Method for secure confidential communications for use in a wireless local area network (wlan)

発明の分野 この発明は無線ローカルエリアネットワーク（ＷＬＡＮ）への移動端末の安全なアクセスと無線リンクを介した安全なデータ通信とのための方法および、無線通信技術と暗号化技術とを組合わせた製品に関する。

背景技術 個人的通信の目的は、ある者が、いつでもどこでも誰とでもいかなる通信をも行ない得るようにし、かつネットワークで提供される多数のサービスを自由に楽しめるようにすることである。 ＩＰ技術および無線通信技術のような２つの普及している技術を組み入れることにより、ＷＬＡＮ技術は広帯域開発の傾向に従って、便利な高速インターネットアクセスサービスを備えた移動メインフレームまたは移動端末を提供して、高速ネットワークおよびマルチメディア通信サービスに対する益々増大する需要を満たす。 ＷＬＡＮは移動計算を支持するだけでなく、フレームワークの柔軟性、能率性および拡張性をも有する。 図１は、主に移動端末（ＭＴ）、アクセスポイント（ＡＰ）および無線アクセスサーバ（ＷＡＳ）のような装置を含む、ＷＬＡＮに基づく広帯域無線アクセスネットワークの構造を示す図であって、ＭＴは自由に移動可能なままであり、ＡＰは、セル間のハンドオフ、ＭＴ管理およびブリッジングを含むセル管理の機能を行ない、ＷＡＳはＭＴネットワーク間ローミング管理を行なう。 固定アクセスから移動無線アクセス、インターネットへと、ＷＬＡＮに基づく広帯域無線ＩＰ技術は、世界規模のネットワーク環境に新しい概念を持ち込み、かつ多大な影響を与えた。 並外れて広い用途を有するシステムは、商用ネットワーク（主に企業のイントラネット）、機関ユーザのネットワーク（たとえば公安、金融および政府各省）、エリアネットワーク（たとえば学校、病院、住宅区、リモートモニタまたは集中モニタ）、一時的ネットワーク（たとえば一時的会議）、屋外での移動加入者、および配線が困難でありかつ一定の変更に関わる場所において、非常に有用である。

ＷＬＡＮについては、そのセキュリティの問題は有線のネットワークよりも圧倒的に深刻な事項である。 その事項については、いくつかのレベルの手段がその問題に対処するためにＷＬＡＮに組み入れられている。 第１に、ＡＰごとに異なったサービスセットＩＤ（ＳＳＩＤ）を与え、ＭＴにアクセス時に対応のＳＳＩＤを提示させることにより、異なったグループのユーザのアクセスを可能にし、かつリソースへのアクセス権を区別して制限する。 しかしながら、ＳＳＩＤの使用は、ＳＳＩＤを知っている誰もがネットワークにアクセスできるので、認証の最も目に見える（ocular）方法の１つであって、比較的低レベルのセキュリティ認証である。 第２はアドレス制限であって、すなわち、ＡＰにおいて認証されたＭＴ無線カードのメディアアクセス制御（ＭＡＣ）アドレステーブルを配置することにより無許可のアクセスを防ぐ。 しかしながら、無線カードのＭＡＣアドレスは取得することが困難ではなく偽造が可能である。 したがって、これも許可のための比較的低レベルの認証である。 いずれにしても、これら２つの方法のいずれもＭＴのアクセスを有効に制御することができず、通信の機密性を確実にすることがいっそう不可能である。

上記の２つの方法以外に、現在より広く用いられている手段は、ＷＬＡＮの国際標準（ＩＥＥＥ８０２．１１）に基づき、ＷＬＡＮに、データ通信および送信のためのＲＣ−４に基づくワイヤード・エクイヴァレント・プライバシー（Wired Equivalent Privacy, ＷＥＰ）機密性機構を導入することである。 ＷＥＰアルゴリズムは単一鍵システムを用いるものであって、すなわち同じ秘密鍵を暗号化／解読に用い、秘密鍵は６４または１２８ビットの長さであり、４０または１０４ビットが開始秘密鍵として知られる固定部分であって、すなわちＡＰおよびＭＴに配置されるものであり、残りの２４ビットが開始ベクトルとして知られる可変部分であり、これは通信の処理においてネットワークカードのドライバソフトウェアによって変更されるべきものである。 すなわち、暗号化のための鍵は可変であって、これはある程度、無線通信の機密性を確実にする。 しかしながら、開始ベクトルの変動の規則性のために、ＷＥＰアルゴリズムはそれほど安全ではない。 これは最初に２００１年３月に米国カリフォルニア州立大学の研究チームにより発見された。 彼らはＷＥＰアルゴリズムのＷＬＡＮがこの理由のために５時間以内に破られ得ると指摘した。 開始ベクトル値がフレームごとに１の追加の率で変化し、各フレームは１５００バイト長さであってデータ送信の率は１１メガビットであると想定すると、開始ベクトルは以下の期間で繰返す。

１５００バイト／フレーム×８ビット／バイト×１秒／（１１×１０ ⁶ビット）×２ ²⁴フレーム≒１８３００秒≒５時間 すなわち同じ秘密鍵で暗号化された２フレームテキストが５時間間隔で得られ、こうして開始秘密鍵の値を推測するかまたは計算することが可能である。 ここで指摘すべきことは、秘密鍵の長さはその解読時間に影響しないが、推測および計算を複雑にすることである。 ２００１年８月に、２人のイスラエルのワイツマン研究所（Weizmann Research Institute）の専門家および１人のシスコインコーポレイション（Cisco Incorporation）の研究者を含む３人の世界で有数の解読専門家が、ＷＥＰセキュリティテストを行なった。 彼らは１時間以内に、ネットワークから得たデータの小さな部分に従ってＷＬＡＮに用いられた秘密鍵を解読した。 また、ＡＴ＆Ｔ研究所（AT&T Laboratory）が同じ態様で解読を達成した。 これは、ＷＥＰがＷＬＡＮのセキュリティを確実にし得ないことを十分に示す。 セキュリティの事項は、ＷＬＡＮの広い用途を阻む障害物の１つとなり、安全なアクセスおよび機密通信はＷＬＡＮ技術の研究における最も重要な部分となった。

発明の要約 この発明の目的は、上述の技術的欠点を克服すること、および無線ローカルエリアネットワーク（ＷＬＡＮ）への移動端末の安全なアクセスと無線リンクを介した安全なデータ通信とのための方法を提供することである。 これは共通鍵暗号化技術と対称的暗号化技術とを組合わせ、安全なＭＴアクセスに対する有効な制御を提供しないＷＬＡＮの欠点を解決して、かつ無線リンクを介したデータ通信の限定された機密性を克服し、それによりＭＴのアクセスに対する制御を達成しただけでなく、ＭＴアクセスのセキュリティおよび通信の高い機密性をも確実にした。

この発明は、無線ローカルエリアネットワーク（ＷＬＡＮ）への移動端末の安全なアクセスと無線リンクを介した安全なデータ通信とのための方法であって、ＭＴおよびＡＰがＡＳを介して双方向証明書認証を行ない、ＭＴおよびＡＰが会話のための秘密鍵のネゴシエーションを行なう、方法を提供する。

好ましい実施例に従うと、この発明は、無線ローカルエリアネットワーク（ＷＬＡＮ）への移動端末の安全なアクセスと無線リンクを介した安全なデータ通信とのための方法であって、ＭＴがＡＰにログオンする場合に、ＭＴおよびＡＰはＡＳを介して前記双方向証明書認証を行ない、前記双方向証明書認証が成功して行なわれた後に、ＭＴおよびＡＰは前記会話のための秘密鍵のネゴシエーションを行なう、方法を提供した。

好ましい実施例に従うと、この発明は、無線ローカルエリアネットワーク（ＷＬＡＮ）への移動端末の安全なアクセスと無線リンクを介した安全なデータ通信とのための方法であって、ＭＴがＡＰにログオンする場合に、ＭＴおよびＡＰは互いに対してそれぞれの証明書を通知し、次いでそれらは会話のための秘密鍵のネゴシエーションを行ない、前記会話のための秘密鍵のネゴシエーションが行なわれた後で、ＭＴおよびＡＰはＡＳを介して双方向証明書認証を行ない、他方により用いられる証明書とそれにより通知されたものとが同じであるかを判定し、同じでなければ認証は失敗し、同じであれば認証の結果は前記双方向証明書識別の結果に依存する、方法を提供した。

前記双方向証明書識別は、以下のステップを含む。

１） ＭＴがＡＰにログオンする場合に、ＭＴがＡＰにＭＴ証明書を含むアクセス認証要求メッセージを送るステップと、
２） ＡＰが前記アクセス認証要求メッセージを受取った後で、ＡＰがＡＰ証明書をメッセージに追加し、次いでＡＳに前記ＭＴ証明書およびＡＰ証明書を含む証明書認証要求メッセージを送るステップと、
３） ＡＳが前記証明書認証要求メッセージを受取った後で、ＡＳが前記メッセージ内のＡＰ証明書およびＭＴ証明書を認証し、次いでＡＰにＡＳ署名を備えた証明書認証応答メッセージを送り返すステップと、
４） ＡＰが前記証明書認証応答メッセージを受取った後で、ＡＰがＡＳ署名を認証してＭＴ証明書の認証の結果を得て、次いでＭＴに証明書認証応答メッセージをアクセス認証応答メッセージとして送り返すステップと、
５） ＭＴが前記アクセス認証応答メッセージを受取った後で、ＭＴがＡＳ署名を認証してＡＰ証明書の認証の結果を得て、ＭＴとＡＰとの間の前記双方向証明書識別を完了させるステップとを含む。

好ましい実施例に従うと、この発明は、無線ローカルエリアネットワーク（ＷＬＡＮ）への移動端末の安全なアクセスと無線リンクを介した安全なデータ通信とのための方法であって、 １） ＭＴがＡＰにログオンする場合に、ＭＴはＡＰに前記双方向証明書認証のためのＭＴ証明書を含むアクセス認証要求メッセージを送り、 ２） ＡＰが前記アクセス認証要求メッセージを受取った後で、ＡＰはＡＰ証明書をメッセージに追加し、次いでＡＳに前記双方向証明書認証のための前記ＭＴ証明書およびＡＰ証明書を含む証明書認証要求メッセージを送り、かつその間に会話のための秘密鍵のネゴシエーションをＭＴと開始し、 ３） ＡＳが前記証明書認証要求メッセージを受取った後で、ＡＳは前記メッセージ内のＡＰ証明書およびＭＴ証明書を認証し、次いでＡＰに前記双方向証明書認証のためのＡＳ署名を備えた証明書認証応答メッセージを送り返し、４） ＡＰが前記証明書認証応答メッセージを受取った後で、ＡＰはＡＳ署名を認証してＭＴ証明書の認証の結果を得て、次いでＭＴに証明書認証応答メッセージを前記双方向証明書認証のためのアクセス認証応答メッセージとして送り返し、 ５） ＭＴが前記アクセス認証応答メッセージを受取った後で、ＭＴはＡＳ署名を認証してＡＰ証明書の認証の結果を得てＭＴとＡＰとの間の前記双方向証明書識別の処理を完了し、次いでＭＴは前記会話のための秘密鍵のネゴシエーションを完了するために対応の処理を行なう、方法を提供した。

好ましい実施例に従うと、この発明は、無線ローカルエリアネットワーク（ＷＬＡＮ）への移動端末の安全なアクセスと無線リンクを介した安全なデータ通信とのための方法であって、 １） ＭＴがＡＰにログオンする場合に、ＭＴはＡＰに前記双方向証明書認証のためのＭＴ証明書を含むアクセス認証要求メッセージを送り、 ２） ＡＰが前記アクセス認証要求メッセージを受取った後で、ＡＰはＡＰ証明書をメッセージに追加し、次いでＡＳに前記双方向証明書認証のための前記ＭＴ証明書およびＡＰ証明書を含む証明書認証要求メッセージを送り、 ３） ＡＳが前記証明書認証要求メッセージを受取った後で、ＡＳは前記メッセージ内のＡＰ証明書およびＭＴ証明書を認証し、次いでＡＰに前記双方向証明書認証のためのＡＳ署名を含む証明書認証応答メッセージを送り返し、 ４）
ＡＰが前記証明書認証応答メッセージを受取った後で、ＡＰはＡＳ署名を認証してＭＴ証明書の認証の結果を得て、ＡＰは認証の結果を判定し、もし認証が成功していなければ、ＡＰはＭＴに前記証明書認証応答メッセージを前記双方向証明書認証に対するアクセス認証応答メッセージとして送り返し、もし認証が成功していれば、ＡＰはＭＴに前記アクセス認証応答メッセージを送り返しながら会話のための秘密鍵のコンサルトをＭＴと開始し、 ５） ＭＴが前記証明書認証応答メッセージを受取った後で、ＭＴはＡＳ署名を認証してＡＰ証明書の認証の結果を得て、ＭＴとＡＰとの間の前記双方向証明書識別を完了し、ＭＴは次いで前記会話のための秘密鍵のネゴシエーションの処理を完了するために対応の処理を行なう、方法を提供した。

好ましい実施例に従うと、この発明は、無線ローカルエリアネットワーク（ＷＬＡＮ）への移動端末の安全なアクセスと無線リンクを介した安全なデータ通信とのための方法であって、 １） ＭＴがＡＰにログオンする場合に、各々は他方にそれ自体の証明書を通知し、次いでこれらは前記会話のための秘密鍵のネゴシエーションを完了し、その間に、ＭＴはまたＡＰへのアクセス認証要求識別の通知をも完了し、 ２） ＡＰはＡＳに前記双方向証明書認証のためのＭＴ証明書およびＡＰ証明書を含む証明書認証要求メッセージを送り、 ３） ＡＳが前記証明書認証要求メッセージを受取った後で、ＡＳは前記メッセージ内のＡＰ証明書およびＭＴ証明書を認証し、次いでＡＰに前記双方向証明書認証のためのＡＳ署名を含む証明書認証応答メッセージを送り返し、 ４） ＡＰが前記証明書認証応答メッセージを受取った後で、ＡＰはＡＳ署名を認証してＭＴ証明書の認証の結果を得て、次いでＭＴに前記証明書認証応答メッセージを前記双方向証明書認証のためのアクセス認証応答メッセージとして送り返し、 ５） ＭＴが前記アクセス認証応答メッセージを受取った後で、ＭＴはＡＳ署名を認証し、次いでメッセージ内のＡＰ証明書が会話のための秘密鍵のネゴシエーションの前にＡＰにより通知されたものと同じであるかを判定し、同じでなければ認証は失敗し、同じであればＭＴはメッセージからＡＰ証明書の認証の結果を得て、ＭＴとＡＰとの間の前記双方向証明書認証処理を完了する、方法を提供した。

前記アクセス認証要求メッセージは、アクセス認証要求識別をも含む。

前記証明書認証要求メッセージは、アクセス認証要求識別をも含むか、またはアクセス認証要求識別およびＡＰ署名をも含む。

前記証明書認証応答メッセージは、ＡＳの署名提出の前に、ＭＴ証明書認証の結果の情報およびＡＰ証明書認証の結果の情報をも含む。

前記アクセス認証応答メッセージは前記証明書認証応答メッセージと同一である。

前記アクセス認証要求識別は、ランダムデータまたは認証連続番号のストリングである。

前記ＭＴ証明書認証結果の情報は、ＭＴ証明書ならびにＭＴ証明書認証結果およびＡＳ署名を含むか、またはＭＴ証明書およびＭＴ証明書認証結果を含む。

前記ＡＰ証明書認証結果の情報は、ＡＰ証明書とＡＰ証明書認証結果とアクセス認証要求識別とＡＳ署名とを含むか、またはＡＰ証明書とＡＰ証明書認証結果とアクセス認証要求識別とを含む。

ＭＴが指定されたＡＰへのアクセスを所望する場合、ＭＴは第１にＡＰの関連情報またはＡＰの証明書を得なければならない。

前記会話のための秘密鍵のネゴシエーションは、ＡＰまたはＭＴの共通鍵およびそれらのそれぞれの私有鍵を用いてＭＴまたはＡＰを参照して会話のための秘密鍵を生成する。

この発明の好ましい実施例の１つにおいて、会話のための秘密鍵のネゴシエーションは、
１） ＭＴが、そこから整数ｆ（ａ）を計算するための整数ａを秘密に選択し、整数ｆ（ａ）とその上のＭＴ署名とを秘密鍵ネゴシエーション要求メッセージに組合わせて、それをＡＰに送信するステップを含み、前記ｆは整数ｆ（ａ）からの整数ａを計算不可能にする関数であり、
２） ＡＰが前記秘密鍵ネゴシエーション要求メッセージを受取った後で、ＡＰがそこから整数ｆ（ｂ）を計算するための整数ｂを秘密に選択し、整数ｆ（ｂ）とその上のＡＰ署名とを秘密鍵ネゴシエーション応答メッセージに組合わせ、それをＭＴに送信するステップをさらに含み、前記ｆは整数ｆ（ｂ）からの整数ｂを計算不可能にする関数であり、
３） ＡＰがｇ（ｂ，ｆ（ａ））を計算し、ＭＴが、それが前記秘密鍵ネゴシエーション応答メッセージを受取った後で、ｇ（ａ，ｆ（ｂ））を通信の処理における会話のための秘密鍵として計算するステップをさらに含み、前記ｇはｇ（ａ，ｆ（ｂ））＝ｇ（ｂ，ｆ（ａ））の計算を可能にする関数である。

この発明の別の好ましい実施例において、前記会話のための秘密鍵のネゴシエーションは、
１） ＡＰが、そこから整数ｆ（ｂ）を計算するための整数ｂを秘密に選択し、整数ｆ（ｂ）とその上のＡＰ署名とを秘密鍵ネゴシエーション要求メッセージに組合わせて、それをＭＴに送信するステップを含み、前記ｆは整数ｆ（ｂ）からの整数ａを計算不可能にする関数であり、
２） ＭＴが前記秘密鍵ネゴシエーション要求メッセージを受取った後で、ＭＴがそこから整数ｆ（ａ）を計算するための整数ａを秘密に選択し、整数ｆ（ａ）およびその上のＭＴ署名を秘密鍵ネゴシエーション応答メッセージに形成し、それをＡＰに送信するステップをさらに含み、前記ｆは整数ｆ（ａ）からの整数ａを計算不可能にする関数であり、
３） ＭＴがｇ（ａ，ｆ（ａ））を計算し、ＡＰが、それが前記秘密鍵応答メッセージを受取った後で、ｇ（ａ，ｆ（ｂ））を通信の処理における会話のための秘密鍵として計算するステップをさらに含み、前記ｇはｇ（ａ，ｆ（ｂ））＝ｇ（ｂ，ｆ（ａ））の計算を可能にする関数である。

この発明の別の好ましい実施例において、会話のための秘密鍵のネゴシエーションは、
１） ＭＴまたはＡＰがランダムデータのストリングを生成し、それらをＡＰまたはＭＴの共通鍵を用いた暗号化の後で秘密鍵ネゴシエーション要求メッセージとしてＡＰまたはＭＴに送るステップと、
２） ＡＰまたはＭＴが前記秘密鍵ネゴシエーション要求メッセージをＭＴまたはＡＰから受取った後で、ＡＰまたはＭＴはそれ自体の私有鍵を解読のために用い、他方により生成されたランダムデータを得て、次いでＡＰまたはＭＰは再びランダムデータのストリングを生成し、それらをＭＴまたはＡＰにＭＴまたはＡＰの共通鍵を用いた暗号化の後で秘密鍵ネゴシエーション応答メッセージとして送信するステップと、
３） ＭＴまたはＡＰが前記秘密鍵ネゴシエーション応答メッセージをＡＰまたはＭＴから受取った後で、ＭＴまたはＡＰはそれ自体の秘密鍵を解読のために用い、他方により生成されたランダムデータを得るステップとを含み、ＭＴおよびＡＰの両方が他方およびそれ自体により生成されたランダムデータを用いて会話のための秘密鍵を生成する。

この発明の別の好ましい実施例において、会話のための秘密鍵のネゴシエーションは、
１） ＭＴまたはＡＰがランダムデータのストリングを生成し、ＭＴまたはＡＰが暗号化のためにＡＰまたはＭＴの共通鍵を用いた後で、それ自体の署名を秘密鍵ネゴシエーション要求メッセージとして添付し、かつそれをＡＰまたはＭＴに送信するステップと、
２） ＡＰまたはＭＴが前記秘密鍵ネゴシエーション要求メッセージをＭＴまたはＡＰから受取った後で、ＡＰまたはＭＴが署名を認証するためにＭＴまたはＡＰの共通鍵を用い、次いでそれ自体の私有鍵を用いて受信した暗号化メッセージを解読するステップとを含み、ＭＴおよびＡＰの両方がランダムデータを会話のための秘密鍵として用いる。

さらに、前記会話のための秘密鍵のネゴシエーションは、通信の処理において用いられる通信アルゴリズムのネゴシエーションをも含み得る。

この発明は従来技術に鑑みて以下の利点を有する。

これは、安全なＭＴアクセスの有効な制御を有さないというＷＬＡＮにおける問題を解決し、無線リンクを介したデータ通信の機密性の制限を克服した。 さらに、これは共通鍵暗号化システムと対称的暗号化技術とを組合せ、ＭＴとＡＰとの間の双方向証明書認証を実現し、アクセスのセキュリティをさらに向上させた。 さらに、会話のための秘密鍵の動的ネゴシエーションを通して、安全なデータ通信を達成するための、各認証処理における秘密鍵の動的な改訂、秘密鍵および通信を達成し、解読の難度を大きく増大させた。 要約すれば、この方法はＭＴのアクセスにおける制御を達成しただけではなく、ＭＴアクセスのセキュリティおよび通信の高い機密性をも確実にした。

好ましい実施例の説明 以下は、図面および実施例に基づくこの発明のさらなる説明である。

図２は、ＡＳ（認証サーバ）に基づくＷＬＡＮセキュリティ認証システムの論理構造を示すブロック図である。 共通鍵暗号化技術が用いられる。 ＭＴがＡＰにログオンする場合に、双方向証明書認証がＡＳを用いて行なわれなければならない。 許可された証明書を保持するＭＴのみが、許可された証明書を保持するＡＰにアクセスでき、そうでなければ、ＡＰがＭＴのアクセスを拒絶するか、またはＭＴがＡＰへのログオンを拒絶する。 成功した認証の後で、ＭＴおよびＡＰは会話のための共通鍵のネゴシエーションを行ない、対称的暗号化技術を用いて無線リンクを介した安全なデータ通信を実現する。 処理の全体が図３に示されるが、ここで証明書の内容は主に、証明書の連続番号、証明書認証者の名前、証明書の有効期間、証明書保持者の名前、証明書保持者の共通鍵情報、証明書認証者によって用いられる署名アルゴリズム、および証明書上の証明書認証者の署名を含む。

１． 双方向証明書認証 ＭＴがＡＰにログオンする場合に、これら両方は、以下のワークフローに示されるようにＡＳを介して双方向証明書認証を行なう。

ａ） アクセス認証要求。 ＭＴはＡＰにアクセス認証要求メッセージを送る、すなわち、ＡＰにＭＴ証明書とランダムデータのストリングまたは認証連続番号を送るが、ここでランダムデータのストリングまたは認証連続番号は、アクセス認証要求識別と称する。

ｂ） 証明書認証要求。 ＡＰがＭＴアクセス認証要求メッセージを受取った後で、ＡＰはＡＳに証明書認証要求メッセージを送る、すなわち、ＡＳに、ＭＴ証明書、アクセス認証要求識別およびＡＰ証明書またはＭＴ証明書、アクセス認証要求識別、ならびにそれらの上のＡＰの私有鍵の署名によって構成される証明書認証要求メッセージを送る。

ｃ） 証明書認証応答。 ＡＳがＡＰの証明書認証要求メッセージを受取った後で、もしメッセージがＡＰの署名を含んでいれば、ＡＳは最初にその真正性について署名を認証する。 もしそれが真正でなければ、認証結果は失敗として判断される。 次いでそれはＡＰ証明書およびＭＴ証明書をそれらの正当性に関して認証する。 認証が終了すると、ＡＳはＡＰに以下を送り返す、すなわち、［１］ＭＴ証明書およびＭＴ証明書認証結果とそれらの上のＡＳの署名とを含む、またはＭＴ証明書およびＭＴ証明書認証結果のみを含む、ＭＴ証明書認証結果情報、［２］ＡＰ証明書およびＡＰ認証結果およびアクセス認証結果識別とそれらの上のＡＳの署名とを含む、またはＡＰ証明書およびＡＰ証明書認証結果およびアクセス認証要求識別のみを含む、ＡＰ証明書認証結果情報、［３］［１］および［２］上のＡＳの署名によって構成される証明書認証応答メッセージ、である。

ｄ） アクセス認証応答。 ＡＰは、ＡＳから送り返される証明書認証応答メッセージ上の署名を認証し、ＭＴ証明書認証結果を得る。 ＡＰは、ＭＴにアクセス認証応答メッセージとして証明書認証応答メッセージを送り返す。

ｅ） ＭＴはＡＰにより送り返された認証応答メッセージ上の署名を認証し、ＡＰ証明書の認証結果を得る。

ここで、ＭＴとＡＰとの間の双方向証明書認証処理は完了している。 もしそれらの証明書が成功して認証されると、ＡＰはＭＴがアクセスすることを許可し、そうでなければこれはそれがアクセスすることを拒絶し、またはＭＴはＡＰにログオンすることを拒絶する。 ここで、許可された証明書を有するＭＴが許可された証明書を有するＡＰに成功してアクセスし、ＭＴの安全なアクセスを制御するというＡＰの機能が完了している。

２． 会話のための秘密鍵のネゴシエーション ＭＴとＡＰとの双方向証明書認証が成功して行なわれた後で、すなわち、ＭＴの成功したエントリが達成された後で、ＭＴとＡＰとの間の安全な機密的無線通信を実現するために、これら両方は互いの共通鍵およびそれぞれ自体の私有鍵を用いてそれら自体の中に通信データメッセージの暗号化および解読に用いるための、会話のための秘密鍵を生成する。 しかしながら、証明書の有効期間内では、ＭＴとＡＴとの間の会話のための秘密鍵が変更されないままであることに留意されたい。 各秘密鍵の各認証を実現するために、会話のための秘密鍵の動的ネゴシエーションが必要である。 会話のための秘密鍵の動的ネゴシエーションは以下のように進む。

ａ） 秘密鍵ネゴシエーション要求。 ＭＴまたはＡＰはランダムデータのストリングを生成し、ＡＰおよびＭＴの共通鍵を用いた暗号化の後で、ＡＰまたはＭＴに秘密鍵ネゴシエーション要求メッセージを送る。

ｂ） 秘密鍵ネゴシエーション応答。 ＡＰまたはＭＴがＭＴまたはＡＰから送られた秘密鍵ネゴシエーション要求メッセージを受取った後で、ＡＰまたはＭＴは解読のためにそれ自体の私有鍵を用い、他方により生成されたランダムデータを得る。 これは次いで局所的にランダムデータのストリングを生成し、ＭＴまたはＡＰの共通鍵を用いた暗号化の後に、ＭＴまたはＡＰに秘密鍵ネゴシエーション応答メッセージについて応答する。

ｃ） ＭＴまたはＡＰが、ＡＰまたはＭＴから送られた秘密鍵ネゴシエーション応答メッセージを受取った後で、ＭＴまたはＡＰは解読のためにそれ自体の私有鍵を用い、他方のランダムデータを得る。 ＭＴおよびＡＰは両方ともそれ自体によりまたは他方により生成された２つのランダムデータを用いて、通信データメッセージの暗号化および解読のために用いられるべき会話のための秘密鍵を生成する。

通信の機密性をさらに向上させるために、ＭＴおよびＡＰがある時間期間通信を行なった後で、または所与の量のメッセージを交換した後で、会話のための秘密鍵のネゴシエーションが再び行なわれてもよい。

双方向証明書認証はＭＴの安全なアクセスを完了させ、会話のための秘密鍵のネゴシエーションは、ＭＴとＡＰとの間の高度に機密的な通信を完全に確実にする。

以下が特に指摘される。

（１） もしＭＴが指定されたＡＰへのアクセスを意図するのであれば、ＭＴがそれが受取るアクセス認証応答メッセージを判定するためには、双方向証明書認証の前に、ＭＴはＡＰの関係のある情報を知っているかまたはＡＰの証明書を保持しているべきである。

（２） 会話のための秘密鍵のネゴシエーションはまた、通信アルゴリズムのネゴシエーションをも含み得るが、すなわち、秘密鍵ネゴシエーション要求メッセージの中には、要求側により支持される通信アルゴリズムが列挙されている。 応答側は、要求側から提供される通信アルゴリズムの１つを選択し、秘密鍵ネゴシエーション応答メッセージを介して要求側に送り返す。 会話のための秘密鍵のネゴシエーションが完了した後で、これら両方はネゴシエーションの通信アルゴリズムを用いて機密的な通信を行なう。

（３） 会話のための秘密鍵の動的ネゴシエーションは以下のようにも実現され得る。 ＭＴまたはＡＰはランダムデータのストリングを局所的に生成し、それ自体の署名を添付し、それを他方の共通鍵を用いた暗号化の後で他方に送る。 ＡＰまたはＭＴがそれを受取った後で、ＡＰまたはＭＴはそれが他方から送られたデータであるかを認証するために他方の共通鍵を用い、次いでそれが受取った暗号化メッセージを解読するためにそれ自体の私有鍵を用いる。 これら両方は、ランダムデータを会話のための秘密鍵として用いて、通信データを解読する。

（４） 会話のための秘密鍵のネゴシエーションは以下のようにも進み得る。

ａ） ＭＴは秘密に整数ａを選択し、ｆ（ａ）を計算し、ＡＰにｆ（ａ）およびその上のＭＴの署名を送る、ただし、ｆは、ｆ（ａ）からのａの計算を不可能にする関数である。

ｂ） ＡＰは秘密に整数ｂを選択し、ｆ（ｂ）を計算し、ＭＴにｆ（ｂ）およびその上のＭＴの署名を送る、ただし、関数ｆの定義はａ）と同様である。

ｃ） 通信の処理における会話のための秘密鍵として、ＭＴはｇ（ａ，ｆ（ａ））を計算し、ＡＰはｇ（ｂ，ｆ（ａ））を計算する、ただしｇはｇ（ａ，ｆ（ｂ））＝ｇ（ｂ，ｆ（ａ））の計算を可能にする関数である。

（５） 上述のように、最初に双方向証明書認証が行なわれ次いで会話のための秘密鍵のネゴシエーションが行なわれるが、処理の特定の実現においては、会話のための秘密鍵のネゴシエーションが双方向証明書認証の前に行なわれるか、これら２つの処理が組合されてまたは代替的に行なわれ得る。

（６） 特定的に以下のように、会話のための秘密鍵のネゴシエーションが最初に、次いで双方向証明書認証が行なわれる。

ａ） ＭＴがＡＰにログオンする場合に、これら両方はそれぞれの証明書を互いに通知する。

ｂ） 前記方法を用いて、ＭＴおよびＡＰは会話のための秘密鍵のネゴシエーションを行なう。

ｃ） 前記方法を用いて、ＭＴおよびＡＰは双方向証明書認証を行ない、他方により用いられる証明書が、ステップａ）においてそれにより通知された証明書と同じであるかを判定する。 もし同じでなければ認証は失敗する。 同じであれば認証結果は双方向証明書認証の処理の結果に依存する。

（７） 双方向証明書認証および会話のための秘密鍵のネゴシエーションは、以下のように交互に行なわれる。

双方向証明書認証および会話のための秘密鍵のネゴシエーションの処理は、上記と全く同じである。 相違点は、メッセージのシーケンスの交替のみにある。 すなわち、ＭＴがＡＰにログオンする場合に、ＭＴはＡＰにアクセス認証要求メッセージを送る。 それがメッセージを受取った後で、双方向証明書認証および会話のための秘密鍵のネゴシエーションが別々に行なわれるよりも高速に交互に行なわれるように、ＡＰはＡＳに証明書認証要求メッセージを送りながら、会話のための秘密鍵のネゴシエーションをＭＴと開始する。

（８） 双方向証明書認証および会話のための秘密鍵のネゴシエーションは、以下のように組合されて行なわれる。

ＭＴがＡＰにログオンする場合に、これら両方は第１に双方向証明書認証を行ない、次いで会話のための秘密鍵のネゴシエーションを行なう。 しかしながら、認証が終了しつつある場合に、すなわち、ＡＰがアクセス認証応答メッセージをＭＴに送り返しながら、会話のための秘密鍵のネゴシエーションをＭＴと開始するが、すなわち、双方向証明書認証および会話のための秘密鍵のネゴシエーションが別々に行なわれるよりも高速に組み合わされて行なわれるように、それは秘密鍵ネゴシエーション要求情報をアクセス認証応答メッセージに追加する。

（９） 双方向証明書認証および会話のための秘密鍵のネゴシエーションは、以下の態様でも行なわれ得る。 すなわち、方法は、第１の会話のための秘密鍵のネゴシエーションを行ない、次いで双方向証明書認証を行なうことにより簡略化される。 ＭＴおよびＡＰが互いに対しそれぞれの証明書を通知して会話のための秘密鍵のネゴシエーションを行なう処理において、ＭＴはＡＰにアクセス認証要求識別をも通知すべきである。 したがって、その後に双方向証明書認証を行なう場合に、ＭＴはアクセス認証要求メッセージをＡＰに送る必要がない。 その代わりに、ＡＰはＡＳに対し証明書認証要求メッセージを直接送り、双方向証明書認証を開始する。 認証の処理が完了した場合に、ＭＴは、ＡＰによって用いられる証明書が会話のための秘密鍵のネゴシエーションの前にＡＰにより通知された証明書と同じであるかを判定するだけでよい。 もしそうでなければ、認証は失敗する。 そうであれば、認証結果は双方向証明書認証の処理の結果に依存する。

従来の広帯域無線ＩＰシステムの構造を示す図である。

この発明のＡＳに基づくＷＬＡＮセキュリティ認証システムの論理構造を示すブロック図である。

ＭＴアクセス時のこの発明の認証のフローチャートを示す図である。