JP2005236490A - Mobile communication terminal and network connection apparatus in mobile communication network system, and update method of shared private key, and update program of shared private key - Google Patents
Mobile communication terminal and network connection apparatus in mobile communication network system, and update method of shared private key, and update program of shared private key Download PDFInfo
- Publication number
- JP2005236490A JP2005236490A JP2004041016A JP2004041016A JP2005236490A JP 2005236490 A JP2005236490 A JP 2005236490A JP 2004041016 A JP2004041016 A JP 2004041016A JP 2004041016 A JP2004041016 A JP 2004041016A JP 2005236490 A JP2005236490 A JP 2005236490A
- Authority
- JP
- Japan
- Prior art keywords
- secret key
- shared secret
- mobile communication
- network connection
- connection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、移動通信ネットワークの移動通信端末およびネットワーク接続装置、ならびに、その共有秘密鍵の更新方法および共有秘密鍵の更新プログラムに関する。 The present invention relates to a mobile communication terminal and a network connection device of a mobile communication network, a shared secret key update method, and a shared secret key update program.
携帯電話等を用いた移動通信ネットワークにおいては、携帯電話機やPDA(Personal Digital Assistants)等の移動通信端末をIP(Internet Protocol)網(インターネット)に接続するためのネットワーク接続装置が、その移動通信で用いられる無線電波の到達範囲に応じて、所定の範囲の地域ごとに設置される。そして、移動通信端末は、その所在位置に最も近い、または、最も受信電波のレベルが高いネットワーク接続装置の一つを選んで、IP網の他端に接続された他の通信端末と通信を行う。従って、このような移動通信ネットワークにおいては、移動通信端末は、他の通信端末と通信中であっても、その位置の移動とともに、無線通信を行う相手のネットワーク接続装置を、電波が最も良好に受信できるネットワーク接続装置に変更していくことになる。このような、移動通信端末が他の通信端末との通信を保ちながら無線通信を行う相手のネットワーク接続装置を変更することを、ハンドオーバという。 In a mobile communication network using a mobile phone or the like, a network connection device for connecting a mobile communication terminal such as a mobile phone or PDA (Personal Digital Assistants) to an IP (Internet Protocol) network (Internet) is used for the mobile communication. It is installed for each area within a predetermined range according to the reach of the radio wave used. Then, the mobile communication terminal selects one of the network connection devices closest to the location or the highest received radio wave level, and communicates with another communication terminal connected to the other end of the IP network. . Therefore, in such a mobile communication network, even when the mobile communication terminal is communicating with another communication terminal, the radio wave is transmitted to the network connection device of the other party that performs wireless communication with the movement of the position. It will be changed to a network connection device that can receive. Such a change of the network connection device with which the mobile communication terminal performs wireless communication while maintaining communication with other communication terminals is called handover.
一般に、移動通信端末が、ネットワーク接続装置およびIP網を介して、IP網の他端に接続する他の通信端末(通信相手端末)と通信する場合には、移動通信端末とネットワーク接続装置との間で用いるIPヘッダ圧縮アルゴリズムや移動通信端末−通信相手端末間トラフィックのQoS(Quality of Service)パラメータ等の移動通信端末に依存するパラメータを、移動通信端末とネットワーク接続装置との間の通信のネゴシエーションによって決定し、それをネットワーク接続装置に設定することが必要となる。 Generally, when a mobile communication terminal communicates with another communication terminal (communication partner terminal) connected to the other end of the IP network via the network connection device and the IP network, the mobile communication terminal and the network connection device Negotiation of communication between a mobile communication terminal and a network connection device such as an IP header compression algorithm used between the mobile communication terminal and a QoS (Quality of Service) parameter of traffic between a mobile communication terminal and a communication partner terminal. It is necessary to set it in the network connection device.
移動通信端末がハンドオーバするときに、ネットワーク接続装置に設定するこれらのパラメータを、再度、移動通信端末とネットワーク接続装置との間でネゴシエーションによって決定しようとすると、移動通信端末とその通信相手端末との問での通信不能時間が長くなってしまう。その場合には、移動通信端末とその通信相手端末との問でそのときに行われているデータ通信や通話が中断することになる。従って、その中断する時間が長い場合には、実用上の不都合が現れる。 When the mobile communication terminal is handed over, these parameters set in the network connection device are again determined by negotiation between the mobile communication terminal and the network connection device. The incommunicable time becomes longer. In that case, the data communication or telephone call being performed at that time is interrupted by the question between the mobile communication terminal and the communication partner terminal. Therefore, when the interruption time is long, practical inconvenience appears.
そこで、このような通信不能時間を短縮する方法の1つが、非特許文献1にコンテキストトランスファー技術として開示されている。すなわち、コンテキストトランスファー技術においては、ハンドオーバするときに、ハンドオーバする前のネットワーク接続装置にすでに設定されているパラメータを、オーバされる側のネットワーク接続装置へ直接に転送する。この場合には、ネゴシエーションが不要になるので、その分、通信不能時間が短縮される。 Therefore, one method for shortening such a communication disabled time is disclosed in Non-Patent Document 1 as a context transfer technique. That is, in the context transfer technique, when a handover is performed, the parameters already set in the network connection device before the handover are directly transferred to the network connection device on the over side. In this case, since negotiation is not necessary, the communication disabled time is shortened accordingly.
また、非特許文献2には、FMIP技術が開示されている。FMIP技術においては、ハンドオーバ時のネゴシエーション等による通信不能のためにパケットが廃棄されることを防ぐために、ハンドオーバする前のネットワーク接続装置に到着したパケットを、ハンドオーバした後のネットワーク接続装置に転送し、さらにそれを移動通信端末に送信するようにしている。これによって、移動通信端末の利用者には、ハンドオーバ時の通信不能時間が短縮されたように見える。
一方、移動通信ネットワークにおいて共有秘密鍵を用いたセキュリティの高い通信を行う場合、共有秘密鍵は、少なくとも移動通信端末とその移動通信端末が無線で通信するネットワーク接続装置との間で共有される必要がある。従って、例えば、コンテキストトランスファー技術において、移動通信端末が移動し、ネットワーク装置がハンドオーバされるときには、その共有秘密鍵もハンドオーバ前のネットワーク装置からハンドオーバ後のネットワーク装置へ転送される必要がある。 On the other hand, when performing highly secure communication using a shared secret key in a mobile communication network, the shared secret key needs to be shared at least between the mobile communication terminal and the network connection device with which the mobile communication terminal communicates wirelessly. There is. Therefore, for example, in the context transfer technique, when the mobile communication terminal moves and the network device is handed over, the shared secret key needs to be transferred from the network device before the handover to the network device after the handover.
図1は、従来のコンテキストトランスファー技術においてハンドオーバが行われる場合の移動通信ネットワークの構成および共有秘密鍵の共有状態を模式的に示した図である。また、図2は、従来のコンテキストトランスファー技術におけるハンドオーバの処理の流れを示した図である。 FIG. 1 is a diagram schematically showing a configuration of a mobile communication network and a shared state of a shared secret key when handover is performed in the conventional context transfer technique. FIG. 2 is a diagram showing a flow of handover processing in the conventional context transfer technique.
図1において、コンテキストトランスファー技術に準拠したアクセスルータAR110、AR120が、IP網100に接続され、移動通信端末MN210が、無線通信手段によりアクセスルータAR110に接続されている。また、通信相手端末CN310が、IP網100の他端に接続されている。そして、移動通信端末MN210は、アクセスルータAR110およびIP網100を介して通信相手端末CN310と通信を行っている。
なお、アクセスルータとは、ここまでの説明では、ネットワーク接続装置と称していたもので、移動通信端末MN210と無線通信手段で通信し、移動通信端末MN210をIP網100に接続する役割を担う。
In FIG. 1, access routers AR110 and AR120 conforming to the context transfer technology are connected to the IP network 100, and a mobile communication terminal MN210 is connected to the access router AR110 by wireless communication means. A communication partner terminal CN 310 is connected to the other end of the IP network 100. Then, the mobile communication terminal MN210 communicates with the communication counterpart terminal CN310 via the access router AR110 and the IP network 100.
The access router has been referred to as a network connection device in the description so far, and communicates with the mobile communication terminal MN210 by wireless communication means and plays a role of connecting the mobile communication terminal MN210 to the IP network 100.
移動通信端末MN210がアクセスルータAR110を介して通信相手端末CN310と通信を行っているとき、アクセスルータAR110は、移動通信端末MN210がIP網100を介して通信相手端末CN310と通信するために必要なパラメータであるコンテキストデータ230を保持している。コンテキストデータ230には、移動通信端末MN210とアクセスルータAR110との間でのヘッダ圧縮アルゴリズムや、移動通信端末MN210−通信相手端末CN310間におけるトラフィックのQoSパラメータなどの情報が含まれる。 When the mobile communication terminal MN210 is communicating with the communication counterpart terminal CN310 via the access router AR110, the access router AR110 is necessary for the mobile communication terminal MN210 to communicate with the communication counterpart terminal CN310 via the IP network 100. It holds context data 230 that is a parameter. The context data 230 includes information such as a header compression algorithm between the mobile communication terminal MN210 and the access router AR110, and a QoS parameter of traffic between the mobile communication terminal MN210 and the communication partner terminal CN310.
また、移動通信端末MN210とアクセスルータAR110とは、移動通信端末MN210がアクセスルータAR110に送信するコンテキスト転送活性要求メッセージ(以下、CTARメッセージと略す。)の認証を行うため、それぞれが共有秘密鍵220を保持している。 The mobile communication terminal MN210 and the access router AR110 authenticate a context transfer activation request message (hereinafter abbreviated as a CTAR message) transmitted from the mobile communication terminal MN210 to the access router AR110. Holding.
以上の状態を初期状態としてハンドオーバが開始される。以下、図2に従い、ハンドオーバが行われる手順について説明する。 The handover is started with the above state as an initial state. Hereinafter, a procedure for performing handover will be described with reference to FIG.
図2において、移動通信端末MN210は、何らかの手段で、接続するアクセスルータをAR110からAR120にハンドオーバする必要があると判断すると(ステップS210でYes)、アクセスルータAR110に対し、移動通信端末MN210の識別子、アクセスルータAR120の識別子、メッセージ自身の識別子および共有秘密鍵220で生成した移動通信端末MN210の識別子及びメッセージ自身の識別子の認証データを含むCTARメッセージを送信する(ステップS220)。 In FIG. 2, when the mobile communication terminal MN210 determines that the access router to be connected needs to be handed over from the AR 110 to the AR 120 by some means (Yes in Step S210), the mobile communication terminal MN210 identifies the mobile communication terminal MN210 with respect to the access router AR110. The CTAR message including the identifier of the access router AR120, the identifier of the message itself, the identifier of the mobile communication terminal MN210 generated with the shared secret key 220, and the authentication data of the identifier of the message itself is transmitted (step S220).
ここで、移動通信端末MN210がハンドオーバの必要性を判断する方法の1つに、移動通信端末MN210における電波強度の監視がある。例えば、移動通信端末MN210がアクセスルータAR120から受信する電波強度が、アクセスルータAR110から受信する電波強度を上回った場合には、ハンドオーバが必要であると判断する。この場合、アクセスルータAR120から送信される無線信号には、無線アクセスポイントの識別子が含まれているので、例えば、移動通信端末MN210が無線アクセスポイントとアクセスルータAR120との対応関係を記憶しておくことにより、次に接続するアクセスルータがAR120であることを知ることができる。 Here, one of the methods by which the mobile communication terminal MN210 determines the necessity of handover is monitoring of the radio field intensity at the mobile communication terminal MN210. For example, when the radio field intensity received by the mobile communication terminal MN210 from the access router AR120 exceeds the radio field intensity received from the access router AR110, it is determined that a handover is necessary. In this case, since the wireless signal transmitted from the access router AR120 includes the identifier of the wireless access point, for example, the mobile communication terminal MN210 stores the correspondence between the wireless access point and the access router AR120. Thus, it can be known that the access router to be connected next is the AR 120.
アクセスルータAR110は、通信中の移動通信端末MN210からCTARメッセージを受信すると(ステップS240)、受信したCTARメッセージ中の移動通信端末MN210の識別子及びメッセージ自身の識別子に対して、共有秘密鍵220を用いて認証データを生成する。そして、それを受信したCTARメッセージ中の認証データと比較することにより、受信したCTARメッセージの正当性を認証する(ステップS250)。これにより、受信したCTARメッセージは、移動通信端末MN210から送信され、第三者に書き換えられていないことが確認されたことになる。 When the access router AR110 receives the CTAR message from the mobile communication terminal MN210 in communication (step S240), the access router AR110 uses the shared secret key 220 for the identifier of the mobile communication terminal MN210 and the identifier of the message itself in the received CTAR message. To generate authentication data. Then, the validity of the received CTAR message is authenticated by comparing it with the authentication data in the received CTAR message (step S250). Accordingly, it is confirmed that the received CTAR message is transmitted from the mobile communication terminal MN210 and has not been rewritten by a third party.
そこで、アクセスルータAR110は、移動通信端末MN210のコンテキストデータ230および共有秘密鍵220を含むCTDメッセージを、アクセスルータAR120に送信する(ステップS260)。アクセスルータAR120は、その送信されたCTDメッセージを受信する(ステップS270)。 Thus, the access router AR110 transmits a CTD message including the context data 230 of the mobile communication terminal MN210 and the shared secret key 220 to the access router AR120 (step S260). The access router AR120 receives the transmitted CTD message (step S270).
一方、移動通信端末MN210は、移動し、さらにアクセスルータAR120に近づくと、アクセスルータAR120に対し、移動通信端末MN210の識別子、アクセスルータAR110の識別子、メッセージ自身の識別子、共有秘密鍵220で生成した移動通信端末MN210の識別子およびメッセージ自身の識別子の認証データを含むCTARメッセージを送信する(ステップS230)。 On the other hand, when the mobile communication terminal MN 210 moves and further approaches the access router AR120, the mobile communication terminal MN210 generates the access router AR120 with the identifier of the mobile communication terminal MN210, the identifier of the access router AR110, the identifier of the message itself, and the shared secret key 220. A CTAR message including authentication data of the identifier of mobile communication terminal MN210 and the identifier of the message itself is transmitted (step S230).
アクセスルータAR120は、通信していない移動通信端末MN210からCTARメッセージを受信すると(ステップS280)、受信したCTARメッセージ中に含まれている移動通信端末MN210の識別子及びメッセージ自身の識別子に対して、共有秘密鍵220を用いて認証データを生成する。そして、その認証データを受信したCTARメッセージに含まれている認証データと比較することにより、受信したCTARメッセージの正当性を認証する(ステップS290)。これにより、受信されたCTARメッセージは、移動通信端末MN210から送信され、第三者に書き換えられていないことが確認されたことになる。 When the access router AR120 receives the CTAR message from the mobile communication terminal MN210 not communicating (step S280), the access router AR120 shares the identifier of the mobile communication terminal MN210 and the identifier of the message itself included in the received CTAR message. Authentication data is generated using the secret key 220. Then, the authenticity of the received CTAR message is authenticated by comparing the authentication data with the authentication data included in the received CTAR message (step S290). Thus, it is confirmed that the received CTAR message is transmitted from the mobile communication terminal MN210 and has not been rewritten by a third party.
そこで、アクセスルータAR120は、受信したCTDメッセージに含まれているコンテキストデータ230を用いて、移動通信端末MN210がIP網100を介して通信相手端末CN310との間で通信を行うために必要となる通信パラメータを設定する(ステップS300)。これで、ハンドオーバが終了し、これ以降、移動通信端末MN210は、アクセスルータAR120を介して、通信相手端末CN310と通信を行う。 Therefore, the access router AR120 is necessary for the mobile communication terminal MN210 to communicate with the communication counterpart terminal CN310 via the IP network 100 using the context data 230 included in the received CTD message. Communication parameters are set (step S300). Thus, the handover is completed, and thereafter, the mobile communication terminal MN210 communicates with the communication partner terminal CN310 via the access router AR120.
以上のように、コンテキストトランスファー技術においては、移動通信端末MN210がCN310と通信している間は、アクセスルータがハンドオーバされても、移動通信端末MN210とアクセスルータとの間では同一の共有秘密鍵220が使用され続ける。そのため、移動通信端末MN210がCN310と通信する時間が長くなる場合には、共有秘密鍵220を第三者に解読される危険を孕むことになる。そこで、共有秘密鍵220の解読を防止する手っ取り早い方法は、短い時間ごとに共有秘密鍵を変更することであるが、コンテキストトランスファー技術には共有秘密鍵を更新する方法は示されていない。 As described above, in the context transfer technology, while the mobile communication terminal MN210 is communicating with the CN 310, even if the access router is handed over, the same shared secret key 220 is used between the mobile communication terminal MN210 and the access router. Continue to be used. Therefore, when the time during which the mobile communication terminal MN210 communicates with the CN 310 becomes long, there is a risk that the shared secret key 220 can be decrypted by a third party. Therefore, a quick method for preventing the decryption of the shared secret key 220 is to change the shared secret key every short time, but the context transfer technique does not show a method for updating the shared secret key. .
同様のことは、FMIP技術においても起こり得るが、FMIP技術においても、アクセスルータがハンドオーバされた後に、移動通信端末とハンドオーバ後のアクセスルータとの間で使用する共有秘密鍵を変更する方法は示されていない。 The same thing can happen in the FMIP technology, but in the FMIP technology, a method for changing the shared secret key used between the mobile communication terminal and the access router after the handover is shown after the access router is handed over. It has not been.
以上の従来技術を鑑みると、本発明の課題は、移動通信ネットワークシステムの移動通信端末およびネットワーク接続装置(アクセスルータ)において、ハンドオーバにより移動通信端末が無線通信する相手のネットワーク接続装置を変更していく場合にも適用可能であり、かつ、所定の時間ごとに通信で用いる共有秘密鍵を更新することができる共有秘密鍵の更新方法および手段を提供することにある。 In view of the above prior art, the problem of the present invention is to change the network connection device of the mobile communication terminal and the network connection device (access router) of the mobile communication network system to which the mobile communication terminal wirelessly communicates by handover. The present invention provides a shared secret key update method and means that can be applied to any case and that can update a shared secret key used in communication at predetermined intervals.
前記課題を解決するため、請求項1に記載の移動通信端末の共有秘密鍵の更新方法は、移動通信端末と、地上に張り巡らされたネットワークと、移動通信端末と無線で通信し、移動通信端末を前記ネットワークに接続するネットワーク接続装置とからなる移動通信ネットワークシステムにおいて、移動通信端末が、ネットワーク接続装置との間の通信情報を暗号化または復号化するための通信用共有秘密鍵を生成するステップと、その通信用共有秘密鍵を生成するための制御用共有秘密鍵を生成するステップと、当該移動通信端末が通信中のネットワーク接続装置を当該ネットワーク接続装置でないネットワーク接続装置へ接続変更する判断をしたときに、記通信中のネットワーク接続装置および接続変更後に通信するネットワーク接続装置に対して、接続変更を通知する接続変更通知メッセージを送信する接続変更通知メッセージ送信ステップと、所定の時間間隔ごとに、制御用共有秘密鍵から新たな通信用共有秘密鍵を生成し、ネットワーク接続装置との間の通信で使用する通信用共有秘密鍵を前記新たに生成した通信用共有秘密鍵によって更新する通信用共有秘密鍵更新ステップとを含む構成とした。 In order to solve the above-mentioned problem, a method for updating a shared secret key of a mobile communication terminal according to claim 1, wherein the mobile communication terminal, a network stretched over the ground, and the mobile communication terminal communicate wirelessly In a mobile communication network system comprising a network connection device for connecting a terminal to the network, the mobile communication terminal generates a communication shared secret key for encrypting or decrypting communication information with the network connection device A step of generating a control shared secret key for generating the communication shared secret key, and a determination to change the connection of the network connection device in communication with the mobile communication terminal to a network connection device other than the network connection device Network connection device during communication and network connection device that communicates after connection change On the other hand, a connection change notification message transmission step for transmitting a connection change notification message for notifying a connection change, and generating a new communication shared secret key from the control shared secret key at predetermined time intervals. A communication shared secret key update step for updating a communication shared secret key used for communication with the communication shared secret key with the newly generated communication shared secret key.
また、請求項2に記載の移動通信端末の共有秘密鍵の更新方法では、請求項1に記載の移動通信端末の共有秘密鍵の更新方法において、通信用共有秘密鍵更新ステップが、当該移動通信端末に備えられて、通信用共有秘密鍵が生成されたとき以降の時間の経過をカウントする経時時間カウント手段のカウント値が、所定の値より大きくなったときに行われるようにした。 Further, in the method for updating the shared secret key of the mobile communication terminal according to claim 2, in the method of updating the shared secret key of the mobile communication terminal according to claim 1, the communication shared secret key update step includes the mobile communication terminal. This is performed when the count value of the elapsed time counting means, which is provided in the terminal and counts the passage of time since the generation of the communication shared secret key, becomes larger than a predetermined value.
請求項3に記載のネットワーク接続装置の共有秘密鍵の更新方法は、移動通信端末と、地上に張り巡らされたネットワークと、移動通信端末と無線で通信し、移動通信端末をネットワークに接続するネットワーク接続装置とからなる移動通信ネットワークシステムにおいて、移動通信端末との間の通信情報を暗号化または復号化するための通信用共有秘密鍵を生成する通信用共有秘密鍵生成ステップと、通信用共有秘密鍵を生成するための制御用共有秘密鍵を生成する制御用共有秘密鍵生成ステップと、移動通信端末から送信されたネットワーク接続装置の接続変更を通知する接続変更通知メッセージを受信する接続変更通知メッセージ受信ステップと、当該ネットワーク接続装置と通信中の移動通信端末から送信された接続変更通知メッセージを受信した場合に、通信用共有秘密鍵および制御用共有秘密鍵の情報を含んだ接続変更情報転送メッセージを、変更後のネットワーク接続装置に対して送信する接続変更情報転送メッセージ送信ステップと、当該ネットワーク接続装置でないネットワーク接続装置から送信された前記接続変更情報転送メッセージを受信する接続変更情報転送メッセージ受信ステップと、当該ネットワーク接続装置と通信をしてない前記移動通信端末から送信された接続変更通知メッセージを受信し、かつ、当該ネットワーク接続装置でないネットワーク接続装置から送信された接続変更情報転送メッセージを受信した場合に、接続変更情報転送メッセージに含まれている通信用共有秘密鍵および制御用共有秘密鍵の情報に基づき、当該ネットワーク接続装置が使用する通信用共有秘密鍵および制御用共有秘密鍵を設定する共有秘密鍵設定ステップと、所定の時間間隔ごとに、制御用共有秘密鍵から新たな通信用共有秘密鍵を生成し、移動通信端末との間の通信で使用する前記通信用共有秘密鍵を、その新たに生成した通信用共有秘密鍵によって更新する通信用共有秘密鍵更新ステップとを含む構成とした。 The method for updating a shared secret key of a network connection device according to claim 3 includes a mobile communication terminal, a network stretched over the ground, a wireless communication with the mobile communication terminal, and a network for connecting the mobile communication terminal to the network. A communication shared secret key generating step for generating a communication shared secret key for encrypting or decrypting communication information with a mobile communication terminal in a mobile communication network system comprising a connection device, and a communication shared secret A control shared secret key generation step for generating a control shared secret key for generating a key, and a connection change notification message for receiving a connection change notification message for notifying a connection change of the network connection device transmitted from the mobile communication terminal A reception step and a connection change notification message transmitted from the mobile communication terminal communicating with the network connection device. A connection change information transfer message transmission step for transmitting a connection change information transfer message including information on the communication shared secret key and the control shared secret key to the network connection device after the change, A connection change information transfer message receiving step for receiving the connection change information transfer message transmitted from a network connection device that is not the network connection device; and a connection change transmitted from the mobile communication terminal not communicating with the network connection device. When a notification message is received and a connection change information transfer message transmitted from a network connection device that is not the network connection device is received, the communication shared secret key and the control share included in the connection change information transfer message are received. Connect to the network based on the private key information A shared secret key setting step for setting a shared secret key for communication and a shared secret key for control used by the device, and a new shared secret key for communication is generated from the shared secret key for control at predetermined time intervals and moved A communication shared secret key update step of updating the communication shared secret key used for communication with the communication terminal by the newly generated communication shared secret key.
また、請求項4に記載のネットワーク接続装置の共有秘密鍵の更新方法では、請求項3に記載のネットワーク接続装置の共有秘密鍵の更新方法において、通信用共有秘密鍵更新ステップは、当該ネットワーク接続装置に備えられて、通信用共有秘密鍵が生成されたとき以降の時間の経過をカウントする経時時間カウント手段のカウント値が、所定の値より大きくなったときに行われるようにした。 Further, in the method for updating the shared secret key of the network connection apparatus according to claim 4, the shared secret key update method for the network connection apparatus according to claim 3, wherein the communication shared secret key update step includes the network connection This is performed when the count value of the elapsed time counting means, which is provided in the apparatus and counts the passage of time since the generation of the communication shared secret key, becomes larger than a predetermined value.
請求項5に記載の移動通信ネットワークシステムにおける共有秘密鍵の更新方法は、移動通信端末と、地上に張り巡らされたネットワークと、移動通信端末と無線で通信し、移動通信端末をネットワークに接続するネットワーク接続装置とからなる移動通信ネットワークシステムにおいて、相互に通信を開始した前記移動通信端末と前記ネットワーク接続装置とが、それぞれ、その通信される情報を暗号化または復号化するための通信用共有秘密鍵を生成する通信用共有秘密鍵生成ステップと、その移動通信端末とネットワーク接続装置とが、それぞれ、通信用共有秘密鍵を生成するための制御用共有秘密鍵を生成する制御用共有秘密鍵生成ステップと、また、移動通信端末が、通信中のネットワーク接続装置を当該ネットワーク接続装置でないネットワーク接続装置へ接続変更する判断をしたときに、その通信中のネットワーク接続装置および接続変更後に通信するネットワーク接続装置に対して、接続変更を通知する接続変更通知メッセージを送信する接続変更通知メッセージ送信ステップと、ネットワーク接続装置が、移動通信端末から送信された前記接続変更通知メッセージを受信する接続変更通知メッセージ受信ステップと、ネットワーク接続装置が、通信中の移動通信端末から送信された接続変更通知メッセージを受信した場合に、通信用共有秘密鍵および制御用共有秘密鍵の情報を含んだ接続変更情報転送メッセージを、変更後のネットワーク接続装置に対して送信する接続変更情報転送メッセージ送信ステップと、ネットワーク接続装置が、当該ネットワーク接続装置でないネットワーク接続装置から送信された接続変更情報転送メッセージを受信する接続変更情報転送メッセージ受信ステップと、ネットワーク接続装置が、通信をしてない前記移動通信端末から送信された前記接続変更通知メッセージを受信し、かつ、当該ネットワーク接続装置でないネットワーク接続装置から送信された接続変更情報転送メッセージを受信した場合に、その接続変更情報転送メッセージに含まれている通信用共有秘密鍵および制御用共有秘密鍵の情報に基づき、当該ネットワーク接続装置が使用する通信用共有秘密鍵および制御用共有秘密鍵を設定する共有秘密鍵設定ステップと、移動通信端末と移動通信端末とが、それぞれ、所定の時間間隔ごとに、制御用共有秘密鍵から新たな通信用共有秘密鍵を生成し、移動通信端末と移動通信端末との間の通信でそれぞれ使用する通信用共有秘密鍵を、新たに生成した通信用共有秘密鍵によって更新する通信用共有秘密鍵更新ステップとを含む構成とした。 A method for updating a shared secret key in a mobile communication network system according to claim 5, wherein the mobile communication terminal, the network stretched over the ground, and the mobile communication terminal communicate wirelessly and connect the mobile communication terminal to the network. In a mobile communication network system comprising network connection devices, the mobile communication terminal and the network connection device, which have started communication with each other, each share a communication shared secret for encrypting or decrypting the information to be communicated A communication shared secret key generating step for generating a key, and a control shared secret key for generating a control shared secret key for generating a communication shared secret key by the mobile communication terminal and the network connection device, respectively Step, and the mobile communication terminal uses the network connection device to communicate with the network connection device in communication. Connection change notification message that sends a connection change notification message to notify the connection change to the network connection device that is in communication and the network connection device that communicates after the connection change A transmission step, a connection change notification message receiving step in which the network connection device receives the connection change notification message transmitted from the mobile communication terminal, and a connection change notification transmitted from the mobile communication terminal in communication with the network connection device A connection change information transfer message transmission step for transmitting a connection change information transfer message including information on the communication shared secret key and the control shared secret key to the network connection device after the change when the message is received; Network connection device is connected to the network A connection change information transfer message reception step for receiving a connection change information transfer message transmitted from a network connection device that is not a device; and the connection change notification message transmitted from the mobile communication terminal that is not communicating with the network connection device. When a connection change information transfer message is received and transmitted from a network connection device that is not the network connection device, the communication shared secret key and the control shared secret key included in the connection change information transfer message The shared secret key setting step for setting the communication shared secret key and the control shared secret key used by the network connection device, and the mobile communication terminal and the mobile communication terminal at predetermined time intervals, respectively, Then, a new communication shared secret key is generated from the control shared secret key and the mobile communication The communication shared secret key used for communication between the communication terminal and the mobile communication terminal is updated with the newly generated communication shared secret key.
請求項6に記載の移動通信ネットワークシステムの移動通信端末は、移動通信端末と、地上に張り巡らされたネットワークと、移動通信端末と無線で通信し、移動通信端末を前記ネットワークに接続するネットワーク接続装置とからなる移動通信ネットワークシステムの移動通信端末であって、ネットワーク接続装置との間の通信情報を暗号化または復号化するための通信用共有秘密鍵を生成する通信用共有秘密鍵生成手段と、通信用共有秘密鍵を生成するための制御用共有秘密鍵を生成する制御用共有秘密鍵生成手段と、当該移動通信端末が通信中のネットワーク接続装置を当該ネットワーク接続装置でないネットワーク接続装置へ接続変更する判断をしたときに、前記通信中のネットワーク接続装置および接続変更後に通信するネットワーク接続装置に対して、接続変更を通知する接続変更通知メッセージを送信する接続変更通知メッセージ送信手段と、所定の時間間隔ごとに、制御用共有秘密鍵から新たな通信用共有秘密鍵を生成し、ネットワーク接続装置との間の通信で使用する通信用共有秘密鍵をその新たに生成した通信用共有秘密鍵によって更新する通信用共有秘密鍵更新手段とを備える構成とした。 The mobile communication terminal of the mobile communication network system according to claim 6, wherein the mobile communication terminal, a network stretched over the ground, and the mobile communication terminal wirelessly communicate with the mobile communication terminal and connect the mobile communication terminal to the network A communication communication secret key generating means for generating a communication shared secret key for encrypting or decrypting communication information with a network connection device, the mobile communication terminal of the mobile communication network system comprising the device A control shared secret key generating means for generating a control shared secret key for generating a communication shared secret key, and a network connection apparatus in communication with the mobile communication terminal to a network connection apparatus other than the network connection apparatus When it is determined to change, the network connection device in communication and the network that communicates after the connection is changed A connection change notification message transmitting means for transmitting a connection change notification message for notifying a connection change to the network connection device, and generating a new communication shared secret key from the control shared secret key at predetermined time intervals. The communication shared secret key used for communication with the network connection device is updated with the newly generated communication shared secret key.
また、請求項7に記載の移動通信ネットワークシステムの移動通信端末では、請求項6に記載の移動通信ネットワークシステムの移動通信端末において、通信用共有秘密鍵更新手段は、当該移動通信端末に備えられて、前記通信用共有秘密鍵が生成されたとき以降の時間の経過をカウントする経時時間カウント手段のカウント値が、所定の値より大きくなったときに前記通信用共有秘密鍵の更新を行うようにした。 Further, in the mobile communication terminal of the mobile communication network system according to claim 7, in the mobile communication terminal of the mobile communication network system according to claim 6, the communication shared secret key update means is provided in the mobile communication terminal. The communication shared secret key is updated when the count value of the elapsed time counting means for counting the passage of time since the communication shared secret key is generated becomes greater than a predetermined value. I made it.
請求項8に記載の移動通信ネットワークシステムのネットワーク接続装置は、移動通信端末と、地上に張り巡らされたネットワークと、移動通信端末と無線で通信し、移動通信端末を前記ネットワークに接続するネットワーク接続装置とからなる移動通信ネットワークシステムのネットワーク接続装置であって、移動通信端末との間の通信情報を暗号化または復号化するための通信用共有秘密鍵を生成する通信用共有秘密鍵生成手段と、通信用共有秘密鍵を生成するための制御用共有秘密鍵を生成する制御用共有秘密鍵生成手段と、移動通信端末から送信されたネットワーク接続装置の接続変更を通知する接続変更通知メッセージを受信する接続変更通知メッセージ受信手段と、当該ネットワーク接続装置と通信中の前記移動通信端末から送信された接続変更通知メッセージを受信した場合に、通信用共有秘密鍵および制御用共有秘密鍵の情報を含んだ接続変更情報転送メッセージを、変更後のネットワーク接続装置に対して送信する接続変更情報転送メッセージ送信手段と、当該ネットワーク接続装置でないネットワーク接続装置から送信された接続変更情報転送メッセージを受信する接続変更情報転送メッセージ受信手段と、当該ネットワーク接続装置と通信をしてない移動通信端末から送信された接続変更通知メッセージを受信し、かつ、当該ネットワーク接続装置でないネットワーク接続装置から送信された接続変更情報転送メッセージを受信した場合に、その接続変更情報転送メッセージに含まれている通信用共有秘密鍵および前記制御用共有秘密鍵の情報に基づき、当該ネットワーク接続装置が使用する通信用共有秘密鍵および制御用共有秘密鍵を設定する共有秘密鍵設定手段と、所定の時間間隔ごとに、制御用共有秘密鍵から新たな用共有秘密鍵を生成し、移動通信端末との間の通信で使用する通信用共有秘密鍵を新たに生成した通信用共有秘密鍵によって更新する通信用共有秘密鍵更新手段とを備える構成とした。 The network connection device of the mobile communication network system according to claim 8, wherein the mobile communication terminal, the network stretched over the ground, and the mobile communication terminal wirelessly communicate with each other and connect the mobile communication terminal to the network A communication connection secret key generation means for generating a communication shared secret key for encrypting or decrypting communication information with a mobile communication terminal Receiving the control shared secret key generating means for generating the control shared secret key for generating the communication shared secret key and the connection change notification message for notifying the connection change of the network connection device transmitted from the mobile communication terminal Sent from the mobile communication terminal communicating with the network connection device. Connection change information transfer that transmits a connection change information transfer message including information on the shared secret key for communication and the shared secret key for control to the changed network connection device when the received connection change notification message is received Message transmission means, connection change information transfer message reception means for receiving a connection change information transfer message transmitted from a network connection apparatus that is not the network connection apparatus, and a mobile communication terminal that is not in communication with the network connection apparatus. If the connection change notification message is received and a connection change information transfer message transmitted from a network connection device that is not the network connection device is received, the communication shared secret key included in the connection change information transfer message is received. And the control shared secret key information. A shared secret key setting means for setting a communication shared secret key and a control shared secret key used by the network connection device, and a new shared secret key is generated from the control shared secret key at predetermined time intervals; A communication shared secret key updating means for updating a communication shared secret key used for communication with the mobile communication terminal with the newly generated communication shared secret key is provided.
また、請求項9に記載の移動通信ネットワークシステムのネットワーク接続装置では、請求項8に記載の移動通信ネットワークシステムのネットワーク接続装置において、通信用共有秘密鍵更新手段は、当該ネットワーク接続装置に備えられて、通信用共有秘密鍵が生成されたとき以降の時間の経過をカウントする経時時間カウント手段のカウント値が、所定の値より大きくなったときに通信用共有秘密鍵の更新を行うようにした。 Further, in the network connection device of the mobile communication network system according to claim 9, in the network connection device of the mobile communication network system according to claim 8, the communication shared secret key update means is provided in the network connection device. In addition, the shared secret key for communication is updated when the count value of the elapsed time counting means for counting the passage of time since the generation of the shared secret key for communication becomes larger than a predetermined value. .
請求項10に記載の発明は、請求項1または請求項2に記載の移動通信端末の共有秘密鍵の更新方法をコンピュータに実行させるように構成したことを特徴とする移動通信端末の共有秘密鍵の更新プログラムである。また、請求項11に記載の発明は、請求項3または請求項4に記載のネットワーク接続装置の共有秘密鍵の更新方法をコンピュータに実行させるように構成したことを特徴とするネットワーク接続装置の共有秘密鍵の更新プログラムである。 The invention described in claim 10 is configured to cause a computer to execute the method for updating the shared secret key of the mobile communication terminal according to claim 1 or 2. It is an update program. The invention according to claim 11 is configured to cause a computer to execute the shared secret key updating method for a network connection apparatus according to claim 3 or claim 4. It is a secret key update program.
請求項1、請求項3、請求項5、請求項6、請求項8、請求項10および請求項11の発明により、移動通信ネットワークシステムの移動通信端末およびネットワーク接続装置において、通信用共有秘密鍵および制御用共有秘密鍵を生成し、ハンドオーバが行われるときには、移動通信端末がそのときに通信していたネットワーク接続装置における通信用共有秘密鍵および制御用共有秘密鍵をコンテキストデータとともにハンドオーバされる側のネットワーク接続装置へ引き継がせ、かつ、必要に応じて通信用共有秘密鍵を更新することを可能にする手順、手段およびプログラムが提供される。その結果、移動通信ネットワークシステムにおいて、ハンドオーバにより移動通信端末が無線通信する相手のネットワーク接続装置が変わった場合にも適用可能な移動通信端末およびネットワーク接続装置の共有秘密鍵の更新方法を実現することができる。そして、適宜共有秘密鍵を更新することによって、移動通信端末およびネットワーク接続装置の共有秘密鍵が解読されることを防止することができる。 According to the first, third, fifth, sixth, sixth, eighth, tenth and eleventh aspects of the invention, in the mobile communication terminal and the network connection device of the mobile communication network system, the communication shared secret key When the control shared secret key is generated and the handover is performed, the communication shared secret key and the control shared secret key in the network connection apparatus with which the mobile communication terminal was communicating at the time are handed over together with the context data. There are provided a procedure, means, and program which can be transferred to the network connection device and can update the shared secret key for communication as necessary. As a result, in a mobile communication network system, a mobile communication terminal and a method for updating a shared secret key of the network connection apparatus that can be applied even when the network connection apparatus with which the mobile communication terminal communicates wirelessly changes due to handover are realized. Can do. Then, by appropriately updating the shared secret key, it is possible to prevent the shared secret key of the mobile communication terminal and the network connection device from being decrypted.
また、請求項2、請求項4、請求項7および請求項9の発明は、請求項1、請求項3、請求項6および請求項8の発明の発明に対し、共有秘密鍵が更新された以降経時時間をカウントする経時時間カウント手段を追加したものである。その結果、通信で使用する共有秘密鍵を所定の時間ごとに変更することでできるようになり、第三者により共有秘密鍵が解読されること困難にすることができる。 Further, in the inventions of claims 2, 4, 7, and 9, the shared secret key is updated with respect to the inventions of claims 1, 3, 6, and 8. Thereafter, an elapsed time counting means for counting the elapsed time is added. As a result, the shared secret key used for communication can be changed every predetermined time, and it is difficult for the third party to decrypt the shared secret key.
以下、図面を参照して本発明の実施の形態について詳細に説明する。
図3は、本発明の実施の形態における(a)移動通信端末の機能ブロックの構成、および、(b)ネットワーク接続装置の機能ブロックの構成を示した図である。また、図4は、本発明の実施の形態における移動通信端末およびネットワーク接続装置のハードウエア構成を示した図である。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
FIG. 3 is a diagram showing (a) the functional block configuration of the mobile communication terminal and (b) the functional block configuration of the network connection device in the embodiment of the present invention. FIG. 4 is a diagram showing a hardware configuration of the mobile communication terminal and the network connection device in the embodiment of the present invention.
図3(a)において、移動通信端末20は、通信用共有秘密鍵生成手段201と、制御用共有秘密鍵生成手段202と、接続変更通知メッセージ送信手段203と、通信用共有秘密鍵更新手段207と、経時時間カウント手段208とを含んで構成される。また、図3(b)においてネットワーク接続装置10は、通信用共有秘密鍵生成手段101と、制御用共有秘密鍵生成手段102と、接続変更通知メッセージ受信手段103と、接続変更情報転送メッセージ送信手段104と、接続変更情報転送メッセージ受信手段105と、共有秘密鍵設定手段106と、通信用共有秘密鍵更新手段107と、経時時間カウント手段108とを含んで構成される。 3A, the mobile communication terminal 20 includes a communication shared secret key generation unit 201, a control shared secret key generation unit 202, a connection change notification message transmission unit 203, and a communication shared secret key update unit 207. And an elapsed time counting means 208. 3B, the network connection apparatus 10 includes a communication shared secret key generation unit 101, a control shared secret key generation unit 102, a connection change notification message reception unit 103, and a connection change information transfer message transmission unit. 104, a connection change information transfer message receiving unit 105, a shared secret key setting unit 106, a communication shared secret key updating unit 107, and an elapsed time counting unit 108.
図3(a)において、通信用共有秘密鍵生成手段201は、移動通信端末20がネットワーク接続装置10との間で行う通信の通信情報を暗号化または復号化するための通信用共有秘密鍵を生成する。また、制御用共有秘密鍵生成手段202は、通信用共有秘密鍵を生成するための制御用共有秘密鍵を生成する。また、接続変更通知メッセージ送信手段203は、当該移動通信端末20が通信中のネットワーク接続装置10を当該ネットワーク接続装置10でないネットワーク接続装置へ接続変更する判断をしたときに、通信中のネットワーク接続装置10および接続変更後に通信するネットワーク接続装置(図示せず)に対して、接続変更を通知する接続変更通知メッセージを送信する。また、通信用共有秘密鍵更新手段207は、所定の時間間隔ごとに、制御用共有秘密鍵から新たな通信用共有秘密鍵を生成し、ネットワーク接続装置10との間の通信で使用する通信用共有秘密鍵を、新たに生成した通信用共有秘密鍵によって更新する。また、経時時間カウント手段208は、通信用共有秘密鍵が生成されたとき以降の時間の経過をカウントする。 In FIG. 3A, a communication shared secret key generation unit 201 generates a communication shared secret key for encrypting or decrypting communication information of communication performed by the mobile communication terminal 20 with the network connection device 10. Generate. Further, the control shared secret key generation unit 202 generates a control shared secret key for generating a communication shared secret key. In addition, the connection change notification message transmission unit 203 determines whether to change the connection of the network connection device 10 with which the mobile communication terminal 20 is communicating to a network connection device other than the network connection device 10. 10 and a network connection device (not shown) that communicates after the connection is changed, a connection change notification message for notifying the connection change is transmitted. The communication shared secret key update unit 207 generates a new communication shared secret key from the control shared secret key at predetermined time intervals and uses it for communication with the network connection device 10. The shared secret key is updated with the newly generated communication shared secret key. The elapsed time counting means 208 counts the passage of time after the communication shared secret key is generated.
図3(b)において、通信用共有秘密鍵生成手段101は、ネットワーク接続装置10が移動通信端末20との間で行う通信の通信情報を暗号化または復号化するための通信用共有秘密鍵を生成する。また、制御用共有秘密鍵生成手段102は、通信用共有秘密鍵を生成するための制御用共有秘密鍵を生成する。また、接続変更通知メッセージ受信手段103は、移動通信端末20から送信されたネットワーク接続装置10の接続変更を通知する接続変更通知メッセージを受信する。 In FIG. 3B, the communication shared secret key generation unit 101 uses a communication shared secret key for encrypting or decrypting communication information of communication performed by the network connection apparatus 10 with the mobile communication terminal 20. Generate. Further, the control shared secret key generation unit 102 generates a control shared secret key for generating a communication shared secret key. Further, the connection change notification message receiving unit 103 receives a connection change notification message for notifying the connection change of the network connection device 10 transmitted from the mobile communication terminal 20.
さらに、接続変更情報転送メッセージ送信手段104は、ネットワーク接続装置10と通信中の移動通信端末20から送信された接続変更通知メッセージを受信した場合に、通信用共有秘密鍵および前記制御用共有秘密鍵の情報を含んだ接続変更情報転送メッセージを、変更後のネットワーク接続装置(図示せず)に対して送信する。また、接続変更情報転送メッセージ受信手段105は、当該ネットワーク接続装置10でないネットワーク接続装置(図示せず)から送信された接続変更情報転送メッセージを受信する。 Further, when the connection change information transfer message transmitting unit 104 receives a connection change notification message transmitted from the mobile communication terminal 20 in communication with the network connection apparatus 10, the communication shared secret key and the control shared secret key are transmitted. The connection change information transfer message including the above information is transmitted to the network connection device (not shown) after the change. The connection change information transfer message receiving unit 105 receives a connection change information transfer message transmitted from a network connection device (not shown) that is not the network connection device 10.
さらに、また、共有秘密鍵設定手段106は、ネットワーク接続装置10と通信をしてない移動通信端末(図示せず)から送信された接続変更通知メッセージを受信し、かつ、当該ネットワーク接続装置10でないネットワーク接続装置(図示せず)から送信された接続変更情報転送メッセージを受信した場合に、その接続変更情報転送メッセージに含まれている通信用共有秘密鍵および制御用共有秘密鍵の情報に基づき、ネットワーク接続装置10が使用する通信用共有秘密鍵および制御用共有秘密鍵を設定する。また、通信用共有秘密鍵更新手段107は、所定の時間間隔ごとに、制御用共有秘密鍵から新たな通信用共有秘密鍵を生成し、移動通信端末20との間の通信で使用する通信用共有秘密鍵を、新たに生成した通信用共有秘密鍵によって更新する。また、経時時間カウント手段108は、通信用共有秘密鍵が生成されたとき以降の時間の経過をカウントする。 Furthermore, the shared secret key setting means 106 receives a connection change notification message transmitted from a mobile communication terminal (not shown) that is not communicating with the network connection device 10 and is not the network connection device 10. When a connection change information transfer message transmitted from a network connection device (not shown) is received, based on the communication shared secret key and control shared secret key information included in the connection change information transfer message, A communication shared secret key and a control shared secret key used by the network connection apparatus 10 are set. Further, the communication shared secret key updating unit 107 generates a new communication shared secret key from the control shared secret key at predetermined time intervals and uses it for communication with the mobile communication terminal 20. The shared secret key is updated with the newly generated communication shared secret key. The elapsed time counting means 108 counts the passage of time after the communication shared secret key is generated.
図4において、ネットワーク接続装置10のハードウエアは、CPU(Central Processing Unit)71、記憶装置72、表示装置73、キーボード74、ネットワークインターフェース75および通信装置76を含んで構成され、その主要部は、コンピュータの形態をなしている。また、移動通信端末20のハードウエアは、CPU81、記憶装置82、キーボタン83、表示装置84および通信装置85を含んで構成され、その主要部は、ネットワーク接続装置10と同様にコンピュータの形態をなしている。
In FIG. 4, the hardware of the network connection device 10 includes a CPU (Central Processing Unit) 71, a storage device 72, a display device 73, a keyboard 74, a network interface 75, and a communication device 76. It is in the form of a computer. The hardware of the mobile communication terminal 20 includes a
ここで、CPU71、81は、中央演算処理装置であり、記憶装置72、82に格納されているプログラムに従って、そのプログラムが指示する演算処理等の情報処理を実行する。また、記憶装置72、82は、中央演算処理装置等を動作させるためのプログラムが格納されるとともに、そのプログラムが操作する情報(データ)を格納する。また、キーボード74およびキーボタン83は、CPU71、81が実行するプログラムに対して、人間が情報を入力する手段として用いられる。また、表示装置73、84は、CPU71、81によって実行されるプログラムが、人間に対して情報を表示する手段として用いられる。
Here, the
また、通信装置76、85は、ネットワーク接続装置10と移動通信端末20とを無線通信によって結合するための通信装置である。移動通信端末20の通信装置85は、例えば、携帯電話機であってもよく、また、ネットワーク接続装置10の通信装置76は、例えば、携帯電話基地局の通信装置であってもよい。また、ネットワークインターフェース75は、IP網30を構成するケーブルにつなげられ、ハードウエアレベルおよびハードウエアに近いレイヤーのプロトコル制御を行う。 The communication devices 76 and 85 are communication devices for connecting the network connection device 10 and the mobile communication terminal 20 by wireless communication. The communication device 85 of the mobile communication terminal 20 may be a mobile phone, for example, and the communication device 76 of the network connection device 10 may be a communication device of a mobile phone base station, for example. The network interface 75 is connected to a cable constituting the IP network 30 and performs protocol control at a hardware level and a layer close to the hardware.
ここで、図3における通信用共有秘密鍵生成手段101、制御用共有秘密鍵生成手段102、接続変更通知メッセージ受信手段103、接続変更情報転送メッセージ送信手段104、接続変更情報転送メッセージ受信手段105、共有秘密鍵設定手段106および通信用共有秘密鍵更新手段107は、いずれも、ネットワーク接続装置10におけるプログラムであり、これらは、記憶装置72に格納され、CPU71によって実行される。また、図3における通信用共有秘密鍵生成手段201、制御用共有秘密鍵生成手段202、接続変更通知メッセージ送信手段203および通信用共有秘密鍵更新手段207は、いずれも、移動通信端末20におけるプログラムであり、これらは、記憶装置82に格納され、CPU81によって実行される。
Here, the communication shared secret key generation unit 101, the control shared secret key generation unit 102, the connection change notification message reception unit 103, the connection change information transfer message transmission unit 104, the connection change information transfer message reception unit 105, FIG. Both the shared secret key setting unit 106 and the communication shared secret key update unit 107 are programs in the network connection device 10, which are stored in the storage device 72 and executed by the
次に、図5〜図8を用いて、本実施形態における共有秘密鍵の更新手順について説明する。ここで、図5は、本実施形態においてハンドオーバが行われる場合の移動通信ネットワークの構成および共有秘密鍵の共有状態を模式的に示した図である。また、図6は、本実施形態においてハンドオーバが行われる場合の通信用共有秘密鍵の更新処理の流れを示した図である。また、図7は、本実施形態においてIKE(Internet Key Exchange)手順による制御用共有秘密鍵および通信用秘密鍵を生成する処理の流れを示した図である。また、図8は、本実施形態においてIKE手順による通信用秘密鍵を生成する処理の流れを示した図である。なお、IKE手順の詳細は、IETF(Internet Engineering Task Force)の技術文書であるRFC2409(D. Harkins D. Carrel, "The Internet Key Exchange (IKE)", Nov. 1998)に公開されている。 Next, a shared secret key update procedure according to the present embodiment will be described with reference to FIGS. Here, FIG. 5 is a diagram schematically showing the configuration of the mobile communication network and the shared state of the shared secret key when handover is performed in the present embodiment. FIG. 6 is a diagram showing the flow of the process for updating the shared secret key for communication when handover is performed in the present embodiment. FIG. 7 is a diagram showing a flow of processing for generating a control shared secret key and a communication secret key by an IKE (Internet Key Exchange) procedure in the present embodiment. FIG. 8 is a diagram showing a flow of processing for generating a communication secret key according to the IKE procedure in the present embodiment. Details of the IKE procedure are disclosed in RFC 2409 (D. Harkins D. Carrel, “The Internet Key Exchange (IKE)”, Nov. 1998), which is a technical document of the IETF (Internet Engineering Task Force).
図5において、コンテキストトランスファー技術に準拠したアクセスルータAR11、AR12がIP網30に接続され、移動通信端末MN21が、無線通信手段によりアクセスルータAR11に接続されている。また、通信相手端末CN31が、IP網30の他端に接続されている。そして、移動通信端末MN21は、アクセスルータAR11およびIP網30を介して通信相手端末CN31と通信を行っている。
なお、アクセスルータとは、図3および図4ではネットワーク接続装置10と称したものである。
In FIG. 5, access routers AR11 and AR12 conforming to the context transfer technology are connected to the IP network 30, and a mobile communication terminal MN21 is connected to the access router AR11 by wireless communication means. In addition, a communication partner terminal CN31 is connected to the other end of the IP network 30. The mobile communication terminal MN21 communicates with the communication partner terminal CN31 via the access router AR11 and the IP network 30.
The access router is called the network connection device 10 in FIGS. 3 and 4.
移動通信端末MN21がアクセスルータAR11を介して通信相手端末CN31と通信を行っているとき、アクセスルータAR11は、移動通信端末MN21がIP網30を介して通信相手端末CN31と通信するために必要なパラメータであるコンテキストデータ23を保持している。コンテキストデータ23には、移動通信端末MN21とアクセスルータAR11との間の通信におけるヘッダ圧縮アルゴリズムや、移動通信端末MN21−通信相手端末CN31間トラフィックのQoSパラメータなどの情報が含まれる。 When the mobile communication terminal MN21 is communicating with the communication counterpart terminal CN31 via the access router AR11, the access router AR11 is necessary for the mobile communication terminal MN21 to communicate with the communication counterpart terminal CN31 via the IP network 30. It holds context data 23 that is a parameter. The context data 23 includes information such as a header compression algorithm in communication between the mobile communication terminal MN21 and the access router AR11, and QoS parameters of traffic between the mobile communication terminal MN21 and the communication partner terminal CN31.
また、移動通信端末MN21とアクセスルータAR11とは、移動通信端末MN21がアクセスルータAR11へ送信するコンテキスト転送活性要求メッセージ(以下、CTARメッセージと略す。)の認証を行うため、それぞれが通信用共有秘密鍵22および通信用共有秘密鍵22を更新するための制御用共有秘密鍵26を保持している。また、移動通信端末MN21は、通信用共有秘密鍵22が生成された以降の経過時間をカウントするカウンタ1を保持し、また、アクセスルータAR11も、通信用共有秘密鍵22が生成された以降の経過時間をカウントするカウンタ2を保持している。これらのカウンタ1及びカウンタ2は、図3における経時時間カウント手段208および経時時間カウント手段108に相当する。
Further, the mobile communication terminal MN21 and the access router AR11 authenticate a context transfer activation request message (hereinafter abbreviated as a CTAR message) transmitted from the mobile communication terminal MN21 to the access router AR11. A control shared
次に、図6〜図8に従い、ハンドオーバが行われる場合の通信用共有秘密鍵の更新処理の流れについて説明する。
図6において、まず、移動通信端末MN21が最初にIP網30に接続したときに、移動通信端末MN21とそのときに移動通信端末MN21に接続していたアクセスルータAR11とは、IKE手順に従って通信用共有秘密鍵22及び制御用共有秘密鍵26を生成する(ステップS20、S20a)。このステップにおいて行われるIKE手順について、図7を用いてさらに説明する。
Next, the flow of the process for updating the shared secret key for communication when handover is performed will be described with reference to FIGS.
In FIG. 6, first, when the mobile communication terminal MN21 is first connected to the IP network 30, the mobile communication terminal MN21 and the access router AR11 connected to the mobile communication terminal MN21 at that time are for communication according to the IKE procedure. The shared secret key 22 and the control shared secret key 26 are generated (steps S20 and S20a). The IKE procedure performed in this step will be further described with reference to FIG.
図7において、移動通信端末MN21が無線通信手段によりアクセスルータAR11と接続されると、移動通信端末MN21とアクセスルータAR11とは、IKE手順フェーズ1に従い、相互認証用事前共有秘密鍵28を使用して相互認証を行う(ステップS51)。ここで、相互認証を行う方法としては、公開鍵暗号認証方式や、デジタル署名方式などがあるが、いずれを使用してもよい。相互認証用事前共有秘密鍵28はそのときに用いられる暗号用秘密鍵である。そして、移動通信端末MN21とアクセスルータAR11とは、制御用共有秘密鍵26を生成し(ステップS52)、それをさらに相互認証する。 In FIG. 7, when the mobile communication terminal MN21 is connected to the access router AR11 by wireless communication means, the mobile communication terminal MN21 and the access router AR11 use the pre-shared secret key 28 for mutual authentication according to IKE procedure phase 1. Then, mutual authentication is performed (step S51). Here, as a method for performing mutual authentication, there are a public key encryption authentication method, a digital signature method, and the like, any of which may be used. The pre-shared secret key 28 for mutual authentication is an encryption secret key used at that time. Then, the mobile communication terminal MN21 and the access router AR11 generate a control shared secret key 26 (step S52), and further perform mutual authentication.
次に、移動通信端末MN21とアクセスルータAR11とは、IKE手順フェーズ2に従い、制御用共有秘密鍵26から通信用共有秘密鍵22を生成し(ステップS53)、カウンタ1およびカウンタ2のカウント動作を開始する。この後、移動通信端末MN21とアクセスルータAR11とは、この通信用共有秘密鍵22を用いて通信を行う。 Next, the mobile communication terminal MN21 and the access router AR11 generate the communication shared secret key 22 from the control shared secret key 26 according to the IKE procedure phase 2 (step S53), and perform the counting operations of the counter 1 and the counter 2 Start. Thereafter, the mobile communication terminal MN21 and the access router AR11 communicate using the communication shared secret key 22.
そして、図6へ戻って、移動通信端末MN21が何らかの手段で、接続するアクセスルータをアクセスルータAR11からアクセスルータAR12に変更する必要がある、すなわち、ハンドオーバする必要があると判断した場合には(ステップS21)、移動通信端末MN21は、アクセスルータAR11に対し、移動通信端末MN21の識別子、アクセスルータAR12の識別子、メッセージ自身の識別子および、通信用共有秘密鍵22で生成した移動通信端末MN21の識別子及びメッセージ自身の識別子の認証データを含むCTARメッセージを送信する(ステップS22)。ここで、CTARメッセージは、先に説明した接続変更通知メッセージに相当する。 Returning to FIG. 6, when the mobile communication terminal MN21 determines that it is necessary to change the access router to be connected from the access router AR11 to the access router AR12 by any means, that is, it is necessary to perform handover ( Step S21), the mobile communication terminal MN21 makes the identifier of the mobile communication terminal MN21, the identifier of the access router AR12, the identifier of the message itself, and the identifier of the mobile communication terminal MN21 generated by the shared secret key 22 for communication to the access router AR11 And a CTAR message including authentication data of the identifier of the message itself is transmitted (step S22). Here, the CTAR message corresponds to the connection change notification message described above.
ここで、移動通信端末MN21がハンドオーバの必要性を判断する方法の1つに、移動通信端末MN21における電波強度の監視がある。例えば、移動通信端末MN21がアクセスルータAR12から受信する電波強度が、アクセスルータAR11から受信する電波強度を上回った場合には、ハンドオーバが必要であると判断する。この場合、アクセスルータAR12から送信される無線信号には、無線アクセスポイントの識別子が含まれているので、例えば、移動通信端末MN21が無線アクセスポイントとアクセスルータAR12との対応関係を記憶しておくことにより、次に接続するアクセスルータがAR12であることを知ることができる。 Here, one of the methods by which the mobile communication terminal MN21 determines the necessity of handover is monitoring of the radio field intensity at the mobile communication terminal MN21. For example, when the radio field intensity received by the mobile communication terminal MN21 from the access router AR12 exceeds the radio field intensity received from the access router AR11, it is determined that a handover is necessary. In this case, since the wireless signal transmitted from the access router AR12 includes the identifier of the wireless access point, for example, the mobile communication terminal MN21 stores the correspondence between the wireless access point and the access router AR12. Thus, it can be known that the access router to be connected next is AR12.
アクセスルータAR11は、通信中の移動通信端末MN21からCTARメッセージを受信すると(ステップS24)、受信したCTARメッセージ中の移動通信端末MN21の識別子及びメッセージ自身の識別子に対して、通信用共有秘密鍵22を用いて認証データを生成する。アクセスルータAR11は、さらに、それを受信したCTARメッセージ中の認証データと比較することにより、受信したCTARメッセージの正当性を認証する(ステップS25)。これにより、アクセスルータAR11が受信したCTARメッセージは、移動通信端末MN21から送信され、第三者に書き換えられていないことが確認されたことになる。 When the access router AR11 receives the CTAR message from the mobile communication terminal MN21 in communication (step S24), the access router AR11 uses the communication shared secret key 22 for the identifier of the mobile communication terminal MN21 and the identifier of the message itself in the received CTAR message. Authentication data is generated using The access router AR11 further authenticates the validity of the received CTAR message by comparing it with the authentication data in the received CTAR message (step S25). Thereby, it is confirmed that the CTAR message received by the access router AR11 is transmitted from the mobile communication terminal MN21 and has not been rewritten by a third party.
そこで、アクセスルータAR11は、移動通信端末MN21のコンテキストデータ23、通信用共有秘密鍵22、制御用共有秘密鍵26およびカウンタ2の値を含むCTDメッセージを、アクセスルータAR12に送信する(ステップS26)。アクセスルータAR12は、アクセスルータAR11が送信したそのCTDメッセージを受信する(ステップS27)。アクセスルータAR12は、そのCTDメッセージを受信すると、そのCTDメッセージ中に含まれている通信用共有秘密鍵22が生成されてからの経過時間を示すカウント値によって、アクセスルータAR12内のカウンタ3を初期化し、そのカウンタ3によって、通信用共有秘密鍵22が生成されたとき以降の経過時間のカウントの継続を開始する。ここで、CTDメッセージは、先に説明した接続変更情報転送メッセージに相当する。
Therefore, the access router AR11 transmits a CTD message including the context data 23 of the mobile communication terminal MN21, the communication shared secret key 22, the control shared
一方、MN21は、移動し、さらにアクセスルータAR12に近づくと、アクセスルータAR12に対し、移動通信端末MN21の識別子、アクセスルータAR11の識別子、メッセージ自身の識別子、通信用共有秘密鍵22で生成した移動通信端末MN21の識別子およびメッセージ自身の識別子の認証データを含むCTARメッセージを送信する(ステップS23)。 On the other hand, when the MN 21 moves and further approaches the access router AR12, the access router AR12 is generated with the identifier of the mobile communication terminal MN21, the identifier of the access router AR11, the identifier of the message itself, and the shared secret key 22 for communication. A CTAR message including authentication data of the identifier of the communication terminal MN21 and the identifier of the message itself is transmitted (step S23).
アクセスルータAR12は、通信していない移動通信端末MN21からCTARメッセージを受信すると(ステップS28)、受信したCTARメッセージ中に含まれている移動通信端末MN21の識別子及びメッセージ自身の識別子に対して、通信用共有秘密鍵22を用いて認証データを生成する。そして、その認証データを、受信したCTARメッセージに含まれている認証データと比較することにより、受信したCTARメッセージの正当性を認証する(ステップS29)。これにより、受信されたCTARメッセージは、移動通信端末MN21から送信され、第三者に書き換えられていないことが確認されたことになる。 When the access router AR12 receives the CTAR message from the mobile communication terminal MN21 that is not communicating (step S28), the access router AR12 communicates with the identifier of the mobile communication terminal MN21 and the identifier of the message itself included in the received CTAR message. Authentication data is generated using the shared secret key 22 for use. Then, the authenticity of the received CTAR message is authenticated by comparing the authentication data with the authentication data included in the received CTAR message (step S29). Thus, it is confirmed that the received CTAR message is transmitted from the mobile communication terminal MN21 and has not been rewritten by a third party.
そこで、アクセスルータAR12は、受信したCTDメッセージに含まれているコンテキストデータ23を用いて、移動通信端末MN21がIP網30を介して通信相手端末CN31との間で通信を行うために必要となる通信パラメータを設定する(ステップS30)。これで、ハンドオーバが終了し、これ以降、移動通信端末MN21は、アクセスルータAR12を介して、通信相手端末CN31と通信を行う。 Therefore, the access router AR12 is necessary for the mobile communication terminal MN21 to communicate with the communication counterpart terminal CN31 via the IP network 30 using the context data 23 included in the received CTD message. Communication parameters are set (step S30). Thus, the handover is completed, and thereafter, the mobile communication terminal MN21 communicates with the communication partner terminal CN31 via the access router AR12.
次に、移動通信端末MN21およびアクセスルータAR12は、カウンタ1及びカウンタ3の値が、あらかじめ設定された所定の閾値を越えた場合には(ステップS31でYes、ステップS31bでYes)、IKE手順に従い、制御用共有秘密鍵26を用いて新たな通信用共有秘密鍵27を生成し、その通信用共有秘密鍵27によってそれまで使用していた通信用共有秘密鍵22を更新する(ステップS32、S32b)。
Next, the mobile communication terminal MN21 and the access router AR12 follow the IKE procedure when the values of the counter 1 and the counter 3 exceed a predetermined threshold set in advance (Yes in step S31, Yes in step S31b). Then, a new communication shared secret key 27 is generated using the control shared
ステップS32およびステップS32bにおいては、IKE手順のフェーズ2が用いられる。図8に示すように、移動通信端末MN21およびアクセスルータAR12は、IKE手順フェーズ2に従い、それぞれ制御用共有秘密鍵26から新たな通信用共有秘密鍵27を生成し(ステップS61)、新たに生成した通信用共有秘密鍵27をそれ以降の通信で使用するようになる(ステップS62)。そして、通信用共有秘密鍵27生成後の経時時間をカウントするカウンタ1およびカウンタ3をリセットし、新たに経時時間のカウントを開始する(ステップS63)。 In step S32 and step S32b, phase 2 of the IKE procedure is used. As shown in FIG. 8, the mobile communication terminal MN21 and the access router AR12 respectively generate a new communication shared secret key 27 from the control shared secret key 26 according to the IKE procedure phase 2 (step S61). The communication shared secret key 27 is used in the subsequent communication (step S62). Then, the counter 1 and the counter 3 that count the elapsed time after the generation of the communication shared secret key 27 are reset, and the counting of the elapsed time is newly started (step S63).
以上に説明したように、本実施形態においては、制御用共有秘密鍵26を設け、通信用共有秘密鍵22が生成されたとき以降の時間の経過をカウントするカウンタ1、2、3を設けたことにより、所定の時間ごとに制御用共有秘密鍵26により通信用共有秘密鍵22を更新することができるようになった。そのため、第三者による通信用共有秘密鍵22の解読を防止することができる。また、ハンドオーバ時には、アクセスルータAR11、AR12間においてコンテキストデータ23とともに制御用共有秘密鍵26、通信用共有秘密鍵22およびカウンタ2の値を受け渡すことができるようにしたため、この通信用共有秘密鍵22を更新する方法は、ハンドオーバが行われても適用することができる。
As described above, in the present embodiment, the control shared
なお、以上の説明において、経時時間カウント手段108、すなわち、カウンタ1、2、3は、通信用共有秘密鍵22が生成されたとき以降の時間の経過をカウントするカウンタとしているが、時間の経過に相当するものをカウントするカウンタであれば、例えば、通信用共有秘密鍵22が生成されたとき以降に通信されたメッセージの数やメッセージのデータ量をカウントするカウンタであってもよい。 In the above description, the elapsed time counting means 108, that is, the counters 1, 2, and 3 are counters that count the passage of time since the communication shared secret key 22 was generated. May be a counter that counts the number of messages and the data amount of messages communicated after the communication shared secret key 22 is generated.
また、以上の本実施形態は、コンテキストトランスファー技術に適用した例となっているが、コンテキストトランスファー技術に限定されることなく、移動通信端末が移動時にその移動通信端末と通信するネットワーク接続装置を変更する技術において、移動通信端末とネットワーク接続装置との間の通信で使用する共有秘密鍵を更新する技術として一般に広く適用することができる。 In addition, the present embodiment described above is an example applied to the context transfer technology. However, the present invention is not limited to the context transfer technology, and the network connection device that communicates with the mobile communication terminal when the mobile communication terminal moves is changed. In general, it can be widely applied as a technique for updating a shared secret key used in communication between a mobile communication terminal and a network connection device.
1,2,3 カウンタ
10 ネットワーク接続装置
20 移動通信端末
101,201 通信用共有秘密鍵生成手段
102,202 制御用共有秘密鍵生成手段
103 接続変更通知メッセージ受信手段
104 接続変更情報転送メッセージ送信手段
105 接続変更情報転送メッセージ受信手段
106 共有秘密鍵設定手段
107,207 通信用共有秘密鍵更新手段
108,208 経時時間カウント手段
203 接続変更通知メッセージ送信手段
207 通信用共有秘密鍵更新手段
208 経時時間カウント手段
30,100 IP網
71,81 CPU
72,82 記憶装置
73,84 表示装置
74 キーボード
75 ネットワークインターフェース
76,85 通信装置
83 キーボタン
22,27 通信用共有秘密鍵
23,230 コンテキストデータ
26 制御用共有秘密鍵
28 相互認証用事前共有秘密鍵
220 共有秘密鍵
MN21,MN210 移動通信端末
CN31,CN310 通信相手端末
AR11,AR12,AR110,AR120 アクセスルータ
1, 2, 3 Counter 10 Network connection device 20 Mobile communication terminal 101, 201 Communication shared secret key generation means 102, 202 Control shared secret key generation means 103 Connection change notification message reception means 104 Connection change information transfer message transmission means 105 Connection change information transfer message receiving means 106 Shared secret key setting means 107, 207 Communication shared secret key updating means 108, 208 Time-lapse time counting means 203 Connection change notification message sending means 207 Communication shared secret key updating means 208 Time-lapse time counting means 30,100
72, 82 Storage device 73, 84 Display device 74 Keyboard 75 Network interface 76, 85 Communication device 83 Key button 22, 27 Shared secret key for communication 23, 230
Claims (11)
前記ネットワーク接続装置との間の通信情報を暗号化または復号化するための通信用共有秘密鍵を生成する通信用共有秘密鍵生成ステップと、
前記通信用共有秘密鍵を生成するための制御用共有秘密鍵を生成する制御用共有秘密鍵生成ステップと、
当該移動通信端末が通信中のネットワーク接続装置を当該ネットワーク接続装置でないネットワーク接続装置へ接続変更する判断をしたときに、前記通信中のネットワーク接続装置および接続変更後に通信する前記ネットワーク接続装置に対して、接続変更を通知する接続変更通知メッセージを送信する接続変更通知メッセージ送信ステップと、
所定の時間間隔ごとに、前記制御用共有秘密鍵から新たな通信用共有秘密鍵を生成し、前記ネットワーク接続装置との間の通信で使用する通信用共有秘密鍵を、前記新たに生成した通信用共有秘密鍵によって更新する通信用共有秘密鍵更新ステップと
を含むことを特徴とする移動通信端末の共有秘密鍵の更新方法。 Mobile communication terminal in a mobile communication network system comprising a mobile communication terminal, a network stretched over the ground, and a network connection device that communicates with the mobile communication terminal by wireless communication means and connects the mobile communication terminal to the network A method for updating the shared secret key of
A communication shared secret key generating step for generating a communication shared secret key for encrypting or decrypting communication information with the network connection device; and
A control shared secret key generating step for generating a control shared secret key for generating the communication shared secret key;
When the mobile communication terminal determines to change the network connection device in communication to a network connection device that is not the network connection device, the network connection device in communication and the network connection device that communicates after the connection change A connection change notification message sending step for sending a connection change notification message for notifying a connection change;
At a predetermined time interval, a new communication shared secret key is generated from the control shared secret key, and a communication shared secret key used for communication with the network connection device is generated in the newly generated communication. A shared secret key update method for a mobile communication terminal, comprising: a communication shared secret key update step for updating with a shared secret key for communication.
前記通信用共有秘密鍵更新ステップは、当該移動通信端末に備えられて、前記通信用共有秘密鍵が生成されたとき以降の時間の経過をカウントする経時時間カウント手段のカウント値が、所定の値より大きくなったときに行われること
を特徴とする移動通信端末の共有秘密鍵の更新方法。 The method for updating a shared secret key of a mobile communication terminal according to claim 1,
The communication shared secret key update step is provided in the mobile communication terminal, and the count value of the elapsed time counting means for counting the passage of time after the communication shared secret key is generated is a predetermined value. A method for updating a shared secret key of a mobile communication terminal, characterized in that the method is performed when it becomes larger.
前記移動通信端末との間の通信情報を暗号化または復号化するための通信用共有秘密鍵を生成する通信用共有秘密鍵生成ステップと、
前記通信用共有秘密鍵を生成するための制御用共有秘密鍵を生成する制御用共有秘密鍵生成ステップと、
前記移動通信端末から送信されたネットワーク接続装置の接続変更を通知する接続変更通知メッセージを受信する接続変更通知メッセージ受信ステップと、
当該ネットワーク接続装置と通信中の前記移動通信端末から送信された前記接続変更通知メッセージを受信した場合に、前記通信用共有秘密鍵および前記制御用共有秘密鍵の情報を含んだ接続変更情報転送メッセージを、変更後のネットワーク接続装置に対して送信する接続変更情報転送メッセージ送信ステップと、
当該ネットワーク接続装置でないネットワーク接続装置から送信された前記接続変更情報転送メッセージを受信する接続変更情報転送メッセージ受信ステップと、
当該ネットワーク接続装置と通信をしてない前記移動通信端末から送信された前記接続変更通知メッセージを受信し、かつ、当該ネットワーク接続装置でないネットワーク接続装置から送信された前記接続変更情報転送メッセージを受信した場合に、前記接続変更情報転送メッセージに含まれている前記通信用共有秘密鍵および前記制御用共有秘密鍵の情報に基づき、当該ネットワーク接続装置が使用する前記通信用共有秘密鍵および前記制御用共有秘密鍵を設定する共有秘密鍵設定ステップと、
所定の時間間隔ごとに、前記制御用共有秘密鍵から新たな通信用共有秘密鍵を生成し、前記移動通信端末との間の通信で使用する前記通信用共有秘密鍵を、前記新たに生成した通信用共有秘密鍵によって更新する通信用共有秘密鍵更新ステップと
を含むことを特徴とするネットワーク接続装置の共有秘密鍵の更新方法。 A network connection device in a mobile communication network system comprising a mobile communication terminal, a network stretched over the ground, and a network connection device that communicates with the mobile communication terminal by wireless communication means and connects the mobile communication terminal to the network A method for updating the shared secret key of
A communication shared secret key generating step for generating a communication shared secret key for encrypting or decrypting communication information with the mobile communication terminal; and
A control shared secret key generating step for generating a control shared secret key for generating the communication shared secret key;
A connection change notification message receiving step for receiving a connection change notification message for notifying a connection change of the network connection device transmitted from the mobile communication terminal;
When the connection change notification message transmitted from the mobile communication terminal in communication with the network connection device is received, a connection change information transfer message including information on the communication shared secret key and the control shared secret key A connection change information transfer message transmission step for transmitting to the network connection device after the change,
A connection change information transfer message receiving step for receiving the connection change information transfer message transmitted from a network connection device that is not the network connection device;
Received the connection change notification message transmitted from the mobile communication terminal not communicating with the network connection device, and received the connection change information transfer message transmitted from a network connection device that is not the network connection device The communication shared secret key and the control shared secret key used by the network connection device based on the information of the communication shared secret key and the control shared secret key included in the connection change information transfer message. A shared secret key setting step for setting a secret key;
At a predetermined time interval, a new communication shared secret key is generated from the control shared secret key, and the communication shared secret key used for communication with the mobile communication terminal is newly generated. A method for updating a shared secret key for a network connection apparatus, comprising: a communication shared secret key update step for updating with a communication shared secret key.
前記通信用共有秘密鍵更新ステップは、当該ネットワーク接続装置に備えられて、前記通信用共有秘密鍵が生成されたとき以降の時間の経過をカウントする経時時間カウント手段のカウント値が、所定の値より大きくなったときに行われること
を特徴とするネットワーク接続装置の共有秘密鍵の更新方法。 The method for updating a shared secret key of a network connection device according to claim 3,
In the communication shared secret key update step, the count value of the elapsed time counting means provided in the network connection device for counting the passage of time after the communication shared secret key is generated is a predetermined value. A method for updating a shared secret key of a network connection device, which is performed when the size becomes larger.
相互に通信を開始した前記移動通信端末と前記ネットワーク接続装置とが、それぞれ、その通信される情報を暗号化または復号化するための通信用共有秘密鍵を生成する通信用共有秘密鍵生成ステップと、
前記移動通信端末と前記ネットワーク接続装置とが、それぞれ、前記通信用共有秘密鍵を生成するための制御用共有秘密鍵を生成する制御用共有秘密鍵生成ステップと、
前記移動通信端末が、通信中のネットワーク接続装置を当該ネットワーク接続装置でないネットワーク接続装置へ接続変更する判断をしたときに、前記通信中のネットワーク接続装置および接続変更後に通信する前記ネットワーク接続装置に対して、接続変更を通知する接続変更通知メッセージを送信する接続変更通知メッセージ送信ステップと、
前記ネットワーク接続装置が、前記移動通信端末から送信された前記接続変更通知メッセージを受信する接続変更通知メッセージ受信ステップと、
前記ネットワーク接続装置が、通信中の前記移動通信端末から送信された前記接続変更通知メッセージを受信した場合に、前記通信用共有秘密鍵および前記制御用共有秘密鍵の情報を含んだ接続変更情報転送メッセージを、変更後のネットワーク接続装置に対して送信する接続変更情報転送メッセージ送信ステップと、
前記ネットワーク接続装置が、当該ネットワーク接続装置でないネットワーク接続装置から送信された前記接続変更情報転送メッセージを受信する接続変更情報転送メッセージ受信ステップと、
前記ネットワーク接続装置が、通信をしてない前記移動通信端末から送信された前記接続変更通知メッセージを受信し、かつ、当該ネットワーク接続装置でないネットワーク接続装置から送信された前記接続変更情報転送メッセージを受信した場合に、前記接続変更情報転送メッセージに含まれている前記通信用共有秘密鍵および前記制御用共有秘密鍵の情報に基づき、当該ネットワーク接続装置が使用する前記通信用共有秘密鍵および前記制御用共有秘密鍵を設定する共有秘密鍵設定ステップと、
前記移動通信端末と前記移動通信端末とが、それぞれ、所定の時間間隔ごとに、前記制御用共有秘密鍵から新たな通信用共有秘密鍵を生成し、前記移動通信端末と前記移動通信端末との間の通信でそれぞれ使用する前記通信用共有秘密鍵を、前記新たに生成した通信用共有秘密鍵によって更新する通信用共有秘密鍵更新ステップと
を含むことを特徴とする移動通信ネットワークシステムにおける共有秘密鍵の更新方法。 A shared secret key in a mobile communication network system comprising a mobile communication terminal, a network stretched over the ground, and a network connection device that communicates with the mobile communication terminal by wireless communication means and connects the mobile communication terminal to the network Update method,
A communication shared secret key generating step for generating a communication shared secret key for encrypting or decrypting the information to be communicated by the mobile communication terminal and the network connection device that have started communication with each other; and ,
The mobile communication terminal and the network connection device each generate a control shared secret key for generating a control shared secret key for generating the communication shared secret key;
When the mobile communication terminal determines to change the connection of a network connection device in communication to a network connection device that is not the network connection device, to the network connection device in communication and the network connection device that communicates after the connection change A connection change notification message sending step for sending a connection change notification message for notifying a connection change;
A connection change notification message receiving step in which the network connection device receives the connection change notification message transmitted from the mobile communication terminal;
When the network connection device receives the connection change notification message transmitted from the mobile communication terminal in communication, transfer of connection change information including information on the communication shared secret key and the control shared secret key A connection change information transfer message sending step for sending a message to the network connection device after the change;
A connection change information transfer message receiving step in which the network connection device receives the connection change information transfer message transmitted from a network connection device that is not the network connection device; and
The network connection device receives the connection change notification message transmitted from the mobile communication terminal that is not communicating, and receives the connection change information transfer message transmitted from a network connection device that is not the network connection device. The communication shared secret key and the control shared secret key used by the network connection device based on the information of the communication shared secret key and the control shared secret key included in the connection change information transfer message. A shared secret key setting step for setting a shared secret key;
The mobile communication terminal and the mobile communication terminal each generate a new communication shared secret key from the control shared secret key at predetermined time intervals, and the mobile communication terminal and the mobile communication terminal A shared secret key for communication in the mobile communication network system, wherein the shared secret key for communication is updated with the newly generated shared secret key for communication. How to update the key.
前記ネットワーク接続装置との間の通信情報を暗号化または復号化するための通信用共有秘密鍵を生成する通信用共有秘密鍵生成手段と、
前記通信用共有秘密鍵を生成するための制御用共有秘密鍵を生成する制御用共有秘密鍵生成手段と、
当該移動通信端末が通信中のネットワーク接続装置を当該ネットワーク接続装置でないネットワーク接続装置へ接続変更する判断をしたときに、前記通信中のネットワーク接続装置および接続変更後に通信する前記ネットワーク接続装置に対して、接続変更を通知する接続変更通知メッセージを送信する接続変更通知メッセージ送信手段と、
所定の時間間隔ごとに、前記制御用共有秘密鍵から新たな通信用共有秘密鍵を生成し、前記ネットワーク接続装置との間の通信で使用する前記通信用共有秘密鍵を、前記新たに生成した通信用共有秘密鍵によって更新する通信用共有秘密鍵更新手段と
を備えることを特徴とする移動通信ネットワークシステムの移動通信端末。 A mobile communication terminal of a mobile communication network system comprising a mobile communication terminal, a network stretched over the ground, and a network connection device that communicates with the mobile communication terminal by wireless communication means and connects the mobile communication terminal to the network Because
A communication shared secret key generating means for generating a communication shared secret key for encrypting or decrypting communication information with the network connection device;
A control shared secret key generating means for generating a control shared secret key for generating the communication shared secret key;
When the mobile communication terminal determines to change the network connection device in communication to a network connection device that is not the network connection device, the network connection device in communication and the network connection device that communicates after the connection change A connection change notification message sending means for sending a connection change notification message for notifying a connection change;
At a predetermined time interval, a new communication shared secret key is generated from the control shared secret key, and the communication shared secret key used for communication with the network connection device is newly generated. A mobile communication terminal of a mobile communication network system, comprising: a communication shared secret key updating means for updating with a communication shared secret key.
前記通信用共有秘密鍵更新手段は、当該移動通信端末に備えられて、前記通信用共有秘密鍵が生成されたとき以降の時間の経過をカウントする経時時間カウント手段のカウント値が、所定の値より大きくなったときに前記通信用共有秘密鍵の更新を行うこと
を特徴とする移動通信ネットワークシステムの移動通信端末。 In the mobile communication terminal of the mobile communication network system according to claim 6,
The communication shared secret key updating means is provided in the mobile communication terminal, and the count value of the elapsed time counting means for counting the passage of time after the communication shared secret key is generated is a predetermined value. The mobile communication terminal of the mobile communication network system, wherein the communication shared secret key is updated when it becomes larger.
前記移動通信端末との間の通信情報を暗号化または復号化するための通信用共有秘密鍵を生成する通信用共有秘密鍵生成手段と、
前記通信用共有秘密鍵を生成するための制御用共有秘密鍵を生成する制御用共有秘密鍵生成手段と、
前記移動通信端末から送信されたネットワーク接続装置の接続変更を通知する接続変更通知メッセージを受信する接続変更通知メッセージ受信手段と、
当該ネットワーク接続装置と通信中の前記移動通信端末から送信された前記接続変更通知メッセージを受信した場合に、前記通信用共有秘密鍵および前記制御用共有秘密鍵の情報を含んだ接続変更情報転送メッセージを、変更後のネットワーク接続装置に対して送信する接続変更情報転送メッセージ送信手段と、
当該ネットワーク接続装置でないネットワーク接続装置から送信された前記接続変更情報転送メッセージを受信する接続変更情報転送メッセージ受信手段と、
当該ネットワーク接続装置と通信をしてない前記移動通信端末から送信された前記接続変更通知メッセージを受信し、かつ、当該ネットワーク接続装置でないネットワーク接続装置から送信された前記接続変更情報転送メッセージを受信した場合に、前記接続変更情報転送メッセージに含まれている前記通信用共有秘密鍵および前記制御用共有秘密鍵の情報に基づき、当該ネットワーク接続装置が使用する前記通信用共有秘密鍵および前記制御用共有秘密鍵を設定する共有秘密鍵設定手段と、
所定の時間間隔ごとに、前記制御用共有秘密鍵から新たな通信用共有秘密鍵を生成し、前記移動通信端末との間の通信で使用する前記通信用共有秘密鍵を、前記新たに生成した通信用共有秘密鍵によって更新する通信用共有秘密鍵更新手段と
を備えることを特徴とする移動通信ネットワークシステムのネットワーク接続装置。 A network connection device of a mobile communication network system comprising a mobile communication terminal, a network stretched over the ground, and a network connection device that communicates wirelessly with the mobile communication terminal and connects the mobile communication terminal to the network. And
A communication shared secret key generating means for generating a communication shared secret key for encrypting or decrypting communication information with the mobile communication terminal;
A control shared secret key generating means for generating a control shared secret key for generating the communication shared secret key;
A connection change notification message receiving means for receiving a connection change notification message for notifying a connection change of the network connection device transmitted from the mobile communication terminal;
When the connection change notification message transmitted from the mobile communication terminal in communication with the network connection device is received, a connection change information transfer message including information on the communication shared secret key and the control shared secret key A connection change information transfer message transmission means for transmitting to the network connection device after the change,
A connection change information transfer message receiving means for receiving the connection change information transfer message transmitted from a network connection device that is not the network connection device;
Received the connection change notification message transmitted from the mobile communication terminal not communicating with the network connection device, and received the connection change information transfer message transmitted from a network connection device that is not the network connection device The communication shared secret key and the control shared secret key used by the network connection device based on the information of the communication shared secret key and the control shared secret key included in the connection change information transfer message. A shared secret key setting means for setting a secret key;
At a predetermined time interval, a new communication shared secret key is generated from the control shared secret key, and the communication shared secret key used for communication with the mobile communication terminal is newly generated. A network connection device for a mobile communication network system, comprising: a communication shared secret key updating means for updating with a communication shared secret key.
前記通信用共有秘密鍵更新手段は、当該ネットワーク接続装置に備えられて、前記通信用共有秘密鍵が生成されたとき以降の時間の経過をカウントする経時時間カウント手段のカウント値が、所定の値より大きくなったときに前記通信用共有秘密鍵の更新を行うこと
を特徴とする移動通信ネットワークシステムのネットワーク接続装置。 The network connection device of the mobile communication network system according to claim 8,
The communication shared secret key updating means is provided in the network connection device, and the count value of the elapsed time counting means for counting the passage of time since the generation of the communication shared secret key is a predetermined value. A network connection device of a mobile communication network system, wherein the communication shared secret key is updated when the communication secret key becomes larger.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004041016A JP2005236490A (en) | 2004-02-18 | 2004-02-18 | Mobile communication terminal and network connection apparatus in mobile communication network system, and update method of shared private key, and update program of shared private key |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004041016A JP2005236490A (en) | 2004-02-18 | 2004-02-18 | Mobile communication terminal and network connection apparatus in mobile communication network system, and update method of shared private key, and update program of shared private key |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005236490A true JP2005236490A (en) | 2005-09-02 |
Family
ID=35019021
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004041016A Pending JP2005236490A (en) | 2004-02-18 | 2004-02-18 | Mobile communication terminal and network connection apparatus in mobile communication network system, and update method of shared private key, and update program of shared private key |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005236490A (en) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007124643A (en) * | 2005-10-13 | 2007-05-17 | Mitsubishi Electric Information Technology Centre Europa Bv | Method and device for judging if handover procedure of mobile terminal has to be executed, method and device for transferring information of handover procedure of mobile terminal, computer program, and signal transferred from first and second base stations |
| JP2007267287A (en) * | 2006-03-29 | 2007-10-11 | Kyocera Corp | Communication system and transmission device |
| JP2008005276A (en) * | 2006-06-23 | 2008-01-10 | Casio Hitachi Mobile Communications Co Ltd | Communication terminal, communication control method and communication control program |
| JP2008048212A (en) * | 2006-08-17 | 2008-02-28 | Ntt Communications Kk | Radio communication system, radio base station device, radio terminal device, radio communication method, and program |
| JP2009509431A (en) * | 2005-09-19 | 2009-03-05 | ミツビシ・エレクトリック・アールアンドディー・センター・ヨーロッパ・ビーヴィ | Method for transferring context of a mobile terminal in a wireless communication network |
| JP2009531954A (en) * | 2006-03-28 | 2009-09-03 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Method and apparatus for processing keys used for encryption and integrity |
| JP2009535943A (en) * | 2006-04-28 | 2009-10-01 | クゥアルコム・インコーポレイテッド | Uninterrupted transmission while changing encryption settings |
| JP2012500573A (en) * | 2008-08-20 | 2012-01-05 | インテル コーポレイション | Apparatus, method and medium for dynamically handing over a master function |
| JP4851589B2 (en) * | 2006-08-09 | 2012-01-11 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | VRM selection |
| JP2012501604A (en) * | 2008-08-27 | 2012-01-19 | クゥアルコム・インコーポレイテッド | Integrity protection and / or encryption for UE registration to a wireless network |
| JP2012095305A (en) * | 2007-08-12 | 2012-05-17 | Lg Electronics Inc | Handover method with link failure recovery, and wireless device and base station for implementing such method |
| JP2013153980A (en) * | 2012-01-30 | 2013-08-15 | Sanyo Product Co Ltd | Game machine |
| JP2013153979A (en) * | 2012-01-30 | 2013-08-15 | Sanyo Product Co Ltd | Game machine |
| JP2013153981A (en) * | 2012-01-30 | 2013-08-15 | Sanyo Product Co Ltd | Game machine |
| US9106409B2 (en) | 2006-03-28 | 2015-08-11 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for handling keys used for encryption and integrity |
-
2004
- 2004-02-18 JP JP2004041016A patent/JP2005236490A/en active Pending
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009509431A (en) * | 2005-09-19 | 2009-03-05 | ミツビシ・エレクトリック・アールアンドディー・センター・ヨーロッパ・ビーヴィ | Method for transferring context of a mobile terminal in a wireless communication network |
| JP2007124643A (en) * | 2005-10-13 | 2007-05-17 | Mitsubishi Electric Information Technology Centre Europa Bv | Method and device for judging if handover procedure of mobile terminal has to be executed, method and device for transferring information of handover procedure of mobile terminal, computer program, and signal transferred from first and second base stations |
| US9641494B2 (en) | 2006-03-28 | 2017-05-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for handling keys used for encryption and integrity |
| US9106409B2 (en) | 2006-03-28 | 2015-08-11 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for handling keys used for encryption and integrity |
| KR101511789B1 (en) | 2006-03-28 | 2015-04-13 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | A method and apparatus for handling keys used for encryption and integrity |
| JP2009531954A (en) * | 2006-03-28 | 2009-09-03 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Method and apparatus for processing keys used for encryption and integrity |
| JP4619312B2 (en) * | 2006-03-29 | 2011-01-26 | 京セラ株式会社 | Communication system and transmitter |
| JP2007267287A (en) * | 2006-03-29 | 2007-10-11 | Kyocera Corp | Communication system and transmission device |
| JP2009535943A (en) * | 2006-04-28 | 2009-10-01 | クゥアルコム・インコーポレイテッド | Uninterrupted transmission while changing encryption settings |
| JP2012165422A (en) * | 2006-04-28 | 2012-08-30 | Qualcomm Inc | Uninterrupted transmission during change in ciphering configuration |
| US8948393B2 (en) | 2006-04-28 | 2015-02-03 | Qualcomm Incorporated | Uninterrupted transmission during a change in ciphering configuration |
| JP4741984B2 (en) * | 2006-06-23 | 2011-08-10 | Necカシオモバイルコミュニケーションズ株式会社 | Communication terminal, communication control method, and communication control program |
| JP2008005276A (en) * | 2006-06-23 | 2008-01-10 | Casio Hitachi Mobile Communications Co Ltd | Communication terminal, communication control method and communication control program |
| JP4851589B2 (en) * | 2006-08-09 | 2012-01-11 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | VRM selection |
| JP2008048212A (en) * | 2006-08-17 | 2008-02-28 | Ntt Communications Kk | Radio communication system, radio base station device, radio terminal device, radio communication method, and program |
| US8681694B2 (en) | 2007-08-12 | 2014-03-25 | Lg Electronics Inc. | Wireless device and method of transmitting uplink data and buffer status reports in a wireless communications system |
| US11653265B2 (en) | 2007-08-12 | 2023-05-16 | Wild Guard Ltd. | Reestablishment of lost radio link between user equipment and source node using cryptographic verification based on a secret key |
| US8913608B2 (en) | 2007-08-12 | 2014-12-16 | Lg Electronics Inc. | Wireless device and method of transmitting uplink data and buffer status reports in a wireless communications system |
| US11089509B2 (en) | 2007-08-12 | 2021-08-10 | Wild Guard Ltd. | Handover method with link failure recovery, a wireless device and a base station for implementing such method |
| JP2012095305A (en) * | 2007-08-12 | 2012-05-17 | Lg Electronics Inc | Handover method with link failure recovery, and wireless device and base station for implementing such method |
| US10440609B2 (en) | 2007-08-12 | 2019-10-08 | Wild Guard Ltd. | Handover method with link failure recovery, wireless device and base station for implementing such method |
| US9992716B2 (en) | 2007-08-12 | 2018-06-05 | Lg Electronics Inc. | Wireless device and method of transmitting uplink data and buffer status reports in a wireless communications system |
| US9319935B2 (en) | 2007-08-12 | 2016-04-19 | Lg Electronics Inc. | Handover method with link failure recovery, wireless device and base station for implementing such method |
| US9549353B2 (en) | 2007-08-12 | 2017-01-17 | Lg Electronics Inc. | Wireless device and method of transmitting uplink data and buffer status reports in a wireless communications system |
| JP2012500573A (en) * | 2008-08-20 | 2012-01-05 | インテル コーポレイション | Apparatus, method and medium for dynamically handing over a master function |
| US9276909B2 (en) | 2008-08-27 | 2016-03-01 | Qualcomm Incorporated | Integrity protection and/or ciphering for UE registration with a wireless network |
| JP2012501604A (en) * | 2008-08-27 | 2012-01-19 | クゥアルコム・インコーポレイテッド | Integrity protection and / or encryption for UE registration to a wireless network |
| JP2013153981A (en) * | 2012-01-30 | 2013-08-15 | Sanyo Product Co Ltd | Game machine |
| JP2013153980A (en) * | 2012-01-30 | 2013-08-15 | Sanyo Product Co Ltd | Game machine |
| JP2013153979A (en) * | 2012-01-30 | 2013-08-15 | Sanyo Product Co Ltd | Game machine |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1841260B1 (en) | Authentication system comprising a wireless terminal and an authentication device | |
| JP4575679B2 (en) | Wireless network handoff encryption key | |
| JP5894304B2 (en) | Method and apparatus for self-configuring a base station | |
| US9391776B2 (en) | Method and system for authenticating peer devices using EAP | |
| US9231759B2 (en) | Internet key exchange protocol using security associations | |
| KR101007955B1 (en) | Eap method for eap extensioneap-ext | |
| US20070271606A1 (en) | Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN | |
| JPWO2008096396A1 (en) | Wireless communication apparatus and encryption key update method | |
| US20020147820A1 (en) | Method for implementing IP security in mobile IP networks | |
| US8881305B2 (en) | Methods and apparatus for maintaining secure connections in a wireless communication network | |
| JP2011139457A (en) | System and method for secure transaction of data between wireless communication device and server | |
| JP2005236490A (en) | Mobile communication terminal and network connection apparatus in mobile communication network system, and update method of shared private key, and update program of shared private key | |
| WO2006093161A1 (en) | Key distribution control apparatus, radio base station apparatus, and communication system | |
| JP2010517329A (en) | Kerberos handover keying | |
| CN102348205A (en) | Relay device, wireless communications device, network system, program storage medium, and method | |
| WO2006003859A1 (en) | Communication handover method, communication message processing method, and communication control method | |
| JP2014099752A (en) | Communication device, communication system, and encryption algorithm execution method for the same communication system | |
| WO2007121669A1 (en) | Method and device and system for establishing wireless connection | |
| JP6123035B1 (en) | Protection of WLCP message exchange between TWAG and UE | |
| WO2012024905A1 (en) | Method, terminal and ggsn for encrypting and decrypting data in mobile communication network | |
| JP5043928B2 (en) | Method and apparatus for processing keys used for encryption and integrity | |
| JP2004248169A (en) | Communications control system, communication control method and program, and communication terminal | |
| JP2007282129A (en) | Radio information transmission system, radio communication terminal, and access point | |
| JP2010103943A (en) | Mobile communication network system, correspondent node, mobile node, home agent, and access gateway | |
| US20190281033A1 (en) | Communication apparatus, communication method, and program |