[发明专利]无线通信系统、无线通信装置及其认证方法、以及程序

说明书

技术领域

本发明涉及无线通信系统，尤其涉及包括以分布式自主(autonomous distributed)方式而形成网络的多个无线通信装置的无线通信系统、无线通信装置、该系统和装置中的处理方法以及使得计算机执行该方法的程序。

背景技术

作为使用无线技术而构成网络的模式，在电气和电子工程师协会(IEEE，Institute of Electrical and ElectronicsEngineers)802.11i中定义了基础结构(Infrastructure)无线局域网(LAN，Local Area Network)系统。在该基础结构无线LAN系统中，在被称作接入点(AP，Access Point)等的无线通信装置的整体控制下形成网络。

在IEEE802.11i中，除了基础结构无线LAN系统以外，还定义了独立基本服务组(IBSS，Independent Basic Service Set)无线LAN系统。在该IBSS无线LAN系统中，不是由特定的接入点进行整体控制，而是通过在作为无线终端而工作的任何可选无线通信装置之间以分布式自主方式进行的直接异步无线通信来形成网络。

在IEEE802.11s还提出的网状(mesh)无线LAN系统中，通过无线通信装置之间以分布式自主方式进行的直接异步的无线通信来形成网络。在该网状无线LAN系统中，经由其它无线通信装置实现对处在许可电波直接到达的范围之外的无线通信装置的多跳通信(multi-hop communication)。以下，将IBSS无线LAN系统以及网状无线LAN系统统称为分布式自主无线LAN系统。

在基础结构无线LAN系统或分布式自主无线LAN系统中，提出了一种采用IEEE802.1 X的认证服务器(AS，AuthenticationServer)的认证方案作为用于增强安全功能的方案。例如，在基础结构无线LAN系统中，所有无线终端的认证信息都由认证服务器来集中管理，而接入点作为到认证服务器的认证代理服务器并处理无线终端和认证服务器之间的认证协议序列。即，在该系统中，能够明确地确定各终端的角色。将作为到其它无线终端的认证服务器的认证代理服务器而工作的实体称为认证者(Authenticator)。将被进行认证者的认证处理的实体称为恳求者(Supplicant)。另一方面，在分布式自主无线LAN系统中，未明确定义各无线终端的角色。因此，任何无线终端作为认证者/认证服务器，而另一无线终端作为恳求者。

然而，在这些IEEE802.11i以及IEEE802.11s中，尽管打算使用IEEE802.1X，但未定义特定的认证协议。为了解决这个，在因特网工程工作小组(IETF，Internet Engineering Task Force)中，采用可扩展认证协议(EAP，Extensible Authentication Protocol)作为比IEEE802.1X更高等级的认证协议，从而提供灵活性和扩展性。

通过与加密协议结合，EAP能够实现特定的认证方案。以下说明将处理将传输层安全协议(TLS，Transport Layer Securlty)用作加密协议的情况。将基于采用TLS作为加密协议的EAP的认证称为EAP-TLS认证。在该EAP-TLS认证中，在认证服务器和客户机之间进行使用电子证书(公钥证书)的认证。尽管需要认证机构(CA，Certification Authorlty)对认证服务器以及各终端预先发行公钥证书，但EAP-TLS认证是不依赖于密码等的系统，并因其安全性非常高而知名(例如参照非专利文献1：B.Aboba and D.Simon：“PPP EAP TLS Authentication Protocol”，RFC 2716，Network Working Group，IETF(http://www.ietf.org/rfc/rfc2716.txt))。

然而，在EAP-TLS认证中，只要公钥证书是从认证服务器可信赖的认证机构发行的公钥证书，则许可所有来自具有该公钥证书的实体的连接。即，这种方案没有仅许可特定实体的认证的系统。

为了实现仅许可特定实体，需要管理任何认证信息。然而，这种管理一般会导致复杂。尤其是在分布式自主无线LAN系统中，无线终端有可能移动，因此构成网络的终端随时间而异。因此没有必要始终确保用于该管理的通信路径。即，为了在分布式自主无线LAN系统中控制认证对象，需要有效地分散并管理无线终端的认证信息。

发明内容