) 1 cos(
) 2 2 cos(
1 sin 2
2
−
×
×
+
−
×
×
= lo lo
l la l
R la 距離
R 地球の半径(6367000.0)
la1 地点1の経度 la2 地点2の経度 lo1 地点1の緯度 lo2 地点2の緯度
9.3 制限事項
1. 一人のユーザが複数の端末を使用する場合や、同一行動をとる複数のユーザが同一 のユーザIDを使用するなど、数百メートルの単位内で多重利用した場合、ハンド オーバしたのか多重利用なのか区別できないため、多重利用を検出できない。
34 / 39
インの検出には十分使用できる)。
9.4 今後の拡張
現在は固定値で保持しているMNの制限速度を、MNの設置されている状況に合わせ てMNごとに設定可能とし、多重利用の検出の精度を向上させる必要がある。
10.プロキシ機能
BR、もしくは他のAS からの認証要求を、他のAS に転送する機能をAS のプロキシ
機能と呼ぶ。プロキシ機能を使用して認証要求を他のAS に転送する場合、 受信した メッセージの一番最後にプロキシ要求オブジェクトを必ず追加しなければならない。
このオブジェクトに含める値はプロキシサーバとして動作する AS の実装に依存する ので自由に使用して良いが、このオブジェクトを付加したAS以外のASはこのオブジ ェクトの値に依存した処理を行ってはならない。
他のASに転送した認証要求の応答を受信した場合、必ず自分が追加したプロキシ要求 オブジェクトを削除しなければならない。
プロキシ機能を使用して他のASに認証要求メッセージを送信する場合、ASでは特別 な制御を行わず、一度の認証要求に対して一度だけ認証要求を送信する。
プロキシ先のASから応答メッセージが受信できない場合、ASではBR、もしくは 送信元のASに対しての何らかの応答を含む処理を何も行わず、送信元のタイムアウト 処理に全ての制御をまかせる。
受信したパケットに含まれるプロキシ要求オブジェクトの数があまりに多い場合、AS は認証要求を拒否しても良い。認証要求を拒否するプロキシ要求オブジェクトの数は ASの実装に依存する任意の数である。
プロキシ機能による通信のうち、アクセス許可メッセージにはセッション鍵が含まれ ているので、データをBRから送信されたセキュリティ方式オブジェクトにより共有さ れる方法により秘匿する。セキュリティ方式オブジェクトで示される暗号化方式は 12 節で述べる。
認証要求を拒否するプロキシ要求オブジェクトの数は現在は64と設定されている。
36 / 39
認証を確実に高速に処理するためにASを多重化する事が可能である。ASを多重化する場 合、BR、及び ASは以下の動作を行うべきである。
11.1 BRの動作
BRがASに認証要求を送信する際に、複数のASが指定されてる場合の動作を以下に示す。
1.指定されている全てのASに対して、同時に認証要求を送信する。
2.応答が一番早いASの認証結果を使用する。
11.2 ASの動作
ASがプロキシサーバとして動作する際に、複数のASが指定されている場合の動作を以下 に示す。尚、自分以外のMISドメインに属するASを複数指定する場合、優先順位を指定 しなければならない。
1.プロキシ機能を使用して他の AS に認証要求を転送する際に、19〜21(疑似乱数)回 毎の認証要求はプロキシサーバとして指定された全てのASに認証要求を転送する。
2.全てのASに認証要求を転送しない場合、過去5分以内に認証要求を送信しているが、
過去5分以内に応答を受信していないASを除外した中で、最も優先順位の高いASに 認証要求を転送する。
3.2. に該当する AS が存在しない場合は、最終送信時刻が最も古いAS に対して認証要 求を転送する。最終送信時刻が同じ場合は、優先順位が最も高いASに認証要求を転送 する。
12.セキュリティ方式
セキュリティ方式には次のものがある。
HMAC-MD5/HMAC-MD5/HMAC-MD5 1
右側の数字はセキュリティ方式オブジェクトに含まれるセキュリティ方式の値である。
以下ではセキュリティ方式の詳細を説明する。
12.1 HMAC-MD5/HMAC-MD5/HMAC-MD5方式
認証に HMAC-MD5 を、セッション鍵生成に HMAC-MD5 を、データの秘匿に
HMAC-MD5と排他的論理和を使用する。
12.1.1 認証用ハッシュ値の生成方式
認証用のハッシュ値を計算するために、HMAC-MD5 を使用する。認証要求メッセー ジに含まれる認証データに対して、MNとASで予め共有しているMISパスワードを
鍵としてHMAC-MD5を適用し16バイトのバイト列を取得する。このバイト列が認証
要求メッセージに含まれている認証データハッシュ値オブジェクトの値と一致した場 合は認証が成功する。
12.1.2 セッション鍵の生成方式
認証が成功した場合に MN と AS で共有するセッション鍵を計算するために、
HMAC-MD5を使用する。認証要求メッセージに含まれるセッション鍵の種に対して、
MNとASで予め共有しているMISパスワードを鍵としてHMAC-MD5を適用し16 バイトのバイト列を取得する。これがセッション鍵となる。
12.1.3 セッション鍵の秘匿方式
認証が成功した場合にASからBR、もしくはプロキシ機能によりAS 間で送信される セッション鍵を秘匿するためにHMAC-MD5と排他的論理和を使用する。認証要求メ ッセージに含まれる認証用ハッシュ値に対して、BRとAS、もしくはAS 間で予め共 有している秘密鍵を利用してMHAC-MD5を適用し得られた16バイトのバイト列とセ ッション鍵の排他的論理和を計算し16バイトのバイト列を取得する。これが秘匿され れたセッション鍵となるのでセッション鍵オブジェクトに設定しBRに送信する。秘匿 したセッション鍵を復号化するために、認証するASは認証用ハッシュ値を必ず含めて 応答メッセージを送信しなければならない。
38 / 39