵配布部405を具備している。図5に示すように、無線LANアクセスポイント109は、認証中継部501を具備している。図6に示すように、ホームエージェント106は、MIP共有鍵取得部601及びMIP処理部602を具備している。
次に、公衆無線LANシステム103に存在する移動無線端末装置110が私設網102に接続する場合の手順を例にとって説明する。
移動無線端末装置110が公衆無線LANシステム103の通信範囲内に存在する時に、移動無線端末装置110の認証処理部201は、公衆無線LANシステム103に接続するために、無線LANアクセスポイント109の認証中継部501を介して接続認証サーバ108の認証処理部401へ接続要求を送信する。公衆無線LANシステム103へ接続するためのプロトコルとして、IEEE (the Institute of Electrical and Electronics Engineers)で規定されている802.1xなどが挙げられる。
以下、説明の簡単のため、802.1xを用いた場合の手順を説明する。802.1xの枠組みでは、移動無線端末装置110と無線LANアクセスポイント109との間では、EAP (Extensible Authentication Protocol)プロトコルが適用される。また、無線LANアクセスポイント109と接続認証サーバ108との間では、RADIUS (Remote Authentication Dial In User Service)プロトコルなどが適用される。無線LANアクセスポイント109は、前記両者のプロトコルを中継するブリッジ機能を有する。
接続認証サーバ108の認証処理部401は、最初に、移動無線端末装置110の認証処理部201から送信されてくる接続要求の認証を行う。この認証は、EAP−MD5、EAP−TLS、EAP−LEAP又はPEAPといった種々の認証方式より行われる。ここでは説明の簡単のため、EAP−TLSを適用した場合の手順を説明する。EAP−TLSでは、移動無線端末装置110と接続認証サーバ108との間で電子証明書を交換することにより、相互の認証を行う。
また、同時に、移動無線端末装置110と接続認証サーバ108は、乱数を交換して擬似乱数関数などによる演算処理を行うことにより、相互に共通のマスターシークレットを保持する。移動無線端末装置110と接続認証サーバ108は、前記マスターシークレットからPMK (Pairwise Master Key)を生成する。そして、接続認証サーバ108において移動無線端末装置110の認証が成功した場合、移動無線端末装置110と接続認証サーバ108は前記マスターシークレットを用いて、接続認証サーバ108と移動無線端末装置110との間の通信路を暗号化する。
この時、無線LANアクセスポイント109の認証中継部501は前記通信路を中継する役割を果たすため、移動無線端末装置110と接続認証サーバ108の秘匿通信が可能となる。即ち、移動無線端末装置110の認証処理部201と無線LANアクセスポイント109の認証中継部501と接続認証サーバ108の認証処理部401との間でセキュアな通信路が確立されたことになる。以後、特別な断りがない限り、移動無線端末装置110と無線LANアクセスポイント109と接続認証サーバ108との通信は、このセキュアな通信路を用いて行う。
そして、接続認証サーバ108は、この暗号化されたセキュアな通信路を用いて無線LANアクセスポイント109にPMKを送信する。これにより、移動無線端末装置110と無線LANアクセスポイント109は、共有するPMKからWEPキーを生成し、公衆無線LANシステム103における無線通信区間通信路をWEPキーにより暗号化する。(図7のステップST1)。
次に、移動無線端末装置110と接続認証サーバ108との間で共有するマスターシークレットにより暗号化された通信路を用いて、移動無線端末装置110と仮想私設網中継装置105のIPアドレスを交換する。接続認証サーバ108のアドレス通知部402は、無線LANアクセスポイント109の認証中継部501を中継して移動無線端末装置110のアドレス取得部203へ仮想私設網中継装置105のIPアドレスを送信する(図7のステップST2)。
なお、接続認証サーバ108は仮想私設網中継装置105のIPアドレスを予め保持しておくことなどが考えられる。仮想私設網中継装置105のIPアドレスを受信した移動無線端末装置110のアドレス取得部203は、アドレス通知部202へ信号を送る。そして、その信号を受信したアドレス通知部202は、自身に割り当てられたIPアドレスを無線LANアクセスポイント109の認証中継部501を介して接続認証サーバ108のアドレス取得部403へ送信する(図7のステップST3)。
また、接続認証サーバ108と移動無線端末装置110とがIPアドレスを送受信するために、EAPプロトコルとEAPOLプロトコルは拡張される。接続認証サーバ108の認証処理部401と無線LANアクセスポイント109の認証中継部501とがIPアドレスを送受信するために、EAPプロトコルのメッセージタイプにEAP−IPADDRが新たに定義される。そして、接続認証サーバ108の認証処理部401は、無線LANアクセスポイント109の認証中継部501へRADIUSプロトコルのvendor specificフィールドの属性値としてIPアドレスを送信する。
一方、移動無線端末装置110の認証処理部201と無線LANアクセスポイント109の認証中継部501とがIPアドレスを送受信するために、図8に示すEAPOLプロトコルのパケットタイプにEAPOL−IPADDRが新たに定義され、属性値としてIPアドレスを通知するためのaddrフォーマット(図9)は追加される。このEAPOL−IPADDRメッセージの受信は、移動無線端末装置110にとっては仮想私設網中継装置105のIPアドレスの受信を示し、無線LANアクセスポイント109にとっては移動無線端末装置110のIPアドレスの受信をそれぞれ示す。
そして、接続認証サーバ108のアドレス通知部402は、移動無線端末装置110のIPアドレスを仮想私設網中継装置105のアドレス取得部301へ送信する(図7のステップST4)。
以上の手順により、移動無線端末装置110と仮想私設網中継装置105は相互のIPアドレスを取得することができる。そして、移動無線端末装置110のIPsec鍵交換部205と仮想私設網中継装置105のIPsec鍵交換部303は、取得したIPアドレスを用いて、IPsecメインモードによる鍵交換を開始することができる。
さらに、接続認証サーバ108は、移動無線端末装置110と接続認証サーバ108との間で共有するマスターシークレットにより暗号化された通信路を用いて、移動無線端末装置110と仮想私設網中継装置105との間で行われるIPsecトンネル確立時に用いるIPsec事前共有秘密鍵を、移動無線端末装置110と仮想私設網中継装置105とに配布する。接続認証サーバ108の認証中継部401は、無線LANアクセスポイント109の認証中継部501にIPsec事前共有秘密鍵を送信する。このIPsec事前共有秘密鍵を受信した無線LANアクセスポイント109の認証中継部501は、IPsec事前共有秘密鍵をそのまま移動無線端末装置110の認証処理部201へ送信する(図7のステップST4)。
なお、接続認証サーバ108の認証処理部401から移動無線端末装置110の認証処理部201へIPsec事前共有秘密鍵を送信するために、EAPプロトコルとEAPOLプロトコルは拡張される。接続認証サーバ108の認証処理部401が無線LANアクセスポイント109の認証中継部501へIPsec事前共有秘密鍵を送信するために、EAPプロトコルのメッセージタイプにEAP-IPSECKEYを新たに定義する。そして、RADIUSプロトコルのvendor specificフィールドの属性値としてIPsec事前共有秘密鍵を送信する。一方、無線LANアクセスポイント109の認証中継部501から移動無線端末装置110の認証処理部201へIPsec事前共有秘密鍵を送信するためにEAPOLプロトコルの鍵配布メッセージを用いる。この時、key descriptionフォーマットのdescriptor typeをIPsecとして、keyフィールドを用いてIPsec事前共有秘密鍵を通知する。
そして、接続認証サーバ108のIPsec共有鍵配布部404は、移動無線端末装置110に送信したIPsec事前共有秘密鍵と同一のIPsec事前共有秘密鍵を仮想私設網中継装置105のIPsec共有鍵取得部302へ送信する。
なお、接続認証サーバ108から仮想私設網中継装置105への通信路は、IPsecトンネルを静的に確立し、IPsec事前共有秘密鍵が盗聴されないセキュアな通信路を実現する。さらに、接続認証サーバ108で保持するIPsec事前共有秘密鍵は、接続認証サーバ108が動的に生成することも可能であるし、また、別の鍵生成サーバなどから受信することなどが可能である。
以上の手順により、移動無線端末装置110と仮想私設網中継装置105とは同一のIPsec事前共有秘密鍵を共有する。移動無線端末装置110のIPsec鍵交換部205と仮想私設網中継装置105のIPsec鍵交換部303は、共有したIPsec事前共有秘密鍵を用いて、IPsecメインモードによる鍵交換を開始する。仮想私設網中継装置105のIPsec鍵交換部303は、移動無線端末装置110のIPsec鍵交換部205からの認証要求に記載のIPsec事前共有秘密鍵とIPアドレスとユーザIDが仮想私設網中継装置105で保持するIPsec事前共有秘密鍵とIPアドレスとユーザIDと一致する場合に、移動無線端末装置110の認証を許可してIPsecトンネルを確立する。
また、接続認証サーバ108は、移動無線端末装置110と接続認証サーバ108との間で共有するマスターシークレットにより暗号化された通信路を用いて、移動無線端末装置110がホームエージェント106への登録に用いるMIP事前共有秘密鍵を移動無線端末装置110へ送信する。接続認証サーバ108の認証処理部401は、MIP事前共有秘密鍵を無線LANアクセスポイント109の認証中継部501に送信する。このMIP事前共有秘密鍵を受信した無線LANアクセスポイント109の認証中継部501は、MIP事前共有秘密鍵を移動無線端末装置110の認証処理部201へ送信する。
なお、接続認証サーバ108の認証処理部401が移動無線端末装置110の認証処理部201へMIP事前共有秘密鍵を送信するために、EAPプロトコルとEAPOLプロトコルは拡張される。接続認証サーバ108の認証処理部401が無線LANアクセスポイント109の認証中継部501へMIP事前共有秘密鍵を送信するために、EAPプロトコルのメッセージタイプにEAP−MIPKEYは新たに定義される。そして、続認証サーバ108の認証処理部401は、無線LANアクセスポイント109の認証中継部501へRADIUSプロトコルのvendor specificフィールドの属性値としてMIP事前共有秘密鍵を送信する。
一方、無線LANアクセスポイント109の認証中継部501が移動無線端末装置110の認証処理部201へMIP事前共有秘密鍵を送信するためにEAPOLプロトコルの鍵配布メッセージが用いられる。この時、key descriptionフォーマットのdescriptor typeをMIPとして、keyフィールドを用いてMIP事前共有秘密鍵が通知される。
そして、接続認証サーバ108のMIP共有鍵配布部405は、移動無線端末装置110に送信したMIP事前共有秘密鍵と同一のMIP事前共有秘密鍵と移動無線端末装置110のIPアドレスをホームエージェント106のMIP共有鍵取得部601へ送信する(図7のステップST5)。
なお、接続認証サーバ108からホームエージェント106への通信路は、IPsecトンネルを静的に確立し、MIP事前共有秘密鍵が盗聴されないセキュアな通信路を実現する。さらに、接続認証サーバ108で保持するMIP事前共有秘密鍵は、接続認証サーバ108が動的に生成することも可能であるし、また、別の鍵生成サーバなどから受信することなどが可能である。
以上の手順により、移動無線端末装置110とホームエージェント106は、同一のMIP事前共有秘密鍵を共有する。移動無線端末装置110のMIP登録部207は、MIP事前共有鍵を用いてホームエージェント106のMIP処理部602に対してモバイルIP登録(Binding Update)を行う。ホームエージェント106のMIP処理部602は、移動無線端末装置110のMIP登録部207からのモバイルIP登録メッセージの認証フィールドに記載のMIP事前共有秘密鍵とSPIがホームエージェント106で保持するMIP事前共有秘密鍵とSPIと一致する場合に、移動無線端末装置110のモバイルIP登録の認証を許可する。なお、既に移動無線端末装置110と仮想私設網中継装置105との間にはIPsecトンネルが確立されているため、移動無線端末装置110とホームエージェント106との通信路はセキュアである。
このように、本発明の一実施の形態によれば、移動無線端末装置110が公衆無線LANシステム103などの公衆網から私設網へ接続するようなモバイルVPN接続環境において、IPsecメインモードによるIPsecトンネルを確立することが可能となる。また、本発明の一実施の形態によれば、移動無線端末装置110の公衆無線LANシステム103へのアクセスの度にIPsec事前共有鍵とMIP事前共有鍵を動的に更新することができる。したがって、本発明の一実施の形態によれば、セキュリティの低下を防ぐことができ、ユーザ及び管理者の特別な作業を必要とせず、かつ、モバイルVPN接続環境におけるIPsecトンネルの確立に要する時間を短縮することができる。
本発明は、移動無線端末装置が公衆無線LANシステムから公衆網を介して私設網へアクセスするモバイルVPN環境を提供する移動無線通信システムとして好適である。
本発明の一実施の形態に係る移動無線通信システムの構成を示す図 本発明の一実施の形態に係る移動無線端末装置の構成を示すブロック図 本発明の一実施の形態に係る仮想私設網中継装置の構成を示すブロック図 本発明の一実施の形態に係る接続認証サーバの構成を示すブロック図 本発明の一実施の形態に係る無線アクセスポイントの構成を示すブロック図 本発明の一実施の形態に係るホームエージェントの構成を示すブロック図 本発明の一実施の形態に係る移動無線通信システムを説明するためのシーケンス図 本発明の一実施の形態に係る移動無線通信システムに用いられるEAPOLメッセージフォーマットを説明するための図 本発明の一実施の形態に係る移動無線通信システムに用いられるaddrメッセージフォーマットを説明するための図
符号の説明
100 移動無線通信システム
101 公衆網
102 私設網
103 公衆無線LANシステム
104 網中継装置
105 仮想私設網中継装置
106 ホームエージェント
107 公衆無線LAN
108 接続認証サーバ
109 無線LANアクセスポイント
110 移動無線端末装置
201 認証処理部
202 アドレス通知部
203 アドレス取得部
204 IPsec共有鍵取得部
205 IPsec鍵交換部
206 MIP共有鍵取得部
207 MIP登録部
301 アドレス取得部
302 IPsec共有鍵取得部
303 IPsec鍵交換部
401 認証処理部
402 アドレス通知部
403 アドレス取得部
404 IPsec共有鍵配布部
405 MIP共有鍵配布部
501 認証中継部
601 MIP共有鍵取得部
602 MIP処理部

Claims (14)

  1. 公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システム。
  2. 公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける移動無線端末装置であって、
    前記接続認証サーバに対して前記公衆無線LANシステムへの接続認証処理を行う認証処理部と、前記公衆無線LANシステムへの接続が許可された時に前記接続認証サーバから前記仮想私設網中継装置のIPアドレスを取得するアドレス取得部と、前記移動無線端末装置のIPアドレスを前記接続認証サーバに通知するアドレス通知部と、前記仮想私設網中継装置のIPアドレスを用いて前記仮想私設網中継装置とIPsec鍵交換を行うIPsec鍵交換部と、を具備する移動無線端末装置。
  3. 公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける移動無線端末装置であって、
    前記接続認証サーバに対して前記公衆無線LANシステムへの接続認証処理を行う認証処理部と、前記公衆無線LANシステムへの接続が許可された時に前記接続認証サーバから前記仮想私設網中継装置との間で行うIPsec鍵交換に用いるIPsec事前共有秘密鍵を取得するIPsec共有鍵取得部と、前記IPsec事前共有秘密鍵を用いて前記仮想私設網中継装置とIPsec鍵交換を行うIPsec鍵交換部と、を具備する移動無線端末装置。
  4. 公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージェントと、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける移動無線端末装置であって、
    前記接続認証サーバに対して前記公衆無線LANシステムへの接続認証処理を行う認証処理部と、前記公衆無線LANシステムへの接続が許可された時に前記接続認証サーバから前記ホームエージェントとの間で行うモバイルIP登録に用いる事前共有秘密鍵を取得するMIP共有鍵取得部と、前記事前共有秘密鍵を用いて前記ホームエージェントへモバイルIP登録を行うMIP登録部と、を具備する移動無線端末装置。
  5. 公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージェントと、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける移動無線端末装置であって、
    前記接続認証サーバに対して前記公衆無線LANシステムへの接続認証処理を行う認証処理部と、前記公衆無線LANシステムへの接続が許可された時に前記接続認証サーバから前記仮想私設網中継装置のIPアドレスを取得するアドレス取得部と、前記移動無線端末装置のIPアドレスを前記接続認証サーバに通知するアドレス通知部と、前記接続認証サーバから前記仮想私設網中継装置との間で行うIPsec鍵交換に用いるIPsec事前共有秘密鍵を取得するIPsec共有鍵取得部と、前記接続認証サーバから前記ホームエージェントとの間で行うモバイルIP登録に用いるMIP事前共有秘密鍵を取得するMIP共有鍵取得部と、前記仮想私設網中継装置のIPアドレスと前記IPsec事前共有秘密鍵を用いて前記仮想私設網中継装置とIPsec鍵交換を行うIPsec鍵交換部と、前記MIP事前共有秘密鍵を用いて前記ホームエージェントへモバイルIP登録を行うMIP登録部と、を具備する移動無線端末装置。
  6. 公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける仮想私設網中継装置であって、
    前記接続認証サーバから前記移動無線端末装置のIPアドレスを受信するアドレス取得部と、前記移動無線端末装置のIPアドレスを用いて前記移動無線端末装置とIPsec鍵交換を行うIPsec鍵交換部と、を具備する仮想私設網中継装置。
  7. 公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける仮想私設網中継装置であって、
    前記接続認証サーバから前記移動無線端末装置との間で行うIPsec鍵交換に用いる事前共有秘密鍵を受信するIPsec共有鍵取得部と、前記事前共有秘密鍵を用いて前記移動無線端末装置とIPsec鍵交換を行うIPsec鍵交換部と、を具備する仮想私設網中継装置。
  8. 公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける仮想私設網中継装置であって、
    前記接続認証サーバから前記移動無線端末装置のIPアドレスを受信するアドレス取得部と、前記接続認証サーバから前記移動無線端末装置との間で行うIPsec鍵交換に用いる事前共有秘密鍵を受信するIPsec共有鍵取得部と、前記移動無線端末装置のIPアドレスと前記事前共有秘密鍵を用いて前記移動無線端末装置とIPsec鍵交換を行うIPsec鍵交換部と、を具備する仮想私設網中継装置。
  9. 公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける接続認証サーバであって、
    前記移動無線端末装置の前記公衆無線LANシステムへの接続認証を行う認証処理部と、前記移動無線端末装置の前記公衆無線LANシステムへの接続を許可する時に前記移動無線端末装置のIPアドレスを前記移動無線端末装置から受信するアドレス取得部と、前記仮想私設網中継装置のIPアドレスを前記移動無線端末装置に通知し、かつ、前記移動無線端末装置のIPアドレスを前記仮想私設網中継装置に通知するアドレス通知部と、を具備する接続認証サーバ。
  10. 公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける接続認証サーバであって、
    前記移動無線端末装置の前記公衆無線LANシステムへの接続認証を行う認証処理部と、前記移動無線端末装置の公衆無線LANシステムへの接続を許可する時に前記移動無線端末装置と前記仮想私設網中継装置との間で行うIPsec鍵交換に用いる事前共有秘密鍵を前記移動無線端末装置と前記仮想私設網中継装置にそれぞれ配布するIPsec共有鍵配布部と、を具備する接続認証サーバ。
  11. 公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージェントと、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける接続認証サーバであって、
    前記移動無線端末装置の前記公衆無線LANシステムへの接続認証を行う認証処理部と、前記移動無線端末装置の公衆無線LANシステムへの接続を許可する時に前記移動無線端末装置と前記ホームエージェントとの間で行うモバイルIP登録に用いる事前共有秘密鍵を前記移動無線端末装置と前記ホームエージェントにそれぞれ配布するMIP共有鍵配布部と、を具備する接続認証サーバ。
  12. 公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージェントと、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける接続認証サーバであって、
    前記移動無線端末装置の前記公衆無線LANシステムへの接続認証を行う認証処理部と、前記移動無線端末装置の公衆無線LANシステムへの接続を許可する時に前記移動無線端末装置のIPアドレスを前記移動無線端末装置から受信するアドレス取得部と、前記仮想私設網中継装置のIPアドレスを前記移動無線端末装置に通知し、かつ、前記移動無線端末装置のIPアドレスを前記仮想私設網中継装置に通知するアドレス通知部と、前記移動無線端末装置と前記仮想私設網中継装置との間で行うIPsec鍵交換に用いるIPsec事前共有秘密鍵を前記移動無線端末装置と前記仮想私設網中継装置にそれぞれ配布するIPsec共有鍵配布部と、前記移動無線端末装置と前記ホームエージェントとの間で行うモバイルIP登録に用いるMIP事前共有秘密鍵を前記移動無線端末装置と前記ホームエージェントにそれぞれ配布するMIP共有鍵配布部と、を具備する接続認証サーバ。
  13. 公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージェントと、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおける無線LANアクセスポイントであって、
    前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順において確立した安全な通信路を用いて、前記接続認証サーバから送信されるIPアドレスとIPsec事前共有鍵、Mobile IP事前共有鍵を前記移動無線端末装置に送信し、かつ、前記移動無線端末装置から送信されるIPアドレスを前記接続認証サーバへ送信する認証中継部と、を具備する無線LANアクセスポイント。
  14. 公衆網と私設網と公衆無線LANシステムとを具備し、前記公衆網を介して前記私設網に設置された網中継装置とIPsecトンネルを確立し移動無線端末装置との間でIPsecトンネルを確立して前記移動無線端末装置の前記公衆無線LANシステムから前記私設網への接続を中継する仮想私設網中継装置と、前記移動無線端末装置の移動制御を行うホームエージェントと、前記公衆無線LANシステムに設置され前記移動無線端末装置の前記公衆無線LANシステムへの接続を認証する接続認証サーバと、前記移動無線端末装置と前記接続認証サーバとの間で行われる公衆無線LANの接続認証手順を中継する無線LANアクセスポイントと、を具備する移動無線通信システムにおけるホームエージェントであって、
    前記接続認証サーバから前記移動無線端末装置のモバイルIP登録に用いる事前共有秘密鍵を受信するMIP共有鍵取得部と、前記事前共有秘密鍵を用いて前記移動無線端末装置からのモバイルIP登録を処理するMIP処理部と、を具備するホームエージェント。
JP2004008507A 2004-01-15 2004-01-15 移動無線端末装置、仮想私設網中継装置及び接続認証サーバ Expired - Fee Related JP3955025B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2004008507A JP3955025B2 (ja) 2004-01-15 2004-01-15 移動無線端末装置、仮想私設網中継装置及び接続認証サーバ
EP20050703432 EP1694013A1 (en) 2004-01-15 2005-01-11 Mobile radio communication system, mobile radio terminal device, virtual private network relay device, and connection authentication server
CN2005800020038A CN1910877B (zh) 2004-01-15 2005-01-11 移动无线终端装置、虚拟专用网中继装置、无线局域网接入点、连接认证服务器、本地代理
PCT/JP2005/000193 WO2005069567A1 (ja) 2004-01-15 2005-01-11 移動無線通信システム、移動無線端末装置、仮想私設網中継装置及び接続認証サーバ
US10/586,343 US7941843B2 (en) 2004-01-15 2005-01-11 Mobile wireless communication system, mobile wireless terminal apparatus, virtual private network relay apparatus and connection authentication server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004008507A JP3955025B2 (ja) 2004-01-15 2004-01-15 移動無線端末装置、仮想私設網中継装置及び接続認証サーバ

Publications (2)

Publication Number Publication Date
JP2005204086A true JP2005204086A (ja) 2005-07-28
JP3955025B2 JP3955025B2 (ja) 2007-08-08

Family

ID=34792230

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004008507A Expired - Fee Related JP3955025B2 (ja) 2004-01-15 2004-01-15 移動無線端末装置、仮想私設網中継装置及び接続認証サーバ

Country Status (5)

Country Link
US (1) US7941843B2 (ja)
EP (1) EP1694013A1 (ja)
JP (1) JP3955025B2 (ja)
CN (1) CN1910877B (ja)
WO (1) WO2005069567A1 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007180998A (ja) * 2005-12-28 2007-07-12 Fujitsu Ltd 無線網制御装置及び無線網制御システム
JP2008072473A (ja) * 2006-09-14 2008-03-27 Fujitsu Ltd 接続支援装置
CN101488956B (zh) * 2008-01-18 2013-01-16 索尼株式会社 连接认证***、终端装置、连接认证服务器及其方法
JP2016540443A (ja) * 2013-12-11 2016-12-22 クアルコム,インコーポレイテッド 統合ネットワークにおけるセルラーからwlanへのハンドオーバ
JP2017513274A (ja) * 2014-02-28 2017-05-25 シマンテック コーポレーションSymantec Corporation ローカルネットワークデバイスへの安全なアクセスを提供するためのシステム及び方法
JP2018504076A (ja) * 2014-12-22 2018-02-08 マカフィー, エルエルシー 信頼できる実行環境と周辺機器との間の信頼確立

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060230279A1 (en) * 2005-03-30 2006-10-12 Morris Robert P Methods, systems, and computer program products for establishing trusted access to a communication network
US8621577B2 (en) * 2005-08-19 2013-12-31 Samsung Electronics Co., Ltd. Method for performing multiple pre-shared key based authentication at once and system for executing the method
DE102006004868B4 (de) * 2005-11-04 2010-06-02 Siemens Ag Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels
US8406220B2 (en) * 2005-12-30 2013-03-26 Honeywell International Inc. Method and system for integration of wireless devices with a distributed control system
US7734050B2 (en) * 2006-03-27 2010-06-08 Nissan Technical Center North America, Inc. Digital certificate pool
US7742603B2 (en) * 2006-03-27 2010-06-22 Nissan Technical Center North America, Inc. Security for anonymous vehicular broadcast messages
US8032753B2 (en) * 2006-11-23 2011-10-04 Electronics And Telecommunications Research Institute Server and system for transmitting certificate stored in fixed terminal to mobile terminal and method using the same
US20120254615A1 (en) * 2011-03-31 2012-10-04 Motorola Solutions, Inc. Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network
US10277630B2 (en) * 2011-06-03 2019-04-30 The Boeing Company MobileNet
US9021578B1 (en) * 2011-09-13 2015-04-28 Symantec Corporation Systems and methods for securing internet access on restricted mobile platforms
DE102011119680A1 (de) * 2011-11-29 2013-05-29 Abb Ag VolP-Telefonie-Unterputz-Elektro-Installationsgerät
KR101640209B1 (ko) * 2012-01-20 2016-07-18 한국전자통신연구원 휴대 모바일 가상사설망 서비스 지원장치 및 그 방법
US9801052B2 (en) * 2012-06-13 2017-10-24 Samsung Electronics Co., Ltd. Method and system for securing control packets and data packets in a mobile broadband network environment
CN105981422B (zh) 2013-12-13 2020-06-30 艾姆巴奇公司 用于连结混合的蜂窝网络和非蜂窝网络的安全连接的方法和***
US10015720B2 (en) * 2014-03-14 2018-07-03 GoTenna, Inc. System and method for digital communication between computing devices
US9763088B2 (en) * 2014-12-31 2017-09-12 Ruckus Wireless, Inc. Mesh network with personal pre-shared keys
US11272361B2 (en) 2015-03-30 2022-03-08 Arris Enterprises Llc Zero-touch onboarding in a network
US10051000B2 (en) * 2015-07-28 2018-08-14 Citrix Systems, Inc. Efficient use of IPsec tunnels in multi-path environment
CN105306437B (zh) * 2015-09-17 2019-04-12 成都索贝数码科技股份有限公司 一种网络安全加密及校验方法
US10791093B2 (en) * 2016-04-29 2020-09-29 Avago Technologies International Sales Pte. Limited Home network traffic isolation
US20180198786A1 (en) * 2017-01-11 2018-07-12 Pulse Secure, Llc Associating layer 2 and layer 3 sessions for access control
US10992670B1 (en) * 2018-11-12 2021-04-27 Amazon Technologies, Inc. Authenticating identities for establishing secure network tunnels
CN112751674B (zh) * 2020-12-30 2023-05-02 上海优咔网络科技有限公司 虚拟专用网络接入认证方法、***、设备及可读存储介质

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001177514A (ja) * 1999-12-17 2001-06-29 Ntt Docomo Inc 通信方法および通信装置
GB2364477B (en) * 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
JP4201466B2 (ja) * 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
KR100416541B1 (ko) * 2000-11-30 2004-02-05 삼성전자주식회사 홈게이트웨이와 홈포탈서버를 이용한 홈네트워크 접근방법 및 그 장치
US6915437B2 (en) * 2000-12-20 2005-07-05 Microsoft Corporation System and method for improved network security
US20020136226A1 (en) * 2001-03-26 2002-09-26 Bluesocket, Inc. Methods and systems for enabling seamless roaming of mobile devices among wireless networks
KR100450973B1 (ko) * 2001-11-07 2004-10-02 삼성전자주식회사 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법
CN1268093C (zh) * 2002-03-08 2006-08-02 华为技术有限公司 无线局域网加密密钥的分发方法
US6839338B1 (en) * 2002-03-20 2005-01-04 Utstarcom Incorporated Method to provide dynamic internet protocol security policy service
ATE290290T1 (de) * 2002-06-04 2005-03-15 Cit Alcatel Eine methode, ein netzwerkszugangsserver, ein authentifizierungs-, berechtigungs- und abrechnungsserver, ein computerprogram mit proxyfunktion für benutzer-authentifizierung, berechtigung und abrechnungsmeldungen über einen netzwerkszugangsserver
US7287269B2 (en) * 2002-07-29 2007-10-23 International Buiness Machines Corporation System and method for authenticating and configuring computing devices
US7685317B2 (en) * 2002-09-30 2010-03-23 Intel Corporation Layering mobile and virtual private networks using dynamic IP address management
US7441043B1 (en) * 2002-12-31 2008-10-21 At&T Corp. System and method to support networking functions for mobile hosts that access multiple networks
US7478427B2 (en) * 2003-05-05 2009-01-13 Alcatel-Lucent Usa Inc. Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs)
US20060185013A1 (en) * 2003-06-18 2006-08-17 Telefonaktiebolaget Lm Ericsson (Publ) Method, system and apparatus to support hierarchical mobile ip services
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
US20050149732A1 (en) * 2004-01-07 2005-07-07 Microsoft Corporation Use of static Diffie-Hellman key with IPSec for authentication
EP1712058A1 (en) * 2004-02-06 2006-10-18 Telecom Italia S.p.A. Method and system for the secure and transparent provision of mobile ip services in an aaa environment

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007180998A (ja) * 2005-12-28 2007-07-12 Fujitsu Ltd 無線網制御装置及び無線網制御システム
JP2008072473A (ja) * 2006-09-14 2008-03-27 Fujitsu Ltd 接続支援装置
US8312532B2 (en) 2006-09-14 2012-11-13 Fujitsu Limited Connection supporting apparatus
CN101488956B (zh) * 2008-01-18 2013-01-16 索尼株式会社 连接认证***、终端装置、连接认证服务器及其方法
JP2016540443A (ja) * 2013-12-11 2016-12-22 クアルコム,インコーポレイテッド 統合ネットワークにおけるセルラーからwlanへのハンドオーバ
JP2017513274A (ja) * 2014-02-28 2017-05-25 シマンテック コーポレーションSymantec Corporation ローカルネットワークデバイスへの安全なアクセスを提供するためのシステム及び方法
JP2018504076A (ja) * 2014-12-22 2018-02-08 マカフィー, エルエルシー 信頼できる実行環境と周辺機器との間の信頼確立
US10404692B2 (en) 2014-12-22 2019-09-03 Mcafee, Llc Trust establishment between a trusted execution environment and peripheral devices

Also Published As

Publication number Publication date
CN1910877B (zh) 2011-01-05
US20080232382A1 (en) 2008-09-25
US7941843B2 (en) 2011-05-10
EP1694013A1 (en) 2006-08-23
JP3955025B2 (ja) 2007-08-08
CN1910877A (zh) 2007-02-07
WO2005069567A1 (ja) 2005-07-28

Similar Documents

Publication Publication Date Title
JP3955025B2 (ja) 移動無線端末装置、仮想私設網中継装置及び接続認証サーバ
US10142842B2 (en) Securing communications of a wireless access point and a mobile device
JP4575679B2 (ja) 無線ネットワークハンドオフ暗号鍵
JP4666169B2 (ja) 信頼されないアクセス局を介した通信方法
CA2414216C (en) A secure ip access protocol framework and supporting network architecture
JP4299102B2 (ja) 無線ネットワークのハンドオフ暗号鍵
EP2506491B1 (en) Encryption information transmission terminal
US20100119069A1 (en) Network relay device, communication terminal, and encrypted communication method
US20050152305A1 (en) Apparatus, method, and medium for self-organizing multi-hop wireless access networks
KR20170076773A (ko) 엔드 투 엔드 서비스 계층 인증
WO2006098116A1 (ja) 無線通信システムにおける認証方式、それを備える無線端末装置と無線基地局、それらを用いた無線通信システム及びプログラム
JP2006524017A (ja) 公的認証サーバで無線lanアクセスを制御するidマッピング機構
US20030172307A1 (en) Secure IP access protocol framework and supporting network architecture
WO2016184351A1 (zh) 无线网络的ip地址分配方法和***
JP2004312257A (ja) 基地局、中継装置及び通信システム
JPWO2011064858A1 (ja) 無線認証端末
JP4584776B2 (ja) ゲートウェイ装置およびプログラム
JP2009260847A (ja) Vpn接続方法、及び通信装置
JP2004266516A (ja) ネットワーク管理サーバ、通信端末、エッジスイッチ装置、通信用プログラム並びにネットワークシステム
US20230308868A1 (en) Method, devices and system for performing key management
KR102558364B1 (ko) 5g lan 서비스 제공 방법
JP5107823B2 (ja) 認証メッセージ交換システムおよび認証メッセージ交換方法
Singh et al. Heterogeneous networking: Security challenges and considerations
KR20080050290A (ko) 서버 기반 이동 인터넷 프로토콜 버전 6 시스템에서의 보안방법
WO2006080079A1 (ja) 無線ネットワークシステムおよびそのユーザ認証方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070123

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070316

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070410

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070427

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110511

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110511

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120511

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees