[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

DE60224161T2 - Kommunikationssystem, Servervorrichtung, Client-Einrichtung und Verfahren zur Steuerung derselben - Google Patents

Kommunikationssystem, Servervorrichtung, Client-Einrichtung und Verfahren zur Steuerung derselben Download PDF

Info

Publication number
DE60224161T2
DE60224161T2 DE60224161T DE60224161T DE60224161T2 DE 60224161 T2 DE60224161 T2 DE 60224161T2 DE 60224161 T DE60224161 T DE 60224161T DE 60224161 T DE60224161 T DE 60224161T DE 60224161 T2 DE60224161 T2 DE 60224161T2
Authority
DE
Germany
Prior art keywords
access point
authentication
communication device
encryption key
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60224161T
Other languages
English (en)
Other versions
DE60224161D1 (de
Inventor
Shunji Arai
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Publication of DE60224161D1 publication Critical patent/DE60224161D1/de
Application granted granted Critical
Publication of DE60224161T2 publication Critical patent/DE60224161T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Information Transfer Between Computers (AREA)

Description

  • Die Erfindung betrifft eine Servervorrichtung, die einen Zugangspunkt in einem Kommunikationssystem über einen Verschlüsselungsschlüssel informiert, der verwendet wird, wenn ein Client-Endgerät (d. h. ein Kommunikationsgerät) eine Kommunikation über den Zugangspunkt einleitet. Sie betrifft auch ein Verfahren zur Steuerung derselben, sowie ein Computer-lesbares Speichermedium, das Anweisungen zur Durchführung eines derartigen Verfahrens speichert.
  • Herkömmlich wurde ein Client-Endgerät in einem drahtlosen LAN-System mit einem Netzwerk über eine drahtlose Kommunikation mit einem Zugangspunkt in dem Netzwerk verbunden.
  • Es gibt auch ein drahtloses LAN-System, bei dem ein Client-Endgerät eine Authentisierung einer Verbindung zu einem Netzwerk über einen Zugangspunkt von einem Authentisierungsserver in einem Netzwerk empfängt.
  • Wenn in einem solchen System das Client-Endgerät eine Authentisierung von dem Authentisierungsserver empfängt, erzeugen das Client-Endgerät und der Authentisierungsserver einen Verschlüsselungsschlüssel eines "Wired Equivalent Privacy"-(WEP)Verschlüsselungssystems und informiert der Authentisierungsserver den Zugangspunkt über den erzeugten Verschlüsselungsschlüssel. Dann übermittelt das Client-Endgerät verschlüsselte Daten mit dem Zugangspunkt, indem der Verschlüsselungsschlüssel des WEP-Verschlüsselungssystems verwendet wird, um eine sichere bzw. geschützte drahtlose Kommunikation durchzuführen.
  • Im Übrigen ist ein übertragungs- bzw. kommunikationsfähiger Bereich des Zugangspunkts auf einen Bereich beschränkt, der durch elektrische Wellen erreicht wird. Andererseits kann das Client-Endgerät frei bewegt werden. Dementsprechend kann das Client-Endgerät von einem kommunikationsfähigen Bereich eines Zugangspunkts 1 in einen kommunikationsfähigen Bereich eines Zugangspunkts 2 bewegt werden. In diesem Fall muss das Client-Endgerät eine Authentisierung einer Verbindung zu dem Netzwerk von dem Authentisierungsserver erneut über eine drahtlose Kommunikation mit dem Zugangspunkt 2 empfangen, müssen das Client-Endgerät und der Authentisierungsserver einen neuen WEP-Schlüssel erzeugen, und muss der Authentisierungsserver den Zugangspunkt 2 über den neuen WEP-Schlüssel informieren.
  • Das heißt, dass eine Neuauthentisierung von dem Authentisierungsserver, eine Erzeugung eines neuen WEP-Schlüssels, eine Informierung über einen WEP-Schlüssel und dergleichen den Prozess verlängert haben, bis eine Kommunikation möglich wurde, wenn das Client-Endgerät den Zugangspunkt gewechselt hat. Folglich hat der Prozess Zeit gebraucht.
  • Zusätzlich wurde in einem System vieler Client-Endgeräte, da eine Authentisierung und Erzeugung eines WEP-Schlüssels einen Prozess verlängert haben, eine Last auf einem Authentisierungsserver unvermeidlich groß.
  • Außerdem wurde, da der Prozess Zeit gebraucht hat, wenn der Zugangspunkt gewechselt wurde, die Brauch- bzw. Nutzbarkeit reduziert.
  • Eine Servervorrichtung mit einer Authentisierungseinrichtung zum Authentisieren eines Kommunikationsgeräts, das mit einem ersten Zugangspunkt verbunden ist, und einer Informationseinrichtung zum Informieren des Zugangspunkts über einen Verschlüsselungsschlüssel, wenn eine gültige Authentisierung erfolgt, ist aus der WO-0124560-A und der WO-0296151-A bekannt.
  • Mit Blick auf eine Überwindung der hierin vorstehend erörterten Probleme ist in der internationalen Patentanmeldung WO-0221768-A2 eine Servervorrichtung offenbart, die aufweist:
    eine Authentisierungseinrichtung zum Authentisieren eines Kommunikationsgeräts, das über einen ersten Zugangspunkt mit einem Netzwerk verbunden ist;
    eine Informationseinrichtung zum Informieren des ersten Zugangspunkts, mit dem das Kommunikationsgerät verbunden ist, über einen Verschlüsselungsschlüssel gemäß dem Ergebnis der Authentisierung durch die Authentisierungseinrichtung;
    eine Bestimmungseinrichtung zum Bestimmen, ob das Kommunikationsgerät authentisiert wurde oder nicht, auf Grundlage von von einem Zugangspunkt mitgeteilten Identifikationsinformationen des Kommunikationsgeräts; und
    eine Steuereinrichtung zum i) Auffordern der Informationseinrichtung zum Informieren eines zweiten Zugangspunkts, an den die Identifikationsinformationen gemeldet werden, über den an den ersten Zugangspunkt mitgeteilten Verschlüsselungsschlüssel, wenn die Bestimmungseinrichtung bestimmt, dass das Kommunikationsgerät durch die Authentisierungseinrichtung mittels des ersten Zugangspunkts authentisiert wurde, und ii) Auffordern der Authentisierungseinrichtung zum Authentisieren des Kommunikationsgeräts, wenn die Bestimmungseinrichtung bestimmt, dass das Kommunikationsgerät nicht durch die Authentisierungseinrichtung authentisiert wurde.
  • Um diese Vorrichtung weiter zu verbessern, stellt die Erfindung eine Servervorrichtung gemäß Anspruch 1 bereit.
  • Die Erfindung stellt auch ein Steuerverfahren für die Servervorrichtung gemäß Anspruch 4, sowie ein Computerlesbares Speichermedium gemäß Anspruch 5 bereit. Vorteilhafte Ausführungsbeispiele davon sind in entsprechenden abhängigen Ansprüchen offenbart.
  • Weitere Merkmale der Erfindung werden beim Studium der detaillierten Beschreibung und der Zeichnungen ersichtlich.
  • In den begleitenden Zeichnungen gilt:
  • 1 ist eine Konfigurationsdarstellung eines Systems gemäß einem Ausführungsbeispiel der Erfindung;
  • 2 ist ein Blockschaltbild eines Zugangspunkts gemäß dem Ausführungsbeispiel der Erfindung;
  • 3 ist ein Blockschaltbild eines Client-Endgeräts gemäß dem Ausführungsbeispiel der Erfindung;
  • 4 ist eine Ablaufdarstellung, die einen Systembetrieb gemäß dem Ausführungsbeispiel der Erfindung zeigt; und
  • 5 ist eine Ablaufdarstellung des Systembetriebs gemäß dem Ausführungsbeispiel der Erfindung.
  • AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSBEISPIELE
  • Als Nächstes wird eine Beschreibung eines Ausführungsbeispiels der Erfindung vorgenommen.
  • 1 ist eine Konfigurationsdarstellung eines Systems gemäß dem Ausführungsbeispiel der Erfindung.
  • Ein Bezugszeichen 101 bezeichnet ein Netzwerk, mit dem ein Zugangspunkt A103 und ein Zugangspunkt B104 verbunden sind. Die beiden Zugangspunkte sind gemäß 1 gezeigt, aber die Anzahl von installierten Punkten ist nicht auf zwei beschränkt. Jeder der Zugangspunkte A103 und B104 kann eine drahtlose Kommunikation mit einem Client-Endgerät 105 durchführen, das in übertragungs- bzw. kommunikationsfähigen Bereichen 106, 107 gegenwärtig ist. Gemäß dem Ausführungsbeispiel wird als drahtloses Kommunikationssystem ein drahtloses lokales Netz (LAN) basierend auf einem Standard wie etwa IEEE 802.11, IEEE 802.11b oder IEEE 802.11a verwendet.
  • Das Bezugszeichen 105 stellt das Client-Endgerät dar, das über eine drahtlose Kommunikation mit dem Zugangspunkt A103 oder B104 mit dem Netzwerk 101 verbunden ist. Obwohl nicht gemäß 1 gezeigt, kann eine Vielzahl von Client-Endgeräten 105 gegenwärtig sein.
  • Ein Bezugszeichen 102 bezeichnet einen Authentisierungsserver, der das mit dem Netzwerk 101 verbundene Client-Endgerät 105 authentisiert und einen Verschlüsselungsschlüssel erzeugt, der in einem "Wired Equivalency Privacy"-(WEP)Verschlüsselungssystem verwendet wird.
  • 2 ist ein Blockschaltbild des Zugangspunkts A103.
  • Ein Fall des Zugangspunkts B104 ist ähnlich.
  • Ein Bezugszeichen 201 bezeichnet eine Drahtloseinheit, die drahtlose Daten übermittelt. Die Drahtloseinheit 201 besteht aus einer Sendeeinheit 210, einer Empfangseinheit 211 und einer Antenne 212.
  • Ein Bezugszeichen 202 bezeichnet eine Signalverarbeitungseinheit, die ein von der Empfangseinheit 211 empfangenes Signal erfasst, um dieses in ein digitales Signal zu konvertieren, und das Signal moduliert, um ein von einer Datenverarbeitungseinheit 203 gesendetes digitales Signal drahtlos zu übertragen. Zusätzlich hat die Signalverarbeitungseinheit 202 eine Funktion zum Hinzufügen eines Kopffelds oder dergleichen, um von der Datenverarbeitungseinheit 203 gesendete Daten für eine drahtlose Übertragung zu verwenden, und zum Entfernen eines Kopffelds oder dergleichen aus empfangenen Daten, um diese an die Datenverarbeitungseinheit 203 zu senden.
  • Das Bezugszeichen 203 stellt die Datenverarbeitungseinheit dar, die aus einer Sendedaten-Verarbeitungseinheit 205 zum Verschlüsseln von Daten von einer Netzwerkschnittstelle 208 mittels eines WEP-Verschlüsselungssystems und einer Empfangsdaten- Verarbeitungseinheit 206 zum Decodieren von verschlüsselten Daten besteht.
  • Ein Bezugszeichen 204 bezeichnet eine Steuereinheit, die eine Bestimmung der Gegenwart eines neuen Client-Endgeräts 105, eine Steuerung des gesamten Zugangspunkts A103 und dergleichen ausführt.
  • Ein Bezugszeichen 207 bezeichnet eine Speichereinheit, die einen Verschlüsselungsschlüssel für eine WEP-Verschlüsselung und Informationen bezüglich einer ID oder dergleichen des Client-Endgeräts 105 speichert.
  • Das Bezugszeichen 208 stellt die Netzwerkschnittstelle dar, die eine Schnittstelle zwischen dem Zugangspunkt A103 und dem Netzwerk 101 ist.
  • 3 ist ein Blockschaltbild des Client-Endgeräts 105.
  • Das Client-Endgerät 105 des Ausführungsbeispiels besteht aus einer Drahtlos-Kommunikationskarte.
  • Funktionen, die ähnlich zu denjenigen des gemäß 2 gezeigten Zugangspunkts A103 sind, sind mit ähnlichen Bezugszeichen bezeichnet.
  • Ein Bezugszeichen 301 bezeichnet eine Datenkommunikationsschnittstelle, die mit einem Informationsprozessor wie etwa einem Personal-Computer verbunden ist, um eine Datenkommunikation durchzuführen.
  • Ein Bezugszeichen 302 bezeichnet eine Speichereinheit, die einen Verschlüsselungsschlüssel für eine WEP-Verschlüsselung und Informationen bezüglich einer ID oder dergleichen des Client-Endgeräts 105 speichert, die für eine drahtlose Kommunikation mit dem Zugangspunkt A103 oder dem Zugangspunkt B104 notwendig sind. Gemäß dem Ausführungsbeispiel wird als ID des Client-Endgeräts 105 eine Medienzugriffssteuerung-(MAC)Adresse verwendet.
  • Als Nächstes wird eine Beschreibung eines Betriebs des gesamten Systems des Ausführungsbeispiels unter Bezugnahme auf die Zeichnungen vorgenommen.
  • Zunächst wird ein Prozess einer ersten Verbindung des Client-Endgeräts 105 mit dem Netzwerk 101 über den Zugangspunkt A103 erläutert, indem auf eine Ablaufdarstellung gemäß 4 Bezug genommen wird.
  • Das Client-Endgerät 105 führt eine offene Authentisierung in dem drahtlosen LAN aus, um mit dem Zugangspunkt A103 verbunden zu werden (S401).
  • Der Zugangspunkt A103 erhält eine ID des Client-Endgeräts 105 (S402).
  • Der Zugangspunkt A103 informiert den Authentisierungsserver 102 über die ID des Client-Endgeräts 105 (S403).
  • Der Authentisierungsserver 102 bestimmt, ob eine Authentisierung für die Verbindung des Client-Endgeräts 105 mit dem Netzwerk 101 abgeschlossen wurde oder nicht, basierend auf der von dem Zugangspunkt A103 mitgeteilten ID (S404). Das Client-Endgerät 105 stellt die Verbindung zum ersten Mal her, und die Authentisierung wurde nicht abgeschlossen. Daher wird bestimmt, dass die Authentisierung nicht abgeschlossen wurde.
  • Der Authentisierungsserver 102 fordert das Client-Endgerät 105 auf, einen Benutzernamen und ein Passwort einzugeben (S405).
  • Das Client-Endgerät 105 gibt den Benutzernamen und das Passwort ein (S406).
  • Um die Geheimhaltung des Benutzernamens und des Passworts zu steigern, die in Schritt S406 eingegeben wurden, führt das Client-Endgerät 105 eine nicht umkehrbare Zahlenwertverarbeitung aus, die Einweg-Hash genannt wird, und informiert es den Authentisierungsserver 102 über seine Einweg-Hash-Daten (S407).
  • Der Authentisierungsserver 102 ordnet die in Schritt S407 mitgeteilten Einweg-Hash-Daten einer Datengruppe bezüglich eines Benutzers zur Genehmigung einer Verbindung mit dem Netzwerk 101 zu, die in einer Datenbank in dem Authentisierungsserver 102 gespeichert ist. Ergibt ein Ergebnis der Zuordnung übereinstimmende Daten, wird dem Client-Endgerät 105 die Verbindung mit dem Netzwerk 101 genehmigt, und wird die ID des Client-Endgeräts 105 gespeichert (S408).
  • Das Client-Endgerät 105 und der Authentisierungsserver 102 erzeugen einen Verschlüsselungsschlüssel, der WEP-Sitzungsschlüssel genannt wird (S409). Der WEP-Sitzungsschlüssel ist ein Verschlüsselungsschlüssel, der in dem WEP-Verschlüsselungssystem verwendet wird und nur zur Verschlüsselung von Verkehr des Client-Endgeräts 105 gültig ist.
  • Der Authentisierungsserver 102 speichert den erzeugten WEP-Sitzungsschlüssel in Zusammenhang mit der ID des Client-Endgeräts 105 und meldet diesen an den Zugangspunkt A103 (S410).
  • Der Zugangspunkt A103 verschlüsselt einen Rundsendungsschlüssel mit dem WEP-Sitzungsschlüssel (S411) und sendet den verschlüsselten Rundsendungsschlüssel an das Client-Endgerät 105 (S412). Der Rundsendungsschlüssel ist ein Verschlüsselungsschlüssel, der verwendet wird, wenn Daten verschlüsselt werden, die von dem Zugangspunkt A103 an eine Vielzahl von Client-Endgeräten 105 rundgesendet werden.
  • Das Client-Endgerät 105 decodiert den verschlüsselten Rundsendungsschlüssel durch Verwendung des in Schritt S409 erzeugten WEP-Sitzungsschlüssels, um einen Rundsendungsschlüssel zu erhalten (S413).
  • Der Zugangspunkt A103 und das Client-Endgerät 105 beginnen WEP-Verschlüsselungsvorgänge (S414, S415).
  • Dann übermittelt der Zugangspunkt A103 bei einer Kommunikation mit einem Client-Endgerät 105 (Punkt-zu-Punkt-Kommunikation) mit dem WEP-Sitzungsschlüssel verschlüsselte Daten, um eine sichere bzw. geschützte drahtlose Kommunikation durchzuführen (S416). Bei einer Rundsendungskommunikation mit einer Vielzahl von Client-Endgeräten 105 (Punkt-zu-Mehrpunkt-Kommunikation) übermittelt der Zugangspunkt A103 mit dem Rundsendungsschlüssel verschlüsselte Daten, um eine sichere bzw. geschützte drahtlose Kommunikation durchzuführen (S416).
  • 5 zeigt eine Ablaufdarstellung eines Betriebs, wenn das Client-Endgerät 105, für das eine Authentisierung seiner Verbindung mit dem Netzwerk 101 über den Zugangspunkt A103 abgeschlossen wurde, von dem kommunikationsfähigen Bereich 106 des Zugangspunkts A103 in den kommunikationsfähigen Bereich 107 des Zugangspunkts B104 bewegt wird, um über den Zugangspunkt B104 mit dem Netzwerk 101 verbunden zu werden.
  • Das Client-Endgerät 105 wird aus dem kommunikationsfähigen Bereich 106 des Zugangspunkts A103 heraus bewegt, so dass es mit dem Zugangspunkt A103 nicht kommunikationsfähig ist (S501). Dann wird das Client-Endgerät 105 in den kommunikationsfähigen Bereich 107 des Zugangspunkts B104 bewegt, so dass es mit dem Zugangspunkt B104 kommunikationsfähig ist.
  • Das Client-Endgerät 105 führt eine offene Authentisierung aus, um mit dem Zugangspunkt B104 verbunden zu werden (S502).
  • Der Zugangspunkt B104 erhält eine ID des Client-Endgeräts 105 (S503).
  • Der Zugangspunkt B104 informiert den Authentisierungsserver 102 über die ID des Client-Endgeräts 105 (S504).
  • Der Authentisierungsserver 102 bestimmt, ob eine Authentisierung für die Verbindung des Client-Endgeräts 105 mit dem Netzwerk 101 abgeschlossen wurde oder nicht, basierend auf der in Schritt S504 mitgeteilten ID und der gespeicherten ID des Client-Endgeräts 105, für das die Authentisierung abgeschlossen wurde (S505). Hier wurde für das Client-Endgerät 105 die Authentisierung seiner Verbindung mit dem Netzwerk 101 über den Zugangspunkt A103 in Schritt S408 abgeschlossen (4) und wurde die ID des Client-Endgeräts gespeichert. Daher wird bestimmt, dass die Authentisierung abgeschlossen wurde.
  • Der Authentisierungsserver 102 weist den Zugangspunkt A103 an, den in der Speichereinheit 207 gespeicherten WEP-Sitzungsschlüssel zu löschen, der für eine drahtlose Kommunikation mit dem Client-Endgerät 105 zu verwenden ist (S506).
  • Der Authentisierungsserver 102 informiert den Zugangspunkt B104 über den WEP-Sitzungsschlüssel, der in Schritt S410 (4) in Zusammenhang mit der ID des Client-Endgeräts 105 gespeichert wird (S507).
  • Der Zugangspunkt B104 verschlüsselt einen Rundsendungsschlüssel mit dem in Schritt S507 mitgeteilten WEP-Sitzungsschlüssel (S508) und sendet den verschlüsselten Rundsendungsschlüssel an das Client-Endgerät 105 (S509).
  • Das Client-Endgerät 105 decodiert den verschlüsselten Rundsendungsschlüssel mittels des in Schritt S409 (4) erzeugten WEP-Sitzungsschlüssels, um einen Rundsendungsschlüssel zu erhalten (S510).
  • Der Zugangspunkt B104 und das Client-Endgerät 105 beginnen WEP-Verschlüsselungsvorgänge (S511, S512).
  • Dann übermittelt der Zugangspunkt B104 bei einer Kommunikation mit einem Client-Endgerät 105 (Punkt-zu-Punkt-Kommunikation) Daten, die mit dem gleichen WEP-Sitzungsschlüssel wie demjenigen verschlüsselt sind, der für die Kommunikation zwischen dem Client-Endgerät 105 und dem Zugangspunkt A103 verwendet wird, um eine sichere bzw. geschützte drahtlose Kommunikation durchzuführen (S513). Bei einer Rundsendungskommunikation mit einer Vielzahl von Client-Endgeräten 105 (Punkt-zu-Mehrpunkt-Kommunikation) übermittelt der Zugangspunkt B104 Daten, die mit dem Rundsendungsschlüssel verschlüsselt sind, um eine sichere bzw. geschützte drahtlose Kommunikation durchzuführen (S513).
  • Bei dem Ausführungsbeispiel wird der in dem Authentisierungsserver 102 gespeicherte WEP-Sitzungsschlüssel in Schritt S507 an den Zugangspunkt B104 mitgeteilt. Der in dem Zugangspunkt A103 gespeicherte WEP-Sitzungsschlüssel kann jedoch über den Authentisierungsserver 102 an den Zugangspunkt B104 mitgeteilt werden.
  • Bei der vorangehenden Erläuterung war das Client-Endgerät 105 die Drahtlos-Kommunikationskarte. Eine Funktion, die ähnlich zu der Drahtlos-Kommunikationskarte ist, kann jedoch in einem Personal-Computer oder einem Persönlichen Digitalen Assistenten (PDA) eingebunden sein.
  • Es ist unnötig zu erwähnen, dass die Erfindung implementiert werden kann, indem ein Computer-lesbares Speichermedium, in dem Softwareprogrammteile zum Realisieren der Funktionen des Client-Endgeräts, der Zugangspunkte und des Authentisierungsservers gespeichert sind, an einem System oder einer Vorrichtung vorgesehen wird und das System oder ein Computer (wahlweise CPU oder MPU) der Vorrichtung veranlasst wird, die in dem Speichermedium gespeicherten Programmcodes zu lesen und auszuführen.
  • In einem solchen Fall realisieren die von dem Speichermedium gelesenen Programmcodes selbst die Funktionen des Ausführungsbeispiels und stellt das Speichermedium, in dem die Programmcodes gespeichert sind, die Erfindung dar.
  • Als das Speichermedium zur Lieferung der Programmcodes kann ein ROM, eine Diskette, eine Festplatte, eine optische Platte, eine magnetooptische Platte, eine CD-ROM, eine CD-R, ein Magnetband, eine nichtflüchtige Speicherkarte oder dergleichen verwendet werden.
  • Es ist unnötig zu erwähnen, dass bei der Erfindung nicht nur der Fall einer Realisierung der Funktionen des Ausführungsbeispiels mittels Ausführung der durch den Computer gelesenen Programmcodes, sondern auch ein Fall umfasst ist, bei dem basierend auf Anweisungen der Programmcodes ein Teil von dem oder der gesamte eigentliche Prozess mittels eines OS oder dergleichen ausgeführt wird, das auf dem Computer arbeitet, um die Funktionen des Ausführungsbeispiels zu realisieren.
  • Außerdem ist es unnötig zu erwähnen, dass bei der Erfindung ein Fall umfasst ist, bei dem die von dem Speichermedium gelesenen Programmcodes in eine CPU oder dergleichen geschrieben werden, die auf einer in den Computer eingeführten Funktionserweiterungsbaugruppe oder einer mit dem Computer verbundenen Funktionserweiterungseinheit bereitgestellt ist, und dann basierend auf Anweisungen der Programmcodes die CPU oder dergleichen, die auf der Funktionserweiterungsbaugruppe oder der Funktionserweiterungseinheit bereitgestellt ist, einen Teil von dem oder den gesamten eigentlichen Prozess ausführt, um die Funktionen des Ausführungsbeispiels zu realisieren.

Claims (5)

  1. Servervorrichtung (102) mit: einer Authentisierungseinrichtung zum Authentisieren (S404, S408) eines Kommunikationsgeräts (105), das über einen ersten Zugangspunkt (103) mit einem Netzwerk (101) verbunden ist; einer Informationseinrichtung zum Informieren (S410) des ersten Zugangspunkts, mit dem das Kommunikationsgerät verbunden ist, über einen Verschlüsselungsschlüssel gemäß dem Ergebnis der Authentisierung durch die Authentisierungseinrichtung; einer Bestimmungseinrichtung zum Bestimmen (S404 und S505), ob das Kommunikationsgerät (105) authentisiert wurde oder nicht, auf Grundlage von von einem Zugangspunkt (104) mitgeteilten Identifikationsinformationen des Kommunikationsgeräts; und einer Steuereinrichtung zum i) Auffordern der Informationseinrichtung zum Informieren (S507) eines zweiten Zugangspunkts (124), an den die Identifikationsinformationen gemeldet werden, über den an den ersten Zugangspunkt (103) mitgeteilten (S410) Verschlüsselungsschlüssel, wenn die Bestimmungseinrichtung bestimmt, dass das Kommunikationsgerät (106) durch die Authentisierungseinrichtung mittels des ersten Zugangspunkts authentisiert wurde, und ii) Auffordern der Authentisierungseinrichtung zum Authentisieren des Kommunikationsgeräts (105), wenn die Bestimmungseinrichtung bestimmt, dass das Kommunikationsgerät (106) nicht durch die Authentisierungseinrichtung authentisiert wurde, dadurch gekennzeichnet, dass sie ferner aufweist: eine Anweisungseinrichtung zum Anweisen (S506) des ersten Zugangspunkts (103) zum Löschen des Verschlüsselungsschlüssels, wenn das Kommunikationsgerät über den zweiten Zugangspunkt (104) mit dem Netzwerk (101) verbunden ist.
  2. Servervorrichtung gemäß Anspruch 1, ferner mit: einer Erzeugungseinrichtung zum Erzeugen (S409) des Verschlüsselungsschlüssels, der für eine Kommunikation zwischen dem Kommunikationsgerät (105) und dem ersten Zugangspunkt (103) verwendet wird, gemäß der Authentisierung (S408) durch die Authentisierungseinrichtung; und wobei die Servervorrichtung (102) eingerichtet ist zum Speichern des durch die Erzeugungseinrichtung erzeugten Verschlüsselungsschlüssels zur späteren Verwendung beim Informieren (S410) des zweiten Zugangspunkts (104) durch die Informationseinrichtung.
  3. Servervorrichtung gemäß Anspruch 1, ferner mit: einer Erzeugungseinrichtung zum Erzeugen (S409) des Verschlüsselungsschlüssels, der für eine Kommunikation zwischen dem Kommunikationsgerät und dem ersten Zugangspunkt (103) verwendet wird, gemäß der Authentisierung (S408) durch die Authentisierungseinrichtung; und wobei die Servervorrichtung (102) eingerichtet ist zum Erhalten des Verschlüsselungsschlüssels, der durch die Informationseinrichtung an den ersten Zugangspunkt (103) mitgeteilt wird (S410), von dem ersten Zugangspunkt (103).
  4. Steuerverfahren für eine Servervorrichtung (102), mit: einem Authentisierungsschritt (S408) eines Authentisierens eines Kommunikationsgeräts (105), das über einen ersten Zugangspunkt (103) mit einem Netzwerk (101) verbunden ist; einem Informationsschritt (S410) eines Informierens des ersten Zugangspunkts (103), mit dem das Kommunikationsgerät (105) verbunden ist, über einen Verschlüsselungsschlüssel gemäß dem Ergebnis der Authentisierung in dem Authentisierungsschritt; einem Bestimmungsschritt (S404 und S505) eines Bestimmens, ob das Kommunikationsgerät (105) authentisiert wurde oder nicht, auf Grundlage von von einem Zugangspunkt (104) mitgeteilten Identifikationsinformationen des Kommunikationsgeräts (105); und in Abhängigkeit von der in dem Bestimmungsschritt (S404 und S505) vorgenommenen Bestimmung: i) einem Informationsschritt (S507) eines Informierens eines zweiten Zugangspunkts (124), an den die Identifikationsinformationen gemeldet werden, über den an den ersten Zugangspunkt (103) mitgeteilten (S410) Verschlüsselungsschlüssel, wenn bestimmt wird, dass das Kommunikationsgerät (106) mittels des ersten Zugangspunkts authentisiert wurde, und ii) einem Authentisierungsschritt eines Authentisierens des Kommunikationsgeräts (105), wenn bestimmt wird, dass das Kommunikationsgerät (106) nicht authentisiert wurde, gekennzeichnet durch den Schritt: Anweisen (S506) des ersten Zugangspunkts (103) zum Löschen des Verschlüsselungsschlüssels, wenn das Kommunikationsgerät über den zweiten Zugangspunkt (104) mit dem Netzwerk (101) verbunden ist.
  5. Computer-lesbares Speichermedium mit Computerausführbaren Anweisungen, die die gemäß Anspruch 4 definierten Verfahrensschritte durchführen, wenn sie auf einem Computer ausgeführt werden.
DE60224161T 2001-12-19 2002-11-22 Kommunikationssystem, Servervorrichtung, Client-Einrichtung und Verfahren zur Steuerung derselben Expired - Lifetime DE60224161T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2001385869 2001-12-19
JP2001385869A JP3870081B2 (ja) 2001-12-19 2001-12-19 通信システム及びサーバ装置、ならびに制御方法及びそれを実施するためのコンピュータプログラム、該コンピュータプログラムを格納する記憶媒体

Publications (2)

Publication Number Publication Date
DE60224161D1 DE60224161D1 (de) 2008-01-31
DE60224161T2 true DE60224161T2 (de) 2008-12-04

Family

ID=19187882

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60224161T Expired - Lifetime DE60224161T2 (de) 2001-12-19 2002-11-22 Kommunikationssystem, Servervorrichtung, Client-Einrichtung und Verfahren zur Steuerung derselben

Country Status (5)

Country Link
US (1) US7424605B2 (de)
EP (1) EP1322091B1 (de)
JP (1) JP3870081B2 (de)
CN (1) CN1213563C (de)
DE (1) DE60224161T2 (de)

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8942375B2 (en) * 2002-09-17 2015-01-27 Broadcom Corporation Method and system for providing multiple encryption in a multi-band multi-protocol hybrid wired/wireless network
EP1547299B1 (de) * 2002-09-17 2012-11-14 Broadcom Corporation Verfahren und system zur bereitstellung von mehrfachverschlüsselung in einem hybriden drahtlosen/drahtgebundenen multiband-, multiprotokoll-netzwerk
US20040088550A1 (en) * 2002-11-01 2004-05-06 Rolf Maste Network access management
US7792527B2 (en) * 2002-11-08 2010-09-07 Ntt Docomo, Inc. Wireless network handoff key
US20040236939A1 (en) * 2003-02-20 2004-11-25 Docomo Communications Laboratories Usa, Inc. Wireless network handoff key
MXPA05009877A (es) * 2003-03-14 2006-02-28 Thomson Licensing Una arquitectura de punto de acceso a wlan flexible capaz de ordenar diferentes dispositivos del usuario.
US8077682B2 (en) * 2003-03-27 2011-12-13 Thomson Licensing Secure roaming between wireless access points
CN1830190A (zh) * 2003-07-29 2006-09-06 汤姆森特许公司 使用重定向控制对网络的接入
US7447177B2 (en) * 2003-08-26 2008-11-04 Intel Corporation Method and apparatus of secure roaming
EP1517475A1 (de) * 2003-09-16 2005-03-23 Axalto S.A. Smartcard-basierte Verschlüsselung in einer Wi-Fi-Kommunikation
US7930412B2 (en) * 2003-09-30 2011-04-19 Bce Inc. System and method for secure access
JP2005110112A (ja) * 2003-10-01 2005-04-21 Nec Corp 通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置。
JP4311174B2 (ja) 2003-11-21 2009-08-12 日本電気株式会社 認証方法、移動体無線通信システム、移動端末、認証側装置、認証サーバ、認証代理スイッチ及びプログラム
US7548744B2 (en) * 2003-12-19 2009-06-16 General Motors Corporation WIFI authentication method
WO2005086012A1 (ja) * 2004-03-08 2005-09-15 Global Friendship Inc. 電子端末装置保護システム
JP2005267529A (ja) * 2004-03-22 2005-09-29 Fujitsu Ltd ログイン認証方式、ログイン認証システム、認証プログラム、通信プログラムおよび記憶媒体
JP4689225B2 (ja) * 2004-10-15 2011-05-25 パナソニック株式会社 無線ネットワークシステム、無線端末収容装置及び通信装置
JP4375197B2 (ja) * 2004-10-25 2009-12-02 日本電気株式会社 無線lanシステム、無線端末、無線基地局、無線端末の通信設定方法及びそのプログラム
US20070152076A1 (en) * 2004-12-13 2007-07-05 Chiang Kuo C Monitoring system with a wireless transmitting/receiving module
US7990998B2 (en) * 2004-12-22 2011-08-02 Qualcomm Incorporated Connection setup using flexible protocol configuration
FI20050393A0 (fi) 2005-04-15 2005-04-15 Nokia Corp Avainmateriaalin vaihto
KR100619998B1 (ko) 2005-04-30 2006-09-06 엘지전자 주식회사 이동 통신 단말기의 사전 인증 방법 및 시스템
WO2006124030A1 (en) * 2005-05-16 2006-11-23 Thomson Licensing Secure handoff in a wireless local area network
JP4713955B2 (ja) * 2005-06-13 2011-06-29 株式会社日立製作所 認証システム、無線通信端末及び無線基地局
DE202005021930U1 (de) 2005-08-01 2011-08-08 Corning Cable Systems Llc Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen
US7392037B2 (en) * 2005-08-19 2008-06-24 Intel Corporation Wireless communication device and methods for protecting broadcasted management control messages in wireless networks
DE102006008745A1 (de) 2005-11-04 2007-05-10 Siemens Ag Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels
US20070165582A1 (en) * 2006-01-18 2007-07-19 Puneet Batta System and method for authenticating a wireless computing device
JP4914075B2 (ja) * 2006-01-31 2012-04-11 株式会社アイ・オー・データ機器 暗号鍵設定方法、ネットワークシステム、無線lan用中継器、無線lanアダプタ、および暗号鍵設定プログラム
DE102006042554B4 (de) * 2006-09-11 2009-04-16 Siemens Ag Verfahren und System zum kontinuierlichen Übertragen von verschlüsselten Daten eines Broadcast-Dienstes an ein mobiles Endgerät
JP4841519B2 (ja) 2006-10-30 2011-12-21 富士通株式会社 通信方法、通信システム、鍵管理装置、中継装置及びコンピュータプログラム
JP2010518779A (ja) * 2007-02-13 2010-05-27 デバイススケープ・ソフトウェア・インコーポレーテッド 無線ソーシャルネットワーキングを可能にするためのシステム及び方法
JP2008236483A (ja) * 2007-03-22 2008-10-02 Sanyo Electric Co Ltd 通信方法ならびにそれを利用した端末装置および基地局装置
US7907735B2 (en) * 2007-06-15 2011-03-15 Koolspan, Inc. System and method of creating and sending broadcast and multicast data
JP2009130603A (ja) * 2007-11-22 2009-06-11 Sanyo Electric Co Ltd 通信方法およびそれを利用した基地局装置、端末装置、制御装置
KR101655264B1 (ko) 2009-03-10 2016-09-07 삼성전자주식회사 통신시스템에서 인증 방법 및 시스템
US9197420B2 (en) * 2010-01-06 2015-11-24 International Business Machines Corporation Using information in a digital certificate to authenticate a network of a wireless access point
US9768956B2 (en) * 2010-07-28 2017-09-19 General Motors Llc Methods and systems for facilitating communications between vehicles and service providers
WO2012066556A1 (en) 2010-11-17 2012-05-24 Ruckus Wireless Inc. Cross access login controller
CN102223633B (zh) * 2011-07-06 2013-12-04 华为技术有限公司 一种wlan认证的方法,装置和系统
KR101232861B1 (ko) 2012-05-29 2013-02-14 ㈜ 엘케이컴즈 네트워크 중계 시스템 및 그 제공방법
JP5820355B2 (ja) * 2012-09-28 2015-11-24 株式会社クボタ 作業機のデータ通信システム
US10028179B2 (en) * 2013-05-31 2018-07-17 Qualcomm Incorporated Reducing signaling during AP to AP handoff in dense networks
WO2016126491A1 (en) 2015-02-02 2016-08-11 Eero, Inc. Systems and methods for intuitive home networking
US9955406B2 (en) 2016-09-27 2018-04-24 Eero Inc. Methods for network configuration sharing
CN106790255A (zh) * 2017-01-24 2017-05-31 北京元心科技有限公司 端对端加密通信方法及系统
JP2019050446A (ja) * 2017-09-07 2019-03-28 株式会社アウトスタンディングテクノロジー アクセス制御方法とその装置
CN109194663A (zh) * 2018-09-13 2019-01-11 郑州云海信息技术有限公司 一种基于云计算的文件存储及下载的方法及装置

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3082686B2 (ja) 1996-11-07 2000-08-28 日本電気株式会社 Macブリッジ制御方法とその装置
US6108789A (en) * 1998-05-05 2000-08-22 Liberate Technologies Mechanism for users with internet service provider smart cards to roam among geographically disparate authorized network computer client devices without mediation of a central authority
US6772331B1 (en) * 1999-05-21 2004-08-03 International Business Machines Corporation Method and apparatus for exclusively pairing wireless devices
SE519471C2 (sv) * 1999-09-20 2003-03-04 Ericsson Telefon Ab L M Metod för att etablera en säker förbindelse mellan accesspunkter och en mobilterminal i ett paketförmedlat nät
GB9922847D0 (en) * 1999-09-27 1999-11-24 Simoco Int Ltd Radio communications
JP3570310B2 (ja) 1999-10-05 2004-09-29 日本電気株式会社 無線lanシステムにおける認証方法と認証装置
JP3570311B2 (ja) 1999-10-07 2004-09-29 日本電気株式会社 無線lanの暗号鍵更新システム及びその更新方法
US7486952B1 (en) 2000-02-09 2009-02-03 Alcatel-Lucent Usa Inc. Facilitated security for handoff in wireless communications
JP3450808B2 (ja) * 2000-08-25 2003-09-29 株式会社東芝 電子機器及び接続制御方法
US6691227B1 (en) * 2000-09-08 2004-02-10 Reefedge, Inc. Location-independent packet routing and secure access in a short-range wireless networking environment
JP2002125270A (ja) 2000-10-18 2002-04-26 Oki Electric Ind Co Ltd 移動端末接続方法
US20020174335A1 (en) * 2001-03-30 2002-11-21 Junbiao Zhang IP-based AAA scheme for wireless LAN virtual operators
US20020197979A1 (en) * 2001-05-22 2002-12-26 Vanderveen Michaela Catalina Authentication system for mobile entities
US20030084287A1 (en) * 2001-10-25 2003-05-01 Wang Huayan A. System and method for upper layer roaming authentication

Also Published As

Publication number Publication date
DE60224161D1 (de) 2008-01-31
CN1213563C (zh) 2005-08-03
JP3870081B2 (ja) 2007-01-17
EP1322091A1 (de) 2003-06-25
US20030115460A1 (en) 2003-06-19
CN1427554A (zh) 2003-07-02
US7424605B2 (en) 2008-09-09
JP2003188885A (ja) 2003-07-04
EP1322091B1 (de) 2007-12-19

Similar Documents

Publication Publication Date Title
DE60224161T2 (de) Kommunikationssystem, Servervorrichtung, Client-Einrichtung und Verfahren zur Steuerung derselben
DE60307587T2 (de) Radio Kommunikationensystem, verteilten Schlüssel Verwaltungsserver und Terminal
DE60011990T2 (de) Verfahren und Vorrichtung in einem Kommunikationsnetzwerk
DE69635714T2 (de) Teilnehmer authentifizierung in einem mobilen kommunikationssystem
DE69914999T2 (de) Verfahren zur Authentisierung und Absprache zwischen zwei Teilnehmern
DE60222227T2 (de) Kommunikationssystem, drahtlose Kommunikationsvorrichtung und Kommunikationsverfahren
DE60313910T2 (de) Verfahren und Aufzeichungsmedium zur Steuerung des Netzzuganges in einer drahtlosen Umgebung
DE602004005461T2 (de) Mobile Authentifizierung für den Netzwerkzugang
DE112009000416B4 (de) Zweiwege-Authentifizierung zwischen zwei Kommunikationsendpunkten unter Verwendung eines Einweg-Out-Of-Band(OOB)-Kanals
DE60017292T2 (de) Authentifizierungsverfahren zwischen einem Teilnehmer und einem Dienstleister, der durch einen Netzbetreiber erreichbar ist, mittels Bereitstellung eines gesicherten Kanals
DE602004008731T2 (de) Visuelle Codierung einer Inhaltsadresse zur Ermöglichung von Datenübertragungen zwischen Digitalgeräten
DE69930318T2 (de) Vertragsportabilität für drahtlose systeme
DE69727641T2 (de) Verfahren zum Senden einer sicheren Botschaft in einem Telekommunikationssystem
DE69937322T2 (de) Verfahren zum Aktualisieren von geheimen gemeinsam genutzten Daten in einem drahtlosen Kommunikationssystem
DE60211919T2 (de) Projektor zum projizieren des passworts
DE60211360T2 (de) Verfahren zum authentisieren eines benutzers in einem endgerät, authentisierungssystem, endgerät und authorisierungseinrichtung
EP3077952B1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems
DE112005002651T5 (de) Verfahren und Vorrichtung zur Authentifikation von mobilen Vorrichtungen
EP2289016B1 (de) Verwendung eines mobilen telekommunikationsgeräts als elektronische gesundheitskarte
DE112015002927B4 (de) Generierung und Verwaltung geheimer Chiffrierschlüssel auf Kennwortgrundlage
EP3078177B1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems mit hilfe eines modifizierten domain name systems (dns)
DE10124111A1 (de) System und Verfahren für verteilte Gruppenverwaltung
DE602004011554T2 (de) Verfahren und vorrichtung zum authentifizieren bei der drahtlosen kommunikation
DE102021209124A1 (de) Systeme und verfahren zum datenschutz einer multilink-vorrichtung
EP0980635A2 (de) Verfahren und vorrichtung zum authentisieren von mobilfunkteilnehmern

Legal Events

Date Code Title Description
8364 No opposition during term of opposition